CN108667838A - 一种基于IPsec的边界会话控制器的设置方法 - Google Patents
一种基于IPsec的边界会话控制器的设置方法 Download PDFInfo
- Publication number
- CN108667838A CN108667838A CN201810446924.2A CN201810446924A CN108667838A CN 108667838 A CN108667838 A CN 108667838A CN 201810446924 A CN201810446924 A CN 201810446924A CN 108667838 A CN108667838 A CN 108667838A
- Authority
- CN
- China
- Prior art keywords
- boundary
- conversation controller
- media
- ipsec
- conversation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1023—Media gateways
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于IPsec的边界会话控制器的设置方法,在边界会话控制器中,根据通信协议支持的媒体通道数目,设定固定数目的线程池,当发生媒体协商时,利用线程池调度系统资源,完成对数据加密传输。本发明方法在发生媒体协商时,利用线程池灵活调度系统资源,完成对数据加密传输,在进行加密时,利用FPGA对媒体协商携带的媒体信息进行加解密,防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等,保证用户会话过程中通信的安全性。
Description
技术领域
本发明涉及通信领域技术领域,具体涉及一种基于IPsec的边界会话控制器的设置方法。
背景技术
会话边界控制器(Session Border Controller, SBC)是IP语音网络的边界大门,主要用于解决语音会话在网络地址转换时的穿越问题,提供安全的IP通讯支持,并能提供对语音质量的保障。在FC5853的定义中,SBC被定义为一个B2BUAs(Back-to-Back UserAgents),它可以实现对某些SIP(Session Initiation Protocol,会话初始协议)头域消息和SDP媒体协商信息进行修改,同时支持对融合通信的业务能力,包括未来业务的升级和拓展。
IPSec是IP层的一种安全协议,主要作用就是为了解决网络通信中的安全问题。在网络通信中,暴露很多安全问题,比如说数据包被监听窃取,被篡改,以及伪造身份,拒绝服务等。利用FPGA的高性能和低功耗的特点,同时支持多种加密(MD5/AES/SAE)算法,通过设定系统线程池的方式,对底层系统资源进行调度,在保证数据加密的同时,提升整个边界会话控制系统资源的利用率。
在IMS域中,由于终端用户的多样性,终端用户很难控制对端网络,对网络服务,语音质量,安全机制失了可控性。缺乏统一管理的平台机制,导致网络设置和安全机制的设置缺乏一个统一的管理机制。
发明内容
本发明要解决的技术问题是:本发明针对以上问题,提供一种基于IPsec的边界会话控制器的设置方法。
本发明所采用的技术方案为:
一种基于IPsec的边界会话控制器的设置方法,在边界会话控制器中,根据通信协议支持的媒体通道数目,设定固定数目的线程池,当发生媒体协商时,利用线程池灵活调度系统资源,完成对数据加密传输。
所述边界会话控制器包含有系统支持的最大线程配置表。
所述边界会话控制器包含有FPGA芯片。
所述边界会话控制器在进行加密时,通过FPGA芯片对媒体协商携带的媒体信息进行加解密,防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等,保证用户会话过程中通信的安全性。
所述边界会话控制器通过PCIE接口与系统的CPU连接,并处理收到CPU的加解密请求指令消息。
所述系统支持的最大线程的配置根据当前IMS域SIP协议支持的最大媒体协商通道数进行配置。
当呼叫接通或者发生媒体协商时,所述边界会话控制器收到主叫侧或被叫侧的媒体网关MGW(Media Gate Way)携带的媒体协商信息(比如:invite/200)后,根据当前消息中携带的媒体通道数目,启动空闲的系统线程,利用FPGA对媒体通道携带的SDP信息进行加密,完成媒体数据的加密。
所述边界会话控制器会话媒体通道加密流程包括内容如下:
边界会话控制器启动后,根据SIP媒体协商支持的通道数配置空闲线程数据信息,启动并创建一个一定数目的空闲的业务处理线程池,并创建一个文件描述符句柄,制定侦听事件的大小(即系统能够处理的并发请求消息的能力);
当呼叫接通或发生媒体协商时,边界会话控制器侦听到来自用户的媒体协商消息,将侦听到的文件描述添加到任务队列中,并唤醒一个空闲的任务进程进行业务处理;
边界会话控制器通过调用OpenCL接口,传入待加密的媒体协商信息(SDP)至FPGA中进行加密,并将加密后信息返回至CPU中,CPU通过调用SIP协议栈消息接口,加密整个数据包。
所述边界会话控制器以IPsec传输模式进行数据传输时,媒体数据部分是封装传送,IP报头不封装即被传送。
所述边界会话控制器以IP sec隧道模式进行传输时,在加密的封包上增加新的头部即是SBC的IP地址和端口号,完成IP sec媒体数据加密信息的封装,进行网络传输。
本发明的有益效果为:
本发明方法在发生媒体协商时,利用线程池灵活调度系统资源,完成对数据加密传输,在进行加密时,利用FPGA对媒体协商携带的媒体信息进行加解密,防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等,保证用户会话过程中通信的安全性。
附图说明
图1为本发明基于IPsec的边界会话控制器结构意图;
图2为基于IP sec的边界会话控制器会话媒体通道加密流程图。
具体实施方式
下面根据说明书附图,结合具体实施方式对本发明进一步说明:
实施例1:
如图1所示,一种基于IPsec的边界会话控制器的设置方法,其特征在于,在边界会话控制器中,根据通信协议支持的媒体通道数目,设定固定数目的线程池,当发生媒体协商时,利用线程池灵活调度系统资源,完成对数据加密传输。
所述边界会话控制器包含有系统支持的最大线程配置表。
所述边界会话控制器包含有FPGA芯片。
所述边界会话控制器在进行加密时,通过FPGA芯片对媒体协商携带的媒体信息进行加解密,防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等,保证用户会话过程中通信的安全性。
所述边界会话控制器通过PCIE接口与系统的CPU连接,并处理收到CPU的加解密请求指令消息。
所述系统支持的最大线程的配置根据当前IMS域SIP协议支持的最大媒体协商通道数进行配置。
当呼叫接通或者发生媒体协商时,所述边界会话控制器收到主叫侧或被叫侧的媒体网关MGW(Media Gate Way)携带的媒体协商信息(比如:invite/200)后,根据当前消息中携带的媒体通道数目,启动空闲的系统线程,利用FPGA对媒体通道携带的SDP信息进行加密,完成媒体数据的加密。
实施例2
如图2所示,所述边界会话控制器会话媒体通道加密流程包括内容如下:
边界会话控制器启动后,根据SIP媒体协商支持的通道数配置空闲线程数据信息,启动并创建一个一定数目的空闲的业务处理线程池,并创建一个文件描述符句柄,制定侦听事件的大小(即系统能够处理的并发请求消息的能力);
当呼叫接通或发生媒体协商时,边界会话控制器侦听到来自用户的媒体协商消息,将侦听到的文件描述添加到任务队列中,并唤醒一个空闲的任务进程进行业务处理;
边界会话控制器通过调用OpenCL接口,传入待加密的媒体协商信息(SDP)至FPGA中进行加密,并将加密后信息返回至CPU中,CPU通过调用SIP协议栈消息接口,加密整个数据包。
所述边界会话控制器以IPsec传输模式进行数据传输时,媒体数据部分是封装传送,IP报头不封装即被传送。
所述边界会话控制器以IP sec隧道模式进行传输时,在加密的封包上增加新的头部即是SBC的IP地址和端口号,完成IP sec媒体数据加密信息的封装,进行网络传输。
实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (10)
1.一种基于IPsec的边界会话控制器的设置方法,其特征在于,在边界会话控制器中,根据通信协议支持的媒体通道数目,设定固定数目的线程池,当发生媒体协商时,利用线程池调度系统资源,完成对数据加密传输。
2.根据权利要求1所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器包含有系统支持的最大线程配置表。
3.根据权利要求2所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器包含有FPGA芯片。
4.根据权利要求3所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器在进行加密时,通过FPGA芯片对媒体协商携带的媒体信息进行加解密。
5.根据权利要求4所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器通过PCIE接口与系统的CPU连接,并处理收到CPU的加解密请求指令消息。
6.根据权利要求5所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述系统支持的最大线程的配置根据当前IMS域SIP协议支持的最大媒体协商通道数进行配置。
7.根据权利要求6所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,当呼叫接通或者发生媒体协商时,所述边界会话控制器收到主叫侧或被叫侧的媒体网关MGW携带的媒体协商信息后,根据当前消息中携带的媒体通道数目,启动空闲的系统线程,利用FPGA对媒体通道携带的SDP信息进行加密,完成媒体数据的加密。
8.根据权利要求7所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器会话媒体通道加密流程包括内容如下:
边界会话控制器启动后,根据SIP媒体协商支持的通道数配置空闲线程数据信息,启动并创建一个一定数目的空闲的业务处理线程池,并创建一个文件描述符句柄,制定侦听事件的大小;
当呼叫接通或发生媒体协商时,边界会话控制器侦听到来自用户的媒体协商消息,将侦听到的文件描述添加到任务队列中,并唤醒一个空闲的任务进程进行业务处理;
边界会话控制器通过调用OpenCL接口,传入待加密的媒体协商信息至FPGA中进行加密,并将加密后信息返回至CPU中,CPU通过调用SIP协议栈消息接口,加密整个数据包。
9.根据权利要求8所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器以IPsec传输模式进行数据传输时,媒体数据部分是封装传送,IP报头不封装即被传送。
10.根据权利要求8所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器以IP sec隧道模式进行传输时,在加密的封包上增加SBC的IP地址和端口号,完成IP sec媒体数据加密信息的封装,进行网络传输。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810446924.2A CN108667838A (zh) | 2018-05-11 | 2018-05-11 | 一种基于IPsec的边界会话控制器的设置方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810446924.2A CN108667838A (zh) | 2018-05-11 | 2018-05-11 | 一种基于IPsec的边界会话控制器的设置方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108667838A true CN108667838A (zh) | 2018-10-16 |
Family
ID=63779102
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810446924.2A Pending CN108667838A (zh) | 2018-05-11 | 2018-05-11 | 一种基于IPsec的边界会话控制器的设置方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108667838A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109510836A (zh) * | 2018-12-14 | 2019-03-22 | 济南浪潮高新科技投资发展有限公司 | 一种基于TPM的IPsec会话边界控制装置及方法 |
CN109587152A (zh) * | 2018-12-14 | 2019-04-05 | 济南浪潮高新科技投资发展有限公司 | 一种基于编解码加密媒体网关的方法及系统 |
CN114844963A (zh) * | 2022-03-31 | 2022-08-02 | 慧之安信息技术股份有限公司 | 基于开源协议栈eXosip的扩展头部信息提取方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1426215A (zh) * | 2002-12-26 | 2003-06-25 | 北京邮电大学 | 一种适用于应用服务器的呼叫处理系统及其实现方法 |
CN101175329A (zh) * | 2007-11-02 | 2008-05-07 | 华为技术有限公司 | 基于ip多媒体子系统的跨分组域切换方法、系统及设备 |
US20120064901A1 (en) * | 2010-09-14 | 2012-03-15 | Fujitsu Limited | Method and System for Activating a Femto Base Station |
US8437266B2 (en) * | 2009-08-26 | 2013-05-07 | Avaya Inc. | Flow through call control |
CN103152493A (zh) * | 2011-12-06 | 2013-06-12 | 中兴通讯股份有限公司 | 一种云座席实现方法、系统及云座席服务端 |
-
2018
- 2018-05-11 CN CN201810446924.2A patent/CN108667838A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1426215A (zh) * | 2002-12-26 | 2003-06-25 | 北京邮电大学 | 一种适用于应用服务器的呼叫处理系统及其实现方法 |
CN101175329A (zh) * | 2007-11-02 | 2008-05-07 | 华为技术有限公司 | 基于ip多媒体子系统的跨分组域切换方法、系统及设备 |
US8437266B2 (en) * | 2009-08-26 | 2013-05-07 | Avaya Inc. | Flow through call control |
US20120064901A1 (en) * | 2010-09-14 | 2012-03-15 | Fujitsu Limited | Method and System for Activating a Femto Base Station |
CN103152493A (zh) * | 2011-12-06 | 2013-06-12 | 中兴通讯股份有限公司 | 一种云座席实现方法、系统及云座席服务端 |
Non-Patent Citations (2)
Title |
---|
庄怀宇: ""IMS的安全风险与应对方案"", 《数字技术与应用》 * |
潘平: ""会话边界控制设备SBC应用的相关研究",", 《广东通信技术》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109510836A (zh) * | 2018-12-14 | 2019-03-22 | 济南浪潮高新科技投资发展有限公司 | 一种基于TPM的IPsec会话边界控制装置及方法 |
CN109587152A (zh) * | 2018-12-14 | 2019-04-05 | 济南浪潮高新科技投资发展有限公司 | 一种基于编解码加密媒体网关的方法及系统 |
CN114844963A (zh) * | 2022-03-31 | 2022-08-02 | 慧之安信息技术股份有限公司 | 基于开源协议栈eXosip的扩展头部信息提取方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108667838A (zh) | 一种基于IPsec的边界会话控制器的设置方法 | |
US7813509B2 (en) | Key distribution method | |
CN106899969A (zh) | 基于iOS系统的特定保密终端系统实现方法 | |
CN105792193B (zh) | 基于iOS操作系统的移动终端语音端到端加密方法 | |
US10581829B1 (en) | Certificate-based call identification and routing | |
CN107466114A (zh) | 一种语音数据传输控制方法及设备 | |
US7986773B2 (en) | Interactive voice response system security | |
WO2017045407A1 (zh) | 实现端到端通话加密的方法、终端及网络侧网元 | |
CN104683098B (zh) | 一种保密通信业务的实现方法、设备及系统 | |
CN109802950B (zh) | 一种mcptt集群系统 | |
CN106713261A (zh) | 一种VoLTE加密呼叫标识方法、装置及系统 | |
WO2018201765A1 (zh) | 基于异构计算的MMTel应用服务器、会话系统及方法 | |
WO2008089694A1 (fr) | Procédé, système et équipement d'obtention de clé de protection de flux multimédia dans un réseau ims | |
CN108833943A (zh) | 码流的加密协商方法、装置及会议终端 | |
EP2843876B1 (en) | Method and device for instructing and implementing communication monitoring | |
CN104468481B (zh) | 一种实现媒体QoS承载资源控制的方法及装置 | |
WO2007048301A1 (fr) | Procede de cryptage pour service mgn | |
WO2016050133A1 (zh) | 一种认证凭证更替的方法及装置 | |
CN109194697A (zh) | SIP协议在GB28181下Internet监控方法 | |
CN103888334A (zh) | IP分组网中VoIP多层加密方法及系统 | |
WO2011131051A1 (zh) | 一种安全通信协商方法和装置 | |
CN105306902A (zh) | 一种基于4g网络的端到端高清视频安全传输系统及方法 | |
WO2008083607A1 (fr) | Procédé et système pour transférer de manière sûre un flux multimédia | |
WO2016180180A1 (zh) | 一种语音通话的加密方法及装置 | |
CN104796564B (zh) | 基于ip电话的留言业务处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181016 |
|
RJ01 | Rejection of invention patent application after publication |