CN115208983A - 安全通信方法、装置、计算机设备及存储介质 - Google Patents

安全通信方法、装置、计算机设备及存储介质 Download PDF

Info

Publication number
CN115208983A
CN115208983A CN202210816467.8A CN202210816467A CN115208983A CN 115208983 A CN115208983 A CN 115208983A CN 202210816467 A CN202210816467 A CN 202210816467A CN 115208983 A CN115208983 A CN 115208983A
Authority
CN
China
Prior art keywords
key
channel
terminal
media stream
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210816467.8A
Other languages
English (en)
Inventor
海江
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Grandstream Networks Technologies Co ltd
Original Assignee
Shenzhen Grandstream Networks Technologies Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Grandstream Networks Technologies Co ltd filed Critical Shenzhen Grandstream Networks Technologies Co ltd
Priority to CN202210816467.8A priority Critical patent/CN115208983A/zh
Publication of CN115208983A publication Critical patent/CN115208983A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
    • H04M7/0078Security; Fraud detection; Fraud prevention

Abstract

本申请实施例属于通信领域,涉及一种安全通信方法、装置、计算机设备及存储介质,方法包括:基于预设的密钥协议算法,确定与H.323终端之间的主密钥;对与H.323终端之间所需建立的每个媒体流通道,生成媒体流通道的密钥随机数;根据主密钥对密钥随机数进行加密,得到媒体流通道的通道密钥;生成包含通道密钥的通道开启信令,并将通道开启信令发送至H.323终端,以开启与H.323终端之间的媒体流通道,并将通道密钥发送至H.323终端。本申请实现了H.323终端与SIP主服务器之间点对点的双向安全媒体流通信。

Description

安全通信方法、装置、计算机设备及存储介质
技术领域
本申请涉及通信领域,尤其涉及一种安全通信方法、装置、计算机设备及存储介质。
背景技术
VoIP(Voice over Internet Protocol,基于IP的语音传输)是一种语音通话技术,又称IP电话、互联网电话、宽带电话。它经由网际协议(IP)来达成语音通话与多媒体会议,也就是经由互联网来进行通信。IP电话的实现需要基于相关协议,在国际上,比较有影响的IP电话方面的协议包括H.323协议以及SIP协议。
随着各行业对IP电话的安全越来越重视,安全可靠的H.323呼叫的需求越来越多,在H.323终端对接SIP会议服务器时也需要保证媒体流的安全性。然而,在需要H.323终端与SIP会议服务器实现媒体流直通的场景中,没有完善的标准来协商安全媒体流,使得H.323终端与SIP会议服务器之间点对点的媒体流直通安全性较低。
发明内容
本申请实施例的目的在于提出一种安全通信方法、装置、计算机设备及存储介质,以解决H.323终端与SIP会议服务器之间点对点的媒体流直通安全性较低的问题。
为了解决上述技术问题,本申请实施例提供一种安全通信方法,采用了如下所述的技术方案:
基于预设的密钥协议算法,确定与H.323终端之间的主密钥;
对与所述H.323终端之间所需建立的每个媒体流通道,生成所述媒体流通道的密钥随机数;
根据所述主密钥对所述密钥随机数进行加密,得到所述媒体流通道的通道密钥;
生成包含所述通道密钥的通道开启信令,并将所述通道开启信令发送至所述H.323终端,以开启与所述H.323终端之间的媒体流通道,并将所述通道密钥发送至所述H.323终端。
为了解决上述技术问题,本申请实施例还提供一种安全通信装置,采用了如下所述的技术方案:
主密钥确定模块,用于基于预设的密钥协议算法,确定与H.323终端之间的主密钥;
随机数生成模块,用于对与所述H.323终端之间所需建立的每个媒体流通道,生成所述媒体流通道的密钥随机数;
通道密钥生成模块,用于根据所述主密钥对所述密钥随机数进行加密,得到所述媒体流通道的通道密钥;
通道密钥发送模块,用于生成包含所述通道密钥的通道开启信令,并将所述通道开启信令发送至所述H.323终端,以开启与所述H.323终端之间的媒体流通道,并将所述通道密钥发送至所述H.323终端。
为了解决上述技术问题,本申请实施例还提供一种计算机设备,采用了如下所述的技术方案:
基于预设的密钥协议算法,确定与H.323终端之间的主密钥;
对与所述H.323终端之间所需建立的每个媒体流通道,生成所述媒体流通道的密钥随机数;
根据所述主密钥对所述密钥随机数进行加密,得到所述媒体流通道的通道密钥;
生成包含所述通道密钥的通道开启信令,并将所述通道开启信令发送至所述H.323终端,以开启与所述H.323终端之间的媒体流通道,并将所述通道密钥发送至所述H.323终端。
为了解决上述技术问题,本申请实施例还提供一种计算机可读存储介质,采用了如下所述的技术方案:
基于预设的密钥协议算法,确定与H.323终端之间的主密钥;
对与所述H.323终端之间所需建立的每个媒体流通道,生成所述媒体流通道的密钥随机数;
根据所述主密钥对所述密钥随机数进行加密,得到所述媒体流通道的通道密钥;
生成包含所述通道密钥的通道开启信令,并将所述通道开启信令发送至所述H.323终端,以开启与所述H.323终端之间的媒体流通道,并将所述通道密钥发送至所述H.323终端。
与现有技术相比,本申请实施例主要有以下有益效果:SIP主服务器与H.323终端基于密钥协议算法,可以在确保信息安全的前提下确定主密钥;SIP主服务器与H.323终端可以建立多个媒体流通道,对于每个媒体流通道,可以生成对应的密钥随机数;主密钥为高级密钥,用于对密钥随机数进行加密生成通道密钥;SIP主服务器生成携带有通道密钥的通道开启信令并发送至H.323终端,使得H.323终端也持有通道密钥,并开启SIP主服务器与H.323终端之间的媒体流通道;媒体流信息通过媒体流通道进行传输时,需要根据通道密钥进行加密,从而实现了H.323终端与SIP主服务器之间点对点的双向安全媒体流通信,确保了通信安全。
附图说明
为了更清楚地说明本申请中的方案,下面将对本申请实施例描述中所需要使用的附图作一个简单介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请可以应用于其中的示例性系统架构图;
图2是根据本申请的安全通信方法的一个实施例的流程图;
图3是根据本申请的安全通信方法的一个实施例的时序图;
图4是根据本申请的安全通信装置的一个实施例的结构示意图;
图5是根据本申请的计算机设备的一个实施例的结构示意图。
具体实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
为了使本技术领域的人员更好地理解本申请方案,下面将结合附图,对本申请实施例中的技术方案进行清楚、完整地描述。
如图1所示,系统架构100可以包括H.323终端101、102、103,网络104和SIP主服务器105。网络104用以在H.323终端101、102、103和SIP主服务器之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用H.323终端101、102、103通过网络104与SIP主服务器交互,以接收或发送消息等。H.323终端可以是基于H.323协议通信的终端。
H.323终端101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture ExpertsGroup Audio LayerIII,动态影像专家压缩标准音频层面3)、MP4(Moving PictureExperts Group Audio LayerIV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
SIP主服务器105可以包括PBX服务器与SIP会议服务器。PBX服务器用于协助建立与SIP会议服务器之间点对点的双向安全媒体流通道,SIP会议服务器基于SIP协议运行,可以实现H.323终端之间的IP电话会议。
需要说明的是,本申请实施例所提供的安全通信方法一般由SIP主服务器执行,相应地,安全通信装置一般设置于SIP主服务器中。
应该理解,图1中的H.323终端、网络和SIP主服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的H.323终端、网络和SIP主服务器。
继续参考图2,示出了根据本申请的安全通信方法的一个实施例的流程图。所述的安全通信方法可以应用于SIP主服务器,包括以下步骤:
步骤S201,基于预设的密钥协议算法,确定与H.323终端之间的主密钥。
在本实施例中,安全通信方法运行于其上的电子设备(例如图1所示的SIP主服务器)可以通过有线连接方式或者无线连接方式与H.323终端进行通信。需要指出的是,上述无线连接方式可以包括但不限于3G/4G/5G连接、WiFi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB(ultra wideband)连接、以及其他现在已知或将来开发的无线连接方式。
具体地,H.323终端与SIP主服务器首先通过预设的密钥协议算法,确定H.323终端与SIP主服务器之间的主密钥masterkey。密钥协议算法使得H.323终端与SIP主服务器可以在非安全的信道中安全地交换密钥从而确定主密钥,主密钥用于生成其他密钥,实现通信消息的加密。
步骤S202,对与H.323终端之间所需建立的每个媒体流通道,生成媒体流通道的密钥随机数。
具体地,H.323终端与SIP主服务器之间可以建立多个媒体流通道。媒体流通道是媒体流信息传输的信道。媒体流通道包含至少一种类型,例如,用于传输音频(audio)媒体流的媒体流通道,以及传输视频(vedio)媒体流的媒体流通道。不同的音频媒体流或者视频媒体流可以通过不同的媒体流通道进行传输。
对于H.323终端与SIP主服务器之间所需建立的每个媒体流通道,分别生成每个媒体流通道的密钥随机数。密钥随机数是随机数,通常由SIP主服务器生成,也可以由H.323终端生成。
本申请中可以存在多个H.323终端,每个H.323终端与SIP主服务器单独建立媒体流通道。本申请表述时,以任意一个H.323终端为例进行说明,各H.323终端与SIP主服务器之间的数据交互过程是相同的。
步骤S203,根据主密钥对密钥随机数进行加密,得到媒体流通道的通道密钥。
具体地,根据主密钥masterkey对密钥随机数进行加密,将加密后得到的数据,作为媒体流通道的通道密钥sessionKey。通道密钥用于对需要经过媒体流通道传输的信息进行加密。
可以由SIP主服务器根据主密钥对密钥随机数进行加密,得到通道密钥。
步骤S204,生成包含通道密钥的通道开启信令,并将通道开启信令发送至H.323终端,以开启与H.323终端之间的媒体流通道,并将通道密钥发送至H.323终端。
具体地,SIP主服务器生成通道开启信令,通道开启信令是指示开启H.323终端与SIP主服务器之间媒体流通道的信令,根据该信令,SIP主服务器与H.323终端建立媒体流通道。
SIP主服务器生成的通道开启信令包含了通道密钥,从而在将通道开启信令发送给H.323终端的同时,将通道密钥也发送至H.323终端。后续H.323终端与SIP主服务器通过媒体流通道进行信息传输时,通过通道密钥对需要传输的信息进行加密;另外,本申请中的媒体流通道为双向通信信道;从而实现H.323终端与SIP主服务器之间点对点的双向安全媒体流通信。
本实施例中,SIP主服务器与H.323终端基于密钥协议算法,可以在确保信息安全的前提下确定主密钥;SIP主服务器与H.323终端可以建立多个媒体流通道,对于每个媒体流通道,可以生成对应的密钥随机数;主密钥为高级密钥,用于对密钥随机数进行加密生成通道密钥;SIP主服务器生成携带有通道密钥的通道开启信令并发送至H.323终端,使得H.323终端也持有通道密钥,并开启SIP主服务器与H.323终端之间的媒体流通道;媒体流信息通过媒体流通道进行传输时,需要根据通道密钥进行加密,从而实现了H.323终端与SIP主服务器之间点对点的双向安全媒体流通信,确保了通信安全。
进一步的,SIP主服务器包括PBX服务器和SIP会议服务器,上述步骤S201可以包括:接收H.323终端发送的通道建立请求;通道建立请求基于H225协议生成,用于请求建立H.323终端与SIP会议服务器之间的媒体流通道;PBX服务器从通道建立请求中提取H235协议信息,以获取H235协议信息中的公开参数与第一公开密钥;第一公开密钥由H.323终端基于公开参数计算得到;根据公开参数计算生成第二公开密钥,并根据公开参数和第一公开密钥计算生成第二私密密钥;将第二私密密钥确定为主密钥;PBX服务器将第二公开密钥发送至H.323终端,以指示H.323终端根据公开参数和第二公开密钥计算第一私密密钥;第一私密密钥与第二私密密钥相同,为H.323终端侧的主密钥。
具体地,SIP主服务器可以包括PBX服务器与SIP会议服务器。本申请中的H.323终端可以实现IP电话会议,电话会议的实现需要SIP会议服务器的参与。PBX服务器用于协助建立H.323终端与SIP会议服务器之间点对点的双向安全媒体流通道,SIP会议服务器基于SIP协议运行,用于实现H.323终端之间的IP电话会议。
本申请中的密钥协议算法可以为Diffie-Hellman密钥交换算法。Deffie-Hellman(简称DH)密钥交换是最早的密钥交换算法之一,它使得通信双方能在非安全的信道中安全地交换密钥,用于加密后续的通信消息。Whitfield Diffie和Martin Hellman于1976提出该算法,之后被应用于安全领域,比如Https协议的TLS(Transport Layer Security)和IPsec协议的IKE(Internet Key Exchange)均以DH算法作为密钥交换算法。
H.323终端首先基于H225协议与PBX服务器进行通信。H.323终端可以作为主叫,根据H225协议生成通道建立请求,并将通道建立请求发送至SIP主服务器中的PBX服务器。通道建立请求可以视为H.323终端请求建立与SIP主服务器之间初始的信道。在一个实施例中,该初始的信道可以是H245(H.245)控制信道。H225协议(又可写作H.225协议)为呼叫信令协议,是H.323协议的核心协议之一,主要实现用户呼叫控制。在任何呼叫开始之前,首先在端点之间建立呼叫联系,同时建立H.245控制信道,这是H225呼叫信令协议的主要功能。H.323终端与SIP主服务器之间初始的信道是为后续的媒体流通道做准备,因此,通道建立请求也可以视为建立媒体流通道的请求。
H.323终端可以生成两个全局的公开参数,一个素数q和一个整数a,其中,a是q的一个原根。H.323终端选择一个作为私密密钥的随机数XA(XA<q),并计算第一公开密钥YA=aXAmodq,其中,mod表示取余运算。公开参数与第一公开密钥作为H235协议信息,被添加到通道建立请求中。H235协议是H323协议中有关安全方面的协议。
PBX服务器从接收到的通道建立请求中提取H235协议信息,以获取公开参数和第一公开密钥。然后,PBX服务器选择一个作为私密密钥的随机数BX(XB<q),并计算第二公开密钥YB=aXBmodq。
PBX服务器再根据公开参数q、第一公开密钥YA和随机数BX计算第二私密密钥K2=(YA)XBmodq,计算出的第二私密密钥即为PBX服务器侧的主密钥。
PBX服务器将第二公开密钥发送至H.323终端,H.323终端根据公开参数q、第二公开密钥YB和随机数XA计算第一私密密钥K1=(YB)XAmodq。第一私密密钥即为H.323终端侧的主密钥。根据取模运算规则,第一私密密钥与第二私密密钥的值相同,即H.323终端与PBX服务器完成了一个相同的私密密钥的交换。
进一步的,上述PBX服务器从通道建立请求中提取H235协议信息,以获取H235协议信息中的公开参数与第一公开密钥的步骤可以包括:PBX服务器将通道建立请求发送至SIP会议服务器;当PBX服务器接收到SIP会议服务器返回的请求确认信息时,PBX服务器从通道建立请求中提取H235协议信息,以获取H235协议信息中的公开参数与第一公开密钥。
具体地,PBX服务器接收到H.323终端的通道建立请求后,将通道建立请求发送至SIP会议服务器。通道建立请求也是请求SIP会议服务器参与IP电话会议的请求。SIP会议服务器接收到通道建立请求后,生成请求确认信息并发送至PBX服务器,例如,SIP会议服务器可以将消息“200OK”作为请求确认信息并将其发送至PBX服务器。PBX服务器接收到请求确认信息后,从通道建立请求中提取H235协议信息,以获取H235协议信息中的公开参数与第一公开密钥。
在一个实施例中,PBX服务器接收到通道建立请求后,可以立即从通道建立请求中获取H235协议信息。然后将通道建立请求发送至SIP会议服务器,在接收到SIP会议服务器的请求确认信息后,再生成被叫方的第二公开密钥。
本实施例中,将通道建立请求发送至SIP会议服务器并接收SIP会议服务器的请求确认信息,使得SIP会议服务器会加入后续进行的IP电话会议。
H.323终端与PBX服务器、SIP会议服务器确定主密钥的过程基于H225协议实现,为本申请的H225.0阶段。
本实施例中,H.323终端与PBX服务器基于H225协议以及Diffie-Hellman密钥交换算法,实现了主密钥的确定。
进一步的,上述步骤S202可以包括:基于H245协议,与H.323终端确定控制端;当SIP主服务器为控制端时,对与H.323终端之间所需建立的每个媒体流通道,生成媒体流通道的密钥随机数。
具体地,确定主密钥之后进入H245阶段,在此阶段H.323终端与SIP主服务器基于H245协议确定各媒体流通道的通道密钥。
H245协议(或者写为H.245协议)是H323协议中的控制信令协议,可以对信道相关的信息进行控制。基于H245协议,H.323终端与SIP主服务器需要经历能力交换(CapabilityExchange)、主从确定阶段(Master/Slave)以及信道开启(OpenLogic Channel)等阶段。其中,在主从确定阶段,H.323终端与SIP主服务器之间需要确定控制端即Master端,另一端作为从属端即Slave端。
通常,可以预先对SIP主服务器中的PBX服务器相关参数进行设置,以便由服务器作为控制端。当SIP主服务器中的PBX服务器担任控制端时,由PBX服务器分别为每个需要建立的媒体流通道生成对应的密钥随机数。
在一个实施例中,PBX服务器在信道开启(Open Logic Channel)阶段生成OLC信令,即通道开启信令,该信令中包含了各媒体流通道的通道密钥。
本实施例中,基于H245协议确定SIP主服务器为控制端时,可以由SIP主服务器为每个媒体流通道生成密钥随机数,以便后续生成各媒体流通道的通道密钥。
进一步的,上述步骤S204之后,还可以包括:生成包含通道密钥的会话描述信息;基于会话描述信息生成确认信息;通过PBX服务器将确认信息发送至SIP会议服务器。
具体地,SIP主服务器生成的通道密钥存在于PBX服务器中。由于在根据媒体流通道进行信息传输时,PBX服务器可以不再参与,信息传输存在于H.323终端与SIP会议服务器之间,因此,还需要由PBX服务器将通道密钥发送至SIP会议服务器。
PBX服务器生成会话描述信息。这里的会话描述信息即会话描述协议SDP(SessionDescription Protocol),它其实是一种数据格式,用于描述多媒体连接内容,例如分辨率、格式、编码和加密算法等。会话描述信息中具有各媒体流通道所对应的a=h235key,即各媒体流通道base64格式的通道密钥。
然后根据会话描述信息生成确认信息,由于PBX服务器与SIP会议服务器之间确认信息(Acknowledge,ACK)是在PBX服务器与H.323终端通信之后生成,因此,PBX服务器可以生成延迟确认信息(Delayed ACK),然后将延迟确认信息发送给SIP会议服务器,从而确保后续SIP会议服务器可以实现安全通信。
本实施例中,将通道密钥包含在确认信息中发送给SIP会议服务器,使得SIP会议服务器在后续可以实现安全通信。
进一步的,上述通过PBX服务器将确认信息发送至SIP会议服务器的步骤之后,还可以包括:通过SIP会议服务器获取待发送信息,并根据通道密钥对待发送信息进行加密得到已加密信息;基于媒体流通道,将已加密信息发送至H.323终端。
具体地,在建立媒体流通道后,如果SIP会议服务器有需要发送给H.323终端的未加密的待发送信息,可以根据传输待发送信息所需媒体流通道的通道密钥,对待发送信息进行加密得到已加密信息,然后通过该媒体流通道将已加密信息发送给相应的H.323终端,确保通信安全。例如,待发送信息为音频,有两条传输音频的媒体流通道;根据设置信息该待发送信息需要通过第一条传输音频的媒体流通道a进行传输,则获取媒体流通道a的通道密钥ak,根据通道密钥ak对待发送信息进行加密得到已加密信息。
在一个实施例中,通道密钥为对称密钥,采用的算法为AES-128-CBC分组对称加密算法。
本实施例中,根据通道密钥对待发送信息进行加密得到已加密信息,从而确保将已加密信息发送给H.323终端时的安全。
进一步的,上述步骤S204之后,还可以包括:通过SIP会议服务器接收H.323终端发送的媒体流信息。媒体流信息由H.323终端根据通道密钥对初始媒体流信息加密得到;确认媒体流信息所对应的H.323接收终端;通过SIP会议服务器将媒体流信息发送至H.323接收终端。
具体地,在进行IP电话会议时,H.323终端获取初始媒体流信息,例如采集到的音频或者视频,根据相应的通道密钥对初始媒体流信息进行加密得到媒体流信息,然后通过媒体流通道将媒体流信息发送给SIP会议服务器。
与SIP会议服务器相连的H.323终端可以有多个,对于其中一个H.323终端发送来的媒体流信息,SIP会议服务器需要将其转发至其他与会的H.323终端,即H.323接收终端;或者,SIP会议服务器从媒体流信息中提取接收终端标识,根据接收终端标识确定哪些H.323终端为该媒体流信息的H.323接收终端。然后SIP会议服务器将媒体流信息发送给确定的H.323接收终端,实现安全的媒体流通信以及安全的IP电话会议。
本实施例中,SIP会议服务器接收到经过通道密钥加密的媒体流信息后,确定H.323接收终端,然后将媒体流信息发送给H.323接收终端,实现了与H.323终端之间安全的媒体流通信,并实现了安全的IP电话会议。
如图3所示为一个实施例中安全通信方法的时序图,图3中包括:H.323终端、PBX服务器和SIP会议服务器,其中,PBX服务器和SIP会议服务器构成SIP主服务器。在H225.0阶段,H.323终端向PBX服务器发送通道建立请求,通道建立请求中携带有主叫方H.323终端相关的H235协议信息。PBX服务器将通道建立请求发送至SIP会议服务器,通道建立请求对于SIP会议服务器也是与会请求,向PBX服务器返回请求确认信息。通道建立请求中的H235协议信息包含公开参数和H.323终端生成的第一公开密钥,PBX服务器根据公开参数计算第二公开密钥,并根据公开参数和第一公开密钥计算第二私密密钥;PBX服务器生成SIP会议服务器侧的H235协议信息,其中包含了第二公开密钥。H.323终端可以根据接收到的H235协议信息中的第二公开密钥计算第一私密密钥。第一私密密钥与第二私密密钥相同,为H.323终端与PBX服务器确定的主密钥。
然后进入H245阶段,H.323终端与PBX服务器进行能力交换(CapabilityExchange)、主从确定阶段(Master/Slave)以及信道开启(Open Logic Channel)阶段。在主从确定阶段,由PBX服务器作为控制端生成各媒体流通道的密钥随机数,并通过主密钥对密钥随机数进行加密得到各媒体流通道的通道密钥。PBX服务器将携带有通道密钥的通道开启信令(OLC信令)发送给H.323终端,开启SIP会议服务器与H.323终端之间的媒体流通道,同时将通道密钥发送给H.323终端。
PBX服务器生成会话描述协议SDP,SDP中包括各媒体流通道所对应的a=h235key,即各媒体流通道base64格式的通道密钥。然后再生成携带有会话描述协议SDP的延迟确认信息Delayed ACK,将延迟确认信息发送给SIP会议服务器,从而将通道密钥发送给SIP会议服务器。通道密钥可以为对称密钥,采用的算法为AES-128-CBC分组对称加密算法。
到此,H.323终端与SIP会议服务器之间建立媒体流通道,并确定了媒体流通道的通道密钥,在进行通信时,根据通道密钥对数据加密,从而实现H.323终端与SIP主服务器之间点对点的双向安全媒体流通信,确保了通信安全。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机可读指令来指令相关的硬件来完成,该计算机可读指令可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
进一步参考图4,作为对上述图2所示方法的实现,本申请提供了一种安全通信装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图4所示,本实施例所述的安全通信装置300包括:主密钥确定模块301、随机数生成模块302、通道密钥生成模块303以及通道密钥发送模块304,其中:
主密钥确定模块301,用于基于预设的密钥协议算法,确定与H.323终端之间的主密钥。
随机数生成模块302,用于对与H.323终端之间所需建立的每个媒体流通道,生成媒体流通道的密钥随机数。
通道密钥生成模块303,用于根据主密钥对密钥随机数进行加密,得到媒体流通道的通道密钥。
通道密钥发送模块304,用于生成包含通道密钥的通道开启信令,并将通道开启信令发送至H.323终端,以开启与H.323终端之间的媒体流通道,并将通道密钥发送至H.323终端。
本实施例中,SIP主服务器与H.323终端基于密钥协议算法,可以在确保信息安全的前提下确定主密钥;SIP主服务器与H.323终端可以建立多个媒体流通道,对于每个媒体流通道,可以生成对应的密钥随机数;主密钥为高级密钥,用于对密钥随机数进行加密生成通道密钥;SIP主服务器生成携带有通道密钥的通道开启信令并发送至H.323终端,使得H.323终端也持有通道密钥,并开启SIP主服务器与H.323终端之间的媒体流通道;媒体流信息通过媒体流通道进行传输时,需要根据通道密钥进行加密,从而实现了H.323终端与SIP主服务器之间点对点的双向安全媒体流通信,确保了通信安全。
在本实施例的一些可选的实现方式中,SIP主服务器包括PBX服务器和SIP会议服务器,上述主密钥确定模块301可以包括:请求接收子模块、信息提取子模块、密钥计算子模块、密钥确定子模块以及密钥发送子模块,其中:
请求接收子模块,用于接收H.323终端发送的通道建立请求;通道建立请求基于H225协议生成,用于请求建立H.323终端与SIP会议服务器之间的媒体流通道。
信息提取子模块,用于PBX服务器从通道建立请求中提取H235协议信息,以获取H235协议信息中的公开参数与第一公开密钥;第一公开密钥由H.323终端基于公开参数计算得到。
密钥计算子模块,用于根据公开参数计算生成第二公开密钥,并根据公开参数和第一公开密钥计算生成第二私密密钥。
密钥确定子模块,用于将第二私密密钥确定为主密钥。
密钥发送子模块,用于PBX服务器将第二公开密钥发送至H.323终端,以指示H.323终端根据公开参数和第二公开密钥计算第一私密密钥;第一私密密钥与第二私密密钥相同,为H.323终端侧的主密钥。
本实施例中,H.323终端与PBX服务器基于H225协议以及Diffie-Hellman密钥交换算法,实现了主密钥的确定。
在本实施例的一些可选的实现方式中,上述信息提取子模块可以包括:发送单元以及提取单元,其中:
发送单元,用于通过PBX服务器将通道建立请求发送至SIP会议服务器。
提取单元,用于当PBX服务器接收到SIP会议服务器返回的请求确认信息时,通过PBX服务器从通道建立请求中提取H235协议信息,以获取H235协议信息中的公开参数与第一公开密钥。
本实施例中,将通道建立请求发送至SIP会议服务器并接收SIP会议服务器的请求确认信息,使得SIP会议服务器会加入后续进行的IP电话会议。
在本实施例的一些可选的实现方式中,随机数生成模块302可以包括:控制端确定子模块以及随机数生成子模块,其中:
控制端确定子模块,用于基于H245协议,与H.323终端确定控制端。
随机数生成子模块,用于当SIP主服务器为控制端时,对与H.323终端之间所需建立的每个媒体流通道,生成媒体流通道的密钥随机数。
本实施例中,基于H245协议确定SIP主服务器为控制端时,可以由SIP主服务器为每个媒体流通道生成密钥随机数,以便后续生成各媒体流通道的通道密钥。
在本实施例的一些可选的实现方式中,安全通信装置300还可以包括:描述生成模块、确认生成模块以及确认发送模块,其中:
描述生成模块,用于生成包含通道密钥的会话描述信息。
确认生成模块,用于基于会话描述信息生成确认信息。
确认发送模块,用于通过PBX服务器将确认信息发送至SIP会议服务器。
本实施例中,将通道密钥包含在确认信息中发送给SIP会议服务器,使得SIP会议服务器在后续可以实现安全通信。
在本实施例的一些可选的实现方式中,安全通信装置300还可以包括:信息加密模块以及加密发送模块,其中:
信息加密模块,用于通过SIP会议服务器获取待发送信息,并根据通道密钥对待发送信息进行加密得到已加密信息。
加密发送模块,用于基于媒体流通道,将已加密信息发送至H.323终端。
本实施例中,根据通道密钥对待发送信息进行加密得到已加密信息,从而确保将已加密信息发送给H.323终端时的安全。
在本实施例的一些可选的实现方式中,安全通信装置300还可以包括:信息接收模块、终端确认模块以及信息发送模块,其中:
信息接收模块,用于通过SIP会议服务器接收H.323终端发送的媒体流信息。媒体流信息由H.323终端根据通道密钥对初始媒体流信息加密得到。
终端确认模块,用于确认媒体流信息所对应的H.323接收终端。
信息发送模块,用于通过SIP会议服务器将媒体流信息发送至H.323接收终端。
本实施例中,SIP会议服务器接收到经过通道密钥加密的媒体流信息后,确定H.323接收终端,然后将媒体流信息发送给H.323接收终端,实现了与H.323终端之间安全的媒体流通信,并实现了安全的IP电话会议。
为解决上述技术问题,本申请实施例还提供计算机设备。具体请参阅图4,图4为本实施例计算机设备基本结构框图。
所述计算机设备4包括通过系统总线相互通信连接存储器41、处理器42、网络接口43。需要指出的是,图中仅示出了具有组件41-43的计算机设备4,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable GateArray,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
所述存储器41至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器41可以是所述计算机设备4的内部存储单元,例如该计算机设备4的硬盘或内存。在另一些实施例中,所述存储器41也可以是所述计算机设备4的外部存储设备,例如该计算机设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(FlashCard)等。当然,所述存储器41还可以既包括所述计算机设备4的内部存储单元也包括其外部存储设备。本实施例中,所述存储器41通常用于存储安装于所述计算机设备4的操作系统和各类应用软件,例如安全通信方法的计算机可读指令等。此外,所述存储器41还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器42在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器42通常用于控制所述计算机设备4的总体操作。本实施例中,所述处理器42用于运行所述存储器41中存储的计算机可读指令或者处理数据,例如运行所述安全通信方法的计算机可读指令。
所述网络接口43可包括无线网络接口或有线网络接口,该网络接口43通常用于在所述计算机设备4与其他电子设备之间建立通信连接。
本实施例中提供的计算机设备可以执行上述安全通信方法。此处安全通信方法可以是上述各个实施例的安全通信方法。
本实施例中,SIP主服务器与H.323终端基于密钥协议算法,可以在确保信息安全的前提下确定主密钥;SIP主服务器与H.323终端可以建立多个媒体流通道,对于每个媒体流通道,可以生成对应的密钥随机数;主密钥为高级密钥,用于对密钥随机数进行加密生成通道密钥;SIP主服务器生成携带有通道密钥的通道开启信令并发送至H.323终端,使得H.323终端也持有通道密钥,并开启SIP主服务器与H.323终端之间的媒体流通道;媒体流信息通过媒体流通道进行传输时,需要根据通道密钥进行加密,从而实现了H.323终端与SIP主服务器之间点对点的双向安全媒体流通信,确保了通信安全。
本申请还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可读指令,所述计算机可读指令可被至少一个处理器执行,以使所述至少一个处理器执行如上述的安全通信方法的步骤。
本实施例中,SIP主服务器与H.323终端基于密钥协议算法,可以在确保信息安全的前提下确定主密钥;SIP主服务器与H.323终端可以建立多个媒体流通道,对于每个媒体流通道,可以生成对应的密钥随机数;主密钥为高级密钥,用于对密钥随机数进行加密生成通道密钥;SIP主服务器生成携带有通道密钥的通道开启信令并发送至H.323终端,使得H.323终端也持有通道密钥,并开启SIP主服务器与H.323终端之间的媒体流通道;媒体流信息通过媒体流通道进行传输时,需要根据通道密钥进行加密,从而实现了H.323终端与SIP主服务器之间点对点的双向安全媒体流通信,确保了通信安全。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
显然,以上所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例,附图中给出了本申请的较佳实施例,但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现,相反地,提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本申请专利保护范围之内。

Claims (10)

1.一种安全通信方法,应用于SIP主服务器,其特征在于,包括下述步骤:
基于预设的密钥协议算法,确定与H.323终端之间的主密钥;
对与所述H.323终端之间所需建立的每个媒体流通道,生成所述媒体流通道的密钥随机数;
根据所述主密钥对所述密钥随机数进行加密,得到所述媒体流通道的通道密钥;
生成包含所述通道密钥的通道开启信令,并将所述通道开启信令发送至所述H.323终端,以开启与所述H.323终端之间的媒体流通道,并将所述通道密钥发送至所述H.323终端。
2.根据权利要求1所述的安全通信方法,其特征在于,所述SIP主服务器包括PBX服务器和SIP会议服务器,所述基于预设的密钥协议算法,确定与H.323终端之间的主密钥的步骤包括:
接收H.323终端发送的通道建立请求;所述通道建立请求基于H225协议生成,用于请求建立所述H.323终端与所述SIP会议服务器之间的媒体流通道;
所述PBX服务器从所述通道建立请求中提取H235协议信息,以获取所述H235协议信息中的公开参数与第一公开密钥;所述第一公开密钥由所述H.323终端基于所述公开参数计算得到;
根据所述公开参数计算生成第二公开密钥,并根据所述公开参数和所述第一公开密钥计算生成第二私密密钥;
将所述第二私密密钥确定为主密钥;
所述PBX服务器将所述第二公开密钥发送至所述H.323终端,以指示所述H.323终端根据所述公开参数和所述第二公开密钥计算第一私密密钥;所述第一私密密钥与所述第二私密密钥相同,为所述H.323终端侧的主密钥。
3.根据权利要求2所述的安全通信方法,其特征在于,所述PBX服务器从所述通道建立请求中提取H235协议信息,以获取所述H235协议信息中的公开参数与第一公开密钥的步骤包括:
所述PBX服务器将所述通道建立请求发送至所述SIP会议服务器;
当所述PBX服务器接收到所述SIP会议服务器返回的请求确认信息时,所述PBX服务器从所述通道建立请求中提取H235协议信息,以获取所述H235协议信息中的公开参数与第一公开密钥。
4.根据权利要求1所述的安全通信方法,其特征在于,所述对与所述H.323终端之间所需建立的每个媒体流通道,生成所述媒体流通道的密钥随机数的步骤包括:
基于H245协议,与所述H.323终端确定控制端;
当所述SIP主服务器为控制端时,对与所述H.323终端之间所需建立的每个媒体流通道,生成所述媒体流通道的密钥随机数。
5.根据权利要求2所述的安全通信方法,其特征在于,所述生成包含所述通道密钥的通道开启信令,并将所述通道开启信令发送至所述H.323终端,以开启与所述H.323终端之间的媒体流通道,并将所述通道密钥发送至所述H.323终端的步骤之后,还包括:
生成包含所述通道密钥的会话描述信息;
基于所述会话描述信息生成确认信息;
通过所述PBX服务器将所述确认信息发送至所述SIP会议服务器。
6.根据权利要求5所述的安全通信方法,其特征在于,在所述通过所述PBX服务器将所述确认信息发送至所述SIP会议服务器的步骤之后,还包括:
通过所述SIP会议服务器获取待发送信息,并根据所述通道密钥对所述待发送信息进行加密得到已加密信息;
基于所述媒体流通道,将所述已加密信息发送至所述H.323终端。
7.根据权利要求2所述的安全通信方法,其特征在于,在所述生成包含所述通道密钥的通道开启信令,并将所述通道开启信令发送至所述H.323终端,以开启与所述H.323终端之间的媒体流通道,并将所述通道密钥发送至所述H.323终端的步骤之后,还包括:
通过所述SIP会议服务器接收所述H.323终端发送的媒体流信息;所述媒体流信息由所述H.323终端根据所述通道密钥对初始媒体流信息加密得到;
确认所述媒体流信息所对应的H.323接收终端;
通过所述SIP会议服务器将所述媒体流信息发送至所述H.323接收终端。
8.一种安全通信装置,其特征在于,包括:
主密钥确定模块,用于基于预设的密钥协议算法,确定与H.323终端之间的主密钥;
随机数生成模块,用于对与所述H.323终端之间所需建立的每个媒体流通道,生成所述媒体流通道的密钥随机数;
通道密钥生成模块,用于根据所述主密钥对所述密钥随机数进行加密,得到所述媒体流通道的通道密钥;
通道密钥发送模块,用于生成包含所述通道密钥的通道开启信令,并将所述通道开启信令发送至所述H.323终端,以开启与所述H.323终端之间的媒体流通道,并将所述通道密钥发送至所述H.323终端。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述处理器执行所述计算机可读指令时实现如权利要求1至7中任一项所述的安全通信方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如权利要求1至7中任一项所述的安全通信方法的步骤。
CN202210816467.8A 2022-07-12 2022-07-12 安全通信方法、装置、计算机设备及存储介质 Pending CN115208983A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210816467.8A CN115208983A (zh) 2022-07-12 2022-07-12 安全通信方法、装置、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210816467.8A CN115208983A (zh) 2022-07-12 2022-07-12 安全通信方法、装置、计算机设备及存储介质

Publications (1)

Publication Number Publication Date
CN115208983A true CN115208983A (zh) 2022-10-18

Family

ID=83579371

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210816467.8A Pending CN115208983A (zh) 2022-07-12 2022-07-12 安全通信方法、装置、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN115208983A (zh)

Similar Documents

Publication Publication Date Title
US7464267B2 (en) System and method for secure transmission of RTP packets
US8588746B2 (en) Technique for bypassing an IP PBX
JP4401849B2 (ja) 2次チャンネルを確立するシステム及び方法
US20150082021A1 (en) Mobile proxy for webrtc interoperability
US7764945B2 (en) Method and apparatus for token distribution in session for future polling or subscription
CN112737774B (zh) 网络会议中的数据传输方法、装置及存储介质
US9736194B1 (en) System for establishing communication between devices
CN103974241A (zh) 一种面向Android系统移动终端的语音端到端加密方法
US9363034B2 (en) Method to encrypt information that is transferred between two communication units
CN104618387B (zh) 将sip信令用于量子安全通信系统的方法、综合接入量子网关及系统
CN106936788A (zh) 一种适用于voip语音加密的密钥分发方法
CN114630290A (zh) 语音加密通话的密钥协商方法、装置、设备及存储介质
CN102594794B (zh) 一种媒体加密会议的接入方法及装置
CN101547269A (zh) 呼叫控制方法和语音终端
CN114866234B (zh) 基于量子密钥加解密的语音通信方法、装置、设备及存储
CN107846567A (zh) 一种srtp能力协商方法及会议终端
CN101222612A (zh) 一种安全传输媒体流的方法和系统
CN107395552A (zh) 一种数据传输方法及装置
CN115208983A (zh) 安全通信方法、装置、计算机设备及存储介质
CN108270717B (zh) VoIP通信方法、设备及通信系统
CN109889763A (zh) 会议电视系统的呼叫建立方法、装置及存储介质
KR101210938B1 (ko) 암호 통신 방법 및 이를 이용한 암호 통신 시스템
CN108696512B (zh) 跨协议的码流加密协商方法、装置及会议设备
US11362812B2 (en) Method of end to end securing of a communication
TWI725636B (zh) VoIP端對端語音加密通訊方法、系統與電腦可讀儲存媒介

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination