專利名稱:監(jiān)聽安全會話的方法��、系統(tǒng)及網絡設備的制作方法
技術領域:
本發(fā)明涉及通信技術領域��,特別涉及一種監(jiān)聽安全會話的方法�����、系統(tǒng)及網絡i殳備。
技術背景對于國家法律授權的機關����,具有監(jiān)聽網絡中的視頻或音頻會話的 權利。通常監(jiān)聽機關設置監(jiān)聽設備���,該監(jiān)聽設備與網絡設備相連��,該 網絡設備用于連接進行視頻或音頻會話的各方節(jié)點����。網絡設備可以為 路由器�、網關、GK ( Gate Keeper,網守)等����,用于在進行視頻或音頻 會話的節(jié)點之間轉發(fā)視頻或音頻數(shù)據(jù)。當監(jiān)聽機關需要監(jiān)聽上述會話 時���,通過監(jiān)聽機關向網絡設備發(fā)送監(jiān)聽請求,由網絡設備將在節(jié)點之 間轉發(fā)的視頻或音頻數(shù)據(jù)復制后發(fā)送給監(jiān)聽設備�,監(jiān)聽設備將收到的 視頻或音頻數(shù)據(jù)進行輸出即可獲得需要的信息。發(fā)明人在對現(xiàn)有技術的研究過程中發(fā)現(xiàn)����,網絡設備在接收到監(jiān)聽 請求后僅將視頻或音頻數(shù)據(jù)直接復制后發(fā)送給監(jiān)聽設備使用����,但是當 節(jié)點之間進行安全會話時����,即節(jié)點之間傳輸?shù)木鶠榧用芎蟮腲L頻或音 頻數(shù)據(jù)時,則由于網絡設備僅負責轉發(fā)和復制該視頻或音頻it據(jù)�����,因 此監(jiān)聽設備獲得的視頻或音頻數(shù)據(jù)也為加密后的數(shù)據(jù)����,由于沒有任何 處理信令,無法對該數(shù)據(jù)進行解密����,導致監(jiān)聽機關無法對加密的視頻 或音頻會話進行正常監(jiān)聽。發(fā)明內容本發(fā)明實施例的目的在于提供一種監(jiān)聽安全會話的方法�����、系統(tǒng)以 及網絡設備��,以使合法授權機構能夠實現(xiàn)對加密的安全會話的監(jiān)聽。 為實現(xiàn)本發(fā)明實施例的目的���,本發(fā)明實施例提供如下技術方案 一種監(jiān)聽安全會話的方法�����,包括 網絡設備與會話節(jié)點之間協(xié)商媒體流密鑰���;通過所述媒體流密鑰解密所述會話節(jié)點傳輸?shù)拿襟w流,并將所述解密后的媒體流發(fā)送至監(jiān)聽設備���。一種監(jiān)聽安全會話的系統(tǒng)�,包括與會話節(jié)點和監(jiān)聽設備進行通信 的網絡設備���,用于與所述會話節(jié)點之間協(xié)商媒體流密鑰�,通過所述媒 體流密鑰解密所述會話節(jié)點傳輸?shù)拿襟w流���,并將所述解密后的+某體流 發(fā)送至所述監(jiān)聽設備�。一種網絡設備���,包括協(xié)商單元����,用于與會話節(jié)點之間協(xié)商媒體流密鑰����; 解密單元,用于通過所述媒體流密鑰解密所述會話節(jié)點傳輸?shù)拿?體流�;發(fā)送單元,用于將所述解密后的媒體流發(fā)送至監(jiān)聽設備�。 由以上本發(fā)明實施例提供的技術方案可見,本發(fā)明實施例中的網 絡設備與會話節(jié)點之間協(xié)商媒體流密鑰�����,通過所述媒體流密鑰解密所 述會話節(jié)點傳輸?shù)拿襟w流�����,并將所述解密后的媒體流發(fā)送至監(jiān)聽設備�, 實現(xiàn)監(jiān)聽機關對安全會話的監(jiān)聽。應用本發(fā)明實施例�����,通過網絡設備 的協(xié)商密鑰功能����,能夠對會話節(jié)點之間傳輸?shù)拿襟w流進行加密和解密�����, 并能夠將解密后的視頻或音頻數(shù)據(jù)傳輸給監(jiān)聽設備���,使得監(jiān)聽設備能 夠正常監(jiān)聽會話節(jié)點之間傳輸?shù)募用苊襟w流。
圖1為本發(fā)明監(jiān)聽安全會話的方法的一個實施例流程圖��; 圖2為本發(fā)明監(jiān)聽安全會話的方法的另 一 個實施例流程圖����; 圖3為本發(fā)明監(jiān)聽安全會話的一種網絡結構示意圖; 圖4為本發(fā)明監(jiān)聽安全會話的又一個實施例流程圖����; 圖5為本發(fā)明監(jiān)聽安全會話的另一種網絡結構示意圖; 圖6為本發(fā)明監(jiān)聽安全會話的又一個實施例流程圖�����; 圖7為本發(fā)明監(jiān)聽安全會話的系統(tǒng)的一個實施例框圖����; 圖8為本發(fā)明監(jiān)聽安全會話的系統(tǒng)的另一個實施例框圖�����; 圖9為本發(fā)明網絡設備的一個實施例框圖; 圖IO為本發(fā)明網絡設備的另一個實施例框圖�����。
具體實施方式
本發(fā)明實施例提供了監(jiān)聽安全會話的方法��、系統(tǒng)及網絡設備��,網 絡設備與會話節(jié)點之間協(xié)商媒體流密鑰��,通過所述媒體流密鑰解密所 述會話節(jié)點傳輸?shù)拿襟w流����,并將所述解密后的媒體流發(fā)送至監(jiān)聽設備。為了使本技術領域的人員更好地理解本發(fā)明實施例提供的技術 方案����,下面結合附圖和具體實施方式
對本發(fā)明實施例提供的技術方案 作進一步的詳細"^兌明。參考圖1�,為本發(fā)明監(jiān)聽安全會話的方法的一個實施例流程圖步驟101:網絡設備與會話節(jié)點之間協(xié)商媒體流密鑰。其中,網絡設備可以在接收到監(jiān)聽請求后與會話節(jié)點之間協(xié)商媒體流密鑰���,也可以在接收到監(jiān)聽請求前與會話節(jié)點之間協(xié)商i某體流密鑰����。步驟102:通過媒體流密鑰解密會話節(jié)點傳輸?shù)拿襟w流�,并將解 密后的媒體流發(fā)送至監(jiān)聽設備。參考圖2,為本發(fā)明監(jiān)聽安全會話的方法的另一個實施例流程圖�����, 該實施例示出了通過網絡設備與發(fā)送方會話節(jié)點和接收方會話節(jié)點之 間進行密鑰協(xié)商以實現(xiàn)對安全會話監(jiān)聽的詳細過程步驟201:網絡設備接收監(jiān)聽請求��。通常監(jiān)聽機關需要對會話節(jié)點之間傳輸?shù)囊曨l或音頻々某體流進 行監(jiān)聽時����,會通過監(jiān)聽設備向網絡設備發(fā)送監(jiān)聽請求。步驟202:網絡設備根據(jù)信令共享密鑰與發(fā)起方會話節(jié)點和接收 方會話節(jié)點之間建立信令傳輸通道�。其中,網絡設備與發(fā)起方會話節(jié)點和接收方會話節(jié)點之間可以預 先配置信令共享密鑰�����,然后根據(jù)該預先配置的信令共享密鑰與會話節(jié) 點之間建立信令傳輸通道����;或者網絡設備可以與發(fā)起方會話節(jié)點和接 收方會話節(jié)點協(xié)商信令共享密鑰����,然后根據(jù)該協(xié)商的信令共享密鑰與 會話節(jié)點之間建立信令傳輸通道���。具體的,可采用如下方式進行信令共享密鑰的協(xié)商網絡設備和 所述會話節(jié)點分別與網守GK通過H.235協(xié)議協(xié)商通信共享密鑰����,接收所述會話節(jié)點發(fā)送的包含信令共享密鑰的消息,該信令共享密鑰由GK根據(jù)通信共享密鑰生成����,并由GK傳輸至所述會話節(jié)點,網絡設 備解析該消息后獲得信令共享密鑰�����。當然�,網絡設備也可采用其他方式與各會話節(jié)點進行信令共享密 鑰的協(xié)商,本發(fā)明實施例對此不作限定�����。步驟203:在信令傳輸通道內與發(fā)起方會話節(jié)點和接收方會話節(jié) 點分別協(xié)商媒體流密鑰。步驟204:通過與發(fā)起方會話節(jié)點協(xié)商的媒體流密鑰解密發(fā)起方 會話節(jié)點傳輸?shù)拿襟w流�����。步驟205:將該解密后的媒體流傳輸至監(jiān)聽設備���。步驟206:通過與接收方會話節(jié)點協(xié)商的媒體流密鑰加密該解密 后的媒體流��。步驟207:將加密后的媒體流傳輸至接收方會話節(jié)點���。 參考圖3,為本發(fā)明監(jiān)聽安全會話的一種組網結構示意圖�����,該網 絡結構示意圖中包括合法監(jiān)聽機關設置的監(jiān)聽設備�,監(jiān)聽設備與GK 相連,用于向GK發(fā)送監(jiān)聽請求����,節(jié)點A與節(jié)點B分別與代理設備P 和GK相連,各個通信設備之間使用H.323協(xié)i義進行通信��。節(jié)點A�����、節(jié)點B和代理設備P分別通過GK協(xié)商通信共享密鑰, 在協(xié)商該通信共享密鑰的基礎上��,代理P與節(jié)點A和節(jié)點B分別協(xié)商 信令共享密鑰�,并在建立的信令保護通道內協(xié)商媒體流密鑰,代理設備P根據(jù)媒體流密鑰可以對節(jié)點A傳輸?shù)拿襟w流進行解密����,并把解密 后的媒體流傳輸給監(jiān)聽設備,使得監(jiān)聽機關能夠最終獲得需要監(jiān)聽的 視頻或音頻數(shù)據(jù)�。并且���,由于代理設備P與節(jié)點A和節(jié)點B協(xié)商的媒 體流密鑰均不相同����,因此代理設備P可以將解密后的媒體流用與節(jié)點 B協(xié)商的媒體流密鑰進行加密��,保證節(jié)點A和節(jié)點B之間傳輸4某體流 的安全性�����。圖3中所示的組網結構示意圖中用于密鑰協(xié)商的GK和代理設備 P分開設置��,由于功能分開使得設備在組網上具有更大的靈活性和擴 展性。當網絡中需要監(jiān)聽多個會話節(jié)點的媒體流時�,由于代理設備P因此通過代理設備P可以同時監(jiān)聽網絡中的 多個會話節(jié)點,提高了監(jiān)聽的性能�。需要說明的是,上述代理設備P的信令共享密鑰協(xié)商功能和媒體 流密鑰協(xié)商功能也可以分別在兩臺設備上實現(xiàn)��,在組網上只需將這兩 臺設備分別與GK和會話節(jié)點相連即可����。參考圖4,為結合圖3所示的組網結構示意圖監(jiān)聽安全會話的又 一個實施例流程步驟401至步驟403:會話節(jié)點A����、代理P、會話節(jié)點B分別通 過H.235協(xié)議與GK協(xié)商通信共享密鑰�,其中會話節(jié)點A與GK之間 的共享密鑰記為K[AG],會話節(jié)點B與GK之間的通信共享密鑰記為 K[BG],代理P與GK之間的通信共享密鑰記為K[PG]�����,根據(jù)上述通 信共享密鑰�,會話節(jié)點A、代理P����、會話節(jié)點B與GK分別進行注冊 和鑒權等信令交互過程���。其中,H.235 ( Security for H.323 Based Systems and Communications,基于H.323系統(tǒng)的安全性和通信)是有關安全方面 的一種標準��,可以為基于H.323的體系提供安全程序��,包括提供身份 認證����、數(shù)據(jù)加密和完整性功能等。步驟404:會話節(jié)點A要呼叫會話節(jié)點B�,先向GK發(fā)送ARQ請 求,請求通過代理P與會話節(jié)點B進行會話���。步驟405: GK接收到監(jiān)聽設備下發(fā)的監(jiān)聽請求后,根據(jù)監(jiān)聽策略 確認監(jiān)聽當前會話節(jié)點A的本次呼叫請求��;GK根據(jù)通信共享密鑰 K[AG]生成會話節(jié)點A與代理P之間的信令共享密鑰K[AP],以及與 K[AP]相關的會話節(jié)點A和代理P的摘要CTA及CTP, CTA和CTP 可以使會話節(jié)點A和代理P解析出它們之間的信令共享密鑰K[AP]�。步驟406: GK向會話節(jié)點A發(fā)送ACF,該ACF中包含了 CTA 和CTP。步驟407:會話節(jié)點A通過解析CTA獲得與代理P之間的信令共 享密鑰K[AP]����。步驟408:會話節(jié)點A向代理P發(fā)送呼叫請求,該呼叫請求中包含了 CTP����。步驟409:代理P通過解析CTP獲得與會話節(jié)點A之間的信令共 享密鑰K[AP]�����。步驟410:代理P向GK發(fā)送ARQ請求����,請求呼叫會話節(jié)點B�����。 步驟411:GK根據(jù)共享密鑰K[PG]生成代理P與會話節(jié)點B之間的信令共享密鑰K[PB],以及與K[PB]相關的代理P和會話節(jié)點B的摘要CTP及CTB, CTP和CTB可以使會話節(jié)點B和代理P解析出它們之間的信令共享密鑰K[PB]���。步驟412:GK向代理P發(fā)送ACF,該ACF中包含了 CTP和CTB����。 步驟413:代理P通過解析CTP獲得與會話節(jié)點B之間的信令共享密鑰K[PB]�����。步驟414:代理P向會話節(jié)點B發(fā)送呼叫請求����,該呼叫請求中包 含了 CTB�。步驟415:會話節(jié)點B通過解析CTB獲得與代理P之間的信令共 享密鑰K[PB]��。步驟416至步驟417:會話節(jié)點A與代理P之間通過信令共享密 鑰K[AP]對傳輸?shù)男帕钸M行加密保護���;代理P與會話節(jié)點B之間通過 信令共享密鑰K[PB]對傳輸?shù)男帕钸M行加密保護��。步驟418至步驟419:會話節(jié)點A與代理P之間根據(jù)K[AP]的保 護打開邏輯通道��,協(xié)商媒體流密鑰S[AP];代理P與會話節(jié)點B之間 根據(jù)K[PB]的保護打開邏輯通道�,協(xié)商媒體流密鑰S[PB]��。步驟420:會話節(jié)點A通過S[AP]對傳輸?shù)挠糜跁挼拿襟w流進 行加密��,并將加密后的媒體流發(fā)送到代理P����。步驟421:代理P接收到該加密媒體流后,通過S[AP]對該加密 媒體流進行解密���。步驟422:代理P將解密后的媒體流傳輸至安全機關設置的監(jiān)聽 設備,由此監(jiān)聽設備獲得了解密后的媒體流��,即會話節(jié)點A傳輸?shù)囊?頻或音頻數(shù)據(jù)����,實現(xiàn)了對加密的安全會話的監(jiān)聽����。步驟423:代理P通過S[PB]對解密后的々某體流進行加密���,并將該加密后的媒體流發(fā)送帶會話節(jié)點B���。步驟424:會話節(jié)點B接收到該加密媒體流后,通過S[PB]對該 加密媒體流進行解密�,由此與會話節(jié)點A之間建立了會話。參考圖5�,為本發(fā)明監(jiān)聽安全會話的另一種組網結構示意圖,該 組網結構示意圖中包括合法監(jiān)聽機關設置的監(jiān)聽設備�����,對照圖3,將 GK與代理設備P的功能合成在一臺路由器C中�,該路由器C直接與 監(jiān)聽設備相連,用于接收監(jiān)聽設備發(fā)送的監(jiān)聽請求�,節(jié)點A與節(jié)點B 分別與路由器C相連。節(jié)點A���、節(jié)點B和路由器C之間可以不通過協(xié)商方式獲得信令共 享密鑰���,而是預先在節(jié)點A��、節(jié)點B和路由器C上配置信令共享密鑰���, 通過配置的信令共享密鑰建立信令保護通道,并在該信令保護通道內 協(xié)商媒體流密鑰�,路由器C根據(jù)媒體流密鑰可以對節(jié)點A傳輸?shù)拿襟w 流進行解密,并把解密后的媒體流傳輸給監(jiān)聽設備����,使得監(jiān)聽機關能 夠最終獲得需要的視頻或音頻數(shù)據(jù)。路由器C與節(jié)點A和節(jié)點B協(xié) 商的媒體流密鑰均不相同����,因此路由器C可以將解密后的媒體流用與 節(jié)點B協(xié)商的媒體流密鑰進行加密,實現(xiàn)對節(jié)點A和節(jié)點B之間傳 輸?shù)拿襟w流進行隔離���,保證媒體流的安全性��。參考圖6��,為結合圖5所示的組網結構示意圖監(jiān)聽安全會話的又 一個實施例流牙呈步驟601至步驟603:會話節(jié)點A和會話節(jié)點B通過路由器C通 信�,為了對安全會話進行監(jiān)聽���,在會話節(jié)點A配置與路由器C之間的 信令共享密鑰K[AC],在會話節(jié)點B配置與路由器C之間的信令共享 密鑰K[CB]�����,在路由器C分別配置與會話節(jié)點A和與會話節(jié)點B之間 的信令共享密鑰K[AC]和K[CB]���。步驟604:會話節(jié)點A要呼叫會話節(jié)點B,先向路由器C發(fā)送包 含信令共享密鑰K[AC]的呼叫請求�����,請求通過路由器C與會話節(jié)點B 進行會話����,由于路由器C上預先配置了信令共享密鑰K[AC],因此路 由器C能夠識別會話節(jié)點A發(fā)送的呼叫請求。步驟605:路由器C向會話節(jié)點B轉發(fā)發(fā)送包含信令共享密鑰K[CB]的呼叫請求���,由于會話節(jié)點B上預先配置了信令共享密鑰 K[CB],因此會話節(jié)點B能夠識別路由器C轉發(fā)的呼叫請求�。步驟606至步驟607:會話節(jié)點A與路由器C之間使用信令共享 密鑰K[AC]對傳輸?shù)男帕钸M行保護��,會話節(jié)點B與路由器C之間使用 信令共享密鑰K[CB]對傳輸?shù)男帕钸M行保護����。步驟608至步驟609:會話節(jié)點A與路由器C之間根據(jù)信令共享 密鑰K[AC]的保護打開邏輯通道����,協(xié)商媒體流密鑰S[AC];路由器C 與會話節(jié)點B之間根據(jù)信令共享密鑰K[CB]的保護打開邏輯通道���,協(xié) 商々某體流密鑰S[CB]��。步驟610:會話節(jié)點A通過S[AC]對傳輸?shù)挠糜跁挼摹┠丑w流進 行加密�,并將加密后的媒體流發(fā)送到路由器C���。步驟611:路由器C接收到該加密媒體流后���,通過S[AC]對該加 密媒體流進行解密。步驟612:路由器C將解密后的媒體流傳輸至安全機關設置的監(jiān) 聽設備�,由此監(jiān)聽設備獲得了解密后的媒體流,即會話節(jié)點A傳輸?shù)?視頻或音頻數(shù)據(jù)�,實現(xiàn)了對加密的安全會話的監(jiān)聽。步驟613:路由器C通過S[CB]對解密后的媒體流進行加密�,并 將該加密后的媒體流發(fā)送帶會話節(jié)點B。步驟614:會話節(jié)點B接收到該加密i某體流后�,通過S[CB]對該 加密媒體流進行解密,由此與會話節(jié)點A之間建立了會話���。與本發(fā)明監(jiān)聽安全會話的方法的實施例相對應�����,本發(fā)明還提供了 監(jiān)聽安全會話的系統(tǒng)的實施例�����。本發(fā)明監(jiān)聽安全會話的系統(tǒng)的一個實施例框圖如圖7所示該系統(tǒng)包括會話節(jié)點710����、網絡設備720及監(jiān)聽設備730���。其中���, 網絡設備720用于與所述會話節(jié)點710之間協(xié)商媒體流密鑰,通過所 述媒體流密鑰解密所述會話節(jié)點710傳輸?shù)拿襟w流�����,并將所述解密后 的媒體流發(fā)送至所述監(jiān)聽設備730����。本發(fā)明監(jiān)聽安全會話的系統(tǒng)的另一個實施例框圖如圖8所示該系統(tǒng)包括發(fā)起方會話節(jié)點810���、接收方會話節(jié)點820、網絡設備830及監(jiān)聽設備840�����。其中����,網絡設備830包括建立協(xié)商單元831,用于根據(jù)信令共 享密鑰與所述發(fā)起方會話節(jié)點810和接收方會話節(jié)點820之間建立信 令傳輸通道���,在所述信令傳輸通道內與所述發(fā)起方會話節(jié)點810和接 收方會話節(jié)點820分別協(xié)商媒體流密鑰����;解密發(fā)送單元832����,用于通 過與所述發(fā)起方會話節(jié)點810協(xié)商的媒體流密鑰解密所述發(fā)起方會話 節(jié)點810傳輸?shù)拿襟w流,將所述解密后的媒體流發(fā)送至所述監(jiān)聽設備 840,并通過與所述接收方會話節(jié)點820協(xié)商的纟某體流密鑰加密所述解 密后的媒體流��,將所述加密后的媒體流傳輸至所述接收方會話節(jié)點 820�。與本發(fā)明監(jiān)聽安全會話的方法和系統(tǒng)的實施例相對應,本發(fā)明還 提供了用于監(jiān)聽安全會話的網絡設備的實施例����。本發(fā)明網絡設備的一個實施例框圖如圖9所示該網絡設備包括協(xié)商單元910�����、解密單元920和發(fā)送單元930����。其中�����,協(xié)商單元910用于與會話節(jié)點之間協(xié)商媒體流密鑰�����;解密 單元920用于通過所述媒體流密鑰解密所述會話節(jié)點傳輸?shù)拿襟w流�; 發(fā)送單元930用于將所述解密后的媒體流發(fā)送至監(jiān)聽設備��。本發(fā)明網絡設備的另一個實施例框圖如圖IO所示該網絡設備包括建立單元1010��、協(xié)商單元1020���、解密單元1030���、 加密單元1040和發(fā)送單元1050���。其中,建立單元1010用于根據(jù)信令共享密鑰與所述會話節(jié)點之間 建立信令傳輸通道�����;協(xié)商單元1020用于在所述信令傳輸通道內與所述 會話節(jié)點協(xié)商所述媒體流密鑰���,進一 步當會話節(jié)點包括發(fā)起方會話節(jié) 點和接收方會話節(jié)點時�����,所述協(xié)商單元1020用于與發(fā)起方會話節(jié)點和 接收方會話節(jié)點分別協(xié)商第 一 媒體流密鑰和第二媒體流密鑰�;解密單 元1030用于通過所述媒體流密鑰解密所述會話節(jié)點傳輸?shù)拿襟w流�����,進 一步當會話節(jié)點包括發(fā)起方會話節(jié)點和接收方會話節(jié)點時����,所述解密 單元1030用于通過與發(fā)起方會話節(jié)點協(xié)商的第一媒體流密鑰解密所 述發(fā)起方會話節(jié)點傳輸?shù)拿襟w流,得到第一媒體流��;加密單元1040用于當會話節(jié)點包括發(fā)起方會話節(jié)點和接收方會話節(jié)點時,通過與所 述接收方會話節(jié)點協(xié)商的第 一媒體流密鑰加密所述第 一媒體流�,得到 第二媒體流;發(fā)送單元1050用于將所述第一媒體流發(fā)送至監(jiān)聽設備���, 并將所述第二媒體流傳輸至所述接收方會話節(jié)點����。具體的��,建立單元1010包括第一建立單元�,用于根據(jù)預先配置的信令共享密鑰與會話節(jié)點之間建立信令傳輸通道��;或第二建立單元��,用于協(xié)商信令共享密鑰�����,根據(jù)所述協(xié)商的信令共享密鑰與會話節(jié)點之 間建立信令傳輸通道���。由上述本發(fā)明實施例的描述可知��,本發(fā)明實施例通過網絡設備的 協(xié)商密鑰功能�����,能夠對會話節(jié)點之間傳輸?shù)拿襟w流進行加密和解密���, 并能夠將解密后的視頻或音頻數(shù)據(jù)傳輸給監(jiān)聽設備����,使得監(jiān)聽設備能夠正常監(jiān)聽會話節(jié)點之間傳輸?shù)募用苊襟w流����;并且由于網絡設備能夠分別與發(fā)起方會話節(jié)點和接收方會話節(jié)點協(xié)商密鑰,因此能夠在會話 節(jié)點之間提供隔離�����,提高了媒體流傳輸?shù)陌踩?���。本領域普通4支術人員可以理解實現(xiàn)上述實施例方法中的全部或部 分步驟是可以通過程序來指令相關的硬件來完成,所述的程序可以存儲于一計算機可讀取存儲介質中��,該程序在執(zhí)行時��,包括如下步驟 網絡設備與會話節(jié)點之間協(xié)商媒體流密鑰;通過所述媒體流密鑰解密 所述會話節(jié)點傳輸?shù)拿襟w流���,并將所述解密后的媒體流發(fā)送至監(jiān)聽設 備���。所述的存儲介質可以為ROM/RAM、磁石茱或光盤等�����。雖然通過實施例描繪了本發(fā)明�,本領域普通技術人員知道,本發(fā) 明有許多變形和變化而不脫離本發(fā)明的精神��,希望所附的權利要求包 括這些變形和變化而不脫離本發(fā)明的精神�。
權利要求
1. 一種監(jiān)聽安全會話的方法,其特征在于���,包括網絡設備與會話節(jié)點之間協(xié)商媒體流密鑰;通過所述媒體流密鑰解密所述會話節(jié)點傳輸?shù)拿襟w流��,并將所述解密后的媒體流發(fā)送至監(jiān)聽設備��。
2����、 根據(jù)權利要求1所述的方法�����,其特征在于���,還包括根據(jù)信令 共享密鑰與所述會話節(jié)點之間建立信令傳輸通道;所述與會話節(jié)點之間協(xié)商媒體流密鑰具體為在所述信令傳輸通 道內與所述會話節(jié)點協(xié)商所述媒體流密鑰�����。
3�、 根據(jù)權利要求2所述的方法,其特征在于�,所述根據(jù)信令共享 密鑰與會話節(jié)點之間建立信令傳輸通道包括根據(jù)預先配置的信令共享密鑰與會話節(jié)點之間建立信令傳輸通 道5 或與會話節(jié)點協(xié)商信令共享密鑰,根據(jù)所述協(xié)商的信令共享密鑰與 會話節(jié)點之間建立信令傳輸通道����。
4、 根據(jù)權利要求3所述的方法��,其特征在于����,所述協(xié)商信令共享 密鑰具體為網絡設備和所述會話節(jié)點分別與網守GK協(xié)議協(xié)商通信共享密鑰�;接收所述會話節(jié)點發(fā)送的包含信令共享密鑰的消息�����,所述信令共 享密鑰由所述GK根據(jù)所述通信共享密鑰生成���,并由所述GK傳輸至 所述會話節(jié)點��;解析所述消息獲得所述信令共享密鑰�。
5����、 根據(jù)權利要求1至4任意一項所述的方法,其特征在于����,所述 與會話節(jié)點之間協(xié)商媒體流密鑰包括與發(fā)起方會話節(jié),A協(xié)商第 一 媒 體流密鑰,與接收方會話節(jié)點協(xié)商第二媒體流密鑰�����;所述通過媒體流密鑰解密所述會話節(jié)點傳輸?shù)拿襟w流具體為通過所述第 一媒體流密鑰解密所述發(fā)起方會話節(jié)點傳輸?shù)拿襟w流�����,得到 第一媒體流�。
6、 根據(jù)權利要求5所述的方法����,其特征在于,還包括通過與所述第二媒體流密鑰加密所述第 一媒體流���,得到第二媒體流;將所述第二媒體流傳輸至所述接收方會話節(jié)點�。
7��、 一種監(jiān)聽安全會話的系統(tǒng)����,其特征在于,包括與會話節(jié)點和監(jiān) 聽設備進行通信的網絡設備���,用于與所述會話節(jié)點之間協(xié)商媒體流密 鑰���,通過所述媒體流密鑰解密所述會話節(jié)點傳輸?shù)拿襟w流,并將所述 解密后的媒體流發(fā)送至所述監(jiān)聽設備���。
8���、 根據(jù)權利要求7所述的系統(tǒng)����,其特征在于�����,所述網絡設備包括 建立協(xié)商單元�����,用于根據(jù)信令共享密鑰與所述會話節(jié)點之間建立信令傳輸通道�,在所述信令傳輸通道內與所述會話節(jié)點協(xié)商所述媒體 流密鑰;解密發(fā)送單元�,用于通過所述媒體流密鑰解密所述會話節(jié)點傳輸 的媒體流,并將所述解密后的媒體流發(fā)送至所述監(jiān)聽設備��。
9�����、 根據(jù)權利要求7所述的系統(tǒng)�,其特征在于,所述會話節(jié)點包括 發(fā)起方會話節(jié)點和接收方會話節(jié)點�����;所述網絡設備具體用于�,與發(fā)起方會話節(jié)點協(xié)商第 一媒體流密鑰, 與接收方會話節(jié)點協(xié)商第二媒體流密鑰��,通過所述第一媒體流密鑰解 密所述發(fā)起方會話節(jié)點傳輸?shù)拿襟w流�,得到第一媒體流,將所述第一 媒體流發(fā)送至所述監(jiān)聽設備��。
10�、 根據(jù)權利要求9所述的系統(tǒng),其特征在于�����,所述網絡設備進 一步用于���,通過所述第二媒體流密鑰加密所述第一媒體流�,得到第二 媒體流��,將所述第二媒體流傳輸至所述接收方會話節(jié)點��。
11����、 一種網絡設備�����,其特征在于����,包括 協(xié)商單元����,用于與會話節(jié)點之間協(xié)商媒體流密鑰;解密單元���,用于通過所述媒體流密鑰解密所述會話節(jié)點傳輸?shù)拿?體流�;發(fā)送單元�����,用于將所述解密后的媒體流發(fā)送至監(jiān)聽設備����。
12、 根據(jù)權利要求11所述的網絡設備,其特征在于��,還包括建 立單元�,用于根據(jù)信令共享密鑰與所述會話節(jié)點之間建立信令傳輸通道;所述協(xié)商單元具體用于�,在所述信令傳輸通道內與所述會話節(jié)點 協(xié)商所述媒體流密鑰��。
13�����、 根據(jù)權利要求12所述的網絡設備�����,其特征在于���,所述建立單元包括第一建立單元��,用于預先配置信令共享密鑰���,根據(jù)所述預先配置的信令共享密鑰與會話節(jié)點之間建立信令傳輸通道;或第二建立單元��,用于協(xié)商信令共享密鑰����,根據(jù)所述協(xié)商的信令共 享密鑰與會話節(jié)點之間建立信令傳輸通道��。
14��、 根據(jù)權利要求11至13任意一項所述的網絡設備����,其特征在 于����,所述協(xié)商單元具體用于,與發(fā)起方會話節(jié)點協(xié)商第一媒體流密鑰���, 與接收方會話節(jié)點協(xié)商第二媒體流密鑰�;所述解密單元具體用于���,通過所述第一々某體流密鑰解密所述發(fā)起 方會話節(jié)點傳輸?shù)拿襟w流�����,得到第一媒體流�;所述發(fā)送單元具體用于,將所述第 一媒體流發(fā)送至所述監(jiān)聽設備����。
15、 根據(jù)權利要求14所述的網絡設備�����,其特征在于�,還包括 加密單元����,用于通過所述第二i某體流密鑰加密所述第一々某體流,得到第二媒體流�;所述發(fā)送單元還用于,將所述第二媒體流傳輸至所述接收方會話 節(jié)點����。
全文摘要
本發(fā)明公開了一種監(jiān)聽安全會話的方法、系統(tǒng)及網絡設備���,所述方法包括網絡設備與會話節(jié)點之間協(xié)商媒體流密鑰�;通過所述媒體流密鑰解密所述會話節(jié)點傳輸?shù)拿襟w流��,并將所述解密后的媒體流發(fā)送至監(jiān)聽設備。應用本發(fā)明實施例�����,通過網絡設備的協(xié)商密鑰功能�,能夠對會話節(jié)點之間傳輸?shù)拿襟w流進行加密和解密,并能夠將解密后的視頻或音頻數(shù)據(jù)傳輸給監(jiān)聽設備���,使得監(jiān)聽設備能夠正常監(jiān)聽會話節(jié)點之間傳輸?shù)募用苊襟w流�����。
文檔編號H04L29/06GK101282250SQ20081009695
公開日2008年10月8日 申請日期2008年5月12日 優(yōu)先權日2008年5月12日
發(fā)明者徐凌峰 申請人:深圳華為通信技術有限公司