CN109587152A - 一种基于编解码加密媒体网关的方法及系统 - Google Patents

一种基于编解码加密媒体网关的方法及系统 Download PDF

Info

Publication number
CN109587152A
CN109587152A CN201811534432.5A CN201811534432A CN109587152A CN 109587152 A CN109587152 A CN 109587152A CN 201811534432 A CN201811534432 A CN 201811534432A CN 109587152 A CN109587152 A CN 109587152A
Authority
CN
China
Prior art keywords
decoding
encoding
media
encrypted
media gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811534432.5A
Other languages
English (en)
Inventor
段成德
姜凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jinan Inspur Hi Tech Investment and Development Co Ltd
Original Assignee
Jinan Inspur Hi Tech Investment and Development Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jinan Inspur Hi Tech Investment and Development Co Ltd filed Critical Jinan Inspur Hi Tech Investment and Development Co Ltd
Priority to CN201811534432.5A priority Critical patent/CN109587152A/zh
Publication of CN109587152A publication Critical patent/CN109587152A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • H04L65/1023Media gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/70Media network packetisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/75Media network packet handling

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开了一种基于编解码加密媒体网关的方法及系统,属于通信技术领域。本发明的基于编解码加密媒体网关的方法,所述方法根据通信协议支持的会话编解码数量,设定固定线程池数目,发生媒体协商时,根据SIP消息中携带的SDP中的编解码信息,启动空闲线程,调度系统资源,完成对编解码资源的加密传输,在进行加密时,对媒体协商携带的媒体信息进行加解密。该发明的基于编解码加密媒体网关的方法能够防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务,从而保证用户会话过程中媒体协商安全性,具有很好的推广应用价值。

Description

一种基于编解码加密媒体网关的方法及系统
技术领域
本发明涉及通信技术领域,具体提供一种基于编解码加密媒体网关的方法及系统。
背景技术
在IMS域中,在C5架构下,信令与承载相分离,在IMS业务处理网元负责信令的解析、业务触发、信令控制等功能,承载由网元MGW(Media Gateway即媒体网关)完成,当会话发起后,需要进行放音或者通话时,需要对主被叫侧的支持的编解码进行媒体协商,完成会话的正常接续。此外在IMS域中,终端用户的多样性,使终端用户很难控制对端网络,对网络服务、语音质量、安全机制失去了可控性,缺乏统一管理的平台机制,对网络设置和安全机制的设置缺乏一个统一的管理机制。
会话便捷控制器(Session Border Controller,SBC)是IP语音网络的边界大门,主要用于解决语音会话在网络地址转换时的穿越问题,提供安全的IP通讯支持,并能提供对语音质量的保障。在FC5853的定义中,SBC被定义为一个B2BUAs,它可以实现对某些SIP头域消息和SDP媒体协商信息进行修改。同时支持对融合通信的业务能力,包括未来业务的升级和拓展。
编解码信息存储在主被叫侧的MGW中,由于数据存储时没有加密,暴露很多安全问题,比如说编解码信息被监听窃取,被篡改,导致编解码协商失败,会话建立失败,利用TPM产生的秘钥对从MGW中编解码信息加密保护,保证其数据存储在本地的安全性,在保证媒体协商数据加密的同时,提升整个边界会话控制系统的可信性,具有良好的应用前景。
发明内容
本发明的技术任务是针对上述存在的问题,提供一种能够防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务,从而保证用户会话过程中媒体协商安全性的基于编解码加密媒体网关的方法。
本发明进一步的技术任务是提供一种基于编解码加密媒体网关的系统。
为实现上述目的,本发明提供了如下技术方案:
一种基于编解码加密媒体网关的方法,所述方法根据通信协议支持的会话编解码数量,设定固定线程池数目,发生媒体协商时,根据SIP消息中携带的SDP中的编解码信息,启动空闲线程,调度系统资源,完成对编解码资源的加密传输,在进行加密时,对媒体协商携带的媒体信息进行加解密。
所述媒体网关支持Gateway Control Protocol(GCP),IP Bearer ControlProtocol(IPBCP),支持媒体资源处理、媒体转换、承载控制功能。完成两个异构网络之间的编解码(包括媒体信息和用于控制的信令信息)相互转换,使得会话能够正常接续。
该方法中利用线程池灵活调度系统资源。利用TPM可信验证模块对媒体协商携带的媒体信息进行加解密,防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等,保证用户会话过程中媒体协商的安全性。
其中,TPM可信验证模块由TPM芯片和对应的可信软件栈TSS组成,并通过PCIE接口与系统的CPU相连接,处理收到CPU的加解密请求指令消息,CPU通过调用TSS协议栈完成对TPM的加密指令的调用。
当会话建立后,呼叫接通或放音时,需要进行媒体协商,媒体网关收到来自主叫侧信令网关或被叫侧的信令网关的媒体协商信息(比如:invite/180/200)后,根据当前信令消息中携带的编解码数目,启动空闲的系统线程,利用TPM可信验证模块对信令信息中携带的SDP编解码信息进行加密,完成媒体数据的加密。
作为优选,所述固定线程池的最大线程池数目根据当前SIP消息中携带的SDP中的编码信息进行配置。
作为优选,媒体网关系统启动后,根据当前用户所属的媒体网关支持的编解码数量配置当前媒体网关系统支持的最大空闲线程数量,启动并创建空闲的业务处理线程池,同时创建文件描述符句柄并制定侦听事件的大小,所述侦听事件的大小即系统能够处理的并发请求消息的能力。
作为优选,呼叫接通或发生媒体协商时,媒体网关系统侦听到通过SIP消息SDP中携带的媒体协商消息,并将侦听到的文件描述添加到任务队列中,并唤醒空闲的业务进程进行业务处理。
作为优选,利用TPM对信令消息中携带的SDP编解码信息进行加密,完成媒体数据的加密。
作为优选,媒体网关通过TSS调用TPM的命令接口,传入待加密的媒体协商编解码信息至TPM中进行加密,并将加密后的信息返回给媒体网关的CPU中,CPU通过调用SIP协议栈消息接口,封装加密媒体编解码信息至SIP消息中的SDP中,完成媒体编解码的加密封装。
一种基于编解码加密媒体网关的系统,包括TPM可信验证模块、线程池配置模块、解析媒体协商请求消息模块、空闲线程启动模块和封装加密模块,所述TPM可信验证模块用于对媒体协商携带的信息进行验证;线程池配置模块用于配置线程池;解析媒体协商请求消息模块用于解析媒体协商请求消息;空闲线程启动模块用于根据消息携带的编解码启动空闲线程;所述封装加密模块用于封装SDP至SIP消息中。
该基于编解码加密媒体网关的系统工作过程中,根据通信协议支持的会话编解码数量,设定固定线程池数目,发生媒体协商时,根据SIP消息中携带的SDP中的编解码信息,启动空闲线程,利用线程池灵活调度系统资源,完成对编解码资源的加密传输,在进行加密时,对媒体协商携带的媒体信息进行加解密。利用TPM可信验证模块对媒体协商携带的媒体信息进行加解密,防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等,保证用户会话过程中媒体协商的安全性。
作为优选,所述TPM可信验证模块由TPM芯片和对应的可信软件栈TSS组成,TPM可信验证模块与CPU相连接。
与现有技术相比,本发明的基于编解码加密媒体网关的方法具有以下突出的有益效果:
(一)所述基于编解码加密媒体网关的方法根据通信协议支持的会话编解码数量设定固定线程池数目,在发生媒体协商时,通过启动空闲线程,利用线程池灵活调度系统资源,完成对编解码资源的加密传输,能够防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等,保证用户会话过程中媒体协商的安全性;
(二)该基于编解码加密媒体网关的方法通过一个含有TPM可信验证模块的MGW及系统支持的最大线程配置表,所述TPM可信验证模块由TPM芯片和对应的可信软件栈TSS组成,并通过PCIE接口与系统的CPU连接,处理收到CPU的加解密请求指令消息,CPU通过调用TSS协议栈完成对TPM的加密指令的调用,具有良好的推广应用价值。
附图说明
图1是本发明所述基于编解码加密媒体网关的方法的流程图。
具体实施方式
下面将结合附图和实施例,对本发明的基于编解码加密媒体网关的方法及系统作进一步详细说明。
实施例
本发明的基于编解码加密媒体网关的方法,根据通信协议支持的会话编解码数量,设定固定线程池数目,发生媒体协商时,根据SIP消息中携带的SDP中的编解码信息,启动空闲线程,调度系统资源,完成对编解码资源的加密传输,在进行加密时,对媒体协商携带的媒体信息进行加解密。
固定线程池的最大线程池数目根据当前SIP消息中携带的SDP中的编码信息进行配置。
媒体网关系统启动后,根据当前用户所属的媒体网关支持的编解码数量配置当前媒体网关系统支持的最大空闲线程数量,启动并创建空闲的业务处理线程池,同时创建文件描述符句柄并制定侦听事件的大小,该侦听事件的大小即系统能够处理的并发请求消息的能力。
呼叫接通或发生媒体协商时,媒体网关系统侦听到通过SIP消息SDP中携带的媒体协商消息,并将侦听到的文件描述添加到任务队列中,并唤醒空闲的业务进程进行业务处理。
利用TPM对信令消息中携带的SDP编解码信息进行加密,完成媒体数据的加密。媒体网关通过TSS调用TPM的命令接口,传入待加密的媒体协商编解码信息至TPM中进行加密,并将加密后的信息返回给媒体网关的CPU中,CPU通过调用SIP协议栈消息接口,封装加密媒体编解码信息至SIP消息中的SDP中,完成媒体编解码的加密封装。利用TPM可信验证模块对媒体协商携带的媒体信息进行加解密,防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等,保证用户会话过程中媒体协商的安全性。其中,TPM可信验证模块由TPM芯片和对应的可信软件栈TSS组成,并通过PCIE接口与系统的CPU相连接,处理收到CPU的加解密请求指令消息,CPU通过调用TSS协议栈完成对TPM的加密指令的调用。
媒体网关支持Gateway Control Protocol(GCP),IP Bearer Control Protocol(IPBCP),支持媒体资源处理、媒体转换、承载控制功能。完成两个异构网络之间的编解码(包括媒体信息和用于控制的信令信息)相互转换,使得会话能够正常接续。
当会话建立后,呼叫接通或放音时,需要进行媒体协商,媒体网关收到来自主叫侧信令网关或被叫侧的信令网关的媒体协商信息(比如:invite/180/200)后,根据当前信令消息中携带的编解码数目,启动空闲的系统线程,利用TPM可信验证模块对信令信息中携带的SDP编解码信息进行加密,完成媒体数据的加密。
如图1所示,该基于编解码加密媒体网关的方法的具体实施过程如图所示。媒体网关系统启动后,通过TPM可信验证模块对媒体协商携带的媒体信息进行可信验证,保证媒体协商携带的媒体信息的安全性。根据当前SIP消息中携带的SDP中的编码信息配置线程池。解析媒体协商请求消息,根据消息携带的编解码启动空闲线程。判断媒体协商请求消息判断需要解密编解码信息或者加密编解码信息,进行相应的操作进行解密编解码信息或加密编解码信息。最后将解密编解码信息或加密编解码信息封装SDP至SIP消息中。
本发明的基于编解码加密媒体网关的系统,包括TPM可信验证模块、线程池配置模块、解析媒体协商请求消息模块、空闲线程启动模块和封装加密模块,所述TPM可信验证模块用于对媒体协商携带的信息进行验证;线程池配置模块用于配置线程池;解析媒体协商请求消息模块用于解析媒体协商请求消息;空闲线程启动模块用于根据消息携带的编解码启动空闲线程;所述封装加密模块用于封装SDP至SIP消息中。TPM可信验证模块由TPM芯片和对应的可信软件栈TSS组成,TPM可信验证模块通过PCIE接口与CPU相连接。
该基于编解码加密媒体网关的系统工作过程中,根据通信协议支持的会话编解码数量,设定固定线程池数目,发生媒体协商时,根据SIP消息中携带的SDP中的编解码信息,启动空闲线程,利用线程池灵活调度系统资源,完成对编解码资源的加密传输,在进行加密时,对媒体协商携带的媒体信息进行加解密。利用TPM可信验证模块对媒体协商携带的媒体信息进行加解密,防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等,保证用户会话过程中媒体协商的安全性。
以上所述的实施例,只是本发明较优选的具体实施方式,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。

Claims (8)

1.一种基于编解码加密媒体网关的方法,其特征在于:所述方法根据通信协议支持的会话编解码数量,设定固定线程池数目,发生媒体协商时,根据SIP消息中携带的SDP中的编解码信息,启动空闲线程,调度系统资源,完成对编解码资源的加密传输,在进行加密时,对媒体协商携带的媒体信息进行加解密。
2.根据权利要求1所述的基于编解码加密媒体网关的方法,其特征在于:所述固定线程池的最大线程池数目根据当前SIP消息中携带的SDP中的编码信息进行配置。
3.根据权利要求1或2所述的基于编解码加密媒体网关的方法,其特征在于:媒体网关系统启动后,根据当前用户所属的媒体网关支持的编解码数量配置当前媒体网关系统支持的最大空闲线程数量,启动并创建空闲的业务处理线程池,同时创建文件描述符句柄并制定侦听事件的大小。
4.根据权利要求3所述的基于编解码加密媒体网关的方法,其特征在于:呼叫接通或发生媒体协商时,媒体网关系统侦听到通过SIP消息SDP中携带的媒体协商消息,并将侦听到的文件描述添加到任务队列中,并唤醒空闲的业务进程进行业务处理。
5.根据权利要求4所述的基于编解码加密媒体网关的方法,其特征在于:利用TPM对信令消息中携带的SDP编解码信息进行加密,完成媒体数据的加密。
6.根据权利要求5所述的基于编解码加密媒体网关的方法,其特征在于:媒体网关通过TSS调用TPM的命令接口,传入待加密的媒体协商编解码信息至TPM中进行加密,并将加密后的信息返回给媒体网关的CPU中,CPU通过调用SIP协议栈消息接口,封装加密媒体编解码信息至SIP消息中的SDP中,完成媒体编解码的加密封装。
7.一种基于编解码加密媒体网关的系统,其特征在于:包括TPM可信验证模块、线程池配置模块、解析媒体协商请求消息模块、空闲线程启动模块和封装加密模块,所述TPM可信验证模块用于对媒体协商携带的信息进行验证;线程池配置模块用于配置线程池;解析媒体协商请求消息模块用于解析媒体协商请求消息;空闲线程启动模块用于根据消息携带的编解码启动空闲线程;所述封装加密模块用于封装SDP至SIP消息中。
8.根据权利要求7所述的基于编解码加密媒体网关的系统,其特征在于:所述TPM可信验证模块由TPM芯片和对应的可信软件栈TSS组成,TPM可信验证模块与CPU相连接。
CN201811534432.5A 2018-12-14 2018-12-14 一种基于编解码加密媒体网关的方法及系统 Pending CN109587152A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811534432.5A CN109587152A (zh) 2018-12-14 2018-12-14 一种基于编解码加密媒体网关的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811534432.5A CN109587152A (zh) 2018-12-14 2018-12-14 一种基于编解码加密媒体网关的方法及系统

Publications (1)

Publication Number Publication Date
CN109587152A true CN109587152A (zh) 2019-04-05

Family

ID=65928681

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811534432.5A Pending CN109587152A (zh) 2018-12-14 2018-12-14 一种基于编解码加密媒体网关的方法及系统

Country Status (1)

Country Link
CN (1) CN109587152A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116166429A (zh) * 2023-02-02 2023-05-26 广州万协通信息技术有限公司 多安全芯片的通道属性确定方法及安全芯片装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012067487A1 (en) * 2010-11-16 2012-05-24 Mimos Berhad A system and method for providing integrity verification in radio frequency identification (rfid)
CN106411537A (zh) * 2016-11-21 2017-02-15 济南浪潮高新科技投资发展有限公司 一种基于ims网络会话的离线计费话单保护方法
CN108667838A (zh) * 2018-05-11 2018-10-16 济南浪潮高新科技投资发展有限公司 一种基于IPsec的边界会话控制器的设置方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012067487A1 (en) * 2010-11-16 2012-05-24 Mimos Berhad A system and method for providing integrity verification in radio frequency identification (rfid)
CN106411537A (zh) * 2016-11-21 2017-02-15 济南浪潮高新科技投资发展有限公司 一种基于ims网络会话的离线计费话单保护方法
CN108667838A (zh) * 2018-05-11 2018-10-16 济南浪潮高新科技投资发展有限公司 一种基于IPsec的边界会话控制器的设置方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116166429A (zh) * 2023-02-02 2023-05-26 广州万协通信息技术有限公司 多安全芯片的通道属性确定方法及安全芯片装置
CN116166429B (zh) * 2023-02-02 2023-09-26 广州万协通信息技术有限公司 多安全芯片的通道属性确定方法及安全芯片装置

Similar Documents

Publication Publication Date Title
CN106899969A (zh) 基于iOS系统的特定保密终端系统实现方法
CN104683304B (zh) 一种保密通信业务的处理方法、设备和系统
CN105792193B (zh) 基于iOS操作系统的移动终端语音端到端加密方法
CN101102185B (zh) Ims会话的媒体安全
CN105025475B (zh) 面向Android系统的移动保密终端实现方法
US8811609B2 (en) Information protection system and method
CN106935242A (zh) 一种语音通信加密系统与方法
CN104683098B (zh) 一种保密通信业务的实现方法、设备及系统
CN106936788A (zh) 一种适用于voip语音加密的密钥分发方法
CN100415005C (zh) 在端到端语音通信中实现明话/密话间相互切换的方法
CN105554029A (zh) WebRTC与SIP终端媒体互通的方法和媒体网关
EP2556622A1 (en) Method to encrypt information that is transferred between two communication units
WO2017215443A1 (zh) 报文传输方法、装置及系统
WO2018201765A1 (zh) 基于异构计算的MMTel应用服务器、会话系统及方法
CN104219213A (zh) 一种面向Android系统的端到端语音加密方法
CN110061962A (zh) 一种视频流数据传输的方法和装置
JP5242683B2 (ja) インターネットプロトコル(ip)ドメインでの監視における又はこれに関連する改良
CN109587152A (zh) 一种基于编解码加密媒体网关的方法及系统
CN1956443A (zh) 一种ngn业务的加密方法
CN108667838A (zh) 一种基于IPsec的边界会话控制器的设置方法
CN104581714A (zh) 一种基于td-scdma电路域的语音加密方法
CN101001143A (zh) 一种终端设备对系统设备进行认证的方法
CN100525476C (zh) 媒体网关控制协议呼叫中的内容传输方法
CN114040385A (zh) 一种基于VoLTE的加密通话系统及方法
KR101121230B1 (ko) Sip 기반 인터넷 전화 서비스 보안 시스템 및 그 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190405

RJ01 Rejection of invention patent application after publication