一種保密通信業務的實現方法、設備及系統的制作方法
【技術領域】
[0001] 本發明涉及信息安全技術領域,尤其涉及一種保密通信業務的實現方法、設備及 系統。
【背景技術】
[0002] 為了能夠對MS( IP Multimedia Subsystem,IP多媒體子系統)媒體面承載傳輸的 用戶業務信息進行端到端的加密保護,3GPP (Third Generation Partnership Project,第 3代合作伙伴計劃)標準組織在TS33. 328中提出了 SDES (Session Description Protocol Security Descriptions for Media Streams,會話描述協議媒體流安全描述)和 KMS (Key Management Service,密鑰管理服務)等兩種相對獨立的媒體面密鑰管理方案來實現媒體 面會話密鑰的協商,通過協商得到的會話密鑰,系統能夠在主被叫終端之間、或者終端與 IMS網絡之間建立安全關聯,并通過SRTP (Secure Real-Time Transport Protocol,安全 實時傳輸協議)協議或IPSec (Internet Protocol Security, IP安全協議)協議對用戶媒 體面信息進行保護。
[0003] 具體地,如圖1所示,其為采用SDES密鑰管理方案來實現媒體面會話密鑰協商的 基本流程示意圖。在圖1所示流程中,當SIP (Session Initiation Protocol,會話初始 協議)會話建立時,UE A (終端A)將用于對UE A發往UE B (終端B)的媒體流進行加密的 會話密鑰K1寫入SDP (Session Description Protocol,會話描述協議)密碼屬性中,并通 過信令面SIP消息發送給UE B;UE B在接收到所述消息后,存儲所述會話密鑰K1并將用于 對UE B發往UE A的媒體流進行加密的會話密鑰K2通過SIP響應消息發送給UE A,在UE A接收并存儲所述會話密鑰K2之后,UE A和UE B可基于所述K1和K2對SRTP協議承載的 媒體流進行加解密操作,從而實現對用戶數據的加密保密。其中,此過程所涉及到的網元可 包括IMS網絡中的SBC (Session Border Controller,會話邊界控制器)以及CSCF (Call Session Control Function,呼叫會話控制功能)等。
[0004] 也就是說,在采用SDES密鑰管理方案來實現媒體面會話密鑰的協商時,可通過增 加SDP密碼屬性信息來實現主被叫終端之間會話密鑰的交互。但是,由于SDP密碼屬性信息 僅由終端處理,且其在頂S網絡中是透明傳輸的、沒有用于觸發任何與保密通信相關的MS 網絡業務,因此,所述SDES密鑰管理方案僅是一種在IMS網絡中實現媒體面加密功能的密 鑰管理方案,而不是一種保密通信業務方案,從而導致運營商無法基于此方案開展保密通 信業務、進而無法達到為用戶提供差異化服務以實現差異化計費的目的。
[0005] 而對于KMS密鑰管理方案來說,其對應的媒體面會話密鑰協商的基本流程示意圖 可如圖2所不。在圖2所述流程中,在基于GBA (Generic Bootstrapping Architecture, 通用引導架構)機制對主被叫終端鑒權之后,用于負責用戶密鑰全生命周期管理的KMS實 體將產生的會話密鑰通過鑒權過程中建立的安全通道傳送給主被叫終端,使其能夠對媒體 面信息進行加密保護,其中,此過程所涉及到的網元可包括頂S網絡中的SBC、CSCF以及 HSS (Home Subscriber Server,歸屬用戶服務器),以及 GBA 架構中的 SLF (Subscriber LocatorFunction,簽約位置功能)、BSF(BootstrappingFunction,啟動引導功能)以及NAF(NetworkApplicationFunction,網絡應用功能)等網兀。
[0006] 也就是說,在采用KMS密鑰管理方案來實現媒體面會話密鑰的協商時,可實現網 絡密鑰中心對密鑰的管理,但是從圖2所示的密鑰分發過程可以看出,密碼屬性信息是通 過SIP消息在MS網絡內透明傳輸的,沒有用于觸發任何與保密通信相關的MS網絡業務, 因此,所述KMS密鑰管理方案也僅是一種在MS網絡中實現媒體面加密功能的密鑰管理方 案,而不是一種保密通信業務方案,從而導致運營商無法基于此方案開展保密通信業務、進 而無法達到為用戶提供差異化服務以實現差異化計費的目的。
[0007] 綜上所述,在采用目前常用的SDES或KMS等密鑰管理方案來實現媒體面會話密鑰 的協商時,由于其均僅是在頂S網絡中實現媒體面加密功能的密鑰管理方案,而不是MS保 密通信業務方案,因此,導致運營商無法直接基于上述各方案開展保密通信業務、進而無法 達到為用戶提供差異化服務的目的,在降低用戶滿意度的同時導致了用戶通信業務安全性 的降低。
【發明內容】
[0008] 本發明實施例提供了一種保密通信業務的實現方法、設備及系統,用以解決目前 存在的無法基于各密鑰管理方案實現保密通信業務所導致的用戶通信業務安全性較低的 問題。
[0009] 本發明實施例提供了一種保密通信業務的實現方法,包括:
[0010] EAS(EncryptionApplicationServer,加密應用服務器)接收網絡側呼叫會話控 制單元轉發的來自主叫終端的初始會話請求消息,所述初始會話請求消息中攜帶有用于指 示本次呼叫為加密呼叫的保密通信指示信息;
[0011] 根據所述初始會話請求消息,確定所述主叫終端以及被叫終端所歸屬的用戶域, 并從所確定的用戶域內選擇相應的KMC(KeyManagementCenter,密鑰管理中心),以及,觸 發所述KMC為所述主叫終端以及所述被叫終端生成本次呼叫所需使用的會話密鑰。
[0012] 在本發明實施例所述技術方案中,由于可通過在初始會話請求消息中攜帶用于指 示本次呼叫為加密呼叫的保密通信指示信息的方式,來實現保密通信業務的觸發,因而能 夠達到基于MS網絡為用戶提供保密通信業務以提高用戶通信業務的安全性的目的。
[0013] 進一步地,所述初始會話請求消息中還攜帶有用于指示本次呼叫對應的安全等級 的安全等級指示信息,則從所確定的用戶域內選擇相應的KMC,包括:
[0014] 根據所述安全等級指示信息,確定本次呼叫對應的安全等級,并從所確定的用戶 域內,選擇所具備的安全等級與本次呼叫對應的安全等級相匹配的KMC。
[0015] 具體地,由于在本發明實施例所述技術方案中,可根據用于指示本次呼叫對應的 安全等級的安全等級指示信息,從支持多個安全等級的用戶域內,選擇所具備的安全等級 與本次呼叫所對應的安全等級相同的KMC來為本次呼叫提供相應的密鑰管理服務,因而使 得本發明實施例所述技術方案可適用于多級多域的密鑰管理體系,進而可在區分業務安全 等級的基礎上,達到滿足用戶對不同安全等級通信的需求的目的。
[0016] 進一步地,在本發明實施例所述技術方案中,所述保密通信指示信息或所述安全 等級指示信息通過在所述初始會話請求消息的起始行的被叫標識中增加的特殊前綴來表 示;或者,
[0017] 通過為所述初始會話請求消息的頭字段定義的特殊參數值來表示;或者,
[0018] 通過為所述初始會話請求消息定義的新的頭字段來表示;或者,
[0019] 通過為所述初始會話請求消息承載的SDP信息中的特定SDP參量定義的特殊參數 值來表示;或者,
[0020] 通過為所述初始會話請求消息承載的SDP信息定義的新的SDP參量來表示,以達 到提高保密通信指示信息設置的靈活性的目的。
[0021] 進一步地,當所述初始會話請求消息為INVITE消息(呼叫建立請求消息)時,在接 收網絡側呼叫會話控制單元轉發的來自主叫終端的初始會話請求消息之后,所述方法還包 括:
[0022] 將所述初始會話請求消息轉發至被叫終端,以使所述被叫終端根據所述初始會話 請求消息中攜帶的保密通信指示信息,確定本次呼叫為加密呼叫并執行相應的保密通信業 務處理操作。
[0023] 進一步地,當所述初始會話請求消息為MESSAGE消息(短信息傳輸消息)時,在接收 網絡側呼叫會話控制單元轉發的來自主叫終端的初始會話請求消息的同時或之前,所述方 法還包括:
[0024] 接收網絡側呼叫會話控制單元轉發的來自主叫終端的攜帶有所述保密通信指示 信息的INVITE消息,并將所述INVITE消息轉發至被叫終端,以使所述被叫終端根據所述 INVITE消息中攜帶的保密通信指示信息,確定本次呼叫為加密呼叫并執行相應的保密通信 業務處理操作。
[0025] 本發明實施例還提供了一種保密通信業務的實現方法,包括:
[0026] 網絡側呼叫會話控制單元接收主叫終端發起的初始會話請求消息,所述初始會話 請求消息中攜帶有用于指示本次呼叫為加密呼叫的保密通信指示信息;
[0027] 根據預先配置的與所述初始會話請求消息相匹配的初始過濾準則,確定與所述初 始會話請求消息相對應的EAS;
[0028] 將所述初始會話請求消息轉發至所述EAS,指示所述EAS執行以下操作:
[0029] 根據所述初始會話請求消息,確定所述主叫終端以及被叫終端所歸屬的用戶域, 并從所確定的用戶域內選擇相應的KMC,以及,觸發所述KMC為所述主叫終端以及所述被叫 終端生成本次呼叫所需使用的會話密鑰。
[0030] 進一步地,所述初始會話請求消息中還攜帶有用于指示本次呼叫對應的安全等級 的安全等級指示信息,則指示所述EAS從所確定的用戶域內選擇相應的KMC,包括:
[0031] 指示所述EAS根據所述安全等級指示信息,確定本次呼叫對應的安全等級,并從 所確定的用戶域內,選擇所具備的安全等級與本次呼叫對應的安全等級相匹配的KMC。
[0032] 進一步地,所述保密通信指示信息或所述安全等級指示信息通過在所述初始會話 請求消息的起始行的被叫標識中增加的特殊前綴來表示;或者,
[0033] 通過為所述初始會話請求消息的頭字段定義的特殊參數值來表示;或者,
[0034] 通過為所述初始會話請求消息定義的新的頭字段來表示;或者,
[0035] 通過為所述初始會話請求消息承載的SDP信息中的特定SDP參量定義的特殊參數 值來表示;或者,
[0036] 通過為所述初始會話請求消息承載的SDP信息定義的新的SDP參量來表示。
[0037] 進一步地,當所述初始會話請求消息為INVITE消息時,在將所述初始會話請求消 息轉發至所述EAS之后,所述方法還包括:
[0038] 指示所述EAS將所述初始會話請求消息轉發至被叫終端,以使所述被叫終端根據 所述初始會話請求消息中攜帶的保密通信指示信息,確定本次呼叫為加密呼叫并執行相應 的保密通信業務處理操作。
[0039] 進一步地,當所述初始會話請求消息為MESSAGE消息時,在接收主叫終端發起的 初始會話請求消息的同時或之前,所述方法還包括:
[0040] 接收主叫終端發起的攜帶有所述保密通信指示信息的INVITE消息,并將所述 INVITE消息轉發至所述EAS,指示所述EAS將所述INVITE消息轉發至被叫終端,以使所述 被叫終端根據所述INVITE消息中攜帶的保密通信指示信息,確定本次呼叫為加密呼叫并 執行相應的保密通信業務處理操作。
[0041] 本發明實施例還提供了一種EAS,包括:
[0042] 接收單元,用于接收網絡側呼叫會話控制單元轉發的來自主叫終端的初始會話請 求消息,所述初始會話請求消息中攜帶有用于指示本次呼叫為加密呼叫的保密通信指示信 息;
[0043] 執行單元,用于根據所述初始會話請求消息,確定所述主叫終端以及被叫終端所 歸屬的用戶域,并從所確定的用戶域內選擇相應的KMC,以及,觸發所述KMC為所述主叫終 端以及所述被叫終端生成本次呼叫所需使用的會話密鑰。
[0044] 進一步地,所述初始會話請求消息中還攜帶有用于指示本次呼叫對應的安全等級 的安全等級指示信息;
[0045