专利名称:在ip视频会议系统中进行密文传输的方法
技术领域:
本发明涉及IP(Internet Protocol)视频会议领域,尤其涉及在视频会议系统中进行密文传输的技术。
背景技术:
随着视频会议产品的广泛应用,视频会议产品的应用环境也发生了很大的变化,以前的视频会议系统主要用于专网环境,信息安全问题还不突出,现在已经出现了公网环境下应用的IP视频会议系统,因此,如何保障IP视频会议系统的信息安全,防止黑客入侵IP视频会议系统而导致重要的商业秘密被窃取成为视频会议市场的客户和厂商关注的焦点问题之一。
现有的IP视频会议加密系统解决方案采用内嵌密码功能模块的方法提供视频、语音、数据加/解密功能。现有的外置的会议电视加密系统是一种用于专线组网的ITU-T H.320标准的视频会议系统的视频会议加密系统,并不适合于基于包交换的ITU-T H.323等标准的视频会议系统。
在IP视频会议产品中内嵌密码功能模块的缺点在于只能在特定厂商、特定产品中添加密码功能,难以对现有的IP视频会议系统进行升级从而引入密文传输功能,特别是在多厂商多种产品系列的视频会议设备共同组网的情况下,更是难以引入密文传输功能,无法保障IP视频会议系统的信息安全。
现有的外置的会议电视加密系统不能为IP视频会议系统提供数据的加密传输功能。
其他的加密传输方法或设备如VPN,加密传输的对象为IP层数据包,并不能解决IP视频会议系统的端到端的信息安全问题。
发明内容
本发明的目的是为了克服了现有技术中内嵌密码功能模块提供视频、语音、数据密文传输难以对现有IP视频会议系统进行升级,难以在由多家厂商的IP视频会议装置共同构成的IP视频会议系统中进行IP视频会议密文传输等缺陷,提出一种在IP视频会议系统中进行密文传输的方法。
本发明是一种在IP视频会议系统中进行密文传输的方法,所述IP视频会议系统包括多台接入通信网络的IP视频会议装置,每台IP视频会议装置和通信网络之间通过IP视频会议系统密码装置连接;IP视频会议系统密码装置通过明文网络口与所述IP视频会议装置连接,通过密文网络口与通信网络连接;传输方法为1.1源方的IP视频会议密码装置从明文口接收源方IP视频会议系统发出的数据包,从中识别出视频会议的媒体流,对视频会议的媒体流数据——媒体流明文,包括视频、语音、数据,使用确定的密码算法和密钥进行加密处理,获得媒体流密文;1.2源方的IP视频会议密码装置对加密处理后的媒体流数据,使用与该媒体流相同的传输包头封装后通过密文口传送给通信网络;对所有其他的数据包,不更改该数据包任何信息,包括链路层信息,直接通过通信网络进行透明传输;1.3目的方的IP视频会议密码装置从与通信网络相连的密文口接收到目的地为IP视频会议装置的数据包,识别出视频会议的媒体流,对媒体流密文,使用确定的密码算法和密钥进行解密处理,获得媒体流明文;1.4目的方的IP视频会议密码装置对解密处理后的媒体流明文,使用与该媒体流相同的传输包头封装该媒体流明文,从明文口传输给目的方的IP视频会议装置;对所有其他的目的地为IP视频会议装置的数据包,不更改该数据包任何信息,包括链路层信息,直接从明文口透明传输给IP视频会议装置。
在上述方案中,步骤1.1和步骤1.3中的识别视频会议的媒体流,是通过识别IP视频会议的媒体流承载协议,即实时传输协议RTP(Real-time TransportProtocol)进行识别的,也可以通过IP视频会议密码装置之间自有协议进行识别。
IP视频会议密码装置使用的密码算法和密钥可以通过静态预置或IP视频会议密文传输系统自有协议以动态协商的方式确定,如果是通过动态协商的方式确定,IP视频会议密文传输系统的自有协议数据包采用与视频会议系统合法的数据通道,如媒体流通道或视频会议系统的信令通道相同的传输包头进行封装,从IP视频会议密码装置与通信网络相连的密文口通过通信网络进行通信,确定密码算法和密钥,然后再对该媒体流数据包进行加密处理。
在本发明中,如果媒体流密文的长度+传输包头长度的总长度大于最大传输单元MTU(Maximum Transmission Unit),则定义IP视频会议密码装置之间媒体流密文分片重组协议,对该媒体流密文进行数据包分片传输,IP视频会议密文传输系统的数据包分片重组协商协议采用与媒体流明文相同的传输包头进行传输;对接收到的媒体流密文分片包,则使用IP视频会议密码装置之间数据包分片重组协议,对该媒体流密文先进行数据包重组,然后进行解密处理。
本发明,与现有技术相比,可以在IP视频会议系统中进行视频、语音、数据的密文传输,不仅可用于新开发的IP视频会议系统,也可用于对原有IP视频会议系统的升级,还适用于多厂商的产品共同组建IP视频会议系统,从而可以适用于所有的IP视频会议系统,达到了在IP视频会议系统透明引入视频、语音、数据的密文传输的效果,提高了IP视频会议密文传输系统在各种IP视频会议系统的适应能力。
图1是一般IP视频会议系统结构示意图;图2是本发明中的IP视频会议密文传输系统结构示意图;图3是IP视频会议系统密码装置结构图;图4是本发明的流程图;具体实施方式
下面结合附图对本发明作进一步的详细描述。
如图1所示,一般的IP视频会议系统由多个IP视频会议装置1、2、3、4通过网络接入路径接入通信网络6组成。IP视频会议系统通过IP数据包作为视频会议信令和媒体流的传输承载层。IP视频会议装置1、2、3、4可以是基于处理器的专用的IP视频会议装置或是其他计算机系统和应用装置。
如图2所示,是IP视频会议密文传输系统示意图。多个IP视频会议密码装置11、22、33、44分别透明置于多个IP视频会议装置1、2、3、4前端,通过接入路径接入通信网络6构成。源IP视频会议密码装置对来自源IP视频会议装置的媒体流明文,包括视频、语音、数据进行加密处理后,得到媒体流密文,然后使用与媒体流相同的传输包头从IP视频会议密码装置与通信网络6相连的密文口通过通信网络传输媒体流密文,目的IP视频会议密码装置对来自通信网络6的IP视频会议媒体流,包括视频、语音、数据进行解密处理,得到媒体流明文,然后使用与媒体流相同的传输包头从IP视频会议密码装置与IP视频会议装置相连的明文口将媒体流明文传输给IP视频会议装置;此外,对其他的任何数据包,源和目的IP视频会议密码装置不更改该数据包任何信息,包括链路层信息,进行透明转发;对IP视频会议密码装置之间所有的自有协议也使用与媒体流相同的传输包头从IP视频会议密码装置与通信网络6相连的密文口通过通信网络进行传输。
图3是IP视频会议系统密码装置结构图。IP视频会议密码装置可包括处理器51、密码引擎52、系统存储器53、明文网络口54、密文网络口55、非易失性电子存储装置(FLASH)56、BIOS 57、这些装置通过总线58相连。密码引擎52用于对IP视频会议媒体流进行加/解密,处理器51用于控制密码引擎52,明文网络口54与IP视频会议装置连接,密文网络口55与通信网络连接。在本发明的一个实施例中,密码引擎可以包含在处理器中,或者使用软件实现。
现结合图2和图3说明IP视频会议密文传输系统的数据处理流程。假设存在一条从IP视频会议装置1流向IP视频会议装置2的视频会议媒体流,则IP视频会议装置1为源IP视频会议装置、IP视频会议密码装置11为源IP视频会议密码装置,IP视频会议装置2为目的IP视频会议装置、IP视频会议密码装置22为目的IP视频会议密码装置。IP视频会议密码装置11截获IP视频会议装置1发出的视频会议媒体流明文,根据与IP视频会议密码装置22协商确定的对称密码算法和对称密钥进行加密处理,得到媒体流密文,然后使用与媒体流相同的传输包头从IP视频会议密码装置与通信网络6相连的密文口通过通信网络传输视媒体流密文,由IP视频会议密码装置22根据与IP视频会议密码装置11协商确定的对称密码算法和对称密钥解密处理,得到媒体流明文,然后使用与媒体流相同的传输包头从IP视频会议密码装置与IP视频会议装置相连的明文口将媒体流明文传输给IP视频会议装置2。注意密码算法、对称密钥的确定可以采取运行时静态预置或IP视频会议密码装置11、22动态协商的的方式,如果采用动态协商的方式,动态协商协议也要采用与视频会议系统合法的数据通道,如媒体流通道或视频会议系统的信令通道相同的传输包头从IP视频会议密码装置与通信网络6相连的密文口通过通信网络传输。此外,对其他的所有数据包IP视频会议密码装置11、22不更改该数据包任何信息,包括链路层信息,进行透明转发。
图4是本发明的流程图。IP视频会议密文传输系统进行密文传输流程为软件开始处理从IP视频会议密码装置的明文网口截获的IP视频会议装置发出的数据包,如方框62所示;识别IP视频会议媒体流数据包——如菱形框63所示;对非IP视频会议媒体流数据包不更改该数据包任何信息,包括链路层信息——如方框68所示,从IP视频会议密码装置与通信网络相连的密文口发送数据包通过通信网络传输——如方框67所示,即透明转发;对IP视频会议媒体流数据包,确认是否存在确定的密码算法和密钥——如菱形框64所示,如果不存在确定的密码算法和密钥,采用与视频会议系统合法的数据通道,如媒体流通道或视频会议系统的信令通道相同的传输包头封装IP视频会议密文传输系统自有协议数据包,从IP视频会议密码装置与通信网络相连的密文口通过通信网络进行通信,确定密码算法和密钥,然后再对该媒体流数据包进行加密处理——如方框69所示,如果密码算法和密钥已经确定,对视频会议的媒体流数据——媒体流明文,包括视频、语音、数据,使用确定的密码算法和密钥进行加密处理,获得媒体流密文——如方框65所示;使用与该媒体流相同的传输包头封装媒体流密文——如方框66所示;从IP视频会议密码装置与通信网络相连的密文口发送数据包通过通信网络传输——如方框67所示;IP视频会议密码装置从与通信网络相连的密文口拦截到目的地为IP视频会议装置的数据包——如方框71所示;判定是否为视频会议的媒体流——如菱框72所示;如果不是,不更改该数据包任何信息,包括链路层信息——如方框77所示,从IP视频会议密码装置与IP视频会议装置相连的明文口发送数据包——如方框76所示,即透明传输;如果是,判定是否为视频会议的媒体流密文——如菱形框73所示,不是视频会议的媒体流密文,而是IP视频会议密文传输系统的自有协议数据包——如菱形框78、方框79所示,则按照IP视频会议密文传输系统的自有协议进行处理,如果也不是IP视频会议密文传输系统的自有协议数据包则透明转发——如方框77、76所示;如果是视频会议的媒体流密文,则对该媒体流密文,包括视频、语音、数据,使用确定的密码算法和密钥进行解密处理,获得媒体流明文——如方框74所示;使用与该媒体流相同的传输包头封装该媒体流明文——如方框75所示,从IP视频会议密码装置与IP视频会议装置相连的明文口发送数据包——如图76所示。
权利要求
1.一种在IP视频会议系统中进行密文传输的方法,所述IP视频会议系统包括多台接入通信网络的IP视频会议装置,每台IP视频会议装置和通信网络之间通过IP视频会议系统密码装置连接;IP视频会议系统密码装置通过明文网络口与所述IP视频会议装置连接,通过密文网络口与通信网络连接;传输方法为1.1源方的IP视频会议密码装置从明文口接收源方IP视频会议系统发出的数据包,从中识别出视频会议的媒体流,对视频会议的媒体流数据,使用确定的密码算法和密钥进行加密处理,获得媒体流密文;1.2源方的IP视频会议密码装置对加密处理后的媒体流数据,使用与该媒体流相同的传输包头封装后通过密文口传送给通信网络;对所有其他的数据包,不更改该数据包任何信息,包括链路层信息,直接通过通信网络进行透明传输;1.3目的方的IP视频会议密码装置从与通信网络相连的密文口接收到目的地为IP视频会议装置的数据包,识别出视频会议的媒体流,对媒体流密文,使用确定的密码算法和密钥进行解密处理,获得媒体流明文;1.4目的方的IP视频会议密码装置对解密处理后的媒体流明文,使用与该媒体流相同的传输包头封装该媒体流明文,从明文口传输给目的方的IP视频会议装置;对所有其他的目的地为IP视频会议装置的数据包,不更改该数据包任何信息,包括链路层信息,直接从明文口透明传输给IP视频会议装置。
2.权利要求1所述的在IP视频会议系统中进行密文传输的方法,其特征在于,所述步骤1.1和步骤1.3中的识别视频会议的媒体流,是通过识别IP视频会议的媒体流承载协议,即实时传输协议进行识别的,也可以通过IP视频会议密码装置之间自有协议进行识别。
3.权利要求1所述的在IP视频会议系统中进行密文传输的方法,其特征在于,IP视频会议密码装置使用的密码算法和密钥可以通过静态预置或IP视频会议密文传输系统自有协议以动态协商的方式确定,如果是通过动态协商的方式确定,IP视频会议密文传输系统的自有协议数据包采用与视频会议系统合法的数据通道,如媒体流通道或视频会议系统的信令通道相同的传输包头进行封装,从IP视频会议密码装置与通信网络相连的密文口通过通信网络进行通信,确定密码算法和密钥,然后再对该媒体流数据包进行加密处理。
4.权利要求1所述的在IP视频会议系统中进行密文传输的方法,其特征在于,如果媒体流密文的长度+传输包头长度的总长度大于最大传输单元,则定义IP视频会议密码装置之间媒体流密文分片重组协议,对该媒体流密文进行数据包分片传输,IP视频会议密文传输系统的数据包分片重组协商协议采用与媒体流明文相同的传输包头进行传输;对接收到的媒体流密文分片包,则使用IP视频会议密码装置之间数据包分片重组协议,对该媒体流密文先进行数据包重组,然后进行解密处理。
全文摘要
一种在IP视频会议系统中进行密文传输的方法,源IP视频会议密码装置截获源IP视频会议装置的数据包,根据与目的IP视频会议密码装置协商确定的对称密码算法和对称密钥进行加密处理,以密文方式传送到目的IP视频会议密码装置,由目的IP视频会议密码装置解密处理,以明文方式提交给目的视频会议装置。本发明不仅可用于新开发的IP视频会议系统,也可用于对原有IP视频会议系统的升级,还适用于多厂商的产品共同组建IP视频会议系统,达到了在IP视频会议系统透明引入视频、语音、数据的密文传输的效果,提高了IP视频会议密文传输系统在各种IP视频会议系统的适应能力。
文档编号H04L9/00GK1540953SQ20031011197
公开日2004年10月27日 申请日期2003年10月29日 优先权日2003年10月29日
发明者李远威, 芦东昕, 袁泉, 林晓翰, 章小龙 申请人:中兴通讯股份有限公司