CN101379802B - 在媒体服务器和用户设备之间以加密方式传输媒体数据的方法和装置 - Google Patents

在媒体服务器和用户设备之间以加密方式传输媒体数据的方法和装置 Download PDF

Info

Publication number
CN101379802B
CN101379802B CN2007800050032A CN200780005003A CN101379802B CN 101379802 B CN101379802 B CN 101379802B CN 2007800050032 A CN2007800050032 A CN 2007800050032A CN 200780005003 A CN200780005003 A CN 200780005003A CN 101379802 B CN101379802 B CN 101379802B
Authority
CN
China
Prior art keywords
application function
subscriber equipment
media server
transmission
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2007800050032A
Other languages
English (en)
Other versions
CN101379802A (zh
Inventor
W·巴克
S·蒂鲁文贾达姆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN101379802A publication Critical patent/CN101379802A/zh
Application granted granted Critical
Publication of CN101379802B publication Critical patent/CN101379802B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/61Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio
    • H04L65/612Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio for unicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/234Processing of video elementary streams, e.g. splicing of video streams, manipulating MPEG-4 scene graphs
    • H04N21/2347Processing of video elementary streams, e.g. splicing of video streams, manipulating MPEG-4 scene graphs involving video stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26613Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/632Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing using a connection between clients on a wide area network, e.g. setting up a peer-to-peer communication via Internet for retrieving video segments from the hard-disk of other client devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Abstract

本发明涉及一种用于传输媒体数据的方法。该方法包括以下的步骤:从用户设备(2)经由接入网(4)的控制信道(18A)向应用功能(8)传输请求(21)用以确定一组加密参数(k),根据该组加密参数(k)由应用功能(8)生成加密上下文(CC),和经由核心网(7)的控制接口(17)从应用功能(8)向媒体服务器(10)传输加密上下文(CC)。随后由媒体服务器(10)在使用加密上下文(CC)的情况下对加密的媒体数据(27)进行解密,或对未加密的媒体数据(28)进行加密,使得在媒体服务器(10)和用户设备(2)之间发生媒体数据(27)的加密传输。本发明还涉及适用于实施该方法的网络装置(1)和计算机程序产品。

Description

在媒体服务器和用户设备之间以加密方式传输媒体数据的方法和装置
技术领域
本发明涉及一种用于经由接入网传输媒体数据的方法。本发明还涉及适用于实施本方法的网络装置和计算机程序产品。
背景技术
已知用于经由接入网向或从用户设备传输媒体数据的不同方法、设备和系统。所谓的H.标准(例如H.320,H.323,H.324)例如对于音频和视频数据的实时传输、尤其是对于视频电话规定了压缩和控制机制。
随着宽带移动无线电网络的越来越流行,第三代合作伙伴计划(3GPP)在IP多媒体子系统(IMS)的名义下已开发了用于综合语音和互联网业务的一系列标准。IMS标准尤其是在移动领域中,应推进分组交换网络和线路交换网络的融合。但是IMS系统也适用于在固定网中传输媒体数据,例如经由公共电话网或互联网。
在根据3GPP UMTS陆地无线电接入网(UTRAN(TerrestrialRadio Access Network))标准的移动无线电网中,在网络协议的安全层的层面上对数据进行加密。因此IMS接入安全性(3GPP TS 33.203)和网络域安全性(3GPP TS 33.210)标准未规定媒体数据的单独加密。但是在固定网中不发生所传输的数据的这种加密。
但是媒体数据的加密常常是所期望的。因为一方面,尤其是基于IP的网络众所周知是不安全的,使得例如至少部分地经由IP网进行的视频电话通话可能比较容易受到监听。另一方面,常常将媒体数据作为诸如视频点播(Video-on-Demand)的所谓增值业务来提供,在这些增值业务(Mehrwertdienste)中,接收方必须为所传输的数据付费。在此也必须确保,仅由合法的接收方使用所传输的媒体数据。
从标准ETSI TS 133 246 V6.5.0版本6“Security of MultimediaBroadcast/Multicast Service(MBMS)中,公知一种用于从广播组播业务中心向用户设备传输加密的媒体数据的方法。
从安全实时传输协议(SRTP(Secure Real-time TransportProtocol),按照RFC 3711)中公知一种用于在两个用户之间安全传输媒体数据的标准。但是尤其是在异构网络中不能采用按照SRTP标准的数据传输。部分地因为在网络边界处、例如在从互联网向公共电话网过渡时,发生在转化加密的数据流时的技术问题。另一方面,必须注意例如对电话通话的国家监控进行调节的法规。如果在两个用户之间不存在信赖关系,则在所述两个用户之间的直接密钥交换也常常是有问题的。
发明内容
因此本发明的任务是说明在接入网中能够实现媒体数据加密的方法和网络装置。在此,尤其应该保护在有线网的交换站和该有线网的用户之间的传输。
根据本发明,通过用于传输媒体数据的方法来解决该任务,该方法具有以下步骤:
-从用户设备经由接入网的控制信道向应用功能传输请求用以确定一组加密参数,
-根据该组加密参数通过应用功能生成加密上下文,
-从应用功能经由核心网的控制接口向媒体服务器传输加密上下文,
-由媒体服务器在使用加密上下文的情况下对未加密的媒体数据进行加密,和
-从媒体服务器经由接入网的数据信道向用户设备传输加密的媒体数据。
根据本方法,首先从用户设备经由控制信道向应用功能传输一组加密参数,或对该组加密参数进行协商。例如可以在从用户设备建立连接时实施该过程。应用功能从所传输的该组加密参数中生成适用于对媒体数据进行加密的加密上下文。在另一步骤中,经由核心网的控制接口向媒体服务器传输该加密上下文,使得媒体服务器可以在另一步骤中对由该媒体服务器向用户设备所发送的媒体数据进行加密。为此不需要媒体服务器和用户设备协商用于对媒体数据进行加密的特有密钥。
该任务同样通过用于传输媒体数据的方法来解决,所述方法具有以下的步骤:
-在使用第一密钥的情况下由用户设备生成一组加密参数,
-从用户设备向应用功能传输请求,其中所述请求包括该组加密参数,
-根据该组加密参数由应用功能生成加密上下文,其中所述加密上下文包括为解密要使用的密钥,
-从应用功能向媒体服务器经由核心网的控制接口传输所述加密上下文,
-从用户设备经由接入网的数据信道向媒体服务器传输加密的媒体数据,和
-由媒体服务器在使用所述加密上下文的密钥的情况下对加密的媒体数据进行解密。
以此方式也通过加密来保护在相反的方向上经由接入网所传输的媒体数据,而不为此需要在媒体服务器和用户设备之间的直接密钥交换。
根据本发明的一种有利的扩展方案,该组加密参数由用户设备在使用第一密钥的情况下生成,并由应用功能在使用第二密钥情况下检验。
通过根据用户设备的第一密钥生成加密参数,也可以与加密上下文的生成同时地通过第二密钥进行用户设备的鉴权。
根据本发明的一种其它有利的扩展方案,设置用于实施会话初始化协议的用户设备和应用功能,并通过按照会话初始化协议交换消息来确定该组加密参数。
为实施会话初始化协议而设置的用户设备和应用功能可以将例如用于相对于交换站对用户设备进行鉴权的这种协议用于确定该组加密参数。
根据本发明的一种其它有利的扩展方案,本方法附加地具有步骤:由应用功能检验用户设备的鉴权,和将鉴权数据从应用功能经由控制接口向媒体服务器传输。
通过由应用功能检验和传输鉴权数据,可以确定用户设备是否有权接收媒体数据。
该任务同样通过网络装置来解决,所述网络装置具有:
-应用功能,具有用于生成、协商或检验会话密钥的密钥单元和通向接入网的第一接口,
-媒体服务器,具有加密单元和通向接入网的第二接口,和
-具有控制接口的核心网,其中应用功能经由所述控制接口与媒体服务器可工作地相连接,
其中,
-用户设备经由接入网的控制信道与应用功能的第一接口相连接,和经由数据信道与媒体服务器的第二接口相连接,
-密钥单元被设置用于分析用户设备的包括一组加密参数的请求,根据该组加密参数生成包括为加密要使用的密钥的加密上下文,和经由控制接口向加密单元传输所述加密上下文,和
-加密单元被设置用于在使用所述加密上下文的密钥的情况下对从第二接口所接收的加密的媒体数据进行解密,或在使用所述加密上下文的密钥的情况下对未加密的媒体数据进行加密,并经由第二接口来提供。
另外还说明了本发明的其它细节和扩展方案。
附图说明
以下根据实施例借助附图详细阐述本发明。在附图中:
图1示出具有两个用户设备和交换站的网络装置,
图2示出用于在第一用户设备和第二用户设备之间传输媒体数据的序列图,
图3示出根据用于传输媒体数据的方法的扩展方案的流程图。
具体实施方式
图1展示了网络装置1,具有第一用户设备2、第二用户设备3和交换站5。
第一用户设备2经由第一接入网4与交换站5相连接。第二用户设备3经由第二接入网6同样与交换站5相连接。
交换站5位于核心网7中,并包括应用功能8、决策功能9和媒体服务器10。
应用功能8具有通向第一用户设备2或第二用户设备3的第一接口11A和11B。应用功能8还具有加密单元12。加密单元12还用来生成、协商或检验会话密钥。
媒体服务器10具有两个第二接口13A和13B,媒体服务器10经由所述第二接口13A和13B与第一用户设备2或第二用户设备3相连接。此外,媒体服务器10还具有适用于对媒体数据进行加密或解密的第二加密单元14。
应用功能8经由第三接口15与决策功能9相连接。决策功能9经由第四接口16与媒体服务器10相连接。第三接口15、决策功能9和第四接口16共同形成可由应用功能8控制媒体服务器10所经由的控制接口17。
在IMS的情况下,应用功能8本身不提供应用,而是控制对于应用所必要的资源。例如应用功能8可以与决策功能9一起在连接建立阶段期间在核心网7中预留在随后的传输阶段中由媒体服务器10使用用于传输媒体数据的传输容量。
第一接入网4包括在第一用户设备2和应用功能8的第一接口11A之间的控制信道18A以及在媒体服务器10的第二接口13A和第一用户设备2之间的数据信道19A。同样,第二接入网6包括在第二用户设备3和第一接口11B之间的控制信道18B以及在第二接口13B和第二用户设备3之间的数据信道19B。
在所示出的实施例中,控制信道18和数据信道19都适用于双向通信。但是原则上也可能的是,通信仅在一个方向上是可能的,或在不同的传输信道18或19上进行不同数据流方向的通信。
控制信道18和数据信道19例如可以是在交换站5和用户设备2或3之间的单个传输信道上的不同协议层面上的数据连接,或是分开的传输信道,诸如所谓的ISDN控制信道D和所谓的ISDN数据信道B。
为了简单起见,在图1中示出了连接在单个交换站5上的第一用户设备2和第二用户设备3。但是核心网7显然可以具有多个交换站5,其中,第一用户设备2连接在第一交换站上,和第二用户设备3连接在第二交换站上。也可能的是,在第一用户设备2、交换站5和第二用户设备3之间存在其它的中间网络,但是所述其它中间网络在图1中同样没有被示出。
第一接入网4例如是有线公共电话网,诸如模拟电话网或数字ISDN电话网。第二接入网6例如是无线移动无线电网,诸如GSM或UMTS网。核心网7例如是按照互联网协议(IP)的数据网,其中通信业务供应商使用所述数据网用于内部数据传输。
在所述的实施例中,应该经由交换站5建立在第一用户设备2和第二用户设备3之间的连接。在此,应该在第一用户设备2和第二用户设备3之间实时地交换媒体数据,例如组合式音频和视频数据流。
由于第一接入网4是有线电话网,所以应对从媒体服务器10经由数据信道19A向第一用户设备2所传输的媒体数据进行加密。虽然在给定的实例中,不需要对从第二用户设备3经由数据信道19B向媒体服务器10所传输的媒体数据进行加密,因为第二接入网6是已经在网络协议的安全层面上采用加密的无线电网。但是在第二接入网6中也可以应用用于以加密方式传输数据的等效方法。
图2展示了用于连接建立和随后在第一用户设备2和第二用户设备3之间的传输媒体数据的序列图。
在IMS中,在核心网7中表示第一用户设备2的第一接触点的所谓代理呼叫会话控制功能(P-CSCF(Proxy Call Session ControlFunction))承担第一用户设备2的第一应用功能8A的功能性。将特有的P-CSCF分配给第二用户设备3,所述特有的P-CSCF对于所述第二用户设备3用作第二应用功能8B。其中还附加地布置检查第一用户设备2或第二用户设备3的业务的检查功能20A和20B、所谓的服务呼叫会话控制功能(S-CSCF(Serving Call Session Control Function))。
借助图3中所示出的流程图详细阐述根据图2的示范性数据传输。图3展示了用于传输媒体数据的方法30。
在步骤31中,在第一用户设备2和第一应用功能8A之间确定一组加密参数k,所述该组加密参数确定要使用的加密。
例如第一用户设备2可以基于第一用户设备2的秘密密钥来生成会话密钥,并传输给第一应用功能8A。原则上可以与用于传输媒体数据的所述方法30相结合地使用技术人员所公知的用于生成加密参数k用以对称地或非对称地通信的多个不同方法。
在步骤31中,也可以由第一用户设备2确定、或借助会话初始化协议在第一用户设备2和第一应用功能8A之间协商例如确定要采用的密钥的长度的其它加密参数。例如可以与会话描述协议(SDP,按照RFC 2327)相结合使用所谓的会话初始化协议(SIP,按照RFC 3261和RFC 2543)作为会话初始化协议。也可以由第一应用功能8A确定几个或所有的加密参数并向第一用户设备2传输。
根据SIP协议,首先进行在用户设备2和第一应用功能8A之间的消息交换,所述消息交换用于注册用户设备,但是在图2中没有示出。随后从用户设备2向第一应用功能8A传输请求21。在本实施例中,将一组加密参数k集成到请求21中,所述请求21除了该组加密参数k之外,还含有诸如用于建立连接的目标地址的其它数据。例如该请求可以是按照会话初始化协议的所谓邀请请求。该协议类似于超文本传输协议(HTTP(Hyper Text Transfer Protocol)),并适用于经由数据网建立通信会话,尤其适用于例如在所谓的基于IP的语音(VoIP(Voice-over-IP))网中建立语音连接。附加地也可以在该阶段期间例如通过由在图1中却没有示出的所谓归属用户服务器(HSS(HomeSubscriber Server))验证鉴权数据来实现用户设备2的鉴权。
在图2中可以看出,在所示出的实施例中,首先从第一用户设备2向第一应用功能8A传输请求21。在此,由第一用户设备2和第一应用功能8A使用适用于传输或协商密钥信息的协议。例如可以经由多媒体互联网键控(MIKEY(Multimedia Internet Keying),按照RFC 3830)协议将该组加密参数k作为SDP请求的有用数据经由SIP协议向第一应用功能8A传输。以此方式,第一应用功能8A获得请求21的该组加密参数k。
以经修改的请求22的形式将请求21的不涉及加密的其它部分转发给第一检查功能20A。根据IMS协议,核心网7分别包括用于第一用户设备2和第二用户设备3的S-CSCF,所述第一用户设备2和第二用户设备3将经修改的请求22从第一应用功能8A向第二应用功能8B转发,以便建立与第二用户设备3的连接。
如果第二用户设备3准备应答经修改的请求22,则第二用户设备3发送出应答字,所述应答字在相反方向上被传输回给第一应用功能8A。在SIP协议的情况下,在此例如涉及由于简单起见在图2中却没有示出的应答代码“200OK”以及其它消息。
在另一步骤32中,第一应用功能8A基于在步骤31中所确定的该组加密参数k生成加密上下文CC。加密上下文CC例如包括要采用的加密算法、为加密要采用的密钥、和用于正确执行加密所需要的其它参数。
在步骤33中,从第一应用功能8A向媒体服务器10传输所生成的加密上下文CC。
在图1中所示的装置中,首先从应用功能8向决策功能9传输所生成的加密上下文CC。为此,经由第三接口15传输加密上下文CC,在本实施例中经由根据3GPP标准的所谓Gq接口或根据按照直径协议(RFC 3588)的欧洲电信标准协会(ETSI)的电信与互联网融合业务和高级网络协议(TISPAN(Telecommunications and Internet convergedServices and Protocols for Advanced Networking))项目组的下一代网络(NGN)规范的Gq’接口。
直径协议适用于传输所谓的属性值对。第一应用功能8A因此必须以一组属性值对将加密上下文CC编码为第一编码加密上下文24。在此,要么可以使用已经存在的属性用于传输加密上下文CC,要么可以由第一应用功能8A引入新的属性。
在TISPAN或3GPP标准中称为基于业务的策略决策功能(SPDF或PDF)的决策功能9对所传输的第一编码加密上下文24进行解码,并将含于其中的信息作为第二编码加密上下文25经由第四接口16向媒体服务器10传输。在本实施例中,根据TISPAN标准的第四接口16是按照H.248协议的所谓Ia接口。
在从第一应用功能8A向媒体服务器10传输加密上下文CC之后,第一应用功能8A将应答字23转发给第一用户设备2。根据3GPP协议TS24.229,第一用户设备2借助确认消息26针对第一应用功能8A来确认连接的建立,所述确认消息26同样被转发给第二用户设备3。
在另一步骤34中,第一用户设备2向媒体服务器10传输加密的媒体数据27,或媒体服务器10向第一用户设备2传输加密的媒体数据27。
第一用户设备2可以在使用该组加密参数k的情况下生成与在步骤33中向媒体服务器10所传输的加密上下文CC等效的加密上下文CC。因此第一用户设备2以及媒体服务器10都能够对媒体数据进行加密或解密。尤其是在诸如在视频电话中出现的大量数据流的情况下,对称加密方法适用于此。例如可以借助XOR功能将数据流与足够长的密钥逻辑连接。
在示出在图2中的数据流图中,加密的媒体数据27从第一用户设备2向媒体服务器10流动。在其方面拥有加密上下文CC的媒体服务器10可以对所接收的加密的媒体数据27进行解密,并在此路径上在步骤35中生成未加密的媒体数据28。
在步骤36中,从媒体服务器10向第二用户设备3传输未加密的媒体数据28。
像在图3中所示出的那样,在相反方向上的、也就是从第二用户设备3通向第一用户设备2的数据流显然也是可能的。在此,首先在步骤37中向媒体服务器10传输未加密的媒体数据28。在另一步骤38中,媒体服务器10对未加密的媒体数据28进行加密,并生成如此所加密的媒体数据27。在步骤39中,向第一用户设备2传输加密的媒体数据27。
在像视频电话那样的双向通信应用中,常常并行地彼此实施两个上述变型方案,使得由媒体服务器10在步骤35中对从第一用户设备2出发的加密的媒体数据27进行解密,并同时由媒体服务器10在步骤38中将对准第一用户设备2的未加密的媒体数据28进行加密。
另外的应用可能性例如包括仅在一个方向上、例如从媒体服务器10向第一用户设备2传输预定的媒体数据。例如在核心网7中存在的、在图1中却没有示出的视频点播平台可以向媒体服务器10传送未加密的媒体数据28。媒体服务器10在步骤38中对所希望的媒体数据28进行加密,并将其作为加密的媒体数据27向第一用户设备2传送。
所谓的通信网关也可以代替交换站5,所述通信网关例如从线路交换的接入网4向诸如核心网7或第二接入网6的分组交换的网络传输媒体数据。由此尤其是能够实现在硬件和软件电话或电话应用之间的交换。在此,控制信道18A和18B的或数据信道19A和19B的数据格式和协议可以彼此不同,使得需要通过应用功能8或媒体服务器10来转化不同的协议。尤其是在这种应用情况下,如果应仅在接入网4或6之一上采用加密,则是有利的。
显然也可以在第二用户设备3和媒体服务器10之间进行媒体数据的加密传输。在此,第二用户设备3在其方面向分配给其的第二应用功能8B传输加密参数k。以此方式,经由数据信道19A和19B仅仅交换加密的媒体数据27,而不必为此在第一用户设备2和第二用户设备3之间存在信赖关系。

Claims (9)

1.用于传输媒体数据的方法,具有以下的步骤:
-在使用第一密钥的情况下由用户设备(2)生成一组加密参数(k),
-从用户设备(2)向应用功能(8)传输请求(21),其中所述请求(21)包括该组加密参数(k),
-根据该组加密参数(k)由应用功能(8)生成加密上下文(CC),其中所述加密上下文(CC)包括为加密要使用的密钥,
-从应用功能(8)向媒体服务器(10)经由核心网(7)的控制接口(17)传输所述加密上下文(CC),
-由媒体服务器(10)在使用所述加密上下文(CC)的密钥的情况下对未加密的媒体数据(28)进行加密,和
-从媒体服务器(10)经由接入网(4)的数据信道(19A)向用户设备(2)传输加密的媒体数据(27)。
2.用于传输媒体数据的方法,具有以下的步骤:
-在使用第一密钥的情况下由用户设备(2)生成一组加密参数(k),
-从用户设备(2)向应用功能(8)传输请求(21),其中所述请求(21)包括该组加密参数(k),
-根据该组加密参数(k)由应用功能(8)生成加密上下文(CC),其中所述加密上下文(CC)包括为解密要使用的密钥,
-从应用功能(8)向媒体服务器(10)经由核心网(7)的控制接口(17)传输所述加密上下文(CC),
-从用户设备(2)经由接入网(4)的数据信道(19A)向媒体服务器(2)传输加密的媒体数据(27),和
-由媒体服务器(10)在使用所述加密上下文(CC)的密钥的情况下对加密的媒体数据(27)进行解密。
3.按照权利要求1或2的方法,具有以下附加的步骤:
-在使用第二密钥的情况下由应用功能(8)检验该组加密参数(k)。
4.按照权利要求1或2的方法,其特征在于,设置用户设备(2)和应用功能(8)用于实施会话初始化协议,并通过按照会话初始化协议交换消息(21,23,26)来确定该组加密参数(k)。
5.按照权利要求1或2的方法,具有以下附加的步骤:
-由应用功能(8)检验用户设备(2)的鉴权,和
-从应用功能(8)经由控制接口(17)向媒体服务器(10)传输鉴权数据。
6.按照权利要求1或2的方法,其特征在于,控制接口(17)包括用于传输值对所设置的接口(15),和在传输所述加密上下文(CC)的步骤中一组值对作为编码加密上下文(24)被传输。
7.网络装置(1),具有
-应用功能(8),具有用于生成、协商或检验会话密钥的密钥单元(12)和通向接入网(4)的第一接口(11A),
-媒体服务器(10),具有加密单元(14)和通向接入网(4)的第二接口(13A),和
-具有控制接口(17)的核心网(7),其中应用功能(8)经由所述控制接口(17)与媒体服务器(10)可工作地相连接,
其中,
-用户设备(2)经由接入网(4)的控制信道(18A)与应用功能(8)的第一接口(11A)相连接,和经由数据信道(19A)与媒体服务器(10)的第二接口(13A)相连接,
-密钥单元(12)被设置用于分析用户设备(2)的包括一组加密参数(k)的请求(21),根据该组加密参数(k)生成包括为加密要使用的密钥的加密上下文(CC),和经由控制接口(17)向加密单元(14)传输所述加密上下文(CC),和
-加密单元(14)被设置用于在使用所述加密上下文(CC)的密钥的情况下对从第二接口(13A)所接收的加密的媒体数据(27)进行解密,或在使用所述加密上下文(CC)的密钥的情况下对未加密的媒体数据(28)进行加密,并经由第二接口(13A)来提供。
8.按照权利要求7的网络装置(1),其特征在于,所述控制接口(17)具有决策功能(9),所述决策功能释放或阻断对核心网(7)的各个业务的接入,其中,应用功能(8)经由第三接口(15)与决策功能(9)相连接,和决策功能(9)经由第四接口(16)与媒体服务器(10)相连接。
9.按照权利要求7或8的网络装置(1),其特征在于,网络装置(1)是IP多媒体子系统。
CN2007800050032A 2006-02-09 2007-01-26 在媒体服务器和用户设备之间以加密方式传输媒体数据的方法和装置 Active CN101379802B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102006006071A DE102006006071A1 (de) 2006-02-09 2006-02-09 Verfahren zum Übertragen von Mediendaten, Netzwerkanordnung mit Computerprogrammprodukt
DE102006006071.7 2006-02-09
PCT/EP2007/050792 WO2007090745A1 (de) 2006-02-09 2007-01-26 Verfahren, vorrichtung und computerprogrammprodukt zum verschlüsselten übertragen von mediendaten zwischen dem medienserver und dem teilnehmergerät

Publications (2)

Publication Number Publication Date
CN101379802A CN101379802A (zh) 2009-03-04
CN101379802B true CN101379802B (zh) 2012-01-11

Family

ID=38024223

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007800050032A Active CN101379802B (zh) 2006-02-09 2007-01-26 在媒体服务器和用户设备之间以加密方式传输媒体数据的方法和装置

Country Status (7)

Country Link
US (1) US20090070586A1 (zh)
EP (1) EP1982494B1 (zh)
JP (1) JP4856723B2 (zh)
CN (1) CN101379802B (zh)
CY (1) CY1117070T1 (zh)
DE (1) DE102006006071A1 (zh)
WO (1) WO2007090745A1 (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103119976B (zh) * 2010-09-15 2016-11-02 瑞典爱立信有限公司 通信网络中经由中间单元发送受保护数据
CN102594794B (zh) * 2011-12-24 2015-04-29 华为技术有限公司 一种媒体加密会议的接入方法及装置
US9191410B2 (en) * 2014-01-13 2015-11-17 Nokia Solutions And Networks Oy Method and apparatus for enhancing communication security
US9967319B2 (en) * 2014-10-07 2018-05-08 Microsoft Technology Licensing, Llc Security context management in multi-tenant environments
US9596079B1 (en) * 2016-04-14 2017-03-14 Wickr Inc. Secure telecommunications
CN108123783B (zh) * 2016-11-29 2020-12-04 华为技术有限公司 数据传输方法、装置及系统
US10778432B2 (en) 2017-11-08 2020-09-15 Wickr Inc. End-to-end encryption during a secure communication session
US10541814B2 (en) 2017-11-08 2020-01-21 Wickr Inc. End-to-end encryption during a secure communication session
US11101999B2 (en) 2017-11-08 2021-08-24 Amazon Technologies, Inc. Two-way handshake for key establishment for secure communications
US10855440B1 (en) 2017-11-08 2020-12-01 Wickr Inc. Generating new encryption keys during a secure communication session
CN108989886A (zh) * 2018-08-07 2018-12-11 福建天泉教育科技有限公司 一种播放加密视频的方法及系统
EP3767909A1 (de) * 2019-07-17 2021-01-20 Siemens Mobility GmbH Verfahren und kommunikationseinheit zur kryptographisch geschützten unidirektionalen datenübertragung von nutzdaten zwischen zwei netzwerken

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1645797A (zh) * 2005-01-28 2005-07-27 南望信息产业集团有限公司 在数字版权管理系统中使用的优化安全数据传输的方法

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5751813A (en) * 1996-04-29 1998-05-12 Motorola, Inc. Use of an encryption server for encrypting messages
US6374260B1 (en) * 1996-05-24 2002-04-16 Magnifi, Inc. Method and apparatus for uploading, indexing, analyzing, and searching media content
US6385596B1 (en) * 1998-02-06 2002-05-07 Liquid Audio, Inc. Secure online music distribution system
US7693508B2 (en) * 2001-03-28 2010-04-06 Qualcomm Incorporated Method and apparatus for broadcast signaling in a wireless communication system
KR100408287B1 (ko) * 2001-06-15 2003-12-03 삼성전자주식회사 컨텐트 보호 시스템 및 방법
US20030053629A1 (en) * 2001-09-14 2003-03-20 Koninklijke Philips Electronics N.V. USB authentication interface
US20030097584A1 (en) * 2001-11-20 2003-05-22 Nokia Corporation SIP-level confidentiality protection
JP2004032711A (ja) * 2002-05-01 2004-01-29 Nec Corp マルチキャストサービスデータ配信システム及びその方法並びに秘匿キー生成装置及びプログラム
TWI220625B (en) * 2002-05-01 2004-08-21 Nec Corp Service data multicasting system and method therefor and security key generating system
DE50301796D1 (de) * 2002-11-25 2006-01-05 Siemens Ag Verfahren und Anordnung zum verschlüsselten Übertragen von Kommunikationsdatenströmen über ein paketorientiertes Kommunikationsnetz
DE10307403B4 (de) * 2003-02-20 2008-01-24 Siemens Ag Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem
DE10310735A1 (de) * 2003-03-10 2004-10-21 Deutsche Telekom Ag Einrichtung zur kryptographisch gesicherten Übertragung von Daten
US8098818B2 (en) * 2003-07-07 2012-01-17 Qualcomm Incorporated Secure registration for a multicast-broadcast-multimedia system (MBMS)
CN1833459A (zh) * 2003-08-06 2006-09-13 摩托罗拉公司(在特拉华州注册的公司) 用于启动内容提供商认证的方法和装置
CN1592167B (zh) * 2003-08-25 2010-05-12 北京三星通信技术研究有限公司 支持mbms后向兼容性的方法
US7415241B2 (en) * 2004-06-02 2008-08-19 Motorola, Inc. Method and apparatus for regulating a delivery of a broadcast-multicast service in a packet data communication system
JP4597748B2 (ja) * 2005-04-13 2010-12-15 パナソニック株式会社 通信方法、通信装置及び無線通信端末装置
JP4275108B2 (ja) * 2005-06-06 2009-06-10 株式会社日立コミュニケーションテクノロジー 復号鍵配信方法
DE102006046017B4 (de) * 2006-09-28 2010-01-14 Siemens Ag Verfahren zum Bereitstellen eines symmetrischen Schlüssels zum Sichern eines Schlüssel-Management-Protokolls

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1645797A (zh) * 2005-01-28 2005-07-27 南望信息产业集团有限公司 在数字版权管理系统中使用的优化安全数据传输的方法

Also Published As

Publication number Publication date
US20090070586A1 (en) 2009-03-12
CY1117070T1 (el) 2017-04-05
EP1982494A1 (de) 2008-10-22
EP1982494B1 (de) 2015-10-14
JP4856723B2 (ja) 2012-01-18
DE102006006071A1 (de) 2007-08-16
CN101379802A (zh) 2009-03-04
JP2009526454A (ja) 2009-07-16
WO2007090745A1 (de) 2007-08-16

Similar Documents

Publication Publication Date Title
CN101379802B (zh) 在媒体服务器和用户设备之间以加密方式传输媒体数据的方法和装置
US9537837B2 (en) Method for ensuring media stream security in IP multimedia sub-system
CN101102185B (zh) Ims会话的媒体安全
CN101635823B (zh) 一种终端对视频会议数据进行加密的方法及系统
JP4284324B2 (ja) 移動無線システムにおける暗号鍵を形成および配布する方法および移動無線システム
CN101449510B (zh) 加密和解密媒体数据的方法、装置
US8990563B2 (en) Sending protected data in a communication network
CN101227272A (zh) 一种获取媒体流保护密钥的方法和系统
US20150150076A1 (en) Method and device for instructing and implementing communication monitoring
CN106713308B (zh) 媒体流实时传输的方法和装置
CN101222324B (zh) 用于端到端的媒体流安全的实现方法和装置
US11218515B2 (en) Media protection within the core network of an IMS network
CN101247218A (zh) 用于实现媒体流安全的安全参数协商方法和装置
Chiwtanasuntorn et al. Perseus on VoIP: Development and implementation of VoIP platforms
US20240097903A1 (en) Ipcon mcdata session establishment method
CN109120572A (zh) Sip信令解密方法、装置、系统及计算机可读存储介质
EP2104307A1 (en) Secure user-specific information transmission to a personal network server
WO2015100605A1 (zh) Sip消息的编码方法、解码方法及装置
Cennamo et al. Securing Real-time Sessions in an IMS-based Architecture
Cabrera Añon Secure high definition video conferencing

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant