专利名称:Ims多媒体通信方法和系统、终端及ims核心网的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种IMS多媒体通信方法和系统、终端及 IMS核心网。
背景技术:
随着 X (the 3rd Generation,第三代)网络的发展,在 IMS (IP MultiMedia Subsystem, IP多媒体子系统)核心网下可以部署越来越多的多媒体业务,例如视频共享 (VS, VideoSharing)、基于IP的语音通信(VoIP, Voice over IP)、基于IP的视频与语音通 信(V2IP, Videoand Voice over IP)、以及一键通(PoC,Push To Talk over CelIuar)等。 这些业务都是采用IP协议进行传输,而不是采用2G网络的SS7 (Signal System 7,7号信 令系统)。IP协议的引入使得在IMS核心网部署分组交换业务非常方便,也使得IMS核心网 完全开放和易于访问。由于接入网络的多样性和复杂性,从而引发了 IMS下多媒体通信的 安全问题。
发明内容
本发明的主要目的在于提供一种IMS多媒体通信方法和系统、终端及IMS核心网, 以至少解决上述问题。根据本发明的一个方面,提供了一种IMS多媒体通信方法,包括终端与IMS核 心网进行信令协商,并在信令协商的过程中建立终端与IMS核心网之间的媒体传输的 IPSec-ESP安全关联;终端和IMS核心网之间通过媒体传输的IPSec-ESP安全关联进行媒 体内容的传输。根据本发明的又一方面,提供了一种IMS多媒体通信系统,包括终端和IMS核心 网,其中终端用于与IMS核心网进行信令协商,并在信令协商的过程中建立与IMS核心网 之间的媒体传输的IPSec-ESP安全关联,通过媒体传输的IPSec-ESP安全关联进行终端和 IMS核心网之间的媒体内容的传输。根据本发明的又一方面,提供了一种终端,包括协商与建立模块,用于与IMS 核心网进行信令协商,并在信令协商的过程中建立终端与IMS核心网之间的媒体传输的 IPSec-ESP安全关联;媒体传输模块,用于通过媒体传输的IPSec-ESP安全关联将媒体内容 发送给IMS核心网和/或接收来自IMS核心网的媒体内容。根据本发明的又一方面,提供了一种IMS核心网,包括协商与建立模块,用于与 终端进行信令协商,并在信令协商的过程中建立与终端之间的媒体传输的IPSec-ESP安全 关联;媒体传输模块,用于通过媒体传输的IPSec-ESP安全关联将媒体内容发送给终端和/ 或接收来自终端的媒体内容。通过本发明,终端和IMS核心网之间通过建立媒体传输的IPSec-ESP安全关联,这 样,可以在进行媒体内容的传输时通过该媒体传输的IPSec-ESP安全关联进行传输,从而确保了终端和IMS核心网之间传输的媒体内容的安全性,解决了相关技术中IMS下的多媒 体通信的安全问题,避免了媒体内容在终端和IMS核心网之间进行传输时被他人恶意地盗 取和篡改等。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是根据本发明实施例的IMS多媒体通信系统的架构图;图2是根据本发明实施例的IMS多媒体通信系统中的终端的结构示意图;图3是根据本发明实施例的IMS多媒体通信系统中的IMS核心网的结构示意图;图4是根据本发明实施例的IMS多媒体通信方法的流程图;图5是根据本发明优选实施例的IMS多媒体通信过程的流程示意图。
具体实施例方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的 情况下,本申请中的实施例及实施例中的特征可以相互组合。IMS多媒体通信主要包含两方面的内容控制面的信令协商和用户面的媒体数据 (内容)传输,前者一般采用SIP (Session Initiation Protocol,会话发起协议)协议,后 者一般采用RTP (Real-time Transport Protocol,实时传送协议)协议。图1是根据本发 明实施例的IMS多媒体通信系统的架构图,如图1所示,通常涉及终端10(UE-A和UE-B)和 IMS核心网20(UE-A的归属网络和UE-B的归属网络),本发明的以下实施例主要关注终端 10与IMS核心网20之间的安全通信,IMS核心网之间属于专用有线网络,通常不需要考虑 安全性问题。为了保护终端与IMS核心网之间的媒体内容不会被恶意篡改和盗取,如图1所示, 根据本发明实施例的IMS多媒体通信中的终端(UE) 10可以用于与IMS核心网20进行信令 协商,并在信令协商的过程中建立与IMS核心网20之间的媒体传输的IPSec-ESP(IPsecur ity-Encapsulate Secure Payload, IP安全-封装安全负载)安全关联,通过该媒体传输 的IPSec-ESP安全关联进行终端10和IMS核心网20之间的媒体内容的传输。例如,通过 该媒体传输的IPSec-ESP安全关发送媒体内容到IMS核心网20以及接收IMS核心网20发 来的媒体内容。从而,IMS核心网20也可以用于与UE 10进行信令协商,并在信令协商的过程中建 立与IMS核心网20之间的媒体传输的IPSec-ESP安全关联,通过该媒体传输的IPSec-ESP 安全关联进行终端10和IMS核心网20之间的媒体内容的传输。例如,通过该媒体传输的 IPSec-ESP安全关发送媒体内容到终端10以及接收终端10发来的媒体内容。进一步,为了保护终端10与IMS核心网20进行信令协商时的信令协商数据的完 整性和加密保护,终端10还用于在与IMS核心网20进行信令协商之前,向IMS核心网20进 行注册,并在注册的过程中建立与IMS核心网20之间的信令协商的IPSec-ESP安全关联, 从而终端10就可以通过该信令协商的IPSec-ESP安全关联与IMS核心网20进行信令协商。在实际应用中,如图1所示,终端10中包含两部分ISIM(IP MultimediaServices IdentityModule, IMS 业务i只另Ij模块)/USIM(Universal Subscriber Identity Module,全球用户识别模块)和IMS多媒体通信客户端(即图1中的IMS Client)。其中, ISIM/USIM主要用于提供终端10的身份信息,而IMS多媒体通信客户端为用户使用的应 用程序。IMS核心网20中包括的网元主要有HSS (Home Subscriber Server,归属用户服 务器)、P-CSCF(Proxy-Call SessionControl Function,代理型-呼叫会话控制功能)和 MGCF(Media Gateway Control Function,媒体网关控制功能),其中,HSS保存终端的IMS用 户信息和ISIM/USIM的身份信息等,P-CSCF主要负责多媒体通信的用户注册和会话协商, 而MGCF负责媒体内容的转发。由上述的系统可知,根据本发明实施例的IMS多媒体通信系统中的终端10的结构 示意图可以如图2所示,包括以下模块协商与建立模块102,用于与IMS核心网20进行信 令协商,并在信令协商的过程中建立终端10与IMS核心网20之间的媒体传输的IPSec-ESP 安全关联;媒体传输模块104,用于通过该媒体传输的IPSec-ESP安全关联将媒体内容发送 给IMS核心网20和/或接收来自IMS核心网20的媒体内容。从而,确保了终端与IMS核 心网之间的媒体内容不会被恶意篡改和盗取。进一步,为了保护终端10与IMS核心网20的协商与建立模块102进行信令协商 时的信令协商数据的完整性和加密保护,如图2所示,该终端10还可以进一步包括注册与 建立模块106,用于在协商与建立模块102与IMS核心网20进行信令协商之前,向IMS核心 网20进行注册,并在注册的过程中建立与IMS核心网20之间的信令协商的IPSec-ESP安 全关联;从而,协商与建立模块102就可以通过该信令协商的IPSec-ESP安全关联与IMS核 心网20进行信令协商。同样,根据本发明实施例的IMS多媒体通信系统中的IMS核心网20的结构示意图 如图3所示,包括以下模块协商与建立模块202,用于与终端10进行信令协商,并在信令 协商的过程中建立与终端10之间的媒体传输的IPSec-ESP安全关联;媒体传输模块204, 用于通过该媒体传输的IPSec-ESP安全关联将媒体内容发送给终端10和/或接收来自终 端10的媒体内容。从而,确保了终端与IMS核心网之间的媒体内容不会被恶意篡改和盗取。进一步,为了保护终端10与IMS核心网20的协商与建立模块202进行信令协商 时的信令协商数据的完整性和加密保护,如图3所示,IMS核心网20还可以包括信令协商 安全关联建立模块206,用于在协商与建立模块202与终端10进行信令协商之前,接受终端 10的注册,并在注册的过程中建立与终端10之间的信令协商的IPSec-ESP安全关联;则, 协商与建立模块202就可以通过该信令协商的IPSec-ESP安全关联与终端10进行信令协 商。在实际实施的过程中,上述的协商与建立模块202和信令协商安全关联建立模块 206可以由P-CSCF来实现,而媒体传输模块204可以由MGCF来实现。结合图1所示的IMS多媒体通信系统,该通信系统进行IMS多媒体通信的方法如 图4所示,包括以下步骤步骤S402,终端与IMS核心网进行信令协商,并在信令协商的过程中建立终端与 IMS核心网之间的媒体传输的IPSec-ESP安全关联;步骤S404,终端和IMS核心网之间通过在步骤S402中建立的媒体传输的 IPSec-ESP安全关联进行媒体内容的传输。
本实施例中,终端和IMS核心网之间通过建立媒体传输的IPSec-ESP安全关联,这 样,可以在进行媒体内容的传输时通过该媒体传输的IPSec-ESP安全关联进行传输,从而 确保了终端和IMS核心网之间传输的媒体内容的安全性,解决了相关技术中IMS下的多媒 体通信的安全问题,避免了媒体内容在终端和IMS核心网之间进行传输时被他人恶意地盗 取和篡改等。为了进一步地保护终端与IMS核心网进行信令协商时的信令协商数据的完整性, 在步骤S402之前,终端向IMS核心网进行注册,并在注册的过程中建立终端与IMS核心网 之间的信令协商的IPSec-ESP安全关联;则步骤S402中终端与IMS核心网进行信令协商 时,终端和IMS核心网之间就可以通过该信令协商的IPSec-ESP安全关联进行信令协商。例如,如图5所示,终端向IMS核心网进行注册的过程包括以下步骤步骤1 终端UE-A向IMS核心网中的P-CSCF发送IMS注册请求消息,其中,该IMS 注册请求消息中携带有终端的信息和第一安全关联信息。其中,终端的信息可以包括终端的IP地址、IMS用户信息、和终端支持的算法列 表(包括完整性算法、加密算法和压缩算法)以便在UE与核心网中的P-CSCF之间进行算法 的协商;第一安全关联信息包括终端随机生成的SPI (Secure Parameter Index,安全参数 索引)信息(称为第一 SPI信息,该SPI信息可以为8个字节)及其对应的端口信息。如 果有多个安全关联,那么需要保证每次生成的SPI信息的唯一性,并且,如果上述算法列表 中的完整性算法、加密算法或压缩算法均有多种具体算法,则每种算法具有其优先级,终端 偏好的算法优先级较高,所有算法可以按照优先级由高到低的顺序排列。在实际应用中,上述第一 SPI信息及其对应的端口信息可以为两个信令安全关联 的SPI值和对应的端口号(主叫业务数据处理端口和被叫业务数据处理端口)。步骤2,P-CSCF收到终端的IMS注册请求消息后,从该SIP协议的IMS注册请求消 息中获取UE的IP地址、IMS用户信息、第一 SPI信息及其对应的端口信息、UE支持的算法 列表、以及UE主动和被动发送接收SIP消息的一对端口号,并将这些信息保存下来。P-CSCF根据该IMS注册请求消息中的IMS用户信息获取到AKA(Authenticatic)n and KeyAgreement,认证和密钥协商)鉴权五元组(称为第一 AKA鉴权五元组),例如, P-CSCF首先从HSS中获取到与该IMS用户信息所对应的卡密钥(即终端UE-A中的ISIM/ USIM中的密钥),然后,使用该卡密钥和随机数(可以随机生成或者预先设定该随机数)获 得上述第一 AKA鉴权五元组,其中,该第一 AKA鉴权五元组中包括第一 IK (完整性密钥)、第 一 CK(加密密钥)、和第一 RES(响应)字段。在实际应用中可以采用AKA算法来使用该卡 密钥和随机数(可以随机生成或者预先设定该随机数)获得上述第一 AKA鉴权五元组。然后,P-CSCF向终端返回该IMS注册请求消息的鉴权质询消息,其中,该鉴权质询 消息中包括第二安全关联信息和P-CSCF的信息。其中,P-CSCF的信息包括=P-CSCF的IP 地址和P-CSCF支持的算法列表(包括完整性算法、加密算法和压缩算法);第二安全关联 信息包括=P-CSCF随机生成的SPI信息(称为第二 SPI信息)及其对应的端口信息。如果 有多个安全关联,那么需要保证每次生成的SPI信息的唯一性,并且,如果上述算法列表中 的完整性算法、加密算法或压缩算法均有多种具体算法,则每种算法具有其优先级,终端偏 好的算法优先级较高,所有算法可以按照优先级由高到低的顺序排列。同样,在实际应用中,上述第二 SPI信息及其对应的端口信息可以为两个信令安全关联的SPI值和对应的端口号(主叫业务数据处理端口和被叫业务数据处理端口 )。终端UE-A收到质询响应消息之后,就可以验证P-CSCF的质询响应是否与UE-A本 地的ISIM/USIM的计算结果一致,从而完成对服务器的身份认证,同时还可以得到UE-A的 AKA鉴权五元组(称为第二 AKA鉴权五元组),从中得到IK (称为第二 IK)和CK (第二 CK)。 这样,P-CSCF和UE-A已经共享一对密钥信息,建立信令协商的IPsec-ESP安全关联所需的 完整性密钥和加密密钥从IK (包括第一 IK和第二 IK)和CK (包括第一 CK和第二 CK)进行 展开,主要考虑完整性算法和加密算法本身的密钥长度问题,例如3DES算法需要192位密 钥,而IK和CK只有128位。此时,例如可以将IK和CK的128位中的前64位复制,并放在 该128位的尾部,从而凑成192位。在实际应用中,上述鉴权质询消息中还可以包括第一 RES字段和上述随机数。这 样,终端UE-A验证P-CSCF的质询响应是否与UE-A本地的ISIM/USIM的计算结果一致,从 而完成对服务器的身份认证的步骤可以为终端中的ISIM或USIM使用本地的卡密钥和上 述鉴权质询消息中的随机数获得第二 AKA鉴权五元组,其中,第二 AKA鉴权五元组中包括 第二 IK、第二 CK、和第二 RES字段;终端判断该第二 RES字段与上述鉴权质询消息中的第一 RES字段是否相同;若判断结果为相同,则确定P-CSCF的身份认证成功。步骤3 经过前面两次报文交互(即上述步骤1和2)之后,终端UE-A与P-CSCF已 经完成了 SPI信息、所支持的算法和端口号的协商,建立信令协商的IPsec-ESP安全关联的 信息已经具备。其中,终端UE-A具有建立信令协商的IPsec-ESP安全关联的两组安全关联参数如 下(1)主叫业务安全关联参数终端的IP地址、P-CSCF的IP地址、终端的受保护客 户端端口号、终端的SPI信息、终端与P-CSCF均支持的最高优先级的算法(包括完整性算 法、加密算法和压缩算法)、IK(即第二 IK)和CK (即第二 CK);(2)被叫业务安全关联参数终端的IP地址、P-CSCF的IP地址、终端的受保护服 务器端端口号、终端的另一个SPI信息、终端与P-CSCF均支持的最高优先级算法(包括完 整性算法、加密算法和压缩算法)、ΙΚ(即第二 IK)和CK (即第二 CK)。同样,P-CSCF也具有建立信令协商的IPsec-ESP安全关联的两组安全关联参数如 下(1)主叫业务安全关联参数=P-CSCF的IP地址、终端的IP地址、P-CSCF的受保护 服务器端端口号、P-CSCF的SPI信息、P-CSCF与终端均支持的最高优先级算法(包括完整 性算法、加密算法和压缩算法)、IK (第一 IK)和CK (第一 CK);(2)被叫业务安全关联参数=P-CSCF的IP地址、终端的IP地址、P-CSCF的受保护 客户端端口号、P-CSCF的另一个SPI信息、P-CSCF与终端均支持的最高优先级算法(包括 完整性算法、加密算法和压缩算法)、IK (第一 IK)和CK (第一 CK)。在上述四组安全关联参数中,P-CSCF与终端均支持的最高优先级算法是从算法列 表中选择双方都支持的算法,如果没有交集,则不采用任何相应算法。利用各自的安全关联 参数,终端UE-A和P-CSCF可以建立四组信令协商的IPsec-ESP安全关联,之后终端UE-A与 P-CSCF的信令协商消息就可以在这四个信令协商的IPsec-ESP安全关联中进行保护。根据 不同端口,UE与P-CSCF的一组安全关联用于保护终端主叫业务的信令协商,另一组安全关联用于保护终端被叫业务的信令协商。这样UE与P-CSCF的信令协商数据可以实现完整性 和加密保护。步骤4 终端再把ISIM/USIM的计算结果,即第二 RES字段通过IMS鉴权验证请 求消息发送给P-CSCF,以便服务器验证终端的身份,其中,该IMS鉴权认证请求消息中还包 括终端的信息和终端的第一安全关联信息(终端的信息和终端的第一安全关联信息与上 述IMS注册请求消息中的相同),以便P-CSCF能够对之前的安全参数协商进行确认。P-CSCF在接收到该IMS鉴权验证请求消息之后,首先验证其中的终端的信息和终 端的第一安全关联信息与本地保存的信息(即在步骤2中保存的IMS注册请求消息中的第 一 SPI值以及端口号、以及终端支持的算法列表)是否一致,若不一致,则确定终端注册失 败;若一致,则继续验证该IMS鉴权验证请求消息中携带的第二 RES字段与之前计算得到的 第一 RES字段是否相同(即一致),若相同,此时确定终端的AKA鉴权成功以及注册成功。 从而实现了服务器对终端的身份认证。上述的IMS鉴权验证请求消息必须在终端和P-CSCF的主叫业务的信令协商的 IPsec-ESP安全关联中进行传输,其它人员无法再恶意地窃听到终端与P-CSCF之间的通信信息ο步骤5 =P-CSCF向终端发送鉴权结果消息,其中,鉴权结果可以为鉴权成功或鉴权 失败。通过上述的步骤1-5即完成了终端向核心网(具体为P-CSCF)的注册过程,并在 注册过程中建立了终端和核心网之间的信令协商的IPsec-ESP安全关联,实现了信令协商 数据的加密保护和完整性保护。步骤6 终端UE-B也可以按照上述步骤1-5完成向核心网(具体为P-CSCF)的注 册过程。如图5所示,终端之间(UE-A和UE-B)通过核心网进行IMS多媒体的媒体数据(内 容)传输的过程具体包括以下步骤步骤7 :UE-A发起IMS会话邀请请求消息给核心网,此消息携带媒体信息以及 UE-A再次随机生成的用于建立媒体传输的SPI信息(称为第三SPI信息)以便保护媒体 数据的安全传输。如果有多种媒体通信,例如同时包含音频和视频内容的话,那么需要有两 个SPI信息(即第三SPI信息包括两个SPI信息)来分别建立两组安全关联。其中,媒体 信息可以包括媒体内容的传输端口信息和媒体描述信息。步骤8 =UE-A侧的P-CSCF收到此IMS会话邀请请求消息之后,该P-CSCF将此 IMS会话邀请请求消息中的信息保存下来,并将此IMS会话邀请请求消息发送到UE-B侧的 P-CSCF, UE-B的P-CSCF通知自己的MGCF,生成MGCF的SPI信息,然后发送给UE-B ;UE-B作 为被叫,会使用被叫业务安全关联进行信令协商的安全保护。步骤9 =UE-B收到P-CSCF的IMS会话邀请请求消息后,发送振铃响应消息给UE-B 侧的P-CSCF表示UE-B已经收到UE-A的IMS会话邀请请求消息。步骤10 =IMS核心网将该振铃响应消息转发给UE-A0终端UE-A收到此消息后知 道UE-B已经收到IMS会话邀请请求消息。步骤11 =UE-B接受会话邀请,向UE-B的IMS核心网发送2000K响应,此2000K响 应携带UE-A和UE-B都支持的媒体格式以及音视频传输端口号,此外还有UE-B的媒体传输SPI 信息οUE-B侧的P-CSCF收到该2000K响应消息后,将UE-B的媒体传输安全关联信息通 知媒体网关服务器(MGCF),这样UE-B的MGCF与UE-B共享一组IPsec-ESP的安全关联参数 信息,IK和CK从之前信令协商的AKA鉴权中进行扩展,加密算法和完整性算法使用之前所 选择算法。步骤12 =UE-B侧的P-CSCF将该2000K响应消息转发给UE-A侧的P-CSCF,UE-A侧 的P-CSCF通知其MGCF,MGCF生成SPI信息(称为第四SPI信息)和准备进行媒体传输的 端口号,然后将该2000K响应消息发送给UE-A0这样UE-A侧的MGCF与UE-A也共享一组 IPsec-ESP的安全关联参数信息。步骤13 经过步骤7-12的消息交互,UE-A和UE-B具有各自媒体传输的安全关联 的参数信息,UE-A采用之前信令协商的IK和CK以及之前选中的完整性算法和加密算法建 立与UE-A媒体网关的安全关联,根据传输媒体数目,可能有一组或者多组安全关联,实现 了对媒体数据传输的安全保护。步骤14 =UE-B根据步骤7_12的消息交互信息,建立与UE-B所处的媒体网关之间 的媒体传输的IPsec-ESP安全关联,之后UE-A和UE-B的媒体数据传输已处于安全保护之 中。步骤15 =UE-A利用与核心网建立的媒体传输的IPsec-ESP安全关联传输媒体内 容,实现各种多媒体通信功能,例如音频、视频和图像。步骤16 =UE-B的媒体内容通过之前的安全关联进行传输,媒体内容采用之前信令 协商的IK和CK进行加密保护。多媒体通信结束之后,可以结束媒体传输的IPsec-ESP安 全关联,而信令协商的IPsec-ESP安全关联一直保持,直到用户注销为止。从以上的描述中,可以看出,本发明实现了如下技术效果终端和IMS核心网之间 通过建立媒体传输的IPSec-ESP安全关联,这样,可以在进行媒体内容的传输时通过该媒 体传输的IPSec-ESP安全关联进行传输,从而确保了终端和IMS核心网之间传输的媒体内 容的安全性,解决了相关技术中IMS下的多媒体通信的安全问题,避免了媒体内容在终端 和IMS核心网之间进行传输时被他人恶意地盗取和篡改等。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示 出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或 步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种IP多媒体子系统IMS多媒体通信方法,其特征在于,包括终端与IMS核心网进行信令协商,并在所述信令协商的过程中建立所述终端与所述 IMS核心网之间的媒体传输的IP安全-封装安全负载IPSec-ESP安全关联;所述终端和所述IMS核心网之间通过所述媒体传输的IPSec-ESP安全关联进行媒体内 容的传输。
2.根据权利要求1所述的方法,其特征在于,在终端与IMS核心网进行信令协商之前,还包括所述终端向所述IMS核心网进行注 册,并在所述注册的过程中建立所述终端与所述IMS核心网之间的信令协商的IPSec-ESP 安全关联;终端与IMS核心网进行信令协商包括所述终端和所述IMS核心网之间通过所述信令 协商的IPSec-ESP安全关联进行所述信令协商。
3.根据权利要求2所述的方法,其特征在于,所述终端向所述IMS核心网进行注册,并 在所述注册的过程中建立所述终端与所述IMS核心网之间的信令协商的IPSec-ESP安全关 联包括所述终端向所述核心网中的代理型_呼叫会话控制功能P-CSCF发送IMS注册请求消 息,其中,所述IMS注册请求消息中包括所述终端的信息和所述终端的第一安全关联信 息;所述P-CSCF保存接收的所述IMS注册请求消息中的信息到本地,并向所述终端返回鉴 权质询消息,其中,所述鉴权质询消息中包括所述第二安全关联信息和所述P-CSCF的信 息;所述终端接收所述鉴权质询消息之后,所述终端和所述P-CSCF之间通过所述第一安 全关联信息和所述P-CSCF的第二安全关联信息建立所述信令协商的IPSec-ESP安全关联。
4.根据权利要求3所述的方法,其特征在于,所述终端的信息包括所述终端的IP地 址、IMS用户信息、和所述终端支持的算法列表;在所述P-CSCF保存接收的所述IMS注册 请求消息中的信息到本地之后、以及所述P-CSCF向所述终端返回鉴权质询消息之前,还包 括所述P-CSCF获取与所述IMS用户信息对应的卡密钥;所述P-CSCF使用所述卡密钥和随机数获得第一认证和密钥协商AKA鉴权五元组,其 中,所述第一 AKA鉴权五元组中包括第一完整性密钥IK、第一加密密钥CK、和第一响应RES字段。
5.根据权利要求4所述的方法,其特征在于,所述鉴权质询消息中还包括所述第一 RES字段和所述随机数;在所述终端接收所述鉴权质询消息之后,还包括所述终端中的ISIM或USIM使用本地的卡密钥和所述随机数获得第二 AKA鉴权五元 组,其中,所述第二 AKA鉴权五元组中包括第二 IK、第二 CK、和第二 RES字段;所述终端判断所述第二 RES字段与所述第一 RES字段是否相同;若判断结果为相同,则所述终端确定所述P-CSCF的身份认证成功。
6.根据权利要求5所述的方法,其特征在于,在所述终端和所述P-CSCF之间通过所述 第一安全关联信息和所述P-CSCF的第二安全关联信息建立所述信令协商的IPSec-ESP安 全关联之后,还包括所述终端通过与所述P-CSCF的信令协商的IPSec-ESP安全关联向所述P-CSCF发送 IMS鉴权验证请求消息,其中,所述IMS鉴权验证请求消息中包括所述终端的信息、所述终 端的第一安全关联信息、和所述第二 RES字段;所述P-CSCF接收所述IMS鉴权验证请求消息之后,验证所述终端的信息和所述终端的 第一安全关联信息与本地保存的信息是否一致;若一致,则所述P-CSCF继续判断所述第二 RES字段与所述第一 RES字段是否相同,并 在判断结果为相同的情况下,确定所述终端的身份认证成功以及注册成功; 所述P-CSCF向所述终端返回身份认证成功的消息。
7.根据权利要求5所述的方法,其特征在于,所述第一安全关联信息包括所述终端随 机生成的第一安全参数索引SPI信息及其对应的端口信息,所述第二安全关联信息包括 所述P-CSCF随机生成的第二 SPI信息及其对应的端口信息,所述P-CSCF的信息包括所述 P-CSCF的IP地址和所述P-CSCF支持的算法列表;所述终端和所述P-CSCF之间通过所述 第一安全关联信息和所述P-CSCF的第二安全关联信息建立所述信令协商的IPSec-ESP安 全关联包括所述终端使用所述第一 SPI信息及其对应的端口信息、所述P-CSCF的IP地址、所述终 端和所述P-CSCF均支持的算法、所述第二 IK、和第二 CK建立与所述P-CSCF的信令协商的 IPSec-ESP安全关联,其中,所述终端和所述P-CSCF均支持的算法是从所述终端支持的算 法列表以及所述P-CSCF支持的算法列表中选择出的;所述P-CSCF使用所述第二 SPI信息及其对应的端口信息、所述终端的IP地址、所述 终端和所述P-CSCF均支持的算法、所述第一 IK、和第一 CK建立与所述终端的信令协商的 IPSec-ESP安全关联。
8.根据权利要求7所述的方法,其特征在于,所述终端和所述IMS核心网之间通过所述 信令协商的IPSec-ESP安全关联进行所述信令协商,并在所述信令协商的过程中建立所述 终端与所述IMS核心网之间的媒体传输的IPSec-ESP安全关联包括所述终端向所述P-CSCF发送IMS会话邀请请求消息,其中,所述IMS会话邀请请求消 息中包括所述终端的媒体信息和所述终端随机生成的第三SPI信息;所述P-CSCF保存接收的所述IMS会话邀请请求消息中的信息,将所述IMS会话邀请请 求消息转发到所述IMS会话邀请请求消息所邀请的另一终端;在所述P-CSCF接收到所述另一终端返回的响应消息之后,通知所述核心网中的媒体 网关控制功能MGCF随机生成第四SPI信息,并将所述响应消息转发给所述终端,其中,所述 响应消息中包括所述第四SPI信息;所述终端使用所述第三SPI信息、所述终端和所述P-CSCF均支持的算法、所述第二 IK、 和第二 CK建立与所述MGCF的媒体传输的IPSec-ESP安全关联;所述MGCF使用所述第四SPI信息、所述终端和所述P-CSCF均支持的算法、所述第一 IK、和第一 CK建立与所述终端的媒体传输的IPSec-ESP安全关联。
9.根据权利要求8所述的方法,其特征在于,所述终端和所述IMS核心网之间通过所述 媒体传输的IPSec-ESP安全关联进行媒体内容的传输包括所述终端使用所述第二 IK、所述第二 CK、以及所述终端和所述P-CSCF均支持的算法 加密所要发送的媒体内容,并发送加密后的媒体内容到所述MGCF ;以及所述MGCF使用所述第一 IK、所述第一 CK、以及所述终端和所述P-CSCF均支持的算法解密所述加密后的媒体内 容;或者,所述MGCF使用所述第一 IK、所述第一 CK、以及所述终端和所述P-CSCF均支持的 算法加密要发送到所述终端的媒体内容,并发送加密后的媒体内容到所述终端;以及所述 终端使用所述第二 IK、所述第二 CK、以及所述终端和所述P-CSCF均支持的算法解密所述加 密后的媒体内容。
10.一种IP多媒体子系统IMS多媒体通信系统,其特征在于,包括终端和IMS核心网, 其中所述终端用于与所述IMS核心网进行信令协商,并在所述信令协商的过程中建立与所 述IMS核心网之间的媒体传输的IP安全-封装安全负载IPSec-ESP安全关联,通过所述媒 体传输的IPSec-ESP安全关联进行所述终端和所述IMS核心网之间的媒体内容的传输。
11.根据权利要求10所述的系统,其特征在于,所述终端还用于在与所述IMS核心网进 行信令协商之前,向所述IMS核心网进行注册,并在所述注册的过程中建立与所述IMS核心 网之间的信令协商的IPSec-ESP安全关联,通过所述信令协商的IPSec-ESP安全关联与所 述IMS核心网进行所述信令协商。
12.—种终端,其特征在于,包括协商与建立模块,用于与IP多媒体子系统IMS核心网进行信令协商,并在所述信令 协商的过程中建立所述终端与所述IMS核心网之间的媒体传输的IP安全_封装安全负载 IPSec-ESP安全关联;媒体传输模块,用于通过所述媒体传输的IPSec-ESP安全关联将媒体内容发送给所述 IMS核心网和/或接收来自所述IMS核心网的媒体内容。
13.根据权利要求12所述的终端,其特征在于,还包括注册与建立模块,其中所述注册与建立模块用于在所述协商与建立模块与所述IMS核心网进行信令协商之前,向所述IMS核心网进行注册,并在所述注册的过程中建立与所述IMS核心网之间的信令 协商的IPSec-ESP安全关联;所述协商与建立模块用于通过所述信令协商的IPSec-ESP安全关联与所述IMS核心网 进行所述信令协商。
14.一种IP多媒体子系统IMS核心网,其特征在于,包括协商与建立模块,用于与终端进行信令协商,并在所述信令协商的过程中建立与所述 终端之间的媒体传输的IP安全_封装安全负载IPSec-ESP安全关联;媒体传输模块,用于通过所述媒体传输的IPSec-ESP安全关联将媒体内容发送给所述 终端和/或接收来自所述终端的媒体内容。
15.根据权利要求14所述的IMS核心网,其特征在于,还包括信令协商安全关联建立模 块,其中信令协商安全关联建立模块用于在所述协商与建立模块与所述终端进行信令协商 之前,接受所述终端的注册,并在所述注册的过程中建立与所述终端之间的信令协商的 IPSec-ESP安全关联;所述协商与建立模块用于通过所述信令协商的IPSec-ESP安全关联与所述终端进行 所述信令协商。
全文摘要
本发明公开了一种IMS多媒体通信方法和系统、终端及IMS核心网,其中,IMS多媒体通信方法包括终端与IMS核心网进行信令协商,并在信令协商的过程中建立终端与IMS核心网之间的媒体传输的IPSec-ESP安全关联;终端和IMS核心网之间通过媒体传输的IPSec-ESP安全关联进行媒体内容的传输。本发明确保了终端和IMS核心网之间传输的媒体内容的安全性,解决了相关技术中IMS下的多媒体通信的安全问题,避免了媒体内容在终端和IMS核心网之间进行传输时被他人恶意地盗取和篡改等。
文档编号H04L29/06GK102006294SQ201010559798
公开日2011年4月6日 申请日期2010年11月25日 优先权日2010年11月25日
发明者康望星, 施元庆, 梁洁辉 申请人:中兴通讯股份有限公司