一种与加密网络互通的方法及加密关口局的制作方法

专利名称：一种与加密网络互通的方法及加密关口局的制作方法
技术领域：
本发明涉及一种网络互通技术，特别涉及一种实现加密/未加密网络与加密网络互通的方法以及加密关口局。
背景技术：
目前，普通的语音因特网协议(VOIP)和公共电话交换网络(PSTN)网络之间通过关口局可以实现互通，由关口局对两个网络之间的信令与媒体流进行格式转换，从而实现VOIP用户与PSTN用户的语音通话。其中，关口局主要由媒体网关(MGW)和媒体网关控制器(MGCF)组成。
图1为现有VOIP网络与PSTN网络互通的逻辑关系示意图。图1中的各逻辑实体之间，虚线连接表示信令交互，实线连接表示媒体流交互。
其中，PSTN和VOIP网络两侧的媒体流经由MGW发送至对方，MGW负责媒体格式的转换，从而实现两侧网络的媒体流交互；MGCF通过IP连接与VOIP网络进行信令交互，从MGW接收PSTN网络发来的信令，根据接收到的信令控制与MGW之间连接的建立和释放，并通过H.248消息对MGW进行控制，MGCF还内嵌信令网关模块，对两侧网络发来的信令进行格式转换，如将PSTN的TUP/ISUP/BICC信令转换为VOIP的会话初始协议(SIP)信令，从而实现PSTN与VOIP网络之间的信令交互，MGCF是信令消息的源点和终点，它通过多种协议控制整个网络监视各种资源并控制所有连接，也负责用户认证和网络安全。这里，所述信令包括SIP或TUP/ISUP/BICC的呼叫建立消息、H.248消息等。其中，关口局中的MGW和MGCF通常通过路由模块(图中未标出)与VOIP网络交互基于IP的信令和媒体流，由路由模块接收IP数据包组成的信令和媒体流，并根据IP数据包的目的IP地址将各个IP数据包路由至VOIP网络、MGW、或MGCF。所述路由模块的实现方式有多种，可以由路由组成，也可以由路由和交换机组成等等。
此外，在一些特殊的应用领域中，为满足语音通信的高安全性能的要求，如防止通话在无线传输部分和陆地网络被截获、监听等，对移动终端或固定电话进行了端到端的语音加密处理，如军用PSTN通信网络和军用VOIP加密移动通信网络。这样，普通语音通信网络，如中国电信PSTN网络和中国移动通信网络，由于未实现端到端语音加密处理而无法对加密语音进行解码，因此不能实现与加密VOIP网络/加密PSTN网络之间的互通。另外，加密PSTN网络和加密VOIP网络之间进行通信时，两种加密系统之间加密算法和语音编解码方式的差异，也将导致两种网络不能互通。
随着移动通信系统的迅速发展，必然会提出加密通信网络与普通未加密通信网络之间、或两种加密通信网络之间互通的需求。

发明内容
有鉴于此，本发明的主要目的在于提供一种与加密网络互通的方法，可以实现加密/未加密VOIP网络与加密/未加密PSTN网络之间的互通。
本发明的另一目的在于提供一种与加密网络互通的加密关口局，可以对加密/未加密VOIP网络与加密/未加密PSTN网络之间的媒体流进行加密/解密处理，从而实现网络互通。
为达到上述目的，本发明的技术方案是这样实现的本发明提供了一种与加密网络互通的方法，在VOIP网络与PSTN网络之间的关口局中设置加密机，该方法包括步a.加密网络通过关口局中的MGW将密钥数据发送至加密机，加密机根据密钥数据得到密钥；b.VOIP网络/PSTN网络将加密/未加密媒体流发送至加密机；c.加密机根据得到的密钥对未加密媒体流进行加密，对加密媒体流进行解密，再将加密/解密处理后的媒体流发送至PSTN网络/VOIP网络。
步a中，所述MGW通过密钥数据下发命令发送密钥数据至加密机。
其中，所述加密网络为VOIP网络；步a中，所述加密网络将密钥数据发送至MGW的方法为加密VOIP网络将密钥数据包含在呼叫建立消息中发送至关口局中的媒体网关控制MGCF，MGCF再将密钥数据包含在H.248消息中发送给MGW。
其中，所述加密网络为PSTN网络；步a中，所述加密网络将密钥数据发送至MGW的方法为加密PSTN网络将密钥数据包含在媒体流中发送至MGW。
其中，所述加密网络包括VOIP网络和PSTN网络；步a中，所述加密网络将密钥数据发送至MGW的方法为加密VOIP网络将密钥数据包含在呼叫建立消息中发送至MGCF，MGCF再将密钥数据包含在H.248消息中发送给MGW；加密PSTN网络将密钥数据包含在媒体流中发送至MGW。
其中，所述VOIP网络/PSTN网络通过关口局中的路由模块与加密机进行媒体流交互；所述PSTN网络通过MGW发送/接收媒体流；所述加密机包含加密接口和解密接口并通过加密接口和解密接口与路由模块进行信息交互；所述步b为路由模块从VOIP网络/MGW接收媒体流，判断媒体流是否为加密媒体流，如果是，则将媒体流路由至加密机的解密接口；否则将媒体流路由至加密机的加密接口；步c中，所述加密机对加密接口发来的媒体流进行加密，对解密接口发来的媒体流进行解密，再通过路由模块将加密/解密处理后的媒体流发送至MGW/VOIP网络。
其中，所述加密网络为PSTN网络；该方法进一步包括MGW从PSTN网络将接收到的电路域加密媒体流转换成IP媒体流再发往路由模块时，将组成IP媒体流的各IP数据包的服务类型TOS置为有效；步b中，所述判断是否为加密媒体流的方法为判断组成媒体流的IP数据包中的TOS是否有效，如果是，则该媒体流为加密媒体流；否则为未加密媒体流。
其中，所述加密网络包括VOIP网络和PSTN网络；步a中，MGW将VOIP网络和PSTN网络的密钥数据分别发送至加密机，加密机根据密钥数据得到VOIP网络的密钥和PSTN网络的密钥；步b中，所述判断为判断媒体流是否为加密VOIP网络的媒体流；步c中，所述对加密/解密接口发来的媒体流进行加密/解密处理为对加密接口发来的媒体流根据VOIP网络的密钥进行加密并根据PSTN网络的密钥进行解密，对解密接口发来的媒体流根据VOIP网络的密钥进行解密并根据PSTN网络的密钥进行加密。
其中，所述加密网络包括VOIP网络和PSTN网络；步a中，MGW将VOIP网络和PSTN网络的密钥数据分别发送至加密机，加密机根据密钥数据得到VOIP网络的密钥和PSTN网络的密钥；步b中，所述判断为判断媒体流是否为加密PSTN网络的媒体流；步c中，所述对加密/解密接口发来的媒体流进行加密/解密处理为对加密接口发来的媒体流根据VOIP网络的密钥进行解密并根据PSTN网络的密钥进行加密，对解密接口发来的媒体流根据VOIP网络的密钥进行加密并根据PSTN网络的密钥进行解密。
其中，所述加密网络包括VOIP网络和PSTN网络，或VOIP网络；步b中，所述判断为判断媒体流是否为加密VOIP网络的媒体流。
步b中，所述判断的方法为判断媒体流的目的地址是否为MGW，如果是，该媒体流为加密VOIP网络的媒体流；否则不是加密VOIP网络的媒体流；或者，判断媒体流的源地址是否为MGW，如果是，该媒体流不是加密VOIP网络的媒体流；否则为加密VOIP网络的媒体流。
步b中，所述判断的方法为判断组成媒体流的IP数据包中的TOS是否有效，如果是，则该媒体流为加密VOIP网络的媒体流；否则不是加密VOIP网络的媒体流。
其中，所述加密网络包括VOIP网络和PSTN网络，或PSTN网络；步b中，所述判断为判断媒体流是否为加密PSTN网络的媒体流；步b中，所述判断的方法为判断媒体流的源地址是否为MGW，如果是，则该媒体流为加密PSTN网络的媒体流；否则不是加密PSTN网络的媒体流；或者，判断媒体流的目的地址是否为MGW，如果是，则该媒体流不是加密PSTN网络的媒体流；否则为加密PSTN网络的媒体流。
本发明还提供了一种与加密网络互通的加密关口局，包括MGCF，用于与VOIP网络交互呼叫建立消息，与MGW交互H.248消息；MGW，用于与PSTN网络交互呼叫建立消息并转发给MGCF，与PSTN网络交互媒体流；该关口局还包括加密机，用于从MGW接收密钥数据并得到密钥，从VOIP网络或MGW接收媒体流进行加密/解密处理，再将加密/解密处理后的媒体流发送至MGW或VOIP网络；所述MGCF进一步将呼叫建立消息中VOIP网络的密钥数据包含在H.248消息中发给MGW；所述MGW进一步下发所接收的VOIP网络的密钥数据给加密机并与加密机交互媒体流。
其中，所述MGW进一步从PSTN网络发来的媒体流中接收PSTN网络的密钥数据，并将该密钥数据下发给加密机。
其中，所述加密机包括，加密接口和解密接口，用于与MGW或VOIP网络进行信息交互；该加密机还包括加密/解密处理模块，用于从加密或解密接口接收密钥数据，根据密钥数据计算得到密钥并保存，从加密接口接收媒体流，根据密钥对媒体流进行加密并通过加密接口输出至MGW或VOIP网络，从解密接口接收媒体流，根据密钥对媒体流进行解密并通过解密接口输出至MGW或VOIP网络。
其中，所述加密/解密处理模块包括控制模块，用于从加密或解密接口接收密钥数据并发送至密钥模块，从密钥模块接收密钥发送至加密模块和解密模块，转发加密接口与加密模块之间交互的媒体流，转发解密接口与解密模块之间交互的媒体流；加密模块，用于从控制模块接收密钥和媒体流，根据密钥对媒体流进行加密并通过控制模块发送至加密接口；解密模块，用于从控制模块接收密钥和媒体流，根据密钥对媒体流进行解密并通过控制模块发送至解密接口；密钥模块，用于从控制模块接收密钥数据，根据密钥数据计算得到密钥数据并发送回控制模块。
该关口局进一步包括路由模块，用于转发VOIP网络与MGCF之间交互的呼叫建立消息，转发MGCF与MGW之间交互的H.248消息和呼叫建立消息，从MGW接收密钥数据并发送至加密机，从VOIP网络或MGW接收媒体流并路由至加密机，从加密机接收媒体流并路由至MGW或VOIP网络。
其中，所述路由模块为路由。
其中，所述路由模块包括路由，用于转发VOIP网络与以太网交换机之间交互的呼叫建立消息，从VOIP网络或以太网交换机接收媒体流并路由至加密机，从加密机接收媒体流并路由至以太网交换机或VOIP网络，从以太网交换机接收密钥数据并发送至加密机；以太网交换机，用于转发路由与MGCF之间交互的呼叫建立消息，转发MGW与路由之间交互的媒体流，转发MGCF与MGW之间交互的H.248消息和呼叫建立消息，从MGW接收密钥数据并发送至路由器。
由上述方案可以看出，本发明的关键在于在VOIP网络与PSTN网络之间的关口局中设置加密机；加密网络通过呼叫建立消息或媒体流将密钥数据发送给MGW，MGW再将密钥数据下发给加密机；加密机根据密钥数据得到密钥并保存；在媒体流传输过程中，VOIP网络或MGW将加密/未加密媒体流发送至加密机；加密机根据得到的密钥对未加密媒体流进行加密，对加密媒体流进行解密，并将加密/解密处理后的媒体流发送至MGW或VOIP网络。
因此，本发明所提供的一种与加密网络互通的方法及加密关口局，可以对加密/未加密VOIP网络与加密/未加密PSTN网络之间传输的媒体流进行加密/解密处理，从而实现加密VOIP网络与加密/未加密PSTN网络的互通，以及加密PSTN网络与未加密VOIP网络的互通。


图1为现有实现VOIP网络与PSTN网络互通的关口局逻辑关系示意图；图2为实现本发明方法的加密关口局逻辑关系示意图；图3为本发明加密关口局一较佳实施例组成结构示意图；图4为本发明加密机一较佳实施例组成结构示意图；图5为本发明方法加密VOIP终端呼叫未加密PSTN终端的呼叫建立流程一较佳实施例处理流程示意图；图6为本发明方法未加密PSTN终端呼叫加密VOIP终端的呼叫建立流程一较佳实施例处理流程示意图；图7为加密VOIP网络至未加密PSTN网络的媒体流路径示意图；图8为未加密PSTN网络至加密VOIP网络的媒体流路径示意图。
具体实施例方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明方法在VOIP网络与PSTN网络之间的关口局中设置加密机，加密网络通过MGW将密钥数据发送至加密机，加密机根据密钥数据得到密钥；VOIP网络/PSTN网络将加密媒体流发送至加密机；加密机根据得到的密钥对未加密媒体流进行加密，对加密媒体流进行解密，再将加密/解密后的媒体流发送至PSTN网络/VOIP网络。
图2为实现本发明方法的加密关口局逻辑关系示意图，该加密关口局包括MGCF、MGW、加密机。其中，虚线连接表示信令的交互，实线连接表示媒体流的交互。
其中，MGCF，用于与VOIP网络交互呼叫建立消息，与MGW交互H.248消息和呼叫建立消息，并将呼叫建立消息中VOIP网络的密钥数据包含在H.248消息中下发给MGW；MGW，用于与PSTN网络交互呼叫建立消息并转发给MGCF，与PSTN网络交互媒体流，从PSTN网络发来的媒体流中接收PSTN网络的密钥数据，下发所接收的密钥数据给加密机并与加密机交互媒体流；加密机，用于从MGW接收密钥数据并得到密钥，从VOIP网络或MGW接收媒体流进行加密/解密处理，再将其发送至MGW或VOIP网络。这里，密钥数据通过虚线表示的信令发送至加密机。
基于上述关口局的逻辑关系，在实现过程中，MGCF、MGW、加密机与VOIP或PSTN网络之间、以及它们之间的信息交互可以通过路由模块来完成，因此，本发明关口局进一步包括路由模块，用于转发VOIP网络与MGCF之间交互的呼叫建立消息，转发MGCF与MGW之间交互的H.248消息和呼叫建立消息，从MGW接收密钥数据并发送至加密机，从VOIP网络或MGW接收媒体流并路由至加密机，从加密机接收媒体流并路由至VOIP网络或MGW。其中，路由模块的实现方式有多种，可以为路由器，也可由路由器和以太网交换机组成。图3所示为本发明关口局一较佳实施例。如图3所示，所述路由模块由路由器和以太网交换机组成，该关口局各组成部分的连接关系如下所述。
路由器，用于转发VOIP网络与以太网交换机之间交互的呼叫建立消息，从VOIP网络或以太网交换机接收媒体流并路由至加密机，从加密机接收媒体流并路由至VOIP网络或以太网交换机，从以太网交换机接收密钥数据并发送至加密机；以太网交换机，用于转发路由器与MGCF之间交互的呼叫建立消息，转发MGW与路由器之间交互的媒体流，转发MGCF与MGW之间交互的H.248消息和呼叫建立消息，从MGW接收密钥数据并发送至路由器。
由以上描述可见，所述关口局中新增的加密机可以接收密钥数据，根据密钥数据计算得到密钥，接收加密/未加密媒体流进行解密/加密处理并输出。所述加密机的实现方式有多种，本发明不进行限定。图4为本发明加密机一较佳实施例组成结构示意图。
如图4所示，该加密机包括加密/解密处理模块、加密接口和解密接口；所述加密/解密处理模块，用于从加密或解密接口接收密钥数据，根据密钥数据计算得到密钥并保存，从加密接口接收媒体流，根据密钥对媒体流进行加密并通过加密接口输出至MGW或VOIP网络，从解密接口接收媒体流，根据密钥对媒体流进行解密并通过解密接口输出至MGW或VOIP网络；所述加密接口和解密接口，用于与外部设备进行信息交互。
其中，该加密/解密处理模块还可以包括控制模块、密钥模块、加密模块、解密模块，则当加密VOIP/PSTN网络与未加密VOIP/PSTN网络互通时，所述加密机工作原理如下首先，加密机的控制模块从加密/解密接口接收密钥数据下发命令，并对该命令进行解析，得到其中包含的密钥数据并将其发送至密钥模块。密钥模块根据接收到的密钥数据进行计算得到真实密钥并发送给控制模块。控制模块再将密钥分别发送给加密模块和解密模块。其中，关于如何根据密钥数据得到密钥属公知技术，这里不作详述。
在媒体流传输过程中，被加密的媒体流从解密接口输入加密机，控制模块从解密接口接收数据，识别到该数据为媒体流则将其发送至解密模块，由解密模块对流入的媒体流进行解密，并将解密后的媒体流送回控制模块，控制模块再将解密模块发来的媒体流通过解密接口输出至MGW或VOIP网络。
未加密的媒体流从加密接口输入加密机，控制模块从加密接口接收数据，识别到该数据为媒体流则将其发送至加密模块，由加密模块对流入的媒体流进行加密，并将加密后的媒体流送回控制模块，控制模块再将加密模块发来的媒体流通过加密接口输出MGW或VOIP网络。
这里，从加密机的加密接口或解密接口输出媒体流至MGW或VOIP网络可以通过关口局中的路由模块来实现，路由模块从加密机的解密接口接收被解密的媒体流之后将其路由至未加密VOIP/PSTN网络，从加密机的加密接口接收被加密的媒体流之后将其路由至未加密VOIP/PSTN网络，从而实现未加密VOIP/PSTN网络与未加密VOIP/PSTN网络的互通。
上述本发明加密关口局能够支持加密/未加密VOIP网络与加密/未加密PSTN网络之间的互通，基于该关口局下面以加密VOIP网络与未加密PSTN网络互通为例，结合图5至图8对本发明方法加以详细说明。
图5所示为加密VOIP终端呼叫未加密PSTN终端的呼叫建立处理流程，处理步骤包括步骤501加密VOIP终端建立起分组域连接并注册之后，发起加密呼叫，向VOIP网络的加密呼叫控制中心发送邀请(INVITE)消息。
这里，关于加密VOIP终端如何建立起分组域连接并注册的处理，属公知技术，因此不作详述。
其中，VOIP网络采用SIP协议建立呼叫，这里的INVITE消息为SIP协议中主叫用户发起呼叫的信令，该消息中包含主/被叫标识。
步骤502～503加密呼叫控制中心发送获取密钥请求至VOIP网络的密钥管理中心(KDC)，该请求中包含步骤501所述主/被叫标识。
KDC根据该请求中的主/被叫标识分别生成主/被叫密钥数据并通过获取密钥响应消息将主/被叫密钥数据返回给加密呼叫控制中心。
本实施例中，加密VOIP网络通过加密呼叫控制中心和KDC来完成密钥数据的生成、加密终端注册等操作，实际上也可以采用其它机制来完成这些操作，本发明并不限定具体采用哪种机制。总之，加密VOIP网络可以通过某种机制根据主/被叫标识生成主/被叫密钥数据。
这里，关于KDC如何根据主/被叫标识生成密钥数据与加密系统的具体实现相关，或者加密呼叫控制中心和KDC也可以采用其它机制根据其它信息来生成密钥数据，本发明对此不进行限定。
步骤504加密呼叫控制中心根据步骤501所述的被叫标识发送INVITE消息至MGCF，该消息中包含了步骤502所得到的被叫密钥数据。
步骤505MGCF对步骤504所述的INVITE消息进行分析，如被叫号码分析、信道资源中请等，并得到被叫密钥数据，然后生成终端加入(Add)命令并将被叫密钥数据包含在该命令中下发给MGW，所述Add命令为H.248消息。
在建立呼叫过程中，MGCF通过H.248协议控制MGW。H.248协议由ITU-T第16组提出，它引入了终结点(Termination)和关联(Context)两个抽象概念。其中，Termination发送和/或接收一个或多个数据流。在一个多媒体会议中，一个Termination可以支持多种媒体，并且发送或者接收多个媒体流。在Termination中，封装了媒体流参数、模式(Mode)参数和承载能力参数；而Context则表明了在一些Termination之间的连接关系。H.248协议通过Add、修改(Modify)、删除(Subtract)、迁移(Move)、数值审计(Audit Value)、能力审计(Audit Capability)、通知(Notify)和业务改变(Service Change)八个命令对Termination和Context之间进行操作，从而完成呼叫的建立和释放。
在向被叫发起呼叫时，使用Add命令可以向一个Context添加一个Termination，当使用Add命令向一个Context添加第一个Termination时，就同时创建了一个Context，从而为本次呼叫分配资源。
在被叫应答时，使用Modify命令可以修改一个Termination的属性、事件和信号，比如将Mode修改为SendReceive，表示可以发送和接收语音媒体流，以及获取发送和接收媒体流所需的参数和属性。
步骤506MGW从步骤505所述的Add命令中解析出被叫密钥数据，通过密钥数据下发命令将该被叫密钥数据下发给加密机，加密机在获取到被叫密钥数据之后将计算得到被叫的真实密钥并保存下来。
这里，本发明方法在MGW中增加了与加密机的控制面和用户面接口，信令通过控制面接口发送至加密机，而用户面接口用于与加密机交互媒体流。对于加密机来说，其物理上包含加密接口和解密接口，信令可以通过加密或解密接口发送入加密机。
步骤507MGW向MGCF返回H.248协议的应答(Reply)消息，对步骤505所述的Add命令进行应答，如果该消息表明，步骤505所述的Add命令没有成功接收，则MGCF还将重新发送该Add命令。
步骤508MGCF根据步骤504接收到的SIP信令“INVITE”构造TUP/ISUP/BICC信令即初始地址消息(IAM)命令，并发送IAM命令至被叫未加密PSTN终端，从而被叫开始振铃。这里，MGCF与PSTN网络的消息交互均通过MGW转发。
其中，所述IAM为前向发送的消息，用于占有出局电路并发送用户号码及其选路、处理有关的信息，即PSTN网络中的发起呼叫请求。
步骤509未加密PSTN终端振铃后，向MGCF发送地址全消息(ACM)命令，该命令为后向发送的消息，表示已经收到所有地址信号。
步骤510～511MGCF根据接收到的ACM命令构造SIP信令“180振铃(Ring)”并发送至加密呼叫控制中心，加密呼叫控制中心再将该180Ring消息发送至加密VOIP终端，从而通知主叫用户被叫线路已经接通并开始振铃，同时主叫开始听回铃音。
步骤512被叫用户应答摘机之后，未加密PSTN终端向MGCF返回应答消息(ANM)命令，该命令为后向发送的消息，表示被叫已经应答。
这里，MGCF还将发送Modify命令至MGW，从而修改Termination的属性、事件和信号，为媒体流的发送接收进行准备，具体处理属公知技术，因此不作详述。
步骤513～514MGCF根据接收到的ANM命令构造SIP信令“200OK”并发送至加密呼叫控制中心，加密呼叫控制中心再将其步骤503获取的主叫密钥数据包含在200OK消息中发送至加密VOIP终端，从而通知主叫用户被叫已经摘机应答。
这里，主叫加密VOIP终端在获取到主叫密钥数据之后将计算得到主叫的真实密钥并保存下来。
步骤515～516主叫加密VOIP终端返回ACK消息至加密呼叫控制中心，加密呼叫控制中心再返回ACK消息至MGCF，从而对步骤513～514所述的200OK消息进行应答，主/被叫用户的呼叫建立成功，本次呼叫的媒体流已建立，可以进行加密通话。
以上处理流程中，加密VOIP终端在与未加密PSTN终端建立呼叫的过程中，关口局向加密机下发了被叫密钥数据。当未加密PSTN终端呼叫加密VOIP终端时，加密机将接收到主叫密钥数据，其呼叫建立处理流程与图5所述类似，仅是一个相反的过程。如图6所示，具体处理步骤包括步骤601加密VOIP终端建立起分组域连接并注册之后，主叫未加密PSTN终端发送IAM命令至MGCF，该命令中包含主/被叫标识。
这里，MGCF在接收到IAM命令后还将向MGW发送Add命令，从而创建一个Context，为本次呼叫分配资源，具体处理属公知技术，因此不作详述。
步骤602MGCF根据步骤601接收到的IAM命令构造SIP信令“INVITE”，向加密呼叫控制中心发送INVITE消息，从而向被叫加密VOIP终端发起加密呼叫。这里，该INVITE消息中包含步骤601所述的主/被叫标识。
步骤603～604的处理与图4所述的步骤502～503的处理相同，从而加密呼叫控制中心可以得到主/被叫密钥数据。其中，所述获取密钥请求中包含步骤602所述主/被叫标识。
步骤605加密呼叫控制中心根据步骤602所述的被叫标识发送INVITE消息至被叫加密VOIP终端，该消息中包含了步骤604所得到的被叫密钥数据。其中，加密VOIP终端获取到被叫密钥数据之后可以计算得到真实被叫密钥并保存下来。
步骤606～607加密VOIP终端振铃后，向加密呼叫控制中心发送180Ring消息，加密呼叫控制中心再发送180Ring消息至MGCF，表明被叫线路已接通。
步骤608MGCF根据接收到的180Ring消息构造ACM命令，并发送该命令至主叫未加密PSTN终端，从而通知主叫被叫用户开始振铃，主叫用户开始听回铃音。
步骤609～610被叫加密VOIP终端应答之后，向加密呼叫控制中心发送200OK消息，加密呼叫控制中心再将其步骤604获取的主叫密钥数据包含在200OK消息中发送至MGCF。
步骤611MGCF根据接收到的200OK消息构造ANM命令，并发送至主叫未加密PSTN终端，从而告知主叫用户被叫已经应答。
步骤612MGCF从步骤610所述的200OK消息解析得到主叫密钥数据，并将主叫密钥数据包含在Modify命令中下发给MGW。
步骤613MGW从步骤612所述的Modify命令中解析出主叫密钥数据，通过密钥数据下发命令将该主叫密钥数据下发给加密机。
这里，加密机在获取到主叫密钥数据之后将计算得到主叫的真实密钥并保存下来。
步骤614MGW向MGCF返回Reply消息，对步骤613所述的Modify命令进行应答，如果该消息表明，步骤613所述的Modify命令没有成功接收，则MGCF还将重新发送该Modify命令。
步骤615～616MGCF返回ACK消息至加密呼叫控制中心，加密呼叫控制中心再返回ACK消息至主叫加密VOIP终端，从而对步骤609～610所述的200ACK消息进行应答，主/被叫用户的呼叫建立成功，本次呼叫的媒体流已建立，可以进行加密通话。
至此，在图5的呼叫建立流程中，主叫加密VOIP终端中保存了主叫密钥，可以对发送/接收的媒体流进行加密/解密处理，并在加密机中保存了被叫密钥；而在图6的呼叫建立流程中，被叫加密VOIP终端中保存了被叫密钥，可以对发送/接收的媒体流进行加密/解密处理，并在加密机中保存了主叫密钥。这样，使用本发明方法进行通话时，加密机可以作为PSTN终端，首先接收发往未加密PSTN终端的加密媒体流并进行解密再发送给未加密PSTN终端，或者首先接收发往加密VOIP终端的未加密媒体流并进行加密再发送给加密VOIP终端，从而可以实现加密VOIP网络和未加密PSTN网络的通话。
为了实现上述加密机对媒体流的加密/解密处理，本发明方法还提供了路由器对于媒体流的路由策略，包括IP路由策略和TOS路由策略。使用该路由策略的目的是通过识别媒体流是否为加密媒体流，将发往未加密PSTN网络的加密媒体流路由至加密机的解密接口，而将发往加密VOIP网络的未加密媒体流路由至加密机的加密接口。
在路由器使用IP路由策略时，当前接收到媒体流时，根据该媒体流的目的/源IP地址是否为MGW判断其是否为加密媒体流如果该媒体流的目的IP地址为MGW，则其为加密媒体流；否则为未加密媒体流；或者，如果该媒体流的源IP地址为MGW，则其为未加密媒体流；否则为加密媒体流。
由于，在加密VOIP网络和未加密PSTN网络互通时，加密媒体流从加密VOIP网络通过MGW流向未加密PSTN网络，加密VOIP终端发送的IP数据包的目的IP地址固定为MGW的IP地址；未加密媒体流从未加密PSTN网络也通过MGW流向加密VOIP网络，未加密PSTN终端发送的未加密时分多路复用(TDM)电路方式媒体流经过MGW被转换为IP数据包组成的媒体流，该IP数据包的源IP地址固定为MGW的IP地址。因此，可以通过识别媒体流中IP数据包的目的/源IP地址判断媒体流是否为加密媒体流，从而进行策略路由。
在路由器使用TOS路由策略时，则根据该媒体流的TOS是否有效判断其是否为加密媒体流如果有效，则该媒体流为加密媒体流；否则为未加密媒体流。
由于，加密VOIP终端在将语音媒体封装成IP数据包时将IP数据包首部的TOS字段赋为有效，表明当前业务为加密VOIP业务。比如对于应用程序为实时传输协议(RTP)的IP数据包来说TOS被置为1，表示RTP数据净荷已经被加密，而MGW在将来自PSTN网络的电路域语音流转换成IP媒体流时，将各IP数据包首部的TOS字段置为0，这样根据TOS值是否为1；就可以判断该IP数据包的RTP净荷是否经过加密处理。因此，可以通过识别媒体流中IP数据包的TOS字段是否有效判断媒体流是否为加密媒体流，从而进行策略路由。
其中，在进行上述策略路由时，路由器读取组成媒体流的每一个IP数据包的源/目的IP地址或者TOS字段进行判断并路由。
下面结合图7和图8对本发明方法采用上述路由策略进行媒体流传输并进行加密/解密的处理加以详细说明。以下图中的路由器包含四个以太网网口E1、E2、E3和E4，加密机包含加密接口和解密接口，实线表示经过加密的媒体流，虚线表示经过解密或未加密媒体流。由于，这里所述的媒体流传输和加密/解密处理与MGCF无关，因此，图中将MGCF略去。
图7所示为媒体流从加密VOIP网络发送至未加密PSTN网络的路径。
首先，经过加密的媒体流从加密VOIP网络到达路由器的E1口，路由器根据IP路由策略或TOS路由策略判断该媒体流为加密媒体流，因此将媒体流通过E4口路由至加密机的解密接口。加密机根据所保存的主/被叫密钥对于解密接口接收到的媒体流进行解密，即对组成媒体流的每一个IP数据包中语音净荷进行解密操作。
然后，加密机通过解密接口将解密处理后的媒体流发送回路由器的E4口，路由器再将E4口接收到的媒体流通过E2口输出。被解密的媒体流从路由器的E2口经由以太网交换机到达MGW。
最后，MGW将IP媒体流转化为TDM的媒体流发送至未加密PSTN网络，由于媒体流经过了解密处理，因此，未加密PSTN终端接收到媒体流之后可以对其中的语音数据正确解码并进行相关处理。
图8所示为媒体流从未加密PSTN网络发送至加密VOIP网络的路径。
首先，未经加密的媒体流从未加密PSTN网络发送至MGW，MGW对TDM电路方式的媒体流进行格式转换，将其转换为IP数据包组成的媒体流并输出。IP媒体流经由以太网交换机到达路由器的E2口。
路由器根据IP路由策略或TOS路由策略判断该媒体流为未加密媒体流，因此将媒体流通过E3口路由至加密机的加密接口。加密机根据所保存的主/被叫密钥对于加密接口接收到的媒体流进行加密，即对组成媒体流的每一个IP数据包中语音净荷进行加密操作。
然后，加密机通过加密接口将加密处理后的媒体流发送回路由器的E3口，路由器再将E3口接收到的媒体流通过E1口输出。
最后，被加密的媒体流从路由器的E1口发送至加密VOIP网络，由于媒体流根据加密VOIP网络的密钥进行了加密处理，因此，加密VOIP终端接收到媒体流之后可以对其中的语音数据正确解密、解码并进行相关处理。
由以上图5至图8所述的处理可见，应用本发明方法在建立呼叫过程中可以将加密VOIP网络中的主/被叫密钥保存在加密机中，在媒体流发送过程中，路由可以利用IP路由策略或TOS路由策略将媒体流发送至加密机的加密/解密接口，加密机可以根据所保存的主/被叫密钥对加密接口接收的媒体流进行加密，对解密接口接收的媒体流进行解密，然后将加密/解密处理后的媒体流发往加密VOIP网络或未加密PSTN网络，加密VOIP终端或未加密PSTN终端能够对接收到的媒体流进行正确处理，从而实现了两个网络之间的互通。
此外，本发明的加密关口局还支持加密PSTN网络与加密/未加密VOIP网络的互通。
当加密PSTN网络与加密VOIP网络互通时，本发明方法的处理与上述未加密PSTN网络与加密VOIP网络互通的处理基本相同在呼叫建立过程中经过图5和图6所述的处理使加密机得到加密VOIP网络的主/被叫密钥。所不同的是在媒体流发送过程中，当PSTN网络决定进行加密通话时，将密钥数据包含在媒体流中下发给MGW，再由MGW通过密钥数据下发命令发送给加密机，这样，加密机就保存了两种密钥加密VOIP网络的密钥以及加密PSTN网络的密钥。
路由利用IP路由策略或TOS路由策略将媒体流发送至加密机的加密/解密接口，加密机根据所保存的加密VOIP网络的密钥对加密接口接收的媒体流进行加密，并根据加密PSTN网络的密钥对加密接口接收的媒体流进行解密；或者，加密机根据加密VOIP网络的密钥对解密接口接收的媒体流进行解密，并根据加密PSTN网络的密钥对解密接口接收的媒体流进行加密；然后将加密和解密处理后的媒体流发往加密VOIP网络或加密PSTN网络，从而实现了两个网络之间的互通。这里，IP路由策略或TOS路由策略中所述判断为判断媒体流是否为加密VOIP网络的媒体流，所述判断原则与上述加密VOIP网络与未加密PSTN网络互通时所用的原则一致。
另外，如果路由策略中所述判断为判断所述媒体流是否为加密PSTN网络的媒体流，则仅采用IP路由策略，并将上述IP路由策略修改为如果该媒体流的目的IP地址为MGW，则该媒体流为未加密媒体流，将其路由至加密接口；否则为加密媒体流，将其路由至解密接口；或者，如果该媒体流的源IP地址为MGW，则该媒体流为加密媒体流，将其路由至解密接口；否则为未加密媒体流，将其路由至加密接口。这样，加密机根据加密PSTN网络的密钥对加密接口接收的媒体流进行加密，并根据加密VOIP网络的密钥对加密接口接收的媒体流进行解密；或者，根据加密PSTN网络的密钥对解密接口接收的媒体流进行解密，并根据加密VOIP网络的密钥对解密接口接收的媒体流进行加密。
当加密PSTN网络与未加密VOIP网络互通时，与上述加密VOIP网络与加密/未加密PSTN网络互通的处理类似，所不同的是首先，无需如图5和图6所述在呼叫建立流程下发密钥数据给加密机，其呼叫建立流程与现有的未加密VOIP终端与PSTN终端建立呼叫连接的处理相同，但是在媒体流发送过程中，当PSTN网络决定进行加密通话时，将密钥数据包含在媒体流中下发给MGW，再由MGW通过密钥数据下发命令发送给加密机，这样，加密机就保存了加密PSTN网络的密钥。
其次，如果路由器应用的是TOS路由策略，则当MGW将PSTN网络发来的电路域媒体流转换成IP数据包组成的媒体流时，还应对数据净荷进行识别，如果识别到该数据净荷已被加密，则将该IP数据包的TOS置为有效，表明当前业务为加密PSTN业务，数据净荷已被加密；否则将TOS置为无效。这里，所述TOS路由策略的判断原则不变。
如果路由器应用的是IP路由策略，由于，在未加密VOIP网络和互通时，加密媒体流从加密PSTN网络通过MGW流向加密VOIP网络，加密PSTN终端发送的加密TDM电路方式媒体流经过MGW被转换为IP数据包组成的媒体流，该IP数据包的源IP地址固定为MGW的IP地址；未加密媒体流从未加密VOIP网络也通过MGW流向加密PSTN网络，未加密VOIP终端发送的IP数据包的目的IP地址固定为MGW的IP地址。因此，所述IP路由策略修改为如果该媒体流的目的IP地址为MGW，则该媒体流为未加密媒体流，将其路由至加密接口；否则为加密媒体流，将其路由至解密接口；或者，如果该媒体流的源IP地址为MGW，则该媒体流为加密媒体流，将其路由至解密接口；否则为未加密媒体流，将其路由至加密接口。这样，加密机根据所保存的加密PSTN网络的密钥对加密接口接收的媒体流进行加密；或者，根据加密PSTN网络的密钥对解密接口接收的媒体流进行解密。
这里，IP路由策略或TOS路由策略中所述判断为判断媒体流是否为加密PSTN网络的媒体流。
因此，在加密PSTN网络与加密/未加密VOIP网络进行媒体流传输时，如果路由器采用的路由策略中所述判断为判断媒体流是否为加密PSTN网络的媒体流，则从加密PSTN网络发来的媒体流经由MGW、以太网交换机发送至路由器的E2口，并通过E4口被路由至加密机的解密接口，然后被解密的媒体流再由解密接口发送回路由器的E4口，最终通过E1口发往VOIP网络；相反的，从VOIP网络发来的媒体流被发送至路由器的E1口，并通过E3口被路由至加密机的加密接口，然后被加密的媒体流再由加密接口发送回路由器的E3口，最终通过E2口发往以太网交换机、MGW，从而发往加密PSTN网络。
综上所述，应用本发明方法及加密关口局，可以实现加密VOIP网络与加密/未加密PSTN网络的互通，以及加密PSTN网络与未加密VOIP网络的互通。并且，MGW与加密机之间的数据传输基于IP协议，接口简单，组网灵活；加密机的加密/解密操作独立完成，可灵活进行升级或更换加密机，从而实现加密机完全受控的管理；网络运营商可以独立开发加密机，采用独立的端到端语音加密/解密算法，从而具有高安全性。该方法及关口局不失为一种易于实现和扩展的与加密网络进行互通的方案。
以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。
权利要求
1.一种与加密网络互通的方法，其特征在于，在语音因特网协议VOIP网络与公共电话交换网PSTN网络之间的关口局中设置加密机，该方法包括步骤a.加密网络通过关口局中的媒体网关MGW将密钥数据发送至加密机，加密机根据密钥数据得到密钥；b.VOIP网络/PSTN网络将加密/未加密媒体流发送至加密机；c.加密机根据得到的密钥对未加密媒体流进行加密，对加密媒体流进行解密，再将加密/解密处理后的媒体流发送至PSTN网络/VOIP网络。
2.根据权利要求1所述的方法，其特征在于，步骤a中，所述MGW通过密钥数据下发命令发送密钥数据至加密机。
3.根据权利要求1所述的方法，其特征在于，所述加密网络为VOIP网络；步骤a中，所述加密网络将密钥数据发送至MGW的方法为加密VOIP网络将密钥数据包含在呼叫建立消息中发送至关口局中的媒体网关控制器MGCF，MGCF再将密钥数据包含在H.248消息中发送给MGW。
4.根据权利要求1所述的方法，其特征在于，所述加密网络为PSTN网络；步骤a中，所述加密网络将密钥数据发送至MGW的方法为加密PSTN网络将密钥数据包含在媒体流中发送至MGW。
5.根据权利要求1所述的方法，其特征在于，所述加密网络包括VOIP网络和PSTN网络；步骤a中，所述加密网络将密钥数据发送至MGW的方法为加密VOIP网络将密钥数据包含在呼叫建立消息中发送至MGCF，MGCF再将密钥数据包含在H.248消息中发送给MGW；加密PSTN网络将密钥数据包含在媒体流中发送至MGW。
6.根据权利要求1所述的方法，其特征在于，所述VOIP网络/PSTN网络通过关口局中的路由模块与加密机进行媒体流交互；所述PSTN网络通过MGW发送/接收媒体流；所述加密机包含加密接口和解密接口并通过加密接口和解密接口与路由模块进行信息交互；所述步骤b为路由模块从VOIP网络/MGW接收媒体流，判断媒体流是否为加密媒体流，如果是，则将媒体流路由至加密机的解密接口；否则将媒体流路由至加密机的加密接口；步骤c中，所述加密机对加密接口发来的媒体流进行加密，对解密接口发来的媒体流进行解密，再通过路由模块将加密/解密处理后的媒体流发送至MGW/VOIP网络。
7.根据权利要求6所述的方法，其特征在于，所述加密网络为PSTN网络；该方法进一步包括MGW从PSTN网络将接收到的电路域加密媒体流转换成IP媒体流再发往路由模块时，将组成IP媒体流的各IP数据包的服务类型TOS置为有效；步骤b中，所述判断是否为加密媒体流的方法为判断组成媒体流的IP数据包中的TOS是否有效，如果是，则该媒体流为加密媒体流；否则为未加密媒体流。
8.根据权利要求6所述的方法，其特征在于，所述加密网络包括VOIP网络和PSTN网络；步骤a中，MGW将VOIP网络和PSTN网络的密钥数据分别发送至加密机，加密机根据密钥数据得到VOIP网络的密钥和PSTN网络的密钥；步骤b中，所述判断为判断媒体流是否为加密VOIP网络的媒体流；步骤c中，所述对加密/解密接口发来的媒体流进行加密/解密处理为对加密接口发来的媒体流根据VOIP网络的密钥进行加密并根据PSTN网络的密钥进行解密，对解密接口发来的媒体流根据VOIP网络的密钥进行解密并根据PSTN网络的密钥进行加密。
9.根据权利要求6所述的方法，其特征在于，所述加密网络包括VOIP网络和PSTN网络；步骤a中，MGW将VOIP网络和PSTN网络的密钥数据分别发送至加密机，加密机根据密钥数据得到VOIP网络的密钥和PSTN网络的密钥；步骤b中，所述判断为判断媒体流是否为加密PSTN网络的媒体流；步骤c中，所述对加密/解密接口发来的媒体流进行加密/解密处理为对加密接口发来的媒体流根据VOIP网络的密钥进行解密并根据PSTN网络的密钥进行加密，对解密接口发来的媒体流根据VOIP网络的密钥进行加密并根据PSTN网络的密钥进行解密。
10.根据权利要求6所述的方法，其特征在于，所述加密网络包括VOIP网络和PSTN网络，或VOIP网络；步骤b中，所述判断为判断媒体流是否为加密VOIP网络的媒体流。
11.根据权利要求8或10所述的方法，其特征在于，步骤b中，所述判断的方法为判断媒体流的目的地址是否为MGW，如果是，该媒体流为加密VOIP网络的媒体流；否则不是加密VOIP网络的媒体流；或者，判断媒体流的源地址是否为MGW，如果是，该媒体流不是加密VOIP网络的媒体流；否则为加密VOIP网络的媒体流。
12.根据权利要求8或10所述的方法，其特征在于，步骤b中，所述判断的方法为判断组成媒体流的IP数据包中的TOS是否有效，如果是，则该媒体流为加密VOIP网络的媒体流；否则不是加密VOIP网络的媒体流。
13.根据权利要求6所述的方法，其特征在于，所述加密网络包括VOIP网络和PSTN网络，或PSTN网络；步骤b中，所述判断为判断媒体流是否为加密PSTN网络的媒体流；
14.根据权利要求9或13所述的方法，其特征在于，步骤b中，所述判断的方法为判断媒体流的源地址是否为MGW，如果是，则该媒体流为加密PSTN网络的媒体流；否则不是加密PSTN网络的媒体流；或者，判断媒体流的目的地址是否为MGW，如果是，则该媒体流不是加密PSTN网络的媒体流；否则为加密PSTN网络的媒体流。
15.一种与加密网络互通的加密关口局，包括MGCF，用于与VOIP网络交互呼叫建立消息，与MGW交互H.248消息；MGW，用于与PSTN网络交互呼叫建立消息并转发给MGCF，与PSTN网络交互媒体流；其特征在于，该关口局还包括加密机，用于从MGW接收密钥数据并得到密钥，从VOIP网络或MGW接收媒体流进行加密/解密处理，再将加密/解密处理后的媒体流发送至MGW或VOIP网络；所述MGCF进一步将呼叫建立消息中VOIP网络的密钥数据包含在H.248消息中发给MGW；所述MGW进一步下发所接收的VOIP网络的密钥数据给加密机并与加密机交互媒体流。
16.根据权利要求15所述的关口局，其特征在于，所述MGW进一步从PSTN网络发来的媒体流中接收PSTN网络的密钥数据，并将该密钥数据下发给加密机。
17.根据权利要求15或16所述的关口局，其特征在于，所述加密机包括，加密接口和解密接口，用于与MGW或VOIP网络进行信息交互；该加密机还包括加密/解密处理模块，用于从加密或解密接口接收密钥数据，根据密钥数据计算得到密钥并保存，从加密接口接收媒体流，根据密钥对媒体流进行加密并通过加密接口输出至MGW或VOIP网络，从解密接口接收媒体流，根据密钥对媒体流进行解密并通过解密接口输出至MGW或VOIP网络。
18.根据权利要求17所述的关口局，其特征在于，所述加密/解密处理模块包括控制模块，用于从加密或解密接口接收密钥数据并发送至密钥模块，从密钥模块接收密钥发送至加密模块和解密模块，转发加密接口与加密模块之间交互的媒体流，转发解密接口与解密模块之间交互的媒体流；加密模块，用于从控制模块接收密钥和媒体流，根据密钥对媒体流进行加密并通过控制模块发送至加密接口；解密模块，用于从控制模块接收密钥和媒体流，根据密钥对媒体流进行解密并通过控制模块发送至解密接口；密钥模块，用于从控制模块接收密钥数据，根据密钥数据计算得到密钥数据并发送回控制模块。
19.根据权利要求15或16所述的关口局，其特征在于，该关口局进一步包括路由模块，用于转发VOIP网络与MGCF之间交互的呼叫建立消息，转发MGCF与MGW之间交互的H.248消息和呼叫建立消息，从MGW接收密钥数据并发送至加密机，从VOIP网络或MGW接收媒体流并路由至加密机，从加密机接收媒体流并路由至MGW或VOIP网络。
20.根据权利要求19所述的关口局，其特征在于，所述路由模块为路由器。
21.根据权利要求19所述的关口局，其特征在于，所述路由模块包括路由器，用于转发VOIP网络与以太网交换机之间交互的呼叫建立消息，从VOIP网络或以太网交换机接收媒体流并路由至加密机，从加密机接收媒体流并路由至以太网交换机或VOIP网络，从以太网交换机接收密钥数据并发送至加密机；以太网交换机，用于转发路由器与MGCF之间交互的呼叫建立消息，转发MGW与路由器之间交互的媒体流，转发MGCF与MGW之间交互的H.248消息和呼叫建立消息，从MGW接收密钥数据并发送至路由器。
全文摘要
本发明公开了一种与加密网络互通的方法，在语音因特网协议(VOIP)网络与公共电话交换网(PSTN)网络之间的关口局中设置加密机，该方法包括a.加密网络通过关口局中的媒体网关(MGW)将密钥数据发送至加密机，加密机根据密钥数据得到密钥；b.VOIP网络/PSTN网络将加密/未加密媒体流发送至加密机；c.加密机根据得到的密钥对未加密媒体流进行加密，对加密媒体流进行解密，再将加密/解密处理后的媒体流发送至PSTN网络/VOIP网络。本发明还公开了一种加密关口局，采用本发明方法和关口局能够实现加密/未加密VOIP网络与加密/未加密PSTN网络的互通。
文档编号H04L12/66GK1735008SQ200410058180
公开日2006年2月15日 申请日期2004年8月13日 优先权日2004年8月13日
发明者马云, 赵建国, 谢国军 申请人:华为技术有限公司