專利名稱:獲取密鑰管理服務(wù)器信息的方法��、監(jiān)聽(tīng)方法及系統(tǒng)���、設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信安全及合法監(jiān)聽(tīng)技術(shù),具體來(lái)說(shuō)�,是一種獲取密鑰管理服務(wù) 器信息的方法、監(jiān)聽(tīng)方法及系統(tǒng)���、設(shè)備�。
背景技術(shù):
目前在3GPP關(guān)于IP多媒體子系統(tǒng)(IMS)的媒體安全的最新技術(shù)規(guī)范TS33. 328 vl. 1. 0中���,提出了使用基于密鑰管理服務(wù)器的方案來(lái)保護(hù)IMS媒體流的端到端安全����。TS33. 328中的方案是基于密鑰管理服務(wù)器(KMS)和“ticket”的概念�,簡(jiǎn)單的描述 現(xiàn)有方案過(guò)程是會(huì)話呼叫方首先向KMS請(qǐng)求相關(guān)密鑰和一個(gè)ticket,在這個(gè)ticket中����,呼叫方向 KMS請(qǐng)求得到的相關(guān)密鑰會(huì)被加密后包含在其中;得到相關(guān)密鑰和ticket后���,呼叫方把ticket發(fā)給被叫方�����;由于被叫方無(wú)法解密ticket獲得其中包含的信息���,被叫方則將此ticket繼續(xù)發(fā) 送給KMS�,由KMS解密ticket并將其中的相關(guān)密鑰返回給被叫方���;呼叫方和被叫方可以利用共同的相關(guān)密鑰進(jìn)行加密的媒體流通信���。而網(wǎng)絡(luò)中可能存在不止一個(gè)KMS,當(dāng)存在多個(gè)KMS的情況時(shí)����,用戶將使用哪個(gè)KMS, 這涉及到KMS的分配方式�����。KMS的分配方式無(wú)非有兩種�����,一種是IMS核心網(wǎng)網(wǎng)元不參與的�����,由用戶自己預(yù)先配 置一個(gè)KMS ����;第二種是由IMS核心網(wǎng)網(wǎng)元參與的KMS的分配,由IMS核心網(wǎng)網(wǎng)元為用戶分配 供其使用的KMS?����,F(xiàn)有技術(shù)中�����,KMS的標(biāo)識(shí)被明文傳遞在信令中���,即在呼叫方發(fā)起會(huì)話的INVITE請(qǐng) 求中加入明文的所使用的KMS ID�,在截取信令后�,合法監(jiān)聽(tīng)設(shè)備獲取所需的密鑰材料和通 過(guò)明文獲知用戶所使用的KMS,再向相應(yīng)的KMS索要相關(guān)的密鑰材料���。由此可以看出�,現(xiàn)有 技術(shù)方案依賴于信令面的安全,安全系數(shù)較低���。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是�����,提供一種獲取密鑰管理服務(wù)器信息的方法�����、監(jiān)聽(tīng) 方法及系統(tǒng)����、設(shè)備����,使得在IP多媒體子系統(tǒng)中部署多個(gè)KMS時(shí),不依賴于信令面的安全而滿 足合法監(jiān)聽(tīng)需求�����。為了解決上述問(wèn)題�����,本發(fā)明公開(kāi)了一種獲取密鑰管理服務(wù)器(KMS)信息的方法, 包括在用戶設(shè)備進(jìn)行IP多媒體子系統(tǒng)(IMQ注冊(cè)的過(guò)程中���,將與該用戶設(shè)備對(duì)應(yīng)的 KMS信息存儲(chǔ)在事先設(shè)定的IMS核心網(wǎng)網(wǎng)元中�;當(dāng)合法監(jiān)聽(tīng)設(shè)備監(jiān)聽(tīng)所述用戶設(shè)備發(fā)起的會(huì)話時(shí)����,截取所述用戶設(shè)備發(fā)送的會(huì)話 請(qǐng)求信令�,并從該會(huì)話請(qǐng)求信令中獲取所述用戶設(shè)備的標(biāo)識(shí)信息,根據(jù)所述用戶設(shè)備的標(biāo) 識(shí)信息從所述IMS核心網(wǎng)網(wǎng)元中查找與該用戶對(duì)應(yīng)的KMS信息����。
進(jìn)一步地,上述方法中�,將與所述用戶設(shè)備對(duì)應(yīng)的KMS信息存儲(chǔ)在事先設(shè)定的IMS 核心網(wǎng)網(wǎng)元的過(guò)程如下所述用戶設(shè)備預(yù)先配置KMS信息時(shí),通過(guò)注冊(cè)消息將預(yù)先配置的KMS信息發(fā)送給 所述事先設(shè)定的IMS核心網(wǎng)網(wǎng)元�;所述事先設(shè)定的IMS核心網(wǎng)網(wǎng)元收到所述注冊(cè)消息,從中獲取并保存KMS信息����。或者��,將與所述用戶設(shè)備對(duì)應(yīng)的KMS信息存儲(chǔ)在事先設(shè)定的IMS核心網(wǎng)網(wǎng)元的過(guò) 程如下所述用戶設(shè)備向IMS核心網(wǎng)注冊(cè)時(shí)���,為該用戶設(shè)備分配相應(yīng)的KMS��,并將該KMS的 KMS信息存儲(chǔ)在所述事先設(shè)定的IMS核心網(wǎng)網(wǎng)元中��。其中�����,事先設(shè)定的IMS核心網(wǎng)網(wǎng)元為以下一種或幾種服務(wù)呼叫會(huì)話控制功能實(shí)體(S-CSCF)����、代理服務(wù)呼叫會(huì)話控制功能實(shí)體 (P-CSCF)、歸屬用戶服務(wù)器(HSS)�。所述合法監(jiān)聽(tīng)設(shè)備查找到與所述用戶設(shè)備對(duì)應(yīng)的KMS信息后,向該KMS索取所要 監(jiān)聽(tīng)的會(huì)話的所有必須的密鑰材料�����,生成會(huì)話密鑰�,進(jìn)行會(huì)話監(jiān)聽(tīng)。本發(fā)明公開(kāi)了一種監(jiān)聽(tīng)系統(tǒng)��,包括IP多媒體子系統(tǒng)(IMS)核心網(wǎng)網(wǎng)元和合法監(jiān)聽(tīng) 設(shè)備���,其中所述IMS核心網(wǎng)網(wǎng)元�����,用于在用戶設(shè)備進(jìn)行IMS注冊(cè)的過(guò)程中����,存儲(chǔ)與該用戶設(shè)備 對(duì)應(yīng)的KMS信息;所述合法監(jiān)聽(tīng)設(shè)備����,用于截取所述用戶發(fā)送的會(huì)話請(qǐng)求信令�����,并從該會(huì)話請(qǐng)求信 令中獲取發(fā)起會(huì)話的用戶設(shè)備的標(biāo)識(shí)信息����,根據(jù)所述用戶設(shè)備的標(biāo)識(shí)信息從所述IMS核心 網(wǎng)網(wǎng)元中查找與該用戶對(duì)應(yīng)的KMS信息。進(jìn)一步地���,上述系統(tǒng)中��,所述IMS核心網(wǎng)網(wǎng)元�,接收用戶設(shè)備發(fā)送的注冊(cè)消息�����,從 中獲取用戶預(yù)先配置的KMS信息,并保存�����。其中����,所述IMS核心網(wǎng)網(wǎng)元,在用戶設(shè)備進(jìn)行IMS用戶注冊(cè)時(shí)�,為該用戶設(shè)備分配 相應(yīng)的KMS,從并保存該KMS的KMS信息�。所述IMS核心網(wǎng)網(wǎng)元為以下一種或幾種服務(wù)呼叫會(huì)話控制功能實(shí)體(S-CSCF)、代理服務(wù)呼叫會(huì)話控制功能實(shí)體 (P-CSCF)�、歸屬用戶服務(wù)器(HSS)。所述合法監(jiān)聽(tīng)設(shè)備���,還用于向相應(yīng)的KMS索取所要監(jiān)聽(tīng)的會(huì)話的所有必須的密鑰 材料���,生成會(huì)話密鑰,進(jìn)行會(huì)話監(jiān)聽(tīng)����。本發(fā)明還公開(kāi)了一種監(jiān)聽(tīng)方法����,包括合法監(jiān)聽(tīng)設(shè)備獲取與所要監(jiān)聽(tīng)的會(huì)話相對(duì)應(yīng)的密鑰管理服務(wù)器(KMS)信息��,并在 該KMS上索取所要監(jiān)聽(tīng)的會(huì)話的所有必須的密鑰材料����,生成會(huì)話密鑰,進(jìn)行會(huì)話監(jiān)聽(tīng)�����。進(jìn)一步地�����,上述方法中���,所述合法監(jiān)聽(tīng)設(shè)備獲取與所要監(jiān)聽(tīng)的會(huì)話相對(duì)應(yīng)的KMS 信息的過(guò)程如下所述合法監(jiān)聽(tīng)設(shè)備截取所要監(jiān)聽(tīng)的會(huì)話的呼叫方發(fā)送的會(huì)話請(qǐng)求信令,從所述會(huì) 話請(qǐng)求信令中獲取所述呼叫方的標(biāo)識(shí)����,根據(jù)所述呼叫方的標(biāo)識(shí),在事先設(shè)定的存儲(chǔ)有會(huì)話 呼叫方及其KMS信息的IMS核心網(wǎng)網(wǎng)元中�,獲取與所要監(jiān)聽(tīng)的會(huì)話相對(duì)應(yīng)的KMS信息��。本發(fā)明還公開(kāi)了一種監(jiān)聽(tīng)設(shè)備�����,包括信息獲取模塊和處理模塊���,其中
所述信息獲取模塊,用于獲取密鑰管理服務(wù)器信息�;所述處理模塊,用于根據(jù)所述信息獲取模塊中的密鑰管理服務(wù)器信息�����,在該密鑰 管理服務(wù)器上獲取所要監(jiān)聽(tīng)的會(huì)話的所有密鑰材料�,生成會(huì)話密鑰,進(jìn)行會(huì)話監(jiān)聽(tīng)�����。其中�����,所述信息獲取模塊�,僅從截取的會(huì)話請(qǐng)求信令中獲取所述呼叫方的標(biāo)識(shí)��,根 據(jù)所述呼叫方的標(biāo)識(shí)����,在事先設(shè)定的存儲(chǔ)有會(huì)話呼叫方及其KMS信息的IMS核心網(wǎng)網(wǎng)元中�, 獲取與所要監(jiān)聽(tīng)的會(huì)話相對(duì)應(yīng)的KMS信息。本發(fā)明技術(shù)方案對(duì)用戶預(yù)設(shè)與網(wǎng)絡(luò)分配的兩種KMS的分配信息情況�,修改了相應(yīng) IMS注冊(cè)流程,將用戶與其對(duì)應(yīng)的KMS信息儲(chǔ)存在相應(yīng)的IMS核心網(wǎng)網(wǎng)元中�����,使得合法監(jiān)聽(tīng) 點(diǎn)能夠通過(guò)截取到的信令消息從IMS相應(yīng)網(wǎng)元獲知相應(yīng)的KMS��,從而避免用戶惡意篡改KMS ID或信令消息���,保證合法監(jiān)聽(tīng)設(shè)備找到正確的KMS進(jìn)行合法監(jiān)聽(tīng)。
圖1是本發(fā)明提出的監(jiān)聽(tīng)系統(tǒng)架構(gòu)圖���;圖2實(shí)施例1中IMS用戶注冊(cè)流程圖�;圖3實(shí)施例2中IMS用戶注冊(cè)流程圖�;圖4實(shí)施例3中IMS用戶注冊(cè)流程圖;圖5實(shí)施例3中IMS用戶發(fā)起會(huì)話的流程圖����。
具體實(shí)施例方式本發(fā)明的主要構(gòu)思是����,針對(duì)現(xiàn)有用戶預(yù)設(shè)KMS信息和網(wǎng)絡(luò)分配KMS信息的兩種場(chǎng) 景����,可以修改IMS注冊(cè)流程,從而將用戶設(shè)備與其對(duì)應(yīng)的KMS信息儲(chǔ)存在相應(yīng)的IMS核心網(wǎng) 網(wǎng)元中����,而合法監(jiān)聽(tīng)設(shè)備通過(guò)截取到的信令消息獲取用戶設(shè)備信息,再根據(jù)用戶設(shè)備信息 從IMS相應(yīng)網(wǎng)元中獲知相應(yīng)的KMS信息��,然后向相應(yīng)的KMS獲取相應(yīng)加密材料生成密鑰��,最 終可以監(jiān)聽(tīng)用戶的加密通話�����。下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明技術(shù)方案做進(jìn)一步詳細(xì)說(shuō)明�。一種監(jiān)聽(tīng)系統(tǒng),如圖1所示�,包括IMS核心網(wǎng)網(wǎng)元、UE A和UE B兩個(gè)IMS用戶(UE A為呼叫方,UE B為被叫方)�����、合法監(jiān)聽(tīng)設(shè)備Li�、KMSl、KMS2���、KMS3�,其中��,KMSl�、KMS2、KMS3 分別為該網(wǎng)絡(luò)中的可信的密鑰管理服務(wù)器�。UE A和UE B,用于進(jìn)行IMS用戶注冊(cè)����,以及進(jìn)行會(huì)話;IMS核心網(wǎng)網(wǎng)元���,用于在用戶設(shè)備(如UE A和UE B)進(jìn)行IMS用戶注冊(cè)過(guò)程中,儲(chǔ) 存該用戶設(shè)備及其對(duì)應(yīng)的KMS信息(如KMS ID)���;合法監(jiān)聽(tīng)設(shè)備���,用于通過(guò)IMS核心網(wǎng)中的接入點(diǎn)截取呼叫方發(fā)送的會(huì)話請(qǐng)求信 令��,并通過(guò)截取的會(huì)話請(qǐng)求信令獲得的呼叫方標(biāo)識(shí)(即UE A ID)�,再根據(jù)該呼叫方標(biāo)識(shí)����, 向IMS核心網(wǎng)網(wǎng)元,例如S-CSCF(服務(wù)呼叫會(huì)話控制功能實(shí)體�����,Call Session Control Function)����,查找與該呼叫方對(duì)應(yīng)的KMS ID,之后再向相應(yīng)的KMS要求用戶A����,B會(huì)話所使用 的密鑰材料,生成密鑰后實(shí)施合法監(jiān)聽(tīng)��。下面結(jié)合各種應(yīng)用場(chǎng)景介紹上述系統(tǒng)中合法監(jiān)聽(tīng)設(shè)備獲取密鑰管理服務(wù)器信息 的過(guò)程�。實(shí)施例1
本實(shí)施例適用于用戶預(yù)配置或者由其他機(jī)制預(yù)先獲得KMS信息,而無(wú)需IMS核心 網(wǎng)網(wǎng)元參與KMS分配的場(chǎng)景。此時(shí)�����,IMS用戶的注冊(cè)過(guò)程���,如圖2所示����,包括以下步驟步驟201����,UE發(fā)送一個(gè)SIP REGISTER (注冊(cè))請(qǐng)求給P-CSCF (代理服務(wù)呼叫會(huì)話 控制功能實(shí)體),該請(qǐng)求中包含要注冊(cè)的UE標(biāo)識(shí)和歸屬域的名稱�����,即I-CSCF(查詢服務(wù)呼叫 會(huì)話控制功能實(shí)體)地址���;步驟202�����,P-CSCF接收并處理注冊(cè)請(qǐng)求�,使用所提供的歸屬域名稱來(lái)解析I-CSCF 的IP地址;步驟203�����,I-CSCF將會(huì)聯(lián)系歸屬用戶服務(wù)器(HSS)����,以便為S-CSCF選擇過(guò)程來(lái)獲 取所需的S-CSCF能力要求���;步驟204�,在S-CSCF選定之后�����,I-CSCF將注冊(cè)請(qǐng)求轉(zhuǎn)發(fā)給選定的S-CSCF �����;步驟205����,由于S-CSCF發(fā)現(xiàn)該UE沒(méi)有授權(quán),因此���,向HSS索取認(rèn)證數(shù)據(jù)��;步驟206�����,S-CSCF通過(guò)一個(gè)401消息未授權(quán)相應(yīng)來(lái)對(duì)該用戶的注冊(cè)表示異議���;步驟207-208�����,IMS網(wǎng)絡(luò)將上述401消息轉(zhuǎn)發(fā)給UE ��;步驟209����,UE收到上述401消息�����,計(jì)算該401消息所提出的異議的響應(yīng)值��,再次發(fā) 送另一個(gè)注冊(cè)請(qǐng)求給P-CSCF��,該注冊(cè)請(qǐng)求中攜帶計(jì)算出的響應(yīng)值以及預(yù)先配置的KMS ID ;步驟210-211�,P-CSCF通過(guò)I-CSCF將攜帶有響應(yīng)值和KMS ID的注冊(cè)請(qǐng)求轉(zhuǎn)發(fā)給 相應(yīng)的S-CSCF ;步驟212���,S-CSCF接收上述注冊(cè)請(qǐng)求,檢查其中的響應(yīng)值����;步驟213,當(dāng)S-CSCF檢測(cè)響應(yīng)值正確時(shí)�,將從HSS下載該UE的用戶配置,同時(shí)存儲(chǔ) 注冊(cè)請(qǐng)求中攜帶的KMS ID��;步驟214-216��,并且P-CSCF通過(guò)一個(gè)2000K響應(yīng)來(lái)接受該注冊(cè)請(qǐng)求����。這樣,當(dāng)合法監(jiān)聽(tīng)設(shè)備需要監(jiān)聽(tīng)會(huì)話時(shí)�,截取呼叫方發(fā)送的會(huì)話請(qǐng)求信令,從中獲 取呼叫方信息���,再根據(jù)呼叫方信息從IMS相應(yīng)網(wǎng)元中獲知相應(yīng)的KMS信息�,然后向相應(yīng)的 KMS獲取相應(yīng)加密材料生成密鑰,最終可以監(jiān)聽(tīng)用戶的加密通話�����。在實(shí)際配置中�����,還可以根據(jù)運(yùn)營(yíng)商設(shè)備具體情況而選擇將KMS ID存儲(chǔ)在P-CSCF 或者HSS或者多個(gè)IMS核心網(wǎng)網(wǎng)元中����。優(yōu)選方案中,將KMS ID存儲(chǔ)在S-CSCF和/或HSS中���。實(shí)施例2本實(shí)施例適用于IMS核心網(wǎng)網(wǎng)元參與KMS分配的場(chǎng)景���,該場(chǎng)景下使用戶已經(jīng)預(yù)先 配置好KMS ID,由IMS核心網(wǎng)網(wǎng)元分配的KMS ID可以覆蓋用戶預(yù)配置的KMS ID。本實(shí)施例中IMU用戶的注冊(cè)過(guò)程如圖3所示�����,其與實(shí)施例2的不同之處僅在于步 驟309到步驟312中�����,IMS用戶在REGISTER消息里可以攜帶用戶預(yù)配置的KMS ID信息,也 可不攜帶任何KMS相關(guān)信息����,而在步驟314中,核心網(wǎng)網(wǎng)元將為該用戶分配KMS����,并將分配好 的KMS ID通過(guò)2000K消息發(fā)給IMS用戶,同時(shí)IMS核心網(wǎng)網(wǎng)元存儲(chǔ)該用戶及其對(duì)應(yīng)的KMS ID�����。這樣�,當(dāng)合法監(jiān)聽(tīng)設(shè)備需要監(jiān)聽(tīng)會(huì)話時(shí)����,截取呼叫方發(fā)送的會(huì)話請(qǐng)求信令,從中獲取呼 叫方信息����,再根據(jù)呼叫方信息從IMS相應(yīng)網(wǎng)元中獲知相應(yīng)的KMS信息,然后向相應(yīng)的KMS獲 取相應(yīng)加密材料生成密鑰����,最終可以監(jiān)聽(tīng)用戶的加密通話���。在本實(shí)施例中,由S-CSCF為用戶進(jìn)行KMS分配����,實(shí)際部署中,也可根據(jù)運(yùn)營(yíng)商設(shè)備的具體情況將KMS分配的功能實(shí)現(xiàn)放在其他IMS核心網(wǎng)網(wǎng)元中�,例如HSS等。實(shí)施例3本實(shí)施例適用于IMS用戶(UE A)預(yù)先配置KMSl為使用的KMS的場(chǎng)景��。UE A進(jìn)行IMS用戶注冊(cè)的過(guò)程���,如圖4所示�����,其與實(shí)施例1的不同之處在于�,步驟 509中UE A向IMS核心網(wǎng)中相應(yīng)的IMS核心網(wǎng)網(wǎng)元發(fā)送REGISTER信息時(shí)���,在該REGISTER信 息中攜帶預(yù)先配置的KMSl�����,而IMS核心網(wǎng)網(wǎng)元S-CSCF收到REGISTER信息中所攜帶的KMSl 后�,將該UE及其對(duì)應(yīng)的KMS ID綁定信息保存下來(lái)。之后���,當(dāng)UE A發(fā)起會(huì)話時(shí)�����,合法監(jiān)聽(tīng)設(shè) 備可以截取UE A發(fā)送的會(huì)話請(qǐng)求信令�����,從中獲取UE A信息�,再根據(jù)UE A信息從IMS相應(yīng) 網(wǎng)元中獲知相應(yīng)的KMS信息�����,然后向相應(yīng)的KMS獲取相應(yīng)加密材料生成密鑰����,最終可以監(jiān)聽(tīng) 用戶的加密通話��。具體地�,UE A發(fā)起會(huì)話的過(guò)程,如圖5所示,包括以下步驟步驟501�����,UE A首先向KMSl發(fā)出票據(jù)請(qǐng)求����;步驟502,KMSl 發(fā)放 ticket 給 UE A �����;步驟503����,UE A發(fā)出INVITE消息,該消息中包含ticket以及其他參數(shù)�;其中,其他參數(shù)具體可參見(jiàn)MIKEY-TICKET�����。步驟504�����,IMS核心網(wǎng)將INVITE消息轉(zhuǎn)發(fā)給被叫用戶,即UE B����,步驟505,UE B由于不能解密ticket���,因此��,則將此ticket繼續(xù)發(fā)送給KMSl��,讓 KMSl 解密該 ticket步驟506����,KMSl驗(yàn)證用戶并解密ticket并將其中的相關(guān)密鑰返回給UEB �;步驟507-508,應(yīng)答成功����,被叫方通過(guò)IMS網(wǎng)絡(luò)返回2000K消息給UE B�����,之后�,UE A 和UE B就可以利用共同的相關(guān)密鑰進(jìn)行加密的媒體流通信。其間,合法監(jiān)聽(tīng)設(shè)備可以截獲UE A發(fā)出的INVITE消息����,從中獲取UEA的ID,再根 據(jù)UE A的ID向相關(guān)IMS核心網(wǎng)網(wǎng)元獲取與UE A對(duì)應(yīng)的KMSID����,即KMSl,然后LI向KMSl 索取相關(guān)密鑰材料���,生成UE A和B的會(huì)話密鑰來(lái)監(jiān)聽(tīng)UE A和B的加密通話�����。下面再介紹本發(fā)明所提供的一種合法監(jiān)聽(tīng)設(shè)備��,該監(jiān)聽(tīng)設(shè)備包括信息獲取模塊和 處理模塊��。其中信息獲取模塊��,用于獲取密鑰管理服務(wù)器信息���;其中,信息獲取模塊可以按照現(xiàn)有技術(shù)��,截取發(fā)起會(huì)話的UE發(fā)送的會(huì)話請(qǐng)求信 息,從中獲取密鑰管理服務(wù)器信息(即KMS ID)�����;或者信息獲取模塊可以按照上述監(jiān)聽(tīng)系 統(tǒng)中合法監(jiān)聽(tīng)設(shè)備的操作����,通過(guò)截取的會(huì)話請(qǐng)求信令獲得的呼叫方標(biāo)識(shí)(即發(fā)起會(huì)話的UE ID),再根據(jù)該呼叫方標(biāo)識(shí)�,向IMS核心網(wǎng)網(wǎng)元,例如S-CSCF�����,查找與該呼叫方對(duì)應(yīng)的密鑰管 理服務(wù)器信息(即KMS ID)��。處理模塊��,用于根據(jù)信息獲取模塊中的密鑰管理服務(wù)器信息����,在該密鑰管理服務(wù) 器上獲取所要監(jiān)聽(tīng)的會(huì)話的所有密鑰材料,生成密鑰后實(shí)施監(jiān)聽(tīng)���。上述合法監(jiān)聽(tīng)設(shè)備實(shí)現(xiàn)合法監(jiān)聽(tīng)的過(guò)程包括以下步驟步驟A 合法監(jiān)聽(tīng)設(shè)備獲取所要監(jiān)聽(tīng)的會(huì)話對(duì)應(yīng)的KMS ID ����;該步驟中����,合法監(jiān)聽(tīng)設(shè)備可以按照現(xiàn)有技術(shù)獲取所要監(jiān)聽(tīng)的會(huì)話對(duì)應(yīng)的KMS ID ; 合法監(jiān)聽(tīng)設(shè)備也可以截取會(huì)話發(fā)起方發(fā)送的會(huì)話請(qǐng)求信令����,從中獲取會(huì)話發(fā)起方的標(biāo)識(shí), 并根據(jù)該會(huì)話發(fā)起方的標(biāo)識(shí)在事先設(shè)定的IMS核心網(wǎng)網(wǎng)元上查找對(duì)應(yīng)的KMS ID���。
步驟B 合法監(jiān)聽(tīng)設(shè)備在所獲取的KMS上獲取所要監(jiān)聽(tīng)的會(huì)話的所有密鑰材料����,生 成密鑰�,最終實(shí)施監(jiān)聽(tīng)。從上述實(shí)施例可以看出���,本發(fā)明技術(shù)方案提出了對(duì)應(yīng)于不同的KMS的配置方案 時(shí)�����,對(duì)用戶在IMS網(wǎng)絡(luò)注冊(cè)流程的修改��,從而完善了現(xiàn)有技術(shù)�����,不再依賴于會(huì)話時(shí)信令面的 保護(hù)����。本發(fā)明還可有其他多種實(shí)施例,也適用于網(wǎng)絡(luò)中只有一個(gè)KMS的情況�����。在不背離 本發(fā)明精神及其實(shí)質(zhì)的情況下���,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改 變和變形����,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍���。
權(quán)利要求
1.一種獲取密鑰管理服務(wù)器(KMS)信息的方法��,其特征在于�,在用戶設(shè)備進(jìn)行IP多媒體子系統(tǒng)(IMQ注冊(cè)的過(guò)程中,將與該用戶設(shè)備對(duì)應(yīng)的KMS信 息存儲(chǔ)在事先設(shè)定的IMS核心網(wǎng)網(wǎng)元中�����;當(dāng)合法監(jiān)聽(tīng)設(shè)備監(jiān)聽(tīng)所述用戶設(shè)備發(fā)起的會(huì)話時(shí)��,截取所述用戶設(shè)備發(fā)送的會(huì)話請(qǐng)求 信令�����,并從該會(huì)話請(qǐng)求信令中獲取所述用戶設(shè)備的標(biāo)識(shí)信息�,根據(jù)所述用戶設(shè)備的標(biāo)識(shí)信 息從所述事先設(shè)定的IMS核心網(wǎng)網(wǎng)元中查找與該用戶對(duì)應(yīng)的KMS信息�����。
2.如權(quán)利要求1所述的方法����,其特征在于,將與所述用戶設(shè)備對(duì)應(yīng)的KMS信息存儲(chǔ)在事先設(shè)定的IMS核心網(wǎng)網(wǎng)元的過(guò)程如下所述用戶設(shè)備預(yù)先配置KMS信息時(shí)����,通過(guò)注冊(cè)消息將預(yù)先配置的KMS信息發(fā)送給所述 事先設(shè)定的IMS核心網(wǎng)網(wǎng)元;所述事先設(shè)定的IMS核心網(wǎng)網(wǎng)元收到所述注冊(cè)消息���,從中獲取并保存KMS信息����。
3.如權(quán)利要求1所述的方法,其特征在于�����,將與所述用戶設(shè)備對(duì)應(yīng)的KMS信息存儲(chǔ)在事先設(shè)定的IMS核心網(wǎng)網(wǎng)元的過(guò)程如下所述用戶設(shè)備向IMS核心網(wǎng)注冊(cè)時(shí)����,為該用戶設(shè)備分配相應(yīng)的KMS,并將該KMS的KMS 信息存儲(chǔ)在所述事先設(shè)定的IMS核心網(wǎng)網(wǎng)元中����。
4.如權(quán)利要求1、2或3所述的方法�����,其特征在于���,事先設(shè)定的IMS核心網(wǎng)網(wǎng)元為以下一種或幾種服務(wù)呼叫會(huì)話控制功能實(shí)體(S-CSCF)�����、代理服務(wù)呼叫會(huì)話控制功能實(shí)體(P-CSCF)�、歸 屬用戶服務(wù)器(HSS)。
5.如權(quán)利要求1���、2或3所述的方法����,其特征在于����,所述合法監(jiān)聽(tīng)設(shè)備查找到與所述用戶設(shè)備對(duì)應(yīng)的KMS信息后��,向該KMS索取所要監(jiān)聽(tīng) 的會(huì)話的所有必須的密鑰材料��,生成會(huì)話密鑰�,進(jìn)行會(huì)話監(jiān)聽(tīng)。
6.一種監(jiān)聽(tīng)系統(tǒng)�,其特征在于,該系統(tǒng)包括IP多媒體子系統(tǒng)(IMS)核心網(wǎng)網(wǎng)元和合法 監(jiān)聽(tīng)設(shè)備�,其中所述IMS核心網(wǎng)網(wǎng)元,用于在用戶設(shè)備進(jìn)行IMS注冊(cè)的過(guò)程中��,存儲(chǔ)與該用戶設(shè)備對(duì)應(yīng) 的KMS信息����;所述合法監(jiān)聽(tīng)設(shè)備�����,用于截取所述用戶發(fā)送的會(huì)話請(qǐng)求信令���,并從該會(huì)話請(qǐng)求信令中 獲取發(fā)起會(huì)話的用戶設(shè)備的標(biāo)識(shí)信息,根據(jù)所述用戶設(shè)備的標(biāo)識(shí)信息從所述IMS核心網(wǎng)網(wǎng) 元中查找與該用戶對(duì)應(yīng)的KMS信息���。
7.如權(quán)利要求6所述的系統(tǒng)���,其特征在于,所述IMS核心網(wǎng)網(wǎng)元����,接收用戶設(shè)備發(fā)送的注冊(cè)消息,從中獲取用戶預(yù)先配置的KMS信 息��,并保存����。
8.如權(quán)利要求6所述的系統(tǒng),其特征在于�����,所述IMS核心網(wǎng)網(wǎng)元,在用戶設(shè)備進(jìn)行IMS用戶注冊(cè)時(shí)��,為該用戶設(shè)備分配相應(yīng)的KMS�, 從并保存該KMS的KMS信息。
9.如權(quán)利要求6�����、7或8所述的系統(tǒng)��,其特征在于�����,所述IMS核心網(wǎng)網(wǎng)元為以下一種或幾種服務(wù)呼叫會(huì)話控制功能實(shí)體(S-CSCF)�����、代理服務(wù)呼叫會(huì)話控制功能實(shí)體(P-CSCF)��、歸 屬用戶服務(wù)器(HSS)�。
10.如權(quán)利要求6�、7或8所述的系統(tǒng)��,其特征在于�����,所述合法監(jiān)聽(tīng)設(shè)備�����,還用于向相應(yīng)的KMS索取所要監(jiān)聽(tīng)的會(huì)話的所有必須的密鑰材 料�����,生成會(huì)話密鑰�����,進(jìn)行會(huì)話監(jiān)聽(tīng)�����。
11.一種監(jiān)聽(tīng)方法�,其特征在于�,該方法包括合法監(jiān)聽(tīng)設(shè)備獲取與所要監(jiān)聽(tīng)的會(huì)話相對(duì)應(yīng)的密鑰管理服務(wù)器(KMS)信息,并在該 KMS上索取所要監(jiān)聽(tīng)的會(huì)話的所有必須的密鑰材料�,生成會(huì)話密鑰���,進(jìn)行會(huì)話監(jiān)聽(tīng)。
12.如權(quán)利要求11所述的方法���,其特征在于�,所述合法監(jiān)聽(tīng)設(shè)備獲取與所要監(jiān)聽(tīng)的會(huì)話相對(duì)應(yīng)的KMS信息的過(guò)程如下所述合法監(jiān)聽(tīng)設(shè)備截取所要監(jiān)聽(tīng)的會(huì)話的呼叫方發(fā)送的會(huì)話請(qǐng)求信令���,從所述會(huì)話請(qǐng) 求信令中獲取所述呼叫方的標(biāo)識(shí)�����,根據(jù)所述呼叫方的標(biāo)識(shí)�����,在事先設(shè)定的存儲(chǔ)有會(huì)話呼叫 方及其KMS信息的IMS核心網(wǎng)網(wǎng)元中,獲取與所要監(jiān)聽(tīng)的會(huì)話相對(duì)應(yīng)的KMS信息��。
13.—種監(jiān)聽(tīng)設(shè)備�,其特征在于,該設(shè)備包括信息獲取模塊和處理模塊�����,其中所述信息獲取模塊,用于獲取密鑰管理服務(wù)器信息�;所述處理模塊,用于根據(jù)所述信息獲取模塊中的密鑰管理服務(wù)器信息��,在該密鑰管理 服務(wù)器上獲取所要監(jiān)聽(tīng)的會(huì)話的所有密鑰材料�,生成會(huì)話密鑰,進(jìn)行會(huì)話監(jiān)聽(tīng)�����。
14.如權(quán)利要求13所述的設(shè)備�����,其特征在于���,所述信息獲取模塊�,僅從截取的會(huì)話請(qǐng)求信令中獲取所述呼叫方的標(biāo)識(shí)�,根據(jù)所述呼 叫方的標(biāo)識(shí),在事先設(shè)定的存儲(chǔ)有會(huì)話呼叫方及其KMS信息的IMS核心網(wǎng)網(wǎng)元中���,獲取與所 要監(jiān)聽(tīng)的會(huì)話相對(duì)應(yīng)的KMS信息���。
全文摘要
本發(fā)明公開(kāi)了一種獲取密鑰管理服務(wù)器信息的方法�、監(jiān)聽(tīng)方法及系統(tǒng)��、設(shè)備����,涉及網(wǎng)絡(luò)通信安全及合法監(jiān)聽(tīng)技術(shù)。本發(fā)明方法包括在用戶設(shè)備進(jìn)行IP多媒體子系統(tǒng)(IMS)注冊(cè)的過(guò)程中�,將與該用戶設(shè)備對(duì)應(yīng)的KMS信息存儲(chǔ)在事先設(shè)定的IMS核心網(wǎng)網(wǎng)元中;當(dāng)合法監(jiān)聽(tīng)設(shè)備監(jiān)聽(tīng)所述用戶設(shè)備發(fā)起的會(huì)話時(shí)�����,截取所述用戶設(shè)備發(fā)送的會(huì)話請(qǐng)求信令�,并從該會(huì)話請(qǐng)求信令中獲取所述用戶設(shè)備的標(biāo)識(shí)信息,根據(jù)所述用戶設(shè)備的標(biāo)識(shí)信息從所述IMS核心網(wǎng)網(wǎng)元中查找與該用戶對(duì)應(yīng)的KMS信息�����。本發(fā)明技術(shù)方案避免了用戶惡意篡改KMS ID或信令消息�����,保證合法監(jiān)聽(tīng)設(shè)備找到正確的KMS進(jìn)行合法監(jiān)聽(tīng)����。
文檔編號(hào)H04L29/06GK102055747SQ200910212359
公開(kāi)日2011年5月11日 申請(qǐng)日期2009年11月6日 優(yōu)先權(quán)日2009年11月6日
發(fā)明者朱允文, 田甜, 韋銀星, 高峰 申請(qǐng)人:中興通訊股份有限公司