WO2012116628A2

WO2012116628A2 - 互联网协议多媒体子系统网络、数据传输方法和装置

Info

Publication number: WO2012116628A2
Application number: PCT/CN2012/071722
Authority: WO
Inventors: 陈爱平; 张战兵
Original assignee: 成都市华为赛门铁克科技有限公司
Priority date: 2011-02-28
Filing date: 2012-02-28
Publication date: 2012-09-07
Also published as: US9338189B2; EP2584744B1; EP2584744A4; WO2012116628A3; EP2584744A2; CN102118292B; CN102118292A; US20130188644A1

Description

互联网协议多媒体子系统网络、数据传输方法和装置本申请要求于 2011 年 2 月 28 日提交中国专利局、申请号为 201110047670.5、发明名称为"互联网协议多媒体子系统网络、数据传输方法和装置"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域本发明涉及通信技术领域，尤其涉及一种互联网协议多媒体子系统网络、数据传输方法和装置。

背景技术

IMS ( Internet Protocol Media Subsystem, IP ( Internet Protocol, 互联网协议）多媒体子系统）是一种全新的多媒体业务形式，已被公认为是下一代网络 ( Next Generation Network, NGN )的核心技术。 IMS基于 SIP ( Session Initiation Protocol, 会话初始化协议）协议支持各种固定接入和移动接入，基于 ALL-IP 实现移动与固网融合，是实现语音、数据和视频等多媒体全业务融合的重要方式。 IMS支持丰富的接入终端和接入网络， IMS终端与 IMS核心网之间可能会历经非常复杂的接入路径，中间网元如防火墙（Firewall, FW )、网络地址转换（Network Address Translation, NAT )设备、应用代理（Proxy )服务器和业务监控网关等设备会对承载 IMS业务的报文（ SIP/RTP ( Real-time Transport Protocol, 实时传输协议）报文）进行处理和控制，可能导致 IMS终端无法正常接入或通信。

目前，主要采用基于隧道封装的机制，实现 IMS业务的安全接入。如图 1 所示，在 IMS核心网的入口处部署 STG ( Security Tunnel Gateway, 安全隧道网关），在 IMS终端集成 SSL隧道客户端。 IMS终端启动时，通过 SSL隧道客户端与 STG建立 SSL隧道，将 SIP/RTP报文按照图 2所示的过程进行 SSL隧道封装后，将封装结果 (可称为 SSL隧道报文 )通过 SSL隧道传输到 STG。上述 SSL隧道报文通过网络发送到 STG后， STG按照图 2的逆过程 (即隧道解封装）从 SSL隧道报文中还原出 SIP/RTP报文，并转发给媒体服务器。反过来，媒体服务器返回的才艮文也经过同样的过程发送给 IMS终端，由 IMS终端进行还原。从而，通过 SSL隧道封装将 IMS业务的上万个端口统一聚合到一个标准的 HTTPS ( 443 )端口，轻松穿越 FW、 NAT及 Proxy等中间网元设备，并支持 SIP/RTP报文的加密，实现通信数据的端口聚合、数据加密、信息完整性保护等功能。 SIP/RTP报文除了可基于 SSL隧道封装外，也可基于 HTTP ( Hyper Text Transfer Protocol, 超文本传输协议）隧道或 UDP ( User Datagram Protocol, 用户数据才艮协议）隧道封装。

具体地，如图 2所示，对 RTP"¾文进行 SSL隧道封装的过程如下：体数据（如语音、视频等数据）进行采集、编码；

步骤 S204: 将媒体数据通过虚拟协议栈封装为 RTP报文；

步骤 S206: 在 RTP报文的头部加入隧道协议头（ Encapsulate Header, 图 2 中缩写为 Enc Hdr, 还可缩写为 Enc Header );

步骤 S208: 添加摘要信息和分组长度补齐信息 (摘要信息和分组长度补齐信息在图 2中用 HMAC-Tail表示），并对整个报文进行 SSL加密，然后，在加密后的报文的头部增加 SSL协议头（SSL Header, 图 2中缩写为 SSL Hdr ), 形成一个 SSL Record ( SSL记录或 SSL记录单元）；

步骤 S210: 为了在网络中传输，最终还需要将 SSL Record封装成 TCP ( Transfer Control Protocol, 传输控制协议 )报文（即上述的 SSL隧道报文），通过网络传输到 STG。

在上述的 SSL隧道封装过程中，由于每个 RTP报文形成一个 SSL Record, 在每个 RTP报文之外增加了大量附加信息，导致最终发送的 SSL隧道报文的长度比 RTP报文的长度大得多，从而使得单包的带宽急剧增加。

以媒体数据的音频编码格式为 G.729为例， RTP报文长度的计算公式是：

IP(20) + UDP(8) + RTP(12) + Payload(20) = 60个字节，其中， IP表示 IP头， UDP 表示 UDP头， RTP表示 RTP头， Payload表示负载（即 IMS业务的媒体数据）。从而，在每秒 50个报文（即 RTP报文的打包时长为 20ms ) 时，计算得到带宽为 60 * 8 * ( 1 s/20ms)=24kbps。

经过 SSL隧道封装之后，最终发送的 SSL隧道报文的长度计算公式是： IP(20) + TCP(20) + SSL Header(5) + Enc Header(16) + RTP报文 (60) + HMAC-Tail(28) = 149个字节，其中， IP表示 IP头， TCP表示 TCP头， SSL Header 表示 S SL协议头， Enc Header表示隧道协议头， HMAC-Tail表示摘要信息 ( HMAC )和分组长度补齐信息（Tail ) 的组合。从而，在每秒 50个报文时，计算得到带宽为 149*8*(ls/20ms)=59.6kbps。

通过比较 SSL隧道封装前后的报文长度，可推算出单包的带宽增加了 35.6kbps (即附加带宽为 35.6kbps ), 相当于增加了 148%的带宽。带宽的急剧增加，对用户接入的带宽提出了更高的要求，在一定程度上降低了用户的使用体验和业务接入能力。

发明内容本发明实施例提供了一种互联网协议多媒体子系统网络、数据传输方法和装置，可至少解决上述现有技术降低了用户的使用体验和业务接入能力的问题。

一方面，提供了一种数据传输方法，用于 IMS, 包括：对 RTP报文进行隧道封装，得到隧道报文，其中，隧道报文中包括记录单元，每个记录单元中封装有多个 RTP报文；将隧道报文通过与对端之间的隧道发送到对端，其中，对端为 STG或者 IMS终端。

另一方面，提供了一种数据传输装置，用于 IMS, 包括：封装模块，用于对 RTP报文进行隧道封装，得到隧道报文，其中，隧道报文中包括记录单元，每个记录单元中封装有多个 RTP报文；发送模块，用于将隧道报文通过与对端之间的隧道发送到对端，其中，对端为 STG或者 IMS终端。

又一方面，提供了一种 IMS网络，包括 IMS终端和 STG, 其中， IMS终端和 STG为上述的数据传输装置。

本发明实施例根据 RTP报文的小包定时发送的特点，将多个 RTP报文形成一个 Record, 即，多个 RTP报文共享一个 Record的附加信息，从而通过牺牲较小的实时性，将 IMS业务的隧道封装过程中多个 RTP报文的附加信息进行整合，减少了隧道封装带来的附加带宽，进而降低了单包的带宽，避免了现有技术由于单包的附加带宽较大，对用户接入的带宽提出了更高的要求，在一定程度上降低了用户的使用体验和业务接入能力的问题。附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1是根据现有技术的 IMS系统的架构示意图；

图 2是根据现有技术的 IMS业务报文的 SSL隧道封装过程的示意图；图 3是根据本发明实施例一的 IMS系统的数据传输方法的流程图；图 4是根据本发明实施例二的 IMS终端的数据传输方法的流程图；图 5是根据本发明实施例二的 IMS业务报文的 SSL隧道封装过程的示意图；

图 6是根据本发明是实例二的 SSL Record的帧结构示意图；

图 7是根据本发明实施例一的 IMS中的数据传输装置的结构示意图；图 8是根据本发明实施例二的 IMS中的数据传输装置的结构示意图；图 9是根据本发明实施例三的 IMS中的数据传输装置的结构示意图；图 10是根据本发明实施例四的 IMS中的数据传输装置的结构示意图；图 11是根据本发明实施例五的 IMS中的 IMS终端、 STG和 SIP/媒体服务器的层次结构示意图。具体实施方式为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

在如图 1所示的 IMS系统中 , IMS终端与 IMS核心网入口处的 STG之间建立隧道，例如 SSL隧道、 HTTP隧道或 UDP隧道，两者之间通过该隧道进行数据传输，以实现 IMS业务的安全接入和传输。

实施例一

在上述的 IMS系统中，根据本发明实施例一的 IMS终端或 STG的数据传输方法如图 3所示，包括以下步骤：

步骤 S302, 对 RTP报文进行隧道封装，得到隧道报文，其中，隧道报文中包括记录单元，每个记录单元中封装有多个 RTP报文；

例如，当 IMS终端和 STG之间建立的是 SSL隧道时， IMS终端或 STG对 RTP 报文进行隧道封装，即，将多个 RTP报文进行 SSL隧道封装，形成一个 SSL Record, 然后再将 SSL Record封装成隧道报文。此处将多个 RTP报文进行 SSL 隧道封装形成一个 SSL Record的具体处理过程，将在下面的如图 4-5所示的实施例二中进行详细描述，这里不再贅述。

步骤 S304, 将步骤 S302中得到的隧道报文通过与对端之间的隧道发送到对端，其中，对端为 STG或者 IMS终端。

显然，当执行步骤 S302-步骤 S304的是 IMS终端时，对端即为 STG; 当执行步骤 S302-步骤 S304的是 STG时，对端即为 IMS终端。 IMS终端和 STG可以通过两者之间建立的隧道进行数据传输。

在 IMS业务中，最主要的网络流量来自 RTP报文，而 RTP报文存在定时发送大量小包的特点，发包时间间隔一般在 10ms ~ 100ms之间，每个 RTP报文的字节长度一般都不会超过 200字节。本发明实施例根据 RTP报文的小包定时发送的特点，将多个 RTP^艮文形成一个 Record, 即，多个 RTP^艮文共享一个 Record 的附加信息，从而通过牺牲较小的实时性，将隧道封装过程中多个 RTP报文的附加信息进行整合，减少了隧道封装带来的附加带宽，进而降低了单包的带宽，避免了现有技术由于单包的附加带宽较大，对用户接入的带宽提出了更高的要求，在一定程度上降低了用户的使用体验和业务接入能力的问题。

在上述实施例一中，隧道可以是 SSL隧道，也可以是 HTTP隧道或 UDP隧道等。

在上述的 IMS系统中，根据本发明实施例中的 IMS终端或 STG的数据传输方法，包括以下步骤：

步骤 S312, 对 RTP报文进行隧道封装，得到隧道报文，其中，隧道 4艮文中包括至少一个记录单元，每个记录单元中封装有至少一个 RTP报文；

步骤 S314, 将步骤 S312中得到的隧道报文通过与对端之间的隧道发送到对端，其中，对端为 STG或者 IMS终端。

步骤 S312中，对 SSL Record进行 TCP封装时，为了进一步减少附加带宽，也可以将多个 SSL Record封装到一个 TCP报文（即 SSL隧道报文）中，从而，在最终发送的 SSL隧道报文中可以包括一个或多个 SSL Record , 每个 SSL Record中封装有多个 RTP^艮文。

实施例二

以 IMS终端向 STG发送隧道 ^艮文为例，进行说明。如图 4所示，根据本发明实施例二的 IMS终端的数据传输方法包括以下步骤：

步骤 S402, 在预先创建的链表中，生成（具体生成步骤同图 1中的步骤 S202-S204 ) 并緩存 RTP报文；

例如，该链表可以为一个 FIFO ( First In First Out, 先入先出）链表，可以预先创建一个 FIFO链表，不断地将 IMS业务的媒体数据写入该 FIFO链表所在的内存空间中，将媒体数据封装成一个个的 RTP报文，并緩存生成（即封装得到）的 RTP报文。

步骤 S404, 判断是否达到预定封装时间间隔 T, 若是，则进入步骤 S406, 若否，则返回步骤 S404;

例如，可以通过设置定时器，该定时器的周期为 T。为了确保 IMS业务的服务质量，上述预定封装时间间隔 T的具体取值应该在语音时延允许的范围内，即 T 200ms, 例如， T=100ms。

步骤 S406, 对链表中的在 T内收集到的多个 RTP报文（RTP报文的个数）进行隧道封装，使得这多个 RTP报文形成一个 Record, 并将该 Record封装成最终的隧道报文；如图 5所示，以 SSL隧道为例，对 T内收集到的多个 RTP^艮文（记为 N个 ) 进行 SSL隧道封装的过程，包括以下步骤：

步骤 S502- S504, 同图 2中的步骤 S202-S204; 这两个步骤是将媒体数据生成 RTP报文的步骤；

步骤 S506, 将链表中的 N个 RTP报文（即在 T内收集的 N个 RTP报文，其中的每个 RTP报文均按照图 5中的步骤 S502-S504生成）取出，并拷贝到一段连续的内存空间中，在这段内存空间的头部加入隧道协议头（Enc Header );

步骤 S508: 按照一定的摘要算法对加入了 Enc Header后的内存空间的内容 (或数据）进行摘要计算，得到摘要信息（HMAC ), 并将该摘要信息附加在内存空间的尾部，然后再在该摘要信息的后面添加分组长度补齐信息（Tail ) (摘要信息和分组长度补齐信息在图 5中用 HMAC-Tail表示），之后，对整个报文进行 SSL加密，然后，在加密后的报文的头部添加 SSL协议头（ SSL Header ), 形成一个 SSL Record;

添加了 Tail之后，此时，整个报文的数据长度可以为 16 bytes、 32 bytes、 64 bytes, 128 bytes等的整数倍，在实际应用中，一般是 16 bytes的整数倍。

SSL Record的帧结构示意图如图 6所示，主要由两大部分构成：头部和加密数据，其中，头部包括内容类型、版本号和数据长度，头部即为图 5中的 SSL Header; 加密数据包括 Enc Header, N个 RTP报文（图 6中仅示出了 2个 RTP报文的情况）以及 HMAC (摘要信息）和 Tail (分组长度补齐信息）。

步骤 S510, 同图 2中的步骤 S210。将 SSL Record作为内容，在头部添加 TCP 头和 IP头，以完成 TCP封装。在该步骤中值得注意的是在对 SSL Record进行 TCP 封装时，为了进一步减少附加带宽，也可以将多个 SSL Record封装到一个 TCP 报文（即 SSL隧道报文）中，从而，在最终发送的 SSL隧道报文中可以包括一个或多个 SSL Record, 每个 SSL Record中封装有多个 RTP报文。

通过上述的过程，可以将原本需要多个 Record封装的 RTP报文变为只需一个 Record封装即可。

同样以媒体数据的音频编码格式为 G.729为例，假设 T=100ms, RTP报文的打包时长为 20ms,此时 SSL隧道报文的带宽计算公式变更为： {IP(20) + TCP(20) + SSL Header(5) + Enc Header(16) + RTP报文 ((100/20) * 60)+ HMAC-Tail(28)} * 8 * (ls/100ms) = 389 * 8* 10 = 31.12 kbps„ 与 RTP报文的带宽 24 kbps相比, 附加带宽为 31.12-24=7.12 kbps。

从上述实际数据中可以看出，当预定封装时间间隔 T=100ms时，采用本发明实施例后的 SSL隧道报文的带宽 31.12 kbps与现有技术中 SSL隧道报文的带宽 59.6 kbps相比，带宽减少了 28.48 kbps, 附加带宽也从 35.6 kbps减少到了 7.12 kbps, 减少了 5倍。

假设 T=200ms, RTP报文的打包时长为 20ms, 此时 SSL隧道报文的带宽计算公式变更为： {IP(20) + TCP(20) + SSL Header(5) + Enc Header(16) + RTP报文 ((200/20) * 60)+ HMAC-Tail(28) }* 8 * (ls/200ms) = 689 * 8* 5 = 27.56 kbps。与 RTP报文的带宽 24 kbps相比，附加带宽为 27.56-24=3.56 kbps。

可以看出，当预定封装时间间隔 T=200ms时，采用本发明实施例后的 SSL 隧道报文的带宽 27.56 kbps与现有技术中 SSL隧道报文的带宽 59.6 kbps相比，带宽减少了 32.04 kbps, 附加带宽也从 35.6kbps减少到了 3.56kbps, 减少了 10倍。

从上述两组实例中可以得出：预定封装时间间隔 T越长，最终发送的隧道报文与 RTP报文相比的附加带宽减少得越多，从而隧道报文的单包带宽也就越小。对于特定的媒体编码类型，根据本发明实施例的隧道报文与未封装的 RTP 报文相比的发包特征发生了变化，表现为发包间隔加长了整数倍（发包间隔即为 T ),报文长度也基本按等比例增加，但是附加带宽却也得到了相同比例的减少，隧道报文的带宽得到了显著的节约。媒体数据的音频编码格式不同， RTP 报文的长度会发生变化，但是，不会影响最终的隧道报文的附加带宽的减少。

步骤 S408, 将得到的隧道 ^艮文通过与 STG之间的隧道发送到 STG。

STG接收到隧道报文之后，就可以按照如图 5所示的逆过程对隧道报文进行隧道解封装，还原得到其中的多个 RTP报文。

同样， STG向 IMS终端发送隧道报文的流程同上述步骤 S402-S408, 这里不再贅述。此时， IMS终端在接收 STG通过隧道发来的隧道报文之后，会对接收的隧道报文进行隧道解封装，得到 RTP报文，其中，隧道报文包括记录单元，每个记录单元中封装有多个 RTP报文。

此外，当隧道为 HTTP隧道时， IMS终端或 STG进行 HTTP隧道封装的具体处理流程与图 4-5类似，只是在步骤 S508中添加了分组长度补齐信息后不进行加密，而直接在报文的头部添加 HTTP协议头（ HTTP Header ), 形成一个 HTTP 消息体；当隧道为 UDP隧道时， IMS终端或 STG进行 UDP隧道封装的具体处理流程也与图 4-5类似，只是在步骤 S508中在加密（加密不一定是 SSL加密）后的报文的头部添加 UDP协议头（ UDP Header ), 形成一个 UDP报文体。

图 7是根据本发明实施例一的 IMS中的数据传输装置的结构示意图，该数据传输装置可以为 IMS终端或 STG。如图 7所示，该装置包括：封装模块 10, 用于对 RTP报文进行隧道封装，得到隧道报文，其中，隧道报文中包括记录单元，每个记录单元中封装有多个 RTP报文；发送模块 20, 用于将封装模块 10得到的隧道报文通过与对端之间的隧道发送到对端，其中，对端为 STG或者 IMS 终端。

本发明实施例根据 RTP报文的小包定时发送的特点，将多个 RTP报文形成一个 Record, 即，多个 RTP报文共享一个 Record的附加信息，从而通过牺牲较小的实时性，将隧道封装过程中多个 RTP报文的附加信息进行整合，减少了隧道封装带来的附加带宽，进而降低了单包的带宽，避免了现有技术由于单包的附加带宽较大，对用户接入的带宽提出了更高的要求，在一定程度上降低了用户的使用体验和业务接入能力的问题。从而使隧道报文既能满足实时性的要求，又能够满足带宽要求。

在实际应用中，上述的隧道可以是 SSL隧道，也可以是 HTTP隧道或 UDP 隧道。

如图 8所示，封装模块 10包括：封装緩存模块 102, 用于在预先创建的链表中，生成并緩存 RTP报文；定时器 104, 用于进行计时；判断模块 106, 用于判断定时器 104是否到达预定封装时间间隔 T, 其中，预定封装时间间隔 T的值应该小于或等于 200ms (在 IMS的语音时延允许的范围内）；处理模块 108, 用于在判断模块 106的判断结果为到达时，对上述链表中的在这预定封装时间间隔 T 内生成的多个 RTP报文（RTP报文的个数）进行隧道封装，得到隧道报文。

如图 9所示，为了对链表中的多个 RTP报文进行隧道封装，处理模块 108可以包括以下几个模块，分别如下：

拷贝模块 1081 , 用于从链表中取出多个 RTP报文，并拷贝到一段连续的内存空间中；

隧道协议头添加模块 1082,用于在该内存空间的头部加入隧道协议头（ Enc Header );

摘要信息计算添加模块 1083 , 用于对经隧道协议头添加模块 1082加入了 Enc Header后的内存空间中的数据进行摘要计算，并将计算得到的摘要信息 ( HMAC ) 附加在加入了 Enc Header后的内存空间的尾部；

补齐信息添加模块 1084,用于在摘要信息计算添加模块 1083附加的 HMAC 的后面附加分组长度补齐信息（Tail );

加密模块 1085, 用于当隧道为 SSL隧道或 UDP隧道时，对经补齐信息添加模块 1084附加了 Tail后的内存空间中的数据进行加密；

协议头添加模块 1086, 用于当隧道为 SSL隧道时，在经加密模块 1085加密后的内存空间的头部添加 SSL协议头，形成 SSL记录单元；当隧道为 UDP隧道时，在经加密模块 1085加密后的内存空间的头部添加 UDP协议头，形成 UDP 报文体；当隧道为 HTTP隧道时，在将经补齐信息添加模块 1084附加了 Tail后的内存空间的头部添加 HTTP协议头，形成 HTTP消息体；

TCP封装模块 1087, 用于对协议头添加模块 1086形成的记录单元进行 TCP 封装，得到隧道报文，其中，记录单元为以下之一： SSL记录单元、 UDP报文体、 HTTP消息体。即，当隧道为 SSL隧道时，对 SSL记录单元进行 TCP封装，得到 SSL隧道报文，当隧道是 UDP隧道时，对 UDP报文体进行 TCP封装，得到 UDP隧道报文，当隧道是 HTTP隧道时，对 HTTP消息体进行 TCP封装，得到 HTTP隧道报文。

如图 10所示，该装置还可以包括：接收模块 30, 用于接收对端通过隧道发来的隧道报文；卸载模块 40, 用于对接收模块 30接收的隧道报文进行隧道解封装，得到 RTP报文，其中，隧道报文包括记录单元，每个记录单元中封装有多个 RTP报文。显然，上述的卸载模块 40在对隧道报文进行隧道解封装时的具体处理过程是上述图 5所示的逆过程，这里不再贅述。

在实际应用中，隧道为 SSL隧道时，如图 11所示， IMS终端中集成有 SSL 隧道客户端， IMS终端通过 SSL隧道客户端与 STG建立 SSL隧道。 IMS终端和 SIP/媒体服务器承担业务 /媒体层处理和 SIP/RTP报文的处理。 SIP/媒体服务器具备 TCP/IP协议栈，用于与 SSL隧道客户端的 TCP/IP虚拟协议栈通信。其中， SSL隧道客户端包括： TCP/IP虚拟协议栈、隧道封装 /卸载模块、 SSL协议栈和 TCP/IP协议栈模块。 STG包括：隧道封装 /卸载模块、 SSL协议栈和 TCP/IP协议栈模块。在实际应用中，在 IMS客户端中，可以由 SSL隧道客户端中的 TCP/IP 虚拟协议栈、隧道封装 /卸载模块、 SSL协议栈和 TCP/IP协议栈来实现如图 10 中的封装模块 10和卸载模块 40的功能。在 STG中，可以由隧道封装 /卸载模块、 SSL协议栈和 TCP/IP协议栈来实现如图 10中的封装模块 10和卸载模块 40的功

•6匕

匕。

具体地，在 SSL隧道客户端中， TCP/IP虚拟协议栈用于 SIP/RTP报文构造 IP 层信息（对应于图 5中的步骤 S504 )。隧道封装 /卸载模块用于 RTP报文的隧道封装和卸载，发送时，将隧道协议头（Enc Header )加入到报文中，用于标识隧道承载格式和类型（对应于图 5中的步骤 S506 ), 接收时，识别隧道内容类型并将隧道协议头进行卸载，提取 RTP报文。 SSL协议栈用于 SSL封装、加密和数据收发，得到 SSL Record (对应于图 5中的步骤 S508 )。 TCP/IP协议栈用于将 SSL Record进行传输层和网络层的封装和卸载，得到 SSL隧道 ·艮文 (对应于图 5中的步骤 S510 )。

同样， STG中的隧道封装 /卸载模块、 SSL协议栈和 TCP/IP协议栈的功能分别与 SSL隧道客户端中的隧道封装 /卸载模块、 SSL协议栈和 TCP/IP协议栈的功能相同，这里不再贅述。

当 IMS终端通过 SSL隧道客户端向 STG发送数据时，具体处理流程如下：步骤 1， TCP/IP协议栈将 IMS终端所要发送的媒体数据封装为 RTP报文；步骤 2, 在隧道封装 /卸载模块中设置一个定时器，该定时器的周期（即上述的预定封装时间间隔）为 T, 并设置 T的值在语音时延允许的范围内（T 200ms, 如 T=100ms)。隧道封装 /卸载模块在 T内收集多个 RTP报文（个数为 T 除以 RTP报文的打包时长后取整），当定时器到期时，才进行隧道头封装（具体处理如图 5中的步骤 S506 ); 然后，输出给 SSL协议栈；

步骤 3 , SSL协议栈继续对报文进行 SSL加密、封装和发送（具体处理如图 5中的步骤 S508 )。从而，使得在步骤 2中的多个 RTP报文形成一个 SSL Record, 即，将原本需要多个 SSL Record封装的 RTP报文变为只需一个 SSL Record封装即可；

步骤 4, TCP/IP协议栈将步骤 3中形成的 SSL Record进行 TCP封装，得到最终发送的 SSL隧道报文，并发送给 STG。

STG接收到 IMS终端发送来的 SSL隧道报文之后，其具体的处理流程如下：步骤 1 , TCP/IP协议栈从 SSL隧道报文中解析出 SSL Record;

步骤 2, SSL协议栈对 SSL Record进行 SSL卸载；步骤 3 , 隧道封装 /卸载模块进行 RTP报文的还原，并以较短的时间间隔或按 RTP报文的打包时长发送到媒体服务器上。具体地，可以发送给 SIP/媒体服务器中的 TCP/IP协议栈进行解封装，得到其中的媒体数据。

同样， STG接收到媒体服务器返回的报文并向 IMS终端发送数据时的具体处理流程，以及 IMS终端接收到 STG发送来的 SSL隧道报文时的具体处理流程，与上述步骤相同，这里不再贅述。

在 IMS网络中，包括 IMS终端和 STG, 其中， IMS终端和 STG为如图 7-10 所示的装置。 IMS终端和 STG可以采用如图 3-5所示的数据传输方法向对端发送数据并接收处理对端发来的数据。

与现有技术相比，本发明以上实施例在使用隧道承载 IMS业务报文时，通过将多个 RTP报文封装在一个 Record中，使得承载的多个 RTP报文可共享一个 Record的附加信息，从而使得附加带宽得到了极大的节约，也有效地减小了最终传输的隧道报文的单包带宽，降低了对用户接入的带宽的要求，并在一定程度上提升了用户的使用体验和业务接入能力。以预定封装时间间隔为 100ms为例，对于部分 RTP报文产生了最大为 80ms的时延，但是附加带宽却减少了 5倍。

由于附加带宽得到了有效地减少，从而能够满足代理环境下（即 IMS终端通过代理服务器进行上网 )进行 IMS业务安全穿越的带宽性能，使 SSL VPN ( Virtual Private Network, 虚拟专用网 )解决方案在 IMS安全穿越领域中更具竟争力。

需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体 ( Read-Only Memory, ROM )或随机存储记忆体 ( Random Access Memory, RAM )等。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器、随机存储器、磁盘或光盘等。

以上对本发明实施例所提供的云系统分布式拒绝服务攻击防护方法以及式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1、一种数据传输方法，用于互联网协议多媒体子系统 IMS, 其特征在于，包括：

对实时传输协议 RTP报文进行隧道封装，得到隧道报文，其中，所述隧道报文中包括记录单元，每个记录单元中封装有多个 RTP报文；

将所述隧道报文通过与对端之间的隧道发送到所述对端，其中，所述对端为安全隧道网关 STG或者 IMS终端。

2、如权利要求 1所述的方法，其特征在于，对实时传输协议 RTP报文进行隧道封装，得到隧道报文包括：

在预先创建的链表中，生成并緩存 RTP报文；

判断是否到达预定封装时间间隔；

若到达，则对所述链表中的在所述预定封装时间间隔内生成的多个 RTP报文进行隧道封装，得到隧道报文。

3、如权利要求 1所述的方法，其特征在于，对实时传输协议 RTP报文进行隧道封装，得到隧道报文包括：

在预先创建的链表中，生成并緩存 RTP报文；

判断是否到达预定封装时间间隔，其中，所述预定封装时间间隔的值小于或等于 200ms;

4、如权利要求 2所述的方法，其特征在于，所述隧道为安全套接字层 SSL 隧道，对所述链表中的在所述预定封装时间间隔内生成的多个 RTP报文进行隧道封装，得到隧道报文包括：

从所述链表中取出所述多个 RTP报文，并拷贝到一段连续的内存空间中；在所述内存空间的头部加入隧道协议头 Enc Header;

对加入了 Enc Header后的内存空间中的数据进行摘要计算，并将计算得到的摘要信息 HMAC附加在所述加入了 Enc Header后的内存空间的尾部；

在所述 HMAC的后面附加分组长度补齐信息 Tail;

对所述附加了 Tail后的内存空间中的数据进行加密；在加密后的内存空间的头部添加 SSL协议头，形成 SSL记录单元；对形成的 SSL记录单元进行 TCP封装，得到 SSL隧道报文。

5、如权利要求 1所述的方法，其特征在于，还包括：

接收所述对端通过所述隧道发来的隧道报文；

对接收的隧道报文进行隧道解封装，得到 RTP报文，其中，所述隧道报文包括记录单元，每个记录单元中封装有多个 RTP报文。

6、如权利要求 1至 5中任一项所述的方法，其特征在于，所述隧道为以下之一： SSL隧道、超文本传输协议 HTTP隧道、用户数据报协议 UDP隧道。

7、一种数据传输装置，用于互联网协议多媒体子系统 IMS, 其特征在于，包括：

封装模块，用于对实时传输协议 RTP报文进行隧道封装，得到隧道报文，其中，所述隧道报文中包括记录单元，每个记录单元中封装有多个 RTP报文；发送模块，用于将所述隧道报文通过与对端之间的隧道发送到所述对端，其中，所述对端为安全隧道网关 STG或者 IMS终端。

8、如权利要求 7所述的装置，其特征在于，所述封装模块包括：

封装緩存模块，用于在预先创建的链表中，生成并緩存 RTP报文；定时器，用于进行计时；

判断模块，用于判断所述定时器是否到达预定封装时间间隔；

处理模块，用于在所述判断模块的判断结果为到达时，对所述链表中的在所述预定封装时间间隔内生成的多个 RTP报文进行隧道封装，得到隧道报文。

9、如权利要求 7所述的装置，其特征在于，所述封装模块包括：

判断模块，用于判断所述定时器是否到达预定封装时间间隔，其中，所述预定封装时间间隔的值小于或等于 200ms;

10、如权利要求 8所述的装置，其特征在于，所述处理模块包括：拷贝模块，用于从所述链表中取出所述多个 RTP报文，并拷贝到一段连续的内存空间中；隧道协议头添加模块，用于在所述内存空间的头部加入隧道协议头 Enc Header;

摘要信息计算添加模块，用于对经所述隧道协议头添加模块加入了 Enc Header后的内存空间中的数据进行摘要计算，并将计算得到的摘要信息 HMAC 附加在所述加入了 Enc Header后的内存空间的尾部；

补齐信息添加模块，用于在所述摘要信息计算添加模块附加的 HMAC的后面附加分组长度补齐信息 Tail;

加密单元，用于当所述隧道为安全套接字层 SSL隧道或用户数据报协议 UDP隧道时，对经所述补齐信息添加模块附加了 Tail后的内存空间中的数据进行加密；

协议头添加模块，用于当所述隧道为 SSL隧道时，在经所述加密模块加密后的内存空间的头部添加 SSL协议头，形成 SSL记录单元；当所述隧道为 UDP 隧道时，在经所述加密模块加密后的内存空间的头部添加 UDP协议头，形成 UDP>¾文体；当所述隧道为超文本传输协议 HTTP隧道时，在将经所述补齐信息添加模块附加了 Tail后的内存空间的头部添加 HTTP协议头，形成 HTTP消息体；

TCP封装模块，用于对所述协议头添加模块形成的记录单元进行 TCP封装，得到隧道报文，其中，所述记录单元为以下之一： SSL记录单元、 UDP报文体、 HTTP消息体。

11、如权利要求 7所述的装置，其特征在于，还包括：

接收模块，用于接收所述对端通过所述隧道发来的隧道报文；

卸载模块，用于对所述接收模块接收的隧道报文进行隧道解封装，得到

RTP报文，其中，所述隧道报文包括记录单元，每个记录单元中封装有多个 RTP 报文。

12、一种互联网协议多媒体子系统 IMS网络，其特征在于，包括 IMS终端和安全隧道网关 STG, 其中，所述 IMS终端和 STG为如权利要求 7至 11中任一项所述的装置。