CN107251512B - 用于建立安全通信会话的方法、设备和系统 - Google Patents
用于建立安全通信会话的方法、设备和系统 Download PDFInfo
- Publication number
- CN107251512B CN107251512B CN201580074227.3A CN201580074227A CN107251512B CN 107251512 B CN107251512 B CN 107251512B CN 201580074227 A CN201580074227 A CN 201580074227A CN 107251512 B CN107251512 B CN 107251512B
- Authority
- CN
- China
- Prior art keywords
- mgw
- handshake
- control server
- communication session
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1023—Media gateways
- H04L65/103—Media gateways in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/65—Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种在用户设备UE和另一方之间设立通信会话时在UE和媒体网关MGw之间建立安全连接的方法。MGw受到控制服务器的控制,并且通信会话的设立包括安全性握手规程。该方法包括:在接收通信会话设立请求之前,由控制服务器确定MGw是否支持用于提早着手安全性握手的规程,并由UE向控制服务器提供UE支持用于提早着手安全性握手规程的规程的指示以及在安全性握手中使用的连接参数。在由控制服务器从另一方接收通信会话设立请求时,如果UE和MGw均支持用于提早着手安全性握手规程的规程,则将着手安全性握手规程的指令发送到媒体网关。该指令包括着手提早安全性握手的指示和用于UE的连接参数。在接收到该指令时,MGw着手与UE的安全性握手(25),并建立安全通信会话。
Description
技术领域
本发明的技术领域是在通信网络中建立安全多媒体会话。
背景技术
安全始终是通信的最重要方面之一。安全漏洞可能会损害个人或公司财产,如知识产权、商业秘密、个人隐私、帐户凭据等。在IMS(IP多媒体子系统)中,通常通过利用安全媒体流来实现通信安全。
普遍利用SRTP(安全实时传递协议)作为保护UE(用户设备)和MGw(媒体网关)之间的RTP/RTCP(实时传递协议/实时传递控制协议)媒体流的安全的媒体传输协议。但是,SRTP不提供密钥管理功能性,而是反而依靠外部密钥管理功能来交换秘密主密钥并协商与那些密钥一起使用的算法和参数。DTLS-SRTP(数据报传输层安全性-安全实时传递协议)是利用DTLS整合密钥和关联管理提供SRTP的性能和加密灵活性好处的理想组合。DTLS建钥(keying)发生在媒体路径上,而与任何带外信令信道无关。
对于DTLS-SRTP,利用UE和MGw之间的DTLS握手来协商和商定对于SRTP的建钥资料、算法和参数。但是,DTLS需要来自MGw和UE二者的证书指纹(fingerprint)。经由UE和控制服务器或SBC(会话边界控制器)之间的SDP(会话描述协议)提议/应答(Offer/Answer)来交换DTLS证书指纹和设立属性。通过ITU-T H.248协议将UE指纹和设立属性提供给MGw。在返回方向中,通过ITU-T H.248协议将MGw指纹和设立属性提供给控制服务器,然后转发给UE。一旦成功交换证书指纹和设立属性,便能够发起DTLS协商,以便开始基于SRTP的安全媒体流。
除了在UE访问网络以便发起通信会话时要求安全性握手之外,还要求安全性握手以使得能够在MGw和接收设立请求的UE之间设立安全连接。这种布置如图1所示,图1是其中UE接收通信会话设立请求的网络(1)的部分的示意图。网络包括UE(2),UE(2)在信令域(8)中与控制服务器或会话边界控制器(SBC)(3)通信,并在用户或媒体域(7)中与媒体网关MGw(4)通信。将来自控制服务器的信令(9)传送到IP媒体子系统(IMS)核(5)。
通常,对于信令(8,9)使用会话发起协议,但是也可使用其它信令方法,例如H323。控制服务器(3)通过信令链路(10)控制MGw。通常,使用H248协议。远程方(6)可与IMS连接以便与UE(2)建立通信会话。
图2是示出利用DTLS-SRTP握手规程建立SRTP通信会话的方法的信令图。会话设立从连接设立请求消息(11)开始,消息(11)通常是会话发起协议(SIP)邀请(INVITE)消息,其在会话描述协议(SDP)格式中包括基于数据报传输层安全性-安全实时协议(DTLS-SRTP)握手规程的安全连接的请求。在控制服务器(3)接收设立请求,控制服务器(3)创建消息,通常利用H248协议来发信号通知MGw要求建立媒体会话(12)。MGw(4)接收该消息,并且MGw通常以ADD答复做出响应(13)。该响应包含MGw指纹。控制服务器(3)接收指纹,然后将它转发(14)给UE(2)。UE以包含它自己的指纹(15)的消息做出响应(15)。通常,该消息采用SDP格式。通常在H248修改(Modify)消息中将UE指纹传递给MGw(16)。MGw以答复做出响应(17)。在该阶段,UE和MGw均具有彼此的指纹。现在进行握手规程(19),其中提供证书并利用指纹进行证书验证。一旦完成握手,便设立SRTP会话(20)。
实际上,DTLS协商要花费一定时间来完成,从而延长整体会话设立时间。在典型的IMS系统中,DTLS协商可能会花费高达几秒钟,从而导致非常差的用户体验并潜在地有损运营商的声誉。
发明内容
根据本发明的第一方面,提供有一种通过受到控制服务器控制的媒体网关(MGw)在用户设备(UE)和另一方之间建立通信会话的方法。所述通信会话包括所述UE和所述MGw之间的安全连接,并且所述安全连接的设立包括安全性握手规程,所述方法包括,在所述控制服务器处接收通信会话设立请求之前:由所述控制服务器确定和记录所述MGw是否支持用于提早着手所述安全性握手的规程;以及由所述UE向所述控制服务器提供所述UE支持用于提早着手所述安全性握手的规程的指示以及在所述安全性握手中使用的连接参数。由所述控制服务器对所述指示和连接参数进行存储。在由所述控制服务器从另一方接收通信会话设立请求时,如果所述UE已提供了它支持所述规程的指示和它的连接参数,并且所述控制服务器已确定所述MGw支持用于提早着手所述安全性握手的规程,则将着手所述安全性握手规程的指令发送到媒体网关。所述指令包括着手提早安全性握手的指示和用于UE的连接参数。在接收到所述指令时,MGw着手与UE的安全性握手,并建立安全通信会话。
优选地,安全性握手包括在所述UE和所述MGw之间交换认证证书,并且所述方法还包括:试探性地接受认证证书,在UE和MGw之间交换从相应认证证书导出的相应指纹,并由UE和MGw利用相应指纹验证相应认证证书。
优选地,所述方法还包括:如果任一安全性证书的验证失败,那么终止设立通信会话。
优选地,安全性握手包括数据报传输层安全性(DTLS)握手。
优选地,通信会话利用安全实时协议。
优选地,通过会话发起协议(SIP)发送通信会话信令。
优选地,UE通过SIP注册(REGISTER)消息供应所述指示和所述连接参数。
优选地,在根(ROOT)审计期间执行由控制服务器确定MGw是否支持用于提早着手安全性握手的规程。
优选地,通过H248协议消息发送着手安全性握手规程的指令和UE连接参数。
在本发明的第二方面中,提供有一种在通信网络中的用户设备UE中使用的设备,所述设备包括处理器电路和用于存储由处理器电路可执行的指令的存储单元,由此所述设备可操作以在接收通信会话设立请求之前:向控制服务器提供UE支持用于提早着手安全性握手的规程的指示以及在安全性握手中使用的连接参数。所述设备还配置成:在从媒体网关MGw接收安全性握手的初始化时,着手安全性握手并建立安全通信会话。
在本发明的第三方面中,提供有一种在通信网络中在用于媒体网关(MGw)的控制服务器中使用的设备,所述设备包括处理器电路和用于存储由处理器电路可执行的指令的存储单元,由此所述设备可操作以从UE接收UE支持用于提早着手安全性握手的规程的指示以及在安全性握手中使用的连接参数,存储所述指示和连接参数,确定并记录MGw是否支持用于提早着手安全性握手的规程,并且在从另一方接收通信会话设立请求时,确定UE和MGw支持用于提早着手安全性握手的规程。所述设备还配置成:如果UE已提供它支持该规程的指示和连接参数,并且控制服务器已确定MGw支持该规程,那么向MGw发送UE的连接参数以及着手握手规程的指令。
在本发明的第四方面中,提供有一种在通信网络中的媒体网关(MGw)中使用的设备,所述设备包括处理器电路和用于存储由处理器电路可执行的指令的存储单元,由此所述设备可操作以在通信会话的初始化之前向控制服务器提供MGw支持用于提早着手安全性握手的规程的指示;以及在接收来自控制服务器的指令和用于UE的连接参数时,利用提供的连接参数着手与UE的提早握手规程。
在本发明的第五方面中,提供有一种系统,它包括:用户设备(UE),包括根据本发明的第二方面的设备;控制服务器,包括根据本发明的第三方面的设备;以及媒体网关(MGw),包括根据本发明的第四方面的设备。
在本发明的第六方面中,提供有一种操作通信网络中的用户设备(UE)的方法,通信网络包括媒体网关(MGw)和控制服务器。所述方法包括:在接收通信会话设立请求之前,向控制服务器提供UE支持用于提早着手安全性握手的规程的指示以及在安全性握手中使用的连接参数。所述方法还包括:在从媒体网关MGw接收安全性握手的初始化时,着手安全性握手并建立安全通信会话。
在本发明的第七方面中,提供有一种操作通信网络中用于媒体网关(MGw)的控制服务器的方法,通信网络包括用户设备(UE)和MGw。所述方法包括:在控制服务器处接收建立通信会话的设立请求之前,确定MGw是否支持用于提早着手安全性握手的规程,从UE接收UE支持用于提早着手安全性握手的规程的指示以及在安全性握手中使用的连接参数,并存储所述指示和所述连接参数。所述方法还包括:在从另一方接收建立通信会话的设立请求时,如果UE和MGw均支持用于提早着手安全性握手的规程,那么向MGw发送着手安全性握手规程的指令,该指令包括用于UE的连接参数。
在本发明的第八方面中,提供有一种操作通信网络中的媒体网关(MGw)的方法,通信网络包括用户设备(UE)和MGw。所述方法包括:在通信会话的初始化之前,向控制服务器提供MGw支持用于提早着手安全性握手的规程的指示。所述方法还包括:在接收来自控制服务器的指令和用于UE的连接参数时,利用提供的连接参数着手与UE的提早握手规程。
在本发明的第九方面中,提供有一种包括指令的计算机程序,所述指令在至少一个处理器上被执行时使得所述至少一个处理器实行根据本发明的第一、第六、第七或第八方面的方法。
在本发明的第十方面中,提供有一种计算机程序产品,它包括根据本发明的第九方面的计算机程序。
在本发明的第十一方面中,提供有一种包含根据本发明的第十方面的计算机程序产品的载体,其中所述载体可选地包括电信号、光信号、无线电信号、磁带或盘、光盘或存储棒。
附图说明
现在将参考以下各图只是举例描述本发明的以上及其它方面:
图1是可在其上实现本发明的典型网络的示意图;
图2是利用数据报传输层安全性(DTLS)握手设立基于安全实时协议(SRTP)的会话的信令图;
图3是实现用于提早安全性握手的规程的方法的流程图;
图4是操作控制服务器的方法的流程图,该方法包括用于提早安全性握手的规程;
图5是操作媒体网关(MGw)的方法的流程图,该方法包括用于提早安全性握手的规程;
图6是操作用户设备(UE)的方法的流程图,该方法包括用于提早安全性握手的规程;
图7是配置成实现用于提早安全性握手的规程的控制服务器的示意图;
图8是配置成实现用于提早安全性握手的规程的媒体网关(MGw)的示意图;
图9是配置成实现用于提早安全性握手的规程的用户设备(UE)的示意图;
图10是利用提早DTLS握手设立基于安全实时协议(SRTP)的会话的信令图;
图11是用于根审计的信令图;
图12是用于根审计的信令图,该根审计适于启用用来指示MGw能够实现提早握手规程的指令;
图13是会话发起协议(SIP)注册方法的信令图;以及
图14是适于提供UE能够实现提早握手规程的指示并适于供应用于UE的连接参数的会话发起协议(SIP)注册方法的信令图。
具体实施方式
在下文中,更详细地描述根据本发明用于在与远程方设立通信会话时在用户设备与媒体网关之间建立安全连接的系统、方法、节点和计算机程序。
在本申请的上下文内,术语“用户设备”(UE)是指例如供某个人用于他或她的个人通信的装置。它能够是:电话类型的装置,例如电话或SIP电话、蜂窝电话、移动站、无绳电话;或个人数字助理类型的装置,如膝上型计算机、笔记本型计算机、配备有无线数据连接的笔记平板。UE还可与自动化系统(诸如具有不需要人介入的操作的监视系统)相关联。
在本申请的上下文内,术语“控制服务器”是指主要执行用于通信网络的订户的会话或呼叫以及服务的控制规程的服务器。该术语通常是指处理与通信网络中的用户业务相关联的控制平面、订户数据、服务或信令业务的通信网络的那些实体。在核心网络中,控制节点可以是MSC(移动交换中心)、MME(移动管理实体)、SGSN(服务网关支持节点)、控制服务器(会话边界控制器)、P-CSCF(代理呼叫会话控制功能)、S-CSCF(服务CSCF)或TAS(电话学应用服务器)节点。这些控制节点实体中的若干个实体可共置在单个物理节点中,例如将IMS核边界控制与IMS的代理会话控制功能组合的SBC/P-CSCF组合。
在本申请的上下文内,术语“安全性证书”可具体指可将公共密钥与身份进行捆绑的电子文档。在本文中,身份可以是例如诸如人、组织或网络节点或用户设备的名称的信息。例如,能够利用安全性证书来核实公共密钥属于网络节点。安全性证书由通常位于通信网络的网络管理系统(NMS)中的可信证书认证机构(CA)发行。形成数字证书的电子文档可例如包括诸如下列的信息:
- 唯一地标识数字证书的序号;
- 对应于标识的实体的对象;
- 用于创建签名的签名算法;
- 签名,它是用于核实数字证书来自发行者的实际信息;
- 证书的发行者,它对应于核实信息并发行数字证书的实体;
- 自数字证书第一次有效的日期,其中后者日期又称为“生效日期”;和/或
- 数字证书的截止日期,它又能够称为“终止日期”。
网络元件或UE通常具有一个数字证书。关于安全性证书的进一步信息还能够在用于公共密钥基础设施和特权管理基础设施的ITU-T X.509标准中被发现。
在本申请的上下文内,术语“指纹”可具体指用于认证或查找更长公共密钥的短字节序列。通过对公共密钥或安全性证书应用密码术散列函数来创建指纹。由于指纹比它们指代的密钥短,所以它们能够用于简化某些密钥管理任务。而指纹又可被称为术语“拇指指纹”。通常通过以下步骤创建安全性证书指纹:
● 将安全性证书(以及可选的一些额外数据)编码成字节序列。为了确保能够稍后重建相同指纹,编码必须是确定性的,并且必须在安全性证书旁边交换和存储任何额外数据。额外数据通常是使用安全性证书的任何人应当知道的信息。额外数据的示例包括:密钥应当被与之一起使用的协议版本;以及密钥持有者的名称(在X.509信任锚指纹的情况下,其中额外数据由X.509自签名证书组成);
● 利用诸如MD5或SHA-1的密码术散列函数将在之前步骤中产生的数据弄乱;
● 如果被期望,能够将散列函数输出截短以提供更短、更便利的指纹。
该过程产生能够用于认证大得多的安全性证书的短指纹。当被显示以便进行人工检查时,通常将指纹编码为十六进制字符串。然后,为了可读性而将这些字符串格式化为字符组。
术语用于SRTP的“数据报传输层安全性”(DTLS)是指用来建立用于安全RTP(SRTP)和安全RTP控制协议(SRTCP)流的密钥的DTLS扩展。DTLS建钥发生在媒体路径上,而与任何带外信令信道无关(见IETF RFC 5764)。DTLS(见IETF RFC 4347)是提供整合密钥管理、参数协商和安全数据传递的信道安全协议。由于DTLS数据传递协议是通用的,所以对于与RTP一起使用不如SRTP那么高度优化,为了该目的已对它进行特别调谐。DTLS-SRTP是将SRTP的性能和加密灵活性好处与DTLS整合密钥和关联管理的灵活性和便利性进行组合的DTLS的SRTP扩展。能够以两个等效方式来看DTLS-SRTP:作为SRTP的新密钥管理方法;以及作为DTLS的新RTP-特定数据格式。在本申请的上下文内,作为示例,将DTLS-SRTP用于这样的场景,这些场景对证书指纹和设立属性交换来使用SDP,并且其中先利用该信息经由如DTLS握手的专用规程与媒体路径处理节点协商加密密钥,然后能够使用媒体连接。DTLS-SRTP的关键点在于:
● 利用SRTP保护应用数据;
● 利用DTLS握手来建立用于SRTP的建钥资料、算法和参数;
● 利用DTLS扩展来协商SRTP算法;以及
● 利用普通DTLS记录格式保护其它DTLS记录层内容类型。
DTLS协商通常要花费一定时间来完成,这延长整体呼叫设立前置期。在典型的IMS系统上,DTLS协商能够花费数秒,由此引入非常差的用户体验。
理想地,当从控制服务器接收到DTLS-SRTP请求时,MGw应立即开始与UE进行DTLS协商。但是,在现有技术解决方案中,在控制服务器从UE接收SDP应答并将SDP转发给MGw之前,这是不可能的。
为了克服现有技术解决方案存在的问题,一旦接收到请求,便立即发送在UE和MGw之间发起握手规程的指令,并且一旦MGw接收到该指令,便立即发起该规程。为了使得这能够发生,在对于通信会话的任何请求之前,UE向控制服务器提供它能够支持提早握手规程的指示。在该阶段,它还向控制服务器提供用于DTLS握手的连接参数。这些参数包括将使用的IP地址和端口号。该步骤移除了MGw在继续进行握手规程之前等待包含连接参数的SDP消息的需要。图3是示出实现提早握手规程的这种方法的流程图。该方法以在通信会话的任何发起之前确定网络实体的能力开始。第一步骤(21)包括确定并记录关于受到控制服务器控制的MGw是否具有支持提早握手规程的能力。第二步骤(22)包括从UE接收该装置能够支持提早握手规程的指示。UE还供应发起握手所需的连接参数。在第三步骤中,将指示和连接参数存储(23)在控制服务器。通常,UE在注册时一起供应它的能力的指示和连接参数。但是,本领域中技术人员将领会到的是,其它选项是可能的,并且可在不同时间单独供应指示和连接参数。例如,可在注册时供应指示,并且可在控制服务器随后请求时供应连接参数。
一旦已完成所述第一两个阶段,控制服务器能够对通信设立请求做出响应,并早发起握手规程。在第四步骤(24),在控制服务器从想要与UE建立安全连接的远程方接收这种请求。在接收到通信设立请求时,控制服务器将指令(25)与对于UE的连接参数一起发送给MGw。在一实施例中,先发送该指令,然后再对另一方做出响应。一旦MGw已接收到该指令和相关联的连接参数,便发起(26)握手规程。
图4是根据一实施例操作控制服务器的方法的流程图。步骤(21到25)与图3的方法的前五个步骤相同。
图5是根据一实施例操作MGw的方法的流程图。在通信会话的初始化之前,MGw向控制服务器提供关于它是否支持用于提早握手的规程的指示(27)。在一实施例中,这响应于控制服务器发送确定MGw的能力的请求而被执行。提早握手规程以MGw从控制服务器接收(28)着手提早握手的指令而着手,该指令伴随UE连接参数。在接收到该信息时,着手安全性握手(29)。
图6是根据一实施例操作UE的流程图。在通信会话的初始化之前,UE向控制服务器提供(30)UE支持用于提早着手安全性握手的规程的指示以及UE的连接参数。在从MGw接收(31)到安全性握手的初始化时,UE着手安全性握手并建立通信会话(32)。
图7是用于在控制服务器中使用以便实现图4中所示的方法的设备的示意图。该设备包括处理电路(33),其与一个或多个存储器存储单元(34)交互。该设备另外包括一个或多个通信模块(35),其包括用于与到UE的信令链路(8)、到IMS核的信令链路(9)和到一个或多个MGw的信令链路(10)一起使用的传送器和接收器。
图8是用于在媒体网关(MGw)中使用以便实现图5中所示的方法的设备的示意图。该设备包括处理电路(36),其与一个或多个存储器存储单元(37)交互。该设备另外包括一个或多个通信模块(38),其包括用于与媒体域(7)以及与到控制服务器的链路(10)一起使用的传送器和接收器。
图9是用于在UE中使用以便实现图6中所示的方法的设备的示意图。该设备包括处理电路(39),其与一个或多个存储器存储单元(40)交互。该设备另外包括一个或多个通信模块(41),其包括用于经由媒体域(7)和信令域(8)与网络通信的传送器和接收器。
图10是根据一实施例利用提早DTLS握手设立基于安全实时协议(SRTP)的会话的信令图。该信令以经由IMS核(5)的来自远程用户的SIP邀请消息(11)开始。控制服务器(43)确定UE(42)和MGw(44)是否均能够实现提早握手规程,并且如果它们能,那么在H248 ADD消息内包含UE的连接参数以及给MGw的着手提早握手规程的指令(45)。ADD消息指令MGw创建两个新终止,一个朝向IMS核,且一个朝向UE。将ADD消息发送(46)到MGw(44),MGw(44)接收该指令并发起DTLS握手(47)。接着,将包含MGw的指纹的ADD答复消息(48)发送到控制服务器。然后,以SDP格式(49)将这传递给UE。UE接收MGw的指纹,并接着验证(50)在DTLS握手期间呈现的MGw的证书。如果证书验证失败,那么UE必须终止DTLS协商和通信会话的设立。UE通过发送SDP格式的它自己的指纹(51)来对控制服务器做出响应。控制服务器利用修改消息(52)转发该指纹。MGw接收SDP格式的UE的指纹,然后验证(53)在DTLS握手期间呈现的UE的证书。如同在UE的验证阶段,如果证书验证失败,那么MGw必须终止DTLS协商和通信会话的设立。将修改答复发送(54)回到控制服务器以便确认该过程成功,由此由控制服务器发送(55)对远程用户的响应。在此之后,SRTP会话能够着手(20)。
为了实现提早握手方法,控制服务器必须知道关于它控制的所述一个或多个MGw中的每个是否支持提早握手规程。在本发明的实施例中,在将MGw连接或重新连接到控制服务器时提供该信息。在此类连接或重新连接时,控制服务器审计MGw的根性质。图11是根据现有技术的根审计的信令图。在所示示例中,MGw指示它能够支持DTLS-STRP。该信令是双阶段过程,它以控制服务器(3)向MGw(4)发送H248审计值(AuditValue)请求(56)开始,MGw(4)以指示它支持DTLS-SRTP的审计值响应(58)做出响应(57)。
在一实施例中,通过使用该根审计规程来确定对于MGw是否支持提早握手规程的确定。图12中示出这些步骤,图12是用于根审计的信令图,该根审计适于启用用来向控制服务器(43)指示MGw(44)能够实现提早握手规程的指令。关于图8中所示的过程遵循相同规程,只是审计值答复包括MGw具有支持提早握手规程的能力的指示(59)。
除了知道MGw的能力之外,控制服务器还必须既知道UE的能力还知道它的连接参数。在一实施例中,在注册时由UE将能力和连接参数发送给控制服务器。这通常利用SIP注册方法来执行。图13是根据现有技术的SIP注册方法的信令图,其中UE(2)指示它能够支持DTLS-SRTP。该规程以UE(2)在注册消息的SIP报头中指示它能够支持DTLS-SRTP(60)开始。然后,将注册消息传送(61)给控制服务器(3)。控制服务器将该注册消息转发给IMS核(62)。AS是SIP中的UE注册中的标准,将未授权消息返回(63)给控制服务器,然后控制服务器将该消息(64)转发给UE(2)。现在创建第二注册消息(65),再次具有DTLS-SRTP支持标志设置。将该消息传送(66)给控制服务器,并且因此传送(67)给IMS核(5)。将OK消息返回(68)给控制服务器,然后将这发送(69)给UE(2),从而完成UE注册过程。
图14是示出注册过程的信令图,只是UE(42)现在指示它支持提早安全性握手规程。根据一实施例,以与DTLS-SRTP支持在其中被指示的方式类似的方式来在SIP注册消息(71)的报头(70)中对此做出指示。这使得能够将消息被支持的指示和连接参数传送给控制服务器(43)。在此之后,注册过程按惯例继续进行。本领域中技术人员将领会到的是,传递指示和连接参数的其它方法是可能的,并且本发明不限于在连接设立请求之前发送指示和参数的任何一种方式。
如上文所描述的一个或多个实施例可能够实现以下技术效果中的至少一个:
● 在很早的时候在与远程方进行媒体协商之前或与其并行地来执行UE和MGw之间的安全相关参数的协商;
● 一从远程方接收到响应,就能够建立安全媒体连接,并通过这个缩短会话设立时间。
得益于在前面的描述和相关联图中呈现的教导的本领域中技术人员将联想到所公开发明的修改和其它实施例。因此,将了解,实施例不限于公开的特定实施例,并且修改和其它实施例旨在包含在此公开的范围内。尽管本文中可采用特定术语,但它们只是以一般和描述性含义被使用,而不是为了限制的目的。
Claims (45)
1.一种通过受到控制服务器控制的媒体网关MGw在用户设备UE和另一方之间建立通信会话的方法,所述通信会话包括所述UE和所述MGw之间的安全连接,并且其中所述安全连接的设立包括安全性握手,所述方法包括:
○ 在所述控制服务器处接收通信会话设立请求之前:
▪ 由所述控制服务器确定(21)所述MGw是否支持用于提早着手所述安全性握手的规程;
▪ 由所述UE向所述控制服务器提供(22)所述UE支持用于提早着手所述安全性握手的所述规程的指示以及在所述安全性握手中使用的连接参数;以及
▪ 将所述指示和连接参数存储(23)在所述控制服务器;
○ 在由所述控制服务器从另一方接收(24)通信会话设立请求时,如果所述UE已提供了它支持所述规程的指示和连接参数,并且所述控制服务器已确定所述MGw支持所述规程,则:
▪ 从所述控制服务器向所述MGw发送指令(25),以着手所述安全性握手,所述指令包括用于所述UE的所述连接参数;
▪ 着手所述握手(26)以设立安全通信会话;以及
▪ 完成所述通信会话的所述建立。
2.如权利要求1中要求保护的方法,其中所述安全性握手包括在所述UE和所述MGw之间交换认证证书,并且所述方法还包括:
○ 在所述握手期间试探性地接受所述认证证书;以及
○ 在发起所述安全性握手之后,
● 在所述UE和所述MGw之间交换从相应认证证书导出的相应指纹;以及
● 由所述UE和所述MGw利用所述相应指纹验证所述相应认证证书。
3.如权利要求2中要求保护的方法,其中如果由所述UE或所述MGw利用所述相应指纹进行的对所述相应认证证书的所述验证失败,则终止通信会话的所述设立。
4.如任一前述权利要求中要求保护的方法,其中所述安全性握手包括数据报传输层安全性DTLS握手。
5.如权利要求1-3的任一项中要求保护的方法,其中所述通信会话利用安全实时协议SRTP。
6.如权利要求1-3的任一项中要求保护的方法,其中通过会话发起协议SIP来发送通信会话信令。
7.如权利要求6中要求保护的方法,其中所述UE通过SIP注册消息来供应所述指示和所述连接参数。
8.如权利要求1-3的任一项中要求保护的方法,其中在H248根审计期间执行由所述控制服务器确定所述MGw是否支持用于提早着手所述安全性握手的规程。
9.如权利要求1-3的任一项中要求保护的方法,其中通过H248协议消息发送着手所述安全性握手的所述指令和所述UE连接参数。
10.一种在通信网络的用户设备UE中使用的设备,所述设备包括处理器电路(39)和用于存储由所述处理器电路(39)可执行的指令的存储单元(40),由此所述设备可操作以:
○ 在接收通信会话设立请求之前:
▪ 向控制服务器提供所述UE支持用于提早着手安全性握手的规程的指示以及在所述安全性握手中使用的连接参数;以及
○ 在从媒体网关MGw接收安全性握手的初始化时,
▪ 着手所述安全性握手并建立安全通信会话,其中在接收所述通信会话设立请求之前着手所述安全性握手。
11.如权利要求10中要求保护的设备,其中所述设备配置成:在所述握手期间从MGw试探性地接受安全性证书;以及然后在接收从所述证书导出的指纹时,执行验证以确认所述证书。
12.如权利要求11中要求保护的设备,其中所述设备还配置成:如果所述验证不成功,则终止所述通信会话的所述设立。
13.如权利要求10-12的任一项中要求保护的设备,其中所述设备配置成在注册规程中提供所述指示和所述连接参数。
14.如权利要求13中要求保护的设备,其中所述注册规程包括SIP注册消息。
15.一种用户设备,包括如权利要求10-14的任一项中要求保护的设备。
16.一种在通信网络中在用于媒体网关的控制服务器中使用的设备,所述设备包括处理器电路(33)和用于存储由所述处理器电路可执行的指令的存储单元(34),由此所述设备可操作以:
○ 在接收通信会话设立请求之前:
▪ 确定并记录MGw是否支持用于提早着手安全性握手的规程;
▪ 从UE接收所述UE支持用于提早着手安全性握手的规程的指示以及在所述安全性握手中使用的连接参数;以及
▪ 存储所述指示和连接参数;
○ 在从另一方接收通信会话设立请求时,如果所述UE已提供它支持所述规程的指示和连接参数,并且所述控制服务器已确定MGw支持所述规程,则:
▪ 向所述MGw发送所述UE的所述连接参数以及着手所述握手的指令。
17.如权利要求16中要求保护的设备,配置成在H248根审计期间确定MGw是否支持用于提早着手所述安全性握手的所述规程。
18.如权利要求16或权利要求17中要求保护的设备,配置成通过H248协议消息提供着手所述握手的所述指令。
19.如权利要求16到17的任一项中要求保护的设备,配置成在所述UE注册时接收来自所述UE的所述指示以及它的连接参数,并且还配置成向所述UE提供确认。
20.如权利要求19中要求保护的设备,配置成在SIP注册消息中接收所述指示和连接参数。
21.一种控制服务器,包括如权利要求16到20的任一项中要求保护的设备。
22.一种用于在通信网络中的媒体网关MGw中使用的设备,所述设备包括处理器电路(36)和用于存储由所述处理器电路可执行的指令的存储单元(37),由此所述设备可操作以:
○ 在通信会话的初始化之前:
▪ 向控制服务器提供所述MGw支持用于提早着手安全性握手的规程的指示;以及
○ 在接收来自所述控制服务器的指令和用于UE的连接参数时,
▪ 利用所提供的连接参数着手与所述UE的提早握手。
23.如权利要求22中要求保护的设备,还配置成:在所述握手期间试探性地接受所述UE的认证证书;以及在从所述控制服务器接收从所述证书导出的指纹时,执行所述证书的验证。
24.如权利要求23中要求保护的设备,还配置成:如果所述验证失败,则终止所述通信会话的设立。
25.如权利要求22-24的任一项中要求保护的设备,配置成在H248根审计期间向所述控制服务器提供所述MGw支持用于提早着手所述安全性握手的规程的指示。
26.如权利要求22-24的任一项中要求保护的设备,配置成通过H248协议消息接收着手所述握手的指令。
27.一种媒体网关MGw,包括如权利要求22到26的任一项中要求保护的设备。
28.一种通信系统,包括用户设备、控制服务器和媒体网关,配置成实现根据权利要求1-9的任一项的方法。
29.一种操作用户设备UE的方法,包括:
○ 在接收通信会话设立请求之前:
▪ 向控制服务器提供(30)所述UE支持用于提早着手安全性握手的规程的指示以及在所述安全性握手中使用的连接参数;
○ 在从媒体网关MGw接收(31)安全性握手的初始化时,
▪ 着手(32)所述安全性握手并建立安全通信会话,其中在接收所述通信会话设立请求之前着手所述安全性握手。
30.如权利要求29中要求保护的方法,还包括:在所述握手期间从MGw试探性地接受安全性证书;并然后在接收从所述证书导出的指纹时,执行验证以确认所述证书。
31.如权利要求30中要求保护的方法,还包括:如果所述验证不成功,则终止所述通信会话的所述设立。
32.如权利要求30或权利要求31中要求保护的方法,其中在注册规程中提供所述指示和所述连接参数。
33.如权利要求32中要求保护的方法,其中所述注册规程包括SIP注册消息。
34.一种操作通信网络中的媒体网关MGw的方法,所述通信网络包括MGw、用户设备UE和控制服务器,所述方法包括:
○ 在通信会话的初始化之前:
▪ 向所述控制服务器提供所述MGw支持用于提早着手安全性握手的规程的指示(27);以及
○ 在接收来自所述控制服务器的指令(28)和用于UE的连接参数时,
▪ 利用所提供的连接参数着手(29)与所述UE的提早握手。
35.如权利要求34中要求保护的方法,还包括:在所述握手期间试探性地接受所述UE的认证证书;以及在从所述控制服务器接收从所述证书导出的指纹时,执行所述证书的验证。
36.如权利要求35中要求保护的方法,还配置成:如果所述验证失败,则终止所述通信会话的设立。
37.如权利要求34到36的任一项中要求保护的方法,其中在H248根审计期间,执行向所述控制服务器提供所述MGw支持用于提早着手所述安全性握手的规程的指示。
38.如权利要求34到36的任一项中要求保护的方法,其中通过H248协议消息执行接收着手所述握手的指令。
39.一种操作通信网络中的控制服务器的方法,所述通信网络包括MGw、用户设备UE和控制服务器,所述方法包括:在所述控制服务器处接收建立通信会话的设立请求之前:
▪ 确定(21)所述MGw是否支持用于提早着手安全性握手的规程;
▪ 从所述UE接收(22)所述UE支持用于提早着手所述安全性握手的所述规程的指示以及在所述安全性握手中使用的连接参数;以及
▪ 存储(23)所述指示和所述连接参数;
○ 在由所述控制服务器从另一方(24)接收建立通信会话的设立请求时:
▪ 如果所述UE和所述MGw均支持用于提早着手所述安全性握手的所述规程,则将着手所述安全性握手的指令(25)从所述控制服务器发送到所述MGw,所述指令包括用于所述UE的所述连接参数。
40.如权利要求39中要求保护的方法,其中所述通信会话利用安全实时协议SRTP。
41.如权利要求39或权利要求40中要求保护的方法,其中通过会话发起协议SIP发送通信会话信令。
42.如权利要求39到40的任一项中要求保护的方法,其中在SIP注册消息中接收由所述UE供应的所述指示和所述连接参数。
43.如权利要求39到40的任一项中要求保护的方法,其中在H248根审计期间,执行由所述控制服务器确定所述MGw是否支持用于提早着手所述安全性握手的规程。
44.如权利要求39到40的任一项中要求保护的方法,其中通过H248协议消息发送着手所述安全性握手的所述指令和所述UE连接参数。
45.一种存储指令的计算机可读介质,所述指令在至少一个处理器上被执行时使得所述至少一个处理器实行根据权利要求1到9和29到44中任一项的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2015/071203 WO2016115694A1 (en) | 2015-01-21 | 2015-01-21 | Enhanced establishment of ims session with secure media |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107251512A CN107251512A (zh) | 2017-10-13 |
CN107251512B true CN107251512B (zh) | 2021-03-23 |
Family
ID=56416279
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580074227.3A Active CN107251512B (zh) | 2015-01-21 | 2015-01-21 | 用于建立安全通信会话的方法、设备和系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10595203B2 (zh) |
EP (1) | EP3248355B1 (zh) |
CN (1) | CN107251512B (zh) |
WO (1) | WO2016115694A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11388203B2 (en) * | 2016-08-16 | 2022-07-12 | Avaya Inc. | Systems and methods for media tunneling through edge server |
WO2018231109A1 (en) * | 2017-06-16 | 2018-12-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Media protection within the core network of an ims network |
CN108696512B (zh) * | 2018-04-24 | 2021-02-02 | 苏州科达科技股份有限公司 | 跨协议的码流加密协商方法、装置及会议设备 |
US10880120B2 (en) * | 2018-07-19 | 2020-12-29 | Avaya Inc. | System and methods for tunneling media through secure channel |
CN116781421B (zh) * | 2023-08-18 | 2023-12-01 | 广东广宇科技发展有限公司 | 一种基于dtls的网络认证方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7254133B2 (en) | 2002-07-15 | 2007-08-07 | Intel Corporation | Prevention of denial of service attacks |
CN100459805C (zh) | 2006-01-10 | 2009-02-04 | 华为技术有限公司 | 一种接续被叫用户的方法及其网络系统 |
CN100493255C (zh) * | 2006-02-07 | 2009-05-27 | 华为技术有限公司 | 一种基于话音业务连续性的实现呼叫业务的系统和方法 |
US8937957B2 (en) | 2006-02-10 | 2015-01-20 | Alcatel Lucent | Intelligent media gateway selection for multimedia communication sessions |
CN101370004A (zh) | 2007-08-16 | 2009-02-18 | 华为技术有限公司 | 一种组播会话安全策略的分发方法及组播装置 |
CN101123593B (zh) * | 2007-09-20 | 2010-06-09 | 中兴通讯股份有限公司 | 媒体网关控制功能实现早媒体功能的方法 |
WO2009092437A1 (en) * | 2008-01-21 | 2009-07-30 | Nokia Siemens Networks Oy | Completion of fax and analog data call |
CN102045298B (zh) * | 2009-10-17 | 2013-12-04 | 中兴通讯股份有限公司 | 一种ims媒体编解码器协商的方法和系统 |
CN102025715B (zh) * | 2010-05-17 | 2014-01-01 | 华中科技大学 | 一种基于sip协议的多媒体网络通信方法 |
CN102378276B (zh) * | 2010-08-12 | 2014-08-20 | 华为终端有限公司 | 视频呼叫接入网间转移方法、系统、终端、和服务器 |
CN102006294B (zh) * | 2010-11-25 | 2014-08-20 | 中兴通讯股份有限公司 | Ims多媒体通信方法和系统、终端及ims核心网 |
US8924573B2 (en) * | 2012-03-12 | 2014-12-30 | Microsoft Corporation | Secure capability negotiation between a client and server |
US9143504B1 (en) * | 2013-12-23 | 2015-09-22 | Emc Corporation | Secure communication infrastructure |
WO2016033764A1 (en) | 2014-09-03 | 2016-03-10 | Telefonaktiebolaget L M Ericsson (Publ) | Establishment of a secure connection for a communication session |
-
2015
- 2015-01-21 EP EP15878372.0A patent/EP3248355B1/en active Active
- 2015-01-21 CN CN201580074227.3A patent/CN107251512B/zh active Active
- 2015-01-21 US US15/535,791 patent/US10595203B2/en active Active
- 2015-01-21 WO PCT/CN2015/071203 patent/WO2016115694A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
US10595203B2 (en) | 2020-03-17 |
CN107251512A (zh) | 2017-10-13 |
US20170339565A1 (en) | 2017-11-23 |
EP3248355A1 (en) | 2017-11-29 |
EP3248355A4 (en) | 2018-08-08 |
WO2016115694A1 (en) | 2016-07-28 |
EP3248355B1 (en) | 2019-12-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9537837B2 (en) | Method for ensuring media stream security in IP multimedia sub-system | |
US8705743B2 (en) | Communication security | |
US7246236B2 (en) | Method and apparatus for providing peer authentication for a transport layer session | |
KR101309426B1 (ko) | 모바일 네트워크에서 재귀 인증을 위한 방법 및 시스템 | |
JP5167759B2 (ja) | 通信システム、通信方法、認証情報管理サーバおよび小型基地局 | |
WO2011022999A1 (zh) | 一种终端对视频会议数据进行加密的方法及系统 | |
CN107251512B (zh) | 用于建立安全通信会话的方法、设备和系统 | |
KR101173781B1 (ko) | 인증 방법 및 장치 | |
WO2006116921A1 (fr) | Procede d'authentification d'un terminal utilisateur dans un sous-systeme multimedia ip | |
WO2005112338A1 (fr) | Procede de distribution de cles | |
EP3192224B1 (en) | Establishment of a secure connection for a communication session | |
JP4838881B2 (ja) | メディアデータを符号化および復号化するための方法、装置ならびにコンピュータプログラム製品 | |
JP2009526454A (ja) | メディアサーバと加入者機器との間においてメディアデータを暗号化して伝送するための方法、装置および/またはコンピュータプログラム製品 | |
WO2006072209A1 (fr) | Procede de negociation d'une cle dans un sous-systeme multimedia ip | |
WO2008040213A1 (fr) | Procédé, système et dispositif de chiffrement et de signature de messages dans un système de communication | |
WO2017197968A1 (zh) | 一种数据传输方法及装置 | |
Chen et al. | An efficient end-to-end security mechanism for IP multimedia subsystem | |
US11218515B2 (en) | Media protection within the core network of an IMS network | |
CN115589288A (zh) | 基于量子密钥预充注实现端到端VoIP加密通信方法 | |
CN110933673B (zh) | 一种ims网络的接入认证方法 | |
Bassil et al. | Critical analysis and new perspective for securing Voice Networks | |
WO2007051415A1 (fr) | Systeme de communication mobile, procede de transmission d’information et son dispositif | |
WO2011017851A1 (zh) | 客户端安全访问消息存储服务器的方法和相关设备 | |
Fischl et al. | RFC 5763: Framework for Establishing a Secure Real-time Transport Protocol (SRTP) Security Context Using Datagram Transport Layer Security (DTLS) | |
Rescorla | Internet Engineering Task Force (IETF) J. Fischl Request for Comments: 5763 Skype, Inc. Category: Standards Track H. Tschofenig |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |