本发明专利技术公开了一种实现SIP会话传输的方法及系统,包括在SIP服务端中导入服务端证书,在SIP客户端中导入客户端证书;SIP客户端与SIP服务端之间进行密钥交换;SIP客户端之间通过建立的TLS连接和交换的密钥经由SIP服务端进行SIP会话加密传输。本发明专利技术实现SIP会话的方法中,由于确定的作为服务端(即只能作为服务端)的SIP服务端,和确定的作为客户端(即只能作为客户端)的SIP客户端,既实现了静态的预先导入证书,又简化了证书验证的流程,提高了工作效率,方便了证书的生成,解决了现有导入证书繁琐的问题。也就会说,本发明专利技术提供的技术方案既简化了证书生成和验证操作,同时又确保了SIP加密传输。
【技术实现步骤摘要】
本专利技术涉及远程通讯技术,尤指一种实现SIP会话传输的方法及系统。
技术介绍
针对技术机密的重要性,越来越多的企业希望远程通讯时能加密传输,使用对数据加密的需求也是越来越大。会议电视走向运营之后,初始会话协议(SIP)的应用也越来越广,SIP的加密传输必然会成为重要的关注点。现有的SIP加密传输都是通过客户端和服务端的证书和密钥来实现的,大致处理流程如图1所示,图1为现有服务端与客户端之间实现安全套接层协议(SSL,SecureSocketsLayer)握手交互的流程示意图,包括:步骤100:客户端发送的握手消息为客户端问候(ClientHello)消息,其中携带有客户端所推荐的加密参数,比如客户端准备使用的加密算法,此外,还携带有一个在密钥产生过程中使用的随机值。步骤101~步骤103:服务端向客户端回复选择加密与压缩算法的服务器问候(ServerHello)消息,其中携带有一个服务端产生的随机值;服务端向客户端发送证书(Certificate)消息,其中携带有服务端的公用密钥,比如RSA密钥;服务端向客户端发送表示握手阶段不再有任何消息的服务器问候结束(ServerHelloDone)消息。其中,RSA加密算法是一种非对称加密算法。在公钥加密标准和电子商业中RSA被广泛使用。RSA是1977年由罗纳德·李维斯特(RonRivest)、阿迪·萨莫尔(AdiShamir)和伦纳德·阿德曼(LeonardAdleman)一起提出的。步骤104~步骤106:客户端向服务器发送客户端密钥交换(Client_Key_Exchange)消息,其中携带有一个随机产生的用服务端的RSA密钥加密的密钥。接着,发送用于指示客户端在此之后发送的所有消息都将使用上述商定的密钥进行加密的修改密钥说明(Change_Cipher_Spec)消息。最后客户端向服务器发送完成(Finished)消息,其中携带有对整个连接过程的校验。这样,服务端就能够判断要使用的加密算法是否是安全商定的了。步骤107~步骤108:一旦服务端接收到来自客户端的Finished消息,服务端就会发送自身的Change_Cipher_Spec消息和Finished消息。至此,客户端与服务端之间的连接就准备好进行应用数据的传输了。步骤109~步骤110:客户端和服务端利用协商好的密钥发送应用数据,以实现SIP会话。如果客户端关闭连接,客户端会先向服务端发送关闭通知(close_notifyalter)消息来表示连接即将关闭。在现有实现SIP会话加密传输中,每个终端和多点控制单元(MCU)都可能同时既是服务端,又是客户端,比如,对于MCU来讲,当MCU主叫某终端时,MCU扮演客户端角色,而当MCU作为被叫时,MCU扮演服务端角色。也就是说,MCU需要分别导入两个证书,一个客户端证书,一个服务端证书,这样的操作就已相当复杂。对于每次呼叫MCU和终端都需要申请证书,而且MCU作为主叫/被叫终端时,MCU和终端申请的证书还不一样;当MCU作为主叫终端时,MCU需要申请客户端证书,相对应的终端需要申请服务端证书;当MCU作为被叫时,即终端主叫MCU时,MCU需要申请服务端证书,终端则需要申请客户端证书。此外,证书的生成和导入验证操作都比较麻烦,而服务端证书相对于客户端的证书来说,更复杂。而且对于一个设备需要管理那么多的证书也是一件很繁琐的事情。
技术实现思路
为了解决上述技术问题,本专利技术提供一种实现SIP会话传输的方法及系统,能够简化证书生成和验证操作,同时确保SIP加密传输。为了达到本专利技术目的,本专利技术提供了一种实现初始会话协议SIP会话传输的方法,在SIP服务端中导入服务端证书,在SIP客户端中导入客户端证书;还包括:SIP客户端与SIP服务端之间进行密钥交换;SIP客户端之间通过建立的TLS连接和交换的密钥经由SIP服务端进行SIP会话加密传输。所述进行SIP会话加密传输之前,该方法还包括:所述SIP客户端实现在SIP服务端上的注册,并在所述SIP客户端与SIP服务端之间建立起安全传输层协议TLS连接。所述SIP客户端包括MCU,及终端;所述SIP服务端用于转发SIP客户端之间加密后的SIP信息。所述SIP客户端包括第一SIP客户端和第二SIP客户端;所述进行SIP会话加密传输包括:第一SIP客户端通过自身与所述SIP服务端之间的第一TLS连接对邀请INVITE信令进行加密并发送给所述SIP服务端;所述SIP服务端转发收到的加密后的INVITE信令,并通过第二SIP客户端与所述SIP服务端之间的第二TLS连接将加密后的信令解密后发给第二SIP客户端;第二SIP客户端通过第二TLS连接先后对应答100Trying信令、响铃180Ringing信令、200OK信令加密后发送给所述SIP服务端;所述SIP服务端转发收到的加密后的信令并通过第一TLS连接进行解密后发给第一SIP客户端;第一SIP客户端通过第一TLS连接对响应ACK信令进行加密并发送给所述SIP服务端;所述SIP服务端转发该加密后的INVITE信令,并通过第二TLS连接解密后发给终端。该方法还包括:所述第一SIP客户端与所述SIP服务端之间通过注销过程释放所述第一TLS连接,所述第二SIP客户端与SIP服务端之间释放所述第二TLS连接。本专利技术还公开了一种实现SIP会话传输的系统,至少包括SIP客户端和SIP服务端;其中,SIP客户端中导入有客户端证书,用于与SIP服务端之间进行密钥交换,通过建立的TLS连接和交换的密钥经由SIP服务端进行SIP会话加密传输;SIP服务端中导入有服务端证书,用于与SIP客户端之间进行密钥交换,转发SIP客户端之间交互的加密SIP信息。所述SIP客户端,还用于实现在所述SIP服务端上的注册,并在所述SIP客户端与SIP服务端之间建立起安全传输层协议TLS连接。所述SIP客户端包括MCU,及终端。与现有技术相比,本申请技术方案包括在SIP服务端中导入服务端证书,在SIP客户端中导入客户端证书;SIP客户端与SIP服务端之间进行密钥交换;SIP客户端之间通过建立的TLS连接和交换的密钥经由SIP服务端进行SIP会话加密传输。本专利技术实现SIP会话的方法中,由于确定的作为服务端(即只能作为服务端)的SIP服务端,和确定的作为客户端(即只能作为客户端)的SIP客户端,既本文档来自技高网...
【技术保护点】
一种实现初始会话协议SIP会话传输的方法,其特征在于,在SIP服务端中导入服务端证书,在SIP客户端中导入客户端证书;还包括:SIP客户端与SIP服务端之间进行密钥交换;SIP客户端之间通过建立的TLS连接和交换的密钥经由SIP服务端进行SIP会话加密传输。
【技术特征摘要】
1.一种实现初始会话协议SIP会话传输的方法,其特征在于,在SIP服
务端中导入服务端证书,在SIP客户端中导入客户端证书;还包括:
SIP客户端与SIP服务端之间进行密钥交换;
SIP客户端之间通过建立的TLS连接和交换的密钥经由SIP服务端进行
SIP会话加密传输。
2.根据权利要求1所述的方法,其特征在于,所述进行SIP会话加密传
输之前,该方法还包括:
所述SIP客户端实现在SIP服务端上的注册,并在所述SIP客户端与SIP
服务端之间建立起安全传输层协议TLS连接。
3.根据权利要求1或2所述的方法,其特征在于,所述SIP客户端包括
MCU,及终端;所述SIP服务端用于转发SIP客户端之间加密后的SIP信息。
4.根据权利要求1所述的方法,其特征在于,所述SIP客户端包括第一
SIP客户端和第二SIP客户端;所述进行SIP会话加密传输包括:
第一SIP客户端通过自身与所述SIP服务端之间的第一TLS连接对邀请
INVITE信令进行加密并发送给所述SIP服务端;所述SIP服务端转发收到的
加密后的INVITE信令,并通过第二SIP客户端与所述SIP服务端之间的第二
TLS连接将加密后的信令解密后发给第二SIP客户端;
第二SIP客户端通过第二TLS连接先后对应答100Trying信令、响铃180
Ringing...
【专利技术属性】
技术研发人员:张强,杨扬,肖绮丽,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。