CN101729536A - 一种ip多媒体子系统延迟媒体信息传输方法及系统 - Google Patents
一种ip多媒体子系统延迟媒体信息传输方法及系统 Download PDFInfo
- Publication number
- CN101729536A CN101729536A CN200910151034A CN200910151034A CN101729536A CN 101729536 A CN101729536 A CN 101729536A CN 200910151034 A CN200910151034 A CN 200910151034A CN 200910151034 A CN200910151034 A CN 200910151034A CN 101729536 A CN101729536 A CN 101729536A
- Authority
- CN
- China
- Prior art keywords
- application server
- kms
- ke2e
- mailbox application
- recipient
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/80—Responding to QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
一种IP多媒体子系统延迟媒体信息传输方法,媒体信息发送方将密钥生成参数发送给媒体信息接收方的邮箱应用服务器,邮箱应用服务器保存密钥生成参数,并将其发送给KMS;KMS使用共享密钥Ka对密钥生成参数解密后,使用密钥生成参数生成媒体密钥Ke2e和完整性传输密钥Ke2m,将Ke2e和Ke2m发送给发送方,并将Ke2m发送给邮箱应用服务器;发送方使用Ke2m向邮箱应用服务器发送采用Ke2e加密的媒体信息;接收方从邮箱应用服务器获取密钥生成参数,并将其发送给KMS;KMS使用Ka对密钥生成参数解密后,使用密钥生成参数生成Ke2e,并将其发送给接收方。
Description
技术领域
本发明涉及通信领域,尤其涉及一种IP(Internet Protocol,因特网协议)多媒体子系统延迟媒体信息传输方法及系统。
背景技术
在IP多媒体子系统(IMS)的媒体安全技术规范中,提出了发送延迟媒体信息给接收方媒体邮箱的安全需求。这种情况一般发生在发送方(记作用户A)发送媒体信息给接收方(记作用户B),而用户B正处于离线状态(导致用户B离线的原因很多,比如用户B关机,用户B未登录,用户B不在服务区等),由于用户B不可达,所以在这种场景下,不能使用双方都在线的密钥协商机制,而必须引入作为可信第三方的密钥管理服务器(KMS)来实现通讯双方通过异步方式获得共享的媒体密钥。
图1为现有技术中基于KMS的IMS媒体安全解决方案架构示意图,其中:
用户A(UE-A)和用户B(UE-B)分别是媒体信息的发送方和接收方;
密钥管理服务器(KMS)作为可信任的第三方实现密钥的管理和分发功能;
P-CSCF(代理-呼叫会话控制功能)和S-CSCF(服务-呼叫会话控制功能)为IMS网络网元;
图1中的其它网元的功能介绍请参考相关文档。
图2为现有技术中基于KMS的IMS延迟媒体安全解决方案架构示意图;与图1相比,图2增加了邮箱应用服务器(Mailbox server)。采用图2所示的架构实现IMS延迟媒体信息的传输时,用户A首先通过IMS网络将媒体信息发送给用户B的邮箱应用服务器,当用户B登录后,用户B从其邮箱应用服务器中获取媒体信息。
下面将介绍采用图2所示的架构进行密钥协商和分配的具体方案。该方案包含两部分:第一部分是当媒体信息的接收方(用户B)不在线时,媒体信息的发送方(用户A)与用户B的邮箱应用服务器交互以获得媒体密钥;第二部分是用户B上线后从KMS获得媒体密钥。具体流程分别如图3和图4所示。
图3是媒体信息的发送方(用户A)与媒体信息的接收方(用户B)的邮箱应用服务器基于KMS进行密钥协商的方法流程图,本流程结束后,用户A获得了用于加密媒体信息的媒体密钥。为了简单起见,图3所示的流程中省略了防止重放攻击所需的随机数。如图3所示,该方法包括:
301:用户A与密钥管理服务器(KMS)采用通用认证机制(GeneralBootstrapping Architecture,简称为GBA)协商得到共享密钥Ka;
如果无法采用GBA方式,用户A可以采用其它认证方式与KMS协商得到共享密钥Ka。
302:用户B的邮箱应用服务器与KMS可以采用GBA、TLS(TransportLayer Security,传输层安全)、IPSec(Internet Protocol Security,互联网协议安全)等方式协商得到共享密钥Km。
303:用户A通过IMS网络向用户B发送呼叫请求(INVITE消息),呼叫请求中包含以下参数:ID-A(用户A的标识符),ID-B(用户B的标识符)和Ea(ID-A,ID-B);
其中,Ea(ID-A,ID-B)为采用共享密钥Ka对ID-A、ID-B进行加密得到的密文。
304:IMS网络将用户A的呼叫请求转发到用户B的邮箱应用服务器。
305:用户B的邮箱应用服务器收到用户A的呼叫请求后,向KMS发送媒体密钥获取请求,该请求中包含以下参数:ID-A,ID-B,Ea(ID-A,ID-B),和Em(ID-A,ID-B);
其中,Em(ID-A,ID-B)为采用共享密钥Km对ID-A和ID-B进行加密得到的密文。
306:KMS分别用Ka和Km解密Ea(ID-A,ID-B)和Em(ID-A,ID-B),并验证解密得到的ID-A和ID-B与明文的ID-A和ID-B是否一致;如果一致(验证通过),KMS就生成媒体密钥K。
使用上述媒体密钥K可以唯一地生成一个媒体密钥。
307:KMS用Ka加密媒体密钥K,得到Ea(K),将Ea(K)包含在媒体密钥获取响应中发送给用户B的邮箱应用服务器。
308:用户B的邮箱应用服务器收到Ea(K)后,通过IMS网络向用户A发送包含Ea(K)的呼叫应答(200OK消息)。
309:IMS网络将包含Ea(K)的200OK消息发给用户A,用户A通过解密Ea(K)得到媒体密钥K。
以上流程结束后,用户A获得媒体密钥K,而用户B的邮箱服务器无法得到媒体密钥K,确保了端到端的安全。
用户B上线后,首先需要从其邮箱应用服务器中获取安全参数,包含ID-A,ID-B和Ea(ID-A,ID-B),根据上述安全参数获知有来自用户A的延迟媒体信息,进而与KMS交互获取媒体密钥。
图4是媒体信息的接收方(用户B)与媒体信息的接收方(用户B)的邮箱应用服务器和KMS交互,获得媒体密钥的方法流程图;本流程结束后,用户B获得媒体密钥K;如图4所示,该方法包括:
401:用户B与密钥管理服务器(KMS)采用通用认证机制(GBA)协商得到共享密钥Kb;
如果无法采用GBA方式,用户B可以采用其它认证方式与KMS协商得到共享密钥Kb。
402:用户B向邮箱应用服务器发送延迟媒体信息请求,该请求中包含用户B的标识符ID-B。
403:邮箱应用服务器向用户B返回延迟媒体信息响应,该响应中包含以下安全参数:ID-A、ID-B和Ea(ID-A,ID-B)。
404:用户B向KMS发送媒体密钥获取请求,该请求中包含以下参数:ID-A,ID-B,Ea(ID-A,ID-B),Eb(ID-A,ID-B);
其中,Eb(ID-A,ID-B)为采用共享密钥Kb对ID-A、ID-B进行加密得到的密文。
405:KMS用Ka和Kb分别解密Ea(ID-A,ID-B)和Eb(ID-A,ID-B),验证解密得到的ID-A和ID-B与明文的ID-A和ID-B是否一致;如果一致,KMS取回步骤306生成媒体密钥K。
406:KMS用Kb加密媒体密钥K,得到Eb(K),并向用户B发送媒体密钥获取响应,其中包含Eb(K)。
至此,用户B获得了媒体密钥K,可以使用媒体密钥K对从邮箱应用服务器获取的加密媒体信息进行解密,实现了端到端的安全。
由上可知,现有的IMS延迟媒体解决方案有以下不足之处:
(1)KMS需要存储其生成的媒体密钥,这将导致KMS的状态性(statefulness)问题(即由于存储量过大而导致KMS无法负担的问题);
(2)在进行媒体密钥的协商时,没有生成并发布用户A与用户B之间的邮箱应用服务器的共享密钥、以及用户B与用户B的邮箱应用服务器之间的共享密钥,用户B的邮箱应用服务器作为一个中间节点,容易遭受拒绝服务攻击。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提供一种IP多媒体子系统延迟媒体信息传输方法及系统,使得KMS无需存放并维护其生成的媒体密钥,并可在媒体密钥的协商过程中生成媒体信息发送方和媒体信息接收方的邮箱应用服务器之间的共享密钥。
为了解决上述问题,本发明提供一种IP多媒体子系统延迟媒体信息传输方法,该方法包括:
媒体信息的发送方将密钥生成参数发送给媒体信息的接收方的邮箱应用服务器,所述邮箱应用服务器保存密钥生成参数,并将其发送给密钥管理服务器KMS;
KMS使用Ka对密钥生成参数中采用所述Ka加密的参数解密后,使用密钥生成参数生成媒体密钥Ke2e和完整性传输密钥Ke2m,将所述Ke2e和Ke2m发送给所述发送方,并将所述Ke2m发送给所述邮箱应用服务器;所述Ka为所述发送方与KMS共享的密钥;
所述发送方使用所述Ke2m向所述邮箱应用服务器发送采用所述Ke2e加密的媒体信息;
所述接收方从所述邮箱应用服务器获取所述密钥生成参数,并将其发送给KMS;
KMS使用所述Ka对密钥生成参数中采用所述Ka加密的参数解密后,使用密钥生成参数生成所述Ke2e,并将所述Ke2e发送给所述接收方;
所述接收方从所述邮箱应用服务器获取所述发送方采用所述Ke2e加密的媒体信息,并使用所述Ke2e对其进行解密。
此外,接收到所述邮箱应用服务器发送的密钥生成参数后,KMS还使用密钥生成参数生成完整性传输密钥Km2e,并将所述Km2e发送给所述邮箱应用服务器;
接收到所述接收方发送的密钥生成参数后,KMS还使用密钥生成参数生成所述Km2e,并将所述Km2e发送给所述接收方;
所述接收方使用所述Km2e从所述邮箱应用服务器获取所述发送方采用所述Ke2e加密的媒体信息,并使用所述Ke2e对其进行解密。
此外,将所述Ke2e和Ke2m发送给所述发送方前,KMS还使用私有密钥Kkms对所述Ka进行加密,并将其发送给所述邮箱应用服务器保存;
所述接收方从所述邮箱应用服务器获取所述密钥生成参数时,所述邮箱应用服务器还将所述加密的Ka发送给所述接收方,所述接收方将所述加密的Ka和所述密钥生成参数发送给KMS;
接收到所述加密的Ka后,KMS使用所述Kkms对其进行解密得到所述Ka。
此外,所述发送方采用如下方式将密钥生成参数发送给KMS:所述发送方将密钥生成参数包含在呼叫请求消息中发送给所述邮箱应用服务器,该消息中包含所述发送方和接收方的标识符;所述邮箱应用服务器保存所述密钥生成参数,将密钥生成参数包含在媒体密钥获取请求消息中发送给KMS,该消息中包含所述发送方、接收方和邮箱应用服务器的标识符;
KMS接收到所述媒体密钥获取请求消息后,对所述发送方、接收方和邮箱应用服务器的标识符进行验证,验证通过后才生成所述媒体密钥和完整性传输密钥。
此外,KMS采用如下方式将所述Ke2e和Ke2m发送给所述发送方:
KMS使用所述Ka对其生成的所述Ke2e和Ke2m进行加密,并将加密的Ke2e和Ke2m发送给所述邮箱应用服务器;
所述邮箱应用服务器将所述加密的Ke2e和Ke2m包含在呼叫应答消息中发送给所述发送方;
所述发送方使用所述Ka解密得到所述Ke2e和Ke2m。
此外,所述加密的密钥生成参数包括:所述发送方生成的随机数、和/或时间戳。
本发明还提供一种IP多媒体子系统延迟媒体信息传输方法,该方法包括:
接收到媒体信息的发送方发送的票据获取请求后,KMS生成媒体密钥Ke2e和完整性传输密钥Ke2m,使用其与所述发送方共享的密钥Ka对所述Ke2e和Ke2m加密后,将票据、以及采用所述Ka加密的Ke2e和Ke2m发送给所述接收方;所述票据中包含采用KMS的私有密钥加密的所述Ke2e和Ke2m;
所述发送方将所述票据发送给媒体信息的接收方的邮箱应用服务器,所述邮箱应用服务器保存所述票据,并将所述票据发送给KMS;KMS使用所述私有密钥解密得到所述票据中包含的所述Ke2m,并将其发送给所述邮箱应用服务器;
所述发送方使用所述Ke2m向所述邮箱应用服务器发送采用所述Ke2e加密的媒体信息;
所述接收方从所述邮箱应用服务器获取所述票据,并将其发送给KMS;KMS使用所述私有密钥解密得到所述票据中包含的所述Ke2e,并将其发送给所述接收方;
所述接收方从所述邮箱应用服务器获取所述发送方采用所述Ke2e加密的媒体信息,并使用所述Ke2e对其进行解密。
此外,将所述票据、以及采用所述Ka加密的Ke2e和Ke2m发送给所述接收方前,KMS还生成完整性传输密钥Km2e,并将其采用所述私有密钥加密后包含在所述票据中;
接收到所述邮箱应用服务器发送的所述票据后,KMS还使用所述私有密钥解密得到所述票据中包含的所述Km2e,并将其发送给所述邮箱应用服务器;
接收到所述接收方发送的所述票据后,KMS还使用所述私有密钥解密得到所述票据中包含的所述Km2e,并将其发送给所述接收方;
所述接收方使用所述Km2e从所述邮箱应用服务器获取所述发送方采用所述Ke2e加密的媒体信息,并使用所述Ke2e对其进行解密。
本发明还提供一种IP多媒体子系统延迟媒体信息传输系统,包含:媒体信息的发送方、媒体信息的接收方、KMS和媒体信息接收方的邮箱应用服务器;
所述发送方用于将密钥生成参数发送给所述邮箱应用服务器,所述邮箱应用服务器保存密钥生成参数,并将其发送给所述KMS;
所述KMS用于使用Ka对密钥生成参数中采用所述Ka加密的参数解密后,使用密钥生成参数生成媒体密钥Ke2e和完整性传输密钥Ke2m,将所述Ke2e和Ke2m发送给所述发送方,并将所述Ke2m发送给所述邮箱应用服务器;所述Ka为所述发送方与所述KMS共享的密钥;
所述发送方还用于使用所述Ke2m向所述邮箱应用服务器发送采用所述Ke2e加密的媒体信息;
所述接收方用于从所述邮箱应用服务器获取密钥生成参数,并将其发送给所述KMS;
接收到所述接收方发送的密钥生成参数后,所述KMS还用于使用所述Ka对密钥生成参数中采用所述Ka加密的参数解密后,使用密钥生成参数生成所述Ke2e,并将所述Ke2e发送给所述接收方;
所述接收方还用于从所述邮箱应用服务器获取所述发送方采用所述Ke2e加密的媒体信息,并使用所述Ke2e对其进行解密。
本发明还提供一种IP多媒体子系统延迟媒体信息传输系统,包含:媒体信息的发送方、媒体信息的接收方、KMS和媒体信息接收方的邮箱应用服务器;
所述发送方用于向所述KMS发送票据获取请求;
所述KMS用于在接收到所述票据获取请求后,生成媒体密钥Ke2e和完整性传输密钥Ke2m,使用其与所述发送方共享的密钥Ka对所述Ke2e和Ke2m加密后,将票据、以及采用所述Ka加密的Ke2e和Ke2m发送给所述接收方;所述票据中包含采用KMS的私有密钥加密的所述Ke2e和Ke2m;
所述发送方还用于将所述票据发送给所述邮箱应用服务器;
所述邮箱应用服务器用于保存所述票据,并将所述票据发送给所述KMS;
所述KMS还用于在接收到所述邮箱应用服务器发送的所述票据后,使用所述私有密钥解密得到所述票据中包含的所述Ke2m,并将其发送给所述邮箱应用服务器;
所述发送方用于使用所述Ke2m向所述邮箱应用服务器发送采用所述Ke2e加密的媒体信息;
所述接收方用于从所述邮箱应用服务器获取所述票据,并将其发送给所述KMS;
所述KMS还用于在接收到所述接收方发送的所述票据后,使用所述私有密钥解密得到所述票据中包含的所述Ke2e,并将其发送给所述接收方;
所述接收方还用于从所述邮箱应用服务器获取所述发送方采用所述Ke2e加密的媒体信息,并使用所述Ke2e对其进行解密。
综上所述,与现有技术相比,本发明在无需KMS存储媒体密钥的情况下,建立了媒体信息的发送方和接收方之间端到端的安全联盟,以加密两者之间的媒体信息;同时,在发送方和接收方的邮箱应用服务器之间、接收方的邮箱应用服务器和接收方之间也建立了安全联盟,用于进行双方的相互认证和完整性保护,实现了IMS延迟媒体信息的安全传输。
附图说明
图1为现有技术中基于KMS的IMS媒体安全解决方案架构示意图;
图2为现有技术中基于KMS的IMS延迟媒体安全解决方案架构示意图;
图3是媒体信息的发送方与接收方的邮箱应用服务器基于KMS进行密钥协商的方法流程图;
图4是媒体信息的接收方与接收方的邮箱应用服务器和KMS交互,获得媒体密钥的方法流程图;
图5是本发明第一实施例媒体信息的发送方与接收方的邮箱应用服务器基于KMS进行密钥协商的方法流程图;
图6是本发明第一实施例媒体信息的接收方与接收方的邮箱应用服务器以及KMS交互,获得媒体密钥的方法流程图;
图7是媒体信息的发送方、媒体信息的接收方以及媒体信息接收方的邮箱应用服务器三者之间的安全联盟关系示意图;
图8是本发明第二实施例媒体信息的发送方与接收方的邮箱应用服务器基于KMS进行密钥协商的方法流程图;
图9是本发明第二实施例媒体信息的接收方与接收方的邮箱应用服务器以及KMS交互,获得媒体密钥的方法流程图;
图10是本发明实施例IP多媒体子系统延迟媒体信息传输系统的结构示意图。
具体实施方式
本发明的核心思想是:KMS在生成媒体信息的发送方(用户A)和媒体信息的接收方(用户B)共享的媒体密钥材料Ke2e时,还生成用户A和用户B的邮箱应用服务器共享的完整性传输密钥材料Ke2m,以及用户B的邮箱应用服务器与用户B共享的完整性传输密钥材料Km2e;并将Ke2m发送给用户A和用户B的邮箱应用服务器,将Km2e发送给用户B的邮箱应用服务器和用户B。
上述媒体密钥材料可以是媒体密钥本身,或者用户A和用户B可以根据上述媒体密钥材料以及其它参数生成相同的媒体密钥,在下文中将媒体密钥材料和媒体密钥统称为媒体密钥。
同样,上述完整性传输密钥材料可以是完整性传输密钥本身,或者用户A/用户B和用户B的邮箱应用服务器可以根据上述完整性传输密钥材料以及其它参数生成相同的媒体密钥,在下文中将完整性传输密钥材料和完整性传输密钥统称为完整性传输密钥。
下面将结合附图和实施例对本发明进行详细描述。
第一实施例
图5是本发明第一实施例媒体信息的发送方(用户A)与媒体信息的接收方(用户B)的邮箱应用服务器基于KMS进行密钥协商的方法流程图;本流程结束后,用户A获得用于加密媒体信息的媒体密钥Ke2e,用户A和用户B的邮箱应用服务器获得双方共享的完整性传输密钥Ke2m,用户B的邮箱应用服务器还获得其与用户B共享的完整性传输密钥Km2e。如图5所示,该方法包括:
501:用户A与密钥管理服务器(KMS)采用通用认证机制(GBA)协商得到共享密钥Ka;
如果无法采用GBA方式,用户A可以采用其它认证方式与KMS协商得到共享密钥Ka。
502:用户B的邮箱应用服务器与KMS可以采用GBA、TLS、IPSec等方式协商得到共享密钥Km。
步骤501和502不分先后次序。
503:用户A生成随机数Ra。
504:用户A通过IMS网络向用户B发送呼叫请求(例如,INVITE(邀请)消息),呼叫请求中包含以下参数:ID-A,ID-B,Ea(Ra,ID-A,ID-B)。
其中,Ea(Ra,ID-A,ID-B)为采用共享密钥Ka对随机数Ra、ID-A、ID-B加密得到的密文。
505:IMS网络将用户A的呼叫请求转发到用户B的邮箱应用服务器。
506:用户B的邮箱应用服务器收到用户A的呼叫请求后,向KMS发送媒体密钥获取请求,该请求中包含以下参数:ID-A,ID-B,Ea(Ra,ID-A,ID-B)和Em(ID-A,ID-Bm);
其中,ID-Bm为用户B的邮箱应用服务器的标识符,Em(ID-A,ID-Bm)为采用共享密钥Km对ID-A和ID-Bm进行加密得到的密文。
507:KMS用Ka解密Ea(Ra,ID-A,ID-B),验证解密得到的ID-A和ID-B与明文的ID-A和ID-B是否一致;并用Km解密Em(ID-A,ID-Bm),验证解密得到的ID-A与明文的ID-A是否一致,并验证ID-Bm是否为ID-B对应的邮箱应用服务器标识;如果上述验证都通过(即解密得到的ID-A和ID-B与明文的ID-A和ID-B一致,且ID-Bm为ID-B对应的邮箱应用服务器标识),则使用解密得到的随机数Ra、ID-A等参数,采用媒体密钥生成函数(KDF)生成相互独立的媒体密钥Ke2e、以及完整性传输密钥Ke2m和Km2e;
其中,完整性传输密钥Ke2m为用户A与用户B的邮箱应用服务器的共享密钥;完整性传输密钥Km2e为用户B的邮箱应用服务器与用户B的共享密钥。
508:KMS用Ka加密随机数Ra、Ke2e和Ke2m,得到Ea(Ra,Ke2e,Ke2m);用Km加密Ke2m和Km2e,得到Em(Ke2m,Km2e);并用KMS私有的密钥Kkms加密Ka,得到Ekms(Ka);将Ea(Ra,Ke2e,Ke2m)、Em(Ke2m,Km2e)和Ekms(Ka)包含在媒体密钥获取响应中发送给用户B的邮箱应用服务器;
将Ekms(Ka)发送给用户B的邮箱应用服务器后,KMS可以删除Ka。
509:用户B的邮箱应用服务器收到Ea(Ra,Ke2e,Ke2m)、Em(Ke2m,Km2e)和Ekms(Ka)后,通过IMS网络向用户A发送包含Ea(Ra,Ke2e,Ke2m)的呼叫应答(例如,200OK消息);将Ekms(Ka)与之前收到的ID-A、ID-B、Ea(Ra,ID-A,ID-B)等参数储存在一起;并解密得到Ke2m和Km2e。
510:IMS网络将包含Ea(Ra,Ke2e,Ke2m)的200OK消息发给用户A,用户A通过解密Ea(Ra,Ke2e,Ke2m)得到媒体密钥Ke2e、完整性传输密钥Ke2m。
511:获得媒体密钥Ke2e后,用户A可以使用媒体密钥Ke2e安全地向用户B的邮箱应用服务器发送媒体信息;由于用户B的邮箱应用服务器无法得到媒体密钥Ke2e,确保了端到端的安全;
此外,用户A和用户B的邮箱应用服务器可以使用双方共享的完整性传输密钥Ke2m,实现用户A与用户B的邮箱应用服务器的相互认证以及两者之间数据的安全传输。例如,用户A可以使用Ke2m对ID-A进行加密,并将加密后的密文与媒体信息一起发送给用户B的邮箱应用服务器,用户B的邮箱应用服务器使用Ke2m对上述密文进行解密,将解密的结果与ID-A对比,如果一致,则认为用户A为合法用户。
用户B上线后,首先需要从其邮箱应用服务器中获取安全参数,包含ID-A,ID-B,Ea(ID-A,ID-B)和Ekms(Ka),根据上述安全参数获知有来自用户A的延迟媒体信息,进而与KMS交互获得媒体密钥。
图6是本发明第一实施例媒体信息的接收方(用户B)与媒体信息的接收方的邮箱应用服务器以及KMS交互,获得媒体密钥的方法流程图;本流程结束后,用户B获得媒体密钥Ke2e和完整性传输密钥Km2e;如图6所示,该方法包括:
601:用户B与密钥管理服务器(KMS)采用通用认证机制(GBA)协商得到共享密钥Kb;
如果无法采用GBA方式,用户B可以采用其它认证方式与KMS协商得到共享密钥Kb。
602:用户B向邮箱应用服务器发送延迟媒体信息请求,该请求中包含用户B的标识符ID-B。
603:邮箱应用服务器向用户B返回延迟媒体信息响应,该响应中包含以下参数:ID-A,ID-B,Ekms(Ka),Ea(Ra,ID-A,ID-B)。
604:用户B生成随机数Rb。
605:用户B向KMS发送媒体密钥获取请求,该请求中包含以下参数:ID-A,ID-B,Ea(Ra,ID-A,ID-B),Ekms(Ka),Eb(Rb,ID-A,ID-B);
其中,Eb(Rb,ID-A,ID-B)为采用共享密钥Kb对随机数Rb、ID-A、ID-B进行加密得到的密文。
606:KMS用Kkms解密Ekms(Ka),获得Ka;用Ka和Kb分别解密Ea(Ra,ID-A,ID-B)和Eb(Rb,ID-A,ID-B),验证解密得到的ID-A和ID-B与明文的ID-A和ID-B是否一致;如果上述验证通过(即解密得到的ID-A和ID-B与明文的ID-A和ID-B一致),KMS使用解密得到的随机数Ra和ID-A,采用媒体密钥生成函数(KDF)重新生成媒体密钥Ke2e和完整性传输密钥Km2e。
607:KMS用Kb加密随机数Rb、媒体密钥Ke2e和完整性传输密钥Km2e,得到Eb(Rb,Ke2e,Km2e),并向用户B发送媒体密钥获取响应,其中包含Eb(Rb,Ke2e,Km2e)。
至此,用户B可以通过解密Eb(Rb,Ke2e,Km2e)获得媒体密钥Ke2e和完整性传输密钥Km2e,使用媒体密钥Ke2e解密从邮箱应用服务器获取的加密媒体信息,实现了端到端的安全;此外,用户B与邮箱应用服务器之间可以使用完整性传输密钥Km2e实现相互认证以及两者之间的数据的安全传输。
由上可知,采用本发明的上述方法,在生成和发布媒体密钥Ke2e的过程中,KMS还生成了用户A和用户B的邮箱应用服务器之间共享的完整性传输密钥Ke2m、用户B的邮箱应用服务器和用户B之间共享的完整性传输密钥Km2e,建立了用户A和用户B、用户A和用户B的邮箱应用服务器、以及用户B的邮箱应用服务器和用户B之间的安全联盟,如图7所示。
根据本发明的基本原理,上述实施例还可以有多种变换方式,例如:
(一)在上述实施例中,KMS使用Kkms对共享密钥Ka加密后发送给用户B的邮箱应用服务器,并由用户B获取并返回给KMS,KMS使用Kkms解密得到Ka;在本发明的其它实施例中,KMS可以保存共享密钥Ka;当然,采用这种技术方案时,KMS需要增加对共享密钥Ka进行存储和维护的操作,增加了KMS的存储和处理负荷。
(二)在上述实施例中,KMS将用户A生成的随机数Ra以及ID-A作为密钥生成参数生成Ke2e、Ke2m和Km2e(其中随机数Ra采用加密方式传输并存储在用户B的邮箱应用服务器中),同时随机数Ra也被作为防止重放攻击的参数;在本发明的其它实施例中,也可以使用用户生成的其它参数、或使用随机数Ra与其它参数一起作为密钥生成参数生成Ke2e、Ke2m和Km2e,当然,为了保证密钥生成参数的安全传输和存储,密钥生成参数中至少有一个需要采用Ka进行加密后传输并保存在邮箱应用服务器中,该参数通常为用户A生成的随机数、和/或其它具有随机数性质的参数(例如时间戳等)。
(三)在上述实施例中,KMS生成媒体密钥和完整性传输密钥后,分别采用其与用户A和用户B的共享密钥对媒体密钥和完整性传输密钥加密后发送给用户A和用户B;在本发明的其它实施例中,KMS也可以采用其它安全方式发送媒体密钥和完整性传输密钥。
(四)在上述实施例中,KMS生成媒体密钥Ke2e时,同时生成完整性传输密钥Ke2m和Km2e;在本发明的其它实施例中,如果在接收方的邮箱应用服务器与接收方之间已有完整性保护方案,就不需要生成Km2e。
第二实施例
本发明的上述思想也可以应用于TBS(基于票据的系统),以实现上述密钥分发过程。
图8是本发明第二实施例媒体信息的发送方(用户A)与媒体信息的接收方(用户B)的邮箱应用服务器基于KMS进行密钥协商的方法流程图;本流程结束后,用户A获得了用于加密媒体信息的媒体密钥Ke2e,用户A和用户B的邮箱应用服务器获得双方共享的完整性传输密钥Ke2m,用户B的邮箱应用服务器还获得其与用户B共享的完整性传输密钥Km2e。
801:用户A与密钥管理服务器(KMS)采用通用认证机制(GBA)协商得到共享密钥Ka;
如果无法采用GBA方式,用户A可以采用其它认证方式与KMS协商得到共享密钥Ka。
802:用户B的邮箱应用服务器与KMS可以采用GBA、TLS、IPSec等方式协商得到共享密钥Km。
步骤801和802不分先后次序。
803:用户A向KMS发送票据获取请求,该请求中包含ID-A和ID-B。
804:KMS生成媒体密钥Ke2e、完整性传输密钥Ke2m和完整性传输密钥Km2e,将Ke2e、Ke2m和Km2e保存在用KMS私有密钥加密的票据中,然后将票据和Ea(Ke2e,Ke2m)包含在票据获取响应中发送给用户A;
此外,票据中还包含用KMS私有密钥加密的ID-A和ID-B等参数。
805:用户A使用Ka解密得到Ke2e和Ke2m,并将票据发送给用户B的邮箱应用服务器。
806:用户B的邮箱应用服务器得到票据后,将票据提交给KMS。
807:KMS接收到票据后,发现发送票据的是邮箱应用服务器,于是从票据中取出Ke2m和Km2e,然后将Ke2m和Km2e用KMS和邮箱应用服务器的共享密钥Km加密,得到Em(Ke2m,Km2e),将Em(Ke2m,Km2e)发送给邮箱应用服务器。
808:获得媒体密钥Ke2e后,用户A可以使用媒体密钥Ke2e安全地向用户B的邮箱应用服务器发送媒体信息;由于用户B的邮箱应用服务器无法得到媒体密钥Ke2e,确保了端到端的安全;
此外,用户A和用户B的邮箱应用服务器可以使用双方共享的完整性传输密钥Ke2m,实现用户A与用户B的邮箱应用服务器的相互认证以及两者之间数据的安全传输。
用户B上线后,首先需要从他的邮箱服务器中获取票据,获知有来自用户A的延迟媒体信息,并使用票据从KMS中获得媒体密钥Ke2e。
图9是本发明第二实施例媒体信息的接收方(用户B)与媒体信息的接收方的邮箱应用服务器以及KMS交互,获得媒体密钥的方法流程图;本流程结束后,用户B获得媒体密钥Ke2e和完整性传输密钥Km2e;如图9所示,该方法包括:
901:用户B与密钥管理服务器(KMS)采用通用认证机制(GBA)协商得到共享密钥Kb;
如果无法采用GBA方式,用户B可以采用其它认证方式与KMS协商得到共享密钥Kb。
902:用户B向邮箱应用服务器发送延迟媒体信息请求,该请求中包含用户B的标识符ID-B。
903:邮箱应用服务器向用户B返回延迟媒体信息响应,该响应中包含票据。
904:用户B向KMS发送媒体密钥获取请求,该请求中包含ID-A、ID-B和上述票据。
905:KMS使用其私有密钥解密接收到的票据,获得端到端的媒体密钥Ke2e,并核实用户B的身份,如果用户B的身份符合票据里定义的媒体信息的接收方的身份,则采用Kb对Ke2e和Km2e加密,得到Eb(Ke2e,Km2e),将Eb(Ke2e,Km2e)包含在媒体密钥获取响应中发送给用户B。
至此,用户B可以通过解密Eb(Ke2e,Km2e)获得媒体密钥Ke2e和完整性传输密钥Km2e,使用媒体密钥Ke2e解密从邮箱应用服务器获取的加密媒体信息,实现了端到端的安全;此外,用户B与邮箱应用服务器之间可以使用完整性传输密钥Km2e实现相互认证以及两者之间的数据的安全传输。
图10是本发明实施例IP多媒体子系统延迟媒体信息传输系统的结构示意图;该系统包含:媒体信息的发送方(用户A)、媒体信息的接收方(用户B)、KMS和用户B的邮箱应用服务器;其中:
发送方用于将密钥生成参数发送给邮箱应用服务器,邮箱应用服务器保存密钥生成参数,并将其发送给KMS;
KMS用于使用Ka对密钥生成参数中采用Ka加密的参数解密后,使用密钥生成参数生成媒体密钥Ke2e和完整性传输密钥Ke2m,将Ke2e和Ke2m发送给发送方,并将Ke2m发送给邮箱应用服务器;
发送方还用于使用Ke2m向邮箱应用服务器发送采用Ke2e加密的媒体信息;
接收方用于从邮箱应用服务器获取密钥生成参数,并将其发送给KMS;
接收到接收方发送的密钥生成参数后,KMS还用于使用Ka对密钥生成参数中采用Ka加密的参数解密后,使用密钥生成参数重新生成Ke2e,并将Ke2e发送给接收方;
接收方还用于从邮箱应用服务器获取发送方采用Ke2e加密的媒体信息,并使用Ke2e对其进行解密。
此外,接收到邮箱应用服务器发送的密钥生成参数后,KMS还使用密钥生成参数生成完整性传输密钥Km2e,并将Km2e发送给邮箱应用服务器;接收到接收方发送的密钥生成参数后,KMS还使用密钥生成参数生成Km2e,并将Km2e发送给接收方;接收方使用Km2e从邮箱应用服务器获取发送方采用Ke2e加密的媒体信息,并使用Ke2e对其进行解密。
此外,上述各网元还可以实现以下功能:
发送方用于向KMS发送票据获取请求;
KMS用于在接收到票据获取请求后,生成媒体密钥Ke2e和完整性传输密钥Ke2m,使用其与发送方共享的密钥Ka对Ke2e和Ke2m加密后,将票据、以及采用Ka加密的Ke2e和Ke2m发送给接收方;票据中包含采用KMS的私有密钥加密的Ke2e和Ke2m;
发送方还用于将票据发送给邮箱应用服务器;
邮箱应用服务器用于保存票据,并将票据发送给KMS;
KMS还用于在接收到邮箱应用服务器发送的票据后,使用私有密钥解密得到票据中包含的Ke2m,并将其发送给邮箱应用服务器;
发送方用于使用Ke2m向邮箱应用服务器发送采用Ke2e加密的媒体信息;
接收方用于从邮箱应用服务器获取票据,并将其发送给KMS;
KMS还用于在接收到接收方发送的票据后,使用私有密钥解密得到票据中包含的Ke2e,并将其发送给接收方;
接收方还用于从邮箱应用服务器获取发送方采用Ke2e加密的媒体信息,并使用Ke2e对其进行解密。
上述各网元的具体功能以及各网元间的消息交互关系详见上述对图5、图6、图8和图9所示方法实施例的描述部分。
Claims (10)
1.一种IP多媒体子系统延迟媒体信息传输方法,其特征在于,该方法包括:
媒体信息的发送方将密钥生成参数发送给媒体信息的接收方的邮箱应用服务器,所述邮箱应用服务器保存密钥生成参数,并将其发送给密钥管理服务器KMS;
KMS使用Ka对密钥生成参数中采用所述Ka加密的参数解密后,使用密钥生成参数生成媒体密钥Ke2e和完整性传输密钥Ke2m,将所述Ke2e和Ke2m发送给所述发送方,并将所述Ke2m发送给所述邮箱应用服务器;所述Ka为所述发送方与KMS共享的密钥;
所述发送方使用所述Ke2m向所述邮箱应用服务器发送采用所述Ke2e加密的媒体信息;
所述接收方从所述邮箱应用服务器获取所述密钥生成参数,并将其发送给KMS;
KMS使用所述Ka对密钥生成参数中采用所述Ka加密的参数解密后,使用密钥生成参数生成所述Ke2e,并将所述Ke2e发送给所述接收方;
所述接收方从所述邮箱应用服务器获取所述发送方采用所述Ke2e加密的媒体信息,并使用所述Ke2e对其进行解密。
2.如权利要求1所述的方法,其特征在于,
接收到所述邮箱应用服务器发送的密钥生成参数后,KMS还使用密钥生成参数生成完整性传输密钥Km2e,并将所述Km2e发送给所述邮箱应用服务器;
接收到所述接收方发送的密钥生成参数后,KMS还使用密钥生成参数生成所述Km2e,并将所述Km2e发送给所述接收方;
所述接收方使用所述Km2e从所述邮箱应用服务器获取所述发送方采用所述Ke2e加密的媒体信息,并使用所述Ke2e对其进行解密。
3.如权利要求1或2所述的方法,其特征在于,
将所述Ke2e和Ke2m发送给所述发送方前,KMS还使用私有密钥Kkms对所述Ka进行加密,并将其发送给所述邮箱应用服务器保存;
所述接收方从所述邮箱应用服务器获取所述密钥生成参数时,所述邮箱应用服务器还将所述加密的Ka发送给所述接收方,所述接收方将所述加密的Ka和所述密钥生成参数发送给KMS;
接收到所述加密的Ka后,KMS使用所述Kkms对其进行解密得到所述Ka。
4.如权利要求1或2所述的方法,其特征在于,
所述发送方采用如下方式将密钥生成参数发送给KMS:所述发送方将密钥生成参数包含在呼叫请求消息中发送给所述邮箱应用服务器,该消息中包含所述发送方和接收方的标识符;所述邮箱应用服务器保存所述密钥生成参数,将密钥生成参数包含在媒体密钥获取请求消息中发送给KMS,该消息中包含所述发送方、接收方和邮箱应用服务器的标识符;
KMS接收到所述媒体密钥获取请求消息后,对所述发送方、接收方和邮箱应用服务器的标识符进行验证,验证通过后才生成所述媒体密钥和完整性传输密钥。
5.如权利要求4所述的方法,其特征在于,
KMS采用如下方式将所述Ke2e和Ke2m发送给所述发送方:
KMS使用所述Ka对其生成的所述Ke2e和Ke2m进行加密,并将加密的Ke2e和Ke2m发送给所述邮箱应用服务器;
所述邮箱应用服务器将所述加密的Ke2e和Ke2m包含在呼叫应答消息中发送给所述发送方;
所述发送方使用所述Ka解密得到所述Ke2e和Ke2m。
6.如权利要求1或2所述的方法,其特征在于,
所述加密的密钥生成参数包括:所述发送方生成的随机数、和/或时间戳。
7.一种IP多媒体子系统延迟媒体信息传输方法,其特征在于,该方法包括:
接收到媒体信息的发送方发送的票据获取请求后,KMS生成媒体密钥Ke2e和完整性传输密钥Ke2m,使用其与所述发送方共享的密钥Ka对所述Ke2e和Ke2m加密后,将票据、以及采用所述Ka加密的Ke2e和Ke2m发送给所述接收方;所述票据中包含采用KMS的私有密钥加密的所述Ke2e和Ke2m;
所述发送方将所述票据发送给媒体信息的接收方的邮箱应用服务器,所述邮箱应用服务器保存所述票据,并将所述票据发送给KMS;KMS使用所述私有密钥解密得到所述票据中包含的所述Ke2m,并将其发送给所述邮箱应用服务器;
所述发送方使用所述Ke2m向所述邮箱应用服务器发送采用所述Ke2e加密的媒体信息;
所述接收方从所述邮箱应用服务器获取所述票据,并将其发送给KMS;KMS使用所述私有密钥解密得到所述票据中包含的所述Ke2e,并将其发送给所述接收方;
所述接收方从所述邮箱应用服务器获取所述发送方采用所述Ke2e加密的媒体信息,并使用所述Ke2e对其进行解密。
8.如权利要求7所述的方法,其特征在于,
将所述票据、以及采用所述Ka加密的Ke2e和Ke2m发送给所述接收方前,KMS还生成完整性传输密钥Km2e,并将其采用所述私有密钥加密后包含在所述票据中;
接收到所述邮箱应用服务器发送的所述票据后,KMS还使用所述私有密钥解密得到所述票据中包含的所述Km2e,并将其发送给所述邮箱应用服务器;
接收到所述接收方发送的所述票据后,KMS还使用所述私有密钥解密得到所述票据中包含的所述Km2e,并将其发送给所述接收方;
所述接收方使用所述Km2e从所述邮箱应用服务器获取所述发送方采用所述Ke2e加密的媒体信息,并使用所述Ke2e对其进行解密。
9.一种IP多媒体子系统延迟媒体信息传输系统,包含:媒体信息的发送方、媒体信息的接收方、KMS和媒体信息接收方的邮箱应用服务器;其特征在于:
所述发送方用于将密钥生成参数发送给所述邮箱应用服务器,所述邮箱应用服务器保存密钥生成参数,并将其发送给所述KMS;
所述KMS用于使用Ka对密钥生成参数中采用所述Ka加密的参数解密后,使用密钥生成参数生成媒体密钥Ke2e和完整性传输密钥Ke2m,将所述Ke2e和Ke2m发送给所述发送方,并将所述Ke2m发送给所述邮箱应用服务器;所述Ka为所述发送方与所述KMS共享的密钥;
所述发送方还用于使用所述Ke2m向所述邮箱应用服务器发送采用所述Ke2e加密的媒体信息;
所述接收方用于从所述邮箱应用服务器获取密钥生成参数,并将其发送给所述KMS;
接收到所述接收方发送的密钥生成参数后,所述KMS还用于使用所述Ka对密钥生成参数中采用所述Ka加密的参数解密后,使用密钥生成参数生成所述Ke2e,并将所述Ke2e发送给所述接收方;
所述接收方还用于从所述邮箱应用服务器获取所述发送方采用所述Ke2e加密的媒体信息,并使用所述Ke2e对其进行解密。
10.一种IP多媒体子系统延迟媒体信息传输系统,包含:媒体信息的发送方、媒体信息的接收方、KMS和媒体信息接收方的邮箱应用服务器;其特征在于:
所述发送方用于向所述KMS发送票据获取请求;
所述KMS用于在接收到所述票据获取请求后,生成媒体密钥Ke2e和完整性传输密钥Ke2m,使用其与所述发送方共享的密钥Ka对所述Ke2e和Ke2m加密后,将票据、以及采用所述Ka加密的Ke2e和Ke2m发送给所述接收方;所述票据中包含采用KMS的私有密钥加密的所述Ke2e和Ke2m;
所述发送方还用于将所述票据发送给所述邮箱应用服务器;
所述邮箱应用服务器用于保存所述票据,并将所述票据发送给所述KMS;
所述KMS还用于在接收到所述邮箱应用服务器发送的所述票据后,使用所述私有密钥解密得到所述票据中包含的所述Ke2m,并将其发送给所述邮箱应用服务器;
所述发送方用于使用所述Ke2m向所述邮箱应用服务器发送采用所述Ke2e加密的媒体信息;
所述接收方用于从所述邮箱应用服务器获取所述票据,并将其发送给所述KMS;
所述KMS还用于在接收到所述接收方发送的所述票据后,使用所述私有密钥解密得到所述票据中包含的所述Ke2e,并将其发送给所述接收方;
所述接收方还用于从所述邮箱应用服务器获取所述发送方采用所述Ke2e加密的媒体信息,并使用所述Ke2e对其进行解密。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910151034XA CN101729536B (zh) | 2009-06-29 | 2009-06-29 | 一种ip多媒体子系统延迟媒体信息传输方法及系统 |
US13/260,100 US20120011368A1 (en) | 2009-06-29 | 2010-03-22 | Method and system for transmitting delay media information in ip multimedia subsystem |
EP10788631.9A EP2451133B1 (en) | 2009-06-29 | 2010-03-22 | Method and system for transmitting delay media information in ip multimedia subsystem |
PCT/CN2010/071185 WO2010145235A1 (zh) | 2009-06-29 | 2010-03-22 | 一种ip多媒体子系统延迟媒体信息传输方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910151034XA CN101729536B (zh) | 2009-06-29 | 2009-06-29 | 一种ip多媒体子系统延迟媒体信息传输方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101729536A true CN101729536A (zh) | 2010-06-09 |
CN101729536B CN101729536B (zh) | 2012-07-18 |
Family
ID=42449744
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910151034XA Active CN101729536B (zh) | 2009-06-29 | 2009-06-29 | 一种ip多媒体子系统延迟媒体信息传输方法及系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20120011368A1 (zh) |
EP (1) | EP2451133B1 (zh) |
CN (1) | CN101729536B (zh) |
WO (1) | WO2010145235A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104486077A (zh) * | 2014-11-20 | 2015-04-01 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
US11418549B2 (en) | 2015-12-21 | 2022-08-16 | Nokia Solutions And Networks Oy | Internet protocol (IP) multimedia subsystem (IMS) level awareness of high latency device |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2283430B1 (en) * | 2008-05-23 | 2018-08-01 | Telefonaktiebolaget LM Ericsson (publ) | Ims user equipment, control method thereof, host device, and control method thereof |
US20150172050A1 (en) * | 2013-12-12 | 2015-06-18 | Nxp B.V. | Random data from gnss signals and secure random value provisioning for secure software component implementations |
CN116743461B (zh) * | 2023-06-15 | 2023-12-22 | 上海银满仓数字科技有限公司 | 基于时间戳的商品数据加密方法和装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101005359B (zh) * | 2006-01-18 | 2010-12-08 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
US9178696B2 (en) * | 2007-11-30 | 2015-11-03 | Telefonaktiebolaget L M Ericsson (Publ) | Key management for secure communication |
CN101252577B (zh) * | 2008-04-17 | 2010-08-04 | 电子科技大学 | 一种三方密钥协商产生方法 |
US8565436B2 (en) * | 2008-12-15 | 2013-10-22 | Ebay Inc. | Secure self managed data (SSMD) |
-
2009
- 2009-06-29 CN CN200910151034XA patent/CN101729536B/zh active Active
-
2010
- 2010-03-22 WO PCT/CN2010/071185 patent/WO2010145235A1/zh active Application Filing
- 2010-03-22 US US13/260,100 patent/US20120011368A1/en not_active Abandoned
- 2010-03-22 EP EP10788631.9A patent/EP2451133B1/en active Active
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104486077A (zh) * | 2014-11-20 | 2015-04-01 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
CN104486077B (zh) * | 2014-11-20 | 2017-09-15 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
US11418549B2 (en) | 2015-12-21 | 2022-08-16 | Nokia Solutions And Networks Oy | Internet protocol (IP) multimedia subsystem (IMS) level awareness of high latency device |
Also Published As
Publication number | Publication date |
---|---|
WO2010145235A1 (zh) | 2010-12-23 |
EP2451133B1 (en) | 2016-04-27 |
US20120011368A1 (en) | 2012-01-12 |
CN101729536B (zh) | 2012-07-18 |
EP2451133A4 (en) | 2013-12-11 |
EP2451133A1 (en) | 2012-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8868912B2 (en) | Method and apparatus for establishing a security association | |
CN101420413B (zh) | 会话密钥协商方法、认证服务器及网络设备 | |
US8935529B2 (en) | Methods and systems for end-to-end secure SIP payloads | |
EP1946479B1 (en) | Communication securiy | |
US8837737B2 (en) | Key management in a communication network | |
EP2426852B1 (en) | Method and system for implementing secure forking calling session in ip multi-media subsystem | |
CN104618110A (zh) | 一种VoIP安全会议会话密钥传输方法 | |
WO2009135444A1 (zh) | 一种密钥分配方法、终端设备及密钥分配中心 | |
US20150074396A1 (en) | Lawful Interception of Encrypted Communications | |
CN101958907A (zh) | 一种传输密钥的方法、系统和装置 | |
CN101729532B (zh) | 一种ip多媒体子系统延迟媒体信息传输方法及系统 | |
CN101222320B (zh) | 一种媒体流安全上下文协商的方法、系统和装置 | |
CN101729536B (zh) | 一种ip多媒体子系统延迟媒体信息传输方法及系统 | |
CN101790160A (zh) | 安全协商会话密钥的方法及装置 | |
CN104683291A (zh) | 基于ims系统的会话密钥协商方法 | |
US8488795B2 (en) | Method for providing a symmetric key for protecting a key management protocol | |
CN102905199A (zh) | 一种组播业务实现方法及其设备 | |
KR20090067041A (ko) | 보안성이 강화된 sⅰp 등록 및 sⅰp 세션 설정 방법 및장치 | |
CN102025485B (zh) | 密钥协商的方法、密钥管理服务器及终端 | |
CN101729535B (zh) | 一种媒体点播业务的实现方法 | |
CN101729533B (zh) | 一种ip多媒体子系统延迟媒体信息的传输方法及系统 | |
Fries et al. | On the applicability of various multimedia internet keying (mikey) modes and extensions | |
CN101719894B (zh) | 一种安全发送延迟媒体的实现系统及方法 | |
Fries et al. | RFC 5197: On the Applicability of Various Multimedia Internet KEYing (MIKEY) Modes and Extensions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |