專利名稱:一種獲取媒體流保護密鑰的方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及媒體流加密技術���,特別是涉及一種獲取媒體流保護密鑰的方 法和系統(tǒng)�����。IP多媒體業(yè)務子系統(tǒng)(IMS, IP Multimedia Network Subsystem )是固定 和移動網絡的核心會話控制層���,是通信領域發(fā)展的重點之一���,并已經在第三 代伙伴項目(3GPP, The Third Generation Partnership Project)和先進網絡的 電信與因特網融合的服務與協(xié)議標準化組織(TISPAN, Telecommunications義了與IMS相關的規(guī)范�,比如網絡架構、接口����、協(xié)議等等。其中���,安全問題是3GPP和TISPAN制定規(guī)范的一個重要方面�。為了能夠保證安全���,將IMS網絡劃分為接入域和網絡域��,并分別定義了接入域和網絡域的安全規(guī)范�。但目前關于安全的規(guī)范都是針對IMS網絡中控制面的����,即如何保證IMS網絡中會話協(xié)議的安全�����,而媒體流本身則是通過明文傳輸����。在這種情況下�����,用戶在通話過程中�,媒體流可能被竊聽、竄改等��,用戶通話安全無法得到保障���。有鑒于此,本發(fā)明實施例提供 一 種獲取媒體流保護密鑰的方法和系統(tǒng)�, 主叫終端設備(UE)和被叫UE可以從網絡側獲取密鑰,從而可以對用戶到 用戶傳輸?shù)拿襟w流進行保護��。本發(fā)明實施例還提供一種媒體流保護密鑰的方法和系統(tǒng)��,UE和媒體處背景技術ing)中定發(fā)明內容理功能實體(MP)可以從網絡側獲取密鑰�,從而可以對用戶到網絡傳輸?shù)拿襟w流進行保護�。對于第一個發(fā)明目的���,本發(fā)明提出的技術方案為 一種獲取々某體流保護密鑰的方法��,該方法包括以下步驟a��、 主叫終端設備UE向網絡實體發(fā)送會話請求消息����,網絡實體將媒體流保 護密鑰添加到所述會話請求消息中��,并發(fā)送給被叫UE;b����、 被叫UE向網絡實體返回響應消息,網絡實體將媒體流保護密鑰添 加到所述響應消息中�,并發(fā)送給主叫UE。對于第二個發(fā)明目的�,本發(fā)明提出的技術方案為 一種獲取媒體流保護密鑰的系統(tǒng),該系統(tǒng)包括主叫終端設備UE,用于向網絡實體發(fā)送會話請求消息�,并接收攜帶有媒體 流保護密鑰的會話響應消息;網絡實體�,用于接收從主叫UE發(fā)來的會話請求消息,將媒體流保護密鑰 添加到會話請求消息中���,并發(fā)送給被叫UE;還用于接收被叫UE發(fā)送的會話響 應消息���,將將媒體流保護密鑰添加到會話響應消息中��,并發(fā)送給主叫UE;被叫UE����,用于接收從網絡實體發(fā)來的會話請求消息���,并返回會話響應消息��。對于第三個發(fā)明目的��,本發(fā)明提出的技術方案為一種獲取i某體流保護密鑰的方法����,該方法包括以下步驟A�、 網絡實體接收會話消息后,從密鑰管理功能實體KMF中獲取密鑰���;B、 網絡實體將獲取的密鑰分別發(fā)送給終端設備UE和媒體處理功能實 體MP����。對于第四個發(fā)明目的��,本發(fā)明提出的技術方案為 一種獲取媒體流保護密鑰的系統(tǒng)�����,該系統(tǒng)包括 終端設備UE��,用于接收網絡實體發(fā)送的密鑰��; 媒體處理功能MP����,用于接收網絡實體發(fā)送的密鑰����;網絡實體,用于接收會話消息�����,并從密鑰管理功能KMF中獲取密鑰���,并發(fā) 送給UE和MP;密鑰管理功能KMF��,用于生成密鑰���。綜上所述�,本發(fā)明提出一種獲取媒體流保護密鑰的方法和系統(tǒng)�����,可以由 網絡側生成密鑰����,并將生成的密鑰下發(fā)給需要保護媒體流的實體,從而達到 對傳輸?shù)拿襟w流進行保護的目的��。另夕卜�,由于密鑰由網絡側實體或功能單元, 即KMF生成密鑰,可以滿足第三方合法監(jiān)聽的實際需求���。
圖1是本發(fā)明方法實施例一的流程圖���;圖2是本發(fā)明方法實施例二消息流示意圖;圖3是本發(fā)明方法實施例三消息流示意圖��;圖4是本發(fā)明用戶到用戶媒體流保護情況下系統(tǒng)基本結構示意圖;圖5a是本發(fā)明系統(tǒng)實施例一基本結構示意圖��;圖5b是本發(fā)明系統(tǒng)實施例二基本結構示意圖�;圖6是本發(fā)明方法實施例四的流程圖���;圖7是本發(fā)明方法實施例五主叫側的消息流示意圖�����;圖8是本發(fā)明方法實施例五被叫側的消息流示意圖�����;圖9是本發(fā)明方法實施例六主叫側的消息流示意圖���;圖10是本發(fā)明方法實施例六被叫側的消息流示意圖;圖11是本發(fā)明方法實施例七主叫側的消息流示意圖�����;圖12是本發(fā)明方法實施例七被叫側的消息流示意圖�;圖13是本發(fā)明方法實施例八主叫側的消息流示意圖;圖14是本發(fā)明方法實施例八被叫側的消息流示意圖���;圖15是本發(fā)明用戶到網絡媒體流保護情況下系統(tǒng)基本結構示意圖��;圖16是本發(fā)明系統(tǒng)實施例三基本結構示意圖��;圖17是本發(fā)明系統(tǒng)實施例四基本結構示意圖����。
具體實施方式
為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚�,下面將結合附圖及具體 實施例對本發(fā)明作進一 步地詳細描述。本發(fā)明的基本思想是由網絡側實體獲取所生成密鑰���,再將密鑰下發(fā)給需 要對傳輸?shù)拿襟w流進行保護的實體�����。這里所述需要對傳輸?shù)拿襟w流進行保護的實體可以為終端設備(UE ),也可以為網絡中的媒體處理功能實體(MP)����。 也就是說�����,可以由主叫UE和被叫UE獲取媒體流保護密鑰����,此后主叫UE 和被叫UE之間傳輸?shù)拿襟w流可以利用該密鑰進行保護�����,即進行用戶到用戶 的保護;也可以由某網絡側的UE和MP獲取媒體流保護密鑰����,此后UE和 MP之間傳輸?shù)拿襟w流也可以利用該密鑰進行保護,即進行用戶到網絡保護�。本發(fā)明針對用戶到用戶媒體流的保護以及用戶到網絡媒體流的保護,分 別提供一種獲取媒體流保護密鑰的方法和系統(tǒng)�����。對于保護用戶到用戶傳輸?shù)拿襟w流的情況���,圖l是實現(xiàn)獲取媒體流保護 密鑰的方法實施例一的流程圖���。如圖l所示,方法實施例一可以包括以下步 驟步驟101:主叫終端設備UE向網絡實體發(fā)送會話請求消息�����,網絡實體 將媒體流保護密鑰添加到所述會話請求消息中,并發(fā)送給被叫UE���。實際應用中���,網絡實體包括主叫網絡實體和被叫網絡實體,所述步驟 101可以包括步驟al�����、主叫網絡實體收到主叫UE發(fā)送的確認PRACK消息或者更新 UPDATE請求消息后�����,到主叫密鑰管理功能實體KMF獲取本側生成的密鑰��, 并將所述密鑰通過PRACK或者UPDATE請求消息發(fā)送給被叫網絡實體��。這里����,所述主叫網絡實體可以為主叫呼叫會話控制功能實體S-CSCF或 主叫應用服務器AS,那么��,所述主叫S-CSCF或主叫AS到主叫KMF獲取 本側生成的密鑰的方法可以為主叫S-CSCF或主叫AS向主叫KMF發(fā)送密鑰請求消息��,主叫KMF將生成的密鑰通過密鑰響應消息返回給主叫S-CSCF或主叫AS。步驟a2�����、被叫網絡實體收到PRACK或者UPDATE請求消息后�,到被 叫密鑰管理功能實體KMF獲取本側生成的密鑰,再根據(jù)本側生成的密鑰和 主叫側生成的密鑰確定媒體流保護密鑰�,并將媒體流保護密鑰通過PRACK 或者UPDATE請求消息發(fā)送給被叫UE。相應地�,這里所述被叫網絡實體可以為被叫S-CSCF或被叫AS�����,那么����, 所述被叫S-CSCF或被叫AS到被叫KMF獲取本側生成的密鑰的方法可以 為被叫S-CSCF或被叫AS向被叫KMF發(fā)送密鑰請求消息,被叫KMF將 生成的密鑰通過密鑰響應消息返回給被叫S-CSCF或被叫AS�。另夕卜,這里所述被叫網絡實體已經獲得了主叫側生成的密鑰和本側生成 的密鑰���,可以直接將所述主叫側生成的密鑰和本側生成的密鑰作為媒體流保 護密鑰�;之后����,在所述被叫UE接收到所述會話請求消息后�����,被叫UE根據(jù) 所述會話請求消息中的主叫側生成的密鑰和本側生成的密鑰衍生出新的密 鑰��,并將衍生出的密鑰作為媒體流保護密鑰�。實際應用中��,被叫網絡實體�����,即被叫S-CSCF或被叫AS還可以根據(jù)主 叫側生成的密鑰和本側生成的密鑰衍生出新的密鑰���,并將衍生出的密鑰作為 媒體流保護密鑰�����。步驟102:被叫UE向網絡實體返回響應消息�,網絡實體將媒體流保護 密鑰添加到所述響應消息中����,并發(fā)送給主叫UE�。 這里所述步驟102可以包括步驟bl����、被叫網絡實體收到被叫UE返回的200響應消息后,將本側事先 生成的密鑰攜帶于所述200響應消息中��,并發(fā)送給主叫網絡實體����;步驟b2、主叫網絡實體收到所述200響應消息后�����,根據(jù)本側事先生成 的密鑰和被叫側生成的密鑰確定媒體流保護密鑰����,并將媒體流保護密鑰添加 到所述200響應消息中發(fā)送給主叫UE�。這里所述主叫網絡實體為主叫S-CSCF或主叫AS,主叫S-CSCF或主 叫AS可以直接將本側生成的密鑰和被叫側生成的密鑰作為媒體流保護密鑰,并在所述主叫UE接收到會話響應后��,由主叫UE才艮據(jù)會話響應消息中 本側生成的密鑰和被叫側生成的密鑰衍生出新的密鑰�����,并將衍生出的密鑰作 為媒體流保護密鑰。實際應用中�,主叫S-CSCF或主叫AS還可以根據(jù)本側生成的密鑰和被 叫側生成的密鑰衍生出新的密鑰,并將衍生出的密鑰作為媒體流保護密鑰�。實際應用中,在主叫UE和被叫UE獲取媒體流保護密鑰之前���,還可以 對安全能力進行協(xié)商��,其方法可以為主叫UE將攜帶有自身提供的媒體流安全能力信息的會話建立請求消息 通過網絡實體發(fā)送給被叫UE��,所述會話建立請求消息為邀請(INVITE)請 求消息�;被叫UE根據(jù)主叫UE提供的媒體流安全能力信息確定自身需提供 的媒體流安全能力信息�����,并將提供的媒體流安全能力信息攜帶于會話建立響 應響應消息中�,通過網絡實體返回給主叫UE,所述會話建立響應消息為183 響應消息�。在協(xié)商的過程中,當主叫網絡實體接收到所述INVITE請求消息時�,該 方法進一步包括主叫網絡實體判斷出主叫UE已經簽約媒體流安全業(yè)務, 將主叫UE已經簽約媒體流安全業(yè)務的標識添加到所述INVITE請求消息中�����, 再發(fā)送給被叫網絡實體;當被叫網絡實體接收所述INVITE請求消息時����,該方法進一步包括被叫 網絡實體檢查出所述請求消息中有主叫UE已經簽約媒體流安全業(yè)務的標識, 再判斷出被叫UE也已經簽約媒體流安全業(yè)務�,再繼續(xù)執(zhí)行;當被叫網絡實體接收到所述183響應消息時�,該方法進一步包括被叫網 絡實體將被叫UE已經簽約媒體流安全業(yè)務的標識添加到所述183響應消息中, 再將所述183響應消息發(fā)送給主叫網絡實體����;當主叫網絡實體接收到所述183響應消息時,該方法進一步包括主叫 網絡實體檢查出消息中有被叫UE已經簽約媒體流安全業(yè)務的標識�����,再繼續(xù) 執(zhí)行��。為了更好地說明針對用戶到用戶媒體流保護情況而提出的獲取密鑰的方案����,下面用較佳方法實施例和系統(tǒng)實施例進行詳細描述�。 方法實施例二本實施例中,獲取主叫側生成密鑰的網絡實體為主叫AS,而生成密鑰 的實體為主叫KMF����,為一個獨立的實體���;獲取凈皮叫側生成密鑰的網絡實體 為被叫AS,生成密鑰的實體為被叫KMF,為一個獨立的實體。本實施例中����,假設主叫UE和被叫UE都已經簽約媒體流保護業(yè)務。圖2是方法實施例二的消息流示意圖����。如圖2所示,方法實施例二中主 叫UE和被叫UE獲取媒體流保護密鑰的方法可以包括以下步驟步驟201:主叫UE向主叫CSCF發(fā)送會話建立請求消息�,所述會話建 立請求消息攜帶有主叫UE提供的媒體流安全能力信息。本步驟所述的會話建立請求消息為會話發(fā)起協(xié)議(SIP)中的邀請 (INVITE)消息��,所述媒體流安全能力信息包括安全算法��,還可以包括需 保護的媒體類型�����、安全傳輸協(xié)議類型和安全前提中一種或幾種任意的組合�����。這里所迷安全算法可以為完整性安全算法或機密性安全算法,所述需保 護的媒體類型可以為文本�、音頻、視頻等���,所述安全傳輸協(xié)議類型可以為 RTP/SAVP或RTP/SAVPF等��。所述安全前提是用來指示本次會話對媒體流安全的要求���,可以包括發(fā)起 實體期望的媒體流安全保護的強度標識,比如強制的(mandatory)���、可 選的(optional)����、可忽略的(none)���。所述安全前提還可以包括期望的安 全協(xié)商配置結果和當前的配置情況�,比如是否完成協(xié)商�、接收方向已經完 成安全配置����、接收和發(fā)送方法都完成安全配置等��。另外�����,這里所述主叫UE的媒體流安全能力信息可以為主叫UE提供給 被叫UE的媒體流安全能力信息�����。比如主叫UE可以支持5種安全算法��, 但可以只選擇其中3種安全算法提供給被叫UE���,那么,INVITE消息中就可 以只攜帶所提供的3種安全算法即可����。當然,主叫UE也可以將支持的5中 安全算法都提供給被叫UE�����,如何確定提供的媒體流安全能力信息則需要由實際情況決定��。步驟202:主叫CSCF將所述會話建立請求消息發(fā)送給主叫AS。本步驟中�,主叫CSCF可以釆用事先設置的初始過濾規(guī)則,將會話建立 請求消息觸發(fā)給主叫AS���。至于如何觸發(fā)則屬于現(xiàn)有技術��,此處不再贅述����。步驟203~步驟205:主叫AS判斷出主叫UE已經簽約媒體流保護業(yè)務����, 將主叫UE已經簽約媒體流保護業(yè)務的標識添加到所述會話建立請求消息 中,然后將會話建立請求消息通過主叫CSCF發(fā)送給被叫CSCF��。實際應用中�����,所述主叫AS可以根據(jù)事先記錄的與簽約相關的信息判斷 主叫UE是否已經簽約媒體流保護業(yè)務��。比如根據(jù)會話建立請求消息中主 叫UE的標識查詢所述與簽約相關的信息����,并根據(jù)所述與簽約相關的信息判 斷出主叫UE是否簽約�����。當然,主叫AS也可以采用其它方法檢查主叫UE 的簽約情況����,此處不再贅述。步驟206:被叫CSCF接收到會話建立請求消息后���,將所述會話建立請 求消息發(fā)送給^t叫AS����。與主叫側相似�����,這里所述凈皮叫CSCF也可以采用事先i殳置的初始過濾規(guī)》 則��,將會話建立請求消息觸發(fā)給被叫AS����。步驟207~步驟209:被叫AS檢查出會話建立請求消息中有主叫UE 已經簽約媒體流保護業(yè)務的標識,并判斷出被叫UE也已經簽約媒體流保護 業(yè)務�,然后將所述會話建立請求消息通過被叫CSCF發(fā)送給被叫UE����。這里所迷被叫AS也可以采用與主叫側相同的方法判斷被叫UE簽約了 媒體流保護業(yè)務�,此處不再贅述。步驟210 ~步驟211:被叫UE向被叫CSCF發(fā)送會話建立響應響應消 息�,被叫CSCF再將接收到的會話建立響應消息發(fā)送給被叫AS。這里��,被叫UE可以根據(jù)會話建立請求消息中主叫UE提供的媒體流安 全能力信息確定自身需提供的媒體流安全能力信息�����,并將確定提供的媒體流 安全能力信息攜帶于會話建立響應消息中��,通過被叫CSCF發(fā)送給被叫AS�。所述的會話建立響應消息為183消息,所述被叫UE需提供的媒體流安全能力信息可以為能夠被主叫UE支持的全部或部分信息�����。比如被叫UE 從接收到的INVITE消息中確定主叫UE可以支持3種安全算法�����,如果#1叫 UE自身只支持其中的兩種安全算法����,則可以向主叫UE返回可以支持的全 部兩種安全算法����,也可以向主叫UE返回其中一種安全算法�。步驟212 步驟215:被叫AS將被叫UE已經簽約的標識添加到會話建 立響應消息中����,并通過凈皮叫CSCF和主叫CSCF將會話建立響應消息發(fā)送主合 主叫AS。步驟216 步驟218:主叫AS檢查出會話建立響應消息中包含被叫UE 已經簽約的標識����,并將所述會話建立響應消息通過主叫CSCF發(fā)送給主叫 UE。本實施例中�����,步驟201 ~步驟218實際上是主叫UE和被叫UE之間對 安全能力進行協(xié)商的過程���,獲取對方可以支持安全算法�����、安全傳輸協(xié)議等參 數(shù)���,從而確定用于本次會話的媒體流安全能力信息�。在主叫UE和被叫UE協(xié)商的過程中��,在主叫側���,主叫AS還需要檢查 主叫UE是否已經簽約����,并將主叫UE已經簽約的標識添加到消息中��;在被 叫側�,被叫AS也需要檢查被叫UE是否已經簽約,并將被叫UE已經簽約 的標識添加到返回的響應消息中��。實際應用中����,如果主叫UE和被叫UE是 默認的已經簽約媒體流保護業(yè)務的用戶,或者說媒體流保護業(yè)務是一項基本 的業(yè)務���,所有用戶都不需要進行簽約檢查���。在這種情況下���,主叫AS和被叫 AS也可以不檢查簽約情況;或者����,主叫AS和被叫AS也可以一方檢查,而 另一方不檢查��;或者直接由主叫CSCF和被叫CSCF檢查簽約����。至于究竟是 否檢查簽約情況�,由一方檢查或雙方都檢查,由CSCF檢查或由AS檢查都 可以根據(jù)實際情況確定����,此處不再贅述。與檢查簽約情況類似�,在主叫UE和被叫UE協(xié)商的過程中,如果主叫 UE已經簽約��,主叫AS還需要將主叫UE已經簽約的標識添加到會話建立請 求消息中�;如杲被叫UE已經簽約,被叫AS還需要將被叫UE已經簽約的 標識添加到會話建立響應消息中��。這樣,主叫側和被叫側就可以明確對方的簽約情況����,從而可以根據(jù)情況采用不同的策略。但實際應用中����,主叫AS和 ;故叫AS也可以不將本側簽約的情況通知給對方,那么也就無需將本側UE 已經簽約的標識添加到消息中��。步驟219 ~步驟220:主叫UE通過主叫CSCF將會話請求消息發(fā)送給 主叫AS���。這里所述的會話請求消息可以為確認(PRACK)消息���,并且攜帶有主 叫UE確定的用于當前會話的媒體流安全能力信息。本步驟中�����,所述主叫UE確定用于當前會話的媒體流安全能力信息的方 法可以為主叫UE根據(jù)被叫UE提供的媒體安全能力信息確定用于當前會 話的媒體流安全能力信息����。也就是說,主叫UE可以從被叫UE提供的媒體 流安全能力信息中選擇出用于本次會話的媒體流安全能力信息,包括安全 算法��,還可以包括需要保護的媒體類型���、安全傳輸協(xié)議類型中一種或幾種任 意的組合�����。步驟221:主叫AS從主叫KMF中獲取密鑰Kl�����。本步驟中���,當主叫AS需要從主叫KMF中獲取密鑰Kl時,所述主叫 AS可以向主叫KMF發(fā)送密鑰請求消息�����,主叫KMF生成密鑰����,再將生成的 密鑰Kl返回給主叫AS�����。另外,主叫KMF還可以將針對密鑰Kl的密鑰標 識�����、密鑰有效期等信息一并返回給主叫AS�����。這里���,當主叫AS向主叫KMF發(fā)送密鑰請求消息���,還可以將會話請求 消息中確定用于本次會話的媒體流安全能力信息中的安全算法等信息發(fā)送 給主叫KMF,所述主叫KMF可以根據(jù)所述安全算法等信息生成密鑰��。實際 應用中�,主叫KMF也可以不根據(jù)所迷主叫AS會話請求消息中安全算法等 信息生成密鑰,而是直接生成密鑰�����。不管采用哪種方法����,只要主叫AS從主 叫KMF中獲取密鑰即可�。步驟222 ~步驟225:主叫AS將本側生成的密鑰Kl添加到會話請求消 息中�����,并通過主叫CSCF和被叫CSCF發(fā)送給被叫AS���。步驟226:被叫AS從被叫KMF中荻取密鑰K2��。與步驟221相似���,被叫AS可以向被叫KMF發(fā)送密鑰請求消息,被叫 KMF生成密鑰��,并將生成的密鑰K2返回給被叫AS�����。另外�,被叫KMF還 可以將針對密鑰K2的密鑰標識�����、密鑰有效期等信息一并返回給被叫AS。步驟227 步驟229:被叫AS根據(jù)主叫側生成的密鑰Kl和本側生成的 密鑰K2衍生出新的密鑰�,將衍生出的密鑰作為媒體流保護密鑰,并將媒體 流保護密鑰添加到所述會話請求消息中通過被叫CSCF發(fā)送給被叫UE�。步驟230~步驟231:被叫UE通過被叫CSCF將會話響應消息發(fā)送給 被叫AS。這里所迷的會話響應消息為200消息��,可以攜帶被叫UE確認的媒體流 安全能力信息�����。所述媒體流安全能力包括安全算法�,還可以包括需保護的媒 體類型、安全傳輸協(xié)議類型和安全前提中一種或幾種任意的組合��。步驟232 步驟235:被叫AS將密鑰K2添加到所述會話響應消息中��, 并通過被叫CSCF和主叫CSCF發(fā)送給主叫AS���。這里��,如果被叫KMF事先還將針對密鑰K2的密鑰標識��、密鑰有效期 等信息一并返回給了被叫AS,被叫AS就還可以將所述針對密鑰K2的密鑰 標識����、密鑰有效期等信息也添加到所述會話響應消息中。步驟236 步驟238:主叫AS根據(jù)本側生成的密鑰Kl和被叫側生成的 密鑰K2衍生出新的密鑰�,將衍生出的密鑰作為媒體流保護密鑰,并將所述 媒體流保護密鑰添加到會話響應消息中�,然后通過主叫CSCF發(fā)送給主叫 UE。本實施例中��,主叫側和被叫側都分別生成密鑰���,并根據(jù)本側生成的密鑰 和對方生成的密鑰衍生出新的密鑰�,將衍生出的密鑰作為媒體流保護密鑰分 別發(fā)送給主叫UE和被叫UE�。此后,主叫UE和被叫UE就可以利用所述密 鑰保護傳輸?shù)拿襟w流�。比如主叫UE需要向被叫UE傳輸媒體流時,可以 利用衍生出的密鑰將媒體流保護后傳輸給被叫UE;相反��,如果被叫UE需 要向主叫UE傳輸媒體流���,也可以利用衍生出的密鑰將媒體流保護后傳輸給 主叫UE����。實際應用中��,主叫AS和被叫AS也可以不生成衍生密鑰���,而直接將本 側生成的密鑰和對方生成的密鑰作為媒體流保護密鑰�����。也就是說��,主叫UE 和被叫UE將同時獲得密鑰Kl和密鑰K2��,其中一個密鑰作為發(fā)送給對方時 保護媒體流的密鑰��,另外一個密鑰則用于接收被保護的媒體流����。本實施例是由主叫AS和被叫AS對密鑰進行衍生的��,實際應用中����,還 可以分別由主叫CSCF和被叫CSCF對密鑰進行衍生;或者��,分別由主叫 UE和被叫UE對密鑰進行衍生����。本實施例中的衍生密鑰的方法可以為密鑰Kl和密鑰K2進行字符串 連接��,也可以將密鑰Kl和密鑰K2作為密鑰生成函數(shù)的輸入?yún)?shù)等方法���, 這里不再--列舉。另夕卜��,本實施例中所述KMF為一個獨立的實體���,實際應用中��,KMF也 可以為AS��、 CSCF或歸屬用戶服務器(HSS)等實體中的一個功能單元���。但 不管是獨立的實體,還是某實體中的一個功能單元�,其方法和流程與本實施 例相似,此處不再——列舉���。方法實施例三本實施例中�,獲取主叫側生成密鑰的網絡實體為主叫CSCF����,生成密鑰 的主叫KMF為主叫AS中的一個功能單元�����;獲取被叫側生成密鑰的網絡實 體為被叫CSCF,生成密鑰的被叫KMF為被叫AS中的一個功能單元���。另夕卜��,本實施例中���,假設主叫UE和被叫UE都簽約了媒體流保護業(yè)務。 圖3是本實施例的消息流示意圖���。如圖3所示�,本實施例可以包括以下 步驟步驟301:主叫UE向主叫CSCF發(fā)送會話建立請求消息���,所述會話建 立請求消息攜帶有主叫UE提供的媒體流安全能力信息�����。 本步驟與實施二的步驟201相同��,此處不再贅述���。 步驟302:主叫CSCF將所述會話建立請求消息發(fā)送給主叫AS����。 本步驟與實施二的步驟201相同��,此處不再贅述����。步驟303 ~步驟305:主叫AS判斷出主叫UE已經簽約媒體流保護業(yè)務, 然后將所述會話建立請求消息通過主叫CSCF發(fā)送給被叫CSCF�。本步驟與實施二的步驟203 ~步驟205相似,只是主叫AS沒有將主叫 UE已經簽約的標識添加到會話建立請求消息中���,此處不再贅述���。步驟306:被叫CSCF接收到會話建立請求消息后,再將所述會話建立 請求消息發(fā)送給被叫AS�����。本步驟與實施二的步驟206相同�����,此處不再贅述。步驟307 步驟309:被叫AS判斷出被叫UE也已經簽約媒體流保護業(yè) 務�����,再將所述會話建立請求消息通過被叫CSCF發(fā)送給被叫UE���。本步驟與實施二的步驟207 ~步驟209相似,只是被叫AS沒有將被叫 UE已經簽約的標識添加到會話建立請求消息中����,此處不再贅述。步驟310 ~步驟312:被叫UE向被叫CSCF發(fā)送會話建立響應響應消 息�����,被叫CSCF再將所述會話建立響應響應消息通過主叫CSCF發(fā)送給主叫 UE�����。這里����,被叫UE可以根據(jù)會話建立請求消息中主叫UE提供的媒體流安 全能力信息確定自身需提供的媒體流安全能力信息,并將確定提供的媒體流 安全能力信息攜帶于會話建立響應消息中,通過被叫CSCF和主叫CSCF發(fā) 送給主叫UE�����。這里所述的會話建立響應消息為183消息��,所述被叫UE需提供的媒體 流安全能力信息可以為能夠被主叫UE支持的全部或部分信息�����。本實施例中�����,步驟301 步驟312是主叫UE和被叫UE之間對安全能 力進行協(xié)商的過程���,獲取對方可以支持安全算法����、安全傳輸協(xié)議等參數(shù)��,從 而確定用于本次會話的媒體流安全能力信息�����。與實施例二相似,實際應用中����,在協(xié)商的過程中,主叫AS和被叫AS 也可以不檢查簽約情況�;或者主叫AS和被叫AS可以一方檢查,而另一方 不檢查����;或者直接由主叫CSCF和被叫CSCF檢查簽約。至于究竟是否檢查 簽約情況����,由一方檢查或雙方都4全查����,由CSCF才企查或由AS才全查等都可以根據(jù)實際情況確定,此處不再贅述���。另外�,與實施例二相似�����,主叫AS還可以將主叫UE已經簽約媒體流保 護業(yè)務的標識添加到會話建立請求消息中,被叫AS可以將被叫UE已經簽 約媒體流保護業(yè)務的標識添加到會話建立響應消息中�����。步驟313:主叫l(wèi)正將會話請求消息發(fā)送給主叫CSCF���。步驟314:主叫CSCF從主叫KMF中獲取密鑰Kl����。本步驟與實施例二中的步驟221相似�,其區(qū)別在于本實施例是由主叫 CSCF直接從主叫KMF獲取密鑰Kl,還可以獲取針對密鑰Kl的密鑰標識��、 密鑰有效期等信息�����,此處不再贅述�����。步驟315-步驟316:主叫CSCF將本側生成的密鑰Kl添加到會話請求 消息中�,并將攜帶有密鑰Kl的會話請求消息發(fā)送給被叫CSCF。步驟317:被叫CSCF從被叫KMF中獲取密鑰K2�。本步驟與步驟314相似����,此處不再贅述�����。步驟318 ~步驟319:被叫CSCF根據(jù)主叫側生成的密鑰Kl和本側生成 的密鑰K2衍生出新的密鑰����,將衍生出的密鑰作為媒體流保護密鑰,并將媒 體流保護密鑰添加到所述會話請求消息中發(fā)送給被叫UE����。步驟320:被叫UE向被叫CSCF返回會話響應消息。與方法實施例二相似���,這里所述的會話響應消息也可以為200消息,可 以攜帶被叫UE確認的媒體流安全能力信息�����。所述媒體流安全能力包括安全 算法�,還可以包括需保護的媒體類型、安全傳輸協(xié)議類型和安全前提中一種 或幾種任意的組合���。步驟321 ~步驟322:被叫CSCF將密鑰K2添加到會話響應消息中�,并 將攜帶有密鑰K2的會話響應消息發(fā)送給主叫CSCF。如果被叫KMF事先還將針對密鑰K2的密鑰標識���、密鑰有效期等信息 一并返回給了被叫CSCF����,被叫CSCF就還可以將所述針對密鑰K2的密鑰 標識�、密鑰有效期等信息也添加到會話響應消息中。步驟323 ~步驟324:主叫CSCF根據(jù)本側生成的密鑰Kl和被叫側生成的密鑰K2衍生出新的密鑰����,將衍生出的密鑰作為媒體流保護密鑰,并將所 述媒體流保護密鑰添加到會話響應消息中���,然后發(fā)送給主叫UE�。與方法實施例二相似�,本實施例中主叫CSCF和^皮叫CSCF也可以不生 成衍生密鑰,而直接將本側生成的密鑰和對方生成的密鑰作為媒體流保護密 鑰�����;或者由主叫UE和凈皮叫UE生成書t生密鑰���。此時����,主叫UE和被叫UE都獲取了媒體流保護密鑰,可以利用所述密 鑰對傳輸?shù)拿襟w流進行保護�����。另夕卜����,實際應用中,主叫UE向^皮叫UE發(fā)送的INVITE消息中�,除了 可以包括主叫UE提供的媒體流安全能力信息,還可以增加媒體流安全模式���, 所述安全模式可以為用戶到用戶模式�,也可以為用戶到網絡的模式���。在這種情況下,主叫UE先將所述INVITE消息通過主叫P-CSCF����、主 叫S-CSCF發(fā)送給主叫AS;主叫AS接收到該INVITE消息時�,在檢查主叫 UE已經簽約媒體流保護業(yè)務后�,還可以檢查該媒體流安全模式如果媒體流 安全模式有多于一個的選項,則確定唯一的一種媒體流安全模式���,并修改消 息中的模式為該確定的媒體流安全模式�,再繼續(xù)執(zhí)行���,即將INVITE消息 發(fā)送給被叫S-CSCF;被叫S-CSCF再通過被叫AS��、被叫P-CSCF將所述 INVITE消息發(fā)送給被叫UE;被叫UE向被叫P-CSCF發(fā)送攜帶有自身提供 的媒體流安全能力信息的183消息����,被叫P-CSCF再發(fā)送給被叫S-CSCF, 并由被叫S-CSCF發(fā)送給被叫AS;被叫AS添加確定的媒體流安全模式后����, 將所述183消息發(fā)送給被叫S-CSCF;被叫S-CSCF再發(fā)送給主叫S-CSCF; 主叫S-CSCF接收到所述183消息后,發(fā)送給主叫AS�����,主叫AS從所述183 消息中檢查被叫網絡確定的媒體流安全模式后�,將183消息發(fā)送給主叫 S-CSCF;主叫S-CSCF再發(fā)送給主叫P-CSCF;主叫P-CSCF確認媒體流安 全才莫式,并繼續(xù)發(fā)送給主叫UE, 乂人而完成主叫UE和#1叫UE之間i某體流 安全模式協(xié)商��。針對上述用戶到用戶媒體流保護情況下UE獲取媒體保護密鑰的方法�, 本發(fā)明還提出 一種相應的獲取媒體流保護密鑰的系統(tǒng)。圖4是該系統(tǒng)的基本結構示意圖����。如圖4所示,該系統(tǒng)至少包括主叫終端設備UE401���,用于向網絡實體402發(fā)送會話請求消息���,并接收 攜帶有媒體流保護密鑰的會話響應消息;網絡實體402,用于接收從主叫UE401發(fā)來的會話請求消息�,將媒體流 保護密鑰添加到會話請求消息中,并發(fā)送給被叫UE403;還用于接收被叫 UE403發(fā)送的會話響應消息��,將將^某體流保護密鑰添加到會話響應消息中�����, 并發(fā)送給主叫UE401;被叫UE403��,用于接收從網絡實體402發(fā)來的會話請求消息���,并返回會 話響應消息�。實際應用中.��,所述網絡實體402包括主叫網絡實體和被叫網絡實體����。其中,所述主叫網絡實體����,用于接收主叫UE發(fā)送的會話請求消息,從主叫密 鑰管理功能KMF中獲取密鑰���,并發(fā)送給被叫網絡實體�����;還用于接收被叫UE 發(fā)送的會話響應消息��,將本側事先生成的密鑰攜帶于響應消息中���,并發(fā)送給 主叫網絡實體;所述被叫網絡實體�,用于接收來自主叫網絡實體的會話請求消息,從被 叫KMF中獲取密鑰,確定媒體流保護密鑰并通過會話請求消息中發(fā)送給被 叫UE;還用于接收被叫UE返回的會話響應消息��,將本側生成的密鑰攜帶 于會話響應消息中發(fā)送給主叫網絡實體�����。此外��,主叫側和被叫側分別包括一個KMF�����,即主叫KMF和被叫KMF��。 其中���,所述主叫KMF用于生成密鑰并發(fā)送給主叫網絡實體���;所述^^皮叫KMF 用于生成密鑰并發(fā)送給被叫網絡實體。實際應用中���,所述主叫網絡實體可以為主叫呼叫會話控制功能實體 CSCF��,也可以為主叫AS;所述被叫網絡實體可以為被叫呼叫會話控制功能 實體CSCF����,也可以為被叫AS。本發(fā)明所述的KMF可以為一個獨立的實體���,也可以為CSCF、 AS或 HSS中的一個功能單元��。這里所述的CSCF可以為S-CSCF,也可以為 P-CSCF�����。在CSCF為S-CSCF的情況下����,系統(tǒng)中還可以包括P-CSCF,用于 轉發(fā)UE與S-CSCF之間的消息���。為了更好地說明上述用戶到用戶媒體流保護情況下獲取媒體流保護密 鑰的系統(tǒng)���,下面用較佳的系統(tǒng)實施例進行詳細描述。系統(tǒng)實施例一圖5a是系統(tǒng)實施例一的基本結構示意圖�。如圖5a所示,本系統(tǒng)實施例 包括主叫UE401��、網絡實體402、被叫UE403�、主叫KMF404、被叫KMF405���、 主叫P-CSCF406����、被叫P-CSCF407�。其中所述網絡實體402包括主叫網絡實體和被叫網絡實體,所述主叫網 絡實體為主叫S-CSCF4021,所述被叫網絡實體為被叫S-CSCF4022��。所述主叫UE401,用于通過主叫P-CSCF406向主叫S-CSCF4021發(fā)送 會話請求消息���,并接收攜帶有媒體流保護密鑰的會話響應消息����;所述主叫S-CSCF4021,用于接收來自主叫P-CSCF406會話請求消息����, 從主叫KMF405獲取密鑰,并發(fā)送給被叫S-CSCF4022;還用于接收來自被 叫S-CSCF4022的接收會話響應消息��,將獲取的密鑰攜帶于響應消息中再發(fā) 送給主叫UE401;所述被叫S-CSCF4022���,用于接收來自主叫S-CSCF4021的會話請求消 息�����,從被叫KMF405中獲取密鑰���,將獲取的密鑰攜帶于會話請求消息中通過 被叫P-CSCF407發(fā)送給被叫UE403;還用于接收來自被叫UE403的會話響 應消息��,并轉發(fā)給主叫S-CSCF4021;被叫UE403,用于接收會話請求消息,并返回會話響應消息�����;主叫KMF404,用于生成密鑰�����,并返回給主叫S-CSCF4021;被叫KMF405,用于生成密鑰���,并返回給被叫S-CSCF4022;主叫P-CSCF406,用于轉發(fā)主叫UE401和主叫S-CSCF4021之間的消自 被叫P-CSCF407,用于轉發(fā)被叫UE403和被叫S-CSCF4022之間的消臺當需要獲取媒體流保護密鑰時����,主叫UE401通過主叫P-CSCF4021向主 叫S-CSCF4021發(fā)送會話請求消息�,主叫S-CSCF4021從主叫KMF404獲取 密鑰�,并發(fā)送被叫S-CSCF4022;被叫S-CSCF4022從被叫KMF405中獲取 密鑰�,再通過被叫P-CSCF407發(fā)送給被叫UE403;被叫UE403通過被叫 P-CSCF407返回會話響應消息給被叫S-CSCF4022,被叫S-CSCF4022將獲 取的密鑰攜帶于會話響應消息中發(fā)送給主叫S-CSCF4021;主叫S-CSCF4021 再將攜帶有密鑰的會話響應消息通過主叫P-CSCF406返回給主叫UE401。實際應用中���,該系統(tǒng)還可以包括主叫AS和被叫AS��,主叫S-CSCF4021 通過主叫AS從主叫KMF404中獲取密鑰���,被叫S-CSCF4022通過被叫AS 從被叫KMF405中獲取密鑰。獲取密鑰后�,被叫AS還可以進一步用于將主叫側生成的密鑰和本側生 成的密鑰進行衍生;或者���,被叫S-CSCF還可以進一步用于將主叫側生成的 密鑰和本倒生成的密鑰進行衍生�����;或者�,被叫UE還可以進一步用于將主叫 側生成的密鑰和本側生成的密鑰進行衍生�����。相應地��,獲取密鑰后,主叫AS還可以進一步用于將被叫側生成的密鑰 和本側生成的密鑰進行衍生��;或者��,主叫S-CSCF還可以進一步用于將被叫 側生成的密鑰和本側生成的密鑰進行衍生���;或者�����,主叫UE還可以進一步用 于將被叫側生成的密鑰和本側生成的密鑰進行衍生�����。實際應用中,主叫AS和被叫AS還可以用于分別對主叫UE和被叫UE 是否簽約了媒體保護業(yè)務進行檢查���,至于如何判斷是否簽約����,可以參見上述 具體的方法�����,此處不再贅述。系統(tǒng)實施例二圖5b是系統(tǒng)實施例二的基本結構示意圖����。如圖5b所示,本系統(tǒng)實施例包括主叫UE401�����、網絡實體402�����、被叫UE403��、主叫KMF404�、被叫KMF405、 主叫P-CSCF406�、被叫P-CSCF407。其中所迷網絡實體402包括主叫網絡實體和被叫網絡實體��,所述主叫網 絡實體為主叫AS 5021,所述凈皮叫網絡實體為被叫AS 5022����。本系統(tǒng)實施例中的各實體的功能和結構與系統(tǒng)實施例一相似,其區(qū)別在 于,本系統(tǒng)實施例中主叫AS的功能相當于系統(tǒng)實施例一中的主叫S-CSCF�, 被叫AS的功能相當于系統(tǒng)實施例一中的被叫S-CSCF。本系統(tǒng)實施例中也可以同時包括主叫S-CSCF408和被叫S-CSCF409�, 只是不再具備向KMF獲取密鑰的功能,僅用作轉發(fā)消息而已��。當然�,與系統(tǒng)實施例一相同,獲取密鑰后�����,被叫AS還可以進一步用于 將主叫側生成的密鑰和本側生成的密鑰進行衍生�����;或者����,被叫S-CSCF還可 以進一步用于將主叫側生成的密鑰和本側生成的密鑰進行衍生�;或者,被叫 UE還可以進一步用于將主叫側生成的密鑰和本側生成的密鑰進行衍生��。相應地�����,獲取密鑰后,主叫AS還可以進一步用于將被叫側生成的密鑰 和本側生成的密鑰進行衍生��;或者�����,主叫S-CSCF還可以進一步用于將被叫 側生成的密鑰和本側生成的密鑰進行衍生����;或者,主叫UE還可以進一步用 于將被叫側生成的密鑰和本側生成的密鑰進行衍生���。主叫AS和被叫AS還可以用于分別對主叫UE和被叫UE是否簽約了 媒體保護業(yè)務進行檢查�,至于如何判斷是否簽約��,可以參見上述具體的方法�����,此處不再贅述���。應用上述方法實施例和系統(tǒng)實施例的方案�����,可以由網絡側生成密鑰��,并 分別發(fā)送給主叫UE和被叫UE�����,主叫UE和被叫UE就可以利用獲取的密鑰 對傳輸?shù)拿襟w流進行保護��。另外�����,由于密鑰由網絡側生成�,可以滿足第三方 合法監(jiān)聽的實際需要。上述方法實施例以及系統(tǒng)實施例都是針對用戶到用戶媒體流保護的實 例����,即主叫UE和^皮叫UE獲取密鑰之后,在兩個UE之間傳輸?shù)拿襟w流可以全程被保護�。^f旦在實際應用中,兩個用戶之間傳輸?shù)摹┠丑w流也可以不是全 程被保護���,而只保護其中一段,即可以保護用戶到網絡的部分,而網絡到網 絡部分則是明文傳輸?shù)?����,或者通過網絡域的安全機制進行保護���,這里不再贅 述��。對于保護用戶到網絡傳輸?shù)拿襟w流的情況�����,圖6是實現(xiàn)獲取媒體保護密 鑰的方法實施例的流程圖�,即本發(fā)明方法實施例四的流程圖�����。 如圖6所示�,方法實施例四可以包括以下步驟步驟601:網絡實體接收會話消息后,從密鑰管理功能實體KMF中獲 取密鑰��。步驟602:網絡實體將獲取的密鑰分別發(fā)送給終端設備UE和媒體處理 功能實體(MP)�。這里所述的網絡實體可以為S-CSCF,也可以為AS���。以網絡實體為 S-CSCF為例如果在主叫側��,這里所述的網絡實體可以為主叫S-CSCF���,所述UE為 主叫UE����,所述MP為主叫MP�����,所述KMF為主叫KMF����。相應地,如果在 被叫側���,這里所述的網絡實體可以為被叫S-CSCF��,所述UE為被叫UE�����,所 述MP為被叫MP�,所述KMF為被叫KMF。也就是說�,主叫S-CSCF接收 到會話消息后�,從主叫KMF中獲取密鑰,再將獲取的密鑰分別發(fā)送給主叫 UE和主叫MP��。被叫S-CSCF接收到會話消息后����,從被叫KMF中獲取密鑰, 再將獲取的密鑰分別發(fā)送給被叫UE和被叫MP��。當然�����,至于主/被叫S-CSCF如何將密鑰發(fā)送給主/被叫UE和主/被叫MP 則與具體的呼叫流程相關 在主叫S-CSCF接收到的會話消息為200消息時����,所述主叫S-CSCF將所述 密鑰攜帶于200消息中發(fā)送給主叫P-CSCF,主叫P-CSCF再將攜帶有所述密鑰 的200消息發(fā)送給主叫UE��,并將密鑰下發(fā)給主叫MP���?����;蛘?,在主叫S-CSCF接收到的會話消息為PRACK消息或UPDATE消息時,所述主叫S-CSCF將所述密鑰攜帶于PRACK消息或UPDATE消息中發(fā)送給主叫 AS,再由主叫AS將所述密鑰下發(fā)給主叫MP;同時�,在主叫S-CSCF接收到返 回的200消息時,再將所述密鑰攜帶于200消息中發(fā)送給主叫UE�。或者����,在被叫S-CSCF接收到PRACK消息或者UPDATE消息時,將獲取的密鑰 攜帶于PRACK消息或者UPDATE消息中發(fā)送給被叫P-CSCF�,被叫P-CSCF 將攜帶有所述密鑰的PRACK消息或者UPDATE消息發(fā)送給被叫UE?����;蛘?���,在被叫S-CSCF接收到的會話消息為PRACK消息或UPDATE消息時,被 叫S-CSCF將獲取的密鑰攜帶于PRACK消息或UPDATE消息中發(fā)送給被叫 UE;同時�,在被叫S-CSCF接收到返回的200消息時,將所述密鑰攜帶于200 消息中發(fā)送給凈皮叫AS,再由被叫AS將所述密鑰下發(fā)給被叫MP����。如果以網絡實體為AS為例在主叫側,所述網絡實體為主叫AS,所述UE為主叫UE�����,所述MP為 主叫MP,所述KMF為主叫KMF;相應地���,在被叫側,所述網絡實體為被 叫AS��,所述UE為被叫UE����,所述MP為被叫MP,所述KMF為被叫KMF。 也就是說���,當主叫AS接收到會話消息時����,將從主叫KMF中獲取密鑰��,再 將獲取的密鑰分別發(fā)送給主叫UE和主叫MP����。被叫AS接收到會話消息后�, 從被叫KMF中獲取密鑰���,再將獲取的密鑰分別發(fā)送給被叫UE和被叫MP��。當然��,至于主/被叫S-CSCF如何將密鑰發(fā)送給主/被叫UE和主/被叫MP 則與具體的呼叫流程相關��。比如在主叫AS接收到200消息時�����,將獲取的密鑰攜帶于200消息中 通過主叫S-CSCF發(fā)送給主叫P-CSCF�,再由主叫P-CSCF將所述密鑰攜帶 于200消息發(fā)送給主叫UE,同時��,將所述密鑰下發(fā)送給主叫MP;或者���,在主叫AS接收到的會話消息為200消息時����,主叫AS將獲取的密鑰直 接下發(fā)給主叫MP,同時,主叫AS將所述密鑰攜帶于200消息中,通過被 叫S-CSCF和被叫P-CSCF發(fā)送給主叫UE?���;蛘?�,在被叫AS接收到的會話消息為PRACK消息或者UPDATE消息時����,被 叫AS將所述密鑰攜帶于PRACK消息或者UPDATE消息中��,通過^皮叫S-CSCF發(fā)送給#1叫P-CSCF,再由被叫P-CSCF將所述密鑰攜帶于PRACK 消息或者UPDATE消息中發(fā)送給被叫UE,同時��,將所述密鑰下發(fā)給被叫 MP���。或者���,在被叫AS接收到的會話消息為PRACK消息或UPDATE消息時����,被叫 AS將獲取的密鑰直接下發(fā)給被叫MP,同時��,被叫AS將所述密鑰攜帶于 PRACK消息或UPDATE消息中,通過被叫S-CSCF和被叫P-CSCF發(fā)送給 被叫UE����。實際應用中,在UE和MP獲取密鑰之前��,所述UE和網絡實體之間還 可以對安全能力進行協(xié)商��。即主叫UE向主叫AS或者主叫P-CSCF發(fā)送INVITE會話建立請求消息�����, 所述INVITE請求消息攜帶有主叫UE提供的媒體流安全能力信息�����,主叫AS 或者主叫P-CSCF再向主叫UE返回攜帶有本側提供的主叫MP支持的媒體 流安全能力信息的183響應消息�。以及,當被叫AS或者被叫P-CSCF接收到INVITE會話建立請求消息后�,將 攜帶有本側提供的被叫MP支持的媒體流安全能力信息的INVITE會話建立 請求消息發(fā)送給被叫UE,被叫UE再向被叫AS或者被叫P-CSCF返回攜帶 有自身提供的媒體流安全能力信息的183會話響應消息��。另外��,這里的MP可以為一個單獨的功能實體�,也可以是GPRS網關支 持節(jié)點GGSN或者邊界網關功能實體BGF等功能實體的一個功能單元���;MP 也可以為媒體資源功能實體MRF, MRF可以由媒體資源控制功能實體 MRFC和媒體資源處理功能實體MRFP組成����。這里的KMF可以為單獨的一個設備,也可以是AS����、 S-CSCF或HSS 中的功能模塊。這里的P-CSCF或者AS或者S-CSCF向MP進行下發(fā)的可以發(fā)送一個 密鑰下發(fā)請求消息�����,其中攜帶需要下發(fā)的密鑰���,或者還包括密鑰的有效期等 參數(shù),MP返回應答消息�����,這里的請求和應答消息可以使用Diameter協(xié)議或 者H.248協(xié)議進行攜帶��。另外����,這里主叫網*備側和凈皮叫側網絡的々某體流安全4呆護可以是獨立的��,也可以是不獨立的����,即主叫網絡側實體在發(fā)往被叫側網絡實體的請求消息 中填加要求被叫側網絡提供媒體流安全服務的標識���,被叫側網絡實體檢查到 標識就為被叫UE提供用戶到網絡的媒體流安全保護服務�,這樣主叫UE與 主叫網絡實體之間被叫UE與被叫網絡實體之間就都可以進行用戶到網絡的 媒體流安全保護���。為了更好地說明針對用戶到網絡媒體流保護情況而提出的獲取密鑰的 方案�,下面用幾個較佳實施例和系統(tǒng)實施例進行詳細描述����。方法實施例五本實施例中,獲取主叫側生成密鑰的網絡實體為主叫AS���,而生成密鑰 的實體為主叫KMF��,為一個獨立的實體���;獲取被叫側生成密鑰的網絡實體 為被叫AS,而生成密鑰的實體為被叫KMF,也為一個獨立的實體�����。圖7是本實施例主叫側獲取媒體流保護密鑰方法的消息流示意圖����。如圖 7所示�����,該方法可以包括以下步驟步驟701:主叫UE向主叫P-CSCF發(fā)送會話建立請求消息�,所述會話 建立請求消息攜帶有主叫UE提供的媒體流安全能力信息。步驟702:主叫P-CSCF繼續(xù)向主叫S-CSCF發(fā)送會話建立請求消息���。主叫P-CSCF可以將提供的主叫MP支持的媒體流安全能力信息攜帶再 會話建立請求消息中發(fā)送給主叫S-CSCF;主叫P-CSCF也可以將會話建立 請求消息中的媒體流安全能力信息刪除后�,再發(fā)送給主叫S-CSCF��。本步驟所述的會話建立請求消息為邀請(INVITE)消息�,所述媒體流 安全能力信息包括安全算法,還可以包括需保護的媒體類型���、安全傳輸協(xié)議 類型和安全前提中一種或幾種任意的組合。這里所述安全算法可以為完整性安全算法或機密性安全算法���,所述需保 護的媒體類型可以為文本�、音頻、視頻等��,所述安全傳輸協(xié)議類型可以為 RTP/SAVP或RTP/SAVPF等�。所述安全前提是用來指示本次會話對媒體流安全的要求,可以包括第一實體期望的媒體流安全保護的強度標識�����,比如強制的(mandatory)���、可 選的(optional)���、可忽略的(none)。所述安全前提還可以包括期望的安 全協(xié)商配置結果和當前的配置情況�����,比如是否完成協(xié)商��、接收方向已經完 成安全配置�����、接收和發(fā)送方法都完成安全配置等。另外����,這里所述主叫UE的媒體流安全能力信息可以為主叫UE提供給 被叫UE的媒體流安全能力信息。比如主叫UE可以支持5種安全算法����, 但可以只選擇其中3種安全算法提供給被叫UE,那么�����,INVITE消息中就可 以只攜帶所提供的3種安全算法即可�。當然,主叫UE也可以將支持的5中 安全算法都提供給被叫UE����,如何確定提供的媒體流安全能力信息則需要由 實際情況決定。步驟703:主叫S-CSCF將所述會話建立請求消息發(fā)送給主叫AS�����。本步驟中��,主叫S-CSCF可以采用事先設置的初始過濾規(guī)則��,將會話建 立請求消息觸發(fā)給主叫AS����。至于如何觸發(fā)則屬于現(xiàn)有技術,此處不再贅述���。步驟704~步驟706:主叫AS判斷出主叫UE已經簽約媒體流保護業(yè)務�����, 再將會話建立請求消息通過主叫S-CSCF發(fā)送給被叫網絡����。實際應用中����,所述主叫AS可以根據(jù)事先記錄的與簽約相關的信息判斷 主叫UE是否已經簽約媒體流保護業(yè)務。比如根據(jù)會話建立請求消息中主 叫UE的標識查詢所述與簽約相關的信息�,并根據(jù)所述與簽約相關的信息判 斷出主叫UE是否簽約。當然���,主叫AS也可以采用其它方法檢查主叫UE 的簽約情況��,此處不再贅述����。另外,當主叫AS判斷出主叫UE已經簽約媒體流保護業(yè)務�����,還可以將 主叫UE已經簽約媒體流保護業(yè)務的標識添加到會話建立請求消息中����。當然, 由于本實施例為針對保護端到網絡傳輸?shù)拿襟w流而提出的����,也可以不添加所 述主叫UE已經簽約媒體流保護業(yè)務的標識。這里S-CSCF可以自己檢查簽 約業(yè)務�����,而不用到AS處進行簽約檢查��,也可以不進行簽約檢查�。這里主叫AS可以將INVITE消息中的媒體流安全能力集刪除,也可以不刪除�����,而是直接將攜帶有主叫側媒體流安全能力集的INVITE消息發(fā)往被 叫S-CSCF,被叫S-CSCF或者被叫AS可以參考該媒體流安全能力信息進行 媒體流安全能力協(xié)商。步驟707 ~步驟710:主叫S-CSCF接收從被叫網絡返回的會話建立響 應消息后�,將所述會話建立響應消息轉發(fā)給主叫AS��,當接收從主叫AS返 回的會話建立響應消息后���,再發(fā)送給主叫P-CSCF�。這里所迷的會話建立響應消息為183消息��。步驟711:主叫P-CSCF將提供的主叫MP支持的媒體流安全能力信息 攜帶于會話建立響應消息中�,并返回給主叫UE。所述主叫P-CSCF提供的主叫MP支持的媒體流安全能力信息為能夠被 主叫UE支持的全部或部分信息����。P-CSCF可以通過配置的方法或者通過向 主叫MP查詢的方法獲得MP支持的媒體流安全能力信息,其它獲得的方法 這里不再贅述�。本實施例中,所述步驟701 ~步驟711實際是主叫UE和主叫P-CSCF 與MP之間對安全能力進行協(xié)商的過程�����,獲取對方可以支持安全算法�、安全 傳輸協(xié)議等參數(shù),從而確定用于本次會話的媒體流安全能力信息。步驟712 ~步驟717:主叫UE通過主叫P-CSCF向主叫S-CSCF發(fā)送會 話消息��,主叫S-CSCF再向主叫AS發(fā)送所述會話消息����,主叫AS刪除主叫 UE提供的媒體流安全能力信息再向主叫S-CSCF返回會話消息,主叫 S-CSCF再將所述返回的會話消息發(fā)送給被叫網絡��。當然����,這里主叫AS也可以不刪除主叫UE和P-CSCF協(xié)商的々某體流安 全能力信息;這里主叫P-CSCF也可以刪除請求消息中的媒體流安全能力集���, 這樣主叫AS就不能獲得媒體流安全能力集���,后續(xù)的AS請求密鑰的過程也 就不需要參考媒體流安全能力集來申請。這里所述的會話消息為PRACK消息��。實際應用中����,當主叫UE接收到 會話建立響應消息時,還可以根據(jù)P-CSCF提供的主叫MP支持的媒體流安 全能力信息確定用于當前會話的媒體流安全能力信息�,并將用于當前會話的媒體流安全能力信息攜帶于會話請求消息中�����。步驟718 步驟719:主叫S-CSCF接收被叫網絡返回的會話響應消息��, 并轉發(fā)給主叫AS���。這里所迷的會話響應消息為200消息。步驟720 ~步驟721:主叫AS從主叫KMF獲取密鑰����,將獲取的密鑰攜 帶于會話響應消息中發(fā)送給主叫S-CSCF���。實際應用中����,主叫AS可以向主叫KMF發(fā)送密鑰請求消息�����,主叫KMF 生成密鑰并返回給主叫AS,主叫AS再將獲取的密鑰攜帶于會話響應消息�, 即200消息中發(fā)送給主叫S-CSCF。主叫AS和主叫KMF之間交互的消息可 以采用Diameter協(xié)議或者SIP協(xié)議��。實際應用,主叫KMF還可以將針對密鑰的密鑰有效期��、密鑰標識等信息一并發(fā)送給主叫AS���。實際應用中�,如果在步驟717中����,主叫UE確定了用于當前會話的媒體 流安全能力信息并攜帶于會話請求消息,當主叫AS接收到所述的用于當前 會話的媒體流安全能力信息時���,就可以根據(jù)會話請求消息中用于當前會話的 i某體流安全能力信息從主叫KMF獲取密鑰��。當然�����,實際應用中�����,主叫AS 也可以不根據(jù)會話請求消息從主叫KMF中獲取密鑰����,而直接從主叫KMF 獲取密鑰。步驟722-步驟724:主叫S-CSCF將所述會話響應消息發(fā)送給主叫 P-CSCF����,主叫P-CSCF繼續(xù)將所述會話響應消息發(fā)送給主叫UE,并將所述 會話響應消息中攜帶的密鑰下發(fā)給主叫MP。實際應用中��,主叫P-CSCF可以先將所述會話響應消息發(fā)送給主叫UE 之后�,再將所述會話響應消息中的密鑰下發(fā)給主叫MP;也可以先將所述會 話響應消息中的密鑰下發(fā)給主叫MP,再將所述會話響應消息發(fā)送給主叫 UE。另外���,這里主叫P-CSCF也可以先保存需要下發(fā)給MP的密鑰等信息����, 等收到主叫UE發(fā)送的UPDATE消息或者被叫UE發(fā)送的200消息后再發(fā)送 給MP��。此時�����,主叫UE和主叫MP都獲得了密鑰���,可以利用該密鑰對々某體流進 行保護。當然�����,實際應用中,主叫UE還需要執(zhí)行后續(xù)的呼叫流程��,比如 主叫UE通過主叫P-CSCF�、主叫S-CSCF向被叫網絡發(fā)送UPDATE消息, 并接收返回的200消息�����。至于后續(xù)的呼叫流程具體是如何的�����,可以參考現(xiàn)有 技術��,此處不再贅述����。這里也可以使用UPDATE消息以及返回的200消息 來代替上文中使用的PRACK消息以及200消息,具體內容類似���,這里也不 再贅述�。本實施例中�����,圖7是主叫UE和主叫MP獲取媒體流保護密鑰的消息流 示意圖。實際應用中����,被叫側可以不為被叫UE和被叫MP分配媒體流保護 密鑰,而執(zhí)行現(xiàn)有普通的呼叫流程�����;被叫側也可以為被叫UE和被叫MP分 配密鑰���。也就是說����,主叫側和被叫側分配密鑰的過程是相互獨立����,可以僅有 一側分配密鑰�,另外一側按照現(xiàn)有普通的呼叫流程拍j亍,也可以兩側都分配 密鑰����。對于被叫側為^L叫UE和被叫MP分配密鑰的情況���,可以利用與主叫側 相似的方法。圖8是被叫側獲取媒體流保護密鑰方法的消息流示意圖���。如圖 8所示��,該方法可以包括以下步驟步驟801 ~步驟802:被叫S-CSCF接收來自主叫網絡的會話建立請求 消息�,并轉發(fā)給被叫AS��。這里所述的會話建立請求消息可以為INVITE消息�����。與步驟702相似��,被叫S-CSCF可以采用事先設置的初始過濾規(guī)則���,將 會話建立請求消息觸發(fā)給被叫AS����。至于如何觸發(fā)則屬于現(xiàn)有技術����,此處不 再贅述��。步驟803 ~步驟805:被叫AS判斷出被叫UE已經簽約��,再將會話建立請求消息適過被叫S-CSCF發(fā)送給被叫P-CSCF���。被叫AS也可以不進行判斷被叫UE已經簽約的過程。步驟806:被叫P-CSCF將提供的被叫MP支持的媒體流安全能力信息添加到所述會話建立消息中�,再發(fā)送給被叫UE。步驟807:被叫UE向被叫P-CSCF返回會話建立響應消息��,所述會話 建立響應消息攜帶有被叫UE提供的媒體流安全能力信息���。這里所述會話建立響應消息為183消息���。當被叫UE接收到會話建立請 求消息時,可以根據(jù)消息中被叫P-CSCF將提供的被叫MP支持的媒體流安 全能力信息和自身可以支持的媒體流安全能力信息確定需提供的媒體流安 全能力信息���。這里被叫P-CSCF還要確定本次會話使用的媒體流安全能力信 息后�����,將確認的媒體流安全能力信息填加到183響應消息中。步驟808 ~步驟809:被叫P-CSCF將會話建立響應消息發(fā)送給被叫 S-CSCF,被叫S-CSCF再將會話建立響應消息轉發(fā)給被叫AS���。這里�,當被叫P-CSCF接收到會話建立響應消息時��,還可以從會話建立 響應消息中攜帶的媒體流安全能力信息中確定用于當前會話的媒體流安全 能力信息��,并攜帶于會話建立響應消息中��。當然�����,這里被叫P-CSCF也可以 刪除響應消息中的媒體流安全能力集����,這樣被叫AS就不能獲得媒體流安全 能力集,后續(xù)的AS請求密鑰的過程也就不需要參考媒體流安全能力集來申 請���。步驟810~步驟812:被叫AS刪除會話建立響應消息中的媒體流安全 能力信息�,再通過被叫S-CSCF將會話建立響應消息發(fā)送給主叫網絡����。當然��,這里^f皮叫AS也可以不刪除士某體流安全能力信息�����。步驟813-步驟814:被叫S-CSCF接收來自主叫網絡的會話消息���,并 將所述會話消息轉發(fā)給被叫AS。這里所述會話消息為PRACK消息���。步驟815 步驟816:被叫AS從被叫KMF中獲取密鑰�����,并將獲取的密 鑰添加到會話消息中����,再發(fā)送給被叫S-CSCF�����。與本實施例圖7中步驟720-步驟721相似��,當需要從被叫KMF中獲 取密鑰時�����,被叫AS也可以向被叫KMF發(fā)送密鑰請求消息��,被叫KMF生成 密鑰并返回給被叫AS,被叫AS再將獲取的密鑰攜帶于會話請求消息��,即 PRACK消息中發(fā)送給被叫S-CSCF�。被叫AS和被叫KMF之間交互的消息可以采用Diameter協(xié)議或者SIP協(xié)議。相似地��,凈皮叫KMF也可以將針對密鑰的密鑰有效期���、密鑰標識等信息 一并發(fā)送給被叫AS�。步驟817 步驟819:被叫S-CSCF將會話消息發(fā)送給被叫P-CSCF�,被 叫P-CSCF再將所述會話消息發(fā)送給被叫UE,并將所述會話消息中的密鑰 下發(fā)給被叫MP。當然��,如果會話消息還攜帶有針對密鑰的密鑰有效期����、密鑰標識等信息, 那么���,被叫P-CSCF還需要將所述密鑰有效期����、密鑰標識等信息一并下發(fā)給 被叫MP。當然���,被叫P-CSCF也還可以將會話消息中媒體流安全能力信息����, 如媒體類型���、安全傳輸方式等信息一并下發(fā)給被叫MP��。另外�,這里被叫P-CSCF也可以先保存需要下發(fā)給被叫MP的密鑰等信 息���,等收到被叫S-CSCF發(fā)送的UPDATE消息或者被叫UE的200消息后再 發(fā)送給MP��。此時���,被叫UE和被叫MP都獲得的媒體流保護密鑰,可以利用該密鑰 對傳輸?shù)拿襟w流進行保護�。實際應用中,在所述步驟819之后����,還需要進行 后續(xù)的呼叫流程��,比如被叫UE通過被叫S-CSCF����、被叫P-CSCF向主叫 網絡發(fā)送200消息���,接收來自主叫網絡的UPDATE消息等,此處不再贅述�����。方法實施例六本實施例中���,獲取主叫側生成密鑰的網絡實體為主叫S-CSCF,而生成 密鑰的為主叫KMF;獲取被叫側生成密鑰的網絡實體為被叫S-CSCF�����,而生 成密鑰的為被叫KMF����。圖9是本實施例主叫側獲取媒體流保護密鑰方法的消息流示意圖���。如圖 9所示�����,該方法可以包括以下步驟步驟901~步驟卯2:主叫UE通過主叫P-CSCF向主叫S-CSCF發(fā)送會 話建立請求消息�,所述會話建立請求消息攜帶有主叫UE提供的媒體流安全 能力信息。這里所迷會話建立請求消息為INVITE消息�����,所述步驟901 ~步驟902 與實施例五中的步驟701 ~步驟702相同���,此處不再贅述����。步驟卯3:主叫S-CSCF將所述會話建立請求消息發(fā)送給主叫AS�。 這里所迷步驟903與實施例五中的步驟703相同,此處不再贅述����。 步驟904~步驟906:主叫AS判斷出主叫UE已經簽約媒體流保護業(yè)務, 再將會話建立請求消息通過主叫S-CSCF發(fā)送給被叫網絡���。這里所述步驟904 ~步驟卯6與實施例五中的步驟704 ~步驟706相同����, 此處不再贅述。步驟907 ~步驟908:主叫S-CSCF接收從被叫網絡返回的會話建立響 應消息�,并直接發(fā)送給主叫P-CSCF。這里所述會話建立響應消息為183消息�,其流程與實施例五的步驟 707-步驟710相似,只是可以不再經過主叫AS����。步驟909:主叫P-CSCF將提供的主叫MP支持的媒體流安全能力信息 攜帶于會話建立響應消息中�����,并返回給主叫UE��。本步驟與實施例五中的步驟711相同�,此處不再贅述。步驟910-步驟913:主叫UE通過主叫P-CSCF向主叫S-CSCF發(fā)送會 話消息�,主叫S-CSCF刪除會話消息中主叫UE提供的媒體流安全能力信息, 再將所述會話消息發(fā)送給被叫網絡����。這里的主叫S-CSCF也可以不刪除會話 消息中的媒體流安全能力信息。這里所述的會話消息為PRACK消息����。實際應用中���,當主叫UE接收到 會話建立響應消息時,還可以根據(jù)主叫P-CSCF提供的主叫MP支持的媒體 流安全能力信息確定用于當前會話的媒體流安全能力信息�,并將用于當前會 話的媒體流安全能力信息攜帶于會話請求消息中。步驟914:主叫S-CSCF接收被叫網絡返回的會話響應消息�����。這里所述會話響應消息為200消息����。步驟915 步驟916:主叫S-CSCF從主叫KMF獲取密鑰,將獲取的密 鑰攜帶于會話響應消息中發(fā)送給主叫P-CSCF���。與實施例四相似��,這里�,主叫S-CSCF可以向主叫KMF發(fā)送密鑰請求 消息�����,主叫KMF生成密鑰并返回給主叫S-CSCF;主叫S-CSCF再將獲取的 密鑰攜帶于會話響應消息,即200消息中發(fā)送給主叫P-CSCF�。主叫S-CSCF 和主叫KMF之間交互的消息可以采用Diameter協(xié)議或者SIP協(xié)議。實際應用�����,主叫KMF還可以將針對密鑰的密鑰有效期��、密鑰標識等信 息一并發(fā)送給主叫S-CSCF��。步驟917~步驟918:主叫P-CSCF將所述會話響應消息發(fā)送給主叫UE�����, 并將所述會話響應消息中的密鑰下發(fā)給主叫MP�����。此時��,主叫UE和主叫MP都獲得了密鑰����,可以利用所述密鑰對傳輸?shù)?媒體流進行保護����。與實施例五相同��,本實施例中主叫UE還需要執(zhí)行后續(xù)的呼叫流程�����,此 處不再贅述����。另外���,這里主叫P-CSCF也可以先保存需要下發(fā)給主叫MP的密鑰等信 息�����,等收到主叫UE發(fā)送的UPDATE消息或者被叫UE的200消息后再發(fā)送 給MP���。本實施例中,圖9是主叫UE和主叫MP獲取媒體流保護密鑰的消息流 示意圖����。對于被叫側為被叫UE和被叫MP分配密鑰的情況,可以利用與主 叫側相似的方法�����。圖10是本實施例中被叫側獲取媒體流保護密鑰方法的消息流示意圖。 如圖10所示�,該方法可以包括步驟步驟1001 ~步驟1002:被叫S-CSCF接收來自主叫網絡的會話建立請 求消息,并轉發(fā)給被叫AS���。這里所述的會話建立請求消息可以為INVITE消息�,所述步驟1001 ~步 驟1002與實施例五中的步驟801 ~步驟802相同�,此處不再贅述。步驟1003 -步驟1005:被叫AS判斷出被叫UE已經簽約��,再將會話建 立請求消息通過被叫S-CSCF發(fā)送給被叫P-CSCF�。被叫AS或者S-CSCF也可以不進行判斷被叫UE已經簽約的過程。這里所述步驟1003 ~步驟1005與方法實施例五中的步驟803 ~步驟805相同���, 此處不再贅述����。步驟1006:被叫P-CSCF將提供的被叫MP支持的媒體流安全能力信息 添加到所述會話建立消息中�����,再發(fā)送給被叫UE��。本步驟與實施例五中的步驟806相同���,此處不再贅述���。步驟1007:被叫UE向被叫P-CSCF返回會話建立響應消息,所述會話 建立響應消息攜帶有被叫UE提供的媒體流安全能力信息����。本步驟與方法實施五中步驟807相同,所述會話建立響應消息為183消 息�����,此處不再贅述��。步驟1008~步驟1010:被叫P-CSCF將所述會話建立響應消息發(fā)送給 被叫S-CSCF��,被叫S-CSCF刪除所述會話建立響應消息中的媒體流安全能 力信息���,再發(fā)送給主叫網絡����。被叫S-CSCF也可以不刪除所述會話建立響應消息中的媒體流安全能力 信息�����。步驟1011 ~步驟1013:被叫S-CSCF接收來自主叫網絡的會話消息, 再從被叫KMF獲取密鑰��,并將獲取的密鑰添加到會話消息中�,并發(fā)送給被. 叫P-CSCF。這里所述會話消息為PRACK消息���。步驟1014 ~步驟1015:被叫P-CSCF再將所述會話消息發(fā)送給被叫UE���, 并將所述會話消息中的密鑰下發(fā)給被叫MP。此時���,被叫UE和被叫MP都獲得的媒體流保護密鑰�,可以利用該密鑰 對傳輸?shù)拿襟w流進行保護���。當然�����,步驟1015之后���,實際還需要進行后續(xù)的 呼叫流程,比如被叫UE通過被叫S-CSCF�����、被叫P-CSCF向主叫網絡發(fā) 送200消息����,接收來自主叫網絡的UPDATE消息等,此處不再贅述���。另外���,這里被叫P-CSCF也可以先保存需要下發(fā)給被叫MP的密鑰等信 息,等收到被叫S-CSCF發(fā)送的UPDATE消息或者被叫UE的200消息后再 發(fā)送給MP��。方法實施例七本實施例中��,獲取主叫側生成密鑰的網絡實體為主叫AS,生成密鑰的 實體為主叫KMF��,所述MP為主叫MP;獲取被叫側生成密鑰的向絡實體為 被叫AS,而生成密鑰的為被叫KMF�。另外,本實施例中����,所述的主叫MP為主叫MRF�����,所述被叫MP為被 叫MRF��。這里所述MRF在接收會話消息時�����,可以重新發(fā)起一條會話消息�。 比如當接收INVITE消息時��,MRF可以重新生成另外一條INVITE,再將 重新生成的INVITE繼續(xù)傳輸給下一個實體�����。至于如何重新生成會話消息屬 于現(xiàn)有技術�,此處不再贅述。本實施例中僅以AS作為背靠背的用戶代理B2BUA的情況作為例子�; 實際實施中,AS也可以僅僅修改主叫側的發(fā)來的呼叫中的媒體流安全相關 的信息���,而不用重新發(fā)起一個新的會話流程�;另外,AS還可以先跟被叫側 協(xié)商完畢后再繼續(xù)跟主叫側協(xié)商���,具體流程類似這里不再贅述。圖11是本實施例主叫側獲取媒體流保護密鑰的消息流示意圖����。如圖11 所示,該方法包括以下步驟步驟1101:主叫UE向主叫S-CSCF發(fā)送會話建立請求消息���,所述會話 建立請求消息攜帶有主叫UE提供的媒體流安全能力信息���。本步驟與實施例五中的步驟701 步驟702相同,主叫UE也需要通過 主叫P-CSCF發(fā)送會話建立請求消息���,只是本實施例中����,所述主叫P-CSCF 只用于消息的轉發(fā)����,并不會下發(fā)密鑰,所以忽略掉對P-CSCF的描述����。本步驟所述的會話建立請求消息為INVITE消息�,但為了與后續(xù)的 INVITE消息區(qū)分�����,這里所述的INVITE消息為INVITE[ 1 ]�。步驟1102:主叫S-CSCF將所述會話建立請求消息發(fā)送給主叫AS。本步驟與實施例五的步驟703相同�,此處不再贅述。步驟1103-步驟1105:主叫AS判斷出主叫UE已經簽檢4企查��。這里所述步驟1103-步驟1105與實施例五中的步驟704-步驟706相 似�,只是主叫AS重新生成了一條會話建立請求消息,所述重新生成的會話 建立請求消息可以記為INVITE[2]��。步驟1106~步驟1107:主叫S-CSCF接收從被叫網絡返回的會話建立 響應消息后�����,將所述會話建立響應消息轉發(fā)給主叫AS�����。這里所述的會話建立響應消息為183消息���,是針對INVITE[2]的響應消 息��,可以記為183[2]消息�。步驟1108-步驟1109:主叫AS重新生成會話建立響應消息,所述重 新生成的會話建立響應消息攜帶有主叫MRF提供的媒體流安全能力信息�����, 并將所述重新生成的會話建立響應消息發(fā)送給主叫S-CSCF���,由主叫S-CSCF 發(fā)送給主叫UE。這里����,主叫AS重新生成的會話建立響應消息是針對INVITE[1]的響應 消息,可以記為183[1]消息����。所述MRF提供的媒體流安全能力信息可以為能夠被主叫UE支持的全 部或部分信息。步驟1110-步驟1111:主叫UE向主叫S-CSCF發(fā)送會話消息�,主叫 S-CSCF再將所述會話消息發(fā)送給主叫AS。這里所述會話消息為PRACK消息���,為了與后續(xù)的主叫AS生成的 PRACK消息區(qū)分�,可以記為PRACK[ 1 ]。步驟1112~步驟1113:主叫AS重新生成會話消息�,并將重新生成的 會話消息發(fā)送給主叫S-CSCF,再有主叫S-CSCF發(fā)送給被叫網絡。這里��,所述主叫AS重新生成的PRACK可以記為PRACK[2]消息�。步驟1114~步驟1115:主叫S-CSCF接收來自被叫網絡的會話響應消 息,并將所述會話響應消息發(fā)送給主叫AS��。這里�����,所述會話響應消息為200消息�����,由于該消息是針對PRACK[2], 可以將其記為200[2]消息��。步驟1116~步驟1119:主叫AS從主叫KMF獲取密鑰�����,將獲取的密鑰下發(fā)給主叫MRF����,并重新生成會話響應消息��,將獲取密鑰攜帶于重新生成 的會話響應消息中����,通過主叫S-CSCF發(fā)送給主叫UE�����。這里所述主叫AS重新生成的會話響應消息為200消息��,由于該消息是 針對PRACK[1]的���,可以將其記為200[1〗。此時���,主叫UE和主叫MRF都獲得了密鑰����,可以利用該密鑰對傳輸?shù)?媒體流進行保護����。本實施例中,圖ll是主叫UE和主叫MRF獲取々某體流保護密鑰的消息 流示意圖��。實際應用中,如果被叫側要為被叫UE和被叫MRF分配密鑰�����, 可以利用主叫側相似的方法����。圖12是本實施例中被叫側獲取媒體流保護密 鑰的消息流示意圖。如圖12所示���,該方法可以包括以下步驟步驟1201 ~步驟1202:被叫S-CSCF接收來自主叫網絡的會話建立請 求消息���,并轉發(fā)給被叫AS。為了與上述主叫側對應�����,這里所述被叫S-CSCF接收到的會話建立請求 消息為INVITE2]�����。步驟1203 ~步驟1205:被叫AS判斷出被叫UE已經簽約��,再重新生成 會話建立請求消息����,并將被叫MRF提供的媒體流安全能力信息攜帶于所述 重新生成的會話建立請求消息中�,通過被叫S-CSCF發(fā)送給被叫UE����。被叫AS或者被叫S-CSCF也可以不進行出被叫UE已經簽約的檢查。這里�����,為了與上述主叫AS重新生成會話建立請求消息相區(qū)分��,可以將 被叫AS重新生成的會話建立請求消息記為INVITE[3]��。步驟1206:被叫UE向被叫S-CSCF返回會話建立響應消息�����,所述會話 建立響應消息攜帶有被叫UE提供的媒體流安全能力信息���。這里所述的會話建立響應消息為183消息,由于是針對INVITE[3]的響 應響應消息�,可以將其記為183[3]消息。步驟1207~步驟1209:被叫S-CSCF將接收到的會話建立響應消息發(fā) 送給被叫AS����,被叫AS再重新生成會話建立響應消息�����,并將重新生成的會話 建立響應消息發(fā)送給被叫S-CSCF�����,然后由被叫S-CSCF發(fā)送給主叫網絡���。這里,所述被叫AS重新生成的會話建立響應消息是針對事先的 INVITE[2]消息的��,可以將其記為183[2]����。步驟1210-步驟1211:被叫S-CSCF接收來自主叫網絡的會話消息, 并將所述會話消息轉發(fā)給被叫AS�。這里所迷會話消息為會話請求消息,即主叫網絡發(fā)送來的PRACK[2]消命步驟1212-1215:被叫AS從被叫KMF中獲取密鑰����,將獲取的密鑰下 發(fā)給被叫MRF,并重新生成會話消息���,將所述獲取的密鑰攜帶于重新生成 的會話消息��,通過被叫S-CSCF發(fā)送給被叫UE��。這里�,所述被叫AS重新生成的會話消息為PRACK[3]消息。此時���,被叫UE和被叫MRF都獲得的密鑰�,就可以利用該密鑰對傳輸 的媒體流進行保護����。當然,步驟1215之后���,被叫UE還需要進行執(zhí)行后續(xù)的呼叫流程�����,比 如被叫UE通過被叫S-CSCF和被叫AS向主叫網絡發(fā)送200消息,并再 接收UPDATE消息等�。在后續(xù)的呼叫流程中,被叫AS仍然可以重新生成從 被叫S-CSCF發(fā)送來的會話消息����,此處不再贅述��。這里的PRACK消息以及 對應的200響應消息可以由UPDATE消息以及對應的200響應消息替代����, 具體流程類似��,這里不再贅述���。方法實施例乂V本實施例中��,獲取主叫側生成密鑰的網絡實體為主叫S-CSCF����,生成密 鑰的實體為主叫KMF;獲取主叫側生成密鑰的網絡實體為被叫S-CSCF����,生 成密鑰的實體為KMF。另外�,本實施例中,所述主叫MP為主叫MRF,被叫MP為被叫MRF�����。 本實施例中僅以AS作為背靠背的用戶代理B2BUA的情況作為例子; 實際實施中���,AS也可以僅僅修改主叫側的發(fā)來的呼叫中的媒體流安全相關 的信息����,而不用重新發(fā)起一個新的會話流程��;另外�����,AS還可以先跟被叫側協(xié)商完畢后再繼續(xù)跟主叫側協(xié)商�����,具體流程類似這里不再贅述���。圖13是本實施例主叫側獲取媒體流保護密鑰方法的消息流示意圖�。如 圖13所示�,該方法可以包4舌以下步驟步驟1301:主叫UE向主叫S-CSCF發(fā)送會話建立請求消息,所述會話 建立請求消息攜帶有主叫UE提供的媒體流安全能力信息��。本步驟與實施例七中步驟1101相同���,這里所述的會話建立請求消息為 INVITE[l]�����,此處不再贅述��。步驟1302:主叫S-CSCF將所述會話建立請求消息發(fā)送給主叫AS����。本步驟與實施例七的步驟1102相同�,此處不再贅述。步驟1303 ~步驟1305:主叫AS判斷出主叫UE已經簽約��,再將自身重 新生成的會話建立請求消息通過主叫S-CSCF發(fā)送給被叫網絡�����。這里所述步驟1303 ~步驟1305與實施例七的步驟1103 ~步驟1105相 同����,所述重新生成的會話建立請求消息可以記為INVITE[2],此處不再贅述����。步驟1306 -步驟1307:主叫S-CSCF接收從被叫網絡返回的會話建立 響應消息后�����,將所述會話建立響應消息轉發(fā)給主叫AS�����。這里所述步驟1306 ~步驟1307與實施例七中步驟1106~步驟1107相 同���,所述的會話建立響應消息為183 [2]消息,此處不再贅述�����。步驟1308~步驟1309:主叫AS重新生成會話建立響應消息��,所述重 新生成的會話建立響應消息攜帶有主叫MRF提供的媒體流安全能力信息�, 并將所述重新生成的會話建立響應消息發(fā)送給主叫S-CSCF,由主叫S-CSCF 發(fā)送給主叫UE����。這里所述步驟1308-步驟1309與實施例七的步驟1108~步驟1109相 同,所述主叫AS重新生成的會話建立響應消息為183[1]消息����。步驟1310-步驟1312:主叫UE向主叫S-CSCF發(fā)送會話消息��,主叫 S-CSCF從主叫KMF中獲取密鑰��,將獲取的密鑰攜帶于所述會話消息中, 并發(fā)送給主叫AS����。這里所述會話消息為會話請求消息,即PRACK消息�。為了與后續(xù)主叫消息區(qū)分,可以記為PRACK[ 1 ]消息��。步驟1313'-步驟1315:主叫AS將從主叫S-CSCF發(fā)來的會話消息中的 密鑰下發(fā)給主叫MRF,再重新生成會話消息���,并將重新生成的會話消息發(fā) 送給主叫S-CSCF�,然后由主叫S-CSCF發(fā)送給被叫網絡����。這里所述重新生成的會話消息可以記為PRACK[2]。步驟1316-步驟1319:主叫S-CSCF接收來自被叫網絡的會話響應消 息���,將所述會話響應消息發(fā)送給主叫AS,并接收主叫AS重新生成的會話 響應消息���,然后將事先獲取的密鑰攜帶于所述主叫AS重新生成的會話響應 消息中發(fā)送給主叫UE��。這里所述的會話響應消息為針對PRACK[2]的會話響應消息��,即200[2] 消息��。所述主叫AS重新生成的會話響應消息為針對PRACK[1]的會話響應 消息����,即200[l:j���。此時��,主叫UE和主叫MRF已經獲得了密鑰�,可以利用該密鑰對傳輸 的媒體流進行保護���。當然�,步驟1319之后�,還需要進行執(zhí)行后續(xù)的呼叫流 程,此處不再贅述����。本實施例中���,圖13是主叫UE和主叫MRF獲取媒體流保護密鑰的消息 流示意圖。實際應用中�,如果被叫側要為被叫UE和被叫MRF分配密鑰, 可以利用主叫側相似的方法�����。圖14是本實施例中被叫側獲取媒體流保護密鑰的消息流示意圖����。如圖 14所示�,該方法可以包括以下步驟步驟1401 -步驟1402:被叫S-CSCF接收來自主叫網絡的會話建立請 求消息,并轉發(fā)給被叫AS���。這里所述步驟1401 ~步驟1402與實施例七中步驟1201 ~步驟1202相 同�,所述會話建立請求消息為INVITE[2]���,此處不再贅述�����。步驟1403'-步驟1405:被叫AS判斷出被叫UE已經簽約�����,再重新生成 會話建立請求消息�,并將被叫MRF提供的媒體流安全能力信息攜帶于所述重新生成的會話建立請求消息中,通過被叫S-CSCF發(fā)送給被叫UE�。這里所迷步驟1403 ~步驟1405與實施例七中步驟1203 ~步驟1205相 同,所述被叫AS重新生成的會話建立請求消息為INVITE[3],此處不再贅 述���。步驟1406:被叫UE向被叫S-CSCF返回會話建立響應消息����,所述會話 建立響應消息攜帶有被叫UE提供的媒體流安全能力信息��。本步驟與實施例七的步驟1206相同���,所述會話建立響應消息為183 [3] 消息�。步驟1407 -步驟1409:被叫S-CSCF將接收到的會話建立響應消息發(fā) 送給被叫AS���,被叫AS再重新生成會話建立響應消息�����,并將重新生成的會話 建立響應消息發(fā)送給被叫S-CSCF,然后由被叫S-CSCF發(fā)送給主叫網絡�。這里所述步驟1407 ~步驟1409與實施例七中的步驟1207 ~步驟1209 相同,所述被叫AS重新生成的會話建立響應消息為183[2],此處不再贅述�。步驟1410~步驟1411:被叫S-CSCF接收來自主叫網絡的會話消息, 并將所述會話消息轉發(fā)給被叫AS���。這里所迷會話消息為會話請求消息�,即主叫網絡發(fā)送來的PRACK[2]消息�。步驟1412:被叫AS重新生成會話消息,并將重新生成的會話消息發(fā)送 給被叫S-CSCF�����。為了與接收到的PRACK[2]消息區(qū)分����,這里所述被叫AS重新生成的會 話消息可以記為PRACK[3]�����。步驟1413 ~步驟1414:被叫S-CSCF從被叫KMF中獲取密鑰�,并將獲 取的密鑰攜帶于所述重新生成的會話消息中發(fā)送給被叫UE。步驟1415:被叫l(wèi)正向被叫S-CSCF發(fā)送會話響應消息��。這里所迷會話響應消息為針對PRACK[3]的會話響應消息�����,即200[3]消自步驟1416~步驟1419:被叫S-CSCF將事先獲取的密鑰攜帶于會話響應消息中發(fā)送給被叫AS,被叫AS將所述會話響應消息中的密鑰下發(fā)給被 叫MRF,并重新生成會話響應消息���,將重新生成的會話響應消息通過被叫 S-CSCF發(fā)送給主叫網絡����。此時����,被叫UE和被叫MFR都獲得了密鑰,可以利用該密鑰對傳輸?shù)?媒體流進行保護�����。針對上述保護用戶到網絡傳輸?shù)拿襟w流情況而提出的獲取密鑰的方法���, 本發(fā)明還提出 一種獲取媒體流保護密鑰的系統(tǒng)�����。圖15是該系統(tǒng)的基本結構示意圖����。如圖15所示,該系統(tǒng)包括-. UE1501,用于接收網絡實體發(fā)送的密鑰�;網絡實體1502,用于接收會話消息�,從KMF1503中獲取密鑰,并發(fā)送 給UE1501和MP1504;KMF1503,用于生成密鑰��;MP1504�,用于接收網絡實體發(fā)送的密鑰。實際應用中�,所述網絡實體1502可以為S-CSCF,也可以為AS�����。 該系統(tǒng)可以為主叫側實現(xiàn)獲取媒體流保護密鑰的系統(tǒng)����,也可以為被叫側 實現(xiàn)獲取保護密鑰的系統(tǒng)�。如果為主叫側,則所述UE1501為主叫UE����,所 述網絡實體1502為主叫S-CSCF或主叫AS,所述KMF1503為主叫KMF, 所述MP1504為主叫MP�����。當然����,如果網絡實體為S-CSCF,該系統(tǒng)可以進一步包括AS,還可以進 一步包括P-CSCF;如果網絡實體為AS,該系統(tǒng)可以進一步包括S-CSCF, 還可以進一步包括P-CSCF�����。本發(fā)明所述的KMF可以為一個獨立的實體�����, 也可以為CSCF�����、 AS或HSS中的一個功能單元��。為了更好地說明上述用戶到用戶媒體流保護情況下獲取媒體流保護密 鑰的系統(tǒng)����,下面用較佳的系統(tǒng)實施例進行詳細描述��。系統(tǒng)實施例三圖16是系統(tǒng)實施例三的基本結構示意圖��。如圖16所示����,本系統(tǒng)實施例 包括主叫UE1501����、主叫S-CSCF1502A、主叫KMF1503�、主叫MP1504、 主叫P-CSCF1505��。其中��,所述主叫P-CSCF用于轉發(fā)主叫UE1501和主叫 S-CSCF1502A之間交互的消息�����,也用于將來自主叫S-CSCF會話消息中的密 鑰下發(fā)給主叫MP1504�,其它的實體與圖15所述的相應實體的功能和結構相 同,此處不再贅述��。當需要獲取媒體流保護密鑰時����,主叫UE1501通過主叫P-CSCF1505向 主叫S-CSCF1502A發(fā)送會話消息,主叫S-CSCF1502A從主叫KMF1503中 獲取密鑰���,并將獲取的密鑰通過會話響應消息發(fā)送給主叫P-CSCF1505�,主 叫P-CSCF1505再將所述密鑰發(fā)送給主叫UE1501和主叫MP�����。當然�,本實施例中所述的各個實體還用于與執(zhí)行呼叫流程相關的其它功 能,其實現(xiàn)的功能或流程可以參見本發(fā)明上述的方法實施例�����,此處不再贅述����。當然,實際應用中����,該系統(tǒng)還可以進一步包括主叫AS,用于檢查主叫 UE是否簽約����,至于如何檢查可以參見上述的方法實施例�,此處不再贅述��。另外���,本系統(tǒng)實施例所述的主叫MP1504是從主叫P-CSCF1505接收下 發(fā)的密鑰���,而實際應用中,所述主叫MP1504也可以直接從主叫S-CSCF���、 主叫AS中獲取下發(fā)的密鑰���。系統(tǒng)實施四圖17是本系統(tǒng)實施例的基本結構示意圖。如圖17所示�,本系統(tǒng)實施例 包括主叫UE1501、主叫AS1502B�����、主叫KMF1503���、主叫MP1504�。該系統(tǒng)還可以包括主叫P-CSCF和主叫S-CSCF,但與系統(tǒng)實施例四不 同的是,這里所述的主叫S-CSCF不再從主叫KMF中獲取����,可以僅作為轉 發(fā)消息的實體�,其它的實體與圖15所述的相應實體的功能和結構相同,此 處不再贅述�。當需要獲取媒體流保護密鑰時,主叫UE1501通過主叫P-CSCF和主叫 S-CSCF向主叫AS1502B發(fā)送會話消息�����,主叫AS1502B從主叫KMF1503中獲取密鑰���,并將獲取的密鑰直接下發(fā)給主叫MP1504����,并將所述消息攜帶于 會話響應消息中�����,通過主叫S-CSCF和P-CSCF發(fā)送給主叫UE1501�。與系統(tǒng)實施例三相似,實際應用中�,主叫AS1502B也還可以用作對主 叫UE1501檢查簽約的實體���,此處不再贅述。同樣���,本系統(tǒng)實施例所述的主叫AS還可以通過主叫S-CSCF或主叫 P-CSCF將密鑰下發(fā)給主叫MP�����。本發(fā)明所述系統(tǒng)實施例三和系統(tǒng)實施例四都是以主叫側為例進行說明 的����,實際應用中�����,如果被叫側需要為被叫UE和被叫MP分配密鑰�,其系統(tǒng) 的結構與主叫側相似,此處不再贅述��。本發(fā)明中�,不管是對于保護用戶到用戶傳輸?shù)拿襟w流而提出的獲取密鑰方 法,還是對于保護用戶到網絡傳輸?shù)拿襟w流而提出的獲取密鑰的方法����,在所述 INVITE消息中�,所述媒體流安全能力信息除了包括安全算法��,還可以包括需保 護的媒體類型�����、安全傳輸協(xié)議類型�、安全前提中一種或幾種任意的組合��。用戶 到用戶或用戶到網絡交互的其它消息中���,所述^ 某體流安全能力信息也可以包括 媒體類型�、安全傳輸協(xié)議類型����、安全前提中一種或幾種任意的組合,至于是否 包括密鑰和安全算法則與具體的實現(xiàn)相關�����。網絡側生成的密鑰可以攜帶于媒體流安全能力信息中發(fā)送給對方����。此時��, 所述媒體流安全能力信息中還可以包括密鑰有效期等參數(shù)����。如果有多個需要保 護的媒體流����,每次還可以針對每一個不同的媒體流生成不同的密鑰,所述媒體 流安全能力信息中還可以包括密鑰標識��,以區(qū)分對應的i某體流��。所述安全算法可以在rfc 4568中定義的媒體流安全描述協(xié)議(SDES )中a =crypto頭域中作為crypto-suite參數(shù)來攜帶��;所述生成的密鑰��、密鑰標識�、密 鑰有效期等可以在SDES協(xié)議a =crypto頭域中內聯(lián)(inline )子頭域的key-params 參數(shù)來攜帶。如果采用多々某體因特網密鑰協(xié)商(MIKEY)管理協(xié)議�����,其中的安全算法����、 包4舌密鑰長度�、密鑰產生率等的安全上下文都可以攜帶于RFC 3830 MIKEY協(xié) 議中安全策略負栽(Security Policy payload)字段中定義的參數(shù)中����。所述生成的密鑰、密鑰有效期等可以攜帶于MIKEY中密鑰傳輸負載(KEMAC�����, Key data transport payload)字段中���。整個MIKEY消息則可以攜帶于RFC4567規(guī)定的a =key-mgmt SDP屬性字革殳中。所述安全算法也可以在會話發(fā)起協(xié)議(SIP)中擴展一個安全算法頭域來攜 帶����;同樣,所述生成的密鑰����、密鑰標識、密鑰有效期等也可以在SIP協(xié)議來中 擴展對應的頭域來攜帶�����。應用本發(fā)明實施例方案,由于可以由網絡側生成密鑰���,并將生成的密鑰下 發(fā)給需要保護媒體流的實體�,從而達到對傳輸?shù)拿襟w流進行保護的目的����。另夕卜, 由于密鑰由網絡側實體或功能單元����,即KMF生成密鑰,可以滿足第三方合法 監(jiān)聽的實際需求�����。綜上所述���,以上僅為本發(fā)明的較佳實施例而已���,并非用于限定本發(fā)明的 保護范圍。凡在本發(fā)明的精神和原則之內��,所作的任何修改�����、等同替換、改 進等���,均應包含在本發(fā)明的保護范圍之內�。
權利要求
1. 一種獲取媒體流保護密鑰的方法�,其特征在于,該方法包括以下步驟a����、主叫終端設備UE向網絡實體發(fā)送會話請求消息,網絡實體將媒體流保護密鑰添加到所述會話請求消息中����,并發(fā)送給被叫UE��;b����、被叫UE向網絡實體返回響應消息,網絡實體將媒體流保護密鑰添加到所述響應消息中��,并發(fā)送給主叫UE����。
2�����、 根據(jù)權利要求1所述的方法���,其特征在于,所述步驟a具體為 al��、主叫網絡實體收到主叫UE發(fā)送的臨時響應確認PRACK請求消息或者更新UPDATE請求消息后��,到主叫密鑰管理功能實體KMF獲取本側生成的密 鑰���,并將所述密鑰通過PRACK或者UPDATE請求消息發(fā)送給被叫網絡實體����;a2��、被叫網絡實體收到PRACK或者UPDATE請求消息后�����,到被叫密鑰管 理功能實體KMF獲取本側生成的密鑰�,再4艮據(jù)本側生成的密鑰和主叫側生成 的密鑰確定媒體流保護密鑰���,并將媒體流保護密鑰通過PRACK或者UPDATE 請求消息發(fā)送給被叫UE。
3����、 根據(jù)權利要求2所述的方法,其特征在于���,所述主叫網絡實體為主叫呼 叫會話控制功能實體S-CSCF或主叫應用服務器AS����,所述被叫網絡實體為被叫 S-CSCF或被叫AS;所述主叫S-CSCF或主叫AS到主叫KMF獲取本側生成的密鑰的方法為 主叫S-CSCF或主叫AS向主叫KMF發(fā)送密鑰請求消息���,主叫KMF將生成的 密鑰通過密鑰響應消息返回給主叫S-CSCF或主叫AS;所述被叫S-CSCF或被叫AS到被叫KMF獲取本側生成的密鑰的方法為 被叫S-CSCF或被叫AS向被叫KMF發(fā)送密鑰請求消息�,被叫KMF將生成的 密鑰通過密鑰響應消息返回給被叫S-CSCF或被叫AS��。
4��、 根據(jù)權利要求2所述的方法���,其特征在于,所述被叫網絡實體為被叫 S-CSCF或被叫AS,則步驟a2所述被叫S-CSCF或被叫AS確定媒體流保護密 鑰的方法為被叫S-CSCF或被叫AS直接將主叫側生成的密鑰和本側生成的密鑰作為媒體流保護密鑰���;步驟a2所述被叫UE接收到所述會話請求消息后�,該方法進一步包括被 叫UE根據(jù)所述會話請求消息中的主叫側生成的密鑰和本側生成的密鑰衍生出 新的密鑰,并將衍生出的密鑰作為々某體流保護密鑰��。
5��、 根據(jù)權利要求2所述的方法��,其特征在于���,所述被叫網絡實體為被叫 S-CSCF或被叫AS���,則步驟a2所述被叫S-CSCF或被叫AS確定媒體流保護密 鑰的方法為被叫S-CSCF或被叫AS根據(jù)主叫側生成的密鑰和本側生成的密鑰衍生出新 的密鑰,并將衍生出的密鑰作為媒體流保護密鑰�。
6、 根據(jù)權利要求1所述的方法�,其特征在于,所述步驟b具體為bl�����、被叫網絡實體收到被叫UE返回的200響應消息后�����,將本側事先生成 的密鑰攜帶于所述200響應消息中,并發(fā)送給主叫網絡實體���;b2�、主叫網絡實體收到所述200響應消息后����,根據(jù)本側事先生成的密鑰和 被叫側生成的密鑰確定媒體流保護密鑰,并將媒體流保護密鑰添加到所述200 響應消息中發(fā)送給主叫UE ��。
7����、 根據(jù)權利要求6所述的方法,其特征在于����,步驟b2所述主叫網絡實體 為主叫S-CSCF或主叫AS,所述主叫S-CSCF或主叫AS確定:^某體流保護密鑰 的方法為主叫S-CSCF或主叫AS直接將本側生成的密鑰和被叫側生成的密 鑰作為媒體流保護密鑰�;步驟b2所述主叫UE接收到會話響應后,該方法進一步包括主叫UE根 據(jù)會話響應消息中本側生成的密鑰和被叫側生成的密鑰衍生出新的密鑰��,并將 衍生出的密鑰作為媒體流保護密鑰���。
8�、 根據(jù)權利要求6所述的方法�����,其特征在于�����,所述主叫網絡實體為主叫 S-CSCF或主叫AS,所述主叫S-CSCF或主叫AS確定媒體流保護密鑰的方法 為主叫S"CSCF或主叫AS根據(jù)本側生成的密鑰和被叫側生成的密鑰衍生出新 的密鑰�,并將衍生出的密鑰作為媒體流保護密鑰。
9�����、 根據(jù)權利要求1所述的方法��,其特征在于�����,步驟a所述主叫UE發(fā)送所 述會話請求消息之前�����,該方法進一步包括主叫l(wèi)正將攜帶有自身提供的媒體流安全能力信息的會話建立請求消息通 過網絡實體發(fā)送給被叫UE,所述會話建立請求消息為邀請INVITE請求消息; 被叫UE根據(jù)主叫UE提供的媒體流安全能力信息確定自身需提供的媒體流安 全能力信息�����,并將提供的媒體流安全能力信息攜帶于會話建立響應響應消息中�����, 通過網絡實體返回給主叫UE����,所述會話建立響應消息為183響應消息。
10���、 根據(jù)權利要求9所述的方法����,其特征在于����,所述網絡實體包括主叫網 絡實體和被叫網絡實體,當主叫網絡實體接收到所述INVITE請求消息時��,該 方法進一步包括主叫網絡實體判斷出主叫UE已經簽約媒體流安全業(yè)務�,將 主叫UE已經簽約媒體流安全業(yè)務的標識添加到所述INVITE請求消息中���,再 發(fā)送給被叫網絡實體;當被叫網絡實體接收所述INVITE請求消息時����,該方法進一步包括被叫 網絡實體;f企查出所述請求消息中有主叫UE已經簽約i某體流安全業(yè)務的標識��, 再判斷出被叫UE也已經簽約媒體流安全業(yè)務�,再繼續(xù)執(zhí)行;當被叫網絡實體接收到所述183響應消息時���,該方法進一步包括被叫網 絡實體將被叫UE已經簽約媒體流安全業(yè)務的標識添加到所述183響應消息中�����, 再將所述183響應消息發(fā)送給主叫網絡實體����;當主叫網絡實體接收到所述183響應消息時�����,該方法進一步包括主叫網 絡實體檢查出消息中有被叫UE已經簽約媒體流安全業(yè)務的標識����,再繼續(xù)執(zhí)行�。
11�、 根據(jù)權利要求9所述的方法,其特征在于�����,所述媒體流安全能力信息包 括媒體流安全算法�����,或者還包括需保護的i某體類型��、安全傳輸協(xié)議類型和安全 前提中 一種或幾種任意的組合�。
12、 根據(jù)權利要求9所述的方法�,其特征在于,所述媒體流安全能力信息攜 帶于會話描述協(xié)議SDP或者會話發(fā)起協(xié)議SIP中�����。
13���、 一種獲取媒體流保護密鑰的系統(tǒng)�����,其特征在于��,該系統(tǒng)包括 主叫終端設備UE,用于向網絡實體發(fā)送會話請求消息�����,并接收攜帶有媒體流保護密鑰的會話響應消息���;網絡實體,用于接收從主叫UE發(fā)來的會話請求消息�,將媒體流保護密鑰 添加到會話請求消息中,并發(fā)送給被叫UE;還用于接收被叫UE發(fā)送的會話響 應消息����,將將媒體流保護密鑰添加到會話響應消息中,并發(fā)送給主叫UE;被叫UE���,用于接收從網絡實體發(fā)來的會話請求消息���,并返回會話響應消息。
14�����、根據(jù)權利要求13所述的系統(tǒng),其特征在于��,所述系統(tǒng)還包括KMF����,所述KMF包括主叫KMF和被叫KMF,其中,主叫KMF�,用于生成密鑰并發(fā)送給主叫網絡實體;被叫KMF,用于生成密鑰并發(fā)送給被叫網絡實體����。所述網絡實體包括主叫網絡實體和被叫網絡實體,其中�,所述主叫網絡實體為主叫S-CSCF或主叫AS,用于接收主叫UE發(fā)送的會 話請求消息,從主叫KMF中獲取密鑰����,并發(fā)送給被叫網絡實體;還用于接收 被叫UE發(fā)送的會話響應消息�����,確定媒體流保護密鑰并通過響應消息發(fā)送給主 叫UE;所述被叫網絡實體為被叫S-CSCF或被叫AS�����,用于接收來自主叫網絡實體 的會話請求消息,從被叫KMF中獲取密鑰����,確定媒體流保護密鑰并通過會話 請求消息發(fā)送給被叫UE;還用于接收被叫UE返回的會話響應消息,將本側生 成的密鑰攜帶于會話響應消息中發(fā)送給主叫網絡實體�。
15、 根據(jù)權利要求14所述的系統(tǒng)��,其特征在于����,所述網絡實體和KMF之 間使用Diameter協(xié)議或者SIP協(xié)議進行通訊���。
16�、 根據(jù)權利要求14所述的系統(tǒng)�,其特征在于,所述主叫KMF為主叫 S-CSCF或主叫AS中的功能模塊����,所述被叫KMF為被叫S-CSCF或被叫AS 中的功能模塊。
17����、 一種獲取J某體流保護密鑰的方法����,其特征在于���,該方法包括以下步驟A����、 網絡實體接收會話消息后����,從密鑰管理功能實體KMF中獲取密鑰;B�����、 網絡實體將獲取的密鑰分別發(fā)送給終端設備UE和媒體處理功能實體 MP����。
18、 根據(jù)權利要求17所述的方法���,其特征在于�,所述網絡實體為主叫服務 呼叫會話控制功能實體S-CSCF/被叫S-CSCF,所述UE為主叫UE/被叫UE, 所述MP為主叫MP/被叫MP����,所述KMF為主叫KMFA皮叫KMF。
19����、 根據(jù)權利要求18所述的方法,其特征在于����,所述被叫S-CSCF接收到 的會話消息為PRACK消息或者UPDATE消息,所述被叫S-CSCF將獲取的密 鑰發(fā)送給被叫UE的方法為被叫S-CSCF將所述密鑰攜帶于PRACK消息或者UPDATE消息中發(fā)送給 被叫P-CSCF��,被叫P-CSCF將攜帶有所述密鑰的PRACK消息或者UPDATE 消息發(fā)送給被叫UE��。
20��、 根據(jù)權利要求18所述的方法��,其特征在于�,所述被叫S-CSCF接收到 的會話消息為PRACK消息或者UPDATE消息���,所述被叫S-CSCF將獲取的密 鑰發(fā)送給被叫MP的方法為被叫S-CSCF將所述密鑰攜帶于PRACK消息或者UPDATE消息中發(fā)送給 被叫P-CSCF���,被叫P-CSCF再將所述密鑰下發(fā)給被叫MP�����。
21����、 根據(jù)權利要求18所述的方法���,其特征在于����,所述主叫S-CSCF接收到 的會話消息為200消息��,所述主叫S-CSCF將獲取的密鑰發(fā)送給主叫UE的方 法為所述主叫S-CSCF將所述密鑰攜帶于200消息中發(fā)送給主叫P-CSCF,主叫 P-CSCF將攜帶有所述密鑰的200消息發(fā)送給主叫UE�����。
22�、 根據(jù)權利要求18所述的方法,其特征在于�,所述主叫S-CSCF接收到 的會話消息為200消息,所述主叫S-CSCF將獲取的密鑰發(fā)送給主叫MP的方 法為所述主叫S-CSCF將所述密鑰攜帶于200消息中發(fā)送給主叫P-CSCF,主叫 P-CSCF將所述密鑰下發(fā)送給主叫MP。
23����、 根據(jù)權利要求18所述的方法,其特征在于����,所述主叫S-CSCF接收到 的會話消息為PRACK消息或UPDATE消息,所述主叫S-CSCF將獲取的密鑰 發(fā)送給主叫MP的方法為主叫S-CSCF將所述密鑰攜帶于PRACK消息或UPDATE消息中發(fā)送給主 叫AS�����,再由主叫AS將所述密鑰下發(fā)給主叫MP�����。
24����、根據(jù)權利要求18所述的方法,其特征在于���,所述被叫S-CSCF接收到 的會話消息為PRACK消息或UPDATE消息,所述被叫S-CSCF將所述密鑰發(fā) 送給被叫MP的方法為被叫S-CSCF將所述密鑰攜帶于200消息中發(fā)送給被叫AS,再由被叫AS 將所迷密鑰下發(fā)給被叫MP��。
25.根據(jù)權利要求17所述的方法,其特征在于����,所述網絡實體為主叫AS/ 被叫AS,所述UE為主叫UE/4皮叫UE��,所述MP為主叫MPA故叫MP�����,所述 KMF為主叫KMF/被叫KMF���。
26����、 根據(jù)權利要求25所述的方法���,其特征在于�,所述主叫AS接收到的會 話消息為200消息�,所述主叫AS將獲取的密鑰發(fā)送給主叫l(wèi)正的方法為所述主叫AS將所述密鑰攜帶于200消息中通過主叫S-CSCF發(fā)送給主叫 P-CSCF,主叫P-CSCF將攜帶有所述密鑰的200消息發(fā)送給主叫UE���。
27���、 根據(jù)權利要求25所述的方法���,其特征在于,所述主叫AS接收到的會 話消息為200消息�,所述主叫AS將獲取的密鑰發(fā)送給主叫MP的方法為所述主叫AS將所述密鑰攜帶于200消息中通過主叫S-CSCF發(fā)送給主叫 P-CSCF,主叫P-CSCF將所述密鑰下發(fā)送給主叫MP。
28��、 根據(jù)權利要求25所述的方法����,其特征在于,所述被叫AS接收到的會 話消息為PRACK消息或者UPDATE消息��,所述^皮叫AS將獲取的密鑰發(fā)送給 被叫UE的方法為被叫AS將所述密鑰攜帶于PRACK消息或者UPDATE消息中�,通過被叫 S-CSCF發(fā)送給被叫P-CSCF,被叫P-CSCF將攜帶有所述密鑰的PRACK消息 或者UPDATE消息發(fā)送給被叫UE����。
29、 根據(jù)權利要求25所述的方法��,其特征在于��,所述被叫AS接收到的會 話消息為PRACK消息或者UPDATE消息����,所述被叫AS將獲取的密鑰發(fā)送給 -陂叫MP的方法為被叫AS將所述密鑰攜帶于PRACK消息或者UPDATE消息中,通過被叫 S-CSCF發(fā)送給被叫P-CSCF���,被叫P-CSCF再將所述密鑰下發(fā)給被叫MP���。
30、 根據(jù)權利要求25所述的方法��,其特征在于����,所述主叫AS接收到的會 話消息為200消息,所述主叫AS將獲取的密鑰發(fā)送主叫MP的方法為主叫 AS將獲取的密鑰直接發(fā)送給主叫MP;所述主叫AS將獲取的密鑰發(fā)送主叫UE的方法為主叫AS將所述密鑰攜 帶于200消息中�����,通過被叫S-CSCF和被叫P-CSCF發(fā)送給主叫UE���。
31��、 4艮據(jù)權利要求25所述的方法��,其特征在于����,所述被叫AS接收到的會 話消息為PRACK消息,所述被叫AS將獲取的密鑰發(fā)送被叫MP的方法為被 叫AS將獲取的密鑰直接發(fā)送給被叫MP;所述被叫AS將獲取的密鑰發(fā)送被叫UE的方法為被叫AS將所述密鑰攜 帶于PRACK消息中��,通過被叫S-CSCF和被叫P-CSCF發(fā)送給被叫UE���。
32��、 根據(jù)權利要求17所述的方法��,其特征在于�,所述UE為主叫UE�,所 述網絡實體為主叫網絡實體,所述MP為主叫MP;所述步驟A之前該方法進 一步包括主叫UE向主叫網絡實體發(fā)送INVITE會話建立請求消息�,所述INVITE請 求消息攜帶有主叫UE提供的媒體流安全能力信息,主叫網絡實體再向主叫UE 返回攜帶有本側提供的主叫MP支持的媒體流安全能力信息的183響應消息����。
33、 根椐權利要求17所述的方法��,其特征在于����,所述UE為被叫UE��,所 述網絡實體為被叫網絡實體����,所述MP為被叫MP;所述步驟A之前該方法進 一步包括當被叫網絡實體接收到INVITE會話建立請求消息后�,將攜帶有本側提供 的被叫MP支持的媒體流安全能力信息的INVITE會話建立請求消息發(fā)送給被 叫UE�����,被叫UE再向被叫網絡實體返回攜帶有自身提供的媒體流安全能力信息 的183會話響應消息�����。
34�����、 一種獲取媒體流保護密鑰的系統(tǒng)���,其特征在于�����,該系統(tǒng)包括 終端設備UE����,用于接收網絡實體發(fā)送的密鑰; 媒體處理功能MP�,用于接收網絡實體發(fā)送的密鑰;網絡實體�����,用于接收會話消息���,并從密鑰管理功能KMF中獲取密鑰��,并發(fā) 送給UE和MP;密鑰管理功能KMF��,用于生成密鑰�。
35�、 根據(jù)權利要求34所述的系統(tǒng),其特征在于���,所述網絡實體為主叫CSCF/被叫CSCF;或者�,所述網絡實體為主叫AS/ 被叫AS;所述UE為主叫UEA波叫UE; 所述MP為主叫MP/被叫MP; 所述KMF為主叫KMF/被叫KMF����。
36�����、 根據(jù)權利要求34所述的系統(tǒng)���,其特征在于,所述KMF為AS或S-CSCF 中的功能模塊����。
全文摘要
本發(fā)明提供一種獲取媒體流保護密鑰的方法和系統(tǒng)���,具體為主叫終端設備(UE)向網絡實體發(fā)送會話請求消息���,網絡實體將媒體流保護密鑰添加到所述會話請求消息中,并發(fā)送給被叫UE�;被叫UE向網絡實體返回響應消息,網絡實體將媒體流保護密鑰添加到所述響應消息中�����,并發(fā)送給主叫UE��。還可以為網絡實體接收會話消息后���,從密鑰管理功能實體(KMF)中獲取密鑰�,網絡實體將獲取的密鑰分別發(fā)送給終端設備UE和媒體處理功能實體(MP)。應用本發(fā)明方案�,可以由網絡側將生成的密鑰分配給需要進行媒體流的實體,從而達到對傳輸?shù)拿襟w流進行保護的目的�����。
文檔編號H04L9/14GK101227272SQ200710000760
公開日2008年7月23日 申請日期2007年1月19日 優(yōu)先權日2007年1月19日
發(fā)明者軍 嚴, 何承東, 張占軍 申請人:華為技術有限公司