CN111092905B - 一种基于voip的加密通话方法和系统 - Google Patents
一种基于voip的加密通话方法和系统 Download PDFInfo
- Publication number
- CN111092905B CN111092905B CN201911378509.9A CN201911378509A CN111092905B CN 111092905 B CN111092905 B CN 111092905B CN 201911378509 A CN201911378509 A CN 201911378509A CN 111092905 B CN111092905 B CN 111092905B
- Authority
- CN
- China
- Prior art keywords
- information
- calling terminal
- key
- background server
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 230000006854 communication Effects 0.000 claims abstract description 47
- 238000004891 communication Methods 0.000 claims abstract description 43
- 238000012795 verification Methods 0.000 claims description 47
- 238000012790 confirmation Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明提出了一种基于VOIP的加密通话方法和系统,呼叫终端持有第一电话号码并预装有第一安全模块,被叫终端持有第二电话号码并预装有第二安全模块;呼叫终端调用后台服务器创建加密群组,并将呼叫终端和被叫终端加入加密群组中;通话时,呼叫终端产生通话密钥,并使用第一安全模块对其加密生成通话密钥密文,然后将通话密钥密文发给呼叫终端;被叫终端采用第二安全模块对通话密钥密文解密,得到通话密钥;最终呼叫终端与被叫终端基于通话密钥进行加密通话。由于只有在加密群组的成员才可以互相加解密信息,有效防止他人窃取通话密钥,从而保证通话的安全。本发明还可以将集团通讯录信息安全地同步到终端,方便企业员工之间的通话交流。
Description
技术领域
本发明涉及即时通讯技术领域,尤其涉及一种基于VOIP的加密通话方法和系统。
背景技术
随着网络通讯技术的飞速发展,手机传统电话功能的单一,已无法满足人们沟通内容灵活性以及安全性的需要。近年来,网络电话通讯软件的应用层出不穷,网络电话通讯软件应用市场的竞争也越来越激烈,然而现有的电话通讯软件在通话过程中,用户的通话过程很有可能遭到窃听、拦截、篡改等问题,安全性不高。
同时,现代企业为方便企业内部的员工之间相互交流,通常会将员工的电话号码制作成集团通讯录,以便于员工查询。但是员工每次查询到电话号码之后,需要在手机拨号界面重新输入该号码才能实现电话拨号,体验感较差。并且在电话接通之后,对方也无法获知来电号码是谁,进而给通话双方带来不便。
发明内容
为了解决上述问题,有必要提供一种基于VOIP的加密通话方法和系统。
本发明第一方面提出一种基于VOIP的加密通话方法,所述方法包括以下步骤:
呼叫终端持有第一电话号码并预装有第一安全模块,被叫终端持有第二电话号码并预装有第二安全模块;
所述呼叫终端将第一安全模块信息与第一电话号码进行绑定,并同步给后台服务器;
所述呼叫终端调用所述后台服务器创建加密群组,并将所述呼叫终端和所述被叫终端加入所述加密群组中;
所述后台服务器在加密群组创建成功后返回加密群组信息和第一群组密钥给所述呼叫终端,所述第一群组密钥是由所述后台服务器基于绑定的第一安全模块信息与第一电话号码生成的;
所述呼叫终端接收到所述加密群组信息和第一群组密钥后,生成通话密钥,并结合第一群组密钥、第一安全模块信息和第一电话号码对所述通话密钥加密以得到通话密钥密文;
所述呼叫终端通过所述后台服务器向被叫终端推送通话请求,所述通话请求至少包括通话密钥密文;
所述被叫终端接收到通话请求后,将第二安全模块信息与第二电话号码进行绑定,并同步给所述后台服务器;
所述后台服务器基于绑定的第二安全模块信息与第二电话号码生成与之相对应的第二群组密钥,并在所述被叫终端位于所述加密群组中时将所述第二群组密钥下发至所述被叫终端;
所述被叫终端接收所述第二群组密钥,并结合第二安全模块信息和第二电话号码对所述通话密钥密文解密,得到通话密钥;
所述呼叫终端与所述被叫终端基于所述通话密钥进行加密通话。
进一步的,在所述后台服务器基于绑定的第二安全模块信息与第二电话号码生成与之相对应的第二群组密钥之后,所述方法还包括:
若所述被叫终端不在所述加密群组中,所述被叫终端因无法获取所述第二群组密钥而解密通话密钥密文失败;
所述被叫终端将解密失败信息反馈给所述后台服务器;
所述后台服务器通知所述呼叫终端需要将所述被叫终端拉入所述加密群组;
所述呼叫终端将所述被叫终端成功拉入所述加密群组,并通过所述后台服务器通知给所述被叫终端;
所述被叫终端从所述加密群组接收到所述第二群组密钥,并结合第二安全模块信息和第二电话号码对所述通话密钥密文解密,得到通话密钥;
所述呼叫终端与所述被叫终端基于所述通话密钥进行加密通话。
进一步的,在所述呼叫终端将第一安全模块信息与第一电话号码进行绑定之前,所述方法还包括:
所述后台服务器验证所述呼叫终端的第一电话号码是否在集团通讯录中;
若所述第一电话号码在所述集团通讯录中,所述后台服务器对所述呼叫终端的身份进行签名验证;
验签成功后,所述后台服务器返回身份令牌给所述呼叫终端;
所述呼叫终端基于所述身份令牌向所述后台服务器同步获取集团通讯录信息。
进一步的,所述后台服务器验证所述呼叫终端的第一电话号码是否在集团通讯录中,具体包括:
所述呼叫终端向所述后台服务器发送验证请求;
所述后台服务器接收所述验证请求并识别出所述第一电话号码,判断所述第一电话号码是否位于集团通讯录中,在所述第一电话号码位于集团通讯录中时产生验证码,并通过短信方式发给所述呼叫终端;
所述呼叫终端将所述验证码反馈给所述后台服务器,所述后台服务器对所述验证码进行核验,且在核验成功后,返回核验成功信息给所述呼叫终端。
进一步的,所述后台服务器对所述呼叫终端的身份进行签名验证,具体包括:
所述呼叫终端通过自己的私钥对身份验证信息进行加密签名,以生成签名信息,并将所述签名信息发送给所述后台服务器;
所述后台服务器接收到所述签名信息,并根据所述呼叫终端的公钥进行解密验签。
进一步的,所述呼叫终端基于所述身份令牌向所述后台服务器同步获取集团通讯录信息,具体包括:
所述呼叫终端基于所述身份令牌向所述后台服务器发出同步获取集团通讯录的请求;
所述后台服务器与所述呼叫终端进行密钥协商,并产生共享密钥;
所述后台服务器采用所述共享密钥对集团通讯录信息进行加密,以得到第一密文信息,并将所述第一密文信息发送所述呼叫终端;
所述呼叫终端接收所述第一密文信息并采用所述共享密钥解密,得到集团通讯录信息并进行本地保存。
进一步的,在得到集团通讯录信息并进行本地保存之后,所述方法还包括:
若所述后台服务器的集团通讯录信息有更新,则所述后台服务器向所述呼叫终端通知更新信息;
所述呼叫终端接收到所述更新信息,在得到呼叫用户的更新确认后,所述呼叫终端反馈更新确认指令给所述后台服务器;
所述后台服务器采用所述共享密钥对集团通讯录更新信息进行加密,以得到第二密文信息,并将所述第二密文信息发送所述呼叫终端;
所述呼叫终端接收所述第二密文信息并采用所述共享密钥解密,得到集团通讯录更新信息并进行本地保存。
进一步的,所述呼叫终端与所述被叫终端基于相同的通话密钥进行加密通话,具体包括:
所述呼叫终端根据所述通话密钥对呼叫用户的语音信息进行加密,以得到第三密文信息,并通过VOIP方式发送给所述被叫终端;
所述被叫终端接收到所述第三密文信息,并通过所述通话密钥对所述第三密文信息进行解密以得到呼叫用户的语音信息。
进一步的,所述呼叫终端与所述被叫终端分别预装有加密通话客户端和普通通话客户端,所述呼叫终端与所述被叫终端之间的加密通话方法是基于加密通话客户端来实现的;所述普通通话客户端为终端自带的应用,用于普通接打电话,所述普通通话客户端与所述加密通话客户端融合有一个共用的拨号界面。
本发明第二方面还提出一种基于VOIP的加密通话系统,用于实现上述的加密通话方法,所述系统包括呼叫终端、被叫终端和后台服务器,所述呼叫终端持有第一电话号码并预装有第一安全模块,所述被叫终端持有第二电话号码并预装有第二安全模块;
所述呼叫终端用于将第一安全模块信息与第一电话号码进行绑定,并同步给后台服务器;同时调用所述后台服务器创建加密群组,并将所述呼叫终端和所述被叫终端加入所述加密群组中;
所述被叫终端,用于将第二安全模块信息与第二电话号码进行绑定,并同步给所述后台服务器;
所述后台服务器在加密群组创建成功后,基于绑定的第一安全模块信息与第一电话号码生成与之相对应的第一群组密钥返回给所述呼叫终端;基于绑定的第二安全模块信息与第二电话号码生成与之相对应的第二群组密钥,并返回给所述被叫终端;
其中,所述呼叫终端接收到所述第一群组密钥后,由第一安全模块生成通话密钥,并结合第一群组密钥、第一安全模块信息和第一电话号码对所述通话密钥加密以得到通话密钥密文;所述呼叫终端通过所述后台服务器向被叫终端推送通话请求,所述通话请求至少包括通话密钥密文;所述被叫终端的第二安全模块结合第二群组密钥、第二安全模块信息和第二电话号码对所述通话密钥密文解密,得到通话密钥;所述呼叫终端与所述被叫终端基于所述通话密钥进行加密通话。
本发明通过创建加密群组,实现对通话过程中的密钥进行加密,使得通话双方必须使用唯一的硬件安全模块才能进行解密,从而保证通话的安全。本发明可以将集团通讯录信息安全地同步到终端,方便企业员工之间的通话交流。同时,本发明还将普通通话拨号界面与加密通话拨号界面融合为一个,方便用户操作,提升用户体验感。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出了本发明一种基于VOIP的加密通话方法的流程图;
图2示出了本发明的呼叫终端同步获取集团通讯录的方法流程图;
图3示出了本发明一种基于VOIP的加密通话系统的框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了本发明一种基于VOIP的加密通话方法的流程图。
如图1所示,本发明第一方面提出一种基于VOIP的加密通话方法,所述方法包括以下步骤:
步骤1,呼叫终端持有第一电话号码并预装有第一安全模块,被叫终端持有第二电话号码并预装有第二安全模块;
步骤2,所述呼叫终端将第一安全模块信息与第一电话号码进行绑定,并同步给后台服务器;
步骤3,所述呼叫终端调用所述后台服务器创建加密群组,并将所述呼叫终端和所述被叫终端加入所述加密群组中;
步骤4,所述后台服务器在加密群组创建成功后返回加密群组信息和第一群组密钥给所述呼叫终端,所述第一群组密钥是由所述后台服务器基于绑定的第一安全模块信息与第一电话号码生成的;
步骤5,所述呼叫终端接收到所述加密群组信息和第一群组密钥后,生成通话密钥,并结合第一群组密钥、第一安全模块信息和第一电话号码对所述通话密钥加密以得到通话密钥密文;
步骤6,所述呼叫终端通过所述后台服务器向被叫终端推送通话请求,所述通话请求至少包括通话密钥密文;
步骤7,所述被叫终端接收到通话请求后,将第二安全模块信息与第二电话号码进行绑定,并同步给所述后台服务器;
步骤8,所述后台服务器基于绑定的第二安全模块信息与第二电话号码生成与之相对应的第二群组密钥,并在所述被叫终端位于所述加密群组中时将所述第二群组密钥下发至所述被叫终端;
步骤9,所述被叫终端接收所述第二群组密钥,并结合第二安全模块信息和第二电话号码对所述通话密钥密文解密,得到通话密钥;
步骤10,所述呼叫终端与所述被叫终端基于所述通话密钥进行加密通话。
优选的,所述加密群组信息可以为加密群组ID,但不限于此。
可以理解,本发明是基于电话号码作为通话双方的标识来建立加密通话连接的。也就是说,呼叫用户可以在呼叫终端上直接通过拨打被叫用户的电话号码来实现加密通话拨号,而被叫终端被接通后,被叫用户即可在来电显示界面看到呼叫用户的电话号码。
可以理解,通常所述后台服务器会预存所有终端(包括呼叫终端、被叫终端)的信息,如终端内置的安全模块信息、终端用户的电话号码等。在所述呼叫终端调用所述后台服务器创建加密群组,并将所述呼叫终端和所述被叫终端加入所述加密群组时,如果所述后台服务器预存有所述被叫终端的信息,即可成功将所述被叫终端加入所述加密群组。
当所述呼叫终端通过所述后台服务器向被叫终端推送通话请求时,所述后台服务器可以基于被叫终端的电话号码直接推送加密通话请求,也可以借助第三方通信运营商(如移动、联通等)来推送加密通话请求。
可以理解,呼叫终端并不限于与一个被叫终端进行加密通话,也可以同时与多个被叫终端进行加密通话。具体的,呼叫终端分别将多个被叫终端拉入加密群组,多个被叫终端分别通过各自的安全模块对通话密钥密文进行解密,呼叫终端与多个被叫终端分别基于通话密钥进行加密通话,从而实现多人加密通话的模式。
本发明通过创建加密群组,实现对通话过程中的密钥进行加密,使得通话双方必须使用唯一的硬件安全模块(如第一安全模块或第二安全模块)才能进行解密,从而保证通话的安全。
进一步的,在所述后台服务器基于绑定的第二安全模块信息与第二电话号码生成与之相对应的第二群组密钥之后,所述方法还包括:
若所述被叫终端不在所述加密群组中,所述被叫终端因无法获取所述第二群组密钥而解密通话密钥密文失败;
所述被叫终端将解密失败信息反馈给所述后台服务器;
所述后台服务器通知所述呼叫终端需要将所述被叫终端拉入所述加密群组;
所述呼叫终端将所述被叫终端成功拉入所述加密群组,并通过所述后台服务器通知给所述被叫终端;
所述被叫终端从所述加密群组接收到所述第二群组密钥,并结合第二安全模块信息和第二电话号码对所述通话密钥密文解密,得到通话密钥;
所述呼叫终端与所述被叫终端基于所述通话密钥进行加密通话。
需要说明的是,如果后台服务器并没有预存有被叫终端的信息,则先前呼叫终端请求所述后台服务器将所述被叫终端加入所述加密群组时,所述后台服务器因没有预存被叫终端的信息而无法将所述被叫终端成功加入所述加密群组,故而无法得到第二群组密钥,因此后续需要所述呼叫终端主动将所述被叫终端拉入加密群组。但由于所述被叫终端在接收到所述呼叫终端的加密通话请求之后,已将第二安全模块信息与第二电话号码同步绑定给所述后台服务器,此时,所述后台服务器在接收到所述呼叫终端的指令后,即可成功将所述被叫终端加入所述加密群组。
需要说明的是,在所述后台服务器创建所述加密群组后,所述呼叫终端独享所述加密群组的管理权限。即所述呼叫终端可以根据需要将对应的被叫终端拉入所述加密群组,也可以将对应的被叫终端从所述加密群组剔除,具体的拉入或剔除动作则由所述后台服务器来执行。
如图2所示,在所述呼叫终端将第一安全模块信息与第一电话号码进行绑定之前,所述方法还包括如下步骤:
所述后台服务器验证所述呼叫终端的第一电话号码是否在集团通讯录中;
若所述第一电话号码在所述集团通讯录中,所述后台服务器对所述呼叫终端的身份进行签名验证;
验签成功后,所述后台服务器返回身份令牌给所述呼叫终端;
所述呼叫终端基于所述身份令牌向所述后台服务器同步获取集团通讯录信息。
可以理解,所述后台服务器预存有集团通讯录信息。
进一步的,所述后台服务器验证所述呼叫终端的第一电话号码是否在集团通讯录中,具体包括:
所述呼叫终端向所述后台服务器发送验证请求;
所述后台服务器接收所述验证请求并识别出所述第一电话号码,判断所述第一电话号码是否在集团通讯录中,若在,则产生验证码,并通过短信方式发给所述呼叫终端;
所述呼叫终端将所述验证码反馈给所述后台服务器,所述后台服务器对所述验证码进行核验,且在核验成功后,返回核验成功信息给所述呼叫终端。
可以理解,若所述后台服务器判断所述第一电话号码不在集团通讯录中,则直接结束本次同步过程,并返回同步失败信息给所述呼叫终端。
进一步的,所述后台服务器对所述呼叫终端的身份进行签名验证,具体包括:
所述呼叫终端通过自己的私钥对身份验证信息进行加密签名,以生成签名信息,并将所述签名信息发送给所述后台服务器;
所述后台服务器接收到所述签名信息,并根据所述呼叫终端的公钥进行解密验签。
若验签成功,则所述后台服务器生成身份令牌并返回给所述呼叫终端;若验签失败,则直接结束。
具体的,所述后台服务器中预存各个终端(包括呼叫终端、被叫终端)物理地址、数字证书等信息,当所述后台服务器接收到所述呼叫终端发来的签名信息时,首先识别所述呼叫终端的物理地址,然后基于物理地址在数据库中查询获取对应的数字证书,并根据数字证书中的公钥对所述签名信息进行解密验签。
进一步的,所述呼叫终端基于所述身份令牌向所述后台服务器同步获取集团通讯录信息,具体包括:
所述呼叫终端基于所述身份令牌向所述后台服务器发出同步获取集团通讯录的请求;
所述后台服务器与所述呼叫终端进行密钥协商,并产生共享密钥;
所述后台服务器采用所述共享密钥对集团通讯录信息进行加密,以得到第一密文信息,并将所述第一密文信息发送所述呼叫终端;
所述呼叫终端接收所述第一密文信息并采用所述共享密钥解密,得到集团通讯录信息并进行本地保存。
进一步的,在得到集团通讯录信息并进行本地保存之后,所述方法还包括:
若所述后台服务器的集团通讯录信息有更新,则所述后台服务器向所述呼叫终端通知更新信息;
所述呼叫终端接收到所述更新信息,在得到呼叫用户的更新确认后,所述呼叫终端反馈更新确认指令给所述后台服务器;
所述后台服务器采用所述共享密钥对集团通讯录更新信息进行加密,以得到第二密文信息,并将所述第二密文信息发送所述呼叫终端;
所述呼叫终端接收所述第二密文信息并采用所述共享密钥解密,得到集团通讯录更新信息并进行本地保存。
本发明的后台服务器可以按照预设的周期(每天、每周、每月等)对所述呼叫终端进行身份验证。例如:8月18日,所述呼叫终端对身份验证信息(包含当天的时间戳)进行签名,后台服务器验签成功后,返回身份令牌A,且身份令牌A只在当天(8月18日)有效;待8月19日,身份令牌A已失效,此时所述呼叫终端无权限同步获取集团通讯录信息,所述呼叫终端需要重新向后台服务器请求身份认证;具体的,所述呼叫终端将产生新的身份验证信息(包含当天的时间戳),并对其进行签名,后台服务器验签成功后,返回身份令牌B,所述呼叫终端基于身份令牌B才有权限在8月19日同步获取集团通讯录信息。本发明的后台服务器通过对所述呼叫终端进行定期身份认证,可以有效防止他人非法获取集团通讯录信息。
进一步的,所述呼叫终端与所述被叫终端基于相同的通话密钥进行加密通话,具体包括:
所述呼叫终端根据所述通话密钥对呼叫用户的语音信息进行加密,以得到第三密文信息,并通过VOIP方式发送给所述被叫终端;
所述被叫终端接收到所述第三密文信息,并通过所述通话密钥对所述第三密文信息进行解密以得到呼叫用户的语音信息。
进一步的,所述呼叫终端与所述被叫终端基于相同的通话密钥进行加密通话,具体还包括:
所述被叫终端根据所述通话密钥对被叫用户的语音信息进行加密,以得到第四密文信息,并将其通过VOIP方式发送给所述呼叫终端;
所述呼叫终端接收到所述第四密文信息,并通过所述通话密钥对所述第四密文信息进行解密以得到被叫用户的语音信息。
根据本发明的实施例,所述呼叫终端与所述被叫终端分别预装有加密通话客户端和普通通话客户端,所述呼叫终端与所述被叫终端之间的加密通话方法是基于加密通话客户端来实现的;所述普通通话客户端为终端自带的应用,用于普通接打电话,所述普通通话客户端与所述加密通话客户端融合有一个共用的拨号界面。
需要说明的是,由于加密通话客户端和普通通话客户端均是基于电话号码进行拨号,所以二者的拨号界面可以融合为一个。相应的,共用的拨号界面有普通通话功能键和加密通话功能键,当用户在拨号界面输入电话号码后,可以通过普通通话功能键或加密通话功能键进行加密通话与否的选择,方便用户操作,提升了用户的体验感。
图3示出了本发明一种基于VOIP的加密通话系统的框图。
如图3所示,本发明第三方面还提出一种基于VOIP的加密通话系统,用于实现上述的加密通话方法,所述系统包括呼叫终端、被叫终端和后台服务器,所述呼叫终端持有第一电话号码并预装有第一安全模块,所述被叫终端持有第二电话号码并预装有第二安全模块;
所述呼叫终端用于将第一安全模块信息与第一电话号码进行绑定,并同步给后台服务器;同时调用所述后台服务器创建加密群组,并将所述呼叫终端和所述被叫终端加入所述加密群组中;
所述被叫终端,用于将第二安全模块信息与第二电话号码进行绑定,并同步给所述后台服务器;
所述后台服务器在加密群组创建成功后,基于绑定的第一安全模块信息与第一电话号码生成与之相对应的第一群组密钥返回给所述呼叫终端;基于绑定的第二安全模块信息与第二电话号码生成与之相对应的第二群组密钥,并返回给所述被叫终端;
其中,所述呼叫终端接收到所述第一群组密钥后,由第一安全模块生成通话密钥,并结合第一群组密钥、第一安全模块信息和第一电话号码对所述通话密钥加密以得到通话密钥密文;所述呼叫终端通过所述后台服务器向被叫终端推送通话请求,所述通话请求至少包括通话密钥密文;所述被叫终端的第二安全模块结合第二群组密钥、第二安全模块信息和第二电话号码对所述通话密钥密文解密,得到通话密钥;所述呼叫终端与所述被叫终端基于所述通话密钥进行加密通话。
进一步的,若所述被叫终端不在所述加密群组中,所述被叫终端因无法获取所述第二群组密钥而解密通话密钥密文失败;则所述被叫终端将解密失败信息反馈给所述后台服务器;所述后台服务器通知所述呼叫终端需要将所述被叫终端拉入所述加密群组;所述呼叫终端将所述被叫终端成功拉入所述加密群组,并通过所述后台服务器通知给所述被叫终端;所述被叫终端从所述加密群组接收到所述第二群组密钥,并结合第二安全模块信息和第二电话号码对所述通话密钥密文解密,得到通话密钥;所述呼叫终端与所述被叫终端基于所述通话密钥进行加密通话。
进一步的,如果所述呼叫终端需要同步获取集团通讯录,则所述后台服务器验证所述呼叫终端的第一电话号码是否在集团通讯录中;若所述第一电话号码在所述集团通讯录中,所述后台服务器对所述呼叫终端的身份进行签名验证;验签成功后,所述后台服务器返回身份令牌给所述呼叫终端;所述呼叫终端基于所述身份令牌向所述后台服务器同步获取集团通讯录信息。
进一步的,所述后台服务器验证所述呼叫终端的第一电话号码是否在集团通讯录中,具体包括如下步骤:
所述呼叫终端向所述后台服务器发送验证请求;
所述后台服务器接收所述验证请求并识别出所述第一电话号码,判断所述第一电话号码是否在集团通讯录中,若在,则产生验证码,并通过短信方式发给所述呼叫终端;若不在,则直接结束本次同步过程,并返回同步失败信息给所述呼叫终端;
所述呼叫终端将所述验证码反馈给所述后台服务器,所述后台服务器对所述验证码进行核验,且在核验成功后,返回核验成功信息给所述呼叫终端。
进一步的,所述后台服务器包括第三安全模块。
所述后台服务器对所述呼叫终端的身份进行签名验证,具体包括如下步骤:
所述呼叫终端的第一安全模块通过自己的私钥对身份验证信息进行加密签名,以生成签名信息,并将所述签名信息发送给所述后台服务器;
所述后台服务器接收到所述签名信息,由所述第三安全模块根据所述呼叫终端的公钥进行解密验签。
进一步的,所述呼叫终端基于所述身份令牌向所述后台服务器同步获取集团通讯录信息,具体包括如下步骤:
所述呼叫终端基于所述身份令牌向所述后台服务器发出同步获取集团通讯录的请求;
所述后台服务器与所述呼叫终端通过第三安全模块和第一安全模块进行密钥协商,并产生共享密钥;
所述后台服务器的第三安全模块采用所述共享密钥对集团通讯录信息进行加密,以得到第一密文信息,并将所述第一密文信息发送所述呼叫终端;
所述呼叫终端接收所述第一密文信息,并由第一安全模块采用所述共享密钥解密,得到集团通讯录信息并进行本地保存。
进一步的,在得到集团通讯录信息并进行本地保存之后,若所述后台服务器的集团通讯录信息有更新,则所述后台服务器向所述呼叫终端通知更新信息;所述呼叫终端接收到所述更新信息,在得到呼叫用户的更新确认后,所述呼叫终端反馈更新确认指令给所述后台服务器;所述后台服务器采用所述共享密钥对集团通讯录更新信息进行加密,以得到第二密文信息,并将所述第二密文信息发送所述呼叫终端;所述呼叫终端接收所述第二密文信息并采用所述共享密钥解密,得到集团通讯录更新信息并进行本地保存。
进一步的,所述呼叫终端与所述被叫终端基于相同的通话密钥进行加密通话,具体包括如下步骤:
所述呼叫终端根据所述通话密钥对呼叫用户的语音信息进行加密,以得到第三密文信息,并通过VOIP方式发送给所述被叫终端;
所述被叫终端接收到所述第三密文信息,并通过所述通话密钥对所述第三密文信息进行解密以得到呼叫用户的语音信息。
进一步的,所述呼叫终端与所述被叫终端分别预装有加密通话客户端和普通通话客户端,所述呼叫终端与所述被叫终端之间的加密通话过程是基于加密通话客户端来实现的;所述普通通话客户端为终端自带的应用,用于普通接打电话,所述普通通话客户端与所述加密通话客户端融合有一个共用的拨号界面。
本发明通过创建加密群组,实现对通话过程中的密钥进行加密,使得通话双方必须使用唯一的硬件安全模块才能进行解密,从而保证通话的安全。本发明可以将集团通讯录信息安全地同步到终端,方便企业员工之间的通话交流。同时,本发明还将普通通话拨号界面与加密通话拨号界面融合为一个,方便用户操作,提升用户体验感。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种基于VOIP的加密通话方法,其特征在于,所述方法包括以下步骤:
呼叫终端持有第一电话号码并预装有第一安全模块,被叫终端持有第二电话号码并预装有第二安全模块;
所述呼叫终端将第一安全模块信息与第一电话号码进行绑定,并同步给后台服务器;
所述呼叫终端调用所述后台服务器创建加密群组,并将所述呼叫终端和所述被叫终端加入所述加密群组中;
所述后台服务器在加密群组创建成功后返回加密群组信息和第一群组密钥给所述呼叫终端,所述第一群组密钥是由所述后台服务器基于绑定的第一安全模块信息与第一电话号码生成的;
所述呼叫终端接收到所述加密群组信息和第一群组密钥后,生成通话密钥,并结合第一群组密钥、第一安全模块信息和第一电话号码对所述通话密钥加密以得到通话密钥密文;
所述呼叫终端通过所述后台服务器向被叫终端推送通话请求,所述通话请求至少包括通话密钥密文;
所述被叫终端接收到通话请求后,将第二安全模块信息与第二电话号码进行绑定,并同步给所述后台服务器;
所述后台服务器基于绑定的第二安全模块信息与第二电话号码生成与之相对应的第二群组密钥,并在所述被叫终端位于所述加密群组中时将所述第二群组密钥下发至所述被叫终端;
所述被叫终端接收所述第二群组密钥,并结合第二安全模块信息和第二电话号码对所述通话密钥密文解密,得到通话密钥;
所述呼叫终端与所述被叫终端基于所述通话密钥进行加密通话。
2.根据权利要求1所述的一种基于VOIP的加密通话方法,其特征在于,在所述后台服务器基于绑定的第二安全模块信息与第二电话号码生成与之相对应的第二群组密钥之后,所述方法还包括:
若所述被叫终端不在所述加密群组中,所述被叫终端因无法获取所述第二群组密钥而解密通话密钥密文失败;
所述被叫终端将解密失败信息反馈给所述后台服务器;
所述后台服务器通知所述呼叫终端需要将所述被叫终端拉入所述加密群组;
所述呼叫终端将所述被叫终端成功拉入所述加密群组,并通过所述后台服务器通知给所述被叫终端;
所述被叫终端从所述加密群组接收到所述第二群组密钥,并结合第二安全模块信息和第二电话号码对所述通话密钥密文解密,得到通话密钥;
所述呼叫终端与所述被叫终端基于所述通话密钥进行加密通话。
3.根据权利要求1所述的一种基于VOIP的加密通话方法,其特征在于,在所述呼叫终端将第一安全模块信息与第一电话号码进行绑定之前,所述方法还包括:
所述后台服务器验证所述呼叫终端的第一电话号码是否在集团通讯录中;
若所述第一电话号码在所述集团通讯录中,所述后台服务器对所述呼叫终端的身份进行签名验证;
验签成功后,所述后台服务器返回身份令牌给所述呼叫终端;
所述呼叫终端基于所述身份令牌向所述后台服务器同步获取集团通讯录信息。
4.根据权利要求3所述的一种基于VOIP的加密通话方法,其特征在于,所述后台服务器验证所述呼叫终端的第一电话号码是否在集团通讯录中,具体包括:
所述呼叫终端向所述后台服务器发送验证请求;
所述后台服务器接收所述验证请求并识别出所述第一电话号码,判断所述第一电话号码是否位于集团通讯录中,在所述第一电话号码位于集团通讯录中时产生验证码,并通过短信方式发给所述呼叫终端;
所述呼叫终端将所述验证码反馈给所述后台服务器,所述后台服务器对所述验证码进行核验,且在核验成功后,返回核验成功信息给所述呼叫终端。
5.根据权利要求3所述的一种基于VOIP的加密通话方法,其特征在于,所述后台服务器对所述呼叫终端的身份进行签名验证,具体包括:
所述呼叫终端通过自己的私钥对身份验证信息进行加密签名,以生成签名信息,并将所述签名信息发送给所述后台服务器;
所述后台服务器接收到所述签名信息,并根据所述呼叫终端的公钥进行解密验签。
6.根据权利要求3所述的一种基于VOIP的加密通话方法,其特征在于,所述呼叫终端基于所述身份令牌向所述后台服务器同步获取集团通讯录信息,具体包括:
所述呼叫终端基于所述身份令牌向所述后台服务器发出同步获取集团通讯录的请求;
所述后台服务器与所述呼叫终端进行密钥协商,并产生共享密钥;
所述后台服务器采用所述共享密钥对集团通讯录信息进行加密,以得到第一密文信息,并将所述第一密文信息发送所述呼叫终端;
所述呼叫终端接收所述第一密文信息并采用所述共享密钥解密,得到集团通讯录信息并进行本地保存。
7.根据权利要求6所述的一种基于VOIP的加密通话方法,其特征在于,在得到集团通讯录信息并进行本地保存之后,所述方法还包括:
若所述后台服务器的集团通讯录信息有更新,则所述后台服务器向所述呼叫终端通知更新信息;
所述呼叫终端接收到所述更新信息,在得到呼叫用户的更新确认后,所述呼叫终端反馈更新确认指令给所述后台服务器;
所述后台服务器采用所述共享密钥对集团通讯录更新信息进行加密,以得到第二密文信息,并将所述第二密文信息发送所述呼叫终端;
所述呼叫终端接收所述第二密文信息并采用所述共享密钥解密,得到集团通讯录更新信息并进行本地保存。
8.根据权利要求1所述的一种基于VOIP的加密通话方法,其特征在于,所述呼叫终端与所述被叫终端基于相同的通话密钥进行加密通话,具体包括:
所述呼叫终端根据所述通话密钥对呼叫用户的语音信息进行加密,以得到第三密文信息,并通过VOIP方式发送给所述被叫终端;
所述被叫终端接收到所述第三密文信息,并通过所述通话密钥对所述第三密文信息进行解密以得到呼叫用户的语音信息。
9.根据权利要求1所述的一种基于VOIP的加密通话方法,其特征在于,所述呼叫终端与所述被叫终端分别预装有加密通话客户端和普通通话客户端,所述呼叫终端与所述被叫终端之间的加密通话方法是基于加密通话客户端来实现的;所述普通通话客户端为终端自带的应用,用于普通接打电话,所述普通通话客户端与所述加密通话客户端融合有一个共用的拨号界面。
10.一种基于VOIP的加密通话系统,用于实现上述权利要求1至9任意一项所述的加密通话方法,其特征在于,所述系统包括呼叫终端、被叫终端和后台服务器,所述呼叫终端持有第一电话号码并预装有第一安全模块,所述被叫终端持有第二电话号码并预装有第二安全模块;
所述呼叫终端用于将第一安全模块信息与第一电话号码进行绑定,并同步给后台服务器;同时调用所述后台服务器创建加密群组,并将所述呼叫终端和所述被叫终端加入所述加密群组中;
所述被叫终端,用于将第二安全模块信息与第二电话号码进行绑定,并同步给所述后台服务器;
所述后台服务在加密群组创建成功后,基于绑定的第一安全模块信息与第一电话号码生成与之相对应的第一群组密钥返回给所述呼叫终端;基于绑定的第二安全模块信息与第二电话号码生成与之相对应的第二群组密钥,并返回给所述被叫终端;
其中,所述呼叫终端接收到所述第一群组密钥后,由第一安全模块生成通话密钥,并结合第一群组密钥、第一安全模块信息和第一电话号码对所述通话密钥加密以得到通话密钥密文;所述呼叫终端通过所述后台服务器向被叫终端推送通话请求,所述通话请求至少包括通话密钥密文;所述被叫终端的第二安全模块结合第二群组密钥、第二安全模块信息和第二电话号码对所述通话密钥密文解密,得到通话密钥;所述呼叫终端与所述被叫终端基于所述通话密钥进行加密通话。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911378509.9A CN111092905B (zh) | 2019-12-27 | 2019-12-27 | 一种基于voip的加密通话方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911378509.9A CN111092905B (zh) | 2019-12-27 | 2019-12-27 | 一种基于voip的加密通话方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111092905A CN111092905A (zh) | 2020-05-01 |
CN111092905B true CN111092905B (zh) | 2021-10-15 |
Family
ID=70398105
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911378509.9A Active CN111092905B (zh) | 2019-12-27 | 2019-12-27 | 一种基于voip的加密通话方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111092905B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111556501B (zh) * | 2020-05-12 | 2023-04-18 | 微位(深圳)网络科技有限公司 | 一种可信通信系统及方法 |
CN114222290B (zh) * | 2020-09-04 | 2023-10-03 | 成都鼎桥通信技术有限公司 | 通信方法、装置、设备及存储介质 |
CN112600805B (zh) * | 2020-12-03 | 2023-04-07 | 国家计算机网络与信息安全管理中心 | 一种网络安全监管平台 |
CN114553422B (zh) * | 2022-04-26 | 2022-07-01 | 中电信量子科技有限公司 | VoLTE语音加密通信方法、终端及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101137123A (zh) * | 2007-04-09 | 2008-03-05 | 中兴通讯股份有限公司 | 集群系统的加密组呼、单呼、及动态重组呼叫实现方法 |
CN102843675A (zh) * | 2011-06-24 | 2012-12-26 | 中兴通讯股份有限公司 | 一种集群呼叫语音加密的方法、终端和系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9197746B2 (en) * | 2008-02-05 | 2015-11-24 | Avaya Inc. | System, method and apparatus for authenticating calls |
KR100987213B1 (ko) * | 2008-07-11 | 2010-10-12 | 삼성전자주식회사 | 바이오 키를 이용하여 VoIP을 기반으로 한 통신을수행하는 방법 및 장치 |
-
2019
- 2019-12-27 CN CN201911378509.9A patent/CN111092905B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101137123A (zh) * | 2007-04-09 | 2008-03-05 | 中兴通讯股份有限公司 | 集群系统的加密组呼、单呼、及动态重组呼叫实现方法 |
CN102843675A (zh) * | 2011-06-24 | 2012-12-26 | 中兴通讯股份有限公司 | 一种集群呼叫语音加密的方法、终端和系统 |
Non-Patent Citations (2)
Title |
---|
《量子保密通信技术在进博会保电中的应用研究》;贾耕涛等;《电力信息与通信技术》;20190415;第17卷(第4期);全文 * |
面向物联网信息安全保护的轻量化密钥体系设计;刘熙胖等;《信息安全研究》;20180905(第09期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111092905A (zh) | 2020-05-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111092905B (zh) | 一种基于voip的加密通话方法和系统 | |
US7092385B2 (en) | Policy control and billing support for call transfer in a session initiation protocol (SIP) network | |
US6988205B2 (en) | Method and apparatus for the secure storage of audio signals | |
US7693269B2 (en) | Caller identification method, and billing system and method using the same in internet telephony | |
US6198823B1 (en) | Method for improved authentication for cellular phone transmissions | |
CN100435508C (zh) | 呼叫处理系统中安全因特网协议通信的方法和设备 | |
US20070083918A1 (en) | Validation of call-out services transmitted over a public switched telephone network | |
US20060095766A1 (en) | System and method for secure transmission of RTP packets | |
US20180205822A1 (en) | Authentication using dtmf tones | |
US7764945B2 (en) | Method and apparatus for token distribution in session for future polling or subscription | |
CN111371797B (zh) | 一种通信会话中可信身份认证方法及系统 | |
CN112671864B (zh) | 一种基于主动请求的隐私号码动态分配系统 | |
CN112153641B (zh) | 基于边缘upf的二次认证增强与端到端加密方法及系统 | |
CN112929339B (zh) | 一种保护隐私的消息传送方法 | |
EP1878161A1 (en) | Method and system for electronic reauthentication of a communication party | |
US20110135093A1 (en) | Secure telephone devices, systems and methods | |
US8693686B2 (en) | Secure telephone devices, systems and methods | |
CN103906052A (zh) | 一种移动终端认证方法、业务访问方法及设备 | |
CN101151879A (zh) | 可用于电子通信系统的转移识别软件 | |
US20060147038A1 (en) | Method and installation for controlling a telephone call transmitter on an internet network and telephone terminal therefor | |
CN101621505A (zh) | 接入认证方法及系统、终端 | |
JP2002539489A (ja) | 暗号鍵スプリットコンバイナを用いる音声及びデータ暗号化方法 | |
US8977235B2 (en) | Establishment of secure communication | |
JP3518474B2 (ja) | 位置情報サービスシステム及び方法及び位置情報サービスプログラムを格納した記憶媒体 | |
CN110740129A (zh) | 一种基于端到端认证的电话网通信防护方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A VOIP based encrypted call method and system Granted publication date: 20211015 Pledgee: Bank of Zhengzhou Co.,Ltd. Zhongyuan Science and Technology City Sub branch Pledgor: ZHENGZHOU XINDA JIEAN INFORMATION TECHNOLOGY Co.,Ltd. Registration number: Y2024980007004 |
|
PE01 | Entry into force of the registration of the contract for pledge of patent right |