专利名称:Ip多媒体子系统中会议媒体流密钥的管理方法与装置的制作方法
技术领域:
本发明涉及IP多媒体子系统(IMS,IP Multi-media Subsystem)中的密钥管理技 术,尤其涉及一种IP多媒体子系统中会议媒体流密钥的管理方法与装置。
背景技术:
IMS电话会议是多个会话参与用户之间的电话交谈,其中大部分IMS电话会议都 是紧耦合形式的,在紧耦合的电话会议中总会有一个会议中心,会议的参与者都与之连接。 这个会议中心提供各种会议服务,包括编码转换和参与者列表通知等。在IMS电话会议中,一般在电话会议的应用服务器(AS,Application Server)中 实现会议控制的功能,当受到一个INVITE请求时(该请求利用会议工厂的统一资源定位符 (URI,Universal Resource Identifier)寻址达到该工厂),就可以创建一个新的会议实例 并分配一个URI。在IMS电话会议中,每个会话参与用户所产生的媒体流都汇集在多媒体资源功能 处理器(MRFP, Multimedia Resource Function Processor),由 MRFP 完成媒体混合功能, 然后把混合后的媒体流发送给每个会话参与用户,MRFP可以实现解密与加密媒体的功能。 在这种情况下,由于MRFP需要获得会话明文来实现媒体混合,需要保障IMS用户设备(UE, User Equipment)到MRFP之间的会议媒体流安全,目前的解决方案为IMS UE加密媒体流 后发给MRFP,MRFP先解密完成媒体混合,再将混合媒体加密后发送给各参会IMS UE。目前为了实现会议媒体流的安全,IMS UE和MRFP之间可以使用两种密钥方式,以 下分别介绍之。一种是组密钥,即参与会议的所有用户与MRFP使用同一个密钥。图1为IMS电话会议中组密钥方案的示意图,如图1所示,用户(会话参与用户) A、B、C、D与MRFP拥有共同的媒体密钥K,各用户用媒体密钥K加密自己要发出的媒体流到 MRFPjMRFP使用密钥K解密接收到的密文,将解密后的明文混音后再用密钥K进行加密,并 发送给各用户,各用户使用密钥K解密获得会议明文。使用这种组密钥管理方式的优点是,MRFP的计算量相对较小。由于所有用户与 MRFP使用相同的共享密钥,MRFP不需要在接收到密文时首先检索媒体密钥,只须用相同的 密钥解密由各会话参与用户发来的加密媒体,混音后,仅需用组密钥对混音后的流媒体进 行一次加密,得到一个密文,即可通过组播分发给各会话参与的用户。该方式适合于会话参 与用户数量较大的电话会议中。但使用这种密钥的缺点在于,一旦有用户退出会议或者有 新用户加入电话会议时,必须重新协商组密钥,所有会话参与用户与MRFP必须更新并使用 新的组密钥。如果参加会议的用户数量很大,更新一次组密钥所需要的信令开销必须被考 虑,而且由此引起的延时可能太长而令会话参与用户不能忍受,这种情况下,用户加入与退 出对电话会议所造成的影响会非常大。另一种是每个会话参与用户的密钥是唯一的,即参与电话会议的各用户与MRFP 之间使用互不相同的密钥。
图2为IMS电话会议中各用户分配唯一密钥方案的示意图,如图2所示,会话参与 用户A、B、C、D分别与MRFP拥有密钥K1、K2、K3、K4。每个会话参与的用户在发送会议媒体 流时,使用自己与MRFP的唯一的共享密钥对媒体流进行加密,然后将密文发给MRFP,MRFP 根据媒体流的发送者选择相应的密钥进行解密,将解密后的明文作混音后,MRFP再将混音 后的媒体流分别用与每个会话参与的用户唯一的共享密钥进行加密,并分发给对应的每个 会话参会的用户。使用这种密钥管理方式的好处在于会议中有成员退出或新成员加入均不会对其 他成员造成影响,对于新加入的会话参与的成员,只需为该成员与MRFP协商一个唯一的密 钥即可。缺点在于,假设一个会议中有N个会话参与用户,MRFP解密从用户发来的媒体流做 混音后,需要对媒体流进行N次加密,再将这N个密文分别发送给对应的N个会话参与的用 户,这样对于信道流量负荷,以及MRFP的加密解密开销都较大。所以,虽然使用这种会话参 与用户与MRFP之间采用唯一密钥的管理方式方便了会话参与用户的加入和退出,但由于 MRFP的工作量依赖于会议参与者的多少,该方式并不适合会话参与用户数量较大的电话会 议。由上述可见,这两种密钥方式有各自的优点和缺点,但在实际应用中,实现该两种 密钥方案中的任何一种,都无法完全适合不同情况的会议服务(如参会人数不一样,参会 人员稳定度不一样)的媒体流安全,尤其是针对参会人数较多的电话会议,上述方法都不 能提供较佳的服务。
发明内容
有鉴于此,本发明的主要目的在于提供一种IP多媒体子系统中会议媒体流密钥 的管理方法与装置,能根据当前的会话参与用户的数量进行分组,并按所分组进行密钥管理。为达到上述目的,本发明的技术方案是这样实现的一种IP多媒体子系统中会议媒体流密钥的管理方法,包括对IP多媒体子系统IMS电话会议中的会话参与用户进行分组,并为同组中的会话 参与用户分配相同的密钥;组中的会话参与用户与会议中心之间,根据所述密钥对媒体流进行加密及解密处理。优选地,对IMS电话会议中的会话参与用户进行分组,具体为按电话会议的应 用服务器所支持的密钥处理能力来确定组数;所述会议中心是指多媒体资源功能处理器 MRFP0优选地,所述组中会话参与用户的数量根据电话会议的应用服务器所支持密钥处 理组数C及电话会议中的会话参与用户总数量N确定,其中每组中的会话参与用户最大数 量为[N/C],其中,“ □”表示向上取整运算。优选地,所述电话会议中的会话参与用户增加时,将新增的会话参与用户添加到 当前会话参与用户数量少于[N/C]的组中,为添加新增会话参与用户的组重新确定密钥, 并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。优选地,所述电话会议中的组中的会话参与用户减少时,为会话参与用户减少的组重新确定密钥,并通知所述会话参与用户减少的组中的当前所有会话参与用户。优选地,所述电话会议中的会话参与用户增加时,将新增的会话参与用户添加到 当前会话参与用户数量最少的组中;如果存在几个组有相同的最少用户数量,则将新增的 会话参与用户添加到其中任意组中,为添加新增会话参与用户的组重新确定密钥,并通知 所述添加新增会话参与用户的组中的当前所有会话参与用户。一种IP多媒体子系统中会议媒体流密钥的管理装置,包括分组单元,用于对IMS电话会议中的会话参与用户进行分组;密钥分配单元,用于为同组中的会话参与用户分配相同的密钥;以及处理单元,用于在组中的会话参与用户与会议中心之间,根据所述密钥对媒体流 进行加密及解密处理。优选地,所述分组单元对IMS电话会议中的会话参与用户进行分组,具体为按电 话会议的应用服务器所支持的密钥处理能力来确定组数;所述会议中心是指多媒体资源功 能处理器MRFP。优选地,所述装置还包括确定单元,用于确定组中会话参与用户的数量,具体为根据电话会议的应用服务 器所支持密钥处理组数C及电话会议中的会话参与用户总数量N确定,其中每组中的会话 参与用户最大数量为[N/C],其中,“[],,表示向上取整运算。优选地,所述装置还包括第一添加单元,用于在电话会议中的会话参与用户增加时,将新增的会话参与用 户添加到当前会话参与用户数量少于[N/C]的组中,所述密钥分配单元为添加新增会话参 与用户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与 用户。优选地,所述密钥分配单元在电话会议中的组中的会话参与用户减少时,为会话 参与用户减少的组重新确定密钥,并通知所述会话参与用户减少的组中的当前所有会话参 与用户。优选地,所述装置还包括第二添加单元,用于在电话会议中的会话参与用户增加时,将新增的会话参与用 户添加到当前会话参与用户数量最少的组中,如果存在几个组有相同的最少用户数量,则 将新增的会话参与用户添加到其中任意组中,所述密钥分配单元为添加新增会话参与用户 的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。本发明中,在电话会议建立时,根据会话参与用户的数量对其进行分组,并为同组 中的所有会话参与用户设置相同的密钥,组中的所有会话参与用户使用为该组分配的密钥 对与MRFP之间的会议媒体流进行加密及解密处理。在电话会议中新增及组内减少会话参 与用户时,对该组的密钥进行更新即可,这样,节约了电话会议的应用服务器的处理资源, 本发明更适合于电话会议的多电话会议参与者,更支持任何参与者的新增或退出,本发明 方案实现简单且实用。
图1为IMS电话会议中组密钥方案的示意图2为IMS电话会议中各用户分配唯一密钥方案的示意图;图3为本发明IMS电话会议中基于用户分组的密钥分配示意图;图4为本发明IMS电话会议中基于组的密钥建立及更新流程图;图5为本发明基于KMS的IMS电话会议的组的密钥建立流程图;图6为本发明基于KMS的用户退出情形下密钥更新流程图;图7为本发明基于KMS的用户加入情形下密钥更新流程图;图8为本发明IP多媒体子系统中会议媒体流密钥的管理装置的组成结构示意图。
具体实施例方式本发明的基本思想是在电话会议建立时,根据会话参与用户的数量对其进行分 组,并为同组中的所有会话参与用户设置相同的密钥,组中的所有会话参与用户使用为该 组分配的密钥对与MRFP之间的会议媒体流进行加密及解密处理。在电话会议中新增及组 内减少会话参与用户时,对该组的密钥进行更新即可,这样,节约了电话会议的应用服务器 的处理资源,本发明更适合于电话会议的多电话会议参与者,更支持任何参与者的新增或 退出,本发明方案实现简单且实用。为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对 本发明进一步详细说明。图3为本发明IMS电话会议中基于用户分组的密钥分配示意图,如图3所示,假设 某电话会议场景中有8个会话参与用户分别为A、B、C、D、E、F、G、H,分别分为3组,其中,会 话参与用户A、B、C属于第一组,会话参与用户D、E、F属于第二组,会话参与用户G、H为第 三组;会议中心与这三组的会话参与成员分别拥有三个媒体密钥ΚΙ、K2、K3,即第一组会话 参与成员A、B、C均与MRFP拥有共享密钥K1,第二组会话参与成员D、E、F均与MRFP拥有共 享密钥K2,第三组会话参与成员G、H与MRFP拥有共享密钥K3。这样,当有会话参与用户退 出或加入时,只有相关的小组成员需要与MRFP进行密钥更新,而其他组的所有成员均不受 影响。假设图3中的用户E退出会议,那么MRFP只需和用户E所在小组的其它成员,即会 话参与用户D、F进行会话媒体流密钥更新,例如使用新的密钥K2 ‘,而会话参与用户A、B、 C、G、H仍然使用之前的密钥,即会话参与用户A、B、C仍使用密钥K1,会话参与用户G、H仍 使用K3,这样既避免了为每个会话参与用户分配会话媒体流密钥的,又降低了密钥更新的 开销。使用组合密钥,会议中心可以根据不同的策略进行分组选择,自由进行加密解密 开销与新密钥更新开销的折中。具体策略由服务提供商根据其电话会议的应用服务器自身 的能力、信道带宽、会话参与人员数量、会话参与人员归属地等具体进行制订。其中,电话会 议的应用服务器自身能力反映在两个方面,一是组成员规模,即组成员规模为多大时,组内 成员进出,导致组密钥更新所带来的开销不会影响到用户体验,即时延在可允许最大范围 内;二是分组数量,即组规模为多大时,电话会议的应用服务器对每个会话媒体流解密并对 混合后的媒体流逐一加密的开销将导致用户体验的明显下降。以下通过具体的示例进一步 阐明本发明技术方案的实质。图4为本发明IMS电话会议中基于组的密钥建立及更新流程图,如图4所示,包括 以下步骤
步骤401 电话会议建立。电话会议的制定用户发起电话会议的建立请求,电话会 议的应用服务器接收到该建立请求,进行电话会议的建立。步骤402 根据电话会议的应用服务器的组密钥的处理能力C和会话参与用户总 数量N,计算出每个分组的最大成员数量Mmax= [N/C],其中,“ □”表示向上取整运算。C 表示电话会议的应用服务器能支持的密钥处理的最大分组数。如果在会议建立时不知道会 话参与用户数量,则使用默认每组成员数Mdefault对会话参与的用户进行分组。例如,电 话会议的应用服务器能力C为支持5组,会话参与用户数量为24人,则每组最大成员数为 [24/5] = 5。步骤403 根据计算出或默认的每分组成员数,对会话参与用户进行分组。仍基于 前述每组最大为5人为例,会话参与用户被分为5组,前4组均有5个成员,最后一组包含 4个成员。步骤404 电话会议会议中心与这五组成员分别协商出Kl、K2、K3、K4、K5。步骤405:判断当前电话会议的各组中是否有用户退出,若有则执行步骤410,否 则执行步骤406。步骤406 判断当前电话会议中是否有新用户加入,若有则执行步骤407,否则执 行步骤411,当前流程结束。步骤407 当新用户加入到当前的电话会议中时,将触发添加该新用户所在组的 密钥进行更新,检查是否有存在组内用户数未达到Mmax的组,如果有的话,则执行步骤 408,否则执行步骤409。步骤408 将新用户添加到用户数未达到Mmax的组,然后执行步骤410,更新该组 所有用户与会议中心的密钥。例如上例中,第五组成员数为4,未达到最大值,即组员未满, 有新成员加入,则被划分到第五组,第五组的五个成员与会议中心协商新密钥K5'。步骤409 如果所有分组的成员数都达到了 Mmax,根据前述的描述,新增一个组 时,可能会影响到整个电话会议的会话质量,电话会议的应用服务器可能不能处理更多的 分组,则将新加入的成员添加到前述5组中的任一个组,然后执行步骤410,更新该组与会 议中心的密钥。如果前五组均有5个用户,新加入成员任意添加到前述5组中的任一组,与 会议中心协商出密钥K'。步骤410 在用户退出或新增了用户的情况下触发密钥更新,用户所在组的所有 成员与会议中心协商出新密钥。例如第一组中的一个用户退出,则第一组中的其它所有成 员与会议中心进行密钥更新,而其它组成员不受影响。步骤411 处理流程结束。需要说明的是,前述的通过计算电话会议中每组用户的Mmax数仅是一种示例而 已,是为保证分组中的用户数尽量均勻的一种具体实现。本发明可根据电话会议的应用服 务器的处理能力,为每个组中的用户数设置为任意的数量,只要不超出应用服务器对单个 组中用户的会话媒体流加密解密处理能力即可。例如,在这种应用场景下,当有新用户加入 到当前电话会议中时,可将新增的用户添加到当前用户数最少的哪个组中。当每个组中的 用户数都达到了应用服务器的所支持的最大数时,如果当前的组数未达到应用服务器所支 持的组数,则增加新组,将新增用户加入到该新组中即可,并为该新组分配对会话媒体流加 解密处理新密钥,并通知该新加入的用户即可。如果此时应用服务器也达到了所支持的最大组数,则拒绝该新用户接入当前的电话会议中。本发明最大优点在于灵活性,通过灵活配置分组用户数量可以满足会议服务媒体 流安全需求。下面具体给出IMS会议中心邀请成员场景下的IMS会议媒体流密钥协商的一 个实例流程。在IMS中会议中央控制器在多媒体资源功能控制器(MRFC,MultimediaResource Function controller)/AS中实现,MRFP负责媒体流的混音及加密解密。首先说明,这种基 于密钥管理服务器(KMS,Key Management Server)的密钥协商机制均需要IMS用户,应用 服务器和KMS首先进行通用认证机制(GBA,General Bootstrapping Architecture)过程 来协商出共享密钥,如果GBA不能被使用,则使用其他方式与KMS建立安全信任关系。在图 5至图7所示场景的安全解决方法流程中,为了让流程看起来更加简洁,GBA过程将不再在 图中示出,未作特殊说明时,所有解决方法附图实例中IMS用户A、IMS用户M、IMS用户N及 IMS用户X与KMS的共享密钥分别为Ka,Km, Kn, Kx,电话会议的应用服务器与KMS的共享 密钥为Kas,各用户与KMS之间均已经建立安全通道。图5为本发明基于KMS的IMS电话会议的分组密钥建立流程图,如图5所示,本发 明基于KMS的IMS电话会议的组的密钥建立包括以下步骤步骤501 =IMS用户A发起带有会议工厂URI的会议请求INVITE,信息中包括IMS 用户A的标识信息(ID-A)、会议电话的标识信息(即会议工厂URI) (ID-C0NF(Conference Call))、会话参与用户列表(ID-Rec List)以及用于与KMS的共享密钥Ka加密的Ea(ID_A, ID-C0NF),并通过IMS网络将INVITE消息转发给电话会议的应用服务器MRFC/AS。步骤502 :MRFC/AS收到带有会议工厂URI的INVITE后,与MRFP进行交互,创建电 话会议。步骤503 :MRFC/AS根据策略和会话参与用户列表中的信息,制定分组类型,并为 第一个分组生成随机数Rl。步骤504 :MRFC/AS向KMS发起媒体密钥请求,请求中包含从IMS用户A获得的 INVITE消息中包含的ID-A、ID-C0NF、Ea(ID-A,ID-C0NF)等参数,再加上用自己与KMS的共 享密钥 Kas 加密的 Eas (Rl,ID-A,ID-C0NF)。步骤505 =KMS收到媒体密钥请求后,用Ka, Kas分别解密Ea(ID_A,ID-C0NF), Eas (Rl, ID-A,ID-C0NF),将解密得到的 ID-A,ID-C0NF 与明文 ID-A,ID-C0NF 进行比较,如 果一致,则使用密钥生成函数(KDC),基于Rl生成媒体密钥Kl。步骤506 =KMS用Ka, Kas分别加密媒体密钥Kl,得到Ea (Kl),Eas (Kl),并将它们 包含在报文中返回给MRFC/AS。步骤507 MRFC/AS收到KMS返回的报文后,用Kas解密Eas (Kl)得到媒体密钥Kl, 并将Ea (Kl)包含在2000K消息中通过IMS网络返回给IMS用户A。IMS用户A收到该2000K 消息后,用Ka解密Ea(Kl),即可获悉媒体密钥Kl。步骤508 会议中心邀请第一组用户,呼叫该组内每个用户的流程参见步骤508到 步骤512,故在图中只示出了一个用户作为例子。步骤508中,MRFC/AS根据IMS用户A的ID-Rec List呼叫会话参与用户,首 先MRFC/AS将INVITE消息发给IMS网络,具体来说是服务呼叫会话控制功能(S-CSCF, Service-Call Session Control Function)网元,再转发给被叫用户Μ。消息中包含会议URI =ID-CONF,相应邀请用户的ID (图例中为ID-M),用Kas加密的Eas (Rl, ID-CONF, ID-M)。步骤509 =IMS用户M收到INVITE消息后,向KMS发起媒体密钥请求,请求中包 含ID-CONF,ID-M,Eas (Rl, ID-CONF, ID-M)以及用它自己和KMS的共享密钥Km加密的 Em(ID-C0NF, ID-M)。步骤510 =KMS收到媒体密钥请求后,用Kas和Km分别解密密文Eas (Rl, ID-CONF, ID-M)和 Em(ID-C0NF,ID-M),将得到的 ID-CONF,ID-M 分别与明文 ID-CONF,ID-M 比较是否 一致,如果一致,KMS使用KDC基于Rl再次生成密钥Kl。步骤511 通过验证后,KMS用与IMS用户M的共享密钥Km和与Kas分别加密Kl 得到Em(Kl)和Eas (Kl),并将该密文发在报文中返回给IMS用户M。IMS用户M收到KMS返 回的报文后,用Km解密Em(Kl),得到会议媒体组合密钥Kl。步骤512 IMS用户M通过IMS网络返回包含Eas (Kl)的2000K消息给MRFC/AS。当开始邀请一个新组成员时,MRFC/AS生成新的随机数。如图5所示,邀请第二组 成员时,MRFC/AS生成随机数R2。下面的流程与邀请第一组成员流程完全相似,这样,KMS 为所有被邀请的成员生成组合媒体密钥。图6为本发明基于KMS的用户退出情形下密钥更新流程图,如图6所示,本发明基 于KMS的用户退出情形下密钥更新包括以下步骤步骤601 有电话会议参与用户退出会议,MRFC/AS确定其所在组,生成新的随机 数R。步骤602 MRFC/AS向KMS发送密钥更新请求,该请求中包括自己的ID,ID-C0NF, 以及用Kas加密得到的Eas (R,ID-CONF, ID-Group),其中ID-Group为退出用户原先所在的 组中现有所有成员ID。步骤603 =KMS 根据 Kas 解密 Eas (R, ID-CONF, ID-Group),验证 ID-C0NF 是否一致, 基于随机数R生成新的媒体密钥Knew。步骤604 =KMS根据ID-Group将Knew用自己与组中各用户的共享密钥加密后放在 密钥更新通知中发给各相应用户。步骤605 相应用户收到KMS发来的密钥更新通知后,用自己与KMS的共享密钥解 密获得新的媒体密钥Knew,返回OK消息给KMS。步骤606 获得所有相应用户的OK消息后,KMS将用Kas加密的Knew,即Eas (Knew) 返回给MRFC/AS。这样该组成员就可以用新的媒体密钥Knew与MRFP进行安全媒体通信。图7为本发明基于KMS的用户加入情形下密钥更新流程图,如图7所示,本发明基 于KMS的用户加入情形下密钥更新包括以下步骤步骤701 :MRFC/AS邀请新用户X加入会议,首先MRFC/AS为新用户选定分组,然后 生成随机数R。步骤702 MRFC/AS通过IMS网络发送INVITE消息,消息中包括ID-C0NF,邀请用 户的 ID,即 ID-X,以及用 Kas 加密得到的 Eas (R,ID-CONF, ID-X,ID-Group),其中 ID-Group 为新用户所在组的成员ID列表。步骤703 =IMS用户X向KMS发起媒体密钥请求,请求中包含从INVITE消息中得到 的 ID-CONF, ID-X, Eas (R, ID-CONF, ID-X, ID-Group),以及用自己与 KMS 的共享密钥 Kx 加密得到的 Ex(ID-C0NF,ID-X)。步骤704 =KMS收到媒体密钥请求后,用Kas和Kx分别解密密文Eas (R,ID-CONF, ID-X, ID-Group)和 Ex(ID_C0NF,ID-X),将得到的 ID-CONF,ID-X 分别与明文 ID-CONF,ID-X 比较是否一致,如果一致,KMS使用KDC基于R生成媒体密钥Knew。步骤705 根据解密得到的ID-Group,KMS将Knew用自己与列表中各用户的共享 密钥加密后放在密钥更新通知中发给各相应用户。步骤706 相应用户收到KMS发来的密钥更新通知后,用自己与KMS的共享密钥解 密获得新的媒体密钥Knew,返回OK消息给KMS。步骤707 获得所有相应用户的OK消息后,KMS将用Kx和Kas分别加密的Knew, 得到Ex (Knew)和Eas (Knew)返回给用户X。步骤708 用户X使用Kx解密Ex (Knew)得到Knew,并将Eas (Knew)包含在2000K 消息中返回给MRFC/AS。图8为本发明IP多媒体子系统中会议媒体流密钥的管理装置的组成结构示意图, 如图8所示,本发明IP多媒体子系统中会议媒体流密钥的管理装置包括分组单元80和密 钥分配单元81,其中,分组单元80用于对IMS电话会议中的会话参与用户进行分组;密钥 分配单元81用于为同组中的会话参与用户分配相同的密钥,所述密钥用于在组中的会话 参与用户与会议中心之间对媒体流进行加密及解密处理。分组单元80对IMS电话会议中 的会话参与用户进行分组,具体为按电话会议的应用服务器所支持的密钥处理能力来确 定组数。所述会议中心是指多媒体资源功能处理器MRFP。如图8所示,本发明IP多媒体子系统中会议媒体流密钥的管理装置还包括确定单 元82,用于确定组中会话参与用户的数量,具体为根据电话会议的应用服务器所支持密 钥处理组数C及电话会议中的会话参与用户总数量N确定,其中每组中的会话参与用户最 大数量为[N/C],其中,“ □”表示向上取整运算。如图8所示,本发明IP多媒体子系统中会议媒体流密钥的管理装置还包括第一添 加单元83,用于在电话会议中的会话参与用户增加时,将新增的会话参与用户添加到当前 会话参与用户数量少于[N/C]的组中,密钥分配单元81为添加新增会话参与用户的组重新 确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。密钥分配单元81在电话会议中的组中的会话参与用户减少时,为会话参与用户 减少的组重新确定密钥,并通知所述会话参与用户减少的组中的当前所有会话参与用户。如图8所示,本发明IP多媒体子系统中会议媒体流密钥的管理装置还包括第二添 加单元84,用于在电话会议中的会话参与用户增加时,将新增的会话参与用户添加到当前 会话参与用户数量最少的组中,如果存在几个组有相同的最少用户数量,则将新增的会话 参与用户添加到其中任意组中,密钥分配单元81为添加新增会话参与用户的组重新确定 密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。本领域技术人员应当理解,图8所示的IP多媒体子系统中会议媒体流密钥的管理 装置中各处理单元的功能可参照图3至图7中的相关描述而理解,各处理单元的功能可通 过运行于处理器上的程序而实现,也可通过具体的逻辑电路而实现。图8中,除分组单元80 和密钥分配单元81外,其余各处理单元均非实现本发明装置的必要技术特征。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种IP多媒体子系统中会议媒体流密钥的管理方法,其特征在于,包括对IP多媒体子系统IMS电话会议中的会话参与用户进行分组,并为同组中的会话参与 用户分配相同的密钥;组中的会话参与用户与会议中心之间,根据所述密钥对媒体流进行加密及解密处理。
2.根据权利要求1所述的方法,其特征在于,对IMS电话会议中的会话参与用户进行分 组,具体为按电话会议的应用服务器所支持的密钥处理能力来确定组数;所述会议中心 是指多媒体资源功能处理器MRFP。
3.根据权利要求1或2所述的方法,其特征在于,所述组中会话参与用户的数量根据电 话会议的应用服务器所支持密钥处理组数C及电话会议中的会话参与用户总数量N确定, 其中每组中的会话参与用户最大数量为[N/C],其中,“ □”表示向上取整运算。
4.根据权利要求3所述的方法,其特征在于,所述电话会议中的会话参与用户增加时, 将新增的会话参与用户添加到当前会话参与用户数量少于[N/C]的组中,为添加新增会话 参与用户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参 与用户。
5.根据权利要求1所述的方法,其特征在于,所述电话会议中的组中的会话参与用户 减少时,为会话参与用户减少的组重新确定密钥,并通知所述会话参与用户减少的组中的 当前所有会话参与用户。
6.根据权利要求1所述的方法,其特征在于,所述电话会议中的会话参与用户增加时, 将新增的会话参与用户添加到当前会话参与用户数量最少的组中;如果存在几个组有相 同的最少用户数量,则将新增的会话参与用户添加到其中任意组中,为添加新增会话参与 用户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用 户。
7.—种IP多媒体子系统中会议媒体流密钥的管理装置,其特征在于,包括分组单元,用于对IMS电话会议中的会话参与用户进行分组;密钥分配单元,用于为同组中的会话参与用户分配相同的密钥;所述密钥用于在组中 的会话参与用户与会议中心之间对媒体流进行加密及解密处理。
8.根据权利要求7所述的装置,其特征在于,所述分组单元对IMS电话会议中的会话 参与用户进行分组,具体为按电话会议的应用服务器所支持的密钥处理能力来确定组数; 所述会议中心是指多媒体资源功能处理器MRFP。
9.根据权利要求7或8所述的装置,其特征在于,所述装置还包括确定单元,用于确定组中会话参与用户的数量,具体为根据电话会议的应用服务器所 支持密钥处理组数C及电话会议中的会话参与用户总数量N确定,其中每组中的会话参与 用户最大数量为[N/C],其中,“[],,表示向上取整运算。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括第一添加单元,用于在电话会议中的会话参与用户增加时,将新增的会话参与用户添 加到当前会话参与用户数量少于[N/C]的组中,所述密钥分配单元为添加新增会话参与用 户的组重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用 户。
11.根据权利要求7所述的装置,其特征在于,所述密钥分配单元在电话会议中的组中的会话参与用户减少时,为会话参与用户减少的组重新确定密钥,并通知所述会话参与用 户减少的组中的当前所有会话参与用户。
12.根据权利要求7所述的装置,其特征在于,所述装置还包括 第二添加单元,用于在电话会议中的会话参与用户增加时,将新增的会话参与用户添 加到当前会话参与用户数量最少的组中,如果存在几个组有相同的最少用户数量,则将新 增的会话参与用户添加到其中任意组中,所述密钥分配单元为添加新增会话参与用户的组 重新确定密钥,并通知所述添加新增会话参与用户的组中的当前所有会话参与用户。
全文摘要
本发明公开了一种IP多媒体子系统中会议媒体流密钥的管理方法,包括对IP多媒体子系统IMS电话会议中的会话参与用户进行分组,并为同组中的会话参与用户分配相同的密钥;组中的会话参与用户与会议中心之间,根据所述密钥对媒体流进行加密及解密处理。本发明同时公开了一种实现前述方法的装置,包括分组单元,用于对IMS电话会议中的会话参与用户进行分组;密钥分配单元,用于为同组中的会话参与用户分配相同的密钥;所述密钥用于在组中的会话参与用户与会议中心之间对媒体流进行加密及解密处理。本发明节约了电话会议的应用服务器的处理资源,更适合于电话会议的多电话会议参与者,支持任何参与者的新增或退出,本发明方案实现简单且实用。
文档编号H04L29/06GK101997677SQ200910162688
公开日2011年3月30日 申请日期2009年8月18日 优先权日2009年8月18日
发明者朱允文, 滕志猛, 王鸿彦, 田甜, 韦银星 申请人:中兴通讯股份有限公司