软交换网中保持防火墙/地址转换设备的端口开启的方法技术

一种软交换网中保持防火墙／地址转换设备ＮＡＴ的端口开启的方法，由边缘接入控制设备（ＢＡＣ）向ＳＩＰ终端周期性发送会话初始协议ＳＩＰ中不携带能力查询参数的ＯＰＴＩＯＮＳ消息作为心跳信号，使得在整个通信期间防火墙／ＮＡＴ设备为ＳＩＰ通信而开启的ＵＤＰ端口始终保持开启状态，ＳＩＰ终端与软交换能够顺利穿越防火墙／ＮＡＴ进行信息交流，实现安全的ＳＩＰ通信；ＳＩＰ终端则对该ＯＰＴＩＯＮＳ消息返回响应，并在发生异常时直接向ＢＡＣ发送注册消息。其中采用ＯＰＴＩＯＮＳ消息作为连接信号发往对端实体是本发明专利技术创新的心跳技术关键。操作方法步骤简单，工作可靠。且对ＢＡＣ设备的性能没有额外要求，具有普遍适用的推广应用前景。

【技术实现步骤摘要】
软交换网中保持防火墙/地址转换设备的端口开启的方法
本专利技术涉及一种软交换网中保持防火墙和/或地址转换设备的端口开启的方法，确切地说，涉及一种利用会话初始协议的信令交互功能，使软交换网中的防火墙/地址转换设备保持软交换通信过程中使用的UDP端口开启的方法，属于软交换为核心的下一代网络通信

技术介绍
以软交换为核心的下一代网络(NGN，Next Generation Network)技术已经走过了最初的协议研究和设备研发阶段，进入了NGN的商用部署阶段。在这个阶段中，网络如何组织、服务质量QoS的保证措施、网络和业务的安全保障等技术问题开始得到更多的关注。为了保证NGN的网络安全，NGN网络中增加了一个边缘接入控制设备(BAC，Border Access Control)，该设备位于软交换与终端之间(参见图1)。BAC设备的主要用途是：(1)避免由用户终端的不可信任造成核心网络设备(例如软交换、应用服务器等网元)产生不安全性。(2)终端(包括软终端或IAD设备)可能位于私网内，这些终端设备必须支持网络地址转换NAT设备的穿越功能，才能进入软交换网实现通信；即NAT设备更改了数据包的网络层地址，但是它不能更改SIP协议中表明通信地址的相关参数，需要BAC设备进行消息的转换；当通信方由于部署防火墙或严格对称的地址转换设备NAT等原因不能直接进行媒体通信时，需要BAC设备进行媒体的转接。(3)为软交换业务的QoS提供相应配合。由于BAC设备连接的终端包括有软终端和IAD终端，因此BAC与软交换之间的通信协议也有多种，典型的协议有：SIP、H.248(Megaco)和MGCP。-->本专利技术主要适用于BAC通过SIP协议与软交换进行通信的应用场合。企业网和园区局域网用户一般使用私有地址，在网络出口处，由地址转换设备NAT统一进行地址转换，以提高IP地址的使用效率。对于企业网，出于网络安全的考虑，一般在企业网与公众IP网络连接处都部署防火墙。在为企业或园区用户提供软交换业务时，上述两种设备会影响软交换业务的正常提供。对于防火墙设备，一般设置先出后进的通信策略：只有内部网的主机先向网外的主机发出通信请求后，防火墙才允许外部主机返回的数据包进入内部网。出于安全考虑，防火墙还会对已开启的端口定时进行检查，超过一定时间没有通信流量，就自动关闭该端口。对于UDP协议，防火墙的端口开启时间一般都比较短，在几分钟到几十分钟不等。对于地址转换设备，包括只进行地址转换的设备和同时进行地址和端口转换的设备，一般是在收到第一个内部网发往外部主机的数据包后，进行内部地址/端口和外部地址/端口的映射，为内部网主机分配公有地址和端口。在这个步骤之前，外部主机不知道内部主机地址，不能首先发起和内部网主机的通信。通常NAT设备也会对已分配的端口定时进行检查，关闭一定时间内没有通信流量的端口。因此，软交换业务的信令连接会遇到防火墙或地址转换设备的端口定时关闭的问题。当内部网终端发起注册后，防火墙/NAT设备打开了相应的信令端口，注册正常。在该端口开启期间，终端通信完全正常；但如果超出上述端口开启的时间间隔，终端始终没有与软交换通信——包括终端始终没有发起呼叫，也没有其他用户设备寻找该终端的情况，防火墙/NAT设备就可能将该端口关闭；此时，软交换再按注册的地址向终端发送的消息就会被丢弃，终端不能正常作为被叫。(参见图2(A))。解决防火墙/NAT设备的信令端口关闭问题的技术方案是：以短于该端口开启时长的周期不断发送消息，维持该信令端口的开启(参见图2(B)所示的一种解决方案的示意图-也是本专利技术方法的基础)。目前，用于保持端口开启的消息各不相同。-->对SIP终端而言，一个重要特征是：在使用业务之前，首先发送注册消息。当终端注册成功后，为了便于网络控制，SIP终端还会周期地不断发送注册消息，及时向网络报告自己的当前位置。鉴于注册行为本身具有周期性，与上述保持防火墙/NAT设备的信令端口开启的要求正好吻合。因此，目前有一种方法是利用注册消息作为心跳信息，维持信令端口的开启。这样，同一个注册消息将会有两种角色：一个是作为注册业务的消息，这类消息位于SIP终端与软交换之间，BAC设备需要将该类消息转发到软交换设备，这类消息的周期一般为30分钟以上；另一个是作为保持防火墙/NAT端口开启，在SIP终端与BAC之间传递的心跳信息，这类消息的周期一般为3分钟左右。由于这两个应用场合的注册消息重发周期不同，而且同一个注册消息可能会根据应用需求适配在不同场合。因此BAC需要将属于心跳的注册消息终结，而将属于注册行为的消息转发到注册服务器。此时BAC设备需要一个定时器，对周期更新的注册消息进行计次，累加到设定次数后，再将该消息转发到注册服务器，同时对计数器清零(图3展示了利用注册消息作为心跳时的BAC的操作流程)。参见图3，从图中可以看出，上述方案要求BAC具有以下功能：1)BAC设备需要记录每个用户账号当前注册的地址信息；2)由于SIP中存在同一用户账号绑定多个IP地址的情况，以及分别进行注册查询、注册注销等不同操作行为，因此BAC在对注册请求信息进行分析时，需要对每个请求消息中的Contact域(该域中填写联系地址)、Expire域(该域中填写生存周期的时长)进行判断；3)BAC需要为每个用户账号的各个相关IP地址分别开启各自的定时器；4)对于初始注册消息，BAC需要将注册服务器回应的200消息中的Expire值进行修改，再发送给终端；5)对于周期更新消息，BAC在向注册服务器转发时，需要进行修改；同时需要修改的还包括：BAC向终端转发的200消息中的Expire值；-->6)由于任何与注册相关的操作必须要求鉴权认证，BAC在实现上述功能时，必须考虑该种情况。以上6点要求对BAC的性能将是个考验，似乎很难同时满足之。因此，如何提出一种新的SIP注册消息作为维持防火墙/NAT设备的信令端口开启的心跳，使其能够普遍地适用于各种防火墙/BAC设备，就成为业内技术人员关注的新课题。
技术实现思路
有鉴于此，本专利技术的目的是提供一种软交换网中保持防火墙/地址转换设备的端口开启的方法，该方法利用会话初始协议的信令交互功能，在BAC与终端之间周期性地传送心跳信息-信令包，使得在整个通信期间防火墙/NAT设备为SIP通信而开启的UDP端口始终保持开启状态，SIP终端与软交换能够顺利穿越防火墙和NAT进行信息交流，实现安全的SIP通信。为了达到上述目的，本专利技术提供了一种软交换网中保持防火墙/地址转换设备NAT的端口开启的方法，其特征在于：由边缘接入控制BAC设备向SIP终端周期性发送会话初始协议SIP中的选择消息-OPTIONS消息而不是Register消息-作为心跳消息，以使防火墙/地址转换设备NAT维持软交换通信信令使用的端口处于开启状态，SIP终端能够在部署了防火墙和地址转换设备NAT的网络环境中实现通信功能；SIP终端对该OPTIONS消息返回响应，并在发生异常时直接向BAC发送注册消息。所述OPTIONS消息是IETF标准化组织在RFC3261中定义的一种用于会话过程中携带能力协商信息的消息，当其作为心跳消息由BAC发送给S本文档来自技高网...

【技术保护点】
一种软交换网中保持防火墙／地址转换设备ＮＡＴ的端口开启的方法，其特征在于：由边缘接入控制ＢＡＣ设备向ＳＩＰ终端周期性发送会话初始协议ＳＩＰ中的选择消息－ＯＰＴＩＯＮＳ消息－作为心跳消息，以使防火墙／地址转换设备ＮＡＴ维持其信令端口处于开启状态，ＳＩＰ终端能够穿越防火墙／ＮＡＴ实现通信功能；ＳＩＰ终端对该ＯＰＴＩＯＮＳ消息返回响应，并在发生异常时直接向ＢＡＣ发送注册消息。

【技术特征摘要】
1、一种软交换网中保持防火墙/地址转换设备NAT的端口开启的方法，其特征在于：由边缘接入控制BAC设备向SIP终端周期性发送会话初始协议SIP中的选择消息-OPTIONS消息-作为心跳消息，以使防火墙/地址转换设备NAT维持其信令端口处于开启状态，SIP终端能够穿越防火墙/NAT实现通信功能；SIP终端对该OPTIONS消息返回响应，并在发生异常时直接向BAC发送注册消息。2、根据权利要求1所述的保持防火墙/地址转换设备的端口开启的方法，其特征在于：所述OPTIONS消息是IETF标准化组织在RFC3261中定义的一种用于会话过程中携带能力协商信息的消息，当其作为心跳消息由BAC发送给SIP终端时，在当前没有特殊业务需求时，不携带能力查询参数，只是作为连接性信号发往对端实体；SIP终端收到该OPTIONS消息时，应立即返回200成功响应消息。3、根据权利要求2所述的保持防火墙/地址转换设备的端口开启的方法，其特征在于：所述OPTIONS消息组成结构中至少包括下述字段：请求的u ri地址Rquest-uri、经过的地址Via、目的地址或账号To、源地址或账号From、呼叫标识Call-ID、消息序列CSeq、消息体长度Content-Length。4、根据权利要求1所述的保持防火墙/地址转换设备的端口开启的方法，其特征在于：该方法包括下列操作步骤：(1)SIP终端经由BAC设备向软交换网络发起注册消息；(2)SIP终端注册成功后，BAC设备向SIP终端周期性发送OPTIONS消息，该消息的发送周期由BAC设备控制，且消息中不携带表征能力查询的参数；(3)SIP终端收到OPTIONS消息时，立即返回成功响应；(4)BAC设备判断其是否收到SIP终端返回的成功响应，如果接收到SIP终端返回的成功响应，则顺序执行后续操作；...

【专利技术属性】
技术研发人员：陆立，梁柏青，张鹏生，吕屹，娄颖，
申请(专利权)人：广东省电信有限公司研究院，
类型：发明
国别省市：81[中国|广州]