CN1964316A - 在分组网络中实现网络屏蔽的方法及系统 - Google Patents
在分组网络中实现网络屏蔽的方法及系统 Download PDFInfo
- Publication number
- CN1964316A CN1964316A CN200510115888.4A CN200510115888A CN1964316A CN 1964316 A CN1964316 A CN 1964316A CN 200510115888 A CN200510115888 A CN 200510115888A CN 1964316 A CN1964316 A CN 1964316A
- Authority
- CN
- China
- Prior art keywords
- network
- sip message
- information
- cscf
- relevant information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种在分组网络中实现网络屏蔽的方法,该方法在分组网络中将出网络的SIP消息发送到本网络中的网络屏蔽点;所述网络屏蔽点保存所述SIP消息中需要屏蔽的相关信息,并隐藏该SIP消息中的所述相关信息后将SIP消息发送出本网络。本发明还公开了一种用于分组网络的屏蔽装置,包括用于存储需要屏蔽的信息的存储模块;用于将出网络的SIP消息中需要屏蔽的信息保存到所述存储模块,并屏蔽SIP消息中的该相关信息的第一处理模块;利用所述存储模块保存的相关信息,恢复入网络的SIP消息中被屏蔽的信息,第二处理模块。
Description
技术领域
本发明涉及通信技术领域,尤其涉及在分组网络中实现网络屏蔽的方法及系统。
背景技术
传统电信网是一个安全的网络,一个可信任的网络。但在以会话发起协议(SIP)作为核心网的呼叫控制信令的分组电信网架构中,随着承载的IP化,接入的安全和网络域的安全成为运营所必须考虑的问题,任何将网络中非边界的功能实体地址外泄都存在着安全隐患。
在IETF RFC3608中,描述了SIP Proxy需要在REGISTER请求的200 OK响应的Service-Route消息头中返回它的地址。在3GPP TS 24.229中,描述了以SIP为核心网的呼叫控制信令的IMS架构的注册和基本会话处理:
(1)UE和P-CSCF在注册过程中都不知道S-CSCF的地址,必须与I-CSCF联系以便从HSS获得S-CSCF的地址。为了避免对于UE发起的每个初始消息都要将I-CSCF作为额外的一跳,S-CSCF在Service-Route中填入自己的地址并发送给UE。
(2)为了使初始消息后续的消息路由更为简单,在IMS中使用SIP路由机制,所有的CSCF(或AS等其他功能实体)都将自己的地址放在Via消息头的顶端,如果某功能实体需要后续信令流继续经过自己,在Record-Route头的顶端放入自己的地址,这些消息头都将在SIP消息中发送给终端UE。
(3)当会话由于过滤规则触发了业务的AS,由于后续处理的需要,在Record-Route中会存在AS的地址,并最终会发送给UE,无论AS是否可能是第三方的,或专用的,或有安全性要求的。
(4)从3GPP TS 24.229的描述中可以看出,P-CSCF作为网络的接入点在呼叫中记录的各网元地址作为拆除呼叫用,在P-CSCF发送给UE的消息中并没有把Record Route和Via中本网络的其他网元过滤。
随着分组技术的不断成熟,终端设备智能化程度愈来愈高,以上在给终端的消息中泄露的地址会成为网络域安全新的隐患。网络的接入点(如AGCF、P-CSCF、THIG、I-CSCF、I-BGCF等)并没有起到屏蔽本网络其他网元的作用。需要采用新的技术方案来屏蔽本网络其他网元的地址,保证网络的安全。
在3GPP TS 24.229中,描述了I-CSCF(THIG)实现拓扑隐藏功能的一种方法。该方法就是当消息经过I-CSCF出网络时,I-CSCF对地址信息进行加密,并使用“tokenized-by”注明加密网络的名字。当消息经过I-CSCF入网络时,I-CSCF解密,还原地址信息。但该方法存在以下缺点:
(1)只在I-CSCF(THIG)上实现,并不能对用户和第三方AS进行网络屏蔽,因而存在一定的局限性。
(2)目前I-CSCF(THIG)实现拓扑隐藏仅有加密这一种方法,在方法上存在局限性。而且当和I-CSCF(THIG)交互的实体不支持加密时,可能在收到加密的信息时回复错误响应。
发明内容
本发明提供一种在分组网络中实现网络屏蔽的方法及系统,以解决现有技术中在分组网络中实现网络屏蔽存在安全性不高的问题;进一步的,解决现有技术在分组网络中实现网络屏蔽存在局限性的问题。
本发明提供以下技术方案:
一种在分组网络中实现网络屏蔽的方法,包括如下步骤:
在分组网络中将出网络的SIP消息发送到本网络中的网络屏蔽点;
所述网络屏蔽点保存所述SIP消息中需要屏蔽的相关信息,并隐藏该SIP消息中的所述相关信息后将SIP消息发送出本网络。
其中:
所述网络屏蔽点在接收到与所述SIP消息相关的入网络SIP消息时,利用保存的相关信息恢复该入网络SIP消息中相应的信息。
网络屏蔽点将保存的相关信息与会话标识或事务标识关联,恢复信息时利用入网络SIP消息的会话标识或事务标识查找保存的相关信息。
所述相关信息可以是SIP消息中包含地址信息的头域和/或SIP消息头域中的地址信息。
所述头域可以是SIP消息的Record-Route、Service-Route、Via、Route和Contact头域中的部分或全部头域。
所述分组网络为IMS网络;或者,为基于IMS的PSTN/ISDN仿真子系统(PES)网络。
所述网络屏蔽点为用户接入的代理呼叫会话控制功能(P-CSCF)、接入网关控制功能(AGCF)、问询呼叫会话控制功能(I-CSCF)、互通边界网关控制功能(I-BGCF)或者为服务呼叫会话控制功能(S-CSCF)。
隐藏所述相关信息是指进行删除、替换、增加和减少信息中的一项或多项操作。
一种在分组网络中实现网络屏蔽的方法,包括如下步骤:
IMS网络中的代理呼叫会话控制功能(P-CSCF)实体、互通边界网关控制功能(I-BGCF)、服务呼叫会话控制功能(S-CSCF)实体或接入网关控制功能(AGCF)实体接收到出网络的SIP消息时,对该SIP消息中需要屏蔽的相关信息进行加密处理并指明加密网络的标识;以及
将加密处理后的SIP消息发送出本网络。
其中:
所述网络屏蔽点在接收到入网络SIP消息时,对该SIP消息中被屏蔽的信息进行解密处理。
一种用于分组网络的屏蔽装置,包括:
存储模块,用于存储需要屏蔽的信息;
第一处理模块,用于将出网络的SIP消息中需要屏蔽的信息保存到所述存储模块,并屏蔽SIP消息中的该相关信息;
第二处理模块,利用所述存储模块保存的相关信息,恢复入网络的SIP消息中被屏蔽的信息。
一种用于分组网络的屏蔽装置,包括:
加密模块,用于对出网络的SIP消息中需要屏蔽的相关信息进行加密处理;
解密模块,用于对入网络SIP消息中被屏蔽的相关信息进行解密处理;
控制模块,用于控制所述加密模块和解密模块分别进行加密和解密操作。
一种分组网络系统,包括多个用于处理业务请求的网络实体;该系统还包括:
网络屏蔽实体,用于从网络实体发送的出网络SIP消息中提取和保存需要屏蔽的相关信息,并隐藏SIP消息中的该相关信息后将SIP消息发送出本网络。
其中:
所述网络屏蔽实体包括:
存储模块,用于存储需要屏蔽的地址信息;
第一处理模块,用于将出网络的SIP消息中需要屏蔽的信息保存到所述存储模块,并屏蔽SIP消息中的该相关信息;
第二处理模块,利用所述存储模块保存的相关信息,恢复入网络的SIP消息中被屏蔽的信息。
所述网络屏蔽实体为用户接入的代理呼叫会话控制功能(P-CSCF)、接入网关控制功能(AGCF)、问询呼叫会话控制功能(I-CSCF)、互通边界网关控制功能(I-BGCF)或者为服务呼叫会话控制功能(S-CSCF)。
一种分组网络系统,包括多个用于处理业务请求的网络实体;该网络系统还包括:
网络屏蔽实体,用于对出网络的SIP消息中需要屏蔽的相关信息进行加密处理并指明加密网络的标识,以及对入网络SIP消息中被屏蔽的信息进行解密处理。
其中:
所述网络屏蔽实体包括:
加密模块,用于对出网络的SIP消息中需要屏蔽的相关信息进行加密处理;
解密模块,用于对入网络SIP消息中被屏蔽的相关信息进行解密处理;
控制模块,用于控制所述加密模块和解密模块分别进行加密和解密操作。
所述网络屏蔽实体为IMS网络中的代理呼叫会话控制功能(P-CSCF)实体、互通边界网关控制功能(I-BGCF)、服务呼叫会话控制功能(S-CSCF)实体或接入网关控制功能(AGCF)实体。
采用本发明,使得在以SIP作为呼叫控制信令的分组核心网中,网络的其他网元地址信息在网络屏蔽点被屏蔽,不会泄露用户和其他网络,防止网络的非网络接入点被攻击,从而可以提高网络的安全性和可运营性。
本发明在通过加密方式进行网络屏蔽时,除了可以在I-CSCF上实施外,还可以在P-CSCF、AGCF和S-CSCF上实施,因而可以满足不同需求,其适应更强。
本发明中在网络屏蔽点保存SIP消息头域内需要屏蔽的信息并对头域进行修改,因而其安全性更好;同时,屏蔽点可以是用户接入网络中的P-CSCF或AGCF,或者是其他网络接入的I-CSCF,或者是接入第三方或专用并有安全性要求的应用服务器(AS)的服务呼叫会话控制功能(S-CSCF),或者和其他异构IP网络互通的互通边界网关控制功能(I-BGCF),因而其适应性强。
附图说明
图1为以SIP作为呼叫控制信令的分组核心网的逻辑结构示意图;
图2为本发明在IMS网络中通过保存并修改信息实现网络屏蔽的流程图;
图3为本发明中采用加密方法实现网络屏蔽的流程图;
图4A、图4B为本发明中网络屏蔽实体的结构示意图。
具体实施方式
以SIP协议作为呼叫控制信令的分组核心网的网络逻辑结构如图1所示,其中分组核心网既可以是IMS,也可以是基于IMS的PSTN/ISDN仿真子系统(PES)。其中:接口E1~E6均为SIP协议接口,各个功能实体只是在功能上独立,可以任意合设在一个物理实体中,合设的功能实体之间的接口为可以为内部接口;应用服务器(AS)可能是第三方或有安全需求的特殊AS。在基于IMS的PES网络中,接入网关控制功能(AGCF)也是网络接入点之一;另外,在和其他异构IP网络互通时,互通边界网关控制功能(I-BGCF)也是网络屏蔽点之一。
为了在分组网络的进行网络屏蔽的过程中,提高安全性,本发明在分组网络中将出网络的SIP消息发送到本网络中的网络屏蔽点,由网络屏蔽点提取并保存所述SIP消息中需要屏蔽的相关信息,并隐藏该SIP消息中的所述相关信息后将SIP消息发送出本网络。
所述相关信息可以是SIP消息中包含地址信息的头域,如Record-Route、Service-Route、Via、Route和Contact头域中的部分或全部头域。也可以是SIP消息头域中的地址信息,如Route头域中包含的本网络内其他网元的地址信息。
隐藏需要屏蔽相关信息是指任何隐藏真实信息的操作,该操作可以是删除(不能影响SIP消息的后续路由)、替换、增加和减少信息中的一项或多项操作;其中删除的信息可以是包含需要屏蔽的头域,也可以是相关头域中的参数。
网络屏蔽点在保存所述相关信息时,将其与会话标识或事务标识关联;进一步的,网络屏蔽点在接收到与出网络SIP消息相关的入网络SIP消息时,根据入网络SIP消息中的会话标识或事务标识,利用保存的相关信息恢复该入网络SIP消息中相应的信息,以保证业务的正常进行。
在分组网中实现网络屏蔽是以注册、呼叫或其他业务流程为前提的,而注册、呼叫或其他业务流程本身并不是本发明的需要解决的问题,因此在后续描述中不对各处理流程详细步骤进行说明,主要对流程中与网络屏蔽相关的处理步骤进行说明。
下面主要以终端注册和一个呼叫实例来描述以SIP作为呼叫控制信令的分组核心网,在不影响原有业务的基础上,以P-CSCF作为用户接入本网络的网络屏蔽点,屏蔽掉头域中本网络其它网元的地址的实现过程对本发明进行详细说明。
终端设备在注册过程,IMS网络中的S-CSCF响应用户设备(UE)的注册请求,对用户进行鉴权和注册成功后,S-CSCF在返回的200 OK的Service-Route消息头中携带自身(S-CSCF)的地址;P-CSCF作为网络屏蔽点,接到S-CSCF的注册响应后,记录Service-Route消息头中S-CSCF的地址,作为UE在注册期间长期保存的路由头域列表(Route header list);同时,在给UE的注册响应消息中,P-CSCF删除消息中Service-Route消息头。
图2所示的流程图和描述仅为突出本发明的主要处理过程,并不表示一个完整的呼叫和业务控制流程,也没有穷尽所有可能的分支流程;而描述的SIP消息携带呼叫时Route、Via和Record Route等头域,仅为突出其中网元地址参数的屏蔽,并不表示这是唯一的描述方式。上述流程中没有I-CSCF、AGCF、I-BGCF和S-CSCF实现网络屏蔽的流程,并不代表I-CSCF、AGCF、I-BGCF和S-CSCF不能做网络屏蔽,如果需要,也可以在I-CSCF、AGCF、I-BGCF和S-CSCF上对Record-Route、Service-Route、Via、Route、Contact等包含地址信息的头域做隐藏实现网络屏蔽。
参阅图2所示,其处理过程如下(该实例中仅以用户发起呼叫的一个片断流程为例,略去了一些临时响应消息和被叫侧呼叫流程):
步骤1-2:在INVITE消息中携带INVITE请求的被叫SIP URI以及P-CSCF的地址。
由于在注册流程中P-CSCF对注册相应消息200 OK中的Service-Route做隐藏之后,UE不知道S-CSCF的地址,因此,在INVITE请求中并不携带S-CSCF的地址。
步骤3-4:P-CSCF在收到UE的INVITE之后,P-CSCF在消息Route头域中删除自己的地址,增加记录在Route header list中的S-CSCF的地址,在Via和Record-Route中增加自己的地址。
在该过程中,P-CSCF无需判断UE是否违背Service-Route,而是把记录的S-CSCF的地址增加到Route头域中。
步骤5-6:由S-CSCF对INVITE消息进行处理。
步骤7-9:当P-CSCF收到200响应消息时,P-CSCF保存消息中Via和Record-Route等头域中需要隐藏的地址,在给UE的响应消息中在Via和Record-Route头中都只保留P-CSCF的地址(在该过程中P-CSCF实现了网络屏蔽)。
步骤10-11:当P-CSCF收到UE的ACK时,P-CSCF可以根据会话标示或者事务标示取保存在P-CSCF的呼叫的Route header list,并在Via、Record-Route等相关头域中补齐地址信息,发送给S-CSCF(在该过程中P-CSCF实现了网络屏蔽后的还原)。
在上述流程中仅给出了200消息、INVITE消息和ACK消息。并不意味着只有这些消息需要屏蔽。事实上,所有经由网络接入点出网络的消息,如果携带可能泄露本网络内其他网元地址的消息,如果需要防止被攻击,都可以做网络屏蔽。需要屏蔽的消息头也不局限于实施例中提到的Record-Route、Service-Route、Via、Route等;如,SIP消息中的Contact消息头也可以携带地址信息,它的屏蔽方法和其他头域完全一样,即将出网络SIP消息的Contact头域中需要隐藏的地址内容删除(该头域是SIP消息传送过程中必须的,不能删除头域,只能删除内容或修改内容),当与出网络SIP消息相关的消息入网络时还原Contact头域中相应的地址内容。
实施例针对的是用户是SIP终端,如果用户是传统终端,如基于IMS的PES网络,也可以使用本发明的方法实现网络屏蔽。这时对用户的屏蔽可以在AGCF上实现。
实施例描述的是IMS网络域在网络接入点P-CSCF网络屏蔽的实现,事实上IMS和其他NGN网络互通时也可以做网络屏蔽,这时可以在I-CSCF或者I-BGCF上实现。
在上述描述中,网络屏蔽点在进行网络隐藏时,还可以是在提取和保存所述SIP消息中需要屏蔽的头域内的地址信息后,采用特定信息替换所述头域内相应的地址信息后发送所述SIP消息,也可以是在其中增加或减少部分部分信息,从而隐藏真实的地址信息,其余的处理与上述同理,不再赘述。
在P-CSCF、AGCF、S-CSCF或I-BGCF这些网络屏蔽点进行网络隐藏时,还可以采用加密的方法。
如图3所示,流采用加密的方法进行网络屏蔽的主要过程如下(该实例中仅以发起到用户呼叫的一个片断流程为例,略去了一些临时响应消息和主叫侧呼叫流程):
步骤1:S-CSCF接收到用户UE的呼叫请求,转发给P-CSCF。
步骤2:P-CSCF接收到用户UE的呼叫请求,把自己加入到Record-Route和Via头中,对Record-Route和Via头中除自己之外其他的地址信息加密,并使用“tokenized-by”注明加密网络为本网络,然后,将请求发往UE。
步骤3-4:UE收到呼叫请求并响应请求。
步骤5:P-CSCF收到响应请求之后,解密消息中Record-Route和Via头中加密的地址信息,将响应消息路由到下一跳S-CSCF。
在AGCF、S-CSCF或I-BGCF上采用加密方式进行网络屏蔽的处理过程此同理,不再赘述。
相应的,在IMS网络中用于屏蔽地址信息的一种网络屏蔽实体结构如图4A所示,包括:存储模块、第一处理模块和第二处理模块,其中:
存储模块,用于存储需要屏蔽的地址信息。
第一处理模块,与存储模块具有逻辑上的连接关系,用于将出网络的SIP消息中需要屏蔽的头域内的地址信息保存到所述存储模块,并屏蔽掉该头域内的信息。
第二处理模块,与存储模块具有逻辑上的连接关系,利用所述存储模块保存的地址信息,恢复入网络的SIP消息中头域内被屏蔽掉的地址信息。
所述的网络屏蔽实体可以是P-CSCF、AGCF、I-CSCF、I-BGCF或者S-CSCF实体,其中实现现有基本功能的功能模块在图中未示出。
另一种网络屏蔽实体结构如图4B所示,包括:控制模块、加密模块和解密模块,其中:
加密模块,采用指定的算法,对出网络的SIP消息中需要屏蔽的头域内的地址信息进行加密处理,并指明加密网络的标识;
解密模块,采用与加密相对应的解密算法,对入网络SIP消息中需要屏蔽的头域内的地址信息进行解密处理。
控制模块,与所述加密模块和解密模块具有逻辑上的连接关系,用于控制所述加密模块和解密模块。
所述网络屏蔽实体为P-CSCF实体、I-BGCF实体、S-CSCF实体或AGCF实体,其中实现现有基本功能的功能模块在图中未示出。
在网络屏蔽点对SIP消息中头域的隐蔽处理与上述同理,而且网络屏蔽点在对SIP消息进行屏蔽时,可以对某些头域进行隐藏处理并同时对其他一些头域内的信息进行隐藏处理,其处理过程与上述同理。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (20)
1、一种在分组网络中实现网络屏蔽的方法,其特征在于,包括如下步骤:
在分组网络中将出网络的SIP消息发送到本网络中的网络屏蔽点;
所述网络屏蔽点保存所述SIP消息中需要屏蔽的相关信息,并隐藏该SIP消息中的所述相关信息后将SIP消息发送出本网络。
2、如权利要求1所述的方法,其特征在于,所述网络屏蔽点在接收到与所述SIP消息相关的入网络SIP消息时,利用保存的相关信息恢复该入网络SIP消息中被屏蔽的信息。
3、如权利要求2所述的方法,其特征在于,网络屏蔽点将保存的相关信息与会话标识或事务标识关联,恢复信息时利用入网络SIP消息的会话标识或事务标识查找保存的相关信息。
4、如权利要求1所述的方法,所述相关信息为SIP消息中包含地址信息的头域和/或SIP消息头域中的地址信息。
5、如权利要求4所述的方法,其特征在于,所述头域可以是SIP消息的Record-Route、Service-Route、Via、Route和Contact头域中的部分或全部头域。
6、如权利要求1所述的方法,其特征在于,所述分组网络为IMS网络;或者,为基于IMS的PSTN/ISDN仿真子系统(PES)网络。
7、如权利要求6所述的方法,其特征在于,所述网络屏蔽点为用户接入的代理呼叫会话控制功能(P-CSCF)、接入网关控制功能(AGCF)、问询呼叫会话控制功能(I-CSCF)、互通边界网关控制功能(I-BGCF)或者为服务呼叫会话控制功能(S-CSCF)。
8、如权利要求1至7任一项所述的方法,其特征在于,隐藏所述相关信息是指进行删除、替换、增加和减少信息中的一项或多项操作。
9、一种在分组网络中实现网络屏蔽的方法,其特征在于,包括如下步骤:
IMS网络中的代理呼叫会话控制功能(P-CSCF)实体、互通边界网关控制功能(I-BGCF)、服务呼叫会话控制功能(S-CSCF)实体或接入网关控制功能(AGCF)实体接收到出网络的SIP消息时,对该SIP消息中需要屏蔽的相关信息进行加密处理并指明加密网络的标识;以及
将加密处理后的SIP消息发送出本网络。
10、如权利要求8所述的方法,其特征在于,所述网络屏蔽点在接收到入网络SIP消息时,对该SIP消息中被屏蔽的信息进行解密处理。
11、如权利要求9或10所述的方法,其特征在于,所述相关信息为SIP消息中包含地址信息的头域和/或SIP消息头域中的地址信息。
12、如权利要求11所述的方法,其特征在于,所述头域可以是SIP消息的Record-Route、Service-Route、Via、Route和Contact头域中的部分或全部头域。
13、一种用于分组网络的屏蔽装置,其特征在于,包括:
存储模块,用于存储需要屏蔽的信息;
第一处理模块,用于将出网络的SIP消息中需要屏蔽的信息保存到所述存储模块,并屏蔽SIP消息中的该相关信息;
第二处理模块,利用所述存储模块保存的相关信息,恢复入网络的SIP消息中被屏蔽的信息。
14、一种用于分组网络的屏蔽装置,其特征在于,包括:
加密模块,用于对出网络的SIP消息中需要屏蔽的相关信息进行加密处理;
解密模块,用于对入网络SIP消息中被屏蔽的相关信息进行解密处理;
控制模块,用于控制所述加密模块和解密模块分别进行加密和解密操作。
15、一种分组网络系统,包括多个用于处理业务请求的网络实体;其特征在于,还包括:
网络屏蔽实体,用于从网络实体发送的出网络SIP消息中提取和保存需要屏蔽的相关信息,并隐藏SIP消息中的该相关信息后将SIP消息发送出本网络。
16、如权利要求15所述的分组网络系统,其特征在于,所述网络屏蔽实体包括:
存储模块,用于存储需要屏蔽的地址信息;
第一处理模块,用于将出网络的SIP消息中需要屏蔽的信息保存到所述存储模块,并屏蔽SIP消息中的该相关信息;
第二处理模块,利用所述存储模块保存的相关信息,恢复入网络的SIP消息中被屏蔽的信息。
17、如权利要求15或16所述的分组网络系统,其特征在于,所述网络屏蔽实体为用户接入的代理呼叫会话控制功能(P-CSCF)、接入网关控制功能(AGCF)、问询呼叫会话控制功能(I-CSCF)、互通边界网关控制功能(I-BGCF)或者为服务呼叫会话控制功能(S-CSCF)。
18、一种分组网络系统,包括多个用于处理业务请求的网络实体;其特征在于,还包括:
网络屏蔽实体,用于对出网络的SIP消息中需要屏蔽的相关信息进行加密处理并指明加密网络的标识,以及对入网络SIP消息中被屏蔽的信息进行解密处理。
19、如权利要求18所述的分组网络系统,其特征在于,所述网络屏蔽实体包括:
加密模块,用于对出网络的SIP消息中需要屏蔽的相关信息进行加密处理;
解密模块,用于对入网络SIP消息中被屏蔽的相关信息进行解密处理;
控制模块,用于控制所述加密模块和解密模块分别进行加密和解密操作。
20、如权利要求18或19所述的分组网络系统,其特征在于,所述网络屏蔽实体为IMS网络中的代理呼叫会话控制功能(P-CSCF)实体、互通边界网关控制功能(I-BGCF)、服务呼叫会话控制功能(S-CSCF)实体或接入网关控制功能(AGCF)实体。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200510115888.4A CN1964316A (zh) | 2005-11-10 | 2005-11-10 | 在分组网络中实现网络屏蔽的方法及系统 |
PCT/CN2006/002998 WO2007054024A1 (fr) | 2005-11-10 | 2006-11-09 | Procede, appareil et systeme de mise en oeuvre d'une protection reseau dans un reseau de paquets |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200510115888.4A CN1964316A (zh) | 2005-11-10 | 2005-11-10 | 在分组网络中实现网络屏蔽的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1964316A true CN1964316A (zh) | 2007-05-16 |
Family
ID=38022973
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200510115888.4A Pending CN1964316A (zh) | 2005-11-10 | 2005-11-10 | 在分组网络中实现网络屏蔽的方法及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN1964316A (zh) |
WO (1) | WO2007054024A1 (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103039049A (zh) * | 2010-06-06 | 2013-04-10 | 泰克莱克股份有限公司 | 用于在通信网络中遮蔽直径节点信息的方法、系统和计算机可读介质 |
CN103460648A (zh) * | 2011-01-21 | 2013-12-18 | 泰克莱克股份有限公司 | 用于在具有分布式消息处理器架构的 Diameter 信令路由器(DSR)内屏蔽Diameter 消息的方法、系统和计算机可读介质 |
US9253163B2 (en) | 2011-12-12 | 2016-02-02 | Tekelec, Inc. | Methods, systems, and computer readable media for encrypting diameter identification information in a communication network |
US9647986B2 (en) | 2009-10-16 | 2017-05-09 | Tekelec, Inc. | Methods, systems, and computer readable media for providing diameter signaling router with firewall functionality |
CN107483497A (zh) * | 2017-09-22 | 2017-12-15 | 中国人民解放军信息工程大学 | Ims网络中特定用户位置信息保护方法及其设备 |
US9967148B2 (en) | 2015-07-09 | 2018-05-08 | Oracle International Corporation | Methods, systems, and computer readable media for selective diameter topology hiding |
US10033736B2 (en) | 2016-01-21 | 2018-07-24 | Oracle International Corporation | Methods, systems, and computer readable media for remote authentication dial-in user service (radius) topology hiding |
US10117127B2 (en) | 2015-07-08 | 2018-10-30 | Oracle International Corporation | Methods, systems, and computer readable media for communicating radio access network congestion status information for large numbers of users |
US11558737B2 (en) | 2021-01-08 | 2023-01-17 | Oracle International Corporation | Methods, systems, and computer readable media for preventing subscriber identifier leakage |
US11570689B2 (en) | 2021-05-07 | 2023-01-31 | Oracle International Corporation | Methods, systems, and computer readable media for hiding network function instance identifiers |
US11627467B2 (en) | 2021-05-05 | 2023-04-11 | Oracle International Corporation | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces |
US11638155B2 (en) | 2021-05-07 | 2023-04-25 | Oracle International Corporation | Methods, systems, and computer readable media for protecting against mass network function (NF) deregistration attacks |
US11695563B2 (en) | 2021-05-07 | 2023-07-04 | Oracle International Corporation | Methods, systems, and computer readable media for single-use authentication messages |
US11888894B2 (en) | 2021-04-21 | 2024-01-30 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1248446C (zh) * | 2002-05-15 | 2006-03-29 | 华为技术有限公司 | 一种宽带网络的安全接入方法 |
US7701974B2 (en) * | 2003-10-21 | 2010-04-20 | Nokia Corporation | Routing information processing for network hiding scheme |
CN1278519C (zh) * | 2004-07-30 | 2006-10-04 | 华为技术有限公司 | 将终端能力变化通知给网络的方法 |
-
2005
- 2005-11-10 CN CN200510115888.4A patent/CN1964316A/zh active Pending
-
2006
- 2006-11-09 WO PCT/CN2006/002998 patent/WO2007054024A1/zh active Application Filing
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9647986B2 (en) | 2009-10-16 | 2017-05-09 | Tekelec, Inc. | Methods, systems, and computer readable media for providing diameter signaling router with firewall functionality |
CN103039049B (zh) * | 2010-06-06 | 2016-08-24 | 泰克莱克股份有限公司 | 用于在通信网络中遮蔽直径节点信息的方法、系统和计算机可读介质 |
CN103039049A (zh) * | 2010-06-06 | 2013-04-10 | 泰克莱克股份有限公司 | 用于在通信网络中遮蔽直径节点信息的方法、系统和计算机可读介质 |
US9094819B2 (en) | 2010-06-06 | 2015-07-28 | Tekelec, Inc. | Methods, systems, and computer readable media for obscuring diameter node information in a communication network |
US9935922B2 (en) | 2011-01-21 | 2018-04-03 | Tekelec, Inc. | Methods, systems, and computer readable media for screening diameter messages within a diameter signaling router (DSR) having a distributed message processor architecture |
CN103460648A (zh) * | 2011-01-21 | 2013-12-18 | 泰克莱克股份有限公司 | 用于在具有分布式消息处理器架构的 Diameter 信令路由器(DSR)内屏蔽Diameter 消息的方法、系统和计算机可读介质 |
CN103460648B (zh) * | 2011-01-21 | 2017-04-19 | 泰克莱克股份有限公司 | 用于在Diameter信令路由器(DSR)内屏蔽Diameter消息的方法和系统 |
US9253163B2 (en) | 2011-12-12 | 2016-02-02 | Tekelec, Inc. | Methods, systems, and computer readable media for encrypting diameter identification information in a communication network |
US10117127B2 (en) | 2015-07-08 | 2018-10-30 | Oracle International Corporation | Methods, systems, and computer readable media for communicating radio access network congestion status information for large numbers of users |
US9967148B2 (en) | 2015-07-09 | 2018-05-08 | Oracle International Corporation | Methods, systems, and computer readable media for selective diameter topology hiding |
US10033736B2 (en) | 2016-01-21 | 2018-07-24 | Oracle International Corporation | Methods, systems, and computer readable media for remote authentication dial-in user service (radius) topology hiding |
CN107483497A (zh) * | 2017-09-22 | 2017-12-15 | 中国人民解放军信息工程大学 | Ims网络中特定用户位置信息保护方法及其设备 |
CN107483497B (zh) * | 2017-09-22 | 2020-05-05 | 中国人民解放军信息工程大学 | Ims网络中特定用户位置信息保护方法及其设备 |
US11558737B2 (en) | 2021-01-08 | 2023-01-17 | Oracle International Corporation | Methods, systems, and computer readable media for preventing subscriber identifier leakage |
US11888894B2 (en) | 2021-04-21 | 2024-01-30 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks |
US11627467B2 (en) | 2021-05-05 | 2023-04-11 | Oracle International Corporation | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces |
US11570689B2 (en) | 2021-05-07 | 2023-01-31 | Oracle International Corporation | Methods, systems, and computer readable media for hiding network function instance identifiers |
US11638155B2 (en) | 2021-05-07 | 2023-04-25 | Oracle International Corporation | Methods, systems, and computer readable media for protecting against mass network function (NF) deregistration attacks |
US11695563B2 (en) | 2021-05-07 | 2023-07-04 | Oracle International Corporation | Methods, systems, and computer readable media for single-use authentication messages |
Also Published As
Publication number | Publication date |
---|---|
WO2007054024A1 (fr) | 2007-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1964316A (zh) | 在分组网络中实现网络屏蔽的方法及系统 | |
ES2555256T3 (es) | Interceptación lícita en una red de subsistema multimedia IP | |
US8929360B2 (en) | Systems, methods, media, and means for hiding network topology | |
KR101333164B1 (ko) | Sip 메세지에 대한 신뢰를 결정하는 시스템 및 방법 | |
US9544334B2 (en) | Policy routing-based lawful interception in communication system with end-to-end encryption | |
EP2140648B1 (en) | System and method for indicating circuit switched access at ims registration | |
CN102165751B (zh) | 隐藏设备身份 | |
US7701974B2 (en) | Routing information processing for network hiding scheme | |
ES2373458T3 (es) | Método para registrar dispositivos multicontacto. | |
JP2006032997A (ja) | ネットワークシステム、データ中継装置、セッションモニタシステム、およびパケットモニタ中継装置 | |
US8423652B2 (en) | Service templates for an IP multimedia subsystem | |
US10979565B1 (en) | Call screening service for inbound communications | |
US20090133103A1 (en) | Method and system for data security in an IMS network | |
US20150150076A1 (en) | Method and device for instructing and implementing communication monitoring | |
CN107172099B (zh) | 一种MMtel应用服务器中密钥可配置系统及方法 | |
EP1595418B1 (en) | A communication system | |
US20060092919A1 (en) | Inter-enterprise telephony using a central brokerage device | |
Tóthfalusi et al. | Assembling SIP-based VoLTE Call Data Records based on network monitoring | |
Peterson | Secure Telephone Identity Threat Model | |
CN107483497B (zh) | Ims网络中特定用户位置信息保护方法及其设备 | |
Jesske et al. | Private Header (P-Header) Extensions to the Session Initiation Protocol (SIP) for the 3GPP | |
CN101796797A (zh) | 在ip多媒体子系统通信网络中处理信任的方法和设备 | |
CN101247323A (zh) | 一种传输历史标识信息的方法和系统 | |
CN102487519B (zh) | Ip多媒体子系统中媒体内容监听方法及装置 | |
Jesske et al. | RFC 7315: Private Header (P-Header) Extensions to the Session Initiation Protocol (SIP) for the 3GPP |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20070516 |