专利名称:监听安全会话的方法、系统及网络设备的制作方法
技术领域:
本发明涉及通信技术领域,特别涉及一种监听安全会话的方法、系统及网络i殳备。
技术背景对于国家法律授权的机关,具有监听网络中的视频或音频会话的 权利。通常监听机关设置监听设备,该监听设备与网络设备相连,该 网络设备用于连接进行视频或音频会话的各方节点。网络设备可以为 路由器、网关、GK ( Gate Keeper,网守)等,用于在进行视频或音频 会话的节点之间转发视频或音频数据。当监听机关需要监听上述会话 时,通过监听机关向网络设备发送监听请求,由网络设备将在节点之 间转发的视频或音频数据复制后发送给监听设备,监听设备将收到的 视频或音频数据进行输出即可获得需要的信息。发明人在对现有技术的研究过程中发现,网络设备在接收到监听 请求后仅将视频或音频数据直接复制后发送给监听设备使用,但是当 节点之间进行安全会话时,即节点之间传输的均为加密后的^L频或音 频数据时,则由于网络设备仅负责转发和复制该视频或音频it据,因 此监听设备获得的视频或音频数据也为加密后的数据,由于没有任何 处理信令,无法对该数据进行解密,导致监听机关无法对加密的视频 或音频会话进行正常监听。发明内容本发明实施例的目的在于提供一种监听安全会话的方法、系统以 及网络设备,以使合法授权机构能够实现对加密的安全会话的监听。 为实现本发明实施例的目的,本发明实施例提供如下技术方案 一种监听安全会话的方法,包括 网络设备与会话节点之间协商媒体流密钥;通过所述媒体流密钥解密所述会话节点传输的媒体流,并将所述解密后的媒体流发送至监听设备。一种监听安全会话的系统,包括与会话节点和监听设备进行通信 的网络设备,用于与所述会话节点之间协商媒体流密钥,通过所述媒 体流密钥解密所述会话节点传输的媒体流,并将所述解密后的+某体流 发送至所述监听设备。一种网络设备,包括协商单元,用于与会话节点之间协商媒体流密钥; 解密单元,用于通过所述媒体流密钥解密所述会话节点传输的媒 体流;发送单元,用于将所述解密后的媒体流发送至监听设备。 由以上本发明实施例提供的技术方案可见,本发明实施例中的网 络设备与会话节点之间协商媒体流密钥,通过所述媒体流密钥解密所 述会话节点传输的媒体流,并将所述解密后的媒体流发送至监听设备, 实现监听机关对安全会话的监听。应用本发明实施例,通过网络设备 的协商密钥功能,能够对会话节点之间传输的媒体流进行加密和解密, 并能够将解密后的视频或音频数据传输给监听设备,使得监听设备能 够正常监听会话节点之间传输的加密媒体流。
图1为本发明监听安全会话的方法的一个实施例流程图; 图2为本发明监听安全会话的方法的另 一 个实施例流程图; 图3为本发明监听安全会话的一种网络结构示意图; 图4为本发明监听安全会话的又一个实施例流程图; 图5为本发明监听安全会话的另一种网络结构示意图; 图6为本发明监听安全会话的又一个实施例流程图; 图7为本发明监听安全会话的系统的一个实施例框图; 图8为本发明监听安全会话的系统的另一个实施例框图; 图9为本发明网络设备的一个实施例框图; 图IO为本发明网络设备的另一个实施例框图。
具体实施方式
本发明实施例提供了监听安全会话的方法、系统及网络设备,网 络设备与会话节点之间协商媒体流密钥,通过所述媒体流密钥解密所 述会话节点传输的媒体流,并将所述解密后的媒体流发送至监听设备。为了使本技术领域的人员更好地理解本发明实施例提供的技术 方案,下面结合附图和具体实施方式
对本发明实施例提供的技术方案 作进一步的详细"^兌明。参考图1,为本发明监听安全会话的方法的一个实施例流程图步骤101:网络设备与会话节点之间协商媒体流密钥。其中,网络设备可以在接收到监听请求后与会话节点之间协商媒体流密钥,也可以在接收到监听请求前与会话节点之间协商i某体流密钥。步骤102:通过媒体流密钥解密会话节点传输的媒体流,并将解 密后的媒体流发送至监听设备。参考图2,为本发明监听安全会话的方法的另一个实施例流程图, 该实施例示出了通过网络设备与发送方会话节点和接收方会话节点之 间进行密钥协商以实现对安全会话监听的详细过程步骤201:网络设备接收监听请求。通常监听机关需要对会话节点之间传输的视频或音频々某体流进 行监听时,会通过监听设备向网络设备发送监听请求。步骤202:网络设备根据信令共享密钥与发起方会话节点和接收 方会话节点之间建立信令传输通道。其中,网络设备与发起方会话节点和接收方会话节点之间可以预 先配置信令共享密钥,然后根据该预先配置的信令共享密钥与会话节 点之间建立信令传输通道;或者网络设备可以与发起方会话节点和接 收方会话节点协商信令共享密钥,然后根据该协商的信令共享密钥与 会话节点之间建立信令传输通道。具体的,可采用如下方式进行信令共享密钥的协商网络设备和 所述会话节点分别与网守GK通过H.235协议协商通信共享密钥,接收所述会话节点发送的包含信令共享密钥的消息,该信令共享密钥由GK根据通信共享密钥生成,并由GK传输至所述会话节点,网络设 备解析该消息后获得信令共享密钥。当然,网络设备也可采用其他方式与各会话节点进行信令共享密 钥的协商,本发明实施例对此不作限定。步骤203:在信令传输通道内与发起方会话节点和接收方会话节 点分别协商媒体流密钥。步骤204:通过与发起方会话节点协商的媒体流密钥解密发起方 会话节点传输的媒体流。步骤205:将该解密后的媒体流传输至监听设备。步骤206:通过与接收方会话节点协商的媒体流密钥加密该解密 后的媒体流。步骤207:将加密后的媒体流传输至接收方会话节点。 参考图3,为本发明监听安全会话的一种组网结构示意图,该网 络结构示意图中包括合法监听机关设置的监听设备,监听设备与GK 相连,用于向GK发送监听请求,节点A与节点B分别与代理设备P 和GK相连,各个通信设备之间使用H.323协i义进行通信。节点A、节点B和代理设备P分别通过GK协商通信共享密钥, 在协商该通信共享密钥的基础上,代理P与节点A和节点B分别协商 信令共享密钥,并在建立的信令保护通道内协商媒体流密钥,代理设备P根据媒体流密钥可以对节点A传输的媒体流进行解密,并把解密 后的媒体流传输给监听设备,使得监听机关能够最终获得需要监听的 视频或音频数据。并且,由于代理设备P与节点A和节点B协商的媒 体流密钥均不相同,因此代理设备P可以将解密后的媒体流用与节点 B协商的媒体流密钥进行加密,保证节点A和节点B之间传输4某体流 的安全性。图3中所示的组网结构示意图中用于密钥协商的GK和代理设备 P分开设置,由于功能分开使得设备在组网上具有更大的灵活性和扩 展性。当网络中需要监听多个会话节点的媒体流时,由于代理设备P因此通过代理设备P可以同时监听网络中的 多个会话节点,提高了监听的性能。需要说明的是,上述代理设备P的信令共享密钥协商功能和媒体 流密钥协商功能也可以分别在两台设备上实现,在组网上只需将这两 台设备分别与GK和会话节点相连即可。参考图4,为结合图3所示的组网结构示意图监听安全会话的又 一个实施例流程步骤401至步骤403:会话节点A、代理P、会话节点B分别通 过H.235协议与GK协商通信共享密钥,其中会话节点A与GK之间 的共享密钥记为K[AG],会话节点B与GK之间的通信共享密钥记为 K[BG],代理P与GK之间的通信共享密钥记为K[PG],根据上述通 信共享密钥,会话节点A、代理P、会话节点B与GK分别进行注册 和鉴权等信令交互过程。其中,H.235 ( Security for H.323 Based Systems and Communications,基于H.323系统的安全性和通信)是有关安全方面 的一种标准,可以为基于H.323的体系提供安全程序,包括提供身份 认证、数据加密和完整性功能等。步骤404:会话节点A要呼叫会话节点B,先向GK发送ARQ请 求,请求通过代理P与会话节点B进行会话。步骤405: GK接收到监听设备下发的监听请求后,根据监听策略 确认监听当前会话节点A的本次呼叫请求;GK根据通信共享密钥 K[AG]生成会话节点A与代理P之间的信令共享密钥K[AP],以及与 K[AP]相关的会话节点A和代理P的摘要CTA及CTP, CTA和CTP 可以使会话节点A和代理P解析出它们之间的信令共享密钥K[AP]。步骤406: GK向会话节点A发送ACF,该ACF中包含了 CTA 和CTP。步骤407:会话节点A通过解析CTA获得与代理P之间的信令共 享密钥K[AP]。步骤408:会话节点A向代理P发送呼叫请求,该呼叫请求中包含了 CTP。步骤409:代理P通过解析CTP获得与会话节点A之间的信令共 享密钥K[AP]。步骤410:代理P向GK发送ARQ请求,请求呼叫会话节点B。 步骤411:GK根据共享密钥K[PG]生成代理P与会话节点B之间的信令共享密钥K[PB],以及与K[PB]相关的代理P和会话节点B的摘要CTP及CTB, CTP和CTB可以使会话节点B和代理P解析出它们之间的信令共享密钥K[PB]。步骤412:GK向代理P发送ACF,该ACF中包含了 CTP和CTB。 步骤413:代理P通过解析CTP获得与会话节点B之间的信令共享密钥K[PB]。步骤414:代理P向会话节点B发送呼叫请求,该呼叫请求中包 含了 CTB。步骤415:会话节点B通过解析CTB获得与代理P之间的信令共 享密钥K[PB]。步骤416至步骤417:会话节点A与代理P之间通过信令共享密 钥K[AP]对传输的信令进行加密保护;代理P与会话节点B之间通过 信令共享密钥K[PB]对传输的信令进行加密保护。步骤418至步骤419:会话节点A与代理P之间根据K[AP]的保 护打开逻辑通道,协商媒体流密钥S[AP];代理P与会话节点B之间 根据K[PB]的保护打开逻辑通道,协商媒体流密钥S[PB]。步骤420:会话节点A通过S[AP]对传输的用于会话的媒体流进 行加密,并将加密后的媒体流发送到代理P。步骤421:代理P接收到该加密媒体流后,通过S[AP]对该加密 媒体流进行解密。步骤422:代理P将解密后的媒体流传输至安全机关设置的监听 设备,由此监听设备获得了解密后的媒体流,即会话节点A传输的视 频或音频数据,实现了对加密的安全会话的监听。步骤423:代理P通过S[PB]对解密后的々某体流进行加密,并将该加密后的媒体流发送带会话节点B。步骤424:会话节点B接收到该加密媒体流后,通过S[PB]对该 加密媒体流进行解密,由此与会话节点A之间建立了会话。参考图5,为本发明监听安全会话的另一种组网结构示意图,该 组网结构示意图中包括合法监听机关设置的监听设备,对照图3,将 GK与代理设备P的功能合成在一台路由器C中,该路由器C直接与 监听设备相连,用于接收监听设备发送的监听请求,节点A与节点B 分别与路由器C相连。节点A、节点B和路由器C之间可以不通过协商方式获得信令共 享密钥,而是预先在节点A、节点B和路由器C上配置信令共享密钥, 通过配置的信令共享密钥建立信令保护通道,并在该信令保护通道内 协商媒体流密钥,路由器C根据媒体流密钥可以对节点A传输的媒体 流进行解密,并把解密后的媒体流传输给监听设备,使得监听机关能 够最终获得需要的视频或音频数据。路由器C与节点A和节点B协 商的媒体流密钥均不相同,因此路由器C可以将解密后的媒体流用与 节点B协商的媒体流密钥进行加密,实现对节点A和节点B之间传 输的媒体流进行隔离,保证媒体流的安全性。参考图6,为结合图5所示的组网结构示意图监听安全会话的又 一个实施例流牙呈步骤601至步骤603:会话节点A和会话节点B通过路由器C通 信,为了对安全会话进行监听,在会话节点A配置与路由器C之间的 信令共享密钥K[AC],在会话节点B配置与路由器C之间的信令共享 密钥K[CB],在路由器C分别配置与会话节点A和与会话节点B之间 的信令共享密钥K[AC]和K[CB]。步骤604:会话节点A要呼叫会话节点B,先向路由器C发送包 含信令共享密钥K[AC]的呼叫请求,请求通过路由器C与会话节点B 进行会话,由于路由器C上预先配置了信令共享密钥K[AC],因此路 由器C能够识别会话节点A发送的呼叫请求。步骤605:路由器C向会话节点B转发发送包含信令共享密钥K[CB]的呼叫请求,由于会话节点B上预先配置了信令共享密钥 K[CB],因此会话节点B能够识别路由器C转发的呼叫请求。步骤606至步骤607:会话节点A与路由器C之间使用信令共享 密钥K[AC]对传输的信令进行保护,会话节点B与路由器C之间使用 信令共享密钥K[CB]对传输的信令进行保护。步骤608至步骤609:会话节点A与路由器C之间根据信令共享 密钥K[AC]的保护打开逻辑通道,协商媒体流密钥S[AC];路由器C 与会话节点B之间根据信令共享密钥K[CB]的保护打开逻辑通道,协 商々某体流密钥S[CB]。步骤610:会话节点A通过S[AC]对传输的用于会话的々某体流进 行加密,并将加密后的媒体流发送到路由器C。步骤611:路由器C接收到该加密媒体流后,通过S[AC]对该加 密媒体流进行解密。步骤612:路由器C将解密后的媒体流传输至安全机关设置的监 听设备,由此监听设备获得了解密后的媒体流,即会话节点A传输的 视频或音频数据,实现了对加密的安全会话的监听。步骤613:路由器C通过S[CB]对解密后的媒体流进行加密,并 将该加密后的媒体流发送带会话节点B。步骤614:会话节点B接收到该加密i某体流后,通过S[CB]对该 加密媒体流进行解密,由此与会话节点A之间建立了会话。与本发明监听安全会话的方法的实施例相对应,本发明还提供了 监听安全会话的系统的实施例。本发明监听安全会话的系统的一个实施例框图如图7所示该系统包括会话节点710、网络设备720及监听设备730。其中, 网络设备720用于与所述会话节点710之间协商媒体流密钥,通过所 述媒体流密钥解密所述会话节点710传输的媒体流,并将所述解密后 的媒体流发送至所述监听设备730。本发明监听安全会话的系统的另一个实施例框图如图8所示该系统包括发起方会话节点810、接收方会话节点820、网络设备830及监听设备840。其中,网络设备830包括建立协商单元831,用于根据信令共 享密钥与所述发起方会话节点810和接收方会话节点820之间建立信 令传输通道,在所述信令传输通道内与所述发起方会话节点810和接 收方会话节点820分别协商媒体流密钥;解密发送单元832,用于通 过与所述发起方会话节点810协商的媒体流密钥解密所述发起方会话 节点810传输的媒体流,将所述解密后的媒体流发送至所述监听设备 840,并通过与所述接收方会话节点820协商的纟某体流密钥加密所述解 密后的媒体流,将所述加密后的媒体流传输至所述接收方会话节点 820。与本发明监听安全会话的方法和系统的实施例相对应,本发明还 提供了用于监听安全会话的网络设备的实施例。本发明网络设备的一个实施例框图如图9所示该网络设备包括协商单元910、解密单元920和发送单元930。其中,协商单元910用于与会话节点之间协商媒体流密钥;解密 单元920用于通过所述媒体流密钥解密所述会话节点传输的媒体流; 发送单元930用于将所述解密后的媒体流发送至监听设备。本发明网络设备的另一个实施例框图如图IO所示该网络设备包括建立单元1010、协商单元1020、解密单元1030、 加密单元1040和发送单元1050。其中,建立单元1010用于根据信令共享密钥与所述会话节点之间 建立信令传输通道;协商单元1020用于在所述信令传输通道内与所述 会话节点协商所述媒体流密钥,进一 步当会话节点包括发起方会话节 点和接收方会话节点时,所述协商单元1020用于与发起方会话节点和 接收方会话节点分别协商第 一 媒体流密钥和第二媒体流密钥;解密单 元1030用于通过所述媒体流密钥解密所述会话节点传输的媒体流,进 一步当会话节点包括发起方会话节点和接收方会话节点时,所述解密 单元1030用于通过与发起方会话节点协商的第一媒体流密钥解密所 述发起方会话节点传输的媒体流,得到第一媒体流;加密单元1040用于当会话节点包括发起方会话节点和接收方会话节点时,通过与所 述接收方会话节点协商的第 一媒体流密钥加密所述第 一媒体流,得到 第二媒体流;发送单元1050用于将所述第一媒体流发送至监听设备, 并将所述第二媒体流传输至所述接收方会话节点。具体的,建立单元1010包括第一建立单元,用于根据预先配置的信令共享密钥与会话节点之间建立信令传输通道;或第二建立单元,用于协商信令共享密钥,根据所述协商的信令共享密钥与会话节点之 间建立信令传输通道。由上述本发明实施例的描述可知,本发明实施例通过网络设备的 协商密钥功能,能够对会话节点之间传输的媒体流进行加密和解密, 并能够将解密后的视频或音频数据传输给监听设备,使得监听设备能够正常监听会话节点之间传输的加密媒体流;并且由于网络设备能够分别与发起方会话节点和接收方会话节点协商密钥,因此能够在会话 节点之间提供隔离,提高了媒体流传输的安全性。本领域普通4支术人员可以理解实现上述实施例方法中的全部或部 分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如下步骤 网络设备与会话节点之间协商媒体流密钥;通过所述媒体流密钥解密 所述会话节点传输的媒体流,并将所述解密后的媒体流发送至监听设 备。所述的存储介质可以为ROM/RAM、磁石茱或光盘等。虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发 明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包 括这些变形和变化而不脱离本发明的精神。
权利要求
1. 一种监听安全会话的方法,其特征在于,包括网络设备与会话节点之间协商媒体流密钥;通过所述媒体流密钥解密所述会话节点传输的媒体流,并将所述解密后的媒体流发送至监听设备。
2、 根据权利要求1所述的方法,其特征在于,还包括根据信令 共享密钥与所述会话节点之间建立信令传输通道;所述与会话节点之间协商媒体流密钥具体为在所述信令传输通 道内与所述会话节点协商所述媒体流密钥。
3、 根据权利要求2所述的方法,其特征在于,所述根据信令共享 密钥与会话节点之间建立信令传输通道包括根据预先配置的信令共享密钥与会话节点之间建立信令传输通 道5 或与会话节点协商信令共享密钥,根据所述协商的信令共享密钥与 会话节点之间建立信令传输通道。
4、 根据权利要求3所述的方法,其特征在于,所述协商信令共享 密钥具体为网络设备和所述会话节点分别与网守GK协议协商通信共享密钥;接收所述会话节点发送的包含信令共享密钥的消息,所述信令共 享密钥由所述GK根据所述通信共享密钥生成,并由所述GK传输至 所述会话节点;解析所述消息获得所述信令共享密钥。
5、 根据权利要求1至4任意一项所述的方法,其特征在于,所述 与会话节点之间协商媒体流密钥包括与发起方会话节,A协商第 一 媒 体流密钥,与接收方会话节点协商第二媒体流密钥;所述通过媒体流密钥解密所述会话节点传输的媒体流具体为通过所述第 一媒体流密钥解密所述发起方会话节点传输的媒体流,得到 第一媒体流。
6、 根据权利要求5所述的方法,其特征在于,还包括通过与所述第二媒体流密钥加密所述第 一媒体流,得到第二媒体流;将所述第二媒体流传输至所述接收方会话节点。
7、 一种监听安全会话的系统,其特征在于,包括与会话节点和监 听设备进行通信的网络设备,用于与所述会话节点之间协商媒体流密 钥,通过所述媒体流密钥解密所述会话节点传输的媒体流,并将所述 解密后的媒体流发送至所述监听设备。
8、 根据权利要求7所述的系统,其特征在于,所述网络设备包括 建立协商单元,用于根据信令共享密钥与所述会话节点之间建立信令传输通道,在所述信令传输通道内与所述会话节点协商所述媒体 流密钥;解密发送单元,用于通过所述媒体流密钥解密所述会话节点传输 的媒体流,并将所述解密后的媒体流发送至所述监听设备。
9、 根据权利要求7所述的系统,其特征在于,所述会话节点包括 发起方会话节点和接收方会话节点;所述网络设备具体用于,与发起方会话节点协商第 一媒体流密钥, 与接收方会话节点协商第二媒体流密钥,通过所述第一媒体流密钥解 密所述发起方会话节点传输的媒体流,得到第一媒体流,将所述第一 媒体流发送至所述监听设备。
10、 根据权利要求9所述的系统,其特征在于,所述网络设备进 一步用于,通过所述第二媒体流密钥加密所述第一媒体流,得到第二 媒体流,将所述第二媒体流传输至所述接收方会话节点。
11、 一种网络设备,其特征在于,包括 协商单元,用于与会话节点之间协商媒体流密钥;解密单元,用于通过所述媒体流密钥解密所述会话节点传输的媒 体流;发送单元,用于将所述解密后的媒体流发送至监听设备。
12、 根据权利要求11所述的网络设备,其特征在于,还包括建 立单元,用于根据信令共享密钥与所述会话节点之间建立信令传输通道;所述协商单元具体用于,在所述信令传输通道内与所述会话节点 协商所述媒体流密钥。
13、 根据权利要求12所述的网络设备,其特征在于,所述建立单元包括第一建立单元,用于预先配置信令共享密钥,根据所述预先配置的信令共享密钥与会话节点之间建立信令传输通道;或第二建立单元,用于协商信令共享密钥,根据所述协商的信令共 享密钥与会话节点之间建立信令传输通道。
14、 根据权利要求11至13任意一项所述的网络设备,其特征在 于,所述协商单元具体用于,与发起方会话节点协商第一媒体流密钥, 与接收方会话节点协商第二媒体流密钥;所述解密单元具体用于,通过所述第一々某体流密钥解密所述发起 方会话节点传输的媒体流,得到第一媒体流;所述发送单元具体用于,将所述第 一媒体流发送至所述监听设备。
15、 根据权利要求14所述的网络设备,其特征在于,还包括 加密单元,用于通过所述第二i某体流密钥加密所述第一々某体流,得到第二媒体流;所述发送单元还用于,将所述第二媒体流传输至所述接收方会话 节点。
全文摘要
本发明公开了一种监听安全会话的方法、系统及网络设备,所述方法包括网络设备与会话节点之间协商媒体流密钥;通过所述媒体流密钥解密所述会话节点传输的媒体流,并将所述解密后的媒体流发送至监听设备。应用本发明实施例,通过网络设备的协商密钥功能,能够对会话节点之间传输的媒体流进行加密和解密,并能够将解密后的视频或音频数据传输给监听设备,使得监听设备能够正常监听会话节点之间传输的加密媒体流。
文档编号H04L29/06GK101282250SQ20081009695
公开日2008年10月8日 申请日期2008年5月12日 优先权日2008年5月12日
发明者徐凌峰 申请人:深圳华为通信技术有限公司