WO2010083648A1

WO2010083648A1 - 用于为ims网络的终端提供防火墙的方法及防火墙系统

Info

Publication number: WO2010083648A1
Application number: PCT/CN2009/070275
Authority: WO
Inventors: 汪治
Original assignee: 阿尔卡特朗讯公司
Priority date: 2009-01-22
Filing date: 2009-01-22
Publication date: 2010-07-29
Also published as: CN102160331A; KR20110105802A; JP5694954B2; JP2012516081A; EP2391059A1; US20120047569A1; KR101520142B1; EP2391059A4

Description

用于为 IMS网络的终端提供防火墙的方法及防火墙系统

技术领域

本发明涉及网络通信，更具体地，涉及用于增强 IMS网络中的终端的通信安全的方法及系统。背景技术

随着各种类型的网络的普及，人们变得越来越多地依赖网络进行通信和获取各种资源。然而，在基于网络的众多技术迅速发展的同时，网络犯罪层出不穷，网络的安全性引起了人们的广泛关注。实践中，对于大多数的网络犯罪，不仅仅是以数据拦截的方式进行的，而是犯罪者通过网络入侵，获取对数据的非授权访问，甚至改变数据、损坏数据、进行网络资源的非授权使用等。显然，这对用户来说，数据的私密性、通信安全性都受到了极大的威胁。

为了防止网络资源受到网络攻击，提出了防火墙来保证网络的安全性。通过防火墙的使用，来实现对数据的保护并确保网络资源免受可能的网络入侵者的破坏。成功的防火墙可以在允许网络单元与其他通信节点进行通信和交互的同时，保证网络单元不会遭受来自网络的攻击或非授权查询等。

为了满足用户对网络业务的日益多样化的需求， 3GPP在 Release 5规范中提出了 IMS系统（IP Multimedia Subsystem, IP多媒体子系统）。该系统建立了与接入无关、基于开放的 SIP/IP协议以及支持多种多媒体业务类型的平台，以便提供更加丰富的业务。它将蜂窝移动通信网络、传统固定网络和因特网等多种技术有机地结合起来，为未来的基于全 IP网络多媒体应用提供了一个通用的业务智能平台，也为未来网络发展过程中的网络融合提供了技术基础。 IMS的诸多特点使得其成为解决未来网络融合的理想方案和发展方向。

由于 IMS网络与互联网相连接，基于 IP协议和开放的网络架构可以将多种不同业务，通过采用多种不同的接入方式来共享业务平台，增加了网络的灵活性和终端之间的互通性。然而，这是由于 IMS是建立在 IP基础上，使得 IMS的安全性要求比传统运营商在独立网络上运营要高的多，不管是由移动接入还是固定接入， IMS的安全问题都不容忽视。因此，对于 IMS网络中的通信终端来说，作为与公共网络通信和交互的网络单元，拥有自己的防火墙是至关重要的，以确保其免受攻击和非授权访问。但是，并不是所有的 IMS终端都具有足够的存储空间和计算能力来运行防火墙。并且即使已经安装了个人防火墙系统，对于终端来说，防火墙的维护也是一个问题，例如，防火墙是否被实时更新、是否被正确地配置、防火墙系统是否足够强大等等。而且，维护网络安全配置对于 IMS用户，特别是对于那些不具有足够的相关知识的用户来说，意味着较大的工作负担：这不仅仅要花费用户较多的时间和精力，而且还要求用户对于网络安全，至少是对防火墙的使用具有足够的相关知识。

此外，电信网络比普通的计算机网^有更多的移动设备 (例如手机， PDA等）是熟知的。然而，与 PC不同，这些移动设备往往缺少足够的资源（如 CPU, 存储器等）来运行高性能的防火墙，而且，很多遗留的接入设备，比如陈旧的电话设备，不具备安装防火墙软件 /硬件的条件。事实上，这种移动设备更需要解决安全上的隐患。因此，在保护 IMS网络中的终端的安全性的同时，如何尽可能的减轻 IMS终端用户运行防火墙、配置防火墙的负担，是亟待解决的问题。发明内容

为了解决上述问题，本发明提供了为 IMS网络中的终端提供防火墙的方法，以及为 IMS网络终端提供安全保障的防火墙系统，以减轻 IMS网络终端运行或配置防火墙的负担，甚至完全消除这样的负担。

根据本发明的一个方面，提供了一种在 IMS网络中为终端提供防火墙的方法，包括步骤：

在 IMS网络中设置防火墙系统；当防火墙系统接收到来自网络单元的为终端提供防火墙的请求时，获取所述终端的标识信息；

将防火墙系统的标识信息发送给终端以及相关的网络单元；

由防火墙系统管理所述终端和其他网络单元之间的至少部分通信活动，其中，所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS 网络与所述终端通信的网络单元。

可选地，所述网络单元为 S-CSCF或其信任方。

其中，所述终端和防火墙系统的标识信息包括其 IP地址、 MAC地址、用户 ID、防火墙序号等或上述信息的任意组合。

可选地，由防火墙系统向发出请求的网络单元或其信任方发送其标识信息，再由发出请求的网络单元或其信任方向所述终端发送其标识信息，或者由防火墙系统分别向发出请求的网络单元或其信任方、以及所述终端发送其标识信息，或者防火墙系统向发出请求的网络单元或其信任方、以及所述终端两者之一发送起标识信息。

可选地，由发出请求的网络单元或其信任方向所述终端以及相关的网络单元发送防火墙系统的标识信息。可选地，所述发送可以是向所述防火墙系统发送所述请求消息时 /之后，或判断出向所述防火墙系统发送所述请求消息时 /之后。

可选地，缺省设置为一旦所述终端进入 IMS网络并发起注册请求或会话请求，发出请求的网络单元或其信任方便向所述防火墙系统发出为终端提供防火墙的请求。

可选地，当所述终端进入 IMS网络并发起注册请求或会话请求时，在注册请求或会话请求中携带是否需要为其提供防火墙、或者需要所述防火墙系统提供特定服务的标识信息。

可选地，由发出请求的网络单元或其信任方来识别所述终端发送的请求中携带的标识信息，如果所述标识信息指示不需要为所述终端提供防火墙，则发出请求的网络单元或其信任方不发送为终端提供防火墙的请求。

可选地，由防火墙系统来识别所述终端发送的请求中携带的标识信息，如果所述标识信息指示不需要为所述终端提供防火墙，则防火墙系统不为所述终端提供防火墙务。

可选地，由防火墙系统来识别所述终端发送的请求中携带的标识信息，如果所述标识信息指示需要为所述终端提供特定的防火墙服务，则防火墙系统为所述终端提供所需要的特定的防火墙服务。

可选地，所述特定的防火墙 J! 务为，管理所述终端与所述其他网络单元之间的全部通信活动，或者管理所述终端与所述其他网络单元之间的部分通信活动。

优选地，所述防火墙系统为所述终端提供配置模块，终端通过配置模块能够设置所述防火墙不管理、部分管理或完全管理其于所述其他网络单元之间的通信活动。

优选地，所述部分通信活动可以是按照通信协议的类型，其他网络单元所处的位置区域，所述终端所要访问的资源 /被访问的资源的类型、安全级别的高低、敏感程度、私密程度等进行划分。

根据本发明的一个方面，提供了一种 IMS网络中的防火墙系统，包括：通信接口，用于收发信息；

信息获取模块，当经由通信接口接收到来自发出请求的网络单元的为终端提供防火墙的请求时，获取所述终端的标识信息；

通信管理模块，用于在接收到所述标识信息后，将防火墙系统的标识信息经由所述通信接口发送给所述终端和 /或相关的网络单元，并管理所述终端和其他网络单元之间的至少部分通信活动；

其中，所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS 网络与所述终端通信的网络单元。

根据本发明的另一方面，提供了一种 IMS网络中的防火墙系统，包括：通信接口，用于收发信息；

信息获取模块，当经由通信接口接收到来自网络单元的为终端提供防火墙的请求时，获取所述终端的标识信息；

通信管理模块，用于在接收到所述标识信息后，以及所述网络单元或其信任方将防火墙系统的标识信息提供给所述终端和 /或相关的网络单元后，管理所述终端和其他网络单元之间的至少部分通信活动；

其中，由通信管理模块来识别所述请求中携带的终端是否需要防火墙服务和 /或是否需要特定的服务的标识信息，如果识别出所携带的标识信息指示不需要为所述终端提供防火墙，则所述防火墙系统不为所述终端提供防火墙服务，如果需要为所述终端提供特定的服务，则为所述终端提供特定的服务。

优选地，所述防火墙系统还包括配置模块，用于为所述终端用户提供配置功能。

根据本发明的另一方面，还提供了一种 IMS网络中的防火墙系统，用于在接收到来自网络单元的为终端提供防火墙的请求时，获取所述终端的标识信息，并管理所述终端和其他网络单元之间的至少部分通信活动，其中，所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS网络与所述终端通信的网络单元。

根据本发明的另一方面，还提供了一种 IMS网络中的网络单元，包括：通信接口，用于收发信息；

业务控制模块，用于当接收到来自终端的消息时，判断终端是否需要防火墙服务，如果需要，则向防火墙系统发送为所述终端提供防火墙服务的请求消息；

通信控制模块，用于当其通过通信接口接收到来自防火墙系统的标识防火墙系统的标识信息时，向所述终端发送所述标识信息，或者用于在判断出需要发送所述请求消息后，将存储的所述防火墙系统的标识信息发送给所述终端；并且将所有发往所述终端的信息发送给所述防火墙系统，而不是所述终端。

其中，所述网络单元可以通过软件、硬件或其组合来实现。

根据本发明的另一方面，提供了一种用于接入 IMS网络的终端，包括：通信接口，用于收发信息；

标识信息获: 莫块，当经由通信接口接收到来自网络单元或防火墙系统的包括有防火墙标识信息的消息时，获取所述标识信息；

通信管理模块，用于在获取所述标识信息后，每当需要与其他网络单元通信时，将相应的通信信息经由所述防火墙系统发送给所述其他网络单元，其中，所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS 网络与所述终端通信的网络单元。

根据本发明的另一方面，还提供了一种 IMS网络系统，包括：接入 IMS网络的终端，当其进入 IMS网络时^ ^注册请求或会话请求；

网络单元，当其接收到所述注册请求或会话请求时，向防火墙系统发送为终端提供防火墙的请求；

防火墙系统，当其接收到所述请求时，获取所述终端的标识信息；并管理所述终端和其他网络单元之间的至少部分通信活动，其中，所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS网络与所述终端通信的网络单元。

根据本发明的另一方面，还提供了一种 IMS网络系统，包括如上文所述的 IMS网络的终端、 IMS网络中的网络单元以及防火墙系统。

根据本发明的另一方面，还提供了一种计算机程序产品，其包括用于执行上述任一方法，或用于执行上述任一防火墙系统或网络单元或终端的可执行代码。

根据本发明的方法和防火墙系统，能够实现保护 IMS终端和网络间的业务的安全性的同时，极大地减轻 IMS终端用户的负担，甚至完全消除这样的负担。对于已经运行了防火墙的 IMS终端，可以利用本发明的方法和系统为其提供双重防火墙的安全保障，也可以通过使用本发明来为其提供增值服务，例如辅助更新、协助配置等等，从而减轻其负担。而对于没有足够的存储空间和计算能力来运行防火墙的 IMS终端，或者对于如何维护、配置防火墙没有足够知识的用户，可以选择由本发明的防火墙系统为其提供安全保障，从而彻底消除了终端上的负担。无论是哪种情况，由于本发明提供的防火墙是部署在 IMS网络中的独立于 IMS终端的系统，所以不使用用户设备上的任何资源。并且由于维护工作已经由服务提供商负责，所以不再需要进行任何的维护工作。而且，与 IMS终端上运行的防火墙相比，防火墙系统可以具有更强大的功能并且实时更新，从而可以更好的保护 IMS终端的通信安全。附图说明

通过参考附图阅读下面的详细描述，将会更好地理解本发明。但是，应当注意，附图中所示的网络环境、方法流程以及本说明书文字部分中的实例均为示例性的，目的仅在于对本发明的基本思想进行解释，而不应当皮视为对本发明的限制。其中：

图 1示出了根据本发明的实施例的为 IMS终端提供防火墙系统的网络架构；

图 2示出了根据本发明的实施例的防火墙系统的示例性结构；图 3示出了根据本发明的实施例的 IMS网络中的 S-CSCF的示例性结构；

图 4示出了根据本发明的实施例的 IMS终端的示例性结构；

图 5示出了根据本发明的实施例的 IMS终端进入 IMS网络时发起注册或会话的流程图。具体实施方式

根据本发明的思想，图 1示出了一个为 IMS终端提供防火墙系统的示意性网络架构。由图 1可见，用户设备 UE经过接入网来访问 IMS网络。其中，用户设备 UE可以是任何具备通信能力的终端，例如诸如台式机的固定终端，诸如 PDA (个人数字助理）、手机、笔记本电脑、便携式通信设备等移动终端。其中，接入网可以为 IP-CAN ( IP连通接入网），例如 GPRS ( GSM/UMTS网络中）、 ADSL (非对称数字用户线路中）或 WLAN (无线局域网中）。而且，图 1示出的 IMS网络可以包括各种网络单元，例如 P-CSCF( Proxy CSCF,代理 CSCF )、 I-CFCS ( Interrogating CSCF, 查询 CSCF )、 S-CSCF ( Serving CSCF,服务 CSCF )、其他通信节点（例如路由器、交换机等）等。此外，图 1还示出与 IMS网络耦合的因特网或其他公共网络，其中，所述其他公共网络可以是任何可与 IMS网络连接，并可经由 IMS网络访问的任何类型的网络。

而且，在图 1所示的网络架构中，在 IMS网络引入了防火墙系统，并由该防火墙系统来保护 IMS终端。一旦 IMS终端注册到 IMS网络或者一旦 UE向 IMS网络中的相关部件（例如 P-CSCF )发起^ ^请求，并且 UE 具有获得本发明的防火墙系统提供的服务的权限，则 IMS网络中的防火墙系统为 UE的通信会话和资源提供安全保障。通常情况下，可以设置为缺省设置是注册到 IMS网络的所有用户设备都拥有该服务。也就是说，默认防火墙系统管理所有 IMS终端的所有有关安全的事项。对于拥有该项服务的用户设备，在 UE和其他通信设备之间的所有通信会话 /连接都将由防火墙系统来管理。该其他通信设备包括：

IMS网络中的相关的网络单元，即， UE和其他通信节点建立会话 /连接时，根据所使用的网络规范 /协议 /应用时的具体设置，通常会涉及到的必要的网络单元。例如 P-CSCF、 I-CSCF、 S-CSCF等。

IMS网络中的其他网络单元，即，要与 UE进行通信的通信方。相对于前述 "相关的网络单元" 来说，也可将其称为 "不相关的网络单元" ，即 UE和其他通信节点建立会话 /连接时，根据特定的网络规范 /协议 /具体的设置，通常是不必涉及的网络单元（当然，这里的 "不必涉及的" 并非是绝对的，例如，当 UE想要与 S-CSCF通信时，显然， S-CSCF也是所谓的 UE的通信方）

将经由 IMS网络与 UE通信的网络单元，例如来自图 1中的因特网、公共网络。

换句话说，防火墙系统在 IMS网络中充当 UE的代理，使得任何来自 UE的信息都首先经过防火墙系统，然后才发往 IMS网络中的其他网络单元，并且任何经由 IMS网络去往 UE的信息，也都将经过防火墙系统，然后才会 ^给 UE, 从而以保证 UE和公共网络之间的安全的通信。

根据本发明的实施例，图 2示出防火墙系统的示例性结构图。其中，防火墙系统包括：通信接口，用于接收来自 UE、 S-CSCF等其他网络单元的信息，以及向其发送相关信息；信息获取模块，当经由通信接口接收到来自 S-CSCF或其信任方的为终端提供防火墙的请求时，获取所述终端的标识信息；通信管理模块，用于在接收到终端的标识信息后，将防火墙系统的标识信息经由通信接口发送给终端和 /或相关的网络单元，并管理终端和其他网络单元之间的至少部分通信活动；

这里，如上文所述，其他网络单元包括 IMS 网络中的网络单元和 /或将经由 IMS网络与所述终端通信的网络单元。

除了通信接口、信息获取模块以及通信管理模块，图 2还示出了可包括在防火墙系统中的其他部件。应该注意的是，尽管图 2示出了这些部件，但是这些部件对于实现本发明的防火墙系统来说不是必要的。换句话说，通过这些部件，可以使得本发明的防火墙为 UE提供附加的 /增强的功能。

可选地，本发明的防火墙系统还为用户提供了配置模块，用以在需要时改变用户的防火墙配置。具体地，当信息获取模块发现经由通信接口接收到的信息为用户的关于防火墙的配置信息时，便通过配置模块为用户提供相应的防火墙配置服务。

可选地，用户可以通过配置模块进行设置，并由通信管理模块来实现用户的设置。优选地，防火墙系统可为用户生成相应的配置文件，并将其存储在用户信息数据库中。该用户信息库可以与防火墙系统运行于同一物理节点，也可以分布于其他物理节点或者后台服务器上。

通过配置模块，用户可以设置防火墙系统对其哪些通信活动进行管理，例如仅对其部分通信活动进行管理，而不是管理器其全部的通信活动。

而对于已经安装了防火墙的 UE，用户可以通过配置模块设置为不受防火墙系统的管理。当然，用户仍然可以接受防火墙系统的管理（此时， UE上运行的防火墙和本发明的防火墙系统都用于保护 UE的通信安全，换句话说， UE获得了双重保护）。无论用户选择哪种设置，本发明都为 UE 的用户提供了减轻其负担的途径。

优选地，配置模块还可以为 UE用户提供其他增值服务。具体地，对于已经安装了防火墙的 UE，通过配置模块进行相应的设置，本发明的防火墙系统可以为 UE上运行的防火墙提供各种支持：

漏洞扫描，对 UE进行扫描以检查其是否存在安全漏洞（诸如 UE上是否安装了最后的 OS ( Operating System操作系统）路径、 UE上运行的软件是否会引起安全问题等）。并将扫描结果通知给用户，或者基于用户的设置自动对漏洞进行修复。

实时更新，为 UE提供实时更新或者安全的下载的路径。由于本发明的防火墙系统自身可进行实时更新，因此，通常情况下，可以为 UE上运行的防火墙提供其所需的各种实时更新信息。这样， UE便无需再通过 IMS 网络从因特网等其他公共网络或其他通信节点获得更新，从而减少了网络中的业务量，降低了网络拥塞的可能性。而且，这避免了 UE从不安全站点下载更新，或在下载更新过程中可能遇到的攻击，从而增强了 UE的通信安全性。同时，减少了为获取更新， UE 需要等待的时间，从而也提高了服务盾量 QoS。

检查更新，当发现 UE上存在未安装的更新时，通知用户安装相应的更新，或者基于用户的配置自动地安装更新。

检查防火墙的配置，如果发现任何问题，可以将相关的问题，优选地，还将优选的解决方案通知给用户，或者基于用户的设置进行自动地进行配置更新。

提供配置协助，其可以为用户配置 UE 自身的防火墙提供更丰富的技术支持，例如说明文档、演示视频，也可以是通过用户的设置，使得防火墙系统代替用户对 UE上运行的防火墙进行一些配置。通过这种方式，防火墙系统可以协助用户对其设备上的防火墙进行维护。显然，这对缺乏相关经验 /知识的用户来说，使得维护防火墙的工作变得简单得多。

故障修复，指如果用户通过防火墙系统的配置接口进行了相应的设置，则当 UE上运行的防火墙出现故障时， UE可以向用户和防火墙系统两者发出故障报告或警告，也可以只向防火墙系统发出故障报告或警告（具体的实现方式取决于用户的设置）。此外，还可以基于用户的设置，使得防火墙系统自动对 UE进行故障修复。在这种情况下，一旦防火墙系统的通信接口接收到任何来自 UE设备的这种异常的消息，防火墙系统可代替用户为其防火墙进行相应的修复 /恢复工作。

UE上运行的防火墙的开启和关闭，基于用户的设置，可以在 UE和防火墙系统连通时，关闭 UE上运行的防火墙，在 UE和防火墙系统断开连接时，启用 UE上运行的防火墙。通过该功能，有助于将 UE上的资源用于更重要的任务，而保护 UE的工作则由本发明的防火墙系统来提供。

生成配置文件，根据用户的设置，可以在 UE下一次接入到 IMS网络时，将所生成的配置文件中的设置默认应用于该 UE，除非用户对配置进行了更新。

杀毒功能，可以根据用户的设置，协助 UE或代替 UE上的杀毒软件进行病毒防护、扫描、病毒库更新等。在这种情况下，本发明的防火墙系统可以为 UE提供防火墙和防毒 /杀毒两大功能，从而进一步的减轻 UE的负担。

为了更好地实现上述功能，可以在防火墙系统中设置数据库或存储介质，以存储用户的配置信息，也可以分别设置与上述各个功能相对应的信息库或相应的引擎。当然，也可以使防火墙系统链接至功能更强大的后台数据库或单独的数据库或引擎，例如漏洞扫描引擎 /漏洞数据库、更新信息引擎 /库、检查更新引擎、检查配置引擎、配置协助引擎（其可以包括 /连接至说明文档库、视频演示库等）、故障修复引擎、用户配置信息库、病毒库等。

根据本发明的实施例，图 3 示出了 IMS 网络中的网络单元，例如 S-CSCF 的示例性结构。如图所示，其包括通信接口，用于收发信息；业务控制模块，用于当接收到来自终端的注册请求 /会话请求时，判断终端是否需要防火墙服务（如上文所述，这里可以默认终端需要该服务，也可以通过终端在所发送的请求中设置的标识信息来判断），如果需要，则向防火墙系统发送为所述终端提供防火墙服务的请求消息；通信控制模块，用于当其通过通信接口接收到来自防火墙系统的标识防火墙系统的标识信息时，向所述终端发送所述标识信息，或者用于在判断出需要发送所述请求消息后，将存储的所述防火墙系统的标识信息发送给所述终端；并且，通信控制模块用于将所有发往所述终端的信息发送给所述防火墙系统，然后经由防火墙系统将其发送给所述终端。

可选地，上述 S-CSCF实现的功能，可以被全部或部分地卸载到其信任方，由该信任方实现相应的功能。当由信任方负责实现上述功能时，其可以在需要的情况下与 S-CSCF等 IMS网络中的部件进行通信。

根据本发明的实施例，图 4示出了接入 IMS网络的终端的示例性结构。如图所示，其包括：通信接口，用于收发信息；标识信息获取模块，当经由通信接口接收到来自 S-CSCF或其信任方或防火墙系统的包括有防火墙标识信息的消息时，获取所述标识信息；通信管理模块，用于在获取所述标识信息后，每当需要与其他网络单元通信时，将相应的通信信息经由所述防火墙系统发送给所述其他网络单元，其中，所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS网络与所述终端通信的网络单元。

图 5示出了当 UE经由接入网^ ^入包括本发明的防火墙系统的 IMS 网络时，执行的注册阶段 /发起^ ^的流程。其中，图 5示出的步骤 1-5是现有技术中 UE注册 /发起会话过程： UE向 P-CSCF发出注册消息， P-CSCF 再将注册消息转发给 I-CSCF。 I-CSCF通过查询 HSS (例如，通过规范中使用的 Cx接口），为用户选择 S-CSCF。随后， S-CSCF与 HSS进行交互，执行用户鉴权。具体地， S-CSCF从 HSS下载用户简档。用户简档是比较重要的信息，除了用户信息，其还包括决定何时将 SIP请求转发给提供业务的应用服务器的过滤规则，这些过滤规则组成触发条件集合。作为 IMS网络中的业务，本发明的防火墙业务的触发也可保存在过滤规则中。

步骤 6、 7: 基于过滤规则， S-CSCF可以决定来自 UE的请求是否需要通过一个或多个向用户提供服务的应用服务器。尽管 S-CSCF不提供所请求的具体服务，但是其触发应用服务器来执行这些服务。如果用户拥有防火墙 J ^务（默认所有用户都拥有该项 J ^务），则 S-CSCF将向防火墙系统发送注册信息，例如图 5中的 "F/W请求" 。该请求包括 UE的标识信息，例如 UE的地址信息，此外，视防火墙系统的具体实现状况，还可以根据具体的需要，在请求中包括 P-CSCF地址、归属网络联系信息、用户标识（公共用户标识，私有用户标识）等信息。

其中，所述标识信息可以是能够唯一地标识 UE的任何形式的信息，其可以是数字、字母、字符或其组合的形式。此外，其可以是任何种类，例如 UE的 IP地址、 MAC地址、用户 ID等，或者是上述信息的任意组合。

步骤 8: 防火墙可对用户执行必要的授权检查，例如基于用户标识或其他信息，以保证他 /她是被授权使用防火墙系统所提供的服务的。当防火墙系统和 IMS网络属于不同的网络供应商时，这样的授权检查是有益的，当然，该检查不是必需的，这可根据具体的应用需要来选择是否执行检查。对于属于同一网络供应商的情况，在 S-CSCF处便可以进行服务控制，即，判断 UE是否为被授权接入 IMS网络的用户，那么在防火墙系统处则可以省略步骤 8。

步骤 9、 10、 11: 如果 UE是防火墙系统的授权用户，则防火墙系统将向 UE发送 200 ( OK ) 消息，即步骤 9。其中，该消息包括能够唯一地标识防火墙的标识信息，例如地址信息，以便使得 UE和其他相关的 IMS 部件（例如 P-CSCF、 S-CSCF等）知道，它是 UE的防火墙。一旦收到该消息， UE和其他相关的 IMS部件将更新其相关配置。具体地， UE将存储防火墙的地址，作为与网络进行联系的地址。此后，从 UE发出的所有请求都将首先发送给防火墙系统，再由防火墙系统将这些请求转发至网络中的正确地址。对于与 UE通信的其他网络单元，他们将存储防火墙地址，并将用其替代 UE地址。然后，网络和 UE之间的所有消息都将由防火墙系统来转发。可选地，防火墙的地址信息也可以不由防火墙系统添加，而是由

S-CSCF添加，并在步骤 10将添加了防火墙地址信息的 200 ( OK )消息发送给 P-CSCF, 并由 P-CSCF将其发送给 UE，即步骤 11。

可选地，当防火墙将自己的地址信息添加到 200 ( OK )消息后，可以不像图 5所示那样，将 200 ( OK ) 消息依次发送给 S-CSCF、

P-CSCF和 UE。替代地，防火墙可以分别向 S-CSCF和 UE发送消息。换句话说，防火墙可以将 200 ( OK ) 消息直接发送给 UE，而且防火墙和 UE之间的 200( OK )消息传送可以使用其他协议（例如 H323、 HTTP等）。

可选地，防火墙系统可以仅将 200 ( OK )消息发送给 UE，然后由 UE 通知 S-CSCF (对于仅发送给 S-CSCF的情况，则进行类似的处理）。

总之，关于 200 ( OK )消息的发送，可以根据具体的应用设置灵活选择上述方式。

步骤 12、 13、 14: 一旦更新完成， 200 ( OK )响应将被向回发送给防火墙系统，以通知 UE和 IMS网络中的防火墙系统之间的连通性。然后，防火墙系统将在 UE和 IMS网络两者之间工作，为 UE提供服务。

可选地，如同防火墙系统在步骤 9发送 200 ( OK ) 消息那样， UE也可以不是依次将 200 ( OK )响应发送给 P-CSCF、 S-CSCF和防火墙系统，而是可以将响应分别发送给 P-CSCF和防火墙系统，再由 P-CSCF转发给 S-CSCF。

可选地，也可以不向回发送 200 ( OK )消息，而是经过预定的时间之后， UE和 IMS网络之间的通信便经由防火墙系统进行管理。也就是说，在 UE退出 IMS网络之前， UE和 IMS网络中的其他网络单元之间，或者 UE和经由 IMS网络与其进行通信的网络单元之间的所有通信活动，都将通过本发明的防火墙系统。但是如果用户进行了特定的配置，则优先适用该配置。

如上文所述，对于 UE自身运行有防火墙的情况， UE可通过防火墙系统提供的配置模块，进行上文提及的各种设置，从而在防火墙系统中生成相应的配置文件。当 UE退出 IMS网络之后，如果再次 ¾ IMS网络，当 S-CSCF (可以设置 S-CSCF保持有相关数据，也可以通过与防火墙系统的交互获得相关数据）或防火墙系统发现与 UE相关的配置信息，则可以对 UE采用已有的配置。

可替代地，可以将 UE设置为在第 1步骤中发送的注册请求中加入是否需要防火墙系统服务，或者需要防火墙系统提供哪些特定的服务等标识 / 特征信息。这样，如果 UE没有防火墙服务，则 S-CSCF只需像现有技术那样将 UE作为普通的 IMS终端进行相应的处理。

由上述可见，一旦 IMS网络中包括了本发明的防火墙系统， UE与 IMS 网络以及公共网络之间的所有通信都将由防火墙系统来管理。经过 IMS网络的每个来自 /去往 UE的请求都将通过该防火墙。也就是说，防火墙可以屏蔽来自 IMS网络以及与 IMS连接（有线或无线）的其他公共网络的攻击。从而，克服了现有 IMS网络中没有针对用户设备的网络级防火墙，用户只能凭借终端上运行的防火墙来保障其通信安全性的问题。

尽管本发明的防火墙系统能够为 UE屏蔽来自 IMS网络以及经由 IMS 网络的外部网络的攻击。但是对于接入网络不是安全网络，或者某些用户设备上承载有敏感信息的情况，则可能期望获得更加全面的安全防护。对于这种情况，可在 UE和防火墙系统之间采用 VPN连接，从而可以避免 UE受到来自接入网的攻击。所述 VPN连接可以是适于 UE和防火墙系统使用的任何类型的 VPN连接，例如 MPLS VPN. IPSec VPN等。

本发明中的 IMS网络终端指处于 IMS网络、或者经由各种类型的接入网接入到 IMS网络的，拥有无线 /有线通信能力的通信方。

本发明中的网络单元，也可以被称为通信节点，或通信单元，指网络中具备通信能力的实体，其可以为软件实现，也可以为硬件实现，或者其组合来实现。

本发明中的防火墙系统、 IMS终端、 IMS网络单元等实体，其可以由软件来实现，也可以由硬件来实现，或者其组合来实现。在实现过程中，可以将本发明中所提到的模块和接口进行组合或进一步的拆分。而且， IMS 网络中的各种实体、以及本发明的防火墙系统，它们可以是独立的，也可以是分布式的。而且，它们可以位于网络中的单独的通信节点，或者也可以位于网络中的同一通信节点上。例如，防火墙系统其全部 /部分地位于

S-CSCF 所在的通信节点上，而且，该通信节点上可包括全部 /部分的 S-CSCF的实现。

尽管上文详细描述了本发明的示例性实施例，但是本领域技术人员应该理解，根据本发明的思想，可以对这里所公开的内容作出各种修改、改变、变形以及为适应具体应用环境而做的改进，包括合并、拆分。只要其不违背本发明的精神，则其仍属于本发明的保护范围之内。

Claims

权利要求

1. 一种在 IMS网络中为终端提供防火墙的方法，包括步骤：在 IMS网络中设置防火墙系统；

当防火墙系统接收到来自网络单元的为终端提供防火墙的请求时，获取所述终端的标识信息；

将防火墙系统的标识信息发送给终端以及相关的网络单元；

2. 根据权利要求 1所述的方法，其中，发送所述请求的网络单元为 S-CSCF或其信任方。

3. 根据前述任一权利要求所述的方法，其中，一旦所述终端进入 IMS网络并发起注册请求或会话请求，缺省设置为所述网络单元向所述防火墙系统发出为终端提供防火墙的请求。

4. 根据前述任一权利要求所述的方法，其中，当所述终端 iMS 网络并发起注册请求或会话请求时，在注册请求或会话请求中携带是否需要为其提供防火墙，和 /或者是否需要所述防火墙系统提供特定服务的标识信息。

5. 根据权利要求 3或 4所述的方法，其中，由发出请求的所述网络单元或其信任方来识别携带的所述标识信息，如果所述标识信息指示不需要为所述终端提供防火墙，则发出请求的所述网络单元或其信任方不发送为终端提供防火墙的请求。

6. 根据权利要求 3或 4所述的方法，其中，由防火墙系统来识别携带的所述标识信息，如果所述标识信息指示不需要为所述终端提供防火墙，则所述防火墙系统不为所述终端提供防火墙服务。

7. 根据前述任一权利要求所述的方法，其特征在于，所述防火墙系统为终端设备提供配置功能，所述配置功能至少包括下列一种：不管理、部分管理或完全管理所述通信活动，对终端进行漏洞扫描，为终端提供实时更新或下载更新的连接，检查终端的更新状况或为其自动进行更新，检查终端的防火墙配置，配置协助，优选地包括说明文档，演示视频，故障修复，终端防火墙的开启和关闭，生成配置文件。

8. 一种 IMS网络中的防火墙系统，包括：

通信接口，用于收发信息；

其中，所述其他网络单元包括 IMS 网络中的网络单元和 /或将经由 IMS网络与所述终端通信的网络单元。

9. 根据权利要求 8所述的防火墙系统，其中，发送所述请求的网络单元为 S-CSCF或其信任方。

10. 根据权利要求 8或 9所述的防火墙系统，其中，由通信管理模块来识别所述请求中携带的终端是否需要防火墙服务和 /或是否需要特定的服务的标识信息，如果识别出所携带的标识信息指示不需要为所述终端提供防火墙，则所述防火墙系统不为所述终端提供防火墙服务，如果需要为所述终端提供特定的服务，则为所述终端提供特定的服务。

11. 根据前述任一权利要求所述的防火墙系统，其特征在于，还包括配置模块，用于通过通信接口为所述终端提供配置功能，所述配置功能至少包括下列一种：不管理、部分管理或完全管理所述通信活动，对终端进行漏洞扫描，为终端提供实时更新或下载更新的连接，检查终端的更新状况或为其自动进行更新，检查终端的防火墙配置，配置协助，优选地包括说明文档，演示视频，故障修复，终端防火墙的开启和关闭，生成配置文件。

12. 一种 IMS网络中的防火墙系统，包括：通信接口，用于收发信息；

通信管理模块，用于在接收到所述标识信息后，以及发出所述请求的网络单元或其信任方将防火墙系统的标识信息提供给所述终端和 /或相关的网络单元后，管理所述终端和其他网络单元之间的至少部分通信活动；其中，所述其他网络单元包括 IMS 网络中的网络单元和 /或将经由 IMS网络与所述终端通信的网络单元。

13. 根据权利要求 12所述的防火墙系统，其中，由通信管理模块来识别所述请求中携带的终端是否需要防火墙服务和 /或是否需要特定的服务的标识信息，如果识别出所携带的标识信息指示不需要为所述终端提供防火墙，则所述防火墙系统不为所述终端提供防火墙服务，如果需要为所述终端提供特定的服务，则为所述终端提供特定的服务。

14. 根据前述任一权利要求所述的防火墙系统，其特征在于，还包括配置模块，用于通过通信接口为所述终端提供配置功能，所述配置功能至少包括下列一种：不管理、部分管理或完全管理所述通信活动，对终端进行漏洞扫描，为终端提供实时更新或下载更新的连接，检查终端的更新状况或为其自动进行更新，检查终端的防火墙配置，配置协助，优选地包括说明文档，演示视频，故障修复，终端防火墙的开启和关闭，生成配置文件。

15. 一种 IMS 网络中的防火墙系统，用于在接收到来自网络单元的为终端提供防火墙的请求时，获取所述终端的标识信息，并管理所述终端和其他网络单元之间的至少部分通信活动，其中，所述其他网络单元包括 IMS网络中的网络单元和 /或将经由 IMS网络与所述终端通信的网络单元。

16. 一种 IMS网络中的网络单元，包括：

通信接口，用于收发信息；

17. 一种用于接入 IMS网络的终端，包括：

通信接口，用于收发信息；

标识信息获取模块，当经由通信接口接收到来自网络单元或防火墙系统的包括有防火墙标识信息的消息时，获取所述标识信息；

18. 一种计算机程序产品，其包括用于执行权利要求 1至 3中的任一权利要求所述的方法，或用于执行权利要求 4至 7中的任一权利要求所述的防火墙系统，或用于执行权利要求 8所述的网络单元，或用于执行权利要求 9所述的终端的可执行代码。