CN104767709A - 一种封堵ims业务异常呼叫的方法及装置 - Google Patents
一种封堵ims业务异常呼叫的方法及装置 Download PDFInfo
- Publication number
- CN104767709A CN104767709A CN201410001443.2A CN201410001443A CN104767709A CN 104767709 A CN104767709 A CN 104767709A CN 201410001443 A CN201410001443 A CN 201410001443A CN 104767709 A CN104767709 A CN 104767709A
- Authority
- CN
- China
- Prior art keywords
- call
- called number
- request message
- calling
- forwarded call
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种封堵IMS业务异常呼叫的方法及装置,用以解决现有技术中存在无法预防网络中利用IMS的Transit功能漏洞攻击的问题。该方法包括:接收查询呼叫会话控制实体发送的转发呼叫的请求消息,该转发呼叫的请求消息中携带被叫号码,该转发呼叫的请求消息是查询呼叫会话控制实体从归属用户服务器获取不到转发呼叫的主叫号码的用户数据时发送的;检查上述转发呼叫的请求消息中携带的被叫号码的格式;当确定该被叫号码格式不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种封堵IMS业务异常呼叫的方法及装置。
背景技术
目前IMS(IP多媒体系统)核心网络安全是由防火墙和SBC(会话边界控制器)实现。在核心网内部各个网元间的信令交互是通过CE(用户边缘设备)或者防火墙进行疏通的。
作为开放的多媒体业务平台,IMS随时面临着非法用户针对网络漏洞进行的各个层面的攻击,包括但不限于接入层、信令控制层、媒体层和业务层等。现有IMS安全防护措施都是基于网络层面(如在防火墙、SBC上部署安全策略)去防护,但IMS毕竟是基于网络运营的voip(网络语音电话业务),且SIP(会话发起协议)的开放性特点,非常有可能被非法用户利用,而进行业务层面的攻击。尤其针对IMS网路中的Transit(转接)功能的漏洞,该漏洞可以被非法用户利用,进行欺骗呼叫等非法通信行为,比如可以被境外的非法用户利用,导致大量的非法国际呼叫产生,给用户、运营商等带来极大的损失,甚至可能损坏国家形象或者危及国家安全。
Transit(转接)是IMS网络中提供的一种网络桥接功能,目的是为非本域IMS用户找寻可达的路径。
正是IMS网络中提供了Transit的功能,当IMS网络打开Transit功能后,使得非法终端用户利用Transit的功能漏洞可以实施欺骗呼叫。下面以非法终端用户利用Transit功能漏洞实施呼叫为例,具体利用Transit疏通流程如下:
非法终端使用境外的IP作为源IP地址,从拜访省(简称A省)的SBC和P-CSCF(代理呼叫会话控制)进行注册。虽然该终端所使用的是C省移动的IMS号段,但是其域名使用的确实B省的IMS域名。所以A省的P-CSCF确定是B省的IMS用户漫游到该省,故将其注册消息转发给B省的IMS网络。由于B省的IMS网络并没有C省的IMS号段的数据,故返回结果为注册失败。
尽管是注册失败,该终端仍然能够向A省的SBC和P-CSCF发送呼叫请求消息。A省的IMS网络通过I-CSCF(查询呼叫会话控制),将呼叫请求消息发送给B省的IMS网络的I-CSCF。
在B省的I-CSCF接收到A省IMS网络中I-CSCF发送的请求消息后,在HSS(归属用户服务器)中查询不到该终端的注册状态。这样I-CSCF认为是一个落地呼叫(呼叫在本网络即能疏通接续,无需转接到其他网络),并且需要Breakout。由于I-CSCF具有transit功能,I-CSCF将这个呼叫作为一个Transitcall转到TRCF(过境路由控制功能,I/S-CSCF的一个组件,用于实现Transit功能),TRCF把呼叫转给BGCF(出口网关控制功能)处理,从而经过MGCF(媒体网关控制功能)到CS域,并从国际关口局发出,最终导致该国际呼叫被接通(被叫为国外某IVR)。
发明内容
本发明实施例提供了一种封堵IMS业务异常呼叫的方法及装置,用以解决现有技术中存在无法预防网络中利用IMS的Transit功能漏洞攻击的问题。
本发明实施例提供了一种封堵IMS业务异常呼叫的方法,该方法包括:
接收I-CSCF发送的转发呼叫的请求消息,该转发呼叫的请求消息中携带被叫号码,该转发呼叫的请求消息是I-CSCF从HSS获取不到转发呼叫的主叫号码的用户数据时发送的;
检查上述转发呼叫的请求消息中携带的被叫号码的格式;
当确定该被叫号码格式不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。
利用上述方法,接收I-CSCF发送的转发呼叫的请求消息,该转发呼叫的请求消息中携带被叫号码,该转发呼叫的请求消息是I-CSCF从HSS获取不到转发呼叫的主叫号码的用户数据时发送的;检查上述转发呼叫的请求消息中携带的被叫号码的格式;当确定该被叫号码格式不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。可以预防网络中利用IMS的Transit功能漏洞的攻击。
较佳的,确定该被叫号码格式不符合呼叫允许通过的策略,具体可以包括:
若该被叫号码格式为会话发起协议-统一资源标识符(SIP-URI)格式,确定该被叫号码格式不符合上述呼叫允许通过的策略。
基于上述任意实施例,较佳的,上述终止转发呼叫请求,具体包括:
向I-CSCF发送终止呼叫请求响应;或者,
不响应转发呼叫的请求消息。
基于上述任意方法实施例,较佳的,该方法还包括:
若确定上述被叫号码格式符合呼叫允许通过的策略时,将该转发呼叫的请求消息转发给TRCF;
或者,
若确定所述被叫号码格式符合所述呼叫允许通过的策略时,查询预设的呼叫授权表,根据查询结果发送呼叫请求响应,该呼叫授权表中包括授权号段、互联网协议地址、端口信息及协议中的至少一项。
较佳的,确定上述被叫号码格式符合呼叫允许通过的策略,具体包括:
若上述被叫号码格式为电话号码-统一资源标识符(TEL-URI)格式,确定该被叫号码格式符合呼叫允许通过的策略。
本发明实施例还提供一种封堵IMS业务异常呼叫的方法,该方法包括:
I-CSCF从归属用户服务器获取不到转发呼叫的主叫号码的用户数据;
I-CSCF向转发控制实体发送转发呼叫的请求消息,所述转发呼叫的请求消息中携带被叫号码,以使转发控制实体检查转发呼叫的请求消息中携带的被叫号码的格式是否符合预先定义的呼叫允许通过的策略,若不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。
上述方法,I-CSCF向转发控制实体发送转发呼叫的请求消息,所述转发呼叫的请求消息中携带被叫号码,以使转发控制实体检查该转发呼叫的请求消息中携带的被叫号码的格式是否符合预先定义的呼叫允许通过的策略,若不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。可以预防网络中利用IMS的Transit功能漏洞的攻击。
较佳的,若I-CSCF从HSS获取到转发呼叫的主叫号码的用户数据时,将所述转发呼叫的请求消息转发给TRCF。
本发明实施例还提供了一种封堵IMS业务异常呼叫的装置,该装置包括:
接收单元,用于接收I-CSCF发送的转发呼叫的请求消息,该转发呼叫的请求消息中携带被叫号码,该转发呼叫的请求消息是I-CSCF从HSS获取不到转发呼叫的主叫号码的用户数据时发送的;
查询单元,用于检查转发呼叫的请求消息中携带的被叫号码的格式;
确定单元,用于确定该被叫号码格式不符合预先定义的呼叫允许通过的策略;
终止单元,用于当确定该被叫号码格式不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。
利用上述装置,接收单元接收I-CSCF发送的转发呼叫的请求消息,该转发呼叫的请求消息中携带被叫号码,该转发呼叫的请求消息是I-CSCF从HSS获取不到转发呼叫的主叫号码的用户数据时发送的;查询单元检查上述转发呼叫的请求消息中携带的被叫号码的格式;当确定单元确定该被叫号码格式不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。可以预防网络中利用IMS的Transit功能漏洞的攻击。
较佳的,确定单元还用于,若该被叫号码格式为SIP-URI格式,确定该被叫号码格式不符合呼叫允许通过的策略。
基于上述任意实施例,较佳的,终止单元还用于,向I-CSCF发送终止呼叫请求响应。
基于上述任意实施例,较佳的,该装置还包括发送单元:
确定单元还用于,确定被叫号码格式符合呼叫允许通过的策略;
若确定单元确定该被叫号码格式符合呼叫允许通过的策略时,发送单元用于将转发呼叫的请求消息转发给TRCF;
或者,
若确定单元确定所述被叫号码格式符合所述呼叫允许通过的策略时,发送单元用于查询预设的呼叫授权表,根据查询结果发送呼叫请求响应,该呼叫授权表中包括授权号段,互联网协议地址,端口信息及协议中的至少一项。
较佳的,确定单元还用于,在被叫号码为TEL-URI格式时,确定该被叫号码格式符合呼叫允许通过的策略。
本发明实施例还提供了一种封堵IMS业务异常呼叫的装置,该装置包括:
获取单元,用于从HSS获取不到转发呼叫的主叫号码的用户数据;
发送单元,用于向转发控制实体发送转发呼叫的请求消息,所述转发呼叫的请求消息中携带被叫号码,以使转发控制实体检查所述转发呼叫的请求消息中携带的被叫号码的格式是否符合预先定义的呼叫允许通过的策略,若不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。
上述装置,获取单元从HSS获取不到转发呼叫的主叫号码的用户数据;发送单元向转发控制实体发送转发呼叫的请求消息,该转发呼叫的请求消息中携带被叫号码,以使转发控制实体检查该转发呼叫的请求消息中携带的被叫号码的格式是否符合预先定义的呼叫允许通过的策略,若不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。可以预防网络中利用IMS的Transit功能漏洞的攻击。
较佳的,若获取单元从HSS获取到转发呼叫的主叫号码的用户数据时,发送单元用于,将所述转发呼叫的请求消息转发给TRCF。
附图说明
图1为本发明实施例提供的封堵IMS异常呼叫的第一种方法流程图;
图2为本发明实施例提供的封堵IMS异常呼叫的第二种方法流程图;
图3为本发明实施例提供的封堵IMS异常呼叫的第一装置示意图;
图4为本发明实施例提供的封堵IMS异常呼叫的第二装置示意图。
具体实施方式
本发明实施例提供了一种封堵IMS业务异常呼叫的方法及装置,用以解决现有技术中存在无法预防网络中利用IMS的Transit功能漏洞攻击的问题。
下面结合附图对本发明实施例做进一步说明。
本发明实施例提供了一种封堵IMS业务异常呼叫的方法,如图1所示,该方法包括:
S101:接收I-CSCF发送的转发呼叫的请求消息,该转发呼叫的请求消息中携带被叫号码,该转发呼叫的请求消息是I-CSCF从HSS获取不到转发呼叫的主叫号码的用户数据时发送的。
上述转发呼叫的请求消息可以是SIP消息,也可以是其他的消息。
该主叫号码的用户数据包括用户号码、鉴权信息、业务数据等。且运营商对现有的号码都会存储用户数据。
S102:检查上述转发呼叫的请求消息中携带的被叫号码的格式。
被叫号码的格式可能是SIP-URI格式,还有可能是TEL-URI格式等等。
较佳的,该被叫号码可以携带在转发呼叫的请求消息的消息头中。若携带在消息头中,则步骤S102中,只需检查转发呼叫的请求消息的消息头即可。
S103:当确定该被叫号码格式不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。
较佳的,上述终止转发呼叫,具体可以包括但不仅限于以下两种实现方式:
第一种实现方式:向I-CSCF发送终止呼叫请求响应。
例如:向I-CSCF回复403Forbidden。
第二种实现方式:不响应转发呼叫的请求消息。
利用上述方法,接收I-CSCF发送的转发呼叫的请求消息,该转发呼叫的请求消息中携带被叫号码,该转发呼叫的请求消息是I-CSCF从HSS获取不到转发呼叫的主叫号码的用户数据时发送的;检查上述转发呼叫的请求消息中携带的被叫号码的格式;当确定该被叫号码格式不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。可以预防网络中利用IMS的Transit功能漏洞的攻击,可以解决利用Transit漏洞实施话费欺诈的问题,保障融合通信业务安全稳定运行。
实现上述方法的转发控制功能实体可以是:互联边界控制功能实体(IBCF),仅需设置于I-CSCF和TRCF之间。还可以是现网空闲的A-SBC进行数据改造后的设备。只要能够实现本发明实施例提供的实现方式的功能实体均适用,本发明实施例对此不做具体限定。利用该设备能够快速部署,并在各IMS网络中快速应用。实现上述方法的功能实体还可以根据用户需求进行灵活扩展,满足各类业务定制化的安全需求。本发明实施例中提供的方法仅针对Transit呼叫的请求消息,针对非Transit呼叫的请求消息不会经过转发控制功能实体。因此不会对非Transit呼叫的请求消息产生影响。
为利用上述提供的转发控制功能实体实现上述对Transit呼叫的检查控制,该提供的功能实体要进行相应配置。配置内容大致分为下述2项:
1)、定义与I-CSCF和TRCF互联所需要的Realm和SIP接口。
在IMS网络中,路由寻址是通过域名服务器(DNS),所以需要在电话号码映射(ENUM)\DNS上需要增加新的转发控制实体的域名解释。
其中I-CSCF上需要将原来指向TRCF的SIP-URI改为新增加的转发控制功能实体的SIP-URI,达到改变I-CSCF的Transit呼叫路由指向的目的。具体是指将其中的路由信息进行修改。例如:I-CSCF、TRCF及S-CSCF设置在同一物理设备中,路由寻址是靠IP+端口号来进行的,由于SIP-URI格式包括Transit端口号,所以在I-CSCF上对其中的Transit端口号进行修改,将原来指向TRCF的SIP-URI改为新增加的转发控制功能实体的SIP-URI,就能达到路由指向的目的。当然NDS需要事先增加转发控制功能实体的域名解析。
相应的,上述是通过SIP接口接收I-CSCF发送的转发呼叫的请求消息,通过SIP接口发送终止呼叫请求响应。
2)、为封堵该异常呼叫,可以在该提供的功能实体上定义呼叫允许通过的策略。
较佳的,呼叫允许通过的策略可以是:格式为TEL-URI的被叫号码符合呼叫允许通过的策略。
基于上述任意方法实施例,较佳的,格式为SIP-URI的被叫号码不符合上述呼叫允许通过的策略。
现有的IMS网络中有以下两种号码格式:一种是SIP-URI,另一种是TEL-URI。在IMS域间转发号码TEL-URI时,由于不会触发Transit功能,所以是正常的,而SIP-URI格式的号码会利用Transit的漏洞,在获取不到主叫用户的用户信息时,由于用户域名指向本IMS域,会触发Transit漏洞予以疏通。则利用上述方法,将被叫号码格式为SIP-URI的呼叫封堵,防止该格式的号码对Transit漏洞的攻击,可以解决利用Transit漏洞进行各类攻击获取非法利益的问题,保障融合通信业务安全稳定运行。
基于上述任意方法实施例,较佳的,该方法还包括:
若确定上述被叫号码格式符合呼叫允许通过的策略时,将该转发呼叫的请求消息转发给TRCF;
或者,
若确定上述被叫号码格式符合呼叫允许通过的策略时,查询预设的呼叫授权表,根据查询结果发送呼叫请求响应,该呼叫授权表中包括授权号段、互联网协议地址、端口信息及协议中的至少一项。
上述协议可以是应用层的协议,例如SIP、H323等等,也可以是传输层的协议,例如用户数据报协议(UDP)、传输控制协议(TCP)等等。
在上述转发呼叫的请求消息中可以携带被叫号码的授权号段、IP(互联网协议)地址、端口信息及遵循的协议中的至少一项,则可以根据携带的信息,查询呼叫授权表,查询是否有相对应的信息,若有,可以将转发呼叫的请求信息转发给TRCF,若没有相对应的信息,可以向I-CSCF发送终止呼叫请求响应,或者不响应该转发呼叫的请求消息。
例如:转发呼叫的请求消息中携带被叫号码的端口信息,根据携带的端口信息,查询呼叫授权表中是否有该端口信息,若有,可以将转发呼叫的请求信息转发给TRCF,若没有相对应的信息,可以向I-CSCF发送终止呼叫请求响应。
上述还可以设置呼叫禁止表,则确定上述被叫号码格式符合呼叫允许通过的策略时,查询预设的呼叫禁止表,根据转发呼叫的请求消息中携带的信息,查询该呼叫禁止表,若查询到相关信息,可以终止呼叫,若查询不到,可以将转发呼叫的请求信息转发给TRCF。
相应的,上述转发呼叫的请求消息是通过SIP接口转发给TRCF。
本发明实施例还提供了一种封堵IMS业务异常呼叫的方法,如图2所示,该方法包括:
S201:I-CSCF从HSS获取不到转发呼叫的主叫号码的用户数据;
S202:I-CSCF向转发控制实体发送转发呼叫的请求消息,该转发呼叫的请求消息中携带被叫号码,以使转发控制实体检查转发呼叫的请求消息中携带的被叫号码的格式是否符合预先定义的呼叫允许通过的策略,若不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。
上述方法,I-CSCF向转发控制实体发送转发呼叫的请求消息,所述转发呼叫的请求消息中携带被叫号码,以使转发控制实体检查该转发呼叫的请求消息中携带的被叫号码的格式是否符合预先定义的呼叫允许通过的策略,若不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。可以预防网络中利用IMS的Transit功能漏洞的攻击。
较佳的,若I-CSCF从HSS获取到转发呼叫的主叫号码的用户数据时,将该转发呼叫的请求消息转发给TRCF。
本发明实施例还提供了一种封堵IMS业务异常呼叫的装置,如图3所示,该装置包括:
接收单元301,用于接收I-CSCF发送的转发呼叫的请求消息,该转发呼叫的请求消息中携带被叫号码,该转发呼叫的请求消息是I-CSCF从HSS获取不到转发呼叫的主叫号码的用户数据时发送的;
查询单元302,用于检查转发呼叫的请求消息中携带的被叫号码的格式;
确定单元303,用于确定该被叫号码格式不符合预先定义的呼叫允许通过的策略;
终止单元304,用于当确定该被叫号码格式不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。
利用上述装置,接收单元301接收I-CSCF发送的转发呼叫的请求消息,该转发呼叫的请求消息中携带被叫号码,该转发呼叫的请求消息是I-CSCF从HSS获取不到转发呼叫的主叫号码的用户数据时发送的;查询单元302检查上述转发呼叫的请求消息中携带的被叫号码的格式;当确定单元303确定该被叫号码格式不符合预先定义的呼叫允许通过的策略时,终止单元304终止转发呼叫。可以预防网络中利用IMS的Transit功能漏洞的攻击。
较佳的,确定单元303还用于,在该被叫号码格式为会话发起协议格式,确定该被叫号码格式不符合呼叫允许通过的策略。
基于上述任意实施例,较佳的,终止单元304还用于,向I-CSCF发送终止呼叫请求响应。
基于上述任意实施例,较佳的,该装置还包括发送单元:
确定单元303还用于,确定被叫号码格式符合呼叫允许通过的策略;
若确定单元303确定该被叫号码格式符合呼叫允许通过的策略时,发送单元用于将转发呼叫的请求消息转发给TRCF;
或者,
若确定单元303确定所述被叫号码格式符合所述呼叫允许通过的策略时,发送单元用于查询预设的呼叫授权表,根据查询结果发送呼叫请求响应,该呼叫授权表中包括授权号段,互联网协议地址,端口信息及协议中的至少一项。
较佳的,确定单元303还用于,在被叫号码为TEL-URI格式时,确定该被叫号码格式符合呼叫允许通过的策略。
本发明实施例还提供了一种封堵IMS业务异常呼叫的装置,如图4所示,该装置包括:
获取单元401,用于从HSS获取不到转发呼叫的主叫号码的用户数据;
发送单元402,用于向转发控制实体发送转发呼叫的请求消息,所述转发呼叫的请求消息中携带被叫号码,以使转发控制实体检查所述转发呼叫的请求消息中携带的被叫号码的格式是否符合预先定义的呼叫允许通过的策略,若不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。
上述装置,获取单元401从HSS获取不到转发呼叫的主叫号码的用户数据;发送单元402向转发控制实体发送转发呼叫的请求消息,所述转发呼叫的请求消息中携带被叫号码,以使转发控制实体检查该转发呼叫的请求消息中携带的被叫号码的格式是否符合预先定义的呼叫允许通过的策略,若不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。可以预防网络中利用IMS的Transit功能漏洞的攻击。
较佳的,若获取单元401从HSS获取到转发呼叫的主叫号码的用户数据时,发送单元402用于,将所述转发呼叫的请求消息转发给TRCF。
下面针对具体应用场景,对本发明实施例作详细说明。
本发明实施例以针对封堵异常呼叫为例。
假设在I-CSCF和TRCF之间加入IBCF网元后,则Transit呼叫流程发生了变化。
对该IBCF配置的具体如下:
1)、定义与I-CSCF和TRCF互联所需要的Realm和SIP接口。
2)、为封堵该异常呼叫,可以在该提供的功能实体上定义呼叫允许通过的策略;该呼叫允许通过的策略是:若上述被叫号码格式为TEL-URI格式,确定该被叫号码格式符合呼叫允许通过的策略;若被叫号码格式为SIP格式,确定该被叫号码不符合呼叫允许通过的策略。
因为根据IBCF配置好的呼叫允许通过的策略,IBCF会拦截所有SIP格式的Transit呼叫,只有对于被叫为TEL-URI格式的Transit呼叫才可以被转发。
具体的封堵该异常呼叫的流程可以如下:
非法终端使用境外的IP作为源IP地址,从拜访省(简称A省)的SBC和P-CSCF(代理呼叫会话控制)进行注册。该终端所使用的是C省移动的IMS号段,其域名使用的是B省的IMS域名。
该终端向A省的I-CSCF发送呼叫的请求消息,该呼叫的请求消息中携带被叫号码;
由于其域名使用的是B省的IMS域名,所以A省的I-CSCF接收到该呼叫的请求消息时,将该呼叫的请求消息发送给B省的IMS网络的I-CSCF;
在B省的IMS网络的I-CSCF接收到该呼叫的请求消息后,查询HSS获取不到Transit呼叫的主叫号码的用户数据,将该Transit呼叫的请求消息转发给B省的IBCF;
当该IBCF接收到该Transit呼叫的请求消息后,检查Transit呼叫的请求消息中携带的被叫号码的格式;
如果被叫号码的格式是SIP格式,例如:被叫号码是+861012345678XXX,则直接将会话终止,回复403Forbidden,封堵这种异常VOIP呼叫。
如果被叫号码的格式是TEL-URI格式,例如:被叫号码是+861012345678,则可以将该Transit呼叫的请求消息转发给TRCF。或者还可以查询预设的呼叫授权表,根据查询结果发送呼叫请求响应。若在查询该预设的呼叫授权表查询到被叫号码的对应信息,该对应信息可以是号段,互联网协议地址,端口信息以及协议等信息,将该Transit呼叫的请求消息转发给TRCF,若查询不到对应信息,则可以向I-CSCF发送终止呼叫的响应消息,例如:回复403Forbidden,还可以不进行响应。
本发明实施例增加一个网元既能实现封堵上述异常呼叫的要求,又能够灵活配置进行SIP应用层面的安全控制和监测,预防其他未知的业务层安全攻击。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种封堵IMS业务异常呼叫的方法,其特征在于,包括:
接收查询呼叫会话控制实体发送的转发呼叫的请求消息,所述转发呼叫的请求消息中携带转发呼叫的被叫号码,所述转发呼叫的请求消息是所述查询呼叫会话控制实体从归属用户服务器获取不到转发呼叫的主叫号码的用户数据时发送的;
检查所述转发呼叫的请求消息中携带的被叫号码的格式;
当确定所述被叫号码格式不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。
2.如权利要求1所述的方法,其特征在于,确定所述被叫号码格式不符合所述呼叫允许通过的策略,具体包括:
若所述被叫号码格式为会话发起协议-统一资源标识符格式,确定所述被叫号码格式不符合所述呼叫允许通过的策略。
3.如权利要求1所述的方法,其特征在于,所述终止转发呼叫请求,具体包括:
向所述查询呼叫会话控制实体发送终止呼叫请求响应;或者,
不响应所述转发呼叫的请求消息。
4.如权利要求1~3任一项所述的方法,其特征在于,所述方法还包括:
若确定所述被叫号码格式符合所述呼叫允许通过的策略时,将所述转发呼叫的请求消息转发给过境路由控制实体;
或者,
若确定所述被叫号码格式符合所述呼叫允许通过的策略时,查询预设的呼叫授权表,根据查询结果发送呼叫请求响应,所述呼叫授权表中包括授权号段、互联网协议地址、端口信息及协议中的至少一项。
5.如权利要求4所述的方法,其特征在于,所述确定所述被叫号码格式符合所述呼叫允许通过的策略,具体包括:
若所述被叫号码格式为电话号码-统一资源标识符格式,确定所述被叫号码格式符合所述呼叫允许通过的策略。
6.一种封堵IMS业务异常呼叫的方法,其特征在于,包括:
查询呼叫会话控制实体从归属用户服务器获取不到转发呼叫的主叫号码的用户数据;
所述查询呼叫会话控制实体向转发控制实体发送转发呼叫的请求消息,所述转发呼叫的请求消息中携带被叫号码,以使转发控制实体检查所述被叫号码的格式是否符合预先定义的呼叫允许通过的策略,若不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。
7.一种封堵IMS业务异常呼叫的装置,其特征在于,包括:
接收单元,用于接收查询呼叫会话控制实体发送的转发呼叫的请求消息,所述转发呼叫的请求消息中携带转发呼叫的被叫号码,所述转发呼叫的请求消息是所述查询呼叫会话控制实体从归属用户服务器获取不到转发呼叫的主叫号码的用户数据时发送的;
查询单元,用于检查所述转发呼叫的请求消息中携带的被叫号码的格式;
确定单元,用于确定所述被叫号码格式不符合预先定义的呼叫允许通过的策略;
终止单元,用于当确定所述被叫号码格式不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。
8.如权利要求7所述的装置,其特征在于,所述确定单元还用于,若所述被叫号码格式为会话发起协议-统一资源标识符格式,确定所述被叫号码格式不符合所述呼叫允许通过的策略。
9.如权利要求7所述的装置,其特征在于,所述终止单元还用于,向所述查询呼叫会话控制实体发送终止呼叫请求响应。
10.如权利要求7~9任一项所述的装置,其特征在于,所述装置还包括发送单元:
所述确定单元还用于,确定所述被叫号码格式符合所述呼叫允许通过的策略;
若所述确定单元确定所述被叫号码格式符合所述呼叫允许通过的策略时,所述发送单元用于所述将转发呼叫的请求消息转发给过境路由控制实体;
或者,
若所述确定单元确定所述被叫号码格式符合所述呼叫允许通过的策略时,所述发送单元用于查询预设的呼叫授权表,根据查询结果发送呼叫请求响应,所述呼叫授权表中包括授权号段,互联网协议地址,端口信息及协议中的至少一项。
11.如权利要求10所述的装置,其特征在于,所述确定单元还用于,在所述被叫号码为电话号码-统一资源标识符格式时,确定所述被叫号码格式符合所述呼叫允许通过的策略。
12.一种封堵IMS业务异常呼叫的装置,其特征在于,包括:
获取单元,用于从查询归属用户服务器获取不到转发呼叫的主叫号码的用户数据;
发送单元,用于向转发控制实体发送转发呼叫的请求消息,所述转发呼叫的请求消息中携带被叫号码,以使转发控制实体检查所述转发呼叫的请求消息中携带的被叫号码的格式是否符合预先定义的呼叫允许通过的策略,若不符合预先定义的呼叫允许通过的策略时,终止转发呼叫。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410001443.2A CN104767709B (zh) | 2014-01-02 | 2014-01-02 | 一种封堵ims业务异常呼叫的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410001443.2A CN104767709B (zh) | 2014-01-02 | 2014-01-02 | 一种封堵ims业务异常呼叫的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104767709A true CN104767709A (zh) | 2015-07-08 |
CN104767709B CN104767709B (zh) | 2018-08-10 |
Family
ID=53649329
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410001443.2A Active CN104767709B (zh) | 2014-01-02 | 2014-01-02 | 一种封堵ims业务异常呼叫的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104767709B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109089002A (zh) * | 2017-06-13 | 2018-12-25 | 中国移动通信集团陕西有限公司 | 一种非法网络电话的封堵方法及设备 |
WO2020057360A1 (zh) * | 2018-09-19 | 2020-03-26 | 中兴通讯股份有限公司 | 一种提高终端安全性的方法及装置、计算机可读存储介质 |
CN111294466A (zh) * | 2018-12-06 | 2020-06-16 | 中国移动通信集团安徽有限公司 | 非法呼叫的识别方法、装置、设备及介质 |
CN111866772A (zh) * | 2019-04-25 | 2020-10-30 | 中国移动通信集团安徽有限公司 | 防止盗打电话的方法、装置、计算设备及计算机存储介质 |
CN113676604A (zh) * | 2020-05-13 | 2021-11-19 | 中国移动通信有限公司研究院 | 一种语音处理方法、相关设备和存储介质 |
EP4113930A1 (en) * | 2021-07-01 | 2023-01-04 | Deutsche Telekom AG | Method and communication system for transmitting signaling information used for establishing a communication session between a calling end device and a called end device |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141483A (zh) * | 2007-10-16 | 2008-03-12 | 中兴通讯股份有限公司 | 一种被叫非注册业务的实现方法及其装置 |
CN101304551A (zh) * | 2008-06-17 | 2008-11-12 | 华为技术有限公司 | 一种在ims网络中通信的方法、通信系统及装置 |
CN101426261A (zh) * | 2008-12-17 | 2009-05-06 | 华为技术有限公司 | 多媒体子系统业务处理的方法、p-cscf、i-cscf和多媒体子系统 |
CN102752879A (zh) * | 2012-03-23 | 2012-10-24 | 中兴通讯股份有限公司 | 会话接入方法及装置 |
CN103369159A (zh) * | 2013-07-08 | 2013-10-23 | 中国联合网络通信集团有限公司 | 一种呼叫处理方法和设备 |
-
2014
- 2014-01-02 CN CN201410001443.2A patent/CN104767709B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141483A (zh) * | 2007-10-16 | 2008-03-12 | 中兴通讯股份有限公司 | 一种被叫非注册业务的实现方法及其装置 |
CN101304551A (zh) * | 2008-06-17 | 2008-11-12 | 华为技术有限公司 | 一种在ims网络中通信的方法、通信系统及装置 |
CN101426261A (zh) * | 2008-12-17 | 2009-05-06 | 华为技术有限公司 | 多媒体子系统业务处理的方法、p-cscf、i-cscf和多媒体子系统 |
CN102752879A (zh) * | 2012-03-23 | 2012-10-24 | 中兴通讯股份有限公司 | 会话接入方法及装置 |
CN103369159A (zh) * | 2013-07-08 | 2013-10-23 | 中国联合网络通信集团有限公司 | 一种呼叫处理方法和设备 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109089002A (zh) * | 2017-06-13 | 2018-12-25 | 中国移动通信集团陕西有限公司 | 一种非法网络电话的封堵方法及设备 |
CN109089002B (zh) * | 2017-06-13 | 2021-06-25 | 中国移动通信集团陕西有限公司 | 一种非法网络电话的封堵方法及设备 |
WO2020057360A1 (zh) * | 2018-09-19 | 2020-03-26 | 中兴通讯股份有限公司 | 一种提高终端安全性的方法及装置、计算机可读存储介质 |
CN111294466A (zh) * | 2018-12-06 | 2020-06-16 | 中国移动通信集团安徽有限公司 | 非法呼叫的识别方法、装置、设备及介质 |
CN111294466B (zh) * | 2018-12-06 | 2021-07-16 | 中国移动通信集团安徽有限公司 | 非法呼叫的识别方法、装置、设备及介质 |
CN111866772A (zh) * | 2019-04-25 | 2020-10-30 | 中国移动通信集团安徽有限公司 | 防止盗打电话的方法、装置、计算设备及计算机存储介质 |
CN111866772B (zh) * | 2019-04-25 | 2022-06-14 | 中国移动通信集团安徽有限公司 | 防止盗打电话的方法、装置、计算机设备及计算机存储介质 |
CN113676604A (zh) * | 2020-05-13 | 2021-11-19 | 中国移动通信有限公司研究院 | 一种语音处理方法、相关设备和存储介质 |
EP4113930A1 (en) * | 2021-07-01 | 2023-01-04 | Deutsche Telekom AG | Method and communication system for transmitting signaling information used for establishing a communication session between a calling end device and a called end device |
Also Published As
Publication number | Publication date |
---|---|
CN104767709B (zh) | 2018-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2095224B1 (en) | Systems, methods, media, and means for hiding network topology | |
CN104767709A (zh) | 一种封堵ims业务异常呼叫的方法及装置 | |
EP2974216B1 (en) | Method and computer readable medium for routing session control messages for voice over lte | |
CN102177698B (zh) | 关联通信会话 | |
CA2680069C (en) | System and method for indicating circuit switched access at ims registration | |
EP3082318B1 (en) | Communication method and device for preventing media stream circuity (tromboning) | |
US11824903B2 (en) | Voice service restoration after element failure | |
WO2007149330A2 (en) | Method and apparatus for routing signaling message traffic over a communication network | |
US8600031B2 (en) | Method for connecting calls between an IP multimedia subsystem (IMS) domain and a circuit switched (CS) domain | |
US20090055543A1 (en) | Methods, apparatuses, system, and related computer program product for user equipment access | |
US7899036B2 (en) | Assignment of a serving entity in a communication system | |
US20090303985A1 (en) | Communication control method and communication control apparatus | |
US20120290871A1 (en) | Method of changing over from a primary hss to a backup hss in an ip network | |
CN102487546A (zh) | 一种会话初始化协议终端的注册方法及系统 | |
JP5841262B2 (ja) | Sipプロキシ・フェイルオーバ方法 | |
EP2569998B1 (en) | Enabling set up of a connection from a non-registered UE in IMS | |
KR101319066B1 (ko) | 인터넷 프로토콜 멀티미디어 서브시스템의 비요청 통신에 대한 보호 | |
CN105306758A (zh) | 一种建立呼叫时企业网络标识的传送方法、ibcf及ims | |
CN105308924A (zh) | 用于实现通信禁止服务的方法和装置 | |
CN109698869B (zh) | 私网穿越方法、通信节点及存储介质 | |
CN106603881A (zh) | 在ims网络实现呼叫路由的方法、装置和系统 | |
JP6479701B2 (ja) | アーリーメディア認可制御システムおよびアーリーメディア認可制御方法 | |
US9654440B1 (en) | Modification of domain name systems using session initiation protocol messages | |
CN103795878B (zh) | 一种ip承载语音业务的保护方法、设备和系统 | |
CN116325659A (zh) | 用于合法侦听的分组的路由的方法、系统和计算机可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |