EAS14接收来自终端的请求消息,完成终端注册、身份鉴权以及密 钥分发等相关操作;进一步地,所述KMC15还能够通过EAS14向终端下发控制指令以实现对 终端的远程管控。
[0102] 需要说明的是,在图3所示的保密通信业务系统中,为了增强用户对所管辖终 端及密钥的管控力度,提高用户对运营商保密通信业务服务的信任度,实际应用时,所述 KMC15通常可由用户自行部署,从而将密码的管理权与通信过程的控制权分离,允许用户负 责密钥全生命周期的管理,以满足用户对密钥管理的安全需求。进一步地,针对不同的用户 群体所形成的不同的用户域,可独立部署多个具备不同安全等级的KMC15来对其下属终端 进行管控,因此,还可进一步达到满足用户对不同安全等级的密钥管理的需求。
[0103] 另外需要说明的是,虽然所述保密通信业务系统通常以MS核心网络(包括SBC、 P-CSCF、S-CSCF、HSS等网元)为基础提出,但这并不意味着所述保密通信业务系统仅能够与 MS系统相结合。例如,若将所述MS核心网络替换为SIP服务器,则所述保密通信业务系统 中的各EAS以及KMC等网元也能够以相同方式与SIP服务器相结合,以基于SIP系统为用户 提供相应的保密通信业务。此时,所述SIP服务器可看作为所述网络侧呼叫会话控制单元, 本发明实施例对此不再进行赘述。再有需要说明的是,本发明实施例所述保密通信业务系 统可用于实现端到端的多媒体保密通信业务,包括但不限于加密语音通话、加密视频通话、 加密会议通话、加密短信、加密文件传输以及加密邮件等,本发明实施例对此也不作赘述。
[0104] 为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进 一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施 例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的 所有其它实施例,都属于本发明保护的范围。
[0105] 实施例一:
[0106] 如图4所示,其为本发明实施例一中所述保密通信业务的实现方法的流程示意 图,所述保密通信业务的实现方法可应用于图3所示的保密通信业务系统中。具体地,所述 方法可包括以下步骤:
[0107] 步骤101 :EAS接收网络侧呼叫会话控制单元转发的来自主叫终端的初始会话请 求消息,所述初始会话请求消息中携带有用于指示本次呼叫为加密呼叫的保密通信指示信 肩、。
[0108] 具体地,所述初始会话请求消息通常可为基于SIP协议的初始会话请求消息,包 括INVITE消息以及MESSAGE消息等,本发明实施例对此不作任何限定。
[0109] 进一步地,在本发明所述实施例中,终端用户在通过主叫终端向被叫终端发起呼 叫时,可根据实际需要来选择是否设置所述保密通信指示信息,以指明所述主叫终端所发 起的本次呼叫为加密呼叫或非加密呼叫。
[0110] 进一步地,在本发明所述实施例中,至少可通过以下方式来设置所述保密通信指 示信息:
[0111] 方式一:通过在所述初始会话请求消息的起始行的被叫标识中增加特殊前缀的方 式来设置所述保密通信指示信息,也就是说,可通过所述被叫标识中的特殊前缀来表示所 述保密通信指示信息。
[0112] 例如,假设被叫终端B的标识为sip: userBOhome. cn,当主叫终端A向被叫终 端B发起加密呼叫时,主叫终端可通过将所述初始会话请求消息的起始行填写为INVITE sip:userB@jiami. home, cn SIP/2. 0的方式,来携带所述保密通信指示信息,其中,上述语 句中的斜体字jiami即为所述用于表示所述保密通信指示信息的特殊前缀。
[0113] 方式二:通过对所述初始会话请求消息的现有头字段定义特殊参数值的方式来设 置所述保密通信指示信息,也就是说,可通过为所述初始会话请求消息的现有头字段所定 义的特殊参数值来表示所述保密通信指示信息。
[0114] 例如,在主叫终端A向被叫终端B发起加密呼叫时,主叫终端A可发送如下基于 SIP协议的初始会话请求信息:
[0115] INVITE sip:userBihome. cn SIP/2.0
[0116] To: "User B" <sip:userB@home. cn>
[0117] From: "User A"〈sip:userA@home. cn>;tag=veli
[0118] Cal1-ID:apb03a0s09dkjdfglkj49555
[0119] CSeq:l INVITE
[0120] Subject: jiami...
[0121] Contact:〈sip:[5555::1:2:3:4]:1357〉
[0122] Content-Type:application/sdp
[0123] Content-Length:159
[0124] 其中,上述Subject头字段中的斜体字jiami即为所定义的用于表示所述保密通 信指示信息的特殊参数值。
[0125] 方式三:通过对所述初始会话请求消息定义新的头字段的方式来设置所述保密通 信指示信息,也就是说,通过为所述初始会话请求消息定义的新的头字段来表示所述保密 通信指示信息。
[0126] 例如,在主叫终端A向被叫终端B发起加密呼叫时,主叫终端A可发送如下基于 SIP协议的初始会话请求信息:
[0127] INVITE sip:userBihome. cn SIP/2. 0
[0128] To: "User B" <sip:userB@home. cn>
[0129] From: "User A,'〈sip :userA@home. cn>; tag=veli
[0130] Cal1-ID:apb03a0s09dkjdfglkj49555
[0131] CSeq:l INVITE
[0132] Call-Type: jiami...
[0133] Contact:〈sip: [5555::1:2:3:4]:1357〉
[0134] Content-Type:application/sdp
[0135] Content-Length:159
[0136] 其中,上述Call-Type即为新定义的用于表示所述保密通信指示信息的头字段。
[0137] 方式四:通过在所述初始会话请求消息承载的SDP信息中选择特定SDP参量,并对 所述特定SDP参量定义特殊参数值的方式来设置所述保密通信指示信息,也就是说,可通 过为所述初始会话请求消息承载的SDP信息中的特定SDP参量定义的特殊参数值来表示所 述保密通信指示信息。
[0138] 例如,在主叫终端A向被叫终端B发起加密呼叫时,主叫终端A可发送如下基于 SIP协议的初始会话请求信息:
[0139] INVITEsip:userBihome.cnSIP/2. 0
[0140] To:"UserB" <sip:userB@home.cn>
[0141] From:"UserA,'〈sip:userA@home.cn>;tag=veli
[0142] Cal1-ID:apb03a0s09dkjdfglkj49555
[0143] CSeq:lINVITE
[0144] Contact:〈sip:[5555::1:2:3:4]:1357〉
[0145] Content-Type:application/sdp
[0146] Content-Length:159
[0147] v=0
[0148] o=-29879336152987933615INIP6INIP65555::1:2:3:4
[0149] i=jiami...
[0150] c=INIP65555::1:2:3:4
[0151] t=9071652750
[0152] m=audi〇3458RTP/AVP0969798
[0153] a=rtpmap: 0PCMU
[0154] 其中,上述i=jiami语句中的斜体字jiami即为对所述特定SDP参量所定义的用 于表示所述保密通信指示信息的特殊参数值。
[0155] 方式五:通过对所述初始会话请求消息承载的SDP信息定义新的SDP参量的方式 来设置所述保密通信指示信息,也就是说,可通过为所述初始会话请求消息承载的SDP信 息定义的新的SDP参量来表示所述保密通信指示信息。
[0156] 例如,在主叫终端A向被叫终端B发起加密呼叫时,主叫终端A可发送如下基于 SIP协议的初始会话请求信息:
[0157] INVITEsip:userBihome.cnSIP/2. 0
[0158] To:"UserB" <sip:userB@home.cn>
[0159] From:"UserA,'〈sip:userA@home.cn>;tag=veli
[0160] Cal1-ID:apb03a0s09dkjdfglkj49555
[0161] CSeq:lINVITE
[0162] Contact:〈sip:[5555::1:2:3:4]:1357〉
[0163] Content-Type:application/sdp
[0164] Content-Length:159
[0165] v=0
[0166] o=-29879336152987933615INIP6INIP65555::1:2:3:4
[0167] s=-
[0168] l=jiami...
[0169] c=INIP65555::1:2:3:4
[0170] t=9071652750
[0171] m=audi〇3458RTP/AVP0969798
[0172] a=rtpmap:OPCMU
[0173] 其中,上述l=jiami即为新定义的用于表示所述保密通信指示信息的SDP参量。
[0174] 需要说明的是,在本发明所述实施例中,除了采用上述五种方式来设置所述保密 通信指示信息之外,还可以采用其他方式在所述初始会话请求消息中设置所述保密通信指 示信息,本发明实施例对此不作任何限定。
[0175] 步骤102 :根据所述初始会话请求消息,确定所述主叫终端以及被叫终端所归属 的用户域,并从所确定的用户域内选择相应的KMC,以及,触发所述KMC为所述主叫终端以 及所述被叫终端生成本次呼叫所需使用的会话密钥。
[0176] 具体地,在本发明所述实施例中,所述EAS可通过解析所述初始会话请求消息,并 根据所述初始会话请求消息中携带的主被叫终端标识或者其他信息的方式来确定所述主 被叫终端所归属的用户域。需要说明的是,在本发明所述实施例中,所涉及到的主被叫终端 所归属的用户域通常是指所述主叫终端以及所述被叫终端所共同归属的用户域,本发明实 施例对此不再赘述。
[0177] 相应地,在确定所述主被叫终端所归属的用户域之后,可从所确定的用户域内选 择任一KMC来为所述主被叫终端生成本次呼叫所需使用的会话密钥。具体地,所述EAS可 对所选择的相应的KMC进行寻址,之后,向该KMC发起会话密钥请求,以触发所述KMC为所 述主被叫终端生成本次呼叫所需使用的会话密钥。
[0178] 进一步地,由于在本发明所述实施例中,为了达到满足用户对不同安全等级的密 钥管理的需求,针对不同的用户群体所形成的各用户域,可独立部署多个具备不同安全等 级的KMC来对其下属终端进行管控,因此,在本发明所述实施例中,为了实现不同安全等级 的KMC的触发,所述初始会话请求消息中通常还可携带有用于指示本次呼叫对应的安全等 级的安全等级指示信息,相应地,从所确定的用户域内选择相应的KMC,可以包括:
[0179] 根据所述安全等级指示信息,确定本次呼叫对应的安全等级,并从所确定的