CN109714293B - VoLTE数据流量过滤方法、装置、网关、设备及介质 - Google Patents
VoLTE数据流量过滤方法、装置、网关、设备及介质 Download PDFInfo
- Publication number
- CN109714293B CN109714293B CN201711007517.3A CN201711007517A CN109714293B CN 109714293 B CN109714293 B CN 109714293B CN 201711007517 A CN201711007517 A CN 201711007517A CN 109714293 B CN109714293 B CN 109714293B
- Authority
- CN
- China
- Prior art keywords
- data packet
- volte
- volte data
- esp
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种VoLTE数据流量过滤方法、装置、网关、电子设备及存储介质,所述方法包括:第一网关识别待转发的VoLTE数据包是否包含ESP封装的报文;如果所述VoLTE数据包包含ESP封装的报文,判断是否能够解析所述ESP封装的报文;如果否,阻断所述VoLTE数据包的转发。由于在本发明实施例中,第一网关在待转发的VoLTE数据包包含ESP封装的报文,且ESP封装的报文不能被解析时,阻断该VoLTE数据包的转发,该方法可用于对VoLTE加密数据流量进行检测和阻断,避免非授权的VoLTE加密数据流量在通信网络中传输,满足国家商用密码管理条例。
Description
技术领域
本发明涉及通信安全技术领域,尤其涉及一种VoLTE数据流量过滤方法、装置、网关、电子设备及存储介质。
背景技术
VoLTE即Voice over LTE,是基于IP多媒体子系统(IP Multimedia Subsystem,IMS)的语音业务,业务承载于第四代移动通信技术(the 4th Generation mobilecommunication technology,4G)网络上,可实现数据与音视频业务在同一网络下的统一。即4G网络不仅提供数据上网业务,还提供音视频通话业务。
国家商用密码管理条例,规定任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品,并规定境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备,必须经国家密码管理机构批准。然而,现有技术中,并没有对通信网络中的4G网络上传输的VoLTE数据包进行过滤的方案,导致非授权的VoLTE加密数据流量在通信网络中传输,破坏了国家商用密码管理条例。
发明内容
本发明提供一种VoLTE数据流量过滤方法、装置、网关、电子设备及存储介质,用以对VoLTE加密数据流量进行检测和阻断,避免非授权的VoLTE加密数据流量在通信网络中传输。
本发明公开了一种VoLTE数据流量过滤方法,应用于第一网关,所述方法包括:
识别待转发的VoLTE数据包是否包含封装安全载荷ESP封装的报文;
如果所述VoLTE数据包包含ESP封装的报文,判断是否能够解析所述ESP封装的报文;
如果否,阻断所述VoLTE数据包的转发。
进一步地,所述识别待转发的VoLTE数据包是否包含ESP封装的报文之前,所述方法还包括:
接收待转发的数据包,识别所述数据包中的接入点APN;
判断所述APN是否为IP多媒体子系统IMS APN;
如果是,确定所述数据包为VoLTE数据包,进行后续步骤。
进一步地,所述判断是否能够解析所述ESP封装的报文包括:
判断ESP封装的报文是否能解析为会话初始协议SIP,或实时传输协议RTP,或实时传输控制协议RTCP。
进一步地,所述阻断所述VoLTE数据包的转发包括:
丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
进一步地,所述阻断所述VoLTE数据包的转发包括:
识别所述VoLTE数据包的标识信息;
向转发所述VoLTE数据包的第二网关发送所述VoLTE数据包的标识信息;使所述第二网关丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
本发明公开了一种VoLTE数据流量过滤装置,应用于第一网关,所述装置包括:
识别模块,用于识别待转发的VoLTE数据包是否包含封装安全载荷ESP封装的报文;
判断模块,用于如果所述VoLTE数据包包含ESP封装的报文,判断是否能够解析所述ESP封装的报文,如果否,触发阻断模块;
阻断模块,用于阻断所述VoLTE数据包的转发。
本发明公开了一种网关,包括:存储器、处理器和收发机;
所述处理器,用于读取存储器中的程序,执行下列过程:识别待转发的VoLTE数据包是否包含封装安全载荷ESP封装的报文;如果所述VoLTE数据包包含ESP封装的报文,判断是否能够解析所述ESP封装的报文;如果否,阻断所述VoLTE数据包的转发。
进一步地,所述处理器,还用于通过收发机接收待转发的数据包,识别所述数据包中的接入点APN;判断所述APN是否为IP多媒体子系统IMS APN;如果是,确定所述数据包为VoLTE数据包,进行后续识别待转发的VoLTE数据包是否包含ESP封装的报文的步骤。
进一步地,所述处理器,具体用于判断ESP封装的报文是否能解析为会话初始协议SIP,或实时传输协议RTP,或实时传输控制协议RTCP。
进一步地,所述处理器,具体用于丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
进一步地,所述处理器,具体用于识别所述VoLTE数据包的标识信息;向转发所述VoLTE数据包的第二网关发送所述VoLTE数据包的标识信息;使所述第二网关丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
本发明公开了一种电子设备,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述任一所述方法的步骤。
本发明公开了一种计算机可读存储介质,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行上述任一所述方法的步骤。
本发明公开了一种VoLTE数据流量过滤方法、装置、网关、电子设备及存储介质,所述方法包括:第一网关识别待转发的VoLTE数据包是否包含封装安全载荷ESP封装的报文;如果所述VoLTE数据包包含ESP封装的报文,判断是否能够解析所述ESP封装的报文;如果否,阻断所述VoLTE数据包的转发。由于在本发明实施例中,第一网关在待转发的VoLTE数据包包含ESP封装的报文,且ESP封装的报文不能被解析时,阻断该VoLTE数据包的转发,该方法可用于对VoLTE加密数据流量进行检测和阻断,避免非授权的VoLTE加密数据流量在通信网络中传输,满足国家商用密码管理条例。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为VoLTE国际漫游S8架构示意图;
图2为本发明实施例1提供的一种VoLTE数据流量过滤过程示意图;
图3为本发明实施例2提供的一种VoLTE数据流量过滤过程示意图;
图4和图5为本发明实施例提供的一种VoLTE数据流量阻断示意图;
图6为本发明实施例4提供的一种VoLTE国际漫游S8架构示意图;
图7为本发明实施例4提供的一种VoLTE数据流量过滤过程示意图;
图8为本发明实施例5提供的一种VoLTE数据流量过滤装置结构示意图;
图9为本发明实施例6提供的网关的结构示意图;
图10为发明实施例7提供的一种电子设备示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为VoLTE国际漫游S8架构示意图,VPLMN为用户的拜访网络,假定为国内运营商,HPLMN为用户的归属网络,假定为国外运营商,拜访网络中包括漫入用户、演进的UMTS陆地无线接入网(Evolved UMTS Terrestrial Radio Access Network,E-UTRAN)、移动管理节点功能(Mobility Management Entity,MME)及服务网关(Serving GateWay,SGW),归属网络中包括公用数据网网关(PDN GateWay,PGW)、策略与计费规则功能单元(Policy andCharging Rules Function,PCRF)、归属签约用户服务器(Home Subscriber Server,HSS)、代理呼叫会话控制功能(Proxy-Call Session Control Funtion,P-CSCF)、服务会话控制功能(Serving-Call Session Control Funtion,S-CSCF)、电话应用服务器(TAS)、接入网关(AGW)/转换网关(TrGW)、互连边界控制功能(IBCF)/出口网关控制功能(BGCF)/媒体网关控制功能(MGCF),其中拜访网络与归属网络之间通过互联网数据包交换协议(Internetwork Packet Exchange protocol,IPX)进行数据包的传输。
4G用户在进行VoTLE通话的场景下,国外运营商网络中的用户漫游到国内运营商网络中,与国外运营商网络中的用户通过S8接口进行VoLTE通话,VoLTE数据包经SGW转发完成通话的建立和媒体的转发。但是若国外运营商开启加密机制,则漫游到国内运营商网络中的漫入用户与国外运营商网络中的用户之间传输的VoLTE数据包经过加密,归属网络对于VoLTE数据包加密不感知,因此急需一种VoLTE数据流量过滤方案,滤除加密后的VoLTE数据包,避免加密后的VoLTE数据包在通信网络中传输。
实施例1:
图2为本发明实施例提供的一种VoLTE数据流量过滤过程示意图,该过程包括:
S201:识别待转发的VoLTE数据包是否包含封装安全载荷(EncapsulatingSecurity Payload,ESP)封装的报文,如果是,进行S202,如果否,进行S204。
本发明实施例提供的VoLTE数据流量过滤方法,应用于第一网关,该第一网关可以是经过改造的SGW,也可以是在SGW旁路增加的一个检测网关(GW),该检测网关与SGW连接,可以获取SGW接收的待转发的VoLTE数据包。
互联网安全协议(Internet Protocol Security,IPSec)不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议认证头(Authentication Header,AH)、ESP、因特网密钥交换(Internet Key Exchange,IKE)和用于网络认证及加密的一些算法等,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、抗重播、加密以及对数据流分类加密等服务。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换,在IPSec隧道模式下加密的VoLTE数据包和在IPSec传输模式下加密的VoLTE数据包中会包含ESP封装的报文。
具体的,第一网关通过解析GPRS隧道协议(GPRS Tunneling Protocol,GTP)中的GTP-U协议,识别在待转发的VoLTE数据包中是否存在ESP封装的报文,如果该VoLTE数据包能解析出ESP封装的报文,则确定该VoLTE数据包可能被加密;如果该VoLTE数据包不能解析出ESP封装的报文,则确定该VoLTE数据包未被加密,即该VoLTE数据包为明文。
S202:判断是否能够解析所述ESP封装的报文,如果否,进行S203,如果是,进行S204。
所述判断是否能够解析所述ESP封装的报文包括:
判断ESP封装的报文是否能解析为会话初始协议(Session InitiationProtocol,SIP),或实时传输协议(Real-time Transport Protocol,RTP),或实时传输控制协议(Realtime Transport Control Protocol,RTCP)。
具体的,如果VoLTE数据包包含ESP封装的报文,判断ESP封装的报文是否能解析为SIP,或RTP,或RTCP,如果ESP封装的报文不能解析为SIP,或RTP,或RTCP中的任意一种,确定该VoLTE数据包经过加密处理,否则,判断该VoLTE数据包未经过加密处理,该VoLTE数据包为明文。
S203:阻断所述VoLTE数据包的转发。
具体的,如果第一网关为SGW,SGW可以通过丢弃VoLTE数据包的方式,阻断VoLTE数据包的转发;如果第一网关为检测网关,检测网关可以通过向SGW发送包含VoLTE数据包标识信息的阻断消息,使SGW阻断VoLTE数据包的转发。
S204:确定能够转发所述VoLTE数据包。
具体的,如果第一网关为SGW,SGW转发该VoLTE数据包;如果第一网关为检测网关,检测网关不向SGW发送包含VoLTE数据包标识信息的阻断标识,则SGW就不会阻断VoLTE数据包的转发。
由于在本发明实施例中,第一网关在待转发的VoLTE数据包包含ESP封装的报文,且ESP封装的报文不能被解析时,阻断该VoLTE数据包的转发,避免了加密后的VoLTE数据包在通信网络中传输。
实施例2:
因经由SGW转发的数据包不仅包括音视频通话业务的VoLTE数据包,还包括数据上网业务的4G上网数据包,在上述实施例的基础上,为了提高VoLTE数据包的过滤效率,在本发明实施例中,所述识别待转发的VoLTE数据包是否包含ESP封装的报文之前,所述方法还包括:
接收待转发的数据包,识别所述数据包中的接入点(Access Point Name,APN);
判断所述APN是否为IP多媒体子系统(IP Multimedia Subsystem,IMS)APN;
如果是,确定所述数据包为VoLTE数据包,进行后续步骤。
具体的,如果第一网关为SGW,SGW接收待转发的数据包,识别该数据包中的APN是否为IMS APN,如果是,确定该数据包为VoLTE数据包,进行后续识别该VoLTE数据包是否包含ESP封装的报文的步骤。在本发明实施例中,识别数据包中的APN是否为IMS APN是现有技术,不再进行赘述。
当第一网关为SGW时,VoLTE数据流量过滤过程如图3所示,该过程包括:
S301:SGW接收待转发的数据包,识别所述数据包中的接入点APN。
S302:判断所述APN是否为IMS APN,如果是,进行S303,如果否,进行S306。
S303:识别所述数据包是否包含ESP封装的报文,如果是,进行S304,如果否,进行S306。
S304:判断ESP封装的报文是否能解析为SIP,或RTP,或RTCP,如果否,进行S305,如果是,进行S306。
S305:阻断所述数据包的转发。
S306:转发所述数据包。
另外,如果第一网关为在SGW旁路新增的一个检测网关,SGW接收待转发的数据包后,可以直接将待转发的数据包复制转发至检测网关,检测网关接收到待转发的数据包,识别该数据包中的APN是否为IMS APN,如果是,确定该数据包为VoLTE数据包,进行后续识别该VoLTE数据包是否包含ESP封装的报文的步骤。
当然了,也可以是SGW接收待转发的数据包后,识别该数据包中的APN是否为IMSAPN,如果是,确定该数据包为VoLTE数据包,并将该VoLTE数据包复制转发至检测网关,检测网关接收到VoLTE数据包后,直接进行后续识别该VoLTE数据包是否包含ESP封装的报文的步骤。
实施例3:
为了保证对VoLTE数据流量过滤的准确性,如果第一网关为SGW,所述阻断所述VoLTE数据包的转发包括:
丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
具体的,如果SGW确定VoLTE数据包包含的ESP封装的报文不能被解析为RTP,或RTCP,或SIP,丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
图4和图5为本发明实施例提供的一种VoLTE数据流量阻断示意图,如图4和图5所示,UE与IMS之间相互发送的VoLTE数据包需要经过MME、SGW、P-GW传输,因此SGW可以对UE和IMS之间相互发送的加密后的VoLTE数据包进行阻断,具体的,如图4所示,在UE注册过程中,UE激活与IMS公用数据网(Public Data Network,PDN)的连接后,向IMS发送第一注册(REGISTER)VoLTE数据包,SGW识别第一REGISTER VoLTE数据包为明文,放通第一REGISTERVoLTE数据包;IMS接收到第一REGISTER VoLTE数据包,向UE发送协商加密的第一确认应答(ACK)VoLTE数据包,SGW识别第一ACK VoLTE数据包为明文后,放通第一ACK VoLTE数据包,UE接收到第一ACK VoLTE数据包,向IMS发送第二REGISTER VoLTE数据包。若协商对SIP信令加密,则第二REGISTER VoLTE数据包将为ESP封装的IPSec报文,并且对ESP内封装的报文内容为加密后的乱码。第二个REGISTER VoLTE数据包经过SGW,SGW无法识别ESP封装的报文为SIP、RTP、RTCP协议,会将报文丢弃。UE注册失败,发起电路域回落(Circuit SwitchedFallback,CSFB)流程。
另外,如果SGW识别到第二REGISTER VoLTE数据包为明文,如图5所示,SGW放通第二REGISTER VoLTE数据包,IMS接收到第二REGISTER VoLTE数据包,向UE发送第二ACKVoLTE数据包,SGW识别第二ACK VoLTE数据包为明文,放通第二ACK VoLTE数据包,UE注册成功。
在呼叫建立过程中,UE向IMS发送请求(INVITE)VoLTE数据包,SGW识别INVITEVoLTE数据包为明文,放通该INVITE VoLTE数据包,IMS接收到INVITE VoLTE数据包,向UE发送对媒体加密进行协商的VoLTE数据包,SGW识别到对媒体加密进行协商的VoLTE数据包为明文,放通该对媒体加密进行协商的VoLTE数据包,完成对呼叫的建立。
在通话过程中,如果媒体VoLTE数据包为ESP封装的报文,则SGW对ESP封装的报文进行协议解析,能识别为RTP/RTCP协议,确定媒体VoLTE数据包为明文,则正常转发,保证通话的正常进行;否则,确定媒体VoLTE数据包为加密,进行阻断,实现对通话的控制。
实施例4:
为了节约SGW的处理资源,提高对VoLTE数据流量过滤的效率,如果第一网关为设置在SGW旁路的检测网关,所述阻断所述VoLTE数据包的转发包括:
识别所述VoLTE数据包的标识信息;
向转发所述VoLTE数据包的第二网关发送所述VoLTE数据包的标识信息;使所述第二网关丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
在本发明实施中,如果第一网关为设置在SGW旁路的检测网关,则第二网关为SGW,具体的,如果检测网关确定VoLTE数据包包含的ESP封装的报文不能被解析成功,识别该VoLTE数据包关联的移动用户国际综合业务数字网/公共交换电话网络号码(MobileSubscriber International ISDN/PSTN number,MSISDN)标识和承载标度值(QoS ClassIdentifier,QCI),并将该VoLTE数据包关联的MSISDN标识和承载QCI发送给SGW,使SGW丢弃该VoLTE数据包或删除该VoLTE数据包对应的承载通道。
图6为本发明实施例提供的一种VoLTE国际漫游S8架构示意图,在拜访网络中的SGW旁路增加一个检测网关(GW),拜访网络中4G核心网络(EPC)包括SGW和PGW,归属网络中EPC包括PGW和SGW,还包括IMS网元。具体的,在该图6所示的VoLTE国际漫游S8架构下,拜访网络对VoLTE数据流量过滤过程如图7所示,该过程包括:
S701:SGW接收待转发的数据包,将待转发的数据包复制转发至GW。
S702:GW接收待转发的数据包,识别所述数据包中的接入点APN。
S703:判断所述APN是否为IMS APN,如果是,进行S704,如果否,进行S708。
S704:识别所述数据包是否包含ESP封装的报文,如果是,进行S705,如果否,进行S708。
S705:判断ESP封装的报文是否能解析为SIP,或RTP,或RTCP,如果否,进行S706,如果是,进行S708。
S706:识别所述数据包关联的MSISDN标识和承载QCI,并将所述数据包关联的MSISDN标识和承载QCI发送给SGW。
S707:SGW接收所述数据包关联的MSISDN标识和承载QCI,阻断所述数据包的转发。
S708:SGW转发所述数据包。
实施例5:
图8为本发明实施例提供的一种VoLTE数据流量过滤装置结构示意图,该装置包括:
识别模块81,用于识别待转发的VoLTE数据包是否包含封装安全载荷ESP封装的报文;
判断模块82,用于如果所述VoLTE数据包包含ESP封装的报文,判断是否能够解析所述ESP封装的报文,如果否,触发阻断模块;
阻断模块83,用于阻断所述VoLTE数据包的转发。
所述装置还包括:
接收确定模块84,用于接收待转发的数据包,识别所述数据包中的接入点APN;判断所述APN是否为IP多媒体子系统IMS APN;如果是,确定所述数据包为VoLTE数据包,触发识别模块。
所述判断模块82,具体用于ESP封装的报文是否能解析为会话初始协议SIP,或实时传输协议RTP,或实时传输控制协议RTCP。
所述阻断模块83,具体用于丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
所述阻断模块83,具体用于识别所述VoLTE数据包的标识信息;向转发所述VoLTE数据包的第二网关发送所述VoLTE数据包的标识信息;使所述第二网关丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
实施例6:
基于同一发明构思,本发明实施例中还提供了一种网关,由于上述网关解决问题的原理与VoLTE数据流量过滤方法相似,因此上述网关的实施可以参见方法的实施,重复之处不再赘述。
如图9所示,其为本发明实施例提供的网关的结构示意图,其中在图9中,总线架构可以包括任意数量的互联的总线和桥,具体有处理器91代表的一个或多个处理器91和存储器93代表的存储器93的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机92可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器91负责管理总线架构和通常的处理,存储器93可以存储处理器91在执行操作时所使用的数据。
在本发明实施例提供的网关中:
所述处理器91,用于读取存储器93中的程序,执行下列过程:识别待转发的VoLTE数据包是否包含封装安全载荷ESP封装的报文;如果所述VoLTE数据包包含ESP封装的报文,判断是否能够解析所述ESP封装的报文;如果否,阻断所述VoLTE数据包的转发。
优选地,所述处理器91,还用于通过收发机92接收待转发的数据包,识别所述数据包中的接入点APN;判断所述APN是否为IP多媒体子系统IMS APN;如果是,确定所述数据包为VoLTE数据包,进行后续识别待转发的VoLTE数据包是否包含ESP封装的报文的步骤。
优选地,所述处理器91,具体用于判断ESP封装的报文是否能解析为会话初始协议SIP,或实时传输协议RTP,或实时传输控制协议RTCP。
优选地,所述处理器91,具体用于丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
优选地,所述处理器91,具体用于识别所述VoLTE数据包的标识信息;通过收发机92向转发所述VoLTE数据包的第二网关发送所述VoLTE数据包的标识信息;使所述第二网关丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
实施例7:
在上述各实施例的基础上,本发明实施例还提供了一种电子设备,如图10所示,包括:处理器101、通信接口102、存储器103和通信总线104,其中,处理器101,通信接口102,存储器103通过通信总线104完成相互间的通信;
所述存储器103中存储有计算机程序,当所述程序被所述处理器101执行时,使得所述处理器101执行以下步骤:
识别待转发的VoLTE数据包是否包含封装安全载荷ESP封装的报文;
如果所述VoLTE数据包包含ESP封装的报文,判断是否能够解析所述ESP封装的报文;
如果否,阻断所述VoLTE数据包的转发。
实施例8:
在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
识别待转发的VoLTE数据包是否包含封装安全载荷ESP封装的报文;
如果所述VoLTE数据包包含ESP封装的报文,判断是否能够解析所述ESP封装的报文;
如果否,阻断所述VoLTE数据包的转发。
本发明公开了一种VoLTE数据流量过滤方法、装置、网关、电子设备及存储介质,所述方法包括:第一网关识别待转发的VoLTE数据包是否包含封装安全载荷ESP封装的报文;如果所述VoLTE数据包包含ESP封装的报文,判断是否能够解析所述ESP封装的报文;如果否,阻断所述VoLTE数据包的转发。由于在本发明实施例中,第一网关在待转发的VoLTE数据包包含ESP封装的报文,且ESP封装的报文不能被解析时,阻断该VoLTE数据包的转发,该方法可用于对VoLTE加密数据流量进行检测和阻断,避免非授权的VoLTE加密数据流量在通信网络中传输,满足国家商用密码管理条例。
对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (13)
1.一种VoLTE数据流量过滤方法,其特征在于,应用于第一网关,所述方法包括:
识别待转发的VoLTE数据包是否包含封装安全载荷ESP封装的报文;
如果所述VoLTE数据包包含ESP封装的报文,判断是否能够解析所述ESP封装的报文;
如果否,阻断所述VoLTE数据包的转发。
2.如权利要求1所述的方法,其特征在于,所述识别待转发的VoLTE数据包是否包含ESP封装的报文之前,所述方法还包括:
接收待转发的数据包,识别所述数据包中的接入点APN;
判断所述APN是否为IP多媒体子系统IMS APN;
如果是,确定所述数据包为VoLTE数据包,进行后续步骤。
3.如权利要求1所述的方法,其特征在于,所述判断是否能够解析所述ESP封装的报文包括:
判断ESP封装的报文是否能解析为会话初始协议SIP,或实时传输协议RTP,或实时传输控制协议RTCP。
4.如权利要求1所述的方法,其特征在于,所述阻断所述VoLTE数据包的转发包括:
丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
5.如权利要求1所述的方法,其特征在于,所述阻断所述VoLTE数据包的转发包括:
识别所述VoLTE数据包的标识信息;
向转发所述VoLTE数据包的第二网关发送所述VoLTE数据包的标识信息;使所述第二网关丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
6.一种VoLTE数据流量过滤装置,其特征在于,应用于第一网关,所述装置包括:
识别模块,用于识别待转发的VoLTE数据包是否包含封装安全载荷ESP封装的报文;
判断模块,用于如果所述VoLTE数据包包含ESP封装的报文,判断是否能够解析所述ESP封装的报文,如果否,触发阻断模块;
阻断模块,用于阻断所述VoLTE数据包的转发。
7.一种网关,其特征在于,包括:存储器、处理器和收发机;
所述处理器,用于读取存储器中的程序,执行下列过程:识别待转发的VoLTE数据包是否包含封装安全载荷ESP封装的报文;如果所述VoLTE数据包包含ESP封装的报文,判断是否能够解析所述ESP封装的报文;如果否,阻断所述VoLTE数据包的转发。
8.如权利要求7所述的网关,其特征在于,所述处理器,还用于通过收发机接收待转发的数据包,识别所述数据包中的接入点APN;判断所述APN是否为IP多媒体子系统IMS APN;如果是,确定所述数据包为VoLTE数据包,进行后续识别待转发的VoLTE数据包是否包含ESP封装的报文的步骤。
9.如权利要求7所述的网关,其特征在于,所述处理器,具体用于判断ESP封装的报文是否能解析为会话初始协议SIP,或实时传输协议RTP,或实时传输控制协议RTCP。
10.如权利要求7所述的网关,其特征在于,所述处理器,具体用于丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
11.如权利要求7所述的网关,其特征在于,所述处理器,具体用于识别所述VoLTE数据包的标识信息;向转发所述VoLTE数据包的第二网关发送所述VoLTE数据包的标识信息;使所述第二网关丢弃所述VoLTE数据包或删除所述VoLTE数据包对应的承载通道。
12.一种电子设备,其特征在于,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1-5任一所述方法的步骤。
13.一种计算机可读存储介质,其特征在于,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行权利要求1-5任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711007517.3A CN109714293B (zh) | 2017-10-25 | 2017-10-25 | VoLTE数据流量过滤方法、装置、网关、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711007517.3A CN109714293B (zh) | 2017-10-25 | 2017-10-25 | VoLTE数据流量过滤方法、装置、网关、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109714293A CN109714293A (zh) | 2019-05-03 |
| CN109714293B true CN109714293B (zh) | 2021-08-10 |
Family
ID=66253156
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711007517.3A Active CN109714293B (zh) | 2017-10-25 | 2017-10-25 | VoLTE数据流量过滤方法、装置、网关、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109714293B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101345689A (zh) * | 2008-09-10 | 2009-01-14 | 华为技术有限公司 | 一种ip安全业务的实现方法、装置和通信设备 |
| CN102006294A (zh) * | 2010-11-25 | 2011-04-06 | 中兴通讯股份有限公司 | Ims多媒体通信方法和系统、终端及ims核心网 |
| CN104954222A (zh) * | 2015-05-22 | 2015-09-30 | 东南大学 | 基于ipsec协议的隧道模式esp硬件封装装置 |
| CN105979513A (zh) * | 2016-07-20 | 2016-09-28 | 深圳市博瑞得科技有限公司 | 一种VoLTE网络SGI接口的解密方法及系统 |
| CN106254231A (zh) * | 2016-08-18 | 2016-12-21 | 中京天裕科技(北京)有限公司 | 一种基于状态的工业安全加密网关及其实现方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100574185C (zh) * | 2005-01-07 | 2009-12-23 | 华为技术有限公司 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
| JP2009540648A (ja) * | 2006-06-08 | 2009-11-19 | シアラン ブラッドレー | Simをベースとするファイヤウォール方法および装置 |
| WO2008008863A2 (en) * | 2006-07-12 | 2008-01-17 | Sipera Systems, Inc. | System, method and apparatus for troubleshooting an ip network |
| CN101784047B (zh) * | 2009-01-20 | 2015-05-13 | 中兴通讯股份有限公司 | 一种会话初始协议消息的处理方法 |
| US8474034B2 (en) * | 2011-04-19 | 2013-06-25 | Futurewei Technologies, Inc. | Method and apparatus for fast check and update of anti-replay window without bit-shifting in internet protocol security |
| US9485801B1 (en) * | 2014-04-04 | 2016-11-01 | Sprint Communications Company L.P. | Mobile communication device connected to home digital network |
-
2017
- 2017-10-25 CN CN201711007517.3A patent/CN109714293B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101345689A (zh) * | 2008-09-10 | 2009-01-14 | 华为技术有限公司 | 一种ip安全业务的实现方法、装置和通信设备 |
| CN102006294A (zh) * | 2010-11-25 | 2011-04-06 | 中兴通讯股份有限公司 | Ims多媒体通信方法和系统、终端及ims核心网 |
| CN104954222A (zh) * | 2015-05-22 | 2015-09-30 | 东南大学 | 基于ipsec协议的隧道模式esp硬件封装装置 |
| CN105979513A (zh) * | 2016-07-20 | 2016-09-28 | 深圳市博瑞得科技有限公司 | 一种VoLTE网络SGI接口的解密方法及系统 |
| CN106254231A (zh) * | 2016-08-18 | 2016-12-21 | 中京天裕科技(北京)有限公司 | 一种基于状态的工业安全加密网关及其实现方法 |
Non-Patent Citations (2)
| Title |
|---|
| VoLTE国际漫游方案分析;张婷;《移动通信》;20161031;全文 * |
| 基于4G LTE核心网EPC&IMS的VoLTE应用及安全体系研究;黄寅;《中国优秀硕士学位论文全文数据库 信息科技辑》;20150315;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109714293A (zh) | 2019-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102487923B1 (ko) | 서비스들 - 사용자-평면 접근법에 대한 네트워크 토큰들을 이용한 효율적인 정책 집행 | |
| CN101932040B (zh) | 寻呼处理方法、通信装置及通信系统 | |
| US9936438B2 (en) | System and method for handling stray session requests in a network environment | |
| US9686116B2 (en) | Dynamic service information for the access network | |
| EP3342116B1 (en) | Methods and devices for detecting and correlating data packet flows in a lawful interception system | |
| US10165618B2 (en) | Service processing method and device | |
| JP2011504665A (ja) | セキュリティ設定を決定するための方法及び構成 | |
| KR101414231B1 (ko) | 비정상 호 탐지 장치 및 방법 | |
| CN113271639B (zh) | 网络业务处理方法和装置 | |
| US9647935B2 (en) | Inter-layer quality of service preservation | |
| US10341906B2 (en) | System and method for circuit switched fallback in IMS centralized services | |
| US20100299446A1 (en) | Method and apparatus for controlling service data flows transmitted in a tunnel | |
| EP2596660B1 (en) | Gating control in a telecommunications network | |
| CN107548077B (zh) | 一种位置信息获取方法、设备及系统 | |
| CN101370171B (zh) | 实现通信呼叫及释放的方法与系统、装置 | |
| CN106162733B (zh) | 一种异常流量抑制方法及装置 | |
| RU2640573C1 (ru) | Способ устранения отказа, сеть пакетной передачи данных, узел управления мобильностью и сетевая система | |
| CN109714293B (zh) | VoLTE数据流量过滤方法、装置、网关、设备及介质 | |
| KR101534160B1 (ko) | 4G 모바일 네트워크에서의 VoLTE 세션 관리 장치 및 방법 | |
| KR101785680B1 (ko) | 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법 | |
| CN103747527A (zh) | 寻呼处理方法、通信装置及通信系统 | |
| CN113038518B (zh) | 网络注册方法、装置和用户设备 | |
| CN110572415B (zh) | 一种安全防护的方法、设备及系统 | |
| Ko et al. | SIP amplification attack analysis and detection in VoLTE service network | |
| KR101711074B1 (ko) | 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |