IP分组网中VoIP多层加密方法及系统的制作方法

IP分组网中VoIP多层加密方法及系统的制作方法
【专利摘要】本发明公开了一种IP分组网中VoIP多层加密方法及系统，所述方法，包括：终端与内部数据网内对应的虚拟专网网关建立虚拟专网通道并形成网络层安全隧道，用于进行网络层安全保护传输；终端与内部数据网内的SIP服务器建立安全关联，形成内层SIP信令传输隧道，用于进行传输层安全保护传输；终端发起对对端终端的VoIP通信，建立RTP层安全连接，形成内层VoIP数据端到端隧道，用于进行RTP层安全保护传输。本发明无需改造现有通信网络，即可为VoIP通信提供高安全保护，不仅保证VoIP通信内容的端到端加密传输，而且对密钥数据和整个SIP消息进行了保护；此外，终端的语音通信行为将被保护在IP分组网络中构建的网络层安全隧道中。
【专利说明】IP分组网中Vo IP多层加密方法及系统
【技术领域】
[0001 ] 本发明涉及通信【技术领域】，尤其涉及一种IP分组网中VoIP多层加密方法及系统。【背景技术】
[0002]通信网络在网络层实现全IP化的趋势已经非常明显。在网络层以下，固定网络和移动网络以一个异构并存的方式在共同发展。用户可以使用手机、PC、WIFI终端或其他IP接入设备，与商业3G/4G移动通信网、Internet网络、无线本地网络或专用无线网络等IP分组通信网连接起来，远程接入内部数据网络进行VoIP (Voice over Internet Protocol)通信，满足用户移动语音通信需求。
[0003]VoIP的实质是将模拟声音信号数字化，以数据封包的形式在IP数据网络上做实时传递。用户移动接入VoIP通信场景中，VoIP数据包需要在IP分组网络中传输，VoIP通信的安全性变得尤为重要。目前主要用两种方式进行VoIP安全保护=IPSec协议和安全实时传输协议(Secure Real-time Transport Protocol, SRTP)。
[0004]IPSec协议作为IP网络中普遍应用的安全协议，其可以为VoIP通信提供透明的安全服务，保护VoIP通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击。
[0005]此外，为了提供一种策略满足VoIP的安全，SRTP应运而生。SRTP，即安全实时传输协议，是在实时传输协议的基础上所定义的一个协议，旨在为单播和多播应用程序中的实时传输协议的数据提供加密、消息认证、完整性保护和重放保护。MIKEY是一种密钥交换协议，通信双方可以通过协议来协商SRTP协议所需要的会话密钥和各种算法参数。最近对VoIP的安全研究主要集中在SRTP和密钥交换协议的安全增强方面。专利申请号201110056214.7的发明描述了 一种通过扩展MIKEY协议实现VoIP媒体流可信传输的方法，该方法利用MIKEY密钥交换协议已有的数据结构传递通信双方的平台状况信息，实现了可信计算的远程证明技术紧密地融入到MIKEY密钥交换技术，确保平台状况信息和安全信道的真实连接。专利申请号201110047621.1的发明提出了一种用于VoIP的实时数据加密传输方法。该方法使用一种改进的AES加密方法，并对传统混合密钥加密技术进行改进，根据需要灵活地在数据传输的安全性与实时性之间做出最佳的权衡。
[0006]上述的现有技术有如下的缺陷:
[0007]网络层IPSec或应用层SRTP安全协议都可以实现VoIP通信的机密性、完整性、防重放、数据源认证等安全功能，防止VoIP通信遭窃听、篡改和中间人攻击，但保护效果都存在不足。
[0008]IPSec协议可以对IP头、UDP头、RTP头和语音净荷进行加密保护，但IPSec保护的SIP控制信令和语音媒体流在终端操作系统解密后，可能明文存储于RTP缓存中。一旦攻击者利用此漏洞对缓存中的VoIP数据和SIP控制信令实施窃听和篡改攻击，将会引起信息泄密。
[0009]SRTP协议针对语音实时业务特点设计，提供语音的端到端安全保护，但保护功能比较弱。它只能提供对语音净荷的加密保护。VoIP包的IP头和UDP头全部暴露在外部，攻击者截获VoIP包后，很容易分析出语音包的主叫媒体流和被叫媒体流IP地址和UDP端口这可能为进一步攻击提供有用信息。
[0010]VoIP安全研究论文和专利主要集中在安全协议增强方面。但对SRTP或IPSec协议进行改进或增强并不能解决上述提到的保护效果问题。使用单一的应用层或网络层安全协议对VoIP通信进行保护都是不够的。为充分利用各种安全协议的优点，应将多种安全协议结合使用对VoIP通信提供安全保护。

【发明内容】

[0011](一)要解决的技术问题
[0012]本发明要解决的技术问题是:提供一种安全性更高的IP分组网中VoIP多层加密方法。
[0013](二)技术方案
[0014]为解决上述问题，一方面，本发明提供了一种IP分组网中VoIP多层加密方法，其特征在于，包括以下步骤:
[0015]第一终端和第二终端分别与内部数据网内对应的虚拟专网网关建立虚拟专网通道并形成网络层安全隧道；所述网络层安全隧道用于将终端与内部数据网内设备交互的所有数据在终端与对应的虚拟专网网关之间进行网络层安全保护传输；
[0016]所述第一终端和第二终端分别与内部数据网内的SIP服务器建立安全关联，形成内层SIP信令传输隧道；所述内层SIP信令传输隧道用于将对应终端与SIP服务器之间交互的所有SIP控制信令在终端与SIP服务器之间进行传输层安全保护传输；
[0017]分别通过所述网络层安全隧道和内层SIP信令传输隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行传输层和网络层安全保护；
[0018]所述第一终端发起对第二终端的VoIP通信，使用SIP控制信令进行呼叫接续流程，建立RTP层安全连接，形成内层VoIP数据端到端隧道；所述内层VoIP数据端到端隧道用于对所述第一终端之间的第二终端之间的通信内容进行RTP层安全保护传输；
[0019]分别通过所述网络层安全隧道和内层VoIP数据端到端隧道对所述第一终端和第二终端之间的通信内容进行网络层和RTP层安全保护传输。
[0020]优选地，所述虚拟专网为IPSec虚拟专网或L2TP over IPSec虚拟专网。
[0021]优选地，所述虚拟专网为IPSec虚拟专网，所述分别通过所述网络层安全隧道和内层SIP信令传输隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行传输层和网络层安全保护的步骤具体为:
[0022]终端将SIP控制信令发送出去前，先在UDP层或TCP层对SIP控制信令进行传输层加密，形成加密后的m)P包或TCP包；
[0023]将所述加密后的UDP包或TCP包封装成IP报文，并通过所述网络层安全隧道传输至对应的虚拟专网网关；
[0024]虚拟专网网关将从所述网络层安全隧道中收到的IP报文，通过内部数据网的底层承载发送至SIP服务器；
[0025]所述SIP服务器在传输层对所述密UDP包或TCP包进行解密，得到SIP控制信令。
[0026]优选地，所述虚拟专网为IPSec虚拟专网，所述分别通过所述网络层安全隧道和内层VoIP数据端到端隧道对所述第一终端和第二终端之间的通信内容进行网络层和RTP层安全保护传输的步骤具体为:
[0027]终端将通信内容发送出去前，先在RTP层对通信内容进行SRTP加密，形成加密后的RTP包；
[0028]将所述加密后的RTP包封装成IP报文，并通过所述网络层安全隧道传输至对应的虚拟专网网关；
[0029]所述虚拟专网网关将从所述网络层安全隧道中收到的IP报文，通过内部数据网的底层承载发送至对方终端对应的虚拟专网网关；
[0030]所述对方终端对应的虚拟专网网关将收到的IP报文，通过所述网络层安全隧道传输至所述对方终端；
[0031]所述对方终端从所述网络层安全隧道中收到所述IP报文，在RTP层进行解密得到所述通信内容。
[0032]优选地，所述虚拟专网为L2TP over IPSec虚拟专网，所述分别通过所述网络层安全隧道和内层SIP信令传输隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行传输层和网络层安全保护的步骤具体为:
[0033]终端将SIP控制信令发送出去前，先在UDP层或TCP层对SIP控制信令进行传输层加密，形成加密后的m)P包或TCP包；
[0034]将所述加密后的UDP包或TCP包依次封装IP头和PPP头形成PPP帧；
[0035]将所述PPP帧通过所述网络层安全隧道传输至对应的虚拟专网网关；
[0036]虚拟专网网关将从所述网络层安全隧道中收到的PPP帧的PPP头去掉，并将留下的加密后的m)P包或TCP包和ip头重新封装，通过内部数据网的底层承载发送至sip服务器；
[0037]所述SIP服务器在传输层对所述密UDP包或TCP层包进行传输层解密，得到SIP控制信令。
[0038]优选地，所述虚拟专网为L2TP over IPSec虚拟专网，所述分别通过所述网络层安全隧道和内层VoIP数据端到端隧道对所述第一终端和第二终端之间的通信内容进行网络层和RTP层安全保护传输的步骤具体为:
[0039]终端将通信内容发送出去前，先在RTP层对通信内容进行RTP层加密，形成加密后的RTP包；
[0040]将所述加密后的RTP包依次封装UDP头、IP头和PPP头形成PPP帧后，通过所述网络层安全隧道传输至对应的虚拟专网网关；
[0041]所述虚拟专网网关将从所述网络层安全隧道中收到的PPP帧的PPP头去掉；并将留下的加密后的RTP包、UDP头和IP头重新封装形成IP包后，通过内部数据网的底层承载发送至对方终端对应的虚拟专网网关；
[0042]所述对方终端对应的虚拟专网网关将收到的IP包加上PPP头重新封装成PPP帧后，通过所述网络层安全隧道传输至所述对方终端；
[0043]所述对方终端从所述网络层安全隧道中收到所述PPP帧后，去掉所述PPP头、IP头、UDP头得到所述加密后的RTP包，并在RTP层进行解密得到所述通信内容。
[0044]优选地，所述SIP控制信令包括注册消息和呼叫接续消息。[0045]优选地，，所述第一终端和第二终端之间的通信内容为VoIP媒体流。
[0046]优选地，所述网络层安全保护为IP层安全协议。
[0047]优选地，所述IP层安全协议为IPSec协议。
[0048]优选地，所述传输层安全保护为传输层安全协议。
[0049]优选地，所述传输层安全协议为TLS协议。
[0050]优选地，所述RTP层安全保护为RTP层安全协议。
[0051 ] 优选地，所述RTP层安全协议为SRTP协议。
[0052]另一方面，本发明还提供了一种IP分组网中VoIP多层加密系统，包括:第一终端、第二终端以及内部数据网；所述内部数据网包括通过数据内网相互连接的SIP服务器和两个虚拟专网网关；
[0053]所述两个虚拟专网网关，分别与所述第一终端和第二终端通过IP分组网络连接，与对应的终端之间建立有网络层安全隧道，所述网络层安全隧道用于为对应终端与内部数据网之间交互的所有数据提供网络层安全保护传输；
[0054]SIP服务器，分别与所述第一终端和第二终端之间建立有内层SIP信令传输隧道，所述内层SIP信令传输隧道用于为对应终端与SIP服务器之间交互的所有SIP控制信令提供传输层保护传输；
[0055]所述第一终端和第二终端之间建立有内层VoIP数据端到端隧道，所述内层VoIP数据端到端隧道为所述第一终端和第二终端之间的通信内容提供RTP层保护传输。
[0056]优选地，所述IP分组网络包括移动分组网络、因特网分组网络中的一种或多种。
[0057](三)有益效果
[0058]本发明无需改造现有通信网络，即可为VoIP通信提供高安全保护。不仅保证VoIP通信内容的端到端加密传输，而且对密钥数据和整个SIP消息进行了保护；此外，终端的语音通信行为将被保护在IP分组网络中构建的网络层安全隧道中。具体为:使用RTP层安全协议和IP层安全协议对VoIP媒体流提供安全保护，使用传输层安全协议和IP层安全协议保护SIP控制信令，既可以保证语音内容的端到端安全保护，还能解决VoIP包的IP头和UDP头暴露问题，为VoIP通信提供机密性、完整性保护、防重放和数据源认证保护。此外，终端与内部数据网内对应的虚拟专网网关建立的L2TP虚拟专网(Virtual PrivateNetwork, VPN)在一定程度上有助于抵抗IP分组网对终端的攻击。
[0059]本发明可用于用户使用任何具有IP接入能力的设备在IP接入环境中随时、随地和通信网连接起来，远程接入内部数据网络进行VoIP通信，满足用户安全、移动的语音通需求。
【专利附图】

【附图说明】
[0060]图1为根据本发明实施例一种IP分组网中VoIP多层加密方法的步骤流程示意图；
图2为根据本发明实施例一种IP分组网中VoIP多层加密方法中虚拟专网为L2TP overIPSec虚拟专网时VoIP多层加密流程图；
[0061]图3为根据本发明实施例加密方法对终端和VPN网关之间传输的数据进行L2TPover IPSec保护的示意图；[0062]图4为根据本发明实施例加密方法对终端与SIP服务器之间的SIP控制信令进行TLS和IPSec保护的流程示意图；
[0063]图5为根据本发明实施例加密方法对所述第一终端和第二终端之间的通信内容进行IPSec和SRTP保护传输的示意图；
[0064]图6为根据本发明实施例加密方法终端发出的VoIP媒体流IP包格式的示意图；
[0065]图7为根据本发明实施例一种IP分组网中VoIP多层加密系统的结构示意图。
【具体实施方式】
[0066]下面结合附图及实施例对本发明进行详细说明如下。
[0067]实施例一:
[0068]图1所示为本实施例记载的一种IP分组网中VoIP多层加密方法的流程图，所述方法包括以下步骤:
[0069]SllO:第一终端和第二终端分别与内部数据网内对应的VPN网关建立VPN通道并形成网络层安全隧道；所述网络层安全隧道用于将终端与内部数据网内设备交互的所有数据在终端与对应的VPN网关之间进行网络层安全保护传输；
[0070]S120:所述第一终端和第二终端分别与内部数据网内的SIP服务器建立安全关联，形成内层SIP信令传输隧道；所述内层SIP信令传输隧道用于将对应终端与SIP服务器之间交互的所有SIP控制信令在终端与SIP服务器之间进行传输层安全保护传输；
[0071]S130:分别通过所述网络层安全隧道和内层SIP信令传输隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行传输层和网络层安全保护；
[0072]S140:所述第一终端发起对第二终端的VoIP通信，使用SIP控制信令进行呼叫接续流程，建立RTP层安全连接，形成内层VoIP数据端到端隧道；所述内层VoIP数据端到端隧道用于对所述第一终端之间的第二终端之间的通信内容进行RTP层安全保护传输；
[0073]S150:分别通过所述网络层安全隧道和内层VoIP数据端到端隧道对所述第一终端和第二终端之间的通信内容进行网络层和RTP层安全保护传输。
[0074]其中，所述网络层安全保护为IP层安全协议。所述IP层安全协议为IPSec协议或其它IP层安全协议。
[0075]其中，所述传输层安全保护为传输层安全协议。所述传输层安全协议为TLS协议或其它传输层安全协议。
[0076]其中，所述RTP层安全保护为RTP层安全协议。所述RTP层安全协议为SRTP协议或其它RTP层安全协议。
[0077]实施例二:
[0078]本实施例包括了实施例一的内容，更为具体的，在本实施例中，所述VPN为IPSecVPN。
[0079]所述分别通过所述网络层安全隧道和内层SIP信令传输隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行传输层和网络层安全保护的步骤具体为:
[0080]终端将SIP控制信令发送出去前，先在UDP层或TCP层对SIP控制信令进行传输层加密，形成加密后的m)P包或TCP包；
[0081]将所述加密后的UDP包或TCP包封装成IP报文，并通过所述网络层安全隧道传输至对应的VPN网关；
[0082]VPN网关将从所述网络层安全隧道中收到的IP报文，通过内部数据网的底层承载发送至SIP服务器；
[0083]所述SIP服务器在传输层对所述密UDP包或TCP包进行解密，得到SIP控制信令。
[0084]所述分别通过所述网络层安全隧道和内层VoIP数据端到端隧道对所述第一终端和第二终端之间的通信内容进行网络层和RTP层安全保护传输的步骤具体为:
[0085]终端将通信内容发送出去前，先在RTP层对通信内容进行SRTP加密，形成加密后的RTP包；
[0086]将所述加密后的RTP包封装成IP报文，并通过所述网络层安全隧道传输至对应的VPN网关；
[0087]所述VPN网关将从所述网络层安全隧道中收到的IP报文，通过内部数据网的底层承载发送至对方终端对应的VPN网关；
[0088]所述对方终端对应的VPN网关将收到的IP报文，通过所述网络层安全隧道传输至所述对方终端；
[0089]所述对方终端从所述网络层安全隧道中收到所述IP报文，在RTP层进行解密得到所述通信内容。
[0090]实施例三:
[0091]本实施例记载了一种IP分组网中VoIP多层加密方法，其包括了实施例一的内容，但是在本实施例中，所述虚拟专网为L2TP over IPSec虚拟专网。本实施例的方法具体包括以下步骤:
[0092]第一终端和第二终端分别与内部数据网内对应的VPN网关建立L2TP VPN安全通道并通过IKE建立IPSec安全协议的安全关联，形成网络层安全隧道；所述网络层安全隧道用于将终端与内部数据网内设备交互的所有数据在终端与对应的VPN网关之间进行IPSec保护传输；
[0093]所述第一终端和第二终端分别与内部数据网内的SIP服务器执行握手协议，建立用于安全层传输协议(Transport Layer Security, TLS)连接的安全关联,形成内层SIP信令传输隧道；所述内层SIP信令传输隧道用于将对应终端与SIP服务器之间交互的所有SIP控制信令在终端与SIP服务器之间进行TLS保护传输；
[0094]分别通过所述网络层安全隧道和内层SIP信令传输隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行TLS和IPSec保护；
[0095]所述第一终端和第二终端分别通过注册流程在SIP服务器中注册自己的联系地址；
[0096]所述第一终端发起对第二终端的VoIP通信，使用SIP控制信令进行呼叫接续流程，通过SIP控制信令的消息体SDP扩展携带用于SRTP的密钥交换消息，建立用于SRTP连接的安全关联，形成内层VoIP数据端到端隧道；所述内层VoIP数据端到端隧道用于对所述第一终端之间的第二终端之间的通信内容进行SRTP保护传输；
[0097]分别通过所述网络层安全隧道和内层VoIP数据端到端隧道对所述第一终端和第二终端之间的通信内容进行IPSec和SRTP保护传输。
[0098]如图2所示为本实施例方法的一个具体实例的步骤流程图，包括步骤:[0099]1、终端A与内部数据网边界部署的终端A侧对应VPN网关(以下简称A侧VPN网关)建立L2TP VPN安全通道，所述A侧VPN网关使用IKE对VPN连接进行认证，并与终端A建立IPSec安全协议的安全关联SA，形成网络层安全隧道。所述网络层安全隧道建立成功后，A侧VPN网关将为终端A分配内网IP地址。此后，终端A与内部数据网交互的所有数据将在终端A和A侧VPN网关之间进行IPSec保护传输。
[0100]2、终端B与内部数据网边界部署的终端B侧对应VPN网关(以下简称B侧VPN网关)建立L2TP VPN安全通道，所述B侧VPN网关使用IKE对VPN连接进行认证，并与终端B建立IPSec安全协议的安全关联SA，形成网络层安全隧道。所述网络层安全隧道建立成功后，B侧VPN网关将为终端B分配内网IP地址。此后，终端B与内部数据网交互的所有数据将在终端B和B侧VPN网关之间进行IPSec保护传输。
[0101]3、终端A与内网SIP服务器执行握手协议，建立用于TLS连接的安全关联SA。此后，终端A与SIP服务器的所有SIP控制指令将在终端A与SIP服务器之间进行TLS保护传输。
[0102]4、终端B与内网SIP服务器执行握手协议，建立用于TLS连接的安全关联SA。此后，终端B与SIP服务器的所有SIP控制指令将在终端B与SIP服务器之间进行TLS保护传输。
[0103]5、终端A通过注册流程在SIP服务器中注册自己的联系地址。这里，注册流程使用的注册消息通过TLS和IPSec进行保护。
[0104]6、终端B通过注册流程在SIP服务器中注册自己的联系地址。这里，注册流程使用的注册消息通过TLS和IPSec进行保护。
[0105]7、终端A发起对终端B的VoIP通信时，使用TLS和IPSec保护的SIP控制消息进行呼叫接续流程。用于SRTP的密钥交换消息将承载在SIP消息体SDP中，实现用于SRTP连接的安全关联SA的建立。
[0106]8、终端A和终端B之间的通信内容使用SRTP和IPSec保护传输。
[0107]由上可以看出，步骤I和2实现了 SIP控制信令和VoIP媒体流的外层保护；步骤3和4实现了 SIP控制信令的内层保护；而步骤7和8则实现了 VoIP媒体流的内层保护。
[0108]由上可知，本发明利用L2TP over IPSec隧道技术在IP分组网中建立了 VPN，实现内部数据网络的安全移动接入。终端在VPN中进行基于SIP服务器的VoIP安全通信。L2TPover IPSec VPN技术结合了 L2TP在内部IP地址管理以及IPSec在安全方面的优势。如图3所示为对终端和VPN网关之间传输的数据进行L2TP over IPSec保护的示意图。其中L2TP用于在UDP传输层建立相应通道以承载PPP帧，实现终端与VPN网关之间的PPP连接；IPSec用于对整个L2TP隧道进行安全保护。
[0109]图4所示为本实施例分别通过所述网络层安全隧道和内层SIP信令传输隧道对终端与SIP服务器之间的SIP控制信令进行TLS和IPSec保护的示意图，其步骤具体为:
[0110]终端将SIP控制信令发送出去前，先在UDP层对SIP控制信令进行TLS加密，形成加密后的m)P包；然后将所述加密后的UDP包依次封装ip头和ppp头形成ppp帧；
[0111]将所述PPP帧通过所述网络层安全隧道传输至对应的VPN网关；
[0112]VPN网关将从所述网络层安全隧道中收到的PPP帧的PPP头去掉，并将留下的加密后的UDP包和IP头重新封装，通过内部数据网的底层承载发送至SIP服务器；[0113]所述SIP服务器在UDP层对所述加密后的UDP包进行TLS解密，得到SIP控制信令。
[0114]图5为分别通过所述网络层安全隧道和内层VoIP数据端到端隧道对所述第一终端和第二终端之间的通信内容进行IPSec和SRTP保护传输的示意图，其步骤具体为:
[0115]终端将通信内容发送出去前，先在RTP层对通信内容进行SRTP加密，形成加密后的SRTP包；
[0116]将所述加密后的SRTP包依次封装UDP头、IP头和PPP头形成PPP帧后，通过所述网络层安全隧道传输至对应的VPN网关；
[0117]所述VPN网关将从所述网络层安全隧道中收到的PPP帧的PPP头去掉；并将留下的加密后的SRTP包、UDP头和IP头重新封装形成IP包后，通过内部数据网的底层承载发送至对方终端对应的VPN网关；
[0118]所述对方终端对应的VPN网关将收到的IP包加上PPP头重新封装成PPP帧后，通过所述网络层安全隧道传输至所述对方终端；
[0119]所述对方终端从所述网络层安全隧道中收到所述PPP帧后，去掉所述PPP头、IP头、UDP头得到所述加密后的SRTP包，并在RTP层对所述SRTP包进行SRTP解密得到所述通信内容。
[0120]在本实施例中，所述终端发出的VoIP媒体流IP包格式如图6所示。终端对PPP帧内的语音帧进行SRTP保护，对承载L2TP帧的外部IP包进行安全封装负载(ESP)传输模式保护。
[0121]在本实施例中，所述SIP控制信令包括所述注册消息和呼叫接续消息。
[0122]在本实施例中，所述第一终端和第二终端之间的通信内容为VoIP媒体流。
[0123]实施例四:
[0124]如图7所示为本实施例记载的一种实现实施例三所述方法的IP分组网中VoIP多层加密系统的结构示意图，包括:第一终端510、第二终端520以及内部数据网530 ;所述内部数据网530包括通过数据内网相互连接的SIP服务器531和两个VPN网关532 ；
[0125]所述两个VPN网关532，分别与所述第一终端510和第二终端520通过IP分组网络540连接，与对应的终端之间建立有网络层安全隧道550，所述网络层安全隧道550用于为对应终端与内部数据网530之间交互的所有数据提供IPSec保护传输；这里，终端与内部数据网530之间交互的所有数据包括在网络层安全隧道550中传输的终端与SIP服务器、其他终端之间交互的数据，实现了 VoIP数据和SIP控制信令的外层保护；
[0126]SIP服务器531，分别与所述第一终端510和第二终端520之间建立有内层SIP信令传输隧道560,所述内层SIP信令传输隧道560用于为对应终端与SIP服务器531之间交互的所有SIP控制信令提供TLS保护传输；
[0127]所述第一终端510和第二终端520之间建立有内层VoIP数据端到端隧道570，所述内层VoIP数据端到端隧道570为所述第一终端510和第二终端520之间的通信内容提供SRTP和IPSec保护传输。
[0128]所述IP分组网络540包括移动分组网络、因特网分组网络中的一种或多种。
[0129]这里，所述终端包括手机或计算机等具有IP接入能力的设备，支持VoIP客户端、L2TP VPN客户端和IPSec\TLS\SRTP安全功能。VPN网关支持L2TP VPN服务器和IPSec功能；SIP服务器支持TLS功能。
[0130]本发明无需改造现有通信网络，即可为VoIP通信提供高安全保护，不仅保证VoIP通信内容的端到端加密传输，而且对密钥数据和整个SIP消息进行了保护；此外，终端的语音通信行为将被保护在IP分组网络中构建的网络层安全隧道中。
[0131]以上实施方式仅用于说明本发明，而并非对本发明的限制，有关【技术领域】的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。
【权利要求】
1.一种IP分组网中VoIP多层加密方法，其特征在于，包括以下步骤: 第一终端和第二终端分别与内部数据网内对应的虚拟专网网关建立虚拟专网通道并形成网络层安全隧道；所述网络层安全隧道用于将终端与内部数据网内设备交互的所有数据在终端与对应的虚拟专网网关之间进行网络层安全保护传输； 所述第一终端和第二终端分别与内部数据网内的SIP服务器建立安全关联，形成内层SIP信令传输隧道；所述内层SIP信令传输隧道用于将对应终端与SIP服务器之间交互的所有SIP控制信令在终端与SIP服务器之间进行传输层安全保护传输； 分别通过所述网络层安全隧道和内层SIP信令传输隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行传输层和网络层安全保护； 所述第一终端发起对第二终端的VoIP通信，使用SIP控制信令进行呼叫接续流程，建立RTP层安全连接，形成内层VoIP数据端到端隧道；所述内层VoIP数据端到端隧道用于对所述第一终端之间的第二终端之间的通信内容进行RTP层安全保护传输； 分别通过所述网络层安全隧道和内层VoIP数据端到端隧道对所述第一终端和第二终端之间的通信内容进行网络层和RTP层安全保护传输。
2.如权利要求1所述的方法，其特征在于，所述虚拟专网为IPSec虚拟专网或L2TPover IPSec虚拟专网。
3.如权利要求2所述的方法，其特征在于，所述虚拟专网为IPSec虚拟专网，所述分别通过所述网络层安全隧道和内层SIP信令传输隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行传输层和网络层安全保护的步骤具体为: 终端将SIP控制信令发送出去前，先在UDP层或TCP层对SIP控制信令进行传输层加密，形成加密后的m)P包或TCP包； 将所述加密后的UDP包或TCP包封装成IP报文，并通过所述网络层安全隧道传输至对应的虚拟专网网关； 虚拟专网网关将从所述网络层安全隧道中收到的IP报文，通过内部数据网的底层承载发送至SIP服务器； 所述SIP服务器在传输层对所述密UDP包或TCP包进行解密，得到SIP控制信令。
4.如权利要求2所述的方法，其特征在于，所述虚拟专网为IPSec虚拟专网，所述分别通过所述网络层安全隧道和内层VoIP数据端到端隧道对所述第一终端和第二终端之间的通信内容进行网络层和RTP层安全保护传输的步骤具体为: 终端将通信内容发送出去前，先在RTP层对通信内容进行SRTP加密，形成加密后的RTP包； 将所述加密后的RTP包封装成IP报文，并通过所述网络层安全隧道传输至对应的虚拟专网网关； 所述虚拟专网网关将从所述网络层安全隧道中收到的IP报文，通过内部数据网的底层承载发送至对方终端对应的虚拟专网网关； 所述对方终端对应的虚拟专网网关将收到的IP报文，通过所述网络层安全隧道传输至所述对方终端； 所述对方终端从所述网络层安全隧道中收到所述IP报文，在RTP层进行解密得到所述通信内容。
5.如权利要求2所述的方法,其特征在于,所述虚拟专网为L2TPover IPSec虚拟专网，所述分别通过所述网络层安全隧道和内层SIP信令传输隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行传输层和网络层安全保护的步骤具体为: 终端将SIP控制信令发送出去前，先在UDP层或TCP层对SIP控制信令进行传输层加密，形成加密后的m)P包或TCP包； 将所述加密后的m)P包或TCP包依次封装IP头和PPP头形成ppp帧； 将所述PPP帧通过所述网络层安全隧道传输至对应的虚拟专网网关； 虚拟专网网关将从所述网络层安全隧道中收到的PPP帧的PPP头去掉，并将留下的加密后的UDP包或TCP包和IP头重新封装，通过内部数据网的底层承载发送至SIP服务器；所述SIP服务器在传输层对所述密UDP包或TCP层包进行传输层解密，得到SIP控制信令。
6.如权利要求2所述的方法,其特征在于,所述虚拟专网为L2TPover IPSec虚拟专网，所述分别通过所述网络层安全隧道和内层VoIP数据端到端隧道对所述第一终端和第二终端之间的通信内容进行网络层和RTP层安全保护传输的步骤具体为: 终端将通信内容发送出去前，先在RTP层对通信内容进行RTP层加密，形成加密后的RTP 包； 将所述加密后的RTP包依次封装UDP头、IP头和PPP头形成PPP帧后，通过所述网络层安全隧道传输至对应的虚拟专网网关； 所述虚拟专网 网关将从所述网络层安全隧道中收到的PPP帧的PPP头去掉；并将留下的加密后的RTP包、UDP头和IP头重新封装形成IP包后，通过内部数据网的底层承载发送至对方终端对应的虚拟专网网关； 所述对方终端对应的虚拟专网网关将收到的IP包加上PPP头重新封装成PPP帧后，通过所述网络层安全隧道传输至所述对方终端； 所述对方终端从所述网络层安全隧道中收到所述PPP帧后，去掉所述PPP头、IP头、UDP头得到所述加密后的RTP包，并在RTP层进行解密得到所述通信内容。
7.如权利要求1所述的方法，其特征在于，所述网络层安全保护为IP层安全协议，所述IP层安全协议为IPSec协议。
8.如权利要求1所述的方法，其特征在于，所述传输层安全保护为传输层安全协议，所述传输层安全协议为TLS协议。
9.如权利要求1所述的方法，其特征在于，所述RTP层安全保护为RTP层安全协议，所述RTP层安全协议为SRTP协议。
10.一种IP分组网中VoIP多层加密系统，其特征在于，包括:第一终端、第二终端以及内部数据网；所述内部数据网包括通过数据内网相互连接的SIP服务器和两个虚拟专网网关; 所述两个虚拟专网网关，分别与所述第一终端和第二终端通过IP分组网络连接，与对应的终端之间建立有网络层安全隧道，所述网络层安全隧道用于为对应终端与内部数据网之间交互的所有数据提供网络层安全保护传输； SIP服务器，分别与所述第一终端和第二终端之间建立有内层SIP信令传输隧道，所述内层SIP信令传输隧道用于为对应终端与SIP服务器之间交互的所有SIP控制信令提供传输层保护传输； 所述第一终端和第二终端之间建立有内层VoIP数据端到端隧道，所述内层VoIP数据端到端隧道为所述第一终端和第二终 端之间的通信内容提供RTP层保护传输。
【文档编号】H04L12/46GK103888334SQ201210558804
【公开日】2014年6月25日 申请日期:2012年12月20日 优先权日:2012年12月20日
【发明者】谢进柳, 侯长江, 王巨盆 申请人:兴唐通信科技有限公司