专利名称:获取密钥管理服务器信息的方法、监听方法及系统、设备的制作方法
技术领域:
本发明涉及网络通信安全及合法监听技术,具体来说,是一种获取密钥管理服务 器信息的方法、监听方法及系统、设备。
背景技术:
目前在3GPP关于IP多媒体子系统(IMS)的媒体安全的最新技术规范TS33. 328 vl. 1. 0中,提出了使用基于密钥管理服务器的方案来保护IMS媒体流的端到端安全。TS33. 328中的方案是基于密钥管理服务器(KMS)和“ticket”的概念,简单的描述 现有方案过程是会话呼叫方首先向KMS请求相关密钥和一个ticket,在这个ticket中,呼叫方向 KMS请求得到的相关密钥会被加密后包含在其中;得到相关密钥和ticket后,呼叫方把ticket发给被叫方;由于被叫方无法解密ticket获得其中包含的信息,被叫方则将此ticket继续发 送给KMS,由KMS解密ticket并将其中的相关密钥返回给被叫方;呼叫方和被叫方可以利用共同的相关密钥进行加密的媒体流通信。而网络中可能存在不止一个KMS,当存在多个KMS的情况时,用户将使用哪个KMS, 这涉及到KMS的分配方式。KMS的分配方式无非有两种,一种是IMS核心网网元不参与的,由用户自己预先配 置一个KMS ;第二种是由IMS核心网网元参与的KMS的分配,由IMS核心网网元为用户分配 供其使用的KMS。现有技术中,KMS的标识被明文传递在信令中,即在呼叫方发起会话的INVITE请 求中加入明文的所使用的KMS ID,在截取信令后,合法监听设备获取所需的密钥材料和通 过明文获知用户所使用的KMS,再向相应的KMS索要相关的密钥材料。由此可以看出,现有 技术方案依赖于信令面的安全,安全系数较低。
发明内容
本发明所要解决的技术问题是,提供一种获取密钥管理服务器信息的方法、监听 方法及系统、设备,使得在IP多媒体子系统中部署多个KMS时,不依赖于信令面的安全而满 足合法监听需求。为了解决上述问题,本发明公开了一种获取密钥管理服务器(KMS)信息的方法, 包括在用户设备进行IP多媒体子系统(IMQ注册的过程中,将与该用户设备对应的 KMS信息存储在事先设定的IMS核心网网元中;当合法监听设备监听所述用户设备发起的会话时,截取所述用户设备发送的会话 请求信令,并从该会话请求信令中获取所述用户设备的标识信息,根据所述用户设备的标 识信息从所述IMS核心网网元中查找与该用户对应的KMS信息。
进一步地,上述方法中,将与所述用户设备对应的KMS信息存储在事先设定的IMS 核心网网元的过程如下所述用户设备预先配置KMS信息时,通过注册消息将预先配置的KMS信息发送给 所述事先设定的IMS核心网网元;所述事先设定的IMS核心网网元收到所述注册消息,从中获取并保存KMS信息。或者,将与所述用户设备对应的KMS信息存储在事先设定的IMS核心网网元的过 程如下所述用户设备向IMS核心网注册时,为该用户设备分配相应的KMS,并将该KMS的 KMS信息存储在所述事先设定的IMS核心网网元中。其中,事先设定的IMS核心网网元为以下一种或几种服务呼叫会话控制功能实体(S-CSCF)、代理服务呼叫会话控制功能实体 (P-CSCF)、归属用户服务器(HSS)。所述合法监听设备查找到与所述用户设备对应的KMS信息后,向该KMS索取所要 监听的会话的所有必须的密钥材料,生成会话密钥,进行会话监听。本发明公开了一种监听系统,包括IP多媒体子系统(IMS)核心网网元和合法监听 设备,其中所述IMS核心网网元,用于在用户设备进行IMS注册的过程中,存储与该用户设备 对应的KMS信息;所述合法监听设备,用于截取所述用户发送的会话请求信令,并从该会话请求信 令中获取发起会话的用户设备的标识信息,根据所述用户设备的标识信息从所述IMS核心 网网元中查找与该用户对应的KMS信息。进一步地,上述系统中,所述IMS核心网网元,接收用户设备发送的注册消息,从 中获取用户预先配置的KMS信息,并保存。其中,所述IMS核心网网元,在用户设备进行IMS用户注册时,为该用户设备分配 相应的KMS,从并保存该KMS的KMS信息。所述IMS核心网网元为以下一种或几种服务呼叫会话控制功能实体(S-CSCF)、代理服务呼叫会话控制功能实体 (P-CSCF)、归属用户服务器(HSS)。所述合法监听设备,还用于向相应的KMS索取所要监听的会话的所有必须的密钥 材料,生成会话密钥,进行会话监听。本发明还公开了一种监听方法,包括合法监听设备获取与所要监听的会话相对应的密钥管理服务器(KMS)信息,并在 该KMS上索取所要监听的会话的所有必须的密钥材料,生成会话密钥,进行会话监听。进一步地,上述方法中,所述合法监听设备获取与所要监听的会话相对应的KMS 信息的过程如下所述合法监听设备截取所要监听的会话的呼叫方发送的会话请求信令,从所述会 话请求信令中获取所述呼叫方的标识,根据所述呼叫方的标识,在事先设定的存储有会话 呼叫方及其KMS信息的IMS核心网网元中,获取与所要监听的会话相对应的KMS信息。本发明还公开了一种监听设备,包括信息获取模块和处理模块,其中
所述信息获取模块,用于获取密钥管理服务器信息;所述处理模块,用于根据所述信息获取模块中的密钥管理服务器信息,在该密钥 管理服务器上获取所要监听的会话的所有密钥材料,生成会话密钥,进行会话监听。其中,所述信息获取模块,仅从截取的会话请求信令中获取所述呼叫方的标识,根 据所述呼叫方的标识,在事先设定的存储有会话呼叫方及其KMS信息的IMS核心网网元中, 获取与所要监听的会话相对应的KMS信息。本发明技术方案对用户预设与网络分配的两种KMS的分配信息情况,修改了相应 IMS注册流程,将用户与其对应的KMS信息储存在相应的IMS核心网网元中,使得合法监听 点能够通过截取到的信令消息从IMS相应网元获知相应的KMS,从而避免用户恶意篡改KMS ID或信令消息,保证合法监听设备找到正确的KMS进行合法监听。
图1是本发明提出的监听系统架构图;图2实施例1中IMS用户注册流程图;图3实施例2中IMS用户注册流程图;图4实施例3中IMS用户注册流程图;图5实施例3中IMS用户发起会话的流程图。
具体实施例方式本发明的主要构思是,针对现有用户预设KMS信息和网络分配KMS信息的两种场 景,可以修改IMS注册流程,从而将用户设备与其对应的KMS信息储存在相应的IMS核心网 网元中,而合法监听设备通过截取到的信令消息获取用户设备信息,再根据用户设备信息 从IMS相应网元中获知相应的KMS信息,然后向相应的KMS获取相应加密材料生成密钥,最 终可以监听用户的加密通话。下面结合附图及具体实施例对本发明技术方案做进一步详细说明。一种监听系统,如图1所示,包括IMS核心网网元、UE A和UE B两个IMS用户(UE A为呼叫方,UE B为被叫方)、合法监听设备Li、KMSl、KMS2、KMS3,其中,KMSl、KMS2、KMS3 分别为该网络中的可信的密钥管理服务器。UE A和UE B,用于进行IMS用户注册,以及进行会话;IMS核心网网元,用于在用户设备(如UE A和UE B)进行IMS用户注册过程中,储 存该用户设备及其对应的KMS信息(如KMS ID);合法监听设备,用于通过IMS核心网中的接入点截取呼叫方发送的会话请求信 令,并通过截取的会话请求信令获得的呼叫方标识(即UE A ID),再根据该呼叫方标识, 向IMS核心网网元,例如S-CSCF(服务呼叫会话控制功能实体,Call Session Control Function),查找与该呼叫方对应的KMS ID,之后再向相应的KMS要求用户A,B会话所使用 的密钥材料,生成密钥后实施合法监听。下面结合各种应用场景介绍上述系统中合法监听设备获取密钥管理服务器信息 的过程。实施例1
本实施例适用于用户预配置或者由其他机制预先获得KMS信息,而无需IMS核心 网网元参与KMS分配的场景。此时,IMS用户的注册过程,如图2所示,包括以下步骤步骤201,UE发送一个SIP REGISTER (注册)请求给P-CSCF (代理服务呼叫会话 控制功能实体),该请求中包含要注册的UE标识和归属域的名称,即I-CSCF(查询服务呼叫 会话控制功能实体)地址;步骤202,P-CSCF接收并处理注册请求,使用所提供的归属域名称来解析I-CSCF 的IP地址;步骤203,I-CSCF将会联系归属用户服务器(HSS),以便为S-CSCF选择过程来获 取所需的S-CSCF能力要求;步骤204,在S-CSCF选定之后,I-CSCF将注册请求转发给选定的S-CSCF ;步骤205,由于S-CSCF发现该UE没有授权,因此,向HSS索取认证数据;步骤206,S-CSCF通过一个401消息未授权相应来对该用户的注册表示异议;步骤207-208,IMS网络将上述401消息转发给UE ;步骤209,UE收到上述401消息,计算该401消息所提出的异议的响应值,再次发 送另一个注册请求给P-CSCF,该注册请求中携带计算出的响应值以及预先配置的KMS ID ;步骤210-211,P-CSCF通过I-CSCF将携带有响应值和KMS ID的注册请求转发给 相应的S-CSCF ;步骤212,S-CSCF接收上述注册请求,检查其中的响应值;步骤213,当S-CSCF检测响应值正确时,将从HSS下载该UE的用户配置,同时存储 注册请求中携带的KMS ID;步骤214-216,并且P-CSCF通过一个2000K响应来接受该注册请求。这样,当合法监听设备需要监听会话时,截取呼叫方发送的会话请求信令,从中获 取呼叫方信息,再根据呼叫方信息从IMS相应网元中获知相应的KMS信息,然后向相应的 KMS获取相应加密材料生成密钥,最终可以监听用户的加密通话。在实际配置中,还可以根据运营商设备具体情况而选择将KMS ID存储在P-CSCF 或者HSS或者多个IMS核心网网元中。优选方案中,将KMS ID存储在S-CSCF和/或HSS中。实施例2本实施例适用于IMS核心网网元参与KMS分配的场景,该场景下使用户已经预先 配置好KMS ID,由IMS核心网网元分配的KMS ID可以覆盖用户预配置的KMS ID。本实施例中IMU用户的注册过程如图3所示,其与实施例2的不同之处仅在于步 骤309到步骤312中,IMS用户在REGISTER消息里可以携带用户预配置的KMS ID信息,也 可不携带任何KMS相关信息,而在步骤314中,核心网网元将为该用户分配KMS,并将分配好 的KMS ID通过2000K消息发给IMS用户,同时IMS核心网网元存储该用户及其对应的KMS ID。这样,当合法监听设备需要监听会话时,截取呼叫方发送的会话请求信令,从中获取呼 叫方信息,再根据呼叫方信息从IMS相应网元中获知相应的KMS信息,然后向相应的KMS获 取相应加密材料生成密钥,最终可以监听用户的加密通话。在本实施例中,由S-CSCF为用户进行KMS分配,实际部署中,也可根据运营商设备的具体情况将KMS分配的功能实现放在其他IMS核心网网元中,例如HSS等。实施例3本实施例适用于IMS用户(UE A)预先配置KMSl为使用的KMS的场景。UE A进行IMS用户注册的过程,如图4所示,其与实施例1的不同之处在于,步骤 509中UE A向IMS核心网中相应的IMS核心网网元发送REGISTER信息时,在该REGISTER信 息中携带预先配置的KMSl,而IMS核心网网元S-CSCF收到REGISTER信息中所携带的KMSl 后,将该UE及其对应的KMS ID绑定信息保存下来。之后,当UE A发起会话时,合法监听设 备可以截取UE A发送的会话请求信令,从中获取UE A信息,再根据UE A信息从IMS相应 网元中获知相应的KMS信息,然后向相应的KMS获取相应加密材料生成密钥,最终可以监听 用户的加密通话。具体地,UE A发起会话的过程,如图5所示,包括以下步骤步骤501,UE A首先向KMSl发出票据请求;步骤502,KMSl 发放 ticket 给 UE A ;步骤503,UE A发出INVITE消息,该消息中包含ticket以及其他参数;其中,其他参数具体可参见MIKEY-TICKET。步骤504,IMS核心网将INVITE消息转发给被叫用户,即UE B,步骤505,UE B由于不能解密ticket,因此,则将此ticket继续发送给KMSl,让 KMSl 解密该 ticket步骤506,KMSl验证用户并解密ticket并将其中的相关密钥返回给UEB ;步骤507-508,应答成功,被叫方通过IMS网络返回2000K消息给UE B,之后,UE A 和UE B就可以利用共同的相关密钥进行加密的媒体流通信。其间,合法监听设备可以截获UE A发出的INVITE消息,从中获取UEA的ID,再根 据UE A的ID向相关IMS核心网网元获取与UE A对应的KMSID,即KMSl,然后LI向KMSl 索取相关密钥材料,生成UE A和B的会话密钥来监听UE A和B的加密通话。下面再介绍本发明所提供的一种合法监听设备,该监听设备包括信息获取模块和 处理模块。其中信息获取模块,用于获取密钥管理服务器信息;其中,信息获取模块可以按照现有技术,截取发起会话的UE发送的会话请求信 息,从中获取密钥管理服务器信息(即KMS ID);或者信息获取模块可以按照上述监听系 统中合法监听设备的操作,通过截取的会话请求信令获得的呼叫方标识(即发起会话的UE ID),再根据该呼叫方标识,向IMS核心网网元,例如S-CSCF,查找与该呼叫方对应的密钥管 理服务器信息(即KMS ID)。处理模块,用于根据信息获取模块中的密钥管理服务器信息,在该密钥管理服务 器上获取所要监听的会话的所有密钥材料,生成密钥后实施监听。上述合法监听设备实现合法监听的过程包括以下步骤步骤A 合法监听设备获取所要监听的会话对应的KMS ID ;该步骤中,合法监听设备可以按照现有技术获取所要监听的会话对应的KMS ID ; 合法监听设备也可以截取会话发起方发送的会话请求信令,从中获取会话发起方的标识, 并根据该会话发起方的标识在事先设定的IMS核心网网元上查找对应的KMS ID。
步骤B 合法监听设备在所获取的KMS上获取所要监听的会话的所有密钥材料,生 成密钥,最终实施监听。从上述实施例可以看出,本发明技术方案提出了对应于不同的KMS的配置方案 时,对用户在IMS网络注册流程的修改,从而完善了现有技术,不再依赖于会话时信令面的 保护。本发明还可有其他多种实施例,也适用于网络中只有一个KMS的情况。在不背离 本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改 变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种获取密钥管理服务器(KMS)信息的方法,其特征在于,在用户设备进行IP多媒体子系统(IMQ注册的过程中,将与该用户设备对应的KMS信 息存储在事先设定的IMS核心网网元中;当合法监听设备监听所述用户设备发起的会话时,截取所述用户设备发送的会话请求 信令,并从该会话请求信令中获取所述用户设备的标识信息,根据所述用户设备的标识信 息从所述事先设定的IMS核心网网元中查找与该用户对应的KMS信息。
2.如权利要求1所述的方法,其特征在于,将与所述用户设备对应的KMS信息存储在事先设定的IMS核心网网元的过程如下所述用户设备预先配置KMS信息时,通过注册消息将预先配置的KMS信息发送给所述 事先设定的IMS核心网网元;所述事先设定的IMS核心网网元收到所述注册消息,从中获取并保存KMS信息。
3.如权利要求1所述的方法,其特征在于,将与所述用户设备对应的KMS信息存储在事先设定的IMS核心网网元的过程如下所述用户设备向IMS核心网注册时,为该用户设备分配相应的KMS,并将该KMS的KMS 信息存储在所述事先设定的IMS核心网网元中。
4.如权利要求1、2或3所述的方法,其特征在于,事先设定的IMS核心网网元为以下一种或几种服务呼叫会话控制功能实体(S-CSCF)、代理服务呼叫会话控制功能实体(P-CSCF)、归 属用户服务器(HSS)。
5.如权利要求1、2或3所述的方法,其特征在于,所述合法监听设备查找到与所述用户设备对应的KMS信息后,向该KMS索取所要监听 的会话的所有必须的密钥材料,生成会话密钥,进行会话监听。
6.一种监听系统,其特征在于,该系统包括IP多媒体子系统(IMS)核心网网元和合法 监听设备,其中所述IMS核心网网元,用于在用户设备进行IMS注册的过程中,存储与该用户设备对应 的KMS信息;所述合法监听设备,用于截取所述用户发送的会话请求信令,并从该会话请求信令中 获取发起会话的用户设备的标识信息,根据所述用户设备的标识信息从所述IMS核心网网 元中查找与该用户对应的KMS信息。
7.如权利要求6所述的系统,其特征在于,所述IMS核心网网元,接收用户设备发送的注册消息,从中获取用户预先配置的KMS信 息,并保存。
8.如权利要求6所述的系统,其特征在于,所述IMS核心网网元,在用户设备进行IMS用户注册时,为该用户设备分配相应的KMS, 从并保存该KMS的KMS信息。
9.如权利要求6、7或8所述的系统,其特征在于,所述IMS核心网网元为以下一种或几种服务呼叫会话控制功能实体(S-CSCF)、代理服务呼叫会话控制功能实体(P-CSCF)、归 属用户服务器(HSS)。
10.如权利要求6、7或8所述的系统,其特征在于,所述合法监听设备,还用于向相应的KMS索取所要监听的会话的所有必须的密钥材 料,生成会话密钥,进行会话监听。
11.一种监听方法,其特征在于,该方法包括合法监听设备获取与所要监听的会话相对应的密钥管理服务器(KMS)信息,并在该 KMS上索取所要监听的会话的所有必须的密钥材料,生成会话密钥,进行会话监听。
12.如权利要求11所述的方法,其特征在于,所述合法监听设备获取与所要监听的会话相对应的KMS信息的过程如下所述合法监听设备截取所要监听的会话的呼叫方发送的会话请求信令,从所述会话请 求信令中获取所述呼叫方的标识,根据所述呼叫方的标识,在事先设定的存储有会话呼叫 方及其KMS信息的IMS核心网网元中,获取与所要监听的会话相对应的KMS信息。
13.—种监听设备,其特征在于,该设备包括信息获取模块和处理模块,其中所述信息获取模块,用于获取密钥管理服务器信息;所述处理模块,用于根据所述信息获取模块中的密钥管理服务器信息,在该密钥管理 服务器上获取所要监听的会话的所有密钥材料,生成会话密钥,进行会话监听。
14.如权利要求13所述的设备,其特征在于,所述信息获取模块,仅从截取的会话请求信令中获取所述呼叫方的标识,根据所述呼 叫方的标识,在事先设定的存储有会话呼叫方及其KMS信息的IMS核心网网元中,获取与所 要监听的会话相对应的KMS信息。
全文摘要
本发明公开了一种获取密钥管理服务器信息的方法、监听方法及系统、设备,涉及网络通信安全及合法监听技术。本发明方法包括在用户设备进行IP多媒体子系统(IMS)注册的过程中,将与该用户设备对应的KMS信息存储在事先设定的IMS核心网网元中;当合法监听设备监听所述用户设备发起的会话时,截取所述用户设备发送的会话请求信令,并从该会话请求信令中获取所述用户设备的标识信息,根据所述用户设备的标识信息从所述IMS核心网网元中查找与该用户对应的KMS信息。本发明技术方案避免了用户恶意篡改KMS ID或信令消息,保证合法监听设备找到正确的KMS进行合法监听。
文档编号H04L29/06GK102055747SQ200910212359
公开日2011年5月11日 申请日期2009年11月6日 优先权日2009年11月6日
发明者朱允文, 田甜, 韦银星, 高峰 申请人:中兴通讯股份有限公司