基于中继的媒体通道建立方法及系统的制作方法

文档序号:7757058阅读:61来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:基于中继的媒体通道建立方法及系统的制作方法
技术领域
本发明涉及通信领域,具体而言,涉及一种基于中继的媒体通道建立方法及系统。
背景技术
P2P (Peer-to-Peer)技术,又称对等互联网络技术,它将网络上的节点平等的互联 起来,每个主机节点即是客户端又是服务器。目前,在P2P技术中,对称型网络地址转换器 (Network AddressTranslation,简称为NAT)穿越主要采用中继实现,通过在互联网上部 署中继服务器,在实际会话前获取本次会话的公网地址-端口(IP-PORT)对,并将该公网 IP-PORT对作为会话的用户地址信息。图1为现有技术解决对称NAT穿越的网络结构示意图,其中,用户设备(User Equipment,简称为UE) 101为用户使用的终端设备;NAT 102,位于UE和互联网之间,负责屏 蔽对该UE的访问;媒体中继控制服务器103,负责为用户会话分配媒体中继设备104,并控 制媒体中继设备104为用户会话预留资源;媒体中继设备104,负责为通信用户双方转发通 信数据。其中媒体中继控制服务器103、媒体中继设备104 —般位于公共互联网中。UE A和UE B之间如果要进行媒体通信,首先需要进行会话协商,建立UE A与UE B的对等连接,将双方的公网IP-PORT对通知给对方。图2是基于中继技术解决NAT穿越, 建立用户节点对等连接的处理流程,主要包括以下步骤S201,在会话之前,UE A和UE B均需在媒体中继控制服务器注册。建立会话时, UE A向媒体中继控制服务器发送会话请求,该请求中携带UE A接收UE B回复信息的第一 目的地址-端口对Al ;S202,中继服务控制器向媒体中继设备请求为本次会话预留媒体资源。媒体中继 设备分配的媒体资源包括用于接收UE A发送的媒体数据报文的第一公网地址-端口对、接 收UE B发送的媒体数据报文的第二公网地址-端口对,且建立第一公网地址-端口对和第 二公网地址-端口对之间数据转发的绑定关系;S203,媒体中继设备将预留的媒体资源信息返回媒体中继控制服务器,同时,媒体 中继设备开始在预留资源,即在第一公网地址-端口对和第二公网地址-端口对地址上监 听数据;S204,媒体中继控制服务器用第一公网地址-端口对替换会话请求消息中的第一 目的地址-端口对Al ;S205,媒体中继控制服务器将替换后的会话请求消息转发给UE B ;S206, UE B接收该会话请求,从会话请求消息中提取第一公网地址-端口对作为 UE A的通信地址信息,并向媒体中继控制服务器返回确认响应消息;该响应消息中包含UE B接收UE A回复信息的第二目的地址-端口对Bl ;S207,媒体中继控制服务器用第二公网地址-端口对替换确认响应消息中的第二 目的地址-端口对Bl ;S208, UE A收到会话确认响应消息,从确认响应消息中提取第二公网地址-端口对作为UE B的通信地址信息;S209 210,UE A和UE B之间通过媒体中继设备建立媒体通道进行媒体通信。图3为现有技术中UE A、UE B及媒体中继设备之间建立媒体通道的流程图,主要 包括以下步骤S301,UE A收到UE B的会话确认响应消息后,向UE B发送第一个媒体数据报文, 由于UE A从确认响应消息中提取第二公网地址-端口对作为UE B的通信地址,因此,UE A 的媒体数据报文被发往媒体中继设备的第二公网地址-端口对;S302,媒体中继设备收到UE A的第一个媒体数据报文,建立第一目的地址端口对 A2(即UE A的媒体面地址端口对)与第二公网地址-端口对的绑定关系;并缓存UE A发 送的媒体数据报文,直到收到UE B的媒体数据报文;S303,UE B向UE A发送第一个媒体数据报文,该媒体数据报文被发往媒体中继设 备的第一公网地址-端口对;S304,媒体中继设备收到UE B的第一个媒体数据报文,建立第二目的地址端口对 B2(即UE B的媒体面地址端口对)与第一公网地址-端口对的绑定关系,并缓存UE B的媒 体数据报文,直到收到UE A的媒体数据报文;S305 306,媒体中继设备在分别收到UE A和UE B的第一媒体数据报文后,建 立第一目的地址端口对A2、第二公网地址-端口对、第一公网地址-端口对、第二目的地址 端口对B2四者之间的关联关系,并利用该关联关系将第二公网地址-端口对收到的数据 经第一公网地址-端口对转发给UE B、将第一公网地址-端口对收到的数据经第二公网地 址-端口对转发给UE A;S307 308,UE A和UE B之间后继的媒体数据报文通过媒体中继设备按所述关 联关系进行中转。 其中,上述步骤S301 302与步骤S303 304可以同步进行,但步骤S301 304 必须完成后才能进行S305及其后面的其他步骤。根据上述图2和图3所述的流程可知,在现有技术中,媒体中继设备在预分配一对 公网地址_端口对后,开始监听这两个端口,当某个公网地址_端口对上收到第一个媒体数 据包时,将该媒体数据包的源IP地址-端口与该公共IP地址-端口绑定,并通过另一个公 网地址-端口对向媒体数据包的最终目的IP地址-端口转发。因此,当媒体中继设备在某 个公网地址-端口对上收到的第一个媒体数据包是恶意的,则将导致媒体通道建立失败。

发明内容
本发明的主要目的在于提供一种基于中继的媒体通道建立,以至少解决上述由于 媒体中继设备在某个公网地址-端口对上收到的第一个媒体数据包是恶意的,而导致媒体 通道建立失败问题。根据本发明的一个方面,提供了一种基于中继的媒体通道建立方法,包括在第一 用户设备UE与第二 UE之间的会话协商过程中,媒体中继控制服务器为第一 UE分配第一业 务标识,为第二 UE分配第二业务标识,并将第一业务标识下发给第一 UE,将第二业务标识 下发给第二 UE,将第一业务标识和第二业务标识下发媒体中继设备;媒体中继设备接收第 一 UE和第二 UE上报的业务标识;媒体中继设备根据媒体中继控制服务器下发的第一业务标识和第二业务标识,验证第一 UE和第二 UE上报的业务标识,验证通过,建立第一 UE与第 二 UE之间的媒体通道。根据本发明的另一方面,提供了一种基于中继的媒体通道建立系统,包括媒体中 继控制服务器,用于在第一 UE与第二 UE之间的会话协商过程中为第一 UE分配第一业务标 识,为第二 UE分配第二业务标识,并将第一业务标识下发给第一 UE,将第二业务标识下发 给第二 UE,将第一业务标识和第二业务标识下发媒体中继设备;媒体中继设备,用于接收 第一 UE和第二 UE上报的业务标识,并根据媒体中继控制服务器下发的第一业务标识和第 二业务标识,验证第一 UE和第二 UE上报的业务标识,验证通过,建立第一 UE与第二 UE之 间的媒体通道。通过本发明,媒体中继控制服务器在请求媒体中继设备预留资源的会话协商过程 中,同时下发一个为本次会话分配的唯一标识;媒体中继设备在为用户建立本次会话媒体 通道时验证用户报文中携带的本次会话标识,从而解决了媒体中继设备在本次会话预留的 端口收到恶意数据包而导致媒体通道建立失败的问题,避免了恶意攻击,提高了网络节点 连接的安全性。


此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是对等网节点连接NAT穿越的网络场景;图2是现有技术用户穿越NAT建立对等连接的流程图;图3是现有技术建立媒体流通道的流程图;图4是根据本发明实施例一的基于中继的媒体通道建立系统的结构示意图;图5是根据本发明实施例二的基于中继的媒体通道建立方法的流程图;图6是根据本发明实施例三的UE穿越对称NAT建立对等连接的流程图;图7是根据本发明实施例三的建立安全媒体流通道的流程图;图8是根据本发明实施例四的建立安全媒体流通道的流程图;图9是根据本发明实施例五的建立安全媒体流通道的流程图;图10是根据本发明实施例六的建立安全媒体流通道的流程图;图11是根据本发明实施例七的建立安全媒体流通道的流程图。
具体实施例方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的 情况下,本申请中的实施例及实施例中的特征可以相互组合。实施例一图4是根据本发明实施例一的基于中继的媒体通道建立系统的结构示意图,该系 统主要包括媒体中继控制服务器10和媒体中继设备20。其中,媒体中继控制服务器10, 用于在第一 UE与第二 UE之间的会话协商过程中为第一 UE分配第一业务标识,为第二 UE 分配第二业务标识,并将第一业务标识下发给第一 UE,将第二业务标识下发给第二 UE,将 第一业务标识和第二业务标识下发媒体中继设备20 ;媒体中继设备20,用于分别接收第一UE和第二 UE上报的业务标识,并根据媒体中继控制服务器10下发的第一业务标识和第二 业务标识,验证第一 UE和第二 UE上报的业务标识,验证通过,建立第一 UE与第二 UE之间 的媒体通道。例如,媒体中继服务器10为第一 UE和第二 UE可以是随机产生的用户名-密码对, 也可以是随机产生的一个具有某种含义的字符串、序列号等,例如,第一 UE和第二 UE发送 的报文的起始序列号等。并且,媒体中继服务器10为第一 UE分配的第一业务标识与为第 二 UE分配的第二业务标识可以相同也可以不同。由于相关技术中媒体中继设备20在为会话双方建立媒体通道时,当在某个公网 地址-端口对上收到第一个数据包时,将该数据包源IP地址-端口与该公网IP地址-端 口绑定,从而使得第三方可以通过恶意扫描该媒体中继设备20的地址-端口对进行攻击, 造成媒体通过建立失败。在本发明实施例中,媒体中继服务器10在会话协商过程中为会话 双方分配业务标识,在媒体通道建立时,根据会话双方上报的业务标识根据媒体通道,从而 避免了恶意数据包带来的安全隐患,保证了网络节点连接的安全,提高了媒体通道建立的 成功率。第一 UE和第二 UE可以在会话协商结束后的第一个媒体数据报文中携带媒体中 继服务器10分配的业务标识,也可以在发送第一个媒体数据报文之前,先发送一个绑定请 求,请求媒体中继设备20绑定终端通信地址-端口对和分配的相应公网地址_端口对,在 该绑定请求中携带媒体中继服务器10分配的业务标识。因此,媒体中继设备20可以用于 在会话协商结束后,分别接收第一 UE和第二 UE发送的第一个媒体数据报文,从中获取第一 UE和第二 UE上报的业务标识,并对该业务标识进行验证,验证通过后,建立第一 UE与第二 UE之间的媒体通道;或者,媒体中继设备20也可以用于在会话协商结束后,分别接收第一 UE和第二 UE在发送第一个媒体数据报文之前发送的绑定请求,从中获取第一 UE和第二 UE 上报的业务标识,这样可以避免由于会话双方中的某一方长时间不发送媒体数据而导致对 端数据无法发送的问题。实施例二图5是根据本发明实施例二的基于中继的媒体通道建立方法的流程图,该方法可 以通过实施例一的系统实现。该方法主要包括以下步骤步骤S502,在第一 UE与第二 UE之间的会话协商过程中,媒体中继控制服务器10 为本次会话分配的业务标识,并将该业务标识下发给第一 UE、第二 UE和媒体中继设备20 ;其中,媒体中继控制服务器10为第一 UE分配第一业务标识,为第二 UE分配第二 业务标识,并将第一业务标识下发给第一 UE,将第二业务标识下发给第二 UE,将第一业务 标识和第二业务标识下发媒体中继设备20 ;其中,媒体中继控制服务器10分配的业务标识,可以是唯一的用户名/密码对,也 可以是特殊的字符串或序列号等;另外,媒体中继控制服务器10分配给UE1/UE2的业务标识,可以是相同的也可是 不同的;步骤S504,媒体中继设备20分别接收第一 UE和第二 UE上报的业务标识;其中,第一 UE和第二 UE在完成会话协商后,可以在发送第一个媒体数据报文时携 带媒体中继控制服务器10下发的业务标识;例如,如果媒体中继控制服务器10下发给第一UE和第二 UE的业务标识为用户名-密码对,则第一 UE和第二 UE分别在发送给对端用户的 第一个媒体数据报文中携带该用户名-密码对。媒体中继设备20在接收到第一 UE发送的 第一个媒体数据报文后,从中获取第一 UE上报的业务标识,在接收到第二 UE发送的第一个 媒体数据报文后,从中获取第二 UE上报的业务标识。采用这种方式,UE只需在发送第一个 媒体数据报文中携带分配的业务标识,而无需额外发送消息。或者,第一 UE和第二 UE在向媒体中继设备20发送的第一个媒体数据报文中也可 以不携带业务标识,而是在会话协商结束后,在发送第一个媒体数据报文之前,先向媒体中 继设备20发送一个特殊的绑定请求,用于请求媒体中继设备20绑定终端通信地址-端口 对和分配的相应公网地址端口对,在该绑定请求中携带业务标识,媒体中继设备20接收到 第一 UE和第二 UE发送的绑定请求后,分别从中获取第一 UE和第二 UE上报的业务标识,然 后执行步骤S506,从而避免第一 UE与第二 UE之间的媒体通道只有在会话双方都发送数据 后才能建立的问题。步骤S506,媒体中继设备20根据媒体中继控制服务器10下发的第一业务标识和 第二业务标识,验证第一 UE和第二 UE上报的业务标识,验证通过,建立第一 UE与第二 UE 之间的媒体通道。例如,如果媒体中继控制服务器10为第一 UE和第二 UE分配的用户名-密码对, 则媒体中继设备20验证第一 UE和第二 UE上报的用户名-密码对与媒体中继控制服务器 10分配的用户名-密码对是否匹配,如果是,则验证通过,建立第一 UE与第二 UE之间的媒 体通道,即建立转发地址绑定。在本发明实施例中,媒体中继控制服务器10在会话协商过程中为会话双方的本 次会话分配业务标识,在建立媒体数据流时,通过判断会话双方上报的业务标识与媒体中 继控制服务器10分配的业务标识是否匹配,从而可以有效地避免恶意的端口扫描导致会 话双方的媒体通道建立失败的问题。并且,在本发明实施例中,会话双方可以在会话协商过 程完成后即向媒体中继设备20发送绑定请求,请求建立地址绑定,从而可以避免由于会话 双方的一方长时间不发送数据而导致对方数据无法发送的问题。实施例三本发明实施例三描述了采用本发明实施例提供的方案UE实施穿越NAT建立对等 连接的流程。在本发明实施例中,媒体中继控制服务器10在处理UE的会话请求时,为该会 话发布一对唯一的会话业务标识,该会话业务标识同时发布给UE A、UE B及相应的媒体中 继设备20。在本发明实施例中,媒体中继控制服务器10分配的唯一的会话业务标识,可以 是随机产生的用户名-密码对,也可以是随机产生的一个具有特殊含义的字符串、序列号 等;并且,发布给UE A和UE B的会话业务标识可以相同也可以不同。图6为本发明实施例中UE A和UE B穿越对称NAT建立对等连接的信令流程图, 主要包括以下步骤步骤S601,在会话之前,UE A和UE B均在媒体中继控制服务器注册,建立会话时, UE A向媒体中继控制服务器发送会话请求,该会话请求消息中携带有UE A接收UE B回复 信息的第一目的地址-端口对Al ;步骤S602,中继服务控制器为本次会话双方分配一对唯一的会话业务标识,并向 媒体中继设备请求为本次会话预留媒体资源,该媒体资源预留请求消息中携带为本次会话双方分配的会话业务标识1/2 ;其中,媒体中继设备分配的媒体资源包括用于接收UE A发送的媒体数据报文的第 二公网地址-端口对、接收UE B发送的媒体数据报文的第一公网地址-端口对,且建立第 一公网地址-端口对和第二公网地址-端口对之间数据转发的绑定关系;步骤S603,媒体中继设备将预留的媒体资源信息返回给媒体中继控制服务器,同 时,媒体中继设备开始在预留资源(即第一公网地址-端口对和第二公网地址-端口对) 上监听数据;步骤S604,媒体中继控制服务器用第一公网地址_端口对替换会话请求消息中的 第一目的地址_端口对Al,并将分配给UE B的业务会话标识2插入到替换后会话请求消息 中;步骤S605,媒体中继控制服务器将替换后的会话请求消息转发给UE B ;步骤S606,UE B接收该会话请求,从该会话请求消息中提取第一公网地址-端口 对作为UE A的通信地址信息,提取并保存业务标识2用于后续媒体通道建立,并向媒体中 继控制服务器返回确认响应消息,该响应消息中包含UE B接收UE A回复信息的第二目的 地址-端口对Bl ;步骤S607,媒体中继控制服务器用第二公网地址-端口对替换确认响应消息中的 第二目的地址_端口对Bi,并将分配给UE A的业务会话标识1插入到替换后确认响应消息 中;步骤S608,UE A收到会话确认响应消息,从确认响应消息中提取第二公网地 址-端口对作为UE B的通信地址信息,提取并保存业务标识1用于后继媒体通道建立;步骤S609 S610,UE A和UE B、媒体中继设备之间使用业务标识1/2建立安全 的媒体通道。其中,使用业务标识1/2建立安全的媒体通道(即上述步骤S609-S610)的流程如 图7所示,在图7中,UE A和UE B在完成媒体会话协商后,在发送第一媒体数据报文时必 须携带从会话确认消息/会话请求消息中提取的业务标识1/2,媒体中继设备在监听端口 收到UE A/UE B的第一媒体数据报文时,提取并验证该业务标识是否与收到资源预留请求 时的业务标识1/2是否匹配,从而避免对媒体中继设备端口的恶意扫描导致的媒体通道建 立失败。如图7所示,该媒体通道建立主要包括以下步骤步骤S701,UE A接收到UE B的会话确认响应消息后,开始向UE B发送第一个媒 体数据报文;由于UE A从会话确认响应消息中提取第二公网地址-端口对作为UE B的通信地 址,因此UE A的媒体数据报文被发往媒体中继设备的第二公网地址-端口对;同时,UE A 发送的第一个数据报文必须携带从会话确认响应消息中提取的业务标识1 ;步骤S702,媒体中继设备接收到UE A的第一个媒体数据报文,检查到来自该第一 目的地址端口对A2(即UE A媒体面的地址端口对)没有完整的关联关系,则从报文中提取 到业务标识1并进行验证,验证正确后建立第一目的地址端口对A2与第二公网地址-端口 对的绑定关系,并缓存UE A的媒体数据报文,直到收到UE B的媒体数据报文;步骤S703,UE B向UE A发送第一个媒体数据报文,由于UEB从会话请求中提取第
9一公网地址-端口对作为UE A的通信地址,因此UE B的媒体数据报文被发往媒体中继设 备的第一公网地址-端口对;同时,UE B发送的第一个数据报文必须携带从会话请求消息 中提取的业务标识2 ;步骤S704,媒体中继设备接收到UE B的第一个媒体数据报文,检查到来自该第二 目的地址端口对B2(即UE B媒体面的地址端口对)没有完整的关联关系,则从该数据报文 中提取到业务标识2并进行验证,验证正确后建立第二目的地址端口对B2与第一公网地 址-端口对的绑定关系,并缓存来自UE B的媒体数据报文,直到收到UE A的媒体数据报 文;步骤S705 706,媒体中继设备在分别接收到UE A和UE B的第一媒体数据报文 后,建立第一目的地址端口对A2、第二公网地址-端口对、第一公网地址-端口对、第二目的 地址端口对B2四者之间完整的关联关系,并利用该关联关系将第二公网地址-端口对接收 到的数据经第一公网地址-端口对转发给UE B、将第一公网地址-端口对接收到的数据经 第二公网地址-端口对转发给UE A;步骤S707 708,UE A和UE B之间后继的媒体数据报文通过媒体中继设备按所 述关联关系进行中转。其中,上述步骤S702、S704中,对于接收到的媒体数据报文,其第一目的地址端口 A2对若不存在关联关系,且提取不到有效的业务标识,则丢弃该报文并继续监听端口,从而 有效地避免恶意的端口扫描导致UE A/UE B之间的媒体通道建立不成功。实施例四在本发明实施例中,UE A与UE B之间的媒体会话协商过程与实施例三相同,不同 之处在于,在媒体数据流建立过程中,即图7的步骤S707 508中UE A和UE B的第一个 媒体数据报文可以不携带的业务标识1/2信息,而是在发送媒体数据报文之前发送的绑定 请求中携带。图8描述了本发明实施例中UE A/UE B完成会话协商后建立媒体通道的流程。与 图7所描述的流程的不同之处在于,UE A/UE B在在收到会话确认响应/会话请求之后、发 送第一媒体数据报文之前,向媒体中继设备首先发送一个绑定请求,并且在该绑定请求消 息携带相应的业务标识,从而进一步避免由于一端长时间不发送数据导致的对端数据无法 发送的问题。如图8所示,本发明实施例中UE A/UE B完成会话协商后建立媒体通道主要包括 以下步骤步骤S801,UE A接收到UE B的会话确认响应消息后,立即开始向UE B发送第一 个绑定请求,该绑定请求必须携带从会话确认响应消息中提取的业务标识1 ;由于UE A从会话确认响应消息中提取第二公网地址_端口对作为UE B的通信地 址,因此UE A的媒体数据报文被发往媒体中继设备的第二公网地址-端口对;步骤S802,媒体中继设备接收到UE A的绑定请求,从报文中提取到业务标识1并 进行验证,验证正确后建立第一目的地址端口对A2与第二公网地址-端口对的绑定关系;步骤S803,媒体中继设备向UE A返回绑定成功响应消息;步骤S804,UE B接收到UE A的会话请求消息后,立即开始向UE A发送第一个绑 定请求,该绑定请求必须携带从会话请求消息中提取的业务标识2 ;
10
由于UE B从会话请求消息中提取第一公网地址-端口对作为UE A的通信地址, 因此UE B的媒体数据报文被发往媒体中继设备的第一公网地址-端口对;步骤S805,媒体中继设备接收到UE B的绑定请求,从该绑定请求中提取到业务标 识2并进行验证,验证正确后建立第二目的地址端口对B2与第一公网地址-端口对的绑定 关系;步骤S806,媒体中继设备向UE B返回绑定成功响应消息;步骤S807 808,经上述步骤,媒体中继设备建立了第一目的地址-端口对A2、第 二公网地址_端口对、第一公网地址_端口对、第二目的地址_端口对B2之间完整的关联 关系,UE A、UE B之间的媒体数据报文通过媒体中继设备按该关联关系进行中转。其中,上述步骤S801 803和步骤S804-806可以同步进行。实施例五在本发明实施例中,采用会话初始化协议(Session InitiationProtocol,简称为 SIP)进行会话协商、采用实时传输协议(Real-TimeTransport Protocol,简称为RTP)进行 媒体通道建立。在本发明实施例中,会话双方UE A和UE B首先采用图6所述流程进行媒 体协商,由于消息流程基本相同,因此在本发明实施例中不再赘述,其中,媒体中继控 制服务器在步骤S605和步骤S608中将业务标识2/1嵌入在会话描述协议(Session DescriptionProtocol,简称为 SDP)消息体中发布给 UE B/UE A。图9描述了本发明实施例中UE A和UE B完成媒体会话协商后建立媒体通道的具 体流程,如图9所示,主要包括以下步骤步骤S901,UE A接收到UE B的会话确认响应消息后,立即开始向UE B发送绑定 请求,该绑定请求必须携带从会话确认响应消息中提取的用户名1/密码1 ;由于UE A从会话确认响应中提取第二公网地址_端口对作为UE B的通信地址, 因此UE A的绑定请求被发往媒体中继设备的第二公网地址-端口对;步骤S902,媒体中继设备收到UE A的绑定请求,从该绑定请求报文中提取到用户 名1/密码1并进行验证,验证正确后建立第一目的地址端口对A2与第二公网地址-端口 对的绑定关系;步骤S903,媒体中继设备向UE A返回绑定成功响应消息;步骤S904,UE B接收到UE A的会话请求消息后,立即开始向UE A发送绑定请求, 该绑定请求必须携带从会话请求消息中提取的用户名2/密码2 ;由于UE B从会话请求消息中提取第一公网地址-端口对作为UE A的通信地址, 因此UE B的媒体数据报文被发往媒体中继设备的第一公网地址-端口对;步骤S905,媒体中继设备收到UE B的绑定请求,从该绑定请求报文中提取到用户 名2/密码2并进行验证,验证正确后建立第二目的地址端口对B2与第一公网地址-端口 对的绑定关系;步骤S906,媒体中继设备向UE B返回绑定成功响应消息;步骤S907 908,经上述步骤,媒体中继设备建立了第一目的地址-端口对A2、第 二公网地址_端口对、第一公网地址_端口对、第二目的地址_端口对B2之间完整的关联 关系,UE A、UE B之间的媒体数据报文通过媒体中继设备按该关联关系进行中转。
实施例六本发明实施例描述了基于RTP协议的媒体通道建立流程,在本发明实施例中媒体 通道建立使用RTP报文头的序号来携带会话业务标识。会话双方UE A和UE B首先基于图 6所述流程进行媒体协商,由于消息流程基本相同不再进行图示。其中业务标识1/2可以在 SIP消息或SDP消息中发布给UE A和UE B,其中的业务标识1/2为一个RTP报文起始序列 号的范围(即UE A和UE B发送第一个RTP报文的序列号的范围)。图10为本发明实施例中UE A和UE B之间建立媒体通道的具体里流程图,主要包 括以下步骤步骤S1001,UE A接收到UE B的会话确认响应消息后,开始向UE B发送第一个 RTP报文,该RTP报文为媒体数据报文,由于UE A从会话确认响应中提取第二目的地址-端 口对B2对作为UE B的通信地址,因此UE A的媒体数据报文被发往媒体中继设备的第二公 网地址-端口对;其中,UE A发送的第一个RTP报文的序列号必须在业务标识1指定的范 围内;步骤S1002,媒体中继设备接收到UE A的第一个RTP报文,检查到来自该第一目的 地址端口对A2没有完整的关联关系,则从该RTP报文中提取RTP序列号并验证是否在业务 标识1指定的范围内,验证正确后建立第一目的地址端口对A2与第二公网地址-端口对的 绑定关系;并缓存UE A的媒体数据报文,直到接收到UE B的媒体数据报文;步骤S1003,UE B向UE A发送第一个RTP报文,该RTP报文为媒体数据报文,由于 UE B从会话请求中提取第一公网地址-端口对作为UE A的通信地址,因此UE B的媒体数 据报文被发往媒体中继设备的第一公网地址-端口对;同时,UE B发送的第一个RTP报文 其序列号必须在业务标识2指定的范围内;步骤S1004,媒体中继设备接收到UE B的第一个RTP报文,检查到来自该第二目的 地址端口 B2对没有完整的关联关系,则从RTP报文中提取RTP序列号并验证是否在业务标 识2是指定的范围内,验证正确后建立第二目的地址端口对B2与第一公网地址-端口对的 绑定关系;并缓存UE B的媒体数据报文,直到接收到UE A的媒体数据报文;步骤S1005 1006,媒体中继设备在分别接收到UE A和UE B的第一 RTP报文后, 建立第一目的地址端口对A2、第二公网地址-端口对、第一公网地址-端口对、第二目的地 址端口对B2四者之间完整的关联关系,并利用该关联关系将第二公网地址-端口对接收到 的数据经第一公网地址-端口对转发给UE B、将第一公网地址-端口对接收到的数据经第 二公网地址-端口对转发给UE A;步骤S1007 1008,UE A和UE B之间后继的媒体数据报文通过媒体中继设备按 上述关联关系进行中转。实施例七在本发明实施例中描述了基于安全实时传输协议(SecureReal-Time Transport Protocol,简称为SRTP)实现媒体通道建立的流程,在本发明实施例中,会话双发基于图6 所述流程进行媒体协商时,媒体中继控制服务器直接生成符合SRTP要求的主密钥作为业 务标识,发布给UE A、UE B和媒体中继设备。图11为本发明实施例中会话双方基于SRTP协议建立媒体通道的流程图,如图11 所示,在本发明实施例中,与图10所示的流程相似,不同之处在于,在图11中UE A和UEB发送的第一个媒体数据报文为SRTP报文,该SRTP报文中携带为媒体中继控制服务器为 UE A或UE B分配的主密钥,在媒体通道建立时,媒体中继设备对UE A、UE B发送的第一个 SRTP报文中携带的主密钥进行认证,认证通过后进行地址-端口绑定;媒体中继设备对后 续SRTP报文不必进行认证流程。因此,基于SRTP协议实现的媒体通道建立,不会对现有 SRTP协议存在任何改动,仅需在媒体中继控制服务器上增加主密钥分布功能、在媒体中继 设备上增加首报文认证功能。从以上的描述中,可以看出,在本发明实施例中,媒体中继控制服务器在请求媒体 中继设备预留资源、向用户转发媒体中继信息时,同时下发一个为本次会话分配的唯一标 识;媒体中继设备在为用户建立本次会话媒体转发表时验证用户报文中携带的本次会话标 识,从而避免了媒体中继设备在本次会话预留的端口收到恶意数据包可能导致的媒体通道 建立失败。同时,用户在收到媒体中继控制服务器转发的媒体中继信息时,可以立即向分配 的媒体中继设备发送一个绑定请求,从而避免媒体中继设备只有在收到通信双方用户媒体 报文后才能成功转发媒体报文的限制。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示 出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或 步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
一种基于中继的媒体通道建立方法,其特征在于,包括在第一用户设备UE与第二UE之间的会话协商过程中,媒体中继控制服务器为所述第一UE分配第一业务标识,为所述第二UE分配第二业务标识,并将所述第一业务标识下发给所述第一UE,将所述第二业务标识下发给所述第二UE,将所述第一业务标识和所述第二业务标识下发媒体中继设备;所述媒体中继设备接收所述第一UE和所述第二UE上报的业务标识;所述媒体中继设备根据所述媒体中继控制服务器下发的所述第一业务标识和所述第二业务标识,验证所述第一UE和所述第二UE上报的业务标识,验证通过,建立所述第一UE与所述第二UE之间的媒体通道。
2.根据权利要求1所述的方法,其特征在于,所述媒体中继设备接收所述第一UE和所 述第二 UE上报的业务标识包括所述媒体中继设备接收所述第一 UE向所述第二 UE发送的第一个媒体数据报文,从中 获取所述第一 UE上报的业务标识;所述媒体中继设备接收所述第二 UE向所述第一 UE发送的第一个媒体数据报文,从中 获取所述第二 UE上报的业务标识。
3.根据权利要求1所述的方法,其特征在于,所述媒体中继设备接收所述第一UE和所 述第二 UE上报的业务标识包括所述第一 UE在所述会话协商结束后,在向所述媒体中继设备发送第一个媒体数据报 文之前,首先向所述媒体中继设备发送第一绑定请求;所述媒体中继设备接收所述第一绑定请求,从中获取所述第一 UE上报的业务标识; 所述第二 UE在所述会话协商结束后,在向所述媒体中继设备发送第一个媒体数据报 文之前,首先向所述媒体中继设备发送第二绑定请求;所述媒体中继设备接收所述第二绑定请求,从中获取所述第二 UE上报的业务标识。
4.根据权利要求1所述的方法,其特征在于,所述第一业务标识和所述第二业务标识 为字符串或序列号,或者,所述第一业务标识和所述第二业务标识为用户名-密码对。
5.根据权利要求1所述的方法,其特征在于,所述第一业务标识和所述第二业务标识 为报文的起始序列号的范围;所述媒体中继设备分别接收所述第一 UE和所述第二 UE上报的业务标识包括所述媒 体中继设备分别接收所述会话协商完成后来自所述第一 UE和所述第二 UE的第一个报文, 获取该报文的序列号;所述媒体中继设备验证所述第一 UE和所述第二 UE上报的业务标识包括所述媒体中 继设备判断来自所述第一 UE的第一个报文的序列号是否在所述第一业务标识指示的范围 内,并判断来自所述第二 UE的第一报文的序列号是否在所述第二业务标识指示的范围内, 如果均是,则验证通过。
6.根据权利要求4或5所述的方法,其特征在于,所述第一业务标识与所述第二业务标 识相同。
7.根据权利要求4或5所述的方法,其特征在于,所述第一业务标识与所述第二业务标 识不相同。
8.一种基于中继的媒体通道建立系统,其特征在于,包括媒体中继控制服务器,用于在第一 UE与第二 UE之间的会话协商过程中为所述第一 UE 分配第一业务标识,为所述第二 UE分配第二业务标识,并将所述第一业务标识下发给所述 第一 UE,将所述第二业务标识下发给所述第二 UE,将所述第一业务标识和所述第二业务标 识下发媒体中继设备;所述媒体中继设备,用于接收所述第一 UE和所述第二 UE上报的业务标识,并根据所述 媒体中继控制服务器下发的所述第一业务标识和所述第二业务标识,验证所述第一 UE和 所述第二 UE上报的业务标识,验证通过,建立所述第一 UE与所述第二 UE之间的媒体通道。
9.根据权利要求8所述的系统,其特征在于,所述媒体中继设备用于在所述会话协商 结束后,接收所述第一 UE和所述第二 UE发送的第一个媒体数据报文,从中获取所述第一 UE 和所述第二 UE上报的业务标识。
10.根据权利要求9所述的系统,其特征在于,所述媒体中继设备用于在所述会话协商 结束后,接收所述第一 UE和所述第二 UE在发送第一个媒体数据报文之前发送的绑定请求, 从中获取所述第一 UE和所述第二 UE上报的业务标识。
全文摘要
本发明公开了一种基于中继的媒体通道建立方法及系统。其中,该方法包括在第一用户设备UE与第二UE之间的会话协商过程中,媒体中继控制服务器为第一UE分配第一业务标识,为第二UE分配第二业务标识,并将第一业务标识下发给第一UE,将第二业务标识下发给第二UE,将第一业务标识和第二业务标识下发媒体中继设备;媒体中继设备接收第一UE和第二UE上报的业务标识;媒体中继设备根据媒体中继控制服务器下发的第一业务标识和第二业务标识,验证第一UE和第二UE上报的业务标识,验证通过,建立第一UE与第二UE之间的媒体通道。通过本发明,可以提高网络节点连接的安全性。
文档编号H04L29/08GK101977178SQ201010254720
公开日2011年2月16日 申请日期2010年8月9日 优先权日2010年8月9日
发明者王炜, 胡永生, 陈志峰 申请人:中兴通讯股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:胡永生;王炜;陈志峰
  • 技术所有人:中兴通讯股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2