專利名稱:一種voip系統(tǒng)中語音穿透防火墻的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種VOIP系統(tǒng)中語音穿透防火墻的方法���,屬于實(shí)現(xiàn)網(wǎng)絡(luò)通訊技術(shù)的技術(shù)領(lǐng)域���,特別涉及一種解決由于VOIP通訊系統(tǒng)的承載網(wǎng)絡(luò)存在不可控制的語音防火墻設(shè)置而導(dǎo)致語音通訊不正常問題的解決方法的技術(shù)領(lǐng)域。
背景技術(shù):
VOIP通訊技術(shù)的一個主要特色是控制與承載分離(VoIP是Voice over Internet Protocol的縮寫��,指的是將模擬的聲音訊號經(jīng)過壓縮與封包之后,以數(shù)據(jù)封包的形式在IP 網(wǎng)絡(luò)的環(huán)境進(jìn)行語音訊號的傳輸����,通俗來說也就是互聯(lián)網(wǎng)電話、網(wǎng)絡(luò)電話或者簡稱IP電話的意思����。)因此在實(shí)際的VOIP系統(tǒng)應(yīng)用部署中絕大部分是利用用戶現(xiàn)有的網(wǎng)絡(luò)資源作為 VOIP系統(tǒng)的承載網(wǎng)絡(luò)。對于有VOIP電話遠(yuǎn)程互通需求的VOIP用戶����,其往往是租用其他網(wǎng)絡(luò)運(yùn)營商的網(wǎng)絡(luò)實(shí)現(xiàn)的。但是網(wǎng)絡(luò)運(yùn)營商的網(wǎng)絡(luò)應(yīng)用環(huán)境一般較為復(fù)雜�����,譬如有些網(wǎng)絡(luò)運(yùn)營商為了網(wǎng)絡(luò)的安全穩(wěn)定或其他目的會在其網(wǎng)絡(luò)的接入點(diǎn)設(shè)置防火墻����,以限制某些對網(wǎng)絡(luò)帶寬消耗較大的應(yīng)用或某些特定網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)流。針對VOIP應(yīng)用����,有極少數(shù)網(wǎng)絡(luò)運(yùn)營商就會在其網(wǎng)絡(luò)中部署語音防火墻以限制VOIP數(shù)據(jù)傳輸(如圖1)。常見的語音防火墻原理如下1�����、通過分析VOIP通訊過程中的SIP的信令會話,獲得參與通訊的雙方的在通訊過程中將要使用的網(wǎng)絡(luò)地址�����,然后對發(fā)自或發(fā)往這些地址的數(shù)據(jù)包進(jìn)行丟棄��,篡改或偽造�,致使通訊無法正常進(jìn)行(如圖2所示)。2�、通過分析數(shù)據(jù)包,根據(jù)語音數(shù)據(jù)包的特征�����,確定參與語音通訊雙方的網(wǎng)絡(luò)地址����, 然后對發(fā)自這些地址數(shù)據(jù)包進(jìn)行丟棄����,篡改或偽造,致使通訊無法正常進(jìn)行(如圖3所示)�。
發(fā)明內(nèi)容
本發(fā)明針對現(xiàn)有技術(shù)提供了一種VOIP系統(tǒng)中語音穿透防火墻的方法��,使得現(xiàn)有的語音防火墻無法通過分析VOIP信令或VOIP語音數(shù)據(jù)包的特征來確定參與語音通訊的終端的網(wǎng)絡(luò)地址�����,從而實(shí)現(xiàn)使語音防火墻無法正常工作��,進(jìn)而保證語音通訊正常進(jìn)行的目的��。為達(dá)到所述的目的本發(fā)明采用的方法是一種VOIP系統(tǒng)中語音穿透防火墻的方法�,其中IP終端通過配置界面決定是否啟動加密協(xié)商機(jī)制����;當(dāng)該加密協(xié)商機(jī)制生效時,IP終端連接VOIP服務(wù)器通過加密機(jī)制獲得加密的密鑰�����,并對自身發(fā)出的信令數(shù)據(jù)包利用該加密機(jī)制進(jìn)行加密��;接收報文的終端通過所述的加密協(xié)商機(jī)制識別接收到的報文是否加密����,若收到的報文是加密的,對加密報文利用所述的加密機(jī)制進(jìn)行解密處理,相應(yīng)的����,該接收報文的終端發(fā)出的報文利用所述的加密機(jī)制進(jìn)行加密后發(fā)出;所述的加密協(xié)商機(jī)制遵循如下規(guī)則(a)�、對于發(fā)起呼叫的終端根據(jù)終端的加密配置決定發(fā)起的呼叫是否啟用加密機(jī)制;若終端被配置為加密的�,則呼叫過程使用加密機(jī)制,否則呼叫過程不使用加密機(jī)制���;
(b)�����、對于接受呼叫的終端根據(jù)收到的呼叫請求報文的加密標(biāo)示確定接收到的呼叫其后續(xù)過程是否需要加密����;若接受到的呼叫請求報文有加密標(biāo)示����,則呼叫過程使用加密機(jī)制��,否則呼叫過程不使用加密機(jī)制����;(C)��、當(dāng)發(fā)起或接受呼叫的終端確定使用加密機(jī)制時�,其發(fā)出SIP信令的SDP攜帶 a = x-encrypt :on屬性加密標(biāo)示�,否則攜帶a = χ-encrypt屬性加密標(biāo)示;(d)����、當(dāng)發(fā)起或接受呼叫的終端收到SIP信令的SDP報文中攜帶a = χ-encrypt on屬性加密標(biāo)示,則終端確定本次通話的語音使用加密機(jī)制�,否則不使用加密機(jī)制;所述的加密機(jī)制包括信令加密/解密過程��,語音加密/解密過程和密鑰獲取機(jī)制���。該信令加/解密過程的加密過程為第一步�����、終端使用密鑰獲取機(jī)制獲得加密密鑰��,對將要發(fā)出的SIP報文以字節(jié)為單位�,依報文字節(jié)的先后順序��,對奇數(shù)位的字節(jié)和偶數(shù)位的字節(jié)分別使用不同的加密密鑰按字節(jié)執(zhí)行加密算法Dm = Do XOR De ;其中Dm為密文字節(jié)�,Do為明文字節(jié),De為密鑰字節(jié)�����;第二步�、對經(jīng)過第一步處理的SIP報文加插報文頭,使所述的報文按字節(jié)順序依次包括加密標(biāo)示��,密文長度和密文三部分���;所述的加密標(biāo)示為兩個字節(jié)�,指示該報文是加密報文��,為固定值�,第一字節(jié)為十六進(jìn)制數(shù)EF,第二字節(jié)為十六進(jìn)制數(shù)FE �;所述的密文長度為兩個字節(jié),標(biāo)示密文的長度����;所述的密文為經(jīng)過該加密算法處理的SIP報文;該信令加/解密過程的解密過程為終端使用密鑰獲取機(jī)制獲得解密密鑰�����,對收到的SIP報文根據(jù)報文頭的第三�����、第四字節(jié)確定密文長度�,去掉報文頭部的四字節(jié)獲得到完整密文,對密文以字節(jié)為單位�,依密文字節(jié)的先后順序,對奇數(shù)位的字節(jié)和偶數(shù)位的字節(jié)使用不同的解密密鑰執(zhí)行以下解密算法Do = Dm XOR De ��;其中Do為明文字節(jié)���,Dm為密文字節(jié)�����,De為密鑰字節(jié)�����。該語音加/解密過程的加密過程為終端使用隨機(jī)數(shù)生成算法生成0-10以內(nèi)的隨機(jī)數(shù)作為加密報文的填充字節(jié)長度����;終端使用隨機(jī)數(shù)生成算法生成0-255以內(nèi)的隨機(jī)數(shù)作為加密報文的填充字節(jié),根據(jù)填充字節(jié)長度�,依次生成所有填充字節(jié);形成的加密報文包括加密報文頭和RTP格式封裝的語音數(shù)據(jù)兩部分�;所述的加密報文頭以字節(jié)形式順序包括加密標(biāo)示,填充數(shù)據(jù)長度和填充數(shù)據(jù)三部分��;該加密標(biāo)示為兩個字節(jié)�,內(nèi)容為固定值,第一字節(jié)為十六進(jìn)制數(shù)EE���,第二字節(jié)為十六進(jìn)制數(shù)FF;該填充數(shù)據(jù)長度為一個字節(jié)�����,內(nèi)容為隨機(jī)值�,范圍為0-10內(nèi)的任意自然數(shù)��;該填充數(shù)據(jù)的長度由填充數(shù)據(jù)長度字節(jié)定義���;該填充數(shù)據(jù)每字節(jié)內(nèi)容為隨機(jī)值�����, 范圍0-255之間的任意自然數(shù)���;RTP格式封裝的語音數(shù)據(jù)為VIOP通訊中的正常語音報文����;該語音加/解密過程的解密過程為
終端對收到的語音加密報文根據(jù)報文頭的第三字節(jié)確定報文頭的隨機(jī)字節(jié)長度����, 去掉報文頭部分的字節(jié)�,得到RTP格式封裝的語音數(shù)據(jù),解密完成��。所述的密鑰獲取機(jī)制為VOIP密鑰由兩個字節(jié)構(gòu)成��,每字節(jié)范圍為0-255之間的任意自然數(shù)���;第一個字節(jié)用于對SIP信令明文的奇數(shù)字節(jié)加密或用于對SIP信令密文的奇數(shù)字節(jié)解密���;第二字節(jié)用于對SIP信令明文的偶數(shù)字節(jié)加密或用于對SIP信令密文的偶數(shù)字節(jié)解密;該兩字節(jié)信息以十進(jìn)制文本的形式存儲于VOIP服務(wù)器的密鑰配置文件中���,由 VOIP服務(wù)器的配置管理軟件通過用戶界面接口提供對該密鑰的修改功能��;同時IP終端可以通過VOIP系統(tǒng)的私有協(xié)議向VOIP配置管理軟件獲取這兩個字節(jié)的密鑰�。該密鑰配置文件中的內(nèi)容為odd_key = 170和even_key = 85。該私有協(xié)議由請求消息和應(yīng)答消息構(gòu)成�;請求消息由實(shí)現(xiàn)了加密功能的IP終端產(chǎn)生發(fā)送給VOIP服務(wù)器的管理軟件;應(yīng)答消息由VOIP服務(wù)器的管理軟件在收到請求消息后產(chǎn)生����,該應(yīng)答消息包含了密鑰信息,并被發(fā)送到請求方��。該私有協(xié)議中由IP終端發(fā)向VOIP配置管理軟件的請求消息為getkey\r\n ����;該私有協(xié)議中由VOIP配置管理軟件發(fā)向IP終端的應(yīng)答消息為ok odd_key = 170,even_key = 85\r\n�����。該發(fā)起呼叫的終端實(shí)施加密機(jī)制的步驟為(1)���、用戶通過IP終端上的配置界面接口配置該終端為加密通訊方式��;(2)��、用戶通過該終端輸入被叫終端號碼后發(fā)起呼叫���;(3)��、IP終端判斷是否被配置為加密通訊方式��;若是���,該終端使用密鑰獲取機(jī)制獲得密鑰后執(zhí)行步驟4 ;否則執(zhí)行步驟5 �;(4)�����、該終端生成發(fā)起呼叫的SIP報文�,在報文的SDP屬性中插入a = χ-encrypt on屬性,對SIP報文執(zhí)行信令加密過程后執(zhí)行步驟6 �;(5)、終端生成發(fā)起呼叫的SIP報文�����,在報文的SDP屬性中插入a = χ-encrypt屬性���;執(zhí)行步驟6 ����;(6)、終端將處理后的信令報文發(fā)給被叫終端�����;(7)����、終端收到被叫終端加密的呼叫應(yīng)答報文,執(zhí)行信令解密過程���;(8)����、終端判斷呼叫應(yīng)答報文SDP中是否有a = χ-encrypt :on屬性��;若有確定本次通話的語音需要加密����;否則確定本次通話語音不需要加密;(9)����、呼叫建立;根據(jù)步驟8的判斷,對語音執(zhí)行或不執(zhí)行語音加密/解密過程����;開始發(fā)送/接收語音。該接收呼叫的終端實(shí)施加密機(jī)制的步驟為(1)����、IP終端接收SIP呼叫請求報文;O)���、判斷該終端收到的SIP報文是否有加密標(biāo)示��;若是,終端使用密鑰獲取機(jī)制獲得密鑰并解密報文���;否則執(zhí)行正常的SIP呼叫過程�,本程序終止�����;(3)����、終端檢查接收的SIP報文的SDP中是否有a = χ-encrypt :on屬性;若有確定本次通話語音需要加密,執(zhí)行步驟4 ���;否則����,確定本次通話語音不需要加密���,執(zhí)行步驟5 ���;0)、終端生成接收應(yīng)答呼叫的SIP報文�,在報文的SDP屬性中插入a = x-encrypt :on屬性,執(zhí)行信令加密過程�����,執(zhí)行步驟6 ��;
(5)�����、終端生成接收應(yīng)答呼叫的SIP報文���,在報文的SDP屬性中插入a = χ-encrypt 屬性�����,執(zhí)行步驟6;(6)�����、終端將處理后的信令報文發(fā)給主叫終端���;(7)�����、呼叫建立����;根據(jù)步驟3的判斷�����,對語音執(zhí)行或不執(zhí)行語音加密/解密過程����,開始發(fā)送/接收語音。采用本發(fā)明的方法由于IP終端通過配置界面啟動加密協(xié)商機(jī)制����;當(dāng)該加密協(xié)商機(jī)制生效時,IP終端連接VOIP服務(wù)器通過加密機(jī)制獲得加密的密鑰���,并對自身發(fā)出的信令數(shù)據(jù)包利用該加密機(jī)制進(jìn)行加密����;接收報文的終端通過所述的加密協(xié)商機(jī)制識別接收到的報文是否加密��,若收到的報文是加密的�,對加密報文利用所述的加密機(jī)制進(jìn)行解密處理,相應(yīng)的���,該接收報文的終端發(fā)出的報文利用所述的加密機(jī)制進(jìn)行加密后發(fā)出��;通過這種方法使得現(xiàn)有的語音防火墻無法通過分析信令或語音數(shù)據(jù)包的特征來確定參與語音通訊的終端的網(wǎng)絡(luò)地址��,從而使語音防火墻無法正常工作���,而保證語音通訊正常進(jìn)行。
圖1為現(xiàn)有技術(shù)中部署了語音防火墻的網(wǎng)絡(luò)結(jié)構(gòu)示意圖����;圖2為現(xiàn)有技術(shù)中語音防火墻根據(jù)信令攔截語音包原理示意圖���;圖3為現(xiàn)有技術(shù)中語音防火墻根據(jù)語音包特征攔截語音包原理示意圖;圖4為本發(fā)明發(fā)起呼叫的終端實(shí)施加密機(jī)制的流程圖�����;圖5為本發(fā)明接受呼叫的終端實(shí)施加密機(jī)制的流程圖���。
具體實(shí)施例方式本發(fā)明一種VOIP系統(tǒng)中語音穿透防火墻的方法���,其IP終端通過配置界面決定是否啟動加密協(xié)商機(jī)制;當(dāng)該加密協(xié)商機(jī)制生效時�����,IP終端連接VOIP服務(wù)器通過加密機(jī)制獲得加密的密鑰�,并對自身發(fā)出的信令數(shù)據(jù)包利用該加密機(jī)制進(jìn)行加密;接收報文的終端通過所述的加密協(xié)商機(jī)制識別接收到的報文是否加密���,若收到的報文是加密的,對加密報文利用所述的加密機(jī)制進(jìn)行解密處理����,相應(yīng)的�����,該接收報文的終端發(fā)出的報文利用所述的加密機(jī)制進(jìn)行加密后發(fā)出���;所述的加密協(xié)商機(jī)制遵循如下規(guī)則(a)、對于發(fā)起呼叫的終端根據(jù)終端的加密配置決定發(fā)起的呼叫是否啟用加密機(jī)制�����;若終端被配置為加密的�����,則呼叫過程使用加密機(jī)制��,否則呼叫過程不使用加密機(jī)制�����;(b)���、對于接受呼叫的終端根據(jù)收到的呼叫請求報文的加密標(biāo)示確定接收到的呼叫其后續(xù)過程是否需要加密����;若接受到的呼叫請求報文有加密標(biāo)示,則呼叫過程使用加密機(jī)制�,否則呼叫過程不使用加密機(jī)制;(C)��、當(dāng)發(fā)起或接受呼叫的終端確定呼叫需要加密使用加密機(jī)制時���,其發(fā)出SIP信令(一種VOIP呼叫信令)的SDP (描述本端媒體屬性的報文)攜帶“a = X-encrypt:on” 屬性加密標(biāo)示�,否則攜帶“a = x-encrypt”屬性加密標(biāo)示���;(d)��、當(dāng)發(fā)起或接受呼叫的終端收到SIP信令的SDP報文中攜帶“a = χ-encrypt on”屬性加密標(biāo)示�����,則終端確定本次通話的語音使用加密機(jī)制�����,語音需要加密���,否則不使用加密機(jī)制;
當(dāng)終端確定呼叫過程需要加密時����,使用該加密機(jī)制。所述的加密機(jī)制包括信令加密/解密過程�,語音加密/解密過程和密鑰獲取機(jī)制。信令加/解密過程本過程針對加密呼叫中的SIP報文由發(fā)出報文的終端實(shí)施加密過程�����,由接收報文的終端實(shí)施解密過程�����。(一 )加密過程1����、終端使用“密鑰獲取機(jī)制”獲得加密密鑰,對將要發(fā)出的SIP報文以字節(jié)為單位��,依報文字節(jié)的先后順序���,對奇數(shù)位的字節(jié)和偶數(shù)位的字節(jié)使用相同的加密算法不同的加密密鑰執(zhí)行以下加密算法Dm = Do XOR De (Dm 密文字節(jié)��,Do 明文字節(jié)���,De 密鑰字節(jié))VOIP密鑰由兩個字節(jié)構(gòu)成����,每字節(jié)值范圍為0-255之間任意自然數(shù)����,第一個字節(jié)用于對SIP信令明文的奇數(shù)字節(jié)加密或用于對SIP信令密文的奇數(shù)字節(jié)解密,第二字節(jié)用于對SIP信令明文的偶數(shù)字節(jié)加密或用于對SIP信令密文的偶數(shù)字節(jié)解密����。這兩字節(jié)信息以十進(jìn)制文本的形式存儲于VOIP服務(wù)器的密鑰配置文件中,VOIP服務(wù)器的配置管理軟件可以通過用戶界面接口提供對該密鑰的修改功能�����。同時IP終端可以通過VOIP系統(tǒng)的私有協(xié)議向VOIP配置管理軟件獲取這兩個字節(jié)的密鑰�。譬如V0IP系統(tǒng)的中的密鑰配置文件中的內(nèi)容可以定義如下odd_key = 170even_key = 85IP終端與VOIP配置管理軟件間的協(xié)議可以以文本行的形式定義如下①、請求消息(IP終端發(fā)向VOIP配置管理軟件)getkey\r\n ����;②、應(yīng)答消息(VOIP配置管理軟件發(fā)向IP終端):ok odd_key = 170����,even_key = 85\r\n �;2�����、對經(jīng)過第一步處理的SIP報文加插報文頭��,加插后的加密報文如下所示
加密標(biāo)示密文長度密文加密標(biāo)示兩個字節(jié)�,指示該報文是加密報文��,該為固定值����,第一字節(jié)為EF(十六進(jìn)制數(shù)值),第二字節(jié)為FE (十六進(jìn)制數(shù)值)��;密文長度兩個字節(jié)���,標(biāo)示密文的長度�����;密文經(jīng)過加密算法處理的SIP報文���;(二)�����、解密過程終端使用“密鑰獲取機(jī)制”獲得加密密鑰��,對收到的SIP報文根據(jù)報文頭的3����,4字節(jié)確定密文長度����,去掉報文頭部的四字節(jié)獲得到完整密文,對密文以字節(jié)為單位�����,依密文字節(jié)的先后順序���,對奇數(shù)位的字節(jié)和偶數(shù)位的字節(jié)使用相同的解密算法不同的解密密鑰執(zhí)行以下解密算法Do = Dm XOR De (Do 明文字節(jié)����,Dm 密文字節(jié)�,De 密鑰字節(jié))語音加/解密過程本過程針對加密通訊中的語音報文由發(fā)送報文的終端實(shí)施加密過程��,由接收報文的終端實(shí)施解密過程�。(一)���、加密過程終端使用“隨機(jī)數(shù)生成算法”生成0-10以內(nèi)的隨機(jī)(自然數(shù))數(shù)作為加密報文的填充字節(jié)長度�;終端使用“隨機(jī)數(shù)生成算法”生成0-255以內(nèi)的隨機(jī)(自然數(shù))數(shù)作為加密報文的填充字節(jié)�,根據(jù)填充字節(jié)長度,依次生成所有填充字節(jié)�;依以下結(jié)構(gòu)組裝加密報文
權(quán)利要求
1.一種VOIP系統(tǒng)中語音穿透防火墻的方法�����,其特征在于IP終端通過配置界面決定是否啟動加密協(xié)商機(jī)制����;當(dāng)該加密協(xié)商機(jī)制生效時,IP終端連接VOIP服務(wù)器通過加密機(jī)制獲得加密的密鑰�����,并對自身發(fā)出的信令數(shù)據(jù)包利用該加密機(jī)制進(jìn)行加密���;接收報文的終端通過所述的加密協(xié)商機(jī)制識別接收到的報文是否加密��,若收到的報文是加密的�,對加密報文利用所述的加密機(jī)制進(jìn)行解密處理,相應(yīng)的��,該接收報文的終端發(fā)出的報文利用所述的加密機(jī)制進(jìn)行加密后發(fā)出���;所述的加密協(xié)商機(jī)制遵循如下規(guī)則(a)�、對于發(fā)起呼叫的終端根據(jù)終端的加密配置決定發(fā)起的呼叫是否啟用加密機(jī)制���;若終端被配置為加密的����,則呼叫過程使用加密機(jī)制�����,否則呼叫過程不使用加密機(jī)制��;(b)���、對于接受呼叫的終端根據(jù)收到的呼叫請求報文的加密標(biāo)示確定接收到的呼叫其后續(xù)過程是否需要加密����;若接受到的呼叫請求報文有加密標(biāo)示,則呼叫過程使用加密機(jī)制�����, 否則呼叫過程不使用加密機(jī)制����;(c)、當(dāng)發(fā)起或接受呼叫的終端確定使用加密機(jī)制時��,其發(fā)出SIP信令的SDP攜帶a= x-encrypt :on屬性加密標(biāo)示����,否則攜帶a = χ-encrypt屬性加密標(biāo)示���;(d)�����、當(dāng)發(fā)起或接受呼叫的終端收到SIP信令的SDP報文中攜帶a= χ-encrypt :on屬性加密標(biāo)示�����,則終端確定本次通話的語音使用加密機(jī)制�����,否則不使用加密機(jī)制��;所述的加密機(jī)制包括信令加密/解密過程�,語音加密/解密過程和密鑰獲取機(jī)制。
2.如權(quán)利要求1所述的VOIP系統(tǒng)中語音穿透防火墻的方法�,其特征在于 該信令加/解密過程的加密過程為第一步、終端使用密鑰獲取機(jī)制獲得加密密鑰���,對將要發(fā)出的SIP報文以字節(jié)為單位���, 依報文字節(jié)的先后順序,對奇數(shù)位的字節(jié)和偶數(shù)位的字節(jié)分別使用不同的加密密鑰按字節(jié)執(zhí)行加密算法Dm = Do XOR De ����;其中Dm為密文字節(jié),Do為明文字節(jié)�����,De為密鑰字節(jié)����;第二步�����、對經(jīng)過第一步處理的SIP報文加插報文頭�����,使所述的報文按字節(jié)順序依次包括加密標(biāo)示��,密文長度和密文三部分�;所述的加密標(biāo)示為兩個字節(jié)���,指示該報文是加密報文�,為固定值����,第一字節(jié)為十六進(jìn)制數(shù)EF���,第二字節(jié)為十六進(jìn)制數(shù)FE ����;所述的密文長度為兩個字節(jié)��,標(biāo)示密文的長度; 所述的密文為經(jīng)過該加密算法處理的SIP報文�; 該信令加/解密過程的解密過程為終端使用密鑰獲取機(jī)制獲得解密密鑰,對收到的SIP報文根據(jù)報文頭的第三����、第四字節(jié)確定密文長度,去掉報文頭部的四字節(jié)獲得到完整密文���,對密文以字節(jié)為單位��,依密文字節(jié)的先后順序�����,對奇數(shù)位的字節(jié)和偶數(shù)位的字節(jié)使用不同的解密密鑰執(zhí)行以下解密算法 Do = Dm XOR De �;其中Do為明文字節(jié)�,Dm為密文字節(jié),De為密鑰字節(jié)�����。
3.如權(quán)利要求1所述的VOIP系統(tǒng)中語音穿透防火墻的方法����,其特征在于 該語音加/解密過程的加密過程為終端使用隨機(jī)數(shù)生成算法生成0-10以內(nèi)的隨機(jī)數(shù)作為加密報文的填充字節(jié)長度���; 終端使用隨機(jī)數(shù)生成算法生成0-255以內(nèi)的隨機(jī)數(shù)作為加密報文的填充字節(jié),根據(jù)填充字節(jié)長度����,依次生成所有填充字節(jié);形成的加密報文包括加密報文頭和RTP格式封裝的語音數(shù)據(jù)兩部分�;所述的加密報文頭以字節(jié)形式順序包括加密標(biāo)示,填充數(shù)據(jù)長度和填充數(shù)據(jù)三部分�����;該加密標(biāo)示為兩個字節(jié)���,內(nèi)容為固定值����,第一字節(jié)為十六進(jìn)制數(shù)EE��,第二字節(jié)為十六進(jìn)制數(shù)FF��;該填充數(shù)據(jù)長度為一個字節(jié)��,內(nèi)容為隨機(jī)值����,范圍為0-10內(nèi)的任意自然數(shù);該填充數(shù)據(jù)的長度由填充數(shù)據(jù)長度字節(jié)定義��;該填充數(shù)據(jù)每字節(jié)內(nèi)容為隨機(jī)值����,范圍 0-255之間的任意自然數(shù);RTP格式封裝的語音數(shù)據(jù)為VIOP通訊中的正常語音報文�����;該語音加/解密過程的解密過程為終端對收到的語音加密報文根據(jù)報文頭的第三字節(jié)確定報文頭的隨機(jī)字節(jié)長度����,去掉報文頭部分的字節(jié),得到RTP格式封裝的語音數(shù)據(jù)�,解密完成。
4.如權(quán)利要求1所述的VOIP系統(tǒng)中語音穿透防火墻的方法����,其特征在于所述的密鑰獲取機(jī)制為VOIP密鑰由兩個字節(jié)構(gòu)成,每字節(jié)范圍為0-255之間的任意自然數(shù)����;第一個字節(jié)用于對SIP信令明文的奇數(shù)字節(jié)加密或用于對SIP信令密文的奇數(shù)字節(jié)解密��;第二字節(jié)用于對 SIP信令明文的偶數(shù)字節(jié)加密或用于對SIP信令密文的偶數(shù)字節(jié)解密�;該兩字節(jié)信息以十進(jìn)制文本的形式存儲于VOIP服務(wù)器的密鑰配置文件中�����,由VOIP服務(wù)器的配置管理軟件通過用戶界面接口提供對該密鑰的修改功能�����;同時IP終端可以通過 VOIP系統(tǒng)的私有協(xié)議向VOIP配置管理軟件獲取這兩個字節(jié)的密鑰���。
5.如權(quán)利要求4所述的VOIP系統(tǒng)中語音穿透防火墻的方法���,其特征在于該密鑰配置文件中的內(nèi)容為 odd_key = 170 禾口 even_key = 85。
6.如權(quán)利要求4所述的VOIP系統(tǒng)中語音穿透防火墻的方法����,其特征在于該私有協(xié)議由請求消息和應(yīng)答消息構(gòu)成;請求消息由實(shí)現(xiàn)了加密功能的IP終端產(chǎn)生發(fā)送給VOIP服務(wù)器的管理軟件����;應(yīng)答消息由VOIP服務(wù)器的管理軟件在收到請求消息后產(chǎn)生�,該應(yīng)答消息包含了密鑰信息��,并被發(fā)送到請求方����。
7.如權(quán)利要求6所述的VOIP系統(tǒng)中語音穿透防火墻的方法�����,其特征在于該私有協(xié)議中由IP終端發(fā)向VOIP配置管理軟件的請求消息為getkey\r\n �;該私有協(xié)議中由VOIP配置管理軟件發(fā)向IP終端的應(yīng)答消息為ok odd_key = 170,even_key = 85\r\n��。
8.如權(quán)利要求1所述的VOIP系統(tǒng)中語音穿透防火墻的方法��,其特征在于該發(fā)起呼叫的終端實(shí)施加密機(jī)制的步驟為(1)���、用戶通過IP終端上的配置界面接口配置該終端為加密通訊方式����;O)��、用戶通過該終端輸入被叫終端號碼后發(fā)起呼叫���;(3)�����、IP終端判斷是否被配置為加密通訊方式�����;若是���,該終端使用密鑰獲取機(jī)制獲得密鑰后執(zhí)行步驟4 ���;否則執(zhí)行步驟5 ;(4)�����、該終端生成發(fā)起呼叫的SIP報文����,在報文的SDP屬性中插入a= χ-encrypt :on屬性,對SIP報文執(zhí)行信令加密過程后執(zhí)行步驟6 �����;(5)、終端生成發(fā)起呼叫的SIP報文���,在報文的SDP屬性中插入a= χ-encrypt屬性�����;執(zhí)行步驟6 ;(6)����、終端將處理后的信令報文發(fā)給被叫終端;(7)����、終端收到被叫終端加密的呼叫應(yīng)答報文,執(zhí)行信令解密過程���;(8)��、終端判斷呼叫應(yīng)答報文SDP中是否有a= X-encrypt :οη屬性��;若有確定本次通話的語音需要加密�;否則確定本次通話語音不需要加密���;(9)��、呼叫建立��;根據(jù)步驟8的判斷��,對語音執(zhí)行或不執(zhí)行語音加密/解密過程��;開始發(fā)送/接收語音��。
9.如權(quán)利要求1所述的VOIP系統(tǒng)中語音穿透防火墻的方法����,其特征在于該接收呼叫的終端實(shí)施加密機(jī)制的步驟為(1)、IP終端接收SIP呼叫請求報文�����;(2)�����、判斷該終端收到的SIP報文是否有加密標(biāo)示���;若是�����,終端使用密鑰獲取機(jī)制獲得密鑰并解密報文�;否則執(zhí)行正常的SIP呼叫過程,本程序終止��;(3)�、終端檢查接收的SIP報文的SDP中是否有a= χ-encrypt :οη屬性;若有確定本次通話語音需要加密�,執(zhí)行步驟4 ����;否則,確定本次通話語音不需要加密����,執(zhí)行步驟5 ;(4)��、終端生成接收應(yīng)答呼叫的SIP報文����,在報文的SDP屬性中插入a= χ-encrypt :on 屬性,執(zhí)行信令加密過程�,執(zhí)行步驟6 �;(5)�����、終端生成接收應(yīng)答呼叫的SIP報文�,在報文的SDP屬性中插入a= χ-encrypt屬性,執(zhí)行步驟6;(6)��、終端將處理后的信令報文發(fā)給主叫終端���;(7)����、呼叫建立���;根據(jù)步驟3的判斷����,對語音執(zhí)行或不執(zhí)行語音加密/解密過程��,開始發(fā)送/接收語音�����。
全文摘要
本發(fā)明公開了一種VOIP系統(tǒng)中語音穿透防火墻的方法,屬于實(shí)現(xiàn)網(wǎng)絡(luò)通訊技術(shù)的技術(shù)領(lǐng)域�����。IP終端通過配置界面決定是否啟動加密協(xié)商機(jī)制��;當(dāng)該加密協(xié)商機(jī)制生效時��,IP終端連接VOIP服務(wù)器通過加密機(jī)制獲得加密的密鑰�����,并對自身發(fā)出的信令數(shù)據(jù)包利用該加密機(jī)制進(jìn)行加密�����;接收報文的終端通過所述的加密協(xié)商機(jī)制識別接收到的報文是否加密��,并對加密報文利用所述的加密機(jī)制進(jìn)行解密處理同時進(jìn)行加密后發(fā)出���。通過這種方法可在承載網(wǎng)絡(luò)存在不可控制的語音防火墻設(shè)置時保證語音通訊正常進(jìn)行。
文檔編號H04L29/06GK102185827SQ20111003222
公開日2011年9月14日 申請日期2011年1月30日 優(yōu)先權(quán)日2011年1月30日
發(fā)明者吳天勇, 張劍華, 李三零, 李偉明, 李艷平 申請人:廣東佳和通信技術(shù)有限公司