一種基於共享密鑰的sip網絡中傳輸層安全的實現方法

2023-10-08 06:56:34

專利名稱：：一種基於共享密鑰的sip網絡中傳輸層安全的實現方法
技術領域：
：本發明涉及採用會話發起協議(SIP)的網絡，以下簡稱為SIP網絡，特別涉及一種SIP網絡中傳輸層安全的實現方法。
背景技術：
：會話發起協議(SIP)是一類多媒體通信控制協議，目前已經在軟交換、IP多媒體子系統(IMS)等網絡中廣泛應用。由於SIP運行在開力文的IP協議之上，其安全性一直是關注的焦點。目前，在用戶接入側已經標準化的安全機制是3GPP提出的IPSec(IP安全性)接入，SIP安全性解決方案是IETF(網際網路工程任務組)推薦的TLS(傳輸層安全)，但未被3GPP釆納。這兩種解決方案目前各有利弊。IPSec接入存在的問題是在現有網絡中接入時，NA(P)T(網絡地址(埠)轉換)普遍存在，NA(P)工作時需要進行IP位址從內網地址到外網地址的轉換，部分場景下需要進行埠的映射，因此NA(P)T設備會改變IP報文中的報文源IP及傳輸層的埠號，而此兩者均是IPSec完整性保護的對象，當採用IPSec完整性保護時，改變此兩者將導致接收端進行完整性校驗時認為消息已經被篡改，從而導致校驗失敗，丟棄消息；如果採用加密，則NA(P)T無法讀取傳輸層埠信息，也就無法進行埠映射，導致通信失敗。在DTLS(DatagramTLS,數據報傳輸層安全)出現之前，TLS只能運行在TCP協議(傳輸控制協議)之上，而TCP對於SIP接入應用而言開銷過大，不利於大容量接入節點部署，DTLS(下文中為簡化起見，TLS稱謂包括DTLS)使得TLS也可以運行在UDP(用戶數據才艮協議)之上，使得SIP實際使用TLS的可行性大大增加。但當前的TLS接入默認密鑰協商採用證書機制，該方法在類似於IMS這樣的支持用戶漫遊/遊牧的網絡中實現非常困難，原因是安全連接是在終端和接入伺服器之間建立的，而接入伺服器無法獨立校驗用戶證書的合法性，使得該方法實現比較困難，並且數字證書認證方式尚未在SIP網絡中廣泛應用。因此，有必要對現有的SIP網絡安全機制提出改進，以提高網絡的安全性。
發明內容本發明要解決的技術問題是提供一種基於共享密鑰的SIP網絡中傳輸層安全的實現方法。為了解決上述問題，本發明提供了一種基於共享密鑰的會話發起協議SIP網絡中傳輸層安全的實現方法，包括以下步驟(a)在SIP終端和鑑權中心AuC中保存一共享的主密鑰和一派生算法；(b)SIP終端和SIP網絡側設備之間基於SIP安全協商標準框架進行交互，其中增加對傳輸層安全協議的支持，且SIP終端和SIP網絡側均根據所述共享的主密鑰及派生算法生成所需的加密、完整性保護密鑰，實現SIP網絡的傳輸層安全。進一步地，上述方法還可具有以下特點所述步驟(b)進一步分為以下步驟(b1)SIP終端向接入SIP代理伺服器即ASP發送SIP請求，其中的一個客戶端安全頭部中指示其支持的共享密鑰的傳輸層安全參數；(b2)所述ASP檢查所述SIP請求中的傳輸層安全參數，如在許可範圍之內，則保存該頭部，向歸屬SIP伺服器即HSP轉發所述SIP請求；(b3)所述HSP獲取所述AuC為該UE生成的加密、完整性保護密鑰，向SIP終端發起挑戰，鑑權挑戰消息中攜帶該加密、完整性保護密鑰；(b4)所述ASP記錄下所述加密、完整性保護密鑰並從收到的鑑權挑戰消息中刪除該信息，同時在該消息中插入一個攜帶協商選定的傳輸層安全參數的伺服器端安全頭部，發送到SIP終端；(b5)所述SIP終端收到挑戰後在協商的安全埠上發出鑑權響應，攜帶的安全校驗頭部的內容和鑑權挑戰的伺服器安全頭部一致，並採用保存的主密鑰和派生算法生成的加密、完整性保護密鑰進行完整性保護，或進行加密及完整性保護；(b6)所述ASP收到鑑權響應後，進行傳輸層安全處理，通過後轉發給所述HSP;(b7)所述HSP收到鑑權響應後對SIP終端鑑權，如成功，向所述ASP返回成功響應。進一步地，上述方法還可具有以下特點步驟(b3)中所述HSP在本地沒有SIP終端的鑑權信息時，向所述AuC發起鑑權數據下載請求，攜帶了所述SIP終端的用戶標識，並獲得所述AuC返回的為該UE生成的加密、完整性保護密鑰和期望的鑑權響應。進一步地，上述方法還可具有以下特點步驟(b6)中所述ASP的傳輸層安全處理指用保存的加密、完整性保護密鑰進行傳輸層完整性校驗，或解密及完整性校驗，通過後再校驗SIP消息中的安全校驗欄位是否與發給SIP終端的安全伺服器端欄位相等。進一步地，上述方法還可具有以下特點步驟(b4)所述ASP還利用收集的信息建立一個臨時傳輸層安全上下文，該收集的信息包括所述SIP終端和ASP的IP位址、埠、算法和密鑰信息；步驟(b7)所述ASP收到鑑權成功響應後，修改傳輸層安全上下文的生命周期，並將創建的臨時傳輸層安全上下文設置為正式的傳輸層安全上下文。進一步地，上述方法還可具有以下特點所述SIP網絡為IP多^某體子系統IMS網絡，所述SIP終端為IMS用戶設備，所述ASP為IMS網絡中的代理呼叫會話控制功能P-CSCF,所述HSP為IMS網絡中的服務呼叫會話控制功能S-CSCF;所述AuC為IMS網絡中的歸屬用戶伺服器HSS。進一步地，上述方法還可具有以下特點所述SIP網絡為除軟交換、IMS外其它採用SIP作為控制協議的網絡，所述ASP和HSP由該網絡中的SIP伺服器單獨實現，所述AuC由該網絡中的認證、授權及計費伺服器實現。進一步地，上述方法還可具有以下特點步驟(bl)中SIP請求的客戶端安全頭部中包含的所述傳輸層安全參數包括傳輸類型，加密、完整性保護算法，所期望採用的發送請求消息所用的客戶端埠號及接收請求所用的監聽埠號；步驟(b5)中鑑權挑戰消息中插入的伺服器端安全頭部中包含的傳輸層安全參數包括ASP期望採用的加密、完整性保護算法，ASP的客戶端及監聽埠。進一步地，上述方法還可具有以下特點所述傳輸層安全協議為運行在傳輸控制協議之上的傳輸層安全協議，或者為可運行於傳輸控制協議和用戶數據報協議上的數據報傳輸層安全協議。進一步地，上述方法還可具有以下特點步驟(b)SIP終端和SIP網絡側設備之間基於SIP安全協商標準框架進行交互時，在發送的SIP請求中同時攜帶多個客戶端安全頭部，指示不同的安全保護方法，其中包括傳輸層安全協議；SIP網絡側設備根據本地配置、流程上下文選擇使用其中一種優選的安全保護方案。本發明的基本流程復用現有的SIP安全協商標準框架，但增加了對TLS、DTLS等傳輸層安全協議的支持，並且使用共享密鑰認證技術作為傳輸層安全協議的密鑰協商的方法。採用本發明所述方法實現SIP網絡中TLS協商，既可以適用於SIP的有連接傳輸，如TCP,也適用於無連接傳輸協議，如UDP，保障SIP網絡中信息傳遞的安全性。該方法可以適用在軟交換、IMS這些採用SIP作為呼叫處理協議的電信網絡中，也可適用於其它採用SIP作為控制協議的網絡中，比如基於SIP的VoIP網絡。8圖1是本發明應用在SIP網絡中通用系統架構示意圖；圖2是本發明應用在IMS網絡中系統架構示意圖；圖3是本發明應用在IMS網絡中實現TLS的流程圖；圖4是本發明應用在一般SIP網絡實現TLS的流程圖。具體實施方式本發明基於現有SIP安全協商標準框架，通過增加對TLS、DTLS等傳輸層安全協議的支持，並採用共享密鑰認證技術作為傳輸層安全協議的密鑰協商方法，實現SIP網絡的傳輸層安全。本發明中SIPTM和接入ASP之間採用的傳輸層安全保護協議是基於現有標準，但對SIP協議流程作了一些擴展，通過在SIPTM與AuC之間共享一個主密鑰，並且共享一個算法用於從主密鑰推導出傳輸層加密、完整性保護所需的密鑰，實現SIP網絡的TLS。以下先對文中的術語及縮略語統一做一說明。術語英文全稱中文含義tableseeoriginaldocumentpage9TLSTransportLayerSecurity傳輸層安全UDPUserDatagramProtocol用戶數據才艮協議如圖1所示，本發明應用在SIP網絡的通用系統架構，包括以下功能SIPTM(SIP終端)，具備TLS協議處理能力，能夠利用TLS保護SIP信令，並保存有與AuC共享的一主密鑰及一派生算法；主密鑰在UE中的智慧卡中以加密方式保存的，有足夠安全性，派生算法可以利用現有的算法，用於生成加密及完整性保護密鑰。ASP(接入SIP伺服器)，位於網絡與用戶的邊界處，用於與SIPTM建立TLS連接；HSP(歸屬SIP伺服器)，負責與AuC共同完成SIPTM的鑑權，並將從AuC獲得的用於TLS加密、完整性保護的共享密鑰通過鑑權過程的挑戰響應傳遞給ASP;AuC(鑑權中心)，負責保管與SIPTM共享的一主密鑰及一派生算法，並根據主密鑰及所述算法生成TLS所需的加密、完整性保護密鑰。AuC是對應於IMS網絡中的HSS,或者是一個通用的AAA(Authentication,AuthorizationandAccounting)Server,或者是其它可以完成本發明所述功能的任何實體。在網絡實際部署中，本發明所應用的系統，在不影響本發明基本思想實現的前提下，可以將多個功能合併在一個物理實體中實現，有如下變化1)在實體上將ASP與HSP進行合併，完成上述ASP和HSP功能；2)在實體上將HSP與AuC進行合併，完成上述HSP和AuC功能。基於以上通用架構，本發明方法一示例的過程包括以下步驟(a)SIPTM向ASP的指明埠發起SIP請求，其中攜帶客戶端安全頭部，指示支持基於共享密鑰的傳輸層安全(包括TLS、DTLS或其它傳輸層安全協議)，攜帶支持的加密、完整性保護算法，並且可以指示所期望採用的安全客戶端、伺服器端埠；(b)ASP檢查並記錄SIPTM的客戶端安全頭部，並且向HSP轉發請求；(c)HSP判斷本地沒有SIPTM的鑑權信息時，向AuC發起鑑權數據下載請求，獲得所需的加密、完整性保護密鑰和期望的鑑權響應；(d)HSP向SIPTM發起挑戰，挑戰消息中攜帶了TLS所需的共享密鑰信息即加密、完整性保護密鑰；(e)ASP收到鑑權挑戰消息後，記錄下共享密鑰信息，並且從該消息中刪除該信息，同時其在該消息中插入一個伺服器端安全頭部，其中攜帶協商選定的加密、完整性保護算法及本地埠；(f)SIPTM收到鑑權挑戰後採用共享主密鑰和與AuC同樣的算法生成加密、完整性保護密鑰，並且在協商的安全埠上發出鑑權響應，響應中攜帶安全校驗頭部，內容和鑑權挑戰的伺服器安全頭部保持一致，並由所述UE生成的加密、完整性保護密鑰進行加密及完整性保護；(g)ASP在保護埠上收到鑑權響應，進行TLS處理，即通過傳輸層解密、完整性校驗處理後，進一步校驗SIP消息中的安全校驗欄位是否與發給SIP終端的安全伺服器端欄位相等，通過後轉發給HSP;(h)HSP對SIPTM鑑權成功，返回成功響應，ASP保持已經協商完畢的TLS安全上下文。本發明在步驟(a)、(b)、(e)-(h)中增加對TLS、DTLS等傳輸層安全協議的支持，並且使用共享密鑰認證技術作為傳輸層安全協議的密鑰協商的方法，以彌補IMS標準中只支持IPSec安全協商的缺陷，並且基於共享密鑰可以利用現有的3GPP或其它共享密鑰框架，增加部署的可行性。下面結合附圖和具體實施例對本發明做進一步詳細說明。第一實施例本實施例以IMS網絡為例，圖2為實現SIP傳輸層安全性的系統架構示意圖，其中SIPTM以IMSUE(用戶設備)為例；ASP以IMS網絡中的P-CSCF(代理呼叫會話控制功能)為例，在IMSUE與P-CSCF之間建立傳輸層安全連接；HSP以IMS網絡中的S-CSCF(服務呼叫會話控制功能)為例；AuC以IMS網絡中的歸屬用戶^^務器HSS為例。本實施例中，以IMS網絡為例實現TLS協商的流程圖，如圖3所示，圖中P-CSCF與S-CSCF之間可能包括其它IMS網元如I-CSCF(查詢呼叫控制功能)，但對本實施例沒有影響在圖中忽略，該流程包括以下步驟步驟301，IMSUE選擇某個P-CSCF為接入點，向IMS網絡發送SIP請求；所述SIP請求中包含一個或多個Security-Client(客戶端安全)頭部，其中一個頭部指示支持的共享密鑰的TLS參數，包括傳輸類型如TCP、UDP等，加密、完整性保護算法，所期望採用的發送請求消息所用的客戶端埠號及接收請求所用的監聽埠號等。IMSUE可以同時攜帶多個Security-Client頭部，用於指示不同的安全保護方法(包括IPSec和TLS)。步驟302,P-CSCF收到SIP請求，檢查Security-Client頭部指示的算法是否在許可範圍之內，如果在，保存該頭部；如果不在許可範圍之內，可以根據本地策略決定拒絕請求或採用無安全保護的通信。步驟303,P-CSCF轉發SIP請求給S-CSCF;步驟304,S-CSCF判斷本地沒有SIPTM的鑑權信息時則向HSS發送鑑權數據請求，鑑權請求中攜帶了IMSUE的用戶標識；如用戶已經在系統中註冊，S-CSCF本地可能保存了中間鑑權參數，每次鑑權時S-CSCF根據這些參數推導出其它參數，此時不會再向AuC/HSS重新下載，可直4妄^M於步驟306。步驟305,HSS向S-CSCF返回鑑權數據響應，鑑權數據中包括期望的鑑權響應、根據主密鑰為該IMSUE派生的加密、完整性保護密鑰等；步驟306,S-CSCF向IMSUE發起鑑權挑戰，先將鑑權挑戰消息發送到P-CSCF,消息中攜帶了由主密鑰派生的加密、完整性保護密鑰；根據保存的TLS參數生成Security-Server頭部，包含了P-CSCF期望採用的加密、完整性保護算法(是IMSUE期望的算法之一)，P-CSCF的客戶端及監聽埠，然後將此頭部插入到鑑權挑戰消息中，並且刪除消息中的加密、完整性保護密鑰信息，轉發給IMSUE;步驟309,IMSUE採用與HSS同樣的算法由共享的主密鑰生成加密、完整性保護密鑰，並且採用協商的算法、IP位址、埠向P-CSCF發起鑑權響應消息，消息中攜帶Security-Verify頭部，該頭部參數與鑑權挑戰中P-CSCF發給UE的Security-Server頭部保持一致，並由所述UE生成的加密、完整性保護密鑰進行加密及完整性保護。實際運用中完整性保護是必選的，加密可以根據運營商配置策略決定是否啟用；步驟310,P-CSCF在協商的安全地址上收到鑑權響應消息，並經過TLS處理，即採用保存的HSS派生的加密、完整性保護密鑰進行解密或完整性校驗處理，然後將Security-Verify與保存的P-CSCF發給UE的Security-Server頭部進行比較，校驗SIP消息中的安全校驗欄位是否與發給SIP終端的安全伺服器端欄位相等，以確保UE的合法性；步驟311-312，P-CSCF將UE的鑑權響應轉發給S-CSCF,S-CSCF根據保存的鑑權信息對UE的響應進行校驗，校驗成功後向P-CSCF返回成功響應；校驗時可以比對從AuC下載的期望的鑑權響應與收到的鑑權響應，如何比對依賴於特定的算法，有的鑑權算法可以直接進行比對，有的還需要進行一定的計算。步驟313-314，P-CSCF收到成功響應，^修改TLS上下文生命周期，並將創建的臨時TLS上下文設置為正式的TLS上下文，然後將響應在受保護連接上發給IMSUE,安全協商過程結束，後續消息將在受保護的正式TLS上下文中傳輸。上述各步驟描述的TLS協商過程符合正TF的安全協商過程框架，完全可以與現有的IPSec安全性共存，IMSUE在步驟301中可以同時攜帶多個Security-Client頭部指示不同的安全保護方法(包括IPSec和TLS)，P-CSCF在步驟307也可以根據本地配置、流程上下文選擇一種優選的安全保護方13案，比如根據接入網類型或NAT檢測結果選擇釆用IPSec還是TLS。TLS與IPSec共存的意義是網絡側兩種安全協議都支持，UE可以根據自身支持情況選擇一種。第二實施例圖4示出了普通SIP網絡(指除軟交換、IMS外其它採用SIP作為控制協議的網絡)中的傳輸層安全協商的實施例，圖中的SIP伺服器包括了圖1通用架構中的ASP和HSP,流程與圖3基本相同，只是圖3中分別由P-CSCF、S-CSCF完成的功能在本實施例中由SIP伺服器單獨完成。如圖所示，該流程包括以下步驟步驟401,SIP終端向SIP伺服器發起請求，SIP消息中包含一個或多個Security-Client頭部，其中一個頭部指示支持的傳輸層安全參數，包括傳輸類型，加密、完整性保護算法，客戶端及監聽埠號等；步驟402，SIP伺服器收到請求，檢查Security-Client頭部指示的算法是否在許可範圍之內，並保存該頭部；步驟403,SIP伺服器判斷本地沒有SIP終端的鑑權信息時向AAA伺服器請求下載鑑權數據，鑑權請求中攜帶了SIP終端的用戶標識；步驟404,AAA伺服器向SIP伺服器返回鑑權數據響應，包含期望的鑑權響應、根據主密鑰為該SIP終端派生的加密、完整性保護密鑰等；步驟405-406，SIP伺服器根據下載的鑑權數據保存加密、完整性保護密鑰、生成鑑權挑戰消息，並在消息中插入Security-Server頭部，其包含了SIP伺服器期望採用的加密、完整性保護算法、SIP伺服器客戶端及監聽埠，然後將此消息發送給SIP終端；同時SIP伺服器利用收集的信息(包括終端和伺服器自身的地址、埠，算法、密鑰等信息)建立一個臨時TLS上下文；步驟407,SIP終端採用與AAAServer同樣的算法由共享的主密鑰生成加密、完整性保護密鑰，並且採用協商的算法、IP位址埠向SIP伺服器發起鑑權響應，響應消息中攜帶Security-Verify頭部，該頭部參數與鑑權挑戰中的Security-Server保持一致，並由所述UE生成的加密、完整性保護密鑰進行加密及完整性保護。實際運用中完整性保護是必選的，加密可以根據運營商配置策略決定是否啟用；步驟408,SIP伺服器在協商的安全地址上收到鑑權響應消息，並經過TLS處理，校驗Security-Verify的合法性，校驗通過後進行鑑權處理，如鑑權成功則將協商的TLS上下文設置為正式的TLS上下文；步驟409,SIP伺服器生成成功響應在受保護連接上發給SIP終端，安全協商過程結束。權利要求1、一種基於共享密鑰的會話發起協議SIP網絡中傳輸層安全的實現方法，包括以下步驟(a)在SIP終端和鑑權中心AuC中保存一共享的主密鑰和一派生算法；(b)SIP終端和SIP網絡側設備之間基於SIP安全協商標準框架進行交互，其中增加對傳輸層安全協議的支持，且SIP終端和SIP網絡側均根據所述共享的主密鑰及派生算法生成所需的加密、完整性保護密鑰，實現SIP網絡的傳輸層安全。2、如權利要求l所述的方法，其特徵在於所述步驟(b)進一步分為以下步驟(b1)SIP終端向接入SIP代理伺服器即ASP發送SIP請求，其中的一個客戶端安全頭部中指示其支持的共享密鑰的傳輸層安全參數；(b2)所述ASP檢查所述SIP請求中的傳輸層安全參數，如在許可範圍之內，則保存該頭部，向歸屬SIP伺服器即HSP轉發所述SIP請求；(b3)所述HSP獲取所述AuC為該UE生成的加密、完整性保護密鑰，向SIP終端發起挑戰，鑑權挑戰消息中攜帶該加密、完整性保護密鑰；(b4)所述ASP記錄下所述加密、完整性保護密鑰並從收到的鑑權挑戰消息中刪除該信息，同時在該消息中插入一個攜帶協商選定的傳輸層安全參數的伺服器端安全頭部，發送到SIP終端；(b5)所述SIP終端收到挑戰後在協商的安全埠上發出鑑權響應，攜帶的安全校驗頭部的內容和鑑權挑戰的伺服器安全頭部一致，並採用保存的主密鑰和派生算法生成的加密、完整性保護密鑰進行完整性保護，或進行加密及完整性保護；(b6)所述ASP收到鑑權響應後，進行傳輸層安全處理，通過後轉發給所述HSP;(b7)所述HSP收到鑑權響應後對SIP終端鑑權，如成功，向所述ASP返回成功響應。3、如權利要求2所述的方法，其特徵在於步驟(b3)中所述HSP在本地沒有SIP終端的鑑權信息時，向所述AuC發起鑑權數據下載請求，攜帶了所述SIP終端的用戶標識，並獲得所述AuC返回的為該UE生成的加密、完整性保護密鑰和期望的鑑權響應。4、如權利要求2所述的方法，其特徵在於步驟(b6)中所述ASP的傳輸層安全處理指用保存的加密、完整性保護密鑰進行傳輸層完整性校驗，或解密及完整性校驗，通過後再校驗SIP消息中的安全校驗欄位是否與發給SIP終端的安全伺服器端欄位相等。5、如權利要求2所述的方法，其特徵在於步驟(b4)所述ASP還利用收集的信息建立一個臨時傳輸層安全上下文，該收集的信息包括所述SIP終端和ASP的IP位址、埠、算法和密鑰信息；步驟(b7)所述ASP收到鑑權成功響應後，修改傳輸層安全上下文的生命周期，並將創建的臨時傳輸層安全上下文設置為正式的傳輸層安全上下文。6、如權利要求2所述的方法，其特徵在於所述SIP網絡為IP多々某體子系統IMS網絡，所述SIP終端為IMS用戶設備，所述ASP為IMS網絡中的代理呼叫會話控制功能P-CSCF,所述HSP為IMS網絡中的服務呼叫會話控制功能S-CSCF;所述AuC為IMS網絡中的歸屬用戶伺服器HSS。7、如權利要求2所述的方法，其特徵在於所述SIP網絡為除軟交換、IMS外其它採用SIP作為控制協議的網絡，所述ASP和HSP由該網絡中的SIP伺服器單獨實現，所述AuC由該網絡中的認證、授權及計費伺服器實現。8、如權利要求2所述的方法，其特徵在於步驟(bl)中SIP請求的客戶端安全頭部中包含的所述傳輸層安全參數包括傳輸類型，加密、完整性保護算法，所期望採用的發送請求消息所用的客戶端埠號及接收請求所用的監聽埠號；步驟(b5)中鑑權挑戰消息中插入的伺服器端安全頭部中包含的傳輸層安全參數包括ASP期望採用的加密、完整性保護算法，ASP的客戶端及監聽埠。9、如權利要求1或2所述的方法，其特徵在於所述傳輸層安全協議為運行在傳輸控制協議之上的傳輸層安全協議，或者為可運行於傳輸控制協議和用戶數據報協議上的數據報傳輸層安全協議。10、如權利要求l所述的方法，其特徵在於步驟(b)SIP終端和SIP網絡側設備之間基於SIP安全協商標準框架進行交互時，在發送的SIP請求中同時攜帶多個客戶端安全頭部，指示不同的安全保護方法，其中包括傳輸層安全協議；SIP網絡側設備根據本地配置、流程上下文選擇使用其中一種優選的安全保護方案。全文摘要一種基於共享密鑰的會話發起協議SIP網絡中傳輸層安全的實現方法，包括以下步驟(a)在SIP終端和鑑權中心AuC中保存一共享的主密鑰和一派生算法；(b)SIP終端和SIP網絡側設備之間基於SIP安全協商標準框架進行交互，其中增加對傳輸層安全協議的支持，且SIP終端和SIP網絡側均根據所述共享的主密鑰及派生算法生成所需的加密、完整性保護密鑰，實現SIP網絡的傳輸層安全。採用本發明實現SIP網絡中TLS協商，既可以適用於SIP的有連接傳輸，如TCP和UDP，保障SIP網絡中信息傳遞的安全性。該方法可以適用在軟交換、IMS網絡中，也可適用於其它採用SIP作為控制協議的網絡中，如基於SIP的VoIP網絡。文檔編號H04L9/28GK101330504SQ200710127208公開日2008年12月24日申請日期2007年6月28日優先權日2007年6月28日發明者軍汪申請人:中興通訊股份有限公司