VoIP語音加密保護方法、節點及系統的製作方法

2023-05-12 00:49:41 1

專利名稱：VoIP語音加密保護方法、節點及系統的製作方法
技術領域：
本發明涉及通信領域中核心網中的網絡電話(Voice over InternetProtocol，以 下簡稱VoIP)技術，具體地，涉及一種VoIP語音加密保護方法、節點及系統。
背景技術：
現有技術中，為保證語音通話的安全，一般使用以下三種方式3G網絡中，用戶數 據受機密性保護，對網絡實體之間的通信採用安全保護措施。即時通信軟體，如「Skype」、 「QQ」等基本上都是採用端到端加密的方式來保證通信的機密性和安全。傳統的VoIP協議 也提供了相應的安全機制，如H. 323的協議簇及SIP協議提供端到端的安全保護。分布式業務網絡(Distributed Service Network，簡稱DSN)是中國移動針對電信 業務和移動網際網路業務所提出的新一代可運營、可管理的分布式核心網體系。DSN主要用於 應對目前電信網和網際網路(Internet)在業務和運營上所面臨的一些挑戰，吸取可運營、可 管理的特性和Internet在業務提供上的快速、靈活、可擴展等特點，採用如P2P等技術來驅 動網絡架構的演進發展。如圖1所示，在DSN網絡中，如果用戶終端(User Equipment，簡稱UE)A和UEb通 過端到端加密並傳送會話信息，則由於經過的中繼節點並不可靠，其負責轉發用戶會話信 息時，用戶通話內容有可能被破壞、竊聽、甚至被錄音。現有的VoIP協議雖然也提供了相應的安全機制，即端到端的算法保護或者是利 用每一跳鏈路間進行保護，但是端到端的算法保護使得合法監聽需求無法被滿足，而利用 每一跳鏈路間的加密保護則會導致每一跳的中繼節點可以獲得這些通話信息的原始明文 信息。如果將現有的VoIP機制簡單用到DSN網絡，則不能滿足DSN網絡中的VoIP通話特 徵，即無法滿足核心網對VoIP會話的控制需求，並且無法保證用戶會話信息的安全性。

發明內容
本發明的第一目的是提出一種VoIP語音加密保護方法，以實現提高DSN網絡中通 話的安全性。本發明的第二目的是提出一種核心超級節點，以實現DSN網絡中保證語音數據的 安全性。本發明的第三目的是提出一種VoIP語音加密系統，以實現DSN網絡中VoIP的數 據安全。為實現上述第一目的，根據本發明的一個方面，提供了一種VoIP語音加密保護方 法，包括通話雙方的核心超級節點分別生成隨機數；通話雙方的其中一核心超級節點根 據通話雙方分別使用的加密算法中選取一共同使用的加密算法；通話雙方的核心超級節點 根據選取的加密算法以及生成的兩個隨機數，生成網絡協商密鑰；通話雙方根據網絡協商 密鑰對通話數據進行加密。為實現上述第二目的，根據本發明的另一個方面，提供了一種核心超級節點，包括接收單元，用於接收通話發起方的會話請求，並發送加密請求至通話接收方對應的超級 節點，接收該超級節點反饋的通話接收方所能使用的加密算法信息以及第一隨機數信息； 選取單元，用於從通話發起方和接收方所使用的加密算法中選取一共同使用的加密算法； 生成單元，用於生成第二隨機數信息，並根據共同使用的加密算法、第一隨機數和第二隨機 數，生成所述通話雙方的網絡協商密鑰。為實現上述第三目的，根據本發明的另一個方面，提供了一種VoIP語音加密保護 系統，包括通話發起方，用於發送附帶其所能使用的加密算法的會話請求，接收網絡協商密 鑰並確認；第一核心超級節點，用於接收會話請求，並向第二核心超級節點發送語音加密請 求，並接收第二核心超級節點的反饋，生成第二隨機數；從通話雙方分別使用的加密算法中 選取一共同使用的加密算法，並根據選取的加密算法以及第一和第二隨機數，生成上述網 絡協商密鑰；第二核心超級節點，用於向通話接收方轉發所述加密請求，並接收通話接收方的 反饋，生成第一隨機數；轉發第一核心超級節點的上述網絡協商密鑰以及接收方的反饋；通話接收方，用於根據上述加密請求反饋其所能使用的加密算法信息；接收第二 核心超級節點的網絡協商密鑰並返回確認信息。本發明各實施例的VoIP語音加密保護方法、節點和系統，由於對VoIP業務中的 語音數據採用網絡協商密鑰，用戶終端根據該網絡協商密鑰進行端到端的加密提供保護， 從而保證語音數據的安全性，使得中繼節點並不知道用戶會話數據的密鑰，並同時在核心 網處保留通話所需的加密密鑰和算法，從而進一步為滿足合法監聽的要求提供了有力的支持。下面通過附圖和實施例，對本發明的技術方案做進一步的詳細描述。


附圖用來提供對本發明的進一步理解，並且構成說明書的一部分，與本發明的實 施例一起用於解釋本發明，並不構成對本發明的限制。在附圖中圖1為本發明VoIP語音加密保護的DSN網絡應用場景示意圖；圖2為根據本發明VoIP語音加密保護方法實施例一流程圖；圖3為根據本發明VoIP語音加密保護方法實施例二信令流程圖；圖4為根據本發明核心超級節點實施例結構示意圖；圖5為根據本發明VoIP語音加密保護系統實施例示意圖。
具體實施例方式以下結合附圖對本發明的優選實施例進行說明，應當理解，此處所描述的優選實 施例僅用於說明和解釋本發明，並不用於限定本發明。圖1為本發明VoIP語音加密保護的DSN網絡應用場景實施例示意圖。如圖1所示， 其中 SN-Ca、SN-Cb、. . .、SN-Ci^SN-Chb 等均為核心超級節點(Super Node Core，簡稱 SN-C)。 UE作為與SN-C組成的核心網絡相連的終端節點，周期性向超級節點(SN)報告自身狀態信息，實現終端節點之間的資源共享；部分終端還可以實現網絡地址轉換(Network Address Translation，簡稱NAT)伺服器功能，由SN-C選定為內網用戶提供穿越服務，當終端執行此 功能時，被稱之為中繼節點(Relay Node，簡稱RN)。DSN網絡中VoIP業務應用場景如圖1 所示，用戶UEa以手機終端接入DSN網絡，並使用VoIP業務與用戶UEb通話，本發明的語音 加密保護方法使得認證與鑑權後，UEa與其SN接入點SN-Ca可以彼此共享機密性密鑰CKa ； UEb與其SN接入點SN-Cb彼此共享機密性密鑰CKB。UEa與UEb之間的通話可以通過中繼節 點進行中轉，以滿足NAT穿越，降低會話延時的要求。因此，中繼節點就不知道核心網對兩 端用戶協商的密鑰，從而對UEa與UEb之間的通訊提供加密保護，提高了會話的安全性。下 面通過圖2-圖5對本發明的方法、節點和系統進行詳細舉例說明。圖2為根據本發明VoIP語音加密保護方法實施例一流程圖，如圖2所示，本實施 例包括步驟S202 通話雙方的核心超級節點生成網絡協商密鑰，具體的可以包括通話雙方的核心超級節點分別生成隨機數；通話雙方的其中一核心超級節點根據通話雙方分別使用的加密算法中選取一共 同使用的加密算法；通話雙方的核心超級節點根據選取的所述加密算法以及生成的兩個隨機數，生成 網絡協商密鑰；具體生成網絡協商密鑰的過程的可參見後面的圖3實施例；步驟S204 通話雙方根據該網絡協商密鑰對通話數據進行加密；步驟S206 通話雙方通過一中繼節點進行通話數據通信。本實施對VoIP業務中的語音數據採用網絡協商密鑰，用戶進行端到端的加密方 式從而保證語音數據的安全性，中繼節點並不知道用戶會話數據的密鑰，因此，本實施例提 供的DSN下的VoIP語音加密保護方法可以更有效的防止語音數據經不可靠中繼節點轉發 引起的安全威脅。由於還可以同時在核心網處保留通話所需的加密密鑰和算法，從而進一 步為滿足合法監聽的要求提供了有力的支持。圖3為根據本發明VoIP語音加密保護方法實施例二信令流程圖。如圖3所示，本 實施例主要對UE間網絡協商密鑰的過程進行詳細描述，具體包括步驟300. UE與SN-C間繼續使用VoIP認證後UE與SN-C之間共享的傳輸密鑰進 行傳輸保護，為後續SN-C向UE傳送網絡協商密鑰的傳輸安全提供安全保證；步驟301. UEa向SN-Ca發起會話請求，並附帶自己的安全能力，即可以使用的加密 算法列表；步驟302. SN-Ca向SN-Cb發送語音加密要求，並附帶用戶A的標識ID_A ；步驟303. SN-Cb向UEb轉發語音加密要求，並要求UEB提供對應的安全能力；步驟304. UEb向SN-Cb返回安全能力；步驟305. SN-Cb向SN-Ca返迴響應，包含UEb的安全能力，並附帶用戶B的標識ID_ B和由SN-Cb生成的隨機數RandB ；步驟306. SN-Ca對UEa和UEb的安全能力進行比較，並根據優先級列表選出雙方共 同使用的最高優先級的算法CFab,並生成隨機數RandA ；步驟307. SN-Ca將語音加密算法CFab以及生成的隨機數RandA發送給SN-Cb ；步驟308. SN-Ca^SN-Cb分別利用RandA與RandB，再根據通信雙方的ID (ID_A和ID_B)生成會話密鑰(即網絡協商密鑰)CKab ；如可以將RandA與RandB的異或，在結合雙方ID， 生成會話密鑰Voice_CKAB = MD5 (RandA xor RandB, ID_A, ID_B)；步驟309. SN-Ca與SN-Cb分別向UEa與UEb發送Voice—CI^以及選定的加密算法； SN-C向UE傳送已生成的網絡協商密鑰的時候利用步驟300中VoIP認證後UE與SN-C之間 共享的傳輸密鑰進行傳輸，保證網絡協商密鑰傳輸時的安全性；步驟310. UEa與UEb分別向SN-Ca與SN-Cb發送確認消息，並利用選定的算法CFab 與會話密鑰CKab進行通信。在通信時可以選擇一中繼節點進行通信，具體的，可以DSN網絡的核心超級節點 SN-C(如SN-Ca、SN-Cb)選定、或由通話雙方(UEA、UEB)進行自推薦方式選定。本實施例由於CKab的生成與CFab的選擇由SN-Ca與SN-Cb負責，因此網絡可以從 SN-Ca或SN-Cb上獲取CKab和CFab,這樣進一步的，在任意數據流經的節點上都可以使用CKab 和〔？皿進行合法監聽，以滿足DSN網絡中VoIP合法監聽的需求。本發明各實施例的VoIP語 音流加密保護由網絡負責協商加密算法，並將選擇後的算法推送給UE能實現端到端加密， 並且可以滿足網絡側的監聽需求。圖4為根據本發明核心超級節點實施例結構示意圖，如圖4所示，本實施例節點包 括接收單元2，用於接收通話發起方的會話請求，並發送加密請求至通話接收方對應 的超級節點，接收該超級節點反饋的所述通話接收方所能使用的加密算法信息以及第一隨 機數信息；選取單元4，用於從所述通話發起方和接收方所使用的加密算法中選取一共同使 用的加密算法；生成單元6，用於生成第二隨機數信息，並根據所述共同使用的加密算法、第一隨 機數和第二隨機數；或者根據所述共同使用的加密算法、第一隨機數和第二隨機數、以及所 述通話雙方的標識信息，生成所述通話雙方的網絡協商密鑰，具體可參見圖3。還可以包括選定單元8，用於在生成所述網絡密鑰後，選取一中繼節點進行通話雙 方的通信通道。本領域技術人員應當了解，本實施例的節點是相應與本發明的方法各實施例對應 的裝置改進，需要進行網絡密鑰協商以提高通信之前的安全性，從而可以後續利用不可靠 的中繼節點進行數據通信，上述方法發明的各個實施例可以在具備圖4結構圖所示結構的 裝置中實現。圖5為根據本發明VoIP語音加密保護系統實施例示意圖。包括通話發起方UEa、 接收方UEb、以及第一核心超級節點SN-Ca和第二核心超級節點SN-Cb UEa，用於發送附帶其所能使用的加密算法的會話請求，接收網絡協商密鑰並確 認；SN-Ca，用於接收所述會話請求，並向所述SN-Cb發送語音加密請求，並接收SN-Cb 的反饋，生成第二隨機數RandA ；從通話雙方分別使用的加密算法中選取一共同使用的加密 算法，並根據選取的加密算法以及第一隨機數RandA和第二隨機數RandB，生成所述網絡協 商密鑰；SN-Cb，用於向通話接收方轉發所述加密請求，並接收通話接收方的反饋，生成第一隨機數RandB ；轉發SN-Ca的所述網絡協商密鑰以及UEb的反饋；UEB，用於根據所述加密請求反饋其所能使用的加密算法信息；接收SN_Cb的所述 網絡協商密鑰並返回確認信息。本實施例可以位於DSN網絡，且DSN可以從5^(；或5^(；上獲取所述網絡協商密 鑰，並根據所述密鑰對ueb、或UEa的通話數據進行合法監聽。並且，可以由UEa、UEb、SN-C、 或由通話雙方進行自推薦方式選定一中繼節點進行所述通話雙方的數據通信。本領域普通技術人員可以理解實現上述方法實施例的全部或部分步驟可以通過 程序指令相關的硬體來完成，前述的程序可以存儲於一計算機可讀取存儲介質中，該程序 在執行時，執行包括上述方法實施例的步驟；而前述的存儲介質包括R0M、RAM、磁碟或者 光碟等各種可以存儲程序代碼的介質。最後應說明的是以上所述僅為本發明的優選實施例而已，並不用於限制本發明， 儘管參照前述實施例對本發明進行了詳細的說明，對於本領域的技術人員來說，其依然可 以對前述各實施例所記載的技術方案進行修改，或者對其中部分技術特徵進行等同替換。 凡在本發明的精神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的 保護範圍之內。
權利要求
一種VoIP語音加密保護方法，涉及DSN網絡，其特徵在於，包括通話雙方的核心超級節點分別生成隨機數；所述通話雙方的其中一核心超級節點根據所述通話雙方分別使用的加密算法中選取一共同使用的加密算法；所述通話雙方的核心超級節點根據選取的所述加密算法以及生成的兩個隨機數，生成網絡協商密鑰；所述通話雙方根據所述網絡協商密鑰對通話數據進行加密。
2.根據權利要求1所述的方法，其特徵在於，還包括所述通話雙方將加密後的通話數據通過中繼節點進行通信。
3.根據權利要求2所述的方法，其特徵在於，所述中繼節點由所述通話雙方選定、或 DSN網絡的核心超級節點選定、或由所述通話雙方進行自推薦方式選定。
4.根據權利要求1-3中任一項所述的方法，其特徵在於，所述通話雙方的核心超級節 點根據選取的所述加密算法以及生成的兩個隨機數，生成網絡協商密鑰的操作還包括所述通話雙方的核心超級節點根據選取的所述加密算法、生成的兩個隨機數、以及所 述通話雙方的標識，生成網絡協商密鑰。
5.根據權利要求1-3中任一項所述的方法，其特徵在於，所述共同使用的加密算法為 所述通話雙方共同使用的最高優先級的加密算法。
6.一種核心超級節點，其特徵在於，包括接收單元，用於接收通話發起方的會話請求，並發送加密請求至通話接收方對應的核 心超級節點，接收該核心超級節點反饋的所述通話接收方所能使用的加密算法信息以及第 一隨機數信息；選取單元，用於從所述通話發起方和接收方所使用的加密算法中選取一共同使用的加 密算法；生成單元，用於生成第二隨機數信息，並根據所述共同使用的加密算法、第一隨機數和 第二隨機數，生成所述通話雙方的網絡協商密鑰。
7.根據權利要求6所述的節點，其特徵在於，所述生成單元還進一步根據所述共同使 用的加密算法、第一隨機數和第二隨機數、以及所述通話雙方的標識信息，生成所述網絡協 商密鑰。
8.根據權利要求6或7所述的節點，其特徵在於，還包括選定單元，用於在生成所述網絡密鑰後，選取一中繼節點進行通話雙方的通信通道。
9.一種VoIP語音加密保護系統，其特徵在於，包括通話發起方、接收方、以及第一核心 超級節點和第二核心超級節點通話發起方，用於發送附帶其所能使用的加密算法的會話請求，接收網絡協商密鑰並 確認；第一核心超級節點，用於接收所述會話請求，並向所述第二核心超級節點發送語音加 密請求，並接收第二核心超級節點的反饋，生成第二隨機數；從通話雙方分別使用的加密算 法中選取一共同使用的加密算法，並根據選取的加密算法以及第一和第二隨機數，生成所 述網絡協商密鑰；第二核心超級節點，用於向通話接收方轉發所述加密請求，並接收通話接收方的反饋，生成第一隨機數；轉發第一核心超級節點的所述網絡協商密鑰以及接收方的反饋；通話接收方，用於根據所述加密請求反饋其所能使用的加密算法信息；接收第二核心 超級節點的所述網絡協商密鑰並返回確認信息。
10.根據權利要求9所述的系統，其特徵在於，還包括由通話雙方、或DSN網絡的核心 超級節點、或由所述通話雙方進行自推薦方式選定所述DSN網絡的一中繼節點進行所述通 話雙方的數據通信。
全文摘要
本發明公開了一種VoIP語音加密保護方法、節點及系統，其中，該方法包括通話雙方的核心超級節點分別生成隨機數；通話雙方的其中一核心超級節點根據通話雙方分別使用的加密算法中選取一共同使用的加密算法；通話雙方的核心超級節點根據選取的加密算法以及生成的兩個隨機數，生成網絡協商密鑰；通話雙方根據該網絡協商密鑰對通話數據進行加密。本發明可以實現提高DSN網絡中通話的安全性，解決現有技術中利用每一跳鏈路間的加密保護則會導致每一跳的中繼節點可以獲得這些通話信息的原始明文信息，不安全的技術缺陷。
文檔編號H04L29/08GK101997676SQ200910091818
公開日2011年3月30日 申請日期2009年8月28日 優先權日2009年8月28日
發明者吳琦, 朱紅儒, 齊旻鵬 申請人:中國移動通信集團公司