將sip信令用于量子安全通信系統的方法、綜合接入量子網關及系統的制作方法
【技術領域】
[0001] 本發明涉及量子通信技術領域,尤其涉及一種將SIP信令用于量子安全通信系統 中的方法和綜合接入量子網關及量子安全通信系統。
【背景技術】
[0002] 會話初始協議SIP (Session Initiation Protocol)是一個在IP網絡上進行多媒 體通信的應用層控制協議,它被用來創建、修改和終結一個或多個參加者參加的會話進程。 SIP協議可用于發起會話,也可以用于邀請成員加入已經用其它方式建立的會話。
[0003] SIP會話建立至會話終結的正常流程如圖1所示:
[0004] 1.用戶摘機發起一路呼叫,SIP終端A向SIP服務器發送Invite請求;
[0005] 2. SIP服務器向SIP終端B轉發Invite請求;
[0006] 3. SIP服務器向SIP終端A發送呼叫處理中的應答消息,100 Trying ;
[0007] 4. SIP終端B向SIP服務器發送呼叫處理中的應答消息,100 Trying ;
[0008] 5. SIP終端B指示被叫用戶振鈴,用戶振鈴后,向SIP服務器發送180 Ringing振 鈴消息;
[0009] 6. SIP服務器向SIP終端A轉發被叫用戶振鈴消息(180 Ringing);
[0010] 7.被叫用戶摘機,SIP終端B向SIP服務器發送表示連接成功的應答(200 0K);
[0011] 8. SIP服務器向SIP終端A轉發該成功指示(200 0K);
[0012] 9. SIP終端A收到消息后,向SIP服務器發送ACK消息進行確認;
[0013] 10. SIP服務器將ACK消息轉發至SIP終端B ;
[0014] 11.主、被叫用戶之間建立通信連接,開始通話;
[0015] 12.用戶通話結束后,用戶掛機(以被叫用戶掛機為例),SIP終端B向SIP服務 器發送Bye消息;
[0016] 13. SIP服務器轉發Bye消息至SIP終端A ;
[0017] 14.主叫用戶掛機后,SIP終端A向SIP服務器發送確認掛斷響應消息200 OK ;
[0018] 15. SIP服務器轉發響應消息200 OK至SIP終端B。
[0019] 使用SIP協議建立會話后,業務數據在SIP客戶端之間直接傳輸。為保證客戶端之 間的業務數據的安全性,目前一般的方法是對業務數據使用經典密碼算法,例如使用AES、 DES算法對業務數據進行加解密。但這些經典密碼算法是以數學為基礎的密碼體制,其安全 性基于數學算法的計算復雜度,不能保證密鑰的無條件安全。隨著現今計算能力的提升和 數學的進步,依賴于計算復雜度的經典密碼算法正受到日益嚴重的威脅。
[0020] 上世紀八十年代以來,量子物理與信息技術相結合,開拓了與經典方式具有本質 區別的全新的信息處理和通信方式,一門新興的學科--量子信息科學--正在迅猛發 展,成為近年來物理學和信息科學領域最活躍的研究前沿之一。
[0021] 不同于經典信息,量子信息的基本單元是量子比特,操控量子信息必須遵從量子 物理的規律。量子通信技術通過傳輸和處理量子比特,在通信安全性、增大信道容量等方面 都可以突破傳統通信技術的極限,對于未來信息通信技術和信息安全技術的發展具有革命 性的影響。
[0022] 目前,實用化的量子通信技術通過傳輸單光子來進行量子狀態的傳遞,從而實現 量子密鑰分發(QKD),并完成安全通信。原理上,對QKD過程的任何竊聽都必然會被發現。 以常用的光量子通信方案為例,量子信息由單光子的量子狀態承載;而單光子是光能量變 化的最小單元,也可以說是組成光的最基本單元,已不可再分,竊聽者不能通過分割光子來 竊聽信息;"量子不可復制原理"決定了未知單光子狀態不能被精確復制,因此竊聽者也不 能通過截獲并復制光子狀態來竊聽信息;"海森堡測不準原理"則決定了對未知單光子狀態 的測量必然會對其狀態產生擾動,通信者就可以利用這一點發現竊聽。因此,QKD過程所產 生的密鑰具有理論上的無條件安全性。
[0023] 本專利探索將實用化的量子通信技術與SIP信令業務系統相結合,充分發揮量子 通信技術在密鑰分發和安全通信方面的優勢,增強現有SIP信令業務系統的通信安全性。
【發明內容】
[0024] 本發明將實用化的量子通信技術與SIP信令業務系統相結合,并以SIP信令業務 為基礎,將多種業務類型轉化為SIP信令業務,并對各種業務數據使用量子密鑰進行加解 密,保證業務數據傳輸的高度安全性。
[0025] 本發明一方面,提供一種將SIP信令用于量子安全通信系統的方法,包括如下步 驟:
[0026] 第一,系統初始化,在SIP服務器中配置業務終端與量子網關的對應關系;
[0027] 第二,SIP服務器接收主叫方量子網關發送來的INVITE消息,根據配置改寫 INVITE消息,加入主叫方量子網關ID和被叫方量子網關ID,并將改寫后的INVITE消息轉 發給被叫方量子網關;
[0028] 第三,被叫方量子網關接收所述INVITE消息,根據INVITE消息中的量子網關ID 得到與主叫方量子網關間共享的量子密鑰;
[0029] 第四,SIP服務器接收被叫方量子網關發送的用于響應所述INVITE消息的200 OK 消息后,根據配置改寫200 OK消息,加入主叫方量子網關ID和被叫方量子網關ID,并將改 寫后的200 OK消息轉發給主叫方量子網關;
[0030] 第五,主叫方量子網關接收所述200 OK消息,根據200 OK消息中的量子網關ID 得到與被叫方量子網關間共享的量子密鑰;
[0031] 第六,主叫方業務終端和被叫方業務終端,分別通過主叫方量子網關和被叫方量 子網關,利用所述共享的量子密鑰對業務數據進行加解密,實現業務終端間業務數據的安 全傳輸。
[0032] 優選地,所述根據配置改寫INVITE消息的方法為:重寫INVITE消息中FROM頭域 的username字段,加入主叫方量子網關ID和被叫方量子網關ID。
[0033] 優選地,所述根據配置改寫200 OK消息的方法為:重寫200 OK消息中FROM頭域 的username字段,加入主叫方量子網關ID和被叫方量子網關ID。
[0034] 優選地,所述根據配置改寫INVITE消息或200 OK消息,加入主叫方量子網關ID 和被叫方量子網關ID的方法為:在SIP信令的TO頭域或者CONTACT頭域中添加。
[0035] 優選地,所述業務數據可以為視頻電話、IP電話、傳真機、普通電話、多媒體終端等 的業務數據。
[0036] 進一步地,所述第六步驟具體為:
[0037] 主叫方業務終端發出業務數據,主叫方量子網關接收業務數據后進行協議轉換, 根據量子網關ID,使用與被叫方量子網關間共享的量子密鑰對經過協議轉換的業務數據進 行加密成為密文,密文通過網絡傳輸給被叫方量子網關;
[0038] 被叫方量子網關根據量子網關ID,使用與主叫方量子網關間共享的量子密鑰對密 文進行解密,解密后的業務數據在被叫方量子網關內進行協議轉換后,傳輸給被叫方業務 終端。
[0039] 本發明另一方面,提供一種綜合接入量子網關,用于將業務終端間的多種通信業 務接入量子安全通信系統中,并實現業務終端間的安全通信,該量子網關包括接入系統和 密鑰管理系統,其中接入系統包含業務接入模塊、協議解析模塊及信令處理模塊;密鑰管理 系統包含密鑰存儲模塊與數據加解密模塊,其特征在于:
[0040] 密鑰存儲模塊,用于接收量子密鑰分發系統生成的量子密鑰并按照量子網關ID 進行存儲,根據數據加解密模塊的申請向其發送對應的量子密鑰;
[0041] 業務接入模塊,用于接入業務終端的業務,進行SIP信令封裝和/或業務數據協議 轉換,將SIP信令及業務數據在業務終端與協議解析模塊之間進行傳輸;
[0042] 協議解析模塊,用于實現SIP信令及各種業務數據協議的解析,將從業務接入模 塊獲取的SIP信令發送至信令處理模塊;在發送端,從由信令處理模塊獲取的用于響應 INVITE消息的200 OK消息中獲取量子網關ID,將該200 OK消息拆封量子網關ID后發送 至業務接入模塊,將從業務接入模塊獲取的業務數據封裝量子網關ID及業務類型后發送 至數據加解密模塊;在接收端,從由信令處理模塊獲取的INVITE消息中獲取量子網關ID, 將該INVITE消息拆封量子網關ID后發送至業務接入模塊,將從數據加解密模塊獲取的業 務數據拆封量子網關ID及業務類型后發送至業務接入模塊;
[0043] 信令處理模塊,用于實現SIP服務器與協議解析模塊之間SIP信令的轉發;
[0044] 數據加解密模塊,用于在發送端,從協議解析模塊接收業務數據,按照量子網關 ID,從密鑰存儲模塊獲取量子密鑰,并對業務數據進行加密操作后,發送到對端綜合接入量 子網關的數據加解密模塊;在接收端,接收對端綜合接入量子網關發送的業務數據密文,按 照量子網關ID,從密鑰存儲模塊獲取量子密鑰,并對業務數據密文進行解密操作后,發送到 協議解析模塊。
[0045] 本發明又一方面,提供一種量子安全通信系統,該系統包括SIP服務器、量子密鑰 分發系統、所述綜合接入量子網關,用于實現所述將SIP信令用于量子安全通信系統的方 法;其中的量子密鑰分發系統,用于為主叫方綜合接入量子網關和被叫方綜合接入量子網 關提供共享的量子密鑰。
[0046] 可選地,所述量子密鑰分發系統集成在所述綜合接入量子網關中。
[0047] 本發明通過上述技術方案,可以得到如下技術效果:
[0048] 本發明針對當前廣泛應用的SIP系統,結合量子通信技術,在修改少量SIP協議指 令字段的基礎上添加量子網關ID信息,以便量子網關能夠正確識別和使用共享的量子密 鑰,為SIP系統的業務數據提供加解密服務,充分保障了業務數據的安全性,實