一种电话交换网量子加密系统与加密通信方法与流程

本发明涉及通信领域，特别是涉及一种电话交换网量子加密系统与加密通信方法。

背景技术：

国家电网公司按照“统一技术体制、统一规划、统一建设”的原则，统筹部署，全局规划，在全国推行并建设“架构稳固、运维便利、资源合理、业务丰富”的ims(ipmultimediasubsystem)行政交换网。目前，全国各省级电力公司基本完成ims核心网主备系统建设工作，而基于tdm体制的程控交换将逐步退运。伴随着国家电网公司ims网络的快速发展及话务量的成倍增长，网络复杂性也在迅速增加。

由于ip网络和ims分层结构的特性，使得ims网络安全性问题越来越严重。ims交换与程控交换将长期并网运行，部分用户仍在使用电路交换网，需要一个过程逐步将电路交换系统的用户割接至ims交换系统，网络结构的复杂性导致交换网络整体安全性难以实时掌握，网络安全监测和运维管理水平亟待提高。

存在的问题具体分析如下：

一是网络安全性问题严重。一方面是网络攻击手段不断多样化，安全防护困难度越来越大。二是随着ims系统在国家电网公司专网中的部署，交换网络ip化的同时，网络遭受攻击和信息截获的可能性也变得更大。

二是传统电话交换网的全网安全性情况无法及时掌握，无法快速、及时判定并自动发现网络的安全问题。

三是现有安全技术均存在安全隐患，无法真正保证数据在电话交换网络中传输的绝对安全性。同时交换网络存在缺少安全监测手段，安全问题反馈时间长、处理缓慢、严重影响用户信息安全性等问题。

技术实现要素：

为克服上述现有技术的不足，本发明提供了一种电话交换网量子加密系统与加密通信方法，通过对数据包的量子加密手段，对国家电网公司ims域电话之间、pstn域电话之间、ims域电话和pstn域电话之间的通信进行加密，通过生成量子密钥并对密钥进行管理，实现对每个语音数据包在发送端进行量子加密，在接收端进行解密，实现通信的绝对安全。同时，能够实现安全路由的自主选择，对频繁出现安全问题的路由进行屏蔽并选择安全路由进行数据传输。

为实现上述目的，本发明采用如下技术方案：

一种电话交换网量子加密系统，其特征在于，包括：总量子生成管理系统、总pstn域和总ims域量子vpn、多个区域的pstn域和ims域量子生成管理终端、以及所述多个区域的pstn域和ims域量子vpn；其中，

所述总量子生成管理系统分别与总pstn域量子vpn和总ims域量子vpn相连接；

所述总量子生成管理系统分别与所述多个区域的pstn域和ims域量子生成管理终端相连接，所述多个区域的pstn域和ims域量子生成管理终端通过量子专线相连接；

每个区域的pstn域量子生成管理终端分别与本区域和其他区域的pstn域量子vpn相连接；每个区域的pstn域量子vpn与总pstn域量子vpn相连接；

每个区域的ims域量子生成管理终端与本区域ims域量子vpn相连接；每个区域的ims域量子vpn和总ims域量子vpn均接入数据通信网。

进一步地，所述总pstn域量子vpn与总汇接c1交换机相连接，所述总汇接c1交换机与程控话机相连接；

所述总ims域量子vpn分别与总ims核心网、媒体网关mgw相连接；

所述区域pstn域量子vpn与本区域pstn交换机相连接；

所述区域ims域量子vpn分别与本区域ims核心ce、媒体网关mgw相连接并接入数据通信网；所述区域ims核心ce分别与ims核心网元、会话边界控制器sbc连接，所述会话边界控制器sbc分别与sip终端和iad设备连接。

一个或多个实施例提供了基于所述量子加密系统的加密通信方法，

跨区域通信开始时，主叫端通过量子密钥传输路由将密钥传输到被叫端的量子生成管理终端；

所述量子生成管理终端将密钥分发给各自的量子vpn，量子vpn对每条信令进行加密，信令握手成功后，量子vpn对所传输的语音数据包或媒体数据包进行加密。

进一步地，所述量子密钥传输路由确定方法包括：

总量子生成管理系统分别与各区域量子生成管理终端测试互通；

各区域量子生成管理终端之间分别进行量子密钥直连测试互通；

总量子生成管理系统根据互通测试结果，确定总量子生成管理系统分别与各区域量子生成管理终端，以及各区域量子生成管理终端之间的最佳安全量子密钥传输路由。

进一步地，数据传输过程中，所述总量子生成管理系统监测量子密钥传输路由的成码率，若所述成码率低于一定阈值，则针对所述路由进行告警，并选择容灾路由进行传输。

进一步地，当a区域pstn域用户呼叫本区域ims用户时，pstn域量子vpn将信令进行加密，并传输到本区域ims域入局端的量子vpn进行解密，解密后的信令进入ims核心网网元进行信令转换并找到该ims用户；

呼叫成功后，语音数据通过pstn端的量子vpn、ims的媒体网关mgw和ims端的量子vpn通道进行量子加密传输。

进一步地，当a区域pstn域用户呼叫b区域pstn域用户时，信令和语音数据包均通过本端的量子vpn进行加密和解密。

进一步地，当a区域pstn域用户呼叫b区域ims域用户时，a区域pstn域通过量子vpn将信令进行加密，传输到本区域ims域的量子vpn进行解密；

解密后的信令进入本区域ims核心网网元进行信令转换和被叫号码识别，通过ims量子vpn对信令进行二次加密，然后传输到b区域量子vpn进行解密，同时送至b区域核心网网元查找被叫用户；

呼叫成功后，语音数据通过pstn端量子vpn、本区域mgw、b区域ims端量子vpn通道进行量子加密传输。

进一步地，当a区域ims域用户呼叫b区域用户时，a区域用户发出的信令通过本端的量子vpn进行加密，然后通过数据通信网传输到b区域量子vpn进行解密；

解密后的信令进入b区域ims核心网网元并查找被叫用户；

若被叫用户为ims域用户，成功触发业务后，媒体流通过a区域ims量子vpn进行加密后，通过数据通信网进行传输；b区域ims端量子vpn进行解密后，媒体流传输到被叫用户。

进一步地，当a区域ims域用户呼叫b区域用户时，a区域用户发出的信令通过本端的量子vpn进行加密，然后通过数据通信网传输到b区域量子vpn进行解密；

解密后的信令进入b区域ims核心网网元并查找被叫用户；

若被叫用户为pstn用户，则b区域ims核心网进行信令转换，b区域ims量子vpn将所述信令进行加密，传输至b区域pstn域的量子vpn解密，成功触发业务后，语音数据通过a区域ims量子vpn、b区域mgw、b区域pstn域量子vpn通道进行数据量子加密传输。

本发明的有益效果

1、本公开提供了一种跨省域的电话交换网量子加密方法，各省域均包括pstn域和ims域，能够实现同一省域内和不同省域之间pstn域和pstn域、pstn域和ims域以及ims域和ims域用户的通信，并且通信过程中，根据业务逻辑对信令和语音数据进行量子加密，每一次传输的数据均进行加密，实现了一次一密，保证了电话交换网络中传输的绝对安全性；

2、本公开建立了总部量子密钥生成管理系统，与各省域的量子生成管理终端连接，通过该总部量子密钥生成管理系统可以对量子信道进行自动测试，验证公司总部到各省公司ims交换网、pstn网络的量子加密安全性和可用性，无需人工参与；并且在数据传输过程中对路由安全进行监测，当前路由安全性低于阈值时选择容灾路由，确保了通信可靠性；同时还通过各公司量子vpn验证网络可用性，定位安全性差的路由，从而降低信息窃取的可能性。

附图说明

构成本申请的一部分的说明书附图用来提供对本申请的进一步理解，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。

图1为实施例中量子加密网络架构图。

具体实施方式

应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

实施例中涉及的英文缩写介绍：

ims，ipmultimediasubsystem，是ip多媒体子系统；

pstn，publicswitchedtelephonenetwork，公共交换电话网络；

iad，internetaddictiondisorder，综合接入设备；

sbc，sessionbordercontroller，会话边界控制器；

mgw，mediagateway，媒体网关；

sip，sessioninitiationprotocol，会话初始协议。

实施例一

本实施例公开了一种电话交换网量子加密系统，包括：总量子生成管理系统、总pstn域和总ims域量子vpn、多个区域的pstn域和ims域量子生成管理终端、以及所述多个区域的pstn域和ims域量子vpn；其中，

所述总量子生成管理系统分别与总pstn域量子vpn和总ims域量子vpn相连接；

所述总量子生成管理系统分别与所述多个区域的pstn域和ims域量子生成管理终端相连接，所述多个区域的pstn域和ims域量子生成管理终端通过量子专线相连接；

每个区域的pstn域量子生成管理终端分别与本区域和其他区域的pstn域量子vpn相连接；每个区域的pstn域量子vpn与总pstn域量子vpn相连接；

每个区域的ims域量子生成管理终端与本区域ims域量子vpn相连接；每个区域的ims域量子vpn和总ims域量子vpn均接入数据通信网。

进一步地，所述总pstn域量子vpn与总汇接c1交换机相连接，所述总汇接c1交换机与程控话机相连接；

所述总ims域量子vpn分别与总ims核心网、媒体网关mgw相连接；

所述区域pstn域量子vpn与本区域pstn交换机相连接；

所述区域ims域量子vpn分别与本区域ims核心ce、媒体网关mgw相连接并接入数据通信网；所述区域ims核心ce分别与ims核心网元、会话边界控制器sbc连接，所述会话边界控制器sbc分别与sip终端和iad设备连接。

作为一种优选实施方式，将上述加密系统应用于国家电网公司总部和各省级电力公司构成的网络中。所述加密系统包括：

总部量子生成管理系统，部署在国家电网公司总部。

所述总部量子生成管理系统与总部pstn域量子vpn相连接，所述总部量子生成管理系统与总部ims域量子vpn相连接。所述总部pstn域量子vpn与总部汇接c1交换机相连接，所述总部汇接c1交换机与程控话机相连接。

省公司量子生成管理终端，部署在各省公司pstn域及各省公司ims域。

所述各省公司pstn域的量子生成管理终端与本省公司pstn域的量子vpn相连接；所述各省公司pstn域的量子vpn与本省公司pstn交换机相连接。

所述各省公司ims域的量子生成管理终端与本省公司ims域的量子vpn相连接；所述各省公司ims域量子vpn分别与本省公司ims核心ce、媒体网关mgw相连接并接入数据通信网；所述各省公司ims核心ce分别与ims核心网元、会话边界控制器sbc连接，所述会话边界控制器sbc分别与sip终端和iad设备连接。

所述各省公司pstn域的量子vpn分别与其他省公司pstn域的量子vpn互联，与本省ims域量子vpn相连接，与总部pstn域量子vpn相连接。

所述总部量子生成管理系统分别与各省公司pstn域量子生成管理终端、各省公司ims域的量子生成管理终端相连接，所述各省公司pstn域量子生成管理终端、各省公司ims域的量子生成管理终端通过量子专线相连接。

所述总部ims域量子vpn分别与总部ims核心网、媒体网关mgw相连接并接入数据通信网。

所述总部量子密钥生成管理系统功能包括：密钥生成、密钥存储、密钥分配、数据分析、路由检测、安全告警等。

所述量子生成与管理终端具备量子密钥生成、存储和管理功能，不同省份之间构成量子传输网络。

系统中配置多条容灾迂回量子加密路由，各省公司的量子生成管理终端均包含ims和程控两条与总部量子生成管理系统量子通道相连的量子传输信道，当一条线路出现问题后，其它线路可以作为容灾迂回路由。

实施例二

基于实施例一中的量子加密网络，本实施例提供了一种电话交换网量子加密通信方法，包括以下步骤：

步骤(1)：总部量子密钥生成管理系统分别与各省公司量子密钥生成管理终端使用传统bb84协议进行测试互通，确定各省到总部的量子密钥本并存储在总部量子密钥生成管理系统中；

步骤(2)：各省公司pstn域和ims域量子密钥生成管理终端之间均使用传统bb84协议进行量子密钥直连测试互通，确定互通密码本并存储到总部量子密钥生成管理系统中；

步骤(3)：总部量子生成管理系统接收互通测试的结果，收集、统计分析各终端间的密钥互通情况，确定总部量子密钥生成管理系统和各省公司量子密钥生成管理终端，以及省公司量子密钥生成管理终端和省公司量子密钥生成管理终端之间的最佳安全量子密钥传输路由，即步骤(1)和(2)通过互通测试的量子加密信道；

步骤(4)：跨省、跨域通话开始后，主叫端选择步骤(3)的量子密钥传输路由将密钥传输到被叫端的量子生成管理终端；量子生成管理终端将密钥分发给各自的量子vpn，量子vpn对每条信令进行加密，当信令握手成功后，量子vpn将对所传输的语音数据包或媒体数据包进行加密。根据不同的场景，选择不同传输通道。

步骤(5)：总部量子密钥生成管理系统将检测数据传输通道的成码率，若成码率低于设定的阈值，则对该路由情况进行告警，并选择容灾路由进行传输。

一种电话交换网量子加密方案，包括以下场景：

1.当a省pstn域用户呼叫本省ims用户时，pstn域经量子vpn将所用的七号信令进行加密，通过e1信道将加密后的信令传输到本省ims域入局端的量子vpn进行解密，解密后的七号信令进入ims核心网网元进行信令转换并找到该ims用户。呼叫成功后，语音数据通过pstn端的量子vpn、ims的媒体网关mgw和ims端的量子vpn通道进行量子加密传输。

2.当a省pstn域用户呼叫b省pstn用户时，信令和语音数据包均通过本端的量子vpn进行加密和解密，实现不同省份之间的pstn用户通信使用量子加密。

3.当a省pstn域用户呼叫b省ims用户时，由a省ims进行出局。pstn域通过量子vpn将所用的七号信令进行加密，通过e1信道传输到本省ims域的量子vpn进行解密；本省ims域核心网元进行被叫号码识别后，通过ims量子vpn对所发出的sip信令进行二次加密，然后传输到b省量子vpn进行解密，并送至b省核心网网元查找被叫用户。呼叫成功后，语音数据通过pstn端量子vpn、本省mgw、b省ims端量子vpn通道进行量子加密传输。在语音数据传输过程中，本省ims端量子vpn不再进行二次加解密工作。

4.当a省ims域用户呼叫b省ims域用户时，a省用户发出的sip信令通过本端的量子vpn进行加密，然后通过数据通信网传输到b省量子vpn进行解密，解密后的sip信令进入b省ims核心网网元并查找被叫用户；若被叫用户为ims用户，业务触发成功后，媒体流通过a省ims量子vpn进行加密后，通过数据通信网进行传输；b省ims端量子vpn进行解密后，媒体流传输到所呼叫的用户。

5.当a省ims域用户呼叫b省pstn用户时，由a省ims进行出局。a省用户发出的sip信令通过本端的量子vpn进行加密，然后通过数据通信网传输到b省量子vpn进行解密，解密后的sip信令进入b省ims核心网网元并查找被叫用户，若被叫用户为pstn用户，则由b省ims核心网转换为七号信令并由b省ims量子vpn进行加密，送至b省pstn域的量子vpn解密，成功触发业务后，语音数据通过a省ims量子vpn、b省mgw、b省pstn域量子vpn通道进行数据量子加密传输。在语音数据传输过程中，b省ims量子vpn不再进行二次加解密工作。

本领域技术人员应该明白，上述本发明的各模块或各步骤可以用通用的计算机装置来实现，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。本发明不限制于任何特定的硬件和软件的结合。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。