CN105991277A - 基于sip通信系统的密钥分发方法 - Google Patents

基于sip通信系统的密钥分发方法 Download PDF

Info

Publication number
CN105991277A
CN105991277A CN201510046565.8A CN201510046565A CN105991277A CN 105991277 A CN105991277 A CN 105991277A CN 201510046565 A CN201510046565 A CN 201510046565A CN 105991277 A CN105991277 A CN 105991277A
Authority
CN
China
Prior art keywords
key
terminal
data
calling
secret key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510046565.8A
Other languages
English (en)
Other versions
CN105991277B (zh
Inventor
付景林
李耀龙
王允升
王志刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING DATANG GAOHONG DATA NETWORK TECHNOLOGY Co Ltd
Original Assignee
BEIJING DATANG GAOHONG DATA NETWORK TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING DATANG GAOHONG DATA NETWORK TECHNOLOGY Co Ltd filed Critical BEIJING DATANG GAOHONG DATA NETWORK TECHNOLOGY Co Ltd
Priority to CN201510046565.8A priority Critical patent/CN105991277B/zh
Publication of CN105991277A publication Critical patent/CN105991277A/zh
Application granted granted Critical
Publication of CN105991277B publication Critical patent/CN105991277B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于SIP通信系统的密钥分发方法,基于VOIP服务器、密钥分发服务器、若干终端架构而成的通信系统实现,终端向VOIP服务器发送呼叫请求消息,VOIP服务器向密钥分发服务器发送获取密钥请求消息,密钥分发服务器利用终端的公钥,生成终端的密钥数据,并将密钥数据通过VOIP服务器分发给终端,终端收到相应的密钥数据后,利用自身的私钥对密钥数据解密后得到会话密钥,主被叫终端利用会话密钥实现保密通信。本发明简化了密钥分发过程,将密钥数据通过建立通信连接的SIP消息传输给终端,无需额外增加消息数量,实时性较强,可实现终端的保密通信。

Description

基于SIP通信系统的密钥分发方法
技术领域
本发明涉及一种基于SIP通信系统的密钥分发方法,属于信息安全技术领域。
背景技术
SIP(Session Initiation Protocol)是一个会话层的信令控制协议,用于创建、修改和释放一个或多个参与者的会话,主、被叫终端通过VOIP服务器建立通信连接,主、被叫终端交互的语音内容基于RTP实时传输协议,语音数据包被封装成IP包,在IP网络上传输,传输过程中,若不对数据包进行任何处理,就存在明文形式的通话内容数据被窃听而导致信息泄露的隐患。
为保证通信双方通信内容的安全性、完整性,普遍使用PKI系统,利用数字证书、非对称加密、数字签名等技术分发密钥,保证密钥的机密性、完整性和不可抵赖性,终端利用得到的密钥对数据包加密后传输,然而基于PKI系统架构的SIP通信系统具有实现复杂、成本高、实时性较差的问题。
发明内容
鉴于上述原因,本发明的目的在于提供一种基于SIP通信系统的密钥分发方法,该方法由主叫终端通过VOIP服务器触发密钥分发服务器为通信双方分发密钥,不仅能够保证通信双方通信内容数据的安全性,且实现较为简单、实时性强。
为实现上述目的,本发明采用以下技术方案:
一种基于SIP通信系统的密钥分发方法,基于VOIP服务器、密钥分发服务器、若干终端架构而成的通信系统实现,该方法为,
密钥分发服务器利用终端的公钥,生成终端的密钥数据,并将该密钥数据通过VOIP服务器分发给终端。
该方法包括以下步骤:
S1:主叫终端向VOIP服务器发送呼叫请求消息;
S2:VOIP服务器收到该呼叫请求消息后,向密钥分发服务器发送获取密钥请求消息,该获取密钥请求消息中包含主、被叫终端的身份标识;
S3:密钥分发服务器收到该获取密钥请求消息,根据主、被叫终端的信息生成相应的密钥数据,并将生成的密钥数据以获取密钥响应消息发送给VOIP服务器;
S4:VOIP服务器收到该获取密钥响应消息后,向被叫终端发送呼叫请求消息,该呼叫请求消息中包含被叫终端的密钥数据CKB
S5:被叫终端收到VOIP服务器发送的呼叫请求消息后,向VOIP服务器发送振铃消息;
S6:VOIP服务器收到被叫终端的振铃消息后,向主叫终端发送振铃消息,该振铃消息中包含主叫终端的密钥数据CKA
进一步的,
所述步骤S3中,密钥分发服务器先利用随机函数生成随机数作为会话密钥,然后利用主、被叫终端的公钥对会话密钥进行加密生成加密的会话密钥,之后在加密的会话密钥基础上添加认证数据生成主、被叫终端的密钥数据。
所述步骤S2中,所述获取密钥请求消息中包含主、被叫终端的公开数据,该公开数据为终端的公钥、数字证书,密钥分发服务器利用终端的公钥对所述会话密钥进行加密。
所述获取密钥请求消息中未包含所述公开数据,密钥分发服务器利用终端的身份标识查找自身建立的关于终端身份标识与公开数据对应关系的数据库,获得终端的公开数据。
密钥分发服务器利用终端的身份标识,从CA中心获取终端的公开数据。
主、被叫终端收到所述密钥数据后,先利用所述公开数据对密钥数据进行校验,校验通过后,利用已有的私钥对密钥数据进行解密后得到所述会话密钥
本发明的优点是:
本发明可简化密钥分发过程,将密钥数据通过建立通信连接的SIP消息传输给终端,无需额外增加消息数量,实时性较强,可实现终端的保密通信。
附图说明
图1是本发明的SIP通信系统的组成框图。
图2是本发明的信号流向示意图。
具体实施方式
以下结合附图和实施例对本发明作进一步详细的说明。
图1是本发明的SIP通信系统的组成框图,如图1所示,本发明公开的基于SIP通信系统的密钥分发方法,基于由VOIP服务器、密钥分发服务器(KDS:Key Distribution Server)、若干终端(SIP终端)等架构而成,终端通过VOIP服务器建立通信连接,VOIP服务器通过网络与密钥分发服务器相连接,可从密钥分发服务器获取密钥,并将获取的密钥分发给终端。
如图2所示,本发明的基于SIP通信系统的密钥分发方法,包括以下步骤:
S1:主叫终端向VOIP服务器发送呼叫请求消息(INVITE消息);
S2:VOIP服务器收到该呼叫请求消息后,向密钥分发服务器发送获取密钥请求消息,该获取密钥请求消息中包含主、被叫终端的身份标识及公开数据;
终端的身份标识可以是终端的通信号码、硬件密码设备标识、数字证书序列号等可以唯一标识终端身份的标识数据。
终端保存有CA中心(证书授权机构)已经为终端分配的公钥、私钥及数字证书等,终端的公开数据包括终端已有的公钥、数字证书等。
S3:密钥分发服务器收到该获取密钥请求消息,根据主、被叫终端的信息生成相应的密钥数据,并将生成的主、被叫终端的密钥数据以获取密钥响应消息发送给VOIP服务器;
密钥分发服务器生成的密钥数据的方法是:
S31:生成会话密钥;
可利用随机函数或硬件随机数发生器生成随机数作为会话密钥。
S32:利用主、被叫终端的公开数据对会话密钥处理后,生成主、被叫终端的密钥数据;
密钥分发服务器可以通过以下方法获取主、被叫终端的公开数据:从VOIP服务器向密钥分发服务器发送的获取密钥请求消息中获取;若获取密钥请求消息中未携带终端的公开数据,密钥分发服务器依据主、被叫终端的身份标识,查找自身建立的数据库,该数据库中保存了终端的身份标识及对应的公开数据等信息;若密钥分发服务器未建立相关的数据库,则可从CA中心获取主、被叫终端的公开数据。
密钥分发服务器利用主叫终端的公开数据PKA对会话密钥进行公钥加密后得到加密的会话密钥(即利用主叫终端的公钥对会话密钥进行加密后得到加密的会话密钥),进一步的,为防止密钥数据被篡改或伪造,在加密的会话密钥基础上添加认证数据(即进行数字签名)生成主叫终端的密钥数据CKA
同理,密钥分发服务器利用被叫终端的公开数据PKB对会话密钥进行公钥加密后得到加密的会话密钥,进一步的,为防止密钥数据被篡改或伪造,在加密的会话密钥基础上添加认证数据后生成被叫终端的密钥数据CKB
S4:VOIP服务器收到该获取密钥响应消息后,向被叫终端发送呼叫请求消息,该呼叫请求消息中包含被叫终端的密钥数据CKB
S5:被叫终端收到VOIP服务器发送的呼叫请求消息后,响应并向VOIP服务器发送振铃消息;
被叫终端收到该呼叫请求消息后,首先对密钥数据CKB中的认证数据进行验证,验证方法是终端利用公开数据对认证数据进行签名验证;验证通过后,利用已有的私钥对密钥数据进行解密后得到会话密钥,后续通信过程中,主叫终端可直接利用该会话密钥对数据包进行加解密处理,也可以利用该会话密钥与不同的参数进行运算(运算方式包括杂凑运算、加密运算、掩盖运算等)后生成数据加密密钥、数据认证密钥等应用密钥,然后再使用生成的应用密钥对数据包进行加解密处理或认证处理。需要注意的是,对于会话密钥的使用方法,主、被叫终端需保持一致。
S6:VOIP服务器收到被叫终端的振铃消息后,向主叫终端发送振铃消息,该振铃消息中包含主叫终端的密钥数据CKA
主叫终端收到该振铃消息后,首先对密钥数据CKA进行校验,校验通过后,利用已有的私钥对密钥数据进行解密后得到会话密钥,后续通信过程中,主叫终端直接利用该会话密钥对数据包进行加解密处理,或是与被叫终端采用相同的方式利用该会话密钥生成应用密钥后,再使用应用密钥对数据包进行加解密处理或认证处理。
S7:被叫终端通过VOIP服务器向主叫终端发送接听响应消息(200OK);
S8:主叫终端通过VOIP服务器向被叫终端发送确认消息(ACK)。
本发明的基于SIP通信系统的密钥分发方法,主叫终端欲与被叫终端通信时,通过VOIP服务器触发密钥分发服务器进行密钥分发,密钥分发服务器利用主、被叫终端的身份标识及公开数据生成二者的密钥数据,并通过VOIP服务器将密钥数据分发给主、被叫终端,之后,主被叫终端即可利用密钥数据实现保密通信。本发明可简化密钥分发过程,将密钥数据通过建立通信连接的SIP消息传输给终端,无需额外增加消息数量,实时性较强。
以上所述是本发明的较佳实施例及其所运用的技术原理,对于本领域的技术人员来说,在不背离本发明的精神和范围的情况下,任何基于本发明技术方案基础上的等效变换、简单替换等显而易见的改变,均属于本发明保护范围之内。

Claims (7)

1.基于SIP通信系统的密钥分发方法,基于VOIP服务器、密钥分发服务器、若干终端架构而成的通信系统实现,其特征在于,
密钥分发服务器利用终端的公钥,生成终端的密钥数据,并将该密钥数据通过VOIP服务器分发给终端。
2.如权利要求1所述的基于SIP通信系统的密钥分发方法,其特征在于,包括以下步骤:
S1:主叫终端向VOIP服务器发送呼叫请求消息;
S2:VOIP服务器收到该呼叫请求消息后,向密钥分发服务器发送获取密钥请求消息,该获取密钥请求消息中包含主、被叫终端的身份标识;
S3:密钥分发服务器收到该获取密钥请求消息,根据主、被叫终端的信息生成相应的密钥数据,并将生成的密钥数据以获取密钥响应消息发送给VOIP服务器;
S4:VOIP服务器收到该获取密钥响应消息后,向被叫终端发送呼叫请求消息,该呼叫请求消息中包含被叫终端的密钥数据CKB
S5:被叫终端收到VOIP服务器发送的呼叫请求消息后,向VOIP服务器发送振铃消息;
S6:VOIP服务器收到被叫终端的振铃消息后,向主叫终端发送振铃消息,该振铃消息中包含主叫终端的密钥数据CKA
3.如权利要求2所述的基于SIP通信系统的密钥分发方法,其特征在于,所述步骤S3中,密钥分发服务器先利用随机函数生成随机数作为会话密钥,然后利用主、被叫终端的公钥对会话密钥进行加密生成加密的会话密钥,之后在加密的会话密钥基础上添加认证数据生成主、被叫终端的密钥数据。
4.如权利要求3所述的基于SIP通信系统的密钥分发方法,其特征在于,所述步骤S2中,所述获取密钥请求消息中包含主、被叫终端的公开数据,该公开数据为终端的公钥、数字证书,密钥分发服务器利用终端的公钥对所述会话密钥进行加密。
5.如权利要求4所述的基于SIP通信系统的密钥分发方法,其特征在于,所述获取密钥请求消息中未包含所述公开数据,密钥分发服务器利用终端的身份标识查找自身建立的关于终端身份标识与公开数据对应关系的数据库,获得终端的公开数据。
6.如权利要求5所述的基于SIP通信系统的密钥分发方法,其特征在于,密钥分发服务器利用终端的身份标识,从CA中心获取终端的公开数据。
7.如权利要求6所述的基于SIP通信系统的密钥分发方法,其特征在于,主、被叫终端收到所述密钥数据后,先利用所述公开数据对密钥数据进行校验,校验通过后,利用已有的私钥对密钥数据进行解密后得到所述会话密钥。
CN201510046565.8A 2015-01-29 2015-01-29 基于sip通信系统的密钥分发方法 Active CN105991277B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510046565.8A CN105991277B (zh) 2015-01-29 2015-01-29 基于sip通信系统的密钥分发方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510046565.8A CN105991277B (zh) 2015-01-29 2015-01-29 基于sip通信系统的密钥分发方法

Publications (2)

Publication Number Publication Date
CN105991277A true CN105991277A (zh) 2016-10-05
CN105991277B CN105991277B (zh) 2019-07-26

Family

ID=57035119

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510046565.8A Active CN105991277B (zh) 2015-01-29 2015-01-29 基于sip通信系统的密钥分发方法

Country Status (1)

Country Link
CN (1) CN105991277B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108401493A (zh) * 2018-02-06 2018-08-14 福建联迪商用设备有限公司 一种传输密钥的方法、接收终端及分发终端
CN111211889A (zh) * 2019-12-27 2020-05-29 深圳市普天宜通技术股份有限公司 一种安全对讲方法、设备、系统及存储介质
CN113099444A (zh) * 2021-02-23 2021-07-09 中国科学院大学 一种保护隐私的信息传输方法及其系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1671097A (zh) * 2004-03-17 2005-09-21 华为技术有限公司 一种端到端无线加密通讯的方法及系统
CN101488945A (zh) * 2008-01-14 2009-07-22 北京大唐高鸿数据网络技术有限公司 一种面向会话初始化协议的鉴权方法
CN102077550A (zh) * 2009-06-30 2011-05-25 思科技术公司 Voip地址发现系统中通信的限制
US20140348157A1 (en) * 2013-05-22 2014-11-27 Speak2sales, LLC System and method for web telephone services

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1671097A (zh) * 2004-03-17 2005-09-21 华为技术有限公司 一种端到端无线加密通讯的方法及系统
CN101488945A (zh) * 2008-01-14 2009-07-22 北京大唐高鸿数据网络技术有限公司 一种面向会话初始化协议的鉴权方法
CN102077550A (zh) * 2009-06-30 2011-05-25 思科技术公司 Voip地址发现系统中通信的限制
US20140348157A1 (en) * 2013-05-22 2014-11-27 Speak2sales, LLC System and method for web telephone services

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108401493A (zh) * 2018-02-06 2018-08-14 福建联迪商用设备有限公司 一种传输密钥的方法、接收终端及分发终端
WO2019153119A1 (zh) * 2018-02-06 2019-08-15 福建联迪商用设备有限公司 一种传输密钥的方法、接收终端及分发终端
CN108401493B (zh) * 2018-02-06 2021-04-16 福建联迪商用设备有限公司 一种传输密钥的方法、接收终端及分发终端
CN111211889A (zh) * 2019-12-27 2020-05-29 深圳市普天宜通技术股份有限公司 一种安全对讲方法、设备、系统及存储介质
CN113099444A (zh) * 2021-02-23 2021-07-09 中国科学院大学 一种保护隐私的信息传输方法及其系统
CN113099444B (zh) * 2021-02-23 2022-06-24 中国科学院大学 一种保护隐私的信息传输方法及其系统

Also Published As

Publication number Publication date
CN105991277B (zh) 2019-07-26

Similar Documents

Publication Publication Date Title
CN104486077B (zh) 一种VoIP实时数据安全传输的端到端密钥协商方法
US8868912B2 (en) Method and apparatus for establishing a security association
Otway et al. Efficient and timely mutual authentication
CN108400867B (zh) 一种基于公钥加密体制的认证方法
CN106936788B (zh) 一种适用于voip语音加密的密钥分发方法
CN102045210B (zh) 一种支持合法监听的端到端会话密钥协商方法和系统
CN108683501B (zh) 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法
CN102547688B (zh) 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法
US20070086590A1 (en) Method and apparatus for establishing a security association
CN107888560A (zh) 一种移动智能终端邮件安全传输系统及方法
CN101971559A (zh) 能够合法截取加密的业务的方法和装置
CN104735068A (zh) 基于国密的sip安全认证的方法
CN104618110A (zh) 一种VoIP安全会议会话密钥传输方法
CN109861946B (zh) 主叫号码验真的方法、系统以及呼叫接收设备
CN101420413A (zh) 会话密钥协商方法、网络系统、认证服务器及网络设备
CN1658547B (zh) 密钥分发方法
Groves MIKEY-SAKKE: sakai-kasahara key encryption in multimedia internet keying (MIKEY)
CN108964897B (zh) 基于群组通信的身份认证系统和方法
CN108833943A (zh) 码流的加密协商方法、装置及会议终端
CN101790160A (zh) 安全协商会话密钥的方法及装置
CN111970699A (zh) 一种基于ipk的终端wifi登陆认证方法以及系统
CN108880799B (zh) 基于群组密钥池的多次身份认证系统和方法
CN105991277B (zh) 基于sip通信系统的密钥分发方法
WO2024082963A1 (zh) 一种均衡安全和效率的改进型5g消息rcs接入鉴权ims-aka方法
CN106788997B (zh) 一种基于标识密码的实时多媒体加密方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20161005

Assignee: CHINA TECHNOLOGY EXCHANGE Co.,Ltd.

Assignor: BEIJING GOHIGH DATA NETWORKS TECHNOLOGY Co.,Ltd.

Contract record no.: X2023110000145

Denomination of invention: Key distribution method based on SIP communication system

Granted publication date: 20190726

License type: Exclusive License

Record date: 20231201

EE01 Entry into force of recordation of patent licensing contract
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Key distribution method based on SIP communication system

Effective date of registration: 20231206

Granted publication date: 20190726

Pledgee: CHINA TECHNOLOGY EXCHANGE Co.,Ltd.

Pledgor: BEIJING GOHIGH DATA NETWORKS TECHNOLOGY Co.,Ltd.

Registration number: Y2023110000516

PE01 Entry into force of the registration of the contract for pledge of patent right