技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，尤其涉及一種IP(Internet?Protocol，因特網(wǎng)協(xié)議) 多媒體子系統(tǒng)媒體點(diǎn)播業(yè)務(wù)的實(shí)現(xiàn)方法。

背景技術(shù)

在IP(Internet?Protocol，因特網(wǎng)協(xié)議)多媒體子系統(tǒng)(IMS)的媒體安 全的技術(shù)規(guī)范中，提出了對(duì)媒體點(diǎn)播的安全需求。

目前，與IMS媒體安全相關(guān)的技術(shù)文檔中還沒有關(guān)于在媒體點(diǎn)播系統(tǒng) 中如何安全地發(fā)送媒體流的具體解決方案，但已將Otway-Rees協(xié)議(一種 認(rèn)證和密碼交換協(xié)議)做為一個(gè)候選方案用于解決IMS媒體流安全問題。

以下將對(duì)Otway-Rees協(xié)議進(jìn)行簡單介紹，具體包括以下步驟：

(1)Alice生成一報(bào)文，該報(bào)文中包含：索引號(hào)I、Alice的標(biāo)識(shí)A、Bob 的標(biāo)識(shí)B和隨機(jī)數(shù)RA；用Alice和Trent共享的密鑰對(duì)該報(bào)文加密得到 EKAT(I，A，B，RA)，將索引號(hào)I、Alice的標(biāo)識(shí)A和Bob的標(biāo)識(shí)B與加密的 報(bào)文一起發(fā)送給Bob；

(2)Bob生成一報(bào)文，該報(bào)文中包含：索引號(hào)I、Alice的標(biāo)識(shí)A、Bob 的標(biāo)識(shí)B和隨機(jī)數(shù)RB；用Bob與Trent共享的密鑰對(duì)該報(bào)文加密得到EKBT(I， A，B，RB)，將索引號(hào)I、Alice的標(biāo)識(shí)A、Bob的標(biāo)識(shí)B、Alice的加密報(bào)文 EKAT(I，A，B，RA)、與Bob加密的報(bào)文EKBT(I，A，B，RB)一起發(fā)送給Trent；

(3)Trent生成一隨機(jī)會(huì)話密鑰K，然后生成兩個(gè)報(bào)文，一個(gè)用Trent 與Alice共享的密鑰對(duì)隨機(jī)數(shù)RA和會(huì)話密鑰K加密得到EKAT(K，RA)，另 一個(gè)用Trent與Bob共享的密鑰對(duì)隨機(jī)數(shù)RB和會(huì)話密鑰K加密得到EKBT(K， RB)；Trent將這兩個(gè)報(bào)文與索引號(hào)I一起發(fā)送給Bob；

(4)Bob將用Trent與Alice共享的密鑰加密的報(bào)文EKAT(K，RA)發(fā)送 給Alice；

至此，Bob和Alice都獲得了會(huì)話密鑰K。

圖1是基于Otway-Rees協(xié)議的IMS媒體流安全解決方案中進(jìn)行密鑰協(xié) 商以實(shí)現(xiàn)安全通話的方法流程圖。其中，密鑰管理服務(wù)器(KMS)作為可 信的第三方(相當(dāng)于Otway-Rees協(xié)議中的Trent)；通話雙方用戶A和用戶 B采用通用認(rèn)證機(jī)制(Generic?Bootstrapping?Architecture，簡稱為GBA)等 方式與KMS建立了安全信任關(guān)系(即共享密鑰)后，再通過雙方與KMS 的信任關(guān)系建立彼此的安全信任關(guān)系(即共享密鑰)。為了更清晰地對(duì)該方 法進(jìn)行描述，在以下的流程中省略了Otway?Rees協(xié)議所需的索引號(hào)和隨機(jī)數(shù) 等參數(shù)。如圖1所示，該方法包括如下步驟：

101：用戶A與密鑰管理服務(wù)器(KMS)采用通用認(rèn)證機(jī)制(GBA)或 其它方式協(xié)商得到共享密鑰Ka。

102：用戶B與密鑰管理服務(wù)器(KMS)采用通用認(rèn)證機(jī)制(GBA)或 其它方式協(xié)商得到共享密鑰Kb。

103：用戶A通過IMS網(wǎng)絡(luò)向用戶B發(fā)送呼叫請(qǐng)求(例如，INVITE消 息)，呼叫請(qǐng)求中包含以下參數(shù)：ID-A(用戶A的標(biāo)識(shí)符)，ID-B(用戶B 的標(biāo)識(shí)符)和Ea(ID-A，ID-B)；

其中，Ea(ID-A，ID-B)為采用共享密鑰Ka對(duì)ID-A、ID-B加密得到的密 文。

104：IMS網(wǎng)絡(luò)將用戶A的呼叫請(qǐng)求轉(zhuǎn)發(fā)給用戶B。

105：用戶B收到用戶A的呼叫請(qǐng)求后，向KMS發(fā)送媒體密鑰獲取請(qǐng) 求，該請(qǐng)求中包含以下參數(shù)：ID-A，ID-B，Ea(ID-A，ID-B)和Eb(ID-A，ID-B)；

其中，Eb(ID-A，ID-B)為采用共享密鑰Kb對(duì)ID-A和ID-B進(jìn)行加密得到 的密文。

106：KMS根據(jù)ID-A和ID-B獲取共享密鑰Ka和Kb，然后用Ka和 Kb分別解密Ea(ID-A，ID-B)和Eb(ID-A，ID-B)，驗(yàn)證解密得到的ID-A和ID-B 與明文的ID-A和ID-B是否一致；如果驗(yàn)證通過(即解密得到的ID-A和ID-B 與明文的ID-A和ID-B一致)，則KMS生成媒體密鑰K。

107：KMS分別用Ka和Kb加密媒體密鑰K，得到Ea(K)和Eb(K)，并 將Ea(K)和Eb(K)包含在媒體密鑰獲取響應(yīng)中發(fā)送給用戶B。

108：用戶B對(duì)Eb(K)進(jìn)行解密，得到媒體密鑰K。