一种核心网信令传输方法及系统的制作方法

一种核心网信令传输方法及系统的制作方法
【专利摘要】本发明公开了一种核心网信令传输方法及系统。其中该系统包括：接入侧设备、第一防火墙装置、第二防火墙装置、核心网内的接入代理服务器及核心网内的其他设备；其中，接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器；所述接入代理服务器通过第二防火墙装置与核心网内的其他设备交互信令。本发明的核心网信令传输方法及系统，通过引入双层防火墙，即在接入代理服务器与核心网其他设备之间增加一个防火墙，提高了核心网内部设备的安全性。
【专利说明】—种核心网信令传输方法及系统
【技术领域】
[0001]本发明涉及核心网【技术领域】，尤其涉及一种核心网信令传输方法及系统。
【背景技术】
[0002]目前业界頂S核心网络面向公网侧的安全是由CMNET防火墙和SBC实现。SBC相当于做了一次NAT转换(应用层防火墙)。SBC与核心网间通讯是靠MS用户网络边缘设备(Customer Edge, CE)进行访问控制。
[0003]核心网内部各个网元间信令通讯也是依靠MS CE进行疏通，如CSCF访问HSS或AS，通过在MS CE上部署ACL实现访问控制。
[0004]由于CE属于路由器，只能实现单向会话控制，如果做双向控制会导致CE路由条目非常多，影响其路由性能。单向会话控制就会导致IMS核心网络受某些攻击的可能性(如盲攻，不需要收响应便发送大量数据包)。
[0005]另外MS核心网络根据不同的业务功能和安全需求划分了许多安全域，不同域内的网元具有不同的安全等级，如果采用CE进行域间业务疏通是无法进行区分安全等级保护的，从而无法实现安全域间设备通讯的有效访问控制。

【发明内容】

[0006]为了解决现有技术中核心网内部设备之间访问安全性较低的技术问题，本发明提出一种核心网信令传输方法及系统。
[0007]本发明的一个方面，提供一种核心网信令传输方法，包括:接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器；所述接入代理服务器通过第二防火墙装置与所述核心网内的其他设备交互信令。
[0008]本发明的另一个方面，提供一种核心网信令传输系统，其特征在于，包括:接入侧设备、第一防火墙装置、第二防火墙装置、核心网内的接入代理服务器及核心网内的其他设备；其中，接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器；所述接入代理服务器通过第二防火墙装置与所述核心网内的其他设备交互信令。
[0009]本发明的核心网信令传输方法及系统，通过引入双层防火墙，即在接入代理服务器与核心网其他设备之间增加一个防火墙，提高了核心网内部设备的安全性。
[0010]另外，通过为核心网内不同设备划分不同安全等级的安全域，有效地在不同安全域之间通过核心网内部防火墙进行双向访问控制，进一步提高了核心网内部设备的安全性。
【专利附图】

【附图说明】
[0011]图1是本发明各个接入点安全风险分析示意图；
[0012]图2是本发明安全域划分示意图；
[0013]图3是本发明核心网信令传输系统实施例的结构图；[0014]图4是本发明核心网信令传输系统实施例的网络拓扑图；
[0015]图5是本发明AS业务的组网拓扑图。
【具体实施方式】
[0016]MS系统是全IP的开放式系统，所以安全问题是MS系统的首要问题，关系着最终商业应用能否成功。MS网络严格意义上是运营商第一个运营的VOIP系统，网络安全因素涉及众多，必须有效防护、才能确保集团业务的稳定安全。
[0017]由于靠CE疏通MS核心网元的信令业务无法实现双向访问控制和和根据不同安全域的等级区分保护等缺陷，我们在頂S核心网络中研究使用防火墙代替CE，来疏通MS核心网不同安全域的网元间信令互访业务，从而实现MS网元真正的信令双向会话访问控制，达到IMS应用层面精细化安全管控。
[0018]也就是说，在IMS核心网中面向CMNET侧引入双层异构防火墙架构:外侧仍沿用CMNET防火墙，内侧新增安全域防火墙、代替CE负责信令疏通，旨在对IMS不同安全域间的访问进行有效控制，做到真正的双向会话控制，根据承载业务等级进行区分对待。
[0019]首先，我们需要找到MS核心网络可能有安全问题的接入点，并分析威胁:
[0020]如图1所示，不同接入点的安全风险由大到小，排列顺序如下:
[0021 ] CMnet接入点、AS接入点、MDCN接入点、MDN接入点、IPBB接入点。
[0022]下面就各个接入点的安全风险进行描述:
[0023]l、CMNet接入点Gm,可能遇到来自Internet的攻击,尤其是DoS。
[0024]2,AS (Portal)接入点 ISC，由于部分 AS 有 WEB Portal 直接连 CMNET 或 Internet，所以一旦AS被攻破，就会对MS核心网造成威胁。
[0025]3、IPBB接入点，IPBB上连有企业专网，如果IPBB出现问题，造成企业专网和MS
专网连通，就会有安全隐患。
[0026]4、MDCN接入点，BOSS通过MDCN接到頂S。由于涉及开销户和计费，所以对安全要求很高。
[0027]5、MDN接入点，网管通过MDN网络连接MS，由于涉及告警和性能数据上传，安全需求较高。
[0028]根据安全威胁，在核心网络侧部署防火墙，以杜绝这些安全风险。各个接入点对防火墙的部署要求如下:
[0029](I)CMNet接入点Gm:双层异构防火墙加SBC，全部由MS核心网负责建设。
[0030](2) AS接入点ISC:双层异构防火墙。其中第I层由AS负责，第2层由IMS核心网负责。
[0031](3) IPBB接入点:单层防火墙，由MS核心网负责。
[0032](4) MDCN接入点:单层防火墙，由MS核心网负责。
[0033](5) MDN接入点:单层防火墙，由MS核心网负责。
[0034]考虑到成本因素，需要几个接入点共用防火墙:
[0035]一、MS信令防火墙(即安全域防火墙):布署在MS核心网，负责以下接入点:
[0036](I)CMNET接入点，SBC和MS核心网之间；
[0037](2 ) AS接入点，AS和IMS核心网间；[0038](3) IPBB接入点，IPBB和MS核心网之间。
[0039]二、MDCN/MDN防火墙，负责MS核心网接入网管、计费网络:
[0040](I) MDCN虚拟防火墙；
[0041](2) MDN虚拟防火墙。
[0042]IMS网络按照主要承载的业务类型，可以分为以下几类:
[0043]1、控制信令:
[0044]包括用户外部信令(UE-SBC间信令)、Gm接口信令(SBC-P-CSCF间信令)、MS Core信令(IP专网頂S域及CS域信令)和用户数据相关消息(CSCF&HSS与AS间及CSCF-HSS间消息)。
[0045]2、媒体:
[0046]包括外部媒体(用户到MS核心网媒体)和内部媒体(IP专网MS域及CS域媒体)。
[0047]3、网管。
[0048]4、计费&业务开通。
[0049]5、用户接入(http访问)。
[0050]上述业务在站点内部可通过LAN/VLAN及子网进行隔离。
[0051 ] 在不同站点间可以通过IP专网MS域信令/媒体VPN，及CS域信令/媒体VPN分别承载控制信令和内部媒体。通过MDN网络承载网管信息；MDCN网承载计费&业务开通数据；CMNET及用户接入专线承载用户外部信令/媒体及用户接入。
[0052]故根据不同的业务功能和安全需求，在MS核心网内部划分了不同的安全域。安全域根据不同平面的划分结果如下:
[0053]一、IMS业务平面内部划分为MS控制安全域、IMS媒体安全域、IMS内部AS安全域、HSS数据安全域、IMS网间互联安全域；
[0054]二、MS管理维护平面内部划分为MS网管安全域、MS运营支撑安全域(计费及业务开通);
[0055]三、IMS用户平面分为用户/会话接入域
[0056]四、MS承载平面划分为MS网络承载域。
[0057]安全域的引入可以将IMS系统内的网元根据功能及访问信任程度进行区域的划分，多个安全域可以在同一站点部署，但需要做到业务隔离；单个安全域也可以分布在不同站点。
[0058]在MS核心网内部，安全域的划分和边界防护将主要采用如下技术手段:
[0059]1、IMS的安全域划分针对不同的网元接口，如网管接口，业务接口(包括媒体和信令接口)。
[0060]2、IMS系统内部承载网的二层交换机上采用划分VLAN的方式来隔离不同网络安全域的不同数据流量。
[0061 ] 3、MS系统内部承载网的汇聚三层交换机采用部署ACL和路由策略来对不同安全域间IP地址间的访问进行控制。
[0062]4、对于重要区域(如SBC所在的DMZ区，HSS数据区)通过部署防火墙来实现不同平面间的物理边界隔离。
[0063]本发明核心网信令传输方法实施例包括:接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器(SBC)5SBC通过第二防火墙装置与核心网内的其他设备如HSS、CSCF等交互信令。
[0064]优选地，该方法实施例还包括:将核心网内的设备划分到不同安全域；不同安全域的设备之间通过第二防火墙装置交互信令，同一安全域内的设备通过数据交换设备交互信令。
[0065]本实施例中，如图2所示，划分的安全域包括:控制安全域、媒体安全域、会话接入安全域、数据安全域、网间互联安全域、应用接入安全域和应用安全域。
[0066]具体地，如图2所示，第二防火墙装置对访问控制的策略如下:
[0067](I)第二防火墙装置只允许控制安全域和应用安全域访问数据安全域，其它安全域的数据禁止访问数据安全域；
[0068](2)第二防火墙装置只允许媒体安全域、应用安全域、数据安全域和网间互联安全域发送业务数据到控制安全域；
[0069](3)第二防火墙装置只允许会话/应用接入安全域的源IP地址的为SBC/P-CSCF的数据接入控制安全域；
[0070](4)第二防火墙装置只允许控制安全域中源IP地址为S-CSCF的数据、媒体安全域、应用安全域、数据安全域和网间互联安全域访问应用安全域；
[0071](5)第二防火墙装置只允许会话/应用接入安全域的源IP地址的为WEB portral和WEB Proxy的数据访问应用安全域；
[0072](6)第二防火墙装置只允许网间互联安全域与控制安全域进行数据交互；
[0073](7)第二防火墙装置只允许媒体安全域接收控制安全域和网间互联安全域的数据；
[0074](8)第二防火墙装置只允许会话接入安全域接收控制安全域的数据；
[0075](9)第二防火墙装置只允许应用接入安全域接收应用安全域的数据。
[0076]基于同一发明构思，如图3所示，本发明还提供一种核心网信令传输系统实施例，包括:接入侧设备31、第一防火墙装置32、核心网内的接入代理服务器33、第二防火墙装置34及核心网内的其他设备，如HSS35、CSCF36等。
[0077]其中，接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器；接入代理服务器通过第二防火墙装置与核心网内的其他设备交互信令。
[0078]该系统实施例还包括:数据交换设备，将核心网内的设备划分到不同安全域。其中，不同安全域的设备之间通过第二防火墙装置交互信令，同一安全域内的设备通过数据交换设备交互信令。
[0079]本发明的核心网信令传输方法及系统，通过引入双层防火墙，即在接入代理服务器与核心网其他设备之间增加一个防火墙，提高了核心网内部设备的安全性。
[0080]另外，通过为核心网内不同设备划分不同安全等级的安全域，有效地在不同安全域之间通过核心网内部防火墙进行双向访问控制，进一步提高了核心网内部设备的安全性。
[0081]如图4所示，具体实现中，每个局址在MS核心网与CMNET交界处部署了一套Juniper SRX3600防火墙，用于MS用户从公网上的安全接入。即沿用现网CMNET防火墙做双层异构里的外侧防火墙。[0082]由于SBC是用户访问MS网络的唯一入口点，用户只能访问SBC、而看不到MS核心网络的其他网元，即SBC涉及公网用户直接调用，故把SBC放在停火DMZ区，其他MS核心网设备放在信任trust区。而trust区和DMZ区的隔离就是通过信令防火墙H3C F5000实现(即本发明新增的用于替代CE疏通MS核心网信令业务的安全域防火墙，作为双层异构里的内侧防火墙)。
[0083]IMS核心网面向接入侧弓I入双层异构后，对于同属于trust区内的2个安全域的网元信令互访业务也需要通过内侧的安全域防火墙实施隔离。比如MS core (I/S-CSCF)访问数据域(HSS)或应用域(AS)，均需要通过H3CF5000防火墙进行域间访问保护。
[0084]防火墙过滤掉MS媒体域，IMS数据域，IMS用户会话/应用接入域间的数据交互。另外禁止网管协议数据在信令控制接口区内各个安全域内的传输。
[0085]作为双层异构下的内侧安全域防火墙H3C F5000，在MS核心网整个信令交互中处于非常重要的地位，几乎每一步的信令流程都会经过此FW，故H3C要实施严格的信令和媒体安全策略，以及流量控制策略，防止来自外界的攻击或非法访问对MS核心网络及数据造成无法挽回的影响。以下是在H3C上需配置的策略:
[0086]一、信令接口(隔离控制域，数据域，接入域)域边界控制策略，将允许下列域间数据传送:
[0087]控制域和数据域:diameter协议(TCP/SCTP3868端口)
[0088]控制域和应用域:SIP(TCP/UDP5060,5061 端口 )
[0089]控制域和媒体域:SIP，H.248 (UDP2944, 2945)，MGCP (UDP2427, 2727)
[0090]应用域和数据域:Diameter(TCP/SCTP3868)
[0091]用户接入域与控制域:SIP (UDP5060,5061)
[0092]控制域内CSCF 和 MGCF:SIP (UDP5060, 5061)
[0093]将过滤下列域间的数据流量:
[0094]用户接入域和非控制域的其他域的数据流量:全部过滤
[0095]应用域和媒体域:全部过滤
[0096]数据域和媒体域:全部过滤
[0097]Ping 包中的 Unreachable
[0098]过滤所有业务端口的网管业务数据(TCP21，22，23，TCP/UDP161..)。
[0099]二、媒体域边界控制策略，只允许下列域间数据传送:用户接入域和媒体域，开放rtp 端口(UDP10000 以上)；
[0100]过滤所有业务端口的网管业务数据(TCP21，22，23，TCP/UDP161..)。
[0101]对于部署在外侧的Juniper SRX3600防火墙，由于是隔离SBC和CMNET，和大多数方案一样，信令域只允许目的地IP为SBC地址的流量通过，且只允许用户接入信令域SIP(TCP/UDP5060，5061)信令的访问；对于用户接入域和非控制域的其他安全域的数据流量，以及有业务端口的网管业务数据(TCP21，22，23，TCP/UDP161..)都将全部过滤。媒体域只允许用户接入域和媒体域的媒体通过(开放rtp端口，包括UDP10000以上端口，或5004和5005),过滤所有业务端口的网管业务数据。
[0102]不管是内侧安全域防火墙H3C F5000，还是外侧CMNET防火墙Juniper SRX3600，都需要启用流量控制策略，防止TCP flood大流量攻击(如TCP SYN攻击)、UDP flood和ping flood攻击。但对于SIP/RTP flood，防火墙不能识别，只能作为UDP flood去防范。
[0103]除此以外，双层异构防火墙上还启用如下策略:
[0104]I)建立白名单，对已知用户地址段不做数据包过滤，对其它未知地址做flood流量限制。
[0105]2)带宽限制，给UDP (语音及AS)流量预留一定带宽。
[0106]3) http sql注入和DDOS攻击通过在防火墙上限制端口解决。
[0107]如图5所示,对于AS业务平台(涉及internet业务能力调用)的双层异构防火墙，和业界的设置方法是一样，外网可以复用SBC的CMNET防火墙，内网新建一对FW用于AS平台DMZ和trust两个区域里的设备互相调用通讯。DMZ区里的设备负责接收客户业务的鉴权请求、访问请求等。核心区的设备负责执行具体业务逻辑。AS防火墙和网管/计费防火墙在业界已有先例，这里就不再详细叙述。
[0108]在MS核心网络引入双层异构防火墙架构后，可以实现真正的双向会话访问控制，并且可以根据MS核心网不同安全域的承载业务特性制定安全等级，由安全等级展开域间网元访问的有效策略管控，做到真正的业务层面安全控制，保障集团客户业务的安全可靠运行。
[0109]应说明的是:以上实施例仅用以说明本发明而非限制，本发明也并不仅限于上述举例，一切不脱离本发明的精神和范围的技术方案及其改进，其均应涵盖在本发明的权利要求范围中。
【权利要求】
1.一种核心网信令传输方法,其特征在于,包括: 接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器； 所述接入代理服务器通过第二防火墙装置与所述核心网内的其他设备交互信令。
2.根据权利要求1所述的方法，其特征在于，还包括: 将所述核心网内的设备划分到不同安全域； 不同安全域的设备之间通过所述第二防火墙装置交互信令，同一安全域内的设备通过数据交换设备交互信令。
3.根据权利要求2所述的方法，其特征在于，将所述核心网内的设备划分到不同安全等级的安全域包括: 将所述核心网内的设备划分为控制安全域、媒体安全域、会话接入安全域、数据安全域、网间互联安全域、应用接入安全域和应用安全域。
4.根据权利要求3所述的方法，其特征在于，不同安全域的设备之间通过所述第二防火墙装置交互信令包括: 所述第二防火墙装置只允许控制安全域和应用安全域访问数据安全域，其它安全域的数据禁止访问数据安全域； 所述第二防火墙装置只允许媒体安全域、应用安全域、数据安全域和网间互联安全域发送业务数据到所述控制安全域； 所述第二防火墙装置只允许会话/应用接入安全域的源IP地址的为SBC/P-CSCF的数据接入控制安全域； 所述第二防火墙装置只允许控制安全域中源IP地址为S-CSCF的数据、媒体安全域、应用安全域、数据安全域和网间互联安全域访问应用安全域； 所述第二防火墙装置只允许会话/应用接入安全域的源IP地址的为WEB portral和WEB Proxy的数据访问应用安全域； 所述第二防火墙装置只允许网间互联安全域与控制安全域进行数据交互； 所述第二防火墙装置只允许媒体安全域接收控制安全域和网间互联安全域的数据； 所述第二防火墙装置只允许会话接入安全域接收控制安全域的数据； 所述第二防火墙装置只允许应用接入安全域接收应用安全域的数据。
5.一种核心网信令传输系统，其特征在于，包括:接入侧设备、第一防火墙装置、第二防火墙装置、核心网内的接入代理服务器及核心网内的其他设备； 其中，接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器；所述接入代理服务器通过第二防火墙装置与所述核心网内的其他设备交互信令。
6.根据权利要求5所述的系统，其特征在于，还包括:数据交换设备； 将所述核心网内的设备划分到不同安全域； 其中，不同安全域的设备之 间通过所述第二防火墙装置交互信令，同一安全域内的设备通过数据交换设备交互信令。
7.根据权利要求5所述的系统，其特征在于，核心网内的安全域包括: 控制安全域、媒体安全域、会话接入安全域、数据安全域、网间互联安全域、接入安全域和应用安全域。
【文档编号】H04L29/06GK103905413SQ201210590349
【公开日】2014年7月2日 申请日期:2012年12月28日 优先权日:2012年12月28日
【发明者】安凯, 方冬梅, 来志远, 付翠云, 方承, 党瑞华, 臧志勇, 何嫚, 杨占勋, 李志杰 申请人:中国移动通信集团北京有限公司