一种实现sip会话传输的方法及系统的制作方法
【技术领域】
[0001]本发明涉及远程通讯技术,尤指一种实现SIP会话传输的方法及系统。
【背景技术】
[0002]针对技术机密的重要性,越来越多的企业希望远程通讯时能加密传输,使用对数据加密的需求也是越来越大。
[0003]会议电视走向运营之后,初始会话协议(SIP)的应用也越来越广,SIP的加密传输必然会成为重要的关注点。现有的SIP加密传输都是通过客户端和服务端的证书和密钥来实现的,大致处理流程如图1所示,图1为现有服务端与客户端之间实现安全套接层协议(SSL, Secure Sockets Layer)握手交互的流程示意图,包括:
[0004]步骤100:客户端发送的握手消息为客户端问候(Client Hello)消息,其中携带有客户端所推荐的加密参数,比如客户端准备使用的加密算法,此外,还携带有一个在密钥产生过程中使用的随机值。
[0005]步骤101?步骤103:服务端向客户端回复选择加密与压缩算法的服务器问候(Server Hello)消息,其中携带有一个服务端产生的随机值;服务端向客户端发送证书(Certificate)消息,其中携带有服务端的公用密钥,比如RSA密钥;服务端向客户端发送表示握手阶段不再有任何消息的服务器问候结束(Server Hello Done)消息。
[0006]其中,RSA加密算法是一种非对称加密算法。在公钥加密标准和电子商业中RSA被广泛使用。RSA是1977年由罗纳德?李维斯特(Ron Rivest)、阿迪.萨莫尔(Adi Shamir)和伦纳德.阿德曼(Leonard Adleman) 一起提出的。
[0007]步骤104?步骤106:客户端向服务器发送客户端密钥交换(Cl ient_Key_Exchange)消息,其中携带有一个随机产生的用服务端的RSA密钥加密的密钥。接着,发送用于指示客户端在此之后发送的所有消息都将使用上述商定的密钥进行加密的修改密钥说明(Change_Cipher_Spec)消息。最后客户端向服务器发送完成(Finished)消息,其中携带有对整个连接过程的校验。这样,服务端就能够判断要使用的加密算法是否是安全商定的了。
[0008]步骤107?步骤108:—旦服务端接收到来自客户端的Finished消息,服务端就会发送自身的Change_Cipher_Spec消息和Finished消息。至此,客户端与服务端之间的连接就准备好进行应用数据的传输了。
[0009]步骤109?步骤110:客户端和服务端利用协商好的密钥发送应用数据,以实现SIP会话。
[0010]如果客户端关闭连接,客户端会先向服务端发送关闭通知(close_notify alter)消息来表示连接即将关闭。
[0011]在现有实现SIP会话加密传输中,每个终端和多点控制单元(MCU)都可能同时既是服务端,又是客户端,比如,对于MCU来讲,当MCU主叫某终端时,MCU扮演客户端角色,而当MCU作为被叫时,MCU扮演服务端角色。也就是说,MCU需要分别导入两个证书,一个客户端证书,一个服务端证书,这样的操作就已相当复杂。对于每次呼叫MCU和终端都需要申请证书,而且MCU作为主叫/被叫终端时,MCU和终端申请的证书还不一样;iMCU作为主叫终端时,MCU需要申请客户端证书,相对应的终端需要申请服务端证书;当MCU作为被叫时,即终端主叫MCU时,MCU需要申请服务端证书,终端则需要申请客户端证书。
[0012]此外,证书的生成和导入验证操作都比较麻烦,而服务端证书相对于客户端的证书来说,更复杂。而且对于一个设备需要管理那么多的证书也是一件很繁琐的事情。
【发明内容】
[0013]为了解决上述技术问题,本发明提供一种实现SIP会话传输的方法及系统,能够简化证书生成和验证操作,同时确保SIP加密传输。
[0014]为了达到本发明目的,本发明提供了一种实现初始会话协议SIP会话传输的方法,在SIP服务端中导入服务端证书,在SIP客户端中导入客户端证书;还包括:
[0015]SIP客户端与SIP服务端之间进行密钥交换;
[0016]SIP客户端之间通过建立的TLS连接和交换的密钥经由SIP服务端进行SIP会话加密传输。
[0017]所述进行SIP会话加密传输之前,该方法还包括:
[0018]所述SIP客户端实现在SIP服务端上的注册,并在所述SIP客户端与SIP服务端之间建立起安全传输层协议TLS连接。
[0019]所述SIP客户端包括MCU,及终端;所述SIP服务端用于转发SIP客户端之间加密后的SIP信息。
[0020]所述SIP客户端包括第一 SIP客户端和第二 SIP客户端;所述进行SIP会话加密传输包括:
[0021 ] 第一 SIP客户端通过自身与所述SIP服务端之间的第一 TLS连接对邀请INVITE信令进行加密并发送给所述SIP服务端;所述SIP服务端转发收到的加密后的INVITE信令,并通过第二 SIP客户端与所述SIP服务端之间的第二 TLS连接将加密后的信令解密后发给第二 SIP客户端;
[0022]第二 SIP客户端通过第二 TLS连接先后对应答10Trying信令、响铃180Ringing信令、2000K信令加密后发送给所述SIP服务端;所述SIP服务端转发收到的加密后的信令并通过第一 TLS连接进行解密后发给第一 SIP客户端;
[0023]第一 SIP客户端通过第一 TLS连接对响应ACK信令进行加密并发送给所述SIP服务端;所述SIP服务端转发该加密后的INVITE信令,并通过第二 TLS连接解密后发给终端。
[0024]该方法还包括:所述第一 SIP客户端与所述SIP服务端之间通过注销过程释放所述第一 TLS连接,所述第二 SIP客户端与SIP服务端之间释放所述第二 TLS连接。
[0025]本发明还公开了一种实现SIP会话传输的系统,至少包括SIP客户端和SIP服务端;其中,
[0026]SIP客户端中导入有客户端证书,用于与SIP服务端之间进行密钥交换,通过建立的TLS连接和交换的密钥经由SIP服务端进行SIP会话加密传输;
[0027]SIP服务端中导入有服务端证书,用于与SIP客户端之间进行密钥交换,转发SIP客户端之间交互的加密SIP信息。
[0028]所述SIP客户端,还用于实现在所述SIP服务端上的注册,并在所述SIP客户端与SIP服务端之间建立起安全传输层协议TLS连接。
[0029]所述SIP客户端包括MCU,及终端。
[0030]与现有技术相比,本申请技术方案包括在SIP服务端中导入服务端证书,在SIP客户端中导入客户端证书;SIP客户端与SIP服务端之间进行密钥交换;SIP客户端之间通过建立的TLS连接和交换的密钥经由SIP服务端进行SIP会话加密传输。本发明实现SIP会话的方法中,由于确定的作为服务端(即只能作为服务端)的SIP服务端,和确定的作为客户端(即只能作为客户端)的SIP客户端,既实现了静态的预先导入证书,又简化了证书验证的流程,提高了工作效率,方便了证书的生成,解决了现有导入证书繁琐的问题。也就会说,本发明提供的技术方案既简化了证书生成和验证操作,同时又确保了 SIP加密传输。
[0031]本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
【附图说明】
[0032]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0033]图1为现有服务端与客户端之间实现SSL握手交互的流程示意图;
[0034]图2为本发明实现SIP会话传输的方法的流程图;
[0035]图3为本发明实现SIP会话处理的实施例的流程示意图;
[0036]图4为本发明实现SIP会话传输的系统的组成结构示意图。
【具体实施方式】
[0037]为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
[0038]图2为本发明实现SIP会话传输的方法的流程图,如图2所示,包括以下步骤:
[0039]步骤200:在SIP服务端中导入服务端证书,在SIP客户端中导入客户端证书。本步骤的具体实现属于本领域技术人员的惯用技术手段,具体如何导入证书本身并不用于限定本发明的保护范围,这里不再赘述。
[00