WO2011097804A1

WO2011097804A1 - 媒体流传输密钥操作方法、装置及系统

Info

Publication number: WO2011097804A1
Application number: PCT/CN2010/070637
Authority: WO
Inventors: 杨玮玮
Original assignee: 华为技术有限公司
Priority date: 2010-02-11
Filing date: 2010-02-11
Publication date: 2011-08-18
Also published as: EP2487856A4; HUE027832T2; CN102812681B; EP2487856B1; US9130961B2; CN102812681A; ES2583727T3; PT2487856E; EP2487856A1; US20120243555A1; USRE48132E1

Description

媒体流传输密钥操作方法、装置及系统

技术领域

本发明涉及通信技术领域，尤其涉及一种媒体流传输密钥操作方法、装置及系统。

背景技术

在承载与控制分离架构下，通常釆用网关控制协议，如 H.248, 作为业务层控制实体和媒体面执行实体之间的控制协议。在这种机制下，媒体面执行实体包括媒体网关（Media Gateway, MG ), 而业务层控制实体包括媒体网关控制器 ( Media Gateway Controller, MGC )。

伴随着 IP业务的广泛使用，网络中数据传输的安全性问题也变得越来越重要。从协议角度来看， IP 业务的安全性主要包括两个方面，一个是控制面的安全性，一个是媒体面的安全性。

实时传输协议 (Real-Time Transport Protocol, RTP )是互联网工程任务组 ( Internet Engineering Task Force, IETF )制定的一种针对多媒体数据流传输的协议。 RTP负责多媒体数据的传输，而实时传输控制协议（ RTP Control

Protocol, RTCP) 则提供服务质量监控、拥塞控制以及媒体同步等功能。 RTP 提供了一定的保密性，可以对 RTP有效载荷进行加密。不过其默认的算法容易被破解， IETF对 RTP协议进行了扩展，提出了一种安全实时传输协议（Secure Real-time Transport Protocol, SRTP )。通常通过会话初始化协议 ( Session Initiation Protocol, SIP )协商会话中使用的 SRTP密钥信息，通过业务层控制实体与媒体面执行实体的交互进行密钥信息的传递，从而实现媒体面的安全功能。

在实现本发明的过程中，发明人发现现有技术至少存在如下缺陷：在当前的网络场景中，虽然支持业务和承载层面上媒体流传输密钥的接收和使用，但是无法对媒体流传输密钥的生存期状态进行操作。

发明内容

本发明实施例提供一种媒体流传输密钥操作方法、装置及系统，以解决现有技术中无法对媒体流传输密钥的生存期状态进行操作的问题。

本发明实施例提供一种媒体流传输密钥操作方法，包括：

媒体网关检测媒体流传输密钥的生存期状态信息；

当所述媒体网关判断所述媒体流传输密钥的生存期期满时，所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

本发明实施例还提供一种媒体网关，包括检测模块、判断模块和操作模块：所述检测模块用于检测媒体流传输密钥的生存期状态信息；

所述判断模块用于判断所述媒体流传输密钥的生存期状态信息是否期满；所述操作模块用于当判断模块判断所述媒体流传输密钥的生存期期满时，根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

本发明实施例还提供一种媒体流传输密钥操作系统，包括媒体网关控制器和媒体网关：

所述媒体网关控制器用于向媒体网关发送密钥期满事件；

所述媒体网关用于接收媒体网关控制器发送的密钥期满事件；根据接收的媒体网关控制器下发的密钥期满事件，检测媒体流传输密钥的生存期状态信息；判断所述媒体流传输密钥的生存期状态信息是否期满；当判断所述媒体流传输密钥的生存期期满时，根据所述媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

本发明实施例中，当媒体网关判断媒体流传输密钥的生存期期满时，所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。本实施例填补了在 MG和 MGC分离架构下，进行媒体流传输密钥的生存期状态操作的技术空白。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明媒体流传输密钥操作方法一个实施例的流程图；

图 2为本发明媒体流传输密钥操作方法另一个实施例的流程图；图 3为本发明媒体流传输密钥操作方法再一个实施例的流程图；图 4为本发明媒体流传输密钥操作方法又再一个实施例的流程图；图 5为本发明方法提供的一个实施例的信令流程图；

图 6为本发明媒体网关一个实施例的结构示意图；

图 7为本发明媒体网关另一个实施例的结构示意图；

图 8为本发明媒体网关控制器一个实施例的结构示意图；

图 9为本发明媒体流传输密钥操作系统一个实施例的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了适应不同的应用场景，加强网络对不同安全隐患的防范，往往会部署各种不同的密钥，应用于不同的时段、领域等，因此网络中存在大量不同的媒体流传输密钥，每一个传输密钥都会对应不同的生存期，生存期决定新密钥的生成时间。图 1为本发明媒体流传输密钥操作方法一个实施例的流程图，如图 1所示，本实施例的方法包括：

步骤 101、媒体网关检测媒体流传输密钥的生存期状态信息。

举例来说， MG 可以根据接收的密钥期满事件，检测媒体流传输密钥的生存期状态信息。其中密钥期满事件由媒体网关控制器下发给媒体网关，当然也可以在媒体网关上预先设置。

在具体实现过程中，本实施例可以在某个已有的基于 H. 248协议的功能包中或者扩展功能包中扩展一个事件，比如可以将该事件命名为 "密钥期满（Key Expi ry )" 事件，缩写为 "ke"。当 MG接收到 MGC下发的密钥期满事件时，即可触发 MG检测媒体流传输密钥的生存期状态信息。

步骤 102、当所述媒体网关判断所述媒体流传输密钥的生存期期满时，所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

举例来说，媒体网关检测媒体流传输密钥的生存期状态信息，并对检测到的媒体流传输密钥的生存期状态信息进行判断，当所述媒体网关判断所述媒体流传输密钥的生存期期满时，所述媒体网关可以根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

举例来说，所述媒体流传输密钥的生存期期满的判断条件可以为，使用相同媒体流传输密钥传输的报文数目达到该媒体流传输密钥设定的最大数目，这时，该媒体流传输密钥仍没有更新，则可以判断该媒体流传输密钥的生存期期

、/两。

当媒体流传输密钥的生存期期满时， MGC为了指示 MG执行相应的媒体流传输密钥生存期期满行为，本实施例可以在所述 "密钥期满" 事件中扩展一个参数，比如可以将该参数命名为 "密钥生存期期满行为（Key Li fet ime Expi ry Behaviour )" 参数，缩写为 "kleb" , 指示 MG执行相应的媒体流传输密钥生存期期满行为。当 MG接收到 MGC指示的媒体流传输密钥生存期期满行为参数时，即可在媒体流传输密钥期满时执行相应的媒体流传输密钥生存期期满行为。

举例来说，可以定义 "密钥生存期期满行为" 参数的参数类型为枚举型 ( Enume ra t ion ), 其可能的取值包括以下的至少一种：

媒体网关自治行为，即媒体网关自主决定处理行为（MG de termined ac t ion ), 这时媒体网关不需要再一步请示媒体网关控制器的指示，而可以自主决定处理行为，例如可以定义此参数的取值为 0x0001 ; 或者

媒体网关关闭媒体流，并且发送媒体流关闭消息（如， RTCP BYE ), 例如可以定义此参数的取值为 0x0002 ; 或者

媒体网关向媒体网关控制器上报密钥期满事件，不发送媒体流关闭消息 (如， RTCP BYE ), 例如可以定义此参数的取值为 0x0003; 或者

媒体网关向媒体网关控制器上报密钥期满事件，关闭媒体流，并且发送媒体流关闭消息（如， RTCP BYE ), 例如可以定义此参数的取值为 0x0004。

本实施例中，所述媒体网关发送媒体流关闭消息的发送对象，是承载层上其它的网络实体，例如可以是用户设备（User Equi pment , UE )。媒体网关可以发送 RTCP BYE消息给对端的承载层网络实体，来关闭承载面上的媒体流。

本实施例中，所述媒体网关向所述媒体网关控制器上报密钥期满事件，即当 MG通过网关控制协议的消息通报 MGC , 其中携带密钥期满事件。为了可以让 MG在媒体流传输密钥生存期期满之前及时通报给 MGC , 还可以在上报的密钥期满事件中携带一个密钥期满的指示参数，通过该指示参数的不同取值来表示当前的媒体流传输密钥是否还在继续使用。例如，该指示参数可以定义为布尔型（Boo lean ), 取值为 "On" 时表示当前媒体流传输密钥所应用的媒体流报文数目已经达到密钥生存期的最大期限，即当前媒体流传输密钥生存期期满；取值为 "Of f" 时表示当前媒体流传输密钥所应用的媒体流报文数目尚未达到密钥生存期的最大期限。

本实施例中，当密钥期满事件由 MGC下发给 MG时， "密钥生存期期满行为"参数可以携带在密钥期满事件中一起下发给 MG , 当然也可以单独下发 "密钥生存期期满行为" 参数。当密钥期满事件在媒体网关上预先设置时， MGC单独下发 "密钥生存期期满行为" 参数给 MG。

本实施例中，当媒体网关判断媒体流传输密钥的生存期期满时，所述媒体网关可以根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。本实施例填补了在 MG和 MGC分离架构下，进行媒体流传输密钥的生存期状态操作的技术空白。而且通过检测媒体流传输密钥的生存期状态，可以实现媒体流的安全传输。

在媒体流传输时，常常会涉及到一个或多个不同的传输密钥，比如可以包括主密钥（Ma s ter Key )和会话密钥（ Ses s ion Key )。在这种情况下，可以通过对上述机制进行增强，以实现对不同粒度的密钥期满操作。

本发明媒体流传输密钥操作方法的另一个实施例中，可以对密钥期满 "( Key Exp i ry )" 事件具体化。例如，要实现对主密钥的检测，可以通过定义具体的 "主密钥期满（Ma s ter Key Exp i ry )" 事件，缩写为 "mke"。本实施例可以包括步骤：

201、当媒体网关接收到媒体网关控制器下发的主密钥期满 "mke"事件时，即可触发媒体网关检测媒体流传输主密钥的生存期状态信息。

202、当所述媒体网关判断所述媒体流传输主密钥的生存期期满时，所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

具体的判断条件，可以参照实施例一的描述。

MGC指示 MG执行相应的媒体流传输密钥生存期期满行为的具体方法，可以参照实施例一的描述。本发明媒体流传输密钥操作方法的再一个实施例中，可以对媒体流传输密钥进行分类，实现对不同类别的媒体流传输密钥生存期期满行为。例如，可以在所述 "密钥期满" 事件中定义一个 "密钥类型（Key Type )" 参数，缩写为 "kt" , 其取值可以包括主密钥和会话密钥，从而实现对不同类型的媒体流传输密钥生存期状态的检测。本实施例可以包括步骤：

301、当媒体网关接收到媒体网关控制器下发的包含密钥类型 "kt" 参数的密钥期满事件时，即可触发媒体网关检测指定类型的媒体流传输密钥的生存期状态信息。

302、当所述媒体网关判断指定类型的媒体流传输密钥的生存期期满时，所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

具体的判断条件，可以参照实施例一的描述。

MGC指示 MG执行相应的媒体流传输密钥生存期期满行为的具体方法，可以参照实施例一的描述。

本发明媒体流传输密钥操作方法的又再一个实施例中，可以对媒体流传输密钥进行标识，实现对某个具体的媒体流传输密钥生存期期满行为。例如，可以在所述 "密钥期满"事件中定义一个 "密钥标识 ( Key Ident if ier )，，参数, 缩写为 "ki" , 其取值可以是某个具体的密钥。本实施例可以包括步骤：

401、当媒体网关接收到媒体网关控制器下发的包含密钥标识 "ki" 参数的密钥期满事件时，即可触发媒体网关检测指定标识的媒体流传输密钥的生存期状态信息。

402、当所述媒体网关判断指定标识的媒体流传输密钥的生存期期满时，所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。具体的判断条件，可以参照实施例一的描述。

本发明媒体流传输密钥操作方法上述实施例中，可以通过对密钥期满 "( Key Expi ry )" 事件具体化，或者可以对媒体流传输密钥进行分类、或者可以对媒体流传输密钥进行标识，当媒体网关判断具体的、或者指定类型或标识的媒体流传输密钥的生存期期满时，所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。本发明上述实施例填补了在 MG和 MGC 分离架构下，进行媒体流传输密钥的生存期状态操作的技术空白。而且通过检测媒体流传输密钥的生存期状态，可以实现媒体流的安全传输。

图 5为本发明方法提供的一个实施例的信令流程图，如图 5所示，本实施例的方法包括：

步骤 501、 MGC和 MG协商媒体流传输所釆用的密钥信息。这里，密钥信息可以是 MGC所在业务层协商确定的，也可以是 MGC基于本地策略生成并指示给 MG的。

步骤 502、 MG根据 MGC的指示，开始对密钥保护的媒体流的收发，包括：对发送的媒体流进行加密，并对接收到的媒体流进行解密。

步骤 503、以用户终端为例， MG和用户终端开始媒体流的安全传输。步骤 504、 MGC向 MG发送媒体流传输密钥生存期状态信息检测事件请求，其中包含 "密钥期满（ke )，，事件，并且所述 "密钥期满（ke )，，事件携带 "密钥生存期期满行为（kleb )" 参数。在本例中， "密钥生存期期满行为（kleb )" 参数取值为 "0x0004" , 即当媒体流传输密钥期满时，媒体网关向媒体网关控制器上 "^密钥期满事件，关闭媒体流，并且发送媒体流关闭消息（如， RTCP BYE )。步骤 505、 MG向 MGC发送应答消息。

步骤 506、 MG检测对应媒体流传输密钥的生存期状态信息，并对检测到的媒体流传输密钥的生存期状态信息进行判断。

步骤 507、 MG判断所述媒体流传输密钥的生存期期满时，根据 MGC的指示执行媒体流传输密钥生存期期满行为，具体包括向 MGC上报密钥期满事件。

步骤 508、 MGC向 MG发送应答消息。

步骤 509、 MG根据 MGC的指示执行媒体流传输密钥生存期期满行为，具体包括 MG向用户终端发送 RTCP BYE消息，关闭媒体流。

本实施例填补了在 MG和 MGC分离架构下，进行媒体流传输密钥的生存期状态操作的技术空白。而且通过检测媒体流传输密钥的生存期状态，可以实现媒体流的安全传输。

以上以某个媒体流传输密钥为例，当涉及到多个不同的传输密钥时，可以对密钥期满 "（Key Exp i ry )" 事件具体化，例如，要实现对主密钥的检测，可以通过定义的 "主密钥期满 mke"事件；或者可以对媒体流传输密钥进行分类，实现对不同类别的媒体流传输密钥生存期期满行为，例如，可以在所述 "密钥期满（ke )，，事件中定义一个 "密钥类型 k t " 参数；可以对媒体流传输密钥进行标识，实现对某个具体的媒体流传输密钥生存期期满行为，例如，可以在所述 "密钥期满（ke )，，事件中定义一个 "密钥标识 k i " 参数，其取值可以是某个具体的密钥。以上实施例具体的信令流程图不再详述。

本发明还提供了媒体流传输密钥操作装置的实施例的结构示意图，以媒体网关为例说明。

图 6为本发明媒体网关一个实施例的结构示意图，如图 6所示，本实施例的媒体网关包括：检测模块 1 1、判断模块 12和操作模块 1 3 , 该检测模块 1 1 用于检测媒体流传输密钥的生存期状态信息；判断模块 12用于判断所述媒体流传输密钥的生存期状态信息是否期满；操作模块 1 3用于当判断模块 12判断所述媒体流传输密钥的生存期期满时，根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

本实施例的媒体网关与图 1 所示的媒体流传输密钥操作方法实施例相对应，具体实现原理不再赘述。

图 7为本发明媒体网关另一个实施例的结构示意图，如图 7所示，本实本实施例的媒体网关包括：检测模块 11、判断模块 12和操作模块 1 3 , 还包括：接收模块 14 , 该接收模块 14用于接收媒体网关控制器下发的密钥期满事件；所述检测模块 11根据接收模块 14接收的媒体网关控制器下发的密钥期满事件，检测媒体流传输密钥的生存期状态信息；判断模块 12用于判断所述媒体流传输密钥的生存期状态信息是否期满；操作模块 1 3用于当判断模块 12判断所述媒体流传输密钥的生存期期满时，根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

可选的，接收模块 14用于接收媒体网关控制器下发的 "主密钥期满 mke" 事件；所述检测模块 11根据接收模块 14接收的媒体网关控制器下发的主密钥期满事件，检测媒体流传输主密钥的生存期状态信息；判断模块 12用于判断所述媒体流传输主密钥的生存期状态信息是否期满；操作模块 1 3用于当判断模块 12判断所述媒体流传输主密钥的生存期期满时，根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

本实施例的媒体网关与图 2 所示的媒体流传输密钥操作方法实施例相对应，具体实现原理不再赘述。

可选的，接收模块 14 还用于接收媒体网关控制器下发的包含密钥类型 "kt"参数的密钥期满事件；所述检测模块 11根据接收模块 14接收的媒体网关控制器下发的密钥期满事件，检测指定类型的媒体流传输密钥的生存期状态信息；判断模块 12用于判断指定类型的媒体流传输密钥的生存期状态信息是否期满；操作模块 13用于当判断模块 12判断所述指定类型的媒体流传输密钥的生存期期满时，根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

本实施例的媒体网关与图 3 所示的媒体流传输密钥操作方法实施例相对应，具体实现原理不再赘述。

可选的，接收模块 14 还用于接收媒体网关控制器下发的包含密钥标识 "ki"参数的密钥期满事件；所述检测模块 11根据接收模块 14接收的媒体网关控制器下发的密钥期满事件，检测指定标识的媒体流传输密钥的生存期状态信息；判断模块 12用于判断指定标识的媒体流传输密钥的生存期状态信息是否期满；操作模块 13用于当判断模块 12判断所述指定标识的媒体流传输密钥的生存期期满时，根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

本实施例的媒体网关与图 4 所示的媒体流传输密钥操作方法实施例相对应，具体实现原理不再赘述。

可选的，接收模块 14还用于接收媒体网关控制器下发的包含 "密钥生存期期满行为（Key Li fet ime Expi ry Behaviour )" 参数的密钥期满事件；操作模块 13用于当判断模块 12判断所述媒体流传输密钥的生存期期满时，根据媒体网关控制器下发的 "密钥生存期期满行为（ Key Lifet ime Expi ry Behaviour )" 参数的指示执行媒体流传输密钥生存期期满行为。

具体的，可以定义 "密钥生存期期满行为" 参数的参数类型为枚举型 ( Enume ra t ion ), 其可能的取值包括以下的至少一种：

媒体网关自治行为，即媒体网关自主决定处理行为（MG determined act ion ), 这时媒体网关不需要再一步请示媒体网关控制器的指示，而可以自主决定处理行为，例如可以定义此参数为 0x0001 ; 或者

媒体网关关闭媒体流，并且发送媒体流关闭消息（如， RTCP BYE ), 例如可以定义此参数为 0x0002; 或者

媒体网关向媒体网关控制器上报密钥期满事件，不发送媒体流关闭消息 (如， RTCP BYE ), 例如可以定义此参数为 0x0003; 或者

媒体网关向媒体网关控制器上报密钥期满事件，关闭媒体流，并且发送媒体流关闭消息（如， RTCP BYE ), 例如可以定义此参数为 0x0004。

上述媒体网关实施例中，当判断模块判断媒体流传输密钥的生存期期满时，所述操作模块可以根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。本实施例填补了在 MG和 MGC分离架构下，进行媒体流传输密钥的生存期状态操作的技术空白。而且通过检测媒体流传输密钥的生存期状态，可以实现媒体流的安全传输。

图 8为本发明媒体网关控制器一个实施例的结构示意图，如图 8所示，本实施例的媒体网关控制器包括：发送模块 11，该发送模块 14用于向媒体网关下发密钥期满事件，以使媒体网关根据所述密钥期满事件，检测媒体流传输密钥的生存期状态信息。。

可选地，所述发送模块 21 , 用于向媒体网关下发的 "主密钥期满 mke" 事件。

可选地，所述发送模块 21 , 用于向媒体网关下发包含密钥类型 "kt" 参数的密钥期满事件。

可选地，所述发送模块 21 , 用于向媒体网关下发包含密钥标识 "ki " 参数的密钥期满事件。

可选地，所述发送模块 21 , 用于向媒体网关下发包括 "密钥生存期期满行为（Key Li fet ime Expi ry Behaviour )" 参数的密钥期满事件。当所述 "密钥生存期期满行为（Key L i fe t ime Exp i ry Behav iour )" 参数包括媒体网关向媒体网关控制器上报密钥期满事件时，所述媒体网关控制器还包括接收模块 22 , 用于接收媒体网关上报的密钥期满事件。

本实施例的媒体网关控制器与媒体流传输密钥操作方法实施例相对应，具体实现原理不再赘述。

图 9 为本发明媒体流传输密钥操作系统一个实施例的结构示意图，如图 98所示，本实施例的媒体流传输密钥操作系统包括：媒体网关控制器 2和媒体网关 1 , 媒体网关控制器 2用于向媒体网关 1发送密钥期满事件；媒体网关 1用于接收媒体网关控制器 2发送的密钥期满事件；根据接收的媒体网关控制器下发的密钥期满事件，检测媒体流传输密钥的生存期状态信息；判断所述媒体流传输密钥的生存期状态信息是否期满；当判断所述媒体流传输密钥的生存期期满时，根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

上述系统实施例与媒体流传输密钥操作方法实施例相对应，具体实现原理不再赘述。

上述系统实施例中，填补了在 MG和 MGC分离架构下，进行媒体流传输密钥的生存期状态操作的技术空白。而且通过检测媒体流传输密钥的生存期状态，可以实现媒体流的安全传输。

最后应说明的是：以上实施例仅用以说明本发明的技术方案而非对其进行限制，尽管参照较佳实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对本发明的技术方案进行修改或者等同替换，而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。

Claims

权利要求

1、一种媒体流传输密钥操作方法，其特征在于，包括：

媒体网关检测媒体流传输密钥的生存期状态信息；

2、根据权利要求 1所述的方法，其特征在于，所述媒体网关根据接收的密钥期满事件，检测媒体流传输密钥的生存期状态信息，所述密钥期满事件由所述媒体网关控制器下发给所述媒体网关；或所述密钥期满事件预先设置在所述媒体网关。

3、根据权利要求 2所述的方法，其特征在于，所述密钥期满事件中包括密钥类型参数，媒体网关根据媒体网关控制器下发的包含密钥类型参数的密钥期满事件，检测指定类型的媒体流传输密钥的生存期状态信息；当所述媒体网关判断指定类型的媒体流传输密钥的生存期期满时，所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为；或

所述密钥期满事件中包括密钥标识参数，媒体网关根据媒体网关控制器下发的包含密钥标识参数的密钥期满事件，检测指定标识的媒体流传输密钥的生存期状态信息；当所述媒体网关判断指定标识的媒体流传输密钥的生存期期满时，所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

4、根据权利要求 1所述的方法，其特征在于，所述媒体网关根据接收的主密钥期满事件，检测媒体流传输主密钥的生存期状态信息；当所述媒体网关判断所述媒体流传输主密钥的生存期期满时，所述媒体网关根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

5、根据权利要求 1所述的方法，其特征在于，所述媒体流传输密钥的生存期期满的判断条件为，使用相同媒体流传输密钥传输的报文数目达到所述媒体流传输密钥设定的最大数目。

6、根据权利要求 1-5所述的方法，其特征在于，所述媒体网关控制器的指示包括以下的至少一种：

指示所述媒体网关自主决定处理行为；或者

指示所述媒体网关关闭媒体流，并且发送媒体流关闭消息；或者指示所述媒体网关上报密钥期满事件，不发送媒体流关闭消息；或者指示所述媒体网关上报密钥期满事件，关闭媒体流，并且发送媒体流关闭消息。

7、一种媒体网关，其特征在于，包括检测模块、判断模块和操作模块：所述检测模块用于检测媒体流传输密钥的生存期状态信息；

8、根据权利要求 7所述的媒体网关，其特征在于，还包括接收模块：所述接收模块用于接收媒体网关控制器下发的密钥期满事件；

所述检测模块用于根据接收模块接收的媒体网关控制器下发的密钥期满事件，检测媒体流传输密钥的生存期状态信息。

9、根据权利要求 8所述的媒体网关，其特征在于，所述接收模块还用于接收包含密钥类型或密钥标识参数的密钥期满事件；

所述检测模块根据接收模块接收的媒体网关控制器下发的密钥期满事件，检测指定类型或指定标识的媒体流传输密钥的生存期状态信息；

所述判断模块用于判断指定类型或指定标识的媒体流传输密钥的生存期状态信息是否期满；所述操作模块用于当判断模块判断所述指定类型或指定标识的媒体流传输密钥的生存期期满时，根据媒体网关控制器的指示执行媒体流传输密钥生存期期满行为。

10、一种媒体流传输密钥操作系统，其特征在于，包括媒体网关控制器和媒体网关：

所述媒体网关控制器用于向媒体网关发送密钥期满事件；

11、根据权利要求 10所述的系统，其特征在于，所述的媒体网关包括权利要求 7至 9任一所述的媒体网关。