CN104468634A - 一种呼叫建立方法、终端和安全as - Google Patents

Abstract

本发明实施例涉及通信技术领域，尤其涉及一种呼叫建立方法、终端和安全AS，用于提高数据通话的安全性。本发明实施例中，主叫终端向被叫终端发送呼叫请求，呼叫请求中携带有密钥算法标识；安全AS根据密钥算法标识为主叫终端和被叫终端分配密钥，将密钥携带于呼叫请求发送给被叫终端；主叫终端接收被叫终端返回的呼叫响应，呼叫响应中携带有安全AS为主叫终端分配的密钥。由于呼叫请求中有密钥算法标识，因此安全AS可根据该密钥算法标识为主叫终端和被叫终端分配密钥，进一步由于安全AS将密钥分别发送给主叫终端和被叫终端，从而完成了对通话两端的密钥分配工作。

Description

一种呼叫建立方法、终端和安全AS

技术领域

本发明实施例涉及通信技术领域，尤其涉及一种呼叫建立方法、终端和安全AS。

背景技术

在通信技术不断发展的今天，企业数据通信网络飞速发展，而企业通信传输必须要考虑的因素就是数据安全问题。对于企业来说，数据等同于信息，而信息就意味着商机，甚至关系着企业生死存亡。基于此，目前通常需采用一定的方案来提高通话数据的安全性。

现有技术中对提高数据安全性的方案为在通话数据传输前预先对通话的两端用户的身份进行认证，认证成功后，传输通话数据。通话数据并没有加密，可见此方法安全性不高。

综上所述，亟需一种呼叫建立方法、终端和安全AS，用于提高数据通话的安全性。

发明内容

本发明实施例提供一种呼叫建立方法、终端和安全AS，用于提高数据通话的安全性。

本发明实施例提供一种呼叫建立方法，包括以下步骤：

主叫终端向被叫终端发送呼叫请求，呼叫请求中携带有密钥算法标识；呼叫请求被智能管理系统IMS转发至安全应用服务器AS，安全AS根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥，将为被叫终端分配的密钥携带于呼叫请求并通过IMS发送给被叫终端；

主叫终端接收被叫终端返回的呼叫响应，呼叫响应中携带有安全AS将为主叫终端分配的密钥；其中，被叫终端发送的呼叫响应被IMS转发至安全AS，安全AS将为主叫终端分配的密钥携带于呼叫响应并通过IMS返回给主叫终端；

主叫终端根据呼叫响应与被叫终端建立通话链路。

较佳的，密钥算法标识包括主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；

发送给被叫终端中携带的密钥是安全AS根据第二算法标识分配的，返回给主叫终端的呼叫响应中携带的密钥是安全AS根据第一算法标识分配的。

较佳的，呼叫请求中还携带加密状态标识，加密状态标识用于指示安全AS为主叫终端与被叫终端分配密钥。

较佳的，呼叫请求中还携带加密等级标识，加密等级标识用于指示安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。

较佳的，主叫终端根据呼叫响应与被叫终端建立通话链路之后，还包括：

主叫终端和被叫终端分别根据安全AS分配的密钥对通话数据进行加密，并向对端发送。

由于主叫终端向被叫终端发送的呼叫请求中携带有密钥算法标识，因此在呼叫请求发送至安全AS时，安全AS可根据该密钥算法标识为主叫终端和被叫终端分配密钥，进一步由于安全AS将为被叫终端分配的密钥携带于呼叫请求并发送给被叫终端，将为主叫终端分配的密钥携带于呼叫响应并返回给主叫终端，从而完成了对通话两端的密钥分配工作，进而实现了通过对通话数据进行加密来提升通话数据安全性的目的。

本发明实施例提供的一种呼叫建立方法，包括以下步骤：

安全应用服务器AS接收主叫终端通过智能管理系统IMS转发的呼叫请求，呼叫请求中携带有密钥算法标识；

安全AS根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥；

安全AS将为被叫终端分配的密钥携带于呼叫请求并通过IMS发送给被叫终端；

安全AS接收被叫终端通过IMS返回的呼叫响应，呼叫响应中携带有安全AS将为主叫终端分配的密钥；

安全AS将为主叫终端分配的密钥携带于呼叫响应并通过IMS返回给主叫终端，以使主叫终端根据呼叫响应与被叫终端建立通话链路。

较佳的，密钥算法标识包括主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；

安全AS根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥，具体包括：

安全AS根据第一算法标识为主叫终端分配密钥，并根据第二算法标识为被叫终端分配密钥。

较佳的，呼叫请求中还携带加密状态标识，加密状态标识用于指示安全AS为主叫终端与被叫终端分配密钥。

较佳的，呼叫请求中还携带加密等级标识，加密等级标识用于指示安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。

由于主叫终端向被叫终端发送的呼叫请求中携带有密钥算法标识，因此在呼叫请求发送至安全AS时，安全AS可根据该密钥算法标识为主叫终端和被叫终端分配密钥，进一步由于安全AS将为被叫终端分配的密钥携带于呼叫请求并发送给被叫终端，将为主叫终端分配的密钥携带于呼叫响应并返回给主叫终端，从而完成了对通话两端的密钥分配工作，进而实现了通过对通话数据进行加密来提升通话数据安全性的目的。

本发明实施例提供一种终端，包括：

发送模块，用于终端作为主叫终端时向被叫终端发送呼叫请求，呼叫请求中携带有密钥算法标识；呼叫请求被智能管理系统IMS转发至安全应用服务器AS，安全AS根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥，将为被叫终端分配的密钥携带于呼叫请求并通过IMS发送给被叫终端；

接收模块，用于接收被叫终端返回的呼叫响应，呼叫响应中携带有安全AS将为主叫终端分配的密钥；其中，被叫终端发送的呼叫响应被IMS转发至安全AS，安全AS将为主叫终端分配的密钥携带于呼叫响应并通过IMS返回给主叫终端；

处理模块，用于根据呼叫响应与被叫终端建立通话链路。

较佳的，密钥算法标识包括主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；

发送给被叫终端中携带的密钥是安全AS根据第二算法标识分配的，返回给主叫终端的呼叫响应中携带的密钥是安全AS根据第一算法标识分配的。

较佳的，呼叫请求中还携带加密状态标识，加密状态标识用于指示安全AS为主叫终端与被叫终端分配密钥。

较佳的，呼叫请求中还携带加密等级标识，加密等级标识用于指示安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。

较佳的，处理模块，还用于：

根据安全AS分配的密钥对通话数据进行加密，并向对端发送。

综上所述，由于主叫终端向被叫终端发送的呼叫请求中携带有密钥算法标识，因此在呼叫请求发送至安全AS时，安全AS可根据该密钥算法标识为主叫终端和被叫终端分配密钥，进一步由于安全AS将为被叫终端分配的密钥携带于呼叫请求并发送给被叫终端，将为主叫终端分配的密钥携带于呼叫响应并返回给主叫终端，从而完成了对通话两端的密钥分配工作，进而实现了通过对通话数据进行加密来提升通话数据安全性的目的。

本发明实施例提供一种安全AS，包括：

收发模块，用于接收主叫终端通过智能管理系统IMS转发的呼叫请求，呼叫请求中携带有密钥算法标识；接收被叫终端通过IMS返回的呼叫响应，呼叫响应中携带有安全AS将为主叫终端分配的密钥；

处理模块，用于根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥；将为被叫终端分配的密钥携带于呼叫请求并指示收发模块通过IMS发送给被叫终端；将为主叫终端分配的密钥携带于呼叫响应并指示收发模块通过IMS返回给主叫终端，以使主叫终端根据呼叫响应与被叫终端建立通话链路。

较佳的，密钥算法标识包括主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；

处理模块，具体用于：

根据第一算法标识为主叫终端分配密钥，并根据第二算法标识为被叫终端分配密钥。

较佳的，呼叫请求中还携带加密状态标识，加密状态标识用于指示安全AS为主叫终端与被叫终端分配密钥。

较佳的，呼叫请求中还携带加密等级标识，加密等级标识用于指示安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。

从上述内容可以看出：由于主叫终端向被叫终端发送的呼叫请求中携带有密钥算法标识，因此在呼叫请求发送至安全AS时，安全AS可根据该密钥算法标识为主叫终端和被叫终端分配密钥，进一步由于安全AS将为被叫终端分配的密钥携带于呼叫请求并发送给被叫终端，将为主叫终端分配的密钥携带于呼叫响应并返回给主叫终端，从而完成了对通话两端的密钥分配工作，进而实现了通过对通话数据进行加密来提升通话数据安全性的目的。

本发明实施例提供另一种终端，包括：

收发器，用于终端作为主叫终端时向被叫终端发送呼叫请求，呼叫请求中携带有密钥算法标识；呼叫请求被智能管理系统IMS转发至安全应用服务器AS，安全AS根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥，将为被叫终端分配的密钥携带于呼叫请求并通过IMS发送给被叫终端；接收被叫终端返回的呼叫响应，呼叫响应中携带有安全AS将为主叫终端分配的密钥；其中，被叫终端发送的呼叫响应被IMS转发至安全AS，安全AS将为主叫终端分配的密钥携带于呼叫响应并通过IMS返回给主叫终端；

处理器，用于根据呼叫响应与被叫终端建立通话链路；

存储器，用于存储安全AS将为主叫终端分配的密钥。

较佳的，密钥算法标识包括主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；

发送给被叫终端中携带的密钥是安全AS根据第二算法标识分配的，返回给主叫终端的呼叫响应中携带的密钥是安全AS根据第一算法标识分配的。

较佳的，呼叫请求中还携带加密状态标识，加密状态标识用于指示安全AS为主叫终端与被叫终端分配密钥。

较佳的，呼叫请求中还携带加密等级标识，加密等级标识用于指示安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。

较佳的，处理器，还用于：

根据安全AS分配的密钥对通话数据进行加密，并向对端发送。

综上所述，由于主叫终端向被叫终端发送的呼叫请求中携带有密钥算法标识，因此在呼叫请求发送至安全AS时，安全AS可根据该密钥算法标识为主叫终端和被叫终端分配密钥，进一步由于安全AS将为被叫终端分配的密钥携带于呼叫请求并发送给被叫终端，将为主叫终端分配的密钥携带于呼叫响应并返回给主叫终端，从而完成了对通话两端的密钥分配工作，进而实现了通过对通话数据进行加密来提升通话数据安全性的目的。

本发明实施例提供另一种安全AS，包括：

收发器，用于接收主叫终端通过智能管理系统IMS转发的呼叫请求，呼叫请求中携带有密钥算法标识；接收被叫终端通过IMS返回的呼叫响应，呼叫响应中携带有安全AS将为主叫终端分配的密钥；

处理器，用于根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥；将为被叫终端分配的密钥携带于呼叫请求并指示收发模块通过IMS发送给被叫终端；将为主叫终端分配的密钥携带于呼叫响应并指示收发模块通过IMS返回给主叫终端，以使主叫终端根据呼叫响应与被叫终端建立通话链路；

存储器，用于存储上述流程执行过程中的密钥算法标识，以及为主叫终端分配密钥和为被叫终端分配密钥。

较佳的，密钥算法标识包括主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；

处理器，具体用于：

根据第一算法标识为主叫终端分配密钥，并根据第二算法标识为被叫终端分配密钥。

较佳的，呼叫请求中还携带加密状态标识，加密状态标识用于指示安全AS为主叫终端与被叫终端分配密钥。

较佳的，呼叫请求中还携带加密等级标识，加密等级标识用于指示安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。

本发明实施例中，主叫终端向被叫终端发送呼叫请求，呼叫请求中携带有密钥算法标识；呼叫请求被智能管理系统(Intelligent Management System，简称IMS)转发至安全应用服务器(Application Server，简称AS)，安全AS根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥，将为被叫终端分配的密钥携带于呼叫请求并通过IMS发送给被叫终端；主叫终端接收被叫终端返回的呼叫响应，呼叫响应中携带有安全AS将为主叫终端分配的密钥；其中，被叫终端发送的呼叫响应被IMS转发至安全AS，安全AS将为主叫终端分配的密钥携带于呼叫响应并通过IMS返回给主叫终端；主叫终端根据呼叫响应与被叫终端建立通话链路。

由于主叫终端向被叫终端发送的呼叫请求中携带有密钥算法标识，因此在呼叫请求发送至安全AS时，安全AS可根据该密钥算法标识为主叫终端和被叫终端分配密钥，进一步由于安全AS将为被叫终端分配的密钥携带于呼叫请求并发送给被叫终端，将为主叫终端分配的密钥携带于呼叫响应并返回给主叫终端，从而完成了对通话两端的密钥分配工作，进而实现了通过对通话数据进行加密来提升通话数据安全性的目的。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例适用的一种系统架构示意图；

图2为本发明实施例提供的一种呼叫建立方法流程示意图；

图2a本发明实施例提供的一种终端注册流程示意图；

图2b本发明实施例提供的一种呼叫建立的方法流程示意图；

图3为本发明实施例提供的另一种呼叫建立方法流程示意图；

图4为本发明实施例提供一种终端的结构示意图；

图5为本发明实施例提供一种安全AS的结构示意图；

图6为本发明实施例提供另一种终端的结构示意图；

图7为本发明实施例提供另一种安全AS的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图1示例性示出了一种本发明实施例所适用的系统架构示意图。如图1所示，包括主叫终端101、IMS102、安全AS103、被叫终端104。主叫终端101发送的通话数据通过IMS102，IMS102将数据传给安全AS103进行相应处理后在返回给IMS102，IMS102再将通话主叫传给被叫终端104.

本发明实施例适用的场景为主叫终端101与被叫终端104即将进行的通话数据需进行加密。例如，通话的主叫终端101与被叫终端104为即将就企业机密展开一次通话，此时即可使用本发明实施例所提供的方法在主叫终端101与被叫终端104通话链路接通之前完成为主叫终端101和被叫终端104的密钥分发工作。

本发明实施例中的主叫终端101与被叫终端104均包含密模块，即主叫终端101与被叫终端104均为支持对通话数据进行加密的终端。

本发明实施例中以所进行传输的数据均基于SIP协议进行为例进行介绍，此时各个装置之间传输的信息均携带special头域。本领域技术人员可基于其它协议完成对各个装置之间信息的传输，本发明实施例不做限制。

当呼叫终端101与被叫终端104之间进行通话时，本发明实施例中的IMS102接收到包含special头域的信息时，则均经该信息转至安全AS进行处理。

本发明实施例中的安全AS103可预先配置有具有密模块的终端的标识号，以便于安全AS在终端进行注册时对该终端进行鉴权。

所述主叫终端101和所述被叫终端104可为手机终端、PC终端、平板终端等可进行通话的且具有来电显示的终端。

基于图1所示的系统架构，图2示出了本发明实施例提供的一种呼叫建立方法，包括以下步骤：

步骤201，主叫终端向被叫终端发送呼叫请求，呼叫请求中携带有密钥算法标识；呼叫请求被智能管理系统IMS转发至安全应用服务器AS，安全AS根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥，将为被叫终端分配的密钥携带于呼叫请求并通过IMS发送给被叫终端；

步骤202，主叫终端接收被叫终端返回的呼叫响应，呼叫响应中携带有安全AS将为主叫终端分配的密钥；其中，被叫终端发送的呼叫响应被IMS转发至安全AS，安全AS将为主叫终端分配的密钥携带于呼叫响应并通过IMS返回给主叫终端；

步骤203，主叫终端根据呼叫响应与被叫终端建立通话链路。

具体来说，较佳的，在上述流程执行前，需先对主叫终端和被叫终端进行注册，注册一次之后，以后无需再注册即可对下次的通话数据进行再次加密。本发明实施例中的安全AS中预先配置有具有密模块的终端的标识号，较佳的，以表的形式在安全AS中存储具有密模块的终端的标识号，以便于安全AS在终端进行注册时对该终端进行鉴权。

下面详细介绍终端在安全AS上的注册流程，本发明实施例中以主叫终端为例详细介绍，本领域技术人员可知，被叫终端在安全AS上的注册流程与之类似，不再赘述。

图2a示例性示出了本发明实施例提供的一种终端注册流程，如图2a所示，以该终端为主叫终端为例，具体注册流程包括：

步骤2101，主叫终端向IMS发送注册请求。较佳的，基于本发明实施例中基于SIP协议进行，因此注册请求中应携带Special头域，注册请求中携带主叫终端的标识号。

步骤2102，IMS接收到注册请求之后，返回注册响应给主叫终端，注册响应中携带Special头域。较佳的，该注册响应可为200OK。

步骤2103，IMS将该注册请求转发给安全AS。具体来说，IMS在接收到注册请求之后，确定该注册请求中携带Special头域，则将该注册请求转发给安全AS。

步骤2104，安全AS根据该注册请求中的主叫终端的标识号，以及安全AS中预先设置的具有密模块的中的的标识号，对该主叫终端进行鉴权，即判断主叫终端是否具有对通话数据进行加密的权限，经判断，若该主叫终端的标识号与该安全AS中预先配置的具有密模块的中的的标识号中某个相匹配，则确定该主叫终端具有对通话数据进行加密的权限，即对该主叫终端鉴权成功，也即对该主叫终端在安全AS上注册成功。

步骤2105，安全AS在确定该主叫终端在安全AS上注册成功时，向IMS返回注册成功响应。告知IMS该主叫终端已注册成功，具有密模块功能。

上述步骤2104中，若对该主叫终端鉴权失败，则返回注册失败响应。

假设主叫终端的标识号为bobdatang.com，则下面举一个具体的消息流示例用于阐述上述步骤。

上述步骤2101中，主叫终端向IMS发送注册请求的具体消息流如下：

REGISTER bobdatang.com SIP/2.0

Via:SIP/2.0/UDP 192.168.1.1:5060；comp＝sigcomp；branch＝z9hG4bKnashds7

Max-Forwards:70

P-Access-Network-Info:3GPP-UTRAN-TDD；

utran-cell-id-3gpp＝234151D0FCE11

From:<sip:bobdatang.com>；tag＝4fa3

To:<sip:bobdatang.com>

Special:reg＝bobdatang.com

Contact:<sip:192.168.1.1:5060；comp＝sigcomp>；expires＝600000

Call-ID:apb03a0s09dkjdfglkj49111

Proxy-Require:sec-agree

CSeq:1REGISTER

Content-Length:0

上述信息流中“Special:reg＝bobdatang.com”即为该注册请求中携带的special头域，“reg＝bobdatang.com”即为主叫终端的标识号。

上述步骤2102，IMS接收到注册请求之后，返回注册响应给主叫终端的注册响应的消息流如下：

SIP/2.0200OK

Via:SIP/2.0/UDP 192.168.10.11:5060；branch＝1-2-3-4

Via:SIP/2.0/UDP 192.168.10.10:5060；branch＝1-2-3-4

Via:SIP/2.0/UDP 192.168.1.1:5060；branch＝z9hG4bKnashds7

Path:<sip:termpcscf.visited1.net>

Service-Route:<sip:origscscf.home1.net>

From:<sip:bobdatang.com>；tag＝4fa3

To:<sip:bobdatang.com>

Special:reg＝bobdatang.com

Contact:<sip:192.168.1.1:5060；comp＝sigcomp>；expires＝600000

Call-ID:apb03a0s09dkjdfglkj49111

CSeq:1REGISTER

Content-Length:0

上述消息流中携带“Special:reg＝bobdatang.com”

上述步骤2103中，IMS将该注册请求转发给安全AS，具体信息流如下：

REGISTER bobdatang.com SIP/2.0

Via:SIP/2.0/UDP 192.168.1.1:5060；comp＝sigcomp；branch＝z9hG4bKnashds7

Max-Forwards:70

P-Access-Network-Info:3GPP-UTRAN-TDD；

utran-cell-id-3gpp＝234151D0FCE11

From:<sip:bobdatang.com>；tag＝4fa3

To:<sip:bobdatang.com>

Special:reg＝bobdatang.com

Contact:<sip:192.168.1.1:5060；comp＝sigcomp>；expires＝600000

Call-ID:apb03a0s09dkjdfglkj49111

Proxy-Require:sec-agree

CSeq:1REGISTER

Content-Length:0

上述步骤中，IMS向安全AS发送的注册请求中携带special头域，以及主叫终端的标识号“Special:reg＝bobdatang.com”。

上述步骤2105，安全AS在确定该主叫终端在安全AS上注册成功时，向IMS返回注册成功响应，具体来说，注册成功响应消息可为200OK，具体信息流如下：

SIP/2.0200OK

Via:SIP/2.0/UDP 192.168.10.11:5060；branch＝1-2-3-4

Via:SIP/2.0/UDP 192.168.10.10:5060；branch＝1-2-3-4

Via:SIP/2.0/UDP 192.168.1.1:5060；branch＝z9hG4bKnashds7

Path:<sip:termpcscf.visited1.net>

Service-Route:<sip:origscscf.home1.net>

From:<sip:bobdatang.com>；tag＝4fa3

To:<sip:bobdatang.com>

Special:reg＝safeasdatang.com

Contact:<sip:192.168.1.1:5060；comp＝sigcomp>；expires＝600000

Call-ID:apb03a0s09dkjdfglkj49111

CSeq:1REGISTER

Content-Length:0

上述步骤中，注册成功响应消息中携带special头域，以及安全AS的标识号“Special:reg＝safeasdatang.com”。

终端在经过上述注册流程，在安全AS上注册成功时，才能对通话数据进行加密。例如，若主叫终端并未在安全AS上成功注册，则当主叫终端发出的通话数据进行加密时，IMS将该次加密的通话数据作为普通未加密的通话数据进行传输。如此可避免在终端未注册成功时，主叫终端发起的加密后的通话数据不能被被叫终端接收。

较佳的，被叫终端使用同样类似的方法在安全AS上进行注册，在此不再赘述。

如图2b所示，图2b示例性示出了本发明实施例提供的一种呼叫建立的方法流程示意图，用于详细介绍上述步骤201至步骤203，具体步骤如下：

步骤2201，主叫终端向被叫终端发送呼叫请求，该呼叫请求发送至IMS时，IMS经确认，该呼叫请求中携带special头域，因此将该呼叫请求转发至安全AS进行处理。

主叫终端发送至安全AS的呼叫请求中携带密钥算法标识，安全AS可根据该密钥算法标识对应的密钥算法为主叫终端分配密钥，并为被叫终端分配密钥。较佳的，当主叫终端与被叫终端采用同一密钥时，即主叫终端与被叫终端对应的密钥算法标识一致时，安全AS可根据该密钥算法为主叫终端和被叫终端生成一个密钥。

较佳的，密钥算法标识包括主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；发送给被叫终端中携带的密钥是安全AS根据第二算法标识分配的，返回给主叫终端的呼叫响应中携带的密钥是安全AS根据第一算法标识分配的。具体来说，当主叫终端与被叫终端采用不同的密钥时，主叫终端发送的呼叫请求中携带主叫终端对应的第一算法标识，以及被叫终端对应的第二算法标识。此时安全AS可根据两个不同的算法标识分别为主叫终端分配根据第一算法标识确定的密钥，为被叫终端分配根据第二算法标识确定的密钥。

较佳的，呼叫请求中还携带加密状态标识，加密状态标识用于指示安全AS为主叫终端与被叫终端分配密钥。具体来说，呼叫请求中携带加密状态标识，用于告知安全AS，主叫终端要求此次通话进行加密处理，安全AS需为主叫终端以及被叫终端分配密钥。

较佳的，呼叫请求中还携带加密等级标识，加密等级标识用于指示安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。具体来说，加密等级可分为普通用户和高级用户，当主叫终端为普通用户时，加密等级标识对应为普通用户，安全AS根据主叫终端所发送的加密算法为该主叫终端分配一安全性相对普通的密钥，如为该主叫终端分配一长度较短的密钥。当主叫终端为高级用户时，加密等级标识对应为高级用户，安全AS根据主叫终端所发送的加密算法为该主叫终端分配一安全性相对较高的密钥，如为该主叫终端分配一长度较长的密钥。

主叫终端经呼叫请求发送给IMS，由IMS转发给安全AS的信息流示例如下：

INVITE tel:+1-212-555-2222SIP/2.0

Via:SIP/2.0/UDP 192.168.1.1:5060；branch＝z9hG4bKnashds7

Max-Forwards:70

Route:<sip:origpscscf1.home1.net；DTPID＝1-2-3-4；lr>

Route:<sip:origscscf1.home1.net；DTSID＝1-2-3-4；lr>

P-Preferred-Identity:"John Doe"<sip:user1_public1home1.net>

P-Access-Network-Info:3GPP-UTRAN-TDD；

utran-cell-id-3gpp＝234151D0FCE11

From:<sip:bobdatang.comt>；tag＝171828

To:<tel:+1-212-555-2222>

Special:safe-call-state＝001；mode＝0；arithmetic＝1

Call-ID:cb03a0s09a2sdfglkj490333

Cseq:127INVITE

Supported:100rel

Contact:<sip:192.168.1.1:5060>

Allow:INVITE,ACK,CANCEL,BYE,PRACK,UPDATE,REFER,MESSAGE

Content-Type:application/sdp

Content-Length:1376

上述信息流中，呼叫请求携带special头域，“Special:safe-call-state＝001”为加密状态标识，表示主叫终端要求发起对通话数据加密的通话；“mode＝0”为加密等级标识，表示该主叫终端为普通用户；“arithmetic＝1”为密钥算法标识，标识主叫终端与被叫终端使用相同的密钥，该密钥的密钥算法为密钥算法标识号“1”所对应的密钥。其它示例中，例如“arithmetic＝0”可表示随机选择任一密钥算法进行密钥分配。

步骤2202，安全AS根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥，将为被叫终端分配的密钥携带于呼叫请求并通过IMS发送给被叫终端。

具体来说，安全AS将为被叫终端分配的密钥携带于呼叫请求并先发送给IMS，IMS将该消息转发给被叫终端。

具体来说安全AS根据呼叫请求生成密钥之后，将为被叫终端分配的密钥携带于呼叫请求并通过IMS发送给被叫终端的信息流示例如下：

INVITE sip:bobims.shannxi.com SIP/2.0

From:"alice"<sip:aliceims.shannxi.com>；tag＝1013

To:<sip:bobims.shannxi.com>；tag＝2aaaca1cd270-50010ac-17ca

Call-ID:2aaaca6ee718-70010ac-177a-50029-2d4f-48e855fa-2d4f

CSeq:1INVITE

P-Asserted-Identity:<sip:bobims.shannxi.com>

Special:safe-call-state＝001；mode＝0；arithmetic＝1

P-Access-Network-Info:3GPP-UTRAN-TDD；utran-cell-id-3gpp＝00000000

User-Agent:Fraunhofer FOKUS/NGNI Java IMS UserEndpoint FoJIE 0.1(jdk1.3)

Via:SIP/2.0/UDP 172.16.0.7:6010；branch＝z9hG4bK-2d4f-b0ff16-6c268938

Record-Route:<sip:scscf.ims.shannxi.com:6010；lr>

Content-Type:multipart/mixed；boundary＝SIP_BOUNDARY

Content-Length:1376

--SIP_BOUNDARY

Content-Type:application/sdp

(……)

--SIP_BOUNDARY

Content-Type:application/octet-stream

11011101111100001101(密钥)

上述信息流中，密钥“11011101111100001101”携带与呼叫请求中并发送给被叫终端；“Content-Type:multipart/mixed；boundary＝SIP_BOUNDARY”表示该消息所携带的消息类型有多个，且每个消息均以“SIP_BOUNDARY”开头，并将密钥放置在其中一个以“SIP_BOUNDARY”开头的消息语句中。

步骤2203，被叫终端在接收到该呼叫请求之后，存储该呼叫请求中携带的密钥，并向主叫终端返回呼叫响应，该呼叫响应先由被叫终端发送至IMS，IMS接收到之后将该呼叫响应转发至安全AS。

具体来说，该呼叫响应中携带special头域，当IMS接收到该呼叫响应后，经判断其中携带special头域，则将该呼叫响应转发至安全AS。较佳的，该呼叫响应消息可为180ring。

步骤2204，安全AS接收到被叫终端发送的呼叫响应之后，将为主叫终端分配的密钥携带于呼叫响应并通过IMS返回给主叫终端。

具体来说，安全AS接收到被叫终端发送的呼叫响应之后，将为主叫终端分配的密钥携带于呼叫响应中并发送给IMS，IMS将该消息转发给主叫终端。

安全AS将将为主叫终端分配的密钥携带于呼叫响应中之后，将该消息经由IMS发送给主叫终端的消息流示例如下：

SIP/2.0180ring

From:"alice"<sip:aliceims.shannxi.com>；tag＝1013

To:<sip:bobims.shannxi.com>；tag＝2aaaca1cd270-50010ac-17ca

Call-ID:2aaaca6ee718-70010ac-177a-50029-2d4f-48e855fa-2d4f

CSeq:1INVITE

P-Asserted-Identity:<sip:bobims.shannxi.com>

Special:safe-call-state＝002；mode＝0；arithmetic＝1

P-Access-Network-Info:3GPP-UTRAN-TDD；utran-cell-id-3gpp＝00000000

User-Agent:Fraunhofer FOKUS/NGNI Java IMS UserEndpoint FoJIE 0.1(jdk1.3)

Via:SIP/2.0/UDP 172.16.0.7:6010；branch＝z9hG4bK-2d4f-b0ff16-6c268938

Record-Route:<sip:scscf.ims.shannxi.com:6010；lr>

Content-Type:multipart/mixed；boundary＝SIP_BOUNDARY

Content-Length:1376

--SIP_BOUNDARY

Content-Type:application/sdp

(……)

--SIP_BOUNDARY

Content-Type:application/octet-stream

11011101111100001101(密钥)

与前几个消息流中的介绍类似，该消息流中“11011101111100001101”为安全AS为主叫终端分配的密钥，该呼叫响应中的Special:safe-call-state＝002”表示被叫终端已成功存储密钥。

较佳的，步骤2205，主叫终端根据呼叫响应与被叫终端建立通话链路。具体来说，被叫终端接通该次通话链路时，被叫终端发送200OK消息给主叫终端，具体来说，该200OK消息由被叫终端发送给IMS，IMS发现该消息中携带special头域，将该消息转发至安全AS，安全AS将该消息再次转发给IMS，IMS将该消息转发给主叫终端。

被叫终端发送200OK消息给主叫终端的示例性消息流如下：

SIP/2.0200OK

From:"alice"<sip:aliceims.shannxi.com>；tag＝1013

To:<sip:bobims.shannxi.com>；tag＝2aaaca1cd270-50010ac-17ca

Call-ID:2aaaca6ee718-70010ac-177a-50029-2d4f-48e855fa-2d4f

CSeq:1INVITE

P-Asserted-Identity:<sip:bobims.shannxi.com>

Special:safe-call-state＝003；mode＝0；arithmetic＝1

P-Access-Network-Info:3GPP-UTRAN-TDD；utran-cell-id-3gpp＝00000000

User-Agent:Fraunhofer FOKUS/NGNI Java IMS UserEndpoint FoJIE 0.1(jdk1.3)

Via:SIP/2.0/UDP 172.16.0.7:6010；branch＝z9hG4bK-2d4f-b0ff16-6c268938

Record-Route:<sip:scscf.ims.shannxi.com:6010；lr>

Content-Length:0

上述信息流中“safe-call-state＝003”表示被叫终端针对此次通话数据使用密钥处理。

步骤2206，主叫终端接收到被叫终端发送的200OK消息之后，主叫终端发送确认消息给被叫终端。具体来说，主叫终端发送确认消息给IMS，IMS接收到之后转发给安全AS，安全AS接收到之后见该确认消息再次发送给IMS，IMS将该确认消息发送给被叫终端。

主叫终端发送确认消息给被叫终端的消息流示例如下：

SIP/2.0200OK

From:"alice"<sip:aliceims.shannxi.com>；tag＝1013

To:<sip:bobims.shannxi.com>；tag＝2aaaca1cd270-50010ac-17ca

Call-ID:2aaaca6ee718-70010ac-177a-50029-2d4f-48e855fa-2d4f

CSeq:1INVITE

P-Asserted-Identity:<sip:bobims.shannxi.com>

Special:safe-call-state＝004；mode＝0；arithmetic＝1

P-Access-Network-Info:3GPP-UTRAN-TDD；utran-cell-id-3gpp＝00000000

User-Agent:Fraunhofer FOKUS/NGNI Java IMS UserEndpoint FoJIE 0.1(jdk1.3)

Via:SIP/2.0/UDP 172.16.0.7:6010；branch＝z9hG4bK-2d4f-b0ff16-6c268938

Record-Route:<sip:scscf.ims.shannxi.com:6010；lr>

Content-Length:0

上述消息流中“safe-call-state＝004”表示主叫终端对此次通话数据采用密钥处理。

至此，主叫终端与被叫终端建立通话链路。

上述步骤中，详细介绍了“safe-call-state001”至“safe-call-state004”的意义，本发明实施例中还提供几种“safe-call-state”的示例，如表1所示。

表1safe-call-state示例

较佳的，主叫终端根据呼叫响应与被叫终端建立通话链路之后，主叫终端和被叫终端分别根据安全AS分配的密钥对通话数据进行加密，并向对端发送。

具体来说，主叫终端根据呼叫响应与被叫终端建立通话链路之后，主叫终端与被叫终端之间的通话数据的加密流程分为两种实现方式，一种实现方式为主叫终端与被叫终端使用同一密钥时，主叫终端将主叫终端所发送的通话数据使用密钥进行加密，该加密后的通话数据经由IMS转发至被叫终端，被叫终端根据预先存储的密钥对该已加密的数据进行解密。双方实现正常通话。

另一种实现方式为主叫终端与被叫终端使用不同密钥时，主叫终端使用安全AS为主叫终端分配的密钥对主叫终端所发送的通话数据进行加密，并将该加密后的通话数据发送给IMS，IMS经判断后将该加密后的通话数据转发给另一个消息处理装置，该消息处理装置使用为主叫终端分配的密钥对该加密后的通话数据进行解密，并使用为被叫终端分配的密钥对该解密后的通话数据再次进行加密，之后该消息处理装置将该再次加密后的通话数据转发给IMS，IMS将该再次加密后的通话数据转发给被叫终端，该被叫终端使用为被叫终端分配的密钥对该通话数据进行解密。双方实现正常通话。

由于主叫终端向被叫终端发送的呼叫请求中携带有密钥算法标识，因此在呼叫请求发送至安全AS时，安全AS可根据该密钥算法标识为主叫终端和被叫终端分配密钥，进一步由于安全AS将为被叫终端分配的密钥携带于呼叫请求并发送给被叫终端，将为主叫终端分配的密钥携带于呼叫响应并返回给主叫终端，从而完成了对通话两端的密钥分配工作，进而实现了通过对通话数据进行加密来提升通话数据安全性的目的。

基于相同构思，图3示例性示出了另一种呼叫建立的方法流程示意图，如图3所示，本发明实施例提供的一种呼叫建立方法，包括以下步骤：

步骤301，安全应用服务器AS接收主叫终端通过智能管理系统IMS转发的呼叫请求，呼叫请求中携带有密钥算法标识；

步骤302，安全AS根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥；

步骤303，安全AS将为被叫终端分配的密钥携带于呼叫请求并通过IMS发送给被叫终端；

步骤304，安全AS接收被叫终端通过IMS返回的呼叫响应，呼叫响应中携带有安全AS将为主叫终端分配的密钥；

步骤305，安全AS将为主叫终端分配的密钥携带于呼叫响应并通过IMS返回给主叫终端，以使主叫终端根据呼叫响应与被叫终端建立通话链路。

具体来说，较佳的，在上述流程执行前，需先对主叫终端和被叫终端进行注册，注册一次之后，以后无需再注册即可对下次的通话数据进行再次加密。本发明实施例中的安全AS中预先配置有具有密模块的终端的标识号，较佳的，以表的形式在安全AS中存储具有密模块的终端的标识号，以便于安全AS在终端进行注册时对该终端进行鉴权。

下面详细介绍终端在安全AS上的注册流程，本发明实施例中以主叫终端为例详细介绍，本领域技术人员可知，被叫终端在安全AS上的注册流程与之类似，不再赘述。

主叫终端向IMS发送注册请求。较佳的，基于本发明实施例中基于SIP协议进行，因此注册请求中应携带Special头域，注册请求中携带主叫终端的标识号。IMS接收到注册请求之后，返回注册响应给主叫终端，注册响应中携带Special头域。较佳的，该注册响应可为200OK。

IMS将该注册请求转发给安全AS。具体来说，IMS在接收到注册请求之后，确定该注册请求中携带Special头域，则将该注册请求转发给安全AS。安全AS根据该注册请求中的主叫终端的标识号，以及安全AS中预先设置的具有密模块的中的的标识号，对该主叫终端进行鉴权，即判断感主叫终端是否具有对通话数据进行加密的权限，经判断，若该主叫终端的标识号与该安全AS中预先配置的具有密模块的中的的标识号中某个相匹配，则确定该主叫终端具有对通话数据进行加密的权限，即对该主叫终端鉴权成功，也即对该主叫终端在安全AS上注册成功。安全AS在确定该主叫终端在安全AS上注册成功时，向IMS返回注册成功响应。告知IMS该主叫终端已注册成功，具有密模块功能。若对该主叫终端鉴权失败，则返回注册失败响应。

主叫终端发送至安全AS的呼叫请求中携带密钥算法标识，安全AS可根据该密钥算法标识对应的密钥算法为主叫终端分配密钥，并为被叫终端分配密钥。较佳的，当主叫终端与被叫终端采用同一密钥时，即主叫终端与被叫终端对应的密钥算法标识一致时，安全AS可根据该密钥算法为主叫终端和被叫终端生成一个密钥。

较佳的，密钥算法标识包括主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；安全AS根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥，具体为：安全AS根据第一算法标识为主叫终端分配密钥，并根据第二算法标识为被叫终端分配密钥。具体来说，当主叫终端与被叫终端采用不同的密钥时，主叫终端发送的呼叫请求中携带主叫终端对应的第一算法标识，以及被叫终端对应的第二算法标识。此时安全AS可根据两个不同的算法标识分别为主叫终端分配根据第一算法标识确定的密钥，为被叫终端分配根据第二算法标识确定的密钥。

较佳的，呼叫请求中还携带加密状态标识，加密状态标识用于指示安全AS为主叫终端与被叫终端分配密钥。具体来说，呼叫请求中携带加密状态标识，用于告知安全AS，主叫终端要求此次通话进行加密处理，安全AS需为主叫终端以及被叫终端分配密钥。

较佳的，呼叫请求中还携带加密等级标识，加密等级标识用于指示安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。具体来说，加密等级可分为普通用户和高级用户，当主叫终端为普通用户时，加密等级标识对应为普通用户，安全AS根据主叫终端所发送的加密算法为该主叫终端分配一安全性相对普通的密钥，如为该主叫终端分配一长度较短的密钥。当主叫终端为高级用户时，加密等级标识对应为高级用户，安全AS根据主叫终端所发送的加密算法为该主叫终端分配一安全性相对较高的密钥，如为该主叫终端分配一长度较长的密钥。

由于主叫终端向被叫终端发送的呼叫请求中携带有密钥算法标识，因此在呼叫请求发送至安全AS时，安全AS可根据该密钥算法标识为主叫终端和被叫终端分配密钥，进一步由于安全AS将为被叫终端分配的密钥携带于呼叫请求并发送给被叫终端，将为主叫终端分配的密钥携带于呼叫响应并返回给主叫终端，从而完成了对通话两端的密钥分配工作，进而实现了通过对通话数据进行加密来提升通话数据安全性的目的。

基于相同构思，图4示例性示出了本发明实施例提供一种终端的结构示意图，如图4所示，本发明实施例提供一种终端，包括发送模块401、接收模块402、处理模块403：

发送模块401，用于终端作为主叫终端时向被叫终端发送呼叫请求，呼叫请求中携带有密钥算法标识；呼叫请求被智能管理系统IMS转发至安全应用服务器AS，安全AS根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥，将为被叫终端分配的密钥携带于呼叫请求并通过IMS发送给被叫终端；

接收模块402，用于接收被叫终端返回的呼叫响应，呼叫响应中携带有安全AS将为主叫终端分配的密钥；其中，被叫终端发送的呼叫响应被IMS转发至安全AS，安全AS将为主叫终端分配的密钥携带于呼叫响应并通过IMS返回给主叫终端；

处理模块403，用于根据呼叫响应与被叫终端建立通话链路。

具体来说，较佳的，在上述动作执行前，需先对主叫终端和被叫终端进行注册，注册一次之后，以后无需再注册即可对下次的通话数据进行再次加密。本发明实施例中的安全AS中预先配置有具有密模块的终端的标识号，较佳的，以表的形式在安全AS中存储具有密模块的终端的标识号，以便于安全AS在终端进行注册时对该终端进行鉴权。

具体注册流程将上述描述，在此不再赘述。

较佳的，密钥算法标识包括主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；发送给被叫终端中携带的密钥是安全AS根据第二算法标识分配的，返回给主叫终端的呼叫响应中携带的密钥是安全AS根据第一算法标识分配的。具体来说，当主叫终端与被叫终端采用不同的密钥时，主叫终端发送的呼叫请求中携带主叫终端对应的第一算法标识，以及被叫终端对应的第二算法标识。此时安全AS可根据两个不同的算法标识分别为主叫终端分配根据第一算法标识确定的密钥，为被叫终端分配根据第二算法标识确定的密钥。

较佳的，呼叫请求中还携带加密状态标识，加密状态标识用于指示安全AS为主叫终端与被叫终端分配密钥。具体来说，呼叫请求中携带加密状态标识，用于告知安全AS，主叫终端要求此次通话进行加密处理，安全AS需为主叫终端以及被叫终端分配密钥。

较佳的，呼叫请求中还携带加密等级标识，加密等级标识用于指示安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。具体来说，加密等级可分为普通用户和高级用户，当主叫终端为普通用户时，加密等级标识对应为普通用户，安全AS根据主叫终端所发送的加密算法为该主叫终端分配一安全性相对普通的密钥，如为该主叫终端分配一长度较短的密钥。当主叫终端为高级用户时，加密等级标识对应为高级用户，安全AS根据主叫终端所发送的加密算法为该主叫终端分配一安全性相对较高的密钥，如为该主叫终端分配一长度较长的密钥。

较佳的，处理模块，还用于：根据安全AS分配的密钥对通话数据进行加密，并向对端发送。

综上所述，由于主叫终端向被叫终端发送的呼叫请求中携带有密钥算法标识，因此在呼叫请求发送至安全AS时，安全AS可根据该密钥算法标识为主叫终端和被叫终端分配密钥，进一步由于安全AS将为被叫终端分配的密钥携带于呼叫请求并发送给被叫终端，将为主叫终端分配的密钥携带于呼叫响应并返回给主叫终端，从而完成了对通话两端的密钥分配工作，进而实现了通过对通话数据进行加密来提升通话数据安全性的目的。

基于相同构思，图5示例性示出了本发明实施例提供一种安全AS的结构示意图，如图5所示，本发明实施例提供一种安全AS，包括收发模块501、处理模块502：

收发模块501，用于接收主叫终端通过智能管理系统IMS转发的呼叫请求，呼叫请求中携带有密钥算法标识；接收被叫终端通过IMS返回的呼叫响应，呼叫响应中携带有安全AS将为主叫终端分配的密钥；

处理模块502，用于根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥；将为被叫终端分配的密钥携带于呼叫请求并指示收发模块通过IMS发送给被叫终端；将为主叫终端分配的密钥携带于呼叫响应并指示收发模块通过IMS返回给主叫终端，以使主叫终端根据呼叫响应与被叫终端建立通话链路。

具体来说，较佳的，在上述动作执行前，需先对主叫终端和被叫终端进行注册，注册一次之后，以后无需再注册即可对下次的通话数据进行再次加密。本发明实施例中的安全AS中预先配置有具有密模块的终端的标识号，较佳的，以表的形式在安全AS中存储具有密模块的终端的标识号，以便于安全AS在终端进行注册时对该终端进行鉴权。

较佳的，密钥算法标识包括主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；处理模块，具体用于：根据第一算法标识为主叫终端分配密钥，并根据第二算法标识为被叫终端分配密钥。具体来说，当主叫终端与被叫终端采用不同的密钥时，主叫终端发送的呼叫请求中携带主叫终端对应的第一算法标识，以及被叫终端对应的第二算法标识。此时安全AS可根据两个不同的算法标识分别为主叫终端分配根据第一算法标识确定的密钥，为被叫终端分配根据第二算法标识确定的密钥。

较佳的，呼叫请求中还携带加密状态标识，加密状态标识用于指示安全AS为主叫终端与被叫终端分配密钥。具体来说，呼叫请求中携带加密状态标识，用于告知安全AS，主叫终端要求此次通话进行加密处理，安全AS需为主叫终端以及被叫终端分配密钥。

较佳的，呼叫请求中还携带加密等级标识，加密等级标识用于指示安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。具体来说，加密等级可分为普通用户和高级用户，当主叫终端为普通用户时，加密等级标识对应为普通用户，安全AS根据主叫终端所发送的加密算法为该主叫终端分配一安全性相对普通的密钥，如为该主叫终端分配一长度较短的密钥。当主叫终端为高级用户时，加密等级标识对应为高级用户，安全AS根据主叫终端所发送的加密算法为该主叫终端分配一安全性相对较高的密钥，如为该主叫终端分配一长度较长的密钥。

从上述内容可以看出：由于主叫终端向被叫终端发送的呼叫请求中携带有密钥算法标识，因此在呼叫请求发送至安全AS时，安全AS可根据该密钥算法标识为主叫终端和被叫终端分配密钥，进一步由于安全AS将为被叫终端分配的密钥携带于呼叫请求并发送给被叫终端，将为主叫终端分配的密钥携带于呼叫响应并返回给主叫终端，从而完成了对通话两端的密钥分配工作，进而实现了通过对通话数据进行加密来提升通话数据安全性的目的。

基于相同构思，图6示例性示出了本发明实施例提供另一种终端的结构示意图，如图6所示，本发明实施例提供另一种终端，包括收发器601、处理器602、存储器603：

收发器601，用于终端作为主叫终端时向被叫终端发送呼叫请求，呼叫请求中携带有密钥算法标识；呼叫请求被智能管理系统IMS转发至安全应用服务器AS，安全AS根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥，将为被叫终端分配的密钥携带于呼叫请求并通过IMS发送给被叫终端；接收被叫终端返回的呼叫响应，呼叫响应中携带有安全AS将为主叫终端分配的密钥；其中，被叫终端发送的呼叫响应被IMS转发至安全AS，安全AS将为主叫终端分配的密钥携带于呼叫响应并通过IMS返回给主叫终端；

处理器602，用于根据呼叫响应与被叫终端建立通话链路；

存储器603，用于存储安全AS将为主叫终端分配的密钥。

较佳的，密钥算法标识包括主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；

发送给被叫终端中携带的密钥是安全AS根据第二算法标识分配的，返回给主叫终端的呼叫响应中携带的密钥是安全AS根据第一算法标识分配的。

较佳的，呼叫请求中还携带加密状态标识，加密状态标识用于指示安全AS为主叫终端与被叫终端分配密钥。

较佳的，呼叫请求中还携带加密等级标识，加密等级标识用于指示安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。

较佳的，处理器，还用于：

根据安全AS分配的密钥对通话数据进行加密，并向对端发送。

综上所述，由于主叫终端向被叫终端发送的呼叫请求中携带有密钥算法标识，因此在呼叫请求发送至安全AS时，安全AS可根据该密钥算法标识为主叫终端和被叫终端分配密钥，进一步由于安全AS将为被叫终端分配的密钥携带于呼叫请求并发送给被叫终端，将为主叫终端分配的密钥携带于呼叫响应并返回给主叫终端，从而完成了对通话两端的密钥分配工作，进而实现了通过对通话数据进行加密来提升通话数据安全性的目的。

基于相同构思，图7示例性示出了本发明实施例提供另一种安全AS的结构示意图，如图7所示，本发明实施例提供另一种安全AS，包括收发器701、处理器702、存储器703：

收发器701，用于接收主叫终端通过智能管理系统IMS转发的呼叫请求，呼叫请求中携带有密钥算法标识；接收被叫终端通过IMS返回的呼叫响应，呼叫响应中携带有安全AS将为主叫终端分配的密钥；

处理器702，用于根据呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为被叫终端分配密钥；将为被叫终端分配的密钥携带于呼叫请求并指示收发模块通过IMS发送给被叫终端；将为主叫终端分配的密钥携带于呼叫响应并指示收发模块通过IMS返回给主叫终端，以使主叫终端根据呼叫响应与被叫终端建立通话链路；

存储器703，用于存储上述流程执行过程中的密钥算法标识，以及为主叫终端分配密钥和为被叫终端分配密钥。

较佳的，密钥算法标识包括主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；

处理器，具体用于：

根据第一算法标识为主叫终端分配密钥，并根据第二算法标识为被叫终端分配密钥。

较佳的，呼叫请求中还携带加密状态标识，加密状态标识用于指示安全AS为主叫终端与被叫终端分配密钥。

较佳的，呼叫请求中还携带加密等级标识，加密等级标识用于指示安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。

从上述内容可以看出：由于主叫终端向被叫终端发送的呼叫请求中携带有密钥算法标识，因此在呼叫请求发送至安全AS时，安全AS可根据该密钥算法标识为主叫终端和被叫终端分配密钥，进一步由于安全AS将为被叫终端分配的密钥携带于呼叫请求并发送给被叫终端，将为主叫终端分配的密钥携带于呼叫响应并返回给主叫终端，从而完成了对通话两端的密钥分配工作，进而实现了通过对通话数据进行加密来提升通话数据安全性的目的。

本领域内的技术人员应明白，本发明的实施例可提供为方法、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (18)

1.一种呼叫建立方法，其特征在于，包括以下步骤：

主叫终端向被叫终端发送呼叫请求，所述呼叫请求中携带有密钥算法标识；所述呼叫请求被智能管理系统IMS转发至安全应用服务器AS，所述安全AS根据所述呼叫请求中携带的密钥算法标识为所述主叫终端分配密钥，并为所述被叫终端分配密钥，将为所述被叫终端分配的密钥携带于所述呼叫请求并通过所述IMS发送给所述被叫终端；

所述主叫终端接收所述被叫终端返回的呼叫响应，所述呼叫响应中携带有所述安全AS将为所述主叫终端分配的密钥；其中，所述被叫终端发送的呼叫响应被所述IMS转发至所述安全AS，所述安全AS将为所述主叫终端分配的密钥携带于所述呼叫响应并通过所述IMS返回给所述主叫终端；

所述主叫终端根据所述呼叫响应与所述被叫终端建立通话链路。

2.如权利要求1所述的方法，其特征在于，所述密钥算法标识包括所述主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；

发送给所述被叫终端中携带的密钥是所述安全AS根据所述第二算法标识分配的，返回给所述主叫终端的呼叫响应中携带的密钥是所述安全AS根据所述第一算法标识分配的。

3.如权利要求1所述的方法，其特征在于，所述呼叫请求中还携带加密状态标识，所述加密状态标识用于指示所述安全AS为所述主叫终端与所述被叫终端分配密钥。

4.如权利要求1所述的方法，其特征在于，所述呼叫请求中还携带加密等级标识，所述加密等级标识用于指示所述安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。

5.如权利要求1所述的方法，其特征在于，所述主叫终端根据所述呼叫响应与所述被叫终端建立通话链路之后，还包括：

所述主叫终端和所述被叫终端分别根据所述安全AS分配的密钥对通话数据进行加密，并向对端发送。

6.一种呼叫建立方法，其特征在于，包括以下步骤：

安全应用服务器AS接收主叫终端通过智能管理系统IMS转发的呼叫请求，所述呼叫请求中携带有密钥算法标识；

所述安全AS根据所述呼叫请求中携带的密钥算法标识为所述主叫终端分配密钥，并为所述被叫终端分配密钥；

所述安全AS将为所述被叫终端分配的密钥携带于所述呼叫请求并通过所述IMS发送给所述被叫终端；

所述安全AS接收所述被叫终端通过IMS返回的呼叫响应，所述呼叫响应中携带有所述安全AS将为所述主叫终端分配的密钥；

所述安全AS将为所述主叫终端分配的密钥携带于所述呼叫响应并通过所述IMS返回给所述主叫终端，以使所述主叫终端根据所述呼叫响应与所述被叫终端建立通话链路。

7.如权利要求6所述的方法，其特征在于，所述密钥算法标识包括所述主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；

所述安全AS根据所述呼叫请求中携带的密钥算法标识为所述主叫终端分配密钥，并为所述被叫终端分配密钥，具体包括：

所述安全AS根据所述第一算法标识为所述主叫终端分配密钥，并根据所述第二算法标识为所述被叫终端分配密钥。

8.如权利要求6所述的方法，其特征在于，所述呼叫请求中还携带加密状态标识，所述加密状态标识用于指示所述安全AS为所述主叫终端与所述被叫终端分配密钥。

9.如权利要求6所述的方法，其特征在于，所述呼叫请求中还携带加密等级标识，所述加密等级标识用于指示所述安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。

10.一种终端，其特征在于，包括：

发送模块，用于所述终端作为主叫终端时向被叫终端发送呼叫请求，所述呼叫请求中携带有密钥算法标识；所述呼叫请求被智能管理系统IMS转发至安全应用服务器AS，所述安全AS根据所述呼叫请求中携带的密钥算法标识为主叫终端分配密钥，并为所述被叫终端分配密钥，将为所述被叫终端分配的密钥携带于所述呼叫请求并通过所述IMS发送给所述被叫终端；

接收模块，用于接收所述被叫终端返回的呼叫响应，所述呼叫响应中携带有所述安全AS将为所述主叫终端分配的密钥；其中，所述被叫终端发送的呼叫响应被所述IMS转发至所述安全AS，所述安全AS将为所述主叫终端分配的密钥携带于所述呼叫响应并通过所述IMS返回给所述主叫终端；

处理模块，用于根据所述呼叫响应与所述被叫终端建立通话链路。

11.如权利要求10所述的终端，其特征在于，所述密钥算法标识包括所述主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；

发送给所述被叫终端中携带的密钥是所述安全AS根据所述第二算法标识分配的，返回给所述主叫终端的呼叫响应中携带的密钥是所述安全AS根据所述第一算法标识分配的。

12.如权利要求10所述的终端，其特征在于，所述呼叫请求中还携带加密状态标识，所述加密状态标识用于指示所述安全AS为所述主叫终端与所述被叫终端分配密钥。

13.如权利要求10所述的终端，其特征在于，所述呼叫请求中还携带加密等级标识，所述加密等级标识用于指示所述安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。

14.如权利要求10所述的终端，其特征在于，所述处理模块，还用于：

根据所述安全AS分配的密钥对通话数据进行加密，并向对端发送。

15.一种安全应用服务器AS，其特征在于，包括：

收发模块，用于接收主叫终端通过智能管理系统IMS转发的呼叫请求，所述呼叫请求中携带有密钥算法标识；接收所述被叫终端通过IMS返回的呼叫响应，所述呼叫响应中携带有所述安全AS将为所述主叫终端分配的密钥；

处理模块，用于根据所述呼叫请求中携带的密钥算法标识为所述主叫终端分配密钥，并为所述被叫终端分配密钥；将为所述被叫终端分配的密钥携带于所述呼叫请求并指示所述收发模块通过所述IMS发送给所述被叫终端；将为所述主叫终端分配的密钥携带于所述呼叫响应并指示所述收发模块通过所述IMS返回给所述主叫终端，以使所述主叫终端根据所述呼叫响应与所述被叫终端建立通话链路。

16.如权利要求15所述的安全AS，其特征在于，所述密钥算法标识包括所述主叫终端对应的第一算法标识和被叫终端对应的第二算法标识；

所述处理模块，具体用于：

根据所述第一算法标识为所述主叫终端分配密钥，并根据所述第二算法标识为所述被叫终端分配密钥。

17.如权利要求15所述的安全AS，其特征在于，所述呼叫请求中还携带加密状态标识，所述加密状态标识用于指示所述安全AS为所述主叫终端与所述被叫终端分配密钥。

18.如权利要求15所述的安全AS，其特征在于，所述呼叫请求中还携带加密等级标识，所述加密等级标识用于指示所述安全AS根据密钥算法标识所对应的密钥算法，针对不同的加密等级标识分配不同长度的密钥。