国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      用于端到端的媒體流安全的實現(xiàn)方法和裝置的制作方法

      文檔序號:7683887閱讀:163來源:國知局
      專利名稱:用于端到端的媒體流安全的實現(xiàn)方法和裝置的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及ii/f言領(lǐng)域,具體而言,涉及一種用于端到端(即用 戶到用戶,Point To Point, P2P )的々某體流安全的實現(xiàn)方法和裝置。
      背景技術(shù)
      隨著基于IP的電一見(IPTV, Internet Protocol Television)的興起和 基于IP的語音(VoIP, Voice over IP) 4支術(shù)的廣泛應(yīng)用,力某體流安全 變得越來越重要?!┠丑w流安全就是對用戶面的數(shù)據(jù)(如一見頻、話音、 圖片、文本等)進(jìn)行保護(hù),以防止未授權(quán)的用戶非法地訪問這些數(shù)據(jù)。 媒體流安全是一種網(wǎng)絡(luò)的增值業(yè)務(wù);此外媒體流中涉及用戶隱私的 安全需求也要求網(wǎng)絡(luò)才是供相應(yīng)的安全。在下一 網(wǎng)纟各(NGN , Next Generation Network)中,力某體流安全 是一項基本需求。NGN網(wǎng)絡(luò)應(yīng)該能夠保證傳輸?shù)拿襟w流的機(jī)密性和 完整性。這里的々某體流安全是指密碼學(xué)意義上的安全,也就是說采 用密碼學(xué)的保護(hù)技術(shù)(如完整性保護(hù)、加密保護(hù)),攻擊者無法在有 限資源的情況下破譯被保護(hù)的媒體流數(shù)據(jù)。目前媒體流安全的實現(xiàn)方法是由網(wǎng)絡(luò)設(shè)備參與媒體流安全所 需要的密鑰和安全參數(shù)的協(xié)商與分配。這降低了端到端媒體流傳輸 的安全性。發(fā)明內(nèi)容本發(fā)明旨在提供一種用于端到端的媒體流安全的實現(xiàn)方法和裝 置,能夠解決現(xiàn)有技術(shù)不能為端到端的媒體流提供安全保護(hù)的問題。在本發(fā)明的實施例中,提供了 一種用于端到端的媒體流安全的實現(xiàn)方法,包括以下步驟第一端與第二端建立包括信令面的會話; 第一端與第二端在信令面上協(xié)商安全參^:;將安全參數(shù)從信令面?zhèn)?遞到J 某體面;以及使用安全參lt保護(hù)第 一端與第二端之間在々某體面 上的端到端的纟某體流。優(yōu)選的,安全參數(shù)包括密鑰、密鑰長度、和安全算法。優(yōu)選的,第一端與第二端在信令面上協(xié)商安全參數(shù)的通道具體 包括通過信令通道來協(xié)商,或者通過專門的密鑰管理協(xié)議來協(xié)商。優(yōu)選的,使用安全參數(shù)保護(hù)第 一端與第二端之間在+某體面上的 端到端的媒體流具體包括在媒體面發(fā)送媒體流之前先用安全參數(shù) 加密士某體流;以及在J 某體面接收J(rèn) 某體流之后使用安全參數(shù)解密媒體流。優(yōu)選的,使用安全參數(shù)保護(hù)第 一端與第二端之間在媒體面上的 端到端的々某體流具體包括在々某體面發(fā)送々某體流之前先用安全參數(shù)對汷某體流進(jìn)行完整性^呆護(hù);以及在i某體面接收々某體流之后使用安全參數(shù)對纟某體流進(jìn)行完整性檢查。優(yōu)選的,包括信令面的會話包括遵循會話初始協(xié)議的會話; 遵循會話描述協(xié)i義的會話。優(yōu)選的,第一端與第二端在信令面上采用安全實時傳輸協(xié)議和 相關(guān)的密鑰管理協(xié)議來協(xié)商安全參數(shù)。在本發(fā)明的實施例中,還一是供了 一種用于端到端的々某體流安全的實現(xiàn)裝置,包括建立才莫塊,用于第一端與第二端建立包括信令 面的會話;協(xié)商模塊,用于第一端與第二端在信令面上協(xié)商安全參 數(shù);傳遞模塊,將安全參數(shù)從信令面?zhèn)鬟f到々某體面;以及保護(hù)模塊, 用于^吏用安全參數(shù)保護(hù)在第 一端與第二端之間在4某體面上的端到端 的々某體流。優(yōu)選的,保護(hù)模塊具體包括加密單元,用于在媒體面發(fā)送媒 體流之前先用安全參lt加密々某體流;以及解密單元,用于在々某體面 接收媒體流之后使用安全參數(shù)解密媒體流。優(yōu)選的,保護(hù)模塊具體包括完整性保護(hù)單元,用于在媒體面 發(fā)送々某體流之前先用安全參數(shù)對:樣體流進(jìn)行完整性保護(hù);以及完整 性檢查單元,用于在媒體面接收媒體流之后使用安全參數(shù)對媒體流 進(jìn)行完整性;險查。上述實施例的實現(xiàn)方法和實現(xiàn)裝置4是出由第一端與第二端通信 雙方直接通過信令面協(xié)商安全參數(shù),從而實現(xiàn)了對端到端的媒體流 提供安全保護(hù)。


      此處所說明的附圖用來^是供對本發(fā)明的進(jìn)一步理解,構(gòu)成本申 請的一部分,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并 不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中圖1示出了根據(jù)本發(fā)明實施例的用于端到端的媒體流安全的實 5見方法的流禾呈圖;圖2示出了根據(jù)本發(fā)明實施例的端到端媒體流安全框圖;圖3示出了根據(jù)本發(fā)明實施例的基于安全信令路徑的媒體流安全參數(shù)協(xié)商過程;圖4示出了根據(jù)本發(fā)明實施例的基于安全信令路徑的媒體流安 全參數(shù)傳遞流程圖;圖5示出了根據(jù)本發(fā)明實施例的基于密鑰管理協(xié)議的媒體流安 全參數(shù)協(xié)商過程;圖6示出了根據(jù)本發(fā)明實施例的基于密鑰管理協(xié)議的媒體流安 全參數(shù)傳遞流程圖;圖7示出了4艮據(jù)本發(fā)明實施例的用于端到端的+某體流安全的實 現(xiàn)裝置的方框圖。
      具體實施方式
      下面將參考附圖并結(jié)合實施例,來詳細(xì)說明本發(fā)明。圖1示出了根據(jù)本發(fā)明實施例的用于端到端的媒體流安全的實 現(xiàn)方法的流程圖,包4舌以下步-驟步驟SIO,第一端與第二端建立包括信令面的會話;步驟S20,第一端與第二端在信令面上協(xié)商安全參數(shù);步-驟S30,將安全參數(shù)乂人信令面?zhèn)鬟f到々某體面;以及步驟S40, ^吏用安全參邀:保護(hù)第一端與第二端之間在々某體面上 的端到端的媒體流。上述第一端與第二端之間的通信就是用戶到用戶的々某體流。本 實現(xiàn)方法提出由第 一端與第二端通信雙方直接通過信令面協(xié)商安全 參數(shù),從而實現(xiàn)了對端到端的媒體流提供安全保護(hù)。優(yōu)選的,安全參數(shù)包括密鑰、密鑰長度、和安全算法。優(yōu)選的,第一端與第二端在信令面上協(xié)商安全參數(shù)具體包括 通過信令通道來協(xié)商,或者通過專門的密鑰管理協(xié)議來協(xié)商。優(yōu)選的,由信令面通知々某體面進(jìn)行安全通信;4巴安全參數(shù)傳遞 到J 某體面;步驟S40具體包括在i某體面發(fā)送纟某體流之前先用安全 參數(shù)加密媒體流;以及在媒體面接收媒體流之后使用安全參數(shù)解密 媒體流。優(yōu)選的,還包括第一端與第二端使用安全參數(shù)對在第一端與 第二端之間的端到端的々某體流進(jìn)^f亍完整性保護(hù)和^r查。以上的保護(hù) 都是加密保護(hù),這里加入了完整性保護(hù)之后,安全機(jī)制就更加健全。4尤選的,由^f言令面通知々某體面進(jìn)4亍安全ii/[言;4巴安全參凄t傳遞 到i某體面;步驟S40具體包括在媒體面發(fā)送々某體流之前先用安全 參數(shù)對媒體流進(jìn)行完整性保護(hù);以及在媒體面接收媒體流之后使用 安全參數(shù)對媒體流進(jìn)行完整性檢查。優(yōu)選的,包括信令面的會話包括以下至少一種遵循會話初始 協(xié)議的會話;遵循會話描述協(xié)議的會話。優(yōu)選的,第一端與第二端 在信令面上采用安全實時傳輸協(xié)議和相關(guān)的密鑰管理協(xié)議來協(xié)商安 全參數(shù)。這里給出了可以采用的會話協(xié)議和安全協(xié)議,利用這些協(xié) i義可以進(jìn)4亍本發(fā)明實施例的具體實踐。上述實施例給出了在NGN中端到端的i某體流安全的實現(xiàn)方法, 該方法具有以下特點(1)不需要網(wǎng)絡(luò)參與密鑰材^f"和安全參^:的分 配,直接由最終用戶來完成上述過程;(2)滿足用戶隱私的安全需求。圖2是端到端情況下實現(xiàn)媒體流安全的模塊以及模塊之間的聯(lián) 系。當(dāng)用戶1 100 (即第一端)與用戶2 110 (即第二端)進(jìn)行安全 通信時,在信令面160上通過信令協(xié)議才莫塊120在通信雙方建立會 話,通過密鑰管理協(xié)議模塊130在用戶間協(xié)商安全參數(shù)(如密鑰、密 鑰長度、密碼算法等),這些安全參數(shù)然后從信令面160傳遞到媒體 面170。在用戶面上,用戶100數(shù)據(jù)通過媒體流協(xié)議模塊150進(jìn)行 編碼,然后通過安全4某體流協(xié)議才莫塊140進(jìn)行完整性保護(hù)與加密保 護(hù),這些lt據(jù)可以通過不安全的信道安全地傳輸?shù)接脩?10上,用 戶110然后對這些數(shù)據(jù)進(jìn)行完整性一全查和解密。這樣就實現(xiàn)了端到 端的々某體流安全。對圖2的進(jìn)一步i兌明如下(1) 對端到端的媒體流安全,用戶通過信令面協(xié)商安全參數(shù),安 全參數(shù)從信令面?zhèn)鬟f到々某體面,在+某體面上安全地傳輸數(shù)據(jù)。(2) 信令協(xié)議在兩個用戶間建立呼叫會話,密鑰管理協(xié)議協(xié)商安 全參數(shù),媒體流協(xié)議進(jìn)行媒體的編解碼,安全纟某體流協(xié)議用來加密/ 解密々某體流。其中,密鑰管理協(xié)議由信令協(xié)議通知并由密鑰管理協(xié) 議把安全參數(shù)傳遞給安全媒體流協(xié)議。(3) 在網(wǎng)纟各不參與密鑰分配的情況下就可以實現(xiàn)端到端的安全通信。下面以會話初始協(xié)議(SIP, Session Initiation Protocol)、會話描述協(xié)議(SDP, Session Description Protocol),安全實時傳輸協(xié)議(SRTP, Secure Real-time Transport Protocol)和相關(guān)的密鑰管理十辦i義 為例來"i兌明端到端的纟某體流安全具體的實現(xiàn)方法。安全RTP(SRTP, Secure RTP)為RTP提供了安全服務(wù),SRTP H據(jù)包中,主密鑰標(biāo)識符(MKI, Master Key Identifier)標(biāo)識主密鑰, 會話密鑰從主密鑰導(dǎo)出,用于認(rèn)證和加密數(shù)據(jù)包。MKI由信令管理 十辦i義定義、4言令通知和 -使用。消息^人i正石馬(MAC , Message Authentication Code)用于攜帶認(rèn)證數(shù)據(jù)。圖3基于安全信令路徑的纟某體流安全參數(shù)協(xié)商過程,該過程在 SDP中增加了新的屬性"a=crypto"來協(xié)商SRTP媒體流250的安 全參數(shù),該方法依賴安全的信令路徑(如SIPS)來保護(hù)在信令中交換 的密鑰,可以看作一個嵌入在安全信令協(xié)議中的"密鑰管理協(xié)議"。 兩個SIP用戶代理200和210為SRTP力某體流250準(zhǔn)備密鑰材料, 通過安全SIP信令通道(SIPS, SIP over TLS)220來傳遞SDP l史據(jù),密鑰以明文方式在sdp中傳^r。圖4基于安全信令路徑的々某體流安全參數(shù)傳遞過程,該方法在 信令面300上,把SIPS安全信令通道320上協(xié)商的安全參數(shù)330 傳遞到々某體面310上,SRTP協(xié)議340才艮據(jù)安全參數(shù)對i某體流進(jìn)行 安全保護(hù)。圖5基于密鑰管理協(xié)議的媒體流安全參數(shù)協(xié)商過程,該過程密 鑰管理協(xié)議(如MIKEY)為安全協(xié)議(如SRTP)建立安全關(guān)聯(lián),MIKEY 消息沿著SIP信令路徑傳輸,并且在SDP中捎帶。KEYMGT在SDP 中定義了 一個擴(kuò)展"a二key-mgmt,,來攜帶由密鑰管理協(xié)議(如MIKEY) 指定的消息。MIKEY消息包含一個或多個密鑰和一組安全協(xié)i義需要 的參數(shù),如使用的加密和認(rèn)證算法。KEYMGT能夠為媒體流建立端 到端的安全并且與信令保護(hù)無關(guān)。該方法要求端點有預(yù)先配置的密 鑰或y仝共安全基礎(chǔ)i殳施。兩個SIP用戶4、理400和410分別通過對應(yīng)的SIP代理月良務(wù)器430和440利用SIP信令420建立會話,MIKEY 密鑰管理協(xié)議450為SRTP々某體流460準(zhǔn)備安全參數(shù)。圖6基于密鑰管理協(xié)議的纟某體流安全參數(shù)傳遞過程,該方法在 信令面500上,通過SIP信令協(xié)議520對巴安全參凄丈530傳遞到MIKEY 密鑰管理協(xié)議540, MIKEY把安全參數(shù)協(xié)商的結(jié)果550傳遞到媒體 面510上,SRTP協(xié)議560纟艮據(jù)安全參數(shù)對々某體流進(jìn)行安全保護(hù)。圖7示出了才艮據(jù)本發(fā)明實施例的用于端到端的力某體流安全的實 現(xiàn)裝置的方框圖,包括建立沖莫塊IO,用于第一端與第二端建立包括信令面的會話;協(xié)商模塊20,用于第一端與第二端在信令面上協(xié)商安全參數(shù);傳遞才莫塊30,用于將安全參數(shù)從信令面?zhèn)鬟f到々某體面,以及保護(hù)模塊40,用于使用安全參數(shù)保護(hù)在第一端與第二端之間在 々某體面上的端到端的i某體流。優(yōu)選的,保護(hù)才莫塊40具體包括加密單元,用于在i某體面發(fā)送 i某體流之前先用安全參數(shù)加密々某體流;以及解密單元,用于在媒體 面接收々某體流之后使用安全參數(shù)解密媒體流。優(yōu)選的,保護(hù)才莫塊40具體包括完整性保護(hù)單元,用于在媒體 面發(fā)送々某體流之前先用安全參數(shù)對媒體流進(jìn)行完整性保護(hù);以及完 整性檢查單元,用于在媒體面接收媒體流之后使用安全參數(shù)對媒體 流進(jìn)4于完整性一全查。上述第一端與第二端之間的通信就是用戶到用戶的i某體流。本 實現(xiàn)裝置提出由第一端與第二端通信雙方直接通過信令面協(xié)商安全 參數(shù),從而實現(xiàn)了對端到端的媒體流提供安全保護(hù)。從以上的描述中,可以看出,本發(fā)明提出在NGN中端到端的 i某體流安全的實現(xiàn)方法和裝置,具有以下特點(l)不需要網(wǎng)絡(luò)參與 密鑰材料和安全參凄i:的分配,直4妻由最終用戶來完成上述過程;(2) 滿足用戶隱私的安全需求。顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白,上述的本發(fā)明的各模塊或 各步驟可以用通用的計算裝置來實現(xiàn),它們可以集中在單個的計算 裝置上,或者分布在多個計算裝置所組成的網(wǎng)絡(luò)上,可選地,它們 可以用計算裝置可寺丸^于的程序代碼來實現(xiàn),從而,可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行,或者將它們分別制作成各個集成 電路模塊,或者將它們中的多個模塊或步驟制作成單個集成電路模 塊來實現(xiàn)。這樣,本發(fā)明不限制于任何特定的石更件和軟件結(jié)合。以上所述"f又為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明, 對于本4貞i或的^支術(shù)人員來i兌,本發(fā)明可以有各種更改和變4匕。凡在 本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等, 均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
      權(quán)利要求
      1.一種用于端到端的媒體流安全的實現(xiàn)方法,其特征在于,包括以下步驟第一端與第二端建立包括信令面的會話;所述第一端與第二端在所述信令面上協(xié)商安全參數(shù);將所述安全參數(shù)從所述信令面?zhèn)鬟f到媒體面;以及使用所述安全參數(shù)保護(hù)所述第一端與第二端之間在所述媒體面上的端到端的媒體流。
      2. 根據(jù)權(quán)利要求1所述的實現(xiàn)方法,其特征在于,所述安全參數(shù) 包括密鑰、密鑰長度、和安全算法。
      3. 根據(jù)權(quán)利要求1所述的實現(xiàn)方法,其特征在于,所述第一端與 第二端在所述信令面上協(xié)商安全參^:的通道具體包括通過信令通道來協(xié)商,或者通過專門的密鑰管理協(xié)議來協(xié)商。
      4. 根據(jù)權(quán)利要求1所述的實現(xiàn)方法,其特征在于,使用所述安全 參數(shù)保護(hù)所述第 一 端與第二端之間在所述纟某體面上的端到端 的媒體流具體包括在所述媒體面發(fā)送所述媒體流之前先用所述安全參數(shù)加 密所述々某體流;以及在所述J 某體面^妄收所述々某體流之后 <吏用所述安全參數(shù)解 密所述+某體流。
      5. 根據(jù)權(quán)利要求1所述的實現(xiàn)方法,其特征在于,使用所述安全 參數(shù)保護(hù)所述第 一端與第二端之間在所述J 某體面上的端到端的々某體流具體包括在所述々某體面發(fā)送所述媒體流之前先用所述安全參數(shù)對 所述々某體流進(jìn)行完整性保護(hù);以及在所述媒體面接收所述媒體流之后使用所述安全參數(shù)對 所述媒體流進(jìn)行完整性檢查。
      6. 根據(jù)權(quán)利要求1至5任一項所述的實現(xiàn)方法,其特征在于,所 述包括信令面的會話包括遵循會話初始協(xié)i義的會話;遵循會話描述協(xié)議的會話。
      7. 根據(jù)權(quán)利要求1至5任一項所述的實現(xiàn)方法,其特征在于,所 述第一端與第二端在所述信令面上采用安全實時傳輸協(xié)議和 相關(guān)的密鑰管理協(xié)議來協(xié)商安全參數(shù)。
      8. —種用于端到端的媒體流安全的實現(xiàn)裝置,其特征在于,包括建立模塊,用于第一端與第二端建立包括信令面的會話;協(xié)商模塊,用于所述第一端與第二端在所述信令面上協(xié)商 安全參數(shù);傳遞模塊,將所述安全參數(shù)從所述信令面?zhèn)鬟f到媒體面;以及保護(hù)模塊,用于使用所述安全參數(shù)保護(hù)在所述第一端與第 二端之間在所述纟某體面上的端到端的纟某體流。
      9. 根據(jù)權(quán)利要求8所述的實現(xiàn)裝置,其特征在于,所述保護(hù)模塊 具體包括加密單元,用于在所述々某體面發(fā)送所述i某體流之前先用所 述安全參數(shù)加密所述纟某體流;以及解密單元,用于在所述媒體面接收所述媒體流之后使用所 述安全參^:解密所述纟某體流。
      10. 根據(jù)權(quán)利要求8所述的實現(xiàn)裝置,其特征在于,所述保護(hù)模塊 具體包括完整性保護(hù)單元,用于在所述纟某體面發(fā)送所述々某體流之前 先用所述安全參數(shù)對所述媒體流進(jìn)行完整性保護(hù);以及完整性4僉查單元,用于在所述纟某體面4妄收所述媒體流之后 使用所述安全參數(shù)對所述々某體流進(jìn)行完整性4企查。
      全文摘要
      本發(fā)明提供了一種用于端到端的媒體流安全的實現(xiàn)方法和裝置,該方法包括以下步驟第一端與第二端建立包括信令面的會話;第一端與第二端在信令面上協(xié)商安全參數(shù);將安全參數(shù)從信令面?zhèn)鬟f到媒體面;以及使用安全參數(shù)保護(hù)第一端與第二端之間在媒體面上的端到端的媒體流。本發(fā)明能夠?qū)Χ说蕉说拿襟w流提供安全保護(hù)。
      文檔編號H04L9/08GK101222324SQ200810008740
      公開日2008年7月16日 申請日期2008年1月23日 優(yōu)先權(quán)日2008年1月23日
      發(fā)明者滕志猛, 韋銀星 申請人:中興通訊股份有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1