本發(fā)明的技術(shù)領(lǐng)域是在通信網(wǎng)絡(luò)中建立安全多媒體會(huì)話。
背景技術(shù):
安全始終是通信的最重要方面之一。安全漏洞可能會(huì)損害個(gè)人或公司財(cái)產(chǎn),如知識(shí)產(chǎn)權(quán)、商業(yè)秘密、個(gè)人隱私、帳戶憑據(jù)等。在ims(ip多媒體子系統(tǒng))中,通常通過(guò)利用安全媒體流來(lái)實(shí)現(xiàn)通信安全。
普遍利用srtp(安全實(shí)時(shí)傳遞協(xié)議)作為保護(hù)ue(用戶設(shè)備)和mgw(媒體網(wǎng)關(guān))之間的rtp/rtcp(實(shí)時(shí)傳遞協(xié)議/實(shí)時(shí)傳遞控制協(xié)議)媒體流的安全的媒體傳輸協(xié)議。但是,srtp不提供密鑰管理功能性,而是反而依靠外部密鑰管理功能來(lái)交換秘密主密鑰并協(xié)商與那些密鑰一起使用的算法和參數(shù)。dtls-srtp(數(shù)據(jù)報(bào)傳輸層安全性-安全實(shí)時(shí)傳遞協(xié)議)是利用dtls整合密鑰和關(guān)聯(lián)管理提供srtp的性能和加密靈活性好處的理想組合。dtls建鑰(keying)發(fā)生在媒體路徑上,而與任何帶外信令信道無(wú)關(guān)。
對(duì)于dtls-srtp,利用ue和mgw之間的dtls握手來(lái)協(xié)商和商定對(duì)于srtp的建鑰資料、算法和參數(shù)。但是,dtls需要來(lái)自mgw和ue二者的證書(shū)指紋(fingerprint)。經(jīng)由ue和控制服務(wù)器或sbc(會(huì)話邊界控制器)之間的sdp(會(huì)話描述協(xié)議)提議/應(yīng)答(offer/answer)來(lái)交換dtls證書(shū)指紋和設(shè)立屬性。通過(guò)itu-th.248協(xié)議將ue指紋和設(shè)立屬性提供給mgw。在返回方向中,通過(guò)itu-th.248協(xié)議將mgw指紋和設(shè)立屬性提供給控制服務(wù)器,然后轉(zhuǎn)發(fā)給ue。一旦成功交換證書(shū)指紋和設(shè)立屬性,便能夠發(fā)起dtls協(xié)商,以便開(kāi)始基于srtp的安全媒體流。
除了在ue訪問(wèn)網(wǎng)絡(luò)以便發(fā)起通信會(huì)話時(shí)要求安全性握手之外,還要求安全性握手以使得能夠在mgw和接收設(shè)立請(qǐng)求的ue之間設(shè)立安全連接。這種布置如圖1所示,圖1是其中ue接收通信會(huì)話設(shè)立請(qǐng)求的網(wǎng)絡(luò)(1)的部分的示意圖。網(wǎng)絡(luò)包括ue(2),ue(2)在信令域(8)中與控制服務(wù)器或會(huì)話邊界控制器(sbc)(3)通信,并在用戶或媒體域(7)中與媒體網(wǎng)關(guān)mgw(4)通信。將來(lái)自控制服務(wù)器的信令(9)傳送到ip媒體子系統(tǒng)(ims)核(5)。
通常,對(duì)于信令(8,9)使用會(huì)話發(fā)起協(xié)議,但是也可使用其它信令方法,例如h323。控制服務(wù)器(3)通過(guò)信令鏈路(10)控制mgw。通常,使用h248協(xié)議。遠(yuǎn)程方(6)可與ims連接以便與ue(2)建立通信會(huì)話。
圖2是示出利用dtls-srtp握手規(guī)程建立srtp通信會(huì)話的方法的信令圖。會(huì)話設(shè)立從連接設(shè)立請(qǐng)求消息(11)開(kāi)始,消息(11)通常是會(huì)話發(fā)起協(xié)議(sip)邀請(qǐng)(invite)消息,其在會(huì)話描述協(xié)議(sdp)格式中包括基于數(shù)據(jù)報(bào)傳輸層安全性-安全實(shí)時(shí)協(xié)議(dtls-srtp)握手規(guī)程的安全連接的請(qǐng)求。在控制服務(wù)器(3)接收設(shè)立請(qǐng)求,控制服務(wù)器(3)創(chuàng)建消息,通常利用h248協(xié)議來(lái)發(fā)信號(hào)通知mgw要求建立媒體會(huì)話(12)。mgw(4)接收該消息,并且mgw通常以add答復(fù)做出響應(yīng)(13)。該響應(yīng)包含mgw指紋??刂品?wù)器(3)接收指紋,然后將它轉(zhuǎn)發(fā)(14)給ue(2)。ue以包含它自己的指紋(15)的消息做出響應(yīng)(15)。通常,該消息采用sdp格式。通常在h248修改(modify)消息中將ue指紋傳遞給mgw(16)。mgw以答復(fù)做出響應(yīng)(17)。在該階段,ue和mgw均具有彼此的指紋?,F(xiàn)在進(jìn)行握手規(guī)程(19),其中提供證書(shū)并利用指紋進(jìn)行證書(shū)驗(yàn)證。一旦完成握手,便設(shè)立srtp會(huì)話(20)。
實(shí)際上,dtls協(xié)商要花費(fèi)一定時(shí)間來(lái)完成,從而延長(zhǎng)整體會(huì)話設(shè)立時(shí)間。在典型的ims系統(tǒng)中,dtls協(xié)商可能會(huì)花費(fèi)高達(dá)幾秒鐘,從而導(dǎo)致非常差的用戶體驗(yàn)并潛在地有損運(yùn)營(yíng)商的聲譽(yù)。
技術(shù)實(shí)現(xiàn)要素:
根據(jù)本發(fā)明的第一方面,提供有一種通過(guò)受到控制服務(wù)器控制的媒體網(wǎng)關(guān)(mgw)在用戶設(shè)備(ue)和另一方之間建立通信會(huì)話的方法。所述通信會(huì)話包括所述ue和所述mgw之間的安全連接,并且所述安全連接的設(shè)立包括安全性握手規(guī)程,所述方法包括,在所述控制服務(wù)器處接收通信會(huì)話設(shè)立請(qǐng)求之前:由所述控制服務(wù)器確定和記錄所述mgw是否支持用于提早著手所述安全性握手的規(guī)程;以及由所述ue向所述控制服務(wù)器提供所述ue支持用于提早著手所述安全性握手規(guī)程的規(guī)程的指示以及在所述安全性握手中使用的連接參數(shù)。由所述控制服務(wù)器對(duì)所述指示和連接參數(shù)進(jìn)行存儲(chǔ)。在由所述控制服務(wù)器從另一方接收通信會(huì)話設(shè)立請(qǐng)求時(shí),如果所述ue已提供了它支持所述規(guī)程的指示和它的連接參數(shù),并且所述控制服務(wù)器已確定所述mgw支持用于提早著手所述安全性握手規(guī)程的規(guī)程,則將著手所述安全性握手規(guī)程的指令發(fā)送到媒體網(wǎng)關(guān)。所述指令包括著手提早安全性握手的指示和用于ue的連接參數(shù)。在接收到所述指令時(shí),mgw著手與ue的安全性握手,并建立安全通信會(huì)話。
優(yōu)選地,安全性握手包括在所述ue和所述mgw之間交換認(rèn)證證書(shū),并且所述方法還包括:試探性地接受認(rèn)證證書(shū),在ue和mgw之間交換從相應(yīng)認(rèn)證證書(shū)導(dǎo)出的相應(yīng)指紋,并由ue和mgw利用相應(yīng)指紋驗(yàn)證相應(yīng)認(rèn)證證書(shū)。
優(yōu)選地,所述方法還包括:如果任一安全性證書(shū)的驗(yàn)證失敗,那么終止設(shè)立通信會(huì)話。
優(yōu)選地,安全性握手包括數(shù)據(jù)報(bào)傳輸層安全性(dtls)握手。
優(yōu)選地,通信會(huì)話利用安全實(shí)時(shí)協(xié)議。
優(yōu)選地,通過(guò)會(huì)話發(fā)起協(xié)議(sip)發(fā)送通信會(huì)話信令。
優(yōu)選地,ue通過(guò)sip注冊(cè)(register)消息供應(yīng)所述指示和所述連接參數(shù)。
優(yōu)選地,在根(root)審計(jì)期間執(zhí)行由控制服務(wù)器確定mgw是否支持用于提早著手安全性握手的規(guī)程。
優(yōu)選地,通過(guò)h248協(xié)議消息發(fā)送著手安全性握手規(guī)程的指令和ue連接參數(shù)。
在本發(fā)明的第二方面中,提供有一種在通信網(wǎng)絡(luò)中的用戶設(shè)備ue中使用的設(shè)備,所述設(shè)備包括處理器電路和用于存儲(chǔ)由處理器電路可執(zhí)行的指令的存儲(chǔ)單元,由此所述設(shè)備可操作以在接收通信會(huì)話設(shè)立請(qǐng)求之前:向控制服務(wù)器提供ue支持用于提早著手安全性握手的規(guī)程的指示以及在安全性握手中使用的連接參數(shù)。所述設(shè)備還配置成:在從媒體網(wǎng)關(guān)mgw接收安全性握手的初始化時(shí),著手安全性握手并建立安全通信會(huì)話。
在本發(fā)明的第三方面中,提供有一種在通信網(wǎng)絡(luò)中在用于媒體網(wǎng)關(guān)(mgw)的控制服務(wù)器中使用的設(shè)備,所述設(shè)備包括處理器電路和用于存儲(chǔ)由處理器電路可執(zhí)行的指令的存儲(chǔ)單元,由此所述設(shè)備可操作以從ue接收ue支持用于提早著手安全性握手的規(guī)程的指示以及在安全性握手中使用的連接參數(shù),存儲(chǔ)所述指示和連接參數(shù),確定并記錄mgw是否支持用于提早著手安全性握手的規(guī)程,并且在從另一方接收通信會(huì)話設(shè)立請(qǐng)求時(shí),確定ue和mgw支持用于提早著手安全性握手的規(guī)程。所述設(shè)備還配置成:如果ue已提供它支持該規(guī)程的指示和連接參數(shù),并且控制服務(wù)器已確定mgw支持該規(guī)程,那么向mgw發(fā)送ue的連接參數(shù)以及著手握手規(guī)程的指令。
在本發(fā)明的第四方面中,提供有一種在通信網(wǎng)絡(luò)中的媒體網(wǎng)關(guān)(mgw)中使用的設(shè)備,所述設(shè)備包括處理器電路和用于存儲(chǔ)由處理器電路可執(zhí)行的指令的存儲(chǔ)單元,由此所述設(shè)備可操作以在通信會(huì)話的初始化之前向控制服務(wù)器提供mgw支持用于提早著手安全性握手的規(guī)程的指示;以及在接收來(lái)自控制服務(wù)器的指令和用于ue的連接參數(shù)時(shí),利用提供的連接參數(shù)著手與ue的提早握手規(guī)程。
在本發(fā)明的第五方面中,提供有一種系統(tǒng),它包括:用戶設(shè)備(ue),包括根據(jù)本發(fā)明的第二方面的設(shè)備;控制服務(wù)器,包括根據(jù)本發(fā)明的第三方面的設(shè)備;以及媒體網(wǎng)關(guān)(mgw),包括根據(jù)本發(fā)明的第四方面的設(shè)備。
在本發(fā)明的第六方面中,提供有一種操作通信網(wǎng)絡(luò)中的用戶設(shè)備(ue)的方法,通信網(wǎng)絡(luò)包括媒體網(wǎng)關(guān)(mgw)和控制服務(wù)器。所述方法包括:在接收通信會(huì)話設(shè)立請(qǐng)求之前,向控制服務(wù)器提供ue支持用于提早著手安全性握手的規(guī)程的指示以及在安全性握手中使用的連接參數(shù)。所述方法還包括:在從媒體網(wǎng)關(guān)mgw接收安全性握手的初始化時(shí),著手安全性握手并建立安全通信會(huì)話。
在本發(fā)明的第七方面中,提供有一種操作通信網(wǎng)絡(luò)中用于媒體網(wǎng)關(guān)(mgw)的控制服務(wù)器的方法,通信網(wǎng)絡(luò)包括用戶設(shè)備(ue)和mgw。所述方法包括:在控制服務(wù)器處接收建立通信會(huì)話的設(shè)立請(qǐng)求之前,確定mgw是否支持用于提早著手安全性握手的規(guī)程,從ue接收ue支持用于提早著手安全性握手規(guī)程的規(guī)程的指示以及在安全性握手中使用的連接參數(shù),并存儲(chǔ)所述指示和所述連接參數(shù)。所述方法還包括:在從另一方接收建立通信會(huì)話的設(shè)立請(qǐng)求時(shí),如果ue和mgw均支持用于提早著手安全性握手規(guī)程的規(guī)程,那么向mgw發(fā)送著手安全性握手規(guī)程的指令,該指令包括用于ue的連接參數(shù)。
在本發(fā)明的第八方面中,提供有一種操作通信網(wǎng)絡(luò)中的媒體網(wǎng)關(guān)(mgw)的方法,通信網(wǎng)絡(luò)包括用戶設(shè)備(ue)和mgw。所述方法包括:在通信會(huì)話的初始化之前,向控制服務(wù)器提供mgw支持用于提早著手安全性握手的規(guī)程的指示。所述方法還包括:在接收來(lái)自控制服務(wù)器的指令和用于ue的連接參數(shù)時(shí),利用提供的連接參數(shù)著手與ue的提早握手規(guī)程。
在本發(fā)明的第九方面中,提供有一種包括指令的計(jì)算機(jī)程序,所述指令在至少一個(gè)處理器上被執(zhí)行時(shí)使得所述至少一個(gè)處理器實(shí)行根據(jù)本發(fā)明的第一、第六、第七或第八方面的方法。
在本發(fā)明的第十方面中,提供有一種計(jì)算機(jī)程序產(chǎn)品,它包括根據(jù)本發(fā)明的第九方面的計(jì)算機(jī)程序。
在本發(fā)明的第十一方面中,提供有一種包含根據(jù)本發(fā)明的第十方面的計(jì)算機(jī)程序產(chǎn)品的載體,其中所述載體可選地包括電信號(hào)、光信號(hào)、無(wú)線電信號(hào)、磁帶或盤(pán)、光盤(pán)或存儲(chǔ)棒。
附圖說(shuō)明
現(xiàn)在將參考以下各圖只是舉例描述本發(fā)明的以上及其它方面:
圖1是可在其上實(shí)現(xiàn)本發(fā)明的典型網(wǎng)絡(luò)的示意圖;
圖2是利用數(shù)據(jù)報(bào)傳輸層安全性(dtls)握手設(shè)立基于安全實(shí)時(shí)協(xié)議(srtp)的會(huì)話的信令圖;
圖3是實(shí)現(xiàn)用于提早安全性握手的規(guī)程的方法的流程圖;
圖4是操作控制服務(wù)器的方法的流程圖,該方法包括用于提早安全性握手的規(guī)程;
圖5是操作媒體網(wǎng)關(guān)(mgw)的方法的流程圖,該方法包括用于提早安全性握手的規(guī)程;
圖6是操作用戶設(shè)備(ue)的方法的流程圖,該方法包括用于提早安全性握手的規(guī)程;
圖7是配置成實(shí)現(xiàn)用于提早安全性握手的規(guī)程的控制服務(wù)器的示意圖;
圖8是配置成實(shí)現(xiàn)用于提早安全性握手的規(guī)程的媒體網(wǎng)關(guān)(mgw)的示意圖;
圖9是配置成實(shí)現(xiàn)用于提早安全性握手的規(guī)程的用戶設(shè)備(ue)的示意圖;
圖10是利用提早dtls握手設(shè)立基于安全實(shí)時(shí)協(xié)議(srtp)的會(huì)話的信令圖;
圖11是用于根審計(jì)的信令圖;
圖12是用于根審計(jì)的信令圖,該根審計(jì)適于啟用用來(lái)指示mgw能夠?qū)崿F(xiàn)提早握手規(guī)程的指令;
圖13是會(huì)話發(fā)起協(xié)議(sip)注冊(cè)方法的信令圖;以及
圖14是適于提供ue能夠?qū)崿F(xiàn)提早握手規(guī)程的指示并適于供應(yīng)用于ue的連接參數(shù)的會(huì)話發(fā)起協(xié)議(sip)注冊(cè)方法的信令圖。
具體實(shí)施方式
在下文中,更詳細(xì)地描述根據(jù)本發(fā)明用于在與遠(yuǎn)程方設(shè)立通信會(huì)話時(shí)在用戶設(shè)備與媒體網(wǎng)關(guān)之間建立安全連接的系統(tǒng)、方法、節(jié)點(diǎn)和計(jì)算機(jī)程序。
在本申請(qǐng)的上下文內(nèi),術(shù)語(yǔ)“用戶設(shè)備”(ue)是指例如供某個(gè)人用于他或她的個(gè)人通信的裝置。它能夠是:電話類型的裝置,例如電話或sip電話、蜂窩電話、移動(dòng)站、無(wú)繩電話;或個(gè)人數(shù)字助理類型的裝置,如膝上型計(jì)算機(jī)、筆記本型計(jì)算機(jī)、配備有無(wú)線數(shù)據(jù)連接的筆記平板。ue還可與自動(dòng)化系統(tǒng)(諸如具有不需要人介入的操作的監(jiān)視系統(tǒng))相關(guān)聯(lián)。
在本申請(qǐng)的上下文內(nèi),術(shù)語(yǔ)“控制服務(wù)器”是指主要執(zhí)行用于通信網(wǎng)絡(luò)的訂戶的會(huì)話或呼叫以及服務(wù)的控制規(guī)程的服務(wù)器。該術(shù)語(yǔ)通常是指處理與通信網(wǎng)絡(luò)中的用戶業(yè)務(wù)相關(guān)聯(lián)的控制平面、訂戶數(shù)據(jù)、服務(wù)或信令業(yè)務(wù)的通信網(wǎng)絡(luò)的那些實(shí)體。在核心網(wǎng)絡(luò)中,控制節(jié)點(diǎn)可以是msc(移動(dòng)交換中心)、mme(移動(dòng)管理實(shí)體)、sgsn(服務(wù)網(wǎng)關(guān)支持節(jié)點(diǎn))、控制服務(wù)器(會(huì)話邊界控制器)、p-cscf(代理呼叫會(huì)話控制功能)、s-cscf(服務(wù)cscf)或tas(電話學(xué)應(yīng)用服務(wù)器)節(jié)點(diǎn)。這些控制節(jié)點(diǎn)實(shí)體中的若干個(gè)實(shí)體可共置在單個(gè)物理節(jié)點(diǎn)中,例如將ims核邊界控制與ims的代理會(huì)話控制功能組合的sbc/p-cscf組合。
在本申請(qǐng)的上下文內(nèi),術(shù)語(yǔ)“安全性證書(shū)”可具體指可將公共密鑰與身份進(jìn)行捆綁的電子文檔。在本文中,身份可以是例如諸如人、組織或網(wǎng)絡(luò)節(jié)點(diǎn)或用戶設(shè)備的名稱的信息。例如,能夠利用安全性證書(shū)來(lái)核實(shí)公共密鑰屬于網(wǎng)絡(luò)節(jié)點(diǎn)。安全性證書(shū)由通常位于通信網(wǎng)絡(luò)的網(wǎng)絡(luò)管理系統(tǒng)(nms)中的可信證書(shū)認(rèn)證機(jī)構(gòu)(ca)發(fā)行。形成數(shù)字證書(shū)的電子文檔可例如包括諸如下列的信息:
-唯一地標(biāo)識(shí)數(shù)字證書(shū)的序號(hào);
-對(duì)應(yīng)于標(biāo)識(shí)的實(shí)體的對(duì)象;
-用于創(chuàng)建簽名的簽名算法;
-簽名,它是用于核實(shí)數(shù)字證書(shū)來(lái)自發(fā)行者的實(shí)際信息;
-證書(shū)的發(fā)行者,它對(duì)應(yīng)于核實(shí)信息并發(fā)行數(shù)字證書(shū)的實(shí)體;
-自數(shù)字證書(shū)第一次有效的日期,其中后者日期又稱為“生效日期”;和/或
-數(shù)字證書(shū)的截止日期,它又能夠稱為“終止日期”。
網(wǎng)絡(luò)元件或ue通常具有一個(gè)數(shù)字證書(shū)。關(guān)于安全性證書(shū)的進(jìn)一步信息還能夠在用于公共密鑰基礎(chǔ)設(shè)施和特權(quán)管理基礎(chǔ)設(shè)施的itu-tx.509標(biāo)準(zhǔn)中被發(fā)現(xiàn)。
在本申請(qǐng)的上下文內(nèi),術(shù)語(yǔ)“指紋”可具體指用于認(rèn)證或查找更長(zhǎng)公共密鑰的短字節(jié)序列。通過(guò)對(duì)公共密鑰或安全性證書(shū)應(yīng)用密碼術(shù)散列函數(shù)來(lái)創(chuàng)建指紋。由于指紋比它們指代的密鑰短,所以它們能夠用于簡(jiǎn)化某些密鑰管理任務(wù)。而指紋又可被稱為術(shù)語(yǔ)“拇指指紋”。通常通過(guò)以下步驟創(chuàng)建安全性證書(shū)指紋:
●將安全性證書(shū)(以及可選的一些額外數(shù)據(jù))編碼成字節(jié)序列。為了確保能夠稍后重建相同指紋,編碼必須是確定性的,并且必須在安全性證書(shū)旁邊交換和存儲(chǔ)任何額外數(shù)據(jù)。額外數(shù)據(jù)通常是使用安全性證書(shū)的任何人應(yīng)當(dāng)知道的信息。額外數(shù)據(jù)的示例包括:密鑰應(yīng)當(dāng)被與之一起使用的協(xié)議版本;以及密鑰持有者的名稱(在x.509信任錨指紋的情況下,其中額外數(shù)據(jù)由x.509自簽名證書(shū)組成);
●利用諸如md5或sha-1的密碼術(shù)散列函數(shù)將在之前步驟中產(chǎn)生的數(shù)據(jù)弄亂;
●如果被期望,能夠?qū)⑸⒘泻瘮?shù)輸出截短以提供更短、更便利的指紋。
該過(guò)程產(chǎn)生能夠用于認(rèn)證大得多的安全性證書(shū)的短指紋。當(dāng)被顯示以便進(jìn)行人工檢查時(shí),通常將指紋編碼為十六進(jìn)制字符串。然后,為了可讀性而將這些字符串格式化為字符組。
術(shù)語(yǔ)用于srtp的“數(shù)據(jù)報(bào)傳輸層安全性”(dtls)是指用來(lái)建立用于安全rtp(srtp)和安全rtp控制協(xié)議(srtcp)流的密鑰的dtls擴(kuò)展。dtls建鑰發(fā)生在媒體路徑上,而與任何帶外信令信道無(wú)關(guān)(見(jiàn)ietfrfc5764)。dtls(見(jiàn)ietfrfc4347)是提供整合密鑰管理、參數(shù)協(xié)商和安全數(shù)據(jù)傳遞的信道安全協(xié)議。由于dtls數(shù)據(jù)傳遞協(xié)議是通用的,所以對(duì)于與rtp一起使用不如srtp那么高度優(yōu)化,為了該目的已對(duì)它進(jìn)行特別調(diào)諧。dtls-srtp是將srtp的性能和加密靈活性好處與dtls整合密鑰和關(guān)聯(lián)管理的靈活性和便利性進(jìn)行組合的dtls的srtp擴(kuò)展。能夠以兩個(gè)等效方式來(lái)看dtls-srtp:作為srtp的新密鑰管理方法;以及作為dtls的新rtp-特定數(shù)據(jù)格式。在本申請(qǐng)的上下文內(nèi),作為示例,將dtls-srtp用于這樣的場(chǎng)景,這些場(chǎng)景對(duì)證書(shū)指紋和設(shè)立屬性交換來(lái)使用sdp,并且其中先利用該信息經(jīng)由如dtls握手的專用規(guī)程與媒體路徑處理節(jié)點(diǎn)協(xié)商加密密鑰,然后能夠使用媒體連接。dtls-srtp的關(guān)鍵點(diǎn)在于:
●利用srtp保護(hù)應(yīng)用數(shù)據(jù);
●利用dtls握手來(lái)建立用于srtp的建鑰資料、算法和參數(shù);
●利用dtls擴(kuò)展來(lái)協(xié)商srtp算法;以及
●利用普通dtls記錄格式保護(hù)其它dtls記錄層內(nèi)容類型。
dtls協(xié)商通常要花費(fèi)一定時(shí)間來(lái)完成,這延長(zhǎng)整體呼叫設(shè)立前置期。在典型的ims系統(tǒng)上,dtls協(xié)商能夠花費(fèi)數(shù)秒,由此引入非常差的用戶體驗(yàn)。
理想地,當(dāng)從控制服務(wù)器接收到dtls-srtp請(qǐng)求時(shí),mgw應(yīng)立即開(kāi)始與ue進(jìn)行dtls協(xié)商。但是,在現(xiàn)有技術(shù)解決方案中,在控制服務(wù)器從ue接收sdp應(yīng)答并將sdp轉(zhuǎn)發(fā)給mgw之前,這是不可能的。
為了克服現(xiàn)有技術(shù)解決方案存在的問(wèn)題,一旦接收到請(qǐng)求,便立即發(fā)送在ue和mgw之間發(fā)起握手規(guī)程的指令,并且一旦mgw接收到該指令,便立即發(fā)起該規(guī)程。為了使得這能夠發(fā)生,在對(duì)于通信會(huì)話的任何請(qǐng)求之前,ue向控制服務(wù)器提供它能夠支持提早握手規(guī)程的指示。在該階段,它還向控制服務(wù)器提供用于dtls握手的連接參數(shù)。這些參數(shù)包括將使用的ip地址和端口號(hào)。該步驟移除了mgw在繼續(xù)進(jìn)行握手規(guī)程之前等待包含連接參數(shù)的sdp消息的需要。圖3是示出實(shí)現(xiàn)提早握手規(guī)程的這種方法的流程圖。該方法以在通信會(huì)話的任何發(fā)起之前確定網(wǎng)絡(luò)實(shí)體的能力開(kāi)始。第一步驟(21)包括確定并記錄關(guān)于受到控制服務(wù)器控制的mgw是否具有支持提早握手規(guī)程的能力。第二步驟(22)包括從ue接收該裝置能夠支持提早握手規(guī)程的指示。ue還供應(yīng)發(fā)起握手所需的連接參數(shù)。在第三步驟中,將指示和連接參數(shù)存儲(chǔ)(23)在控制服務(wù)器。通常,ue在注冊(cè)時(shí)一起供應(yīng)它的能力的指示和連接參數(shù)。但是,本領(lǐng)域中技術(shù)人員將領(lǐng)會(huì)到的是,其它選項(xiàng)是可能的,并且可在不同時(shí)間單獨(dú)供應(yīng)指示和連接參數(shù)。例如,可在注冊(cè)時(shí)供應(yīng)指示,并且可在控制服務(wù)器隨后請(qǐng)求時(shí)供應(yīng)連接參數(shù)。
一旦已完成所述第一兩個(gè)階段,控制服務(wù)器能夠?qū)νㄐ旁O(shè)立請(qǐng)求做出響應(yīng),并早發(fā)起握手規(guī)程。在第四步驟(24),在控制服務(wù)器從想要與ue建立安全連接的遠(yuǎn)程方接收這種請(qǐng)求。在接收到通信設(shè)立請(qǐng)求時(shí),控制服務(wù)器將指令(25)與對(duì)于ue的連接參數(shù)一起發(fā)送給mgw。在一實(shí)施例中,先發(fā)送該指令,然后再對(duì)另一方做出響應(yīng)。一旦mgw已接收到該指令和相關(guān)聯(lián)的連接參數(shù),便發(fā)起(26)握手規(guī)程。
圖4是根據(jù)一實(shí)施例操作控制服務(wù)器的方法的流程圖。步驟(21到25)與圖3的方法的前五個(gè)步驟相同。
圖5是根據(jù)一實(shí)施例操作mgw的方法的流程圖。在通信會(huì)話的初始化之前,mgw向控制服務(wù)器提供關(guān)于它是否支持用于提早握手的規(guī)程的指示(27)。在一實(shí)施例中,這響應(yīng)于控制服務(wù)器發(fā)送確定mgw的能力的請(qǐng)求而被執(zhí)行。提早握手規(guī)程以mgw從控制服務(wù)器接收(28)著手提早握手的指令而著手,該指令伴隨ue連接參數(shù)。在接收到該信息時(shí),著手安全性握手(29)。
圖6是根據(jù)一實(shí)施例操作ue的流程圖。在通信會(huì)話的初始化之前,ue向控制服務(wù)器提供(30)ue支持用于提早著手安全性握手的規(guī)程的指示以及ue的連接參數(shù)。在從mgw接收(31)到安全性握手的初始化時(shí),ue著手安全性握手并建立通信會(huì)話(32)。
圖7是用于在控制服務(wù)器中使用以便實(shí)現(xiàn)圖4中所示的方法的設(shè)備的示意圖。該設(shè)備包括處理電路(33),其與一個(gè)或多個(gè)存儲(chǔ)器存儲(chǔ)單元(34)交互。該設(shè)備另外包括一個(gè)或多個(gè)通信模塊(35),其包括用于與到ue的信令鏈路(8)、到ims核的信令鏈路(9)和到一個(gè)或多個(gè)mgw的信令鏈路(10)一起使用的傳送器和接收器。
圖8是用于在媒體網(wǎng)關(guān)(mgw)中使用以便實(shí)現(xiàn)圖5中所示的方法的設(shè)備的示意圖。該設(shè)備包括處理電路(36),其與一個(gè)或多個(gè)存儲(chǔ)器存儲(chǔ)單元(37)交互。該設(shè)備另外包括一個(gè)或多個(gè)通信模塊(38),其包括用于與媒體域(7)以及與到控制服務(wù)器的鏈路(10)一起使用的傳送器和接收器。
圖9是用于在ue中使用以便實(shí)現(xiàn)圖6中所示的方法的設(shè)備的示意圖。該設(shè)備包括處理電路(39),其與一個(gè)或多個(gè)存儲(chǔ)器存儲(chǔ)單元(40)交互。該設(shè)備另外包括一個(gè)或多個(gè)通信模塊(41),其包括用于經(jīng)由媒體域(7)和信令域(8)與網(wǎng)絡(luò)通信的傳送器和接收器。
圖10是根據(jù)一實(shí)施例利用提早dtls握手設(shè)立基于安全實(shí)時(shí)協(xié)議(srtp)的會(huì)話的信令圖。該信令以經(jīng)由ims核(5)的來(lái)自遠(yuǎn)程用戶的sip邀請(qǐng)消息(11)開(kāi)始。控制服務(wù)器(43)確定ue(42)和mgw(44)是否均能夠?qū)崿F(xiàn)提早握手規(guī)程,并且如果它們能,那么在h248add消息內(nèi)包含ue的連接參數(shù)以及給mgw的著手提早握手規(guī)程的指令(45)。add消息指令mgw創(chuàng)建兩個(gè)新終止,一個(gè)朝向ims核,且一個(gè)朝向ue。將add消息發(fā)送(46)到mgw(44),mgw(44)接收該指令并發(fā)起dtls握手(47)。接著,將包含mgw的指紋的add答復(fù)消息(48)發(fā)送到控制服務(wù)器。然后,以sdp格式(49)將這傳遞給ue。ue接收mgw的指紋,并接著驗(yàn)證(50)在dtls握手期間呈現(xiàn)的mgw的證書(shū)。如果證書(shū)驗(yàn)證失敗,那么ue必須終止dtls協(xié)商和通信會(huì)話的設(shè)立。ue通過(guò)發(fā)送sdp格式的它自己的指紋(51)來(lái)對(duì)控制服務(wù)器做出響應(yīng)。控制服務(wù)器利用修改消息(52)轉(zhuǎn)發(fā)該指紋。mgw接收sdp格式的ue的指紋,然后驗(yàn)證(53)在dtls握手期間呈現(xiàn)的ue的證書(shū)。如同在ue的驗(yàn)證階段,如果證書(shū)驗(yàn)證失敗,那么mgw必須終止dtls協(xié)商和通信會(huì)話的設(shè)立。將修改答復(fù)發(fā)送(54)回到控制服務(wù)器以便確認(rèn)該過(guò)程成功,由此由控制服務(wù)器發(fā)送(55)對(duì)遠(yuǎn)程用戶的響應(yīng)。在此之后,srtp會(huì)話能夠著手(20)。
為了實(shí)現(xiàn)提早握手方法,控制服務(wù)器必須知道關(guān)于它控制的所述一個(gè)或多個(gè)mgw中的每個(gè)是否支持提早握手規(guī)程。在本發(fā)明的實(shí)施例中,在將mgw連接或重新連接到控制服務(wù)器時(shí)提供該信息。在此類連接或重新連接時(shí),控制服務(wù)器審計(jì)mgw的根性質(zhì)。圖11是根據(jù)現(xiàn)有技術(shù)的根審計(jì)的信令圖。在所示示例中,mgw指示它能夠支持dtls-strp。該信令是雙階段過(guò)程,它以控制服務(wù)器(3)向mgw(4)發(fā)送h248審計(jì)值(auditvalue)請(qǐng)求(56)開(kāi)始,mgw(4)以指示它支持dtls-srtp的審計(jì)值響應(yīng)(58)做出響應(yīng)(57)。
在一實(shí)施例中,通過(guò)使用該根審計(jì)規(guī)程來(lái)確定對(duì)于mgw是否支持提早握手規(guī)程的確定。圖12中示出這些步驟,圖12是用于根審計(jì)的信令圖,該根審計(jì)適于啟用用來(lái)向控制服務(wù)器(43)指示mgw(44)能夠?qū)崿F(xiàn)提早握手規(guī)程的指令。關(guān)于圖8中所示的過(guò)程遵循相同規(guī)程,只是審計(jì)值答復(fù)包括mgw具有支持提早握手規(guī)程的能力的指示(59)。
除了知道m(xù)gw的能力之外,控制服務(wù)器還必須既知道ue的能力還知道它的連接參數(shù)。在一實(shí)施例中,在注冊(cè)時(shí)由ue將能力和連接參數(shù)發(fā)送給控制服務(wù)器。這通常利用sip注冊(cè)方法來(lái)執(zhí)行。圖13是根據(jù)現(xiàn)有技術(shù)的sip注冊(cè)方法的信令圖,其中ue(2)指示它能夠支持dtls-srtp。該規(guī)程以u(píng)e(2)在注冊(cè)消息的sip報(bào)頭中指示它能夠支持dtls-srtp(60)開(kāi)始。然后,將注冊(cè)消息傳送(61)給控制服務(wù)器(3)??刂品?wù)器將該注冊(cè)消息轉(zhuǎn)發(fā)給ims核(62)。as是sip中的ue注冊(cè)中的標(biāo)準(zhǔn),將未授權(quán)消息返回(63)給控制服務(wù)器,然后控制服務(wù)器將該消息(64)轉(zhuǎn)發(fā)給ue(2)?,F(xiàn)在創(chuàng)建第二注冊(cè)消息(65),再次具有dtls-srtp支持標(biāo)志設(shè)置。將該消息傳送(66)給控制服務(wù)器,并且因此傳送(67)給ims核(5)。將ok消息返回(68)給控制服務(wù)器,然后將這發(fā)送(69)給ue(2),從而完成ue注冊(cè)過(guò)程。
圖14是示出注冊(cè)過(guò)程的信令圖,只是ue(42)現(xiàn)在指示它支持提早安全性握手規(guī)程。根據(jù)一實(shí)施例,以與dtls-srtp支持在其中被指示的方式類似的方式來(lái)在sip注冊(cè)消息(71)的報(bào)頭(70)中對(duì)此做出指示。這使得能夠?qū)⑾⒈恢С值闹甘竞瓦B接參數(shù)傳送給控制服務(wù)器(43)。在此之后,注冊(cè)過(guò)程按慣例繼續(xù)進(jìn)行。本領(lǐng)域中技術(shù)人員將領(lǐng)會(huì)到的是,傳遞指示和連接參數(shù)的其它方法是可能的,并且本發(fā)明不限于在連接設(shè)立請(qǐng)求之前發(fā)送指示和參數(shù)的任何一種方式。
如上文所描述的一個(gè)或多個(gè)實(shí)施例可能夠?qū)崿F(xiàn)以下技術(shù)效果中的至少一個(gè):
●在很早的時(shí)候在與遠(yuǎn)程方進(jìn)行媒體協(xié)商之前或與其并行地來(lái)執(zhí)行ue和mgw之間的安全相關(guān)參數(shù)的協(xié)商;
●一從遠(yuǎn)程方接收到響應(yīng),就能夠建立安全媒體連接,并通過(guò)這個(gè)縮短會(huì)話設(shè)立時(shí)間。
得益于在前面的描述和相關(guān)聯(lián)圖中呈現(xiàn)的教導(dǎo)的本領(lǐng)域中技術(shù)人員將聯(lián)想到所公開(kāi)發(fā)明的修改和其它實(shí)施例。因此,將了解,實(shí)施例不限于公開(kāi)的特定實(shí)施例,并且修改和其它實(shí)施例旨在包含在此公開(kāi)的范圍內(nèi)。盡管本文中可采用特定術(shù)語(yǔ),但它們只是以一般和描述性含義被使用,而不是為了限制的目的。