将SIP信令用于量子安全通信系统的方法、综合接入量子网关及系统
技术领域
本发明涉及量子通信技术领域,尤其涉及一种将SIP信令用于量子安全通信系统中的方法和综合接入量子网关及量子安全通信系统。
背景技术
会话初始协议SIP(Session Initiation Protocol)是一个在IP网络上进行多媒体通信的应用层控制协议,它被用来创建、修改和终结一个或多个参加者参加的会话进程。SIP协议可用于发起会话,也可以用于邀请成员加入已经用其它方式建立的会话。
SIP会话建立至会话终结的正常流程如图1所示:
1.用户摘机发起一路呼叫,SIP终端A向SIP服务器发送Invite请求;
2.SIP服务器向SIP终端B转发Invite请求;
3.SIP服务器向SIP终端A发送呼叫处理中的应答消息,100 Trying;
4.SIP终端B向SIP服务器发送呼叫处理中的应答消息,100 Trying;
5.SIP终端B指示被叫用户振铃,用户振铃后,向SIP服务器发送180 Ringing振铃消息;
6.SIP服务器向SIP终端A转发被叫用户振铃消息(180 Ringing);
7.被叫用户摘机,SIP终端B向SIP服务器发送表示连接成功的应答(200 OK);
8.SIP服务器向SIP终端A转发该成功指示(200 OK);
9.SIP终端A收到消息后,向SIP服务器发送ACK消息进行确认;
10.SIP服务器将ACK消息转发至SIP终端B;
11.主、被叫用户之间建立通信连接,开始通话;
12.用户通话结束后,用户挂机(以被叫用户挂机为例),SIP终端B向SIP服务器发送Bye消息;
13.SIP服务器转发Bye消息至SIP终端A;
14.主叫用户挂机后,SIP终端A向SIP服务器发送确认挂断响应消息200 OK;
15.SIP服务器转发响应消息200 OK至SIP终端B。
使用SIP协议建立会话后,业务数据在SIP客户端之间直接传输。为保证客户端之间的业务数据的安全性,目前一般的方法是对业务数据使用经典密码算法,例如使用AES、DES算法对业务数据进行加解密。但这些经典密码算法是以数学为基础的密码体制,其安全性基于数学算法的计算复杂度,不能保证密钥的无条件安全。随着现今计算能力的提升和数学的进步,依赖于计算复杂度的经典密码算法正受到日益严重的威胁。
上世纪八十年代以来,量子物理与信息技术相结合,开拓了与经典方式具有本质区别的全新的信息处理和通信方式,一门新兴的学科——量子信息科学——正在迅猛发展,成为近年来物理学和信息科学领域最活跃的研究前沿之一。
不同于经典信息,量子信息的基本单元是量子比特,操控量子信息必须遵从量子物理的规律。量子通信技术通过传输和处理量子比特,在通信安全性、增大信道容量等方面都可以突破传统通信技术的极限,对于未来信息通信技术和信息安全技术的发展具有革命性的影响。
目前,实用化的量子通信技术通过传输单光子来进行量子状态的传递,从而实现量子密钥分发(QKD),并完成安全通信。原理上,对QKD过程的任何窃听都必然会被发现。以常用的光量子通信方案为例,量子信息由单光子的量子状态承载;而单光子是光能量变化的最小单元,也可以说是组成光的最基本单元,已不可再分,窃听者不能通过分割光子来窃听信息;“量子不可复制原理”决定了未知单光子状态不能被精确复制,因此窃听者也不能通过截获并复制光子状态来窃听信息;“海森堡测不准原理”则决定了对未知单光子状态的测量必然会对其状态产生扰动,通信者就可以利用这一点发现窃听。因此,QKD过程所产生的密钥具有理论上的无条件安全性。
本专利探索将实用化的量子通信技术与SIP信令业务系统相结合,充分发挥量子通信技术在密钥分发和安全通信方面的优势,增强现有SIP信令业务系统的通信安全性。
发明内容
本发明将实用化的量子通信技术与SIP信令业务系统相结合,并以SIP信令业务为基础,将多种业务类型转化为SIP信令业务,并对各种业务数据使用量子密钥进行加解密,保证业务数据传输的高度安全性。
本发明一方面,提供一种将SIP信令用于量子安全通信系统的方法,包括如下步骤:
第一,系统初始化,在SIP服务器中配置业务终端与量子网关的对应关系;
第二,SIP服务器接收主叫方量子网关发送来的INVITE消息,根据配置改写INVITE消息,加入主叫方量子网关ID和被叫方量子网关ID,并将改写后的INVITE消息转发给被叫方量子网关;
第三,被叫方量子网关接收所述INVITE消息,根据INVITE消息中的量子网关ID得到与主叫方量子网关间共享的量子密钥;
第四,SIP服务器接收被叫方量子网关发送的用于响应所述INVITE消息的200 OK消息后,根据配置改写200 OK消息,加入主叫方量子网关ID和被叫方量子网关ID,并将改写后的200 OK消息转发给主叫方量子网关;
第五,主叫方量子网关接收所述200 OK消息,根据200 OK消息中的量子网关ID得到与被叫方量子网关间共享的量子密钥;
第六,主叫方业务终端和被叫方业务终端,分别通过主叫方量子网关和被叫方量子网关,利用所述共享的量子密钥对业务数据进行加解密,实现业务终端间业务数据的安全传输。
优选地,所述根据配置改写INVITE消息的方法为:重写INVITE消息中FROM头域的username字段,加入主叫方量子网关ID和被叫方量子网关ID。
优选地,所述根据配置改写200 OK消息的方法为:重写200 OK消息中FROM头域的username字段,加入主叫方量子网关ID和被叫方量子网关ID。
优选地,所述根据配置改写INVITE消息或200 OK消息,加入主叫方量子网关ID和被叫方量子网关ID的方法为:在SIP信令的TO头域或者CONTACT头域中添加。
优选地,所述业务数据可以为视频电话、IP电话、传真机、普通电话、多媒体终端等的业务数据。
进一步地,所述第六步骤具体为:
主叫方业务终端发出业务数据,主叫方量子网关接收业务数据后进行协议转换,根据量子网关ID,使用与被叫方量子网关间共享的量子密钥对经过协议转换的业务数据进行加密成为密文,密文通过网络传输给被叫方量子网关;
被叫方量子网关根据量子网关ID,使用与主叫方量子网关间共享的量子密钥对密文进行解密,解密后的业务数据在被叫方量子网关内进行协议转换后,传输给被叫方业务终端。
本发明另一方面,提供一种综合接入量子网关,用于将业务终端间的多种通信业务接入量子安全通信系统中,并实现业务终端间的安全通信,该量子网关包括接入系统和密钥管理系统,其中接入系统包含业务接入模块、协议解析模块及信令处理模块;密钥管理系统包含密钥存储模块与数据加解密模块,其特征在于:
密钥存储模块,用于接收量子密钥分发系统生成的量子密钥并按照量子网关ID进行存储,根据数据加解密模块的申请向其发送对应的量子密钥;
业务接入模块,用于接入业务终端的业务,进行SIP信令封装和/或业务数据协议转换,将SIP信令及业务数据在业务终端与协议解析模块之间进行传输;
协议解析模块,用于实现SIP信令及各种业务数据协议的解析,将从业务接入模块获取的SIP信令发送至信令处理模块;在发送端,从由信令处理模块获取的用于响应INVITE消息的200 OK消息中获取量子网关ID,将该200 OK消息拆封量子网关ID后发送至业务接入模块,将从业务接入模块获取的业务数据封装量子网关ID及业务类型后发送至数据加解密模块;在接收端,从由信令处理模块获取的INVITE消息中获取量子网关ID,将该INVITE消息拆封量子网关ID后发送至业务接入模块,将从数据加解密模块获取的业务数据拆封量子网关ID及业务类型后发送至业务接入模块;
信令处理模块,用于实现SIP服务器与协议解析模块之间SIP信令的转发;
数据加解密模块,用于在发送端,从协议解析模块接收业务数据,按照量子网关ID,从密钥存储模块获取量子密钥,并对业务数据进行加密操作后,发送到对端综合接入量子网关的数据加解密模块;在接收端,接收对端综合接入量子网关发送的业务数据密文,按照量子网关ID,从密钥存储模块获取量子密钥,并对业务数据密文进行解密操作后,发送到协议解析模块。
本发明又一方面,提供一种量子安全通信系统,该系统包括SIP服务器、量子密钥分发系统、所述综合接入量子网关,用于实现所述将SIP信令用于量子安全通信系统的方法;其中的量子密钥分发系统,用于为主叫方综合接入量子网关和被叫方综合接入量子网关提供共享的量子密钥。
可选地,所述量子密钥分发系统集成在所述综合接入量子网关中。
本发明通过上述技术方案,可以得到如下技术效果:
本发明针对当前广泛应用的SIP系统,结合量子通信技术,在修改少量SIP协议指令字段的基础上添加量子网关ID信息,以便量子网关能够正确识别和使用共享的量子密钥,为SIP系统的业务数据提供加解密服务,充分保障了业务数据的安全性,实现了SIP信令业务系统与量子通信技术的有机结合。
此外,本发明使用综合接入量子网关替代传统的SIP终端,以SIP信令业务为基础,将多种业务类型转化为SIP信令业务,实现视频电话、IP电话、传真机、普通电话、多媒体终端等的综合接入,并通过修改SIP服务器配置信息、会话流程及SIP协议等,实现对各种业务数据使用量子密钥进行加解密,从而对语音、视频、传真等多种业务提供高度安全的保密传输。
附图说明
图1是本发明现有技术的SIP建立会话流程示意图;
图2是本发明实施例一提供的将SIP信令用于量子安全通信系统的方法流程示意图;
图3是本发明实施例一提供的SIP信令处理流程示意图;
图4是本发明实施例一提供的业务数据处理流程示意图;
图5是本发明实施例二提供的综合接入量子网关结构示意图;
图6是本发明实施例三提供的量子安全通信系统示意图。
具体实施方式
为了使本发明的实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例一提供一种将SIP信令用于量子安全通信系统的方法,如图2所示,包括如下步骤:
第一,系统初始化,在SIP服务器中配置业务终端与量子网关的对应关系;
第二,SIP服务器接收主叫方量子网关发送来的INVITE消息,根据配置改写INVITE消息,加入主叫方量子网关ID和被叫方量子网关ID,并将改写后的INVITE消息转发给被叫方量子网关;
第三,被叫方量子网关接收所述INVITE消息,根据INVITE消息中的量子网关ID得到与主叫方量子网关间共享的量子密钥;
第四,SIP服务器接收被叫方量子网关发送的用于响应所述INVITE消息的200 OK消息后,根据配置改写200 OK消息,加入主叫方量子网关ID和被叫方量子网关ID,并将改写后的200 OK消息转发给主叫方量子网关;
第五,主叫方量子网关接收所述200 OK消息,根据200 OK消息中的量子网关ID得到与被叫方量子网关间共享的量子密钥;
第六,主叫方业务终端和被叫方业务终端,分别通过主叫方量子网关和被叫方量子网关,利用所述共享的量子密钥对业务数据进行加解密,实现业务终端间业务数据的安全传输。
优选地,所述业务数据可以为视频电话、IP电话、传真机、普通电话、多媒体终端等的业务数据。
下面结合图3和图4,以优选的方式,从信令流处理和数据流处理两个角度来具体说明将SIP信令用于量子安全通信系统的方法。
信令流处理流程
实现将SIP信令用于量子安全通信系统中,需要对传统的SIP会话建立过程进行修改,下面结合图3进行说明。
通常,每台量子网关都通过唯一的ID号进行身份标识,自身与另一台量子网关间共享的量子密钥,会使用对方的ID号进行标识和存储。当主叫方量子网关要与另一个被叫方量子网关进行通信时,主叫方量子网关会根据ID号,将与被叫方量子网关间共享的量子密钥用于数据的加解密处理;与此同时,被叫方量子网关也会根据ID号,将与主叫方量子网关间共享的量子密钥用于数据的加解密处理。因此,在SIP协议帧中需要加入量子网关ID信息,以实现量子网关间共享量子密钥的正确识别和应用。假设主叫方业务终端的账号为Alice,其所属量子网关A的ID为1001;假设被叫方业务终端的账号为Bob,其所属量子网关B的ID为1002,对SIP会话流程的修改如下:
1、系统初始化,对SIP服务器进行配置,在其数据库中记录业务终端与量子网关的对应关系,如下表所示:
2、SIP服务器收到主叫方量子网关A发送来的INVITE消息后,根据数据库中的配置重写INVITE消息中FROM头域的username字段,加入量子网关ID信息,包括主叫方量子网关ID(本例中为1001)、被叫方量子网关ID(本例中为1002),并将修改后的INVITE消息转发给被叫方量子网关B,如下所示;
3、被叫方量子网关B提取INVITE消息中的量子网关ID信息,并根据该信息查找与主叫方量子网关A间共享的量子密钥,以用于对业务数据进行加解密处理。
4、SIP服务器收到被叫方量子网关B发送的用于响应所述INVITE消息的200 OK消息后,根据数据库中的配置重写200 OK消息中FROM头域的username字段,加入量子网关ID信息,包括主叫方量子网关ID(本例中为1001)、被叫方量子网关ID(本例中为1002),并将修改后的200 OK消息转发给主叫方量子网关A,如下所示:
5、主叫方量子网关A提取200 OK消息中的量子网关ID信息,并根据该信息查找与被叫方量子网关B间共享的量子密钥,以用于对业务数据进行加解密处理。
可选地,上述量子网关ID信息也可以在SIP信令的其他头域中添加,如在TO头域或者CONTACT头域中添加。
数据流处理流程
主叫方量子网关A与被叫方量子网关B分别根据SIP会话流程中的200 OK消息和INVITE消息,获取量子网关ID信息。
下面结合图4来具体说明如何在业务终端之间,通过量子网关来实现对数据流的处理。
主叫方业务终端A发出业务数据(RTP/T38/MSRP等格式),主叫方量子网关A接收业务数据后进行协议转换,根据量子网关ID信息,使用与被叫方量子网关B间共享的量子密钥对经过协议转换的明文数据进行加密成为密文,密文通过网络传输给被叫方量子网关B。
被叫方量子网关B根据量子网关ID信息,使用与主叫方量子网关A间共享的量子密钥对密文数据进行解密,解密后的明文数据在被叫方量子网关B内进行协议转换后,传输给被叫方业务终端B。
实施例二
本发明实施例二提供一种综合接入量子网关,用于将业务终端间的多种通信业务接入量子安全通信系统中,并实现业务终端间的安全通信,该量子网关由接入系统与密钥管理系统两部分组成,其中接入系统包含业务接入模块、协议解析模块及信令处理模块;密钥管理系统包含密钥存储模块与数据加解密模块,如图5所示,各模块功能介绍如下:
1.密钥存储模块
接收QKD系统生成的量子密钥并进行存储,根据数据加解密模块的申请向其发送对应的量子密钥。量子密钥按照量子网关ID进行存储,并分别存储在加密池与解密池中。
2.业务接入模块
实现视频电话、IP电话、传真机、普通电话、多媒体终端等业务终端的接入功能,实现模拟电话与传真机的模拟信号与数字信号间的转化,进行SIP信令封装和/或业务数据协议转换,将SIP信令及业务数据在业务终端与协议解析模块之间进行传输。
3.协议解析模块
实现SIP信令及各种业务数据协议的解析,将从业务接入模块获取的SIP信令发送至信令处理模块;在发送端,从由信令处理模块获取的用于响应INVITE消息的200 OK消息中获取量子网关ID,将该200 OK消息拆封量子网关ID后发送至业务接入模块,将从业务接入模块获取的业务数据封装量子网关ID、业务类型(包括语音电话、视频电话、传真、即时消息、文件)后,发送至数据加解密模块;在接收端,从由信令处理模块获取的INVITE消息中获取量子网关ID,将该INVITE消息拆封量子网关ID后,发送至业务接入模块,将从数据加解密模块获取的业务数据拆封量子网关ID及业务类型后,发送至业务接入模块。
4.信令处理模块
实现SIP服务器与协议解析模块之间SIP信令的转发功能。
5.数据加解密模块
在发送端,从协议解析模块接收业务数据,按照量子网关ID,从密钥存储模块获取对应量子网关ID的加密池中的量子密钥,并对业务数据进行加密操作后,发送到对端综合接入量子网关的数据加解密模块;在接收端,接收对端综合接入量子网关发送的业务数据密文,按照量子网关ID,从密钥存储模块获取对应量子网关ID的解密池中的量子密钥,并对业务数据密文进行解密操作后,发送到协议解析模块。
另外,数据加解密模块可以根据业务类型及预置的加解密策略,选择对应的加密算法进行加解密操作,加密算法包括一次一密、AES算法等。预置的加解密策略举例如下:
业务类型 |
加密算法 |
语音电话 |
一次一密 |
视频电话 |
AES-128 |
传真 |
一次一密 |
即时消息 |
一次一密 |
文件 |
AES-128 |
实施例三
本发明实施例三提供一种量子安全通信系统,用于实现实施例一中SIP信令及业务数据的处理方法,该系统包括实施例二中的主叫方综合接入量子网关和被叫方综合接入量子网关、SIP服务器、量子密钥分发(QKD)系统;其中的QKD系统,用于为主叫方综合接入量子网关和被叫方综合接入量子网关提供共享的量子密钥。
如图6所示,本发明在原有的业务系统上增加三种类型的设备:SIP服务器、QKD系统、综合接入量子网关。在一个SIP系统中,需要存在一个SIP服务器,并将其连接至经典网络上。每个业务终端对应一个QKD系统和一个综合接入量子网关。业务终端与综合接入量子网关通过有线或者无线方式相连,综合接入量子网关直接连接到经典网络。综合接入量子网关具有SIP客户端的功能,将业务数据的协议进行转化,并使用量子密钥对业务数据进行加解密。QKD系统间通过量子信道分发量子密钥,并将量子密钥传输给相应的综合接入量子网关供其使用。可选地,QKD功能可集成在综合接入量子网关中。
网络搭建完毕后,业务终端之间通过综合接入量子网关、SIP服务器就可以建立业务,业务终端之间传输的业务数据通过综合接入量子网关,并利用量子密钥加密后传送到经典网络上,使得经典网络上的业务数据均以密文形式存在,保证了业务数据的无条件安全性。
以上对本发明实施例所提供的将SIP信令用于量子安全通信系统的方法、综合接入量子网关及量子安全通信系统进行了详细介绍,但是以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想,不应理解为对本发明的限制。本技术领域的技术人员在本发明揭露的技术范围内,轻易想到的变化或者替换,都应涵盖在本发明的保护范围之内。