一种防止计费欺骗的方法、系统及媒体路由控制装置的利记博彩app

文档序号:7971769阅读:179来源:国知局
专利名称:一种防止计费欺骗的方法、系统及媒体路由控制装置的利记博彩app
技术领域
本发明涉及信息安全技术领域,尤其是一种防止计费欺骗的方法、系统及媒体路由控制装置。
背景技术
下一代网络NGN、网络协议电话VoIP业务的快速发展,给传统电话业务带来了巨大挑战。然而,基于网络协议IP技术的下一代网络NGN中,由于控制与承载分离,信令流与媒体流相互分离。恶意终端可能在发起终止会话的信令后仍然进行媒体流的通信。例如,在网络协议电话VoIP及下一代网络NGN中,终端发送会话建立请求之后,双方进行会话能力的协商,然后双方同意建立连接,计费系统开始计费,当一方发出终止会话的请求后计费系统就停止计费,如果这时会话双方为恶意用户,终端伪造发出了终止会话的消息而不停止媒体流的传输,同时对端接收到终止会话消息后仍然进行媒体流通信,那么此时计费系统虽然已经停止计费,但是双方仍然在进行通信,从而实现欺骗计费系统,造成运营商财产的巨大损失。
在现有技术中,能够防止计费欺骗的设备还有会话边界控制器SBC,会话边界控制器SBC位于网络的边缘,为所有进出网络的信息流或媒体流提供必经通道,会话边界控制器SBC对过往的数据包尤其信令流进行合法性检查,对合乎规则的信令消息才转交给核心交换控制设备处理,并且对媒体流进行转发,此外,会话边界控制器SBC还实现了媒体流网络地址转换NAT穿越和防火墙穿越。但是该方法对所有进出网络的流量进行处理,对信令流的处理比较脆弱,极易受到信令流的攻击;会话边界控制器SBC由于处理较多的流量,在处理上消耗较多的资源,当流量较大时可能会产生延迟和丢失;并且并不是所有的网络环境下都可以部署会话边界控制器SBC,在需要信令进行加密的情况下,SBC将完全失效。

发明内容
本发明要解决的问题是提供一种防止计费欺骗的方法、系统及媒体路由控制装置,能够在终端发出终止会话请求消息时,中断会话双方传输媒体流的路由,从而防止了计费欺骗。
为解决上述技术问题,本发明的目的是通过以下技术方案实现的本发明提供了一种防止计费欺骗的方法,包括核心交换控制设备在第一用户终端和第二用户终端会话协商完成后,向第一媒体路由设备和第二媒体路由设备发送会话双方IP地址和端口映射信息,通知第一媒体路由设备和第二媒体路由设备打开所述IP地址和端口之间的路由;当核心交换控制设备收到会话终止消息时,向第一媒体路由设备和第二媒体路由设备发出终止媒体流命令,第一媒体路由设备和第二媒体路由设备中断第一用户终端和第二用户终端端口之间的路由。
本发明还提供了一种防止计费欺骗的系统,包括核心交换控制设备、第一媒体路由设备、第二媒体路由设备、第一用户终端、第二用户终端;核心交换控制设备,用于在第一用户终端和第二用户终端完成会话协商时,命令媒体路由设备打开会话双方之间的路由;在收到第二用户终端发送的终止会话消息时,命令媒体路由设备中断会话双方端口的路由;第一媒体路由设备,用于从核心交换控制设备获取终端地址端口映射信息,当收到核心交换控制设备发送的打开或终止信令时,根据所述终端地址端口映射信息匹配IP地址和端口号,打开或中断会话双方端口之间的路由。
本发明还提供了一种媒体路由控制装置,包括信令交换单元、数据路由单元;信令交互单元,用于通知数据路由单元进行两会话IP地址协商端口之间的路由,当接收到会话结束信令时,通知数据路由单元中断会话双方的路由;数据路由单元,用于对接收到的数据包进行路由,将数据包发送到目的地址,根据信令交互单元提供的IP地址对应端口映射及指令打开或中断所述IP端口之间的路由。
本发明通过当终端之间协商完成之后需要进行媒体通信时,核心交换控制设备通知媒体路由设备打开两个终端端口之间的路由,这样终端之间的传输必须经过媒体路由设备,当一方发送终止会话消息时,媒体路由设备中断会话双方相应端口的路由,所以即使在媒体路由设备停止双方的路由功能后终端继续发送数据包,但数据不能到达对方,从而防止了计费欺骗;同时由于只中断了相应端口的路由,如果数据包只有一端与禁止路由的IP地址及端口完全匹配仍不会中断双方之间的路由,不会影响到正常通话。


图1为本发明流程图;图2为本发明一实施例的信令流程图;图3为本发明的系统框图;图4为本发明的装置图。
具体实施例方式
本发明为一种计费方法、系统及媒体路由控制装置,为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
参见图1,为本发明的流程图,具体包括101第一用户和第二用户终端通过核心交换控制设备、第一媒体路由设备、第二媒体路由设备进行会话协商;102当会话协商完成后,核心交换控制设备向第一媒体路由设备和第二媒体路由设备发送终端地址映射信息,通知第一媒体路由设备和第二媒体路由设备打开相应地址相应端口的路由;103第一用户终端和第二用户终端建立媒体通道,通过第一媒体路由设备和第二媒体路由设备传输媒体流;
104第二用户终端通过第一媒体路由设备、第二媒体路由设备、核心交换控制设备向第一用户终端发送终止会话请求消息;105核心交换控制设备向第一媒体路由设备和第二媒体路由设备,发送中断第一用户终端和第二用户终端相应端口路由的指令;106第一媒体路由设备和第二媒体路由设备中断第一用户终端和第二用户终端之间的路由,然后分别向核心交换控制设备发送中断成功的响应。
其中,所述第一媒体路由设备与第一用户终端连接,第二媒体路由设备和第二用户终端连接。
参见图2,为本发明一实施例的信令流程图,协议采用会话初始协议SIP,核心交换控制设备采用软交换机为例,下面进行详细描述,具体包括201用户终端A向用户终端B发出呼叫请求,经由媒体路由设备A路由发给软交换机;202软交换机发给终端A临时相应消息,经由媒体路由设备A路由。
203软交换机经由媒体路由设备B将呼叫请求消息INVITE消息发给终端B;204、205终端B向终端A发送Ringing消息,经由媒体路由设备B和媒体路由设备A路由;206、207终端B同意建立会话连接,向终端A发送200OK,经由媒体路由设备B和媒体路由设备A路由;208软交换机向媒体路由设备A发送终端地址端口映射信息,通知媒体路由设备A打开相应地址相应端口的路由功能;209软交换机同时向媒体路由设备B发送同样的终端映射信息,通知媒体路由设备B打开相应地址相应端口的路由功能;210、211媒体路由设备A和媒体路由设备B分别向软交换机发送确认信息,告知软交换机相应地址路由已打开;212、213终端A向终端B发出ACK确认消息,经由媒体路由设备A和媒体路由设备B路由;
终端A和终端B建立媒体通道,媒体流经由媒体路由设备A和媒体路由设备B路由;214终端B发出BYE消息,要求终止会话,经由媒体路由设备B路由给软交换机;215软交换机向媒体路由设备A发送中断终端A与终端B相应端口路由的指令;216软交换机同时向媒体路由设备B发送中断终端A与终端B相应端口路由的指令;217、218媒体路由设备A和媒体路由设备B中断终端A与终端B之间的路由,然后分别向软交换机发送中断成功的响应;219软交换机将BYE消息发给终端A通知其终止会话,经由媒体路由设备A转发;220终端A回应200OK终止会话,经由媒体路由设备A发向软交换机;221软交换机向终端B发送200OK,经由媒体路由设备B路由。
其中,因为媒体路由设备是终端之间互通的必由之路,所以当终端之间协商完成之后需要进行媒体通信时,核心交换控制设备通知媒体路由设备打开两个终端端口之间的数据包路由功能,这样终端之间的媒体流传输必须要经过媒体路由设备,当一方要终止会话发送BYE消息时,核心交换控制设备通知媒体路由设备终止双方的路由功能,媒体路由设备就停止了双方相应端口的路由,因为媒体路由设备不受终端控制,所以即使在媒体路由设备停止双方的路由功能后终端继续发送数据包,但数据包不能到达对方,从而防止了计费欺骗。
其中,核心交换控制设备需要在信令完成之后通知终端出口处的媒体路由设备打开或关闭相应端口的路由,可以通过在核心交换控制设备内部关于媒体路由设备状态的映射表来实现,映射表如表1所示表1 媒体路由设备状态映射表


其中序号,为该表的唯一标识;MR表示媒体路由设备,MR名称,即每个媒体路由设备的名称;地址信息,为每一个媒体路由设备的IP地址;所处网络段,表示以该媒体路由设备为出口的终端所处网络,可以以地址范围的形式表示,如192.168.11.1-192.168.11.255;更新时间,表明目前各项值的更新时间。
该表需要在部署媒体路由设备时在核心交换控制设备上进行配置,也可以由媒体路由设备以信令的方式通知核心交换控制设备。
当核心交换控制设备收到终端之间的信令消息时,根据其各自的IP地址查阅本表所对应的网络段,从而找到为其路由的媒体路由设备,如收到终端A和终端B的信令消息,获取A的IP地址为192.168.11.23,B的IP地址为192.168.10.21,查阅媒体路由设备状态映射表,发现分别处于网段192.168.11.1-192.168.11.255和192.168.10.1-192.168.10.255之间,对应的媒体路由设备分别为MR1和MR2,则在信令协商之后,核心交换控制设备指定MR1和MR2打开终端A和终端B相应端口之间的数据路由,当终端A和终端B会话结束时,核心交换控制设备仍然命令MR1和MR2关闭终端A和终端B相应端口的数据路由。
其中,由于会话双方的数据包传输要通过媒体路由设备进行,采取地址端口映射的方式,地址端口映射的实现,媒体路由设备通过核心交换控制设备获得相关信息,具体信息如下在核心交换控制设备指示媒体路由设备打开/关闭相应IP地址端口之间路由时,核心交换控制设备必须将会话双方的地址端口映射四元组发送给两个媒体路由设备,媒体路由设备根据四元组知道会话双方的地址及媒体流通信端口,并进行一定的会话控制。如果会话双方分别为A,B,四元组的内容如表2
表2 会话双方四元组

其中A_IP,为终端A的IP地址;A_Port,为双方协商好的用于媒体流传输的终端A的端口;B_IP,为终端B的IP地址;B_Port,为双方协商好的终端B用于传输媒体流的端口。
当媒体路由设备收到核心交换控制设备发送的路由请求及这个四元组后,如果媒体路由设备收到来自A_IP端口为A_Port发向B_IP端口为B_Port,或者来自B_IP端口为B_Port发向A_IP端口为A_Port的数据包,则将该数据包转发到目的地;当收到核心交换控制设备的终止会话命令及相应四元组后,媒体路由设备检查源目的IP地址和端口号,对于IP地址为A_IP端口为A_Port与IP地址为B_IP端口为B_Port之间传输的数据包不予路由。
核心交换控制设备可以采用任何协议来控制媒体路由设备,包括采用自定义协议或者MGCP、Megaco等协议。无论采取何种协议,核心交换控制设备必须将上述提到的信息发给媒体路由设备。
其中,媒体路由设备在初始状态下可以路由所有数据包,所以当终端之间首次通信时,核心交换控制设备通知媒体路由设备打开双方协商端口之间的路由,这时该路由是默认打开的,当双方终止会话时双方相应端口之间的通道被关闭了,除非下次双方仍协商使用此端口传输媒体流否则媒体路由设备是不会路由双方相应端口之间的数据包的;同时,由于信令流是在终端与核心交换控制设备之间交互的,而媒体流是端到端的,因此使用此种方案媒体路由设备;不能关闭终端和核心交换控制设备端口之间的路由,从而也不会因为中断了媒体流的传输而中断信令流的传输。
媒体路由设备的基本处理流程如下当媒体路由设备收到数据包,首先匹配IP地址及端口号,如果源IP地址为核心交换控制设备并且目的IP地址为自身时,则进行相应的信令响应,如收到四元组及打开路由的命令则保存该四元组并且进行四元组中所指定的IP和端口对之间的数据路由;否则,查询存储禁止路由的双方IP地址和端口,当发现该数据包的源目的IP和端口在数据库中有完全匹配时,则停止该数据包的路由并丢弃该数据包,否则将数据包路由到目的地;同时由于只中断了终端之间相应端口的路由,即如果数据包只有一端完全匹配仍不会中断双方之间的路由,所以对于信令流仍然可以正常路由,不会影响到后续正常通话流程。
参见图3,为本发明的系统框图,具体包括核心交换控制设备301、路由器302、第一用户终端303、第一媒体路由设备304、第二媒体路由设备305、第二用户终端306;核心交换控制设备301,用于在收到第一用户终端303发送的呼叫请求消息时,命令第一媒体路由设备304和第二媒体路由设备305打开会话双方之间的路由;在收到第二用户终端306发送的终止会话消息时,命令第一媒体路由设备304和第二媒体路由设备305中断会话双方端口的路由;路由器302,用于路由核心交换控制设备301与第一媒体路由设备304、第二媒体路由设备305、第一用户终端303、第二用户终端306之间传输的信令;第一媒体路由设备304,用于从核心交换控制设备301获取第一用户终端303和第二用户终端306IP地址端口映射信息,当收到核心交换控制设备301发送的打开或终止信令时,根据所述终端IP端口映射信息匹配IP地址和端口号,打开或中断会话双方端口之间的路由。
其中,所述第一媒体路由设备304和第二媒体路由设备305,进一步用于,向核心交换控制设备301定时报告目前的通信状态,或者对异常情况产生日志和报告。
其中,第一媒体路由设备304和第二媒体路由设备305,可以是一个逻辑实体集成到路由器中,也可以作为独立设备存在。当集成于路由器上时,媒体路由设备的部分功能可以与路由器的功能合二为一,例如路由功能可以利用路由器的,只需要增加与核心控制设备301交互的部分和匹配端口号的功能。
参见图4,为本发明的装置图,下面进行详细描述媒体路由控制装置,包括信令交换单元401、数据路由单元402、合法监听接口403、日志单元404;信令交互单元401,用于通知数据路由单元402进行两会话IP地址协商端口之间的路由,当接收到会话结束信令时,通知数据路由单元402中断会话双方的路由;数据路由单元402,用于对接收到的数据包进行路由,将数据包发送到目的地址,根据信令交互单元401提供的IP地址对应端口映射及指令打开或终止所述IP端口之间的路由,此外,数据路由单元还用于对接收的数据包进行合法性检查;合法监听接口403,同信令交换单元连接,用于通过合法监听设备对于其连接的用户网络流量进行控制;日志单元404,用于向信令交互单元就目前的通信状态进行定时报告或对异常情况产生日志和报告。
其中,核心交换空置设备是泛指各种网守、软交换机、代理服务器、通信控制器等交换控制设备,核心交换机需要增加的功能也可以由串联到网络上的独立设备完成,核心交换空置设备没有任何变化。
以上对本发明所提供的一种防止计费欺骗的方法、系统及媒体路由控制装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种防止计费欺骗的方法,其特征在于,包括核心交换控制设备在第一用户终端和第二用户终端会话协商完成后,向第一媒体路由设备和第二媒体路由设备发送会话双方IP地址和端口映射信息,通知第一媒体路由设备和第二媒体路由设备打开所述IP地址和端口之间的路由;当核心交换控制设备收到会话终止消息时,向第一媒体路由设备和第二媒体路由设备发出终止媒体流命令,第一媒体路由设备和第二媒体路由设备中断第一用户终端和第二用户终端端口之间的路由。
2.根据权利要求1所述的方法,其特征在于,所述第一用户终端和第二用户终端会话协商完成,包括第一用户终端向第二用户终端发出呼叫请求,经由第一媒体路由设备发给核心交换控制设备;核心交换控制设备经过第一媒体路由设备向第一用户终端发送响应消息,并经过第二媒体路由设备将呼叫请求消息发给第二用户终端;第二用户终端经过第二媒体路由设备、核心交换控制设备、第一媒体路由设备向第一用户终端发送同意会话连接相应消息。
3.根据权利要求1所述的方法,其特征在于,所述通知第一媒体路由设备和第二媒体路由设备打开所述地址端口映射信息中IP地址对应端口的路由,进一步包括第一媒体路由设备和第二媒体路由设备向核心交换控制设备发送确认信息,通知所述核心交换控制设备相应IP地址对应端口的路由已经打开;第一用户终端和第二用户终端建立媒体通道,媒体流经由第一媒体路由设备和第二媒体路由设备路由。
4.根据权利要求1所述的方法,其特征在于,所述核心交换控制设备向第一媒体路由设备和第二媒体路由设备发出终止媒体流命令,进一步包括第一媒体路由设备和第二媒体路由设备查询禁止路由的双方IP地址和端口,当发现所述禁止路由的双方IP地址和端口与会话双方的IP地址和媒体流通信端口匹配时,停止媒体流的路由,否则将媒体流路由到目的地址。
5.根据权利要求1所述的方法,其特征在于,所述第一媒体路由设备和第二媒体路由设备中断第一用户终端和第二用户终端端口之间的路由,进一步包括第一媒体路由设备和第二媒体路由设备分别向核心交换控制设备发送中断成功响应;核心交换控制设备将终止会话消息通过第一媒体路由设备发送给第一用户终端;第一用户终端将终止会话回应消息通过第一媒体路由设备发送给核心交换控制设备;核心交换控制设备将接收到的回应消息通过第二媒体路由设备发送给第二用户终端。
6.一种防止计费欺骗的系统,其特征在于,包括核心交换控制设备、第一媒体路由设备、第二媒体路由设备、第一用户终端、第二用户终端;核心交换控制设备,用于在第一用户终端和第二用户终端完成会话协商时,命令媒体路由设备打开会话双方之间的路由;在收到第二用户终端发送的终止会话消息时,命令媒体路由设备中断会话双方端口的路由;第一媒体路由设备,用于从核心交换控制设备获取终端地址端口映射信息,当收到核心交换控制设备发送的打开或终止信令时,根据所述终端地址端口映射信息匹配IP地址和端口号,打开或中断会话双方端口之间的路由。
7.根据权利要求6所述的系统,其特征在于,所述系统进一步包括路由器,用于路由核心交换控制设备与第一媒体路由设备、第二媒体路由设备、第一用户终端、第二用户终端之间传输的信令。
8.根据权利要求6所述的系统,其特征在于,所述第一媒体路由设备,进一步用于,定时向核心交换控制设备报告目前的通信状态,或者对异常情况产生日志和报告。
9.一种媒体路由控制装置,其特征在于,包括信令交换单元、数据路由单元;信令交互单元,用于通知数据路由单元进行两会话IP地址协商端口之间的路由,当接收到会话结束信令时,通知数据路由单元中断会话双方的路由;数据路由单元,用于对接收到的数据包进行路由,将数据包发送到目的地址,根据信令交互单元提供的IP地址对应端口映射及指令打开或中断所述IP端口之间的路由。
10.根据权利要求9所述的装置,其特征在于,进一步包括合法监听接口、日志单元;合法监听接口,同信令交换单元连接,用于通过合法监听设备对于其连接的用户网络流量进行控制;日志单元,用于向信令交互单元就目前的通信状态进行定时报告或对异常情况产生日志和报告。
11.根据权利要求9所述的装置,其特征在于,所述数据路由单元,进一步用于,对接收的数据包,检验其合法性。
全文摘要
本发明属于信息安全技术领域,提供了一种防止计费欺骗的方法、系统及媒体路由控制装置,该方法具体为核心交换控制设备在两终端会话协商完成后,通知媒体路由设备打开会话双方IP地址相应端口的路由,媒体路由设备对建立会话的双方进行媒体流转发,当核心交换控制设备收到会话终止消息时,向媒体路由设备发出终止路由媒体流的命令,媒体路由设备中断两终端端口之间的媒体路由。利用本发明,解决了计费欺骗的问题,对媒体流的传输实施了监管,同时便于实现对媒体流的合法监听和控制,从而达到安全通信。
文档编号H04L29/06GK1946063SQ200610149858
公开日2007年4月11日 申请日期2006年10月27日 优先权日2006年10月27日
发明者刘利锋, 郑志彬, 朱洪亮, 赵凯 申请人:华为技术有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1