在会话起始协议信号过程提供因特网密钥交换的方法及系统

摘要

一种在会话起始协议(Session Initiation Protocol，SIP)信号过程中提供因特网密钥交换(Internet Key Exchange，IKE)的方法及系统，该方法包含：发话端节点装置传送第一SIP请求信息至受话端节点装置，其中该第一SIP请求信息包括第一IKE快速模式初始信息的有效载荷单元；该受话端节点装置以SIP响应信息响应该第一SIP请求信息，其中该SIP响应信息包括IKE快速模式响应信息的有效载荷单元；及该发话端节点装置传送第二SIP请求信息至该受话端节点装置，其中该第二SIP请求信息包括第二IKE快速模式初始信息的有效载荷。

说明书

技术领域

本发明涉及一种用以进行会话起始协议(Session Initiation Protocol，SIP)信号过程的方法及系统，特别是指一种在SIP信号过程中提供因特网密钥交换(Internet Key Exchange，IKE)的方法及系统。

背景技术

随着如因特网(Internet)之类的分组网络(Packet Network)的持续发展，基于传统交换式网络(Circuit Network)的语音电信正在逐渐转变当中。而在许多可行的解决方案中，网际协议(Internet Protocol，IP)是可用来传输语音的主要通信协议，亦即，网络电话(Voice over Internet Protocol，VoIP)，且会话起始协定(Session Initiation Protocol，SIP)为由因特网工程任务小组(Inernet Engineering Task Force，IETF)所订定的用以实现VoIP应用的标准。

在考虑到这些应用中的安全顾虑时，广泛用于IP第四版(IP version 4，IPv4)中且为IP第六版(IP version 6，IPv6)中的要件的IP安全(IP Security，IPSec)协议便自然成为候选的安全解决方案。

参见图1，一般而言，要保护VoIP的应用，发话端91与受话端92之间必须进行用以建立安全通道(使用IPSec/因特网密钥交换(Internet KeyExchange，IKE))的两阶段过程93，以及另一个用于完成通话设定，以便能够进行受安全通道保护的所需的媒体(语音)通信(使用SIP)的过程94。然而，上述方式有一个问题，即其必须进行两个分开的过程：一个建立安全信道的过程93，以及一个信号过程94。这会增加在建立安全语音通信信道时的传输量或等待时间，以及使用者使用上的复杂度。

此外，如题为“使用证书的会话起始协议消息的端对端认证”的美国专利公开号US20030217165所揭示的，其揭露了一种支持端对端认证(Authentication)能力的方法，其中认证参数是与SIP相结合，以使收到SIP请求信息的SIP节点能够认证该请求的传送者。然而，即使可由使用凭证(Certificate)来认证SIP请求的传送者，在该美国专利公开案中并未揭示在通信开始后提供安全信道。因此，语音通信信息会遭窃取或骗取。

发明内容

因此，本发明的目的是提供一种在会话起始协议信号过程中提供因特网密钥交换的方法，可用于保护IPSec/IKE环境中的VoIP应用，从而能够简化进行安全通信时建立安全信道的过程、降低设定安全信道与信号过程的复杂度，以及将IPSec/IKE与SIP予以无接缝(Seamless)整合。

于是，本发明在会话起始协议信号过程中提供因特网密钥交换的方法包含下列步骤。首先，发话端节点装置传送第一SIP请求信息至受话端节点装置，其中该第一SIP请求信息包括第一IKE快速模式(Quick Mode)初始信息的有效载荷(Payload)单元。接着，该受话端节点装置以SIP响应信息响应该第一SIP请求信息，其中该SIP响应信息包括IKE快速模式响应信息的有效载荷单元。然后，该发话端节点装置传送一第二SIP请求信息至该受话端节点装置，其中该第二SIP请求信息包括第二IKE快速模式初始信息的有效载荷。

此外，本发明的另一个目的是提供一种在会话起始协议信号过程中提供因特网密钥交换的系统，可用于保护IPSec/IKE环境中的VoIP应用，从而能够简化进行安全通信时建立安全信道的过程、降低设定安全信道与信号过程的复杂度，以及将IPSec/IKE与SIP予以无接缝整合。

于是，本发明在会话起始协议信号过程中提供因特网密钥交换的系统包含发话端节点装置及受话端节点装置。该发话端节点装置用于传送第一SIP请求信息及第二SIP请求信息，其中该第一SIP请求信息包括第一IKE快速模式初始信息的有效载荷单元，且该第二SIP请求信息包括第二IKE快速模式初始信息的有效载荷。该受话端节点装置用于接收该第一SIP请求信息及第二SIP请求信息，并以SIP响应信息响应该第一SIP请求信息，其中该SIP响应信息包括IKE快速模式响应信息的有效载荷单元。

附图说明

图1是说明现有技术的利用IKE协议建立IPSec通道，再由该IPSec通道的保护而进行后续过程的VoIP通话程序通话流程图；

图2是说明本发明在SIP信号过程中提供IKE的系统的一个优选实施例的系统架构图；

图3是说明本发明的系统的优选实施例中的发话端节点装置及受话端节点装置的方块图；

图4是说明本发明在SIP信号过程中提供IKE的方法的优选实施例的通话流程图；

图5是说明本发明在SIP信号过程中提供IKE的方法的另一个优选

实施例的通话流程图；

图6是说明本发明中具有IKE有效载荷的SIP信息的示意图；

图7是说明本发明中的发话端节点装置的信息接收流程的一个优选

实施例的流程图；及

图8是说明本发明中的受话端节点装置的信息接收流程的一个优选实施例的流程图。

具体实施方式

有关本发明的前述及其它技术内容、特点与功效，在以下参考附图的优选实施例的详细说明中，将可清楚的呈现。

在本发明被详细描述之前，要注意的是，在以下的说明内容中，类似的组件是以相同的编号来表示。

参见图2，本发明在SIP信号过程中提供IKE的系统的一个优选实施例包括发话端节点装置11、受话端节点装置12及代理服务器13。该发话端节点装置11用以传送SIP请求至该受话端节点装置12，且包括SIP模块111、IKE模块112及IPSec模块113。该受话端节点装置12用以传送SIP回应至该发话端节点装置11，且包括SIP模块121、IKE模块122及IPSec模块123。该代理服务器13介于该发话端节点装置11与受话端节点装置12之间，且用于接收该发话端节点装置11送来的SIP请求后传送至该受话端节点装置12，及用于接收该受话端节点装置12送来的SIP回应后传送至该发话端节点装置11。

当发话端节点装置11欲建立与受话端节点装置12之间的安全通信信道时，发话端节点装置11会传送SIP请求至公众网络9。接着，SIP请求会通过代理服务器13或直接被传送至受话端节点装置12。发话端节点装置11使用SIP模块111来建立SIP请求信息/解析SIP响应信息/处理SIP信息，并使用IKE模块112来建立IKE有效载荷/解析IKE有效载荷/处理IKE有效载荷，以传送请求至受话端节点装置12。受话端节点装置12会接收来自公众网络9的请求信息，且使用SIP模块121来建立SIP请求信息/解析SIP响应信息/处理SIP信息，并使用IKE模块122来建立IKE有效载荷/解析IKE有效载荷/处理IKE有效载荷，以对发话端节点装置11的请求做出回应。当完成安全语音信道及媒体通信属性的建立后，会话媒体通信会受到发话端节点装置11的IPSec模块113及受话端节点装置12的IPSec模块123的保护，因而得以达成安全语音通信的目标。

参见图3，图2中的发话端节点装置1及受话端节点装置2皆可以用图3中的终端装置2来加以实施。终端装置2包括SIP模块21、IKE模块22及通信接口20。该SIP模块21包括SIP信息解析单元211、SIP信息建立单元212、SIP命令处理单元213及会话描述协议(Session DescriptionProtocol，SDP)信息处理单元214。该IKE模块22包括密钥交换处理引擎221、安全联合数据库(Security Association Database，SADB)数据库222及安全政策数据库(Security Policy Database，SPD)数据库223。该通信接口20包括IPSec模块23。亦即，图2中的SIP模块111及121皆相当于图3中的SIP模块21；图2中的IKE模块112及122皆相当于图3中的IKE模块22；而图2中的IPSec模块113及123皆相当于图3中的IPSec模块23。

该SIP信息解析单元211是用于接收来自目的终端装置或来源终端装置的SIP响应信息，并解析该信息以分辨SIP信息首部(Header)及SIP信息有效载荷等部分。SIP信息建立单元212负责建立将传送至目的终端装置或来源终端装置的SIP请求或响应信息。SIP命令处理单元213为收到的SIP信息的执行单元。SDP信息处理单元214负责与媒体传输属性有关的动作。密钥交换处理引擎221负责密钥交换有效载荷的处理，包括密钥交换有效载荷的建立、密钥交换有效载荷的解析、密钥交换的执行以及SADB数据库222与SPD数据库223中安全联合的设定。SADB数据库222用以储存会话安全联合(Session Association，SA)。SPD数据库223储存定义用于特定通信信道的安全参数的安全政策。IPSec模块23负责处理安全语音通信。通信接口20负责接受来自公众网络9的数据包，以及将数据包传送至公众网络9。

参照图4，该图是本发明的方法的通话程序的一个优选实施例。图4中的通话流程是基于携带了密钥交换信息以建立安全语音通信信道的SIP操作，其中发话端节点装置11与受话端节点装置12是直接参与SIP操作的协议，而并未于二者间用到代理服务器13(见图2)。

首先，如流程(31)所示，发话端节点装置11传送第一SIP请求信息至受话端节点装置12，其中该第一SIP请求信息包括第一IKE快速模式初始信息之有效载荷单元。亦即，该发话端节点装置11准备具有以安全多功能因特网邮件延伸(Secure Multipurpose Internet Mail Extension，S/MIME)保护的第一IKE快速模式初始信息的SIP邀请(Invite)信息，并将其传送至受话端节点装置12，用于将协议做为IPSec核心参数的媒体通信属性及SA。在SIP Invite信息中，密钥交换有效载荷会以S/MIME来加以保护，以确保敏感安全信息的机密性。

接着，如流程(32)所示，受话端节点装置12在收到发话端节点装置11送来的SIP Invite信息后，便将180Ringing信息传送至发话端节点装置11，以通知发话端节点装置11该通电话正等待被受话端节点装置12的使用者接起。

然后，如流程(33)所示，受话端节点装置12以一SIP响应信息响应该第一SIP请求信息，其中该SIP响应信息包括一IKE快速模式响应信息的有效载荷单元。亦即，在受话端节点装置12处理SIP Invite请求之后，便以具有以S/MIME保护的IKE快速模式响应信息的200同意信息(200OK)响应信息来加以响应。

接着，如流程(34)所示，当发话端节点装置11接收并处理上述响应信息之后，发话端节点装置11便传送一第二SIP请求信息至受话端节点装置，其中该第二SIP请求信息包括第二IKE快速模式初始信息之有效载荷。亦即，该发话端节点装置11将具有以S/MIME保护的第二IKE快速模式初始信息的SIP ACK(SIP确认)信息传送至受话端节点装置12。

在完成上述流程后，包括编码信息等的媒体传输属性便设定完成，且SA也已设定于上述SIP信息中。因此，安全语音通信即建立完成。于是，便可如流程(35)所示来进行受IPSec保护的会话语音传输。

直到通话结束之后，发话端节点装置11或受话端节点装置12的其中一方的使用者会先挂上电话。例如，如图4所示，若受话端节点装置12先挂上电话，则如流程(36)所示，受话端节点装置12传送以S/MIME保护之第三SIP请求信息至该发话端节点装置11，以删除SA而确保发话端节点装置11与受话端节点装置12二者间具有一致的安全性，其中该第三SIP请求信息为SIP Bye(SIP结束信息)，且包括IKE Delete(IKE删除信息)有效载荷。于是，如流程(37)所示，当有关于安全语音通信信道的SA被删除后，发话端节点装置11便传送200OK之信息以通知受话端节点装置12。

参照图5，示出了本发明方法的通话程序的另一个优选实施例。图5中的通话程序是基于携带了密钥交换信息以建立安全语音通信信道的SIP操作，其中发话端节点装置11与受话端节点装置12二者间用到了代理服务器13，而使三者共同参与了SIP操作的协议。

首先，如流程(311)所示，发话端节点装置11准备具有以S/MIME保护的第一IKE快速模式初始信息的SIP Invite信息，并将其传送至中继的代理服务器13。代理服务器13为中继者，且如流程(312)所示用来将以S/MIME保护的第一IKE快速模式初始信息的SIP Invite信息转传至受话端节点装置12。

SIP Invite信息在历经两个流程的传送后，受话端节点装置12得以收到此SIP Invite信息。接着，如流程(321)所示，受话端节点装置12将180Ringing信息传送至代理服务器13。然后，如程序(322)所示，代理服务器13将此180Ringing信息转传至至发话端节点装置11，以通知发话端节点装置11该通电话正等待被受话端节点装置12的使用者接起。

然后，如流程(331)所示，受话端节点装置12在处理SIP Invite信息之后，便传送具有以S/MIME保护的IKE快速模式响应信息的200 OK响应信息至代理服务器13。接着，如信息332所示，代理服务器13将此具有以S/MIME保护的IKE快速模式响应信息的200 OK响应信息转传至发话端节点装置11。

接着，如流程(341)所示，当发话端节点装置11接收并处理上述响应信息之后，发话端节点装置11便传送具有以S/MIME保护的第二IKE快速模式初始信息的SIPACK信息传送至代理服务器13。然后，如流程(342)所示，代理服务器13将具有以S/MIME保护的第二IKE快速模式初始信息的SIPACK信息转传至受话端节点装置12。

在完成上述流程后，包括编码信息等的媒体传输属性便设定完成，且SA也已设定于上述SIP信息中。因此，安全语音通信即建立完成。于是，便可如流程(35)所示来进行受IPSec保护的会话语音传输。

直到通话结束之后，发话端节点装置11或受话端节点装置12的其中一方的使用者会先挂上电话。例如，如图5所示，若受话端节点装置12先挂上电话，则如流程(36)所示，受话端节点装置12传送以S/MIME保护且具有IKE Delete有效载荷SIP Bye信息至该发话端节点装置11，以删除SA而确保发话端节点装置11与受话端节点装置12二者之间具有一致的安全性。于是，如流程(37)所示，当有关于安全语音通信信道的SA被删除后，发话端节点装置11便传送200OK的信息以通知受话端节点装置12。

参见图4、6，本发明中的SIP信息包括SIP Invite信息51、SIP 200 OK信息52、SIP ACK信息53及SIP Bye信息54。该SIP Invite信息51包括SIP首部511、SDP有效载荷512及IKE有效载荷513。SIP首部511揭示信息是有关SIP操作以及包括发话者识别码等的通话信息。SDP有效载荷512揭示需用来确认或与其它SIP节点协议的媒体通信属性。IKE有效载荷513包括HASH(杂散)有效载荷、SA有效载荷及Nonce(随机)有效载荷，用来与其它SIP节点协议SA，以启动通话建立过程。

SIP 200OK信息52包括SIP首部521、SDP有效载荷522及IKE有效载荷523。SIP首部521揭示信息是有关SIP操作以及包括发话者识别码等的通话信息。SDP有效载荷522揭示被受话端节点装置12所确认或协议之媒体通信属性。IKE有效载荷523包括用以协议SA并响应安全参数及媒体属性的HASH有效载荷、SA有效载荷及Nonce有效载荷，其中受话端节点装置12同意该SA，以通知发话端节点装置11该受话端节点装置12已接起电话。

SIP ACK信息53包括SIP首部531及IKE有效载荷532。SIP首部531揭示信息是有关SIP操作以及包括发话者识别码等的通话信息。IKE有效载荷532包括用以确认SA设定的HASH有效载荷，以响应受话端节点装置12已建立通话。

SIP Bye信息54包括SIP首部541及IKE有效载荷542。SIP首部541揭示信息是有关SIP操作以及包括发话者识别码等的通话信息。IKE有效载荷542包括Delete有效载荷，用来在挂上电话时删除有关安全语音通信信道的SA。为了确保IKE有效载荷的机密性，上述所有SIP信息中的IKE有效载荷513、523、532及542皆需以S/MIME来加以保护。

参见图3、4、6、7，其中图7说明本发明中的发话端节点装置11的信息接收流程的一个优选实施例。在信号过程中，发话端节点装置11会传送SIP Invite信息51至受话端节点装置12以请求语音通信，且受话端节点装置12会以SIP 200 OK信息52响应发话端节点装置11。对于发话端节点装置11而言，其会先如步骤70所示，接收由受话端节点装置12所响应的信号信息。接着，如步骤71所示，发话端节点装置11会处理该信息并解析该信息的首部，以获得通话相关信息。接着，如步骤72所示，发话端节点装置11会检查在该信息中是否存在任何有效载荷。如果存在任何有效载荷，则如步骤73所示，发话端节点装置11将检查此有效载荷是否为IKE有效载荷。若此有效载荷并非IKE有效载荷，则如步骤75所示，利用一般模块来处理此有效载荷，其中此有效载荷包括含有与语音通信相关的媒体传输属性的SDP有效载荷522或一般文字有效载荷等。如果此有效载荷为IKE有效载荷，则发话端节点装置11会利用S/MIME来解密此IKE有效载荷。然后，如步骤74所示，发话端节点装置11会检查装置的处理状态，以决定应根据此IKE有效载荷的内容来采取何种行动。

如果发话端节点装置11处于“SIP 200 OK”的状态，则如步骤77所示，发话端节点装置11会利用密钥交换处理引擎221来处理包括HASH有效载荷、SA有效载荷及Nonce有效载荷的IKE有效载荷523。若发话端节点装置11处于“SIP Bye”的状态，则如步骤76所示，发话端节点装置11会利用密钥交换处理引擎221来处理包括Delete有效载荷的IKE有效载荷542，以删除SADB数据库222中的SA及SPD数据库223中的安全政策。

应该指出的是，图7中的发话端节点装置11的“SIP Bye”状态及步骤76是当挂电话的一方为受话端节点装置12时才会发生。如果挂电话的一方为发话端节点装置11，则此“SIP Bye”状态及其相对应的处理Delete有效载荷的步骤将不会出现在图7的流程图中，而会出现在图8的流程图中。

在处理完IKE有效载荷后，SA及安全政策的所需信息会被储存或更新于SADB数据库222及SPD数据库223中。接着，如步骤78所示，发话端节点装置11会再检查是否存在任何有效载荷。如果已不存在有效载荷，则如步骤79所示，发话端节点装置11会根据来自受话端节点装置12的响应信息来建立并传送相对应的SIP信息。反之，如果仍存在有效载荷，则返回步骤73以检查有效载荷的类型并处理有效载荷。

参见图3、4、6、8，其中图8说明本发明中的受话端节点装置12的信息接收流程的一个优选实施例。在信号过程中，发话端节点装置11会传送SIP Invite信息51至受话端节点装置12以请求语音通信，且受话端节点装置12会以SIP 200 OK信息52响应发话端节点装置11。对于受话端节点装置12而言，其会先如步骤80所示，接收由发话端节点装置11所传送或响应的信号信息。接着，如步骤81所示，受话端节点装置12会处理该信息并解析该信息的首部，以获得通话相关信息。接着，如步骤82所示，受话端节点装置12会检查在该信息中是否存在任何有效载荷。如果存在任何有效载荷，则如步骤83所示，受话端节点装置12将检查此有效载荷是否为IKE有效载荷。若此有效载荷并非IKE有效载荷，则如步骤85所示，利用一般模块来处理此有效载荷，其中此有效载荷包括含有与语音通信相关的媒体传输属性的SDP有效载荷512或一般文字有效载荷等。如果此有效载荷为IKE有效载荷，则受话端节点装置12会利用S/MIME技术来解密此IKE有效载荷。然后，如步骤84所示，受话端节点装置12会检查装置的处理状态，以决定应根据此IKE有效载荷的内容来采取何种行动。

如果受话端节点装置12处于“SIP Invite”的状态，则如步骤87所示，受话端节点装置12会利用密钥交换处理引擎221来处理包括HASH有效载荷、SA有效载荷及Nonce有效载荷的IKE有效载荷513。如果受话端节点装置12处于“SIP ACK”的状态，则如步骤86所示，受话端节点装置12会利用密钥交换处理引擎221来处理包括HASH有效载荷的IKE有效载荷532，并确认密钥交换信息。

在处理完IKE有效载荷后，SA及安全政策的所需信息会被储存或更新于SADB数据库222及SPD数据库223中。接着，如步骤88所示，受话端节点装置12会再检查是否存在任何有效载荷。如果已不存在有效载荷，则如步骤89所示，受话端节点装置12会根据来自发话端节点装置11的响应信息来建立并传送相对应的SIP信息。

综上所述，本发明在SIP信号过程中提供IKE的方法及系统是由在SIP信息中携带IKE有效载荷来保护IPSec/IKE环境中的VoIP应用，因而简化了进行安全通信时建立安全信道的过程、降低设定安全信道与信号过程的复杂度，以及将IPSec/IKE与SIP予以无接缝整合。

上面已经结合优选实施例对本发明进行了描述。本领域技术人员应该理解，在不脱离本发明的精神和范围的情况下，可以进行各种其它的改变、替换和添加。因此，本发明的范围不应该被理解为被局限于上述特定实施例，而应由所附权利要求所限定。