一種實(shí)現(xiàn)sip會(huì)話傳輸?shù)姆椒跋到y(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及遠(yuǎn)程通訊技術(shù)�,尤指一種實(shí)現(xiàn)SIP會(huì)話傳輸?shù)姆椒跋到y(tǒng)。
【背景技術(shù)】
[0002]針對(duì)技術(shù)機(jī)密的重要性�,越來(lái)越多的企業(yè)希望遠(yuǎn)程通訊時(shí)能加密傳輸,使用對(duì)數(shù)據(jù)加密的需求也是越來(lái)越大����。
[0003]會(huì)議電視走向運(yùn)營(yíng)之后,初始會(huì)話協(xié)議(SIP)的應(yīng)用也越來(lái)越廣��,SIP的加密傳輸必然會(huì)成為重要的關(guān)注點(diǎn)?,F(xiàn)有的SIP加密傳輸都是通過(guò)客戶端和服務(wù)端的證書(shū)和密鑰來(lái)實(shí)現(xiàn)的,大致處理流程如圖1所示��,圖1為現(xiàn)有服務(wù)端與客戶端之間實(shí)現(xiàn)安全套接層協(xié)議(SSL, Secure Sockets Layer)握手交互的流程示意圖,包括:
[0004]步驟100:客戶端發(fā)送的握手消息為客戶端問(wèn)候(Client Hello)消息���,其中攜帶有客戶端所推薦的加密參數(shù)�����,比如客戶端準(zhǔn)備使用的加密算法�����,此外��,還攜帶有一個(gè)在密鑰產(chǎn)生過(guò)程中使用的隨機(jī)值�。
[0005]步驟101?步驟103:服務(wù)端向客戶端回復(fù)選擇加密與壓縮算法的服務(wù)器問(wèn)候(Server Hello)消息,其中攜帶有一個(gè)服務(wù)端產(chǎn)生的隨機(jī)值�;服務(wù)端向客戶端發(fā)送證書(shū)(Certificate)消息,其中攜帶有服務(wù)端的公用密鑰�����,比如RSA密鑰�;服務(wù)端向客戶端發(fā)送表示握手階段不再有任何消息的服務(wù)器問(wèn)候結(jié)束(Server Hello Done)消息。
[0006]其中�����,RSA加密算法是一種非對(duì)稱加密算法����。在公鑰加密標(biāo)準(zhǔn)和電子商業(yè)中RSA被廣泛使用。RSA是1977年由羅納德?李維斯特(Ron Rivest)����、阿迪.薩莫爾(Adi Shamir)和倫納德.阿德曼(Leonard Adleman) 一起提出的�。
[0007]步驟104?步驟106:客戶端向服務(wù)器發(fā)送客戶端密鑰交換(Cl ient_Key_Exchange)消息,其中攜帶有一個(gè)隨機(jī)產(chǎn)生的用服務(wù)端的RSA密鑰加密的密鑰���。接著,發(fā)送用于指示客戶端在此之后發(fā)送的所有消息都將使用上述商定的密鑰進(jìn)行加密的修改密鑰說(shuō)明(Change_Cipher_Spec)消息�。最后客戶端向服務(wù)器發(fā)送完成(Finished)消息,其中攜帶有對(duì)整個(gè)連接過(guò)程的校驗(yàn)����。這樣,服務(wù)端就能夠判斷要使用的加密算法是否是安全商定的了����。
[0008]步驟107?步驟108:—旦服務(wù)端接收到來(lái)自客戶端的Finished消息,服務(wù)端就會(huì)發(fā)送自身的Change_Cipher_Spec消息和Finished消息�。至此,客戶端與服務(wù)端之間的連接就準(zhǔn)備好進(jìn)行應(yīng)用數(shù)據(jù)的傳輸了。
[0009]步驟109?步驟110:客戶端和服務(wù)端利用協(xié)商好的密鑰發(fā)送應(yīng)用數(shù)據(jù)�,以實(shí)現(xiàn)SIP會(huì)話。
[0010]如果客戶端關(guān)閉連接,客戶端會(huì)先向服務(wù)端發(fā)送關(guān)閉通知(close_notify alter)消息來(lái)表示連接即將關(guān)閉��。
[0011]在現(xiàn)有實(shí)現(xiàn)SIP會(huì)話加密傳輸中��,每個(gè)終端和多點(diǎn)控制單元(MCU)都可能同時(shí)既是服務(wù)端��,又是客戶端�����,比如,對(duì)于MCU來(lái)講���,當(dāng)MCU主叫某終端時(shí)���,MCU扮演客戶端角色��,而當(dāng)MCU作為被叫時(shí)��,MCU扮演服務(wù)端角色�����。也就是說(shuō)��,MCU需要分別導(dǎo)入兩個(gè)證書(shū)��,一個(gè)客戶端證書(shū)����,一個(gè)服務(wù)端證書(shū),這樣的操作就已相當(dāng)復(fù)雜�����。對(duì)于每次呼叫MCU和終端都需要申請(qǐng)證書(shū),而且MCU作為主叫/被叫終端時(shí)���,MCU和終端申請(qǐng)的證書(shū)還不一樣�;iMCU作為主叫終端時(shí)����,MCU需要申請(qǐng)客戶端證書(shū),相對(duì)應(yīng)的終端需要申請(qǐng)服務(wù)端證書(shū)�;當(dāng)MCU作為被叫時(shí),即終端主叫MCU時(shí)����,MCU需要申請(qǐng)服務(wù)端證書(shū),終端則需要申請(qǐng)客戶端證書(shū)�。
[0012]此外,證書(shū)的生成和導(dǎo)入驗(yàn)證操作都比較麻煩���,而服務(wù)端證書(shū)相對(duì)于客戶端的證書(shū)來(lái)說(shuō)�,更復(fù)雜����。而且對(duì)于一個(gè)設(shè)備需要管理那么多的證書(shū)也是一件很繁瑣的事情���。
【發(fā)明內(nèi)容】
[0013]為了解決上述技術(shù)問(wèn)題,本發(fā)明提供一種實(shí)現(xiàn)SIP會(huì)話傳輸?shù)姆椒跋到y(tǒng)����,能夠簡(jiǎn)化證書(shū)生成和驗(yàn)證操作,同時(shí)確保SIP加密傳輸�����。
[0014]為了達(dá)到本發(fā)明目的���,本發(fā)明提供了一種實(shí)現(xiàn)初始會(huì)話協(xié)議SIP會(huì)話傳輸?shù)姆椒ǎ赟IP服務(wù)端中導(dǎo)入服務(wù)端證書(shū)�,在SIP客戶端中導(dǎo)入客戶端證書(shū);還包括:
[0015]SIP客戶端與SIP服務(wù)端之間進(jìn)行密鑰交換�;
[0016]SIP客戶端之間通過(guò)建立的TLS連接和交換的密鑰經(jīng)由SIP服務(wù)端進(jìn)行SIP會(huì)話加密傳輸。
[0017]所述進(jìn)行SIP會(huì)話加密傳輸之前�,該方法還包括:
[0018]所述SIP客戶端實(shí)現(xiàn)在SIP服務(wù)端上的注冊(cè),并在所述SIP客戶端與SIP服務(wù)端之間建立起安全傳輸層協(xié)議TLS連接����。
[0019]所述SIP客戶端包括MCU,及終端���;所述SIP服務(wù)端用于轉(zhuǎn)發(fā)SIP客戶端之間加密后的SIP信息��。
[0020]所述SIP客戶端包括第一 SIP客戶端和第二 SIP客戶端���;所述進(jìn)行SIP會(huì)話加密傳輸包括:
[0021 ] 第一 SIP客戶端通過(guò)自身與所述SIP服務(wù)端之間的第一 TLS連接對(duì)邀請(qǐng)INVITE信令進(jìn)行加密并發(fā)送給所述SIP服務(wù)端���;所述SIP服務(wù)端轉(zhuǎn)發(fā)收到的加密后的INVITE信令,并通過(guò)第二 SIP客戶端與所述SIP服務(wù)端之間的第二 TLS連接將加密后的信令解密后發(fā)給第二 SIP客戶端��;
[0022]第二 SIP客戶端通過(guò)第二 TLS連接先后對(duì)應(yīng)答10Trying信令��、響鈴180Ringing信令��、2000K信令加密后發(fā)送給所述SIP服務(wù)端����;所述SIP服務(wù)端轉(zhuǎn)發(fā)收到的加密后的信令并通過(guò)第一 TLS連接進(jìn)行解密后發(fā)給第一 SIP客戶端;
[0023]第一 SIP客戶端通過(guò)第一 TLS連接對(duì)響應(yīng)ACK信令進(jìn)行加密并發(fā)送給所述SIP服務(wù)端��;所述SIP服務(wù)端轉(zhuǎn)發(fā)該加密后的INVITE信令��,并通過(guò)第二 TLS連接解密后發(fā)給終端�。
[0024]該方法還包括:所述第一 SIP客戶端與所述SIP服務(wù)端之間通過(guò)注銷過(guò)程釋放所述第一 TLS連接,所述第二 SIP客戶端與SIP服務(wù)端之間釋放所述第二 TLS連接�����。
[0025]本發(fā)明還公開(kāi)了一種實(shí)現(xiàn)SIP會(huì)話傳輸?shù)南到y(tǒng),至少包括SIP客戶端和SIP服務(wù)端�����;其中���,
[0026]SIP客戶端中導(dǎo)入有客戶端證書(shū)��,用于與SIP服務(wù)端之間進(jìn)行密鑰交換�,通過(guò)建立的TLS連接和交換的密鑰經(jīng)由SIP服務(wù)端進(jìn)行SIP會(huì)話加密傳輸��;
[0027]SIP服務(wù)端中導(dǎo)入有服務(wù)端證書(shū)���,用于與SIP客戶端之間進(jìn)行密鑰交換,轉(zhuǎn)發(fā)SIP客戶端之間交互的加密SIP信息�。
[0028]所述SIP客戶端,還用于實(shí)現(xiàn)在所述SIP服務(wù)端上的注冊(cè)��,并在所述SIP客戶端與SIP服務(wù)端之間建立起安全傳輸層協(xié)議TLS連接�。
[0029]所述SIP客戶端包括MCU,及終端��。
[0030]與現(xiàn)有技術(shù)相比,本申請(qǐng)技術(shù)方案包括在SIP服務(wù)端中導(dǎo)入服務(wù)端證書(shū)����,在SIP客戶端中導(dǎo)入客戶端證書(shū);SIP客戶端與SIP服務(wù)端之間進(jìn)行密鑰交換���;SIP客戶端之間通過(guò)建立的TLS連接和交換的密鑰經(jīng)由SIP服務(wù)端進(jìn)行SIP會(huì)話加密傳輸�����。本發(fā)明實(shí)現(xiàn)SIP會(huì)話的方法中����,由于確定的作為服務(wù)端(即只能作為服務(wù)端)的SIP服務(wù)端�����,和確定的作為客戶端(即只能作為客戶端)的SIP客戶端�����,既實(shí)現(xiàn)了靜態(tài)的預(yù)先導(dǎo)入證書(shū)���,又簡(jiǎn)化了證書(shū)驗(yàn)證的流程�����,提高了工作效率����,方便了證書(shū)的生成,解決了現(xiàn)有導(dǎo)入證書(shū)繁瑣的問(wèn)題�。也就會(huì)說(shuō),本發(fā)明提供的技術(shù)方案既簡(jiǎn)化了證書(shū)生成和驗(yàn)證操作�����,同時(shí)又確保了 SIP加密傳輸�。
[0031]本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說(shuō)明書(shū)中闡述,并且�,部分地從說(shuō)明書(shū)中變得顯而易見(jiàn),或者通過(guò)實(shí)施本發(fā)明而了解�。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過(guò)在說(shuō)明書(shū)、權(quán)利要求書(shū)以及附圖中所特別指出的結(jié)構(gòu)來(lái)實(shí)現(xiàn)和獲得�。
【附圖說(shuō)明】
[0032]此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分���,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定����。在附圖中:
[0033]圖1為現(xiàn)有服務(wù)端與客戶端之間實(shí)現(xiàn)SSL握手交互的流程示意圖����;
[0034]圖2為本發(fā)明實(shí)現(xiàn)SIP會(huì)話傳輸?shù)姆椒ǖ牧鞒虉D�����;
[0035]圖3為本發(fā)明實(shí)現(xiàn)SIP會(huì)話處理的實(shí)施例的流程示意圖���;
[0036]圖4為本發(fā)明實(shí)現(xiàn)SIP會(huì)話傳輸?shù)南到y(tǒng)的組成結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0037]為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說(shuō)明�����。需要說(shuō)明的是����,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。
[0038]圖2為本發(fā)明實(shí)現(xiàn)SIP會(huì)話傳輸?shù)姆椒ǖ牧鞒虉D�����,如圖2所示����,包括以下步驟:
[0039]步驟200:在SIP服務(wù)端中導(dǎo)入服務(wù)端證書(shū),在SIP客戶端中導(dǎo)入客戶端證書(shū)��。本步驟的具體實(shí)現(xiàn)屬于本領(lǐng)域技術(shù)人員的慣用技術(shù)手段���,具體如何導(dǎo)入證書(shū)本身并不用于限定本發(fā)明的保護(hù)范圍����,這里不再贅述����。
[00