CN108712421B - 接入网关注册的方法及装置、软交换呼叫方法及系统 - Google Patents
接入网关注册的方法及装置、软交换呼叫方法及系统 Download PDFInfo
- Publication number
- CN108712421B CN108712421B CN201810480111.5A CN201810480111A CN108712421B CN 108712421 B CN108712421 B CN 108712421B CN 201810480111 A CN201810480111 A CN 201810480111A CN 108712421 B CN108712421 B CN 108712421B
- Authority
- CN
- China
- Prior art keywords
- registration
- access gateway
- timing
- threshold
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000012544 monitoring process Methods 0.000 claims description 26
- 230000008569 process Effects 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 5
- 238000012216 screening Methods 0.000 claims description 4
- 230000011218 segmentation Effects 0.000 claims description 3
- 230000003993 interaction Effects 0.000 abstract description 4
- 230000011664 signaling Effects 0.000 description 11
- 230000007246 mechanism Effects 0.000 description 7
- 230000006978 adaptation Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于互联网技术领域,具体涉及接入网关注册的方法及其装置、软交换呼叫方法及其系统。该接入网关注册的方法,包括步骤:步骤S1)软交换设备设置空白的注册黑名单,注册黑名单至少包括非法注册的接入网关的设备ID、公网IP地址和端口号;步骤S2)接入网关向软交换设备发出注册信息,软交换设备持续以设定时间分段监控接入网关的动态注册信息数量,并根据预设阈值筛选动态注册信息数量非法的接入网关,并将非法的接入网关的设备ID、公网IP地址和端口号填入注册黑名单。其能将对软交换设备负载形成压力的接入网关列入注册黑名单,通过和防火墙的互动,将接入网关的非法注册信息拦截在防火墙外,保证软交换呼叫系统的正常工作。
Description
技术领域
本发明属于互联网技术领域,具体涉及一种接入网关注册的方法和接入网关注册的装置、软交换呼叫方法和软交换呼叫软交换呼叫系统。
背景技术
软交换(Soft Switch)是基于分组网利用程控软件提供呼叫控制功能和媒体处理相分离的设备和系统。软交换的基本含义是将呼叫控制功能从媒体网关(传输层)中分离出来,通过软件实现基本呼叫控制功能,从而实现呼叫传输与呼叫控制的分离,为控制、交换和软件可编程功能建立分离的平面。
软交换架构的网络主要包括软交换设备、中继网关、信令网关及接入网关,提供连接控制、翻译和选路、网关管理、呼叫控制、带宽管理、信令、安全性和呼叫详细记录等功能。与此同时,软交换还将网络资源、网络能力封装起来,通过标准开放的业务接口和业务应用层相连,可方便地在网络上快速提供新的业务。
软交换的各个设备都承载在IP网上,接入网关上线后首先向软交换设备发出注册信息,软交换设备对注册信息进行认证,认证通过后,接入网关注册成功,才能发起主叫和被叫。如果大量接入网关中毒或者被黑客控制后,接入网关频繁发起上线、注册和下线,将会有大量注册信息包流向软交换设备,形成软交换设备的负载压力,对软交换设备正常工作造成严重影响,甚至可能引起软交换设备的宕机。同时,如果软交换网上存在大量非法接入网关,向软交换设备发出注册信息,软交换设备认证不通过后拒绝注册,非法接入网关仍将周期性地发出注册信息,造成大量非法注册信息流向软交换设备,对软交换设备正常工作造成严重影响,甚至可能引起软交换设备的宕机。
目前的技术对上述这两种情况均没有有效的解决办法。
发明内容
本发明所要解决的技术问题是针对现有技术中上述不足,提供一种接入网关注册的方法和接入网关注册的装置、软交换呼叫方法和软交换呼叫软交换呼叫系统,能有效防止接入网关的非法注册,缓解软交换设备的负载压力。
解决本发明技术问题所采用的技术方案是该接入网关注册的方法,包括步骤:
步骤S1)软交换设备设置空白的注册黑名单,所述注册黑名单至少包括非法注册的接入网关的设备ID、公网IP地址和端口号;
步骤S2)所述接入网关向所述软交换设备发出注册信息,所述软交换设备持续以设定时间分段监控所述接入网关的动态注册信息数量,并根据预设阈值筛选动态注册信息数量非法的所述接入网关,并将非法的所述接入网关的设备ID、公网IP地址和端口号填入所述注册黑名单。
优选的是,步骤S2)中,当所述接入网关上线后,向所述软交换设备发出注册信息,根据所述软交换设备是否认证通过所述接入网关,有:
若所述软交换设备认证通过所述接入网关,则:
步骤S21)对所述接入网关设置第一定时T1、第一注册计数J1和第一阈值A1,在第一定时T1内统计所述接入网关发出的注册信息,其中:T1、J1和A1均为正整数;
步骤S22)在第一定时T1超时后,如果第一注册计数J1>第一阈值A1,将所述接入网关的设备ID和公网IP地址及端口号列入所述注册黑名单中;
步骤S23)在第一定时T1超时后,如果0<第一注册计数J1<第一阈值A1,则继续以第一定时T1分段进行注册信息监控;
步骤S24)在第一定时T1超时后,如果第一注册计数J1=0,则在多轮定时都超时后保持第一注册计数J1一直为0,取消对所述接入网关的注册信息监控;
若所述软交换设备认证没有通过所述接入网关,则:
步骤S21′)对所述接入网关设置第三定时T3、第三注册计数J3和第三阈值A3,在第三定时T3内统计所述接入网关发出的注册信息,其中:第三定时T3为第一定时T1的1/X,第三阈值A3为第一阈值A1的1/Y,T3、J3、A3、X和Y均为正整数;
步骤S22′)在第三定时T3超时后,如果第三注册计数J3>第三阈值A3,将所述接入网关的设备ID、公网IP地址及端口号列入所述注册黑名单中;
步骤S23′)在第三定时T3超时后,如果0<第三注册计数J3<第三阈值A3,则继续以第三定时T3分段进行注册信息监控;
步骤S24′)在第三定时T3超时后,如果第三注册计数J3=0,则在多轮定时都超时后保持第三注册计数J3一直为0,取消对所述接入网关的注册信息监控。
优选的是,对于通过所述软交换设备认证而列入所述注册黑名单中的所述接入网关,进行如下处理:
步骤S221)对列入所述注册黑名单中的所述接入网关设置第二定时T2、第二注册计数J2和第二阈值A2,在第二定时T2内统计所述接入网关发出的注册信息,其中:第二定时T2为第一定时T1的M1倍,第二阈值A2为第一阈值A1的1/N1,T2、J2、A2、M1和N1均为正整数;
步骤S222)在第二定时T2超时后,如果第二注册计数J2<第二阈值A2,则将所述接入网关的设备ID、公网IP地址及端口号移出所述注册黑名单中,否则仍保留在所述注册黑名单中、并继续进行注册信息监控;
对于未通过所述软交换设备认证而列入所述注册黑名单中的所述接入网关,进行如下处理:
步骤S221′)对列入所述注册黑名单中的所述接入网关设置第四定时T4、第四注册计数J4和第四阈值A4,在第四定时T4内统计所述接入网关发出的注册信息,其中:第四定时T4为第三定时T3的M2倍,第四阈值A4为第三阈值A3的1/N2,T4、J4、A4、M2和N2均为正整数;
步骤S212′)在第四定时T4超时后,如果第四注册计数J4<第四阈值A4,则将所述接入网关的设备ID、公网IP地址及端口号移出所述注册黑名单中,否则仍保留在所述注册黑名单中、并继续进行注册信息监控。
一种软交换呼叫方法,包括上述的接入网关注册的方法。
优选的是,还包括:
步骤S3)根据所述软交换设备的负载能力或所述注册黑名单中所述接入网关的数量,所述软交换设备将所述注册黑名单发送至所述防火墙;
步骤S4)所述防火墙根据所述注册黑名单得到的拒绝列表,丢弃所述接入网关发出的非法注册信息,以及对所述接入网关做进一步筛选。
优选的是,步骤S3)中,
设置第五阈值A5,当所述软交换设备的负载能力>第五阈值A5,A5为小于100%的百分数;和/或,设置第六阈值A6,当所述软交换设备的所述注册黑名单中所述接入网关数量大于第六阈值A6,A6为正整数;
则:所述软交换设备将所述注册黑名单发送至所述防火墙,所述防火墙将所述注册黑名单中所述接入网关的地址和端口号填入到拒绝列表。
优选的是,步骤S4)中,
所述防火墙对所述拒绝列表中的所述接入网关设置第五定时T5、第五注册计数J5,其中:T5和J5均为正整数,在第五定时T5内对所述接入网关发出的IP包进行统计,在第五定时T5超时后第五注册计数J5一直为0,则将所述接入网关的公网IP地址及端口号移出所述拒绝列表。
一种接入网关注册的装置,包括软交换设备和接入网关,所述软交换设备包括名单单元、多组的定时单元、注册计数单元、阈值单元,其中:
所述名单单元,用于设置空白的注册黑名单,以及将非法的所述接入网关的设备ID、公网IP地址和端口号填入所述注册黑名单,所述注册黑名单至少包括非法注册的接入网关的设备ID、公网IP地址和端口号;
每一组所述定时单元、所述注册计数单元和所述阈值单元用于对一个所述接入网关的注册信息进行监测,其中:
所述定时单元,用于当所述接入单元向所述软交换设备发出注册信息时,持续以设定时间分段监控所述接入网关的时间;
所述注册计数单元,用于当所述接入单元向所述软交换设备发出注册信息时,对所述接入网关的注册数量进行计数;
所述阈值单元,用于对所述接入网关的动态注册信息数量预设参考阈值,并根据预设阈值筛选动态注册信息数量非法的所述接入网关。
优选的是,当所述接入网关上线后,向所述软交换设备发出注册信息,根据所述软交换设备是否认证通过所述接入网关,有:
若所述软交换设备认证通过所述接入网关,则:
所述定时单元设置第一定时T1、所述注册计数单元设置第一注册计数J1、所述阈值单元设置第一阈值A1,其中:T1、J1和A1均为正整数;
所述注册计数单元在第一定时T1内,统计所述接入网关发出的注册信息得到第一注册计数J1;
所述阈值单元,在第一定时T1超时,且第一注册计数J1>所述阈值单元的第一阈值A1,将所述接入网关视为非法;
以及,在第一定时T1超时,且0<第一注册计数J1<所述阈值单元的第一阈值A1,则所述定时单元、所述注册计数单元和所述阈值单元继续进行注册信息监控;
以及,在第一定时T1超时,且第一注册计数J1=0,则所述定时单元在多轮定时都超时、且所述注册计数单元保持第一注册计数J1一直为0,所述定时单元、所述注册计数单元和所述阈值单元取消对所述接入网关的注册信息监控;
若所述软交换设备认证没有通过所述接入网关,则:
所述定时单元设置第三定时T3、所述注册计数单元设置第三注册计数J3、所述阈值单元设置第三阈值A3,其中:第三定时T3为第一定时T1的1/X,第三阈值A3为第一阈值A1的1/Y,T3、J3、A3、X和Y均为正整数;
所述注册计数单元在第三定时T3内,统计所述接入网关发出的注册信息得到第三注册计数J3;
所述阈值单元,在第三定时T3超时,且第三注册计数J3>第三阈值A3,将所述接入网关视为非法;
以及,在第三定时T3超时,且0<第三注册计数J3<第三阈值A3,则所述定时单元、所述注册计数单元和所述阈值单元继续进行注册信息监控;
以及,在第三定时T3超时,且第三注册计数J3=0,所述定时单元在多轮定时都超时、且所述注册计数单元保持第三注册计数J3一直为0,所述定时单元、所述注册计数单元和所述阈值单元取消对所述接入网关的注册信息监控。
优选的是,对于通过所述软交换设备认证而视为非法的所述接入网关,有:
所述定时单元设置第二定时T2、所述注册计数单元设置第二注册计数J2、所述阈值单元设置第二阈值A2,其中:第二定时T2为第一定时T1的M1倍,第二阈值A2为第一阈值A1的1/N1,T2、J2、A2、M1和N1均为正整数;
所述注册计数单元在第二定时T2内统计,所述接入网关发出的注册信息得到第二注册计数J2;
所述阈值单元,在第二定时T2超时,且第二注册计数J2<第二阈值A2,则将所述接入网关视为安全,否则仍将所述接入网关视为非法、并继续进行注册信息监控;
对于未通过所述软交换设备认证而视为非法的所述接入网关,有:
所述定时单元设置第四定时T4、所述注册计数单元设置第四注册计数J4、所述阈值单元第四阈值A4,其中:第四定时T4为第三定时T3的M2倍,第四阈值A4为第三阈值A3的1/N2,T4、J4、A4、M2和N2均为正整数;
所述注册计数单元在第四定时T4内,统计所述接入网关发出的注册信息得到第四注册计数J4;
所述阈值单元,在第四定时T4超时,且第四注册计数J4<第四阈值A4,则将所述接入网关视为安全,否则仍将所述接入网关视为非法、并继续进行注册信息监控。
一种软交换呼叫系统,包括上述接入网关注册的装置。
优选的是,还包括防火墙,所述软交换设备包括发送单元,所述防火墙包括防护单元,其中:
所述发送单元,用于根据所述软交换设备的负载能力或所述注册黑名单中所述接入网关的数量,将所述注册黑名单发送至所述防火墙;
所述防护单元,用于根据所述注册黑名单得到的拒绝列表,丢弃所述接入网关发出的非法注册信息,以及对所述接入网关做进一步筛选。
优选的是,所述阈值单元设置第五阈值A5,和/或,所述阈值单元设置第六阈值A6,
当所述软交换设备的负载能力>第五阈值A5,A5为小于100%的百分数;和/或,当所述软交换设备的所述注册黑名单中所述接入网关数量大于第六阈值A6,A6为正整数;
所述发送单元将所述注册黑名单发送至所述防火墙,所述防护单元将所述注册黑名单中所述接入网关的地址和端口号填入到拒绝列表。
优选的是,所述防火墙包括防火墙定时单元和防火墙计数单元,所述防火墙定时单元设置第五定时T5、所述防火墙计数单元设置第五注册计数J5,其中:T5和J5均为正整数;
所述防火墙计数单元用于对所述拒绝列表中的所述接入网关发出的IP包进行统计,在第五定时T5超时、且第五注册计数J5一直为0,则将所述接入网关的公网IP地址及端口号移出所述拒绝列表。
本发明的有益效果是:该接入网关注册的方法和接入网关注册的装置,以及相应的软交换呼叫方法和软交换呼叫软交换呼叫系统,通过采取定时器定时、计数器对注册信息数量计数和阈值监控接入网关的注册情况进行监控,设置注册黑名单机制,将对软交换设备负载形成压力的接入网关列入注册黑名单,能有效防止接入网关的非法注册,极大缓解了软交换设备的负载压力;并通过和防火墙的互动,将接入网关的非法注册信息拦截在防火墙外,有效保证了软交换呼叫系统的正常工作。
附图说明
图1为本发明实施例1中接入网关注册的方法的流程图;
图2为图1中步骤S2)的详细流程图;
图3本发明实施例1中接入网关注册的装置的结构框图;
图4为本发明实施例2中软交换呼叫方法的流程图;
图5为本发明实施例2中软交换呼叫系统的结构框图;
附图标识中:
1-软交换设备;11-名单单元;12-定时单元;13-注册计数单元;14-阈值单元;15-发送单元;
2-接入网关;
3-防火墙;31-防护单元;32-防火墙定时单元;33-防火墙计数单元。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和具体实施方式对本发明接入网关注册的方法和接入网关注册的装置、软交换呼叫方法和软交换呼叫软交换呼叫系统作进一步详细描述。
本发明针对背景技术中涉及的这两种情况,提供一种接入网关注册的方法和接入网关注册的装置,并相应提供一种软交换呼叫方法和软交换呼叫软交换呼叫系统,通过采取定时器定时、计数器对注册信息数量计数和阈值监控接入网关的注册情况进行监控,设置注册黑名单机制,将对软交换设备负载形成压力的接入网关列入注册黑名单,能有效防止接入网关的非法注册,极大缓解了软交换设备的负载压力;并通过和防火墙的互动,将接入网关的非法注册信息拦截在防火墙外。
实施例1:
如图1、图2所示,本发明中接入网关注册的方法的具体流程如下描述:
步骤S1)软交换设备设置空白的注册黑名单,注册黑名单至少包括非法注册的接入网关的设备ID、公网IP地址和端口号。
软交换架构的网络中软交换设备、中继网关、信令网关及接入网关的功能分别介绍如下:
软交换设备主要提供连接控制、翻译和选路、网关管理、呼叫控制、带宽管理、信令、安全性和呼叫详细记录等功能。
中继网关(TG)在软交换的控制下,完成媒体流转换等功能,主要用于中继接入。中继网关在IP网络和电路交换网络(PSTN)之间提供媒体映射和代码转换功能,即终止电路交换网络设施(中继线路、环路等),将媒体流分组化并在分组网上传输分组化的媒体流。
信令网关(Signaling Gateway,简称SG),完成电路交换网和包交换网(基于IP)之间的信令的转换功能。信令网关可以有效实现电路交换网与分组网间信令的互通。信令网关在电路交换网侧接收和发送标准的SS7信令消息,在分组网侧采用IETF信令传送工作组(SIGTRAN)标准的适配层协议和传输层协议,适配能力强,功能齐全,可靠性高。
接入网关(Access Gateway,简称AG),用于将用户终端直接接入IP分组网,如普通模拟用户、ISDN等。在IP网络和用户终端之间提供媒体映射和代码转换功能,将媒体流分组化并在分组网上传输分组化的媒体流。
本申请主要针对软交换设备与接入网关的注册作为示例。软交换设备设置空白的注册黑名单,注册黑名单可用于记录后续呼叫过程中可能非法接入网关的设备ID、公网IP地址和端口号。
步骤S2)接入网关向软交换设备发出注册信息,软交换设备持续以设定时间分段监控接入网关的动态注册信息数量,并根据预设阈值筛选动态注册信息数量非法的接入网关,并将非法的接入网关的设备ID、公网IP地址和端口号填入注册黑名单。
在该步骤中,当接入网关上线后,向软交换设备发出注册信息,根据软交换设备是否认证通过接入网关,对接入网关做如下不同处理:
若软交换设备认证通过接入网关,则:
步骤S21)对接入网关设置第一定时T1、第一注册计数J1和第一阈值A1,在第一定时T1内统计接入网关发出的注册信息,其中:T1、J1和A1均为正整数;
步骤S22)在第一定时T1超时后,如果第一注册计数J1>第一阈值A1,软交换设备初步判断接入网关频繁发出注册信息是可能中毒或者被黑客控制,因此将该接入网关的设备ID和公网IP地址及端口号列入注册黑名单中。对于通过软交换设备认证而列入注册黑名单中的接入网关,有:
步骤S221)对列入注册黑名单中的接入网关设置第二定时T2、第二注册计数J2和第二阈值A2,在第二定时T2内统计接入网关发出的注册信息,其中:第二定时T2为第一定时T1的M1倍,第二阈值A2为第一阈值A1的1/N1,T2、J2、A2、M1和N1均为正整数;
步骤S222)在第二定时T2超时后,如果第二注册计数J2<第二阈值A2,则将该接入网关的设备ID、公网IP地址及端口号移出注册黑名单中,否则仍保留在注册黑名单中、并继续进行注册信息监控;
步骤S23)在第一定时T1超时后,如果0<第一注册计数J1<第一阈值A1,则继续以第一定时T1分段进行注册信息监控;
步骤S24)在第一定时T1超时后,如果第一注册计数J1=0,则继续以第一定时T1分段对接入网关进行注册信息监控。直到在多轮定时(例如B1轮,一个定时器时间周期称为一轮,B1轮定时即指经过B1*定时器时间的时长)都超时后,第一注册计数J1一直保持为0,则认为接入网关是合法注册网关,取消对其的注册信息监控;
若软交换设备认证没有通过接入网关,则:
步骤S21′)对接入网关设置第三定时T3、第三注册计数J3和第三阈值A3,在第三定时T3内统计接入网关发出的注册信息,其中:第三定时T3为第一定时T1的1/X,第三阈值A3为第一阈值A1的1/Y,T3、J3、A3、X和Y均为正整数;
步骤S22′)在第三定时T3超时后,如果第三注册计数J3>第三阈值A3,将该接入网关的设备ID、公网IP地址及端口号列入注册黑名单中。对于未通过软交换设备认证而列入注册黑名单中的接入网关,有:
步骤S221′)对列入注册黑名单中的接入网关设置第四定时T4、第四注册计数J4和第四阈值A4,在第四定时T4内统计接入网关发出的注册信息,其中:第四定时T4为第三定时T3的M2倍,第四阈值A4为第三阈值A3的1/N2,T4、J4、A4、M2和N2均为正整数;
步骤S212′)在第四定时T4超时后,如果第四注册计数J4<第四阈值A4,则将该接入网关的设备ID、公网IP地址及端口号移出注册黑名单中,否则仍保留在注册黑名单中、并继续进行注册信息监控;
步骤S23′)在第三定时T3超时后,如果0<第三注册计数J3<第三阈值A3,则继续以第三定时T3分段进行注册信息监控;
步骤S24′)在第三定时T3超时后,如果第三注册计数J3=0,则继续以第三定时T3对接入网关进行注册信息监控。直到在多轮定时都超时后,第三注册计数J3一直为0,则认为接入网关是合法注册网关,取消对其的注册信息监控。
相应的,本实施例还提供一种接入网关注册的装置,如图3所示,该装置包括软交换设备1和接入网关2,其中的软交换设备1包括名单单元11、多组的定时单元12、注册计数单元13、阈值单元14,其中:
名单单元11,用于设置空白的注册黑名单,以及将非法的接入网关2的设备ID、公网IP地址和端口号填入注册黑名单,注册黑名单至少包括非法注册的接入网关2的设备ID、公网IP地址和端口号;
每一组定时单元12、注册计数单元13和阈值单元14用于对一个接入网关2的注册信息进行监测,其中:
定时单元12,用于当接入单元向软交换设备1发出注册信息时,持续以设定时间分段监控接入网关2的时间;
注册计数单元13,用于当接入单元向软交换设备1发出注册信息时,对接入网关2的注册数量进行计数;
阈值单元14,用于对接入网关2的动态注册信息数量预设参考阈值,并根据预设阈值筛选动态注册信息数量非法的接入网关2。
当接入网关2上线后,向软交换设备1发出注册信息,根据软交换设备1是否认证通过接入网关2,有:
若软交换设备1认证通过接入网关2,则:
定时单元12设置第一定时T1、注册计数单元13设置第一注册计数J1、阈值单元14设置第一阈值A1,其中:T1、J1和A1均为正整数;
注册计数单元13在第一定时T1内,统计接入网关2发出的注册信息得到第一注册计数J1;
阈值单元14,在第一定时T1超时,且第一注册计数J1>阈值单元14的第一阈值A1,将接入网关2视为非法;
以及,在第一定时T1超时,且0<第一注册计数J1<阈值单元14的第一阈值A1,则定时单元12、注册计数单元13和阈值单元14继续进行注册信息监控;
以及,在第一定时T1超时,且第一注册计数J1=0,则定时单元12在多轮定时都超时、且注册计数单元13保持第一注册计数J1一直为0,定时单元12、注册计数单元13和阈值单元14取消对接入网关2的注册信息监控;
若软交换设备1认证没有通过接入网关2,则:
定时单元12设置第三定时T3、注册计数单元13设置第三注册计数J3、阈值单元14设置第三阈值A3,其中:第三定时T3为第一定时T1的1/X,第三阈值A3为第一阈值A1的1/Y,T3、J3、A3、X和Y均为正整数;
注册计数单元13在第三定时T3内,统计接入网关2发出的注册信息得到第三注册计数J3;
阈值单元14,在第三定时T3超时,且第三注册计数J3>第三阈值A3,将接入网关2视为非法;
以及,在第三定时T3超时,且0<第三注册计数J3<第三阈值A3,则定时单元12、注册计数单元13和阈值单元14继续进行注册信息监控;
以及,在第三定时T3超时,且第三注册计数J3=0,定时单元12在多轮定时都超时、且注册计数单元13保持第三注册计数J3一直为0,定时单元12、注册计数单元13和阈值单元14取消对接入网关2的注册信息监控。
优选的是,对于通过软交换设备1认证而视为非法的接入网关2,有:
定时单元12设置第二定时T2、注册计数单元13设置第二注册计数J2、阈值单元14设置第二阈值A2,其中:第二定时T2为第一定时T1的M1倍,第二阈值A2为第一阈值A1的1/N1,T2、J2、A2、M1和N1均为正整数;
注册计数单元13在第二定时T2内统计,接入网关2发出的注册信息得到第二注册计数J2;
阈值单元14,在第二定时T2超时,且第二注册计数J2<第二阈值A2,则将接入网关2视为安全,否则仍将接入网关2视为非法、并继续进行注册信息监控;
对于未通过软交换设备1认证而视为非法的接入网关2,有:
定时单元12设置第四定时T4、注册计数单元13设置第四注册计数J4、阈值单元14第四阈值A4,其中:第四定时T4为第三定时T3的M2倍,第四阈值A4为第三阈值A3的1/N2,T4、J4、A4、M2和N2均为正整数;
注册计数单元13在第四定时T4内,统计接入网关2发出的注册信息得到第四注册计数J4;
阈值单元14,在第四定时T4超时,且第四注册计数J4<第四阈值A4,则将接入网关2视为安全,否则仍将接入网关2视为非法、并继续进行注册信息监控。
本实施例的接入网关注册的方法及其装置,采取定时器定时、计数器对注册信息数量计数和阈值监控接入网关的注册情况进行监控,设置注册黑名单机制,通过软交换设备持续以设定时间分段监控所述接入网关的动态注册信息数量,并根据预设阈值筛选动态注册信息数量非法的所述接入网关,将对软交换设备负载形成压力的接入网关列入注册黑名单,能有效防止接入网关的非法注册,避免了接入网关因中毒或者被黑客控制而造成的大量注册信息包流向软交换设备,极大缓解了软交换设备的负载压力,保证软交换设备的正常工作。
实施例2:
以上述实施例1的接入网关注册的方法为基础,本实施例还提供一种软交换呼叫方法。
如图4所示,该软交换呼叫方法包括:
步骤S3)根据软交换设备的负载能力或注册黑名单中接入网关的数量,软交换设备将注册黑名单发送至防火墙。
软交换设备与前面的防火墙设置互通机制,软交换设备将注册黑名单发送至前面的防火墙。在具体实施过程中可能存在三种种触发机制,受软交换设备的负载能力限制或注册黑名单数量限制,只要任一满足条件或二者均满足条件,则软交换设备将注册黑名单发送至防火墙。此时,设置第五阈值A5,当软交换设备的负载能力>第五阈值A5,A5为小于100%的百分数;和/或,设置第六阈值A6,当软交换设备的注册黑名单中接入网关数量大于第六阈值A6,A6为正整数,则:软交换设备将注册黑名单发送至前面的防火墙,防火墙将注册黑名单中接入网关的地址和端口号填入到拒绝列表。
步骤S4)防火墙根据注册黑名单得到的拒绝列表,丢弃接入网关发出的非法注册信息,以及对接入网关做进一步筛选。
在该步骤中,防火墙接收到注册黑名单后,将注册黑名单中的公网IP地址及端口号列入拒绝列表中,接入网关发出的非法注册信息被防火墙丢弃。
另外,防火墙对拒绝列表中接入网关设置第五定时T5、第五注册计数J5,其中:T5和J5均为正整数,在第五定时T5内对接入网关发出的IP包进行统计,在第五定时T5超时后第五注册计数J5一直为0,则将接入网关的公网IP地址及端口号移出拒绝列表,允许该接入网关通过防火墙。
同样的,以上述实施例1的接入网关注册的装置为基础,本实施例还提供一种软交换呼叫系统。
如图5所示,该软交换呼叫系统还包括防火墙3,软交换设备1包括发送单元,防火墙3包括防护单元31,其中:
发送单元15,用于根据软交换设备1的负载能力或注册黑名单中接入网关2的数量,将注册黑名单发送至防火墙3;
防护单元31,用于根据注册黑名单得到的拒绝列表,丢弃接入网关2发出的非法注册信息,以及对接入网关2做进一步筛选。
软交换设备1的阈值单元14设置第五阈值A5,和/或,阈值单元14设置第六阈值A6,当软交换设备1的负载能力>第五阈值A5,A5为小于100%的百分数;和/或,当软交换设备1的注册黑名单中接入网关2数量大于第六阈值A6,A6为正整数;
发送单元将注册黑名单发送至防火墙3,防护单元31将注册黑名单中接入网关2的地址和端口号填入到拒绝列表。
防火墙3可以做进一步对接入网关2进行防护或退出机制,防火墙3包括防火墙定时单元32和防火墙计数单元33,防火墙定时单元32设置第五定时T5、防火墙计数单元33设置第五注册计数J5,其中:T5和J5均为正整数;防火墙计数单元33用于对拒绝列表中的接入网关2发出的IP包进行统计,在第五定时T5超时、且第五注册计数J5一直为0,则将接入网关2的公网IP地址及端口号移出拒绝列表,允许该接入网关2通过防火墙3。
本实施例的软交换呼叫方法及其系统,通过采取定时器定时、计数器对注册信息数量计数和阈值监控接入网关的注册情况进行监控,设置注册黑名单机制,将对软交换设备负载形成压力的接入网关列入注册黑名单,通过和防火墙的互动,将接入网关的非法注册信息拦截在防火墙外,有效保证了软交换呼叫系统的正常工作。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (12)
1.一种接入网关注册的方法,其特征在于,包括步骤:
步骤S1)软交换设备设置空白的注册黑名单,所述注册黑名单至少包括非法注册的接入网关的设备ID、公网IP地址和端口号;
步骤S2)所述接入网关向所述软交换设备发出注册信息,所述软交换设备持续以设定时间分段监控所述接入网关的动态注册信息数量,并根据预设阈值筛选动态注册信息数量非法的所述接入网关,并将非法的所述接入网关的设备ID、公网IP地址和端口号填入所述注册黑名单。
2.根据权利要求1所述的方法,其特征在于,步骤S2)中,当所述接入网关上线后,向所述软交换设备发出注册信息,根据所述软交换设备是否认证通过所述接入网关,有:
若所述软交换设备认证通过所述接入网关,则:
步骤S21)对所述接入网关设置第一定时T1、第一注册计数J1和第一阈值A1,在第一定时T1内统计所述接入网关发出的注册信息,其中:T1、J1和A1均为正整数;
步骤S22)在第一定时T1超时后,如果第一注册计数J1>第一阈值A1,将所述接入网关的设备ID和公网IP地址及端口号列入所述注册黑名单中;
步骤S23)在第一定时T1超时后,如果0<第一注册计数J1<第一阈值A1,则继续以第一定时T1分段进行注册信息监控;
步骤S24)在第一定时T1超时后,如果第一注册计数J1=0,则在多轮定时都超时后保持第一注册计数J1一直为0,取消对所述接入网关的注册信息监控;
若所述软交换设备认证没有通过所述接入网关,则:
步骤S21′)对所述接入网关设置第三定时T3、第三注册计数J3和第三阈值A3,在第三定时T3内统计所述接入网关发出的注册信息,其中:第三定时T3为第一定时T1的1/X,第三阈值A3为第一阈值A1的1/Y,T3、J3、A3、X和Y均为正整数;
步骤S22′)在第三定时T3超时后,如果第三注册计数J3>第三阈值A3,将所述接入网关的设备ID、公网IP地址及端口号列入所述注册黑名单中;
步骤S23′)在第三定时T3超时后,如果0<第三注册计数J3<第三阈值A3,则继续以第三定时T3分段进行注册信息监控;
步骤S24′)在第三定时T3超时后,如果第三注册计数J3=0,则在多轮定时都超时后保持第三注册计数J3一直为0,取消对所述接入网关的注册信息监控。
3.根据权利要求2所述的方法,其特征在于,
对于通过所述软交换设备认证而列入所述注册黑名单中的所述接入网关,进行如下处理:
步骤S221)对列入所述注册黑名单中的所述接入网关设置第二定时T2、第二注册计数J2和第二阈值A2,在第二定时T2内统计所述接入网关发出的注册信息,其中:第二定时T2为第一定时T1的M1倍,第二阈值A2为第一阈值A1的1/N1,T2、J2、A2、M1和N1均为正整数;
步骤S222)在第二定时T2超时后,如果第二注册计数J2<第二阈值A2,则将所述接入网关的设备ID、公网IP地址及端口号移出所述注册黑名单中,否则仍保留在所述注册黑名单中、并继续进行注册信息监控;
对于未通过所述软交换设备认证而列入所述注册黑名单中的所述接入网关,进行如下处理:
步骤S221′)对列入所述注册黑名单中的所述接入网关设置第四定时T4、第四注册计数J4和第四阈值A4,在第四定时T4内统计所述接入网关发出的注册信息,其中:第四定时T4为第三定时T3的M2倍,第四阈值A4为第三阈值A3的1/N2,T4、J4、A4、M2和N2均为正整数;
步骤S212′)在第四定时T4超时后,如果第四注册计数J4<第四阈值A4,则将所述接入网关的设备ID、公网IP地址及端口号移出所述注册黑名单中,否则仍保留在所述注册黑名单中、并继续进行注册信息监控。
4.一种软交换呼叫方法,其特征在于,包括权利要求1-3任一项所述的接入网关注册的方法,所述软交换呼叫方法还包括:
步骤S3)根据所述软交换设备的负载能力或所述注册黑名单中所述接入网关的数量,所述软交换设备将所述注册黑名单发送至防火墙;
步骤S4)所述防火墙根据所述注册黑名单得到的拒绝列表,丢弃所述接入网关发出的非法注册信息,以及对所述接入网关做进一步筛选;
步骤S5)基于筛选出的接入网关执行主叫流程或被叫流程。
5.根据权利要求4所述的方法,其特征在于,步骤S3)中,
设置第五阈值A5,当所述软交换设备的负载能力>第五阈值A5,A5为小于100%的百分数;和/或,设置第六阈值A6,当所述软交换设备的所述注册黑名单中所述接入网关数量大于第六阈值A6,A6为正整数;
则:所述软交换设备将所述注册黑名单发送至所述防火墙,所述防火墙将所述注册黑名单中所述接入网关的地址和端口号填入到拒绝列表。
6.根据权利要求5所述的方法,其特征在于,步骤S4)中,
所述防火墙对所述拒绝列表中的所述接入网关设置第五定时T5、第五注册计数J5,其中:T5和J5均为正整数,在第五定时T5内对所述接入网关发出的IP包进行统计,在第五定时T5超时后第五注册计数J5一直为0,则将所述接入网关的公网IP地址及端口号移出所述拒绝列表。
7.一种接入网关注册的装置,包括软交换设备和接入网关,其特征在于,所述软交换设备包括名单单元、多组的定时单元、注册计数单元、阈值单元,其中:
所述名单单元,用于设置空白的注册黑名单,以及将非法的所述接入网关的设备ID、公网IP地址和端口号填入所述注册黑名单,所述注册黑名单至少包括非法注册的接入网关的设备ID、公网IP地址和端口号;
每一组所述定时单元、所述注册计数单元和所述阈值单元用于对一个所述接入网关的注册信息进行监测,其中:
所述定时单元,用于当所述接入网关向所述软交换设备发出注册信息时,持续以设定时间分段监控所述接入网关的时间;
所述注册计数单元,用于当所述接入网关向所述软交换设备发出注册信息时,对所述接入网关的注册数量进行计数;
所述阈值单元,用于对所述接入网关的动态注册信息数量预设参考阈值,并根据预设阈值筛选动态注册信息数量非法的所述接入网关。
8.根据权利要求7所述的装置,其特征在于,当所述接入网关上线后,向所述软交换设备发出注册信息,根据所述软交换设备是否认证通过所述接入网关,有:
若所述软交换设备认证通过所述接入网关,则:
所述定时单元设置第一定时T1、所述注册计数单元设置第一注册计数J1、所述阈值单元设置第一阈值A1,其中:T1、J1和A1均为正整数;
所述注册计数单元在第一定时T1内,统计所述接入网关发出的注册信息得到第一注册计数J1;
所述阈值单元,在第一定时T1超时,且第一注册计数J1>所述阈值单元的第一阈值A1,将所述接入网关视为非法;
以及,在第一定时T1超时,且0<第一注册计数J1<所述阈值单元的第一阈值A1,则所述定时单元、所述注册计数单元和所述阈值单元继续进行注册信息监控;
以及,在第一定时T1超时,且第一注册计数J1=0,则所述定时单元在多轮定时都超时、且所述注册计数单元保持第一注册计数J1一直为0,所述定时单元、所述注册计数单元和所述阈值单元取消对所述接入网关的注册信息监控;
若所述软交换设备认证没有通过所述接入网关,则:
所述定时单元设置第三定时T3、所述注册计数单元设置第三注册计数J3、所述阈值单元设置第三阈值A3,其中:第三定时T3为第一定时T1的1/X,第三阈值A3为第一阈值A1的1/Y,T3、J3、A3、X和Y均为正整数;
所述注册计数单元在第三定时T3内,统计所述接入网关发出的注册信息得到第三注册计数J3;
所述阈值单元,在第三定时T3超时,且第三注册计数J3>第三阈值A3,将所述接入网关视为非法;
以及,在第三定时T3超时,且0<第三注册计数J3<第三阈值A3,则所述定时单元、所述注册计数单元和所述阈值单元继续进行注册信息监控;
以及,在第三定时T3超时,且第三注册计数J3=0,所述定时单元在多轮定时都超时、且所述注册计数单元保持第三注册计数J3一直为0,所述定时单元、所述注册计数单元和所述阈值单元取消对所述接入网关的注册信息监控。
9.根据权利要求8所述的装置,其特征在于,
对于通过所述软交换设备认证而视为非法的所述接入网关,有:
所述定时单元设置第二定时T2、所述注册计数单元设置第二注册计数J2、所述阈值单元设置第二阈值A2,其中:第二定时T2为第一定时T1的M1倍,第二阈值A2为第一阈值A1的1/N1,T2、J2、A2、M1和N1均为正整数;
所述注册计数单元在第二定时T2内统计,所述接入网关发出的注册信息得到第二注册计数J2;
所述阈值单元,在第二定时T2超时,且第二注册计数J2<第二阈值A2,则将所述接入网关视为安全,否则仍将所述接入网关视为非法、并继续进行注册信息监控;
对于未通过所述软交换设备认证而视为非法的所述接入网关,有:
所述定时单元设置第四定时T4、所述注册计数单元设置第四注册计数J4、所述阈值单元第四阈值A4,其中:第四定时T4为第三定时T3的M2倍,第四阈值A4为第三阈值A3的1/N2,T4、J4、A4、M2和N2均为正整数;
所述注册计数单元在第四定时T4内,统计所述接入网关发出的注册信息得到第四注册计数J4;
所述阈值单元,在第四定时T4超时,且第四注册计数J4<第四阈值A4,则将所述接入网关视为安全,否则仍将所述接入网关视为非法、并继续进行注册信息监控。
10.一种软交换呼叫系统,其特征在于,包括权利要求7-9任一项的所述接入网关注册的装置,所述软交换呼叫系统还包括防火墙,所述软交换设备包括发送单元,所述防火墙包括防护单元,其中:
所述发送单元,用于根据所述软交换设备的负载能力或所述注册黑名单中所述接入网关的数量,将所述注册黑名单发送至所述防火墙;
所述防护单元,用于根据所述注册黑名单得到的拒绝列表,丢弃所述接入网关发出的非法注册信息,以及对所述接入网关做进一步筛选;
所述软交换设备还用于基于筛选出的接入网关执行主叫流程或被叫流程。
11.根据权利要求10所述的系统,其特征在于,所述阈值单元设置第五阈值A5,和/或,所述阈值单元设置第六阈值A6,
当所述软交换设备的负载能力>第五阈值A5,A5为小于100%的百分数;和/或,当所述软交换设备的所述注册黑名单中所述接入网关数量大于第六阈值A6,A6为正整数;
所述发送单元将所述注册黑名单发送至所述防火墙,所述防护单元将所述注册黑名单中所述接入网关的地址和端口号填入到拒绝列表。
12.根据权利要求11所述的系统,其特征在于,所述防火墙包括防火墙定时单元和防火墙计数单元,所述防火墙定时单元设置第五定时T5、所述防火墙计数单元设置第五注册计数J5,其中:T5和J5均为正整数;
所述防火墙计数单元用于对所述拒绝列表中的所述接入网关发出的IP包进行统计,在第五定时T5超时、且第五注册计数J5一直为0,则将所述接入网关的公网IP地址及端口号移出所述拒绝列表。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810480111.5A CN108712421B (zh) | 2018-05-18 | 2018-05-18 | 接入网关注册的方法及装置、软交换呼叫方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810480111.5A CN108712421B (zh) | 2018-05-18 | 2018-05-18 | 接入网关注册的方法及装置、软交换呼叫方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108712421A CN108712421A (zh) | 2018-10-26 |
CN108712421B true CN108712421B (zh) | 2021-04-27 |
Family
ID=63869011
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810480111.5A Active CN108712421B (zh) | 2018-05-18 | 2018-05-18 | 接入网关注册的方法及装置、软交换呼叫方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108712421B (zh) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7277528B2 (en) * | 2002-02-12 | 2007-10-02 | Siemens Information And Communication Networks, Inc.- Boca Raton | Call-content determinative selection of interception access points in a soft switch controlled network |
CN100579012C (zh) * | 2005-03-30 | 2010-01-06 | 中兴通讯股份有限公司 | 一种终端用户安全接入软交换网络的方法 |
CN101136880B (zh) * | 2007-10-12 | 2011-08-24 | 中兴通讯股份有限公司 | 边界网关支持终端以ip地址形式注册的方法 |
CN101997860B (zh) * | 2009-08-25 | 2014-03-12 | 中兴通讯股份有限公司 | 一种ngn网络架构中通信链路检测管理的方法和装置 |
-
2018
- 2018-05-18 CN CN201810480111.5A patent/CN108712421B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN108712421A (zh) | 2018-10-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1805616B1 (en) | Methods and systems for automatic denial of service protection in an ip device | |
EP1527570B1 (en) | Communications switching architecture | |
US8296404B2 (en) | External processor for a distributed network access system | |
US8185615B1 (en) | Message, control and reporting interface for a distributed network access system | |
US8307418B2 (en) | Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device | |
US7809128B2 (en) | Methods and systems for per-session traffic rate policing in a media gateway | |
US20060285493A1 (en) | Controlling access to a host processor in a session border controller | |
MXPA03004670A (es) | Sistema de acceso a una red que incluye un dispositivo de acceso programable que tiene control de servicio distribuido. | |
US9491302B2 (en) | Telephone call processing method and apparatus | |
US8180870B1 (en) | Programmable access device for a distributed network access system | |
CN108712421B (zh) | 接入网关注册的方法及装置、软交换呼叫方法及系统 | |
EP1341357B1 (de) | Verfahren zur Dienstgütesicherung in einem Kommunikationsnetz sowie Anordnung und Einrichtungen zur Realisierung des Verfahrens | |
JP4322179B2 (ja) | サービス拒絶攻撃防御方法およびシステム | |
JP2010226635A (ja) | 通信サーバおよびDoS攻撃防御方法 | |
JP2007134966A (ja) | メッセージ入力管理装置、メッセージ入力管理方法、メッセージ入力管理プログラム及びip交換機 | |
KR20050002542A (ko) | Ngn망에서 서비스거부공격 차단 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |