[发明专利]用于端到端的媒体流安全的实现方法和装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种用于端到端(即用户到用户，Point To Point，P2P)的媒体流安全的实现方法和装置。

背景技术

随着基于IP的电视(IPTV，Internet Protocol Television)的兴起和基于IP的语音(VoIP，Voice over IP)技术的广泛应用，媒体流安全变得越来越重要。媒体流安全就是对用户面的数据(如视频、话音、图片、文本等)进行保护，以防止未授权的用户非法地访问这些数据。媒体流安全是一种网络的增值业务；此外媒体流中涉及用户隐私的安全需求也要求网络提供相应的安全。

在下一代网络(NGN，Next Generation Network)中，媒体流安全是一项基本需求。NGN网络应该能够保证传输的媒体流的机密性和完整性。这里的媒体流安全是指密码学意义上的安全，也就是说采用密码学的保护技术(如完整性保护、加密保护)，攻击者无法在有限资源的情况下破译被保护的媒体流数据。

目前媒体流安全的实现方法是：由网络设备参与媒体流安全所需要的密钥和安全参数的协商与分配。这降低了端到端媒体流传输的安全性。

发明内容

本发明旨在提供一种用于端到端的媒体流安全的实现方法和装置，能够解决现有技术不能为端到端的媒体流提供安全保护的问题。

在本发明的实施例中，提供了一种用于端到端的媒体流安全的实现方法，包括以下步骤：第一端与第二端建立包括信令面的会话；第一端与第二端在信令面上协商安全参数；将安全参数从信令面传递到媒体面；以及使用安全参数保护第一端与第二端之间在媒体面上的端到端的媒体流。

优选的，安全参数包括：密钥、密钥长度、和安全算法。

优选的，第一端与第二端在信令面上协商安全参数的通道具体包括：通过信令通道来协商，或者通过专门的密钥管理协议来协商。

优选的，使用安全参数保护第一端与第二端之间在媒体面上的端到端的媒体流具体包括：在媒体面发送媒体流之前先用安全参数加密媒体流；以及在媒体面接收媒体流之后使用安全参数解密媒体流。

优选的，使用安全参数保护第一端与第二端之间在媒体面上的端到端的媒体流具体包括：在媒体面发送媒体流之前先用安全参数对媒体流进行完整性保护；以及在媒体面接收媒体流之后使用安全参数对媒体流进行完整性检查。

优选的，包括信令面的会话包括：遵循会话初始协议的会话；遵循会话描述协议的会话。

优选的，第一端与第二端在信令面上采用安全实时传输协议和相关的密钥管理协议来协商安全参数。

在本发明的实施例中，还提供了一种用于端到端的媒体流安全的实现装置，包括：建立模块，用于第一端与第二端建立包括信令面的会话；协商模块，用于第一端与第二端在信令面上协商安全参数；传递模块，将安全参数从信令面传递到媒体面；以及保护模块，用于使用安全参数保护在第一端与第二端之间在媒体面上的端到端的媒体流。

优选的，保护模块具体包括：加密单元，用于在媒体面发送媒体流之前先用安全参数加密媒体流；以及解密单元，用于在媒体面接收媒体流之后使用安全参数解密媒体流。

优选的，保护模块具体包括：完整性保护单元，用于在媒体面发送媒体流之前先用安全参数对媒体流进行完整性保护；以及完整性检查单元，用于在媒体面接收媒体流之后使用安全参数对媒体流进行完整性检查。

上述实施例的实现方法和实现装置提出由第一端与第二端通信双方直接通过信令面协商安全参数，从而实现了对端到端的媒体流提供安全保护。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1示出了根据本发明实施例的用于端到端的媒体流安全的实现方法的流程图；

图2示出了根据本发明实施例的端到端媒体流安全框图；

图3示出了根据本发明实施例的基于安全信令路径的媒体流安全参数协商过程；

图4示出了根据本发明实施例的基于安全信令路径的媒体流安全参数传递流程图；

图5示出了根据本发明实施例的基于密钥管理协议的媒体流安全参数协商过程；

图6示出了根据本发明实施例的基于密钥管理协议的媒体流安全参数传递流程图；

图7示出了根据本发明实施例的用于端到端的媒体流安全的实现装置的方框图。

具体实施方式

下面将参考附图并结合实施例，来详细说明本发明。

图1示出了根据本发明实施例的用于端到端的媒体流安全的实现方法的流程图，包括以下步骤：