CN1658552A - 媒体流安全传输的实现方法 - Google Patents
媒体流安全传输的实现方法 Download PDFInfo
- Publication number
- CN1658552A CN1658552A CN 200410004380 CN200410004380A CN1658552A CN 1658552 A CN1658552 A CN 1658552A CN 200410004380 CN200410004380 CN 200410004380 CN 200410004380 A CN200410004380 A CN 200410004380A CN 1658552 A CN1658552 A CN 1658552A
- Authority
- CN
- China
- Prior art keywords
- terminal
- security
- message
- soft switch
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000005540 biological transmission Effects 0.000 claims abstract description 71
- 230000006854 communication Effects 0.000 claims abstract description 50
- 238000004891 communication Methods 0.000 claims abstract description 49
- 230000008569 process Effects 0.000 claims abstract description 12
- 230000004044 response Effects 0.000 claims description 20
- 230000003993 interaction Effects 0.000 claims description 2
- 230000000977 initiatory effect Effects 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 2
- 230000011218 segmentation Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 101100236120 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) LSM1 gene Proteins 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种媒体流安全传输的实现方法,应用在包括软交换和终端的下一代网络NGN中,所述终端包括进行媒体流传输的发送端和接收端,其特征在于,包括:(1)发送端与接收端的呼叫建立过程中或呼叫建立后通过软交换进行安全协商,获得由软交换生成的通信密钥及由软交换指定的两终端都支持的安全参数;(2)发送端根据所述通信密钥及安全参数对媒体流报文进行加密或/和报文完整性保护,再发送至接收端;(3)接收端根据所述通信密钥及安全参数对收到的媒体流报文进行解密或/和报文鉴别,从而实现发送端到接收端的媒体流安全传输。并且通过设置终端应用层源标识完成对源报文的认证,解决媒体流穿越NAT后无法进行报文发送源进行认证的问题。
Description
技术领域
本发明涉及通信领域中媒体流的传输方法,尤其涉及实现NGN中媒体流安全传输的方法。
背景技术
NGN(Next Generation Network)为下一代网络的简称。它是一个建立在IP技术基础上的新型公共电信网络,即在统一的管理平台下,音频、视频等数字信号在因特网、移动通信网络、固定电话通信网络之间进行传输,真正实现宽带窄带一体化、有线无线一体化、有源无源一体化、传输接入一体化的综合业务网络。也就是说,NGN是目前通信领域的发展方向。
在因特网、移动通信网络、固定电话通信网络之间进行传输的音频、视频等数字信号统称为媒体流。那么,在媒体流传输过程中,如何确保媒体流的内容不被篡改、监听以及确保媒体流报文的合法性,直接影响到NGN网的网络安全,从而影响到NGN是否能得到大规模应用。
目前采用的一种媒体流安全传输的实现方法是先将媒体流传输的发送端和接收端之间的区域进行分段,然后分段传输媒体流。以图1公开的结构为例,发送端3和节点2连接,节点2连接软交换1,软交换1连接节点4,节点4同时连接节点2,节点4还连接接收端5,现在要将发送端3的媒体流发送至接收端5,采用上述方法需要经过如下步骤:首先,当发送端3和接收端5建立呼叫连接以后,软交换1进行媒体流传输线路分段,比如分成:发送端3至节点2为第一段、节点2至节点4为第二段、节点4至接收端5为第三段;
其次,需要给每一段的两端分配相应的媒体流加密密钥。也就是说,给第一段的两节点---发送端3和节点2分配第一媒体流加密密钥,给第二段的两节点---节点2和节点4分配第二媒体流加密密钥,给第三段的两节点---节点4和接收端5分配第三媒体流加密密钥;
然后,发送端3用第一媒体流加密密钥对媒体流加密后传输至节点2,节点2先用第一媒体流加密密钥解密后,再用第二媒体流加密密钥加密后发送至第二段的另一个节点,以此类推,后续段与段之间的节点先对媒体流进行解密,然后用下一段的新的密钥重新进行加密后再传输,直到接收端最后接收到该媒体流报文。
虽然上述媒体流在传输过程中设置若干密钥,并分段进行加密传输,但是,这种媒体流分段传输的方法仍存着很多缺陷:
第一,由于除了发送端3和接收端5外,其它的中间节点能对媒体流报文进行解密,而系统无法保证每一个中间节点的安全,从而降低了媒体流传输的安全系数。
第二,系统需要为每一段的两端分配相应的媒体流加密密钥,从而使得整个系统的密钥分配变得复杂,而且,除了整个媒体流的两端需要进行加密和解密处理外,段与段之间的节点也需要对媒体流进行先解密,然后用重新加密再传输,这样既为系统带来极大的性能负担,又降低了媒体流传输的速度,直接影响到语音等实时业务的服务质量。
第三,在实际的NGN网络组网中,涉及多次的地址转换等复杂的网络环境,而目前用于认证发送端身份的源认证是将发送端的IP头中的源地址信息作为认证内容,这样就存在媒体流穿越NAT(Netword Address Translation,网络地址转换)设备时因IP地址变换导致无法对报文发送源进行认证的问题。
发明内容
本发明要解决的技术问题是提出一种媒体流安全传输的实现方法,媒体流报文传输之前发送端和接收端通过软交换先进行媒体流传输的安全协商,并且该协商过程和发送端与接收端的呼叫建立过程相结合,以提高媒体流的安全系数,以及减少流程和提高传输速率。
为解决上述问题,本发明提供了一种媒体流安全传输的实现方法,应用在包括软交换和终端的下一代网络NGN中,所述终端包括进行媒体流传输的发送端和接收端,包括:(1)发送端与接收端的呼叫建立过程中或呼叫建立后通过软交换进行安全协商,获得由软交换生成的通信密钥及由软交换指定的两终端都支持的安全参数;(2)发送端根据所述通信密钥及安全参数对媒体流报文进行加密或/和报文完整性保护,再发送至接收端;(3)接收端根据所述通信密钥及安全参数对收到的媒体流报文进行解密或/和报文鉴别,从而实现发送端到接收端的媒体流安全传输。
当发送端与接收端的呼叫建立过程中进行安全协商时,所述步骤(1)进一步包括:(1-1)发送端将包含本端的安全参数列表的呼叫请求消息发送至软交换;(1-2)软交换收到呼叫请求消息后保存安全参数列表,并向接收端发送呼叫请求消息;(1-3)接收端将包含本端的安全参数列表的应答消息发送至软交换;(1-4)软交换根据收到的两端的安全参数列表,选择双方支持的安全参数,然后将包含所述安全参数和所述通信密钥的协商报文通过应答消息分发给发送端和接收端。
当所述发送端与接收端的呼叫建立后进行安全协商时,所述步骤(1)进一步包括:(1-1)发送端发送本端的安全参数列表至软交换;(1-2)接收端发送本端的安全参数列表至软交换;(1-3)软交换根据收到的两端的安全参数列表,选择双方支持的安全参数,然后将包含所述安全参数和所述通信密钥的协商报文通过应答消息分发给发送端和接收端。
其中,上述安全参数列表包含本端支持的安全能力参数及每种安全能力参数的优先级标识。
其中,上述安全参数列表还包含本端的应用层源标识,所述本端应用层源标识由本端动态随机生成。
其中,软交换发送给每一端的协商报文中包含对端的应用层源标识。
其中,该方法还包括:发送端将本端的应用层源标识放在媒体流报文内,计算报文鉴别码;接收端鉴别所述媒体流报文,将媒体流报文中的发送端应用层源标识和事先收到的所述协商报文中的发送端应用层源标识进行比较,如果相同,则完成媒体流报文源的认证。
其中,所述终端通过信令代理SP实现和软交换的通信。还有,步骤(1)之前包括:在终端注册过程中,下一代网络NGN的认证中心通过终端与信令代理的设备标识获得与终端的共享密钥kc以及与信令代理SP的共享密钥ksp,分配终端和信令代理SP之间进行报文交互的会话密钥,分别由共享密钥Kc和Ksp对会话密钥进行加密;认证中心将经过共享密钥Ksp加密的会话密钥通过软交换发送至信令代理SP;认证中心将经过共享密钥Kc加密的会话密钥通过软交换发送至终端。
其中,步骤(1)中软交换将协商报文分发给发送端和接收端的步骤进一步包括,所述软交换将所述协商报文发送至信令代理SP;信令代理SP利用所述会话密钥加密所述协商报文;发送端和接收端利用所述会话密钥解密所述协商报文。
当公用电话交换网的用户之间进行媒体流通信时,步骤(1)中所述的发送端和接收端分别为终端的中继网关。
当不同网络管理域的两端进行安全通信时,端对端的媒体流传输为发送端和位于网络边界IP-IP网关设备的媒体流传输步骤以及IP-IP网关设备和接收端的媒体流传输步骤。
与现有技术相比,本发明具有以下优点:
首先,由于本发明的发送端和接收端通过软交换进行安全协商,得到两终端都支持的安全参数,因此使得两终端能利用该安全参数完成对媒体流报文的加密和解密和/或报文鉴别,提高了媒体流传输的安全系数。还有,在终端和软交换进行直接通信或者终端通过信令代理SP和软交换进行通信时,通过认证中心预先分配会话密钥用于终端和软交换或者终端和信令代理SP的安全通信,保证了协商报文在网络上的安全传输,从而进一步提高了媒体流传输的安全系数。
其次,在两端的呼叫建立过程中延用媒体流编解码协商机制完成端对端媒体流的安全协商,通信密钥的分发和应用层源标识的交互,不仅节省了媒体流传输的过程,提高了通信效率,而且由于端与端的媒体流通信避免使用分段传输,所以降低了网络的性能负担,同时提高了媒体流传输的质量。
还有,由于终端种类的丰富性,不同厂家生产的终端支持的安全能力是不一样的,通过动态的安全协商大大的扩展了方案的适应性,适合于多种终端的接入。
最后,由于终端应用层源标识是由过终端动态随机生成的,因此避免由于穿越NAT后使得IP地址发生变化从而导致无法对IP原地址进行认证的问题。
附图说明
图1是现有媒体流进行传输的一种结构图。
图2是媒体流进行传输的一种结构图。
图3是媒体流安全传输的实现流程图。
图4是基于SIP协议(Session Initial Protocol会话初始协议)的呼叫建立流程图。
具体实施方式
在NGN网络中,媒体流在通信网络中进行端对端的传输。其中,通信网络包括因特网、移动通信网络、固定电话通信网络。因此,发送端和接收端可以位于同一个通信网络域中,如发送端和接收端同是因特网的用户,也可以位于不同的通信网络域中。以下,首先介绍发送端和接收端位于同一个通信网络域中进行媒体流传输的方法。
请参照图2,发送端ClientA7和接收端ClientB8是因特网或移动通信网络的用户。ClientA7连接SPA6(Signal Proxy,信令代理),SPA6连接核心网络设备SoftX(SoftSwith,软交换)1,ClientB8直接连接软交换1。从安全的角度,ClientA7和SPA6连接,可以对外界终端隐藏核心网络设备如软交换1,以及控制媒体流不允许非法流量进入网络,实现保护网络设备安全的目的。
整个网络环境中划分成若干信任区和非信任区。即,运营商在信任区进行通信是安全,不存在如数据被篡改等安全问题,同理,运营商在非信任区进行通信是不安全的,存在很多安全问题,需要提供各种安全服务,如加密、认证等保证通信的安全。SP以上的网络设备之间的通信可以认为是安全的,即运营商可以通过在系统组网上保证这些网络设备,如软交换、中继网关、SP等,处于一个信任区内,这些网络设备之间的通信是安全的,图中虚框内的网络设备处于信任区。软交换1与SPA6之间的通信是安全的。
以下介绍ClientA7和ClientB8呼叫建立以后,如何将ClientA7上的媒体流安全发送至ClientB8上的步骤(请参照图3)。
首先,在发送端和接收端之间进行安全协商步骤(步骤S1),包括:ClientA7将ClientA7所支持的安全参数列表发送至软交换1(步骤S11)和ClientB8将ClientB8所支持的安全参数列表发送至软交换1(步骤S12);所述安全参数列表包括本端支持的安全能力参数及每种安全能力参数的优先级标识。其次,软交换根据所述两端的安全能力参数,选择两端都支持的安全能力参数,并考虑此次媒体流传输的安全需要,根据两端都支持的安全能力参数的优先级,确定用于这次媒体流传输的安全参数和分配通信密钥,最后,将包含安全参数和通信密钥的协商报文分别发送给ClientA7和ClientB8(步骤S13);
然后,ClientA7收到协商报文后加密或/和报文鉴别媒体流报文,并发送至ClientB8(步骤S2);
最后,ClientB8收到协商报文后解密或/和报文鉴别媒体流报文,从而完成媒体流报文的传输(步骤S3)。
在步骤S1中,媒体流报文安全协商过程还可以和媒体流的安全密钥分配过程相结合,并且安全协商过程和密钥分配过程都可以在ClientA7和ClientB8的呼叫建立过程内完成。请参阅图4,本实施例以SIP协议的呼叫流程为例,具体说明在呼叫建立过程如何完成安全能力的协商、密钥的分配和终端应用层源标识的互换。
S101:ClientA7向SPA6发送呼叫请求消息Invite,呼叫请求消息是以SDP报文(Session Description Protocol会话描述协议)的形式发送出去的,其中SDP报文至少包含如下信息:
ClientA SPA:IDClientA||IDsp||IDClientB||N1||TS1||Security Parameter list
-IDClientA:标识ClientA
-IDsp:标识SPA
-IDClientB标识ClientB
-N1:随机数或序列号,用于标识本次报文,返回的响应报文中需包含此数,用于防止报文重放;
-TS1:让SPA验证ClientAUMD的时钟是SP A的时钟是同步的;
-Security Parameter list:其中包括本端的安全参数列表,安全参数列表包括本端的安全能力参数,如所支持的算法,以及优先级列表,优先级列表中包含每一种安全能力参数的优先级标识,在本实施例中,本端的应用层源标识也作为Security Parameter list的安全参数之一,应用层源标识可以由clientA动态随机生成。目前的源认证是将IP头中的源地址信息作为认证内容,但由于穿越NAT后,IP地址发生变化,从而导致无法对IP源地址进行认证,进而无法确认报文发送端的身份。因此本发明没有采用IP地址作为发送端应用层源标识,而是将产生的随机数作为发送端应用层源标识。
在步骤S1之前,系统可以给ClientA7和SPA6分配相应的加密密钥和认证密钥,ClientA采用加密密钥对安全参数列表信息进行加密和采用认证密钥对SDP报文进行完整性及源保护。很显然,SPA6采用相应的密钥获得来自于ClientA7的SDP报文。
由于ClientA 7和SPA6之间的通信是处于非信任区,因此SPA6发送包含由软交换1分配的加密密钥和认证密钥的报文至ClientA7时,存在被第三方非法盗取和篡改报文的可能,因此为了提高ClientA7和SPA6之间传输的安全性,本发明采用以下的方法进行用于ClientA7和SPA6报文传输的密钥分配方法。
在ClientA7注册时,NGN网的认证中心AuC通过ClientA7和SPA6的设备标识先获得与ClientA7的共享密钥kc以及与SPA6的共享密钥ksp,同时分配ClientA7和SPA6之间的会话密钥Kc,sp,并且由共享密钥Kc和Ksp分别对会话密钥Kc,sp进行加密,其次通过软交换1将经过密钥Kc加密的会话密钥Kc,sp发送至ClientA7,以及将经过密钥Ksp加密的会话密钥Kc,sp发送至SPA6,最后,ClientA7和SPA6由各自共享密钥解密得到该会话密钥Kc,sp,并利用该会话密钥Kc,sp导出加密密钥和认证密钥,用于通信过程中ClientA7和SPA6之间进行通信报文的加密和认证,从而确保ClientA7和SPA6之间的通信安全,进一步提高整个通信网的通信安全。因此在步骤S101中,发送端安全参数列表采用会话密钥Kc,sp导出的加密密钥进行加密,和/或会话密钥Kc,sp导出的认证密钥对整个SDP报文进行完整性及源保护后发送至SPA6。
S102:SPA6收到SDP报文,将SDP报文中的发送端安全参数列表进行解密和/或报文鉴别后,再向软交换1发送Invite报文,该Invite报文除了包含标识ClientA、标识SPA、标识ClientB以外,至少还包含发送端安全参数列表。
S103:软交换1收到Invite报文从中将发送端安全参数列表并保存,同时向ClientB8发起呼叫请求消息Invite,该消息用于请求ClientB8发送接收端安全参数列表至软交换1;
S104:ClientB8向软交换1回发180(振铃)应答消息,该应答消息的SDP报文中包含ClientB8的接收端安全参数列表。接收端安全参数列表包括ClientB8的安全能力参数、每一种安全能力参数的优先级和本端的应用层源标识。应用层源标识可以由ClientB动态随机生成。软交换1同时保存clientB的安全参数列表。
S105:软交换1向SPA6回发180(振铃)应答消息;
S106:SPA6向ClientA7回发180(振铃)应答消息,该应答消息经过会话密钥Kc,sp导出的认证密钥进行认证保护后发送至ClientA7;
S107:ClientB8向软交换1回发200(OK)应答消息,该应答消息的SDP报文中包含ClientB8的接收端安全参数列表,软交换1同时更新clientB8的接收端安全参数列表,同时软交换1根据ClientA7、ClientB8的安全参数列表首先确定ClientA7、ClientB8都支持的安全能力参数,如ClientA7、ClientB8都支持的算法,如果ClientA7、ClientB8仅有一个共同支持的算法,则该算法即为媒体流传输所采用的算法,如果ClientA7、ClientB8有若干个共同支持的算法,则软交换根据媒体流传输的安全需要,根据每一种安全能力的优先级,确定其中的一个算法为此次媒体流传输的算法,也就是说,软交换根据收到的发送端安全能力参数和接收端安全能力参数以及此次媒体流传输的安全需要,确定合适的安全参数,并且分配密钥。
S108:软交换1向SPA6回发200(OK)应答消息,同时应答消息的SDP报文中包含软交换1确定的安全参数和分配的密钥,以及ClientB8的接收端应用层源标识。
S109:SPA7向ClientA8回发200(OK)应答消息,同时应答消息的SDP报文中携带软交换1确定的安全参数和分配的密钥,以及ClientB8的应用层源标识,媒体流安全参数将被会话密钥Kc,sp导出的加密密钥加密,和/或整个SDP报文由Kc,sp导出的认证密钥进行保护。
S110:软交换1向SPB8回发ACK确认应答消息,应答报文中携带软交换确定的媒体流安全参数、密钥以及ClientA的发送端媒体流应用层源标识。
S111:ClientA7了与ClientB8进行通信的媒体流的安全参数、加密或认证密钥及ClientB的应用层源标识后,向SPA6回发ACK确认应答。
S112:SPA6向软交换回发ACK确认应答消息,整个呼叫过程建立。
同时,在呼叫建立过程完成了发送端ClientA7和接收端ClientB8的媒体流传输的安全能力协商,也完成了密钥的分配以及应用层源标识的交互。
当ClientA7收到包含有ClientB8进行通信的媒体流的安全参数、通信密钥及ClientB的应用层源标识的SDP报文时,从中取出安全参数、通信密钥和应用层源标识并保存,将要发送的媒体流经通信密钥和安全参数中的算法进行加密或/和报文完整性保护,并组成媒体流报文。本发明的报文格式参考了IETF RFC3329 Securtiy RTP的RTP报文格式(请参照表1)。
表1 RTP的报文格式
| ... |
| 时间表 |
| SSRC域同步应用层源标识 |
| CSRC域有用应用层源标识... |
| RTP扩展 |
| 有效数据.... |
| SRTP MKI(可选) |
| 鉴别标签(共同) |
将媒体流信息放在有效数据这一部分,而将ClientA的发送端应用层源标识放在媒体流报文中,如放入表1RTP格式中的SSRC域同步应用层源标识以及CSRC域有用应用层源标识。本发明采用报文鉴别的方法是使用报文鉴别码MAC(Message Authentication Code)。用得到的通信密钥、算法,媒体流报文和发送端应用层源标识一起计算出报文鉴别码MAC=F(K,M),F是算法中的一函数,K为通信密钥,M为媒体流报文和发送端应用层源标识。该报文鉴别码追加在媒体流报文的后面,和媒体流报文一起从发送端ClientA 7发送至ClientB8。
当ClientB8收到媒体流报文时,使用同样的通信密钥,再计算一次报文鉴别码,并与收到的报文鉴别码相比较,如一致,则鉴别此报文是真的,没有被篡改。然后,将媒体流中A的发送端应用层源标识和事先收到的发送端应用层源标识相比较,如果一致,则完成对媒体流报文源的认证
端到端的媒体流通信是双向的。当client B发送媒体流报文至clientA时,Client B为发送端,而client A为接收端。同样,发送端将本端的应用层源标识放在媒体流报文内,计算报文鉴别码;接收端鉴别述媒体流报文,将媒体流报文中的发送端应用层源标识和事先收到的所述协商报文中的发送端应用层源标识进行比较,如果相同,则完成媒体流报文源的认证。
以上公开的实施例中,ClientA7是通过SPA6和软交换1进行通信。但是,ClientA7也可以和软交换直接通信。为了达到ClientA7和软交换1在进行通信时的安全,可以通过认证中心事先给ClientA7和软交换1分配通信密钥。具体步骤如下:
首先,在ClientA7进行注册时,下一代网络的认证中心获得与ClientA7的共享密钥kc以及与软交换1的共享密钥ks,分配ClientA7和软交换1之间的会话密钥,分别由共享密钥Kc和Ks对会话密钥进行加密;
其次,认证中心将经过共享密钥Ks加密的会话密钥发送至软交换1;
最后,认证中心将经过共享密钥Kc加密的会话密钥通过软交换发送至ClientA7。
当ClientB8通过SP8与软交换1通信时,ClientB8与SPB的信令交互报文也需要经过认证中心分配的会话密钥Kc,sp导出的认证密钥进行保护,媒体流加密密钥、认证密钥和应用层源标识同时采用会话密钥Kc,sp导出的加密密钥进行加密。
同样,对于H.323、MGCP(Media Gateway Control Protocol,媒体流网关控制协议)以及H.248协议以及不同协议之间的呼叫,上述媒体流端到端的安全协商机制同样适用。分别为基于H.323协议、MGCP以及H.248协议的呼叫建立流程。由于上述流程步骤与总体思路与基于SIP协议的呼叫建立过程一致,只是流程中的消息分别是H.323协议消息、MGCP协议消息以及H.248协议消息。在此不在赘述。
当ClientB为PSTN用户时,则媒体流安全保护将终结在中继网关,即安全能力为中继网关的安全能力,分配的密钥及安全服务也将在ClientA和与ClientB相连的中继网关之间完成;
当Client A和Client B位于下一代网络的不同网络运营商时,因为不同运营商的安全策略可能是不一样的,ClientA和Client B具有不同的安全能力,此时端对端的安全协商可分解为ClientA和本网络运营商的IP-IP网关设备的安全协商和其它网络运营商的IP-IP网关设备和Client B的安全协商两部分。
以上公开的仅为本发明的具体实施例,但本发明并非局限于此,任何本领域的技术人员在本发明的基础上能思之的技术变化,都应落在本发明的保护范围。
Claims (12)
1、一种媒体流安全传输的实现方法,应用在包括软交换和终端的下一代网络NGN中,所述终端包括进行媒体流传输的发送端和接收端,其特征在于,包括:
(1)发送端与接收端的呼叫建立过程中或呼叫建立后通过软交换进行安全协商,获得由软交换生成的通信密钥及由软交换指定的两终端都支持的安全参数;
(2)发送端根据所述通信密钥及安全参数对媒体流报文进行加密或/和报文完整性保护,再发送至接收端;
(3)接收端根据所述通信密钥及安全参数对收到的媒体流报文进行解密或/和报文鉴别,从而实现发送端到接收端的媒体流安全传输。
2、如权利要求1所述的媒体流安全传输的实现方法,其特征在于,当发送端与接收端的呼叫建立过程中进行安全协商时,所述步骤(1)进一步包括:
(1-1)发送端将包含本端的安全参数列表的呼叫请求消息发送至软交换;
(1-2)软交换收到呼叫请求消息后保存安全参数列表,并向接收端发送呼叫请求消息;
(1-3)接收端将包含本端的安全参数列表的应答消息发送至软交换;
(1-4)软交换根据收到的两端的安全参数列表,选择双方支持的安全参数,然后将包含所述安全参数和所述通信密钥的协商报文通过应答消息分发给发送端和接收端。
3、如权利要求1所述的媒体体流安全传输的实现方法,其特征在于,当所述发送端与接收端的呼叫建立后进行安全协商时,所述步骤(1)进一步包括:
(1-1)发送端发送本端的安全参数列表至软交换;
(1-2)接收端发送本端的安全参数列表至软交换;
(1-3)软交换根据收到的两端的安全参数列表,选择双方支持的安全参数,然后将包含所述安全参数和所述通信密钥的协商报文分发给发送端和接收端。
4、如权利要求2或3所述的媒体流安全传输的实现方法,其特征在于,所述安全参数列表包含本端支持的安全能力参数及每种安全能力参数的优先级标识。
5、如权利要求2或3所述的媒体流安全传输的实现方法,其特征在于,所述安全参数列表还包含本端的应用层源标识,所述本端应用层源标识由本端动态随机生成。
6、如权利要求5所述的媒体流安全传输的实现方法,其特征在于,软交换发送给每一端的协商报文中包含对端的应用层源标识。
7、如权利要求6所述的媒体流安全传输的实现方法,其特征在于,还包括:
发送端将本端的应用层源标识放在媒体流报文内,计算报文鉴别码;
接收端鉴别所述媒体流报文,将媒体流报文中的发送端应用层源标识和事先收到的所述协商报文中的发送端应用层源标识进行比较,如果相同,则完成媒体流报文源的认证。
8、如权利要求2或3所述的媒体流安全传输的实现方法,其特征在于,所述终端通过信令代理SP实现和软交换的通信。
9、如权利要求8所述的媒体流安全传输的实现方法,其特征在于,步骤(1)之前包括:
在终端注册过程中,下一代网络NGN的认证中心通过终端与信令代理的设备标识获得与终端的共享密钥kc以及与信令代理SP的共享密钥ksp,分配终端和信令代理SP之间进行报文交互的会话密钥,分别由共享密钥Kc和Ksp对会话密钥进行加密;
认证中心将经过共享密钥Ksp加密的会话密钥通过软交换发送至信令代理SP;
认证中心将经过共享密钥Kc加密的会话密钥通过软交换发送至终端。
10、如权利要求9所述的媒体流安全传输的实现方法,其特征在于,步骤(1)中软交换将协商报文分发给发送端和接收端进一步包括,
所述软交换将所述协商报文发送至信令代理SP;
信令代理SP利用所述会话密钥加密所述协商报文;
发送端和接收端利用所述会话密钥解密所述协商报文。
11、如权利要求1所述的媒体流安全传输的实现方法,其特征在于,当公用电话交换网的用户之间进行媒体流通信时,步骤(1)中所述的发送端和接收端分别为终端的中继网关。
12、如权利要求2或3所述的媒体流安全传输的实现方法,其特征在于,当不同网络管理域的两端进行安全通信时,端对端的媒体流传输为发送端和位于网络边界IP-IP网关设备的媒体流传输步骤以及IP-IP网关设备和接收端的媒体流传输步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100043802A CN100571133C (zh) | 2004-02-17 | 2004-02-17 | 媒体流安全传输的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100043802A CN100571133C (zh) | 2004-02-17 | 2004-02-17 | 媒体流安全传输的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1658552A true CN1658552A (zh) | 2005-08-24 |
| CN100571133C CN100571133C (zh) | 2009-12-16 |
Family
ID=35007827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100043802A Expired - Lifetime CN100571133C (zh) | 2004-02-17 | 2004-02-17 | 媒体流安全传输的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100571133C (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007036112A1 (fr) * | 2005-09-28 | 2007-04-05 | Huawei Technologies Co., Ltd. | Procede d’amelioration de la securite du transfert interne de contenu |
| WO2007048301A1 (fr) * | 2005-10-24 | 2007-05-03 | Huawei Technologies Co., Ltd. | Procede de cryptage pour service mgn |
| WO2008089694A1 (fr) * | 2007-01-19 | 2008-07-31 | Huawei Technologies Co., Ltd. | Procédé, système et équipement d'obtention de clé de protection de flux multimédia dans un réseau ims |
| WO2009094814A1 (fr) * | 2008-01-25 | 2009-08-06 | Zte Corporation | Procédé de génération de paramètres de sécurité pour sécuriser un flux multimédia et appareil associé |
| WO2009094813A1 (fr) * | 2008-01-23 | 2009-08-06 | Zte Corporation | Procédé et appareil de négociation de paramètres de sécurité pour sécuriser le flux multimédia |
| WO2009155863A1 (zh) * | 2008-06-24 | 2009-12-30 | 中兴通讯股份有限公司 | 下一代网络中支持移动性安全的方法与系统 |
| CN1983921B (zh) * | 2005-12-16 | 2010-05-05 | 华为技术有限公司 | 一种端到端媒体流安全的实现方法及系统 |
| CN101192919B (zh) * | 2006-11-21 | 2010-09-08 | 中兴通讯股份有限公司 | 实现用户自定义安全等级的方法 |
| CN101282250B (zh) * | 2008-05-12 | 2011-02-09 | 华为终端有限公司 | 监听安全会话的方法、系统及网络设备 |
| CN101102185B (zh) * | 2006-07-06 | 2012-03-21 | 朗迅科技公司 | Ims会话的媒体安全 |
| CN103916849A (zh) * | 2012-12-31 | 2014-07-09 | 上海贝尔股份有限公司 | 用于无线局域网通信的方法和设备 |
| CN103974241A (zh) * | 2013-02-05 | 2014-08-06 | 东南大学常州研究院 | 一种面向Android系统移动终端的语音端到端加密方法 |
| CN113206841A (zh) * | 2021-04-26 | 2021-08-03 | 杭州当虹科技股份有限公司 | 基于hls协议的aes解密代理方法及系统 |
| CN114499913A (zh) * | 2020-10-26 | 2022-05-13 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
-
2004
- 2004-02-17 CN CNB2004100043802A patent/CN100571133C/zh not_active Expired - Lifetime
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007036112A1 (fr) * | 2005-09-28 | 2007-04-05 | Huawei Technologies Co., Ltd. | Procede d’amelioration de la securite du transfert interne de contenu |
| WO2007048301A1 (fr) * | 2005-10-24 | 2007-05-03 | Huawei Technologies Co., Ltd. | Procede de cryptage pour service mgn |
| CN1983921B (zh) * | 2005-12-16 | 2010-05-05 | 华为技术有限公司 | 一种端到端媒体流安全的实现方法及系统 |
| CN101102185B (zh) * | 2006-07-06 | 2012-03-21 | 朗迅科技公司 | Ims会话的媒体安全 |
| CN101192919B (zh) * | 2006-11-21 | 2010-09-08 | 中兴通讯股份有限公司 | 实现用户自定义安全等级的方法 |
| WO2008089694A1 (fr) * | 2007-01-19 | 2008-07-31 | Huawei Technologies Co., Ltd. | Procédé, système et équipement d'obtention de clé de protection de flux multimédia dans un réseau ims |
| WO2009094813A1 (fr) * | 2008-01-23 | 2009-08-06 | Zte Corporation | Procédé et appareil de négociation de paramètres de sécurité pour sécuriser le flux multimédia |
| WO2009094814A1 (fr) * | 2008-01-25 | 2009-08-06 | Zte Corporation | Procédé de génération de paramètres de sécurité pour sécuriser un flux multimédia et appareil associé |
| CN101282250B (zh) * | 2008-05-12 | 2011-02-09 | 华为终端有限公司 | 监听安全会话的方法、系统及网络设备 |
| WO2009155863A1 (zh) * | 2008-06-24 | 2009-12-30 | 中兴通讯股份有限公司 | 下一代网络中支持移动性安全的方法与系统 |
| US8561150B2 (en) | 2008-06-24 | 2013-10-15 | Zte Corporation | Method and system for supporting mobility security in the next generation network |
| CN103916849A (zh) * | 2012-12-31 | 2014-07-09 | 上海贝尔股份有限公司 | 用于无线局域网通信的方法和设备 |
| CN103916849B (zh) * | 2012-12-31 | 2018-08-24 | 上海诺基亚贝尔股份有限公司 | 用于无线局域网通信的方法和设备 |
| CN103974241A (zh) * | 2013-02-05 | 2014-08-06 | 东南大学常州研究院 | 一种面向Android系统移动终端的语音端到端加密方法 |
| CN103974241B (zh) * | 2013-02-05 | 2018-01-16 | 东南大学常州研究院 | 一种面向Android系统移动终端的语音端到端加密方法 |
| CN114499913A (zh) * | 2020-10-26 | 2022-05-13 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
| CN114499913B (zh) * | 2020-10-26 | 2022-12-06 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
| CN113206841A (zh) * | 2021-04-26 | 2021-08-03 | 杭州当虹科技股份有限公司 | 基于hls协议的aes解密代理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100571133C (zh) | 2009-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9537837B2 (en) | Method for ensuring media stream security in IP multimedia sub-system | |
| JP5597676B2 (ja) | 鍵マテリアルの交換 | |
| EP1717986B1 (en) | Key distribution method | |
| CN100341290C (zh) | 无线局域网中用于快速切换的验证方法 | |
| CA2486690A1 (en) | Association of security parameters for a collection of related streaming protocols | |
| JPH08504073A (ja) | ポイント・ツー・ポイント通信のキー管理方法 | |
| KR20050072789A (ko) | 무선 근거리 통신망으로 이동 단자의 보안 접근 방법 및무선 링크를 통한 보안 데이터 통신 방법 | |
| JP2010504671A (ja) | ネットワークでのユニキャスト鍵の管理方法およびマルチキャスト鍵の管理方法 | |
| CN101379802B (zh) | 在媒体服务器和用户设备之间以加密方式传输媒体数据的方法和装置 | |
| CN104683304A (zh) | 一种保密通信业务的处理方法、设备和系统 | |
| KR20100107033A (ko) | 암호화된 트래픽의 합법적 인터셉트를 가능하게 하는 방법 및 장치 | |
| CN102281261A (zh) | 一种数据传输方法、系统和装置 | |
| CN100571133C (zh) | 媒体流安全传输的实现方法 | |
| CN102202299A (zh) | 一种基于3g/b3g的端到端语音加密系统的实现方法 | |
| CN101420686A (zh) | 基于密钥的工业无线网络安全通信实现方法 | |
| CN1523808A (zh) | 接入虚拟专用网(vpn)的数据加密方法 | |
| CN1956443A (zh) | 一种ngn业务的加密方法 | |
| CN1889767A (zh) | 实现媒体流安全的方法及通信系统 | |
| WO2012024905A1 (zh) | 一种移动通讯网中数据加解密方法、终端和ggsn | |
| CN1881869A (zh) | 一种实现加密通信的方法 | |
| CN1138367C (zh) | 用于网络区域节点间安全通信的安全联盟产生方法 | |
| CN1671097A (zh) | 一种端到端无线加密通讯的方法及系统 | |
| CN101222324B (zh) | 用于端到端的媒体流安全的实现方法和装置 | |
| CN100382484C (zh) | 一种直接路由模式下跨关守管理范围的会话密钥分配方法 | |
| JP2008066882A (ja) | 暗号鍵配信装置および暗号鍵配信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20091216 |