一种基于IPsec的边界会话控制器的设置方法技术

本发明专利技术公开了一种基于IPsec的边界会话控制器的设置方法，在边界会话控制器中，根据通信协议支持的媒体通道数目，设定固定数目的线程池，当发生媒体协商时，利用线程池调度系统资源，完成对数据加密传输。本发明专利技术方法在发生媒体协商时，利用线程池灵活调度系统资源，完成对数据加密传输，在进行加密时，利用FPGA对媒体协商携带的媒体信息进行加解密，防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等，保证用户会话过程中通信的安全性。

A method of setting up boundary session controller based on IPsec

The invention discloses a method for setting a boundary session controller based on IPsec. In the boundary session controller, a fixed number of thread pools are set according to the number of media channels supported by the communication protocol. When media negotiation occurs, the system resources are scheduled by the thread pool to complete encrypted data transmission. The method of the invention utilizes thread pool to flexibly schedule system resources when media negotiation occurs, completes encrypting and transmitting data, encrypts and decrypts media information carried by media negotiation by using FPGA when encrypting, prevents media negotiation packets from being sniffed, tampered with, forged identity, denial of service, etc., and guarantees users will be able to do so. The security of communication in the course of speech.

【技术实现步骤摘要】
一种基于IPsec的边界会话控制器的设置方法
本专利技术涉及通信领域
，具体涉及一种基于IPsec的边界会话控制器的设置方法。
技术介绍
会话边界控制器（SessionBorderController,SBC）是IP语音网络的边界大门，主要用于解决语音会话在网络地址转换时的穿越问题，提供安全的IP通讯支持，并能提供对语音质量的保障。在FC5853的定义中，SBC被定义为一个B2BUAs（Back-to-BackUserAgents），它可以实现对某些SIP(SessionInitiationProtocol，会话初始协议)头域消息和SDP媒体协商信息进行修改，同时支持对融合通信的业务能力，包括未来业务的升级和拓展。IPSec是IP层的一种安全协议，主要作用就是为了解决网络通信中的安全问题。在网络通信中，暴露很多安全问题，比如说数据包被监听窃取，被篡改，以及伪造身份，拒绝服务等。利用FPGA的高性能和低功耗的特点，同时支持多种加密（MD5/AES/SAE）算法，通过设定系统线程池的方式，对底层系统资源进行调度，在保证数据加密的同时，提升整个边界会话控制系统资源的利用率。在IMS域中，由于终端用户的多样性，终端用户很难控制对端网络，对网络服务，语音质量，安全机制失了可控性。缺乏统一管理的平台机制，导致网络设置和安全机制的设置缺乏一个统一的管理机制。
技术实现思路
本专利技术要解决的技术问题是：本专利技术针对以上问题，提供一种基于IPsec的边界会话控制器的设置方法。本专利技术所采用的技术方案为：一种基于IPsec的边界会话控制器的设置方法，在边界会话控制器中，根据通信协议支持的媒体通道数目，设定固定数目的线程池，当发生媒体协商时，利用线程池灵活调度系统资源，完成对数据加密传输。所述边界会话控制器包含有系统支持的最大线程配置表。所述边界会话控制器包含有FPGA芯片。所述边界会话控制器在进行加密时，通过FPGA芯片对媒体协商携带的媒体信息进行加解密，防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等，保证用户会话过程中通信的安全性。所述边界会话控制器通过PCIE接口与系统的CPU连接，并处理收到CPU的加解密请求指令消息。所述系统支持的最大线程的配置根据当前IMS域SIP协议支持的最大媒体协商通道数进行配置。当呼叫接通或者发生媒体协商时，所述边界会话控制器收到主叫侧或被叫侧的媒体网关MGW（MediaGateWay）携带的媒体协商信息(比如：invite/200）后，根据当前消息中携带的媒体通道数目，启动空闲的系统线程，利用FPGA对媒体通道携带的SDP信息进行加密，完成媒体数据的加密。所述边界会话控制器会话媒体通道加密流程包括内容如下：边界会话控制器启动后，根据SIP媒体协商支持的通道数配置空闲线程数据信息，启动并创建一个一定数目的空闲的业务处理线程池，并创建一个文件描述符句柄，制定侦听事件的大小(即系统能够处理的并发请求消息的能力)；当呼叫接通或发生媒体协商时，边界会话控制器侦听到来自用户的媒体协商消息，将侦听到的文件描述添加到任务队列中，并唤醒一个空闲的任务进程进行业务处理；边界会话控制器通过调用OpenCL接口，传入待加密的媒体协商信息（SDP）至FPGA中进行加密，并将加密后信息返回至CPU中，CPU通过调用SIP协议栈消息接口，加密整个数据包。所述边界会话控制器以IPsec传输模式进行数据传输时，媒体数据部分是封装传送，IP报头不封装即被传送。所述边界会话控制器以IPsec隧道模式进行传输时，在加密的封包上增加新的头部即是SBC的IP地址和端口号，完成IPsec媒体数据加密信息的封装，进行网络传输。本专利技术的有益效果为：本专利技术方法在发生媒体协商时，利用线程池灵活调度系统资源，完成对数据加密传输，在进行加密时，利用FPGA对媒体协商携带的媒体信息进行加解密，防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等，保证用户会话过程中通信的安全性。附图说明图1为本专利技术基于IPsec的边界会话控制器结构意图；图2为基于IPsec的边界会话控制器会话媒体通道加密流程图。具体实施方式下面根据说明书附图，结合具体实施方式对本专利技术进一步说明：实施例1：如图1所示，一种基于IPsec的边界会话控制器的设置方法，其特征在于，在边界会话控制器中，根据通信协议支持的媒体通道数目，设定固定数目的线程池，当发生媒体协商时，利用线程池灵活调度系统资源，完成对数据加密传输。所述边界会话控制器包含有系统支持的最大线程配置表。所述边界会话控制器包含有FPGA芯片。所述边界会话控制器在进行加密时，通过FPGA芯片对媒体协商携带的媒体信息进行加解密，防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等，保证用户会话过程中通信的安全性。所述边界会话控制器通过PCIE接口与系统的CPU连接，并处理收到CPU的加解密请求指令消息。所述系统支持的最大线程的配置根据当前IMS域SIP协议支持的最大媒体协商通道数进行配置。当呼叫接通或者发生媒体协商时，所述边界会话控制器收到主叫侧或被叫侧的媒体网关MGW（MediaGateWay）携带的媒体协商信息(比如：invite/200）后，根据当前消息中携带的媒体通道数目，启动空闲的系统线程，利用FPGA对媒体通道携带的SDP信息进行加密，完成媒体数据的加密。实施例2如图2所示，所述边界会话控制器会话媒体通道加密流程包括内容如下：边界会话控制器启动后，根据SIP媒体协商支持的通道数配置空闲线程数据信息，启动并创建一个一定数目的空闲的业务处理线程池，并创建一个文件描述符句柄，制定侦听事件的大小(即系统能够处理的并发请求消息的能力)；当呼叫接通或发生媒体协商时，边界会话控制器侦听到来自用户的媒体协商消息，将侦听到的文件描述添加到任务队列中，并唤醒一个空闲的任务进程进行业务处理；边界会话控制器通过调用OpenCL接口，传入待加密的媒体协商信息（SDP）至FPGA中进行加密，并将加密后信息返回至CPU中，CPU通过调用SIP协议栈消息接口，加密整个数据包。所述边界会话控制器以IPsec传输模式进行数据传输时，媒体数据部分是封装传送，IP报头不封装即被传送。所述边界会话控制器以IPsec隧道模式进行传输时，在加密的封包上增加新的头部即是SBC的IP地址和端口号，完成IPsec媒体数据加密信息的封装，进行网络传输。实施方式仅用于说明本专利技术，而并非对本专利技术的限制，有关
的普通技术人员，在不脱离本专利技术的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本专利技术的范畴，本专利技术的专利保护范围应由权利要求限定。本文档来自技高网...

【技术保护点】
1.一种基于IPsec的边界会话控制器的设置方法，其特征在于，在边界会话控制器中，根据通信协议支持的媒体通道数目，设定固定数目的线程池，当发生媒体协商时，利用线程池调度系统资源，完成对数据加密传输。

【技术特征摘要】
1.一种基于IPsec的边界会话控制器的设置方法，其特征在于，在边界会话控制器中，根据通信协议支持的媒体通道数目，设定固定数目的线程池，当发生媒体协商时，利用线程池调度系统资源，完成对数据加密传输。2.根据权利要求1所述的一种基于IPsec的边界会话控制器的设置方法，其特征在于，所述边界会话控制器包含有系统支持的最大线程配置表。3.根据权利要求2所述的一种基于IPsec的边界会话控制器的设置方法，其特征在于，所述边界会话控制器包含有FPGA芯片。4.根据权利要求3所述的一种基于IPsec的边界会话控制器的设置方法，其特征在于，所述边界会话控制器在进行加密时，通过FPGA芯片对媒体协商携带的媒体信息进行加解密。5.根据权利要求4所述的一种基于IPsec的边界会话控制器的设置方法，其特征在于，所述边界会话控制器通过PCIE接口与系统的CPU连接，并处理收到CPU的加解密请求指令消息。6.根据权利要求5所述的一种基于IPsec的边界会话控制器的设置方法，其特征在于，所述系统支持的最大线程的配置根据当前IMS域SIP协议支持的最大媒体协商通道数进行配置。7.根据权利要求6所述的一种基于IPsec的边界会话控制器的设置方法，其特征在于，当呼叫接通或者发生媒体协商时，所述边界会话控制器收到主叫侧或被叫侧的媒体网关MGW携带的媒体协商信息后，根...

【专利技术属性】
技术研发人员：段成德，于治楼，姜凯，
申请(专利权)人：济南浪潮高新科技投资发展有限公司，
类型：发明
国别省市：山东,37