[发明专利]一种用于VoIP的实时数据加密传输方法

说明书

技术领域

本发明涉及一种实时数据加密传输方法，尤其涉及一种用于VoIP（Voice over Internet Protocol）的实时数据加密传输方法，属于数字网络技术领域。

背景技术

随着网络技术的发展，一种基于IP网络的语音传输技术—VoIP越来越得到广泛应用。VoIP的实质是将模拟声音讯号(Voice)数字化，以数据封包(Data Packet)的型式在 IP 数据网络 (IP Network)上做实时传递。作为IP网络中的一种特殊流量，语音数据不但会遇到IP网络数据常见的病毒安全威胁，而且还面临着其特有的一些安全问题，例如通话干扰、窃听、话费欺诈、拒绝服务等。因此，对实时数据进行加密传输也就成为了VoIP服务的必然选择。

众所周知，根据不同算法在第三方未知其加密密钥的情况下对其密文进行破译所付出的代价不同，数据加密方法通常可分为强加密方法和弱加密方法。所谓强加密方法就是采用分组密码或与公钥密码结合的加密方式，例如RSA加密算法，它是一种非对称加密算法，加/解密密钥不同。其基于大数的因式分解，出于安全性考虑，密钥长度很大（现在多用1024位以及2048位），因此破解代价很大，而且可以同时用于数字签名和数据加密，但缺点主要是密钥生成复杂，代价过大，加密速度比对称加密算法慢几个数量级，因而普遍用于身份识别。所谓弱加密方法是指仅对数据进行简单的运算的加密方法，例如AES（Advanced Encryption Standard，高级加密标准）算法，它是一种用于替代DES的加密算法，采用128位对称密钥，通过多轮循环对数据进行加密，应用时主要针对数据加密。由于VoIP的特殊性，其对数据传输的实时性要求极高，这就与安全性产生了矛盾。当采用强加密方法时，固然可以带来较高安全性，但随之而来的却是复杂昂贵的硬件配置、系统性能的下降以及语音延迟等问题；采用弱加密方法可以解决上述问题，但其安全性确又得不到充分保证。因此，在VoIP服务中采用混合密钥加密技术成为目前的研究热点。所谓混合密钥加密技术是指采用两种以上加密算法，通常会使用一种相对较弱的算法对实际数据进行加密，同时使用一种更强的算法将数据加密时所使用的密钥加密后传递给通信的另一方以实现以使用动态密钥为前提的安全数据通信。

在VoIP通信时必须要对三个部分的安全加以考虑，第一是确认通信数据是由当前通信的另一方所发出而非第三方伪造，即实现身份数字签名；第二是确认在传输过程中的数据包未被第三方所修改，即实现篡改检测；第三是必须保证数据发送后被截获时第三方必须难以破译数据内容，即实现数据加密。传统的混合密钥加密技术虽然在一定程度上提高通信安全性，但其只针对了密钥的安全性问题，而未能实现VoIP所需要的身份识别-篡改检测-数据加密体系，无法完全适应VoIP安全性需求，同时也无法针对VoIP的实时性提供有效保障。

发明内容

本发明所要解决的技术问题在于克服传统混合密钥加密技术应用于VoIP服务所存在的不足，提供一种用于VoIP的实时数据加密传输方法，该方法在传统混合密钥加密技术上进行改进，从而在数据传输的安全性及实时性方面取得较佳的平衡。

本发明采用以下技术方案：

一种用于VoIP的实时数据加密传输方法，包括：

通信建立阶段：

双方保存有对方用于身份认证以及初始通信时的RSA公钥；通信发起方生成用于通信数据传输阶段的至少包含AES密钥的AES加密信息，并将生成的AES加密信息使用通信发起方的通信用RSA私钥进行RSA加密，生成通信信息的数据部分；然后用通信发起方的签名用RSA私钥对该通信信息的数据部分进行数字签名，生成通信信息数据包，并将该通信信息数据包发送给通信响应方； 

通信响应方收到通信信息数据包后，首先使用存储的通信发起方的签名用RSA公钥进行通信信息数据包的签名的确认，签名确认通过之后使用存储的发送方的初始通信时的RSA公钥对通信信息数据包的数据部分解密，得到用于通信数据传输阶段的至少包含AES密钥的AES加密信息并记录，然后向通信发起方发送经数字签名的确认数据包，之后双方转入通信数据传输阶段；

通信数据传输阶段：

在通信过程中，任何一方发送数据时首先根据AES加密信息将要发送的原始数据

进行加密，生成发送数据包的数据部分，然后对其进行封装，生成发送数据包，对发送数据包进行数字签名后发送；通信响应方对收到的数据包进行身份确认无误后，根据AES加密信息对数据部分进行解密，得到原始数据。

作为进一步改善的技术方案，所述根据AES加密信息将要发送的原始数据进行加密，按照以下方法：