CN101572694B - 媒体流密钥的获取方法、会话设备与密钥管理功能实体 - Google Patents
媒体流密钥的获取方法、会话设备与密钥管理功能实体 Download PDFInfo
- Publication number
- CN101572694B CN101572694B CN200810095617A CN200810095617A CN101572694B CN 101572694 B CN101572694 B CN 101572694B CN 200810095617 A CN200810095617 A CN 200810095617A CN 200810095617 A CN200810095617 A CN 200810095617A CN 101572694 B CN101572694 B CN 101572694B
- Authority
- CN
- China
- Prior art keywords
- key
- media stream
- session
- encrypted
- shared
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 75
- 230000004044 response Effects 0.000 claims description 85
- 230000005540 biological transmission Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 abstract description 27
- 230000000977 initiatory effect Effects 0.000 description 151
- 238000007726 management method Methods 0.000 description 26
- 238000010586 diagram Methods 0.000 description 16
- 230000003993 interaction Effects 0.000 description 14
- 238000012545 processing Methods 0.000 description 11
- 230000007246 mechanism Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例公开了一种媒体流密钥的获取方法、会话设备与密钥管理功能实体,其中,媒体流密钥的获取方法包括:会话设备从KMF实体获取媒体流密钥;所述会话设备将所述媒体流密钥发送给对端会话设备。本发明实施例可以提高会话发起设备与会话接收设备在会话过程中传输的媒体流的安全性。
Description
技术领域
本发明涉及媒体加密技术,尤其是一种在IP多媒体子系统(IPMultimedia Subsystem,以下简称:IMS)网络中媒体流密钥的获取方法、会话设备与密钥管理功能实体。
背景技术
IMS是一种以会话发起协议(Session Initial Protocol,以下简称:SIP)为基础的,固定和移动网络的核心会话控制层。目前,基于运营商实际网络运营的需求,第三代合作伙伴计划(3rd Generation Partnership Project,以下简称:3GPP)关于IMS业务已经在网络框架、服务质量、接口、协议、计费及其与其它网络的互通方面都制订了诸多相关规范。
但是,到目前为止,针对如何保障IMS网络中媒体面的安全问题,尚不存在相关技术。由于无法保障IMS网络中媒体面的安全,用户在使用IMS业务的会话过程中,媒体流可能会被非法获取,从而导致用户会话信息被篡改或窃听,可能造成用户机密信息的泄露,给用户带来损失,或导致用户服务质量的下降。
发明内容
本发明实施例所要解决的技术问题是:在IMS网络中,分发用于对会话发起设备与会话接收设备之间传输的媒体流进行保护的媒体流密钥,提高在会话过程中传输的媒体流的安全性。
根据本发明实施例的一个方面,提供的一种IP多媒体子系统IMS网络中媒体流密钥的获取方法,包括:
会话设备接收密钥管理功能实体发送的以所述会话设备与所述密钥管理功能实体共享的第二共享密钥加密的媒体流密钥;
所述会话设备使用所述第二共享密钥解密以所述第二共享密钥加密的媒体流密钥,获得媒体流密钥;
所述会话设备将所述媒体流密钥发送给对端会话设备;
其中,所述会话设备将所述媒体流密钥发送给对端会话设备包括:所 述会话设备向所述密钥管理功能实体发送媒体流密钥请求消息,该媒体流密钥请求消息中携带有以所述对端会话设备与所述密钥管理功能实体共享的第一共享密钥加密的第一随机数,以及以所述第二共享密钥加密的第二随机数;所述会话设备接收所述密钥管理功能实体返回的应答消息,该应答消息中携带有以所述第一共享密钥加密的媒体流密钥与第一随机数,以及以所述第二共享密钥加密的媒体流密钥与第二随机数;所述会话设备将以所述第一共享密钥加密的媒体流密钥发送给所述对端会话设备;所述对端会话设备使用所述第一共享密钥解密以所述第一共享密钥加密的媒体流密钥,获得所述媒体流密钥;
或者,所述会话设备将所述媒体流密钥发送给对端会话设备包括:所述会话设备接收所述密钥管理功能实体发送的、以所述密钥管理功能实体的本地密钥加密的媒体流密钥,并将以所述密钥管理功能实体的本地密钥加密的媒体流密钥发送给所述对端会话设备;所述对端会话设备通过以所述密钥管理功能实体的本地密钥加密的媒体流密钥从所述密钥管理功能实体获取所述媒体流密钥。
根据本发明实施例的另一个方面,提供的一种会话设备,包括:
获取模块,用于从密钥管理功能实体获取媒体流密钥;所述获取模块包括:第一接收单元、第一发送单元、第一解密单元、第三接收单元、第二发送单元和第三解密单元;所述第一接收单元用于接收所述密钥管理功能实体发送的以所述第二共享密钥加密的媒体流密钥和媒体流密钥请求消息的应答消息,该应答消息中携带有以第一共享密钥加密的媒体流密钥与第一随机数,以及以所述第二共享密钥加密的媒体流密钥与第二随机数;所述第一发送单元用于向所述密钥管理功能实体发送媒体流密钥请求消息,该媒体流密钥请求消息中携带有以对端会话设备与所述密钥管理功能实体共享的第一共享密钥加密的第一随机数,以及以所述第二共享密钥加密的第二随机数,并将以所述第一共享密钥加密的媒体流密钥发送给所述对端会话设备;所述第一解密单元用于使用所述第二共享密钥解密以所述第二共享密钥加密的媒体流密钥;所述第三接收单元用于接收所述密钥管理功能实体发送的以所述第二共享密钥加密的媒体流密钥和使用所述密钥管理功能实体的本地密钥加密的媒体流密钥;所述第二发送单元用于将使用所述密钥管理功能实体的本地密钥加密的媒体流密钥发送给对端会话设备;所述第三解密单元用于使用所述第二共享密钥解密以所述第二共享密钥加密的媒体流密钥;
媒体收发模块,用于接收或发送媒体流;
第一加密模块,用于利用所述获取模块获取到的媒体流密钥保护所述媒体收发模块发送的媒体流。
根据本发明实施例的又一个方面,提供的一种密钥管理功能实体,包 括:
密钥产生模块,用于生成或者获取媒体流密钥;
第二加密模块,用于以会话设备与所述密钥管理功能实体共享的第二共享密钥加密媒体流密钥,以及以所述会话设备的对端会话设备与所述密钥管理功能实体共享的第一共享密钥加密媒体流密钥;
第一发送模块,用于向所述会话设备发送以所述第一共享密钥加密的媒体流密钥,以及以所述第二共享密钥加密的媒体流密钥;还用于向所述会话设备发送以所述密钥管理功能实体的本地密钥加密的媒体流密钥,以及以所述第二共享密钥加密的媒体流密钥;
第三加密模块,用于以所述密钥管理功能实体的本地密钥加密媒体流密钥,以及以所述会话设备的对端会话设备与所述密钥管理功能实体共享的第二共享密钥加密媒体流密钥。
本发明实施例中KMF实体可以生成IMS网络中用于加密会话媒体流的媒体流密钥,会话设备从KMF实体获取到该媒体流密钥后可以将其发送给对端会话设备,使得会话设备与对端会话设备在会话过程中可以使用该媒体流密钥保护传输的媒体流,提高媒体流的安全性,从而可以保障IMS网络中媒体面的安全,有效防止用户在使用IMS业务的会话过程中媒体流会被非法获取、篡改或窃听。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明媒体流密钥的获取方法实施例一的流程图;
图2为本发明媒体流密钥的获取方法实施例二的流程图;
图3为本发明媒体流密钥的获取方法实施例三的流程图;
图4为本发明媒体流密钥的获取方法实施例四的流程图;
图5为本发明媒体流密钥的获取方法实施例五的流程图;
图6为本发明媒体流密钥的获取方法实施例六的流程图;
图7为本发明媒体流密钥的获取方法实施例七的流程图;
图8为本发明媒体流密钥的获取方法实施例八的流程图;
图9为本发明媒体流密钥的获取方法实施例九的流程图;
图10为本发明会话设备实施例一的结构示意图;
图11为本发明会话设备实施例二的结构示意图;
图12为本发明会话设备实施例三的结构示意图;
图13为本发明会话设备实施例四的结构示意图;
图14为本发明会话设备实施例五的结构示意图;
图15为本发明KMF实体实施例一的结构示意图;
图16为本发明KMF实体实施例二的结构示意图;
图17为本发明KMF实体实施例三的结构示意图。
具体实施方式
本发明实施例提供的媒体流密钥的获取方法,可应用于IMS网络中。如图1所示,为本发明媒体流密钥的获取方法实施例一的流程图,其包括以下步骤:
步骤101,会话设备从密钥管理功能(Key Management Function,以下简称:KMF)实体获取媒体流密钥K。
步骤103,会话设备将从KMF获取的媒体流密钥K发送给对端会话设备。
会话设备从KMF实体获取到媒体流密钥K并将其发送给对端会话设备后,会话设备与对端会话设备可以在后续会话过程中以媒体流密钥保护会话过程中传输的媒体流,例如:对媒体流进行加密,这样,就可以提高会话过程中传输的媒体流的安全性。
具体地,图1所示实施例中的会话设备可以是会话发起设备,也可以是会话接收设备,会话设备具体可以为用户的终端、应用服务器或者媒体网关等设备。以下实施例中,以会话接收设备作为会话设备、以会话发起设备作为对端会话设备为例,进行说明。
如图2所示,为本发明媒体流密钥的获取方法实施例二的流程图,其包括以下步骤:
步骤201,会话发起设备向IMS网络实体发送业务请求消息,例如:邀请(INVITE)消息,该业务请求消息中携带有会话发起设备用户标识ID-A、会话接收设备用户标识ID-B、索引标识I,以及使用会话发起设备与KMF实体之间的第一共享密钥Kat对上述参数ID-A、ID-B、I以及第一随机数Ra加密后生成的加密参数E-Kat[ID-A,ID-B,I,Ra]。
其中,索引标识I为用于标识本次会话中媒体流密钥的下发,由会话发起设备生成;第一随机数Ra用于保证媒体流密钥的新鲜性,防止对媒体流密钥下发消息进行重放攻击,也由会话发起设备生成。作为本发明的一个实施例,索引标识I可以与第一随机数Ra相同。
若会话发起设备向IMS网络实体发送业务请求消息时,该会话发起设备与KMF实体之间尚不具有第一共享密钥Kat,则在发起业务请求消息之前, 会话发起设备先与KMF实体生成共享密钥,具体地,可通过在该步骤201之前,执行下述步骤200实现:
步骤200,会话发起设备与KMF实体生成第一共享密钥Kat。具体地,会话发起设备与KMF实体可以通过运行通用引导架构(Generic Bootstrapping Architecture,以下简称:GBA)来生成第一共享密钥Kat。
步骤203,IMS网络实体将所述业务请求消息发送给会话接收设备。
步骤205,会话接收设备向KMF实体发送媒体流密钥请求消息,该媒体流密钥请求消息中携带业务请求消息中携带的加密参数E-Kat[ID-A,ID-B,I,Ra],以及使用会话接收设备与KMF实体之间的第二共享密钥Kbt对上述参数ID-A、ID-B、I以及第二随机数Rb加密后生成的加密参数E-Kbt[ID-A,ID-B,I,Rb]。
其中,第二随机数Rb用于保证媒体流密钥的新鲜性,防止对媒体流密钥下发消息进行重放攻击,由会话接收设备生成。若会话接收设备向KMF实体发送媒体流密钥请求消息时,该会话接收设备与KMF实体之间尚不具有第二共享密钥Kbt,则在发起媒体流密钥请求消息之前,会话接收设备先与KMF实体协商生成第二共享密钥Kbt,具体地,可通过在步骤203与步骤205之间执行下述步骤204实现:
步骤204,会话接收设备与KMF实体生成第二共享密钥Kbt。具体地,会话接收设备与KMF实体可以通过运行GBA来生成第二共享密钥Kbt。
步骤207,KMF实体从媒体流密钥请求消息中获取加密参数E-Kat[ID-A,ID-B,I,Ra]与E-Kbt[ID-A,ID-B,I,Rb],利用Kat与Kbt分别解密E-Kat[ID-A,ID-B,I,Ra]与E-Kbt[ID-A,ID-B,I,Rb],并验证从E-Kat[ID-A,ID-B,I,Ra]与E-Kbt[ID-A,ID-B,I,Rb]解密获得的ID-A、ID-B、I是否分别相同,若都相同,执行步骤209;否则,不再执行后续流程。
通过验证ID-A、ID-B是否分别相同,可以确保本次会话方的正确,避免会话信息被其它通信设备用户窃取;而通过验证I是否分别相同,可以保障KMF实体确认收到的使用第一共享密钥Kat和第二共享密钥Kbt加密的加密参数是关联的。
步骤209,KMF实体生成媒体流密钥K,并向会话接收设备发送应答消息,该应答消息中携带有使用第一共享密钥Kat加密媒体流密钥K与Ra后得到的加密参数E-Kat[K,Ra],以及使用第二共享密钥Kbt加密K与Rb后得到的加密参数E-Kbt[K,Rb]。
步骤211,会话接收设备从KMF实体发送的应答消息中获取E-Kbt[K,Rb],并使用Kbt解密E-Kbt[K,Rb],验证解密后获得的Rb与发送给KMF实体的Rb是否相同,若相同,执行步骤213;否则,可以不再执行后续流程。
通过验证解密后获得的随机数Rb是否与发送给KMF实体的Rb相同,可以防止媒体流密钥应答消息的重放,保证密钥的新鲜性。
步骤213,会话接收设备向IMS网络实体发送会话响应消息,其中携带有KMF实体通过应答消息发送的E-Kat[K,Ra]。
步骤215,IMS网络实体将响应消息发送给会话发起设备。
步骤217,会话发起设备从响应消息中获取E-Kat[K,Ra],并使用Kat解密E-Kat[K,Ra],验证解密后获得的Ra与发送给IMS网络实体的Ra是否相同,若相同,执行步骤219;否则,可以不再执行后续流程。
通过验证解密后获得的Ra是否与发送给IMS网络实体的Ra匹配,可以保证密钥的新鲜性,防止重放攻击。
步骤219,会话发起设备与会话接收设备使用解密后获得的媒体流密钥K,或者媒体流密钥K的衍生密钥加密传输的媒体流,来加密媒体流,提高会话过程中传输的媒体流的安全性。
在图2所示的上述实施例中,若KMF实体与会话接收设备之间具有消息重放防止功能,例如:使用传输层安全(Transport Layer Security,以下简称:TLS)协议来加密传输信息,则E-Kbt[ID-A,ID-B,I,Rb]可以通过TLS的加密来实现,而不是一定要以独立的加密参数来实现的。步骤205中,会话接收设备可以不采用第二随机数Rb,后续流程中对Rb的相关处理也可以省略。同样,若KMF实体与会话发起设备之间具有消息重放防止功能,则步骤201中,会话发起设备可以不采用第一随机数Ra,后续流程中对Ra的相关处理也可以省略。
另外,在图2所示的上述实施例中,若会话发起设备与会话接收设备对应的是不同的KMF实体,则图2所述的实施例中的KMF实体通过分别对应于会话发起设备的第一KMF实体与对应于会话接收设备的第二KMF实体实现,会话发起设备与会话接收设备分别与对应的KMF实体进行信息交互。如图3所示,为这种情况下,作为发明媒体流密钥的获取方法实施例三的流程图。
具体地,步骤200中,会话发起设备与第一KMF实体协商生成第一共享密钥Kat;步骤204中,会话接收设备与第二KMF实体协商生成第二共享密钥Kbt;步骤207和步骤209具体为:
步骤2070,第一KMF实体与第二KMF实体进行交互,检查从E-Kat[ID-A,ID-B,I,Ra]和E-Kbt[ID-A,ID-B,I,Rb]解密获得的ID-A、ID-B、I是否分别相同,若分别相同,执行步骤2090;否则,可以不再执行后续流程;
步骤2090,第一KMF实体与第二KMF实体进行交互,使得第二KMF实体获得使用Kat加密K与Ra得到的加密参数E-Kat[K,Ra],以及获得使用Kbt加密K与Rb得到的加密参数E-Kbt[K,Rb];第二KMF实体向会话接收设备发送应答消息,其中携带E-Kat[K,Ra]与E-Kbt[K,Rb]。例如:
步骤2070具体可以包括:
第二KMF实体从会话接收设备发送的媒体流密钥请求消息中获取加密参数E-Kat[ID-A,ID-B,I,Ra]与E-Kbt[ID-A,ID-B,I,Rb],将加密参数E-Kat[ID-A,ID-B,I,Ra]发送给第一KMF实体;
第一KMF实体利用Kat解密E-Kat[ID-A,ID-B,I,Ra],获得ID-A、ID-B、I;同时,第二KMF实体利用Kbt解密E-Kbt[ID-A,ID-B,I,Rb],获得ID-A、ID-B、I;
第一KMF实体与第二KMF实体进行信息交互,比较从E-Kat[ID-A,ID-B,I,Ra]与E-Kbt[ID-A,ID-B,I,Rb]解密获得的ID-A、ID-B、I是否分别相同,若都相同,执行步骤2090;否则,可以不再执行后续流程。
步骤2090具体可以包括:
第一KMF实体与第二KMF实体交互生成媒体流密钥K;
第一KMF实体使用第一共享密钥Kat加密媒体流密钥K与Ra后得到加密参数E-Kat[K,Ra],并发送给第二KMF实体;
第二KMF实体使用第二共享密钥Kbt加密K与Rb后得到加密参数E-Kbt[K,Rb],并向会话接收设备发送应答消息,该应答消息中携带有E-Kat[K,Ra]与E-Kbt[K,Rb]。
另外,在上述实施例的步骤201中,也可以不采用索引标识1,相应的,后续流程中不对该索引标识I进行相关处理。如果对会话双方的身份不做要求或者有其它的机制保证,则步骤201和205中的身份标识ID-A和ID-B也可以不使用,对应的处理也可以省略。
如图4所示,为本发明媒体流密钥的获取方法实施例四的流程图,其包括以下步骤:
步骤301,会话发起设备向IMS网络实体发送业务请求消息,例如:INVITE消息,该业务请求消息中携带有会话发起设备用户标识ID-A与会话接收设备用户标识ID-B。
步骤303,IMS网络实体将所述业务请求消息发送给会话接收设备。
步骤305,会话接收设备向KMF实体发送媒体流密钥请求消息,该媒体流密钥请求消息中携带有会话发起设备用户标识ID-A与会话接收设备用户标识ID-B。
在该步骤中,会话接收设备可以先使用该会话接收设备与KMF实体之间的第二共享密钥Kbt对会话发起设备用户标识ID-A与会话接收设备用户标识ID-B进行加密,以保护传送的ID-A与ID-B,然后将加密后生成的加密参数E-Kbt[ID-A,ID-B]携带在媒体流密钥请求消息中发送给KMF实体;相应的,KMF实体接收到媒体流密钥请求消息后,利用第二共享密钥Kbt对媒体流密钥请求消息中的E-Kbt[ID-A,ID-B]进行解密,得到会话发起设备用户标识ID-A与会话接收设备用户标识ID-B。
若会话接收设备与KMF实体之间尚不存在第二共享密钥Kbt,则二者先协商生成第二共享密钥Kbt。具体地,会话接收设备与KMF实体可以通过运行GBA来生成第二共享密钥Kbt。
如果会话接收设备与KMF之间使用安全传输协议进行加密消息,例如:使用传输层安全(Transport Layer Security,以下简称:TLS)协议进行信息交互,则不需要对ID-A与ID-B进行加密。
步骤307,KMF实体生成媒体流密钥K,并向会话接收设备发送应答消息,该应答消息中携带有使用Kbt加密媒体流密钥K后得到的加密参数E-Kbt[K],以及使用KMF实体的本地密钥Kt加密媒体流密钥K与会话发起设备用户标识ID-A后得到的加密参数E-Kt[K,ID-A]。
步骤309,会话接收设备使用Kbt解密从应答消息中获取的加密参数E-Kbt[K],获得媒体流密钥K,并向IMS网络实体发送响应消息,其中携带有从KMF实体发送的应答消息中获取的加密参数E-Kt[K,ID-A]。
步骤311,IMS网络实体将响应消息转发给会话发起设备。
步骤313,会话发起设备从IMS网络实体发送的响应消息中获取E-Kt[K,ID-A],并向KMF实体发送媒体流密钥请求消息,其中携带有该会话发起设备用户标识ID-A与E-Kt[K,ID-A]。
在该步骤中,会话发起设备可以先使用会话发起设备与KMF实体之间的第一共享密钥Kat对会话发起设备用户标识ID-A进行加密,以保护传送的ID-A,然后将加密后生成的加密参数E-Kat[ID-A]携带在媒体流密钥请求消息中发送给KMF实体;相应的,KMF实体接收到媒体流密钥请求消息后,从中获取E-Kat[ID-A],并使用第一共享密钥Kat对E-Kat[ID-A]进行解密,得到会话发起设备用户标识ID-A。
如果会话发起设备与KMF之间使用安全传输协议,例如:TLS协议,进行信息交互,则不需要对会话发起用户标识ID-A进行加密。
步骤315,KMF实体从会话发起设备发送的媒体流密钥请求消息中获取E-Kt[K,ID-A]和会话发起设备用户标识ID-A,并使用Kt解密E-Kt[K,ID-A],获得媒体流密钥K与会话发起设备用户标识ID-A,并验证解密获得的ID-A与从媒体流密钥请求消息中直接获得的会话发起设备用户标识ID-A是否相同,若都相同,执行步骤317;否则,可以不再执行后续流程。
步骤317,KMF实体使用第一共享密钥Kat对媒体流密钥K进行加密,得到加密参数E-Kat[K],并将E-Kat[K]发送给会话发起设备。
步骤319,会话发起设备使用Kat解密E-Kat[K],获得媒体流密钥K,并与会话接收设备继续后续会话流程。会话发起设备与会话接收设备协商使用媒体流密钥K来加密媒体流,保护传输的媒体流,提高会话过程中传输的媒体流的安全性。或者,会话发起设备与会话接收设备以媒体流密钥K的衍生密钥加密媒体流,例如:通过媒体流密钥K作为衍生函数生成衍生密钥,来保护传输的媒体流,提高会话过程中传输的媒体流的安全性。
步骤305中的ID-A也可以不发送,这样步骤307、309、311与313中的加密参数变为E-Kt[K],对ID-A的相应处理也不需要。如果对会话双方的身份不做要求或者有其它的机制保证,则步骤301、303、305、307、309、311313与315中的身份标识ID-A和ID-B也可以不使用,对应的处理也可以省略。
如图5示,为本发明媒体流密钥的获取方法实施例五的流程图,其包括以下步骤:
步骤401,会话发起设备向IMS网络实体发送业务请求消息,例如:INVITE消息,该业务请求消息中携带有会话发起设备用户标识ID-A与会话接收设备用户标识ID-B。
步骤403,IMS网络实体将所述业务请求消息发送给会话接收设备。
步骤405,会话接收设备向KMF实体发送媒体流密钥请求消息,该媒体流密钥请求消息中携带有会话接收设备用户标识ID-B与第二随机数Rb。
在该步骤405中,会话接收设备可以先使用该会话接收设备与KMF实体之间的第二共享密钥Kbt对会话接收设备用户标识ID-B与第二随机数Rb进行加密,以保护传送的ID-B与Rb,然后将加密后生成的加密参数E-Kbt[ID-B,Rb]携带在媒体流密钥请求消息中发送给KMF实体;相应的,KMF实体接收到媒体流密钥请求消息后,从中获取E-Kbt[ID-B,Rb],并利用第二共享密钥Kbt对E-Kbt[ID-B,Rb]进行解密,得到会话接收设备用户标识ID-B与第二随机数Rb。
若会话接收设备与KMF实体之间尚不存在第二共享密钥Kbt,则二者先协商生成第二共享密钥Kbt。具体地,会话接收设备与KMF实体可以通过运行GBA来生成第二共享密钥Kbt。
如果会话接收设备与KMF之间使用安全传输协议进行信息交互,则不需要对ID-B与随机数Rb进行加密。
步骤407,KMF实体生成媒体流密钥K,并向会话接收设备发送应答消息,该应答消息中携带有使用Kbt加密媒体流密钥K与第二随机数Rb后得到的加密参数E-Kbt[K,Rb],以及使用KMF实体的本地密钥Kt加密媒体流密钥K得到的加密参数E-Kt[K]。
步骤409,会话接收设备使用Kbt解密应答消息中携带的E-Kbt[K,Rb],获得媒体流密钥K与第二随机数Rb,并比较解密后获得的Rb与向KMF实体发送的第二随机数Rb是否匹配,若匹配,执行步骤411;否则,可以不再执行后续流程。
步骤411,会话接收设备向IMS网络实体发送响应消息,其中携带有从KMF实体发送的应答消息中获取的加密参数E-Kt[K]。
步骤413,IMS网络实体将响应消息发送给会话发起设备。
步骤415,会话发起设备从IMS网络实体发送的响应消息中获取E-Kt[K],并向KMF实体发送媒体流密钥请求消息,其中携带有该会话发起设备用户标识ID-A、E-Kt[K]与第一随机数Ra。
在该415步骤中,会话发起设备可以先使用会话发起设备与KMF实体之间的第一共享密钥Kat对会话发起设备用户标识ID-A与第一随机数Ra进行加密,以保护传送的ID-A与Ra,然后将加密后生成的加密参数E-Kat[ID-A,Ra]携带在媒体流密钥请求消息中发送给KMF实体;相应的,KMF实体接收到媒体流密钥请求消息后,从中获取E-Kat[ID-A,Ra],并利用第一共享密钥Kat对E-Kat[ID-A,Ra]进行解密,得到会话发起设备用户标识ID-A与第一随机数Ra。
如果会话发起设备与KMF之间使用安全传输协议进行信息交互,则不需要对会话发起设备用户标识ID-A与第一随机数Ra进行加密。
步骤417,KMF实体从会话发起设备发送的媒体流密钥请求消息中获取E-Kt[K]、会话发起设备用户标识ID-A与第一随机数Ra,并使用Kt解密E-Kt[K],获得媒体流密钥K。
步骤419,KMF实体使用第一共享密钥Kat对媒体流密钥K与第一随机数Ra进行加密,得到加密参数E-Kat[K,Ra],并将E-Kat[K,Ra]发送给会话发起设备。
步骤421,会话发起设备使用Kat解密KMF实体发送的E-Kat[K,Ra],获得媒体流密钥K与随机数Ra,并验证解密后获得的Ra与向KMF实体发送的随机数Ra是否匹配,若匹配,执行步骤423;否则,可以不再执行后续流程。
步骤423,会话发起设备与会话接收设备继续后续会话流程,在会话过程中,会话发起设备与会话接收设备可以使用媒体流密钥K来加密媒体流,保护传输的媒体流,提高会话过程中传输的媒体流的安全性。或者,会话发起设备也可以与会话接收设备以媒体流密钥K的衍生密钥,例如:通过媒体流密钥K作为密钥衍生函数生成的衍生密钥,来加密媒体流,保扩传输的媒体流,提高会话过程中传输的媒体流的安全性。
与图4所示的实施例相比,图5所示的实施例中使用了随机数Ra与Rb,只有在随机数Ra与Rb验证通过的情况下才好进行后续流程,可以有效防止媒体流密钥消息的重放攻击,保证媒体流密钥的新鲜性。
另外,在图5所示的实施例的步骤407中,KMF实体向会话接收设备发送应答消息时,可以在应答消息中携带有使用Kbt加密媒体流密钥K与会话发起设备用户标识ID-A后得到的加密参数E-Kbt[K,ID-A],以及使用KMF实体的本地密钥Kt加密媒体流密钥K与会话发起设备用户标识ID-A后得到的加密参数E-Kt[K,ID-A]。相应的,步骤409中,会话接收设备使用Kbt解 密从应答消息中获取的加密参数E-Kbt[K,ID-A],获得媒体流密钥K与会话发起设备用户标识ID-A,并验证解密获得的会话发起设备用户标识ID-A与IMS网络实体发送的业务请求消息中携带的ID-A是否相同,若不相同,则可以不再执行后续流程,若相同,则向IMS网络实体发送响应消息,其中携带有从KMF实体发送的应答消息中获取的加密参数E-Kt[K,ID-A]。步骤415中,会话发起设备向KMF实体发送的媒体流密钥请求消息中还可以携带会话接收设备用户标识ID-B。步骤419中,KMF实体使用第一共享密钥Kat对媒体流密钥K与会话接收设备用户标识ID-B进行加密,得到加密参数E-Kat[K,ID-B],并将E-Kat[K,ID-B]发送给会话发起设备。步骤421中,会话发起设备使用Kat解密E-Kat[K,ID-B],并验证解密获得的会话接收设备用户标识ID-B与步骤401中发送的业务请求消息中携带的会话接收设备用户标识ID-B是否相同,若不相同,可以不再执行后续流程;若相同,则与会话接收设备继续后续会话流程,在会话过程中,会话发起设备与会话接收设备使用媒体流密钥K或其衍生密钥来保护传输的媒体流,提高会话过程中传输的媒体流的安全性。
如果对会话双方的身份不做要求或者有其它的机制保证,则步骤401、403、405、415与417中的身份标识ID-A和ID-B也可以不使用,对应的处理也可以省略。
另外,在上述实施例中,KMF实体生成媒体流密钥K时,还可以生成媒体流密钥K的有效期参数LT信息,在后续流程中,对媒体流密钥K进行处理时,对有效期参数LT进行相应处理。如图6所示,为本发明媒体流密钥的获取方法实施例六的流程图,其包括以下步骤:
步骤501,会话发起设备向IMS网络实体发送业务请求消息,该业务请求消息中携带有会话发起设备用户标识ID-A与会话接收设备用户标识ID-B。
步骤503,IMS网络实体将所述业务请求消息发送给会话接收设备。
步骤505,会话接收设备向KMF实体发送媒体流密钥请求消息,该媒体 流密钥请求消息中携带有会话发起设备用户标识ID-A与会话接收设备用户标识ID-B。
在该步骤中,会话接收设备可以先使用该会话接收设备与KMF实体之间的第二共享密钥Kbt对会话发起设备用户标识ID-A、会话接收设备用户标识ID-B进行加密,以保护传送的ID-A与ID-B,然后将加密后生成的加密参数E-Kbt[ID-A,ID-B]携带在媒体流密钥请求消息中发送给KMF实体;相应的,KMF实体接收到媒体流密钥请求消息后,从中获取E-Kbt[ID-A,ID-B],并利用第二共享密钥Kbt对E-Kbt[ID-A,ID-B]进行解密,得到会话发起设备用户标识ID-A与会话接收设备用户标识ID-B。
若会话接收设备与KMF实体之间尚不存在第二共享密钥Kbt,则二者先协商生成第二共享密钥Kbt。具体地,会话接收设备与KMF实体可以通过运行GBA来生成第二共享密钥Kbt。
如果会话接收设备与KMF之间使用安全传输协议进行信息交互,则不需要对ID-A与ID-B进行加密。
步骤507,KMF实体生成媒体流密钥K及其有效期参数LT,并向会话接收设备发送应答消息,该应答消息中携带有使用Kbt加密媒体流密钥K、有效期参数LT后得到的加密参数E-Kbt[K,LT],以及使用KMF实体的本地密钥Kt加密媒体流密钥K、有效期参数LT与会话发起设备用户标识ID-A后得到的加密参数E-Kt[K,ID-A,LT]。
其中媒体流密钥K的有效期参数LT可以包括时间戳与相对于该时间戳的有效时间,在相对于时间戳的有效时间范围内,媒体流密钥K有效。
步骤509,会话接收设备使用Kbt解密应答消息中携带的E-Kbt[K,LT],获得加密媒体流密钥K、有效期参数LT。
步骤511,会话接收设备向IMS网络实体发送响应消息,其中携带有从KMF实体发送的应答消息中获取的加密参数E-Kt[K,ID-A,LT]。
步骤513,IMS网络实体将响应消息转发给会话发起设备。
步骤515,会话发起设备从IMS网络实体发送的响应消息中获取E-Kt[K,ID-A,LT],并向KMF实体发送媒体流密钥请求消息,其中携带有该会话发起设备用户标识ID-A与E-Kt[K,ID-A,LT]。
在该步骤中,会话发起设备可以先使用会话发起设备与KMF实体之间的第一共享密钥Kat对会话发起设备用户标识ID-A进行加密,以保护传送的ID-A,然后将加密后生成的加密参数E-Kat[ID-A]携带在媒体流密钥请求消息中发送给KMF实体;相应的,KMF实体接收到媒体流密钥请求消息后,从中获取E-Kat[ID-A],并利用第一共享密钥Kat对E-Kat[ID-A]进行解密,得到会话发起用户标识ID-A。
如果会话发起设备与KMF之间使用安全传输协议进行信息交互,则不需要对会话发起设备用户标识ID-A进行加密。
步骤517,KMF实体从会话发起设备发送的媒体流密钥请求消息中获取E-Kt[K,ID-A,LT]、会话发起设备用户标识ID-A,并使用Kt解密E-Kt[K,ID-A,LT],获得媒体流密钥K、会话发起设备用户标识ID-A与有效期参数LT,并验证解密获得的ID-A与从媒体流密钥请求消息中直接获得的会话发起设备用户标识ID-A是否相同,若都相同,执行步骤519;否则,可以不再执行后续流程。
步骤519,KMF实体使用第一共享密钥Kat对媒体流密钥K、有效期参数LT进行加密,得到加密参数E-Kat[K,LT],并将E-Kat[K,LT]发送给会话发起设备。
步骤521,会话发起设备使用Kat解密KMF实体发送的E-Kat[K,LT],获得媒体流密钥K、有效期参数LT。
步骤523,会话发起设备与会话接收设备继续后续会话流程,会话发起设备与会话接收设备根据媒体流密钥K的有效期参数LT,在媒体流密钥K的有效时间范围内,协商使用媒体流密钥K或其衍生密钥来保护传输的媒体流,提高会话过程中传输的媒体流的安全性。
在媒体流传输过程中,会话发起设备根据有效期参数LT来监控媒体流密钥K的有效性,在媒体流密钥K失效时,可以重新向KMF实体请求媒体流密钥。
另外,步骤507中也可以仅使用KMF实体的本地密钥Kt对媒体流密钥K与有效期参数LT进行加密,而不对ID-A进行加密,即:步骤507、511、513与515中的原加密参数由E-Kt[K,ID-A,LT]变为E-Kt[K,LT],后续也不需要对以本地密钥Kt加密的ID-A进行相应处理。
如果对会话双方的身份不做要求或者有其它的机制保证,则步骤501、503、505、507、511、513、515与517中的身份标识ID-A和ID-B也可以不使用,对应的处理也可以省略。
如果对有效期参数LT没有机密性保护的要求,则步骤507、511、513、515和519中的LT也可以是不加密的。
图6所示的实施例中,引入了媒体流密钥K的有效期信息,会话发起设备与会话接收设备只在该有效期范围内使用媒体流密钥K或其衍生密钥来加密传输的媒体流,进一步提高了媒体流的安全性。
另外,步骤511中,会话接收设备还可以在向IMS网络实体发送响应消息中携带认证信息,其包括使用媒体流密钥K加密的会话接收设备用户标识ID-B,还可以包括使用媒体流密钥K加密的时间戳和/或随机数Rb,获得加密参数E-K[ID-B,时间戳和/或Rb]。相应的,步骤521中,会话发起设备使用Kat解密KMF实体发送的E-Kat[K,LT],获得媒体流密钥K后,可以用媒体流密钥K加密时间戳和/或Rb,并发送给会话接收设备,由会话接收设备利用K进行解密获得时间戳和/或Rb,并验证解密获得的时间戳和/或Rb与本地的时间戳和/或Rb是否分别相同,对会话发起设备进行认证,在解密获得的时间戳和/或Rb与本地的时间戳和/或Rb分别相同的情况下,才执行后续会话流程。
图7所示为发明媒体流密钥的获取方法实施例七的流程图。与图3所示 的实施例相似,图4至图6所示的实施例中,会话发起设备与会话接收设备也可以对应不同的KMF实体,此时,上述实施例中的KMF实体通过分别对应于会话发起设备的第一KMF实体与对应于会话接收设备的第二KMF实体实现。会话发起设备与会话接收设备分别与对应的KMF实体进行信息交互。
以图7所示的实施例为例,步骤307具体为:
步骤3070,第一KMF实体与第二KMF实体进行交互,使得第二KMF实体获得使用第一KMF实体的本地密钥Kt加密K得到的加密参数E-Kt[K]与使用第二共享密钥Kbt加密K得到的加密参数E-Kbt[K];
步骤3071,第二KMF实体向会话接收设备发送应答消息,其中携带E-Kt[K]与E-Kbt[K]。
例如:步骤3070具体可以包括:第一KMF实体与第二KMF实体交互生成媒体流密钥K;第一KMF实体使用该第一KMF实体的本地密钥Kt加密媒体流密钥K得到加密参数E-Kt[K],并将E-Kt[K]发送给第二KMF实体;第二KMF实体使用Kbt加密媒体流密钥K后得到加密参数E-Kbt[K]。
如图8所示,为本发明媒体流密钥的获取方法实施例八的流程图,其包括以下步骤:
步骤601,会话发起设备向IMS网络实体发送业务请求消息,例如:INVITE消息,该业务请求消息中携带有会话发起设备用户标识ID-A与会话接收设备用户标识ID-B。
步骤603,IMS网络实体将所述业务请求消息转发给KMF实体。
步骤605,KMF实体生成媒体流密钥K,并使用该KMF实体的本地密钥Kt加密媒体流密钥K,并将加密获得的加密参数E-Kt[K]添加到所述业务请求消息中,并将添加E-Kt[K]的业务请求消息返回给IMS网络实体。
步骤607,IMS网络实体将携带加密参数E-Kt[K]的业务请求消息转发给会话接收设备。
步骤609,会话接收设备向KMF实体发送媒体流密钥请求消息,该媒体 流密钥请求消息中携带有会话接收用户标识ID-B与加密参数E-Kt[K]。
在该步骤中,会话接收设备可以先使用与KMF实体之间的第二共享密钥Kbt对会话接收设备用户标识ID-B进行加密,以保护传送的ID-B,然后将加密后生成的加密参数E-Kbt[ID-B]携带在媒体流密钥请求消息中发送给KMF实体;相应的,KMF实体接收到媒体流密钥请求消息后,从中获取E-Kbt[ID-B],并利用第二共享密钥Kbt对E-Kbt[ID-B]进行解密,得到会话接收设备用户标识ID-B。
若会话接收设备与KMF实体之间尚不存在第二共享密钥Kbt,则二者先协商生成第二共享密钥Kbt。具体地,会话接收设备与KMF实体可以通过运行GBA来生成第二共享密钥Kbt。
如果会话接收设备与KMF之间使用安全传输协议进行信息交互,则不需要对ID-B进行加密。
步骤611,KMF实体从媒体流密钥请求消息中获取加密参数E-Kt[K],并使用本地密钥Kt解密加密参数E-Kt[K],获得媒体流密钥K,并使用KMF实体与会话接收设备之间的第二共享密钥Kbt加密媒体流密钥K后得到的加密参数E-Kbt[K],然后向会话接收设备返回应答消息,该应答消息中携带E-Kbt[K]。
步骤613,会话接收设备使用Kbt解密从应答消息中获取的加密参数E-Kbt[K],获得媒体流密钥K,并向IMS网络实体发送响应消息。
步骤615,IMS网络实体将响应消息转发给KMF实体。
步骤617,KMF实体将加密参数E-Kt[K]添加到响应消息中,并将携带加密参数E-Kt[K]的响应消息发送给IMS网络实体。
步骤619,IMS网络实体将携带加密参数E-Kt[K]的响应消息转发给会话发起设备。
步骤621,会话发起设备向KMF实体发送媒体流密钥请求消息,该媒体流密钥请求消息中携带有会话发起设备用户标识ID-A和加密参数E-Kt[K]。
在该步骤中,会话发起设备可以先使用与KMF实体之间的第一共享密钥Kat对会话发起设备用户标识ID-A进行加密,以保护传送的ID-A,然后将加密后生成的加密参数E-Kat[ID-A]携带在媒体流密钥请求消息中发送给KMF实体;相应的,KMF实体接收到媒体流密钥请求消息后,从中获取E-Kat[ID-A],并利用第一共享密钥Kat对E-Kat[ID-A]进行解密,得到会话发起设备用户标识ID-A。
若会话发起设备与KMF实体之间尚不存在第一共享密钥Kat,则二者先协商生成第一共享密钥Kat。具体地,会话发起设备与KMF实体可以通过运行GBA来生成第一共享密钥Kat。
如果会话发起设备与KMF之间使用安全传输协议进行信息交互,则不需要对ID-A进行加密。
步骤623,KMF实体从会话发起设备发送的媒体流密钥请求消息中获取E-Kt[K],并使用Kt解密E-Kt[K],获得媒体流密钥K,并使用第一共享密钥Kat对媒体流密钥K进行加密,将加密获得的E-Kat[K]发送给会话发起设备。
步骤625,会话发起设备使用Kat解密E-Kat[K],获得媒体流密钥K,并与会话接收设备继续后续会话流程,在会话过程中,会话发起设备与会话接收设备可以使用媒体流密钥K来加密媒体流,保护传输的媒体流,提高会话过程中传输的媒体流的安全性。或者,会话发起设备也可以与会话接收设备以媒体流密钥K作为加密媒体流的主密钥,以媒体流密钥K的衍生密钥,例如:通过媒体流密钥K的函数生成的衍生密钥,来加密媒体流,保护传输的媒体流,提高会话过程中传输的媒体流的安全性。
在图8所示上述实施例的步骤605中,KMF实体可以生成票据信息Ticket,将加密获得的加密参数E-Kt[K]写入票据信息Ticket中,然后再将票据信息Ticket添加到所述业务请求消息中返回给IMS网络实体。相应的,在该实施例的各步骤中,可以通过票据信息Ticket来携带加密参数E-Kt[K]进行传输。
进一步地,在票据信息Ticket中,除了携带利用Kt加密的媒体流密钥K以外,还可以进一步携带利用Kt加密的会话发起设备用户标识ID-A和/或会话接收设备用户标识ID-B,即:在票据信息Ticket中携带E-Kt[K,ID-A和/或ID-B],在后续流程中,根据加密获得的ID-A和/或ID-B相应对会话发起设备用户和/或会话接收设备用户进行身份认证,只有在通过相应的身份认证后,才能进行后续流程,具体操作可参考上述各实施例,在此不再赘述。
此外,除了都包含利用Kt加密的媒体流密钥K以外,KMF实体通过相应步骤发送给会话发起设备与会话接收设备的票据信息Ticket中所包含的其它内容可以不相同,例如:KMF实体通过相应步骤发送给会话发起设备的票据信息Ticket中包含E-Kt[K,ID-A,Ra],Ra为用于保证密钥新鲜性的随机数,通过相应步骤发送给会话接收设备的票据信息Ticket中包含E-Kt[K,ID-B],只需要在后续步骤中进行相应处理即可。
如果对会话双方的身份不做要求或者有其它的机制保证,则步骤601、603、609与621中的身份标识ID-A和ID-B也可以不使用,对应的处理也可以省略。
图8所示的实施例中,会话发起设备与会话接收设备也可以对应不同的KMF实体,此时,上述实施例中的KMF实体通过分别对应于会话发起设备的第一KMF实体与对应于会话接收设备的第二KMF实体实现,会话发起设备与会话接收设备分别与对应的KMF实体进行信息交互。如图9所示,为这种情况下,作为发明媒体流密钥的获取方法实施例九的流程图,其包括以下步骤:
步骤701,会话发起设备向IMS网络实体发送业务请求消息,例如:INVITE消息,该业务请求消息中携带有会话发起设备用户标识ID-A与会话接收设备用户标识ID-B。
步骤703,IMS网络实体将所述业务请求消息转发给第一KMF实体。
步骤705,第一KMF实体将业务请求消息发送给IMS网络实体。
其中,步骤703与步骤705可选。
步骤707,IMS网络实体将所述业务请求消息转发给第二KMF实体。
步骤709,第二KMF实体与第一KMF实体交互生成媒体流密钥K。
步骤711,第二KMF实体使用其本地密钥Kt2加密媒体流密钥K,并将加密获得的加密参数E-Kt2[K]添加到业务请求消息中,并将携带E-Kt2[K]的业务请求消息发送给IMS网络实体。
步骤713,IMS网络实体将携带E-Kt2[K]的业务请求消息转发给会话接收设备。
步骤715,会话接收设备向第二KMF实体发送媒体流密钥请求消息,该媒体流密钥请求消息中携带有会话接收设备用户标识ID-B与E-Kt2[K]。
在该步骤715中,会话接收设备可以先使用该会话接收设备与第二KMF实体之间的第二共享密钥Kbt对会话接收设备用户标识ID-B进行加密,以保护传送的ID-B,然后将加密后生成的加密参数E-Kbt[ID-B]携带在媒体流密钥请求消息中发送给第二KMF实体;相应的,第二KMF实体接收到媒体流密钥请求消息后,从中获取E-Kbt[ID-B],并利用第二共享密钥Kbt对E-Kbt[ID-B]进行解密,得到会话接收设备用户标识ID-B。
若会话接收设备与第二KMF实体之间尚不存在第二共享密钥Kbt,则二者先协商生成第二共享密钥Kbt。具体地,会话接收设备与第二KMF实体可以通过运行GBA来生成第二共享密钥Kbt。
如果会话接收设备与第二KMF之间使用安全传输协议进行信息交互,则不需要对ID-B进行加密。
步骤717,第二KMF实体从媒体流密钥请求消息中获取E-Kt2[K],并使用该第二KMF实体的本地密钥Kt2解密加密参数E-Kt2[K],获得媒体流密钥K,并使用该第二KMF实体与会话接收设备之间的第二共享密钥Kbt加密媒体流密钥K得到加密参数E-Kbt[K],然后向会话接收设备返回应答消息,该应答消息中携带E-Kbt[K]。
步骤719,会话接收设备使用Kbt解密从应答消息中获取的加密参数E-Kbt[K],获得媒体流密钥K,并向IMS网络实体发送响应消息。
步骤721,IMS网络实体将响应消息转发给第二KMF实体。
步骤723,第二KMF实体将响应消息发送给IMS网络实体。
其中,此步骤721与步骤723可选。
步骤725,IMS网络实体将响应消息发送给第一KMF实体。
步骤727,第一KMF实体使用其本地密钥Kt1加密媒体流密钥K,并将加密获得的加密参数E-Kt1[K]添加到响应消息中发送给IMS网络实体。
步骤729,IMS网络实体将携带E-Kt1[K]的响应消息转发给会话发起设备。
步骤731,会话发起设备向第一KMF实体发送媒体流密钥请求消息,该媒体流密钥请求消息中携带有会话发起设备用户标识ID-A和E-Kt1[K]。
在该步骤中,会话发起设备可以先使用该会话发起设备与第一KMF实体之间的第一共享密钥Kat对会话发起设备用户标识ID-A进行加密,以保护传送的ID-A,然后将加密后生成的加密参数E-Kat[ID-A]携带在媒体流密钥请求消息中发送给第一KMF实体;相应的,第一KMF实体接收到媒体流密钥请求消息后,从中获取E-Kat[ID-A],并利用第一共享密钥Kat对E-Kat[ID-A]进行解密,得到会话发起设备用户标识ID-A。
若会话发起设备与第一KMF实体之间尚不存在第一共享密钥Kat,则二者先协商生成第一共享密钥Kat。具体地,会话发起设备与第一KMF实体可以通过运行GBA来生成第一共享密钥Kat。
如果会话发起设备与第一KMF之间使用安全传输协议进行信息交互,则不需要对ID-A进行加密。
步骤733,第一KMF实体从会话发起设备发送的媒体流密钥请求消息中获取E-Kt1[K],并使用Kt1解密E-Kt1[K],获得媒体流密钥K,并使用第一共享密钥Kat对媒体流密钥K进行加密,将加密获得的E-Kat[K]发送给会话 发起设备。
步骤735,会话发起设备使用Kat解密E-Kat[K],获得媒体流密钥K,并与会话接收设备继续后续会话流程,在会话过程中,会话发起设备与会话接收设备协商使用媒体流密钥K来加密媒体流,保护传输的媒体流,提高会话过程中传输的媒体流的安全性。或者,会话发起设备也可以与会话接收设备协商,以媒体流密钥K作为加密媒体流的主密钥,以媒体流密钥K的衍生密钥,例如:通过媒体流密钥K的函数生成的衍生密钥,来加密媒体流,保护传输的媒体流,提高会话过程中传输的媒体流的安全性。
如果对会话双方的身份不做要求或者有其它的机制保证,则步骤701、703、705、707、715与731中的身份标识ID-A和ID-B也可以不使用,对应的处理也可以省略。
如图10所示,为本发明会话设备实施例一的结构示意图,该实施例所示的会话设备可用于实现如图1~图9所示方法中的相应流程,其包括获取模块、媒体收发模块与第一加密模块。其中,
获取模块,用于从KMF实体获取媒体流密钥K;
媒体收发模块,用于接收或发送媒体流;
第一加密模块,用于利用获取模块获取到的媒体流密钥K保护媒体收发模块发送的媒体流。
如图11所示,为本发明会话设备实施例二的结构示意图,该实施例的会话设备可作为图2、图3所示实施例中的会话接收设备实现相应的流程,与图10所示的实施例相比,该实施例的会话设备中,获取模块包括第一接收单元、第一发送单元与第一解密单元。其中,
第一接收单元用于接收KMF实体发送的以第二共享密钥Kbt加密的媒体流密钥K和使用第一共享密钥Kat加密的媒体流密钥K;
第一发送单元用于将使用第一共享密钥Kat加密的媒体流密钥K发送给会话设备的对端会话设备;
第一解密单元用于使用第二共享密钥Kbt解密第一接收单元接收的以第二共享密钥Kbt加密的媒体流密钥K。
如图12所示,为本发明会话设备实施例三的结构示意图,该实施例的会话设备可作为图2、图3所示实施例中的会话发起设备实现相应的流程,与图10所示的实施例相比,该实施例的会话设备中,获取模块包括第二接收单元与第二解密单元。其中,
第二接收单元,用于接收对端会话设备发送的使用第一共享密钥Kat加密的媒体流密钥K;
第二解密单元,用于使用第一共享密钥Kat解密以第一共享密钥Kat加密的媒体流密钥K。
如图13所示,为本发明会话设备实施例四的结构示意图,该实施例的会话设备可作为图4~图7所示实施例中的会话接收设备实现相应的流程,与图10所示的实施例相比,该实施例的会话设备中,获取模块包括第三接收单元、第二发送单元与第三解密单元。其中,
第三接收单元用于接收KMF实体发送的以第二共享密钥Kbt加密的媒体流密钥K和使用KMF实体的本地密钥Kt加密的媒体流密钥K;
第二发送单元用于将使用KMF实体的本地密钥Kt加密的媒体流密钥K发送给对端会话设备;
第三解密单元用于使用第二共享密钥Kbt解密以第二共享密钥Kbt加密的媒体流密钥K。
如图14所示,为本发明会话设备实施例五的结构示意图,该实施例的会话设备可作为图4~图7所示实施例中的会话发起设备实现相应的流程,与图10所示的实施例相比,该实施例的会话设备中,获取模块包括第四接收单元与第四解密单元。其中,
第四接收单元用于接收对端会话设备发送的使用KMF实体的本地密钥Kt加密的媒体流密钥K;
第四解密单元用于通过使用KMF实体的本地密钥Kt加密的媒体流密钥K获得媒体流密钥K。
如图15所示,为本发明KMF实体实施例一的结构示意图,其包括密钥产生模块与第一发送模块。其中,
密钥产生模块,用于生成或者获取媒体流密钥K;
第一发送模块,用于将媒体流密钥K发送给会话设备。
如图16所示,为本发明KMF实体实施例二的结构示意图,该实施例的KMF实体可用于实现如图2、图3中KMF实体的相应功能,与图15所示的实施例相比,该实施例的KMF实体还包括第二加密模块,用于以会话设备与KMF实体共享的第二共享密钥Kbt加密媒体流密钥K,以及以会话设备的对端会话设备与KMF实体共享的第一共享密钥Kat加密媒体流密钥K;第一发送模块用于向会话设备发送以第一共享密钥Kat加密的媒体流密钥K以及以第二共享密钥Kbt加密的媒体流密钥K。
如图17所示,为本发明KMF实体实施例三的结构示意图,该实施例的KMF实体可用于实现如图3~图7中KMF实体的相应功能,与图15所示的实施例相比,该实施例的KMF实体还包括第三加密模块,用于以KMF实体的本地密钥Kt加密媒体流密钥K,以及以会话设备的对端会话设备与KMF实体共享的第二共享密钥Kbt加密媒体流密钥K;第一发送模块用于将以KMF实体的本地密钥Kt加密的媒体流密钥K以及第二共享密钥Kbt加密的媒体流密钥K发送给会话设备。
本发明实施例中KMF实体可以生成IMS网络中用于加密会话媒体流的媒体流密钥,会话设备从KMF实体获取到该媒体流密钥后可以将其发送给对端会话设备,使得会话设备与对端会话设备在会话过程中可以使用该媒体流密钥保护传输的媒体流,提高媒体流的安全性,从而可以保障IMS网络中媒体面的安全,有效防止用户在使用IMS业务的会话过程中媒体流会被非法获取、篡改或窃听。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如下步骤:归属域CSN接收客户端发送的定位请求;对所述定位请求鉴权成功后,将所述定位请求发送至拜访域CSN;接收所述拜访域CSN返回的定位结果,所述定位结果为拜访域ASN根据所述拜访域CSN发送的定位请求触发的定位测量所获得的信息;向所述客户端发送定位结果。所述的存储介质,如:ROM/RAM、磁碟、光盘等。
最后所应说明的是:以上实施例仅用以说明本发明的技术方案,而非对本发明作限制性理解。尽管参照上述较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这种修改或者等同替换并不脱离本发明技术方案的精神和范围。
Claims (17)
1.一种IP多媒体子系统IMS网络中媒体流密钥的获取方法,其特征在于,该方法包括:
会话设备接收密钥管理功能实体发送的以所述会话设备与所述密钥管理功能实体共享的第二共享密钥加密的媒体流密钥;
所述会话设备使用所述第二共享密钥解密以所述第二共享密钥加密的媒体流密钥,获得媒体流密钥;
所述会话设备将所述媒体流密钥发送给对端会话设备;
其中,所述会话设备将所述媒体流密钥发送给对端会话设备包括:所述会话设备向所述密钥管理功能实体发送媒体流密钥请求消息,该媒体流密钥请求消息中携带有以所述对端会话设备与所述密钥管理功能实体共享的第一共享密钥加密的第一随机数,以及以所述第二共享密钥加密的第二随机数;所述会话设备接收所述密钥管理功能实体返回的应答消息,该应答消息中携带有以所述第一共享密钥加密的媒体流密钥与第一随机数,以及以所述第二共享密钥加密的媒体流密钥与第二随机数;所述会话设备将以所述第一共享密钥加密的媒体流密钥发送给所述对端会话设备;所述对端会话设备使用所述第一共享密钥解密以所述第一共享密钥加密的媒体流密钥,获得所述媒体流密钥;
或者,所述会话设备将所述媒体流密钥发送给对端会话设备包括:所述会话设备接收所述密钥管理功能实体发送的、以所述密钥管理功能实体的本地密钥加密的媒体流密钥,并将以所述密钥管理功能实体的本地密钥加密的媒体流密钥发送给所述对端会话设备;所述对端会话设备通过以所述密钥管理功能实体的本地密钥加密的媒体流密钥从所述密钥管理功能实体获取所述媒体流密钥。
2.根据权利要求1所述的方法,其特征在于,还包括:所述会话设 备与所述对端会话设备直接使用所述媒体流密钥加密传输的媒体流;或者,
所述会话设备与所述对端会话设备根据所述媒体流密钥生成所述媒体流密钥的衍生密钥,使用该衍生密钥加密传输的媒体流。
3.根据权利要求1所述的方法,其特征在于,所述会话设备接收所述密钥管理功能实体返回的应答消息之后,还包括:
所述会话设备以所述第二共享密钥解密以该第二共享密钥加密的媒体流密钥与第二随机数,并在解密获得的第二随机数与发送给所述密钥管理功能实体的随机数相同时,通过IMS网络实体向所述对端会话设备发送响应消息,该响应消息中携带有以所述第一共享密钥加密的媒体流密钥与第一随机数。
4.根据权利要求1所述的方法,其特征在于,所述会话设备向所述密钥管理功能实体发送媒体流密钥请求消息中还携带有以所述第一共享密钥加密的索引标识,以及以所述第二共享密钥加密的索引标识;
所述密钥管理功能实体接收到所述媒体流密钥请求消息后,解密以所述第一共享密钥加密的索引标识,以及解密以所述第二共享密钥加密的索引标识,并在所述解密获得的索引标识相同时,向所述会话设备返回应答消息。
5.根据权利要求1所述的方法,其特征在于,所述会话设备向所述密钥管理功能实体发送媒体流密钥请求消息之前,还包括:
所述会话设备通过所述IMS网络实体接收所述对端会话设备发送的以所述第一共享密钥加密的第一随机数。
6.根据权利要求1所述的方法,其特征在于,所述密钥管理功能实体包括与所述对端会话设备对应的第一密钥管理功能实体和与所述会话设备对应的第二密钥管理功能实体;
所述会话设备向所述密钥管理功能实体发送媒体流密钥请求消息包 括:所述会话设备向所述第二密钥管理功能实体发送媒体流密钥请求消息,该媒体流密钥请求消息中携带有以所述第一共享密钥加密的第一随机数,以及以所述第二共享密钥加密的第二随机数;
所述会话设备向所述密钥管理功能实体发送媒体流密钥请求消息之后还包括:所述第一密钥管理功能实体与所述第二密钥管理功能实体交互,使所述第二密钥管理功能实体获得以所述第一共享密钥加密的媒体流密钥与第一随机数,以及以所述第二共享密钥加密的媒体流密钥与第二随机数;
所述会话设备接收所述密钥管理功能实体返回的应答消息包括:所述会话设备接收所述第二密钥管理功能实体返回的应答消息,该应答消息中携带有以所述第一共享密钥加密的媒体流密钥与第一随机数,以及以所述第二共享密钥加密的媒体流密钥与第二随机数。
7.根据权利要求1所述的方法,其特征在于,所述会话设备将以所述第一共享密钥加密的媒体流密钥发送给所述对端会话设备包括:
所述会话设备通过IMS网络实体将以所述第一共享密钥加密的媒体流密钥发送给所述对端会话设备。
8.根据权利要求1所述的方法,其特征在于,所述会话设备接收所述密钥管理功能实体发送的、以所述密钥管理功能实体的本地密钥加密的媒体流密钥包括:
所述会话设备向所述密钥管理功能实体发送媒体流密钥请求消息;
所述会话设备接收所述密钥管理功能实体返回的应答消息,该应答消息中携带有以所述密钥管理功能实体的本地密钥加密的媒体流密钥,以及以所述会话设备与所述密钥管理功能实体共享的第二共享密钥加密的媒体流密钥。
9.根据权利要求8所述的方法,其特征在于,所述会话设备接收所述密钥管理功能实体返回的应答消息之后,还包括:
所述会话设备以所述第二共享密钥解密以该第二共享密钥加密的媒体流密钥,并通过IMS网络实体向所述对端会话设备发送响应消息,该响应消息中携带有以所述密钥管理功能实体的本地密钥加密的媒体流密钥。
10.根据权利要求8所述的方法,其特征在于,所述会话设备向所述密钥管理功能实体发送媒体流密钥请求消息之前,还包括:
所述会话设备通过IMS网络实体接收所述对端会话设备发送的会话设备用户标识与对端会话设备用户标识。
11.根据权利要求1所述的方法,其特征在于,所述对端会话设备通过以所述密钥管理功能实体的本地密钥加密的媒体流密钥从所述密钥管理功能实体获取所述媒体流密钥包括:
所述对端会话设备向所述密钥管理功能实体发送媒体流密钥请求消息,该媒体流密钥请求消息中携带有以所述密钥管理功能实体的本地密钥加密的媒体流密钥;
所述对端会话设备接收所述密钥管理功能实体发送的以所述对端会话设备与所述密钥管理功能实体共享的第一共享密钥加密的媒体流密钥;
所述对端会话设备使用所述第一共享密钥解密以该第一共享密钥加密的媒体流密钥,获得所述媒体流密钥。
12.根据权利要求1所述的获取媒体流密钥的方法,其特征在于,还包括:
所述会话设备接收所述密钥管理功能实体发送的、以所述密钥管理功能实体的本地密钥加密的媒体流密钥的有效期参数,并将以所述密钥管理功能实体的本地密钥加密的媒体流密钥与所述有效期参数发送给所述对端会话设备;
所述会话设备与所述对端会话设备使用所述媒体流密钥保护传输的媒体流具体为:所述会话设备与所述对端会话设备在所述有效期内使用所述媒体流密钥或该媒体流密钥的衍生密钥加密传输的媒体流。
13.根据权利要求1所述的方法,其特征在于,所述密钥管理功能实体包括与所述对端会话设备对应的第一密钥管理功能实体和与所述会话设备对应的第二密钥管理功能实体;
所述会话设备接收所述密钥管理功能实体发送的、以所述密钥管理功能实体的本地密钥加密的媒体流密钥包括:
所述会话设备向所述第二密钥管理功能实体发送媒体流密钥请求消息;
所述第一密钥管理功能实体与所述第二密钥管理功能实体交互,使所述第二密钥管理功能实体获得以所述第一密钥管理功能实体的本地密钥加密的媒体流密钥,以及以所述会话设备与所述密钥管理功能实体共享的第二共享密钥加密的媒体流密钥;
所述会话设备接收所述第二密钥管理功能实体返回的应答消息,该应答消息中携带有以所述密钥管理功能实体的本地密钥加密的媒体流密钥,以及以所述会话设备与所述密钥管理功能实体共享的第二共享密钥加密的媒体流密钥。
14.一种会话设备,其特征在于,包括:
获取模块,用于从密钥管理功能实体获取媒体流密钥;所述获取模块包括:第一接收单元、第一发送单元、第一解密单元、第三接收单元、第二发送单元和第三解密单元;所述第一接收单元用于接收所述密钥管理功能实体发送的以第二共享密钥加密的媒体流密钥和媒体流密钥请求消息的应答消息,该应答消息中携带有以第一共享密钥加密的媒体流密钥与第一随机数,以及以所述第二共享密钥加密的媒体流密钥与第二随机数;所述第一发送单元用于向所述密钥管理功能实体发送媒体流密钥请求消息,该媒体流密钥请求消息中携带有以对端会话设备与所述密钥管理功能实体共享的第一共享密钥加密的第一随机数,以及以所述第二共享密钥加密的第二随机数,并将以所述第一共享密钥加密的媒体流密钥发送给所 述对端会话设备;所述第一解密单元用于使用所述第二共享密钥解密以所述第二共享密钥加密的媒体流密钥;所述第三接收单元用于接收所述密钥管理功能实体发送的以所述第二共享密钥加密的媒体流密钥和使用所述密钥管理功能实体的本地密钥加密的媒体流密钥;所述第二发送单元用于将使用所述密钥管理功能实体的本地密钥加密的媒体流密钥发送给对端会话设备;所述第三解密单元用于使用所述第二共享密钥解密以所述第二共享密钥加密的媒体流密钥;
媒体收发模块,用于接收或发送媒体流;
第一加密模块,用于利用所述获取模块获取到的媒体流密钥保护所述媒体收发模块发送的媒体流。
15.根据权利要求14所述的会话设备,其特征在于,所述获取模块包括:
第二接收单元,用于接收所述对端会话设备发送的使用第一共享密钥加密的媒体流密钥;
第二解密单元,用于使用所述第一共享密钥解密以所述第一共享密钥加密的媒体流密钥。
16.根据权利要求14所述的会话设备,其特征在于,所述获取模块包括:
第四接收单元,用于接收对端会话设备发送的使用所述密钥管理功能实体的本地密钥加密的媒体流密钥;
第四解密单元,用于使用所述密钥管理功能实体的本地密钥加密的媒体流密钥从密钥管理功能实体获得媒体流密钥。
17.一种密钥管理功能实体,其特征在于,包括:
密钥产生模块,用于生成或者获取媒体流密钥;
第二加密模块,用于以会话设备与所述密钥管理功能实体共享的第二共享密钥加密媒体流密钥,以及以所述会话设备的对端会话设备与所述密 钥管理功能实体共享的第一共享密钥加密媒体流密钥;
第一发送模块,用于向所述会话设备发送以所述第一共享密钥加密的媒体流密钥,以及以所述第二共享密钥加密的媒体流密钥;还用于向所述会话设备发送以所述密钥管理功能实体的本地密钥加密的媒体流密钥,以及以所述第二共享密钥加密的媒体流密钥;
第三加密模块,用于以所述密钥管理功能实体的本地密钥加密媒体流密钥,以及以所述会话设备的对端会话设备与所述密钥管理功能实体共享的第二共享密钥加密媒体流密钥。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810095617A CN101572694B (zh) | 2008-04-29 | 2008-04-29 | 媒体流密钥的获取方法、会话设备与密钥管理功能实体 |
| PCT/CN2009/071279 WO2009132551A1 (zh) | 2008-04-29 | 2009-04-15 | 媒体流密钥的获取方法、会话设备与密钥管理功能实体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810095617A CN101572694B (zh) | 2008-04-29 | 2008-04-29 | 媒体流密钥的获取方法、会话设备与密钥管理功能实体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101572694A CN101572694A (zh) | 2009-11-04 |
| CN101572694B true CN101572694B (zh) | 2012-09-05 |
Family
ID=41231931
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810095617A Active CN101572694B (zh) | 2008-04-29 | 2008-04-29 | 媒体流密钥的获取方法、会话设备与密钥管理功能实体 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101572694B (zh) |
| WO (1) | WO2009132551A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102055747B (zh) * | 2009-11-06 | 2014-09-10 | 中兴通讯股份有限公司 | 获取密钥管理服务器信息的方法、监听方法及系统、设备 |
| CN104683103B (zh) * | 2013-11-29 | 2018-02-23 | 中国移动通信集团公司 | 一种终端设备登录认证的方法和设备 |
| CN104683304B (zh) * | 2013-11-29 | 2019-01-01 | 中国移动通信集团公司 | 一种保密通信业务的处理方法、设备和系统 |
| CN103716330B (zh) * | 2014-01-03 | 2017-07-04 | 网易(杭州)网络有限公司 | 一种数字内容加密与解密方法和设备 |
| AU2017445111A1 (en) | 2017-12-29 | 2020-08-13 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Beam selection method, terminal device and computer storage medium |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003049357A2 (en) * | 2001-12-07 | 2003-06-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Lawful interception of end-to-end encrypted data traffic |
| US6915434B1 (en) * | 1998-12-18 | 2005-07-05 | Fujitsu Limited | Electronic data storage apparatus with key management function and electronic data storage method |
| CN1801698A (zh) * | 2005-01-07 | 2006-07-12 | 华为技术有限公司 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
| CN1889767A (zh) * | 2005-06-30 | 2007-01-03 | 华为技术有限公司 | 实现媒体流安全的方法及通信系统 |
| CN1929368A (zh) * | 2005-09-05 | 2007-03-14 | 华为技术有限公司 | 实现媒体流安全的方法及通信系统 |
| CN1983921A (zh) * | 2005-12-16 | 2007-06-20 | 华为技术有限公司 | 一种端到端媒体流安全的实现方法及系统 |
| CN101009551A (zh) * | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 基于ip多媒体子系统的媒体流的密钥管理系统和方法 |
| CN101026615A (zh) * | 2006-02-18 | 2007-08-29 | 华为技术有限公司 | 一种基于ims的流媒体网络系统 |
| CN101102190A (zh) * | 2006-07-04 | 2008-01-09 | 华为技术有限公司 | 生成本地接口密钥的方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1633068B (zh) * | 2004-12-31 | 2010-10-06 | 北京中星微电子有限公司 | 一种点到点通信中的媒体流传输方法 |
| CN100583989C (zh) * | 2007-07-25 | 2010-01-20 | 中国联合网络通信集团有限公司 | 媒体流传输方法 |
-
2008
- 2008-04-29 CN CN200810095617A patent/CN101572694B/zh active Active
-
2009
- 2009-04-15 WO PCT/CN2009/071279 patent/WO2009132551A1/zh active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6915434B1 (en) * | 1998-12-18 | 2005-07-05 | Fujitsu Limited | Electronic data storage apparatus with key management function and electronic data storage method |
| WO2003049357A2 (en) * | 2001-12-07 | 2003-06-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Lawful interception of end-to-end encrypted data traffic |
| CN1801698A (zh) * | 2005-01-07 | 2006-07-12 | 华为技术有限公司 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
| CN1889767A (zh) * | 2005-06-30 | 2007-01-03 | 华为技术有限公司 | 实现媒体流安全的方法及通信系统 |
| CN1929368A (zh) * | 2005-09-05 | 2007-03-14 | 华为技术有限公司 | 实现媒体流安全的方法及通信系统 |
| CN1983921A (zh) * | 2005-12-16 | 2007-06-20 | 华为技术有限公司 | 一种端到端媒体流安全的实现方法及系统 |
| CN101009551A (zh) * | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 基于ip多媒体子系统的媒体流的密钥管理系统和方法 |
| CN101026615A (zh) * | 2006-02-18 | 2007-08-29 | 华为技术有限公司 | 一种基于ims的流媒体网络系统 |
| CN101102190A (zh) * | 2006-07-04 | 2008-01-09 | 华为技术有限公司 | 生成本地接口密钥的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009132551A1 (zh) | 2009-11-05 |
| CN101572694A (zh) | 2009-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9055047B2 (en) | Method and device for negotiating encryption information | |
| US9167422B2 (en) | Method for ensuring media stream security in IP multimedia sub-system | |
| US8705743B2 (en) | Communication security | |
| KR101078455B1 (ko) | 보안 인터넷 프로토콜 권한 관리 아키텍쳐에 대한 키 관리프로토콜 및 인증 시스템 | |
| KR101009330B1 (ko) | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 | |
| US8499156B2 (en) | Method for implementing encryption and transmission of information and system thereof | |
| CN109218825B (zh) | 一种视频加密系统 | |
| CN109151508B (zh) | 一种视频加密方法 | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| CN101635823A (zh) | 一种终端对视频会议数据进行加密的方法及系统 | |
| CN101420413A (zh) | 会话密钥协商方法、网络系统、认证服务器及网络设备 | |
| CN102045210A (zh) | 一种支持合法监听的端到端会话密钥协商方法和系统 | |
| CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
| CN101572694B (zh) | 媒体流密钥的获取方法、会话设备与密钥管理功能实体 | |
| WO2023116382A1 (zh) | 一键登录业务的实现 | |
| CN103795966A (zh) | 一种基于数字证书的安全视频通话实现方法及系统 | |
| CN115022868A (zh) | 卫星终端实体认证方法、系统及存储介质 | |
| CN112332986A (zh) | 一种基于权限控制的私有加密通信方法及系统 | |
| US8705745B2 (en) | Method and system for transmitting deferred media information in an IP multimedia subsystem | |
| US20100034384A1 (en) | Method for providing a symmetric key for protecting a key management protocol | |
| CN100544247C (zh) | 安全能力协商方法 | |
| EP2451133B1 (en) | Method and system for transmitting delay media information in ip multimedia subsystem | |
| WO2017197968A1 (zh) | 一种数据传输方法及装置 | |
| CN112054905B (zh) | 一种移动终端的安全通信方法及系统 | |
| US8769280B2 (en) | Authentication apparatus and method for non-real-time IPTV system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |