CN114553422A - VoLTE语音加密通信方法、终端及系统 - Google Patents
VoLTE语音加密通信方法、终端及系统 Download PDFInfo
- Publication number
- CN114553422A CN114553422A CN202210442353.1A CN202210442353A CN114553422A CN 114553422 A CN114553422 A CN 114553422A CN 202210442353 A CN202210442353 A CN 202210442353A CN 114553422 A CN114553422 A CN 114553422A
- Authority
- CN
- China
- Prior art keywords
- key
- call
- management platform
- terminal
- middleware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Theoretical Computer Science (AREA)
- Electromagnetism (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开一种VoLTE语音加密通信方法、终端及系统,属于无线通信技术领域,方法包括主叫终端和被叫终端分别通过其对应安全芯片内存储的认证密钥完成到其所属密钥管理平台的身份认证;主叫终端发起通话,向云端密话业务管理平台发送验证请求,获取云端密话业务管理平台返回的密话标识;通话接通后,主叫终端和被叫终端播放提示音,基于密话标识向其所属密钥管理平台申请本次通话的会话密钥;主叫终端和被叫终端基于会话密钥,使用媒体信道同步主叫终端和被叫终端密钥获取状态后,进行加密语音通话;通话挂断时,双方发送加密结束消息,结束本次密钥通话。本发明无需证书管理模块,计算速度快、安全性高,且同步效率高,用户体验好。
Description
技术领域
本发明涉及无线通信技术领域,具体涉及一种VoLTE语音加密通信方法、终端及系统。
背景技术
超语音长期演进(Voice overLong Term Evolution,VoLTE)是基于IP多媒体子系统(IP Multimedia Subsystem,IMS)的语音业务,是一种IP数据传输技术。VoLTE无需2G/3G网,全部业务承载于4G网络上,可实现接通等待时间更短,以及更高质量、更自然的语音视频通话效果。IMS本身提供了一套复杂和较为安全的认证、鉴权机制,但随着恶意监听越来越普遍,VoLTE需要特殊的加密机制,以保证其通话安全。
当前为了实现VoLTE语音加密以及后续规模化推广所面临的主要问题有三个:
(1)传统VoLTE加密提供了依赖证书的安全机制,终端往往需要安装APP才实现功能,所以VoLTE密钥传递过程中依赖证书安全机制。由于机制依赖大数分解等数学计算,会存在随着使用频次增加安全性逐步降低的问题,且由于证书机制中会话密钥传递和协商过程中存在端到端协商,对于平台端对密钥监管也是一个问题。
(2)对于实现VoLTE加密通话,现有的方案是扩展SIP协议栈,启用附带预置条件的呼叫会话流程来支持加密电话标识、明密来电识别、来电响应、连接态互操作控制等操作。为此需要全网排查、验证和改造IMS网络,确保其能对SIP扩展字段默认采用透传方式,以保障通信双方的终端Modem芯片能识别处理该SIP扩展字段,同时需终端Modem芯片定制改造,以支持SIP扩展字段并对扩展内容进行解析处理。此方案对手机终端、模组、IMS网络都有改造需求,存在改造量大且无法随着终端版本演进自动平滑升级的问题。
(3)随着QKD网络建设的发展,各地都有自己建设密码管理系统的需求,大多数密码管理系统实现安全介质本系统内充注。但实际中针对VoLTE类业务,存在呼叫类业务广域互通的需求,各个独立的密码管理系统之间需具有密钥协商、会话密钥下发功能。因此,需要实现客户自身密码系统建设安全性要求和全网互通需求的融合,提高VoLTE加密业务的兼容性。
相关技术中,公开号为CN114040385A的发明专利申请公开了一种基于VoLTE的加密通话系统及方法,系统包括:云端密话业务管理平台、运营商网络和手机端组件;其中,所述云端密话业务管理平台用于提供基于VoLTE语音通话服务的用户管理和证书管理,以及会话密钥分发;所述运营商网络用于云端密话业务管理平台与手机端之间数据的承载和传输;所述手机端组件用于提供加密通话功能以及对通话过程中的通话数据进行实时加解密。该方案避开了对电信运营商的IMS网络的改造和信令控制协议SIP协议的扩展,可实现用户跨电信运营商网络来进行VoLTE加密通话。但云端密话业务管理平台用于提供所述密钥管理中心客户端的API接口,用以用户登录时的身份校验、客户端的SM2加密证书的下发,仍需要证书管理模块调用密钥管理中心的API接口,用以用户的SM2加密证书的申请、下载和销毁管理操作,密钥传递过程中依赖证书安全机制。
公开号为CN106941403A的发明专利申请公开了一种基于量子密钥的保密移动通信系统及方法,包括量子密钥服务站、若干移动终端和公共通信网络,量子密钥服务站和移动终端通过公共通信网络通信;量子密钥服务站用于向移动终端提供量子密钥下载服务并完成对量子密钥的安全管控,移动终端用于实现基本的通话功能及保密通信附加功能,公共通信网络用于实现数据传输功能。该方案虽是以量子密钥服务站提供密钥的加密通信方式,但是在具体方式上面采用电子标签对移动双方密钥进行监控功能,主叫方和被叫方移动终端在量子密钥服务站进行身份认证,下载添加电子标签的共享量子密钥,其中量子密钥是提前申请好的,拨打密话时候主叫方发送自身电子标签认证信息,经过公共通信网络到达被叫方,被叫方对该电子标签识别,并将被叫方电子标签认证信息通过公共通信网络反馈给主叫方,双方分别进行标签认证,认证成功后,主叫方和被叫方调取存储的量子密钥,开始保密通信。但通信交互过程需要使用标签系统,交互流程繁琐。
发明内容
本发明所要解决的技术问题在于如何解决VoLTE手持终端认证中依赖证书的问题。
本发明通过以下技术手段实现解决上述技术问题的:
一方面,本发明提出了一种VoLTE语音加密通信方法,主叫终端和被叫终端内分别集成有安全芯片,所述方法包括:
主叫终端和被叫终端分别通过其对应安全芯片内存储的认证密钥完成到其所属密钥管理平台的身份认证;
主叫终端发起通话,主叫终端和被叫终端向云端密话业务管理平台发送验证请求,以获取所述云端密话业务管理平台返回的密话标识;
通话接通后,主叫终端和被叫终端播放提示音,并基于所述密话标识向其所属密钥管理平台申请本次通话的会话密钥,所述会话密钥由量子密钥分发网络分发;
主叫终端和被叫终端基于所述会话密钥,使用媒体信道同步主叫终端和被叫终端密钥获取状态后,进行加密语音通话;
主叫终端和被叫终端发送加密结束消息,结束本次密钥通话。
本发明中,主叫终端和被叫终端内均集成有安全芯片,主叫终端和被叫终端利用各自内部集成的安全芯片存储的认证密钥完成到其所属的密钥管理平台的身份认证,密钥管理平台内存储有经量子密钥分发网络分发的会话密钥对,通过采用对称密钥算法实现VoLTE终端认证和密钥的分发,不需要证书管理模块,相比证书系统有着计算速度快、安全性高的特点。而且,该加密通话由VoLTE发起流程,先接通明话再进行密钥协商流程,避免密钥过早的协商,避免了用户接电话过快对密钥协商要求过高的问题,并在真正发起明话时,先播放一端提示音,等待密钥协商才进行真正的密话,对用户来说只有密话一种感知,用户体验好。另外,通过使用接通后的媒体信道作为密钥状态同步接口,可以实现将密钥同步时间通过媒体信道进行同步,提高同步效率。
进一步地,所述主叫终端和被叫终端分别通过其对应安全芯片内存储的认证密钥完成到密钥管理平台的身份认证,包括:
所述安全芯片分别获取其所属密钥管理平台的标识;
所述主叫终端和被叫终端分别调用其对应安全芯片内存储的所述认证密钥,完成到其所属密钥管理平台的身份认证;
所述主叫终端和被叫终端将其所属密钥管理平台的标识及自身的终端标识上传至所述云端密话业务管理平台,以使所述云端密钥业务管理平台生成终端标识和密钥管理平台标识的对照表并存储。
进一步地,所述主叫终端发起通话,主叫终端和被叫终端向云端密话业务管理平台发送验证请求,以获取所述云端密话业务管理平台返回的密话标识,包括:
所述主叫终端和被叫终端向所述云端密话业务管理平台上报本次通话的主叫号码和被叫号码,以使所述云端密话业务管理平台根据所述主叫号码和被叫号码生成本次通话的所述密话标识;
在所述云端密话业务管理平台基于所述对照表确定所述主叫终端和被叫终端所属的密钥管理平台标识不一致时,所述主叫终端和被叫终端获取所述云端密话业务管理平台返回的所述密话标识以及对端所属密钥管理平台的标识。
进一步地,所述通话接通后,主叫终端和被叫终端播放提示音,并基于所述密话标识向其所属密钥管理平台申请本次通话的会话密钥,所述会话密钥由量子密钥分发系统分发,包括:
所述被叫终端向其所属密钥管理平台发送第一密钥请求,以使所述密钥管理平台从密码机中获取密钥标识并返回至所述被叫终端,所述第一密钥请求携带有所述密话标识以及对端所属密钥管理平台的标识;
所述被叫终端将所述密钥标识和所述密话标识推送至所述云端密话业务管理平台,以使所述云端密话业务管理平台将所述密钥标识和所述密话标识推送至所述主叫终端;
所述主叫终端向其所属密钥管理平台发送第二密钥请求,以使密钥管理平台返回所述会话密钥至所述主叫终端,所述第二密钥请求携带所述密钥标识和所述密话标识。
进一步地,所述密钥管理平台从密码机中获取密钥标识并返回至所述被叫终端,包括:
所述密钥管理平台向所述密码机发送第一密钥申请,以使所述密码机根据所述第一密钥申请向其连接的QKD网络发起第二密钥申请,其中,所述第一密钥申请携带信息包括所述密话标识、所述主叫号码、所述被叫号码及对端所属密钥管理平台的标识,所述第二密钥申请携带的信息包括对端所属密钥管理平台的标识;
所述QKD网络根据所述第二密钥申请,获取所述主叫终端和所述被叫终端所属QKD节点的一支对称密钥,并将所述对称密钥返回至所述密码机;
所述密码机通过所述密钥管理平台返回所述对称密钥及密钥标识至所述被叫终端。
进一步地,所述主叫终端和被叫终端基于所述会话密钥,使用媒体信道同步主叫终端和被叫终端密钥获取状态后,进行加密语音通话,包括:
所述主叫终端和被叫终端获取所述会话密钥;
所述主叫终端和被叫终端向所述云端密话业务管理平台同步密钥获取的通知信息,以使所述云端密话业务管理平台将所述通知信息透传至所述主叫终端和被叫终端,完成密钥获取状态同步。
进一步地,在所述主叫终端和被叫终端中至少一个为基于SIP拓展字段请求分发入密标识的SIP终端时,所述方法还包括:
所述云端密话业务管理平台与IMS网络完成用户同步接口和密话标识推送接口;
由所述云端密话业务管理平台或所述IMS网络生成所述密话标识,并由所述IMS网络下发对应的密话标识至所述SIP终端,所述SIP终端包括密钥中间件和语音中间件;
所述语音中间件获取经基带芯片处理后的密话标识,并调用所述密钥中间件,向所述密钥管理平台申请获取所述会话密钥。
此外,本发明还提出了一种VoLTE语音加密通信终端,所述终端内设有安全芯片和中间组件,所述安全芯片内存储有认证密钥,所述中间组件包括密钥中间件、业务中间件和语音中间件,其中:
所述密钥中间件,用于利用所述安全芯片内存储的认证密钥完成到其所属密钥管理平台的身份认证,所述业务中间件向云端密话业务管理平台请求登录,所述语音中间件进行自启动;
所述业务中间件,用于在通话双方发起通话后,向云端密话业务管理平台发送验证请求,以获取所述云端密话业务管理平台返回的密话标识;所述业务中间件,用于在通话接通,所述终端播放提示音后,调用所述密钥中间件,并基于所述密话标识向其所属密钥管理平台申请本次通话的会话密钥,所述会话密钥由量子密钥分发网络分发;
所述密钥中间件,用于将所述会话密钥传递至所述语音中间件,并由所述语音中间件使用媒体信道完成通话双方密钥获取状态同步后,通话双方进行加密语音通话;
所述语音中间件,用于在通话挂断后,发送加密结束消息,结束本次密钥通话。
进一步地,所述业务中间件包括UI展示模块、密话通知模块、密话标识同步模块和密钥协商发起模块,其中:
所述UI展示模块,用于展示和所述云端密话业务管理平台协调用户签约的判断信息、本次密话通知和标识同步信息以及本次密话开始密钥协商状态;
所述密话通知模块,用于与所述云端密话业务管理平台的接口进行交互;
所述密话标识同步模块,用于在所述云端密话业务管理平台判断通话双方具备密话通话资格及条件后,获取所述云端密话业务管理平台返回的密话标识和对端获取状态,完成密话标识下发及同步;
所述密钥协商发起模块,用于在完成密钥标识同步后,基于所述密钥标识向所述密钥中间件发起密钥请求并获得对应的密钥协商状态。
进一步地,所述密钥中间件包括对外服务接口、通用密码服务模块和密码设备服务模块,其中:
所述对外服务接口,用于通过进程间通信方式连接外部应用;
所述通用密码服务模块,用于提供密钥管理、身份认证和密钥运算接口;
所述密码设备服务模块,用于获取所述安全芯片内存储的认证密钥。
进一步地,所述语音中间件包括语音拦截模块、语音速率筛选模块、语音加密模块和语音回传模块,其中:
所述语音拦截模块,用于监听当前终端系统中的语音数传通道、拦截及回传语音通话数据;
所述语音速率筛选模块,用于接收并检测所述语音拦截模块传输的语音通话数据,获得AMR净荷数据;
所述语音加密模块,用于进行密钥处理、会话密钥状态协商及语音数据加解密收发;
所述语音回传模块,用于将所述AMR净荷数据按单帧方式发送到所述语音加密模块,并将所述语音加密模块处理好的语音加密数据回传至所述语音速率筛选模块。
此外,本发明还提出了一种VoLTE语音加密通信系统,所述系统包括:量子密钥分发网络、主叫终端、被叫终端、第一密钥管理平台、第二密钥管理平台、第一密码机、第二密码机、云端密话业务管理平台和运营商网络;
所述主叫终端和所述被叫终端分别集成有安全芯片,所述安全芯片内存储有认证密钥;
所述主叫终端连接所述第一密钥管理平台,所述被叫终端连接所述第二密钥管理平台,所述第一密钥管理平台经所述第一密码机接入所述量子密钥分发网络,所述第二密钥管理平台经所述第二密码机接入所述量子密钥分发网络,所述主叫终端和所述被叫终端分别经所述运营商网络接入所述云端密话业务管理平台;
所述主叫终端和所述被叫终端内均设有中间组件,所述中间组件包括密钥中间件、业务中间件和语音中间件,所述密钥中间件与所述第一密钥管理平台或所述第二密钥管理平台连接,所述业务中间件与所述云端密话业务管理平台连接,所述语音中间件与底层数据传输通道连接;
所述密钥中间件用于利用其对应的所述安全芯片内存储的认证密钥完成到其所属密钥管理平台的身份认证,所述业务中间件向所述云端密话业务管理平台请求登录,所述语音中间件进行自启动;
在主叫终端发起通话后,所述业务中间件用于向云端密话业务管理平台发送验证请求,以获取所述云端密话业务管理平台返回的密话标识;
通话接通后,主叫终端和被叫终端播放提示音,所述业务中间件调用所述密钥中间件,并基于所述密话标识向其所属密钥管理平台申请本次通话的会话密钥,所述会话密钥由量子密钥分发网络分发;
所述密钥中间件将所述会话密钥传递至所述语音中间件,并由所述语音中间件使用媒体信道完成主叫终端和被叫终端密钥获取状态同步后,主叫终端和被叫终端进行加密语音通话;
在通话挂断后,由所述语音中间件发送加密结束消息,结束本次密钥通话。
本发明的优点在于:
(1)本发明中,主叫终端和被叫终端内均集成有安全芯片,主叫终端和被叫终端利用各自内部集成的安全芯片存储的认证密钥完成到其所属的密钥管理平台的身份认证,密钥管理平台内存储有经量子密钥分发网络分发的会话密钥对,通过采用对称密钥算法实现VoLTE终端认证和密钥的分发,不需要证书管理模块,相比证书系统有着计算速度快、安全性高的特点。而且,该加密通话由VoLTE发起流程,先接通明话再进行密钥协商流程,避免密钥过早的协商,避免了用户接电话过快对密钥协商要求过高的问题,并在真正发起明话时,先播放一端提示音,等待密钥协商才进行真正的密话,对用户来说只有密话一种感知,用户体验好。另外,通过使用接通后的媒体信道作为密钥状态同步接口,可以实现将密钥同步时间通过媒体信道进行同步,提高同步效率。
(2)本发明能够从终端内部处理流程、云端密话业务管理平台、密钥管理平台以及对应的量子密钥分发网络角度完成一个端到端的实例。
(3)本发明可以实现两个QKD节点下的不同密钥管理平台之间的密钥交互下VoLTE互通的问题。
(4)SIP终端和非SIP终端均可采用本发明方案实施,且对两种类型终端无改动,容易实施。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明第一实施例中VoLTE语音加密通信方法的流程示意图;
图2是本发明第一实施例中步骤S10的细分步骤示意图;
图3是本发明第一实施例中步骤S20的细分步骤示意图;
图4是本发明第一实施例中步骤S30的细分步骤示意图;
图5是本发明第一实施例中步骤S40的细分步骤示意图;
图6是本发明第二实施例中VoLTE语音加密通信终端的结构示意图;
图7是本发明第二实施例中中间组件的连接示意图;
图8是本发明第三实施例中VoLTE语音加密通信系统的结构图示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图1,本发明第一实施例提出了一种VoLTE语音加密通信方法,主叫终端和被叫终端内分别集成有安全芯片,所述方法包括以下步骤:
S10、主叫终端和被叫终端分别通过其对应安全芯片内存储的认证密钥完成到其所属密钥管理平台的身份认证;
需要说明的是,各密钥管理平台使用充注功能实现对其连接的安全芯片充注,主叫终端和被叫终端分别获取充注密钥,将充注密钥作为认证密钥,并且充注密钥之间无关联性;本实施例采用安全芯片预制密钥作为认证密钥,解决VoLTE手持终端认证中依赖证书问题,实现一次认证一次密钥功能。
S20、主叫终端发起通话,主叫终端和被叫终端向云端密话业务管理平台发送验证请求,以获取所述云端密话业务管理平台返回的密话标识;
需要说明的是,主被叫双方发起通话,被叫终端开始响铃,主叫终端和被叫终端申请到云端密话业务管理平台验证双方签约信息,云端密话业务管理平台通过自身的业务系统记录判断通话双方是否已经签约密话服务,完成验证后,根据主/被叫双方的账号生成本次通话的唯一标识即密话标识并下发到主叫终端和被叫终端。
S30、通话接通后,主叫终端和被叫终端播放提示音,并基于所述密话标识向其所属密钥管理平台申请本次通话的会话密钥,所述会话密钥由量子密钥分发网络分发;
需要说明的是,为了避免主/被叫双方提前以明话方式进行,主叫终端和被叫终端在进行明话方式之前先播放密钥协商中的提示音,双方暂时不能通话,然后基于密话标识向所属密钥管理平台申请本次通话的会话密钥,密钥管理平台向各自连接的密码机申请本次通话的会话密钥,密码机中存储的量子密钥由量子密钥分发网络分发,即作为本次通话的会话密钥。
S40、主叫终端和被叫终端基于所述会话密钥,使用媒体信道同步主叫终端和被叫终端密钥获取状态后,进行加密语音通话;
需要说明的是,通过使用接通后的媒体信道作为密钥状态同步接口,可以实现将密钥同步时间通过媒体信道进行同步,提高同步效率。
需要说明的是,主叫终端和被叫终端开始进行加密语音通话时,对语音开始拦截并对符合条件的语音数据进行加密传输。
S50、主叫终端和被叫终端发送加密结束消息,结束本次密钥通话。
需要说明的是,主叫终端和被叫终端挂断电话时,即发送加密通话结束消息,双方结束本次密钥通话。
本实施例中,主叫终端和被叫终端内均集成有安全芯片,主叫终端和被叫终端利用各自内部集成的安全芯片存储的认证密钥完成到其所属的密钥管理平台的身份认证,密钥管理平台内存储有经量子密钥分发网络分发的会话密钥对,通过采用对称密钥算法实现VoLTE终端认证和密钥的分发,不需要证书管理模块,相比证书系统有着计算速度快、安全性高的特点。而且,该加密通话由VoLTE发起流程,先接通明话再进行密钥协商流程,避免密钥过早的协商,避免了用户接电话过快对密钥协商要求过高的问题,并在真正发起明话时,先播放一端提示音,等待密钥协商才进行真正的密话,对用户来说只有密话一种感知,用户体验好。另外,通过使用接通后的媒体信道作为密钥状态同步接口,可以实现将密钥同步时间通过媒体信道进行同步,提高同步效率。
进一步地来说,本次发明在密钥充注阶段直接使用密钥管理平台对主被叫双方安全芯片充注密钥作为认证密钥,主被叫双方内部存储的认证密钥无任何关系,其主要作用为主被叫双方各自使用各自芯片内存储的密钥实现到密钥管理平台的身份认证,实现身份认证的一次一密。在语音通讯阶段,主被叫双方申请本次通信密钥时候,密钥管理平台会使用主被叫双方安全芯片内的一支新的密钥作为保护密钥下发会话密钥,虽然会话密钥的明文一致,但是由于主被叫双方安全芯片内存储的认证密钥不同,所以主被叫双方得到的密钥密文并不一致,提供了会话密钥下发的一次一密功能;而且整个过程并没有使用标签系统,减少了交互流程,整个过程不要求主被叫双方内密钥一致,实现了主被叫安全芯片内部充注的根密钥和实际语音通讯所需会话密钥的解耦,提供了更多的适应性,更符合实际的业务情况。
在一实施例,参照图2,所述步骤S10,包括如下细分步骤:
S11、所述安全芯片分别获取其所属密钥管理平台的标识;
需要说明的是,各密钥管理平台使用充注功能实现对其连接的安全芯片充注,充注过程将密钥管理平台的标识写入到所连接的安全芯片内,此标识在量子密钥分发QKD网络具备唯一性。
S12、所述主叫终端和被叫终端分别调用其对应安全芯片内存储的所述认证密钥,完成到其所属密钥管理平台的身份认证;
需要说明的是,在终端启动后,即调用安全芯片内密钥存储的认证密钥完成到所属密钥管理平台的登录认证,并且终端还对外提供密钥服务。
S13、所述主叫终端和被叫终端将其所属密钥管理平台的标识及自身的终端标识上传至所述云端密话业务管理平台,以使所述云端密钥业务管理平台生成终端标识和密钥管理平台标识的对照表并存储。
需要说明的是,云端密话业务管理平台存储用户终端与各密钥管理平台对应关系,作为多个密钥管理平台对接的用户资源信息库,提供跨密钥管理平台密钥协商查询服务,可适配在QKD网络下多密钥平台VoLTE业务互通问题。
在一实施例中,参照图3,所述步骤S20,包括以下细分步骤:
S21、所述主叫终端和被叫终端向所述云端密话业务管理平台上报本次通话的主叫号码和被叫号码,以使所述云端密话业务管理平台根据所述主叫号码和被叫号码生成本次通话的所述密话标识;
S22、在所述云端密话业务管理平台基于所述对照表确定所述主叫终端和被叫终端所属的密钥管理平台标识不一致时,所述主叫终端和被叫终端获取所述云端密话业务管理平台返回的所述密话标识以及对端所属密钥管理平台的标识。
需要说明的是,主叫终端和被叫终端上报本次通话的主被叫号码至云端密话业务管理平台,云端密话业务管理平台根据主/被叫双方签约密话的状态判断本次通话是否具备进入密话条件;同时云端密话业务管理平台检查主/被叫双方最近一次登录状态,如果发现双方状态正常,则根据主/被叫号码生成本次通话的密话标识;同时按照对照表,检查通话双方所属密钥管理平台的标识,如果不一致,云端密话业务管理平台返回对端所属密钥平台标识以及密话标识到本终端。
本实施例中的密话标识的获取可适配在QKD网络下多密钥平台VoLTE业务互通问题,因为多密钥管理平台下,业务标识无法直接代理密钥标识。
在一实施例中,参照图4,所述步骤S30,包括以下细分步骤:
S31、所述被叫终端向其所属密钥管理平台发送第一密钥请求,以使所述密钥管理平台从密码机中获取密钥标识并返回至所述被叫终端,所述第一密钥请求携带有所述密话标识以及对端所属密钥管理平台的标识;
需要说明的是,被叫终端一般作为主动端,其根据参数(对端所属平台标识、密话标识)向自身所属的密钥管理平台请求密钥。
S32、所述被叫终端将所述密钥标识和所述密话标识推送至所述云端密话业务管理平台,以使所述云端密话业务管理平台将所述密钥标识和所述密话标识推送至所述主叫终端;
S33、所述主叫终端向其所属密钥管理平台发送第二密钥请求,以使密钥管理平台返回所述会话密钥至所述主叫终端,所述第二密钥请求携带所述密钥标识和所述密话标识。
需要说明的是,在单密钥管理平台情况下,由于密钥生成是一个平台,因此可以直接使用密话标识作为密钥标识可以完成双端密钥获取,主被叫双方可以使用密话标识到同一个密钥管理平台获取密钥。但是在多密钥管理平台下,因为密钥管理平台主要依靠通过QKD网络提供密钥接口完成双端密钥协商,协商出一个密钥返回一个密钥标识,此时在密钥申请主动端能够获取到此密钥标识,但是另外一端无法使用同一个密话标识唯一标识一个密钥,无法实现密钥同步。
而本实施例实现了QKD异地协商密钥后密钥标识和本次VoLTE通话之间的密话标识之间的关联,实现了多密钥管理平台下密钥的分发问题,真正实现密钥同步。
在一实施例中,所述步骤S31中,所述密钥管理平台从密码机中获取密钥标识并返回至所述被叫终端,包括:
所述密钥管理平台向所述密码机发送第一密钥申请,以使所述密码机根据所述第一密钥申请向其连接的QKD网络发起第二密钥申请,其中,所述第一密钥申请携带信息包括所述密话标识、所述主叫号码、所述被叫号码及对端所属密钥管理平台的标识,所述第二密钥申请携带的信息包括对端所属密钥管理平台的标识;
所述QKD网络根据所述第二密钥申请,获取所述主叫终端和被叫终端所属QKD节点的一支对称密钥,并将所述对称密钥返回至所述密码机;
所述密码机通过所述密钥管理平台返回所述对称密钥及密钥标识至所述被叫终端。
需要说明的是,本实施例能够从终端内部处理流程、云端密话业务管理平台、密钥管理平台以及对应的量子密钥分发网络角度完成一个端到端的实例;并且可以实现两个QKD节点下的不同密钥管理平台之间的密钥交互下VoLTE互通的问题。
在一实施例中,参照图5,所述步骤S40,包括以下细分步骤:
S41、所述主叫终端和被叫终端获取所述会话密钥;
S42、所述主叫终端和被叫终端向所述云端密话业务管理平台同步密钥获取的通知信息,以使所述云端密话业务管理平台将所述通知信息透传至所述主叫终端和被叫终端,完成密钥获取状态同步。
需要说明的是,在一些场景下,主/被叫双方获取相关的密钥后,用户期望接通电话就是密话,而不想先接通电话再进行密钥分发,以提升用户对VoLTE密话的体验;本实施例可通过终端推送机制实现不依赖媒体信息流同步密钥的优化实例,可以实现呼叫双方在同一密钥平台下以及不同密钥平台下的密钥获取状态同步,有一定的适应性。
进一步地,在一些场景下,会存在基于SIP拓展字段请求分发入密标识定制终端(SIP终端)和不依赖SIP拓展字段的定制终端(非SIP终端)共存的方案,两个定制终端主要区别是SIP类终端实现对模组侧改造具备处理SIP拓展字段能力,相同点是拥有类似的密钥中间件和语音中间件结构实现密钥协商以及语音加解密。因此只需要完成云端管理平台和IMS负责负责密钥标识分发的服务AS(业务鉴权平台)对接,就可以实现不修改终端的情况下的VoLTE互通功能,本方案具备对现有2种类型终端无改动,容易实施的特点。具体实施步骤包括:
(1)IMS组件负责密钥标识分发的服务AS(业务鉴权平台)和云端密话业务管理平台完成用户同步接口、密话标识推送接口;
(2-1)第一种场景:呼叫双方一方为SIP终端,SIP终端为主叫方:
主叫发起通话后,呼叫请求会发送到IMS网络负责密钥标识分发的服务AS(业务鉴权平台),AS会查询本地同步数据库确定该账号终端类型,符合入密条件则生成对应的密话标识并发送该标识到云端密话业务管理平台,云端密话业务管理平台推送该密话标识到对端终端,对于SIP终端则继续使用AS下发密话标识完成入密。
(2-2)第二种场景:SIP终端为被叫端,正常主叫端发起通话:
通过云端密话业务管理平台查询对端为SIP终端,云端密话业务管理平台生成密话标识并推送对应的密话标识到IMS网络负责密钥标识分发的服务AS(业务鉴权平台),由AS下发对应的入密标识到对应SIP拓展方案终端完成入密。
(3)密话标识下发后,SIP终端会将基带芯片处理后的入密标识传递到语音中间件,语音中间件在调用密钥中间件完成根据入密标识到密钥管理平台获取密钥,针对非SIP类拓展字段,则根据业务中间件推送入密标识到密钥中间件方式实现密钥的获取。
(4)主被叫双方使用密钥中间件完成密钥获取,并遵循步骤S40~S50流程实现语音加密功能。
此外,参照图6至图7,本发明第二实施例提出了一种VoLTE语音加密通信终端,所述终端内设有安全芯片4和中间组件,所述安全芯片4内存储有认证密钥,所述中间组件包括密钥中间件3、业务中间件1和语音中间件2,其中:
所述密钥中间件3,用于利用所述安全芯片4内存储的认证密钥完成到其所属密钥管理平台的身份认证,所述业务中间件1向云端密话业务管理平台请求登录,所述语音中间件2进行自启动;
所述业务中间件1,用于在通话双方发起通话后,向云端密话业务管理平台发送验证请求,以获取所述云端密话业务管理平台返回的密话标识;所述业务中间件1,用于在通话接通,所述终端播放提示音后,调用所述密钥中间件,并基于所述密话标识向其所属密钥管理平台申请本次通话的会话密钥,所述会话密钥由量子密钥分发网络分发;
所述密钥中间件3,用于将所述会话密钥传递至所述语音中间件,并由所述语音中间件2使用媒体信道完成通话方双密钥获取状态同步后,通话双方进行加密语音通话;
所述语音中间件2,用于在通话挂断后,发送加密结束消息,结束本次密钥通话。
本实施例中,在终端内部,三个中间件之间,依赖安全芯片内密钥,实现了中间件之间、中间件到平台,不使用公私钥、使用安全芯片内密钥实现实体鉴别,实现一次鉴别一次密钥,具备认证速度快的特点。
具体地来说,所述密钥中间件,用于和终端内集成的安全芯片进行交互,支持多种通道协议实现对不同类型安全芯片内密钥的读取和操作。由于安全芯片大多是单通道,所以密钥中间件需要具备对外统一服务功能,能够完成对接入应用的应用鉴权、访问控制、调度等功能;同时密钥中间件还可以和密钥管理平台完成基于安全芯片的身份认证、密钥协商、会话密钥获取、加密和销毁功能,实现中间件对密码安全能力的统一管控和服务。
所述业务中间件用于和云端密话业务管理平台交互完成VoLTE密话通知、密话标识同步以及调用密码中间件完成密钥协商功能,在中间件初始化阶段可以完成将安全芯片内充注平台标识上报的功能,云端密话业务管理平台根据上报信息可以构建一个全域用户与密钥管理平台对应关系。
所述业务中间件可以根据通话过程状态,反馈当前通话进展,同时该业务中间件还以独立进程方式在手机中,具备开机自启动、并保持所述进程不被手机系统杀死。
所述语音中间件以独立进程方式运行在手机中间件,主要完成和底层手机语音处理和传输模块交互,实现加密通话时关闭静音检测机制和关闭录音功能;在手机系统底层监听语音通话状态,并能调用密码中间件提供的密码运算接口实现语音流的加解密功能。
在一实施例中,参照图6,所述业务中间件包括UI展示模块、密话通知模块、密话标识同步模块和密钥协商发起模块,其中:
所述UI展示模块,用于展示和所述云端密话业务管理平台协调用户签约的判断信息、本次密话通知和标识同步信息以及本次密话开始密钥协商状态;
所述密话通知模块,用于与所述云端密话业务管理平台的接口进行交互;
所述密话标识同步模块,用于在所述云端密话业务管理平台判断通话双方具备密话通话资格及条件后,获取所述云端密话业务管理平台返回的密话标识和对端获取状态,完成密话标识下发及同步;
所述密钥协商发起模块,用于在完成密钥标识同步后,基于所述密钥标识向所述密钥中间件发起密钥请求并获得对应的密钥协商状态。
具体地,所述UI展示模块,用于密话建立过程中各个阶段UI展示,主要包括和云端密话业务管理平台协调用户签约信息判断信息展示、本次密话通知和标识同步信息展示、本次密话开始密钥协商状态显示等几个流程的展示。
所述密话通知模块包含和云端密话业务管理平台接口交互,实现密话主被叫双方密话签约资格判断、双方当前网络状态判断以及和云端密话业务管理平台消息推送功能。
所述密话标识同步模块用于在云端密话业务管理平台判断双方具备密话通话资格以及条件后,云端密话业务管理平台生成本次通话的标识,并推送到业务中间件,业务中间件通过云端密话业务管理平台获取对端获取状态,完成密话标识下发以及同步,此接口主要用于分属于多个密钥管理平台之间用户VoLTE通话,在同一个密钥平台用户之前不需要此功能。
所述密钥协商发起模块,用于在完成密钥标识同步接口后,业务中间件使用该标识向密钥中间件发起密钥申请请求并获得对应的密钥协商状态。
在一实施例中,参照图6,所述密钥中间件包括对外服务接口、通用密码服务模块和密码设备服务模块,其中:
所述对外服务接口,用于通过进程间通信方式连接外部应用;
所述通用密码服务模块,用于提供密钥管理、身份认证和密钥运算接口;
所述密码设备服务模块,用于获取所述安全芯片内存储的认证密钥。
具体地,所述对外服务主要包含外部应用鉴权、访问控制、进程通信等功能,实现外部应用的安全接入,外部应用通过进程间通信方式接入到密钥中间件。
所述通用密码服务模块主要包含密钥管理、身份认证、密钥运算接口,实现对外部应用的密钥服务。
具体来说,密钥中间件在启动过程中会通过密码设备服务接口获取安全芯片内密钥,实现以安全芯片内一支密钥为认证密钥完成到密钥管理平台的身份认证,整个认证过程基于15843.2标准中规定的两次鉴别认证机制,实现了认证过程中的一次一密,能够避免证书体系认证过于复杂、计算量大的问题。
所述业务中间件完成基本密话标识同步,并通过密钥中间件外部接口传递到密钥中间件,密钥中间件将密话标识、主被叫双方号码作为密钥标识到密钥管理平台申请对应会话密钥,实现本次通话会话密钥的申请和获取。
所述密码设备服务模块主要实现对安全芯片的设备管理、卡内容器、文件的应用管理、密钥管理以及运算接口调用。
在一实施例中,参照图6,所述语音中间件包括语音拦截模块、语音速率筛选模块、语音加密模块和语音回传模块,其中:
所述语音拦截模块,用于监听当前终端系统中的语音数传通道、拦截及回传语音通话数据;
所述语音速率筛选模块,用于接收并检测所述语音拦截模块传输的语音通话数据,获得AMR净荷数据;
所述语音加密模块,用于进行密钥处理、会话密钥状态协商及语音数据加解密收发;
所述语音回传模块,用于将所述AMR净荷数据按单帧方式发送到所述语音加密模块,并将所述语音加密模块处理好的语音加密数据回传至所述语音速率筛选模块。
具体地,所述语音拦截模块主要包含用于监听当前手机系统中的语音数传通道、拦截及回传语音通话数据。
所述语音速率筛选模块,用于接收并检测所述语音数据拦截模块传输过来的语音通话数据;对于所述语音通话数据,可以根据VoLTE语音质量设定规则,对VoLTE语音数据进行数据处理,理论上面讲能够实现不同码率VoLTE语音数据处理以适应不同的网络环境,对符合条件的语音数据,获得AMR净荷数据;将所述AMR净荷数据推送到所述语音回传模块。根据3GPP协议,将符合条件的AMR净荷数据推送到所述语音回传模块;不满足这个要求的其它语音数据送回手机语音数传通道。
所述语音回传模块,用于将所述AMR净荷数据按单帧方式实时发送到协商加密模块,并接收所述协商加密模块处理好的VoLTE语音加密数据回传到语音速率筛选模块。
所述语音加密模块,用于密钥处理、会话密钥状态协商和语音数据加解密收发功能。
具体地,所述密钥处理功能主要为语音中间件通过和密钥中间件交互实现会话密钥,会话密钥采用加密方式进行保护,密钥处理功能完成对会话密钥密文数据处理,初始化加密环境。
所述会话密钥协商包括:在完成会话密钥获取之后,呼叫双方需要借用现有系统语音数传通道发送和本次密话标识相关的一个语音信息,通过所述语音速率筛选模块查收对方返回信息:如果筛选出对方返回信息,则说明双方语音数据均在运营商VoLTE环境下传输,双方AMR净荷速率是匹配的,且同时对方也已经按照所述密话建立指令要求完成了会话密钥的协商,准备好了加密通话的会话密钥具备;如果筛选不出对方返回信息,则表示有一方不在VoLTE环境下或者会话密钥获取失败,AMR净荷速率没有匹配上,加密通话协商失败。如果协商成功则开始进入到语音数据加密。
所述语音数据加解密包括:发起方双方完成会话密钥协商后,通过语音回传模块传递VoLTE语音数据,加密模块具备对VoLTE编码速率自适应能力,在数据加解密整个生命周期内,针对上下行语音数据流,加解密模块会构造数据加解密开始和结束报文,实现对加解密状态的控制和同步。
本实施例中的加密终端,具备为了VoLTE加密提供的业务、密钥、语音中间件功能特征以及类似的终端内程序,保障VoLTE加密业务开展。
在一实施例中,为了适配在QKD网络下多密钥平台VoLTE业务互通问题,所述密钥中间件,用于利用所述安全芯片内存储的认证密钥完成到其所属密钥管理平台的身份认证,所述业务中间件向所述云端密话业务管理平台请求登录,所述语音中间件进行自启动,具体展开为:
a1)密钥管理平台使用充注功能实现对安全芯片充注,充注过程将本平台的密钥管理平台标识写入到安全芯片内,此标识在QKD网络具备唯一性。
a2)安全芯片集成终端,终端启动后,密钥中间件调用安全芯片内密钥存储的密钥完成到密钥管理平台登录认证、同时密钥中间件对外提供密钥服务。
a3)业务中间件接入密钥中间件,获取充注的密钥管理平台标识,并上传自身信息(终端信息)和密钥管理平台标识到云端密话业务管理平台。
a4)云端密话业务管理平台存储用户与各密钥管理平台对应关系,作为多个密钥管理平台对接的用户资源信息库,提供跨密钥管理平台密钥协商查询服务。
在一实施例中,所述在通话双方发起通话后,所述业务中间件用于向云端密话业务管理平台发送验证请求,以获取所述云端密话业务管理平台返回的密话标识,具体展开为:
b1)终端使用业务中间件上报本次通话的主被叫号码到云端密话业务管理平台,云端密话业务管理平台根据主被叫双方签约密话的状态进行判断,本次通话是否具备进入密话条件,同时云端密话业务管理平台检查主被叫双方中间件最近一次登录状态,如果发现双方中间件状态正常,则根据主被叫号码生成本次通话密话标识,同时检查通话双方所属密钥管理平台标识,如果不一致,云端密话业务管理平台返回对端所属密钥平台标识以及生成本次通话的密话标识到业务中间件。
b2)在密钥协商阶段启动后,终端内业务中间件将对端所属密钥平台标识、云端密话业务管理平台生成密话标识发送到密钥中间件。
在一实施例中,所述通话接通后,所述终端播放提示音,所述业务中间件调用所述密钥中间件,并基于所述密话标识向其所属密钥管理平台申请本次通话的会话密钥,具体展开为:
c1)被叫一般作为主动端,密码中间件根据参数(对端所属平台标识、密话标识)向自身密钥管理平台请求密钥。
c2)密钥管理平台根据密话标识、主被叫号码、对端所属密钥平台标识到密码机获取密钥,密码机根据密钥平台表示向自身连接QKD网络发起密钥申请。
c3)QKD网络根据请求,根据主被叫所属密钥平台标识获取指定主被叫所属QKD节点的一支对称密钥,并将对应密钥标识返回到密码机。
c4)密码机反馈对应密钥并通过密钥管理平台返回密钥和密钥标识到被叫端。
c5)被叫端密码中间件推送密钥标识到业务中间件,业务中间件再推送密钥标识和密话标识到云端密话业务管理平台。
c6)云端密话业务管理平台推送该密钥标识和密话标识到主叫端。
c7)主叫端业务中间件推送密钥标识、密话标识到自身密钥中间件,主叫密钥中间件根据这两个参数向自身密钥管理平台获取会话密钥。
在一实施例中,所述密钥中间件将所述会话密钥传递至所述语音中间件,并由所述语音中间件使用媒体信道完成通话双方密钥获取状态同步,具体展开为:
d1)主被叫密钥中间件获取本次通话的会话密钥,将密钥获取状态通知各自业务中间件。
d2)双方业务中间件向云端密话业务管理平台同步本次通话会话密钥已经获取的通知信息。
d3)云端密话业务管理平台透传双方推送信息到各自业务中间件,完成密钥获取状态同步。
d4)双方各自业务中间件同步状态信息到中间件完成密钥获取状态同步。
需要说明的是,直接使用业务中间件的推送机制实现不依赖媒体信息流同步密钥的优化实例,此方案不依赖密钥中间件,可以实现呼叫双方在同一密钥平台下以及不同密钥平台下的密钥获取状态同步,有一定的适应性。
在一实施例中,所述主叫终端和被叫终端密钥获取状态同步后,主叫终端和被叫终端进行加密语音通话,具体展开为:
e1)主叫终端和被叫终端的密钥中间件将加密后会话密钥传递到语音中间件,完成语音中间件加密状态初始化,语音中间件使用媒体通道完成呼叫双方获取密钥状态同步。
e2)主/被叫双方开始进行密话,终端开始进行加密语音通话,语音中间件对语音开始拦截、对符合条件的语音数据进行加密。
e3)主被叫挂断电话,语音中间件发送加密结束消息,完成本次密钥通话。
需要说明的是,本实施例提出的终端可避开了对电信运营商的IMS网络的改造和信令控制协议SIP协议的扩展,只是通过集中的管理平台的部署,以及手机端的深度定制(业务、语音、密钥)三个中间件互相协作实现通过语音信道传输密钥同步信息、基于业务数据信息传递密钥同步信息、以及基于SIP拓展字段终端和非SIP拓展终端VoLTE加密互通的问题,具备适应性广、建设有方案简单,成本较低,周期较短的优势。
并且,使用终端深度定制(业务、语音、密钥)三个中间件技术实现了基于QKD量子密钥分发网络基于单密钥管理平台、多密钥管理平台下的VoLTE互通问题,实现客户自身密码系统建设安全性要求和全网互通需求的融合,提高VoLTE加密业务的兼容性。
需要说明的是,本发明所述VoLTE语音加密通信终端的其他实施例或具有实现方法可参照上述各方法实施例,此处不再赘余。
此外,参照图8,本发明第三实施例提出了一种VoLTE语音加密通信系统,所述系统包括:量子密钥分发网络13、主叫终端5、被叫终端6、第一密钥管理平台9、第二密钥管理平台10、第一密码机11、第二密码机12、云端密话业务管理平台8和运营商IMS网络7;
所述主叫终端5和所述被叫终端6分别集成有安全芯片4,所述安全芯片4内存储有认证密钥;
所述主叫终端5连接所述第一密钥管理平台9,所述被叫终端6连接所述第二密钥管理平台10,所述第一密钥管理平台9经所述第一密码机11接入所述量子密钥分发网络13,所述第二密钥管理平台10经所述第二密码机12接入所述量子密钥分发网络13,所述主叫终端5和所述被叫终端6分别经所述运营商IMS网络7接入所述云端密话业务管理平台8;
所述主叫终端5和所述被叫终端6内均设有中间组件,所述中间组件包括密钥中间件3、业务中间件1和语音中间件2,所述密钥中间件3与所述第一密钥管理平台9或所述第二密钥管理平台10连接,所述业务中间件1与所述云端密话业务管理平台8连接,所述语音中间件2与底层数据传输通道连接;
所述密钥中间件3用于利用其对应安全芯片4内存储的认证密钥完成到其所属密钥管理平台的身份认证,所述业务中间件1向所述云端密话业务管理平台8请求登录,所述语音中间件2进行自启动;
在主叫终端5发起通话后,所述业务中间件1用于向云端密话业务管理平台8发送验证请求,以获取所述云端密话业务管理平台8返回的密话标识;
通话接通后,主叫终端5和被叫终端6播放提示音,所述业务中间件1调用所述密钥中间件3,并基于所述密话标识向其所属密钥管理平台申请本次通话的会话密钥,所述会话密钥由量子密钥分发网络13分发;
所述密钥中间件3将所述会话密钥传递至所述语音中间件2,并由所述语音中间件2使用媒体信道完成主叫终端5和被叫终端6密钥获取状态同步后,主叫终端5和被叫终端6进行加密语音通话;
在主叫终端5和被叫终端6挂断后,由所述语音中间件2发送加密结束消息,结束本次密钥通话。
需要说明的是,所述云端密话业务管理平台8用于提供基于VoLTE语音全网广域用户寻址管理、各密钥系统信息注册管理、VoLTE通话过程中入密标识生成、下发功能。
所述运营商IMS网络7用于云端密话业务管理平台8与手机端之间数据的承载和传输以及两台手机之前存在的信令域和媒体域。
所述中间组件能够实现VoLTE通话双方密钥管理平台寻址、VoLTE入密消息处理、密钥协商申请、获取功能、通话过程中通话数据进行实时加解密等功能。
所述安全芯片4为符合国家商用密码局颁发证书,具备安全保护能力的安全介质,能够和密钥管理平台对接实现安全芯片4内密钥充注功能,实现以安全芯片4内密钥为认证密钥到密钥管理平台身份认证、会话密钥一次一密的下发。
所述密钥管理平台:用于提供所述密钥管理中间件的服务端API接口,用以和所述手机端中间件对接实现用户以安全芯片4内充注密钥为核心的用户登录时的身份校验、会话密钥协商,以及加密通话建立过程中会话密钥的生成和下发,并且密钥管理平台可以在单独部署或者部署在量子密钥分发网络13中,具备对接密码机获取密钥并分发到量子中间件功能。
所述第一密码机11和第二密码机12,采用三级密钥管理体系,使用密码卡实现密钥本地安全存储。支持“一次一密”、国密算法两种加密方式,实现密钥交换与输出。用于提供基于国密算法的密码运算,支持将量子保密通信网络、量子随机数发生器、本机密码卡作为密钥源。
所述量子密钥分发网络13是指量子满足量子保密通信在不同场景下的组网和应用需求,将点对点QKD链路扩展为多用户的QKD网络。主要包括QKD网络中的QKD模块、密钥管理器(KM)、QKDN控制器和QKDN网管系统,以及QKD模块间的QKD链路、KM间的KM链路;用户网络中的密码应用(KMS)等模块。
需要说明的是,在一些场景下,会存在基于SIP拓展字段请求分发入密标识定制终端和不依赖SIP拓展字段的定制终端共存的方案,两个定制终端主要区别是SIP类终端实现对模组侧改造具备处理SIP拓展字段能力,相同点是拥有类似的密钥中间件和语音中间件结构实现密钥协商以及语音加解密,因此只需要完成云端管理平台和IMS负责负责密钥标识分发的服务AS(业务鉴权平台)对接,就可以实现不修改终端的情况下的VoLTE互通功能。
本系统具备对现有2种类型终端无改动,容易实施的特点,其具体流程如下:
(1)IMS组件负责密钥标识分发的服务AS(业务鉴权平台)需要和云端密话业务管理平台完成用户同步接口、密话标识推送接口即可。
(2-1)第一种场景为主叫方为SIP终端:
主叫发起通话后,呼叫请求会发送到IMS网络负责密钥标识分发的服务AS(业务鉴权平台),AS会查询本地同步数据库确定该账号终端类型,符合入密条件则生成对应的密话标识并发送该标识到云端密话业务管理平台,云端密话业务管理平台推送该密话标识到对端终端,对于SIP终端则继续使用AS下发密话标识完成入密。
(2-2)第二种场景为SIP终端为被叫端:
正常主叫端发起通话,通过云端密话业务管理平台查询对端为SIP终端,云端密话业务管理平台生成密话标识并推送对应的密话标识到IMS网络负责密钥标识分发的服务AS(业务鉴权平台),由AS下发对应的入密标识到对应SIP终端完成入密。
(3)密话标识下发后,SIP终端会将基带芯片处理后的入密标识传递到语音中间件,语音中间件在调用密钥中间件完成根据入密标识到密钥管理平台获取密钥,针对非SIP类拓展字段,则根据业务中间件推送入密标识到密钥中间件方式实现密钥的获取。
(4)呼叫双方使用密钥中间件完成密钥获取,可以遵循e1)流程描述的媒体信道实现密钥获取状态双端同步。
(5)呼叫双方使用密钥中间件完成密钥获取,可以遵循e1)流程描述实现会话密钥获取以及密钥获取状态双端同步,并将会话密钥加密传递到语音中间件。
(6)双方使用语音中间件,遵照e2)、e3)实现语音加密功能。
需要说明的是,本发明所述VoLTE语音加密通信系统的其他实施例或具有实现方法可参照上述各方法实施例,此处不再赘余。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (12)
1.一种VoLTE语音加密通信方法,其特征在于,主叫终端和被叫终端内分别集成有安全芯片,所述方法包括:
主叫终端和被叫终端分别通过其对应安全芯片内存储的认证密钥完成到其所属密钥管理平台的身份认证;
主叫终端发起通话,主叫终端和被叫终端向云端密话业务管理平台发送验证请求,以获取所述云端密话业务管理平台返回的密话标识;
通话接通后,主叫终端和被叫终端播放提示音,并基于所述密话标识向其所属密钥管理平台申请本次通话的会话密钥,所述会话密钥由量子密钥分发网络分发;
主叫终端和被叫终端基于所述会话密钥,使用媒体信道同步主叫终端和被叫终端密钥获取状态后,进行加密语音通话;
主叫终端和被叫终端发送加密结束消息,结束本次密钥通话。
2.如权利要求1所述的VoLTE语音加密通信方法,其特征在于,所述主叫终端和被叫终端分别通过其对应安全芯片内存储的认证密钥完成到密钥管理平台的身份认证,包括:
所述安全芯片分别获取其所属密钥管理平台的标识;
所述主叫终端和被叫终端分别调用其对应安全芯片内存储的所述认证密钥,完成到其所属密钥管理平台的身份认证;
所述主叫终端和被叫终端将其所属密钥管理平台的标识及自身的终端标识上传至所述云端密话业务管理平台,以使所述云端密钥业务管理平台生成终端标识和密钥管理平台标识的对照表并存储。
3.如权利要求2所述的VoLTE语音加密通信方法,其特征在于,所述主叫终端发起通话,主叫终端和被叫终端向云端密话业务管理平台发送验证请求,以获取所述云端密话业务管理平台返回的密话标识,包括:
所述主叫终端和被叫终端向所述云端密话业务管理平台上报本次通话的主叫号码和被叫号码,以使所述云端密话业务管理平台根据所述主叫号码和被叫号码生成本次通话的所述密话标识;
在所述云端密话业务管理平台基于所述对照表确定所述主叫终端和被叫终端所属的密钥管理平台标识不一致时,所述主叫终端和被叫终端获取所述云端密话业务管理平台返回的所述密话标识以及对端所属密钥管理平台的标识。
4.如权利要求3所述的VoLTE语音加密通信方法,其特征在于,所述通话接通后,主叫终端和被叫终端播放提示音,并基于所述密话标识向其所属密钥管理平台申请本次通话的会话密钥,所述会话密钥由量子密钥分发系统分发,包括:
所述被叫终端向其所属密钥管理平台发送第一密钥请求,以使所述密钥管理平台从密码机中获取密钥标识并返回至所述被叫终端,所述第一密钥请求携带有所述密话标识以及对端所属密钥管理平台的标识;
所述被叫终端将所述密钥标识和所述密话标识推送至所述云端密话业务管理平台,以使所述云端密话业务管理平台将所述密钥标识和所述密话标识推送至所述主叫终端;
所述主叫终端向其所属密钥管理平台发送第二密钥请求,以使密钥管理平台返回所述会话密钥至所述主叫终端,所述第二密钥请求携带所述密钥标识和所述密话标识。
5.如权利要求4所述的VoLTE语音加密通信方法,其特征在于,所述密钥管理平台从密码机中获取密钥标识并返回至所述被叫终端,包括:
所述密钥管理平台向所述密码机发送第一密钥申请,以使所述密码机根据所述第一密钥申请向其连接的QKD网络发起第二密钥申请,其中,所述第一密钥申请携带信息包括所述密话标识、所述主叫号码、所述被叫号码及对端所属密钥管理平台的标识,所述第二密钥申请携带的信息包括对端所属密钥管理平台的标识;
所述QKD网络根据所述第二密钥申请,获取所述主叫终端和所述被叫终端所属QKD节点的一支对称密钥,并将所述对称密钥返回至所述密码机;
所述密码机通过所述密钥管理平台返回所述对称密钥及密钥标识至所述被叫终端。
6.如权利要求1所述的VoLTE语音加密通信方法,其特征在于,所述主叫终端和被叫终端基于所述会话密钥,使用媒体信道同步主叫终端和被叫终端密钥获取状态后,进行加密语音通话,包括:
所述主叫终端和被叫终端获取所述会话密钥;
所述主叫终端和被叫终端向所述云端密话业务管理平台同步密钥获取的通知信息,以使所述云端密话业务管理平台将所述通知信息透传至所述主叫终端和被叫终端,完成密钥获取状态同步。
7.如权利要求1所述的VoLTE语音加密通信方法,其特征在于,在所述主叫终端和被叫终端中至少一个为基于SIP拓展字段请求分发入密标识的SIP终端时,所述方法还包括:
所述云端密话业务管理平台与IMS网络完成用户同步接口和密话标识推送接口;
由所述云端密话业务管理平台或所述IMS网络生成所述密话标识,并由所述IMS网络下发对应的密话标识至所述SIP终端,所述SIP终端包括密钥中间件和语音中间件;
所述语音中间件获取经基带芯片处理后的密话标识,并调用所述密钥中间件,向所述密钥管理平台申请获取所述会话密钥。
8.一种VoLTE语音加密通信终端,其特征在于,所述终端内设有安全芯片和中间组件,所述安全芯片内存储有认证密钥,所述中间组件包括密钥中间件、业务中间件和语音中间件,其中:
所述密钥中间件,用于利用所述安全芯片内存储的认证密钥完成到其所属密钥管理平台的身份认证,所述业务中间件向云端密话业务管理平台请求登录,所述语音中间件进行自启动;
所述业务中间件,用于在通话双方发起通话后,向云端密话业务管理平台发送验证请求,以获取所述云端密话业务管理平台返回的密话标识;所述业务中间件,用于在通话接通,所述终端播放提示音后,调用所述密钥中间件,并基于所述密话标识向其所属密钥管理平台申请本次通话的会话密钥,所述会话密钥由量子密钥分发网络分发;
所述密钥中间件,用于将所述会话密钥传递至所述语音中间件,并由所述语音中间件使用媒体信道完成通话双方密钥获取状态同步后,通话双方进行加密语音通话;
所述语音中间件,用于在通话挂断后,发送加密结束消息,结束本次密钥通话。
9.如权利要求8所述的VoLTE语音加密通信终端,其特征在于,所述业务中间件包括UI展示模块、密话通知模块、密话标识同步模块和密钥协商发起模块,其中:
所述UI展示模块,用于展示和所述云端密话业务管理平台协调用户签约的判断信息、本次密话通知和标识同步信息以及本次密话开始密钥协商状态;
所述密话通知模块,用于与所述云端密话业务管理平台的接口进行交互;
所述密话标识同步模块,用于在所述云端密话业务管理平台判断通话双方具备密话通话资格及条件后,获取所述云端密话业务管理平台返回的密话标识和对端获取状态,完成密话标识下发及同步;
所述密钥协商发起模块,用于在完成密钥标识同步后,基于所述密钥标识向所述密钥中间件发起密钥请求并获得对应的密钥协商状态。
10.如权利要求8所述的VoLTE语音加密通信终端,其特征在于,所述密钥中间件包括对外服务接口、通用密码服务模块和密码设备服务模块,其中:
所述对外服务接口,用于通过进程间通信方式连接外部应用;
所述通用密码服务模块,用于提供密钥管理、身份认证和密钥运算接口;
所述密码设备服务模块,用于获取所述安全芯片内存储的认证密钥。
11.如权利要求8所述的VoLTE语音加密通信终端,其特征在于,所述语音中间件包括语音拦截模块、语音速率筛选模块、语音加密模块和语音回传模块,其中:
所述语音拦截模块,用于监听当前终端系统中的语音数传通道、拦截及回传语音通话数据;
所述语音速率筛选模块,用于接收并检测所述语音拦截模块传输的语音通话数据,获得AMR净荷数据;
所述语音加密模块,用于进行密钥处理、会话密钥状态协商及语音数据加解密收发;
所述语音回传模块,用于将所述AMR净荷数据按单帧方式发送到所述语音加密模块,并将所述语音加密模块处理好的语音加密数据回传至所述语音速率筛选模块。
12.一种VoLTE语音加密通信系统,其特征在于,所述系统包括:量子密钥分发网络、主叫终端、被叫终端、第一密钥管理平台、第二密钥管理平台、第一密码机、第二密码机、云端密话业务管理平台和运营商网络;
所述主叫终端和所述被叫终端分别集成有安全芯片,所述安全芯片内存储有认证密钥;
所述主叫终端连接所述第一密钥管理平台,所述被叫终端连接所述第二密钥管理平台,所述第一密钥管理平台经所述第一密码机接入所述量子密钥分发网络,所述第二密钥管理平台经所述第二密码机接入所述量子密钥分发网络,所述主叫终端和所述被叫终端分别经所述运营商网络接入所述云端密话业务管理平台;
所述主叫终端和所述被叫终端内均设有中间组件,所述中间组件包括密钥中间件、业务中间件和语音中间件,所述密钥中间件与所述第一密钥管理平台或所述第二密钥管理平台连接,所述业务中间件与所述云端密话业务管理平台连接,所述语音中间件与底层数据传输通道连接;
所述密钥中间件用于利用其对应的所述安全芯片内存储的认证密钥完成到其所属密钥管理平台的身份认证,所述业务中间件向所述云端密话业务管理平台请求登录,所述语音中间件进行自启动;
在主叫终端发起通话后,所述业务中间件用于向云端密话业务管理平台发送验证请求,以获取所述云端密话业务管理平台返回的密话标识;
通话接通后,主叫终端和被叫终端播放提示音,所述业务中间件调用所述密钥中间件,并基于所述密话标识向其所属密钥管理平台申请本次通话的会话密钥,所述会话密钥由量子密钥分发网络分发;
所述密钥中间件将所述会话密钥传递至所述语音中间件,并由所述语音中间件使用媒体信道完成主叫终端和被叫终端密钥获取状态同步后,主叫终端和被叫终端进行加密语音通话;
在通话挂断后,由所述语音中间件发送加密结束消息,结束本次密钥通话。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210442353.1A CN114553422B (zh) | 2022-04-26 | 2022-04-26 | VoLTE语音加密通信方法、终端及系统 |
| JP2023541525A JP2024520245A (ja) | 2022-04-26 | 2022-09-07 | VoLTE音声暗号化通信方法、端末及びシステム |
| PCT/CN2022/117510 WO2023206909A1 (zh) | 2022-04-26 | 2022-09-07 | VoLTE语音加密通信方法、终端及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210442353.1A CN114553422B (zh) | 2022-04-26 | 2022-04-26 | VoLTE语音加密通信方法、终端及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114553422A true CN114553422A (zh) | 2022-05-27 |
| CN114553422B CN114553422B (zh) | 2022-07-01 |
Family
ID=81667116
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210442353.1A Active CN114553422B (zh) | 2022-04-26 | 2022-04-26 | VoLTE语音加密通信方法、终端及系统 |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP2024520245A (zh) |
| CN (1) | CN114553422B (zh) |
| WO (1) | WO2023206909A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115022024A (zh) * | 2022-05-31 | 2022-09-06 | 中国电信股份有限公司 | 用于加密通话的方法及装置、存储介质及电子设备 |
| CN115567209A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用透明代理和量子密钥预充注实现VoIP加解密方法 |
| CN115913528A (zh) * | 2022-09-22 | 2023-04-04 | 深圳市雄帝科技股份有限公司 | 一种基于安全芯片及云端协同的量子密钥管理方法 |
| CN115996121A (zh) * | 2023-03-22 | 2023-04-21 | 南京数脉动力信息技术有限公司 | 一种基于volte网络的量子加密的可信视频通信系统和方法 |
| CN116546500A (zh) * | 2023-06-30 | 2023-08-04 | 中国电信股份有限公司 | 终端能力识别方法、系统、电子设备及介质 |
| WO2023206909A1 (zh) * | 2022-04-26 | 2023-11-02 | 中电信量子科技有限公司 | VoLTE语音加密通信方法、终端及系统 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030217165A1 (en) * | 2002-05-17 | 2003-11-20 | Microsoft Corporation | End-to-end authentication of session initiation protocol messages using certificates |
| US20100008506A1 (en) * | 2008-07-11 | 2010-01-14 | Samsung Electronics Co., Ltd. | Method and apparatus for performing voip-based communication using bio keys |
| CN102143487A (zh) * | 2010-02-03 | 2011-08-03 | 中兴通讯股份有限公司 | 一种端对端会话密钥协商方法和系统 |
| CN102196425A (zh) * | 2011-07-01 | 2011-09-21 | 安徽量子通信技术有限公司 | 基于量子密钥分配网络的移动加密系统及其通信方法 |
| CN102934392A (zh) * | 2010-04-13 | 2013-02-13 | 康奈尔大学 | 用于信息网络的专用重叠 |
| US20150142666A1 (en) * | 2013-11-16 | 2015-05-21 | Mads Landrok | Authentication service |
| CN105337726A (zh) * | 2015-04-06 | 2016-02-17 | 安徽问天量子科技股份有限公司 | 基于量子密码的端对端手持设备加密方法及系统 |
| CN106130727A (zh) * | 2016-08-31 | 2016-11-16 | 深圳市金立通信设备有限公司 | 一种通话密钥协商方法及系统 |
| CN106936788A (zh) * | 2015-12-31 | 2017-07-07 | 北京大唐高鸿软件技术有限公司 | 一种适用于voip语音加密的密钥分发方法 |
| CN106972922A (zh) * | 2013-06-08 | 2017-07-21 | 科大国盾量子技术股份有限公司 | 一种基于量子密钥分配网络的移动保密通信方法 |
| CN108521404A (zh) * | 2018-03-09 | 2018-09-11 | 中国—东盟信息港股份有限公司 | 一种基于ims组网的手机安全隐私号码保护平台 |
| CN111092905A (zh) * | 2019-12-27 | 2020-05-01 | 郑州信大捷安信息技术股份有限公司 | 一种基于voip的加密通话方法和系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10560265B2 (en) * | 2013-06-08 | 2020-02-11 | Quantumctek Co., Ltd. | Mobile secret communications method based on quantum key distribution network |
| CN114040385A (zh) * | 2021-11-17 | 2022-02-11 | 中国电信集团系统集成有限责任公司 | 一种基于VoLTE的加密通话系统及方法 |
| CN114553422B (zh) * | 2022-04-26 | 2022-07-01 | 中电信量子科技有限公司 | VoLTE语音加密通信方法、终端及系统 |
-
2022
- 2022-04-26 CN CN202210442353.1A patent/CN114553422B/zh active Active
- 2022-09-07 JP JP2023541525A patent/JP2024520245A/ja active Pending
- 2022-09-07 WO PCT/CN2022/117510 patent/WO2023206909A1/zh active Application Filing
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030217165A1 (en) * | 2002-05-17 | 2003-11-20 | Microsoft Corporation | End-to-end authentication of session initiation protocol messages using certificates |
| US20100008506A1 (en) * | 2008-07-11 | 2010-01-14 | Samsung Electronics Co., Ltd. | Method and apparatus for performing voip-based communication using bio keys |
| CN102143487A (zh) * | 2010-02-03 | 2011-08-03 | 中兴通讯股份有限公司 | 一种端对端会话密钥协商方法和系统 |
| CN102934392A (zh) * | 2010-04-13 | 2013-02-13 | 康奈尔大学 | 用于信息网络的专用重叠 |
| CN102196425A (zh) * | 2011-07-01 | 2011-09-21 | 安徽量子通信技术有限公司 | 基于量子密钥分配网络的移动加密系统及其通信方法 |
| CN106972922A (zh) * | 2013-06-08 | 2017-07-21 | 科大国盾量子技术股份有限公司 | 一种基于量子密钥分配网络的移动保密通信方法 |
| US20150142666A1 (en) * | 2013-11-16 | 2015-05-21 | Mads Landrok | Authentication service |
| CN105337726A (zh) * | 2015-04-06 | 2016-02-17 | 安徽问天量子科技股份有限公司 | 基于量子密码的端对端手持设备加密方法及系统 |
| CN106936788A (zh) * | 2015-12-31 | 2017-07-07 | 北京大唐高鸿软件技术有限公司 | 一种适用于voip语音加密的密钥分发方法 |
| CN106130727A (zh) * | 2016-08-31 | 2016-11-16 | 深圳市金立通信设备有限公司 | 一种通话密钥协商方法及系统 |
| CN108521404A (zh) * | 2018-03-09 | 2018-09-11 | 中国—东盟信息港股份有限公司 | 一种基于ims组网的手机安全隐私号码保护平台 |
| CN111092905A (zh) * | 2019-12-27 | 2020-05-01 | 郑州信大捷安信息技术股份有限公司 | 一种基于voip的加密通话方法和系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023206909A1 (zh) * | 2022-04-26 | 2023-11-02 | 中电信量子科技有限公司 | VoLTE语音加密通信方法、终端及系统 |
| CN115022024A (zh) * | 2022-05-31 | 2022-09-06 | 中国电信股份有限公司 | 用于加密通话的方法及装置、存储介质及电子设备 |
| CN115022024B (zh) * | 2022-05-31 | 2023-09-29 | 中国电信股份有限公司 | 用于加密通话的方法及装置、存储介质及电子设备 |
| CN115913528A (zh) * | 2022-09-22 | 2023-04-04 | 深圳市雄帝科技股份有限公司 | 一种基于安全芯片及云端协同的量子密钥管理方法 |
| CN115567209A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用透明代理和量子密钥预充注实现VoIP加解密方法 |
| CN115567209B (zh) * | 2022-09-29 | 2023-09-22 | 中电信量子科技有限公司 | 采用透明代理和量子密钥预充注实现VoIP加解密方法 |
| CN115996121A (zh) * | 2023-03-22 | 2023-04-21 | 南京数脉动力信息技术有限公司 | 一种基于volte网络的量子加密的可信视频通信系统和方法 |
| CN116546500A (zh) * | 2023-06-30 | 2023-08-04 | 中国电信股份有限公司 | 终端能力识别方法、系统、电子设备及介质 |
| CN116546500B (zh) * | 2023-06-30 | 2023-09-22 | 中国电信股份有限公司 | 终端能力识别方法、系统、电子设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2024520245A (ja) | 2024-05-24 |
| WO2023206909A1 (zh) | 2023-11-02 |
| CN114553422B (zh) | 2022-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114553422B (zh) | VoLTE语音加密通信方法、终端及系统 | |
| EP3432532B1 (en) | Key distribution and authentication method, apparatus and system | |
| KR101438243B1 (ko) | Sim 기반 인증방법 | |
| US7430664B2 (en) | System and method for securely providing a configuration file over and open network | |
| EP1145521B1 (en) | SYSTEM AND METHOD FOR ENABLING SECURE CONNECTIONS FOR H.323 VoIP CALLS | |
| US8804961B2 (en) | Method and system for mobile terminals handing over between clear session and encrypted session communications | |
| US7464267B2 (en) | System and method for secure transmission of RTP packets | |
| US8130635B2 (en) | Network access nodes | |
| CN100592720C (zh) | 实现外网用户与局域网用户即时通信的方法及系统 | |
| EP1471708A2 (en) | System and method for establishing secondary channels | |
| US9185092B2 (en) | Confidential communication method using VPN, system thereof, program thereof, and recording medium for the program | |
| US8693686B2 (en) | Secure telephone devices, systems and methods | |
| US20110135093A1 (en) | Secure telephone devices, systems and methods | |
| CN103546442B (zh) | 浏览器的通讯监听方法及装置 | |
| CN101227474A (zh) | 软交换网络中的会话初始化协议用户鉴权方法 | |
| CN103442450B (zh) | 无线通信方法和无线通信设备 | |
| GB2411086A (en) | Secure communication between terminals over a local channel using encryption keys exchanged over a different network | |
| CN102307178B (zh) | Pstn-ip双网协作通信的交换控制方法 | |
| CN114040385A (zh) | 一种基于VoLTE的加密通话系统及方法 | |
| CN113098872B (zh) | 基于量子网络的加密通信系统、方法及融合网关 | |
| AU7211600A (en) | Internal line control system | |
| CN113132090B (zh) | 一种共享量子密钥的系统和基于所述系统的保密通信方法 | |
| CN105025476B (zh) | 一种时空分离的移动加密通信机制 | |
| CN117240445A (zh) | 实现密话VoLTE和明话VoBB之间互通的方法 | |
| CN115589461A (zh) | 音视频通话系统以及音视频通话方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information |
Inventor after: Wang Binglei Inventor after: Chen Wenjun Inventor after: Zhao Peng Inventor after: Liu Chi Inventor after: Wang Jian Inventor before: Wang Binglei Inventor before: Wang Jian Inventor before: Liu Chi |
|
| CB03 | Change of inventor or designer information |