[发明专利]用于建立安全通信会话的方法、设备和系统

说明书

一种在用户设备UE和另一方之间设立通信会话时在UE和媒体网关MGw之间建立安全连接的方法。MGw受到控制服务器的控制，并且通信会话的设立包括安全性握手规程。该方法包括：在接收通信会话设立请求之前，由控制服务器确定MGw是否支持用于提早着手安全性握手的规程，并由UE向控制服务器提供UE支持用于提早着手安全性握手规程的规程的指示以及在安全性握手中使用的连接参数。在由控制服务器从另一方接收通信会话设立请求时，如果UE和MGw均支持用于提早着手安全性握手规程的规程，则将着手安全性握手规程的指令发送到媒体网关。该指令包括着手提早安全性握手的指示和用于UE的连接参数。在接收到该指令时，MGw着手与UE的安全性握手（25），并建立安全通信会话。

技术领域

本发明的技术领域是在通信网络中建立安全多媒体会话。

背景技术

安全始终是通信的最重要方面之一。安全漏洞可能会损害个人或公司财产，如知识产权、商业秘密、个人隐私、帐户凭据等。在IMS（IP多媒体子系统）中，通常通过利用安全媒体流来实现通信安全。

普遍利用SRTP（安全实时传递协议）作为保护UE（用户设备）和MGw（媒体网关）之间的RTP/RTCP（实时传递协议/实时传递控制协议）媒体流的安全的媒体传输协议。但是，SRTP不提供密钥管理功能性，而是反而依靠外部密钥管理功能来交换秘密主密钥并协商与那些密钥一起使用的算法和参数。DTLS-SRTP（数据报传输层安全性-安全实时传递协议）是利用DTLS整合密钥和关联管理提供SRTP的性能和加密灵活性好处的理想组合。DTLS建钥（keying）发生在媒体路径上，而与任何带外信令信道无关。

对于DTLS-SRTP，利用UE和MGw之间的DTLS握手来协商和商定对于SRTP的建钥资料、算法和参数。但是，DTLS需要来自MGw和UE二者的证书指纹（fingerprint）。经由UE和控制服务器或SBC（会话边界控制器）之间的SDP（会话描述协议）提议/应答(Offer/Answer)来交换DTLS证书指纹和设立属性。通过ITU-T H.248协议将UE指纹和设立属性提供给MGw。在返回方向中，通过ITU-T H.248协议将MGw指纹和设立属性提供给控制服务器，然后转发给UE。一旦成功交换证书指纹和设立属性，便能够发起DTLS协商，以便开始基于SRTP的安全媒体流。

除了在UE访问网络以便发起通信会话时要求安全性握手之外，还要求安全性握手以使得能够在MGw和接收设立请求的UE之间设立安全连接。这种布置如图1所示，图1是其中UE接收通信会话设立请求的网络（1）的部分的示意图。网络包括UE（2），UE（2）在信令域（8）中与控制服务器或会话边界控制器（SBC）（3）通信，并在用户或媒体域（7）中与媒体网关MGw（4）通信。将来自控制服务器的信令（9）传送到IP媒体子系统（IMS）核（5）。

通常，对于信令（8，9）使用会话发起协议，但是也可使用其它信令方法，例如H323。控制服务器（3）通过信令链路（10）控制MGw。通常，使用H248协议。远程方（6）可与IMS连接以便与UE（2）建立通信会话。

图2是示出利用DTLS-SRTP握手规程建立SRTP通信会话的方法的信令图。会话设立从连接设立请求消息（11）开始，消息（11）通常是会话发起协议（SIP）邀请（INVITE）消息，其在会话描述协议（SDP）格式中包括基于数据报传输层安全性-安全实时协议（DTLS-SRTP）握手规程的安全连接的请求。在控制服务器（3）接收设立请求，控制服务器（3）创建消息，通常利用H248协议来发信号通知MGw要求建立媒体会话（12）。MGw（4）接收该消息，并且MGw通常以ADD答复做出响应（13）。该响应包含MGw指纹。控制服务器（3）接收指纹，然后将它转发（14）给UE（2）。UE以包含它自己的指纹（15）的消息做出响应（15）。通常，该消息采用SDP格式。通常在H248修改（Modify）消息中将UE指纹传递给MGw（16）。MGw以答复做出响应（17）。在该阶段，UE和MGw均具有彼此的指纹。现在进行握手规程（19），其中提供证书并利用指纹进行证书验证。一旦完成握手，便设立SRTP会话（20）。