專利名稱:一種會話信息交互方法、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域,更具體地說,涉及一種會話信息交互方法、裝置及系統(tǒng)。
背景技術(shù):
隨著NGN(Next Generation Network,下一代網(wǎng)絡(luò))技術(shù)的不斷發(fā)展,對于NGN在 IP網(wǎng)絡(luò)上實現(xiàn)VoIP (Voice over Internet Protocol,聲音在網(wǎng)路上傳播協(xié)議)和多媒體 通信來講,SIP (Session Initiation Protocol,會話初始化協(xié)議)在全面滿足NGN特性要 求的應(yīng)用上具有獨特的優(yōu)勢,也逐漸成為下一代網(wǎng)絡(luò)VoIP的重要解決方案。為了保證SIP會話信息的安全性,目前,常用TLS (Transport LayerSecurity,傳 輸層安全)和 S/MIME (Secure Multipurpose Internet MailExtensions,安全多用途因特 網(wǎng)郵件擴展)方式處理SIP消息,從而保護SIP消息的機密性和安全性。在發(fā)明創(chuàng)造過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題在采用TLS方式時,SIP消息通過SIP中間節(jié)點需要加密解密處理,而在進行加密 解密處理之前,需要建立TLS握手,這樣就需要引入TLS握手流程這一新的流程來進行加密 支持。在S/MIME方式中,需要使用公鑰對會話信息進行加密,為保證公鑰的可信任度。 S/MIME方式需要SIP會話信息發(fā)送方首先必須從CA (CertificateAuthority,數(shù)字證書認 證)中心獲得接收方的公共密鑰,使得整個端到端系統(tǒng)必須引入第三方來實現(xiàn);而且獲取 公共密鑰是一個新的流程,必需在發(fā)送加密消息前完成,這樣也增加了邏輯的復(fù)雜性,影響 交互性能。
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種會話信息交互方法、裝置及系統(tǒng),以解決現(xiàn)有技術(shù)存在 的中間節(jié)點需要加密解密處理,或者,會話交互過程中加密需增加第三方流程的問題。本發(fā)明實施例提供一種會話信息交互方法,包括與對端進行加密協(xié)商,確定密鑰及加密算法;利用所述確定的密鑰及加密算法對會話信息的消息體加密后,將所述會話信息發(fā) 送給對端,或者,接收消息體由所述密鑰及加密算法加密的會話信息。本發(fā)明實施例還提供了一種會話信息交互裝置,包括加密協(xié)商單元,用于與對端進行加密協(xié)商,確定密鑰及加密算法;加密單元,用于利用所述密鑰及加密算法對會話信息的消息體進行加密;會話信息收發(fā)單元,用于將所述加密單元加密的會話信息發(fā)送給對端,或者,接收 消息體由所述密鑰及加密算法加密的會話信息。本發(fā)明實施例還提供了一種會話信息交互系統(tǒng),包括代理服務(wù)器和至少兩個客戶端,其中所述客戶端用于通過所述代理服務(wù)器與系統(tǒng)中的其他客戶端進行密鑰協(xié)商,并 在密鑰協(xié)商完成后,利用所述確定的密鑰及加密算法對需要發(fā)送的會話信息的消息體加 密,或者,接收消息體由所述密鑰及加密算法加密的會話信息;所述代理服務(wù)器用于實現(xiàn)所 述各客戶端之間的密鑰協(xié)商,以及,轉(zhuǎn)發(fā)所述會話信息。從上述的技術(shù)方案可以看出,與現(xiàn)有技術(shù)相比,本發(fā)明的實施例中,客戶端通過接收、發(fā)送包括密鑰和加密算法內(nèi)容的會話請求和會話響應(yīng)信息,與交互的對端進行了加密 協(xié)商,而無需引入第三方流程,降低了流程復(fù)雜度。并且,本發(fā)明的實施例只對會話信息中 的消息體進行加密,使得會話信息在網(wǎng)絡(luò)中傳播時,中間節(jié)點不需要對會話信息進行加密、 解密處理,節(jié)約了時間,提高會話信息在網(wǎng)絡(luò)中的傳播效率。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡單的介紹,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可 以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明實施例中一種會話信息交互方法的流程圖;圖2為本發(fā)明實施例中加密協(xié)商的流程圖;圖3為本發(fā)明實施例中訂閱/通知業(yè)務(wù)流程進行密鑰協(xié)商及加密的示意圖;圖4為本發(fā)明實施例中具有crypto頭域的訂閱請求信息結(jié)構(gòu)示意圖;圖5為本發(fā)明實施例中具有crypto頭域的2000K信息結(jié)構(gòu)示意圖;圖6為本發(fā)明實施例中加密前的SIP消息結(jié)構(gòu)示意圖;圖7為本發(fā)明實施例中加密后的SIP消息結(jié)構(gòu)示意圖;圖8為本發(fā)明實施例中對SIP VOIP基本呼叫流程中進行部分加密的示意圖;圖9為本發(fā)明實施例中INVITE-180的示意圖;圖10為本發(fā)明實施例中180-PRACK的示意圖;圖11為本發(fā)明實施例中PRACK-200的示意圖;圖12為本發(fā)明一種會話信息交互裝置實施例的結(jié)構(gòu)示意圖;圖13為本發(fā)明一種會話信息交互系統(tǒng)實施例的結(jié)構(gòu)示意圖;圖14為本發(fā)明一種會話信息交互系統(tǒng)另一個實施例的結(jié)構(gòu)示意圖。
具體實施例方式本發(fā)明實施例提供了一種技術(shù)方案,可以解決現(xiàn)有技術(shù)存在的會話交互過程中加 密需增加第三方流程、收發(fā)消息雙方無法協(xié)商加密細節(jié)的問題。為了引用和清楚起見,本文中使用的技術(shù)名詞、簡寫或縮寫總結(jié)如下SIP, Session Initiation Protocol, 即 會話初始化協(xié)議;TLS, Transport Layer Security,即 傳輸層安全;S/MIME, Secure Multipurpose Internet Mail Extensions,即 安全多用途因特 網(wǎng)郵件擴展;
VOIP, Voice over Internet Protocol,S卩聲音在網(wǎng)路上傳播協(xié)議 SDP,Session Description Protoco,艮口 會話描述協(xié)議NGN, Next Generation Network,艮:下一代網(wǎng)絡(luò)
B2BUA, Business To Business User Agent,S卩企業(yè)對企業(yè)之間的營銷關(guān)系用戶 代理客戶端;ISP, Internet Service Provider,即互聯(lián)網(wǎng)服務(wù)提供商。下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完 整地描述,顯然,所描述的實施例僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒?發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實 施例,都屬于本發(fā)明保護的范圍。參見圖1示出的實施例公開的一種會話信息交互方法,包括步驟101,與對端進行加密協(xié)商,確定密鑰及加密算法;步驟102,發(fā)送或接收會話信息,所述會話信息的消息體由所述密鑰及加密算法進 行加密。在本發(fā)明的另一個優(yōu)選實施例中,步驟101所進行的加密協(xié)商過程可以如圖2所 示,包括如下步驟步驟201,接收會話請求,所述會話請求包括發(fā)送方標識、接收方標識、發(fā)送方公鑰 及第一加密算法;步驟202,發(fā)送會話響應(yīng)信息,所述會話響應(yīng)信息包括接收方公鑰及第二加密算 法。所述第一加密算法和第二加密算法可以相同,也可以不同,具體而言,可以根據(jù)用 戶需求或者網(wǎng)絡(luò)實際運行情況而定。下面通過SIP應(yīng)用情景對采用本發(fā)明會話信息交互方法的SIP會話過程舉例進行 描述在同一個域中的兩個客戶端進行SIP會話時,客戶端A使用SIP電話,客戶端B有 一臺PC,運行支持語音和視頻軟件的客戶程序,加電后,兩個用戶都在ISP網(wǎng)絡(luò)中,客戶端A 向客戶端B發(fā)起會話請求,在會話請求信息中除了包含客戶端A發(fā)送的消息體和客戶端A 的標識,客戶端B的標識等信息外,還包含了用于指示密鑰和加密算法的信息,客戶端B收 到會話請求后,向客戶端A發(fā)送會話響應(yīng)信息,該會話響應(yīng)信息中包含了客戶端B的公鑰和 客戶端B使用的加密算法,從而實現(xiàn)客戶端A和客戶端B之間的加密協(xié)商。當同一個域中的兩個客戶端使用代理服務(wù)器進行SIP會話時,具體過程如下客 戶端A使用SIP電話,客戶端B、C、D有一臺PC,運行支持語音和視頻的軟客戶程序。加電 后,四個用戶都在ISP網(wǎng)絡(luò)中的SIP代理服務(wù)器上注冊了他們的空閑情況和IP地址。客戶 端A發(fā)起此呼叫,告訴SIP代理服務(wù)器要聯(lián)系客戶端B。然后,SIP代理服務(wù)器向SIP注冊 服務(wù)器發(fā)出請求,要求提供客戶端B的IP地址,并收到客戶端B的IP地址。SIP代理服務(wù) 器轉(zhuǎn)發(fā)客戶端A向客戶端B進行通信的邀請信息,該信息不僅包括用于指示客戶端要使用 的媒體的信息,還包括客戶端A的公鑰和使用的加密算法??蛻舳薆通知SIP代理服務(wù)器 可以接受客戶端A的邀請,且已做好接收消息的準備,客戶端B回應(yīng)的消息中包括客戶端B 使用的公鑰和加密算法。因此,在SIP代理服務(wù)器將此消息傳達給客戶端A后,建立上述客戶端之間的SIP會話。本發(fā)明的技術(shù)方案的密鑰協(xié)商過程在SIP標準訂閱/通知業(yè)務(wù)流程、初始訂閱流 程和SIP VOIP基本呼叫流程等常用流程中應(yīng)用,下面通過幾個實例進行說明圖3給出了 RFC定義的SIP標準訂閱/通知業(yè)務(wù)流程進 行密鑰協(xié)商及加密的示意 圖,包括如下步驟步驟301,在初始化訂閱流程中進行加密協(xié)商;發(fā)送端發(fā)送訂閱請求(Subscribe),該訂閱請求中攜帶Crypto頭域,用于指示密 鑰及加密算法,接收端接收到所述請閱請求后,反饋響應(yīng)信息(2000K),該信息中同樣攜帶 Crypto頭域。攜帶Crypto頭域的Subscribe和2000K分別如圖4和圖5所示,其中,inline 字段指示用于協(xié)商的密鑰,AES_CM_128表示使用AES加密算法,工作模式為Counter Mode。步驟302,根據(jù)協(xié)商結(jié)果對后續(xù)帶有SIP BODY的NOTIFY消息的消息體加密。具體的加密過程如下對于消息的消息體進行加密,利用在此場景中,隱藏了用戶語音郵箱賬戶信息; SIP消息其余頭部不進行加密處理,減少了加密運算量,同時也不影響消息在不支持該加密 算法的SIP節(jié)點中傳輸。加密前SIP消息結(jié)構(gòu)如圖6所示,其中,61指的是SIP消息的頭 部,62指的是SIP消息的消息體,加密后SIP消息結(jié)構(gòu)如圖7所示,其中,71指的是SIP消 息的頭部,72指的是SIP消息的消息體。由此可見,該實施例中采取只對會話信息中的消息體進行加密的方式,使得會話 信息在網(wǎng)絡(luò)中傳播時,中間節(jié)點不需要對會話信息進行加密、解密處理,節(jié)約了時間,使得 會話信息在網(wǎng)絡(luò)中過的傳播效率更高。參考圖8示出了本發(fā)明另一個實施例,給出了對SIP VOIP基本呼叫流程中進行部 分加密的流程步驟801,通過INVITE-180方式完成加密方式和密鑰協(xié)商;具體過程為發(fā)送端發(fā)送Invite消息,該消息中不攜帶SDP,而攜帶用于指示發(fā)送 端采用的密鑰及加密算法的信息,接收端接收到所述Invite消息后,先后發(fā)送IOOTring和 ISORinging (所述ISORinging攜帶接收端采用的密鑰及加密算法的信息)以標志加密協(xié)商 過程完成。步驟802,通過200-ACK方式完成媒體協(xié)商,并對SDP消息體進行加密。所述Invite消息及ISORinging攜帶新增的Crypto頭域,以指示所采用的密鑰及 加密算法,所述新增的Crypto頭域如圖9中的901和902所示。對于支持RFC 3262的SIP系統(tǒng),則可以使用更加靈活可靠的加、解密協(xié)商方式,除 了可采用INVITE-180以外,還可以采用180-PRACK、PRACK-200方式進行加、解密協(xié)商。在 180-PRACK方式中,一端(為方便描述,下文稱為B端)發(fā)送180Ringing,所述180Ringing 攜帶Crypto頭域,如圖10中的1001,用于指示B端采用的密鑰及加密算法,另一端(為描述 方便,下文稱為A端)發(fā)送PRACK消息,該PRACK消息攜帶Crypto頭域,如圖10中的1002, 用于指示A端采用的密鑰及加密算法;在PRACK-200方式中,A端向B端發(fā)送PRACK消息, B端發(fā)送2000K消息,所述PRACK消息和2000K消息中均攜帶用于指示密鑰及加密算法的 Crypto頭域,分別如圖11中的1101和1102所示。上述各實施例利用新增Crypto頭域進行加密算法及密鑰協(xié)商,從而不需要擴展當前的流程,無需引入第三方流程,降低了流程的復(fù)雜度。另外,上述實施例中,對SIP消息的部分內(nèi)容加密,這里所述的部分內(nèi)容是指SIP 消息的消息體,對SIP消息中的攜帶身份信息的字段則不加密,這就使得SIP消息通過SIP 中間節(jié)點時不需要加密解密處理,因此不需要TLS握手流程。減少了加、解密處理時間,在 節(jié)點較多的網(wǎng)絡(luò)情況下,效果尤其明顯。針對上述方法,本發(fā)明實施例還提供了一種會話信息交互裝置,圖12示出了該 會話信息交互裝置的一種結(jié)構(gòu)形式,如圖所示,該裝置包括加密協(xié)商單元1201、加密單元 1202和會話信息收發(fā)單元1203 ;其中加密協(xié)商單元1201,用于與對端進行加密協(xié)商,確定密鑰及加密算法;加密單元1202,用于利用所述密鑰及加密算法對會話信息的消息體進行加密;會話信息收發(fā)單元1203,用于發(fā)送或接收會話信息,所述會話信息中的消息體由 所述密鑰及加密算法進行加密。加密協(xié)商單元1201可以由接收單元1204和應(yīng)答單元1205組成,其中接收單元1204,用于接收會話請求,所述會話請求包括發(fā)送方標識、接收方標識、 發(fā)送方公鑰及第一加密算法;應(yīng)答單元1204,用于發(fā)送會話響應(yīng)信息,所述會話響應(yīng)信息包括接收方公鑰及第 二加密算法。所述第一加密算法和第二加密算法可以相同,也可以不同,具體而言,可以根據(jù)用 戶需求或者網(wǎng)絡(luò)實際運行情況而定。本發(fā)明實施例還公開了一種會話信息交互系統(tǒng),其一種結(jié)構(gòu)形式如圖13所示,該 系統(tǒng)包括至少兩個客戶端1301、1302,所述客戶端1301 (1302)包括加密協(xié)商單元1303、力口 密單元1304和會話信息收發(fā)單元1305。加密協(xié)商單元1303、加密單元1304和會話信息收 發(fā)單元1305的功能,與上述加密協(xié)商單元1201、加密單元1202和會話信息收發(fā)單元1203 的功能基本相同,在此不再贅述。需要說明的是,所述客戶端1301、1302可以是應(yīng)用服務(wù)器、軟交換設(shè)備、背靠背用 戶代理,或代理服務(wù)器,或以上任意組合??梢岳斫?,對于非NGN網(wǎng)絡(luò),代理服務(wù)器就相當于軟交換設(shè)備,B2BUA就相當于應(yīng) 用服務(wù)器,只是在不同的網(wǎng)絡(luò)中稱謂不同而已,其他處理方式完全相同。上述實施例揭示了兩個客戶端之間直接進行會話交互的情景,在一些應(yīng)用環(huán)境 下,客戶端之間不能直接進行信息交互,需要代理服務(wù)器轉(zhuǎn)發(fā)信息,下面以兩個客戶端之間 通過代理服務(wù)器實現(xiàn)本發(fā)明技術(shù)方案為實施例進行說明。圖14示出了會話信息交互系統(tǒng)的另一種結(jié)構(gòu)形式,該系統(tǒng)包括代理服務(wù)器1401 和至少兩個客戶端1402、1403。其中客戶端1402、1403用于通過代理服務(wù)器1401與系統(tǒng)中的其他客戶端進行密鑰協(xié) 商,并在密鑰協(xié)商完成后,利用所述確定的密鑰及加密算法對需要發(fā)送的會話信息的消息 體加密,或者,接收消息體由所述密鑰及加密算法加密的會話信息;代理服務(wù)器1401用于實現(xiàn)所述各客戶端之間的密鑰協(xié)商,以及,轉(zhuǎn)發(fā)來自各客戶端的會話信息,所述會話信息的消息體由所述密鑰及加密算法進行加密。 本說明書中各個實施例采用遞進的方式描述,每個實施例重點說明的都是與其他 實施例的不同之處,各個實施例之間相同相似部分互相參見即可。對于實施例公開的裝置 而言,由于其與實施例公開的方法相對應(yīng),所以描述的比較簡單,相關(guān)之處參見方法部分說 明即可。專業(yè)人員可以理解,結(jié)合本文中所公開的實施例描述的各示例的單元及方法步 驟,能夠以電子硬件、計算機軟件或者二者的結(jié)合來實現(xiàn),為了清楚地說明硬件和軟件的可 互換性,在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟 以硬件還是軟件方式來執(zhí)行,取決于技術(shù)方案的特定應(yīng)用和設(shè)計約束條件。專業(yè)技術(shù)人員 可以對每個特定的應(yīng)用來使用不同方法來實現(xiàn)所描述的功能,但是這種實現(xiàn)不應(yīng)認為超出 本發(fā)明的范圍。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程,是可以 通過計算機程序來指令相關(guān)的硬件來完成,所述的程序可存儲于一計算機可讀取存儲介質(zhì) 中,所述程序在執(zhí)行時,可包括如上述各方法的實施例的流程。其中,所述的存儲介質(zhì)可為 磁碟、光盤、只讀存儲記憶體(Read-Only Memory,ROM)或隨機存儲記憶體(Random Access Memory, RAM)等。對所公開的實施例的上述說明,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。 對這些實施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的,本文中所定義的 一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實施例中實現(xiàn)。因此,本發(fā)明 將不會被限制于本文所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一 致的最寬的范圍。
權(quán)利要求
一種會話信息交互方法,其特征在于,包括與對端進行加密協(xié)商,確定密鑰及加密算法;利用所述確定的密鑰及加密算法對會話信息的消息體加密后,將所述會話信息發(fā)送給對端,或者,接收消息體由所述密鑰及加密算法加密的會話信息。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述加密協(xié)商包括如下步驟接收會話請求,所述會話請求包括發(fā)送方標識、接收方標識、發(fā)送方公鑰及第一加密算法;發(fā)送會話響應(yīng)信息,所述會話響應(yīng)信息包括接收方公鑰及第二加密算法。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于所述會話請求或會話響應(yīng)信息攜帶用于 指示密鑰和加密算法的Crypto頭域。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于所述會話請求是Irwite消息,所述會話 響應(yīng)是ISORing消息,或者,所述會話請求消息是ISORing消息,所述會話響應(yīng)消息是PRACK 消息,或者,所述會話請求消息是PRACK消息,所述會話響應(yīng)消息是2000K消息。
5.一種會話信息交互裝置,其特征在于,包括加密協(xié)商單元,用于與對端進行加密協(xié)商,確定密鑰及加密算法; 加密單元,用于利用所述密鑰及加密算法對會話信息的消息體進行加密; 會話信息收發(fā)單元,用于將所述加密單元加密的會話信息發(fā)送給對端,或者,接收消息 體由所述密鑰及加密算法加密的會話信息。
6.根據(jù)權(quán)利要求5所述的裝置,其特征在于,所述加密協(xié)商單元包括接收單元,用于接收會話請求,所述會話請求包括發(fā)送方標識、接收方標識、發(fā)送方公 鑰及第一加密算法;應(yīng)答單元,用于發(fā)送會話響應(yīng)信息,所述會話響應(yīng)信息包括接收方公鑰及第二加密算法。
7.根據(jù)權(quán)利要求5所述的裝置,其特征在于所述會話請求和會話響應(yīng)信息攜帶用于 指示密鑰和加密算法的Crypto頭域。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于所述會話請求是Irwite消息,所述會話 響應(yīng)是ISORing消息,或者,所述會話請求消息是ISORing消息,所述會話響應(yīng)消息是PRACK 消息,或者,所述會話請求消息是PRACK消息,所述會話響應(yīng)消息是2000K消息。
9.根據(jù)權(quán)利要求5所述的裝置,其特征在于,所述裝置為應(yīng)用服務(wù)器、軟交換設(shè)備、背 靠背用戶代理,或代理服務(wù)器,或以上任意組合。
10.一種會話信息交互系統(tǒng),其特征在于,包括代理服務(wù)器和至少兩個客戶端,其中 所述客戶端用于通過所述代理服務(wù)器與系統(tǒng)中的其他客戶端進行密鑰協(xié)商,并在密鑰協(xié)商完成后,利用所述確定的密鑰及加密算法對需要發(fā)送的會話信息的消息體加密,或 者,接收消息體由所述密鑰及加密算法加密的會話信息;所述代理服務(wù)器用于實現(xiàn)所述各客戶端之間的密鑰協(xié)商,以及,轉(zhuǎn)發(fā)所述會話信息。
全文摘要
本發(fā)明實施例提供一種會話信息交互方法、裝置及系統(tǒng),所述方法包括與對端進行加密協(xié)商,確定密鑰及加密算法;發(fā)送或接收會話信息,所述會話信息的消息體由所述密鑰及加密算法進行加密。本發(fā)明的實施例中,客戶端通過接收、發(fā)送包括密鑰和加密算法內(nèi)容的會話請求和會話響應(yīng)信息,與交互的對端進行了加密協(xié)商,無需引入第三方流程,降低了加密流程的復(fù)雜度,并且,只對會話信息中的消息體進行加密,使得會話信息在網(wǎng)絡(luò)中傳播時,中間節(jié)點不需要對會話信息進行加密、解密處理,節(jié)約了傳播時間。
文檔編號H04M7/00GK101800734SQ20091000692
公開日2010年8月11日 申請日期2009年2月9日 優(yōu)先權(quán)日2009年2月9日
發(fā)明者丁誠, 任潛, 俞逖, 張雪雯, 涂昕東, 謝競 申請人:華為技術(shù)有限公司