CN108270717B - VoIP通信方法、设备及通信系统 - Google Patents
VoIP通信方法、设备及通信系统 Download PDFInfo
- Publication number
- CN108270717B CN108270717B CN201611252398.3A CN201611252398A CN108270717B CN 108270717 B CN108270717 B CN 108270717B CN 201611252398 A CN201611252398 A CN 201611252398A CN 108270717 B CN108270717 B CN 108270717B
- Authority
- CN
- China
- Prior art keywords
- terminal
- media encryption
- server
- voip
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请实施例提供一种VoIP通信方法、设备及通信系统,通过专用的服务器向VoIP终端下发媒体加密主密钥,终端根据所述媒体加密主密钥进行VoIP通信。其目的在于使语音媒体加密通道的关键主密钥避开被IP‑PBX、SIP网关等中间设备操控的风险,从而增加语音媒体加密传输的安全性,也增加了VoIP通话的可信性。
Description
技术领域
本申请实施例涉及通信技术,尤其涉及一种VoIP通信方法、设备及通信系统。
背景技术
网络电话(Voice over Internet Protocol,简称VoIP)是在互联网协议(Internet Protocol,简称IP)网络上进行语音通话的技术。简而言之就是将模拟信号数字化,以数据封包的形式在IP网络上做实时传递,通俗来说也就是互联网电话或IP电话。VoIP最大的优势是能广泛地采用互联网和全球IP互连的环境,提供比传统业务更多、更好的服务。
由于IP网络的开放性和IP网络上终端的智能性,VoIP存在用户通话内容在IP网络中传输时被窃听、被篡改的风险。针对该风险,业界制定了在安全传输层协议上承载会话发起协议(Session Initiation Protocol over Transport Layer Security,简称SIP TLS)信令加密传输和安全实时传输协议(Security Realtime Transport Protocol,简称SRTP)媒体加密传输的标准。基于SIP TLS和SRTP的VoIP系统,在信令交互时,采用传输层的TLS技术保证信令传输的安全;在媒体交互时,采用SRTP协议保证语音媒体传输的安全。
在相关技术中,SRTP媒体加密传输的加密密钥(用于保证私密性,防窃听)和哈希消息鉴权码(Hashed Message Authentication Code,简称HMAC)密钥(用于保证完整性,防篡改)的主密钥是通过SIP信令交互的。也就是说,需要通过基于IP网络的语音交换机(IPPrivate Branch eXchange,简称IP-PBX)、SIP网关等多个中间设备在主、被叫终端间交换主密钥,且这些中间设备对这个关键主密钥需要进行的操作包括:接收、解析、封装、发送等全明文的操作和控制。但这些中间设备极有可能是多厂商供应的,在这些中间设备上,存在恶意或无意泄露这个关键密钥的风险(例如,不慎将包含密钥的SIP信令打印到了日志中或显示在信令跟踪界面上等),从而导致通话双方的保密性和可信性不高。
发明内容
本申请实施例提供一种VoIP通信方法、设备及通信系统,其目的在于使语音媒体加密通道的关键主密钥避开被IP-PBX、SIP网关等中间设备操控的风险,从而增加语音媒体加密传输的安全性,也增加了VoIP通话的可信性。
本申请实施例第一方面提供一种VoIP通信方法,该方法的执行主体为VoIP终端,该方法包括:
第一终端向服务器发送第一请求消息,用于请求所述服务器下发所述第一终端与第二终端进行VoIP通信的媒体加密主密钥;
所述第一终端接收所述服务器发送的密钥下发消息;
所述第一终端根据所述密钥下发消息获取媒体加密主密钥;
所述第一终端根据所述媒体加密主密钥与所述第二终端进行VoIP通信。
上述提供的VoIP通信方法,终端直接从专用的服务器中获取媒体加密主密钥,该主密钥传输过程中不再涉及SIP信令路径上的SIP代理、SIP服务器(IP-PBX)、SIP网关等中间网元对该主密钥的操控,可以杜绝媒体加密密钥在通话双方之外的第三方各种中间设备上被泄漏的风险,从而避免了通话双方的私密性和完整性还需依赖第三方部件的不利情况。
在一种可能的设计中,上述第一请求消息包括所述第一终端和所述第二终端的标识信息;所述第一终端向服务器发送第一请求消息之前,还包括:所述第一终端接收所述第二终端发送的呼叫请求;所述第一终端根据所述呼叫请求确定所述第一终端和所述第二终端的标识信息。
在一种可能的设计中,上述第一请求消息还用于请求所述服务器下发所述第一终端与所述第二终端进行VoIP通信的媒体加密算法;所述第一终端根据所述媒体加密主密钥与所述第二终端进行VoIP通信,包括:所述第一终端根据所述媒体加密主密钥以及所述媒体加密算法与所述第二终端进行VoIP通信。
上述各可能的设计提供的VoIP通信方法,不仅SRTP加密主密钥由专用的服务器操控分发,SRTP加密算法也可以由专用服务器控制并向VoIP终端进行分发。通过SRTP加密算法统一分发,还可以方便做到在VoIP终端上部署采用非标准加密算法(即非SIP/SRTP规范里指定的加密算法)进行媒体加密传输,从而提升语音媒体加密传输的灵活性。
本申请实施例第二方面提供一种VoIP通信方法,该方法的执行主体为服务器,该方法包括:
服务器接收第一终端发送的第一请求消息;
所述服务器根据所述第一请求消息,分别向所述第一终端和第二终端发送密钥下发消息,所述密钥下发消息包括所述第一终端与所述第二终端进行VoIP通信的媒体加密主密钥,所述密钥下发消息用于指示所述第一终端和所述第二终端分别根据所述密钥下发消息获取所述媒体加密主密钥,并根据所述媒体加密主密钥进行VoIP通信。
上述提供的VoIP通信方法,通过专用的服务器向VoIP终端下发媒体加密主密钥,而不再通过SIP信令路径上的SIP代理、SIP服务器(IP-PBX)、SIP网关等中间网元对该主密钥进行传输和操控,可以杜绝媒体加密密钥在通话双方之外的第三方各种中间设备上被泄漏的风险,从而避免了通话双方的私密性和完整性还需依赖第三方部件的不利情况。
在一种可能的设计中,所述第一请求消息包括所述第一终端和所述第二终端的标识信息;所述服务器根据所述第一请求消息,分别向所述第一终端和第二终端发送密钥下发消息,包括:所述服务器根据所述第一终端的标识信息向所述第一终端发送密钥下发消息;所述服务器根据所述第二终端的标识信息向所述第二终端发送密钥下发消息。
在一种可能的设计中,在所述服务器根据所述第一请求消息,分别向所述第一终端和第二终端发送密钥下发消息之前,还包括:根据所述第一终端和所述第二终端的标识信息确认所述第一终端和所述第二终端为合法用户终端。
上述各可能的设计提供的VoIP通信方法,服务器可以根据所述第一终端和所述第二终端的标识信息确认所述第一终端和所述第二终端为合法用户终端。例如VoIP终端管理设备中可能维护有所有VoIP终端的标识信息,如号码信息、IP地址信息以及号码信息和IP地址信息对应关系等,服务器可以根据VoIP终端管理设备中维护的所有VoIP终端的标识信息确认第一终端和第二终端为合法用户终端,提高了VoIP通信的安全性。
在一种可能的设计中,上述密钥下发消息还包括所述第一终端与所述第二终端进行VoIP通信的媒体加密算法;所述密钥下发消息具体用于:指示所述第一终端和所述第二终端分别根据所述密钥下发消息获取所述媒体加密主密钥和所述媒体加密算法,并根据所述媒体加密主密钥以及所述媒体加密算法进行VoIP通信。
上述各可能的设计提供的VoIP通信方法,不仅SRTP加密主密钥由专用的服务器操控分发,SRTP加密算法也可以由专用服务器控制并向VoIP终端进行分发。通过SRTP加密算法统一分发,还可以方便做到在VoIP终端上部署采用非标准加密算法(即非SIP/SRTP规范里指定的加密算法)进行媒体加密传输,从而提升语音媒体加密传输的灵活性。
第三方面,为了实现上述第一方面的VoIP通信方法,本申请实施例提供了一种VoIP通信装置,该VoIP通信装置具有实现上述VoIP通信方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在第三方面的一种可能的实现方式中,该VoIP通信装置包括多个功能模块或单元,用于实现上述第一方面中的任一种VoIP通信方法。
第四方面,本申请实施例提供了一种VoIP终端,该VoIP终端的结构中可以包括处理器和收发器。所述处理器被配置为支持该VoIP终端执行上述第一方面中任一种VoIP通信方法中相应的功能。所述收发器用于支持该VoIP终端与其他网络设备之间的通信,例如可以为相应的射频模块或者基带模块。该VoIP终端中还可以包括存储器,所述存储器用于与处理器耦合,其保存该VoIP终端执行上述VoIP通信方法必要的程序指令和数据。
第五方面,本申请实施例提供了一种计算机存储介质,用于储存为上述VoIP终端所用的计算机软件指令,其包含用于执行上述第一方面所设计的程序。
第六方面,本申请实施例提供一种计算机程序产品,其包含指令,当所述计算机程序被计算机所执行时,该指令使得计算机执行上述方法中第一终端所执行的功能。
第七方面,为了实现上述第二方面的VoIP通信方法,本申请实施例提供了一种VoIP通信装置,该VoIP通信装置具有实现上述VoIP通信方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在第七方面的一种可能的实现方式中,该VoIP通信装置包括多个功能模块或单元,用于实现上述第二方面中的任一种VoIP通信方法。
第八方面,本申请实施例提供一种服务器,该服务器的结构中可以包括处理器和收发器。所述处理器被配置为支持该装置执行上述第二方面中任一种VoIP通信方法中相应的功能。所述收发器用于支持该服务器与其他网络设备之间的通信,例如可以为相应的射频模块或者基带模块。该服务器中还可以包括存储器,所述存储器用于与处理器耦合,其保存该服务器执行上述VoIP通信方法必要的程序指令和数据。
第九方面,本申请实施例提供了一种计算机存储介质,用于储存为上述服务器所用的计算机软件指令,其包含用于执行上述第二方面所设计的程序。
第十方面,本申请实施例提供一种计算机程序产品,其包含指令,当所述计算机程序被计算机所执行时,该指令使得计算机执行上述方法中服务器所执行的功能。
第十一方面,本申请实施例提供一种终端网络管理设备,该设备包括上述第七方面提供的VoIP通信装置。
第十二方面,本申请实施例提供一种VoIP通信系统,包括:具有上述第三方面提供的VoIP通信装置的终端,具有上述第七方面提供的VoIP通信装置的服务器,以及SIP服务器和SIP网关。
第十三方面,本申请实施例提供一种VoIP通信系统,包括:上述第四方面提供的VoIP终端,上述第八方面提供的服务器,以及SIP服务器和SIP网关。
第十四方面,本申请实施例提供一种VoIP通信系统,包括:具有上述第三方面提供的VoIP通信装置的终端,上述第十一方面提供的终端网络管理设备,以及SIP服务器和SIP网关。
第十五方面,本申请实施例提供一种VoIP通信系统,包括:上述第四方面提供的VoIP终端,上述第十一方面提供的终端网络管理设备,以及SIP服务器和SIP网关。
相较于现有技术,本申请实施例所提供的方法和设备,通过专用的服务器向VoIP终端下发媒体加密主密钥,而不再通过SIP信令路径上的SIP代理、SIP服务器(IP-PBX)、SIP网关等中间网元对该主密钥进行传输和操控,增加媒体加密传输的安全性,也增加了VoIP通话的可信性。由于本申请实施例所提供的技术方案,可不依赖于SIP信令的安全性(因为媒体加密主密钥已不再需要依赖SIP信令交互),即可保证SRTP媒体的安全性,使VoIP通信整体安全对SIP信令的机密性要求降低,不需要强制VoIP系统启用SIP TLS即可保证VoIP通信安全。所以,可以在不降低安全的前提下,提升了VoIP系统的性能。
附图说明
图1为本申请实施例提供的通信架构场景示意图;
图2为本申请实施例提供的基于SIP和RTP的VoIP通话的信令和媒体交互路径示意图;
图3为本申请实施例提供的VoIP通信方法的流程示意图;
图4为本申请实施例提供的VoIP通信方法的流程示意图;
图5为本申请实施例提供的VoIP通信装置的结构示意图;
图6为本申请实施例提供的VoIP通信装置的结构示意图;
图7为本申请实施例提供的VoIP通信装置的结构示意图;
图8为本申请实施例提供的VoIP终端的结构示意图;
图9为本申请实施例提供的服务器的结构示意图;
图10为本申请实施例提供的终端网络管理设备与VoIP终端的交互示意图。
具体实施方式
本申请实施例提供的技术方案,可以适用于图1所示的通信系统。如图1所示,VoIP系统在终端用户侧,用IP话机或软电话代替了传统的模拟话机;在网络侧,用IP-PBX(SIP服务器)代替了传统的PBX,用SIP网关代替了传统的中继网关;同时,在网络侧,还引入了SIP代理网元。
常用的VoIP协议是SIP和实时传输协议(Realtime Transport Protocol,简称RTP)。其中,SIP定义了VoIP信令交互机制,RTP定义了语音媒体传输机制。
基于图1所示的VoIP系统,两个IP话机直接通话完整的信令和媒体交互路径如图2所示。IP话机A向IP话机B发起呼叫时,SIP Invite信令会通过IP话机A的SIP服务器(包括IP-PBX和SIP代理网元等)、SIP网关、IP话机B的SIP服务器(包括IP-PBX和SIP代理网元等)等逐跳到达IP话机B;反之,IP话机B返回的SIP 200 OK信令也是逐跳到达IP话机A的。通过SIP信令交互,在IP话机A和IP话机B之间建立语音媒体通道,语音媒体通道是以点对点(Point to Point,简称P2P)的形式直接在两个话机间建立的。
由于IP网络的开放性和IP网络上终端的智能性,VoIP系统存在用户通话内容在IP网络中传输时被窃听、被篡改的风险。针对该风险,业界制定了SIP TLS信令加密传输和SRTP媒体加密传输的标准。基于SIP TLS和SRTP的VoIP系统,在信令交互时,采用传输层的TLS技术保证信令传输的安全;在媒体交互时,采用SRTP协议保证语音媒体传输的安全。
在现有技术中,在呼叫过程中,在SIP Invite信令的会话描述协议(SessionDescription Protocol,简称SDP)中会带上IP话机A随机生成的SRTP的加密主密钥,以告诉IP话机B:IP话机A将以该主密钥推导出加密密钥和完整性密钥进行IP话机A发往IP话机B的语音媒体报文的加密和完整性校验。同理,在SIP 200 OK信令的SDP中会带上IP话机B随机生成的SRTP的加密主密钥,以告诉IP话机A:IP话机B将以该主密钥推导出加密密钥和完整性密钥进行IP话机B发往IP话机A的语音媒体的加密和完整性校验。
在现有技术中,SRTP媒体加密传输的加密密钥(用于保证私密性,防窃听)和HMAC密钥(用于保证完整性,防篡改)的主密钥是通过SIP信令交互的。也就是说,需要通过基于IP-PBX、SIP网关等多个中间设备在主被叫终端间交换主密钥,且这些中间设备对这个关键主密钥需要进行的操作包括:接收、解析、封装、发送等全明文的操作和控制。但这些中间设备极有可能是多厂商供应的,在这些中间设备上,存在恶意或无意泄露这个关键密钥的风险(例如,不慎将包含密钥的SIP信令打印到了日志中或显示在信令跟踪界面上等)。可见,在现有技术中,存在通话双方的私密性和完整性还需依赖第三方部件的不利情况,从而导致通话双方的保密性和可信性不高。
因此,本申请实施例提供的VoIP通信方法、设备及通信系统,旨在解决现有技术的如上技术问题。
下面以具体的实施例对本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图3为本申请实施例提供的VoIP通信方法流程示意图,如图3所示,该方法可以包括如下步骤:
S301,IP话机A通过SIP Invite信令向IP话机B发起呼叫请求;
S302,IP话机B通过SIP 200 OK信令响应IP话机A的呼叫请求;
S303,IP话机B向服务器发送第一请求消息,以请求服务器下发IP话机A与IP话机B进行VoIP通信的媒体加密主密钥;
S304,服务器根据接收到的第一请求消息,分别向IP话机A和IP话机B发送密钥下发消息,以指示IP话机A和IP话机B分别根据所述密钥下发消息获取媒体加密主密钥,并根据所述媒体加密主密钥进行VoIP通信;
S305,IP话机A和IP话机B分别根据接收到的密钥下发消息,获取媒体加密主密钥;
S306,IP话机A和IP话机B根据服务器下发的媒体加密主密钥进行VoIP通信。
具体的,IP话机A发出的SIP Invite信令经中间多台多跳SIP服务器,到达IP话机B。值得一提的是,IP话机A发出的SIP Invite信令的SDP中依然可能携带有IP话机A随机生成的SRTP的加密主密钥,IP话机B收到该SIP Invite信令后,会直接忽略该信令里的媒体加密主密钥。IP话机B摘机接听后,IP话机B向IP话机A返回SIP 200 OK信令,同时,IP话机B向服务器上报一条密钥请求消息。服务器收到该密钥请求消息后,分别向IP话机A和IP话机B下发一条密钥下发消息;IP话机A和IP话机B收到密钥下发消息后,分别解析提取出媒体加密主密钥,再分别根据SRTP规范推导换算出加密密钥和完整性密钥,用于进行后续的媒体通话SRTP的加密传输和完整性校验。
同样值得一提的是,IP话机B向IP话机A返回的SIP 200 OK信令的SDP中依然可能携带有IP话机B随机生成的SRTP的加密主密钥,IP话机A收到该SIP 200 OK信令后,也会直接忽略该信令里的媒体加密主密钥。
需要说明的是,IP话机B向服务器上报的密钥请求消息中包括当次通话的主被叫终端(IP话机A和IP话机B)的标识信息,如IP话机A和IP话机B的号码信息和IP地址信息等。
进一步的,IP话机B可以根据IP话机A发送的呼叫请求确定IP话机A的标识信息。
在一种可能的设计中,IP话机B向服务器上报的密钥请求消息中包括当次通话的时刻信息,以使服务器根据当次通话的时刻信息确定当次通话的主被叫终端,并向当次通话的主被叫终端下发密钥下发消息。
还需要说明的是,服务器向IP话机A和IP话机B下发的密钥下发消息中包括:当次通话的主叫方(IP话机A)的媒体加密主密钥,以及当次通话的被叫方(IP话机B)的媒体加密主密钥。
另外需要说明的是,IP话机B中可能预先配置有服务器的IP地址,以使IP话机B可以向指定的服务器请求下发IP话机A与IP话机B进行VoIP通信的媒体加密主密钥。
另外值得一提的是,在一种可能的设计中,用于向VoIP终端下发媒体加密主密钥的服务器,可以作为一个软件模块设置在VoIP终端网络管理设备(如IP话机网管)中实现,该服务器可以通过网络管理安全协议(如TR069 over TLS)进行上报密钥请求消息和下发密钥下发消息。
另外,在一种可能的设计中,服务器所在的VoIP终端网络管理设备中可能维护有所有VoIP终端的号码信息和IP地址信息,服务器可以利用这些信息进一步确认SIP电话号码和VoIP终端IP地址的对应关系,从而确认参与当次通话的双方是否为合法的用户终端。
本实施例所提供的方法,通过专用的服务器向VoIP终端下发媒体加密主密钥,该主密钥不再通过SIP信令路径上的SIP代理、SIP服务器(IP-PBX)、SIP网关等中间网元对其进行传输和操控,可以杜绝媒体加密密钥在通话双方之外的第三方各种中间设备上被泄漏的风险,从而避免了通话双方的私密性和完整性还需依赖第三方部件的不利情况,增加媒体加密传输的安全性,也增加了VoIP通话的可信性。
另外,在逐渐流行的基于公有云的VoIP系统中,VoIP的业务网元均部署在公有云上,VoIP终端部署在企业租户办公网上,各企业租户办公网上的VoIP终端访问公有云上的VoIP系统开展VoIP业务。本申请实施例提供的VoIP通信方法,可以通过将用于分发媒体主密钥的服务器单独部署在企业租户侧,还可保证媒体加密主密钥仅在企业租户自己的私有网络内交互(密钥不与企业租户外的公有云交互),从而可提升企业租户对基于公有云的VoIP系统的通信安全体验。
图4为本申请实施例提供的VoIP通信方法流程示意图。本实施例在图3所示实施例的基础上,除了SRTP加密主密钥由专用的服务器操控分发外,SRTP加密算法也可以由专用服务器控制并向VoIP终端进行分发。
如图4所示,该方法可以包括如下步骤:
S401,IP话机A通过SIP Invite信令向IP话机B发起呼叫请求;
S402,IP话机B通过SIP 200 OK信令响应IP话机A的呼叫请求;
S403,IP话机B向服务器发送第一请求消息,以请求服务器下发IP话机A与IP话机B进行VoIP通信的媒体加密主密钥和媒体加密算法;
S404,服务器根据接收到的第一请求消息,分别向IP话机A和IP话机B发送密钥下发消息,以指示IP话机A和IP话机B分别根据所述密钥下发消息获取媒体加密主密钥和媒体加密算法,并根据所述媒体加密主密钥和媒体加密算法进行VoIP通信;
S405,IP话机A和IP话机B分别根据接收到的密钥下发消息,获取媒体加密主密钥和媒体加密算法;
S406,IP话机A和IP话机B根据服务器下发的媒体加密主密钥和媒体加密算法进行VoIP通信。
具体的,IP话机A发出的SIP Invite信令经中间多台多跳SIP服务器,到达IP话机B,IP话机B收到该SIP Invite信令后,会直接忽略该信令里的媒体加密主密钥;IP话机B摘机接听后,IP话机B向IP话机A返回SIP 200OK信令;同时,IP话机B向服务器上报一条请求消息。服务器收到该请求消息后,分别向IP话机A和IP话机B下发一条密钥下发消息;IP话机A和IP话机B收到密钥下发消息后,分别解析提取出媒体加密主密钥,再分别根据密钥下发消息中指定的SRTP加密算法(即媒体加密算法)推导换算出加密密钥和完整性密钥,用于进行后续的媒体通话SRTP的加密传输和完整性校验。
本实施例所提供的VoIP通信方法,通过专用的服务器向VoIP终端下发媒体加密主密钥,该主密钥不再通过SIP信令路径上的SIP代理、SIP服务器(IP-PBX)、SIP网关等中间网元对其进行传输和操控,可以杜绝媒体加密密钥在通话双方之外的第三方各种中间设备上被泄漏的风险,从而避免了通话双方的私密性和完整性还需依赖第三方部件的不利情况,增加媒体加密传输的安全性,也增加了VoIP通话的可信性。
进一步的,SRTP加密算法也可以由专用服务器控制并向VoIP终端进行分发。通过SRTP加密算法统一分发,还可以方便做到在VoIP终端上部署采用非标准加密算法(即非SIP/SRTP规范里指定的加密算法)进行媒体加密传输,从而提升语音媒体加密传输的灵活性。
图5为本申请实施例提供的VoIP通信装置的结构示意图,如图5所示,该装置可以通过软件、硬件或者软硬结合的方式实现成为VoIP终端(IP话机和软电话)的部分或者全部。该装置可以包括:收发模块51、密钥处理模块52和通信模块53。
具体的,收发模块51,用于向服务器发送第一请求消息,以请求所述服务器下发所述VoIP通信装置与第二终端进行VoIP通信的媒体加密主密钥;
收发模块51还用于:接收所述服务器发送的密钥下发消息;
密钥处理模块52,用于根据所述密钥下发消息获取媒体加密主密钥;
通信模块53,用于根据所述媒体加密主密钥与所述第二终端进行VoIP通信。
可选的,所述第一请求消息包括所述VoIP通信装置和所述第二终端的标识信息。进一步的,所述收发模块51还用于:接收所述第二终端发送的呼叫请求。
本申请实施例还提供一种图6所示的VoIP通信装置,图6为本申请实施例提供的VoIP通信装置的结构示意图。如图6所示,该VoIP通信装置在图5所示实施例的基础上,还包括:确定模块54,用于根据所述呼叫请求确定所述第二终端的标识信息。
可选的,所述第一请求消息还用于请求所述服务器下发所述VoIP通信装置与所述第二终端进行VoIP通信的媒体加密算法。
进一步的,密钥处理模块52,还用于:根据所述密钥下发消息获取媒体加密算法;通信模块53,具体用于:根据所述媒体加密主密钥以及所述媒体加密算法与所述第二终端进行VoIP通信。
本申请实施例提供的VoIP通信装置,可以执行上述方法实施例IP话机所执行的功能,其实现原理和技术效果类似,在此不再赘述。
图7为本申请实施例提供的VoIP通信装置的结构示意图,如图7所示,该装置可以通过软件、硬件或者软硬结合的方式实现成为服务器的部分或者全部。该装置可以包括:收发模块71、密钥分发模块72。
其中,收发模块71,用于接收第一终端发送的第一请求消息,所述第一请求消息用于请求所述VoIP通信装置下发所述第一终端与第二终端进行VoIP通信的媒体加密主密钥;
密钥分发模块72,用于根据所述第一请求消息,分别向所述第一终端和第二终端发送密钥下发消息,所述密钥下发消息包括所述第一终端与所述第二终端进行VoIP通信的媒体加密主密钥。
可选的,所述第一请求消息包括所述第一终端和所述第二终端的标识信息。所述密钥分发模块72,具体用于:根据所述第一终端和所述第二终端的标识信息,分别向所述第一终端和所述第二终端发送密钥下发消息。
可选的,所述第一请求消息还用于请求所述VoIP通信装置下发所述第一终端与所述第二终端进行VoIP通信的媒体加密算法;所述密钥下发消息还包括:所述第一终端与所述第二终端进行VoIP通信的媒体加密算法。
本申请实施例提供的VoIP通信装置,可以执行上述方法实施例服务器所执行的功能,其实现原理和技术效果类似,在此不再赘述。
图8为本申请实施例提供的VoIP终端的结构示意图,如图8所示,该VoIP终端包括:收发器81、存储器82、处理器83和至少一个通信总线84。
所述存储器82存储软件程序,存储器82可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器,存储器82中可以存储各种程序,用于完成各种处理功能以及实现本实施例的方法步骤。所述处理器83与所述存储器82耦合,所述通信总线84用于实现元件之间的通信连接。可选的,本实施例中的收发器81可以为网络设备上的射频模块或者基带模块。
本实施例中,所述处理器83通过运行所述存储器82中的软件程序以用于:通过所述收发器81向服务器发送第一请求消息,用于请求所述服务器下发所述VoIP终端与第二终端进行VoIP通信的媒体加密主密钥;通过所述收发器81接收所述服务器发送的密钥下发消息;根据所述密钥下发消息获取媒体加密主密钥;根据所述媒体加密主密钥与所述第二终端进行VoIP通信。
可选的,所述第一请求消息包括所述VoIP终端和所述第二终端的标识信息。进一步的,所述处理器83还用于:通过所述收发器81接收所述第二终端发送的呼叫请求;根据所述呼叫请求确定所述第二终端的标识信息。
可选的,所述第一请求消息还用于请求所述服务器下发所述VoIP终端与所述第二终端进行VoIP通信的媒体加密算法。进一步的,所述处理器83还用于:根据所述密钥下发消息获取媒体加密算法。所述处理器83具体还用于:根据所述媒体加密主密钥以及所述媒体加密算法与所述第二终端进行VoIP通信。
本申请实施例提供的VoIP终端,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
图9为本申请实施例提供的服务器的结构示意图,如图9所示,该VoIP终端包括:收发器91、存储器92、处理器93和至少一个通信总线94。
所述存储器92存储软件程序,存储器92可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器,存储器92中可以存储各种程序,用于完成各种处理功能以及实现本实施例的方法步骤。所述处理器93与所述存储器92耦合,所述通信总线94用于实现元件之间的通信连接。可选的,本实施例中的收发器91可以为网络设备上的射频模块或者基带模块。
本实施例中,所述处理器93通过运行所述存储器92中的软件程序以用于:通过所述收发器91接收第一终端发送的第一请求消息,所述第一请求消息用于请求所述服务器下发所述第一终端与第二终端进行VoIP通信的媒体加密主密钥;根据所述第一请求消息,分别向所述第一终端和所述第二终端发送密钥下发消息,所述密钥下发消息包括所述第一终端与所述第二终端进行VoIP通信的媒体加密主密钥。
可选的,所述第一请求消息包括所述第一终端和所述第二终端的标识信息;所述处理器93,具体用于:根据所述第一终端和所述第二终端的标识信息,分别向所述第一终端和所述第二终端发送密钥下发消息。
可选的,所述第一请求消息还用于请求所述服务器下发所述第一终端与所述第二终端进行VoIP通信的媒体加密算法。进一步的,所述密钥下发消息还包括:所述第一终端与所述第二终端进行VoIP通信的媒体加密算法。
本申请实施例提供的服务器,可以执行上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
本申请实施例还提供一种终端网络管理设备,该网络管理设备包括图7所示实施例提供的VoIP通信装置。图10为本申请实施例提供的终端网络管理设备与VoIP终端(以图5为例)的交互示意图。在本实施例中,上述方法实施例中的服务器可以作为一个软件模块放到VoIP终端网络管理设备(如IP话机网管)中实现,可以通过原网管安全协议接口101(如TR069 over TLS)进行密钥请求上报和密钥下发。
另外,本申请实施例还提供了多种VoIP通信系统。
第一种VoIP通信系统,包括:具有上述图5或图6所示实施例提供的VoIP通信装置的终端,具有上述图7所示实施例提供的VoIP通信装置的服务器,以及SIP服务器和SIP网关。
第二种VoIP通信系统,包括:上述图8所示实施例提供的VoIP终端,上述图9所示实施例提供的服务器,以及SIP服务器和SIP网关。
第三种VoIP通信系统,包括:具有上述图5或图6所示实施例提供的VoIP通信装置的终端,上述图10所示实施例提供的终端网络管理设备,以及SIP服务器和SIP网关。
第四种VoIP通信系统,包括:上述图8所示实施例提供的VoIP终端,上述图10所示实施例提供的终端网络管理设备,以及SIP服务器和SIP网关。
结合本申请公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现,也可以通过计算机程序产品实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于用户设备中。当然,处理器和存储介质也可以作为分立组件存在于用户设备中。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,在没有超过本申请的范围内,可以通过其他的方式实现。例如,以上所描述的实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
另外,所描述系统、设备和方法以及不同实施例的示意图,在不超出本申请的范围内,可以与其它系统,模块,技术或方法结合或集成。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电子、机械或其它的形式。
可以理解,本申请实施例中出现的“多个”是指两个或两个以上。本申请实施例中出现的“第一”、“第二”等描述,仅作示意与区分描述对象之用,没有次序之分,也不表示本申请实施例中对设备个数的特别限定,不能构成对本申请实施例的任何限制。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (11)
1.一种VoIP通信方法,其特征在于,包括:
第一终端接收第二终端发送的呼叫请求;
所述第一终端根据所述呼叫请求确定所述第二终端的标识信息;
所述第一终端向服务器发送第一请求消息,以请求所述服务器分别向所述第一终端和所述第二终端下发所述第一终端与所述第二终端进行VoIP通信的媒体加密主密钥和媒体加密算法,所述第一请求消息包括所述第一终端和所述第二终端的标识信息;
所述第一终端接收所述服务器发送的密钥下发消息;
所述第一终端根据所述密钥下发消息获取媒体加密主密钥和媒体加密算法;
所述第一终端根据所述媒体加密主密钥和所述媒体加密算法与所述第二终端进行VoIP通信。
2.一种VoIP通信方法,其特征在于,包括:
服务器接收第一终端发送的第一请求消息,所述第一请求消息用于请求所述服务器下发所述第一终端与第二终端进行VoIP通信的媒体加密主密钥和媒体加密算法,所述第一终端为接收所述第二终端发送的呼叫请求的终端,所述第一请求消息包括所述第一终端和所述第二终端的标识信息;
所述服务器根据所述第一终端和所述第二终端的标识信息,分别向所述第一终端和所述第二终端发送密钥下发消息,所述密钥下发消息包括所述第一终端与所述第二终端进行VoIP通信的媒体加密主密钥和媒体加密算法。
3.一种VoIP通信装置,其特征在于,包括:
收发模块,用于接收第二终端发送的呼叫请求;
确定模块,用于根据所述呼叫请求确定所述第二终端的标识信息;
所述收发模块,还用于向服务器发送第一请求消息,以请求所述服务器分别向第一终端和所述第二终端下发所述第一终端与所述第二终端进行VoIP通信的媒体加密主密钥和媒体加密算法,所述第一请求消息包括所述第一终端和所述第二终端的标识信息;
接收所述服务器发送的密钥下发消息;密钥处理模块,用于根据所述密钥下发消息获取媒体加密主密钥和媒体加密算法;
通信模块,用于根据所述媒体加密主密钥和所述媒体加密算法与所述第二终端进行VoIP通信。
4.一种VoIP通信装置,其特征在于,包括:
收发模块,用于接收第一终端发送的第一请求消息,所述第一请求消息用于请求所述VoIP通信装置下发所述第一终端与第二终端进行VoIP通信的媒体加密主密钥和媒体加密算法,所述第一终端为接收所述第二终端发送的呼叫请求的终端,所述第一请求消息包括所述第一终端和所述第二终端的标识信息;
密钥分发模块,用于根据所述第一终端和所述第二终端的标识信息,分别向所述第一终端和第二终端发送密钥下发消息,所述密钥下发消息包括所述第一终端与所述第二终端进行VoIP通信的媒体加密主密钥和媒体加密算法。
5.一种VoIP终端,其特征在于,包括:收发器,存储器,处理器和至少一个通信总线,所述存储器存储软件程序,所述处理器与所述存储器耦合,所述通信总线用于实现元件之间的通信连接;
所述处理器通过运行所述软件程序以用于:
通过所述收发器接收第二终端发送的呼叫请求;
根据所述呼叫请求确定所述第二终端的标识信息;
通过所述收发器向服务器发送第一请求消息,用于请求所述服务器分别向第一终端和所述第二终端下发所述第一终端与所述第二终端进行VoIP通信的媒体加密主密钥和媒体加密算法,所述第一请求消息包括所述第一终端和所述第二终端的标识信息;
通过所述收发器接收所述服务器发送的密钥下发消息;
根据所述密钥下发消息获取媒体加密主密钥和媒体加密算法;
根据所述媒体加密主密钥和媒体加密算法与所述第二终端进行VoIP通信。
6.一种服务器,其特征在于,包括:收发器,存储器,处理器和至少一个通信总线,所述存储器存储软件程序,所述处理器与所述存储器耦合,所述通信总线用于实现元件之间的通信连接;
所述处理器通过运行所述软件程序以用于:
通过所述收发器接收第一终端发送的第一请求消息,所述第一请求消息用于请求所述服务器下发所述第一终端与第二终端进行VoIP通信的媒体加密主密钥和媒体加密算法,所述第一终端为接收所述第二终端发送的呼叫请求的终端,所述第一请求消息包括所述第一终端和所述第二终端的标识信息;
根据所述第一终端和所述第二终端的标识信息,分别向所述第一终端和所述第二终端发送密钥下发消息,所述密钥下发消息包括所述第一终端与所述第二终端进行VoIP通信的媒体加密主密钥和媒体加密算法。
7.一种终端网络管理设备,其特征在于,包括权利要求4所述装置。
8.一种VoIP通信系统,其特征在于,包括:具有权利要求3所述装置的终端,具有权利要求4所述装置的服务器,以及会话发起协议SIP服务器和SIP网关。
9.一种VoIP通信系统,其特征在于,包括:权利要求5所述的VoIP终端,权利要求6所述的服务器,以及会话发起协议SIP服务器和SIP网关。
10.一种VoIP通信系统,其特征在于,包括:具有权利要求3所述装置的终端,权利要求7所述的终端网络管理设备,以及会话发起协议SIP服务器和SIP网关。
11.一种VoIP通信系统,其特征在于,包括:权利要求5所述的VoIP终端,权利要求7所述的终端网络管理设备,以及会话发起协议SIP服务器和SIP网关。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611252398.3A CN108270717B (zh) | 2016-12-30 | 2016-12-30 | VoIP通信方法、设备及通信系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611252398.3A CN108270717B (zh) | 2016-12-30 | 2016-12-30 | VoIP通信方法、设备及通信系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108270717A CN108270717A (zh) | 2018-07-10 |
CN108270717B true CN108270717B (zh) | 2021-06-08 |
Family
ID=62753998
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611252398.3A Active CN108270717B (zh) | 2016-12-30 | 2016-12-30 | VoIP通信方法、设备及通信系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108270717B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109962910A (zh) * | 2019-01-30 | 2019-07-02 | 网经科技(苏州)有限公司 | 多密滚动更新加密通话方法 |
CN111131182B (zh) * | 2019-12-05 | 2022-03-08 | 厦门星纵信息科技有限公司 | 一种VoIP通信网络穿透装置及方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102055585A (zh) * | 2009-11-04 | 2011-05-11 | 中兴通讯股份有限公司 | 基于密钥管理服务器的媒体安全合法监听方法及系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030163693A1 (en) * | 2002-02-28 | 2003-08-28 | General Instrument Corporation | Detection of duplicate client identities in a communication system |
CN101309281A (zh) * | 2008-07-22 | 2008-11-19 | 中国电信股份有限公司 | 端到端语音加密方法、装置及系统 |
CN104753876A (zh) * | 2013-12-30 | 2015-07-01 | 北京大唐高鸿数据网络技术有限公司 | 灵活可控的通话加密方法 |
CN104243146A (zh) * | 2014-09-05 | 2014-12-24 | 宇龙计算机通信科技(深圳)有限公司 | 一种加密通信方法、装置及终端 |
CN105763571A (zh) * | 2016-04-27 | 2016-07-13 | 蓝盾信息安全技术有限公司 | 基于sip的非对称语音加密 |
-
2016
- 2016-12-30 CN CN201611252398.3A patent/CN108270717B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102055585A (zh) * | 2009-11-04 | 2011-05-11 | 中兴通讯股份有限公司 | 基于密钥管理服务器的媒体安全合法监听方法及系统 |
Non-Patent Citations (1)
Title |
---|
MIKEY-TICKET: Ticket-Based Modes of Key Distribution in Multimedia Internet KEYing (MIKEY);IETF;《RFC 6043 version5》;20151014;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN108270717A (zh) | 2018-07-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11943262B2 (en) | Securing method for lawful interception | |
EP2449744B1 (en) | Restriction of communication in voip address discovery system | |
US9380030B2 (en) | Firewall traversal for web real-time communications | |
US7464267B2 (en) | System and method for secure transmission of RTP packets | |
KR101367038B1 (ko) | 키 교환 시스템 및 시스템 조작 방법 | |
US10581829B1 (en) | Certificate-based call identification and routing | |
US9077806B2 (en) | Method, system and apparatus for implementing secure call forwarding | |
US9716793B2 (en) | System and method to detect and correct IP phone mismatch in a contact center | |
US8923279B2 (en) | Prevention of voice over IP spam | |
US8953771B2 (en) | Method and apparatus to provide cryptographic identity assertion for the PSTN | |
US10893414B1 (en) | Selective attestation of wireless communications | |
EP3248355B1 (en) | Enhanced establishment of ims session with secure media | |
CN108270717B (zh) | VoIP通信方法、设备及通信系统 | |
US20080298593A1 (en) | Gateway Shared Key | |
KR102054169B1 (ko) | 암호화되고 트랜스코딩된 미디어에 대한 인터셉션 | |
Me et al. | An overview of some techniques to exploit VoIP over WLAN | |
CN111163465B (zh) | 连接用户终端与本地终端的方法、装置以及呼叫中心系统 | |
KR20110119972A (ko) | Sip 기반 인터넷 전화 서비스 보안 시스템 및 그 방법 | |
US20200351080A1 (en) | Method of end to end securing of a communication | |
US9894109B2 (en) | Lawful intercept in an internet protocol-based telephony system | |
Floroiu et al. | A comparative analysis of the security aspects of the multimedia key exchange protocols | |
KR20100104136A (ko) | Ims 네트워크에서 ip 통화 도청방지 장치 및 방법 | |
Al-Kharobi et al. | Comprehensive Comparison of VoIP SIP Protocol Problems and Cisco VoIP System | |
Hsieh | Reference Phone Number: A Secure and QoS-improved SIP-based phone system | |
Zhuang et al. | A hybrid session key exchange algorithm for highly-sensitive IP-based institutional communications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |