【技术实现步骤摘要】
本专利技术涉及通信,具体是一种基于sip协议和操作系统防火墙的内外网交互系统。
技术介绍
1、随着计算机科学技术的进步,基于分组交换技术的互联网协议(internetprotocol,ip)数据网络以其便捷性和廉价性,取代了基于电路交换的传统电话网在通信领域的核心地位。会话初始协议(session initiation protocol,sip)作为应用层信令控制协议,可以为多种即时通信业务提供完整的会话创建和会话更改服务,由此,sip协议的安全性对于即时通信的安全起着至关重要的作用。
2、目前sip协议的java实现方式为jain sip,但是sip堆栈在初始化时需要传入一个具体的ip地址及端口进行监听,当传入内网ip时就监听不到外网访问,当传入外网ip就监听不到内网访问;同时在基于sip的软交换系统中,经常有一些sip服务系统在公有云上或者wan环境下出现被注册和盗打的攻击,导致sip服务出现卡壳或者无法提供服务的情况;基于以上不足,本专利技术提出一种基于sip协议和操作系统防火墙的内外网交互系统。
技术实现思路
1、本专利技术旨在至少解决现有技术中存在的技术问题之一。为此,本专利技术提出一种基于sip协议和操作系统防火墙的内外网交互系统。
2、为实现上述目的,根据本专利技术的第一方面的实施例提出一种基于sip协议和操作系统防火墙的内外网交互系统,包括数据编辑模块、sip服务器、呼叫请求发送模块和数据传输模块;
3、所述数据编辑模块用于sip
4、所述呼叫请求发送模块用于响应于对目标媒体流的上传操作,向sip服务器发送第一呼叫请求;所述sip服务器接收到第一呼叫请求后向ip验证模块转发与第一呼叫请求对应的第一响应消息进行合法性验证;
5、所述ip验证模块的具体验证步骤为:
6、首先对目标外网ip进行白名单验证;若目标外网ip在白名单范围内,且权限允许,则判定所述第一呼叫请求合法;
7、若目标外网ip不在白名单范围内,则对目标外网端口进行抓包,抓包内容包括呼叫消息、注册消息以及响应消息;根据非法呼叫的时空分布情况计算得到所述目标外网ip的非法指数fz;
8、若fz>预设非法阈值,则判定第一呼叫请求不合法,并将所述目标外网ip作为攻击源ip加入防火墙,禁止攻击源ip的消息到达sip服务器;
9、若fz≤预设非法阈值,则对所述目标外网ip进行访问控制,并向sip服务器关联的移动终端发送包括所述目标外网ip的提醒信息,以提醒管理人员确认所述第一呼叫请求是否合法;若合法,则允许访问;
10、若所述第一呼叫请求合法,则数据传输模块用于接收sip客户端通过目标外网ip地址发送的目标媒体流,并将目标媒体流发送至第一呼叫请求中的内网ip地址和内网端口。
11、进一步地,根据非法呼叫的时空分布情况计算得到所述目标外网ip的非法指数fz,具体包括:
12、根据呼叫消息解析出主叫号码,被叫号码信息;通过号码匹配设置的合法参数,不在参数内的视为一次非法呼叫;号码合法但是注册或者呼叫返回403错误的也视为一次非法呼叫;
13、在预设时间段内,统计所述目标外网ip呼叫和注册的总次数为hz;统计所述目标外网ip的非法呼叫占比为hb;
14、截取相邻非法呼叫之间的时间段为非法缓冲时间段,统计每个非法缓冲时间段内所述目标外网ip呼叫和注册的总次数为非法缓冲频次li;
15、对非法缓冲频次li进行等级评判得到评价信号;所述评价信号包括长期缓冲信号、中期缓冲信号以及短期缓冲信号;
16、统计长期缓冲信号、中期缓冲信号以及短期缓冲信号各自相较于评价信号次数的占比并依次标记为zb1、zb2、zb3;利用公式fz=f×hb×(zb3×3+zb2×2)/(zb1×hz×a1)计算得到所述目标外网ip的非法指数fz,其中f为预设均衡因子;a1为预设比例系数。
17、进一步地,所述第一呼叫请求包括sip客户端的外网ip地址和外网端口号,以及与外网ip地址和外网端口号匹配的内网ip地址和内网端口号;所述第一响应消息中包括:sip客户端向sip服务器发送目标媒体流所使用的目标外网ip地址。
18、进一步地,其特征在于,设置的合法参数包括:主叫分机或者被叫号码长度默认4-12位,首位主叫和被叫字冠匹配,默认分机主叫1-9,被叫默认0-9。
19、进一步地,还包括数据库;所述数据库用于根据企业内网访问的具体环境,设定允许访问企业内网的网络ip及其拥有的访问权限,生成企业内网特有的网络访问白名单。
20、进一步地,对非法缓冲频次li进行等级评判得到评价信号,具体包括:将非法缓冲频次li与预设缓冲阈值相比较;所述预设缓冲阈值包括x1、x2;且x2<x1;当li≥x1时,此时评价信号为长期缓冲信号;
21、当x2≤li<x1时,此时评价信号为中期缓冲信号;当li<x2时,此时评价信号为短期缓冲信号。
22、与现有技术相比,本专利技术的有益效果是:
23、1、本专利技术中呼叫请求发送模块用于响应于对目标媒体流的上传操作,向sip服务器发送第一呼叫请求;sip服务器接收到第一呼叫请求后向ip验证模块转发与第一呼叫请求对应的第一响应消息进行合法性验证;ip验证模块首先对目标外网ip进行白名单验证;若目标外网ip不在白名单范围内,则对目标外网端口进行抓包,抓包内容包括呼叫消息、注册消息以及响应消息;根据非法呼叫的时空分布情况计算得到目标外网ip的非法指数fz;若fz大于预设非法阈值,则判定第一呼叫请求不合法,并将目标外网ip作为攻击源ip加入防火墙,禁止攻击源ip的消息到达sip服务器,提高网络安全;
24、2、本专利技术中若第一呼叫请求合法,则数据传输模块用于接收sip客户端通过目标外网ip地址发送的目标媒体流,并将目标媒体流发送至第一呼叫请求中的内网ip地址和内网端口;解决了现有技术中内外网设备之间无法进行消息互通的问题,通过在消息交互过程中进行内外网ip地址的转换,实现内外网互通,同时提高内外网交互安全。
本文档来自技高网...【技术保护点】
1.一种基于SIP协议和操作系统防火墙的内外网交互系统,其特征在于,包括数据编辑模块、SIP服务器、呼叫请求发送模块和数据传输模块;
2.根据权利要求1所述的一种基于SIP协议和操作系统防火墙的内外网交互系统,其特征在于,根据非法呼叫的时空分布情况计算得到所述目标外网IP的非法指数FZ,具体包括:
3.根据权利要求2所述的一种基于SIP协议和操作系统防火墙的内外网交互系统,其特征在于,所述第一呼叫请求包括SIP客户端的外网IP地址和外网端口号,以及与外网IP地址和外网端口号匹配的内网IP地址和内网端口号;所述第一响应消息中包括:SIP客户端向SIP服务器发送目标媒体流所使用的目标外网IP地址。
4.根据权利要求2所述的一种基于SIP协议和操作系统防火墙的内外网交互系统,其特征在于,设置的合法参数包括:主叫分机或者被叫号码长度默认4-12位,首位主叫和被叫字冠匹配,默认分机主叫1-9,被叫默认0-9。
5.根据权利要求2所述的一种基于SIP协议和操作系统防火墙的内外网交互系统,其特征在于,还包括数据库;所述数据库用于根据企业内网访问的
6.根据权利要求2所述的一种基于SIP协议和操作系统防火墙的内外网交互系统,其特征在于,对非法缓冲频次Li进行等级评判得到评价信号,具体包括:
...【技术特征摘要】
1.一种基于sip协议和操作系统防火墙的内外网交互系统,其特征在于,包括数据编辑模块、sip服务器、呼叫请求发送模块和数据传输模块;
2.根据权利要求1所述的一种基于sip协议和操作系统防火墙的内外网交互系统,其特征在于,根据非法呼叫的时空分布情况计算得到所述目标外网ip的非法指数fz,具体包括:
3.根据权利要求2所述的一种基于sip协议和操作系统防火墙的内外网交互系统,其特征在于,所述第一呼叫请求包括sip客户端的外网ip地址和外网端口号,以及与外网ip地址和外网端口号匹配的内网ip地址和内网端口号;所述第一响应消息中包括:sip客户端向sip服务器发送目标媒体流所使用的目标外网ip地址...
【专利技术属性】
技术研发人员:韩国仕,
申请(专利权)人:安徽云影智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。