专利名称:一种端到端的加密方法及装置的制作方法
技术领域:
本发明涉及通信技术领域,特别涉及一种端到端的加密方法及装置。
背景技术:
目前移动通信技术已有广泛应用,通过移动终端进行通话的用户越来越多,进而 对移动通信的安全要求越来越高。为了保证移动通信的安全,3GPP提供了对主被叫语音分别独立的加密方式,参见 图1,其是现有的对主被叫语音进行加密的流程示意图,具体为在主叫侧主叫终端发起呼叫后,主叫移动交换中心(MSC)对主叫终端进行鉴权及加密处 理;主叫无线网络控制器(RNC)根据主叫MSC下发的加密算法对无线通信进行加密;主叫RNC将来自主叫的语音解密后发送给核心网(CN);在被叫侧寻呼到被叫后,被叫MSC对被叫终端进行鉴权及加密处理;被叫RNC从CN获取数据,根据被叫MSC下发的加密算法对无线通道进行加密。发明人在实施现有技术的过程中发现主叫和被叫的语音加密过程是割裂的,并 且只有在无线侧才是加密的,在CN侧没有加密,因此,现有实现中实际不存在端到端加密。
发明内容
本发明实施例提供了一种端到端的加密方法及装置,在不改变现有网络的情况 下,提供一种端到端的加密方式,以充分保证用户通信数据的安全。本发明实施例提供了一种端到端的加密方法,所述方法还包括主叫与被叫之间建立专用数据业务通道;获取由加密服务器分配的数据加密密钥;所述加密服务器位于核心网中;应用所述数据加密密钥对待发送的数据进行加密,将加密后的数据通过所述专用 数据业务通道发送至被叫。本发明实施例还提供了一种端到端的加密装置,所述装置包括专用数据业务通道建立单元,用于主叫与被叫之间建立专用数据业务通道;加密密钥获取单元,用于获取由加密服务器分配的数据加密密钥;所述加密服务 器位于核心网中;传输单元,用于应用所述数据加密密钥对待发送的数据进行加密,将加密后的数 据通过所述专用数据业务通道发送至被叫。应用本发明实施例提供的方法及装置,获得了一种端到端之间的加密机制,不需 要对现有技术进行任何改动,实现了端到端之间的加密,保证了主被叫之间所传递数据的安全。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其他的附图。图1是现有的对主被叫语音进行加密的流程示意图;图2是根据本发明实施例的一网络构架示意图;图3是根据本发明实施例的一种端到端的加密方法流程图;图4是根据本发明实施例的对语音数据进行加密的流程图;图5是根据本发明实施例的主叫短信的加密流程图;图6是根据本发明实施例的被叫短信的加密流程图;图7是根据本发明实施例的一种端到端的加密装置逻辑结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。参见图2,其是根据本发明实施例的一网络构架示意图,本实施例中,在现有网络 的基础上部署一个加密专网,用于用户通信的加密,对现网无需改动,该专网中设置一加密 服务器Gerver),用户的通信都经过该加密专网中的加密服务器。在通信呼叫的建立之前, 先建立一专用数据业务通道,该专用数据业务通道可以传送加密的语音、短信等业务。主被 叫通过用户面协商向加密krver获取密钥。图2中最粗的线表示专用数据业务通道,黑实 线表示加密语音,虚线表示解密语音,点划线表示加密短信,双点画线表示解密短信。参见图3,其是根据本发明实施例的一种端到端的加密方法流程图,本实施例在现 网的基础上部署一加密专网,该专网中设置一加密服务器,所有的通信都需经该加密专网, 即都需经过该加密服务器。结合图2和图3,图3所示流程可以具体包括步骤301,主叫与被叫之间建立专用数据业务通道;步骤302,获取由加密服务器分配的数据加密密钥;所述加密服务器位于核心网 中;步骤303,应用所述数据加密密钥对待发送的数据进行加密,将加密后的数据通过 所述专用数据业务通道发送至被叫。至此,应用本发明实施例提供的方法,获得了一种端到端之间的加密机制,不需要 对现有技术进行任何改动,实现了端到端之间的加密,保证了主被叫之间所传递数据的安全。需要说明的是,如果上述主叫为主叫终端,被叫为被叫终端;待发送的数据为语音 数据;则上述步骤301可以具体包括
主叫终端发起语音加密呼叫,所述呼叫的被叫号码前添加有加密服务器地址主叫网络收到所述呼叫后,将所述呼叫路由到加密服务器;加密服务器对所述呼叫中的主、被叫号码所对应的主被叫终端进行鉴权;鉴权通过后,所述加密服务器将所述呼叫路由到被叫,发起到被叫终端的数据业 务,以建立专用数据业务通道。上述步骤302可以具体包括主叫终端通过用户面获取加密服务器分配的第一数据加密密钥;被叫终端通过用户面获取加密服务器分配的第二数据加密密钥;其中,所述第一数据加密密钥和第二数据加密密钥相同或不同。上述步骤303可以具体包括如果所述第一数据加密密钥和第二数据加密密钥相同,则应用所述数据加密密钥 对待发送的数据进行加密,将加密后的数据通过所述专用数据业务通道发送至被叫的步骤 包括主叫终端应用所述第一数据加密密钥对待发送的语音数据进行加密,将加密后的 语音数据通过所述专用业务数据通道发送至加密服务器;加密服务器将接收到数据通过所述专用数据业务通道转发给被叫终端;如果所述第一数据加密密钥和第二数据加密密钥不同,则应用所述数据加密密钥 对待发送的数据进行加密,将加密后的数据通过所述专用数据业务通道发送至被叫的步骤 包括主叫终端应用所述第一数据加密密钥对待发送的语音数据进行加密,将加密后的 语音数据通过所述专用业务数据通道发送至加密服务器;加密服务器应用所述第一数据加密密钥对接收到的语音数据进行解密,再应用所 述第二数据加密密钥对待发送的语音数据进行加密;加密服务器将应用第二数据加密密钥加密的语音数据通过所述专用数据业务通 道发送给被叫终端。需要说明的是,如果主叫为主叫终端,被叫为加密服务器;待发送的数据为短信数 据;则上述步骤301可以具体包括主叫终端发起短信加密呼叫,所述呼叫的被叫号码为加密服务器地址;主叫网络收到所述呼叫后,将所述呼叫通过所述专用数据业务通道路由到加密服 务器;加密服务器对所述主叫终端进行鉴权;鉴权通过后,所述主叫终端与加密服务器之间建立专用数据业务通道。上述步骤302可以具体包括主叫终端通过用户面获取加密服务器分配的第一数据加密密钥。上述步骤303可以具体包括主叫终端应用所述第一数据加密密钥对待发送的短信数据进行加密,将加密后的 短信数据通过所述专用数据业务通道发送至加密服务器。此时,图3所示方法还可以包括加密服务器将接收到数据通直接转发给短消息服务中心,或者,加密服务器将接收到数据解密后通过标准方式发送给短消息服务中心。需要说明的是,如果主叫为加密服务器,被叫为被叫终端,待发送的数据为短信数 据;则上述步骤301可以具体包括加密服务器接收来自短消息服务中心的被叫短信数据,所述被叫短信数据中包含 有被叫号码;加密服务器对所述被叫号码所对应的被叫终端进行鉴权;鉴权通过后,所述加密服务器与被叫终端与之间建立专用数据业务通道。上述步骤302可以具体包括加密服务器获取自身分配给被叫终端的第二数据加密密钥,并且,加密服务器将 所述第二数据加密密钥通过用户面发送给被叫终端。上述步骤303可以具体包括加密服务器应用所述第二数据加密密钥对待发送的被叫短信数据进行加密,将加 密后的被叫短信数据通过所述专用数据业务通道发送至被叫终端。需要说明的是,对于图3所述方法还可以包括主被叫之间数据交互完毕后,释放 所述专用数据业务通道。下面结合具体实施例对本发明再做详细说明。参见图4,其是根据本发明实施例的对语音数据进行加密的流程图。本实施例中, 已预先设置了一加密服务器,该加密服务器位于核心网中,主叫为主叫终端,被叫为被叫终 端,且主被叫直接进行语音通话,该流程具体可以包括以下步骤步骤1,主叫终端发起语音加密呼叫,所述呼叫的被叫号码前添加有加密krver 地址;具体的,该步骤可通过呼叫建立(SetUp)消息来实现;步骤2,主叫网络的MSC收到该呼叫后根据被叫号码的加密krver地址将该呼叫 路由到加密krver ;具体的,该步骤可通过初始地址消息(IAM)来实现;步骤3,加密krver收到该呼叫后对呼叫中的主、被叫号码所对应的主、被叫终端 进行加密鉴权;该鉴权的内容主要是鉴权主被叫终端是否具有加密业务;本实施例中假设主被叫 均通过鉴权;步骤4-6,加密krver对主被叫终端加密鉴权通过后,路由被叫终端,发起到被叫 终端的语音业务,以使主被叫终端间建立起专用数据业务通道,即数据业务呼叫接通;具体的,加密krver到被叫网络可通过IAM消息来实现,被叫网络到被叫终端由 SetUp消息来实现;步骤7,加密krver通过用户面密钥分配消息向主叫分配第一数据加密密钥;步骤8,加密krver通过用户面密钥分配消息向被叫分配第二数据加密密钥;步骤9,主被叫根据加密krver分配的密钥对语音进行加密,主被叫双方进行端 到端加密通话。具体的,第二数据加密密钥可与第一数据加密密钥密钥相同或不同;
如果相同,加密服务器收到主叫终端应用第一数据加密密钥对待发送的语音数据 进行加密后的业务数据时;可以将该接收到数据通过所述专用数据业务通道直接转发给被 叫终端;如果不同,加密服务器收到主叫终端应用第一数据加密密钥对待发送的语音数据 进行加密后的业务数据时,先应用第一数据加密密钥对接收到的语音数据进行解密,再应 用第二数据加密密钥对待发送的语音数据进行加密;之后,应用第二数据加密密钥加密的 语音数据通过所述专用数据业务通道发送给被叫终端。至此,实现了语音呼叫的端到端加密。需要说明的是,上述步骤3中,如果对主叫终端通过鉴权,对被叫终端未通过鉴 权,则仍可以执行后续流程,当然,此时是主叫到加密服务器之间的半程加密;如果对主叫 终端未通过鉴权,对被叫终端通过鉴权,则结束本流程,不再执行图4所示方法。需要说明的是,在主被叫通话结束后,释放所建立的专用数据业务通道。参见图5,其是根据本发明实施例的主叫短信的加密流程图,本实施例中,已预先 设置了一加密服务器,该加密服务器位于核心网中,主叫为主叫终端,被叫为加密服务器, 主叫需要发送短信,该流程具体可以包括以下步骤步骤1,主叫终端发起短信加密呼叫,所述呼叫的被叫号码为加密krver地址;具体的,该步骤可通过ktUp消息来实现;步骤2,主叫网络的MSC收到该呼叫后根据被叫号码的加密krver地址将该呼叫 路由到加密krver ;具体的,该步骤可通过IAM来实现;步骤3,加密krver收到该呼叫后对所述呼叫中的主叫号码所对应的主叫终端进 行鉴权;该鉴权的内容主要是鉴权主叫终端是否具有加密业务;本实施例中假设主叫终端 通过鉴权;步骤4,加密krver对主叫终端加密鉴权通过后接通呼叫,即主叫终端与加密服 务器之间建立专用数据业务通道;步骤5,加密krver通过用户面密钥分配消息向主叫终端分配第一数据加密密 钥;步骤6,主叫终端根据加密krver分配的第一数据加密密钥对短信进行加密,通 过专用数据业务通道发送到加密krver ;具体的,可以通过短消息(Short Message)来实现;该消息是用户面的消息;步骤7,加密krver将从用户面收到的加密短信转换成标准短信消息发送到短消 息中心;具体的,可以通过前向短消息(Forward short message)来实现;这里,可以有两种实现方式,一种是,加密义!^吐将接收到的加密短信解密后发 送给SMC,另一种是,加密krver直接将接收到的加密短信发送给SMC ;步骤8,主叫终端短信发送完毕后,结束通话,释放专用数据业务通道。至此,实现了主叫短信的加密。需要说明的是,上述步骤3中,如果对主叫终端未通过鉴权,则结束本流程,不再执行图5所示方法。参见图6,其是根据本发明实施例的被叫短信的加密流程图,本实施例中,已预先 设置了一加密服务器,该加密服务器位于核心网中,主叫为加密服务器,被叫为被叫终端, 被叫需要接收短信,该流程具体可以包括以下步骤步骤1,加密^^%1·接收来自短消息服务中心的被叫短信数据,该被叫短信数据 中包含有被叫号码;具体的,可以通过前向短消息(Forward short message)来实现;步骤2,加密krver对被叫号码所对应的被叫终端进行鉴权;该鉴权的内容主要是鉴权被叫终端是否具有加密业务;本实施例中假设被叫终端 通过鉴权;步骤3,加密krver对被叫终端加密鉴权通过后,发起到被叫网络的数据业务呼 叫,主叫号码为加密krver地址;具体的,该步骤可通过IAM来实现;步骤4-5,被叫网络将该被叫的数据业务接续至被叫终端以接通呼叫,S卩加密服务 器与被叫终端与之间建立专用数据业务通道;步骤6,加密krver通过用户面密钥分配消息向被叫终端分配第二数据加密密 钥;具体的,可以通过Siort Message消息来实现;该消息是用户面的消息;步骤7,加密krver将加密的短信通过专用数据业务通道发送至被叫终端;这里,如果SMC发送给加密krver的是未加密的短信数据,则加密krver应用第 二数据加密密钥对该短信数据加密后通过专用数据业务通道发送至被叫终端;如果SMC发 送给加密krver的是加密的短信数据,则加密krver应用对应的密钥解密后,再应用第二 数据加密密钥对该短信数据加密后通过专用数据业务通道发送至被叫终端;步骤8,被叫终端根据加密krver分配的密钥解密加密短信;被叫终端接收完毕 后,结束通话,释放数据业务通道。至此,实现了被叫短信的加密。需要说明的是,上述步骤3中,如果对被叫终端未通过鉴权,则结束本流程,不再 执行图6所示方法。本发明实施例还提供了一种端到端的加密装置,参见图7,所述装置可以包括专用数据业务通道建立单元701,用于主叫与被叫之间建立专用数据业务通道;加密密钥获取单元702,用于获取由加密服务器分配的数据加密密钥;该加密服 务器位于核心网中;传输单元703,用于应用所述数据加密密钥对待发送的数据进行加密,将加密后的 数据通过所述专用数据业务通道发送至被叫。上述装置还可以包括释放单元,用于主被叫之间数据交互完毕后,释放所述数据业务通道。应用本发明实施例提供的装置,获得了一种端到端之间的加密机制,不需要对现 有技术进行任何改动,实现了端到端之间的加密,保证了主被叫之间所传递数据的安全。对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关
9之处参见方法实施例的部分说明即可。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实 体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存 在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵 盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要 素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排
除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可 以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中, 这里所称得的存储介质,如R0M/RAM、磁碟、光盘等。以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在 本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围 内。
权利要求
1.一种端到端的加密方法,其特征在于,所述方法还包括 主叫与被叫之间建立专用数据业务通道;获取由加密服务器分配的数据加密密钥;所述加密服务器位于核心网中; 应用所述数据加密密钥对待发送的数据进行加密,将加密后的数据通过所述专用数据 业务通道发送至被叫。
2.根据权利要求1所述的方法,其特征在于,所述主叫为主叫终端,所述被叫为被叫终 端;所述待发送的数据为语音数据;所述主叫与被叫之间建立专用数据业务通道的步骤包 括主叫终端发起语音加密呼叫,所述呼叫的被叫号码前添加有加密服务器地址; 主叫网络收到所述呼叫后,将所述呼叫路由到加密服务器; 加密服务器对所述呼叫中的主、被叫号码所对应的主被叫终端进行鉴权; 鉴权通过后,所述加密服务器将所述呼叫路由到被叫,发起到被叫终端的数据业务,以 建立专用数据业务通道。
3.根据权利要求2所述的方法,其特征在于,获取由加密服务器分配的数据加密密钥 的步骤包括主叫终端通过用户面获取加密服务器分配的第一数据加密密钥; 被叫终端通过用户面获取加密服务器分配的第二数据加密密钥; 其中,所述第一数据加密密钥和第二数据加密密钥相同或不同。
4.根据权利要求3所述的方法,其特征在于,如果所述第一数据加密密钥和第二数据加密密钥相同,则应用所述数据加密密钥对 待发送的数据进行加密,将加密后的数据通过所述专用数据业务通道发送至被叫的步骤包 括主叫终端应用所述第一数据加密密钥对待发送的语音数据进行加密,将加密后的语音 数据通过所述专用业务数据通道发送至加密服务器;加密服务器将接收到数据通过所述专用数据业务通道转发给被叫终端; 如果所述第一数据加密密钥和第二数据加密密钥不同,则应用所述数据加密密钥对 待发送的数据进行加密,将加密后的数据通过所述专用数据业务通道发送至被叫的步骤包 括主叫终端应用所述第一数据加密密钥对待发送的语音数据进行加密,将加密后的语音 数据通过所述专用业务数据通道发送至加密服务器;加密服务器应用所述第一数据加密密钥对接收到的语音数据进行解密,再应用所述第 二数据加密密钥对待发送的语音数据进行加密;加密服务器将应用第二数据加密密钥加密的语音数据通过所述专用数据业务通道发 送给被叫终端。
5.根据权利要求1所述的方法,其特征在于,所述主叫为主叫终端,所述被叫为加密服 务器;所述待发送的数据为短信数据;所述主叫与被叫之间建立专用数据业务通道的步骤 包括主叫终端发起短信加密呼叫,所述呼叫的被叫号码为加密服务器地址; 主叫网络收到所述呼叫后,将所述呼叫通过所述专用数据业务通道路由到加密服务器;加密服务器对所述主叫终端进行鉴权;鉴权通过后,所述主叫终端与加密服务器之间建立专用数据业务通道。
6.根据权利要求5所述的方法,其特征在于,获取由加密服务器分配的数据加密密钥 的步骤包括主叫终端通过用户面获取加密服务器分配的第一数据加密密钥。
7.根据权利要求6所述的方法,其特征在于,应用所述数据加密密钥对待发送的数据 进行加密,将加密后的数据通过所述专用数据业务通道发送至被叫的步骤包括主叫终端应用所述第一数据加密密钥对待发送的短信数据进行加密,将加密后的短信 数据通过所述专用数据业务通道发送至加密服务器。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括加密服务器将接收到数 据通直接转发给短消息服务中心,或者,加密服务器将接收到数据解密后发送给短消息服 务中心。
9.根据权利要求1所述的方法,其特征在于,所述主叫为加密服务器,所述被叫为被叫 终端;所述待发送的数据为短信数据;所述主叫与被叫之间建立专用数据业务通道的步骤 包括加密服务器接收来自短消息服务中心的被叫短信数据,所述被叫短信数据中包含有被 叫号码;加密服务器对所述被叫号码所对应的被叫终端进行鉴权;鉴权通过后,所述加密服务器与被叫终端与之间建立专用数据业务通道。
10.根据权利要求9所述的方法,其特征在于,获取由加密服务器分配的数据加密密钥 的步骤包括加密服务器获取自身分配给被叫终端的第二数据加密密钥,并且,加密服务器将所述 第二数据加密密钥通过用户面发送给被叫终端。
11.根据权利要求10所述的方法,其特征在于,应用所述数据加密密钥对待发送的数 据进行加密,将加密后的数据通过所述专用数据业务通道发送至被叫的步骤包括加密服务器应用所述第二数据加密密钥对待发送的被叫短信数据进行加密,将加密后 的被叫短信数据通过所述专用数据业务通道发送至被叫终端。
12.根据权利要求1至11任一所述的方法,其特征在于,所述方法还包括主被叫之间 数据交互完毕后,释放所述专用数据业务通道。
13.—种端到端的加密装置,其特征在于,所述装置包括专用数据业务通道建立单元,用于主叫与被叫之间建立专用数据业务通道;加密密钥获取单元,用于获取由加密服务器分配的数据加密密钥;所述加密服务器位 于核心网中;传输单元,用于应用所述数据加密密钥对待发送的数据进行加密,将加密后的数据通 过所述专用数据业务通道发送至被叫。
14.根据权利要求13所述的方法,其特征在于,所述装置还包括释放单元,用于主被叫之间数据交互完毕后,释放所述数据业务通道。
全文摘要
本发明实施例提供了一种端到端的加密方法及装置,所述方法包括设置一加密服务器,所述方法还包括主叫与被叫之间建立专用数据业务通道;获取由加密服务器分配的数据加密密钥,所述加密服务器位于核心网中;应用所述数据加密密钥对待发送的数据进行加密,将加密后的数据通过所述专用数据业务通道发送至被叫。应用本发明,获得了一种端到端之间的加密机制,不需要对现有技术进行任何改动,实现了端到端之间的加密,保证了主被叫之间所传递数据的安全。
文档编号H04W12/02GK102137393SQ20101060971
公开日2011年7月27日 申请日期2010年12月28日 优先权日2010年12月28日
发明者王勇, 鲍国庆 申请人:华为技术有限公司