将sip信令用于量子安全通信系统的方法、综合接入量子网关及系统的制作方法
【技术领域】
[0001] 本发明涉及量子通信技术领域,尤其涉及一种将SIP信令用于量子安全通信系统 中的方法和综合接入量子网关及量子安全通信系统。
【背景技术】
[0002] 会话初始协议SIP (Session Initiation Protocol)是一个在IP网络上进行多媒 体通信的应用层控制协议,它被用来创建、修改和终结一个或多个参加者参加的会话进程。 SIP协议可用于发起会话,也可以用于邀请成员加入已经用其它方式建立的会话。
[0003] SIP会话建立至会话终结的正常流程如图1所示:
[0004] 1.用户摘机发起一路呼叫,SIP终端A向SIP服务器发送Invite请求;
[0005] 2. SIP服务器向SIP终端B转发Invite请求;
[0006] 3. SIP服务器向SIP终端A发送呼叫处理中的应答消息,100 Trying ;
[0007] 4. SIP终端B向SIP服务器发送呼叫处理中的应答消息,100 Trying ;
[0008] 5. SIP终端B指示被叫用户振铃,用户振铃后,向SIP服务器发送180 Ringing振 铃消息;
[0009] 6. SIP服务器向SIP终端A转发被叫用户振铃消息(180 Ringing);
[0010] 7.被叫用户摘机,SIP终端B向SIP服务器发送表示连接成功的应答(200 0K);
[0011] 8. SIP服务器向SIP终端A转发该成功指示(200 0K);
[0012] 9. SIP终端A收到消息后,向SIP服务器发送ACK消息进行确认;
[0013] 10. SIP服务器将ACK消息转发至SIP终端B ;
[0014] 11.主、被叫用户之间建立通信连接,开始通话;
[0015] 12.用户通话结束后,用户挂机(以被叫用户挂机为例),SIP终端B向SIP服务 器发送Bye消息;
[0016] 13. SIP服务器转发Bye消息至SIP终端A ;
[0017] 14.主叫用户挂机后,SIP终端A向SIP服务器发送确认挂断响应消息200 OK ;
[0018] 15. SIP服务器转发响应消息200 OK至SIP终端B。
[0019] 使用SIP协议建立会话后,业务数据在SIP客户端之间直接传输。为保证客户端之 间的业务数据的安全性,目前一般的方法是对业务数据使用经典密码算法,例如使用AES、 DES算法对业务数据进行加解密。但这些经典密码算法是以数学为基础的密码体制,其安全 性基于数学算法的计算复杂度,不能保证密钥的无条件安全。随着现今计算能力的提升和 数学的进步,依赖于计算复杂度的经典密码算法正受到日益严重的威胁。
[0020] 上世纪八十年代以来,量子物理与信息技术相结合,开拓了与经典方式具有本质 区别的全新的信息处理和通信方式,一门新兴的学科--量子信息科学--正在迅猛发 展,成为近年来物理学和信息科学领域最活跃的研究前沿之一。
[0021] 不同于经典信息,量子信息的基本单元是量子比特,操控量子信息必须遵从量子 物理的规律。量子通信技术通过传输和处理量子比特,在通信安全性、增大信道容量等方面 都可以突破传统通信技术的极限,对于未来信息通信技术和信息安全技术的发展具有革命 性的影响。
[0022] 目前,实用化的量子通信技术通过传输单光子来进行量子状态的传递,从而实现 量子密钥分发(QKD),并完成安全通信。原理上,对QKD过程的任何窃听都必然会被发现。 以常用的光量子通信方案为例,量子信息由单光子的量子状态承载;而单光子是光能量变 化的最小单元,也可以说是组成光的最基本单元,已不可再分,窃听者不能通过分割光子来 窃听信息;"量子不可复制原理"决定了未知单光子状态不能被精确复制,因此窃听者也不 能通过截获并复制光子状态来窃听信息;"海森堡测不准原理"则决定了对未知单光子状态 的测量必然会对其状态产生扰动,通信者就可以利用这一点发现窃听。因此,QKD过程所产 生的密钥具有理论上的无条件安全性。
[0023] 本专利探索将实用化的量子通信技术与SIP信令业务系统相结合,充分发挥量子 通信技术在密钥分发和安全通信方面的优势,增强现有SIP信令业务系统的通信安全性。
【发明内容】
[0024] 本发明将实用化的量子通信技术与SIP信令业务系统相结合,并以SIP信令业务 为基础,将多种业务类型转化为SIP信令业务,并对各种业务数据使用量子密钥进行加解 密,保证业务数据传输的高度安全性。
[0025] 本发明一方面,提供一种将SIP信令用于量子安全通信系统的方法,包括如下步 骤:
[0026] 第一,系统初始化,在SIP服务器中配置业务终端与量子网关的对应关系;
[0027] 第二,SIP服务器接收主叫方量子网关发送来的INVITE消息,根据配置改写 INVITE消息,加入主叫方量子网关ID和被叫方量子网关ID,并将改写后的INVITE消息转 发给被叫方量子网关;
[0028] 第三,被叫方量子网关接收所述INVITE消息,根据INVITE消息中的量子网关ID 得到与主叫方量子网关间共享的量子密钥;
[0029] 第四,SIP服务器接收被叫方量子网关发送的用于响应所述INVITE消息的200 OK 消息后,根据配置改写200 OK消息,加入主叫方量子网关ID和被叫方量子网关ID,并将改 写后的200 OK消息转发给主叫方量子网关;
[0030] 第五,主叫方量子网关接收所述200 OK消息,根据200 OK消息中的量子网关ID 得到与被叫方量子网关间共享的量子密钥;
[0031] 第六,主叫方业务终端和被叫方业务终端,分别通过主叫方量子网关和被叫方量 子网关,利用所述共享的量子密钥对业务数据进行加解密,实现业务终端间业务数据的安 全传输。
[0032] 优选地,所述根据配置改写INVITE消息的方法为:重写INVITE消息中FROM头域 的username字段,加入主叫方量子网关ID和被叫方量子网关ID。
[0033] 优选地,所述根据配置改写200 OK消息的方法为:重写200 OK消息中FROM头域 的username字段,加入主叫方量子网关ID和被叫方量子网关ID。
[0034] 优选地,所述根据配置改写INVITE消息或200 OK消息,加入主叫方量子网关ID 和被叫方量子网关ID的方法为:在SIP信令的TO头域或者CONTACT头域中添加。
[0035] 优选地,所述业务数据可以为视频电话、IP电话、传真机、普通电话、多媒体终端等 的业务数据。
[0036] 进一步地,所述第六步骤具体为:
[0037] 主叫方业务终端发出业务数据,主叫方量子网关接收业务数据后进行协议转换, 根据量子网关ID,使用与被叫方量子网关间共享的量子密钥对经过协议转换的业务数据进 行加密成为密文,密文通过网络传输给被叫方量子网关;
[0038] 被叫方量子网关根据量子网关ID,使用与主叫方量子网关间共享的量子密钥对密 文进行解密,解密后的业务数据在被叫方量子网关内进行协议转换后,传输给被叫方业务 终端。
[0039] 本发明另一方面,提供一种综合接入量子网关,用于将业务终端间的多种通信业 务接入量子安全通信系统中,并实现业务终端间的安全通信,该量子网关包括接入系统和 密钥管理系统,其中接入系统包含业务接入模块、协议解析模块及信令处理模块;密钥管理 系统包含密钥存储模块与数据加解密模块,其特征在于:
[0040] 密钥存储模块,用于接收量子密钥分发系统生成的量子密钥并按照量子网关ID 进行存储,根据数据加解密模块的申请向其发送对应的量子密钥;
[0041] 业务接入模块,用于接入业务终端的业务,进行SIP信令封装和/或业务数据协议 转换,将SIP信令及业务数据在业务终端与协议解析模块之间进行传输;
[0042] 协议解析模块,用于实现SIP信令及各种业务数据协议的解析,将从业务接入模 块获取的SIP信令发送至信令处理模块;在发送端,从由信令处理模块获取的用于响应 INVITE消息的200 OK消息中获取量子网关ID,将该200 OK消息拆封量子网关ID后发送 至业务接入模块,将从业务接入模块获取的业务数据封装量子网关ID及业务类型后发送 至数据加解密模块;在接收端,从由信令处理模块获取的INVITE消息中获取量子网关ID, 将该INVITE消息拆封量子网关ID后发送至业务接入模块,将从数据加解密模块获取的业 务数据拆封量子网关ID及业务类型后发送至业务接入模块;
[0043] 信令处理模块,用于实现SIP服务器与协议解析模块之间SIP信令的转发;
[0044] 数据加解密模块,用于在发送端,从协议解析模块接收业务数据,按照量子网关 ID,从密钥存储模块获取量子密钥,并对业务数据进行加密操作后,发送到对端综合接入量 子网关的数据加解密模块;在接收端,接收对端综合接入量子网关发送的业务数据密文,按 照量子网关ID,从密钥存储模块获取量子密钥,并对业务数据密文进行解密操作后,发送到 协议解析模块。
[0045] 本发明又一方面,提供一种量子安全通信系统,该系统包括SIP服务器、量子密钥 分发系统、所述综合接入量子网关,用于实现所述将SIP信令用于量子安全通信系统的方 法;其中的量子密钥分发系统,用于为主叫方综合接入量子网关和被叫方综合接入量子网 关提供共享的量子密钥。
[0046] 可选地,所述量子密钥分发系统集成在所述综合接入量子网关中。
[0047] 本发明通过上述技术方案,可以得到如下技术效果:
[0048] 本发明针对当前广泛应用的SIP系统,结合量子通信技术,在修改少量SIP协议指 令字段的基础上添加量子网关ID信息,以便量子网关能够正确识别和使用共享的量子密 钥,为SIP系统的业务数据提供加解密服务,充分保障了业务数据的安全性,实