CN106790208A - 一种通信加密方法及装置 - Google Patents

Abstract

本发明实施例公开了一种通信加密方法及其装置，其中该方法包括：接收主叫终端发起的呼叫请求，并根据呼叫请求获取主叫终端及被叫终端的身份信息；对身份信息进行实名认证以得到认证结果；根据认证结果获取本次通信的密钥；根据密钥对本次通信进行加密，并备份密钥、第一信息及第二信息。本发明实施例，对个人信息及终端信息进行实名认证，并备份主叫终端及被叫终端的身份信息，从而提高了加密通信的安全性；进一步地，本发明实施例还备份了密钥及密钥与主被叫终端身份信息的对应关系，使得通信中所加密的数据是可恢复的，增强了数据的可追溯性，提升了通用性。

Description

一种通信加密方法及装置

技术领域

本发明涉及通信技术领域，尤其涉及一种通信加密方法及装置。

背景技术

近年来，随着网络电话的迅速发展，其安全性受到了越来越多的关注。基于此，对网络电话进行加密保护将成为将来高质量网络电话的必备条件之一。举例来说，目前一种网络电话加密方法包括：在主叫和被叫终端的安全芯片内预置密钥协商参数，主叫终端发起呼叫请求时，主叫和被叫终端自动根据密钥协商参数按照预设规定确定密钥，根据该密钥对本次通信进行加密。该加密方法在一定程度上提升了通信的安全性，但认证方式单一，安全性仍有缺陷，且通过该加密方法加密后的数据不具可追溯性，因此该方法通用性较低。

发明内容

本发明实施例提供一种通信加密方法及其装置，以提高通信的安全性，且使得加密后的数据具有可追溯性，从而提高加密方法的通用性。

本发明实施例提供了一种通信加密方法，包括：

接收主叫终端发起的呼叫请求，并根据呼叫请求获取主叫终端及被叫终端的身份信息，该身份信息包括个人信息及终端信息，主叫终端及被叫终端均已开启加密功能；

对个人信息及终端信息进行实名认证以得到认证结果；

根据认证结果获取本次通信的密钥；

根据密钥对本次通信进行加密，并备份密钥、第一信息及第二信息，该第一信息包括主叫终端的安全芯片身份识别号、被叫终端的安全芯片身份识别号、通信时长、呼叫标识及密钥之间的对应关系，该第二信息包括主叫号码、被叫号码、通信时长、呼叫标识及通信数据内容之间的对应关系。

本发明实施例提供了一种通信加密装置，包括：

接收单元，用于接收主叫终端发起的呼叫请求；

获取单元，用于根据呼叫请求获取主叫终端及被叫终端的身份信息，该身份信息包括个人信息及终端信息，主叫终端及被叫终端均已开启加密功能；

认证单元，用于对个人信息及终端信息进行实名认证以得到认证结果；

该获取单元还用于根据认证结果获取本次通信的密钥；

加密单元，用于根据密钥对本次通信进行加密；

备份单元,用于备份密钥第一信息及第二信息，该第一信息包括主叫终端的安全芯片身份识别号、被叫终端的安全芯片身份识别号、通信时长、呼叫标识及密钥，该第二信息包括主叫号码、被叫号码、通信时长、呼叫标识及通信数据内容。

本发明实施例，对个人信息及终端信息进行实名认证，并备份主叫终端及被叫终端的身份信息，从而提高了加密通信的安全性；进一步地，本发明实施例还备份了密钥及密钥与主被叫终端身份信息的对应关系，使得本次通信中所加密的数据是可恢复的，增强了数据的可追溯性，提升了通用性。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明第一实施例提供的通信加密方法的示意流程图；

图2是本发明实施例中加密通信的功能模块图；

图3是本发明第二实施例提供的通信加密方法的示意流程图；

图4是本发明第三实施例提供的通信加密方法的示意流程图；

图5是本发明第一实施例提供的通信加密装置的结构示意图；

图6是本发明第二实施例提供的通信加密装置的结构示意图；

图7是本发明第三实施例提供的通信加密装置的结构示意图；

图8是本发明实施例提供的装置的结构示意图。

具体实施方式

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

具体实现中，本发明实施例中描述的终端包括但不限于诸如具有触摸敏感表面(例如，触摸屏显示器和/或触摸板)的移动电话、膝上型计算机或平板计算机之类的其它便携式设备。还应当理解的是，在某些实施例中，所述设备并非便携式通信设备，而是具有触摸敏感表面(例如，触摸屏显示器和/或触摸板)的台式计算机。

在接下来的讨论中，描述了包括显示器和触摸敏感表面的终端。然而，应当理解的是，终端可以包括诸如物理键盘、鼠标和/或控制杆的一个或多个其它物理用户接口设备。

请参考图1，是本发明第一实施例提供一种通信加密方法的示意流程图，如图所示，该方法可包括以下步骤：

S101，接收主叫终端发起的呼叫请求。具体地，当需要进行通信时，主叫终端会发起呼叫请求以开始建立与被叫终端的加密通信，服务器将会接收该呼叫请求。其中，主叫终端和被叫终端都是已经开启了加密通信功能的。需要说明的是，如图2所示，本实施例中的服务器指的是身份验证服务器2，其主要与加密终端1(即已经开启加密通信功能的主叫终端和被叫终端)、实名认证服务器3、密管系统4、证书颁发中心5及VOIP媒体服务器6进行通信。该身份验证服务器2主要包括四个功能模块：(1)身份验证模块：结合实名认证服务器3核验用户的真实身份，该实名认证服务器3主要指的是公安部实名认证中心；(2)短信服务模块：将手机号码与SIM卡号进行绑定；(3)数据存储模块：在完成身份验证注册以及加密通信过程中，需要它保存一些重要数据，主要包括：手机号码、终端的安全芯片身份识别号与数字证书绑定关系的存储；个人身份信息(姓名、身份证号码、手机号码、用户手持身份证的正面照片等)的存储，以保证后续可查可用；实名认证后相关数据的存储；用户帐号信息(如注册账号及密码)的存储；加密通信记录的存储；此外，数据存储模块还需要将身份验证注册及加密通信的相关数据同步给相关监管机构；(4)帐号管理模块：用户注册时，需要保存手机号码、安全芯片身份识别号等，以提供通过手机号码查找到安全新签身份识别号的功能；用户注册完成后，需要保存手机号码、终端的安全芯片身份识别号与数字证书绑定关系的存储，方便后续查找。

进一步地，如图2所示，密管系统4主要用于在用户注册时保存数字证书与安全芯片身份识别号的对应关系，以及在建立通信之前向请求者(例如需要开启加密功能的终端)发送密码机生成的通信密钥。此外，由于每次通信所生成的通信密钥都不相同，因此，密管系统4还需要保存通信与密钥的对应关系，以方便后续根据通信记录查找到对应的密钥，才可恢复通信内容。其中，密管系统4中所保存的内容包括：主被叫终端安全芯片的身份识别号+CALLID(即呼叫标识，用于标识一次通信)+通信时长+通信密钥。而证书颁发中心5是负责办法标准证书的机构，是一个可信任的证书颁发中心。而VOIP媒体服务器6，是负责转发VOIP语音数据内容，是实现通信的基础。该VOIP媒体服务器中需要保存网络加密电话的数据内容，保存形式可以为：主叫号码+被叫号码+CALLID(即呼叫标识，用于标识一次通信)+通信时长+通信数据内容。

S102，根据呼叫请求获取主叫终端及被叫终端的身份信息。具体地，呼叫请求中包含了主叫终端和被叫终端的个人信息及终端信息等，身份验证服务器获取上述身份信息。进一步地，个人信息包括用户姓名、身份证号、当前手机号码及用户手持身份证的正面照片，终端信息包括当前安全芯片身份识别号。其中，当前手机号码指的是需要进行本次通信的主叫号码和被叫号码，当前安全芯片身份识别号指的是需要进行本次通信的主叫终端和被叫终端的安全芯片身份识别号。

S103，对个人信息及终端信息进行实名认证以得到认证结果。具体地，身份验证服务器将用户姓名、身份证号、当前手机号码及用户手持身份证的正面照片等个人信息上传至实名认证服务器(公安部实名认证中心)，该实名认证服务器集成了人脸识别的实名认证服务，对上述个人信息和公安部后台存储的个人信息进行核验，从而得到核验成功或核验失败的个人认证结果。通过该实名认证，可确认用户(主叫终端和被叫终端)的真实、合法身份，防止了非法分子使用加密的通信。进一步地，图2中的身份验证服务器及密管系统中均保存有映射关系，该映射关系包括安全芯片身份识别号与数字证书之间的一一对应关系。因此，身份验证服务器将所获取的主叫终端和被叫终端的当前安全芯片身份识别号与映射关系进行匹配查找，若在映射关系中可以找到当前安全芯片身份识别号对应的数字证书，则说明当前安全芯片是合法的，反之，则是非法的(此处的非法所表示的是该安全芯片未经过合法的网络注册)，得到当前安全芯片合法或非法的终端认证结果。也就是说，该步骤中是对主被叫的用户身份及主被叫的终端身份进行验证。

S104，根据认证结果获取本次通信的密钥。具体地，当验证出主被叫的用户身份及主被叫的终端身份都合法时，身份验证服务器则会向密管系统发起请求以获取本次通信的密钥。

具体地，获取本次通信的密钥的具体过程如下：

(1)获取主叫终端的设备认证信息，即对主叫终端的安全芯片进行认证的认证结果，并根据该设备认证信息生成加密因子；

(2)从主叫终端的安全芯片中获取一随机密钥，采用对称加密算法，根据随机密钥对加密因子进行加密，以得到加密因子密文；

(3)采用对称加密算法，根据主叫终端的的安全芯片内置的第一密钥对随机密钥进行加密，以生成随机密钥密文；

(4)采用非对称加密算法，根据主叫终端的私钥对加密因子密文和随机密钥密文进行签名计算，以得到主叫终端的签名值；

(5)采用非对称加密算法，根据被叫终端的公钥对加密因子密文、随机密钥密文及签名值进行加密，并将加密后的密文发送至被叫终端；

(6)采用非对称加密算法，根据被叫终端的私钥对密文进行解密，得到加密因子密文、随机密钥密文及签名值；

(7)采用非对称加密算法，根据主叫终端的公钥对加密因子密文、随机密钥密文及签名值进行数字签名验证；

(8)若验证通过，采用对称加密算法，根据被叫终端安全芯片内置的第一密钥对随机密钥密文进行解密，以得到随机密钥；

(9)采用对称加密算法，根据随机密钥对加密因子密文进行加密，以得到加密因子；

(10)主叫终端和被叫终端分别采用对称加密算法，根据各自安全芯片内置的第二密钥对加密因子进行加密生成最后的通信密钥。

S105，根据密钥对本次通信进行加密，并备份密钥、第一信息及第二信息，该第一信息包括主叫终端的安全芯片身份识别号、被叫终端的安全芯片身份识别号、通信时长、呼叫标识及密钥之间的对应关系，该第二信息包括主叫号码、被叫号码、通信时长、呼叫标识及通信数据内容之间的对应关系。

本发明实施例，先接收主叫终端发起的呼叫请求，并根据该请求获取主叫终端和被叫终端的身份信息，再对身份信息进行实名认证以得到认证结果，之后，根据认证结果获取本次通信的密钥，最后根据密钥对本次通信进行加密，并备份密钥、包含密钥及呼叫标识之间对应关系的第一信息及包含通信数据内容及呼叫标识之间对应关系的第二信息。本发明实施例在实名认证的基础上实现了对通信的加密，保证了通信的安全。同时，在加密过程中，还进行了备份密钥及通信数据内容，使得加密的通信是可恢复可追溯的，增强了数据的可追溯性，提升了通用性。进一步地，在进行实名验证时，引入了实名认证服务器(如公安部)，确保了使用通信的用户的身份，防止了不法分子使用加密的通信，提高了通信的安全性。

请参考图3，是本发明第二实施例提供一种通信加密方法的示意流程图，如图所示，该方法可包括以下步骤：

S201，接收加密终端发起的加密功能开启请求，根据实名认证机构对开启请求进行认证，该开启请求包括注册信息及加密终端信息，该注册信息包括用户姓名、身份证号、手机号码及用户手持身份证的正面照片，加密终端信息包括加密终端的安全芯片身份识别号，该加密终端包括主叫终端及被叫终端。具体地，用户操作加密终端以输入个人信息(即注册信息)，包括用户姓名、身份证号、手机号码及用户手持身份证的正面照片等，用户输入上述信息后，上述信息将被上传至身份验证服务器，该身份验证服务器将进一步地将上述信息上传至实名认证服务器(公安部实名认证中心)，该实名认证服务器集成了人脸识别的实名认证服务，对上述个人信息和公安部后台存储的个人信息进行核验，若核验通过，则表示同意了加密终端发起的加密功能开启请求，可以继续进行后续注册流程，反之，则终止注册。需要说明的是，通过实名认证功能可以确定用户的真实、合法身份，保证了通信使用的安全性，且身份验证服务器还将保存上述个人信息，以保证后续可查可用。

S202，根据验证结果申请并获取数字证书，同时申请通信帐号，该数字证书包括注册信息、加密终端的安全芯片身份识别号及公话密钥，该通信帐号包括注册手机号码。

S203，将加密终端的安全芯片身份识别号及数字证书进行绑定以建立映射关系。

S204，将映射关系存储于加密终端的安全芯片和密管系统。

具体地，当实名认证成功之后，才可申请合法的证书颁发中心签发的SM2(国密)数字证书，所申请的数字证书中包括了个人信息、终端信息(即加密终端的安全芯片身份识别号)及SM2公钥。需要说明的是，加密终端所获取到数字证书之后，需要将其存储于加密终端的安全芯片中，同时还需要在密管系统中完成证书与安全芯片身份识别号的绑定。这样才可以在加密通信建立之前申请通信密钥时，主叫终端和被叫终端通过数字证书与密管系统通信以完成身份验证并获取通信密钥。需要说明的是，密管系统在进行终端身份验证时，由于密管系统中保存有多个用户的数字正式，因此，通过安全芯片身份识别号匹配查找对应的数字证书是一种简单快速的方法。也就是说，在密管系统中所保存的是安全芯片身份识别号与数字证书的一一对应关系，而不是手机号码与数字证书的对应关系，这样处理可以达到以下有益效果：避免了同一终端使用多个不同手机号码进行注册及申请多个数字证书，节约了数字证书的成本。可理解地，密管系统中还可将手机号码与数字证书进行绑定，同样可以达到上述效果。

进一步地，申请数字证书的一具体过程如下：

(1)在实名认证成功后，加密终端向密管系统发起证书申请请求；

(2)密管系统接收该请求并与证书颁发中心通信，以从证书颁发中心处获取一数字证书，该数字证书中包括了注册信息、加密终端的安全芯片身份识别号及公话密钥；

(3)密管系统将数字证书与加密终端的安全芯片身份识别号进行绑定；

(4)密管系统将数字证书、数字证书与加密终端的安全芯片身份识别号的绑定关系一同返回至加密终端。

可理解地，申请数字证书的另一具体过程如下：

(1)在实名认证成功后，加密终端向身份验证服务器发起证书申请请求；

(2)身份验证服务器接收该请求并与证书颁发中心通信，以从证书颁发中心处获取一数字证书，该数字证书中包括了注册信息、加密终端的安全芯片身份识别号及公话密钥；

(3)身份验证服务器将数字证书与加密终端的安全芯片身份识别号进行绑定；

(4)身份验证服务器将数字证书、数字证书与加密终端的安全芯片身份识别号的绑定关系一同返回至加密终端。

此外，在实名认证成功以后，加密终端除了向密管系统申请数字证书外，还需要向VOIP媒体服务器进行注册以获取帐号，该帐号用户使用通信前进行登录。如前所述，用户在步骤S201中输入了手机号码，该手机号码作为加密终端用于注册通信的帐号，待得到VOIP媒体服务器的验证后，后续使用通信时，便用该手机号进行登录，即该手机号码即为注册手机号码。

S205，将注册手机号码进行绑定以完成加密功能的开通。

具体地，为了防止用户手机号码被他人盗用来注册加密通信，需要对注册手机号码进行绑定，从而保证只有手机号码持有人才可以使用加密网络功能，并且该手机号码都是实名制的，将注册手机号码进行绑定可以进一步确认用户身份，保证加密通信的安全性。

其中，将注册手机号码进行绑定的具体过程如下：

(1)加密终端获取安全芯片身份识别号和注册手机号码的签名，通过短信通道向身份验证服务器发送签名内容；

(2)身份验证服务器向密管系统申请验签签名短信，并获取该签名短信；

(3)身份验证服务器根据签名短信对签名内容进行验签，验签成功后，若短信发送号码与短信内容中的注册手机号码一致，则认为注册手机号码对应的SIM卡在该加密终端合法运行；

(4)身份验证服务器将短信验证结果返回至加密终端；

(5)加密终端向身份验证服务器请求获取短信验证码，对短信验证码进行验证，并将验证结果反馈至身份验证服务器；

(6)验证码验证成功后，身份验证服务器完成注册手机号码、安全芯片身份识别号及数字证书的绑定，并将该绑定关系存储在身份验证服务器的数据库中，标识注册成功，同时，身份验证服务器的帐号管理模块将生成注册账号。至此，完成加密终端加密功能的开通。

也就是说，在对通信进行加密之前，通信的双方需要进行注册，该注册包括上述步骤S201至S205，主要包括实名认证(即步骤S201)、申请证书(即步骤S202至S204)、手机号绑定(即步骤S205)及帐号管理(即步骤S205)。

S206，接收主叫终端发起的呼叫请求。具体地，当需要进行通信时，主叫终端会发起呼叫请求以开始建立与被叫终端的加密通信，服务器将会接收该呼叫请求。其中，主叫终端和被叫终端都是已经开启了加密通信功能的。该步骤的具体过程请参考步骤S101。

S207，根据呼叫请求获取主叫终端及被叫终端的身份信息。具体地，呼叫请求中包含了主叫终端和被叫终端的个人信息及终端信息等，身份验证服务器获取上述身份信息。进一步地，个人信息包括用户姓名、身份证号、当前手机号码及用户手持身份证的正面照片，终端信息包括当前安全芯片身份识别号。其中，当前手机号码指的是需要进行本次通信的主叫号码和被叫号码，当前安全芯片身份识别号指的是需要进行本次通信的主叫终端和被叫终端的安全芯片身份识别号。

S208，对个人信息及终端信息进行实名认证以得到认证结果。具体地，身份验证服务器将用户姓名、身份证号、当前手机号码及用户手持身份证的正面照片等个人信息上传至实名认证服务器，该实名认证服务器集成了人脸识别的实名认证服务，对上述个人信息和公安部后台存储的个人信息进行核验，从而得到核验成功或核验失败的个人认证结果。通过该实名认证，可确认用户(主叫终端和被叫终端)的真实、合法身份，防止了非法分子使用加密的通信。进一步地，图2中的身份验证服务器及密管系统中均保存有映射关系，该映射关系包括安全芯片身份识别号与数字证书之间的一一对应关系。因此，身份验证服务器将所获取的主叫终端和被叫终端的当前安全芯片身份识别号与映射关系进行匹配查找，若在映射关系中可以找到当前安全芯片身份识别号对应的数字证书，则说明当前安全芯片是合法的，反之，则是非法的(此处的非法所表示的是该安全芯片未经过合法的网络注册)，得到当前安全芯片合法或非法的终端认证结果。也就是说，该步骤中是对主被叫的用户身份及主被叫的终端身份进行验证，并对主被叫终端的身份信息进行备份。

S209，根据认证结果获取本次通信的密钥。具体地，当验证出主被叫的用户身份及主被叫的终端身份都合法时，身份验证服务器则会向密管系统发起请求以获取本次通信的密钥。该部分的具体过程请参考步骤S104。

S210，根据密钥对本次通信进行加密，并备份密钥、第一信息及第二信息，该第一信息包括主叫终端的安全芯片身份识别号、被叫终端的安全芯片身份识别号、通信时长、呼叫标识及密钥之间的对应关系，该第二信息包括主叫号码、被叫号码、通信时长、呼叫标识及通信数据内容之间的对应关系。

本发明实施例，先根据步骤S201至S205开通主叫终端及被叫终端的加密功能，再接收主叫终端发起的呼叫请求，并根据该请求获取主叫终端和被叫终端的身份信息，接着对身份信息进行实名认证以得到认证结果，并备份身份信息，之后，根据认证结果获取本次通信的密钥，最后根据密钥对本次通信进行加密，并备份密钥、包含密钥及呼叫标识之间对应关系的第一信息及包含通信数据内容及呼叫标识之间对应关系的第二信息。本发明实施例在实名认证的基础上实现了对通信的加密，保证了通信的安全。同时，在加密过程中，还进行了备份密钥及通信数据内容，使得加密的通信是可恢复可追溯的，增强了数据的可追溯性，提升了通用性。进一步地，在进行实名验证时，引入了实名认证服务器(如公安部)，确保了使用通信的用户的身份，防止了不法分子使用加密的通信，提高了通信的安全性。

请参考图4，是本发明第三实施例提供一种通信加密方法的示意流程图，如图所示，该方法可包括以下步骤：

S301，开通主叫终端及被叫终端的加密功能。该部分的具体过程请参考步骤S201至S205。

S302，接收主叫终端发起的呼叫请求。具体地，当需要进行通信时，主叫终端会发起呼叫请求以开始建立与被叫终端的加密通信，服务器将会接收该呼叫请求。其中，主叫终端和被叫终端都是已经开启了加密通信功能的。该步骤的具体过程请参考步骤S101。

S303，根据呼叫请求获取主叫终端及被叫终端的身份信息。具体地，呼叫请求中包含了主叫终端和被叫终端的个人信息及终端信息等，身份验证服务器获取上述身份信息。进一步地，个人信息包括用户姓名、身份证号、当前手机号码及用户手持身份证的正面照片，终端信息包括当前安全芯片身份识别号。其中，当前手机号码指的是需要进行本次通信的主叫号码和被叫号码，当前安全芯片身份识别号指的是需要进行本次通信的主叫终端和被叫终端的安全芯片身份识别号。

S304，对个人信息及终端信息进行实名认证以得到认证结果。具体地，身份验证服务器将用户姓名、身份证号、当前手机号码及用户手持身份证的正面照片等个人信息上传至实名认证服务器，该实名认证服务器集成了人脸识别的实名认证服务，对上述个人信息和公安部后台存储的个人信息进行核验，从而得到核验成功或核验失败的个人认证结果。通过该实名认证，可确认用户(主叫终端和被叫终端)的真实、合法身份，防止了非法分子使用加密的通信。进一步地，图2中的身份验证服务器及密管系统中均保存有映射关系，该映射关系包括安全芯片身份识别号与数字证书之间的一一对应关系。因此，身份验证服务器将所获取的主叫终端和被叫终端的当前安全芯片身份识别号与映射关系进行匹配查找，若在映射关系中可以找到当前安全芯片身份识别号对应的数字证书，则说明当前安全芯片是合法的，反之，则是非法的(此处的非法所表示的是该安全芯片未经过合法的网络注册)，得到当前安全芯片合法或非法的终端认证结果。也就是说，该步骤中是对主被叫的用户身份及主被叫的终端身份进行验证，并对主被叫终端的身份信息进行备份。

S305，根据认证结果获取本次通信的密钥。具体地，当验证出主被叫的用户身份及主被叫的终端身份都合法时，身份验证服务器则会向密管系统发起请求以获取本次通信的密钥。该部分的具体过程请参考步骤S104。

S306，根据密钥对本次通信进行加密，并备份密钥、第一信息及第二信息，该第一信息包括主叫终端的安全芯片身份识别号、被叫终端的安全芯片身份识别号、通信时长、呼叫标识及密钥之间的对应关系，该第二信息包括主叫号码、被叫号码、通信时长、呼叫标识及通信数据内容之间的对应关系。

需要说明的是，为了实现对通信内容的安全监管，因此需要对上述第一信息及第二信息进行备份。进一步地，第一信息被备份于密管系统的，其保存的形式可以是：主被叫终端安全芯片身份识别号+CALLID(即呼叫标识，用于标识一次通信)+通信时长+通信密钥；第二信息是被备份于身份验证服务器及VOIP媒体服务器的，其保存的形式可以是：主叫号码+被叫号码+CALLID(即呼叫标识，用于标识一次通信)+通信时长+通信数据内容。

S307，根据备份的密钥、第一信息及第二信息进行内容恢复。

具体地，步骤S307具体包括：

(1)获取当前主被叫信息及当前呼叫标识，该当前主被叫信息包括当前主被叫号码及当前主被叫终端的安全芯片身份识别号；

(2)根据当前主被叫终端的安全芯片身份识别号及当前呼叫标识从第一信息中获取密钥；由于第一信息中包括主被叫终端安全芯片身份识别号、密钥及呼叫标识之间的对应关系，因此，根据当前主被叫终端的安全芯片身份识别号及当前呼叫标识，便可从第一信息中获取到当前主被叫终端进行加密通信时的密钥；

(3)根据当前主被叫号码及当前呼叫标识从第二信息中获取通信数据内容；由于第二信息中包括主被叫号码、通信数据内容及呼叫标识之间的对应关系，因此，根据当前主被叫号码及当前呼叫标识便可从第二信息中获取到当前主被叫号码对应的通信数据内容；

(4)根据密钥及通信数据内容进行内容恢复。具体地，获取到密钥及通信数据内容后，便可恢复之前的通信内容，并可播放语音。

本发明实施例，先开通主叫终端及被叫终端的加密功能，再接收主叫终端发起的呼叫请求，并根据该请求获取主叫终端和被叫终端的身份信息，接着对身份信息进行实名认证以得到认证结果，并备份身份信息，之后，根据认证结果获取本次通信的密钥，以及根据密钥对本次通信进行加密，并备份密钥、包含密钥及呼叫标识之间对应关系的第一信息及包含通信数据内容及呼叫标识之间对应关系的第二信息，最后可通过备份的密钥、第一信息及第二信息对通信内容进行恢复。本发明实施例在实名认证的基础上实现了对通信的加密，保证了通信的安全。同时，在加密过程中，还进行了备份密钥及通信数据内容，使得加密的通信是可恢复可追溯的，增强了数据的可追溯性，提升了通用性。进一步地，在进行实名验证时，引入了实名认证服务器(如公安部)，确保了使用通信的用户的身份，防止了不法分子使用加密的通信，提高了通信的安全性。

再请参考图5，是本发明第一实施例提供的一种通信加密装置的结构示意图，如图所示，该装置包括：

接收单元10，用于接收主叫终端发起的呼叫请求；

获取单元11，用于根据呼叫请求获取主叫终端及被叫终端的身份信息，身份信息包括个人信息及终端信息，该主叫终端及被叫终端均已开启加密功能；

认证单元12，用于对个人信息及终端信息进行实名认证以得到认证结果；

获取单元11还用于根据认证结果获取本次通信的密钥；

加密单元13，根据密钥对本次通信进行加密；

备份单元14,用于备份密钥、第一信息及第二信息，该第一信息包括主叫终端的安全芯片身份识别号、被叫终端的安全芯片身份识别号、通信时长、呼叫标识及密钥之间的对应关系，该第二信息包括主叫号码、被叫号码、通信时长、呼叫标识及通信数据内容之间的对应关系。

进一步地，个人信息包括用户姓名、身份证号、当前手机号码及用户手持身份证的正面照片，终端信息包括当前安全芯片身份识别号，认证结果包括个人认证结果及终端认证结果，认证单元12具体包括：

将个人信息与实名认证机构所提供的信息进行比对以得到个人认证结果；

将当前安全芯片身份识别号与映射关系进行匹配查找以得到终端认证结果，该映射关系包括安全芯片身份识别号与数字证书之间的一一对应关系。

需要说明的是，本实施例中的通信加密装置的具体工作流程，请参考前述方法部分的第一实施例，在此再赘述。

本实施例先通过接收单元10接收主叫终端发起的呼叫请求，并通过获取单元11获取主叫终端和被叫终端的身份信息，再通过认证单元12对身份信息进行实名认证以得到特征结果，之后，通过获取单元11根据认证结果获取本次通信的密钥，最后通过加密单元13根据密钥对本次通信进行加密，并通过备份单元14备份密钥、包含密钥及呼叫标识之间对应关系的第一信息及包含通信数据内容及呼叫标识之间对应关系的第二信息。本发明实施例在实名认证的基础上实现了对通信的加密，保证了通信的安全。同时，在加密过程中，还进行了备份密钥及通信数据内容，使得加密的通信是可恢复可追溯的，增强了数据的可追溯性，提升了通用性。进一步地，在进行实名验证时，引入了实名认证服务器(如公安部)，确保了使用通信的用户的身份，防止了不法分子使用加密的通信，提高了通信的安全性。

再请参考图6，是本发明第二实施例提供的一种通信加密装置的结构示意图，如图所示，该装置包括：

接收单元20，该接收单元20除了具备接收单元10的功能外，还用于接收加密终端发起的加密功能开启请求，该开启请求包括注册信息及加密终端信息，注册信息包括用户姓名、身份证号、手机号码及用户手持身份证的正面照片，加密终端信息包括加密终端的安全芯片身份识别号，该加密终端包括所述主叫终端及被叫终端；

获取单元21，具备获取单元21所具有的功能；

认证单元22，该认证单元22除了具备认证单元12的功能外，还用于根据实名认证机构对开启请求进行认证；

获取单元21还用于根据验证结果申请并获取数字证书，同时申请通信帐号，该数字证书包括注册信息、加密终端的安全芯片身份识别号及公话密钥，该通信帐号包括注册手机号码；

建立单元25，用于将加密终端的安全芯片身份识别号及数字证书进行绑定以建立映射关系；

备份单元24，该备份单元24除了具备备份单元14的功能外，还用于将映射关系存储于加密终端的安全芯片和密管系统；

绑定单元26，用于将注册手机号码进行绑定以完成加密功能的开通；

加密单元23，根据密钥对本次通信进行加密。

需要说明的是，本实施例中的通信加密装置的具体工作流程，请参考前述方法部分的第二实施例，在此再赘述。

本发明实施例，先开通主叫终端及被叫终端的加密功能，再通过接收单元20接收主叫终端发起的呼叫请求，并通过获取单元21根据该请求获取主叫终端和被叫终端的身份信息，接着通过认证单元22对身份信息进行实名认证以得到认证结果，并备份身份信息，之后，通过加密单元23根据认证结果获取本次通信的密钥，最后通过加密单元23根据密钥对本次通信进行加密，并通过备份单元24备份密钥、包含密钥及呼叫标识之间对应关系的第一信息及包含通信数据内容及呼叫标识之间对应关系的第二信息。本发明实施例在实名认证的基础上实现了对通信的加密，保证了通信的安全。同时，在加密过程中，还进行了备份密钥及通信数据内容，使得加密的通信是可恢复可追溯的，增强了数据的可追溯性，提升了通用性。进一步地，在进行实名验证时，引入了实名认证服务器(如公安部)，确保了使用通信的用户的身份，防止了不法分子使用加密的通信，提高了通信的安全性。

再请参考图7，是本发明第三实施例提供的一种通信加密装置的结构示意图，如图所示，该装置包括：

接收单元30、获取单元31、认证单元32、加密单元33、备份单元34、建立单元35、绑定单元36以及恢复单元37，其中，恢复单元37用于根据备份的密钥、第一信息及第二信息进行内容恢复。

具体地，恢复单元37具体用于：

获取当前主被叫信息及当前呼叫标识，该当前主被叫信息包括当前主被叫号码及当前主被叫终端的安全芯片身份识别号；

根据当前主被叫终端的安全芯片身份识别号及当前呼叫标识从第一信息中获取所述密钥；

根据当前主被叫号码及当前呼叫标识从第二信息中获取通信数据内容；

根据密钥及通信数据内容进行内容恢复。

其中，接收单元30、获取单元31、认证单元32、加密单元33、备份单元34、建立单元35及绑定单元36的功能请参考图6所述的实施例，在此不再赘述。

需要说明的是，本实施例中的通信加密装置的具体工作流程，请参考前述方法部分的第二实施例，在此再赘述。此外，可理解地，在图5所示实施例的基础上，仍然可以包括上述恢复单元37，在此不再赘述。

本发明实施例，先开通主叫终端及被叫终端的加密功能，再通过接收单元30接收主叫终端发起的呼叫请求，并通过获取单元31根据该请求获取主叫终端和被叫终端的身份信息，接着通过认证单元32对身份信息进行实名认证以得到认证结果，并备份身份信息，之后，通过加密单元33根据认证结果获取本次通信的密钥，以及通过加密单元33根据密钥对本次通信进行加密，并通过备份单元34备份密钥、包含密钥及呼叫标识之间对应关系的第一信息及包含通信数据内容及呼叫标识之间对应关系的第二信息，最后可通过恢复单元35根据备份的密钥、第一信息及第二信息对通信内容进行恢复。本发明实施例实现了对通信的加密，保证了通信的安全。同时，在加密过程中，还进行了实名认证、备份密钥及通信数据内容，使得加密的通信是可恢复可追溯的，增强了数据的可追溯性，提升了通用性。进一步地，在进行实名验证时，引入了实名认证服务器(如公安部)，确保了使用通信的用户的身份，防止了不法分子使用加密的通信，提高了通信的安全性。

图8本发明实施例中提供的一种装置的结构示意图，如图所示，该终端包括：至少一个处理器401，例如CPU，至少一个用户接口403，存储器404，至少一个通信总线402。其中，通信总线402用于实现这些组件之间的连接通信。其中，用户接口403可以包括显示屏(Display)、键盘(Keyboard)，可选用户接口403还可以包括标准的有线接口、无线接口。存储器404可以是高速RAM存储器，也可以是非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。存储器404可选的还可以是至少一个位于远离前述处理器401的存储装置。其中处理器401可以结合图5至7所描述的装置，存储器404中存储一组程序代码，且处理器401调用存储器404中存储的程序代码，用于执行以下操作：

接收主叫终端发起的呼叫请求，并根据呼叫请求获取主叫终端及被叫终端的身份信息，该身份信息包括个人信息及终端信息，主叫终端及被叫终端均已开启加密功能；

对个人信息及终端信息进行实名认证以得到认证结果；

根据认证结果获取本次通信的密钥；

根据密钥对本次通信进行加密，并备份密钥、第一信息及第二信息，该第一信息包括主叫终端的安全芯片身份识别号、被叫终端的安全芯片身份识别号、通信时长、呼叫标识及密钥之间对应关系，该第二信息包括主叫号码、被叫号码、通信时长、呼叫标识及通信数据内容之间对应关系。

该个人信息包括用户姓名、身份证号、当前手机号码及用户手持身份证的正面照片，终端信息包括当前安全芯片身份识别号，认证结果包括个人认证结果及终端认证结果，处理器401具体用于执行以下操作：

将个人信息与实名认证机构所提供的信息进行比对以得到个人认证结果；

将当前安全芯片身份识别号与映射关系进行匹配查找以得到终端认证结果，映射关系包括安全芯片身份识别号与数字证书之间的一一对应关系。

进一步地，处理器401还用于执行以下操作：

接收加密终端发起的加密功能开启请求，开启请求包括注册信息及加密终端信息，注册信息包括用户姓名、身份证号、注册手机号码及用户手持身份证的正面照片，加密终端信息包括加密终端的安全芯片身份识别号，加密终端包括主叫终端及被叫终端；

根据实名认证机构对开启请求进行认证；

根据验证结果申请并获取数字证书，数字证书包括注册信息、加密终端的安全芯片身份识别号及公话密钥；

将加密终端的安全芯片身份识别号及数字证书进行绑定以建立映射关系；

将映射关系存储于加密终端的安全芯片和密管系统；

将注册手机号码进行绑定以完成加密功能的开通。

进一步地，处理器401还用于执行以下操作：

根据备份的密钥、第一信息及第二信息进行内容恢复。

进一步地，处理器401还用于执行以下操作：

获取当前主被叫信息及当前呼叫标识，当前主被叫信息包括当前主被叫号码及当前主被叫终端的安全芯片身份识别号；

根据当前主被叫终端的安全芯片身份识别号及当前呼叫标识从第一信息中获取密钥；

根据当前主被叫号码及当前呼叫标识从第二信息中获取通信数据内容；

根据密钥及通信数据内容进行内容恢复。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

此外，在本申请所提供的几个实施例中，应该理解到，所揭露的方法及装置，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。

本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种通信加密方法，其特征在于，包括：

接收主叫终端发起的呼叫请求，并根据所述呼叫请求获取所述主叫终端及被叫终端的身份信息，所述身份信息包括个人信息及终端信息，所述主叫终端及被叫终端均已开启加密功能；

对所述个人信息及终端信息进行实名认证以得到认证结果；

根据所述认证结果获取本次通信的密钥；

根据所述密钥对本次通信进行加密，并备份所述密钥、第一信息及第二信息，所述第一信息包括所述主叫终端的安全芯片身份识别号、被叫终端的安全芯片身份识别号、通信时长、呼叫标识及所述密钥之间的对应关系，所述第二信息包括主叫号码、被叫号码、通信时长、呼叫标识及通信数据内容之间的对应关系。

2.如权利要求1所述的方法，其特征在于，所述个人信息包括用户姓名、身份证号、当前手机号码及用户手持身份证的正面照片，所述终端信息包括当前安全芯片身份识别号，所述认证结果包括个人认证结果及终端认证结果，对所述个人信息及终端信息进行实名认证以得到认证结果具体包括：

将所述个人信息与实名认证机构所提供的信息进行比对以得到所述个人认证结果；

将所述当前安全芯片身份识别号与映射关系进行匹配查找以得到所述终端认证结果，所述映射关系包括安全芯片身份识别号与数字证书之间的一一对应关系。

3.如权利要求2所述的方法，其特征在于，接收主叫终端发起的呼叫请求之前还包括：

接收加密终端发起的加密功能开启请求，所述开启请求包括注册信息及加密终端信息，所述注册信息包括用户姓名、身份证号、手机号码及用户手持身份证的正面照片，所述加密终端信息包括所述加密终端的安全芯片身份识别号，所述加密终端包括所述主叫终端及被叫终端；

根据所述实名认证机构对所述开启请求进行认证；

根据验证结果申请并获取所述数字证书，同时申请通信帐号，所述数字证书包括所述注册信息、所述加密终端的安全芯片身份识别号及公话密钥，所述通信帐号包括注册手机号码；

将所述加密终端的安全芯片身份识别号及所述数字证书进行绑定以建立所述映射关系；

将所述映射关系存储于所述加密终端的安全芯片和密管系统；

将所述注册手机号码进行绑定以完成加密功能的开通。

4.如权利要求1-3任一项所述的方法，其特征在于，根据所述密钥对本次通信进行加密并备份第一信息及第二信息之后还包括：

根据备份的所述密钥、第一信息及第二信息进行内容恢复。

5.如权利要求4所述的方法，其特征在于，根据备份的所述密钥、第一信息及第二信息进行内容恢复具体包括：

获取当前主被叫信息及当前呼叫标识，所述当前主被叫信息包括当前主被叫号码及当前主被叫终端的安全芯片身份识别号；

根据所述当前主被叫终端的安全芯片身份识别号及所述当前呼叫标识从所述第一信息中获取所述密钥；

根据所述当前主被叫号码及所述当前呼叫标识从所述第二信息中获取所述通信数据内容；

根据所述密钥及通信数据内容进行内容恢复。

6.一种通信加密装置，其特征在于，包括：

接收单元，用于接收主叫终端发起的呼叫请求；

获取单元，用于根据所述呼叫请求获取所述主叫终端及被叫终端的身份信息，所述身份信息包括个人信息及终端信息，所述主叫终端及被叫终端均已开启加密功能；

认证单元，用于对所述个人信息及终端信息进行实名认证以得到认证结果；

所述获取单元还用于根据所述认证结果获取本次通信的密钥；

加密单元，用于根据所述密钥对本次通信进行加密；

备份单元,用于备份所述密钥、第一信息及第二信息，所述第一信息包括所述主叫终端的安全芯片身份识别号、被叫终端的安全芯片身份识别号、通信时长、呼叫标识及所述密钥之间的对应关系，所述第二信息包括主叫号码、被叫号码、通信时长、呼叫标识及通信数据内容之间的对应关系。

7.如权利要求6所述的装置，其特征在于，所述个人信息包括用户姓名、身份证号、当前手机号码及用户手持身份证的正面照片，所述终端信息包括当前安全芯片身份识别号，所述认证结果包括个人认证结果及终端认证结果，所述认证单元具体包括：

将所述个人信息与实名认证机构所提供的信息进行比对以得到所述个人认证结果；

将所述当前安全芯片身份识别号与映射关系进行匹配查找以得到所述终端认证结果，所述映射关系包括安全芯片身份识别号与数字证书之间的一一对应关系。

8.如权利要求7所述的装置，其特征在于，所述接收单元还用于接收加密终端发起的加密功能开启请求，所述开启请求包括注册信息及加密终端信息，所述注册信息包括用户姓名、身份证号、手机号码及用户手持身份证的正面照片，所述加密终端信息包括所述加密终端的安全芯片身份识别号，所述加密终端包括所述主叫终端及被叫终端；

所述认证单元还用于根据所述实名认证机构对所述开启请求进行认证；

所述获取单元还用于根据验证结果申请并获取所述数字证书，所述获取单元还用于申请通信帐号，所述数字证书包括所述注册信息、所述加密终端的安全芯片身份识别号及公话密钥，所述通信帐号包括注册手机号码；

建立单元，用于将所述加密终端的安全芯片身份识别号及所述数字证书进行绑定以建立所述映射关系；

所述备份单元还用于将所述映射关系存储于所述加密终端的安全芯片和密管系统；

绑定单元，用于将所述注册手机号码进行绑定以完成加密功能的开通。

9.如权利要求6-8任一项所述的装置，其特征在于，所述装置还包括：

恢复单元，用于根据备份的所述密钥、第一信息及第二信息进行内容恢复。

10.如权利要求9所述的装置，其特征在于，所述恢复单元具体用于：

获取当前主被叫信息及当前呼叫标识，所述当前主被叫信息包括当前主被叫号码及当前主被叫终端的安全芯片身份识别号；

根据所述当前主被叫终端的安全芯片身份识别号及所述当前呼叫标识从所述第一信息中获取所述密钥；

根据所述当前主被叫号码及所述当前呼叫标识从所述第二信息中获取所述通信数据内容；

根据所述密钥及通信数据内容进行内容恢复。