专利名称:端到端语音加密方法、装置及系统的制作方法
技术领域:
本发明涉及移动通信安全领域,尤其涉及一种端到端语音加密的 方法、装置及系统。
背景技术:
随着移动通信技术的广泛应用,移动网络所带来的灵活性和便利 性正在改变我们的生活。移动通信网络应用涉及个人、社会的巨大经 济利益,因此通信安全与否是移动网络应用发展的关键因素。
现存的移动通信系统中,对民用的移动终端的语音流大都没有经
过加密处理。如GSM、 WCDMA、 CDMA2000等等,其电路交换 网络都是为非加密电话设计的,移动网络中的移动交换中心只负责通 信控制和语音交换。虽然有些移动网络可以再无线传输部分进行加密 处理;但对于一些特殊的用户和行业的应用,则需要移动通信提供更 高的安全性能,即不仅需要防止通话在无线传输部分被监听,同时还 要避免在核心网络中传送时被截获、监听。也就是说,需要对移动终 端的呼叫进行端到端的加密处理。
终端到终端的非加密通话称为明话,而端到端的加密通话称为密 话。发起密话业务的方式可分为两种 一种是以密话方式发起呼叫, 另 一种是以明话方式发起呼叫,通话后再进行明话和密话的切换。
发明内容
本发明的目的是提出一种端到端语音加密的方法、装置及系统, 能够对移动终端的呼叫进行端到端的加密处理,以保障通信安全。
为实现上述目的,本发明提供了一种端到端语音加密方法,包括 以下步骤处于通话状态的第一移动终端接收密钥管理服务器(Key Management Center,简称KMC )通过短消息发送的密钥信息后,与 接收到所述密钥信息的通话另一端的第二移动终端建立密话通话通
道;
在建立密话通话通道后,所述第一移动终端根据所述密钥信息与 第二移动终端进行加密通话。
进一步的,在接收密钥管理服务器通过短消息发送的密钥信息之 前,还包括
处于通话状态的所述第一移动终端和第二移动终端通过网络侧 设备向密钥管理服务器发出密钥分发请求;
所述密钥管理服务器接收所述密钥分发请求后,为本次通话随机 分配密钥信息,并将所述密钥信息通过短消息发送给所述第一移动终 端和第二移动终端。
进一步的,所述第一移动终端根据所述密钥信息与第二移动终端 进行加密通话的操作具体为所述第一移动终端^L据所述密钥信息对 语音流进行加密和解密,以实现与第二移动终端之间的加密通话。
进一步的,所述第一移动终端根据所述密钥信息对语音流进行加 密和解密的操作具体为所述密钥信息为密钥本身,则所述第一移动 终端使用所述密钥直接对语音流进行加密和解密。
进一步的,所述第一移动终端根据所述密钥信息对语音流进行加 密和解密的操作具体为所述密钥信息为密钥标识,则所述第一移动 终端根据所述密钥标识从自身存储的密钥表中提取对应的密钥,并根 据所述密钥对语音流进行加密和解密。
为实现上述目的,本发明还提供了一种端到端语音加密装置,包
括
密钥信息获取模块,用于接收密钥管理服务器通过短消息发送的 密钥信息;
密话通道建立模块,用于与接收到所述密钥信息的通话另一端建 立密话通话通道;加密通话模块,用于在建立密话通话通道后,根据所述密钥信息 与所述通话另 一端进行加密通话。
进一步的,该装置还包括密钥分发请求模块,用于通过网络侧 设备向密钥管理服务器发出密钥分发请求。 进一步的,该装置还包括
密钥表存储模块,用于存储一个或多个分别与不同密钥标识对应 的密钥;
密钥提取模块,用于在密钥信息为密钥标识时,根据所述密钥标 识从密钥表存储模块中提取对应的密钥。
为实现上述目的,本发明还提供了一种端到端语音加密系统,包
括
处于通信状态的第一移动终端和第二移动终端,用于根据从密钥 管理服务器中获取的密钥信息进行加密通话;
密钥管理服务器,用于根据接收第一移动终端和第二移动终端发 出的所述密钥分发请求后,为本次通话随机分配密钥信息,并将所述 密钥信息通过短消息发送给所述第一移动终端和第二移动终端。
基于上述技术方案,本发明中处于通话状态的主叫双方接收密钥 管理服务器通过短消息的方式发送的密钥信息,并依据该密钥信息实 现加密通话,实现了端到端的通话加密处理,保障了通信安全;另外, 短消息方式实现简单,易于实施。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请 的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构 成对本发明的不当限定。在附图中
图1为本发明端到端语音加密方法的一实施例的流程示意图。 图2为本发明端到端语音加密方法的另一实施例的流程示意图。 图3为图2实施例的一个具体实施例的信令示意图。 图4为本发明端到端语音加密装置的一实施例的结构示意图。图5为本发明端到端语音加密装置的另一实施例的结构示意图。 图6为本发明端到端语音加密装置的再一实施例的结构示意图。 图7为本发明端到端语音加密系统的一实施例的结构示意图。
具体实施例方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
如图l所示,为本发明端到端语音加密方法的一实施例的流程示 意图。在本实施例中,端到端语音加密流程包括以下步骤
步骤101、处于通话状态的第一移动终端接收KMC通过短消息 发送的密钥信息;
步骤102、第一移动终端与接收到密钥信息的通话另一端的第二 移动终端建立密话通话通道;
步骤103、在建立密话通话通道后,第一移动终端根据密钥信息 与第二移动终端进行加密通话。
移动终端上可以利用已有的语音加密解密模块对语音流进行加 密和解密,其加密和解密的依据就是本次通话获得的密钥信息。密钥
信息的形式可以有多种,如果密钥信息为密钥本身,则移动终端可以 直接利用该密钥进行加密和解密。
考虑到密钥可能会被非法截获而导致通话内容被窃听,可以采用 在两端的移动终端内预存密钥表的方式,密钥表包括一个或多个密钥, 每个密钥可以对应于一个特定的密钥标识,在获取到的密钥信息为密 钥标识时,通过查找对应的密钥就可以进行加密和解密。这种方式可 以降低密钥被非法截获而导致的被窃听风险。
建立密话通话通道过程中,通常需要通话两端的移动终端进行切 换协商过程,该协商过程可以在密钥信息下发后的一段约定时间内完 成。
在本实施例中,密钥信息由KMC通过短消息统一发放,既方便 网络侧进行管控,也提高了语音通信的安全性。如图2所示,为本发明端到端语音加密方法的另一实施例的流程 示意图。与上一实施例相比,本实施例在接收KMC通过短消息发送 的密钥信息之前,还包括以下步骤
步骤100a、处于通话状态的第一移动终端和第二移动终端通过网 络侧设备向KMC发出密钥分发请求;
步骤100b、 KMC接收密钥分发请求后,为本次通话随机分配密 钥信息,并将密钥信息通过短消息发送给第一移动终端和第二移动终。
当处于普通通话状态的主被叫用户认为需要进行语音加密通信 时,通信双方可以通过按下在移动终端上设置的特殊功能键,来触发 向KMC发出的密钥分发请求的信令或标识;或者通过移动终端上的 菜单操作来触发向KMC发出的密钥分发请求的信令或标识。用户只 需要简单的手机按键操作,触发明话到密话的转换流程,实现从KMC 分发密钥信息的功能,十分方便。
KMC在每次接收到密钥分发请求后都可以为本次通话随机分配 一个密钥信息(密钥本身或者密钥标识等),实现一话一密,以提高 密钥的安全性。
如图3所示,为图2实施例的一具体实施例的信令示意图,包括 以下步骤
步骤201、移动终端MS1和MS2正在进行明话通话,如果主净皮 双方在通话过程中产生密话通话的需求,通话双方便触发明话转入密 话的命令,如用户按下用于明话、密话之间进行切换的功能键或菜单 操作触发,然后可继续执行步骤202。
步骤202、 MS1和MS2分别向MSC1和MSC2发送密钥请求的 信息MSC识别后,再向KMC发送密钥请求,请求KMC为当前的 语音通信提供密钥信息。
步骤203、 KMC收到密钥请求后,分别向MS1和MS2返回相 同的密钥的响应短消息,该短消息中携有KMC提供的密钥。
步骤204、 MS1和MS2之间建立密话通道(包括切换协商),如MS1和MS2分别向BSS1和BSS2发起密话业务请求,该密话业务 请求中可携带相关的业务标识;BSS收到密话业务请求后,向MS返 回密话业务的响应,通知MS已经接收其发起的密话业务请求,然后 可继续执行步骤205。
步骤205、 MSI和MS2进行密话通话,使用获得的密钥对发送 的语音流进行加密,对接收的语音流进行解密,BSS仅对语音数据包 进行透传。
如果密钥是储存在MS中,在步骤3中短消息中携带的不是具体 的密钥,而是跟储存在MS中相应密钥的信息(如密钥标识)。
本领域普通技术人员可以理解实现上述方法实施例的全部或部 分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于 一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实 施例的步骤;而前述的存储介质包括ROM、 RAM、磁碟或者光盘 等各种可以存储程序代码的介质。
如图4所示,为本发明端到端语音加密装置的一实施例的结构示 意图。本实施例的装置包括以下模块密钥信息获取模块1、密话通 道建立模块2和加密通话模块3。密钥信息获取模块1用于接收KMC 通过短消息发送的密钥信息。密话通道建立模块2用于与接收到密钥 信息的通话另一端建立密话通话通道。加密通话模块3用于在建立密 话通话通道后,根据密钥信息与通话另一端进行加密通话。本实施例 的装置可以作为功能模块设置在移动终端中或者独立存在。
如图5所示,为本发明端到端语音加密装置的另一实施例的结构 示意图。与上一实施例相比,本实施例还包括密钥分发请求模块4, 该模块用于通过网络侧设备向KMC发出密钥分发请求。密钥分发请 求可以釆用专用的信令或消息发送,或者包含在其他被发送的消息中。
如图6所示,为本发明端到端语音加密装置的再一实施例的结构 示意图。与前面两个实施例相比,还包括密钥表存储模块6和密钥提 取模块5。密钥表存储模块6用于存储一个或多个分别与不同密钥标 识对应的密钥。密钥提取模块5用于在密钥信息为密钥标识时,根据所述密钥标识从密钥表存储模块6中提取对应的密钥。
在本实施例中,KMC可以向发出请求的移动终端分发密钥标识, 接收到密钥标识的移动终端根据该密钥标识仔密钥表存储模块6中查 寻对应的密钥,这样可以降低密钥被截获而导致通话的被窃听风险。
如图7所示,为本发明端到端语音加密系统的一实施例的结构示 意图。该系统包括处于通信状态的第一移动终端7和第二移动终端8, 第一移动终端7和第二移动终端8可以根据从KMC 9中获取的密钥 信息进行加密通话。本实施例系统还包括KMC9,用于根据接收第一 移动终端7和第二移动终端8发出的密钥分发请求后,为本次通话随 机分配密钥信息,并将密钥信息通过短消息发送给第一移动终端7和 第二移动终端8。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而 非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属 领域的普通技术人员应当理解依然可以对本发明的具体实施方式
进 行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案 的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
10
权利要求
1、一种端到端语音加密方法,包括以下步骤处于通话状态的第一移动终端接收密钥管理服务器通过短消息发送的密钥信息后,与接收到所述密钥信息的通话另一端的第二移动终端建立密话通话通道;在建立密话通话通道后,所述第一移动终端根据所述密钥信息与第二移动终端进行加密通话。
2、 根据权利要求1所述的端到端语音加密方法,其中在接收密 钥管理服务器通过短消息发送的密钥信息之前,还包括处于通话状态的所述第一移动终端和第二移动终端通过网络侧 设备向密钥管理服务器发出密钥分发请求;所述密钥管理服务器接收所述密钥分发请求后,为本次通话随机 分配密钥信息,并将所述密钥信息通过短消息发送给所述第一移动终 端和第二移动终端。
3、 根据权利要求1所述的端到端语音加密方法,其中所述第一 移动终端根据所述密钥信息与第二移动终端进行加密通话的操作具体 为所述第一移动终端根据所述密钥信息对语音流进行加密和解密, 以实现与第二移动终端之间的加密通话。
4、 根据权利要求3所述的端到端语音加密方法,其中所述第一移动终端根据所述密钥信息对语音流进行加密和解密的操作具体为所述密钥信息为密钥本身,则所述第一移动终端使用所述密钥直 接对语音流进行加密和解密。
5、 根据权利要求3所述的端到端语音加密方法,其中所述第一 移动终端根据所述密钥信息对语音流进行加密和解密的操作具体为所述密钥信息为密钥标识,则所述第一移动终端根据所述密钥标 识从自身存储的密钥表中提取对应的密钥,并根据所述密钥对语音流 进行加密和解密。
6、 一种端到端语音加密装置,包括密钥信息获取模块,用于接收密钥管理服务器通过短消息发送的 密钥信息;密话通道建立模块,用于与接收到所述密钥信息的通话另一端建 立密话通话通道;加密通话模块,用于在建立密话通话通道后,根据所述密钥信息 与所述通话另一端进行加密通话。
7、 根据权利要求6所述的端到端语音加密装置,其中还包括 密钥分发请求模块,用于通过网络侧设备向密钥管理服务器发出密钥分发请求。
8、 根据权利要求6所述的端到端语音加密装置,其中还包括 密钥表存储模块,用于存储一个或多个分别与不同密钥标识对应的密钥;密钥提取模块,用于在密钥信息为密钥标识时,根据所述密钥标 识从密钥表存储模块中提取对应的密钥。
9、 一种端到端语音加密系统,包括处于通信状态的第一移动终端和第二移动终端,用于根据从密钥 管理服务器中获取的密钥信息进行加密通话;密钥管理服务器,用于根据接收第一移动终端和第二移动终端发 出的所述密钥分发请求后,为本次通话随机分配密钥信息,并将所述 密钥信息通过短消息发送给所述第一移动终端和第二移动终端。
全文摘要
本发明涉及一种端到端语音加密方法,包括以下步骤处于通话状态的第一移动终端接收密钥管理服务器通过短消息发送的密钥信息后,与接收到密钥信息的通话另一端的第二移动终端建立密话通话通道;在建立密话通话通道后,第一移动终端根据密钥信息与第二移动终端进行加密通话。本发明还涉及了一种端到端语音加密装置及系统。本发明中处于通话状态的主叫双方接收密钥管理服务器通过短消息的方式发送的密钥信息,并依据该密钥信息实现加密通话,实现了端到端的通话加密处理,保障了通信安全;另外,短消息方式实现简单,易于实施。
文档编号H04L29/06GK101309281SQ200810132259
公开日2008年11月19日 申请日期2008年7月22日 优先权日2008年7月22日
发明者宇 孙, 张琳峰, 李宝荣, 杨维忠, 林奕琳, 林衡华, 海 肖, 彪 龙 申请人:中国电信股份有限公司