專利名稱:一種與加密網(wǎng)絡互通的方法及加密關口局的制作方法
技術領域:
本發(fā)明涉及一種網(wǎng)絡互通技術����,特別涉及一種實現(xiàn)加密/未加密網(wǎng)絡與加密網(wǎng)絡互通的方法以及加密關口局���。
背景技術:
目前,普通的語音因特網(wǎng)協(xié)議(VOIP)和公共電話交換網(wǎng)絡(PSTN)網(wǎng)絡之間通過關口局可以實現(xiàn)互通���,由關口局對兩個網(wǎng)絡之間的信令與媒體流進行格式轉(zhuǎn)換,從而實現(xiàn)VOIP用戶與PSTN用戶的語音通話���。其中�����,關口局主要由媒體網(wǎng)關(MGW)和媒體網(wǎng)關控制器(MGCF)組成���。
圖1為現(xiàn)有VOIP網(wǎng)絡與PSTN網(wǎng)絡互通的邏輯關系示意圖。圖1中的各邏輯實體之間��,虛線連接表示信令交互����,實線連接表示媒體流交互。
其中�����,PSTN和VOIP網(wǎng)絡兩側(cè)的媒體流經(jīng)由MGW發(fā)送至對方,MGW負責媒體格式的轉(zhuǎn)換���,從而實現(xiàn)兩側(cè)網(wǎng)絡的媒體流交互�����;MGCF通過IP連接與VOIP網(wǎng)絡進行信令交互�����,從MGW接收PSTN網(wǎng)絡發(fā)來的信令���,根據(jù)接收到的信令控制與MGW之間連接的建立和釋放,并通過H.248消息對MGW進行控制��,MGCF還內(nèi)嵌信令網(wǎng)關模塊�,對兩側(cè)網(wǎng)絡發(fā)來的信令進行格式轉(zhuǎn)換,如將PSTN的TUP/ISUP/BICC信令轉(zhuǎn)換為VOIP的會話初始協(xié)議(SIP)信令�,從而實現(xiàn)PSTN與VOIP網(wǎng)絡之間的信令交互,MGCF是信令消息的源點和終點��,它通過多種協(xié)議控制整個網(wǎng)絡監(jiān)視各種資源并控制所有連接����,也負責用戶認證和網(wǎng)絡安全��。這里�����,所述信令包括SIP或TUP/ISUP/BICC的呼叫建立消息�����、H.248消息等。其中��,關口局中的MGW和MGCF通常通過路由模塊(圖中未標出)與VOIP網(wǎng)絡交互基于IP的信令和媒體流���,由路由模塊接收IP數(shù)據(jù)包組成的信令和媒體流�����,并根據(jù)IP數(shù)據(jù)包的目的IP地址將各個IP數(shù)據(jù)包路由至VOIP網(wǎng)絡�����、MGW���、或MGCF���。所述路由模塊的實現(xiàn)方式有多種,可以由路由組成�,也可以由路由和交換機組成等等。
此外���,在一些特殊的應用領域中����,為滿足語音通信的高安全性能的要求����,如防止通話在無線傳輸部分和陸地網(wǎng)絡被截獲、監(jiān)聽等��,對移動終端或固定電話進行了端到端的語音加密處理�����,如軍用PSTN通信網(wǎng)絡和軍用VOIP加密移動通信網(wǎng)絡��。這樣�����,普通語音通信網(wǎng)絡,如中國電信PSTN網(wǎng)絡和中國移動通信網(wǎng)絡�,由于未實現(xiàn)端到端語音加密處理而無法對加密語音進行解碼,因此不能實現(xiàn)與加密VOIP網(wǎng)絡/加密PSTN網(wǎng)絡之間的互通�。另外,加密PSTN網(wǎng)絡和加密VOIP網(wǎng)絡之間進行通信時���,兩種加密系統(tǒng)之間加密算法和語音編解碼方式的差異����,也將導致兩種網(wǎng)絡不能互通�。
隨著移動通信系統(tǒng)的迅速發(fā)展,必然會提出加密通信網(wǎng)絡與普通未加密通信網(wǎng)絡之間�、或兩種加密通信網(wǎng)絡之間互通的需求��。
發(fā)明內(nèi)容
有鑒于此�,本發(fā)明的主要目的在于提供一種與加密網(wǎng)絡互通的方法,可以實現(xiàn)加密/未加密VOIP網(wǎng)絡與加密/未加密PSTN網(wǎng)絡之間的互通�。
本發(fā)明的另一目的在于提供一種與加密網(wǎng)絡互通的加密關口局,可以對加密/未加密VOIP網(wǎng)絡與加密/未加密PSTN網(wǎng)絡之間的媒體流進行加密/解密處理�,從而實現(xiàn)網(wǎng)絡互通。
為達到上述目的����,本發(fā)明的技術方案是這樣實現(xiàn)的本發(fā)明提供了一種與加密網(wǎng)絡互通的方法�����,在VOIP網(wǎng)絡與PSTN網(wǎng)絡之間的關口局中設置加密機��,該方法包括步a.加密網(wǎng)絡通過關口局中的MGW將密鑰數(shù)據(jù)發(fā)送至加密機�����,加密機根據(jù)密鑰數(shù)據(jù)得到密鑰���;b.VOIP網(wǎng)絡/PSTN網(wǎng)絡將加密/未加密媒體流發(fā)送至加密機;c.加密機根據(jù)得到的密鑰對未加密媒體流進行加密�����,對加密媒體流進行解密��,再將加密/解密處理后的媒體流發(fā)送至PSTN網(wǎng)絡/VOIP網(wǎng)絡�����。
步a中,所述MGW通過密鑰數(shù)據(jù)下發(fā)命令發(fā)送密鑰數(shù)據(jù)至加密機����。
其中,所述加密網(wǎng)絡為VOIP網(wǎng)絡����;步a中,所述加密網(wǎng)絡將密鑰數(shù)據(jù)發(fā)送至MGW的方法為加密VOIP網(wǎng)絡將密鑰數(shù)據(jù)包含在呼叫建立消息中發(fā)送至關口局中的媒體網(wǎng)關控制MGCF���,MGCF再將密鑰數(shù)據(jù)包含在H.248消息中發(fā)送給MGW����。
其中����,所述加密網(wǎng)絡為PSTN網(wǎng)絡;步a中�����,所述加密網(wǎng)絡將密鑰數(shù)據(jù)發(fā)送至MGW的方法為加密PSTN網(wǎng)絡將密鑰數(shù)據(jù)包含在媒體流中發(fā)送至MGW�����。
其中�,所述加密網(wǎng)絡包括VOIP網(wǎng)絡和PSTN網(wǎng)絡;步a中����,所述加密網(wǎng)絡將密鑰數(shù)據(jù)發(fā)送至MGW的方法為加密VOIP網(wǎng)絡將密鑰數(shù)據(jù)包含在呼叫建立消息中發(fā)送至MGCF,MGCF再將密鑰數(shù)據(jù)包含在H.248消息中發(fā)送給MGW���;加密PSTN網(wǎng)絡將密鑰數(shù)據(jù)包含在媒體流中發(fā)送至MGW�����。
其中�,所述VOIP網(wǎng)絡/PSTN網(wǎng)絡通過關口局中的路由模塊與加密機進行媒體流交互����;所述PSTN網(wǎng)絡通過MGW發(fā)送/接收媒體流;所述加密機包含加密接口和解密接口并通過加密接口和解密接口與路由模塊進行信息交互����;所述步b為路由模塊從VOIP網(wǎng)絡/MGW接收媒體流,判斷媒體流是否為加密媒體流���,如果是�,則將媒體流路由至加密機的解密接口;否則將媒體流路由至加密機的加密接口����;步c中,所述加密機對加密接口發(fā)來的媒體流進行加密���,對解密接口發(fā)來的媒體流進行解密�,再通過路由模塊將加密/解密處理后的媒體流發(fā)送至MGW/VOIP網(wǎng)絡���。
其中���,所述加密網(wǎng)絡為PSTN網(wǎng)絡;該方法進一步包括MGW從PSTN網(wǎng)絡將接收到的電路域加密媒體流轉(zhuǎn)換成IP媒體流再發(fā)往路由模塊時����,將組成IP媒體流的各IP數(shù)據(jù)包的服務類型TOS置為有效;步b中��,所述判斷是否為加密媒體流的方法為判斷組成媒體流的IP數(shù)據(jù)包中的TOS是否有效��,如果是���,則該媒體流為加密媒體流;否則為未加密媒體流。
其中����,所述加密網(wǎng)絡包括VOIP網(wǎng)絡和PSTN網(wǎng)絡;步a中�����,MGW將VOIP網(wǎng)絡和PSTN網(wǎng)絡的密鑰數(shù)據(jù)分別發(fā)送至加密機���,加密機根據(jù)密鑰數(shù)據(jù)得到VOIP網(wǎng)絡的密鑰和PSTN網(wǎng)絡的密鑰�����;步b中��,所述判斷為判斷媒體流是否為加密VOIP網(wǎng)絡的媒體流���;步c中,所述對加密/解密接口發(fā)來的媒體流進行加密/解密處理為對加密接口發(fā)來的媒體流根據(jù)VOIP網(wǎng)絡的密鑰進行加密并根據(jù)PSTN網(wǎng)絡的密鑰進行解密�����,對解密接口發(fā)來的媒體流根據(jù)VOIP網(wǎng)絡的密鑰進行解密并根據(jù)PSTN網(wǎng)絡的密鑰進行加密��。
其中,所述加密網(wǎng)絡包括VOIP網(wǎng)絡和PSTN網(wǎng)絡�����;步a中��,MGW將VOIP網(wǎng)絡和PSTN網(wǎng)絡的密鑰數(shù)據(jù)分別發(fā)送至加密機����,加密機根據(jù)密鑰數(shù)據(jù)得到VOIP網(wǎng)絡的密鑰和PSTN網(wǎng)絡的密鑰;步b中���,所述判斷為判斷媒體流是否為加密PSTN網(wǎng)絡的媒體流�����;步c中���,所述對加密/解密接口發(fā)來的媒體流進行加密/解密處理為對加密接口發(fā)來的媒體流根據(jù)VOIP網(wǎng)絡的密鑰進行解密并根據(jù)PSTN網(wǎng)絡的密鑰進行加密,對解密接口發(fā)來的媒體流根據(jù)VOIP網(wǎng)絡的密鑰進行加密并根據(jù)PSTN網(wǎng)絡的密鑰進行解密��。
其中����,所述加密網(wǎng)絡包括VOIP網(wǎng)絡和PSTN網(wǎng)絡���,或VOIP網(wǎng)絡;步b中�,所述判斷為判斷媒體流是否為加密VOIP網(wǎng)絡的媒體流��。
步b中�����,所述判斷的方法為判斷媒體流的目的地址是否為MGW�����,如果是���,該媒體流為加密VOIP網(wǎng)絡的媒體流����;否則不是加密VOIP網(wǎng)絡的媒體流����;或者,判斷媒體流的源地址是否為MGW�,如果是���,該媒體流不是加密VOIP網(wǎng)絡的媒體流;否則為加密VOIP網(wǎng)絡的媒體流�����。
步b中�,所述判斷的方法為判斷組成媒體流的IP數(shù)據(jù)包中的TOS是否有效,如果是�����,則該媒體流為加密VOIP網(wǎng)絡的媒體流���;否則不是加密VOIP網(wǎng)絡的媒體流����。
其中���,所述加密網(wǎng)絡包括VOIP網(wǎng)絡和PSTN網(wǎng)絡���,或PSTN網(wǎng)絡�����;步b中����,所述判斷為判斷媒體流是否為加密PSTN網(wǎng)絡的媒體流�;步b中,所述判斷的方法為判斷媒體流的源地址是否為MGW�����,如果是���,則該媒體流為加密PSTN網(wǎng)絡的媒體流;否則不是加密PSTN網(wǎng)絡的媒體流���;或者�,判斷媒體流的目的地址是否為MGW��,如果是�����,則該媒體流不是加密PSTN網(wǎng)絡的媒體流���;否則為加密PSTN網(wǎng)絡的媒體流����。
本發(fā)明還提供了一種與加密網(wǎng)絡互通的加密關口局,包括MGCF��,用于與VOIP網(wǎng)絡交互呼叫建立消息���,與MGW交互H.248消息���;MGW,用于與PSTN網(wǎng)絡交互呼叫建立消息并轉(zhuǎn)發(fā)給MGCF��,與PSTN網(wǎng)絡交互媒體流����;該關口局還包括加密機,用于從MGW接收密鑰數(shù)據(jù)并得到密鑰�,從VOIP網(wǎng)絡或MGW接收媒體流進行加密/解密處理,再將加密/解密處理后的媒體流發(fā)送至MGW或VOIP網(wǎng)絡��;所述MGCF進一步將呼叫建立消息中VOIP網(wǎng)絡的密鑰數(shù)據(jù)包含在H.248消息中發(fā)給MGW�����;所述MGW進一步下發(fā)所接收的VOIP網(wǎng)絡的密鑰數(shù)據(jù)給加密機并與加密機交互媒體流。
其中���,所述MGW進一步從PSTN網(wǎng)絡發(fā)來的媒體流中接收PSTN網(wǎng)絡的密鑰數(shù)據(jù)�,并將該密鑰數(shù)據(jù)下發(fā)給加密機���。
其中����,所述加密機包括�����,加密接口和解密接口����,用于與MGW或VOIP網(wǎng)絡進行信息交互���;該加密機還包括加密/解密處理模塊����,用于從加密或解密接口接收密鑰數(shù)據(jù),根據(jù)密鑰數(shù)據(jù)計算得到密鑰并保存���,從加密接口接收媒體流�,根據(jù)密鑰對媒體流進行加密并通過加密接口輸出至MGW或VOIP網(wǎng)絡����,從解密接口接收媒體流,根據(jù)密鑰對媒體流進行解密并通過解密接口輸出至MGW或VOIP網(wǎng)絡��。
其中��,所述加密/解密處理模塊包括控制模塊�,用于從加密或解密接口接收密鑰數(shù)據(jù)并發(fā)送至密鑰模塊,從密鑰模塊接收密鑰發(fā)送至加密模塊和解密模塊��,轉(zhuǎn)發(fā)加密接口與加密模塊之間交互的媒體流�����,轉(zhuǎn)發(fā)解密接口與解密模塊之間交互的媒體流��;加密模塊��,用于從控制模塊接收密鑰和媒體流�,根據(jù)密鑰對媒體流進行加密并通過控制模塊發(fā)送至加密接口�;解密模塊�,用于從控制模塊接收密鑰和媒體流,根據(jù)密鑰對媒體流進行解密并通過控制模塊發(fā)送至解密接口��;密鑰模塊��,用于從控制模塊接收密鑰數(shù)據(jù)���,根據(jù)密鑰數(shù)據(jù)計算得到密鑰數(shù)據(jù)并發(fā)送回控制模塊����。
該關口局進一步包括路由模塊��,用于轉(zhuǎn)發(fā)VOIP網(wǎng)絡與MGCF之間交互的呼叫建立消息�,轉(zhuǎn)發(fā)MGCF與MGW之間交互的H.248消息和呼叫建立消息,從MGW接收密鑰數(shù)據(jù)并發(fā)送至加密機�����,從VOIP網(wǎng)絡或MGW接收媒體流并路由至加密機����,從加密機接收媒體流并路由至MGW或VOIP網(wǎng)絡�。
其中���,所述路由模塊為路由。
其中���,所述路由模塊包括路由����,用于轉(zhuǎn)發(fā)VOIP網(wǎng)絡與以太網(wǎng)交換機之間交互的呼叫建立消息���,從VOIP網(wǎng)絡或以太網(wǎng)交換機接收媒體流并路由至加密機����,從加密機接收媒體流并路由至以太網(wǎng)交換機或VOIP網(wǎng)絡����,從以太網(wǎng)交換機接收密鑰數(shù)據(jù)并發(fā)送至加密機;以太網(wǎng)交換機�����,用于轉(zhuǎn)發(fā)路由與MGCF之間交互的呼叫建立消息�,轉(zhuǎn)發(fā)MGW與路由之間交互的媒體流,轉(zhuǎn)發(fā)MGCF與MGW之間交互的H.248消息和呼叫建立消息���,從MGW接收密鑰數(shù)據(jù)并發(fā)送至路由器���。
由上述方案可以看出���,本發(fā)明的關鍵在于在VOIP網(wǎng)絡與PSTN網(wǎng)絡之間的關口局中設置加密機;加密網(wǎng)絡通過呼叫建立消息或媒體流將密鑰數(shù)據(jù)發(fā)送給MGW�����,MGW再將密鑰數(shù)據(jù)下發(fā)給加密機�;加密機根據(jù)密鑰數(shù)據(jù)得到密鑰并保存;在媒體流傳輸過程中��,VOIP網(wǎng)絡或MGW將加密/未加密媒體流發(fā)送至加密機�����;加密機根據(jù)得到的密鑰對未加密媒體流進行加密�����,對加密媒體流進行解密����,并將加密/解密處理后的媒體流發(fā)送至MGW或VOIP網(wǎng)絡。
因此����,本發(fā)明所提供的一種與加密網(wǎng)絡互通的方法及加密關口局,可以對加密/未加密VOIP網(wǎng)絡與加密/未加密PSTN網(wǎng)絡之間傳輸?shù)拿襟w流進行加密/解密處理��,從而實現(xiàn)加密VOIP網(wǎng)絡與加密/未加密PSTN網(wǎng)絡的互通�����,以及加密PSTN網(wǎng)絡與未加密VOIP網(wǎng)絡的互通��。
圖1為現(xiàn)有實現(xiàn)VOIP網(wǎng)絡與PSTN網(wǎng)絡互通的關口局邏輯關系示意圖�;圖2為實現(xiàn)本發(fā)明方法的加密關口局邏輯關系示意圖;圖3為本發(fā)明加密關口局一較佳實施例組成結構示意圖���;圖4為本發(fā)明加密機一較佳實施例組成結構示意圖���;圖5為本發(fā)明方法加密VOIP終端呼叫未加密PSTN終端的呼叫建立流程一較佳實施例處理流程示意圖;圖6為本發(fā)明方法未加密PSTN終端呼叫加密VOIP終端的呼叫建立流程一較佳實施例處理流程示意圖���;圖7為加密VOIP網(wǎng)絡至未加密PSTN網(wǎng)絡的媒體流路徑示意圖�����;圖8為未加密PSTN網(wǎng)絡至加密VOIP網(wǎng)絡的媒體流路徑示意圖�����。
具體實施例方式
下面結合附圖及具體實施例對本發(fā)明再作進一步詳細的說明�。
本發(fā)明方法在VOIP網(wǎng)絡與PSTN網(wǎng)絡之間的關口局中設置加密機,加密網(wǎng)絡通過MGW將密鑰數(shù)據(jù)發(fā)送至加密機��,加密機根據(jù)密鑰數(shù)據(jù)得到密鑰���;VOIP網(wǎng)絡/PSTN網(wǎng)絡將加密媒體流發(fā)送至加密機��;加密機根據(jù)得到的密鑰對未加密媒體流進行加密�,對加密媒體流進行解密����,再將加密/解密后的媒體流發(fā)送至PSTN網(wǎng)絡/VOIP網(wǎng)絡。
圖2為實現(xiàn)本發(fā)明方法的加密關口局邏輯關系示意圖�����,該加密關口局包括MGCF���、MGW�����、加密機�。其中����,虛線連接表示信令的交互,實線連接表示媒體流的交互���。
其中����,MGCF���,用于與VOIP網(wǎng)絡交互呼叫建立消息�,與MGW交互H.248消息和呼叫建立消息�����,并將呼叫建立消息中VOIP網(wǎng)絡的密鑰數(shù)據(jù)包含在H.248消息中下發(fā)給MGW��;MGW,用于與PSTN網(wǎng)絡交互呼叫建立消息并轉(zhuǎn)發(fā)給MGCF����,與PSTN網(wǎng)絡交互媒體流,從PSTN網(wǎng)絡發(fā)來的媒體流中接收PSTN網(wǎng)絡的密鑰數(shù)據(jù)�����,下發(fā)所接收的密鑰數(shù)據(jù)給加密機并與加密機交互媒體流�;加密機,用于從MGW接收密鑰數(shù)據(jù)并得到密鑰�����,從VOIP網(wǎng)絡或MGW接收媒體流進行加密/解密處理�,再將其發(fā)送至MGW或VOIP網(wǎng)絡。這里���,密鑰數(shù)據(jù)通過虛線表示的信令發(fā)送至加密機���。
基于上述關口局的邏輯關系,在實現(xiàn)過程中�,MGCF、MGW��、加密機與VOIP或PSTN網(wǎng)絡之間、以及它們之間的信息交互可以通過路由模塊來完成���,因此�,本發(fā)明關口局進一步包括路由模塊���,用于轉(zhuǎn)發(fā)VOIP網(wǎng)絡與MGCF之間交互的呼叫建立消息,轉(zhuǎn)發(fā)MGCF與MGW之間交互的H.248消息和呼叫建立消息��,從MGW接收密鑰數(shù)據(jù)并發(fā)送至加密機��,從VOIP網(wǎng)絡或MGW接收媒體流并路由至加密機��,從加密機接收媒體流并路由至VOIP網(wǎng)絡或MGW�����。其中�����,路由模塊的實現(xiàn)方式有多種����,可以為路由器,也可由路由器和以太網(wǎng)交換機組成。圖3所示為本發(fā)明關口局一較佳實施例���。如圖3所示�����,所述路由模塊由路由器和以太網(wǎng)交換機組成����,該關口局各組成部分的連接關系如下所述���。
路由器��,用于轉(zhuǎn)發(fā)VOIP網(wǎng)絡與以太網(wǎng)交換機之間交互的呼叫建立消息���,從VOIP網(wǎng)絡或以太網(wǎng)交換機接收媒體流并路由至加密機,從加密機接收媒體流并路由至VOIP網(wǎng)絡或以太網(wǎng)交換機�,從以太網(wǎng)交換機接收密鑰數(shù)據(jù)并發(fā)送至加密機;以太網(wǎng)交換機�,用于轉(zhuǎn)發(fā)路由器與MGCF之間交互的呼叫建立消息,轉(zhuǎn)發(fā)MGW與路由器之間交互的媒體流����,轉(zhuǎn)發(fā)MGCF與MGW之間交互的H.248消息和呼叫建立消息��,從MGW接收密鑰數(shù)據(jù)并發(fā)送至路由器�。
由以上描述可見����,所述關口局中新增的加密機可以接收密鑰數(shù)據(jù),根據(jù)密鑰數(shù)據(jù)計算得到密鑰��,接收加密/未加密媒體流進行解密/加密處理并輸出����。所述加密機的實現(xiàn)方式有多種�,本發(fā)明不進行限定。圖4為本發(fā)明加密機一較佳實施例組成結構示意圖�����。
如圖4所示��,該加密機包括加密/解密處理模塊�、加密接口和解密接口;所述加密/解密處理模塊���,用于從加密或解密接口接收密鑰數(shù)據(jù)�����,根據(jù)密鑰數(shù)據(jù)計算得到密鑰并保存�����,從加密接口接收媒體流�,根據(jù)密鑰對媒體流進行加密并通過加密接口輸出至MGW或VOIP網(wǎng)絡,從解密接口接收媒體流���,根據(jù)密鑰對媒體流進行解密并通過解密接口輸出至MGW或VOIP網(wǎng)絡���;所述加密接口和解密接口,用于與外部設備進行信息交互��。
其中�,該加密/解密處理模塊還可以包括控制模塊、密鑰模塊�、加密模塊、解密模塊�,則當加密VOIP/PSTN網(wǎng)絡與未加密VOIP/PSTN網(wǎng)絡互通時,所述加密機工作原理如下首先�����,加密機的控制模塊從加密/解密接口接收密鑰數(shù)據(jù)下發(fā)命令,并對該命令進行解析���,得到其中包含的密鑰數(shù)據(jù)并將其發(fā)送至密鑰模塊�����。密鑰模塊根據(jù)接收到的密鑰數(shù)據(jù)進行計算得到真實密鑰并發(fā)送給控制模塊���。控制模塊再將密鑰分別發(fā)送給加密模塊和解密模塊�����。其中���,關于如何根據(jù)密鑰數(shù)據(jù)得到密鑰屬公知技術,這里不作詳述��。
在媒體流傳輸過程中�����,被加密的媒體流從解密接口輸入加密機����,控制模塊從解密接口接收數(shù)據(jù)�,識別到該數(shù)據(jù)為媒體流則將其發(fā)送至解密模塊���,由解密模塊對流入的媒體流進行解密�����,并將解密后的媒體流送回控制模塊����,控制模塊再將解密模塊發(fā)來的媒體流通過解密接口輸出至MGW或VOIP網(wǎng)絡�。
未加密的媒體流從加密接口輸入加密機,控制模塊從加密接口接收數(shù)據(jù)���,識別到該數(shù)據(jù)為媒體流則將其發(fā)送至加密模塊��,由加密模塊對流入的媒體流進行加密�,并將加密后的媒體流送回控制模塊��,控制模塊再將加密模塊發(fā)來的媒體流通過加密接口輸出MGW或VOIP網(wǎng)絡�����。
這里,從加密機的加密接口或解密接口輸出媒體流至MGW或VOIP網(wǎng)絡可以通過關口局中的路由模塊來實現(xiàn)���,路由模塊從加密機的解密接口接收被解密的媒體流之后將其路由至未加密VOIP/PSTN網(wǎng)絡�,從加密機的加密接口接收被加密的媒體流之后將其路由至未加密VOIP/PSTN網(wǎng)絡�,從而實現(xiàn)未加密VOIP/PSTN網(wǎng)絡與未加密VOIP/PSTN網(wǎng)絡的互通。
上述本發(fā)明加密關口局能夠支持加密/未加密VOIP網(wǎng)絡與加密/未加密PSTN網(wǎng)絡之間的互通��,基于該關口局下面以加密VOIP網(wǎng)絡與未加密PSTN網(wǎng)絡互通為例�,結合圖5至圖8對本發(fā)明方法加以詳細說明。
圖5所示為加密VOIP終端呼叫未加密PSTN終端的呼叫建立處理流程��,處理步驟包括步驟501加密VOIP終端建立起分組域連接并注冊之后�����,發(fā)起加密呼叫����,向VOIP網(wǎng)絡的加密呼叫控制中心發(fā)送邀請(INVITE)消息��。
這里�����,關于加密VOIP終端如何建立起分組域連接并注冊的處理,屬公知技術����,因此不作詳述。
其中�,VOIP網(wǎng)絡采用SIP協(xié)議建立呼叫,這里的INVITE消息為SIP協(xié)議中主叫用戶發(fā)起呼叫的信令����,該消息中包含主/被叫標識。
步驟502~503加密呼叫控制中心發(fā)送獲取密鑰請求至VOIP網(wǎng)絡的密鑰管理中心(KDC)�����,該請求中包含步驟501所述主/被叫標識��。
KDC根據(jù)該請求中的主/被叫標識分別生成主/被叫密鑰數(shù)據(jù)并通過獲取密鑰響應消息將主/被叫密鑰數(shù)據(jù)返回給加密呼叫控制中心�����。
本實施例中�,加密VOIP網(wǎng)絡通過加密呼叫控制中心和KDC來完成密鑰數(shù)據(jù)的生成、加密終端注冊等操作��,實際上也可以采用其它機制來完成這些操作,本發(fā)明并不限定具體采用哪種機制����。總之���,加密VOIP網(wǎng)絡可以通過某種機制根據(jù)主/被叫標識生成主/被叫密鑰數(shù)據(jù)�。
這里����,關于KDC如何根據(jù)主/被叫標識生成密鑰數(shù)據(jù)與加密系統(tǒng)的具體實現(xiàn)相關,或者加密呼叫控制中心和KDC也可以采用其它機制根據(jù)其它信息來生成密鑰數(shù)據(jù)���,本發(fā)明對此不進行限定�。
步驟504加密呼叫控制中心根據(jù)步驟501所述的被叫標識發(fā)送INVITE消息至MGCF��,該消息中包含了步驟502所得到的被叫密鑰數(shù)據(jù)��。
步驟505MGCF對步驟504所述的INVITE消息進行分析����,如被叫號碼分析、信道資源中請等����,并得到被叫密鑰數(shù)據(jù),然后生成終端加入(Add)命令并將被叫密鑰數(shù)據(jù)包含在該命令中下發(fā)給MGW�,所述Add命令為H.248消息。
在建立呼叫過程中��,MGCF通過H.248協(xié)議控制MGW���。H.248協(xié)議由ITU-T第16組提出�,它引入了終結點(Termination)和關聯(lián)(Context)兩個抽象概念��。其中����,Termination發(fā)送和/或接收一個或多個數(shù)據(jù)流。在一個多媒體會議中���,一個Termination可以支持多種媒體��,并且發(fā)送或者接收多個媒體流��。在Termination中���,封裝了媒體流參數(shù)、模式(Mode)參數(shù)和承載能力參數(shù);而Context則表明了在一些Termination之間的連接關系����。H.248協(xié)議通過Add、修改(Modify)��、刪除(Subtract)����、遷移(Move)、數(shù)值審計(Audit Value)�����、能力審計(Audit Capability)�����、通知(Notify)和業(yè)務改變(Service Change)八個命令對Termination和Context之間進行操作�����,從而完成呼叫的建立和釋放�。
在向被叫發(fā)起呼叫時,使用Add命令可以向一個Context添加一個Termination����,當使用Add命令向一個Context添加第一個Termination時���,就同時創(chuàng)建了一個Context����,從而為本次呼叫分配資源。
在被叫應答時���,使用Modify命令可以修改一個Termination的屬性�����、事件和信號�����,比如將Mode修改為SendReceive����,表示可以發(fā)送和接收語音媒體流��,以及獲取發(fā)送和接收媒體流所需的參數(shù)和屬性�。
步驟506MGW從步驟505所述的Add命令中解析出被叫密鑰數(shù)據(jù)��,通過密鑰數(shù)據(jù)下發(fā)命令將該被叫密鑰數(shù)據(jù)下發(fā)給加密機���,加密機在獲取到被叫密鑰數(shù)據(jù)之后將計算得到被叫的真實密鑰并保存下來。
這里����,本發(fā)明方法在MGW中增加了與加密機的控制面和用戶面接口,信令通過控制面接口發(fā)送至加密機�,而用戶面接口用于與加密機交互媒體流。對于加密機來說��,其物理上包含加密接口和解密接口��,信令可以通過加密或解密接口發(fā)送入加密機�����。
步驟507MGW向MGCF返回H.248協(xié)議的應答(Reply)消息�,對步驟505所述的Add命令進行應答,如果該消息表明��,步驟505所述的Add命令沒有成功接收��,則MGCF還將重新發(fā)送該Add命令�����。
步驟508MGCF根據(jù)步驟504接收到的SIP信令“INVITE”構造TUP/ISUP/BICC信令即初始地址消息(IAM)命令,并發(fā)送IAM命令至被叫未加密PSTN終端����,從而被叫開始振鈴。這里�����,MGCF與PSTN網(wǎng)絡的消息交互均通過MGW轉(zhuǎn)發(fā)�。
其中����,所述IAM為前向發(fā)送的消息,用于占有出局電路并發(fā)送用戶號碼及其選路����、處理有關的信息,即PSTN網(wǎng)絡中的發(fā)起呼叫請求��。
步驟509未加密PSTN終端振鈴后���,向MGCF發(fā)送地址全消息(ACM)命令�,該命令為后向發(fā)送的消息,表示已經(jīng)收到所有地址信號����。
步驟510~511MGCF根據(jù)接收到的ACM命令構造SIP信令“180振鈴(Ring)”并發(fā)送至加密呼叫控制中心,加密呼叫控制中心再將該180Ring消息發(fā)送至加密VOIP終端�,從而通知主叫用戶被叫線路已經(jīng)接通并開始振鈴,同時主叫開始聽回鈴音���。
步驟512被叫用戶應答摘機之后�,未加密PSTN終端向MGCF返回應答消息(ANM)命令�,該命令為后向發(fā)送的消息,表示被叫已經(jīng)應答��。
這里����,MGCF還將發(fā)送Modify命令至MGW,從而修改Termination的屬性�、事件和信號,為媒體流的發(fā)送接收進行準備�,具體處理屬公知技術,因此不作詳述��。
步驟513~514MGCF根據(jù)接收到的ANM命令構造SIP信令“200OK”并發(fā)送至加密呼叫控制中心���,加密呼叫控制中心再將其步驟503獲取的主叫密鑰數(shù)據(jù)包含在200OK消息中發(fā)送至加密VOIP終端��,從而通知主叫用戶被叫已經(jīng)摘機應答����。
這里,主叫加密VOIP終端在獲取到主叫密鑰數(shù)據(jù)之后將計算得到主叫的真實密鑰并保存下來����。
步驟515~516主叫加密VOIP終端返回ACK消息至加密呼叫控制中心,加密呼叫控制中心再返回ACK消息至MGCF��,從而對步驟513~514所述的200OK消息進行應答����,主/被叫用戶的呼叫建立成功��,本次呼叫的媒體流已建立��,可以進行加密通話��。
以上處理流程中���,加密VOIP終端在與未加密PSTN終端建立呼叫的過程中���,關口局向加密機下發(fā)了被叫密鑰數(shù)據(jù)��。當未加密PSTN終端呼叫加密VOIP終端時�,加密機將接收到主叫密鑰數(shù)據(jù)����,其呼叫建立處理流程與圖5所述類似,僅是一個相反的過程�。如圖6所示,具體處理步驟包括步驟601加密VOIP終端建立起分組域連接并注冊之后����,主叫未加密PSTN終端發(fā)送IAM命令至MGCF,該命令中包含主/被叫標識�����。
這里�,MGCF在接收到IAM命令后還將向MGW發(fā)送Add命令,從而創(chuàng)建一個Context��,為本次呼叫分配資源�����,具體處理屬公知技術,因此不作詳述��。
步驟602MGCF根據(jù)步驟601接收到的IAM命令構造SIP信令“INVITE”�,向加密呼叫控制中心發(fā)送INVITE消息,從而向被叫加密VOIP終端發(fā)起加密呼叫�����。這里�����,該INVITE消息中包含步驟601所述的主/被叫標識�����。
步驟603~604的處理與圖4所述的步驟502~503的處理相同�����,從而加密呼叫控制中心可以得到主/被叫密鑰數(shù)據(jù)�����。其中�����,所述獲取密鑰請求中包含步驟602所述主/被叫標識��。
步驟605加密呼叫控制中心根據(jù)步驟602所述的被叫標識發(fā)送INVITE消息至被叫加密VOIP終端�����,該消息中包含了步驟604所得到的被叫密鑰數(shù)據(jù)��。其中��,加密VOIP終端獲取到被叫密鑰數(shù)據(jù)之后可以計算得到真實被叫密鑰并保存下來��。
步驟606~607加密VOIP終端振鈴后���,向加密呼叫控制中心發(fā)送180Ring消息�����,加密呼叫控制中心再發(fā)送180Ring消息至MGCF����,表明被叫線路已接通。
步驟608MGCF根據(jù)接收到的180Ring消息構造ACM命令��,并發(fā)送該命令至主叫未加密PSTN終端���,從而通知主叫被叫用戶開始振鈴����,主叫用戶開始聽回鈴音�。
步驟609~610被叫加密VOIP終端應答之后,向加密呼叫控制中心發(fā)送200OK消息�,加密呼叫控制中心再將其步驟604獲取的主叫密鑰數(shù)據(jù)包含在200OK消息中發(fā)送至MGCF。
步驟611MGCF根據(jù)接收到的200OK消息構造ANM命令�����,并發(fā)送至主叫未加密PSTN終端�,從而告知主叫用戶被叫已經(jīng)應答。
步驟612MGCF從步驟610所述的200OK消息解析得到主叫密鑰數(shù)據(jù)�����,并將主叫密鑰數(shù)據(jù)包含在Modify命令中下發(fā)給MGW�。
步驟613MGW從步驟612所述的Modify命令中解析出主叫密鑰數(shù)據(jù)����,通過密鑰數(shù)據(jù)下發(fā)命令將該主叫密鑰數(shù)據(jù)下發(fā)給加密機�。
這里��,加密機在獲取到主叫密鑰數(shù)據(jù)之后將計算得到主叫的真實密鑰并保存下來����。
步驟614MGW向MGCF返回Reply消息,對步驟613所述的Modify命令進行應答�����,如果該消息表明�,步驟613所述的Modify命令沒有成功接收,則MGCF還將重新發(fā)送該Modify命令�。
步驟615~616MGCF返回ACK消息至加密呼叫控制中心,加密呼叫控制中心再返回ACK消息至主叫加密VOIP終端����,從而對步驟609~610所述的200ACK消息進行應答,主/被叫用戶的呼叫建立成功���,本次呼叫的媒體流已建立�,可以進行加密通話�����。
至此,在圖5的呼叫建立流程中�,主叫加密VOIP終端中保存了主叫密鑰,可以對發(fā)送/接收的媒體流進行加密/解密處理���,并在加密機中保存了被叫密鑰�;而在圖6的呼叫建立流程中����,被叫加密VOIP終端中保存了被叫密鑰,可以對發(fā)送/接收的媒體流進行加密/解密處理���,并在加密機中保存了主叫密鑰�����。這樣�,使用本發(fā)明方法進行通話時��,加密機可以作為PSTN終端��,首先接收發(fā)往未加密PSTN終端的加密媒體流并進行解密再發(fā)送給未加密PSTN終端�,或者首先接收發(fā)往加密VOIP終端的未加密媒體流并進行加密再發(fā)送給加密VOIP終端,從而可以實現(xiàn)加密VOIP網(wǎng)絡和未加密PSTN網(wǎng)絡的通話�����。
為了實現(xiàn)上述加密機對媒體流的加密/解密處理��,本發(fā)明方法還提供了路由器對于媒體流的路由策略����,包括IP路由策略和TOS路由策略。使用該路由策略的目的是通過識別媒體流是否為加密媒體流���,將發(fā)往未加密PSTN網(wǎng)絡的加密媒體流路由至加密機的解密接口�,而將發(fā)往加密VOIP網(wǎng)絡的未加密媒體流路由至加密機的加密接口�����。
在路由器使用IP路由策略時���,當前接收到媒體流時��,根據(jù)該媒體流的目的/源IP地址是否為MGW判斷其是否為加密媒體流如果該媒體流的目的IP地址為MGW��,則其為加密媒體流��;否則為未加密媒體流�����;或者����,如果該媒體流的源IP地址為MGW,則其為未加密媒體流����;否則為加密媒體流。
由于����,在加密VOIP網(wǎng)絡和未加密PSTN網(wǎng)絡互通時,加密媒體流從加密VOIP網(wǎng)絡通過MGW流向未加密PSTN網(wǎng)絡�����,加密VOIP終端發(fā)送的IP數(shù)據(jù)包的目的IP地址固定為MGW的IP地址���;未加密媒體流從未加密PSTN網(wǎng)絡也通過MGW流向加密VOIP網(wǎng)絡���,未加密PSTN終端發(fā)送的未加密時分多路復用(TDM)電路方式媒體流經(jīng)過MGW被轉(zhuǎn)換為IP數(shù)據(jù)包組成的媒體流�����,該IP數(shù)據(jù)包的源IP地址固定為MGW的IP地址。因此��,可以通過識別媒體流中IP數(shù)據(jù)包的目的/源IP地址判斷媒體流是否為加密媒體流�����,從而進行策略路由����。
在路由器使用TOS路由策略時,則根據(jù)該媒體流的TOS是否有效判斷其是否為加密媒體流如果有效�����,則該媒體流為加密媒體流����;否則為未加密媒體流。
由于��,加密VOIP終端在將語音媒體封裝成IP數(shù)據(jù)包時將IP數(shù)據(jù)包首部的TOS字段賦為有效��,表明當前業(yè)務為加密VOIP業(yè)務。比如對于應用程序為實時傳輸協(xié)議(RTP)的IP數(shù)據(jù)包來說TOS被置為1����,表示RTP數(shù)據(jù)凈荷已經(jīng)被加密,而MGW在將來自PSTN網(wǎng)絡的電路域語音流轉(zhuǎn)換成IP媒體流時�����,將各IP數(shù)據(jù)包首部的TOS字段置為0����,這樣根據(jù)TOS值是否為1;就可以判斷該IP數(shù)據(jù)包的RTP凈荷是否經(jīng)過加密處理�。因此,可以通過識別媒體流中IP數(shù)據(jù)包的TOS字段是否有效判斷媒體流是否為加密媒體流�,從而進行策略路由。
其中��,在進行上述策略路由時����,路由器讀取組成媒體流的每一個IP數(shù)據(jù)包的源/目的IP地址或者TOS字段進行判斷并路由。
下面結合圖7和圖8對本發(fā)明方法采用上述路由策略進行媒體流傳輸并進行加密/解密的處理加以詳細說明�����。以下圖中的路由器包含四個以太網(wǎng)網(wǎng)口E1、E2��、E3和E4�,加密機包含加密接口和解密接口,實線表示經(jīng)過加密的媒體流�����,虛線表示經(jīng)過解密或未加密媒體流�。由于��,這里所述的媒體流傳輸和加密/解密處理與MGCF無關����,因此,圖中將MGCF略去���。
圖7所示為媒體流從加密VOIP網(wǎng)絡發(fā)送至未加密PSTN網(wǎng)絡的路徑�����。
首先���,經(jīng)過加密的媒體流從加密VOIP網(wǎng)絡到達路由器的E1口��,路由器根據(jù)IP路由策略或TOS路由策略判斷該媒體流為加密媒體流���,因此將媒體流通過E4口路由至加密機的解密接口。加密機根據(jù)所保存的主/被叫密鑰對于解密接口接收到的媒體流進行解密�����,即對組成媒體流的每一個IP數(shù)據(jù)包中語音凈荷進行解密操作�。
然后,加密機通過解密接口將解密處理后的媒體流發(fā)送回路由器的E4口���,路由器再將E4口接收到的媒體流通過E2口輸出�。被解密的媒體流從路由器的E2口經(jīng)由以太網(wǎng)交換機到達MGW����。
最后,MGW將IP媒體流轉(zhuǎn)化為TDM的媒體流發(fā)送至未加密PSTN網(wǎng)絡��,由于媒體流經(jīng)過了解密處理�,因此,未加密PSTN終端接收到媒體流之后可以對其中的語音數(shù)據(jù)正確解碼并進行相關處理�。
圖8所示為媒體流從未加密PSTN網(wǎng)絡發(fā)送至加密VOIP網(wǎng)絡的路徑����。
首先�����,未經(jīng)加密的媒體流從未加密PSTN網(wǎng)絡發(fā)送至MGW�,MGW對TDM電路方式的媒體流進行格式轉(zhuǎn)換,將其轉(zhuǎn)換為IP數(shù)據(jù)包組成的媒體流并輸出�����。IP媒體流經(jīng)由以太網(wǎng)交換機到達路由器的E2口��。
路由器根據(jù)IP路由策略或TOS路由策略判斷該媒體流為未加密媒體流�����,因此將媒體流通過E3口路由至加密機的加密接口�。加密機根據(jù)所保存的主/被叫密鑰對于加密接口接收到的媒體流進行加密���,即對組成媒體流的每一個IP數(shù)據(jù)包中語音凈荷進行加密操作�����。
然后�����,加密機通過加密接口將加密處理后的媒體流發(fā)送回路由器的E3口���,路由器再將E3口接收到的媒體流通過E1口輸出����。
最后���,被加密的媒體流從路由器的E1口發(fā)送至加密VOIP網(wǎng)絡���,由于媒體流根據(jù)加密VOIP網(wǎng)絡的密鑰進行了加密處理,因此�����,加密VOIP終端接收到媒體流之后可以對其中的語音數(shù)據(jù)正確解密��、解碼并進行相關處理���。
由以上圖5至圖8所述的處理可見����,應用本發(fā)明方法在建立呼叫過程中可以將加密VOIP網(wǎng)絡中的主/被叫密鑰保存在加密機中,在媒體流發(fā)送過程中�����,路由可以利用IP路由策略或TOS路由策略將媒體流發(fā)送至加密機的加密/解密接口���,加密機可以根據(jù)所保存的主/被叫密鑰對加密接口接收的媒體流進行加密����,對解密接口接收的媒體流進行解密��,然后將加密/解密處理后的媒體流發(fā)往加密VOIP網(wǎng)絡或未加密PSTN網(wǎng)絡�����,加密VOIP終端或未加密PSTN終端能夠?qū)邮盏降拿襟w流進行正確處理�,從而實現(xiàn)了兩個網(wǎng)絡之間的互通����。
此外,本發(fā)明的加密關口局還支持加密PSTN網(wǎng)絡與加密/未加密VOIP網(wǎng)絡的互通���。
當加密PSTN網(wǎng)絡與加密VOIP網(wǎng)絡互通時����,本發(fā)明方法的處理與上述未加密PSTN網(wǎng)絡與加密VOIP網(wǎng)絡互通的處理基本相同在呼叫建立過程中經(jīng)過圖5和圖6所述的處理使加密機得到加密VOIP網(wǎng)絡的主/被叫密鑰。所不同的是在媒體流發(fā)送過程中��,當PSTN網(wǎng)絡決定進行加密通話時��,將密鑰數(shù)據(jù)包含在媒體流中下發(fā)給MGW��,再由MGW通過密鑰數(shù)據(jù)下發(fā)命令發(fā)送給加密機���,這樣�,加密機就保存了兩種密鑰加密VOIP網(wǎng)絡的密鑰以及加密PSTN網(wǎng)絡的密鑰��。
路由利用IP路由策略或TOS路由策略將媒體流發(fā)送至加密機的加密/解密接口�,加密機根據(jù)所保存的加密VOIP網(wǎng)絡的密鑰對加密接口接收的媒體流進行加密,并根據(jù)加密PSTN網(wǎng)絡的密鑰對加密接口接收的媒體流進行解密����;或者,加密機根據(jù)加密VOIP網(wǎng)絡的密鑰對解密接口接收的媒體流進行解密���,并根據(jù)加密PSTN網(wǎng)絡的密鑰對解密接口接收的媒體流進行加密��;然后將加密和解密處理后的媒體流發(fā)往加密VOIP網(wǎng)絡或加密PSTN網(wǎng)絡�,從而實現(xiàn)了兩個網(wǎng)絡之間的互通。這里��,IP路由策略或TOS路由策略中所述判斷為判斷媒體流是否為加密VOIP網(wǎng)絡的媒體流�,所述判斷原則與上述加密VOIP網(wǎng)絡與未加密PSTN網(wǎng)絡互通時所用的原則一致。
另外��,如果路由策略中所述判斷為判斷所述媒體流是否為加密PSTN網(wǎng)絡的媒體流�����,則僅采用IP路由策略��,并將上述IP路由策略修改為如果該媒體流的目的IP地址為MGW����,則該媒體流為未加密媒體流,將其路由至加密接口�;否則為加密媒體流,將其路由至解密接口����;或者�����,如果該媒體流的源IP地址為MGW,則該媒體流為加密媒體流���,將其路由至解密接口��;否則為未加密媒體流����,將其路由至加密接口����。這樣,加密機根據(jù)加密PSTN網(wǎng)絡的密鑰對加密接口接收的媒體流進行加密�����,并根據(jù)加密VOIP網(wǎng)絡的密鑰對加密接口接收的媒體流進行解密�����;或者�,根據(jù)加密PSTN網(wǎng)絡的密鑰對解密接口接收的媒體流進行解密,并根據(jù)加密VOIP網(wǎng)絡的密鑰對解密接口接收的媒體流進行加密。
當加密PSTN網(wǎng)絡與未加密VOIP網(wǎng)絡互通時���,與上述加密VOIP網(wǎng)絡與加密/未加密PSTN網(wǎng)絡互通的處理類似���,所不同的是首先,無需如圖5和圖6所述在呼叫建立流程下發(fā)密鑰數(shù)據(jù)給加密機���,其呼叫建立流程與現(xiàn)有的未加密VOIP終端與PSTN終端建立呼叫連接的處理相同��,但是在媒體流發(fā)送過程中����,當PSTN網(wǎng)絡決定進行加密通話時���,將密鑰數(shù)據(jù)包含在媒體流中下發(fā)給MGW�����,再由MGW通過密鑰數(shù)據(jù)下發(fā)命令發(fā)送給加密機���,這樣,加密機就保存了加密PSTN網(wǎng)絡的密鑰����。
其次,如果路由器應用的是TOS路由策略����,則當MGW將PSTN網(wǎng)絡發(fā)來的電路域媒體流轉(zhuǎn)換成IP數(shù)據(jù)包組成的媒體流時,還應對數(shù)據(jù)凈荷進行識別����,如果識別到該數(shù)據(jù)凈荷已被加密,則將該IP數(shù)據(jù)包的TOS置為有效��,表明當前業(yè)務為加密PSTN業(yè)務�,數(shù)據(jù)凈荷已被加密;否則將TOS置為無效�。這里,所述TOS路由策略的判斷原則不變�����。
如果路由器應用的是IP路由策略����,由于,在未加密VOIP網(wǎng)絡和互通時��,加密媒體流從加密PSTN網(wǎng)絡通過MGW流向加密VOIP網(wǎng)絡,加密PSTN終端發(fā)送的加密TDM電路方式媒體流經(jīng)過MGW被轉(zhuǎn)換為IP數(shù)據(jù)包組成的媒體流����,該IP數(shù)據(jù)包的源IP地址固定為MGW的IP地址;未加密媒體流從未加密VOIP網(wǎng)絡也通過MGW流向加密PSTN網(wǎng)絡����,未加密VOIP終端發(fā)送的IP數(shù)據(jù)包的目的IP地址固定為MGW的IP地址。因此��,所述IP路由策略修改為如果該媒體流的目的IP地址為MGW�����,則該媒體流為未加密媒體流����,將其路由至加密接口;否則為加密媒體流�����,將其路由至解密接口�����;或者,如果該媒體流的源IP地址為MGW��,則該媒體流為加密媒體流��,將其路由至解密接口�����;否則為未加密媒體流�����,將其路由至加密接口�����。這樣����,加密機根據(jù)所保存的加密PSTN網(wǎng)絡的密鑰對加密接口接收的媒體流進行加密���;或者�,根據(jù)加密PSTN網(wǎng)絡的密鑰對解密接口接收的媒體流進行解密�����。
這里,IP路由策略或TOS路由策略中所述判斷為判斷媒體流是否為加密PSTN網(wǎng)絡的媒體流��。
因此�,在加密PSTN網(wǎng)絡與加密/未加密VOIP網(wǎng)絡進行媒體流傳輸時,如果路由器采用的路由策略中所述判斷為判斷媒體流是否為加密PSTN網(wǎng)絡的媒體流�����,則從加密PSTN網(wǎng)絡發(fā)來的媒體流經(jīng)由MGW�、以太網(wǎng)交換機發(fā)送至路由器的E2口,并通過E4口被路由至加密機的解密接口���,然后被解密的媒體流再由解密接口發(fā)送回路由器的E4口�����,最終通過E1口發(fā)往VOIP網(wǎng)絡��;相反的��,從VOIP網(wǎng)絡發(fā)來的媒體流被發(fā)送至路由器的E1口����,并通過E3口被路由至加密機的加密接口,然后被加密的媒體流再由加密接口發(fā)送回路由器的E3口����,最終通過E2口發(fā)往以太網(wǎng)交換機、MGW�,從而發(fā)往加密PSTN網(wǎng)絡。
綜上所述����,應用本發(fā)明方法及加密關口局�����,可以實現(xiàn)加密VOIP網(wǎng)絡與加密/未加密PSTN網(wǎng)絡的互通����,以及加密PSTN網(wǎng)絡與未加密VOIP網(wǎng)絡的互通。并且�����,MGW與加密機之間的數(shù)據(jù)傳輸基于IP協(xié)議��,接口簡單���,組網(wǎng)靈活���;加密機的加密/解密操作獨立完成���,可靈活進行升級或更換加密機,從而實現(xiàn)加密機完全受控的管理��;網(wǎng)絡運營商可以獨立開發(fā)加密機���,采用獨立的端到端語音加密/解密算法��,從而具有高安全性���。該方法及關口局不失為一種易于實現(xiàn)和擴展的與加密網(wǎng)絡進行互通的方案。
以上所述�����,僅為本發(fā)明的較佳實施例而已�,并非用于限定本發(fā)明的保護范圍。
權利要求
1.一種與加密網(wǎng)絡互通的方法���,其特征在于��,在語音因特網(wǎng)協(xié)議VOIP網(wǎng)絡與公共電話交換網(wǎng)PSTN網(wǎng)絡之間的關口局中設置加密機���,該方法包括步驟a.加密網(wǎng)絡通過關口局中的媒體網(wǎng)關MGW將密鑰數(shù)據(jù)發(fā)送至加密機�,加密機根據(jù)密鑰數(shù)據(jù)得到密鑰����;b.VOIP網(wǎng)絡/PSTN網(wǎng)絡將加密/未加密媒體流發(fā)送至加密機;c.加密機根據(jù)得到的密鑰對未加密媒體流進行加密���,對加密媒體流進行解密���,再將加密/解密處理后的媒體流發(fā)送至PSTN網(wǎng)絡/VOIP網(wǎng)絡���。
2.根據(jù)權利要求1所述的方法�����,其特征在于����,步驟a中�,所述MGW通過密鑰數(shù)據(jù)下發(fā)命令發(fā)送密鑰數(shù)據(jù)至加密機�����。
3.根據(jù)權利要求1所述的方法��,其特征在于�,所述加密網(wǎng)絡為VOIP網(wǎng)絡����;步驟a中,所述加密網(wǎng)絡將密鑰數(shù)據(jù)發(fā)送至MGW的方法為加密VOIP網(wǎng)絡將密鑰數(shù)據(jù)包含在呼叫建立消息中發(fā)送至關口局中的媒體網(wǎng)關控制器MGCF����,MGCF再將密鑰數(shù)據(jù)包含在H.248消息中發(fā)送給MGW。
4.根據(jù)權利要求1所述的方法���,其特征在于�,所述加密網(wǎng)絡為PSTN網(wǎng)絡�;步驟a中,所述加密網(wǎng)絡將密鑰數(shù)據(jù)發(fā)送至MGW的方法為加密PSTN網(wǎng)絡將密鑰數(shù)據(jù)包含在媒體流中發(fā)送至MGW���。
5.根據(jù)權利要求1所述的方法��,其特征在于����,所述加密網(wǎng)絡包括VOIP網(wǎng)絡和PSTN網(wǎng)絡;步驟a中����,所述加密網(wǎng)絡將密鑰數(shù)據(jù)發(fā)送至MGW的方法為加密VOIP網(wǎng)絡將密鑰數(shù)據(jù)包含在呼叫建立消息中發(fā)送至MGCF,MGCF再將密鑰數(shù)據(jù)包含在H.248消息中發(fā)送給MGW�;加密PSTN網(wǎng)絡將密鑰數(shù)據(jù)包含在媒體流中發(fā)送至MGW。
6.根據(jù)權利要求1所述的方法�����,其特征在于����,所述VOIP網(wǎng)絡/PSTN網(wǎng)絡通過關口局中的路由模塊與加密機進行媒體流交互;所述PSTN網(wǎng)絡通過MGW發(fā)送/接收媒體流����;所述加密機包含加密接口和解密接口并通過加密接口和解密接口與路由模塊進行信息交互��;所述步驟b為路由模塊從VOIP網(wǎng)絡/MGW接收媒體流���,判斷媒體流是否為加密媒體流��,如果是�,則將媒體流路由至加密機的解密接口;否則將媒體流路由至加密機的加密接口����;步驟c中,所述加密機對加密接口發(fā)來的媒體流進行加密�����,對解密接口發(fā)來的媒體流進行解密�����,再通過路由模塊將加密/解密處理后的媒體流發(fā)送至MGW/VOIP網(wǎng)絡���。
7.根據(jù)權利要求6所述的方法�,其特征在于�����,所述加密網(wǎng)絡為PSTN網(wǎng)絡���;該方法進一步包括MGW從PSTN網(wǎng)絡將接收到的電路域加密媒體流轉(zhuǎn)換成IP媒體流再發(fā)往路由模塊時����,將組成IP媒體流的各IP數(shù)據(jù)包的服務類型TOS置為有效;步驟b中�����,所述判斷是否為加密媒體流的方法為判斷組成媒體流的IP數(shù)據(jù)包中的TOS是否有效����,如果是,則該媒體流為加密媒體流����;否則為未加密媒體流。
8.根據(jù)權利要求6所述的方法���,其特征在于����,所述加密網(wǎng)絡包括VOIP網(wǎng)絡和PSTN網(wǎng)絡�;步驟a中,MGW將VOIP網(wǎng)絡和PSTN網(wǎng)絡的密鑰數(shù)據(jù)分別發(fā)送至加密機��,加密機根據(jù)密鑰數(shù)據(jù)得到VOIP網(wǎng)絡的密鑰和PSTN網(wǎng)絡的密鑰���;步驟b中�,所述判斷為判斷媒體流是否為加密VOIP網(wǎng)絡的媒體流����;步驟c中,所述對加密/解密接口發(fā)來的媒體流進行加密/解密處理為對加密接口發(fā)來的媒體流根據(jù)VOIP網(wǎng)絡的密鑰進行加密并根據(jù)PSTN網(wǎng)絡的密鑰進行解密�����,對解密接口發(fā)來的媒體流根據(jù)VOIP網(wǎng)絡的密鑰進行解密并根據(jù)PSTN網(wǎng)絡的密鑰進行加密�。
9.根據(jù)權利要求6所述的方法,其特征在于�,所述加密網(wǎng)絡包括VOIP網(wǎng)絡和PSTN網(wǎng)絡;步驟a中����,MGW將VOIP網(wǎng)絡和PSTN網(wǎng)絡的密鑰數(shù)據(jù)分別發(fā)送至加密機,加密機根據(jù)密鑰數(shù)據(jù)得到VOIP網(wǎng)絡的密鑰和PSTN網(wǎng)絡的密鑰���;步驟b中�,所述判斷為判斷媒體流是否為加密PSTN網(wǎng)絡的媒體流���;步驟c中�����,所述對加密/解密接口發(fā)來的媒體流進行加密/解密處理為對加密接口發(fā)來的媒體流根據(jù)VOIP網(wǎng)絡的密鑰進行解密并根據(jù)PSTN網(wǎng)絡的密鑰進行加密�,對解密接口發(fā)來的媒體流根據(jù)VOIP網(wǎng)絡的密鑰進行加密并根據(jù)PSTN網(wǎng)絡的密鑰進行解密。
10.根據(jù)權利要求6所述的方法�,其特征在于,所述加密網(wǎng)絡包括VOIP網(wǎng)絡和PSTN網(wǎng)絡����,或VOIP網(wǎng)絡;步驟b中�,所述判斷為判斷媒體流是否為加密VOIP網(wǎng)絡的媒體流。
11.根據(jù)權利要求8或10所述的方法����,其特征在于,步驟b中�,所述判斷的方法為判斷媒體流的目的地址是否為MGW,如果是���,該媒體流為加密VOIP網(wǎng)絡的媒體流�;否則不是加密VOIP網(wǎng)絡的媒體流��;或者,判斷媒體流的源地址是否為MGW����,如果是��,該媒體流不是加密VOIP網(wǎng)絡的媒體流��;否則為加密VOIP網(wǎng)絡的媒體流�����。
12.根據(jù)權利要求8或10所述的方法�����,其特征在于��,步驟b中�,所述判斷的方法為判斷組成媒體流的IP數(shù)據(jù)包中的TOS是否有效,如果是����,則該媒體流為加密VOIP網(wǎng)絡的媒體流;否則不是加密VOIP網(wǎng)絡的媒體流�。
13.根據(jù)權利要求6所述的方法���,其特征在于,所述加密網(wǎng)絡包括VOIP網(wǎng)絡和PSTN網(wǎng)絡���,或PSTN網(wǎng)絡���;步驟b中,所述判斷為判斷媒體流是否為加密PSTN網(wǎng)絡的媒體流����;
14.根據(jù)權利要求9或13所述的方法,其特征在于��,步驟b中�,所述判斷的方法為判斷媒體流的源地址是否為MGW,如果是��,則該媒體流為加密PSTN網(wǎng)絡的媒體流�;否則不是加密PSTN網(wǎng)絡的媒體流;或者��,判斷媒體流的目的地址是否為MGW����,如果是��,則該媒體流不是加密PSTN網(wǎng)絡的媒體流�����;否則為加密PSTN網(wǎng)絡的媒體流�����。
15.一種與加密網(wǎng)絡互通的加密關口局,包括MGCF��,用于與VOIP網(wǎng)絡交互呼叫建立消息��,與MGW交互H.248消息����;MGW,用于與PSTN網(wǎng)絡交互呼叫建立消息并轉(zhuǎn)發(fā)給MGCF����,與PSTN網(wǎng)絡交互媒體流;其特征在于����,該關口局還包括加密機���,用于從MGW接收密鑰數(shù)據(jù)并得到密鑰,從VOIP網(wǎng)絡或MGW接收媒體流進行加密/解密處理��,再將加密/解密處理后的媒體流發(fā)送至MGW或VOIP網(wǎng)絡��;所述MGCF進一步將呼叫建立消息中VOIP網(wǎng)絡的密鑰數(shù)據(jù)包含在H.248消息中發(fā)給MGW����;所述MGW進一步下發(fā)所接收的VOIP網(wǎng)絡的密鑰數(shù)據(jù)給加密機并與加密機交互媒體流。
16.根據(jù)權利要求15所述的關口局�,其特征在于,所述MGW進一步從PSTN網(wǎng)絡發(fā)來的媒體流中接收PSTN網(wǎng)絡的密鑰數(shù)據(jù)����,并將該密鑰數(shù)據(jù)下發(fā)給加密機。
17.根據(jù)權利要求15或16所述的關口局����,其特征在于,所述加密機包括��,加密接口和解密接口��,用于與MGW或VOIP網(wǎng)絡進行信息交互;該加密機還包括加密/解密處理模塊�,用于從加密或解密接口接收密鑰數(shù)據(jù),根據(jù)密鑰數(shù)據(jù)計算得到密鑰并保存�����,從加密接口接收媒體流���,根據(jù)密鑰對媒體流進行加密并通過加密接口輸出至MGW或VOIP網(wǎng)絡�,從解密接口接收媒體流���,根據(jù)密鑰對媒體流進行解密并通過解密接口輸出至MGW或VOIP網(wǎng)絡。
18.根據(jù)權利要求17所述的關口局��,其特征在于���,所述加密/解密處理模塊包括控制模塊�����,用于從加密或解密接口接收密鑰數(shù)據(jù)并發(fā)送至密鑰模塊��,從密鑰模塊接收密鑰發(fā)送至加密模塊和解密模塊�����,轉(zhuǎn)發(fā)加密接口與加密模塊之間交互的媒體流��,轉(zhuǎn)發(fā)解密接口與解密模塊之間交互的媒體流���;加密模塊���,用于從控制模塊接收密鑰和媒體流,根據(jù)密鑰對媒體流進行加密并通過控制模塊發(fā)送至加密接口���;解密模塊�,用于從控制模塊接收密鑰和媒體流��,根據(jù)密鑰對媒體流進行解密并通過控制模塊發(fā)送至解密接口����;密鑰模塊,用于從控制模塊接收密鑰數(shù)據(jù)����,根據(jù)密鑰數(shù)據(jù)計算得到密鑰數(shù)據(jù)并發(fā)送回控制模塊。
19.根據(jù)權利要求15或16所述的關口局�,其特征在于�,該關口局進一步包括路由模塊���,用于轉(zhuǎn)發(fā)VOIP網(wǎng)絡與MGCF之間交互的呼叫建立消息��,轉(zhuǎn)發(fā)MGCF與MGW之間交互的H.248消息和呼叫建立消息�,從MGW接收密鑰數(shù)據(jù)并發(fā)送至加密機���,從VOIP網(wǎng)絡或MGW接收媒體流并路由至加密機����,從加密機接收媒體流并路由至MGW或VOIP網(wǎng)絡�����。
20.根據(jù)權利要求19所述的關口局�,其特征在于���,所述路由模塊為路由器�����。
21.根據(jù)權利要求19所述的關口局��,其特征在于��,所述路由模塊包括路由器�����,用于轉(zhuǎn)發(fā)VOIP網(wǎng)絡與以太網(wǎng)交換機之間交互的呼叫建立消息����,從VOIP網(wǎng)絡或以太網(wǎng)交換機接收媒體流并路由至加密機,從加密機接收媒體流并路由至以太網(wǎng)交換機或VOIP網(wǎng)絡�,從以太網(wǎng)交換機接收密鑰數(shù)據(jù)并發(fā)送至加密機;以太網(wǎng)交換機���,用于轉(zhuǎn)發(fā)路由器與MGCF之間交互的呼叫建立消息��,轉(zhuǎn)發(fā)MGW與路由器之間交互的媒體流����,轉(zhuǎn)發(fā)MGCF與MGW之間交互的H.248消息和呼叫建立消息���,從MGW接收密鑰數(shù)據(jù)并發(fā)送至路由器��。
全文摘要
本發(fā)明公開了一種與加密網(wǎng)絡互通的方法����,在語音因特網(wǎng)協(xié)議(VOIP)網(wǎng)絡與公共電話交換網(wǎng)(PSTN)網(wǎng)絡之間的關口局中設置加密機,該方法包括a.加密網(wǎng)絡通過關口局中的媒體網(wǎng)關(MGW)將密鑰數(shù)據(jù)發(fā)送至加密機���,加密機根據(jù)密鑰數(shù)據(jù)得到密鑰����;b.VOIP網(wǎng)絡/PSTN網(wǎng)絡將加密/未加密媒體流發(fā)送至加密機��;c.加密機根據(jù)得到的密鑰對未加密媒體流進行加密�����,對加密媒體流進行解密�,再將加密/解密處理后的媒體流發(fā)送至PSTN網(wǎng)絡/VOIP網(wǎng)絡。本發(fā)明還公開了一種加密關口局�,采用本發(fā)明方法和關口局能夠?qū)崿F(xiàn)加密/未加密VOIP網(wǎng)絡與加密/未加密PSTN網(wǎng)絡的互通。
文檔編號H04L12/66GK1735008SQ200410058180
公開日2006年2月15日 申請日期2004年8月13日 優(yōu)先權日2004年8月13日
發(fā)明者馬云, 趙建國, 謝國軍 申請人:華為技術有限公司