CN101193068B - 一种应答请求的方法和设备 - Google Patents
一种应答请求的方法和设备 Download PDFInfo
- Publication number
- CN101193068B CN101193068B CN2006101457683A CN200610145768A CN101193068B CN 101193068 B CN101193068 B CN 101193068B CN 2006101457683 A CN2006101457683 A CN 2006101457683A CN 200610145768 A CN200610145768 A CN 200610145768A CN 101193068 B CN101193068 B CN 101193068B
- Authority
- CN
- China
- Prior art keywords
- terminal
- request
- black
- request message
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种应答请求的方法,适用于电路交换IP多媒体子系统IMS组合服务CSI业务,该方法包括:配置请求消息黑白名单,在所述请求消息黑白名单中分别记录禁止和允许所述请求的终端;当其它终端向CSI终端发送请求时,参照所述请求消息黑白名单,判断发送请求的终端所属的名单,当所述发送请求的终端属于白名单时,则接受该终端的请求;当所述发送请求的终端属于黑名单时,则拒绝该终端的请求。应用本发明实施例,就可以在限制其它终端对CSI终端的各种请求,回避恶意终端的频繁请求,保证正常呼叫的建立,提高系统性能。本发明实施例还公开了一种在CSI业务中应答请求的设备,包括接收模块、黑白名单配置模块和判决模块。
Description
技术领域
本发明涉及SIP系统中的安全技术,特别涉及一种在电路交换IP多媒体子系统(IMS)组合服务(CSI)业务中应答请求的方法和设备。
背景技术
随着移动通信技术的发展,越来越多的新的通信技术应用到移动通信当中。移动通信的通信速度更快,通信服务的类型越多,给人们带来的通信也越方便。随着业务的增多以及新业务的不断涌现,如何方便,快速的开展业务成为人们关注的重点,为此,提出了IMS的概念。IMS是3G核心网络提供端到端多媒体业务和集群多媒体业务的中心,在3GPP R6版本中,IMS已经被定义为支持所有IP接入网的多媒体业务核心网,可以支持任何一种移动或者固定、有线或者无线IP接入网(IP-CAN)。IMS正逐渐成为一个通用的业务平台,通过IMS可以实现业务的快速开展和定制,为运营商带来巨大的效益。
基于IMS技术,运营商可以开展众多的业务,比如说流媒体业务、可视电话业务、CSI业务等。其中所谓的CSI业务,其全称是Combined CircuitSwitched(CS)and IP Multimedia Subsystem(IMS)sessions,也可以称作CSICS。其业务可以简单的表述为CS会话和IMS会话的并发,可以是用户在进行CS通话时建立一个端到端的IMS会话;也可以是用户在IMS会话时建立一个CS会话。
CSI基于3GPP和IETF的标准协议,实现在点到点的设备之间CS会话过程中并发IMS会话,以及在IMS会话过程中并发CS会话。通过CS和IMS会话的并发,可以实现CS电话过程中通过IMS进行内容的共享,包括视频 剪辑、音乐、图片、文字以及文件等。因此,CSI又被称为Share的技术。
为了实现CSI业务,终端必需同时支持CS连接以及IMS连接。IMS连接可以通过多种方式接入IMS核心网,可以是WCDMA,CDMA2000,WLAN,EDGE等无线网络,也可以通过XDSL等有线网络连接。其中CS网络主要提供高质量,实时的语音通信;IMS网络主要提供用户的端到端的寻址,终端能力的协商以及业务的控制功能。
CSI业务的实现主要有两种方式,即E2E和E2G的方式。现阶段而言,主要的设备厂商都采用的是E2E的方式。图1为E2E方式的网络结构图。在该方式中,主要的功能、特色和操作集中到终端来完成,IMS网络仅仅提供一个消息路由和转发的机制,辅助终端完成该业务。这种方式需要较强的终端能力,同时,由于主要的功能都有终端侧完成,因此,对整个IMS而言,不需要作太大的改动,基本上现存的网络就能够提供该业务。
除了上述的E2E方式而言,在业界也考虑采用一种E2G的方式。图2为E2G方式的网络结构图。在该方式中,将控制权从终端转移到系统侧。这种方式的控制加强了集中管理的能力,便于业务的开展,并且降低终端的负担。但是,与此同时,这种方式需要终端进行支持才能够提供业务;同时,这种方式需要对现存的网络进行改造,实现难度较前一种方式要大。
目前业界主要的实现方式是基于E2E的方式来提供内容共享的功能。终端利用现有的CS网络以及IMS核心网,就可以实现在语音通话的过程中对诸如视频剪辑、视频直播内容、音频、图片,文件等进行共享。在CSI会话建立之前,CSI终端之间需要通过能力协商阶段来实现终端之间能力信息的交互过程。目前,CSI终端能力的交互通过互相查询终端能力来实现,而两个终端互相查询的方法流程相同。下面就以CSI终端A查询CSI终端B的能力为例,说明目前CSI业务中查询CSI终端能力的方法流程。
图1给出了CSI终端A查询CSI终端B能力的流程。进行UE能力交互有几种原因:CSI终端A不知道CSI终端B的能力;CSI终端A本身的能力发生了变化;CSI终端B请求CSI终端A能力的时候,CSI终端A发 现CSI终端B的能力版本发生了变化。
具体地,如果第一次呼叫是标准的IMS呼叫过程,并且在呼叫信令中没有携带扩展的CSI的能力交互字段,呼叫过程中没有进行CSI终端的能力信息交互,那么CSI终端可以使用初始会话协议(SIP)的选项(OPTIONS)命令得到CSI终端的能力信息。在终端完成能力交互后,终端根据得到的对端业务能力信息将可用的业务类型反馈给用户。
在CSI业务过程中,不论首先发起的呼叫是IMS呼叫还是CS呼叫,用户都可以在通话过程中使用OPTIONS方法得到CSI终端的能力信息,这对于在通话过程中终端突然改变能力的场景是非常重要的。
如图3所示,查询终端能力的方法包括:
步骤301,CSI终端A向CSI终端B请求查询能力。
本步骤中,利用SIP OPTIONS消息发送查询请求。该OPTIONS消息里面有CSI终端B的URI,以及CSI终端A的URI或者MSISDN。表1即为发送的OPTIONS消息的具体例子。
OPTIONS request(终端1向终端2)
| OPTIONS tel:+12125552222 SIP/2.0 Via:SIP/2.0/UDP[5555::aaa:bbb:ccc:ddd]:1357;comp=sigcomp;branch=z9hG4bKnashds7 Max-Forwards:70 Route:<sip:pcscfl.visitedl.net:7531;lr;comp=sigcomp>,<sip:origscscfl.homel.net;lr> P-Preferred-Identity:<tel:+1-212-555-1111> P-Access-Network-Info:3GPP-UTRAN-TDD;utran-cell-id-3gpp=234151D0FCE11 Privacy:none From:<sip:user1_public1home1.net>;tag=171828 To:<tel:+12125552222> Call-ID:cb03a0s09a2sdfglkj490333 Cseq:127 OPTIONS Require:sec-agree Proxy-Require:sec-agree Security-Verify:ipsec-3gpp;q=0.1;alg=hmac-sha-1-96;spi-c=98765432;spi-s=87654321; port-c=8642;port-s=7531 Contact:<sip:[5555::aaa:bbb:ccc:ddd]:1357;comp=sigcomp> Accept-Contact:★,+g.3gpp.cs-voice,+g.3gpp.cs-video;explicit Allow:INVITE,ACK,CANCEL,BYE,PRACK,UPDATE,REFER,MESSAGE,OPTIONS Accept:application/sdp User-Agent:PMI-0007 Content-Length:0 |
表1
步骤302,IMS核心网A把SIP OPTIONS消息发送到IMS核心网B。
步骤303,IMS核心网B对SIP OPTIONS消息进行路由选择。
步骤304,IMS核心网B把SIP OPTIONS消息发送给CSI终端B。
步骤305,CSI终端B存储CSI终端A的地址。
步骤306-308,CSI终端B通过IMS核心网A和IMS核心网B向CSI终端A发送200OK消息,并在该消息中携带CSI终端B的能力描述。
本步骤中,CSI终端B向CSI终端A返回的应答消息如表2所示:
200(OK)response(终端2向终端1)
| SIp/2.0 200 OK Via:SIP/2.0/UDP pcscf2.visited2.net:5088;comp=sigcomp;branch=z9hG4bK361k21.1,SIP/2.0/UDP scscf2.home2.net;branch=z9hG4bK764z87.1,SIP/2.0/UDP icscf2_s.home2.net;branch=z9hG4bK871y12.1,SIP/2.0/UDP scscf1.home1.net;branch=z9hG4bK332b23.1,SIP/2.0/UDP pcscf1.visited1.net;branch=z9hG4bK240f34.1,SIP/2.0/UDP [5555::aaa:bbb:ccc:ddd]:1357;comp=sigcomp;branch=z9hG4bKnashds7 Record-Route:<sip:pcscf2.visited2.net:5088;lr;comp=sigcomp>>,<sip:scscf2.home2.net;lr>, <sip:scscf1.home1.net;lr>,<sip:pcscf1.visited1.net;lr> Privacy:none P-Access-Network-Info:3GPP-UTRAN-TDD;utran-cell-id-3gpp=123451D0FCE11 From:<sip:user1_public1home1.net>;tag=171828 To:<sip:user2_public1home2.net>;tag=314159 Call-ID:cb03a0s09a2sdfglkj490333 Cseq:127 OPTIONS Contact:<sip:user2_public1home2.net>;+g.3gpp.cs-voice,<tel:+12125552222> Allow:INVITE,ACK,CANCEL,BYE,PRACK,UPDATE,REFER,MESSAGE,OPTIONS Server:PMI-0EA2 Content-Type:application/sdp Content-Length:(...) v=0 o=-2987933615 2987933617 IN IP6 5555::eee:fff:aaa:bbb s=- c=IN IP6 5555::eee:fff:aaa:bbb t=0 0 m=message 0 TCP/MSRP ★ a=accept-types:text/plain text/html message/cpim image/jpeg image/gif video/3gpp a=max-size:65536 m=video 0 RTP/AVP 96 a=rtpmap:96 H263-2000/90000 m=audio 0 RTP/AVP 97 a=rtpmap:97 AMR/8000 |
表2
步骤309,CSI终端A保存CSI终端B的能力描述。
按照上述方法进行CSI终端间的能力查询后,即可以建立CSI呼叫。
在上述步骤306-308中,CSI终端B反馈了自己三种媒体处理能力,包括MSRP、H.263视频能力和AMR音频能力,并且详细给出了每种媒体处理能力的具体细节参数。事实上,CSI终端B反馈这些信息需要耗费很多的终端系统资源。
发明内容
在图3所示的CSI终端能力查询方法中,如果存在一台恶意终端频繁发起OPTIONS命令,反复要求CSI终端B发送能力信息,CSI终端B由于每次返回媒体能力信息都需要占用大量的系统资源,很有可能导致整个系统响 应用户指令慢,或者无法响应其他终端的正常呼叫请求。甚至终端的软件系统如果在设计上存在缺陷,缺乏系统冗余保护,整个操作系统可能在频繁响应能力查询的过程中崩溃。
另外,CSI终端有多种媒体能力,对于某些应用来说,终端每次收到OPTIONS消息后,反馈所有的媒体能力没有必要,并且会带来安全隐患。特别是如果有一台恶意终端,利用某一个媒体通信能力的缺陷对终端发动攻击,后果会非常严重。
综上所述,目前的CSI业务中查询终端能力的方法,在遇到恶意攻击时,会大大降低系统性能,影响正常呼叫的建立。同时,对于CSI业务中其它诸如连接建立的请求消息,也同样存在被恶意终端利用的安全漏洞,过于频繁地处理请求消息,会造成CSI终端拥塞,甚至导致系统崩溃。
有鉴于此,本发明实施例提供一种应答请求的方法,能够防止利用CSI业务中的请求对CSI终端进行恶意攻击,提高系统性能。
本发明实施例还提供一种应答请求的设备,该终端能够防止利用CSI业务中的请求对CSI终端进行恶意攻击,提高系统性能。
本发明实施例采用如下的技术方案:
一种应答请求的方法,适用于电路交换IP多媒体子系统IMS组合服务CSI业务,该方法包括:
配置请求消息黑白名单,所述请求消息黑白名单包括请求消息黑名单和请求消息白名单,所述请求消息白名单中记录了允许所述请求的终端,所述请求消息黑名单中记录禁止所述请求的终端;
当其它终端向CSI终端发送能力查询请求时,根据所述请求消息黑白名单,判断发送请求的终端所属名单,当所述发送请求的终端属于请求消息白名单时,则接受该终端的能力查询请求;当所述发送请求的终端属于请求消息黑名单时,则拒绝该终端的能力查询请求;
所述接受该终端的能力查询请求为,向该终端反馈所述CSI终端的能力信息,所述拒绝该终端的能力查询请求为,不向该终端反馈所述CSI终端的能力 信息;
在所述请求消息白名单中进一步包括能力查询限制表项,所述接受该终端的能力查询请求进一步为:根据所述发送请求的终端对应的能力查询限制表项,提取能力查询应答列表,并将该列表中的能力信息反馈给所述发送请求的终端。
一种应答请求的设备,该设备包括:接收模块、黑白名单配置模块和判决模块,其中,
所述接收模块,用于接收其它终端发送的能力查询请求,并将该能力查询请求转发给所述判决模块;
所述黑白名单配置模块,用于配置并保存请求消息黑白名单,所述请求消息黑白名单包括请求消息黑名单和请求消息白名单,所述请求消息白名单中记录允许所述请求的终端,在所述请求消息黑名单中记录禁止所述请求的终端;所述判决模块,用于接收所述接收模块转发的能力查询请求,并根据所述黑白名单配置模块中保存的请求消息黑白名单,对发送请求的终端进行判断,当所述发送请求的终端属于请求消息白名单时,则接受该终端的能力查询请求,当所述发送请求的终端属于请求消息黑名单时,则拒绝该终端的能力查询请求;
所述判决模块进一步包括能力列表存储单元,用于保存所述终端设备的能力列表;
所述黑白名单配置模块中保存的请求消息白名单进一步包括能力查询限制表项;
所述判决模块,用于在确定接受该能力查询请求后,进一步从所述黑白名单配置模块中查询所述发送请求的终端对应的能力查询限制内容,并根据该内容,从所述能力列表存储单元中提取要反馈的能力信息。
由上述技术方案可见,本发明实施例中,配置请求消息黑白名单,来控制其它终端对CSI终端的请求。当其它终端向该CSI终端发送请求时,首先根据配置的请求消息黑白名单,判断发送请求的终端所属的名单,进而判断是否接受该发送请求的终端的请求。应用本发明实施例,就可以限制其它终端对CSI终端的各种请求,回避恶意终端的频繁请求,保证正常呼叫的建立,提高系统性能。
附图说明
图1为E2E方式的网络结构图。
图2为E2G方式的网络结构图。
图3为目前查询终端能力的方法流程图。
图4为本发明实施例在CSI业务中应答请求的方法总体流程图。
图5为本发明实施例一中CSI业务中应答请求的方法主要流程图。
图6为本发明实施例一中CSI业务中应答请求设备的主要结构图。
图7为本发明实施例二中CSI业务中应答请求的方法主要流程图。
图8为本发明实施例二中CSI业务中应答请求设备的主要结构图。
图9为本发明实施例三中查询CSI终端能力的方法主要流程图。
图10为本发明实施例三中CSI业务的终端设备的主要体结构图。
图11为利用终端主动检测的方式配置或修改请求消息黑白名单的主要流程图。
具体实施方式
为使本发明实施例的目的、技术手段和优点更加清楚明白,以下结合附图,对本发明实施例做进一步详细说明。
本发明实施例的基本思想是:在CSI终端配置请求消息黑白名单,来控制其它终端对该CSI终端的请求。当其它终端向该CSI终端发送请求消息时,该CSI终端首先根据配置的请求消息黑白名单,判断发送请求的终端所属的名单,进而判断是否接受该发送请求的终端的请求。
图4为本发明实施例的在CSI业务中应答请求的总体流程图。如图4所示,该方法包括:
步骤401,配置请求消息黑白名单。
步骤402,其它终端向CSI终端发送请求消息。
步骤403,参照配置的请求消息黑白名单,对发送请求的终端所属名单进行判断,若终端A属于请求消息白名单,则执行步骤404,若终端A属于请求消息黑名单,则执行步骤405。
步骤404,接受发送请求的终端的请求,并结束本查询流程。
步骤405,拒绝发送请求的终端的请求,并结束本查询流程。[0063] 本发明实施例中配置的请求消息黑白名单中分别记录禁止和允许请求的终端,对照该黑白名单,确定发送请求的终端是否具有请求权限。另外,当发送请求的终端位于白名单中,即具有请求权限后,还可以进一步要求其进行鉴权,从而进一步保证系统的安全性;或者,当发送的请求为能力查询请求时,也可以对进行查询的能力类型进行限制,以节省系统消耗、满足用户需求。
下面举三个实施例,分别说明基本的黑白名单判断的应答请求方法、带鉴权的应答请求方法和增加能力查询限制的能力查询方法的具体实施方式。在三个实施例中,均以进行能力查询请求为例说明具体的应答请求的实施方式。
实施例一:
本实施例中,采用基本的黑白名单判断判断是否允许其它终端的请求,并且,在黑白名单中,采用终端的地址来代表某终端。
图5即为本发明实施例一中CSI业务中应答请求的方法主要流程图。如图5所示,该方法包括:
步骤501,在CSI终端中配置请求消息黑白名单。
本步骤中,可以采用用户主动配置的方式进行请求消息黑白名单的配置。本实施例中,采用终端的地址信息来代表某终端,如利用SIP地址代表终端,也就是说,终端列表实际上为终端的地址列表。
通过上述方式对CSI终端配置请求消息黑白名单后,若存在终端A,请 求查询配置了请求消息黑白名单的CSI终端的能力时,则执行以下的操作:
步骤502,终端A向CSI终端发送能力查询请求。
本实施例中,采用SIP OPTIONS命令进行能力查询。
步骤503,CSI终端接收终端A发送的能力查询请求,并对终端A所属的列表进行判断,若终端A属于请求消息白名单,则执行步骤504,若终端A属于请求消息黑名单,则执行步骤505。
本步骤中,判断终端A所属名单的方式为,从CSI终端接收的OPTIONS消息中提取终端A的地址信息,如SIP地址,比较该地址信息和CSI终端中保存的黑白名单中的地址信息,确定终端A的地址信息存储在哪个列表中,则该终端即属于该名单。
步骤504,向终端A返回CSI终端的能力信息,并结束本查询流程。
步骤505,返回拒绝信息,通知终端A禁止其查询CSI终端的能力信息,并结束本查询流程。
上述即为本实施例中应答能力查询请求的方法具体流程。本实施例中还提供了CSI业务中的终端设备的具体实施方式,可以用于实施上述方法流程。图6即为本发明实施例一中CSI业务中应答请求设备的主要结构图。如图6所示,该设备600包括:接收模块601、黑白名单配置模块602和判决模块603。
在该设备600中,接收模块601,用于接收其它终端发送的请求,并将该请求转发给判决模块602。
黑白名单配置模块602,用于接受配置生成并保存请求消息黑白名单。
判决模块603,用于接收接收模块601转发的请求,并参照黑白名单配置模块602中保存的请求消息黑白名单,对发送请求的终端进行判断,当发送请求的终端属于请求消息白名单时,则接受该终端的请求,当发送请求的终端属于请求消息黑名单时,则拒绝该终端的请求。
由上述可见,本实施例中预先在CSI终端中配置请求消息黑白名单后,对该CSI终端内能力信息的查询就会受到请求消息黑白名单的限制,若请求 查询的终端属于请求消息黑名单,就不会向其返回能力信息,将恶意终端归入请求消息黑名单后,就可以回避恶意终端的攻击。
本实施例中,请求消息黑名单的配置是由用户主动完成的。事实上,还可以采用终端自动检测OPTIONS攻击并实时更新的方式。例如,定义一个攻击行为,以及相应的门限值,每当终端收到OPTIONS请求后,就对该OPTIONS命令进行一次计算,如果请求的频度超过了某一个门限值时,终端认为这是一种恶意攻击。发起恶意攻击的终端被直接加入禁止进行能力查询的终端列表,或者,在经过用户确认后,加入禁止查询的终端列表。加入终端类别的方式可以为,在禁止查询的终端列表中增加一条非法终端地址。之后的CSI终端可以根据更新后的终端列表,屏蔽攻击方发送的OPTIONS请求。
实施例二:
为增加系统的灵活性,终端可以在配置允许进行查询的终端列表时设置安全选项,对于来自某些终端的能力请求信息,要求进行鉴权操作。本实施例即在实施例一的基础上,对加入鉴权操作的查询终端能力的方法进行详细说明,具体的鉴权操作为密码鉴权。
图5为本发明实施例二中CSI业务中应答请求的方法主要流程图。如图5所示,该方法包括:
步骤501,在CSI终端中配置请求消息黑白名单。
本步骤中,由于CSI呼叫是建立在IMS呼叫基础上的,因此配置能力黑白名单的方式可以为:与IMS的呼叫黑白名单同步。具体地,在最初配置时,可以将IMS的呼叫黑名单作为请求消息黑名单,将IMS的呼叫白名单作为请求消息白名单。进一步地,可以根据用户需要,采用用户主动配置的方式,对请求消息黑白名单的内容进行相应的修改。当IMS的呼叫黑白名单发生变化时,也同时对请求消息黑白名单进行修改。如,当用户在IMS呼叫的黑名单中加入或删除一个非法终端时,自动在请求消息黑名单中加入或删除该非法终端;当用户在IMS呼叫的白名单中加入或删除一个合法终 端时,自动在请求消息白名单中加入或删除该合法终端。
本实施例中,在白名单中除包括允许进行能力查询的终端列表外,还可以进一步包括鉴权表项,由于鉴权操作采用密码鉴权的方式,因此该鉴权表项包括:该表项对应的终端是否需要进行密码验证,以及鉴权密码。
假定存在终端A,请求查询配置了请求消息黑白名单的CSI终端的能力时,执行以下的操作:
步骤702,终端A向CSI终端发送能力查询请求。
步骤703,CSI终端接收终端A发送的能力查询请求,并对终端A所属的名单进行判断,若终端A属于请求消息白名单,则执行步骤704及其后续步骤,若终端A属于请求消息黑名单,则执行步骤709。
本步骤中,判断终端A所属名单的方式与实施例一中相同,这里就不再赘述。
步骤704,CSI终端根据终端A对应的鉴权表项,判断终端A是否需要进行密码验证,若是,则执行步骤705及其后续步骤,否则执行步骤708。
步骤705,CSI终端判断接收到的能力查询请求中是否包含验证密码,若是,则执行步骤707及其后续步骤,否则执行步骤706及其后续步骤。
步骤706,CSI终端向终端A发送要求鉴权的消息,终端A收到该消息后,即重新发送携带验证密码的能力查询请求。
步骤707,CSI终端根据鉴权表项中的鉴权密码,判断能力查询请求中携带的验证密码是否合法,若是,则执行步骤708,否则执行步骤709。
步骤708,向终端A返回CSI终端的能力信息,并结束本查询流程。
步骤709,将能力查询请求丢弃,不向终端A反馈任何信息,并结束本查询流程。
上述即为本实施例中应答能力查询请求的方法具体流程。本实施例中还提供了CSI业务中的终端设备的具体实施方式,可以用于实施上述方法流程。图8即为本发明实施例二的CSI业务中应答请求设备的主要结构图。如图8所示,该设备800包括:接收模块801、黑白名单配置模块802和判决 模块803。
在该设备800中,接收模块801,用于接收其它终端发送的请求,并将该请求转发给判决模块802。
黑白名单配置模块802,用于接受配置生成并保存请求消息黑白名单,并在保存的请求消息白名单进一步包括鉴权表项。
判决模块803,用于接收接收模块801转发的请求,并参照黑白名单配置模块802中保存的请求消息黑白名单,对发送请求的终端进行判断,当发送请求的终端属于请求消息白名单时,进一步从黑白名单配置模块802中查询发送请求的终端是否需要进行鉴权,并进行鉴权,当发送请求的终端属于请求消息黑名单时,则拒绝该终端的请求。
本实施例中查询终端能力的方法与实施例一基本相同。区别在于:一、在配置能力查询白名单时,进一步包括安全选项的设置。具体为:在请求消息白名单中增加一个鉴权表项,表明对应的终端是否需要进行鉴权操作以及进行鉴权操作时的鉴权密码;二、在判断是否反馈CSI终端能力信息时,本实施例进一步包括图7所示的步骤704-707,判断发送能力查询请求的终端A是否需要进行鉴权,以及详细介绍了进行鉴权的全过程。
事实上,在进行鉴权操作时也可以采用私有密钥签名的方式。在这种方式下,鉴权表项中保存的鉴权信息为私有密钥签名的结果。当被叫方向主叫发送要求鉴权的消息后,主叫即将私有密钥签名的结果返回到被叫方,被叫方通过接收到的私有密钥签名的结果和鉴权表项中保存的内容进行比对,来实现用户身份识别。
在本实施例中,配置请求消息黑白名单的方式为与IMS呼叫的黑白名单同步的,在该方式中,具体是根据IMS呼叫的黑白名单配置请求消息黑白名单。事实上,另一种方式可以为:采用用户主动配置的方式自定义地配置专用黑白名单,而用于进行黑白名单判断的请求消息黑白名单具体包括了用户配置的专用黑白名单和IMS呼叫的黑白名单。这样,由于能力查询名单本身包括了IMS呼叫的黑白名单,因此也就自然实现了与IMS呼叫的黑 白名单同步的目的。
通过本实施例中鉴权表项的增加,使得配置了请求消息黑白名单的CSI终端可以设定某些发送请求终端的安全等级,要求其进行鉴权,进一步增加了CSI终端的安全性。
实施例三:
根据用户需要以及节省不必要的系统消耗,可以在黑白名单中规定不需要反馈的终端能力描述类型,在终端确定可以反馈终端能力描述时,只需要反馈终端需要反馈的能力描述即可,从而满足用户需求,并节省系统消耗。本实施例即在实施例一的基础上,对此种实施方式进行详细说明。
图9为本发明实施例三中查询CSI终端能力的方法主要流程图。如图9所示,该方法包括:
步骤901,在CSI终端中配置请求消息黑白名单。
本步骤中,配置请求消息黑白名单的方式可以为:终端自动检测OPTIONS攻击,在发现并经过用户确认后,加入黑白名单。具体地,定义一个攻击行为,以及相应的门限值,每当终端收到OPTIONS请求后,就对该OPTIONS命令进行一次计算,如果请求的频度超过了某一个门限值时,终端认为这是一种恶意攻击。随后终端向用户界面报告,经用户认可以后,在黑白名单上增加一条非法SIP地址,之后的终端可以根据黑白名单,屏蔽攻击方发送的OPTIONS请求。例如,用户设置:如果在10秒钟对CSI终端进行10次的连接,那么可以认为它是恶意的攻击者,可以自动加入到黑名单当中。
本实施例中,在白名单中除包括允许进行能力查询的终端列表外,还可以进一步包括能力查询限制表项,该表项中记录不允许查询的能力类型。
假定存在终端A,请求查询配置了终端列表的CSI终端的能力时,执行以下的操作:
步骤902,终端A向CSI终端发送能力查询请求。
步骤903,CSI终端接收终端A发送的能力查询请求,并对终端A所属 的列表进行判断,若终端A属于允许进行能力查询的列表,则执行步骤904及其后续步骤,若终端A属于禁止进行能力查询的列表,则执行步骤905。
本步骤中,判断终端A所属列表的方式与实施例一中相同,这里就不再赘述。
步骤904,CSI终端根据终端A对应的能力查询限制表项,提取能力查询应答列表,并将该列表中的能力信息反馈给所述发送请求的终端,并结束本查询流程。
本步骤中,CSI终端在白名单中查找到终端A,并确定该终端对应的能力查询限制的具体要求,如限制进行视频通话,则在提取能力查询应答列表时,不再提取与视频通话相关的能力信息。
步骤905,将能力查询请求丢弃,不向终端A反馈任何信息,并结束本查询流程。
本实施例中查询终端能力的方法与实施例一相比的区别在于,步骤501中配置允许进行能力查询的终端列表时,或在业务进行过程中,在白名单中,对于不同的终端,规定不希望反馈的终端能力描述类型。于是,CSI终端就可以根据发送能力查询请求的不同终端,反馈不同的能力描述类型。
举个例子,如果用户出于某种原因,不希望在与终端A的MSRP会话中共享多媒体信息,如Jpg图片,或者3gpp格式的视频,那么终端用户可以在白名单中进行设置,在与终端A对应的能力查询限制表项中填入Jpg图片,或者3gpp格式的视频。当CSI终端完成设定后,该CSI终端如果再收到终端A发送的OPTIONS请求,就不会返回这方面的能力信息了。
当然在设置限制查询的能力时,也可以一同对所有终端的该项能力查询进行限制。
上述即为本实施例中应答能力查询请求的方法具体流程。本实施例中还提供了CSI业务中的终端设备的具体实施方式,可以用于实施上述方法流程。图10即为本发明实施例三的CSI业务中应答请求设备的主要结构图。如图10所示,该设备1000包括:接收模块1001、黑白名单配置模块1002 和判决模块1003,其中,判决模块1003包括能力列表存储单元1003a。
在该设备1000中,接收模块1001,用于接收其它终端发送的请求,并将该请求转发给判决模块1002。
黑白名单配置模块1002,用于接受配置生成并保存请求消息黑白名单,并在保存的请求消息白名单进一步包括能力查询限制表项。
判决模块1003,用于接收接收模块1001转发的请求,并参照黑白名单配置模块1002中保存的请求消息黑白名单,对发送请求的终端进行判断,当发送请求的终端属于请求消息白名单时,进一步从黑白名单配置模块1002中查询发送请求的终端对应的能力查询限制内容,并根据该内容,从能力列表存储单元1003a中提取要反馈的能力信息,当发送请求的终端属于请求消息黑名单时,则拒绝该终端的请求。
能力列表存储单元1003a,用于保存本终端设备的能力列表。
本实施例中配置请求消息黑白名单时,在实施例一配置的请求消息黑白名单基础上,进一步在白名单中加入了能力查询限制的表项;实施例二中配置请求消息黑白名单时,在实施例一配置的请求消息黑白名单基础上,进一步在白名单中加入了鉴权表项。
当然,也可以在实施例一配置的请求消息黑白名单基础上,进一步在白名单中同时加入鉴权表项和能力查询限制表项。CSI终端在进行是否反馈自身能力信息的判断时,首先进行黑白名单判断,若属于白名单,则进一步根据鉴权表项判断是否需要鉴权,继而在请求的终端通过鉴权后,根据能力查询限制表项,有选择地反馈CSI终端的能力信息。
通过上述能力查询限制表项的增加,使得配置了请求消息黑白名单的CSI终端能够控制向终端反馈的能力信息列表,对于CSI终端不希望开展的业务,可以不在反馈的能力信息中标识,这样,接收到反馈能力信息的终端不能了解到CSI终端的此方面能力。进一步提高了CSI终端的灵活性。
实施例三中,在配置请求消息黑白名单时,采用的是终端自动检测OPTIONS攻击结合用户确认的方式。具体地,预先设定攻击行为,当终端 自动检测到该攻击行为后,根据设定的策略,配置和修改请求消息黑白名单。
其中,设定的攻击行为可以是:发送请求的频度超过预设的门限;和/或,需要鉴权的终端鉴权失败的次数超过预设的门限。设定的策略可以是:当CSI终端检测到攻击行为时,将发起该攻击行为的终端列入黑名单;或者,当CSI终端检测到攻击行为时,将该攻击行为上报,在得到用户的确认后,将发起该攻击行为的终端列入黑名单。
下面举个具体的例子来说明上述对请求消息黑白名单的配置和修改。在本例中,假定设定的攻击行为是:发送OPTIONS请求的频度超过10次/秒;设定的策略是:当CSI终端检测到攻击行为时,将该攻击行为上报,在得到用户的确认后,将发起该攻击行为的终端列入黑名单。如图11所示,具体包括:
步骤1101,CSI终端空闲,准备接收请求。
步骤1102,CSI终端接收到终端A发送的一条OPTIONS命令。
步骤1103,统计在1s内收到终端A的OPTIONS请求数量。
步骤1104,判断步骤1103中得到的数量是否超过10,若是,则执行步骤1105,否则返回步骤1101。
步骤1105,通过CSI终端界面向用户告警,将该攻击行为上报用户。
步骤1106,用户输入选择。
本例中,该选择为是否将终端A加入请求消息黑名单。
步骤1107,判断用户确认的在步骤1106中的输入,若确认将终端A加入请求消息黑名单,则执行步骤1108,否则执行步骤1109。
步骤1108,将终端A加入请求消息黑名单,并结束本流程。
步骤1109,将终端A的OPTIONS请求数量统计归0,并结束本流程。
经过上述过程,就可以对请求消息黑白名单进行配置或修改。当然可以设定其它的攻击行为和相应策略,应用该攻击行为和策略后,具体配置或修改请求消息黑白名单的方式与上例相同,这里就不再赘述。
以上即为本发明实施例的CSI业务中应答请求的方法和终端设备的具 体实施方式。在本发明的实施例中,均是以其它终端向某配置了请求消息黑白名单的CSI终端发送OPTIONS命令作为能力查询请求为例进行的,当然,对于向CSI终端发送其它请求,也可以采用本发明实施例中的方式处理。如连接建立请求,该请求可以通过SIP INVITE命令发送,针对该请求建立黑白名单的方式以及判决是否接受该请求的方式与上述实施例均相同,只是建立的黑白名单具体内容可能会有所差异,在接受和拒绝请求后进行的操作不同。而针对于不同的请求,黑白名单的具体内容以及在接受和拒绝该请求时应进行的操作,是本领域技术人员能够掌握的内容,这里就不再赘述。
另外,上述实施例均以在CSI终端内配置黑白名单为例,说明CSI业务中应答请求的具体实施。当然,在E2G网络结构中,也可以在服务器实现本发明实施例的方法和设备,具体包括黑白名单的配置以及是否接受用户请求的判断;或者也可以由服务器和CSI终端配合完成上述操作。具体配置黑白名单的方法和利用该黑白名单判断是否接受用户请求的方式,与上述实施方式相同,这里就不再赘述。
以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种应答请求的方法,适用于电路交换IP多媒体子系统IMS组合服务CSI业务,该方法包括:
配置请求消息黑白名单,所述请求消息黑白名单包括请求消息黑名单和请求消息白名单,所述请求消息白名单中记录了允许所述请求的终端,所述请求消息黑名单中记录禁止所述请求的终端;
当其它终端向CSI终端发送能力查询请求时,根据所述请求消息黑白名单,判断发送请求的终端所属名单,当所述发送请求的终端属于请求消息白名单时,则接受该终端的能力查询请求;当所述发送请求的终端属于请求消息黑名单时,则拒绝该终端的能力查询请求;
所述接受该终端的能力查询请求为,向该终端反馈所述CSI终端的能力信息,所述拒绝该终端的能力查询请求为,不向该终端反馈所述CSI终端的能力信息;
在所述请求消息白名单中进一步包括能力查询限制表项,所述接受该终端的能力查询请求进一步为:根据所述发送请求的终端对应的能力查询限制表项,提取能力查询应答列表,并将该列表中的能力信息反馈给所述发送请求的终端。
2.根据权利要求1所述的方法,其特征在于,在所述请求消息白名单中进一步包括鉴权表项,该鉴权表项包括:该表项对应的终端是否需要进行鉴权的信息和鉴权时所需的鉴权信息。
3.根据权利要求2所述的方法,其特征在于,在判断出所述发送请求的终端属于请求消息白名单后,并接受该终端的请求前,进一步包括:
a1、根据所述发送请求的终端对应的鉴权表项,判断所述发送请求的终端是否需要进行鉴权,若是,则执行步骤a2-a4,否则继续执行所述接受该终端请求的操作,并结束本流程;
a2、判断接收到的请求中是否包含鉴权信息,若是,则执行步骤a4,否则向所述发送请求的终端发送要求鉴权的消息,并执行步骤a3;
a3、所述发送请求的终端接收到要求鉴权的消息后,重新发送携带鉴权信息的请求;
a4、根据所述鉴权表项中的鉴权信息,判断请求中携带的鉴权信息是否合法,若是,则鉴权成功,继续执行所述接受该终端请求的操作,否则鉴权失败,拒绝该终端的请求。
4.根据权利要求1所述的方法,其特征在于,所述能力查询请求为初始会话协议SIP的选项OPTIONS命令。
5.根据权利要求1所述的方法,其特征在于,该方法进一步包括对所述请求消息黑白名单进行修改。
6.根据权利要求5所述的方法,其特征在于,所述配置或修改请求消息黑白名单为:
用户配置或修改请求消息黑白名单;
或者,利用IP多媒体子系统IMS呼叫的黑白名单配置或修改请求消息黑白名单;
又或者,在检测到预设的攻击行为后,根据设定的策略,配置或修改请求消息黑白名单。
7.根据权利要求6所述的方法,其特征在于,所述利用IMS呼叫的黑白名单修改允许和禁止进行能力查询的终端列表为:
当IMS呼叫的黑名单上加入或删除一个非法用户时,在所述请求消息黑名单中加入或删除该非法用户;当IMS呼叫的白名单上加入或删除一个合法用户时,在所述请求消息白名单中加入或删除该合法用户。
8.根据权利要求6所述的方法,其特征在于,所述利用IMS呼叫的黑白名单配置或修改请求消息黑白名单为:
所述请求消息白名单进一步包括IMS呼叫白名单中列举的终端,所述请求消息黑名单进一步包括IMS呼叫黑名单中列举的终端。
9.根据权利要求6所述的方法,其特征在于,所述攻击行为为:发送请求的频度超过预设的门限;和/或,需要鉴权的终端鉴权失败的次数超过预设的门限。
10.根据权利要求6所述的方法,其特征在于,所述策略为:当终端检测到攻击行为时,将发起该攻击行为的终端列入黑名单;或者,当终端检测到攻击行为时,将该攻击行为上报,在得到用户的确认后,将发起该攻击行为的终端列入黑名单。
11.一种应答请求的设备,其特征在于,该设备包括:接收模块、黑白名单配置模块和判决模块,其中,
所述接收模块,用于接收其它终端发送的能力查询请求,并将该能力查询请求转发给所述判决模块;
所述黑白名单配置模块,用于配置并保存请求消息黑白名单,所述请求消息黑白名单包括请求消息黑名单和请求消息白名单,所述请求消息白名单中记录允许所述请求的终端,在所述请求消息黑名单中记录禁止所述请求的终端;所述判决模块,用于接收所述接收模块转发的能力查询请求,并根据所述黑白名单配置模块中保存的请求消息黑白名单,对发送请求的终端进行判断,当所述发送请求的终端属于请求消息白名单时,则接受该终端的能力查询请求,当所述发送请求的终端属于请求消息黑名单时,则拒绝该终端的能力查询请求;
所述判决模块进一步包括能力列表存储单元,用于保存所述终端设备的能力列表;
所述黑白名单配置模块中保存的请求消息白名单进一步包括能力查询限制表项;
所述判决模块,用于在确定接受该能力查询请求后,进一步从所述黑白名单配置模块中查询所述发送请求的终端对应的能力查询限制内容,并根据该内容,从所述能力列表存储单元中提取要反馈的能力信息。
12.根据权利要求11所述的设备,其特征在于,
所述黑白名单配置模块中保存的请求消息白名单进一步包括鉴权表项;
所述判决模块,用于在确定发送请求的终端属于请求消息白名单后,进一步从所述黑白名单配置模块中查询所述发送请求的终端是否需要进行鉴权,并进行鉴权。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101457683A CN101193068B (zh) | 2006-11-21 | 2006-11-21 | 一种应答请求的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101457683A CN101193068B (zh) | 2006-11-21 | 2006-11-21 | 一种应答请求的方法和设备 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710163103.XA Division CN101192920B (zh) | 2006-11-21 | 2006-11-21 | 一种应答请求的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101193068A CN101193068A (zh) | 2008-06-04 |
| CN101193068B true CN101193068B (zh) | 2011-11-16 |
Family
ID=39487826
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101457683A Active CN101193068B (zh) | 2006-11-21 | 2006-11-21 | 一种应答请求的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101193068B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101192920B (zh) * | 2006-11-21 | 2015-04-29 | 华为技术有限公司 | 一种应答请求的方法和设备 |
| FR2947363A1 (fr) * | 2009-06-25 | 2010-12-31 | St Microelectronics Sas | Authentification d'un couple terminal-transpondeur electromagnetique par le transpondeur |
| CN102137059B (zh) * | 2010-01-21 | 2014-12-10 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
| US8656492B2 (en) * | 2011-05-16 | 2014-02-18 | General Electric Company | Systems, methods, and apparatus for network intrusion detection |
| CN102801694B (zh) | 2011-05-27 | 2015-07-08 | 阿尔卡特朗讯公司 | 基于灰名单实现第三方认证的方法和系统 |
| US10063495B2 (en) | 2012-02-14 | 2018-08-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for improved handling of IMS node blacklisting |
| US9949314B2 (en) * | 2014-09-23 | 2018-04-17 | Qualcomm Incorporated | Support blacklisting devices on WLAN access |
| CN105450619A (zh) * | 2014-09-28 | 2016-03-30 | 腾讯科技(深圳)有限公司 | 恶意攻击的防护方法、装置和系统 |
| CN104834292A (zh) * | 2015-04-27 | 2015-08-12 | 北京华泰诺安科技有限公司 | 一种同步核生化监控数据的方法 |
| CN107995218A (zh) * | 2017-12-19 | 2018-05-04 | 云宏信息科技股份有限公司 | 鉴权方法及装置 |
| CN110113719A (zh) * | 2018-02-01 | 2019-08-09 | 普天信息技术有限公司 | 一种基于宽带集群系统的呼叫限制方法和设备 |
| CN110401669B (zh) * | 2019-07-31 | 2021-06-11 | 广州方硅信息技术有限公司 | 一种身份校验方法及相关设备 |
| CN116235467A (zh) * | 2020-07-30 | 2023-06-06 | 华为技术有限公司 | 一种关联控制方法及相关装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859644A (zh) * | 2005-12-30 | 2006-11-08 | 华为技术有限公司 | 临时群组的会话请求方法 |
| CN101192920A (zh) * | 2006-11-21 | 2008-06-04 | 华为技术有限公司 | 一种应答请求的方法和设备 |
-
2006
- 2006-11-21 CN CN2006101457683A patent/CN101193068B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859644A (zh) * | 2005-12-30 | 2006-11-08 | 华为技术有限公司 | 临时群组的会话请求方法 |
| CN101192920A (zh) * | 2006-11-21 | 2008-06-04 | 华为技术有限公司 | 一种应答请求的方法和设备 |
Non-Patent Citations (2)
| Title |
|---|
| Sharing everyday experiences.Ericsson Review 1.2006,(1),第16-19页. |
| Sharing everyday experiences.Ericsson Review 1.2006,(1),第16-19页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101193068A (zh) | 2008-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101193068B (zh) | 一种应答请求的方法和设备 | |
| CN101192920B (zh) | 一种应答请求的方法和设备 | |
| US9723584B2 (en) | System and method of providing a user with a registration review in IMS system | |
| US10609099B2 (en) | System and method for implementing media and media control transfer between devices | |
| US8767717B2 (en) | System and method of providing IMS services to users on terminating non IMS devices | |
| KR101139072B1 (ko) | Ims 기반 통신 개시 방법 | |
| US8134956B2 (en) | System and method of providing registration alert in an IMS system | |
| US9094260B2 (en) | Service controlling in a service provisioning system | |
| US8948752B2 (en) | System and method of providing IMS services to users on originating non IMS devices and other devices that do not have a previous relationship with the user | |
| US9306986B2 (en) | Method for controlling session and server using the same | |
| US20110040836A1 (en) | System and method for implementing media and media control transfer between devices | |
| US20100312832A1 (en) | System and method for implementing media and media control transfer between devices | |
| RU2426262C2 (ru) | Обработка сообщений в подсистеме мультимедиа на базе протокола ip | |
| US20090191873A1 (en) | System and method of registering users at devices in an ip multimedia subsystem (ims) using a network-based device | |
| CN101563903B (zh) | 用于向用户提供ip多媒体子系统通信服务的方法和设备 | |
| JP2008543135A (ja) | Ipマルチメディアサブシステム(ims)おける呼転送 | |
| US9246951B2 (en) | System and method of remotely de-registering devices in IMS system | |
| US9246950B2 (en) | System and method of providing registration macros in an IMS network-based device | |
| US20070217394A1 (en) | Ims Subscriber Access Control | |
| KR20070104197A (ko) | 무선통신 시스템의 정보 전달방법 및 이를 지원하는무선통신 단말기 | |
| US8798037B2 (en) | Apparatus and method for providing recording service in IP multimedia subsystem | |
| EP1914973B1 (en) | System and method to provide combinational services to anonymous callers | |
| CN111404865A (zh) | Ims系统加密通话方法、网络设备、终端及系统 | |
| WO2007056925A1 (fr) | Procede et materiel de controle de session dans un reseau ims | |
| CN101573939B (zh) | 用于向匿名呼叫者提供组合服务的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |