一种保密通信业务的实现方法、设备及系统的制作方法
【技术领域】
[0001] 本发明涉及信息安全技术领域,尤其涉及一种保密通信业务的实现方法、设备及 系统。
【背景技术】
[0002] 为了能够对MS( IP Multimedia Subsystem,IP多媒体子系统)媒体面承载传输的 用户业务信息进行端到端的加密保护,3GPP (Third Generation Partnership Project,第 3代合作伙伴计划)标准组织在TS33. 328中提出了 SDES (Session Description Protocol Security Descriptions for Media Streams,会话描述协议媒体流安全描述)和 KMS (Key Management Service,密钥管理服务)等两种相对独立的媒体面密钥管理方案来实现媒体 面会话密钥的协商,通过协商得到的会话密钥,系统能够在主被叫终端之间、或者终端与 IMS网络之间建立安全关联,并通过SRTP (Secure Real-Time Transport Protocol,安全 实时传输协议)协议或IPSec (Internet Protocol Security, IP安全协议)协议对用户媒 体面信息进行保护。
[0003] 具体地,如图1所示,其为采用SDES密钥管理方案来实现媒体面会话密钥协商的 基本流程示意图。在图1所示流程中,当SIP (Session Initiation Protocol,会话初始 协议)会话建立时,UE A (终端A)将用于对UE A发往UE B (终端B)的媒体流进行加密的 会话密钥K1写入SDP (Session Description Protocol,会话描述协议)密码属性中,并通 过信令面SIP消息发送给UE B;UE B在接收到所述消息后,存储所述会话密钥K1并将用于 对UE B发往UE A的媒体流进行加密的会话密钥K2通过SIP响应消息发送给UE A,在UE A接收并存储所述会话密钥K2之后,UE A和UE B可基于所述K1和K2对SRTP协议承载的 媒体流进行加解密操作,从而实现对用户数据的加密保密。其中,此过程所涉及到的网元可 包括IMS网络中的SBC (Session Border Controller,会话边界控制器)以及CSCF (Call Session Control Function,呼叫会话控制功能)等。
[0004] 也就是说,在采用SDES密钥管理方案来实现媒体面会话密钥的协商时,可通过增 加SDP密码属性信息来实现主被叫终端之间会话密钥的交互。但是,由于SDP密码属性信息 仅由终端处理,且其在頂S网络中是透明传输的、没有用于触发任何与保密通信相关的MS 网络业务,因此,所述SDES密钥管理方案仅是一种在IMS网络中实现媒体面加密功能的密 钥管理方案,而不是一种保密通信业务方案,从而导致运营商无法基于此方案开展保密通 信业务、进而无法达到为用户提供差异化服务以实现差异化计费的目的。
[0005] 而对于KMS密钥管理方案来说,其对应的媒体面会话密钥协商的基本流程示意图 可如图2所不。在图2所述流程中,在基于GBA (Generic Bootstrapping Architecture, 通用引导架构)机制对主被叫终端鉴权之后,用于负责用户密钥全生命周期管理的KMS实 体将产生的会话密钥通过鉴权过程中建立的安全通道传送给主被叫终端,使其能够对媒体 面信息进行加密保护,其中,此过程所涉及到的网元可包括頂S网络中的SBC、CSCF以及 HSS (Home Subscriber Server,归属用户服务器),以及 GBA 架构中的 SLF (Subscriber LocatorFunction,签约位置功能)、BSF(BootstrappingFunction,启动引导功能)以及NAF(NetworkApplicationFunction,网络应用功能)等网兀。
[0006] 也就是说,在采用KMS密钥管理方案来实现媒体面会话密钥的协商时,可实现网 络密钥中心对密钥的管理,但是从图2所示的密钥分发过程可以看出,密码属性信息是通 过SIP消息在MS网络内透明传输的,没有用于触发任何与保密通信相关的MS网络业务, 因此,所述KMS密钥管理方案也仅是一种在MS网络中实现媒体面加密功能的密钥管理方 案,而不是一种保密通信业务方案,从而导致运营商无法基于此方案开展保密通信业务、进 而无法达到为用户提供差异化服务以实现差异化计费的目的。
[0007] 综上所述,在采用目前常用的SDES或KMS等密钥管理方案来实现媒体面会话密钥 的协商时,由于其均仅是在頂S网络中实现媒体面加密功能的密钥管理方案,而不是MS保 密通信业务方案,因此,导致运营商无法直接基于上述各方案开展保密通信业务、进而无法 达到为用户提供差异化服务的目的,在降低用户满意度的同时导致了用户通信业务安全性 的降低。
【发明内容】
[0008] 本发明实施例提供了一种保密通信业务的实现方法、设备及系统,用以解决目前 存在的无法基于各密钥管理方案实现保密通信业务所导致的用户通信业务安全性较低的 问题。
[0009] 本发明实施例提供了一种保密通信业务的实现方法,包括:
[0010] EAS(EncryptionApplicationServer,加密应用服务器)接收网络侧呼叫会话控 制单元转发的来自主叫终端的初始会话请求消息,所述初始会话请求消息中携带有用于指 示本次呼叫为加密呼叫的保密通信指示信息;
[0011] 根据所述初始会话请求消息,确定所述主叫终端以及被叫终端所归属的用户域, 并从所确定的用户域内选择相应的KMC(KeyManagementCenter,密钥管理中心),以及,触 发所述KMC为所述主叫终端以及所述被叫终端生成本次呼叫所需使用的会话密钥。
[0012] 在本发明实施例所述技术方案中,由于可通过在初始会话请求消息中携带用于指 示本次呼叫为加密呼叫的保密通信指示信息的方式,来实现保密通信业务的触发,因而能 够达到基于MS网络为用户提供保密通信业务以提高用户通信业务的安全性的目的。
[0013] 进一步地,所述初始会话请求消息中还携带有用于指示本次呼叫对应的安全等级 的安全等级指示信息,则从所确定的用户域内选择相应的KMC,包括:
[0014] 根据所述安全等级指示信息,确定本次呼叫对应的安全等级,并从所确定的用户 域内,选择所具备的安全等级与本次呼叫对应的安全等级相匹配的KMC。
[0015] 具体地,由于在本发明实施例所述技术方案中,可根据用于指示本次呼叫对应的 安全等级的安全等级指示信息,从支持多个安全等级的用户域内,选择所具备的安全等级 与本次呼叫所对应的安全等级相同的KMC来为本次呼叫提供相应的密钥管理服务,因而使 得本发明实施例所述技术方案可适用于多级多域的密钥管理体系,进而可在区分业务安全 等级的基础上,达到满足用户对不同安全等级通信的需求的目的。
[0016] 进一步地,在本发明实施例所述技术方案中,所述保密通信指示信息或所述安全 等级指示信息通过在所述初始会话请求消息的起始行的被叫标识中增加的特殊前缀来表 示;或者,
[0017] 通过为所述初始会话请求消息的头字段定义的特殊参数值来表示;或者,
[0018] 通过为所述初始会话请求消息定义的新的头字段来表示;或者,
[0019] 通过为所述初始会话请求消息承载的SDP信息中的特定SDP参量定义的特殊参数 值来表示;或者,
[0020] 通过为所述初始会话请求消息承载的SDP信息定义的新的SDP参量来表示,以达 到提高保密通信指示信息设置的灵活性的目的。
[0021] 进一步地,当所述初始会话请求消息为INVITE消息(呼叫建立请求消息)时,在接 收网络侧呼叫会话控制单元转发的来自主叫终端的初始会话请求消息之后,所述方法还包 括:
[0022] 将所述初始会话请求消息转发至被叫终端,以使所述被叫终端根据所述初始会话 请求消息中携带的保密通信指示信息,确定本次呼叫为加密呼叫并执行相应的保密通信业 务处理操作。
[0023] 进一步地,当所述初始会话请求消息为MESSAGE消息(短信息传输消息)时,在接收 网络侧呼叫会话控制单元转发的来自主叫终端的初始会话请求消息的同时或之前,所述方 法还包括:
[0024] 接收网络侧呼叫会话控制单元转发的来自主叫终端的携带有所述保密通信指示 信息的INVITE消息,并将所述INVITE消息转发至被叫终端,以使所述被叫终端根据所述 INVITE消息中携带的保密通信指示信息,确定本次呼叫为加密呼叫并执行相应的保密通信 业务处理操作。
[0025] 本发明实施例还提供了一种保密通信业务的实现方法,包括:
[0026] 网络侧呼叫会话控制单元接收主叫终端发起的初始会话请求消息,所述初始会话 请求消息中携带有用于指示本次呼叫为加密呼叫的保密通信指示信息;
[0027] 根据预先配置的与所述初始会话请求消息相匹配的初始过滤准则,确定与所述初 始会话请求消息相对应的EAS;
[0028] 将所述初始会话请求消息转发至所述EAS,指示所述EAS执行以下操作:
[0029] 根据所述初始会话请求消息,确定所述主叫终端以及被叫终端所归属的用户域, 并从所确定的用户域内选择相应的KMC,以及,触发所述KMC为所述主叫终端以及所述被叫 终端生成本次呼叫所需使用的会话密钥。
[0030] 进一步地,所述初始会话请求消息中还携带有用于指示本次呼叫对应的安全等级 的安全等级指示信息,则指示所述EAS从所确定的用户域内选择相应的KMC,包括:
[0031] 指示所述EAS根据所述安全等级指示信息,确定本次呼叫对应的安全等级,并从 所确定的用户域内,选择所具备的安全等级与本次呼叫对应的安全等级相匹配的KMC。
[0032] 进一步地,所述保密通信指示信息或所述安全等级指示信息通过在所述初始会话 请求消息的起始行的被叫标识中增加的特殊前缀来表示;或者,
[0033] 通过为所述初始会话请求消息的头字段定义的特殊参数值来表示;或者,
[0034] 通过为所述初始会话请求消息定义的新的头字段来表示;或者,
[0035] 通过为所述初始会话请求消息承载的SDP信息中的特定SDP参量定义的特殊参数 值来表示;或者,
[0036] 通过为所述初始会话请求消息承载的SDP信息定义的新的SDP参量来表示。
[0037] 进一步地,当所述初始会话请求消息为INVITE消息时,在将所述初始会话请求消 息转发至所述EAS之后,所述方法还包括:
[0038] 指示所述EAS将所述初始会话请求消息转发至被叫终端,以使所述被叫终端根据 所述初始会话请求消息中携带的保密通信指示信息,确定本次呼叫为加密呼叫并执行相应 的保密通信业务处理操作。
[0039] 进一步地,当所述初始会话请求消息为MESSAGE消息时,在接收主叫终端发起的 初始会话请求消息的同时或之前,所述方法还包括:
[0040] 接收主叫终端发起的携带有所述保密通信指示信息的INVITE消息,并将所述 INVITE消息转发至所述EAS,指示所述EAS将所述INVITE消息转发至被叫终端,以使所述 被叫终端根据所述INVITE消息中携带的保密通信指示信息,确定本次呼叫为加密呼叫并 执行相应的保密通信业务处理操作。
[0041] 本发明实施例还提供了一种EAS,包括:
[0042] 接收单元,用于接收网络侧呼叫会话控制单元转发的来自主叫终端的初始会话请 求消息,所述初始会话请求消息中携带有用于指示本次呼叫为加密呼叫的保密通信指示信 息;
[0043] 执行单元,用于根据所述初始会话请求消息,确定所述主叫终端以及被叫终端所 归属的用户域,并从所确定的用户域内选择相应的KMC,以及,触发所述KMC为所述主叫终 端以及所述被叫终端生成本次呼叫所需使用的会话密钥。
[0044] 进一步地,所述初始会话请求消息中还携带有用于指示本次呼叫对应的安全等级 的安全等级指示信息;
[0045