CN1722657B - 网络系统、数据中继装置、会话及包监视中继装置 - Google Patents
网络系统、数据中继装置、会话及包监视中继装置 Download PDFInfo
- Publication number
- CN1722657B CN1722657B CN2004100748184A CN200410074818A CN1722657B CN 1722657 B CN1722657 B CN 1722657B CN 2004100748184 A CN2004100748184 A CN 2004100748184A CN 200410074818 A CN200410074818 A CN 200410074818A CN 1722657 B CN1722657 B CN 1722657B
- Authority
- CN
- China
- Prior art keywords
- mentioned
- terminal
- enciphered message
- control data
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 15
- 238000004891 communication Methods 0.000 claims abstract description 79
- 238000012217 deletion Methods 0.000 claims description 8
- 230000037430 deletion Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 7
- 230000037361 pathway Effects 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 3
- 230000011664 signaling Effects 0.000 abstract description 27
- 238000012544 monitoring process Methods 0.000 abstract description 22
- 238000012806 monitoring device Methods 0.000 abstract 2
- 238000000034 method Methods 0.000 description 18
- 230000004044 response Effects 0.000 description 12
- 230000015572 biosynthetic process Effects 0.000 description 10
- 238000000605 extraction Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000002360 preparation method Methods 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 150000003839 salts Chemical class 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种网络系统、数据中继装置、会话及包监视中继装置。可提供一种不需要对通信内容进行加密防止向特定通信区间进行发送的会话中继系统。另外,可以提供即使是在终端和终端之间进行加密通信的场合,也可以在网络上对通信内容进行监视和记录的会话监视系统。作为解决第一个课题的单元,信令中继装置具有对信令消息追加或删除加密信息的单元和将加密信息通知数据中继装置的单元。数据中继装置具有根据由信令中继装置所通知的加密信息进行数据的加密及译码(脱密)的单元。作为解决第二个课题的单元,信令中继装置具有将包含于信令中的加密信息通知给监视装置或记录装置的功能。监视装置或记录装置,具有根据由信令中继装置所通知的加密信息进行数据的译码(脱密)的单元。
Description
技术领域
本发明涉及信令(控制数据)中继装置和数据(用户数据)中继装置相配合进行加密处理的会话中继系统。
背景技术
近年来IP电话正在普及到企业及一般家庭等种种地方,从保护用户的隐私及防止信息泄漏的目的考虑,对通信内容进行加密已成为重要的的技术课题。
在对通信内容进行加密时,一般按照如下步骤进行:
(1)进行加密处理必需的参数(下面称其为加密信息)的交换及对于对方的鉴别(身份认证)
(2)根据在(1)中交换的内容将包加密
但在IP电话等之中正在设计在信令上进行(1)的步骤的方式。比如,在信令中使用由RFC3261规定的SIP(会话初始化协议)时,将由RFC2327规定的SDP(会话描述协议)记载的加密信号包含于信令中进行交换。这一方式,由非专利文献1(IETF RFC 327,“Session Description Protocol”,1998,Apr.,p.17-28)、非专利文献2(IETF Draft“Session Description Security Descriptions or Media Streams”,2003,Oct.,http://www.ietf.org/internet-drafts/draft-ietf-mmusic-sdescriptions-02.txt)、非专利文献3(IETF Draft“Key Management Extensions for Session on Protocol(SDP)and Real Time Streaming Protocol(RSTP)”,2003,Oct.,http://www.ietf.org/internet-drafts/draft-ietf-mmusic-kmgmt-ext--09.txt)等进行标准化。
另外,在对数据传输使用由RFC3550规定的RTP时,将(2)的步骤规定为SRTP(安全RTP)及IPsec等的协议(SRTP参照非专利文献4(IETF Draft“The Secure Real Time Transport Protocol(RSTP)”,2003,Oct.,http://www.ietf.org/internet-drafts/draft-ietf-mmusic-avt-srtp-09.txt),IPsec参照非专利文献5(IETF RFC 2401,“Security Architechturefor the Internet Protocol”,1998,Apr.))。SRTP是在应用层作为RTP的一种功能进行加密的方式,IPsec是在与IP相同的网络层中进行加密的方式。
在现有的系统中,终端设定包含于信令中的加密信息。如同专利文献1(日本专利特开2003-174466号公报)、专利文献2(日本专利特开2003-46646号公报)等那样,在信令中继装置和数据中继装置配合进行通信协议的变换及通信内容的监视的情况下,其他的会话信息(数据通信用的IP地址、端口号等等)由中间的中继装置改写,在这种系统中也由终端设定加密信息并在终端和终端间交换。
发明内容
在现有的系统中,在终端的加密能力不一致时,不能进行加密通信。
另外,在现有的系统中,在网络侧不能进行对终端和终端间的通信内容的监视及记录。
为解决第一个课题,信令中继装置具有对信令消息追加或删除加密信息的单元和将加密信息通知数据中继装置的单元。数据中继装置具有根据由信令中继装置所通知的加密信息进行数据的加密及译码(脱密)的单元。
为解决第二个课题,信令中继装置具有将包含于信令中的加密信息通知监视装置或记录装置的功能。监视装置或记录装置,具有根据由信令中继装置所通知的加密信息进行数据的译码(脱密)的单元。
可提供在现有技术中是不可能的可进行灵活的加密通信的系统。
另外,本发明的网络系统,是一种备有经过网络与不具有加密功能的第一终端和具有加密功能的第二终端相连接的控制数据中继装置及用户数据中继装置的网络系统,其特征在于:上述控制数据中继装置向从上述第一终端接收的第一控制数据添加第一加密信息,然后将具有第一加密信息的第一控制数据传输到上述第二终端,上述控制数据中继装置在从上述第二终端接收到的第二控制数据中提取第二加密信息,从上述第二控制数据中删除上述第二加密信息,然后将没有第二加密信息的第二控制数据传输给上述第一终端,上述控制数据中继装置基于上述第一加密信息和上述第二加密信息生成第三加密信息,并且向上述用户数据中继装置通知该第三加密信息,上述用户数据中继装置根据上述第三加密信息,对从上述第一终端向上述第二终端发送的用户数据进行加密,对从上述第二终端向上述第一终端发送的用户数据进行译码。
另外,本发明的网络系统,是一种备有经由网络与不具有加密功能的第一终端和具有加密功能的第二终端相连接的控制数据中继装置及用户数据中继装置的网络系统,其特征在于:上述控制数据中继装置包括:接收部,接收从上述第一终端向上述第二终端发送的第一控制数据以及从上述第二终端向上述第一终端发送的第二控制数据;数据处理部,向从上述第一终端接收到的第一控制数据添加第一加密信息,从自上述第二终端接收到的上述第二控制数据中提取第二加密信息,从上述第二控制数据中删除上述第二加密信息,基于上述第一加密信息和上述第二加密信息生成第三加密信息;发送部,用于向上述第二终端发送具有上述第一加密信息的第一控制数据,向上述第一终端发送不具有上述第二加密信息的第二控制数据;以及通知部,用于向上述用户数据中继装置通知上述第三加密信息,其中,上述用户数据中继装置包括加密部,该加密部用于根据上述第三加密信息,对从上述第一终端向上述第二终端发送的用户数据进行加密,对从上述第二终端向上述第一终端发送的用户数据进行译码。
另外,本发明的控制数据中继装置,与不具有加密功能的第一终端、具有加密功能的第二终端以及在上述第一终端和上述第二终端之间传输用户数据的用户数据中继装置连接,上述控制数据中继装置的特征在于:上述控制数据中继装置将第一加密信息添加到从上述第一终端接收到的第一控制数据,然后向上述第二终端发送具有第一加密信息的第一控制数据,上述控制数据中继装置从自上述第二终端接收到的上述第二控制数据中提取第二加密信息,从上述第二控制数据中删除上述第二加密信息,然后向上述第一终端发送没有上述第二加密信息的第二控制数据,上述控制数据中继装置基于上述第一加密信息和上述第二加密信息生成第三加密信息,并向上述用户数据中继装置通知该第三加密信息,上述用户数据中继装置根据上述第三加密信息,对从上述第一终端向上述第二终端发送的用户数据进行加密,对从上述第二终端向上述第一终端发送的用户数据进行译码。
附图说明
图1为实施例1的第一网络构成图。
图2为实施例1的顺序例1。
图3为包含加密信息的SIP INVITE消息例。
图4为会话中继装置3的功能框图。
图5为会话中继装置3具有的表的构成例。
图6为实施例1的顺序例2。
图7为SIP中继装置13的功能框图。
图8为数据中继装置16的功能框图。
图9为实施例1的第二网络构成图。
图10为实施例1的第三网络构成图。
图11为实施例1的顺序例3。
图12为实施例2的网络构成例。
图13为实施例2的通信顺序图1。
图14为实施例2的SIP中继装置的功能框图。
图15为实施例2的监视装置的功能框图。
图16为实施例2的通信顺序图2。
图17为会话中继装置3的处理程序。
图18为实施例2的SIP中继装置及监视装置的处理程序。
具体实施方式
下面参照附图对于本发明的实施例予以说明。
在实施例中记述的是信令协议使用SIP,对数据的传输使用RTP,而对于数据的加密使用SRTP的示例。
[实施例1]
在现有的系统中,为了在终端和终端间交换加密信息,在终端的加密能力不一致时,不能进行加密通信。而代之以保持明文原样进行通信或禁止进行通信,在明文原样地进行通信时,比如,在一方的终端与企业的网络相连接,另一方的终端与因特网相连接的情况下,存在企业的机密信息会泄漏给因特网上的第三者的危险。
于是,在实施例1中示出解决上述课题的发明的示例。
图1为用来解决第一课题的通信系统的第一网络构成例的示图。此构成,比如,可以应用于IP电话服务业者对企业经由IP网提供PBX的功能的IP集中式小交换机业务等等。
图1(a)是将信令中继装置和数据中继装置安装于同一框体中的示例。另外,图1(b)是将这些装置分别安装于不同框体中的示例。下面,在先对图1(a)示出顺序例及装置构成之后,对图1(b)进行说明。
图1(a)所示的通信系统,构筑于数据通信网1及数据通信网2之上。在数据通信网1和数据通信网2的边界上设置有利用本专利发明的会话中继装置3。此会话中继装置3,具有信令中继功能和数据中继功能两者。另外,在数据通信网2中设置SIP服务器4,还容纳有数据通信网1的终端5和数据通信网2的终端6。另外,在本实施例中,假设数据通信网1是企业网,数据通信网2是ISP等的IP电话网,假定数据通信网1的终端不具有加密能力,而数据通信网2的终端具有加密能力。
下面利用图2的顺序例对会话中继装置3的动作予以说明。首先,终端5发送通话开始请求(INVITE)(21)。由于终端5不具有加密功能,此通话开始请求不包含加密信息。会话中继装置3,如果接收到发自终端的通话开始请求,就追加第一加密信息并传输到终端6(22)。终端6,在完成通话准备时,就返回包含第二加密信息的成功回应(200OK)并开始数据的收发(23)。会话中继装置3,从接收到的来自终端6的成功回应中删除第二加密信息并传输到终端5(24)。终端5,在接收到对INVITE的成功回应时,返送ACK,开始数据的收发(25)。会话中继装置3,以将ACK通过中继发送给终端6为契机(26),开始数据的中继处理(27、28)。此时,会话中继装置3和终端6之间的数据通信按照第一和第二加密信息决定的方式进行加密。在通信切断时,终端6经由会话中继装置3发送通信结束请求(BYE),结束数据通信(29、30)。终端5,在返送对此的成功回应之后,结束数据通信(31、32)。会话中继装置3,在29~32的切断处理之后,结束数据的中继处理。
图3为包含加密信息的通话开始请求的SIP包格式的示例。SIP包由IP标题部(501)、UDP标题部(502)和SIP消息部(503)构成,SIP消息部(503)还可分解为SIP开始行(504)、SIP消息标题(505)、空行(506)和SIP消息正文部(507)。也有不存在空行和SIP消息正文部和多个连续的场合。
此例中示出的加密信息,是按照由非专利文献2规定的以下的书写格式记述SRTP的处理所必需的参数的信息。
A=crypto:crypto-suites key-param*(session-param)
“crypto-suites”,表示加密算法及鉴别算法的种别。比如,AES_CM_128_HMAC_SHA1_80表示加密算法为密钥长128位的AES CTR模式,消息鉴别算法为标记长度80位的HMAC_SHA1。
“key-param”是指定有关密钥的信息的字段,接着“inline:”的是以下面形式记述的参数。
use/key_length/salt_length/BASE64(key||salt)/lifetime/MKI:MKI_length
use:表示密钥的用途(d=译码(脱密)用、e=加密用、b=加密/译码(脱密)用)
key_length:SRTP主密钥的字节长
salt_length:主分类的字节长
key||salt:连接主密钥和分类
lifetime:主密钥的寿命(可处理的包数)
MKI:分配给主密钥的标识符
MKI_length:MKI的bit长
“session-param”是任选的,在图4中未示出,是以下面的5种形式定义的。
(1)SRC=SSRC/ROC/SEQ
给出SSRC、ROC、SEQ的初始信息。
(2)KDR=n
指定会话密钥的更新率。
(3)UNENCRYPTED_SRTCP和UNENCRYPTED_SRTP
分别表示不进行SRTCP和SRTP的加密。
(4)FEC_ORDER=order
表示在发送者一侧的FEC和SRTP的处理的顺序。
(5)UNAUTHENTICATED_SRTP
表示不进行SRTP的消息鉴别。
图4示出会话中继装置3的构成例。本装置的构成包含由总线连接的容纳网络回线的接口部(109-1、109-2、...109-n)、存储装置(103)、CPU(102)。在存储装置(103)中存储着SIP会话信息提取/编辑程序(107)、用户数据加密处理程序(108)、安全策略管理表(105)、加密处理检索表(106)、会话信息管理表(104)。
SIP会话信息提取/编辑程序(107),在接收包含SIP消息的IP包之际,执行如图17(a)所示的SIP处理程序。首先,分析SIP/SDP标题部(651),以其为基础从安全策略管理表(105)检索确立的RTP会话的安全策略(653)。在SIP消息中的加密信息和检索的安全策略不同时,对SIP消息进行加密信息的追加/编辑(654、655)。编辑前的加密信息及编辑后的加密信息与SIP标题部的Call-ID等相对应地存储于会话信息管理表(104)中(656)。另外,在处理中的SIP消息迁移到会话确立状态的情况下(对INVITE的200OK、ACK等),将决定的加密处理的内容存放于加密处理检索表(106)中(658)。
用户数据加密处理程序(108)在接收用户数据(RTP包)时,启动图17(b)所示的RTP处理程序。对包的标题部信息(IP地址、端口号、RTP标题部的SSRC等)进行分析(672),以其为基础从加密处理检索表检索应该对该包进行的加密处理(673)。在加密处理命中的场合,根据该信息进行加密处理(674),将包传输到接收方地址(675)。
图5(a)示出安全策略管理表(105)的构成例。在此示例中,由发送域(602)和接收域(603)构成可检索表示应该进行的加密处理的安全策略(604)。在各个表目中分配策略index(604)作为标识符。在安全策略(604)的项目中,比如,指定以下的信息。
(1)加密算法
(2)消息鉴别算法
(3)在加密中使用的密钥信息
(4)在消息鉴别中使用的密钥信息
(5)用于对对方进行鉴别的信息
另外,作为检索加密处理用的密钥,除了在此示例中示出的以外,可使用包含于SIP消息中的以下信息。
(1)特别定出发送域的信息
(2)特别定出接收域的信息
(3)特别定出发送用户的信息
(4)特别定出接收用户的信息
(5)特别定出发送IP地址的信息
(6)特别定出接收IP地址的信息
(7)特别定出发送端口号的信息
(8)特别定出接收端口号的信息
(9)特别定出信令消息的传输经路
(10)特别定出确立的会话数据类别的信息
通过将(1)(2)的信息变成为检索密钥,比如可以在物理上确保安全的企业的内部网中不进行加密,只在外线通话时进行加密,或只和特定的重要交易对象进行加密通信。另外,可以在采用不同的加密通信方式的提供商之间对加密通信进行中继。
通过将(3)(4)的信息变成为检索密钥,比如可以在企业的干部间的通话等只在有必要隐匿的通话时进行加密。
通过将(5)(6)(7)(8)的信息变成为检索密钥,比如,无论SIP域是社内域,还是从社外网络进行远程访问时的通话加密等,都可以根据用户所属的IP网络来判断是否要进行加密。
通过将(9)的信息变成为检索密钥,在SIP消息通过安全经路时,不进行对通信对方的鉴别,将加密密钥以明文发送,而在通过危险经路时,对通信对手严格地进行鉴别及加密密钥的保护等等,可以构筑对安全和运行成本取得平衡的灵活性更高的系统。
通过将(10)的信息变成为检索密钥,比如将声频按照平文原样不变地进行发送,而对视频进行加密等等,可以进行与通信内容相应的精细的加密控制。
图5(c)示出加密处理检索表(106)的一构成例。在加密处理采用SRTP时,加密处理检索表108,对接收对象IP(622)、接收对象Port(623)、在RTP级对包发送者进行识别的SSRC(624),登录加密处理的内容(625)。对各个表目分配加密处理index(621)作为固有的标识符。
图5(b)示出会话信息管理表(104)的构成例。在本实施例中,对于识别会话的SIP Call-ID(611)、To tag(612)、From tag(613),存储会话状态(614)、包含于SDP中的加密信息(615)、应用的安全策略index(616)、加密处理index(617)而构成。安全策略index(616)及加密处理index(617)分别存放与图5(a)的策略index(601)、图5(c)的加密处理index(621)相对应的值。
下面就图1(b)的通信系统对顺序例及装置构成予以说明。
图1(b)所示的通信系统,构筑于数据通信网11及数据通信网12之上。在数据通信网11和数据通信网12的边界上设置有利用本专利发明的SIP中继装置13和数据中继装置16,这两者相配合对终端间的会话进行中继。另外,在数据通信网12中设置SIP服务器14,还容纳有数据通信网11的终端15和数据通信网12的终端17。另外,在本实施例中,假设数据通信网11不具有加密能力,而数据通信网12的终端具有加密能力。
下面利用图6的顺序例对SIP中继装置13和数据中继装置16的动作予以说明。首先,终端15发送通话开始请求(INVITE)(51)。由于终端15不具有加密功能,此通话开始请求不包含加密信息。会话中继装置13,如果接收到发自终端的通话开始请求,就追加第一加密信息并传输到终端17(52)。终端17在完成通话准备时,就返送包含第二加密信息的成功回应(200OK)并开始数据的收发(53)。会话中继装置13,从接收到的来自终端17的成功回应中删除第二加密信息并传输到终端15(54)。终端15在接收到对INVITE的成功回应时,返回ACK,开始数据的收发(55)。
会话中继装置13,以将ACK通过中继发送给终端17为契机(56),对数据中继装置16发送中继开始请求(57)。在此请求中包含从第一加密信息和第二加密信息生成的第三加密信息。数据中继装置16基于所通知的第三加密信息,进行中继的数据的加密(58、59)。在通信切断时,终端17经会话中继装置13发送通信结束请求(BYE),结束数据通信(60、61)。终端15在返送对此的成功回应之后,结束数据通信(62、63)。会话中继装置13在60~63的切断处理之后,对数据中继装置16发送中继结束请求(64)而结束数据中继。
图7示出会话中继装置13的构成例。本装置的构成包含由总线连接的容纳网络回线的接口部(138-1、138-2、...138-n)、存储装置(132)、CPU(131)。在存储装置(132)中存储SIP会话信息提取/编辑程序(136)、加密信息通知程序(137)、安全策略管理表(134)、加密处理检索表(135)、会话信息管理表(133)。
SIP会话信息提取/编辑程序(136),在接收包含SIP消息的IP包之际,根据分析的SIP/SDP标题部的信息,从安全策略管理表(134)检索确立的RTP会话的安全策略。在SIP消息中的加密信息和检索的安全策略不同时,对SIP消息进行加密信息的追加/编辑。编辑前的加密信息及编辑后的加密信息与SIP标题部的Call-ID等相对应地存储于会话信息管理表(134)中。另外,在处理中的SIP消息迁移到会话确立状态的场合(对INVITE的200OK、ACK等),启动加密信息通知程序,将决定的加密处理的内容通知数据中继装置16。
图8示出会话中继装置16的构成例。本装置的构成包含由总线连接的容纳网络回线的接口部(156-1、156-2、...156-n)、存储装置(152)、CPU(151)。在存储装置(152)中存储数据加密处理程序(154)、加密信息取得程序(155)、加密处理检索表(153)。
加密信息取得程序(155),将由SIP中继装置13通知的加密信息追加到加密信息取得表(153)。
数据加密处理程序(154),在接收用户数据(RTP包)时,根据包的标题部的信息(IP地址、端口号、RTP标题部的SSRC等),从加密处理检索表(153)检索应该对该包进行的加密处理。在存在加密处理时,根据该信息进行加密处理,将包传输到接收方地址。
图9为实施例1的通信系统的第二构成例。本构成与图1不同,在两个通信网中都设置有SIP服务器。此构成,比如,可以通过在采用不同的加密通信方式的IP电话服务业者之间互相连接中使用。
图10为实施例1的通信系统第三构成例。本构成与图1和图9不同,假设在一个(或多个)数据通信网内混杂存在具有多种多样加密通信方式的终端的状况。
在图10(a)中的示例的终端,如图11所示,利用在位置登录中使用的REGISTER等,在会话中继装置中登录终端的加密能力。会话中继装置利用此信息,进行包含于SIP消息中的加密参数的变换。
以上的方式是在会话控制中使用SIP、在数据传输中使用RTP、在数据加密中使用SRTP的示例,但也可以使用其他的会话控制方式、传输协议也可以应用本发明是不言而喻的。
通过采用以上说明的实施例1的系统、装置,即使是在终端的加密能力不一致的场合,也可以在终端之间进行加密通信,并且还可以防止通信内容不经加密发送到外部网络。
[实施例2]
在现有的系统中,在信令中的加密信息的交换及数据的加密在终端和终端之间进行时,具有在网络侧不能对通信内容进行监视及记录的问题。
于是,在第二实施例中示出解决上述课题的发明的示例。
图12为解决第二课题的通信系统的一构成例。通信系统由数据通信网201以及与其相连接的SIP中继装置202、监视装置203、终端204、终端205构成。SIP中继装置202在终端间对信令进行中继,监视装置203将终端间的通信内容与由SIP中继装置通知的会话信息相对应地进行存储或显示。终端204、终端205具有数据加密功能,可以在终端和终端之间进行加密通信。
在现有的系统中,在终端和终端间进行加密的情况下,不能在监视装置203中对通信内容进行监视。不过,根据本专利,通过将SIP中继装置201从SIP信令中提取的加密信息通知监视装置203,监视装置203可以对终端间的加密通信进行译码(脱密)。
另外,在SIP中继装置201通知监视装置203的加密信息中,比如,包含以下的内容。
(1)加密算法
(2)消息鉴别算法
(3)在加密中使用的密钥信息
(4)在消息鉴别中使用的密钥信息
(5)用于对对方进行鉴别的信息
图13为本实施例的通信顺序的一例。其中示出将在终端204和终端205之间通信的加密数据按照由SIP中继装置202通知的信息由监视装置203译码(脱密)的示例。
首先,终端204发送通话开始请求(INVITE)(221)。SIP中继装置202将其中包含的第一加密信息与会话信息相对应地进行存储,传输到终端205(222)。终端205在完成通话准备时,就返送包含第二加密信息的成功回应(200OK)并开始数据的收发(223)。SIP中继装置202,存储第二加密信息并传输到终端204(224)。终端204返送ACK并开始数据的收发(225)。
SIP中继装置202,以将ACK进行中继为契机(226),将监视开始请求通知监视装置203(227)。在此监视开始请求中包含从第一加密信息和第二加密信息生成的第三加密信息。利用以上的步骤,在终端和终端之间开始加密通信(228、229),监视装置203可以将在网络上俘获的加密数据按照从SIP中继装置202通知的信息进行译码(脱密)。在通信切断时,终端205经SIP中继装置202发送通信结束请求(BYE)(230、231),向终端204返送对此的成功回应(232、233)。SIP中继装置202,以对BYE传输成功回应为契机,将中继结束请求通知监视装置203(204)。
图14示出SIP中继装置202的构成例。本装置的构成包含由总线连接的容纳网络回线的接口部(256-1、256-2、...256-n)、存储装置(252)、CPU(251)。在存储装置(252)中存储SIP会话信息提取/编辑程序(254)、加密信息通知程序(255)、会话信息管理表(253)。
SIP会话信息提取/编辑程序(254),在接收包含SIP消息的IP包之际,执行如图18(a)所示的SIP处理程序。分析SIP/SDP标题部(902),在包含加密信息时,将其内容与SIP标题部的Call-ID等相对应地存储于会话信息管理表(253)中(903、904)。另外,在处理中的SIP消息迁移到会话确立状态的场合(对INVITE的200OK、ACK等),启动加密信息通知程序(255),将决定的加密处理的内容通知监视装置203。
图15示出监视装置203的构成例。本装置的构成包含由总线连接的容纳网络回线的接口部(277-1、277-2、...277-n)、存储装置(272)、CPU(271)。在存储装置(272)中存储译码(脱密)处理程序(274)、加密信息取得程序(276)、加密处理检索表(273)、平文数据存储程序(275)。
加密信息取样程序(276)将来自SIP中继装置(202)所通知的加密信息追加在加密处理检索表(273)上。
译码(脱密)处理程序(274),在接收到用户数据(RTP包)之际,启动如图18(b)所示的SIP处理程序。对包的标题部信息(IP地址、端口号、RTP标题部的SSRC等)进行分析(912),从加密处理检索表(272)检索应该对该包进行的加密处理(913)。在存在该加密处理的场合,根据该信息进行包的译码(脱密)处理(914)。启动平文数据存储程序(275),存储译码(脱密)的数据(915)。
通过采用以上说明的实施例2的系统、装置,即使是在终端之间进行数据加密的情况下,也可以对在网络上的通信内容进行监视及记录。
[实施例3]
实施例2是SIP中继装置202提取包含在信令中的加密信息的方式,在监视装置203进行数据中继的情况下,SIP中继装置202也可以在信令中继时进行加密信息的变换。图16示出利用此方式的通信顺序的示例。在此示例中,首先,终端204发送通话开始请求(INVITE)(301)。SIP中继装置202,将包含于其中的第一加密信息与会话信息相对应地进行存储的同时,变换为第二加密信息传输到终端205(302)。终端(205)在完成通话准备时,就返送包含第三加密信息的成功回应(200OK)并开始数据的收发(303)。
SIP中继装置202,在存储第三加密信息的同时变换为第四加密信息并传输到终端204(304)。终端204返送ACK,开始数据的收发(305)。SIP中继装置202以中继了ACK为契机(306),将监视开始请求通知监视装置203(307)。在此监视开始请求中包含从第一、第二、第三、第四加密信息生成的第五加密信息。利用以上的步骤,在终端和终端之间开始加密通信(308、309)。监视装置203根据SIP中继装置202所通知的第五信息对终端间的加密通信进行中继。另外,将译码(脱密)的通信内容存储并显示。
在通信切断时,终端205经会话中继装置202发送通信结束请求(BYE)(310、311),终端204返送对此的成功回应(312、313)。SIP中继装置202,以对BYE传输成功回应为契机,向监视装置203发送中继结束请求的通知(314)。
通过采用以上说明的实施例3的系统、装置,即使是在属于可以以不同方式进行数据加密的网络的终端间进行通信的情况下,也可以进行加密通信,并且也可以在网络上进行通信内容的监视及记录。
Claims (6)
1.一种网络系统,是一种备有经过网络与不具有加密功能的第一终端和具有加密功能的第二终端相连接的控制数据中继装置及用户数据中继装置的网络系统,其特征在于:
上述控制数据中继装置向从上述第一终端接收的第一控制数据添加第一加密信息,然后将具有第一加密信息的第一控制数据传输到上述第二终端,
上述控制数据中继装置在从上述第二终端接收到的第二控制数据中提取第二加密信息,从上述第二控制数据中删除上述第二加密信息,然后将没有第二加密信息的第二控制数据传输给上述第一终端,
上述控制数据中继装置基于上述第一加密信息和上述第二加密信息生成第三加密信息,并且向上述用户数据中继装置通知该第三加密信息,
上述用户数据中继装置根据上述第三加密信息,对从上述第一终端向上述第二终端发送的用户数据进行加密,对从上述第二终端向上述第一终端发送的用户数据进行译码。
2.根据权利要求1所述的网络系统,其特征在于:
上述控制数据中继装置在接收到从上述第一终端向上述第二终端发送的不能进行加密的通信请求时,将内容为拒绝数据中继的通知发送到上述第一终端。
3.根据权利要求1所述的网络系统,其特征在于:
上述控制数据中继装置根据特别定出发送域的信息、特别定出接收域的信息、特别定出发送用户的信息、特别定出接收用户的信息、特别定出发送IP地址的信息、特别定出接收IP地址的信息、特别定出发送端口号的信息、特别定出接收端口号的信息、特别定出上述控制数据的传输经路的信息或特别定出在上述第一终端和第二终端之间确立的会话的数据种别的信息中的至少一种的信息,决定上述第一加密信息的追加和上述第二加密信息的删除。
4.一种网络系统,是一种备有经由网络与不具有加密功能的第一终端和具有加密功能的第二终端相连接的控制数据中继装置及用户数据中继装置的网络系统,其特征在于:
上述控制数据中继装置包括:
接收部,接收从上述第一终端向上述第二终端发送的第一控制数据以及从上述第二终端向上述第一终端发送的第二控制数据;
数据处理部,向从上述第一终端接收到的第一控制数据添加第一加密信息,从自上述第二终端接收到的上述第二控制数据中提取第二加密信息,从上述第二控制数据中删除上述第二加密信息,基于上述第一加密信息和上述第二加密信息生成第三加密信息;
发送部,用于向上述第二终端发送具有上述第一加密信息的第一控制数据,向上述第一终端发送不具有上述第二加密信息的第二控制数据;以及
通知部,用于向上述用户数据中继装置通知上述第三加密信息,
其中,上述用户数据中继装置包括加密部,该加密部用于根据上述第三加密信息,对从上述第一终端向上述第二终端发送的用户数据进行加密,对从上述第二终端向上述第一终端发送的用户数据进行译码。
5.一种控制数据中继装置,与不具有加密功能的第一终端、具有加密功能的第二终端以及在上述第一终端和上述第二终端之间传输用户数据的用户数据中继装置连接,上述控制数据中继装置的特征在于:
上述控制数据中继装置将第一加密信息添加到从上述第一终端接收到的第一控制数据,然后向上述第二终端发送具有第一加密信息的第一控制数据,
上述控制数据中继装置从自上述第二终端接收到的上述第二控制数据中提取第二加密信息,从上述第二控制数据中删除上述第二加密信息,然后向上述第一终端发送没有上述第二加密信息的第二控制数据,
上述控制数据中继装置基于上述第一加密信息和上述第二加密信息生成第三加密信息,并向上述用户数据中继装置通知该第三加密信息,
上述用户数据中继装置根据上述第三加密信息,对从上述第一终端向上述第二终端发送的用户数据进行加密,对从上述第二终端向上述第一终端发送的用户数据进行译码。
6.根据权利要求5所述的控制数据中继装置,其特征在于:
根据特别定出发送域的信息、特别定出接收域的信息、特别定出发送用户的信息、特别定出接收用户的信息、特别定出发送IP地址的信息、特别定出接收IP地址的信息、特别定出发送端口号的信息、特别定出接收端口号的信息、特别定出上述控制数据的传输经路的信息、特别定出在上述第一终端和第二终端之间确立的会话的数据种别的信息中的至少一种的信息,决定上述第一加密信息的追加和上述第二加密信息的删除。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004204066A JP4710267B2 (ja) | 2004-07-12 | 2004-07-12 | ネットワークシステム、データ中継装置、セッションモニタシステム、およびパケットモニタ中継装置 |
JP204066/2004 | 2004-07-12 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1722657A CN1722657A (zh) | 2006-01-18 |
CN1722657B true CN1722657B (zh) | 2011-09-21 |
Family
ID=35542699
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2004100748184A Expired - Fee Related CN1722657B (zh) | 2004-07-12 | 2004-08-30 | 网络系统、数据中继装置、会话及包监视中继装置 |
Country Status (3)
Country | Link |
---|---|
US (2) | US20060010321A1 (zh) |
JP (1) | JP4710267B2 (zh) |
CN (1) | CN1722657B (zh) |
Families Citing this family (49)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7020707B2 (en) * | 2001-05-30 | 2006-03-28 | Tekelec | Scalable, reliable session initiation protocol (SIP) signaling routing node |
EP1836825B1 (en) * | 2005-01-11 | 2018-03-07 | Telefonaktiebolaget LM Ericsson (publ) | Facilitating early media in a communications system |
WO2006087819A1 (ja) * | 2005-02-21 | 2006-08-24 | Fujitsu Limited | 通信装置 |
US7983254B2 (en) * | 2005-07-20 | 2011-07-19 | Verizon Business Global Llc | Method and system for securing real-time media streams in support of interdomain traversal |
GB0519524D0 (en) * | 2005-09-24 | 2005-11-02 | Ibm | Method and apparatus for verifying encryption of SIP signalling |
JP2007097057A (ja) * | 2005-09-30 | 2007-04-12 | Brother Ind Ltd | サーバ装置、機器情報提供方法、プログラム、ネットワークシステム、及び、機器共用化方法 |
JP4890866B2 (ja) * | 2006-01-17 | 2012-03-07 | Necエンジニアリング株式会社 | 構内交換機 |
JP4770494B2 (ja) * | 2006-02-03 | 2011-09-14 | 株式会社日立製作所 | 暗号通信方法およびシステム |
JP4720576B2 (ja) * | 2006-03-29 | 2011-07-13 | 株式会社日立製作所 | ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。 |
JP4565658B2 (ja) * | 2006-05-17 | 2010-10-20 | 日本電信電話株式会社 | コンサルティング支援システムおよび方法 |
CN101102185B (zh) * | 2006-07-06 | 2012-03-21 | 朗迅科技公司 | Ims会话的媒体安全 |
US8139566B2 (en) * | 2006-07-21 | 2012-03-20 | Cisco Technology, Inc. | System and method for establishing a communication session between two endpoints that do not both support secure media |
JP4267008B2 (ja) * | 2006-07-28 | 2009-05-27 | Necインフロンティア株式会社 | クライアント・サーバ分散システム、サーバ装置、クライアント装置及びそれらに用いるクライアント間rtp暗号方法 |
JP4299846B2 (ja) | 2006-07-28 | 2009-07-22 | Necインフロンティア株式会社 | クライアント・サーバ型分散システム、クライアント装置、サーバ装置及びそれらに用いるメッセージ暗号方法 |
US7929419B2 (en) * | 2006-08-04 | 2011-04-19 | Tekelec | Methods, systems, and computer program products for inhibiting message traffic to an unavailable terminating SIP server |
US7756116B2 (en) * | 2006-10-10 | 2010-07-13 | Cisco Technology, Inc. | Supplementary services using secure media |
US8351593B2 (en) * | 2006-11-06 | 2013-01-08 | Aspect Software, Inc. | Emergency recording during VoIP session |
CN101310511B (zh) * | 2007-02-09 | 2010-12-08 | 华为技术有限公司 | 在呼叫中心中监控代理服务质量的系统及方法 |
WO2008146399A1 (ja) | 2007-05-31 | 2008-12-04 | Fujitsu Limited | 情報取得装置、情報取得方法および情報取得プログラム |
EP2179541B1 (en) * | 2007-07-31 | 2018-11-21 | Tekelec, Inc. | Systems, methods, and computer program products for distributing application or higher layer communications network signaling entity operational status information among session initiation protocol (sip) entities |
US8464053B2 (en) * | 2007-09-05 | 2013-06-11 | Radvision Ltd | Systems, methods, and media for retransmitting data using the secure real-time transport protocol |
CN101136777B (zh) * | 2007-10-18 | 2010-06-23 | 网经科技(苏州)有限公司 | 网络管理系统中双加密通道协作的安全管理方法 |
JP4416035B2 (ja) * | 2007-12-28 | 2010-02-17 | 村田機械株式会社 | 中継サーバ及び中継通信システム |
US20090182668A1 (en) * | 2008-01-11 | 2009-07-16 | Nortel Networks Limited | Method and apparatus to enable lawful intercept of encrypted traffic |
JP5205075B2 (ja) * | 2008-02-13 | 2013-06-05 | パナソニック株式会社 | 暗号処理方法、暗号処理装置、復号処理方法および復号処理装置 |
JP5119117B2 (ja) * | 2008-10-10 | 2013-01-16 | 株式会社日立製作所 | 鍵交換プロトコル変換装置及び、システム |
US8990569B2 (en) * | 2008-12-03 | 2015-03-24 | Verizon Patent And Licensing Inc. | Secure communication session setup |
JP5267169B2 (ja) * | 2009-02-02 | 2013-08-21 | 富士通株式会社 | ゲートウェイ、情報処理方法、プログラム及びデータ暗号化端末 |
JP4831224B2 (ja) * | 2009-09-30 | 2011-12-07 | 沖電気工業株式会社 | 中継装置及びプログラム、中継システム、並びに通信システム |
CN102845026B (zh) * | 2010-02-12 | 2016-06-29 | 泰克莱克股份有限公司 | 用于在diameter节点处提供初始路由的方法、系统、以及计算机可读介质 |
EP2577902A2 (en) * | 2010-06-03 | 2013-04-10 | Morrigan Partners Limited | Secure communication systems, methods, and devices |
US9071512B2 (en) | 2010-08-06 | 2015-06-30 | Tekelec, Inc. | Methods, systems, and computer readable media for distributing diameter network management information |
JP5598302B2 (ja) * | 2010-12-13 | 2014-10-01 | 富士通株式会社 | 通過制御装置、通過制御方法、及び通過制御プログラム |
JP5310824B2 (ja) | 2011-11-10 | 2013-10-09 | 株式会社リコー | 伝送管理装置、プログラム、伝送管理システムおよび伝送管理方法 |
US20140133656A1 (en) * | 2012-02-22 | 2014-05-15 | Qualcomm Incorporated | Preserving Security by Synchronizing a Nonce or Counter Between Systems |
US10419907B2 (en) | 2012-02-22 | 2019-09-17 | Qualcomm Incorporated | Proximity application discovery and provisioning |
US10360593B2 (en) | 2012-04-24 | 2019-07-23 | Qualcomm Incorporated | Retail proximity marketing |
JP5952113B2 (ja) * | 2012-07-12 | 2016-07-13 | 日本電気通信システム株式会社 | メディアゲートウェイ、通話情報記憶方法 |
GB201213622D0 (en) * | 2012-07-31 | 2012-09-12 | Sirran Technologies Ltd | Improved telecommunication system |
JP5509290B2 (ja) * | 2012-10-10 | 2014-06-04 | ソフトバンクモバイル株式会社 | 解析装置、解析方法、及び解析プログラム |
DE102013206661A1 (de) * | 2013-04-15 | 2014-10-16 | Robert Bosch Gmbh | Kommunikationsverfahren zum Übertragen von Nutzdaten sowie entsprechendes Kommunikationssystem |
US9832252B2 (en) * | 2014-03-27 | 2017-11-28 | Genband Us Llc | Systems, methods, and computer program products for third party authentication in communication services |
JP7061929B2 (ja) * | 2018-05-30 | 2022-05-02 | 株式会社Nttドコモ | 呼制御システム |
US10778527B2 (en) | 2018-10-31 | 2020-09-15 | Oracle International Corporation | Methods, systems, and computer readable media for providing a service proxy function in a telecommunications network core using a service-based architecture |
US11012931B2 (en) | 2019-05-24 | 2021-05-18 | Oracle International Corporation | Methods, systems, and computer readable media for enhanced signaling gateway (SGW) status detection and selection for emergency calls |
US11018971B2 (en) | 2019-10-14 | 2021-05-25 | Oracle International Corporation | Methods, systems, and computer readable media for distributing network function (NF) topology information among proxy nodes and for using the NF topology information for inter-proxy node message routing |
US11528334B2 (en) | 2020-07-31 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for preferred network function (NF) location routing using service communications proxy (SCP) |
CN112188414B (zh) * | 2020-09-23 | 2022-06-03 | 恒宝股份有限公司 | 一种多组终端安全交互方法及中继设备 |
US11570262B2 (en) | 2020-10-28 | 2023-01-31 | Oracle International Corporation | Methods, systems, and computer readable media for rank processing for network function selection |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6259701B1 (en) * | 1997-09-11 | 2001-07-10 | At&T Corp. | Method and system for a unicast endpoint client to access a multicast internet protocol (IP) session |
Family Cites Families (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09312642A (ja) * | 1996-05-20 | 1997-12-02 | Fujitsu Ltd | データ通信方式 |
JPH10341212A (ja) * | 1997-06-10 | 1998-12-22 | Matsushita Electric Ind Co Ltd | 暗号文伝送システム |
JP2001177515A (ja) * | 1999-12-20 | 2001-06-29 | Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd | 鍵供託装置 |
JP3730480B2 (ja) * | 2000-05-23 | 2006-01-05 | 株式会社東芝 | ゲートウェイ装置 |
CA2327078C (en) * | 2000-11-30 | 2005-01-11 | Ibm Canada Limited-Ibm Canada Limitee | Secure session management and authentication for web sites |
US6865681B2 (en) * | 2000-12-29 | 2005-03-08 | Nokia Mobile Phones Ltd. | VoIP terminal security module, SIP stack with security manager, system and security methods |
US7243370B2 (en) * | 2001-06-14 | 2007-07-10 | Microsoft Corporation | Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication |
EP1292084A3 (de) * | 2001-09-07 | 2005-10-26 | Siemens Aktiengesellschaft | Verfahren zur Übertragung von Daten in einem paketorientierten Datennetz |
CN100592731C (zh) * | 2001-12-07 | 2010-02-24 | 艾利森电话股份有限公司 | 端到端加密数据电信的合法侦听 |
JP4349766B2 (ja) * | 2001-12-07 | 2009-10-21 | 株式会社日立製作所 | アドレス変換装置 |
US6792534B2 (en) * | 2002-03-22 | 2004-09-14 | General Instrument Corporation | End-to end protection of media stream encryption keys for voice-over-IP systems |
JP2003304227A (ja) * | 2002-04-08 | 2003-10-24 | Matsushita Electric Ind Co Ltd | 暗号通信装置、暗号通信方法及び暗号通信システム |
US7240366B2 (en) * | 2002-05-17 | 2007-07-03 | Microsoft Corporation | End-to-end authentication of session initiation protocol messages using certificates |
US7366894B1 (en) * | 2002-06-25 | 2008-04-29 | Cisco Technology, Inc. | Method and apparatus for dynamically securing voice and other delay-sensitive network traffic |
US7447901B1 (en) * | 2002-06-25 | 2008-11-04 | Cisco Technology, Inc. | Method and apparatus for establishing a dynamic multipoint encrypted virtual private network |
DE60201827T2 (de) * | 2002-08-08 | 2005-11-10 | Alcatel | Legales Abfangen für VOIP Anrufe in einem IP-Fernmeldenetz |
WO2004025461A2 (en) * | 2002-09-12 | 2004-03-25 | International Business Machines Corporation | A data processing system adapted to integrating non-homogeneous processes |
JP3855909B2 (ja) * | 2002-10-23 | 2006-12-13 | 株式会社日立製作所 | ポリシ設定可能なピアツーピア通信システム |
US7366780B2 (en) * | 2002-12-31 | 2008-04-29 | Motorola, Inc. | System and method for controlling and managing sessions between endpoints in a communications system |
AU2003210083A1 (en) * | 2003-01-09 | 2004-08-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for codec selection |
US7577422B2 (en) * | 2003-04-09 | 2009-08-18 | Telefonaktiebolaget L M Ericsson (Publ) | Lawful interception of multimedia calls |
US7447909B2 (en) * | 2003-06-05 | 2008-11-04 | Nortel Networks Limited | Method and system for lawful interception of packet switched network services |
US7340771B2 (en) * | 2003-06-13 | 2008-03-04 | Nokia Corporation | System and method for dynamically creating at least one pinhole in a firewall |
GB2422995B (en) * | 2003-11-04 | 2007-07-18 | Ntt Comm Corp | Method, apparatus and program for establishing encrypted communication channel between apparatuses |
US20050193201A1 (en) * | 2004-02-26 | 2005-09-01 | Mahfuzur Rahman | Accessing and controlling an electronic device using session initiation protocol |
-
2004
- 2004-07-12 JP JP2004204066A patent/JP4710267B2/ja not_active Expired - Fee Related
- 2004-08-27 US US10/927,586 patent/US20060010321A1/en not_active Abandoned
- 2004-08-30 CN CN2004100748184A patent/CN1722657B/zh not_active Expired - Fee Related
-
2008
- 2008-11-19 US US12/292,445 patent/US20090080655A1/en not_active Abandoned
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6259701B1 (en) * | 1997-09-11 | 2001-07-10 | At&T Corp. | Method and system for a unicast endpoint client to access a multicast internet protocol (IP) session |
Also Published As
Publication number | Publication date |
---|---|
JP4710267B2 (ja) | 2011-06-29 |
US20090080655A1 (en) | 2009-03-26 |
US20060010321A1 (en) | 2006-01-12 |
CN1722657A (zh) | 2006-01-18 |
JP2006032997A (ja) | 2006-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1722657B (zh) | 网络系统、数据中继装置、会话及包监视中继装置 | |
WO2015180654A1 (zh) | 一种保密通信实现方法及装置 | |
EP2452477B1 (en) | Efficient key management system and method | |
US8370630B2 (en) | Client device, mail system, program, and recording medium | |
KR20100107033A (ko) | 암호화된 트래픽의 합법적 인터셉트를 가능하게 하는 방법 및 장치 | |
CN104683098B (zh) | 一种保密通信业务的实现方法、设备及系统 | |
CN104618387B (zh) | 将sip信令用于量子安全通信系统的方法、综合接入量子网关及系统 | |
CN101141251B (zh) | 通信系统中消息加密签名的方法及系统和设备 | |
CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
US20090070586A1 (en) | Method, Device and Computer Program Product for the Encoded Transmission of Media Data Between the Media Server and the Subscriber Terminal | |
Wang et al. | A dependable privacy protection for end-to-end VoIP via Elliptic-Curve Diffie-Hellman and dynamic key changes | |
CN101790160A (zh) | 安全协商会话密钥的方法及装置 | |
WO2017197968A1 (zh) | 一种数据传输方法及装置 | |
CN101572694B (zh) | 媒体流密钥的获取方法、会话设备与密钥管理功能实体 | |
US7570765B1 (en) | Method and an apparatus to perform secure real-time transport protocol-on-the-fly | |
CN102025485B (zh) | 密钥协商的方法、密钥管理服务器及终端 | |
KR101121230B1 (ko) | Sip 기반 인터넷 전화 서비스 보안 시스템 및 그 방법 | |
KR20120087550A (ko) | 암호 통신 방법 및 이를 이용한 암호 통신 시스템 | |
CN101729535B (zh) | 一种媒体点播业务的实现方法 | |
Alishavandi et al. | MKIPS: MKI‐based protocol steganography method in SRTP | |
Floroiu et al. | A comparative analysis of the security aspects of the multimedia key exchange protocols | |
Kim et al. | VoIP secure communication protocol satisfying backward compatibility | |
CN117319088B (zh) | 一种阻断违规外联设备的方法、装置、设备及介质 | |
Asghar et al. | SVS-a secure scheme for video streaming using SRTP AES and DH. | |
Deusajute et al. | The sip security enhanced by using pairing-assisted massey-omura signcryption |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110921 Termination date: 20120830 |