专利名称:移动通讯网中加密语音通话的方法和系统、终端及网络侧的制作方法
技术领域:
本发明属于移动通信领域,涉及一种移动通讯网中加密语音通话的方法和系统, 以及终端和网络侧。
背景技术:
语音通话是移动通讯网的最基本也是最重要的业务,也最受用户和运营商的关 注,因此它的保密性和安全性也是移动网络技术的重要内容之一。本文首先对语音数据的产生,传输,交换,接收作一下的介绍。现在移动通讯网一 般的语音数据的产生由移动终端的受话器接收声波,产生PCM(Pulse Code Modulation,脉 冲编码调制)编码的数据,再经过转换为适合网络传输的编码,如WCDMA(宽带码分多址) 下的AMR编码,在GSM (网络下则为EFR/FR,HR编码后进行传输,到网络侧后,交换机双方交 换传输双方的AMR语音数据,而另一方接到网络侧传来下行的语音数据,再经过AMR解码得 到PCM语音数据,将其放入声码器进行发声。如附图1所示。移动网络本身有自身的通讯加密方法,在3G UMTS (包括WCDMA和TD-SCMDMA)系 统中,用户的USIM卡和归属网络的HLR/AuC(归属位置寄存器/鉴权中心)共享一个安全 密钥Ki (128bit),基于该安全密钥,网络可以对用户进行认证,用户也可以认证网络,基站 和终端间也利用Ki对无线链路进行加密和完整性保护。但这种加密方法只是加密无线环 境,当语音数据传递到网络侧,数据是非加密的,这也是网络监听的技术基础。这样数据的 安全性受到威胁。
发明内容
本发明要解决的技术问题是提供一种移动通讯网中加密语音通话的方法和系统、 终端和网络侧,从而实现全程加解密,增强语音通讯中安全和保密性。为了解决上述问题,本发明提供了一种移动通讯网中加密语音通话的方法,包 括发送方与接收方建立呼叫,发送方使用自身的加密密钥(CK)对语音帧进行加密 后,发送给网络侧;网络侧接收到发送方发送的该语音帧后,使用发送方的CK对所述语音帧进行解 密,使用接收方的CK对解密后的语音帧进行加密,发送给接收方;所述接收方从所述网络侧接收所述语音帧,使用自身的CK对所述语音帧进行解密。进一步地,上述方法还可具有以下特点 所述接收方或发送方通过如下方式获取其CK 所述接收方或发送方在呼叫建立过程中,与所述网络侧进行交互,获取随机数,结 合自身安全密钥Ki,生成自身的CK。进一步地,上述方法还可具有以下特点
所述网络侧通过如下方式获取发送方或接收方的CK 所述网络侧在呼叫建立过程中,对发送方或接收方,执行以下操作归属位置寄存 器或鉴权中心产生随机数,根据所述发送方或接收方的根密钥,结合产生的随机数,生成发 送方或接收方的CK,并将所述随机数发送给发送方或接收方。进一步地,上述方法还可具有以下特点所述发送方、接收方和网络侧使用硬件加 密模块实现所述加密和解密。进一步地,上述方法还可具有以下特点所述硬件加密模块由终端设备商和运营 商外的第三方提供。本发明还提供一种终端,所述终端包括加密模块、发送模块和接收模块,其中所述加密模块,用于使用加密密钥(CK)对语音帧进行加密后,发送给所述发送模 块;所述发送模块,用于将所述语音帧发送给网络侧;禾口/ 或,所述接收模块,用于从网络侧接收语音帧,发送给所述加密模块;所述加密模块,用于使用其CK对所述语音帧进行解密。进一步地,上述终端还可具有以下特点,所述加密模块为硬件加密模块。本发明还提供一种网络侧,所述网络侧包括接收模块、发送模块和加密模块,其 中所述接收模块,用于接收发送方发送的语音帧,发送给加密模块;所述加密模块,用于使用发送方的CK对所述语音帧进行解密,使用接收方的CK对 解密后的语音帧进行加密,发送给发送模块;发送模块,用于将所述语音帧发送给接收方。进一步地,上述网络侧还可具有以下特点,所述加密模块为硬件加密模块。本发明还提供一种移动通讯网中加密语音通话的系统,包括发送方、接收方和网 络侧,其中所述发送方用于与所述接收方建立呼叫,使用自身的加密密钥(CK)对语音帧进 行加密后,发送给网络侧;所述网络侧用于接收到所述发送方发送的语音帧后,使用发送方的CK对所述语 音帧进行解密,使用接收方的CK对解密后的语音帧进行加密,发送给接收方;所述接收方用于从所述网络侧接收所述语音帧,使用自身的CK对所述语音帧进 行解密。本发明实现的是在移动终端和核心网交换单元配置加密模块,对上下行语音数据 进行加解密的方法。这种加密语音通话在网络侧无法监听,而且在无线环境传输也是相当 于双加密的,更加保密和安全。即使窃听方获得了被窃听方得安全密钥Ki,也无法在无线传 输环境中进行窃听。本发明方案中加密因子CK每次都不同,只在本次呼叫中有效,更加大 了从无线传输环境中进行破解难度。本发明适用于政府敏感部门,情报机关,等等非常重视 安全和保密的组织和个人。
图1是通讯网络语音数据传输的示意图;图2是本发明通讯网络加密语音数据传输的示意图;图3是本发明语音数据发送终端加密过程内部交互图,以表明实现过程;图4是本发明网络对加密语音的处理流程示意图,以表明实现过程;图5是本发明语音数据接收终端解密过程内部交互图,以表明实现过程。
具体实施例方式本发明的实现与移动网络自身加密无关,属于叠加在网络自身加密之上的又一层 加密,其核心思想是通过在移动终端和核心网交换单元配置加密模块,实现对语音通话的 加密,其中,加密模块基于CK作为运算因子对移动通讯网的语音数据进行加密。 在本发明中,为了描述方便,以WCDMA制式下AMR语音数据帧的加解密过程来举例 描述。但本发明的方法应该在其他制式GSM,CDMA等也可适用。加密因子采用CK (Cipher Key加密密钥),使用RAND (随机数)和用户的根密钥 Ki根据A3算法计算出,CK = A3 (RAND, Ki)。而RAND每次语音通话时都会不同,它在呼叫 建立过程中也就是说每次语音通话的加密因子都会变化。对于每一个用户,都有一个Ki,同 时网络保留此用户的Ki,由于Ki是网络(实际上网络单元HLR/AUC)与终端共享的,RAND 是网络侧在每次语音呼叫时发送终端的,因此CK也是网络和某一个特定终端共享的。Ki作 为移动通讯网的根密钥,具有非常高的保密性和安全性。由于Ki的私密性和RAND参数的 随机性,CK具有作为加密运算因子的优势。本发明加密方案如附图2所示,在终端中加入加密模块,它可以是一个数字信号 处理器或者其他类似功能的设备,也可以基于软件实现,同时具有加密和解密功能,为了方 便起见,网络侧和终端中的加密模块运算规则相同,具体采用哪种加解密算法不属于本发 明内容,为了描述方便,我们可以称作X算法。其中,加密模块采用硬件实现的话,真正的语 音数据只在加密模块中短暂存在,通讯网络中其他的网络单元也只有加密后的数据,保密 效果更好,如图4所示。而加密模块可以由第三方提供,嵌入终端及网络设备中,负责对语 音数据进行加解密运算。这样即使网络、终端设备商和运营商都无法对加密语音电话进行 窃听。本发明提供一种移动通讯网中加密语音通话的方法,包括发送方与接收方建立呼叫,发送方使用自身的加密密钥(CK)对语音帧进行加密 后,发送给网络侧;网络侧接收到发送方发送的该语音帧后,使用发送方的CK对所述语音帧进行解 密,使用接收方的CK对解密后的语音帧进行加密,发送给接收方;所述接收方从所述网络侧接收所述语音帧,使用自身的CK对所述语音帧进行解
Γ t [ O本发明是在语音数据的产生端加入以下环节,如附图2所示在传输到网络前,将AMR语音数据包送入发送方的加密模块做X加密运算,加密运 算因子采用发送端的CK,从而得到加密AMR语音帧,并将加密AMR语音帧上传网络。网络侧将此加密语音帧,发送方CK,接收方CK送入网络侧的加密模块,网络侧的
6加密模块使用X算法,以发送方CK为运算因子对语音数据进行解密,然后再使用X算法,以 接收方CK为运算因子对语音数据进行加密,并返回给网络设备运算结果,然后网络设备将 此加密语音帧发送给接收方终端。接收方在得到下行语音数据后,将此加密语音数据和CK送入终端的加密模块进 行X运算解密,从而得到普通语音帧,接下来就与普通语音呼叫处理相同,解密后的AMR语 音数据送入DSP中得到PCM数据,将PCM数据送入声码器发声。下面结合附图对技术方案的实施作进一步的详细描述。本发明所提出的实现方法 需要对终端和网络分别嵌入加密模块,加密模块分为终端,网络两部分,但是运算规则完全 相同。具体实现流程,也就是语音加密实现过程分为三个部分第一阶段发送部分如附图3所示,发生于发送方终端内。1.在语音呼叫建立阶段,按3GPP规定,发送方终端将与网络信令交互中获得的 RAND,结合自身Ki,通过A3算法,产生当前有效CK,此为标准过程。需要将CK传递给终端 的加密模块,这样发送方终端的加密模块就获得了加密因子CK。2.呼叫建立完成后,语音从发送方终端受话器中进入后,先对语音数据进行数字 化抽样,量化,编码成为PCM(Pulse Code Modulation,脉冲编码调制)。3.把PCM输入到发送方终端的语音DSP(数字信号处理器)中进行处理,得到适合 网络传输的AMR编码格式。4.发送方终端将待加密的AMR语音帧发送给加密模块,加密模块使用加密因子CK 对语音帧进行X加密运算,并返回给发送方终端加密的AMR语音帧。5.发送方终端软件中的网络协议栈部分把加密后的AMR语音帧传输到网络侧。6.在加密语音通话中,不断重复2-5步骤,将对每个AMR语音帧进行加密,并依次 发给网络侧,实现整个通话过程中的语音加密。第二阶段交换部分如附图4所示,发生于网络侧交换单元MSC中。1.网络侧在建立呼叫的信令过程中,AUC/HLR产生RAND,根据RAND和Ki产生CK。 网络侧在信令交互中还发送RAND给终端(包括主叫方和被叫方)。具体的,所述网络侧在 呼叫建立过程中,对发送方终端或接收方终端,执行以下操作AUC/HLR产生随机数,根据 所述发送方或接收方的根密钥,结合产生的随机数,生成发送方或接收方的CK,并将所述随 机数发送给发送方或接收方。2.呼叫建立完成后,网络侧将从上行信道接收到发送方的加密AMR语音帧,把加 密AMR语音帧和通话双方CK传递给网络侧的加密模块。3.网络侧的加密模块利用发送方的CK作为解密因子,进行X解密运算,得到非加 密的AMR语音巾贞,然后立即对此语音帧使用接收方的CK作为加密因子进行X加密运算,并 将加密后的AMR语音帧返回给网络侧的交换设备MSC。4. MSC中将上一步骤得到的加密AMR语音帧通过下行信道发送给接收方。5.不断重复2-4,将加密AMR语音帧依次发送给接收方。第三阶段接收部分
如附图5所示,发生于接收方终端内。接收方终端中的DSP将AMR语音帧解码为 PCM,再将PCM复原为语音信号,送入扬声器。1.在语音呼叫建立阶段,按3GPP规定,终端将与网络信令交互中获得的RAND,结 合自身Ki,通过A3算法,产生当前有效CK,此为标准过程。需要将CK传递给接收方终端的 加密模块,这样接收方终端的加密模块获得解密因子CK。2.呼叫建立完成后,接收方终端将接到网络侧在下行信道传递的加密AMR语音 帧;3.接收方终端将此加密的AMR语音帧发送给加密模块,加密模块对加密AMR语音 帧进行X解密运算,并返回给接收方终端。4.接收方终端把非加密的AMR语音帧输入到接收方终端的语音DSP (数字信号处 理器)中进行处理,得到PCM语音数据。5.接收方终端将PCM语音数据送入声码器发声。6.在加密语音通话中,不断重复2-5步骤,将对每一 AMR语音帧进行解密,并依次 发送给声码器放音,实现整个通话过程中的语音解密。本发明还提供一种终端,所述终端包括加密模块、发送模块和接收模块,其中所述加密模块,用于使用加密密钥(CK)对语音帧进行加密后,发送给所述发送模 块;所述发送模块,用于将所述语音帧发送给网络侧;禾口/ 或,所述接收模块,用于从网络侧接收语音帧,发送给所述加密模块;所述加密模块,用于使用其CK对所述语音帧进行解密。本发明还提供一种网络侧,其中,所述网络侧包括接收模块、发送模块和加密模 块,其中所述接收模块,用于接收发送方发送的语音帧,发送给加密模块;所述加密模块,用于使用发送方的CK对所述语音帧进行解密,使用接收方的CK对 解密后的语音帧进行加密,发送给发送模块;发送模块,用于将所述语音帧发送给接收方。本发明还提供一种移动通讯网中加密语音通话的系统,包括发送方、接收方和网 络侧,其中所述发送方用于与所述接收方建立呼叫,使用自身的加密密钥(CK)对语音帧进 行加密后,发送给网络侧;所述网络侧用于接收到所述发送方发送的语音帧后,使用发送方的CK对所述语 音帧进行解密,使用接收方的CK对解密后的语音帧进行加密,发送给接收方;所述接收方用于从所述网络侧接收所述语音帧,使用自身的CK对所述语音帧进 行解密。目前已有相关专利或者方案都是端到端的语音加解密,不需要网络参与,也不能 利用网络中的安全密钥Ki或者其他由Ki产生的密钥如cipher key(CK)等进行加解密运 算,而且需要通讯双方传递密钥。本发明利用CK对语音进行实时硬件加密,同时由于通话 双方不知道对方的CK,所以需要网络参与,且不需要通讯双方传递密钥,更加安全可靠。另外,本发明方案中加密因子CK每次都不同,只在本次呼叫中有效,更加大了从无线传输环 境中进行破解难度。本发明适用于政府敏感部门,情报机关,等等非常重视安全和保密的组 织和个人。
权利要求
一种移动通讯网中加密语音通话的方法,其特征在于,包括发送方与接收方建立呼叫,发送方使用自身的加密密钥(CK)对语音帧进行加密后,发送给网络侧;网络侧接收到发送方发送的该语音帧后,使用发送方的CK对所述语音帧进行解密,使用接收方的CK对解密后的语音帧进行加密,发送给接收方;所述接收方从所述网络侧接收所述语音帧,使用自身的CK对所述语音帧进行解密。
2.如权利要求1所述的方法,其特征在于, 所述接收方或发送方通过如下方式获取其CK 所述接收方或发送方在呼叫建立过程中,与所述网络侧进行交互,获取随机数,结合自 身安全密钥Ki,生成自身的CK。
3.如权利要求1所述的方法,其特征在于,所述网络侧通过如下方式获取发送方或接 收方的CK 所述网络侧在呼叫建立过程中,对发送方或接收方,执行以下操作归属位置寄存器或 鉴权中心产生随机数,根据所述发送方或接收方的根密钥,结合产生的随机数,生成发送方 或接收方的CK,并将所述随机数发送给发送方或接收方。
4.如权利要求1、2或3所述的方法,其特征在于,所述发送方、接收方和网络侧使用硬 件加密模块实现所述加密和解密。
5.如权利要求4所述的方法,其特征在于,所述硬件加密模块由终端设备商和运营商 外的第三方提供。
6.一种终端,其特征在于,所述终端包括加密模块、发送模块和接收模块,其中 所述加密模块,用于使用加密密钥(CK)对语音帧进行加密后,发送给所述发送模块; 所述发送模块,用于将所述语音帧发送给网络侧;和/或,所述接收模块,用于从网络侧接收语音帧,发送给所述加密模块; 所述加密模块,用于使用其CK对所述语音帧进行解密。
7.如权利要求6所述的终端,其特征在于, 所述加密模块为硬件加密模块。
8.—种网络侧,其特征在于,所述网络侧包括接收模块、发送模块和加密模块,其中 所述接收模块,用于接收发送方发送的语音帧,发送给加密模块;所述加密模块,用于使用发送方的CK对所述语音帧进行解密,使用接收方的CK对解密 后的语音帧进行加密,发送给发送模块;发送模块,用于将所述语音帧发送给接收方。
9.如权利要求8所述的网络侧,其特征在于,所述加密模块为硬件加密模块。
10.一种移动通讯网中加密语音通话的系统,其特征在于,包括发送方、接收方和网络 侧,其中所述发送方用于与所述接收方建立呼叫,使用自身的加密密钥(CK)对语音帧进行加 密后,发送给网络侧;所述网络侧用于接收到所述发送方发送的语音帧后,使用发送方的CK对所述语音帧 进行解密,使用接收方的CK对解密后的语音帧进行加密,发送给接收方;所述接收方用于从所述网络侧接收所述语音帧,使用自身的CK对所述语音帧进行解密。
全文摘要
本发明提供了一种移动通讯网中加密语音通话的方法,包括发送方与接收方建立呼叫,发送方使用自身的加密密钥(CK)对语音帧进行加密后,发送给网络侧;网络侧接收到发送方发送的该语音帧后,使用发送方的CK对所述语音帧进行解密,使用接收方的CK对解密后的语音帧进行加密,发送给接收方;所述接收方从所述网络侧接收所述语音帧,使用自身的CK对所述语音帧进行解密。本发明还提供了一种移动通讯网中加密语音通话的系统。本发明有效增强了语音通讯中安全和保密性。
文档编号H04W12/04GK101951601SQ201010265260
公开日2011年1月19日 申请日期2010年8月25日 优先权日2010年8月25日
发明者于松, 孙君生, 张保华, 张蓬勃, 张迪星, 曹耀斌, 杨玉林, 薛涛, 邓方民 申请人:中兴通讯股份有限公司