灵活可控的通话加密方法.pdf

本发明公开了一种灵活可控的通话加密方法，主叫方向SIP服务器发送建立连接的请求消息，该请求消息中携带本次连接的通话内容是否需要加密的标识，若需要加密，SIP服务器通过密码服务器获取随机生成的密钥，并利用通信双方交互的消息将该密钥发送给通信双方，通信双方后续的语音数据利用对称加密算法及该密钥进行加密；若无需加密，SIP服务器直接向被叫方发送建立连接的请求消息。本发明能够简化IP语音加密处理过程，与预先配置固定的密钥相比，不仅省去了配置工作，且每次通信连接的密钥均不相同，即使破解了密钥，也无法获得重新建立连接的通话内容。

权利要求书1.  灵活可控的通话加密方法，其特征在于，主叫方向SIP服务器发送建立连接的请求消息，该请求消息中携带本次连接的通话内容是否需要加密的标识，若需要加密，SIP服务器向通信双方发送随机生成的密钥；若无需加密，SIP服务器直接向被叫方发送建立连接的请求消息。2.  如权利要求1所述的灵活可控的通话加密方法，其特征在于，步骤是：S1：主叫方向SIP服务器发起INVITE消息，该请求消息中携带本次连接的通话内容是否需要进行加密的标识；S2：SIP服务器收到该SIP请求消息后，判断该请求消息中是否携带需要加密的标识，若不存在，SIP服务器直接向被叫方发送INVITE请求消息，不再执行下述步骤；若存在，则执行S3；S3：SIP服务器向密码服务器发送申请动态密钥的请求消息；S4：密码服务器若响应，执行S5，否则SIP服务器向主叫方回复呼叫拒绝的消息，不再执行下述步骤；S5：密码服务器随机生成密钥，并向SIP服务器回复携带该密钥的响应消息；S6：SIP服务器收到该携带密钥的响应消息后，向被叫方发送携带该密钥的INVITE消息；S7：被叫方收到该INVITE消息后，振铃，并向SIP服务器发送振铃消息；S8：SIP服务器收到该振铃消息后，向主叫方发送携带该密钥的振铃消息；S9：主、被叫双方建立连接，主、被叫双方使用相同的加密算法和接收到的密钥对语音数据进行加密。3.  如权利要求2所述的灵活可控的通话加密方法，其特征在于，所述加密标识为请求消息中的扩展消息头P_ENCRYPT字段。4.  如权利要求3所述的灵活可控的通话加密方法，其特征在于，所述加密算法为对称加密算法。

说明书灵活可控的通话加密方法
技术领域
本发明涉及一种灵活可控的通话加密方法，属于信息安全技术领域。
背景技术
SIP(Session Initiation Protocol)是一个会话层的信令控制协议，用于创建、修改和释放一个或多个参与者的会话，如图1所示，两个终端欲发起通话时，主叫方向SIP服务器发起建立连接的SIP请求消息，SIP服务器收到该请求消息后，向被叫方发送建立连接的SIP请求消息，被叫方接受请求，主、被叫双方建立通话连接，主、被叫方交互的语音内容基于RTP实时传输协议，语音数据包被封装成IP包，在IP网络上传输。
由于基于SIP协议实现的通话连接，双方交互的数据包均为明文，因此，通话内容极易在网络上被窃听，存在较大的信息安全隐患；目前已有的通话内容加密方法尚存在以下问题：采用标准的SRTP协议，实现过程比较复杂；在主叫终端和被叫终端上预设相同的密钥，且双方使用相同的加密算法实现，灵活性较差，一旦密钥泄露，后续所有连接的通话内容都可能泄露，补救措施则需要逐一对每个终端修改配置，另外，同一个系统无法同时支持加密和非加密，即无法根据实际使用需要灵活选择通话内容是否需要进行加密。
发明内容
鉴于上述原因，本发明的目的在于提供一种灵活可控的通话加密方法，主叫方可以利用SIP协议的扩展字段灵活选择本次连接的通话内容是否需要加密，若需要加密，SIP服务器将随机生成的密钥发送给主、被叫方；该方法能够简化IP语音加密处理过程，与SRTP协议相比，实现的复杂度大大降低，与预先配置固定的密钥相比，不仅省去了配置工作，且每次通信连接的密钥均不相同，即使破解了密钥，也无法获得重新建立连接的通话内容。
为实现上述目的，本发明采用以下技术方案：
灵活可控的通话加密方法，其特征在于，
主叫方向SIP服务器发送建立连接的请求消息，该请求消息中携带本次连接的通话内容是否需要加密的标识，若需要加密，SIP服务器向通信双方发送随机生成的密钥；若无需加密，SIP服务器直接向被叫方发送建立连接的请求消息。
进一步的，
S1：主叫方向SIP服务器发起INVITE消息，该请求消息中携带本次连接的通话内容是否需要进行加密的标识；
S2：SIP服务器收到该SIP请求消息后，判断该请求消息中是否携带需要加密的标识，若不存在，SIP服务器直接向被叫方发送INVITE请求消息，不再执行下述步骤；若存在，则执行S3；
S3：SIP服务器向密码服务器发送申请动态密钥的请求消息；
S4：密码服务器若响应，执行S5，否则SIP服务器向主叫方回复呼叫拒绝的消息，不再执行下述步骤；
S5：密码服务器随机生成密钥，并向SIP服务器回复携带该密钥的响应消息；
S6：SIP服务器收到该携带密钥的响应消息后，向被叫方发送携带该密钥的INVITE消息；
S7：被叫方收到该INVITE消息后，振铃，并向SIP服务器发送振铃消息；
S8：SIP服务器收到该振铃消息后，向主叫方发送携带该密钥的振铃消息；
S9：主、被叫双方建立连接，主、被叫双方使用相同的加密算法和接收到的密钥对语音数据进行加密。
所述加密标识为请求消息中的扩展消息头P_ENCRYPT字段。
所述加密算法为对称加密算法。
本发明的优点在于，
本发明的灵活可控的通话加密方法，主叫方利用SIP协议的扩展字段灵活选择本次连接的通话内容是否需要加密，若需要加密，SIP服务器通过密钥服务器获取随机生成的密钥，并将该密钥发送给主、被叫双方，通信双方的通话内容通过该密钥及对称加密算法进行加密；本发明的方法能够简化IP语音加密处理过程，与SRTP协议相比，实现的复杂度大大降低，与预先配置固定的密钥相比，不仅省去了配置工作，且每次通信连接的密钥均不相同，即使破解了密钥，也无法获得重新建立连接的通话内容。
附图说明
图1是基于SIP协议的通话系统架构示意图。
图2是本发明的方法流程图。
图3是本发明一具体实施例的消息流向示意图之一；
图4是本发明一具体实施例的消息流向示意图之二。
具体实施方式
以下结合附图和实施例对本发明作进一步详细的描述。
图2是本发明的方法流程图，图3是本发明一具体实施例的消息流向示意图之一，图4是本发明一具体实施例的消息流向示意图之二；如图所示，本发明公开的灵活可控的通话加密方法，步骤是：
S1：主叫方向SIP服务器发起建立连接的SIP请求消息(INVITE消息)，该请求消息中携带本次连接的通话内容是否需要进行加密的标识；
该INVITE消息中若携带扩展的消息头P_ENCRYPT字段，说明本次连接的通话内容需要进行加密，如果没有该扩展字段，则说明本次连接的通话内容无需加密。
S2：SIP服务器收到该SIP请求消息后，判断该请求消息中是否携带P_ENCRYPT字段，若不存在，则执行S10，若存在，则执行S3；
S3：SIP服务器向密码服务器发送申请动态密钥的请求消息；
S4：密码服务器若响应，执行S5，否则执行S11；
S5：密码服务器随机生成密钥，并向SIP服务器回复携带该密钥的响应消息；
S6：SIP服务器收到该携带密钥的响应消息后，向被叫方发送携带该密钥的INVITE消息；
S7：被叫方收到该INVITE消息后，振铃，并向SIP服务器发送振铃消息；
S8：SIP服务器收到该振铃消息后，向主叫方发送携带密钥的振铃消息；
SIP服务器向主、被叫双方发送的密钥均为步骤S5中所述的由密码服务器随机生成的密钥。
S9：主、被叫方通过SIP服务器发送确认连接的消息后，建立连接，主、被叫双方使用相同的加密算法和SIP服务器发送的密钥对语音数据进行加密，加密后的语音数据在IP网络中传输；本方法结束。
主叫方和被叫方配置有相同的对称加密算法，比如DES、3DES等；主叫方利用该加密算法和SIP服务器发送的密钥对语音数据进行加密，并将加密后的语音数据传输给被叫方，被叫方收到该加密后的语音数据后，利用同样的加密算法和SIP服务器发送的密钥进行解密运算，还原语音数据；被叫方向主叫方发送的语音数据处理过程相同。
S10：SIP服务器直接向被叫方发送INVITE请求消息；后续主被叫方的通话连接过程与现有技术相同，本方法结束。
S11：密码服务器未响应，SIP服务器向主叫方回复呼叫拒绝的消息。
当密码服务器故障或网络不可达时，SIP服务器在一定的时间内无法收到密码服务器的响应消息，此时，SIP服务器向主叫方回复呼叫拒绝的消息。此过程与现有技术相同，本方法结束。
本发明的灵活可控的通话加密方法，主叫方利用SIP协议的扩展字段灵活选择本次连接的通话内容是否需要加密，若需要加密，SIP服务器通过密码服务器获取随机生成的密钥，并将该密钥通过双方交互的消息发送给主、被叫双方，后续通信双方的通话内容使用该密钥及预先配置的对称加密算法进行加密。本发明的方法能够简化IP语音加密处理过程，与SRTP协议相比，实现的复杂度大大降低，与预先配置固定的密钥相比，不仅省去了配置工作，且每次通信连接的密钥均不相同，即使破解了密钥，也无法获得重新建立连接的通话内容。
以上所述是本发明的较佳实施例及其所运用的技术原理，对于本领域的技术人员来说，在不背离本发明的精神和范围的情况下，任何基于本发明技术方案基础上的等效变换、简单替换等显而易见的改变，均属于本发明保护范围之内。