【技术实现步骤摘要】
基于量子密钥预充注实现端到端VoIP加密通信方法
[0001]本专利技术涉及密码应用
,具体涉及一种基于量子密钥预充注实现端到端VoIP加密通信方法。
技术介绍
[0002]随着5G技术和即时通信技术的发展,针对VoIP(Voice over Internet Protocol,IP电话)的加解密需求场景越来越多,目前针对VoIP加密需求的解决方案一般都是基于数字证书和公私钥密码体系,我国的密码行业标准GM/T 0098
‑
2020《基于IP网络的加密语音通信密码技术规范》也提出了一套基于数字证书和非对称密码体系的SIP协议加密语音通信技术标准。基于数字证书和公私钥密码体系的VoIP加密系统目前在实际使用中存在以下困难:
[0003](1)移动用户的数量非常巨大,而数字证书和非对称密码体系的复杂度也很高,涉及到数字证书和非对称密钥对的产生、分发、注册、签发、验证、撤销等多个环节,有密钥管理系统KMS、证书中心CA、证书注册中心RA、在线证书验证OCSP服务、证书撤销列表CRL/LDAP目录服务等多个组件,而且我国的非对称密码体系还采用了双证书双密钥对体系,需要管理的证书和密钥对数量更是成倍增长。
[0004](2)会话密钥协商或分发的过程采用的都是长期有效的非对称加密密钥对和签名密钥对,没有做到保护过程的一次一密。
[0005](3)会话密钥协商或分发的过程基于非对称密钥对和数字证书,用于加密传送会话密钥素材的公钥是公开的,随着量子计算机计算能力的提升,存在被破译的可能 ...
【技术保护点】
【技术特征摘要】
1.一种基于量子密钥预充注实现端到端VoIP加密通信方法,其特征在于,所述方法应用于VoIP终端,所述VoIP终端作为主叫方或被叫方,所述VoIP终端内集成安全存储介质,所述安全存储介质中存储有属于不同密话专网的主密钥,包括以下步骤:主叫方向与其同属一密话专网的被叫方发起SIP会话请求,所述SIP会话请求的INVITE指令包括SIP消息头和SDP消息体,SDP消息体中的扩展参数a字段承载有密钥协商信息;主叫方从其集成的所述安全存储介质中随机选取属于被叫方所属密话专网的两个主密钥;主叫方利用一个所述主密钥对会话密钥素材N1进行加密,利用另一个所述主密钥对INVITE指令计算密码杂凑值,得到本次SIP会话的INVITE消息,所述会话密钥素材N1为所述主叫方集成的所述安全存储介质实时产生的硬件随机数;主叫方向被叫方发送本次SIP会话的所述INVITE消息,以使所述被叫方基于所述INVITE消息生成INVITE响应报文,所述INVITE响应报文携带会话密钥素材N2、会话密钥和初始化向量,所述会话密钥素材N2为被叫方集成的所述安全存储介质实时产生的硬件随机数;主叫方接收所述INVITE响应报文,解密得到所述会话密钥素材N2,并基于所述会话密钥素材N1和所述会话密钥素材N1,生成所述会话密钥和所述初始化向量;主叫方基于所述会话密钥和所述初始化向量,与被叫方进行加密通话。2.如权利要求1所述的基于量子密钥预充注实现端到端VoIP加密通信方法,其特征在于,所述安全存储介质的存储空间划分为多个相互隔离的子空间,每个所述子空间内存储属于同一所述密话专网的主密钥,且同一所述密话专网内存储具有相同密钥ID标识的所述主密钥;所述主密钥由量子密钥分发网络充注或由密钥代理充注。3.如权利要求1所述的基于量子密钥预充注实现端到端VoIP加密通信方法,其特征在于,所述主叫方利用一个所述主密钥对会话密钥素材N1进行加密,利用另一个所述主密钥对INVITE指令计算密码杂凑值,得到本次SIP会话的INVITE消息,包括:所述主叫方利用一个所述主密钥keyid_enc1对所述会话密钥素材N1进行加密,得到加密消息nonce1_encrypted_xxx;所述主叫方利用另一个所述主密钥keyid_hmac1对所述INVITE指令的内容采用带密钥的密码杂凑算法HMAC计算所述密码杂凑值hmac1_xxx;生成本次SIP会话的INVITE消息,所述INVITE消息的SDP消息体内容包括主被叫双方共同所属的密话专网标识netID、主密钥keyid_enc1、主密钥keyid_hmac1、加密消息nonce1_encrypted_xxx和密码杂凑值hmac1_xxx。4.如权利要求3所述的基于量子密钥预充注实现端到端VoIP加密通信方法,其特征在于,在所述VoIP终端为被叫方时,所述被叫方基于所述INVITE消息生成会话密钥、初始化向量和INVITE响应报文,包括:基于所述密话专网标识netID和所述主密钥keyid_hmac1,从被叫方集成的所述第二安全存储介质中读取用于验证所述密码杂凑值hmac1_xxx的主密钥以对所述密码杂凑值hmac1_xxx进行验证;验证通过时,基于所述密话专网标识netID和所述主密钥keyid_enc1,从被叫方集成的所述第二安全存储介中读取用于解密所述加密消息nonce1_encrypted_xxx的主密钥,并解
密得到所述会话密钥素材N1;从被叫方集成的所述第二安全存储介质中获取硬件随时数作为会话密钥素材N2;基于所述会话密钥素材N1和所述会话密钥素材N2,生成所述会话密钥和所述初始化向量;基于所述会话密钥、所述初始化向量和所述会话密钥素材N2,生成所述INVITE响应报文。5.如权利要求4所述的基于量子密钥预充注实现端到端VoIP加密通信方法,其特征在于,所述基于所述会话密钥、所述初始化向量和所述会话密钥素材N2,生成所述INVITE响应报文,包括:从被叫方集成的所述安全存储介质中获取会话密钥验证随机数nonce3,并利用所述会话密钥和所述初始化向量加密所述会话密钥验证随机数nonce3,得到验证随机数密文nonce3_encrypted_xxx;从被叫方集成的所述安全存储介质中随机选取与标识netID对应的密话专网的两个主密钥keyid_enc2和keyid_hmac2;利用所述主密钥keyid_enc2对所述会话密钥素材N2进行加密,得到加密消息nonce2_encrypted_xxx;利用所述主密钥keyid_hmac2计算响应消息的密码杂凑值hmac2_xxx;生成INVITE响应报文,所述INVITE响应报文的SDP消息体内容包括主被叫双方共同所属的密话专网标识netID、主密钥keyid_enc2和keyid_hmac2、加密消息nonce2_encrypted_xxx、密码杂凑值hmac2_xxx、会话密钥验证随机数nonce3和验证随机数密文nonce3_encrypted_xxx。6.如权利要求5所述的基于量子密钥预充注实现端到端VoIP加密通信方法,其特征在于,主叫方接收所述INVITE响应报文,解密得到所述会话密钥素材N2,包括:接收所述INVITE响应报文,并基于所述密话专网标识netID和所述主密钥keyid_hmac2,从主叫方集成的所述安全存储介质中读取用于验证所述密码杂凑值hmac2_xxx的主密钥以对所述密码杂凑值hmac2_xxx进行验证;验证通过时,基于所述密话专网标识netID和所述主密钥keyid_enc2,从主叫方集成的所述安全存储介中读取用于解密所述加密消息nonce2_encrypted_xxx的主密钥,并解密得到所述会话密钥素材N2。7.如权利要求1或6所述的基于量子密钥预充注实现端到端VoIP加密通信方法,其特征在于,所述基于所述会话密钥素材N1和所述会话密钥素材N2,生成所述会话密钥和所述初始化向量,具体为:SKEY=HMAC(HASH(N1|N2),call_id_xxx|sessionid_xxx)SKEY_key=HMAC(SKEY,call_id_xxx|session...
【专利技术属性】
技术研发人员:罗俊,
申请(专利权)人:中电信量子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。