CN1889560A - 网际协议多媒体子系统中面向用户的网络拓扑隐藏方法 - Google Patents

Abstract

本发明涉及网际协议多媒体子系统的网络安全技术，公开了一种网际协议多媒体子系统中面向用户的网络拓扑隐藏方法，使得IMS能够对UE实现网络拓扑隐藏，从而用户无法直接获知IMS网络拓扑信息。本发明中，通过在UE接入IMS的直接交互点即P－CSCF上实现针对UE的网络路由信息屏蔽，使得UE无法通过SIP消息的路由相关头域来获知网络拓扑信息，从而实现面向用户的网络拓扑隐藏；在P－CSCF上通过加密或者清除等手段完成SIP消息中路由相关头域的屏蔽，实现方法简单可行，且不增加系统处理量，在对于UE返回的SIP消息则进行相应的路由相关头域恢复，使得SIP消息在IMS网络中能够正常路由，从而也不影响正常的多媒体业务通信。

Description

网际协议多媒体子系统中面向用户的网络拓扑隐藏方法

技术领域

本发明涉及网际协议多媒体子系统的网络安全技术，特别涉及网际协议多媒体子系统中面向用户的网络拓扑隐藏方法。

背景技术

网际协议多媒体子系统(IP Multimedia Subsystem，简称“IMS”)是第三代移动通信合作伙伴项目(3rd Generation Partnership Project，简称“3GPP”)R5阶段提出的提供网际协议(Internet Protocol，简称“IP”)多媒体业务的子系统。它采用分组域为其上层控制信令和媒体传输的承载通道，并引入会话初始协议(Session Initial Protocol，简称“SIP”)作为业务控制协议，利用SIP简单、易扩展、媒体组合方便的特点，通过将业务控制与承载控制分离提供丰富的多媒体业务，是业界普遍认同的解决移动和固定网络融合的理想方案和发展方向。

IMS网络架构中的主要功能实体包括控制用户注册、会话等功能的呼叫会话控制功能实体(Call Session Control Function，简称“CSCF”)、集中管理用户签约数据的归属用户服务器(Home Subscriber Server，简称“HSS”)、提供各种业务逻辑控制功能的应用服务器(Application Server，简称“AS”)，其它还有多媒体资源控制功能实体(Multimedia Resource Control Function，简称“MRFC”)、策略确认功能实体(Policy Decision Function，简称“PDF”)等。其中CSCF按照角色功能又分为代理CSCF(Proxy-CSCF，简称“P-CSCF”)、查询CSCF(Interrogating-CSCF，简称“I-CSCF”)、服务CSCF(Serving-CSCF，简称“S-CSCF”)等类型，在逻辑功能上分别完成SIP会话路由中不同的功能，在物理上可以合一也可以分置。用户通过当前所在地代理节点P-CSCF接入IMS，会话和业务触发控制及与AS的业务控制交互则由其注册地的归属域服务节点S-CSCF完成，而I-CSCF则起到路由查询的作用。

从架构上看，IMS是与接入技术无关的网络，不论用户通过使用非对称用户数据线(Asymmetric Data Subscriber Line，简称“ADSL”)的接入，还是使用宽带码分多址(Wideband Code Division Multiple Access，简称“WCDMA”)等无线方式接入，都可体验相同的业务。IMS网络架构分为接入互联层、会话控制层、和应用层。接入互联层完成的主要功能包括实现对各种接入网用户的接入；实现IP分组承载各种承载类型之间的转换；根据业务部署和会话层的控制实现各种服务质量(Quality of Service，简称“QoS”)策略；完成与传统公共服务电信网(Public Service TelecommunicationNetwork，简称“PSTN”)/公共陆地移动通信网(Public Land Mobile Network，简称“PLMN”)间的互联互通等功能。接入互联层包括各类SIP终端、有线接入、无线接入、互联互通网关等设备。

会话控制层完成用户注册、鉴权、SIP会话路径控制，签约数据检测与业务触发、与应用服务器交互执行应用相关业务逻辑、维护管理用户数据、管理业务QoS策略、NAT穿透等功能，与应用层一起为所有用户提供一致的业务环境。在实际组网时，其划分和部署须综合考虑对IMS业务接入方式、IMS接入点位置、CSCF的容量、能力及用户业务量需求等因素，另外也与运营商网络拓扑隐藏及互通需求有关。P-CSCF是用户设备(User Equipment，简称“UE”)接入IMS系统的入口，实现了在SIP协议中的Proxy和User Agent功能。S-CSCF在IMS核心网中处于核心的控制地位，负责对UE的注册鉴权和会话控制，执行针对主叫端及被叫端IMS用户的基本会话路由功能，并根据用户签约数据触发规则，在条件满足时进行到AS的增值业务触发。I-CSCF在IMS核心网中起到关口节点的作用，提供本域用户服务节点(即S-CSCF)的分配、路由查询以及不同IMS域间拓扑隐藏等功能。

应用层向用户提供业务逻辑，包括实现传统的电话业务与PSTN补充业务如呼叫前转、呼叫等待、会议等业务；IMS通过IP多媒体业务交换功能实体(IP Multimedia-Services Switching Function，简称“IM-SSF”)和传统智能业务的互通，实现电路域(Circuit Switch，简称“CS”)和分组域(PacketSwitch，简称“PS”)已有的智能业务的继承。

IMS架构除了可以实现CS、PS已有的业务外，IMS通过AS可以提供基于SIP的电信增值业务，如多媒体业务、对讲式手机、Presence等。另外，IMS通过开放服务接入网关(Open Services Access-Gateway，简称“OSA-GW”)提供简单应用程序接口(Application Program Interface，简称“API”)，以便第三方能够通过这个接口安全地使用网络资源和提供业务，实现丰富的娱乐、游戏、第三方应用等特定业务。另外IMS充分考虑了实际运营的需求，在QoS、安全、计费以及和其它网络的互通方面都制订了相关规范。

SIP是IMS控制层的基本协议，是互联网工程任务组(Internet EngineeringTask Force，简称“IETF”)制订的多媒体通信系统框架协议之一，是用于建立、改变或结束多媒体会话的应用层协议，与多媒体流协议配合，共同完成IMS中的会话建立及媒体协商。SIP作为控制层协议的优势在于它基于公开的互联网标准，容易实现不同网络间的互联互通以及实现更加丰富的业务特性，支持应用层移动性功能，而且协议简单，具有公认的扩展潜力。

SIP消息有两种：客户机到服务器的请求(Request)，服务器到客户机的响应(Response)。SIP消息由一个起始行(start-line)、一个或多个域(field)组成的消息头、一个标志消息头结束的空行(CRLF)以及作为可选项的消息体(message body)组成，其中描述消息体(message body)的头称为实体头(entity header)。启始行分请求行(Request-Line)和状态行(Status-Line)两种，其中请求行是请求消息的启始行，状态行是响应消息的启始行。消息头分通用头(general-header)、请求头(request-header)、响应头(response-header)和实体头(entity-header)四种。

SIP主要用以下六个方法来实现对呼叫的控制：INVITE方法说明一个用户或业务参加一个会话，消息体部分包含了被叫的信息说明；ACK方法主要用于确认客户端对INVITE方法的请求已经响应；客户机用BYE方法向服务器发消息来结束该呼叫；CANCEL方法用于取消一个挂起的呼叫；REGISTER用于向定位服务器注册客户机的相关信息；OPTIONS用于查询服务器的相关信息和功能。SIP主要定义了以下的五种类型的响应状态：1xx：信息，表示请求已经收到，可以继续处理请求；2xx：正确，表示呼叫已经正确的被接受和处理；3xx：重定向，表示该呼叫需被重定向处理；4xx：客户机错误，表示该消息存在表达错误，不能被服务器处理；5xx：服务器错误，表示服务器不能处理该消息。

在SIP模型中，为建立起一个会话，用户代理客户端向用户代理服务器发起请求。请求通过代理服务器在网络中路由。另外，注册服务器提供用户代理的位置信息，因为需要将SIP地址映射成IP地址。在IMS中的用户代理即为UE。IMS中的代理服务器和注册服务器是指CSCF。其中S-CSCF作为注册服务器并且激活基于用户数据的应用业务控制；P-CSCF是UE在IMS网络中的第一个接触点，SIP信令消息在P-CSCF和UE之间传送；I-CSCF对于外部网络是第一个接触点，特别是对于外部的IMS网络。IMS使用“归属控制”，即会话控制信令总是由位于归属网络的S-CSCF负责。P-CSCF则可能在归属网络，也可能在拜访网络。

众所周知，SIP是基于文本的协议，与其它如采用压缩编码规则的协议不同，因此SIP对以文本形式表示的消息的词法和语法分析就比较简单。但是，这也带来了其它方面的问题，比如对于网络安全性，尤其是网络拓扑隐藏方面就会产生问题。这是由于SIP的文本未编码或加密的信令形式在网络间或网络边际上容易造成网络拓扑信息的泄漏，导致网络安全性遭到威胁。

而IMS被认为是电信核心网的目标网络，它将在未来电信网中占据十分重要的位置，因此如何保护IMS免受攻击是至关重要的。为了让IMS免受攻击，一个重要的措施是防止IMS内部的网络拓扑信息外露。由于下一代网络(Next Generation Network，简称“NGN”)是各种网络融合的新型网络，因此对于IMS网络拓扑隐藏主要有两个方面：一个面向其它网络的本网络拓扑信息的隐藏，即对于本网络传向其它网络的SIP消息进行网络拓扑信息的隐藏；而另一个就是面向用户的拓扑隐藏，即对于传向UE的SIP消息进行网络拓扑信息的隐藏。

目前对于运营商之间即面向其它网络的拓扑隐藏已经可以解决，利用具有拓扑隐藏功能(Topology Hide Inter-network Gateway，简称“THIG”)功能的I-CSCF即可实现。而对于具有可编程能力的用户终端(UE)，IMS如何进行面向用户的网络拓扑隐藏目前还没有解决方案，即按照现有的技术，P-CSCF直接将文本SIP消息发向UE，这些消息的头域中明文给出了SIP网络路由信息，其中包括S-CSCF、AS等实体的地址信息等，对于具有智能处理功能的UE完全可以根据这些信息获知IMS网络拓扑结构信息。

在实际应用中，上述方案存在以下问题：UE在通信过程中可以从SIP消息的很多头域中获取IMS网络的拓扑信息，这使IMS的很多核心网元如S-CSCF、AS等的地址信息直接暴露给用户。用户侧拥有这些信息就会对IMS网络安全构成威胁。

造成这种情况的主要原因在于，在IMS会话层中直接与UE交互的P-CSCF实体直接将明文SIP消息发给UE，而这些消息中即包含了路由相关头域，从而泄漏网络拓扑信息。

发明内容

有鉴于此，本发明的主要目的在于提供一种网际协议多媒体子系统中面向用户的网络拓扑隐藏方法，使得IMS能够对UE实现网络拓扑隐藏，从而用户无法直接获知IMS网络拓扑信息。

为实现上述目的，本发明提供了一种网际协议多媒体子系统中面向用户的网络拓扑隐藏方法，包含以下步骤，

代理呼叫会话控制功能实体在发往用户设备的会话初始协议消息中屏蔽路由相关头域；

所述代理呼叫会话控制功能实体在所述用户设备发来的会话初始协议消息中恢复所述路由相关头域。

其中，所述路由相关头域包含：

被所述会话初始协议消息用于在所述网际协议多媒体子系统中路由的头域；

反映所述网际协议多媒体子系统网络拓扑的头域；

反映所述网际协议多媒体子系统内部功能实体的地址的头域。

此外在所述方法中，包含以下子步骤，

所述用户设备向所述代理呼叫会话控制功能实体发送注册会话初始协议请求消息时，由所述代理呼叫会话控制功能实体直接转发，并经过至少一个查询呼叫会话控制功能实体查询后，到达服务呼叫会话控制功能实体；

由所述服务呼叫会话控制功能实体发回注册会话初始协议响应消息时，经过至少一个所述查询呼叫会话控制功能实体查询后，到达所述代理呼叫会话控制功能实体，由该代理呼叫会话控制功能实体屏蔽其路由相关头域后发给所述用户设备。

此外在所述方法中，包含以下子步骤，

所述用户设备向所述代理呼叫会话控制功能实体发送非注册会话初始协议请求消息时，由所述代理呼叫会话控制功能实体恢复其路由相关头域，再经过路由后，到达所述服务呼叫会话控制功能实体；

由所述服务呼叫会话控制功能实体发回非注册会话初始协议响应消息时，经过路由后，到达所述代理呼叫会话控制功能实体，由该代理呼叫会话控制功能实体屏蔽其路由相关头域后发给所述用户设备。

此外在所述方法中，包含以下子步骤，

所述服务呼叫会话控制功能实体发起所述非注册会话初始协议请求消息时，经过路由后，到达所述代理呼叫会话控制功能实体，由该代理呼叫会话控制功能实体屏蔽其路由相关头域后发给所述用户设备；

由所述用户设备发回所述非注册会话初始协议响应消息并到达所述代理呼叫会话控制功能实体时，由所述代理呼叫会话控制功能实体恢复其路由相关头域，再经过路由后，到达所述服务呼叫会话控制功能实体。

此外在所述方法中，所述代理呼叫会话控制功能实体通过对所述路由相关头域进行加密以实现屏蔽；

所述代理呼叫会话控制功能实体通过对所述路由相关头域进行解密以实现恢复。

此外在所述方法中，所述代理呼叫会话控制功能实体对所述路由相关头域的加密操作包含以下子步骤，

将所述路由相关头域加密得到密文字串；

用所述密文字串和所在网络名称构建网络地址标识；

给所述网络地址标识添加加密标记；

所述代理呼叫会话控制功能实体对所述路由相关头域的解密操作包含以下子步骤，

根据所述加密标记识别所述网络地址标识；

从所述网络地址标识提取所述密文字串；

将所述密文字串解密得到所述路由相关头域。

此外在所述方法中，所述代理呼叫会话控制功能实体对所述路由相关头域的加密操作还包含以下子步骤，用有效字段填充所述会话初始协议消息中所述路由相关头域所在字段。

此外在所述方法中，所述代理呼叫会话控制功能实体通过清除所述路由相关头域以实现屏蔽；

所述代理呼叫会话控制功能实体通过填充所述路由相关头域以实现恢复。

此外在所述方法中，所述代理呼叫会话控制功能实体对所述路由相关头域的清除操作包含以下子步骤，

所述代理呼叫会话控制功能实体将所述路由相关头域在本地与所述用户设备对应的路由表中做备份；

所述代理呼叫会话控制功能实体将所述会话初始协议消息中的所述路由相关头域清除；

所述代理呼叫会话控制功能实体对所述路由相关头域的填充操作包含以下子步骤，

所述代理呼叫会话控制功能实体从与所述用户设备对应的路由表中读取并将所述路由相关头域的备份；

所述代理呼叫会话控制功能实体根据该备份填充所述会话初始协议消息中的所述路由相关头域。

通过比较可以发现，本发明的技术方案与现有技术的主要区别在于，通过在UE接入IMS的直接交互点即P-CSCF上实现针对UE的网络路由信息屏蔽，使得UE无法通过SIP消息的路由相关头域来获知网络拓扑信息，从而实现面向用户的网络拓扑隐藏。

在P-CSCF上通过加密或者清除等手段完成SIP消息中路由相关头域的屏蔽，实现方法简单可行，且不增加系统处理量，在对于UE返回的SIP消息则进行相应的路由相关头域恢复，使得SIP消息在IMS网络中能够正常路由，从而也不影响正常的多媒体业务通信。

这种技术方案上的区别，带来了较为明显的有益效果，即通过加密或者清除等手段实现P-CSCF对UE的SIP消息路由相关头域的屏蔽，方便地彻底解决了IMS对用户的网络拓扑隐藏问题，从而用户无法通过SIP消息直接了解到IMS网络的拓扑信息，这极大地加强了IMS网络的安全性，大大提高了多媒体业务可靠性。

附图说明

图1是根据本发明的第一实施例的IMS网络拓扑隐藏示意图；

图2是根据本发明的第一实施例的IMS拓扑隐藏及其SIP信令交互流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述。

本发明提出由P-CSCF完成对用户进行网络拓扑隐藏的概念，由P-CSCF对发送给UE的请求/响应消息中能暴露拓扑信息的路由相关头域进行屏蔽，在UE发送给P-CSCF的响应/请求消息中P-CSCF将被屏蔽的路由相关头域重新恢复后再转发，既使得正常的SIP路由不受影响也能实现面向UE网络拓扑隐藏。

因此本发明给出IMS网络中面向用户的网络拓扑隐藏方法其关键步骤包含：P-CSCF在发往UE的SIP消息中屏蔽路由相关头域；P-CSCF在UE发来的SIP消息中恢复路由相关头域。这里路由相关头域就是SIP消息中被用于在IMS网络路由的头域，即任何可能暴露网络拓扑信息的头域。

其中P-CSCF如何实现拓扑隐藏的头域屏蔽及恢复操作，可以有多种方法，比如对路由相关头域进行加密并做标记，恢复时根据标记解密即可，或者直接将头域清除但同时在本地备份，以便恢复时能够读取保存的备份来填充这些有用的路由信息。

下面参照本发明的实施例详细描述本发明的技术方案实现中的具体细节。

如前所述由于SIP消息的文本传送方式，使得SIP消息有很多易于暴露拓扑信息的头域，比如Via、Route、Record-Route、Path、Service-Route、Contact等，这些头域主要用于SIP协议的路由寻址或控制，随着SIP消息在网络内部明文传递。在IMS中这些路由信息也会在UE及其他各网元之间传递。

UE接入到IMS有两种情况：一种是通过归属网络接入，即在用户所签约网络的本地网络范围内访问；另一种是通过拜访网络接入，即用户在漫游或其它情况下直接访问的不是归属网络，需要通过拜访地网络访问归属网络。这两种情况的网络组网情况如图1所示。图中清楚地给出了需要网络拓扑隐藏的几种情形。

如前所述，对于网际拓扑隐藏也就是网络之间进行SIP交互时，也许面向对方做拓扑隐藏，即如图中拜访网络经过I-CSCF路由回归属网络时两个网络之间的I-CSCF就是有THIG功能以实现网际拓扑隐藏。

而面向用户的网络拓扑隐藏就是指，当UE通过归属网络接入IMS时，归属网络的P-CSCF发送到UE的SIP消息会暴露归属网络的拓扑信息，因此归属网络的P-CSCF需要进行拓扑信息的隐藏。当UE通过拜访网络接入IMS时，拜访网络的P-CSCF发送到UE的SIP消息也会暴露拜访网络的拓扑信息，因此拜访网络的P-CSCF需要进行拓扑信息的隐藏。

为了实现面向用户的网络拓扑隐藏，在本发明的第一实施例中，P-CSCF隐藏所有能暴露网络拓扑信息的SIP头域，比如Via、Route、Record-Route、Path、Service-Route、Contact等。即：P-CSCF在发往UE的SIP消息中屏蔽路由相关头域；P-CSCF在UE发来的SIP消息中恢复路由相关头域。这样对于UE来说，P-CSCF所做的拓扑隐藏，使得UE无法获知路由相关信息，但SIP消息仍然能正常路由，从而不影响其会话及相关业务的实现。

根据前面介绍的SIP协议流程及消息分类，UE在接收服务前首先要发送注册(Register)请求(Request)消息，然后由P-CSCF转发，并经过I-CSCF查询路由，最终到达S-CSCF。这里I-CSCF可能是多个，这是由于拜访网络访问的原因。然后由S-CSCF发回注册响应(Response)消息。完成注册后，即开始正常的SIP信令交互，这样的交互可能有两种情况：或者是UE发起的请求被S-CSCF响应；或者反过来由S-CSCF发起被UE响应。注意到这两种情况下，UE与S-CSCF之间的路由均已建立，因此不需再经过I-CSCF查询。整个三种情况的流程如图2所示。

从图2中可见，注册请求到注册响应的信令交互同时也完成了路由查询过程，因此在S-CSCF发回的注册请求成功的响应消息(200)中携带了重要的路由信息(如Path、Service-Route)，而这些信息即属于本发明所称的“路由相关头域”信息，它们将应用于UE发起的后续SIP请求消息的网络路由中。但是“路由相关头域”也包含了其它能够泄漏IMS网络拓扑结构的一切头域，比如S-CSCF、AS的地址信息等。因此在本发明的第二实施例中针对以下三种路由相关头域做了屏蔽措施：被SIP消息用于在网际协议多媒体子系统中路由的头域；反映网际协议多媒体子系统网络拓扑的头域；反映网际协议多媒体子系统内部功能实体的地址的头域。

那么在具体的SIP信令交互过程中该如何实施本发明第一实施例的两个步骤呢？本发明的第三实施例在第二实施例的基础上，针对图2中UE向S-CSCF注册请求、UE到S-CSCF的非注册请求、S-CSCF到UE的非注册请求这三种SIP信令交互过程给出了网络拓扑隐藏具体步骤。

在UE向S-CSCF注册的过程中：

首先UE向P-CSCF注册SIP请求消息时，由P-CSCF直接转发，并经过至少一个I-CSCF查询后，到达S-CSCF。这个过程P-CSCF不需要做屏蔽或恢复处理，因为UE发来的注册请求SIP消息中没有任何路由相关头域信息。

然后由S-CSCF发回注册SIP响应消息时，经过至少一个I-CSCF查询后，到达P-CSCF，由该P-CSCF屏蔽其路由相关头域后发给所述UE。这个过程中，UE注册成功后，P-CSCF转发注册成功的响应消息(200)到UE之前，P-CSCF需要对Path、Service-Route等暴露拓扑信息的头域进行屏蔽，屏蔽之后再发送到UE。

在UE到S-CSCF的非注册请求过程中：

首先UE向P-CSCF发送非注册SIP请求消息时，由P-CSCF恢复其路由相关头域，再经过路由后，到达S-CSCF。这个过程中，UE是在注册成功后发送请求的，根据SIP协议，UE会在非注册请求中填充上由之前收到的路由相关头域，而该头域在上面的过程中已经被P-CSCF屏蔽过了，因此到P-CSCF时，P-CSCF要对屏蔽之后的头域(如Route等)进行恢复，恢复之后新的SIP请求带有正常的路由相关信息，可以正常路由寻址到S-CSCF。

然后由S-CSCF发回非注册SIP响应消息时，经过路由后，到达P-CSCF，由该P-CSCF屏蔽其路由相关头域后发给UE。在这个过程中，与前面注册过程中P-CSCF发回给UE一样，P-CSCF转发响应时需要对暴露拓扑信息的头域(如Record-Route等)进行屏蔽，屏蔽之后再将新的SIP响应发送到UE。这样就能保证UE无法获知路由相关头域信息。

在S-CSCF到UE的非注册请求过程中：

首先由S-CSCF发起非注册SIP请求消息时，经过路由后，到达P-CSCF，由该P-CSCF屏蔽其路由相关头域后发给UE。这个过程与上面的同理，当请求发送到UE时，P-CSCF需要对暴露拓扑信息的头域(如Via、Contact、Route、Record-Route等)进行屏蔽，屏蔽之后再将新的请求发送给UE。

然后由UE发回非注册SIP响应消息并到达P-CSCF时，由P-CSCF恢复其路由相关头域，再经过路由后，到达S-CSCF。这里UE发回响应到P-CSCF时，UE在SIP填充的路由相关头域是经过P-CSCF屏蔽的，因此P-CSCF需要对屏蔽之后的头域(如Route等)进行恢复，恢复之后再将新的响应消息发送到S-CSCF。

值得注意的是，上面的三个流程对于归属网络访问与拜访网络访问的用户，拓扑隐藏的流程是相同的，唯一的区别在于I-CSCF的查询及路由，而与P-CSCF的拓扑隐藏无关。

在第三实施例给出完整的交互过程后，接下去要解决的问题就是如何具体实现这里的关键步骤即屏蔽和恢复路由相关头域。在本发明的第四实施例和第五实施例分别给出以加密解密和清除填充为手段的屏蔽恢复方法。下面分别详细阐述。

本发明的第四实例在第三实施例的基础上，通过加密解密实现对路由相关头域的屏蔽和恢复。即P-CSCF通过对路由相关头域进行加密将其屏蔽；通过对路由相关头域进行解密将其恢复。

当发送消息到UE时，P-CSCF需要对拓扑信息进行加密，P-CSCF对路由相关头域的加密操作包含以下步骤：

首先，将路由相关头域加密得到密文字串。用整个头域的值作为加密的输入，这些头域是一个或多个拓扑隐藏网络的特殊实体所加入的。在执行加密的时候不改变这些加密的头域的顺序。对于需要加密的头域，不管它们是以多个相同的头域分开组织的，还是用一个头域顺序组织的，都将他们加密成一个字符串即密文字串。

接着，用所述密文字串和所在网络名称构建网络地址标识(NetworkAddress Identifier，简称“NAI”)。比如以username@realm的形式构造NAI，username部分是密文字串，realm是所在网络的名称。

然后，给NAI添加加密标记。比如在构造NAI以后在网络名称的后面附加一个tokenized-by标签。

最后，还要用有效字段填充SIP消息中路由相关头域所在字段，为特殊的头字段构造一个有效的项。比如为via头字段加一个前缀“SIP/2.0/UDP”，或者在Route和Record-Route头字段前加一个“sip:”。这样就真正屏蔽了路由相关字段，并将其加密保存在标记过的NAI中。

当从UE收到请求或者响应时，P-CSCF需要为加密过的SIP消息头域执行解密。P-CSCF对路由相关头域的解密操作包含以下步骤：

首先，根据加密标记识别NAI。即识别经过加密的头域，根据携带tokenized-by标签和隐藏网络标志识别加密过的NAI。

然后，从NAI提取密文字串。即user部分，将其作为解密的输入。

最后，将密文字串解密得到路由相关头域，即恢复形成SIP头域。

本发明的第五实例在第三实施例的基础上，通过清除填充实现对路由相关头域的屏蔽和恢复。即P-CSCF通过清除路由相关头域将其屏蔽；通过填充路由相关头域将其恢复。

当发送消息到UE时，P-CSCF需要对拓扑信息进行清除，P-CSCF对路由相关头域的清除操作包含以下步骤：首先，P-CSCF将路由相关头域在本地与UE对应的路由表中做备份；然后，P-CSCF将SIP消息中的路由相关头域清除。在发往UE的SIP消息中P-CSCF将其中有关暴露网络拓扑信息的头域删除或者将其中有关拓扑的信息删除，同时P-CSCF中保存下来，之后再将新的消息发送到UE。

当从UE收到请求或者响应时，P-CSCF需要为清除过的SIP消息头域填充。P-CSCF对路由相关头域的填充操作包含以下步骤：首先，P-CSCF从与UE对应的路由表中读取并路由相关头域的备份；然后，P-CSCF根据该备份填充SIP消息中的路由相关头域，这样就能保证SIP消息正确路由。

本发明通过P-CSCF对UE完成拓扑隐藏，这对于未来的智能终端是非常必要的。P-CSCF完成拓扑隐藏之后，用户无法通过SIP信令直接了解到IMS网络的拓扑信息，从而极大地加强了IMS网络的安全性。另外在P-CSCF实现拓扑隐藏，也可以加强IMS网络中拓扑隐藏的灵活性。

熟悉本领域的技术人员可以理解，上述实施例中以现有技术背景为例对本发明的技术方案进行描述，同样对于未来扩展技术，比如新的SIP头域也有泄漏网络拓扑信息的可能的，也属于路由相关头域，P-CSCF也会对其屏蔽，不影响本发明的实质和范围。

虽然通过参照本发明的某些优选实施例，已经对本发明进行了图示和描述，但本领域的普通技术人员应该明白，可以在形式上和细节上对其作各种改变，而不偏离本发明的精神和范围。

Claims (10)

1.一种网际协议多媒体子系统中面向用户的网络拓扑隐藏方法，其特征在于，包含以下步骤，

代理呼叫会话控制功能实体在发往用户设备的会话初始协议消息中屏蔽路由相关头域；

所述代理呼叫会话控制功能实体在所述用户设备发来的会话初始协议消息中恢复所述路由相关头域。

2.根据权利要求1所述的网际协议多媒体子系统中面向用户的网络拓扑隐藏方法，其特征在于，所述路由相关头域包含：

被所述会话初始协议消息用于在所述网际协议多媒体子系统中路由的头域；

反映所述网际协议多媒体子系统网络拓扑的头域；

反映所述网际协议多媒体子系统内部功能实体的地址的头域。

3.根据权利要求2所述的网际协议多媒体子系统中面向用户的网络拓扑隐藏方法，其特征在于，包含以下子步骤，

所述用户设备向所述代理呼叫会话控制功能实体发送注册会话初始协议请求消息时，由所述代理呼叫会话控制功能实体直接转发，并经过至少一个查询呼叫会话控制功能实体查询后，到达服务呼叫会话控制功能实体；

由所述服务呼叫会话控制功能实体发回注册会话初始协议响应消息时，经过至少一个所述查询呼叫会话控制功能实体查询后，到达所述代理呼叫会话控制功能实体，由该代理呼叫会话控制功能实体屏蔽其路由相关头域后发给所述用户设备。

4.根据权利要求2所述的网际协议多媒体子系统中面向用户的网络拓扑隐藏方法，其特征在于，包含以下子步骤，

所述用户设备向所述代理呼叫会话控制功能实体发送非注册会话初始协议请求消息时，由所述代理呼叫会话控制功能实体恢复其路由相关头域，再经过路由后，到达所述服务呼叫会话控制功能实体；

由所述服务呼叫会话控制功能实体发回非注册会话初始协议响应消息时，经过路由后，到达所述代理呼叫会话控制功能实体，由该代理呼叫会话控制功能实体屏蔽其路由相关头域后发给所述用户设备。

5.根据权利要求2所述的网际协议多媒体子系统中面向用户的网络拓扑隐藏方法，其特征在于，包含以下子步骤，

所述服务呼叫会话控制功能实体发起所述非注册会话初始协议请求消息时，经过路由后，到达所述代理呼叫会话控制功能实体，由该代理呼叫会话控制功能实体屏蔽其路由相关头域后发给所述用户设备；

由所述用户设备发回所述非注册会话初始协议响应消息并到达所述代理呼叫会话控制功能实体时，由所述代理呼叫会话控制功能实体恢复其路由相关头域，再经过路由后，到达所述服务呼叫会话控制功能实体。

6.根据权利要求3至5中任意一项所述的网际协议多媒体子系统中面向用户的网络拓扑隐藏方法，其特征在于，所述代理呼叫会话控制功能实体通过对所述路由相关头域进行加密以实现屏蔽；

所述代理呼叫会话控制功能实体通过对所述路由相关头域进行解密以实现恢复。

7.根据权利要求6所述的网际协议多媒体子系统中面向用户的网络拓扑隐藏方法，其特征在于，所述代理呼叫会话控制功能实体对所述路由相关头域的加密操作包含以下子步骤，

将所述路由相关头域加密得到密文字串；

用所述密文字串和所在网络名称构建网络地址标识；

给所述网络地址标识添加加密标记；

所述代理呼叫会话控制功能实体对所述路由相关头域的解密操作包含以下子步骤，

根据所述加密标记识别所述网络地址标识；

从所述网络地址标识提取所述密文字串；

将所述密文字串解密得到所述路由相关头域。

8.根据权利要求7所述的网际协议多媒体子系统中面向用户的网络拓扑隐藏方法，其特征在于，所述代理呼叫会话控制功能实体对所述路由相关头域的加密操作还包含以下子步骤，用有效字段填充所述会话初始协议消息中所述路由相关头域所在字段。

9.根据权利要求3-5中任意一条权利要求所述的网际协议多媒体子系统中面向用户的网络拓扑隐藏方法，其特征在于，所述代理呼叫会话控制功能实体通过清除所述路由相关头域以实现屏蔽；

所述代理呼叫会话控制功能实体通过填充所述路由相关头域以实现恢复。

10.根据权利要求9所述的网际协议多媒体子系统中面向用户的网络拓扑隐藏方法，其特征在于，所述代理呼叫会话控制功能实体对所述路由相关头域的清除操作包含以下子步骤，

所述代理呼叫会话控制功能实体将所述路由相关头域在本地与所述用户设备对应的路由表中做备份；

所述代理呼叫会话控制功能实体将所述会话初始协议消息中的所述路由相关头域清除；

所述代理呼叫会话控制功能实体对所述路由相关头域的填充操作包含以下子步骤，

所述代理呼叫会话控制功能实体从与所述用户设备对应的路由表中读取并将所述路由相关头域的备份；

所述代理呼叫会话控制功能实体根据该备份填充所述会话初始协议消息中的所述路由相关头域。

Images