CN1323509C - 一种直接路由模式下跨关守管理范围的会话密钥分配方法 - Google Patents
一种直接路由模式下跨关守管理范围的会话密钥分配方法 Download PDFInfo
- Publication number
- CN1323509C CN1323509C CNB200510005396XA CN200510005396A CN1323509C CN 1323509 C CN1323509 C CN 1323509C CN B200510005396X A CNB200510005396X A CN B200510005396XA CN 200510005396 A CN200510005396 A CN 200510005396A CN 1323509 C CN1323509 C CN 1323509C
- Authority
- CN
- China
- Prior art keywords
- node
- ownership
- called
- caller
- calling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
Abstract
本发明提供一种直接路由模式下跨关守管理范围的会话密钥分配方法,其核心为:主、被叫节点的归属关守之间通过DH协商分配主被叫节点间的会话密钥。本发明只需要主、被叫节点的归属关守参与会话密钥的分配过程,使会话密钥只在主被叫节点的归属关守可见,减小了消息的传输时延,避免了会话密钥在传输过程中的不安全因素,而且使本发明的技术方案适用范围更加广泛;从而实现了提高消息传输安全性,提高消息传输效率的目的。
Description
技术领域
本发明涉及网络通讯技术领域,具体涉及一种直接路由模式下跨关守管理范围的会话密钥分配方法。
背景技术
H323系统是基于无QOS(服务质量)保证的PBN(分组网络)实现的。由于PBN本身的技术原因,使PBN不能够提供QOS,也不能提供安全的服务。在H323系统中,如何提供适时安全的服务是非常重要。
H235协议V3版以前的版本描述了一些用于H323系统的鉴别和保密技术,但都是假定在GK(关守)路由模式情况下的技术方案。H235协议V3版的附录I提出了一种直接路由的安全方案,这种方案主要利用H235V3附录D和附录F的基本特性,提供H323系统通信的安全服务,但是限制在一个GK管理范围内。
在实际的网络环境中,H323系统通常会包括两个或多个GK,H323系统包括两个GK的组网逻辑框图如附图1所示。
图1中,虚线表示H225协议中的RAS消息传输,实线表示H225协议中Q931消息传输。EPa和EPb表示两个不同的H323节点,GKg和GKh表示两个不同的GK。GKg是EPa的归属GK,GKh是EPb的归属GK。
当H323系统包括两个或多个GK时,通常会通过呼叫前的预约机制,使主叫节点EPa和GKg之间有共享密钥Kag,被叫节点EPb和GKh之间有共享密钥Kbh,GKg和GKh之间有共享密钥Kgh,以确保RAS消息的可靠传输。
当EPa和Epb之间采用直接路由模式进行呼叫时,为保证Q931消息的可靠传输,双方需要通过RAS消息的可靠传输来获取EPa和Epb之间直接传输Q931消息的会话密钥。
目前,主被叫节点会话密钥的分配方法主要有两种:
方法一、基于被叫节点的归属关守产生会话密钥的密钥分配方式。
具体实现过程为:图1中,主叫节点EPa向GKg发送ARQ(呼叫接入请求)消息,ARQ消息中携带了一个ClearToken(明文标记),这个ClearToken中的tokenOID设置为″I0″表明EPa支持H235V3附录I。
GKg在接收到EPa发来的ARQ消息后,根据ARQ消息承载的destinationInfo或者destCall1SignalAddress字段确定被叫节点为Epb,由于Epb不属于其管辖,所以,GKg发起LRQ(定位请求)消息向GKh查询EPb的地址。LRQ消息中的endpointIdentier为主叫节点EPa的节点ID(标识符)。
GKg在转化ARQ消息时,如果发现消息中ClearToken的tokenOID为″I0″,则确定EPa支持H235V3附录I功能,于是在LRQ消息中也生成一个C1earToken,其中的tokenOID也为″I0″。如果GKg不支持附录I,就不需要在LRQ消息中创建tokenOID为″I0″的ClearToken,且消息的后续处理按照不支持附录I的普通方式进行消息交互。
GKh在接收到LRQ消息后,检查消息的ClearToken中的tokenOID是否为″I0″,如果tokenOID为″I0″,表明对端支持附录I。如果GKh自己也支持附录I,就根据LRQ提供的被叫节点信息,查询被叫节点EPb是否支持附录I。
GKh生成EPa和EPb之间的共享密钥Kab,且产生随机的challenge,并用GKh和GKg之间的共享密钥Kgh和challenge以及指定密钥导出算法导出密钥EKgh,然后用EKgh加密Kab得到EKab1,并将EKab1和加密参数配置到一个独立的ClearToken.h23 5Key.secureSharedSecret字段的对应子字段中。
如果LRQ消息中设置了endpointIdentfier,GKh需要把这个字段也设置到ClearToken.h235Key.secureSharedSecret.generalID字段中,并将导出密钥时用到的算法配置到ClearToken.h235Key.secureSharedSecret.keyDerivationOID字段,将导出密钥时用到的challenge设置到ClearToken.challenge字段,同时将ClearToken.generalID设置为GKg的节点ID,ClearToken.senderID设置为GKh的节点ID,最后把ClearToken的tokenOID设置为″I3″,在后文中把这个ClearToken记己为CTg。
GKh用GKh和EPb之间的共享密钥Kbh和另外的challenge一起导出密钥EKbh,并用EKbh加密Kab得到EKab2,并把加密结果EKab2和加密参数如加密算法和加密时用到的初始化向量等一起设置到另外一个ClearToken的h235Key.secureSharedSecret字段中。
如果LRQ消息中设置了endpointIdentfier,GKh还需要把这个字段也设置到ClearToken.h235Key.secureSharedSecret.generalID字段中,将导出密钥时用到的challenge设置到ClearToken.challenge字段,ClearToken.generalID设置为EPb的节点ID,ClearToken.senderID设置为GKh的节点ID,最后把这个ClearToken的tokenOID设置为″I2″,在后文中,把这个ClearToken记为CTb。
在进行了上述设置后,GKh把LCF消息发给GKg。
GKg接收到GKh发来的LCF消息后,取出独立的ClearToken信息,如果LCF消息中有两个以上的ClearToken,且其中一个ClearToken的tokenOID为″I3″,即CTg,另外一个ClearToken的tokenOID为″I2″,即CTb,则表明GKh、EPb同意使用附录I的安全方案。
GKg构造ACF(呼叫接入确认)消息,创建一个ClearToken,其中的tokenOID设置为″I1″,选取一个随机的challenge设置到CTa.challenge中,利用CTg提供的参数如challenge、密钥导出算法、加密算法、加密用到的初始化向量等和利用challenge和Kgh导出的密钥Ekgh,解密CT3.h235Key.secureSharedSecret.encryptedSessionKey得到密钥Kab,GKg根据Kag和CTa.challenge导出密钥EKag,用EKag加密Kab并把加密结果和加密参数设置到CTa.h23 5Key.secureSharedSecret中的对应子字段中,把CTb.generalID复制到CTa.h23 5Key.secureSharedSecret.generalID,把CTb复制到ACF消息中,最后,将ACF消息发给节点EPa。
Epa接收到ACF消息后,提取CTa和CTb,并根据CTa中的信息和利用EPa与GKg的共享密钥Kag导出的密钥EKag解密CTa.h235Key.secureSharedSecret.encryptedSessionKey得到密钥Kab。
Epa在获得会话密钥Kab后,即可以利用该密钥创建Setup消息,将ACF消息中的CTb复制到Setup消息中,然后利用共享密钥Kab设置H235V3附录D方案的鉴权信息,EPa直接向Epb发送Setup消息。
Epb接收到Setup消息后,提取CTb,根据CTb.genralID和CTb.sendersID以及CTb.challenge信息利用Kbh导出密钥EKbh,并解密CTb.h235Key.secureSharedSecret.encryptedSessionKey得到密钥Kab。
EPb根据Kab对Setup消息进行鉴权,并进行后续的Q931消息传输。
在该方法中,主叫节点、被叫节点之间的会话密钥Kab在GK的每一跳都要进行加密、解密过程,当GK级数较多时,会增加消息传输时延,而且会话密钥会在传输过程中的每一跳的GK处暴露,安全性能差。
方法二、基于主叫节点与被叫节点的归属关守之间进行DH(迪夫赫曼密钥交换过程)协商的会话密钥分配方式。
具体实现过程为:图1中,主叫节点Epa向GKg发送ARQ消息时,在ARQ消息中设置独立的ClearToken,其中的tokenOID为″I0″,EPa产生用于DH协商的公开密钥,并设置在ClearToken.dhkey中,EPa将ARQ消息传输至其所归属的GKg。
支持附录I的GKg接收到ARQ消息后,查询被叫节点Epb,由于EPb不在其管理范围内,于是GKg发起LRQ消息到GKh,LRQ消息中携带独立的ClearToken,其中tokenOID字段为″I0″,且dhkey字段的内容与ARQ消息的dhkey字段中的内容一样。
GKg接收到LRQ消息后,根据LRQ中的ClearToken.tokenOID和被叫的Pb确定主、被叫节点都支持附录I时,GKh创建一个ClearToken,设置tokenOID为″I2″,在后文中,将这个ClearToken记为CTb。
GKh产生DH协商的公钥,并与收到的LRQ消息中的DH公钥一起使用DH算法计算出节点间直接传输Q931消息的会话密钥Kab。
GKh产生一个随机的challenge,设置到CTb.challenge中,然后根据这个challenge和Kbh导出密钥EKbh和KSbh。GKh产生一个随机的初始化向量IV,分别设置到CTb.h235Key.securitySharedSecret.paramS.IV中。GKh把ENCEKbh,KSbh.Iv(Kab)设置到CTb.h235Key.securitySharedSecret.encryptedSessionKey中。
GKh在LCF(定位确认)消息中包含GKh产生的DH公钥和CTb,向GKg发送LCF消息。
GKg接收到GKh发来的LCF消息后,获取CTb和dhkey信息,并将其复制到ACF消息中,将ACF消息发给节点EPa。
Epa接收到ACF消息后,根据消息中的dhkey获取DH公钥,并与自己的DH公钥一起通过DH算法计算出会话密钥Kab。
Epa在获得会话密钥Kab后,即可以利用该密钥创建Setup消息,将ACF消息中的CTb复制到Setup消息中,然后利用共享密钥Kab设置H235V3附录D方案的鉴权信息,Epa将Setup消息传输至Epb。
Epb接收到Setup消息后,提取CTb,并根据CTb.genralID和CTb.sendersID以及CTb.challenge信息利用Kbh导出密钥EKbh,解密CTb.h235Key.secureSharedSecret.encryptedSessionKey得到密钥Kab,EPb根据Kab对Setup消息进行鉴权。
该方法需要终端与GK都支持DH协商过程,其适用范围受到限制。
综上所述,现有的主被叫节点的会话密钥分配方法存在消息传输时延大、安全性能差、适用范围不广泛等缺点。
发明内容
本发明的目的在于,提供一种直接路由模式下跨关守管理范围的会话密钥分配方法,通过主被叫节点的归属关守之间进行DH协商来分配会话密钥,实现了提高消息传输效率、提高消息传输的安全性目的。
为达到上述目的,本发明提供的一种直接路由模式下跨关守管理范围的会话密钥分配方法,包括:
主、被叫节点的归属关守之间通过DH协商分配主被叫节点间的会话密钥。
所述方法进一步包括:
a、所述主叫节点的归属关守GKg接收呼叫接入请求消息,并产生GKg的DH公钥;
b、所述主叫节点的归属关守将GKg的DH公钥传输至被叫节点的归属关守;
c、所述被叫节点的归属关守接收GKg的DH公钥,产生GKh的DH公钥;
d、所述被叫节点的归属关守将所述GKh的DH公钥传输至所述主叫节点的归属关守,所述主被叫节点的归属关守分别根据GKg的DH公钥、GKh的DH公钥通过DH算法确定主被叫节点间的会话密钥,并分别传输至主被叫节点。
所述步骤a包括:
主叫节点将独立的明文标记的tokenOID设置为“I0”,并通过呼叫接入请求消息传输至其归属的关守;
所述主叫节点的归属关守在确定呼叫接入请求消息中独立的明文标记的tokenOID为“I0”时,产生GKh的DH公钥。
所述步骤b包括:
所述主叫节点的归属关守将所述GKg的DH公钥和表示需要与被叫节点的归属关守进行DH协商的标志信息承载于定位请求消息中传输至被叫节点的归属关守。
所述步骤b进一步包括:
所述主叫节点的归属关守将表示需要与被叫节点的归属关守进行DH协商的标志信息“14”承载于定位请求消息的明文标记的tokenOLD中,并将所述GKg的DH公钥承载于所述明文标记的dhkey中,传输至被叫节点的归属关守。
所述步骤c进一步包括:
所述被叫节点的归属关守GKh根据所述定位请求消息中的表示需要与被叫节点的归属关守进行DH协商的标志信息产生GKh的DH公钥。
所述步骤d进一步包括:
d1、所述被叫节点的归属关守根据GKh的DH公钥、GKg的DH公钥通过DH算法确定主被叫节点之间的会话密钥,并生成CTb;
d2、所述被叫节点的归属关守将所述CTb、GKh的DH公钥和主被叫节点的归属关守间进行DH协商的标志信息承载于定位确认消息中传输至所述主叫节点的归属关守;
d3、所述主叫节点的归属关守根据所述定位确认消息中承载的主被叫节点的归属关守间进行DH协商的标志信息获取所述CTb和GKh的DH公钥;
d4、所述主叫节点的归属关守根据所述GKh的DH公钥和GKg的DH公钥通过DH算法确定主被叫节点间的会话密钥,并生成CTa;
d5、所述主叫节点的归属关守通过呼叫接入确认消息将所述CTa、CTb传输至所述主被叫节点。
所述步骤d2进一步包括:
所述被叫节点的归属关守将主被叫节点的归属关守间进行DH协商的标志信息“I5”、GKh的DH公钥分别承载于定位确认消息的明文标记的tokenOLD、dhkey中,并将所述CTb承载于定位确认消息中,传输至所述主叫节点的归属关守。
所述步骤d5进一步包括:
所述主叫节点的归属关守将所述CTa、CTb承载于呼叫接入确认消息中传输至所述主叫节点;
所述主叫节点根据所述CTa获取主被叫节点间的会话密钥,并根据所述会话密钥设置呼叫建立消息的鉴权信息,同时,将所述CTb承载于呼叫建立消息中传输至被叫节点;
所述被叫节点根据所述呼叫建立消息中的CTb获取所述会话密钥,并根据所述会话密钥对呼叫建立消息进行鉴权,确定主叫节点;
所述被叫节点将所述会话密钥确定为所述主叫节点与其进行直接路由模式的消息传输的会话密钥。
所述方法在步骤a之前还包括:
所述主、被叫节点将其支持H235V3附录I的信息承载于网守发现请求/注册请求消息的明文标记中传输至其归属的关守。
通过上述技术方案的描述可知,本发明只需要主、被叫节点的归属关守参与主被叫节点的会话密钥的分配过程,使会话密钥只在主被叫节点的归属关守可见,不但避免了会话密钥在各中间关守层层加密、解密而引起的消息传输时延大的现象,而且还解决了会话密钥在各中间关守暴露、可见而引起的消息传输安全性能差的问题;本发明由于不需要主被叫节点支持DH协商,使本发明的技术方案适用范围更加广泛;从而通过本发明的技术方案实现了提高消息传输安全性,提高消息传输效率的目的。
附图说明
图1是包括两个GK的H323系统的组网逻辑框图。
具体实施方式
本发明的核心是:主、被叫节点的归属关守之间通过DH协商分配主被叫节点之间的会话密钥。
下面基于本发明的核心思想对本发明提供的技术方案做进一步的描述。
本发明适用于H323系统跨GK管理范围的直接路由模式,即主/被叫节点分别注册在不同的主/被叫GK上,且通讯过程在没有安全性保证的网络如IP网络上进行。
实施本发明技术方案的前提是:GK对其管理节点的所有RAS消息进行鉴权,节点也对其归属的GK的RAS消息进行鉴权,使节点和其归属的GK之间达到相互信任的目的。相互连接的GK之间也进行相互鉴权,避免GK域间的恶意攻击,使相互连接的GK之间达到相互信任的目的。通过上述鉴权过程保证了H.323实体之间RAS信道的安全性。
本发明中的节点可以在GK发现过程中或节点注册过程中向其归属的GK表明其是否支持H235 V3附录I,即表明该节点是否支持本发明的技术方案,如节点在GRQ/RRQ(网守发现请求/注册请求)消息中携带独立ClearToken,并把该ClearToken中的tokenOID设置为“I0”。节点归属的GK接收GRQ/RRQ消息,在识别出ClearToken中的tokenOID为“I0”时,回复GCF/RCF(网守发现确认/注册确认)消息,接受该节点,GCF/RCF消息中携带与GRQ/RRQ消息中相同的ClearToken。
在本实施例中,仍然结合附图1对本发明的技术方案进行描述。
当主叫节点Epa需要使用直接路由模式呼叫被叫节点Epb时,主叫节点Epa需要向其归属的关守GKg发送ARQ消息。
该ARQ消息中的destinationInfo字段应设置为EPb的标识,且ARQ消息中还应该包含一个独立的ClearToken,该ClearToken的tokenOID可以设置为“I0”,该ClearToken中的其他字段不需要使用。
在进行了上述设置后,Epa将ARQ消息发送至GKg。
主叫节点的归属关守GKg接收ARQ消息,根据ARQ消息的destinationInfo字段承载的信息确定被叫节点为Epb,由于Epb不属于GKg管理范围内的节点,因此,GKg需要发起LRQ消息,以便向GKh查询EPb的地址信息,同时,由于Epa的归属关守GKg需要采用与被叫节点EPb的归属关守进行DH协商过程来分配主被叫节点的会话密钥,所以,GKg还需要产生GKg的DH公钥,并在向GKh发送LRQ消息时,将GKg的DH公钥和需要与被叫节点的归属关守进行DH协商的信息一起传输至GKh。
GKg可以将GKg的DH公钥设置在LRQ消息的ClearToken的dhkey中,同时,可以将该ClearToken的tokenOID设置为“I4”,以表示需要与被叫节点的归属关守进行DH协商。在进行上述设置后,GKg向GKh发送LRQ消息。
如果GKg与GKh之间存在多级GK,则GKg向其上一级GK发送LRQ消息,其上一级GK复制该LRQ消息,并依此方法逐级发送,直到传输至被叫节点的归属关守GKh。
GKh接收LRQ消息,当检验到LRQ消息的ClearToken中的tokenOID为“I4”时,确定GKg需要与其进行DH协商过程以分配主被叫节点的会话密钥,GKh开始与GKg进行DH协商,分配主被叫节点间的会话密钥,其具体过程为:
首先,GKh生成期望的DH公钥,与从LRQ消息中获取的GKg的DH公钥一起作为参数,使用DH算法计算出主被叫节点间的会话密钥Kab。
然后,GKh按照H.235附录I中描述的方法产生一个ClearToken,并设置该ClearToken中的tokenOID为“I2”,该ClearToken即为CTb。
最后,GKh生成LCF消息,并使LCF消息包含CTb和一个独立的ClearToken,将该独立的ClearToken中的tokenOID设置为“I5”,将GKh的DH公钥设置在该独立的ClearToken中的dhkey中。“I5”为主被叫节点的归属关守间进行DH协商的标志信息,该独立的ClearToken中的其他字段不使用。
GKh在进行了上述设置后,将LCF消息发送至GKg。
如果GKg与GKh之间存在多级GK,则GKh向其上一级GK发送LCF消息,其上一级GK复制LRQ消息,并依此方法逐级发送,直到传输至主叫节点的归属关守GKg。
GKg接收LCF消息,当检验到LCF消息中独立ClearToken的tokenOID为“I5”时,GKg从LCF消息的独立ClearToken的dhkey中获取Gkh的DH公钥,并根据Gkh的DH公钥、其存储的GKg的DH公钥使用DH算法计算出会话密钥Kab。
GKg按照H.235附录I中描述的方法产生一个ClearToken,将该ClearToken中的tokenOID设置为“I1”,该ClearToken即为CTa。
GKg生成ACF消息,并将CTa和LCF消息中的CTb承载于ACF消息中发送至EPa。
Epa接收ACF消息,获取ACF消息中承载的CTa,按照H.235附录I中描述的方法获得会话密钥Kab。
EPa创建Setup消息,并将ACF消息中的CTb复制到Setup消息中,使用会话密钥Kab按照H.235附录D/附录F设置Setup消息的鉴权信息。
EPa使用直接路由模式向EPb发送呼叫建立请求消息Setup。
Epb接收Setup消息,从Setup消息中获取CTb,并按照H.235附录I中描述的方法得到会话密钥Kab,同时利用会话密钥Kab对Setup消息进行鉴权,根据鉴权结果确定发送Setup消息的主叫节点,将会话密钥Kab确定为Epb与Epa之间进行Q931消息传输的会话密钥。
主被叫节点之间的后续呼叫过程可按照H235附录D/附录F进行处理。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,本发明的申请文件的权利要求包括这些变形和变化。
Claims (12)
1、一种直接路由模式下跨关守管理范围的会话密钥分配方法,其特征在于,包括:
a、主叫节点归属的关守GK接收呼叫接入请求消息,并产生迪夫赫曼密钥交换过程DH公钥;
b、主叫节点归属的GK将产生的DH公钥传输至被叫节点归属的GK;
c、被叫节点归属的GK接收主叫节点归属的GK产生的DH公钥,产生自身DH公钥,根据主叫节点归属的GK产生的DH公钥和自身DH公钥通过DH算法确定主被叫节点间的会话密钥,将加密后的会话密钥通过定位确认消息传送给主叫节点归属的GK,由主叫节点归属的GK发送给主叫节点;
d、被叫节点归属的GK将自身产生的DH公钥发送给主叫节点归属的GK,主叫节点归属的GK根据被叫节点归属的GK产生的DH公钥、自身产生的DH公钥通过DH算法确定主被叫节点间的会话密钥,传输至主叫节点;
e、主叫节点采用步骤d所述的会话密钥设置呼叫建立消息中的鉴权信息,将鉴权信息和步骤c加密后的会话密钥通过呼叫建立消息发送给被叫节点。
2、如权利要求1所述的方法,其特征在于,步骤a包括:所述主叫节点归属的GK在确定接收到的呼叫接入请求消息中携带的独立明文标记中的tokenOID字段为“I0”后,产生自身的DH公钥。
3、如权利要求1所述的方法,其特征在于,步骤b所述的传输至被叫节点归属的GK过程为:主叫节点归属的GK将主叫节点归属的GK生成的DH公钥和表示需要与被叫节点归属的GK进行DH协商的标志信息承载于定位请求消息中传输至被叫节点归属的GK。
4、如权利要求3所述的方法,其特征在于,所述表示需要与被叫节点归属的GK进行DH协商的标志信息承载在定位请求消息的tokenOLD中,所述主叫节点归属的GK生成的DH公钥承载在定位请求消息的tokenOLD中的dhkey字段。
5、如权利要求3所述的方法,其特征在于,步骤c所述产生DH公钥的过程为:
被叫节点归属的GK根据所述定位请求消息中的表示需要与被叫节点归属的GK进行DH协商的标志信息产生自身的DH公钥。
6、如权利要求1所述的方法,其特征在于,步骤c所述将加密后的会话密钥传送给主叫节点归属的GK,由主叫节点归属的GK发送给主叫节点的过程进一步包括:
c1、被叫节点归属的GK将所确定主被叫节点之间的会话密钥进行加密后生成CTb;
c2、被叫节点归属的GK将CTb和主被叫节点归属的GK间进行DH协商的标志信息承载于定位确认消息中传输至主叫节点归属的GK;
c3、主叫节点归属的GK根据所述定位确认消息中承载的主被叫节点归属的GK间进行DH协商的标志信息确定进行DH协商,获取定位确认消息中的CTb;
c4、主叫节点归属的GK将CTb传输至主叫节点。
7、如权利要求6所述的方法,其特征在于,步骤c2所述主被叫节点归属的GK间进行DH协商的标志信息为“I5”;
所述主被叫节点归属的GK间进行DH协商的标志信息承载于定位确认消息的明文标记中的tokenOLD字段中。
8、如权利要求6所述的方法,其特征在于,所述CTb承载于呼叫接入确认消息中由主叫节点归属的GK传输至主叫节点。
9、如权利要求1所述的方法,其特征在于,步骤d所述将确定主被叫节点间的会话密钥传输至主叫节点的过程为:
主叫节点归属的GK将所确定的主被叫节点间的会话密钥进行加密,得到CTa,将CTa发送给主叫节点,主叫节点对得到的CTa进行解密,得到主叫节点归属的GK所确定的主被叫节点间的会话密钥。
10、如权利要求9所述的方法,其特征在于,所述CTa承载于呼叫接入确认消息中由主叫节点归属的GK传输至主叫节点。
11、如权利要求1所述的方法,其特征在于,在步骤a之前,该方法还包括:
主被叫节点将其支持H235协议V3版附录I的信息承载于网守发现请求或注册请求消息的明文标记中传输至归属的GK。
12、如权利要求1所述的方法,其特征在于,在步骤e之后,该方法进一步包括:
被叫节点根据呼叫建立消息中的步骤c加密后的会话密钥获取会话密钥,并根据获取的会话密钥对呼叫建立消息中的鉴权信息进行鉴权,鉴权通过后,被叫节点将获取的会话密钥确定为主叫节点与其进行直接路由模式的消息传输的会话密钥。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200510005396XA CN1323509C (zh) | 2005-02-04 | 2005-02-04 | 一种直接路由模式下跨关守管理范围的会话密钥分配方法 |
| PCT/CN2006/000167 WO2006081764A1 (fr) | 2005-02-04 | 2006-01-26 | Procede pour attribuer la cle de session a travers le domaine de gestion du portier, en vertu du mode du trajet le plus direct |
| US11/638,442 US20070133808A1 (en) | 2005-02-04 | 2006-12-14 | Method for allocating session key across gatekeeper zones in a direct-routing mode |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200510005396XA CN1323509C (zh) | 2005-02-04 | 2005-02-04 | 一种直接路由模式下跨关守管理范围的会话密钥分配方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1815953A CN1815953A (zh) | 2006-08-09 |
| CN1323509C true CN1323509C (zh) | 2007-06-27 |
Family
ID=36776967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200510005396XA Active CN1323509C (zh) | 2005-02-04 | 2005-02-04 | 一种直接路由模式下跨关守管理范围的会话密钥分配方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20070133808A1 (zh) |
| CN (1) | CN1323509C (zh) |
| WO (1) | WO2006081764A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101207480A (zh) * | 2006-12-19 | 2008-06-25 | 中兴通讯股份有限公司 | 一种跨域多网守端到端会话密钥协商方法 |
| ATE500530T1 (de) * | 2008-10-10 | 2011-03-15 | Zeiss Carl Microimaging Gmbh | Verfahren zur abbildung einer probe mit einem mikroskop, mikroskop und datenspeicher |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020118674A1 (en) * | 2001-02-23 | 2002-08-29 | Faccin Stefano M. | Key distribution mechanism for IP environment |
| CN1407759A (zh) * | 2001-08-29 | 2003-04-02 | 华为技术有限公司 | Ip网络系统中的节点跨区域呼叫方法 |
| JP2003198733A (ja) * | 2001-12-28 | 2003-07-11 | Hitachi Ltd | インターネット電話システムおよび情報処理装置 |
-
2005
- 2005-02-04 CN CNB200510005396XA patent/CN1323509C/zh active Active
-
2006
- 2006-01-26 WO PCT/CN2006/000167 patent/WO2006081764A1/zh not_active Application Discontinuation
- 2006-12-14 US US11/638,442 patent/US20070133808A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020118674A1 (en) * | 2001-02-23 | 2002-08-29 | Faccin Stefano M. | Key distribution mechanism for IP environment |
| CN1407759A (zh) * | 2001-08-29 | 2003-04-02 | 华为技术有限公司 | Ip网络系统中的节点跨区域呼叫方法 |
| JP2003198733A (ja) * | 2001-12-28 | 2003-07-11 | Hitachi Ltd | インターネット電話システムおよび情報処理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006081764A1 (fr) | 2006-08-10 |
| CN1815953A (zh) | 2006-08-09 |
| US20070133808A1 (en) | 2007-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7813509B2 (en) | Key distribution method | |
| US9537837B2 (en) | Method for ensuring media stream security in IP multimedia sub-system | |
| JP5496907B2 (ja) | セキュアな通信のための鍵管理 | |
| WO2005104423A1 (fr) | Procede de communication secrete entre deux points limites | |
| WO2008040213A1 (fr) | Procédé, système et dispositif de chiffrement et de signature de messages dans un système de communication | |
| US20070074022A1 (en) | Method for providing message transmission in H.323 communication system | |
| CN100571133C (zh) | 媒体流安全传输的实现方法 | |
| CN100544247C (zh) | 安全能力协商方法 | |
| CN101273571B (zh) | 跨域多网守分组网络密钥协商安全策略的实现方法 | |
| CN100382484C (zh) | 一种直接路由模式下跨关守管理范围的会话密钥分配方法 | |
| CN101207477A (zh) | 一种跨域多网守端到端会话密钥协商方法 | |
| CN1323509C (zh) | 一种直接路由模式下跨关守管理范围的会话密钥分配方法 | |
| GB2411086A (en) | Secure communication between terminals over a local channel using encryption keys exchanged over a different network | |
| WO2008074226A1 (fr) | Procédé pour négocier la clé secrète de session entre les points d'extrémité à travers des zones à multiples contrôleurs d'accès | |
| CN113114644B (zh) | 一种基于sip架构的多级跨域对称密钥管理系统 | |
| CN101174944A (zh) | 一种直接路由模式下跨关守管理范围的会话密钥分配方法 | |
| Floroiu et al. | A comparative analysis of the security aspects of the multimedia key exchange protocols | |
| CN110933673B (zh) | 一种ims网络的接入认证方法 | |
| CN101207478B (zh) | 一种跨域多网守端到端会话密钥协商方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |