一种基于TPM的IPsec会话边界控制装置及方法制造方法及图纸

本发明专利技术公开了一种基于TPM的IPsec会话边界控制装置及方法，属于通信技术领域。本发明专利技术的基于TPM的IPsec会话边界控制装置包括会话边界控制器，会话边界控制器上设置有IPsec模块和TPM模块，其中IPsec模块包括网络认证协议认证头AH单元、封装安全载荷ESP单元、因特网密匙交换IKE单元和安全关联SA单元，TPM模块包括可信平台和可信软件协议栈TSS单元，可信平台和可信软件协议栈TSS单元分别与CPU相连接。该发明专利技术的基于TPM的IPsec会话边界控制装置能够有效的防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务，保证用户会话过程中通信安全性，具有很好的推广应用价值。

IPsec session boundary control device and method based on TPM

The invention discloses an IPsec session boundary control device and method based on TPM, which belongs to the field of communication technology. The IPsec session boundary control device based on TPM includes session boundary controller, which is equipped with IPsec module and TPM module. IPsec module includes network authentication protocol authentication header AH unit, encapsulation security payload ESP unit, Internet key exchange IKE unit and security associated SA unit. TPM module includes trusted platform and trusted software protocol stack TSS unit. Trusted platform and trusted software protocol stack TSS unit are connected with CPU respectively. The IPsec session boundary control device based on TPM can effectively prevent media negotiation data packets from being intercepted, tampered with, forged identity and denial of service, and ensure the security of communication in the process of user conversation. It has good application value.

【技术实现步骤摘要】
一种基于TPM的IPsec会话边界控制装置及方法
本专利技术涉及通信
，具体提供一种基于TPM的IPsec会话边界控制装置及方法。
技术介绍
在IMS域中，终端用户的多样性，使终端用户很难控制对端网络，对网络服务、语音质量、安全机制失去了可控性，缺乏统一管理的平台机制，对网络设置和安全机制的设置缺乏一个统一的管理机制。会话便捷控制器(SessionBorderController,SBC)是IP语音网络的边界大门，主要用于解决语音会话在网络地址转换时的穿越问题，提供安全的IP通讯支持，并能提供对语音质量的保障。在FC5853的定义中，SBC被定义为一个B2BUAs，它可以实现对某些SIP头域消息和SDP媒体协商信息进行修改。同时支持对融合通信的业务能力，包括未来业务的升级和拓展。IPSec是IP层的一种安全协议，主要作用就是为了解决网络通信中的安全问题。在网络通信中，暴露很多安全问题，比如说数据包被监听窃取，被篡改，以及伪造身份，拒绝服务等。利用TPM产生的秘钥对从终端用户数据进行加密保护，保证其用户数据存储在本地的安全性，在保证媒体协商数据加密的同时，提升整个边界会话控制系统的可信性，具有很好的应用前景。
技术实现思路
本专利技术的技术任务是针对上述存在的问题，提供一种能够有效的防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务，保证用户会话过程中通信安全性的基于TPM的IPsec会话边界控制装置。本专利技术进一步的技术任务是提供一种基于TPM的IPsec会话边界控制方法。为实现上述目的，本专利技术提供了如下技术方案：一种基于TPM的IPsec会话边界控制装置，包括会话边界控制器，会话边界控制器上设置有IPsec模块和TPM模块，其中IPsec模块包括网络认证协议认证头AH单元、封装安全载荷ESP单元、因特网密匙交换IKE单元和安全关联SA单元，TPM模块包括可信平台和可信软件协议栈TSS单元，可信平台和可信软件协议栈TSS单元分别与CPU相连接。其中，AH即AuthenticationHeader；ESP即EncapsulatingSecurityPayload；IKE即InternetKeyExchange；SA即SecurityAssociation。所述TPM模块由可信平台芯片和对应的可信软件协议栈TSS单元组成，并通过PCIE接口与系统的CPU相连接，处理收到CPU的加解密请求指令消息，CPU通过调用TSS协议栈完成对TPM模块的加密指令的调用。IPSec是IP层的一种安全协议，主要作用就是为了解决网络通信中的安全问题。在网络通信中，暴露很多安全问题，比如说数据包被监听窃取，被篡改，以及伪造身份，拒绝服务等。利用TPM产生的秘钥对从终端用户数据进行加密保护，保证其用户数据存储在本地的安全性，在保证媒体协商数据加密的同时，提升整个边界会话控制系统的可信性。所述会话边界控制器实现对某些SIP头域消息和SDP媒体协商信息进行修改，为语音会话在网络地址转换时的穿越问题，提供安全的IP通讯支持，并能提供对语音质量的保障。在IMS域中，当呼叫接通或接通后发生媒体协商时，通过SIP协议SDP将支持的媒体的编解码信息发送至会话边界控制器，在会话边界控制器中，利用TPM为IMS域中会话媒体协商提供可信赖的运行环境，当发生媒体协商时，利用TPM对媒体协商携带的媒体信息进行加解密，防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等，保证用户会话过程中通信的安全性。作为优选，所述会话边界控制器向外与媒体网关相连接。当呼叫接通后，发生媒体协商，会话边界控制器收到主叫侧或被叫侧的媒体网关MGW(MediaGateWay)携带的媒体协商信息(比如：invite/200/Update/ACK/PRACK)后，根据当前消息中携带的媒体通道数目，启动空闲的系统线程，利用FPGA对媒体通道携带的SDP信息进行加密，完成媒体数据的加密。作为优选，所述会话边界控制器为B2BUAs。在FC5853的定义中，会话边界控制器被定义为一个B2BUAs，它可以实现对某些SIP头域消息和SDP媒体协商信息进行修改。同时支持对融合通信的业务能力，包括未来业务的升级和拓展。作为优选，所述SA单元用于对使用协议、协议的封装模式、加密算法、保护数据的共享密匙及密匙的生存周期进行约定。作为优选，所述使用协议包括手工配置和因特网密匙交换IKE单元自动协商，协议的封装模式包括传输模式和隧道模式，加密算法包括DES、MD5和AES。一种基于TPM的IPsec会话边界控制方法，该方法中，启动会话边界控制器，调用可信平台的密匙进行可信验证，保证系统没有被篡改或攻击，当呼叫接通或发生媒体协商时，会话边界控制器收到来自用户的媒体协商消息，利用会话边界控制器中的SA配置，确定协商双方的使用协议、协议的封装模式、加密算法，通过确定协议的封装模式进行网络传输，确定加密算法后调用TSS单元，传入待加密的媒体协商信息至可信平台中进行加密，并将加密后信息返回至CPU中，CPU通过调用SIP协议栈消息接口，加密媒体协商信息。该基于TPM的IPsec会话边界控制方法通过基于TPM的IPsec会话边界控制装置来实现，所述装置包括会话边界控制器，会话边界控制器上设置有IPsec模块和TPM模块，其中IPsec模块包括网络认证协议认证头AH单元、封装安全载荷ESP单元、因特网密匙交换IKE单元和安全关联SA单元，TPM模块包括可信平台和可信软件协议栈TSS单元，可信平台和可信软件协议栈TSS单元分别与CPU相连接。所述TPM模块由可信平台芯片和对应的可信软件协议栈TSS单元组成，并通过PCIE接口与系统的CPU相连接，处理收到CPU的加解密请求指令消息，CPU通过调用TSS协议栈完成对TPM模块的加密指令的调用。IPSec是IP层的一种安全协议，主要作用就是为了解决网络通信中的安全问题。在网络通信中，暴露很多安全问题，比如说数据包被监听窃取，被篡改，以及伪造身份，拒绝服务等。利用TPM产生的秘钥对从终端用户数据进行加密保护，保证其用户数据存储在本地的安全性，在保证媒体协商数据加密的同时，提升整个边界会话控制系统的可信性。所述会话边界控制器实现对某些SIP头域消息和SDP媒体协商信息进行修改，为语音会话在网络地址转换时的穿越问题，提供安全的IP通讯支持，并能提供对语音质量的保障。在IMS域中，当呼叫接通或接通后发生媒体协商时，通过SIP协议SDP将支持的媒体的编解码信息发送至会话边界控制器，在会话边界控制器中，利用TPM为IMS域中会话媒体协商提供可信赖的运行环境，当发生媒体协商时，利用TPM对媒体协商携带的媒体信息进行加解密，防止媒体协商数据包被监听窃取篡改及伪造身份、拒绝服务等，保证用户会话过程中通信的安全性。当呼叫接通后，发生媒体协商，会话边界控制器收到主叫侧或被叫侧的媒体网关MGW(MediaGateWay)携带的媒体协商信息(比如：invite/200/Update/ACK/PRACK)后，根据当前消息中携带的媒体通道数目，启动空闲的系统线程，利用FPGA对媒体通道携带的SDP信息进行加密，完成媒体数据的加密。作为优选，所述协议的封装模式包括传输模式和隧道模式，当以传输模式本文档来自技高网...

【技术保护点】
1.一种基于TPM的IPsec会话边界控制装置，其特征在于：包括会话边界控制器，会话边界控制器上设置有IPsec模块和TPM模块，其中IPsec模块包括网络认证协议认证头AH单元、封装安全载荷ESP单元、因特网密匙交换IKE单元和安全关联SA单元，TPM模块包括可信平台和可信软件协议栈TSS单元，可信平台和可信软件协议栈TSS单元分别与CPU相连接。

【技术特征摘要】
1.一种基于TPM的IPsec会话边界控制装置，其特征在于：包括会话边界控制器，会话边界控制器上设置有IPsec模块和TPM模块，其中IPsec模块包括网络认证协议认证头AH单元、封装安全载荷ESP单元、因特网密匙交换IKE单元和安全关联SA单元，TPM模块包括可信平台和可信软件协议栈TSS单元，可信平台和可信软件协议栈TSS单元分别与CPU相连接。2.根据权利要求1所述的基于TPM的IPsec会话边界控制装置，其特征在于：所述会话边界控制器向外与媒体网关相连接。3.根据权利要求1或2所述的基于TPM的IPsec会话边界控制装置，其特征在于：所述会话边界控制器为B2BUAs。4.根据权利要求3所述的基于TPM的IPsec会话边界控制装置，其特征在于：所述SA单元用于对使用协议、协议的封装模式、加密算法、保护数据的共享密匙及密匙的生存周期进行约定。5.根据权利要求4所述的基于TPM的IPsec会话边界控制装置，其特征在于：所述使用协议包括手工配置和因特网密匙交换IKE单元自动协商，协议的封装模式包括传输模式和隧道模式，加密算法包括DES、MD5和AES。6.一种基于TPM的IPsec会话边界控制方法，其特征在于：...

【专利技术属性】
技术研发人员：段成德，姜凯，
申请(专利权)人：济南浪潮高新科技投资发展有限公司，
类型：发明
国别省市：山东,37