专利名称:用于在电路交换网络中利用ims数据安全机制的系统和方法
技术领域:
本发明涉及IP多媒体子系统(IMS)数据安全机制。
背景技术:
从基于电路交换(CS)的网络到基于分组交换(PS)的网络(例如,基于IMS的网络)的迁移将分步进行,并且两个网络可能长时间共存。在过去的若干年中已经标准化用于实现向基于IMS的基础设施的迁移的多种解决方案,诸如,例如语音呼叫连续性(VCC)。 这些解决方案中的大多数允许CS承载用于为用户传送语音业务,同时在IMS中提供服务控制。这些解决方案还可允许用户在CS承载与PS承载之间传递业务。对于媒体安全性,希望提供一种用于在媒体业务经由CS网络和PS网络传播的情况下提供端对端媒体安全性的手段。
发明内容
本发明的各方面提供一种在CS网络中利用IMS媒体安全机制的机制,并且由此在媒体业务经由CS网络和PS网络传播的情况下提供端对端媒体安全性。在一个方面,本发明提供一种由网关执行的方法。在一些实施例中,这种方法包括下列步骤建立与通信装置的电路交换连接;经由电路交换连接从通信装置接收帧,所述帧包括包含要送往远程通信装置的已加密已编码数据的净荷以及由远程通信装置对已加密已编码数据解密所需的一个或多个加密参数(例如,计数器值、完整性标签、密钥标识符);创建包括已编码数据和加密参数的协议数据单元;以及经由分组交换网络传送该协议数据单元,使得它将由远程通信装置接收。在一些实施例中,协议数据单元(PDU)(例如,SRTP PDU)包括信头部分和净荷部分,并且已编码数据放入净荷部分,而加密参数放入信头部分。在一些实施例中,在帧中,已编码数据紧接加密参数之后或之前。在一些实施例中,净荷由已加密已编码数据和一个或多个加密参数组成。在另一个方面,本发明提供改进的通信装置(例如,移动终端)。在一些实施例中, 通信装置包括密钥检索模块,配置成获得或创建加密密钥;电路交换连接建立模块,用于发起电路交换连接;净荷创建模块,配置成产生帧的净荷,其中净荷包含已加密已编码数据和一个或多个加密参数;以及传送器,可操作以使用电路交换连接向网关传送帧。在一些实施例中,净荷创建包括用于产生已编码数据的自适应多速率(AMR)编解码器;以及配置为对已编码数据加密并且生成帧的净荷的安全模块。密钥检索模块可以可操作以接收从密钥管理服务器传送的消息,其中消息包括所请求密钥。密钥检索模块还可以可操作以向密钥管理服务器传送消息,其中消息包括对于密钥的请求。在一些实施例中,密钥检索模块配置成使用短消息服务(SMS)或者非结构化补充服务数据(USSD)协议向密钥管理服务器传送消息。
在另一个方面,本发明提供一种由应用服务器执行的方法。在一些实施例中,该方法包括下列步骤在应用服务器接收从移动终端传送的会话发起消息,该会话发起消息包含凭单(例如,已加密密钥和/或其它加密信息);存储会话发起消息中包含的凭单;在应用服务器接收从网关传送的会话发起消息;确定从网关传送的会话发起消息是否与从移动终端传送的会话发起消息相关;响应于确定从网关传送的会话发起消息与从移动终端传送的会话发起消息相关,检索凭单;以及在检索凭单之后,向另一个服务器传送会话发起消息,其中传送给另一个服务器的会话发起消息包括凭单。在一些实施例中,从移动终端传送的会话发起消息经由分组交换网络来接收,并且包括指示移动终端在与另一个终端进行通信时应使用电路交换连接的信息。在一些实施例中,确定从网关传送的会话发起消息是否与从移动终端传送的会话发起消息相关的步骤包括确定从网关传送的会话发起消息中包含的信息是否匹配从移动终端传送的会话发起消息中包含的信息。在另一个方面,本发明提供一种用于促进移动终端与另一个终端之间的通信的应用服务器。在一些实施例中,应用服务器包括接收器,可操作以接收从移动终端传送的会话发起消息,该会话发起消息包含凭单;数据存储单元,用于存储会话发起消息中包含的凭单;消息相关模块,配置成确定从网关传送的会话发起消息是否与从移动终端传送的会话发起消息相关;凭单检索模块,配置成响应于从网关传送的会话发起消息与从移动终端传送的会话发起消息相关的确定,检索凭单;以及传送器,可操作以在检索凭单之后向另一个服务器传送会话发起消息,其中传送给另一个服务器的会话发起消息包括凭单。在一些实施例中,接收器可操作以经由分组交换网络来接收会话发起消息,并且会话发起消息包括指示移动终端在与另一个终端进行通信时应使用电路交换连接的信息。而且,在一些实施例中,消息相关模块配置成通过确定从网关传送的会话发起消息中包含的信息是否匹配从移动终端传送的会话发起消息中包含的信息,来确定从网关传送的会话发起消息是否与从移动终端传送的会话发起消息相关。在其它实施例中,应用服务器包括接收器,可操作以从网关接收指示移动终端已经请求建立与另一个终端的安全会话的发起消息;密钥管理模块,配置成响应于接收器从网关接收到发起消息,从密钥管理系统检索凭单;以及传送器,可操作以响应于密钥管理模块检索到凭单,向另一个应用服务器传送所检索凭单。 在又一些实施例中,应用服务器包括接收器,可操作以接收从移动终端传送的密钥请求消息;密钥管理模块,配置成响应于密钥请求消息的接收,向移动终端传送密钥;数据存储单元,用于存储密钥;发起消息传送模块,配置成(a)确定所存储密钥是否与匹配从网关传送的发起消息中包含的信息的信息相关联,和(b)响应于确定所存储密钥与匹配从网关所传送的发起消息中包含的信息的信息相关联,向另一个服务器传送发起消息。在一些实施例中,密钥管理模块还经过配置,使得响应于密钥请求消息的接收,并且在向移动终端传送密钥之前,密钥管理模块从密钥管理系统获得密钥。下面参照附图来描述上述及其它方面和实施例。
结合在本文中并且形成本说明书的组成部分的附图示出本发明的各种实施例,并且连同描述一起,还用于说明本发明的原理,以及使相关领域的技术人员能够制作和使用本发明。附图中,相似的参考标号表示相同或功能上相似的要素。图1示出根据本发明的一个实施例的系统。图2进一步示出图1所示的系统。图3-8是示出本发明的不同实施例的数据流程图。图9-11是示出根据本发明的不同实施例的各种过程的流程图。图12是根据本发明的一个实施例的网关的功能框图。图13和图14是根据本发明的一个实施例的UE的功能框图。图15是根据本发明的一个实施例的应用服务器的功能框图。
具体实施例方式现在参照图1,图1示出根据本发明一些实施例的系统100。如图所示,系统100 包括通信装置102 (又称作用户设备(UE) 102),它可操作以与网络101的组件进行通信。如图1所示,可以是移动终端的UE 102可操作以使用电路交换(⑶)网络与“网关” 104进行通信,并且可操作以使用分组交换网络(PS)与“应用服务器” 106进行通信。如进一步示出的,网关104和应用服务器106能够使用PS网络相互通信。另外,网关104和应用服务器 106可以能够使用PS网络向远程网络110发送消息并且从远程网络110接收消息。因此, 网关104用于使UE 102能够通过使用CS连接和PS连接,与连接到远程网络110的装置进行通信。现在参照图2,图2进一步示出系统100。如图2所示,网关104可包括一个或多个服务器。例如,如图所示,网关104可包括交换中心服务器212(例如,移动交换中心)和网关服务器214(例如,媒体网关(MGW))。又如图所示,应用服务器106可包括一个或多个服务器(例如,一个或多个会话发起协议(SIP)服务器)。例如,如图所示,应用服务器106 可包括代理呼叫会话控制功能(P-CSCF)服务器222、在服务CSCF (S-CSCF) 2M和服务集中化和连续性应用服务器(SCC AS)服务器。又如图所示,系统100还可包括短消息服务中心 (SMSC) 202和密钥管理系统204,它们两者都可以是网络101的组件。现在参照图3,图3是示出根据本发明的一个实施例的过程的数据流程图,该过程用于使UE 102(例如,如移动电话之类的移动终端)能够始发与连接到网络110的装置的呼叫(例如,语音呼叫),并且利用CS网络(例如,无线CS无线电接入网)和PS网络以安全方式与该装置进行通信。在这个实施例中,UE 102具有仅仅使用PS网络与应用服务器 106进行通信的能力,并且具有建立与网关104的CS呼叫的能力。如图3所示,该过程可开始于UE 102经由PS网络向应用服务器106传送消息 302 (例如,SIP邀请消息或者其它会话发起消息)。消息302可包括下列信息(1)标识被叫方的信息;(2)加密密钥管理信息(例如,加密密钥和/或保护通信安全所必需的其它信息),它在本文中可称作“凭单”;(3)指示UE 102将使用CS承载与网络101连接的信息; 以及⑷标识UE 102和/或UE 102的用户的信息。在一些实施例中,在UE 102传送消息 302之前,UE从KMS 204获得加密密钥管理信息和/或创建加密密钥管理信息。响应于消息302,服务器106可向UE 102传送响应消息304。由于消息302指示 UE将使用CS承载与网络101连接,所以应用服务器106在向远程网络110传送消息310之前等待接收来自网关104的特定消息308。另外,响应于接收到消息302,服务器106存储凭单,并且将凭单与标识被叫方的信息以及标识UE 102和/或UE 102的用户的信息相关联。响应于从服务器106接收到消息304,UE 102向网关104传送呼叫建立请求306。 作为响应,网关104向应用服务器106传送消息308,该消息向服务器106指示UE 102使用 CS承载已经建立(或者将要建立)与网关104的连接。消息304可包括下列信息(1)标识UE 102和/或UE 102的用户的信息,以及⑵标识被叫方的信息。响应于接收到消息308,服务器106将消息302与消息308相关。例如,服务器106 使用消息308中包含的信息(S卩,标识UE 102和/或UE 102的用户的信息以及标识被叫方的信息)来检索它先前从UE102接收到的凭单。在检索到凭单之后,服务器106向远程网络110传送消息310 (例如,发起消息,比如,举例来说,SIP邀请消息),消息310包括所检索的凭单。在服务器106传送消息310之后,附加消息可被传送,以便完成会话和承载的建立,如本领域众所周知的那样。在会话和承载被建立之后,UE 102可开始使用CS承载312向网关104传送已加密数据的帧(例如,已加密语音数据的帧)。优选地,帧不仅包括已加密数据,而且包括被叫方对已加密数据进行解密所需的加密参数。例如,加密参数可包括序列号(又称作计数器值)、完整性标签和密钥标识符(例如,SRTP主密钥标识符(MKI))。帧的示范净荷1306如图13所示。网关104配置成接收帧,并且对于各帧,从帧中提取已加密数据和加密参数,创建包括已加密数据和加密参数的安全实时传输协议(SRTP)协议数据单元(“51^ 分组”),以及向远程网络110传送SRTP分组,使得数据最终由被叫方接收。这样,即使UE 102使用CS 承载连接到网络101,也在UE 102与远程网络110之间建立了端对端媒体安全性。现在参照图4,图4是示出根据本发明的一个实施例的过程的数据流程图,该过程用于使UE 102能够端接来自连接到网络110的装置的呼叫(例如,语音呼叫),并且利用 CS网络和PS网络以安全方式与该装置进行通信。在这个实施例中,UE 102具有仅仅使用 PS网络与应用服务器106进行通信的能力,并且具有建立与网关104的CS呼叫的能力。如图4所示,该过程可开始于服务器106经由PS网络从远程网络110接收消息 402(例如,发起消息)。消息402可包括下列信息(1)标识被叫方(即,UE 102)的信息; ⑵凭单;以及⑶标识主叫装置或者主叫装置的用户的信息。响应于接收到消息402,服务器106向UE 102传送包含凭单的消息404(例如,发起消息)。响应于消息404,UE 102向网关104传送呼叫建立请求406。作为响应,网关104 向应用服务器106传送消息408(例如,发起消息),该消息可包括下列信息(1)标识UE 102和/或UE 102的用户的信息,以及(2)标识主叫方的信息。响应于接收到消息408,服务器106确定消息408与消息402相关。响应于这个确定,服务器106向网络110传送作为对消息402的响应的响应消息410。在服务器106传送响应消息410之后,附加消息可被传送,以便完成会话和承载的建立,如本领域众所周知的那样。在会话和承载被建立之后,UE 102可开始使用CS承载412向网关104传送已加密数据的帧(例如,已加密语音数据的帧)。优选地,帧不仅包括已加密数据,而且包括被叫方对已加密数据进行解密所需的加密参数。如上所述,网关104接收帧,并且对于各帧,从帧中提取已加密数据和加密参数,创建包括已加密数据和加密参数的SRTP分组,以及向远程网络110传送SRTP分组,使得数据最终由主叫方接收。这样,即使UE 102使用CS承载连接到网络101,也在UE 102与远程网络110之间建立了端对端媒体安全性。现在参照图5,图5是示出根据本发明的一个实施例的过程的数据流程图,该过程用于使UE 102能够始发与连接到网络110的装置的呼叫(例如,语音呼叫),并且利用CS 网络和PS网络以安全方式与该装置进行通信。在这个实施例中,UE 102不具有使用PS网络与应用服务器106进行通信的能力,但是具有建立与网关104的CS呼叫的能力。如图5所示,该过程可开始于UE 102向KMS 204传送密钥请求消息502。消息502 可以是短消息服务(SMS)消息、非结构化补充服务数据(USSD)消息或者其它类似消息。KMS 204响应于消息502,向UE 102传送包括加密密钥的消息504。响应于消息504,UE 102向网关104传送呼叫建立请求506。作为响应,网关104向应用服务器106传送消息508 (例如,发起消息),该消息可包括下列信息⑴标识UE102和/或UE 102的用户的信息,以及 (2)标识被叫方的信息。消息508还可包括指示应当建立安全会话的信息。在接收到消息508之后,服务器106确定该消息是否包括指示应当建立安全会话的信息。如果服务器106确定应当建立安全会话,则服务器106向KMS 204传送包括标识 UE 102和/或UE 102的用户的信息的请求消息510(例如,对于凭单的请求)。响应于消息 510,KMS204向服务器106传送凭单512,其中包含了 KMS 204在消息504中传送给UE 102 的密钥(例如,密钥的已加密版本)。响应于接收到消息512,服务器106向网络110传送包含从KMS 204接收的凭单的消息514 (例如,发起消息)。在服务器106传送消息514之后,附加消息可被传送,以便完成会话和承载的建立,如本领域众所周知的那样。在会话和承载被建立之后,UE 102可开始使用CS承载516 向网关104传送已加密数据的帧(例如,使用从KMS 204接收的密钥来加密的语音数据的帧)。优选地,帧不仅包括已加密数据,而且包括被叫方对已加密数据进行解密所需的加密参数。如上所述,网关104接收帧,并且对于各帧,从帧中提取已加密数据和加密参数,创建包括已加密数据和加密参数的SRTP分组,以及向远程网络110传送SRTP分组,使得数据最终由被叫方接收。这样,即使UE 102使用CS承载512连接到网关104,也在UE 102与远程网络110之间建立了端对端媒体安全性。现在参照图6,图6是示出根据本发明的一个实施例的过程的数据流程图,用于使 UE 102能够端接来自连接到网络110的装置的呼叫(例如,语音呼叫),并且利用CS网络和PS网络以安全方式与该装置进行通信。在这个实施例中,UE 102不具有使用PS网络与应用服务器106进行通信的能力,但是具有建立与网关104的CS呼叫的能力。如图6所示,该过程可开始于服务器106经由PS网络从远程网络110接收消息 602(例如,发起消息)。消息602可包括下列信息(1)标识被叫方(即,UE 102)的信息; ⑵凭单;以及⑶标识主叫装置或者主叫装置的用户的信息。响应于接收到消息602,服务器106 (a)向网关604传送可包括指示应当建立安全会话的信息的消息604(例如,发起消息);以及(b)向KMS 204传送包含凭单和标识UE 102和/或UE 102的用户的信息以及标识主叫方的信息的消息608。响应于消息604,网关104向UE 102传送呼叫建立请求606。作为响应,UE 102向KMS 204(经由SMS或USSD)传送请求用于会话的密钥的消息610。KMS 204,响应于消息 610或者响应于消息608,在消息612中向UE 102(经由SMS或USSD)传送所请求密钥以及可能还有凭单。在向UE 102传送呼叫建立消息606之后,网关104向服务器106传送对消息604 的响应614。响应于接收到消息614,服务器106向网络110传送对消息602的响应。在服务器106传送响应消息614之后,附加消息可被传送,以便完成会话和承载的建立,如本领域众所周知的那样。在会话和承载被建立之后,UE 102可开始使用CS承载618 向网关104传送已加密数据的帧(例如,使用从KMS 204接收的凭单中包含的密钥来加密的语音数据的帧)。优选地,帧不仅包括已加密数据,而且包括被叫方对已加密数据进行解密所需的加密参数。如上所述,网关104接收帧,并且对于各帧,从帧中提取已加密数据和加密参数,创建包括已加密数据和加密参数的SRTP分组,以及向远程网络110传送SRTP分组,使得数据最终由主叫方接收。这样,即使UE 102使用CS承载618连接到网关104,也在 UE 102与远程网络110之间建立了端对端媒体安全性。现在参照图7,图7是示出根据本发明的一个实施例的过程的数据流程图,该过程用于使UE 102能够始发与连接到网络110的装置的呼叫(例如,语音呼叫),并且利用CS 网络和PS网络以安全方式与该装置进行通信。在这个实施例中,UE 102具有与应用服务器进行通信的能力,并且具有建立与网关104的CS呼叫的能力。如图7所示,该过程可开始于UE 102向应用服务器106传送密钥请求消息702。 消息702可包括(1)标识UE 102和/或UE 102的用户的信息;以及(2)标识被叫方的信息。响应于消息702,服务器106向KMS 204传送密钥请求消息704。响应于消息704,KMS 204向服务器106传送包含密钥和凭单的消息706。在接收到消息706之后,服务器106 (a)存储凭单,并且将所存储凭单与标识UE 102和/或UE 102的用户的信息和⑵标识被叫方的信息相关联;以及(b)响应于消息 702,向UE 102传送消息708。消息708包括从KMS 204接收的密钥。在从服务器106接收到消息708之后,UE 102向网关104传送呼叫建立请求710。作为响应,网关104向应用服务器106传送消息712 (例如,发起消息),该消息向服务器106指示UE 102使用CS承载已经建立(或者将要建立)与网关104的连接。消息712可包括下列信息⑴标识UE 102 和/或UE 102的用户的信息,以及(2)标识被叫方的信息。响应于接收到消息712,服务器106将密钥请求消息702与消息712相关。例如, 服务器106使用消息712中包含的信息(S卩,标识UE 102和/或UE 102的用户的信息以及标识被叫方的信息)来检索它先前从KMS 204接收到的凭单。在检索凭单之后,服务器 106向远程网络110传送消息714(例如,发起消息),消息714包括所检索的凭单。在服务器106传送消息714之后,附加消息可被传送,以便完成会话和承载的建立,如本领域众所周知的那样。在会话和承载被建立之后,UE 102可开始使用CS承载716 向网关104传送已加密数据的帧(例如,使用从服务器106接收的密钥来加密的语音数据的帧)。优选地,帧不仅包括已加密数据,而且包括被叫方对已加密数据进行解密所需的加密参数。如上所述,网关104接收帧,并且对于各帧,从帧中提取已加密数据和加密参数,创建包括已加密数据和加密参数的SRTP分组,以及向远程网络110传送SRTP分组,使得数据最终由主叫方接收。这样,即使UE 102使用CS承载716连接到网关104,也在UE 102与远程网络110之间建立了端对端媒体安全性。现在参照图8,图8是示出根据本发明的一个实施例的过程的数据流程图,该过程用于使UE 102能够端接来自连接到网络110的装置的呼叫(例如,语音呼叫),并且利用 CS网络和PS网络以安全方式与该装置进行通信。在这个实施例中,UE 102具有与应用服务器进行通信的能力,并且具有建立与网关104的CS呼叫的能力。如图8所示,该过程可开始于服务器106从网络110接收消息802 (例如,发起消息)。消息802可包括(1)标识UE 102和/或UE 102的用户的信息;⑵标识主叫方的信息;以及⑶包含已加密密钥的凭单。响应于消息802,服务器106向KMS 204传送包括凭单的密钥请求消息804。响应于消息804,KMS 204向服务器106传送包含凭单中所包含的密钥的消息806。在接收到消息806之后,服务器106向UE 102传送消息808。消息808包括从KMS 204接收的密钥,并且向UE 102指示一方在呼叫UE 102。在从服务器106接收到消息808 之后,UE 102向网关104传送呼叫建立请求810。作为响应,网关104向应用服务器106传送消息812 (例如,发起消息),该消息向服务器106指示UE 102使用CS承载已经建立(或者将要建立)与网关104的连接。消息812可包括使服务器106能够将消息812与消息 802相关的信息。响应于接收到消息812,服务器106将消息802与消息812相关,并且向远程网络 110传送响应消息814。在服务器106传送响应消息814之后,附加消息可被传送,以便完成会话和承载的建立,如本领域众所周知的那样。在会话和承载被建立之后,UE 102可开始使用CS承载816向网关104传送已加密数据的帧(例如,使用从服务器106接收的密钥来加密的语音数据的帧)。优选地,帧不仅包括已加密数据,而且包括被叫方对已加密数据进行解密所需的加密参数。如上所述,网关104接收帧,并且对于各帧,从帧中提取已加密数据和加密参数,创建包括已加密数据和加密参数的SRTP分组,以及向远程网络110传送 SRTP分组,使得数据最终由主叫方接收。这样,即使UE 102使用CS承载816连接到网关 104,也在UE 102与远程网络110之间建立了端对端媒体安全性。现在参照图9,图9是示出根据一些实施例由网关104执行的过程的流程图。该过程可在步骤902开始,其中网关104建立与UE 102的CS连接(例如,网关104端接由UE 102发起的CS呼叫或者向UE102始发CS呼叫)。在步骤904,网关104经由CS连接从UE 102接收帧,所述帧包括要送往远程装置的已加密已编码数据以及远程装置对已编码数据进行解密所需的一个或多个加密参数。在步骤906,网关104创建包括已加密已编码数据和一个或多个加密参数的协议数据单元(例如,SRTP协议数据单元)。例如,已加密已编码数据可放入SRTP分组的净荷部分,而一个或多个加密参数可放入分组的信头部分。在步骤 908,网关104传送分组,使得分组将由远程装置来接收。这样,网关104用于把安全媒体从 CS域映射到SRTP域,由此,即使UE 102使用CS技术而不是PS技术来接入网络101,也实现端对端安全性。现在参照图10,图10是示出根据一些实施例由网关104执行的另一个过程的流程图。该过程可在步骤1002开始,其中网关104建立与UE 102的CS连接。在步骤1004,网关104从远程装置接收包含已加密数据和一个或多个加密参数(例如,序列号)的SRTP分组。已加密数据存储在分组的净荷部分中,而加密参数存储在分组的信头中。在步骤1006,网关104经由CS连接向UE 102传送包含已加密数据和加密参数的帧,其中已加密数据和加密参数包含在分组的相同净荷部分中。在一些实施例中,帧的净荷部分由(或者本质上由)已加密数据和加密参数组成。现在参照图11,图11是示出根据一些实施例由UE 102执行的过程的流程图。该过程可在步骤1102开始,其中UE 102传送密钥请求。例如,在步骤1102,UE 102可向KMS 204发送包括对于密钥的请求的SMS/USSD消息,或者UE 102可经由CS网络向服务器106 发送包括对于密钥的请求的消息。在步骤1104,响应于密钥请求,UE 102接收密钥。例如, 在步骤1104,UE 102可经由SMS/USSD消息从KMS接收密钥,或者可经由CS网络从服务器 106接收密钥。在步骤1106,UE 102建立与网关104的CS连接(例如,UE 102向MSC服务器212传送CS呼叫建立消息)。在步骤1108,UE 102获得或生成媒体(例如,语音数据), 以便经由CS连接安全地传送给远程装置。在步骤1110,UE 102对媒体编码,然后使用在步骤1104中接收的密钥对已编码媒体加密。在步骤1112,UE 102创建包括已加密已编码数据和一个或多个加密参数(例如,计数器值和完整性保护标签)的安全数据帧。在步骤 1114,UE 102使用CS连接向网关104传送安全数据帧。在步骤1116,UE 102使用CS连接来接收从网关104传送的帧,该帧具有包括已加密已编码数据的净荷部分和一个或多个加密参数。在步骤1118,UE 102使用在步骤1104中接收的密钥和帧中包含的加密参数来对帧中包含的已加密数据解密,对已编码数据解码以产生已解码数据,然后输出已解码数据 (例如,在数据包括音频信号的情况下,可将数据提供给UE中包含的扬声器,以便产生与音频信号对应的声波,以及在数据包括视频信号的情况下,可将数据提供给驱动UE的显示器的驱动器,使得视频能够在UE的显示器上再现)。现在参照图12,图12是根据本发明的一些实施例的网关104的功能框图。如图所示,网关104可包括数据处理系统1202 (例如,一个或多个微处理器)、数据存储系统1206(例如,一个或多个非易失性存储装置)以及存储系统1206上存储的计算机软件 1208。配置参数1210也可存储在存储系统1206中。网关102还可包括用于向UE 102传送帧并且从UE 102接收帧的传送/接收(Tx/Rx)电路1204,以及用于向网络110传送分组并且从网络110接收分组的传送/接收(Tx/Rx)电路1205。软件1208配置成使得当处理器1202执行软件1208时,网关104执行本文所述的步骤。例如,软件1208可包括(1)连接建立模块,用于建立与通信装置(例如,UE 102)的电路交换连接;接收模块,用于经由电路交换连接从通信装置接收帧,所述帧包括要送往远程通信装置的已加密已编码数据以及远程通信装置对已加密已编码数据进行解密所需的加密参数;协议数据单元创建模块,用于创建包括已编码数据和加密参数的协议数据单元; 以及传送模块,用于经由分组交换网络传送该协议数据单元,使得它将由远程通信装置接收。现在参照图13,图13是根据本发明的一些实施例的UE 102的功能框图。在所示实施例中,UE 102包括数据生成器1301、编解码器1302、安全模块1304以及用于传送和接收数据的传送/接收电路1308。数据生成器1301可包括麦克风,用于将声波(例如,语音)转换成电信号;放大器,用于放大信号;以及模数转换器,用于将连续电信号转换成数字信号。将生成器1301所生成的数据输入到编解码器1302(例如,语音编解码器,比如自适应多速率(AMR)编解码器)中,编解码器1302产生已编码数据1303。已编码数据1303是对安全模块1304的输入。安全模块1304配置成使用加密密钥对已编码数据加密,并且配置成形成包含一个或多个加密参数和已加密已编码数据的帧净荷1306。在所示实施例中,帧的帧净荷1306仅包括已加密数据和加密参数。然后,净荷1306由传送器1308获得, 传送器1308配置成将净荷1306包含在帧中,并且使用CS连接来传送帧。虽然将安全模块1304表示为与编解码器1302分离并且不同,但是这不是要求。 据预期,编解码器1302能够配置成不仅执行常规编码操作,而且还执行安全模块1304的功能。编解码器1302和/或安全模块1304可通过软件和/或硬件来实现。因此,UE 102 可包括(i)数据存储系统1406,用于存储加密密钥、加密参数1410和用于实现编解码器 1302和/或模块1304的软件1408 ;以及(ii)处理器1402,用于执行软件(参见图14)。 UE 102还可具有天线1420。现在参照图15,图15是根据本发明的一些实施例的应用服务器226的功能框图。 如图所示,服务器2 可包括数据处理系统1502 (例如,一个或多个微处理器)、数据存储系统1506 (例如,一个或多个非易失性存储装置)以及存储系统1506上存储的计算机软件 1508。配置参数1510也可存储在存储系统1506中。服务器还可包括用于与其它服务器和客户端进行通信的传送/接收(Tx/Rx)电路1504。软件1508配置成使得当处理器1502执行软件1508时,服务器2 执行本文所述的步骤。例如,软件1508可包括(1)发起消息接收模块,用于接收从UE传送的发起消息 (例如,SIP邀请消息或其它发起消息);(2)凭单存储模块,用于存储发起消息中包含的凭单;C3)凭单检索模块,用于响应于从网关104接收到与从UE 102接收的先前发起消息相关的发起消息而检索凭单;(4)发起创建和传送模块,用于响应于从网关104接收到与从UE 102接收的先前发起消息相关的发起消息,创建发起消息并且向网络110传送发起消息; (5)发起消息接收模块,用于接收从网络110传送的发起消息,该发起消息将UE 102标识为被叫方;(6)发起传送模块,用于响应于从网络110接收到发起消息而向UE 102传送发起消息;(7)发起响应创建和传送模块,用于响应于从网关104接收到与从网络110接收的先前发起消息相关的发起消息,创建发起响应消息并且向网络110传送发起响应消息;(8)凭单请求模块,用于响应于从网关104接收到发起消息而向KMS 204传送凭单请求;以及(9) 发起消息传送模块,用于向网络110传送包含从KMS 204接收的凭单的发起消息。虽然以上描述了本发明的各种实施例,但是应当理解,它们仅作为示例而不是限制来提供。因此,本发明的广度和范围不应当受到上述示范实施例中任一个限制。另外,虽然以上所述和附图所示的过程被表示为步骤的序列,但是这只是为了便于说明而这样做。因此,据预期,可添加一些步骤,可省略一些步骤,以及可重新排列步骤的顺序。
权利要求
1.一种由网络网关执行的方法,包括 建立与通信装置的电路交换连接;经由所述电路交换连接从所述通信装置接收帧,所述帧包括包含要送往远程通信装置的已加密已编码数据的净荷以及所述远程通信装置对所述已加密已编码数据解密所需的加密参数;创建包括所述已编码数据和所述加密参数的协议数据单元;以及经由分组交换网络来传送所述协议数据单元,使得它将由所述远程通信装置来接收。
2.如权利要求1所述的方法,其中,所述加密参数是计数器值。
3.如权利要求1或2所述的方法,其中,所述协议数据单元是包括信头部分和净荷部分的安全实时传输协议(SRTP)协议数据单元,并且所述已编码数据放入所述净荷部分,而所述加密参数放入所述信头部分。
4.如权利要求3所述的方法,其中,所述加密参数的至少部分放入所述SRTP协议数据单元的序列值字段中。
5.如权利要求1-5中的任一项所述的方法,其中,在所述帧中,所述已编码数据紧接所述加密参数之后或之前。
6.如权利要求1-5中的任一项所述的方法,其中,所述净荷由所述已加密数据和所述一个或多个加密参数组成。
7.如权利要求1-6中的任一项所述的方法,其中,所述帧包括至少两个加密参数,即, 计数器值和完整性保护标签。
8.如权利要求1-7中的任一项所述的方法,还包括从远程网络接收包含已加密已编码数据和加密参数的协议数据单元; 从所接收的协议数据单元中提取所述已加密已编码数据和所述加密参数; 创建具有净荷部分的帧,其中所提取的已加密已编码数据和所述加密参数包含在所述净荷部分中,使得在所述净荷部分中,所述加密参数紧接所述已加密已编码数据之后或之前;以及向所述通信装置传送所述帧。
9.一种通信装置,包括密钥模块,配置成获得或创建加密密钥; 电路交换连接建立模块,用于发起电路交换连接;净荷创建模块,配置成产生帧的净荷,其中所述净荷包括已加密已编码数据和一个或多个加密参数;以及传送器,可操作以使用所述电路交换连接向网关传送所述帧。
10.如权利要求9所述的通信装置,其中,所述净荷创建模块包括 自适应多速率(AMR)编解码器,用于产生所述已编码数据;以及安全模块,配置为对所述已编码数据加密并且生成所述帧的净荷。
11.如权利要求9或10所述的通信装置,其中所述密钥模块还可操作以向密钥管理服务器传送消息,其中所述消息包括对于密钥的请求,以及所述密钥模块可操作以接收从所述密钥管理服务器传送的消息,其中所述消息包括所请求的密钥。
12.如权利要求11所述的通信装置,其中,所述密钥模块配置成使用短消息服务(SMS) 或者非结构化补充服务数据(USSD)协议向所述密钥管理服务器传送所述消息。
13.如权利要求11-12所述的通信装置,其中,所述密钥模块配置成经由所述SMS或者所述USSD协议从所述密钥管理系统接收所述消息。
14.如权利要求9-13中的任一项所述的通信装置,其中,所述帧的所述净荷由所述已加密已编码数据和所述一个或多个加密参数组成。
15.如权利要求9-14中的任一项所述的通信装置,其中,所述净荷由所述净荷创建模块产生,使得在所述净荷中,所述已加密已编码数据紧接所述加密参数其中之一之后或之、r -
16.一种由应用服务器执行以促进移动终端与另一个终端之间的通信的方法,包括 在所述应用服务器接收从所述移动终端传送的会话发起消息,所述会话发起消息包括凭单;存储所述会话发起消息中包含的所述凭单; 在所述应用服务器接收从网关传送的会话发起消息;确定从所述网关传送的所述会话发起消息是否与从所述移动终端传送的所述会话发起消息相关;响应于确定从所述网关传送的所述会话发起消息与从所述移动终端传送的所述会话发起消息相关,检索所述凭单;以及在检索所述凭单之后,向另一个服务器传送会话发起消息,其中传送给所述另一个服务器的所述会话发起消息包括所述凭单。
17.如权利要求16所述的方法,其中,从所述移动终端传送的所述会话发起消息经由分组交换网络来接收,并且包括指示所述移动终端在与所述另一个终端进行通信时应使用电路交换连接的信息。
18.如权利要求16-17中的任一项所述的方法,其中,所述凭单包括加密密钥。
19.如权利要求16-18中的任一项所述的方法,其中,确定从所述网关传送的所述会话发起消息是否与从所述移动终端传送的所述会话发起消息相关的步骤包括确定从所述网关传送的所述会话发起消息中包含的信息是否匹配从所述移动终端传送的所述会话发起消息中包含的信息。
20.一种用于促进移动终端与另一个终端之间的通信的应用服务器,包括接收器,可操作以接收从所述移动终端传送的会话发起消息,所述会话发起消息包括凭单;数据存储单元,用于存储所述会话发起消息中包含的所述凭单; 消息相关模块,配置成确定从网关传送的会话发起消息是否与从所述移动终端传送的所述会话发起消息相关;凭单检索模块,配置成响应于从所述网关传送的所述会话发起消息与从所述移动终端传送的所述会话发起消息相关的确定,检索所述凭单;以及传送器,可操作以在检索所述凭单之后,向另一个服务器传送会话发起消息,其中传送给所述另一个服务器的所述会话发起消息包括所述凭单。
21.如权利要求20所述的应用服务器,其中,所述接收器可操作以经由分组交换网络来接收所述会话发起消息,并且所述会话发起消息包括指示所述移动终端在与所述另一个终端进行通信时应使用电路交换连接的信息。
22.如权利要求20-21所述的应用服务器,其中,所述消息相关模块配置成通过确定从所述网关传送的所述会话发起消息中包含的信息是否匹配从所述移动终端传送的所述会话发起消息中包含的信息,来确定从所述网关传送的所述会话发起消息是否与从所述移动终端传送的所述会话发起消息相关。
23.一种用于促进移动终端与另一个终端之间的通信的应用服务器,包括接收器,可操作以从网关接收发起消息,所述发起消息指示所述移动终端已经请求建立与所述另一个终端的安全会话;密钥管理模块,配置成响应于所述接收器从所述网关接收到所述发起消息,从密钥管理系统中检索凭单;以及传送器,可操作以响应于所述密钥管理模块检索到所述凭单,向另一个应用服务器传送所检索凭单。
24.一种用于促进移动终端与另一个终端之间的通信的应用服务器,包括接收器,可操作以接收从所述移动终端传送的密钥请求消息;密钥管理模块,配置成响应于所述密钥请求消息的接收,向所述移动终端传送密钥;数据存储单元,用于存储所述密钥;以及发起消息传送模块,配置成(a)确定所存储密钥是否与匹配从网关传送的发起消息中包含的信息的信息相关联,以及(b)响应于确定所述所存储密钥与匹配从所述网关传送的所述发起消息中包含的信息的信息相关联,向另一个服务器传送发起消息。
25.如权利要求M所述的应用服务器,其中,传送给所述另一个服务器的所述发起消息包括所述密钥的已加密副本。
26.如权利要求M-25所述的应用服务器,其中,所述接收器可操作以经由分组交换网络来接收所述密钥请求消息。
27.如权利要求M-25所述的应用服务器,其中,所述接收器可操作以经由电路交换网络来接收所述密钥请求消息。
28.如权利要求M-27所述的应用服务器,其中,所述密钥管理模块还经过配置,使得响应于所述密钥请求消息的接收,并且在向所述移动终端传送所述密钥之前,所述密钥管理模块从密钥管理系统获得所述密钥。
全文摘要
本发明的各方面提供一种在CS网络中利用IMS媒体安全机制的机制,并且由此在媒体业务经由CS网络和PS网络传播的情况下,提供端对端媒体安全性。
文档编号H04W12/02GK102204303SQ200880131931
公开日2011年9月28日 申请日期2008年11月5日 优先权日2008年11月5日
发明者F·林德霍尔姆, R·布洛姆 申请人:爱立信电话股份有限公司