本发明专利技术公开了一种适用于VOIP语音加密的密钥分发方法,由主叫终端向密钥分发服务器(简称KDS)发起会话密钥申请,触发密钥分发,由KDS为主被叫双方产生会话密钥,返回给主叫终端;主叫终端得到会话密钥后,通过VOIP服务器向被叫终端发起加密呼叫,将KDS产生的密钥特征数据发送给被叫终端,通过VOIP服务器主被叫双方建立媒体流传输通道;双方使用会话密钥对媒体流加密后传输给对方,对方收到后使用会话密钥对接收到的数据解密得到媒体流。本发明专利技术的优点:密钥直接由KDS产生,易于密钥管理,降低对VoIP服务器的调整改造;KDS在密钥产生前对双方进行身份验证,弥补SIP协议自身身份认证的脆弱性;一话一密,全程加密,传输过程不出现明文,安全性高。
【技术实现步骤摘要】
一种适用于VOIP语音加密的密钥分发方法
本专利技术涉及一种密钥分发机制,特别涉及一种在分组交换网络中,实现主、被叫终端间端到端的媒体流加密密钥分发的方法,属于加密通信领域。
技术介绍
随着网络通信和计算机技术的发展,基于分组网络的语音、视频应用得到了广泛应用。分组网络通信中主要使用的VOIP信令标准有ITU-T提出的H.323体系和IETF提出的SIP体系,基于SIP标准的应用比基于H.323体系的应用具有很多优点,逐步得到了大量的应用。SIP(SessionInitiationProtocol)是一个会话层的信令控制协议,用于创建、修改和释放一个或多个参与者的会话,SIP终端与SIP服务器经过信令交互之后建立连接,语音采用基于RTP实时传输协议,在IP网络上传输。由于基于SIP协议实现的通话连接,双方交互的数据包均为明文,因此,通话内容极易在网络上被窃听,存在较大的信息安全隐患。目前针对VoIP的安全性设计,主要通过对SIP协议的传输保护解决语音加密密钥安全分发问题,如IP层的IPSec传输保护协议,TCP层的SSL传输保护协议;另外,也有通过扩展SIP协议实现端到端会话密钥协商的方式,但协商方式会引出双方身份认证困难并且难以有效监管的问题。
技术实现思路
鉴于上述原因,本专利技术的目的是提供一种适用于VOIP语音加密的密钥分发方法。为实现上述目的,本专利技术采用以下技术方案:一种适用于VOIP语音加密的密钥分发方法:A、由主叫终端向密钥分发服务器发起会话密钥申请,触发密钥分发,由密钥分发服务器为主、被叫终端双方产生会话密钥,返回给主叫终端;B、主叫终端得到会话密钥后,通过VOIP服务器向被叫终端发起加密呼叫,并将密钥分发服务器产生的密钥特征数据发送给被叫终端,通过VOIP服务器主、被叫终端建立媒体流传输通道;C、主、被叫终端双方使用会话密钥对媒体流加密后传输给对方,对方收到后使用会话密钥对接收到的数据解密得到媒体流。所述步骤A包括如下步骤:1)主叫终端向密钥分发服务器(简称KDS)发送会话密钥请求,该请求包含主、被叫双方的身份标识;2)KDS向主叫终端返回会话标识、挑战数据以及时间数据;21)KDS随机产生会话标识、挑战数据;时间数据为KDS当前本地时间;22)会话标识用于标识主叫终端的本次会话请求;23)挑战数据用于主叫终端证明其身份;24)时间数据用于主叫终端验证当前时间;3)主叫终端验证时间数据后产生应答数据并继续向KDS发起会话密钥申请;4)KDS为主、被叫双方产生会话密钥特征数据并将密钥特征数据返回主叫终端;5)主叫终端对密钥特征数据进行校验,然后使用自己的私有数据对接收到的密钥特征数据运算后得到明文会话密钥;该明文会话密钥可以直接用于加密媒体流数据,或者通过密钥派生方法产生用于媒体加密或媒体认证的密钥数据。所述步骤B包括如下步骤:1)主叫终端向VoIP服务器发起加密呼叫请求;2)加密呼叫请求应答后,主叫终端通过VoIP服务器向被叫终端发送KDS产生的密钥特征数据;3)被叫终端使用自己的私有数据对接收到的密钥特征数据运算后得到明文的会话密钥。所述步骤A中的第3)小步具体步骤如下:31)主叫终端首先对时间数据与本地时间进行比对,判断应答是否为重放消息;32)主叫终端使用私有数据对挑战数据计算产生应答数据;33)应答数据可以为消息认证码(MAC)或签名数据;34)在应答数据产生的过程中,可以加入主被叫双方的身份标识参与运算。所述步骤A中的第4)小步具体步骤如下:41)KDS使用主叫终端的公开数据和挑战数据对应答数据进行验证;获取公开数据的方式包括但不限于下列方式:从自己的数据库检索获取从CA的证书发布系统获取申请获取会话密钥请求消息中携带的主被叫双方的公开数据;42)KDS随机产生或从其它密钥管理系统中获取会话密钥KS;KS可以包括携带密钥的完整性数据;完整性数据可以是密钥的摘要结果,也可以数据校验和,或者是其它的完整性计算方法的结果;43)KDS获取主被叫双方的公开数据,获取公开数据的方式包括但不限于下列方式:从自己的数据库检索获取从CA的证书发布系统获取申请获取会话密钥请求消息中携带的主被叫双方的公开数据;44)KDS使用主叫终端的公开数据对会话密钥计算后得到结果CKA;KDS使用主叫终端的公开数据PKA对会话密钥KS进行公钥加密或公钥运算得到密文数据CKA;为防止数据篡改或伪造,CKA中可以包含KDS对计算结果的认证数据,该认证结果可以为消息认证码(MAC)或签名数据;认证数据在产生过程中可以将主被叫双方的身份标识加入运算;45)KDS使用被叫的公开数据对会话密钥计算后得到结果CKB;密钥分发中心使用主叫终端的公开数据PKB对会话密钥KS进行公钥加密或公钥运算得到密文数据CKB;为防止数据篡改或伪造,CKB中可以包含KDS对计算结果的认证数据,该认证结果可以为消息认证码(MAC)或签名数据;认证数据在产生过程中可以将主被叫双方的身份标识加入运算。所述步骤B中的第2)小步进一步包括如下步骤:21):主叫终端向VoIP服务器发送INFO消息;该请求包含KDS为被叫终端产生的密钥特征数据CKB;22):VoIP服务器向被叫发送INFO消息;1)该请求包含KDS为被叫终端产生的密钥特征数据CKB;2)被叫终端首先对密钥特征数据CKB进行校验,然后使用自己的私有数据对进行CKB解密得到明文KS;3)KS可以直接用于加密媒体流数据,或者通过固定密钥派生方法产生用于媒体加密或媒体认证的密钥数据;4)KS的使用方式与主叫终端保持一致;23):被叫终端向VoIP服务器发送INFO消息响应;24):VoIP服务器向主叫终端发送INFO消息响应。附图说明图1为本专利技术密钥分发系统组成示意图;图2为本专利技术密钥分发实施例流程示意图。具体实施方式如图1所示,本专利技术提供的适用于VOIP语音加密的密钥分发方法是:由主叫终端向密钥分发服务器(简称KDS,KeyDistributiongServer)发起会话密钥申请,触发密钥分发,由密钥分发服务器为主、被叫终端双方产生会话密钥,返回给主叫终端;主叫终端得到会话密钥后,通过VOIP服务器向被叫终端发起加密呼叫,并将密钥分发服务器产生的密钥特征数据发送给被叫终端,通过VOIP服务器主、被叫终端建立媒体流传输通道;主、被叫终端双方使用会话密钥对媒体流加密后传输给对方,对方收到后使用会话密钥对接收到的数据解密得到媒体流。如图1所示,本专利技术采用的技术方案为:1、主叫终端向密钥分发服务器(简称KDS,KeyDistributionServer)发起会话密钥请求;2、KDS向主叫终端返回会话标识、挑战数据以及时间数据;3、主叫终端验证时间数据后产生应答数据并继续向KDS发起会话密钥申请;4、KDS为主、被叫双方产生会话密钥特征数据并将密钥特征数据返回主叫终端;5、主叫终端使用自己的私有数据对接收到的密钥特征数据运算后得到明文会话密钥;6、主叫终端向VoIP服务器发起加密呼叫请求;7、加密呼叫请求应答后,主叫终端通过VoIP服务器向被叫终端发送KDS产生的密钥特征数据;8、被叫终端使用自己的私有数据对接收到的密钥特征数据运算后得到明文的会话密钥;9、主、被叫双方使用会话密钥对媒体流加密后本文档来自技高网...
【技术保护点】
一种适用于VOIP语音加密的密钥分发方法,其特征在于:A、由主叫终端向密钥分发服务器发起会话密钥申请,触发密钥分发,由密钥分发服务器为主、被叫终端双方产生会话密钥,返回给主叫终端;B、主叫终端得到会话密钥后,通过VOIP服务器向被叫终端发起加密呼叫,并将密钥分发服务器产生的密钥特征数据发送给被叫终端,通过VOIP服务器主、被叫终端建立媒体流传输通道;C、主、被叫终端双方使用会话密钥对媒体流加密后传输给对方,对方收到后使用会话密钥对接收到的数据解密得到媒体流。
【技术特征摘要】
1.一种适用于VOIP语音加密的密钥分发方法,其特征在于:A、由主叫终端向密钥分发服务器发起会话密钥申请,触发密钥分发,由密钥分发服务器为主、被叫终端双方产生会话密钥,返回给主叫终端;B、主叫终端得到会话密钥后,通过VOIP服务器向被叫终端发起加密呼叫,并将密钥分发服务器产生的密钥特征数据发送给被叫终端,通过VOIP服务器主、被叫终端建立媒体流传输通道;C、主、被叫终端双方使用会话密钥对媒体流加密后传输给对方,对方收到后使用会话密钥对接收到的数据解密得到媒体流。2.根据权利要求1所述的一种适用于VOIP语音加密的密钥分发方法,其特征在于:所述步骤A包括如下步骤:1)主叫终端向密钥分发服务器(简称KDS)发送会话密钥请求,该请求包含主、被叫双方的身份标识;2)KDS向主叫终端返回会话标识、挑战数据以及时间数据;21)KDS随机产生会话标识、挑战数据;时间数据为KDS当前本地时间;22)会话标识用于标识主叫终端的本次会话请求;23)挑战数据用于主叫终端证明其身份;24)时间数据用于主叫终端验证当前时间;3)主叫终端验证时间数据后产生应答数据并继续向KDS发起会话密钥申请;4)KDS为主、被叫双方产生会话密钥特征数据并将密钥特征数据返回主叫终端;5)主叫终端对密钥特征数据进行校验,然后使用自己的私有数据对接收到的密钥特征数据运算后得到明文会话密钥;该明文会话密钥可以直接用于加密媒体流数据,或者通过密钥派生方法产生用于媒体加密或媒体认证的密钥数据。3.根据权利要求1所述的一种适用于VOIP语音加密的密钥分发方法,其特征在于:所述步骤B包括如下步骤:1)主叫终端向VoIP服务器发起加密呼叫请求;2)加密呼叫请求应答后,主叫终端通过VoIP服务器向被叫终端发送KDS产生的密钥特征数据;3)被叫终端使用自己的私有数据对接收到的密钥特征数据运算后得到明文的会话密钥。4.根据权利要求2所述的一种适用于VOIP语音加密的密钥分发方法,其特征在于:所述步骤A中的第3)小步具体步骤如下:31)主叫终端首先对时间数据与本地时间进行比对,判断应答是否为重放消息;32)主叫终端使用私有数据对挑战数据计算产生应答数据;33)应答数据可以为消息认证码(MAC)或签名数据;34)在应答数据产生的过程中,可以加入主被叫双方的身份标识参与运算。5.根据权利要求2所述的一...
【专利技术属性】
技术研发人员:付景林,侯玉成,赵德胜,孟汉峰,王芊,刘雪峰,丁明锋,张新中,鞠秀芳,李永丰,李耀龙,石宇光,王志刚,杨永强,袁文旗,肖静晗,
申请(专利权)人:北京大唐高鸿软件技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。