一种基于SIP量子网络电话的安全通信系统的制作方法

本实用新型涉及SIP量子网络电话安全通信领域，尤其SIP智能固定/移动电话之间的安全通信系统和方法。

背景技术：

网络电话，又称VOIP(Voice over Internet Protocol)，简而言之就是将模拟信号数字化，以数据封包的形式在IP网络(IP Network)上做实时传递。VoIP可以在IP网络上便宜的传送语音、传真、视频、和数据等业务，如统一消息业务、虚拟电话、虚拟语音/传真邮箱、查号业务、Internet呼叫中心、Internet呼叫管理、电话视频会议、电子商务、传真存储转发和各种信息的存储转发等。

会话发起协议(SIP)是建立VOIP连接的IETF标准。SIP是一种应用层控制协议，用于和一个或多个参与者创建、修改和终止会话。可以支持并应用于语音、视频、数据等多媒体业务，同时也可以应用于Presence(呈现)、Instant Message(即时消息)等特色业务。可以说，有IP网络的地方就有SIP协议的存在。

但是，面对复杂、开放的网络环境，SIP协议自身缺少有力的安全机制，使得其在安全性方面显得较为薄弱。VoIP技术在融合了PSTN与IP网络二者优势的同时，也把二者的安全风险集于一身，除了会遭遇存在于传统PSTN中的非法搭线侦听等安全威胁外，还面临着病毒、非法接入和拒绝服务攻击等IP网络常见的安全威胁。

针对上述问题，中南大学的硕士论文《基于SSL VPN的SIP网络电话的研究》，发表日期为2008年11月24日，其公开了一种SIP网络电话，该论文提出了结合SSL VPN技术来传输VoIP以提高其数据传输的安全保障。

中国专利申请201410072627.8公开了一种实现SIP信令的安全机制的方法及系统，设计了专用的安全服务机制，用于解决现有SIP信令通信系统的安全性问题。

现有技术或者采用基于算法的经典的加密方式，这种加密的保密程度依赖于算法的复杂性，随着当代计算能力的不断提高以及未来量子计算机的出现，其安全性受到严重的威胁；或者是仅仅加密了信令，没有加密媒体数据，或者密码更新慢，存在潜在的安全隐患；还存在Dos攻击、服务窃取、服务窃取信令流的的窃听、媒体流的窃听等网络安全威胁。

技术实现要素：

本实用新型提供一种安全通信系统具有量子无条件安全，可以使SIP电话抵御黑客攻击，保证音视频通话内容的极高安全性。

一种SIP量子网络电话的安全通信系统，包括分别作为VPN网络通信方的SIP服务站以及若干智能电话，还设有：

若干量子密钥卡，配置于每一通信方且存储有VPN网络认证量子密钥和用于通信数据加密传输的会话量子密钥；

量子VPN服务器，各通信方经由该量子VPN服务器传输通信数据，量子VPN服务器通过与各通信方的量子密钥卡相应的会话量子密钥进行通信数据的中转传输；

量子网络服务站，基于VPN网络认证量子密钥对各通信方进行身份认证，并向量子VPN服务器提供与各通信方相应的会话量子密钥。

本实用新型在量子网络服务站中，基于VPN网络认证量子密钥对各通信方进行身份认证，而后各通信方以量子VPN服务器为中心进行通信数据的加密传输，且加密时采用的是量子网络服务站提供的会话量子密钥，量子VPN服务器收到加密的通信数据后，以与发送方相应的会话量子密钥进行解密，再根据需要以与接收方相应的会话量子密钥进行加密并转发至接收方，进一步提高了安全性。

若某一通信方与量子VPN服务器在同一物理设备或同一局域网内，在保证安全的前提下该通信方与量子VPN服务器之间也可以直接传输。

可选的，所述量子VPN服务器配置在量子网络服务站内。

所述量子网络服务站包括：

量子随机数发生器，用于生成量子随机数；

量子密钥管理服务器，与所述量子随机数发生器相连，用于将所述量子随机数分发给各量子密钥卡并在站内存储、以形成相应的VPN网络认证量子密钥和会话量子密钥；还用于依据量子VPN服务器的请求向量子VPN服务器相应提供站内存储的VPN网络认证量子密钥和会话量子密钥。

可选的，所述量子VPN服务器配置在SIP服务站内。

所述量子网络服务站包括：

量子随机数发生器，用于生成量子随机数；

身份认证服务器，用于基于VPN网络认证量子密钥对各通信方进行身份认证；

量子密钥管理服务器，与所述量子随机数发生器相连，用于将所述量子随机数分发给各量子密钥卡并在站内存储、以形成相应的VPN网络认证量子密钥和会话量子密钥；还用于依据量子VPN服务器的请求提供站内存储的会话量子密钥；还用于依据身份认证服务器的请求提供站内存储的VPN网络认证量子密钥。

当通信双方使用的会话量子密钥并不来自同一量子网络服务站，或进行身份认证时，当前量子网络服务站并没有相应的VPN网络认证量子密钥时，则需要在更大范围或多个量子网络服务站之间进行密钥传输。

作为优选，量子网络服务站为通过量子网络相连的多个，各量子网络服务站还包括与量子密钥管理服务器相连的量子密钥分发设备，用于将所述量子随机数分发至不同的量子网络服务站以形成站间量子密钥。

作为优选，所述智能电话为移动电话或固定电话，且分别具有与相应量子密钥卡相匹配的数据接口。

量子密钥卡既可以采用内嵌安装的形式，也可以采用外插拔的形式与智能电话连接，智能电话通过自身的数据接口与量子密钥卡进行通信。

可选的，所述SIP服务站包括相互通信的代理服务器、注册服务器、媒体服务器和重定向服务器，各服务器为同一物理设备，且作为VPN网络一个通信方，通信时匹配有一个量子密钥卡。

可选的，所述SIP服务站包括相互通信的代理服务器、注册服务器、媒体服务器和重定向服务器，各服务器分布在多个物理设备上，每个物理设备分别作为VPN网络一个通信方，通信时分别匹配有一个量子密钥卡。

代理服务器、注册服务器、媒体服务器和重定向服务器其可以按照现有技术进行布置，各服务器可以是各自独立的物理设备也可以采用集成的方式，但至少是作为VPN网络的一个通信方，就会匹配相应的量子密钥卡。

本实用新型利用量子密钥建立的VPN网络上，实现SIP音视频安全通信，系统具有量子无条件安全，可以抵御黑客攻击。且对原SIP协议和系统无任何修改，具有优异的兼容性。同时对信令和数据整体同时加密，保证优异的安全性。

附图说明

图1为实施例1中安全通信系统的结构示意图；

图2为基于实施例1中安全通信系统建立的量子VPN通道示意图；

图3为密钥分发流程图；

图4为基于实施例1中安全通信系统进行通信的流程图；

图5为实施例2中安全通信系统的结构示意图；

图6为基于实施例2中安全通信系统进行通信的流程图。

具体实施方式

实施例1

参见图1，本实施例一种SIP量子网络电话之间的安全通信系统包括智能电话(座机或移动电话)、配置在SIP服务站内的代理服务器、注册服务器、重定向服务器、若干个量子网络服务分站、若干个量子密钥卡。

用以建立相应通信的经典网络可以是现有的4G/5G和以太网通信网络，量子网络可以是中国专利申请201120230944.X中公开的量子网络等。

量子密钥卡作为可移动式硬件密钥分发装置，就其本身而言，可采用现有能够进行数据交互、存储和处理的电子设备，例如可以包括CPU、内存、存储器等硬件并配置有操作系统，具体为USBkey或可插拔式的板卡形式。

量子网络服务站包括量子密钥分发设备QKD、量子密钥管理服务器、量子随机数发生器、量子VPN服务器。

量子密钥分发设备可在不同量子网络服务站间生成和分发量子密钥，不同量子网络服务站之间通过量子密钥分发设备实现广域多节点间基于量子密钥的加解密通信。

量子密钥管理服务器，与量子服务中心通信连接，用于根据用户请求将来自量子随机数发生器的真随机数分别存储至相应的量子密钥卡以及本地数据库内，作为VPN网络认证量子密钥和会话量子密钥。

量子VPN服务器中基于虚拟网卡，配置有VPN服务端。

SIP服务站以及智能电话作为VPN网络的通信方，也是基于虚拟网卡，分别配置有量子VPN客户端；

VPN服务端与各量子VPN客户端分别搭建一条VPN，利用VPN网络认证量子密钥进行认证，以及利用会话量子密钥数据加解密，实现各VPN节点之间的安全通信。

各个量子网络服务站之间通过量子网络形成共同的量子密钥，量子网络服务站与量子密钥卡之间通过量子密钥管理服务器硬件接口进行拷贝，通过量子密钥卡在量子VPN客户端和VPN服务端之间建立量子VPN通道。

如图2所示，在：

SIP服务站和量子VPN服务器之间；以及

SIP终端设备(SIP移动智能电话或SIP固定智能座机电话)和量子VPN服务器之间；

形成了共同的会话量子密钥，因此在

SIP终端设备的量子VPN客户端和量子VPN服务器的VPN服务端之间；以及

SIP服务站的量子VPN客户端和量子VPN服务器的VPN服务端之间；

可以建立量子VPN通道(QuVPN)，在这个量子VPN通道上实现安全的SIP语音、视频、数据通信。

SIP移动智能电话，可以是装有SIP电话软件的手机或Pad，通过3G/4G接入核心网或Wifi无线路由器接入经典网络；内部设置有基于虚拟网卡的量子VPN客户端，SIP移动智能电话设置内部或外部硬件接口，接入量子密钥卡。

SIP固定智能座机电话通过以太网接入经典网络；内部设置有基于虚拟网卡的量子VPN客户端，SIP固定智能座机电话设置内部或外部硬件接口，接入量子密钥卡。

量子VPN客户端与VPN服务端在建立VPN网络时使用量子密钥卡和量子密钥管理服务器中预共享的VPN网络认证量子密钥实现认证；量子VPN客户端与VPN服务端可实时协商更新量子秘钥作为VPN网络中任意两节点间会话量子密钥。

SIP服务站包括代理服务器、注册服务器、媒体服务器、重定向服务器，各服务器可以布置在一台物理设备上，此时接入一个量子密钥卡，安装一个量子VPN客户端；也可分布在多个物理设备上，每个物理设备接入一个量子密钥卡，安装一个量子VPN客户端。

SIP服务站与量子网络服务站之间，通过量子VPN服务器的网口连接到经典网络与SIP服务站进行通信。

参见图3，SIP终端设备和SIP服务器(即SIP服务站中的各个服务器，均作为一个VPN网络通信方)的密钥申请方法如下：

1)新卡注册，首次使用SIP电话的用户首先在量子网络服务中心申请发放量子密钥卡，发放时每张量子密钥卡都存储有自身的ID号，注册信息保留在首次注册所在的量子网络服务站；

2)充值量子密钥，量子密钥卡接入通过量子密钥管理服务器，接入量子网络，申请一定大小的数据量的密钥；

3)量子密钥生成，当申请的密钥量小于量子密钥管理服务器预存的密钥量，则直接下载密钥到量子密钥卡。当申请的密钥量大于量子密钥管理服务器预存的密钥量时，分两种情况处理，第一种情况当前量子网络服务站不是量子密钥卡注册所在站，需要等待当前量子网络服务站和与注册量子网络服务站之间完成量子密钥分发，直到量子网络服务站预存的密钥量大于申请的密钥量，然后下载到量子密钥卡，同时其注册地量子密钥管理服务器保存一份；第二种情况当前量子网络服务站是量子密钥卡注册所在站，需要使用当前量子网络服务站的量子随机数发生器产生量子随机数，直到量子随机数发生器产生密钥量大于申请的密钥量，然后下载到量子密钥卡，同时保存一份到本地量子密钥管理服务器；

4)量子密钥保存，下载完成后量子密钥卡和注册地量子密钥管理服务器拥有相同的量子密钥，其中量子网络服务站的密钥带有该量子密钥卡的ID标识，量子密钥卡中的密钥集有其注册的量子网络服务站ID和密钥集ID共同标识；

量子密钥卡需要使用VPN网络认证量子密钥或会话量子密钥时，均直接或间接的来自上述量子密钥。

当SIP电话与SIP服务器之间，SIP电话与SIP电话之间需要通信时，SIP电话、SIP服务器都需要有量子密钥卡，SIP电话优选的使用量子USBkey，体积小、移动性好，SIP服务器优选的使用量子加密板卡，运算量大、性能高。

参见图4，本实施例安全通信方法如下：

1)在SIP终端设备侧和SIP服务器侧，VPN客户端使用量子密钥卡中的量子密钥卡ID、注册量子服务站ID、密钥集ID，以及量子密钥作为VPN网络认证量子密钥，VPN服务端依据这些标识，调用量子密钥管理服务器获取相应的VPN网络认证量子密钥，进行握手认证，完成身份认证；

2)当身份认证通过，使用量子密钥作为会话量子密钥，协商加密传输数据和控制信道建立所需要的参数，如控制通道的安全策略和数据通道的密钥规则，通常包括密钥生存期、密钥长度、一次一密等。

3)使用协商出来的控制通道的安全策略和数据通道的密钥规则，VPN客户端和VPN服务端初始化虚拟网卡，建立量子VPN通道；若干个VPN客户端与一个VPN服务端认证协商连接，这样就形成了以VPN服务端为中心，以SIP终端设备和SIP服务器为叶子节点的星型量子VPN网络；

4)VPN网络建立后，SIP终端设备与SIP服务器依据基于虚拟网卡分配IP地址进行配置；

5)SIP终端设备或SIP服务器发送数据，到基于虚拟网卡的VPN客户端，VPN客户端依据协商的安全策略使用量子密钥卡中的会话量子密钥加密数据，然后通过虚拟网卡发给VPN服务端；

6)VPN服务端根据源地址，查找认证时记录的虚拟IP与密钥卡ID、密钥集ID、量子服务站ID映射表，获取相应的会话量子密钥对数据解密；解析解密后的数据目标地址，依据星型网络地址虚拟IP与真实IP映射表路由信息，从量子密钥管理服务器中取出对应目标IP的会话量子密钥，加密数据包，重新封装目标地址，通过虚拟网卡转发到SIP终端设备或SIP服务器

7)负责接受数据的SIP终端设备或SIP服务器，其基于虚拟网卡的VPN客户端使用与VPN服务端协商的会话量子密钥解密数据，然后发送给上层SIP终端设备或SIP服务器，VPN工作于SSL层与应用层之间。

SIP各个服务器之间，SIP服务器到SIP终端设备都采用同样的VPN加解密并转发的过程。

实施例2

参见图5，本实施例中量子VPN服务器配置在SIP服务站侧，且量子VPN服务器的硬件形式为与SIP服务站中的各服务器为同一物理服务器上。

对与电话业务规模较小的企业，可采用此结构部署，量子VPN服务器与SIP服务站中的其他各服务器配置在同一个硬件服务器上，但为了保证安全，量子网络服务站内设置身份认证服务器，即身份认证相关服务保留在量子网络服务站上，在降低企业部署成本的情况下，没有降低系统的安全。

参见图6，本实施例安全通信方法如下：

1)在SIP终端设备侧，VPN客户端使用量子密钥卡中的量子密钥卡ID、注册量子服务站ID、密钥集ID，以及量子密钥作为VPN网络认证量子密钥，VPN服务端解析这些标识，传递到量子服务站的身份认证服务器，身份认证服务器调用量子密钥管理服务器获取相应的VPN网络认证量子密钥，进行握手认证，完成身份认证；

2)当身份认证通过，使用量子密钥作为会话量子密钥，协商加密传输数据和控制信道建立所需要的参数，如控制通道的安全策略和数据通道的密钥规则，通常包括密钥生存期、密钥长度、一次一密等；

3)使用协商出来的控制通道的安全策略和数据通道的密钥规则，VPN客户端和VPN服务端初始化虚拟网卡，建立量子VPN通道；若干个VPN客户端与一个VPN服务端认证协商连接，这样就形成了以VPN服务端为中心，以SIP终端设备为叶子节点的星型量子VPN网络；

4)VPN网络建立后，SIP终端设备依据基于虚拟网卡分配IP地址进行配置；SIP服务器使用VPN服务端虚拟网卡地址进行配置；

5)SIP终端设备发送数据，到基于虚拟网卡的VPN客户端，VPN客户端依据协商的安全策略使用量子密钥卡中的密钥加密数据，然后通过虚拟网卡发给VPN服务端，VPN服务端虚拟网卡使用协商的同样量子密钥进行解密；

6)VPN服务端根据源地址，查找认证时记录的虚拟IP与密钥卡ID、密钥集ID、量子服务站ID映射表，获取相应的会话量子密钥对数据解密。解析解密后的数据目标地址：

若是SIP服务器数据，直接发送解密后的数据包；

若不是SIP服务器的数据，依据星型网络地址虚拟IP与真实IP映射表路由信息，从量子密钥管理服务器中取出对应目标IP的会话量子密钥，加密数据包，重新封装目标地址，通过虚拟网卡转发到SIP终端设备；

7)负责接受数据的SIP终端设备，其基于虚拟网卡的VPN客户端使用与VPN服务端协商的会话量子密钥解密数据，然后发送给上层SIP终端设备，VPN工作于SSL层与应用层之间。

SIP站内的各个SIP服务器之间，无需加解密；各SIP服务器到SIP终端设备与SIP服务器到SIP终端设备VPN加解密过程相同。

本实用新型两种实施方式组合实施，可以满足各种使用场景和网络规模，实施方案灵活、设备依赖度小，部署成本低、难度小、周期短。

本实用新型基于量子密钥分配网络，高速更新密钥，有力的消除了随着当代计算能力的不断提高以及未来量子计算机的出现而带来的安全性受到严重的威胁；同时这一方案对SIP信令和媒体数据同时加密，并采用应用层VPN技术，有力的防御了Dos攻击、服务窃取、服务窃取信令流的的窃听、媒体流的窃听等网络安全威胁。

以上公开的仅为本实用新型的实施例，但是本实用新型并非局限于此，本领域的技术人员可以对本实用新型进行各种改动和变型而不脱离本实用新型的精神和范围。显然这些改动和变型均应属于本实用新型要求的保护范围保护内。此外，尽管本说明书中使用了一些特定的术语，但这些术语只是为了方便说明，并不对本实用新型构成任何特殊限制。