專利名稱：安全語音信令網(wǎng)關(guān)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及公共交換電話網(wǎng)(PSTN)上的語音通信，并特別涉及為語音網(wǎng)絡(luò)提供增強的安全性的系統(tǒng)和方法。
背景技術(shù)：
傳統(tǒng)的公共交換電話網(wǎng)(PSTN)通常被認為是安全的，特別是在陸上通信線路上進行通信的系統(tǒng)。
然而近年來，語音網(wǎng)絡(luò)被解除管制，并且已經(jīng)強制提供商將其網(wǎng)絡(luò)向外部公司開放。已經(jīng)發(fā)展了將語音通信與分組網(wǎng)絡(luò)集成的新方法。已經(jīng)研究了例如基于IP的語音(VOIP)的協(xié)議，其主要作為減小通常與交換語音通信相關(guān)聯(lián)的長途費用的一種方式。分組網(wǎng)絡(luò)，并且特別是普遍存在的因特網(wǎng)，依賴于公開的概念，這導(dǎo)致黑客等惡意地或出于一定利益地攻擊分組網(wǎng)絡(luò)。在為分組網(wǎng)絡(luò)提供某種安全等級的安全系統(tǒng)的發(fā)展中已經(jīng)花費了大量的努力。傳統(tǒng)的交換語音通信與分組網(wǎng)絡(luò)的集成，打開了特別涉及高端客戶的安全問題的大門，所述高端客戶包括軍隊、大公司以及特別是金融機構(gòu)。然而至今，在用于交換電話網(wǎng)絡(luò)(例如PSTN)的信令安全的領(lǐng)域中似乎沒有任何發(fā)展。
分組網(wǎng)絡(luò)利用加密和加密驗證技術(shù)來向安全協(xié)議進展，但是至今在傳統(tǒng)的語音網(wǎng)絡(luò)中沒有發(fā)現(xiàn)相同的情況。
也存在用于連接交換語音網(wǎng)絡(luò)到分組語音網(wǎng)絡(luò)的系統(tǒng)。一個這種系統(tǒng)的例子是Alcatel 5070 SSG，其提供交換網(wǎng)絡(luò)的SS7(七號信令系統(tǒng))協(xié)議和例如SIGTRAN的協(xié)議之間的網(wǎng)關(guān)，所述SIGTRAN在IP分組網(wǎng)絡(luò)上實現(xiàn)SS7協(xié)議。Alcatel 5070 SSG允許來自交換網(wǎng)絡(luò)域的信令業(yè)務(wù)通過分組網(wǎng)絡(luò)，并且反之亦然。
VPN網(wǎng)關(guān)典型地用來終止IP網(wǎng)絡(luò)中的安全IP SEC或SSL協(xié)議。所述協(xié)議可以提供安全且強大的網(wǎng)絡(luò)業(yè)務(wù)的加密驗證和加密。因此，本發(fā)明的主要目的是將所述驗證和加密技術(shù)應(yīng)用于交換語音網(wǎng)絡(luò)環(huán)境。

發(fā)明內(nèi)容
本發(fā)明提供了一種安全語音信令網(wǎng)關(guān)(SVSG，secure voice signalinggateway)，其是用于提供通過分組網(wǎng)絡(luò)的安全語音信令通信的系統(tǒng)。SVSG所使用的方法與針對IP VPN所使用的技術(shù)有些類似。SVSG的應(yīng)用包括隧道化通過IP網(wǎng)絡(luò)的SS7信令協(xié)議以及保護兩個服務(wù)交換點(SSP，serviceswitching point)之間的信令連接，并且實現(xiàn)網(wǎng)絡(luò)運營商之間的共享SS7網(wǎng)絡(luò)。SVSG使用加密和數(shù)字簽名技術(shù)來確保所接收的消息對于不受外部的檢查和修改而言是可信和安全的。SVSG功能性可以在獨立的單元中被實現(xiàn)，也可以被集成到其它語音電話設(shè)備中，例如STP、SSP和SCP網(wǎng)絡(luò)單元。
因此，根據(jù)本發(fā)明的第一方面，提供了一種在分組網(wǎng)絡(luò)上、在第一和第二網(wǎng)絡(luò)單元之間提供安全語音信令通信的方法，所述方法包括在所述第一網(wǎng)絡(luò)單元上利用定義了第一和第二網(wǎng)絡(luò)單元之間的關(guān)聯(lián)的安全密鑰來加密信令分組有效負載；從所述第一單元向第二單元發(fā)送所述加密的分組有效負載；以及在所述第二網(wǎng)絡(luò)單元利用所述安全密鑰來解密所述分組有效負載。
在本發(fā)明的所述方面的第二實施例中，所述信令分組有效負載以及MTP2或MTP3報頭被加密，并且所述第一網(wǎng)絡(luò)單元的地址被包括在被加密的分組中，以標識語音通信的始發(fā)點。這提供了應(yīng)用中公知的冒充模式(masquerading mode)。
根據(jù)本發(fā)明的第二方面，提供了一種用于在分組網(wǎng)絡(luò)上、在第一和第二網(wǎng)絡(luò)單元之間提供安全語音信令通信的設(shè)備，所述設(shè)備包括用于在第一網(wǎng)絡(luò)單元上利用定義了所述第一和第二網(wǎng)絡(luò)單元之間的關(guān)聯(lián)的安全密鑰來加密信令分組有效負載的裝置；用于從所述第一單元向第二單元發(fā)送被加密的分組有效負載的裝置；以及用于在所述第二網(wǎng)絡(luò)單元上利用所述安全密鑰來解密所述分組有效負載的裝置。
根據(jù)本發(fā)明的第三方面，提供了一種用于集成到SS7網(wǎng)絡(luò)中以在分組網(wǎng)絡(luò)上提供安全語音信令通信的安全語音信令網(wǎng)關(guān)(SVSG)，所述SVSG包括用于接收語音信令通信的第一接口；用于利用安全密鑰來加密信令通信的信令分組有效負載的裝置；以及用于通過第二接口發(fā)送被加密的信令分組有效負載給關(guān)聯(lián)的SVSG的發(fā)送裝置。


現(xiàn)在將參考附圖詳細描述本發(fā)明，其中圖1示出了SVSG的簡單視圖；圖2和圖3示出了加密和解密分組處理的流程圖；圖4示出了在MTP3層的具有加密的SVSG的非冒充模式；圖5示出了利用SCCP的非冒充模式；圖6描述了在MTP3層的具有加密的SVSG的隧道化模式；圖7示出了具有冒充和SCCP的隧道化模式；圖8描述了具有GTT能力的SVSG；圖9描述了利用標準VPN網(wǎng)關(guān)提供隧道化的通過IP網(wǎng)絡(luò)的SS7的配置；圖10描述了SS7網(wǎng)絡(luò)的簡單視圖；圖11示出了保護兩個SSP之間的信令連接的例子；圖12示出了網(wǎng)絡(luò)運營商之間的共享SS7網(wǎng)絡(luò)的例子。
具體實施例方式
圖1是本發(fā)明的SVSG的高級表示法。SVSG是提供語音網(wǎng)絡(luò)中的兩點之間的安全通信的設(shè)備。通過從一個SVSG到另一個隧道化語音信令業(yè)務(wù)來提供所述功能性。SVSG使用加密和數(shù)字簽名技術(shù)來確保所接收的消息對于不受外來者的檢查和修改而言是可信且安全的。所述SVSG功能性可以在獨立的單元中被實現(xiàn)，或可以被集成到其它語音電話設(shè)備中。
如圖1所示，SVSG從第一接口(黑色)接收信令業(yè)務(wù)，根據(jù)分組的始發(fā)點代碼和目的點代碼對其加密，并且將其發(fā)送到其它接口(紅色)。被加密的分組被發(fā)送到執(zhí)行相反操作的網(wǎng)絡(luò)中的第二SVSG。SVSG可以在MTP3和SCCP層工作，并且也可以在棧的其它層工作。
為了使SVSG起作用，網(wǎng)絡(luò)必須知道由其它SVSG用來加密的密鑰?？梢岳脴藴拾踩珯C制來共享所述信息，所述安全機制例如是共享安全密鑰、公共密鑰基礎(chǔ)設(shè)施、例如因特網(wǎng)密鑰交換的密鑰協(xié)商等。
根據(jù)從第一接口到第二接口的地址轉(zhuǎn)換，SVSG工作在兩種不同的模式中，即冒充模式和非冒充模式。在所述冒充模式中，SVSG針對其在第二接口上發(fā)送的所有分組使用其自己的點代碼，這因而提供了身份隱藏。在所述非冒充模式中，SVSG允許分組保持MTP3報頭(以及最終的SCCP報頭)。
也可以以兩種不同的模式來實現(xiàn)隧道化第一，面向分組，其中每個分組被加密并然后被發(fā)送到合適的SVSG，或第二，面向連接，其中永久SCCP連接被建立在SVSG之間并且被用來發(fā)送所述分組。
首先描述了SVSG僅工作在MTP3層的簡單例子，然后描述了使用SCCP所必需的修改和限制。
在沒有冒充的配置中，SVSG僅加密在所述第一接口所接收的分組的有效負載(即不包括MTP3和SCCP報頭)，并且在第二接口上發(fā)送它們，并且解密在第二接口所接收的分組的有效負載，并且在第一接口上發(fā)送它們。
圖4和圖5中示出了所述情況的示例。SVSG1和SVSG2共享用于分組加密的相同密鑰。通過針對SVSG1和SVSG2之間的關(guān)聯(lián)所定義的密鑰，利用加密算法來加密所述有效負載。
所述模式使得可能在例如全局碼翻譯(GTT，Global Title Translation)的網(wǎng)絡(luò)中繼續(xù)使用SCCP功能性，這是由于僅修改了所述有效負載。
然而在所述冒充模式中，SVSG加密了整個分組，包括MTP3和最終的SCCP報頭，并將其置于MTP3分組的有效負載中，所述始發(fā)點代碼針對所述MTP3分組是SVSG的地址。所述地址翻譯的過程類似于IP網(wǎng)絡(luò)中使用的網(wǎng)絡(luò)地址轉(zhuǎn)換。在圖6和圖7中示出了所述情況的示例。
冒充的優(yōu)點在于其允許更多老練的網(wǎng)絡(luò)提供商通過對外界隱藏其網(wǎng)絡(luò)拓撲而實現(xiàn)某種級別的匿名性。從外部的角度來看，僅SVSG的點代碼是可見的。
當啟動冒充時，SCCP不能被用來執(zhí)行兩個SVSG之間的全局碼翻譯。SVSG因而應(yīng)當具有某些GTT功能性，從而至少能夠知道其將發(fā)送分組給哪個SVSG，如圖8所示。
所述兩種先前的模式是基于分組(on packet per packet basis)而工作的。SVSG也使得可能在SVSG之間創(chuàng)建永久SCCP連接。所有在所述連接上被發(fā)送的數(shù)據(jù)被加密。由于互操作性的考慮，允許不對所有分組進行加密的情況。
根據(jù)由運營商所定義的策略，可以在不進行加密的情況下轉(zhuǎn)發(fā)不是去往SVSG之后的設(shè)備的分組，或?qū)⑵鋪G棄。
相同的考慮應(yīng)用于接收的分組。由運營商定義的策略應(yīng)當定義如何處理沒有被加密的分組。
在該文獻中，SS7協(xié)議棧包括由ITU(Q.700系列)利用MTP和ATM所定義的SS7、由T1組織所定義的SS7以及由IETF SIGTRAN工作組所定義的IP上的SS7。除了安全功能之外，SVSG還可以應(yīng)用于不同的協(xié)議，并且可以允許不同SS7特征之間的互操作性。
根據(jù)所使用的協(xié)議，SVSG可以使用允許在兩個SVSG之間進行加密的其它協(xié)議。例如，在SIGTRAN使用的情況下，可能使用兩個SVSG之間的IP安全機制(例如IPSec、SSL或TLS)。通過使用兩個傳統(tǒng)的SS7到SIGTRAN網(wǎng)關(guān)和兩個標準的VPN(IPSec、SSL或TLS)網(wǎng)關(guān)，也可以實現(xiàn)所述安排，如圖9所描述的那樣。
SVSG可以被用在不同的網(wǎng)絡(luò)配置中，例如
圖10示出了簡單的典型SS7網(wǎng)絡(luò)結(jié)構(gòu)；以及圖11示出了兩個SSP之間的安全信令連接的例子。
圖12示出了網(wǎng)絡(luò)運營商之間的共享SS7網(wǎng)絡(luò)的例子。在所述情況下，通過陰影而指明的每種SVSG僅知道相同陰影的其它SVSG的密鑰。例如，以一種陰影所表示的SSP不能接入由不同陰影所表示的SCP，這是由于兩個SVSG不能交換分組。
盡管已經(jīng)描述并說明了本發(fā)明的特定實施例，然而可以在不脫離基本概念的情況下進行許多改變對于本領(lǐng)域的技術(shù)人員而言是顯而易見的。應(yīng)當理解到，任何所述改變應(yīng)當落在如附加的權(quán)利要求所定義的本發(fā)明的完整范圍內(nèi)。
權(quán)利要求
1.一種在分組網(wǎng)絡(luò)上、在第一和第二網(wǎng)絡(luò)單元之間提供安全語音信令通信的方法，所述方法包括在所述第一網(wǎng)絡(luò)單元上利用定義了所述第一和第二網(wǎng)絡(luò)單元之間的關(guān)聯(lián)的安全密鑰來加密信令分組有效負載；從所述第一單元向所述第二單元發(fā)送所述加密的分組有效負載；以及在所述第二網(wǎng)絡(luò)單元上利用所述安全密鑰來解密所述分組有效負載。
2.根據(jù)權(quán)利要求1的方法，其中，所述信令網(wǎng)絡(luò)是基于七號信令系統(tǒng)協(xié)議組的。
3.根據(jù)權(quán)利要求1的方法，其中，所述信令分組有效負載和關(guān)聯(lián)的報頭在所述第一網(wǎng)絡(luò)單元被加密并在所述第二網(wǎng)絡(luò)單元被解密。
4.根據(jù)權(quán)利要求3的方法，其中，所述第一網(wǎng)絡(luò)單元的地址被包括在所述加密的分組中，并標識了其始發(fā)點。
5.根據(jù)權(quán)利要求1的方法，其中，在所述第一單元上執(zhí)行全局碼翻譯(GTT)，以確定所述分組網(wǎng)絡(luò)中的哪個網(wǎng)絡(luò)單元發(fā)送所述分組。
6.根據(jù)權(quán)利要求4的方法，其中，所述加密的分組是消息傳送部分第三級(MTP3)分組。
7.根據(jù)權(quán)利要求1的方法，其還包括確定是丟棄、加密并發(fā)送還是不進行加密而發(fā)送所接收的信令分組的步驟。
8.根據(jù)權(quán)利要求7的方法，其中，所述確定的步驟基于包括所述分組網(wǎng)絡(luò)中的標準、源和目的地址的策略。
9.一種用于在分組網(wǎng)絡(luò)上、在第一和第二網(wǎng)絡(luò)單元之間提供安全語音信令通信的設(shè)備，所述設(shè)備包括用于在所述第一網(wǎng)絡(luò)單元上利用定義了所述第一和第二網(wǎng)絡(luò)單元之間的關(guān)聯(lián)的安全密鑰來加密信令分組有效負載的裝置；用于從所述第一單元向所述第二網(wǎng)絡(luò)單元發(fā)送所述加密的分組有效負載的裝置；以及用于在所述第二網(wǎng)絡(luò)單元上利用所述安全密鑰來解密所述分組有效負載的裝置。
10.根據(jù)權(quán)利要求9的設(shè)備，其中，所述第一和第二網(wǎng)絡(luò)單元是安全語音信令網(wǎng)關(guān)(SVSG)設(shè)備。
11.根據(jù)權(quán)利要求10的設(shè)備，其中，通過從第一安全語音信令網(wǎng)關(guān)到第二安全語音信令網(wǎng)關(guān)隧道化語音信令業(yè)務(wù)，來提供安全的通信。
12.根據(jù)權(quán)利要求11的設(shè)備，其中，所述安全密鑰是下列密鑰之一共享安全密鑰、公共密鑰基礎(chǔ)設(shè)施以及因特網(wǎng)密鑰交換。
13.一種用于集成到七號信令系統(tǒng)網(wǎng)絡(luò)中以在分組網(wǎng)絡(luò)上提供安全語音信令通信的安全語音信令網(wǎng)關(guān)(SVSG)，所述安全語音信令網(wǎng)關(guān)包括用于接收所述語音信令通信的第一接口；用于利用安全密鑰來加密信令通信的信令分組有效負載的裝置；以及用于通過第二接口發(fā)送所述加密的信令分組有效負載到關(guān)聯(lián)的安全語音信令網(wǎng)關(guān)的發(fā)送裝置。
14.根據(jù)權(quán)利要求13的安全語音信令網(wǎng)關(guān)，其是在獨立的單元中被實現(xiàn)的。
15.根據(jù)權(quán)利要求13的安全語音信令網(wǎng)關(guān)，其被集成到語音電話設(shè)備中。
16.一種用于集成到七號信令系統(tǒng)網(wǎng)絡(luò)中以在分組網(wǎng)絡(luò)上提供安全語音信令通信的安全語音信令網(wǎng)關(guān)(SVSG)，所述安全語音信令網(wǎng)關(guān)包括用于接收語音信令通信的加密的信令分組有效負載的第一接口；用于解密所述加密的信令分組有效負載的解密裝置；以及用于通過第二接口發(fā)送所述解密的信令分組有效負載給端系統(tǒng)的發(fā)送裝置。
17.根據(jù)權(quán)利要求16的安全語音信令網(wǎng)關(guān)，其是在獨立的單元中被實現(xiàn)的。
18.根據(jù)權(quán)利要求16的安全語音信令網(wǎng)關(guān)，其被集成到語音電話設(shè)備中。
全文摘要
描述了在公共交換電話網(wǎng)(PSTN)上提供用于語音通信的安全信令的系統(tǒng)和方法。在第一安全語音信令網(wǎng)關(guān)(SVSG)接收呼叫信令，在所述SVSG中利用安全密鑰對所述呼叫信令進行加密。在目的網(wǎng)絡(luò)單元，從第一SVSG到第二SVSG隧道化所述加密的有效負載。目的SVSG解密有效負載，并將其傳送到目的地。根據(jù)本發(fā)明，通信可以是冒充的或非冒充的，在冒充的情況中，第一SVSG的地址作為起源而被給出，在非冒充的情況中，保留語音通信的實際起源。
文檔編號H04L12/66GK1777092SQ200510123509
公開日2006年5月24日 申請日期2005年11月17日 優(yōu)先權(quán)日2004年11月18日
發(fā)明者S·D·德蘇扎, O·L·穆瓦涅 申請人:阿爾卡特公司