CN113114644B - 一种基于sip架构的多级跨域对称密钥管理系统 - Google Patents
一种基于sip架构的多级跨域对称密钥管理系统 Download PDFInfo
- Publication number
- CN113114644B CN113114644B CN202110346186.6A CN202110346186A CN113114644B CN 113114644 B CN113114644 B CN 113114644B CN 202110346186 A CN202110346186 A CN 202110346186A CN 113114644 B CN113114644 B CN 113114644B
- Authority
- CN
- China
- Prior art keywords
- key
- user
- sip
- encryption
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Abstract
本发明公开了一种基于SIP架构的多级跨域对称密钥管理系统,包括多个处于不同域的用户端(1)、设备端(2)、多个SIP代理服务器(3)、SIP重定向服务器(4);其中:处于各不同域内具备至少具备一台SIP代理服务器(3),每个域具备至少一用户端(1)和/或设备端(2);所述SIP重定向服务器(4)同时处于所有域中;所有的所述用户端(1)、所述设备端(2)、所述SIP代理服务器(3)和所述SIP重定向服务器(4)设置有共同的公钥加密和解密密钥。本发明的本申请采用通信通道和数据联系通道的方式,建立通信联系和数据通信的双通道方式,使得建立通信通道和具体进行数据通信的通道加以区分,两者互不影响,从而可以加快数据通信,增加数据安全。
Description
技术领域
本发明涉及计算机安全技术领域,具体为一种基于SIP架构的多级跨域对称密钥管理系统及管理方法。
背景技术
网络通信中,包括多种安全通信协议。而SIP(Session Initiation Protocol)是一个应用层的信令控制协议。用于创建、修改和释放一个或多个参与者的会话。这些会话可以是Internet多媒体会议、IP电话或多媒体分发。会话的参与者可以通过组播(multicast)、网状单播(unicast)或两者的混合体进行通信。使用SIP,服务提供商可以随意选择标准组件。不论媒体内容和参与方数量,用户都可以查找和联系对方。SIP对会话进行协商,以便所有参与方都能够就会话功能达成一致以及进行修改。它甚至可以添加、删除或转移用户。
SIP它既不是会话描述协议,也不提供会议控制功能。为了描述消息内容的负载情况和特点,SIP使用lnternet的会话描述协议(SDP)来描述终端设备的特点。SIP自身也不提供服务质量(QoS),它与负责语音质量的资源预留协议(RSVP)互操作。它还与若干个其他协议进行协作,包括负责定位的轻型目录访问协议(LDAP)、负责身份验证的远程身份验证拨入用户服务(RADIUS)以及负责实时传输的RTP等多个协议。
SIP的一个重要特点是它不定义要建立的会话的类型,而只定义应该如何管理会话。有了这种灵活性,也就意味着SIP可以用于众多应用和服务中,包括交互式游戏、音乐和视频点播以及语音、视频和Web会议。SIP消息是基于文本的,因而易于读取和调试。新服务的编程更加简单,对于设计人员而言更加直观。SIP如同电子邮件客户机一样重用MIME类型描述,因此与会话相关的应用程序可以自动启动。SIP重用几个现有的比较成熟的Internet服务和协议,如DNS、RTP、RSVP等。不必再引入新服务对SIP基础设施提供支持,因为该基础设施很多部分已经到位或现成可用。
对SIP的扩充易于定义,可由服务提供商在新的应用中添加,不会损坏网络。网络中基于SIP的旧设备不会妨碍基于SIP的新服务。例如,如果旧SIP实施不支持新的SIP应用所用的方法/标头,则会将其忽略。SIP独立于传输层。因此,底层传输可以是采用ATM的IP。SIP使用用户数据报协议(UDP)以及传输控制协议(TCP),将独立于底层基础设施的用户灵活地连接起来。SIP支持多设备功能调整和协商。如果服务或会话启动了视频和语音,则仍然可以将语音传输到不支持视频的设备,也可以使用其他设备功能,如单向视频流传输功能。
其中,专利CN111970270A公开一种基于环上带误差学习问题的SIP安全认证方法及系统,用户客户端U对口令PW进行加密得到加密数据PWE,将用户名ID、加密数据PWE和验证密钥均发送给服务器S;服务器S接收用户客户端U发来的用户名ID和加密数据PWE,对接收数据进行加密处理,得到加密数据VPW;U向S发送验证请求;S使用验证密钥对加密数据VPW进行处理,得到第一验证消息,服务器发送第一验证消息给U;U接收到第一验证消息后,用户客户端对第一验证消息进行验证,验证通过,客户端返回第二验证消息给服务器S;服务器S对第二验证消息进行验证,验证通过,则客户端U和服务器S之间使用共同的会话密钥来加密之后的通信信息。
专利CN108599926A公开一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法,实施认证时请求方向鉴权方发起鉴权请求,鉴权请求中带有第一随机数;鉴权方响应于所述鉴权请求生成提问消息并发送至请求方,所述提问消息包括消息认证码、AMF以及用于生成协商密钥的第二随机数,且该第二随机数采用密文形式,用于加密第二随机数的匿名密钥是利用所述第一随机数生成;请求方接收来自鉴权方的提问消息,利用第一随机数对所述提问消息进行验证,验证通过后生成应答消息发送至鉴权方;鉴权方接收来自请求方的应答消息并进行认证得到鉴权结果,再将鉴权结果发送给请求方;请求方接收来自鉴权方的鉴权结果。该发明采用双向认证提高了安全性,简化了繁琐的消息校验步骤。
专利CN103103497A公开了一种基于SIP的非对称语音加密,该发明为解决现有网络通话的安全性和保密性不足的问题,提出了对网络电话语音数据加密的解决方案,具体来说,设主叫方为A,被叫方为B,若A向SIP服务器发送正常通话的请求,则SIP服务器向B发送通话请求。若A向SIP服务器发送私密通话的请求,SIP服务器通过预先设定的算法生成A的公钥和私钥、生成B的公钥和私钥,然后向主叫方A发送A的私钥和B的公钥,向被叫方B发送A的公钥和B的私钥;在原有SIP传输协议的基础上在SIP服务器上加入密码生成模块,然后在通信双方的移动终端上安装加解密App,即可以实现双方的私密通话。
专利CN104660415A公开了一种针对移动云计算网络环境下的多域间可认证非对称群组密钥协商协议的方法,采用双线性映射及盲密钥技术实现本域密钥管理中心与本域终端之间的短签名机制,用短签名技术实现分布在不同域的终端之间进行多域间群组密钥协商认证机制,进而实现分布在多域间的终端进行非对称群组密钥协商。本发明的协议方法具有匿名性与可认证性,支持节点的动态群组密钥更新,实现了群组密钥向前保密与向后保密的安全性。在双线性计算Diffe-Hellman问题困难假设下,证明了协议的安全性,且该协议的计算和通信能量消耗较低,并具有较好的灵活性、安全性和实用性,适用于移动云计算网络环境下分布在多域的终端进行跨域群组密钥协商。
专利CN103748908B公开了一种公开了用于在使用端到端加密的通信网络中合法地截取信息的技术。例如,一种用于截取在通信网络中的第一计算设备与第二计算设备之间交换的加密通信的方法,其中所述截取由通信网络中的第三计算设备执行,所述方法包括以下步骤。所述第三计算设备获得具有与所述第一计算设备和所述第二计算设备中的一者相关联的分组地址的一个或多个分组。响应于在所述通信网络中的至少一个元件中实施至少一个截取路由策略,所述一个或多个分组由所述第三计算设备获得,从而所述一个或多个获得的分组可以被解密以便获得所述一个或多个获得的分组中包含的数据。所述第三计算设备保留所述一个或多个获得的分组的分组地址。所述第三计算设备将所述一个或多个分组向所述第一计算设备和所述第二计算设备中的一个分组目的地转发,使得所述第一计算设备和所述第二计算设备中的一个分组目的地不能从所述一个或多个分组检测到所述一个或多个分组被所述第三计算设备截取。
专利CN102984252A公开了一种基于动态跨域安全令牌的云资源访问控制方法。本方法为:1)在云资源服务提供方预设一访问代理;代理对动态临时用户身份认证后,为每一动态临时用户向云资源提供方请求一动态安全令牌;2)云资源提供方生成动态安全令牌并设定其访问策略,发送给动态临时用户;3)每一动态临时用户与云资源提供方之间分别设定一共享密钥;4)动态临时用户用共享密钥对访问请求进行签名,并发送一认证请求消息给云资源提供方;5)云资源提供方用共享密钥对该认证请求消息签名,如果签名相同,则认证通过;判定动态安全令牌及其访问代理的访问策略,根据判定结果响应该动态临时用户的访问请求。本发明实现了高效的跨域鉴权机制,判定效率高。
但目前,存在如下技术问题:
(1)现有技术中,在进行数据通信时,通常只有一个通信通道,即作为建立通信的通道,又作为建立通信后的具体数据通信的通道,即为一种单通道的通信模式,但是如果在不同域利用单通道的通信模式进行通信,长期占用通信通道,这必将导致通信通道拥挤,不利于大量建立通信的连接。
(2)现有技术中,对通信的加密和解密通常都是采用公钥加密和解密的形式,即对称密钥的形式,但是这种密钥认证容易导致密码被泄露,使得存在通信不安全的行为。
(3)现有技术中,即使存在采用动态密钥的形式,但是动态密钥由于是一定时间都可以使用,因此,如果被其他设备获取,那么依然可能导致不安全的情况。
面对上述技术问题,人们希望提供一种对跨域之间进行通信的方式,以保证通信的安全性,同时,提高通信效率的通信方式。但到目前为止,现有技术中并无有效办法解决上述技术难题。
发明内容
本发明的目的在于提供一种基于SIP架构的多级跨域对称密钥管理系统及管理方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种基于SIP架构的多级跨域对称密钥管理系统,包括多个处于不同域的用户端、设备端、多个SIP代理服务器、SIP重定向服务器;其中:处于各不同域内具备至少具备一台SIP代理服务器,每个域具备至少一用户端和/或设备端;所述SIP重定向服务器同时处于所有域中;所有的所述用户端、所述设备端、所述SIP代理服务器和所述SIP重定向服务器设置有共同的公钥加密和解密密钥;
所述SIP重定向服务器和所有的SIP代理服务器数据通信连接,分布于各域的所述SIP代理服务器和位于该域的用户端和设备端数据通信连接;
所述用户端包括用户数据处理端、用户通信套接端和用户端加密和解密模块;所述设备端包括设备数据处理端、设备通信套接端和设备端加密和解密模块;
所述用户端内的所述用户数据处理端、用户通信套接端均和所述用户端加密和解密模块,所述设备端内的设备数据处理端、设备通信套接端和设备端加密和解密模块;
当其中一个用户端A发出与另外一个用户端B(1)或设备端的会话请求时,用户端A(1)的用户通信套接端将会话请求通过所述用户端加密和解密模块利用公钥加密密钥进行加密,加密后的会话请求向位于同一域的所述SIP代理服务器发出,所述SIP代理服务器在收到所述会话请求后,将所述会话请求发送给所述SIP重定向服务器,所述SIP重定向服务器利用公钥解密密钥对加密的会话请求进行解密,从而所述SIP重定向服务器的获取会话请求中的会话请求目标用户端B或设备端的通信地址,并将通信地址利用公钥加密密钥进行加密并反馈给所述同一域的SIP代理服务器,同时将会话请求发送给目标会话请求的用户端B或设备端所在域的SIP代理服务器;所述目标会话请求的用户端B或设备端所在域的SIP代理服务器利用公钥解密密钥对加密的会话请求进行解密,并将该会话请求发送给目标会话请求的用户端B或设备端;
同时,所述SIP重定向服务器通过密钥生成算法生成私钥加密密钥和解密密钥和由会话请求的双方通信地址生成的通信路径利用公钥加密密钥进行加密,并分别发送给所述会话双方的所述SIP代理服务器,并进一步发送给会话的所述用户端A和目标会话请求的所述用户端B或所述设备端;
当所述用户端B或所述设备端接收该会话请求时,将同意指令离利用私钥加密密钥进行加密,并利用所述通信路径进行通信,在会话的双方建立通信连接后,采用用户数据处理端和所述设备数据处理端进行数据通信,并且所述用户端A和目标会话请求的所述用户端B或所述设备端之间进行数据通信时,采用私钥加密密钥进行加密。
优选的,在所述SIP重定向服务器通过密钥生成算法生成私钥加密密钥和解密密钥中,所述密钥生成算法采用动态密码生成算法生成,并且,通过密钥生成算法生成的所有私钥加密密钥和解密密钥只能在建立会话中的所述用户端A与另外一个用户端B或设备端启动。
优选的,在所述SIP重定向服务器通过密钥生成算法生成私钥加密密钥和解密密钥中,所述密钥生成算法中加入了发起会话和接收会话的所述用户端A与另外一个用户端B或设备端的信息。
优选的,在所述SIP重定向服务器通过密钥生成算法生成私钥加密密钥和解密密钥中,所述密钥生成算法中加入了发起会话和接收会话的所述用户端A与另外一个用户端B或设备端的域的信息。
优选的,所述公钥加密和解密密钥和所述私钥加密和解密密钥在存储于所述用户端或设备端时,存储于所述用户端加密和解密模块或所述设备端加密和解密模块,并由所述用户端加密和解密模块或所述设备端加密和解密模块完成加密和解密工作。
优选的,在建立会话中的所述用户端A与另外一个用户端B或设备端完成会话时,所述用户端A与另外一个用户端B或设备端的所述用户端加密和解密模块或所述设备端加密和解密模块删除私钥加密和解密密钥。
优选的,在建立会话中的所述用户端A与另外一个用户端B或设备端完成会话时,其通信路径仅对当初会话有效,下层通信时将更换通信路径。
优选的,在会话的双方建立通信连接后,采用用户数据处理端和所述设备数据处理端进行数据通信中,通信路径只包括用户端A与另外一个用户端B或设备端、所述SIP代理服务器的节点,利用处于不同域的所述SIP代理服务器之间直接进行通信,不经过所述SIP重定向服务器,以减小所述SIP重定向服务器的负担。
另外一方面,本申请还提供一种基于SIP架构的多级跨域对称密钥管理方法,包括基于SIP架构的多级跨域对称密钥管理系统,具体的密钥管理方法如下;
步骤S1,当其中一个用户端A发出与另外一个用户端B(1)或设备端的会话请求时,用户端A(1)的用户通信套接端将会话请求通过所述用户端加密和解密模块利用公钥加密密钥进行加密,加密后的会话请求向位于同一域的所述SIP代理服务器发出;
步骤S2,所述SIP代理服务器在收到所述会话请求后,将所述会话请求发送给所述SIP重定向服务器;
步骤S3,所述SIP重定向服务器利用公钥解密密钥对加密的会话请求进行解密,从而所述SIP重定向服务器的获取会话请求中的会话请求目标用户端B(1)或设备端的通信地址,并将通信地址利用公钥加密密钥进行加密并反馈给所述同一域的SIP代理服务器,同时将会话请求发送给目标会话请求的用户端B(1)或设备端所在域的SIP代理服务器;
步骤S4,所述目标会话请求的用户端B(1)或设备端所在域的SIP代理服务器利用公钥解密密钥对加密的会话请求进行解密,并将该会话请求发送给目标会话请求的用户端B(1)或设备端;
步骤S5,所述SIP重定向服务器通过密钥生成算法生成私钥加密密钥和解密密钥和由会话请求的双方通信地址生成的通信路径利用公钥加密密钥进行加密,并分别发送给所述会话双方的所述SIP代理服务器,并进一步发送给会话的所述用户端A和目标会话请求的所述用户端B或所述设备端;
步骤S6,当所述用户端B或所述设备端接收该会话请求时,将同意指令离利用私钥加密密钥进行加密,并利用所述通信路径进行通信,在会话的双方建立通信连接后,采用用户数据处理端和所述设备数据处理端进行数据通信,并且所述用户端A和目标会话请求的所述用户端B或所述设备端之间进行数据通信时,采用私钥加密密钥进行加密。
优选的,所述公钥加密和解密密钥和所述私钥加密和解密密钥在存储于所述用户端或设备端时,存储于所述用户端加密和解密模块或所述设备端加密和解密模块,并由所述用户端加密和解密模块或所述设备端加密和解密模块完成加密和解密工作。
与现有技术相比,本发明的有益效果是:
1、本发明采用通信通道和数据联系通道的方式,建立通信联系和数据通信的双通道方式,使得建立通信通道和具体进行数据通信的通道加以区分,两者互不影响,从而可以加快数据通信,增加数据安全。
2.本申请在建立通信和通信过程中,采用采用公钥和私钥兼容配合的方式,采用公钥进行通信通道的认证,并采用动态私钥进行认证的方式,这样保证通信的安全。
3.本申请采用动态密钥的方式实现认证,同时,在生成密钥的过程中,结合会话双方的地址,和所在的域信息,生成密钥,因此在件解密时,需要进行域认证,从而进一步保障通信的安全性。
4.本发明在会话的双方建立通信连接后,采用用户数据处理端(5)和所述设备数据处理端(8)进行数据通信中,通信路径只包括用户端A(1)与另外一个用户端B(1)或设备端(2)、所述SIP代理服务器(3)的节点,利用处于不同域的所述SIP代理服务器(3)之间直接进行通信,不经过所述SIP重定向服务器(4),以减小所述SIP重定向服务器(4)的负担。
附图说明
图1为本发明的整体结构示意图;
图2为本发明的用户组成结构示意图;
图3为本发明的设备端组成结构示意图。
图中:1、用户端;2、设备端;3、SIP代理服务器;4、SIP重定向服务器;5、用户数据处理端;6、用户通信套接端;7、用户端加密和解密模块;8、设备数据处理端;9、设备通信套接端;10、设备端加密和解密模块。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
具体实施例一:
请参阅图1,本发明提供一种技术方案:一种基于SIP架构的多级跨域对称密钥管理系统,包括多个处于不同域的用户端1、设备端2、多个SIP代理服务器3、SIP重定向服务器4;其中:处于各不同域内具备至少具备一台SIP代理服务器3,每个域具备至少一用户端1和/或设备端2;所述SIP重定向服务器4同时处于所有域中;所有的所述用户端1、所述设备端2、所述SIP代理服务器3和所述SIP重定向服务器4设置有共同的公钥加密和解密密钥;
所述SIP重定向服务器4和所有的SIP代理服务器3数据通信连接,分布于各域的所述SIP代理服务器3和位于该域的用户端1和设备端2数据通信连接;
所述用户端1包括用户数据处理端5、用户通信套接端6和用户端加密和解密模块7;所述设备端2包括设备数据处理端8、设备通信套接端9和设备端加密和解密模块10;
所述用户端1内的所述用户数据处理端5、用户通信套接端6均和所述用户端加密和解密模块7,所述设备端2内的设备数据处理端8、设备通信套接端9和设备端加密和解密模块10;
当其中一个用户端A1发出与另外一个用户端B(1)或设备端2的会话请求时,用户端A(1)的用户通信套接端6将会话请求通过所述用户端加密和解密模块7利用公钥加密密钥进行加密,加密后的会话请求向位于同一域的所述SIP代理服务器3发出,所述SIP代理服务器3在收到所述会话请求后,将所述会话请求发送给所述SIP重定向服务器4,所述SIP重定向服务器4利用公钥解密密钥对加密的会话请求进行解密,从而所述SIP重定向服务器4的获取会话请求中的会话请求目标用户端B(1)或设备端2的通信地址,并将通信地址利用公钥加密密钥进行加密并反馈给所述同一域的SIP代理服务器3,同时将会话请求发送给目标会话请求的用户端B(1)或设备端2所在域的SIP代理服务器3;所述目标会话请求的用户端B(1)或设备端2所在域的SIP代理服务器3利用公钥解密密钥对加密的会话请求进行解密,并将该会话请求发送给目标会话请求的用户端B(1)或设备端2;
同时,所述SIP重定向服务器4通过密钥生成算法生成私钥加密密钥和解密密钥和由会话请求的双方通信地址生成的通信路径利用公钥加密密钥进行加密,并分别发送给所述会话双方的所述SIP代理服务器3,并进一步发送给会话的所述用户端A1和目标会话请求的所述用户端B1或所述设备端2;
当所述用户端B1或所述设备端2接收该会话请求时,将同意指令离利用私钥加密密钥进行加密,并利用所述通信路径进行通信,在会话的双方建立通信连接后,采用用户数据处理端5和所述设备数据处理端8进行数据通信,并且所述用户端A1和目标会话请求的所述用户端B1或所述设备端2之间进行数据通信时,采用私钥加密密钥进行加密。
优选的,在所述SIP重定向服务器4通过密钥生成算法生成私钥加密密钥和解密密钥中,所述密钥生成算法采用动态密码生成算法生成,并且,通过密钥生成算法生成的所有私钥加密密钥和解密密钥只能在建立会话中的所述用户端A1与另外一个用户端B1或设备端2启动。
优选的,在所述SIP重定向服务器4通过密钥生成算法生成私钥加密密钥和解密密钥中,所述密钥生成算法中加入了发起会话和接收会话的所述用户端A1与另外一个用户端B1或设备端2的信息。
优选的,在所述SIP重定向服务器4通过密钥生成算法生成私钥加密密钥和解密密钥中,所述密钥生成算法中加入了发起会话和接收会话的所述用户端A1与另外一个用户端B1或设备端2的域的信息。
优选的,所述公钥加密和解密密钥和所述私钥加密和解密密钥在存储于所述用户端1或设备端2时,存储于所述用户端加密和解密模块7或所述设备端加密和解密模块10,并由所述用户端加密和解密模块7或所述设备端加密和解密模块10完成加密和解密工作。
优选的,在建立会话中的所述用户端A1与另外一个用户端B1或设备端2完成会话时,所述用户端A1与另外一个用户端B1或设备端2的所述用户端加密和解密模块7或所述设备端加密和解密模块10删除私钥加密和解密密钥。
优选的,在建立会话中的所述用户端A1与另外一个用户端B1或设备端2完成会话时,其通信路径仅对当初会话有效,下层通信时将更换通信路径。
优选的,在会话的双方建立通信连接后,采用用户数据处理端5和所述设备数据处理端8进行数据通信中,通信路径只包括用户端A1与另外一个用户端B1或设备端2、所述SIP代理服务器3的节点,利用处于不同域的所述SIP代理服务器3之间直接进行通信,不经过所述SIP重定向服务器4,以减小所述SIP重定向服务器4的负担。
具体实施例二:
另外一方面,本申请还提供一种基于SIP架构的多级跨域对称密钥管理方法,包括基于SIP架构的多级跨域对称密钥管理系统,具体的密钥管理方法如下;
步骤S1,当其中一个用户端A1发出与另外一个用户端B1或设备端2的会话请求时,用户端A1的用户通信套接端6将会话请求通过所述用户端加密和解密模块7利用公钥加密密钥进行加密,加密后的会话请求向位于同一域的所述SIP代理服务器3发出;
步骤S2,所述SIP代理服务器3在收到所述会话请求后,将所述会话请求发送给所述SIP重定向服务器4;
步骤S3,所述SIP重定向服务器4利用公钥解密密钥对加密的会话请求进行解密,从而所述SIP重定向服务器4的获取会话请求中的会话请求目标用户端B1或设备端2的通信地址,并将通信地址利用公钥加密密钥进行加密并反馈给所述同一域的SIP代理服务器3,同时将会话请求发送给目标会话请求的用户端B1或设备端2所在域的SIP代理服务器3;
步骤S4,所述目标会话请求的用户端B1或设备端2所在域的SIP代理服务器3利用公钥解密密钥对加密的会话请求进行解密,并将该会话请求发送给目标会话请求的用户端B1或设备端2;
步骤S5,所述SIP重定向服务器4通过密钥生成算法生成私钥加密密钥和解密密钥和由会话请求的双方通信地址生成的通信路径利用公钥加密密钥进行加密,并分别发送给所述会话双方的所述SIP代理服务器3,并进一步发送给会话的所述用户端A1和目标会话请求的所述用户端B1或所述设备端2;
步骤S6,当所述用户端B1或所述设备端2接收该会话请求时,将同意指令离利用私钥加密密钥进行加密,并利用所述通信路径进行通信,在会话的双方建立通信连接后,采用用户数据处理端5和所述设备数据处理端8进行数据通信,并且所述用户端A1和目标会话请求的所述用户端B1或所述设备端2之间进行数据通信时,采用私钥加密密钥进行加密。
优选的,所述公钥加密和解密密钥和所述私钥加密和解密密钥在存储于所述用户端1或设备端2时,存储于所述用户端加密和解密模块7或所述设备端加密和解密模块10,并由所述用户端加密和解密模块7或所述设备端加密和解密模块1O完成加密和解密工作。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语″包括″、″包含″或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (9)
1.一种基于SIP架构的多级跨域对称密钥管理系统,包括多个处于不同域的用户端(1)、设备端(2)、多个SIP代理服务器(3)、SIP重定向服务器(4);处于各不同域内具备至少具备一台SIP代理服务器(3),每个域具备至少一用户端(1)和/或设备端(2);所述SIP重定向服务器(4)同时处于所有域中;所有的所述用户端(1)、所述设备端(2)、所述SIP代理服务器(3)和所述SIP重定向服务器(4)设置有共同的公钥加密和解密密钥;
所述SIP重定向服务器(4)和所有的SIP代理服务器(3)数据通信连接,分布于各域的所述SIP代理服务器(3)和位于该域的用户端(1)和设备端(2)数据通信连接;
所述用户端(1)包括用户数据处理端(5)、用户通信套接端(6)和用户端加密和解密模块(7);所述设备端(2)包括设备数据处理端(8)、设备通信套接端(9)和设备端加密和解密模块(10);
所述用户端(1)内的所述用户数据处理端(5)、用户通信套接端(6)均和所述用户端加密和解密模块(7)数据通信连接,所述设备端(2)内的设备数据处理端(8)、设备通信套接端(9)均和所述设备端加密和解密模块(10)数据通信连接;
当其中一个用户端A(1)发出与另外一个用户端B(1)或设备端(2)的会话请求时,用户端A(1)的用户通信套接端(6)将会话请求通过所述用户端加密和解密模块(7)利用公钥加密密钥进行加密,加密后的会话请求向位于同一域的所述SIP代理服务器(3)发出,所述SIP代理服务器(3)在收到所述会话请求后,将所述会话请求发送给所述SIP重定向服务器(4),所述SIP重定向服务器(4)利用公钥解密密钥对加密的会话请求进行解密,从而所述SIP重定向服务器(4)的获取会话请求中的会话请求目标用户端B(1)或设备端(2)的通信地址,并将通信地址利用公钥加密密钥进行加密并反馈给所述同一域的SIP代理服务器(3),同时将会话请求发送给目标会话请求的用户端B(1)或设备端(2)所在域的SIP代理服务器(3);所述目标会话请求的用户端B(1)或设备端(2)所在域的SIP代理服务器(3)利用公钥解密密钥对加密的会话请求进行解密,并将该会话请求发送给目标会话请求的用户端B(1)或设备端(2);
同时,所述SIP重定向服务器(4)通过密钥生成算法生成私钥加密密钥和解密密钥和由会话请求的双方通信地址生成的通信路径利用公钥加密密钥进行加密,并分别发送给会话双方的所述SIP代理服务器(3),并进一步发送给会话的所述用户端A(1)和目标会话请求的所述用户端B(1)或所述设备端(2);
当所述用户端B(1)或所述设备端(2)接收该会话请求时,将同意指令利用私钥加密密钥进行加密,并利用所述通信路径进行通信,在会话的双方建立通信连接后,采用用户数据处理端(5)和所述设备数据处理端(8)进行数据通信,并且所述用户端A(1)和目标会话请求的所述用户端B(1)或所述设备端(2)之间进行数据通信时,采用私钥加密密钥进行加密;
在所述SIP重定向服务器(4)通过密钥生成算法生成私钥加密密钥和解密密钥中,所述密钥生成算法采用动态密码生成算法生成,并且,通过密钥生成算法生成的所有私钥加密密钥和解密密钥只能在建立会话中的所述用户端A(1)与另外一个用户端B(1)或设备端(2)启动。
2.根据权利要求1所述的一种基于SIP架构的多级跨域对称密钥管理系统,其特征在于:在所述SIP重定向服务器(4)通过密钥生成算法生成私钥加密密钥和解密密钥中,所述密钥生成算法中加入了发起会话和接收会话的所述用户端A(1)与另外一个用户端B(1)或设备端(2)的信息。
3.根据权利要求1所述的一种基于SIP架构的多级跨域对称密钥管理系统,其特征在于:在所述SIP重定向服务器(4)通过密钥生成算法生成私钥加密密钥和解密密钥中,所述密钥生成算法中加入了发起会话和接收会话的所述用户端A(1)与另外一个用户端B(1)或设备端(2)的域的信息。
4.根据权利要求1-3任意一项所述的一种基于SIP架构的多级跨域对称密钥管理系统,其特征在于:所述公钥加密和解密密钥和所述私钥加密和解密密钥在存储于所述用户端(1)或设备端(2)时,存储于所述用户端加密和解密模块(7)或所述设备端加密和解密模块(10),并由所述用户端加密和解密模块(7)或所述设备端加密和解密模块(10)完成加密和解密工作。
5.根据权利要求1-3中任意一项所述的一种基于SIP架构的多级跨域对称密钥管理系统,其特征在于:在建立会话中的所述用户端A(1)与另外一个用户端B(1)或设备端(2)完成会话时,所述用户端A(1)与另外一个用户端B(1)或设备端(2)的所述用户端加密和解密模块(7)或所述设备端加密和解密模块(10)删除私钥加密和解密密钥。
6.根据权利要求1所述的一种基于SIP架构的多级跨域对称密钥管理系统,其特征在于:在建立会话中的所述用户端A(1)与另外一个用户端B(1)或设备端(2)完成会话时,其通信路径仅对当初会话有效,下次通信时将更换通信路径。
7.根据权利要求1所述的一种基于SIP架构的多级跨域对称密钥管理系统,其特征在于:在会话的双方建立通信连接后,采用用户数据处理端(5)和所述设备数据处理端(8)进行数据通信中,通信路径只包括用户端A(1)与另外一个用户端B(1)或设备端(2)、所述SIP代理服务器(3)的节点,利用处于不同域的所述SIP代理服务器(3)之间直接进行通信,不经过所述SIP重定向服务器(4),以减小所述SIP重定向服务器(4)的负担。
8.一种基于SIP架构的多级跨域对称密钥管理方法,包括权利要求1-7中任意一项的基于SIP架构的多级跨域对称密钥管理系统,具体的密钥管理方法如下;
步骤S1,当其中一个用户端A(1)发出与另外一个用户端B(1)或设备端(2)的会话请求时,用户端A(1)的用户通信套接端(6)将会话请求通过所述用户端加密和解密模块(7)利用公钥加密密钥进行加密,加密后的会话请求向位于同一域的所述SIP代理服务器(3)发出;
步骤S2,所述SIP代理服务器(3)在收到所述会话请求后,将所述会话请求发送给所述SIP重定向服务器(4);
步骤S3,所述SIP重定向服务器(4)利用公钥解密密钥对加密的会话请求进行解密,从而所述SIP重定向服务器(4)的获取会话请求中的会话请求目标用户端B(1)或设备端(2)的通信地址,并将通信地址利用公钥加密密钥进行加密并反馈给所述同一域的SIP代理服务器(3),同时将会话请求发送给目标会话请求的用户端B(1)或设备端(2)所在域的SIP代理服务器(3);
步骤S4,所述目标会话请求的用户端B(1)或设备端(2)所在域的SIP代理服务器(3)利用公钥解密密钥对加密的会话请求进行解密,并将该会话请求发送给目标会话请求的用户端B(1)或设备端(2);
步骤S5,所述SIP重定向服务器(4)通过密钥生成算法生成私钥加密密钥和解密密钥和由会话请求的双方通信地址生成的通信路径利用公钥加密密钥进行加密,并分别发送给所述会话双方的所述SIP代理服务器(3),并进一步发送给会话的所述用户端A(1)和目标会话请求的所述用户端B(1)或所述设备端(2);
步骤S6,当所述用户端B(1)或所述设备端(2)接收该会话请求时,将同意指令离利用私钥加密密钥进行加密,并利用所述通信路径进行通信,在会话的双方建立通信连接后,采用用户数据处理端(5)和所述设备数据处理端(8)进行数据通信,并且所述用户端A(1)和目标会话请求的所述用户端B(1)或所述设备端(2)之间进行数据通信时,采用私钥加密密钥进行加密。
9.根据权利要求8所述的一种基于SIP架构的多级跨域对称密钥管理方法,其特征在于:所述公钥加密和解密密钥和所述私钥加密和解密密钥在存储于所述用户端(1)或设备端(2)时,存储于所述用户端加密和解密模块(7)或所述设备端加密和解密模块(10),并由所述用户端加密和解密模块(7)或所述设备端加密和解密模块(10)完成加密和解密工作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110346186.6A CN113114644B (zh) | 2021-03-31 | 2021-03-31 | 一种基于sip架构的多级跨域对称密钥管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110346186.6A CN113114644B (zh) | 2021-03-31 | 2021-03-31 | 一种基于sip架构的多级跨域对称密钥管理系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113114644A CN113114644A (zh) | 2021-07-13 |
| CN113114644B true CN113114644B (zh) | 2022-03-25 |
Family
ID=76713011
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110346186.6A Active CN113114644B (zh) | 2021-03-31 | 2021-03-31 | 一种基于sip架构的多级跨域对称密钥管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113114644B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115549898A (zh) * | 2022-09-14 | 2022-12-30 | 公安部第三研究所 | 多级跨域环境下的对称密钥管理方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761551A (zh) * | 2012-07-09 | 2012-10-31 | 郑州信大捷安信息技术股份有限公司 | 多级跨域访问控制系统及控制方法 |
| CN102938768A (zh) * | 2012-11-13 | 2013-02-20 | 浙江宇视科技有限公司 | 一种漫游用户跨域登陆、跨域进行监控业务的方法和装置 |
| CN103067414A (zh) * | 2013-01-30 | 2013-04-24 | 北京天地互连信息技术有限公司 | 一种解决IMS网络中IPv4过渡到IPv6互通方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101207613B (zh) * | 2006-12-21 | 2012-01-04 | 松下电器产业株式会社 | 跨网域信息通信的认证方法、系统及其装置 |
| JP4081724B1 (ja) * | 2006-12-27 | 2008-04-30 | 日本電気株式会社 | クライアント端末、中継サーバ、通信システム、及び通信方法 |
| US9479339B2 (en) * | 2008-02-29 | 2016-10-25 | Blackberry Limited | Methods and apparatus for use in obtaining a digital certificate for a mobile communication device |
| CN103780618B (zh) * | 2014-01-22 | 2016-11-09 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
| US20170054770A1 (en) * | 2015-08-23 | 2017-02-23 | Tornaditech Llc | Multimedia teleconference streaming architecture between heterogeneous computer systems |
-
2021
- 2021-03-31 CN CN202110346186.6A patent/CN113114644B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761551A (zh) * | 2012-07-09 | 2012-10-31 | 郑州信大捷安信息技术股份有限公司 | 多级跨域访问控制系统及控制方法 |
| CN102938768A (zh) * | 2012-11-13 | 2013-02-20 | 浙江宇视科技有限公司 | 一种漫游用户跨域登陆、跨域进行监控业务的方法和装置 |
| CN103067414A (zh) * | 2013-01-30 | 2013-04-24 | 北京天地互连信息技术有限公司 | 一种解决IMS网络中IPv4过渡到IPv6互通方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113114644A (zh) | 2021-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9537837B2 (en) | Method for ensuring media stream security in IP multimedia sub-system | |
| KR101468784B1 (ko) | 멀티미디어 통신 시스템에서의 보안 키 관리 | |
| KR101013427B1 (ko) | 보이스-오버-ip시스템들에 대한 미디어 스트림 암호화키들의 종단 간 보호 | |
| US8990569B2 (en) | Secure communication session setup | |
| US8301883B2 (en) | Secure key management in conferencing system | |
| US6996716B1 (en) | Dual-tier security architecture for inter-domain environments | |
| Westerlund et al. | Options for securing RTP sessions | |
| JP3943034B2 (ja) | コール処理システムにおけるセキュア・インターネット・プロトコル通信のための方法および装置 | |
| WO2005112338A1 (fr) | Procede de distribution de cles | |
| WO2008040213A1 (fr) | Procédé, système et dispositif de chiffrement et de signature de messages dans un système de communication | |
| Palmieri et al. | Providing true end-to-end security in converged voice over IP infrastructures | |
| CN100544247C (zh) | 安全能力协商方法 | |
| CN113114644B (zh) | 一种基于sip架构的多级跨域对称密钥管理系统 | |
| CN113055398B (zh) | 一种基于sip架构的多级跨域设备证书管理系统 | |
| Floroiu et al. | A comparative analysis of the security aspects of the multimedia key exchange protocols | |
| Vesterinen | User authentication in SIP | |
| La Tour et al. | A secure authentication infrastructure for mobile communication services over the Internet | |
| Bassil et al. | Critical analysis and new perspective for securing Voice Networks | |
| Granda et al. | Security issues in a synchronous e-training platform | |
| Shekokar et al. | A novel approach to avoid billing attack on VoIP system | |
| KR101269828B1 (ko) | 무선통신 서비스를 위한 보안 통화 방법 | |
| Medvinsky | Scalable architecture for VoIP privacy | |
| Westerlund et al. | RFC 7201: Options for Securing RTP Sessions | |
| WO2011017851A1 (zh) | 客户端安全访问消息存储服务器的方法和相关设备 | |
| Bhupathiraju | Security aspects in voice over IP systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |