一種保密通信業(yè)務的實現(xiàn)方法、設備及系統(tǒng)的制作方法
【技術領域】
[0001] 本發(fā)明涉及信息安全技術領域,尤其涉及一種保密通信業(yè)務的實現(xiàn)方法、設備及 系統(tǒng)。
【背景技術】
[0002] 為了能夠?qū)S( IP Multimedia Subsystem,IP多媒體子系統(tǒng))媒體面承載傳輸?shù)?用戶業(yè)務信息進行端到端的加密保護,3GPP (Third Generation Partnership Project,第 3代合作伙伴計劃)標準組織在TS33. 328中提出了 SDES (Session Description Protocol Security Descriptions for Media Streams,會話描述協(xié)議媒體流安全描述)和 KMS (Key Management Service,密鑰管理服務)等兩種相對獨立的媒體面密鑰管理方案來實現(xiàn)媒體 面會話密鑰的協(xié)商,通過協(xié)商得到的會話密鑰,系統(tǒng)能夠在主被叫終端之間、或者終端與 IMS網(wǎng)絡之間建立安全關聯(lián),并通過SRTP (Secure Real-Time Transport Protocol,安全 實時傳輸協(xié)議)協(xié)議或IPSec (Internet Protocol Security, IP安全協(xié)議)協(xié)議對用戶媒 體面信息進行保護。
[0003] 具體地,如圖1所示,其為采用SDES密鑰管理方案來實現(xiàn)媒體面會話密鑰協(xié)商的 基本流程示意圖。在圖1所示流程中,當SIP (Session Initiation Protocol,會話初始 協(xié)議)會話建立時,UE A (終端A)將用于對UE A發(fā)往UE B (終端B)的媒體流進行加密的 會話密鑰K1寫入SDP (Session Description Protocol,會話描述協(xié)議)密碼屬性中,并通 過信令面SIP消息發(fā)送給UE B;UE B在接收到所述消息后,存儲所述會話密鑰K1并將用于 對UE B發(fā)往UE A的媒體流進行加密的會話密鑰K2通過SIP響應消息發(fā)送給UE A,在UE A接收并存儲所述會話密鑰K2之后,UE A和UE B可基于所述K1和K2對SRTP協(xié)議承載的 媒體流進行加解密操作,從而實現(xiàn)對用戶數(shù)據(jù)的加密保密。其中,此過程所涉及到的網(wǎng)元可 包括IMS網(wǎng)絡中的SBC (Session Border Controller,會話邊界控制器)以及CSCF (Call Session Control Function,呼叫會話控制功能)等。
[0004] 也就是說,在采用SDES密鑰管理方案來實現(xiàn)媒體面會話密鑰的協(xié)商時,可通過增 加SDP密碼屬性信息來實現(xiàn)主被叫終端之間會話密鑰的交互。但是,由于SDP密碼屬性信息 僅由終端處理,且其在頂S網(wǎng)絡中是透明傳輸?shù)摹]有用于觸發(fā)任何與保密通信相關的MS 網(wǎng)絡業(yè)務,因此,所述SDES密鑰管理方案僅是一種在IMS網(wǎng)絡中實現(xiàn)媒體面加密功能的密 鑰管理方案,而不是一種保密通信業(yè)務方案,從而導致運營商無法基于此方案開展保密通 信業(yè)務、進而無法達到為用戶提供差異化服務以實現(xiàn)差異化計費的目的。
[0005] 而對于KMS密鑰管理方案來說,其對應的媒體面會話密鑰協(xié)商的基本流程示意圖 可如圖2所不。在圖2所述流程中,在基于GBA (Generic Bootstrapping Architecture, 通用引導架構(gòu))機制對主被叫終端鑒權(quán)之后,用于負責用戶密鑰全生命周期管理的KMS實 體將產(chǎn)生的會話密鑰通過鑒權(quán)過程中建立的安全通道傳送給主被叫終端,使其能夠?qū)γ襟w 面信息進行加密保護,其中,此過程所涉及到的網(wǎng)元可包括頂S網(wǎng)絡中的SBC、CSCF以及 HSS (Home Subscriber Server,歸屬用戶服務器),以及 GBA 架構(gòu)中的 SLF (Subscriber LocatorFunction,簽約位置功能)、BSF(BootstrappingFunction,啟動引導功能)以及NAF(NetworkApplicationFunction,網(wǎng)絡應用功能)等網(wǎng)兀。
[0006] 也就是說,在采用KMS密鑰管理方案來實現(xiàn)媒體面會話密鑰的協(xié)商時,可實現(xiàn)網(wǎng) 絡密鑰中心對密鑰的管理,但是從圖2所示的密鑰分發(fā)過程可以看出,密碼屬性信息是通 過SIP消息在MS網(wǎng)絡內(nèi)透明傳輸?shù)?,沒有用于觸發(fā)任何與保密通信相關的MS網(wǎng)絡業(yè)務, 因此,所述KMS密鑰管理方案也僅是一種在MS網(wǎng)絡中實現(xiàn)媒體面加密功能的密鑰管理方 案,而不是一種保密通信業(yè)務方案,從而導致運營商無法基于此方案開展保密通信業(yè)務、進 而無法達到為用戶提供差異化服務以實現(xiàn)差異化計費的目的。
[0007] 綜上所述,在采用目前常用的SDES或KMS等密鑰管理方案來實現(xiàn)媒體面會話密鑰 的協(xié)商時,由于其均僅是在頂S網(wǎng)絡中實現(xiàn)媒體面加密功能的密鑰管理方案,而不是MS保 密通信業(yè)務方案,因此,導致運營商無法直接基于上述各方案開展保密通信業(yè)務、進而無法 達到為用戶提供差異化服務的目的,在降低用戶滿意度的同時導致了用戶通信業(yè)務安全性 的降低。
【發(fā)明內(nèi)容】
[0008] 本發(fā)明實施例提供了一種保密通信業(yè)務的實現(xiàn)方法、設備及系統(tǒng),用以解決目前 存在的無法基于各密鑰管理方案實現(xiàn)保密通信業(yè)務所導致的用戶通信業(yè)務安全性較低的 問題。
[0009] 本發(fā)明實施例提供了一種保密通信業(yè)務的實現(xiàn)方法,包括:
[0010] EAS(EncryptionApplicationServer,加密應用服務器)接收網(wǎng)絡側(cè)呼叫會話控 制單元轉(zhuǎn)發(fā)的來自主叫終端的初始會話請求消息,所述初始會話請求消息中攜帶有用于指 示本次呼叫為加密呼叫的保密通信指示信息;
[0011] 根據(jù)所述初始會話請求消息,確定所述主叫終端以及被叫終端所歸屬的用戶域, 并從所確定的用戶域內(nèi)選擇相應的KMC(KeyManagementCenter,密鑰管理中心),以及,觸 發(fā)所述KMC為所述主叫終端以及所述被叫終端生成本次呼叫所需使用的會話密鑰。
[0012] 在本發(fā)明實施例所述技術方案中,由于可通過在初始會話請求消息中攜帶用于指 示本次呼叫為加密呼叫的保密通信指示信息的方式,來實現(xiàn)保密通信業(yè)務的觸發(fā),因而能 夠達到基于MS網(wǎng)絡為用戶提供保密通信業(yè)務以提高用戶通信業(yè)務的安全性的目的。
[0013] 進一步地,所述初始會話請求消息中還攜帶有用于指示本次呼叫對應的安全等級 的安全等級指示信息,則從所確定的用戶域內(nèi)選擇相應的KMC,包括:
[0014] 根據(jù)所述安全等級指示信息,確定本次呼叫對應的安全等級,并從所確定的用戶 域內(nèi),選擇所具備的安全等級與本次呼叫對應的安全等級相匹配的KMC。
[0015] 具體地,由于在本發(fā)明實施例所述技術方案中,可根據(jù)用于指示本次呼叫對應的 安全等級的安全等級指示信息,從支持多個安全等級的用戶域內(nèi),選擇所具備的安全等級 與本次呼叫所對應的安全等級相同的KMC來為本次呼叫提供相應的密鑰管理服務,因而使 得本發(fā)明實施例所述技術方案可適用于多級多域的密鑰管理體系,進而可在區(qū)分業(yè)務安全 等級的基礎上,達到滿足用戶對不同安全等級通信的需求的目的。
[0016] 進一步地,在本發(fā)明實施例所述技術方案中,所述保密通信指示信息或所述安全 等級指示信息通過在所述初始會話請求消息的起始行的被叫標識中增加的特殊前綴來表 示;或者,
[0017] 通過為所述初始會話請求消息的頭字段定義的特殊參數(shù)值來表示;或者,
[0018] 通過為所述初始會話請求消息定義的新的頭字段來表示;或者,
[0019] 通過為所述初始會話請求消息承載的SDP信息中的特定SDP參量定義的特殊參數(shù) 值來表示;或者,
[0020] 通過為所述初始會話請求消息承載的SDP信息定義的新的SDP參量來表示,以達 到提高保密通信指示信息設置的靈活性的目的。
[0021] 進一步地,當所述初始會話請求消息為INVITE消息(呼叫建立請求消息)時,在接 收網(wǎng)絡側(cè)呼叫會話控制單元轉(zhuǎn)發(fā)的來自主叫終端的初始會話請求消息之后,所述方法還包 括:
[0022] 將所述初始會話請求消息轉(zhuǎn)發(fā)至被叫終端,以使所述被叫終端根據(jù)所述初始會話 請求消息中攜帶的保密通信指示信息,確定本次呼叫為加密呼叫并執(zhí)行相應的保密通信業(yè) 務處理操作。
[0023] 進一步地,當所述初始會話請求消息為MESSAGE消息(短信息傳輸消息)時,在接收 網(wǎng)絡側(cè)呼叫會話控制單元轉(zhuǎn)發(fā)的來自主叫終端的初始會話請求消息的同時或之前,所述方 法還包括:
[0024] 接收網(wǎng)絡側(cè)呼叫會話控制單元轉(zhuǎn)發(fā)的來自主叫終端的攜帶有所述保密通信指示 信息的INVITE消息,并將所述INVITE消息轉(zhuǎn)發(fā)至被叫終端,以使所述被叫終端根據(jù)所述 INVITE消息中攜帶的保密通信指示信息,確定本次呼叫為加密呼叫并執(zhí)行相應的保密通信 業(yè)務處理操作。
[0025] 本發(fā)明實施例還提供了一種保密通信業(yè)務的實現(xiàn)方法,包括:
[0026] 網(wǎng)絡側(cè)呼叫會話控制單元接收主叫終端發(fā)起的初始會話請求消息,所述初始會話 請求消息中攜帶有用于指示本次呼叫為加密呼叫的保密通信指示信息;
[0027] 根據(jù)預先配置的與所述初始會話請求消息相匹配的初始過濾準則,確定與所述初 始會話請求消息相對應的EAS;
[0028] 將所述初始會話請求消息轉(zhuǎn)發(fā)至所述EAS,指示所述EAS執(zhí)行以下操作:
[0029] 根據(jù)所述初始會話請求消息,確定所述主叫終端以及被叫終端所歸屬的用戶域, 并從所確定的用戶域內(nèi)選擇相應的KMC,以及,觸發(fā)所述KMC為所述主叫終端以及所述被叫 終端生成本次呼叫所需使用的會話密鑰。
[0030] 進一步地,所述初始會話請求消息中還攜帶有用于指示本次呼叫對應的安全等級 的安全等級指示信息,則指示所述EAS從所確定的用戶域內(nèi)選擇相應的KMC,包括:
[0031] 指示所述EAS根據(jù)所述安全等級指示信息,確定本次呼叫對應的安全等級,并從 所確定的用戶域內(nèi),選擇所具備的安全等級與本次呼叫對應的安全等級相匹配的KMC。
[0032] 進一步地,所述保密通信指示信息或所述安全等級指示信息通過在所述初始會話 請求消息的起始行的被叫標識中增加的特殊前綴來表示;或者,
[0033] 通過為所述初始會話請求消息的頭字段定義的特殊參數(shù)值來表示;或者,
[0034] 通過為所述初始會話請求消息定義的新的頭字段來表示;或者,
[0035] 通過為所述初始會話請求消息承載的SDP信息中的特定SDP參量定義的特殊參數(shù) 值來表示;或者,
[0036] 通過為所述初始會話請求消息承載的SDP信息定義的新的SDP參量來表示。
[0037] 進一步地,當所述初始會話請求消息為INVITE消息時,在將所述初始會話請求消 息轉(zhuǎn)發(fā)至所述EAS之后,所述方法還包括:
[0038] 指示所述EAS將所述初始會話請求消息轉(zhuǎn)發(fā)至被叫終端,以使所述被叫終端根據(jù) 所述初始會話請求消息中攜帶的保密通信指示信息,確定本次呼叫為加密呼叫并執(zhí)行相應 的保密通信業(yè)務處理操作。
[0039] 進一步地,當所述初始會話請求消息為MESSAGE消息時,在接收主叫終端發(fā)起的 初始會話請求消息的同時或之前,所述方法還包括:
[0040] 接收主叫終端發(fā)起的攜帶有所述保密通信指示信息的INVITE消息,并將所述 INVITE消息轉(zhuǎn)發(fā)至所述EAS,指示所述EAS將所述INVITE消息轉(zhuǎn)發(fā)至被叫終端,以使所述 被叫終端根據(jù)所述INVITE消息中攜帶的保密通信指示信息,確定本次呼叫為加密呼叫并 執(zhí)行相應的保密通信業(yè)務處理操作。
[0041] 本發(fā)明實施例還提供了一種EAS,包括:
[0042] 接收單元,用于接收網(wǎng)絡側(cè)呼叫會話控制單元轉(zhuǎn)發(fā)的來自主叫終端的初始會話請 求消息,所述初始會話請求消息中攜帶有用于指示本次呼叫為加密呼叫的保密通信指示信 息;
[0043] 執(zhí)行單元,用于根據(jù)所述初始會話請求消息,確定所述主叫終端以及被叫終端所 歸屬的用戶域,并從所確定的用戶域內(nèi)選擇相應的KMC,以及,觸發(fā)所述KMC為所述主叫終 端以及所述被叫終端生成本次呼叫所需使用的會話密鑰。
[0044] 進一步地,所述初始會話請求消息中還攜帶有用于指示本次呼叫對應的安全等級 的安全等級指示信息;
[0045