具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例一
根据本发明实施例提供了一种通信监听的指示方法,实现了被监听的通信和未被监听的通信的差异不被识别,消除了现有监听中的安全隐患,能更好的实现通信监听功能。
图2是根据本发明实施例的通信监听的指示方法的流程图,如图2所示,该方法包括以下几个步骤(步骤S202-步骤S204):
步骤S202,确定当前发送的消息为用于指示监听执行网元是否对当前通信进行监听的消息;
步骤S204,向监听执行网元发送携带有监听指示信息的上述消息,其中,该监听指示信息用于指示监听执行网元是否对当前通信进行监听。
通过本发明实施例,确定当前发送的消息为用于指示监听执行网元是否对当前通信进行监听的消息后,将用于指示监听执行网元是否对当前通信进行监听的监听指示信息携带上述消息中,使得在需要监听和不需要监听时,用于指示监听执行网元是否对当前通信进行监听的消息中都包含监听指示信息,实现了被监听的通信和未被监听的通信的差异不被识别,消除了现有监听中的安全隐患,更好的实现了通信监听功能。
在本发明实施例的一个优选实施方式中,确定当前发送的消息为用于指示监听执行网元是否对当前通信进行监听的消息,可以判断当前发送的消息是否为预设的一个或多个用于指示监听执行网元是否对当前通信进行监听的消息,如果是,则确定该消息为用于指示监听执行网元是否对当前通信进行监听的消息。或者,可以判断当前发送的消息是否为在所有通信中都需要发送的用于传递监听控制信息的消息,如果是,则确定该消息为用于指示监听执行网元是否对当前通信进行监听的消息。
例如,在相关技术中,在通信建立之前或者之后使用特定的消息携带监听指示信息,或者,使用通信建立过程中的消息在其头部或者扩展头部携带监听指示信息。对于在使用特定的消息携带监听指示信息的情况,可以在不对通信监听时也发送该特定的消息,在该特定消息中携带监听指示信息,指示监听执行网元是否对通信进行监听,可以判断当前发送的消息是否为在所有通信中都需要发送的用于传递监听控制信息的消息,如果是,则确定该消息为用于指示监听执行网元是否对当前通信进行监听的消息。对于使用通信建立过程中的消息在其头部或者扩展头部携带监听指示信息的情况,可以判断当前发送的消息是否为预设的一个或多个用于指示监听执行网元是否对当前通信进行监听的消息,如果是,则确定该消息为用于指示监听执行网元是否对当前通信进行监听的消息。
在本发明实施例中,在需要监听和不需要监听时,都在用于指示监听执行网元是否对当前通信进行监听的消息中增加监听指示信息,指示监听执行网元是否对通信进行监听,使得特定人员无法通过对比是否发送特定的消息或者在消息中是否有增加的信息来确定通信是否配监听。在本发明实施例的一个优选实施方式中,为了进一步避免特定人员分析消息中的监听指示信息来判断是否对通信进行监听,在向监听执行网元发送携带有监听指示信息的消息之前,还可以对监听指示信息进行加密。
对监听指示信息进行加密时,可以对监听指示信息进行编码,将明文的指示信息转换成密文,也可以对监听指示信息进行隐藏,或将监听指示信息进行伪装等。在本发明实施例的一个优选实施方式中,可以将监听指示信息隐藏在表示监听指示信息的序列中。例如,在表示监听指示信息的序列中除监听指示信息的表示位之外的其他位中携带随机字符,使得消息的头部具有随机性,从而隐藏监听指示信息。
进一步的,在本发明实施例的一个优选实施方式中,可以按照监听发起网元与监听执行网元的预先定义,随机确定监听指示信息在表示监听指示信息的序列中的位置,将监听指示信息携带在确定的位置,从而使得监听指示信息在表示监听指示信息的序列中具有不确定的位置,从而隐藏监听指示信息。优选地,还可以在表示监听指示信息的序列中的其他位置携带随机的字符。例如,监听发起网元在发送消息时,生成一个随机数(不大于表示监听指示信息的序列的长度)作为监听指示信息在该序列中的位置,并将该随机数携带在该序列中,监听执行网元接收到消息后,在确定的位置获取上述随机数,并在上述序列中随机数指示的位置获取监听指示信息。
在本发明实施例的一个优选实施方式中,上述消息中还携带有监听控制信息,监听控制信息可以包括但不限于:监听媒体复制的目的IP地址和监听媒体复制的端口号。此时,确定监听指示信息在表示监听指示信息的序列中的位置时,可以根据监听媒体复制的端口号确定监听指示信息在表示监听指示信息的序列中的位置,将监听指示信息携带在确定的位置。进一步的,将监听指示信息携带在确定的位置之后,还可以在表示监听指示信息的序列中的其他位置携带随机的字符,从而使得表示监听指示信息的序列的值具有随机性,进一步避免了特定人员通过分析消息中的监听指示信息来判断是否对通信进行监听,增强了通信监听的安全性。
例如,在SIP消息体中携带监听媒体复制的控制信息,包括媒体复制的目的IP地址和端口信息,在SIP扩展头部X-Indication使用16个字母组成的字符串,将监听指示存放在其中,具体的,SIP消息体中端口对16取模,获得0-15内的一个数值,作为存放监听指示的位置,使用1个字母B作为普通呼叫不进行监听的指示,其他15个字母使用{0-9},{a-z},{A-Z}随机组合的字母。
在本发明实施例中,监听执行网元可以接收携带有监听指示信息的消息,并判断该消息中携带的监听指示信息是否指示监听执行网元对当前通信进行监听,如果是监听执行网元对当前通信进行监听。在上述消息携带的是加密后的监听指示信息,监听执行网元判断消息中携带的监听指示信息是否指示监听执行网元对当前通信进行监听之前,还可以对接收到的携带有监听指示信息的消息进行解密,获取监听指示信息。
根据本发明实施例还提供了一种通信监听的指示装置,用以实现本发明实施例提供的方法。
图3是根据本发明实施例的通信监听的指示装置的示意图,如图3所示,该装置主要包括:确定模块10和发送模块20。其中,确定模块10,用于确定当前发送的消息为用于指示监听执行网元是否对当前通信进行监听的消息;发送模块20,与确定模块10相耦合,用于向监听执行网元发送携带有监听指示信息的上述消息,其中,该监听指示信息用于指示监听执行网元是否对当前通信进行监听。
通过本发明实施例,确定模块10确定当前发送的消息为用于指示监听执行网元是否对当前通信进行监听的消息后,发送模块20将用于指示监听执行网元是否对当前通信进行监听的监听指示信息携带上述消息中发送给监听执行网元,使得在需要监听和不需要监听时,用于指示监听执行网元是否对当前通信进行监听的消息中都包含监听指示信息,实现了被监听的通信和未被监听的通信的差异不被识别,消除了现有监听中的安全隐患,能更好的实现通信监听功能。
在本发明实施例的一个优选实施方式中,如图4所示,确定模块10可以包括:第一确定单元102,用于判断当前发送的消息是否为预设的一个或多个用于指示监听执行网元是否对当前通信进行监听的消息,如果是,则确定该消息为用于指示监听执行网元是否对当前通信进行监听的消息;第二确定单元104,用于判断当前发送的消息是否为在所有通信中都需要发送的用于传递监听控制信息的消息,如果是,则确定该消息为用于指示监听执行网元是否对当前通信进行监听的消息。
为了进一步避免特定人员分析消息中的监听指示信息来判断是否对通信进行监听,在向监听执行网元发送携带有监听指示信息的消息之前,还可以对监听指示信息进行加密。因此,在本发明实施例的一个优选实施方式中,如图5所示,上述装置还可以包括:加密模块30,与确定模块10和发送模块20相耦合,用于在发送模块20向监听执行网元发送携带有监听指示信息的所述消息之前,对监听指示信息进行加密。
加密模块30对监听指示信息进行加密时,可以对监听指示信息进行编码,将明文的指示信息转换成密文,也可以对监听指示信息进行隐藏,或将监听指示信息进行伪装等。在本发明实施例的一个优选实施方式中,加密模块30对监听指示信息进行加密时,可以将监听指示信息隐藏在表示监听指示信息的序列中。例如,在表示监听指示信息的序列中除监听指示信息的表示位之外的其他位中携带随机字符,使得消息的头部具有随机性,从而隐藏监听指示信息。
进一步的,可以按照监听发起网元与监听执行网元的预先定义,随机确定监听指示信息在表示监听指示信息的序列中的位置,将监听指示信息携带在确定的位置,从而使得监听指示信息在表示监听指示信息的序列中具有不确定的位置,从而隐藏监听指示信息。优选地,还可以在表示监听指示信息的序列中的其他位置携带随机的字符。因此,在本发明实施例的一个优选实施方式中,加密模块30可以包括:确定单元,用于确定监听指示信息在表示监听指示信息的序列中的位置;携带单元,用于将监听指示信息携带在确定的位置。进一步的,将监听指示信息携带在确定的位置之后,还可以在表示监听指示信息的序列中的其他位置携带随机的字符。
在本发明实施例的另一个优选实施方式中,上述消息中还携带有监听控制信息,监听控制信息可以包括但不限于:监听媒体复制的目的IP地址和监听媒体复制的端口号。此时,加密模块30对监听控制信息进行加密时,可以根据监听媒体复制的端口号确定监听指示信息在表示监听指示信息的序列中的位置,将监听指示信息携带在确定的位置。进一步的,将监听指示信息携带在确定的位置之后,还可以在表示监听指示信息的序列中的其他位置携带随机的字符,从而使得表示监听指示信息的序列的值具有随机性,进一步避免了特定人员通过分析消息中的监听指示信息来判断是否对通信进行监听,增强了通信监听的安全性。
实施例二
根据本发明实施例,提供了一种通信监听的实现方法,结合本发明实施例一的通信监听的指示方法,实现具有高安全性的通信监听。
图6是根据本发明实施例的通信监听的实现方法的流程图,如图6所示,该方法可以包括以下几个步骤(步骤S602-步骤S604):
步骤S602,监听执行网元接收携带有监听指示信息的消息,其中,该监听指示信息用于指示监听执行网元是否对当前通信进行监听;
步骤S604,监听执行网元判断上述监听指示信息是否指示对该通信进行监听;
步骤S606,如果是,监听执行网元对该通信进行监听。
通过本发明实施例,监听执行网元接收携带有用于指示监听执行网元是否对当前通信进行监听的监听指示信息的消息,并判断该监听指示信息是否指示对该通信进行监听,如果是,则监听执行网元对该通信进行监听,实现了具有高安全性的通信监听。
为了进一步避免特定人员通过分析消息中的监听指示信息来判断是否对通信进行监听,在向监听执行网元发送携带有监听指示信息的消息之前,还可以对监听指示信息进行加密,即消息中携带的监听指示信息是经过加密后的监听指示信息,因此,在本发明实施例的一个优选实施方式中,监听执行网元在判断监听指示信息是否指示对通信进行监听之前,还可以对接收到的携带有监听指示信息的消息进行解密,获取监听指示信息。
在本发明实施例中,对接收到的携带有监听指示信息的消息进行解密时,采用与本发明上述实施例提供的加密方法匹配的方法,在本发明实施实例的一个优选实施方式中,监听发起网元按照监听发起网元与监听执行网元的预先定义,随机确定监听指示信息在表示监听指示信息的序列中的位置,将监听指示信息携带在确定的位置,监听执行网元可以确定监听指示信息在表示监听指示信息的序列中的位置,从确定的位置获取所述监听指示信息。
进一步的,监听发起网元对监听控制信息进行加密时,可以根据监听媒体复制的端口号确定监听指示信息在表示监听指示信息的序列中的位置,将监听指示信息携带在确定的位置。进一步的,将监听指示信息携带在确定的位置之后,还可以在表示监听指示信息的序列中的其他位置携带随机的字符,从而使得表示监听指示信息的序列的值具有随机性,进一步避免了特定人员通过分析消息中的监听指示信息来判断是否对通信进行监听,增强了通信监听的安全性。因此,在本发明实施例的一个优选实施方式中,监听执行网元接收到的消息可以携带监听控制信息,该监听控制信息可以包括监听媒体复制的目的IP地址和监听媒体复制的端口号。监听执行网元对接收到的携带有监听指示信息的消息进行解密,获取监听指示信息时,可以根据所述端口号确定监听指示信息在表示监听指示信息的序列中的位置,从确定的位置获取监听指示信息。
根据本发明实施例还提供了一种通信监听的实现装置,用以实现本发明实施例提供的通信监听的实现方法。
图7是根据本发明实施例的通信监听的实现装置的示意图,如图7所示,该装置主要包括:接收模块40、判断模块50和监听模块60。其中,接收模块,用于接收携带有监听指示信息的消息,其中,该监听指示信息用于指示监听执行网元是否对当前通信进行监听;判断模块50,与接收模块40相耦合,用于判断上述监听指示信息是否指示对通信进行监听;监听模块60,与判断模块50相耦合,用于在判断模块50的判断结果为是时,对通信进行监听。
通过本发明实施例,接收模块40接收携带有用于指示监听执行网元是否对当前通信进行监听的监听指示信息的消息,并由判断模块50判断该监听指示信息是否指示对该通信进行监听,如果是,则由监听模块60对该通信进行监听,实现了具有高安全性的通信监听。
为了进一步避免特定人员通过分析消息中的监听指示信息来判断是否对通信进行监听,在向监听执行网元发送携带有监听指示信息的消息之前,还可以对监听指示信息进行加密,即消息中携带的监听指示信息是经过加密后的监听指示信息,因此,在本发明实施例的一个优选实施方式中,如图8所示,上述装置还可以包括:解密模块70,与接收模块40和判断模块50相耦合,用于对接收模块40接收到的携带有监听指示信息的消息进行解密,获取监听指示信息。
监听发起网元对监听控制信息进行加密时,可以根据监听媒体复制的端口号确定监听指示信息在表示监听指示信息的序列中的位置,将监听指示信息携带在确定的位置。进一步的,将监听指示信息携带在确定的位置之后,还可以在表示监听指示信息的序列中的其他位置携带随机的字符,从而使得表示监听指示信息的序列的值具有随机性,进一步避免了特定人员通过分析消息中的监听指示信息来判断是否对通信进行监听,增强了通信监听的安全性。
因此,在本发明实施例的一个优选实施方式中,接收模块40接收到的消息可以携带监听控制信息,该监听控制信息可以包括监听媒体复制的目的IP地址和监听媒体复制的端口号。解密模块70对接收到的携带有监听指示信息的消息进行解密,获取监听指示信息时,可以根据端口号确定监听指示信息在表示监听指示信息的序列中的位置,从确定的位置获取监听指示信息。
实施例三
网际协议多媒体子系统(IP Multimedia Subsystem,简称为IMS)是未来多媒体通信的发展方向,也是下一代网络最为重要的组成部分。它是第三代合作伙伴计划(Third GenerationPartnership Project,简称为3GPP)提出的支持IP多媒体业务的子系统,其显著特征是采用了会话初始协议(Session Initial Protocol,简称为SIP)体系,通信与接入方式无关,具备多种多媒体业务的控制功能与承载能力分离、呼叫与会话分离、应用与服务分离、业务与网络分离,以及移动网与因特网业务融合等多种能力。
在IMS架构中,呼叫会话控制功能(Call Session Control Function,简称CSCF)实体是IMS的核心功能实体,主要用于实现IMS的呼叫和会话控制。IMS中定义了三种CSCF实体:代理呼叫会话控制功能实体(Proxy-CSCF,简称为P-CSCF)、问询呼叫会话控制功能实体(Interrogating CSCF,简称为I-CSCF)和服务呼叫会话控制功能实体(Serving-CSCF,简称为S-CSCF);其中,S-CSCF的主要功能是接受用户注册,从归属用户服务器(Home SubscriberServer,简称为HSS)下载并临时存储用户相关数据;重定向路由,进行呼叫会话控制;触发用户签约业务,协同业务平台进行业务支持等。IMS中的HSS实体则主要负责存储用户签约信息和位置信息等。IMS中的应用服务器(Application Server,简称为AS)实体向用户提供业务逻辑,包括传统的电话业务,如呼叫前转、呼叫转接、会议等业务,以及新兴的业务功能,如即时消息,文件传输等。在本发明实施例中,以用于IMS网络的合法监听为例,对本发明上述实施例提供的方法进行具体说明。为了解决现有IMS合法监听过程中,网元之间使用SIP协议传递监听控制信息时,容易被运营商维护人员识别的安全隐患问题传递的问题,在3GPP TS 33.106和3GPP TS 33.107标准基础上,对各网元之间传递的监听控制信息进行信息隐藏,从而消除目前监听控制信息特征过于明显带来的安全隐患。
图9是根据本发明实施例的合法监听系统的示意图,在如图9所示的用于IMS网络的合法监听系统中,主要包括以下网元:
P-CSCF 902,设置为IMS终端和IMS网络之间的SIP代理服务器,负责SIP终端的接入,安全保护,SIP消息的压缩和解压缩等,在本发明实施例中可以作为监听实施网元(即监听执行网元),作为监听实施网元时,P-CSCF 902支持将收到的经过信息隐藏的监听控制信息进行解析处理,并实施监听操作。
S-CSCF 904,负责呼叫路由、业务触发,鉴权等功能,在本发明实施例中可以作为监听实施网元,在作为监听实施网元时,S-CSCF 904支持将收到的经过信息隐藏的监听控制信息进行解析处理,并实施监听操作。
AS 906,负责实现为用户提供业务功能,在本发明实施中可以作为监听发起网元和监听实施网元,在作为监听发起网元和监听实施网元时,AS 906支持对监听控制信息进行信息隐藏,以及对收到的监听控制信息进行解析处理,并实施监听操作。
边界网关功能(Access Border Gateway Function,简称为A-BGF)908,在固定网络接入IMS的架构中,用于在终端和业务提供网络之间提供信令和媒体流的网络地址转换,在本发明实施例中可以作为监听实施网元,在作为监听实施网元时,A-BGF 908支持将收到的经过信息隐藏的监听控制信息进行解析处理,并实施监听操作。
接入网关控制功能(Access Gateway Control Function,简称为AGCF)910,在固定网络接入IMS的架构中,用于为不同类型的接入设备接入IMS网络提供协议转换、代理注册等功能,在本发明实施例中可以作为监听实施网元,在作为监听实施网元时,AGCF 910支持将收到的经过信息隐藏的监听控制信息进行解析处理,并实施监听操作。
在本发明实施例提供的方法中,可以适用于以下监听控制信息的传递方式:1)在SIP会话内新增特定SIP消息传递;2)在已有SIP消息中使用特定扩展头部传递;3)在已有SIP消息中使用现有头部中携带扩展参数。
图10是根据本发明实施例的合法监听的实现方法的流程图,如图10所示,该方法可以包括以下几个步骤(步骤S1002-步骤S1008)。
步骤S1002,发出监听控制信息的网元,例如,AS 906,对监听控制信息进行隐藏运算,在隐藏的信息中指明了该呼叫为“普通呼叫”或是“被监听呼叫”。
步骤S1004,发出监听控制信息的网元,例如,AS 906,在所有呼叫中(包括普通呼叫和监听呼叫)加入用于传递监听控制信息的特定SIP消息或SIP扩展头部或SIP扩展参数。
步骤S1006,接收到监听控制信息的网元,例如,A-BGF 908,P-CSCF 902,S-CSCF 904等,通过信息运算,提取监听控制信息,判断该呼叫是否需要进行监听,如果是普通呼叫则不进行监听处理,如果是被监听呼叫则进行监听处理。
步骤S1008,接收到监听控制信息的网元,例如,A-BGF 908,P-CSCF 902,S-CSCF 904等,对所有呼叫中的监听控制信息是否传递到下一跳网元进行统一处理,保持“普通呼叫”和“被监听呼叫”的处理原则相同。
在本发明实施例中,监听控制信息可以在特定SIP消息或SIP扩展头部或SIP扩展参数传递,监控控制信息隐藏的算法可以不同,只需要保证普通呼叫和被监听呼叫的信息无法通过比较的方式进行区分,采用不同的隐藏算法均适用本发明实施例的方法。
通过本发明实施例,可以解决IMS架构下合法监听的监听控制信息传递过于明显的问题,在不影响IMS监听架构的同时,可以消除现有方案中存在的安全隐患。
实施例四
根据本发明实施例,以在SIP会话内新增特定SIP消息传递监听控制信息为例,对本发明实施例提供的合法监听的实现方法进行说明。
图11和图12是根据相关技术的合法监听的信令流程图,监听控制信息(在本发明实施例中为媒体复制指示)由AS通过SIP对话内的INFO请求发送给A-BGF完成。
下面结合图11(在图中省略了A用户发起呼叫的过程),当B用户被监听时,A用户呼叫B用户时,该合法监听包括以下步骤:
步骤S1101,B用户所在IMS网络的S-CSCF收到SIP INVITE请求;
步骤S1102,S-CSCF根据用户的签约规则初始过滤规则(initial Filter Criteria,简称为iFC)触发SIPINVITE到AS;
步骤S1103,AS执行业务处理逻辑后,转发SIP INVITE请求给S-CSCF;
步骤S1104,S-CSCF根据B用户注册时的记录的信息,转发SIP INVITE请求给P-CSCF;
步骤S1105,P-CSCF转发SIP INVITE请求给A-BGF;
步骤S1106,A-BGF转发SIP INVITE请求给B用户;
步骤S1107,B用户返回SIP 200OK响应,经过各网元到达A用户,A-B的呼叫建立;
步骤S1108,AS向S-CSCF发送对话内的SIP INFO请求,其中,在SIP消息体中携带监听媒体复制的控制信息,包括媒体复制的目的IP地址和端口信息,在SIP消息头部增加一个扩展头部X-Indication:copy作为监听本路呼叫的指示;
步骤S1109,S-CSCF转发SIP INFO请求给P-CSCF;
步骤S1110,P-CSCF转发SIP INFO请求给A-BGF;
步骤S1111,A-BGF根据X-Indication:copy监听指示确定本呼叫需要监听,从SIP消息体中获取媒体复制的IP地址和端口信息,执行本路呼叫的监听媒体复制;
下面结合图12(在图中省略了A用户发起呼叫的过程),当B用户未被监听时,A用户呼叫B用户时,该合法监听包括以下步骤:
步骤S1201,B用户所在IMS网络的S-CSCF收到SIP INVITE请求;
步骤S1202,S-CSCF根据用户的签约规则iFC触发SIP INVITE到AS;
步骤S 1203,AS执行业务处理逻辑后,转发SIP INVITE请求给S-CSCF;
步骤S1204,S-CSCF根据B用户注册时的记录的信息,转发SIP INVITE请求给P-CSCF;
步骤S 1205,P-CSCF转发SIP INVITE请求给A-BGF;
步骤S1206,A-BGF转发SIP INVITE请求给UE-B;
步骤S1207,B用户返回SIP 200OK响应,经过各网元到达A用户,A-B的呼叫建立,流程结束。
从上述两个过程可以确定,上述监听方案虽然能实现监听的媒体复制要求,但该特殊的SIP INFO消息暴露了监听的意图,使得设备运维人员等特殊人群通过对比不同的呼叫就容易发现哪个用户被监听,造成了一定的安全隐患。
图13和图14是根据本发明实施例的合法监听的信令流程图,监听控制信息(在本发明实施例中为媒体复制指示)由AS通过SIP对话内的INFO请求发送给A-BGF完成。
结合图13(在图中省略了A用户发起呼叫的过程),当B用户被监听时,A用户呼叫B用户,该合法监听包括以下步骤:
步骤S1301,B用户所在IMS网络的S-CSCF收到SIP INVITE请求;
步骤S1302,S-CSCF根据用户的签约规则iFC触发SIP INVITE到AS;
步骤S1303,AS执行业务处理逻辑后,转发SIP INVITE请求给S-CSCF;
步骤S1304,S-CSCF根据B用户注册时的记录的信息,转发SIP INVITE请求给P-CSCF;
步骤S1305,P-CSCF转发SIP INVITE请求给A-BGF;
步骤S1306,A-BGF转发SIP INVITE请求给B用户;
步骤S1307,B用户返回SIP 200OK响应,经过各网元到达A用户,A-B的呼叫建立;
步骤S1308,AS向S-CSCF发送对话内的SIP INFO请求,其中,在SIP消息体中携带监听媒体复制的控制信息,包括媒体复制的目的IP地址和端口信息,在SIP扩展头部X-Indication使用16个字母组成的字符串,将监听指示存放在其中,具体的,SIP消息体中端口对16取模,获得0-15内的一个数值,作为存放监听指示的位置;使用1个字母A作为监听指示,其他15个字母使用{0-9},{a-z},{A-Z}随机组合的字母。
步骤S1309,S-CSCF转发SIP INFO请求给P-CSCF;
步骤S1310,P-CSCF转发SIP INFO请求给A-BGF;
步骤S1311,A-BGF根据X-Indication扩展头部,从SIP消息体中读取端口信息,执行与AS相同的运算,判断出本次呼叫需要监听,执行本路呼叫的监听媒体复制;
结合图14(在图中省略了A用户发起呼叫的过程),当B用户未被监听时,A用户呼叫B用户,该合法监听包括以下步骤:
步骤S1401,B用户所在IMS网络的S-CSCF收到SIP INVITE请求;
步骤S1402,S-CSCF根据用户的签约规则iFC触发SIP INVITE到AS;
步骤S1403,AS执行业务处理逻辑后,转发SIP INVITE请求给S-CSCF;
步骤S1404,S-CSCF根据B用户注册时的记录的信息,转发SIP INVITE请求给P-CSCF;
步骤S1405,P-CSCF转发SIP INVITE请求给A-BGF;
步骤S1406,A-BGF转发SIP INVITE请求给B用户;
步骤S1407,B用户返回SIP 200OK响应,经过各网元到达A用户,A-B的呼叫建立;
步骤S1408,AS向S-CSCF发送对话内的SIP INFO请求,其中,在SIP消息体中携带监听媒体复制的控制信息,包括媒体复制的目的IP地址和端口信息,在SIP扩展头部X-Indication使用16个字母组成的字符串,将监听指示存放在其中,具体的,SIP消息体中端口对16取模,获得0-15内的一个数值,作为存放监听指示的位置,使用1个字母B作为普通呼叫不监听指示,其他15个字母使用{0-9},{a-z},{A-Z}随机组合的字母。
步骤S1409,S-CSCF转发SIP INFO请求给P-CSCF;
步骤S1410,P-CSCF转发SIP INFO请求给A-BGF;
步骤S1411,A-BGF根据X-Indication扩展头部,从SIP消息体中读取端口信息,执行与AS相同的运算,判断出本次呼叫不需要监听,不执行监听媒体复制操作。
通过上述两个过程可以确定,B用户监听和未被监听情况下,SIP消息流程和SIP参数保持一致,而且监听指示通过一定运算进行了信息隐藏,设备运维人员等特殊人员在不知晓运算规则的情况下,无法获知该用户是否被监听,从而消除了原有方案存在的安全隐患。
实施例五
根据本发明实施例,以在SIP会话建立过程中,通过建立会话中使用的SIP消息传递监听控制信息为例,对本发明实施例提供的合法监听的实现方法进行说明。
在相关技术中,如图15所示,当A或B用户被监听时,在A用户与B用户的通信过程中在SIP消息的扩展头部(例如,INVITE B的扩展头部)携带监听指示信息,当A用户和B用户不需要监听时,如图16所示,不在上述消息中携带监听指示信息。
在本发明实施例中,采用SIP协议的扩展头域所传递的信息包含监听的相关信息,例如,被监听方是主叫还是被叫,媒体复制目标地址等。SIP协议的扩展头域中携带有监听指示信息,指示监听执行网元是否对通信进行监听。SIP协议的扩展头域既可以在返回的响应消息中(例如,180/183/200OK等,优选地,该消息是第一条响应消息,但本发明实施例不局限于第一条)携带给B的AS/S-CSCF/P-CSCF/A-BGF,也可以在请求消息(例如,INVITE/PRACK/ACK等,优选地,该消息是第一条请求消息,但本发明实施例并不局限于第一条请求消息)中向前携带给B的AS/S-CSCF/P-CSCF/A-BGF。
此外,在相关技术中,如图17所示,当A或B用户被监听时,在A用户与B用户的通信过程中在SIP消息的现有头域中的扩展参数携带监听指示信息,当A用户和B用户不需要监听时,如图18所示,不在上述消息中携带监听指示信息。
在本发明实施例中,还可以采用SIP协议现有头域中的扩展参数所传递的信息包含监听的相关信息,例如,被监听方是主叫还是被叫,媒体复制目标地址等。在SIP消息的现有头域中的扩展参数中携带有监听指示信息,指示监听执行网元是否对通信进行监听。上述扩展参数既可以在返回的响应消息中(例如,180/183/200OK等,优选地,该消息是第一条响应消息,但本发明实施例不局限于第一条)携带给B的AS/S-CSCF/P-CSCF/A-BGF,也可以在请求消息(例如,INVITE/PRACK/ACK等,优选地,该消息是第一条请求消息,但本发明实施例并不局限于第一条请求消息)中向前携带给B的AS/S-CSCF/P-CSCF/A-BGF。
通过本发明实施例在可以看出,在本发明实施例中,在需要监听和不需要监听时,都在SIP协议的扩展头域或SIP消息的现有头域中的扩展参数中携带监听指示信息,从而使得特定人员不能通过对比消息中是否包含监听指示信息来确定通信是否被监听,从而增加了安全性。至于对监听指示信息的隐藏防范,可以采用本发明上述实施了相同的方法,在此不再赘述。
从以上的描述中,可以看出,本发明实现了如下技术效果:确定当前发送的消息为用于指示监听执行网元是否对当前通信进行监听的消息后,将用于指示监听执行网元是否对当前通信进行监听的监听指示信息携带上述消息中,使得在需要监听和不需要监听时,用于指示监听执行网元是否对当前通信进行监听的消息中都包含监听指示信息,实现了被监听的通信和未被监听的通信的差异不被识别,消除了现有监听中的安全隐患,能更好的实现通信监听功能。监听执行网元接收携带有用于指示监听执行网元是否对当前通信进行监听的监听指示信息的消息,并判断该监听指示信息是否指示对该通信进行监听,如果是,则监听执行网元对该通信进行监听,实现了具有高安全性的通信监听。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。