一种端到端加密通信的协商方法及装置与流程

本发明涉及通信
技术领域：
，特别涉及一种端到端加密通信的协商方法及装置。
背景技术：
：端到端加密指的是主叫和被叫之间进行密码协商，空口，网络之间全部为密话传输，只有对端终端可以进行解密。这种情况下，就需要设计一种机制，能够通知被叫终端，此次呼叫为端到端加密呼叫。目前完成这种功能的主要机制为：1、利用OTT、短信或者USSD方案通知被叫此次为端到端加密呼叫，如图1所示：a.主叫发起加密通话后，通过短消息/USSD/OTT消息通知被叫；b.被叫收到主叫的加密通话消息之后，向主叫发送确认消息；c.通过以上两步可完成被叫端到端加密通话通知。2、利用专用网元进行被叫加密语音通知：终端发起通话，此通话被送至加密通话专用网元进行处理，如果是加密通话，则通过此网元消息下发给被叫，通知被叫此次为加密通话，如果为明话，则此网元直接透传此消息；被叫收到加密通话消息后，进行确认处理，还需经过专用加密通话网元进行处理。现有短信/USSD/OTT方案，虽然解决了被叫终端加密通话通知，但是现有方案存在时延较长，可靠性较低，以及需要网络改造等问题的问题。采用USSD或者是OTT方案，需要增加新的USSD或者是OTT服务器，或者是对现有的USSD服务器或OTT服务器进行改造。通过短信方案，则不需要进行网络改造。现有方案，加密通话建立时延较大，终端进行加密通话过程之前，需要进行一次短信通知，一次短信确认，以及两次模式转换。在这种情况下，比正常CSFB通话时延多10秒以上。现有方案可靠性较低：短信/USSD/OTT在进行消息传递时，由于采用的都是公共信道传递，或者是公共业务平台进行转发，所以当业务繁忙时，就有可能导致短信/USSD/OTT消息无法及时传递，从而造成加密通话失败。现有专用网元解决方案，既可以解决被叫加密通话通知的问题，也可以解决时延问题，但是需要进行网络改造，工作量和成本都很巨大。技术实现要素：本发明的目的在于提供一种端到端加密通信的协商方法及装置，既可以解决被叫加密通话通知的问题，也可以解决时延问题，同时不需要网络修改，节省网络投资。为了达到上述目的，本发明实施例提供一种端到端加密通信的协商方法，用于第一通信终端，包括：向第二通信终端发送第一IMS消息，所述第一IMS消息中至少包括标识本次通信为加密通信的第一加密使能字段以及标识所述第一通信终端支持的加密类型的第一加密类型字段；接收所述第二通信终端返回的第二IMS消息，所述第二IMS消息中至少包括由第二通信终端确定的标识本次加密通信是否协商成功的第二加密使能字段；解析所述第二IMS消息，若所述第二加密使能字段显示本次加密通信协商成功，根据第二IMS消息中标识本次加密通信使用的加密类型的第二加密类型字段，确定本次加密通信使用的加密类型，利用所述加密类型进行加密通信。其中，所述协商方法还包括：解析所述第二IMS消息，若所述第二加密使能字段显示本次加密通信协商失败，根据第二IMS消息中标识本次加密通信协商失败原因的失败原因字段，确定本次加密通信协商失败原因。其中，所述向第二通信终端发送第一IMS消息之前还包括：与核心网EPC和IP多媒体子系统IMS分别建立连接；向第二通信终端发起语音长期演进VOLTE寻呼，使得所述第二通信终端根据所述VOLTE寻呼分别与EPC和IMS建立连接。本发明实施例还提供一种端到端加密通信的协商方法，用于第二通信终端， 包括：接收第一通信终端发送的第一IMS消息，所述第一IMS消息中至少包括标识本次通信为加密通信的第一加密使能字段以及标识所述第一通信终端支持的加密类型的第一加密类型字段；根据所述第一IMS消息中第一通信终端支持的加密类型和所述第二通信终端自身支持的加密类型，确定本次加密通信是否协商成功；根据本次加密通信是否协商成功，构建第二IMS消息返回给所述第一通信终端；所述第二IMS消息中至少包括标识本次加密通信是否协商成功的第二加密使能字段，若本次加密通信协商成功，所述第二IMS消息还包括标识本次加密通信使用的加密类型的第二加密类型字段。其中，所述协商方法还包括：若本次加密通信协商失败，所述第二IMS消息还包括标识本次加密通信协商失败原因的失败原因字段。其中，所述根据所述第一IMS消息中第一通信终端支持的加密类型和所述第二通信终端自身支持的加密类型，确定本次加密通信是否协商成功，具体包括：若存在所述第一通信终端和所述第二通信终端均支持的加密类型，则本次加密通信协商成功；若不存在所述第一通信终端和所述第二通信终端均支持的加密类型，则本次加密通信协商失败。其中，所述接收第一通信终端发送的第一IMS消息之前还包括：接收分别与EPC和IMS连接的第一通信终端发起的VOLTE寻呼；根据所述VOLTE寻呼分别与EPC和IMS建立连接。本发明实施例还提供一种端到端加密通信的协商装置，用于第一通信终端，包括：第一发送模块，用于向第二通信终端发送第一IMS消息，所述第一IMS消息中至少包括标识本次通信为加密通信的第一加密使能字段以及标识所述第一通信终端支持的加密类型的第一加密类型字段；第一接收模块，用于接收所述第二通信终端返回的第二IMS消息，所述第 二IMS消息中至少包括由第二通信终端确定的标识本次加密通信是否协商成功的第二加密使能字段；第一解析模块，用于解析所述第二IMS消息，若所述第二加密使能字段显示本次加密通信协商成功，根据第二IMS消息中标识本次加密通信使用的加密类型的第二加密类型字段，确定本次加密通信使用的加密类型，利用所述加密类型进行加密通信。其中，所述协商装置还包括：第二解析模块，用于解析所述第二IMS消息，若所述第二加密使能字段显示本次加密通信协商失败，根据第二IMS消息中标识本次加密通信协商失败原因的失败原因字段，确定本次加密通信协商失败原因。其中，所述协商装置还包括：第一连接模块，用于与核心网EPC和IP多媒体子系统IMS分别建立连接；第二连接模块，用于向第二通信终端发起语音长期演进VOLTE寻呼，使得所述第二通信终端根据所述VOLTE寻呼分别与EPC和IMS建立连接。本发明实施例还提供一种端到端加密通信的协商装置，用于第二通信终端，包括：第二接收模块，用于接收第一通信终端发送的第一IMS消息，所述第一IMS消息中至少包括标识本次通信为加密通信的第一加密使能字段以及标识所述第一通信终端支持的加密类型的第一加密类型字段；确定模块，用于根据所述第一IMS消息中第一通信终端支持的加密类型和所述第二通信终端自身支持的加密类型，确定本次加密通信是否协商成功；第一构建模块，用于根据本次加密通信是否协商成功，构建第二IMS消息返回给所述第一通信终端；所述第二IMS消息中至少包括标识本次加密通信是否协商成功的第二加密使能字段，若本次加密通信协商成功，所述第二IMS消息还包括标识本次加密通信使用的加密类型的第二加密类型字段。其中，所述协商装置还包括：第二构建模块，用于若本次加密通信协商失败，所述第二IMS消息还包括标识本次加密通信协商失败原因的失败原因字段。其中，所述确定模块包括：第一协商模块，用于若存在所述第一通信终端和所述第二通信终端均支持的加密类型，则本次加密通信协商成功；第二协商模块，用于若不存在所述第一通信终端和所述第二通信终端均支持的加密类型，则本次加密通信协商失败。其中，所述协商装置还包括：第三接收模块，用于接收分别与EPC和IMS连接的第一通信终端发起的VOLTE寻呼；第三连接模块，用于根据所述VOLTE寻呼分别与EPC和IMS建立连接。本发明的上述技术方案至少具有如下有益效果：本发明实施例的端到端加密通信的协商方法及装置中，复用现有的IMS消息，通过第一IMS消息通知第二通信终端此次通信为加密通信，并且将自身支持的加密能力传递给第二通信终端，则第二通信终端向第一通信终端发送加密通信确认IMS消息(第二IMS消息)，并且将此次通信使用的加密方法传递给第一通信终端，实现了端到端加密通信协商的目的，则第一通信终端和第二通信终端可以进行后续的加密通话流程处理；该方法完全由终端自主实现，方法简单、可靠，不需要网络修改，节省网络投资；同时由于该第一IMS消息和第二IMS消息是复用已有的IMS消息，不会增加额外的接入时延，解决了时延的问题。附图说明图1表示现有技术中端到端加密通信的协商方法的流程示意图；图2表示本发明实施例中第一通信终端侧的端到端加密通信的协商方法流程图；图3表示本发明实施例中第二通信终端侧的端到端加密通信的协商方法流程图；图4表示本发明实施例中第一通信终端与第二通信终端配合的流程示意图；图5表示本发明实施例中第一通信终端侧的端到端加密通信的协商装置的组成结构图；图6表示本发明第一通信终端侧的端到端加密通信的协商方法的具体流程 图；图7表示本发明实施例中第二通信终端侧的端到端加密通信的协商装置的组成结构图；图8表示本发明第二通信终端侧的端到端加密通信的协商方法的具体流程图。具体实施方式为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。本发明针对现有技术中利用网元进行被叫加密语音通知的方法需要进行网络改造，工作量和成本都很大的问题，提供一种端到端加密通信的协商方法及装置，复用现有的IMS消息，通过第一IMS消息通知第二通信终端此次通信为加密通信，并且将自身支持的加密能力传递给第二通信终端，则第二通信终端向第一通信终端发送加密通信确认IMS消息(第二IMS消息)，并且将此次通信使用的加密方法传递给第一通信终端，实现了端到端加密通信协商的目的，则第一通信终端和第二通信终端可以进行后续的加密通话流程处理；该方法完全由终端自主实现，方法简单、可靠，不需要网络修改，节省网络投资；同时由于该第一IMS消息和第二IMS消息是复用已有的IMS消息，不会增加额外的接入时延，解决了时延的问题。需要说明的是，本发明实施例提供的端到端加密通信的协商方法是指第一通信终端和第二通信终端之间协商加密通信的方法，且该加密通信为加密通话，则第一通信终端为主叫终端，第二通信终端为被叫终端。进一步的，本发明具体实施例中，第一通信终端和第二通信终端均为VOLTE(VoiceOverTermEvolution，语音长期演进)终端，VOLTE的实现必须依托于IP多媒体子系统(简称IMS)网络部署，VOLTE终端为IMS网元实体，即支持VOLTE功能的用户设备。需要了解的是，对于VOLTE终端而言，通话建立过程和普通的CS通话是有所不同的，终端要首先建立和EPC(核心网)的联系，使终端进入到EMM-Registered和ECM-Connected状态，然后进行IMS附着状态，随后即可 发起VOLTE呼叫。终端发起VOLTE呼叫，是在IMS域完成的，其VOLTE通话建链过程也是通话IMS消息完成的。IMS消息不同于CS信令消息，CS信令消息格式是固定的，只有通过RSV字段进行扩展，而且在EPC各个网元传输过程中，每个网元都会根据自己的接口协议重新解析和重置此消息，所以基本无法完成端到端消息透传，而IMS消息是文本格式的消息，很类似于数据业务，IMS网元可以完成消息透传，本发明实施例提供的协商方法是基于IMS消息的这种特性来完成被叫加密通话通知的。具体的，下面分别从第一通信终端(主叫终端)侧和第二通信终端(被叫终端)侧对本发明的协商方法进行具体描述：如图2所示，用于第一通信终端侧的本发明实施例提供的一种端到端加密通信的协商方法，包括：步骤21，向第二通信终端发送第一IMS消息，所述第一IMS消息中至少包括标识本次通信为加密通信的第一加密使能字段以及标识所述第一通信终端支持的加密类型的第一加密类型字段；步骤22，接收所述第二通信终端返回的第二IMS消息，所述第二IMS消息中至少包括由第二通信终端确定的标识本次加密通信是否协商成功的第二加密使能字段；步骤23，解析所述第二IMS消息，若所述第二加密使能字段显示本次加密通信协商成功，根据第二IMS消息中标识本次加密通信使用的加密类型的第二加密类型字段，确定本次加密通信使用的加密类型，利用所述加密类型进行加密通信。如图3所示，用于第二通信终端侧的本发明实施例提供的一种端到端加密通信的协商方法，包括：步骤31，接收第一通信终端发送的第一IMS消息，所述第一IMS消息中至少包括标识本次通信为加密通信的第一加密使能字段以及标识所述第一通信终端支持的加密类型的第一加密类型字段；步骤32，根据所述第一IMS消息中第一通信终端支持的加密类型和所述第二通信终端自身支持的加密类型，确定本次加密通信是否协商成功；步骤33，根据本次加密通信是否协商成功，构建第二IMS消息返回给所述 第一通信终端；所述第二IMS消息中至少包括标识本次加密通信是否协商成功的第二加密使能字段，若本次加密通信协商成功，所述第二IMS消息还包括标识本次加密通信使用的加密类型的第二加密类型字段。本发明上述实施例中，第一通信终端与第二通信终端之间传递的IMS消息是添加了关于本次通话的加密通话信息字段得到的第一IMS消息和第二IMS消息；具体的，第一IMS消息为第一通信终端发送的加密通知和加密能力的IMS消息，该字段设计的数据结构为：第一加密使能字段第一加密类型字段第一加密使能字段：加密使能字段使用1个Bit即可，其中1代表本次通话为加密通话；0代表本次通话为非加密通话(反之，1代表本次通话为非加密通话；0代表本次通话为加密通话也是本发明的保护范围)。通常情况下，该加密使能字段用于标识本次通信为加密通信，对于本次通信为非加密通信的情况，本发明实施例提供的方法不予具体描述。第一加密类型字段：第一加密类型字段为主叫终端支持的加密类型字段，该加密类型字段是可扩展字段，根据第一通信终端所能支持的加密类型能力进行扩展。进一步的，第二IMS消息为第二通信终端发送的确认本次加密通话的IMS消息，该字段设计的数据结构为：第二加密使能字段第二加密类型字段第二加密使能字段：加密使能字段使用1个Bit即可，其中1代表本次加密通话协商成功；0代表本次加密通话协商失败(反之，1代表本次加密通信协商失败；0代表本次加密通信协商成功也是本发明的保护范围)。需要说明的是，当第二加密使能字段显示本次加密通信协商成功，则第二IMS消息还包括第二加密类型字段，该第二加密类型字段标识第二通信终端确定的本次加密通信使用的加密类型，该加密类型字段是可扩展字段，根据本次加密通信使用的加密类型进行扩展。但是，若第二加密使能字段显示本次加密通信协商失败，则第二IMS消息还包括失败原因字段，具体的，第一通信终端侧，所述协商方法还包括：步骤24，解析所述第二IMS消息，若所述第二加密使能字段显示本次加密 通信协商失败，根据第二IMS消息中标识本次加密通信协商失败原因的失败原因字段，确定本次加密通信协商失败原因。对应的，第二终端侧的协商方法还包括：步骤34，若本次加密通信协商失败，所述第二IMS消息还包括标识本次加密通信协商失败原因的失败原因字段。其字段设计的数据结构为：第二加密使能字段失败原因字段第二加密使能字段与上述一致，在此不重复赘述；失败原因字段为可扩展字段，若第二加密使能字段显示本次加密通信协商失败，即本次加密通信无法进行，则在此字段中标示出失败原因，若无法查明原因，该字段也可为空。综上，第二IMS消息包含第二加密使能字段、第二加密类型字段和失败原因字段，其字段设计的数据结构为：第二加密使能字段失败原因字段第二加密类型字段需要说明的是，其失败原因字段和第二加密类型字段均为可扩展字段，当第二加密使能字段显示本次加密通信协商成功，忽略失败原因字段，填充第二加密类型字段；当第二加密使能字段显示本次加密通信协商失败，忽略第二加密类型字段，填充失败原因字段(若无法检测失败原因，也忽略失败原因字段)。本发明的具体实施例中，第二通信终端侧的步骤32具体包括：步骤321，若存在所述第一通信终端和所述第二通信终端均支持的加密类型，则本次加密通信协商成功；步骤322，若不存在所述第一通信终端和所述第二通信终端均支持的加密类型，则本次加密通信协商失败。具体的，第二通信终端根据自身加密算法的支持能力和第一通信终端传递过来的第一通信终端所支持的加密算法支持能力进行协商，协商算法的根本原则就是，双方必须都支持此加密算法，然后再综合考虑其他因素。步骤321为本发明实施例的理想状态下的协商原则，即只要存在共同支持的加密算法，就能实现本次加密通信。但是，在实际应用中，存在共同支持的加密算法的前提下，还需考虑如网络的拥塞度、丢包率等等因素综合确定是否能够实现本次加密通信。需要说明的是，若存在所述第一通信终端和所述第二通信终端均支持的加密类型，则采用该加密类型作为本次加密通信采用的加密类型，填入第二加密类型字段中。本发明的上述实施例中已经说明第一通信终端和第二通信终端均为VOLTE终端，考虑到VOLTE终端的特性，在第一通信终端发送第一IMS消息之前第一通信终端和第二通信终端需分别与EPC和IMS建立连接，才能满足主被叫之间传递IMS消息的条件。故为了保证方案的完整性，本发明实施例中第一终端侧还包括(所述向第二通信终端发送第一IMS消息之前)：步骤25，与核心网EPC和IP多媒体子系统IMS分别建立连接；步骤26，向第二通信终端发起语音长期演进VOLTE寻呼，使得所述第二通信终端根据所述VOLTE寻呼分别与EPC和IMS建立连接。相应的，本发明实施例中第二终端侧还包括(所述接收第一通信终端发送的第一IMS消息之前)：步骤35，接收分别与EPC和IMS连接的第一通信终端发起的VOLTE寻呼；步骤36，根据所述VOLTE寻呼分别与EPC和IMS建立连接。具体的，如图4所示，本发明实施例提供的端到端加密通信的协商方的具体流程如下：主叫发起加密通话，主叫建立EPC和IMS连接后通过网络向被叫发起VOLTE寻呼，被叫收到寻呼后，建立EPC和IMS连接，则双方均与EPC和IMS建立连接后，主被叫之间可传递IMS消息；主叫通过IMS消息通知被叫此次通话为加密通话，并且将自身支持的加密能力传递给被叫，被叫收到主叫发送的携带加密通信信息的IMS消息(第一IMS消息)后发送加密通话确认IMS消息，并且将此次通话使用的加密方法传递给主叫，最后主被叫进行后续加密通话流程处理。为了更好的实现上述目的，如图5所示，本发明实施例还提供一种端到端加密通信的协商装置，用于第一通信终端，包括：第一发送模块51，用于向第二通信终端发送第一IMS消息，所述第一IMS消息中至少包括标识本次通信为加密通信的第一加密使能字段以及标识所述第 一通信终端支持的加密类型的第一加密类型字段；第一接收模块52，用于接收所述第二通信终端返回的第二IMS消息，所述第二IMS消息中至少包括由第二通信终端确定的标识本次加密通信是否协商成功的第二加密使能字段；第一解析模块53，用于解析所述第二IMS消息，若所述第二加密使能字段显示本次加密通信协商成功，根据第二IMS消息中标识本次加密通信使用的加密类型的第二加密类型字段，确定本次加密通信使用的加密类型，利用所述加密类型进行加密通信。具体的，本发明上述实施例中，所述协商装置还包括：第二解析模块，用于解析所述第二IMS消息，若所述第二加密使能字段显示本次加密通信协商失败，根据第二IMS消息中标识本次加密通信协商失败原因的失败原因字段，确定本次加密通信协商失败原因。具体的，本发明上述实施例中，所述协商装置还包括：第一连接模块，用于与核心网EPC和IP多媒体子系统IMS分别建立连接；第二连接模块，用于向第二通信终端发起语音长期演进VOLTE寻呼，使得所述第二通信终端根据所述VOLTE寻呼分别与EPC和IMS建立连接。为了更好的描述第一通信终端侧的协商装置的协商流程，下面结合图6对第一通信终端侧的协商装置的具体工作流程作详细描述：步骤61，判断本次通话是否为加密通话；步骤62，若不是加密通话，则按照现有的方式发送IMS消息，并进入到明话通话过程；步骤63，若为加密通话，则填充第一加密使能字段为有效；步骤64，终端根据自身所能支持的加密算法填充主叫终端支持的第一加密类型字段；步骤65，将填充了加密通话消息(及第一加密使能字段和第一加密类型字段)的IMS消息发送给被叫；步骤66，判断被叫返回的第二IMS消息中是否包含加密通话确认字段；步骤67，若不包含加密通话确认字段，则此次VOLTE加密通话结束(如果存在被叫为CS加密通话的场景，则需要继续处理CS加密通话)；步骤68，若包含加密通话确认字段，则判断加密被叫的密通话确认消息中第二加密使能是否有效；步骤69，若第二加密使能无效，则根据被叫的加密通话确认消息中的加密通话失败原因，根据终端需求，决定是否将失败原因以某种用户界面显示给用户；步骤610，若第二加密使能有效，则根据被叫的加密通话确认消息中的本次加密通话使用的加密算法字段进行后续加密处理。需要说明的是，本发明实施例提供的第一通信终端侧的端到端加密通信的协商装置是应用上述第一通信终端侧的端到端加密通信的协商方法的装置，则上述协商方法的所有实施例均适用于该协商装置，且均能达到相同或相似的有益效果。为了更好的实现上述目的，如图7所示，本发明实施例还提供一种端到端加密通信的协商装置，用于第二通信终端，包括：第二接收模块71，用于接收第一通信终端发送的第一IMS消息，所述第一IMS消息中至少包括标识本次通信为加密通信的第一加密使能字段以及标识所述第一通信终端支持的加密类型的第一加密类型字段；确定模块72，用于根据所述第一IMS消息中第一通信终端支持的加密类型和所述第二通信终端自身支持的加密类型，确定本次加密通信是否协商成功；第一构建模块73，用于根据本次加密通信是否协商成功，构建第二IMS消息返回给所述第一通信终端；所述第二IMS消息中至少包括标识本次加密通信是否协商成功的第二加密使能字段，若本次加密通信协商成功，所述第二IMS消息还包括标识本次加密通信使用的加密类型的第二加密类型字段。具体的，本发明的上述实施例中，所述协商装置还包括：第二构建模块，用于若本次加密通信协商失败，所述第二IMS消息还包括标识本次加密通信协商失败原因的失败原因字段。具体的，本发明的上述实施例中，所述确定模块包括：第一协商模块，用于若存在所述第一通信终端和所述第二通信终端均支持的加密类型，则本次加密通信协商成功；第二协商模块，用于若不存在所述第一通信终端和所述第二通信终端均支 持的加密类型，则本次加密通信协商失败。具体的，本发明的上述实施例中，所述协商装置还包括：第三接收模块，用于接收分别与EPC和IMS连接的第一通信终端发起的VOLTE寻呼；第三连接模块，用于根据所述VOLTE寻呼分别与EPC和IMS建立连接。为了更好的描述第二通信终端侧的协商装置的协商流程，下面结合图8对第二通信终端侧的协商装置的具体工作流程作详细描述：步骤81，接收主叫终端的寻呼，建立EPC连接和IMS连接；步骤82，接收主叫终端发送的加密通话协商的第一IMS消息；步骤83，判断本次通话是否为加密通话；步骤84，若不是加密通话，则本次VOLTE加密通话流程结束；步骤85，若是加密通话，解析主叫加密通话消息中的主叫终端加密通话类型能力字段，然后根据自身加密通话类型支持能力进行协商本次通话使用的加密算法类型；步骤86，判断能力协商是否成功；步骤87，若能力协商成功，则填充加密通信反馈消息：加密通信使能填充为有效；填充本次加密通信使用的加密算法类型；步骤88，若能力协商失败，则填充加密通信反馈消息：加密通信使能填充为无效；填充本次加密通信失败的原因。需要说明的是，本发明实施例提供的第二通信终端侧的端到端加密通信的协商装置是应用上述第二通信终端侧的端到端加密通信的协商方法的装置，则上述协商方法的所有实施例均适用于该协商装置，且均能达到相同或相似的有益效果。以上所述是本发明的优选实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。当前第1页1 2 3