CN115361678A - VoLTE语音加密优化实现方法、终端及系统 - Google Patents

VoLTE语音加密优化实现方法、终端及系统 Download PDF

Info

Publication number
CN115361678A
CN115361678A CN202210992026.3A CN202210992026A CN115361678A CN 115361678 A CN115361678 A CN 115361678A CN 202210992026 A CN202210992026 A CN 202210992026A CN 115361678 A CN115361678 A CN 115361678A
Authority
CN
China
Prior art keywords
ciphertext
terminal
encryption
voice data
call
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210992026.3A
Other languages
English (en)
Inventor
王丙磊
陈文俊
赵鹏
米鹏伟
罗俊
王建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Quantum Technology Co ltd
Original Assignee
China Telecom Quantum Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Quantum Technology Co ltd filed Critical China Telecom Quantum Technology Co ltd
Priority to CN202210992026.3A priority Critical patent/CN115361678A/zh
Publication of CN115361678A publication Critical patent/CN115361678A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/06Optimizing the usage of the radio link, e.g. header compression, information sizing, discarding information
    • H04W28/065Optimizing the usage of the radio link, e.g. header compression, information sizing, discarding information using assembly or disassembly of packets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开一种VoLTE语音加密优化实现方法、终端及系统,属于无线通信技术领域,方法包括第一终端对数据长度大于加密分组字节的语音数据帧进行切分,得到第二语音数据和至少一组第一语音数据;采用CBC加密模式,使用密钥K和IV对第一语音数据进行加密,获得第一密文;对于第二语音数据,采用ECB加密模式,使用密钥K对与其相邻的第一语音数据加密密文进行加密,得到Kiv_1;按照第二语音数据的长度截取所述Kiv_1,将截取密文与第二语音数据做异或处理,得到第二密文;将第一密文与第二密文进行拼接,得到通话密文,并发送至第二终端,实现加密通话。本发明实现加密方式从ECB到CBC的加密转换,提升VoLTE语音通话的安全性。

Description

VoLTE语音加密优化实现方法、终端及系统
技术领域
本发明涉及无线通信技术领域,具体涉及一种VoLTE语音加密优化实现方法、终端及系统。
背景技术
超语音长期演进(Voice overLong Term Evolution,VoLTE)是基于IP多媒体子系统(IP Multimedia Subsystem,IMS)的语音业务,是一种IP数据传输技术。VoLTE无需2G/3G网,全部业务承载于4G网络上,可实现接通等待时间更短,以及更高质量、更自然的语音视频通话效果。
VoLTE采用AMR语音编解码方案,AMR是语音编码的一种音频数据压缩优化方案,目前广泛用于无线接入网(GSM EDGE Radio Access Network,GERAN)和通用移动通信系统陆地接入网络(UMTS Terrestrial Radio Access Network,UTRAN)。AMR编码包括AMR-WB(Adaptive Multi Rate Wide Band)和AMR-NB(Adaptive Multi Rate Narrow Band)两种语音编码方式,其中,AMR-NB有8种语音编码率,AMR-WB有9种语音编码率:
(1)AMR-NB:12.2kbit/s、10.2kbit/s、7.95kbit/s、7.4kbit/s、6.7kbit/s、5.9kbit/s、5.15kbit/s、4.75kbit/s。
(2)AMR-WB:23.85kbit/s、23.05kbit/s、19.85kbit/s、18.25kbit/s、15.85kbit/s、14.25kbit/s、12.65kbit/s、8.85kbit/s、6.6kbit/s。
其中,AMR-NB采用20MS话音帧,采样频率为8KHZ,每帧对应160个采样点。针对AMR-NB12.2kbit/s标准的每一帧的大小为32个字节,但是由于AMR本身的语音帧的第一个字节作为标识位,所以基本能够使用的语音PAYLOAD数据长度为31个字节。
在现有的通话媒体数据加密大多使用算法SM4,模式为CBC分组加密,基于语音通讯方式限制,不能对数据帧做补位操作,导致数据帧中需要补位的最后一个分组无法使用CBC加密。目前采取的措施是使用明文异或不够分组长度(16字节)的数据,但存在算法应用不合规的情况,在一定情况下会存在安全隐患。
相关技术中,公开号为CN105530100A的中国发明专利申请公开了一种VoLTE安全通信方法,通过同时使用对称加密算法RC4和非对称加密算法RSA实现VoLTE通信节点端到端的安全通信。相比该技术,主要区别如下:
(1)该方法主要是对称密钥密钥体系结合国密算法SM4实现端到端的安全性,其发送方和接收方通过对方公钥加密密钥传递再通过私钥对密钥进行解密来完成密钥传递,存在公钥体系随时间流逝密钥安全性降低的问题。
(2)该方法只论述了对语音加解密流程和方法,但是并没有结合当前VOLTE语音基础编码和传输特点,端到端算法加密过程中存在的SM4分组算法限制进行深入分析。
发明内容
本发明所要解决的技术问题在于如何提升VoLTE语音通话的安全性。
本发明通过以下技术手段实现解决上述技术问题的:
一方面,本发明提出了一种VoLTE语音加密优化实现方法,所述方法包括:
第一终端对数据长度大于加密分组字节的语音数据帧进行切分,得到第二语音数据和至少一组第一语音数据,所述第一语音数据为加密分组字节整数倍的语音数据,所述第二语音数据为长度不够加密分组字节的语音数据;
采用CBC加密模式,并使用加密密钥K和IV参数对所述第一语音数据进行加密,获得第一密文,其中,所述加密密钥和所述IV参数为通话双方终端预先协商得到;
对于所述第二语音数据,采用ECB加密模式,使用所述加密密钥K对与其相邻的第一语音数据加密密文进行加密,得到Kiv_1;
按照所述第二语音数据的长度截取所述Kiv_1,并将截取到的密文与所述第二语音数据做异或处理,得到第二密文;
将所述第一密文与所述第二密文进行拼接,得到通话密文,并发送至所述第二终端以供所述第二终端对所述通话密文进行解密,实现加密通话。
本发明使用密钥管理平台或者语音信道方式实现加密初始向量IV的传递,实现加密方式从ECB到CBC的加密转换,解决了ECB模式下不能隐藏明文的模式以及可能对明文进行主动攻击的问题,实现了安全性提升。
进一步地,所述第二终端对所述通话密文进行解密,包括:
对所述通话密文中各组所述第一密文做CBC解密处理,得到第一明文数据;
对所述通话密文中数据长度小于加密分组整数倍的第二密文,采用ECB加密模式,并利用所述加密密钥K对与其相邻第一密文进行加密,得到Kiv_2;
按照所述第二密文的长度截取所述Kiv_2,并将截取到的密文与所述第二密文做异或处理,得到第二明文数据;
将所述第一明文数据和所述第二明文数据进行拼接,得到通话明文。
进一步地,在所述第一终端和所述第二终端进行语音加密通话之前,还包括:
所述第一终端和所述第二终端进行通话密钥协商,获取本次通话的加密密钥K;
所述第一终端和所述第二终端进行通话加密协商,获取本次通话的IV参数。
进一步地,所述第一终端和所述第二终端内均集成有芯片,所述第一终端和所述第二终端进行通话密钥协商,获取本次通话的加密密钥K,包括:
所述第一终端和所述第二终端使用其对应芯片内的密钥作为登录认证密钥,完成到对应的密钥管理平台的身份认证;
所述第一终端向所述第二终端发起语音信令流程,产生本次通话的通话标识,并进行密钥协商,分别向所述密钥管理平台申请密钥,获取本次通话的加密密钥K。
进一步地,所述第一终端和所述第二终端进行通话加密协商,获取本次通话的IV参数,包括:
所述第一终端和所述第二终端向密钥管理平台申请本次通话的IV参数;
所述密钥管理平台根据通话双方终端号码和呼叫时间实时生成本次通话的IV参数,并同步到所述第一终端和所述第二终端。
进一步地,所述第一终端和所述第二终端进行通话加密协商,获取本次通话的IV参数,包括:
所述第一终端和所述第二终端使用语音信道进行IV参数的协商,协商信息包括所述第一终端产生的随机数A和所述第二终端产生的随机数B;
所述第一终端和所述第二终端采用相同计算方式计算出共同的IV参数值,并在语音信息内同步。
进一步地,所述语音数据帧中位于首字节后的两个标志位作为所述IV参数变化状态的传递值,所述变化状态包括00/01/10/11。
此外,本发明还提出了一种oLTE语音加密优化实现终端,所述终端包括:
切分模块,用于对数据长度大于加密分组字节的语音数据帧进行切分,得到第二语音数据和至少一组第一语音数据,所述第一语音数据为加密分组字节整数倍的语音数据,所述第二语音数据为长度不够加密分组字节的语音数据;
第一加密模块,用于采用CBC加密模式,并使用加密密钥K和IV参数对所述第一语音数据进行加密,获得第一密文,其中,所述加密密钥和所述IV参数为通话双方终端预先协商得到;
第二加密模块,用于对于所述第二语音数据,采用ECB加密模式,使用所述加密密钥K对与其相邻的第一语音数据加密密文进行加密,得到Kiv_1;
第一异或模块,用于按照所述第二语音数据的长度截取所述Kiv_1,并将截取到的密文与所述第二语音数据做异或处理,得到第二密文;
第一拼接模块,用于将所述第一密文与所述第二密文进行拼接,得到通话密文,并发送至通话对端以供其对所述通话密文进行解密,实现加密通话。
进一步地,所述终端还包括:
第一解密模块,用于对所述通话密文中各组所述第一密文做CBC解密处理,得到第一明文数据;
第二解密模块,用于对所述通话密文中数据长度小于加密分组整数倍的第二密文,采用ECB加密模式,并利用所述加密密钥K对与其相邻第一密文进行加密,得到Kiv_2;
第二异或模块,用于按照所述第二密文的长度截取所述Kiv_2,并将截取到的密文与所述第二密文做异或处理,得到第二明文数据;
第二拼接模块,将所述第一明文数据和所述第二明文数据进行拼接,得到通话明文。
此外,本发明还提出了一种VoLTE语音加密优化实现系统,所述系统包括:第一终端、第二终端、第一密钥管理平台和第二密钥管理平台,所述第一终端和所述第二终端内均集成有芯片,所述第一终端和所述第二终端均包括:
切分模块,用于对数据长度大于加密分组字节的语音数据帧进行切分,得到第二语音数据和至少一组第一语音数据,所述第一语音数据为加密分组字节整数倍的语音数据,所述第二语音数据为长度不够加密分组字节的语音数据;
第一加密模块,用于采用CBC加密模式,并使用加密密钥K和IV参数对所述第一语音数据进行加密,获得第一密文,其中,所述加密密钥和所述IV参数为通话双方终端预先协商得到;
第二加密模块,用于对于所述第二语音数据,采用ECB加密模式,使用所述加密密钥K对与其相邻的第一语音数据加密密文进行加密,得到Kiv_1;
第一异或模块,用于按照所述第二语音数据的长度截取所述Kiv_1,并将截取到的密文与所述第二语音数据做异或处理,得到第二密文;
第一拼接模块,用于将所述第一密文与所述第二密文进行拼接,得到通话密文,并发送至通话对端以供其对所述通话密文进行解密,实现加密通话。
进一步地,所述第一终端和所述第二终端均还包括:
第一解密模块,用于对所述通话密文中各组所述第一密文做CBC解密处理,得到第一明文数据;
第二解密模块,用于对所述通话密文中数据长度小于加密分组整数倍的第二密文,采用ECB加密模式,并利用所述加密密钥K对与其相邻第一密文进行加密,得到Kiv_2;
第二异或模块,用于按照所述第二密文的长度截取所述Kiv_2,并将截取到的密文与所述第二密文做异或处理,得到第二明文数据;
第二拼接模块,将所述第一明文数据和所述第二明文数据进行拼接,得到通话明文。
进一步地,所述语音数据帧中位于首字节后的两个标志位作为所述IV参数变化状态的传递值,所述变化状态包括00/01/10/11。
本发明的优点在于:
(1)本发明使用密钥管理平台或者语音信道方式实现加密初始向量IV的传递,实现加密方式从ECB到CBC的加密转换,解决了ECB模式下不能隐藏明文的模式以及可能对明文进行主动攻击的问题,实现了安全性提升。
(2)通过该方法实现了对密文和原始明文的等长加密,没有补充字段,满足了语音加密前后字节长度无变化的要求,又进一步提升了安全性。
(3)通过使用AMR语音包桢头的拓展方法,实现了基于初始向量的动态可变,并且由于语音包帧头和IV的动态对应,整个机制无需担心丢包对相邻桢加解密的影响。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明一实施例中VoLTE语音加密优化实现方法的流程示意图;
图2是本发明一实施例中语音数据帧加密示意图;
图3是本发明一实施例中语音数据帧解密示意图;
图4是本发明一实施例中语音数据帧帧头结构图;
图5是本发明另一实施例中VoLTE语音加密优化实现终端的结构示意图;
图6是本发明另一实施例中VoLTE语音加密优化实现系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明第一实施例提出了一种VoLTE语音加密优化实现方法,所述方法包括以下步骤:
S10、第一终端对数据长度大于加密分组字节的语音数据帧进行切分,得到第二语音数据和至少一组第一语音数据,所述第一语音数据为加密分组字节整数倍的语音数据,所述第二语音数据为长度不够加密分组字节的语音数据。
需要说明的是,如图2所示,具体到本实施例中,加密分组字节为16字节的整数倍,即第一组第一语音数据的长度为16字节,第二组第一语音数据的长度为16×2字节,第三组第一语音数据的长度为16×3字节,第n组第一语音数据的长度为16×n字节,语音数据帧划分结果中的最后一组即第n+1组为第二语音数据,其长度小于16个字节。
S20、采用CBC加密模式,并使用加密密钥K和IV参数对所述第一语音数据进行加密,获得第一密文,其中,所述加密密钥和所述IV参数为通话双方终端预先协商得到。
具体地,对于各组第一语音数据,采用CBC模式进行语音数据加密,使用加密密钥K以及本次通话的IV参数,获得第一密文。
S30、对于所述第二语音数据,采用ECB加密模式,使用所述加密密钥K对与其相邻的第一语音数据加密密文进行加密,得到Kiv_1。
具体地,对于长度小于16字节的第二语音数据,取第n组第一语音室护具加密后的密文做IV值,使用加密密钥K加密IV,加密算法为SM4,加密模式采用ECB,获得Kiv_1。
S40、按照所述第二语音数据的长度截取所述Kiv_1,并将截取到的密文与所述第二语音数据做异或处理,得到第二密文。
S50、将所述第一密文与所述第二密文进行拼接,得到通话密文,并发送至所述第二终端以供所述第二终端对所述通话密文进行解密,实现加密通话。
应当理解的是,本实施例逐次对语音数据的每一帧数据进行上述处理,当语音数据的最后一帧数据处理结束后,即可得到完整的通话密文。
本实施例使用密钥管理平台或者语音信道方式实现加密初始向量IV的传递,实现加密方式从ECB到CBC的加密转换,解决了ECB模式下不能隐藏明文的模式以及可能对明文进行主动攻击的问题,提升了VoLTE语音通话的安全性。通过对于尾部不够分组长度的数据进行有效防护,防止明文泄露,且明文与密文等长,能有有效适应各类通信协议,提高本方法的易用性。
本实施例只会在双方通讯过程中传递密钥标识和初始向量IV,这些信息都是可以对外公开的,对密钥安全性无影响,不存在公钥体系随时间流逝密钥安全性降低的问题。并且可以解决端到端算法加密过程中存在的SM4分组算法限制,提升安全性。
在一实施例中,如图3所示,所述第二终端对所述通话密文进行解密,包括以下步骤:
S60、对所述通话密文中各组所述第一密文做CBC解密处理,得到第一明文数据。
S70、对所述通话密文中数据长度小于加密分组整数倍的第二密文,采用ECB加密模式,并利用所述加密密钥K对与其相邻第一密文进行加密,得到Kiv_2。
S80、按照所述第二密文的长度截取所述Kiv_2,并将截取到的密文与所述第二密文做异或处理,得到第二明文数据。
S90、将所述第一明文数据和所述第二明文数据进行拼接,得到通话明文。
本实施例中第二终端作为被叫终端,对第一终端的通话密文进行解密,解密过程与第一终端进行通话数据加密的过程相对应。
在一实施例中,在所述第一终端和所述第二终端进行语音加密通话之前,还包括以下步骤:
S1、所述第一终端和所述第二终端进行通话密钥协商,获取本次通话的加密密钥K。
S2、所述第一终端和所述第二终端进行通话加密协商,获取本次通话的IV参数。
在一实施例中,所述步骤S1,具体包括以下步骤:
S11、所述第一终端和所述第二终端使用其对应芯片内的密钥作为登录认证密钥,完成到对应的密钥管理平台的身份认证。
需要说明的是,第一终端和第二终端启动,分别使用其对应芯片内密钥作为登录认证密钥,整个过程遵循15843.2机制,完成到对应的密钥管理平台的身份认证功能。
S12、所述第一终端向所述第二终端发起语音信令流程,产生本次通话的通话标识,并进行密钥协商,分别向所述密钥管理平台申请密钥,获取本次通话的加密密钥K。
需要说明的是,通话双端进行密钥协商,以本次通话的双方号码以及本次通话的通话标识作为加密通话的唯一标识,向密钥管理平台申请密钥,获取本次通话的加密密钥K。配合安全芯片及其密钥管理方法,实现通话业务的“一话一密”。
在一实施例中,所述步骤S2,具体包括以下步骤:
S21、所述第一终端和所述第二终端向密钥管理平台申请本次通话的IV参数。
S22、所述密钥管理平台根据通话双方终端号码和呼叫时间实时生成本次通话的IV参数,并同步到所述第一终端和所述第二终端。
需要说明的是,第一终端和第二终端完成本次通话的密钥协商后,开始本次通话的加密协商,完成加密参数的协商,协商参数包含本次通话的加密密钥K及本次通话的IV。
需要说明的是,本实施例为了获取加密IV,第一终端和第二终端采用传统密钥协商方式向密钥管理平台申请本次加密的IV,密钥管理平台根据主被叫号码、呼叫时间生成本次通话的IV并同步到第一终端和第二终端,由于IV是平台实时生成的,借助于密钥管理平台的安全性,提升整体加密的安全性。
在一实施例中,所述步骤S2,包括以下步骤:
S21’、所述第一终端和所述第二终端使用语音信道进行IV参数的协商,协商信息包括所述第一终端产生的随机数A和所述第二终端产生的随机数B。
S22’、所述第一终端和所述第二终端采用相同计算方式计算出共同的IV参数值,并在语音信息内同步。
需要说明的是,当第一终端和第二终端完成密钥获取后,开始语音信息之前,第一终端和第二终端使用语音信道开始IV的协商,协商信息包含第一终端产生一个随机数A以及第二终端产生随机数B,第一终端和第二终端采用同一种算法算法计算出共同的IV值,实现IV值的语音信息内同步,提升IV值协商的安全性,由于该IV协商在语音开始阶段不影响语音通话质量,提升了用户体验感。
本实施例同时提供2种初始向量IV的传递方法,满足不同安全、网络状态下的IV的传递,为了实现更高的安全性
在一实施例中,所述语音数据帧中位于首字节后的两个标志位作为所述IV参数变化状态的传递值,所述变化状态包括00/01/10/11。
需要说明的是,语音帧当前主要组成为首字节为帧头,如图4所示,帧头中主要含义为P设置为0,FT为编码模式,Q为帧质量指示器,若Q设置为0则表明帧被损坏,接受者需要将RX_TYPE设置成SPEECH_BAD或者SID_BAD。
本实施例将首字节的后两个标志位作为IV的变化的传递值,可以提供从00/01/10/11四种状态的IV值的变化,和原来的IV一起实现每一帧IV值的动态可变,并且由于每一帧都和IV进行对应,整个机制是实现了自身包相关联,无需担心丢包带来影响。
本实施例使用AMR语音包桢头的拓展方法,实现了基于初始向量的动态可变,并且由于语音包帧头和IV的动态对应,整个机制无需担心丢包对相邻桢加解密的影响。
此外,如图5所示,本发明第二实施例提出了一种VoLTE语音加密优化实现终端,所述终端包括:
切分模块10,用于对数据长度大于加密分组字节的语音数据帧进行切分,得到第二语音数据和至少一组第一语音数据,所述第一语音数据为加密分组字节整数倍的语音数据,所述第二语音数据为长度不够加密分组字节的语音数据;
第一加密模块20,用于采用CBC加密模式,并使用加密密钥K和IV参数对所述第一语音数据进行加密,获得第一密文,其中,所述加密密钥和所述IV参数为通话双方终端预先协商得到;
第二加密模块30,用于对于所述第二语音数据,采用ECB加密模式,使用所述加密密钥K对与其相邻的第一语音数据加密密文进行加密,得到Kiv_1;
第一异或模块40,用于按照所述第二语音数据的长度截取所述Kiv_1,并将截取到的密文与所述第二语音数据做异或处理,得到第二密文;
第一拼接模块50,用于将所述第一密文与所述第二密文进行拼接,得到通话密文,并发送至通话对端以供其对所述通话密文进行解密,实现加密通话。
在一实施例中,所述终端还包括:
第一解密模块,用于对所述通话密文中各组所述第一密文做CBC解密处理,得到第一明文数据;
第二解密模块,用于对所述通话密文中数据长度小于加密分组整数倍的第二密文,采用ECB加密模式,并利用所述加密密钥K对与其相邻第一密文进行加密,得到Kiv_2;
第二异或模块,用于按照所述第二密文的长度截取所述Kiv_2,并将截取到的密文与所述第二密文做异或处理,得到第二明文数据;
第二拼接模块,将所述第一明文数据和所述第二明文数据进行拼接,得到通话明文。
本实施例使用密钥管理平台或者语音信道方式实现加密初始向量IV的传递,实现加密方式从ECB到CBC的加密转换,解决了ECB模式下不能隐藏明文的模式以及可能对明文进行主动攻击的问题,提升了VoLTE语音通话的安全性。通过对于尾部不够分组长度的数据进行有效防护,防止明文泄露,且明文与密文等长,能有有效适应各类通信协议,提高本方法的易用性。
此外,如图6所示,本发明第三实施例提出了一种VoLTE语音加密优化实现系统,所述系统包括:第一终端1、第二终端2、第一密钥管理平台3和第二密钥管理平台4,所述第一终端1和所述第二终端2内均集成有芯片,所述第一终端1和所述第二终端2均包括:
切分模块,用于对数据长度大于加密分组字节的语音数据帧进行切分,得到第二语音数据和至少一组第一语音数据,所述第一语音数据为加密分组字节整数倍的语音数据,所述第二语音数据为长度不够加密分组字节的语音数据;
第一加密模块,用于采用CBC加密模式,并使用加密密钥K和IV参数对所述第一语音数据进行加密,获得第一密文,其中,所述加密密钥和所述IV参数为通话双方终端预先协商得到;
第二加密模块,用于对于所述第二语音数据,采用ECB加密模式,使用所述加密密钥K对与其相邻的第一语音数据加密密文进行加密,得到Kiv_1;
第一异或模块,用于按照所述第二语音数据的长度截取所述Kiv_1,并将截取到的密文与所述第二语音数据做异或处理,得到第二密文;
第一拼接模块,用于将所述第一密文与所述第二密文进行拼接,得到通话密文,并发送至通话对端以供其对所述通话密文进行解密,实现加密通话。
本实施例使用密钥管理平台或者语音信道方式实现加密初始向量IV的传递,实现加密方式从ECB到CBC的加密转换,解决了ECB模式下不能隐藏明文的模式以及可能对明文进行主动攻击的问题,提升了VoLTE语音通话的安全性。通过对于尾部不够分组长度的数据进行有效防护,防止明文泄露,且明文与密文等长,能有有效适应各类通信协议,提高本方法的易用性。
在一实施例中,所述第一终端和所述第二终端均还包括:
第一解密模块,用于对所述通话密文中各组所述第一密文做CBC解密处理,得到第一明文数据;
第二解密模块,用于对所述通话密文中数据长度小于加密分组整数倍的第二密文,采用ECB加密模式,并利用所述加密密钥K对与其相邻第一密文进行加密,得到Kiv_2;
第二异或模块,用于按照所述第二密文的长度截取所述Kiv_2,并将截取到的密文与所述第二密文做异或处理,得到第二明文数据;
第二拼接模块,将所述第一明文数据和所述第二明文数据进行拼接,得到通话明文。
在一实施例中,所述语音数据帧中位于首字节后的两个标志位作为所述IV参数变化状态的传递值,所述变化状态包括00/01/10/11。
通过使用AMR语音包桢头的拓展方法,实现了基于初始向量的动态可变,并且由于语音包帧头和IV的动态对应,整个机制无需担心丢包对相邻桢加解密的影响。
在一实施例中,所述第一终端和所述第二终端均包括密钥模块和语音通讯模块,其中:
所述密钥模块主要连接其自身集成的芯片,用于实现到密钥管理平台的身份认证、会话密钥获取功能。
需要说明的是,所述芯片为符合国家商用密码局颁发证书,具备安全保护能力的安全介质,能够和密钥管理平台对接实现安全芯片内密钥充注功能,实现以安全芯片内密钥为认证密钥到密钥管理平台身份认证、会话密钥一次一密的下发
所述语音通讯模块主要包含语音信令模块和语音数据处理模块,其中:
所述语音信令模块为终端信令模块,实现终端通话发起过程中语音信令的处理、解析;
所述语音数据处理模块主要包含语音数据信息处理、加密功能,实现端到端语音加密功能。
在一实施例中,所述第一终端和所述第二终端内的密钥模块使用安全芯片内密钥作为登录认证密钥,整个过程遵循15843.2机制,完成到对应的密钥管理平台的身份认证功能。
所述第一终端向第二终端拨打电话,通过语音通讯模块,发起语音信令流程,产生本次通话的通话标识,同时第一终端、第二终端内部密钥管理模块开始双端密钥协商,以本次通话的双方号码以及本次通话的通话标识为一个加密通话的唯一标识,到密钥管理平台申请密钥,第一终端、第二终端通过密钥管理模块获取本次通话的加密密钥K。
在一实施例中,第一终端和第二终端可采用传统密钥协商方式向密钥管理平台申请本次加密的IV,密钥管理平台根据主被叫号码、呼叫时间生成本次通话的IV并同步到第一终端和第二终端,由于IV是平台实时生成的,借助于密钥管理平台的安全性,提升整体加密的安全性。
在一实施例中,第一终端和第二终端使用语音信道开始IV的协商,协商信息包含第一终端产生一个随机数A以及第二终端产生随机数B,第一终端和第二终端采用同一种算法算法计算出共同的IV值,实现IV值的语音信息内同步,提升IV值协商的安全性,由于该IV协商在语音开始阶段不影响语音通话质量。
需要说明的是,本发明所述VoLTE语音加密优化实现系统的其他实施例或具有实现方法可参照上述各方法实施例,此处不再赘余。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种VoLTE语音加密优化实现方法,其特征在于,所述方法包括:
第一终端对数据长度大于加密分组字节的语音数据帧进行切分,得到第二语音数据和至少一组第一语音数据,所述第一语音数据为加密分组字节整数倍的语音数据,所述第二语音数据为长度不够加密分组字节的语音数据;
采用CBC加密模式,并使用加密密钥K和IV参数对所述第一语音数据进行加密,获得第一密文,其中,所述加密密钥和所述IV参数为通话双方终端预先协商得到;
对于所述第二语音数据,采用ECB加密模式,使用所述加密密钥K对与其相邻的第一语音数据加密密文进行加密,得到Kiv_1;
按照所述第二语音数据的长度截取所述Kiv_1,并将截取到的密文与所述第二语音数据做异或处理,得到第二密文;
将所述第一密文与所述第二密文进行拼接,得到通话密文,并发送至所述第二终端以供所述第二终端对所述通话密文进行解密,实现加密通话。
2.如权利要求1所述的VoLTE语音加密优化实现方法,其特征在于,所述第二终端对所述通话密文进行解密,包括:
对所述通话密文中各组所述第一密文做CBC解密处理,得到第一明文数据;
对所述通话密文中数据长度小于加密分组整数倍的第二密文,采用ECB加密模式,并利用所述加密密钥K对与其相邻第一密文进行加密,得到Kiv_2;
按照所述第二密文的长度截取所述Kiv_2,并将截取到的密文与所述第二密文做异或处理,得到第二明文数据;
将所述第一明文数据和所述第二明文数据进行拼接,得到通话明文。
3.如权利要求1所述的VoLTE语音加密优化实现方法,其特征在于,在所述第一终端和所述第二终端进行语音加密通话之前,还包括:
所述第一终端和所述第二终端进行通话密钥协商,获取本次通话的加密密钥K;
所述第一终端和所述第二终端进行通话加密协商,获取本次通话的IV参数。
4.如权利要求3所述的VoLTE语音加密优化实现方法,其特征在于,所述第一终端和所述第二终端内均集成有芯片,所述第一终端和所述第二终端进行通话密钥协商,获取本次通话的加密密钥K,包括:
所述第一终端和所述第二终端使用其对应芯片内的密钥作为登录认证密钥,完成到对应的密钥管理平台的身份认证;
所述第一终端向所述第二终端发起语音信令流程,产生本次通话的通话标识,并进行密钥协商,分别向所述密钥管理平台申请密钥,获取本次通话的加密密钥K。
5.如权利要求3所述的VoLTE语音加密优化实现方法,其特征在于,所述第一终端和所述第二终端进行通话加密协商,获取本次通话的IV参数,包括:
所述第一终端和所述第二终端向密钥管理平台申请本次通话的IV参数;
所述密钥管理平台根据通话双方终端号码和呼叫时间实时生成本次通话的IV参数,并同步到所述第一终端和所述第二终端。
6.如权利要求3所述的VoLTE语音加密优化实现方法,其特征在于,所述第一终端和所述第二终端进行通话加密协商,获取本次通话的IV参数,包括:
所述第一终端和所述第二终端使用语音信道进行IV参数的协商,协商信息包括所述第一终端产生的随机数A和所述第二终端产生的随机数B;
所述第一终端和所述第二终端采用相同计算方式计算出共同的IV参数值,并在语音信息内同步。
7.如权利要求1所述的VoLTE语音加密优化实现方法,其特征在于,所述语音数据帧中位于首字节后的两个标志位作为所述IV参数变化状态的传递值,所述变化状态包括00/01/10/11。
8.一种VoLTE语音加密优化实现终端,其特征在于,所述终端包括:
切分模块,用于对数据长度大于加密分组字节的语音数据帧进行切分,得到第二语音数据和至少一组第一语音数据,所述第一语音数据为加密分组字节整数倍的语音数据,所述第二语音数据为长度不够加密分组字节的语音数据;
第一加密模块,用于采用CBC加密模式,并使用加密密钥K和IV参数对所述第一语音数据进行加密,获得第一密文,其中,所述加密密钥和所述IV参数为通话双方终端预先协商得到;
第二加密模块,用于对于所述第二语音数据,采用ECB加密模式,使用所述加密密钥K对与其相邻的第一语音数据加密密文进行加密,得到Kiv_1;
第一异或模块,用于按照所述第二语音数据的长度截取所述Kiv_1,并将截取到的密文与所述第二语音数据做异或处理,得到第二密文;
第一拼接模块,用于将所述第一密文与所述第二密文进行拼接,得到通话密文,并发送至通话对端以供其对所述通话密文进行解密,实现加密通话。
9.如权利要求8所述的VoLTE语音加密优化实现终端,其特征在于,所述终端还包括:
第一解密模块,用于对所述通话密文中各组所述第一密文做CBC解密处理,得到第一明文数据;
第二解密模块,用于对所述通话密文中数据长度小于加密分组整数倍的第二密文,采用ECB加密模式,并利用所述加密密钥K对与其相邻第一密文进行加密,得到Kiv_2;
第二异或模块,用于按照所述第二密文的长度截取所述Kiv_2,并将截取到的密文与所述第二密文做异或处理,得到第二明文数据;
第二拼接模块,将所述第一明文数据和所述第二明文数据进行拼接,得到通话明文。
10.一种VoLTE语音加密优化实现系统,其特征在于,所述系统包括:第一终端、第二终端、第一密钥管理平台和第二密钥管理平台,所述第一终端和所述第二终端内均集成有芯片,所述第一终端和所述第二终端均包括:
切分模块,用于对数据长度大于加密分组字节的语音数据帧进行切分,得到第二语音数据和至少一组第一语音数据,所述第一语音数据为加密分组字节整数倍的语音数据,所述第二语音数据为长度不够加密分组字节的语音数据;
第一加密模块,用于采用CBC加密模式,并使用加密密钥K和IV参数对所述第一语音数据进行加密,获得第一密文,其中,所述加密密钥和所述IV参数为通话双方终端预先协商得到;
第二加密模块,用于对于所述第二语音数据,采用ECB加密模式,使用所述加密密钥K对与其相邻的第一语音数据加密密文进行加密,得到Kiv_1;
第一异或模块,用于按照所述第二语音数据的长度截取所述Kiv_1,并将截取到的密文与所述第二语音数据做异或处理,得到第二密文;
第一拼接模块,用于将所述第一密文与所述第二密文进行拼接,得到通话密文,并发送至通话对端以供其对所述通话密文进行解密,实现加密通话。
CN202210992026.3A 2022-08-17 2022-08-17 VoLTE语音加密优化实现方法、终端及系统 Pending CN115361678A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210992026.3A CN115361678A (zh) 2022-08-17 2022-08-17 VoLTE语音加密优化实现方法、终端及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210992026.3A CN115361678A (zh) 2022-08-17 2022-08-17 VoLTE语音加密优化实现方法、终端及系统

Publications (1)

Publication Number Publication Date
CN115361678A true CN115361678A (zh) 2022-11-18

Family

ID=84002264

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210992026.3A Pending CN115361678A (zh) 2022-08-17 2022-08-17 VoLTE语音加密优化实现方法、终端及系统

Country Status (1)

Country Link
CN (1) CN115361678A (zh)

Similar Documents

Publication Publication Date Title
US8447968B2 (en) Air-interface application layer security for wireless networks
JP3816337B2 (ja) テレコミュニケーションネットワークの送信に対するセキュリティ方法
US7369662B2 (en) Maintaining end-to-end synchronization on a telecommunications connection
JP4094216B2 (ja) 暗号同期情報の自動再同期
US20090182668A1 (en) Method and apparatus to enable lawful intercept of encrypted traffic
US7466824B2 (en) Method and system for encryption of streamed data
CN113347215B (zh) 一种移动视频会议加密方法
KR20060110428A (ko) 이동통신 시스템에서 메시지 처리 시스템 및 방법
CN106878277B (zh) 一种基于dmr标准实现语音加密的方法及装置
WO2017197968A1 (zh) 一种数据传输方法及装置
CN115361678A (zh) VoLTE语音加密优化实现方法、终端及系统
CN107529159B (zh) 宽带集群下行共享信道的接入层加密、解密、完整性保护方法和装置、安全实现方法
JP3459073B2 (ja) 無線電話メッセージのセキュリティを改善するための複数回cmea暗号化および復号の方法および装置
CN1177431C (zh) 实现端到端加密的方法及移动装置
WO2017031744A1 (zh) 一种加密通话方法及终端
CN111490988B (zh) 一种数据传输方法、装置、设备及计算机可读存储介质
CN109982317B (zh) 一种基于cdma网络的语音加解密系统及方法
Blom et al. Conversational IP multimedia security
Bassil et al. Critical voice network security analysis and new approach for securing Voice over IP Communications
CN116346323A (zh) 语音通信明密识别方法及系统
CN112333204A (zh) 基于tcp ip协议乱序特征码的5g网络传输保密装置
CN117857026A (zh) 融合量子密钥的加密通信方法及国密cpe接入装置
CN112398831A (zh) 一种双向认证多通道语音加密通信方法、装置和系统
JP2001086114A (ja) 通信制御装置および通信制御方法
Bassil et al. Towards New Security Framework for Voice over IP

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination