CN102812681B - 媒体流传输密钥操作方法、装置及系统 - Google Patents
媒体流传输密钥操作方法、装置及系统 Download PDFInfo
- Publication number
- CN102812681B CN102812681B CN201080001613.7A CN201080001613A CN102812681B CN 102812681 B CN102812681 B CN 102812681B CN 201080001613 A CN201080001613 A CN 201080001613A CN 102812681 B CN102812681 B CN 102812681B
- Authority
- CN
- China
- Prior art keywords
- key
- media stream
- expiration
- lifetime
- media
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 185
- 238000011017 operating method Methods 0.000 title abstract 2
- 230000006399 behavior Effects 0.000 claims abstract description 93
- 238000000034 method Methods 0.000 claims abstract description 35
- 238000001514 detection method Methods 0.000 claims description 16
- 230000001143 conditioned effect Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 11
- 230000009471 action Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 230000011664 signaling Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1043—Gateway controllers, e.g. media gateway control protocol [MGCP] controllers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/65—Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
- H04L67/145—Termination or inactivation of sessions, e.g. event-controlled end of session avoiding end of session, e.g. keep-alive, heartbeats, resumption message or wake-up for inactive or interrupted session
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例涉及一种媒体流传输密钥操作方法、装置及系统,其中方法包括:媒体网关(media gateway,MG)检测媒体流传输密钥的生存期状态信息(101);当所述媒体网关判断所述媒体流传输密钥的生存期期满时,所述媒体网关根据媒体网关控制器(media gateway controller,MGC)的指示执行媒体流传输密钥生存期期满行为(102)。本发明实施例填补了在MG和MGC分离架构下,进行媒体流传输密钥的生存期状态操作的技术空白。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种媒体流传输密钥操作方法、装置及系统。
背景技术
在承载与控制分离架构下,通常采用网关控制协议,如H.248,作为业务层控制实体和媒体面执行实体之间的控制协议。在这种机制下,媒体面执行实体包括媒体网关(Media Gateway,MG),而业务层控制实体包括媒体网关控制器(Media Gateway Controller,MGC)。
伴随着IP业务的广泛使用,网络中数据传输的安全性问题也变得越来越重要。从协议角度来看,IP业务的安全性主要包括两个方面,一个是控制面的安全性,一个是媒体面的安全性。
实时传输协议(Real-Time Transport Protocol,RTP)是互联网工程任务组(Internet Engineering Task Force,IETF)制定的一种针对多媒体数据流传输的协议。RTP负责多媒体数据的传输,而实时传输控制协议(RTPControl Protocol,RTCP)则提供服务质量监控、拥塞控制以及媒体同步等功能。RTP提供了一定的保密性,可以对RTP有效载荷进行加密。不过其默认的算法容易被破解,IETF对RTP协议进行了扩展,提出了一种安全实时传输协议(Secure Real-time Transport Protocol,SRTP)。通常通过会话初始化协议(Session Initiation Protocol,SIP)协商会话中使用的SRTP密钥信息,通过业务层控制实体与媒体面执行实体的交互进行密钥信息的传递,从而实现媒体面的安全功能。
在实现本发明的过程中,发明人发现现有技术至少存在如下缺陷:在当前的网络场景中,虽然支持业务和承载层面上媒体流传输密钥的接收和使用,但是无法对媒体流传输密钥的生存期状态进行操作。
发明内容
本发明实施例提供一种媒体流传输密钥操作方法、装置及系统,以解决现有技术中无法对媒体流传输密钥的生存期状态进行操作的问题。
本发明实施例提供一种媒体流传输密钥操作方法,包括:
媒体网关接收接收媒体网关控制器下发的密钥期满事件,其中,所述密钥期满事件携带密钥生存期期满行为参数,所述密钥生存期期满行为参数用于指示所述媒体网关执行相应的媒体流传输密钥生存期期满行为;
所述媒体网关根据所述密钥期满事件,检测媒体流传输密钥的生存期状态信息;
当所述媒体网关判断所述媒体流传输密钥的生存期期满时,所述媒体网关执行与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为;
其中,所述媒体网关执行与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为,包括:
所述媒体网关关闭媒体流,并且发送媒体流关闭消息;或者
所述媒体网关上报密钥期满事件,不发送媒体流关闭消息;或者
所述媒体网关上报密钥期满事件,关闭媒体流,并且发送媒体流关闭消息。
本发明实施例还提供一种媒体网关,包括接收模块、检测模块、判断模块和操作模块:
所述接收模块用于接收媒体网关控制器下发的密钥期满事件,其中,所述密钥期满事件携带密钥生存期期满行为参数,所述密钥生存期期满行为参数用于指示所述媒体网关执行相应的媒体流传输密钥生存期期满行为;
所述检测模块用于根据所述接收模块接收的所述密钥期满事件,检测媒体流传输密钥的生存期状态信息;
所述判断模块用于判断所述媒体流传输密钥的生存期状态信息是否期满;
所述操作模块用于当所述判断模块判断所述媒体流传输密钥的生存期期满时,执行与所述接收模块接收的所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为;
其中,所述操作模块具体用于当所述判断模块判断所述媒体流传输密钥的生存期期满时,执行以下任一与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为:
关闭媒体流,并且发送媒体流关闭消息;或者,
上报密钥期满事件,不发送媒体流关闭消息;或者
上报密钥期满事件,关闭媒体流,并且发送媒体流关闭消息。
本发明实施例还提供一种媒体流传输密钥操作系统,包括媒体网关控制器和媒体网关:
所述媒体网关控制器用于向媒体网关发送密钥期满事件,其中,所述密钥期满事件携带密钥生存期期满行为参数,所述密钥生存期期满行为参数用于指示所述媒体网关执行相应的媒体流传输密钥生存期期满行为;
所述媒体网关用于接收媒体网关控制器发送的所述密钥期满事件;根据接收的所述密钥期满事件,检测媒体流传输密钥的生存期状态信息;判断所述媒体流传输密钥的生存期状态信息是否期满;当判断所述媒体流传输密钥的生存期期满时,执行与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为;
其中,所述媒体网关具体用于当判断所述媒体流传输密钥的生存期期满时,执行以下任一与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为:
关闭媒体流,并且发送媒体流关闭消息;或者
上报密钥期满事件,不发送媒体流关闭消息;或者
上报密钥期满事件,关闭媒体流,并且发送媒体流关闭消息。
本发明实施例中,当媒体网关判断媒体流传输密钥的生存期期满时,所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。本实施例填补了在MG和MGC分离架构下,进行媒体流传输密钥的生存期状态操作的技术空白。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明媒体流传输密钥操作方法一个实施例的流程图;
图2为本发明媒体流传输密钥操作方法另一个实施例的流程图;
图3为本发明媒体流传输密钥操作方法再一个实施例的流程图;
图4为本发明媒体流传输密钥操作方法又再一个实施例的流程图;
图5为本发明方法提供的一个实施例的信令流程图;
图6为本发明媒体网关一个实施例的结构示意图;
图7为本发明媒体网关另一个实施例的结构示意图;
图8为本发明媒体网关控制器一个实施例的结构示意图;
图9为本发明媒体流传输密钥操作系统一个实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了适应不同的应用场景,加强网络对不同安全隐患的防范,往往会部署各种不同的密钥,应用于不同的时段、领域等,因此网络中存在大量不同的媒体流传输密钥,每一个传输密钥都会对应不同的生存期,生存期决定新密钥的生成时间。
图1为本发明媒体流传输密钥操作方法一个实施例的流程图,如图1所示,本实施例的方法包括:
步骤101、媒体网关检测媒体流传输密钥的生存期状态信息。
举例来说,MG可以根据接收的密钥期满事件,检测媒体流传输密钥的生存期状态信息。其中密钥期满事件由媒体网关控制器下发给媒体网关,当然也可以在媒体网关上预先设置。
在具体实现过程中,本实施例可以在某个已有的基于H.248协议的功能包中或者扩展功能包中扩展一个事件,比如可以将该事件命名为“密钥期满(Key Expiry)”事件,缩写为“ke”。当MG接收到MGC下发的密钥期满事件时,即可触发MG检测媒体流传输密钥的生存期状态信息。
步骤102、当所述媒体网关判断所述媒体流传输密钥的生存期期满时,所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。
举例来说,媒体网关检测媒体流传输密钥的生存期状态信息,并对检测到的媒体流传输密钥的生存期状态信息进行判断,当所述媒体网关判断所述媒体流传输密钥的生存期期满时,所述媒体网关可以根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。
举例来说,所述媒体流传输密钥的生存期期满的判断条件可以为,使用相同媒体流传输密钥传输的报文数目达到该媒体流传输密钥设定的最大数目,这时,该媒体流传输密钥仍没有更新,则可以判断该媒体流传输密钥的生存期期满。
当媒体流传输密钥的生存期期满时,MGC为了指示MG执行相应的媒体流传输密钥生存期期满行为,本实施例可以在所述“密钥期满”事件中扩展一个参数,比如可以将该参数命名为“密钥生存期期满行为(Key LifetimeExpiry Behaviour)”参数,缩写为“kleb”,指示MG执行相应的媒体流传输密钥生存期期满行为。当MG接收到MGC指示的媒体流传输密钥生存期期满行为参数时,即可在媒体流传输密钥期满时执行相应的媒体流传输密钥生存期期满行为。
举例来说,可以定义“密钥生存期期满行为”参数的参数类型为枚举型(Enumeration),其可能的取值包括以下的至少一种:
媒体网关自治行为,即媒体网关自主决定处理行为(MG determinedaction),这时媒体网关不需要再一步请示媒体网关控制器的指示,而可以自主决定处理行为,例如可以定义此参数的取值为0x0001;或者
媒体网关关闭媒体流,并且发送媒体流关闭消息(如,RTCP BYE),例如可以定义此参数的取值为0x0002;或者
媒体网关向媒体网关控制器上报密钥期满事件,不发送媒体流关闭消息(如,RTCP BYE),例如可以定义此参数的取值为0x0003;或者
媒体网关向媒体网关控制器上报密钥期满事件,关闭媒体流,并且发送媒体流关闭消息(如,RTCP BYE),例如可以定义此参数的取值为0x0004。
本实施例中,所述媒体网关发送媒体流关闭消息的发送对象,是承载层上其它的网络实体,例如可以是用户设备(User Equipment,UE)。媒体网关可以发送RTCP BYE消息给对端的承载层网络实体,来关闭承载面上的媒体流。
本实施例中,所述媒体网关向所述媒体网关控制器上报密钥期满事件,即当MG通过网关控制协议的消息通报MGC,其中携带密钥期满事件。为了可以让MG在媒体流传输密钥生存期期满之前及时通报给MGC,还可以在上报的密钥期满事件中携带一个密钥期满的指示参数,通过该指示参数的不同取值来表示当前的媒体流传输密钥是否还在继续使用。例如,该指示参数可以定义为布尔型(Boolean),取值为“On”时表示当前媒体流传输密钥所应用的媒体流报文数目已经达到密钥生存期的最大期限,即当前媒体流传输密钥生存期期满;取值为“Off”时表示当前媒体流传输密钥所应用的媒体流报文数目尚未达到密钥生存期的最大期限。
本实施例中,当密钥期满事件由MGC下发给MG时,“密钥生存期期满行为”参数可以携带在密钥期满事件中一起下发给MG,当然也可以单独下发“密钥生存期期满行为”参数。当密钥期满事件在媒体网关上预先设置时,MGC单独下发“密钥生存期期满行为”参数给MG。
本实施例中,当媒体网关判断媒体流传输密钥的生存期期满时,所述媒体网关可以根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。本实施例填补了在MG和MGC分离架构下,进行媒体流传输密钥的生存期状态操作的技术空白。而且通过检测媒体流传输密钥的生存期状态,可以实现媒体流的安全传输。
在媒体流传输时,常常会涉及到一个或多个不同的传输密钥,比如可以包括主密钥(Master Key)和会话密钥(Session Key)。在这种情况下,可以通过对上述机制进行增强,以实现对不同粒度的密钥期满操作。
本发明媒体流传输密钥操作方法的另一个实施例中,可以对密钥期满“(Key Expiry)”事件具体化。例如,要实现对主密钥的检测,可以通过定义具体的“主密钥期满(Master Key Expiry)”事件,缩写为“mke”。本实施例可以包括步骤:
201、当媒体网关接收到媒体网关控制器下发的主密钥期满“mke”事件时,即可触发媒体网关检测媒体流传输主密钥的生存期状态信息。
202、当所述媒体网关判断所述媒体流传输主密钥的生存期期满时,所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。
具体的判断条件,可以参照实施例一的描述。
MGC指示MG执行相应的媒体流传输密钥生存期期满行为的具体方法,可以参照实施例一的描述。
本发明媒体流传输密钥操作方法的再一个实施例中,可以对媒体流传输密钥进行分类,实现对不同类别的媒体流传输密钥生存期期满行为。例如,可以在所述“密钥期满”事件中定义一个“密钥类型(Key Type)”参数,缩写为“kt”,其取值可以包括主密钥和会话密钥,从而实现对不同类型的媒体流传输密钥生存期状态的检测。本实施例可以包括步骤:
301、当媒体网关接收到媒体网关控制器下发的包含密钥类型“kt”参数的密钥期满事件时,即可触发媒体网关检测指定类型的媒体流传输密钥的生存期状态信息。
302、当所述媒体网关判断指定类型的媒体流传输密钥的生存期期满时,所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。
具体的判断条件,可以参照实施例一的描述。
MGC指示MG执行相应的媒体流传输密钥生存期期满行为的具体方法,可以参照实施例一的描述。
本发明媒体流传输密钥操作方法的又再一个实施例中,可以对媒体流传输密钥进行标识,实现对某个具体的媒体流传输密钥生存期期满行为。例如,可以在所述“密钥期满”事件中定义一个“密钥标识(Key Identifier)”参数,缩写为“ki”,其取值可以是某个具体的密钥。本实施例可以包括步骤:
401、当媒体网关接收到媒体网关控制器下发的包含密钥标识“ki”参数的密钥期满事件时,即可触发媒体网关检测指定标识的媒体流传输密钥的生存期状态信息。
402、当所述媒体网关判断指定标识的媒体流传输密钥的生存期期满时,所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。
具体的判断条件,可以参照实施例一的描述。
MGC指示MG执行相应的媒体流传输密钥生存期期满行为的具体方法,可以参照实施例一的描述。
本发明媒体流传输密钥操作方法上述实施例中,可以通过对密钥期满“(Key Expiry)”事件具体化,或者可以对媒体流传输密钥进行分类、或者可以对媒体流传输密钥进行标识,当媒体网关判断具体的、或者指定类型或标识的媒体流传输密钥的生存期期满时,所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。本发明上述实施例填补了在MG和MGC分离架构下,进行媒体流传输密钥的生存期状态操作的技术空白。而且通过检测媒体流传输密钥的生存期状态,可以实现媒体流的安全传输。
图5为本发明方法提供的一个实施例的信令流程图,如图5所示,本实施例的方法包括:
步骤501、MGC和MG协商媒体流传输所采用的密钥信息。这里,密钥信息可以是MGC所在业务层协商确定的,也可以是MGC基于本地策略生成并指示给MG的。
步骤502、MG根据MGC的指示,开始对密钥保护的媒体流的收发,包括:对发送的媒体流进行加密,并对接收到的媒体流进行解密。
步骤503、以用户终端为例,MG和用户终端开始媒体流的安全传输。
步骤504、MGC向MG发送媒体流传输密钥生存期状态信息检测事件请求,其中包含“密钥期满(ke)”事件,并且所述“密钥期满(ke)”事件携带“密钥生存期期满行为(kleb)”参数。在本例中,“密钥生存期期满行为(kleb)”参数取值为“0x0004”,即当媒体流传输密钥期满时,媒体网关向媒体网关控制器上报密钥期满事件,关闭媒体流,并且发送媒体流关闭消息(如,RTCPBYE)。
步骤505、MG向MGC发送应答消息。
步骤506、MG检测对应媒体流传输密钥的生存期状态信息,并对检测到的媒体流传输密钥的生存期状态信息进行判断。
步骤507、MG判断所述媒体流传输密钥的生存期期满时,根据MGC的指示执行媒体流传输密钥生存期期满行为,具体包括向MGC上报密钥期满事件。
步骤508、MGC向MG发送应答消息。
步骤509、MG根据MGC的指示执行媒体流传输密钥生存期期满行为,具体包括MG向用户终端发送RTCP BYE消息,关闭媒体流。
本实施例填补了在MG和MGC分离架构下,进行媒体流传输密钥的生存期状态操作的技术空白。而且通过检测媒体流传输密钥的生存期状态,可以实现媒体流的安全传输。
以上以某个媒体流传输密钥为例,当涉及到多个不同的传输密钥时,可以对密钥期满“(Key Expiry)”事件具体化,例如,要实现对主密钥的检测,可以通过定义的“主密钥期满mke”事件;或者可以对媒体流传输密钥进行分类,实现对不同类别的媒体流传输密钥生存期期满行为,例如,可以在所述“密钥期满(ke)”事件中定义一个“密钥类型kt”参数;可以对媒体流传输密钥进行标识,实现对某个具体的媒体流传输密钥生存期期满行为,例如,可以在所述“密钥期满(ke)”事件中定义一个“密钥标识ki”参数,其取值可以是某个具体的密钥。以上实施例具体的信令流程图不再详述。
本发明还提供了媒体流传输密钥操作装置的实施例的结构示意图,以媒体网关为例说明。
图6为本发明媒体网关一个实施例的结构示意图,如图6所示,本实施例的媒体网关包括:检测模块11、判断模块12和操作模块13,该检测模块11用于检测媒体流传输密钥的生存期状态信息;判断模块12用于判断所述媒体流传输密钥的生存期状态信息是否期满;操作模块13用于当判断模块12判断所述媒体流传输密钥的生存期期满时,根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。
本实施例的媒体网关与图1所示的媒体流传输密钥操作方法实施例相对应,具体实现原理不再赘述。
图7为本发明媒体网关另一个实施例的结构示意图,如图7所示,本实本实施例的媒体网关包括:检测模块11、判断模块12和操作模块13,还包括:接收模块14,该接收模块14用于接收媒体网关控制器下发的密钥期满事件;所述检测模块11根据接收模块14接收的媒体网关控制器下发的密钥期满事件,检测媒体流传输密钥的生存期状态信息;判断模块12用于判断所述媒体流传输密钥的生存期状态信息是否期满;操作模块13用于当判断模块12判断所述媒体流传输密钥的生存期期满时,根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。
可选的,接收模块14用于接收媒体网关控制器下发的“主密钥期满mke”事件;所述检测模块11根据接收模块14接收的媒体网关控制器下发的主密钥期满事件,检测媒体流传输主密钥的生存期状态信息;判断模块12用于判断所述媒体流传输主密钥的生存期状态信息是否期满;操作模块13用于当判断模块12判断所述媒体流传输主密钥的生存期期满时,根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。
本实施例的媒体网关与图2所示的媒体流传输密钥操作方法实施例相对应,具体实现原理不再赘述。
可选的,接收模块14还用于接收媒体网关控制器下发的包含密钥类型“kt”参数的密钥期满事件;所述检测模块11根据接收模块14接收的媒体网关控制器下发的密钥期满事件,检测指定类型的媒体流传输密钥的生存期状态信息;判断模块12用于判断指定类型的媒体流传输密钥的生存期状态信息是否期满;操作模块13用于当判断模块12判断所述指定类型的媒体流传输密钥的生存期期满时,根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。
本实施例的媒体网关与图3所示的媒体流传输密钥操作方法实施例相对应,具体实现原理不再赘述。
可选的,接收模块14还用于接收媒体网关控制器下发的包含密钥标识“ki”参数的密钥期满事件;所述检测模块11根据接收模块14接收的媒体网关控制器下发的密钥期满事件,检测指定标识的媒体流传输密钥的生存期状态信息;判断模块12用于判断指定标识的媒体流传输密钥的生存期状态信息是否期满;操作模块13用于当判断模块12判断所述指定标识的媒体流传输密钥的生存期期满时,根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。
本实施例的媒体网关与图4所示的媒体流传输密钥操作方法实施例相对应,具体实现原理不再赘述。
可选的,接收模块14还用于接收媒体网关控制器下发的包含“密钥生存期期满行为(Key Lifetime Expiry Behaviour)”参数的密钥期满事件;操作模块13用于当判断模块12判断所述媒体流传输密钥的生存期期满时,根据媒体网关控制器下发的“密钥生存期期满行为(Key Lifetime ExpiryBehaviour)”参数的指示执行媒体流传输密钥生存期期满行为。
具体的,可以定义“密钥生存期期满行为”参数的参数类型为枚举型(Enumeration),其可能的取值包括以下的至少一种:
媒体网关自治行为,即媒体网关自主决定处理行为(MG determinedaction),这时媒体网关不需要再一步请示媒体网关控制器的指示,而可以自主决定处理行为,例如可以定义此参数为0x0001;或者
媒体网关关闭媒体流,并且发送媒体流关闭消息(如,RTCP BYE),例如可以定义此参数为0x0002;或者
媒体网关向媒体网关控制器上报密钥期满事件,不发送媒体流关闭消息(如,RTCP BYE),例如可以定义此参数为0x0003;或者
媒体网关向媒体网关控制器上报密钥期满事件,关闭媒体流,并且发送媒体流关闭消息(如,RTCP BYE),例如可以定义此参数为0x0004。
上述媒体网关实施例中,当判断模块判断媒体流传输密钥的生存期期满时,所述操作模块可以根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。本实施例填补了在MG和MGC分离架构下,进行媒体流传输密钥的生存期状态操作的技术空白。而且通过检测媒体流传输密钥的生存期状态,可以实现媒体流的安全传输。
图8为本发明媒体网关控制器一个实施例的结构示意图,如图8所示,本实施例的媒体网关控制器包括:发送模块21,该发送模块14用于向媒体网关下发密钥期满事件,以使媒体网关根据所述密钥期满事件,检测媒体流传输密钥的生存期状态信息。。
可选地,所述发送模块21,用于向媒体网关下发的“主密钥期满mke”事件。
可选地,所述发送模块21,用于向媒体网关下发包含密钥类型“kt”参数的密钥期满事件。
可选地,所述发送模块21,用于向媒体网关下发包含密钥标识“ki”参数的密钥期满事件。
可选地,所述发送模块21,用于向媒体网关下发包括“密钥生存期期满行为(Key Lifetime Expiry Behaviour)”参数的密钥期满事件。当所述“密钥生存期期满行为(Key Lifetime Expiry Behaviour)”参数包括媒体网关向媒体网关控制器上报密钥期满事件时,所述媒体网关控制器还包括接收模块22,用于接收媒体网关上报的密钥期满事件。
本实施例的媒体网关控制器与媒体流传输密钥操作方法实施例相对应,具体实现原理不再赘述。
图9为本发明媒体流传输密钥操作系统一个实施例的结构示意图,如图9所示,本实施例的媒体流传输密钥操作系统包括:媒体网关控制器2和媒体网关1,媒体网关控制器2用于向媒体网关1发送密钥期满事件;媒体网关1用于接收媒体网关控制器2发送的密钥期满事件;根据接收的媒体网关控制器下发的密钥期满事件,检测媒体流传输密钥的生存期状态信息;判断所述媒体流传输密钥的生存期状态信息是否期满;当判断所述媒体流传输密钥的生存期期满时,根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。
上述系统实施例与媒体流传输密钥操作方法实施例相对应,具体实现原理不再赘述。
上述系统实施例中,填补了在MG和MGC分离架构下,进行媒体流传输密钥的生存期状态操作的技术空白。而且通过检测媒体流传输密钥的生存期状态,可以实现媒体流的安全传输。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (8)
1.一种媒体流传输密钥操作方法,其特征在于,包括:
媒体网关接收接收媒体网关控制器下发的密钥期满事件,其中,所述密钥期满事件携带密钥生存期期满行为参数,所述密钥生存期期满行为参数用于指示所述媒体网关执行相应的媒体流传输密钥生存期期满行为;
所述媒体网关根据所述密钥期满事件,检测媒体流传输密钥的生存期状态信息;
当所述媒体网关判断所述媒体流传输密钥的生存期期满时,所述媒体网关执行与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为;
其中,所述媒体网关执行与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为,包括:
所述媒体网关关闭媒体流,并且发送媒体流关闭消息;或者
所述媒体网关上报密钥期满事件,不发送媒体流关闭消息;或者
所述媒体网关上报密钥期满事件,关闭媒体流,并且发送媒体流关闭消息。
2.根据权利要求1所述的方法,其特征在于,所述密钥期满事件中还包括密钥类型参数,媒体网关根据媒体网关控制器下发的包含密钥类型参数的密钥期满事件,检测指定类型的媒体流传输密钥的生存期状态信息;当所述媒体网关判断指定类型的媒体流传输密钥的生存期期满时,所述媒体网关执行与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为;或
所述密钥期满事件中还包括密钥标识参数,媒体网关根据媒体网关控制器下发的包含密钥标识参数的密钥期满事件,检测指定标识的媒体流传输密钥的生存期状态信息;当所述媒体网关判断指定标识的媒体流传输密钥的生存期期满时,所述媒体网关执行与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为。
3.根据权利要求1所述的方法,其特征在于,所述密钥期满事件为主密钥期满事件,所述媒体网关根据接收的所述主密钥期满事件,检测媒体流传输主密钥的生存期状态信息;当所述媒体网关判断所述媒体流传输主密钥的生存期期满时,所述媒体网关执行与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为。
4.根据权利要求1所述的方法,其特征在于,所述媒体流传输密钥的生存期期满的判断条件为:使用相同媒体流传输密钥传输的报文数目达到所述媒体流传输密钥设定的最大数目。
5.一种媒体网关,其特征在于,包括接收模块、检测模块、判断模块和操作模块:
所述接收模块用于接收媒体网关控制器下发的密钥期满事件,其中,所述密钥期满事件携带密钥生存期期满行为参数,所述密钥生存期期满行为参数用于指示所述媒体网关执行相应的媒体流传输密钥生存期期满行为;
所述检测模块用于根据所述接收模块接收的所述密钥期满事件,检测媒体流传输密钥的生存期状态信息;
所述判断模块用于判断所述媒体流传输密钥的生存期状态信息是否期满;
所述操作模块用于当所述判断模块判断所述媒体流传输密钥的生存期期满时,执行与所述接收模块接收的所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为;
其中,所述操作模块具体用于当所述判断模块判断所述媒体流传输密钥的生存期期满时,执行以下任一与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为:
关闭媒体流,并且发送媒体流关闭消息;或者,
上报密钥期满事件,不发送媒体流关闭消息;或者
上报密钥期满事件,关闭媒体流,并且发送媒体流关闭消息。
6.根据权利要求5所述的媒体网关,其特征在于,所述接收模块接收的所述密钥期满事件还包含密钥类型参数或密钥标识参数;
所述检测模块根据接收模块接收的媒体网关控制器下发的密钥期满事件,检测指定类型或指定标识的媒体流传输密钥的生存期状态信息;
所述判断模块用于判断指定类型或指定标识的媒体流传输密钥的生存期状态信息是否期满;
所述操作模块用于当判断模块判断所述指定类型或指定标识的媒体流传输密钥的生存期期满时,执行与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为。
7.一种媒体流传输密钥操作系统,其特征在于,包括媒体网关控制器和媒体网关,其中:
所述媒体网关控制器用于向媒体网关发送密钥期满事件,其中,所述密钥期满事件携带密钥生存期期满行为参数,所述密钥生存期期满行为参数用于指示所述媒体网关执行相应的媒体流传输密钥生存期期满行为;
所述媒体网关用于接收媒体网关控制器发送的所述密钥期满事件;根据接收的所述密钥期满事件,检测媒体流传输密钥的生存期状态信息;判断所述媒体流传输密钥的生存期状态信息是否期满;当判断所述媒体流传输密钥的生存期期满时,执行与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为;
其中,所述媒体网关具体用于当判断所述媒体流传输密钥的生存期期满时,执行以下任一与所述密钥生存期期满行为参数相应的媒体流传输密钥生存期期满行为:
关闭媒体流,并且发送媒体流关闭消息;或者
上报密钥期满事件,不发送媒体流关闭消息;或者
上报密钥期满事件,关闭媒体流,并且发送媒体流关闭消息。
8.根据权利要求7所述的系统,其特征在于,所述的媒体网关包括权利要求5或6所述的媒体网关。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2010/070637 WO2011097804A1 (zh) | 2010-02-11 | 2010-02-11 | 媒体流传输密钥操作方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102812681A CN102812681A (zh) | 2012-12-05 |
| CN102812681B true CN102812681B (zh) | 2015-04-15 |
Family
ID=44367154
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080001613.7A Active CN102812681B (zh) | 2010-02-11 | 2010-02-11 | 媒体流传输密钥操作方法、装置及系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US9130961B2 (zh) |
| EP (1) | EP2487856B1 (zh) |
| CN (1) | CN102812681B (zh) |
| ES (1) | ES2583727T3 (zh) |
| HU (1) | HUE027832T2 (zh) |
| PT (1) | PT2487856E (zh) |
| WO (1) | WO2011097804A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9843489B2 (en) * | 2013-06-12 | 2017-12-12 | Blackfire Research Corporation | System and method for synchronous media rendering over wireless networks with wireless performance monitoring |
| CN103945449B (zh) * | 2013-01-18 | 2018-12-04 | 中兴通讯股份有限公司 | Csi测量方法和装置 |
| CN103560875B (zh) * | 2013-08-27 | 2016-08-17 | 兴唐通信科技有限公司 | 基于h.248协议的专用通道密钥协商方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1581858A (zh) * | 2003-08-05 | 2005-02-16 | 中兴通讯股份有限公司 | 媒体网关鉴权的方法 |
| CN101513013A (zh) * | 2006-09-11 | 2009-08-19 | 艾利森电话股份有限公司 | 下一代网络中用于过载控制的系统和方法 |
| CN101567876A (zh) * | 2008-04-21 | 2009-10-28 | 华为技术有限公司 | 上报会话状态的方法、媒体网关和系统 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1667355B1 (en) | 2001-02-21 | 2008-08-20 | RPK New Zealand Limited | Encrypted media key management |
| CN1275419C (zh) | 2002-10-18 | 2006-09-13 | 华为技术有限公司 | 一种网络安全认证方法 |
| CN100450109C (zh) | 2003-07-14 | 2009-01-07 | 华为技术有限公司 | 一种基于媒体网关控制协议的安全认证方法 |
| CN100461780C (zh) | 2003-07-17 | 2009-02-11 | 华为技术有限公司 | 一种基于媒体网关控制协议的安全认证方法 |
| US7581100B2 (en) | 2003-09-02 | 2009-08-25 | Authernative, Inc. | Key generation method for communication session encryption and authentication system |
| US7592899B2 (en) | 2004-06-01 | 2009-09-22 | General Dynamics Advanced Information Systems, Inc. | Low power telemetry system and method |
| US8031872B2 (en) | 2006-01-10 | 2011-10-04 | Intel Corporation | Pre-expiration purging of authentication key contexts |
| CN101009551B (zh) * | 2006-01-24 | 2010-12-08 | 华为技术有限公司 | 基于ip多媒体子系统的媒体流的密钥管理系统和方法 |
| US8011012B2 (en) * | 2006-02-17 | 2011-08-30 | Microsoft Corporation | Program substitution |
| US20070280256A1 (en) * | 2006-06-01 | 2007-12-06 | Jan Forslow | Systems and methods for providing a heartbeat in a communications network |
| US20080186952A1 (en) * | 2006-08-11 | 2008-08-07 | Huawei Technologies Co., Ltd. | Method and system for setting up a multimedia session in multimedia internetworking systems |
| KR101465263B1 (ko) * | 2008-06-11 | 2014-11-26 | 삼성전자주식회사 | 휴대 방송 시스템에서 암호화 키 분배 방법 및 이를 위한시스템 |
| WO2010098569A2 (en) * | 2009-02-27 | 2010-09-02 | Samsung Electronics Co,. Ltd. | Method and apparatus for protecting against copying contents by using wihd device |
-
2010
- 2010-02-11 PT PT108454786T patent/PT2487856E/pt unknown
- 2010-02-11 ES ES10845478.6T patent/ES2583727T3/es active Active
- 2010-02-11 CN CN201080001613.7A patent/CN102812681B/zh active Active
- 2010-02-11 HU HUE10845478A patent/HUE027832T2/en unknown
- 2010-02-11 EP EP10845478.6A patent/EP2487856B1/en active Active
- 2010-02-11 WO PCT/CN2010/070637 patent/WO2011097804A1/zh active Application Filing
-
2012
- 2012-06-06 US US13/489,872 patent/US9130961B2/en not_active Ceased
-
2017
- 2017-08-31 US US15/692,949 patent/USRE48132E1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1581858A (zh) * | 2003-08-05 | 2005-02-16 | 中兴通讯股份有限公司 | 媒体网关鉴权的方法 |
| CN101513013A (zh) * | 2006-09-11 | 2009-08-19 | 艾利森电话股份有限公司 | 下一代网络中用于过载控制的系统和方法 |
| CN101567876A (zh) * | 2008-04-21 | 2009-10-28 | 华为技术有限公司 | 上报会话状态的方法、媒体网关和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120243555A1 (en) | 2012-09-27 |
| US9130961B2 (en) | 2015-09-08 |
| EP2487856A4 (en) | 2012-11-14 |
| CN102812681A (zh) | 2012-12-05 |
| EP2487856A1 (en) | 2012-08-15 |
| EP2487856B1 (en) | 2016-04-20 |
| ES2583727T3 (es) | 2016-09-21 |
| PT2487856E (pt) | 2016-06-08 |
| USRE48132E1 (en) | 2020-07-28 |
| HUE027832T2 (en) | 2016-11-28 |
| WO2011097804A1 (zh) | 2011-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2892194B1 (en) | Media stream transmission method and device | |
| EP2243302B1 (en) | Method and nodes for congestion notification | |
| US10469530B2 (en) | Communications methods, systems and apparatus for protecting against denial of service attacks | |
| JP5088239B2 (ja) | 輻輳制御システム、境界ゲートウェイ装置及びそれらに用いる輻輳制御方法 | |
| CN107196816B (zh) | 异常流量检测方法、系统及网络分析设备 | |
| USRE48132E1 (en) | Operating method, apparatus and system for media stream transmission key | |
| WO2011150699A1 (zh) | 流媒体服务器的资源控制方法及流媒体服务器 | |
| JP2007267151A (ja) | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム | |
| WO2011012004A1 (zh) | 一种实现网络流量清洗的方法及系统 | |
| CN105162794B (zh) | 一种使用约定方式的ipsec密钥更新方法及设备 | |
| CN111163040B (zh) | 一种重协商的会话重建方法及装置 | |
| JP2007221217A (ja) | RTPセッション断検出方法、VoIPゲートウェイ装置およびプログラム | |
| EP2493136A1 (en) | Method, apparatus and system for media data replay statistics | |
| JP4592705B2 (ja) | マルチメディアストリーム交換セッションを初期化するためのメッセージを監視する方法と前記方法を実行するためのサーバおよび設備 | |
| EP3718271B1 (fr) | Procédés de détection, de gestion et de relais d'un problème de communication multimédia, entités d'exécution, de contrôle et de gestion de règles et programme d'ordinateur correspondants | |
| CN113098864B (zh) | 一种数据传输系统 | |
| WO2021164370A1 (zh) | 双向转发检测报文长度切换的方法、装置及存储介质 | |
| JP5353773B2 (ja) | Rtpデータ通信装置 | |
| KR100724519B1 (ko) | 미디어 데이터 전송 방법, 이미터 디바이스, 수신기 디바이스, 트랜시버 및 컴퓨터 프로그램 저장 매체 | |
| CN103095653A (zh) | 在多个通信端点之间切换媒体能力的方法与装置 | |
| KR20130050515A (ko) | Sip 상에서의 저속 서비스 거부 공격 탐지 및 차단 방법 | |
| KR20160087965A (ko) | 4g 이동통신망에서의 sip 스캐닝 메시지 탐지 시스템 및 방법 | |
| JP2013207314A (ja) | 映像・音声伝送システム、伝送方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |