[发明专利]IP分组网中VoIP多层加密方法及系统

权利要求书

1.一种IP分组网中VoIP多层加密方法，其特征在于，包括以下步骤：

第一终端和第二终端分别与内部数据网内对应的虚拟专网网关建立虚拟专网通道并形成网络层安全隧道；所述网络层安全隧道用于将终端与内部数据网内设备交互的所有数据在终端与对应的虚拟专网网关之间进行网络层安全保护传输；

所述第一终端和第二终端分别与内部数据网内的SIP服务器建立安全关联，形成内层SIP信令传输隧道；所述内层SIP信令传输隧道用于将对应终端与SIP服务器之间交互的所有SIP控制信令在终端与SIP服务器之间进行传输层安全保护传输；

通过所述网络层安全隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行网络层安全保护，并通过内层SIP信令传输隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行传输层安全保护；

所述第一终端发起对第二终端的VoIP通信，使用SIP控制信令进行呼叫接续流程，建立RTP层安全连接，形成内层VoIP数据端到端隧道；所述内层VoIP数据端到端隧道用于对所述第一终端和第二终端之间的通信内容进行RTP层安全保护传输；

分别通过所述网络层安全隧道和内层VoIP数据端到端隧道对所述第一终端和第二终端之间的通信内容进行网络层和RTP层安全保护传输。

2.如权利要求1所述的方法，其特征在于，所述虚拟专网为IPSec虚拟专网或L2TP over IPSec虚拟专网。

3.如权利要求2所述的方法，其特征在于，所述虚拟专网为IPSec虚拟专网，所述通过所述网络层安全隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行网络层安全保护，并通过内层SIP信令传输隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行传输层安全保护的步骤具体为：

终端将SIP控制信令发送出去前，先在UDP层或TCP层对SIP控制信令进行传输层加密，形成加密后的UDP包或TCP包；

将所述加密后的UDP包或TCP包封装成IP报文，并通过所述网络层安全隧道传输至对应的虚拟专网网关；

虚拟专网网关将从所述网络层安全隧道中收到的IP报文，通过内部数据网的底层承载发送至SIP服务器；

所述SIP服务器在传输层对所述加密后的UDP包或TCP包进行解密，得到SIP控制信令。

4.如权利要求2所述的方法，其特征在于，所述虚拟专网为IPSec虚拟专网，所述分别通过所述网络层安全隧道和内层VoIP数据端到端隧道对所述第一终端和第二终端之间的通信内容进行网络层和RTP层安全保护传输的步骤具体为：

终端将通信内容发送出去前，先在RTP层对通信内容进行SRTP加密，形成加密后的RTP包；

将所述加密后的RTP包封装成IP报文，并通过所述网络层安全隧道传输至对应的虚拟专网网关；

所述虚拟专网网关将从所述网络层安全隧道中收到的IP报文，通过内部数据网的底层承载发送至对方终端对应的虚拟专网网关；

所述对方终端对应的虚拟专网网关将收到的IP报文，通过所述网络层安全隧道传输至所述对方终端；

所述对方终端从所述网络层安全隧道中收到所述IP报文，在RTP层进行解密得到所述通信内容。

5.如权利要求2所述的方法，其特征在于，所述虚拟专网为L2TP over IPSec虚拟专网，所述通过所述网络层安全隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行网络层安全保护，并通过内层SIP信令传输隧道对所述第一终端和第二终端与SIP服务器之间的SIP控制信令进行传输层安全保护的步骤具体为：

终端将SIP控制信令发送出去前，先在UDP层对SIP控制信令进行传输层加密，形成加密后的UDP包；

将所述加密后的UDP包依次封装IP头和PPP头形成PPP帧；

将所述PPP帧通过所述网络层安全隧道传输至对应的虚拟专网网关；

虚拟专网网关将从所述网络层安全隧道中收到的PPP帧的PPP头去掉，并将留下的加密后的UDP包和IP头重新封装，通过内部数据网的底层承载发送至SIP服务器；

所述SIP服务器在传输层对所述加密后的UDP包进行传输层解密，得到SIP控制信令。