專利名稱:電話系統(tǒng)及其加密處理方法
技術(shù)領(lǐng)域:
本發(fā)明一種實(shí)施例主要涉及一種電話系統(tǒng)��,其中,電話終端和軟件電 話等經(jīng)由諸如因特網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)的通信網(wǎng)絡(luò)實(shí)現(xiàn)語(yǔ)音通信�。更具體地, 本發(fā)明的一種實(shí)施例涉及改進(jìn)這類電話系統(tǒng)中的加密方式���。
背景技術(shù):
近年來(lái),使用IP網(wǎng)絡(luò)進(jìn)行語(yǔ)音通信的所謂的IP語(yǔ)音(VoIP)已經(jīng)成 為電話系統(tǒng)的主流����。例如,對(duì)于這類系統(tǒng)����,已經(jīng)知道這樣的系統(tǒng),其能夠 通過(guò)加密來(lái)發(fā)送和接收通信數(shù)據(jù)從而有效使用帶寬(JP-A 2006-115507(公 開(kāi)))��。
在這種類型的系統(tǒng)中����,電話終端經(jīng)由諸如路由器的虛擬專用網(wǎng)絡(luò) (VPN)設(shè)備連接到所述IP網(wǎng)絡(luò)。最新的電話終端或VPN設(shè)備經(jīng)常具有 加密功能����;然而,在當(dāng)前的情形下�����,具有加密功能的系統(tǒng)和不具有加密功 能的系統(tǒng)共存。因此�,引起了再次加密媒體數(shù)據(jù)的一些可能性。即���,存在 這樣的可能性��,在將分組發(fā)送給IP網(wǎng)絡(luò)之前�,由VPN^L備再次加密由所 述電話終端加密過(guò)的傳輸包�����。盡管對(duì)于這樣的情形可以通過(guò)更高協(xié)議層的 處理再現(xiàn)語(yǔ)音�,然而,所述系統(tǒng)導(dǎo)致了無(wú)用地消耗通信資源����、降低服務(wù)質(zhì) 量(QoS )等不便。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種電話系統(tǒng)��,其用于防止不需要的加密處理�, 以及其加密處理方法。
根據(jù)本發(fā)明的一個(gè)方面���,提供了一種電話系統(tǒng)��,其包括多個(gè)通信終 端����,它們被配置為進(jìn)行電話通信,以及多個(gè)連接裝置�,它們將這些通信終 端連接到共用的分組通信網(wǎng)絡(luò),從而經(jīng)由所述分組通信網(wǎng)絡(luò)在所述/>共通 信終端之間建立通信��,其中��,所述多個(gè)通信終端的每一個(gè)包括通知處理 單元����,其通知正好在它們的自身終端之上的連接裝置����,在它們的自身終端 存在或不存在對(duì)從它們的自身終端向所述分組通信網(wǎng)絡(luò)發(fā)送的媒體數(shù)據(jù)的 加密,并且所述多個(gè)連接裝置的每一個(gè)包括加密處理單元�����,僅當(dāng)被從它 們的連接裝置之下的所述通信終端通知在所述通信終端不存在加密的事實(shí) 時(shí)�����,其對(duì)所述媒皿據(jù)進(jìn)行加密。
根據(jù)這樣的手段�,當(dāng)未在所述通信終端進(jìn)行加密處理時(shí),所述連接裝 置僅在所述通信終端進(jìn)行加密處理���。即�����,當(dāng)所述通信終端進(jìn)行所述加密處 理時(shí)�,避過(guò)了在所述連接裝置處的加密處理���。從而�����,所述電話系統(tǒng)避免了 雙重地進(jìn)行所述加密處理�,能夠防止不需要的加密處理�。
根據(jù)本發(fā)明,提供了一種電話系統(tǒng)及其加密處理方法����,其被配置為防 止不需要的加密處理����。
以下的描述將闡明本發(fā)明的其它目的和優(yōu)點(diǎn)���,部分地���,可由本描述變 得明顯,或者可^J t本發(fā)明的實(shí)踐中學(xué)習(xí)到���?�?梢酝ㄟ^(guò)此后具體指出的手 段和組合實(shí)現(xiàn)并獲得本發(fā)明的目的和優(yōu)點(diǎn)。
將附圖集成于此并組成本說(shuō)明的一部分�,其與以上給出的概述以及以 下給出的實(shí)施例詳細(xì)描述一起闡明了本發(fā)明的實(shí)施例,用以解釋本發(fā)明的 原理����。
圖1是優(yōu)選系統(tǒng)視圖,其闡明了關(guān)于本發(fā)明系統(tǒng)的電話系統(tǒng)的實(shí)施例��; 圖2是視圖���,其闡明了圖l的系統(tǒng)中使用的安全策略表��; 圖3是視圖�����,其闡明了當(dāng)在VPN設(shè)備之間進(jìn)行加密時(shí)的呼叫連接處理 順序����;
圖4是視圖,其示意性描述了在圖3的情況下的終端間通信��;
圖5是視圖�����,其闡明了當(dāng)在終端之間進(jìn)行加密時(shí)的呼叫連接處理順序��;
以及
圖6是^L圖��,其示意性闡明了在圖5的情況下的終端間通信��。
具體實(shí)施例方式
此后將參考附圖描述根據(jù)本發(fā)明的各種實(shí)施例�����。 一般而言�����,根據(jù)本發(fā) 明的一種實(shí)施例,提供了一種電話系統(tǒng)����,其包括多個(gè)通信終端,它們被 配置為進(jìn)行電話通信�;以及多個(gè)連接裝置,它們將這些通信終端連接到公 共分組通信網(wǎng)絡(luò)�,從而經(jīng)由所述分組通信網(wǎng)絡(luò)在所述通信終端之間建立通 信。所述多個(gè)通信終端各自包括通知處理單元���,其通知正好在它們的自 身終端之上的連接裝置���,在它們的自身終端存在或不存在對(duì)從它們的自身 終端向所述分組通信網(wǎng)絡(luò)發(fā)送的媒體數(shù)據(jù)的加密。并且所述多個(gè)連接裝置 各自包括加密處理單元����,僅當(dāng)從它們的連接裝置之下的通信終端通知在所 述通信終端不存在加密的事實(shí)時(shí)�����,其對(duì)所述媒體數(shù)據(jù)進(jìn)行加密�。
圖1示出了關(guān)于本發(fā)明的電話系統(tǒng)的實(shí)施例的系統(tǒng)圖�����。所述系統(tǒng)經(jīng)由 IP網(wǎng)絡(luò)1在本地網(wǎng)絡(luò)10和20之間進(jìn)行連接��,從而在各個(gè)網(wǎng)絡(luò)10和20之 間建立相互通信����。
本地網(wǎng)絡(luò)10包括終端3a和3b, VPN裝置2a以及交換服務(wù)器4�����,并 且它們經(jīng)由局域網(wǎng)(LAN)相互連接����。在它們之中,VPN裝置2a連接到 IP網(wǎng)絡(luò)1����,從而在IP網(wǎng)絡(luò)1、終端3a��、 3b,以及交換服務(wù)器4之間作為媒 體數(shù)據(jù)和IP分組的發(fā)送和接收的中介��。即,VPN裝置2a將終端3a���、 3b���, 以及交換服務(wù)器4連接到IP網(wǎng)絡(luò)1。
本地網(wǎng)絡(luò)20包括終端3c�、 3d以及VPN裝置2b,它們將經(jīng)由LAN相 互連接。在它們之中���,VPN裝置2b連接到IP網(wǎng)絡(luò)l���,以作為在IP網(wǎng)絡(luò)1 和終端3c、 3d之間的媒體數(shù)據(jù)和IP分組的發(fā)送和接收的中介�����。即����,VPN 裝置2b將所述終端3c和3d連接到IP網(wǎng)絡(luò)1。
各個(gè)終端3a-3d具有通過(guò)VoIP的電話通信功能�,例如�,IP電話和 IP軟件電話。另外�����,有時(shí)候終端3a-3d的每一個(gè)具有諸如視頻通信交換
功能和文本聊天功能的通信功能。所述軟件電話是在其中安裝了用于通話 的軟件的計(jì)算機(jī)��。
交換服務(wù)器4從終端3a - 3d接M送/呼叫/應(yīng)答/斷開(kāi)消息�����,并且對(duì)呼 叫者進(jìn)行連接目的地的限定��,并在確定所述連接目的地之后���,進(jìn)行消息的 中繼等���。對(duì)于這樣的用于呼叫連接處理的協(xié)議,例如�,使用會(huì)話初始協(xié)議 (SIP)。在由交換服務(wù)器4建立所述連接之后�,終端3a-3d分別直接向 相對(duì)的終端發(fā)送分組數(shù)據(jù),并直接從其接收分組數(shù)據(jù)�,從而對(duì)諸如語(yǔ)音數(shù) 據(jù)的媒體流進(jìn)行通信(對(duì)等網(wǎng)絡(luò))。
為了防止例如個(gè)人信息被透露和竊聽(tīng)��, 一些終端3a - 3d具有對(duì)將被發(fā) 送給IP網(wǎng)絡(luò)1的分組(媒體數(shù)據(jù))進(jìn)行加密的功能。在所述實(shí)施例中�,假 設(shè)終端3a和3d支持所述加密功能,而終端3b和3c不支持所述功能�����。
終端3a - 3d的每一個(gè)具有通知處理單元200��。通知處理單元200通過(guò) 例如發(fā)送加密鑒別信息向正位于其上的VPN裝置通知所述所述分組是否 被加密���。在所述實(shí)施例中����,所述電話系統(tǒng)使用端口號(hào)作為加密鑒別信息�。 此外,VPN裝置2a和2b包括加密處理單元100�����,從而實(shí)現(xiàn)與前述功能類 似的加密功能��。VPN裝置2a - 2b的每一個(gè)具有圖2所示的安全策略表����。
直白地說(shuō)�����,圖2所示的表將呼出側(cè)端口號(hào)和呼入側(cè)端口號(hào)之間的對(duì)應(yīng) 關(guān)系與是否存在加密相關(guān)聯(lián)。除了這些�,所ii^格描述了呼出側(cè)IP地址, 呼入側(cè)IP地址��,將使用的協(xié)議(UDP)等��。在IPsec等標(biāo)準(zhǔn)中推薦了所述 安全策略表�。在終端3a-3d的每一個(gè)中也存儲(chǔ)所&,并且在所述實(shí)施例 中,各個(gè)終端3a - 3d根據(jù)其自身是否存在加密功能改變其端口號(hào)�����。
圖3是視圖�����,其示出了當(dāng)在VPN裝置之間進(jìn)行加密時(shí)的呼叫連接處理 順序����。在圖3中,當(dāng)終端3a的用戶為了連接到終端3c進(jìn)行呼出操作時(shí)�, 從終端3a向交換服務(wù)器4發(fā)送呼出消息(步驟ST1)��。所述呼出消息包括 建議參數(shù)���,其包括分組通信中將要使用的呼出側(cè)端口號(hào)。將所述建i義參數(shù) 例如包含在SIP的INVITE消息中�。此處,對(duì)于所述呼出側(cè)端口號(hào)���,作為 指示能夠加密通信的值之內(nèi)的值的例子��,使用"5000"�。
交換服務(wù)器4從所接收的呼出消息中包含的目的地參數(shù)確定連接目的 地(終端3c)�����,并向終端3c發(fā)送呼出消息(步驟ST2)��。接收到所述呼 出消息的終端3c確定其自身終端是否能加密所述呼出消息��。在所述實(shí)施例 中����,確定其自身終端不能加密所述呼出消息,并且終端3c設(shè)置指示不能進(jìn) 行加密的值6000作為呼入側(cè)端口號(hào)(步驟ST3 )�����。
接下來(lái),終端3c返回包含了應(yīng)答^的呼入消息��,該應(yīng)答參數(shù)包括分 組通信中將使用的呼入側(cè)端口號(hào)(步驟ST4)����。所述應(yīng)答參數(shù)包括"6000"��, 其為呼入側(cè)號(hào)碼�。接收到所述呼入消息的交換服務(wù)器4,將其中繼給終端 3a (步驟ST5)��。在呼入消息到達(dá)終端3a之后���,終端3a和3c利用所述呼 出側(cè)端口號(hào)5000和所述呼入側(cè)端口號(hào)6000通過(guò)未加密分組開(kāi)始進(jìn)行通信 (步驟ST6)�。
圖4示意性描述了在圖3的情況下的終端間通信�����。在圖4中���,終端3a 和3c通過(guò)所述未加密分組相互進(jìn)行通信(步驟ST7) �。 VPN裝置2a和2b 監(jiān)控終端3a和3c之間的分組通信,以識(shí)別呼出側(cè)端口號(hào)5000和呼入側(cè)端 口號(hào)6000���。從所述結(jié)果和安全策略表的內(nèi)容����,VPN裝置2a和2b確定需 要對(duì)終端3a和3c之間的連接進(jìn)行加密��。結(jié)果����,在VPN裝置2a和2b之間 實(shí)現(xiàn)分組的加密。 '
圖5是視圖�,其示出了當(dāng)在終端之間進(jìn)行加密時(shí)的呼叫連接處理順序。 在圖5中���,當(dāng)終端3a的用戶進(jìn)行呼出操作����,從而將終端3a連接到終端3d 時(shí)���,從終端3a向交換服務(wù)器4發(fā)送呼出消息(步驟ST10 )����。所發(fā)送的消 息包括5000,作為呼出側(cè)端口號(hào)��。
交換服務(wù)器4基于所接收的呼出消息中包含的目的地#確定連接目 的地(終端3d)���,從而向終端3d發(fā)送所述呼出消息(步驟ST20 )��。接收 了所述呼出消息的終端3d確定由其自身終端進(jìn)行加密的可能性�。在所述實(shí) 施例中�����,確定其自身終端能夠加密所述呼出消息�����,并且終端3d設(shè)置指示能 夠加密的值5001作為呼入側(cè)端口號(hào)(步驟ST30)���。
接下來(lái),終端3d返回包含了應(yīng)答參數(shù)的呼入消息����,該應(yīng)答參數(shù)包括分 組通信中將使用的呼入側(cè)端口號(hào)(步驟ST40)。所述應(yīng)答參數(shù)包括5001�����, 其為呼入側(cè)端口號(hào)。接收到所述呼入消息的交換服務(wù)器4將所述呼入消息
中繼給終端3a (步驟ST50 )���。在所述呼入消息到達(dá)終端3a之后�����,終端3a 和3d利用所述呼出側(cè)端口號(hào)5000和所述呼入側(cè)端口號(hào)5001通過(guò)加密分組 開(kāi)始進(jìn)行通信(步驟ST60 )����。
圖6示意性闡明了在圖5的情況下的終端間通信�。在圖6中,終端3a 和3d通過(guò)加密分組相互進(jìn)行通信(步驟ST70 ) �。 VPN裝置2a和2b監(jiān)控 終端3a和3d之間的分組通信,以識(shí)別呼出側(cè)端口號(hào)5000和呼入側(cè)端口號(hào) 5001�。取決于所述識(shí)別結(jié)果和安全策略表的內(nèi)容,VPN裝置2a和2b確定 其不對(duì)終端3a和3d之間的連接進(jìn)行加密����。根據(jù)所述識(shí)別結(jié)果,不在VPN 裝置2a和2b之間對(duì)分組進(jìn)行加密�����。
如上所述,在本實(shí)施例中�����,終端3a-3d響應(yīng)于其自身終端是否存在加 密功能來(lái)改變所述呼出側(cè)端口號(hào)和呼入側(cè)端口號(hào)����,以實(shí)現(xiàn)所述呼叫連接處 理順序。將所述存在與否和所述端口號(hào)之間的關(guān)系與預(yù)先準(zhǔn)備的安全策略 表相關(guān)聯(lián)���。VPN裝置2a和2b檢查與VPN裝置2a和2b相連接的終端之 中的端口號(hào)��,并才艮據(jù)檢查結(jié)果和所述表的內(nèi)容確定是否由其自身的VPN裝 置進(jìn)行加密����。
由于如上所述的確定���,VPN裝置2a和2b可以不盲目地進(jìn)行加密,而 是響應(yīng)于在終端裝置是否進(jìn)行了加密來(lái)在必要時(shí)進(jìn)行加密��。從而所述電話 系統(tǒng)能夠防止資源消耗的浪費(fèi)���,在其中�,在終端對(duì)媒體數(shù)據(jù)進(jìn)行加密之后 VPN裝置進(jìn)一步對(duì)其進(jìn)行加密,從而有效使用所述VPN裝置的加密資源�。 并且,所述系統(tǒng)能夠有效使用設(shè)備并降低成本���。在VoIP通信中����,用戶能 夠容易地確定各個(gè)通信的安全級(jí)別���,并且所述系統(tǒng)的方便性得到顯著提高�����。 因此�,可以提供一種電話系統(tǒng)及其加密處理方法�����,其能夠防止不必要的加 密處理�。
本發(fā)明不限于上述實(shí)施例。例如�,所述加密鑒別信息不限于所述呼出/ 呼入端口號(hào),并且所述用戶能夠使用獨(dú)立定義的信息。不僅所述媒體數(shù)據(jù)����, 還有諸如呼出消息和應(yīng)答消息的控制信息也可以作為加密對(duì)象進(jìn)行處理。
本領(lǐng)域技術(shù)人員很容易得到其它優(yōu)點(diǎn)和修改�。因此,本發(fā)明就其廣義 方面不限于此處示出和描述的具體細(xì)節(jié)和代表性實(shí)施例��。于是��,無(wú)需脫離由所附權(quán)利要求及其等同所定義的一M明概念的精神和范圍��,可以得到 各種修改���。
權(quán)利要求
1.一種電話系統(tǒng)����,其特征在于�,包括多個(gè)通信終端(3a-3d)�,其被配置為進(jìn)行電話通信;以及多個(gè)連接裝置(2a���,2b)�,其將這些通信終端連接到共用的分組通信網(wǎng)絡(luò),以經(jīng)由所述分組通信網(wǎng)絡(luò)在所述通信終端之間建立通信����,其中,所述多個(gè)通信終端的每一個(gè)包括通知處理單元(200)���,其通知正好在它們的自身終端之上的連接裝置�����,在它們的自身終端存在或不存在對(duì)從它們的自身終端向所述分組通信網(wǎng)絡(luò)發(fā)送的媒體數(shù)據(jù)的加密�����,并且所述多個(gè)連接裝置的每一個(gè)包括加密處理單元(100)�,僅當(dāng)從它們的連接裝置之下的所述通信終端通知在所述通信終端不存在所述加密的事實(shí)時(shí)��,其對(duì)所述媒體數(shù)據(jù)進(jìn)行加密����。
2. 根據(jù)權(quán)利要求l所述的電話系統(tǒng),其特征在于�����, 所述通知處理單元(200 )通過(guò)向所述媒體數(shù)據(jù)加入加密鑒別信息來(lái)通知存在或不存在所述加密。
3. 根據(jù)權(quán)利要求2所述的電話系統(tǒng)���,其特征在于�����, 所述加密鑒別信息包括所述通信終端的端口號(hào)以及該通信終端的通信伙伴的通信終端的端口號(hào)��。
4. 根據(jù)權(quán)利要求l所述的電話系統(tǒng)���,其特征在于, 所述多個(gè)通信終端和所述多個(gè)連接裝置的每一個(gè)包括安全策略表�����,其通過(guò)呼出側(cè)端口號(hào)和呼入側(cè)端口號(hào)之間的對(duì)應(yīng)關(guān)系確定存在和不存在所所述多個(gè)通信終端按照所述安全策略表改變至少所述呼出側(cè)端口號(hào)或 者所述呼入側(cè)端口號(hào)���,以通知存在或不存在所述加密���,并且所述多個(gè)連接裝置基于從所述連接裝置之下的通信終端接收到的通知 中包含的所述呼出側(cè)端口號(hào)和所述呼入側(cè)端口號(hào)之間的對(duì)應(yīng)關(guān)系參考所述 安全策略表,來(lái)確定在它們的自身裝置的對(duì)所述媒體數(shù)據(jù)的加密����。
5. —種加密處理方法,包括多個(gè)通信終端�,它們凈皮配置為進(jìn)行電話 通信,以及多個(gè)連接裝置���,它們將這些通信終端連接到共用的分組通信網(wǎng) 絡(luò)��,以經(jīng)由所述分組通信網(wǎng)絡(luò)在所述通信終端之間建立通信�,其特征在于�����, 所述多個(gè)通信終端通知正好在它們的自身終端之上的連接裝置���,在它的媒體數(shù)據(jù)的加密����,并且所述多個(gè)連接裝置僅當(dāng)從它們的連接裝置之下的所述通信終端通知在 所述通信終端不存在所述加密的事實(shí)時(shí)���,對(duì)所述媒體數(shù)據(jù)進(jìn)行加密��。
6. 根據(jù)權(quán)利要求5所述的加密處理方法�,其特征在于�,所述多個(gè)通信 終端通過(guò)向所述媒體數(shù)據(jù)加入指示存在或不存在所述加密的加密鑒別信息 來(lái)通知存在或不存在所述加密���。
7. 根據(jù)權(quán)利要求6所述的加密處理方法,其特征在于����,所述加密鑒別 信息包括所述通信終端的端口號(hào)以及該通信終端的通信伙伴的通信終端的 端口號(hào)。
8. 根據(jù)權(quán)利要求5所述的加密處理方法�����,其特征在于�����, 所述多個(gè)通信終端和所述多個(gè)連接裝置的每一個(gè)具有安全策略表���,以通過(guò)呼出側(cè)端口號(hào)和呼入側(cè)端口號(hào)之間的對(duì)應(yīng)關(guān)系確定存在或不存在所述 加密�,所述多個(gè)通信終端按照所述安全策略表改變至少所述呼出側(cè)端口號(hào)或 者所述呼入側(cè)端口號(hào)�,以通知存在或不存在所述加密;并且所述多個(gè)連接裝置基于從所述連接裝置之下的通信終端接收到的信息 中包含的所述呼出側(cè)端口號(hào)和所述呼入側(cè)端口號(hào)參考所述安全策略表��,來(lái) 確定在它們的自身裝置的對(duì)所述媒體數(shù)據(jù)的加密����。
全文摘要
根據(jù)一種實(shí)施例�,提供了一種電話系統(tǒng)����,包括多個(gè)通信終端(3a-3d)��,它們被配置為進(jìn)行電話通信��,以及多個(gè)連接裝置(2a�,2b),它們將這些通信終端連接到共用的分組通信網(wǎng)絡(luò)��,從而經(jīng)由所述分組通信網(wǎng)絡(luò)在所述通信終端之間建立通信���。所述多個(gè)通信終端的每一個(gè)包括通知處理單元(200)���,其通知正好在它們的自身終端之上的連接裝置,在它們的自身終端存在或不存在對(duì)從它們的自身終端向所述分組通信網(wǎng)絡(luò)發(fā)送的媒體數(shù)據(jù)的加密�����。并且所述多個(gè)連接裝置的每一個(gè)包括加密處理單元(100)�,僅當(dāng)從它們的連接裝置之下的通信終端通知在所述通信終端不存在所述加密的事實(shí)時(shí),其對(duì)所述媒體數(shù)據(jù)進(jìn)行加密��。
文檔編號(hào)H04L12/22GK101174971SQ200710167049
公開(kāi)日2008年5月7日 申請(qǐng)日期2007年10月31日 優(yōu)先權(quán)日2006年10月31日
發(fā)明者柴田勉 申請(qǐng)人:株式會(huì)社東芝