技術領域

本發明涉及核心網技術領域，尤其涉及一種核心網信令傳輸方法及系統。

背景技術

目前業界IMS核心網絡面向公網側的安全是由CMNET防火墻和SBC實現。SBC相當于做了一次NAT轉換（應用層防火墻）。SBC與核心網間通訊是靠IMS用戶網絡邊緣設備（Customer Edge，CE）進行訪問控制。

核心網內部各個網元間信令通訊也是依靠IMS CE進行疏通，如CSCF訪問HSS或AS，通過在IMS CE上部署ACL實現訪問控制。

由于CE屬于路由器，只能實現單向會話控制，如果做雙向控制會導致CE路由條目非常多，影響其路由性能。單向會話控制就會導致IMS核心網絡受某些攻擊的可能性（如盲攻，不需要收響應便發送大量數據包）。

另外IMS核心網絡根據不同的業務功能和安全需求劃分了許多安全域，不同域內的網元具有不同的安全等級，如果采用CE進行域間業務疏通是無法進行區分安全等級保護的，從而無法實現安全域間設備通訊的有效訪問控制。

發明內容

為了解決現有技術中核心網內部設備之間訪問安全性較低的技術問題，本發明提出一種核心網信令傳輸方法及系統。

本發明的一個方面，提供一種核心網信令傳輸方法，包括：接入側設備通過第一防火墻裝置發送接入信令到核心網內的接入代理服務器；所述接入代理服務器通過第二防火墻裝置與所述核心網內的其他設備交互信令。

本發明的另一個方面，提供一種核心網信令傳輸系統，其特征在于，包括：接入側設備、第一防火墻裝置、第二防火墻裝置、核心網內的接入代理服務器及核心網內的其他設備；其中，接入側設備通過第一防火墻裝置發送接入信令到核心網內的接入代理服務器；所述接入代理服務器通過第二防火墻裝置與所述核心網內的其他設備交互信令。

本發明的核心網信令傳輸方法及系統，通過引入雙層防火墻，即在接入代理服務器與核心網其他設備之間增加一個防火墻，提高了核心網內部設備的安全性。

另外，通過為核心網內不同設備劃分不同安全等級的安全域，有效地在不同安全域之間通過核心網內部防火墻進行雙向訪問控制，進一步提高了核心網內部設備的安全性。

附圖說明

圖1是本發明各個接入點安全風險分析示意圖；

圖2是本發明安全域劃分示意圖；

圖3是本發明核心網信令傳輸系統實施例的結構圖；

圖4是本發明核心網信令傳輸系統實施例的網絡拓撲圖；

圖5是本發明AS業務的組網拓撲圖。

具體實施方式

IMS系統是全IP的開放式系統，所以安全問題是IMS系統的首要問題，關系著最終商業應用能否成功。IMS網絡嚴格意義上是運營商第一個運營的VOIP系統，網絡安全因素涉及眾多，必須有效防護、才能確保集團業務的穩定安全。

由于靠CE疏通IMS核心網元的信令業務無法實現雙向訪問控制和和根據不同安全域的等級區分保護等缺陷，我們在IMS核心網絡中研究使用防火墻代替CE，來疏通IMS核心網不同安全域的網元間信令互訪業務，從而實現IMS網元真正的信令雙向會話訪問控制，達到IMS應用層面精細化安全管控。

也就是說，在IMS核心網中面向CMNET側引入雙層異構防火墻架構：外側仍沿用CMNET防火墻，內側新增安全域防火墻、代替CE負責信令疏通，旨在對IMS不同安全域間的訪問進行有效控制，做到真正的雙向會話控制，根據承載業務等級進行區分對待。

首先，我們需要找到IMS核心網絡可能有安全問題的接入點，并分析威脅：

如圖1所示，不同接入點的安全風險由大到小，排列順序如下：

CMnet接入點、AS接入點、MDCN接入點、MDN接入點、IPBB接入點。

下面就各個接入點的安全風險進行描述：

1、CMNet接入點Gm，可能遇到來自Internet的攻擊，尤其是DoS。

2、AS(Portal)接入點ISC，由于部分AS有WEB Portal直接連CMNET或Internet，所以一旦AS被攻破，就會對IMS核心網造成威脅。

3、IPBB接入點，IPBB上連有企業專網，如果IPBB出現問題，造成企業專網和IMS專網連通，就會有安全隱患。

4、MDCN接入點，BOSS通過MDCN接到IMS。由于涉及開銷戶和計費，所以對安全要求很高。

5、MDN接入點，網管通過MDN網絡連接IMS，由于涉及告警和性能數據上傳，安全需求較高。