一种VOLTE业务的控制方法、P-GW 和LTE 网络技术

本发明专利技术公开了一种VOLTE业务的控制方法、P‑GW和LTE网络，涉及通信领域，其中的方法包括：LTE网络中的分组数据网网关P‑GW接收到终端发送的数据包；P‑GW提取数据包中的特征信息，将特征信息与预设的业务安全规则进行匹配，判断数据包是否符合安全规则；如果是，则P‑GW在LTE网络中转发数据包,如果否，则P‑GW丢弃数据包。本发明专利技术的控制方法、P‑GW和LTE网络，P‑GW增加业务安全规则，提出了P‑GW增加协议分析，P‑GW可以提供增加SIP协议识别功能并设置白名单增加鉴权方式，限制LTE网络中SIP消息的源/目的地址，使用户无法建立免费的专用承载，并可以拒绝LTE网络中非运营商允许的SIP消息通过。

A control method of VOLTE service, P-GW and LTE network

The control method, the invention discloses a VOLTE service P GW and LTE network, relates to the field of communication, the method includes: LTE network packet data network gateway P GW terminal receives packets sent; P GW characteristic information extraction of data packet will feature information with the preset business security rules, judge whether the packets comply with the safety rules; if it is, then data packets in the LTE network forwarding P GW if not, then the P GW packets. The control method of the invention, the P GW and LTE network, P GW increased business safety rules, put forward the P GW increase protocol analysis, P GW can provide SIP protocol recognition function and set the white list add authentication mode, limited LTE network SIP message source / destination address, the user can not the establishment of special bearing free, and can reject the SIP message allows operators through non LTE network.

【技术实现步骤摘要】
一种VOLTE业务的控制方法、P-GW和LTE网络
本专利技术涉及通信
，尤其涉及一种VOLTE业务的控制方法、P-GW和LTE网络。
技术介绍
IMS由于支持多种接入和丰富的多媒体业务，成为全IP时代的核心网标准架构。如今IMS已经跨越裂谷，成为固定话音领域VoBB、PSTN网改的主流选择，而且也被3GPP、GSMA确定为移动语音的标准架构。VoLTE即VoiceoverLTE，是一种IP数据传输技术，无需2G/3G网，全部业务承载于4G网络上，可实现数据与语音业务在同一网络下的统一。在ACMCCS2015会议上曝出VoLTE系统的安全漏洞：用户可绕过运营商的计费系统，免费通话或者免费上网。原因在于：一、VoLTE本质上是一个SIP通话，基于IP数据网的传送实现。运营商使用专用承载来承载VoLTE业务。对VoLTE的计费采用按照SIP通话时长由IMS系统来计费的原则。二、当前的智能终端(手机)，容易获得完全控制权限(root),并进一步知道IP地址；两个互相知道IP地址的终端，可以通过P-GW直接传递SIP消息，不需要经过计费系统所在的IMS。这使得两个终端只要把自己所有的数据包伪造成SIP的数据包就可以免费使用这个专用承载。并且，当前LTE网络部署中的P-GW设备，只对数据进行转发，不做协议识别，使得用户可绕过运营商的计费系统，能够免费通话或者免费上网，对网络的安全带来潜在的威胁并对运营商带来损失。
技术实现思路
有鉴于此，本专利技术要解决的一个技术问题是提供一种VOLTE业务的控制方法、P-GW和LTE网络。根据本专利技术的一个方面，提供一种VOLTE业务的控制方法，包括：LTE网络中的分组数据网网关P-GW接收到终端发送的数据包；所述P-GW提取所述数据包中的特征信息，将所述特征信息与预设的业务安全规则进行匹配，判断所述数据包是否符合安全规则；如果是，则所述P-GW在所述LTE网络中转发所述数据包到IMS网络,如果否，则所述P-GW丢弃所述数据包。可选地，所述P-GW提取所述数据包中的特征信息包括:在所述P-GW接收到终端发送的数据包后，判断接收所述数据包的接口是否为预设的端口，如果是，则解析所述数据包并提取所述数据包中的特征信息，如果否，则在所述LTE网络中转发所述数据包；其中，所述端口包括：S5、S8、SGi。可选地，所述解析所述数据包并提取所述数据包中的特征信息包括：所述P-GW判断所述数据包是否为SIP消息的数据包，如果是，则提取所述SIP消息的数据包中的特征信息；其中，所述SIP消息包括：Invite消息；所述特征信息包括：源IP地址或域名、目的地址或域名。可选地，将所述特征信息与预设的业务安全规则进行匹配、判断所述数据包是否符合安全规则包括：设置白名单并在所述白名单中设置有通过验证的SIP设备的地址或域名信息；其中，所述SIP设备包括：P-CSCF、BAC、AS；所述P-GW判断所述SIP消息的数据包中的目的地址或域名是否在所述白名单中，如果是，则确定所述SIP消息的数据包符合安全规则，并将所述SIP消息的数据包转发至通过验证的SIP设备，如果否，则确定所述SIP消息的数据包不符合安全规则，丢弃所述SIP消息的数据包。可选地，所述将所述特征信息与预设的业务安全规则进行匹配、判断所述数据包是否符合安全规则包括：在所述白名单中设置有通过验证的终端的地址或域名信息；其中，所述终端包括：手机、平板电脑；所述P-GW判断所述源地址或域名是否在所述白名单中，如果是，则确定所述SIP消息的数据包符合安全规则，并将所述SIP消息的数据包转发至通过验证的SIP设备，如果否，则确定所述SIP消息的数据包不符合安全规则，丢弃所述SIP消息的数据包。可选地，当所述P-GW判断所述目的地址或域名和所述源地址或域名都不在所述白名单中时，则确定所述SIP消息的数据包不符合安全规则，丢弃所述SIP消息的数据包。可选地，网关系统配置所述白名单中的通过验证的SIP设备的地址或域名信息、通过验证的终端的地址或域名信息；当所述P-GW确定所述SIP消息的数据包不符合安全规则、丢弃所述SIP消息的数据包时，所述P-GW向所述网管系统发送告警信息。根据本专利技术的另一个方面，提供一种分组数据网网关P-GW，包括：数据接收模块，用于接收终端发送的数据包；数据判别模块，用于提取所述数据包中的特征信息，将所述特征信息与预设的业务安全规则进行匹配，判断所述数据包是否符合安全规则；数据过滤模块，用于如果所述数据包符合安全规则，则在所述LTE网络中转发所述数据包,如果所述数据包不符合安全规则，则丢弃所述数据包。可选地，所述数据判别模块，还用于在接收到终端发送的数据包后，判断接收所述数据包的接口是否为预设的端口，如果是，则解析所述数据包并提取所述数据包中的特征信息，如果否，则在所述LTE网络中转发所述数据包；其中，所述端口包括：S5、S8、SGi。可选地，所述数据判别模块，还用于判断所述数据包是否为SIP消息数据包，如果是，则提取所述SIP消息数据包中的特征信息；其中，所述SIP消息包括：Invite消息；所述特征信息包括：源IP地址或域名、目的地址或域名。可选地，网管系统设置白名单并在所述白名单中设置有通过验证的SIP设备的地址或域名信息，所述SIP设备包括：P-CSCF、BAC、AS；所述数据判别模块，还用于判断所述SIP消息的数据包中的目的地址或域名是否在所述白名单中；所述数据过滤模块，还用于如果所述目的地址或域名在所述白名单中，将所述SIP消息的数据包转发至通过验证的SIP设备，如果所述目的地址或域名不在所述白名单中，丢弃所述SIP消息的数据包。可选地，所述网管系统在所述白名单中设置有通过验证的终端的地址或域名信息；其中，所述终端包括：手机、平板电脑；所述数据判别模块，还判断所述源地址或域名是否在所述白名单中；所述数据过滤模块，还用于如果所述源地址或域名在所述白名单中，将所述SIP消息的数据包转发至通过验证的SIP设备，如果所述源地址或域名不在所述白名单中，丢弃所述SIP消息的数据包。可选地，当所述数据判别模块，判断所述目的地址或域名和所述源地址或域名都不在所述白名单中时，则确定所述数据包不符合安全规则；所述数据过滤模块将所述数据包丢弃。根据本专利技术的又一个方面，提供一种IP多媒体子系统IMS网络，包括如上所述的P-GW。本专利技术的VOLTE业务的控制方法、P-GW和LTE网络，通过P-GW增加业务安全规则，能够防止数据包绕过IMS，使用户无法建立免费的专用承载；提出了P-GW增加协议分析，P-GW可以提供增加SIP协议识别功能并设置白名单增加鉴权方式，限制LTE网络中SIP消息的源/目的地址，从而拒绝伪造SIP消息绕过IMS，使用户无法建立免费的专用承载，并可以拒绝LTE网络中非运营商允许的SIP消息通过，从而对既有智能终端采用SIP协议的APP业务进行限制，达到在LTE网络中封杀基于SIP协议的VOIP等各类应用的功能。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员本文档来自技高网...

【技术保护点】
一种VOLTE业务的控制方法，其特征在于，包括：LTE网络中的分组数据网网关P‑GW接收到终端发送的数据包；所述P‑GW提取所述数据包中的特征信息，将所述特征信息与预设的业务安全规则进行匹配，判断所述数据包是否符合安全规则；如果是，则所述P‑GW在所述IMS网络中转发所述数据包,如果否，则所述P‑GW丢弃所述数据包。

【技术特征摘要】
1.一种VOLTE业务的控制方法，其特征在于，包括：LTE网络中的分组数据网网关P-GW接收到终端发送的数据包；所述P-GW提取所述数据包中的特征信息，将所述特征信息与预设的业务安全规则进行匹配，判断所述数据包是否符合安全规则；如果是，则所述P-GW在所述IMS网络中转发所述数据包,如果否，则所述P-GW丢弃所述数据包。2.如权利要求1所述的方法，其特征在于，所述P-GW提取所述数据包中的特征信息包括:在所述P-GW接收到终端发送的数据包后，判断接收所述数据包的接口是否为预设的端口，如果是，则解析所述数据包并提取所述数据包中的特征信息，如果否，则在所述LTES网络中转发所述数据包；其中，所述端口包括：S5、S8、SGi。3.如权利要求2所述的方法，其特征在于，所述解析所述数据包并提取所述数据包中的特征信息包括：所述P-GW判断所述数据包是否为SIP消息的数据包，如果是，则提取所述SIP消息的数据包中的特征信息；其中，所述SIP消息包括：Invite消息；所述特征信息包括：源IP地址或域名、目的地址或域名。4.如权利要求3所述的方法，其特征在于，将所述特征信息与预设的业务安全规则进行匹配、判断所述数据包是否符合安全规则包括：设置白名单并在所述白名单中设置有通过验证的SIP设备的地址或域名信息；其中，所述SIP设备包括：P-CSCF、BAC、AS；所述P-GW判断所述SIP消息的数据包中的目的地址或域名是否在所述白名单中，如果是，则确定所述SIP消息的数据包符合安全规则，并将所述SIP消息的数据包转发至通过验证的SIP设备，如果否，则确定所述SIP消息的数据包不符合安全规则，丢弃所述SIP消息的数据包。5.如权利要求4所述的方法，其特征在于，所述将所述特征信息与预设的业务安全规则进行匹配、判断所述数据包是否符合安全规则包括：在所述白名单中设置有通过验证的终端的地址或域名信息；其中，所述终端包括：手机、平板电脑；所述P-GW判断所述源地址或域名是否在所述白名单中，如果是，则确定所述SIP消息的数据包符合安全规则，并将所述SIP消息的数据包转发至通过验证的SIP设备，如果否，则确定所述SIP消息的数据包不符合安全规则，丢弃所述SIP消息的数据包。6.如权利要求5所述的方法，其特征在于，包括：当所述P-GW判断所述目的地址或域名和所述源地址或域名都不在所述白名单中时，则确定所述SIP消息的数据包不符合安全规则，丢弃所述SIP消息的数据包。7.如权利要求4至6任一项所述的方法，其特征在于，包括：网关系统配置所述白名单中的通过验证的SI...

【专利技术属性】
技术研发人员：王发光，毛安平，赵飞，宋阿芳，严学纯，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京,11