本发明专利技术公开了一种包过滤的实现方法,该方法包括:在媒体网关控制器中设置基于互联网协议版本6(IPv6)包头中唯一确定媒体流的基本特征的包过滤信息,媒体网关传递媒体流时,利用媒体网关控制器下发的包过滤信息对该媒体流进行包过滤后传递。本发明专利技术方法在承载为基于IPv6的分组网中,实现了对媒体流的包过滤处理,而且由于本发明专利技术包过滤信息中的过滤条件是能从IP包头中获得的唯一确定媒体流的基本特征的三元组信息,从而降低了包过滤的复杂度。
【技术实现步骤摘要】
本专利技术涉及网络通信安全技术,尤指一种在下一代网络(NGN)中,承载为互联网协议版本6(IPv6)的分组网中包过滤的实现方法。
技术介绍
图1是NGN中的单网络的组网示意图,如图1所示,媒体网关控制器(MGC,Media Gateway Controller)和媒体网关(MG,Media Gateway)是NGN中的两个关键构件。MGC负责呼叫控制功能,MG负责业务承载功能,以此实现呼叫控制平面和业务承载平面的分离,从而可充分共享网络资源,并简化了设备升级和业务扩展,大大降低了开发和维护成本。在MGC的控制下,MG与MG之间通常建立实时传输协议(RTP)媒体流进行通信。 为了使MG与MGC协同工作,在MGC与MG之间需要使用控制协议,媒体网关控制协议是MG和MGC之间通信的主要协议,目前应用较为广泛的有H.248/MeGaCo和媒体网关控制协议(MGCP,Media Gateway ControlProtocol)两种协议。 以H.248协议为例,MG上的各种资源被抽象表示为终端(Termination),终端分为物理(Physical)终端和临时(Ephemeral)终端。物理终端指具有半永久存在性的物理实体如时分复用(TDM,Time Division Multiplex)通道等。临时终端指临时申请,使用后释放的公共资源,例如RTP媒体流等。特别的,根(Root)终端指MG整体。终端之间的组合被抽象表示为上下文(Context),上下文可以包含多个终端,因而以拓扑(Topology)来描述终端间的相互关系。 基于媒体网关控制协议的这种抽象模型,呼叫的接续实际上就是对终端和上下文的操作,而这种操作通过MGC和MG之间的命令(Command)、请求(Request)和响应(Reply)来完成。其中,命令类型包括添加(Add)、修改(Modify)、删减(Subtract)、移动(Move)、审计值(AuditValue)、审计能力(AuditCapabilities)、通报(Notify)、服务改变(ServiceChange)等,命令的参数也称为描述符(Descriptor),被分为属性(Property)、信号(Signal)、事件(Event)和统计(Statistic),具有业务相关性的参数逻辑上聚合成为包(Package)。 在MGC的控制下,MG承担着媒体流在用户和分组网之间,以及不同IP域的分组网之间的转换和传递。图2是NGN中的IP跨域互通的组网示意图,如图2所示,系统中采用两个网域IPa、IPb。MGCa和MGCb分别是IPa网域和IPb网域内的媒体网关控制器,分别用于控制IPa网域和IPb网域的MG。MGia和MGib为边缘MG,用于实现相邻网域媒体网关之间的通信。MGa可在普通老式电话业务(POTS)用户和RTP媒体流之间、MGb可在TDM中继和RTP媒体流之间、MGia和MGib可在RTP媒体流之间分别进行媒体转换和传递。 为了保证服务质量和通信安全,MGC应该对MG传递(接收和发送)的媒体流进行包过滤(Packet filtering),即允许/禁止符合某些特征的特定媒体流输入或输出该MG。 目前,在承载为基于IPv4的分组网中,可以使用“源地址、源端口、目的地址、目的端口、协议类型”五元组作为基本特征唯一地确定一媒体流,从而可以利用五元组中的元素来对某个特定的媒体流进行包过滤。但是,由于五元组中的元素并不能全部从IP包头获得,有的元素如源/目的端口需要通过解析IP包体后才能获得,而IP包体含有更高层协议或者分段、加密等因素,使得解析相对比较困难,从而增加了包过滤的复杂度。 在承载为基于IPv6的分组网中,除了使用上述五元组之外,还可以使用“源地址、目的地址、流标签”三元组作为基本特征唯一地确定一媒体流,三元组中的元素均能从IPv6包头中获得。其中,流标签用于标识属于同一媒体流的包,流标签在该包所属媒体流的发送端被赋予该媒体流,并在一定的时限内保持唯一。然而目前,在承载为基于IPv6的分组网中,MGC控制MG对媒体流进行包过滤还没有应用上述三元组的具体实现方法。
技术实现思路
有鉴于此,本专利技术的主要目的在于提供,能够简单地在承载为基于IPv6的分组网中对媒体流进行包过滤。 为达到上述目的,本专利技术的技术方案具体是这样实现的,该方法包括以下步骤A.在媒体网关控制器中设置基于互联网协议版本6 IPv6包头中唯一确定媒体流的基本特征的包过滤信息;B.媒体网关传递媒体流时,利用媒体网关控制器下发的包过滤信息对该媒体流进行包过滤后传递。 所述包过滤信息分别针对媒体流的入向和/或出向设置。 所述包过滤信息包括过滤条件信息和过滤控制信息。 所述过滤控制信息包括源地址过滤开关,表示是否使用所述源地址参与对媒体流进行包过滤;目的地址过滤开关,表示是否使用所述目的地址参与对媒体流进行包过滤;流标签过滤开关,表示是否使用所述流标签参与对媒体流进行包过滤;组合关系,表示各过滤条件信息之间为或/与的关系;组合效果,表示对符合所述过滤条件的媒体流允许或禁止传递。 所述过滤条件信息包括携带在IPv6包头的唯一确定媒体流的基本特征三元组中的源地址、和/或目的地址,和/或用于标识属于同一媒体流的包的流标签。 在所述媒体网关控制器与媒体网关间采用H.248协议时,步骤A中所述设置包过滤信息的方法为分别设置所述包过滤信息中包含的各信息为相应的属性。 所述属性包括 流标签掩码FLM属性,用于表示所述包过滤信息中的流标签信息,为字符串类型,占用20bit;源地址掩码SAM属性,用于表示所述包过滤信息中的源地址信息,为字符串类型,占用128bit,采用16进制分段表示;目的地址掩码DAM属性,用于表示所述包过滤信息中的目的地址信息,为字符串类型,占用128bit,采用16进制分段表示;流标签过滤FLF属性,用于表示所述包过滤信息中的流标签过滤开关信息,为布尔类型,取值为关或开,缺省值为关;源地址过滤SAF属性,用于表示所述包过滤信息中的源地址过滤开关信息,为布尔类型,取值为关或开,缺省值为关;目的地址过滤DAF属性,用于表示所述包过滤信息中的目的地址过滤开关信息,为布尔类型,取值为关或开,缺省值为关;组合关系CR属性,用于表示所述包过滤信息中的组合关系信息,为布尔类型,取值为与或或,缺省值为与;组合效果CE属性,用于表示所述包过滤信息中的组合效果信息,为布尔类型,取值为允许或禁止,缺省值为允许。 所述属性设置在已有包或新增的专门用于设置基于IPv6包头中唯一确定媒体流的基本特征的包过滤信息的包中。 所述包包括对所述媒体网关接收的媒体流进行包过滤的入向包过滤FLIPF包、对所述媒体网关发送的媒体流进行包过滤的出向包过滤FLOPF包。 步骤B中所述对媒体流进行包过滤的方法为若所述FLF属性、SAF属性、DAF属性中取值为开,则应用与自身对应的过滤条件与所述媒体流的相应特征进行比较;若所述CR属性取值为与,所述媒体流的相应特征均符合所述被应用的过滤条件,则比较结果为真,若CR属性取值为或,所述媒体流的相应特征符合所述被应用的过滤条件之一,则比较结果为真;若所述CE属性取值为允许本文档来自技高网...
【技术保护点】
一种包过滤的实现方法,其特征在于,该方法包括以下步骤:A.在媒体网关控制器中设置基于互联网协议版本6IPv6包头中唯一确定媒体流的基本特征的包过滤信息;B.媒体网关传递媒体流时,利用媒体网关控制器下发的包过滤信息对该媒体流进行包过滤后传递。
【技术特征摘要】
1.一种包过滤的实现方法,其特征在于,该方法包括以下步骤A.在媒体网关控制器中设置基于互联网协议版本6 IPv6包头中唯一确定媒体流的基本特征的包过滤信息;B.媒体网关传递媒体流时,利用媒体网关控制器下发的包过滤信息对该媒体流进行包过滤后传递。2.根据权利要求1所述的方法,其特征在于,所述包过滤信息分别针对媒体流的入向和/或出向设置。3.根据权利要求1所述的方法,其特征在于,所述包过滤信息包括过滤条件信息和过滤控制信息。4.根据权利要求3所述的方法,其特征在于,所述过滤控制信息包括源地址过滤开关,表示是否使用所述源地址参与对媒体流进行包过滤;目的地址过滤开关,表示是否使用所述目的地址参与对媒体流进行包过滤;流标签过滤开关,表示是否使用所述流标签参与对媒体流进行包过滤;组合关系,表示各过滤条件信息之间为或/与的关系;组合效果,表示对符合所述过滤条件的媒体流允许或禁止传递。5.根据权利要求3或4所述的方法,其特征在于,所述过滤条件信息包括携带在IPv6包头的唯一确定媒体流的基本特征三元组中的源地址、和/或目的地址,和/或用于标识属于同一媒体流的包的流标签。6.根据权利要求1所述的方法,其特征在于,在所述媒体网关控制器与媒体网关间采用H.248协议时,步骤A中所述设置包过滤信息的方法为分别设置所述包过滤信息中包含的各信息为相应的属性。7.根据权利要求6所述的方法,其特征在于,所述属性包括流标签掩码FLM属性,用于表示所述包过滤信息中的流标签信息,为字符串类型,占用20bit;源地址掩码SAM属性,用于表示所述包过滤信息中的源地址信息,为字符串类型,占用128bit,采用16进制分段表示;目的地址掩码DAM属性,用于表示所述包过滤信息中的目的地址信息,为字符串类型,占用128bit,采用16进制分段表示;流标签过滤FLF属性,用于表示所述包过滤信息中的流标签过滤开关信息,为布尔类型,取值为关或开,缺省值为关;源地址过滤SAF属性,用于...
【专利技术属性】
技术研发人员:林扬波,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。