专利名称:电话系统及其加密处理方法
技术领域:
本发明一种实施例主要涉及一种电话系统,其中,电话终端和软件电 话等经由诸如因特网协议(IP)网络的通信网络实现语音通信。更具体地, 本发明的一种实施例涉及改进这类电话系统中的加密方式。
背景技术:
近年来,使用IP网络进行语音通信的所谓的IP语音(VoIP)已经成 为电话系统的主流。例如,对于这类系统,已经知道这样的系统,其能够 通过加密来发送和接收通信数据从而有效使用带宽(JP-A 2006-115507(公 开))。
在这种类型的系统中,电话终端经由诸如路由器的虛拟专用网络 (VPN)设备连接到所述IP网络。最新的电话终端或VPN设备经常具有 加密功能;然而,在当前的情形下,具有加密功能的系统和不具有加密功 能的系统共存。因此,引起了再次加密媒体数据的一些可能性。即,存在 这样的可能性,在将分组发送给IP网络之前,由VPN^L备再次加密由所 述电话终端加密过的传输包。尽管对于这样的情形可以通过更高协议层的 处理再现语音,然而,所述系统导致了无用地消耗通信资源、降低服务质 量(QoS )等不便。
发明内容
本发明的目的在于提供一种电话系统,其用于防止不需要的加密处理, 以及其加密处理方法。
根据本发明的一个方面,提供了一种电话系统,其包括多个通信终 端,它们被配置为进行电话通信,以及多个连接装置,它们将这些通信终 端连接到共用的分组通信网络,从而经由所述分组通信网络在所述/>共通 信终端之间建立通信,其中,所述多个通信终端的每一个包括通知处理 单元,其通知正好在它们的自身终端之上的连接装置,在它们的自身终端 存在或不存在对从它们的自身终端向所述分组通信网络发送的媒体数据的 加密,并且所述多个连接装置的每一个包括加密处理单元,仅当被从它 们的连接装置之下的所述通信终端通知在所述通信终端不存在加密的事实 时,其对所述媒皿据进行加密。
根据这样的手段,当未在所述通信终端进行加密处理时,所述连接装 置仅在所述通信终端进行加密处理。即,当所述通信终端进行所述加密处 理时,避过了在所述连接装置处的加密处理。从而,所述电话系统避免了 双重地进行所述加密处理,能够防止不需要的加密处理。
根据本发明,提供了一种电话系统及其加密处理方法,其被配置为防 止不需要的加密处理。
以下的描述将阐明本发明的其它目的和优点,部分地,可由本描述变 得明显,或者可^J t本发明的实践中学习到。可以通过此后具体指出的手 段和组合实现并获得本发明的目的和优点。
将附图集成于此并组成本说明的一部分,其与以上给出的概述以及以 下给出的实施例详细描述一起阐明了本发明的实施例,用以解释本发明的 原理。
图1是优选系统视图,其阐明了关于本发明系统的电话系统的实施例; 图2是视图,其阐明了图l的系统中使用的安全策略表; 图3是视图,其阐明了当在VPN设备之间进行加密时的呼叫连接处理 顺序;
图4是视图,其示意性描述了在图3的情况下的终端间通信;
图5是视图,其阐明了当在终端之间进行加密时的呼叫连接处理顺序;
以及
图6是^L图,其示意性阐明了在图5的情况下的终端间通信。
具体实施例方式
此后将参考附图描述根据本发明的各种实施例。 一般而言,根据本发 明的一种实施例,提供了一种电话系统,其包括多个通信终端,它们被 配置为进行电话通信;以及多个连接装置,它们将这些通信终端连接到公 共分组通信网络,从而经由所述分组通信网络在所述通信终端之间建立通 信。所述多个通信终端各自包括通知处理单元,其通知正好在它们的自 身终端之上的连接装置,在它们的自身终端存在或不存在对从它们的自身 终端向所述分组通信网络发送的媒体数据的加密。并且所述多个连接装置 各自包括加密处理单元,仅当从它们的连接装置之下的通信终端通知在所 述通信终端不存在加密的事实时,其对所述媒体数据进行加密。
图1示出了关于本发明的电话系统的实施例的系统图。所述系统经由 IP网络1在本地网络10和20之间进行连接,从而在各个网络10和20之 间建立相互通信。
本地网络10包括终端3a和3b, VPN装置2a以及交换服务器4,并 且它们经由局域网(LAN)相互连接。在它们之中,VPN装置2a连接到 IP网络1,从而在IP网络1、终端3a、 3b,以及交换服务器4之间作为媒 体数据和IP分组的发送和接收的中介。即,VPN装置2a将终端3a、 3b, 以及交换服务器4连接到IP网络1。
本地网络20包括终端3c、 3d以及VPN装置2b,它们将经由LAN相 互连接。在它们之中,VPN装置2b连接到IP网络l,以作为在IP网络1 和终端3c、 3d之间的媒体数据和IP分组的发送和接收的中介。即,VPN 装置2b将所述终端3c和3d连接到IP网络1。
各个终端3a-3d具有通过VoIP的电话通信功能,例如,IP电话和 IP软件电话。另外,有时候终端3a-3d的每一个具有诸如视频通信交换
功能和文本聊天功能的通信功能。所述软件电话是在其中安装了用于通话 的软件的计算机。
交换服务器4从终端3a - 3d接M送/呼叫/应答/断开消息,并且对呼 叫者进行连接目的地的限定,并在确定所述连接目的地之后,进行消息的 中继等。对于这样的用于呼叫连接处理的协议,例如,使用会话初始协议 (SIP)。在由交换服务器4建立所述连接之后,终端3a-3d分别直接向 相对的终端发送分组数据,并直接从其接收分组数据,从而对诸如语音数 据的媒体流进行通信(对等网络)。
为了防止例如个人信息被透露和窃听, 一些终端3a - 3d具有对将被发 送给IP网络1的分组(媒体数据)进行加密的功能。在所述实施例中,假 设终端3a和3d支持所述加密功能,而终端3b和3c不支持所述功能。
终端3a - 3d的每一个具有通知处理单元200。通知处理单元200通过 例如发送加密鉴别信息向正位于其上的VPN装置通知所述所述分组是否 被加密。在所述实施例中,所述电话系统使用端口号作为加密鉴别信息。 此外,VPN装置2a和2b包括加密处理单元100,从而实现与前述功能类 似的加密功能。VPN装置2a - 2b的每一个具有图2所示的安全策略表。
直白地说,图2所示的表将呼出侧端口号和呼入侧端口号之间的对应 关系与是否存在加密相关联。除了这些,所ii^格描述了呼出侧IP地址, 呼入侧IP地址,将使用的协议(UDP)等。在IPsec等标准中推荐了所述 安全策略表。在终端3a-3d的每一个中也存储所&,并且在所述实施例 中,各个终端3a - 3d根据其自身是否存在加密功能改变其端口号。
图3是视图,其示出了当在VPN装置之间进行加密时的呼叫连接处理 顺序。在图3中,当终端3a的用户为了连接到终端3c进行呼出操作时, 从终端3a向交换服务器4发送呼出消息(步骤ST1)。所述呼出消息包括 建议参数,其包括分组通信中将要使用的呼出侧端口号。将所述建i义参数 例如包含在SIP的INVITE消息中。此处,对于所述呼出侧端口号,作为 指示能够加密通信的值之内的值的例子,使用"5000"。
交换服务器4从所接收的呼出消息中包含的目的地参数确定连接目的 地(终端3c),并向终端3c发送呼出消息(步骤ST2)。接收到所述呼 出消息的终端3c确定其自身终端是否能加密所述呼出消息。在所述实施例 中,确定其自身终端不能加密所述呼出消息,并且终端3c设置指示不能进 行加密的值6000作为呼入侧端口号(步骤ST3 )。
接下来,终端3c返回包含了应答^的呼入消息,该应答参数包括分 组通信中将使用的呼入侧端口号(步骤ST4)。所述应答参数包括"6000", 其为呼入侧号码。接收到所述呼入消息的交换服务器4,将其中继给终端 3a (步骤ST5)。在呼入消息到达终端3a之后,终端3a和3c利用所述呼 出侧端口号5000和所述呼入侧端口号6000通过未加密分组开始进行通信 (步骤ST6)。
图4示意性描述了在图3的情况下的终端间通信。在图4中,终端3a 和3c通过所述未加密分组相互进行通信(步骤ST7) 。 VPN装置2a和2b 监控终端3a和3c之间的分组通信,以识别呼出侧端口号5000和呼入侧端 口号6000。从所述结果和安全策略表的内容,VPN装置2a和2b确定需 要对终端3a和3c之间的连接进行加密。结果,在VPN装置2a和2b之间 实现分组的加密。 '
图5是视图,其示出了当在终端之间进行加密时的呼叫连接处理顺序。 在图5中,当终端3a的用户进行呼出操作,从而将终端3a连接到终端3d 时,从终端3a向交换服务器4发送呼出消息(步骤ST10 )。所发送的消 息包括5000,作为呼出侧端口号。
交换服务器4基于所接收的呼出消息中包含的目的地#确定连接目 的地(终端3d),从而向终端3d发送所述呼出消息(步骤ST20 )。接收 了所述呼出消息的终端3d确定由其自身终端进行加密的可能性。在所述实 施例中,确定其自身终端能够加密所述呼出消息,并且终端3d设置指示能 够加密的值5001作为呼入侧端口号(步骤ST30)。
接下来,终端3d返回包含了应答参数的呼入消息,该应答参数包括分 组通信中将使用的呼入侧端口号(步骤ST40)。所述应答参数包括5001, 其为呼入侧端口号。接收到所述呼入消息的交换服务器4将所述呼入消息
中继给终端3a (步骤ST50 )。在所述呼入消息到达终端3a之后,终端3a 和3d利用所述呼出侧端口号5000和所述呼入侧端口号5001通过加密分组 开始进行通信(步骤ST60 )。
图6示意性阐明了在图5的情况下的终端间通信。在图6中,终端3a 和3d通过加密分组相互进行通信(步骤ST70 ) 。 VPN装置2a和2b监控 终端3a和3d之间的分组通信,以识别呼出侧端口号5000和呼入侧端口号 5001。取决于所述识别结果和安全策略表的内容,VPN装置2a和2b确定 其不对终端3a和3d之间的连接进行加密。根据所述识别结果,不在VPN 装置2a和2b之间对分组进行加密。
如上所述,在本实施例中,终端3a-3d响应于其自身终端是否存在加 密功能来改变所述呼出侧端口号和呼入侧端口号,以实现所述呼叫连接处 理顺序。将所述存在与否和所述端口号之间的关系与预先准备的安全策略 表相关联。VPN装置2a和2b检查与VPN装置2a和2b相连接的终端之 中的端口号,并才艮据检查结果和所述表的内容确定是否由其自身的VPN装 置进行加密。
由于如上所述的确定,VPN装置2a和2b可以不盲目地进行加密,而 是响应于在终端装置是否进行了加密来在必要时进行加密。从而所述电话 系统能够防止资源消耗的浪费,在其中,在终端对媒体数据进行加密之后 VPN装置进一步对其进行加密,从而有效使用所述VPN装置的加密资源。 并且,所述系统能够有效使用设备并降低成本。在VoIP通信中,用户能 够容易地确定各个通信的安全级别,并且所述系统的方便性得到显著提高。 因此,可以提供一种电话系统及其加密处理方法,其能够防止不必要的加 密处理。
本发明不限于上述实施例。例如,所述加密鉴别信息不限于所述呼出/ 呼入端口号,并且所述用户能够使用独立定义的信息。不仅所述媒体数据, 还有诸如呼出消息和应答消息的控制信息也可以作为加密对象进行处理。
本领域技术人员很容易得到其它优点和修改。因此,本发明就其广义 方面不限于此处示出和描述的具体细节和代表性实施例。于是,无需脱离由所附权利要求及其等同所定义的一M明概念的精神和范围,可以得到 各种修改。
权利要求
1.一种电话系统,其特征在于,包括多个通信终端(3a-3d),其被配置为进行电话通信;以及多个连接装置(2a,2b),其将这些通信终端连接到共用的分组通信网络,以经由所述分组通信网络在所述通信终端之间建立通信,其中,所述多个通信终端的每一个包括通知处理单元(200),其通知正好在它们的自身终端之上的连接装置,在它们的自身终端存在或不存在对从它们的自身终端向所述分组通信网络发送的媒体数据的加密,并且所述多个连接装置的每一个包括加密处理单元(100),仅当从它们的连接装置之下的所述通信终端通知在所述通信终端不存在所述加密的事实时,其对所述媒体数据进行加密。
2. 根据权利要求l所述的电话系统,其特征在于, 所述通知处理单元(200 )通过向所述媒体数据加入加密鉴别信息来通知存在或不存在所述加密。
3. 根据权利要求2所述的电话系统,其特征在于, 所述加密鉴别信息包括所述通信终端的端口号以及该通信终端的通信伙伴的通信终端的端口号。
4. 根据权利要求l所述的电话系统,其特征在于, 所述多个通信终端和所述多个连接装置的每一个包括安全策略表,其通过呼出侧端口号和呼入侧端口号之间的对应关系确定存在和不存在所所述多个通信终端按照所述安全策略表改变至少所述呼出侧端口号或 者所述呼入侧端口号,以通知存在或不存在所述加密,并且所述多个连接装置基于从所述连接装置之下的通信终端接收到的通知 中包含的所述呼出侧端口号和所述呼入侧端口号之间的对应关系参考所述 安全策略表,来确定在它们的自身装置的对所述媒体数据的加密。
5. —种加密处理方法,包括多个通信终端,它们净皮配置为进行电话 通信,以及多个连接装置,它们将这些通信终端连接到共用的分组通信网 络,以经由所述分组通信网络在所述通信终端之间建立通信,其特征在于, 所述多个通信终端通知正好在它们的自身终端之上的连接装置,在它的媒体数据的加密,并且所述多个连接装置仅当从它们的连接装置之下的所述通信终端通知在 所述通信终端不存在所述加密的事实时,对所述媒体数据进行加密。
6. 根据权利要求5所述的加密处理方法,其特征在于,所述多个通信 终端通过向所述媒体数据加入指示存在或不存在所述加密的加密鉴别信息 来通知存在或不存在所述加密。
7. 根据权利要求6所述的加密处理方法,其特征在于,所述加密鉴别 信息包括所述通信终端的端口号以及该通信终端的通信伙伴的通信终端的 端口号。
8. 根据权利要求5所述的加密处理方法,其特征在于, 所述多个通信终端和所述多个连接装置的每一个具有安全策略表,以通过呼出侧端口号和呼入侧端口号之间的对应关系确定存在或不存在所述 加密,所述多个通信终端按照所述安全策略表改变至少所述呼出侧端口号或 者所述呼入侧端口号,以通知存在或不存在所述加密;并且所述多个连接装置基于从所述连接装置之下的通信终端接收到的信息 中包含的所述呼出侧端口号和所述呼入侧端口号参考所述安全策略表,来 确定在它们的自身装置的对所述媒体数据的加密。
全文摘要
根据一种实施例,提供了一种电话系统,包括多个通信终端(3a-3d),它们被配置为进行电话通信,以及多个连接装置(2a,2b),它们将这些通信终端连接到共用的分组通信网络,从而经由所述分组通信网络在所述通信终端之间建立通信。所述多个通信终端的每一个包括通知处理单元(200),其通知正好在它们的自身终端之上的连接装置,在它们的自身终端存在或不存在对从它们的自身终端向所述分组通信网络发送的媒体数据的加密。并且所述多个连接装置的每一个包括加密处理单元(100),仅当从它们的连接装置之下的通信终端通知在所述通信终端不存在所述加密的事实时,其对所述媒体数据进行加密。
文档编号H04L12/22GK101174971SQ200710167049
公开日2008年5月7日 申请日期2007年10月31日 优先权日2006年10月31日
发明者柴田勉 申请人:株式会社东芝