CN108667838A - 一种基于IPsec的边界会话控制器的设置方法 - Google Patents

一种基于IPsec的边界会话控制器的设置方法 Download PDF

Info

Publication number
CN108667838A
CN108667838A CN201810446924.2A CN201810446924A CN108667838A CN 108667838 A CN108667838 A CN 108667838A CN 201810446924 A CN201810446924 A CN 201810446924A CN 108667838 A CN108667838 A CN 108667838A
Authority
CN
China
Prior art keywords
boundary
conversation controller
media
ipsec
conversation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810446924.2A
Other languages
English (en)
Inventor
段成德
于治楼
姜凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jinan Inspur Hi Tech Investment and Development Co Ltd
Original Assignee
Jinan Inspur Hi Tech Investment and Development Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jinan Inspur Hi Tech Investment and Development Co Ltd filed Critical Jinan Inspur Hi Tech Investment and Development Co Ltd
Priority to CN201810446924.2A priority Critical patent/CN108667838A/zh
Publication of CN108667838A publication Critical patent/CN108667838A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1023Media gateways

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于IPsec的边界会话控制器的设置方法,在边界会话控制器中,根据通信协议支持的媒体通道数目,设定固定数目的线程池,当发生媒体协商时,利用线程池调度系统资源,完成对数据加密传输。本发明方法在发生媒体协商时,利用线程池灵活调度系统资源,完成对数据加密传输,在进行加密时,利用FPGA对媒体协商携带的媒体信息进行加解密,防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等,保证用户会话过程中通信的安全性。

Description

一种基于IPsec的边界会话控制器的设置方法
技术领域
本发明涉及通信领域技术领域,具体涉及一种基于IPsec的边界会话控制器的设置方法。
背景技术
会话边界控制器(Session Border Controller, SBC)是IP语音网络的边界大门,主要用于解决语音会话在网络地址转换时的穿越问题,提供安全的IP通讯支持,并能提供对语音质量的保障。在FC5853的定义中,SBC被定义为一个B2BUAs(Back-to-Back UserAgents),它可以实现对某些SIP(Session Initiation Protocol,会话初始协议)头域消息和SDP媒体协商信息进行修改,同时支持对融合通信的业务能力,包括未来业务的升级和拓展。
IPSec是IP层的一种安全协议,主要作用就是为了解决网络通信中的安全问题。在网络通信中,暴露很多安全问题,比如说数据包被监听窃取,被篡改,以及伪造身份,拒绝服务等。利用FPGA的高性能和低功耗的特点,同时支持多种加密(MD5/AES/SAE)算法,通过设定系统线程池的方式,对底层系统资源进行调度,在保证数据加密的同时,提升整个边界会话控制系统资源的利用率。
在IMS域中,由于终端用户的多样性,终端用户很难控制对端网络,对网络服务,语音质量,安全机制失了可控性。缺乏统一管理的平台机制,导致网络设置和安全机制的设置缺乏一个统一的管理机制。
发明内容
本发明要解决的技术问题是:本发明针对以上问题,提供一种基于IPsec的边界会话控制器的设置方法。
本发明所采用的技术方案为:
一种基于IPsec的边界会话控制器的设置方法,在边界会话控制器中,根据通信协议支持的媒体通道数目,设定固定数目的线程池,当发生媒体协商时,利用线程池灵活调度系统资源,完成对数据加密传输。
所述边界会话控制器包含有系统支持的最大线程配置表。
所述边界会话控制器包含有FPGA芯片。
所述边界会话控制器在进行加密时,通过FPGA芯片对媒体协商携带的媒体信息进行加解密,防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等,保证用户会话过程中通信的安全性。
所述边界会话控制器通过PCIE接口与系统的CPU连接,并处理收到CPU的加解密请求指令消息。
所述系统支持的最大线程的配置根据当前IMS域SIP协议支持的最大媒体协商通道数进行配置。
当呼叫接通或者发生媒体协商时,所述边界会话控制器收到主叫侧或被叫侧的媒体网关MGW(Media Gate Way)携带的媒体协商信息(比如:invite/200)后,根据当前消息中携带的媒体通道数目,启动空闲的系统线程,利用FPGA对媒体通道携带的SDP信息进行加密,完成媒体数据的加密。
所述边界会话控制器会话媒体通道加密流程包括内容如下:
边界会话控制器启动后,根据SIP媒体协商支持的通道数配置空闲线程数据信息,启动并创建一个一定数目的空闲的业务处理线程池,并创建一个文件描述符句柄,制定侦听事件的大小(即系统能够处理的并发请求消息的能力);
当呼叫接通或发生媒体协商时,边界会话控制器侦听到来自用户的媒体协商消息,将侦听到的文件描述添加到任务队列中,并唤醒一个空闲的任务进程进行业务处理;
边界会话控制器通过调用OpenCL接口,传入待加密的媒体协商信息(SDP)至FPGA中进行加密,并将加密后信息返回至CPU中,CPU通过调用SIP协议栈消息接口,加密整个数据包。
所述边界会话控制器以IPsec传输模式进行数据传输时,媒体数据部分是封装传送,IP报头不封装即被传送。
所述边界会话控制器以IP sec隧道模式进行传输时,在加密的封包上增加新的头部即是SBC的IP地址和端口号,完成IP sec媒体数据加密信息的封装,进行网络传输。
本发明的有益效果为:
本发明方法在发生媒体协商时,利用线程池灵活调度系统资源,完成对数据加密传输,在进行加密时,利用FPGA对媒体协商携带的媒体信息进行加解密,防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等,保证用户会话过程中通信的安全性。
附图说明
图1为本发明基于IPsec的边界会话控制器结构意图;
图2为基于IP sec的边界会话控制器会话媒体通道加密流程图。
具体实施方式
下面根据说明书附图,结合具体实施方式对本发明进一步说明:
实施例1:
如图1所示,一种基于IPsec的边界会话控制器的设置方法,其特征在于,在边界会话控制器中,根据通信协议支持的媒体通道数目,设定固定数目的线程池,当发生媒体协商时,利用线程池灵活调度系统资源,完成对数据加密传输。
所述边界会话控制器包含有系统支持的最大线程配置表。
所述边界会话控制器包含有FPGA芯片。
所述边界会话控制器在进行加密时,通过FPGA芯片对媒体协商携带的媒体信息进行加解密,防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等,保证用户会话过程中通信的安全性。
所述边界会话控制器通过PCIE接口与系统的CPU连接,并处理收到CPU的加解密请求指令消息。
所述系统支持的最大线程的配置根据当前IMS域SIP协议支持的最大媒体协商通道数进行配置。
当呼叫接通或者发生媒体协商时,所述边界会话控制器收到主叫侧或被叫侧的媒体网关MGW(Media Gate Way)携带的媒体协商信息(比如:invite/200)后,根据当前消息中携带的媒体通道数目,启动空闲的系统线程,利用FPGA对媒体通道携带的SDP信息进行加密,完成媒体数据的加密。
实施例2
如图2所示,所述边界会话控制器会话媒体通道加密流程包括内容如下:
边界会话控制器启动后,根据SIP媒体协商支持的通道数配置空闲线程数据信息,启动并创建一个一定数目的空闲的业务处理线程池,并创建一个文件描述符句柄,制定侦听事件的大小(即系统能够处理的并发请求消息的能力);
当呼叫接通或发生媒体协商时,边界会话控制器侦听到来自用户的媒体协商消息,将侦听到的文件描述添加到任务队列中,并唤醒一个空闲的任务进程进行业务处理;
边界会话控制器通过调用OpenCL接口,传入待加密的媒体协商信息(SDP)至FPGA中进行加密,并将加密后信息返回至CPU中,CPU通过调用SIP协议栈消息接口,加密整个数据包。
所述边界会话控制器以IPsec传输模式进行数据传输时,媒体数据部分是封装传送,IP报头不封装即被传送。
所述边界会话控制器以IP sec隧道模式进行传输时,在加密的封包上增加新的头部即是SBC的IP地址和端口号,完成IP sec媒体数据加密信息的封装,进行网络传输。
实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (10)

1.一种基于IPsec的边界会话控制器的设置方法,其特征在于,在边界会话控制器中,根据通信协议支持的媒体通道数目,设定固定数目的线程池,当发生媒体协商时,利用线程池调度系统资源,完成对数据加密传输。
2.根据权利要求1所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器包含有系统支持的最大线程配置表。
3.根据权利要求2所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器包含有FPGA芯片。
4.根据权利要求3所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器在进行加密时,通过FPGA芯片对媒体协商携带的媒体信息进行加解密。
5.根据权利要求4所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器通过PCIE接口与系统的CPU连接,并处理收到CPU的加解密请求指令消息。
6.根据权利要求5所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述系统支持的最大线程的配置根据当前IMS域SIP协议支持的最大媒体协商通道数进行配置。
7.根据权利要求6所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,当呼叫接通或者发生媒体协商时,所述边界会话控制器收到主叫侧或被叫侧的媒体网关MGW携带的媒体协商信息后,根据当前消息中携带的媒体通道数目,启动空闲的系统线程,利用FPGA对媒体通道携带的SDP信息进行加密,完成媒体数据的加密。
8.根据权利要求7所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器会话媒体通道加密流程包括内容如下:
边界会话控制器启动后,根据SIP媒体协商支持的通道数配置空闲线程数据信息,启动并创建一个一定数目的空闲的业务处理线程池,并创建一个文件描述符句柄,制定侦听事件的大小;
当呼叫接通或发生媒体协商时,边界会话控制器侦听到来自用户的媒体协商消息,将侦听到的文件描述添加到任务队列中,并唤醒一个空闲的任务进程进行业务处理;
边界会话控制器通过调用OpenCL接口,传入待加密的媒体协商信息至FPGA中进行加密,并将加密后信息返回至CPU中,CPU通过调用SIP协议栈消息接口,加密整个数据包。
9.根据权利要求8所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器以IPsec传输模式进行数据传输时,媒体数据部分是封装传送,IP报头不封装即被传送。
10.根据权利要求8所述的一种基于IPsec的边界会话控制器的设置方法,其特征在于,所述边界会话控制器以IP sec隧道模式进行传输时,在加密的封包上增加SBC的IP地址和端口号,完成IP sec媒体数据加密信息的封装,进行网络传输。
CN201810446924.2A 2018-05-11 2018-05-11 一种基于IPsec的边界会话控制器的设置方法 Pending CN108667838A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810446924.2A CN108667838A (zh) 2018-05-11 2018-05-11 一种基于IPsec的边界会话控制器的设置方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810446924.2A CN108667838A (zh) 2018-05-11 2018-05-11 一种基于IPsec的边界会话控制器的设置方法

Publications (1)

Publication Number Publication Date
CN108667838A true CN108667838A (zh) 2018-10-16

Family

ID=63779102

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810446924.2A Pending CN108667838A (zh) 2018-05-11 2018-05-11 一种基于IPsec的边界会话控制器的设置方法

Country Status (1)

Country Link
CN (1) CN108667838A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109510836A (zh) * 2018-12-14 2019-03-22 济南浪潮高新科技投资发展有限公司 一种基于TPM的IPsec会话边界控制装置及方法
CN109587152A (zh) * 2018-12-14 2019-04-05 济南浪潮高新科技投资发展有限公司 一种基于编解码加密媒体网关的方法及系统
CN114844963A (zh) * 2022-03-31 2022-08-02 慧之安信息技术股份有限公司 基于开源协议栈eXosip的扩展头部信息提取方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1426215A (zh) * 2002-12-26 2003-06-25 北京邮电大学 一种适用于应用服务器的呼叫处理系统及其实现方法
CN101175329A (zh) * 2007-11-02 2008-05-07 华为技术有限公司 基于ip多媒体子系统的跨分组域切换方法、系统及设备
US20120064901A1 (en) * 2010-09-14 2012-03-15 Fujitsu Limited Method and System for Activating a Femto Base Station
US8437266B2 (en) * 2009-08-26 2013-05-07 Avaya Inc. Flow through call control
CN103152493A (zh) * 2011-12-06 2013-06-12 中兴通讯股份有限公司 一种云座席实现方法、系统及云座席服务端

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1426215A (zh) * 2002-12-26 2003-06-25 北京邮电大学 一种适用于应用服务器的呼叫处理系统及其实现方法
CN101175329A (zh) * 2007-11-02 2008-05-07 华为技术有限公司 基于ip多媒体子系统的跨分组域切换方法、系统及设备
US8437266B2 (en) * 2009-08-26 2013-05-07 Avaya Inc. Flow through call control
US20120064901A1 (en) * 2010-09-14 2012-03-15 Fujitsu Limited Method and System for Activating a Femto Base Station
CN103152493A (zh) * 2011-12-06 2013-06-12 中兴通讯股份有限公司 一种云座席实现方法、系统及云座席服务端

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
庄怀宇: ""IMS的安全风险与应对方案"", 《数字技术与应用》 *
潘平: ""会话边界控制设备SBC应用的相关研究",", 《广东通信技术》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109510836A (zh) * 2018-12-14 2019-03-22 济南浪潮高新科技投资发展有限公司 一种基于TPM的IPsec会话边界控制装置及方法
CN109587152A (zh) * 2018-12-14 2019-04-05 济南浪潮高新科技投资发展有限公司 一种基于编解码加密媒体网关的方法及系统
CN114844963A (zh) * 2022-03-31 2022-08-02 慧之安信息技术股份有限公司 基于开源协议栈eXosip的扩展头部信息提取方法

Similar Documents

Publication Publication Date Title
CN108667838A (zh) 一种基于IPsec的边界会话控制器的设置方法
US7813509B2 (en) Key distribution method
CN106899969A (zh) 基于iOS系统的特定保密终端系统实现方法
CN105792193B (zh) 基于iOS操作系统的移动终端语音端到端加密方法
US10581829B1 (en) Certificate-based call identification and routing
CN107466114A (zh) 一种语音数据传输控制方法及设备
US7986773B2 (en) Interactive voice response system security
WO2017045407A1 (zh) 实现端到端通话加密的方法、终端及网络侧网元
CN104683098B (zh) 一种保密通信业务的实现方法、设备及系统
CN109802950B (zh) 一种mcptt集群系统
CN106713261A (zh) 一种VoLTE加密呼叫标识方法、装置及系统
WO2018201765A1 (zh) 基于异构计算的MMTel应用服务器、会话系统及方法
WO2008089694A1 (fr) Procédé, système et équipement d'obtention de clé de protection de flux multimédia dans un réseau ims
CN108833943A (zh) 码流的加密协商方法、装置及会议终端
EP2843876B1 (en) Method and device for instructing and implementing communication monitoring
CN104468481B (zh) 一种实现媒体QoS承载资源控制的方法及装置
WO2007048301A1 (fr) Procede de cryptage pour service mgn
WO2016050133A1 (zh) 一种认证凭证更替的方法及装置
CN109194697A (zh) SIP协议在GB28181下Internet监控方法
CN103888334A (zh) IP分组网中VoIP多层加密方法及系统
WO2011131051A1 (zh) 一种安全通信协商方法和装置
CN105306902A (zh) 一种基于4g网络的端到端高清视频安全传输系统及方法
WO2008083607A1 (fr) Procédé et système pour transférer de manière sûre un flux multimédia
WO2016180180A1 (zh) 一种语音通话的加密方法及装置
CN104796564B (zh) 基于ip电话的留言业务处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20181016

RJ01 Rejection of invention patent application after publication