CN101997677B - Ip多媒体子系统中会议媒体流密钥的管理方法与装置 - Google Patents
Ip多媒体子系统中会议媒体流密钥的管理方法与装置 Download PDFInfo
- Publication number
- CN101997677B CN101997677B CN200910162688.2A CN200910162688A CN101997677B CN 101997677 B CN101997677 B CN 101997677B CN 200910162688 A CN200910162688 A CN 200910162688A CN 101997677 B CN101997677 B CN 101997677B
- Authority
- CN
- China
- Prior art keywords
- group
- participating user
- key
- session participating
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本发明公开了一种IP多媒体子系统中会议媒体流密钥的管理方法,包括:对IP多媒体子系统IMS电话会议中的会话参与用户进行分组,并为同组中的会话参与用户分配相同的密钥;组中的会话参与用户与会议中心之间,根据所述密钥对媒体流进行加密及解密处理。本发明同时公开了一种实现前述方法的装置,包括:分组单元,用于对IMS电话会议中的会话参与用户进行分组;密钥分配单元,用于为同组中的会话参与用户分配相同的密钥;所述密钥用于在组中的会话参与用户与会议中心之间对媒体流进行加密及解密处理。本发明节约了电话会议的应用服务器的处理资源,更适合于电话会议的多电话会议参与者,支持任何参与者的新增或退出,本发明方案实现简单且实用。
Description
技术领域
本发明涉及IP多媒体子系统(IMS,IP Multi-media Subsystem)中的密钥管理技术,尤其涉及一种IP多媒体子系统中会议媒体流密钥的管理方法与装置。
背景技术
IMS电话会议是多个会话参与用户之间的电话交谈,其中大部分IMS电话会议都是紧耦合形式的,在紧耦合的电话会议中总会有一个会议中心,会议的参与者都与之连接。这个会议中心提供各种会议服务,包括编码转换和参与者列表通知等。
在IMS电话会议中,一般在电话会议的应用服务器(AS,Application Server)中实现会议控制的功能,当受到一个INVITE请求时(该请求利用会议工厂的统一资源定位符(URI,Universal Resource Identifier)寻址达到该工厂),就可以创建一个新的会议实例并分配一个URI。
在IMS电话会议中,每个会话参与用户所产生的媒体流都汇集在多媒体资源功能处理器(MRFP,Multimedia Resource Function Processor),由MRFP完成媒体混合功能,然后把混合后的媒体流发送给每个会话参与用户,MRFP可以实现解密与加密媒体的功能。在这种情况下,由于MRFP需要获得会话明文来实现媒体混合,需要保障IMS用户设备(UE,User Equipment)到MRFP之间的会议媒体流安全,目前的解决方案为:IMS UE加密媒体流后发给MRFP,MRFP先解密完成媒体混合,再将混合媒体加密后发送给各参会IMS UE。
目前为了实现会议媒体流的安全,IMS UE和MRFP之间可以使用两种密钥方式,以下分别介绍之。
一种是组密钥,即参与会议的所有用户与MRFP使用同一个密钥。
图1为IMS电话会议中组密钥方案的示意图,如图1所示,用户(会话参与用户)A、B、C、D与MRFP拥有共同的媒体密钥K,各用户用媒体密钥K加密自己要发出的媒体流到MRFP,MRFP使用密钥K解密接收到的密文,将解密后的明文混音后再用密钥K进行加密,并发送给各用户,各用户使用密钥K解密获得会议明文。
使用这种组密钥管理方式的优点是,MRFP的计算量相对较小。由于所有用户与MRFP使用相同的共享密钥,MRFP不需要在接收到密文时首先检索媒体密钥,只须用相同的密钥解密由各会话参与用户发来的加密媒体,混音后,仅需用组密钥对混音后的流媒体进行一次加密,得到一个密文,即可通过组播分发给各会话参与的用户。该方式适合于会话参与用户数量较大的电话会议中。但使用这种密钥的缺点在于,一旦有用户退出会议或者有新用户加入电话会议时,必须重新协商组密钥,所有会话参与用户与MRFP必须更新并使用新的组密钥。如果参加会议的用户数量很大,更新一次组密钥所需要的信令开销必须被考虑,而且由此引起的延时可能太长而令会话参与用户不能忍受,这种情况下,用户加入与退出对电话会议所造成的影响会非常大。
另一种是每个会话参与用户的密钥是唯一的,即参与电话会议的各用户与MRFP之间使用互不相同的密钥。
图2为IMS电话会议中各用户分配唯一密钥方案的示意图,如图2所示,会话参与用户A、B、C、D分别与MRFP拥有密钥K1、K2、K3、K4。每个会话参与的用户在发送会议媒体流时,使用自己与MRFP的唯一的共享密钥对媒体流进行加密,然后将密文发给MRFP,MRFP根据媒体流的发送者选择相应的密钥进行解密,将解密后的明文作混音后,MRFP再将混音后的媒体流分别用与每个会话参与的用户唯一的共享密钥进行加密,并分发给对应的每个会话参会的用户。
使用这种密钥管理方式的好处在于会议中有成员退出或新成员加入均不会对其他成员造成影响,对于新加入的会话参与的成员,只需为该成员与MRFP协商一个唯一的密钥即可。缺点在于,假设一个会议中有N个会话参与用户,MRFP解密从用户发来的媒体流做混音后,需要对媒体流进行N次加密,再将这N个密文分别发送给对应的N个会话参与的用户,这样对于信道流量负荷,以及MRFP的加密解密开销都较大。所以,虽然使用这种会话参与用户与MRFP之间采用唯一密钥的管理方式方便了会话参与用户的加入和退出,但由于MRFP的工作量依赖于会议参与者的多少,该方式并不适合会话参与用户数量较大的电话会议。
由上述可见,这两种密钥方式有各自的优点和缺点,但在实际应用中,实现该两种密钥方案中的任何一种,都无法完全适合不同情况的会议服务(如参会人数不一样,参会人员稳定度不一样)的媒体流安全,尤其是针对参会人数较多的电话会议,上述方法都不能提供较佳的服务。
发明内容
有鉴于此,本发明的主要目的在于提供一种IP多媒体子系统中会议媒体流密钥的管理方法与装置,能根据当前的会话参与用户的数量进行分组,并按所分组进行密钥管理。
为达到上述目的,本发明的技术方案是这样实现的:
一种IP多媒体子系统中会议媒体流密钥的管理方法,包括:
对IP多媒体子系统IMS电话会议中的会话参与用户进行分组,并为同组中的会话参与用户分配相同的密钥;
组中的会话参与用户与会议中心之间,根据所述密钥对媒体流进行加密及解密处理。
优选地,对IMS电话会议中的会话参与用户进行分组,具体为:按电话会议的应用服务器所支持的密钥处理能力来确定组数;所述会议中心是指多媒体资源功能处理器MRFP。
优选地,所述组中会话参与用户的数量根据电话会议的应用服务器所支持密钥处理组数C及电话会议中的会话参与用户总数量N确定,其中每组中的会话参与用户最大数量为:[N/C],其中,“[]”表示向上取整运算。
优选地,所述电话会议中的会话参与用户增加时,将新增的会话参与用户添加到当前会话参与用户数量少于[N/C]的组中,为添加新增会话参与用户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。
优选地,所述电话会议中的组中的会话参与用户减少时,为会话参与用户减少的组重新确定密钥,并通知所述会话参与用户减少的组中的当前所有会话参与用户。
优选地,所述电话会议中的会话参与用户增加时,将新增的会话参与用户添加到当前会话参与用户数量最少的组中;如果存在几个组有相同的最少用户数量,则将新增的会话参与用户添加到其中任意组中,为添加新增会话参与用户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。
一种IP多媒体子系统中会议媒体流密钥的管理装置,包括:
分组单元,用于对IMS电话会议中的会话参与用户进行分组;
密钥分配单元,用于为同组中的会话参与用户分配相同的密钥;以及
处理单元,用于在组中的会话参与用户与会议中心之间,根据所述密钥对媒体流进行加密及解密处理。
优选地,所述分组单元对IMS电话会议中的会话参与用户进行分组,具体为:按电话会议的应用服务器所支持的密钥处理能力来确定组数;所述会议中心是指多媒体资源功能处理器MRFP。
优选地,所述装置还包括:
确定单元,用于确定组中会话参与用户的数量,具体为:根据电话会议的应用服务器所支持密钥处理组数C及电话会议中的会话参与用户总数量N确定,其中每组中的会话参与用户最大数量为:[N/C],其中,“[]”表示向上取整运算。
优选地,所述装置还包括:
第一添加单元,用于在电话会议中的会话参与用户增加时,将新增的会话参与用户添加到当前会话参与用户数量少于[N/C]的组中,所述密钥分配单元为添加新增会话参与用户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。
优选地,所述密钥分配单元在电话会议中的组中的会话参与用户减少时,为会话参与用户减少的组重新确定密钥,并通知所述会话参与用户减少的组中的当前所有会话参与用户。
优选地,所述装置还包括:
第二添加单元,用于在电话会议中的会话参与用户增加时,将新增的会话参与用户添加到当前会话参与用户数量最少的组中,如果存在几个组有相同的最少用户数量,则将新增的会话参与用户添加到其中任意组中,所述密钥分配单元为添加新增会话参与用户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。
本发明中,在电话会议建立时,根据会话参与用户的数量对其进行分组,并为同组中的所有会话参与用户设置相同的密钥,组中的所有会话参与用户使用为该组分配的密钥对与MRFP之间的会议媒体流进行加密及解密处理。在电话会议中新增及组内减少会话参与用户时,对该组的密钥进行更新即可,这样,节约了电话会议的应用服务器的处理资源,本发明更适合于电话会议的多电话会议参与者,更支持任何参与者的新增或退出,本发明方案实现简单且实用。
附图说明
图1为IMS电话会议中组密钥方案的示意图;
图2为IMS电话会议中各用户分配唯一密钥方案的示意图;
图3为本发明IMS电话会议中基于用户分组的密钥分配示意图;
图4为本发明IMS电话会议中基于组的密钥建立及更新流程图;
图5为本发明基于KMS的IMS电话会议的组的密钥建立流程图;
图6为本发明基于KMS的用户退出情形下密钥更新流程图;
图7为本发明基于KMS的用户加入情形下密钥更新流程图;
图8为本发明IP多媒体子系统中会议媒体流密钥的管理装置的组成结构示意图。
具体实施方式
本发明的基本思想是:在电话会议建立时,根据会话参与用户的数量对其进行分组,并为同组中的所有会话参与用户设置相同的密钥,组中的所有会话参与用户使用为该组分配的密钥对与MRFP之间的会议媒体流进行加密及解密处理。在电话会议中新增及组内减少会话参与用户时,对该组的密钥进行更新即可,这样,节约了电话会议的应用服务器的处理资源,本发明更适合于电话会议的多电话会议参与者,更支持任何参与者的新增或退出,本发明方案实现简单且实用。
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。
图3为本发明IMS电话会议中基于用户分组的密钥分配示意图,如图3所示,假设某电话会议场景中有8个会话参与用户分别为A、B、C、D、E、F、G、H,分别分为3组,其中,会话参与用户A、B、C属于第一组,会话参与用户D、E、F属于第二组,会话参与用户G、H为第三组;会议中心与这三组的会话参与成员分别拥有三个媒体密钥K1、K2、K3,即第一组会话参与成员A、B、C均与MRFP拥有共享密钥K1,第二组会话参与成员D、E、F均与MRFP拥有共享密钥K2,第三组会话参与成员G、H与MRFP拥有共享密钥K3。这样,当有会话参与用户退出或加入时,只有相关的小组成员需要与MRFP进行密钥更新,而其他组的所有成员均不受影响。假设图3中的用户E退出会议,那么MRFP只需和用户E所在小组的其它成员,即会话参与用户D、F进行会话媒体流密钥更新,例如使用新的密钥K2′,而会话参与用户A、B、C、G、H仍然使用之前的密钥,即会话参与用户A、B、C仍使用密钥K1,会话参与用户G、H仍使用K3,这样既避免了为每个会话参与用户分配会话媒体流密钥的,又降低了密钥更新的开销。
使用组合密钥,会议中心可以根据不同的策略进行分组选择,自由进行加密解密开销与新密钥更新开销的折中。具体策略由服务提供商根据其电话会议的应用服务器自身的能力、信道带宽、会话参与人员数量、会话参与人员归属地等具体进行制订。其中,电话会议的应用服务器自身能力反映在两个方面,一是组成员规模,即组成员规模为多大时,组内成员进出,导致组密钥更新所带来的开销不会影响到用户体验,即时延在可允许最大范围内;二是分组数量,即组规模为多大时,电话会议的应用服务器对每个会话媒体流解密并对混合后的媒体流逐一加密的开销将导致用户体验的明显下降。以下通过具体的示例进一步阐明本发明技术方案的实质。
图4为本发明IMS电话会议中基于组的密钥建立及更新流程图,如图4所示,包括以下步骤:
步骤401:电话会议建立。电话会议的制定用户发起电话会议的建立请求,电话会议的应用服务器接收到该建立请求,进行电话会议的建立。
步骤402:根据电话会议的应用服务器的组密钥的处理能力C和会话参与用户总数量N,计算出每个分组的最大成员数量Mmax=[N/C],其中,“[]”表示向上取整运算。C表示电话会议的应用服务器能支持的密钥处理的最大分组数。如果在会议建立时不知道会话参与用户数量,则使用默认每组成员数Mdefault对会话参与的用户进行分组。例如,电话会议的应用服务器能力C为支持5组,会话参与用户数量为24人,则每组最大成员数为[24/5]=5。
步骤403:根据计算出或默认的每分组成员数,对会话参与用户进行分组。仍基于前述每组最大为5人为例,会话参与用户被分为5组,前4组均有5个成员,最后一组包含4个成员。
步骤404:电话会议会议中心与这五组成员分别协商出K1、K2、K3、K4、K5。
步骤405:判断当前电话会议的各组中是否有用户退出,若有则执行步骤410,否则执行步骤406。
步骤406:判断当前电话会议中是否有新用户加入,若有则执行步骤407,否则执行步骤411,当前流程结束。
步骤407:当新用户加入到当前的电话会议中时,将触发添加该新用户所在组的密钥进行更新,检查是否有存在组内用户数未达到Mmax的组,如果有的话,则执行步骤408,否则执行步骤409。
步骤408:将新用户添加到用户数未达到Mmax的组,然后执行步骤410,更新该组所有用户与会议中心的密钥。例如上例中,第五组成员数为4,未达到最大值,即组员未满,有新成员加入,则被划分到第五组,第五组的五个成员与会议中心协商新密钥K5′。
步骤409:如果所有分组的成员数都达到了Mmax,根据前述的描述,新增一个组时,可能会影响到整个电话会议的会话质量,电话会议的应用服务器可能不能处理更多的分组,则将新加入的成员添加到前述5组中的任一个组,然后执行步骤410,更新该组与会议中心的密钥。如果前五组均有5个用户,新加入成员任意添加到前述5组中的任一组,与会议中心协商出密钥K′。
步骤410:在用户退出或新增了用户的情况下触发密钥更新,用户所在组的所有成员与会议中心协商出新密钥。例如第一组中的一个用户退出,则第一组中的其它所有成员与会议中心进行密钥更新,而其它组成员不受影响。
步骤411:处理流程结束。
需要说明的是,前述的通过计算电话会议中每组用户的Mmax数仅是一种示例而已,是为保证分组中的用户数尽量均匀的一种具体实现。本发明可根据电话会议的应用服务器的处理能力,为每个组中的用户数设置为任意的数量,只要不超出应用服务器对单个组中用户的会话媒体流加密解密处理能力即可。例如,在这种应用场景下,当有新用户加入到当前电话会议中时,可将新增的用户添加到当前用户数最少的哪个组中。当每个组中的用户数都达到了应用服务器的所支持的最大数时,如果当前的组数未达到应用服务器所支持的组数,则增加新组,将新增用户加入到该新组中即可,并为该新组分配对会话媒体流加解密处理新密钥,并通知该新加入的用户即可。如果此时应用服务器也达到了所支持的最大组数,则拒绝该新用户接入当前的电话会议中。
本发明最大优点在于灵活性,通过灵活配置分组用户数量可以满足会议服务媒体流安全需求。下面具体给出IMS会议中心邀请成员场景下的IMS会议媒体流密钥协商的一个实例流程。
在IMS中会议中央控制器在多媒体资源功能控制器(MRFC,MultimediaResource Function controller)/AS中实现,MRFP负责媒体流的混音及加密解密。首先说明,这种基于密钥管理服务器(KMS,Key Management Server)的密钥协商机制均需要IMS用户,应用服务器和KMS首先进行通用认证机制(GBA,General Bootstrapping Architecture)过程来协商出共享密钥,如果GBA不能被使用,则使用其他方式与KMS建立安全信任关系。在图5至图7所示场景的安全解决方法流程中,为了让流程看起来更加简洁,GBA过程将不再在图中示出,未作特殊说明时,所有解决方法附图实例中IMS用户A、IMS用户M、IMS用户N及IMS用户X与KMS的共享密钥分别为Ka,Km,Kn,Kx,电话会议的应用服务器与KMS的共享密钥为Kas,各用户与KMS之间均已经建立安全通道。
图5为本发明基于KMS的IMS电话会议的分组密钥建立流程图,如图5所示,本发明基于KMS的IMS电话会议的组的密钥建立包括以下步骤:
步骤501:IMS用户A发起带有会议工厂URI的会议请求INVITE,信息中包括IMS用户A的标识信息(ID-A)、会议电话的标识信息(即会议工厂URI)(ID-CONF(Conference Call))、会话参与用户列表(ID-Rec List)以及用于与KMS的共享密钥Ka加密的Ea(ID-A,ID-CONF),并通过IMS网络将INVITE消息转发给电话会议的应用服务器MRFC/AS。
步骤502:MRFC/AS收到带有会议工厂URI的INVITE后,与MRFP进行交互,创建电话会议。
步骤503:MRFC/AS根据策略和会话参与用户列表中的信息,制定分组类型,并为第一个分组生成随机数R1。
步骤504:MRFC/AS向KMS发起媒体密钥请求,请求中包含从IMS用户A获得的INVITE消息中包含的ID-A、ID-CONF、Ea(ID-A,ID-CONF)等参数,再加上用自己与KMS的共享密钥Kas加密的Eas(R1,ID-A,ID-CONF)。
步骤505:KMS收到媒体密钥请求后,用Ka,Kas分别解密Ea(ID-A,ID-CONF),Eas(R1,ID-A,ID-CONF),将解密得到的ID-A,ID-CONF与明文ID-A,ID-CONF进行比较,如果一致,则使用密钥生成函数(KDC),基于R1生成媒体密钥K1。
步骤506:KMS用Ka,Kas分别加密媒体密钥K1,得到Ea(K1),Eas(K1),并将它们包含在报文中返回给MRFC/AS。
步骤507:MRFC/AS收到KMS返回的报文后,用Kas解密Eas(K1)得到媒体密钥K1,并将Ea(K1)包含在200OK消息中通过IMS网络返回给IMS用户A。IMS用户A收到该200OK消息后,用Ka解密Ea(K1),即可获悉媒体密钥K1。
步骤508:会议中心邀请第一组用户,呼叫该组内每个用户的流程参见步骤508到步骤512,故在图中只示出了一个用户作为例子。
步骤508中,MRFC/AS根据IMS用户A的ID-Rec List呼叫会话参与用户,首先MRFC/AS将INVITE消息发给IMS网络,具体来说是服务呼叫会话控制功能(S-CSCF,Service-Call Session Control Function)网元,再转发给被叫用户M。消息中包含会议URI:ID-CONF,相应邀请用户的ID(图例中为ID-M),用Kas加密的Eas(R1,ID-CONF,ID-M)。
步骤509:IMS用户M收到INVITE消息后,向KMS发起媒体密钥请求,请求中包含ID-CONF,ID-M,Eas(R1,ID-CONF,ID-M)以及用它自己和KMS的共享密钥Km加密的Em(ID-CONF,ID-M)。
步骤510:KMS收到媒体密钥请求后,用Kas和Km分别解密密文Eas(R1,ID-CONF,ID-M)和Em(ID-CONF,ID-M),将得到的ID-CONF,ID-M分别与明文ID-CONF,ID-M比较是否一致,如果一致,KMS使用KDC基于R1再次生成密钥K1。
步骤511:通过验证后,KMS用与IMS用户M的共享密钥Km和与Kas分别加密K1得到Em(K1)和Eas(K1),并将该密文发在报文中返回给IMS用户M。IMS用户M收到KMS返回的报文后,用Km解密Em(K1),得到会议媒体组合密钥K1。
步骤512:IMS用户M通过IMS网络返回包含Eas(K1)的200OK消息给MRFC/AS。
当开始邀请一个新组成员时,MRFC/AS生成新的随机数。如图5所示,邀请第二组成员时,MRFC/AS生成随机数R2。下面的流程与邀请第一组成员流程完全相似,这样,KMS为所有被邀请的成员生成组合媒体密钥。
图6为本发明基于KMS的用户退出情形下密钥更新流程图,如图6所示,本发明基于KMS的用户退出情形下密钥更新包括以下步骤:
步骤601:有电话会议参与用户退出会议,MRFC/AS确定其所在组,生成新的随机数R。
步骤602:MRFC/AS向KMS发送密钥更新请求,该请求中包括自己的ID,ID-CONF,以及用Kas加密得到的Eas(R,ID-CONF,ID-Group),其中ID-Group为退出用户原先所在的组中现有所有成员ID。
步骤603:KMS根据Kas解密Eas(R,ID-CONF,ID-Group),验证ID-CONF是否一致,基于随机数R生成新的媒体密钥Knew。
步骤604:KMS根据ID-Group将Knew用自己与组中各用户的共享密钥加密后放在密钥更新通知中发给各相应用户。
步骤605:相应用户收到KMS发来的密钥更新通知后,用自己与KMS的共享密钥解密获得新的媒体密钥Knew,返回OK消息给KMS。
步骤606:获得所有相应用户的OK消息后,KMS将用Kas加密的Knew,即Eas(Knew)返回给MRFC/AS。
这样该组成员就可以用新的媒体密钥Knew与MRFP进行安全媒体通信。
图7为本发明基于KMS的用户加入情形下密钥更新流程图,如图7所示,本发明基于KMS的用户加入情形下密钥更新包括以下步骤:
步骤701:MRFC/AS邀请新用户X加入会议,首先MRFC/AS为新用户选定分组,然后生成随机数R。
步骤702:MRFC/AS通过IMS网络发送INVITE消息,消息中包括ID-CONF,邀请用户的ID,即ID-X,以及用Kas加密得到的Eas(R,ID-CONF,ID-X,ID-Group),其中ID-Group为新用户所在组的成员ID列表。
步骤703:IMS用户X向KMS发起媒体密钥请求,请求中包含从INVITE消息中得到的ID-CONF,ID-X,Eas(R,ID-CONF,ID-X,ID-Group),以及用自己与KMS的共享密钥Kx加密得到的Ex(ID-CONF,ID-X)。
步骤704:KMS收到媒体密钥请求后,用Kas和Kx分别解密密文Eas(R,ID-CONF,ID-X,ID-Group)和Ex(ID-CONF,ID-X),将得到的ID-CONF,ID-X分别与明文ID-CONF,ID-X比较是否一致,如果一致,KMS使用KDC基于R生成媒体密钥Knew。
步骤705:根据解密得到的ID-Group,KMS将Knew用自己与列表中各用户的共享密钥加密后放在密钥更新通知中发给各相应用户。
步骤706:相应用户收到KMS发来的密钥更新通知后,用自己与KMS的共享密钥解密获得新的媒体密钥Knew,返回OK消息给KMS。
步骤707:获得所有相应用户的OK消息后,KMS将用Kx和Kas分别加密的Knew,得到Ex(Knew)和Eas(Knew)返回给用户X。
步骤708:用户X使用Kx解密Ex(Knew)得到Knew,并将Eas(Knew)包含在200OK消息中返回给MRFC/AS。
图8为本发明IP多媒体子系统中会议媒体流密钥的管理装置的组成结构示意图,如图8所示,本发明IP多媒体子系统中会议媒体流密钥的管理装置包括分组单元80和密钥分配单元81,其中,分组单元80用于对IMS电话会议中的会话参与用户进行分组;密钥分配单元81用于为同组中的会话参与用户分配相同的密钥,所述密钥用于在组中的会话参与用户与会议中心之间对媒体流进行加密及解密处理。分组单元80对IMS电话会议中的会话参与用户进行分组,具体为:按电话会议的应用服务器所支持的密钥处理能力来确定组数。所述会议中心是指多媒体资源功能处理器MRFP。
如图8所示,本发明IP多媒体子系统中会议媒体流密钥的管理装置还包括确定单元82,用于确定组中会话参与用户的数量,具体为:根据电话会议的应用服务器所支持密钥处理组数C及电话会议中的会话参与用户总数量N确定,其中每组中的会话参与用户最大数量为:[N/C],其中,“[]”表示向上取整运算。
如图8所示,本发明IP多媒体子系统中会议媒体流密钥的管理装置还包括第一添加单元83,用于在电话会议中的会话参与用户增加时,将新增的会话参与用户添加到当前会话参与用户数量少于[N/C]的组中,密钥分配单元81为添加新增会话参与用户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。
密钥分配单元81在电话会议中的组中的会话参与用户减少时,为会话参与用户减少的组重新确定密钥,并通知所述会话参与用户减少的组中的当前所有会话参与用户。
如图8所示,本发明IP多媒体子系统中会议媒体流密钥的管理装置还包括第二添加单元84,用于在电话会议中的会话参与用户增加时,将新增的会话参与用户添加到当前会话参与用户数量最少的组中,如果存在几个组有相同的最少用户数量,则将新增的会话参与用户添加到其中任意组中,密钥分配单元81为添加新增会话参与用户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。
本领域技术人员应当理解,图8所示的IP多媒体子系统中会议媒体流密钥的管理装置中各处理单元的功能可参照图3至图7中的相关描述而理解,各处理单元的功能可通过运行于处理器上的程序而实现,也可通过具体的逻辑电路而实现。图8中,除分组单元80和密钥分配单元81外,其余各处理单元均非实现本发明装置的必要技术特征。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1.一种IP多媒体子系统中会议媒体流密钥的管理方法,其特征在于,包括:
对IP多媒体子系统IMS电话会议中的会话参与用户进行分组,并为同组中的会话参与用户分配相同的密钥;
组中的会话参与用户与会议中心之间,根据所述密钥对媒体流进行加密及解密处理;
当有会话参与用户退出或加入时,只对所述退出或加入的会话用户所退出或加入的组的成员进行密钥更新;
所述会议中心是指多媒体资源功能处理器MRFP,所述MRFP根据不同的策略进行分组选择,所述策略由服务提供商根据其电话会议的应用服务器自身的能力、信道带宽、会话参与人员数量、会话参与人员归属地确定。
2.根据权利要求1所述的方法,其特征在于,所述组中会话参与用户的数量根据电话会议的应用服务器所支持密钥处理组数C及电话会议中的会话参与用户总数量N确定,其中每组中的会话参与用户最大数量为:[N/C],其中,“[]”表示向上取整运算。
3.根据权利要求2所述的方法,其特征在于,所述电话会议中的会话参与用户增加时,将新增的会话参与用户添加到当前会话参与用户数量少于[N/C]的组中,为添加新增会话参与用户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。
4.根据权利要求1所述的方法,其特征在于,所述电话会议中的组中的会话参与用户减少时,为会话参与用户减少的组重新确定密钥,并通知所述会话参与用户减少的组中的当前所有会话参与用户。
5.根据权利要求1所述的方法,其特征在于,所述电话会议中的会话参与用户增加时,将新增的会话参与用户添加到当前会话参与用户数量最少的组中;如果存在几个组有相同的最少用户数量,则将新增的会话参与用户添加到其中任意组中,为添加新增会话参与用户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。
6.一种IP多媒体子系统中会议媒体流密钥的管理装置,其特征在于,包括:
分组单元,用于对IMS电话会议中的会话参与用户进行分组;
密钥分配单元,用于为同组中的会话参与用户分配相同的密钥,当有会话参与用户退出或加入时,只对所述退出或加入的会话用户所退出或加入的组的成员进行密钥更新;所述密钥用于在组中的会话参与用户与会议中心之间对媒体流进行加密及解密处理;
所述会议中心是指多媒体资源功能处理器MRFP,所述MRFP根据不同的策略进行分组选择,所述策略由服务提供商根据其电话会议的应用服务器自身的能力、信道带宽、会话参与人员数量、会话参与人员归属地确定。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
确定单元,用于确定组中会话参与用户的数量,具体为:根据电话会议的应用服务器所支持密钥处理组数C及电话会议中的会话参与用户总数量N确定,其中每组中的会话参与用户最大数量为:[N/C],其中,“[]”表示向上取整运算。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一添加单元,用于在电话会议中的会话参与用户增加时,将新增的会话参与用户添加到当前会话参与用户数量少于[N/C]的组中,所述密钥分配单元为添加新增会话参与用户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。
9.根据权利要求6所述的装置,其特征在于,所述密钥分配单元在电话会议中的组中的会话参与用户减少时,为会话参与用户减少的组重新确定密钥,并通知所述会话参与用户减少的组中的当前所有会话参与用户。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二添加单元,用于在电话会议中的会话参与用户增加时,将新增的会话参与用户添加到当前会话参与用户数量最少的组中,如果存在几个组有相同的最少用户数量,则将新增的会话参与用户添加到其中任意组中,所述密钥分配单元为添加新增会话参与用户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910162688.2A CN101997677B (zh) | 2009-08-18 | 2009-08-18 | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910162688.2A CN101997677B (zh) | 2009-08-18 | 2009-08-18 | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101997677A CN101997677A (zh) | 2011-03-30 |
| CN101997677B true CN101997677B (zh) | 2015-01-28 |
Family
ID=43787326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910162688.2A Active CN101997677B (zh) | 2009-08-18 | 2009-08-18 | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101997677B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106953727B (zh) * | 2017-03-13 | 2019-09-10 | 南京邮电大学 | D2d通信中基于无证书的组安全认证方法 |
| CN108989028A (zh) * | 2018-07-16 | 2018-12-11 | 哈尔滨工业大学(深圳) | 群密钥分发管理方法、装置、电子设备及存储介质 |
| CN113656822A (zh) * | 2021-08-31 | 2021-11-16 | 成都卫士通信息产业股份有限公司 | 一种多媒体会议密钥管理方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1578084A2 (en) * | 2004-03-16 | 2005-09-21 | V Con Telecommunications Ltd. | Systems and methods for videoconference and/or data collaboration initiation |
| CN1801698A (zh) * | 2005-01-07 | 2006-07-12 | 华为技术有限公司 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
| CN101110686A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 一种利用媒体服务器实现子会议的方法 |
| CN101453346A (zh) * | 2007-12-07 | 2009-06-10 | 西安电子科技大学 | Ims体系中的多点分层式会议的控制方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050110634A1 (en) * | 2003-11-20 | 2005-05-26 | Salcedo David M. | Portable security platform |
| CN101127595B (zh) * | 2006-08-15 | 2011-02-02 | 华为技术有限公司 | 一种实现多方通信安全的方法、系统及设备 |
| CN101136742B (zh) * | 2007-04-09 | 2011-01-19 | 中兴通讯股份有限公司 | 群组密钥同步、更新、及校验方法 |
| JP2009010470A (ja) * | 2007-06-26 | 2009-01-15 | Toshiba Corp | 端末装置、グループ管理サーバ、ネットワーク通信システム、並びに暗号化鍵生成方法 |
| CN101355425A (zh) * | 2007-07-24 | 2009-01-28 | 华为技术有限公司 | 组密钥管理中实现新组员注册的方法、装置及系统 |
-
2009
- 2009-08-18 CN CN200910162688.2A patent/CN101997677B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1578084A2 (en) * | 2004-03-16 | 2005-09-21 | V Con Telecommunications Ltd. | Systems and methods for videoconference and/or data collaboration initiation |
| CN1801698A (zh) * | 2005-01-07 | 2006-07-12 | 华为技术有限公司 | 在ip多媒体业务子系统网络中保障媒体流安全性的方法 |
| CN101110686A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 一种利用媒体服务器实现子会议的方法 |
| CN101453346A (zh) * | 2007-12-07 | 2009-06-10 | 西安电子科技大学 | Ims体系中的多点分层式会议的控制方法 |
Non-Patent Citations (2)
| Title |
|---|
| 《IMS media plane security》;3GPP;《3GPP TR33.828 V1.0.0》;20090331;第6.1.4.3节至第6.1.4.4.5节,第6.4节,图4、9 * |
| 《基于IMS的多媒体会议系统研究》;林奕琳;《电信科学-IMS技术与应用》;20080229(第2期);第18-24页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101997677A (zh) | 2011-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101729528B (zh) | Ims会议电话的媒体安全实现方法和系统 | |
| CN103534975B (zh) | 根据公开密钥发现用于密钥管理的安全关联 | |
| CN101232368B (zh) | 一种分配媒体流密钥的方法和多媒体子系统 | |
| CN102484583B (zh) | 多媒体通信系统中的安全密钥管理 | |
| US8855315B2 (en) | Method and system for realizing secure forking call session in IP multimedia subsystem | |
| KR101353209B1 (ko) | 무선 통신 시스템 내의 멀티캐스트 통신 세션과 연관된 메시지의 보안 | |
| CN104618110B (zh) | 一种VoIP安全会议会话密钥传输方法 | |
| CN102047628B (zh) | 通信网络中的iptv安全性 | |
| US20020078153A1 (en) | Providing secure, instantaneous, directory-integrated, multiparty, communications services | |
| US20090292914A1 (en) | Nodes and systems and methods for distributing group key control message | |
| CN101175074A (zh) | 一种实现端到端媒体流密钥协商的方法和系统 | |
| CN109923884A (zh) | 任务关键型即按即说 | |
| CN101222320B (zh) | 一种媒体流安全上下文协商的方法、系统和装置 | |
| CN106559396A (zh) | 基于Web实时通信的媒体多播方法和系统 | |
| CN101227272A (zh) | 一种获取媒体流保护密钥的方法和系统 | |
| CN101729532B (zh) | 一种ip多媒体子系统延迟媒体信息传输方法及系统 | |
| CN101997677B (zh) | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 | |
| CN102594794B (zh) | 一种媒体加密会议的接入方法及装置 | |
| CN101729536B (zh) | 一种ip多媒体子系统延迟媒体信息传输方法及系统 | |
| CN102025485B (zh) | 密钥协商的方法、密钥管理服务器及终端 | |
| CN101222612A (zh) | 一种安全传输媒体流的方法和系统 | |
| CN105187678A (zh) | 一种电话会议室桥接的方法及VoIP服务器 | |
| CN102752263A (zh) | 一种实现端到端安全呼叫转移的方法及系统 | |
| EP2266251B1 (en) | Efficient multiparty key exchange | |
| CN101729535B (zh) | 一种媒体点播业务的实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |