一种VoIP通信网络中基于RTP的媒体数据加密方法与流程
本发明涉及通信技术领域,尤其涉及一种voip通信网络中基于rtp的媒体数据加密方法。
背景技术:
在传统通信系统建设中,数据系统和话音系统通常相互独立,数据系统一般采用基于ip的体制,话音系统则采用程控交换体制。该系统导致网络拓扑复杂、建设成本高和使用维护不便。最近发展起来的ip话音(voip:voiceoverip)技术,将话音通信融合至数据传输网络,实现了话音和数据信息在同一网络上传输,能够克服传统通信系统的诸多问题。采用voip话音通信技术包括基于sip(sessioninitiationprotocal)软交换、基于rtp(real-timetransportprotocol)实时传输、话音压缩编解码和话音采集播放等技术。sip用于建立、更改和终止多媒体会话的应用层控制协议。sip能够控制多个参与者参加的多媒体会话的建立和终止,并能够动态调整和修改带宽要求、媒体类型和编解码格式等会话属性。rtp用于各种多媒体数据的实时传输和传输控制,具有基于用户数据报协议(udp)传输的两个端口。一个端口用于传输媒体数据,封装了序列号和时间戳等字段,提供接收方恢复数据需要的顺序和时间等信息;另一个端口用于传输控制,通过交互发送统计、接收统计和源描述等信息,提供监控通信质量、估计可用带宽及识别参与者等功能。
基于sip建立会话连接后,实现基于rtp的媒体传输。发送端实现rtp媒体数据包的封装和发送,周期性统计发送数据的信息并发出发送者报告;接收端实现rtp媒体数据包的解析和处理,周期性统计接收数据的信息并发出接收者报告。为了保护用户通信的私密性,实现对voip通话的媒体信息进行加密,需要对rtp媒体数据进行加密,现有的voip媒体信息进行加密方案,需要与voip的信令面(sip或h.323协议)配合,获取关于rtp媒体信息,实现对承载在rtp上的媒体数据进行加密保护。现有解决方案的不足在于:需要与信令面密切配合才能得到关于媒体面的信息,在目前复杂网络环境下(如多径传输、nat等)有很大的实现难度。
技术实现要素:
鉴于上述的分析,本发明旨在提供一种voip通信网络中基于rtp的媒体数据加密方法,以解决现有技术对voip通话技术承载在rtp上的媒体数据进行加密保护需要与信令面密切配合及在复杂网络环境下实现难度大的问题。
本发明的目的主要是通过以下技术方案实现的:
本发明提供了一种voip通信网络中基于rtp的媒体数据加密方法,包括以下步骤:sd_a接收到rtp包后,转发给reu_a;reu_a接收到所述rtp包后,若未通过fid_a找到对应的tid,则向reu_b发起协商请求;reu_b接收到协商请求后,与reu_a通过协商数据完成通道协商,建立reu_a与reu_b的相应通道tid,并将fid_a与该通道tid进行绑定;reu_a通过fid_a找到相应的tid,进行rtp载荷加密后,向sd_a返回加密后的rtp。
进一步,所述rtp包为(ip_y:port_y,ip_x:port_x){rtp_明};所述加密后的rtp为(ip_y:port_y,ip_x:port_x){rtp_密};所述向reu_b发起协商请求包括向sd_a返回(ip_y:port_y,ip_x:port_x){协商请求[rid_a,fid_a,协商数据]},sd_a将所述协商请求的协商数据传送给sd_b后转发给reu_b;其中,(ip_y:port_y,ip_x:port_x){rtp_明}为voip设备x端口源地址到voip设备y端口目的地址承载的未加密rtp;(ip_y:port_y,ip_x:port_x){rtp_密}为voip设备x端口源地址到voip设备y端口目的地址承载的加密rtp;(ip_y:port_y,ip_x:port_x){协商请求[rid_a,fid_a,协商数据]}为voip设备x端口源地址到voip设备y端口目的地址承载的rid_a与fid_a之间协商请求的协商数据。
进一步,reu_b接收到协商请求后,未与rid_a相对应的reu_a建立通道,则通过在协商应答中返回协商数据完成通道协商。
进一步,reu_b通过t侧接口向sd_b发送(ip_x:port_x;ip_y:port_y){协商应答[rid_b,fid_a,协商数据]};其中,(ip_x:port_x;ip_y:port_y){协商应答[rid_b,fid_a,协商数据]}为voip设备y端口源地址到voip设备x端口目的地址承载的rid_b与fid_a之间协商应答的协商数据。
进一步,通过报文源目地址互换实现协商应答报文对协商请求报文的反射,不存在多径时所述协商应答报文被sd_a截获。
进一步,sd_a接收到协商应答报文后,根据其目的地址(ip_x:port_x)信息将该报文转发给reu_a。
进一步,sd_a将来自e侧源(ip:port)和t侧目的(ip:port)对应的rtp包转发至同一reu_a。
进一步,若reu_b发现已建立于reu_a的相应通道tid,则无需进行重新协商。
进一步,reu_b通过t侧接口向sd_b发送(ip_x:port_x;ip_y:port_y){协商应答[rid_b,fid_a,“通道已建立”]},reu_a接收到“通道已建立”协商应答后,发现已建立reu_a与reu_b相应通道tid,则将fid_a与该通道tid进行绑定,并向sd_a返回(ip_y:port_y,ip_x:port_x){rtp_密}。
进一步,若reu_a未保存所述相应通道tid的密码资源,则向reu_b发起重协商请求;向sd_a返回(ip_y:port_y,ip_x:port_x){重新协商请求[rid_a,协商数据]},并将fid_a预绑定到该相应通道tid;reu_b在接收到重协商请求后,立即返回(ip_x:port_x;ip_y:port_y){重协商应答[rid_b,协商数据]},完成通道的重新协商。
本发明技术方案的有益效果:本发明公开了一种voip通信网络中基于rtp的媒体数据加密方法,包括以下步骤:sd_a接收到rtp包后,转发给reu_a;reu_a接收到所述rtp包后,若未通过fid_a找到对应的tid,则向reu_b发起协商请求;reu_b接收到协商请求后,与reu_a通过协商数据完成通道协商,建立reu_a与reu_b的相应通道tid,并将fid_a与该通道tid进行绑定;reu_a通过fid_a找到相应的tid,进行rtp载荷加密后,向sd_a返回加密后的rtp。与现有voip系统中的rtp媒体加密方案相比,本发明使得无论voip的信令面采用何种通信协议,无论加密设备部署在通信连路的任何位置,均可实现对承载在rtp上的媒体数据进行加密保护,从而能够实现网络改造成本低,用户无感、效率高,并且设备实现方案与信令面无关,对voip信令的依赖性小。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分的从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1为本发明实施例的基于rtp的媒体数据加密方法的voip通信系统框图;
图2为本发明实施例的voip通信网络中基于rtp的媒体数据加密方法的流程图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
缩略语和关键术语定义
sd:servicedivergence
sip:sessioninitiationprotocol
rtp:real-timetransportprotocol
reu:rtpencryptionunit
e侧:external侧
t侧:tunnel侧
fid:flowid,e侧的rtp流标识。
rid:reuid,reu设备标识。
tid:tunnelid,通道标识,两个reu之间构成一个通道。
本发明实施例的技术构思的原理是:在需要进行媒体信息加密的rtp通道上,插入rtp加密设备实现对rtp媒体信息载荷进行加密保护。图1是本发明基于rtp的媒体数据加密方法的voip通信系统框图,系统主要涉及到sd(servicedivergence)和reu(rtpencryptionunit)。其中sd(servicedivergence)用于ip包的检测和分流,将来自e(external)侧的rtp包发送给reu(rtpencryptionunit),经后者处理后发往t(tunnel)侧对应sd设备。对应sd设备接收到来自t侧的rtp包后也发送给reu进行处理,然后通过e侧发送给对端voip设备。
图1中需要注意的是:1)sip信令可以经过也可以不经过sd设备,但不会经过reu密码设备进行处理,也即rtp加密与信令无关。“信令无关”还指voip设备之间可以采用sip,也可采用h.323或其它自定义控制协议,只要媒体承载在rtp即可;2)rtp加密不是基于rtp流,而是基于两个reu之间的通道(tunnel)实现的。没有规定语音设备一个通话之间两个方向的rtp流必须经过相同的reu,两个方向的流甚至可以经过不同的sd。因此两个方向的rtp流可以基于同一个通道,也可以基于不同的两个通道实现加密,经过同一通道的多个rtp流不作区分地进行加密处理。tid可由两端rid标识,即(rid_l,rid_r)→tid,其中rid_l为本地(local)reu标识,rid_r为远端(remote)reu标识。3)sd可以配置多个reu实现负载均衡,但是同一个rtp流需要分流到同一个reu内,除非该reu退出服务后sd进行流重分配。
本发明的一个具体实施例,如图2所示,公开了一种voip通信网络中基于rtp的媒体数据加密方法,包括以下步骤:
s201,sd_a接收到rtp包后,转发给reu_a;
s202,reu_a接收到所述rtp包后,若未通过fid_a找到对应的tid,则向reu_b发起协商请求;
s203,reu_b接收到协商请求后,与reu_a通过协商数据完成通道协商,建立reu_a与reu_b的相应通道tid,并将fid_a与该通道tid进行绑定;
s204,reu_a通过fid_a找到相应的tid,进行rtp载荷加密后,向sd_a返回加密后的rtp。
与现有技术相比,本发明使得无论voip的信令面采用何种通信协议,无论加密设备部署在通信链路的任何位置,均可实现对承载在rtp上的媒体数据进行加密保护,从而能够实现网络改造成本低,用户无感、效率高,并且设备实现方案与信令面无关,对voip信令的依赖性小。
本发明的一个具体实施例,所述rtp包为(ip_y:port_y,ip_x:port_x){rtp_明};所述加密后的rtp为(ip_y:port_y,ip_x:port_x){rtp_密};所述向reu_b发起协商请求包括向sd_a返回(ip_y:port_y,ip_x:port_x){协商请求[rid_a,fid_a,协商数据]},sd_a将所述协商请求的协商数据传送给sd_b后转发给reu_b。
也就是说,sd_a接收到来自语音voip设备x的rtp包:(ip_y:port_y,ip_x:port_x){rtp_明},将其转发给reu_a。其中,(ip_y:port_y,ip_x:port_x){rtp_明}为voip设备x端口源地址到voip设备y端口目的地址承载的未加密rtp。
若reu_a接收到(ip_y:port_y,ip_x:port_x){rtp_明}后,没有通过fid_a找到对应的tid,则向对端reu发起协商请求,也即向sd_a返回(ip_y:port_y,ip_x:port_x){协商请求[rid_a,fid_a,协商数据]},sd_b收到sd_a传送的所述协商请求的协商数据后转发给reu_b。其中,(ip_y:port_y,ip_x:port_x){协商请求[rid_a,fid_a,协商数据]}为voip设备x端口源地址到voip设备y端口目的地址承载的rid_a与fid_a之间协商请求的协商数据。
若reu_a通过fid_a找到了对应的tid,利用tid上既有的相应的密码资源进行rtp载荷加密,向sd_a返回(ip_y:port_y,ip_x:port_x){rtp_密},sd_a将加密后rtp传送给sd_b。其中,(ip_y:port_y,ip_x:port_x){rtp_密}为voip设备x端口源地址到voip设备y端口目的地址承载的加密rtp。
本发明的一个具体实施例,reu_b接收到协商请求后,未与rid_a相对应的reu_a建立通道,则通过在协商应答中返回协商数据完成通道协商。也即,对端reu_b接收到(ip_y:port_y,ip_x:port_x){协商请求[rid_a,fid_a,协商数据]}后,发现没有与rid_a对应的reu_a建立通道,则通过在协商应答中返回协商数据完成通道协商。
本发明的一个具体实施例,reu_b通过t侧接口向sd_b发送(ip_x:port_x;ip_y:port_y){协商应答[rid_b,fid_a,协商数据]};其中,(ip_x:port_x;ip_y:port_y){协商应答[rid_b,fid_a,协商数据]}为voip设备y端口源地址到voip设备x端口目的地址承载的rid_b与fid_a之间协商应答的协商数据。
本发明的一个具体实施例,通过报文源目地址互换实现协商应答报文对协商请求报文的反射,不存在多径时所述协商应答报文被sd_a截获。也就是说,由于(ip_x:port_x;ip_y:port_y)和(ip_y:port_y;ip_x:port_x)报文源目地址互换,相当于实现了协商应答报文对协商请求报文的“反射”。当不存在多径时(通过部署实现),该请求报文总是可以被sd_a截获。
本发明的一个具体实施例,sd_a接收到协商应答报文后,根据其目的地址(ip_x:port_x)信息将该报文转发给reu_a。也即,sd_a接收到协商应答报文(ip_x:port_x;ip_y:port_y){协商应答[rid_b,fid_a,协商数据]}后,根据其目的地址(ip_x:port_x)信息将其转发给reu_a。
本发明的一个具体实施例,sd_a将来自e侧源(ip:port)和t侧目的(ip:port)对应的rtp包转发至同一reu_a。也即sd_a需要将来自e侧源(ip:port)和t侧目的(ip:port)对应的rtp包转发至同一个reu_a,如图1所示,sd_a配置多个reu_a实现负载均衡,但是同一个rtp流需要分流到同一个reu内。
本发明的一个具体实施例,若reu_b发现已建立于reu_a的相应通道tid,则无需进行重新协商。也即,当voip设备y端向voip设备x端发送rtp包时,reu_b发现已经建立于reu_a的通道,则无需重新协商。
本发明的一个具体实施例,reu_b通过t侧接口向sd_b发送(ip_x:port_x;ip_y:port_y){协商应答[rid_b,fid_a,“通道已建立”]},reu_a接收到“通道已建立”协商应答后,发现已建立reu_a与reu_b相应通道tid,则将fid_a与该通道tid进行绑定,并向sd_a返回(ip_y:port_y,ip_x:port_x){rtp_密}。
需要说明的是,reu_b无需进行重新协商时,通过t侧接口向sd_b发送(ip_x:port_x;ip_y:port_y){协商应答[rid_b,fid_a,“通道已建立”]};reu_a接收到“通道已建立”协商应答后,发现已建立相应通道tid_ab,则将fid_a与该通道进行绑定,并向sd_a返回(ip_y:port_y,ip_x:port_x){rtp_密}。
本发明的一个具体实施例,若reu_a未保存所述相应通道tid的密码资源,则向reu_b发起重协商请求;向sd_a返回(ip_y:port_y,ip_x:port_x){重新协商请求[rid_a,协商数据]},并将fid_a预绑定到该相应通道tid;reu_b在接收到重协商请求后,立即返回(ip_x:port_x;ip_y:port_y){重协商应答[rid_b,协商数据]},完成通道的重新协商。也就是说,如果reu_a由于某种原因,没有保存于该相应通道的相关资源,那么其就需要向reu_b发起“重协商请求”,即向sd_a返回(ip_y:port_y,ip_x:port_x){重新协商请求[rid_a,协商数据]},并将fid_a“预绑定“到通道tid_ab;reu_b在接收到重协商请求后,立即返回(ip_x:port_x;ip_y:port_y){重协商应答[rid_b,协商数据]},完成通道的重新协商。
需要说明的是,以上rtp媒体信息流的加密处理过程流程可知,reu在通道完成后,需要响应对端reu的重协商请求,触发重协商请求的时机可能是reu重启、通道释放、密钥使用过期等等。为了减少reu内通道和rtp流绑定信息,需要通过超时机制进行相应信息释放:1)当reu超时没有接收到来自e侧的特定rtp流后,清除该fid与tid的绑定关系;2)当reu超时没有收到t侧来自某一通道的rtp流或者协商包后,可以认为对端reu退出服务,从而清除与该通道相关的所有资源。
总而言之,本发明提出的一种在移动通信网络中与信令无关的rtp媒体信息加密的方法,其关键点是:
(1)实现方案与信令面无关,无论voip通信系统采用哪种通信协议,均不影响本发明方法的实现;
(2)采用本发明方法实现的rtp加解密设备部署位置灵活;
(3)采用本发明方法实现的rtp加解密设备对用户无感,不影响用户的使用体验。
综上所述,本发明公开了一种voip通信网络中基于rtp的媒体数据加密方法,包括以下步骤:sd_a接收到rtp包后,转发给reu_a;reu_a接收到所述rtp包后,若未通过fid_a找到对应的tid,则向reu_b发起协商请求;reu_b接收到协商请求后,与reu_a通过协商数据完成通道协商,建立reu_a与reu_b的相应通道tid,并将fid_a与该通道tid进行绑定;reu_a通过fid_a找到相应的tid,进行rtp载荷加密后,向sd_a返回加密后的rtp。与现有voip系统中的rtp媒体加密方案相比,本发明使得无论voip的信令面采用何种通信协议,无论加密设备部署在通信连路的任何位置,均可实现对承载在rtp上的媒体数据进行加密保护,从而能够实现网络改造成本低,用户无感、效率高,并且设备实现方案与信令面无关,对voip信令的依赖性小。信令无关的rtp加密机制有效的关键是基于rtp的协商包可以传递到对端,可以通过对rtp载荷内容进行信息重组获得,也可以通过扩展rtp首部实现。
本领域技术人员可以理解,实现上述实施例中方法的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读存储介质中。其中,所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!