一种会话初始协议消息的处理方法.pdf

一种会话初始协议消息的处理方法
    【技术领域】

    本发明涉及通信领域，尤其涉及一种IP(Internet Protocol，因特网协议)多媒体子系统中的网络地址转换设备或网络地址端口转换设备为用户设备分配的外网IP地址和/或端口号发生变更时，会话初始协议消息的处理方法。

    背景技术

    IP多媒体子系统(IP Multimedia Subsystem，简称IMS)是第三代合作伙伴组织(3rd Generation Partnership Project，简称3GPP)定义的下一代网络的标准，它的突出特点是采用了会话初始协议(Session Initial Protocol，简称SIP)体系，通讯与接入无关，具备多种媒体业务控制功能与承载能力分离、呼叫与业务分离、应用与服务分离、业务与网络分离、以及移动网与因特网业务融合等多种能力。

    IMS系统架构如图1所示，其中主要的功能实体包括：提供用户注册管理、会话控制、用户接入等功能的呼叫会话控制功能(Call Session ControlFunction，简称CSCF)，提供集中管理用户签约数据功能的归属用户服务器(Home Subscriber Server，简称HSS)，提供各种业务逻辑控制功能的应用服务器(Application Server，简称AS)。

    其中，呼叫会话控制功能又进一步包括：

    代理呼叫会话控制功能(Proxy Call Session Control Function，简称P-CSCF)，是IMS系统中用户的第一个接触点，执行代理呼叫会话控制功能；

    查询呼叫会话控制功能(Interrogating Call Session Control Function，简称I-CSCF)，执行查询呼叫会话控制功能；

    服务呼叫会话控制功能(Serving Call Session Control Function，简称S-CSCF)，执行服务呼叫会话控制功能。

    在用户设备(User Equitment，简称UE)和P-CSCF间还可以部署NAT(Network Address Translation，网络地址转换)/NAPT(Network Address PortTranslation，网络地址端口转换)设备。

    在现有技术中，通过3GPP TS 33.203中定义的IMS AKA(IMSAuthentication and Key Agreement，IP多媒体子系统认证和密钥协商)安全框架来保障IMS用户能安全地接入和使用业务。

    在IMS AKA安全框架中，要求UE与P-CSCF间协商建立IPSec(InternetProtocol Security，因特网安全协议)SA(Security Association，安全联盟)。并且当UE和P-CSCF间有NAT/NAPT设备(也可以统称为网络地址转换设备)存在时，采用RFC(Request For Comment，请求注解)3948中定义的UDP(User Datagram Protocol，用户数据报协议)报文封装的方式(隧道模式)实现IPSec的NAT穿越，IPSec安全协议采用的是RFC 2406中定义的封装安全载荷(Encapsulating Security Payload，简称ESP)。

    在现有技术中，NAT/NAPT设备用于将专用的网络地址(比如企业内部网的私有地址)转换为外部(比如互联网)公用地址，从而对外部隐藏了内部管理的IP地址，在一定程度上解决了IPV4地址短缺的问题，并提高了内部网络的安全性。

    图2为现有技术中，在UE和P-CSCF间存在NAT/NAPT设备的情况下的一种典型的IPSec SA协商建立过程流程图，包括如下步骤：

    S201，UE采用SIP信令向P-CSCF的非保护端口发送初始注册请求消息，该注册请求消息途径NAT/NAPT设备。

    S202，NAT/NAPT设备更改从UE收到的承载有上述注册请求消息的IP包的源IP地址和/或传输层协议源端口号。

    S203，NAT/NAPT设备将承载有上述注册请求消息的IP包转发给P-CSCF。

    S204，P-CSCF根据收到的IP包的源IP地址和源端口号，可以得知NAT/NAPT设备为UE分配的外网IP地址和端口号；P-CSCF将注册请求消息转发到用户归属网络的I-CSCF。

    S205～S206，I-CSCF与HSS交互，请求HSS分配用户归属的S-CSCF。

    S207，I-CSCF将注册请求转发到用户归属的S-CSCF。

    S208～S209，S-CSCF与HSS交互，从HSS中下载用户认证数据。

    S210～S211，S-CSCF对UE发起注册挑战(401挑战响应消息)，并将建立IPSec SA所需的安全参数通过401挑战响应消息发送给P-CSCF。

    S212，P-CSCF保存从S-CSCF接收到的IPSec SA相关安全参数，并向UE发送401挑战响应消息，该消息途经NAT/NAPT设备。

    上述401挑战响应消息中携带P-CSCF与UE协商的IPSec ESP完整性保护算法参数、私密性保护算法参数、以及NAT/NAPT设备为UE分配的外网IP地址、P-CSCF端保护端口号等协商建立IPSec所必须的相关信息。

    S213，NAT/NAPT设备更改从P-CSCF收到的承载有上述401挑战响应消息的IP包的目的IP地址和/或传输层协议目的端口号。

    S214，NAT/NAPT设备将承载有上述401挑战响应消息的IP包转发给UE。

    S215，UE收到上述401挑战响应消息后，从该消息中获知NAT/NAPT设备为UE分配的外网IP地址，并采用RFC 3948中定义的UDP报文封装IPSec的方式重新发起注册，IPSec安全协议采用的是RFC 2406中定义的ESP。

    承载有UE发往P-CSCF的注册请求消息的封装UDP报文具有如下特点：

    (a)封装UDP报文的外部源IP地址(即新IP头的源IP地址)为UE的内网IP地址，封装UDP报文的外部源端口号(即新UDP头的源端口号)为4500；封装UDP报文的外部目地IP地址(即新IP头的目的IP地址)为P-CSCF的IP地址，封装UDP报文的外部目的端口号(即新UDP头的目的端口号)为4500。

    (b)封装UDP报文的内部源IP地址(即原IP头的源IP地址)为NAT/NAPT设备为该UE分配的外网IP地址，封装UDP报文的内部源端口号(即原UDP/TCP头的源端口号)为IPSec SA建立过程中协商的的UE端保护端口号；封装UDP报文的内部目的IP地址(即原IP头的目的IP地址)为P-CSCF的IP地址，封装UDP报文的内部目的端口号(即原UDP/TCP头的目的端口号)为IPSec SA建立过程中协商的P-CSCF端保护端口号。

    S216，NAT/NAPT设备收到封装UDP报文后，将封装UDP报文的外部源IP地址和/或源端口号更改为NAT/NAPT设备之前为该UE分配的外网IP地址和/或外网端口号。

    S217，NAT/NAPT设备将承载SIP信令(注册请求)的封装UDP报文转发给P-CSCF。

    S218，P-CSCF从保护端口收到NAT/NAPT设备转发的封装UDP报文后，实施IPSec ESP检查、IPSec选择子过滤和SIP注册信令合法性检查；检查通过后，P-CSCF提取出承载在封装UDP报文中的注册请求，并将其转发给用户归属网络的I-CSCF。

    S219～S220，I-CSCF与HSS交互，请求HSS分配用户归属的S-CSCF。

    S221，I-CSCF将注册请求转发到用户归属的S-CSCF。

    S222～S223，用户注册成功，S-CSCF将注册成功响应消息发送给P-CSCF。

    S224，P-CSCF收到用户注册成功响应消息后，确认P-CSCF端的IPSec SA协商建立完成；P-CSCF保存IPSec SA协商建立过程中NAT/NAPT设备为UE分配的外网IP地址和外网端口号，并将其作为后续通过IPSec SA向UE发送封装UDP报文的外部目的IP地址和目的端口号。

    P-CSCF通过NAT/NAPT设备向UE的保护端口返回注册成功响应；该注册成功响应采用RFC 3948中定义的UDP报文封装IPSec的方式，IPSec安全协议采用的是RFC 2406中定义的ESP；承载有注册成功响应的封装UDP报文具有如下特点：

    (a)封装UDP报文的外部源IP地址为P-CSCF的IP地址，封装UDP报文的外部源端口号为4500；封装UDP报文的外部目的IP地址为NAT/NAPT设备为UE分配的外网IP地址，封装UDP报文的外部目的端口号为NAT/NAPT设备为UE分配的外网端口号。

    (b)封装UDP报文的内部源IP地址为P-CSCF的IP地址，封装UDP报文的内部源端口号为IPSec SA建立时协商的P-CSCF端保护端口号；封装UDP报文的内部目的IP地址为NAT/NAPT设备为该UE分配的外网IP地址，封装UDP报文的内部目的端口号为IPSec SA建立过程中协商的UE端保护端口号。

    S225，NAT/NAPT设备收到封装UDP报文后，将封装UDP报文的外部目的IP地址和目的端口号更改为UE的内网IP地址和端口号4500。

    S226，NAT/NAPT设备将承载SIP信令(注册成功响应消息)的封装UDP报文转发给UE。

    至此，UE与P-CSCF完成IPSec SA协商。

    图3为现有技术中，在UE与P-CSCF的IPSec SA协商建立成功后，对UE发起的SIP请求消息的处理过程流程图，包括如下步骤：

    S301，UE通过NAT/NAPT设备向P-CSCF发送非ACK(ACKnowledgement，确认应答)的SIP请求消息；该SIP请求消息通过图1所示流程建立的IPSec SA发送，使用UDP封装IPSec的方式；封装UDP报文具有如下特点：

    (a)封装UDP报文的外部源IP地址为UE的内网IP地址，封装UDP报文的外部源端口号为4500；封装UDP报文的外部目的IP地址为P-CSCF的IP地址，封装UDP报文的外部目的端口号为4500。

    (b)封装UDP报文的内部源IP地址为IPSec SA建立过程中NAT/NAPT设备为该UE分配的外网IP地址，封装UDP报文的内部源端口号为IPSec SA建立过程中协商的UE端保护端口号；封装UDP报文的内部目的IP地址为P-CSCF的IP地址，封装UDP报文的内部目的端口号为IPSec SA建立过程中协商的P-CSCF端保护端口号。

    S302，NAT/NAPT设备收到封装UDP报文后，将封装UDP报文的外部源IP地址和/或外部源端口号更改为NAT/NAPT设备之前为该UE分配的外网IP地址和/或外网端口号。

    S303，NAT/NAPT设备将承载SIP请求消息的封装UDP报文转发给P-CSCF。

    S304，P-CSCF收到NAT/NAPT设备转发的封装UDP报文后，对封装UDP报文的消息体中的内部IP包实施IPSec ESP检查，并使用IPSec选择子对内部IP包实施过滤检查，以确认该内部IP包的源IP地址与IPSec SA协商建立过程中所保存的UE的外网IP地址相同。

    P-CSCF对承载在封装UDP报文中的SIP请求消息进行其他处理后，将SIP请求消息发往其他IMS网元。

    S305，其他IMS网元返回对应的SIP响应消息。

    S306，P-CSCF收到上述SIP响应消息，该SIP响应消息通过图1所示流程建立的IPSec SA转发给UE，采用UDP封装IPSec的方式；封装UDP报文具有如下特点：

    (a)封装UDP报文的外部源IP地址为P-CSCF的IP地址，封装UDP报文的外部源端口号为4500；封装UDP报文的外部目的IP地址为IPSec SA建立过程中NAT/NAPT设备为UE分配的外网IP地址，封装UDP报文的外部目的端口号为IPSec SA建立过程中NAT/NAPT设备为UE分配的外网端口号。

    (b)封装UDP报文的内部源IP地址为P-CSCF的IP地址，封装UDP报文的内部源端口号为IPSec SA建立过程中协商的P-CSCF端保护端口号；封装UDP报文的内部目的IP地址为IPSec SA建立过程中NAT/NAPT设备为UE分配的外网IP地址，封装UDP报文的内部目的端口号为IPSec SA过程中协商的UE端保护端口号。

    S307，NAT/NAPT设备收到封装UDP报文后，更改封装UDP报文的外部目的IP地址和/或外部目的端口号。

    S308，NAT/NAPT设备将承载SIP响应消息的封装UDP报文转发给UE。

    在现有技术中，当UE与P-CSCF间存在NAT/NAPT设备时，UE与P-CSCF间采用UDP封装IPSec的方式，且安全协议为ESP。ESP协议本身不对封装UDP报文的头部(源和目的IP地址、源和目的UDP端口号)实施检查和保护，且P-CSCF端的IPSec选择子仅针对封装UDP报文的内部IP包实施过滤。

    此外，在现有技术中，UE通过P-CSCF返回的非保护的初始注册响应消息(401挑战响应消息)来得知NAT/NAPT设备为自己分配的外网IP地址。

    因此，如果在UE与P-CSCF间的IPSec SA建立成功后，NAT/NAPT设备发生重启，或者NAT/NAPT设备上保存的该UE的内网IP地址/端口号和外网IP地址/端口号的地址绑定映射超时，则NAT/NAPT设备将为UE重新分配新的外网IP地址和/或外网端口号；在这种情况下，现有技术存在如下问题：

    (1)上述步骤S303中，P-CSCF通过NAT/NAPT设备收到的封装UDP报文中的外部源IP地址和/或源端口号(NAT/NAPT设备修改后的)与步骤S224中P-CSCF保存的IPSec SA建立过程中NAT/NAPT设备为UE分配的外网IP地址和/或端口号取值不同，P-CSCF无法通过IPSec ESP检查和IPSec选择子过滤检查出此异常(因为UE仍然使用原来NAT/NAPT设备为UE分配的外网IP地址作为封装UDP报文的内部源IP地址，而P-CSCF不对封装UDP的外部源IP地址和外部外部源端口号进行检查)，SIP请求消息将被正常处理。

    因此，上述步骤S306中，P-CSCF无法采用之前建立的IPSec SA，通过NAT/NAPT设备向正确的UE返回SIP响应消息。

    (2)此外，P-CSCF也无法通过之前建立的IPSec SA将向正确的UE发送任何SIP信令。

    (3)上述问题还将进一步导致：在UE重新协商建立新的IPSec SA之前，由于SIP事务超时而导致UE重发SIP请求消息(发送7次)，额外增加了网络负荷。

    【发明内容】

    本发明所要解决的技术问题是，克服现有技术的不足，提供一种会话初始协议消息的处理方法，以克服由于NAT/NAPT设备为UE绑定/分配的外网IP地址和/或端口号发生变更，导致的IMS用户业务中断和网络负荷增加的问题。

    为了解决上述问题，本发明提供一种会话初始协议消息的处理方法，在用户设备UE与代理呼叫会话控制功能P-CSCF之间通过网络地址转换设备交互、并且UE与P-CSCF成功建立了因特网安全协议安全联盟IPSec SA的情况下，该方法包括：

    P-CSCF从入向IPSec SA接收到UE通过网络地址转换设备发送的会话初始协议SIP消息后，若所述SIP消息对应的封装UDP报文的外部源地址标识与创建IPSec SA时P-CSCF保存的、由网络地址转换设备为UE分配的外网地址标识不同，则P-CSCF向UE发送错误响应消息；

    UE接收到所述错误响应消息后与P-CSCF重建IPSec SA；

    所述网络地址转换设备包括：网络地址转换NAT设备和网络地址端口转换NAPT设备；

    所述地址标识包括：IP地址、和/或端口号。

    此外，所述错误响应消息中携带P-CSCF接收到的所述封装UDP报文的外部源IP地址和/或外部源端口号。

    此外，所述SIP消息为非确认应答消息且非响应消息的SIP请求消息。

    此外，P-CSCF从入向IPSec SA接收到UE发送的SIP消息后，若所述SIP消息对应的封装UDP报文的外部源IP地址和/或外部源端口号与创建IPSec SA时P-CSCF保存的所述外网IP地址和/或外网端口号不同，则P-CSCF删除当前的IPSec SA以及与UE相关的会话。

    此外，UE接收到所述错误响应消息后、重建IPSec SA前，删除当前的IPSec SA。

    此外，UE通过使用P-CSCF的非保护端口发起新的初始注册流程与P-CSCF重建IPSec SA。

    此外，P-CSCF将所述错误响应消息封装在UDP报文中发送给UE；

    P-CSCF发送的所述UDP报文的外部目的IP地址为：P-CSCF接收到的所述封装UDP报文的外部源IP地址；

    P-CSCF发送的所述UDP报文的外部目的端口号为：P-CSCF接收到的所述封装UDP报文的外部源端口号。

    此外，P-CSCF发送的所述UDP报文的内部目的IP地址为：创建IPSec SA时P-CSCF保存的所述外网IP地址；

    P-CSCF发送的所述UDP报文的内部目的端口号为：创建IPSec SA时P-CSCF保存的所述外网端口号。

    综上所述，采用本发明的方法，解决了由于NAT/NAPT设备为UE绑定/分配的外网IP地址和/或端口号发生变更，而导致的IMS用户业务中断和网络负荷增加的问题，并且本发明的方法与当前技术具有良好的兼容性。

    【附图说明】

    图1为现有技术中的IMS系统架构示意图；

    图2为现有技术中，在UE和P-CSCF间存在NAT/NAPT设备的情况下的一种典型的IPSec SA协商建立过程流程图；

    图3为现有技术中，在UE与P-CSCF的IPSec SA协商建立成功后，对UE发起的SIP请求消息的处理过程流程图；

    图4为本发明实施例成功创建IPSec SA后的SIP消息处理方法流程图。

    【具体实施方式】

    本发明的基本思想是，在UE和P-CSCF之间存在NAT/NAPT设备的情况下，当UE与P-CSCF间成功建立IPSec SA后，P-CSCF检查从入向IPSec SA收到的UE发送的SIP消息，若该SIP消息对应的封装UDP报文的外部源IP地址和/或源端口号与创建入向IPSec SA时的源IP地址和/或源端口号不同，则P-CSCF拒绝该SIP请求，并向UE返回特定错误响应，由UE进行相应的处理。

    下面将结合附图和实施例对本发明进行详细描述。

    图4为本发明实施例成功创建IPSec SA后的SIP消息处理方法流程图，包括如下步骤：

    S401，UE与P-CSCF间已成功建立IPSec SA，并且NAT/NAPT设备为该UE分配的外部IP地址和/或端口号发生变更；UE通过该IPSec SA(入向IPSec SA)向P-CSCF发送SIP消息；该SIP消息采用UDP报文封装，封装UDP报文具有如下特点：

    (a)封装UDP报文的外部源IP地址为UE的内网IP地址，封装UDP报文的外部源端口号为4500；封装UDP报文的外部目的IP地址为P-CSCF的IP地址，封装UDP报文的外部目的端口号为4500。

    (b)封装UDP报文的内部源IP地址为IPSec SA建立过程中NAT/NAPT设备为该UE分配的外网IP地址，封装UDP报文的内部源端口号为IPSec SA建立过程中协商的UE端保护端口号；封装UDP报文的内部目的IP地址为P-CSCF的IP地址，封装UDP报文的内部目的端口号为IPSec SA建立过程中协商的P-CSCF端保护端口号。

    S402，收到承载有SIP消息的封装UDP报文后，NAT/NAPT设备将封装UDP报文的外部源IP地址和/或源端口号更改为NAT/NAPT设备为该UE分配的外网IP地址和/或外网端口号。

    S403，NAT/NAPT设备将承载SIP请求消息的封装UDP报文转发给P-CSCF。

    S404，P-CSCF收到经过NAT/NAPT设备处理的封装UDP报文，在IPSecESP检查和IPSec选择子过滤检查通过之后，P-CSCF检查该封装UDP报文的外部源IP地址和/或外部源端口号与入向IPSec SA创建过程中NAT/NAPT设备为该UE分配的源IP地址和/或源端口号是否相同：

    如果该SIP消息对应的封装UDP报文的外部源IP地址和/或外部源端口号与入向IPSec SA创建时NAT/NAPT设备为该UE分配的源IP地址和/或源端口号不同，且该消息为非ACK的SIP请求消息，则P-CSCF拒绝该SIP请求，通过IPSec SA向UE返回特定的SIP错误响应，并删除当前的IPSec SA以及与UE相关的会话。

    上述特定的SIP错误响应消息中可以携带NAT/NAPT设备为UE分配的新的外部IP地址和/或端口号(即该封装UDP报文的外部源IP地址和/或外部源端口号)，以及具体的错误原因信息。该特定的SIP错误响应通过UDP报文封装，并具有如下特点：

    (a)封装UDP报文的外部源IP地址为P-CSCF的IP地址，封装UDP报文的外部源端口号为4500；封装UDP报文的外部目的IP地址为NAT/NAPT设备为UE新分配的外网IP地址(即步骤S404中P-CSCF收到的经过NAT/NAPT设备处理的封装UDP报文的外部源IP地址)，封装UDP报文的外部目的端口号为NAT/NAPT设备为UE新分配的外网端口号(即步骤S404中P-CSCF收到的经过NAT/NAPT设备处理的封装UDP报文的外部源端口号)。

    (b)封装UDP报文的内部源IP地址为P-CSCF的IP地址，封装UDP报文的内部源端口号为IPSec SA建立时协商的P-CSCF端保护端口号；封装UDP报文的内部目的IP地址为NAT/NAPT设备先前为该UE分配的外网IP地址(即步骤S224中P-CSCF保存的NAT/NAPT设备为UE分配的外网IP地址)，封装UDP报文的内部目的端口号为IPSec SA建立时协商的UE端保护端口号(即步骤S224中P-CSCF保存的NAT/NAPT设备为UE分配的外网端口号)。

    如果P-CSCF接收的SIP消息对应的封装UDP报文的外部源IP地址和/或源端口号与入向IPSec SA创建时的源IP地址和/或源端口号不同，且该SIP消息为ACK请求消息或响应消息，P-CSCF根据本地策略可丢弃或接受该SIP消息。

    S405，P-CSCF发送的特定的SIP错误响应消息经过NAT/NAPT设备，NAT/NAPT设备对承载SIP错误响应的封装UDP报文的目的IP地址和/或目的端口号进行更改，并向UE转发。

    S406，UE收到NAT/NAPT设备转发的上述特定的SIP错误响应后，删除当前的IPSec SA，并通过P-CSCF非保护端口发起新的初始注册流程，重新协商建立新的IPSec SA。