專利名稱:一種在軟交換網(wǎng)絡(luò)中的信令防火墻的實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域中軟交換的實(shí)現(xiàn)方法����,尤其是涉及一種在軟交換網(wǎng)絡(luò)中的信令防火墻的實(shí)現(xiàn)方法。
背景技術(shù):
軟交換是下一代網(wǎng)絡(luò)(Next Generation Network�����,以下簡稱NGN)中的核心設(shè)備之一����,它主要完成呼叫控制����、媒體網(wǎng)關(guān)的接入控制�����、資源分配��、協(xié)議處理�、路由、認(rèn)證�����、計(jì)費(fèi)等主要功能�,并向用戶提供基本話音業(yè)務(wù)、多媒體業(yè)務(wù)�、移動(dòng)業(yè)務(wù)以及多樣化的第三方業(yè)務(wù)等。
如圖1所示的是現(xiàn)有技術(shù)的軟交換網(wǎng)絡(luò)架構(gòu)下的系統(tǒng)組網(wǎng)圖����,軟交換架構(gòu)下的網(wǎng)絡(luò)從網(wǎng)絡(luò)層面上依次可以劃分為以下幾個(gè)平面接入層����、傳送層��、控制層���、業(yè)務(wù)層,中繼網(wǎng)關(guān)�����、無線接入網(wǎng)關(guān)����、信令網(wǎng)關(guān)、接入網(wǎng)關(guān)以及智能終端等接入設(shè)備處于所述接入層內(nèi)���;分組交換網(wǎng)位于所述傳送層����;所述軟交換處于所述控制層�;而智能網(wǎng)、應(yīng)用服務(wù)器以及第三方應(yīng)用接口處于業(yè)務(wù)層內(nèi)�����。
傳統(tǒng)的軟交換架構(gòu)下接入層設(shè)備的信令直接送達(dá)軟交換����,這樣當(dāng)大量的接入設(shè)備突發(fā)產(chǎn)生大量的呼叫���,信令流量過高時(shí),軟交換就會(huì)受到?jīng)_擊而很容易引起軟交換產(chǎn)生擁塞�,一旦軟交換被擁塞,就會(huì)使得軟交換域內(nèi)的正常呼叫全都無法進(jìn)行���;當(dāng)傳送層出現(xiàn)故障時(shí)���,使得軟交換和接入設(shè)備信令斷路,而當(dāng)網(wǎng)絡(luò)再次恢復(fù)后���,大量接入設(shè)備所發(fā)的注冊信令�����,就很容易使軟交換產(chǎn)生連鎖擁塞��;在NGN中���,終端設(shè)備如綜合接入設(shè)備(Integrated Access Device,簡稱IAD)大部分都在用戶家中�,這樣就存在終端是否合法的問題,目前終端的合法性鑒權(quán)都需要軟交換來完成���,從而更加重了軟交換的負(fù)擔(dān)����,此時(shí)如果有非法接入終端產(chǎn)生的大量信令����,就很容易淹沒軟交換上的合法信令,使正常的呼叫受到影響����;由于軟交換需對每個(gè)終端定期發(fā)送鏈路檢測消息,來檢測設(shè)備是否在線����,當(dāng)一個(gè)軟交換帶有成千上萬的接入終端時(shí),大量的檢測消息對軟交換的性能也會(huì)有很大的影響���。
信令防火墻(Firewall)是用來對信令消息進(jìn)行過濾的一種機(jī)制��,其可用來保證發(fā)向軟交換的信令合法����,及流量均衡。
綜上可知���,現(xiàn)有技術(shù)顯然存在缺陷而有待于改進(jìn)����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種在軟交換網(wǎng)絡(luò)中的信令防火墻的實(shí)現(xiàn)方法�����,其作為一種信令防火墻機(jī)制��,作為軟交換和接入設(shè)備間的信令和/或媒體代理�,用來對信令信息進(jìn)行過濾及均衡流量,從而保證軟交換系統(tǒng)的安全性及提高處理性能�。
本發(fā)明的技術(shù)方案如下一種在軟交換網(wǎng)絡(luò)中的信令防火墻的實(shí)現(xiàn)方法,在網(wǎng)絡(luò)結(jié)構(gòu)中的軟交換和接入設(shè)備之間增加信令防火墻����,其實(shí)現(xiàn)方法包括以下步驟a)在所述軟交換和所述接入設(shè)備之間,設(shè)置有至少一邊界網(wǎng)關(guān)���,在其上設(shè)置有信令防火墻���,該軟交換和該接入設(shè)備之間所有信令通過該邊界網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)�;b)所述接入設(shè)備上所配置的控制該接入設(shè)備的軟交換的網(wǎng)絡(luò)地址是所述邊界網(wǎng)關(guān)的網(wǎng)絡(luò)地址���,所述軟交換以域名或設(shè)備名來區(qū)分并直接控制不同所述接入設(shè)備,無需關(guān)心該軟交換和所述接入設(shè)備之間是否有邊界網(wǎng)關(guān)的存在��;c)所述接入設(shè)備的信令送達(dá)該邊界網(wǎng)關(guān)后���,該邊界網(wǎng)關(guān)根據(jù)信令類型進(jìn)行分別處理���,對信令進(jìn)行過濾,轉(zhuǎn)發(fā)注冊認(rèn)證信令��,并對信令流量進(jìn)行控制�。
進(jìn)一步地,所述實(shí)現(xiàn)方法還包括以下步驟d)對于注冊成功的所述接入設(shè)備�,所述邊界網(wǎng)關(guān)定期發(fā)送鏈路檢測信令對該接入設(shè)備進(jìn)行在線檢測,如果該接入設(shè)備對該信令久不應(yīng)答��,所述邊界網(wǎng)關(guān)則通知所述軟交換將該接入設(shè)備退出服務(wù)���,并刪除有關(guān)該接入設(shè)備的信息����。
進(jìn)一步地,在所述軟交換網(wǎng)絡(luò)中還設(shè)置有一認(rèn)證授權(quán)中心與所述邊界網(wǎng)關(guān)通訊連接�����,用于對所述接入設(shè)備和所述邊界網(wǎng)關(guān)之間的信令進(jìn)行認(rèn)證��。
進(jìn)一步地����,所述步驟c)中對信令的處理還包括以下步驟c1)如果所述邊界網(wǎng)關(guān)收到的是注冊信令,該邊界網(wǎng)關(guān)實(shí)時(shí)計(jì)算發(fā)往所述軟交換的注冊信令的流量�,如果流量大于設(shè)定的注冊信令流量閾值,則將該信令直接丟棄��;否則把該信令送到所述認(rèn)證授權(quán)中心請求認(rèn)證�����;c2)如果經(jīng)認(rèn)證該注冊信令合法�,則所述邊界網(wǎng)關(guān)把該注冊信令發(fā)送給所述軟交換,同時(shí)記錄該接入設(shè)備的相關(guān)信息�,用于后續(xù)信令的轉(zhuǎn)發(fā);否則丟棄該信令���。
進(jìn)一步地�����,所述步驟c)中對信令的處理還包括以下步驟c3)如果所述信令是注冊成功的所述接入設(shè)備的呼叫信令��,該邊界網(wǎng)關(guān)實(shí)時(shí)計(jì)算發(fā)往所述軟交換信令的流量����;如果流量大于設(shè)定的閾值����,則該邊界網(wǎng)關(guān)直接給所述接入設(shè)備應(yīng)答失敗����;否則如果是呼叫建立信令,則把該信令送到所述認(rèn)證授權(quán)中心請求認(rèn)證�����,其它呼叫信令則送給所述軟交換�����;c4)如果該呼叫建立信令經(jīng)認(rèn)證合法,則所述邊界網(wǎng)關(guān)把該信令送給所述軟交換��;否則丟棄該信令�。
進(jìn)一步地,所述步驟c)中對信令的處理步驟還包括c5)如果該信令為沒有注冊的接入設(shè)備的信令或是已注冊成功的接入設(shè)備的不合法信令��,則所述邊界網(wǎng)關(guān)直接丟棄該信令����。
本發(fā)明提供的一種在軟交換網(wǎng)絡(luò)中的信令防火墻的實(shí)現(xiàn)方法,通過提供一種邊界網(wǎng)關(guān)實(shí)現(xiàn)防火墻機(jī)制�,能夠有效地防止當(dāng)接入設(shè)備的信令消息量過大時(shí)引起軟交換的擁塞問題,另外通過把接入設(shè)備的在線檢測���、認(rèn)證等功能交由邊界網(wǎng)關(guān)完成�����,有效地提高了軟交換的性能�����、可靠性��,并能有效地防止非法接入設(shè)備對軟交換的沖擊����,增加系統(tǒng)的穩(wěn)定性和安全性。
圖1示出了現(xiàn)有技術(shù)的軟交換的系統(tǒng)架構(gòu)圖����;圖2示出了本發(fā)明的一種在軟交換網(wǎng)絡(luò)中的信令防火墻的實(shí)現(xiàn)方法的系統(tǒng)概要圖;圖3示出了本發(fā)明方法中基于軟交換的信令防火墻實(shí)現(xiàn)過程示意圖�;圖4示出了本發(fā)明方法在軟交換架構(gòu)下的系統(tǒng)組網(wǎng)圖。
具體實(shí)施例方式
下面將結(jié)合附圖���,通過對本發(fā)明的一較佳實(shí)施例的詳細(xì)描述���,將使本發(fā)明的技術(shù)方案及其有益效果顯而易見�。
本發(fā)明的一種在軟交換網(wǎng)絡(luò)中的信令防火墻的實(shí)現(xiàn)方法,其所用于的通信系統(tǒng)如圖2和圖4所示的�,本發(fā)明方法的核心內(nèi)容為,在所述軟交換110和所述多個(gè)接入設(shè)備102~104���、201~202之間設(shè)置了信令防火墻�,通過該信令防火墻以提高在下一代網(wǎng)絡(luò)NGN中軟交換系統(tǒng)的安全性�����、可靠性及性能,具體包括以下步驟步驟1在所述軟交換110和所述多個(gè)接入設(shè)備102~104���、201~202之間��,設(shè)置有至少一邊界網(wǎng)關(guān)105��、106�,在其上實(shí)現(xiàn)了信令防火墻功能�����,所述軟交換110和所述接入設(shè)備之間的所有信令都要通過對應(yīng)邊界網(wǎng)關(guān)來完成轉(zhuǎn)發(fā)�����。在一個(gè)軟交換域內(nèi)可以根據(jù)需要配置多個(gè)邊界網(wǎng)關(guān)�。
步驟2所述接入設(shè)備上所配置的控制它的軟交換的網(wǎng)絡(luò)地址是對應(yīng)邊界網(wǎng)關(guān)105或106的網(wǎng)絡(luò)地址,所述軟交換110以域名或設(shè)備名來區(qū)分不同的所述接入設(shè)備�,所述軟交換110根據(jù)域名或設(shè)備名直接控制對應(yīng)接入設(shè)備,而無需關(guān)心該軟交換和對應(yīng)接入設(shè)備之間是否有所述邊界網(wǎng)關(guān)的存在�����。所述接入設(shè)備和所述邊界網(wǎng)關(guān)之間的呼叫建立及注冊信令需采用數(shù)字簽名的方式進(jìn)行認(rèn)證��,由設(shè)置在所述軟交換網(wǎng)絡(luò)的控制層中的一授權(quán)認(rèn)證中心進(jìn)行,該授權(quán)認(rèn)證中心與所述邊界網(wǎng)關(guān)通訊連接����,對所述邊界網(wǎng)關(guān)要轉(zhuǎn)發(fā)的呼叫建立及注冊信令首先進(jìn)行認(rèn)證。
步驟3所述接入設(shè)備的信令送達(dá)所述邊界網(wǎng)關(guān)后����,該邊界網(wǎng)關(guān)要根據(jù)信令的不同類型進(jìn)行分別處理,處理步驟請參閱附圖3a����、如果所述信令是注冊信令,該邊界網(wǎng)關(guān)實(shí)時(shí)計(jì)算發(fā)往所述軟交換的注冊信令的流量����,如果流量大于設(shè)定的注冊流量閾值,則直接丟棄該信令�;否則把該信令送到所述認(rèn)證授權(quán)中心請求認(rèn)證��。如果認(rèn)證該信令合法���,則該邊界網(wǎng)關(guān)把該注冊信令送給所述軟交換��,同時(shí)記錄該接入設(shè)備的相關(guān)信息����,以便用于后續(xù)信令的轉(zhuǎn)發(fā);否則丟棄該注冊信令���。
b���、如果是已注冊成功的接入設(shè)備的呼叫建立請求信令,所述邊界網(wǎng)關(guān)實(shí)時(shí)計(jì)算發(fā)往所述軟交換信令的流量��,如果流量大于設(shè)定的閾值���,則該邊界網(wǎng)關(guān)直接給所述接入設(shè)備應(yīng)答失?�?���;否則把該信令送到所述認(rèn)證授權(quán)中心請求認(rèn)證��。如果認(rèn)證該信令合法��,則所述邊界網(wǎng)關(guān)把該信令送給所述軟交換�����;否則丟棄該信令。c����、如果是已注冊成功的接入設(shè)備的其它呼叫信令,所述邊界網(wǎng)關(guān)實(shí)時(shí)計(jì)算發(fā)往所述軟交換信令的流量��,如果流量大于設(shè)定的閾值��,則該邊界網(wǎng)關(guān)直接給所述接入設(shè)備應(yīng)答失?�?���;否則把該信令送到所述軟交換。
d����、如果所述邊界網(wǎng)關(guān)收到的信令為沒有注冊接入設(shè)備的信令或是已注冊成功接入設(shè)備的但不合法的呼叫建立信令,則所述邊界網(wǎng)關(guān)直接丟棄該信令����。
步驟4對于已注冊成功的所述接入設(shè)備��,所述邊界網(wǎng)關(guān)定期發(fā)送鏈路檢測信令對該接入設(shè)備進(jìn)行在線檢測���,如果該接入設(shè)備對該信令久不應(yīng)答�����,所述邊界網(wǎng)關(guān)則通知所述軟交換將該接入設(shè)備退出服務(wù)����,并刪除有關(guān)該接入設(shè)備的信息。
如圖4所示的���,示出了本發(fā)明方法的組網(wǎng)的一具體實(shí)施例的示意圖��,其包括設(shè)置在業(yè)務(wù)層的智能網(wǎng)�����、應(yīng)用服務(wù)器和第三方應(yīng)用接口����,設(shè)置在控制層的軟交換110和AAA(Authentication Authorization Account��,簡稱AAA)授權(quán)認(rèn)證中心109�����;設(shè)置在傳送層的邊界網(wǎng)關(guān)105、106����;設(shè)置在接入層的接入設(shè)備102通過所述邊界網(wǎng)關(guān)105受所述軟交換110控制;接入設(shè)備201����、202位于網(wǎng)絡(luò)2中,所述邊界網(wǎng)關(guān)105和NAT 101(NAT網(wǎng)絡(luò)地址轉(zhuǎn)換器)配合一起完成其信令和媒體從網(wǎng)絡(luò)2與網(wǎng)絡(luò)1之間的相互穿越�����;而接入設(shè)備103�、104通過所述邊界網(wǎng)關(guān)106受所述軟交換110的控制。這里的接入設(shè)備泛指接入網(wǎng)關(guān)(Access Gateway�,簡稱AG)、IAD���、智能終端等��。
注冊�、認(rèn)證及非法消息過濾所述接入設(shè)備201�、202�����、102所配置的軟交換的網(wǎng)絡(luò)地址信息,是所述邊界網(wǎng)關(guān)105的網(wǎng)絡(luò)地址信息�;而所述接入設(shè)備103、104所配置的軟交換的網(wǎng)絡(luò)地址信息�,是所述邊界網(wǎng)關(guān)106的網(wǎng)絡(luò)地址信息。對所有接入設(shè)備發(fā)給所述軟交換110的信令��,首先分別到達(dá)所述邊界網(wǎng)關(guān)105或106�。
對于所述接入設(shè)備發(fā)給所述軟交換110的注冊認(rèn)證信令,對應(yīng)邊界網(wǎng)關(guān)105或106收到該信令后�����,先把它送到AAA 109處進(jìn)行認(rèn)證鑒權(quán)���。認(rèn)證鑒權(quán)過程完成并經(jīng)認(rèn)證成功后���,所述邊界網(wǎng)關(guān)105、106才會(huì)把該接入設(shè)備的后續(xù)其它消息(包括該注冊信令)發(fā)送給所述軟交換110�,并記錄該接入設(shè)備的網(wǎng)絡(luò)地址信息,以便用于后續(xù)和該接入設(shè)備相關(guān)的信令的轉(zhuǎn)發(fā)����;對于沒有通過認(rèn)證鑒權(quán)或沒有進(jìn)行過認(rèn)證鑒權(quán)的接入設(shè)備的信令�����,對應(yīng)邊界網(wǎng)關(guān)直接丟棄其信令��。所述軟交換110根據(jù)接入設(shè)備的域名或設(shè)備名來唯一區(qū)別對應(yīng)接入設(shè)備�,當(dāng)該軟交換110收到該接入設(shè)備的注冊信令時(shí)����,根據(jù)其域名或設(shè)備名來完成注冊,并動(dòng)態(tài)記錄其收到信令的源IP地址等網(wǎng)絡(luò)信息�,用于后續(xù)向該接入設(shè)備發(fā)送信令;所述邊界網(wǎng)關(guān)105�����、106對所述軟交換110透明��,即所述軟交換110無需關(guān)心它和對應(yīng)接入設(shè)備之間是否有所述邊界網(wǎng)關(guān)105�����、106的存在���。
對于處于所述NAT 101后面的網(wǎng)絡(luò)2中的所述接入設(shè)備201�����、202����,當(dāng)它們向所述軟交換110發(fā)送注冊信令時(shí)����,所述NAT 101會(huì)分別為它們臨時(shí)分配一個(gè)信令轉(zhuǎn)發(fā)端口,并通過該端口把信令送到所述邊界網(wǎng)關(guān)105���,所述邊界網(wǎng)關(guān)105收到該注冊信令后不僅要?jiǎng)討B(tài)記錄其IP地址及端口��,并完成認(rèn)證注冊過程�,而且在隨后用合理的時(shí)間間隔要定期發(fā)送鏈路檢測消息���,用來保持所述NAT 101上為該接入設(shè)備201���、202分配的臨時(shí)端口一直處于激活狀態(tài),以便當(dāng)所述軟交換110主動(dòng)向該接入設(shè)備201��、202發(fā)送信令時(shí),所述邊界網(wǎng)關(guān)105能把該信令正確且成功地送達(dá)對應(yīng)接入設(shè)備201���、202��。
對于注冊通過的接入設(shè)備的每個(gè)呼叫建立時(shí)的認(rèn)證��,也由所述邊界網(wǎng)關(guān)105�、106送到所述AAA 109處完成����,只有認(rèn)證成功的呼叫才能建立。
對于沒有注冊的接入設(shè)備����,或注冊成功但呼叫建立消息認(rèn)證失敗的信令,所述邊界網(wǎng)關(guān)直接丟棄該信令���。
信令流量控制信令流量控制分為對注冊信令的流量控制和正常呼叫建立信令的流量控制����。
對于注冊信令���,為防止大量的接入設(shè)備連續(xù)發(fā)送大量的注冊信令引起軟交換的連鎖擁塞�,所述邊界網(wǎng)關(guān)105、106上預(yù)先設(shè)定一個(gè)軟交換能支持的最大的注冊流量閾值�,當(dāng)注冊信令流量大于這個(gè)閾值,則該邊界網(wǎng)關(guān)丟棄收到的任何注冊信令���,直到流量恢復(fù)到閾值以下�����。
對于已注冊成功的任何一個(gè)接入設(shè)備,所述邊界網(wǎng)關(guān)105���、106對其上的正常呼叫信令流量進(jìn)行實(shí)時(shí)監(jiān)控��;當(dāng)發(fā)現(xiàn)某一接入設(shè)備的信令流量過高�,超過設(shè)定的域值時(shí)��,該邊界網(wǎng)關(guān)則拒絕該接入設(shè)備的呼叫建立信令�,對這部分呼叫建立信令所述邊界網(wǎng)關(guān)直接應(yīng)答呼叫建立失敗,不再把這部分呼叫建立消息轉(zhuǎn)發(fā)給所述軟交換110��,從而保證發(fā)送給所述軟交換的信令流量不高于設(shè)定的閾值���,防止引起所述軟交換的擁塞���。當(dāng)信令流量低于設(shè)備的閾值時(shí)��,所述邊界網(wǎng)關(guān)正常轉(zhuǎn)發(fā)信令給所述軟交換���。
設(shè)備狀態(tài)查詢所述邊界網(wǎng)關(guān)要對通過它成功地向所述軟交換110注冊的接入設(shè)備定期進(jìn)行在線檢測,當(dāng)發(fā)現(xiàn)某一接入設(shè)備不在線時(shí)���,主動(dòng)向所述軟交換上報(bào)該接入設(shè)備退出服務(wù)��,所述軟交換不再負(fù)責(zé)對該接入設(shè)備是否在線的狀態(tài)檢測����。如圖4中所示���,所述邊界網(wǎng)關(guān)105要對所述接入設(shè)備201����、202����、102進(jìn)行在線檢測;所述邊界網(wǎng)關(guān)106要對所述接入設(shè)備103、104進(jìn)行在線檢測����,對于位于所述NAT 101后面的接入設(shè)備201、202在線檢測時(shí)間間隔���,要低于所述NAT 101對久不使用的臨時(shí)端口的最大保留時(shí)間�。
信令及媒體轉(zhuǎn)發(fā)對于和所述軟交換處于同一個(gè)網(wǎng)絡(luò)中的所述接入設(shè)備102�、103、104�����,所述邊界網(wǎng)關(guān)105���、106只對其進(jìn)行注冊認(rèn)證及信令流量控制,對媒體相關(guān)信息不做任何處理����。媒體流107表示了所述接入設(shè)備102上的用戶和所述接入設(shè)備103上的用戶通話的媒體流走向示意圖,所述接入設(shè)備102的呼叫信令通過所述邊界網(wǎng)關(guān)105到達(dá)所述軟交換110��,所述接入設(shè)備103的呼叫信令通過所述邊界網(wǎng)關(guān)106到達(dá)所述軟交換110���,認(rèn)證過程則由所述AAA 109來完成�����。用戶間的所述媒體流107直接從所述接入設(shè)備102路由到所述接入設(shè)備103����,不再經(jīng)過所述邊界網(wǎng)關(guān)105或106。
對于在另一個(gè)網(wǎng)絡(luò)2中的所述接入設(shè)備201����、202,媒體流108表示了所述接入設(shè)備201上的用戶和所述接入設(shè)備103上的用戶通話媒體流走向示意圖���。在呼叫建立階段��,當(dāng)所述邊界網(wǎng)關(guān)105分析到信令中有要求所述接入設(shè)備201創(chuàng)建媒體端口的信令�,則所述邊界網(wǎng)關(guān)105在其上也建立一個(gè)媒體轉(zhuǎn)發(fā)端口�����,并對信令中與該媒體端口相關(guān)的信息用該邊界網(wǎng)關(guān)105上該媒體轉(zhuǎn)發(fā)端口的相應(yīng)信息進(jìn)行替換��。在后續(xù)的所有與該媒體端口相關(guān)的信令中�����,所述邊界網(wǎng)關(guān)105要對信令中的媒體信息用該邊界網(wǎng)關(guān)105上的該媒體轉(zhuǎn)發(fā)端口的信息進(jìn)行替換,并用信令中的媒體信息在該邊界網(wǎng)105的該端口上建立媒體轉(zhuǎn)發(fā)表���。當(dāng)呼叫建立成功后媒體流所通過的路徑如圖4中所述媒體流108所示��,該媒體流108從所述接入設(shè)備201到所述NAT101��,再從所述NAT101到所述邊界網(wǎng)關(guān)105���,最后到所述接入設(shè)備103,完成媒體流的雙向互通����。當(dāng)呼叫結(jié)束,所述邊界網(wǎng)關(guān)105得到所述軟交換110發(fā)送給所述接入設(shè)備201的釋放媒體端口的信令�����,則釋放該邊界網(wǎng)關(guān)105上對應(yīng)的媒體轉(zhuǎn)發(fā)端口����。
盡管參照實(shí)施例對所公開的涉及基于軟交換的信令防火墻的實(shí)現(xiàn)方法進(jìn)行了詳細(xì)描述���,本領(lǐng)域技術(shù)人員將能理解��,在不偏離本發(fā)明的范圍和精神的情況下�����,可以對它進(jìn)行形式和細(xì)節(jié)的種種顯而易見的修改�����。須注意的是�����,以上描述的實(shí)施例是說明性的而不是限制性的��,在不脫離本發(fā)明的精神和范圍的情況下���,所有的變化和修改都在本發(fā)明的所附權(quán)利要求的保護(hù)范圍之內(nèi)�����。
權(quán)利要求
1.一種在軟交換網(wǎng)絡(luò)中的信令防火墻的實(shí)現(xiàn)方法����,在網(wǎng)絡(luò)結(jié)構(gòu)中的軟交換和接入設(shè)備之間增加信令防火墻,其實(shí)現(xiàn)方法包括以下步驟a)在所述軟交換和所述接入設(shè)備之間�,設(shè)置有至少一邊界網(wǎng)關(guān),在其上設(shè)置有信令防火墻���,該軟交換和該接入設(shè)備之間所有信令通過該邊界網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)����;b)所述接入設(shè)備上所配置的控制該接入設(shè)備的軟交換的網(wǎng)絡(luò)地址是所述邊界網(wǎng)關(guān)的網(wǎng)絡(luò)地址�,所述軟交換以域名或設(shè)備名來區(qū)分并直接控制不同所述接入設(shè)備,無需關(guān)心該軟交換和所述接入設(shè)備之間是否有邊界網(wǎng)關(guān)的存在���;c)所述接入設(shè)備的信令送達(dá)該邊界網(wǎng)關(guān)后�����,該邊界網(wǎng)關(guān)根據(jù)信令類型進(jìn)行分別處理�����,對信令進(jìn)行過濾��,轉(zhuǎn)發(fā)注冊認(rèn)證信令,并對信令流量進(jìn)行控制���。
2.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)方法��,其特征在于�����,所述實(shí)現(xiàn)方法還包括以下步驟d)對于注冊成功的所述接入設(shè)備�����,所述邊界網(wǎng)關(guān)定期發(fā)送鏈路檢測信令對該接入設(shè)備進(jìn)行在線檢測�����,如果該接入設(shè)備對該信令久不應(yīng)答���,所述邊界網(wǎng)關(guān)則通知所述軟交換將該接入設(shè)備退出服務(wù)�����,并刪除有關(guān)該接入設(shè)備的信息�。
3.根據(jù)權(quán)利要求2所述的實(shí)現(xiàn)方法�,其特征在于,在所述軟交換網(wǎng)絡(luò)中還設(shè)置有一認(rèn)證授權(quán)中心與所述邊界網(wǎng)關(guān)通訊連接�,用于對所述接入設(shè)備和所述邊界網(wǎng)關(guān)之間的信令進(jìn)行認(rèn)證����。
4.根據(jù)權(quán)利要求3所述的實(shí)現(xiàn)方法�,其特征在于,所述步驟c)中對信令的處理還包括以下步驟c1)如果所述邊界網(wǎng)關(guān)收到的是注冊信令�����,該邊界網(wǎng)關(guān)實(shí)時(shí)計(jì)算發(fā)往所述軟交換的注冊信令的流量��,如果流量大于設(shè)定的注冊信令流量閾值���,則將該信令直接丟棄���;否則把該信令送到所述認(rèn)證授權(quán)中心請求認(rèn)證;c2)如果經(jīng)認(rèn)證該注冊信令合法�����,則所述邊界網(wǎng)關(guān)把該注冊信令發(fā)送給所述軟交換�,同時(shí)記錄該接入設(shè)備的相關(guān)信息,用于后續(xù)信令的轉(zhuǎn)發(fā)�;否則丟棄該信令。
5.根據(jù)權(quán)利要求3所述的實(shí)現(xiàn)方法����,其特征在于,所述步驟c)中對信令的處理還包括以下步驟c3)如果所述信令是注冊成功的所述接入設(shè)備的呼叫信令��,該邊界網(wǎng)關(guān)實(shí)時(shí)計(jì)算發(fā)往所述軟交換信令的流量���;如果流量大于設(shè)定的閾值����,則該邊界網(wǎng)關(guān)直接給所述接入設(shè)備應(yīng)答失?。环駝t如果是呼叫建立信令����,把該信令送到所述認(rèn)證授權(quán)中心請求認(rèn)證,其它呼叫信令則送給所述軟交換����;c4)如果該呼叫建立信令經(jīng)認(rèn)證合法,則所述邊界網(wǎng)關(guān)把該信令送給所述軟交換����;否則丟棄該信令。
6.根據(jù)權(quán)利要求3所述的實(shí)現(xiàn)方法�����,其特征在于,所述步驟c)中對信令的處理步驟還包括c5)如果該信令為沒有注冊的接入設(shè)備的信令或是已注冊成功的接入設(shè)備的不合法信令��,則所述邊界網(wǎng)關(guān)直接丟棄該信令�。
全文摘要
本發(fā)明的一種在軟交換網(wǎng)絡(luò)中的信令防火墻的實(shí)現(xiàn)方法,在網(wǎng)絡(luò)結(jié)構(gòu)中的軟交換和接入設(shè)備之間增加信令防火墻�,其實(shí)現(xiàn)方法包括以下步驟在所述軟交換和所述接入設(shè)備之間,設(shè)置有至少一邊界網(wǎng)關(guān)�,在其上設(shè)置有信令防火墻,該軟交換和該接入設(shè)備之間所有信令通過該邊界網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)��;所述接入設(shè)備的信令送達(dá)該邊界網(wǎng)關(guān)后�����,該邊界網(wǎng)關(guān)根據(jù)信令類型進(jìn)行分別處理���,對信令進(jìn)行過濾�,轉(zhuǎn)發(fā)注冊認(rèn)證信令��,并對信令流量進(jìn)行控制�����。本發(fā)明方法能夠有效地防止當(dāng)接入設(shè)備的信令消息量過大時(shí)引起軟交換的擁塞問題,通過把接入設(shè)備的在線檢測�����、認(rèn)證等功能交由邊界網(wǎng)關(guān)完成���,有效地提高了軟交換的性能、可靠性���,并能有效地防止非法接入設(shè)備對軟交換的沖擊�。
文檔編號H04L12/26GK1529482SQ20031011172
公開日2004年9月15日 申請日期2003年10月8日 優(yōu)先權(quán)日2003年10月8日
發(fā)明者喬克智 申請人:中興通訊股份有限公司