CN100574185C - 在ip多媒体业务子系统网络中保障媒体流安全性的方法 - Google Patents
在ip多媒体业务子系统网络中保障媒体流安全性的方法 Download PDFInfo
- Publication number
- CN100574185C CN100574185C CNB2005100000977A CN200510000097A CN100574185C CN 100574185 C CN100574185 C CN 100574185C CN B2005100000977 A CNB2005100000977 A CN B2005100000977A CN 200510000097 A CN200510000097 A CN 200510000097A CN 100574185 C CN100574185 C CN 100574185C
- Authority
- CN
- China
- Prior art keywords
- key
- called
- caller
- media flow
- flow security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1045—Proxies, e.g. for session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/062—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
Abstract
本发明公开了一种在IMS网络中保障媒体流安全性的方法,该方法为:IMS网络中主叫或被叫注册的网络设备为主叫或被叫分配端到端的媒体流安全密钥,并由分配密钥的网络设备将媒体流安全密钥通过会话报文传送给对方所属的网络设备;所述主叫和被叫所属的网络设备分别利用与用户终端之间共享的会话密钥对所述媒体流安全密钥加密,并通过会话报文分别传送给主叫和被叫;主叫和被叫分别利用本端与所属网络设备之间共享的会话密钥解密出端到端的媒体流安全密钥,并利用该媒体流安全密钥加密或解密媒体流。
Description
技术领域
本发明涉及通信网络中的媒体流安全技术,尤其涉及在IP多媒体业务子系统(IMS)网络中保障媒体流安全性的方法。
背景技术
IMS作为固定和移动网络的核心会话控制层,已成为目前业界讨论的重点,在3GPP以及TISPAN标准中定义了很多IMS相关的规范,包括网络架构、接口、协议等各个方面,其中安全是一个3GPP及TISPAN考虑的一个重要方面,目前规范中从安全的角度将IMS网络划分为接入域和网络域,并分别定义了接入域和网络域的安全规范,IMS网络的安全模型如图1所示。模型中定义了需要提供安全的接口,并在规范中有比较详细的描述,但这些都是针对IMS网络中控制面定义的,即如何保证IMS网络中会话协议的安全,而没有提到如何保证IMS网络中媒体面的安全,事实上,媒体面的安全也是非常重要的,否则会导致用户在通话过程中媒体流被篡改或窃听,导致用户服务质量的下降或机密信息的泄漏。
现有技术提出了一种保护IMS网络中媒体流的方案,其基本思路是:在IMS网络架构中引入媒体流代理(RTP Proxy);通过GBA(也是3GPP规范中定义的一种通用的认证与密钥分配模型)方式实现用户终端(UE)和RTP Proxy的共享密钥;通过该共享密钥,UE和RTP Proxy之间实现对媒体流的机密性和完整性保护,实现媒体流在接入域的安全;媒体流在网络域的安全可以有两种方式,一是认为在网络域内网络是可信的或安全的,在RTP Proxy之间不提供安全保护;二是利用3GPP IMS网络域安全机制,通过IPSec ESP协议对RTP Proxy之间的媒体流进行保护。
GBA的架构模型如图2所示,图3是GBA模型在媒体流密钥分配中的应用。在该应用中将会话发起协议服务器(SIP Server,如3GPP IMS网络中定义的P-CSCF,其中P-CSCF为Proxy CSCF,即代理-呼叫会话控制功能))和RTPProxy看作一个整体,作为GBA中的网络应用功能实体(NAF),SIP Server从BSF(Bootstrapping Server Function)获取存储在BSF中的NAF和SIP Client共享的密钥,SIP Server再通过其它接口Is将密钥送给RTP Proxy,从而实现SIPClient和RTP Proxy之间的媒体流安全密钥共享。
在GBA模型中,网络应用功能(NAF)和BSF(Bootstrapping Server Function)是逻辑功能实体,所有应用服务器(AS)甚至呼叫会话控制功能(CSCF)实体都有可能作为NAF去利用GBA过程获取和UE之间的共享密钥;同样,具体实现BSF功能的可能是任何设备,如CSCF实体、用户归属服务器(HSS)、AAAServer和Web Portal等。
上述方案无疑是解决IMS网络媒体流安全一种比较可行的方案,但该方案存在如下缺点:
上述方案将媒体流划分为三段:
a、主叫SIP Client(UE)-主叫RTP Proxy;
b、主叫RTP Proxy-被叫RTP Proxy;
c、被叫RTP Proxy-被叫SIP Client(UE);
媒体流的安全是通过分段的方式来保证的,结果导致媒体流在传输过程中需要经过三次加解密(即使认为主叫RTP Proxy和被叫RTP Proxy之间不需要提供安全保护,也需要二次加解密),而事实上加解密过程对于系统的性能带来极大的负担,导致系统的性能降低,同时增大了媒体流在网络传输过程中的延迟,使得媒体流服务质量的降低,特别是服务质量要求较高的实时语音业务。
此外,由于存在多次的加解密,存在加密信息泄漏的风险,而且在多次通话过程中,SIP Client和RTP Proxy之间采用同样的密钥进行加解密,也增大了加密媒体流被解密的可能。
发明内容
本发明提供一种在IMS网络中提高端到端媒体流安全性的方法,以解决现有技术中因端到端的媒体流需要多次加密和解密而导致安全性和媒体流服务质量降低的问题。
为解决上述问题,本发明提供以下技术方案:
一种在IP多媒体业务子系统网络中保障媒体流安全性的方法,包括如下步骤:
A、IMS网络中主叫或被叫注册的网络设备为主叫或被叫分配端到端的媒体流安全密钥,并由分配密钥的网络设备将媒体流安全密钥传送给对方所属的网络设备;
B、所述主叫和被叫所属的网络设备分别利用与用户终端之间共享的会话密钥对所述媒体流安全密钥加密,并通过会话报文分别传送给主叫和被叫;
C、主叫和被叫分别利用本端与所属网络设备之间共享的会话密钥解密出端到端的媒体流安全密钥,并利用该媒体流安全密钥加密或解密媒体流。
其中:
主叫和被叫所属的网络设备还根据主叫和被叫提供的安全能力指定主叫和被叫之间媒体流安全能力。
若需要对媒体流进行监听时,网络设备还将分配的端到端的媒体流安全密钥传递给监听设备,该监听设备利用该媒体流安全密钥对加密的媒体流解密,实现对媒体流的监听。
主叫和被叫所属的网络设备之间在网络域的会话报文中以明文方式传送媒体流安全密钥,或者通过IMS网络域的安全机制传送媒体流安全密钥。
所述端到端的媒体流安全密钥为加密密钥或完整性保护密钥。
本发明由可以作为网络设备应用服务器或CSCF等网络设备为主叫和被叫分配端到端的媒体流安全密钥,在媒体流传输过程中只需主被叫终端对媒体流进行一次加密或解密,所以,对IMS网络设备基本上没有性能压力,同时有利于保证媒体流的服务质量;在安全性方面,由于密钥是在每次会话中动态分配的,会话结束后就失效了,因此本发明同时具有很高的安全性。
由于在协商媒体流安全密钥的同时还可交互协商主叫和被叫的安全能力,因此,能够实现主叫和被叫之间端到端的安全联盟的动态建立。
附图说明
图1为现有的IMS网络安全模型示意图;
图2为现有的GBA模型示意图;
图3为GAB在媒体流安全中的应用示意;
图4、图5为本发明的流程图。
具体实施方式
IMS网络中定义的呼叫会话控制功能(CSCF)实体用于完成呼叫和会话时的控制和路由等功能,P/S/I-CSCF是为了实现不同的功能而区分的,代理-呼叫会话控制功能(P-CSCF)是完成用户UE的接入,所有UE通过P-CSCF接入网络;业务-呼叫会话控制功能(S-CSCF)提供会话控制和路由等核心功能;查询-呼叫会话控制功能(I-CSCF,Interrogating-CSCF)是用于S-CSCF的选择及不同运营商或不同区域网络之间的互通,实现网络屏蔽等功能,如可能作为不同运营商之间的唯一出入口;IMS网络中的应用服务器(AS)则是为用户提供业务,如呼叫等待、会议、即时消息等各种应用,不同的应用可能是不同的AS,S-CSCF实体负责根据业务情况将用户的会话请求转到不同的AS去处理。
为了避免在传输过程中对媒体流进行多次加密和解密,本发明直接在会话发起协议客户端(SIP Client)即主叫用户端和被叫用户终端(UE)之间建立安全联盟,在主叫和被叫之间直接进行加解密实现对媒体流的安全保护,即实现端到端媒体流安全保护。
端到端媒体流安全密钥协商可以通过两种方式实现,第一种方式是由CSCF实体分配端到端的媒体流安全密钥,第二种方式是由应用服务器(AS)来分配端到端的媒体流安全密钥。媒体流安全密钥为加密密钥CK或完整性保护密钥IK。
参阅图4所示,采用第一种方式实现端到端媒体流安全保护过程如下:
步骤1、在会话建立过程中,主叫或被叫UE注册的CSCF实体中的S-CSCF根据UE的签约信息或AS在会话报文中对媒体流安全保护的指示,决定本次会话媒体流是否需要保护,如果需要保护,则由该S-CSCF根据签约信息中要求的保护方式分配端到端的媒体安全密钥。如果要求保护的方式是加密方式,则分配端到端的加密密钥CK,如果要求的保护方式是完整性保护方式,则分配端到端的完整性保护密钥IK。
步骤2、主叫或被叫的S-CSCF分配媒体流安全密钥后,在网络域的会话报文中传递给对方UE所属的S-CSCF,主叫和被叫所属的S-CSCF再将密钥在会话报文中分别传送给主叫/被叫的P-CSCF。
若认为网络域内是可信的或安全的则可以明文方式传递密钥(即不对密钥进行任何加密保护),当然也可通过IMS网络域的安全机制来传递密钥。
步骤3、主叫和被叫UE接入的P-CSCF根据UE在注册AKA过程中协商得到的UE和P-CSCF之间的加密密钥对媒体流安全密钥进行加密。
步骤4、P-CSCF将加密后的媒体流安全密钥在会话报文中以密文的形式传递给主、被叫UE,保证媒体流安全密钥在非安全的接入侧网络中是安全传输的,主被叫UE通过和P-CSCF之间共享的会话密钥解密后获取主被叫UE之间端到端的媒体流安全密钥。
步骤5、主叫UE和被叫UE之间根据会话建立过程中协商的安全联盟(SA),用端到端的安全密钥对媒体流报文进行加密或完整性保护后传送,完成端到端的媒体流安全保证功能。
若只有主叫UE到被叫UE的媒体流需要保护,则主叫UE采用端到端的媒体流安全密钥对媒体流进行加密或完整性保护后发送给被UE,被叫UE则利用媒体流安全密钥认证及解密收到的媒体流,对发送的媒体流不用加密;若只有被叫UE到主叫UE的媒体流需要保护,其处理过程与此相同;若主叫UE和被叫UE发送的媒体流均需要保护,则双方均利用媒体流安全密钥对媒体流加密或完整性保护后发送,同时利用媒体安全密钥对收到的媒体流进行解密。
参阅图5所示,采用第二种方式实现端到端媒体流安全保护过程如下:
在发起会话前,主被叫UE在注册认证AKA过程中结合GBA流程同时实现了UE与网络侧应用层(NAF)安全密钥的协商,在后续UE发起或响应会话请求时,将在会话报文中或与NAF的交互过程中携带B-TID标识(UE和NAF之间或通过其它方式实现了应用层安全密钥的协商,具体方式不限于上述描述)。
步骤10、在会话建立过程中,主叫或被叫UE所属的应用服务器(AS)根据业务的需求或用户的签约信息等决定本次会话媒体流是否需要保护,如果需要保护,则根据签约信息或业务需求中要求的保护方式分配端到端的媒体安全密钥。如果要求保护的方式是加密方式,则分配端到端的加密密钥CK,如果要求的保护方式是完整性保护方式,则分配端到端的完整性保护密钥IK。
步骤11、通过网络域的安全机制,分配密钥的AS将媒体流安全密钥进行加密后在会话报文中传递给对方所属的AS。
若认为网络域是可信的,在网络域内也可以明文传输密钥。
步骤12、主叫和被叫所属的AS根据UE在会话交互报文中携带的B-TID标识,到BSF请求NAF与UE之间共享的应用层安全密钥。
应用层安全密钥也可保存在用户归属服务器(HSS)上,此时,主叫和被叫所属的AS则根据UE在会话交互报文中携带的B-TID标识到该HSS上获取密钥(当然,还可通过其它方式实现AS和UE之间的应用层密钥分配)。
步骤13、主叫和被叫所属的AS分别利用与UE之间共享的应用层安全密钥对媒体流安全密钥进行加密,并分别在会话报文中传递给主叫和被叫UE。
步骤14、主叫和被叫UE利用和AS共享的应用层密钥解密,获取主叫和被叫UE之间的端到端的媒体流安全密钥。
步骤15、主叫UE和被叫UE之间根据会话建立过程中协商的安全联盟(SA),用端到端的安全密钥对媒体流报文进行加密或完整性保护后传送,完成端到端的媒体流安全保证功能。
若只有主叫UE到被叫UE的媒体流需要保护,则主叫UE采用端到端的媒体流安全密钥对媒体流进行加密或完整性保护后发送给被UE,被叫UE则利用媒体流安全密钥认证及解密收到的媒体流,对发送的媒体流不用加密;若只有被叫UE到主叫UE的媒体流需要保护,其处理过程与此相同;若主叫UE和被叫UE发送的媒体流均需要保护,则双方均利用媒体流安全密钥对媒体流加密或完整性保护后发送,同时利用媒体安全密钥对收到的媒体流进行解密。
在步骤12中,应用服务器(AS)和用户终端(UE)之间的共享密钥也可以通过现有技术中的其它方式获得。
媒体流报文经过加密或完整性保护处理后的报文格式可以参考IETF的Draft“Security RTP”中对RTP报文格式的定义,该报文格式与RTP的报文格式基本相同,定义了报文加密范围、认证范围及加密和认证信息在报文中的位置等信息。
在会话建立过程中协商媒体流安全密钥的同时,可以同时交互协商主被叫UE的安全能力,如支持的加密或完整保护算法等信息,流程和机制与RFC 3329Security Mechanism Agreement for the Session Initiation Protocol(SIP)中的描述类似,主被叫的AS/S-CSCF在决定对媒体进行安全保护及分配安全密钥的同时,可以根据双方提交的安全能力完成主被叫UE之间媒体流安全能力的指定,从而完成主被叫UE之间端到端的安全联盟的动态建立。
虽然媒体流传输采用端到端的加密,但由于媒体流安全密钥是由AS/S-CSCF分配的,因此当对加密传输的媒体流有监听的需求时,AS/S-CSCF在对媒体流分配端到端的安全密钥的同时,可以通过将会话路由经过监听设备后再发给被叫来控制将用户的媒体流中继到监听设备,并在与监听设备会话报文的交互过程中将加密密钥CK送给监听设备,监听设备通过对加密的媒体流解密实现对媒体流的监听。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (9)
1、一种在IP多媒体业务子系统网络中保障媒体流安全性的方法,其特征在于,包括如下步骤:
IP多媒体业务子系统IMS网络中主叫或被叫注册的网络设备为主叫或被叫分配端到端的媒体流安全密钥,并由分配密钥的网络设备将媒体流安全密钥传送给对方所属的网络设备;
所述主叫和被叫所属的网络设备分别利用与用户终端之间共享的会话密钥对所述媒体流安全密钥加密,并通过会话报文分别传送给主叫和被叫;
主叫和被叫分别利用本端与所属网络设备之间共享的会话密钥解密出端到端的媒体流安全密钥,并利用该媒体流安全密钥加密或解密媒体流。
2、如权利要求1所述的方法,其特征在于,主叫和被叫所属的网络设备还根据主叫和被叫提供的安全能力指定主叫和被叫之间媒体流安全能力。
3、如权利要求1所述的方法,其特征在于,若需要对媒体流进行监听时,网络设备还将分配的端到端的媒体流安全密钥传递给监听设备,该监听设备利用该媒体流安全密钥对加密的媒体流解密,实现对媒体流的监听。
4、如权利要求1所述的方法,其特征在于,主叫和被叫所属的网络设备之间在网络域的会话报文中以明文方式传送媒体流安全密钥,或者通过IMS网络域的安全机制传送媒体流安全密钥。
5、如权利要求1至4任一项所述的方法,所述端到端的媒体流安全密钥为加密密钥或完整性保护密钥。
6、如权利要求5所述的方法,其特征在于,若网络设备为呼叫会话控制功能CSCF实体,该CSCF实体根据主叫用户或被叫用户的签约信息,或应用服务器在会话报文中对媒体流安全保护的指示确定分配加密密钥或完整性保护密钥。
7、如权利要求5所述的方法,其特征在于,由主叫或被叫所在CSCF实体中的业务-呼叫会话控制功能S-CSCF分配所述媒体流安全密钥,并在会话报文中将所述媒体流安全密钥送给对端所在的S-CSCF,主叫和被叫所在的S-CSCF再分别在会话报文中将所述媒体流安全密钥送给主叫和被叫的代理-呼叫会话控制功能P-CSCF,主叫和被叫的P-CSCF通过和终端之间共享的会话密钥对媒体流安全密钥加密后在会话报文中传送给主叫和被叫。
8、如权利要求5所述的方法,其特征在于,若网络设备为应用服务器AS,则根据主叫用户或被叫用户的签约信息或业务要求确定分配加密密钥或完整性保护密钥。
9、如权利要求8所述的方法,其特征在于,所述应用服务器利用主叫和被叫会话报文中携带的B-TID(Bootstrapping procedure Transaction identifier)标识,从BSF(Bootstrapping Server Function)或用户归属服务器HSS获取与用户终端之间共享的会话密钥。
Priority Applications (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100000977A CN100574185C (zh) | 2005-01-07 | 2005-01-07 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
| EP05848163A EP1835652B1 (en) | 2005-01-07 | 2005-12-31 | A method for ensuring the safety of the media-flow in ip multimedia sub-system |
| PCT/CN2005/002429 WO2006072212A1 (en) | 2005-01-07 | 2005-12-31 | A method for ensuring the safety of the media-flow in ip multimedia sub-system |
| AT05848163T ATE471611T1 (de) | 2005-01-07 | 2005-12-31 | Verfahren zur sicherstellung der sicherheit des medienflusses in einem ip-multimedia-subsystem |
| DE602005021922T DE602005021922D1 (de) | 2005-01-07 | 2005-12-31 | Verfahren zur sicherstellung der sicherheit des medienflusses in einem ip-multimedia-subsystem |
| US11/774,271 US8582766B2 (en) | 2005-01-07 | 2007-07-06 | Method for ensuring media stream security in IP multimedia sub-system |
| US14/050,768 US9167422B2 (en) | 2005-01-07 | 2013-10-10 | Method for ensuring media stream security in IP multimedia sub-system |
| US14/885,168 US9537837B2 (en) | 2005-01-07 | 2015-10-16 | Method for ensuring media stream security in IP multimedia sub-system |
| US15/393,693 US20170237713A1 (en) | 2005-01-07 | 2016-12-29 | Method for ensuring media stream security in ip multimedia sub-system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100000977A CN100574185C (zh) | 2005-01-07 | 2005-01-07 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1801698A CN1801698A (zh) | 2006-07-12 |
| CN100574185C true CN100574185C (zh) | 2009-12-23 |
Family
ID=36647414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100000977A Active CN100574185C (zh) | 2005-01-07 | 2005-01-07 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (4) | US8582766B2 (zh) |
| EP (1) | EP1835652B1 (zh) |
| CN (1) | CN100574185C (zh) |
| AT (1) | ATE471611T1 (zh) |
| DE (1) | DE602005021922D1 (zh) |
| WO (1) | WO2006072212A1 (zh) |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100574185C (zh) | 2005-01-07 | 2009-12-23 | 华为技术有限公司 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
| CN101222320B (zh) * | 2007-01-11 | 2011-02-16 | 华为技术有限公司 | 一种媒体流安全上下文协商的方法、系统和装置 |
| WO2008083620A1 (fr) * | 2007-01-11 | 2008-07-17 | Huawei Technologies Co., Ltd. | Procédé, système et appareil pour une négociation de contexte de sécurité de flux multimédia |
| CN101227272A (zh) * | 2007-01-19 | 2008-07-23 | 华为技术有限公司 | 一种获取媒体流保护密钥的方法和系统 |
| CN101232368B (zh) * | 2007-01-23 | 2011-06-01 | 华为技术有限公司 | 一种分配媒体流密钥的方法和多媒体子系统 |
| CN101378591B (zh) | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| CN101399767B (zh) | 2007-09-29 | 2011-04-20 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| JP5496907B2 (ja) * | 2007-11-30 | 2014-05-21 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | セキュアな通信のための鍵管理 |
| CN101483808B (zh) * | 2008-01-07 | 2011-01-05 | 中兴通讯股份有限公司 | 保障多媒体广播业务安全的方法 |
| CN101222324B (zh) * | 2008-01-23 | 2012-02-08 | 中兴通讯股份有限公司 | 用于端到端的媒体流安全的实现方法和装置 |
| CN101572694B (zh) * | 2008-04-29 | 2012-09-05 | 华为技术有限公司 | 媒体流密钥的获取方法、会话设备与密钥管理功能实体 |
| WO2009153072A1 (en) * | 2008-06-16 | 2009-12-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Sending secure media streams |
| KR101485801B1 (ko) | 2008-08-18 | 2015-01-29 | 삼성전자주식회사 | 이동 통신 시스템의 인증과 비계층 프로토콜 보안 운영을 효율적으로 지원하는 관리 방법 및 시스템 |
| CN101729535B (zh) * | 2009-06-30 | 2013-03-20 | 中兴通讯股份有限公司 | 一种媒体点播业务的实现方法 |
| CN101997677B (zh) * | 2009-08-18 | 2015-01-28 | 中兴通讯股份有限公司 | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 |
| US8467536B2 (en) * | 2010-12-08 | 2013-06-18 | Motorola Solutions, Inc. | Binding keys to secure media streams |
| US9270453B2 (en) * | 2011-06-30 | 2016-02-23 | Verizon Patent And Licensing Inc. | Local security key generation |
| US9577824B2 (en) * | 2011-09-23 | 2017-02-21 | CSC Holdings, LLC | Delivering a content item from a server to a device |
| CN102664889A (zh) * | 2012-04-23 | 2012-09-12 | 网经科技(苏州)有限公司 | 基于椭圆曲线的ims媒体双向加密方法 |
| DE102012022064A1 (de) | 2012-11-09 | 2014-05-15 | Thomas Klimpel | System und Verfahren zur Wiedergabe von Musikstücken und/oder Multimediadaten |
| CN108923918B (zh) * | 2013-06-28 | 2022-07-15 | 日本电气株式会社 | 用户设备和通信方法 |
| US9848003B2 (en) | 2014-06-23 | 2017-12-19 | Avaya Inc. | Voice and video watermark for exfiltration prevention |
| CN105491567B (zh) | 2014-09-18 | 2020-06-16 | 中兴通讯股份有限公司 | Sip信令解密参数的获取方法及装置 |
| US9565216B2 (en) | 2014-10-24 | 2017-02-07 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for security protocol selection in internet protocol multimedia subsystem networks |
| CN107005569B (zh) | 2014-10-31 | 2021-09-07 | 康维达无线有限责任公司 | 端对端服务层认证 |
| WO2016149355A1 (en) | 2015-03-16 | 2016-09-22 | Convida Wireless, Llc | End-to-end authentication at the service layer using public keying mechanisms |
| CN106161376B (zh) * | 2015-04-13 | 2020-01-14 | 中国移动通信集团公司 | 一种端到端加密通信的协商方法及装置 |
| CN109714293B (zh) * | 2017-10-25 | 2021-08-10 | 中国移动通信有限公司研究院 | VoLTE数据流量过滤方法、装置、网关、设备及介质 |
| US20200053126A1 (en) * | 2018-08-09 | 2020-02-13 | Nokia Technologies Oy | User plane security management in a communication system |
| CN109495248B (zh) * | 2018-11-23 | 2021-07-20 | 曹鸣佩 | 基于秘密共享方案的可监察隐私通信方法 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4423287A (en) * | 1981-06-26 | 1983-12-27 | Visa U.S.A., Inc. | End-to-end encryption system and method of operation |
| US5479514A (en) | 1994-02-23 | 1995-12-26 | International Business Machines Corporation | Method and apparatus for encrypted communication in data networks |
| US7065643B1 (en) * | 2000-03-28 | 2006-06-20 | Motorola, Inc. | Network compromise recovery methods and apparatus |
| US20020025045A1 (en) | 2000-07-26 | 2002-02-28 | Raike William Michael | Encryption processing for streaming media |
| FR2824212A1 (fr) * | 2001-04-25 | 2002-10-31 | Thomson Licensing Sa | Procede de gestion d'une cle symetrique dans un reseau de communication et dispositifs pour la mise en oeuvre |
| DE10142959A1 (de) * | 2001-09-03 | 2003-04-03 | Siemens Ag | Verfahren, System und Rechner zum Aushandeln einer Sicherheitsbeziehung auf der Anwendungsschicht |
| CN1138367C (zh) | 2001-09-17 | 2004-02-11 | 华为技术有限公司 | 用于网络区域节点间安全通信的安全联盟产生方法 |
| WO2003049357A2 (en) | 2001-12-07 | 2003-06-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Lawful interception of end-to-end encrypted data traffic |
| US7574735B2 (en) * | 2002-02-13 | 2009-08-11 | Nokia Corporation | Method and network element for providing secure access to a packet data network |
| US20030159067A1 (en) * | 2002-02-21 | 2003-08-21 | Nokia Corporation | Method and apparatus for granting access by a portable phone to multimedia services |
| US7269730B2 (en) * | 2002-04-18 | 2007-09-11 | Nokia Corporation | Method and apparatus for providing peer authentication for an internet key exchange |
| US7246236B2 (en) * | 2002-04-18 | 2007-07-17 | Nokia Corporation | Method and apparatus for providing peer authentication for a transport layer session |
| US7434258B2 (en) * | 2002-05-07 | 2008-10-07 | Nokia Corporation | Method and communication system for controlling security association lifetime |
| DE10307403B4 (de) * | 2003-02-20 | 2008-01-24 | Siemens Ag | Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem |
| WO2005032201A1 (en) * | 2003-09-26 | 2005-04-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhanced security design for cryptography in mobile communication systems |
| EP1714418B1 (en) * | 2004-02-11 | 2017-01-11 | Telefonaktiebolaget LM Ericsson (publ) | Key management for network elements |
| US7546459B2 (en) * | 2004-03-10 | 2009-06-09 | Telefonaktiebolaget L M Ericsson (Publ) | GSM-like and UMTS-like authentication in a CDMA2000 network environment |
| KR20050096040A (ko) * | 2004-03-29 | 2005-10-05 | 삼성전자주식회사 | 휴대형 저장장치와 디바이스간에 디지털 저작권 관리를이용한 콘텐츠 재생방법 및 장치와, 이를 위한 휴대형저장장치 |
| US20050238171A1 (en) * | 2004-04-26 | 2005-10-27 | Lidong Chen | Application authentication in wireless communication networks |
| US8260259B2 (en) * | 2004-09-08 | 2012-09-04 | Qualcomm Incorporated | Mutual authentication with modified message authentication code |
| CN100574185C (zh) * | 2005-01-07 | 2009-12-23 | 华为技术有限公司 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
-
2005
- 2005-01-07 CN CNB2005100000977A patent/CN100574185C/zh active Active
- 2005-12-31 EP EP05848163A patent/EP1835652B1/en active Active
- 2005-12-31 WO PCT/CN2005/002429 patent/WO2006072212A1/zh active Application Filing
- 2005-12-31 AT AT05848163T patent/ATE471611T1/de not_active IP Right Cessation
- 2005-12-31 DE DE602005021922T patent/DE602005021922D1/de active Active
-
2007
- 2007-07-06 US US11/774,271 patent/US8582766B2/en active Active
-
2013
- 2013-10-10 US US14/050,768 patent/US9167422B2/en active Active
-
2015
- 2015-10-16 US US14/885,168 patent/US9537837B2/en active Active
-
2016
- 2016-12-29 US US15/393,693 patent/US20170237713A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| ATE471611T1 (de) | 2010-07-15 |
| US20070294186A1 (en) | 2007-12-20 |
| US20160173459A1 (en) | 2016-06-16 |
| WO2006072212A1 (en) | 2006-07-13 |
| DE602005021922D1 (de) | 2010-07-29 |
| US8582766B2 (en) | 2013-11-12 |
| EP1835652A1 (en) | 2007-09-19 |
| EP1835652A4 (en) | 2008-02-27 |
| US20140169563A1 (en) | 2014-06-19 |
| US9167422B2 (en) | 2015-10-20 |
| EP1835652B1 (en) | 2010-06-16 |
| US20170237713A1 (en) | 2017-08-17 |
| US9537837B2 (en) | 2017-01-03 |
| CN1801698A (zh) | 2006-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100574185C (zh) | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 | |
| JP5763267B2 (ja) | エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 | |
| CN101232368B (zh) | 一种分配媒体流密钥的方法和多媒体子系统 | |
| CN106850526B (zh) | Ims系统中的端到边缘媒体保护的方法和设备 | |
| CN101635823B (zh) | 一种终端对视频会议数据进行加密的方法及系统 | |
| CN104683291B (zh) | 基于ims系统的会话密钥协商方法 | |
| US20090070586A1 (en) | Method, Device and Computer Program Product for the Encoded Transmission of Media Data Between the Media Server and the Subscriber Terminal | |
| CN1983921B (zh) | 一种端到端媒体流安全的实现方法及系统 | |
| KR101297936B1 (ko) | 단말기 간의 보안 통신 방법 및 그 장치 | |
| CN102045210A (zh) | 一种支持合法监听的端到端会话密钥协商方法和系统 | |
| CN100527875C (zh) | 实现媒体流安全的方法及通信系统 | |
| KR20100087023A (ko) | 단대단 암호화 통신 | |
| CN105530100A (zh) | 一种VoLTE安全通信方法 | |
| CN106936788A (zh) | 一种适用于voip语音加密的密钥分发方法 | |
| CN101790160A (zh) | 安全协商会话密钥的方法及装置 | |
| CN100571133C (zh) | 媒体流安全传输的实现方法 | |
| WO2007048301A1 (fr) | Procede de cryptage pour service mgn | |
| US8181013B2 (en) | Method, media gateway and system for transmitting content in call established via media gateway control protocol | |
| CN100544247C (zh) | 安全能力协商方法 | |
| CN101729532A (zh) | 一种ip多媒体子系统延迟媒体信息传输方法及系统 | |
| CN102223355B (zh) | 一种安全通信协商方法和装置 | |
| CN101729536B (zh) | 一种ip多媒体子系统延迟媒体信息传输方法及系统 | |
| CN101222612A (zh) | 一种安全传输媒体流的方法和系统 | |
| CN101572694A (zh) | 媒体流密钥的获取方法、会话设备与密钥管理功能实体 | |
| CN100583733C (zh) | 实现媒体流安全的方法及通信系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: INVENT CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20140527 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20140527 Address after: American California Patentee after: INVENT CORP. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20170630 Address after: American California Patentee after: Yingweite SPE limited liability company Address before: American California Patentee before: INVENT CORP. |