专利名称:用于端到端的媒体流安全的实现方法和装置的制作方法
技术领域:
本发明涉及ii/f言领域,具体而言,涉及一种用于端到端(即用 户到用户,Point To Point, P2P )的々某体流安全的实现方法和装置。
背景技术:
随着基于IP的电一见(IPTV, Internet Protocol Television)的兴起和 基于IP的语音(VoIP, Voice over IP) 4支术的广泛应用,力某体流安全 变得越来越重要。々某体流安全就是对用户面的数据(如一见频、话音、 图片、文本等)进行保护,以防止未授权的用户非法地访问这些数据。 媒体流安全是一种网络的增值业务;此外媒体流中涉及用户隐私的 安全需求也要求网络才是供相应的安全。在下一 网纟各(NGN , Next Generation Network)中,力某体流安全 是一项基本需求。NGN网络应该能够保证传输的媒体流的机密性和 完整性。这里的々某体流安全是指密码学意义上的安全,也就是说采 用密码学的保护技术(如完整性保护、加密保护),攻击者无法在有 限资源的情况下破译被保护的媒体流数据。目前媒体流安全的实现方法是由网络设备参与媒体流安全所 需要的密钥和安全参数的协商与分配。这降低了端到端媒体流传输 的安全性。发明内容本发明旨在提供一种用于端到端的媒体流安全的实现方法和装 置,能够解决现有技术不能为端到端的媒体流提供安全保护的问题。在本发明的实施例中,提供了 一种用于端到端的媒体流安全的实现方法,包括以下步骤第一端与第二端建立包括信令面的会话; 第一端与第二端在信令面上协商安全参^:;将安全参数从信令面传 递到J 某体面;以及使用安全参lt保护第 一端与第二端之间在々某体面 上的端到端的纟某体流。优选的,安全参数包括密钥、密钥长度、和安全算法。优选的,第一端与第二端在信令面上协商安全参数的通道具体 包括通过信令通道来协商,或者通过专门的密钥管理协议来协商。优选的,使用安全参数保护第 一端与第二端之间在+某体面上的 端到端的媒体流具体包括在媒体面发送媒体流之前先用安全参数 加密士某体流;以及在J 某体面接收J 某体流之后使用安全参数解密媒体流。优选的,使用安全参数保护第 一端与第二端之间在媒体面上的 端到端的々某体流具体包括在々某体面发送々某体流之前先用安全参数对汷某体流进行完整性^呆护;以及在i某体面接收々某体流之后使用安全参数对纟某体流进行完整性检查。优选的,包括信令面的会话包括遵循会话初始协议的会话; 遵循会话描述协i义的会话。优选的,第一端与第二端在信令面上采用安全实时传输协议和 相关的密钥管理协议来协商安全参数。在本发明的实施例中,还一是供了 一种用于端到端的々某体流安全的实现装置,包括建立才莫块,用于第一端与第二端建立包括信令 面的会话;协商模块,用于第一端与第二端在信令面上协商安全参 数;传递模块,将安全参数从信令面传递到々某体面;以及保护模块, 用于^吏用安全参数保护在第 一端与第二端之间在4某体面上的端到端 的々某体流。优选的,保护模块具体包括加密单元,用于在媒体面发送媒 体流之前先用安全参lt加密々某体流;以及解密单元,用于在々某体面 接收媒体流之后使用安全参数解密媒体流。优选的,保护模块具体包括完整性保护单元,用于在媒体面 发送々某体流之前先用安全参数对:樣体流进行完整性保护;以及完整 性检查单元,用于在媒体面接收媒体流之后使用安全参数对媒体流 进行完整性;险查。上述实施例的实现方法和实现装置4是出由第一端与第二端通信 双方直接通过信令面协商安全参数,从而实现了对端到端的媒体流 提供安全保护。
此处所说明的附图用来^是供对本发明的进一步理解,构成本申 请的一部分,本发明的示意性实施例及其说明用于解释本发明,并 不构成对本发明的不当限定。在附图中图1示出了根据本发明实施例的用于端到端的媒体流安全的实 5见方法的流禾呈图;图2示出了根据本发明实施例的端到端媒体流安全框图;图3示出了根据本发明实施例的基于安全信令路径的媒体流安全参数协商过程;图4示出了根据本发明实施例的基于安全信令路径的媒体流安 全参数传递流程图;图5示出了根据本发明实施例的基于密钥管理协议的媒体流安 全参数协商过程;图6示出了根据本发明实施例的基于密钥管理协议的媒体流安 全参数传递流程图;图7示出了4艮据本发明实施例的用于端到端的+某体流安全的实 现装置的方框图。
具体实施方式
下面将参考附图并结合实施例,来详细说明本发明。图1示出了根据本发明实施例的用于端到端的媒体流安全的实 现方法的流程图,包4舌以下步-骤步骤SIO,第一端与第二端建立包括信令面的会话;步骤S20,第一端与第二端在信令面上协商安全参数;步-骤S30,将安全参数乂人信令面传递到々某体面;以及步骤S40, ^吏用安全参邀:保护第一端与第二端之间在々某体面上 的端到端的媒体流。上述第一端与第二端之间的通信就是用户到用户的々某体流。本 实现方法提出由第 一端与第二端通信双方直接通过信令面协商安全 参数,从而实现了对端到端的媒体流提供安全保护。优选的,安全参数包括密钥、密钥长度、和安全算法。优选的,第一端与第二端在信令面上协商安全参数具体包括 通过信令通道来协商,或者通过专门的密钥管理协议来协商。优选的,由信令面通知々某体面进行安全通信;4巴安全参数传递 到J 某体面;步骤S40具体包括在i某体面发送纟某体流之前先用安全 参数加密媒体流;以及在媒体面接收媒体流之后使用安全参数解密 媒体流。优选的,还包括第一端与第二端使用安全参数对在第一端与 第二端之间的端到端的々某体流进^f亍完整性保护和^r查。以上的保护 都是加密保护,这里加入了完整性保护之后,安全机制就更加健全。4尤选的,由^f言令面通知々某体面进4亍安全ii/[言;4巴安全参凄t传递 到i某体面;步骤S40具体包括在媒体面发送々某体流之前先用安全 参数对媒体流进行完整性保护;以及在媒体面接收媒体流之后使用 安全参数对媒体流进行完整性检查。优选的,包括信令面的会话包括以下至少一种遵循会话初始 协议的会话;遵循会话描述协议的会话。优选的,第一端与第二端 在信令面上采用安全实时传输协议和相关的密钥管理协议来协商安 全参数。这里给出了可以采用的会话协议和安全协议,利用这些协 i义可以进4亍本发明实施例的具体实践。上述实施例给出了在NGN中端到端的i某体流安全的实现方法, 该方法具有以下特点(1)不需要网络参与密钥材^f"和安全参^:的分 配,直接由最终用户来完成上述过程;(2)满足用户隐私的安全需求。图2是端到端情况下实现媒体流安全的模块以及模块之间的联 系。当用户1 100 (即第一端)与用户2 110 (即第二端)进行安全 通信时,在信令面160上通过信令协议才莫块120在通信双方建立会 话,通过密钥管理协议模块130在用户间协商安全参数(如密钥、密 钥长度、密码算法等),这些安全参数然后从信令面160传递到媒体 面170。在用户面上,用户100数据通过媒体流协议模块150进行 编码,然后通过安全4某体流协议才莫块140进行完整性保护与加密保 护,这些lt据可以通过不安全的信道安全地传输到用户110上,用 户110然后对这些数据进行完整性一全查和解密。这样就实现了端到 端的々某体流安全。对图2的进一步i兌明如下(1) 对端到端的媒体流安全,用户通过信令面协商安全参数,安 全参数从信令面传递到々某体面,在+某体面上安全地传输数据。(2) 信令协议在两个用户间建立呼叫会话,密钥管理协议协商安 全参数,媒体流协议进行媒体的编解码,安全纟某体流协议用来加密/ 解密々某体流。其中,密钥管理协议由信令协议通知并由密钥管理协 议把安全参数传递给安全媒体流协议。(3) 在网纟各不参与密钥分配的情况下就可以实现端到端的安全通信。下面以会话初始协议(SIP, Session Initiation Protocol)、会话描述协议(SDP, Session Description Protocol),安全实时传输协议(SRTP, Secure Real-time Transport Protocol)和相关的密钥管理十办i义 为例来"i兌明端到端的纟某体流安全具体的实现方法。安全RTP(SRTP, Secure RTP)为RTP提供了安全服务,SRTP H据包中,主密钥标识符(MKI, Master Key Identifier)标识主密钥, 会话密钥从主密钥导出,用于认证和加密数据包。MKI由信令管理 十办i义定义、4言令通知和 -使用。消息^人i正石马(MAC , Message Authentication Code)用于携带认证数据。图3基于安全信令路径的纟某体流安全参数协商过程,该过程在 SDP中增加了新的属性"a=crypto"来协商SRTP媒体流250的安 全参数,该方法依赖安全的信令路径(如SIPS)来保护在信令中交换 的密钥,可以看作一个嵌入在安全信令协议中的"密钥管理协议"。 两个SIP用户代理200和210为SRTP力某体流250准备密钥材料, 通过安全SIP信令通道(SIPS, SIP over TLS)220来传递SDP l史据,密钥以明文方式在sdp中传^r。图4基于安全信令路径的々某体流安全参数传递过程,该方法在 信令面300上,把SIPS安全信令通道320上协商的安全参数330 传递到々某体面310上,SRTP协议340才艮据安全参数对i某体流进行 安全保护。图5基于密钥管理协议的媒体流安全参数协商过程,该过程密 钥管理协议(如MIKEY)为安全协议(如SRTP)建立安全关联,MIKEY 消息沿着SIP信令路径传输,并且在SDP中捎带。KEYMGT在SDP 中定义了 一个扩展"a二key-mgmt,,来携带由密钥管理协议(如MIKEY) 指定的消息。MIKEY消息包含一个或多个密钥和一组安全协i义需要 的参数,如使用的加密和认证算法。KEYMGT能够为媒体流建立端 到端的安全并且与信令保护无关。该方法要求端点有预先配置的密 钥或y仝共安全基础i殳施。两个SIP用户4、理400和410分别通过对应的SIP代理月良务器430和440利用SIP信令420建立会话,MIKEY 密钥管理协议450为SRTP々某体流460准备安全参数。图6基于密钥管理协议的纟某体流安全参数传递过程,该方法在 信令面500上,通过SIP信令协议520对巴安全参凄丈530传递到MIKEY 密钥管理协议540, MIKEY把安全参数协商的结果550传递到媒体 面510上,SRTP协议560纟艮据安全参数对々某体流进行安全保护。图7示出了才艮据本发明实施例的用于端到端的力某体流安全的实 现装置的方框图,包括建立冲莫块IO,用于第一端与第二端建立包括信令面的会话;协商模块20,用于第一端与第二端在信令面上协商安全参数;传递才莫块30,用于将安全参数从信令面传递到々某体面,以及保护模块40,用于使用安全参数保护在第一端与第二端之间在 々某体面上的端到端的i某体流。优选的,保护才莫块40具体包括加密单元,用于在i某体面发送 i某体流之前先用安全参数加密々某体流;以及解密单元,用于在媒体 面接收々某体流之后使用安全参数解密媒体流。优选的,保护才莫块40具体包括完整性保护单元,用于在媒体 面发送々某体流之前先用安全参数对媒体流进行完整性保护;以及完 整性检查单元,用于在媒体面接收媒体流之后使用安全参数对媒体 流进4于完整性一全查。上述第一端与第二端之间的通信就是用户到用户的i某体流。本 实现装置提出由第一端与第二端通信双方直接通过信令面协商安全 参数,从而实现了对端到端的媒体流提供安全保护。从以上的描述中,可以看出,本发明提出在NGN中端到端的 i某体流安全的实现方法和装置,具有以下特点(l)不需要网络参与 密钥材料和安全参凄i:的分配,直4妻由最终用户来完成上述过程;(2) 满足用户隐私的安全需求。显然,本领域的技术人员应该明白,上述的本发明的各模块或 各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算 装置上,或者分布在多个计算装置所组成的网络上,可选地,它们 可以用计算装置可寺丸^于的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成 电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模 块来实现。这样,本发明不限制于任何特定的石更件和软件结合。以上所述"f又为本发明的优选实施例而已,并不用于限制本发明, 对于本4贞i或的^支术人员来i兌,本发明可以有各种更改和变4匕。凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1.一种用于端到端的媒体流安全的实现方法,其特征在于,包括以下步骤第一端与第二端建立包括信令面的会话;所述第一端与第二端在所述信令面上协商安全参数;将所述安全参数从所述信令面传递到媒体面;以及使用所述安全参数保护所述第一端与第二端之间在所述媒体面上的端到端的媒体流。
2. 根据权利要求1所述的实现方法,其特征在于,所述安全参数 包括密钥、密钥长度、和安全算法。
3. 根据权利要求1所述的实现方法,其特征在于,所述第一端与 第二端在所述信令面上协商安全参^:的通道具体包括通过信令通道来协商,或者通过专门的密钥管理协议来协商。
4. 根据权利要求1所述的实现方法,其特征在于,使用所述安全 参数保护所述第 一 端与第二端之间在所述纟某体面上的端到端 的媒体流具体包括在所述媒体面发送所述媒体流之前先用所述安全参数加 密所述々某体流;以及在所述J 某体面^妄收所述々某体流之后 <吏用所述安全参数解 密所述+某体流。
5. 根据权利要求1所述的实现方法,其特征在于,使用所述安全 参数保护所述第 一端与第二端之间在所述J 某体面上的端到端的々某体流具体包括在所述々某体面发送所述媒体流之前先用所述安全参数对 所述々某体流进行完整性保护;以及在所述媒体面接收所述媒体流之后使用所述安全参数对 所述媒体流进行完整性检查。
6. 根据权利要求1至5任一项所述的实现方法,其特征在于,所 述包括信令面的会话包括遵循会话初始协i义的会话;遵循会话描述协议的会话。
7. 根据权利要求1至5任一项所述的实现方法,其特征在于,所 述第一端与第二端在所述信令面上采用安全实时传输协议和 相关的密钥管理协议来协商安全参数。
8. —种用于端到端的媒体流安全的实现装置,其特征在于,包括建立模块,用于第一端与第二端建立包括信令面的会话;协商模块,用于所述第一端与第二端在所述信令面上协商 安全参数;传递模块,将所述安全参数从所述信令面传递到媒体面;以及保护模块,用于使用所述安全参数保护在所述第一端与第 二端之间在所述纟某体面上的端到端的纟某体流。
9. 根据权利要求8所述的实现装置,其特征在于,所述保护模块 具体包括加密单元,用于在所述々某体面发送所述i某体流之前先用所 述安全参数加密所述纟某体流;以及解密单元,用于在所述媒体面接收所述媒体流之后使用所 述安全参^:解密所述纟某体流。
10. 根据权利要求8所述的实现装置,其特征在于,所述保护模块 具体包括完整性保护单元,用于在所述纟某体面发送所述々某体流之前 先用所述安全参数对所述媒体流进行完整性保护;以及完整性4佥查单元,用于在所述纟某体面4妄收所述媒体流之后 使用所述安全参数对所述々某体流进行完整性4企查。
全文摘要
本发明提供了一种用于端到端的媒体流安全的实现方法和装置,该方法包括以下步骤第一端与第二端建立包括信令面的会话;第一端与第二端在信令面上协商安全参数;将安全参数从信令面传递到媒体面;以及使用安全参数保护第一端与第二端之间在媒体面上的端到端的媒体流。本发明能够对端到端的媒体流提供安全保护。
文档编号H04L9/08GK101222324SQ200810008740
公开日2008年7月16日 申请日期2008年1月23日 优先权日2008年1月23日
发明者滕志猛, 韦银星 申请人:中兴通讯股份有限公司