CN101222324A - 用于端到端的媒体流安全的实现方法和装置 - Google Patents
用于端到端的媒体流安全的实现方法和装置 Download PDFInfo
- Publication number
- CN101222324A CN101222324A CNA2008100087404A CN200810008740A CN101222324A CN 101222324 A CN101222324 A CN 101222324A CN A2008100087404 A CNA2008100087404 A CN A2008100087404A CN 200810008740 A CN200810008740 A CN 200810008740A CN 101222324 A CN101222324 A CN 101222324A
- Authority
- CN
- China
- Prior art keywords
- media stream
- security parameter
- medium face
- security
- signaling plane
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种用于端到端的媒体流安全的实现方法和装置,该方法包括以下步骤:第一端与第二端建立包括信令面的会话;第一端与第二端在信令面上协商安全参数;将安全参数从信令面传递到媒体面;以及使用安全参数保护第一端与第二端之间在媒体面上的端到端的媒体流。本发明能够对端到端的媒体流提供安全保护。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种用于端到端(即用户到用户,Point To Point,P2P)的媒体流安全的实现方法和装置。
背景技术
随着基于IP的电视(IPTV,Internet Protocol Television)的兴起和基于IP的语音(VoIP,Voice over IP)技术的广泛应用,媒体流安全变得越来越重要。媒体流安全就是对用户面的数据(如视频、话音、图片、文本等)进行保护,以防止未授权的用户非法地访问这些数据。媒体流安全是一种网络的增值业务;此外媒体流中涉及用户隐私的安全需求也要求网络提供相应的安全。
在下一代网络(NGN,Next Generation Network)中,媒体流安全是一项基本需求。NGN网络应该能够保证传输的媒体流的机密性和完整性。这里的媒体流安全是指密码学意义上的安全,也就是说采用密码学的保护技术(如完整性保护、加密保护),攻击者无法在有限资源的情况下破译被保护的媒体流数据。
目前媒体流安全的实现方法是:由网络设备参与媒体流安全所需要的密钥和安全参数的协商与分配。这降低了端到端媒体流传输的安全性。
发明内容
本发明旨在提供一种用于端到端的媒体流安全的实现方法和装置,能够解决现有技术不能为端到端的媒体流提供安全保护的问题。
在本发明的实施例中,提供了一种用于端到端的媒体流安全的实现方法,包括以下步骤:第一端与第二端建立包括信令面的会话;第一端与第二端在信令面上协商安全参数;将安全参数从信令面传递到媒体面;以及使用安全参数保护第一端与第二端之间在媒体面上的端到端的媒体流。
优选的,安全参数包括:密钥、密钥长度、和安全算法。
优选的,第一端与第二端在信令面上协商安全参数的通道具体包括:通过信令通道来协商,或者通过专门的密钥管理协议来协商。
优选的,使用安全参数保护第一端与第二端之间在媒体面上的端到端的媒体流具体包括:在媒体面发送媒体流之前先用安全参数加密媒体流;以及在媒体面接收媒体流之后使用安全参数解密媒体流。
优选的,使用安全参数保护第一端与第二端之间在媒体面上的端到端的媒体流具体包括:在媒体面发送媒体流之前先用安全参数对媒体流进行完整性保护;以及在媒体面接收媒体流之后使用安全参数对媒体流进行完整性检查。
优选的,包括信令面的会话包括:遵循会话初始协议的会话;遵循会话描述协议的会话。
优选的,第一端与第二端在信令面上采用安全实时传输协议和相关的密钥管理协议来协商安全参数。
在本发明的实施例中,还提供了一种用于端到端的媒体流安全的实现装置,包括:建立模块,用于第一端与第二端建立包括信令面的会话;协商模块,用于第一端与第二端在信令面上协商安全参数;传递模块,将安全参数从信令面传递到媒体面;以及保护模块,用于使用安全参数保护在第一端与第二端之间在媒体面上的端到端的媒体流。
优选的,保护模块具体包括:加密单元,用于在媒体面发送媒体流之前先用安全参数加密媒体流;以及解密单元,用于在媒体面接收媒体流之后使用安全参数解密媒体流。
优选的,保护模块具体包括:完整性保护单元,用于在媒体面发送媒体流之前先用安全参数对媒体流进行完整性保护;以及完整性检查单元,用于在媒体面接收媒体流之后使用安全参数对媒体流进行完整性检查。
上述实施例的实现方法和实现装置提出由第一端与第二端通信双方直接通过信令面协商安全参数,从而实现了对端到端的媒体流提供安全保护。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1示出了根据本发明实施例的用于端到端的媒体流安全的实现方法的流程图;
图2示出了根据本发明实施例的端到端媒体流安全框图;
图3示出了根据本发明实施例的基于安全信令路径的媒体流安全参数协商过程;
图4示出了根据本发明实施例的基于安全信令路径的媒体流安全参数传递流程图;
图5示出了根据本发明实施例的基于密钥管理协议的媒体流安全参数协商过程;
图6示出了根据本发明实施例的基于密钥管理协议的媒体流安全参数传递流程图;
图7示出了根据本发明实施例的用于端到端的媒体流安全的实现装置的方框图。
具体实施方式
下面将参考附图并结合实施例,来详细说明本发明。
图1示出了根据本发明实施例的用于端到端的媒体流安全的实现方法的流程图,包括以下步骤:
步骤S10,第一端与第二端建立包括信令面的会话;
步骤S20,第一端与第二端在信令面上协商安全参数;
步骤S30,将安全参数从信令面传递到媒体面;以及
步骤S40,使用安全参数保护第一端与第二端之间在媒体面上的端到端的媒体流。
上述第一端与第二端之间的通信就是用户到用户的媒体流。本实现方法提出由第一端与第二端通信双方直接通过信令面协商安全参数,从而实现了对端到端的媒体流提供安全保护。
优选的,安全参数包括:密钥、密钥长度、和安全算法。
优选的,第一端与第二端在信令面上协商安全参数具体包括:通过信令通道来协商,或者通过专门的密钥管理协议来协商。
优选的,由信令面通知媒体面进行安全通信;把安全参数传递到媒体面;步骤S40具体包括:在媒体面发送媒体流之前先用安全参数加密媒体流;以及在媒体面接收媒体流之后使用安全参数解密媒体流。
优选的,还包括:第一端与第二端使用安全参数对在第一端与第二端之间的端到端的媒体流进行完整性保护和检查。以上的保护都是加密保护,这里加入了完整性保护之后,安全机制就更加健全。
优选的,由信令面通知媒体面进行安全通信;把安全参数传递到媒体面;步骤S40具体包括:在媒体面发送媒体流之前先用安全参数对媒体流进行完整性保护;以及在媒体面接收媒体流之后使用安全参数对媒体流进行完整性检查。
优选的,包括信令面的会话包括以下至少一种:遵循会话初始协议的会话;遵循会话描述协议的会话。优选的,第一端与第二端在信令面上采用安全实时传输协议和相关的密钥管理协议来协商安全参数。这里给出了可以采用的会话协议和安全协议,利用这些协议可以进行本发明实施例的具体实践。
上述实施例给出了在NGN中端到端的媒体流安全的实现方法,该方法具有以下特点:(1)不需要网络参与密钥材料和安全参数的分配,直接由最终用户来完成上述过程;(2)满足用户隐私的安全需求。
图2是端到端情况下实现媒体流安全的模块以及模块之间的联系。当用户1100(即第一端)与用户2110(即第二端)进行安全通信时,在信令面160上通过信令协议模块120在通信双方建立会话,通过密钥管理协议模块130在用户间协商安全参数(如密钥、密钥长度、密码算法等),这些安全参数然后从信令面160传递到媒体面170。在用户面上,用户100数据通过媒体流协议模块150进行编码,然后通过安全媒体流协议模块140进行完整性保护与加密保护,这些数据可以通过不安全的信道安全地传输到用户110上,用户110然后对这些数据进行完整性检查和解密。这样就实现了端到端的媒体流安全。
对图2的进一步说明如下:
(1)对端到端的媒体流安全,用户通过信令面协商安全参数,安全参数从信令面传递到媒体面,在媒体面上安全地传输数据。
(2)信令协议在两个用户间建立呼叫会话,密钥管理协议协商安全参数,媒体流协议进行媒体的编解码,安全媒体流协议用来加密/解密媒体流。其中,密钥管理协议由信令协议通知并由密钥管理协议把安全参数传递给安全媒体流协议。
(3)在网络不参与密钥分配的情况下就可以实现端到端的安全通信。
下面以会话初始协议(SIP,Session Initiation Protocol)、会话描述协议(SDP,Session Description Protocol)、安全实时传输协议(SRTP,Secure Real-time Transport Protocol)和相关的密钥管理协议为例来说明端到端的媒体流安全具体的实现方法。
安全RTP(SRTP,Secure RTP)为RTP提供了安全服务,SRTP数据包中,主密钥标识符(MKI,Master Key Identifier)标识主密钥,会话密钥从主密钥导出,用于认证和加密数据包。MKI由信令管理协议定义、信令通知和使用。消息认证码(MAC,MessageAuthentication Code)用于携带认证数据。
图3基于安全信令路径的媒体流安全参数协商过程,该过程在SDP中增加了新的属性“a=crypto”来协商SRTP媒体流250的安全参数,该方法依赖安全的信令路径(如SIPS)来保护在信令中交换的密钥,可以看作一个嵌入在安全信令协议中的“密钥管理协议”。两个SIP用户代理200和210为SRTP媒体流250准备密钥材料,通过安全SIP信令通道(SIPS,SIP over TLS)220来传递SDP数据,密钥以明文方式在SDP中传输。
图4基于安全信令路径的媒体流安全参数传递过程,该方法在信令面300上,把SIPS安全信令通道320上协商的安全参数330传递到媒体面310上,SRTP协议340根据安全参数对媒体流进行安全保护。
图5基于密钥管理协议的媒体流安全参数协商过程,该过程密钥管理协议(如MIKEY)为安全协议(如SRTP)建立安全关联,MIKEY消息沿着SIP信令路径传输,并且在SDP中捎带。KEYMGT在SDP中定义了一个扩展“a=key-mgmt”来携带由密钥管理协议(如MIKEY)指定的消息。MIKEY消息包含一个或多个密钥和一组安全协议需要的参数,如使用的加密和认证算法。KEYMGT能够为媒体流建立端到端的安全并且与信令保护无关。该方法要求端点有预先配置的密钥或公共安全基础设施。两个SIP用户代理400和410分别通过对应的SIP代理服务器430和440利用SIP信令420建立会话,MIKEY密钥管理协议450为SRTP媒体流460准备安全参数。
图6基于密钥管理协议的媒体流安全参数传递过程,该方法在信令面500上,通过SIP信令协议520把安全参数530传递到MIKEY密钥管理协议540,MIKEY把安全参数协商的结果550传递到媒体面510上,SRTP协议560根据安全参数对媒体流进行安全保护。
图7示出了根据本发明实施例的用于端到端的媒体流安全的实现装置的方框图,包括:
建立模块10,用于第一端与第二端建立包括信令面的会话;
协商模块20,用于第一端与第二端在信令面上协商安全参数;
传递模块30,用于将安全参数从信令面传递到媒体面,以及
保护模块40,用于使用安全参数保护在第一端与第二端之间在媒体面上的端到端的媒体流。
优选的,保护模块40具体包括:加密单元,用于在媒体面发送媒体流之前先用安全参数加密媒体流;以及解密单元,用于在媒体面接收媒体流之后使用安全参数解密媒体流。
优选的,保护模块40具体包括:完整性保护单元,用于在媒体面发送媒体流之前先用安全参数对媒体流进行完整性保护;以及完整性检查单元,用于在媒体面接收媒体流之后使用安全参数对媒体流进行完整性检查。
上述第一端与第二端之间的通信就是用户到用户的媒体流。本实现装置提出由第一端与第二端通信双方直接通过信令面协商安全参数,从而实现了对端到端的媒体流提供安全保护。
从以上的描述中,可以看出,本发明提出在NGN中端到端的媒体流安全的实现方法和装置,具有以下特点:(1)不需要网络参与密钥材料和安全参数的分配,直接由最终用户来完成上述过程;(2)满足用户隐私的安全需求。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种用于端到端的媒体流安全的实现方法,其特征在于,包括
以下步骤:
第一端与第二端建立包括信令面的会话;
所述第一端与第二端在所述信令面上协商安全参数;
将所述安全参数从所述信令面传递到媒体面;以及
使用所述安全参数保护所述第一端与第二端之间在所述媒体面上的端到端的媒体流。
2.根据权利要求1所述的实现方法,其特征在于,所述安全参数包括:密钥、密钥长度、和安全算法。
3.根据权利要求1所述的实现方法,其特征在于,所述第一端与第二端在所述信令面上协商安全参数的通道具体包括:
通过信令通道来协商,或者通过专门的密钥管理协议来协商。
4.根据权利要求1所述的实现方法,其特征在于,使用所述安全参数保护所述第一端与第二端之间在所述媒体面上的端到端的媒体流具体包括:
在所述媒体面发送所述媒体流之前先用所述安全参数加密所述媒体流;以及
在所述媒体面接收所述媒体流之后使用所述安全参数解密所述媒体流。
5.根据权利要求1所述的实现方法,其特征在于,使用所述安全参数保护所述第一端与第二端之间在所述媒体面上的端到端的媒体流具体包括:
在所述媒体面发送所述媒体流之前先用所述安全参数对所述媒体流进行完整性保护;以及
在所述媒体面接收所述媒体流之后使用所述安全参数对所述媒体流进行完整性检查。
6.根据权利要求1至5任一项所述的实现方法,其特征在于,所述包括信令面的会话包括:
遵循会话初始协议的会话;
遵循会话描述协议的会话。
7.根据权利要求1至5任一项所述的实现方法,其特征在于,所述第一端与第二端在所述信令面上采用安全实时传输协议和相关的密钥管理协议来协商安全参数。
8.一种用于端到端的媒体流安全的实现装置,其特征在于,包括:
建立模块,用于第一端与第二端建立包括信令面的会话;
协商模块,用于所述第一端与第二端在所述信令面上协商安全参数;
传递模块,将所述安全参数从所述信令面传递到媒体面;以及
保护模块,用于使用所述安全参数保护在所述第一端与第二端之间在所述媒体面上的端到端的媒体流。
9.根据权利要求8所述的实现装置,其特征在于,所述保护模块具体包括:
加密单元,用于在所述媒体面发送所述媒体流之前先用所述安全参数加密所述媒体流;以及
解密单元,用于在所述媒体面接收所述媒体流之后使用所述安全参数解密所述媒体流。
10.根据权利要求8所述的实现装置,其特征在于,所述保护模块具体包括:
完整性保护单元,用于在所述媒体面发送所述媒体流之前先用所述安全参数对所述媒体流进行完整性保护;以及
完整性检查单元,用于在所述媒体面接收所述媒体流之后使用所述安全参数对所述媒体流进行完整性检查。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100087404A CN101222324B (zh) | 2008-01-23 | 2008-01-23 | 用于端到端的媒体流安全的实现方法和装置 |
| PCT/CN2008/000624 WO2009094812A1 (fr) | 2008-01-23 | 2008-03-28 | Procédés et appareils pour assurer la sécurité de flux multimédia point à point |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100087404A CN101222324B (zh) | 2008-01-23 | 2008-01-23 | 用于端到端的媒体流安全的实现方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101222324A true CN101222324A (zh) | 2008-07-16 |
| CN101222324B CN101222324B (zh) | 2012-02-08 |
Family
ID=39631922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100087404A Expired - Fee Related CN101222324B (zh) | 2008-01-23 | 2008-01-23 | 用于端到端的媒体流安全的实现方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101222324B (zh) |
| WO (1) | WO2009094812A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895882A (zh) * | 2009-05-21 | 2010-11-24 | 中兴通讯股份有限公司 | 一种WiMAX系统中的数据传输方法、系统及装置 |
| CN105636028A (zh) * | 2015-07-29 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 视频数据传输方法、装置及无线终端 |
| CN110249584A (zh) * | 2017-01-27 | 2019-09-17 | 三星电子株式会社 | 用于在任务关键数据通信系统中通过信令平面提供端到端安全的方法 |
| CN111064717A (zh) * | 2019-12-06 | 2020-04-24 | 浙江大华技术股份有限公司 | 数据编码方法、数据解码方法以及相关终端、装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005043281A2 (en) * | 2003-11-04 | 2005-05-12 | Ntt Communications Corporation | Method, apparatus and program for establishing encrypted communication channel between apparatuses |
| US6792534B2 (en) * | 2002-03-22 | 2004-09-14 | General Instrument Corporation | End-to end protection of media stream encryption keys for voice-over-IP systems |
| US7352867B2 (en) * | 2002-07-10 | 2008-04-01 | General Instrument Corporation | Method of preventing unauthorized distribution and use of electronic keys using a key seed |
| CN100574185C (zh) * | 2005-01-07 | 2009-12-23 | 华为技术有限公司 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
| CN1983921B (zh) * | 2005-12-16 | 2010-05-05 | 华为技术有限公司 | 一种端到端媒体流安全的实现方法及系统 |
| US7840809B2 (en) * | 2006-02-24 | 2010-11-23 | Cisco Technology, Inc. | Method and system for secure transmission of an encrypted media stream across a network |
-
2008
- 2008-01-23 CN CN2008100087404A patent/CN101222324B/zh not_active Expired - Fee Related
- 2008-03-28 WO PCT/CN2008/000624 patent/WO2009094812A1/zh active Application Filing
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895882A (zh) * | 2009-05-21 | 2010-11-24 | 中兴通讯股份有限公司 | 一种WiMAX系统中的数据传输方法、系统及装置 |
| CN105636028A (zh) * | 2015-07-29 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 视频数据传输方法、装置及无线终端 |
| CN110249584A (zh) * | 2017-01-27 | 2019-09-17 | 三星电子株式会社 | 用于在任务关键数据通信系统中通过信令平面提供端到端安全的方法 |
| US11316678B2 (en) | 2017-01-27 | 2022-04-26 | Samsung Electronics Co., Ltd. | Method for providing end-to-end security over signaling plane in mission critical data communication system |
| US11770247B2 (en) | 2017-01-27 | 2023-09-26 | Samsung Electronics Co., Ltd. | Method for providing end-to-end security over signaling plane in mission critical data communication system |
| CN111064717A (zh) * | 2019-12-06 | 2020-04-24 | 浙江大华技术股份有限公司 | 数据编码方法、数据解码方法以及相关终端、装置 |
| CN111064717B (zh) * | 2019-12-06 | 2022-11-22 | 浙江大华技术股份有限公司 | 数据编码方法、数据解码方法以及相关终端、装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101222324B (zh) | 2012-02-08 |
| WO2009094812A1 (fr) | 2009-08-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9537837B2 (en) | Method for ensuring media stream security in IP multimedia sub-system | |
| CN104486077B (zh) | 一种VoIP实时数据安全传输的端到端密钥协商方法 | |
| US8935529B2 (en) | Methods and systems for end-to-end secure SIP payloads | |
| CN104618110B (zh) | 一种VoIP安全会议会话密钥传输方法 | |
| KR101021708B1 (ko) | 그룹키 분배 방법 및 이를 위한 서버 및 클라이언트 | |
| US20090182668A1 (en) | Method and apparatus to enable lawful intercept of encrypted traffic | |
| CN101094394A (zh) | 一种保证视频数据安全传输的方法及视频监控系统 | |
| CN104683291B (zh) | 基于ims系统的会话密钥协商方法 | |
| CN106936788A (zh) | 一种适用于voip语音加密的密钥分发方法 | |
| US20110093698A1 (en) | Sending media data via an intermediate node | |
| CN101790160A (zh) | 安全协商会话密钥的方法及装置 | |
| US8488795B2 (en) | Method for providing a symmetric key for protecting a key management protocol | |
| CN101222324B (zh) | 用于端到端的媒体流安全的实现方法和装置 | |
| CN101247218B (zh) | 用于实现媒体流安全的安全参数协商方法和装置 | |
| Steffen et al. | SIP security | |
| WO2012175021A1 (zh) | 流媒体内容的处理方法和设备 | |
| CN101729535B (zh) | 一种媒体点播业务的实现方法 | |
| CN101222503A (zh) | 用于实现媒体流安全的安全参数产生方法和装置 | |
| Fries et al. | On the applicability of various multimedia internet keying (mikey) modes and extensions | |
| US20100002885A1 (en) | Efficient multiparty key exchange | |
| Naveed Asghar et al. | Key management protocols for secure wireless multimedia services: a review | |
| GB2390270A (en) | Escrowing with an authority only part of the information required to reconstruct a decryption key | |
| Aghila et al. | An Analysis of VoIP Secure Key Exchange Protocols Against Man-In-The-Middle Attack | |
| Blom et al. | Key management and protection for IP multimedia | |
| Yoon et al. | A Study on the Interworking for SIP-Based Secure VoIP Communication with Security Protocols in the Heterogeneous Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120208 Termination date: 20200123 |