CN100466805C - 一种端到端加密语音通信的方法 - Google Patents
一种端到端加密语音通信的方法 Download PDFInfo
- Publication number
- CN100466805C CN100466805C CNB2006100348195A CN200510051000A CN100466805C CN 100466805 C CN100466805 C CN 100466805C CN B2006100348195 A CNB2006100348195 A CN B2006100348195A CN 200510051000 A CN200510051000 A CN 200510051000A CN 100466805 C CN100466805 C CN 100466805C
- Authority
- CN
- China
- Prior art keywords
- called
- terminal
- encrypted word
- gateway exchange
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种端到端加密语音通信的方法,该方法包括以下步骤:交换机收到主叫终端的加密呼叫建立请求后,向密钥分发中心发送申请加密密钥请求;密钥分发中心收到请求,经加密资格鉴权后,产生主叫加密密钥和被叫加密密钥并将主叫加密密钥和被叫加密密钥返回给交换机;交换机将所得到的主叫加密密钥和被叫加密密钥分别发送给主叫和被叫,同时移动终端所在交换机通知基站控制器旁路语音编码格式转换器TC;主叫终端与被叫终端利用接收到的加密密钥进行双方的加密语音通信。本发明以网络控制为中心的端到端加密语音通信的方法,安全可靠地实现了语音通信;同时,由于网络侧功能强大,使得端到端加密语音通信的实现灵活,而且增强了其可扩展性。
Description
技术领域
本发明涉及保密通信技术,尤指一种端到端加密语音通信的方法。
背景技术
目前,移动通信技术已被广泛应用,但在现有的移动通信系统中,对普通民用移动电话的语音流传输大都没有经过加密处理,虽然有的运营商为了提高安全性增加了加密功能,也仅仅是在无线传输部分进行了加密处理。而对于一些特殊的行业应用,需要移动通信有更高的安全性能,不仅要防止通话在无线传输部分被监听,还要避免通话在陆地网络中传送时被截获、监听,换句话说就是,需要对移动电话的呼叫和通信进行端到端的加密处理。
无线设备在通信过程中的信息是随着无线电波在空中自由传播的,只要使用相应的接收设备,谁都可以随意接收到这些信号,尽管CDMA扩频通信技术具有极强的保密性,然而加密、破解是在不断的相互比较中不断交互发展的。使用标准的技术是可以保证通信的安全,但在拥有上百亿计算能力的、强大的专业设备面前,标准的技术仍有被解密的可能。加密解密在不断的竞争中不断的发展。因此有必要在现有的通信技术上,对语音加密进一步增强,本文将加密语音简称为密话。
发明内容
有鉴于此,本发明的主要目的在于提供一种端到端加密语音通信的方法,使得基于交换系统的端到端语音通信更可靠。
为达到上述目的,本发明的技术方案具体是这样实现的:
一种端到端加密语音通信的方法,该方法适用于包括交换机/密话关口局、密钥分发中心、基站控制器、公共电话交换网PSTN和加密网关的软交换系统,其特征在于,该方法包括以下步骤:
A.主叫终端或被叫终端所在交换机/密话关口局收到主叫终端的加密呼叫建立请求后,向密钥分发中心发送申请加密密钥请求;
B.密钥分发中心收到请求,经加密资格鉴权后,产生主叫加密密钥和被叫加密密钥并将所产生的主叫加密密钥和被叫加密密钥返回给发送所述申请加密密钥请求的交换机/密话关口局;
C.得到主叫加密密钥和被叫加密密钥的交换机/密话关口局将主叫加密密钥发送给主叫终端、将被叫加密密钥发送给被叫终端,同时还通知自身基站控制器旁路语音编码格式转换器TC;
D.主叫终端与被叫终端利用接收到的加密密钥对语音进行加密,以进行双方的加密语音通信。
步骤A所述主叫终端的加密呼叫建立请求中携带有:密话触发前缀和被叫号码。
当主叫终端为模拟固定电话终端时,步骤A中,在加密呼叫建立请求与向密钥分发中心发送申请密钥请求之间,该步骤还包括:主叫终端所在的PSTN交换机先将呼叫转至该主叫终端所在交换机/密话关口局,该主叫终端所在交换机/密话关口局根据被叫号码向位置归属寄存器HLR取路由,并根据获取的路由信息向被叫终端所在交换机/密话关口局发送携带密话触发前缀的呼叫建立消息,并由被叫终端所在交换机/密话关口局向密钥分发中心发送申请密钥请求。
所述主叫终端为移动终端时,步骤A中,由主叫终端所在交换机/密话关口局向密钥分发中心发送申请密钥请求;步骤B中,密钥分发中心分别将主叫加密密钥和被叫加密密钥返回给交换机/密话关口局之后,该步骤还包括:主叫终端所在交换机/密话关口局根据被叫号码向位置归属寄存器HLR取路由,并根据获取的路由信息向被叫终端所在交换机/密话关口局发送携带被叫加密密钥的呼叫建立消息。
所述被叫终端为模拟固定电话终端时,步骤C之前,该方法还包括:
主叫终端所在交换机/密话关口局向被叫终端所在交换机/密话关口局发起呼叫建立过程,然后被叫终端所在交换机/密话关口局再向被叫所在PSTN交换机发起呼叫建立过程,被叫所在PSTN交换机收到该消息后向被叫终端所在交换机/密话关口局返回呼叫响应消息;
之后,被叫终端所在交换机/密话关口局向主叫终端所在交换机/密话关口局发送被叫振铃消息;收到该被叫振铃消息后,主叫终端所在交换机/密话关口局返回确认消息;
被叫终端摘机后,所述被叫终端所在PSTN交换机向被叫终端所在交换机/密话关口局发送接续应答消息,然后被叫终端所在交换机/密话关口局向主叫终端所在交换机/密话关口局发送被叫应答消息。
步骤A中所述主叫终端的加密呼叫建立请求还包括:主叫终端所支持的语音编码格式CODEC列表。
所述被叫终端为移动终端时,步骤C之前,该方法还包括:
被叫终端所在交换机/密话关口局根据所述呼叫建立消息向被叫发起寻呼,指配信道;
之后,被叫终端所在交换机/密话关口局向主叫终端所在交换机/密话关口局发送被叫振铃消息;收到该被叫振铃消息后,主叫终端所在交换机/密话关口局返回确认消息;
被叫终端向自身所在交换机/密话关口局发送接续应答消息后,被叫终端所在交换机/密话关口局向主叫终端所在交换机/密话关口局发送被叫应答消息。
所述呼叫建立消息还包括主叫终端所支持的CODEC列表。
所述被叫终端所在交换机根据所述呼叫建立消息向被叫终端发起寻呼,指配信道并进行CODEC协商。
所述被叫终端为移动终端时,步骤C之前,该方法还包括:
被叫终端所在交换机/密话关口局根据所述呼叫建立消息向被叫发起寻呼,指配信道;
之后,被叫终端所在交换机/密话关口局向主叫终端所在交换机/密话关口局发送被叫振铃消息,主叫终端所在交换机/密话关口局再向主叫终端所在PSTN交换机发送被叫振铃消息;收到该被叫振铃消息后,主叫终端所在交换机/密话关口局返回确认消息;
被叫终端向自身所在交换机/密话关口局发送接续应答消息后,被叫终端所在交换机/密话关口局向主叫终端所在交换机/密话关口局发送被叫应答消息,主叫终端所在交换机/密话关口局再向主叫终端所在PSTN交换机发送被叫应答消息;被叫终端所在交换机/密话关口局申请到主、被叫的加密密钥后,在所述被叫振铃消息中携带有主叫加密密钥传送给主叫终端所在交换机/密话关口局,主叫终端所在交换机/密话关口局将主叫加密密钥再发送给加密网关。
所述被叫振铃消息中携带协商好的CODEC信息;或所述被叫应答消息中携带协商好的CODEC信息。
所述主叫终端为移动终端时,步骤C所述得到主叫加密密钥和被叫加密密钥的交换机/密话关口局将主叫加密密钥发送给主叫终端的方法具体包括:由主叫终端所在交换机/密话关口局将主叫加密密钥携带在密钥下发消息中发送给主叫终端;主叫终端启动语音加密功能并向其所在交换机/密话关口局回应确认消息;
所述被叫终端为移动终端时,步骤C所述得到主叫加密密钥和被叫加密密钥的交换机/密话关口局将被叫加密密钥发送给被叫终端的方法具体包括:由被叫终端所在交换机/密话关口局将被叫加密密钥携带在密钥下发消息中发送给被叫终端;被叫终端启动语音加密功能并向其所在交换机/密话关口局回应确认消息。
所述主叫终端为模拟固定电话终端时,步骤C所述得到主叫加密密钥和被叫加密密钥的交换机/密话关口局将主叫加密密钥发送给主叫终端的方法具体包括:主叫终端接入的密话关口局将主叫密钥下发给主叫终端所在加密网关;主叫终端所在加密网关启动语音加密功能向主叫终端接入的密话关口局回应确认消息;
所述被叫终端为模拟固定电话终端时,步骤C所述得到主叫加密密钥和被叫加密密钥的交换机/密话关口局将被叫加密密钥发送给被叫终端的方法具体包括:被叫终端接入的密话关口局将被叫密钥下发给被叫终端所在的加密网关;被叫终端所在的加密网关启动语音加密功能向被叫终端所在的密话关口局回应确认消息。
步骤C中所述通知其基站控制器旁路TC的方法具体包括:主叫终端所在交换机/密话关口局向其基站控制器发送通知消息,和/或被叫终端所在交换机/密话关口局向其基站控制器发送通知消息;接收到该通知消息的基站控制器旁路语音编码格式转换器TC。
所述通知消息中携带协商好的CODEC信息。
该方法还包括:所述主叫终端和/或被叫终端根据所述通知消息中携带的协商好的CODEC信息更新自身CODEC信息为该协商好的CODEC信息,更新成功后,主叫终端和/或被叫终端向自身所在基站控制器返回更新成功响应消息。
方法步骤A之前还包括主叫终端和被叫终端分别在密钥分发中心KDC进行加密资格认证,所述加密资格认证方法为:
a.所述主叫终端或被叫终端向其所在交换机/密话关口局发起位置更新请求;
b.该交换机/密话关口局获得位置更新请求后,向位置归属寄存器发送注册消息,若注册成功,则该位置归属寄存器向该交换机/密话关口局响应注册成功消息;
c.该交换机/密话关口局获得注册成功消息后,通知该主叫终端或被叫终端注册成功,然后该交换机/密话关口局向密钥分发中心进行加密资格认证,若通过认证,则该交换机置拜访位置寄存器VLR标志位允许主叫终端或被叫终端进行密话通信。
所述更新请求中携带有加密资格认证参数;
或在所述主叫终端或被叫终端获知注册成功后,由该主叫终端或被叫终端在指定消息中携带所述加密资格认证参数发送给其所在交换机/密话关口局。
由上述技术方案可见,本发明这种以网络控制为中心的端到端加密语音通信的方法,由网络交换中心接收并识别密话呼叫,并完成密话呼叫控制;网络交换中心的交换机向密钥分发中心(KDC)申请参与密话双方的密钥,并通过协商保证密话双方的语音编码格式(CODEC)保持一致后,由网络交换中心将密钥下发给密话双方,同时网络交换中心通知基站控制器(BSC)旁路语音编码转换器(TC)。这样,密话双方根据下发的密钥对语音进行加/解密。本发明这种以网络控制为中心的端到端加密语音通信的方法,安全可靠地实现了语音通信;同时,由于网络侧功能强大,使得端到端加密语音通信的实现灵活,而且增强了其可扩展性。
附图说明
图1是本发明基于软交换系统的加密语音通信组网示意图;
图2是本发明移动终端之间加密语音通信流程图;
图3是本发明由模拟固定电话终端发起密话请求的模拟固定电话终端与移动终端间加密语音通信流程图;
图4是本发明由移动终端发起密话请求的移动终端与模拟固定电话终端间加密语音通信流程图;
图5是本发明加密移动终端用户进行KDC认证流程图。
具体实施方式
在移动通信技术中,由于各种原因,在从主叫终端到被叫终端的语音传输路径中,各传输分段的CODEC很可能是不同的,在采用不同CODEC的传输分段间,必须有一个TC,以便对不同的CODEC进行转换适配,在CDMA系统中,TC通常设置在BSC中。但在端到端的加密语音传输路径中,是不允许有TC插入的,因为TC无法辨识经过加密的语音,因此必须把TC旁路掉,这样密话传输路径中的CODEC就应该是一致的,网络设备不对加密语音进行任何干预,使密话能从一端完整地传输到另一端,然后进行解密,还原为明话,即未加密语音。
本发明的核心思想是:利用已有的端到端呼叫流程,网络交换中心在收到主叫终端的密话呼叫建立请求后,向密钥分发中心发起申请密钥的请求,由密钥分发中心对主叫和/或被叫进行加密资格鉴权,通过鉴权后密钥分发中心返回主叫和被叫加密密钥,再由网络交换中心通过信令消息分别下发给主叫终端或主叫终端所在加密网关,和被叫终端或被叫终端所在加密网关,同时,网络交换中心通知基站控制器旁路TC。这样,主叫和被叫终端通过得到的加密密钥,双方进行加密语音通信。
本发明的方法就是利用TC旁路功能,解决了如何由终端发起密话呼叫;以及网络设备如何申请密钥,网络设备又如何将密钥传递给终端,最后由网络设备来启动语音透传功能,从而完整的实现了端到端的语音加密功能。
图1是本发明基于软交换系统的加密语音通信组网示意图,图1中虚线表示传送信令信号,实线表示传送语音信号。图1主要包括:交换机/密话端口局、基站控制器(BSC)、密钥分发中心、公共电话交换网(PSTN)、加密网关和加密通信终端。其中,加密通信终端可以是移动终端(MS)或模拟固定电话终端(POTS);并且,MSCe、MGW、密钥分发中心、公共电话交换网(PSTN)和加密网关组成网络控制中心。
其中,交换机/密话端口局由软交换服务器(MSCe)和媒体网关(MGW)组成。当外接移动终端时,MSCe和MGW还可以被传统的电路型交换机替代,交换机/密话端口局用于接收、识别来自加密通信主叫终端的密话呼叫并下发指配请求,完成与被叫MSCe和MGW之间的呼叫控制;另外MSCe根据加密呼叫向KDC申请密钥,并将申请到的密钥分别下发给主叫、被叫。
KDC接受加密通信用户通过MSCe向其进行的KDC认证;根据MSCe的申请,向MSCe分发主叫和被叫的密钥。
BSC接收来自MSCe的通知消息旁路TC,并可以根据消息中携带的CODEC参数通知移动终端更新当前CODEC。
加密通信终端向MSCe发起密话呼叫;其中移动终端接收MSCe下发的密钥,对通话语音进行加/解密,而PSTN侧,是由与密话端口局相连接的加密网关接收MSCe下发的密钥并对通话语音进行加/解密;移动终端可以接收来自BSC的更新CODEC通知并执行。
上述图1是本发明基于软交换系统的加密语音通信组网示意图,本发明同样适用于电路型的其它交换系统。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举较佳实施例,对本发明进一步详细说明。
下面以软交换系统为例对本发明方法进行详细描述。
实施例一:在移动终端之间实现加密语音通信。
图2是本发明移动终端之间加密语音通信流程图,假设主叫MS与被叫MS均在KDC通过密话资格认证,即KDC认证,且主叫MS到被叫MS的语音传输路径中各传输分段采用不同的CODEC进行传输;在网络交换中心的软交换服务器上预先设置了密话触发前缀,比如该密话触发前缀设为19000,利用该密话触发前缀,网络交换中心的软交换服务器启动密话通信。本发明移动终端之间加密语音通信包括以下步骤:
步骤200:主叫MS向其所在MSCe/MGW发起密话呼叫请求,MSCe/MGW收到密话呼叫后,向主叫MS下发指配要求,分配信道资源。
其中呼叫请求中的呼叫号码包括前缀和被叫MS号码,其中前缀就是密话触发前缀。本实施例中为:19000+被叫MS号码;本实施例中,根据主叫MS呼叫请求中的呼叫号码,MSCe/MGW比较该呼叫号码中的前缀与预设的密话触发前缀来识别主叫MS呼叫类型,若前缀与预设密话触发前缀相符,则MSCe/MGW判定此次呼叫为密话呼叫。
本实施例中,由于主叫MS到被叫MS的语音传输路径中各传输分段是采用不同的CODEC进行传输的,所以在呼叫请求中的呼叫号码中还包括主叫MS支持的CODEC列表。
步骤201:主叫MS所在MSCe/MGW向KDC发起申请语音加密密钥的消息;另外,如果主叫MS完成资源分配后,向MSCe/MGW发送指配完成消息。
申请语音加密密钥的消息中包括主叫MS号码、被叫MS号码等信息。KDC对主叫、被叫进行加密资格认证,本实施例中,已假设主叫MS与被叫MS均在KDC通过密话鉴权,所以,鉴权通过后,KDC向主叫所在MSCe/MGW返回主叫MS加密密钥、被叫MS加密密钥。
这里,MSCe/MGW与KDC之间的交互过程取决于加密方式,不同的加密方式交互过程会有差异,比如:目前常见的密钥交换方式有对称密钥方式,不对称密钥方式,D-H密钥交换方式等。采用不同加密方式的会话密钥分发过程,其交互过程会有所差异,这属于公知技术。
步骤202:主叫MS所在MSCe/MGW根据被叫号码进行号码分析,然后向位置归属寄存器(HLR)取路由。
本步骤是公知标准流程,可参见CDMA核心网的IS41协议。
步骤203:主叫MS所在MSCe/MGW根据获得的被叫路由信息向被叫MS所在的MSCe/MGW发送基于SIP的软交换局间信令(SIP-T)的呼叫建立消息INVITE,从而发起呼叫建立过程。
本实施例中,INVITE消息中还包括被叫MS的加密密钥和主叫MS支持的CODEC列表。
步骤204:被叫MS所在MSCe/MGW对被叫MS发起寻呼、信道指配、CODEC协商等操作,之后被叫MS开始振铃。
本步骤是公知标准流程,可参见CDMA的A接口协议ISO4.0。
步骤205:被叫MS所在MSCe/MGW向主叫MS所在MSCe/MGW发送SIP-T信令的被叫振铃消息180 Ringing,表示被叫MS振铃;主叫MS所在MSCe/MGW收到180 Ringing消息后,向被叫MS所在MSCe/MGW回SIP-T信令的PRACK消息,确认收到180 Ringing消息;被叫MS所在MSCe/MGW向主叫MS所在MSCe/MGW发送SIP-T信令的确认消息200OK,确认被叫MS所在MSCe/MGW收到PRACK消息。
本步骤中,若步骤204中的CODEC协商过程完成,可以在被叫MS所在MSCe/MGW向主叫MS所在MSCe/MGW发送的180 Ringing中携带协商好的主叫MS和被叫MS都支持的CODEC信息。
步骤206:被叫MS应答呼叫,并向其所在MSCe/MGW发送被叫MS接续应答消息CONNECT。
步骤207:被叫MS所在MSCe/MGW向主叫MS所在MSCe/MGW发送SIP-T信令的被叫应答消息200 ANM,表示被叫MS已应答;主叫MS所在MSCe/MGW向被叫MS所在MSCe/MGW发送SIP-T信令的确认消息ACK,表示收到200 ANM消息。
本实施例中,如果在步骤205中没有在180 Ringing消息中携带协商好的CODEC信息,则需要在本步骤中将协商好的CODEC信息携带在被叫MS所在MSCe/MGW向主叫MS所在MSCe/MGW发送的200ANM消息中,发送给主叫MS所在MSCe/MGW。
步骤208:主叫MS所在MSCe/MGW、被叫MS所在MSCe/MGW分别通过密钥下发消息,如FLASH WITH INFO消息向主叫MS、被叫MS发送加密密钥;收到加密密钥后,主叫MS、被叫MS分别向它们所在MSCe/MGW返回FLASH WITH INFO ACK消息,表示主叫MS、被叫MS已启动语音加密功能。
本步骤中,加密密钥包含在MS INFORMATION RECORD信元中发送给主被叫。同时,为了确认MS收到加密密钥并启动语音加密功能,FLASHWITH INFO消息要求携带TAG信息,要求MS在收到加密密钥后给予确认回应。
步骤209:主叫MS所在MSCe/MGW、被叫MS所在MSCe/MGW分别向其BSC发送通知消息,通知BSC旁路TC。
本实施例中,由于主叫MS到被叫MS的语音传输路径中各传输分段采用不同的CODEC进行传输的,所以,通知消息是由Bear Updata Req消息实现的,且在Bear Updata Req消息中携带协商好的CODEC信息。
TC的功能就是对经过的语音流进行语音编解码转换,旁路TC即是屏蔽语音编码格式转换的处理过程即可。具体来讲就是BSC收到旁路TC命令后,就会针对这个语音流关闭TC,即不再对语音流进行编解码的转换处理。
步骤210:主叫MS/被叫MS收到Bear Updata Req消息后,根据该消息中携带的CODEC信息更新自身CODEC,使自身当前支持的CODEC与协商好的CODEC保持一致,然后分别向所在BSC发送Bear Updata ACK消息,表示CODEC更新成功。
至此,主叫MS与被叫MS之间进入密话通信。如果如果BSC与MSCe之间的A2接口是采用IP方式传输信息的,那么BSC不对语音做任何处理,即BSC将语音经A2接口透传;如果A2接口是采用电路型中继电路(TDM)方式传输信息的,那么BSC按照ISLP格式将语音适配到64K的PCM上传送,即免二次编解码功能。
从本实施例中可以看出,通过以MSCe/MGW为控制中心的密话通信方法,由MSCe/MGW向KDC同时申请呼叫双方的加密密钥,并由MSCe/MGW下发给呼叫双方,这样提高了密话通信的可靠性,也为本方法的可扩展性打下良好基础。
值得注意的是:在本实施例中,是假设主叫MS到被叫MS的语音传输路径中各传输分段采用不同的CODEC进行传输的,所以在整个流程中需要对CODEC的协商和更新过程。如果主叫MS到被叫MS的语音传输路径中已预先协商好采用相同的CODEC进行传输,那么上述步骤中,相关步骤和相关消息会有所变化,具体变化如下:
步骤203中,INVITE消息中无需携带主叫MS支持的CODEC列表;
步骤204中,CODEC协商操作被省略,在被叫MS所在MSCe/MGW向主叫MS所在MSCe/MGW发送的180 Ringing中不存在携带协商好的主叫MS和被叫MS都支持的CODEC信息;
步骤207中,也不存在将协商好的CODEC信息携带在被叫MS所在MSCe/MGW向主叫MS所在MSCe/MGW发送的200 ANM消息中;
步骤209中,通知消息改为由Transcoder Control Req消息实现,消息中同样不存在携带协商好的CODEC信息的问题;
步骤210将不存在。
实施例二:在模拟固定电话终端与移动终端之间实现语音加密通信,且由模拟固定电话终端发起密话请求。
图3是本发明由模拟固定电话终端发起密话请求的模拟固定电话终端与移动终端间加密语音通信流程图,假设被叫MS在KDC通过密话资格认证,且与密话关口局相连接的加密网关到被叫MS的语音传输路径中各传输分段采用不同的CODEC进行传输;在密话关口局的软交换服务器上预先设置了密话触发前缀,比如该密话触发前缀设为19000。本发明由模拟固定电话终端发起密话请求的模拟固定电话终端与移动终端间加密语音通信包括以下步骤:
步骤300:主叫POTS终端通过其所在PSTN交换机向密话关口局MSCe/MGW发起密话呼叫请求。
其中呼叫请求中的呼叫号码包括前缀和被叫MS号码,其中前缀即为密话触发前缀,本实施例中为:19000+被叫MS号码;
本实施例中,根据主叫POTS终端呼叫请求中的呼叫号码,密话关口局MSCe/MGW比较该呼叫号码中的前缀与预设的密话触发前缀来识别主叫MS呼叫类型,若前缀与预设密话触发前缀相符,则MSCe/MGW判定此次呼叫为密话呼叫。
步骤301:密话关口局MSCe/MGW根据被叫号码进行号码分析,然后向HLR取路由。
本步骤是公知标准流程,可参见CDMA核心网的IS41协议。
步骤302:密话关口局根据获得的被叫MS的路由信息,向被叫MS所在MSCe/MGW发送INVITE消息,从而发起呼叫建立过程。
本实施例中,由于密话关口局到被叫MS是采用不同的CODEC进行通讯的,所以,在INVITE消息中应携带密话关口局支持的CODEC列表。
步骤303:被叫MS所在MSCe/MGW向KDC发起申请语音加密密钥的消息。
申请语音加密密钥的消息中包括主叫POTS号码、被叫MS号码等信息。KDC对被叫进行加密资格鉴权,本实施例中,已假设被叫MS在KDC通过密话资格认证,所以,鉴权通过后,KDC向被叫所在MSCe/MGW返回密话关口局的加密网关加密密钥、被叫MS加密密钥。
这里,MSCe/MGW与KDC之间的交互过程取决于加密方式,不同的加密方式交互过程会有差异,比如:比如:目前常见的密钥交换方式有对称密钥方式,不对称密钥方式,D-H密钥交换方式等。采用不同加密方式的会话密钥分发过程,其交互过程会有所差异,这属于公知技术。
步骤304:被叫MS所在MSCe/MGW对被叫MS发起寻呼、信道指配、CODEC协商等操作,之后被叫MS开始振铃。
本步骤是公知标准流程,可参见CDMA的A接口协议ISO4.0。
步骤305:被叫MS所在MSCe/MGW向密话关口局发送SIP-T信令的被叫振铃消息180 Ringing,表示被叫MS振铃;密话关口局收到180 Ringing消息后,向被叫MS所在MSCe/MGW回SIP-T信令的PRACK消息,确认收到180 Ringing消息;被叫MS所在MSCe/MGW向密话关口局发送SIP-T信令的的200 OK消息,确认被叫MS所在MSCe/MGW收到PRACK消息。
本步骤中,若步骤304中的CODEC协商过程完成,可以在被叫MS所在MSCe/MGW向密话关口局发送的180 Ringing中携带主叫加密密钥和协商好的主叫MS和被叫MS都支持的CODEC信息。
步骤306:密话关口局向主叫POTS终端所在PSTN交换机回ACM消息;被叫MS应答呼叫,向被叫MS所在MSCe/MGW发送接续应答消息CONNECT,表示应答。
步骤307:被叫MS所在MSCe/MGW向密话关口局发送SIP-T信令的200 ANM消息,表示被叫MS已应答;密话关口局向被叫MS所在MSCe/MGW发送SIP-T信令的确认消息ACK,表示收到200 ANM消息。
本实施例中,如果在步骤305中没有在180 Ringing消息中携带协商好的CODEC信息,则需要在本步骤中将协商好的CODEC信息携带在被叫MS所在MSCe/MGW向密话关口局发送的200 ANM消息中,发送给密话关口局。
步骤308:被叫MS所在MSCe/MGW通过密钥下发消息,如FLASHWITH INFO消息向被叫MS发送加密密钥;收到加密密钥后,被叫MS向其所在MSCe/MGW返回FLASH WITH INFO ACK消息,表示被叫MS已启动语音加密功能;密话关口局通过Open encipher消息向主叫POTS终端所在加密网关发送加密密钥,收到加密密钥后,加密网关向密话关口局返回Open encipher ACK消息,表示主叫POTS终端所在加密网关已启动语音加密功能。
本步骤中,被叫MS的加密密钥包含在MS INFORMATION RECORD信元中发送给被叫。
主叫POTS终端所在加密网关的加密密钥包含在Open encipher消息中发送给主叫加密网关。
同时,为了确保主/被叫收到加密密钥并启动语音加密功能,FLASHWITH INFO消息要求携带TAG信息,要求MS在收到加密密钥后给予确认回应;同样密话关口局也要求加密网关给予回应。
步骤309:被叫MS所在MSCe/MGW向其BSC发送通知消息,通知BSC旁路TC。
本实施例中,由于主叫POTS终端所在加密网关到被叫MS的语音传输路径中各传输分段采用不同的CODEC进行传输,所以,通知消息是由BearUpdata Req消息实现的,且在Bear Updata Req消息中携带协商好的CODEC信息。
TC的功能就是对经过的语音流进行语音编解码转换,旁路TC即是屏蔽语音编码格式转换的处理过程即可。具体来讲就是BSC收到旁路TC命令后,就会针对这个语音流关闭TC,即不再对语音流进行编解码的转换处理。
步骤310:被叫MS收到Bear Updata Req消息后,根据该消息中携带的CODEC信息更新自身CODEC,使自身当前支持的CODEC与协商好的CODEC保持一致,然后分别向所在BSC发送Bear Updata ACK消息,标识CODEC更新成功。
至此,主叫POTS终端与被叫MS之间进入密话通信。如果BSC与MSCe之间的A2接口是采用IP方式传输信息的,那么BSC不对语音做任何处理,即BSC将语音经A2接口透传;如果A2接口是采用TDM方式传输信息的,那么BSC按照ISLP格式将语音适配到64K的PCM上传送,即免二次编解码功能。
同样的,在本实施例中,是假设密话关口局到被叫MS是采用不同的CODEC进行通讯的,所以在整个流程中需要对CODEC的协商和更新过程。如果密话关口局和被叫MS都采用预先协商好的CODEC进行通信,那么上述步骤中,相关步骤和相关消息会有所变化,具体变化如下:
步骤302中,INVITE消息中无需携带密话关口局支持的CODEC列表;
步骤304中,CODEC协商操作被省略,在被叫MS所在MSCe/MGW向密话关口局发送的180 Ringing中不存在携带协商好的主叫POTS终端所在加密网关和被叫MS都支持的CODEC信息的问题;
步骤307中,也不存在将协商好的CODEC信息携带在被叫MS所在MSCe/MGW向密话关口局发送的200 ANM消息中;
步骤309中,通知消息改为由Transcoder Control Req消息实现,消息中同样不存在携带协商好的CODEC信息的问题;
步骤310将不存在。
实施例三:在移动终端与模拟固定电话终端之间实现语音加密通信,且由移动终端发起密话请求。
图4是本发明由移动终端发起密话请求的移动终端与模拟固定电话终端间加密语音通信流程图,假设主叫MS在KDC通过密话资格认证,且主叫MS到被叫POTS终端所在加密网关的语音传输路径中各传输分段采用不同的CODEC进行传输;在软交换服务器上预先设置了密话触发前缀,比如该密话触发前缀设为19000。
图4中的流程由实施例一的移动终端触发密话呼叫过程和实施例二的加密密钥下发两个过程组合而成,不同的地方在于,主、被叫密钥申请是由主叫MS所在的MSCe/MGW发起的,然后通过局间信令将密话网关的密钥,即被叫POTS终端的密钥传送给密话关口局,具体工作流程将不再详述。
以上,是本发明方法实现的端到端加密语音通信的实施例,在实施例中,在网络设备中是通过SIP-T信令来传送密钥的,也可以采用其它信令,如:BICC、ISUP、SIP等信令。
另外,在上述实施例中,均假设MS在KDC通过密话资格认证,图5是本发明加密移动终端用户进行KDC认证流程图,具体步骤如下:
步骤500:MS用户开机后向其所在MSCe/MGW发起位置更新请求消息,该消息中携带加密资格认证参数。
该KDC认证参数也可以在MS获知注册成功后,由MS通过专门指定的消息,如“短消息传送”消息发给交换机。
步骤501:MSCe/MGW接收到位置更新请求消息后,向HLR发送注册请求;HLR注册成功后,向MSCe/MGW发送注册成功响应消息。
步骤502:MSCe/MGW向MS用户发送位置更新成功消息,表示普通呼叫的注册过程完成。
步骤503:MSCe/MGW向KDC进行KDC认证,KDC认证通过后,置拜访位置寄存器(VLR)标志,表示KDC认证通过。
该VLR标志可用于密话用户发起密话呼叫时检查用户是否有密话通信的权利。
这里,无论KDC认证是否通过,不影响密话用户使用明话的所有功能。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (18)
1.一种端到端加密语音通信的方法,该方法适用于包括交换机/密话关口局、密钥分发中心、基站控制器、公共电话交换网PSTN和加密网关的软交换系统,其特征在于,该方法包括以下步骤:
A.主叫终端或被叫终端所在交换机/密话关口局收到主叫终端的加密呼叫建立请求后,向密钥分发中心发送申请加密密钥请求;
B.密钥分发中心收到请求,经加密资格鉴权后,产生主叫加密密钥和被叫加密密钥并将所产生的主叫加密密钥和被叫加密密钥返回给发送所述申请加密密钥请求的交换机/密话关口局;
C.得到主叫加密密钥和被叫加密密钥的交换机/密话关口局将主叫加密密钥发送给主叫终端、将被叫加密密钥发送给被叫终端,同时还通知自身基站控制器旁路语音编码格式转换器TC;
D.主叫终端与被叫终端利用接收到的加密密钥对语音进行加密,以进行双方的加密语音通信。
2.根据权利要求1所述的方法,其特征在于,步骤A所述主叫终端的加密呼叫建立请求中携带有:密话触发前缀和被叫号码。
3.根据权利要求2所述的方法,其特征在于,当主叫终端为模拟固定电话终端时,步骤A中,在加密呼叫建立请求与向密钥分发中心发送申请密钥请求之间,该步骤还包括:主叫终端所在的PSTN交换机先将呼叫转至主叫终端所在交换机/密话关口局,主叫终端所在交换机/密话关口局根据被叫号码向位置归属寄存器HLR取路由,并根据获取的路由信息向被叫终端所在交换机/密话关口局发送携带密话触发前缀的呼叫建立消息,并由被叫终端所在交换机/密话关口局向密钥分发中心发送申请密钥请求。
4.根据权利要求2所述的方法,其特征在于,所述主叫终端为移动终端时,步骤A中,由主叫终端所在交换机/密话关口局向密钥分发中心发送申请密钥请求;步骤B中,密钥分发中心分别将主叫加密密钥和被叫加密密钥返回给主叫终端所在交换机/密话关口局,之后,该步骤还包括:主叫终端所在交换机/密话关口局根据被叫号码向位置归属寄存器HLR取路由,并根据获取的路由信息向被叫终端所在交换机/密话关口局发送携带被叫加密密钥的呼叫建立消息。
5.根据权利要求4所述的方法,其特征在于,所述被叫终端为模拟固定电话终端时,步骤C之前,该方法还包括:
主叫终端所在交换机/密话关口局向被叫终端所在交换机/密话关口局发起呼叫建立过程,然后被叫终端所在交换机/密话关口局再向被叫所在PSTN交换机发起呼叫建立过程,被叫所在PSTN交换机收到该消息后向被叫终端所在交换机/密话关口局返回呼叫响应消息;
之后,被叫终端所在交换机/密话关口局向主叫终端所在交换机/密话关口局发送被叫振铃消息;收到该被叫振铃消息后,主叫终端所在交换机/密话关口局返回确认消息;
被叫终端摘机后,所述被叫终端所在PSTN交换机向被叫终端所在交换机/密话关口局发送接续应答消息,然后被叫终端所在交换机/密话关口局向主叫终端所在交换机/密话关口局发送被叫应答消息。
6.根据权利要求4所述的方法,其特征在于,步骤A中所述主叫终端的加密呼叫建立请求还包括:主叫终端所支持的语音编码格式CODEC列表。
7.根据权利要求3或4所述的方法,其特征在于,所述被叫终端为移动终端时,步骤C之前,该方法还包括:
被叫终端所在交换机/密话关口局根据所述呼叫建立消息向被叫发起寻呼,指配信道;
之后,被叫终端所在交换机/密话关口局向主叫终端所在交换机/密话关口局发送被叫振铃消息;收到该被叫振铃消息后,主叫终端所在交换机/密话关口局返回确认消息;
被叫终端向自身所在交换机/密话关口局发送接续应答消息后,被叫终端所在交换机/密话关口局向主叫终端所在交换机/密话关口局发送被叫应答消息。
8.根据权利要求7所述的方法,其特征在于,所述呼叫建立消息还包括主叫终端所支持的CODEC列表。
9.根据权利要求8所述的方法,其特征在于:所述被叫终端所在交换机根据所述呼叫建立消息向被叫终端发起寻呼,指配信道并进行CODEC协商。
10.根据权利要求3所述的方法,其特征在于,所述被叫终端为移动终端时,步骤C之前,该方法还包括:
被叫终端所在交换机/密话关口局根据所述呼叫建立消息向被叫终端发起寻呼,指配信道;
之后,被叫终端所在交换机/密话关口局向主叫终端所在交换机/密话关口局发送被叫振铃消息,主叫终端所在交换机/密话关口局再向主叫终端所在PSTN交换机发送被叫振铃消息;收到该被叫振铃消息后,主叫终端所在交换机/密话关口局返回确认消息;
被叫终端向自身所在交换机/密话关口局发送接续应答消息后,被叫终端所在交换机/密话关口局向主叫终端所在交换机/密话关口局发送被叫应答消息,主叫终端所在交换机/密话关口局再向主叫终端所在PSTN交换机发送被叫应答消息;
被叫终端所在交换机/密话关口局申请到主、被叫的加密密钥后,在所述被叫振铃消息中携带有主叫加密密钥传送给主叫终端所在交换机/密话关口局,主叫终端所在交换机/密话关口局将主叫加密密钥再发送给加密网关。
11.根据权利要求10所述的方法,其特征在于,所述被叫振铃消息中携带协商好的CODEC信息;或所述被叫应答消息中携带协商好的CODEC信息。
12.根据权利要求1所述的方法,其特征在于,
所述主叫终端为移动终端时,步骤C所述得到主叫加密密钥和被叫加密密钥的交换机/密话关口局将主叫加密密钥发送给主叫终端的方法具体包括:由主叫终端所在交换机/密话关口局将主叫加密密钥携带在密钥下发消息中发送给主叫终端;主叫终端启动语音加密功能并向其所在交换机/密话关口局回应确认消息;
所述被叫终端为移动终端时,步骤C所述得到主叫加密密钥和被叫加密密钥的交换机/密话关口局将被叫加密密钥发送给被叫终端的方法具体包括:由被叫终端所在交换机/密话关口局将被叫加密密钥携带在密钥下发消息中发送给被叫终端;被叫终端启动语音加密功能并向其所在交换机/密话关口局回应确认消息。
13.根据权利要求1所述的方法,其特征在于,
所述主叫终端为模拟固定电话终端时,步骤C所述得到主叫加密密钥和被叫加密密钥的交换机/密话关口局将主叫加密密钥发送给主叫终端的方法具体包括:主叫终端接入的密话关口局将主叫密钥下发给主叫终端所在加密网关;主叫终端所在加密网关启动语音加密功能向主叫终端接入的密话关口局回应确认消息;
所述被叫终端为模拟固定电话终端时,步骤C所述得到主叫加密密钥和被叫加密密钥的交换机/密话关口局将被叫加密密钥发送给被叫终端的方法具体包括:被叫终端接入的密话关口局将被叫密钥下发给被叫终端所在的加密网关;被叫终端所在的加密网关启动语音加密功能向被叫终端所在的密话关口局回应确认消息。
14.根据权利要求1所述的方法,其特征在于,步骤C中所述通知其基站控制器旁路TC的方法具体包括:
主叫终端所在交换机/密话关口局向其基站控制器发送通知消息,和/或被叫终端所在交换机/密话关口局向其基站控制器发送通知消息;
接收到该通知消息的基站控制器旁路语音编码格式转换器TC。
15.根据权利要求14所述的方法,其特征在于,所述通知消息中携带协商好的CODEC信息。
16.根据权利要求15所述的方法,其特征在于,该方法还包括:所述主叫终端和/或被叫终端根据所述通知消息中携带的协商好的CODEC信息更新自身CODEC信息为该协商好的CODEC信息,更新成功后,主叫终端和/或被叫终端向自身所在基站控制器返回更新成功响应消息。
17.根据权利要求1所述的方法,其特征在于,该方法步骤A之前还包括主叫终端和被叫终端分别在密钥分发中心KDC进行加密资格认证,所述加密资格认证方法为:
a.所述主叫终端或被叫终端向其所在交换机/密话关口局发起位置更新请求;
b.该交换机/密话关口局获得位置更新请求后,向位置归属寄存器发送注册消息,若注册成功,则该位置归属寄存器向该交换机/密话关口局响应注册成功消息;
c.该交换机/密话关口局获得注册成功消息后,通知该主叫终端或被叫终端注册成功,然后该交换机/密话关口局向密钥分发中心进行加密资格认证,若通过认证,则该交换机置拜访位置寄存器VLR标志位允许主叫终端或被叫终端进行密话通信。
18.根据权利要求17所述的方法,其特征在于,所述更新请求中携带有加密资格认证参数;
或在所述主叫终端或被叫终端获知注册成功后,由该主叫终端或被叫终端在指定消息中携带所述加密资格认证参数发送给其所在交换机/密话关口局。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100348195A CN100466805C (zh) | 2005-02-05 | 2005-02-05 | 一种端到端加密语音通信的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100348195A CN100466805C (zh) | 2005-02-05 | 2005-02-05 | 一种端到端加密语音通信的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1816213A CN1816213A (zh) | 2006-08-09 |
| CN100466805C true CN100466805C (zh) | 2009-03-04 |
Family
ID=36908111
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100348195A Expired - Fee Related CN100466805C (zh) | 2005-02-05 | 2005-02-05 | 一种端到端加密语音通信的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100466805C (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101232368B (zh) * | 2007-01-23 | 2011-06-01 | 华为技术有限公司 | 一种分配媒体流密钥的方法和多媒体子系统 |
| CN101309144B (zh) * | 2008-05-12 | 2011-12-21 | 华为技术有限公司 | 对网络通信加密的方法、服务设备及网络系统 |
| CN101304555B (zh) * | 2008-06-30 | 2011-07-13 | 中兴通讯股份有限公司 | 一种系统间寻呼中被叫空口语音加密的实现方法及装置 |
| CN101835146A (zh) * | 2010-04-12 | 2010-09-15 | 东南大学 | 第三代移动网络手机语音端到端加密装置及方法 |
| CN101917711B (zh) * | 2010-08-25 | 2015-09-16 | 中兴通讯股份有限公司 | 一种移动通信系统及其语音通话加密的方法 |
| CN102006570A (zh) * | 2010-11-12 | 2011-04-06 | 中兴通讯股份有限公司 | 短信加密的装置及方法 |
| CN103987037A (zh) * | 2014-05-28 | 2014-08-13 | 大唐移动通信设备有限公司 | 一种保密通信实现方法及装置 |
| CN104581712A (zh) * | 2014-12-25 | 2015-04-29 | 中国科学院信息工程研究所 | 一种移动终端加密通信的方法及系统 |
| CN105813035B (zh) * | 2014-12-30 | 2019-12-17 | 中国移动通信集团公司 | 一种识别保密语音业务的方法、系统和网络设备 |
| CN104796401B (zh) * | 2015-03-12 | 2017-11-03 | 天翼电信终端有限公司 | 一种通过中间平台实现加密语音通信的方法与系统 |
| CN104796402B (zh) * | 2015-03-12 | 2018-01-12 | 天翼电信终端有限公司 | 一种通过中间平台实现加密短信通信的方法与系统 |
| CN106549906A (zh) * | 2015-09-17 | 2017-03-29 | 中兴通讯股份有限公司 | 实现端到端通话加密的方法、终端及网络侧网元 |
| CN108347414A (zh) * | 2017-01-24 | 2018-07-31 | 中国移动通信有限公司研究院 | 一种语音加密传输的方法及设备 |
| CN113099444B (zh) * | 2021-02-23 | 2022-06-24 | 中国科学院大学 | 一种保护隐私的信息传输方法及其系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030026433A1 (en) * | 2001-07-31 | 2003-02-06 | Matt Brian J. | Method and apparatus for cryptographic key establishment using an identity based symmetric keying technique |
| CN1444362A (zh) * | 2002-03-08 | 2003-09-24 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
| CN1484409A (zh) * | 2002-09-17 | 2004-03-24 | 华为技术有限公司 | 一种无线局域网内加密密钥的分发方法 |
| CN1568087A (zh) * | 2003-07-08 | 2005-01-19 | 深圳市中兴通讯股份有限公司 | 多种密级移动终端之间的通信方法 |
-
2005
- 2005-02-05 CN CNB2006100348195A patent/CN100466805C/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030026433A1 (en) * | 2001-07-31 | 2003-02-06 | Matt Brian J. | Method and apparatus for cryptographic key establishment using an identity based symmetric keying technique |
| CN1444362A (zh) * | 2002-03-08 | 2003-09-24 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
| CN1484409A (zh) * | 2002-09-17 | 2004-03-24 | 华为技术有限公司 | 一种无线局域网内加密密钥的分发方法 |
| CN1568087A (zh) * | 2003-07-08 | 2005-01-19 | 深圳市中兴通讯股份有限公司 | 多种密级移动终端之间的通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1816213A (zh) | 2006-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100466805C (zh) | 一种端到端加密语音通信的方法 | |
| FI108590B (fi) | Matkapuhelimen salausjärjestelmä | |
| CN100373991C (zh) | 一种分组网络中语音通信的加密协商方法 | |
| CN101931949B (zh) | 一种移动终端间明话和密话通信切换的方法及系统 | |
| US5410602A (en) | Method for key management of point-to-point communications | |
| FI108690B (fi) | Puheen ja ohjaussanomien salakirjoittaminen solukkojärjestelmässä | |
| CN105025475B (zh) | 面向Android系统的移动保密终端实现方法 | |
| CN101478753B (zh) | Wapi终端接入ims网络的安全管理方法及系统 | |
| CN100415005C (zh) | 在端到端语音通信中实现明话/密话间相互切换的方法 | |
| US7764945B2 (en) | Method and apparatus for token distribution in session for future polling or subscription | |
| KR100735357B1 (ko) | 이동통신 시스템의 가입자에게 사설 음성 호 서비스를제공하는 방법 및 시스템과 이를 위한 무선 소프트 스위치장치 | |
| CN103974241A (zh) | 一种面向Android系统移动终端的语音端到端加密方法 | |
| CN106899969A (zh) | 基于iOS系统的特定保密终端系统实现方法 | |
| CN106658486A (zh) | 一种加密通话的呼叫方法、装置及终端 | |
| WO2016022326A1 (en) | A method of providing real-time secure communication between end points in a network | |
| CN104955033A (zh) | 一种语音加密通话方法 | |
| EP3248355B1 (en) | Enhanced establishment of ims session with secure media | |
| CN106549906A (zh) | 实现端到端通话加密的方法、终端及网络侧网元 | |
| CN101547269A (zh) | 呼叫控制方法和语音终端 | |
| CN100512103C (zh) | 一种端到端加密通信的密钥分发方法 | |
| CN108271132B (zh) | 一种语音加密电话呼叫方法 | |
| WO2010083773A1 (zh) | 加密语音呼叫的编解码协商的方法、通信系统及设备 | |
| CN106559402B (zh) | 用户终端及其加密语音电话业务的身份认证方法及装置 | |
| CN1247041C (zh) | 移动终端加密的方法 | |
| CN100463551C (zh) | 一种在移动通信系统中实现加密通信的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090304 Termination date: 20130205 |