本發(fā)明的技術(shù)領(lǐng)域是在通信網(wǎng)絡(luò)中建立安全多媒體會話。

背景技術(shù)：

安全始終是通信的最重要方面之一。安全漏洞可能會損害個人或公司財產(chǎn)，如知識產(chǎn)權(quán)、商業(yè)秘密、個人隱私、帳戶憑據(jù)等。在ims（ip多媒體子系統(tǒng)）中，通常通過利用安全媒體流來實現(xiàn)通信安全。

普遍利用srtp（安全實時傳遞協(xié)議）作為保護ue（用戶設(shè)備）和mgw（媒體網(wǎng)關(guān)）之間的rtp/rtcp（實時傳遞協(xié)議/實時傳遞控制協(xié)議）媒體流的安全的媒體傳輸協(xié)議。但是，srtp不提供密鑰管理功能性，而是反而依靠外部密鑰管理功能來交換秘密主密鑰并協(xié)商與那些密鑰一起使用的算法和參數(shù)。dtls-srtp（數(shù)據(jù)報傳輸層安全性-安全實時傳遞協(xié)議）是利用dtls整合密鑰和關(guān)聯(lián)管理提供srtp的性能和加密靈活性好處的理想組合。dtls建鑰（keying）發(fā)生在媒體路徑上，而與任何帶外信令信道無關(guān)。

對于dtls-srtp，利用ue和mgw之間的dtls握手來協(xié)商和商定對于srtp的建鑰資料、算法和參數(shù)。但是，dtls需要來自mgw和ue二者的證書指紋（fingerprint）。經(jīng)由ue和控制服務(wù)器或sbc（會話邊界控制器）之間的sdp（會話描述協(xié)議）提議/應答(offer/answer)來交換dtls證書指紋和設(shè)立屬性。通過itu-th.248協(xié)議將ue指紋和設(shè)立屬性提供給mgw。在返回方向中，通過itu-th.248協(xié)議將mgw指紋和設(shè)立屬性提供給控制服務(wù)器，然后轉(zhuǎn)發(fā)給ue。一旦成功交換證書指紋和設(shè)立屬性，便能夠發(fā)起dtls協(xié)商，以便開始基于srtp的安全媒體流。

除了在ue訪問網(wǎng)絡(luò)以便發(fā)起通信會話時要求安全性握手之外，還要求安全性握手以使得能夠在mgw和接收設(shè)立請求的ue之間設(shè)立安全連接。這種布置如圖1所示，圖1是其中ue接收通信會話設(shè)立請求的網(wǎng)絡(luò)（1）的部分的示意圖。網(wǎng)絡(luò)包括ue（2），ue（2）在信令域（8）中與控制服務(wù)器或會話邊界控制器（sbc）（3）通信，并在用戶或媒體域（7）中與媒體網(wǎng)關(guān)mgw（4）通信。將來自控制服務(wù)器的信令（9）傳送到ip媒體子系統(tǒng)（ims）核（5）。

通常，對于信令（8，9）使用會話發(fā)起協(xié)議，但是也可使用其它信令方法，例如h323?？刂品?wù)器（3）通過信令鏈路（10）控制mgw。通常，使用h248協(xié)議。遠程方（6）可與ims連接以便與ue（2）建立通信會話。

圖2是示出利用dtls-srtp握手規(guī)程建立srtp通信會話的方法的信令圖。會話設(shè)立從連接設(shè)立請求消息（11）開始，消息（11）通常是會話發(fā)起協(xié)議（sip）邀請（invite）消息，其在會話描述協(xié)議（sdp）格式中包括基于數(shù)據(jù)報傳輸層安全性-安全實時協(xié)議（dtls-srtp）握手規(guī)程的安全連接的請求。在控制服務(wù)器（3）接收設(shè)立請求，控制服務(wù)器（3）創(chuàng)建消息，通常利用h248協(xié)議來發(fā)信號通知mgw要求建立媒體會話（12）。mgw（4）接收該消息，并且mgw通常以add答復做出響應（13）。該響應包含mgw指紋?？刂品?wù)器（3）接收指紋，然后將它轉(zhuǎn)發(fā)（14）給ue（2）。ue以包含它自己的指紋（15）的消息做出響應（15）。通常，該消息采用sdp格式。通常在h248修改（modify）消息中將ue指紋傳遞給mgw（16）。mgw以答復做出響應（17）。在該階段，ue和mgw均具有彼此的指紋?，F(xiàn)在進行握手規(guī)程（19），其中提供證書并利用指紋進行證書驗證。一旦完成握手，便設(shè)立srtp會話（20）。

實際上，dtls協(xié)商要花費一定時間來完成，從而延長整體會話設(shè)立時間。在典型的ims系統(tǒng)中，dtls協(xié)商可能會花費高達幾秒鐘，從而導致非常差的用戶體驗并潛在地有損運營商的聲譽。

技術(shù)實現(xiàn)要素：

根據(jù)本發(fā)明的第一方面，提供有一種通過受到控制服務(wù)器控制的媒體網(wǎng)關(guān)（mgw）在用戶設(shè)備（ue）和另一方之間建立通信會話的方法。所述通信會話包括所述ue和所述mgw之間的安全連接，并且所述安全連接的設(shè)立包括安全性握手規(guī)程，所述方法包括，在所述控制服務(wù)器處接收通信會話設(shè)立請求之前：由所述控制服務(wù)器確定和記錄所述mgw是否支持用于提早著手所述安全性握手的規(guī)程；以及由所述ue向所述控制服務(wù)器提供所述ue支持用于提早著手所述安全性握手規(guī)程的規(guī)程的指示以及在所述安全性握手中使用的連接參數(shù)。由所述控制服務(wù)器對所述指示和連接參數(shù)進行存儲。在由所述控制服務(wù)器從另一方接收通信會話設(shè)立請求時，如果所述ue已提供了它支持所述規(guī)程的指示和它的連接參數(shù)，并且所述控制服務(wù)器已確定所述mgw支持用于提早著手所述安全性握手規(guī)程的規(guī)程，則將著手所述安全性握手規(guī)程的指令發(fā)送到媒體網(wǎng)關(guān)。所述指令包括著手提早安全性握手的指示和用于ue的連接參數(shù)。在接收到所述指令時，mgw著手與ue的安全性握手，并建立安全通信會話。

優(yōu)選地，安全性握手包括在所述ue和所述mgw之間交換認證證書，并且所述方法還包括：試探性地接受認證證書，在ue和mgw之間交換從相應認證證書導出的相應指紋，并由ue和mgw利用相應指紋驗證相應認證證書。

優(yōu)選地，所述方法還包括：如果任一安全性證書的驗證失敗，那么終止設(shè)立通信會話。

優(yōu)選地，安全性握手包括數(shù)據(jù)報傳輸層安全性（dtls）握手。

優(yōu)選地，通信會話利用安全實時協(xié)議。

優(yōu)選地，通過會話發(fā)起協(xié)議（sip）發(fā)送通信會話信令。

優(yōu)選地，ue通過sip注冊（register）消息供應所述指示和所述連接參數(shù)。

優(yōu)選地，在根（root）審計期間執(zhí)行由控制服務(wù)器確定mgw是否支持用于提早著手安全性握手的規(guī)程。

優(yōu)選地，通過h248協(xié)議消息發(fā)送著手安全性握手規(guī)程的指令和ue連接參數(shù)。

在本發(fā)明的第二方面中，提供有一種在通信網(wǎng)絡(luò)中的用戶設(shè)備ue中使用的設(shè)備，所述設(shè)備包括處理器電路和用于存儲由處理器電路可執(zhí)行的指令的存儲單元，由此所述設(shè)備可操作以在接收通信會話設(shè)立請求之前：向控制服務(wù)器提供ue支持用于提早著手安全性握手的規(guī)程的指示以及在安全性握手中使用的連接參數(shù)。所述設(shè)備還配置成：在從媒體網(wǎng)關(guān)mgw接收安全性握手的初始化時，著手安全性握手并建立安全通信會話。

在本發(fā)明的第三方面中，提供有一種在通信網(wǎng)絡(luò)中在用于媒體網(wǎng)關(guān)（mgw）的控制服務(wù)器中使用的設(shè)備，所述設(shè)備包括處理器電路和用于存儲由處理器電路可執(zhí)行的指令的存儲單元，由此所述設(shè)備可操作以從ue接收ue支持用于提早著手安全性握手的規(guī)程的指示以及在安全性握手中使用的連接參數(shù)，存儲所述指示和連接參數(shù)，確定并記錄mgw是否支持用于提早著手安全性握手的規(guī)程，并且在從另一方接收通信會話設(shè)立請求時，確定ue和mgw支持用于提早著手安全性握手的規(guī)程。所述設(shè)備還配置成：如果ue已提供它支持該規(guī)程的指示和連接參數(shù)，并且控制服務(wù)器已確定mgw支持該規(guī)程，那么向mgw發(fā)送ue的連接參數(shù)以及著手握手規(guī)程的指令。

在本發(fā)明的第四方面中，提供有一種在通信網(wǎng)絡(luò)中的媒體網(wǎng)關(guān)（mgw）中使用的設(shè)備，所述設(shè)備包括處理器電路和用于存儲由處理器電路可執(zhí)行的指令的存儲單元，由此所述設(shè)備可操作以在通信會話的初始化之前向控制服務(wù)器提供mgw支持用于提早著手安全性握手的規(guī)程的指示；以及在接收來自控制服務(wù)器的指令和用于ue的連接參數(shù)時，利用提供的連接參數(shù)著手與ue的提早握手規(guī)程。

在本發(fā)明的第五方面中，提供有一種系統(tǒng)，它包括：用戶設(shè)備（ue），包括根據(jù)本發(fā)明的第二方面的設(shè)備；控制服務(wù)器，包括根據(jù)本發(fā)明的第三方面的設(shè)備；以及媒體網(wǎng)關(guān)（mgw），包括根據(jù)本發(fā)明的第四方面的設(shè)備。

在本發(fā)明的第六方面中，提供有一種操作通信網(wǎng)絡(luò)中的用戶設(shè)備（ue）的方法，通信網(wǎng)絡(luò)包括媒體網(wǎng)關(guān)（mgw）和控制服務(wù)器。所述方法包括：在接收通信會話設(shè)立請求之前，向控制服務(wù)器提供ue支持用于提早著手安全性握手的規(guī)程的指示以及在安全性握手中使用的連接參數(shù)。所述方法還包括：在從媒體網(wǎng)關(guān)mgw接收安全性握手的初始化時，著手安全性握手并建立安全通信會話。

在本發(fā)明的第七方面中，提供有一種操作通信網(wǎng)絡(luò)中用于媒體網(wǎng)關(guān)（mgw）的控制服務(wù)器的方法，通信網(wǎng)絡(luò)包括用戶設(shè)備（ue）和mgw。所述方法包括：在控制服務(wù)器處接收建立通信會話的設(shè)立請求之前，確定mgw是否支持用于提早著手安全性握手的規(guī)程，從ue接收ue支持用于提早著手安全性握手規(guī)程的規(guī)程的指示以及在安全性握手中使用的連接參數(shù)，并存儲所述指示和所述連接參數(shù)。所述方法還包括：在從另一方接收建立通信會話的設(shè)立請求時，如果ue和mgw均支持用于提早著手安全性握手規(guī)程的規(guī)程，那么向mgw發(fā)送著手安全性握手規(guī)程的指令，該指令包括用于ue的連接參數(shù)。

在本發(fā)明的第八方面中，提供有一種操作通信網(wǎng)絡(luò)中的媒體網(wǎng)關(guān)（mgw）的方法，通信網(wǎng)絡(luò)包括用戶設(shè)備（ue）和mgw。所述方法包括：在通信會話的初始化之前，向控制服務(wù)器提供mgw支持用于提早著手安全性握手的規(guī)程的指示。所述方法還包括：在接收來自控制服務(wù)器的指令和用于ue的連接參數(shù)時，利用提供的連接參數(shù)著手與ue的提早握手規(guī)程。

在本發(fā)明的第九方面中，提供有一種包括指令的計算機程序，所述指令在至少一個處理器上被執(zhí)行時使得所述至少一個處理器實行根據(jù)本發(fā)明的第一、第六、第七或第八方面的方法。

在本發(fā)明的第十方面中，提供有一種計算機程序產(chǎn)品，它包括根據(jù)本發(fā)明的第九方面的計算機程序。

在本發(fā)明的第十一方面中，提供有一種包含根據(jù)本發(fā)明的第十方面的計算機程序產(chǎn)品的載體，其中所述載體可選地包括電信號、光信號、無線電信號、磁帶或盤、光盤或存儲棒。

附圖說明

現(xiàn)在將參考以下各圖只是舉例描述本發(fā)明的以上及其它方面：

圖1是可在其上實現(xiàn)本發(fā)明的典型網(wǎng)絡(luò)的示意圖；

圖2是利用數(shù)據(jù)報傳輸層安全性（dtls）握手設(shè)立基于安全實時協(xié)議（srtp）的會話的信令圖；

圖3是實現(xiàn)用于提早安全性握手的規(guī)程的方法的流程圖；

圖4是操作控制服務(wù)器的方法的流程圖，該方法包括用于提早安全性握手的規(guī)程；

圖5是操作媒體網(wǎng)關(guān)（mgw）的方法的流程圖，該方法包括用于提早安全性握手的規(guī)程；

圖6是操作用戶設(shè)備（ue）的方法的流程圖，該方法包括用于提早安全性握手的規(guī)程；

圖7是配置成實現(xiàn)用于提早安全性握手的規(guī)程的控制服務(wù)器的示意圖；

圖8是配置成實現(xiàn)用于提早安全性握手的規(guī)程的媒體網(wǎng)關(guān)（mgw）的示意圖；

圖9是配置成實現(xiàn)用于提早安全性握手的規(guī)程的用戶設(shè)備（ue）的示意圖；

圖10是利用提早dtls握手設(shè)立基于安全實時協(xié)議（srtp）的會話的信令圖；

圖11是用于根審計的信令圖；

圖12是用于根審計的信令圖，該根審計適于啟用用來指示mgw能夠?qū)崿F(xiàn)提早握手規(guī)程的指令；

圖13是會話發(fā)起協(xié)議（sip）注冊方法的信令圖；以及

圖14是適于提供ue能夠?qū)崿F(xiàn)提早握手規(guī)程的指示并適于供應用于ue的連接參數(shù)的會話發(fā)起協(xié)議（sip）注冊方法的信令圖。

具體實施方式

在下文中，更詳細地描述根據(jù)本發(fā)明用于在與遠程方設(shè)立通信會話時在用戶設(shè)備與媒體網(wǎng)關(guān)之間建立安全連接的系統(tǒng)、方法、節(jié)點和計算機程序。

在本申請的上下文內(nèi)，術(shù)語“用戶設(shè)備”（ue）是指例如供某個人用于他或她的個人通信的裝置。它能夠是：電話類型的裝置，例如電話或sip電話、蜂窩電話、移動站、無繩電話；或個人數(shù)字助理類型的裝置，如膝上型計算機、筆記本型計算機、配備有無線數(shù)據(jù)連接的筆記平板。ue還可與自動化系統(tǒng)（諸如具有不需要人介入的操作的監(jiān)視系統(tǒng)）相關(guān)聯(lián)。

在本申請的上下文內(nèi)，術(shù)語“控制服務(wù)器”是指主要執(zhí)行用于通信網(wǎng)絡(luò)的訂戶的會話或呼叫以及服務(wù)的控制規(guī)程的服務(wù)器。該術(shù)語通常是指處理與通信網(wǎng)絡(luò)中的用戶業(yè)務(wù)相關(guān)聯(lián)的控制平面、訂戶數(shù)據(jù)、服務(wù)或信令業(yè)務(wù)的通信網(wǎng)絡(luò)的那些實體。在核心網(wǎng)絡(luò)中，控制節(jié)點可以是msc（移動交換中心）、mme（移動管理實體）、sgsn（服務(wù)網(wǎng)關(guān)支持節(jié)點）、控制服務(wù)器（會話邊界控制器）、p-cscf（代理呼叫會話控制功能）、s-cscf（服務(wù)cscf）或tas（電話學應用服務(wù)器）節(jié)點。這些控制節(jié)點實體中的若干個實體可共置在單個物理節(jié)點中，例如將ims核邊界控制與ims的代理會話控制功能組合的sbc/p-cscf組合。

在本申請的上下文內(nèi)，術(shù)語“安全性證書”可具體指可將公共密鑰與身份進行捆綁的電子文檔。在本文中，身份可以是例如諸如人、組織或網(wǎng)絡(luò)節(jié)點或用戶設(shè)備的名稱的信息。例如，能夠利用安全性證書來核實公共密鑰屬于網(wǎng)絡(luò)節(jié)點。安全性證書由通常位于通信網(wǎng)絡(luò)的網(wǎng)絡(luò)管理系統(tǒng)（nms）中的可信證書認證機構(gòu)（ca）發(fā)行。形成數(shù)字證書的電子文檔可例如包括諸如下列的信息：

-唯一地標識數(shù)字證書的序號；

-對應于標識的實體的對象；

-用于創(chuàng)建簽名的簽名算法；

-簽名，它是用于核實數(shù)字證書來自發(fā)行者的實際信息；

-證書的發(fā)行者，它對應于核實信息并發(fā)行數(shù)字證書的實體；

-自數(shù)字證書第一次有效的日期，其中后者日期又稱為“生效日期”；和/或

-數(shù)字證書的截止日期，它又能夠稱為“終止日期”。

網(wǎng)絡(luò)元件或ue通常具有一個數(shù)字證書。關(guān)于安全性證書的進一步信息還能夠在用于公共密鑰基礎(chǔ)設(shè)施和特權(quán)管理基礎(chǔ)設(shè)施的itu-tx.509標準中被發(fā)現(xiàn)。

在本申請的上下文內(nèi)，術(shù)語“指紋”可具體指用于認證或查找更長公共密鑰的短字節(jié)序列。通過對公共密鑰或安全性證書應用密碼術(shù)散列函數(shù)來創(chuàng)建指紋。由于指紋比它們指代的密鑰短，所以它們能夠用于簡化某些密鑰管理任務(wù)。而指紋又可被稱為術(shù)語“拇指指紋”。通常通過以下步驟創(chuàng)建安全性證書指紋：

●將安全性證書（以及可選的一些額外數(shù)據(jù)）編碼成字節(jié)序列。為了確保能夠稍后重建相同指紋，編碼必須是確定性的，并且必須在安全性證書旁邊交換和存儲任何額外數(shù)據(jù)。額外數(shù)據(jù)通常是使用安全性證書的任何人應當知道的信息。額外數(shù)據(jù)的示例包括：密鑰應當被與之一起使用的協(xié)議版本；以及密鑰持有者的名稱（在x.509信任錨指紋的情況下，其中額外數(shù)據(jù)由x.509自簽名證書組成）；

●利用諸如md5或sha-1的密碼術(shù)散列函數(shù)將在之前步驟中產(chǎn)生的數(shù)據(jù)弄亂；

●如果被期望，能夠?qū)⑸⒘泻瘮?shù)輸出截短以提供更短、更便利的指紋。

該過程產(chǎn)生能夠用于認證大得多的安全性證書的短指紋。當被顯示以便進行人工檢查時，通常將指紋編碼為十六進制字符串。然后，為了可讀性而將這些字符串格式化為字符組。

術(shù)語用于srtp的“數(shù)據(jù)報傳輸層安全性”（dtls）是指用來建立用于安全rtp（srtp）和安全rtp控制協(xié)議（srtcp）流的密鑰的dtls擴展。dtls建鑰發(fā)生在媒體路徑上，而與任何帶外信令信道無關(guān)（見ietfrfc5764）。dtls（見ietfrfc4347）是提供整合密鑰管理、參數(shù)協(xié)商和安全數(shù)據(jù)傳遞的信道安全協(xié)議。由于dtls數(shù)據(jù)傳遞協(xié)議是通用的，所以對于與rtp一起使用不如srtp那么高度優(yōu)化，為了該目的已對它進行特別調(diào)諧。dtls-srtp是將srtp的性能和加密靈活性好處與dtls整合密鑰和關(guān)聯(lián)管理的靈活性和便利性進行組合的dtls的srtp擴展。能夠以兩個等效方式來看dtls-srtp：作為srtp的新密鑰管理方法；以及作為dtls的新rtp-特定數(shù)據(jù)格式。在本申請的上下文內(nèi)，作為示例，將dtls-srtp用于這樣的場景，這些場景對證書指紋和設(shè)立屬性交換來使用sdp，并且其中先利用該信息經(jīng)由如dtls握手的專用規(guī)程與媒體路徑處理節(jié)點協(xié)商加密密鑰，然后能夠使用媒體連接。dtls-srtp的關(guān)鍵點在于：

●利用srtp保護應用數(shù)據(jù)；

●利用dtls握手來建立用于srtp的建鑰資料、算法和參數(shù)；

●利用dtls擴展來協(xié)商srtp算法；以及

●利用普通dtls記錄格式保護其它dtls記錄層內(nèi)容類型。

dtls協(xié)商通常要花費一定時間來完成，這延長整體呼叫設(shè)立前置期。在典型的ims系統(tǒng)上，dtls協(xié)商能夠花費數(shù)秒，由此引入非常差的用戶體驗。

理想地，當從控制服務(wù)器接收到dtls-srtp請求時，mgw應立即開始與ue進行dtls協(xié)商。但是，在現(xiàn)有技術(shù)解決方案中，在控制服務(wù)器從ue接收sdp應答并將sdp轉(zhuǎn)發(fā)給mgw之前，這是不可能的。

為了克服現(xiàn)有技術(shù)解決方案存在的問題，一旦接收到請求，便立即發(fā)送在ue和mgw之間發(fā)起握手規(guī)程的指令，并且一旦mgw接收到該指令，便立即發(fā)起該規(guī)程。為了使得這能夠發(fā)生，在對于通信會話的任何請求之前，ue向控制服務(wù)器提供它能夠支持提早握手規(guī)程的指示。在該階段，它還向控制服務(wù)器提供用于dtls握手的連接參數(shù)。這些參數(shù)包括將使用的ip地址和端口號。該步驟移除了mgw在繼續(xù)進行握手規(guī)程之前等待包含連接參數(shù)的sdp消息的需要。圖3是示出實現(xiàn)提早握手規(guī)程的這種方法的流程圖。該方法以在通信會話的任何發(fā)起之前確定網(wǎng)絡(luò)實體的能力開始。第一步驟（21）包括確定并記錄關(guān)于受到控制服務(wù)器控制的mgw是否具有支持提早握手規(guī)程的能力。第二步驟（22）包括從ue接收該裝置能夠支持提早握手規(guī)程的指示。ue還供應發(fā)起握手所需的連接參數(shù)。在第三步驟中，將指示和連接參數(shù)存儲（23）在控制服務(wù)器。通常，ue在注冊時一起供應它的能力的指示和連接參數(shù)。但是，本領(lǐng)域中技術(shù)人員將領(lǐng)會到的是，其它選項是可能的，并且可在不同時間單獨供應指示和連接參數(shù)。例如，可在注冊時供應指示，并且可在控制服務(wù)器隨后請求時供應連接參數(shù)。

一旦已完成所述第一兩個階段，控制服務(wù)器能夠?qū)νㄐ旁O(shè)立請求做出響應，并早發(fā)起握手規(guī)程。在第四步驟（24），在控制服務(wù)器從想要與ue建立安全連接的遠程方接收這種請求。在接收到通信設(shè)立請求時，控制服務(wù)器將指令（25）與對于ue的連接參數(shù)一起發(fā)送給mgw。在一實施例中，先發(fā)送該指令，然后再對另一方做出響應。一旦mgw已接收到該指令和相關(guān)聯(lián)的連接參數(shù)，便發(fā)起（26）握手規(guī)程。

圖4是根據(jù)一實施例操作控制服務(wù)器的方法的流程圖。步驟（21到25）與圖3的方法的前五個步驟相同。

圖5是根據(jù)一實施例操作mgw的方法的流程圖。在通信會話的初始化之前，mgw向控制服務(wù)器提供關(guān)于它是否支持用于提早握手的規(guī)程的指示（27）。在一實施例中，這響應于控制服務(wù)器發(fā)送確定mgw的能力的請求而被執(zhí)行。提早握手規(guī)程以mgw從控制服務(wù)器接收（28）著手提早握手的指令而著手，該指令伴隨ue連接參數(shù)。在接收到該信息時，著手安全性握手（29）。

圖6是根據(jù)一實施例操作ue的流程圖。在通信會話的初始化之前，ue向控制服務(wù)器提供（30）ue支持用于提早著手安全性握手的規(guī)程的指示以及ue的連接參數(shù)。在從mgw接收（31）到安全性握手的初始化時，ue著手安全性握手并建立通信會話（32）。

圖7是用于在控制服務(wù)器中使用以便實現(xiàn)圖4中所示的方法的設(shè)備的示意圖。該設(shè)備包括處理電路（33），其與一個或多個存儲器存儲單元（34）交互。該設(shè)備另外包括一個或多個通信模塊（35），其包括用于與到ue的信令鏈路（8）、到ims核的信令鏈路（9）和到一個或多個mgw的信令鏈路（10）一起使用的傳送器和接收器。

圖8是用于在媒體網(wǎng)關(guān)（mgw）中使用以便實現(xiàn)圖5中所示的方法的設(shè)備的示意圖。該設(shè)備包括處理電路（36），其與一個或多個存儲器存儲單元（37）交互。該設(shè)備另外包括一個或多個通信模塊（38），其包括用于與媒體域（7）以及與到控制服務(wù)器的鏈路（10）一起使用的傳送器和接收器。

圖9是用于在ue中使用以便實現(xiàn)圖6中所示的方法的設(shè)備的示意圖。該設(shè)備包括處理電路（39），其與一個或多個存儲器存儲單元（40）交互。該設(shè)備另外包括一個或多個通信模塊（41），其包括用于經(jīng)由媒體域（7）和信令域（8）與網(wǎng)絡(luò)通信的傳送器和接收器。

圖10是根據(jù)一實施例利用提早dtls握手設(shè)立基于安全實時協(xié)議（srtp）的會話的信令圖。該信令以經(jīng)由ims核（5）的來自遠程用戶的sip邀請消息（11）開始。控制服務(wù)器（43）確定ue（42）和mgw（44）是否均能夠?qū)崿F(xiàn)提早握手規(guī)程，并且如果它們能，那么在h248add消息內(nèi)包含ue的連接參數(shù)以及給mgw的著手提早握手規(guī)程的指令（45）。add消息指令mgw創(chuàng)建兩個新終止，一個朝向ims核，且一個朝向ue。將add消息發(fā)送（46）到mgw（44），mgw（44）接收該指令并發(fā)起dtls握手（47）。接著，將包含mgw的指紋的add答復消息（48）發(fā)送到控制服務(wù)器。然后，以sdp格式（49）將這傳遞給ue。ue接收mgw的指紋，并接著驗證（50）在dtls握手期間呈現(xiàn)的mgw的證書。如果證書驗證失敗，那么ue必須終止dtls協(xié)商和通信會話的設(shè)立。ue通過發(fā)送sdp格式的它自己的指紋（51）來對控制服務(wù)器做出響應?？刂品?wù)器利用修改消息（52）轉(zhuǎn)發(fā)該指紋。mgw接收sdp格式的ue的指紋，然后驗證（53）在dtls握手期間呈現(xiàn)的ue的證書。如同在ue的驗證階段，如果證書驗證失敗，那么mgw必須終止dtls協(xié)商和通信會話的設(shè)立。將修改答復發(fā)送（54）回到控制服務(wù)器以便確認該過程成功，由此由控制服務(wù)器發(fā)送（55）對遠程用戶的響應。在此之后，srtp會話能夠著手（20）。

為了實現(xiàn)提早握手方法，控制服務(wù)器必須知道關(guān)于它控制的所述一個或多個mgw中的每個是否支持提早握手規(guī)程。在本發(fā)明的實施例中，在將mgw連接或重新連接到控制服務(wù)器時提供該信息。在此類連接或重新連接時，控制服務(wù)器審計mgw的根性質(zhì)。圖11是根據(jù)現(xiàn)有技術(shù)的根審計的信令圖。在所示示例中，mgw指示它能夠支持dtls-strp。該信令是雙階段過程，它以控制服務(wù)器（3）向mgw（4）發(fā)送h248審計值（auditvalue）請求（56）開始，mgw（4）以指示它支持dtls-srtp的審計值響應（58）做出響應（57）。

在一實施例中，通過使用該根審計規(guī)程來確定對于mgw是否支持提早握手規(guī)程的確定。圖12中示出這些步驟，圖12是用于根審計的信令圖，該根審計適于啟用用來向控制服務(wù)器（43）指示mgw（44）能夠?qū)崿F(xiàn)提早握手規(guī)程的指令。關(guān)于圖8中所示的過程遵循相同規(guī)程，只是審計值答復包括mgw具有支持提早握手規(guī)程的能力的指示（59）。

除了知道m(xù)gw的能力之外，控制服務(wù)器還必須既知道ue的能力還知道它的連接參數(shù)。在一實施例中，在注冊時由ue將能力和連接參數(shù)發(fā)送給控制服務(wù)器。這通常利用sip注冊方法來執(zhí)行。圖13是根據(jù)現(xiàn)有技術(shù)的sip注冊方法的信令圖，其中ue（2）指示它能夠支持dtls-srtp。該規(guī)程以ue（2）在注冊消息的sip報頭中指示它能夠支持dtls-srtp（60）開始。然后，將注冊消息傳送（61）給控制服務(wù)器（3）。控制服務(wù)器將該注冊消息轉(zhuǎn)發(fā)給ims核（62）。as是sip中的ue注冊中的標準，將未授權(quán)消息返回（63）給控制服務(wù)器，然后控制服務(wù)器將該消息（64）轉(zhuǎn)發(fā)給ue（2）。現(xiàn)在創(chuàng)建第二注冊消息（65），再次具有dtls-srtp支持標志設(shè)置。將該消息傳送（66）給控制服務(wù)器，并且因此傳送（67）給ims核（5）。將ok消息返回（68）給控制服務(wù)器，然后將這發(fā)送（69）給ue（2），從而完成ue注冊過程。

圖14是示出注冊過程的信令圖，只是ue（42）現(xiàn)在指示它支持提早安全性握手規(guī)程。根據(jù)一實施例，以與dtls-srtp支持在其中被指示的方式類似的方式來在sip注冊消息（71）的報頭（70）中對此做出指示。這使得能夠?qū)⑾⒈恢С值闹甘竞瓦B接參數(shù)傳送給控制服務(wù)器（43）。在此之后，注冊過程按慣例繼續(xù)進行。本領(lǐng)域中技術(shù)人員將領(lǐng)會到的是，傳遞指示和連接參數(shù)的其它方法是可能的，并且本發(fā)明不限于在連接設(shè)立請求之前發(fā)送指示和參數(shù)的任何一種方式。

如上文所描述的一個或多個實施例可能夠?qū)崿F(xiàn)以下技術(shù)效果中的至少一個：

●在很早的時候在與遠程方進行媒體協(xié)商之前或與其并行地來執(zhí)行ue和mgw之間的安全相關(guān)參數(shù)的協(xié)商；

●一從遠程方接收到響應，就能夠建立安全媒體連接，并通過這個縮短會話設(shè)立時間。

得益于在前面的描述和相關(guān)聯(lián)圖中呈現(xiàn)的教導的本領(lǐng)域中技術(shù)人員將聯(lián)想到所公開發(fā)明的修改和其它實施例。因此，將了解，實施例不限于公開的特定實施例，并且修改和其它實施例旨在包含在此公開的范圍內(nèi)。盡管本文中可采用特定術(shù)語，但它們只是以一般和描述性含義被使用，而不是為了限制的目的。