專利名稱:用于分析同時(shí)傳輸?shù)募用軘?shù)據(jù)流的方法
用于分析同時(shí)傳輸?shù)募用軘?shù)據(jù)流的方法
背景技術(shù):
在通信網(wǎng)絡(luò)中�����、尤其是在網(wǎng)絡(luò)電話(VoIP)通信網(wǎng)絡(luò)中���,通常提供RTP協(xié)議(Real Time Protocol���,實(shí)時(shí)協(xié)議)以用于傳輸由數(shù)據(jù)分組形成的數(shù)據(jù)流或多媒體數(shù)據(jù)流��、即有用 信息或語音信息����。該RTP協(xié)議在RFC標(biāo)準(zhǔn)1889中或自從2003年起在RFC標(biāo)準(zhǔn)3550中被 定義����。由于增長的安全性要求,相當(dāng)長時(shí)間以來都以加密的方式傳輸數(shù)據(jù)流���,其中在RFC標(biāo) 準(zhǔn)3711中描述有該安全的RTP協(xié)議����。在此�����,以特定于數(shù)據(jù)流的方式分配或使用加密所需的 密鑰信息�。例如,對于基于IP的通信網(wǎng)絡(luò)中的兩個(gè)終端之間的多媒體會(huì)話�����,分別在一個(gè)傳 輸方向上傳輸音頻數(shù)據(jù)流和視頻數(shù)據(jù)流���。在涉及兩個(gè)傳輸方向的情況下���,在一個(gè)多媒體會(huì) 話中要傳輸四個(gè)數(shù)據(jù)流�,這些數(shù)據(jù)流被分別獨(dú)立地加密����、即以特定于數(shù)據(jù)流的方式被加密。 在連接信令期間_例如SIP協(xié)議(Session InitiationProtocol���,會(huì)話初始化協(xié)議)-為相 應(yīng)的會(huì)話或相應(yīng)的數(shù)據(jù)流分配或協(xié)商所述密鑰信息�����,其中使用特定密鑰-例如Preshared Secrets (預(yù)共享密鑰)_對該連接信令進(jìn)行加密,該特定密鑰即使在所述數(shù)據(jù)流被盜讀 (Mitlesen)時(shí)也不能夠被識別����。在通信網(wǎng)絡(luò)中,在大多數(shù)情況下有多個(gè)數(shù)據(jù)流或多媒體數(shù)據(jù)流通過傳輸路段或傳 輸段被傳輸�����。對于在通信網(wǎng)絡(luò)中所出現(xiàn)的問題狀況����,對所傳輸?shù)臄?shù)據(jù)流的分析或診斷是必 要的�����,以便對錯(cuò)誤進(jìn)行定位或限定范圍���。對于錯(cuò)誤分析或診斷來說,對未加密數(shù)據(jù)流的重構(gòu) 在大多數(shù)情況下是必要的���。通常在傳輸段中對多個(gè)同時(shí)按照RTP協(xié)議進(jìn)行傳輸?shù)臄?shù)據(jù)流執(zhí) 行分析或診斷��,其中數(shù)據(jù)流���、例如RTP數(shù)據(jù)流中的加密信息不可用并且即使在連接信令期 間也不能被確定,因?yàn)樾帕钚畔⒈患用芮颐荑€信息被再次加密以及所使用的密鑰信息不可 用����。
發(fā)明內(nèi)容
本發(fā)明所基于的任務(wù)在于,改進(jìn)對單獨(dú)或同時(shí)傳輸?shù)木哂袛?shù)據(jù)分組的數(shù)據(jù)流的分 析或診斷���,其中按照用于傳輸數(shù)據(jù)流的網(wǎng)絡(luò)協(xié)議以特定于數(shù)據(jù)流的方式形成數(shù)據(jù)流并且對 該數(shù)據(jù)流以特定于數(shù)據(jù)流的方式進(jìn)行加密���。該任務(wù)通過權(quán)利要求1和10的特征解決�����。根據(jù)本發(fā)明方法的重要特征在于����,作為密鑰數(shù)據(jù)分組所形成的數(shù)據(jù)分組被插入到 所形成的各數(shù)據(jù)流中�����,利用所述數(shù)據(jù)流傳輸用于各數(shù)據(jù)流的特定于數(shù)據(jù)流的密鑰信息���。為 了分析��,在所述數(shù)據(jù)流中搜索至少一個(gè)密鑰數(shù)據(jù)分組并且確定特定于數(shù)據(jù)流的密鑰信息以 及借助于所確定的特定于數(shù)據(jù)流的密鑰信息對所屬的數(shù)據(jù)流進(jìn)行解密�����。本發(fā)明的重要優(yōu)點(diǎn)在于,可以用少的管理成本形成和插入密鑰信息��,并且用于分 析或診斷同時(shí)傳輸?shù)臄?shù)據(jù)流的成本可以顯著減少�。有利地,可以只在當(dāng)前執(zhí)行對數(shù)據(jù)流的 診斷或分析時(shí)�����,才開啟或促使密鑰數(shù)據(jù)分組的插入。根據(jù)本發(fā)明的實(shí)施方案���,在所述網(wǎng)絡(luò)協(xié)議中為密鑰數(shù)據(jù)分組確定數(shù)據(jù)分組類型���, 使得在根據(jù)網(wǎng)絡(luò)協(xié)議接收到所述數(shù)據(jù)流時(shí)丟棄所述密鑰數(shù)據(jù)分組。由此保證���,在根據(jù)網(wǎng)絡(luò) 協(xié)議傳輸數(shù)據(jù)分組時(shí)�����,所述密鑰信息不能被根據(jù)網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)接收方讀取����?���?商鎿Q地,作 為用于所述密鑰數(shù)據(jù)分組的數(shù)據(jù)分組類型�����,定義對于所述網(wǎng)絡(luò)協(xié)議是新的數(shù)據(jù)分組類型,或提供未被使用的數(shù)據(jù)分組類型�����,其中在根據(jù)網(wǎng)絡(luò)協(xié)議進(jìn)行傳輸時(shí)����,所述數(shù)據(jù)分組不被根 據(jù)網(wǎng)絡(luò)協(xié)議的接收方讀取。根據(jù)本發(fā)明的另一有利的實(shí)施方案�,所述密鑰數(shù)據(jù)分組由數(shù)據(jù)分組來表示,其中 在該數(shù)據(jù)分組的報(bào)頭或擴(kuò)展報(bào)頭中插入所述密鑰信息�����,其中報(bào)頭信息被形成為使得在根據(jù) 網(wǎng)絡(luò)協(xié)議接收到數(shù)據(jù)流時(shí)丟棄所述密鑰信息�����。根據(jù)本發(fā)明方法的其它有利的擴(kuò)展方案以及根據(jù)本發(fā)明分析單元的實(shí)施方案可 以從其它權(quán)利要求中獲悉�。
下面,參照兩個(gè)附圖進(jìn)一步解釋本發(fā)明及其擴(kuò)展方案���。在此圖1以方框圖示出用于執(zhí)行根據(jù)本發(fā)明方法的通信裝置,以及圖2示出被提供用于該通信裝置的根據(jù)本發(fā)明的密鑰數(shù)據(jù)分組�。
具體實(shí)施例方式圖1以方框圖示例性地示出一種通信裝置�����,在該通信裝置中實(shí)現(xiàn)根據(jù)本發(fā)明的方 法�����,其中只示出根據(jù)本發(fā)明的方法被實(shí)施在其中或?qū)τ陉U述根據(jù)本發(fā)明的方法來說是必要 的那些部件�����。圖1以方框圖示例性地示出一種通信裝置��,在該通信裝置中實(shí)現(xiàn)根據(jù)本發(fā)明的方 法�,其中只示出根據(jù)本發(fā)明的方法被實(shí)施在其中或?qū)τ陉U述根據(jù)本發(fā)明的方法來說是必要 的那些部件�。該通信裝置被提供用于Voice Over IP(網(wǎng)絡(luò)電話),即用于以IP協(xié)議來傳輸語音 信息���,其中用標(biāo)準(zhǔn)化H. 323或SIP協(xié)議來執(zhí)行該信令��。對于語音和/或視頻傳輸來說��,優(yōu)選 使用RTP協(xié)議(Real Time Protocol����,實(shí)時(shí)協(xié)議),其中所述語音和/或視頻信息直接在通 過該信令連接的部件之間進(jìn)行傳輸��。該RTP協(xié)議在RFC標(biāo)準(zhǔn)1889或3550中被定義�����,并且 是一種針對通過基于IP的網(wǎng)絡(luò)對實(shí)時(shí)數(shù)據(jù)�、例如視聽數(shù)據(jù)或多媒體數(shù)據(jù)進(jìn)行連續(xù)傳輸?shù)?協(xié)議。在此���,對待傳輸?shù)臄?shù)據(jù)分組進(jìn)行編碼并且插入數(shù)據(jù)分組中以便通過基于IP的網(wǎng)絡(luò)進(jìn) 行傳輸�����,其中向每個(gè)會(huì)話分配至少一個(gè)數(shù)據(jù)流ds或者多個(gè)數(shù)據(jù)流��。RTP協(xié)議RTP被提供用 于單個(gè)數(shù)據(jù)流ds的傳輸���,以及用于多個(gè)數(shù)據(jù)流dsl. . n或數(shù)據(jù)分組的同時(shí)傳輸�。對于該實(shí) 施例假設(shè)����,在基于IP的網(wǎng)絡(luò)的部件之間同時(shí)傳輸多個(gè)數(shù)據(jù)流dsl. . n���、即多媒體流���。由于在傳輸數(shù)據(jù)流ds時(shí)增長的安全性要求��,越來越多地對數(shù)據(jù)流ds����、優(yōu)選地對根 據(jù)RTP協(xié)議RTP所傳輸?shù)臄?shù)據(jù)流ds進(jìn)行加密����。為此��,使用密鑰信息si來進(jìn)行加密,該密鑰 信息si對于相互間傳輸基于IP的網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)流的部件是已知的��。用于對RTP數(shù)據(jù)流進(jìn) 行加密的協(xié)議在根據(jù)RFC標(biāo)準(zhǔn)3711的SRTP協(xié)議(Secured Real Time Protocoll��,安全實(shí) 時(shí)傳輸協(xié)議)中被定義。在此�,使用提供高安全程度的對稱加密系統(tǒng)��。所述通信裝置包括第一部件K1����,該第一部件在該實(shí)施例中通過網(wǎng)關(guān)GW來表示。該 網(wǎng)關(guān)GW示例性地通過局域網(wǎng)LAN-在后面被稱為LAN并且在圖1中通過虛線描繪的橢圓形 來表明_與第二部件K2相連接�����,其中該第二部件在該實(shí)施例中通過因特網(wǎng)終端IP-E���、例如 多媒體終端設(shè)備MME來表示����。該LAN例如可以以物理方式和程序方式實(shí)現(xiàn)為以太網(wǎng)。此外對于該實(shí)施例假設(shè)��,同時(shí)有多個(gè)按照RTP協(xié)議RTP形成的數(shù)據(jù)流dsl ‘ ..n'或多媒體數(shù)據(jù)流要從網(wǎng)關(guān)GW傳輸?shù)揭蛱鼐W(wǎng)終端IP-E��。所述多個(gè)數(shù)據(jù)流dsl' ..n'例如 由音頻數(shù)據(jù)流和視頻數(shù)據(jù)流形成����,其中可以向每個(gè)會(huì)話分配音頻數(shù)據(jù)流和視頻數(shù)據(jù)流。另 外���,所述按照RTP協(xié)議RTP形成的數(shù)據(jù)流dsl' ..n'借助于加密單元VE以特定于數(shù)據(jù)流 的方式被加密��。這意味著����,為每個(gè)數(shù)據(jù)流dsl' ..n'提供不同的密鑰信息sil..n用于加 密�。對于RTP數(shù)據(jù)流ds來說����,優(yōu)選地借助于根據(jù)RFC標(biāo)準(zhǔn)3711的SRTP協(xié)議SRTP來執(zhí)行 所述加密。根據(jù)本發(fā)明����,應(yīng)該從以特定于數(shù)據(jù)流的方式被加密的數(shù)據(jù)流dsL.n中重新解密 出所加密的數(shù)據(jù)流dsl. . n,以便通過診斷單元DE對所述數(shù)據(jù)流進(jìn)行分析。通常���,診斷單元 DE不參與基于IP的網(wǎng)絡(luò)的建立有連接的部件之間的信令,其中在該信令的范圍內(nèi)為每個(gè) 數(shù)據(jù)流ds協(xié)商所使用的密鑰信息si。雖然該信令也可以通過診斷單元DE來分析,但是不 能確定用于數(shù)據(jù)流dsl. . n的密鑰信息sil. . n,因?yàn)樵撔帕畋患用芮颐荑€信息sil. . n被再 次加密,并且用于該加密的密鑰信息在診斷單元中不可用���,也不能從信令信息中確定出來���。 這意味著���,診斷單元DE不具有關(guān)于在數(shù)據(jù)流dsl. . n中所使用的密鑰信息si的信息�����。盡管如此��,為了對按照SRTP協(xié)議所形成的數(shù)據(jù)流dsl. . n進(jìn)行解密,使用根據(jù)本發(fā) 明的方法��,其中根據(jù)本發(fā)明的方法在該實(shí)施例的情況下涉及多個(gè)按照SRTP協(xié)議所形成的 數(shù)據(jù)流sdsl. . n從網(wǎng)關(guān)GW到IP終端IP-E的同時(shí)傳輸?��?梢栽谙鄬Φ膫鬏敺较蛏舷鄳?yīng)地 實(shí)現(xiàn)下面描述的方法和部件����。在網(wǎng)關(guān)GW中���,在加密單元VE中根據(jù)SRTP協(xié)議SRTP對數(shù)據(jù)流dsl' ..n'進(jìn)行加 密,其中該加密單元VE與插入單元IE —起設(shè)置在傳輸單元UE中���。所需的密鑰信息sil.. n被存儲(chǔ)在密鑰單元SE中并且供所述密鑰單元SE使用-在圖1中通過用sil. . n表示的箭 頭來表明。在此�����,為每個(gè)數(shù)據(jù)流dsl' ..n'提供一個(gè)密鑰信息sil.. n,也就是說以特定于 數(shù)據(jù)流的方式對數(shù)據(jù)流dsl' ..n'進(jìn)行加密����。 在密鑰單元SE中,額外地為每個(gè)數(shù)據(jù)流dsl. . n形成密鑰數(shù)據(jù)分組spl. . n,其中在 所述密鑰數(shù)據(jù)分組spl. . n中插入密鑰信息sil. . n,該密鑰信息sil. . n對于以特定于數(shù)據(jù) 流的方式加密的數(shù)據(jù)流dsl. . n的解密來說是必要的����。密鑰數(shù)據(jù)分組spl. . n和加密的數(shù)據(jù) 流dsl. . n被傳送給傳輸單元UE����。在傳輸單元UE中�����,密鑰數(shù)據(jù)分組spl. . n被以特定于數(shù)據(jù) 流的方式插入到數(shù)據(jù)流dsl. . n中,即在第一數(shù)據(jù)流dsl中插入第一密鑰數(shù)據(jù)分組spl��,在 第二數(shù)據(jù)流ds2中插入第二密鑰數(shù)據(jù)分組sp2等等����。優(yōu)選地�,分別連續(xù)地將密鑰數(shù)據(jù)分組 spl. . n插入到加密的數(shù)據(jù)流dsl. . n中��。將密鑰數(shù)據(jù)分組spl. . n插入到數(shù)據(jù)流dsl. . n中 通常通過數(shù)據(jù)分組復(fù)用器來實(shí)現(xiàn)-在圖1中由復(fù)用器三角形(Multiplexerdreieck)來表 明。為了在傳輸密鑰數(shù)據(jù)分組spl.. n時(shí)提高安全性���,可以對所述密鑰數(shù)據(jù)分組 (spl..n)進(jìn)行額外加密��。為此需要額外的密鑰信息�,該額外的密鑰信息由公共密鑰 spublic和專用密鑰spriv形成��。在此,在網(wǎng)關(guān)GW中的密鑰單元SE中提供該公共密鑰spub 以用于額外的加密�����,并且該公共密鑰被傳送給傳輸單元UE以用于對密鑰數(shù)據(jù)分組(spl.. n)進(jìn)行加密-在圖1中由以spub表示的箭頭來表明。在診斷單元DE中�����,專用密鑰spriv 由解密單元EE提供并且用于對額外加密的密鑰數(shù)據(jù)分組(sdpL.n)的解密-在圖1中由 解密單元EE中的附圖標(biāo)記spriv來表明���。包含密鑰數(shù)據(jù)分組spl. . n的數(shù)據(jù)流sdsl. . n通過LAN被傳輸?shù)絀P終端IP_E�����。為了對數(shù)據(jù)流sdsl. . n進(jìn)行診斷或分析的目的�����,提供有與LAN連接的診斷單元DE����。為了使包 含密鑰數(shù)據(jù)分組spl. . n的數(shù)據(jù)流sdsl. . n能夠被分析��,必須對加密的數(shù)據(jù)流sdsl. . n進(jìn)行 解密���。對此如開頭已經(jīng)所闡述的那樣�,對于每個(gè)加密的數(shù)據(jù)流dsl. . n,需要解密所需的密 鑰信息sil. . n�����。因?yàn)楦鶕?jù)本發(fā)明��,包含密鑰信息sil. . n的密鑰數(shù)據(jù)分組spl. . n被插入到 數(shù)據(jù)流sdsl. . n中�,所以在診斷單元DE中借助于監(jiān)視單元UEE搜索、讀取以及存儲(chǔ)各數(shù)據(jù) 流dsl. . n中的密鑰數(shù)據(jù)分組spl. . . n��。優(yōu)選地�����,不對完整的密鑰數(shù)據(jù)分組spl. . n��、而是只 對其中所包含的密鑰信息sil. . n進(jìn)行確定和存儲(chǔ)���。與各密鑰信息sil. . n —起地�����,還應(yīng)從 密鑰數(shù)據(jù)分組spl. . n中確定和存儲(chǔ)信息i (dsl. . n)�,為此為包含密鑰數(shù)據(jù)分組spl. . n的 數(shù)據(jù)流sdsl. . n提供密鑰信息sil. . n以用于解密����。此外在該實(shí)施例中假設(shè),借助于在監(jiān)視 裝置UEE中所提供的解復(fù)用功能-在圖1中由三角形表明_在從包含密鑰數(shù)據(jù)分組spl.. n的數(shù)據(jù)流sdsl. . n中確定和存儲(chǔ)所述密鑰數(shù)據(jù)分組spl. . n之后移除所發(fā)現(xiàn)的密鑰數(shù)據(jù)分 組spl. . n,并且只將加密的數(shù)據(jù)流dsl. . n傳送給解密單元EE�。密鑰信息sil. . n以及包括信息i (dsl. . n)同樣被輸送給解密單元ESE。在該解密 單元中����,借助于各密鑰信息sil. . n、即利用解密信息和所述信息i (dsl. . n)來對加密的數(shù) 據(jù)流sdsl.. n進(jìn)行解密���。在解密之后,未加密的數(shù)據(jù)流dsl' ..n'對于診斷單元DE中的 診斷或分析來說是可用的����。在診斷單元DE中,有利地還提供有插入在例如LAN與診斷單元DE之間的記錄單 元REC����,在該記錄單元REC中可以記錄包含密鑰數(shù)據(jù)分組spl. . n的數(shù)據(jù)流sdsl. . n。這樣����, 對所記錄的數(shù)據(jù)流sdsl. . n的分析或診斷可以在稍后的時(shí)刻進(jìn)行,例如在夜間記錄時(shí)以及 稍后在白天進(jìn)行診斷時(shí)�。可替換地�,記錄裝置REC還可以在對加密的數(shù)據(jù)流sdsl. . n解密 后被插入-未示出,其中數(shù)據(jù)流dsl' ..n'以未加密的形式提供用于診斷或分析。圖2示出插入有密鑰信息sil. . n的密鑰數(shù)據(jù)分組s p的協(xié)議結(jié)構(gòu)�����。該密鑰數(shù)據(jù)分 組sp根據(jù)RTP標(biāo)準(zhǔn)RTP形成并且按照RFC3550具有報(bào)頭RTPH-在行業(yè)中被稱為Header (報(bào) 頭)_以及有用部分RTPP-在行業(yè)中被稱為有用載荷�����。該RTP協(xié)議RTP被嵌入在UDP協(xié)議 UDP中����,其報(bào)頭UDPH被附加到RTP協(xié)議的報(bào)頭RTPH上。因?yàn)槭腔贗P的傳輸�,所以UDP協(xié) 議被打包在IP協(xié)議IPP中,為此附IP報(bào)頭IPH����。在通過LAN、尤其是以太網(wǎng)LAN進(jìn)行傳輸 時(shí)�,還要考慮相應(yīng)的協(xié)議元素_出于清楚的原因沒有示出這些協(xié)議元素。在RTP協(xié)議的報(bào)頭RTP中���,關(guān)于有效載荷類型PT的信息是根據(jù)本發(fā)明方法的重要 信息���。根據(jù)本發(fā)明使用有效載荷類型PT�,雖然在RTP協(xié)議RTP中對該有效載荷類型PT進(jìn)行 說明�,但是沒有為該RTP協(xié)議RTP分配有效載荷類型PT,其中在標(biāo)準(zhǔn)化階段中定義有效載荷 類型PT為“19”�,然而該有效載荷類型在后面并不被使用且目前被給出為“保留的”。因此�����, 對于確定作為密鑰數(shù)據(jù)分組spl. . n的RTP數(shù)據(jù)分組來說���,使用有效載荷類型19是有利的����。有效載荷類型TP根據(jù)下面的表1定位在標(biāo)準(zhǔn)化的RTP報(bào)頭RTPH中�����,其中編號0. . 9 分別表示1位���。012301234567890123456789012345678901+——+-+-+-------+-+-------------+-------------------------------+V = 2|P|X CC M PT| 序列號+---+-+-+-------+-+-------------+-------------------------------+
表 1用于各數(shù)據(jù)流dsl. . n的密鑰信息sil. . n被插入到密鑰數(shù)據(jù)分組sp的有用部分 RTPP中,其中在下面的表2中示出用于根據(jù)標(biāo)準(zhǔn)化的SRTP協(xié)議SRTP來解密的密鑰信息si����, 其中編號0.. 9分別表示1位�。012301234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Version | BeaconType F Rsv | NbCtx | NbKeys+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| SCIAuthTagLen | KEK SPI len | Encrypted KEK length+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Contexts +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Keys +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Encrypted KEK +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ KEK SPI +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ SCI Authentication tag +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+表 2在此��,在表1中存在的說明根據(jù)標(biāo)準(zhǔn)具有以下含義��。Version (版本)跟蹤信標(biāo)的版本�����。BeaconType 在跟蹤信標(biāo)的內(nèi)容中���。F 指示可變字段的長度是否固定在其最大值(如果F = = 1�����,則長度固定)����。Rsv 保留位����。NbCtx 指示分組中所包含的語區(qū)(context)的數(shù)目。語區(qū)是指導(dǎo)(Tx/Rx)與SSRC之間 的關(guān)聯(lián)部分���。已經(jīng)斷定����,最多15個(gè)語區(qū)應(yīng)該足以用于當(dāng)前的目的。NbKeys 指示分組中所包含的密鑰的數(shù)目���。SCIAuthTagLen 附加于跟蹤信標(biāo)的認(rèn)證標(biāo)簽的長度���。該長度目前將一直為零,因?yàn)樵诙唐趦?nèi)未預(yù) 期使用認(rèn)證°
KEK SPI Len 獲取對KEK進(jìn)行加密的密鑰所需的SPI的字節(jié)長度���。如果在跟蹤信標(biāo)中不存在加 密的KEK���,則該長度可以為零。Encrypted KEK length (加密的 KEK 長度)使用RSA加密的對稱密鑰的長度�����,單位為字節(jié)����。如果跟蹤信標(biāo)不包含該密鑰����,則該 長度可以為零����。因?yàn)镋ncrypted KEK(加密的KEK)可能是跟蹤信標(biāo)中的最長部分��,所以例 如兩個(gè)跟蹤信標(biāo)之一中發(fā)送Encrypted KEK (加密的KEK)可導(dǎo)致所發(fā)送的跟蹤信標(biāo)的平均 大小的明顯增加��。Contexts (語區(qū))語區(qū)的配置信息(參見下一圖表)�。Keys (密鑰)密鑰的配置信息(參見下一圖表)。Encrypted KEK (力口密的 KEK)使用RSA加密的對稱密鑰�。當(dāng)公共密鑰具有2048個(gè)位且不需要在32位邊界處終 止時(shí),該字段可以采用高達(dá)256個(gè)字節(jié)����。該字段也是可選的,因?yàn)樵撟侄蔚拈L度可以為零�����。KEK SPI 允許獲取對KEK進(jìn)行解密所需的密鑰的標(biāo)識符���。在這里(Inyour case)�,該字段 對應(yīng)于證書Id���。該字段不需要在32位邊界處終止���。類似于Encrypted KEK���,該字段是可選 的,因?yàn)槠溟L度可以為零�。SCI Authentication tag (SCI lAiiEfe^ )跟蹤信標(biāo)的認(rèn)證標(biāo)簽。跟蹤信標(biāo)的經(jīng)過認(rèn)證的部分將會(huì)是前八位字節(jié)�,即語區(qū)和 密鑰部分。該字段是可選的���,因?yàn)檎J(rèn)證標(biāo)簽的長度可以為零���。實(shí)際上不期望該字段存在于 跟蹤信標(biāo)的該版本中。借助于根據(jù)標(biāo)準(zhǔn)化SRTP協(xié)議SRTP的前述密鑰信息si 1. . n對加密的數(shù)據(jù)流dsl.. n進(jìn)行解密����,即轉(zhuǎn)化為初始的數(shù)據(jù)流dsl' ..n'??梢栽谠\斷單元DE中相應(yīng)于所實(shí)施的診 斷例程-未示出-來處理所述數(shù)據(jù)流dsl' ..n'。
權(quán)利要求
一種用于對至少一個(gè)具有加密數(shù)據(jù)分組(dp)的數(shù)據(jù)流(ds1..n)進(jìn)行解密的方法����,其中按照用于對數(shù)據(jù)流進(jìn)行加密和傳輸?shù)木W(wǎng)絡(luò)協(xié)議(SRTP)以特定于數(shù)據(jù)流的方式形成數(shù)據(jù)流(ds1..n)并以特定于數(shù)據(jù)流的方式加密數(shù)據(jù)流(ds1..n)���,-在所形成的���、加密的各數(shù)據(jù)流(ds1..n)中插入被形成為密鑰數(shù)據(jù)分組(sp1..n)的數(shù)據(jù)分組����,用所述數(shù)據(jù)流傳輸用于相應(yīng)數(shù)據(jù)流(ds1..n)的特定于數(shù)據(jù)流的密鑰信息(si1..n)����,-其中對具有密鑰數(shù)據(jù)分組(sp1..n)的每個(gè)數(shù)據(jù)流(ds1..n)中的至少一個(gè)密鑰數(shù)據(jù)分組(sp1..n)進(jìn)行搜索并且確定特定于數(shù)據(jù)流的密鑰信息(si1..n),以及-其中借助于所述特定于數(shù)據(jù)流的密鑰信息(si1..n)來對所屬的經(jīng)過加密的數(shù)據(jù)流(ds1..n)進(jìn)行解密��。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,在所述網(wǎng)絡(luò)協(xié)議(SRTP)中為所述密鑰數(shù) 據(jù)分組(spl.. η)確定數(shù)據(jù)分組類型(PT)���,使得在根據(jù)網(wǎng)絡(luò)協(xié)議接收到所述數(shù)據(jù)流(dsl.. η)時(shí)丟棄所述密鑰數(shù)據(jù)分組(spl. . η)����。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于,作為用于所述密鑰數(shù)據(jù)分組(spl..η)的 數(shù)據(jù)分組類型(PT)���,定義對于所述網(wǎng)絡(luò)協(xié)議(SRTP)來說新的數(shù)據(jù)分組類型或者提供未使 用的數(shù)據(jù)分組類型(ΡΤ�,19)。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于��,所述密鑰數(shù)據(jù)分組(spl..η)由數(shù)據(jù)分 組表示����,在該數(shù)據(jù)分組的報(bào)頭(RTPH)或擴(kuò)展報(bào)頭中插入有密鑰信息(sil.. η)�,其中報(bào)頭信 息被形成為使得在根據(jù)網(wǎng)絡(luò)協(xié)議接收到所述數(shù)據(jù)流(dsL.n)時(shí)丟棄所述密鑰信息(sil..η)。
5.根據(jù)前述權(quán)利要求之一所述的方法�����,其特征在于�,所述密鑰數(shù)據(jù)分組(spl..η)被連 續(xù)地插入所述數(shù)據(jù)流(dsL.n)中。
6.根據(jù)前述權(quán)利要求之一所述的方法�����,其特征在于���,至少一個(gè)密鑰數(shù)據(jù)分組(spl..η) 被額外加密����,其中額外的密鑰信息被提供用于分析�。
7.根據(jù)前述權(quán)利要求之一所述的方法,其特征在于��,所述額外的密鑰信息由非對稱的 密鑰信息來表示��,其中與對數(shù)據(jù)流(dsL.n)的解密不同的密鑰信息被提供用于對密鑰數(shù) 據(jù)分組(spl.. η)的加密�。
8.根據(jù)前述權(quán)利要求之一所述的方法,其特征在于���,所述網(wǎng)絡(luò)協(xié)議由安全實(shí)時(shí)協(xié)議來 表不����。
9.根據(jù)前述權(quán)利要求之一所述的方法��,其特征在于��,為了分析或診斷和/或記錄所述 數(shù)據(jù)流(dsL.n)���,能夠開啟并隨后關(guān)閉對密鑰數(shù)據(jù)分組(spl.. η)的插入����。
10.一種用于對至少一個(gè)具有加密數(shù)據(jù)分組(dp)的數(shù)據(jù)流(dsl. . η)進(jìn)行解密的裝置, 其中按照用于對數(shù)據(jù)流進(jìn)行加密和傳輸?shù)木W(wǎng)絡(luò)協(xié)議(SRTP)以特定于數(shù)據(jù)流的方式形成數(shù) 據(jù)流(dsl. . η)并以特定于數(shù)據(jù)流的方式加密該數(shù)據(jù)流(dsl. . η)��,_具有密鑰單元(SE)�����,用于形成用于各數(shù)據(jù)流(dsL.n)的密鑰數(shù)據(jù)分組(spl.. η)���,其 中在所述密鑰數(shù)據(jù)分組(spl. . η)中分別包含有用于各數(shù)據(jù)流(dsl. . η)的特定于數(shù)據(jù)流的 密鑰信息(siL.n)�,_具有傳輸單元(UE)�,用于將所述密鑰數(shù)據(jù)分組(dsL.n)插入到所形成的各數(shù)據(jù)流 (dsl. · η)中,-具有監(jiān)視單元(UEE)�����,用于在各數(shù)據(jù)流(dsL.n)中搜索至少一個(gè)密鑰數(shù)據(jù)分組 (spl. . η)并且用于確定特定于連接的密鑰信息(sil. . η)�����,以及_具有解密單元(EE)����,用于借助于所屬的特定于連接的密鑰信息(sil. . η)對具有密鑰 數(shù)據(jù)分組(spl. · η)的各數(shù)據(jù)流(dsl. · η)進(jìn)行解密。
11.根據(jù)權(quán)利要求10所述的裝置����,其特征在于��,所述監(jiān)視單元(UEE)和所述解密單元 (EE)被集成在用于對所解密的數(shù)據(jù)流(dsl' ..η')進(jìn)行分析的診斷單元(DE)中�。
12.根據(jù)權(quán)利要求10或11所述的裝置���,其特征在于,提供記錄裝置(REC)����,用于記錄包 含所述密鑰數(shù)據(jù)分組(sil. · η)的數(shù)據(jù)流(sdsl. · η)和/或用于記錄加密的數(shù)據(jù)流(dsl. · η)和/或用于記錄所解密的數(shù)據(jù)流(dsl' ..η')。
13.根據(jù)權(quán)利要求10至12之一所述的裝置��,其特征在于�����,所述密鑰單元(SE)被配置 為�,為了分析和/或記錄所述數(shù)據(jù)流(sdsl..n,dsL.n����,dsl' ..η'),能夠開啟和關(guān)閉對 密鑰數(shù)據(jù)分組(spl.. η)到所加密的數(shù)據(jù)流(dsL.n)中的插入�。
全文摘要
作為密鑰數(shù)據(jù)分組(sp1..n)所形成的數(shù)據(jù)分組被插入到以特定于數(shù)據(jù)流的方式加密的各數(shù)據(jù)流(ds1..n)中��,利用所述數(shù)據(jù)流傳輸用于各數(shù)據(jù)流(ds1..n)的特定于數(shù)據(jù)流的密鑰信息(si1..n)���。為了分析和/或記錄,在各數(shù)據(jù)流(ds1..n)中搜索至少一個(gè)密鑰數(shù)據(jù)分組(sp1..n)并且確定特定于數(shù)據(jù)流的密鑰信息(si1..n)以及借助于該特定于數(shù)據(jù)流的密鑰信息(si1..n)對所屬的數(shù)據(jù)流(ds1..n)進(jìn)行解密�����?��?梢杂蒙俚墓芾沓杀緛磉M(jìn)行對密鑰信息(si1..n)的形成和插入��,由此顯著地減少用于分析或診斷同時(shí)被傳輸?shù)募用軘?shù)據(jù)流(ds1..n)的成本����。有利地���,可以只在當(dāng)前執(zhí)行對所述數(shù)據(jù)流的診斷或分析和/或記錄時(shí)�����,才開啟或促使對密鑰數(shù)據(jù)分組的插入�。
文檔編號H04L29/06GK101843039SQ200880113444
公開日2010年9月22日 申請日期2008年7月23日 優(yōu)先權(quán)日2007年8月30日
發(fā)明者J·克魯姆博克, S·哈特曼 申請人:西門子企業(yè)通訊有限責(zé)任兩合公司