一种MMtel应用服务器中密钥可配置系统及方法与流程
本发明涉及通信领域,具体地说是一种ims领域中mmtel应用服务器中密钥可配置系统及方法。
背景技术:
为了满足多媒体通信的需要,3gpp组织在原有分组承载网的基础上引入了ip多媒体子系统(ims,ipmultimediasubsystem),ims不仅能向用户提供传统语音业务,也能向用户提供丰富的多媒体体验。ims包括呼叫控制实体(cscf,callsessioncontrolfunction)、归属用户服务器(hss,homesubscriberserver)和应用服务器(as,applicationserver)。cscf包括s-cscf(serving-callsessioncontrolfunction,服务cscf)、i-cscf(interrogating-callsessioncontrolfunction,查询cscf)、p-cscf(proxy-callsessioncontrolfunction,代理cscf)。as与hss之间的接口称为sh接口。as可以在sh接口上从hss上下载公有用户标识(pui,pubicuseridentity)、隐式注册集(implicitlyregisteredpublicuseridentityset)、用户透明数据(repositorydata)、sh接口ims相关数据(sh-ims-data)等。
mmtel(multimediatelephony)as是ims域的核心网元,主要提供支持电信运营商将传统的电路交换业务演进为基于ip的实时多媒体电话业务。通过rf接口与ims域中的计费网元相连接,通过sh接口与归属签约用户服务器hss(homesubscriberserver)相连,并通过发送udr/pur消息至hss获取用户数据。
异构计算主要是指使用不同体系的计算单元(cpu、gpu、fpga等)组成计算系统的方式。专有的计算单元工作频率较低,但是具备更高的并行计算能力,总体性能和功耗较低。
当用户发起注册后,mmtelas根据impu向hss发送udr/pur消息请求下载用户数据,并将用户数据存储至本地,当用户发起呼叫时,直接读取本地存储的用户数据进行呼叫业务处理,数据存储得不到安全保护,容易被篡改。
基于此,本专利提供一种可解决上述问题的mmtel应用服务器中密钥可配置系统及方法。
技术实现要素:
本发明的技术任务是针对以上不足之处,提供一种mmtel应用服务器中密钥可配置系统及方法。
一种mmtel应用服务器中密钥可配置系统,基于ims网络架构,其结构包括顺序连接的归属签约用户服务器hss、mmtel应用服务器、服务呼叫会话控制功能s-cscf节点,在mmtel应用服务器内配置有异构加速卡,该异构加速卡用于对ims网络架构中的注册用户数据进行加密。
在mmtel应用服务器内还配置有与异构加速卡相对应的秘钥配置表,该密钥配置表用于设定秘钥句柄的取值范围,相对应的,在通过该异构加速卡进行数据加密时,首先通过调用opencl系统级接口将数据传入至异构加速卡中,读取秘钥配置表,设定当前系统支持的可信计算的秘钥句柄的取值范围。
所述异构加速卡采用fpga芯片,该fpga芯片采用pcie接口与mmtel应用服务器的cpu相连。
所述的mmtel应用服务器通过sh接口与归属签约用户服务器hss连接,并处理收到来自该归属签约用户服务器hss的sh接口信息,这里的sh接口信息包括用户数据查询消息udr、档案数据更新消息pur、订阅通知消息snr。
一种mmtel应用服务器中密钥可配置方法,基于上述系统,通过mmtel应用服务器中的异构加速卡对ims域中ip实时多媒体通话业务提供安全加密的加速运行环境,具体为,首先在mmtel应用服务器中设定密钥配置表,通过设定秘钥句柄的取值范围,使得异构加速卡生成的密钥可配置,然后通过异构加速卡对ims网络架构中的注册用户数据进行加密。
在对注册用户数据进行加密时,在mmtel应用服务器正常启动后,修改异构加速卡的秘钥句柄配置范围,并使用opencl协议接口启动用户注册会话,读取秘钥配置表,设定当前系统支持的秘钥句柄的取值范围,最后再在异构加速卡中设定加密算法、核函数对注册用户数据进行加密,保证用户数据存储的安全性。
通过异构加速卡对ims网络架构中的注册用户数据进行加密的具体过程为:
1)首先发起用户注册,mmtel应用服务器向归属签约用户服务器hss发送用户数据查询请求消息udr、档案数据更新请求消息pur;
2)mmtel应用服务器在收到归属签约用户服务器hss的用户数据查询响应消息uda、档案数据更新响应消息pua后,获取用户数据;
3)在mmtel应用服务器中通过修改秘钥句柄的后台配置表,设定异构加速卡秘钥句柄的取值范围,通过调用opencl协议接口将数据传入至异构加速卡中进行加密,保证用户数据存储的安全性,完成mmtel应用服务器上的用户注册流程。
在步骤1)中,当用户发起注册时,mmtel应用服务器收到ims网络架构中服务呼叫会话控制功能s-cscf节点的注册消息及用户的注册时间,在本地构造用户数据查询请求消息udr、档案数据更新请求消息pur,消息中携带用户的临时ims公用身份标识impu,该impu标识为sip格式且仅作注册使用,并通过sh接口将消息发送至归属签约用户服务器hss获取用户数据。
在步骤2)中获取用户的注册数据时,归属签约用户服务器hss收到用户数据查询请求消息udr、档案数据更新请求消息pur后,将数据通过用户数据查询响应消息uda、档案数据更新响应消息pua整体或分段将用户注册的数据发送至mmtel应用服务器中,mmtel应用服务器收到响应消息后,将注册数据消息中携带的注册时间更新至本地。
在步骤3)中通过异构加速卡进行加密时,首先在mmtel应用服务器上选择要加密的算法,这里的加密算法包括aes算法、rsa算法,并调用opencl协议接口传入待加密的注册文件和核函数,从而将数据传入至加速异构卡中对用户数据进行加密,并向网络侧的服务呼叫会话控制功能s-cscf节点回复200ok响应消息,完成用户的注册流程,当用户发起呼叫时,解密并读取用户数据,完成通话业务处理。
本发明的一种mmtel应用服务器中密钥可配置系统及方法和现有技术相比,具有以下有益效果:
本发明的一种mmtel应用服务器中密钥可配置系统及方法,将异构加速卡应用到mmel应用服务器中,通过在mmtel上后台数据库中设定秘钥句柄的取值范围,保证秘钥句柄产生的灵活可配性,进而保证秘钥句柄产生的无序性;利用如fpga的异构加速卡支持的加密算法对终端用户数据进行加密保护,保证其用户数据存储在本地的安全性,提高整个mmtel会话业务应用服务器的可靠性,实用性强,适用范围广泛,易于推广。
附图说明
附图1为本发明系统的具体实施方式示意图。
附图2为本发明方法的具体实施方式流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明的方案,下面结合具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如附图1所示,一种mmtel应用服务器中密钥可配置系统,通过在mmtel应用服务器上内置如fpga加速芯片的异构加速卡,为ims域中ip实时多媒体通话业务提供安全加密的加速运行环境。通过在mmtel应用服务器上的后台数据库中设定秘钥句柄的取值范围,保证秘钥句柄产生的灵活可配性,进而保证秘钥句柄产生的无序性。利用异构加速卡对注册用户数据进行加密,保证其用户数据存储在本地的安全性,提高整个mmtel应用服务器的可靠性。
该系统基于ims网络架构,其结构包括顺序连接的归属签约用户服务器hss、mmtel应用服务器、服务呼叫会话控制功能s-cscf节点,在mmtel应用服务器内配置有异构加速卡,该异构加速卡用于对ims网络架构中的注册用户数据进行加密。
在mmtel应用服务器内还配置有与异构加速卡相对应的秘钥配置表,该密钥配置表用于设定秘钥句柄的取值范围,相对应的,在通过该异构加速卡进行数据加密时,首先通过调用opencl系统级接口将数据传入至异构加速卡中,读取秘钥配置表,设定当前系统支持的可信计算的秘钥句柄的取值范围。
所述异构加速卡采用fpga芯片,该fpga芯片采用pcie接口与mmtel应用服务器的cpu相连。
所述的mmtel应用服务器通过sh接口与归属签约用户服务器hss连接,并处理收到来自该归属签约用户服务器hss的sh接口信息,这里的sh接口信息包括用户数据查询消息udr、档案数据更新消息pur、订阅通知消息snr。
如附图2所示,一种mmtel应用服务器中密钥可配置方法,基于上述系统,通过mmtel应用服务器中的异构加速卡对ims域中ip实时多媒体通话业务提供安全加密的加速运行环境,具体为,首先在mmtel应用服务器中设定密钥配置表,通过设定秘钥句柄的取值范围,使得异构加速卡生成的密钥可配置,然后通过异构加速卡对ims网络架构中的注册用户数据进行加密。
在对注册用户数据进行加密时,在mmtel应用服务器正常启动后,修改异构加速卡的秘钥句柄配置范围,并使用opencl协议接口启动用户注册会话,读取秘钥配置表,设定当前系统支持的秘钥句柄的取值范围,最后再在异构加速卡中设定加密算法、核函数对注册用户数据进行加密,保证用户数据存储的安全性。
通过异构加速卡对ims网络架构中的注册用户数据进行加密的具体过程为:
1)首先发起用户注册,mmtel应用服务器向归属签约用户服务器hss发送用户数据查询请求消息udr、档案数据更新请求消息pur;
2)mmtel应用服务器在收到归属签约用户服务器hss的用户数据查询响应消息uda、档案数据更新响应消息pua后,获取用户数据;
3)在mmtel应用服务器中通过修改秘钥句柄的后台配置表,设定异构加速卡秘钥句柄的取值范围,通过调用opencl协议接口将数据传入至异构加速卡中进行加密,保证用户数据存储的安全性,完成mmtel应用服务器上的用户注册流程。
在步骤1)中,当用户发起注册时,mmtel应用服务器收到ims网络架构中服务呼叫会话控制功能s-cscf节点或代理呼叫会话控制功能p-cscf节点的注册消息及用户的注册时间,在本地构造用户数据查询请求消息udr、档案数据更新请求消息pur,消息中携带用户的临时ims公用身份标识impu,该impu标识为sip格式且仅作注册使用,并通过sh接口将消息发送至归属签约用户服务器hss获取用户数据。
在步骤2)中获取用户的注册数据时,归属签约用户服务器hss收到用户数据查询请求消息udr、档案数据更新请求消息pur后,将数据通过用户数据查询响应消息uda、档案数据更新响应消息pua整体或分段将用户注册的数据发送至mmtel应用服务器中,mmtel应用服务器收到响应消息后,将注册数据消息中携带的注册时间更新至本地。
在步骤3)中通过异构加速卡进行加密时,首先在mmtel应用服务器上选择要加密的算法,这里的加密算法包括aes算法、rsa算法,并调用opencl协议接口clenqueuendrange传入待加密的注册文件和核函数,从而将数据传入至加速异构卡中对用户数据进行加密,并向网络侧的服务呼叫会话控制功能s-cscf节点回复200ok响应消息,完成用户的注册流程,当用户发起呼叫时,解密并读取用户数据,完成通话业务处理。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。
- 还没有人留言评论。精彩留言会获得点赞!