专利名称:Ip视频终端设备与信令网的交互的制作方法
技术领域:
本发明涉及公共安全统一通信网,其声音、图象、数据之传输基于网际协议(IP)。本发明还特别涉及基于真实或虚拟专用网络的公共信道。
背景技术:
虽然因特网可以充分利用资源,但“尽力而为”的原则、缺少可靠的用户认证方法、缺少对网络资源的可靠控制等都是现有的因特网的缺点,从而限制其成为一个可靠而安全的通信工具。其声音、图象和数据的传输是基于“尽力而为”的算法并由网际协议加以控制。IP地址是由用户自己设定的,因此他们不能像可靠的物理地址一样加以识别。在传统的公共交换电话网络(PSTN),用户通过事先由电话号码确定的物理线路端口地址加以区分,其通话信道由SS7信令网加以控制。因此,因特网的安全与PSTN网相比相去甚远。然而,在现今的飞速发展的电子商务社会,PSTN技术不具备企业生存所需的一些重要特征。而分包网络是特地为数据传输设计的,弥补了PSTN在此方面的重大不足。
因特网的安全问题长期以来得到广大用户的关注。我们可以举出一些因特网安全方面的问题,如不能识别未经授权的用户的假身份、密码和信息可能被中途截取、不能阻止黑客的攻击、网络病毒的传播、未经授权的用户以管理员的身份所为的行为如更改网站内容、不能追及黑客攻击来源等等。就现有的因特网来说,如果没有网络基础设施功能的重大改进,所有这些安全问题都很难克服,而且代价非常昂贵。
为克服上述问题,可构建一个安全统一公共网络,如图1所示,该网络由信令网101、数据网102、用户终端103和数据库104组成。用户先通过终端103与信令网101之间的交互以登录并设置带宽、服务权限等,交互完成后用户之间的信息传输即可经由数据网102进行并由信令网101加以控制。
但由于此安全统一通信网为一项全新的技术,目前还没有专门的方法以实现终端与信令网之间的交互。
发明内容
本发明的目的在于提供一种专门用于安全统一通信网的IP视频终端设备与信令网进行交互的方法,以构建一个公共安全统一通信网。
为达上述目的,本发明所涉及的公共安全统一通信网由如下部分组成一个用于公共信道且基于安全专用网络的信令网、一个用以传输声音、图象和数据的数据网、至少两台同时与信令网和数据网相连接的终端设备及一个与信令网相连的数据库。信令网可建立在一个独立的物理网络之上,也可建立在一个与数据网共用同一物理介质的虚拟专用网络之上,还可建立在独立的物理网络与虚拟专用网络二者之结合之上。数据库里存储用户事先设定的信息,还可以提供数据签名服务。当某个用户将其终端连接上信令网后,终端里的信令模块会运行一个登录程序。此登录程序是用以建立用户的身份、服务权限、安全状况及其他服务所要求的状态等。当呼叫方呼叫被呼叫方时,其身份和其公钥就会由数据库传输到信令网并传送至被呼叫方,而被呼叫方也同样会经由信令网将其公钥传送给呼叫方。这些在呼叫方和被呼叫方之间进行交换的公钥可以是每次通话时随机产生的,用以确保通话的最大安全性。在双方都确认了对方的身份后,双方协商产生一个共享的密码,声音、图象和数据就可以用此密码加密并经由数据网传输。
以下的详细说明和具体实施方式
将能更好的帮助了解本发明的其他目的、优势和一些新的特征。
参照以下附图将能更好的了解本发明及其优势图1为传输声音、图象和数据的安全统一通信网结构图;图2为IP视频终端设备结构图;图3为登录过程图;图4为呼叫、公钥交换及共享密钥生成过程图。
具体实施例方式
图1为传输声音、图象和数据的公共安全统一通信网结构图。整个网络包括如下组成部分一个用于公共信道且基于安全专用网络的信令网101、一个用于传输声音、图象和数据的数据网102、至少两台可以运行信令模块和数据模块的IP视频终端103及一个用于存储和处理每个用户预存信息并同时为用户提供公钥和通信参数的数据库104。
信令网101是作为公共信道而设计的。为达安全之目的,信令网101与用户终端103之间的每一个连接都是唯一的,且基于共享的密钥之上。
信令网101可以是一个独立的物理网络,也可以是一个与数据网102共用同一物理介质的虚拟专用网络。
数据库104与信令网101相连。在数据库104中存有每个用户的密钥,不同的用户有不同的密钥。这些密钥用于确认用户的身份,并确立其权限和享受服务的权利。
数据库104还可在通话过程中为呼叫方和被呼叫方提供数字签名服务。这是一种附加的安全方案,用以确保在加密过程中使用正确的公共密钥。数据库104还可以用来确立享受服务的权利。
用户终端103通过有线通道、无线通道或与其他用户共享的网络与信令网101相连。其连接方式为物理连接。此物理连接方式可以由数据网102与其他用户共享或与其他共享的物理介质共享。
IP视频终端103或是通过一个独立的物理媒介与信令网101相连,或是通过虚拟专用连接与信令网101相连。此虚拟专用连接方式与数据网102或其他IP视频终端103共享同一物理连接。
每一IP视频终端103都有两个连接,一个连接信令网101,另一个则连接数据网102,此两连接可以是独立的,也可共用同一物理介质或网络。
图2为IP视频终端设备结构图。如图所示,IP视频终端设备103由一部类似PSTN终端的拨号话机201、一台通信和视频处理机202、一个摄像机203、一台显示器204组成。拨号话机201、摄像机203和显示器204分别与通信和视频处理机202相连接。在通信和视频处理机202内运行有基于安全专用网络的信令网通信的信令模块和用以采集、压缩、传输、解压缩和播放的声音、图象和数据的数据模块。拨号话机201用于输入登录信息并提供音频数据。摄像机203用来采集视频信息以输入给通信和视频处理机202加以处理。显示器204则在实时通话中用以显示图象信息。通信和视频处理机202则与信令网101和数据网102相连接。
图3为登录过程图。当IP视频终端103连接到信令网101以后,IP视频终端103中的登录模块开始运行。IP视频终端103会向信令网101发出一个登录请求。信令网101收到此登录请求后会返回一个公钥KEY1和基于CA认证的一个数字签名。用户终端103在证实数字签名无误后使用KEY1来加密其全球身份登录号UID。此全球身份登录号UID为一独一无二的16位数(也可以是其他多位数),以对用户加以识别。用户还可用一个共享的密钥KEY2来加密其登录信息。此用KEY1加密过的UID和用KEY1和KEY2一起加密过的用户登录信息将以IP数据包的格式发送至信令网101。然后信令网101开始处理这些信息,并将其与预先存储在信令网数据库104里的信息加以比较。
信令网数据库104里存储有共享密钥KEY2和登录信息。当信令网101接收到用户的登录信息后,KEY2将被用来给登录信息解密并确认用户的身份、权限、服务类型、通信参数和服务权利等。如果登录成功,信令网101将返回给IP视频终端103一份确认书,告知其已经登录成功。
上述共享的密钥KEY2是由IP视频终端103和信令网101协商产生的。其也可由信令网101单独产生。而每一次登录都会有一个不同的共享密钥KEY2、登录程序完成后,在数据库104中用户的状态记录为“已经上线”,用户此时已经做好了准备,其可以呼叫其他用户,或是被其他用户呼叫。相应的登录成功信息也会显示在IP视频终端103的显示器204上。
用户登录后,IP视频终端103和信令网101之间的连接是基于共享的密钥KEY2而建立的安全连接。从此,所有的信令都将由KEY2进行加密。
图4为呼叫、公钥交换和共享密钥生成过程图。当某个IP视频终端103(以下称之为终端一103)呼叫另一个IP视频终端103(以下称之为终端二103)时,其首先生成一个公钥KEY3以便对方用来加密。其会向信令网101发出一个呼叫申请,同时提交一系列的通信参数和密钥KEY3。信令网101会将KEY3和其请求发送至终端二103。这里,终端一103和终端二103必须都已经登录至信令网101上。
终端二103收到终端一103的通话请求后,其可以决定是否应答终端一103。如果终端二103同意和终端一103通话,其会将自己的公钥KEY4和其他的通信参数发送至信令网101,再由信令网101将其转发至终端一103并通知终端一103通话可以开始。
KEY3和KEY4每次通话都重新生成一次,以求获得最大限度的安全。用户也可以在一次生成后就一直将其应用于以后所有的通话。
交换公钥后,双方各自都生成一个共享密钥KEY5的一部分,然后再将此部分用对方的公钥加密后通过信令网101传送给对方,这样一个完整的共享密钥KEY5就产生了。
当双方都获得此共享密钥KEY5后,他们之间的安全通道就建立了。在IP视频终端103中的数据模块开始运行。视频终端103从摄像机203处采集视频,从拨号话机201的话筒处采集音频,将音频和视频流压缩,根据共享密码加密,然后把数据流用IP包的格式经由数据网102传送给对方,对方收到IP包后,使用共享密码KEY5解密,然后解压缩音频和视频流,显示器204显示视频图像,拨号话机201的听筒听到对方声音。
此共享密码KEY5仅由此次通话产生,而每次通话都会产生一个新的共享密码。
呼叫方和被呼叫方通过信令网101并基于信令网数据库104中预存的信息确立自己的身份后,当呼叫方想要以一定的参数进行通话时,其必须先肯定这些参数可以被信令网101和被呼叫方二者都能接受。呼叫方先发送一份参数列表给信令网101,里面列有服务类型、带宽和优先权等。信令网101将会检查被呼叫方在网络上登记的参数和目前从网络上接受服务的能力,然后生成一套新的网络可以提供的通信参数并将其发送给被呼叫方,再由被呼叫方对这些参数作一个最后的决定并将此决定经由信令网101发送给呼叫方。如果呼叫方同意此决定,通信参数就确定了。
当呼叫方发送出一份可选择的参数表时,其可以给每个选项标上优先权等级以使信令网101和被呼叫方对其呼叫请求能有一个更清楚的了解。优先权等级最高的选项通常会最先得到满足。
通讯过程中,当某方仅仅需要只有音频流,而不需要视频流或者在只有音频流需要增加视频流时,他可以通过拨号话机201输入请求信息。处理机202在处理用户的请求信息后将其经由信令网101发送给对方。如果对方同意,即可由信令网101进行相应调整。
在通讯过程中,如果某方希望挂断,放下话筒,就会有相应的挂断请求由拨号话机201处发送至处理机202,处理机202则将该信息通知信令网101,终止通信。信令网101则通知对方用户服务已终止,同时释放相应的资源。
当双方在通话状态中,因为双方传输数据是在数据网102上进行的,如果视频终端103与信令网101间的连接出现故障,视频终端103将保持通话畅通,同时自动重新连接信令网101,充分保证了系统的冗余性。
如果视频终端103未处于通话状态中,当其与信令网101连接出现故障时,将会自动重连信令网,保持信令网畅通,能呼叫其它人,也能接收呼叫。
综上所述,通过如上IP视频终端103和信令网101之间的交互,即可在终端103之间建立安全连接,使公共安全统一通信网的构建成为可能。
权利要求
1.一种用于公共安全统一通信网的IP视频终端设备与信令网进行交互的方法,公共安全统一通信网由信令网、数据网、IP视频终端设备及数据库等组成,其特征在于公共安全统一通信网由如下部分组成一个用于公共信道且基于安全专用网络的信令网(101)、一个用以传输声音、图象和数据的数据网(102)、至少两台同时与信令网(101)和数据网(102相连接的IP视频终端设备(103)及一个与信令网(101)相连的数据库(104),在IP视频终端设备(103)内运行有登录模块和数据模块,IP视频终端设备(103)与信令网之间的交互包括在用户终端(103)和信令网(101)之间建立安全通道的方法和在呼叫方和被呼叫方之间通过使用公钥建立安全通信的方法。
2.如权利要求1所述的IP视频终端设备与信令网进行交互的方法,其特征在于其所提及的信令网(101)与数据网(102)是物理上相独立的网络。
3.如权利要求1所述的IP视频终端设备与信令网进行交互的方法,其特征在于在用户终端(103)和信令网(101)之间建立安全通道的方法包括如下步骤(a)用户终端(103)开始运行登录模块;(b)用户终端(103)将加密过的登录信息以IP数据包的格式传送给信令网(101);(c)信令网(101)将此加密登录信息与信令网(101)中预先存储的信息作比较并进行处理;(d)信令网(101)在将登录信息中的数字签名与信令网数据库(104)中预存的信息作比较后确立用户的身份、权限、通信参数和服务权利等;(e)信令网(101)与用户终端(103)之间建立安全通道。
4.如权利要求3所述的在用户终端和信令网之间建立安全通道的方法,其特征在于在用户终端(103)和信令网(101)之间传输的加密信息是基于信令网(101)提供的公钥和共享密钥之上的。
5.如权利要求3所述的在用户终端和信令网之间建立安全通道的方法,其特征在于权利要求4所提及的共享密钥是由用户终端(103)和信令网(101)经过协商产生或由信令网(101)单独产生。
6.如权利要求3所述的在用户终端和信令网之间建立安全通道的方法,其特征在于在每个用户终端(103)和信令网(101)之间传输的信息都使用一个独一无二的安全密钥。
7.如权利要求1所述的IP视频终端设备与信令网进行交互的方法,其特征在于在呼叫方和被呼叫方之间通过使用公钥建立安全通信的方法包括如下步骤(a)呼叫方和被呼叫方基于信令网数据库(104)中预存的信息通过信令网(101)确立自己的身份;(b)呼叫方和被呼叫方通过使用信令网(101)的数字签名相互交换公钥;(c)呼叫双方都各生成共享密钥的一部分;(d)呼叫双方都使用对方的公钥给自己生成的部分共享密钥加密并经由信令网(101将其传送给对方从而生成一个完整的共享密钥;(e)呼叫双方都使用此共享密钥给声音、图象和数据加密并经由信令网(101将其传送给对方;(f)呼叫双方都使用此共享的密钥给对方传送来的声音、图象和数据解密。
8.如权利要求7所述的在呼叫方和被呼叫方之间通过使用公钥建立安全通信的方法,其特征在于其所提及的共享密钥是一次通话过程生成一次的,每次新的通话会生成一个新的共享密钥。
9.如权利要求1所述的IP视频终端设备与信令网进行交互的方法,其特征在于其还可包括一种在呼叫方、被呼叫方和信令网(101三者之间设置通信参数的方法,包括如下步骤(a)呼叫方和被呼叫方通过信令网(101)并基于信令网数据库(104)中预存的信息确立自己的身份;(b)呼叫方向信令网(101)传送一份选项表;(c)信令网(101)检查被呼叫方在网络上登记的参数和从网络上接受服务的能力,然后生成一套新的网络可以提供的通信参数并将其发送给被呼叫方;(d)被呼叫方对这些参数作一个最后的决定并将此决定经由信令网(101)发送给呼叫方;(e)若呼叫方同意此决定,信令网(101)则分配相应的资源。
10.如权利要求9所述的在呼叫方、被呼叫方和信令网三者之间通过包括有优先权设置的通信参数选项表设置通信参数的方法,其特征在于步骤(b)中所提及的选项表中包含有服务类型、带宽和优先权等。
11.如权利要求1所述的IP视频终端设备与信令网进行交互的方法,其特征在于通讯过程中,当某方仅仅需要只有音频流,而不需要视频流或者在只有音频流需要增加视频流,可进行调整。
12.如权利要求1所述的IP视频终端设备与信令网进行交互的方法,其特征在于在通话状态中,如视频终端(103)与信令网(101)间的连接出现故障,视频终端(103)将保持通话畅通,同时自动重新连接信令网(101)。
13.如权利要求1所述的IP视频终端设备与信令网进行交互的方法,其特征在于如果视频终端(103)未处于通话状态中,当其与信令网(101)连接出现故障时,视频终端(103)将会自动重连信令网(101)。
全文摘要
一种专门用于安全统一通信网的IP视频终端设备与信令网进行交互的方法。本发明所涉及的安全统一通信网由如下部分组成一个用于公共信道且基于安全专用网络的信令网、一个用以传输声音、图象和数据的数据网、至少两台同时与信令网和数据网相连接的IP视频终端设备及一个与信令网相连的数据库。用户将其终端连接上信令网后,终端里的信令模块会运行一个登录程序,建立用户的身份、服务权限、安全状况等。在呼叫过程中,用户的身份和其公钥会经由信令网并传送对方。在双方都确认了对方的身份后,双方协商产生一个共享的密码,声音、图象和数据就可以用此密码加密并经由数据网传输。
文档编号H04M11/06GK1491002SQ02137430
公开日2004年4月21日 申请日期2002年10月15日 优先权日2002年10月15日
发明者朱亚农, 张世俊 申请人:宽联(上海)通信软件有限公司