CN101815102A - 一种会话初始协议消息的处理方法 - Google Patents
一种会话初始协议消息的处理方法 Download PDFInfo
- Publication number
- CN101815102A CN101815102A CN200910007288A CN200910007288A CN101815102A CN 101815102 A CN101815102 A CN 101815102A CN 200910007288 A CN200910007288 A CN 200910007288A CN 200910007288 A CN200910007288 A CN 200910007288A CN 101815102 A CN101815102 A CN 101815102A
- Authority
- CN
- China
- Prior art keywords
- address
- cscf
- message
- ipsec
- udp message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种会话初始协议消息的处理方法,在UE与P-CSCF之间通过网络地址转换设备进行交互、并且UE与P-CSCF成功协商建立了IPSec SA,P-CSCF从当前的IPSec SA接收到UE通过网络地址转换设备发送的会话初始协议SIP消息后,若检测到承载有所述SIP消息的封装UDP报文的外部源地址标识与本地保存的网络地址转换设备为UE分配的外网地址标识不同,则后续向UE发送封装UDP报文时,P-CSCF将所述外部源地址标识作为该后续发送的封装UDP报文的外部目的地址标识;所述网络地址转换设备包括:NAT设备和NAPT设备;所述地址标识包括:IP地址、和/或端口号。
Description
技术领域
本发明涉及通信领域,尤其涉及一种IP(Internet Protocol,因特网协议)多媒体子系统中的网络地址转换设备或网络地址端口转换设备为用户设备分配的外网IP地址和/或外网端口号发生变更时,会话初始协议消息的处理方法。
背景技术
IP多媒体子系统(IP Multimedia Subsystem,简称IMS)是第三代合作伙伴组织(3rd Generation Partnership Project,简称3GPP)定义的下一代网络的标准,它的突出特点是采用了会话初始协议(Session Initial Protocol,简称SIP)体系,通讯与接入无关,具备多种媒体业务控制功能与承载能力分离、呼叫与业务分离、应用与服务分离、业务与网络分离、以及移动网与英特网业务融合等多种能力。
IMS系统架构如图1所示,其中主要的功能实体包括:提供用户注册管理、会话控制、用户接入等功能的呼叫会话控制功能(Call Session ControlFunction,简称CSCF),提供集中管理用户签约数据功能的归属用户服务器(Home Subscriber Server,简称HSS),提供各种业务逻辑控制功能的应用服务器(Application Server,简称AS)。
其中,呼叫会话控制功能又进一步包括:
代理呼叫会话控制功能(Proxy Call Session Control Function,简称P-CSCF),是IMS系统中用户的第一个接触点,执行代理呼叫会话控制功能;
查询呼叫会话控制功能(Interrogating Call Session Control Function,简称I-CSCF),执行查询呼叫会话控制功能;
服务呼叫会话控制功能(Serving Call Session Control Function,简称S-CSCF),执行服务呼叫会话控制功能。
在用户设备(User Equipment,简称UE)和P-CSCF间还可以部署NAT(Network Address Translation,网络地址转换)/NAPT(Network Address Port Translation,网络地址端口转换)设备。
在现有技术中,通过3GPP TS 33.203中定义的IMS AKA(IMSAuthentication and Key Agreement,IP多媒体子系统认证和密钥协商)安全框架来保障IMS用户能安全地接入和使用业务。
在IMS AKA安全框架中,要求UE与P-CSCF间协商建立IPSec(Internet Protocol Security,因特网安全协议)SA(Security Association,安全联盟)。并且当UE和P-CSCF间有NAT/NAPT设备存在时,采用RFC(Request For Comment,请求注解)3948中定义的UDP(User Datagram Protocol,用户数据报协议)报文封装的方式(隧道模式)实现IPSec的NAT穿越,IPSec安全协议采用的是RFC 2406中定义的封装安全载荷(Encapsulating Security Payload,简称ESP)。
图2为现有技术中,在UE和P-CSCF间存在NAT/NAPT设备的情况下的一种典型的IPSec SA协商建立过程流程图,包括如下步骤:
S201,UE向P-CSCF的非保护端口发送初始注册请求消息,该注册请求消息途径NAT/NAPT设备。
S202,NAT/NAPT设备更改从UE收到的承载有上述注册请求消息的IP包的源IP地址和/或传输层协议源端口号。
S203,NAT/NAPT设备将承载有上述注册请求消息的IP包转发给P-CSCF。
S204,P-CSCF将上述注册请求消息转发到用户归属网络的I-CSCF。
S205~S206,I-CSCF与HSS交互,请求HSS分配用户归属的S-CSCF。
S207,I-CSCF将注册请求转发到用户归属的S-CSCF。
S208~S209,S-CSCF与HSS交互,从HSS中下载用户认证数据。
S210~S211,S-CSCF对UE发起注册挑战(401挑战响应消息),并将建立IPSec SA所需的安全参数通过401挑战响应消息发送给P-CSCF。
S212,P-CSCF保存从S-CSCF接收到的IPSec SA相关安全参数,并向UE发送401挑战响应消息,该消息途经NAT/NAPT设备。
上述401挑战响应消息中携带P-CSCF与UE协商建立的IPSec ESP完整性保护算法参数、私密性保护算法参数、以及NAT/NAPT设备为UE分配的外网IP地址、P-CSCF端保护端口号等协商建立IPSec SA所必须的相关信息。
S213,NAT/NAPT设备更改从P-CSCF收到的承载有上述401挑战响应消息的IP包的目的IP地址和/或传输层协议目的端口号。
S214,NAT/NAPT设备将承载有上述401挑战响应消息的IP包转发给UE。
S215,UE收到上述401挑战响应消息后,从该消息中获知NAT/NAPT设备为UE分配的外网IP地址,并采用RFC 3948中定义的UDP报文封装IPSec的方式重新发起注册,IPSec安全协议采用的是RFC 2406中定义的ESP。
承载有UE发往P-CSCF的注册请求消息的封装UDP报文具有如下特点:
(a)封装UDP报文的外部源IP地址(即新IP头的源IP地址)为UE的内网IP地址,封装UDP报文的外部源端口号(即新UDP头的源端口号)为4500;封装UDP报文的外部目的IP地址(即新IP头的目的IP地址)为P-CSCF的IP地址,封装UDP报文的外部目的端口号(即新UDP头的目的端口号)为4500。
(b)封装UDP报文的内部源IP地址(即原IP头的源IP地址)为NAT/NAPT设备为该UE分配的外网IP地址,封装UDP报文的内部源端口号(即原UDP/TCP头的源端口号)为IPSec SA过程中协商的UE端保护端口号;封装UDP报文的内部目的IP地址(即原IP头的目的IP地址)为P-CSCF的IP地址,封装UDP报文的内部目的端口号(即原UDP/TCP头的目的端口号)为IPSec SA建立过程中协商的P-CSCF端保护端口号。
S216,NAT/NAPT设备收到封装UDP报文后,将封装UDP报文的外部源IP地址和/或源端口号更改为NAT/NAPT设备之前为该UE分配的外网IP地址和/或外网端口号。
S217,NAT/NAPT设备将承载SIP信令(注册请求)的封装UDP报文转发给P-CSCF。
S218,P-CSCF从保护端口收到NAT/NAPT设备转发的封装UDP报文后,实施IPSec ESP检查、IPSec选择子过滤和SIP注册信令合法性检查;检查通过后,P-CSCF提取出承载在封装UDP报文中的注册请求,并将其转发给用户归属网络的I-CSCF。
S219~S220,I-CSCF与HSS交互,请求HSS分配用户归属的S-CSCF。
S221,I-CSCF将注册请求转发到用户归属的S-CSCF。
S222~S223,用户注册成功,S-CSCF将注册成功响应消息发送给P-CSCF。
S224,P-CSCF收到用户注册成功响应消息后,确认P-CSCF端的IPSecSA协商建立完成;P-CSCF保存IPSec SA协商建立过程中NAT/NAPT设备为UE分配的外网IP地址和外网端口号,并将其作为后续通过IPSec SA向UE发送封装UDP报文的外部目的IP地址和目的端口号。
P-CSCF通过NAT/NAPT设备向UE的保护端口返回注册成功响应消息;该注册成功响应消息采用RFC 3948中定义的UDP报文封装IPSec的方式,IPSec安全协议采用的是RFC 2406中定义的ESP;承载有注册成功响应消息的封装UDP报文具有如下特点:
(a)封装UDP报文的外部源IP地址为P-CSCF的IP地址,封装UDP报文的外部源端口号为4500;封装UDP报文的外部目的IP地址为NAT/NAPT设备为UE分配的外网IP地址,封装UDP报文的外部目的端口号为NAT/NAPT设备为UE分配的外网端口号。
(b)封装UDP报文的内部源IP地址为P-CSCF的IP地址,封装UDP报文的内部源端口号为IPSec SA建立过程中协商的P-CSCF端保护端口号;封装UDP报文的内部目的IP地址为NAT/NAPT设备为该UE分配的外网IP地址,封装UDP报文的内部目的端口号为IPSec SA协商建立过程中协商的的UE端保护端口号。
S225,NAT/NAPT设备收到封装UDP报文后,将封装UDP报文的外部目的IP地址和目的端口号更改为UE的内网IP地址和端口号4500。
S226,NAT/NAPT设备将承载SIP信令(注册成功响应消息)的封装UDP报文转发给UE。
至此,UE与P-CSCF完成IPSec SA的协商建立。
图3为现有技术中,在UE与P-CSCF的IPSec SA协商建立成功后,对UE发起的SIP请求消息的处理过程流程图,包括如下步骤:
S301,UE通过NAT/NAPT设备向P-CSCF发送非ACK(ACKnowledgement,确认应答)的SIP请求消息;该SIP请求消息通过图1所示流程建立的IPSec SA发送,使用UDP封装IPSec的方式;封装UDP报文具有如下特点:
(a)封装UDP报文的外部源IP地址为UE的内网IP地址,封装UDP报文的外部源端口号为4500;封装UDP报文的外部目的IP地址为P-CSCF的IP地址,封装UDP报文的外部目的端口号为4500。
(b)封装UDP报文的内部源IP地址为IPSec SA建立过程中NAT/NAPT设备为该UE分配的外网IP地址,封装UDP报文的内部源端口号为IPSec SA建立过程中协商的UE端保护端口号;封装UDP报文的内部目的IP地址为P-CSCF的IP地址,封装UDP报文的内部目的端口号为IPSec SA建立过程中协商的P-CSCF端保护端口号。
S302,NAT/NAPT设备收到封装UDP报文后,将封装UDP报文的外部源IP地址和/或外部源端口号更改为NAT/NAPT设备之前为该UE分配的外网IP地址和/或外网端口号。
S303,NAT/NAPT设备将承载SIP请求消息的封装UDP报文转发给P-CSCF。
S304,P-CSCF收到NAT/NAPT设备转发的封装UDP报文后,对封装UDP报文的消息体中的内部IP包实施IPSec ESP检查,并使用IPSec选择子对内部IP包实施过滤检查,以确认该内部IP包的源IP地址与IPSec SA协商建立过程中所保存的UE的外网IP地址相同。
P-CSCF对SIP请求消息进行其他处理后,将SIP请求消息发往其他IMS网元。
S305,其他IMS网元返回对应的SIP响应消息。
S306,P-CSCF收到上述SIP响应消息,该SIP响应消息通过图1所示流程建立的IPSec SA转发给UE,采用UDP封装IPSec的方式;封装UDP报文具有如下特点:
(a)封装UDP报文的外部源IP地址为P-CSCF的IP地址,封装UDP报文的外部源端口号为4500;封装UDP报文的外部目的IP地址为IPSec SA协商建立过程中NAT/NAPT设备为UE分配的外网IP地址,封装UDP报文的外部目的端口号为IPSec SA协商建立过程中NAT/NAPT设备为UE分配的外网端口号。
(b)封装UDP报文的内部源IP地址为P-CSCF的IP地址,封装UDP报文的内部源端口号为IPSec SA建立过程中协商的P-CSCF端保护端口号;封装UDP报文的内部目的IP地址为IPSec SA协商建立过程中NAT/NAPT设备为UE分配的外网IP地址,封装UDP报文的内部目的端口号为IPSec SA建立过程中协商的UE端保护端口号。
S307,NAT/NAPT设备收到封装UDP报文后,将封装UDP报文的外部目的IP地址和/或外部目的端口号更改为UE的内网IP地址和/或端口号4500。
S308,NAT/NAPT设备将承载SIP响应消息的封装UDP报文转发给UE。
在现有技术中,当UE与P-CSCF间存在NAT/NAPT设备时,UE与P-CSCF间采用UDP封装IPSec的方式,且安全协议为ESP。ESP协议本身不对封装UDP报文的头部(源和目的IP地址、源和目的UDP端口号)实施检查和保护,且P-CSCF端的IPSec选择子仅针对封装UDP报文的内部IP包实施过滤。
此外,在现有技术中,UE通过P-CSCF返回的非保护的初始注册响应消息(401挑战响应消息)来得知NAT/NAPT设备为自己分配的外网IP地址。
因此,如果在UE与P-CSCF间的IPSec SA协商建立成功后,NAT/NAPT设备发生重启,或者NAT/NAPT设备上保存的该UE的内网IP地址/端口号与外网IP地址/端口号的地址绑定映射超时,则NAT/NAPT设备将为UE重新分配新的外网IP地址和/或外网端口号;在这种情况下,现有技术存在如下问题:
(1)上述步骤S304中,P-CSCF通过NAT/NAPT设备收到的封装UDP报文中的外部源IP地址和/或外部源端口号(NAT/NAPT设备改过后的)与步骤S224中P-CSCF保存的IPSec SA协商建立过程中NAT/NAPT设备为UE分配的外网IP地址和/或端口号取值不同,P-CSCF无法通过IPSec ESP检查和IPSec选择子过滤检查出此异常(因为UE仍然使用原来NAT/NAPT设备为UE分配的外网IP地址作为封装UDP报文的内部源IP地址,而P-CSCF不对封装UDP报文的外部源IP地址和外部源端口号进行检查),SIP请求消息将被正常处理。
因此,上述步骤S306中,P-CSCF无法采用之前建立的IPSec SA,通过NAT/NAPT设备向正确的UE返回SIP响应消息。
(2)此外,P-CSCF也无法通过之前建立的IPSec SA将向正确的UE发送任何SIP信令。
(3)上述问题还将进一步导致:在UE重新协商建立新的IPSec SA之前,由于SIP事务超时而导致UE重发SIP请求消息(发送7次),额外增加了网络负荷。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提供一种SIP消息的处理方法,以克服由于NAT/NAPT设备为UE绑定/分配的外网IP地址和/或端口号发生变更,导致的IMS用户业务中断和网络负荷增加的问题。
为了解决上述问题,本发明提供一种会话初始协议消息的处理方法,在用户设备UE与代理呼叫会话控制功能P-CSCF之间通过网络地址转换设备进行交互、并且UE与P-CSCF成功协商建立了因特网安全协议安全联盟IPSec SA后,该方法包括:
P-CSCF从当前的IPSec SA接收到UE通过网络地址转换设备发送的会话初始协议SIP消息后,若检测到承载有所述SIP消息的封装UDP报文的外部源地址标识与本地保存的网络地址转换设备为UE分配的外网地址标识不同,则后续向UE发送封装UDP报文时,P-CSCF将所述外部源地址标识作为该后续发送的封装UDP报文的外部目的地址标识;
所述网络地址转换设备包括:网络地址转换NAT设备和网络地址端口转换NAPT设备;
所述地址标识包括:IP地址、和/或端口号。
此外,检测到所述外部源地址标识与本地保存的网络地址转换设备为UE分配的外网地址标识不同后,P-CSCF将所述外部源地址标识保存为网络地址转换设备为UE分配的外网地址标识。
此外,检测到所述外部源地址标识与本地保存的网络地址转换设备为UE分配的外网地址标识不同后,P-CSCF向UE发送外网地址标识发生变更的通知消息。
此外,UE接收到所述通知消息后,与P-CSCF重新协商建立新的IPSecSA。
此外,重新协商建立新的IPSec SA之前,UE发往P-CSCF的封装UDP报文的内部源IP地址为:协商建立当前的IPSec SA的过程中,网络地址转换设备为UE分配的外网IP地址。
此外,重新协商建立新的IPSec SA之前,UE发往P-CSCF的、承载在封装UDP报文中的SIP消息的via头字段的sent-by参数的IP地址值为:协商建立当前的IPSec SA的过程中,网络地址转换设备为UE分配的外网IP地址。
此外,重新协商建立新的IPSec SA之前,P-CSCF的IPSec选择子中的源IP地址为:协商建立当前的IPSec SA的过程中,网络地址转换设备为UE分配的外网IP地址。
此外,所述通知消息中携带P-CSCF接收到的封装UDP报文的外部源地址标识。
此外,P-CSCF将所述通知消息承载在封装UDP报文中发送给UE;
P-CSCF发送的封装UDP报文的外部目的IP地址为:P-CSCF接收到的封装UDP报文的外部源IP地址;
P-CSCF发送的封装UDP报文的外部目的端口号为:P-CSCF接收到的封装UDP报文的外部源端口号。
综上所述,采用本发明的方法,通过P-CSCF对当前的入向IPSec SA接收到的、UE发送的封装UDP报文的外部源IP地址和/或外部源端口号进行检查,使得本地始终存储NAT/NAPT设备为UE最新分配的外网IP地址和/或外网端口号,解决了由于NAT/NAPT设备为UE分配的外网IP地址和/或外网端口号发生变更,而导致的IMS用户业务中断和网络负荷增加的问题;此外,本发明的方法与现有技术具有良好的兼容性。
附图说明
图1为现有技术中的IMS系统架构示意图;
图2为现有技术中,在UE和P-CSCF间存在NAT/NAPT设备的情况下的一种典型的IPSec SA协商建立过程流程图;
图3为现有技术中,在UE与P-CSCF的IPSec SA协商建立成功后,对UE发起的SIP请求消息的处理过程流程图;
图4为本发明实施例成功创建IPSec SA后的SIP消息处理方法流程图。
具体实施方式
本发明的基本思想是,P-CSCF对从当前的入向IPSec SA接收到的、UE发送的封装UDP报文的外部源IP地址和/或外部源端口号进行检查,当其与NAT/NAPT设备为UE先前分配的外网IP地址和/或端口号不同时,将该封装UDP报文的外部源IP地址和/或外部源端口号作为后续P-CSCF向UE发送封装UDP报文的外部目的IP地址和外部目的端口号。
下面将结合附图和实施例对本发明进行详细描述。
图4为本发明实施例成功创建IPSec SA后的SIP消息处理方法流程图,包括如下步骤:
S401,UE与P-CSCF间已成功建立IPSec SA,并且NAT/NAPT设备为该UE分配的外网IP地址和/或外网端口号发生变更;UE通过该IPSec SA(入向IPSec SA)向P-CSCF发送SIP消息;该SIP消息采用UDP报文封装,封装UDP报文具有如下特点:
(a)封装UDP报文的外部源IP地址为UE的内网IP地址,封装UDP报文的外部源端口号为4500;封装UDP报文的外部目的IP地址为P-CSCF的IP地址,封装UDP报文的外部目的端口号为4500。
(b)封装UDP报文的内部源IP地址为IPSec SA建立过程中NAT/NAPT设备为该UE分配的外网IP地址,封装UDP报文的内部源端口号为IPSec SA建立过程中协商的UE端保护端口号;封装UDP报文的内部目的IP地址为P-CSCF的IP地址,封装UDP报文的内部目的端口号为IPSec SA建立过程中协商的P-CSCF端保护端口号。
S402,收到承载有SIP消息的封装UDP报文后,NAT/NAPT设备将UDP报文的外部源IP地址和/或外部源端口号更改为NAT/NAPT设备为该UE分配的外网IP地址和/或外网端口号。
S403,NAT/NAPT设备将承载SIP请求消息的封装UDP报文转发给P-CSCF。
S404,P-CSCF收到经过NAT/NAPT设备处理的封装UDP报文,在IPSecESP检查和IPSec选择子过滤检查通过之后,检查承载有SIP消息的封装UDP报文的外部源IP地址和/或外部源端口号与NAT/NAPT设备先前为该UE分配的外网IP地址和/或外网端口号是否相同:
如果该封装UDP报文的外部源IP地址和/或外部源端口号与NAT/NAPT设备先前为该UE分配的外网IP地址和/或外网端口号不同,则P-CSCF保存NAT/NAPT设备为该UE重新分配的外网IP地址和外网端口号(也就是该封装UDP报文的外部源IP地址和外部源端口号),并作为后续P-CSCF向UE发送封装UDP报文的外部目的IP地址和外部目的端口号。
S405,P-CSCF需要通过NAT/NAPT设备向UE发送SIP消息时,采用UDP封装IPSec的方式,封装UDP报文具有如下特点:
(a)封装UDP报文的外部源IP地址为P-CSCF的IP地址,封装UDP报文的外部源端口号为4500;封装UDP报文的外部目的IP地址为NAT/NAPT设备为UE新分配的外网IP地址,封装UDP报文的外部目的端口号为NAT/NAPT设备为UE新分配的外网端口号。
(b)封装UDP报文的内部源IP地址为P-CSCF的IP地址,封装UDP报文的内部源端口号为IPSec SA建立过程中协商的P-CSCF端保护端口号;封装UDP报文的内部目的IP地址为IPSec SA建立过程中NAT/NAPT设备为该UE分配的外网IP地址,封装UDP报文的内部目的端口号为IPSec SA建立过程中协商的UE端保护端口号。
S406,P-CSCF将上述封装UDP报文发送给NAT/NAPT设备,NAT/NAPT收到封装UDP报文后,将该封装UDP报文的外部目的IP地址和/或外部目的端口号更改为UE的内网IP地址和/或端口号4500,并向UE转发。
根据本发明的基本原理,上述实施例还可以有多种变换方式,例如:
在步骤S404中,P-CSCF检测到封装UDP报文的外部源IP地址和/或外部源端口号与NAT/NAPT设备先前为该UE分配的外网IP地址和/或外网端口号不同时,除了保存NAT/NAPT设备为该UE重新分配的外网IP地址和外网端口号以外,还可以向UE发送NAT/NAPT设备分配的外网IP地址和/或外网端口号发生变更的通知消息。
上述通知消息中可以携带NAT/NAPT设备为该UE新分配的外网IP地址和外网端口号(即P-CSCF接收到的封装UDP报文的外部源IP地址和外部源端口号)。
上述通知消息为SIP消息,通过UDP报文封装,封装UDP报文具有如下特点:
(a)封装UDP报文的外部源IP地址为P-CSCF的IP地址,封装UDP报文的外部源端口号为4500;封装UDP报文的外部目的IP地址为NAT/NAPT设备为UE新分配的外网IP地址,封装UDP报文的外部目的端口号为NAT/NAPT设备为UE新分配的外网端口号。
(b)封装UDP报文的内部源IP地址为P-CSCF的IP地址,封装UDP报文的内部源端口号为IPSec SA建立过程中协商的P-CSCF端保护端口号;封装UDP报文的内部目的IP地址为IPSec SA建立过程中NAT/NAPT设备为该UE分配的外网IP地址,封装UDP报文的内部目的端口号为IPSec SA建立过程中协商的UE端保护端口号。
UE接收到上述通知消息后,可以在适当的时机通过P-CSCF的非保护端口重新协商建立新的IPSec SA。
在重新协商建立新的IPSec SA之前,UE发往P-CSCF的封装UDP报文的内部源IP地址仍取值为协商建立当前的IPSec SA的过程中,NAT/NAPT为UE分配的外网IP地址;该封装UDP报文中承载的SIP消息的“via”头字段的“sent-by”参数的IP地址值仍为协商建立当前的IPSec SA的过程中NAT/NAPT为UE分配的外网IP地址。
此外,在与UE重新协商建立新的IPSec SA前,P-CSCF的IPSec选择子中的源IP地址值仍为协商建立当前的IPSec SA的过程中,NAT/NAPT设备为该UE分配的外网IP地址,以避免P-CSCF接收到的该UE发送的封装UDP报文无法通过IPSec选择子过滤检查。
Claims (9)
1.一种会话初始协议消息的处理方法,其特征在于,在用户设备UE与代理呼叫会话控制功能P-CSCF之间通过网络地址转换设备进行交互、并且UE与P-CSCF成功协商建立了因特网安全协议安全联盟IPSec SA后,该方法包括:
P-CSCF从当前的IPSec SA接收到UE通过网络地址转换设备发送的会话初始协议SIP消息后,若检测到承载有所述SIP消息的封装UDP报文的外部源地址标识与本地保存的网络地址转换设备为UE分配的外网地址标识不同,则后续向UE发送封装UDP报文时,P-CSCF将所述外部源地址标识作为该后续发送的封装UDP报文的外部目的地址标识;
所述网络地址转换设备包括:网络地址转换NAT设备和网络地址端口转换NAPT设备;
所述地址标识包括:IP地址、和/或端口号。
2.如权利要求1所述的方法,其特征在于,
检测到所述外部源地址标识与本地保存的网络地址转换设备为UE分配的外网地址标识不同后,P-CSCF将所述外部源地址标识保存为网络地址转换设备为UE分配的外网地址标识。
3.如权利要求1所述的方法,其特征在于,
检测到所述外部源地址标识与本地保存的网络地址转换设备为UE分配的外网地址标识不同后,P-CSCF向UE发送外网地址标识发生变更的通知消息。
4.如权利要求3所述的方法,其特征在于,
UE接收到所述通知消息后,与P-CSCF重新协商建立新的IPSec SA。
5.如权利要求4所述的方法,其特征在于,
重新协商建立新的IPSec SA之前,UE发往P-CSCF的封装UDP报文的内部源IP地址为:协商建立当前的IPSec SA的过程中,网络地址转换设备为UE分配的外网IP地址。
6.如权利要求4所述的方法,其特征在于,
重新协商建立新的IPSec SA之前,UE发往P-CSCF的、承载在封装UDP报文中的SIP消息的via头字段的sent-by参数的IP地址值为:协商建立当前的IPSec SA的过程中,网络地址转换设备为UE分配的外网IP地址。
7.如权利要求4所述的方法,其特征在于,
重新协商建立新的IPSec SA之前,P-CSCF的IPSec选择子中的源IP地址为:协商建立当前的IPSec SA的过程中,网络地址转换设备为UE分配的外网IP地址。
8.如权利要求4所述的方法,其特征在于,
所述通知消息中携带P-CSCF接收到的封装UDP报文的外部源地址标识。
9.如权利要求3所述的方法,其特征在于,
P-CSCF将所述通知消息承载在封装UDP报文中发送给UE;
P-CSCF发送的封装UDP报文的外部目的IP地址为:P-CSCF接收到的封装UDP报文的外部源IP地址;
P-CSCF发送的封装UDP报文的外部目的端口号为:P-CSCF接收到的封装UDP报文的外部源端口号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910007288.4A CN101815102B (zh) | 2009-02-24 | 2009-02-24 | 一种会话初始协议消息的处理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910007288.4A CN101815102B (zh) | 2009-02-24 | 2009-02-24 | 一种会话初始协议消息的处理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101815102A true CN101815102A (zh) | 2010-08-25 |
| CN101815102B CN101815102B (zh) | 2014-03-19 |
Family
ID=42622217
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910007288.4A Active CN101815102B (zh) | 2009-02-24 | 2009-02-24 | 一种会话初始协议消息的处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101815102B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125151A (zh) * | 2014-08-06 | 2014-10-29 | 汉柏科技有限公司 | 一种IPSec报文转发的方法及系统 |
| CN111263381A (zh) * | 2018-12-03 | 2020-06-09 | 中国电信股份有限公司 | 业务处理方法、装置、系统、终端和计算机可读存储介质 |
| CN113839946A (zh) * | 2021-09-24 | 2021-12-24 | 深圳供电局有限公司 | 一种IPSec传输的异常检测方法、装置及可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1893391A (zh) * | 2005-07-05 | 2007-01-10 | 华为技术有限公司 | 一种支持网络层安全穿越网络地址转换的方法 |
| EP1798890A1 (en) * | 2005-12-15 | 2007-06-20 | Nokia Corporation | Power-efficient address mapping scheme |
-
2009
- 2009-02-24 CN CN200910007288.4A patent/CN101815102B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1893391A (zh) * | 2005-07-05 | 2007-01-10 | 华为技术有限公司 | 一种支持网络层安全穿越网络地址转换的方法 |
| EP1798890A1 (en) * | 2005-12-15 | 2007-06-20 | Nokia Corporation | Power-efficient address mapping scheme |
Non-Patent Citations (1)
| Title |
|---|
| 3RD GENERATION PARTNERSHIP PROJECT: "Technical Specification Group Services and System Aspects 3G security Access security for IP-based services (Release 8)", 《3RD GENERATION PARTNERSHIP PROJECT》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125151A (zh) * | 2014-08-06 | 2014-10-29 | 汉柏科技有限公司 | 一种IPSec报文转发的方法及系统 |
| CN111263381A (zh) * | 2018-12-03 | 2020-06-09 | 中国电信股份有限公司 | 业务处理方法、装置、系统、终端和计算机可读存储介质 |
| CN111263381B (zh) * | 2018-12-03 | 2023-04-07 | 中国电信股份有限公司 | 业务处理方法、装置、系统、终端和计算机可读存储介质 |
| CN113839946A (zh) * | 2021-09-24 | 2021-12-24 | 深圳供电局有限公司 | 一种IPSec传输的异常检测方法、装置及可读存储介质 |
| CN113839946B (zh) * | 2021-09-24 | 2024-01-05 | 深圳供电局有限公司 | 一种IPSec传输的异常检测方法、装置及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101815102B (zh) | 2014-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11956284B2 (en) | System and method for determining trust for SIP messages | |
| US7574735B2 (en) | Method and network element for providing secure access to a packet data network | |
| AU2003225476B8 (en) | Method and communication system for controlling security association lifetime | |
| EP2842294B1 (en) | Failover functionality for client-related security association | |
| EP2478684B1 (en) | Method for supporting a user equipment lacking globally routable user agent uri - gruu support in an internet protocol multimedia subsystem - ims. | |
| EP2028812B1 (en) | Methods, apparatuses, system, and related computer program product for user equipment access | |
| EP3262816B1 (en) | Realm translation in an ims network | |
| CN101815102B (zh) | 一种会话初始协议消息的处理方法 | |
| CN101784047B (zh) | 一种会话初始协议消息的处理方法 | |
| EP1595418B1 (en) | A communication system | |
| CN103001935A (zh) | Ils网络的ue在ims网络中的认证方法和系统 | |
| JP7045129B2 (ja) | セッション制御サーバの切り替え方法、管理サーバ及びプログラム | |
| KR101612772B1 (ko) | 미디어 보안 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: NANJING BRANCH OF ZTE CORPORATION Free format text: FORMER OWNER: ZTE CORPORATION Effective date: 20140106 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518057 SHENZHEN, GUANGDONG PROVINCE TO: 210012 NANJING, JIANGSU PROVINCE |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20140106 Address after: Yuhuatai District of Nanjing City, Jiangsu province 210012 Bauhinia Road No. 68 Applicant after: Nanjing Branch of Zhongxing Communication Co., Ltd. Address before: 518057 Nanshan District high tech Industrial Park, Guangdong, South Road, science and technology, ZTE building, legal department Applicant before: ZTE Corporation |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150721 Address after: 518057 Nanshan District Guangdong high tech Industrial Park, South Road, science and technology, ZTE building, Ministry of Justice Patentee after: ZTE Corporation Address before: 210012 Zhongxing communication, No. 68, Bauhinia Road, Yuhuatai District, Jiangsu, Nanjing Patentee before: Nanjing Branch of Zhongxing Communication Co., Ltd. |