[发明专利]获取密钥管理服务器信息的方法、监听方法及系统、设备

说明书

技术领域

本发明涉及网络通信安全及合法监听技术，具体来说，是一种获取密钥管理服务器信息的方法、监听方法及系统、设备。

背景技术

目前在3GPP关于IP多媒体子系统(IMS)的媒体安全的最新技术规范TS33.328 v1.1.0中，提出了使用基于密钥管理服务器的方案来保护IMS媒体流的端到端安全。

TS33.328中的方案是基于密钥管理服务器(KMS)和“ticket”的概念，简单的描述现有方案过程是：

会话呼叫方首先向KMS请求相关密钥和一个ticket，在这个ticket中，呼叫方向KMS请求得到的相关密钥会被加密后包含在其中；

得到相关密钥和ticket后，呼叫方把ticket发给被叫方；

由于被叫方无法解密ticket获得其中包含的信息，被叫方则将此ticket继续发送给KMS，由KMS解密ticket并将其中的相关密钥返回给被叫方；

呼叫方和被叫方可以利用共同的相关密钥进行加密的媒体流通信。

而网络中可能存在不止一个KMS，当存在多个KMS的情况时，用户将使用哪个KMS，这涉及到KMS的分配方式。

KMS的分配方式无非有两种，一种是IMS核心网网元不参与的，由用户自己预先配置一个KMS；第二种是由IMS核心网网元参与的KMS的分配，由IMS核心网网元为用户分配供其使用的KMS。

现有技术中，KMS的标识被明文传递在信令中，即在呼叫方发起会话的INVITE请求中加入明文的所使用的KMS ID，在截取信令后，合法监听设备获取所需的密钥材料和通过明文获知用户所使用的KMS，再向相应的KMS索要相关的密钥材料。由此可以看出，现有技术方案依赖于信令面的安全，安全系数较低。

发明内容

本发明所要解决的技术问题是，提供一种获取密钥管理服务器信息的方法、监听方法及系统、设备，使得在IP多媒体子系统中部署多个KMS时，不依赖于信令面的安全而满足合法监听需求。

为了解决上述问题，本发明公开了一种获取密钥管理服务器(KMS)信息的方法，包括：

在用户设备进行IP多媒体子系统(IMS)注册的过程中，将与该用户设备对应的KMS信息存储在事先设定的IMS核心网网元中；

当合法监听设备监听所述用户设备发起的会话时，截取所述用户设备发送的会话请求信令，并从该会话请求信令中获取所述用户设备的标识信息，根据所述用户设备的标识信息从所述IMS核心网网元中查找与该用户对应的KMS信息。

进一步地，上述方法中，将与所述用户设备对应的KMS信息存储在事先设定的IMS核心网网元的过程如下：

所述用户设备预先配置KMS信息时，通过注册消息将预先配置的KMS信息发送给所述事先设定的IMS核心网网元；

所述事先设定的IMS核心网网元收到所述注册消息，从中获取并保存KMS信息。

或者，将与所述用户设备对应的KMS信息存储在事先设定的IMS核心网网元的过程如下：

所述用户设备向IMS核心网注册时，为该用户设备分配相应的KMS，并将该KMS的KMS信息存储在所述事先设定的IMS核心网网元中。

其中，事先设定的IMS核心网网元为以下一种或几种：

服务呼叫会话控制功能实体(S-CSCF)、代理服务呼叫会话控制功能实体(P-CSCF)、归属用户服务器(HSS)。

所述合法监听设备查找到与所述用户设备对应的KMS信息后，向该KMS索取所要监听的会话的所有必须的密钥材料，生成会话密钥，进行会话监听。

本发明公开了一种监听系统，包括IP多媒体子系统(IMS)核心网网元和合法监听设备，其中：

所述IMS核心网网元，用于在用户设备进行IMS注册的过程中，存储与该用户设备对应的KMS信息；

所述合法监听设备，用于截取所述用户发送的会话请求信令，并从该会话请求信令中获取发起会话的用户设备的标识信息，根据所述用户设备的标识信息从所述IMS核心网网元中查找与该用户对应的KMS信息。

进一步地，上述系统中，所述IMS核心网网元，接收用户设备发送的注册消息，从中获取用户预先配置的KMS信息，并保存。

其中，所述IMS核心网网元，在用户设备进行IMS用户注册时，为该用户设备分配相应的KMS，从并保存该KMS的KMS信息。

所述IMS核心网网元为以下一种或几种：

服务呼叫会话控制功能实体(S-CSCF)、代理服务呼叫会话控制功能实体(P-CSCF)、归属用户服务器(HSS)。