基于ims系統(tǒng)的會(huì)話密鑰協(xié)商方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種基于IMS系統(tǒng)的會(huì)話密鑰協(xié)商方法�,屬于信息安全技術(shù)領(lǐng)域�����。
【背景技術(shù)】
[0002]隨著通信和網(wǎng)絡(luò)技術(shù)的發(fā)展�����,IP多媒體系統(tǒng)Ms(IP Multimedia Subsystem)因其能夠滿足不同終端用戶新穎��、多樣化的多媒體業(yè)務(wù)需求而得到了廣泛的應(yīng)用和發(fā)展�。圖1是MS系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D,如圖所示����,IMS系統(tǒng)包括多媒體服務(wù)器、CSCF(CalI Sess1nControl Funct1n:呼叫會(huì)話控制功能)服務(wù)器及若干IMS終端���,其中���,多媒體服務(wù)器可以是MRF(Media Resource Funct1n:媒體資源功能模塊)服務(wù)器、AS (Applicat1n Server:應(yīng)用服務(wù)器)服務(wù)器�、HSS(Home Subscriber Server:歸屬用戶服務(wù)器)服務(wù)器中的一種,主叫方發(fā)出的SIP消息經(jīng)其所屬的CSCF服務(wù)器�����、多媒體服務(wù)器��、被叫方所屬的CSCF服務(wù)器傳輸至被叫方。
[0003]MS系統(tǒng)采用SIP協(xié)議進(jìn)行端對(duì)端的呼叫控制����,利用SIP協(xié)議可以很方便地協(xié)商會(huì)話密鑰等媒體參數(shù),但是由于SIP消息在IMS系統(tǒng)中傳輸時(shí)均為明文文本信息�,因而協(xié)商的會(huì)話密鑰很容易被竊聽到而造成信息的泄漏。采用安全傳輸層協(xié)議TLS在一定程度上可以保證SIP消息的安全傳輸�����,但是TLS對(duì)終端的要求較高����,實(shí)現(xiàn)和普及上存在一定的困難。
【發(fā)明內(nèi)容】
[0004]鑒于上述原因��,本發(fā)明的目的在于提供一種基于MS系統(tǒng)的會(huì)話密鑰協(xié)商方法���,利用各終端配置的對(duì)稱加密算法對(duì)會(huì)話密鑰進(jìn)行加密��,以在IMS系統(tǒng)中傳輸�����,可有效提高會(huì)話密鑰傳輸?shù)陌踩?進(jìn)而提高媒體流傳輸?shù)陌踩?且對(duì)終端沒有過高的要求�。
[0005]為實(shí)現(xiàn)上述目的,本發(fā)明采用以下技術(shù)方案:
[0006]基于IMS系統(tǒng)的會(huì)話密鑰協(xié)商方法,IMS系統(tǒng)包括多媒體服務(wù)器,CSCF服務(wù)器及若干終端�����,該方法為:
[0007]各終端在多媒體服務(wù)器中配置好各自的對(duì)稱加密算法及對(duì)應(yīng)的密鑰�;主叫方生成會(huì)話密鑰�����,并利用其配置的第一對(duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)該會(huì)話密鑰進(jìn)行加密生成第一密文會(huì)話密鑰�����,該第一密文會(huì)話密鑰以SIP消息經(jīng)主叫方所屬CSCF服務(wù)器傳輸給多媒體服務(wù)器�����;多媒體服務(wù)器接收到攜帶該第一密文會(huì)話密鑰的SIP消息�����,利用該主叫方配置的第一對(duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)該第一密文會(huì)話密鑰進(jìn)行解密而生成該會(huì)話密鑰��,多媒體服務(wù)器利用被叫方配置的第二對(duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)該會(huì)話密鑰進(jìn)行加密生成第二密文會(huì)話密鑰,該第二密文會(huì)話密鑰以SIP消息經(jīng)被叫方所屬CSCF服務(wù)器傳輸給被叫方�,該被叫方接收到攜帶該第二密文會(huì)話密鑰的SIP消息,利用其配置的第二對(duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)該第二密文會(huì)話密鑰進(jìn)行解密而得到該會(huì)話密鑰�����。
[0008]進(jìn)一步的����,
[0009]主叫方利用所述第一對(duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)所述會(huì)話密鑰進(jìn)行加密而生成的所述第一密文會(huì)話密鑰,經(jīng)base64算法進(jìn)行轉(zhuǎn)換而生成第三密文會(huì)話密鑰�;該第三密文會(huì)話密鑰以SIP消息經(jīng)主叫方所屬CSCF服務(wù)器傳輸給多媒體服務(wù)器,多媒體服務(wù)器接收到該攜帶第三密文會(huì)話密鑰的SIP消息����,先將該第三密文會(huì)話密鑰進(jìn)行反base64算法轉(zhuǎn)換而生成所述第一密文會(huì)話密鑰,然后利用所述第一對(duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)所述第一密文會(huì)話密鑰進(jìn)行解密生成所述會(huì)話密鑰����,所述會(huì)話密鑰經(jīng)所述第二對(duì)稱加密算法及對(duì)應(yīng)的密鑰進(jìn)行加密后生成所述第二密文會(huì)話密鑰,所述第二密文會(huì)話密鑰經(jīng)base64算法轉(zhuǎn)換為第四密文會(huì)話密鑰��,該第四密文會(huì)話密鑰以SIP消息經(jīng)被叫方所屬CSCF服務(wù)器傳輸給被叫方�����,被叫方接收到該攜帶第四密文會(huì)話密鑰的SIP消息后,先對(duì)第四密文會(huì)話密鑰進(jìn)行反base64算法轉(zhuǎn)換生成所述第二密文會(huì)話密鑰����,然后利用所述第二對(duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)所述第二密文會(huì)話密鑰進(jìn)行解密而得到所述會(huì)話密鑰。
[0010]所述終端支持一種或幾種對(duì)稱加密算法��,相應(yīng)的����,所述多媒體服務(wù)器中配置也配置有對(duì)應(yīng)所述終端的一種或幾種對(duì)稱加密算法及相應(yīng)的密鑰�。
[0011]主叫方利用隨機(jī)函數(shù)生成隨機(jī)數(shù),作為所述會(huì)話密鑰���。
[0012]所述對(duì)稱加密算法為DES�、AES��、3DES加密算法��。
[0013]本發(fā)明的優(yōu)點(diǎn)在于:
[0014]1�����、可提高會(huì)話密鑰的傳輸安全性���,進(jìn)而提高了媒體流的傳輸安全性����;
[0015]2、對(duì)稱加密算法運(yùn)算速度快但是安全性較低����,但由于每次會(huì)話的會(huì)話密鑰均是隨機(jī)生成的,因而即使本次會(huì)話密鑰被破解也不影響下次會(huì)話的安全性�;
[0016]3、本發(fā)明對(duì)SIP協(xié)議進(jìn)行了擴(kuò)展���,如果SIP消息在傳輸過程中任一節(jié)點(diǎn)上不支持該協(xié)議擴(kuò)展可以拒絕請(qǐng)求或進(jìn)行提示性響應(yīng)����,不必強(qiáng)制升級(jí)而影響系統(tǒng)原有功能的兼容性�����;
[0017]4�、終端對(duì)媒體流進(jìn)行加密和解密,降低了對(duì)IMS核心網(wǎng)絡(luò)的性能要求����,實(shí)現(xiàn)了負(fù)載均衡��。
[0018]5����、多媒體服務(wù)器可以單獨(dú)實(shí)現(xiàn)也可以通過對(duì)HSS服務(wù)器的功能進(jìn)行擴(kuò)展來(lái)實(shí)現(xiàn)���,系統(tǒng)升級(jí)較為方便�。
【附圖說明】
[0019]圖1是MS系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D���。
[0020]圖2是本發(fā)明的方法流程圖。
[0021]圖3是本發(fā)明中終端協(xié)商會(huì)話密鑰的時(shí)序圖�。
【具體實(shí)施方式】
[0022]以下結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)的描述。
[0023]圖2是本發(fā)明的方法流程圖��,如圖所示���,本發(fā)明公開的基于IMS系統(tǒng)的會(huì)話密鑰協(xié)商方法是:各終端在多媒體服務(wù)器中配置好各自的對(duì)稱加密算法及對(duì)應(yīng)的密鑰�����;主叫方生成會(huì)話密鑰��,并利用其配置的第一對(duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)會(huì)話密鑰進(jìn)行加密生成第一密文會(huì)話密鑰���,該第一密文會(huì)話密鑰以SIP消息經(jīng)主叫方所屬CSCF服務(wù)器傳輸給多媒體服務(wù)器����;多媒體服務(wù)器接收到攜帶該第一密文會(huì)話密鑰的SIP消息����,利用主叫方配置的第一對(duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)該第一密文會(huì)話密鑰進(jìn)行解密而生成會(huì)話密鑰(明文),多媒體服務(wù)器利用被叫方配置的第二對(duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)該會(huì)話密鑰進(jìn)行加密生成第二密文會(huì)話密鑰�,該第二密文會(huì)話密鑰以SIP消息經(jīng)被叫方所屬CSCF服務(wù)器傳輸給被叫方,被叫方接收到攜帶該第二密文會(huì)話密鑰的SIP消息�,利用其配置的第二對(duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)第二密文會(huì)話密鑰進(jìn)行解密而得到會(huì)話密鑰。
[0024]為進(jìn)一步加強(qiáng)會(huì)話密鑰傳輸?shù)陌踩?�,主叫方利用第一?duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)會(huì)話密鑰進(jìn)行加密而生成的第一密文會(huì)話密鑰���,可進(jìn)一步經(jīng)base64算法進(jìn)行轉(zhuǎn)換而生成第三密文會(huì)話密鑰�;該第三密文會(huì)話密鑰以SIP消息經(jīng)主叫方所屬CSCF服務(wù)器傳輸給多媒體服務(wù)器����,多媒體服務(wù)器接收到該攜帶第三密文會(huì)話密鑰的SIP消息,先將第三密文會(huì)話密鑰進(jìn)行反base64算法轉(zhuǎn)換而生成第一密文會(huì)話密鑰���,然后利用第一對(duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)第一密文會(huì)話密鑰進(jìn)行解密生成會(huì)話密鑰�,該會(huì)話密鑰經(jīng)第二對(duì)稱加密算法及對(duì)應(yīng)的密鑰進(jìn)行加密后生成第二密文會(huì)話密鑰,該第二密文會(huì)話密鑰經(jīng)base64算法轉(zhuǎn)換為第四密文會(huì)話密鑰���,該第四密文會(huì)話密鑰以SIP消息經(jīng)被叫方所屬CSCF服務(wù)器傳輸給被叫方�,被叫方接收到該攜帶第四密文會(huì)話密鑰的SIP消息后�,先對(duì)第四密文會(huì)話密鑰進(jìn)行反base64算法轉(zhuǎn)換生成第二密文會(huì)話密鑰,然后利用第二對(duì)稱加密算法及對(duì)應(yīng)的密鑰對(duì)第二密文會(huì)話密鑰進(jìn)行解密而得到會(huì)話密鑰����。
[0025]圖3是本發(fā)明中終端協(xié)商會(huì)話密鑰的時(shí)序圖,各終端在多媒體服務(wù)器(Ml)中配置了各自的對(duì)稱加密算法及對(duì)應(yīng)的密鑰����,這里要說明的是,終端可以支持一種或幾種對(duì)稱加密算法���,如DES、AES�����、3DES中的一種或幾種����,相應(yīng)地��,多媒體服務(wù)器中也配置有對(duì)應(yīng)該終端的一種或幾種對(duì)稱加密算法及相應(yīng)的密鑰�。
[0026]于圖3所示的實(shí)施例中�,假設(shè)終端A可以支持DES和AES兩種加密算法,其在多媒體服務(wù)器中也配置了 DES及AES兩種加密算法����,但是在一次傳輸會(huì)話密鑰的過程