專利名稱:一種端對(duì)端加密通訊系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及加密通訊技術(shù),特別是涉及一種端對(duì)端加密通訊系統(tǒng)及方法。
背景技術(shù):
在現(xiàn)有的普通民用移動(dòng)電話中,語音流大都是沒有經(jīng)過加密處理的,或者運(yùn)營(yíng)商為提高安全性,僅在移動(dòng)終端和基站之間的無線傳輸部分對(duì)語音數(shù)據(jù)進(jìn)行了加密處理。隨著移動(dòng)通訊技術(shù)的普遍應(yīng)用,用戶對(duì)移動(dòng)通信安全性提出了越來越高的要求,特別是在一些特殊行業(yè),需要移動(dòng)通訊有更高的安全性能。這就要求不僅要防止在無線傳輸部分被監(jiān)聽,也要防止在陸地網(wǎng)絡(luò)傳送的階段被監(jiān)聽,即需要對(duì)移動(dòng)電話的呼叫和通訊進(jìn)行端到端的加密處理。
現(xiàn)有的移動(dòng)通訊網(wǎng)絡(luò)都是為非加密電話設(shè)計(jì)的,這些移動(dòng)通訊網(wǎng)絡(luò)通過移動(dòng)交換中心(MSC)負(fù)責(zé)通訊控制和語音交換,對(duì)語音進(jìn)行編解碼及碼率轉(zhuǎn)換。但是,對(duì)于如何對(duì)端對(duì)端通訊中的語音數(shù)據(jù)進(jìn)行加密處理尚未提出具體的實(shí)現(xiàn)方案。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種端對(duì)端加密通訊系統(tǒng),使其能產(chǎn)生、分發(fā)和管理密鑰信息,實(shí)現(xiàn)端對(duì)端加密通訊。
本發(fā)明另一目的在于提供一種端對(duì)端加密通訊方法,實(shí)現(xiàn)移動(dòng)終端端到端的安全通訊。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的本發(fā)明公開了一種端對(duì)端加密通訊系統(tǒng),包括移動(dòng)終端(MS)、無線接入網(wǎng)絡(luò)、核心網(wǎng)絡(luò),該系統(tǒng)進(jìn)一步包括密鑰中心,其位于與無線接入網(wǎng)絡(luò)相連的核心網(wǎng)絡(luò)側(cè);所述密鑰中心接收核心網(wǎng)絡(luò)側(cè)發(fā)送來的密鑰信息請(qǐng)求,產(chǎn)生或查找MS通訊時(shí)使用的密鑰信息,并將獲得的密鑰信息分發(fā)給對(duì)應(yīng)的MS;密鑰中心還用于指示核心網(wǎng)絡(luò)側(cè)更新、銷毀或查詢MS中的密鑰信息;所述無線接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)用于在MS和密鑰中心之間交互密鑰信息,并對(duì)MS的呼叫接續(xù)進(jìn)行控制;所述MS通過無線接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)從密鑰中心獲得密鑰信息,并使用獲得的密鑰信息加密/解密業(yè)務(wù)數(shù)據(jù)。
上述方案中,所述密鑰中心與具有密鑰交互功能的網(wǎng)絡(luò)實(shí)體相連。所述具有密鑰交互功能的網(wǎng)絡(luò)實(shí)體可以為空中激活功能(OTAF)實(shí)體。所述密鑰中心可以與OTAF和歸屬位置寄存器(HLR)位于同一網(wǎng)絡(luò)實(shí)體中。
另外,所述密鑰中心還可以與具有發(fā)送和接收短消息功能的網(wǎng)絡(luò)實(shí)體相連。所述具有發(fā)送和接收短消息功能的網(wǎng)絡(luò)實(shí)體可以為短消息中心。
本發(fā)明還公開了一種端對(duì)端加密通訊方法,該方法包括以下步驟a.主叫MS發(fā)起包含被叫MS用戶標(biāo)識(shí)的加密呼叫,主叫網(wǎng)絡(luò)側(cè)在完成用戶合法性認(rèn)證操作后,向密鑰中心發(fā)起密鑰信息請(qǐng)求;b.密鑰中心根據(jù)收到的密鑰信息請(qǐng)求,產(chǎn)生或查找用于本次通話的對(duì)話密鑰,并與主叫MS進(jìn)行密鑰信息交互,將用于本次通話的對(duì)話密鑰發(fā)送給主叫MS;c.被叫MS在網(wǎng)絡(luò)對(duì)其完成尋呼和用戶合法性認(rèn)證后,與其歸屬的密鑰中心進(jìn)行密鑰信息交互,密鑰中心將用于本次通話的對(duì)話密鑰發(fā)送給被叫MS;d.主叫MS和被叫MS使用獲得的對(duì)話密鑰對(duì)通話數(shù)據(jù)進(jìn)行加密和解密。
上述方案中,所述密鑰信息請(qǐng)求包含主叫MS用戶標(biāo)識(shí)、被叫MS用戶標(biāo)識(shí)、業(yè)務(wù)類型、接入類型、密鑰類型和密鑰指示。
其中,所述步驟c包括主叫網(wǎng)絡(luò)側(cè)根據(jù)被叫MS用戶標(biāo)識(shí)判斷被叫MS是否歸屬于主叫網(wǎng)絡(luò)側(cè),如果被叫MS歸屬于主叫網(wǎng)絡(luò)側(cè),則在主叫網(wǎng)絡(luò)側(cè)對(duì)被叫MS完成尋呼和用戶合法性認(rèn)證操作后,查找并向被叫MS發(fā)送用于本次通話的對(duì)話密鑰;如果被叫MS不歸屬于主叫網(wǎng)絡(luò)側(cè),則主叫網(wǎng)絡(luò)側(cè)控制本次呼叫接續(xù)到被叫網(wǎng)絡(luò)側(cè),被叫網(wǎng)絡(luò)側(cè)對(duì)被叫MS完成尋呼和用戶合法性認(rèn)證操作后,向密鑰中心發(fā)起密鑰信息請(qǐng)求,密鑰中心根據(jù)收到的密鑰信息請(qǐng)求,查找用于本次通話的對(duì)話密鑰,并發(fā)送給被叫MS,然后被叫網(wǎng)絡(luò)側(cè)向主叫網(wǎng)絡(luò)側(cè)發(fā)送接續(xù)響應(yīng)。
上述方案中,所述密鑰中心與MS進(jìn)行密鑰信息交互的方法可以為密鑰中心采用發(fā)送密鑰信息請(qǐng)求的網(wǎng)絡(luò)實(shí)體完成密鑰信息交互,則密鑰中心向網(wǎng)絡(luò)側(cè)發(fā)送包含對(duì)話密鑰的密鑰信息請(qǐng)求響應(yīng),然后由該網(wǎng)絡(luò)實(shí)體將對(duì)話密鑰發(fā)送給MS。
所述密鑰中心與MS進(jìn)行密鑰信息交互的方法還可以為密鑰中心采用自身配置的網(wǎng)絡(luò)實(shí)體完成密鑰信息交互,則密鑰中心通過該網(wǎng)絡(luò)實(shí)體建立的密鑰中心與MS之間的透明通道將對(duì)話密鑰透?jìng)鹘oMS,或密鑰中心通過該網(wǎng)絡(luò)實(shí)體向MS發(fā)送短消息的方式將對(duì)話密鑰傳給MS,然后向發(fā)送該密鑰信息請(qǐng)求的網(wǎng)絡(luò)實(shí)體發(fā)送密鑰信息請(qǐng)求響應(yīng),通知發(fā)送該密鑰信息請(qǐng)求的網(wǎng)絡(luò)實(shí)體密鑰信息交互已經(jīng)完成。
其中,所述密鑰信息交互過程進(jìn)一步包括密鑰中心對(duì)要分發(fā)給MS的對(duì)話密鑰進(jìn)行加密;相應(yīng)的,MS對(duì)收到的加密對(duì)話密鑰進(jìn)行解密,得到所述的對(duì)話密鑰。
上述方案中,在步驟b中,該方法進(jìn)一步包括網(wǎng)絡(luò)側(cè)根據(jù)密鑰信息交互的結(jié)果,向密鑰中心發(fā)送指示密鑰信息交互操作是否成功的密鑰操作狀態(tài)報(bào)告,如果報(bào)告成功,則繼續(xù)執(zhí)行步驟c;否則密鑰中心根據(jù)收到的密鑰操作狀態(tài)報(bào)告和密鑰中心自身的管理配置,重新執(zhí)行密鑰信息交互。
在步驟c中,該方法進(jìn)一步包括網(wǎng)絡(luò)側(cè)根據(jù)密鑰信息交互的結(jié)果,向密鑰中心發(fā)送指示密鑰信息交互操作是否成功的密鑰操作狀態(tài)報(bào)告,如果報(bào)告成功,則繼續(xù)執(zhí)行步驟d;否則密鑰中心根據(jù)收到的密鑰操作狀態(tài)報(bào)告和密鑰中心自身的管理配置,重新執(zhí)行密鑰信息交互。
上述方案中,被叫MS與主叫MS歸屬于不同的密鑰中心,在被叫MS歸屬的密鑰中心收到密鑰信息請(qǐng)求之后,則該方法進(jìn)一步包括被叫MS歸屬的密鑰中心發(fā)起到主叫MS歸屬的密鑰中心的密鑰信息請(qǐng)求,主叫MS歸屬的密鑰中心收到該密鑰信息請(qǐng)求后,查找步驟b中生成的對(duì)話密鑰,然后主叫MS歸屬的密鑰中心將查到的對(duì)話密鑰包含在密鑰信息請(qǐng)求響應(yīng)中發(fā)送給被叫MS歸屬的密鑰中心,然后執(zhí)行被叫MS歸屬的密鑰中心與被叫MS之間的密鑰信息交互。
另外,該方法還可以包括以下步驟a’.密鑰中心向MS歸屬的網(wǎng)絡(luò)側(cè)發(fā)送密鑰操作指示,網(wǎng)絡(luò)側(cè)根據(jù)收到密鑰操作指示,向密鑰中心返回密鑰操作請(qǐng)求響應(yīng),通知密鑰中心網(wǎng)絡(luò)側(cè)已經(jīng)收到密鑰操作指示;b’.網(wǎng)絡(luò)側(cè)根據(jù)收到密鑰操作指示,與MS進(jìn)行密鑰信息交互,然后網(wǎng)絡(luò)側(cè)根據(jù)密鑰信息交互的結(jié)果,向KC發(fā)送指示密鑰信息交互操作是否成功的密鑰操作狀態(tài)報(bào)告,如果報(bào)告成功,則結(jié)束流程;如果報(bào)告失敗,則執(zhí)行步驟c’;c’.密鑰中心根據(jù)收到的密鑰操作狀態(tài)報(bào)告和密鑰中心自身的管理配置,向網(wǎng)絡(luò)側(cè)返回密鑰操作狀態(tài)報(bào)告響應(yīng),并重新執(zhí)行密鑰信息交互。
在步驟a’之前,還可以包括密鑰中心判斷是否知道MS的位置信息,如果知道,則直接執(zhí)行所述步驟a’;否則,密鑰中心向HLR發(fā)起包含MS用戶標(biāo)識(shí)的位置請(qǐng)求以獲得位置信息,HLR向密鑰中心返回包含MS當(dāng)前位置信息的位置請(qǐng)求響應(yīng),然后密鑰中心根據(jù)獲得的MS位置信息,執(zhí)行所述步驟a’。
其中,所述密鑰操作指示包含用于指示更新、銷毀或查詢密鑰信息的密鑰指示位和MS用戶標(biāo)識(shí);如果指示更新密鑰,則所述密鑰操作指示進(jìn)一步包含用于更新的密鑰信息和生成密鑰的算法及版本。所述的MS用戶標(biāo)識(shí)可以為國(guó)際移動(dòng)用戶識(shí)別碼(IMSI)或移動(dòng)臺(tái)號(hào)碼(MDN)。
由上述方案可以看出,本發(fā)明的關(guān)鍵在于在現(xiàn)有核心網(wǎng)絡(luò)側(cè)增加密鑰中心,利用密鑰中心產(chǎn)生、分發(fā)和管理密鑰信息;移動(dòng)終端通過加密呼叫,通過網(wǎng)絡(luò)側(cè)設(shè)備與密鑰中心進(jìn)行密鑰信息交互,獲得由密鑰中心產(chǎn)生的本次通話使用的密鑰信息,并使用獲得的密鑰信息加密/解密業(yè)務(wù)數(shù)據(jù),實(shí)現(xiàn)端對(duì)端的加密通訊。
因此,本發(fā)明所提供的這種端對(duì)端加密通訊系統(tǒng)及方法,通過密鑰中心產(chǎn)生、分發(fā)和管理用于加密通訊的密鑰信息,只要主叫MS和被叫MS簽約了端對(duì)端加密,就可以很容易地從密鑰中心獲取本次通話所需的密鑰信息。也就是說,移動(dòng)終端在鑒權(quán)成功之后就可以獲得密鑰信息,進(jìn)而實(shí)現(xiàn)加密通訊。另外,本發(fā)明解決了密鑰信息的集中管理,可以根據(jù)用戶的安全級(jí)別和要求的安全類型,對(duì)不同類型的密鑰定制更新機(jī)制,對(duì)不同類型的密鑰定制密鑰生成算法及版本。比如可以設(shè)置用戶周期性地,比如每天或者每次呼叫更新鑒權(quán)密鑰;可以設(shè)置用戶周期性地,比如每天或者每次呼叫更新加密密鑰。
圖1為本發(fā)明端對(duì)端加密通訊系統(tǒng)的組成結(jié)構(gòu)圖;圖2為本發(fā)明CDMA端對(duì)端加密通訊系統(tǒng)的具體實(shí)施例的組成結(jié)構(gòu)圖;圖3為本發(fā)明主叫MS、被叫MS歸屬于同一KC的端對(duì)端加密的方法的實(shí)現(xiàn)流程圖;圖4為本發(fā)明主叫MS、被叫MS歸屬于不同KC的端對(duì)端加密的方法的實(shí)現(xiàn)流程圖;圖5為本發(fā)明KC對(duì)密鑰信息進(jìn)行主動(dòng)管理的實(shí)現(xiàn)流程圖。
具體實(shí)施例方式
下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明再作進(jìn)一步詳細(xì)的說明。
本發(fā)明的關(guān)鍵是在現(xiàn)有核心網(wǎng)絡(luò)側(cè)增加密鑰中心,利用密鑰中心產(chǎn)生、分發(fā)和管理密鑰信息;移動(dòng)終端通過加密呼叫,通過網(wǎng)絡(luò)側(cè)設(shè)備與密鑰中心進(jìn)行密鑰信息交互,獲得由密鑰中心產(chǎn)生的本次通話使用的密鑰信息,并使用獲得的密鑰信息加密/解密業(yè)務(wù)數(shù)據(jù),實(shí)現(xiàn)端對(duì)端的加密通訊。
圖1為本發(fā)明端對(duì)端加密通訊系統(tǒng)的組成結(jié)構(gòu)圖,包括移動(dòng)終端(MS)、無線接入網(wǎng)、核心網(wǎng)絡(luò)、密鑰中心(KC)。
其中,KC接收核心網(wǎng)絡(luò)側(cè)設(shè)備發(fā)送來的密鑰信息請(qǐng)求,產(chǎn)生并保存MS通訊時(shí)所使用的密鑰信息,然后分發(fā)所產(chǎn)生的密鑰信息;KC還可以根據(jù)收到的密鑰信息請(qǐng)求,查找保存在KC中的密鑰信息,然后分發(fā)所獲得的密鑰信息;KC還可以主動(dòng)向網(wǎng)絡(luò)側(cè)設(shè)備發(fā)送密鑰操作指示,指示更新或銷毀或查詢密鑰信息。KC位于與無線接入網(wǎng)相連的核心網(wǎng)絡(luò)側(cè)。
核心網(wǎng)絡(luò)側(cè)設(shè)備用于向KC發(fā)送密鑰信息請(qǐng)求,并實(shí)現(xiàn)MS和KC之間的密鑰信息交互,比如,通過建立KC與MS之間的透明通道來交互密鑰信息;還對(duì)MS的呼叫接續(xù)進(jìn)行控制。
MS通過無線接入網(wǎng)向核心網(wǎng)絡(luò)側(cè)設(shè)備發(fā)送呼叫請(qǐng)求,通過無線接入網(wǎng)和核心網(wǎng)絡(luò)與KC進(jìn)行密鑰信息交互,獲得KC所分發(fā)的密鑰信息,并使用獲得的密鑰信息加密/解密業(yè)務(wù)數(shù)據(jù)。
下面以碼分多址(CDMA)網(wǎng)絡(luò)為例對(duì)本發(fā)明端對(duì)端加密通訊系統(tǒng)的組成和工作原理進(jìn)行說明。
圖2為本發(fā)明CDMA端對(duì)端加密通訊系統(tǒng)的具體實(shí)施例的組成結(jié)構(gòu)圖。其中,核心網(wǎng)絡(luò)側(cè)設(shè)備包括現(xiàn)有CDMA核心網(wǎng)絡(luò)中所有的功能實(shí)體,本實(shí)施例僅畫出移動(dòng)交換中心/訪問位置寄存器(MSC/VLR)、歸屬位置寄存器/鑒權(quán)中心(HLR/AC)和空中激活功能(OTAF)實(shí)體,其中,OTAF實(shí)體是能夠?qū)崿F(xiàn)在MS和KC之間交互密鑰信息的功能模塊,即通過OTAF建立KC與MS之間的透明通道,KC可以通過已建立的透明通道,將密鑰信息透?jìng)鹘oMS,也就是說,通過透明通道,中間的網(wǎng)絡(luò)實(shí)體不必知道所傳輸信息的內(nèi)容,KC就可以將信息傳送到目的地。其中,KC可以與HLR、OTAF位于同一個(gè)網(wǎng)絡(luò)實(shí)體中。
需要指出的是,KC不僅可以采用OTAF來實(shí)現(xiàn)密鑰信息的交互功能,也可以采用其它具有類似功能的網(wǎng)絡(luò)實(shí)體,或建立一種新的網(wǎng)絡(luò)實(shí)體,或?qū)⒃撏競(jìng)鞴δ芗傻揭粋€(gè)現(xiàn)有的功能實(shí)體中來進(jìn)行密鑰信息的交互。另外,KC也可以通過發(fā)送普通短消息的方式將密鑰信息發(fā)送給MS,這樣,就需要KC與具有接收和發(fā)送普通短消息的功能實(shí)體相連,比如,KC可以與短消息中心(SMC)相連。
以MS發(fā)起始呼為例說明MS與KC之間的密鑰信息交互。如圖2所示,在CDMA網(wǎng)絡(luò)中,MS發(fā)起呼叫請(qǐng)求后,通過基站收發(fā)信臺(tái)/基站控制器(BTS/BSC)將呼叫請(qǐng)求發(fā)送給主叫網(wǎng)絡(luò)側(cè)設(shè)備,主叫網(wǎng)絡(luò)側(cè)設(shè)備接收呼叫請(qǐng)求,在完成鑒權(quán)等操作后,發(fā)起到KC的密鑰信息請(qǐng)求。在KC收到主叫網(wǎng)絡(luò)側(cè)設(shè)備如MSC或HLR發(fā)送來的密鑰信息請(qǐng)求后,KC根據(jù)該密鑰信息請(qǐng)求產(chǎn)生用于本次通話的密鑰信息,然后通過OTAF建立的KC與MS之間的透明通道,將密鑰信息透?jìng)鹘oMS;或者也可以在KC產(chǎn)生密鑰信息后,通過發(fā)送普通短消息的形式將密鑰信息發(fā)送給MS,以完成KC與MS之間的密鑰交互過程。
MS獲得KC分發(fā)的密鑰后,主叫網(wǎng)絡(luò)側(cè)設(shè)備控制主叫MS的呼叫接續(xù)到被叫MS歸屬的網(wǎng)絡(luò)側(cè)設(shè)備,由被叫網(wǎng)絡(luò)側(cè)設(shè)備完成被叫MS的尋呼和鑒權(quán)等操作。按照類似的工作原理,完成KC與被叫MS之間的密鑰交互過程,其區(qū)別僅在于KC不必產(chǎn)生新的本次通話相關(guān)的密鑰信息,而是根據(jù)主叫MS和被叫MS用戶號(hào)碼查找本次通話相關(guān)的密鑰信息,然后分發(fā)給被叫MS即可。主叫MS和被叫MS獲得KC分發(fā)的密鑰信息后,使用獲得密鑰信息加密/解密業(yè)務(wù)數(shù)據(jù),實(shí)現(xiàn)端對(duì)端加密通訊。
另外,本發(fā)明并不局限于基于電路域來完成語音加密,也可以基于分組域來完成語音加密,比如,可以利用分組域中的分組數(shù)據(jù)服務(wù)節(jié)點(diǎn)(PDSN)與KC相連接來完成端對(duì)端的加密通訊。
基于圖1所示的端對(duì)端加密通訊系統(tǒng),根據(jù)被叫MS與主叫MS是否歸屬于同一個(gè)KC,本發(fā)明實(shí)現(xiàn)端對(duì)端加密通訊的方法如圖3、4所示。圖3為本發(fā)明主叫MS、被叫MS歸屬于同一KC的端對(duì)端加密通訊方法的實(shí)現(xiàn)流程圖,圖4為本發(fā)明主叫MS、被叫MS歸屬于不同KC的端對(duì)端加密通訊方法的實(shí)現(xiàn)流程圖。假定主叫MS和被叫MS均簽約了端對(duì)端的加密通信業(yè)務(wù),如圖3所示,主叫MS與被叫MS歸屬于同一KC,本發(fā)明實(shí)現(xiàn)端對(duì)端加密通訊的方法包括以下步驟步驟301~302、主叫MS發(fā)起包含被叫MS用戶號(hào)碼的加密呼叫,主叫網(wǎng)絡(luò)側(cè)設(shè)備完成用戶合法性認(rèn)證,如鑒權(quán)等操作后,向KC發(fā)起密鑰信息請(qǐng)求。
其中,密鑰信息請(qǐng)求中包含主叫MS用戶號(hào)碼、被叫MS用戶號(hào)碼、業(yè)務(wù)類型、接入類型、密鑰類型、密鑰指示等生成或查詢密鑰所需的信息。KC可以根據(jù)密鑰信息請(qǐng)求所包含的不同內(nèi)容生成不同的密鑰信息。業(yè)務(wù)類型包括語音業(yè)務(wù)、短消息業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù);接入類型包括始呼、終呼;密鑰類型包括對(duì)話密鑰、鑒權(quán)密鑰、加密密鑰等;密鑰指示包括所有要生成的密鑰類型所對(duì)應(yīng)的密鑰生成算法及算法版本等。對(duì)于集群用戶的組呼或組播情況,密鑰信息請(qǐng)求需要包含組標(biāo)識(shí)。相應(yīng)的,密鑰類型還可以包括組密鑰。
其中,對(duì)話密鑰是在本次通話過程中用于對(duì)通話數(shù)據(jù)進(jìn)行加密和解密的密鑰,加密密鑰是對(duì)對(duì)話密鑰進(jìn)行加密和解密的密鑰。當(dāng)然,加密密鑰并非只可以對(duì)對(duì)話密鑰進(jìn)行加密和解密,也可以完成對(duì)其它密鑰的加密和解密。加密密鑰可以由KC和MS使用密鑰交換算法產(chǎn)生,比如DH(Diffle-Hellman)算法。DH算法是利用產(chǎn)生密鑰所需的隨機(jī)數(shù)、素?cái)?shù)與MS進(jìn)行多次信息交互來產(chǎn)生密鑰的,而有些簡(jiǎn)單的密鑰生成算法則可以直接產(chǎn)生所需的密鑰。
步驟303~304、KC根據(jù)收到的密鑰信息請(qǐng)求,產(chǎn)生用于本次通話的對(duì)話密鑰并保存在以主叫MS用戶號(hào)碼的記錄中;然后KC根據(jù)自身配置,可以采用發(fā)送該密鑰信息請(qǐng)求的網(wǎng)絡(luò)實(shí)體完成密鑰信息的交互,也可以采用KC指定的網(wǎng)絡(luò)實(shí)體來完成密鑰信息的交互。
如果由發(fā)送該密鑰信息請(qǐng)求的網(wǎng)絡(luò)實(shí)體完成密鑰信息的交互過程,則KC向主叫網(wǎng)絡(luò)側(cè)發(fā)送密鑰信息請(qǐng)求響應(yīng),密鑰信息請(qǐng)求響應(yīng)中攜帶對(duì)話密鑰,然后由主叫網(wǎng)絡(luò)側(cè)完成KC與主叫MS之間的密鑰交互過程;如果由KC指定的網(wǎng)絡(luò)實(shí)體完成密鑰信息的交互,比如,KC可以指定由OTAF完成密鑰信息的交互,則KC通過OTAF建立的KC與MS之間的透明通道完成密鑰交互過程,將密鑰信息透?jìng)鹘o主叫MS,然后在密鑰信息透?jìng)鞒晒螅琄C向發(fā)送該密鑰信息請(qǐng)求的主叫網(wǎng)絡(luò)側(cè)網(wǎng)絡(luò)實(shí)體發(fā)送密鑰信息請(qǐng)求響應(yīng),以通知發(fā)送該密鑰信息請(qǐng)求的主叫網(wǎng)絡(luò)側(cè)網(wǎng)絡(luò)實(shí)體密鑰信息交互已經(jīng)完成。
一般情況下,在CDMA網(wǎng)絡(luò)中,OTAF實(shí)體可以通過DH算法完成和MS的密鑰信息交互過程。
由上述步驟可見,步驟303和步驟304的順序是由具體的密鑰信息交互情況決定的。
在密鑰信息交互過程中,KC采用KC中已有的加密密鑰或用于生成加密密鑰的隨機(jī)數(shù)、素?cái)?shù)對(duì)對(duì)話密鑰進(jìn)行加密,MS收到已被加密的對(duì)話密鑰后,采用同樣的加密密鑰或隨機(jī)數(shù)、素?cái)?shù)對(duì)對(duì)話密鑰進(jìn)行解密。如果是第一次進(jìn)行加密通訊,則KC需要產(chǎn)生加密密鑰或用于生成加密密鑰的隨機(jī)數(shù)、素?cái)?shù)。其中,加密密鑰可以根據(jù)KC管理者的要求或者流程需要,由KC主動(dòng)進(jìn)行更新、銷毀或查詢。比如,KC可以在加密密鑰使用了10次之后或每天對(duì)加密密鑰進(jìn)行更新。
本實(shí)施例中,服務(wù)的網(wǎng)絡(luò)側(cè)設(shè)備還可以根據(jù)密鑰信息交互的結(jié)果,發(fā)送密鑰操作狀態(tài)報(bào)告,報(bào)告密鑰信息交互操作是否成功,如果報(bào)告成功,則繼續(xù)執(zhí)行步驟305~307;如果報(bào)告失敗,則在密鑰操作狀態(tài)報(bào)告中還會(huì)攜帶失敗原因,然后KC根據(jù)收到的密鑰操作狀態(tài)報(bào)告和KC自身的管理配置,向網(wǎng)絡(luò)側(cè)返回密鑰操作狀態(tài)報(bào)告相應(yīng),并執(zhí)行相應(yīng)的操作。比如,如果密鑰操作狀態(tài)報(bào)告報(bào)告加密密鑰信息交互失敗,并同時(shí)攜帶失敗原因?yàn)镸S不支持該密鑰生成算法,則KC可以根據(jù)自身配置重新選擇密鑰生成算法,重新執(zhí)行密鑰信息交互過程,直到密鑰交互成功。
步驟305~307、主叫網(wǎng)絡(luò)側(cè)根據(jù)被叫MS的用戶號(hào)碼判斷被叫MS是否歸屬于主叫網(wǎng)絡(luò)側(cè),如果被叫MS歸屬于主叫網(wǎng)絡(luò)側(cè),則在主叫網(wǎng)絡(luò)側(cè)完成對(duì)被叫MS的尋呼和鑒權(quán)等操作后,判斷主叫網(wǎng)絡(luò)側(cè)中是否包含KC分發(fā)的用于本次通話的密鑰信息,如果包含,則主叫網(wǎng)絡(luò)側(cè)根據(jù)已經(jīng)獲得的密鑰信息與被叫MS進(jìn)行密鑰信息交互,將所獲得的用于本次通話的對(duì)話密鑰傳給被叫MS,然后執(zhí)行步驟311~312;如果不包含,則向KC發(fā)起密鑰信息請(qǐng)求,然后執(zhí)行步驟304所述的操作,在被叫MS獲得用于本次通話的密鑰信息后,執(zhí)行步驟312;如果被叫MS不歸屬于主叫網(wǎng)絡(luò)側(cè),則主叫網(wǎng)絡(luò)側(cè)控制本次呼叫接續(xù)到被叫網(wǎng)絡(luò)側(cè),被叫網(wǎng)絡(luò)側(cè)設(shè)備在完成對(duì)被叫MS的尋呼和鑒權(quán)等操作后,向KC發(fā)起密鑰信息請(qǐng)求,然后執(zhí)行步驟308~309。
步驟308~309、KC根據(jù)自身配置,可以采用發(fā)送該密鑰信息請(qǐng)求的網(wǎng)絡(luò)實(shí)體完成密鑰信息的交互,也可以采用KC所指定的網(wǎng)絡(luò)實(shí)體完成密鑰信息的交互。如果由發(fā)送該密鑰信息請(qǐng)求的網(wǎng)絡(luò)實(shí)體完成密鑰信息交互,則KC向被叫網(wǎng)絡(luò)側(cè)發(fā)送密鑰信息請(qǐng)求響應(yīng),密鑰信息請(qǐng)求響應(yīng)中攜帶對(duì)話密鑰,然后由被叫網(wǎng)絡(luò)側(cè)完成KC與被叫MS之間的密鑰信息交互過程;如果由KC自身指定的網(wǎng)絡(luò)實(shí)體完成密鑰信息的交互,比如KC指定由OTAF完成密鑰信息的交互,則KC通過OTAF建立的KC與被叫MS之間的透明通道完成密鑰交互過程,將密鑰信息透?jìng)鹘o被叫MS,然后在密鑰信息透?jìng)鞒晒?,KC將密鑰交互成功的通知包含在密鑰信息請(qǐng)求響應(yīng)中發(fā)送給發(fā)送該密鑰信息請(qǐng)求的網(wǎng)絡(luò)側(cè)設(shè)備。
步驟310、被叫網(wǎng)絡(luò)側(cè)向主叫網(wǎng)絡(luò)側(cè)發(fā)送接續(xù)響應(yīng),表示接續(xù)成功。
步驟311~312、被叫MS振鈴;被叫應(yīng)答后,主叫MS和被叫MS使用所獲得的本次通話的對(duì)話密鑰對(duì)通話數(shù)據(jù)進(jìn)行加密和解密,實(shí)現(xiàn)端到端的加密通訊。其中,每次通話所使用對(duì)話密鑰可以是不同的。
如圖4所示,被叫MS與主叫MS歸屬于不同的KC,主叫MS屬于KC1,被叫MS屬于KC2,本發(fā)明實(shí)現(xiàn)端對(duì)端加密通訊的方法除了包括與圖3所示步驟301~312相同的步驟401~412之外,該方法還包括以下步驟步驟407’~408’、被叫MS歸屬的KC2發(fā)起到主叫MS歸屬的KC1的密鑰信息請(qǐng)求,主叫MS歸屬的KC1根據(jù)密鑰信息請(qǐng)求中的主叫MS和被叫MS用戶號(hào)碼查找步驟303生成的對(duì)話密鑰,然后主叫MS歸屬的KC1將查到的對(duì)話密鑰包含在密鑰信息請(qǐng)求響應(yīng)中發(fā)送給被叫MS歸屬的KC2,然后執(zhí)行步驟408~409。
本發(fā)明中,為了安全需要,用戶可以主動(dòng)請(qǐng)求KC更換密鑰信息,如鑒權(quán)密鑰或加密密鑰。比如,簽約了加密通信業(yè)務(wù)的用戶撥打特殊的操作碼,請(qǐng)求更換鑒權(quán)密鑰,服務(wù)網(wǎng)絡(luò)側(cè)檢測(cè)該用戶請(qǐng)求后,服務(wù)網(wǎng)絡(luò)側(cè)就會(huì)向KC發(fā)起密鑰信息請(qǐng)求,其具體過程與圖3所示的MS進(jìn)行端對(duì)端加密通訊的方法流程中的步驟302~304是類似的。
另外,出于KC管理者的管理需要,或根據(jù)鑒約用戶的安全級(jí)別和所要求的安全類型,KC可以對(duì)不同類型的密鑰進(jìn)行更新或銷毀或查詢。比如KC管理者,即運(yùn)營(yíng)商認(rèn)為鑒權(quán)密鑰不安全了,就可以更新用戶的鑒權(quán)密鑰。也可以周期性地對(duì)不同類型的密鑰進(jìn)行更新,比如,每天或者每次呼叫或達(dá)到密鑰使用次數(shù),都需要更新加密密鑰。如果用戶密鑰的合法期滿了,則可以將用戶密鑰銷毀。另外,對(duì)于簽約了端對(duì)端加密通訊的MS,在該MS進(jìn)行加密通話之前,KC需要為該MS產(chǎn)生加密密鑰或用于生成加密密鑰的隨機(jī)數(shù)、素?cái)?shù)。KC還可以查詢MS當(dāng)前所支持的密鑰生成算法以及當(dāng)前密鑰的使用情況。因此,KC可以對(duì)用戶密鑰進(jìn)行主動(dòng)管理。
如圖5所示,KC對(duì)某個(gè)MS進(jìn)行主動(dòng)管理的流程包括以下步驟步驟501~503、KC判斷是否知道該MS的位置信息,如果知道,則KC根據(jù)MS位置信息直接向服務(wù)網(wǎng)絡(luò)側(cè)發(fā)起密鑰操作指示;否則,KC向HLR發(fā)起包含MS用戶號(hào)碼的位置請(qǐng)求以獲得位置信息,HLR返回位置請(qǐng)求響應(yīng),響應(yīng)中包含MS當(dāng)前的位置信息,比如MS當(dāng)前所屬的MSC等位置標(biāo)識(shí);KC根據(jù)MS的位置信息,向服務(wù)網(wǎng)絡(luò)側(cè)設(shè)備發(fā)起密鑰操作指示。
本實(shí)施例中,密鑰操作指示中包含密鑰指示位、密鑰信息、生成密鑰的算法及版本、用戶標(biāo)識(shí)等信息。其中,密鑰指示位用于指示更新鑒權(quán)密鑰、對(duì)話密鑰、加密密鑰、或者任意幾種密鑰的組合,或指示銷毀鑒權(quán)密鑰、對(duì)話密鑰、加密密鑰、或者任意幾種密鑰組合,或指示查詢MS的密鑰相關(guān)信息,如加密密鑰的生成算法以及版本,當(dāng)前密鑰的種類和使用狀況。當(dāng)密鑰指示位指示更新密鑰時(shí),則密鑰信息和生成密鑰的算法及版本與密鑰指示位所對(duì)應(yīng)的需要更新的密鑰信息相對(duì)應(yīng),如果密鑰指示位指示銷毀密鑰或指示查詢MS中的密鑰相關(guān)信息,則無需攜帶密鑰信息和生成密鑰的算法及版本。其中,MS用戶標(biāo)識(shí)可以是國(guó)際移動(dòng)用戶識(shí)別碼(IMSI)、移動(dòng)臺(tái)號(hào)碼(MDN)等用戶標(biāo)識(shí)信息。對(duì)于集群用戶的密鑰管理,密鑰操作指示需要包含組標(biāo)識(shí)。相應(yīng)的,進(jìn)行更新、刪除或查詢的密鑰類型還可以包括組密鑰。
步驟504、服務(wù)的網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)收到的密鑰操作指示,向KC返回密鑰操作指示響應(yīng),通知KC服務(wù)網(wǎng)絡(luò)側(cè)已經(jīng)收到密鑰操作指示。
步驟505~506、服務(wù)網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)所收到密鑰操作指示,與MS完成密鑰交互過程;如果密鑰指示位指示更新密鑰,則服務(wù)網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)密鑰操作請(qǐng)求中的密鑰信息和生成密鑰的算法及版本更新MS中的密鑰信息;如果密鑰指示位指示銷毀密鑰,則服務(wù)網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)密鑰指示位銷毀對(duì)應(yīng)的密鑰信息;如果密鑰指示位指示查詢MS中的密鑰信息,則服務(wù)網(wǎng)絡(luò)側(cè)設(shè)備查詢MS中相關(guān)的當(dāng)前密鑰信息;然后服務(wù)網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)密鑰信息交互的結(jié)果,向KC發(fā)送密鑰操作狀態(tài)報(bào)告,報(bào)告密鑰操作是否成功,如果報(bào)告成功,則結(jié)束流程;如果報(bào)告失敗,則還需要攜帶失敗原因,然后執(zhí)行步驟507。
步驟507、KC根據(jù)收到的密鑰操作狀態(tài)報(bào)告和KC自身的管理配置,向服務(wù)網(wǎng)絡(luò)側(cè)設(shè)備發(fā)出密鑰操作狀態(tài)報(bào)告響應(yīng),并執(zhí)行不同的操作。比如,如果操作狀態(tài)報(bào)告為加密密鑰交互失敗,則KC根據(jù)自身配置可以向服務(wù)網(wǎng)絡(luò)側(cè)設(shè)備發(fā)出密鑰操作狀態(tài)報(bào)告響應(yīng),可以選擇重新執(zhí)行密鑰信息交互過程,重新執(zhí)行密鑰信息交互過程的次數(shù)可以由KC配置。其中,服務(wù)網(wǎng)絡(luò)側(cè)設(shè)備收到的密鑰操作狀態(tài)報(bào)告響應(yīng)中,所攜帶的參數(shù)和密鑰操作指示中包含的參數(shù)相同。
當(dāng)然,如果密鑰操作狀態(tài)報(bào)告的內(nèi)容為密鑰操作成功,KC同樣也可以向服務(wù)網(wǎng)絡(luò)側(cè)返回密鑰操作狀態(tài)報(bào)告響應(yīng),以應(yīng)答服務(wù)網(wǎng)絡(luò)側(cè)。比如,密鑰操作狀態(tài)報(bào)告響應(yīng)的內(nèi)容可以為空,表示密鑰操作成功,然后結(jié)束流程即可。
本發(fā)明同樣也適用于全球數(shù)字移動(dòng)電話系統(tǒng)(GSM)中,其工作原理和方法與CDMA是類似的,區(qū)別僅在于GSM系統(tǒng)中沒有OTAF實(shí)體,但可以使用支持非結(jié)構(gòu)化補(bǔ)充數(shù)據(jù)業(yè)務(wù)(USSD)的功能模塊來實(shí)現(xiàn)??梢詫?duì)移動(dòng)終端進(jìn)行改造,當(dāng)改造后的移動(dòng)終端發(fā)起加密呼叫時(shí),建立一個(gè)用于密鑰信息交互的USSD通道,然后通過所建立的密鑰信息交互通道,完成KC與移動(dòng)終端之間的密鑰信息交互過程。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種端對(duì)端加密通訊系統(tǒng),包括移動(dòng)終端MS、無線接入網(wǎng)絡(luò)、核心網(wǎng)絡(luò),其特征在于,該系統(tǒng)進(jìn)一步包括密鑰中心,其位于與無線接入網(wǎng)絡(luò)相連的核心網(wǎng)絡(luò)側(cè);所述密鑰中心接收核心網(wǎng)絡(luò)側(cè)發(fā)送來的密鑰信息請(qǐng)求,產(chǎn)生或查找MS通訊時(shí)使用的密鑰信息,并將獲得的密鑰信息分發(fā)給對(duì)應(yīng)的MS;密鑰中心還用于指示核心網(wǎng)絡(luò)側(cè)更新、銷毀或查詢MS中的密鑰信息;所述無線接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)用于在MS和密鑰中心之間交互密鑰信息,并對(duì)MS的呼叫接續(xù)進(jìn)行控制;所述MS通過無線接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)從密鑰中心獲得密鑰信息,并使用獲得的密鑰信息加密/解密業(yè)務(wù)數(shù)據(jù)。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,所述密鑰中心與具有密鑰交互功能的網(wǎng)絡(luò)實(shí)體相連。
3.根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于,所述具有密鑰交互功能的網(wǎng)絡(luò)實(shí)體為空中激活功能OTAF實(shí)體。
4.根據(jù)權(quán)利要求3所述的系統(tǒng),其特征在于,所述密鑰中心與OTAF和歸屬位置寄存器HLR位于同一網(wǎng)絡(luò)實(shí)體中。
5.根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于,所述密鑰中心與具有發(fā)送和接收短消息功能的網(wǎng)絡(luò)實(shí)體相連。
6.根據(jù)權(quán)利要求5所述的系統(tǒng),其特征在于,所述具有發(fā)送和接收短消息功能的網(wǎng)絡(luò)實(shí)體為短消息中心。
7.一種端對(duì)端加密通訊方法,其特征在于,該方法包括以下步驟a.主叫MS發(fā)起包含被叫MS用戶標(biāo)識(shí)的加密呼叫,主叫網(wǎng)絡(luò)側(cè)在完成用戶合法性認(rèn)證操作后,向密鑰中心發(fā)起密鑰信息請(qǐng)求;b.密鑰中心根據(jù)收到的密鑰信息請(qǐng)求,產(chǎn)生或查找用于本次通話的對(duì)話密鑰,并與主叫MS進(jìn)行密鑰信息交互,將用于本次通話的對(duì)話密鑰發(fā)送給主叫MS;c.被叫MS在網(wǎng)絡(luò)對(duì)其完成尋呼和用戶合法性認(rèn)證后,與其歸屬的密鑰中心進(jìn)行密鑰信息交互,密鑰中心將用于本次通話的對(duì)話密鑰發(fā)送給被叫MS;d.主叫MS和被叫MS使用獲得的對(duì)話密鑰對(duì)通話數(shù)據(jù)進(jìn)行加密和解密。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,該方法進(jìn)一步包括以下步驟a’.密鑰中心向MS歸屬的網(wǎng)絡(luò)側(cè)發(fā)送密鑰操作指示,網(wǎng)絡(luò)側(cè)根據(jù)收到密鑰操作指示,向密鑰中心返回密鑰操作請(qǐng)求響應(yīng),通知密鑰中心網(wǎng)絡(luò)側(cè)已經(jīng)收到密鑰操作指示;b’.網(wǎng)絡(luò)側(cè)根據(jù)收到密鑰操作指示,與MS進(jìn)行密鑰信息交互,然后網(wǎng)絡(luò)側(cè)根據(jù)密鑰信息交互的結(jié)果,向KC發(fā)送指示密鑰信息交互操作是否成功的密鑰操作狀態(tài)報(bào)告,如果報(bào)告成功,則結(jié)束流程;如果報(bào)告失敗,則執(zhí)行步驟c’;c’.密鑰中心根據(jù)收到的密鑰操作狀態(tài)報(bào)告和密鑰中心自身的管理配置,向網(wǎng)絡(luò)側(cè)返回密鑰操作狀態(tài)報(bào)告響應(yīng),并重新執(zhí)行密鑰信息交互。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于,在步驟a’之前,進(jìn)一步包括密鑰中心判斷是否知道MS的位置信息,如果知道,則直接執(zhí)行所述步驟a’;否則,密鑰中心向HLR發(fā)起包含MS用戶標(biāo)識(shí)的位置請(qǐng)求以獲得位置信息,HLR向密鑰中心返回包含MS當(dāng)前位置信息的位置請(qǐng)求響應(yīng),然后密鑰中心根據(jù)獲得的MS位置信息,執(zhí)行所述步驟a’。
10.根據(jù)權(quán)利要求8或9所述的方法,其特征在于,所述密鑰操作指示包含用于指示更新、銷毀或查詢密鑰信息的密鑰指示位和MS用戶標(biāo)識(shí);如果指示更新密鑰,則所述密鑰操作指示進(jìn)一步包含用于更新的密鑰信息和生成密鑰的算法及版本。
11.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述密鑰信息請(qǐng)求包含主叫MS用戶標(biāo)識(shí)、被叫MS用戶標(biāo)識(shí)、業(yè)務(wù)類型、接入類型、密鑰類型和密鑰指示。
12.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述密鑰中心與MS進(jìn)行密鑰信息交互的方法為密鑰中心采用發(fā)送密鑰信息請(qǐng)求的網(wǎng)絡(luò)實(shí)體完成密鑰信息交互,則密鑰中心向網(wǎng)絡(luò)側(cè)發(fā)送包含對(duì)話密鑰的密鑰信息請(qǐng)求響應(yīng),然后由該網(wǎng)絡(luò)實(shí)體將對(duì)話密鑰發(fā)送給MS;或者為密鑰中心采用自身配置的網(wǎng)絡(luò)實(shí)體完成密鑰信息交互,則密鑰中心通過該網(wǎng)絡(luò)實(shí)體建立的密鑰中心與MS之間的透明通道將對(duì)話密鑰透?jìng)鹘oMS,或密鑰中心通過該網(wǎng)絡(luò)實(shí)體向MS發(fā)送短消息的方式將對(duì)話密鑰傳給MS,然后向發(fā)送該密鑰信息請(qǐng)求的網(wǎng)絡(luò)實(shí)體發(fā)送密鑰信息請(qǐng)求響應(yīng),通知發(fā)送該密鑰信息請(qǐng)求的網(wǎng)絡(luò)實(shí)體密鑰信息交互已經(jīng)完成。
13.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述密鑰信息交互過程進(jìn)一步包括密鑰中心對(duì)要分發(fā)給MS的對(duì)話密鑰進(jìn)行加密;相應(yīng)的,MS對(duì)收到的加密對(duì)話密鑰進(jìn)行解密,得到所述的對(duì)話密鑰。
14.根據(jù)權(quán)利要求7所述的方法,其特征在于,在步驟b中,該方法進(jìn)一步包括網(wǎng)絡(luò)側(cè)根據(jù)密鑰信息交互的結(jié)果,向密鑰中心發(fā)送指示密鑰信息交互操作是否成功的密鑰操作狀態(tài)報(bào)告,如果報(bào)告成功,則繼續(xù)執(zhí)行步驟c;否則密鑰中心根據(jù)收到的密鑰操作狀態(tài)報(bào)告和密鑰中心自身的管理配置,重新執(zhí)行密鑰信息交互。
15.根據(jù)權(quán)利要求7或14所述的方法,其特征在于,在步驟c中,該方法進(jìn)一步包括網(wǎng)絡(luò)側(cè)根據(jù)密鑰信息交互的結(jié)果,向密鑰中心發(fā)送指示密鑰信息交互操作是否成功的密鑰操作狀態(tài)報(bào)告,如果報(bào)告成功,則繼續(xù)執(zhí)行步驟d;否則密鑰中心根據(jù)收到的密鑰操作狀態(tài)報(bào)告和密鑰中心自身的管理配置,重新執(zhí)行密鑰信息交互。
16.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述步驟c包括主叫網(wǎng)絡(luò)側(cè)根據(jù)被叫MS用戶標(biāo)識(shí)判斷被叫MS是否歸屬于主叫網(wǎng)絡(luò)側(cè),如果被叫MS歸屬于主叫網(wǎng)絡(luò)側(cè),則在主叫網(wǎng)絡(luò)側(cè)對(duì)被叫MS完成尋呼和用戶合法性認(rèn)證操作后,查找并向被叫MS發(fā)送用于本次通話的對(duì)話密鑰;如果被叫MS不歸屬于主叫網(wǎng)絡(luò)側(cè),則主叫網(wǎng)絡(luò)側(cè)控制本次呼叫接續(xù)到被叫網(wǎng)絡(luò)側(cè),被叫網(wǎng)絡(luò)側(cè)對(duì)被叫MS完成尋呼和用戶合法性認(rèn)證操作后,向密鑰中心發(fā)起密鑰信息請(qǐng)求,密鑰中心根據(jù)收到的密鑰信息請(qǐng)求,查找用于本次通話的對(duì)話密鑰,并發(fā)送給被叫MS,然后被叫網(wǎng)絡(luò)側(cè)向主叫網(wǎng)絡(luò)側(cè)發(fā)送接續(xù)響應(yīng)。
17.根據(jù)權(quán)利要求16所述的方法,其特征在于,被叫MS與主叫MS歸屬于不同的密鑰中心,在被叫MS歸屬的密鑰中心收到密鑰信息請(qǐng)求之后,則該方法進(jìn)一步包括被叫MS歸屬的密鑰中心發(fā)起到主叫MS歸屬的密鑰中心的密鑰信息請(qǐng)求,主叫MS歸屬的密鑰中心收到該密鑰信息請(qǐng)求后,查找步驟b中生成的對(duì)話密鑰,然后主叫MS歸屬的密鑰中心將查到的對(duì)話密鑰包含在密鑰信息請(qǐng)求響應(yīng)中發(fā)送給被叫MS歸屬的密鑰中心,然后執(zhí)行被叫MS歸屬的密鑰中心與被叫MS之間的密鑰信息交互。
18.根據(jù)權(quán)利要求7、9、11或16所述的方法,其特征在于,所述的MS用戶標(biāo)識(shí)為國(guó)際移動(dòng)用戶識(shí)別碼IMSI或移動(dòng)臺(tái)號(hào)碼MDN。
全文摘要
本發(fā)明公開了一種端對(duì)端加密通訊系統(tǒng),包括移動(dòng)終端(MS)、無線接入網(wǎng)絡(luò)、核心網(wǎng)絡(luò)和密鑰中心。本發(fā)明還公開了一種端對(duì)端加密通訊方法,該方法包括a.主叫MS發(fā)起包含被叫MS用戶標(biāo)識(shí)的加密呼叫,主叫網(wǎng)絡(luò)側(cè)在完成用戶合法性認(rèn)證操作后,向密鑰中心發(fā)起密鑰信息請(qǐng)求;b.密鑰中心根據(jù)收到的密鑰信息請(qǐng)求,產(chǎn)生或查找用于本次通話的對(duì)話密鑰,并與主叫MS進(jìn)行密鑰信息交互,將獲得的對(duì)話密鑰發(fā)送給主叫MS;c.被叫MS在網(wǎng)絡(luò)對(duì)其完成用戶合法性認(rèn)證后,與其歸屬的密鑰中心進(jìn)行密鑰信息交互,密鑰中心將用于本次通話的對(duì)話密鑰發(fā)送給被叫MS;d.主叫MS和被叫MS使用獲得的對(duì)話密鑰對(duì)通話數(shù)據(jù)進(jìn)行加密和解密。
文檔編號(hào)H04L9/14GK1705261SQ200410042388
公開日2005年12月7日 申請(qǐng)日期2004年5月28日 優(yōu)先權(quán)日2004年5月28日
發(fā)明者郭平, 郄臣, 孟廣斌 申請(qǐng)人:華為技術(shù)有限公司