本发明专利技术提出一种端到端加密语音通信的主被叫关联方法,包括:a,终端用户在网络完成注册后,终端安全模块与密钥管理中心相互认证成功,密钥管理中心向终端安全模块分发基础密钥信息;b,密钥管理中心为终端安全模块分配临时私有标识并通知;c,主被叫呼叫流程成功建立;d,主被叫终端安全模块分别向密钥管理中心申请本次语音呼叫的密钥信息,并携带由本端临时私有标识和对端用户电话号码组成的语音呼叫标识;e,密钥管理中心通过语音呼叫标识关联本次语音呼叫的主被叫用户,向主被叫终端安全模块分配本次语音呼叫的密钥信息;f,主被叫终端安全模块根据基础密钥信息和本次语音呼叫的密钥信息衍生本次语音呼叫的安全密钥。
【技术实现步骤摘要】
一种端到端加密语音通信的主被叫关联方法
本专利技术涉及无线通信领域,尤其涉及一种端到端加密语音通信的主被叫关联方法。
技术介绍
在现有的移动通信系统中,随着通信的逐渐普及,公众对于移动通信的安全要求也越来越高,移动系统本身提供了接入层安全和非接入层安全。但是这些安全技术实现时,在通信系统的核心网节点间还会出现安全信息以明文形式存在的情况,安全程度较低,无法满足军队,政府,以及某些特殊用户提出的保证用户机密性的安全要求。为了提高安全性,实现移动通信的端到端加密,一种现有方案是:在终端侧增加安全模块Cryptomodule,核心网内设置密钥管理中心KMC,对安全模块进行认证、授权以及密钥的衍生、分发、更新和删除等管理。终端在网络注册完成之后,终端安全模块与KMC进行相互认证,认证成功,KMC向终端安全模块分发相关的基础密钥信息。终端用户发起语音呼叫流程,主被叫呼叫流程成功建立之后,主被叫终端通知主被叫终端安全模块,然后主被叫安全模块分别同KMC进行消息交互,来获取本次呼叫的密钥信息,主被叫安全模块根据注册时获取的基础密钥信息和本次获得密钥信息,衍生本次呼叫密钥。上述方法中,终端安全模块与KMC之间的消息交互,对于终端和核心网网元而言是不可见的,并且为了安全性,KMC的信息与核心网其他网元是隔离的,KMC不知道本次语音呼叫的信息,当主被叫用户向KMC申请本次语音呼叫的密钥信息时,KMC怎么将主被叫用户与这次呼叫关联起来,以及KMC怎么能够防止其他终端用户冒充主被叫申请密钥信息,都是需要解决的问题。现有的安全技术一般是通过本次语音呼叫标识或者主被叫电话号码来关联本次呼叫,但是,考虑到核心网网元泄露信息的可能性,存在其通知用户冒充主被叫用户,申请本次语音呼叫密钥信息的威胁。因此,需要提出一种加强的主被叫用户关联方法,实现密钥管理中心KMC将语音呼叫的主被叫用户更为安全的关联起来,然后分别分配针对本次呼叫的密钥信息。
技术实现思路
为了解决防止其他终端用户冒充主被叫申请密钥信息的问题,本专利技术提出一种端到端加密语音通信的主被叫关联方法,,终端安全模块与密钥管理中心之间的交互信息对终端和核心网不可见,所述方法包括以下步骤:a,终端用户在网络完成注册后,终端安全模块与密钥管理中心相互认证成功,然后密钥管理中心向终端安全模块分发基础密钥信息;b,密钥管理中心为终端安全模块分配一个临时私有标识并通知给终端安全模块,所述临时私有标识仅终端安全模块与密钥管理中心可知,用于关联终端用户与终端安全模块;c,终端用户发起语音呼叫流程后,主被叫呼叫流程成功建立;d,主被叫终端安全模块分别向密钥管理中心申请本次语音呼叫的密钥信息,并携带由本端的临时私有标识和对端用户的电话号码组成的语音呼叫标识;e,密钥管理中心通过主被叫终端安全模块的语音呼叫标识关联本次语音呼叫的主被叫用户,然后向主被叫终端安全模块分配本次语音呼叫的密钥信息;f,主被叫终端安全模块根据步骤a获得的基础密钥信息和步骤e获得的本次语音呼叫的密钥信息衍生出本次语音呼叫的安全密钥。优选的,步骤b中,密钥管理中心将临时私有标识通过加密方式通知给终端安全模块。进一步优选的,所述加密方式是公钥密码体制,终端安全模块与密钥管理中心在步骤a的相互认证时彼此交换所述公钥密码体制中的公钥,后续两者间的交互信息均利用对端公钥进行加密,由对端利用自己的私钥进行解密。上述方法中,所述终端安全模块优选装置在终端中。本专利技术的优点在于,1,密钥管理中心通过私有标识和共有标识(即电话号码)将呼叫的主被叫安全关联起来,可以防止其他终端冒充主被叫用户申请呼叫密钥;2,端到端安全交互信息对终端和核心网不可见,终端和核心网只提供通道,不需要做处理,因此安全过程对系统原有的流程没有影响,可移植性强。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例的移动通信系统的网络架构示意图;图2是本专利技术实施例的终端注册流程图;图3是本专利技术实施例的语音呼叫端到端安全流程图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例;需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本实例对应的移动通信系统的网络架构如图1所示,各组成部分的功能说明如下:CM:Cryptomodule,终端安全模块,装置在终端中,用于语音呼叫密钥的衍生和语音数据的加密和解密。KMC:keymanagecenter,密钥管理中心,管理网络中的终端安全模块CM,管理语音业务安全密钥的衍生、分发、删除等。UT:用户终端,用于透传CM与KMC之间的交互信息,语音数据发出之前或收到之后均需首先发往CM,由CM进行加解密。CN:核心网,用于透传CM与KMC之间的交互信息。基于图1的移动通信系统,在终端用户注册后,密钥管理中心需要分配给终端安全模块一个临时私有标识,具体注册流程如图2所示:步骤201,终端用户执行标准用户注册流程。步骤202,终端用户注册完成之后,终端命令安全模块进行安全初始化。步骤203,终端安全模块执行向密钥管理中心KMC的注册流程。KMC与CM相互认证通过之后,密钥管理中心向终端安全模块分发基础密钥信息,然后KMC为CM分配临时私有标识CMID,并加密发送给CM。该临时私有标识用于关联用户和安全模块,为了保证仅KMC和CM可知,所以在KMC与CM之间应加密传输。这里,加密传输方式优选公钥密码体制,本实施例中,终端安全模块与密钥管理中心在相互认证时,彼此交换所述公钥密码体制中的公钥,后续两者间的交互信息均利用对端公钥进行加密,由对端利用自己的私钥进行解密,即基础密钥信息和临时私有标识均通过公钥密钥体制进行加密传输。基于KMC和CM之间的临时私有标识,可以实现端到端加密的语音呼叫的主被叫安全关联,本实施例的语音呼叫端到端安全流程如图3所示,具体为:步骤301,用户A成功建立与用户B的语音呼叫链路。步骤302,主被叫用户终端通知终端安全模块CM语音呼叫链路建立完成。步骤303,主被叫终端安全模块分别向密钥管理中心KMC申请语音呼叫密钥信息,其中包含步骤303a,步骤303b两条消息:A用户携带语音呼叫标识callidA,由主叫临时私有标识CMIDA和被叫电话号码计算产生;B用户携带语音呼叫标识callidB,由主叫电话号码和被叫临时私有标识CMIDB产生。密钥请求信息通过终端和核心网透传给KMC。步骤304,KMC根据密钥请求信息中的语音呼叫标识callidA和callidB,对临时私有标识CMIDA和CMIDB进行校验,校验成功后判断出终端用户为A和B,再通过callidA和callidB中的被叫电话号码和主叫电话号码关联本次呼叫的主本文档来自技高网...
【技术保护点】
一种端到端加密语音通信的主被叫关联方法,终端安全模块与密钥管理中心之间的交互信息对终端和核心网不可见,所述方法包括以下步骤:a,终端用户在网络完成注册后,终端安全模块与密钥管理中心相互认证成功,然后密钥管理中心向终端安全模块分发基础密钥信息;b,密钥管理中心为终端安全模块分配一个临时私有标识并通知给终端安全模块,所述临时私有标识仅终端安全模块与密钥管理中心可知,用于关联终端用户与终端安全模块;c,终端用户发起语音呼叫流程后,主被叫呼叫流程成功建立;d,主被叫终端安全模块分别向密钥管理中心申请本次语音呼叫的密钥信息,并携带由本端的临时私有标识和对端用户的电话号码组成的语音呼叫标识;e,密钥管理中心通过主被叫终端安全模块的语音呼叫标识关联本次语音呼叫的主被叫用户,然后向主被叫终端安全模块分配本次语音呼叫的密钥信息;f,主被叫终端安全模块根据步骤a获得的基础密钥信息和步骤e获得的本次语音呼叫的密钥信息衍生出本次语音呼叫的安全密钥。
【技术特征摘要】
1.一种端到端加密语音通信的主被叫关联方法,终端安全模块与密钥管理中心之间的交互信息对终端和核心网不可见,所述方法包括以下步骤:a,终端用户在网络完成注册后,终端安全模块与密钥管理中心相互认证成功,然后密钥管理中心向终端安全模块分发基础密钥信息;b,密钥管理中心为终端安全模块分配一个临时私有标识并通知给终端安全模块,所述临时私有标识仅终端安全模块与密钥管理中心可知,用于关联终端用户与终端安全模块;c,终端用户发起语音呼叫流程后,主被叫呼叫流程成功建立;d,主被叫终端安全模块分别向密钥管理中心申请本次语音呼叫的密钥信息,并携带由本端的临时私有标识和对端用户的电话号码组成的语音呼叫标识;e,密钥管理中心通过主被叫终端安...
【专利技术属性】
技术研发人员:袁建设,赵春平,
申请(专利权)人:北京信威通信技术股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。