CN106850526B - Ims系统中的端到边缘媒体保护的方法和设备 - Google Patents
Ims系统中的端到边缘媒体保护的方法和设备 Download PDFInfo
- Publication number
- CN106850526B CN106850526B CN201610846165.XA CN201610846165A CN106850526B CN 106850526 B CN106850526 B CN 106850526B CN 201610846165 A CN201610846165 A CN 201610846165A CN 106850526 B CN106850526 B CN 106850526B
- Authority
- CN
- China
- Prior art keywords
- media
- protection
- user entity
- responder
- entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/65—Environment-dependent, e.g. using captured environmental data
Abstract
IMS系统包括IMS发起者用户实体。该系统包括发起者用户实体所呼叫的IMS响应者用户实体。该系统包括与呼叫者实体通信的主叫侧的S‑CSCF,主叫侧的S‑CSCF从呼叫者实体接收具有第一保护提议和用于密钥建立的参数的INVITE,从INVITE移除第一保护提议并转发不带有第一保护提议的INVITE。该系统包括与响应者实体和呼叫侧的S‑CSCF进行通信的接收端的S‑CSCF,接收端的S‑CSCF接收不带有第一保护提议的INVITE,并检查响应者用户实体支持媒体保护,向INVITE中插入第二保护提议以及向响应者用户实体转发INVITE,其中,响应者用户实体接受包括第二保护提议在内的INVITE并使用具有第一保护接受的确认来进行应答。一种用于由通信节点支持呼叫的方法。
Description
本申请是2010年5月28日(申请日:2008年12月1日)向中国专利局递交并进入中国国家阶段的题为“IMS系统中的端到边缘媒体保护的方法和设备”的发明专利申请No.200880118347.9(PCT国际申请No.PCT/IB2008/003288)的分案申请。
技术领域
本发明涉及关于会话控制邀请消息的媒体保护控制。(如在此所使用的,对“本发明”或“发明”的引用涉及示例性的实施例,但是不一定涉及所附权利要求所涵盖的每一个实施例)。
更具体地,本发明涉及关于IMS系统中的SIP INVITE消息来选择适当的媒体保护(如,末端到边缘媒体保护),IMS系统位于发起者用户实体和响应者用户实体之间。
背景技术
本部分旨在向读者介绍与本发明的各方面有关的现有技术的各个方面。随后的描述旨在提供利于更好地理解本发明的信息。相应地,应该理解,应该就此而论地阅读随后的讨论中的论述,而不是将其视为对现有技术的承认。
很多网络接入技术(GSM、WCDMA、WLAN、WiMAX)为“第一跳”提供了一些基本的安全性。然而,并不能认为这些接入技术中的所有接入技术都足够安全,并且一些接入没有提供任何内置的安全措施,如IEEE 802.3。特别地,在固定线路接入中,通常对用户的业务没有逻辑保护,从而保护仅仅依靠接入承载该业务的物理介质的难度。从而,在“固定-移动汇聚”(FMC)场景中,需要能够提供至少受IMS控制的末端到接入边缘(e2ae)安全性,即针对跨接入网的媒体传输的安全性。这需要能够提供对不同类型的网络中的业务的统一保护。MMTEL是需要被保护以获得用户信任的一种这样的应用。SRTP(RFC3711)和MIKEY(RFC3830)是针对媒体安全性的协议的示例,并且已经为此提出了密钥管理。其它诸如开放移动联盟(OMA)所指定的(如IM、POC和Presence)等应用或使能器也可受益于e2ae安全性解决方案。
针对特定的应用可能需要的其它类型的媒体保护是端到端(e2e)保护,即,从终端到终端(或者针对基于服务器的应用的终端到应用服务器)的保护。然而,真正的e2e保护可能使得不可能向诸如代码转换提供网络支持。在以下的描述中,将关注于终端到接入边缘的解决方案。在国际公布WO 2009/070075 A1中描述了媒体的e2e保护,该媒体的e2e保护是真正的e2e保护或者具有对于诸如PoC等网络支持功能来说可用的明文。
在根据3GPP标准的IMS中,使用IPSec或使用TLS在P-CSCF和终端之间保护会话控制/设置信令。从而,对从终端到接入边缘的保护的真实需求仅仅针对媒体业务。
(在现有协议之上构建的)针对媒体的终端到接入边缘保护的一种可能的解决方案可以是,使用终端和位于可靠的IMS核心域的边缘(或在其它一些安全的位置)处的安全网关(SGW)之间的IPSec隧道。这种隧道可以保护从UE到安全网络的边缘的所有媒体业务。然而,IPSec隧道的使用引起严重的消息扩展并使得业务管辖很困难。
当然,也可以使用现有协议来保护UE和例如SGSN或C-BGF之间的媒体路径,现有协议如用于媒体保护的SRTP和用于密钥管理的MIKEY(或SDES)。然而,不予改变地应用这种方法具有的以下问题在于,终端到接入边缘解决方案可能:
·在用户可针对特定的场景使用该方案的情况下,干扰可能的端到端解决方案。
·导致在漫游情况下,归属网络和访问网络之间的安全策略的问题。
·具有密钥管理和用户/网络验证的问题。
·对于UE来说,缺少在会话建立之前向网络指示该UE是否完全支持媒体安全性、以及如果支持的话支持哪种类型的媒体保护的装置。
Franck等的发明美国专利US 2006/0288423提供了对诸如端点的网络单元之间的媒体流的媒体保护,端点例如是移动用户终端和接入网上的其它网络单元。Franck等没有公开对可导致过多控制平面信令的用户终端的媒体安全能力进行预登记。
发明内容
本发明涉及SIP/IP核心系统,在此使用IMS系统作为示例。该系统包括IMS发起者用户实体。该系统包括发起者用户实体所呼叫(或一般地,被邀请参与媒体交换)的IMS响应者用户实体。该系统包括与发起者实体通信的发起者侧的S-CSCF,发起者侧的S-CSCF从发起者实体接收具有第一保护提议和用于密钥建立的参数的INVITE,从INVITE移除第一保护提议并转发不带有第一保护提议的INVITE。该系统包括与响应者实体和发起者侧的S-CSCF进行通信的响应者侧的S-CSCF,响应者侧的S-CSCF接收不带有第一保护提议的INVITE,并检查到响应者用户实体支持媒体保护,向INVITE中插入第二保护提议,以及向响应者用户实体转发INVITE,其中,响应者用户实体接受包括第二保护提议在内的INVITE,并使用具有第一保护接受的确认来进行应答。
本发明涉及由通信节点(例如S-CSCF)支持受保护的媒体会话的方法。该方法包括接收从发起者用户实体到响应者用户实体的会话控制邀请消息,该会话控制邀请消息具有针对媒体保护的提议。存在根据网络策略对来自于邀请消息的提议进行动作的步骤。存在向响应方转发具有经修改的提议的消息的步骤。存在从响应者用户实体接收返回的确认的步骤。存在修改确认、以包括将媒体业务导向被选为保护结束端口的边缘实体的参数以及建立对应SA的信息的步骤。
本发明还涉及由通信节点(例如响应者侧的S-CSCF)支持受保护的媒体会话的方法。该方法包括接收从发起者侧的S-CSCF用户实体到响应者用户实体的会话控制邀请消息,该会话控制邀请消息不具有针对媒体保护的提议。存在根据响应者用户实体的已登记的安全能力,对来自于邀请消息的提议进行动作的步骤。存在向响应者用户实体转发具有经修改的提议的消息的步骤。存在从响应者一方接收返回的包括第一保护接受在内的确认的步骤。存在移除确认中的第一保护接受的步骤。存在向发起者侧的S-CSCF转发不带有接受的确认的步骤。
本发明涉及媒体控制信令实体,该媒体控制信令实体可通过处理和转发发起者用户实体和响应者用户实体之间的媒体控制信令消息在通信网络中工作。媒体控制信令实体包括第一网络接口,用于从发起者用户实体接收第一邀请消息。媒体控制信令实体包括第二网络接口,用于向响应者用户实体转发第二邀请消息。媒体控制信令实体包括与所述第一网络接口和第二网络接口通信的处理单元。处理单元可通过以下步骤操作用于由第一邀请消息创建第二邀请消息:
确定第一邀请消息是否包含针对媒体保护的第一提议;
通过以下步骤由第一邀请消息创建所述第二邀请消息:
如果第一邀请消息中包括第一媒体保护提议,至少移除第一媒体保护提议,
如果第一邀请消息不带有第一保护提议并且如果所述响应者用户实体已利用所述通信网络登记了至少一项媒体安全能力,至少插入第二媒体保护提议,第二媒体保护提议与所述已登记的媒体安全能力相对应。
附图说明
在附图中示出了本发明的优选实施例和实践本发明的优选方法。
在附图中:
图1是用于对e2ae保护的使用进行控制的简化信令图。
图2是IMS网络参考模型的图。
图3是本发明所提供的三种不同类型的安全的表示。
图4示出了根据本发明的实施例的另一信令图。
图5是媒体控制信令实体的框图。
具体实施方式
取决于所期望的安全级别和在网络中执行对媒体的操作(如,代码转换)的需求,存在着在端点(用户终端)与网络中适当的终结点之间提供媒体安全的需求。
从安全性的观点来看,显而易见,明文媒体和密钥仅在端点(终端)可用的“真正的”端到端解决方案是优选的。然而,这使得诸如代码转换或合法拦截等网络功能很困难。本发明区分以下类型的媒体保护。
端到接入边缘(e2ae)
在这种情况下,在UE和一些边缘实体(EE)之间保护媒体。该解决方案解决了与任何接入技术特有的威胁有关的安全问题,并且因为该解决方案“尽可能早”地对媒体解密,使得可以在核心网和IMS网络内部的任何位置处进行对媒体的代码转换/适配。
端到中点(e2m)
此处,在UE与某些“中间盒”之间保护业务,中间盒是例如边界实体(BE)或者某些应用服务器(AS)或使能器。假定存在从AS/BE外出的业务,从AS/BE外出的业务被重新加密。这提供了更高的安全性(基本上,唯一的威胁是BE/AS自身内部的拦截),然而,也意味着媒体操纵(方便地)仅在一个地方是可能的。应该注意到,e2m和e2ae的主要区别是:终结安全的实体在网络中稍为更加靠近“上游”,并且因而负责对传出业务进行重新加密。从而,主要的区别在于哪一个节点(BE/AS或EE)被赋予访问媒体保护密钥的权力,并且因而可以将注意力集中在e2ae的情况上,e2m的情况非常相似。从而,应该理解,不管何时讨论e2ae流程,都可以相似地处理e2m流程。当一般地将BE、EE、SGW或AS称为e2ae或e2m安全性的终结点时,媒体平面处理器使用这些标注。
端到端(e2e)
这提供了最佳的安全性,然而还导致了针对其它媒体操作的大多数问题。只要密钥在网络中是知晓的,并且可以通过将媒体与密钥一起向执法机构(LEA)传递来知晓,或通过向LEA传递已加密的媒体流来知晓,在这种情况下,合法拦截将是可能的。这被称为“具有网络支持的端到端”(e2n2e)。
从而,存在促使支持所有四种场景(e2e、e2n2e、e2m以及e2ae)的理由。图3示出了三个选项。
现在参考附图,并且更特别地,参考附图中的图1,图1示出了IMS系统10,在附图中,相同的附图标记指的是该几个视图中类似的或相同的部件。系统10包括IMS发起者用户实体12。系统10包括IMS发起者用户实体12所呼叫的IMS响应者用户实体14。系统10包括与发起者实体进行通信的发起者侧的S-CSCF 16,S-CSCF 16从发起者实体接收具有第一保护提议和用于建立密钥的参数的INVITE,从INVITE移除第一保护提议并转发没有第一保护提议的INVITE。系统10包括与响应者实体14和发起者侧的S-CSCF 16进行通信的响应者侧的S-CSCF 18,S-CSCF 18接收没有第一保护提议的INVITE,并检查到响应者用户实体14支持媒体保护,向INVITE中插入第二保护提议以及向响应者用户实体14转发INVITE,其中,响应者用户实体14接受包括第二保护提议在内的INVITE,并使用具有第一保护接受的确认来进行应答。
优选地,系统10包括用户实体媒体平面处理器20,其中,响应者用户实体14导出密钥材料,并建立SA和发往用户实体媒体平面处理器20的信号,该信号指示用户实体媒体平面处理器20基于该SA进行立即保护。系统10优选地包括与响应者用户实体14进行通信的响应者侧的P-CSCF 22,P-CSCF 22从响应者用户实体14接收确认,并向接收端S-CSCF 18转发该确认。优选地,响应者侧的S-CSCF 18移除确认中的第一保护接受,并向发起者侧的S-CSCF 16转发没有接受的确认。建立SA可包括例如用户实体和媒体平面处理器执行密钥交换或向媒体平面处理器传递SA。
发起者侧的S-CSCF 16优选地修改确认,以包括应当使用保护的第二保护接受。优选地,系统10包括与发起者侧的S-CSCF 16和发起者侧的用户实体进行通信的发起者侧的P-CSCF 24,并且发起者侧的S-CSCF 16向发起者侧的P-CSCF 24转发具有第二保护接受的确认。发起者侧的P-CSCF 24优选地向发起者侧的用户实体14转发具有第二保护接受的确认。
优选地,发起者侧的用户实体从P-CSCF接收具有第二保护接受的确认,导出密钥材料并建立SA和发往用户实体媒体平面处理器20的信号,该信号指示媒体平面处理器20基于该SA进行媒体保护。建立SA可包括例如用户实体和媒体平面处理器执行密钥交换或向媒体平面处理器传递SA。
本发明涉及由通信节点支持受保护的媒体会话的方法。该方法包括:接收从用户实体到响应者用户实体的会话控制邀请消息,会话控制邀请消息具有针对保护的提议。存在根据网络策略对来自于邀请消息的提议进行动作的步骤。存在向响应者一方转发具有经修改的提议的消息的步骤。存在从响应者一方接收返回的确认的步骤。存在修改确认以包括将媒体业务导向被选为保护结束端口的媒体平面处理器的参数以及建立对应SA的信息的步骤。
优选地,接收会话控制邀请消息包括:接收SIP INVITE消息的步骤。进行动作的步骤优选地包括从INVITE消息移除提议的步骤。优选地,网络策略包括与端到端保护对端到接入边缘保护有关的信息,如,通过执行代码变换的需求等来暗示。优选地,接收INVITE消息的步骤包括接收从发起者IMS用户实体到响应者IMS用户实体的INVITE消息的步骤,INVITE消息具有针对保护的提议。接收INVITE消息的步骤优选地包括步骤:接收具有提议、包括用于密钥建立的参数的INVITE消息。
优选地,存在使用SA导出针对将要使用的保护的密钥。优选地,存在IMS发起者和/或响应者用户实体登记终端的媒体安全能力的步骤。优选地,媒体安全能力包括端到接入边缘、允许网络支持功能的端到端保护或者真正的端到端保护中的至少一个。导出的步骤优选地包括从用来保护SIP信令的现有安全关联导出密钥,或者使用密钥管理系统导出密钥,或者基于公钥解决方案从终端处的在线密钥发生导出密钥的步骤。
优选地,存在指示P-CSCF导出密钥并将密钥并将其和应该使用媒体保护的指示一起向媒体平面处理器发送的步骤。优选地,存在以下步骤:从P-CSCF或S-CSCF取得SA,导出密钥并将该密钥与应该使用媒体保护的指示一起向媒体平面处理器发送。优选地,存在向媒体平面处理器指示应用媒体保护以及媒体平面处理器从P-CSCF请求密钥的步骤。
本发明还涉及由通信节点(例如响应者侧的S-CSCF)支持受保护的媒体会话的方法。该方法包括接收从发起者侧的S-CSCF用户实体到响应者用户实体的会话控制邀请消息,会话控制邀请消息不具有针对媒体保护的提议。存在根据响应者用户实体已登记的安全能力,对来自于邀请消息的提议进行动作的步骤。存在向响应者用户实体转发具有经修改的提议的消息的步骤。存在从响应者一方接收返回的包括第一保护接受在内的确认的步骤。存在移除确认中的第一保护接受的步骤。存在向发起者侧的S-CSCF转发没有接受的确认的步骤。
参考图5,本发明涉及媒体控制信令实体,该媒体控制信令实体可通过处理和转发发起者用户实体和响应者用户实体之间的媒体控制信令消息在通信网络中工作。媒体控制信令实体包括第一网络接口,用于从发起者用户实体接收第一邀请消息。媒体控制信令实体包括第二网络接口,用于向响应者用户实体转发第二邀请消息。媒体控制信令实体包括与所述第一网络接口和第二网络接口通信的处理单元。处理单元可通过以下步骤操作用于由第一邀请消息创建第二邀请消息:
确定第一邀请消息是否包含针对媒体保护的第一提议;
通过以下步骤由第一邀请消息创建第二邀请消息:
如果第一邀请消息中包括第一媒体保护提议,至少移除该第一媒体保护提议,
如果第一邀请消息没有第一保护提议并且如果所述响应者用户实体已利用所述通信网络登记了至少一项媒体安全能力,至少插入第二媒体保护提议,所述第二媒体保护提议与所述已登记的媒体安全能力相对应。
第二媒体保护提议可以是针对端到接入边缘媒体保护的提议。第一和第二邀请消息可以是SIP消息。媒体控制信令实体还可以包括S-CSCF功能。
在本发明的操作中,在IMS框架中描述本发明。首先,应该注意,IMS用户必须向IMS系统10登记,并且当登记时,端用户还应该登记终端的媒体安全能力。本发明引入了上述的三种新的媒体安全能力:端到接入边缘(e2ae)保护、允许网络支持功能的端到端(e2n2e)保护或真正的端到端(e2e)保护。应该注意到,这些安全能力需要伴随有对密钥管理类型和终端所支持的安全协议的指示。在本描述中,假定终端至少登记了对e2ae保护的支持。对于密钥管理来说,存在三种截然不同的使用情况。第一种是由用来保护SIP信令的现有安全关联导出密钥;第二种情况是当使用单独的密钥管理系统(特别是在国际公布WO 2009/070075中描述的密钥管理)但是也具有预先分发的密钥时;以及最后一种情况,第三密钥管理系统10依赖于基于终端内在线密钥生成的诸如Diffie-Hellman(DH)或其它诸如根据MIKEY或IKEv2的公钥(PK)解决方案。优选地,安全协议是SRTP,然而诸如TLS、IPsec等的其它协议也是可能的。
对e2ae媒体保护来说,原则上允许独立地对待发起者用户实体和响应者用户实体。例如,发起者可得到一种类型的媒体保护,而响应者可得到另一种类型的媒体保护(可能没有保护)。在下面的描述中,首先描述发起者侧的流程,然后描述响应者侧的流程。
IMS中发起呼叫的用户向响应者一方发送INVITE消息。INVITE消息可包括针对e2ae保护的提议。发起者侧的S-CSCF检测和处理该提议,发起者侧的S-CSCF将在向响应者一方转发INVITE之前从INVITE中移除该提议。当响应者一方返回“200OK”时,S-CSCF将修改该OK以指示已经接受了该保护提议。经修改的OK消息将包括终端将其媒体业务导向被选为保护端点的边缘实体所需的所有参数,还包括建立对应的SA所需的所有信息。如已经提到的,将要使用的密钥可以从终端和网络所共享的现有SA导出,在单独的密钥管理系统10的帮助下建立或者可以由保护端点即时生成(D-H、PK)。基于端点中密钥生成的保护机制的示例是在IETF中开发的、称为RTPSEC的解决方案。
现在参考图4,如果发起者终端拒绝e2ae保护提议,然而发起者侧的S-CSCF仍然想要执行e2ae保护的使用,那么可以通过发送指示INVITE中的服务不可用(即,没有保护)的SIP出错消息(如,“488在此不可接受”)来对此进行动作,并向终端指示诸如由于网络(安全)策略的缘故该终端应该使用端到边缘保护。在这样做之前,当然应该检查到发起者终端已登记了该发起者终端支持该e2ae能力。在响应者侧应用接入边缘到端保护可以是单纯基于网络策略的判决。然而,应该想到的是,如果发起者侧应用该种类型的保护,在SIP信令中对此进行指示,以告知响应者优选地应该在响应者侧给予该呼叫相同级别的保护。
在响应者侧,响应者一方的S-CSCF检查响应者终端是否支持e2ae加密。如果是,响应者一方的S-CSCF对此进行动作,并向INVITE消息中插入针对e2ae媒体保护的提议。终端接受该保护提议。密钥生成/管理以与发起者侧相同的方式工作。
依照诸如MIKEY[RFC 3830、RFC 4567]或SDES[RFC 4568],可以诸如在SIP消息的SDP部分中承载使用e2ae保护的提议。随后可以使用在该消息的SDP部分提供的密钥加密信息(keying informatioin)来设置SRTP。对于其它媒体,可以基于所提供的密钥加密信息来使用诸如MSRP、PSK-TLS。还可以使用其它媒体保护协议来保护由消息在SIP中携带的内容/消息。
可以从用来保护发起者/响应者终端和发起者/响应者侧的P-CSCF之间的SIP信令的密钥导出将用于媒体保护的密钥。可以在P-CSCF通过查阅SIP消息确定应该应用保护时从P-CSCF将该密钥推送至媒体平面处理器(如,SGW、AS、BE或EE),或者发起者(或响应者)侧的S-CSCF可以命令发起者(或响应者)侧的P-CSCF传递密钥,或者S-CSCF自身可以传输密钥加密信息。如果密钥材料来自于另一个SA,必须相应地适配密钥分发机制。
当使用了PCT/SE2007/050927中描述的密钥管理解决方案时,主叫终端从密钥管理服务器(KMS)请求密钥和凭证,并在INVITE中包括该凭证。S-CSCF获取该凭证,并将其呈递给返回将要使用的密钥的KMS。在响应者侧,S-CSCF将从KMS请求密钥和(新的)凭证,并将其包括在INVITE中。然后,响应者将向KMS呈递该(新的)凭证,并请求对应的密钥。
E2n2e和e2m
可以容易地将e2n2e和e2m的情况构想为以上描述的轻微变形。
针对这种情况的主要区别在于,控制实体(如,S-CSCF/MRFC)必须确保不仅保护传入媒体,还保护传出媒体。(对于e2n2e,典型地)如果保护结束并起始于相同的节点中,这不会是一个现实问题,然而如果保护在一个节点中结束并在另一个节点中开始(e2m),便需要从第一个节点向第二个节点以信号通知某种指示。
(真正的)e2e的情况的不同之处在于,在以信号通知保护能力中,没有网络实体发挥积极作用。在这种情况下,主叫/被叫方的S-CSCF将简单地令邀请中针对保护的提议通过(假定网络策略允许e2e保护)。
在图1中可以找到极高层的简化信令图。下面给出对该信令流的描述。当密钥基于被用来保护SIP信令的现有SA时,该信令流覆盖e2ae保护。
1a/b发起者UE通过发送包括发起者UE的与至少e2ae保护有关的能力在内的REGISTER,向IMS系统10登记。
2a/b验证发起者UE以使登记生效。
3a/b发起者UE得到对该登记进行确认的200OK,并且可以确认对已登记的e2ae能力的支持。
4发起者UE发送包含使用e2ae保护的提议在内的INVITE,该提议包括用于密钥建立的参数。
发起者侧的S-CSCF 16查阅INVITE并注意到提议了e2ae保护。如果网络能够进行e2ae保护,该网络静默地接受该提议并存储该决定。
应该注意到,发起者侧的P-CSCF在本阶段没有做任何事。
如果在发起者侧的S-CSCF中启动SA导出,发起者侧的S-CSCF现在可能已经启动SA导出,并向MRFC发送所导出的密钥。如果密钥导出是在发起者侧的P-CSCF中进行的,导出推迟。
5发起者侧的S-CSCF 16从INVITE移除e2ae保护提议,并向响应者侧的S-CSCF 16进行转发。
响应者侧的S-CSCF 18查阅INVITE,并检查响应者一方是否支持e2ae保护(假定响应者已经登记了e2ae保护)。
6响应者侧的S-CSCF 18在向响应者UE转发INVITE之前插入e2ae保护提议。该提议包括建立共享SA所需的参数。如果媒体平面处理器是单独的实体而没有包括在正常的媒体路径之中,还必须改变SDP部分以经由媒体平面处理器(在此假定是SGW)对媒体寻路。
响应者UE接受包括e2ae提议在内的INVITE。响应者UE导出将要使用的密钥,并建立SA以及发往UE媒体平面处理器20的信号,该信号指示UE媒体平面处理器20基于该SA实现媒体保护。
7响应者UE以接受e2ae提议的200OK来进行应答。当响应者侧的P-CSCF 22接收200OK并且如果生成用于e2ae保护的SA是P-CSCF的责任时,P-CSCF 22查阅200OK导出SA。然后,响应者侧的P-CSCF将SA和其它所需的信息推送至SGW,并请求SGW实现媒体保护。
8响应者侧的P-CSCF向响应者侧的S-CSCF 18转发200OK。
如果生成SA是响应者侧的S-CSCF的责任,响应者侧的S-CSCF将生成SA并将该信息推送至SGW(与针对P-CSCF的描述相同的流程)。
9rec响应者侧的S-CSCF 18移除200OK中的e2ae保护接受,并向发起者侧的S-CSCF16转发经修改的200OK。
发起者侧的S-CSCF 16回忆起应该使用e2ae保护,并修改200OK以对其进行示出。
如果生成将要使用的SA是发起者侧的S-CSCF的责任,发起者侧的S-CSCF生成将要使用的SA,以及将其与SGW所需的其它信息一起推送,并请求SGW实现媒体保护。
10发起者侧的S-CSCF将具有对使用e2ae保护的接受的200OK向发起者侧的P-CSCF转发。
如果生成针对e2ae保护的SA是发起者侧的P-CSCF的责任,发起者侧的P-CSCF查阅200OK,并且注意到已同意了e2ae保护并从而导出SA。然后,发起者侧的P-CSCF将推送该SA和SGW所需的其它信息,并请求SGW实现媒体保护。
11发起者侧的P-CSCF向发起者UE转发200OK。UE注意到已经接受了e2ae保护提议并导出将要使用的密钥。UE建立SA和发往UE媒体平面处理器20的信号,该信号指示媒体平面处理器20基于所提供的SA进行媒体保护。
如上所述,可以使用SDES或MIKEY在SDP中携带提议和应答,然而也可以想到其它的编码。
实际中,可在针对IMS的不同边缘设备(媒体平面处理器)中终止媒体安全。这还取决于媒体平面处理器是否正常地包括在媒体路径中,或者,媒体平面处理器的存在是否仅是由于需要担当针对例如e2ae保护的端点。在前者的情况下,向媒体平面处理器以信号通知安全数据可以是在现有设置信令中“捎带确认”的。然而,在第二情况下,可能需要显式的信号通知(包括发往UE以使其业务重定向的信号)。取决于媒体将要终止的位置,以上的描述有细微的差别。如果保护在MRFP中终止,MRFC将是需要从S-CSCF接收所导出的密钥并将所导出的密钥向下推送至MRFP的实体。
媒体安全能力的使用如下:
·终端登记所支持的能力。这将允许网络发起的保护,并且该保护最有可能仅是e2ae或e2n2e。
·网络可以例如根据策略来决定不支持特定的媒体安全模式,并从而向UE指示不支持该媒体安全模式。
·如果已经登记了多于一项的能力,网络或其它终端稍后可以使用该多于一项的能力来找出将要使用的最佳媒体安全解决方案,即,是使用e2e还是e2n2e或e2ae。
·在UE向另一个UE发送具有例如e2e和e2ae提议的INVITE的情况下,该两个端点之间的实体需要验证这些实体支持这些保护和/或网络策略允许这些保护。如果例如不支持这些保护中的一项,网络可以例如通过移除其不支持的能力来对此进行指示,因此,当终止UE接收到请求时,将具有发起UE和之间的所有网络实体所支持的剩余选择。另一种处理这种情况的方式是使任何不支持特定媒体安全能力的网络实体发回对此进行指示的差错。然后,UE将必须在不使用该能力的情况下进行重试。
基于现有SA的针对e2ae保护的密钥
如果使用IPsec来保护P-CSCF和终端之间的SIP信令,所使用的密钥在P-CSCF中将是可用的,并且在S-CSCF中可能是可用的。如果使用了基于服务器证书的TLS和利用http摘要的客户端验证,那么TLS SA将仅在P-CSCF中可用。
不论如何,S-CSCF或相关联的MRF将负责执行策略控制并启动密钥导出和分发。取决于现有系统中进行的实现选择,针对怎样最好地实现该功能存在不同的选项。从主要观点来看,以下选项是可能的:
1.S-CSCF/MRF将指示P-CSCF导出媒体保护密钥,并将该媒体保护密钥与应该使用媒体保护的指令一起向媒体平面处理器发送。
2.S-CSCF/MRF将从P-CSCF(或S-CSCF)获取SA,导出密钥并将该密钥与应该使用媒体保护的指令一起向媒体平面处理器发送。
3.S-CSCF/MRF将指示媒体平面处理器应该应用媒体保护,并且媒体平面处理器从P-CSCF请求所导出的密钥。
4.S-CSCF/MRF将指示媒体平面处理器应该例如根据以上1-3中的任一个来基于所导出的密钥明确地建立与UE的SA,或使用公钥技术Diffie-Hellman来建立与UE的SA。
基于凭证的密钥
在这种情况下,S-CSCF/MRF将向KMS发送接收到的凭证,并请求相应的密钥。然后,可将密钥与应该使用媒体保护的指示一起向SGW发送。在国际公布WO 2009/070075 A1中对此进行了更详细的描述。
当发起保护时,S-CSCF/MRF将从KMS请求密钥和凭证。
图2示出了在此使用的参考架构。
在框11中示出了用户/媒体平面节点,并且在框15中示出了SIP控制平面节点。EE是在固定核心网的边缘处的(一些)边缘实体。BE是在两个网络之间的边界处的一些边界实体。AS是一些IMS应用服务器或OMA使能器,如PoC服务器或即时消息收发服务器。(在以上使用的标注中,AS、EE和BE都是媒体平面处理器。)
图2假定A和B都是支持ISIM的用户,然而因为假定IMS对很多不同的接入技术来说是公共的,要求使用(硬令牌)UICC可能太严格了,特别地,因为针对IMS验证已经存在基于非ISIM的机制。
直接的解决方案是也允许软ISIM的使用。然而,甚至这也可能是局限的,因为还存在其它形式的用户凭证的部署,如,在硬件或软件中分布的公/私钥。
因此,虽然对ISIM的支持是最受关注的,作为目标的解决方案将仅假定使用某种形式的密码(密钥库)用户凭证并且该凭证可被用来验证用户和建立公共的共享(库)会话密钥。属于该类别的解决方案是:ISIM、PKI、IBC(基于识别的密码技术)、用户名/口令等。
以下是本发明可以支持的IMS服务的示例。
MMTEL
MMTEL指的是常规的对等(P2P)多媒体电话或小群组中的电话会议。在群组的情况下,假定将“会议桥”实现为IMS AS或OMA使能器。经由正常的SIP机制来以信号发送设置,并且由RTP来携带媒体。在群组的情况下,SIP服务器(CSCF)可以例如修改SIP提议中的安全性,以使得安全性是在每一个用户和AS或使能器之间提供的e2m。
即按即讲
在此,PoC服务指的是使用SIP信令建立的服务,并且其中,使用PoC服务器作为应用服务器(AS)或使能器,以向接收机分发RTP传输的媒体。实际产品中的“PoC服务器”常常指的是控制平面部分,然而在此,一般性地将控制平面和媒体平面(MRF)部分称为“PoC服务器”。可以与以上讨论的会议电话相类似地处理这种情况。
消息收发
这既可以是在SIP主体中直接携带的消息,也可以是SIP设置并通过MSRP承载的消息。AS/使能器担当消息收发服务器。同样地,在此,消息可以是P2P的或者针对群组。
即时服务对延迟服务
典型地,消息收发服务被实现为,如果接收者不在线,消息将被自动转换成延迟消息并存储在AS中,直到接收者登记。事实上,在服务器担当“电话应答机”的情况下,MMTEL和PoC也可以支持延迟传递。
除了公知的与IMS有关的术语(如,HSS、CSCF、MRF等)外,在此使用了以下的简写。
AS (IMS)应用服务器
BE 边界实体
BSF 自举服务器功能
EE 边缘实体
EPS 演进的分组系统
GBA 一般的自举架构
LEA 执法机构
LI 合法拦截
MAF 网络应用功能
NSPS 国家安全和公共安全
P2P 对等
CBGF 核心边界网关功能
CSCF 呼叫状态控制功能
DH Diffie-Hellman
e2ae 端到接入边缘
e2e 端到端
FMS 固定-移动汇聚
GSM 全球移动通信系统
IKE 互联网密钥交换(RFC 4306)
IM 即时消息收发
IMS IP多媒体子系统(3GPP标准)
IPSec IP安全协议(RFC 4301)
KMS 密钥管理服务器
MIKEY 多媒体互联网密钥加密(RFC 3830)
MMTEL 多媒体电话
MRF 多媒体资源功能
MRFC MRF控制
MRFP MRF处理器
MSRP 消息会话中继协议(RFC 4975)
P-CSCF 代理CSCF
PK 公钥
PoC 基于蜂窝的即按即讲
PSK-TLS 预先共享密钥TLS
RTP 实时传输协议(RFC 3550)
RTPSEC RTP安全密钥加密
SA 安全关联
S-CSCF 服务CSCF
SDES 会话描述协议安全描述(RFC 4568)
SDP 会话描述协议(RFC 4566)
SGW 安全网关
SIP 会话发起协议(RFC 3261)
SRTP 安全实时传输协议(RFC 3711)
TLS 传输层安全(RFC 5246)
UE 用户设备
WCDMA 宽带码分多址
WiMAX 全球微波接入互操作性(IEEE 802.16)
WLAN 无线局域网(IEEE 802.11)
虽然在之前的实施例中,已经基于说明的目的详细地描述了本发明,应该理解,这些细节仅是出于说明的目的,并且在不背离本发明的范围的情况下,本领域技术人员可以在这些细节中进行除随后的权利要求所描述的之外的修改。
Claims (6)
1.一种通信节点使用控制平面信令来支持受保护的媒体会话的方法,包括:
接收来自发起者用户实体针对响应者用户实体的会话控制邀请消息,所述会话控制邀请消息包括针对媒体会话的第一保护提议,其中,在所述会话控制邀请消息之前,所述发起者用户实体和/或响应者用户实体已登记了其媒体安全能力;
根据网络策略,修改所述会话控制邀请消息中的所述第一保护提议;
向所述响应者用户实体转发经修改的会话控制邀请消息;
从所述响应者用户实体接收响应于所述经修改的会话控制邀请消息的确认;
修改来自所述响应者用户实体的所述确认,以指示所述第一保护提议已被接受;以及
向所述发起者用户实体转发经修改的确认。
2.根据权利要求1所述的方法,其中,修改所述会话控制邀请消息中的所述第一保护提议包括:移除所述第一保护提议。
3.根据权利要求1所述的方法,其中,修改来自所述响应者用户实体的所述确认还包括:包括所述发起者用户实体将媒体业务导向被选作保护端点的媒体平面处理器所需的参数。
4.一种媒体控制信令实体,通过在发起者用户实体和响应者用户实体之间处理和转发媒体控制信令消息在通信网络中工作,所述媒体控制信令实体包括:
网络接口,用于接收会话控制消息;以及
处理单元,用于处理所述会话控制消息,所述处理单元被配置用于:
接收来自发起者用户实体针对响应者用户实体的会话控制邀请消息,所述会话控制邀请消息包括针对媒体会话的第一保护提议,其中,在所述会话控制邀请消息之前,所述发起者用户实体和/或响应者用户实体已登记了其媒体安全能力;
网络策略,修改所述会话控制邀请消息中的所述第一保护提议;
向所述响应者用户实体转发经修改的会话控制邀请消息;
从所述响应者用户实体接收响应于所述经修改的会话控制邀请消息的确认;
修改来自所述响应者用户实体的所述确认,以指示所述第一保护提议已被接受;以及
向所述发起者用户实体转发经修改的确认。
5.根据权利要求4所述的媒体控制信令实体,其中,所述处理单元还配置用于通过移除所述第一保护提议来修改所述会话控制邀请消息中的所述第一保护提议。
6.根据权利要求4所述的媒体控制信令实体,其中,所述处理单元还配置用于通过包括所述发起者用户实体将媒体业务导向被选作保护端点的媒体平面处理器所需的参数来修改来自所述响应者用户实体的所述确认。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US99101407P | 2007-11-29 | 2007-11-29 | |
| US60/991,014 | 2007-11-29 | ||
| CN200880118347.9A CN101878631B (zh) | 2007-11-29 | 2008-12-01 | Ims系统中的端到边缘媒体保护的方法和设备 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880118347.9A Division CN101878631B (zh) | 2007-11-29 | 2008-12-01 | Ims系统中的端到边缘媒体保护的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106850526A CN106850526A (zh) | 2017-06-13 |
| CN106850526B true CN106850526B (zh) | 2020-09-04 |
Family
ID=40679067
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880118347.9A Active CN101878631B (zh) | 2007-11-29 | 2008-12-01 | Ims系统中的端到边缘媒体保护的方法和设备 |
| CN201610846165.XA Active CN106850526B (zh) | 2007-11-29 | 2008-12-01 | Ims系统中的端到边缘媒体保护的方法和设备 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880118347.9A Active CN101878631B (zh) | 2007-11-29 | 2008-12-01 | Ims系统中的端到边缘媒体保护的方法和设备 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US8549615B2 (zh) |
| EP (1) | EP2229760B1 (zh) |
| JP (2) | JP5881949B2 (zh) |
| CN (2) | CN101878631B (zh) |
| CA (1) | CA2706335C (zh) |
| IL (1) | IL205878A (zh) |
| WO (1) | WO2009068985A2 (zh) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8549615B2 (en) * | 2007-11-29 | 2013-10-01 | Telefonaktiebolaget L M Ericsson | Method and apparatuses for end-to-edge media protection in an IMS system |
| EP2283430B1 (en) * | 2008-05-23 | 2018-08-01 | Telefonaktiebolaget LM Ericsson (publ) | Ims user equipment, control method thereof, host device, and control method thereof |
| KR20100020860A (ko) * | 2008-08-13 | 2010-02-23 | 삼성전자주식회사 | 휴대방송 시스템에서의 방송서비스 제공방법 및 그 휴대방송 시스템 |
| EP2441225B1 (en) * | 2009-06-10 | 2017-09-06 | Nokia Solutions and Networks Oy | Methods, apparatuses, and related computer program product for network security |
| CN102484850B (zh) * | 2009-06-29 | 2015-08-19 | 黑莓有限公司 | 用于演进的分组系统中的语音服务的系统和方法 |
| CN102484849A (zh) * | 2009-06-29 | 2012-05-30 | 捷讯研究有限公司 | 用于演进的分组系统中基于语音服务指示符来接入语音服务的系统和方法 |
| CN102223355B (zh) * | 2010-04-19 | 2015-09-16 | 中兴通讯股份有限公司 | 一种安全通信协商方法和装置 |
| US8856509B2 (en) * | 2010-08-10 | 2014-10-07 | Motorola Mobility Llc | System and method for cognizant transport layer security (CTLS) |
| KR101240552B1 (ko) * | 2011-09-26 | 2013-03-11 | 삼성에스디에스 주식회사 | 미디어 키 관리 및 상기 미디어 키를 이용한 피어-투-피어 메시지 송수신 시스템 및 방법 |
| KR101301302B1 (ko) | 2011-10-31 | 2013-08-28 | 주식회사 케이티 | 신호 처리 시스템 및 신호 처리 방법 |
| US9357505B2 (en) | 2011-12-26 | 2016-05-31 | Kt Corporation | Processing digital signal |
| US9485737B2 (en) * | 2011-12-26 | 2016-11-01 | Kt Corporation | Controlling radio units to transmitting signal with different transmission power |
| KR101301300B1 (ko) * | 2012-01-16 | 2013-08-28 | 주식회사 케이티 | 디지털 신호 처리 장치, 신호 처리 시스템 및 신호 처리 방법 |
| US20140195607A1 (en) * | 2012-07-30 | 2014-07-10 | Intel Mobile Communications GmbH | Communication devices, servers, methods for controlling a communication device, and methods for controlling a server |
| CN103813309B (zh) * | 2012-11-15 | 2019-03-29 | 中兴通讯股份有限公司 | 一种基于sip的mtc设备间安全通信方法、装置及系统 |
| CH707503A2 (fr) * | 2013-01-17 | 2014-07-31 | Omega Sa | Axe de pivotement pour mouvement horloger. |
| US9686284B2 (en) * | 2013-03-07 | 2017-06-20 | T-Mobile Usa, Inc. | Extending and re-using an IP multimedia subsystem (IMS) |
| US9992183B2 (en) | 2013-03-15 | 2018-06-05 | T-Mobile Usa, Inc. | Using an IP multimedia subsystem for HTTP session authentication |
| US9386049B2 (en) * | 2014-03-05 | 2016-07-05 | Unisys Corporation | Systems and methods of distributed silo signaling |
| FR3022717A1 (fr) * | 2014-06-23 | 2015-12-25 | Orange | Procede de selection dynamique par un appelant parmi une pluralite de terminaux d' un appele |
| US10148703B2 (en) * | 2014-10-09 | 2018-12-04 | T-Mobile Usa, Inc. | Service capabilities in heterogeneous network |
| US9832650B2 (en) * | 2016-01-04 | 2017-11-28 | T-Mobile Usa, Inc. | Dynamic WLAN connections |
| US11799922B2 (en) | 2016-12-21 | 2023-10-24 | T-Mobile Usa, Inc. | Network core facilitating terminal interoperation |
| US10771509B2 (en) | 2017-03-31 | 2020-09-08 | T-Mobile Usa, Inc. | Terminal interoperation using called-terminal functional characteristics |
| EP3639495A4 (en) * | 2017-06-16 | 2021-01-13 | Telefonaktiebolaget LM Ericsson (PUBL) | MEDIA PROTECTION WITHIN A CORE NETWORK OF AN IMS NETWORK |
| US10993282B2 (en) * | 2017-08-09 | 2021-04-27 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for short code dialing for restricted services for unauthenticated user equipment |
| US11172359B2 (en) * | 2017-08-09 | 2021-11-09 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for attach procedure with security key exchange for restricted services for unauthenticated user equipment |
| US10715996B1 (en) | 2019-06-06 | 2020-07-14 | T-Mobile Usa, Inc. | Transparent provisioning of a third-party service for a user device on a telecommunications network |
| WO2024031309A1 (en) * | 2022-08-09 | 2024-02-15 | Qualcomm Incorporated | Subscription-based techniques for communicating third-party information |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1929368A (zh) * | 2005-09-05 | 2007-03-14 | 华为技术有限公司 | 实现媒体流安全的方法及通信系统 |
| CN1984135A (zh) * | 2005-12-13 | 2007-06-20 | 华为技术有限公司 | 一种进行会话能力信息操作的方法及网络实体 |
| CN1983921A (zh) * | 2005-12-16 | 2007-06-20 | 华为技术有限公司 | 一种端到端媒体流安全的实现方法及系统 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6088801A (en) * | 1997-01-10 | 2000-07-11 | Grecsek; Matthew T. | Managing the risk of executing a software process using a capabilities assessment and a policy |
| JP3730480B2 (ja) * | 2000-05-23 | 2006-01-05 | 株式会社東芝 | ゲートウェイ装置 |
| US7092987B2 (en) * | 2001-02-13 | 2006-08-15 | Educational Testing Service | Remote computer capabilities querying and certification |
| US7545868B2 (en) * | 2001-03-20 | 2009-06-09 | Lightwaves Systems, Inc. | High bandwidth data transport system |
| US7961714B1 (en) * | 2004-05-11 | 2011-06-14 | Nortel Networks Limited | Providing packet-based multimedia services via a circuit bearer |
| US20050060411A1 (en) * | 2003-09-16 | 2005-03-17 | Stephane Coulombe | System and method for adaptation of peer-to-peer multimedia sessions |
| JP2005295468A (ja) * | 2004-04-06 | 2005-10-20 | Hitachi Hybrid Network Co Ltd | 通信装置及び通信システム |
| EP1735984B1 (en) * | 2004-04-16 | 2014-01-15 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Method and apparatus for handling user's attributes sharing between service providers |
| ATE478985T1 (de) | 2004-09-03 | 2010-09-15 | Honeywell Int Inc | Polyethylengarne |
| WO2006087819A1 (ja) * | 2005-02-21 | 2006-08-24 | Fujitsu Limited | 通信装置 |
| CA2609645A1 (en) | 2005-05-27 | 2006-11-30 | Telefonaktiebolaget L M Ericsson (Publ) | Call forwarding in an ip multimedia subsystem (ims) |
| US20060288423A1 (en) * | 2005-06-17 | 2006-12-21 | Nokia Corporation | Method, system and network elements for establishing media protection over networks |
| GB0517592D0 (en) | 2005-08-25 | 2005-10-05 | Vodafone Plc | Data transmission |
| JP4950606B2 (ja) * | 2005-09-30 | 2012-06-13 | トレンドマイクロ株式会社 | 通信システム、セキュリティ管理装置およびアクセス制御方法 |
| US8086872B2 (en) * | 2005-12-08 | 2011-12-27 | Electronics And Telecommunications Research Institute | Method for setting security channel based on MPCP between OLT and ONUs in EPON, and MPCP message structure for controlling frame transmission |
| TW200943886A (en) * | 2006-04-18 | 2009-10-16 | Interdigital Tech Corp | Method and system for securing wireless communications |
| US8059656B1 (en) * | 2006-05-12 | 2011-11-15 | Radha Telikepalli | Expedited resource negotiation in SIP |
| US20080259909A1 (en) * | 2007-04-17 | 2008-10-23 | Stefan Runeson | Signaling of Early Media Capabilities in IMS Terminals |
| US20090089866A1 (en) * | 2007-09-27 | 2009-04-02 | Akifumi Yato | Access authorization system, access control server, and business process execution system |
| US8549615B2 (en) * | 2007-11-29 | 2013-10-01 | Telefonaktiebolaget L M Ericsson | Method and apparatuses for end-to-edge media protection in an IMS system |
| EP2441225B1 (en) * | 2009-06-10 | 2017-09-06 | Nokia Solutions and Networks Oy | Methods, apparatuses, and related computer program product for network security |
| US8976676B2 (en) * | 2011-04-01 | 2015-03-10 | Voapps, Inc. | Adaptive signaling for network performance measurement, access, and control |
| EP2640030B1 (en) * | 2012-03-12 | 2014-11-12 | Telefonaktiebolaget LM Ericsson (publ) | Capability update in a telecommunications network |
-
2008
- 2008-12-01 US US12/744,720 patent/US8549615B2/en active Active
- 2008-12-01 JP JP2010535467A patent/JP5881949B2/ja active Active
- 2008-12-01 WO PCT/IB2008/003288 patent/WO2009068985A2/en active Application Filing
- 2008-12-01 CN CN200880118347.9A patent/CN101878631B/zh active Active
- 2008-12-01 CN CN201610846165.XA patent/CN106850526B/zh active Active
- 2008-12-01 CA CA2706335A patent/CA2706335C/en active Active
- 2008-12-01 EP EP08854769.0A patent/EP2229760B1/en active Active
-
2010
- 2010-05-20 IL IL205878A patent/IL205878A/en active IP Right Grant
-
2013
- 2013-03-13 US US13/800,129 patent/US8832821B2/en active Active
-
2014
- 2014-05-15 JP JP2014101738A patent/JP5870156B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1929368A (zh) * | 2005-09-05 | 2007-03-14 | 华为技术有限公司 | 实现媒体流安全的方法及通信系统 |
| CN1984135A (zh) * | 2005-12-13 | 2007-06-20 | 华为技术有限公司 | 一种进行会话能力信息操作的方法及网络实体 |
| CN1983921A (zh) * | 2005-12-16 | 2007-06-20 | 华为技术有限公司 | 一种端到端媒体流安全的实现方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009068985A2 (en) | 2009-06-04 |
| JP2014197856A (ja) | 2014-10-16 |
| CA2706335A1 (en) | 2009-06-04 |
| EP2229760A2 (en) | 2010-09-22 |
| CA2706335C (en) | 2017-06-20 |
| IL205878A (en) | 2013-08-29 |
| CN101878631A (zh) | 2010-11-03 |
| JP5870156B2 (ja) | 2016-02-24 |
| JP2011505736A (ja) | 2011-02-24 |
| US20130268681A1 (en) | 2013-10-10 |
| IL205878A0 (en) | 2010-11-30 |
| CN106850526A (zh) | 2017-06-13 |
| JP5881949B2 (ja) | 2016-03-09 |
| CN101878631B (zh) | 2016-10-12 |
| US8832821B2 (en) | 2014-09-09 |
| US8549615B2 (en) | 2013-10-01 |
| WO2009068985A3 (en) | 2009-11-26 |
| EP2229760B1 (en) | 2015-11-25 |
| US20110010768A1 (en) | 2011-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106850526B (zh) | Ims系统中的端到边缘媒体保护的方法和设备 | |
| US9537837B2 (en) | Method for ensuring media stream security in IP multimedia sub-system | |
| KR101468784B1 (ko) | 멀티미디어 통신 시스템에서의 보안 키 관리 | |
| EP3079298B1 (en) | Key management for secure communication | |
| US7382881B2 (en) | Lawful interception of end-to-end encrypted data traffic | |
| US8301883B2 (en) | Secure key management in conferencing system | |
| WO2011022999A1 (zh) | 一种终端对视频会议数据进行加密的方法及系统 | |
| CN101420413A (zh) | 会话密钥协商方法、网络系统、认证服务器及网络设备 | |
| US8539564B2 (en) | IP multimedia security | |
| WO2009124583A1 (en) | Apparatus, method, system and program for secure communication | |
| US11218515B2 (en) | Media protection within the core network of an IMS network | |
| Traynor et al. | Vulnerabilities in Voice over IP | |
| Medvinsky | Scalable architecture for VoIP privacy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |