CN102752263A - 一种实现端到端安全呼叫转移的方法及系统 - Google Patents
一种实现端到端安全呼叫转移的方法及系统 Download PDFInfo
- Publication number
- CN102752263A CN102752263A CN2011100968235A CN201110096823A CN102752263A CN 102752263 A CN102752263 A CN 102752263A CN 2011100968235 A CN2011100968235 A CN 2011100968235A CN 201110096823 A CN201110096823 A CN 201110096823A CN 102752263 A CN102752263 A CN 102752263A
- Authority
- CN
- China
- Prior art keywords
- key
- commentaries
- classics
- calling
- exhaling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种实现端到端安全呼叫转移的方法,所述方法包括:呼叫转移应用服务器生成转呼密钥,并将所生成的转呼密钥传递给被转呼方;在接收到所述被转呼方返回的被叫密钥后,呼叫转移应用服务器将所述转呼密钥和所接收到的被叫密钥发送给主叫方;所述主叫方与所述被转呼方通过所述转呼密钥和被叫密钥进行加密媒体流通信。本发明还公开了一种实现端到端安全呼叫转移的系统,从而确保主叫方和被转呼方之间加密媒体流通信所采用的密钥只有主叫方、被转呼方知道,保证在呼叫转移场景下不存在密钥泄露威胁和会话泄密威胁,在IMS系统中实现端到端安全呼叫转移。
Description
技术领域
本发明涉及IP多媒体子系统(IMS,IP Multimedia Subsystem)的网络通信安全技术,尤其涉及一种实现端到端安全呼叫转移的方法及系统。
背景技术
在会话发起协议(SIP,Session Initiation Protocol)系统中,呼叫转移(communication diversion)是一项常用及实用的服务,呼叫过程中启用呼叫转移服务的被叫方处于不可达或忙碌或者其他状态时,由被叫方的呼叫服务器将此呼叫转移到被叫方事先设置的被转呼方的用户设备上,从而提高呼叫的灵活性和可配置性。
呼叫转移包括以下几项业务类型:遇忙呼叫转移(CFB,CommunicationForwarding Busy)、无应答呼叫转移(CFNR,Communication Forwarding NoReply)、无条件呼叫转移(CFU,Communication Forwarding Unconditional)、寻呼不可及转移(CFNRc,Communication Forwarding on Subscriber NotReachable)、未注册时呼叫转移(CFNL,Communication Forwarding on NotLogged in)和会话转移(CD,Communication Deflection)。呼叫转移业务允许用户将其所有来话转接到预先设置的另一个电话号码上或用户的语音信箱中。呼叫转移还包含特殊的多次转移呼叫场景,即用户A呼叫用户B,用户B使用呼叫转移业务,呼叫被转移给用户C,用户C也使用了呼叫转移业务,该呼叫被再次转移给用户D。
现有的第三代合作伙伴计划(3GPP,Third Generation Partnership Projects)TS33.328中IMS媒体面安全中使用RFC4568的会话描述协议的媒体流安全描述(SDES,Session Description Protocol(SDP)Security Descriptions for MediaStreams)方案。在SDES方案中,使用SDP协议中的加密属性来传送密钥协商材料,通过通话双方交互SDP数据包,来导出媒体密钥,并且定义了如何在安全实时传输协议(SRTP,Secure Real-time Transport Protocol)中使用这些媒体密钥。
SDES本质上不是一个密钥协商协议而是一个密钥分发协议,密钥是直接通过明文在网路上分发,所以SDES必须依赖于信令的安全。如图1所示,SDES本质上是这样工作的:当主叫方UE-A和被叫方UE-B建立了一个SIP会话时,他们使用提出/应答(Offer/Response)模式交换提供给SRTP进行媒体流保护所需要的密钥及相关参数。
一个使用SDES建立端到端安全的呼叫流程如图2所示,UE-A在发起SIP会话时,首先生成根密钥K1,所述根密钥K1用来生成保护UE-A发给UE-B媒体流安全的媒体会话密钥,然后在通过IMS网络中间网元以及呼叫服务器发给UE-B的一个SIP消息中即INVITE消息中包含所述根密钥K1,将根密钥K1发送给UE-B;而UE-B在返回给UE-A的响应SIP消息中,即200Ok消息中包含根密钥K2,向UE-A返回根密钥K2,根密钥K2用来生成保护UE-B发给UE-A媒体流安全的媒体会话密钥。
而使用SDES方案保证呼叫转移场景的端到端安全时,主叫方会在生成根密钥K1后,将根密钥K1包含在INVITE消息中,通过IMS网络传到被叫方,而被叫方签约了呼叫转移服务,此时,呼叫转移业务被触发,呼叫转移应用服务器将该呼叫转移到被叫方所设置的被转呼方,将根密钥K1包含在INVITE消息中传到被转呼方,之后,被转呼方再将根密钥K2通过IMS网络传到主叫方,主叫方和被转呼方使用根密钥K1、根密钥K2进行安全通信。
现有技术的问题在于:在呼叫转移场景下,被叫方也获知了主叫方所使用的根密钥K1,被叫方也有能力解密主叫方所发送的加密媒体流,而用户设备的物理安全问题并不能保证使用者的合法性,使用一个合法设备的人可能是一个恶意攻击者,例如用户设备被偷盗后的使用者,这样,就会存在密钥泄露及单方会话泄密的威胁;而在一次会话多次呼叫转移的场景下,所有被转呼方的设备都有能力获知主叫方所使用的根密钥K1,也就都有能力解密主叫方所发送的加密媒体流,这样,在呼叫转移场景下,会存在严重的安全会话泄密威胁。
发明内容
有鉴于此,本发明的主要目的在于提供一种实现端到端安全呼叫转移的方法及系统,以解决呼叫转移场景下现有端到端安全技术会存在密钥泄露威胁以及会话泄密威胁的问题。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种实现端到端安全呼叫转移的方法,所述方法包括:
呼叫转移应用服务器生成转呼密钥,并将所生成的转呼密钥传递给被转呼方;
在接收到所述被转呼方返回的被叫密钥后,呼叫转移应用服务器将所述转呼密钥和所接收到的被叫密钥发送给主叫方;
所述主叫方与所述被转呼方通过所述转呼密钥和被叫密钥进行加密媒体流通信。
在上述方案中,所述将所生成的转呼密钥传递给被转呼方,为:
所述呼叫转移应用服务器将所生成的转呼密钥包含在呼叫请求消息中,发送给所述被转呼方。
在上述方案中,在接收到所述被转呼方返回的被叫密钥之前,所述方法还包括:所述被转呼方接收呼叫转移应用服务器发送的转呼密钥,生成被叫密钥,并返回给所述呼叫转移应用服务器;
所述将所述转呼密钥和所接收到的被叫密钥发送给主叫方,为:所述呼叫转移应用服务器接收所述被转呼方返回的所述被叫密钥,并将所接收到的被叫密钥、以及自身所保存的所述转呼密钥发送给主叫方。
在上述方案中,所述方法还包括:所述被转呼方在接收到所述转呼密钥后,生成被叫密钥,向所述呼叫转移应用服务器返回所生成的被叫密钥、和所接收到的转呼密钥;
所述将所述转呼密钥和所接收到的被叫密钥发送给主叫方,为:所述呼叫转移应用服务器接收所述被转呼方返回的所述被叫密钥和转呼密钥,并将所接收到的所述被叫密钥以及转呼密钥发送给主叫方。
在上述方案中,所述将所述转呼密钥和所接收到的被叫密钥发送给主叫方,为:
所述呼叫转移应用服务器将所述转呼密钥和被叫密钥包含在呼叫响应消息中,发送给所述主叫方。
在上述方案中,所述主叫方与所述被转呼方通过所述转呼密钥和被叫密钥进行加密媒体流通信,包括:
所述主叫方使用所述转呼密钥加密发给所述被转呼方的媒体流,使用所述被叫密钥解密来自所述被转呼方的加密媒体流,被转呼方使用所述被叫密钥加密发给所述主叫方的媒体流,使用所述转呼密钥解密来自所述主叫方的加密媒体流。
在上述方案中,在所述主叫方与所述被转呼方通过所述转呼密钥和被叫密钥进行加密媒体流通信之前,所述方法还包括:
所述主叫方接收所述呼叫转移应用服务器发送的转呼密钥和被叫密钥,并用所述接收到的转呼密钥代替自身在发起当前呼叫时所生成的主叫密钥。
在上述方案中,所述呼叫转移应用服务器生成转呼密钥之前,所述方法还包括:
触发呼叫转移业务的被叫方、或触发呼叫转移业务的被转呼方,向所述呼叫转移应用服务器发送呼叫转移通知,指示所述呼叫转移应用服务器将当前呼叫转移到指定的被转呼方,使得所述呼叫转移应用服务器接收到所述呼叫转移通知后,生成转呼密钥,并将所生成的转呼密钥发送给所述指定的被转呼方。
在上述方案中,在所述呼叫转移应用服务器将所生成的转呼密钥传递给被转呼方后,所述方法还包括:
在接收到所述被转呼方返回的、用于指示将当前呼叫转移到指定的被转呼方的呼叫转移通知后,所述呼叫转移应用服务器重新生成的转呼密钥,并将重新生成的转呼密钥发送给所述指定的被转呼方。
本发明还提供了一种实现端到端安全呼叫转移的系统,所述系统包括:主叫方、被转呼方和呼叫转移应用服务器,其中,
呼叫转移应用服务器,用于生成转呼密钥,并将所生成的转呼密钥传递给所述被转呼方;以及,在接收到所述被转呼方返回的被叫密钥后,将所述转呼密钥和所接收到的被叫密钥发送给所述主叫方;
所述被转呼方,用于接收所述呼叫转移应用服务器传递的转呼密钥,向所述呼叫转移应用服务器返回被叫密钥;以及,通过所述转呼密钥和被叫密钥与所述主叫方进行加密媒体流通信;
所述主叫方,用于接收所述呼叫转移应用服务器发送的所述转呼密钥和被叫密钥,并通过所述转呼密钥和被叫密钥与所述被转呼方进行加密媒体流通信。
在上述方案中,所述系统还包括:触发呼叫转移业务的被叫方、和/或触发呼叫转移业务的被转呼方,其中,
触发呼叫转移业务的被叫方、或触发呼叫转移业务的被转呼方,用于向所述呼叫转移应用服务器发送呼叫转移通知,指示所述呼叫转移应用服务器将当前呼叫转移到指定的被转呼方;
所述呼叫转移应用服务器,还用于接收所述触发呼叫转移业务的被叫方、和/或触发呼叫转移业务的被转呼方发送的呼叫转移通知,生成转呼密钥,并将所生成的转呼密钥发送给所述指定的被转呼方。
在上述方案中,所述被转呼方,还用于在触发呼叫转移业务后,向所述呼叫转移应用服务器发送用于指示将当前呼叫转移到指定的被转呼方的呼叫转移通知;
所述呼叫转移应用服务器,还用于在接收到所述被转呼方返回的、用于指示将当前呼叫转移到指定的被转呼方的呼叫转移通知后,重新生成的转呼密钥,并将重新生成的转呼密钥发送给所述指定的被转呼方。
在上述方案中,所述被转呼方,还用于接收所述呼叫转移应用服务器发送的转呼密钥,生成被叫密钥;以及,用于将所生成的被叫密钥返回给所述呼叫转移应用服务器、或者将所生成的被叫密钥、和所接收到的转呼密钥返回给所述呼叫转移应用服务器;
所述呼叫转移应用服务器,还用于接收所述被叫密钥返回的被叫密钥,并将所接收到的被叫密钥、以及自身所保存的转呼密钥发送给所述主叫方;或者,还用于接收所述被叫密钥返回的被叫密钥和转呼密钥,并将所接收到的被叫密钥和转呼密钥发送给所述主叫方。
在上述方案中,所述主叫方,还用于在接收到所述呼叫转移应用服务器发送的转呼密钥和被叫密钥后,用所述接收到的转呼密钥代替自身在发起当前呼叫时所生成的主叫密钥。
在上述方案中,所述主叫方,还用于使用所述转呼密钥加密发给所述被转呼方的媒体流,使用所述被叫密钥解密来自所述被转呼方的加密媒体流;
所述被转呼方,还用于使用所述被叫密钥加密发给所述主叫方的媒体流,使用所述转呼密钥解密来自所述主叫方的加密媒体流。
本发明中实现端到端安全呼叫转移的方法,呼叫转移应用服务器在每次触发呼叫转移时,生成转呼密钥,并传递给主叫方和被转呼方,使得主叫方和被转呼方通过实时生成的转呼密钥来进行加密媒体流通信,从而确保主叫方和被转呼方之间加密媒体流通信所采用的密钥只有主叫方、被转呼方知道,保证在呼叫转移场景下不存在密钥泄露威胁和会话泄密威胁,在IMS系统中实现端到端安全呼叫转移。
此外,本发明中基本保留了IMS系统中的原消息格式,易于实现,兼容性强。
附图说明
图1为现有SDES技术模型示意图;
图2为现有技术中基于SDES的端到端安全呼叫流程示意图;
图3为本发明实现端到端安全呼叫转移的方法实现流程图;
图4为本发明实施例一的单次呼叫转移中实现端到端安全呼叫转移的流程示意图;
图5为本发明实施例二的多次呼叫转移中实现端到端安全呼叫转移的流程示意图。
具体实施方式
本发明的基本思想是:每次触发呼叫转移业务后,呼叫转移应用服务器生成新的密钥,并传递给被转呼方,在接收到被转呼方的确认信息后,再将所述新的密钥传递给主叫方,主叫方和被转呼方通过所述呼叫转移应用服务生成的新的密钥建立起端到端安全的加密媒体流通信,即主叫方使用所述呼叫转移应用服务生成的密钥加密发出的媒体流,被转呼方使用呼叫转移应用服务生成的密钥解密收到的加密媒体流,如此,确保主叫方和被转呼方之间加密媒体流通信所采用的密钥只有主叫方、被转呼方知道,而被叫方、以及多次呼叫转移时触发转移呼叫的被转呼方均不能获知主叫方和被转呼方之间加密媒体流通信所采用的密钥,解决了呼叫转移场景下端到端安全技术会存在密钥泄露威胁以及会话泄密威胁的问题。
本发明的一种实现端到端安全呼叫转移的方法,参照图3所示,主要可以包括以下步骤:
步骤301:呼叫转移应用服务器生成转呼密钥,并将所生成的转呼密钥传递给被转呼方;
具体地,呼叫转移应用服务器将所生成的转呼密钥包含在呼叫请求消息中,发送给所述被转呼方。
实际应用中,所述呼叫请求消息可以是INVITE消息。
步骤302:在接收到所述被转呼方返回的被叫密钥后,呼叫转移应用服务器将所述转呼密钥和所接收到的被叫密钥发送给主叫方;
具体地,呼叫转移应用服务器将所述转呼密钥和所接收到的被叫密钥包含在呼叫响应消息中,发送给所述主叫方。
实际应用中,所述呼叫响应消息可以是200OK消息。
这里,在步骤302之前,所述方法还可以包括:所述被转呼方接收呼叫转移应用服务器发送的转呼密钥,生成被叫密钥,并返回给所述呼叫转移应用服务器,如此,所述呼叫转移应用服务器接收所述被转呼方返回的所述被叫密钥,并将所接收到的被叫密钥、以及自身所保存的所述转呼密钥发送给主叫方。
具体地,被转呼方接收到呼叫转移应用服务器发送的呼叫请求消息后,生成被叫密钥,并向所述呼叫转移应用服务器返回包含有所生成被叫密钥的呼叫响应消息;所述呼叫转移应用服务器根据通信方(被叫方、和/或主叫方)的身份从自身查询到当前呼叫中的所述转呼密钥,并将所查询的转呼密钥加入到所接收到的呼叫响应消息中发送给主叫方。此时,需要所述呼叫转移应用服务器在生成转呼密钥后,将所生成的转呼密钥保存到自身,在向主叫方发送转呼密钥和被叫密钥时,还需要根据通信方的身份来查找相应的转呼密钥再发送,此处理方式对呼叫转移应用服务器的性能要求较高,但被叫方的后续处理流程与现有呼叫转移的处理流程可以保持一致,兼容性更好。
或者,所述被转呼方在接收到所述转呼密钥后,生成被叫密钥,向所述呼叫转移应用服务器返回所生成的被叫密钥、以及所接收到的转呼密钥;所述呼叫转移应用服务器接收所述被转呼方返回的所述被叫密钥和转呼密钥,并将所接收到的所述被叫密钥以及转呼密钥发送给主叫方,如此,呼叫转移应用服务器则不需要做密钥保存与查找的工作,而只需要进行转发即可,这样对呼叫转移应用服务器没有其他额外的性能需求,只需要进行消息转发即可,有利于降低硬件成本。
步骤303:所述主叫方与所述被转呼方通过所述转呼密钥和被叫密钥进行加密媒体流通信。
具体地,所述主叫方使用所述转呼密钥加密发给所述被转呼方的媒体流,使用所述被叫密钥解密来自所述被转呼方的加密媒体流,被转呼方使用所述被叫密钥加密发给所述主叫方的媒体流,使用所述转呼密钥解密来自所述主叫方的加密媒体流。
在步骤302与步骤303之前,所述方法还可以包括:主叫方接收所述呼叫转移应用服务器发送的转呼密钥和被叫密钥,并用所述接收到的转呼密钥代替自身已生成的主叫密钥,从而能够使用所述转呼密钥与所述被转呼方进行加密媒体流通信。
实际应用中,主叫方接收所述呼叫转移应用服务器发送的呼叫响应消息,从所述呼叫响应消息中提取转呼密钥和被叫密钥,并用所述接收到的转呼密钥代替自身在发起当前呼叫时所生成的主叫密钥。
具体地,步骤301可以包括:触发呼叫转移业务的被叫方、或触发呼叫转移业务的被转呼方在触发呼叫转移业务后,指示所述呼叫转移服务器将当前呼叫转移到指定的被转呼方,所述呼叫转移服务器接收到触发呼叫转移业务的通知后,生成转呼密钥,并将生成的转呼密钥传递给所述指定的被转呼方。
具体地,所述主叫方发起呼叫时,生成主叫密钥,并将所生成的主叫密钥包含在呼叫请求消息中,通过所述呼叫转移应用服务器发送给所述触发呼叫转移的被叫方或其他被转呼方。
在所述呼叫转移应用服务器将所生成的转呼密钥传递给被转呼方后,如果所述呼叫转移应用服务器接收到所述被转呼方返回的、用于指示将当前呼叫转移到指定的被转呼方的呼叫转移通知后,所述呼叫转移应用服务器则重新生成新的转呼密钥,并将重新生成的转呼密钥发送给所述指定的被转呼方,如此之后,如果所述指定的被转呼方未签约呼叫转移业务,或者接收到所述转呼密钥之后未触发呼叫转移业务,则按照上述步骤302-303的过程,与主叫方建立端到端安全呼叫连接,实现与主叫方之间的安全通信;如果所述指定的被转呼方接收到所述转呼密钥之后又触发了呼叫转移业务,则向所述呼叫转移应用服务器返回呼叫转移通知,按照上述过程执行,将当前呼叫转移到自身指定的转呼方。
相应的,本发明还提供了一种实现端到端安全呼叫转移的系统,所述系统主要包括:主叫方、被转呼方和呼叫转移应用服务器,其中,呼叫转移应用服务器,用于生成转呼密钥,并将所生成的转呼密钥传递给所述被转呼方;以及,在接收到所述被转呼方返回的被叫密钥后,将所述转呼密钥和所接收到的被叫密钥发送给所述主叫方;所述被转呼方,用于接收所述呼叫转移应用服务器传递的转呼密钥,向所述呼叫转移应用服务器返回被叫密钥;以及,通过所述转呼密钥和被叫密钥与所述主叫方进行加密媒体流通信;所述主叫方,用于接收所述呼叫转移应用服务器发送的所述转呼密钥和被叫密钥,并通过所述转呼密钥和被叫密钥与所述被转呼方进行加密媒体流通信。
其中,所述系统还可以包括:触发呼叫转移业务的被叫方、和/或触发呼叫转移业务的被转呼方,其中,触发呼叫转移业务的被叫方、或触发呼叫转移业务的被转呼方,用于向所述呼叫转移应用服务器发送呼叫转移通知,指示所述呼叫转移应用服务器将当前呼叫转移到指定的被转呼方;所述呼叫转移应用服务器,还用于接收所述触发呼叫转移业务的被叫方、和/或触发呼叫转移业务的被转呼方发送的呼叫转移通知,生成转呼密钥,并将所生成的转呼密钥发送给所述指定的被转呼方。
实际应用中,所述触发呼叫转移业务的被转呼方可以是一个或多个。
这里,所述被转呼方,还可以用于在触发呼叫转移业务后,向所述呼叫转移应用服务器发送用于指示将当前呼叫转移到指定的被转呼方的呼叫转移通知;所述呼叫转移应用服务器,还可以用于在接收到所述被转呼方返回的、用于指示将当前呼叫转移到指定的被转呼方的呼叫转移通知后,重新生成的转呼密钥,并将重新生成的转呼密钥发送给所述指定的被转呼方。
这里,所述被转呼方,还可以用于接收所述呼叫转移应用服务器发送的转呼密钥,生成被叫密钥;以及,用于将所生成的被叫密钥返回给所述呼叫转移应用服务器、或者将所生成的被叫密钥、和所接收到的转呼密钥返回给所述呼叫转移应用服务器;
所述呼叫转移应用服务器,还可以用于接收所述被叫密钥返回的被叫密钥,并将所接收到的被叫密钥、以及自身所保存的转呼密钥发送给所述主叫方;或者,还用于接收所述被叫密钥返回的被叫密钥和转呼密钥,并将所接收到的被叫密钥和转呼密钥发送给所述主叫方。
所述主叫方,还可以用于在接收到所述呼叫转移应用服务器发送的转呼密钥和被叫密钥后,用所述接收到的转呼密钥代替自身在发起当前呼叫时所生成的主叫密钥。
具体地,所述主叫方,还可以用于使用所述转呼密钥加密发给所述被转呼方的媒体流,使用所述被叫密钥解密来自所述被转呼方的加密媒体流;所述被转呼方,还可以用于使用所述被叫密钥加密发给所述主叫方的媒体流,使用所述转呼密钥解密来自所述主叫方的加密媒体流。
实际应用中,实现安全呼叫转移的系统可以包括:主叫方、被叫方、被转呼方、应用服务器、密钥管理服务器,其中,密钥管理服务器是用于实现密钥的管理和分发的可信任第三方的统称,应用服务器可以为触发呼叫转移业务的被转呼方所属呼叫转移应用服务器,或者,可以为触发呼叫转移业务的被叫方所属呼叫服务器。被转呼方所属呼叫转移应用服务器、以及被叫方所属呼叫服务器,均可以用于在每次触发呼叫转移业务后,生成转呼密钥,转呼指定的被转呼方。
实施例一
本实施例针对单次呼叫转移中实现端到端安全呼叫转移的具体实现过程做详细说明,作为主叫方的UE-A呼叫作为被叫方的UE-B,UE-B签约了呼叫转移业务,预设UE-C为被转呼方,在呼叫建立过程中,UE-B签约的呼叫转移业务被触发,此时,实现端到端安全呼叫转移的具体过程如图4所示,可以包括以下步骤:
步骤401:UE-A生成密钥K1;
步骤402:UE-A向IMS网络中间网元发送对UE-B的呼叫请求消息(INVITE消息),并此呼叫请求消息在中携带密钥K1;
步骤403:IMS网络中间网元接收INVITE消息,并转发给UE-B所属的呼叫转移应用服务器(AS);
步骤404:AS接收所述INVITE消息并发送给UE-B;
这里,本步骤为可选步骤,与UE-B签约的呼叫转移业务相关。例如,在UE-B签约的呼叫转移业务为无条件呼叫转移时,本步骤省略。
步骤405:UE-B签约的呼叫转移业务被触发,触发呼叫转移,通知AS将当前呼叫转移到被转呼方UE-C;
这里,被叫方UE-B将被转呼方UE-C设定为呼叫转移目标,触发所述被叫方签约的呼叫转移业务的情况,是以下情况之一:无条件转移、无应答转移、寻呼不可及转移、用户忙转移、会话转移业务、未注册时呼叫转移。
步骤406:AS生成密钥K_invite_1;
这里,AS生成密钥K_invite_1的方式、以及具体实现过程,与UE-A生成密钥K1的方式、以及具体实现过程相同,均采用现有密钥生成方式来实现,在此不再赘述。
步骤407:AS将密钥K_invite_1包含在INVITE消息中,通过IMS网络转发给UE-B设定的呼叫转移号码,在本实施例中,即UE-C;
呼叫转移业务中AS通过IMS网络向被转呼方发出的呼叫请求消息,协议中定义为INVITE消息,此INVITE消息基于SIP协议。发生呼叫转移时,AS收到主叫方发送的包含密钥信息的INVITE消息,并将此INVITE消息转发给被转呼方,而且在此INVITE消息中增加用于表示呼叫转移类型的CAUSE参数,CAUSE参数表示当前使用了呼叫转移业务及所使用呼叫转换业务的类型,具体用法及说明参见RFC4458和TS24.604v9.2.0。
例如,呼叫方为用户1,其标识为user1_public1home1.net,被叫方为用户2,其标识为user2_public1home1.net,用户2启用无条件呼叫转移服务,设置呼叫转移的目标为用户3,其标识为User-3example.com,用户2所属AS将用户1对用户2的呼叫转发至用户3,并在向用户3发送的INVITE消息中携带“CAUSE=302”中的状态量,取值为302的参数表示该呼叫类型为无条件呼叫转移。
步骤408:UE-C接收所述INVITE消息,通过AS的指示知道当前呼叫为一个端到端的安全呼叫,UE-C生成密钥K2;
这里,AS可以通过K_invite_1密钥信息隐性指示当前呼叫为端到端安全呼叫,或通过在步骤407中发送的INVITE消息包含一个单独的SDES e2e安全会话指示(SDES e2e indicator),指示UE-C当前呼叫为端到端安全呼叫。
步骤409:UE-C将密钥K_invite_1、以及自身生成的密钥K2包含在200Ok消息中通过IMS网络返回给AS;
其中,密钥K_invite_1可以由UE-C包含在200OK消息中返回,也可以由AS在收到UE-C的200Ok消息后在步骤410的200Ok消息中返回。
步骤410-411:AS将包含密钥K_invite_1、以及密钥K2的200Ok消息通过IMS网络返回给UE-A,UE-A接收所述200Ok消息后,用密钥K_invite_1代替自身生成的密钥K1;
步骤412:UE-A和UE-C通过密钥K_invite_1、以及密钥K2建立起端到端安全的加密媒体流通信,即UE-A使用密钥K_invite_1加密发出的媒体流,使用密钥K2解密收到的加密媒体流;UE-C使用密钥K2加密发出的媒体流,使用密钥K_invite_1解密收到的加密媒体流。
实施例二
本实施例针对多次呼叫转移中实现端到端安全呼叫转移的具体实现过程做详细说明。
本实施例中,作为主叫方的UE-A呼叫作为被叫方的UE-B,UE-B签约呼叫转移业务,预设将通话转移到UE-C,而UE-C也签约了呼叫转移业务,将通话转移到UE-D,且在UE-A呼叫UE-B的会话中,UE-B和UE-C均触发签约的呼叫专业业务,最终会话被转移到UE-D,此时,实现端到端安全呼叫转移的具体过程如图5所示,可以包括以下步骤:
步骤501-507:与步骤401-407相同,其中,步骤507也为可选,与用户签约的呼叫转移业务相关,如果是无条件转移业务,则507步骤可以省略。
步骤508:UE-C的呼叫转移业务被触发,通知AS将当前呼叫转移到被转呼方UE-D;
步骤509:AS生成密钥K_invite_2;
步骤510:AS将密钥K_invite_2包含在INVITE消息中通过IMS网络转发给UE-C设定的呼叫转移号码,在本实施例中,即UE-D;
步骤511:UE-D接收所述INVITE消息,通过AS的指示知道当前呼叫为一个端到端的安全呼叫,UE-D生成密钥K2;
这里,AS可以通过K_invite_2密钥信息隐性指示当前呼叫为端到端安全呼叫,或通过在步骤510中发送的INVITE消息包含一个单独的SDES e2eindicator,指示UE-C当前呼叫为端到端安全呼叫。
步骤512:UE-D将密钥K_invite_2、以及密钥K2包含在200Ok消息中通过IMS网络返回;
其中,密钥K_invite_2可以由UE-D包含在200OK消息中返回,也可以由AS在收到UE-D的200Ok消息后包含在步骤513的200Ok消息中返回。
步骤513-514:AS将包含密钥K_invite_2、以及密钥K2的200Ok消息通过IMS网络返回给UE-A,UE-A接收200Ok消息后,用其中的密钥K_invite_2代替自身生成的密钥K1;
步骤515:UE-A和UE-D通过密钥K_invite_2、以及密钥K2建立起端到端安全的加密媒体流通信,即UE-A使用密钥K_invite_2加密发出的媒体流,使用密钥K2解密收到的加密媒体流;UE-D使用密钥K2加密发出的媒体流,使用密钥K_invite_2解密收到的加密媒体流。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (15)
1.一种实现端到端安全呼叫转移的方法,其特征在于,所述方法包括:
呼叫转移应用服务器生成转呼密钥,并将所生成的转呼密钥传递给被转呼方;
在接收到所述被转呼方返回的被叫密钥后,呼叫转移应用服务器将所述转呼密钥和所接收到的被叫密钥发送给主叫方;
所述主叫方与所述被转呼方通过所述转呼密钥和被叫密钥进行加密媒体流通信。
2.根据权利要求1所述实现端到端安全呼叫转移的方法,其特征在于,所述将所生成的转呼密钥传递给被转呼方,为:
所述呼叫转移应用服务器将所生成的转呼密钥包含在呼叫请求消息中,发送给所述被转呼方。
3.根据权利要求1所述实现端到端安全呼叫转移的方法,其特征在于,
在接收到所述被转呼方返回的被叫密钥之前,所述方法还包括:所述被转呼方接收呼叫转移应用服务器发送的转呼密钥,生成被叫密钥,并返回给所述呼叫转移应用服务器;
所述将所述转呼密钥和所接收到的被叫密钥发送给主叫方,为:所述呼叫转移应用服务器接收所述被转呼方返回的所述被叫密钥,并将所接收到的被叫密钥、以及自身所保存的所述转呼密钥发送给主叫方。
4.根据权利要求1所述实现端到端安全呼叫转移的方法,其特征在于,
所述方法还包括:所述被转呼方在接收到所述转呼密钥后,生成被叫密钥,向所述呼叫转移应用服务器返回所生成的被叫密钥、和所接收到的转呼密钥;
所述将所述转呼密钥和所接收到的被叫密钥发送给主叫方,为:所述呼叫转移应用服务器接收所述被转呼方返回的所述被叫密钥和转呼密钥,并将所接收到的所述被叫密钥以及转呼密钥发送给主叫方。
5.根据权利要求1、或3、或4所述实现端到端安全呼叫转移的方法,其特征在于,所述将所述转呼密钥和所接收到的被叫密钥发送给主叫方,为:
所述呼叫转移应用服务器将所述转呼密钥和被叫密钥包含在呼叫响应消息中,发送给所述主叫方。
6.根据权利要求1所述实现端到端安全呼叫转移的方法,其特征在于,所述主叫方与所述被转呼方通过所述转呼密钥和被叫密钥进行加密媒体流通信,包括:
所述主叫方使用所述转呼密钥加密发给所述被转呼方的媒体流,使用所述被叫密钥解密来自所述被转呼方的加密媒体流,被转呼方使用所述被叫密钥加密发给所述主叫方的媒体流,使用所述转呼密钥解密来自所述主叫方的加密媒体流。
7.根据权利要求1、2、3、4、6中任一项所述实现端到端安全呼叫转移的方法,其特征在于,在所述主叫方与所述被转呼方通过所述转呼密钥和被叫密钥进行加密媒体流通信之前,所述方法还包括:
所述主叫方接收所述呼叫转移应用服务器发送的转呼密钥和被叫密钥,并用所述接收到的转呼密钥代替自身在发起当前呼叫时所生成的主叫密钥。
8.根据权利要求1、2、3、4、6中任一项所述实现端到端安全呼叫转移的方法,其特征在于,所述呼叫转移应用服务器生成转呼密钥之前,所述方法还包括:
触发呼叫转移业务的被叫方、或触发呼叫转移业务的被转呼方,向所述呼叫转移应用服务器发送呼叫转移通知,指示所述呼叫转移应用服务器将当前呼叫转移到指定的被转呼方,使得所述呼叫转移应用服务器接收到所述呼叫转移通知后,生成转呼密钥,并将所生成的转呼密钥发送给所述指定的被转呼方。
9.根据权利要求1、2、3、4、6中任一项所述实现端到端安全呼叫转移的方法,其特征在于,在所述呼叫转移应用服务器将所生成的转呼密钥传递给被转呼方后,所述方法还包括:
在接收到所述被转呼方返回的、用于指示将当前呼叫转移到指定的被转呼方的呼叫转移通知后,所述呼叫转移应用服务器重新生成的转呼密钥,并将重新生成的转呼密钥发送给所述指定的被转呼方。
10.一种实现端到端安全呼叫转移的系统,其特征在于,所述系统包括:主叫方、被转呼方和呼叫转移应用服务器,其中,
呼叫转移应用服务器,用于生成转呼密钥,并将所生成的转呼密钥传递给所述被转呼方;以及,在接收到所述被转呼方返回的被叫密钥后,将所述转呼密钥和所接收到的被叫密钥发送给所述主叫方;
所述被转呼方,用于接收所述呼叫转移应用服务器传递的转呼密钥,向所述呼叫转移应用服务器返回被叫密钥;以及,通过所述转呼密钥和被叫密钥与所述主叫方进行加密媒体流通信;
所述主叫方,用于接收所述呼叫转移应用服务器发送的所述转呼密钥和被叫密钥,并通过所述转呼密钥和被叫密钥与所述被转呼方进行加密媒体流通信。
11.根据权利要求10所述实现端到端安全呼叫转移的系统,其特征在于,所述系统还包括:触发呼叫转移业务的被叫方、和/或触发呼叫转移业务的被转呼方,其中,
触发呼叫转移业务的被叫方、或触发呼叫转移业务的被转呼方,用于向所述呼叫转移应用服务器发送呼叫转移通知,指示所述呼叫转移应用服务器将当前呼叫转移到指定的被转呼方;
所述呼叫转移应用服务器,还用于接收所述触发呼叫转移业务的被叫方、和/或触发呼叫转移业务的被转呼方发送的呼叫转移通知,生成转呼密钥,并将所生成的转呼密钥发送给所述指定的被转呼方。
12.根据权利要求10所述实现端到端安全呼叫转移的系统,其特征在于,
所述被转呼方,还用于在触发呼叫转移业务后,向所述呼叫转移应用服务器发送用于指示将当前呼叫转移到指定的被转呼方的呼叫转移通知;
所述呼叫转移应用服务器,还用于在接收到所述被转呼方返回的、用于指示将当前呼叫转移到指定的被转呼方的呼叫转移通知后,重新生成的转呼密钥,并将重新生成的转呼密钥发送给所述指定的被转呼方。
13.根据权利要求10至12任一项所述实现端到端安全呼叫转移的系统,其特征在于,
所述被转呼方,还用于接收所述呼叫转移应用服务器发送的转呼密钥,生成被叫密钥;以及,用于将所生成的被叫密钥返回给所述呼叫转移应用服务器、或者将所生成的被叫密钥、和所接收到的转呼密钥返回给所述呼叫转移应用服务器;
所述呼叫转移应用服务器,还用于接收所述被叫密钥返回的被叫密钥,并将所接收到的被叫密钥、以及自身所保存的转呼密钥发送给所述主叫方;或者,还用于接收所述被叫密钥返回的被叫密钥和转呼密钥,并将所接收到的被叫密钥和转呼密钥发送给所述主叫方。
14.根据权利要求10至12任一项所述实现端到端安全呼叫转移的系统,其特征在于,
所述主叫方,还用于在接收到所述呼叫转移应用服务器发送的转呼密钥和被叫密钥后,用所述接收到的转呼密钥代替自身在发起当前呼叫时所生成的主叫密钥。
15.根据权利要求14所述实现端到端安全呼叫转移的系统,其特征在于,
所述主叫方,还用于使用所述转呼密钥加密发给所述被转呼方的媒体流,使用所述被叫密钥解密来自所述被转呼方的加密媒体流;
所述被转呼方,还用于使用所述被叫密钥加密发给所述主叫方的媒体流,使用所述转呼密钥解密来自所述主叫方的加密媒体流。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110096823.5A CN102752263B (zh) | 2011-04-18 | 2011-04-18 | 一种实现端到端安全呼叫转移的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110096823.5A CN102752263B (zh) | 2011-04-18 | 2011-04-18 | 一种实现端到端安全呼叫转移的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102752263A true CN102752263A (zh) | 2012-10-24 |
CN102752263B CN102752263B (zh) | 2017-02-08 |
Family
ID=47032164
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110096823.5A Active CN102752263B (zh) | 2011-04-18 | 2011-04-18 | 一种实现端到端安全呼叫转移的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102752263B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850521A (zh) * | 2016-04-18 | 2017-06-13 | 中国科学院信息工程研究所 | 一种端到端VoIP加密通信的密钥交换方法 |
CN112019636A (zh) * | 2020-09-11 | 2020-12-01 | 安康鸿天科技股份有限公司 | 一种基于ims系统的通信呼叫转移装置及方法 |
CN114866519A (zh) * | 2022-07-01 | 2022-08-05 | 新华三技术有限公司 | 一种呼叫转移方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080146192A1 (en) * | 2006-10-10 | 2008-06-19 | Cisco Technology, Inc. | Supplementary services using secure media |
US20100049980A1 (en) * | 2008-08-15 | 2010-02-25 | Luis Barriga | Methods and systems for bootstrapping security key information using session initiation protocol |
CN101895877A (zh) * | 2009-05-21 | 2010-11-24 | 华为技术有限公司 | 密钥协商方法、设备及系统 |
-
2011
- 2011-04-18 CN CN201110096823.5A patent/CN102752263B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080146192A1 (en) * | 2006-10-10 | 2008-06-19 | Cisco Technology, Inc. | Supplementary services using secure media |
US20100049980A1 (en) * | 2008-08-15 | 2010-02-25 | Luis Barriga | Methods and systems for bootstrapping security key information using session initiation protocol |
CN101895877A (zh) * | 2009-05-21 | 2010-11-24 | 华为技术有限公司 | 密钥协商方法、设备及系统 |
Non-Patent Citations (1)
Title |
---|
廖建新,王晶,张磊,武家春等: "《移动通信新业务——技术与应用》", 28 February 2007, 人民邮电出版社 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850521A (zh) * | 2016-04-18 | 2017-06-13 | 中国科学院信息工程研究所 | 一种端到端VoIP加密通信的密钥交换方法 |
CN112019636A (zh) * | 2020-09-11 | 2020-12-01 | 安康鸿天科技股份有限公司 | 一种基于ims系统的通信呼叫转移装置及方法 |
US11159587B1 (en) | 2020-09-11 | 2021-10-26 | Ankang Hongtian Science & Techonology Incorporated Company | Device and method for call forwarding based on IMS |
CN112019636B (zh) * | 2020-09-11 | 2022-08-12 | 安康鸿天科技股份有限公司 | 一种基于ims系统的通信呼叫转移装置及方法 |
CN114866519A (zh) * | 2022-07-01 | 2022-08-05 | 新华三技术有限公司 | 一种呼叫转移方法及装置 |
CN114866519B (zh) * | 2022-07-01 | 2022-11-01 | 新华三技术有限公司 | 一种呼叫转移方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102752263B (zh) | 2017-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101501399B1 (ko) | 종단간 암호화를 갖는 통신 시스템에서의 정책 라우팅 기반 합법적 인터셉션 | |
ES2555256T3 (es) | Interceptación lícita en una red de subsistema multimedia IP | |
KR101367038B1 (ko) | 키 교환 시스템 및 시스템 조작 방법 | |
CN102238500B (zh) | 一种实现安全呼叫转移的方法及系统 | |
CN102045210B (zh) | 一种支持合法监听的端到端会话密钥协商方法和系统 | |
CN106936788B (zh) | 一种适用于voip语音加密的密钥分发方法 | |
CN102484583A (zh) | 多媒体通信系统中的安全密钥管理 | |
CN101635823A (zh) | 一种终端对视频会议数据进行加密的方法及系统 | |
CN101420413A (zh) | 会话密钥协商方法、网络系统、认证服务器及网络设备 | |
CN106935242A (zh) | 一种语音通信加密系统与方法 | |
Wang et al. | A dependable privacy protection for end-to-end VoIP via Elliptic-Curve Diffie-Hellman and dynamic key changes | |
CN104683098A (zh) | 一种保密通信业务的实现方法、设备及系统 | |
US20150150076A1 (en) | Method and device for instructing and implementing communication monitoring | |
CN100527875C (zh) | 实现媒体流安全的方法及通信系统 | |
CN102752263B (zh) | 一种实现端到端安全呼叫转移的方法及系统 | |
CN100512103C (zh) | 一种端到端加密通信的密钥分发方法 | |
CN102223355A (zh) | 一种安全通信协商方法和装置 | |
CN102025485B (zh) | 密钥协商的方法、密钥管理服务器及终端 | |
CN102843660B (zh) | 一种实现端到端安全呼叫转移的方法及系统 | |
CN106534044A (zh) | 一种语音通话的加密方法及装置 | |
CN101997677B (zh) | Ip多媒体子系统中会议媒体流密钥的管理方法与装置 | |
CN100583733C (zh) | 实现媒体流安全的方法及通信系统 | |
CN105763571A (zh) | 基于sip的非对称语音加密 | |
Chiwtanasuntorn et al. | Perseus on VoIP: Development and implementation of VoIP platforms | |
US20100002885A1 (en) | Efficient multiparty key exchange |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |