[发明专利]IP分组网中VoIP多层加密方法及系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种IP分组网中VoIP多层加密方法及系统。

背景技术

通信网络在网络层实现全IP化的趋势已经非常明显。在网络层以下，固定网络和移动网络以一个异构并存的方式在共同发展。用户可以使用手机、PC、WIFI终端或其他IP接入设备，与商业3G/4G移动通信网、Internet网络、无线本地网络或专用无线网络等IP分组通信网连接起来，远程接入内部数据网络进行VoIP（Voice over Internet Protocol）通信，满足用户移动语音通信需求。

VoIP的实质是将模拟声音信号数字化，以数据封包的形式在IP数据网络上做实时传递。用户移动接入VoIP通信场景中，VoIP数据包需要在IP分组网络中传输，VoIP通信的安全性变得尤为重要。目前主要用两种方式进行VoIP安全保护：IPSec协议和安全实时传输协议（Secure Real-time Transport Protocol，SRTP）。

IPSec协议作为IP网络中普遍应用的安全协议，其可以为VoIP通信提供透明的安全服务，保护VoIP通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击。

此外，为了提供一种策略满足VoIP的安全，SRTP应运而生。SRTP，即安全实时传输协议，是在实时传输协议的基础上所定义的一个协议，旨在为单播和多播应用程序中的实时传输协议的数据提供加密、消息认证、完整性保护和重放保护。MIKEY是一种密钥交换协议，通信双方可以通过协议来协商SRTP协议所需要的会话密钥和各种算法参数。最近对VoIP的安全研究主要集中在SRTP和密钥交换协议的 安全增强方面。专利申请号201110056214.7的发明描述了一种通过扩展MIKEY协议实现VoIP媒体流可信传输的方法，该方法利用MIKEY密钥交换协议已有的数据结构传递通信双方的平台状况信息，实现了可信计算的远程证明技术紧密地融入到MIKEY密钥交换技术，确保平台状况信息和安全信道的真实连接。专利申请号201110047621.1的发明提出了一种用于VoIP的实时数据加密传输方法。该方法使用一种改进的AES加密方法，并对传统混合密钥加密技术进行改进，根据需要灵活地在数据传输的安全性与实时性之间做出最佳的权衡。

上述的现有技术有如下的缺陷：

网络层IPSec或应用层SRTP安全协议都可以实现VoIP通信的机密性、完整性、防重放、数据源认证等安全功能，防止VoIP通信遭窃听、篡改和中间人攻击，但保护效果都存在不足。

IPSec协议可以对IP头、UDP头、RTP头和语音净荷进行加密保护，但IPSec保护的SIP控制信令和语音媒体流在终端操作系统解密后，可能明文存储于RTP缓存中。一旦攻击者利用此漏洞对缓存中的VoIP数据和SIP控制信令实施窃听和篡改攻击，将会引起信息泄密。

SRTP协议针对语音实时业务特点设计，提供语音的端到端安全保护，但保护功能比较弱。它只能提供对语音净荷的加密保护。VoIP包的IP头和UDP头全部暴露在外部，攻击者截获VoIP包后，很容易分析出语音包的主叫媒体流和被叫媒体流IP地址和UDP端口这可能为进一步攻击提供有用信息。

VoIP安全研究论文和专利主要集中在安全协议增强方面。但对SRTP或IPSec协议进行改进或增强并不能解决上述提到的保护效果问题。使用单一的应用层或网络层安全协议对VoIP通信进行保护都是不够的。为充分利用各种安全协议的优点，应将多种安全协议结合使用对VoIP通信提供安全保护。

发明内容

（一）要解决的技术问题

本发明要解决的技术问题是：提供一种安全性更高的IP分组网中VoIP多层加密方法。

（二）技术方案

为解决上述问题，一方面，本发明提供了一种IP分组网中VoIP多层加密方法，其特征在于，包括以下步骤：

第一终端和第二终端分别与内部数据网内对应的虚拟专网网关建立虚拟专网通道并形成网络层安全隧道；所述网络层安全隧道用于将终端与内部数据网内设备交互的所有数据在终端与对应的虚拟专网网关之间进行网络层安全保护传输；

所述第一终端和第二终端分别与内部数据网内的SIP服务器建立安全关联，形成内层SIP信令传输隧道；所述内层SIP信令传输隧道用于将对应终端与SIP服务器之间交互的所有SIP控制信令在终端与SIP服务器之间进行传输层安全保护传输；