【技术实现步骤摘要】
采用透明代理和量子密钥预充注实现VoIP加解密方法
[0001]本专利技术涉及密码应用
,具体涉及一种采用透明代理和量子密钥预充注实现VoIP加解密方法。
技术介绍
[0002]随着5G技术和即时通信技术的发展,针对VoIP(Voice over Internet Protocol,IP电话)的加解密需求场景越来越多,目前针对VoIP加密需求的解决方案一般都是基于公钥密码体制,而且在具体实现上都需要对终端的VoIP协议栈和相关应用进行改造,不能实现对现有VoIP方案完全透明的密钥分发和数据流加密处理。采用以上传统实现方案的VoIP加密系统目前在实际使用中存在以下困难:
[0003](1)公钥密码体制具有较高的复杂度,且我国的公钥密码体制还采用了双证书双密钥对体系,加上终端用户的庞大数量,VoIP加密系统的管理难度非常大,应用推广也比较受限。
[0004](2)会话密钥协商或分发的过程都是采用长期有效的非对称加密密钥对和签名密钥对进行保护,没有做到一次一密;而且公开的公钥存在被不断发展的量子计算机破译的可...
【技术保护点】
【技术特征摘要】
1.一种采用透明代理和量子密钥预充注实现VoIP加解密方法,其特征在于,所述方法应用于VoIP终端,所述VoIP终端内集成安全存储介质,所述安全存储介质内存储有由量子密钥分发网络预先充注的主密钥,所述VoIP终端作为主叫方时,包括以下步骤:主叫方运行加密代理,将SIP协议的INVITE报文重定向到SIP_QUEUE队列;主叫方读取重定向到SIP_QUEUE队列的INVITE报文,并基于出栈的INVITE报文向管理中心发送会话密钥申请,以使所述管理中心将所述会话密钥申请转发至QKD网络节点,所述会话密钥申请包括主被叫双方的地址、第一主密钥的ID标识以及利用所述第一主密钥对所述会话密钥申请进行校验计算得到的校验值,所述第一主密钥存储于所述安全存储介质;主叫方接收所述管理中心转发的密钥申请响应报文,所述密钥申请响应报文由所述QKD网络节点生成,所述密钥申请响应报文包括主被叫双方的会话密钥素材密文、主被叫双方的会话密钥素材校验值以及主被叫双方加密及校验所采用的第二主密钥的ID标识,所述第二主密钥为所述量子密钥分发网络中与主被叫双方标识对应的量子密钥;主叫方基于所述第二主密钥的ID标识,从其集成的所述安全存储介质中获取相应的主密钥,对所述会话密钥素材密文进行解密并作验证,得到会话密钥skey并重构SIP协议的INVITE报文;主叫方将重构的SIP协议INVITE报文发送至被叫方,以由所述被叫方生成所述会话密钥skey和INVITE响应报文,所述INVITE响应报文中的媒体字段中写有主被叫双方的RTP协议端口,并增加扩展参数a字段;主叫方接收所述INVITE响应报文,将所述INVITE响应报文重定向到SIP_QUEUE队列的入栈,并读取所述INVITE响应报文中的媒体字段中写有的主被叫双方的RTP协议端口,设置RTP语音流透明加密规则;主被叫双方基于所述会话密钥skey和所述RTP语音流透明加密规则,进行VoIP加密语音通信。2.如权利要求1所述的采用透明代理和量子密钥预充注实现VoIP加解密方法,其特征在于,在所述主叫方运行加密代理,将SIP协议的INVITE报文重定向到SIP_QUEUE队列之前,所述方法还包括:向所述管理中心发送注册请求;接收所述管理中心返回的VoIP终端地址与QKD身份UID的绑定关系。3.如权利要求1所述的采用透明代理和量子密钥预充注实现VoIP加解密方法,其特征在于,在所述主叫方运行加密代理,将SIP协议的INVITE报文重定向到SIP_QUEUE队列之前,所述方法还包括:主叫方运行初始化程序对所述安全存储介质进行完整性检查;在检查通过时,获取所述安全存储介质内部存储的所述主密钥的使用授权。4.如权利要求1所述的采用透明代理和量子密钥预充注实现VoIP加解密方法,其特征在于,所述主叫方基于所述第二主密钥的ID标识,从其集成的所述安全存储介质中获取相应的主密钥,对所述会话密钥素材密文进行解密并作验证,得到会话密钥skey并重构SIP协议的INVITE报文,包括:根据所述第二主密钥的ID标识,从其集成的所述安全存储介质中获取相应的主密钥,获取的相应主密钥包括解密主密钥和验证主密钥;
利用所述解密主密钥对主叫方的所述会话密钥素材密文进行解密,得到主叫方的会话密钥素材;利用验证主密钥对主叫方的所述会话密钥素材校验值进行验证,确定验证通过;采用符合前向安全性的密码函数,基于所述会话密钥素材变换得到会话密钥skey;在所述INVITE报文的SDP消息体中增加扩展参数a字段,得到重构的SIP协议的INVITE报文,所述扩展参数a字段承载有会话密钥相关信息,所述会话密钥相关信息包括被叫方的会话密钥素材密文、被叫方的会话密钥素材校验值、被叫方加密及校验所采用的第二主密钥的ID标识、主叫方集成的所述安全存储介质实时产生的验证随机数以及采用所述会话密钥skey加密的第一验证随机数密文。5.如权利要求4所述的采用透明代理和量子密钥预充注实现VoIP加解密方法,其特征在于,所述INVITE响应报文中的扩展参数a字段承载有会话密钥校验信息,所述会话密钥校验信息包括由被叫方集成的所述安全存储介质实时产生的验证随机数以及采用由被叫方生成的会话密钥skey加密得到的第二验证随机数密文;所述主叫方接收所述INVITE响应报文,将所述INVITE响应报文重定向到SIP_QUEUE队列的入栈,并读取所述INVITE响应报文中的媒体字段中写有的主被叫双方的RTP协议端口,设置RTP语音流透明加密规则,包括:主叫方运行加密代理,读取重定向到SIP_QUEUE队列的入栈的所述INVITE响应报文;主叫方使用其生成的所述会话密钥skey解密验证所述第二验证随机数密文;在验证通过后,主叫方去掉所述INVITE响应报文中被叫方增加的密钥校验信息得到INVITE原始响应报文,主叫方读取所述INVITE原始响应报文中的媒体字段中写有的主被叫双方的RTP协议端口,设置RTP语音流透明加密规则。6.如权利要求1所述的采用透明代理和量子密钥预充注实现VoIP加解密方法,其特征在于,所述主被叫双方进行VoIP加密语音通信,包括:所述主叫方和被叫方进行VoIP加密语音通信,对数据报文进行透明加解密处理,其中,加密模式采用CBC算法结合OFB算法。7.如权利要求4所述的采用透明代理和量子密钥预充注实现VoIP加解密方法,其特征在于,所述方法还包括:主被叫双方通话终止时,主叫方运行加密代理读取重定向到SIP_QUEUE队列的BYE报文或CANCEL报文;删除所述RTP语音流透明加密规则并对所述会话密钥skey清零后,将BYE报文或CANCEL报文重新入栈发送。8.一种采用透明代理和量子密钥预充注实现VoIP加解密方法,其特征在于,所述方法应用于VoIP终端,所述VoIP终端内集成安全存储介质,所述安全存储介质内存储有由量子密钥分发网络预先充注的主密钥,所述VoIP终端作为被叫方时,包括以下步骤:被叫方接收主叫方发送的重构的SIP协议INVITE报文,所述重构的SIP协议INVITE报文的SDP消息体中增加有扩展参数a字段,用于承载会话密钥相关信息,所述会话密钥相关信息包括被叫方的会话密钥素材密文、被叫方的会话密钥素材校验值、被叫方加密及校验所采用的第二主密钥的ID标识、主叫方集成的所述安全存储介质实时产生的验证随机数以及
采用主叫方生成会话密钥skey加密的第一验证随机数密文;被叫方运行加密代理,重定向到SIP_QUEUE队列入栈的所述重构的SIP协议INVITE报文;基于所述重构的SIP协议INVITE报文,重新生成所述会话密钥skey,并解密验证所述第一验证随机数密文;验证通过后,去掉所述重构的SIP协议INVITE报文中由主叫方增加的密钥相关信息,得到SIP协议的原始INVITE报文;被叫方响应所述SIP协议的原始INVITE报文,并运行加密代理重定向到SIP_QUEUE队列出栈的INVITE响应报文;读取所述INVITE响应报文中媒体字段中主被叫双方的RTP协议端口,设置RTP语音流透明加密规则;在所述INVITE响应报文的SDP消息体中增加扩展参数a字段,用于承载会话密钥校验相关信息,并将重构的INVITE响应报文放入协议栈发送至主叫方。9.如权利要求8所述的采用透明代理和量子密钥预充注实现VoIP加解密方法,其特征在于,所述基于所述重构的SIP协议INVITE报文,重新生成所述会话密钥skey,并解密验证所述第一验证随机数密文,包括:根据所述第二主密钥的ID标识,从被叫方集成的所述安全存储介质中获取相应的主密钥,获取的相应主密钥包括解密主密钥和验证主密钥;利用所述解密主密钥对被叫方的所述会话密钥素材密文进行解密,得到被叫方的会话密钥素材;利用验证主密钥对被叫方的所述会话密钥素材校验值进行验证,确定验证通过;采用符合前向安全性的密码函数,基于所述会话密钥素材变换得到会话密钥skey;基于所述会话密钥skey,解密验证所述第一验证随机数密文。10.如权利要求8所述的采用透明代理和量子密钥预充注实现VoIP加解密方法,其特征在于,在所述被叫方接收主叫方发送的重构的SIP协议INVITE报文之前,所述方法还包括:向所述管理中心发送注册请求;接收所述管理中心返回的VoIP终端地址与QKD身份UID的绑定关系。11...
【专利技术属性】
技术研发人员:罗俊,
申请(专利权)人:中电信量子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。