CN102404729A

CN102404729A - 一种用于低速窄带无线数字通信的端到端语音加密方法

Info

Publication number: CN102404729A
Application number: CN2011102916362A
Authority: CN
Inventors: 朱振荣; 周昕; 陈妍; 蒋庆生; 王为民; 钱志红
Original assignee: BEIJING SONICOM NETWORK SYSTEM Co Ltd; Vimicro Corp; First Research Institute of Ministry of Public Security
Current assignee: BEIJING SONICOM NETWORK SYSTEM Co Ltd; Vimicro Corp; First Research Institute of Ministry of Public Security
Priority date: 2010-10-29
Filing date: 2011-09-30
Publication date: 2012-04-04
Anticipated expiration: 2031-09-30
Also published as: CN102006593A; CN102404729B

Abstract

本发明提出的一种用于低速窄带无线数字通信系统的端到端语音加密方法，其主要思想是，将一次通话过程中的同步控制信息分成两部分：一部分在整个通话过程中不变，另一部分则随着语音帧不断变化。其中，不变的部分通过控制信令发送，变化的部分随着语音数据一起发送。这样，需要频繁发送的同步控制信息被有效地减少了。本发明中所提的同步机制具有以下优点：(1)避免了语音中断的问题，保证了语音的连贯性。(2)在通话过程中，不需要频繁的进行同步控制信息的合法性校验，有效地提高了同步效率。(3)避免出现多个连续的语音帧无法解密的情况。(4)解决了低速窄带无线通信系统中由于承载能力有限而引发的问题。

Description

一种用于低速窄带无线数字通信的端到端语音加密方法

技术领域

本发明属于通信领域，涉及一种用于低速窄带无线数字通信系统的端到端语音加密方法，可应用于多种体制的数字移动通信系统。

背景技术

端到端语音加密的主要思想是：语音在发送端加密，在接收端解密，从而保证语音在主被叫双方之间的设备节点中不以明文形式存在。

流密码算法由于具有无误码扩散以及可进行预计算的优点，非常适合于对实时性要求较高的端到端语音加密。流密码算法在使用过程中要求主被叫双方必须同步才能正确地实现加解密，即主被叫双方从相同的位置开始使用相同的密钥流加密或解密。然而，无线数字通信系统存在信道误码，而且越来越多地采用IP交换的方式实现语音通信，容易引起语音帧丢失、延迟等问题，从而导致被叫方无法正确产生与语音帧对应的密钥流，造成语音解密失败。因此，如何保证主被叫双方的密钥流同步是实现端到端语音加密的关键。

ETSI(欧洲电信标准协会)制定的TETRA(数字集群标准)，也为用户提供了端到端语音加密功能。它是一种基于TDMA技术的专用移动通信系统，25kHz的信道被划分为四个时隙，每个时隙具有14.167ms的持续时间，传输速率为36kbps。TETRA系统中的声码器选用了码率为4.567kbps的ACELP(编码激励的线性预测编码)，其编码是基于30ms语音进行的，编码后数据长度为137bits。

TETRA标准通过周期性地挪用语音帧的方式，在主被叫双方之间传递不断变化的同步控制信息。根据TETRA的同步机制，同步控制信息包括了同步向量SV(64bits)、密钥信息和密码校验(22bits)等，其中SV对于每个语音帧都是变化的。这样，被叫方在通话过程出现失步或者迟后进入通话时，可以通过同步控制信息实现与主叫方的同步。根据ETSI EN 302109标准，同步控制信息通过挪用的半个时隙进行传输，这半个时隙本来是用于传送一个30ms的语音帧。ETSI EN 302109标准中没有规定通话期间的挪用频率，但是建议：如果半时隙不重要的话，同步控制信息每0.25s发送一次；如果半时隙一般重要的话，同步控制信息每0.5s发送一次；如果半时隙非常重要的话，同步控制信息每1s发送一次。

值得注意的是：在进行端到端语音加密呼叫时，周期性地挪用语音帧传输同步控制信息，意味着语音被频繁地中断，从而导致语音质量出现一定的下降。

可见，TETRA标准中的端到端语音加密同步机制，可能无法直接应用到某些低速窄带无线通信系统，例如DMR数字集群系统。

DMR数字集群系统是一种新的基于TDMA技术的专用移动通信系统，12.5kHz的信道被划分为两个时隙，每个时隙具有30ms的持续时间，传输速率为9.6kbps。DMR系统中的声码器一般选用码率为2.4kbps的算法，其编码是基于60ms语音进行的，编码后数据长度为144bits。

显然，DMR系统无法直接应用TETRA标准中的端到端语音加密同步机制。原因有两点：(1)DMR系统的通信速率低于TETRA系统，一条CSBK信令只能承载80bits的信息，挪用一个30ms的时隙都无法承载TETRA系统中119bits的同步控制信息；(2)在DMR系统中挪用一个30ms的时隙意味着语音被中断了60ms，而在TETRA中只中断了30ms，这将使语音质量显著下降，影响用户体验。

因此，有必要提出一种新的适用于低速窄带无线数字通信系统的端到端语音加密同步机制。

发明内容

为解决上述问题，本发明提出的端到端语音加密方法使用了一种新的同步机制。这种同步机制的主要思想是，将一次通话过程中的同步控制信息分成两部分：一部分在整个通话过程中保持不变，另一部分则随着语音帧不断变化。其中，不变的部分通过控制信令发送，变化的部分随着语音数据一起发送。这样，需要频繁发送的同步控制信息被有效地减少了。

为了实现上述目的，本发明采用了以下技术方案：

步骤1：端到端加密通信前的准备；

步骤2：主叫方在端到端加密通信开始时，首先发送呼叫控制信令(包括主被叫身份、组呼/个呼标识等信息)及端到端语音加密同步控制帧(包括初始向量、密钥索引、密码校验和等信息)，然后开始连续发送携带语音帧序列号的加密语音。在通信持续的过程中，主叫方仍可周期性地发送呼叫控制信令及端到端语音加密同步控制帧，以保证迟后进入的被叫方也可以解密语音；

步骤3：被叫方在接收到呼叫控制信令及合法的同步控制帧后，立刻进入端到端语音解密流程，将携带语音帧序列号的加密语音还原成明文语音。

进一步地，在所述步骤1中，端到端加密通信前的准备包括以下两个部分：

(1)在主被叫方设备中分别设置安全时钟防止攻击者篡改时间，并通过特定的安全机制保证安全时钟与标准时钟的误差在端到端语音加密机制的允许范围之内；

(2)建立并维护端到端加密密钥映射表。通过查询该表，可确定端到端加密所使用的密钥。对于个呼，由主被叫方身份来确定密钥；对于组呼，由被叫方身份来确定密钥。

进一步地，在所述步骤2中，具体的流程包括：

(1)主叫方根据主被叫身份、组呼/个呼标识等通话基本信息构造呼叫控制信令并发送；

(2)主叫方根据主被叫身份、组呼/个呼标识等通话基本信息确定通信加密密钥TEK和密钥索引KI；由随机数发生器产生初始向量IV；从主叫方本地的安全时钟提取通话发起时间T；计算同步控制帧密码校验和CCSUM；构造同步控制帧并发送；

(3)主叫方对一次通话中的每帧语音，按时间先后顺序指定一序列号；以语音帧序列号、初始向量IV以及时间T作为加密算法输入，计算出加密各语音帧的密钥流；每帧语音与对应的密钥流异或后，与其语音帧序列号拼接后发送。

其中，步骤3中，具体的流程包括：

(1)被叫方从呼叫控制信令中获取主被叫身份、组呼/个呼标识等通话基本信息；

(2)被叫方从控制信令中获取同步控制帧；根据主被叫身份、组呼/个呼标识等通话基本信息和同步控制帧中的密钥索引KI选择通信加密密钥TEK；从被叫方本地的安全时钟提取当前时间T_R；根据时间T_R及同步控制帧密码校验和CCSUM，利用校正算法确定通话发起时间T；从同步控制帧中提取初始向量IV；

(3)被叫方从每帧语音中提取语音帧序列号；以语音帧序列号、初始向量IV以及时间T作为加密算法输入，计算出解密各语音帧的密钥流；每帧语音与对应的密钥流异或后，即可获得解密语音。

进一步地，端到端语音加密中的密钥流同步主要依靠同步向量来完成，本发明定义同步向量由三部分组成：(1)初始向量IV。该初始向量在通话(Speech Item，指一次PTT按讲过程，以下同)开始时选定，在整个通话过程中保持不变。(2)通话发起时安全时钟的时间T。该安全时钟的误差要求根据初始向量的长度来确定。初始向量越短，对安全时钟的误差要求越苛刻。如果初始向量足够长，则可不使用安全时钟。(3)语音帧序列号。该语音帧序列号从0开始计数，逐帧加1。同步向量中的初始向量IV和安全时钟时间T在一次通话中保持不变，语音帧序列号随语音帧的变化而变化。初始向量IV通过控制信令传送；语音帧序列号通过挤占语音帧中的部分信息位进行传送；通话发起时安全时钟的时间T不直接发送，被叫方将通过校正算法确定。主被叫双方的安全时钟都能够有效地防止攻击者篡改时间；安全时钟的同步及维护操作则属于端到端通信之外的独立流程。

进一步地，被叫方确定通话发起时安全时钟的时间T的校正算法为：(1)被叫方在收到同步控制帧后，验证密码校验和CCSUM时，使用被叫方安全时钟的当前时间T_R及邻近时间(即前一个时间T_R-1以及后一个时间T_R+1)分别进行尝试；(2)如果尝试验证CCSUM时均发生错误，则丢弃该同步控制帧；否则，使用令该CCSUM校验正确的时间作为组成同步向量的时间T，进行后续的解密操作。

在本发明所提的同步机制中，当通话过程出现失步时，接收方只需通过语音帧序列号就可以再次实现同步；当接收方迟后进入通话时，通过控制信令接收同步控制帧中的初始向量及密钥信息后，也可与当前通话实现同步。

与TETRA中的同步机制相比，本发明中所提的同步机制具有以下优点：(1)在通话过程中，新的同步机制不需要周期性地挪用语音帧来传递完整的同步控制信息，从而避免了语音中断的问题，保证了语音的连贯性。(2)在通话过程中，不需要频繁的进行同步控制信息的合法性校验，有效地提高了同步效率。(3)对于通话过程中出现的失步，新的同步机制利用语音帧序列号可以快速实现同步，避免出现多个连续的语音帧无法解密的情况。(4)由于新的同步机制引入了安全时钟，系统使用较短的初始向量就可以达到一个很高的安全级别，很好地解决了低速窄带无线通信系统中由于承载能力有限而引发的问题。

附图说明

图1为本发明实施例所述的用于端到端加密的语音帧结构；

图2为本发明实施例所述的PI头形式的同步控制帧；

图3为本发明实施例所述的嵌入式FLC信令形式的同步控制帧；

图4为本发明实施例所述的端到端加密语音时隙图；

图5为本发明实施例所述的端到端加密组呼流程；

图6为本发明实施例所述的端到端语音加解密示意图；

图7为本发明实施例所述的端到端语音加密同步机制；

图8为本发明实施例所述的被叫方安全时钟超前时的示意图；

图9为本发明实施例所述的被叫方安全时钟落后时的示意图；

图10为本发明实施例所述的主被叫双方安全时钟同步时的示意图；

图11为本发明实施例所述的端到端语音加密主叫方同步处理流程；

图12为本发明实施例所述的端到端语音加密被叫方同步处理流程。

具体实施方式

下面结合附图和具体实施例对本发明作进一步详细描述，但不作为对本发明的限定。

实施例1：本发明涉及一种适用于低速窄带无线通信系统的端到端语音加密方法，可应用于多种体制的数字移动通信系统。这里以DMR数字集群系统为例进行说明。

1)端到端加密语音编码方案

在进行明语通信时，DMR系统选用了码率为2.4Kbps的语音编码算法。采用端到端语音加密时，为了传递语音帧序列号，本发明需要占用60ms语音帧中的15bits。这样，60ms语音编码后的数据长度需缩短为129bits，即采用端到端加密时实际语音编码速率降为2.15Kbps。用于端到端加密的语音帧结构，如图1所示。

15bits的语音帧序列号可以支持的通话时长为2¹⁵×60ms＝32.768分钟。

2)同步控制帧

同步控制帧包含了初始向量IV、密钥索引KI以及密码校验和CCSUM，其具体结构如表1所示。

表1同步控制帧结构

内容	长度(bits)	说明
			Initialization Vector(IV)	48	初始向量
Key Index(KI)	4	密钥索引
			Cryptographic Checksum(CCSUM)	20	密码校验和

其中，CCSUM通过对表2中的数据应用完整性校验算法计算得到。

表2密码校验和CCSUM的计算

内容	长度(bits)	说明
			Initialization Vector(IV)	48	初始向量
Key Index(KI)	4	密钥索引
			TMSI	24	被叫移动用户身份码
SMSI	24	主叫移动用户身份码
			G/I	1	组/个呼标识
T	27	呼叫发起时间

注：TMSI(Target Mobile Subscriber Identity，被叫移动用户身份码)、SMSI(SourceMobile Subscriber Identity，主叫移动用户身份码)、G/I(Group/Individual，组呼/个呼标识)等信息从呼叫控制信令中获得，T是从主叫方的安全时钟中提取的呼叫发起时间。

同步控制帧可以通过PI头(PI Header)形式发送，如图2所示；也可以通过嵌入式FLC信令(Embedded Full Link Control Signalling)形式发送，如图3所示。

在嵌入式FLC信令中，使用EMB字段中的PI来指示其是否为同步控制帧，如表3所示。结合PI字段与LCSS字段可以区分三种不同的同步控制帧信息单元，如表4所示。

表3PI字段定义

表4嵌入式FCL信令中的同步控制帧信息单元定义

PI	LCSS	说明
			1₂	01₂	同步控制帧开始段
1₂	10₂	同步控制帧结束段
			1₂	11₂	同步控制帧后续段

3)时隙结构

在发起端到端加密语音呼叫时，主叫方需要在发送的语音帧之前插入PI头形式的同步控制帧。为了防止由信道误码造成的同步控制帧损坏，可根据实际情况插入多个同步控制帧，以确保被叫方在解密密文语音之前，获得正确的同步控制帧。具体时隙结构如图4所示。

为了保证组呼期间迟入的被叫方能够正确解密语音流，在随后的通话过程中，主叫方需要通过嵌入式FLC信令周期性地发送同步控制帧。如果被叫方没有收到合法的同步控制帧，则需继续等待，同时保持静音状态。当被叫方收到合法的同步控制帧后，从下一个语音帧开始，使用同步控制帧中所携带的初始向量解密语音流，并开始播放话音。

4)端到端语音加密呼叫流程

图5示出了端到端加密的组呼流程，加密个呼的流程与组呼类似，不再赘述。

图5中TS为DMR集群系统，MS1为发起端到端加密语音呼叫的终端，GROUP为通话开始前就已经在网的通话组成员，MS2为通话过程中迟后进入呼叫的终端。

图5中C_RAND为系统的随机接入指令，TV_GRANT为业务信道分配指令，Voice_LC_Header为语音LC头，Terminator_with_LC为语音结束帧，Burst A～F为一个语音超帧中的A～F帧。

5)加解密语音处理流程

主叫方首先将60ms的明文语音编码为129bits的语音数据；接着，将其与129bits的密钥流进行同位异或；然后，与15bits的语音帧序列号拼接后，再进行FEC编码，输出216bits的密文语音数据。

被叫方接收到密文语音数据后，首先进行FEC解码，获得144bits的数据；接着，从中提取出15bits的语音帧序列号；然后，将剩下的129bits数据与密钥流进行异或，解密后还原为明文语音。

具体流程如图6所示。

6)端到端语音加密同步机制

图7所示为端到端语音加密同步机制。

当进行端到端语音加密时，被叫方通过GRANT/Grp_V_ch_Usr/UU_V_Ch_Usr等呼叫控制信令获得本次通话的基本信息：G/I(组呼/个呼)、TMSI(被叫移动用户身份码)、SMSI(主叫移动用户身份码)。被叫方在收到同步控制帧后，通过呼叫基本信息(G/I、TMSI、SMSI)和同步控制帧中的KI(密钥索引)确定通信所使用的TEK(Traffic Encryption Key，通信加密密钥)。TEK与G/I、TMSI、SMSI再经过密钥衍生算法，产生计算密钥流所使用的加密密钥CK。

计算密钥流所使用的同步向量(Synchronization Vector，SV)由三部分组成：初始向量IV，安全时钟的时间T，语音帧序列号FN。其中，IV是由主叫方随机数发生器产生的，被叫方可从同步控制帧中提取；T是通话发生时主叫方安全时钟的时间，T可根据安全时钟的误差级别选择不同的时间粒度——分钟级时间粒度、小时级时间粒度、日级时间粒度、月级时间粒度、年级时间粒度等；FN是由主叫方语音帧计数器中产生的，被叫方可从语音帧中提取。IV和T在一次通话过程中保持不变。

为了正确解密语音流，被叫方必须通过某种方式获得与主叫方一致的时间T。由于语音通过交换机传输时存在一定时延，即使主被叫双方的安全时钟完全同步，从被叫方安全时钟获得的时间T_R也可能与主叫方的时间T不一致。因此，被叫方需要对T_R进行校正。

为便于分析，假定所有通信参与方的安全时钟与标准时钟的误差小于0.5小时。此时，主被叫双方安全时钟间的时差将不大于1小时，同步向量中使用的时间可选择小时级时间粒度(即以小时作为度量时间的最小基本单位，不足一小时的时间信息则略去)。考虑到安全时钟误差及传输时延(在通常情况下，传输时延一般小于1秒)，主被叫双方分别从各自安全时钟提取到的通话时间可能存在以下三种情况：

(1)主叫方发起通话时安全时钟的时间为第n小时，而被叫方接收到通话时安全时钟的时间为第n+1小时，如图8所示；

(2)主叫方发起通话时安全时钟的时间为第n+1小时，而被叫方接收到通话时安全时钟的时间为第n小时，如图9所示；

(3)主叫方发起通话时安全时钟的时间为第n小时，被叫方接收到通话时安全时钟的时间也为第n小时，如图10所示。

因此，被叫方在收到同步控制帧后，验证密码校验和CCSUM时，需要使用被叫方安全时钟的当前时间T_R及邻近时间(即前一个时间T_R-1以及后一个时间T_R+1)分别进行尝试。如果尝试验证CCSUM时均发生错误，则丢弃该同步控制帧；否则，使用令该CCSUM校验正确的时间作为组成同步向量的时间T，进行后续的解密操作。

主被叫双方的端到端语音加密同步处理流程如图11、图12所示。

7)安全性

对于流密码算法来说，如果密钥CK固定不变，当SV发生碰撞(即SV被重复使用)时，意味着同一段流密钥将被多次使用，这将导致安全问题。从某种程度上来说，SV发生碰撞的概率可用于衡量系统的安全性。碰撞概率越高，系统越不安全。

假设T的时间粒度所对应的时长为a ms。对于DMR系统，一次通话的最小时长为60×6＝360ms，那么在a ms长的时间区间内，可能发生的通话次数为a/360次。考虑到安全时钟的误差，在时间T的使用范围内最多可能发生的通话次数为2×a/360次。因此，在时间T的使用范围内，使用长度为b bits的IV使SV发生碰撞的概率为：

p = 1 - (1 - \frac{1}{2^{b}}) \cdot (1 - \frac{2}{2^{b}}) \cdot \cdot \cdot \cdot \cdot (1 - \frac{2 \times \frac{a}{360} - 1}{2^{b}})

IV长度为48bits时，使用不同的时间粒度SV发生碰撞的概率如表5所示。

表5IV长48bits时，不同时间粒度对应的SV碰撞概率

时间粒度	碰撞的概率
		1分钟	1.976×10^-10
10分钟	1.974×10^-8
		1小时	7.105×10^-7
6小时	2.558×10^-5
		1日	4.092×10^-4
1周	1.985×10^-2
		1月	0.3081
1年	1

显然，当时间粒度为1年和1月时，使用48bit长的IV是不安全的；时间粒度为1周时，使用48bit长的IV也不太安全。

本发明在实际应用中还可根据安全时钟的时间粒度，调整计算密钥流时所使用的IV长度，以达到不同的安全等级。当时间粒度越细时，达到同等安全强度所需的IV长度可以相应地缩短。表6中给出了当时间粒度不同时，达到同等安全强度所需的IV长度。

表6达到同等安全强度所需的IV长度

以上所述，仅为本发明中的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉该技术的人在本发明所揭露的技术范围内，可理解想到的变换或替换，都应涵盖在本发明的包含范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims

1.一种用于低速窄带无线数字通信系统的端到端语音加密方法，其特征在于，包含以下步骤：

步骤1：端到端加密通信前的准备；

步骤2：主叫方在端到端加密通信开始时，首先发送呼叫控制信令及端到端语音加密同步控制帧，然后开始连续发送携带语音帧序列号的加密语音；在通信持续的过程中，主叫方仍可周期性地发送呼叫控制信令及端到端语音加密同步控制帧，以保证迟后进入的被叫方也可以解密语音；

2.根据权利要求1所述的一种用于低速窄带无线数字通信系统的端到端语音加密方法，其特征在于，所述步骤1中包含如下两个部分：

(2)建立并维护端到端加密密钥映射表，通过查询该表，确定端到端加密所使用的密钥；对于个呼，由主被叫方身份来确定密钥；对于组呼，由被叫方身份来确定密钥。

3.根据权利要求1所述的一种用于低速窄带无线数字通信系统的端到端语音加密方法，其特征在于，所述步骤2流程如下：

(1)主叫方根据通话基本信息构造呼叫控制信令并发送；

(2)主叫方根据通话基本信息确定通信加密密钥TEK和密钥索引KI；由随机数发生器产生初始向量IV；从主叫方本地的安全时钟提取通话发起时间T；计算同步控制帧密码校验和CCSUM；构造同步控制帧并发送；

4.根据权利要求1所述的一种用于低速窄带无线数字通信系统的端到端语音加密方法，其特征在于，所述密钥流依靠同步向量来实现同步，所述同步向量由三部分组成：

(1)初始向量IV；

(2)通话发起时安全时钟的时间T；

(3)语音帧序列号。

5.根据权利要求4所述的一种用于低速窄带无线数字通信系统的端到端语音加密方法，其特征在于，安全时钟的误差要求可以根据初始向量的长度来确定；初始向量越短，对安全时钟的误差要求越苛刻；如果初始向量足够长，则可不使用安全时钟。

6.根据权利要求4所述的一种用于低速窄带无线数字通信系统的端到端语音加密方法，其特征在于，同步向量中的初始向量IV、安全时钟的时间T在一次通话中保持不变，语音帧序列号随语音帧的变化而变化；初始向量IV通过控制信令发送；语音帧序列号随着语音数据一起发送；通话发起时安全时钟的时间T不直接发送，被叫方将通过校正算法确定。

7.根据权利要求1所述的一种用于低速窄带无线数字通信系统的端到端语音加密方法，其特征在于，所述步骤3具体的流程包括：

(1)被叫方从呼叫控制信令中获取通话基本信息；

(2)被叫方从控制信令中获取同步控制帧；根据通话基本信息和同步控制帧中的密钥索引KI选择通信加密密钥TEK；从被叫方本地的安全时钟提取当前时间T_R；根据时间T_R及同步控制帧密码校验和CCSUM，利用校正算法确定通话发起时间T；从同步控制帧中提取初始向量IV；

8.根据权利要求6或7所述的一种用于低速窄带无线数字通信系统的端到端语音加密方法，其特征在于，被叫方确定通话发起时安全时钟的时间T的校正算法为：

(1)被叫方在收到同步控制帧后，验证密码校验和CCSUM时，使用被叫方安全时钟的当前时间T_R及邻近时间(即前一个时间T_R-1以及后一个时间T_R+1)分别进行尝试；

(2)如果尝试验证CCSUM时均发生错误，则丢弃该同步控制帧；否则，使用令该CCSUM校验正确的时间作为组成同步向量的时间T，进行后续的解密操作。