[发明专利]一种封堵IMS业务异常呼叫的方法及装置

说明书

本发明公开了一种封堵IMS业务异常呼叫的方法及装置，用以解决现有技术中存在无法预防网络中利用IMS的Transit功能漏洞攻击的问题。该方法包括：接收查询呼叫会话控制实体发送的转发呼叫的请求消息，该转发呼叫的请求消息中携带被叫号码，该转发呼叫的请求消息是查询呼叫会话控制实体从归属用户服务器获取不到转发呼叫的主叫号码的用户数据时发送的；检查上述转发呼叫的请求消息中携带的被叫号码的格式；当确定该被叫号码格式不符合预先定义的呼叫允许通过的策略时，终止转发呼叫。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种封堵IMS业务异常呼叫的方法及装置。

背景技术

目前IMS(IP多媒体系统)核心网络安全是由防火墙和SBC(会话边界控制器)实现。在核心网内部各个网元间的信令交互是通过CE(用户边缘设备)或者防火墙进行疏通的。

作为开放的多媒体业务平台，IMS随时面临着非法用户针对网络漏洞进行的各个层面的攻击，包括但不限于接入层、信令控制层、媒体层和业务层等。现有IMS安全防护措施都是基于网络层面(如在防火墙、SBC上部署安全策略)去防护，但IMS毕竟是基于网络运营的voip(网络语音电话业务)，且SIP(会话发起协议)的开放性特点，非常有可能被非法用户利用，而进行业务层面的攻击。尤其针对IMS网路中的Transit(转接)功能的漏洞，该漏洞可以被非法用户利用，进行欺骗呼叫等非法通信行为，比如可以被境外的非法用户利用，导致大量的非法国际呼叫产生，给用户、运营商等带来极大的损失，甚至可能损坏国家形象或者危及国家安全。

Transit(转接)是IMS网络中提供的一种网络桥接功能，目的是为非本域IMS用户找寻可达的路径。

正是IMS网络中提供了Transit的功能，当IMS网络打开Transit功能后，使得非法终端用户利用Transit的功能漏洞可以实施欺骗呼叫。下面以非法终端用户利用Transit功能漏洞实施呼叫为例，具体利用Transit疏通流程如下：

非法终端使用境外的IP作为源IP地址，从拜访省(简称A省)的SBC和P-CSCF(代理呼叫会话控制)进行注册。虽然该终端所使用的是C省移动的IMS号段，但是其域名使用的确实B省的IMS域名。所以A省的P-CSCF确定是B省的IMS用户漫游到该省，故将其注册消息转发给B省的IMS网络。由于B省的IMS网络并没有C省的IMS号段的数据，故返回结果为注册失败。

尽管是注册失败，该终端仍然能够向A省的SBC和P-CSCF发送呼叫请求消息。A省的IMS网络通过I-CSCF(查询呼叫会话控制)，将呼叫请求消息发送给B省的IMS网络的I-CSCF。

在B省的I-CSCF接收到A省IMS网络中I-CSCF发送的请求消息后，在HSS(归属用户服务器)中查询不到该终端的注册状态。这样I-CSCF认为是一个落地呼叫(呼叫在本网络即能疏通接续，无需转接到其他网络)，并且需要Breakout。由于I-CSCF具有transit功能，I-CSCF将这个呼叫作为一个Transitcall转到TRCF(过境路由控制功能，I/S-CSCF的一个组件，用于实现Transit功能),TRCF把呼叫转给BGCF(出口网关控制功能)处理，从而经过MGCF(媒体网关控制功能)到CS域，并从国际关口局发出，最终导致该国际呼叫被接通(被叫为国外某IVR)。

发明内容

本发明实施例提供了一种封堵IMS业务异常呼叫的方法及装置，用以解决现有技术中存在无法预防网络中利用IMS的Transit功能漏洞攻击的问题。

本发明实施例提供了一种封堵IMS业务异常呼叫的方法，该方法包括：

接收I-CSCF发送的转发呼叫的请求消息，该转发呼叫的请求消息中携带被叫号码，该转发呼叫的请求消息是I-CSCF从HSS获取不到转发呼叫的主叫号码的用户数据时发送的；

检查上述转发呼叫的请求消息中携带的被叫号码的格式；