本发明专利技术公开了信令防火墙系统及实现方法,本系统通过信令链路连接于信令网与若干第三方平台之间,本系统包括与所述若干第三方平台一一对应的若干台信令防火墙设备,以及一业务管理平台,其中每台信令防火墙设备通过所述各信令链路连接于所述信令网与对应的第三方平台之间,同时连接所述业务管理平台。实现方法包括以下步骤:事件检测与事件处理分配步骤,屏蔽分析处理步骤。本发明专利技术重点在于对网络中接入第三方平台应用时的网络安全保障,能够对于第三方平台发起的“不可信”信令进行规范化,对于违规消息进行过滤,从规范第三方平台消息规范的角度对信令网进行安全保障。
【技术实现步骤摘要】
本专利技术涉及网络通信
,尤其涉及一种。
技术介绍
随着移动网增值业务的发展,越来越多的第三方增值平台应用接入电信运营商的信令网。传统观念中的信令网绝对安全的概念正在渐渐淡化,随着应用的增加,信令消息中也出现了 “可信”信令和“不可信”信令之分。所谓“不可信”信令,通常是指由于第三方应用平台发起的信令消息部分,这部分的信令由于应用的千差万别,往往极具个性化和可写化。即“不可信”信令存在根据应用可随意修改的特征,这种特征造成了维护上极大的压力,使得管理更加无序化,给信令网安全 也造成极大隐患。目前,电信运营商对这部分“不可信”信令的管理主要通过制度实现,对于第三方平台的业务监管,在技术手段上尚是空白。只能通过事后投诉或者定期信令分析来发现第三方平台发送非授权消息等情况,效率低下,无法做到实时保障。本申请人在申请日为2009年12月31日,申请号为“200910247839. 4”的专利技术专利中公开了基于无信令点方式接入信令防火墙的思想,即系统由接入于信令网的若干台消息处理机装置和管理服务器构成,消息处理机装置以无信令点编码方式串接于需要对信令消息进行选通与过滤的信令链路中,在信令消息流经该装置时执行对信令消息的选通与过滤操作,达到信令防火墙的作用。然而,却未从信令防火墙对第三方平台的信令管控角度,阐述信令防火墙针对平台应用的信令消息管控方式,以及应用规则制定原则。
技术实现思路
本专利技术的目的在于克服现有技术的缺陷而提供一种,从而在不改变现有电信网的基础上,通过在第三方平台接入的信令链路中引入独立的防火墙系统,方便、安全、有效地实现信令网消息的合法规范,同时对现有通信网交换设备和信令设备也不需要增加额外的处理能力。实现上述目的的技术方案是本专利技术之一的一种信令防火墙系统,它通过信令链路连接于信令网与若干第三方平台之间,该系统包括与所述若干第三方平台一一对应的若干台信令防火墙设备,以及一业务管理平台,其中每台信令防火墙设备,通过所述各信令链路连接于所述信令网与对应的第三方平台之间,同时连接所述业务管理平台;所述每台信令防火墙设备具有三个功能,第一,采集和分析链路中传输的信令消息,识别消息源,判断消息代码和内容,执行对触发规则的消息进行屏蔽操作;第二,将采集的相关信令消息和屏蔽的信令消息发送到所述业务管理平台;第三,执行来自业所述务管理平台的业务规则同步修改命令,并定时向所述业务管理平台报告工作状态;业务管理平台,通过数据接口与所述各信令防火墙设备相连;其具有三个功能,第一,接收所述各信令防火墙设备发送的相关信令消息和屏蔽的信令消息,并对消息按业务规则进行统计分析,形成准实时的非法消息拦截的业务规则;第二,对所述各信令防火墙设备数据库实施非法消息拦截业务规则数据的同步修改,完成该数据库的装载或核对请求;第三,检测所述各信令防火墙设备的工作状态。上述的信令防火墙系统,其中,所述的信令链路包括TDM(时分复用)链路和IP(互联网通讯协定)承载的IP链路。上述的信令防火墙系统,其中,所述的各信令防火墙设备以匹配串接方式连接在所述信令链路上,且各信令防火墙设备检测流经各自的双向信令消息。上述的信令防火墙系统,其中,所述的各信令防火墙设备以高阻跨接方式连接在 所述信令链路上,且各信令防火墙设备检测流经各自的双向信令消息。上述的信令防火墙系统,其中,所述的各信令防火墙设备是无信令点编码的独立设备,其各自连接于所述信令网与对应第三方平台之间需对信令消息进行识别与处理操作的所述信令链路。上述的信令防火墙系统,其中,所述的各信令防火墙设备在执行消息屏蔽操作时,根据地址消息中的业务发起用户的号码查询号码关联数据库,即数据表,检测分析与该号码相关联的规则逻辑,当识别到业务发起号码为白名单用户时,则消息直通传递;当业务发起号码为黑名单用户或消息为非授权消息时,将消息屏蔽,并由所述业务管理平台做后续存储等相应的处理。上述的信令防火墙系统,其中,所述的各信令防火墙设备为各自独立的设备,可以被集成于电信设备内,也可以附作第三方平台必需的伴侣式安全保障设备。本专利技术之二的一种信令防火墙系统的实现方法,包括下列步骤事件检测与事件处理分配步骤,所述信令防火墙设备检测一种事件,若该事件是检测到传送中的信令消息,且识别到该信令消息为业务规则触发消息类型时,进行下一步骤;屏蔽分析处理步骤,所述信令防火墙设备根据消息源地址、消息目的地址、消息操作码、消息含的业务用户号码进行识别,根据各识别结果选择对该信令消息进行屏蔽,或透传该信令消息。在上述的信令防火墙系统的实现方法中,其中,所述的屏蔽分析处理步骤包括首先,所述信令防火墙设备提取消息操作码,判断所述信令消息是否是业务授权消息类型,若否,则对该信令消息进行屏蔽并将屏蔽结果传送给所述业务管理平台记录统计,若是授权消息类型,则进行下一步骤;其次,所述信令防火墙设备分析该信令消息的消息源和目的地址,判断该信令消息是否由授权的平台发起,以及是否发往授权的收端网元,若都符合,则进一步下一步骤,否则对该信令消息进行屏蔽则对该信令消息进行屏蔽并将屏蔽结果传送给所述业务管理平台记录统计;最后,所述信令防火墙设备分析该信令消息内所含的用户号码,是否是登记的注册用户,如果符合,则透传该消息,如果不符合则对该信令消息进行屏蔽并将屏蔽结果传送给所述业务管理平台记录统计。本专利技术的有益效果是本专利技术通过在第三方平台接入的信令链路中引入独立的防火墙系统,方便、安全、有效地实现信令网消息的合法规范。同时,在不对现有通信网络结构进行大的改造前提下,通过对信令网中接入第三方平台的信令实时监控,分析出“不可信”的信令消息并进行屏蔽,填补了对第三方平台的监管空白,避免了改造相关网元带来的业务流程改变、投资大、实施困难、不易引入新功能、维护复杂等问题。也不需要增加现有网络设备的额外处理能力,以较少的投入,独立于现有通信网络,在规模庞大的多运营商移动通信网上,提供了对信令网的安全保障。附图说明图I是本专利技术之一的信令防火墙系统的组网示意图;图2是本专利技术之一的信令防火墙设备应用协 议图;图3是本专利技术之一的信令防火墙系统的处理流程示意图。具体实施例方式下面将结合附图对本专利技术作进一步说明。请参阅图I并结合图2,本专利技术之一的信令防火墙系统,它通过信令链路连接于信令网I与若干第三方平台2之间,该系统包括与若干第三方平台2 —一对应的若干台信令防火墙设备3,以及一业务管理平台4,其中每台信令防火墙设备3,通过各信令链路连接于信令网I与对应的第三方平台2之间,同时连接业务管理平台4 ;每台信令防火墙设备3具有三个功能,第一,采集和分析链路中传输的信令消息,识别消息源,判断消息代码和内容,执行对触发规则的消息进行屏蔽操作;第二,将采集的相关信令消息和屏蔽的信令消息发送到业务管理平台4 ;第三,执行来自业务管理平台4的业务规则同步修改命令,并定时向业务管理平台4报告工作状态;业务管理平台4,通过数据接口与各信令防火墙设备3相连;其具有三个功能,第一,接收各信令防火墙设备3发送的相关信令消息和屏蔽的信令消息,并对消息按业务规则进行统计分析,形成准实时的非法消息拦截的业务规则;第二,对各信令防火墙设备3数据库(图中未示)实施非法消息拦截业务规则数据的同步修改,完成本文档来自技高网...
【技术保护点】
一种信令防火墙系统,它通过信令链路连接于信令网与若干第三方平台之间,其特征在于,该系统包括与所述若干第三方平台一一对应的若干台信令防火墙设备,以及一业务管理平台,其中:每台信令防火墙设备,通过所述各信令链路连接于所述信令网与对应的第三方平台之间,同时连接所述业务管理平台;所述每台信令防火墙设备具有三个功能,第一,采集和分析链路中传输的信令消息,识别消息源,判断消息代码和内容,执行对触发规则的消息进行屏蔽操作;第二,将采集的相关信令消息和屏蔽的信令消息发送到所述业务管理平台;第三,执行来自业所述务管理平台的业务规则同步修改命令,并定时向所述业务管理平台报告工作状态;业务管理平台,通过数据接口与所述各信令防火墙设备相连;其具有三个功能,第一,接收所述各信令防火墙设备发送的相关信令消息和屏蔽的信令消息,并对消息按业务规则进行统计分析,形成准实时的非法消息拦截的业务规则;第二,对所述各信令防火墙设备数据库实施非法消息拦截业务规则数据的同步修改,完成该数据库的装载或核对请求;第三,检测所述各信令防火墙设备的工作状态。
【技术特征摘要】
1.一种信令防火墙系统,它通过信令链路连接于信令网与若干第三方平台之间,其特征在于,该系统包括与所述若干第三方平台一一对应的若干台信令防火墙设备,以及一业务管理平台,其中 每台信令防火墙设备,通过所述各信令链路连接于所述信令网与对应的第三方平台之间,同时连接所述业务管理平台;所述每台信令防火墙设备具有三个功能,第一,采集和分析链路中传输的信令消息,识别消息源,判断消息代码和内容,执行对触发规则的消息进行屏蔽操作;第二,将采集的相关信令消息和屏蔽的信令消息发送到所述业务管理平台;第三,执行来自业所述务管理平台的业务规则同步修改命令,并定时向所述业务管理平台报告工作状态; 业务管理平台,通过数据接口与所述各信令防火墙设备相连;其具有三个功能,第一,接收所述各信令防火墙设备发送的相关信令消息和屏蔽的信令消息,并对消息按业务规则进行统计分析,形成准实时的非法消息拦截的业务规则;第二,对所述各信令防火墙设备数据库实施非法消息拦截业务规则数据的同步修改,完成该数据库的装载或核对请求;第三,检测所述各信令防火墙设备的工作状态。2.根据权利要求I所述的信令防火墙系统,其特征在于,所述的信令链路包括TDM链路和IP承载的IP链路。3.根据权利要求I或2所述的信令防火墙系统,其特征在于,所述的各信令防火墙设备以匹配串接方式连接在所述信令链路上,且各信令防火墙设备检测流经各自的双向信令消肩、O4.根据权利要求I或2所述的信令防火墙系统,其特征在于,所述的各信令防火墙设备以高阻跨接方式连接在所述信令链路上,且各信令防火墙设备检测流经各自的双向信令消肩、O5.根据权利要求I或2所述的信令防火墙系统,其特征在于,所述的各信令防火墙设备是无信令点编码的独立设备,其各自连接于所述信令网与对应第三方平台之间需对信令消息进行识别与处理操作的所述信令链路。6.根据权利要求I或2所...
【专利技术属性】
技术研发人员:张炜,
申请(专利权)人:上海粱江通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。