基于h.248協(xié)議的專用通道密鑰協(xié)商方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種基于H.248協(xié)議的專用通道密鑰協(xié)商方法，在專用H.248協(xié)議擴(kuò)展包支持下經(jīng)過以下步驟：媒體網(wǎng)關(guān)控制設(shè)備向媒體網(wǎng)關(guān)申請(qǐng)指定資源，指示其進(jìn)入正確的工作狀態(tài)并打開專用通道；專用通道設(shè)置完成后，媒體網(wǎng)關(guān)控制設(shè)備與媒體網(wǎng)關(guān)通過專用通道（透?jìng)骰蚪换ネǖ溃┻M(jìn)行數(shù)據(jù)的傳輸；媒體網(wǎng)關(guān)根據(jù)接收的數(shù)據(jù)協(xié)商密鑰，協(xié)商完成后，將協(xié)商結(jié)果上報(bào)給媒體網(wǎng)關(guān)控制設(shè)備，同時(shí)媒體網(wǎng)關(guān)控制設(shè)備指示媒體網(wǎng)關(guān)退出通道。本發(fā)明同時(shí)還公開了一種基于H.248協(xié)議的專用通道密鑰協(xié)商裝置，包含以下模塊：專用通道控制模塊；通道數(shù)據(jù)傳輸模塊；密鑰協(xié)商模塊。
【專利說明】基于H.248協(xié)議的專用通道密鑰協(xié)商方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域，特別涉及基于H.248協(xié)議的專用通道密鑰協(xié)商方法和
>J-U ρ?α裝直。
【背景技術(shù)】
[0002]隨著數(shù)據(jù)通信業(yè)務(wù)的急速增長，分組交換數(shù)據(jù)網(wǎng)日益發(fā)展壯大。近年來，可以提供語音、數(shù)據(jù)和多媒體等業(yè)務(wù)的下一代網(wǎng)絡(luò)(Next Generation Network,以下簡稱NGN)已經(jīng)成為電信網(wǎng)發(fā)展的熱點(diǎn)。NGN是一個(gè)基于分組交換技術(shù)且高度融合的網(wǎng)絡(luò)架構(gòu)，基本解決了傳統(tǒng)網(wǎng)絡(luò)中存在的各種缺陷。為了能夠滿足客戶對(duì)各種高質(zhì)量業(yè)務(wù)的可靠性及安全性需求，在NGN通信網(wǎng)上增加部分加密內(nèi)容成為必須解決的問題。
[0003]媒體網(wǎng)關(guān)控制器(Media Gateway Controller,以下簡稱MGC)處于NGN分層網(wǎng)絡(luò)結(jié)構(gòu)的控制層，是信令消息的源點(diǎn)和終點(diǎn)，可通過多種協(xié)議控制整個(gè)網(wǎng)絡(luò)。在目前很多應(yīng)用中，隨著H.248協(xié)議不斷成熟和發(fā)展，這一媒體網(wǎng)關(guān)控制協(xié)議被大量采用。它吸收了媒體網(wǎng)關(guān)控制協(xié)議(Media Gateway Control Protocol,簡稱以下MGCP)等傳統(tǒng)媒體網(wǎng)關(guān)控制協(xié)議的優(yōu)點(diǎn)，把呼叫控制從媒體轉(zhuǎn)換中分離出來，并定義了媒體網(wǎng)關(guān)控制器對(duì)媒體網(wǎng)關(guān)(MediaGateway,以下簡稱MG)的控制方式和標(biāo)準(zhǔn)的基于IP網(wǎng)絡(luò)的通信格式。
[0004]在現(xiàn)有的技術(shù)專利中出現(xiàn)了 MGC通過H.248協(xié)議控制MG進(jìn)行密相關(guān)數(shù)據(jù)傳輸?shù)姆椒?。中國專利申?qǐng)?zhí)枮?00510035663.8的發(fā)明提出了一種媒體網(wǎng)關(guān)控制協(xié)議呼叫中的內(nèi)容傳輸方法。該方法中，在媒體網(wǎng)關(guān)控制協(xié)議的控制下，主叫、被叫媒體網(wǎng)關(guān)在互相發(fā)送報(bào)文時(shí)，在發(fā)送端對(duì)RFC2833`報(bào)文進(jìn)行了加密，在接收端對(duì)RFC2833報(bào)文進(jìn)行解密，即通過RFC2833協(xié)議傳輸密數(shù)據(jù)。加解密所用的密鑰預(yù)先配置在主叫、被叫媒體網(wǎng)關(guān)或由軟交換設(shè)備一次性下發(fā)。
[0005]在此專利的發(fā)明中，密鑰的下發(fā)預(yù)先配置或通過H.248協(xié)議一次性下發(fā)給媒體網(wǎng)關(guān)，并沒有提供一個(gè)專用的密鑰傳輸通道，因此通過RFC2833實(shí)現(xiàn)加解密的密鑰容易被網(wǎng)絡(luò)截獲或攻擊，存在安全隱患。
[0006]不同的通信機(jī)制下，由于安全機(jī)制不同，終端所存儲(chǔ)的相關(guān)密鑰數(shù)據(jù)從格式、使用方式是不一樣的。例如有用于存儲(chǔ)在終端及基站、核心網(wǎng)等網(wǎng)元的永久密鑰；有用于終端與核心網(wǎng)元之間推演下層密鑰的中間密鑰；有用于終端及基站、核心網(wǎng)等網(wǎng)元的共享密鑰等。因此對(duì)于處在不同通信體制網(wǎng)絡(luò)之間的網(wǎng)絡(luò)實(shí)體(如互通網(wǎng)關(guān)設(shè)備)需要存儲(chǔ)和處理不同機(jī)制的密鑰數(shù)據(jù)。這些密鑰數(shù)據(jù)可能是存在于終端與核心網(wǎng)設(shè)備之間直接交互，也有可能是核心網(wǎng)設(shè)備通過某個(gè)中間網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)或處理后再與終端進(jìn)行交互。不同的交互提供不同的安全強(qiáng)度的數(shù)據(jù)處理業(yè)務(wù)或功能。
[0007]H.248協(xié)議中沒有定義存儲(chǔ)不同密鑰數(shù)據(jù)的異網(wǎng)終端間實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)安全交互的方法?？紤]到安全性，在基于IP多媒體子系統(tǒng)架構(gòu)和軟交換的技術(shù)中，需要提供MGC和MG之間的直接/間接的透?jìng)?、交互通道?br/>【發(fā)明內(nèi)容】

[0008](一)要解決的技術(shù)問題
[0009]本發(fā)明的目的在于解決目前H.248協(xié)議中僅使用固定密鑰進(jìn)行協(xié)商，沒有提供一個(gè)靈活的密鑰配置和傳輸?shù)膶Ｓ猛ǖ?，從而?shí)現(xiàn)密鑰存儲(chǔ)的不可靠性及安全隱患的問題。
[0010](二)技術(shù)方案
[0011]本發(fā)明技術(shù)方案如下:
[0012]一種基于H.248協(xié)議的專用通道密鑰協(xié)商方法，所述方法包含以下步驟:
[0013]I)媒體網(wǎng)關(guān)控制設(shè)備通過H.248協(xié)議擴(kuò)展包向媒體網(wǎng)關(guān)申請(qǐng)指定資源，指示其進(jìn)入正確的工作狀態(tài)并打開專用通道；
[0014]2)專用通道設(shè)置完成后，媒體網(wǎng)關(guān)控制設(shè)備與媒體網(wǎng)關(guān)通過專用通道進(jìn)行數(shù)據(jù)的傳輸；
[0015]3)媒體網(wǎng)關(guān)協(xié)商密鑰，密鑰完成后通過H.248協(xié)議擴(kuò)展包檢測(cè)協(xié)商狀態(tài)，并將協(xié)商結(jié)果上報(bào)給媒體網(wǎng)關(guān)控制設(shè)備，媒體網(wǎng)關(guān)控制設(shè)備指示媒體網(wǎng)關(guān)退出通道。
[0016]優(yōu)選的，所述步驟I)中的擴(kuò)展包具有以下屬性相關(guān)信息:
[0017]終結(jié)點(diǎn)的承載類型，用于指示數(shù)據(jù)的承載通道類型；
[0018]終結(jié)點(diǎn)可支持的通信制式，為以下制式的一種或任意多種之間的組合，PSTN、ISDN、PHS、GSM、CDMA2000、WCDMA、TD-SCDMA, TD-LTE, FDD-LTE, IMS, SIP、集群、衛(wèi)星、海事；
[0019]終結(jié)點(diǎn)所在的域，對(duì)相同通信機(jī)制下的用戶進(jìn)行分群管理，為不同的用戶群設(shè)置不同的密鑰數(shù)據(jù)長度；
[0020]終結(jié)點(diǎn)類型，終結(jié)點(diǎn)類型為普通終結(jié)點(diǎn)或者密終結(jié)點(diǎn)。
[0021]優(yōu)選的，所述的承載通道工作方式為透?jìng)髂Ｊ交蚪换ツＪ?。?yōu)選的，不同通信制式在媒體網(wǎng)關(guān)存儲(chǔ)和處理相應(yīng)的不同機(jī)制的密鑰數(shù)據(jù)，在異網(wǎng)終端之間實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的安全交互。
[0022]優(yōu)選的，所述的終結(jié)點(diǎn)類型為普通終結(jié)點(diǎn)時(shí)，控制媒體網(wǎng)關(guān)不提供安全強(qiáng)度數(shù)據(jù)功能；終結(jié)點(diǎn)類型為密終結(jié)點(diǎn)時(shí)，控制媒體網(wǎng)關(guān)提供安全強(qiáng)度數(shù)據(jù)功能。
[0023]優(yōu)選的，所述步驟2)為通過H.248擴(kuò)展包定義的事件下發(fā)密同步狀態(tài)信息，下載及上傳自定義的密鑰數(shù)據(jù)進(jìn)行密鑰的協(xié)商過程。
[0024]優(yōu)選的，所述密鑰協(xié)商過程包含以下步驟:
[0025]媒體網(wǎng)關(guān)控制設(shè)備下發(fā)密同步事件，媒體網(wǎng)關(guān)處于接入就緒狀態(tài)，打開專用的交互或透?jìng)魍ǖ?，?zhǔn)備開始密鑰協(xié)商；
[0026]通過H.248協(xié)議的擴(kuò)展包下發(fā)密同步開始命令；
[0027]若為交互通道，媒體網(wǎng)關(guān)控制設(shè)備通過H.248的密碼協(xié)議數(shù)據(jù)下載擴(kuò)展包將密鑰數(shù)據(jù)發(fā)送給媒體網(wǎng)關(guān)；
[0028]媒體網(wǎng)關(guān)將檢測(cè)到的事件上報(bào)給媒體網(wǎng)關(guān)控制設(shè)備，通過H.248協(xié)議的擴(kuò)展包進(jìn)行數(shù)據(jù)的上傳。
[0029]若為透?jìng)魍ǖ?，媒體網(wǎng)關(guān)將來自終端的密碼協(xié)議數(shù)據(jù)通過H.248協(xié)議打包上傳給媒體網(wǎng)關(guān)控制設(shè)備；
[0030]媒體網(wǎng)關(guān)控制設(shè)備經(jīng)相關(guān)處理，根據(jù)定義的H.248擴(kuò)展包下載相應(yīng)的密鑰數(shù)據(jù)發(fā)送給媒體網(wǎng)關(guān)。[0031]優(yōu)選的，所述步驟3)中所述的媒體網(wǎng)關(guān)協(xié)商密鑰的方法為根據(jù)密碼協(xié)商算法經(jīng)至少一次的協(xié)商獲得最終的密鑰。
[0032]一種基于H.248協(xié)議的專用通道密鑰協(xié)商裝置，所述方法包含以下模塊:
[0033]I)專用通道控制模塊，用于經(jīng)H.248協(xié)議擴(kuò)展包向媒體網(wǎng)關(guān)申請(qǐng)指定資源，指示其打開專用通道；
[0034]2)通道數(shù)據(jù)傳輸模塊，用于使用通道數(shù)據(jù)傳輸模塊，根據(jù)打開的透?jìng)骰蚪换ネǖ肋M(jìn)行數(shù)據(jù)的傳輸；
[0035]3)密鑰協(xié)商模塊，用于完成密鑰協(xié)商過程，完成后通過H.248協(xié)議擴(kuò)展包檢測(cè)協(xié)商狀態(tài)，并將協(xié)商結(jié)果上報(bào)給專用通道控制模塊。
[0036]優(yōu)選的，所述的專用通道控制模塊為網(wǎng)關(guān)控制設(shè)備。
[0037](三)有益效果
[0038]本發(fā)明通過采用媒體網(wǎng)關(guān)控制設(shè)備依據(jù)H.248協(xié)議擴(kuò)展包向媒體網(wǎng)關(guān)申請(qǐng)指定資源，指示其進(jìn)入正確的工作狀態(tài)并打開專用通道，然后在專用通道設(shè)置完成后，媒體網(wǎng)關(guān)控制設(shè)備與媒體網(wǎng)關(guān)通過專用通道(透?jìng)骰蚪换ネǖ?進(jìn)行數(shù)據(jù)的傳輸，最后媒體網(wǎng)關(guān)依據(jù)接收的數(shù)據(jù)協(xié)商密鑰，密鑰完成后通過H.248協(xié)議擴(kuò)展包檢測(cè)協(xié)商狀態(tài)，并將協(xié)商結(jié)果上報(bào)給媒體網(wǎng)關(guān)控制設(shè)備，同時(shí)媒體網(wǎng)關(guān)控制設(shè)備指示媒體網(wǎng)關(guān)退出通道的方法，解決了目前H.248協(xié)議中僅使用固定密鑰進(jìn)行協(xié)商，沒有提供一個(gè)可靈活配置和傳輸密鑰的專用通道，從而實(shí)現(xiàn)密鑰存儲(chǔ)的不可靠及存在安全隱患的問題。
【專利附圖】

【附圖說明】
[0039]圖1是本發(fā)明的一種基于H.248協(xié)議的專用通道密鑰協(xié)商方法的流程圖；
[0040]圖2是本發(fā)明的一種基于H.248協(xié)議的專用通道密鑰協(xié)商裝置的示意圖；
[0041]圖3是本發(fā)明的一種媒體網(wǎng)關(guān)控制設(shè)備與媒體網(wǎng)關(guān)交互的網(wǎng)絡(luò)結(jié)構(gòu)示意圖；
[0042]圖4是本發(fā)明的一種專用通道的數(shù)據(jù)傳輸交互示意圖。
【具體實(shí)施方式】
[0043]下面結(jié)合附圖和實(shí)施例，對(duì)本發(fā)明的【具體實(shí)施方式】做進(jìn)一步描述。以下實(shí)施例僅用于說明本發(fā)明，但不用來限制本發(fā)明的范圍。
[0044]如圖1所示的一種基于H.248協(xié)議的專用通道密鑰協(xié)商方法的流程圖，如圖2所示的一種基于H.248協(xié)議的專用通道密鑰協(xié)商裝置的示意圖，本發(fā)明采用如圖2所示的裝置并使用如圖3所示的方法建立基于H.248協(xié)議的專用密鑰協(xié)商通道。圖3給出了媒體網(wǎng)關(guān)控制設(shè)備通過H.248協(xié)議的擴(kuò)展包與媒體網(wǎng)關(guān)交互的網(wǎng)絡(luò)結(jié)構(gòu)圖。本發(fā)明通過H.248協(xié)議擴(kuò)展包的方法實(shí)現(xiàn)媒體網(wǎng)關(guān)控制設(shè)備與媒體網(wǎng)關(guān)之間的數(shù)據(jù)傳輸專用通道。
[0045]由于本發(fā)明僅涉及媒體網(wǎng)關(guān)控制設(shè)備和媒體網(wǎng)關(guān)之間的處理過程，為使本發(fā)明的目的和技術(shù)方案更加清楚，以下將結(jié)合附圖4對(duì)H.248協(xié)議擴(kuò)展包做進(jìn)一步詳細(xì)的說明。圖4給出了應(yīng)用H.248擴(kuò)展包形成專用通道數(shù)據(jù)傳輸?shù)脑敿?xì)流程。
[0046]1、媒體網(wǎng)關(guān)控制設(shè)備向媒體網(wǎng)關(guān)發(fā)出申請(qǐng)資源的請(qǐng)求。
[0047]具體地，通過H.248協(xié)議擴(kuò)展包，在H.248的資源請(qǐng)求命令中攜帶相關(guān)參數(shù)，對(duì)終結(jié)點(diǎn)屬性進(jìn)行擴(kuò)展，包括通信體制、終結(jié)點(diǎn)類型、承載類型，從而指示媒體網(wǎng)關(guān)分配相應(yīng)的媒體資源。結(jié)合H.248的擴(kuò)展包，媒體網(wǎng)關(guān)控制設(shè)備采用附圖4中添加(I)消息向媒體網(wǎng)關(guān)請(qǐng)求資源。
【權(quán)利要求】
1.一種基于H.248協(xié)議的專用通道密鑰協(xié)商方法，其特征在于，所述方法包含以下步驟: 1)媒體網(wǎng)關(guān)控制設(shè)備通過H.248協(xié)議擴(kuò)展包向媒體網(wǎng)關(guān)申請(qǐng)指定資源，指示其進(jìn)入正確的工作狀態(tài)并打開專用通道； 2)專用通道設(shè)置完成后，媒體網(wǎng)關(guān)控制設(shè)備與媒體網(wǎng)關(guān)通過專用通道進(jìn)行數(shù)據(jù)的傳輸; 3)媒體網(wǎng)關(guān)協(xié)商密鑰，密鑰完成后通過H.248協(xié)議擴(kuò)展包檢測(cè)協(xié)商狀態(tài)，并將協(xié)商結(jié)果上報(bào)給媒體網(wǎng)關(guān)控制設(shè)備，媒體網(wǎng)關(guān)控制設(shè)備指示媒體網(wǎng)關(guān)退出通道。
2.根據(jù)權(quán)利要求1所述的一種基于H.248協(xié)議的專用通道密鑰協(xié)商方法，其特征在于，所述步驟I)中的擴(kuò)展包具有以下屬性相關(guān)信息: 終結(jié)點(diǎn)的承載類型，用于指示數(shù)據(jù)的承載通道類型； 終結(jié)點(diǎn)可支持的通信制式，為以下制式的一種或任意多種之間的組合，PSTN、ISDN、PHS、GSM、CDMA2000、WCDMA, TD-SCDMA, TD-LTE, FDD-LTE, IMS, SIP、集群、衛(wèi)星、海事； 終結(jié)點(diǎn)所在的域，對(duì)相同通信機(jī)制下的用戶進(jìn)行分群管理，為不同的用戶群設(shè)置不同的密鑰數(shù)據(jù)長度； 終結(jié)點(diǎn)類型，終結(jié)點(diǎn)類型為普通終結(jié)點(diǎn)或者密終結(jié)點(diǎn)。
3.根據(jù)權(quán)利要求2所述的一種基于H.248協(xié)議的專用通道密鑰協(xié)商方法，其特征在于所述的承載通道工作方式為透?jìng)髂Ｊ交蚪换ツＪ?。`
4.根據(jù)權(quán)利要求2所述的一種基于H.248協(xié)議的專用通道密鑰協(xié)商方法，其特征在于不同通信制式在媒體網(wǎng)關(guān)存儲(chǔ)和處理相應(yīng)的不同機(jī)制的密鑰數(shù)據(jù)，可實(shí)現(xiàn)異網(wǎng)終端之間業(yè)務(wù)數(shù)據(jù)的安全交互。
5.根據(jù)權(quán)利要求2所述的一種基于H.248協(xié)議的專用通道密鑰協(xié)商方法，其特征在于所述的終結(jié)點(diǎn)類型為普通終結(jié)點(diǎn)時(shí)，媒體網(wǎng)關(guān)不提供安全強(qiáng)度數(shù)據(jù)功能；終結(jié)點(diǎn)類型為密終結(jié)點(diǎn)時(shí)，媒體網(wǎng)關(guān)提供安全強(qiáng)度數(shù)據(jù)功能。
6.根據(jù)權(quán)利要求1所述的一種基于H.248協(xié)議的專用通道密鑰協(xié)商方法，其特征在于，所述步驟2)為通過H.248擴(kuò)展包定義的事件下發(fā)密同步狀態(tài)信息，下載及上傳自定義的密鑰數(shù)據(jù)進(jìn)行密鑰的協(xié)商過程。
7.根據(jù)權(quán)利要求6所述的一種基于H.248協(xié)議的專用通道密鑰協(xié)商方法，其特征在于，所述密鑰協(xié)商過程包含以下步驟: 媒體網(wǎng)關(guān)控制設(shè)備下發(fā)密同步事件，媒體網(wǎng)關(guān)處于接入就緒狀態(tài)，打開專用的交互或透?jìng)魍ǖ?，?zhǔn)備開始密鑰協(xié)商； 通過H.248協(xié)議的擴(kuò)展包下發(fā)密同步開始命令； 若為交互通道，媒體網(wǎng)關(guān)控制設(shè)備通過H.248的密碼協(xié)議數(shù)據(jù)下載擴(kuò)展包將密鑰數(shù)據(jù)發(fā)送給媒體網(wǎng)關(guān)；媒體網(wǎng)關(guān)將檢測(cè)到的事件上報(bào)給媒體網(wǎng)關(guān)控制設(shè)備，通過H.248協(xié)議的擴(kuò)展包進(jìn)行數(shù)據(jù)的上傳。 若為透?jìng)魍ǖ?，媒體網(wǎng)關(guān)將來自終端的密碼協(xié)議數(shù)據(jù)通過H.248協(xié)議打包上傳給媒體網(wǎng)關(guān)控制設(shè)備；媒體網(wǎng)關(guān)控制設(shè)備經(jīng)相關(guān)處理，根據(jù)定義的H.248擴(kuò)展包下載相應(yīng)的密鑰數(shù)據(jù)發(fā)送給媒體網(wǎng)關(guān)。
8.根據(jù)權(quán)利要求1所述的一種基于H.248協(xié)議的專用通道密鑰協(xié)商方法，其特征在于，所述步驟3)中所述的媒體網(wǎng)關(guān)協(xié)商密鑰的方法為根據(jù)密碼協(xié)商算法經(jīng)至少一次的協(xié)商獲得最終的密鑰。
9.一種基于H.248協(xié)議的專用通道密鑰協(xié)商裝置，其特征在于，所述方法包含以下模塊: 1)專用通道控制模塊，用于經(jīng)H.248協(xié)議擴(kuò)展包向媒體網(wǎng)關(guān)申請(qǐng)指定資源，指示其打開專用通道； 2)通道數(shù)據(jù)傳輸模塊，用于打開的透?jìng)骰蚪换ネǖ肋M(jìn)行數(shù)據(jù)的傳輸； 3)密鑰協(xié)商模塊，用于完成密鑰協(xié)商過程，完成后通過H.248協(xié)議擴(kuò)展包檢測(cè)協(xié)商狀態(tài)，并將協(xié)商結(jié)果上報(bào)給專用通道控制模塊。
10.根據(jù)權(quán)利要求9所述的一種基于H.248協(xié)議的專用通道密鑰協(xié)商裝置，其特征在于，所述的專用通道控制模 塊為媒體網(wǎng)關(guān)控制設(shè)備。
【文檔編號(hào)】H04L29/06GK103560875SQ201310379636
【公開日】2014年2月5日 申請(qǐng)日期:2013年8月27日 優(yōu)先權(quán)日:2013年8月27日
【發(fā)明者】劉茹, 王斌, 曹睿學(xué), 葉瑯 申請(qǐng)人:興唐通信科技有限公司