[发明专利]一种VOIP系统中语音穿透防火墙的方法

说明书

技术领域

本发明涉及一种VOIP系统中语音穿透防火墙的方法，属于实现网络通讯技术的技术领域，特别涉及一种解决由于VOIP通讯系统的承载网络存在不可控制的语音防火墙设置而导致语音通讯不正常问题的解决方法的技术领域。

背景技术：

VOIP通讯技术的一个主要特色是控制与承载分离(VoIP是Voice over Internet Protocol的缩写，指的是将模拟的声音讯号经过压缩与封包之后，以数据封包的形式在IP网络的环境进行语音讯号的传输，通俗来说也就是互联网电话、网络电话或者简称IP电话的意思。)因此在实际的VOIP系统应用部署中绝大部分是利用用户现有的网络资源作为VOIP系统的承载网络。对于有VOIP电话远程互通需求的VOIP用户，其往往是租用其他网络运营商的网络实现的。但是网络运营商的网络应用环境一般较为复杂，譬如：有些网络运营商为了网络的安全稳定或其他目的会在其网络的接入点设置防火墙，以限制某些对网络带宽消耗较大的应用或某些特定网络应用的数据流。针对VOIP应用，有极少数网络运营商就会在其网络中部署语音防火墙以限制VOIP数据传输(如图1)。

常见的语音防火墙原理如下：

1、通过分析VOIP通讯过程中的SIP的信令会话，获得参与通讯的双方的在通讯过程中将要使用的网络地址，然后对发自或发往这些地址的数据包进行丢弃，篡改或伪造，致使通讯无法正常进行(如图2所示)。

2、通过分析数据包，根据语音数据包的特征，确定参与语音通讯双方的网络地址，然后对发自这些地址数据包进行丢弃，篡改或伪造，致使通讯无法正常进行(如图3所示)。

发明内容

本发明针对现有技术提供了一种VOIP系统中语音穿透防火墙的方法，使得现有的语音防火墙无法通过分析VOIP信令或VOIP语音数据包的特征来确定参与语音通讯的终端的网络地址，从而实现使语音防火墙无法正常工作，进而保证语音通讯正常进行的目的。

为达到所述的目的本发明采用的方法是：

一种VOIP系统中语音穿透防火墙的方法，其中IP终端通过配置界面决定是否启动加密协商机制；当该加密协商机制生效时，IP终端连接VOIP服务器通过加密机制获得加密的密钥，并对自身发出的信令数据包利用该加密机制进行加密；接收报文的终端通过所述的加密协商机制识别接收到的报文是否加密，若收到的报文是加密的，对加密报文利用所述的加密机制进行解密处理，相应的，该接收报文的终端发出的报文利用所述的加密机制进行加密后发出；

所述的加密协商机制遵循如下规则：

(a)、对于发起呼叫的终端根据终端的加密配置决定发起的呼叫是否启用加密机制；若终端被配置为加密的，则呼叫过程使用加密机制，否则呼叫过程不使用加密机制；

(b)、对于接受呼叫的终端根据收到的呼叫请求报文的加密标示确定接收到的呼叫其后续过程是否需要加密；若接受到的呼叫请求报文有加密标示，则呼叫过程使用加密机制，否则呼叫过程不使用加密机制；

(c)、当发起或接受呼叫的终端确定使用加密机制时，其发出SIP信令的SDP携带a＝x-encrypt：on属性加密标示，否则携带a＝x-encrypt属性加密标示；

(d)、当发起或接受呼叫的终端收到SIP信令的SDP报文中携带a＝x-encrypt：on属性加密标示，则终端确定本次通话的语音使用加密机制，否则不使用加密机制；

所述的加密机制包括信令加密/解密过程，语音加密/解密过程和密钥获取机制。

该信令加/解密过程的加密过程为：

第一步、终端使用密钥获取机制获得加密密钥，对将要发出的SIP报文以字节为单位，依报文字节的先后顺序，对奇数位的字节和偶数位的字节分别使用不同的加密密钥按字节执行加密算法Dm＝Do XOR De；其中Dm为密文字节，Do为明文字节，De为密钥字节；

第二步、对经过第一步处理的SIP报文加插报文头，使所述的报文按字节顺序依次包括加密标示，密文长度和密文三部分；

所述的加密标示为两个字节，指示该报文是加密报文，为固定值，第一字节为十六进制数EF，第二字节为十六进制数FE；

所述的密文长度为两个字节，标示密文的长度；

所述的密文为经过该加密算法处理的SIP报文；

该信令加/解密过程的解密过程为：