WO2017197968A1

WO2017197968A1 - 一种数据传输方法及装置

Info

Publication number: WO2017197968A1
Application number: PCT/CN2017/076487
Authority: WO
Inventors: 丛文
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-05-17
Filing date: 2017-03-13
Publication date: 2017-11-23
Also published as: CN107395552A

Abstract

本发明提供了一种数据传输方法及装置，涉及通信技术领域，本发明解决了IMS数据在传输过程中安全性低的问题。本发明的数据传输方法包括：将预先生成的第一终端用户公钥发送给第二终端；获取所述第二终端接收到所述第一终端用户公钥后，生成的第二终端用户公钥；根据所述第二终端用户公钥和预先生成的、与所述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理，并将加密处理后的IMS媒体数据传输给所述第二终端，大大增强了IMS数据在传输过程中的安全性。

Description

一种数据传输方法及装置

技术领域

本发明涉及通信应用的技术领域，特别是指一种数据传输方法及装置。

背景技术

随着网络的发展，传统的无线通信电路域交换电话网络逐渐向基于长期演进(Long Term Evolution，LTE)的IP多媒体子系统(IP Multimedia Subsystem，IMS)网络演变。但IMS的基础仍旧是IP网络，具有基于会话初始协议(Session Initiation Protocol，SIP)的全IP架构，IP协议固有的缺陷和安全漏洞使IMS很容易遭受攻击，引入IMS的同时也引入了IP网络的安全性问题。而随着各种信息服务的开展，各种机密性、敏感性、隐私性的传输也会大大增加，这对网络的安全性提出了更高的要求。

作为相对独立的安全体系，IMS要求所有的用户在使用IMS服务之前都必须进行鉴权(认证和授权)，协商建立安全的接入通道。用户和网络实体之间以及网络实体之间的通信必须时刻处于安全保护之中。IMS安全体系的整体思想是使用因特网协议安全(Internet Protocol Security，IPSec)的特性为IMS系统提供安全保护。但是IPSec的安全主要还是由归属签约用户服务器(Home Subscriber Server，HSS)来保证，如果HSS受到攻击或者出现泄密，对用户的通信来说仍旧存在不安全的隐患。

目前现有的其它传统方法是对SIP及实时传输协议(Real-time Transport Protocol，RTP)数据包采用对称加密技术，如数据加密标准(Data Encryption Standard，DES)、高级加密标准(Advanced Encryption Standard，AES)、国际数据加密算法(International Data Encryption Algorithm，IDEA)等，即通信双方都拥有一个预共享密钥，一方用该密钥对SIP数据加密，另一方用该密钥对加密后的数据解密。但这种方法存在严重的缺陷，首先是预共享密钥在协商过程中很容易被第三方窃取，其次当会话对象增多时，密钥的管理仅通过终端无法完成，必须通过密钥管理中心(Key Manager Center，KMC)或鉴权中心(Authentication Center，AuC)来对会话密钥进行管理。但KMC/AuC也存在泄露用户隐私的风险，降低了IMS数据在传输过程中的安全性。

发明内容

本发明实施例的目的在于提供一种数据传输方法及装置，用以解决IMS数据在传输过程中安全性低的问题。

为了实现上述目的，本发明实施例提供了一种数据传输方法，应用于第一终端，包括：

将预先生成的第一终端用户公钥发送给第二终端；

获取所述第二终端接收到所述第一终端用户公钥后，生成的第二终端用户公钥；

根据所述第二终端用户公钥和预先生成的、与所述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理，并将加密处理后的IMS媒体数据传输给所述第二终端。

其中，所述根据所述第二终端用户公钥和预先生成的、与所述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理的步骤包括：

根据所述第一终端用户私钥对所述IMS媒体数据进行一级加密处理，得到一级加密数据；

根据所述第二终端用户公钥对所述一级加密数据进行二级加密处理，得到加密处理后的IMS媒体数据。

其中，所述将预先生成的第一终端用户公钥发送给第二终端的步骤包括：

与所述第二终端建立通信连接后，在实时传输协议RTP数据包中增加所述第一终端用户公钥，并将增加所述第一终端用户公钥的RTP数据包发送给所述第二终端。

其中，在所述将预先生成的第一终端用户公钥发送给第二终端的步骤之前，所述方法还包括：

检测到第一终端用户通过所述第一终端发起的加密通话请求后，生成第一终端用户公钥及与所述第一终端用户公钥匹配的第一终端用户私钥。

其中，所述检测到第一终端用户通过所述第一终端发起的加密通话请求后，生成第一终端用户公钥和与所述第一终端用户公钥匹配的第一终端用户私钥的步骤包括：

检测到第一终端用户通过所述第一终端发起的加密通话请求后，获取与所述第一终端相关的第一终端属性信息，所述第一终端属性信息包括：所述第一终端的网络信号强度、所述第一终端的信噪比和/或所述第一终端的电池电量；

根据所述第一终端属性信息，构造一随机数；

根据所述随机数及密钥生成算法，生成所述第一终端用户公钥和第一终端用户私钥。

本发明的实施例还提供了一种数据传输装置，应用于第一终端，包括：

发送模块，设置为将预先生成的第一终端用户公钥发送给第二终端；

第一获取模块，设置为获取所述第二终端接收到所述第一终端用户公钥后，生成的第二终端用户公钥；

第一处理模块，设置为根据所述第二终端用户公钥和预先生成的、与所述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理，并将加密处理后的IMS媒体数据传输给所述第二终端。

本发明的实施例还提供了一种数据传输方法，应用于第二终端，包括：

获取第一终端发送的第一终端用户公钥；

生成第二终端用户公钥及与所述第二终端用户公钥匹配的第二终端用户私钥，并将所述第二终端用户公钥发送给所述第一终端；

根据所述第二终端用户私钥和所述第一终端用户公钥，对所述第一终端传输的、加密处理后的IMS媒体数据进行解密处理，得到IMS媒体数据，其中，所述加密处理后的IMS媒体数据为所述第一终端根据与所述第一终端用户公钥匹配的第一终端用户私钥和所述第二终端用户公钥，对所述IMS媒体数据进行加密处理后得到的。

其中，所述根据所述第二终端用户私钥和所述第一终端用户公钥，对所述第一终端传输的、加密处理后的IMS媒体数据进行解密处理，得到IMS媒体数据的步骤包括：

根据所述第二终端用户私钥，对加密处理后的IMS媒体数据进行解密处理，得到一级加密数据，所述一级加密数据为所述第一终端根据第一终端用户私钥对所述IMS媒体数据进行一级加密处理后得到的；

根据第一终端用户公钥，对所述一级加密数据进行解密处理，得到所述IMS媒体数据。

其中，所述获取第一终端发送的第一终端用户公钥的步骤包括：

从所述第一终端传输的RTP数据包中获取所述第一终端用户公钥。

其中，所述将所述第二终端用户公钥发送给所述第一终端的步骤包括：

在实时传输协议RTP数据包中增加所述第二终端用户公钥，并将增加所述第二终端用户公钥的RTP数据包发送给所述第一终端。

本发明的实施例还提供了一种数据传输装置，应用于第二终端，包括：

第二获取模块，设置为获取第一终端发送的第一终端用户公钥；

第一生成模块，设置为生成第二终端用户公钥及与所述第二终端用户公钥匹配的第二终端用户私钥，并将所述第二终端用户公钥发送给所述第一终端；

第二处理模块，设置为根据所述第二终端用户私钥和所述第一终端用户公钥，对所述第一终端传输的、加密处理后的IMS媒体数据进行解密处理，得到IMS媒体数据，其中，所述加密处理后的IMS媒体数据为所述第一终端根据与所述第一终端用户公钥匹配的第一终端用户私钥和所述第二终端用户公钥，对所述IMS媒体数据进行加密处理后得到的。

在本发明实施例中，还提供了一种计算机存储介质，该计算机存储介质可以存储有执行指令，该执行指令用于执行上述实施例中的数据传输方法的实现。

本发明实施例具有以下有益效果：

本发明实施例的上述技术方案，将预先生成的第一终端用户公钥发送给第二终端；获取所述第二终端接收到所述第一终端用户公钥后，生成的第二终端用户公钥；根据所述第二终端用户公钥和预先生成的、与所述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理，并将加密处理后的IMS媒体数据传输给所述第二终端，大大增强了IMS数据在传输过程中的安全性。

附图说明

图1为本发明实施例的数据传输方法的第一工作流程图；

图2为本发明实施例的数据传输方法的第二工作流程图；

图3为本发明实施例中RTP数据包的格式示意图；

图4为本发明实施例的数据传输装置的第一结构框图；

图5为本发明实施例的数据传输方法的第三工作流程图；

图6为本发明实施例中第一终端与第二终端的交互流程图；

图7为本发明实施例的数据传输装置的第二结构框图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合具体实施例及附图进行详细描述。

本发明实施例的数据传输方法的保密通信安全性由公钥算法来保证，如数字签名DSA算法、椭圆曲线算法或RSA算法等，为了便于本领域的技术人员能够更好的理解本实施例中的数据传输方法，下面对公钥体系的原理进行解释说明：

公钥体系的原理为：用户A有一密钥对，分为公钥和私钥，这对密钥对是唯一的，是通过对一个巨大的数字进行因数分解所得。用公钥加密过的信息，只能使用与它配对的私钥来解密；反之亦然，由私钥加密后的信息也只能用公钥来解密。这样，用户A生成密钥对后，把私钥保存好，把公钥公开出去，当一个用户B要与用户A通信，并且希望确保数据安全时，就可以使用A的公钥来加密信息，再把密文传给A，而只有A手中的私钥才能对这个密文进行解密，这样就确保了信息的安全。

加密只是公钥体系的用途之一，它还有一个用途就是对数据进行签名，防止数据被第三方修改。举例：用户A使用自已的私钥对发出去的数据进行签名(加密)，然后通过用户A的公钥对信息验证便可得知，数据是由用户A发送，因为只有使用用户A的私钥签名得到的数据，才能使用用户A的公钥解密。

公钥机制如果同时使用加密和数字签名，则效率要比DES/AES等单密钥分组加密算法低一些，但是随着目前移动终端CPU性能的飞速发展，且对于语音或视频通话来说数据流量并不算很大，因此，上述效率问题已经不再成为其应用的瓶颈。

因此，本发明的实施例提供了一种数据传输方法及装置，解决了IMS数据在传输过程中安全性低的问题。

第一实施例：

如图1所示，本发明实施例的数据传输方法，应用于第一终端，该第一终端可具体为智能手机、平板电脑/PAD、个人计算机等设备，该数据传输方法包括：

步骤11：将预先生成的第一终端用户公钥发送给第二终端。

该第一终端用户公钥可具体为第一终端检测到用户通过第一终端发起加密通话请求后生成的，本发明实施例中可具体通过软件生成随机数作为密码模块的输入，由该随机数通过公钥生成算法生成新的公私钥对(第一终端用户公钥及与该第一终端用户公钥匹配的第一终端用户私钥)。输入随机数可以通过获取第一移动终端当前的信号强度、信噪比、电量、内部中断信号等参数来生成，上述方式生成的为真随机数，安全性要强于类似random函数等生成的伪随机数，进一步提高了数据传输的安全性。

步骤12：获取第二终端接收到上述第一终端用户公钥后，生成的第二终端用户公钥。

这里，第二终端接收到上述第一终端用户公钥后，获取第二移动终端当前的信号强度、信噪比、电量、内部中断信号等参数来生成一随机数，并根据生成的随机数和公钥生成算法生成第二终端用户公钥及与该第二终端用户公钥匹配的第二终端用户私钥并传输给上述第一终端。

步骤13：根据上述第二终端用户公钥和预先生成的、与上述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理，并将加密处理后的IMS媒体数据传输给上述第二终端。

具体的，根据所述第一终端用户私钥对所述IMS媒体数据进行一级加密处理，得到一级加密数据；根据所述第二终端用户公钥对所述一级加密数据进行二级加密处理，得到加密处理后的IMS媒体数据。本发明实施例中对IMS数据进行两级加密处理，有效提升了IMS数据的安全传输性能。

本发明实施例的数据传输方法，将预先生成的第一终端用户公钥发送给第二终端；获取所述第二终端接收到所述第一终端用户公钥后，生成的第二终端用户公钥；根据所述第二终端用户公钥和预先生成的、与所述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理，并将加密处理后的IMS媒体数据传输给所述第二终端，大大增强了IMS数据在传输过程中的安全性。

第二实施例：

如图2所示，本发明实施例的数据传输方法，应用于第一终端，该第一终端可具体为智能手机、平板电脑/PAD、个人计算机等设备，该数据传输方法包括：

步骤21：与第二终端建立通信连接后，在实时传输协议RTP数据包中增加第一终端用户公钥，并将增加第一终端用户公钥的RTP数据包发送给所述第二终端。

本步骤中，检测到第一终端用户所述第一终端发起的加密通话请求后，生成第一终端用户公钥及与所述第一终端用户公钥匹配的第一终端用户私钥；然后与第二终端建立通信连接，在实时传输协议RTP数据包中增加第一终端用户公钥，并将增加第一终端用户公钥的RTP数据包发送给所述第二终端。

优选地，上述检测到第一终端用户所述第一终端发起的加密通话请求后，生成第一终端用户公钥及与所述第一终端用户公钥匹配的第一终端用户私钥的步骤可具体包括：检测到第一终端用户通过所述第一终端发起的加密通话请求后，获取与所述第一终端相关的第一终端属性信息，所述第一终端属性信息包括：所述第一终端的网络信号强度、所述第一终端的信噪比和/或所述第一终端的电池电量；根据所述第一终端属性信息，构造一随机数；根据所述随机数及密钥生成算法，生成所述第一终端用户公钥和第一终端用户私钥。

另外，本发明实施例中的RTP数据包由两部分组成：包头和有效载荷。RTP包头格式，如图3所示，其中：

V表示RTP协议的版本号，占2位，当前协议版本号为2。

P表示填充标志，占1位，如果P＝1，则在该数据包的尾部填充一个或多个额外的八位组，它们不是有效载荷的一部分。

X表示扩展标志，占1位，如果X＝1，则在RTP报头后跟有一个扩展报头。

CC表示CSRC计数器，占4位，指示CSRC标识符的个数。

M表示标记，占1位，不同的有效载荷有不同的含义，对于视频，标记一帧的结束；对于音频，标记会话的开始。

PT表示有效载荷类型，占7位，用于说明RTP数据包中有效载荷的类型，如音频、图像等。

Sequence number表示序列号，占16位，用于标识发送者所发送的RTP数据包的序列号，每发送一个RTP数据包，序列号会增加1。

Timestamp为时间戳，占32位，该字段反映了该RTP数据包的第一个八位组的采样时刻。

synchronization source(SSRC)identifier为同步信源标识符，占32位，用于标识同步信源。

Contributing source(CSRC)identifiers为特约信源标识符，每个CSRC标识符占32位，可以有0～15个。

本发明实施例中所述的加密通信需利用上述的“PT(Payload Type)”字段，RTP封包中的有效负载类型PT的长度为7bit，因此RTP可以支持128种不同的有效负载类型。在RTP协议中，目前PT负载类型20、21、22、23、24、27、29、30、35-71、77-95这些类型处于未分配状态，可以利用其中的某一种作为传输密钥的RTP包的标识，并且将需要发送给对方用户的本机公钥填充在该RTP包的负载中。在负载中也可以增加若干bit的特定标识来做第二次的确认，由于双方生成的公钥的长度是一定的，该标识可以放在公钥之前、之后、或在公钥当中增加特定的bit位。

步骤22：获取第二终端接收到上述第一终端用户公钥后，生成的第二终端用户公钥。

第二终端接收到第一终端发送的上述RTP数据包后，检测其中负载数据的特定bit位及长度，若其中携带有效的第一终端用户公钥，则启动自身的公钥生成算法，生成第二终端用户公钥和第二终端用户私钥，并在实时传输协议RTP数据包中增加所述第二终端用户公钥，并将增加所述第二终端用户公钥的RTP数据包发送给所述第一终端。

步骤23：根据上述第二终端用户公钥和预先生成的、与上述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理，并将加密处理后的IMS媒体数据传输给上述第二终端。

本发明实施例的上述技术方案，在RTP数据包的特定字段进行密钥协商，并通过第一终端用户私钥和第二终端用户公钥对IMS数据进行两级加密处理，保证了IMS数据传输过程中的安全性。

第三实施例：

如图4所示，本发明的实施例还提供了一种数据传输装置，应用于第一终端，该数据传输装置包括：

发送模块41，设置为将预先生成的第一终端用户公钥发送给第二终端；

第一获取模块42，设置为获取所述第二终端接收到所述第一终端用户公钥后，生成的第二终端用户公钥；

第一处理模块43，设置为根据所述第二终端用户公钥和预先生成的、与所述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理，并将加密处理后的IMS媒体数据传输给所述第二终端。

本发明实施例的数据传输装置，所述第一处理模块43包括：

第一加密子模块431，设置为根据所述第一终端用户私钥对所述IMS媒体数据进行一级加密处理，得到一级加密数据；

第二加密子模块432，设置为根据所述第二终端用户公钥对所述一级加密数据进行二级加密处理，得到加密处理后的IMS媒体数据。

本发明实施例的数据传输装置，所述发送模块41设置为与所述第二终端建立通信连接后，在实时传输协议RTP数据包中增加所述第一终端用户公钥，并将增加所述第一终端用户公钥的RTP数据包发送给所述第二终端。

本发明实施例的数据传输装置，还包括：

第二生成模块44，设置为检测到第一终端用户通过所述第一终端发起的加密通话请求后，生成第一终端用户公钥及与所述第一终端用户公钥匹配的第一终端用户私钥。

本发明实施例的数据传输装置，所述第二生成模块44包括：

第一获取子模块441，设置为检测到第一终端用户通过所述第一终端发起的加密通话请求后，获取与所述第一终端相关的第一终端属性信息，所述第一终端属性信息包括：所述第一终端的网络信号强度、所述第一终端的信噪比和/或所述第一终端的电池电量；

构造子模块442，设置为根据所述第一终端属性信息，构造一随机数；

第一生成子模块443，设置为根据所述随机数及密钥生成算法，生成所述第一终端用户公钥和第一终端用户私钥。

需要说明的是，该装置是与上述方法实施例对应的装置，上述方法实施例中所有实现方式均适用于该装置的实施例中，也能达到相同的技术效果。

本发明实施例的数据传输装置，将预先生成的第一终端用户公钥发送给第二终端；获取所述第二终端接收到所述第一终端用户公钥后，生成的第二终端用户公钥；根据所述第二终端用户公钥和预先生成的、与所述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理，并将加密处理后的IMS媒体数据传输给所述第二终端，大大增强了IMS数据在传输过程中的安全性。

第四实施例：

如图5所示，本发明实施例的数据传输方法，应用于第二终端，该第二终端可具体为智能手机、平板电脑/PAD、个人计算机等设备，该数据传输方法包括：

步骤51：获取第一终端发送的第一终端用户公钥。

具体的，从所述第一终端传输的RTP数据包中获取所述第一终端用户公钥。

步骤52：生成第二终端用户公钥及与第二终端用户公钥匹配的第二终端用户私钥，并将第二终端用户公钥发送给上述第一终端。

第二终端可具体通过如下方式生成上述第二终端用户公钥和第二终端用户私钥。首先获取与所述第二终端相关的第二终端属性信息，所述第二终端属性信息包括：第二终端的网络信号强度、所述第二终端的信噪比和/或所述第二终端的电池电量；根据所述第二终端属性信息，构造一随机数；根据所述随机数及密钥生成算法，生成所述第二终端用户公钥和第二终端用户私钥，并在实时传输协议RTP数据包中增加所述第二终端用户公钥，并将增加所述第二终端用户公钥的RTP数据包发送给所述第一终端。

步骤53：根据第二终端用户私钥和第一终端用户公钥，对第一终端传输的、加密处理后的IMS媒体数据进行解密处理，得到IMS媒体数据，其中，加密处理后的IMS媒体数据为所述第一终端根据与所述第一终端用户公钥匹配的第一终端用户私钥和所述第二终端用户公钥，对所述IMS媒体数据进行加密处理后得到的。

具体的，根据上述第二终端用户私钥，对加密处理后的IMS媒体数据进行解密处理，得到一级加密数据，该一级加密数据为第一终端根据第一终端用户私钥对IMS媒体数据进行一级加密处理后得到的；根据第一终端用户公钥，对一级加密数据进行解密处理，得到IMS媒体数据。

本发明实施例的上述方案，第一终端对传输给第二终端的IMS数据进行两次加密处理，第二终端根据第二终端用户私钥和第一终端用户公钥对第一终端传输的IMS数据进行两次解密处理，有效保证了IMS数据传输过程中的安全性，且本发明实施例的上述方案无需通过第三方实现，仅靠移动终端便可完成。

第五实施例：

下面结合图6说明本发明实施例中第一终端与第二终端的交互流程。

如图6所示，上述交互流程包括：

步骤61：主叫用户(简称用户A)在第一终端的基于IMS的语音业务(Voice over LTE，VoLTE)的拨号界面上选择发起保密通话请求。

具体的，该VoLTE的拨号界面上可以为保密通话设置一个单独的寻呼按键，用户通过寻呼按键发起上述保密通话。

步骤62：第一终端收到用户A的保密通话请求后，获取第一终端此时的网络的信号强度、信噪比、终端电池电量等信息来构造一个随机数作为公钥生成算法的输入。

由于上述信息本身带有真随机数的特性，因此通过上述信息构造一随机数作为公钥生成算法的输入更有利于增强IMS数据传输过程中的安全性。

步骤63：第一终端根据公钥生成算法生成第一终端用户公钥和第一终端用户私钥。

步骤64：第一终端按照正常的VoLTE呼叫流程建立起非加密的VoLTE通话后，通过RTP数据包将第一终端用户公钥发送给第二终端。

具体的，第一终端按照正常的VoLTE呼叫流程建立起非加密的VoLTE通话后，生成本发明实施例中特定的RTP数据包，在该RTP数据包包头的PT字段填充代表需要进行加密通话的标识，并将第一终端用户公钥填入该RTP数据包的负载字段后发送给被叫用户，简称用户B，另外，考虑到RTP数据包是基于不可靠的用户数据报协议(User Datagram Protocol，UDP)来传输，可以连续发出多个相同的RTP数据包。

步骤65：第二终端收到上述RTP数据包后，判断第二终端是否支持保密通话。

具体的，第二终端在收到上述特定RTP包后，如果用户B支持保密通信，则可以识别该RTP包的PT字段并从该RTP包的负载中获取到第一终端用户公钥；反之如果第二终端不支持上述保密通信，则不会识别该 RTP包的PT字段。

本发明实施例中，可具体通过该第二终端收到上述RTP数据包的预定时间内是否向第一终端反馈第二终端用户公钥来判断第二终端是否支持保密通信，若第二终端在预定时间内反馈上述第二终端用户公钥，则判断出第二终端支持上述保密通信，否则，判断出第二终端不支持上述保密通信。

步骤661：若第二终端不支持上述保密通话，则忽略第一终端发送的RTP数据包，并按普通来电进行响应。

步骤662：用户A在预定时间内未收到用户B反馈的第二终端公钥，则提示用户A被叫方不支持保密通话，并继续使用普通VoLTE语言进行通信。

具体的，第一终端可在显示界面上以及语音同时提示被叫用户不支持上述VoLTE保密通信，用户可选择挂断电话或者使用非加密的普通VoLTE语音通信，此时，流程结束。

步骤671：若第二终端支持上述保密通话，则检测RTP数据包的负载数据的特定bit位及长度，若其中携带有效的第一终端用户公钥，则生成第二终端用户公钥及第二终端用户私钥。

在收到第一终端发来的特定RTP数据包后，并从RTP数据包的负载字段中获取到第一终端用户公钥，第二终端启动自身的密钥生成流程，生成第二终端用户公钥和第二终端用户私钥，且该生成方法与上述步骤62中第一终端用户公钥和第一终端用户私钥的生成方法相同。

步骤672：第二终端将第二终端用户公钥通过RTP数据包发送给第一终端。

步骤673：主被叫双方开始进行保密通信。

该保密通信可具体为VoLTE的语音或视频数据通过RTP数据包传输；用户A使用第一终端用户私钥对原始语音或视频数据做第一次加密，即数字签名，然后再对生成的密文使用第二终端用户公钥进行第二次加密，再将第二次加密后的密文填充到语音或视频RTP的负载字段中发送给用户B；用户B在收到该RTP数据包后获取到密文，先使用第二终端用户私钥进行第一次解密，将得到的数据再使用第一终端用户公钥做第二次解密，验证用户A的数字签名；上述过程是对于用户A发送给用户B的语音数据的处理流程，对于用户B发送给用户A的语音数据也按照同样的流程处理。

步骤674：保密通信完成后第一终端和第二终端删除各自的公私钥对。

在保密通信完成之后，用户A和用户B销毁各自的公私钥对，并且每次通信都使用新生成的公私钥，使用一次一密的通信方式，即在每次保密通信发起时，各自重新生成新的公私钥对，提升了数据传输的安全性能。

本发明实施例的上述方案的保密通信方式，可以极大地提升VoLTE的安全性，且无需任何第三方或KMC/AuC/HSS的支持，用户无需担心在这些环节被泄密或受到监控；使用一次一密的方式更使得被攻击或破解的概率几乎为零。

第六实施例：

如图7所示，本发明的实施例还提供了一种数据传输装置，应用于第二终端，该数据传输装置包括：

第二获取模块71，设置为获取第一终端发送的第一终端用户公钥；

第一生成模块72，设置为生成第二终端用户公钥及与所述第二终端用户公钥匹配的第二终端用户私钥，并将所述第二终端用户公钥发送给所述第一终端；

第二处理模块73，设置为根据所述第二终端用户私钥和所述第一终端用户公钥，对所述第一终端传输的、加密处理后的IMS媒体数据进行解密处理，得到IMS媒体数据，其中，所述加密处理后的IMS媒体数据为所述第一终端根据与所述第一终端用户公钥匹配的第一终端用户私钥和所述第二终端用户公钥，对所述IMS媒体数据进行加密处理后得到的。

本发明实施例的数据传输装置，所述第二处理模块73包括：

第一解密子模块731，设置为根据所述第二终端用户私钥，对加密处理后的IMS媒体数据进行解密处理，得到一级加密数据，所述一级加密数据为所述第一终端根据第一终端用户私钥对所述IMS媒体数据进行一级加密处理后得到的；

第二解密子模块732，设置为根据第一终端用户公钥，对所述一级加密数据进行解密处理，得到所述IMS媒体数据。

本发明实施例的数据传输装置，所述第二获取模块71设置为从所述第一终端传输的RTP数据包中获取所述第一终端用户公钥。

本发明实施例的数据传输装置，所述第一生成模块72包括：

发送子模块721，设置为在实时传输协议RTP数据包中增加所述第二终端用户公钥，并将增加所述第二终端用户公钥的RTP数据包发送给所述第一终端。

本发明实施例的上述技术方案，第一终端对传输给第二终端的IMS数据进行两次加密处理，第二终端根据第二终端用户私钥和第一终端用户公钥对第一终端传输的IMS数据进行两次解密处理，有效保证了IMS数据传输过程中的安全性，且本发明实施例的上述方案无需通过第三方实现，仅靠移动终端便可完成。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

本发明实施例的上述技术方案，可以应用于数据传输过程中，将预先生成的第一终端用户公钥发送给第二终端；获取所述第二终端接收到所述第一终端用户公钥后，生成的第二终端用户公钥；根据所述第二终端用户公钥和预先生成的、与所述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理，并将加密处理后的IMS媒体数据传输给所述第二终端，大大增强了IMS数据在传输过程中的安全性。

Claims

一种数据传输方法，应用于第一终端，包括：

将预先生成的第一终端用户公钥发送给第二终端；

获取所述第二终端接收到所述第一终端用户公钥后，生成的第二终端用户公钥；

根据所述第二终端用户公钥和预先生成的、与所述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理，并将加密处理后的IMS媒体数据传输给所述第二终端。
根据权利要求1所述的数据传输方法，其中，所述根据所述第二终端用户公钥和预先生成的、与所述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理的步骤包括：

根据所述第一终端用户私钥对所述IMS媒体数据进行一级加密处理，得到一级加密数据；

根据所述第二终端用户公钥对所述一级加密数据进行二级加密处理，得到加密处理后的IMS媒体数据。
根据权利要求1所述的数据传输方法，其中，所述将预先生成的第一终端用户公钥发送给第二终端的步骤包括：

与所述第二终端建立通信连接后，在实时传输协议RTP数据包中增加所述第一终端用户公钥，并将增加所述第一终端用户公钥的RTP数据包发送给所述第二终端。
根据权利要求1所述的数据传输方法，其中，在所述将预先生成的第一终端用户公钥发送给第二终端的步骤之前，所述方法还包括：

检测到第一终端用户通过所述第一终端发起的加密通话请求后，生成第一终端用户公钥及与所述第一终端用户公钥匹配的第一终端用户私钥。
根据权利要求4所述的数据传输方法，其中，所述检测到第一终端用户通过所述第一终端发起的加密通话请求后，生成第一终端用户公钥和与所述第一终端用户公钥匹配的第一终端用户私钥的步骤包括：

检测到第一终端用户通过所述第一终端发起的加密通话请求后，获取与所述第一终端相关的第一终端属性信息，所述第一终端属性信息包括：所述第一终端的网络信号强度、所述第一终端的信噪比和/或所述第一终端的电池电量；

根据所述第一终端属性信息，构造一随机数；

根据所述随机数及密钥生成算法，生成所述第一终端用户公钥和第一终端用户私钥。
一种数据传输装置，应用于第一终端，包括：

发送模块，设置为将预先生成的第一终端用户公钥发送给第二终端；

第一获取模块，设置为获取所述第二终端接收到所述第一终端用户公钥后，生成的第二终端用户公钥；

第一处理模块，设置为根据所述第二终端用户公钥和预先生成的、与所述第一终端用户公钥匹配的第一终端用户私钥，对IP多媒体子系统IMS媒体数据进行加密处理，并将加密处理后的IMS媒体数据传输给所述第二终端。
一种数据传输方法，应用于第二终端，包括：

获取第一终端发送的第一终端用户公钥；

生成第二终端用户公钥及与所述第二终端用户公钥匹配的第二终端用户私钥，并将所述第二终端用户公钥发送给所述第一终端；

根据所述第二终端用户私钥和所述第一终端用户公钥，对所述第一终端传输的、加密处理后的IMS媒体数据进行解密处理，得到IMS媒体数据，其中，所述加密处理后的IMS媒体数据为所述第一终端根据与所述第一终端用户公钥匹配的第一终端用户私钥和所述第二终端用户公钥，对所述IMS媒体数据进行加密处理后得到的。
根据权利要求7所述的数据传输方法，其中，所述根据所述第二终端用户私钥和所述第一终端用户公钥，对所述第一终端传输的、加密处理后的IMS媒体数据进行解密处理，得到IMS媒体数据的步骤包括：

根据所述第二终端用户私钥，对加密处理后的IMS媒体数据进行解密处理，得到一级加密数据，所述一级加密数据为所述第一终端根据第一终端用户私钥对所述IMS媒体数据进行一级加密处理后得到的；

根据第一终端用户公钥，对所述一级加密数据进行解密处理，得到所述IMS媒体数据。
根据权利要求7所述的数据传输方法，其中，所述获取第一终端发送的第一终端用户公钥的步骤包括：

从所述第一终端传输的RTP数据包中获取所述第一终端用户公钥。
根据权利要求7所述的数据传输方法，其中，所述将所述第二终端用户公钥发送给所述第一终端的步骤包括：

在实时传输协议RTP数据包中增加所述第二终端用户公钥，并将增加所述第二终端用户公钥的RTP数据包发送给所述第一终端。
一种数据传输装置，应用于第二终端，包括：

第二获取模块，设置为获取第一终端发送的第一终端用户公钥；

第一生成模块，设置为生成第二终端用户公钥及与所述第二终端用户公钥匹配的第二终端用户私钥，并将所述第二终端用户公钥发送给所述第一终端；

第二处理模块，设置为根据所述第二终端用户私钥和所述第一终端用户公钥，对所述第一终端传输的、加密处理后的IMS媒体数据进行解密处理，得到IMS媒体数据，其中，所述加密处理后的IMS媒体数据为所述第一终端根据与所述第一终端用户公钥匹配的第一终端用户私钥和所述第二终端用户公钥，对所述IMS媒体数据进行加密处理后得到的。