Ims会议电话的媒体安全实现方法和系统的制作方法

文档序号:7700526阅读:122来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:Ims会议电话的媒体安全实现方法和系统的制作方法
技术领域
本发明涉及网络通信安全技术,尤其涉及一种IP多媒体子系统(IMS)会议电话的 媒体安全实现方法和系统。
背景技术
会议电话又称三方通话或多方通话,在IP多媒体子系统(IMS, IPMultimedia Subsystem)会议电话中,每个会话参与者终端所产生的媒体流都汇集在会议桥 (Conference Bridge),由会议桥完成媒体混合功能,然后将混合后的媒体流发送给每个会 话参与者终端。 为了实现IMS会议电话的媒体安全,需要对会议桥与会话参与者终端之间的媒体 流进行加密传输,从理论上讲,在同一MS会议电话中的所有会话参与者终端既可以采用 相同的媒体密钥,也可以采用不同的媒体密钥。采用相同的媒体密钥时,会议桥的计算量 小,然而一旦有新成员加入或老成员退出,就需要很大的信令开销来重新协商媒体密钥;而 采用不同的媒体密钥,对会议桥的计算能力要求较高,然而一旦有会话参与者发生变化,就 只需为新成员重新协商媒体密钥,使得信令开销较小。 目前的IMS会议电话还无法根据会话参与者的成员变化情况,灵活决定使用相同 的媒体密钥还是不同的媒体密钥。 另外,对于IMS会议电话中各会话参与者终端的媒体密钥如何进行协商的问题, 现有技术还无法提供一种简单可行的解决方法,从而给实际应用带来不便。

发明内容
有鉴于此,本发明的主要目的在于提供一种IMS会议电话的媒体安全实现方法和
系统,以实现IMS会议电话中的媒体安全。 为达到上述目的,本发明的技术方案是这样实现的 本发明提供了一种IMS会议电话的媒体安全实现方法,该方法包括 各会话参与者终端通过基于Otway-Rees的密钥协商机制,建立各自与密钥管理
服务器KMS共享的媒体密钥; 所述KMS将与各会话参与者终端共享的媒体密钥发送给会议桥;
所述各会话参与者终端与会议桥之间通过所述媒体密钥对媒体流进行加密传输。
该方法进一步包括所述KMS根据预先配置的策略,在确定不存在会话参与者终 端的频繁加入或退出时,为所述各会话参与者终端分配相同的媒体密钥;否则,为所述各会 话参与者终端分配不同的媒体密钥。 该方法进一步包括所述KMS根据预先配置的策略,在确定有会话参与者终端频 繁加入和退出时,为非频繁加入和退出的各会话参与者终端分配相同的媒体密钥,并为频 繁加入和退出的各会话参与者终端单独分配不同的媒体密钥。
在建立共享的媒体密钥之前,该方法还包括所述各会话参与者终端通过通用认
3证机制GBA的方式,建立与所述KMS的信任关系。 所述各会话参与者终端与会议桥之间通过媒体密钥对媒体流进行加密传输,具体 为 所述各会话参与者终端利用各自对应的媒体密钥,将产生的媒体流加密后发送给 所述会议桥;所述会议桥利用与各会话参与者终端共享的媒体密钥,分别对来自各会话参 与者终端的媒体流进行解密,并对解密后的媒体流执行媒体混合,再将混合后的媒体流利 用与各会话参与者终端共享的媒体密钥分别加密后,发送给所述各会话参与者终端。
本发明还提供了一种IMS会议电话的媒体安全实现系统,包括会话参与者终端、 KMS和会议桥,其中, 所述会话参与者终端,用于通过基于Otway-Rees的密钥协商机制,建立各自与所 述KMS共享的媒体密钥,并利用所述媒体密钥与会议桥之间进行媒体流的加密传输;
KMS,用于通过基于Otway-Rees的密钥协商机制,产生与各会话参与者终端共享 的媒体密钥,并将所产生的媒体密钥发送给所述会议桥; 会议桥,用于根据所述KMS发送的媒体密钥,与各会话参与者终端之间进行媒体 流的加密传输。 所述KMS进一步用于,根据预先配置的策略,在确定不存在会话参与者终端的频 繁加入或退出时,为所述各会话参与者终端分配相同的媒体密钥;否则,为所述各会话参与 者终端分配不同的媒体密钥。 所述KMS进一步用于,根据预先配置的策略,在确定有会话参与者终端频繁加入 和退出时,为非频繁加入和退出的各会话参与者终端分配相同的媒体密钥,并为频繁加入 和退出的各会话参与者终端单独分配不同的媒体密钥。 本发明所提供的一种IMS会议电话的媒体安全实现方法,通过在IMS会议电话中 采用基于Otway-Rees的密钥协商机制,将KMS作为可信的第三方,每个会话参与者终端都 与KMS建立信任关系,并通过密钥协商与KMS建立媒体密钥;在会话参与者终端的加密媒 体流开始传输之前,KMS将其与各个会话参与者终端的媒体密钥以安全方式发送给会议桥; 进而,各个会话参与者终端可以利用它们与会议桥共享的媒体密钥加密传输媒体流,以实 现安全会话。 此外,本发明可以灵活的根据会话参与者的成员变化情况,决定使用相同的媒体 密钥还是不同的媒体密钥,从而在会话参与者的成员相对稳定的情况下,采用相同的媒体 密钥以减少KMS的计算量;在会话参与者的成员不稳定的情况下,采用不同的媒体密钥以 降低频繁的密钥协商所需的信令开销,并且有成员加入或退出IMS会议电话时,不会对其 他稳定的成员造成影响。


图1为本发明一种IMS会议电话的媒体安全实现方法的流程图;
图2为本发明实施例的IMS会议电话的组网示意图;
图3为本发明实施例的密钥协商的流程图一 ;
图4为本发明实施例的密钥协商的流程图二 ;
图5为本发明实施例的媒体流加密传输的示意 图6为本发明一种IMS会议电话的媒体安全实现系统的组成结构示意图。
具体实施例方式
下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。 本发明通过在MS会议电话中采用基于Otway-Rees的密钥协商机制,将密钥管理
服务器(KMS,Key Management Service)作为可信的第三方,每个会话参与者终端都与KMS
建立信任关系,并通过密钥协商与KMS建立媒体密钥;在会话参与者终端的加密媒体流开
始传输之前,KMS将其与各个会话参与者终端的媒体密钥以安全方式发送给会议桥;进而,
各个会话参与者终端可以利用它们与会议桥共享的媒体密钥加密传输媒体流,以实现安全会话。 基于Otway-Rees的密钥协商机制,本发明所提供的一种MS会议电话的媒体安全 实现方法,如图1所示,主要包括以下步骤 步骤101,各会话参与者终端通过基于Otway-Rees的密钥协商机制,建立各自与 KMS共享的媒体密钥。 需要指出的是,为了能够根据会话参与者的成员变化情况,灵活决定使用相同的 媒体密钥还是不同的媒体密钥。本发明可以在KMS中预先配置策略,并依据该策略在确定 不存在会话参与者终端的频繁加入或退出时,为各会话参与者终端分配相同的媒体密钥; 否则,为各会话参与者终端分配不同的媒体密钥。例如在一个IMS会议电话中,有成员 UE-A、 UE-B、 UE-C和UE_D,且KMS根据对每个成员的统计数据发现各成员都相对稳定,没有 频繁加入和退出的情况发生,则KMS为UE-A、 UE-B、 UE-C和UE-D分配相同的媒体密钥;如 果发现有频繁加入和退出的情况发生,则为UE-A、 UE-B、 UE-C和UE_D对应分配不同的媒体 密钥,分别为K1、K2、K3和K4。 或者,也可以根据预先配置的策略,在确定有会话参与者终端频繁加入和退出时, 为非频繁加入和退出的各会话参与者终端分配相同的媒体密钥,并只为频繁加入和退出的 各会话参与者终端单独分配不同的媒体密钥。例如在一个IMS会议电话中,有成员UE-A、 UE-B、UE-C和UE-D,其中,KMS根据对每个成员的统计数据发现UE_C频繁加入和退出该IMS 会议电话,则为UE-C单独分配媒体密钥Km,为UE-A、UE-B和UE_D分配相同的媒体密钥Kn。
这样,KMS就可以灵活的根据会话参与者的成员变化情况,决定使用相同的媒体密 钥还是不同的媒体密钥,从而在会话参与者的成员相对稳定的情况下,采用相同的媒体密 钥以减少KMS的计算量;在会话参与者的成员不稳定的情况下,采用不同的媒体密钥以降 低频繁的密钥协商所需的信令开销,并且有成员加入或退出IMS会议电话时,不会对其他 稳定的成员造成影响。 较佳的,在建立共享的媒体密钥之前,各会话参与者终端需要通过通用认证机制 (GBA, General Bootstrapping Architecture)的方式,建立与KMS的信任关系。当然,本 发明所涉及的建立信任关系的方式并不仅限于GBA这一种,根据实际需要也可以扩展为其 他的实现方式。 步骤102, KMS将与各会话参与者终端共享的媒体密钥发送给会议桥。 在会话参与者终端的加密媒体流开始传输之前,KMS需要采用一种安全的方式
(例如加密传输)将其与各会话参与者终端共享的媒体密钥发送给会议桥。
步骤103,各会话参与者终端与会议桥之间通过媒体密钥对媒体流进行加密传输。
加密传输的具体操作为各会话参与者终端利用各自对应的媒体密钥,将产生的 媒体流加密后发送给会议桥;会议桥利用与各会话参与者终端共享的媒体密钥,分别对来 自各会话参与者终端的媒体流进行解密,并对解密后的媒体流执行媒体混合,再将混合后 的媒体流利用与各会话参与者终端共享的媒体密钥分别加密后,发送给各会话参与者终
丄山顺。 在实际应用中,IMS会议电话的应用场景主要分为两种,第一种是由用户直接登陆 到会议服务器,输入用户名和口令即可加入IMS会议电话;第二种是由会议主席发起呼叫, 邀请其他的会话参与者加入IMS会议电话。本发明所提供的上述媒体安全实现方法对于以 上两种应用场景都是适用的,下面以第二种应用场景为例进行说明。 在该实施例中,会话参与者终端UE-A为会议主席,由UE-A发起呼叫并邀请UE_B 加入IMS会议电话,在UE-B接受邀请后,UE-A再呼叫并邀请UE-C加入IMS会议电话,且 UE-C接受邀请。当然,UE-A对UE-B和UE-C的邀请也可以同时进行。在上述的应用场景 中,IMS会议电话的组网如图2所示;在图2所示的组网结构下,媒体密钥协商的具体操作 如图3所示,主要包括以下步骤 步骤301 , UE-A、 UE-B和UE-C分别与KMS通过GBA获取各自对应的共享密钥Ka、 Kb、Kc。 通过GBA获取共享密钥的方式为Otway-Rees协议中规定的现有技术,此处不再赘 述。此外,本发明中UE-A、 UE-B和UE-C从KMS获取共享密钥的方式并不仅限于GBA这一 种,也可以根据实际需要扩展为其他方式。 步骤302, UE-A向IMS网络发出呼叫请求(INVITE),呼叫请求中包含以下参数 ID-A、 ID-B和Ea(ID-A, ID-B)。 其中,ID-A表示UE-A的标识,ID_B表示UE_B的标识,Ea (ID_A, ID_B)表示将ID_A、 ID-B用Ka加密得到的报文。 步骤303, IMS网络将UE_A的呼叫请求转发给UE_B。 步骤304, UE-B收到UE_A的呼叫请求后,向KMS发送媒体密钥请求,该请求中包 括ID-A、 ID-B、Ea(ID-A, ID-B)和Eb(ID-A, ID-B)。其中,Eb (ID-A, ID-B)表示将ID_A、 ID-B用Kb加密得到的报文。
步骤305, KMS用Ka、 Kb分别解密Ea (ID-A, ID-B)和Eb (ID-A, ID-B),并将解密的 结果与ID-A、 ID-B进行比较,且比较结果为相同、即对ID-A和ID-B的验证通过,进而生成 对应UE-A的媒体密钥Kl和对应UE-B的媒体密钥K2。 其中,Kl用来保护UE-A与会议桥之间的媒体流,K2用来保护UE_B与会议桥之间 的媒体流。 步骤306, KMS用Ka加密媒体密钥Kl得到Ea(Kl),用Kb加密媒体密钥K2得到 Eb (K2),并将Ea (Kl)和Eb (K2)发送给UE_B。 步骤307 308, UE-B获得Ea (Kl)和Eb (K2),用Kb解密得到K2,并将Ea (Kl)通
过MS网络发送给UE-A ;随后,UE-A用Ka对Ea(Kl)解密得到Kl。 当UE-A解密得到Kl时,UE-A对UE-B的邀请过程也随即完成。 步骤3Q9, UE-A向IMS网络发出呼叫请求(INVITE),呼叫请求中包含以下参数ID-A、 ID-C和Ea(ID-A, ID-C)。 其中,ID-A表示UE-A的标识,ID-C表示UE-C的标识,Ea (ID_A, ID-C)表示将ID_A、 ID-C用Ka加密得到的报文。 步骤310, IMS网络将UE-A的呼叫请求转发给UE_C。 步骤311, UE-C收到UE-A的呼叫请求后,向KMS发送媒体密钥请求,该请求中包 括ID-A、 ID-C、Ea(ID-A, ID-C)和Ec(ID-A, ID-C)。 其中,Ec(ID-A, ID-C)表示将ID_A、 ID_C用Kc加密得到的报文。
步骤312, KMS用Ka、 Kc分别解密Ea(ID-A, ID-C)和Ec (ID-A, ID-C),并将解密的 结果与ID-A、 ID-C进行比较,且比较结果为相同、即对ID-A和ID-C的验证通过,进而生成 对应UE-A的媒体密钥Kl和对应UE-C的媒体密钥K3。 其中,Kl用来保护UE-A与会议桥之间的媒体流,K3用来保护UE-C与会议桥之间 的媒体流。需要指出的是,步骤312中生成的媒体密钥K1与步骤305中生成的媒体密钥K1 是相同的。 步骤313, KMS用Ka加密媒体密钥Kl得到Ea(Kl),用Kc加密媒体密钥K3得到 Ec (K3),并将Ea (Kl)和Ec (K3)发送给UE_C。 步骤314 315, UE-C获得Ea(Kl)禾P Ec (K3),用Kc解密得到K3,并将Ea (Kl)通 过MS网络发送给UE-A ;随后,UE-A用Ka对Ea(Kl)解密得到Kl。 通过上述的操作,UE-A获得与KMS共享的媒体密钥K1,UE-B获得与KMS共享的媒 体密钥K2,UE-C获得与KMS共享的媒体密钥K3。此外,实际应用中通常只有会议主席才能 向新成员发出邀请,然而,本发明为了拓展应用,也支持非会议主席向新成员发出邀请的应 用场景。例如在图3所示的应用场景的基础上,UE-B邀请新成员UE-D加入IMS会议电话。 在该邀请过程中具体的媒体密钥协商操作如图4所示,主要包括以下步骤
步骤401, UE-B和UE_D分别与KMS通过GBA获取各自对应的共享密钥Kb、 Kd。
步骤402, UE-B向IMS网络发出呼叫请求(INVITE),呼叫请求中包含以下参数 ID-B、ID-D和Eb(ID-B, ID-D)。 步骤403, IMS网络将UE-B的呼叫请求转发给UE_D。 步骤404, UE-D收到UE_B的呼叫请求后,向KMS发送媒体密钥请求,该请求中包 括ID-B、ID-D、Eb(ID-B, ID-D)和Ed(ID-B, ID-D)。 步骤405, KMS用Kb、 Kd分别解密Eb (ID-B, ID-D)禾P Ed(ID-B, ID-D),并将解密的 结果与ID-B、 ID-D进行比较,且比较结果为相同、即对ID-B和ID-D的验证通过,进而生成 对应UE-B的媒体密钥K2和对应UE-D的媒体密钥K4。 其中,K2用来保护UE-B与会议桥之间的媒体流,K4用来保护UE-D与会议桥之间 的媒体流。需要指出的是,步骤405中生成的媒体密钥K2与图3所示的步骤305中生成的 媒体密钥K2是相同的。 步骤406, KMS用Kb加密媒体密钥K2得到Eb (K2),用Kd加密媒体密钥K4得到 Ed (K4),并将Eb (K2)和Ed (K4)发送给UE-D。 步骤407 408, UE-D获得Eb (K2)和Ed (K4),用Kd解密得到K4,并将Eb (K2)通 过MS网络发送给UE-B ;随后,UE-B用Kb对Eb (K2)解密得到K2。 在此流程结束之后,MS会议电话中的成员包括UE-A、 UE_B、 UE-C和UE_D。如图5所示,在UE-A、 UE-B、 UE-C和UE-D的加密媒体流开始传输之前,KMS将其与UE-A、 UE-B、 UE-C和UE-D共享的媒体密钥Kl、 K2、 K3和K4以安全的方式发送给会议桥;进而,UE-A与 会议桥之间可以利用共享的Kl加密传输媒体流,UE-B与会议桥之间可以利用共享的K2加 密传输媒体流,UE-C与会议桥之间可以利用共享的K3加密传输媒体流,UE-D与会议桥之间 可以利用共享的K4加密传输媒体流。会议桥用Kl对来自的UE-A的媒体流解密,用K2对 来自UE-B的媒体流解密,用K3对来自UE-C的媒体流解密,用K4对来自UE-D的媒体流解 密;将解密后的各媒体流进行媒体混合,随后将混合后的媒体流用Kl加密后发送给UE-A, 用K2加密后发送给UE-B,用K3加密后发送给UE-C,用K4加密后发送给UE-D ;UE-A用Kl 对来自会议桥的媒体流解密,UE-B用K2对来自会议桥的媒体流解密,UE-C用K3对来自会 议桥的媒体流解密,UE-D用K4对来自会议桥的媒体流解密。 为实现上述本发明的MS会议电话的媒体安全实现方法,本发明还提供了一种 MS会议电话的媒体安全实现系统,如图6所示,该系统由会话参与者终端10、KMS 20和会 议桥30组成。会话参与者终端,用于通过基于Otway-Rees的密钥协商机制,建立各自与KMS 20共享的媒体密钥,并利用媒体密钥与会议桥30之间进行媒体流的加密传输。KMS 20,用 于通过基于Otway-Rees的密钥协商机制,产生与各会话参与者终端IO共享的媒体密钥,并 将所产生的媒体密钥发送给会议桥30。会议桥30,用于根据KMS 20发送的媒体密钥,与各
会话参与者终端io之间进行媒体流的加密传输。 较佳的,KMS 20进一步用于,根据预先配置的策略,在确定不存在会话参与者终端 10的频繁加入或退出时,为各会话参与者终端IO分配相同的媒体密钥;否则,为各会话参 与者终端10分配不同的媒体密钥。或者,根据预先配置的策略,在确定有会话参与者终端 10频繁加入和退出时,为非频繁加入和退出的各会话参与者终端10分配相同的媒体密钥, 并为频繁加入和退出的各会话参与者终端10单独分配不同的媒体密钥。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
一种IMS会议电话的媒体安全实现方法,其特征在于,该方法包括各会话参与者终端通过基于Otway-Rees的密钥协商机制,建立各自与密钥管理服务器KMS共享的媒体密钥;所述KMS将与各会话参与者终端共享的媒体密钥发送给会议桥;所述各会话参与者终端与会议桥之间通过所述媒体密钥对媒体流进行加密传输。
2. 根据权利要求1所述IMS会议电话的媒体安全实现方法,其特征在于,该方法进一步 包括所述KMS根据预先配置的策略,在确定不存在会话参与者终端的频繁加入或退出时, 为所述各会话参与者终端分配相同的媒体密钥;否则,为所述各会话参与者终端分配不同 的媒体密钥。
3. 根据权利要求1所述IMS会议电话的媒体安全实现方法,其特征在于,该方法进一步 包括所述KMS根据预先配置的策略,在确定有会话参与者终端频繁加入和退出时,为非频繁加入和退出的各会话参与者终端分配相同的媒体密钥,并为频繁加入和退出的各会话参 与者终端单独分配不同的媒体密钥。
4. 根据权利要求1、或2、或3所述IMS会议电话的媒体安全实现方法,其特征在于,在 建立共享的媒体密钥之前,该方法还包括所述各会话参与者终端通过通用认证机制GBA 的方式,建立与所述KMS的信任关系。
5. 根据权利要求1、或2、或3所述IMS会议电话的媒体安全实现方法,其特征在于,所 述各会话参与者终端与会议桥之间通过媒体密钥对媒体流进行加密传输,具体为所述各会话参与者终端利用各自对应的媒体密钥,将产生的媒体流加密后发送给所述 会议桥;所述会议桥利用与各会话参与者终端共享的媒体密钥,分别对来自各会话参与者 终端的媒体流进行解密,并对解密后的媒体流执行媒体混合,再将混合后的媒体流利用与 各会话参与者终端共享的媒体密钥分别加密后,发送给所述各会话参与者终端。
6. —种IMS会议电话的媒体安全实现系统,其特征在于,包括会话参与者终端、KMS和会议桥,其中,所述会话参与者终端,用于通过基于Otway-Rees的密钥协商机制,建立各自与所述 KMS共享的媒体密钥,并利用所述媒体密钥与会议桥之间进行媒体流的加密传输;KMS,用于通过基于Otway-Rees的密钥协商机制,产生与各会话参与者终端共享的媒 体密钥,并将所产生的媒体密钥发送给所述会议桥;会议桥,用于根据所述KMS发送的媒体密钥,与各会话参与者终端之间进行媒体流的 加密传输。
7. 根据权利要求6所述IMS会议电话的媒体安全实现系统,其特征在于,所述KMS进一 步用于,根据预先配置的策略,在确定不存在会话参与者终端的频繁加入或退出时,为所述 各会话参与者终端分配相同的媒体密钥;否则,为所述各会话参与者终端分配不同的媒体 密钥。
8. 根据权利要求7所述IMS会议电话的媒体安全实现系统,其特征在于,所述KMS进一 步用于,根据预先配置的策略,在确定有会话参与者终端频繁加入和退出时,为非频繁加入 和退出的各会话参与者终端分配相同的媒体密钥,并为频繁加入和退出的各会话参与者终 端单独分配不同的媒体密钥。
全文摘要
本发明公开了一种IP多媒体子系统(IMS)会议电话的媒体安全实现方法,包括各会话参与者终端通过基于Otway-Rees的密钥协商机制,建立各自与密钥管理服务器(KMS)共享的媒体密钥;KMS将与各会话参与者终端共享的媒体密钥发送给会议桥;各会话参与者终端与会议桥之间通过媒体密钥对媒体流进行加密传输。本发明还公开了一种IMS会议电话的媒体安全实现系统,通过基于Otway-Rees的密钥协商机制,实现了IMS会议电话中的媒体流安全传输。
文档编号H04L29/06GK101729528SQ200910085358
公开日2010年6月9日 申请日期2009年5月21日 优先权日2009年5月21日
发明者朱允文, 林兆骥, 滕志猛, 韦银星 申请人:中兴通讯股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:朱允文;韦银星;林兆骥;滕志猛
  • 技术所有人:中兴通讯股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2