具体实施方式
本发明实施例提供了监听安全会话的方法、系统及网络设备,网络设备与会话节点之间协商媒体流密钥,通过所述媒体流密钥解密所述会话节点传输的媒体流,并将所述解密后的媒体流发送至监听设备。
为了使本技术领域的人员更好地理解本发明实施例提供的技术方案,下面结合附图和具体实施方式对本发明实施例提供的技术方案作进一步的详细说明。
参考图1,为本发明监听安全会话的方法的一个实施例流程图:
步骤101:网络设备与会话节点之间协商媒体流密钥。
其中,网络设备可以在接收到监听请求后与会话节点之间协商媒体流密钥,也可以在接收到监听请求前与会话节点之间协商媒体流密钥。
步骤102:通过媒体流密钥解密会话节点传输的媒体流,并将解密后的媒体流发送至监听设备。
参考图2,为本发明监听安全会话的方法的另一个实施例流程图,该实施例示出了通过网络设备与发送方会话节点和接收方会话节点之间进行密钥协商以实现对安全会话监听的详细过程:
步骤201:网络设备接收监听请求。
通常监听机关需要对会话节点之间传输的视频或音频媒体流进行监听时,会通过监听设备向网络设备发送监听请求。
步骤202:网络设备根据信令共享密钥与发起方会话节点和接收方会话节点之间建立信令传输通道。
其中,网络设备与发起方会话节点和接收方会话节点之间可以预先配置信令共享密钥,然后根据该预先配置的信令共享密钥与会话节点之间建立信令传输通道;或者网络设备可以与发起方会话节点和接收方会话节点协商信令共享密钥,然后根据该协商的信令共享密钥与会话节点之间建立信令传输通道。
具体的,可采用如下方式进行信令共享密钥的协商:网络设备和所述会话节点分别与网守GK通过H.235协议协商通信共享密钥,接 收所述会话节点发送的包含信令共享密钥的消息,该信令共享密钥由GK根据通信共享密钥生成,并由GK传输至所述会话节点,网络设备解析该消息后获得信令共享密钥。
当然,网络设备也可采用其他方式与各会话节点进行信令共享密钥的协商,本发明实施例对此不作限定。
步骤203:在信令传输通道内与发起方会话节点和接收方会话节点分别协商媒体流密钥。
步骤204:通过与发起方会话节点协商的媒体流密钥解密发起方会话节点传输的媒体流。
步骤205:将该解密后的媒体流传输至监听设备。
步骤206:通过与接收方会话节点协商的媒体流密钥加密该解密后的媒体流。
步骤207:将加密后的媒体流传输至接收方会话节点。
参考图3,为本发明监听安全会话的一种组网结构示意图,该网络结构示意图中包括合法监听机关设置的监听设备,监听设备与GK相连,用于向GK发送监听请求,节点A与节点B分别与代理设备P和GK相连,各个通信设备之间使用H.323协议进行通信。
节点A、节点B和代理设备P分别通过GK协商通信共享密钥,在协商该通信共享密钥的基础上,代理P与节点A和节点B分别协商信令共享密钥,并在建立的信令保护通道内协商媒体流密钥,代理设备P根据媒体流密钥可以对节点A传输的媒体流进行解密,并把解密后的媒体流传输给监听设备,使得监听机关能够最终获得需要监听的视频或音频数据。并且,由于代理设备P与节点A和节点B协商的媒体流密钥均不相同,因此代理设备P可以将解密后的媒体流用与节点B协商的媒体流密钥进行加密,保证节点A和节点B之间传输媒体流的安全性。
图3中所示的组网结构示意图中用于密钥协商的GK和代理设备P分开设置,由于功能分开使得设备在组网上具有更大的灵活性和扩展性。当网络中需要监听多个会话节点的媒体流时,由于代理设备P 与GK的功能分开设置,因此通过代理设备P可以同时监听网络中的多个会话节点,提高了监听的性能。
需要说明的是,上述代理设备P的信令共享密钥协商功能和媒体流密钥协商功能也可以分别在两台设备上实现,在组网上只需将这两台设备分别与GK和会话节点相连即可。
参考图4,为结合图3所示的组网结构示意图监听安全会话的又一个实施例流程:
步骤401至步骤403:会话节点A、代理P、会话节点B分别通过H.235协议与GK协商通信共享密钥,其中会话节点A与GK之间的共享密钥记为K[AG],会话节点B与GK之间的通信共享密钥记为K[BG],代理P与GK之间的通信共享密钥记为K[PG],根据上述通信共享密钥,会话节点A、代理P、会话节点B与GK分别进行注册和鉴权等信令交互过程。
其中,H.235(Security for H.323Based Systems andCommunications,基于H.323系统的安全性和通信)是有关安全方面的一种标准,可以为基于H.323的体系提供安全程序,包括提供身份认证、数据加密和完整性功能等。
步骤404:会话节点A要呼叫会话节点B,先向GK发送ARQ请求,请求通过代理P与会话节点B进行会话。
步骤405:GK接收到监听设备下发的监听请求后,根据监听策略确认监听当前会话节点A的本次呼叫请求;GK根据通信共享密钥K[AG]生成会话节点A与代理P之间的信令共享密钥K[AP],以及与K[AP]相关的会话节点A和代理P的摘要CTA及CTP,CTA和CTP可以使会话节点A和代理P解析出它们之间的信令共享密钥K[AP]。
步骤406:GK向会话节点A发送ACF,该ACF中包含了CTA和CTP。
步骤407:会话节点A通过解析CTA获得与代理P之间的信令共享密钥K[AP]。
步骤408:会话节点A向代理P发送呼叫请求,该呼叫请求中包 含了CTP。
步骤409:代理P通过解析CTP获得与会话节点A之间的信令共享密钥K[AP]。
步骤410:代理P向GK发送ARQ请求,请求呼叫会话节点B。
步骤411:GK根据共享密钥K[PG]生成代理P与会话节点B之间的信令共享密钥K[PB],以及与K[PB]相关的代理P和会话节点B的摘要CTP及CTB,CTP和CTB可以使会话节点B和代理P解析出它们之间的信令共享密钥K[PB]。
步骤412:GK向代理P发送ACF,该ACF中包含了CTP和CTB。
步骤413:代理P通过解析CTP获得与会话节点B之间的信令共享密钥K[PB]。
步骤414:代理P向会话节点B发送呼叫请求,该呼叫请求中包含了CTB。
步骤415:会话节点B通过解析CTB获得与代理P之间的信令共享密钥K[PB]。
步骤416至步骤417:会话节点A与代理P之间通过信令共享密钥K[AP]对传输的信令进行加密保护;代理P与会话节点B之间通过信令共享密钥K[PB]对传输的信令进行加密保护。
步骤418至步骤419:会话节点A与代理P之间根据K[AP]的保护打开逻辑通道,协商媒体流密钥S[AP];代理P与会话节点B之间根据K[PB]的保护打开逻辑通道,协商媒体流密钥S[PB]。
步骤420:会话节点A通过S[AP]对传输的用于会话的媒体流进行加密,并将加密后的媒体流发送到代理P。
步骤421:代理P接收到该加密媒体流后,通过S[AP]对该加密媒体流进行解密。
步骤422:代理P将解密后的媒体流传输至安全机关设置的监听设备,由此监听设备获得了解密后的媒体流,即会话节点A传输的视频或音频数据,实现了对加密的安全会话的监听。
步骤423:代理P通过S[PB]对解密后的媒体流进行加密,并将 该加密后的媒体流发送带会话节点B。
步骤424:会话节点B接收到该加密媒体流后,通过S[PB]对该加密媒体流进行解密,由此与会话节点A之间建立了会话。
参考图5,为本发明监听安全会话的另一种组网结构示意图,该组网结构示意图中包括合法监听机关设置的监听设备,对照图3,将GK与代理设备P的功能合成在一台路由器C中,该路由器C直接与监听设备相连,用于接收监听设备发送的监听请求,节点A与节点B分别与路由器C相连。
节点A、节点B和路由器C之间可以不通过协商方式获得信令共享密钥,而是预先在节点A、节点B和路由器C上配置信令共享密钥,通过配置的信令共享密钥建立信令保护通道,并在该信令保护通道内协商媒体流密钥,路由器C根据媒体流密钥可以对节点A传输的媒体流进行解密,并把解密后的媒体流传输给监听设备,使得监听机关能够最终获得需要的视频或音频数据。路由器C与节点A和节点B协商的媒体流密钥均不相同,因此路由器C可以将解密后的媒体流用与节点B协商的媒体流密钥进行加密,实现对节点A和节点B之间传输的媒体流进行隔离,保证媒体流的安全性。
参考图6,为结合图5所示的组网结构示意图监听安全会话的又一个实施例流程:
步骤601至步骤603:会话节点A和会话节点B通过路由器C通信,为了对安全会话进行监听,在会话节点A配置与路由器C之间的信令共享密钥K[AC],在会话节点B配置与路由器C之间的信令共享密钥K[CB],在路由器C分别配置与会话节点A和与会话节点B之间的信令共享密钥K[AC]和K[CB]。
步骤604:会话节点A要呼叫会话节点B,先向路由器C发送包含信令共享密钥K[AC]的呼叫请求,请求通过路由器C与会话节点B进行会话,由于路由器C上预先配置了信令共享密钥K[AC],因此路由器C能够识别会话节点A发送的呼叫请求。
步骤605:路由器C向会话节点B转发发送包含信令共享密钥 K[CB]的呼叫请求,由于会话节点B上预先配置了信令共享密钥K[CB],因此会话节点B能够识别路由器C转发的呼叫请求。
步骤606至步骤607:会话节点A与路由器C之间使用信令共享密钥K[AC]对传输的信令进行保护,会话节点B与路由器C之间使用信令共享密钥K[CB]对传输的信令进行保护。
步骤608至步骤609:会话节点A与路由器C之间根据信令共享密钥K[AC]的保护打开逻辑通道,协商媒体流密钥S[AC];路由器C与会话节点B之间根据信令共享密钥K[CB]的保护打开逻辑通道,协商媒体流密钥S[CB]。
步骤610:会话节点A通过S[AC]对传输的用于会话的媒体流进行加密,并将加密后的媒体流发送到路由器C。
步骤611:路由器C接收到该加密媒体流后,通过S[AC]对该加密媒体流进行解密。
步骤612:路由器C将解密后的媒体流传输至安全机关设置的监听设备,由此监听设备获得了解密后的媒体流,即会话节点A传输的视频或音频数据,实现了对加密的安全会话的监听。
步骤613:路由器C通过S[CB]对解密后的媒体流进行加密,并将该加密后的媒体流发送带会话节点B。
步骤614:会话节点B接收到该加密媒体流后,通过S[CB]对该加密媒体流进行解密,由此与会话节点A之间建立了会话。
与本发明监听安全会话的方法的实施例相对应,本发明还提供了监听安全会话的系统的实施例。
本发明监听安全会话的系统的一个实施例框图如图7所示:
该系统包括:会话节点710、网络设备720及监听设备730。其中,网络设备720用于与所述会话节点710之间协商媒体流密钥,通过所述媒体流密钥解密所述会话节点710传输的媒体流,并将所述解密后的媒体流发送至所述监听设备730。
本发明监听安全会话的系统的另一个实施例框图如图8所示:
该系统包括:发起方会话节点810、接收方会话节点820、网络 设备830及监听设备840。
其中,网络设备830包括:建立协商单元831,用于根据信令共享密钥与所述发起方会话节点810和接收方会话节点820之间建立信令传输通道,在所述信令传输通道内与所述发起方会话节点810和接收方会话节点820分别协商媒体流密钥;解密发送单元832,用于通过与所述发起方会话节点810协商的媒体流密钥解密所述发起方会话节点810传输的媒体流,将所述解密后的媒体流发送至所述监听设备840,并通过与所述接收方会话节点820协商的媒体流密钥加密所述解密后的媒体流,将所述加密后的媒体流传输至所述接收方会话节点820。
与本发明监听安全会话的方法和系统的实施例相对应,本发明还提供了用于监听安全会话的网络设备的实施例。
本发明网络设备的一个实施例框图如图9所示:
该网络设备包括:协商单元910、解密单元920和发送单元930。
其中,协商单元910用于与会话节点之间协商媒体流密钥;解密单元920用于通过所述媒体流密钥解密所述会话节点传输的媒体流;发送单元930用于将所述解密后的媒体流发送至监听设备。
本发明网络设备的另一个实施例框图如图10所示:
该网络设备包括:建立单元1010、协商单元1020、解密单元1030、加密单元1040和发送单元1050。
其中,建立单元1010用于根据信令共享密钥与所述会话节点之间建立信令传输通道;协商单元1020用于在所述信令传输通道内与所述会话节点协商所述媒体流密钥,进一步当会话节点包括发起方会话节点和接收方会话节点时,所述协商单元1020用于与发起方会话节点和接收方会话节点分别协商第一媒体流密钥和第二媒体流密钥;解密单元1030用于通过所述媒体流密钥解密所述会话节点传输的媒体流,进一步当会话节点包括发起方会话节点和接收方会话节点时,所述解密单元1030用于通过与发起方会话节点协商的第一媒体流密钥解密所述发起方会话节点传输的媒体流,得到第一媒体流;加密单元1040 用于当会话节点包括发起方会话节点和接收方会话节点时,通过与所述接收方会话节点协商的第一媒体流密钥加密所述第一媒体流,得到第二媒体流;发送单元1050用于将所述第一媒体流发送至监听设备,并将所述第二媒体流传输至所述接收方会话节点。
具体的,建立单元1010包括:第一建立单元,用于根据预先配置的信令共享密钥与会话节点之间建立信令传输通道;或第二建立单元,用于协商信令共享密钥,根据所述协商的信令共享密钥与会话节点之间建立信令传输通道。
由上述本发明实施例的描述可知,本发明实施例通过网络设备的协商密钥功能,能够对会话节点之间传输的媒体流进行加密和解密,并能够将解密后的视频或音频数据传输给监听设备,使得监听设备能够正常监听会话节点之间传输的加密媒体流;并且由于网络设备能够分别与发起方会话节点和接收方会话节点协商密钥,因此能够在会话节点之间提供隔离,提高了媒体流传输的安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如下步骤:网络设备与会话节点之间协商媒体流密钥;通过所述媒体流密钥解密所述会话节点传输的媒体流,并将所述解密后的媒体流发送至监听设备。所述的存储介质可以为:ROM/RAM、磁碟或光盘等。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。