JP4856723B2 - メディアサーバと加入者機器との間においてメディアデータを暗号化して伝送するための方法、装置および/またはコンピュータプログラム製品 - Google Patents

メディアサーバと加入者機器との間においてメディアデータを暗号化して伝送するための方法、装置および/またはコンピュータプログラム製品 Download PDF

Info

Publication number
JP4856723B2
JP4856723B2 JP2008553708A JP2008553708A JP4856723B2 JP 4856723 B2 JP4856723 B2 JP 4856723B2 JP 2008553708 A JP2008553708 A JP 2008553708A JP 2008553708 A JP2008553708 A JP 2008553708A JP 4856723 B2 JP4856723 B2 JP 4856723B2
Authority
JP
Japan
Prior art keywords
encryption
application function
transmitting
key
media server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008553708A
Other languages
English (en)
Other versions
JP2009526454A (ja
Inventor
ビュッカー ヴォルフガング
ティルヴェンガダム スリナート
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of JP2009526454A publication Critical patent/JP2009526454A/ja
Application granted granted Critical
Publication of JP4856723B2 publication Critical patent/JP4856723B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/61Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio
    • H04L65/612Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio for unicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/234Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs
    • H04N21/2347Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs involving video stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/266Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel
    • H04N21/26613Channel or content management, e.g. generation and management of keys and entitlement messages in a conditional access system, merging a VOD unicast channel into a multicast channel for generating or managing keys in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/632Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing using a connection between clients on a wide area network, e.g. setting up a peer-to-peer communication via Internet for retrieving video segments from the hard-disk of other client devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/167Systems rendering the television signal unintelligible and subsequently intelligible
    • H04N7/1675Providing digital key or authorisation information for generation or regeneration of the scrambling sequence

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Description

本発明は、アクセスネットワークを介してメディアデータを伝送するための方法に関する。さらに本発明は、本方法の実施に適しているネットワーク装置およびコンピュータプログラム製品に関する。
アクセスネットワークを介して加入者機器へ、もしくは加入者機器からメディアデータを伝送するための種々の方法、装置およびシステムが公知である。例えば、いわゆるH標準(例えばH.320,H.323,H.324)によればオーディオデータおよびビデオデータのリアルタイム伝送、殊にビデオテレフォニーのための圧縮および制御メカニズムが設けられている。
広帯域移動無線ネットワークの普及と共に、第3世代パートナーシッププロジェクト(3GPP)は音声サービスとインターネットサービスを統合するための一連の標準をIPマルチメディアサブシステム(IMS)の名称で開発した。IMS標準は殊にモバイル領域におけるパケット交換型のネットワークと回線交換型のネットワークの融合を促進すべきものである。しかしながらIMSシステムは、例えば公衆電話網またはインターネットを介する、固定ネットワークにおけるメディアデータの伝送にも適している。
3GPP UMTS地上無線アクセスネットワーク(UTRAN)標準においては、データがネットワークプロトコルのセキュリティ層のレベルにおいて暗号化される。したがって、IMSアクセスセキュリティ(3GPP TS 33.203)およびネットワークドメインセキュリティ(3GPP TS 33.210)標準ではメディアデータの別個の暗号化は予定されていない。しかしながら固定ネットワークにおいては、伝送されるデータのその種の暗号化は行われない。
しかしながらメディアデータの暗号化は頻繁に所望される。何故ならば、一方では殊にIPベースネットワークは信頼性が非常に低いので、例えば、少なくとも部分的にIPネットワークを通過するビデオ電話音声は比較的容易に盗聴される可能性がある。他方では、メディアデータが頻繁にいわゆる付加価値サービス、例えばビデオ・オン・デマンドとして提供され、このようなサービスにおいては伝送されるデータの受信に関して課金が行われなければならない。この場合にもまた、伝送されるメディアデータは権限のある受信者によってのみ利用されることが保証されなければならない。
標準ETSI TS 133 246 V6.5.0 Release 6 ("Security of Multimedia Broadcast/Multicast Service (MBMS)")からは、ブロードキャスト・マルチキャストサービスセンター(Broadcast-Multicast Service Centre)から加入者機器へ暗号化されたメディアデータを伝送するための方法が公知である。
セキュアリアルタイムトランスポートプロトコル(SRTP,RFC3711による)からは、2つの加入者間でメディアデータを安全に伝送するための標準が公知である。しかしながらSRTP標準によるデータ伝送は殊に異種のネットワークにおいては使用することができない。何故ならば部分的に、ネットワークの境界部、例えばインターネットから公衆電話網への移行部においては、暗号化されたデータストリームを変換する際に技術的な問題が生じる。他方では、法規類が遵守されなければならず、例えば電話通話の国による監視は規制されなければならない。2つの加入者間に信頼関係が存在しない場合には、それらの加入者間での直接的な鍵交換も問題になることが多い。
本発明の課題は、アクセスネットワークにおけるメディアデータの暗号化を実現する方法およびネットワーク装置を提供することである。殊に、有線接続型のネットワークの交換局と有線接続型のネットワークの加入者との間の伝送が保護されるべきである。
本発明によればこの課題は、以下のステップを有する、メディアデータを伝送するための方法によって解決される:
−暗号化パラメータのセットを確定するために、加入者機器からアクセスネットワークの制御チャネルを介してアプリケーション機能にリクエストを伝送するステップ、
−アプリケーション機能によって暗号化コンテキストを暗号化パラメータのセットに依存して生成するステップ、
−暗号化コンテキストをアプリケーション機能からコアネットワークの制御インタフェースを介してメディアサーバに伝送するステップ、
−暗号化されていないメディアデータをメディアサーバによって暗号化コンテキストを使用して暗号化するステップ、
−暗号化されたメディアデータをメディアサーバからアクセスネットワークのデータチャネルを介して加入者機器に伝送するステップ。
本方法によれば、先ず暗号化パラメータのセットが加入者機器からアプリケーション機能へと制御チャネルを介して伝送されるか、この制御チャネルを介してネゴシエーションされる。この過程を例えば加入者機器によるコネクションの確立時に実施することができる。伝送された暗号化パラメータのセットからアプリケーション機能は、メディアデータの暗号化に適した暗号化コンテキストを生成する。この暗号化コンテキストはさらなるステップにおいてコアネットワークの制御インタフェースを介してメディアサーバに伝送され、メディアサーバはさらなるステップにおいてこのメディアサーバから加入者機器に送信されるメディアデータを暗号化することができる。このために、メディアサーバおよび加入者機器はメディアデータを暗号化するための固有の鍵をネゴシエーションすることは必要ない。
上記課題は同様に、請求項2に記載されている方法によって解決され、この方法においては暗号化されたメディアデータの解読が暗号化コンテキストを使用してメディアサーバによって実施される。
このようにして、メディアサーバと加入者機器との間の直接的な鍵交換は必要とされなくても、アクセスネットワークを介して反対方向に伝送されるメディアデータも暗号化によって保護されている。
本発明の有利な実施形態によれば、暗号化パラメータのセットが第1の鍵を使用して加入者機器によって生成され、第2の鍵を使用してアプリケーション機能によって検査される。
加入者機器の第1の鍵に依存する暗号化パラメータの生成によって、暗号化コンテキストの生成と同時に、第2の鍵による加入者機器の認証も行われる。
本発明の別の有利な実施形態によれば、加入者機器およびアプリケーション機能はセッション開始プロトコルを実施するために設計されており、また暗号化パラメータのセットはセッション開始プロトコルに応じたメッセージの交換によって確定される。
セッション開始プロトコルを実施するために設計されている加入者機器およびアプリケーション機能は、例えば交換局に対する加入者機器の認証に使用されるプロトコルを、暗号化パラメータのセットを確定するためにも使用することができる。
本発明の別の有利な実施形態によれば、本方法は付加的に、アプリケーション機能によって加入者機器の認証を検査するステップと、アプリケーション機能から制御インタフェースを介してメディアサーバに認証データを伝送するステップとを有する。
アプリケーション機能による認証データの検査および伝送によって、加入者機器がメディアデータの受信に関する権限を有しているか否かを確認することができる。
前述の課題は同様に請求項7に記載されているネットワーク装置および請求項10に記載されているコンピュータプログラム製品によって解決される。
本発明のさらなる詳細および構成は従属請求項に記載されている。
以下では本発明の実施例を図面に基づき詳細に説明する。図面において:
図1は、2つの加入者機器および交換局を有するネットワーク装置を示す。
図2は、第1の加入者機器と第2の第2の加入者機器との間でメディアデータを伝送するためのシーケンシャル図を示す。
図3は、メディアデータを伝送するための方法の1つの実施形態によるフローチャートを示す。
図1は、第1の加入者機器2と、第2の加入者機器3と、交換局5とを有するネットワーク装置1を示す。
第1の加入者機器2は第1のアクセスネットワーク4を介して交換局5と接続されている。第2の加入者機器3は第2のアクセスネットワーク6を介して同様に交換局5と接続されている。
交換局5はコアネットワーク7内にあり、アプリケーション機能8、判定機能9およびメディアサーバ10を有する。
アプリケーション機能8は、第1の加入者機器2ないし第2の加入者機器3との2つの第1のインタフェース11Aおよび11Bを有する。さらにアプリケーション機能8はキーユニット12を有する。キーユニット12は殊にセッションキーの生成、ネゴシエーションまたは検査に使用される。
メディアサーバ10は2つの第2のインタフェース13Aおよび13Bを有し、これらのインタフェースを介してメディアサーバ10は第1の加入者機器2ないし第2の加入者機器3と接続されている。さらに、メディアサーバ10は第2の暗号化ユニット14を有し、この第2の暗号化ユニット14はメディアデータを暗号化ないし解読することに適している。
アプリケーション機能8は第3のインタフェース15を介して判定機能9と接続されている。判定機能9は第4のインタフェース16を介してメディアサーバ10と接続されている。第3のインタフェース15、判定機能9および第4のインタフェース16は一緒に制御インタフェース17を形成し、この制御インタフェース17を介してメディアサーバ10はアプリケーション機能8によって制御される。
IMSの場合、アプリケーション機能8は自身でアプリケーションを提供するのではなく、アプリケーションに必要とされるリソースを制御する。例えば、アプリケーション機能8は判定機能9と共に、コネクション確立フェーズ中にコアネットワーク7における伝送容量を予約し、この伝送容量は後続の伝送フェーズにおいてメディアサーバ10によってメディアデータを伝送するために使用される。
第1のアクセスネットワーク4は第1の加入者機器2とアプリケーション機能8の第1のインタフェース11Aとの間の制御チャネル18Aならびにメディアサーバ10の第2のインタフェース13Aと第1の加入者機器2との間のデータチャネル19Aを有する。同様に第2のアクセスネットワーク6は第2の加入者機器3と第1のインタフェース11Bとの間の制御チャネル18Bならびに第2のインタフェース13Bと第2の加入者機器3との間のデータチャネル19Bを有する。
図示されている実施例においては、制御チャネル18もデータチャネル19も双方向通信に適している。しかしながら基本的に、一方向のみの通信も考えられる、もしくは異なる伝送チャネル18ないし19における異なるデータフロー方向のための通信が実施されることも考えられる。
制御チャネル18およびデータチャネル19は例えば、交換局5と加入者機器2ないし3との間の個々の伝送チャネルの異なるプロトコルレベルにおけるデータコネクションでよい、または別個の伝送チャネル、例えばいわゆるISDN制御チャネルDといわゆるISDNデータチャネルBでよい。
明瞭にするために図1においては、単一の交換局5に接続されている第1の加入者機器2および第2の加入者機器3が示されている。しかしながらもちろん、コアネットワーク7は複数の交換局5を有することができ、その場合には第1の加入者機器2が第1の交換局に接続されており、第2の加入者機器3が第2の交換局に接続されている。第1の加入者機器2と交換局5と第2の加入者機器3との間に中間的に配置されている別のネットワークが接続されていることも考えられるが、これはしかしながら同様に図1においては示していない。
第1のアクセスネットワーク4は例えば有線接続型の公衆電話網、例えばアナログ電話網またはディジタルISDN電話網である。第2のアクセスネットワーク6は例えば無線式の移動無線網、例えばGMSネットワークまたはUMTSネットワークである。コアネットワーク7は例えばインターネットプロトコル(IP)によるデータネットワークであり、このデータネットワークは通信サービスのプロバイダによって内部的なデータ伝送のために使用される。
前述の実施例においては、第1の加入者機器2と第2の加入者機器3との間のコネクションは交換局5を介して確立されるべきである。メディアデータ、例えばオーディオデータストリームとビデオデータストリームが組み合わされたメディアデータがリアルタイムで第1の加入者機器2と第2の加入者機器3との間で交換されるべきである。
第1のアクセスネットワーク4は有線接続型の電話網であるので、メディアサーバ10からデータチャネル19Aを介して第1の加入者機器2に伝送されるメディアデータが暗号化されるべきである。この実施例において、第2のアクセスネットワーク6は無線ネットワークであり、この無線ネットワークにおいては暗号化が既にネットワークプロトコルのセキュリティレベルで使用されるので、第2の加入者機器3からメディアサーバ10にデータチャネル19Bを介して伝送されるメディアデータを確かに暗号化する必要はない。それにもかかわらず、第2のアクセスネットワーク6においても暗号化されたデータを伝送するための同等の方法を適用することができる。
図2は、第1の加入者機器2と第2の第2の加入者機器3との間においてコネクションを確立し、続けてメディアデータを伝送するためのシーケンシャル図を示す。
IMSにおいては、コアネットワーク7における第1の加入者機器2の第1のコンタクト点を表す、いわゆるプロキシコールセッション制御機能(P-CSCF)は第1の加入者機器2のための第1のアプリケーション機能8Aを担う。第2の加入者機器3には固有のP−CSCFが対応付けられており、この固有のP−CSCFはこの加入者機器3にとって第2のアプリケーション機能8Bとして使用される。その間に、さらに制御機能20Aおよび20B、いわゆるサービングサービスコールセッション制御機能(S-CSCF)が配置されており、これは第1の加入者機器2ないし第2の加入者機器3のためのサービスを制御する。
図2による例示的なデータ伝送を図3に示されているフローチャートに基づき詳細に説明する。図3は、メディアデータを伝送するための方法30を示す。
ステップ31においては、使用されるべき暗号化を規定する暗号化パラメータのセットkが第1の加入者機器2と第1のアプリケーション機能8Aとの間で確定される。
例えば、第1の加入者機器2がセッションキーを第1の加入者機器2の秘密鍵に基づき生成し、第1のアプリケーション機能8Aに伝送する。基本的に、対称的または非対称的な通信のための暗号化パラメータkを生成する当業者には公知の複数の種々の方法をメディアデータを伝送するための本発明による方法30と組み合わせて使用することができる。
ステップ31においては、例えば使用されるべき鍵の長さを確定する別の暗号化パラメータも第1の加入者機器2によって規定することができるか、セッション開始プロトコルを用いて第1の加入者機器2と第1のアプリケーション機能8Aとの間でネゴシエーションすることができる。セッション開始プロトコルとして例えば、セッション既述プロトコル(SDP、RFC2327による)と組み合わされたセッション開始プロトコル(SIP、RFC3261およびRFC2543による)を使用することができる。幾つかのまたは全ての暗号化パラメータを第1のアプリケーション機能8Aによって確定し、加入者機器2に伝送することも考えられる。
SIPプロトコルによれば、先ず加入者機器2と第1のアプリケーションプロトコル8Aとの間においてメッセージ交換が行われ、このメッセージ交換は加入者機器の登録(図2においては示していない)に使用される。続けて、リクエスト21が加入者機器2から第1のアプリケーション機能8Aに伝送される。この実施例においては、暗号化パラメータkがリクエスト21に統合され、このリクエスト21は暗号化パラメータkのセットの他に別のデータ、例えばコネクションを確立するための目標アドレスを包含する。例えば、リクエストはセッション開始プロトコルによるいわゆる呼出要求でよい。このプロトコルはハイパーテキスト転送プロトコル(HTTP)に類似し、例えばいわゆるボイスオーバーIP(VoIP)ネットワークにおけるデータネットワークを介する通信セッションの確立、殊に音声コネクションの確立に適している。付加的にこのフェーズの間に、例えば図1には示されていないいわゆるホーム加入者サーバ(HSS)によって認証データが検査されることによって、加入者機器2の認証も行うことができる。
図2からは、図示されている実施例においてリクエスト21が先ず第1の加入者機器2から第1のアプリケーション機能8Aに伝送されることが見て取れる。第1の加入者機器2および第1のアプリケーション機能8Aによって、鍵情報の伝送ないしネゴシエーションに適しているプロトコルが使用される。例えば、MIKEY(Multimedia Internet KEYing、RFC3830による)プロトコルを介する暗号化パラメータkのセットをSIPプロトコルを介するSDPリクエストの有効データとして第1のアプリケーション機能8Aに伝送することができる。このようにして第1のアプリケーション機能8Aはリクエスト21の暗号化パラメータkのセットを受け取る。
暗号化に関連しないリクエスト21の別の部分は変更されたリクエスト22の形で第1の制御機能20Aに転送される。IMSプロトコルによれば、コアネットワーク7は第1の加入者機器2および第2の加入者機器3のためのそれぞれ1つのS−CSCFを包含し、これらは第2の加入者機器3とのコネクションを確立するために、変更されたリクエスト22を第1のアプリケーション機能8Aから第2のアプリケーション機能8Bに転送する。
第2の加入者機器3が変更されたリクエスト22に応答できる状態にあれば、この第2の加入者機器3は応答を送信し、この応答は逆方向で第1のアプリケーション機能8Aへと伝送される。SIPプロトコルの場合には、この応答は例えば「200OK」ならびに別のメッセージ(明瞭にするために図2には示していない)である。
さらなるステップ32においては、第1のアプリケーション機能8Aが暗号化コンテキストCCを、ステップ31において確定された暗号化パラメータkのセットに基づき生成する。暗号化コンテキストCCは例えば使用されるべき暗号化アルゴリズムと、暗号化のために使用されるべき鍵と、暗号化を適切に実施するために必要とされる別のパラメータとを包含する。
ステップ33においては、生成された暗号化コンテキストCCが第1のアプリケーション機能8Aからメディアサーバ10へと伝送される。
図1に示されている装置においては、生成された暗号化コンテキストCCが先ずアプリケーション機能8から判定機能9へと伝送される。このために暗号化コンテキストCCは第3のインタフェース15、この実施例においては3GPP標準によるGqインタフェースないし、ダイアメータプロトコル(RFC3588)によるヨーロッパ電気通信標準化協会(ETSI;European Telecommunications Standards Institute)のプロジェクトグループTelecommunications and Internet converged Services and Protocols for Advanced Networking(TISPAN)の次世代ネットワーク(NGN)の仕様によるGq’インタフェースを介して伝送される。
ダイアメータプロトコルはいわゆる属性値ペアの伝送に適している。したがって第1のアプリケーション機能8Aは属性値ペアのセットにおける暗号化コンテキストCCを第1の符号化された暗号化コンテキスト24として符号化しなければならない。暗号化コンテキストCCを伝送するための既存の属性を使用することができるか、新たな属性を第1のアプリケーション機能8Aによって挿入することができる。
TISPANないし3GPP標準においてService Based Policy Decision Function(SPDFないしPDF)と称される判定機能9は伝送された第1の符号化された暗号化コンテキスト24を復号し、この暗号化コンテキスト24に包含されている情報を第2の符号化された暗号化コンテキスト25として第4のインタフェース16を介してメディアサーバ10に伝送する。この実施例において、TISPAN標準による第4のインタフェース16はH.248プロトコルによるいわゆるIaインタフェースである。
暗号化コンテキストCCが第1のアプリケーション機能8Aからメディアサーバ10に伝送された後に、第1のアプリケーション機能8Aは応答23を第1の加入者機器2に転送する。3GPPプロトコルTS24.229によれば、第1の加入者機器2は第1のアプリケーション機能8Aに対するコネクションの確立を確認メッセージ26により確認し、この確認メッセージ26は同様に第2の加入者機器3に転送される。
さらなるステップ34においては、第1の加入者機器2が暗号化されたメディアデータ27をメディアサーバ10に伝送するか、メディアサーバ10が暗号化されたメディアデータ27を第1の加入者機器2に伝送する。
第1の加入者機器2は暗号化パラメータkのセットを使用して、ステップ33においてメディアサーバ10に伝送された等価の暗号化コンテキストCCを生成することができる。これにより、第1の加入者機器2もメディアサーバ10もメディアデータを暗号化ないし解読することができる。殊に、例えばビデオテレフォニーの場合のような大量のデータストリームにおいては、このために対称的な暗号化方法が適している。例えば、データストリームをXOR関数を用いて十分に長い鍵と結合することができる。
図2に示されているデータフローにおいては、暗号化されたメディアデータ27が第1の加入者機器2からメディアサーバ10へと伝送される。自身で暗号化コンテキストCCを有しているメディアサーバ10は受信した暗号化されたメディアデータ27を解読することができ、このようにしてステップ35において暗号化されていないメディアデータ28を生成する。
ステップ36においては、暗号化されていないメディアデータ28がメディアサーバ10から第2の加入者機器3へと伝送される。
図3に示されているように、もちろん反対方向のデータフロー、すなわち第2の加入者機器3から第1の加入者機器2へのデータフローも考えられる。差し当たり暗号化されていないメディアデータ28がステップ37においてメディアサーバ10に伝送される。さらなるステップ38においては、メディアサーバ10が暗号化されていないメディアデータ28を暗号化し、そのようにして暗号化されたメディアデータ27を生成する。ステップ39においては暗号化されたメディアデータ27が第1の加入者機器2に伝送される。
ビデオテレフォニーのような双方向の通信用途においては、上述した両方のヴァリエーションが頻繁に相互に並行に実施されることが多いので、第1の加入者機器2から出発する暗号化されたメディアデータ27はメディアサーバによってステップ35において解読され、それと同時に、第1の加入者機器2へと伝送される暗号化されていないメディアデータ28はメディアサーバ10によってステップ38において暗号化される。
別の適用可能性は例えば、一方向のみ、例えばメディアサーバ10から第1の加入者機器2への方向のみの所定のメディアデータの伝送を含む。例えば、コアネットワーク7内に存在するが、図1には図示されていないビデオ・オン・デマンドプラットフォームは暗号化されていないメディアデータ28をメディアサーバ10に伝送することができる。メディアサーバ10はステップ38において所望のメディアデータ28を暗号化し、このメディアデータ28を暗号化されたメディアデータ27として第1の加入者機器2へと伝送する。
交換局5の代わりに、例えばメディアデータを回線交換型のアクセスネットワーク4からコアネットワーク7または第2のアクセスネットワーク6のようなパケット交換型のネットワークへと伝送するいわゆる通信ゲートウェイも使用することができる。これによって、殊にハードウェア電話とソフトウェア電話ないし電話アプリケーション間の切り換えも実現される。制御チャネル18Aおよび18Bないしデータチャネル19Aおよび19Bのデータフォーマットもプロトコルも相互に異ならせることができるので、アプリケーション機能8ないしメディアサーバ10による異なるプロトコルの変換が必要とされる。殊にその種の適用事例においては、暗号化がアクセスネットワーク4ないし6のうちの1つにおいてのみ使用されるべき場合には有利である。
もちろん、第2の加入者機器3とメディアサーバ10との間でもメディアデータの暗号化された伝送を行うことができる。第2の加入者機器3は暗号化パラメータkをこの第2の加入者機器に対応付けられている第2のアプリケーション機能8Bに伝送する。このようにして、暗号化されたメディアデータ27は専らデータチャネル19Aおよび19Bを介して交換され、この交換の際には第1の加入者機器2と第2の加入者機器3との間に信頼関係が存在している必要はない。
2つの加入者機器および交換局を有するネットワーク装置を示す。 第1の加入者機器と第2の第2の加入者機器との間でメディアデータを伝送するためのシーケンシャル図を示す。 メディアデータを伝送するための方法の1つの実施形態によるフローチャートを示す。

Claims (10)

  1. メディアデータを伝送する方法において、
    −加入者機器(2)により第1の鍵を使用して暗号化パラメータ(k)のセットを生成するステップと
    −前記加入者機器(2)からアプリケーション機能(8)に、前記暗号化パラメータ(k)のセットを包含するリクエスト(21)を伝送するステップと、
    −前記アプリケーション機能(8)によって、暗号化に使用されるべき鍵を包含する暗号化コンテキスト(CC)を前記暗号化パラメータのセット(k)に依存して生成するステップと、
    −前記暗号化コンテキスト(CC)を前記アプリケーション機能(8)からコアネットワーク(7)の制御インタフェース(17)を介してメディアサーバ(10)に伝送するステップと、
    −暗号化されていないメディアデータ(28)を前記メディアサーバ(10)によって前記暗号化コンテキスト(CC)の鍵を使用して暗号化するステップと、
    −暗号化された前記メディアデータ(27)を前記メディアサーバ(10)からアクセスネットワーク(4)のデータチャネル(19A)を介して前記加入者機器(2)に伝送するステップとを有することを特徴とする、メディアデータを伝送する方法。
  2. メディアデータを伝送する方法において、
    −加入者機器(2)により第1の鍵を使用して暗号化パラメータ(k)のセットを生成するステップと
    −前記加入者機器(2)からアプリケーション機能(8)に、前記暗号化パラメータ(k)のセットを包含するリクエスト(21)を伝送するステップと、
    −前記アプリケーション機能(8)によって、解読に使用されるべき鍵を包含する暗号化コンテキスト(CC)を前記暗号化パラメータのセット(k)に依存して生成するステップと、
    −前記暗号化コンテキスト(CC)を前記アプリケーション機能(8)からコアネットワーク(7)の制御インタフェース(17)を介してメディアサーバ(10)に伝送するステップと、
    −暗号化されたメディアデータ(27)を前記加入者機器(2)からアクセスネットワーク(4)のデータチャネル(19A)を介して前記メディアサーバ(10)に伝送するステップと、
    −暗号化された前記メディアデータ(27)を前記メディアサーバ(10)によって前記暗号化コンテキスト(CC)の鍵を使用して解読するステップとを有することを特徴とする、メディアデータを伝送する方法。
  3. −前記アプリケーション機能(8)により第2の鍵を使用して前記暗号化パラメータ(k)のセットを検査するステップを付加的に有する、請求項1または2記載の方法。
  4. 前記加入者機器(2)および前記アプリケーション機能(8)はセッション開始プロトコルを実施するために設計されており、前記暗号化パラメータ(k)のセットを該セッション開始プロトコルに応じたメッセージ(21,23,26)の交換によって確定する、請求項1から3までのいずれか1項記載の方法。
  5. −前記アプリケーション機能(8)により前記加入者機器(2)の認証を検査するステップと、
    −前記アプリケーション機能(8)から前記制御インタフェース(17)を介して前記メディアサーバ(10)に認証データを伝送するステップとを付加的に有する、請求項1から4までのいずれか1項記載の方法。
  6. 前記制御インタフェース(17)は、値ペアを伝送するために設計されているインタフェース(15)を有し、前記暗号化コンテキスト(CC)を伝送するステップにおいて、値ペアのセットを符号化された暗号化コンテキスト(24)として伝送する、請求項1から5までのいずれか1項記載の方法。
  7. ネットワーク装置(1)において、
    −セッションキーを生成、ネゴシエーションまたは検査するキーユニット(12)とアクセスネットワーク(4)への第1のインタフェース(11A)とを備えたアプリケーション機能(8)と、
    −暗号化ユニット(14)と、前記アクセスネットワーク(4)への第2のインタフェース(13A)とを備えたメディアサーバ(10)と、
    −前記アプリケーション機能(8)を前記メディアサーバ(10)に機能的に接続する制御インタフェース(17)を備えたコアネットワーク(7)とを有し、
    −加入者機器(2)が前記アクセスネットワーク(4)の制御チャネル(18)を介して前記アプリケーション機能(8)の前記第1のインタフェース(11A)と接続されており、且つ前記アクセスネットワーク(4)のデータチャネル(19A)を介して前記メディアサーバ(10)の前記第2のインタフェース(13A)と接続されており、
    −前記キーユニット(12)は、前記加入者機器(2)からの暗号化パラメータ(k)のセットを包含するリクエスト(21)を評価し、該暗号化パラメータ(k)のセットに依存して、暗号化のために使用されるべき鍵を包含する暗号化コンテキスト(CC)を生成し、該暗号化コンテキスト(CC)を前記制御インタフェース(17)を介して前記暗号化ユニット(14)に伝送し、
    −前記暗号化ユニット(14)は、前記第2のインタフェース(13A)から受信した暗号化されたメディアデータ(27)を前記暗号化コンテキスト(CC)の鍵を使用して解読するか、暗号化されていないメディアデータ(28)を前記暗号化コンテキスト(CC)の鍵を使用して暗号化し、前記第2のインタフェース(13A)を介して供給する、ことを特徴とする、ネットワーク装置(1)。
  8. 前記制御インタフェース(17)は判定機能(9)を有し、該判定機能(9)は前記コアネットワーク(7)の個々のサービスへのアクセスをイネーブルするかブロックし、前記アプリケーション機能(8)は第3のインタフェース(15)を介して前記判定機能(9)と接続されており、前記判定機能(9)は第4のインタフェース(16)を介して前記メディアサーバ(10)と接続されている、請求項7記載のネットワーク装置(1)。
  9. IPマルチメディアサブシステムである、請求項7または8記載のネットワーク装置(1)。
  10. ネットワーク装置(1)の1つまたは複数のコンピュータにおいてコンピュータプログラムコードが実行されると、請求項1から6までのいずれか1項記載の方法を前記コンピュータに実させるコンピュータプログラムコードを有することを特徴とする、コンピュータプログラム
JP2008553708A 2006-02-09 2007-01-26 メディアサーバと加入者機器との間においてメディアデータを暗号化して伝送するための方法、装置および/またはコンピュータプログラム製品 Active JP4856723B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102006006071A DE102006006071A1 (de) 2006-02-09 2006-02-09 Verfahren zum Übertragen von Mediendaten, Netzwerkanordnung mit Computerprogrammprodukt
DE102006006071.7 2006-02-09
PCT/EP2007/050792 WO2007090745A1 (de) 2006-02-09 2007-01-26 Verfahren, vorrichtung und computerprogrammprodukt zum verschlüsselten übertragen von mediendaten zwischen dem medienserver und dem teilnehmergerät

Publications (2)

Publication Number Publication Date
JP2009526454A JP2009526454A (ja) 2009-07-16
JP4856723B2 true JP4856723B2 (ja) 2012-01-18

Family

ID=38024223

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008553708A Active JP4856723B2 (ja) 2006-02-09 2007-01-26 メディアサーバと加入者機器との間においてメディアデータを暗号化して伝送するための方法、装置および/またはコンピュータプログラム製品

Country Status (7)

Country Link
US (1) US20090070586A1 (ja)
EP (1) EP1982494B1 (ja)
JP (1) JP4856723B2 (ja)
CN (1) CN101379802B (ja)
CY (1) CY1117070T1 (ja)
DE (1) DE102006006071A1 (ja)
WO (1) WO2007090745A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2628329B1 (en) * 2010-09-15 2016-08-10 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for sending protected data in a communication network via an intermediate unit
CN102594794B (zh) * 2011-12-24 2015-04-29 华为技术有限公司 一种媒体加密会议的接入方法及装置
US9191410B2 (en) * 2014-01-13 2015-11-17 Nokia Solutions And Networks Oy Method and apparatus for enhancing communication security
US9967319B2 (en) * 2014-10-07 2018-05-08 Microsoft Technology Licensing, Llc Security context management in multi-tenant environments
US9591479B1 (en) 2016-04-14 2017-03-07 Wickr Inc. Secure telecommunications
CN108123783B (zh) * 2016-11-29 2020-12-04 华为技术有限公司 数据传输方法、装置及系统
US10778432B2 (en) 2017-11-08 2020-09-15 Wickr Inc. End-to-end encryption during a secure communication session
US10541814B2 (en) 2017-11-08 2020-01-21 Wickr Inc. End-to-end encryption during a secure communication session
US10855440B1 (en) 2017-11-08 2020-12-01 Wickr Inc. Generating new encryption keys during a secure communication session
US11101999B2 (en) 2017-11-08 2021-08-24 Amazon Technologies, Inc. Two-way handshake for key establishment for secure communications
CN108989886A (zh) * 2018-08-07 2018-12-11 福建天泉教育科技有限公司 一种播放加密视频的方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004032711A (ja) * 2002-05-01 2004-01-29 Nec Corp マルチキャストサービスデータ配信システム及びその方法並びに秘匿キー生成装置及びプログラム
JP2004535698A (ja) * 2001-03-28 2004-11-25 クゥアルコム・インコーポレイテッド 無線通信システムにおける放送シグナリングのための方法および装置
JP2006295682A (ja) * 2005-04-13 2006-10-26 Matsushita Electric Ind Co Ltd 通信装置、通信端末装置、通信システム及びマルチキャストパケット通信方法
JP2006340296A (ja) * 2005-06-06 2006-12-14 Hitachi Communication Technologies Ltd 復号鍵配信方法及び認証装置
JP2007501469A (ja) * 2003-08-06 2007-01-25 モトローラ・インコーポレイテッド コンテンツ・プロバイダ認証方法及び装置
JP2007503753A (ja) * 2003-08-25 2007-02-22 サムスン エレクトロニクス カンパニー リミテッド Mbmsの逆方向互換性支援方法
JP2007527652A (ja) * 2003-07-07 2007-09-27 クゥアルコム・インコーポレイテッド マルチキャスト・ブロードキャスト・マルチメディア・システム(mbms)のための安全な登録
JP2007531418A (ja) * 2004-06-02 2007-11-01 モトローラ・インコーポレイテッド パケットデータ通信システムにおける放送マルチキャストサービスの配信を規制する方法および装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5751813A (en) * 1996-04-29 1998-05-12 Motorola, Inc. Use of an encryption server for encrypting messages
US6374260B1 (en) * 1996-05-24 2002-04-16 Magnifi, Inc. Method and apparatus for uploading, indexing, analyzing, and searching media content
US6385596B1 (en) * 1998-02-06 2002-05-07 Liquid Audio, Inc. Secure online music distribution system
KR100408287B1 (ko) * 2001-06-15 2003-12-03 삼성전자주식회사 컨텐트 보호 시스템 및 방법
US20030053629A1 (en) * 2001-09-14 2003-03-20 Koninklijke Philips Electronics N.V. USB authentication interface
US20030097584A1 (en) * 2001-11-20 2003-05-22 Nokia Corporation SIP-level confidentiality protection
TWI220625B (en) * 2002-05-01 2004-08-21 Nec Corp Service data multicasting system and method therefor and security key generating system
EP1422908B1 (de) * 2002-11-25 2005-11-30 Siemens Aktiengesellschaft Verfahren und Anordnung zum verschlüsselten Übertragen von Kommunikationsdatenströmen über ein paketorientiertes Kommunikationsnetz
DE10307403B4 (de) * 2003-02-20 2008-01-24 Siemens Ag Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem
DE10310735A1 (de) * 2003-03-10 2004-10-21 Deutsche Telekom Ag Einrichtung zur kryptographisch gesicherten Übertragung von Daten
CN1645797A (zh) * 2005-01-28 2005-07-27 南望信息产业集团有限公司 在数字版权管理系统中使用的优化安全数据传输的方法
DE102006046017B4 (de) * 2006-09-28 2010-01-14 Siemens Ag Verfahren zum Bereitstellen eines symmetrischen Schlüssels zum Sichern eines Schlüssel-Management-Protokolls

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004535698A (ja) * 2001-03-28 2004-11-25 クゥアルコム・インコーポレイテッド 無線通信システムにおける放送シグナリングのための方法および装置
JP2004032711A (ja) * 2002-05-01 2004-01-29 Nec Corp マルチキャストサービスデータ配信システム及びその方法並びに秘匿キー生成装置及びプログラム
JP2007527652A (ja) * 2003-07-07 2007-09-27 クゥアルコム・インコーポレイテッド マルチキャスト・ブロードキャスト・マルチメディア・システム(mbms)のための安全な登録
JP2007501469A (ja) * 2003-08-06 2007-01-25 モトローラ・インコーポレイテッド コンテンツ・プロバイダ認証方法及び装置
JP2007503753A (ja) * 2003-08-25 2007-02-22 サムスン エレクトロニクス カンパニー リミテッド Mbmsの逆方向互換性支援方法
JP2007531418A (ja) * 2004-06-02 2007-11-01 モトローラ・インコーポレイテッド パケットデータ通信システムにおける放送マルチキャストサービスの配信を規制する方法および装置
JP2006295682A (ja) * 2005-04-13 2006-10-26 Matsushita Electric Ind Co Ltd 通信装置、通信端末装置、通信システム及びマルチキャストパケット通信方法
JP2006340296A (ja) * 2005-06-06 2006-12-14 Hitachi Communication Technologies Ltd 復号鍵配信方法及び認証装置

Also Published As

Publication number Publication date
JP2009526454A (ja) 2009-07-16
WO2007090745A1 (de) 2007-08-16
CN101379802A (zh) 2009-03-04
CN101379802B (zh) 2012-01-11
CY1117070T1 (el) 2017-04-05
DE102006006071A1 (de) 2007-08-16
US20090070586A1 (en) 2009-03-12
EP1982494B1 (de) 2015-10-14
EP1982494A1 (de) 2008-10-22

Similar Documents

Publication Publication Date Title
JP4856723B2 (ja) メディアサーバと加入者機器との間においてメディアデータを暗号化して伝送するための方法、装置および/またはコンピュータプログラム製品
US9537837B2 (en) Method for ensuring media stream security in IP multimedia sub-system
KR100976635B1 (ko) Ims 네트워크에서 미디어 보안을 제공하는 방법 및 미디어 보안을 제공하는 ims 네트워크
JP5106682B2 (ja) マシン・ツー・マシン通信のための方法及び装置
JP4284324B2 (ja) 移動無線システムにおける暗号鍵を形成および配布する方法および移動無線システム
Westerlund et al. Options for securing RTP sessions
WO2011022999A1 (zh) 一种终端对视频会议数据进行加密的方法及系统
JP5153938B2 (ja) 通信ネットワークにおけるiptvセキュリティ
EP2426852A1 (en) Method and system for implementing secure forking calling session in ip multi-media subsystem
JP4838881B2 (ja) メディアデータを符号化および復号化するための方法、装置ならびにコンピュータプログラム製品
WO2008040213A1 (fr) Procédé, système et dispositif de chiffrement et de signature de messages dans un système de communication
KR101488167B1 (ko) 키­관리 프로토콜을 보호하기 위해 대칭 키를 제공하는 방법
WO2011020332A1 (zh) 一种ip多媒体子系统会议媒体数据的加密方法及系统
US11218515B2 (en) Media protection within the core network of an IMS network
CN101222612A (zh) 一种安全传输媒体流的方法和系统
Chen et al. An efficient end-to-end security mechanism for IP multimedia subsystem
WO2009094813A1 (fr) Procédé et appareil de négociation de paramètres de sécurité pour sécuriser le flux multimédia
WO2007051415A1 (fr) Systeme de communication mobile, procede de transmission d’information et son dispositif
WO2008083620A1 (fr) Procédé, système et appareil pour une négociation de contexte de sécurité de flux multimédia

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20101228

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20101227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110602

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110826

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110930

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111028

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141104

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4856723

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250