須匹配的具體內(nèi)容����;
[0049]其中,對(duì)于“from_tag”�,是在執(zhí)行“Rule5”這一安全策略的安全檢查時(shí)必須匹配的具體內(nèi)容;
[0050]其中��,對(duì)于“to_tag”�����,是在執(zhí)行“Rule6”這一安全策略的安全檢查時(shí)必須匹配的具體內(nèi)容��;
[0051]當(dāng)然��,上述“Rulel”����、“Rule2”、“Rule3”��、“Rule4”���、“Rule5”和“Rule6” 僅用于示意,并不表示結(jié)構(gòu)數(shù)組structure只能包含這些安全策略��,本實(shí)施方式對(duì)于結(jié)構(gòu)數(shù)組structure包含多少條安全策略和包含哪些安全策略軍不做限定,可根據(jù)不同的SIP業(yè)務(wù)的安全檢查需要�,在結(jié)構(gòu)數(shù)組structure中添加其他安全策略,或者在結(jié)構(gòu)數(shù)組structure中刪除某條安全策略���。
[0052]步驟A2��,在應(yīng)用層接收到SIP報(bào)文時(shí)�,對(duì)所述SIP報(bào)文以所述安全策略表包括的安全策略進(jìn)行遍歷匹配����。
[0053]在本發(fā)明實(shí)施例中,物理傳輸層在接收到該SIP報(bào)文時(shí)����,是否對(duì)該SIP報(bào)文進(jìn)行安全檢查,在該SIP報(bào)文到達(dá)應(yīng)用層���,處理與該SIP報(bào)文對(duì)應(yīng)的SIP業(yè)務(wù)之前需以所述安全策略表包括的有效的安全策略進(jìn)行遍歷匹配����。
[0054]具體在應(yīng)用層接收到該SIP報(bào)文之后�,以所述安全策略表中有效的多條安全策略與該SIP報(bào)文進(jìn)行一一比較匹配,只要某條安全策略與該SIP報(bào)文未能成功匹配��,停止遍歷匹配,判定為未遍歷匹配成功�����,濾除該SIP報(bào)文���。
[0055]舉例說(shuō)明�����,應(yīng)用層接收到該SIP報(bào)文之后���,依次以“RUler’、“RUle2”��、“RUle3”���、“Rule4”����、“Rule5”和“Rule6”對(duì)該SIP報(bào)文進(jìn)行遍歷匹配���,當(dāng)該SIP報(bào)文指向的“服務(wù)器ip地址”與“Rulel:服務(wù)器ip地址”匹配時(shí)執(zhí)行該SIP報(bào)文與“Rule2:服務(wù)器端口”的匹配����,如果該SIP報(bào)文的指向的“服務(wù)器端口 ”與“Rule2:服務(wù)器端口 ”不匹配�����,判定為為未遍歷匹配成功�,停止繼續(xù)以“Rule3”、“Rule4”����、“Rule5”和“Rule6”對(duì)該SIP報(bào)文進(jìn)行依次匹配,濾除該SIP報(bào)文�。
[0056]步驟A3,在遍歷匹配成功之后���,在應(yīng)用層處理所述SIP報(bào)文��。
[0057]具體地�,對(duì)于應(yīng)用層接收到SIP報(bào)文時(shí)����,使用安全策略表中所有有效的安全策略對(duì)該SIP報(bào)文進(jìn)行遍歷匹配,如果遍歷匹配成功�����,代表該SIP報(bào)文屬于安全的、正常的SIP報(bào)文��,在應(yīng)用層處理與該SIP報(bào)文對(duì)應(yīng)的SIP業(yè)務(wù)�。
[0058]步驟A4,如果未遍歷匹配成功��,則濾除所述SIP報(bào)文���。
[0059]具體地�,對(duì)于應(yīng)用層接收到SIP報(bào)文時(shí)���,使用安全策略表中所有有效的安全策略對(duì)該SIP報(bào)文進(jìn)行遍歷匹配���,只要該安全策略表中某一條有效的安全策略未匹配成功,代表該SIP報(bào)文屬于非法的SIP報(bào)文�,在應(yīng)用層不對(duì)該SIP報(bào)文進(jìn)行對(duì)應(yīng)的SIP業(yè)務(wù)處理,并且還濾除該SIP報(bào)文�。
[0060]圖2示出了本發(fā)明實(shí)施例提供的報(bào)文處理方法的一種優(yōu)化工作流程,但僅示出了與本發(fā)明實(shí)施例相關(guān)的部分����。
[0061]作為本發(fā)明實(shí)施例的一實(shí)施方式����,參見(jiàn)圖2����,所述報(bào)文處理方法還包括步驟A5和步驟A6���。
[0062]步驟A5����,在遍歷匹配成功之后��,從所述SIP報(bào)文中解析出新安全策略���。
[0063]需說(shuō)明的是����,所述新安全策略也屬于安全策略�;所述新安全策略是指:從所述SIP報(bào)文中解析出的、對(duì)所述SIP報(bào)文進(jìn)行安全檢查時(shí)所采用的安全策略表中未包含的安全策略��。
[0064]優(yōu)選地,所述新安全策略為:如不以所述新安全策略進(jìn)一步匹配所述SIP報(bào)文�,處理與該SIP報(bào)文對(duì)應(yīng)的SIP業(yè)務(wù)時(shí)仍可能造成SIP業(yè)務(wù)的安全隱患或其它網(wǎng)絡(luò)業(yè)務(wù)的安全隱患的安全策略。
[0065]需說(shuō)明的是����,本實(shí)施方式對(duì)從SIP報(bào)文中解析出新安全策略的具體解析方式,不做限定���,例如根據(jù)在處理同類SIP報(bào)文時(shí)已發(fā)生的安全隱患來(lái)確定一個(gè)或多個(gè)新安全策略����。
[0066]步驟A6����,將所述新安全策略添加到所述安全策略表中。
[0067]具體地����,將步驟A5解析出的新安全策略添加到對(duì)該SIP報(bào)文安全檢查時(shí)所使用的安全策略表中。
[0068]作為本發(fā)明實(shí)施例的一實(shí)施方式�����,所述在應(yīng)用層接收到SIP報(bào)文具體包括:在應(yīng)用層接收載有響應(yīng)消息的SIP報(bào)文����,所述響應(yīng)消息是指所述SIP服務(wù)器響應(yīng)SIP客戶端發(fā)送的注冊(cè)請(qǐng)求所反饋的報(bào)文�����。
[0069]參見(jiàn)圖3�,圖3示出了 SIP客戶端向SIP服務(wù)器申請(qǐng)SIP注冊(cè)的流程�。在SIP注冊(cè)的交互中�����,首先執(zhí)行步驟BI����,SIP客戶端首先向SIP服務(wù)器發(fā)送注冊(cè)請(qǐng)求,然后執(zhí)行步驟B2���,SIP服務(wù)器對(duì)該注冊(cè)請(qǐng)求響應(yīng)并向該SIP客戶端反饋?lái)憫?yīng)消息(例如2000K)�。SIP客戶端在接收到該響應(yīng)消息之后��,執(zhí)行步驟A2對(duì)載有該響應(yīng)消息的SIP報(bào)文進(jìn)行安全檢查���,即對(duì)載有該響應(yīng)消息的SIP報(bào)文以所述安全策略表包括的安全策略進(jìn)行遍歷匹配�����,如果檢查通過(guò)(即遍歷匹配成功)�,在應(yīng)用層處理載有該響應(yīng)消息的SIP報(bào)文,SIP注冊(cè)成功����。
[0070]優(yōu)選地,SIP注冊(cè)成功之后���,執(zhí)行步驟A5從載有該響應(yīng)消息的SIP報(bào)文中解析出新安全策略�����,執(zhí)行步驟A6將該新安全策略添加到所述安全策略表中�����。
[0071]作為本發(fā)明實(shí)施例的一實(shí)施方式���,所述在應(yīng)用層接收到SIP報(bào)文具體包括:在應(yīng)用層接收SIP服務(wù)器發(fā)送的載有會(huì)話建立請(qǐng)求的SIP報(bào)文。
[0072]參見(jiàn)圖4���,圖4示出了 SIP服務(wù)器向SIP客戶端申請(qǐng)SIP會(huì)話的流程���。在SIP服務(wù)器向SIP客戶端申請(qǐng)SIP會(huì)話的交互中���,首先執(zhí)行步驟Cl,SIP客戶端收到SIP服務(wù)器的會(huì)話建立請(qǐng)求���;SIP客戶端接收到SIP服務(wù)器的會(huì)話建立請(qǐng)求(INVITE請(qǐng)求)時(shí)����,對(duì)載有該會(huì)話建立請(qǐng)求的SIP報(bào)文進(jìn)行安全檢查��,即對(duì)載有該會(huì)話建立請(qǐng)求的SIP報(bào)文以所述安全策略表包括的安全策略進(jìn)行遍歷匹配���,如果檢查通過(guò)(即遍歷匹配成功),在應(yīng)用層處理載有該會(huì)話建立請(qǐng)求的SIP報(bào)文��;然后執(zhí)行步驟C2���,SIP客戶端向SIP服務(wù)器反饋載有所述應(yīng)答消息(180ring應(yīng)答消息�,2000K應(yīng)答消息)的SIP報(bào)文���。
[0073]優(yōu)選地���,對(duì)載有該會(huì)話建立請(qǐng)求的SIP報(bào)文的安全檢查通過(guò)之后��,執(zhí)行步驟A5從載有該響應(yīng)消息的SIP報(bào)文中解析出新安全策略�,執(zhí)行步驟A6將該新安全策略添加到所述安全策略表中���。
[0074]作為本發(fā)明實(shí)施例的一實(shí)施方式���,所述在應(yīng)用層接收到SIP報(bào)文具體包括:在應(yīng)用層接收SIP服務(wù)器發(fā)送的載有應(yīng)答消息的SIP報(bào)文,所述應(yīng)答消息是指所述SIP服務(wù)器響應(yīng)SIP客戶端發(fā)送的會(huì)話建立請(qǐng)求所反饋的報(bào)文����。
[0075]參見(jiàn)圖5,圖5示出了 SIP客戶端向SIP服務(wù)器申請(qǐng)SIP會(huì)話的流程����。在SIP客戶端向SIP服務(wù)器SIP會(huì)話的交互中,首先執(zhí)行步驟D1����,SIP服務(wù)器收到SIP客戶端的會(huì)話建立請(qǐng)求(INVITE請(qǐng)求);SIP服務(wù)器響應(yīng)該會(huì)話建立請(qǐng)求�,并向SIP客戶端反饋載有應(yīng)答消息(180ring應(yīng)答消息,2000K應(yīng)答消息)的SIP報(bào)文�,然后執(zhí)行步驟D2�����,SIP客戶端接收到SIP服務(wù)器的載有應(yīng)答消息(180ring應(yīng)答消息���,2000K應(yīng)答消息)的SIP報(bào)文時(shí),對(duì)載有應(yīng)答消息(ISOring應(yīng)答消息���,2000K應(yīng)答消息)的SIP報(bào)文進(jìn)行安全檢查����,即對(duì)載有應(yīng)答消息(180ring應(yīng)答消息�,2000K應(yīng)答消息)的SIP報(bào)文以所述安全策略表包括的安全策略進(jìn)行遍歷匹配,如果檢查通過(guò)(即遍歷匹配成功)��,在應(yīng)用層處理載有應(yīng)答消息(ISOring應(yīng)答消息���,2000K應(yīng)答消息)的SIP報(bào)文;SIP會(huì)話建立成功�。
[0076]優(yōu)選地,SIP會(huì)話建立成功之后����,執(zhí)行步驟A5從載有應(yīng)答消息(ISOring應(yīng)答消息���,2000K應(yīng)答消息)的SIP報(bào)文中解析出新安全策略,執(zhí)行步驟A6將該新安全策略添加到所述安全策略表中�。
[0077]圖6示出了本發(fā)明實(shí)施例提供的報(bào)文處理方法的一種優(yōu)化工作流程,但僅示出了與本發(fā)明實(shí)施例相關(guān)的部分�����。
[0078]作為本發(fā)明實(shí)施例的一實(shí)施方式���,參見(jiàn)圖6