WO2012024903A1 - 移动通讯网中加密语音通话的方法和系统、终端及网络侧 - Google Patents

Abstract

本发明提供了一种移动通讯网中加密语音通话的方法，包括：发送方与接收方建立呼叫，发送方使用自身的加密密钥（CK）对语音帧进行加密后，发送给网络侧；网络侧接收到发送方发送的该语音帧后，使用发送方的CK对所述语音帧进行解密，使用接收方的CK对解密后的语音帧进行加密，发送给接收方；所述接收方从所述网络侧接收所述语音帧，使用自身的CK对所述语音帧进行解密。本发明还提供了一种移动通讯网中加密语音通话的系统。本发明有效增强了语音通讯中安全和保密性。

Description

移动通讯网中加密语音通话的方法和系统、 终端及网络侧

技术领域

本发明属于移动通信领域， 涉及一种移动通讯网中加密语音通话的方法 和系统， 以及终端和网络侧。

背景技术

语音通话是移动通讯网的最基本也是最重要的业务 ，也最受用户和运营 商的关注， 因此它的保密性和安全性也是移动网络技术的重要内容之一。

本文首先对语音数据的产生， 传输， 交换， 接收作一下的介绍。 现在移 动通讯网一般的语音数据的产生由移动终端的受话器接收声波， 产生脉冲编 码调制（Pulse Code Modulation, PCM )编码的数据， 再经过转换为适合网络 传输的编码， 如宽带码分多址（WCDMA ) 下的 AMR编码， 在全球移动通 信系统（GSM )网络下则为 EFR/FR, HR编码后进行传输， 到网络侧后， 交 换机双方交换传输双方的 AMR语音数据， 而另一方接到网络侧传来下行的 语音数据， 再经过 AMR解码得到 PCM语音数据， 将其放入声码器进行发 声。 如附图 1所示。

移动网络本身有自身的通讯加密方法， 在第三代通用移动通信系统（3G UMTS , 包括 WCDMA和时分同步码分多址 TD-SCMDMA )系统中， 用户的 全球用户识别模块 （USIM ) 卡和归属网络的归属位置寄存器 /鉴权中心 ( HLR/AuC )共享一个安全密钥 Ki ( 128bit ) , 基于该安全密钥， 网络可以 对用户进行认证， 用户也可以认证网络 , 基站和终端间也利用 Ki对无线链路 进行加密和完整性保护。 但这种加密方法只是加密无线环境， 当语音数据传 递到网络侧， 数据是非加密的， 这也是网络监听的技术基础。 这样数据的安 全性受到威胁。

发明内容

本发明要解决的技术问题是提供一种移动通讯网中加密语音通话的方法 和系统、 终端和网络侧， 从而实现全程加解密， 增强语音通讯中安全和保密 性。

为了解决上述问题， 本发明提供了一种移动通讯网中加密语音通话的方 法， 包括：

发送方与接收方建立呼叫， 发送方使用自身的加密密钥（CK )对语音帧 进行加密后， 发送给网络侧；

网络侧接收到发送方发送的该语音帧后， 使用发送方的 CK对所述语音 帧进行解密， 使用接收方的 CK对解密后的语音帧进行加密， 发送给接收方； 所述接收方从所述网络侧接收所述语音帧， 使用接收方自身的 CK对所 述语音帧进行解密。

上述方法还可具有以下特点：

所述接收方或发送方通过如下方式获取其自身的 CK:

所述接收方或发送方在呼叫建立过程中， 与所述网络侧进行交互， 获取 随机数， 结合自身安全密钥 Ki, 生成自身的 CK。

上述方法还可具有以下特点：

所述网络侧通过如下方式获取发送方或接收方的 CK:

所述网络侧在呼叫建立过程中，归属位置寄存器或鉴权中心产生随机数， 根据所述发送方或接收方的根密钥， 结合产生的随机数， 生成发送方或接收 方的 CK, 并将所述随机数发送给发送方或接收方。

上述方法还可具有以下特点： 所述发送方、 接收方和网络侧使用硬件加 密模块实现所述加密和解密。

上述方法还可具有以下特点： 所述硬件加密模块由终端设备商和运营商 外的第三方提供。

本发明还提供一种终端， 所述终端包括加密模块、发送模块和接收模块， 其中：

所述加密模块设置为： 使用加密密钥（CK )对语音帧进行加密后， 发送 给所述发送模块； 所述发送模块设置为： 将所述语音帧发送给网络侧；

和 /或，

所述接收模块设置为： 从网络侧接收语音帧， 发送给所述加密模块； 所述加密模块设置为： 使用其 CK对所述语音帧进行解密。

上述终端还可具有以下特点， 所述加密模块为硬件加密模块。

本发明还提供一种网络侧， 所述网络侧包括接收模块、 发送模块和加密 模块， 其中：

所述接收模块设置为： 接收发送方发送的语音帧， 发送给加密模块； 所述加密模块设置为： 使用发送方的 CK对所述语音帧进行解密， 使用 接收方的 CK对解密后的语音帧进行加密， 发送给发送模块；

发送模块设置为： 将所述语音帧发送给接收方。

上述网络侧还可具有以下特点， 所述加密模块为硬件加密模块。 本发明还提供一种移动通讯网中加密语音通话的系统， 包括发送方、 接 收方和网络侧， 其中：

所述发送方设置为： 与所述接收方建立呼叫，使用自身的加密密钥（CK ) 对语音帧进行加密后， 发送给网络侧；

所述网络侧设置为： 接收到所述发送方发送的语音帧后， 使用发送方的 CK对所述语音帧进行解密， 使用接收方的 CK对解密后的语音帧进行加密， 发送给接收方；

所述接收方设置为： 从所述网络侧接收所述语音帧， 使用自身的 CK对 所述语音帧进行解密。

目前已有相关专利或者方案都是端到端的语音加解密，不需要网络参与， 也不能利用网络中的安全密钥 Ki或者其他由 Ki产生的密钥如 cipher key( CK ) 等进行加解密运算， 而且需要通讯双方传递密钥。 本发明实现的是在移动终 端和核心网交换单元配置加密模块， 对上下行语音数据进行加解密的方法。 本发明利用 CK对语音进行实时硬件加密， 不需要通讯双方传递密钥， 这种 加密语音通话在网络侧无法监听，而且在无线环境传输也是相当于双加密的， 更加保密和安全。 即使窃听方获得了被窃听方得安全密钥 Ki, 也无法在无线 传输环境中进行窃听。 本发明方案中加密因子 CK每次都不同， 只在本次呼 叫中有效， 更加大了从无线传输环境中进行破解难度。 本发明适用于政府敏 感部门， 情报机关， 等等非常重视安全和保密的组织和个人。

附图概述

图 1是通讯网络语音数据传输的示意图；

图 2是本发明通讯网络加密语音数据传输的示意图；

图 3是本发明语音数据发送终端加密过程内部交互图，以表明实现过程； 图 4是本发明网络对加密语音的处理流程示意图， 以表明实现过程； 图 5是本发明语音数据接收终端解密过程内部交互图，以表明实现过程。

本发明的较佳实施方式

本发明的实现与移动网络自身加密无关， 属于叠加在网络自身加密之上 的又一层加密， 其核心思想是： 通过在移动终端和核心网交换单元配置加密 模块， 实现对语音通话的加密， 其中， 加密模块基于 CK作为运算因子对移 动通讯网的语音数据进行加密。

在本发明中， 为了描述方便， 以 WCDMA制式下 AMR语音数据帧的加 解密过程来举例描述。但本发明的方法应该在其他制式 GSM, CDMA等也可 适用。

加密因子釆用 CK ( Cipher Key加密密钥 ) , 使用 RAND (随机数）和 用户的根密钥 Ki根据 A3算法计算出， CK= A3 ( RAND, Ki ) 。 而 RAND 每次语音通话时都会不同， 它在呼叫建立过程中也就是说每次语音通话的加 密因子都会变化。对于每一个用户，都有一个 Ki, 同时网络保留此用户的 Ki, 由于 Ki是网络 (实际上网络单元 HLR/AUC)与终端共享的， RAND是网络侧 在每次语音呼叫时发送终端的，因此 CK也是网络和某一个特定终端共享的。 Ki作为移动通讯网的根密钥，具有非常高的保密性和安全性。 由于 Ki的私密 性和 RAND参数的随机性， CK具有作为加密运算因子的优势。

本发明加密方案如附图 2所示， 在终端中加入加密模块， 它可以是一个 数字信号处理器或者其他类似功能的设备， 也可以基于软件实现， 同时具有 加密和解密功能， 为了方便起见， 网络侧和终端中的加密模块运算规则相同， 具体釆用哪种加解密算法不属于本发明内容， 为了描述方便， 我们可以称作 X算法。 其中， 加密模块釆用硬件实现的话， 真正的语音数据只在加密模块 中短暂存在， 通讯网络中其他的网络单元也只有加密后的数据， 保密效果更 好， 如图 4所示。 而加密模块可以由第三方提供， 嵌入终端及网络设备中， 负责对语音数据进行加解密运算。 这样即使网络、 终端设备商和运营商都无 法对加密语音电话进行窃听。

本发明提供一种移动通讯网中加密语音通话的方法， 包括：

发送方与接收方建立呼叫， 发送方使用自身的加密密钥（CK )对语音帧 进行加密后， 发送给网络侧；

网络侧接收到发送方发送的该语音帧后， 使用发送方的 CK对所述语音 帧进行解密， 使用接收方的 CK对解密后的语音帧进行加密， 发送给接收方； 所述接收方从所述网络侧接收所述语音帧， 使用自身的 CK对所述语音 帧进行解密。

本发明是在语音数据的产生端加入以下环节， 如附图 2所示：

在传输到网络前， 将 AMR语音数据包送入发送方的加密模块做 X加密 运算， 加密运算因子釆用发送端的 CK, 从而得到加密 AMR语音帧， 并将加 密 AMR语音帧上传网络。

网络侧将此加密语音帧， 发送方 CK, 接收方 CK送入网络侧的加密模 块， 网络侧的加密模块使用 X算法， 以发送方 CK为运算因子对语音数据进 行解密， 然后再使用 X算法， 以接收方 CK为运算因子对语音数据进行加密， 并返回给网络设备运算结果， 然后网络设备将此加密语音帧发送给接收方终 端。

接收方在得到下行语音数据后， 将此加密语音数据和 CK送入终端的加 密模块进行 X运算解密， 从而得到普通语音帧， 接下来就与普通语音呼叫处 理相同， 解密后的 AMR语音数据送入 DSP中得到 PCM数据， 将 PCM数据 送入声码器发声。

下面结合附图对技术方案的实施作进一步的详细描述。 本发明所提出的 实现方法需要对终端和网络分别嵌入加密模块， 加密模块分为终端， 网络两 部分， 但是运算规则完全相同。

具体实现流程， 也就是语音加密实现过程分为三个部分：

第一阶段： 发送部分

如附图 3所示， 发生于发送方终端内。

1. 在语音呼叫建立阶段， 按 3GPP规定， 发送方终端将与网络信令交互 中获得的 RAND, 结合自身 Ki, 通过 A3算法， 产生当前有效 CK , 此为标 准过程。 需要将 CK传递给终端的加密模块， 这样发送方终端的加密模块就 获得了加密因子 CK。

2. 呼叫建立完成后， 语音从发送方终端受话器中进入后， 先对语音数据 进行数字化抽样，量化， 编码成为 PCM ( Pulse Code Modulation, 脉冲编码 调制） 。

3. 把 PCM输入到发送方终端的语音 DSP (数字信号处理器） 中进行处 理， 得到适合网络传输的 AMR编码格式。

4. 发送方终端将待加密的 AMR语音帧发送给加密模块， 加密模块使用 加密因子 CK对语音帧进行 X加密运算， 并返回给发送方终端加密的 AMR 语音帧。

5. 发送方终端软件中的网络协议栈部分把加密后的 AMR语音帧传输到 网络侧。

6. 在加密语音通话中， 不断重复 2— 5 步骤， 将对每个 AMR语音帧进 行加密， 并依次发给网络侧， 实现整个通话过程中的语音加密。

第二阶段： 交换部分 如附图 4所示， 发生于网络侧交换单元 MSC中。

1. 网络侧在建立呼叫的信令过程中， AUC/HLR产生 RAND,根据 RAND 和 Ki产生 CK 。 网络侧在信令交互中还发送 RAND给终端 （包括主叫方和 被叫方） 。 具体的， 所述网络侧在呼叫建立过程中， 对发送方终端或接收方 终端， 执行以下操作： AUC/HLR产生随机数， 根据所述发送方或接收方的根 密钥， 结合产生的随机数， 生成发送方或接收方的 CK, 并将所述随机数发送 给发送方或接收方。

2. 呼叫建立完成后，网络侧将从上行信道接收到发送方的加密 AMR语 音帧 , 把加密 AMR语音帧和通话双方 CK传递给网络侧的加密模块。

3.网络侧的加密模块利用发送方的 CK作为解密因子，进行 X解密运算， 得到非加密的 AMR语音帧，然后立即对此语音帧使用接收方的 CK作为加密 因子进行 X加密运算， 并将加密后的 AMR语音帧返回给网络侧的交换设备 MSC。

4. MSC中将上一步骤得到的加密 AMR语音帧通过下行信道发送给接 收方。

5. 不断重复 2— 4, 将加密 AMR语音帧依次发送给接收方。

第三阶段： 接收部分

如附图 5所示， 发生于接收方终端内。 接收方终端中的 DSP将 AMR语 音帧解码为 PCM, 再将 PCM复原为语音信号， 送入扬声器。

1. 在语音呼叫建立阶段， 按 3GPP规定， 终端将与网络信令交互中获得 的 RAND, 结合自身 Ki, 通过 A3算法， 产生当前有效 CK, 此为标准过程。 需要将 CK传递给接收方终端的加密模块， 这样接收方终端的加密模块获得 解密因子 CK。

2. 呼叫建立完成后， 接收方终端将接到网络侧在下行信道传递的加密

AMR语音帧；

3. 接收方终端将此加密的 AMR语音帧发送给加密模块， 加密模块对加 密 AMR语音帧进行 X解密运算， 并返回给接收方终端。 4. 接收方终端 4巴非加密的 AMR语音帧输入到接收方终端的语音 DSP (数字信号处理器） 中进行处理， 得到 PCM语音数据。

5. 接收方终端将 PCM语音数据送入声码器发声。

6. 在加密语音通话中， 不断重复 2— 5 步骤， 将对每一 AMR语音帧进 行解密， 并依次发送给声码器放音， 实现整个通话过程中的语音解密。

本发明还提供一种终端， 所述终端包括加密模块、发送模块和接收模块， 其中：

所述加密模块， 用于使用加密密钥（CK )对语音帧进行加密后， 发送给 所述发送模块；

所述发送模块， 用于将所述语音帧发送给网络侧；

和 /或，

所述接收模块， 用于从网络侧接收语音帧， 发送给所述加密模块； 所述加密模块， 用于使用其 CK对所述语音帧进行解密。

本发明还提供一种网络侧， 所述网络侧包括接收模块、 发送模块和加密 模块， 其中：

所述接收模块， 用于接收发送方发送的语音帧， 发送给加密模块； 所述加密模块， 用于使用发送方的 CK对所述语音帧进行解密， 使用接 收方的 CK对解密后的语音帧进行加密， 发送给发送模块；

发送模块， 用于将所述语音帧发送给接收方。

本发明还提供一种移动通讯网中加密语音通话的系统， 包括发送方、 接 收方和网络侧， 其中：

所述发送方用于： 与所述接收方建立呼叫， 使用自身的加密密钥 （CK ) 对语音帧进行加密后， 发送给网络侧； 所述网络侧用于：接收到所述发送方发送的语音帧后，使用发送方的 CK 对所述语音帧进行解密， 使用接收方的 CK对解密后的语音帧进行加密， 发 送给接收方；

所述接收方用于： 从所述网络侧接收所述语音帧， 使用自身的 CK对所 述语音帧进行解密。

尽管为示例目的， 已经公开了本发明的优选实施例， 本领域的技术人员 将意识到各种改进、 增加和取代也是可能的， 因此， 本发明的范围应当不限 于上述实施例。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序 来指令相关硬件完成， 所述程序可以存储于计算机可读存储介质中， 如只读 存储器、 磁盘或光盘等。 可选地， 上述实施例的全部或部分步骤也可以使用 一个或多个集成电路来实现。 相应地， 上述实施例中的各模块 /单元可以釆用 硬件的形式实现， 也可以釆用软件功能模块的形式实现。 本发明不限制于任 何特定形式的硬件和软件的结合。

工业实用性

本发明利用 CK对语音进行实时硬件加密， 同时由于通话双方不知道对 方的 CK, 所以需要网络参与， 且不需要通讯双方传递密钥， 更加安全可靠。 另夕卜， 本发明方案中加密因子 CK每次都不同， 只在本次呼叫中有效， 更加 大了从无线传输环境中进行破解难度。 本发明适用于政府敏感部门， 情报机 关， 等等非常重视安全和保密的组织和个人。

Claims

权 利 要 求 书

1、 一种移动通讯网中加密语音通话的方法， 其包括：

发送方与接收方建立呼叫， 发送方使用自身的加密密钥（CK )对语音帧 进行加密后， 发送给网络侧；

网络侧接收到发送方发送的该语音帧后， 使用发送方的 CK对所述语音 帧进行解密， 使用接收方的 CK对解密后的语音帧进行加密， 发送给接收方； 以及

所述接收方从所述网络侧接收所述语音帧， 使用接收方自身的 CK对所 述语音帧进行解密。

2、 如权利要求 1所述的方法， 其中，

所述接收方或发送方通过如下方式获取其自身的 CK:

所述接收方或发送方在呼叫建立过程中， 与所述网络侧进行交互， 获取 随机数， 结合自身安全密钥 Ki, 生成自身的 CK。

3、 如权利要求 1所述的方法， 其中， 所述网络侧通过如下方式获取发送 方或接收方的 CK:

所述网络侧在呼叫建立过程中，归属位置寄存器或鉴权中心产生随机数， 根据所述发送方或接收方的根密钥， 结合产生的随机数， 生成发送方或接收 方的 CK, 并将所述随机数发送给发送方或接收方。

4、 如权利要求 1、 2或 3所述的方法， 其中， 所述发送方、 接收方和网 络侧使用硬件加密模块实现所述加密和解密。

5、 如权利要求 4所述的方法， 其中， 所述硬件加密模块由终端设备商和 运营商外的第三方提供。

6、 一种终端， 所述终端包括加密模块、 发送模块和接收模块， 其中： 所述加密模块设置为： 使用加密密钥（CK )对语音帧进行加密后， 发送 给所述发送模块；

所述发送模块设置为： 将所述语音帧发送给网络侧；

和 /或， 所述接收模块设置为： 从网络侧接收语音帧， 发送给所述加密模块； 所述加密模块设置为： 使用其 CK对所述语音帧进行解密。

7、 如权利要求 6所述的终端， 其中，

所述加密模块为硬件加密模块。

8、一种网络侧， 所述网络侧包括接收模块、发送模块和加密模块，其中： 所述接收模块设置为： 接收发送方发送的语音帧， 发送给加密模块； 所述加密模块设置为： 使用发送方的 CK对所述语音帧进行解密， 使用 接收方的 CK对解密后的语音帧进行加密， 发送给发送模块；

发送模块设置为： 将所述语音帧发送给接收方。

9、 如权利要求 8所述的网络侧， 其中， 所述加密模块为硬件加密模块。

10、 一种移动通讯网中加密语音通话的系统， 其包括发送方、 接收方和 网络侧， 其中：

所述发送方设置为： 与所述接收方建立呼叫， 使用发送方自身的加密密 钥 （CK )对语音帧进行加密后， 发送给网络侧；

所述网络侧设置为： 接收到所述发送方发送的语音帧后， 使用发送方的

CK对所述语音帧进行解密， 使用接收方的 CK对解密后的语音帧进行加密， 发送给接收方；

所述接收方设置为： 从所述网络侧接收所述语音帧， 使用接收方自身的

CK对所述语音帧进行解密。