CN101102185A - Ims会话的媒体安全 - Google Patents
Ims会话的媒体安全 Download PDFInfo
- Publication number
- CN101102185A CN101102185A CNA2006101031657A CN200610103165A CN101102185A CN 101102185 A CN101102185 A CN 101102185A CN A2006101031657 A CNA2006101031657 A CN A2006101031657A CN 200610103165 A CN200610103165 A CN 200610103165A CN 101102185 A CN101102185 A CN 101102185A
- Authority
- CN
- China
- Prior art keywords
- media
- media safety
- cscf
- message
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于保护IMS会话的媒体流的IMS网络(100)和方法。IMS网络(100)的CSCF(102)接收来自IMS用户的用户设备UE(111)的登记消息,例如SIP登记消息,所述登记消息表明UE(111)是否支持媒体安全。然后,CSCF(102)将例如直径MAR的登记消息转发至用户数据库(104),所述登记消息包括头参数,所述头参数也表明UE(111)支持媒体安全。媒体安全系统(106)产生媒体安全信息(例如算法、密钥等等),以及用户数据库将例如直径MAA的响应消息发送至CSCF(102),所述响应消息包括用于媒体安全信息的头参数。CSCF(102)将例如SIP200 OK消息的响应消息发送至UE(111),所述响应消息包括用于媒体安全信息的头参数。UE(111)利用所述媒体安全信息来保护媒体流。
Description
技术领域
本发明涉及通信领域,特别涉及用于对在IMS网络上为IMS会话所传送的媒体流提供安全的系统和方法。
背景技术
随着第三代合作伙伴计划(3GPP)的启动,IP多媒体子系统(IMS)提供具有用于汇聚网络的接入不可知的网络体系结构的公共核心网。随着下一代网络的发展演化,服务提供商正在逐步接受这种体系结构。最初由3GPP定义的IMS体系结构为移动用户在互联网协议(IP)网络上提供多媒体服务。IP网络已成为传送视频、话音和数据的成本最低的承载网。IMS利用了IP网络的优势在IMS平台上为IMS用户提供多媒体业务。在IMS网络中使用的信令是会话启动协议(SIP)。IMS定义了在应用服务器、IMS核心网络、IMS用户、IMS数据库(HSS)、以及IMS记帐管理单元之间的标准SIP接口。这些标准能够降低网络的综合成本并为用户提供更稳定的服务。
在IMS平台上,IMS用户可以使用传统的附加业务,例如呼叫转移、会议、呼叫等待。此外,IMS用户还可以使用许多新的数据业务,例如即时消息收发、视频电话、视频等待以及基于web的服务。
当前IMS网络的一个问题是网络中传送的数据的安全性。因为IMS网络是基于IP网络的,IP网络的安全性问题同时也转移到了IMS网络中。IMS网络的安全性应当包括IMS信令(即SIP信令)的安全性和在IMS网络上传送的媒体流的安全性。针对IMS SIP的安全性,3GPP已经定义了标准以说明其规则和进程。例如,3GPP规范TS33.203和TS33.102描述了IMS AKA鉴权方法和Internet协议安全(IPsec),Internet协议安全用于鉴权SIP用户并且保护(完整性和机密性)用户的用户设备(UE)和IMS网络的CSCF之间的SIP信令消息。3GPP规范可在“www.3gpp.org”上找到。遗憾的是,除了SIP信令外,并没有高效率且有效的方法来保护IMS网络中的媒体流的安全性。
发明内容
本发明解决了上述问题以及有关给在IMS网络中传送的媒体流提供安全性的系统和方法的其他相关问题。为了提供媒体安全性,当IMS用户设备(UE)登记到IMS网络时,IMS网络为IMS用户的用户设备提供媒体安全信息。于是,UE能够利用媒体安全信息加密、编码、或以其它方式保护在IMS网络中传送的媒体流,以提供媒体流的端到端的安全性。因此,这里描述的IMS网络除了信令消息之外还保证了媒体流的安全性,因此可为其IMS用户提供安全和健壮的IP媒体服务。
本发明的一个实施例包括IMS网络,该IMS网络包括呼叫会话控制功能实体(CSCF)和用户数据库。CSCF接收来自IMS用户的用户设备(UE)的登记消息。所述登记消息包括媒体安全头参数,该头参数表明UE支持IMS会话的媒体安全。CSCF处理登记消息中的媒体安全头参数以确定UE支持媒体安全。此后,CSCF将登记消息发送至用户数据库。来自CSCF的登记消息包括媒体安全头参数,该头参数表明UE支持媒体安全。与用户数据库相关联的媒体安全系统处理所述登记消息中的媒体安全头参数以确定UE支持媒体安全。此后,作为对UE支持媒体安全的响应,媒体安全系统产生媒体安全信息。例如,媒体安全信息可以包括一个或多个媒体安全算法和一个或多个与所述媒体安全算法相关的媒体安全密钥。所述媒体安全算法和相关的密钥能够用于保护IMS网络的媒体流。此后,用户数据库将响应消息传送至CSCF。来自用户数据库的响应消息包括用于媒体安全信息的媒体安全头参数。CSCF处理所述响应消息中的媒体安全头参数以识别媒体安全信息。之后,CSCF产生响应消息,并将该响应消息传送至UE。来自CSCF的响应消息包括用于媒体安全信息的媒体安全头参数。此后,所述UE可以存储用来保护媒体流安全的媒体安全信息。
在本发明的另一个实施例中,所述IMS网络适合于提供第一UE和第二UE之间的协商,以确定什么媒体安全信息用于IMS会话。为了提供该协商,CSCF接收来自第一UE的会话启动消息以启动与第二UE的IMS会话。会话启动消息包括来自第一UE的用于IMS会话的会话描述提议(offer),例如会话描述协议(SDP)提议。所述会话描述提议包括用于第一UE的媒体安全信息的媒体属性,例如,由第一UE所支持的媒体安全算法。此后,CSCF将会话启动消息转发至第二UE。第二UE处理包含在会话描述提议的媒体属性中的媒体安全信息,并选择特定的媒体安全信息用于该IMS会话。例如,第二UE能够选择特定的媒体安全算法用于IMS会话。此后,CSCF收到来自第二UE的会话答复消息。所述会话答复消息包括来自第二UE的会话描述答复,例如SDP答复。所述会话描述答复包括用来为用于该IMS会话所选择的媒体安全信息的媒体属性。此后,CSCF将所述会话答复消息转发至第一UE。于是,第一UE处理所述会话答复消息中的媒体属性,以识别第二UE选择的用于该会话的媒体安全信息。
在另一个实施例中,所述IMS网络适合于提供媒体流的安全传输。为了在IMS网络中传输媒体流,第一UE能够根据如前面段落中所述的那样而选择的媒体安全信息来加密媒体流。例如,如果所选择的媒体安全信息包括媒体安全算法和媒体安全密钥,则第一UE根据该算法和密钥加密媒体流。然后,CSCF接收来自第一UE的加密的媒体流,并将该加密的媒体流转发至第二UE。第二UE接收来自CSCF的加密的媒体流,并根据选择的媒体安全信息来解密所述加密的媒体流。例如,如果选择的媒体安全信息包括媒体安全算法和安全密钥,则第二UE根据该算法和密钥来解密该媒体流。
本发明可以包括如下所述的其他实施例。
附图说明
所有附图中相同参考数字代表相同的单元。
图1所示的为本发明的示例性实施例中的IMS网络;
图2所示的为在本发明的示例性实施例中描述在登记过程中获得媒体安全信息的方法的流程图;
图3所示的为在本发明的示例性实施例中描述协商将什么媒体安全信息用于IMS会话的方法的流程图;
图4所示的为在本发明的示例性实施例中描述使用媒体安全信息在IMS网络中对媒体流提供安全传输的方法的流程图;
图5所示的为本发明另一个示例性实施例中的IMS网络;
图6所示的为在本发明的示例性实施例中描述将用户设备登记至IMS网络的消息图;
图7所示的为本发明的示例性实施例中的SIP登记消息的示例;
图8所示的为本发明的示例性实施例中的SIP 200 OK消息的示例;
图9所示的为在本发明的示例性实施例中描述会话启动的消息图;
图10所示的为本发明的示例性实施例中的包括SDP提议的SIPInvite消息的示例;
图11所示的为本发明的示例性实施例中的包括SDP答复的SIP183 Prog消息的示例。
具体实施方式
图1-11和以下的描述给出了本发明的具体实施例,以便教导本领域的技术人员理解、使用本发明。为了描述本发明的原理,本发明中某些常规方面被简化或者省略。本领域的技术人员将意识到落在本发明范围内的这些实施方式的变化。本领域的技术人员还将意识到下面描述的特征能够以不同的方式组合从而形成本发明的多种变化。总之,本发明并不仅限于下面所述的特定实施方式,而是仅由权利要求及其等同物来限定。
图1所示为本发明一个实施例中的IMS网络100。IMS网络100包括了呼叫会话控制功能实体(CSCF)102,用户数据库104,和媒体安全系统106。CSCF 102为IMS网络100提供会话控制,例如用户设备的登记和会话的建立/拆除。在这个实施例中,CSCF 102适合于提供对第一IMS用户(图中未示出)的用户设备(UE)111和第二IMS用户(图中未示出)的用户设备(UE)112的会话控制。用户设备包括了适合与IMS网络100通信的任何的有线或无线设备。用户数据库104包括了任何存储了用户信息或者用户简表的数据库或者数据库系统。用户数据库104的一个例子是归属用户服务器(HSS)。媒体安全系统106包括了任何系统、元件、软件等等,其产生用于IMS网络100中的会话的媒体安全信息。图中的媒体安全系统106在用户数据库104内实现,然而,媒体安全系统106也可以远离用户数据库104,例如被设置成为单机系统或者在另一个网络节点中被实现。IMS网络100可以包括图1中未示出的其他网络、系统、或设备。
根据在此的特点和方面,IMS网络100适合于为在IMS网络100上传输的媒体流提供媒体安全。媒体安全是指保护或确保IMS网络100中媒体流安全的任何过程或手段。例如,如果通过IMS网络100在UE 111和UE 112之间建立IMS会话,那么IMS网络100适合于编码、加密、或以其它方式保护在UE 111和UE 112之间交换的媒体流。图2-4所示的是关于IMS网络100如何提供媒体安全的示例性实施例。
对于提供媒体安全的过程,IMS网络100首先给UE 111提供媒体安全信息,该媒体安全信息用于编码、加密、或以其它方式保护媒体流。媒体安全信息包括可以用于保护媒体流的任何数据、加密算法、加密码、加密密钥等等。在此实施例中,IMS网络100在登记过程中为UE 111提供媒体安全信息,而在其他实施例中可以采用其他方法。
图2所示的是在本发明一个示例性实施例中描述在登记过程中获得媒体安全信息的方法200的流程图。下面,参考图1的IMS网络100描述方法200的步骤。图2流程图中的步骤并非是全部包括的并且还可能包括没有示出的其他步骤。
在步骤202,CSCF 102接收来自UE 111的登记消息。UE 111利用该登记消息登记至IMS网络100,例如SIP登记消息。来自UE 111的登记消息可以是初始登记消息,例如当UE 111开机时,也可以是由UE 111周期性发送的重登记消息。根据在此的特点和方面,登记消息包括媒体安全头参数,该参数表明UE 111支持IMS会话的媒体安全。媒体安全头参数包括消息头中被指定用于或用于媒体安全的任何字段或部分。登记消息中的媒体安全头参数可以包括任意需要的数据以表明UE 111支持媒体安全。例如,媒体安全头参数可以通过包括对UE 111所支持的一个或多个安全算法的指示来表明UE 111支持媒体安全。
CSCF 102处理登记消息中的媒体安全头参数以确定UE 111支持媒体安全。在步骤204,CSCF 102于是将登记消息传送至用户数据库104。来自CSCF 102的登记消息可以用于将UE 111登记至用户数据库104,并得到UE 111的用户简表,例如直径(Diameter)多媒体鉴权请求(MAR)消息。根据在此的特点和方面,来自CSCF 102的注册消息包括表示UE 111支持媒体安全的媒体安全头参数。来自CSCF102的登记消息中的媒体安全头参数与来自UE 111的登记消息中的媒体安全头参数基本上是相似的。
与用户数据库104相连的媒体安全系统106处理登记消息中的媒体安全头参数以确定UE 111支持媒体安全。如果媒体安全系统106是远程系统,则用户数据库104将登记消息发送至媒体安全系统106。如果媒体安全系统106集成在用户数据库104中,则媒体安全系统106能够从内部访问登记消息。在步骤206,作为对确定了UE 111支持媒体安全的响应,媒体安全系统106产生媒体安全信息。例如,如果来自CSCF 102的登记消息表明由UE 111支持一个或多个媒体安全算法,则媒体安全系统106能产生媒体安全信息,该媒体安全信息包括与所述媒体安全算法相关的一个或多个媒体安全密钥。
在步骤208,用户数据库104(或者媒体安全系统106)将响应消息传送至CSCF 102。该响应消息是响应来自CSCF 102的登记消息,例如直径多媒体鉴权答复(MAA)消息。根据在此的特点和方面,来自用户数据库104的响应消息包括用于由媒体安全系统106产生的媒体安全信息的媒体安全头参数。该响应消息可以包括其他信息,例如UE 111的用户简表信息。
CSCF 102接收来自用户数据库104的响应消息。CSCF 102处理该响应消息中媒体安全头参数以识别媒体安全信息。然后,CSCF 102产生响应消息,并在步骤210将该响应消息传送至UE 111。来自CSCF102的响应消息向UE 111表明UE 111是否在IMS网络100上登记了。根据在此的特点和方面,来自CSCF 102的响应消息包括用于媒体安全信息的媒体安全头参数。UE 111然后存储该媒体安全信息以用于保护媒体流。可以根据3GPP标准中描述的技术来保护以上用于登记的信令消息。
如果UE 111启动在IMS网络100上的IMS会话,例如与UE 112的IMS会话,则UE 111能够使用上述媒体安全信息来实现对该IMS会话的媒体流的保护。当与UE 112的会话被启动后,UE 111与UE 112协商以确定使用什么媒体安全信息用于该会话。例如,UE 111和UE 112可以协商用什么媒体安全算法来加密该会话的媒体流,以及该算法使用的媒体安全密钥等等。
图3所示的是在本发明一个示例性实施例中描述协商在IMS会话中使用什么媒体安全信息的方法300的流程图。参考图1的IMS网络100描述方法300的步骤。图3流程图中的步骤并非是完全包括的并且还可能包括没有示出的其他步骤。
在步骤302,CSCF 102接收来自UE 111的会话启动消息以启动与UE 112之间的IMS会话。该会话启动消息可以包括SIP Invite消息或其他类型的消息。该会话启动消息包括来自UE 111的用于IMS会话的会话描述提议,例如会话描述协议(SDP)提议。该会话描述提议包括用于媒体安全信息的媒体属性,该媒体安全信息是由用户数据库104提供给UE 111的。然后,在步骤304,CSCF 102将会话启动消息转发至UE 112。
响应于接收到该会话启动消息,UE 112处理会话描述提议的媒体属性中所包括的媒体安全信息。UE 112选择特定的媒体安全信息以用于IMS会话。例如,UE 112可以选择特定的媒体安全算法以用于加密IMS会话的媒体流。
在步骤306,CSCF 102接收来自UE 112的会话答复消息。该会话答复消息可以包括SIP Prog消息、SIP 200 ok消息、或者其它类型的消息。该会话答复消息包括来自UE 112的会话描述答复,例如SDP答复。该会话描述答复包括媒体属性,该媒体属性表明为IMS会话选择的媒体安全信息。之后,在步骤308,CSCF 102将会话答复消息转发至UE 111。
响应于接收到该会话答复消息,UE 111处理该会话答复消息中的媒体属性以识别UE 112选择的用于该会话的媒体安全信息。UE 111和UE 112可以交换多个会话描述提议/答复消息以协商将什么媒体安全信息用于该会话。之后,UE 111(或者UE 112)可以使用选择的媒体安全信息来确保或保护在IMS网络100中传送的媒体流的安全。
图4所示的是在本发明的一个示例性实施例中描述使用媒体安全信息保护在IMS网络100中传输的媒体流安全的方法400的流程图。参考图1的IMS网络100描述方法400的步骤。图4流程图中的步骤并非是全部包括的并且还可能包括没有示出的其他步骤。
通过IMS网络100传送媒体流,在步骤402,UE 111根据上述选择的媒体安全信息加密媒体流。例如,如果选择的媒体安全信息包括媒体安全算法和媒体安全密钥,则UE 111根据该算法和密钥加密媒体流。之后,在步骤404,UE 111将加密的媒体流传送至CSCF 102。在步骤406,CSCF 102接收到该加密的媒体流并将该加密的媒体流转发至UE 112。
在步骤408,UE 112接收到来自CSCF 102的加密的媒体流。UE112根据选择的媒体安全信息来解密该加密的媒体流。例如,如果选择的媒体安全信息包括媒体安全算法和媒体安全密钥,则UE 112根据该算法和密钥解密该媒体流。因为在本实施例中仅仅UE 111和UE112是拥有用于加密和解密媒体流的所选择的媒体安全信息的设备,所以能够在UE 111和UE 112之间实现媒体流的端到端的安全性。
示例
图5所示的是本发明的一个示例性实施例中的IMS网络500。IMS网络500包括呼叫会话控制功能实体(CSCF)502和归属用户服务器(HSS)504。CSCF 502包括服务CSCF(S-CSCF)、代理CSCF(P-CSCF)和查询CSCF(I-CSCF)。CSCF 502是IMS呼叫会话控制部分,用于处理用户设备(UE)中的IMS SIP消息,包括UE登记和呼叫/会话建立和拆除。HSS 504是IMS用户的归属数据库,其保存用户的个人信息和服务信息。CSCF 502适合与第一用户(图中未示出)的用户设备(UE)511和第二用户(图中未示出)的用户设备(UE)512通过SIP信令通信。CSCF 502适合于使用直径接口与HSS 504通信。IMS网络500可以包括图5中未示出的其他网络、系统、或设备。
根据在此的特点和方面,IMS网络500适合于给通过该网络传输的媒体流的提供媒体安全。在本示例中,在登记至IMS网络500的过程中,UE 511首先获得用于由UE 511所支持的一个或多个加密算法的加密密钥。此后,UE 511与UE 512协商以确定UE 511和UE 512之间的IMS会话采用哪一种加密算法。然后,UE 511通过协商过程中选择的加密算法来加密媒体流。下面,更详细地描述该过程。
图6所示的是在本发明的一个示例性实施例中描述UE 511登记至IMS网络500的消息图。开始,UE 511格式化(format)SIP登记消息以登记至IMS网络500。该登记消息可以是初始登记消息或重登记消息。如果UE 511支持媒体安全并且希望提供媒体安全,则UE 511将媒体安全信息输入SIP登记信息的新的媒体安全头参数中,在本示例中该媒体安全信息包括加密算法。媒体安全头参数的格式可以是:
媒体安全:加密算法1,加密算法2,......
图7所示的是本发明的一个示例性实施例中的SIP登记消息的示例。登记消息中的媒体安全头参数表明UE 511支持DES、3DES和IDEA加密算法,且希望收到相关的加密密钥。当该消息被正确地格式化后,UE 511将该登记消息传送至CSCF 502。
在图6,CSCF 502接收来自UE 511的登记消息,并处理该登记消息的头以确定媒体安全头参数。之后,CSCF 502格式化相关的直径MAR消息以继续登记UE 511的过程。作为格式化的一部份,CSCF502将来自SIP登记消息的媒体安全信息输入MAR消息的新的媒体安全头参数中。该头参数的值可以与SIP登记消息中的媒体安全头参数具有相同的格式。
HSS 504相当于图1中的用户数据库和媒体安全系统。HSS 504处理上述MAR消息以识别媒体安全头参数以及该媒体安全头参数中所指示的加密算法。HSS 504则为该媒体安全头参数中的加密算法产生一个或多个加密密钥。HSS 504然后格式化直径MAA消息以响应于MAR消息。作为格式化的一部分,HSS 504将加密算法和相关的加密密钥输入MAA消息的新的媒体安全密钥头参数中。之后,HSS504将MAA消息传送至CSCF 502。
CSCF 502收到MAA消息,并存储上述加密算法和相关的加密密钥以备后面的使用。CSCF 502传送SIP 401消息给UE 511以质询UE 511来进行鉴权检查。UE 511接收到401消息,并计算鉴权响应和用于加密SIP消息的安全密钥。之后,UE 511格式化另一个SIP登记消息并将该登记消息传送回CSCF 502。该登记消息被SIP安全密钥保护。
CSCF 502接收到上述登记消息并确定该响应是有效的。然后,CSCF 502格式化SIP 200 OK消息,该消息作为对初始SIP登记消息的响应。作为格式化的一部分,CSCF 502将来自MAA消息的媒体安全密钥头参数的加密算法和相关加密密钥输入200 OK消息的新的媒体安全密钥头参数。媒体安全密钥头参数的格式可以是:
媒体安全密钥:加密算法1=密钥值,媒体算法2=密钥值,......
图8所示的是本发明一个示例性实施例中的SIP 200 OK消息的示例。该200 OK消息的媒体安全密钥头参数表明DES加密算法的加密密钥是“1212121212121212”。该媒体安全密钥头参数还表明3DES加密算法的加密密钥是“3434134343434”。该媒体安全密钥头参数还表明IDEA加密算法的加密密钥是“8789232323232”。
当该200 OK消息被格式化时,CSCF 502使用该SIP安全密钥加密该200 OK消息,并将安全的200 OK消息传送至UE 511(见图6)。UE 511从该200 OK消息中检取媒体安全密钥头参数,并存储与由UE 511支持的加密算法相关的加密密钥。UE 511还可以利用重登记过程在任何时间更新加密密钥。
在UE 511成功地在IMS网络500中登记且已经收到加密密钥之后,UE 511可以启动与其它同样支持媒体安全的UE的安全媒体呼叫。例如,如果UE 511希望启动与UE 512的IMS会话,则UE 511可利用SDP提议/答复消息来确定使用什么加密算法来保护该媒体流。
图9所示的是在本发明的一个示例性实施例中描述会话启动的消息图。开始,UE 511格式化SIP Invite消息以启动安全媒体会话。该SIP Invite消息包括会话描述、时间描述、和在会话描述协议(SDP)中的媒体描述。SDP采用文本描述会话的名称和目的、以及会话的媒体、协议、编解码格式、时间及传送信息。根据在此的特点和方面,新的SDP媒体属性被加入SDP提议中。第一SDP媒体属性(“Encry_alg”属性)列出一个或多个由UE 511支持且被提供给UE512的加密算法。第二SDP媒体属性(“Encry_key”属性)列出一个或多个加密算法以及与该算法相关的加密密钥的值(如前面由HSS504给出的密钥)。
图10所示的是在本发明的一个示例性实施例中的包括SDP提议的SIP Invite消息的示例。该SDP提议包括“Encry_alg”属性,该属性表明UE 511提议使用DES加密算法或3DES加密算法。该SDP提议还包括“Encry_key”属性,该属性表明DES算法的加密密钥值为“1212121212121212”,以及3DES算法的加密密钥值为“3434134343434”。
在图9中,CSCF 502接收UE 511发送的SIP Invite消息。CSCF502存储来自UE 511的加密算法和密钥,并且用SIP 100尝试(Trying)消息作为对UE 511的响应。CSCF 502还将SIP Invite消息连同SDP提议一起转发至UE 512。
当UE 512收到来自CSCF 502的Invite消息时,UE 512通过100尝试消息而作出响应。UE 512处理来自Invite消息的SDP提议,并从SDP提议中选择用于保护媒体流的特定的加密算法。UE 512存储该选择的加密算法的加密密钥值。之后,UE512格式化SIP 183 Prog消息,该消息中包括SDP答复。根据在此的特点和方面,新的SDP媒体属性被加入到该SDP答复中。该SDP媒体属性(“Encry_key”属性)表明为该IMS会话选择的加密算法及其相关的加密密钥的值。
图11所示的是本发明的一个示例性实施例中的包括SDP答复的SIP 183 Prog消息的示例。该SDP答复包括“Encry_key”属性,该属性表明选择的加密算法是DES算法,以及与DES算法相关的加密密钥的值是“1212121212121212”。
在图9中,CSCF 502接收从UE 512发送的183 Prog消息。CSCF502存储183 Prog消息的“Encry_key”属性,并将该消息转发至UE511。UE 511处理来自183Prog消息的SDP答复以识别用于保护媒体流的选择的加密算法。UE 511存储该选择的加密算法的加密密钥的值。UE 511和UE 512可以交换其它的SDP提议/答复以协商用于保护该IMS会话的媒体流的加密类型。
此后,UE 512发送SIP 200 OK消息至CSCF 502以接受与UE511的会话。CSCF 502将该200 OK消息转发至UE 511。然后,UE511作为响应发送SIP ACK消息至CSCF 502,其中CSCF 502将该ACK消息转发至UE 512。这样,UE511和UE512之间的IMS会话被建立。
现在,可以利用在以上步骤中协商产生的加密算法和加密密钥来保护和加密媒体流,从而建立安全的IMS会话。为了通过图5中的IMS网络500传送媒体流,UE 511根据选择的加密算法来加密该媒体流。此后,UE 511将该加密的媒体流发送至CSCF 502,其中CSCF 502将该加密的媒体流转发至UE 512。UE 512则根据选择的加密算法来解密该加密的媒体流。因为在本实施例中仅仅UE 511和UE 512是拥有该选择的加密算法和相关的加密密钥的设备,所以能够在UE511和UE512之间实现媒体流的端到端的安全性。
本示例说明了给UE511和UE512提供用于保护媒体流的加密信息的有效且高效率的方法。在这里介绍的所有新的头参数被加入到现有的SIP、SDP和直径消息中的。因此,有利地,在IMS网络中不需要额外的消息流来提供媒体安全性。
虽然在此描述了特定的实施例,但是本发明的范围不限于这些特定的实施例。本发明的范围由下面的权利要求及其任意等同物来限定。
Claims (10)
1.一种在IMS网络中提供媒体安全的方法,该方法包括:
在呼叫会话控制功能实体CSCF接收来自第一用户设备UE的第一登记消息;
从CSCF向用户数据库发送第二登记消息;
从用户数据库向CSCF发送第一响应消息;以及
从CSCF向第一UE发送第二响应消息;
该方法的特征在于:
所述第一登记消息包括媒体安全头参数,该媒体安全头参数表明第一UE支持IMS会话的媒体安全;
所述第二登记消息包括媒体安全头参数,该媒体安全头参数表明第一UE支持IMS会话的媒体安全;
所述方法还包括基于所述第二登记消息而产生媒体安全信息的另外的步骤;
所述第一响应消息包括用于媒体安全信息的媒体安全头参数;以及
所述第二响应消息包括用于媒体安全信息的媒体安全头参数。
2.根据权利要求1的方法,该方法还包括:
在CSCF接收来自第一UE的会话启动消息以启动与第二UE的IMS会话,其中所述会话启动消息包括来自第一UE的用于所述IMS会话的会话描述提议,所述会话描述提议包括用于媒体安全信息的媒体属性;以及
从CSCF向第二UE转发所述会话启动消息。
3.根据权利要求2的方法,该方法还包括:
在CSCF接收来自第二UE的会话答复消息,其中所述会话答复消息包括来自第二UE的会话描述答复,其中所述会话描述答复包括媒体属性,所述媒体属性表明用于所述IMS会话的所选择的媒体安全信息;以及
从CSCF向第一UE转发所述会话答复消息。
4.根据权利要求3的方法,该方法还包括:
根据所述选择的媒体安全信息在第一UE中对IMS会话的媒体流进行加密;
向CSCF发送加密的媒体流;
从CSCF向所述第二UE转发加密的媒体流;
在第二UE接收来自CSCF的加密的媒体流;以及
根据所述选择的媒体安全信息对所述加密的媒体流进行解密。
5.根据权利要求4的方法,其中所述选择的媒体安全信息包括选择的媒体安全算法和相关的媒体安全密钥。
6.一种适合于提供媒体安全的IMS网络(100),所述IMS网络包括:
用户数据库(104);以及
呼叫会话控制功能实体CSCF(102),CSCF适合于接收来自第一用户设备UE(111)的第一登记消息,并向用户数据库发送第二登记消息;
用户数据库适合于接收第二登记消息,并向CSCF发送第一响应消息;
CSCF适合于接收第一响应消息,并向第一UE发送第二响应消息;
所述IMS网络(100)的特征在于:
所述第一登记消息包括媒体安全头参数,所述媒体安全头参数表明第一UE支持IMS会话的媒体安全;
所述第二登记消息包括媒体安全头参数,所述媒体安全头参数表明第一UE支持IMS会话的媒体安全;
媒体安全系统(106)适合于响应于所述第二登记消息而产生媒体安全信息;
所述第一响应消息包括用于所述媒体安全信息的媒体安全头参数;以及
所述第二响应消息包括用于所述媒体安全信息的媒体安全头参数。
7.根据权利要求6的IMS网络(100),其特征在于,CSCF(102)还适合于:
接收来自第一UE(111)的会话启动消息以启动与第二UE(112)的IMS会话,其中所述会话启动消息包括来自第一UE的用于IMS会话的会话描述提议,其中所述会话描述提议包括用于所述媒体安全信息的媒体属性;以及
向第二UE转发所述会话启动消息。
8.根据权利要求7的IMS网络(100),其特征在于,CSCF(102)还适合于:
接收来自第二UE(112)的会话答复消息,其中所述会话答复消息包括来自第二UE的会话描述答复,其中所述会话描述答复包括媒体属性,所述媒体属性表明用于IMS会话的所选择的媒体安全信息;以及
向第一UE(111)转发所述会话答复消息。
9.根据权利要求8的IMS网络(100),其特征在于,CSCF(102)还适合于:
接收来自第一UE(111)的加密的IMS会话的媒体流,其中由第一UE根据所述选择的媒体安全信息来对媒体流进行加密;以及
向第二UE(112)转发加密的媒体流,第二UE适合于根据所述选择的媒体安全信息来对所述加密的媒体流进行解密。
10.根据权利要求9的IMS网络(100),其中所述选择的媒体安全信息包括选择的媒体安全算法和相关的媒体安全密钥。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101031657A CN101102185B (zh) | 2006-07-06 | 2006-07-06 | Ims会话的媒体安全 |
| US11/563,508 US20080010688A1 (en) | 2006-07-06 | 2006-11-27 | Media security for ims sessions |
| PCT/US2007/015051 WO2008005296A2 (en) | 2006-07-06 | 2007-06-28 | Media security for ims sessions |
| EP07810010A EP2044751A2 (en) | 2006-07-06 | 2007-06-28 | Media security for ims sessions |
| KR1020097000169A KR100976635B1 (ko) | 2006-07-06 | 2007-06-28 | Ims 네트워크에서 미디어 보안을 제공하는 방법 및 미디어 보안을 제공하는 ims 네트워크 |
| JP2009518274A JP5356227B2 (ja) | 2006-07-06 | 2007-06-28 | Imsセッションのためのメディアセキュリティ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101031657A CN101102185B (zh) | 2006-07-06 | 2006-07-06 | Ims会话的媒体安全 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101102185A true CN101102185A (zh) | 2008-01-09 |
| CN101102185B CN101102185B (zh) | 2012-03-21 |
Family
ID=38893994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101031657A Expired - Fee Related CN101102185B (zh) | 2006-07-06 | 2006-07-06 | Ims会话的媒体安全 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20080010688A1 (zh) |
| EP (1) | EP2044751A2 (zh) |
| JP (1) | JP5356227B2 (zh) |
| KR (1) | KR100976635B1 (zh) |
| CN (1) | CN101102185B (zh) |
| WO (1) | WO2008005296A2 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010145160A1 (zh) * | 2009-06-30 | 2010-12-23 | 中兴通讯股份有限公司 | 一种媒体点播业务的实现方法 |
| WO2011020332A1 (zh) * | 2009-08-20 | 2011-02-24 | 中兴通讯股份有限公司 | 一种ip多媒体子系统会议媒体数据的加密方法及系统 |
| CN102301676A (zh) * | 2009-01-30 | 2011-12-28 | 惠普开发有限公司 | 通信系统和方法 |
| CN102740269A (zh) * | 2012-06-15 | 2012-10-17 | 华为技术有限公司 | 一种对Diameter消息进行处理的方法、装置及系统 |
| CN102843660A (zh) * | 2011-06-22 | 2012-12-26 | 中兴通讯股份有限公司 | 一种实现端到端安全呼叫转移的方法及系统 |
| CN104486352A (zh) * | 2014-12-24 | 2015-04-01 | 大唐移动通信设备有限公司 | 一种安全算法发送、安全鉴权方法及装置 |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4983165B2 (ja) * | 2006-09-05 | 2012-07-25 | ソニー株式会社 | 通信システムおよび通信方法、情報処理装置および方法、デバイス、プログラム、並びに記録媒体 |
| US7979558B2 (en) * | 2008-08-06 | 2011-07-12 | Futurewei Technologies, Inc. | Remote session control |
| JP5694954B2 (ja) * | 2009-01-22 | 2015-04-01 | アルカテル−ルーセント | Imsネットワーク端末装置にファイアウォールを提供するための方法、およびファイアウォールシステム |
| CN101997679A (zh) * | 2009-08-21 | 2011-03-30 | 华为终端有限公司 | 加密信息协商方法、设备及网络系统 |
| DE112011103171B4 (de) * | 2010-09-22 | 2018-08-23 | Trio Products Corporation | Windschutzscheibenwischeranordnung vom Typ Balkenblatt, welche ein Fluidrohrverteilermontagesystem aufweist |
| EP2636201B1 (en) * | 2010-11-02 | 2019-02-27 | Telefonaktiebolaget LM Ericsson (publ) | Methods and devices for media description delivery |
| CN102006294B (zh) * | 2010-11-25 | 2014-08-20 | 中兴通讯股份有限公司 | Ims多媒体通信方法和系统、终端及ims核心网 |
| TWI552568B (zh) * | 2011-07-21 | 2016-10-01 | Chunghwa Telecom Co Ltd | Initially initiated by the establishment of a two-way call |
| US20150082021A1 (en) * | 2013-09-13 | 2015-03-19 | Qualcomm Incorporated | Mobile proxy for webrtc interoperability |
| KR101612772B1 (ko) | 2014-08-20 | 2016-04-15 | 에스케이텔레콤 주식회사 | 미디어 보안 방법 및 장치 |
| US9565216B2 (en) | 2014-10-24 | 2017-02-07 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for security protocol selection in internet protocol multimedia subsystem networks |
| US9729588B2 (en) * | 2014-10-31 | 2017-08-08 | T-Mobile Usa, Inc. | SPI handling between UE and P-CSCF in an IMS network |
| CN107534554B (zh) * | 2015-04-30 | 2021-01-08 | 日本电信电话株式会社 | 数据发送接收方法及系统 |
| US9451421B1 (en) * | 2015-06-30 | 2016-09-20 | Blackberry Limited | Method and system to authenticate multiple IMS identities |
| CN109274634B (zh) * | 2017-07-18 | 2021-06-11 | 腾讯科技(深圳)有限公司 | 多媒体通信方法及装置、存储介质 |
| KR20230028332A (ko) | 2023-02-09 | 2023-02-28 | 신덕만 | 한손사용가능한독서대 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0983509A (ja) * | 1995-09-13 | 1997-03-28 | Hitachi Ltd | 暗号通信方法および装置 |
| US7353396B2 (en) * | 1995-10-02 | 2008-04-01 | Corestreet, Ltd. | Physical access control |
| DE69828279T2 (de) * | 1997-06-06 | 2005-12-08 | Thomson Multimedia Inc., Indianapolis | Globales bedingtes zugangssystem für rundfunkdienste |
| US6421781B1 (en) * | 1998-04-30 | 2002-07-16 | Openwave Systems Inc. | Method and apparatus for maintaining security in a push server |
| US7103066B2 (en) * | 2000-10-12 | 2006-09-05 | At&T Corp. | Method and apparatus for providing common intelligent value-added service protocols for accessing value-added services by all multimedia application protocols |
| GB2370732B (en) | 2001-10-17 | 2003-12-10 | Ericsson Telefon Ab L M | Security in communications networks |
| GB0213728D0 (en) * | 2002-06-14 | 2002-07-24 | Nokia Corp | A communication system |
| GB0216000D0 (en) * | 2002-07-10 | 2002-08-21 | Nokia Corp | A method for setting up a security association |
| US7131003B2 (en) * | 2003-02-20 | 2006-10-31 | America Online, Inc. | Secure instant messaging system |
| US9451422B2 (en) * | 2003-03-17 | 2016-09-20 | Nokia Technologies Oy | Method, system and network device for routing a message to a temporarily unavailable network user |
| MXPA05010195A (es) * | 2003-03-25 | 2005-11-08 | Nokia Corp | Enrutamiento de informacion de suscripcion. |
| US20040190689A1 (en) * | 2003-03-31 | 2004-09-30 | Mariana Benitez Pelaez | Telecommunication system providing independent user selection of media type for reception and/or transmission |
| CN100571133C (zh) * | 2004-02-17 | 2009-12-16 | 华为技术有限公司 | 媒体流安全传输的实现方法 |
| US20050190772A1 (en) * | 2004-02-26 | 2005-09-01 | Shang-Chih Tsai | Method of triggering application service using filter criteria and IP multimedia subsystem using the same |
| JP4606055B2 (ja) * | 2004-04-21 | 2011-01-05 | 株式会社バッファロー | 暗号鍵設定システム、アクセスポイントおよび暗号鍵設定方法 |
| JP4710267B2 (ja) * | 2004-07-12 | 2011-06-29 | 株式会社日立製作所 | ネットワークシステム、データ中継装置、セッションモニタシステム、およびパケットモニタ中継装置 |
| CN1642083A (zh) * | 2004-09-23 | 2005-07-20 | 华为技术有限公司 | 网络侧选择鉴权方式的方法 |
| CN1838590B (zh) * | 2005-03-21 | 2011-01-19 | 松下电器产业株式会社 | 在会话起始协议信号过程提供因特网密钥交换的方法及系统 |
| US20070100981A1 (en) * | 2005-04-08 | 2007-05-03 | Maria Adamczyk | Application services infrastructure for next generation networks including one or more IP multimedia subsystem elements and methods of providing the same |
| US7529813B2 (en) * | 2005-04-14 | 2009-05-05 | Hewlett-Packard Development Company, L.P. | Multimedia transfer for wireless network |
| US8678928B2 (en) * | 2005-10-31 | 2014-03-25 | At&T Intellectual Property I, L.P. | System and method to deliver video games |
-
2006
- 2006-07-06 CN CN2006101031657A patent/CN101102185B/zh not_active Expired - Fee Related
- 2006-11-27 US US11/563,508 patent/US20080010688A1/en not_active Abandoned
-
2007
- 2007-06-28 JP JP2009518274A patent/JP5356227B2/ja not_active Expired - Fee Related
- 2007-06-28 EP EP07810010A patent/EP2044751A2/en not_active Withdrawn
- 2007-06-28 KR KR1020097000169A patent/KR100976635B1/ko not_active IP Right Cessation
- 2007-06-28 WO PCT/US2007/015051 patent/WO2008005296A2/en active Application Filing
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102301676A (zh) * | 2009-01-30 | 2011-12-28 | 惠普开发有限公司 | 通信系统和方法 |
| US9450770B2 (en) | 2009-01-30 | 2016-09-20 | Hewlett Packard Enterprise Development Lp | Communications system and method |
| WO2010145160A1 (zh) * | 2009-06-30 | 2010-12-23 | 中兴通讯股份有限公司 | 一种媒体点播业务的实现方法 |
| WO2011020332A1 (zh) * | 2009-08-20 | 2011-02-24 | 中兴通讯股份有限公司 | 一种ip多媒体子系统会议媒体数据的加密方法及系统 |
| CN102843660A (zh) * | 2011-06-22 | 2012-12-26 | 中兴通讯股份有限公司 | 一种实现端到端安全呼叫转移的方法及系统 |
| CN102740269A (zh) * | 2012-06-15 | 2012-10-17 | 华为技术有限公司 | 一种对Diameter消息进行处理的方法、装置及系统 |
| WO2013185479A1 (zh) * | 2012-06-15 | 2013-12-19 | 华为技术有限公司 | 一种对Diameter消息进行处理的方法、装置及系统 |
| CN102740269B (zh) * | 2012-06-15 | 2015-03-11 | 华为技术有限公司 | 一种对Diameter消息进行处理的方法、装置及系统 |
| CN104486352A (zh) * | 2014-12-24 | 2015-04-01 | 大唐移动通信设备有限公司 | 一种安全算法发送、安全鉴权方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009543453A (ja) | 2009-12-03 |
| WO2008005296A3 (en) | 2008-03-06 |
| KR100976635B1 (ko) | 2010-08-18 |
| JP5356227B2 (ja) | 2013-12-04 |
| CN101102185B (zh) | 2012-03-21 |
| WO2008005296A2 (en) | 2008-01-10 |
| US20080010688A1 (en) | 2008-01-10 |
| EP2044751A2 (en) | 2009-04-08 |
| KR20090018206A (ko) | 2009-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101102185B (zh) | Ims会话的媒体安全 | |
| US9537837B2 (en) | Method for ensuring media stream security in IP multimedia sub-system | |
| CN101635823B (zh) | 一种终端对视频会议数据进行加密的方法及系统 | |
| JP4284324B2 (ja) | 移動無線システムにおける暗号鍵を形成および配布する方法および移動無線システム | |
| US20170118026A1 (en) | Encrypted communication method and apparatus | |
| CN101379802B (zh) | 在媒体服务器和用户设备之间以加密方式传输媒体数据的方法和装置 | |
| CN102868665A (zh) | 数据传输的方法及装置 | |
| KR20120109580A (ko) | 인증 방법, 시스템 및 장치 | |
| JP4838881B2 (ja) | メディアデータを符号化および復号化するための方法、装置ならびにコンピュータプログラム製品 | |
| CN104683291B (zh) | 基于ims系统的会话密钥协商方法 | |
| EP2628329A1 (en) | Sending protected data in a communication network via an intermediate unit | |
| CN104683098A (zh) | 一种保密通信业务的实现方法、设备及系统 | |
| US20150150076A1 (en) | Method and device for instructing and implementing communication monitoring | |
| Chen et al. | An efficient end-to-end security mechanism for IP multimedia subsystem | |
| CN102571721A (zh) | 接入设备鉴别方法 | |
| Huang et al. | Efficient and provably secure IP multimedia subsystem authentication for UMTS | |
| CN109120572A (zh) | Sip信令解密方法、装置、系统及计算机可读存储介质 | |
| CN107979836A (zh) | 一种应用于VoLTE的加密通话方法及装置 | |
| WO2008083620A1 (fr) | Procédé, système et appareil pour une négociation de contexte de sécurité de flux multimédia |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120321 Termination date: 20160706 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |