CN101317419B - 操作处理方法、装置及业务操作合法性判定方法及服务器 - Google Patents
操作处理方法、装置及业务操作合法性判定方法及服务器 Download PDFInfo
- Publication number
- CN101317419B CN101317419B CN2007800003188A CN200780000318A CN101317419B CN 101317419 B CN101317419 B CN 101317419B CN 2007800003188 A CN2007800003188 A CN 2007800003188A CN 200780000318 A CN200780000318 A CN 200780000318A CN 101317419 B CN101317419 B CN 101317419B
- Authority
- CN
- China
- Prior art keywords
- message
- network element
- type
- service
- hostname
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明提供一种操作处理方法、装置及业务操作合法性判定服务器,所述操作处理方法包括:接收对端网元发送的业务消息;根据该业务消息确定所述网元的合法性;判断该合法网元发送的业务请求操作是否为合法业务操作;若是,则判断该网元发送的消息是否为服务器指派请求SAR消息,若是,则确定SAR消息中的指定操作;当该指定操作为合法操作时,执行所述指定操作。所述装置包括:接收单元、合法性确定单元、第一判断单元、第二判断单元、指定操作确定单元和判断执行单元。所述该业务操作合法性判定服务器包括:接口、解析单元和业务处理单元。以提高HSS侧用户数据安全性和合法操作的处理效率,完善HSS执行SAR消息流中指定操作处理过程。
Description
本申请分别要求于2006年4月24日、2007年2月1日提交中国专利局、申请号分别为200610076004.3、200710006445.0、发明名称分别为“IP多媒体子系统中的操作处理方法和归属签约用户服务器”、“一种对网元业务操作合法性进行判定的方法和服务器”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明涉及网络通信技术领域,具体涉及一种操作处理方法、装置及业务操作合法性判定方法及服务器。
背景技术
IMS(IP Multimedia Subsystem,IP多媒体子系统)核心部分主要包括P-CSCF、I-CSCF、S-CSCF、HSS以及AS等网元。P-CSCF提供代理功能,即接受业务请求并转发它们;I-CSCF提供本域用户服务节点分配、路由查询以及IMS域间拓朴隐藏功能;S-CSCF负责对UE的注册鉴权和会话控制,执行针对主叫端及被叫端IMS用户的基本会话路由功能,并根据用户签约的IMS触发规则,在条件满足时进行到AS的增值业务路由触发及业务控制交互;HSS是归属网络中保存IMS用户的签约信息,包括基本标识、路由信息以及业务签约信息等集中综合数据库;AS主要为IMS用户提供IP多媒体增值业务。IMS新引入了IMPI(IMS Private Identity,IMS私有标识)和IMPU(IMS Public Identity,IMS公共标识)两种用户标识,其中,IMPI为IMS用户私有标识,用来标识UE(UserEquipment,用户设备),并与UE对应;IMPU为IMS用户的公共标识,是用来标识彼此通信的一种符号,相当于电话号码。用户的状态是指IMPI-IMPU对的状态。
注册流程是UE与网络进行双向鉴权认证和分配网络资源的过程,用户的注册状态包括:鉴权未决(Authentication Pending)、已注册(Registered)、非注册业务状态(Unregistered)和未注册(Not registered)4种状态,上述四种注册状态可以互相转换。
注销流程是释放为UE分配的各种资源的过程,与注册功能相对应。根据发起对象的不同,注销又可分为UE注销和网络注销两种,其中,网络注销可进一 步划分为HSS(Home Subscriber Server,归属签约用户服务器)发起的网络注销和S-CSCF(Serving Call Session Control Function,服务呼叫会话控制功能)发起的网络注销。
UE首次注册由UE在首次接入IMS网络如UE开机时发起,UE经过P-CSCF进入IMS网络,整个注册过程如附图1所示。
图1中,在步骤1、UE在拜访网络获得与IP网络互连的通路后,通过该通路发送SIP(Session Initiated Protocol,起始会话协议)注册消息流到P-CSCF(ProxyCSCF,代理CSCF)。SIP注册消息流的主要IE(Information Element,信元)包括:IMPU,IMPI,归属网域名和UE的IP地址。
到步骤2、P-CSCF接收到SIP注册消息流后,通过查询归属网域名找到归属网的I-CSCF(Interrogating CSCF,查询CSCF),并将注册消息流转发给I-CSCF,转发的注册消息流的主要IE包括:P-CSCF地址或域名,IMPU,IMPI,P-CSCF网络标识和UE的IP地址。
到步骤3、I-CSCF通过向HSS发送UAR(用户授权请求)消息流进行UE接入权限认证,消息流主要IE包括IMPU,IMPI和P-CSCF网络标识。
步骤3中,HSS检查UE是否已经注册,根据UE签约以及运营商的约束决定是否允许UE通过该P-CSCF进行注册,如果允许UE通过P-CSCF的注册,到步骤4。
到步骤4、HSS判断是否允许该用户检入,如果允许该用户检入,则UAA(用户授权应答)作为UAR的响应消息流由HSS发送给I-CSCF,响应消息流主要反馈可供UE服务的S-CSCF名称(本文也称为S-CSCF网元名称)或能力。如果HSS知道UE的S-CSCF名称,则返回S-CSCF名称。在有必要重新选择S-CSCF时,HSS应该返回S-CSCF能力。当UAA中包含S-CSCF名称和能力时,I-CSCF可以执行一个新S-CSCF的指派。当UAA中只有能力返回时,I-CSCF应该基于返回的能力进行新S-CSCF的选择。到步骤5。
在步骤4,如果确定出检入HSS不成功,则HSS应该返回拒绝尝试注册的UAA,本次注册过程结束。
在步骤5、I-CSCF通过域名-地址机制,利用S-CSCF名称确定S-CSCF的IP地址,同时,通过基于HSS返回的信息也确定相匹配的归属网络接入点。然后 I-CSCF将注册消息流发送给选定的S-CSCF。
到步骤6、S-CSCF将向HSS发送MAR(媒体鉴权请求)消息流进行鉴权五元组申请,该消息流主要IE包括:IMPU、IMPI、S-CSCF名称、申请的鉴权五元组数量和申请的鉴权模式。
到步骤7、HSS为该UE保存下发的S-CSCF名称,同时,在将该UE的注册状态置为鉴权未决(Authentication Pending)后,返回MAA(媒体鉴权应答)消息流给S-CSCF,返回的MAA主要IE包括:IMPU、IMPI、鉴权五元组数量和所有的鉴权五元组。
从步骤8到步骤15,S-CSCF将申请到的其中一组鉴权五元组用于UE与IMS网络之间的双向认证过程。
到步骤16,S-CSCF向HSS发送SAR(Server-Assignment-Request,服务器指派请求)注册通知消息流,该消息流的主要IE包括:IMPU、IMPI和S-CSCF名称。
到步骤17、如果SAR为注册通知消息,并且请求的S-CSCF名称和HSS已保存的相一致,HSS清除UE的鉴权未决(Authentication Pending)状态,并将注册状态置为已注册(Registered)后,通过SAA(Server-Assignment-Answer,服务器指派应答)消息流向S-CSCF下发UE相关的用户数据和计费信息。
从步骤18到步骤20、S-CSCF将注册成功的SIP消息流通过I-CSCF、P-CSCF通知UE。
在图1中,介绍了UE首次发起注册,即首次接入IMS网络的全过程。与注册过程相对应的过程是注销过程,注销又分为UE端发起的注销和IMS网络侧发起的注销两种。IMS网络侧发起的注销又分为:HSS发起的注销和S-CSCF发起的注销。当用户注册后,如果UE又要发起注销,下面介绍UE发起注销的过程。
请参阅图2,为现有技术中UE进行注销的流程示意图。图2所示,该流程包括:
步骤201:UE向P-CSCF发起注销消息,为了注销,UE发起一个期满时间值(expiration value)为零的SIP REGISTER请求。
其中,该注销消息中包括:IMPU、IMPI、归属网络域名和UE的IP地址。
步骤202:P-CSCF将注销消息发送给I-CSCF。
在本步骤中,P-CSCF根据步骤201中接收到的归属网络域名查找到I-CSCF,并将注销消息发送给该I-CSCF。
其中,该消息包括:P-CSCF的地址或域名、IMPU、IMPI、P-CSCF网络标识和UE的IP地址。
步骤203:I-CSCF向HSS发送UAR消息。
在本步骤中,I-CSCF向HSS发送UAR消息查询UE的状态,该消息包括:IMPI、IMPU、P-CSCF网络标识和I-CSCF主机名称。
步骤204:HSS应确定UE已经注册,同时向I-CSCF发送UAA消息。
在该UAA消息中携带当前为UE服务的S-CSCF网元名称和I-CSCF主机名称。
步骤205:I-CSCS向S-CSCF发送注销消息。
在本步骤中,I-CSCF根据域名-地址机制,利用步骤204中获取的S-CSCF网元名称查询出S-CSCF的IP地址,向该S-CSCF发送注销消息。
步骤206:S-CSCF通过SAR消息向HSS发送注销通知。
该SAR消息中包括:IMPU、IMPI、S-CSCF网元名称和主机名称。
步骤207:如果SAR请求的S-CSCF名称和HSS已经保存的相一致,HSS将UE的注册状态置换为Not registered或Unregistered。
在本步骤中,HSS应清除或者保留已保存的为UE服务的S-CSCF的网元名称,通过SAA消息向S-CSCF返回操作结果。
步骤208~步骤210:S-CSCF将注销成功的消息通过I-CSCF和P-CSCF发送给UE。
图1和图2所示的实施例,介绍了现有技术中UE进行注册和注销的过程,应用服务器(AS)是IMS中提供IP多媒体增值业务的网元,AS可以使用用户数据请求(UDR)消息向HSS查询数据,也可以使用订阅通知请求(SNR)消息向HSS订阅签约用户数据,下面介绍AS进行订阅的流程。
图3为现有技术中AS进行订阅的流程示意图。如图3所示,该流程包括以下步骤:
步骤301:AS向HSS发送用户数据更新请求(PUR)消息。
在本步骤中,AS通过PUR消息在HSS中为UE存储用户签约业务数据,例如,透明数据。
步骤302:HSS向AS发送用户数据更新响应(PUA)消息。
步骤303:UE向S-CSCF发起注册。
在本步骤中,UE发起注册的过程与图1所示注册方法相同,这里就不做赘述。
步骤304:UE下载用户签约数据。
在本步骤中,用户通过SAR消息从HSS下载用户签约数据,例如,用户初始过滤标准(IFC)。
步骤305:S-CSCF向用户发送200OK消息。
该消息标识操作成功。
步骤306:S-CSCF向AS发送第三方SIP消息。
S-CSCF通过发送第三方SIP消息到AS,通知UE已经注册成功。
步骤307:AS向S-CSCF发送200OK消息。
步骤308:AS向HSS发送UDR消息。
通过该消息从HSS下载数据,这些数据是提供业务所必需的数据,在该消息中携带AS的网元名称和主机名称。
步骤309:HSS向AS发送用户数据响应(UDA)。
在该消息中,携带AS要求下载的业务数据。
步骤310:AS向HSS发送SNR消息。
当业务数据发生变化时,AS通过该SNR消息向HSS订阅变化后的业务数据,在该消息中携带AS的网元名称和主机名称。
步骤311:HSS向AS发送订阅通知响应(SNA)消息。
HSS通过该SNA消息向AS反馈操作结果。
步骤312:更新HSS中的业务数据。
步骤313:HSS向AS发送更新通知请求(PNR)消息。
HSS向AS发送PNR消息,通知AS步骤310中的业务数据已经被更新。
步骤314:AS向HSS发送更新通知响应(PNA)消息。
AS通过该PNA消息通知HSS已经接收到该通知。
步骤315:AS决定更新HSS中的数据。
步骤316:AS向HSS发送PUR消息。
AS使用该PUR消息更新UE的业务数据。
步骤317:HSS向AS发送PUA消息。
HSS通过该PUA消息通知AS数据被更新的操作结果。
由上面的实施例可以看出,当UE注册时,会将S-CSCF网元名称和主机名称携带在MAR或SAR消息中;当UE或网络发起注销时,会将S-CSCF网元名称和主机名称携带在S-CSCF发起的网络注销操作的SAR消息中。
AS的网元名称和主机名称,携带在AS查询IFC数据的UDR消息和订阅用户IFC数据的SNR消息中。
上述MAR消息、SAR消息、UDR消息和SNR消息中均存在一个名为服务器-名称(Server-Name)的属性值对(AVP)和原始-主机(Origin-Host)的AVP,其中,Server-Name的AVP的值为S-CSCF的网元名称。
当I-CSCF发起的业务请求中携带UAR消息和即时位置请求(LIR)消息时,和当AS发起的业务请求中携带PUR消息时,在UAR消息、LIR消息和PUR消息中只携带主机名称,该主机名称为Origin-Host的AVP的值。
S-CSCF网元名称的命名格式符合SIP统一资源标识(URI),例如,sip:s-cscf@huawei.com是一个合法的S-CSCF网元名称;而主机名称的命名格式没有要求必须符合SIP URI的命名规则,比如s-cscf、s-cscf.huawei.com或sip:s-cscf@huawei.com等,都是合法的S-CSCF主机名称。AS的命名规则与S-CSCF的命名规则相同,比如,AS的网元名称可以为sip:as@huawei.com,主机名称可以命名为as、as.huawei.com或sip:as@huawei.com等等。
现有技术中,HSS对网元进行网元业务操作合法性判定的方法如下:HSS将自身预先配置的网元名称与网元携带的网元名称进行比较,如果相同,则认为该网元业务操作为合法网元业务操作,这些网元包括:S-CSCF、AS、I-CSCF等。
但是实际操作中,网元名称可以被网络中的其他网元所获取,例如,其他网元可以通过报文或网元维护工具来捕获该网元名称,由于其他任何网元都能够获取发起业务的S-CSCF网元名称,在上述UE注册、UE注销、UE被叫和 S-CSCF发起的网络注销操作中,如果其他非法网元以获取的S-CSCF的网元名称发起上述业务请求时,HSS仍然会判定网元发起的业务操作是合法网元业务操作,从而不能确保S-CSCF业务操作的合法性。
另外,当某AS在查询用户IFC数据,以及订阅用户IFC数据的操作中,任何一个AS均能够获取该AS的网元名称,并以该网元名称进行查询用户IFC数据,以及订阅用户IFC数据的操作,因为网元名称是正确的,所以HSS会判定该网元业务操作是合法的网元业务操作,不能确保携带UDR和SNR消息的AS业务操作的合法性。
此外,在I-CSCF发起的业务请求的UAR消息、LIR消息中,和AS发起的业务请求的PUR消息中只携带主机名称,所以HSS无法根据网元名称,对I-CSCF和携带所述PUR消息的AS进行网元业务操作合法性判定,从而无法确保I-CSCF和携带所述PUR消息的AS的业务操作的合法性。
由此可见,现有技术中,HSS对网元进行网元业务操作合法性判定主要是将自身已经保存的网元名称与网元请求消息携带的网元名称进行比较,如果相同,则认为该网元业务操作为合法网元业务操作,这些网元包括:S-CSCF、AS、I-CSCF等。但是,在实际操作中,网元名称可以被网络中的其他网元所获取,例如,其他网元可以通过报文捕获或网元维护工具来捕获该网元名称,由于其他任何网元都能够获取发起业务的S-CSCF网元名称,在上述UE注册、UE注销、UE被叫和S-CSCF发起的网络注销操作中,如果其他非法网元以获取的S-CSCF的网元名称发起上述业务请求时,HSS仍然会判定网元发起的业务操作是合法网元业务操作,从而不能确保S-CSCF业务操作的合法性。
另外,在如图1所示的UE注册流程中,所述SAR消息流中存在一个名为Server-Assignment-Type(服务器指派类型)的AVP(Attribute Value Pair,属性值对),该AVP的主要作用在于定义通知HSS执行的各种操作码,如首次注册、重注册、注销等,其取值包括NO_ASSIGNMENT(用户业务数据未指派);REGISTRATION(首次注册)RE_REGISTRATION(重注册)等12种(具体详见3GPP TS 29228协议规范)。但是,在现有的3GPP TS 29228协议规范针对上述SAR定义的操作只对用户合法性以及必须的处理作了规定,对于S-CSCF发起的各种操作的合法性没有作规定,如当用户为未注册的Unregistered状态时, S-CSCF发起重注册操作,如果HSS执行该重注册操作,则会给HSS中存储的数据带来操作安全上的隐患。
发明内容
本发明实施例提供一种操作处理方法、装置及业务操作合法性判定方法及服务器,以消除目前技术中HSS侧用户数据的安全隐患,并提高合法操作的处理效率问题。
为解决上述技术问题,本发明的实施例提供的一种操作处理方法,应用于IP多媒体子系统,所述方法包括:
接收网元发送的业务消息;
根据所述业务消息确定所述网元的合法性,具体包括:根据所述业务消息中指令码的属性值确定该网元的网元类型;根据业务请求获取所述网元的主机名称,并根据所述主机名称查找配置数据中对应的网元类型;将所确定的网元类型与查找到的网元类型进行比较,若二者相同,则所述网元的网元类型为合法网元类型;
判断合法的所述网元发送的业务请求操作是否为合法业务操作,具体包括:判断解析出的所述网元的主机名称、网元类型与预先配置的该网元的主机名称、网元类型是否一致,若是,则所述网元的业务请求操作为合法业务操作;
当所述业务请求操作为合法业务操作时,判断该网元发送的消息是否为服务器指派请求SAR消息,若是,则确定SAR消息中的指定操作;
当所述指定操作为合法操作时,执行所述指定操作。
另外,本发明的实施例还提供一种操作处理装置,应用于IP多媒体子系统,所述操作处理装置包括:
接收单元,用于接收网元发送的业务消息及获取对应的数据配置消息;
合法性确定单元,用于根据所述业务消息及数据配置消息确定所述网元的
合法性,具体包括:确定子单元,用于根据所述业务消息中指令码的属性值确定该网元的网元类型;获取查找子单元,用于根据业务请求获取所述网元的主机名称,并根据所述主机名称查找对应的网元类型;比较子单元,用于比较所确定的网元类型与查找到的网元类型是否相同,若相同,则所述网元的网元类型为合法网元类型;
第一判断单元,用于判断所述合法网元发送的业务请求操作是否为合法业务操作,并发送是合法业务操作的判断结果,具体包括:存储子单元,用于存储预先为网元配置的网元类型、主机名称和网元名称;判断子单元,与获取查找子单元相连,用于判断所获取该网元的网元类型、主机名称与预先配置该网元的网元类型、主机名称是否一致,若是,则判断所述网元的业务请求操作为合法业务操作;
第二判断单元,用于根据接收到判断结果,继续判断该网元发送的消息是否为服务器指派请求SAR消息;
指定操作确定单元,用于确定接收到所述SAR消息中的指定操作;
判断执行单元,与指定操作确定单元相连,用于判断所述SAR消息中的指定操作是否合法,并执行合法的指定操作。
由上述技术方案可知,本发明实施例通过判断网元类型是否合法,以及对网元业务操作合法性进行判定,确保了对网元业务操作合法性的准确判断,保证了用户数据安全和IMS业务的可靠性;然后再通过结合用户注册状态对SAR消息流中的指定操作进行合法性判断,对SAR消息流中的指定操作进行了过滤,避免了HSS执行非法操作的过程,减少非法操作对HSS资源的占用,同时,也减小了HSS中存储数据的安全隐患,提高合法操作的处理效率。
附图说明
图1是现有技术中首次注册的注册过程流程图;
图2是现有技术中用户注销过程流程图;
图3是现有技术中用户订阅过程的流程图;
图4是本发明实施例所述操作处理方法的流程图;
图5是本发明实施例操作处理方法中对网元业务操作合法性进行判定的流程图;
图6是本发明实施例操作处理方法中对网元业务操作合法性判断的另一流程图;
图7是本发明实施例操作处理方法中指定操作合法性判断的流程图;
图8是图7中所述判断SAR消息中的指定操作处理的流程图;
图9是图7中所述判断SAR消息中的指定操作处理的另一流程图;
图10是本发明实施例所述操作处理装置的结构示意图;
图11是本发明实施例对网元业务操作合法性进行判定的服务器的结构示意图;
图12是图11中所述业务数据处理单元的结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步的详细说明。
请参阅图4,为本发明实施例中操作处理方法的流程图,所述方法包括:
步骤301:接收网元发送的业务消息;
步骤302:根据所述业务消息确定所述网元的合法性;
步骤303:判断所述合法网元发送的业务请求操作是否为合法业务操作,若否,执行步骤307,结束;
步骤304:若是,则判断该网元发送的消息是否为服务器指派请求SAR消息,若是,则确定SAR消息中的指定操作(即步骤305);若不是,执行步骤307,结束;
步骤306:当所述指定操作为合法操作时,执行所述指定操作;
步骤307:按照现有的流程处理。
在本发明的实施例中,首先对请求业务操作从网元名称和/或主机名称进行合法性判断作第一道门槛补充;然后再对请求业务操作从业务逻辑的角度进行合法性补充,这是对业务较内部层次的一种完善性判断,从而可以确保业务数据的 安全性。
为了便于本领域技术人员的理解,下面分别对上述流程进行说明。
在步骤301至303中,预先配置网元的主机名称和网元名称;接收网元发起的业务请求,从该请求中解析出网元的主机名称,以及根据主机名称查找对应的网元类型;获取该网元请求的消息类型,并从该消息类型确定请求网元类型,然后比较所述获取的网元类型和查找到的网元类型进行比较,来判断该网元类型是否合法,若该请求网元的网元类型合法,再判断所获取的该网元的主机名称与预先配置的该网元得到主机名称是否相同,若相同,则判定该网元的业务操作为合法网元业务操作。当然,对请求业务操作从网元名称和/或主机名称进行合法性判断也可以独立存在于网络中,对网元的业务操进行合法性判断,也可以保证用户数据安全和IMS业务的可靠性。其具体的实现过程以图4和图5为例)。其具体的实现过程请参阅图4。
请参阅图5,为本发明实施例操作处理方法中对网元业务操作合法性进行判定的流程图,如图5所示,该方法包括:
步骤401:接收网元发起的业务请求,获取该网元发起的消息,解析出该网元的主机名称。
本步骤中,从网元发起的业务请求中获取主机名称,这里所指的网元可以是:I-CSCF或携带PUR消息的AS。
主机名称在相应的消息中携带:比如,在S-CSCF发起的MAR或SAR消息中携带S-CSCF的主机名称;在AS发起的PUR消息中携带AS的主机名称。
各消息中携带的Origin-Host的AVP中存放有主机名称。
步骤402:根据主机名称和网元发起的消息,判断该网元的网元类型是否合法,如果是,则执行步骤403;否则,执行步骤405。
在本步骤具体判定方法如下:根据该主机名称,在预先配置的网元类型编码表中查找对应的网元类型ID,根据该网元类型ID确定网元类型;根据网元发起的消息确定网元类型。将这两个网元类型进行比较,如果两者一致,则表示该网元类型为合法网元类型,则执行步骤403;否则,执行步骤405。这里所述的网元类型编码表是指,存放主机名称、网元类型ID和网元名称,及其对应关系的网元类型编码表。
在本步骤中,根据网元发起的消息确定网元类型的方法可以为:判断消息的类型,如果该消息至少包括:UAR消息和LIR消息两者中的一个,则确定该网元类型为I-CSCF;如果该消息至少包括:UDR消息,SNR以及PUR消息三者中的一个,则确定该网元类型为AS;如果消息中至少包括:MAR消息和SAR消息中的至少一个,可以确定该网元为S-CSCF。
步骤403:比较获取该网元的主机名称与预先配置的主机名是否相同,若相同,则执行步骤404;否则,执行步骤405。
其中,所述预先配置的主机名称是指,在步骤401之前预先配置该网元的主机名称。
步骤404:判定该网元业务操作为合法网元业务操作。
步骤405:判定该网元业务操作为非法网元业务操作,结束本流程。
在本实施例中,如果发起业务请求的网元是S-CSCF、或者携带查询IFC的UDR和订阅IFC的SNR消息,或者两者中的一个的AS时。步骤403之后还进一步包括:预先配置网元的网元名称,判断网元发起的消息中携带的网元名称和预先配置的网元名称是否一致,当一致时,执行步骤404的操作;否则执行步骤405的操作。需要指出的是,该判断网元名称是否一致的步骤可以在步骤403之前,即当网元名称一致时,再执行步骤403。
本发明实施例所涉及到的网元业务操作主要包括:
UE首次注册(REGISTRATION);UE重注册(RE_REGISTRATION);
非注册业务的UE被叫(UNREGISTERED_USER);
超时注销(TIMEOUT_DEREGISTRATION);
保存S-CSCF名称的超时注销(TIMEOUT_DEREGISTRATION_STORE_SERVER_NAME);
UE注销(USER_DEREGISTRATION);
保存服务S-CSCF名称的UE注销(USER_DEREGISTRATION_STORE_SERVER_NAME);
数据超长注销(DEREGISTRATION_TOO_MUCH_DATA);
管理注销(ADMINISTRATIVE_DEREGISTRATION);
鉴权失败注销(AUTHENTICATION_FAILURE);
鉴权超时注销(AUTHENTICATION_TIMEOUT);但并不限于此,也可以时其他等操。
请参阅图6,为本发明实施例操作处理方法中对网元业务操作合法性判断的另一流程图,如图6所示,具体包括:
步骤500:判断接收到的消息是否为UAR和LIR,或者两者中的一个,如果是,则执行步骤501;否则,执行步骤510。
在本步骤中,根据消息中已有的指令码(Command-Code)的属性值AVP判断消息的类型,所述Command-Code的AVP的不同值对应不同的消息类型,这点可参见相关协议规定,在此不再详细的描述。
步骤501:判断该I-CSCF是否为合法网元类型;如果是,则执行步骤502否则,执行步骤550
本步骤的具体实现如下:根据主机名称查询出网元类型ID,进一步由该网元类型ID确定网元类型。确定网元类型ID的具体操作如表1所示,表1为网元类型编码表。
表1
网元类型ID | 网元类型 | 主机名称 | 网元名称 |
1 | I-CSCF | xxx1 | sip:xxx1 |
2 | S-CSCF | xxx2 | sip:xxx2 |
3 | AS | xxx3 | sip:xxx3 |
4 | GGSN | xxx4 | 协议规范没有规定 |
5 | SGSN | xxx5 | 协议规范没有规定 |
6 | MSC Server | xxx6 | 协议规范没有规定 |
7 | GMSC Server | xxx7 | 协议规范没有规定 |
[0161]
因为在步骤501中,判断出网元发起的消息是UAR和LIR,或者两者中的一个;因此可以确定该网元为I-CSCF。在本步骤中通过两种途径获取的网元类型均为I-CSCF,因此可以判定该网元类型为合法网元类型I-CSCF,执行步骤502。
步骤502:判断I-CSCF主机名称是否匹配,如果匹配执行步骤540,否则,执行步骤550。
本步骤具体实现为:将从UAR或LIR消息中获取的主机名称与HSS预先配置在表1中的主机名称进行比较,如果该网元类型编码表中不存在与获得的主机名称相同的主机名称且网元类型相同的记录,则判定该网元业务操作为非法网元业务操作;否则,则判定该网元业务操作为合法网元业务操作。
步骤510:判断接收到的消息是否为MAR和SAR消息,或者两者中的一个,如果是,则执行步骤511;否则,执行步骤520。
在本步骤中,根据消息中的已有Command-Code的AVP的值判断消息的类型,Command-Code的AVP的不同值对应不同的消息类型,这点可参见相关协议规定,这里不再详述。
步骤511:判定该S-CSCF网元是否为合法网元类型,如果是,则执行步骤512;否则,执行步骤550。
该步骤的具体实现与步骤501完全一致,只是消息类型和网元类型不同,在此不再赘述。
步骤512:判断S-CSCF网元名称和主机名称是否匹配,如果匹配是,则执行步骤540;否则,执行步骤550。
本步骤具体实现为:将从MAR或SAR消息中获取的主机名称,与表1中配置的主机名称进行比较,如果该表1中不存在与获得的主机名称相同的主机名称记录,则判定该网元业务操作为非法网元业务操作;
否则,进一步根据该主机名称,从表1中查出对应的网元类型ID,再根据 该网元类型ID和主机名称查询出预先配置的网元名称,将该网元名称与从MAR或SAR消息中获取的网元名称进行比较,如果两者相同,则判定该网元业务操作为合法网元业务操作;否则,判定该网元业务操作为非法网元业务操作。
其中,在本步骤中给出了获取网元名称的一个较佳方法,并非限定本发明,其他根据主机名称获取网元名称的方法,也在本发明的保护范围之内。在本步骤中,也可以先判断S-CSCF的网元名称是否一致,当网元名称一致时,再判断S-CSCF的主机名称是否一致。
步骤520:判断接收到的消息是否为UDR和SNR消息,或者两者中的一个,如果是,则执行步骤521;否则,执行步骤530。
本步骤中,根据消息中的已有Command-Code的AVP的值判断消息的类型,Command-Code的AVP的不同值对应不同的消息类型,这点可参见相关协议规定,这里不再详述。
步骤521:判断该AS网元是否为合法网元类型,如果是,则执行步骤522;否则,执行步骤550。
本步骤的具体实现与步骤501完全一致,只是消息类型和网元类型不同,在此不再赘述。
步骤522:判断AS网元名称和主机名称是否匹配,如果匹配,则执行步骤540;否则,执行步骤550。
其中,AS的网元名称和主机名称在查询IFC的UDR消息中携带,或在订阅IFC的SNR消息中携带。
本步骤的具体实现与步骤512完全一致,只是消息类型和网元类型不同,在此不再赘述。
步骤530:判断接收到的消息是否为PUR的消息,如果是,则执行步骤531;否则,执行步骤550。
步骤531:判定该AS网元是否为合法网元类型,如果是,则执行步骤532;否则,执行步骤550。
本步骤的具体实现与步骤501完全一致,只是消息类型和网元类型不同,在此不再赘述。
步骤532:判断AS主机名称是否匹配,如果匹配,则执行步骤540;否则,执行步骤550。
本步骤具体实现为:将从PUR消息中获取的主机名称,与表1中的主机名称进行比较,如果该表1中不存在与获得的主机名称相同的主机名称且网元类型相同的记录,则判定该网元业务操作为非法网元业务操作;否则,判定该网元业务操作为合法网元业务操作。
步骤540:按照现有技术中协议规范,对网元发起的业务进行处理后,结束本流程。
步骤550:向网元发送响应消息。
该响应消息为结果-码(Result-Code)的值为直径(DIAMRTER)协议无法处理(DIAMRTER_UNABLE_TO_COMPLY)的消息,表示该网元为非法网元。
在图6所示的实施例中,按图6所示的顺序分别对UAR、LIR、MAR、SAR、UDR、SNR和PUR消息的消息类型进行了判断,并判断了不同的网元类型如I-CSCF、S-CSCF和AS。在实际业务中,可能只会涉及这些操作中的一部分操作;或者涉及上述的所有操作,但顺序可能不同。无论采取哪种方式,其实现方法与图6所示的实施例的方法完全相同,图6仅是本发明的一个较佳实施例,并不是对本发明的限定。本发明实施例的合法性判定方法,不违反第三代合作组织(3GPP)电信标准(TS)29228协议规范和29328协议规范的协议的判定方法的一致性。
在步骤304至步骤306中,在判断所述网元的业务操作为合法业务操作后,再从业务逻辑的角度对该业务操作进行合法性判断,即判断判断该网元发送的消息是否为服务器指派请求SAR消息,若是,则确定SAR消息中的指定操作;然后判断所述指定操作是否合法,若合法,则执行所述指定操作。当然,该过程也可以独立存在网络中,对请求业务操作从业务逻辑的角度来继续判断网元发送的消息是否为服务器指派请求SAR消息,若是,并确定SAR消息中的指定操作,然后判断所述指定操作的合法性,并执行合法的指定操作。其具体的实现过程如图7所示:
请参阅图7,为本发明实施例操作处理方法中指定操作合法性判断的流程 图;该判断过程是在当网元的业务操作为合法业务操作时,才执行该方法的实现过程,所述方法包括:
步骤600:判断该网元发送的消息是否为服务器指派请求SAR消息;
步骤601:若是,则确定服务器指派请求SAR消息流中的指定操作,若否,执行步骤604,结束;
步骤602:判断所述指定操作是否为合法指定操作;
步骤603:若是,则执行所述指定操作,若否,执行步骤604;
步骤604:按照现有的流程处理。
在IP多媒体子系统IMS网络中,当用户为未注册状态、而服务呼叫会话控制功能S-CSCF通过服务器指派请求SAR消息流发起重注册操作时,很明显,SAR消息流中指定的这个重注册操作不是一个合法的操作,此时,归属签约用户服务器HSS应拒绝执行该重注册操作。如果HSS执行了这个非法的重注册操作,则会给HSS中存储的数据带来操作安全上的隐患。同理,SAR消息流中指定的其他操作如首次注册、注销操作等也存在上述合法性的问题。因此,在HSS执行SAR消息流中的指定操作时,如果HSS能够进行合法性判断,则能够有效避免其执行非法操作的过程,从而能够消除HSS侧用户数据的安全隐患,避免非法操作占用HSS资源。
还请参阅图8,为图7中所述判断SAR消息中的指定操作处理的流程图。
如图8所示,在步骤700,HSS接收到S-CSCF传输来的SAR消息流。
到步骤701,HSS根据SAR消息流中承载的信息确定SAR消息流中的指定操作;比如HSS根据SAR消息流中的AVP(Attribute Value Pair,属性值)的取值确定SAR消息流中的指定操作;比如,Server-Assignment-Type等于1时表示注册;等于2时表示重注册;等于5时表示用户注销,其他取值请参考3GPP TS 29229标准。这个指定操作是S-CSCF需要HSS执行的操作。
到步骤702,HSS根据其存储的用户数据(所述用户数据为HSS根据请求的用户和先前的业务操作中HSS侧保存的状态信息数据。)确定上述指定操作对应的用户注册状态。
到步骤703,HSS根据用户注册状态来判断上述指定操作的合法性,在确定上述指定操作为合法操作时,到步骤704,HSS根据现有的执行过程执行该指定 操作。
在所述步骤703中,如果HSS确定出上述指定操作为非法操作时,到步骤705,HSS可以通过SAA消息流向S-CSCF返回非法操作的信息,即HSS不根据现有的执行过程执行该指定操作。
在图7的描述中,SAR消息流中的指定操作包括:NO_ASSIGNMENT(用户业务数据未指派)、REGISTRATION(首次注册)或下述指定操作的任意一种:RE_REGISTRATION(重注册)、UNREGISTERED_USER(非注册业务的UE被叫通知)、TIMEOUT_DEREGISTRATION(超时注销)、TIMEOUT_DEREGISTRATION_STORE_SERVER_NAME(保存服务S-CSCF名称的超时注销)、USER_DEREGISTRATION(UE注销)、USER_DEREGISTRATION_STORE_SERVER_NAME(保存服务S-CSCF名称的UE注销)、DEREGISTRATION_TOO_MUCH_DATA(数据超长注销)、ADMINISTRATIVE_DEREGISTRATION(管理注销)、AUTHENTICATION_FAILURE(鉴权失败注销)或者AUTHENTICATION_TIMEOUT(鉴权超时注销)。但并不限于此,也可以是其它的操作。下面依次为例分别对其进行说明。
当SAR消息流中的指定操作为NO_ASSIGNMENT(用户业务数据未指派)操作时,只有当且仅当UE的注册状态为:Registered(已注册业务状态)、Unregistered(非注册业务状态),HSS才会确定出此次NO_ASSIGNMENT操作为合法操作,然后,HSS按照现有方法如按照现有协议的规定来执行NO_ASSIGNMENT操作,即操作场景为:当S-CSCF比如因故障等原因引起需要重新下载用户的业务数据时,向HSS发起该操作;在上述判断NO_ASSIGNMENT操作合法性过程中,如果用户的注册状态为其他情况,如Notregistered(未注册业务状态))时,HSS确定出此次NO_ASSIGNMENT操作为非法操作,此时,HSS不执行NO_ASSIGNMENT操作,HSS可以将非法操作的信息通过SAA消息流回复给S-CSCF。
当SAR消息流中的指定操作为REGISTRATION(首次注册)操作时,只有当且仅当UE的注册状态为:Authentication Pending(鉴权未决)或者Unregistered时,HSS才会确定出此次REGISTRATION操作为合法操作,然后,HSS按照现 有方法如按照现有协议的规定来执行REGISTRATION操作,当用户首次注册时,鉴权成功后,S-CSCF向HSS发起的注册通知操作;在上述判断REGISTRATION操作合法性过程中,如果用户的注册状态为其他情况,如Registered(已注册)、或者Not registered(未注册)时,HSS确定出此次REGISTRATION操作为非法操作,此时,HSS不执行REGISTRATION操作,HSS可以将非法操作的信息通过SAA消息流回复给S-CSCF。
当SAR消息流中的指定操作为RE_REGISTRATION(重注册)操作时,只有当且仅当UE的注册状态为:Registered,HSS才会确定出此次RE_REGISTRATION操作为合法操作,然后,HSS按照现有方法如按照现有协议的规定来执行RE_REGISTRATION操作;在上述判断RE_REGISTRATION操作合法性过程中,如果用户的注册状态为其他情况,如Authentication Pending、Unregistered或者Not registered时,HSS确定出此次RE_REGISTRATION操作为非法操作,此时,HSS不执行RE_REGISTRATION操作,HSS可以将非法操作的信息通过SAA消息流回复给S-CSCF。
当SAR消息流中的指定操作为UNREGISTERED_USER(非注册业务的UE被叫通知)操作时,只有当且仅当UE的状态为:Not registered时,HSS才会确定出此次UNREGISTERED_USER操作为合法操作,然后,HSS按照现有方法如按照现有协议的规定来执行UNREGISTERED_USER操作;在上述判断RE_REGISTRATION操作合法性过程中,如果用户的注册状态为其他情况,如Registered、Unregistered或者Authentication Pending时,HSS确定出此次RE_REGISTRATION操作为非法操作,此时,HSS不执行RE_REGISTRATION操作,HSS可以将非法操作的信息通过SAA消息流回复给S-CSCF。
当SAR消息流中的指定操作为TIMEOUT_DEREGISTRATION(超时注销)操作时,只有当且仅当UE的状态为Registered时,HSS才会确定出此次TIMEOUT_DEREGISTRATION操作为合法操作,然后,HSS按照现有方法如按照现有协议的规定来执行TIMEOUT_DEREGISTRATION操作;在上述判断TIMEOUT_DEREGISTRATION操作合法性过程中,如果用户的注册状态为其他情况,如Authentication Pending、或者Unregistered、或者Not registered时,HSS确定出此次TIMEOUT_DEREGISTRATION操作为非法操作,此时,HSS不执行 TIMEOUT_DEREGISTRATION操作,HSS可以将非法操作的信息通过SAA消息流回复给S-CSCF。
当SAR消息流中的指定操作为TIMEOUT_DEREGISTRATION_STORESERVER_NAME(保存服务S-CSCF名称的超时注销)操作时,只有当且仅当UE的状态为Registered时,HSS才会确定出此次TIMEOUT_DEREGISTRATION_STORE_SERVER_NAME操作为合法操作,然后,HSS按照现有方法如按照现有协议的规定来执行TIMEOUT_DEREGISTRATION_STORE_SERVER_NAME操作;在上述判断TIMEOUT_DEREGISTRATION_STORE_SERVER_NAME操作合法性过程中,如果用户的注册状态为其他情况,如Authentication Pending、或者Unregistered、或者Not registered时,HSS确定出此次TIMEOUT_DEREGISTRATION_STORESERVER_NAME操作为非法操作,此时,HSS不执行TIMEOUT_DEREGISTRATION_STORE SERVER_NAME操作,HSS可以将非法操作的信息通过SAA消息流回复给S-CSCF。
当SAR消息流中的指定操作为USER_DEREGISTRATION(UE注销)操作时,只有当且仅当UE的状态为Registered时,HSS才会确定出此次USER_DEREGISTRATION操作为合法操作,然后,HSS按照现有方法如按照现有协议的规定来执行USER_DEREGISTRATION操作;在上述判断USER_DEREGISTRATION操作合法性过程中,如果用户的注册状态为其他情况,如Authentication Pending、Unregistered或者Not registered时,HSS确定出此次USER_DEREGISTRATION操作为非法操作,此时,HSS不执行USER_DEREGISTRATION操作,HSS可以将非法操作的信息通过SAA消息流回复给S-CSCF。
当SAR消息流中的指定操作为USER_DEREGISTRATION_STORESERVER_NAME(保存服务S-CSCF名称的UE注销)操作时,只有当且仅当UE的状态为Registered时,HSS才会确定出此次USER_DEREGISTRATIONSTORE_SERVER_NAME操作为合法操作,然后,HSS按照现有方法如按照现有协议的规定来执行USER_DEREGISTRATION_STORE_SERVER_NAME操作;在上述判断USER_DEREGISTRATION_STORE_SERVER_NAME操作合法 性过程中,如果用户的注册状态为其他情况,如Authentication Pending、Unregistered或者Not registered时,HSS确定出此次USER_DEREGISTRATION_STORE_SERVER_NAME操作为非法操作,此时,HSS不执行USER_DEREGISTRATION_STORE_SERVER_NAME操作,HSS可以将非法操作的信息通过SAA消息流回复给S-CSCF。
当SAR消息流中的指定操作为DEREGISTRATION_TOO_MUCH_DATA(数据超长注销)操作时,只有当且仅当UE的状态为Authentication Pending或Registered或Unregistered时,HSS才会确定出此次DEREGISTRATION_TOO_MUCH_DATA操作为合法操作,然后,HSS按照现有方法如按照现有协议的规定来执行DEREGISTRATION_TOO_MUCH_DATA操作;在上述判断DEREGISTRATION_TOO_MUCH_DATA操作合法性过程中,如果用户的注册状态为其他情况,如Not registered时,HSS确定出此次DEREGISTRATION_TOO-MUCH_DATA操作为非法操作,此时,HSS不执行DEREGISTRATION_TOO_MUCH_DATA操作,HSS可以将非法操作的信息通过SAA消息流回复给S-CSCF。
当SAR消息流中的指定操作为ADMINISTRATIVE_DEREGISTRATION(管理注销)操作时,只有当且仅当UE的状态为Registered或Unregistered时,HSS才会确定出此次ADMINISTRATIVE_DEREGISTRATION操作为合法操作,然后,HSS按照现有方法如按照现有协议的规定来执行ADMINISTRATIVE_DEREGISTRATION操作;在上述判断ADMINISTRATIVE_DEREGISTRATION操作合法性过程中,如果用户的注册状态为其他情况,如Not registered时,HSS确定出此次ADMINISTRATIVE_DEREGISTRATION操作为非法操作,此时,HSS不执行ADMINISTRATIVE_DEREGISTRATION操作,HSS可以将非法操作的信息通过SAA消息流回复给S-CSCF。
当SAR消息流中的指定操作为AUTHENTICATION_FAILURE(鉴权失败注销)操作时,只有当且仅当UE的状态为Authentication Pending或Unregistered时,HSS才会确定出此次AUTHENTICATION_FAILURE操作为合法操作,然后,HSS按照现有方法如按照现有协议的规定来执行AUTHENTICATION_ FAILURE操作;在上述判断AUTHENTICATION_FAILURE操作合法性过程中,如果用户的注册状态为其他情况,如Registered、或者Not registered时,HSS确定出此次AUTHENTICATION_FAILURE操作为非法操作,此时,HSS不执行AUTHENTICATION_FAILURE操作,HSS可以将非法操作的信息通过SAA消息流回复给S-CSCF。
当SAR消息流中的指定操作为AUTHENTICATION_TIMEOUT(鉴权超时注销)操作时,只有当且仅当UE的状态为Authentication Pending或Unregistered时,HSS才会确定出此次AUTHENTICATION_TIMEOUT操作为合法操作,然后,HSS按照现有方法如按照现有协议的规定来执行AUTHENTICATION_TIMEOUT操作;在上述判断AUTHENTICATION_TIMEOUT操作合法性过程中,如果用户的注册状态为其他情况,如Registered、或者Not registered时,HSS确定出此次AUTHENTICATION_TIMEOUT操作为非法操作,此时,HSS不执行AUTHENTICATION_TIMEOUT操作,HSS可以将非法操作的信息通过SAA消息流回复给S-CSCF。
在上述实施例的描述过程中,非法操作的信息可以为DIAMETERERROR_IN_ASSIGNMENT_TYPE(DIAMETER指派类型错误),该信息可以承载于SAA消息流的Experimental-Result-Code(实验的结果码)中,即HSS将Experimental-Result-Code等于DIAMETER_ERROR_IN_ASSIGNMENT_TYPE的SAA消息流回复给S-CSCF。
本发明的SAR消息流中的指定操作可以不限于上述例举的情况,而且,HSS也可以仅对上述例举的指定操作中的一种或多种进行合法性判断,凡是HSS结合用户注册状态对SAR消息流中的指定操作进行合法性判断后,执行合法操作的过程均属于本发明要求保护的范围。
还请参阅图9,为图7中所述判断SAR消息中指定操作处理的另一流程图。
在图9中,在步骤800,HSS接收到S-CSCF传输来的SAR消息流,开始进行本发明的合法性判断过程。
到步骤810,HSS根据SAR消息流中的AVP的取值判断SAR消息流中的指定操作,如果该指定操作为:首次注册操作、鉴权失败注销操作或者鉴权超时注销操作时,到步骤820,HSS判断用户注册状态是否为鉴权未决或者非注册业务 状态,如果HSS判断出用户注册状态为鉴权未决或者非注册业务状态,到步骤821,HSS按照现有的协议规范执行SAR消息流中的指定操作。到步骤860,本次对SAR消息流中指定操作的合法性判断、执行过程结束。
在步骤820中,如果HSS判断出用户注册状态不为鉴权未决或者非注册业务状态,到步骤822,HSS将非法操作的信息如Experimental-Result-Code(试验结果代码)等于DIAMETER_ERROR_IN_ASSIGNMENT_TYPE(DIAMEMER指派类型错误)的SAA消息流回复给S-CSCF。到步骤860,本次对SAR消息流中指定操作的合法性判断、执行过程结束。
在步骤810中,如果HSS根据SAR消息流中的AVP的取值判断SAR消息流中的指定操作为:重注册操作、超时注销操作、保存服务S-CSCF名称的超时注销操作、UE注销操作或保存服务S-CSCF名称的UE注销操作时,到步骤830,HSS判断用户注册状态是否为已注册状态,如果HSS判断出用户注册状态为已注册状态,到步骤831,HSS按照现有的协议规范执行SAR消息流中的指定操作。到步骤860,本次对SAR消息流中指定操作的合法性判断、执行过程结束。
在步骤830中,如果HSS判断出用户注册状态不为已注册状态,到步骤822,HSS将非法操作的信息如Experimental-Result-Code等于DIAMETER_ERROR_IN_ASSIGNMENT_TYPE的SAA消息流回复给S-CSCF;到步骤860,本次对SAR消息流中指定操作的合法性判断、执行过程结束。
在步骤810中,如果HSS根据SAR消息流中的AVP的取值判断SAR消息流中的指定操作为:非注册业务的UE被叫通知操作时,到步骤840,HSS判断用户注册状态是否为非注册业务状态或未注册状态,如果HSS判断出用户注册状态为非注册业务状态或未注册状态,到步骤841,HSS按照现有的协议规范执行SAR消息流中的指定操作。到步骤860,本次对SAR消息流中指定操作的合法性判断、执行过程结束。
在步骤840,如果HSS判断出用户注册状态不为非注册业务状态或未注册状态,到步骤842,HSS将非法操作的信息如Experimental-Result-Code等于DIAMETER_ERROR_IN_ASSIGNMENT_TYPE的SAA消息流回复给S-CSCF。到步骤860,本次对SAR消息流中指定操作的合法性判断、执行过程结束。
在步骤810,如果HSS根据SAR消息流中的AVP的取值判断SAR消息流中的 指定操作为:数据超长注销操作、管理注销或用户业务数据未指派操作时,到步骤850,HSS判断用户注册状态是否为已注册状态或非注册业务状态,如果HSS判断出用户注册状态为已注册状态或非注册业务状态,到步骤851,HSS按照现有的协议规范执行SAR消息流中的指定操作。到步骤860,本次对SAR消息流中指定操作的合法性判断、执行过程结束。
在步骤850中,如果HSS判断出用户注册状态不为已注册状态、或非注册业务状态,到步骤842,HSS将非法操作的信息如Experimental-Result-Code等于DIAMETER_ERROR_IN_ASSIGNMENT_TYPE的SAA消息流回复给S-CSCF。到步骤860,本次对SAR消息流中指定操作的合法性判断、执行过程结束。
相应地,本发明实施例还提供一种操作处理装置,所述操作处理装置可以集成在服务器中或集成在其它的设备中,也可以独立存在。所述操作处理装置的结构示意图如10所示,所述装置包括:接收获取单元91、合法性确定单元92、第一判断单元93、第二判断单元94、指定操作确定单元95、判断执行单元96和/或操作反馈单元97。
其中,所述接收获取单元91,用于接收对端网元发送的业务消息,并获取对应的数据配置信息;所述合法性确定单元92,用于根据所述业务消息及数据配置消息确定所述网元的合法性;所述第一判断单元93,用于判断所述合法网元发送的业务请求操作是否为合法业务操作,并发送是合法业务操作的判断结果;所述第二判断单元94,用于根据接收到判断结果,继续判断该网元发送的消息是否为服务器指派请求SAR消息;所述指定操作确定单元95,用于确定接收到所述SAR消息中的指定操作;所述判断执行单元96,与指定操作确定单元相连,用于判断所述SAR消息中的指定操作是否合法,并执行合法的指定操作;操作反馈单元97,与指定操作确定单元95相连,用于反馈非法的指定操作。
其中,所述合法性确定单元92包括:确定子单元921、获取查找子单元922和比较子单元923。所述确定子单元921,用于根据所述业务消息中指令码的属性值确定该网元的网元类型;所述获取查找子单元922,用于根据所述业务请求获取所述网元的主机名称,并根据所述主机名称查找对应的网元类型;所述比较子单元923,用于比较所确定的网元类型与查找到的网元类型是否相同, 若相同,则所述网元的网元类型为合法网元类型。
所述第一判断单元93包括:存储子单元931和判断子单元932。所述存储子单元931,用于存储预先为网元配置的主机名称;所述判断子单元932,与获取查找子单元相连,用于判断所获取该网元的主机名称与预先配置该网元的主机名称是否一致,若是,则判断所述网元的业务操作为合法业务操作。
所述判断执行单元96包括:指定操作判断子单元961和指定操作执行子单元962。所述指定操作判断子单元961,与指定操作确定单元95相连,用于根据存储用户的注册状态判断所述指定操作是否合法,若是,发送合法的指定操作;所述指定操作执行子单元962,与指定操作判断子单元961相连,用于执行接收到合法的指定操作。
在本实施例所述的装置中,所述接收单元91用于接收对端网元发送的业务请求,并从该业务请求中解析出该网元的主机名称,以及获取该网元对应的消息,并从该消息中得到该网元的主机名称及对应的网元类型。然后将所述解析出的主机名称及获取的主机名称及网元类型都发送给合法性判断单元92,所述合法性判断单元92对接收到的主机名称,在预先配置的网元类型编码表中查找对应的网元类型ID,根据网元类型ID确定网元类型,然后将这两个网元类型进行比较,如果二者相同,则表示该网元类型为合法网元类型,否则,为该网元类型不合法。然后再将网元类型合法的网元发送给第一判断单元93,所述第一判断单元93,先获取该网元的主机名称,然后与预先配置该网元的主机名称以及网元类型进行判断,判断二者是否都一致,若是,则判定所述网元的业务操作为合法业务操作。然后将其发送给第二判断单元94,所述第二判断单元94继续判断该网元发送的消息是否为服务器指派请求SAR消息;若是,则指定操作确定单元95根据HSS中存储的用户注册状态确定出SAR消息流中的指定操作是否为合法操作,若是,即所述指定操作为合法操作,则通知判断执行单元96;否则,通知操作反馈单元97,所述操作反馈单元97通过SAA消息流将非
法操作信息返回至S-CSCF,比如将Experimental-Result-Code等于DIAMETER_ERROR_IN_ASSIGNMENT_TYPE的SAA消息流回复给S-CSCF。
判断执行单元96,主要用于执行S-CSCF传输来的SAR消息流中的指定操 作。本发明中的判断执行单元96执行的是经过合法性验证后的指定操作,即判断执行单元96在接收到指定操作确定单元95的合法性判决的通知后,执行SAR消息流中的指定操作。
指定操作确定单元95的具体判决过程及执行的操作如下:
指定操作确定单元95在判断出SAR消息流中的指定操作为首次注册操作、鉴权失败注销操作或鉴权超时注销操作,且用户注册状态为鉴权未决或者非注册业务状态时,确定SAR消息流中的指定操作为合法操作,通知判断执行单元96;当用户注册状态为其他注册状态时,通过SAA消息流将非法操作信息返回至S-CSCF。
指定操作确定单元95在判断出SAR消息流中的指定操作为重注册操作、超时注销操作、保存服务S-CSCF名称的超时注销操作、UE注销操作或保存服务S-CSCF名称的UE注销操作,且用户注册状态为已注册状态时,确定SAR消息流中的指定操作为合法操作,并通知判断执行单元96;当用户注册状态为其他注册状态时,通过SAA消息流将非法操作信息返回至S-CSCF。
指定操作确定单元95在判断出SAR消息流中的指定操作为非注册业务的UE被叫通知操作,且用户注册状态为未注册状态时,确定SAR消息流中的指定操作为合法操作,并通知判断执行单元96;当用户注册状态为其他注册状态时,通过SAA消息流将非法操作信息返回至S-CSCF。
指定操作确定单元95在判断出SAR消息流中的指定操作为数据超长注销操作、管理注销或者用户业务数据未指派操作,且用户注册状态为鉴权未决或已注册状态或非注册业务状态时,确定SAR消息流中的指定操作为合法操作,并通知判断执行单元96;当用户注册状态为其他注册状态时,通过SAA消息流将非法操作信息返回至S-CSCF。
另外,本发明还提供一种对网元业务操作合法性进行判定的服务器,其结构示意图如图11所示。该服务器是用于存放签约用户信息的签约用户服务器,包括:接口10、解析单元11和业务处理单元12。
接口10,用于接收网元发起的业务请求,将该业务请求发送给解析单元11。
解析单元11,用于接收接口发送的业务请求,获取网元发起的消息,解析出该网元的主机名称,将消息和解析出的主机名称发送给业务处理单元12。
业务处理单元12,用于配置网元的主机名称,接收解析单元发送的主机名称和消息;判断该网元的网元类型是否为合法网元类型,如果是,比较接收到的主机名称和配置的主机名称是否一致,如果一致,判定该网元业务操作为合法网元业务操作。需要指出的是,这里所说的配置的主机名称是指,在表1中存放的网元的主机名称。
其中,业务处理单元12,进一步用于比较接收到的解析单元11发送的主机名称和配置的主机名称是否一致,如果不一致,判定该网元业务操作为不合法网元业务操作,生成响应消息,将该响应消息发送给解析单元,在响应消息中携带网元业务操作为不合法网元业务操作信息。解析单元,进一步用于接收该响应消息,将该响应消息发送给接口;接口10,接收该响应消息,将该响应消息发送给发起业务请求的网元。
由本实施可以看出,该签约用户服务器首先判断发起业务请求的网元的网元类型是否为合法网元类型,如果该网元类型为合法网元类型,再进一步判断该网元携带的主机名称和预先配置的主机名称是否一致,如果一致,判定该网元业务操作为合法网元业务操作。与签约用户服务器通信的网元可以用主机名称来唯一进行标识,且在网元类型编码表中仅配置一条与发起业务请求的网元相匹配的主机名称,因此可以准确判断网元业务操作的合法性。
图12为图11中所述业务处理单元的结构示意图。如图12所示,该业务处单元12包括:存储子单元121和判定子单元122。
存储子单元121,用于配置网元的主机名称,将该主机名称发送给判定子单元。
判定子单元122,用于接收解析单元11发送的主机名称和消息,接收存储子单元121发送的主机名称;根据解析单元11发送的主机名称和消息判断网元的网元类型是否为合法类型,如果是,比较接收到的两个主机名称是否一致,如果一致,则判定该网元业务操作为合法网元业务操作;如果不一致,判定网元业务操作为不合法网元业务操作,生成响应消息,将该响应消息发送给所述解析单元11。
其中,在图11和图12所介绍的实施例中的网元包括:I-CSCF、或业务请求中携带PUR消息的AS。
如果网元为S-CSCF,或者携带IFC的UDR和SNR消息的AS时;
解析单元11,进一步用于从网元发起的消息中,解析出网元的网元名称,并将该网元名称发送给判定子单元。
存储子单元121,进一步用于配置网元的网元名称,将配置的网元名称发送给判定子单元122。
判定子单元122,除了根据上述服务器的实施例中接收到的解析单元11和存储子单元121发送的主机名称,判定这两个主机名称是否一致外,还进一步用于接收解析单元11发送的网元名称,和存储子单元121发送的网元名称;比较这两个网元名称是否一致,当主机名称和网元名称都一致时,方可判定该网元业务操作为合法业务操作。需要指出的是,这里所说的配置的网元名称是指,在表1中存放的网元的网元名称。
当网元为S-CSCF和I-CSCF时,接口为Cx或Dx接口;当网元为AS时,接口为Sh或Dh接口。
在本发明的实施例中,以签约用户服务器是HSS为例,介绍了实现本发明技术方案的方法和服务器,对于其他具有相同原理的签约用户服务器也在本发明的保护范围之内。
由此可见,本发明的实施例中,一方面,通过判断网元类型是否合法,以及判断主机名称是否一致,若一致,再对网元业务操作合法性进行判定,若合法,另一方面,再从逻辑的角度对该网元进行判断,即:通过SAR消息流对S-CSCF指定的各种操作定义进行合法性判断,如果该操作为合法操作,则执行该操作。即通过结合用户注册状态对SAR消息流中的指定操作进行合法性判断,对SAR消息流中的指定操作进行了过滤,避免了HSS执行非法操作的过程,减少非法操作对HSS资源的占用,同时,也减小了HSS中存储数据的安全隐患。另外,HSS在确定出SAR消息流中的指定操作为非法操作时,通过向S-CSCF返回非法操作的信息,完善了SAR/SAA的交互流程,提高HSS侧用户数据安全性及合法操作的处理效率。同时也确保了对网元业务操作合法性的准确判断,保证了用户数据安全和IMS业务的可靠性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种操作处理方法,应用于IP多媒体子系统,其特征在于,包括步骤:
接收网元发送的业务消息;
根据所述业务消息确定所述网元的合法性,具体包括:根据所述业务消息中指令码的属性值确定该网元的网元类型;根据业务请求获取所述网元的主机名称,并根据所述主机名称查找配置数据中对应的网元类型;将所确定的网元类型与查找到的网元类型进行比较,若二者相同,则所述网元的网元类型为合法网元类型;
判断合法的所述网元发送的业务请求操作是否为合法业务操作,具体包括:判断解析出的所述网元的主机名称、网元类型与预先配置的该网元的主机名称、网元类型是否一致,若是,则所述网元的业务请求操作为合法业务操作;
当所述业务请求操作为合法业务操作时,判断该网元发送的业务消息是否为服务器指派请求SAR消息,若是,则确定SAR消息中的指定操作;
当所述指定操作为合法操作时,执行所述指定操作。
2.如权利要求1所述操作处理方法,其特征在于,所述确定该网元的网元类型的过程为:
判断所述业务消息的类型,如果所述业务消息包括用户认证请求消息和/或即时位置请求消息,确定所述网元类型为问询呼叫会话控制功能;
如果所述业务消息包括多媒体认证请求消息和/或服务分配请求消息,确定所述网元类型为服务呼叫会话控制功能;
如果所述业务消息包括用户数据请求消息和/或订阅通知请求消息,或者用户数据更新请求消息,确定所述网元类型为应用服务器。
3.如权利要求1所述操作处理方法,其特征在于,所述根据业务请求获取所述网元的主机名称,并根据所述主机名称查找对应的网元类型的过程为:
从所述业务请求中解析出该网元的主机名称,并根据所述主机名称,在预设的网元类型编码表中查找网元类型标识符,根据所述网元类型标识符确定所述网元的网元类型。
4.根据权利要求2所述操作处理方法,其特征在于,发送业务请求及消息的网元包括下述任一种:
问询呼叫会话控制功能或携带用户数据更新请求消息的应用服务器;
服务呼叫会话控制功能、携带查询初始过滤标准的用户数据请求消息和/或订阅初始过滤标准通知请求消息的应用服务器。
5.根据权利要求4所述操作处理方法,其特征在于,当所述发送业务请求及消息的网元为服务呼叫会话控制功能、携带查询初始过滤标准的用户数据请求消息和/或订阅初始过滤标准通知请求消息的应用服务器时,从所述业务请求中解析出所述网元的网元主机名称;判断所述网元的主机名称、网元类型与预先配置该网元的主机名称、网元类型是否一致,若是,则所述网元的业务操作为合法业务操作。
6.如权利要求1所述操作处理方法,其特征在于,根据SAR消息流中承载服务器指派类型的取值确定SAR消息流中的指定操作;并结合用户注册状态对所述指定操作进行合法性判断,若为合法操作时,执行所述指定操作。
7.如权利要求6所述操作处理方法,其特征在于,当所述SAR消息流中的指定操作为:首次注册操作、鉴权失败注销操作或鉴权超时注销操作,且用户注册状态为鉴权未决或非注册业务状态时,确定所述首次注册操作、鉴权失败注销操作或鉴权超时注销操作为合法操作,执行所述指定操作。
8.如权利要求6所述操作处理方法,其特征在于,当SAR消息流中的指定操作为:重注册操作、超时注销操作或UE注销操作,且用户注册状态为已注册状态时,确定所述重注册操作、超时注销操作或UE注销操作为合法操作,执行所述指定操作。
9.如权利要求6所述操作处理方法,其特征在于,当SAR消息流中的指定操作为:非注册业务的UE被叫通知操作,且用户注册状态为未注册状态时,确定该非注册业务的UE被叫通知操作为合法操作,执行所述指定操作。
10.如权利要求6所述操作处理方法,其特征在于,
当SAR消息流中的指定操作为:数据超长注销操作,且用户注册状态为鉴权未决或已注册状态或非注册业务状态时,确定所述数据超长注销操作为合法操作,执行所述指定操作;
当SAR消息流中的指定操作为:管理注销操作或用户业务数据未指派操作,且用户注册状态为已注册状态或非注册业务状态时,确定所述管理注销操作或用户业务数据未指派操作为合法操作,执行所述指定操作。
11.一种操作处理装置,应用于IP多媒体子系统,其特征在于,所述操作处理装置包括:
接收获取单元,用于接收对端网元发送的业务消息及获取对应的数据配置;
合法性确定单元,用于根据所述业务消息和数据配置确定所述网元的合法性,具体包括:确定子单元,用于根据业务消息中指令码的属性值确定该网元的网元类型;获取查找子单元,用于根据业务请求获取所述网元的主机名称,并根据所述主机名称查找对应的网元类型;比较子单元,用于比较所确定的网元类型与查找到的网元类型是否相同,若相同,则所述网元的网元类型为合法网元类型;
第一判断单元,用于判断所述合法网元发送的业务请求操作是否为合法业务操作,并发送是合法业务操作的判断结果,具体包括:存储子单元,用于存储预先为网元配置的网元类型、主机名称和网元名称;判断子单元,与获取查找子单元相连,用于判断所获取该网元的网元类型、主机名称与预先配置该网元的网元类型、主机名称是否一致,若是,则判断所述网元的业务请求操作为合法业务操作;
第二判断单元,用于根据接收到的判断结果,继续判断该网元发送的消息是否为服务器指派请求SAR消息;
指定操作确定单元,用于确定接收到的所述SAR消息中的指定操作;
判断执行单元,与指定操作确定单元相连,用于判断所述SAR消息中的指定操作是否合法,并执行合法的指定操作。
12.如权利要求11所述操作处理装置,其特征在于,所述判断执行单元包括:
指定操作判断子单元,与指定操作确定单元相连,用于根据存储用户的注册状态判断所述指定操作是否合法,若是,发送合法的指定操作;
指定操作执行子单元,与指定操作判断子单元相连,用于执行接收到的合法的指定操作。
13.如权利要求11所述操作处理装置,其特征在于,所述操作处理装置集成在服务器中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007800003188A CN101317419B (zh) | 2006-04-24 | 2007-04-20 | 操作处理方法、装置及业务操作合法性判定方法及服务器 |
Applications Claiming Priority (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610076004.3 | 2006-04-24 | ||
CNB2006100760043A CN100562019C (zh) | 2006-04-24 | 2006-04-24 | Ip多媒体子系统中的操作处理方法和归属签约用户服务器 |
CN200710006445A CN100596105C (zh) | 2007-02-01 | 2007-02-01 | 一种对网元业务操作合法性进行判定的方法和服务器 |
CN200710006445.0 | 2007-02-01 | ||
PCT/CN2007/001310 WO2007121672A1 (fr) | 2006-04-24 | 2007-04-20 | Procédé et appareil de fonctionnement et de gestion, et procédé et serveur pour déterminer la validité du fonctionnement d'un service |
CN2007800003188A CN101317419B (zh) | 2006-04-24 | 2007-04-20 | 操作处理方法、装置及业务操作合法性判定方法及服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101317419A CN101317419A (zh) | 2008-12-03 |
CN101317419B true CN101317419B (zh) | 2011-07-06 |
Family
ID=38166370
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2006100760043A Expired - Fee Related CN100562019C (zh) | 2006-04-24 | 2006-04-24 | Ip多媒体子系统中的操作处理方法和归属签约用户服务器 |
CN2007800003188A Expired - Fee Related CN101317419B (zh) | 2006-04-24 | 2007-04-20 | 操作处理方法、装置及业务操作合法性判定方法及服务器 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2006100760043A Expired - Fee Related CN100562019C (zh) | 2006-04-24 | 2006-04-24 | Ip多媒体子系统中的操作处理方法和归属签约用户服务器 |
Country Status (1)
Country | Link |
---|---|
CN (2) | CN100562019C (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103838513A (zh) * | 2012-11-22 | 2014-06-04 | 深圳市中兴微电子技术有限公司 | 内存读写的动态控制方法及装置 |
CN103248472A (zh) * | 2013-04-16 | 2013-08-14 | 华为技术有限公司 | 一种处理操作请求的方法、系统以及攻击识别装置 |
CN112187944B (zh) * | 2020-09-30 | 2022-11-25 | 国网河北省电力有限公司信息通信分公司 | 一种一号通业务报文的处理方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1753363A (zh) * | 2004-09-23 | 2006-03-29 | 华为技术有限公司 | 网络侧选择鉴权方式的方法 |
CN1758634A (zh) * | 2004-09-30 | 2006-04-12 | 朗迅科技公司 | 提供分布的用户定位器功能路由能力的方法和设备 |
-
2006
- 2006-04-24 CN CNB2006100760043A patent/CN100562019C/zh not_active Expired - Fee Related
-
2007
- 2007-04-20 CN CN2007800003188A patent/CN101317419B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1753363A (zh) * | 2004-09-23 | 2006-03-29 | 华为技术有限公司 | 网络侧选择鉴权方式的方法 |
CN1758634A (zh) * | 2004-09-30 | 2006-04-12 | 朗迅科技公司 | 提供分布的用户定位器功能路由能力的方法和设备 |
Non-Patent Citations (2)
Title |
---|
3GPP Organizational Partners.IP Multimedia (IM) Subsystem Cx and Dx interfaces * |
Signalling flows and message contents.《3GPP TS 29.228 V6.10.0》.2006, * |
Also Published As
Publication number | Publication date |
---|---|
CN100562019C (zh) | 2009-11-18 |
CN1984141A (zh) | 2007-06-20 |
CN101317419A (zh) | 2008-12-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2007201026B2 (en) | Method of providing access to an IP multimedia subsystem | |
KR101528654B1 (ko) | 애플리케이션 서버에 단말을 등록하는 방법과 장치 및 ip 멀티미디어 서브시스템 | |
CN101444062B (zh) | 用于在会话发起协议中携带受信任网络所提供的接入网络信息的系统和方法 | |
CN101573934B (zh) | 在通信网络中的鉴别 | |
EP2452485B1 (en) | Methods and apparatus for initiating provisioning of subscriber data in a hss of an ip multimedia subsystem network | |
RU2434351C2 (ru) | Способ, система и устройство для использования идентификаторов услуг связи ims в системе связи | |
CN101102537A (zh) | 过滤应用程序的装置、系统以及方法 | |
US20070055874A1 (en) | Bundled subscriber authentication in next generation communication networks | |
WO2006016846A1 (en) | Provision of public service identities | |
CN100493227C (zh) | 一种网络侧对更新ip地址的用户的处理方法 | |
WO2008076015A1 (en) | A method and an arrangement for handling a service request in a multimedia network | |
CN102077544A (zh) | 在ip多媒体子系统网络中提供位置信息 | |
CN1753363A (zh) | 网络侧选择鉴权方式的方法 | |
US9628938B2 (en) | Determination of IMS application server instance based on network information | |
CN102948124A (zh) | 处置因特网协议多媒体子系统网络中公共身份的方法和设备 | |
CN101569216B (zh) | 移动电信系统和方法 | |
KR100703426B1 (ko) | 아이피 기반 멀티미디어 서브시스템에서 가입자 정보유실시 발신 및 착신 호를 가능하게 하는 방법 및 장치 | |
CN101317419B (zh) | 操作处理方法、装置及业务操作合法性判定方法及服务器 | |
CN100596105C (zh) | 一种对网元业务操作合法性进行判定的方法和服务器 | |
CN102726030B (zh) | 用于路由xcap请求的方法和设备 | |
CN1866823B (zh) | 一种ims网络中的鉴权方法、鉴权装置和鉴权系统 | |
WO2009015814A2 (en) | Method of provisioning an entry in a subscriber database of an ip multimedia subsystem | |
RU2568371C2 (ru) | Способы и устройства для обработки общедоступных идентификаторов в сети с подсистемой передачи мультимедиа на основе протокола ip | |
CN1983999A (zh) | Ims中的会话处理方法及查询呼叫会话控制功能模块 | |
EP1874000A1 (en) | Method and device for operation processing, and method and server for determining validity of a service operation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20170914 Address after: 065200 Langfang City, Hebei Province Yang Zhen Sanhe Ju Yuan Ding Yuan District 2 Building 1 unit 5 floor No. 501 Patentee after: Wang Jianhua Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110706 Termination date: 20180420 |