CN114760625B - 加密通话方法、装置及系统 - Google Patents
加密通话方法、装置及系统 Download PDFInfo
- Publication number
- CN114760625B CN114760625B CN202210400133.2A CN202210400133A CN114760625B CN 114760625 B CN114760625 B CN 114760625B CN 202210400133 A CN202210400133 A CN 202210400133A CN 114760625 B CN114760625 B CN 114760625B
- Authority
- CN
- China
- Prior art keywords
- side terminal
- call data
- encryption
- encrypted
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000004891 communication Methods 0.000 claims abstract description 65
- 230000004044 response Effects 0.000 claims description 26
- 238000012790 confirmation Methods 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 8
- 230000000977 initiatory effect Effects 0.000 claims description 5
- 238000003672 processing method Methods 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 11
- 230000003993 interaction Effects 0.000 description 8
- 230000001360 synchronised effect Effects 0.000 description 5
- 230000011664 signaling Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及无线通信技术领域,公开了一种加密通话方法、装置及系统,该方法通过安全控制平台向通话双方对应的认证平台查询通话双方各自的加密密钥,并在接收到一方的加密通话数据后通过该方的加密密钥进行解密后再利用对方的加密密钥进行加密,生成对方能够解密的通话数据。通话双方不需要使用相同加密方式的终端或用户卡,实现对多种加密方式终端的兼容,扩大加密通信的终端适用范围。
Description
技术领域
本申请涉及无线通信技术领域,尤其涉及一种加密通话方法、装置及系统。
背景技术
随着人们对于个人隐私的保护的逐渐重视,用户对于加密通话的需求日益增加。目前使用广泛的基于4G的VoLTE(Voice over LTE)或者基于5G的VoNR(Voice/Video overNew Radio)中,通话双方需要签约加密通话业务,并且持有相同认证及加密方式的终端/手机卡才可进行加密通话业务,但是不同加密方式的终端/手机卡无法互相兼容,加密通话终端与非加密通话终端也无法正常通话。因此,当前加密通话的终端适用范围低。
发明内容
本申请的实施例提供了一种加密通话方法、装置及系统,进而至少在一定程度上能够解决的不同加密方式的终端/手机卡无法互相兼容的问题,提高加密通话的终端适用范围。
本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
根据本申请实施例的第一方面,提供了一种加密通话方法,应用于安全控制平台,所述方法包括:
响应于主叫侧终端在确认发起加密通话后发送的第一加密请求,向所述主叫侧终端对应的第一认证平台查询所述主叫侧终端对应的第一加密密钥;
响应于被叫侧终端在确认使用加密通话后发送的第二加密请求,向所述被叫侧终端对应的第二认证平台查询所述被叫侧终端对应的第二加密密钥;
响应于所述主叫侧终端发送的第一加密通话数据,根据所述第一加密密钥对所述第一加密通话数据进行解密,得到第一明文通话数据;
根据所述第二加密密钥对所述第一明文通话数据进行加密,得到第三加密通话数据,并将所述第三加密通话数据发送至所述被叫侧终端,以供所述被叫侧终端根据所述第二加密密钥解密所述第三加密通话数据得到所述第一明文通话数据;
响应于所述被叫侧终端发送的第二加密通话数据,根据所述第二加密密钥对所述第二加密通话数据进行解密,得到第二明文通话数据;
根据所述第一加密密钥对所述第二明文通话数据进行加密,得到第四加密通话数据,并将所述第四加密通话数据发送至所述主叫侧终端,以供所述主叫侧终端根据所述第一加密密钥解密所述第四加密通话数据得到所述第二明文通话数据。
在本申请的一些实施例中,基于上述方案,所述第一加密请求包括:所述主叫侧终端对应的第一加密类型以及第一认证事务标识;所述第二加密请求包括:第二加密类型以及第二认证事务标识;
所述向所述主叫侧终端对应的第一认证平台查询所述主叫侧终端对应的第一加密密钥,包括:
根据加密类型与认证平台的对应关系以及所述第一加密类型,确定所述主叫侧终端对应的第一认证平台;
根据所述第一认证事务标识,向所述第一认证平台查询所述主叫侧终端对应的第一加密密钥;
所述向所述被叫侧终端对应的第二认证平台查询所述被叫侧终端对应的第二加密密钥,包括:
根据加密类型与认证平台的对应关系以及所述第二加密类型,确定所述被叫侧终端对应的第二认证平台;
根据所述第二认证事务标识,向所述被叫侧终端对应的第二认证平台查询所述被叫侧终端对应的第二加密密钥。
在本申请的一些实施例中,基于上述方案,所述第二加密请求还包括:主被叫信息;所述方法还包括:
根据所述主被叫信息,绑定所述第一认证事务标识和所述第二认证事务标识,以将所述主叫侧终端和所述被叫侧终端绑定至同一加密通话中。
在本申请的一些实施例中,基于上述方案,所述向所述主叫侧终端对应的第一认证平台查询所述主叫侧终端对应的第一加密密钥之后,所述方法还包括:
向所述主叫侧终端发送对于所述第一加密请求的确认消息。
根据本申请实施例的第二方面,提供了一种加密通话装置,所述装置包括:
查询单元,用于响应于主叫侧终端在确认发起加密通话后发送的第一加密请求,向所述主叫侧终端对应的第一认证平台查询所述主叫侧终端对应的第一加密密钥;
所述查询单元还用于响应于被叫侧终端在确认使用加密通话后发送的第二加密请求,向所述被叫侧终端对应的第二认证平台查询所述被叫侧终端对应的第二加密密钥;
加密单元,用于响应于所述主叫侧终端发送的第一加密通话数据,根据所述第一加密密钥对所述第一加密通话数据进行解密,得到第一明文通话数据;
所述加密单元还用于根据所述第二加密密钥对所述第一明文通话数据进行加密,得到第三加密通话数据,并将所述第三加密通话数据发送至所述被叫侧终端,以供所述被叫侧终端根据所述第二加密密钥解密所述第三加密通话数据得到所述第一明文通话数据;
所述加密单元还用于响应于所述被叫侧终端发送的第二加密通话数据,根据所述第二加密密钥对所述第二加密通话数据进行解密,得到第二明文通话数据;
所述加密单元还用于根据所述第一加密密钥对所述第二明文通话数据进行加密,得到第四加密通话数据,并将第四加密通话数据发送至所述主叫侧终端,以供所述主叫侧终端根据所述第一加密密钥解密所述第四加密通话数据得到所述第二明文通话数据。
根据本申请实施例的第三方面,提供了一种加密通话方法,应用于主叫侧终端,所述方法包括:
检测到发起加密通话的指示后,向第一认证平台发送第一密钥协商请求;
响应于所述第一认证平台发送的第一密钥协商响应消息,向安全控制平台发送第一加密请求,以使所述安全控制平台向所述第一认证平台查询所述主叫侧终端对应的第一密钥;
响应于所述安全控制平台发送的对于所述第一加密请求的确认消息,向被叫侧终端发送通话请求;
响应于所述被叫侧终端发送的通话确认消息,根据所述第一加密密钥对第一明文通话数据进行加密,得到第一加密通话数据;
向所述安全控制平台发送所述第一加密通话数据,以使所述安全控制平台根据所述第一加密密钥对所述第一加密通话数据进行解密,得到所述第一明文通话数据,并根据所述第二加密密钥对所述第一明文通话数据进行加密,得到第三加密通话数据,并将所述第三加密通话数据发送至所述被叫侧终端,以供所述被叫侧终端根据所述第二加密密钥解密所述第三加密通话数据得到所述第一明文通话数据;
接收所述安全控制平台发送的第四加密通话数据,并根据所述第一加密密钥解密所述第四加密通话数据得到第二明文通话数据,所述第四加密通话数据为所述安全控制平台根据所述第一加密密钥对所述被叫侧终端的第二明文通话数据进行加密得到的。
在本申请的一些实施例中,基于上述方案,
所述第一密钥协商响应消息包括第一认证事务标识,所述第一加密请求包括:所述主叫侧终端对应的第一加密类型以及第一认证事务标识;
所述响应于所述第一认证平台发送的第一密钥协商响应消息,向安全控制平台发送第一加密请求,以使所述安全控制平台向所述第一认证平台查询所述主叫侧终端对应的第一加密密钥,包括:
响应于所述第一认证平台发送的第一密钥协商响应消息,向所述安全控制平台发送第一加密请求,以使所述安全控制平台根据加密类型与认证平台的对应关系以及所述第一加密类型,确定所述主叫侧终端对应的第一认证平台,并根据所述第一认证事务标识,向所述第一认证平台查询所述主叫侧终端对应的第一加密密钥。
根据本申请实施例的第四方面,提供了一种加密通话方法,应用于被叫侧终端,所述方法包括:
接收到主叫侧终端发送的通话请求,并检测到使用加密通话的指示后,向第二认证平台发送第二密钥协商请求;
响应于所述第二认证平台发送的第二密钥协商响应消息,向安全控制平台发送第二加密请求,以使所述安全控制平台向所述第二认证平台查询所述被叫侧终端对应的第二密钥;
响应于所述安全控制平台发送的对于所述第二加密请求的确认消息,向所述主叫侧终端发送通话确认消息;
根据所述第二加密密钥对第二明文通话数据进行加密,得到第二加密通话数据;
向所述安全控制平台发送所述第二加密通话数据,以使所述安全控制平台根据所述第二加密密钥对所述第二加密通话数据进行解密,得到所述第二明文通话数据,并根据所述第一加密密钥对所述第二明文通话数据进行加密,得到第四加密通话数据,并将所述第四加密通话数据发送至所述主叫侧终端,以供所述主叫侧终端根据所述第一加密密钥解密所述第四加密通话数据得到所述第二明文通话数据;
接收所述安全控制平台发送的第三加密通话数据,并根据所述第二加密密钥解密所述第三加密通话数据得到第一明文通话数据,所述第三加密通话数据为所述安全控制平台根据所述第一加密密钥对所述主叫侧终端的第一明文通话数据进行加密得到的。
在本申请的一些实施例中,基于上述方案,所述方法还包括:
接收到所述主叫侧终端发送的通话请求,并检测到使用非加密通话的指示后,向所述主叫侧终端发送所述通话确认消息;
向所述安全控制平台发送所述第二明文通话数据,以使所述安全控制平台将所述第二明文通话数据发送至所述主叫侧终端;
接收所述安全控制平台发送的第一明文通话数据,所述第一明文通话数据为所述安全控制平台根据所述主叫侧终端的第一加密密钥对所述主叫侧终端的第一加密通话数据进行解密得到的。
根据本申请实施例的第五方面,提供了一种加密通话系统,所述系统包括主叫侧终端、被叫侧终端、第一认证平台、第二认证平台以及安全控制平台;
所述第一认证平台用于与所述主叫侧终端进行密钥协商;
所述第二认证平台用于与所述被叫侧终端进行密钥协商;
所述安全控制平台用于向所述第一认证平台查询所述主叫侧终端对应的第一加密密钥,向所述被叫侧终端对应的第二认证平台查询所述被叫侧终端对应的第二加密密钥;
所述安全控制平台还用于根据所述第一加密密钥对所述主叫侧终端对应的第一加密通话数据进行解密后再利用所述第二加密密钥进行加密,得到第三加密通话数据,并将所述第三加密通话数据发送至所述被叫侧终端,以供所述被叫侧终端根据所述第二加密密钥解密所述第三加密通话数据得到所述主叫侧终端对应的第一明文通话数据;
所述安全控制平台还用于根据所述第二加密密钥对所述被叫侧终端对应的第二加密通话数据进行解密后再利用第一加密密钥进行加密,得到第四加密通话数据,并将所述第四加密通话数据发送至所述主叫侧终端,以供所述主叫侧终端根据所述第一加密密钥解密所述第四加密通话数据得到所述被叫侧终端对应的第二明文通话数据。
本申请实施例引入安全控制平台,通过安全控制平台查询和存储通话双方各自的加密密钥,并在接收到一方的加密通话数据后通过该方的加密密钥进行解密后再利用对方的加密密钥进行加密,生成对方能够解密的通话数据。通话双方不需要使用相同加密方式的终端或用户卡,实现对多种加密方式终端的兼容,扩大加密通信的终端适用范围。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本申请实施例提供的一种加密通话系统的系统架构图。
图2为本申请实施例提供的一种应用于安全控制平台的加密通话方法的流程图。
图3为本申请实施例提供的一种加密通话装置的框图。
图4为本申请实施例提供的应用于主叫侧终端的一种加密通话方法的流程图。
图5为本申请实施例提供的应用于被叫侧终端的一种加密通话方法的流程图。
图6为本申请实施例提供的一种加密通话系统的信令交互流程图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
在本申请的描述中,需要理解的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
相关加密通话系统中,加密通话的双方需要进行端到端密钥协商,因此通话双方(主叫侧终端和被叫侧终端)使用不同的加密方式时,通话双方无法形成统一的加密密钥,进而无法进行加密通话。
进一步,即便通话双方采用相同的加密方式,本端终端发起加密通话时需对对方加密状态进行复杂逻辑判断,并且加密通话过程中若一方获取会话密钥失败则直接导致无效话音,严重影响用户体验。
为解决上述问题,本申请实施例在通信网络中引入安全控制平台,图1为本申请实施例提供的一种加密通话系统的系统架构图,如图1所示,该系统至少包括主叫侧终端110、被叫侧终端120、第一认证平台130、第二认证平台140以及安全控制平台150。
第一认证平台130用于与主叫侧终端110进行密钥协商。
第二认证平台140用于与被叫侧终端120进行密钥协商。
在加密通话业务中,终端需要向认证平台进行认证和密钥协商,不同类型的终端所对应的认证方式不一样,例如一些终端是基于手机卡进行认证,一些终端是基于账户和密码进行认证,一些终端是基于原生的移动网进行认证。由于不同的认证平台对应不同的加密类型,因此不同加密类型(加密方式)的终端的与其相对应的认证平台进行密钥协商。
根据认证平台与终端之间密钥协商的方式不同,认证平台可以直接向终端发送加密密钥,也可以向终端发送用于生成加密密钥的密钥参数,终端根据密钥参数生成加密密钥。
安全控制平台150用于向第一认证平台130查询主叫侧终端110对应的第一加密密钥,向被叫侧终端120对应的第二认证平台140查询被叫侧终端140对应的第二加密密钥。
安全控制平台150还用于根据第一加密密钥对主叫侧终端110对应的第一加密通话数据进行解密后再利用第二加密密钥进行加密,得到第三加密通话数据,并将第三加密通话数据发送至被叫侧终端,以供被叫侧终端110根据第二加密密钥解密第三加密通话数据得到主叫侧终端对应的第一明文通话数据。
安全控制平台150还用于根据第二加密密钥对被叫侧终端120对应的第二加密通话数据进行解密后再利用第一加密密钥进行加密,得到第四加密通话数据,并将第四加密通话数据发送至主叫侧终端110,以供主叫侧终端110根据第一加密密钥解密第四加密通话数据得到被叫侧终端对应的第二明文通话数据。
本申请实施例通过安全控制平台查询和存储通话双方各自的加密密钥,并在接收到一方的加密通话数据后通过该方的加密密钥进行解密后再利用对方的加密密钥进行加密,生成对方能够解密的通话数据。通话双方无需进行端到端的会话密钥协商,即通话双方不需要使用相同加密方式的终端或手机卡,实现对多种加密方式终端的兼容,扩大加密通信的终端适用范围。
值得注意的是,本申请实施例通过安全控制平台这个中间角色来响应和处理通话双方的加密请求,通信双方之间对对方的加密状态无感知。即使通信一方获取加密密钥失败,获取加密密钥失败的一方可以使用非加密通信,获取加密密钥成功的一方仍可以使用加密通信,由安全控制平台将使用加密通信一方的加密通话数据解密后发送至获取加密密钥失败的一方,通信双方仍然可以继续进行通话。
本申请实施例通话一方无需同步另一方的加密状态,因此无需对对方的加密状态进行复杂的逻辑判断,避免相关加密通话系统中因通话某一方获取会话密钥失败而导致的无效话音问题,提高加密通信业务的成功率。
需要说明的是,通话双方可以基于VoLTE或者VoNR等通信网络进行语音或者视频通话,相应的,安全控制平台可以设置为VoLTE或者VoNR等通信网络中IMS(IP MultimediaSubsystem)系统中一个单独的网元,也可以与IMS系统中的应用服务器集成在一起。
还需要说明的是,由于通信双方可能隶属于同一运营商不同的大区网络或者隶属于不同运营商的网络,通话双方也可以采用不同的安全控制平台,假设主被叫终端分别对应主叫侧安全控制平台和被叫侧安全控制平台,那么在加密通话过程中,主叫侧安全控制平台需要和被叫侧安全控制平台进行交互,例如,主叫侧安全控制平台需要对主叫侧终端加密之后的通话数据进行解密,将原始明文数据发给被叫侧安全控制平台,被叫侧安全控制平台已知被叫侧终端的加密状态,若被叫侧终端适用加密通信,被叫侧安全控制平台则使用被叫侧终端对应的加密密钥对通话数据进行加密之后发给被叫侧终端,否则将主叫侧终端的原始明文数据转发至被叫侧终端。
本申请实施例提供的加密通话方法可应用于上述安全控制平台,图2为本申请实施例提供的一种应用于安全控制平台的加密通话方法的流程图,如图2所示,该方法包括至少包括以下步骤。
步骤210:响应于主叫侧终端在确认发起加密通话后发送的第一加密请求,向主叫侧终端对应的第一认证平台查询主叫侧终端对应的第一加密密钥。
由于不同的认证平台对应不同的加密类型,因此不同加密类型(加密方式)的终端的与其相对应的认证平台进行密钥协商,因此主叫侧终端有其对应的认证平台。
在具体实施中,主叫侧终端的用户需要发起加密通话时,可以通过密话按键(硬键或屏幕软键)确认发起加密通话,进而主叫侧终端向其对应的认证平台发起(也可称为密钥管理中心)密钥协商,直接从认证平台获取或者根据密钥参数生成主叫侧终端对应的加密密钥。
由于IMS系统中主要使用SIP(Session initialization Protocol)协议用于网元之间的信令交互,在具体实施中,主叫侧终端可以通过SIP协议中的SDP Offer(SessionDescription Portocol)消息向安全控制平台发送第一加密请求,相当于上报加密事件。安全控制平台接收到主叫侧终端的请求后,向主叫侧终端对应的认证平台查询加密密钥,用于后续的加密通信。
值得注意的是,在步骤210之后,安全控制平台在成功查询得到主叫侧终端对应的加密密钥后,可以向主叫侧终端发送对于第一加密请求的确认消息,例如通过SDP answer消息发送对于第一加密请求的确认消息。主叫侧终端收到第一加密请求的确认消息,则确定其可以使用加密通信,并向被叫侧终端发送通话请求消息,例如,IMS系统中的主叫侧向被叫侧发送的invite消息。
若安全控制平台未成功查询得到主叫侧终端对应的加密密钥后,可以向主叫侧终端发送拒绝加密通话消息。主叫侧终端的用户可以选择放弃通话或者选择使用非加密通话。若主叫侧终端选择使用非加密通话,则其直接将明文通话数据发送至安全控制平台。
步骤220:响应于被叫侧终端在确认使用加密通话后发送的第二加密请求,向被叫侧终端对应的第二认证平台查询被叫侧终端对应的第二加密密钥。
被叫侧终端在接听界面显示主叫终端来电,被叫侧终端的用户可以通过密话按键确认使用加密通话,进而被叫侧终端向其对应的认证平台发起密钥协商,直接从认证平台获取或者根据密钥参数生成被叫侧终端对应的加密密钥。
在具体实施中,被叫侧终端也可以通过SIP协议中的SDP Offer消息向安全控制平台发送第二加密请求。安全控制平台接收到被叫侧终端的请求后,向被叫侧终端对应的认证平台查询加密密钥,用于后续的加密通信。
与上述安全控制平台与主叫侧终端的交互同理,安全控制平台可以向被叫侧终端发送第一加密请求的确认消息或者拒绝加密通话消息。
需要再次说明的是,通话双方的加密类型可以不同,即通信双方与不同的认证平台进行密钥协商。
步骤230:响应于主叫侧终端发送的第一加密通话数据,根据第一加密密钥对第一加密通话数据进行解密,得到第一明文通话数据。
步骤240:根据第二加密密钥对第一明文通话数据进行加密,得到第三加密通话数据,并将第三加密通话数据发送至被叫侧终端,以供被叫侧终端根据第二加密密钥解密第三加密通话数据得到第一明文通话数据。
通信双方建立通话后,主叫侧终端使用加密密钥加密了通话数据后,然后通过RTP数据流发送加密通话数据;安全控制平台获取到加密的RTP数据流后,提取RTP(Real-timeTransport Protocol)数据流中加密通话数据,使用主叫侧终端对应的加密密钥解密出明文数据,再使用被叫侧终端对应的加密密钥再次加密上述的明文数据,使用再次加密通话数据重新封装RTP数据流;并将重新封装的RTP数据流继续发送到被叫侧终端。
步骤250:响应于被叫侧终端发送的第二加密通话数据,根据第二加密密钥对第二加密通话数据进行解密,得到第二明文通话数据。
步骤260:根据第一加密密钥对第二明文通话数据进行加密,得到第四加密通话数据,并将第四加密通话数据发送至主叫侧终端,以供主叫侧终端根据第一加密密钥解密第四加密通话数据得到第二明文通话数据。
相应的,安全控制平台对被叫侧通话数据解密后再加密,完成通信双方的通话数据交互。
本申请实施例通过安全控制平台查询和存储通话双方各自的加密密钥,并在接收到一方的加密通话数据后通过该方的加密密钥进行解密后再利用对方的加密密钥进行加密,生成对方能够解密的通话数据。通话双方无需进行端到端的会话密钥协商,即通话双方不需要使用相同加密方式的终端或手机卡,实现对多种加密方式终端的兼容,扩大加密通信的终端适用范围。
进一步,本申请实施例通过安全控制平台这个中间角色来响应和处理通话双方的加密请求,通信双方之间对对方的加密状态无感知。即使通信一方获取加密密钥失败,获取加密密钥失败的一方可以使用非加密通信,获取加密密钥成功的一方仍可以使用加密通信,由安全控制平台将使用加密通信一方的加密通话数据解密后发送至获取加密密钥失败的一方,通信双方仍然可以继续进行通话。
本申请实施例通话一方无需同步另一方的加密状态,因此无需对对方的加密状态进行复杂的逻辑判断,避免相关加密通话系统中因通话某一方获取会话密钥失败而导致的无效话音问题,提高加密通信业务的成功率。
需要说明的是,本申请实施例的加密通话方法不仅限于两方通话,还可扩展应用于多方通话中,安全控制平台查询和存储多方的加密密钥,并进行加密通话数据的加解密,生成通话数据接收方可以解密的通话数据。
在具体实施中,第一加密请求包括:主叫侧终端对应的第一加密类型以及第一认证事务标识;第二加密请求包括:第二加密类型以及第二认证事务标识。
步骤210中向主叫侧终端对应的第一认证平台查询主叫侧终端对应的第一加密密钥,包括:
根据加密类型与认证平台的对应关系以及第一加密类型,确定主叫侧终端对应的第一认证平台;
根据第一认证事务标识,向第一认证平台查询主叫侧终端对应的第一加密密钥。
安全控制平台中可以预置加密类型与认证平台的对应关系表,并根据主叫侧终端的加密类型确定其对应的认证平台。
第一认证事务标识为第一认证平台与主叫侧终端进行密钥协商时生成的认证事务标识,安全控制平台可以通过第一认证事务标识在第一认证平台中查询得到主叫侧终端对应的第一加密密钥。
在具体实施中,步骤220中向被叫侧终端对应的第二认证平台查询被叫侧终端对应的第二加密密钥,包括:
根据加密类型与认证平台的对应关系以及第二加密类型,确定被叫侧终端对应的第二认证平台;
根据第二认证事务标识,向被叫侧终端对应的第二认证平台查询被叫侧终端对应的第二加密密钥。
与上述安全控制平台与主叫侧终端的交互类似,在此不再赘述。
本申请实施例通过安全控制平台这个中间角色来响应和处理通话双方的加密请求,那么安全控制平台需要将通信双方的绑定到同一加密通话中,因此,第二加密请求还包括:主被叫信息。在安全控制平台接收到被叫侧终端发送的第二加密请求后,加密通话方法还包括:
根据主被叫信息,绑定第一认证事务标识和第二认证事务标识,以将主叫侧终端和被叫侧终端绑定至同一加密通话中。
在具体实施中,主被叫信息可以为主被叫用户的IMSI(International MobileSubscriber Identity)号码或者主被叫用户在IMS系统中的用户名等。
基于上述主叫侧终端和第一认证平台协商得到的第一加密密钥和第一认证事务标识,在具体实施中,步骤230中响应于主叫侧终端发送的第一加密通话数据,根据第一加密密钥对第一加密通话数据进行解密,得到第一明文通话数据,包括:
接收主叫侧终端发送的第一加密通话数据和第一认证事务标识;
根据第一认证事务标识,确定主叫侧终端对应的第一加密密钥;
根据第一加密密钥对第一加密通话数据进行解密,得到第一明文通话数据。
主叫侧终端向安全控制中心发送第一加密通话数据时还携带其对应的第一认证事务标识,便于安全控制中心根据第一认证事务标识确定主叫侧终端在本次加密通话中对应的第一加密密钥,并根据第一加密密钥对第一加密通话数据进行解密。
基于第一认证事务标识和第二认证事务标识的绑定关系,在具体实施中,步骤240中根据第二加密密钥对第一明文通话数据进行加密,得到第三加密通话数据,包括:
根据第一认证事务标识和第二认证事务标识的绑定关系,确定被叫侧终端对应的第二加密密钥;
根据第二加密密钥对第一明文通话数据进行加密,得到第三加密通话数据。
基于上述被叫侧终端和第二认证平台协商得到的第二加密密钥和第二认证事务标识,在具体实施中,步骤250中响应于被叫侧终端发送的第二加密通话数据,根据第二加密密钥对第二加密通话数据进行解密,得到第二明文通话数据,包括:
接收被叫侧终端发送的第二加密通话数据和第二认证事务标识;
根据第二认证事务标识,确定被叫侧终端对应的第二加密密钥;
根据第二加密密钥对第二加密通话数据进行解密,得到第二明文通话数据。
被叫侧终端向安全控制中心发送第二加密通话数据时还携带其对应的第二认证事务标识,便于安全控制中心根据第二认证事务标识确定被叫侧终端在本次加密通话中对应的第二加密密钥,并根据第二加密密钥对第二加密通话数据进行解密。
基于第一认证事务标识和第二认证事务标识的绑定关系,在具体实施中,步骤260中根据第一加密密钥对第二明文通话数据进行加密,得到第四加密通话数据,包括:
根据第一认证事务标识和第二认证事务标识的绑定关系,确定主叫侧终端对应的第一加密密钥;
根据第一加密密钥对第二明文通话数据进行加密,得到第四加密通话数据。
图3为本申请实施例提供的一种加密通话装置的框图,如图3所示,该装置至少包括以下部分。
查询单元310,用于响应于主叫侧终端在确认发起加密通话后发送的第一加密请求,向主叫侧终端对应的第一认证平台查询主叫侧终端对应的第一加密密钥。
查询单元310还用于响应于被叫侧终端在确认使用加密通话后发送的第二加密请求,向被叫侧终端对应的第二认证平台查询被叫侧终端对应的第二加密密钥。
加密单元320,用于响应于主叫侧终端发送的第一加密通话数据,根据第一加密密钥对第一加密通话数据进行解密,得到第一明文通话数据。
加密单元320还用于根据第二加密密钥对第一明文通话数据进行加密,得到第三加密通话数据,并将第三加密通话数据发送至被叫侧终端,以供被叫侧终端根据第二加密密钥解密第三加密通话数据得到第一明文通话数据。
加密单元320还用于响应于被叫侧终端发送的第二加密通话数据,根据第二加密密钥对第二加密通话数据进行解密,得到第二明文通话数据。
加密单元320还用于根据第一加密密钥对第二明文通话数据进行加密,得到第四加密通话数据,并将第四加密通话数据发送至主叫侧终端,以供主叫侧终端根据第一加密密钥解密第四加密通话数据得到第二明文通话数据。
本申请实施例通过安全控制平台装置查询和存储通话双方各自的加密密钥,并在接收到一方的加密通话数据后通过该方的加密密钥进行解密后再利用对方的加密密钥进行加密,生成对方能够解密的通话数据。通话双方无需进行端到端的会话密钥协商,即通话双方不需要使用相同加密方式的终端或手机卡,实现对多种加密方式终端的兼容,扩大加密通信的终端适用范围。
需要说明的是,本申请实施例中加密通话装置用于执行上述应用于安全控制平台的加密通话方法,加密通话装置未详尽描述的技术细节可参照应用于安全控制平台的加密通话方法中的技术细节描述。
图4为本申请实施例提供的应用于主叫侧终端的一种加密通话方法的流程图,如图4所示,该方法至少包括以下步骤。
步骤410:检测到确认使用加密通话的指示后,向第一认证平台发送第一密钥协商请求。
主叫侧终端的用户需要发起加密通话时,可以通过密话按键(硬键或屏幕软键)确认发起加密通话,进而主叫侧终端向其对应的认证平台发起密钥协商,以获取主叫侧终端对应的加密密钥。
步骤420:响应于第一认证平台发送的第一密钥协商响应消息,向安全控制平台发送第一加密请求,以使安全控制平台向第一认证平台查询主叫侧终端对应的第一密钥。
根据终端和认证平台之间的密钥协商方式的不同,密钥协商响应消息中可以包含加密密钥,也可以包含用于生成加密密钥的密钥参数。
值得注意的是,主叫侧终端可能与第一认证平台密钥协商失败,第一认证平台返回密钥协商失败消息。主叫侧终端的用户可以选择放弃通话或者选择使用非加密通话。若主叫侧终端选择使用非加密通话,则其直接向被叫侧发送通话请求消息并在成功建立通话后将明文通话数据发送至安全控制平台。
在具体实施中主叫终端可以预先设置安全控制平台的域名,并在第一加密请求携带安全控制平台的域名,主叫侧终端所在的通信网络(如IMS系统)可以根据安全控制平台的域名将第一加密请求路由到安全控制平台。
在具体实施中,主叫终端也可以将第一加密请求发送至主叫侧终端所在的通信网络的接入网元(如IMS系统中的P-CSCF(Proxy-Call Session Control Funtion)网元),由主叫侧终端所在的通信网络将第一加密请求重定向到安全控制平台。
步骤430:响应于安全控制平台发送的对于第一加密请求的确认消息,向被叫侧终端发送通话请求。
安全控制平台在成功查询得到主叫侧终端对应的加密密钥后,可以向主叫侧终端发送对于第一加密请求的确认消息。主叫侧终端收到第一加密请求的确认消息,则确定其可以使用加密通信,并向被叫侧终端发送通话请求消息,例如,IMS系统中的主叫侧向被叫侧发送的invite消息。
若安全控制平台未成功查询得到主叫侧终端对应的加密密钥后,可以向主叫侧终端发送拒绝加密通话消息。主叫侧终端的用户可以选择放弃通话或者选择使用非加密通话。若主叫侧终端选择使用非加密通话,则其后续在成功建立通话后直接将明文通话数据发送至安全控制平台。被叫侧终端不受主叫侧终端获取加密密钥失败的影响。
步骤440:响应于被叫侧终端发送的通话确认消息,根据第一加密密钥对第一明文通话数据进行加密,得到第一加密通话数据。
主叫侧终端接收到被叫侧终端发送的通话确认消息,例如,IMS系统中的被叫侧向主叫侧发送的ok消息,意味着通话双方建立通话成功,双方可以开始进行通话。主叫侧可以向安全控制平台发送加密后的通话数据。
步骤450:向安全控制平台发送第一加密通话数据,以使安全控制平台根据第一加密密钥对第一加密通话数据进行解密,得到第一明文通话数据,并根据第二加密密钥对第一明文通话数据进行加密,得到第三加密通话数据,并将第三加密通话数据发送至被叫侧终端,以供被叫侧终端根据第二加密密钥解密第三加密通话数据得到第一明文通话数据。
步骤460:接收安全控制平台发送的第四加密通话数据,并根据第一加密密钥解密第四加密通话数据得到第二明文通话数据,第四加密通话数据为安全控制平台根据第一加密密钥对被叫侧终端的第二明文通话数据进行加密得到的。
本申请实施例通话双方均与安全控制平台进行交互,通过安全控制平台查询和存储通话双方各自的加密密钥,通话双方分别将加密通话数据发送至安全控制平台,安全控制平台在接收到一方的加密通话数据后通过该方的加密密钥进行解密后再利用对方的加密密钥进行加密,生成对方能够解密的通话数据。通话双方无需进行端到端的会话密钥协商,即通话双方不需要使用相同加密方式的终端或手机卡,实现对多种加密方式终端的兼容,扩大加密通信的终端适用范围。
进一步,本申请实施例通过安全控制平台这个中间角色来响应和处理通话双方的加密请求,通信双方之间对对方的加密状态无感知。即使通信一方获取加密密钥失败,获取加密密钥失败的一方可以使用非加密通信,获取加密密钥成功的一方仍可以使用加密通信,由安全控制平台将使用加密通信一方的加密通话数据解密后发送至获取加密密钥失败的一方,通信双方仍然可以继续进行通话。
本申请实施例通话一方无需同步另一方的加密状态,因此无需对对方的加密状态进行复杂的逻辑判断,避免相关加密通话系统中因通话某一方获取会话密钥失败而导致的无效话音问题,提高加密通信业务的成功率。
为了使安全控制平台可以查询得到主叫侧终端的第一加密密钥,在具体实施中,第一密钥协商响应消息包括第一认证事务标识,第一加密请求包括:主叫侧终端对应的第一加密类型以及第一认证事务标识;
响应于第一认证平台发送的第一密钥,向安全控制平台发送第一加密请求,以使安全控制平台向第一认证平台查询主叫侧终端对应的第一密钥,包括:
响应于第一认证平台发送的第一密钥协商响应消息,向安全控制平台发送第一加密请求,以使所述安全控制平台根据加密类型与认证平台的对应关系以及第一加密类型,确定主叫侧终端对应的第一认证平台,并根据第一认证事务标识,向第一认证平台查询主叫侧终端对应的第一加密密钥。
图5为本申请实施例提供的应用于被叫侧终端的一种加密通话方法的流程图,如图5所示,该方法至少包括以下步骤。
步骤510:接收到主叫侧终端发送的通话请求,并检测到确认使用加密通话的指示后,向第二认证平台发送第二密钥协商请求。
被叫侧终端在接听界面显示主叫终端来电,被叫侧终端的用户可以通过密话按键确认使用加密通话,进而被叫侧终端向其对应的认证平台发起密钥协商,获取被叫侧终端对应的加密密钥。
步骤520:响应于第二认证平台发送的第二密钥协商响应消息,向安全控制平台发送第二加密请求,以使安全控制平台向第二认证平台查询被叫侧终端对应的第二加密密钥。
需要说明的是,第二加密请求还携带主被叫信息,便于安全控制平台获悉本次通话的通话双方,将主被叫绑定同一加密通话中。
步骤530:响应于安全控制平台发送的对于第二加密请求的确认消息,向主叫侧终端发送通话确认消息。
与主叫侧与安全控制平台的交互类似,被叫侧终端也可能收到安全控制平台的第一加密请求确认消息或者拒绝加密通话消息。若安全控制平台向主叫侧终端发送拒绝加密通话消息,被叫侧终端的用户可以选择放弃通话或者选择使用非加密通话。若被叫侧终端选择使用非加密通话,则其后续在成功建立通话后直接将明文通话数据发送至安全控制平台。主叫侧终端不受被叫侧终端获取加密密钥失败的影响。
步骤540:根据第二加密密钥对第二明文通话数据进行加密,得到第二加密通话数据。
步骤550:向安全控制平台发送第二加密通话数据,以使安全控制平台根据第二加密密钥对第二加密通话数据进行解密,得到第二明文通话数据,并根据第一加密密钥对第二明文通话数据进行加密,得到第四加密通话数据,并将第四加密通话数据发送至主叫侧终端,以供主叫侧终端根据第一加密密钥解密第四加密通话数据得到第二明文通话数据。
步骤560:接收安全控制平台发送的第三加密通话数据,并根据第二加密密钥解密第三加密通话数据得到第一明文通话数据,第三加密通话数据为安全控制平台根据第一加密密钥对主叫侧终端的第一明文通话数据进行加密得到的。
考虑到被叫侧终端用户在接听界面直接确认不使用加密通话的场景,本申请的加密通话方法还包括以下步骤。
接收到主叫侧终端发送的通话请求,并获取到确认使用非加密通话的指示后,向主叫侧终端发送通话确认消息;
向安全控制平台发送第二明文通话数据,以使安全控制平台将第二明文通话数据发送至主叫侧终端;
接收安全控制平台发送的第一明文通话数据,第一明文通话数据为安全控制平台根据主叫侧终端的第一加密密钥对主叫侧终端的第一加密通话数据进行解密得到的。
本申请实施例通话双方均与安全控制平台进行交互,通过安全控制平台查询和存储通话双方各自的加密密钥,通话双方分别将加密通话数据发送至安全控制平台,安全控制平台在接收到一方的加密通话数据后通过该方的加密密钥进行解密后再利用对方的加密密钥进行加密,生成对方能够解密的通话数据。通话双方无需进行端到端的会话密钥协商,即通话双方不需要使用相同加密方式的终端或手机卡,实现对多种加密方式终端的兼容,扩大加密通信的终端适用范围。
进一步,本申请实施例通过安全控制平台这个中间角色来响应和处理通话双方的加密请求,通信双方之间对对方的加密状态无感知。即使通信一方获取加密密钥失败,获取加密密钥失败的一方可以使用非加密通信,获取加密密钥成功的一方仍可以使用加密通信,由安全控制平台将使用加密通信一方的加密通话数据解密后发送至获取加密密钥失败的一方,通信双方仍然可以继续进行通话。
本申请实施例通话一方无需同步另一方的加密状态,因此无需对对方的加密状态进行复杂的逻辑判断,避免相关加密通话系统中因通话某一方获取会话密钥失败而导致的无效话音问题,提高加密通信业务的成功率。
综合上述关于加密通话系统和应用于安全控制平台、主被叫终端的加密通话方法的介绍,图6为本申请实施例提供的一种加密通话系统的信令交互流程图,如图6所示,该系统中各网元之间的信令交互至少包括以下步骤。
步骤610:主叫侧终端检测到确认使用加密通话的指示后,向第一认证平台发送第一密钥协商请求。
步骤620:第一认证平台向主叫侧终端发送第一密钥协商响应消息。
步骤630:主叫侧终端向安全控制平台发送第一加密请求。
步骤640:安全控制平台向第一认证平台查询主叫侧终端对应的第一加密密钥。
步骤650:安全控制平台向主叫侧终端发送针对第一加密请求的确认消息。
步骤660:主叫侧终端向被叫侧终端发送通话请求消息。
步骤670:被叫侧终端检测到确认使用加密通话的指示后,向第二认证平台发送第二密钥协商请求。
步骤680:第二认证平台向被叫侧终端发送第二密钥协商响应消息。
步骤690:被叫侧终端向安全控制平台发送第二加密请求。
步骤6100:安全控制平台向第二认证平台查询被叫侧终端对应的第二加密密钥。
步骤6110:安全控制平台向被叫侧终端发送针对第二加密请求的确认消息。
步骤6120:被叫侧终端向主叫侧终端发送通话确认消息。
步骤6130:主叫侧终端向安全控制平台发送第一加密通话数据,根据第一加密密钥对第一加密通话数据进行解密,得到第一明文通话数,并据根据第二加密密钥对第一明文通话数据进行加密,得到第三加密通话数据。
步骤6140:安全控制平台将第三加密通话数据发送至被叫侧终端,以供被叫侧终端根据第二加密密钥解密第三加密通话数据得到第一明文通话数据。
步骤6150:安全控制平台将被叫侧终端发送的第二加密通话数据,根据第二加密密钥对第二加密通话数据进行解密,得到第二明文通话数据,并根据第一加密密钥对第二明文通话数据进行加密,得到第四加密通话数据。
步骤6160:安全控制平台将第四加密通话数据发送至主叫侧终端,以供主叫侧终端根据第一加密密钥解密第四加密通话数据得到第二明文通话数据。
在具体实施中,主被叫侧终端可以基于VoLTE或者VoNR等通信网络进行语音或者视频通话。安全控制平台可以设置为VoLTE或者VoNR等通信网络中的IMS(IP MultimediaSubsystem)系统中一个单独的网元,也可以与IMS系统中的应用服务器集成在一起。
本申请实施例通过安全控制平台查询和存储通话双方各自的加密密钥,并在接收到一方的加密通话数据后通过该方的加密密钥进行解密后再利用对方的加密密钥进行加密,生成对方能够解密的通话数据。通话双方无需进行端到端的会话密钥协商,即通话双方不需要使用相同加密方式的终端或手机卡,实现对多种加密方式终端的兼容,扩大加密通信的终端适用范围。
进一步,本申请实施例通过安全控制平台这个中间角色来响应和处理通话双方的加密请求,通信双方之间对对方的加密状态无感知。即使通信一方获取加密密钥失败,获取加密密钥失败的一方可以使用非加密通信,获取加密密钥成功的一方仍可以使用加密通信,由安全控制平台将使用加密通信一方的加密通话数据解密后发送至获取加密密钥失败的一方,通信双方仍然可以继续进行通话。
本申请实施例通话一方无需同步另一方的加密状态,因此无需对对方的加密状态进行复杂的逻辑判断,避免相关加密通话系统中因通话某一方获取会话密钥失败而导致的无效话音问题,提高加密通信业务的成功率。
本申请实施例还提供一种计算机设备,包括程序或指令,当所述程序或指令被执行时,用以执行本申请实施例提供的一种加密通话方法及任一可选方法。
本申请实施例还提供一种存储介质,包括程序或指令,当所述程序或指令被执行时,用以执行本申请实施例提供的一种加密通话方法及任一可选方法。
最后应说明的是:本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
以上仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易向到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (12)
1.一种加密通话方法,其特征在于,应用于安全控制平台,所述方法包括:
响应于主叫侧终端在确认发起加密通话后发送的第一加密请求,向所述主叫侧终端对应的第一认证平台查询所述主叫侧终端对应的第一加密密钥;
响应于被叫侧终端在确认使用加密通话后发送的第二加密请求,向所述被叫侧终端对应的第二认证平台查询所述被叫侧终端对应的第二加密密钥;其中,所述第一认证平台和所述第二认证平台不同,所述第一认证平台和所述主叫侧终端的密钥协商方式与所述第二认证平台和所述被叫侧终端的密钥协商方式不同;所述主叫侧终端和所述被叫侧终端基于VoLTE或者VoNR通信网络进行语音或者视频通话;
响应于所述主叫侧终端通过RTP数据流发送的第一加密通话数据,根据所述第一加密密钥对所述第一加密通话数据进行解密,得到第一明文通话数据;
根据所述第二加密密钥对所述第一明文通话数据进行加密,得到第三加密通话数据,并将所述第三加密通话数据重新封装为RTP数据流,并将重新封装的RTP数据流发送至所述被叫侧终端,以供所述被叫侧终端根据所述第二加密密钥解密所述第三加密通话数据得到所述第一明文通话数据;
响应于所述被叫侧终端发送的第二加密通话数据,根据所述第二加密密钥对所述第二加密通话数据进行解密,得到第二明文通话数据;
根据所述第一加密密钥对所述第二明文通话数据进行加密,得到第四加密通话数据,并将所述第四加密通话数据发送至所述主叫侧终端,以供所述主叫侧终端根据所述第一加密密钥解密所述第四加密通话数据得到所述第二明文通话数据。
2.如权利要求1所述的加密通话方法,其特征在于,所述第一加密请求包括:所述主叫侧终端对应的第一加密类型以及第一认证事务标识;所述第二加密请求包括:第二加密类型以及第二认证事务标识;
所述向所述主叫侧终端对应的第一认证平台查询所述主叫侧终端对应的第一加密密钥,包括:
根据加密类型与认证平台的对应关系以及所述第一加密类型,确定所述主叫侧终端对应的第一认证平台;
根据所述第一认证事务标识,向所述第一认证平台查询所述主叫侧终端对应的第一加密密钥;
所述向所述被叫侧终端对应的第二认证平台查询所述被叫侧终端对应的第二加密密钥,包括:
根据加密类型与认证平台的对应关系以及所述第二加密类型,确定所述被叫侧终端对应的第二认证平台;
根据所述第二认证事务标识,向所述被叫侧终端对应的第二认证平台查询所述被叫侧终端对应的第二加密密钥。
3.如权利要求2所述的加密通话方法,其特征在于,所述第二加密请求还包括:主被叫信息;所述方法还包括:
根据所述主被叫信息,绑定所述第一认证事务标识和所述第二认证事务标识,以将所述主叫侧终端和所述被叫侧终端绑定至同一加密通话中。
4.如权利要求1所述的加密通话方法,其特征在于,所述向所述主叫侧终端对应的第一认证平台查询所述主叫侧终端对应的第一加密密钥之后,所述方法还包括:
向所述主叫侧终端发送对于所述第一加密请求的确认消息。
5.一种加密通话装置,其特征在于,所述装置包括:
查询单元,用于响应于主叫侧终端在确认发起加密通话后发送的第一加密请求,向所述主叫侧终端对应的第一认证平台查询所述主叫侧终端对应的第一加密密钥;
所述查询单元还用于响应于被叫侧终端在确认使用加密通话后发送的第二加密请求,向所述被叫侧终端对应的第二认证平台查询所述被叫侧终端对应的第二加密密钥;其中,所述第一认证平台和所述第二认证平台不同,所述第一认证平台和所述主叫侧终端的密钥协商方式与所述第二认证平台和所述被叫侧终端的密钥协商方式不同;所述主叫侧终端和所述被叫侧终端基于VoLTE或者VoNR通信网络进行语音或者视频通话;
加密单元,用于响应于所述主叫侧终端通过RTP数据流发送的第一加密通话数据,根据所述第一加密密钥对所述第一加密通话数据进行解密,得到第一明文通话数据;
所述加密单元还用于根据所述第二加密密钥对所述第一明文通话数据进行加密,得到第三加密通话数据,并将所述第三加密通话数据重新封装为RTP数据流,并将重新封装的RTP数据流发送至所述被叫侧终端,以供所述被叫侧终端根据所述第二加密密钥解密所述第三加密通话数据得到所述第一明文通话数据;
所述加密单元还用于响应于所述被叫侧终端发送的第二加密通话数据,根据所述第二加密密钥对所述第二加密通话数据进行解密,得到第二明文通话数据;
所述加密单元还用于根据所述第一加密密钥对所述第二明文通话数据进行加密,得到第四加密通话数据,并将第四加密通话数据发送至所述主叫侧终端,以供所述主叫侧终端根据所述第一加密密钥解密所述第四加密通话数据得到所述第二明文通话数据。
6.一种加密通话方法,应用于主叫侧终端,其特征在于,所述方法包括:
检测到发起加密通话的指示后,向第一认证平台发送第一密钥协商请求;
响应于所述第一认证平台发送的第一密钥协商响应消息,向安全控制平台发送第一加密请求,以使所述安全控制平台向所述第一认证平台查询所述主叫侧终端对应的第一加密密钥;
响应于所述安全控制平台发送的对于所述第一加密请求的确认消息,向被叫侧终端发送通话请求;
响应于所述被叫侧终端发送的通话确认消息,根据所述第一加密密钥对第一明文通话数据进行加密,得到第一加密通话数据;
通过RTP数据流向所述安全控制平台发送所述第一加密通话数据,以使所述安全控制平台根据所述第一加密密钥对所述第一加密通话数据进行解密,得到所述第一明文通话数据,并根据第二加密密钥对所述第一明文通话数据进行加密,得到第三加密通话数据,并将所述第三加密通话数据重新封装为RTP数据流,并将重新封装的RTP数据流发送至所述被叫侧终端,以供所述被叫侧终端根据所述第二加密密钥解密所述第三加密通话数据得到所述第一明文通话数据;其中,所述第二加密密钥是所述安全控制平台向所述被叫侧终端对应的第二认证平台查询得到的,所述第一认证平台和所述第二认证平台不同,所述第一认证平台和所述主叫侧终端的密钥协商方式与所述第二认证平台和所述被叫侧终端的密钥协商方式不同;所述主叫侧终端和所述被叫侧终端基于VoLTE或者VoNR通信网络进行语音或者视频通话;
接收所述安全控制平台发送的第四加密通话数据,并根据所述第一加密密钥解密所述第四加密通话数据得到第二明文通话数据,所述第四加密通话数据为所述安全控制平台根据所述第一加密密钥对所述被叫侧终端的第二明文通话数据进行加密后发送至所述主叫侧终端而得到的。
7.如权利要求6所述的加密通话方法,其特征在于,所述第一密钥协商响应消息包括第一认证事务标识,所述第一加密请求包括:所述主叫侧终端对应的第一加密类型以及第一认证事务标识;
所述响应于所述第一认证平台发送的第一密钥协商响应消息,向安全控制平台发送第一加密请求,以使所述安全控制平台向所述第一认证平台查询所述主叫侧终端对应的第一加密密钥,包括:
响应于所述第一认证平台发送的第一密钥协商响应消息,向所述安全控制平台发送第一加密请求,以使所述安全控制平台根据加密类型与认证平台的对应关系以及所述第一加密类型,确定所述主叫侧终端对应的第一认证平台,并根据所述第一认证事务标识,向所述第一认证平台查询所述主叫侧终端对应的第一加密密钥。
8.一种加密通话方法,应用于被叫侧终端,其特征在于,所述方法包括:
接收到主叫侧终端发送的通话请求,并检测到使用加密通话的指示后,向第二认证平台发送第二密钥协商请求;
响应于所述第二认证平台发送的第二密钥协商响应消息,向安全控制平台发送第二加密请求,以使所述安全控制平台向所述第二认证平台查询所述被叫侧终端对应的第二加密密钥;
响应于所述安全控制平台发送的对于所述第二加密请求的确认消息,向所述主叫侧终端发送通话确认消息;
根据所述第二加密密钥对第二明文通话数据进行加密,得到第二加密通话数据;
向所述安全控制平台发送所述第二加密通话数据,以使所述安全控制平台根据所述第二加密密钥对所述第二加密通话数据进行解密,得到所述第二明文通话数据,并根据第一加密密钥对所述第二明文通话数据进行加密,得到第四加密通话数据,并将所述第四加密通话数据发送至所述主叫侧终端,以供所述主叫侧终端根据所述第一加密密钥解密所述第四加密通话数据得到所述第二明文通话数据;其中,所述第一加密密钥是所述安全控制平台向所述主叫侧终端对应的第一认证平台查询得到的,所述第一认证平台和所述第二认证平台不同,所述第一认证平台和所述主叫侧终端的密钥协商方式与所述第二认证平台和所述被叫侧终端的密钥协商方式不同;所述主叫侧终端和所述被叫侧终端基于VoLTE或者VoNR通信网络进行语音或者视频通话;
接收所述安全控制平台发送的第三加密通话数据,并根据所述第二加密密钥解密所述第三加密通话数据得到第一明文通话数据,所述第三加密通话数据为所述安全控制平台根据所述第一加密密钥对所述主叫侧终端的第一明文通话数据进行加密后重新封装为RTP数据流,并将重新封装的RTP数据流发送至所述被叫侧终端而得到的。
9.如权利要求8所述的加密通话方法,其特征在于,所述方法还包括:
接收到所述主叫侧终端发送的通话请求,并检测到使用非加密通话的指示后,向所述主叫侧终端发送所述通话确认消息;
向所述安全控制平台发送所述第二明文通话数据,以使所述安全控制平台将所述第二明文通话数据发送至所述主叫侧终端;
接收所述安全控制平台发送的第一明文通话数据,所述第一明文通话数据为所述安全控制平台根据所述主叫侧终端的第一加密密钥对所述主叫侧终端的第一加密通话数据进行解密得到的。
10.一种加密通话系统,其特征在于,所述系统包括主叫侧终端、被叫侧终端、第一认证平台、第二认证平台以及安全控制平台;
所述第一认证平台用于与所述主叫侧终端进行密钥协商;
所述第二认证平台用于与所述被叫侧终端进行密钥协商;其中,所述第一认证平台和所述第二认证平台不同,所述第一认证平台和所述主叫侧终端的密钥协商方式与所述第二认证平台和所述被叫侧终端的密钥协商方式不同;所述主叫侧终端和所述被叫侧终端基于VoLTE或者VoNR通信网络进行语音或者视频通话;
所述安全控制平台用于向所述第一认证平台查询所述主叫侧终端对应的第一加密密钥,向所述被叫侧终端对应的第二认证平台查询所述被叫侧终端对应的第二加密密钥;
所述安全控制平台还用于根据所述第一加密密钥对所述主叫侧终端通过RTP数据流发送的第一加密通话数据进行解密后再利用所述第二加密密钥进行加密,得到第三加密通话数据,并将所述第三加密通话数据重新封装为RTP数据流,并将重新封装的RTP数据流发送至所述被叫侧终端,以供所述被叫侧终端根据所述第二加密密钥解密所述第三加密通话数据得到所述主叫侧终端对应的第一明文通话数据;
所述安全控制平台还用于根据所述第二加密密钥对所述被叫侧终端发送的第二加密通话数据进行解密后再利用第一加密密钥进行加密,得到第四加密通话数据,并将所述第四加密通话数据发送至所述主叫侧终端,以供所述主叫侧终端根据所述第一加密密钥解密所述第四加密通话数据得到所述被叫侧终端对应的第二明文通话数据。
11.一种电子设备,其特征在于,所述电子设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至4、6至7或8至9中任一项所述的数据处理方法的步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4、6至7或8至9中任一项所述的数据处理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210400133.2A CN114760625B (zh) | 2022-04-15 | 2022-04-15 | 加密通话方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210400133.2A CN114760625B (zh) | 2022-04-15 | 2022-04-15 | 加密通话方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114760625A CN114760625A (zh) | 2022-07-15 |
CN114760625B true CN114760625B (zh) | 2024-03-01 |
Family
ID=82331217
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210400133.2A Active CN114760625B (zh) | 2022-04-15 | 2022-04-15 | 加密通话方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114760625B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101197674A (zh) * | 2007-12-10 | 2008-06-11 | 华为技术有限公司 | 加密通信方法、服务器及加密通信系统 |
WO2016107583A1 (zh) * | 2014-12-31 | 2016-07-07 | 天地融科技股份有限公司 | 呼叫方法及系统、固定电话机 |
CN106713261A (zh) * | 2015-11-17 | 2017-05-24 | 中国移动通信集团公司 | 一种VoLTE加密呼叫标识方法、装置及系统 |
CN106899969A (zh) * | 2017-01-18 | 2017-06-27 | 东南大学常州研究院 | 基于iOS系统的特定保密终端系统实现方法 |
CN107733836A (zh) * | 2016-08-11 | 2018-02-23 | 中国电信股份有限公司 | VoLTE与移动通信系统的加密语音互通方法及系统 |
CN107979836A (zh) * | 2016-10-21 | 2018-05-01 | 中国移动通信有限公司研究院 | 一种应用于VoLTE的加密通话方法及装置 |
US10484372B1 (en) * | 2015-12-14 | 2019-11-19 | Amazon Technologies, Inc. | Automatic replacement of passwords with secure claims |
CN111884802A (zh) * | 2020-08-25 | 2020-11-03 | 中移(杭州)信息技术有限公司 | 媒体流加密传输方法、系统、终端和电子设备 |
CN112995322A (zh) * | 2021-03-04 | 2021-06-18 | Oppo广东移动通信有限公司 | 信息传输通道建立方法、装置、存储介质以及终端 |
CN114338618A (zh) * | 2020-10-10 | 2022-04-12 | 中国电信股份有限公司 | 多方通话的方法、系统、会议服务器以及电子设备 |
-
2022
- 2022-04-15 CN CN202210400133.2A patent/CN114760625B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101197674A (zh) * | 2007-12-10 | 2008-06-11 | 华为技术有限公司 | 加密通信方法、服务器及加密通信系统 |
WO2016107583A1 (zh) * | 2014-12-31 | 2016-07-07 | 天地融科技股份有限公司 | 呼叫方法及系统、固定电话机 |
CN106713261A (zh) * | 2015-11-17 | 2017-05-24 | 中国移动通信集团公司 | 一种VoLTE加密呼叫标识方法、装置及系统 |
US10484372B1 (en) * | 2015-12-14 | 2019-11-19 | Amazon Technologies, Inc. | Automatic replacement of passwords with secure claims |
CN107733836A (zh) * | 2016-08-11 | 2018-02-23 | 中国电信股份有限公司 | VoLTE与移动通信系统的加密语音互通方法及系统 |
CN107979836A (zh) * | 2016-10-21 | 2018-05-01 | 中国移动通信有限公司研究院 | 一种应用于VoLTE的加密通话方法及装置 |
CN106899969A (zh) * | 2017-01-18 | 2017-06-27 | 东南大学常州研究院 | 基于iOS系统的特定保密终端系统实现方法 |
CN111884802A (zh) * | 2020-08-25 | 2020-11-03 | 中移(杭州)信息技术有限公司 | 媒体流加密传输方法、系统、终端和电子设备 |
CN114338618A (zh) * | 2020-10-10 | 2022-04-12 | 中国电信股份有限公司 | 多方通话的方法、系统、会议服务器以及电子设备 |
CN112995322A (zh) * | 2021-03-04 | 2021-06-18 | Oppo广东移动通信有限公司 | 信息传输通道建立方法、装置、存储介质以及终端 |
Also Published As
Publication number | Publication date |
---|---|
CN114760625A (zh) | 2022-07-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9537837B2 (en) | Method for ensuring media stream security in IP multimedia sub-system | |
KR101438243B1 (ko) | Sim 기반 인증방법 | |
US20150089220A1 (en) | Technique For Bypassing an IP PBX | |
CN100466805C (zh) | 一种端到端加密语音通信的方法 | |
US7764945B2 (en) | Method and apparatus for token distribution in session for future polling or subscription | |
CN101232368B (zh) | 一种分配媒体流密钥的方法和多媒体子系统 | |
CN105025475B (zh) | 面向Android系统的移动保密终端实现方法 | |
WO2011022999A1 (zh) | 一种终端对视频会议数据进行加密的方法及系统 | |
CN104683098A (zh) | 一种保密通信业务的实现方法、设备及系统 | |
US20090070586A1 (en) | Method, Device and Computer Program Product for the Encoded Transmission of Media Data Between the Media Server and the Subscriber Terminal | |
CN1983921B (zh) | 一种端到端媒体流安全的实现方法及系统 | |
WO2016179923A1 (zh) | 一种加密通话的处理方法、装置、终端及kmc | |
CN107251512B (zh) | 用于建立安全通信会话的方法、设备和系统 | |
CN1881869B (zh) | 一种实现加密通信的方法 | |
CN111404865A (zh) | Ims系统加密通话方法、网络设备、终端及系统 | |
CN101001143A (zh) | 一种终端设备对系统设备进行认证的方法 | |
CN101547269A (zh) | 呼叫控制方法和语音终端 | |
WO2017197968A1 (zh) | 一种数据传输方法及装置 | |
CN114760625B (zh) | 加密通话方法、装置及系统 | |
CN101222612A (zh) | 一种安全传输媒体流的方法和系统 | |
CN108271132B (zh) | 一种语音加密电话呼叫方法 | |
CN105636028A (zh) | 视频数据传输方法、装置及无线终端 | |
CN104753869A (zh) | 基于sip协议的通话加密方法 | |
KR20190077353A (ko) | 통신 장치, 통신 방법, 및 프로그램 | |
CN114040385A (zh) | 一种基于VoLTE的加密通话系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |