专利名称:一种ip多媒体系统会议媒体数据的加密方法及系统的制作方法
技术领域:
本发明涉及移动通信领域中的IP多媒体系统(IMS),尤其涉及一种IMS ^i义媒体数据的加密方法及系统。
背景技术:
IP多媒体系统(IP Multimedia Subsystem, IMS)是一种全新的多媒:体业务 形式,能满足终端用户新颖、多样化的多々某体业务需求。目前,IMS被认为是 下一代网络的核心技术,也是解决移动与固网融合,引入语音、数据、视频三 重融合等差异化业务的重要方式。
基于IMS的会议可向用户提供创建、管理、终止、加入和离开会议的功能, 还向用户提供查询参会用户信息的功能。在IMS会汉中,用户可使用任意类型 的媒体流进行通信,如音频、视频、白板、即时消息、图像文件、游戏等等。 IMS会议是集中型会议,需要IMS核心网提供应用服务器支持,如IMS核心 网提供的业务型呼叫会话控制功能(S-CSCF)实体用于会汉业务中会话初始化 协议(SIP)的协商,IMS核心网提供的媒体资源控制功能(MRFC)实体和媒 体资源处理功能(MRFP)实体用于处理各种々某体流的处理和切换以A^言权, IMS核心网提供的会议策略服务器用于管理加载用户和运营商制订的会议策 略《
IMS可以部署于多种网络,如第三代数字通信(3G)网、第二代数字通 信(2G)网、无线局域网(WLAN)和互联网等,由于不同网络的安全差异较 大,因此,当大规划部署IMS业务时需要考虑媒体传输的安全性问题,当然, IMS会议业务也需要考虑到该安全性问题。目前,关于IMS业务的安全性问题 提出的解决方案是网络安全性协议(IPSec),但是IPSec还处于互联网协议的第四版IPv4阶段,IPSec作为IPv4的可选补充,还没有得到广泛部署,因此IPSec 不适用于IMS会议业务。此外,可以考虑使用安全实时传输协议(SRTP)解 决IMS会议业务中媒体传输^安全性问题,但这可能涉及到公钥J^设施,因 此实施方法繁瑣,目前很少有应用程序采用这个协议。
发明内容
有鉴于此,本发明的主要目的在于提供一种IMS会议媒体数据的加密方法 及系统,可简便地实现对IMS^i义的媒体数据进行加密。 为达到上述目的,本发明的技术方案是这样实现的
本发明公开了一种IP多媒体系统IMS会议媒体数据的加密方法,该方法 包括
终端向服务器通知自身的加密套件信息,服务器从收到的加密套件信息中 选择待用的加密^f牛;
终端申请发言权,并将与服务器所选加密套件对应的加密密钥通知服务器, 终端经服务器的发言允许后将经过加密的媒体数据发送到服务器。
其中,所述终端将经过加密的媒体数据发送到服务器后,进一步包括
服务器判断参会成员是否具备媒体数据加密能力,若具备,则将加密的媒 体数据发送到参会成员终端;若不具备,则将加密的媒体数据解密后发送到参 会成员终端。
其中,所述终端向服务器通知自身的加密套件信息之前,还包括终端在 SDP信息中添加媒体数据加密能力信息,并执行与服务器间的SDP协商;
相应的,所述服务器判断参会成员是否具备々某体数据加密能力为判断参 会成员终端是否将媒体数据加密能力信息添加在SDP信息中,若已添加,则具 备媒体数据加密能力,若未添加,则不具备媒体数据加密能力。
其中,所述终端在SDP信息中添加媒体数据加密能力信息,并执行与服务 器间的SDP协商,具体为
终端将添加媒体数据加密能力信息的SDP信息发送到服务器,服务器收到后通知终端;
服务器将会议的媒体编解码集合及具备加密功能的确定信息通知终端; 终端与服务器进行各自的资源预留操作;
终端更新自身的媒体描述信息并通知服务器,服务器确定会汉的媒体类型, 并确定是否进行纟某体数据加密;
终端与服务器确认SDP协商完毕。
上述方案中,所述终端向服务器通知自身的加密套件信息,具体为
终端与服务器建立安全传输层协议TLS连接,之后终端通过发言权控制协 议BFCP向服务器通知自身的加密套件信息。
上述方案中,所iiir口密套件信息为数据加密标准DES中的3DES、或高 级加密标准AES对称加密算法;
所述加密套件信息包含于发言权控制协议BFCP的报文扩展属性CIPHER— SUITE—INFO中;
所述加密密钥包含于BFCP的报文扩展属性KEY—DATA一INFO中。 本发明还公开了一种IMS会议媒体数据的加密系统,该系统包括终端和 服务器;其中,
所述终端,用于向服务器通知自身的加密套件信息;申请发言权,并将与 服务器所选加密套件对应的加密密钥通知服务器,经服务器的发言允许后将经 过加密的媒体数据发送到服务器;
所述服务器,用于从终端发送的加密套件信息中选择待用的加密套件;接 收终端上传的加密密钥及经过加密的媒体数据。
其中,所述服务器,进一步用于判断参会成员是否具备媒体数据加密能力, 确定参会成员具备媒体数据加密能力,则将加密的媒体数据发送到参会成员终 端;确定参会成员不具备媒体数据加密能力,则将加密的媒体数据解密后发送 到参会成员终端;相应的,
该系统进一步包括参会成员终端,用于接收服务器下发的加密的媒体数据, 或接收服务器下发的经服务器解密的媒体数据。其中,所述终端进一步用于在SDP信息中添加媒体数据加密能力信息,并 执行与服务器间的SDP协商;
相应的,所述服务器,进一步用于执行与终端间的SDP协商。
上述方案中,所述终端在SDP信息中添加媒体数据加密能力信息,并执行 与服务器间的SDP协商,具体为
将添加媒体数据加密能力信息的SDP信息发送到服务器,接收服务器发送 的会议的媒体编解码集合及服务器具备加密功能的确定信息,进行资源预留操 作;更新自身的媒体描述信息并通知服务器,确认SDP协商完毕;
相应的,所述服务器执行与终端间的SDP协商,具体为
接收终端所发的添加媒体数据加密能力信息的SDP信息,并通知终端已接 收到添加媒体数据加密能力信息的SDP信息;将会议的媒体编解码集合及具备 加密功能的确定信息通知终端,进行资源预留操作;接收终端更新的纟某体描述 信息,确定会汉的媒体类型,并确定是否进^Sf某体数据加密。
本发明提供的IMS会议媒体数据的加密方法及系统,终端向服务器通知自 身的加密^f牛信息,服务器从收到的加密套件信息中选择待用的加密套件;终 端申请发言权,并将与服务器所选加密套件对应的加密密钥通知服务器,终端 经服务器的发言允许后将经过加密的媒体数据发送到服务器。本发明可实现对 IMS会议的媒体数据进行加密,确保了媒体数据的保密性传输。本发明利用IMS 会汉特有的BFCP中的Hello消息和HelloAck消息完成加密务降的选择操作, 利用BFCP中的FloorRequest消息传送密钥数据,实施方法简4更。
图1为本发明IMS会议媒体数据的加密方法实现流程示意图2为本发明BFCP的报文扩展属性CIPHER—SUITE_INFO的结构示意图3为本发明BFCP的报文扩展属性KEY—DATA—INFO的结构示意图4为本发明终端与服务器进行SDP协商的流程示意图5为本发明IMS^i义媒体数据的加密系统结构示意图。
具体实施例方式
对于IMS会议,媒体数据的传输需M话描述协议(SDP)进行媒体类型、 媒体带宽和媒体编解码的协商,媒体数据的传输许可需要通过发言权控制协议 (Binary Floor Control Protocol, BFCP)向服务器进行申请,只有服务器准许发 送,才能进行媒体数据的传输。
在IMS会议中,媒体数据的传输通过SIP进行协商。终端需要将自身支持 的媒体数据的类型、编解码、媒体属性信息等添加到SDP信息中,通过SIP中 的Invite消息通知服务器,服务器根据自身的媒体能力选择一种适合当前会话 的媒体组合用于当前会话,并通过携带200 OK的响应消息将已选择的媒体组 合通知终端。
本发明的基本思想是终端向服务器通知自身的加密套件信息,服务器从 收到的加密套件信息中选择待用的加密套件;终端申请发言权,并将与服务器 所选加密套件对应的加密密钥通知服务器,终端经服务器的发言允许后将经过 加密的纟某体数据发送到服务器。
这里,所述终端为IMS会汉的发起终端,所述服务器为IMS核心网提供的 服务器。
下面结合附图及具体实施例对本发明作进一步详细说明。
图1为本发明IMS会议媒体数据的加密方法实现流程示意图,如图1所示, 该流程包括以下步骤
步骤101:终端在SDP信息中添加媒体数据加密能力信息,并执行与服务 器间的SDP协商;
步骤102:终端与服务器建立TLS连接;
这里,由于BFCP采用传输控制协议(TCP)进行数据传输,因此采用TLS 来提供保密性和数据完整性。
步骤103:终端通过BFCP向服务器通知自身的加密套件信息;
具体为终端通过BFCP将BFCPHello消息发送到服务器,BFCPHdlo消
9息中携带加密^HH言息。
这里,所迷加密套件信息为数据加密标准(DES)中的3DES、或高级加密 标准(AES)等对称加密算法;所述对称加密算法包含于本发明新增的BFCP 的报文扩展属性CIPHER_SUITE_INFO中,扩展属性CIPHER—SUITEJNFO包 含于BFCP Hdlo消息中。图2为BFCP的报文扩展属性CIPHER一SUITEJNF O的结构示意图,如图2所示,CIPHER—SUITE—INFO的前七位是扩展属性的 类型值,用十六进制表示为0x13,第八位是强制指示位,表示本属性是否为必 须,在强制指示位之后是CIPHEF^SUITE一INFO的长度值,长度为八位,取值 为0x03。 CIPHER^SUITE一INFO的属性值为八位,只使用前两位,分别用于表 示是否支持3DES对称加密算法和是否支持AES对称加密算法,如果支持上述 某种对称加密算法,则相应的标志位置l,其它位保留备用。BFCP的报文属性 必须是三十二字节对齐,因此还需要八字节填补。
本发明中,所述BFCP的才艮文扩展属性是通it^" BFCP的报文属性釆用类 型长度值(TLV)进行编码扩展所得。
步骤104:服务器从收到的加密套件信息中选择待用的加密套件;
具体为服务器根据自身的媒体能力从终端上报的加密套件信息中选择一 种用于后续对媒体数据进行加密的对称加密算法,并通过BFCP HelloAck消息 发送到终端,以对终端所发的BFCP Hello消息进行确认,所述BFCPHelloAck 消息中CIPHER—SUITEJNFO的属性值中只有一种对称加密算法的对应标志位 被置l。
步骤105:终端申请发言权,将与服务器所选加密套件对应的加密密钥通 知服务器;
具体为终端申请发言权,将BFCP FloorRequest消息发送到服务器,消息 中的扩展属性KEY—DATAJNFO携带终端对媒体数据进行加密的加密密钥。
这里,所述加密密钥包含于本发明新增的BFCP的报文扩展属性 KEY_DATA—INFO中,扩>^性KEY—DATA—INFO包含于BFCP FloorRequest 消息中。图3为BFCP的报文扩展属性KEY一DATAJNFO的结构示意图,如图
103所示,KEY—DATA一INFO的前七位是扩展属性的类型值,十六进制表示为 0x14,第八位是强制指示位,表示本属性是否为必须,强制指示位之后是八位 的密钥长度值,如果服务器选择的对称加密算法为3DES,则密钥长度可以为 128位、或192位;如果服务器选择的对称加密算法为AES,则密钥长度可以 为128位、192位、或256位。KEY_DATA_INFO的属性值可以是16字节、24 字节、或32字节的数据,如果KEY一DATA一INFO的属性总长度非32字节对齐, 那么必须进行填补。
步骤106:终端经服务器的发言允许后将经过加密的媒体数据发送到服务
器;
具体为l良务器将BFCP FloorRequestStatus消息发送给终端,通知终端可 以发言,终端收到准许发言的消息后,将加密的媒体数据发送到服务器,选用 的BFCPHelloAck消息中指定的加密密钥对媒体数据进行加密。
本步骤进一步包括若服务器不允许终端发言,则终端不向服务器发送i某 体数据。
本发明步骤106之后进一步包括服务器收到加密的媒体数据后,根据参 会成员上传的媒体数据加密能力信息判断参会成员是否具备媒体数据加密能 力,如果具备的,则将加密的媒体数据发送到参会成员终端,如果不具备的, 则将加密的媒体数据解密后发送到参会成员终端。这里,所述具备媒体数据加 密能力参会成员通过服务器所发的FloorStatus消息获得所接受媒体数据的加密 密钥。
步骤101所述终端在SDP信息中添加媒体数据加密能力信息,并执行与服
务器间的SDP协商的流程具体如图4所示,包括以下步骤
步骤401:终端将添加媒体数据加密能力信息的SDP信息发送到服务器; 具体为终端将自身支持的媒体能力信息、媒体数据所需网络带宽信息和
媒体数据加密能力信息通过SDP进行描述,并添加到SIP Invite消息中发送到
服务器,所述SIP Invite消息头部的Require字段中包含preconditaion,表明终
端支持可靠临时消息应答和资源预留能力。本发明中,所述媒体数据加密能力信息的描述方法为在通过SDP描述的 媒体数据中增加新的媒体属性privacy,当终端具备媒体数据加密能力时,取值 为1;当终端不具备i某体数据加密能力时,取值为O。这里,为了兼容传统的士某 体数据的传输,当媒体的SDP信息中没有媒体属性privacy时,认为终端不具 备々某体数据加密能力。
步骤402:服务器收到SDP信息后通知终端;
具体为服务器收到SIP Invite消息后向终端发送100 Trying消息,通知终 端服务器已收到SIP Invite消息,这样,终端则不需再次发送SIP Invite消息。
步骤403:服务器将本次会议的媒体编解码集合及具备加密功能的确定信 息通知终端;
具体为服务器选择本次会议的媒体编解码集合,并在SDP描述的媒体属 性privacy中指示服务器具备媒体数据加密能力,并将媒体编解码集合和服务器 具备媒体数据加密能力的信息通过183 Session Progress发送到终端。
步骤404:终端与服务器进行各自的资源预留操作;
具体为终端与服务器开始进行媒体带宽资源的预留过程,为终端与服 务器承载建立相应的资源预留后,向服务器发送SIP PRACK消息,表明终端已 经完成资源预留操作,服务器完成与士某体带宽资源对应的资源预留操作后,向 终端发送携带200 OK的响应消息对SIP PRACK消息进行相应,通知终端服务 器也已完成资源预留操作。
步骤405:终端根据收到的媒体编解码集合更新自身的媒体描述信息并通 知服务器;
具体为终端根据服务器发送的媒体编解码集合更新自身的媒体描述信息, 并将更新的媒体描述信息通过SIP UPDATE消息发送到服务器。这里,所述的 更新信息可为网络带宽信息等;所述已更新的信息中仍包括i某体数据加密能力 信息。
步骤406:月良务器确定^i义的媒体类型,并确定是否进行媒体数据加密; 具体为服务器发送携带200 OK的响应消息到终端以回应SIP UPDATE消息,在SIP UPDATE消息的SDP中指定本次会议的媒体类型和是否进^S(某体 数据加密。步骤407:终端与服务器确认SDP协商完毕;具体为服务器发送携带200 OK的响应消息到终端,以对终端最初发送 的SIP Invite消息进4亍响应,终端收到携带200 OK的响应消息后回复ACK消 息给服务器,SDP协商完毕,可以开始进行媒体数据传输。图5为本发明IMS会议媒体数据的加密系统结构示意图,如图5所示,该 系统包括终端和月l务器;其中,所述终端,用于向服务器通知自身的加密套件信息;申请发言权,并将与 服务器所选加密套件对应的加密密钥通知服务器,经服务器的发言允许后将经 过加密的Jf某体数据发送到服务器;所述服务器,用于从终端发送的加密套件信息中选择待用的加密套件;接 收终端上传的加密密钥及经过加密的媒体数据。所述终端进一步用于在SDP信息中添加媒体数据加密能力信息,并执行与 服务器间的SDP协商;相应的,所述月良务器,进一步用于执行与终端间的SDP协商。这里,所述终端在SDP信息中添加媒体数据加密能力信息,并执行与服务 器间的SDP协商,具体为将添加媒体数据加密能力信息的SDP信息发送到服务器,接收服务器发送 的会议的媒体编解码集合及服务器具备加密功能的确定信息,进行资源预留操 作;更新自身的媒体描述信息并通知服务器,确认SDP协商完毕;所述服务器执行与终端间的SDP协商,具体为接收终端所发的添加媒体数据加密能力信息的SDP信息,并通知终端已接 收到添加媒体数据加密能力信息的SDP信息;将会议的媒体编解码集合及具备 加密功能的确定信息通知终端,进行资源预留操作;接收终端更新的媒体描述 信息,确定会汉的々某体类型,并确定是否进行媒体数据加密。所述服务器,进一步用于判断参会成员是否具备士某体数据加密能力,确定参会成员具备媒体数据加密能力,则将加密的媒体数据发送到参会成员终端; 确定参会成员不具备媒体数据加密能力,则将加密的媒体数据解密后发送到参 会成员终端;相应的,该系统进一步包括参会成员终端,用于接收服务器下发的加密的媒体数据, 或接收服务器下发的经服务器解密的媒体数据。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范 围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应 包含在本发明的保护范围之内。
权利要求
1、一种IP多媒体系统IMS会议媒体数据的加密方法,其特征在于,该方法包括终端向服务器通知自身的加密套件信息,服务器从收到的加密套件信息中选择待用的加密套件;终端申请发言权,并将与服务器所选加密套件对应的加密密钥通知服务器,终端经服务器的发言允许后将经过加密的媒体数据发送到服务器。
2、 根据权利要求1所述的IMS会议媒体数据的加密方法,其特征在于,所述终端将经过加密的媒体数据发送到服务器后,进一步包括服务器判断参会成员是否具备媒体数据加密能力,若具备,则将加密的々某体数据发送到参会成员终端;若不具备,则将加密的媒体数据解密后发送到参会成员终端。
3、 根据权利要求2所述的IMS ^i义媒体数据的加密方法,其特征在于,所述终端向服务器通知自身的加密套件信息之前,还包括终端在SDP信息中添加媒体数据加密能力信息,并执行与服务器间的SDP协商;相应的,所述服务器判断参会成员是否具^^某体数据加密能力为判断参会成员终端是否将媒体数据加密能力信息添加在SDP信息中,若已添加,则具备々某体数据加密能力,若未添加,则不具备媒体数据加密能力。
4、 根据权利要求3所述的IMS会议媒体数据的加密方法,其特征在于,所述终端在SDP信息中添加媒体数据加密能力信息,并执行与服务器间的SDP协商,具体为终端将添加媒体数据加密能力信息的SDP信息发送到服务器,服务器收到后通知终端;服务器将会议的媒体编解码集合及具备加密功能的确定信息通知终端;终端与服务器进行各自的资源预留操作;终端更新自身的媒体描述信息并通知服务器,服务器确定会议的媒体类型,并确定是否进^Sf某体数据加密;终端与服务器确认SDP协商完毕。
5、 根据权利要求1至4中任一项所述的IMS ^i义媒体数据的加密方法, 其特征在于,所述终端向服务器通知自身的加密套件信息,具体为终端与服务器建立安全传输层协议TLS连接,之后终端通过发言权控制协 议BFCP向服务器通知自身的加密套件信息。
6、 根据权利要求1至4中任一项所述的IMS会议媒体数据的加密方法, 其特征在于,所述加密套件信息为数据加密标准DES中的3DES、或高^口 密标准AES对称加密算法;所#密套件信息包含于发言权控制协议BFCP的报文扩展属性CIPHER_ SUITEJNFO中;所述加密密钥包含于BFCP的报文扩展属性KEY一DATAJNFO中。
7、 一种IMS ^i义媒体数据的加密系统,其特征在于,该系统包括终端 和服务器;其中,所述终端,用于向服务器通知自身的加密套件信息;申请发言权,并将与 服务器所选加密套件对应的加密密钥通知服务器,经服务器的发言允许后将经 过加密的媒体数据发送到服务器;所述服务器,用于从终端发送的加密套件信息中选择待用的加密套件;接 收终端上传的加密密钥及经过加密的媒体数据。
8、 根据权利要求7所述的IMS会议媒体数据的加密系统,其特征在于, 所述服务器,进一步用于判断参会成员是否具备媒体数据加密能力,确定参会 成员具备媒体数据加密能力,则将加密的媒体数据发送到参会成员终端;确定 参会成员不具备i某体数据加密能力,则将加密的媒体数据解密后发送到参会成 员终端;相应的,该系统进一步包括参会成员终端,用于接收服务器下发的加密的媒体数据, 或接收服务器下发的经服务器解密的媒体数据。
9、 根据权利要求7或8所述的IMS会议媒体数据的加密系统,其特征在于,所述终端进一步用于在SDP信息中添加媒体数据加密能力信息,并执行与服务器间的SDP协商; 相应的,所述服务器,进一步用于执行与终端间的SDP协商。
10、根据权利要求9所述的IMS会议媒体数据的加密系统,其特征在于,所述终端在SDP信息中添加媒体数据加密能力信息,并执行与服务器间的SDP协商,具体为将添加媒体数据加密能力信息的SDP信息发送到服务器,接收服务器发送 的会议的媒体编解码集合及服务器具备加密功能的确定信息,进行资源预留操 作;更新自身的媒体描述信息并通知服务器,确认SDP协商完毕; 相应的,所述服务器执行与终端间的SDP协商,具体为 接收终端所发的添加媒体数据加密能力信息的SDP信息,并通知终端已接 收到添加媒体数据加密能力信息的SDP信息;将会议的媒体编解码集合及具备 加密功能的确定信息通知终端,进行资源预留操作;接收终端更新的媒体描迷 信息,确定^i义的々某体类型,并确定是否进行+某体数据加密。
全文摘要
本发明公开了一种IP多媒体系统IMS会议媒体数据的加密方法,包括终端向服务器通知自身的加密套件信息,服务器从收到的加密套件信息中选择待用的加密套件;终端申请发言权,并将与服务器所选加密套件对应的加密密钥通知服务器,终端经服务器的发言允许后将经过加密的媒体数据发送到服务器。本发明还同时公开了一种IMS会议媒体数据的加密系统,运用该方法和系统可实现对IMS会议的媒体数据进行加密,确保了媒体数据的保密性传输。
文档编号H04W12/00GK101635919SQ20091009103
公开日2010年1月27日 申请日期2009年8月20日 优先权日2009年8月20日
发明者施元庆, 李小勇, 梁洁辉 申请人:中兴通讯股份有限公司