一种基于IPSec穿越NAT的IP多媒体子系统接入安全保护方法技术方案

本发明专利技术公开了一种基于ＩＰＳｅｃ穿越ＮＡＴ的ＩＰ多媒体子系统接入安全保护方法，在原有的ＩＭＳ　　ＡＫＡ认证机制的基础上，在ＵＥ与Ｐ－ＣＳＣＦ之间进行注册信息交互过程中增加支持ＮＡＴ能力的协商、ＮＡＴ设备的发现以及实施ＮＡＴ穿越的功能使得ＩＭＳ接入过程能够穿越ＮＡＴ，并且有良好的兼容性。

【技术实现步骤摘要】

【技术保护点】
一种基于ＩＰＳｅｃ穿越ＮＡＴ的ＩＰ多媒体子系统接入安全保护方法，其特征在于，所述方法是在现有ＩＭＳＡＫＡ认证流程上对于相关报文和处理进行修改，具体如下：（１）ＩＭＳＡＫＡ认证过程中ＵＥ发送给Ｐ－ＣＳＣＦ的初始ＳＩＰ注册消息增 加可选项参数ＶＩＤ＿Ｕ和ＨＡＳＨ＿ｕｌ；如果ＶＩＤ＿Ｕ为某一特定值时，表示其具有穿越ＮＡＴ的能力；ＨＡＳＨ＿ｕｌ为ＵＥ计算本地的ｈａｓｈ值，ＨＡＳＨ＿ｕｌ＝ＨＡＳＨ（ＵＥ＿ＳＩＰ＿ａｄｄｒ｜ＵＥ＿ｌｏｃａｌ＿ＩＰａｄｄｒ｜ＵＥ＿ｌｏｃａｌ＿Ｐｏｒｔ），ＵＥ＿ＳＩＰ＿ａｄｄｒ为ＵＥ的ＳＩＰ地址，ＵＥ＿ｌｏｃａｌ＿ＩＰａｄｄｒ为ＵＥ本地的ＩＰ地址，ＵＥ＿ｌｏｃａｌ＿Ｐｏｒｔ为ＵＥ本地的端口信息；（２）Ｐ－ＣＳＣＦ对接收到的初始的ＳＩＰ注册消息需要处理；处理过程如下：　 　ａ．根据ＶＩＤ＿Ｕ信息判断ＵＥ是否支持ＮＡＴ穿越；如果支持ＮＡＴ穿越，则进行下一步操作；ｂ．根据接收到报文，计算ＨＡＳＨ＿ｐｐ，ＨＡＳＨ＿ｐｐ为Ｐ－ＣＳＣＦ计算对端的ｈａｓｈ值，ＨＡＳＨ＿ｐｐ＝ＨＡＳＨ（ＵＥ＿ＳＩＰ＿ａｄｄｒ｜Ｐ －ＣＳＣＦ＿Ｐｅｅｒ＿ＩＰａｄｄｒ｜Ｐ－ＣＳＣＦ＿Ｐｅｅｒ＿Ｐｏｒｔ），Ｐ－ＣＳＣＦ＿Ｐｅｅｒ＿ＩＰａｄｄｒ为Ｐ－ＣＳＣＦ根据接收到ＵＥ发送来到数据包提取ＵＥ的ＩＰ地址，Ｐ－ＣＳＣＦ＿Ｐｅｅｒ＿Ｐｏｒｔ为Ｐ－ＣＳＣＦ根据接收到ＵＥ发送来的数据包提取ＵＥ的端口值；然后与ＵＥ发送来的ＨＡＳＨ＿ｕｌ进行比较，如果相同，则表示ＵＥ前面没有ＮＡＴ设备；如果不相同，则表示ＵＥ前面有ＮＡＴ设备；（３）认证过程中Ｐ－ＣＳＣＦ发送给ＵＥ的认证挑战消息增加可选项参数ＶＩＤ＿Ｐ、ＨＡＳＨ＿ ｐｌ和ＨＡＳＨ＿ｐｐ；如果ＶＩＤ＿Ｐ为某一特定值时，则表示Ｐ－ＣＳＣＦ具有穿越ＮＡＴ的能力；ＨＡＳＨ＿ｐｌ为Ｐ－ＣＳＣＦ计算的本地的ｈａｓｈ值，ＨＡＳＨ＿ｐｌ＝ＨＡＳＨ（ＵＥ＿ＳＩＰ＿ａｄｄｒ｜Ｐ－ＣＳＣＦ＿Ｌｏｃａｌ＿ＩＰａｄｄｒ｜Ｐ－ＣＳＣＦ＿Ｌｏｃａｌ＿Ｐｏｒｔ），Ｐ－ＣＳＣＦ＿Ｌｏｃａｌ＿ＩＰａｄｄｒ为Ｐ－ＣＳＣＦ本地使用的ＩＰ地址，Ｐ－ＣＳＣＦ＿Ｌｏｃａｌ＿Ｐｏｒｔ为Ｐ－ＣＳＣＦ本地使用的端口值；（４）ＵＥ对接收到Ｐ－ＣＳＣＦ发送来的认证挑战消息进行处理。处 理过程如下：ａ．根据ＶＩＤ＿Ｐ信息判断Ｐ－ＣＳＣＦ是否支持ＮＡＴ穿越；如果支持ＮＡＴ穿越，则进行下面操作；ｂ．ＵＥ将本地保存的...

【技术特征摘要】

【专利技术属性】
技术研发人员：李睿，田峰，陈剑勇，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：94[中国|深圳]