CN103560875A - 基于h.248协议的专用通道密钥协商方法及装置 - Google Patents
基于h.248协议的专用通道密钥协商方法及装置 Download PDFInfo
- Publication number
- CN103560875A CN103560875A CN201310379636.7A CN201310379636A CN103560875A CN 103560875 A CN103560875 A CN 103560875A CN 201310379636 A CN201310379636 A CN 201310379636A CN 103560875 A CN103560875 A CN 103560875A
- Authority
- CN
- China
- Prior art keywords
- media gateway
- key
- agreement
- designated lane
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于H.248协议的专用通道密钥协商方法,在专用H.248协议扩展包支持下经过以下步骤:媒体网关控制设备向媒体网关申请指定资源,指示其进入正确的工作状态并打开专用通道;专用通道设置完成后,媒体网关控制设备与媒体网关通过专用通道(透传或交互通道)进行数据的传输;媒体网关根据接收的数据协商密钥,协商完成后,将协商结果上报给媒体网关控制设备,同时媒体网关控制设备指示媒体网关退出通道。本发明同时还公开了一种基于H.248协议的专用通道密钥协商装置,包含以下模块:专用通道控制模块;通道数据传输模块;密钥协商模块。
Description
技术领域
本发明涉及数据安全领域,特别涉及基于H.248协议的专用通道密钥协商方法和装置。
背景技术
随着数据通信业务的急速增长,分组交换数据网日益发展壮大。近年来,可以提供语音、数据和多媒体等业务的下一代网络(NextGeneration Network,以下简称NGN)已经成为电信网发展的热点。NGN是一个基于分组交换技术且高度融合的网络架构,基本解决了传统网络中存在的各种缺陷。为了能够满足客户对各种高质量业务的可靠性及安全性需求,在NGN通信网上增加部分加密内容成为必须解决的问题。
媒体网关控制器(Media Gateway Controller,以下简称MGC)处于NGN分层网络结构的控制层,是信令消息的源点和终点,可通过多种协议控制整个网络。在目前很多应用中,随着H.248协议不断成熟和发展,这一媒体网关控制协议被大量采用。它吸收了媒体网关控制协议(Media Gateway Control Protocol,简称以下MGCP)等传统媒体网关控制协议的优点,把呼叫控制从媒体转换中分离出来,并定义了媒体网关控制器对媒体网关(Media Gateway,以下简称MG)的控制方式和标准的基于IP网络的通信格式。
在现有的技术专利中出现了MGC通过H.248协议控制MG进行密相关数据传输的方法。中国专利申请号为200510035663.8的发明提出了一种媒体网关控制协议呼叫中的内容传输方法。该方法中,在媒体网关控制协议的控制下,主叫、被叫媒体网关在互相发送报文时,在发送端对RFC2833报文进行了加密,在接收端对RFC2833报文进行解密,即通过RFC2833协议传输密数据。加解密所用的密钥预先配置在主叫、被叫媒体网关或由软交换设备一次性下发。
在此专利的发明中,密钥的下发预先配置或通过H.248协议一次性下发给媒体网关,并没有提供一个专用的密钥传输通道,因此通过RFC2833实现加解密的密钥容易被网络截获或攻击,存在安全隐患。
不同的通信机制下,由于安全机制不同,终端所存储的相关密钥数据从格式、使用方式是不一样的。例如有用于存储在终端及基站、核心网等网元的永久密钥;有用于终端与核心网元之间推演下层密钥的中间密钥;有用于终端及基站、核心网等网元的共享密钥等。因此对于处在不同通信体制网络之间的网络实体(如互通网关设备)需要存储和处理不同机制的密钥数据。这些密钥数据可能是存在于终端与核心网设备之间直接交互,也有可能是核心网设备通过某个中间网络设备转发或处理后再与终端进行交互。不同的交互提供不同的安全强度的数据处理业务或功能。
H.248协议中没有定义存储不同密钥数据的异网终端间实现业务数据安全交互的方法。考虑到安全性,在基于IP多媒体子系统架构和软交换的技术中,需要提供MGC和MG之间的直接/间接的透传、交互通道。
发明内容
(一)要解决的技术问题
本发明的目的在于解决目前H.248协议中仅使用固定密钥进行协商,没有提供一个灵活的密钥配置和传输的专用通道,从而实现密钥存储的不可靠性及安全隐患的问题。
(二)技术方案
本发明技术方案如下:
一种基于H.248协议的专用通道密钥协商方法,所述方法包含以下步骤:
1)媒体网关控制设备通过H.248协议扩展包向媒体网关申请指定资源,指示其进入正确的工作状态并打开专用通道;
2)专用通道设置完成后,媒体网关控制设备与媒体网关通过专用通道进行数据的传输;
3)媒体网关协商密钥,密钥完成后通过H.248协议扩展包检测协商状态,并将协商结果上报给媒体网关控制设备,媒体网关控制设备指示媒体网关退出通道。
优选的,所述步骤1)中的扩展包具有以下属性相关信息:
终结点的承载类型,用于指示数据的承载通道类型;
终结点可支持的通信制式,为以下制式的一种或任意多种之间的组合,PSTN、ISDN、PHS、GSM、CDMA2000、WCDMA、TD-SCDMA、TD-LTE、FDD-LTE、IMS、SIP、集群、卫星、海事;
终结点所在的域,对相同通信机制下的用户进行分群管理,为不同的用户群设置不同的密钥数据长度;
终结点类型,终结点类型为普通终结点或者密终结点。
优选的,所述的承载通道工作方式为透传模式或交互模式。优选的,不同通信制式在媒体网关存储和处理相应的不同机制的密钥数据,在异网终端之间实现业务数据的安全交互。
优选的,所述的终结点类型为普通终结点时,控制媒体网关不提供安全强度数据功能;终结点类型为密终结点时,控制媒体网关提供安全强度数据功能。
优选的,所述步骤2)为通过H.248扩展包定义的事件下发密同步状态信息,下载及上传自定义的密钥数据进行密钥的协商过程。
优选的,所述密钥协商过程包含以下步骤:
媒体网关控制设备下发密同步事件,媒体网关处于接入就绪状态,打开专用的交互或透传通道,准备开始密钥协商;
通过H.248协议的扩展包下发密同步开始命令;
若为交互通道,媒体网关控制设备通过H.248的密码协议数据下载扩展包将密钥数据发送给媒体网关;
媒体网关将检测到的事件上报给媒体网关控制设备,通过H.248协议的扩展包进行数据的上传。
若为透传通道,媒体网关将来自终端的密码协议数据通过H.248协议打包上传给媒体网关控制设备;
媒体网关控制设备经相关处理,根据定义的H.248扩展包下载相应的密钥数据发送给媒体网关。
优选的,所述步骤3)中所述的媒体网关协商密钥的方法为根据密码协商算法经至少一次的协商获得最终的密钥。
一种基于H.248协议的专用通道密钥协商装置,所述方法包含以下模块:
1)专用通道控制模块,用于经H.248协议扩展包向媒体网关申请指定资源,指示其打开专用通道;
2)通道数据传输模块,用于使用通道数据传输模块,根据打开的透传或交互通道进行数据的传输;
3)密钥协商模块,用于完成密钥协商过程,完成后通过H.248协议扩展包检测协商状态,并将协商结果上报给专用通道控制模块。
优选的,所述的专用通道控制模块为网关控制设备。
(三)有益效果
本发明通过采用媒体网关控制设备依据H.248协议扩展包向媒体网关申请指定资源,指示其进入正确的工作状态并打开专用通道,然后在专用通道设置完成后,媒体网关控制设备与媒体网关通过专用通道(透传或交互通道)进行数据的传输,最后媒体网关依据接收的数据协商密钥,密钥完成后通过H.248协议扩展包检测协商状态,并将协商结果上报给媒体网关控制设备,同时媒体网关控制设备指示媒体网关退出通道的方法,解决了目前H.248协议中仅使用固定密钥进行协商,没有提供一个可灵活配置和传输密钥的专用通道,从而实现密钥存储的不可靠及存在安全隐患的问题。
附图说明
图1是本发明的一种基于H.248协议的专用通道密钥协商方法的流程图;
图2是本发明的一种基于H.248协议的专用通道密钥协商装置的示意图;
图3是本发明的一种媒体网关控制设备与媒体网关交互的网络结构示意图;
图4是本发明的一种专用通道的数据传输交互示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式做进一步描述。以下实施例仅用于说明本发明,但不用来限制本发明的范围。
如图1所示的一种基于H.248协议的专用通道密钥协商方法的流程图,如图2所示的一种基于H.248协议的专用通道密钥协商装置的示意图,本发明采用如图2所示的装置并使用如图3所示的方法建立基于H.248协议的专用密钥协商通道。图3给出了媒体网关控制设备通过H.248协议的扩展包与媒体网关交互的网络结构图。本发明通过H.248协议扩展包的方法实现媒体网关控制设备与媒体网关之间的数据传输专用通道。
由于本发明仅涉及媒体网关控制设备和媒体网关之间的处理过程,为使本发明的目的和技术方案更加清楚,以下将结合附图4对H.248协议扩展包做进一步详细的说明。图4给出了应用H.248扩展包形成专用通道数据传输的详细流程。
1、媒体网关控制设备向媒体网关发出申请资源的请求。
具体地,通过H.248协议扩展包,在H.248的资源请求命令中携带相关参数,对终结点属性进行扩展,包括通信体制、终结点类型、承载类型,从而指示媒体网关分配相应的媒体资源。结合H.248的扩展包,媒体网关控制设备采用附图4中添加(1)消息向媒体网关请求资源。
2、媒体网关收到资源请求申请时,对该消息进行确认。进一步媒体网关根据资源请求消息中的参数执行相应的处理,设置通道工作方式交互通道。媒体网关响应之后,终结点将会添加到关联当中。关联域中的终结点默认是连通的,所以媒体网关控制设备需要通过修改关联域中的拓扑结构,使添加进来的终结点隔离。以两个终结点为例,媒体网关控制设备通过附图4中修改(2)所示的拓扑请求进行资源隔离。
3、专用通道设置完成后,媒体网关控制设备下发密同步事件。媒体网关控制设备通过附图4中修改(3)命令下发密同步事件,终结点收到该消息后会检测密同步完成事件。
4、媒体网关控制设备与媒体网关依据打开的透传或交互通道进行自定义密钥数据的传输。具体地,媒体网关控制设备通过附图4中修改(4)命令下载数据。利用H.248的包扩展机制,通过扩展的交互请求事件的密钥下载参数将自定义数据下发给互通媒体网关。在下发自定义数据的同时,修改命令也会设置终结点检测交互请求事件。
5、自定义数据下载同时,媒体网关会将检测到的事件上报给媒体网关控制设备。具体地,媒体网关将自定义数据通过附图4中通知(5)命令上传给媒体网关控制设备。利用H.248的包扩展机制,媒体网关将检测到交互请求事件,利用被观察事件参数检测交互请求事件,当检测到该事件时,通过该事件的密钥上传参数将自定义数据上传给媒体网关控制设备。
6、经过上传和下载自定义密钥数据完成一次密数据的交互,根据密协商算法经多次协商后获得最终的密钥。具体地,媒体网关使用附图4中的通知(6)命令将已检测到的事件上报给媒体网关控制器,以汇报协商结果。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的保护范畴。
Claims (10)
1.一种基于H.248协议的专用通道密钥协商方法,其特征在于,所述方法包含以下步骤:
1)媒体网关控制设备通过H.248协议扩展包向媒体网关申请指定资源,指示其进入正确的工作状态并打开专用通道;
2)专用通道设置完成后,媒体网关控制设备与媒体网关通过专用通道进行数据的传输;
3)媒体网关协商密钥,密钥完成后通过H.248协议扩展包检测协商状态,并将协商结果上报给媒体网关控制设备,媒体网关控制设备指示媒体网关退出通道。
2.根据权利要求1所述的一种基于H.248协议的专用通道密钥协商方法,其特征在于,所述步骤1)中的扩展包具有以下属性相关信息:
终结点的承载类型,用于指示数据的承载通道类型;
终结点可支持的通信制式,为以下制式的一种或任意多种之间的组合,PSTN、ISDN、PHS、GSM、CDMA2000、WCDMA、TD-SCDMA、TD-LTE、FDD-LTE、IMS、SIP、集群、卫星、海事;
终结点所在的域,对相同通信机制下的用户进行分群管理,为不同的用户群设置不同的密钥数据长度;
终结点类型,终结点类型为普通终结点或者密终结点。
3.根据权利要求2所述的一种基于H.248协议的专用通道密钥协商方法,其特征在于所述的承载通道工作方式为透传模式或交互模式。
4.根据权利要求2所述的一种基于H.248协议的专用通道密钥协商方法,其特征在于不同通信制式在媒体网关存储和处理相应的不同机制的密钥数据,可实现异网终端之间业务数据的安全交互。
5.根据权利要求2所述的一种基于H.248协议的专用通道密钥协商方法,其特征在于所述的终结点类型为普通终结点时,媒体网关不提供安全强度数据功能;终结点类型为密终结点时,媒体网关提供安全强度数据功能。
6.根据权利要求1所述的一种基于H.248协议的专用通道密钥协商方法,其特征在于,所述步骤2)为通过H.248扩展包定义的事件下发密同步状态信息,下载及上传自定义的密钥数据进行密钥的协商过程。
7.根据权利要求6所述的一种基于H.248协议的专用通道密钥协商方法,其特征在于,所述密钥协商过程包含以下步骤:
媒体网关控制设备下发密同步事件,媒体网关处于接入就绪状态,打开专用的交互或透传通道,准备开始密钥协商;
通过H.248协议的扩展包下发密同步开始命令;
若为交互通道,媒体网关控制设备通过H.248的密码协议数据下载扩展包将密钥数据发送给媒体网关;媒体网关将检测到的事件上报给媒体网关控制设备,通过H.248协议的扩展包进行数据的上传。
若为透传通道,媒体网关将来自终端的密码协议数据通过H.248协议打包上传给媒体网关控制设备;媒体网关控制设备经相关处理,根据定义的H.248扩展包下载相应的密钥数据发送给媒体网关。
8.根据权利要求1所述的一种基于H.248协议的专用通道密钥协商方法,其特征在于,所述步骤3)中所述的媒体网关协商密钥的方法为根据密码协商算法经至少一次的协商获得最终的密钥。
9.一种基于H.248协议的专用通道密钥协商装置,其特征在于,所述方法包含以下模块:
1)专用通道控制模块,用于经H.248协议扩展包向媒体网关申请指定资源,指示其打开专用通道;
2)通道数据传输模块,用于打开的透传或交互通道进行数据的传输;
3)密钥协商模块,用于完成密钥协商过程,完成后通过H.248协议扩展包检测协商状态,并将协商结果上报给专用通道控制模块。
10.根据权利要求9所述的一种基于H.248协议的专用通道密钥协商装置,其特征在于,所述的专用通道控制模块为媒体网关控制设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310379636.7A CN103560875B (zh) | 2013-08-27 | 2013-08-27 | 基于h.248协议的专用通道密钥协商方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310379636.7A CN103560875B (zh) | 2013-08-27 | 2013-08-27 | 基于h.248协议的专用通道密钥协商方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103560875A true CN103560875A (zh) | 2014-02-05 |
| CN103560875B CN103560875B (zh) | 2016-08-17 |
Family
ID=50015032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310379636.7A Active CN103560875B (zh) | 2013-08-27 | 2013-08-27 | 基于h.248协议的专用通道密钥协商方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103560875B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110635838A (zh) * | 2019-09-30 | 2019-12-31 | 中国电子科技集团公司第五十四研究所 | 一种天基通信网中多传输体制的接入方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571407A (zh) * | 2003-07-14 | 2005-01-26 | 华为技术有限公司 | 一种基于媒体网关控制协议的安全认证方法 |
| CN1581858A (zh) * | 2003-08-05 | 2005-02-16 | 中兴通讯股份有限公司 | 媒体网关鉴权的方法 |
| CN1585371A (zh) * | 2004-05-25 | 2005-02-23 | 中国移动通信集团公司 | 从信息服务器向移动终端推送信息的系统及方法 |
| CN102137393A (zh) * | 2010-12-28 | 2011-07-27 | 华为技术有限公司 | 一种端到端的加密方法及装置 |
| CN102812681A (zh) * | 2010-02-11 | 2012-12-05 | 华为技术有限公司 | 媒体流传输密钥操作方法、装置及系统 |
-
2013
- 2013-08-27 CN CN201310379636.7A patent/CN103560875B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571407A (zh) * | 2003-07-14 | 2005-01-26 | 华为技术有限公司 | 一种基于媒体网关控制协议的安全认证方法 |
| CN1581858A (zh) * | 2003-08-05 | 2005-02-16 | 中兴通讯股份有限公司 | 媒体网关鉴权的方法 |
| CN1585371A (zh) * | 2004-05-25 | 2005-02-23 | 中国移动通信集团公司 | 从信息服务器向移动终端推送信息的系统及方法 |
| CN102812681A (zh) * | 2010-02-11 | 2012-12-05 | 华为技术有限公司 | 媒体流传输密钥操作方法、装置及系统 |
| CN102137393A (zh) * | 2010-12-28 | 2011-07-27 | 华为技术有限公司 | 一种端到端的加密方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 陈鑫: "H.248协议应用于实现研究", 《中国优秀硕士论文全文数据库信息科技辑》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110635838A (zh) * | 2019-09-30 | 2019-12-31 | 中国电子科技集团公司第五十四研究所 | 一种天基通信网中多传输体制的接入方法 |
| CN110635838B (zh) * | 2019-09-30 | 2021-11-19 | 中国电子科技集团公司第五十四研究所 | 一种天基通信网中多传输体制的接入方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103560875B (zh) | 2016-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103748908B (zh) | 在使用端到端加密的通信系统中基于策略路由的合法截取 | |
| CN100440850C (zh) | 多媒体业务网络地址转换穿越的方法及其系统 | |
| CN101232368B (zh) | 一种分配媒体流密钥的方法和多媒体子系统 | |
| CN101227376B (zh) | 一种虚拟专用网多实例安全接入的方法及设备 | |
| EP1717986A1 (en) | Key distribution method | |
| US20100002880A1 (en) | SYSTEM AND METHOD FOR LAWFUL INTERCEPTION USING TRUSTED THIRD PARTIES IN SECURE VoIP COMMUNICATIONS | |
| CN110213652A (zh) | 一种音视频数据传输方法、装置及存储介质 | |
| CN114553422B (zh) | VoLTE语音加密通信方法、终端及系统 | |
| CN107306214A (zh) | 终端连接虚拟专用网的方法、系统及相关设备 | |
| CN101971559A (zh) | 能够合法截取加密的业务的方法和装置 | |
| CN109672664B (zh) | 一种视联网终端的认证方法和系统 | |
| CN104683098B (zh) | 一种保密通信业务的实现方法、设备及系统 | |
| CN106935242A (zh) | 一种语音通信加密系统与方法 | |
| CN104618387B (zh) | 将sip信令用于量子安全通信系统的方法、综合接入量子网关及系统 | |
| WO2018098633A1 (zh) | 数据传输方法、数据传输装置、电子设备和计算机程序产品 | |
| CN108833943A (zh) | 码流的加密协商方法、装置及会议终端 | |
| CN104022867A (zh) | 一种issu软重启预处理方法及设备 | |
| CN104683291A (zh) | 基于ims系统的会话密钥协商方法 | |
| CN100561909C (zh) | 一种基于tls的ip多媒体子系统接入安全保护方法 | |
| CN110392044A (zh) | 一种基于视联网的信息传输方法及装置 | |
| CN110061962A (zh) | 一种视频流数据传输的方法和装置 | |
| CN102916960A (zh) | 一种应用于物理隔离网闸的策略同步方法及其系统 | |
| WO2007048301A1 (fr) | Procede de cryptage pour service mgn | |
| CN100525476C (zh) | 媒体网关控制协议呼叫中的内容传输方法 | |
| WO2013159623A1 (zh) | 通信监听的指示、实现方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |