一种电话交换网量子加密系统与加密通信方法技术方案

本发明专利技术公开了一种电话交换网量子加密系统与加密通信方法，所述加密系统包括总量子生成管理系统、总PSTN域和总IMS域量子VPN、多个区域的PSTN域和IMS域量子生成管理终端、以及所述多个区域的PSTN域和IMS域量子VPN，基于该系统，通过对数据包的量子加密手段，能够实现国家电网公司IMS域电话之间、PSTN域电话之间、IMS域电话和PSTN域电话之间的通信进行加密。

A Quantum Encryption System and Encrypted Communication Method for Telephone Switching Network

The invention discloses a quantum encryption system and encryption communication method for telephone switching network. The encryption system includes quantum VPN in total sub-generation management system, total PSTN domain and total IMS domain, quantum generation management terminal in PSTN domain and IMS domain of multiple regions, and quantum VPN in PSTN domain and IMS domain of said multiple regions. Based on the system, by means of quantum encryption of data packets, the system can be used. The communication between the IMS domain telephone, PSTN domain telephone, IMS domain telephone and PSTN domain telephone is encrypted.

【技术实现步骤摘要】
一种电话交换网量子加密系统与加密通信方法
本专利技术涉及通信领域，特别是涉及一种电话交换网量子加密系统与加密通信方法。
技术介绍
国家电网公司按照“统一技术体制、统一规划、统一建设”的原则，统筹部署，全局规划，在全国推行并建设“架构稳固、运维便利、资源合理、业务丰富”的IMS(IPMultimediaSubsystem)行政交换网。目前，全国各省级电力公司基本完成IMS核心网主备系统建设工作，而基于TDM体制的程控交换将逐步退运。伴随着国家电网公司IMS网络的快速发展及话务量的成倍增长，网络复杂性也在迅速增加。由于IP网络和IMS分层结构的特性，使得IMS网络安全性问题越来越严重。IMS交换与程控交换将长期并网运行，部分用户仍在使用电路交换网，需要一个过程逐步将电路交换系统的用户割接至IMS交换系统，网络结构的复杂性导致交换网络整体安全性难以实时掌握，网络安全监测和运维管理水平亟待提高。存在的问题具体分析如下：一是网络安全性问题严重。一方面是网络攻击手段不断多样化，安全防护困难度越来越大。二是随着IMS系统在国家电网公司专网中的部署，交换网络IP化的同时，网络遭受攻击和信息截获的可能性也变得更大。二是传统电话交换网的全网安全性情况无法及时掌握，无法快速、及时判定并自动发现网络的安全问题。三是现有安全技术均存在安全隐患，无法真正保证数据在电话交换网络中传输的绝对安全性。同时交换网络存在缺少安全监测手段，安全问题反馈时间长、处理缓慢、严重影响用户信息安全性等问题。
技术实现思路
为克服上述现有技术的不足，本专利技术提供了一种电话交换网量子加密系统与加密通信方法，通过对数据包的量子加密手段，对国家电网公司IMS域电话之间、PSTN域电话之间、IMS域电话和PSTN域电话之间的通信进行加密，通过生成量子密钥并对密钥进行管理，实现对每个语音数据包在发送端进行量子加密，在接收端进行解密，实现通信的绝对安全。同时，能够实现安全路由的自主选择，对频繁出现安全问题的路由进行屏蔽并选择安全路由进行数据传输。为实现上述目的，本专利技术采用如下技术方案：一种电话交换网量子加密系统，其特征在于，包括：总量子生成管理系统、总PSTN域和总IMS域量子VPN、多个区域的PSTN域和IMS域量子生成管理终端、以及所述多个区域的PSTN域和IMS域量子VPN；其中，所述总量子生成管理系统分别与总PSTN域量子VPN和总IMS域量子VPN相连接；所述总量子生成管理系统分别与所述多个区域的PSTN域和IMS域量子生成管理终端相连接，所述多个区域的PSTN域和IMS域量子生成管理终端通过量子专线相连接；每个区域的PSTN域量子生成管理终端分别与本区域和其他区域的PSTN域量子VPN相连接；每个区域的PSTN域量子VPN与总PSTN域量子VPN相连接；每个区域的IMS域量子生成管理终端与本区域IMS域量子VPN相连接；每个区域的IMS域量子VPN和总IMS域量子VPN均接入数据通信网。进一步地，所述总PSTN域量子VPN与总汇接C1交换机相连接，所述总汇接C1交换机与程控话机相连接；所述总IMS域量子VPN分别与总IMS核心网、媒体网关MGW相连接；所述区域PSTN域量子VPN与本区域PSTN交换机相连接；所述区域IMS域量子VPN分别与本区域IMS核心CE、媒体网关MGW相连接并接入数据通信网；所述区域IMS核心CE分别与IMS核心网元、会话边界控制器SBC连接，所述会话边界控制器SBC分别与SIP终端和IAD设备连接。一个或多个实施例提供了基于所述量子加密系统的加密通信方法，跨区域通信开始时，主叫端通过量子密钥传输路由将密钥传输到被叫端的量子生成管理终端；所述量子生成管理终端将密钥分发给各自的量子VPN，量子VPN对每条信令进行加密，信令握手成功后，量子VPN对所传输的语音数据包或媒体数据包进行加密。进一步地，所述量子密钥传输路由确定方法包括：总量子生成管理系统分别与各区域量子生成管理终端测试互通；各区域量子生成管理终端之间分别进行量子密钥直连测试互通；总量子生成管理系统根据互通测试结果，确定总量子生成管理系统分别与各区域量子生成管理终端，以及各区域量子生成管理终端之间的最佳安全量子密钥传输路由。进一步地，数据传输过程中，所述总量子生成管理系统监测量子密钥传输路由的成码率，若所述成码率低于一定阈值，则针对所述路由进行告警，并选择容灾路由进行传输。进一步地，当A区域PSTN域用户呼叫本区域IMS用户时，PSTN域量子VPN将信令进行加密，并传输到本区域IMS域入局端的量子VPN进行解密，解密后的信令进入IMS核心网网元进行信令转换并找到该IMS用户；呼叫成功后，语音数据通过PSTN端的量子VPN、IMS的媒体网关MGW和IMS端的量子VPN通道进行量子加密传输。进一步地，当A区域PSTN域用户呼叫B区域PSTN域用户时，信令和语音数据包均通过本端的量子VPN进行加密和解密。进一步地，当A区域PSTN域用户呼叫B区域IMS域用户时，A区域PSTN域通过量子VPN将信令进行加密，传输到本区域IMS域的量子VPN进行解密；解密后的信令进入本区域IMS核心网网元进行信令转换和被叫号码识别，通过IMS量子VPN对信令进行二次加密，然后传输到B区域量子VPN进行解密，同时送至B区域核心网网元查找被叫用户；呼叫成功后，语音数据通过PSTN端量子VPN、本区域MGW、B区域IMS端量子VPN通道进行量子加密传输。进一步地，当A区域IMS域用户呼叫B区域用户时，A区域用户发出的信令通过本端的量子VPN进行加密，然后通过数据通信网传输到B区域量子VPN进行解密；解密后的信令进入B区域IMS核心网网元并查找被叫用户；若被叫用户为IMS域用户，成功触发业务后，媒体流通过A区域IMS量子VPN进行加密后，通过数据通信网进行传输；B区域IMS端量子VPN进行解密后，媒体流传输到被叫用户。进一步地，当A区域IMS域用户呼叫B区域用户时，A区域用户发出的信令通过本端的量子VPN进行加密，然后通过数据通信网传输到B区域量子VPN进行解密；解密后的信令进入B区域IMS核心网网元并查找被叫用户；若被叫用户为PSTN用户，则B区域IMS核心网进行信令转换，B区域IMS量子VPN将所述信令进行加密，传输至B区域PSTN域的量子VPN解密，成功触发业务后，语音数据通过A区域IMS量子VPN、B区域MGW、B区域PSTN域量子VPN通道进行数据量子加密传输。本专利技术的有益效果1、本公开提供了一种跨省域的电话交换网量子加密方法，各省域均包括PSTN域和IMS域，能够实现同一省域内和不同省域之间PSTN域和PSTN域、PSTN域和IMS域以及IMS域和IMS域用户的通信，并且通信过程中，根据业务逻辑对信令和语音数据进行量子加密，每一次传输的数据均进行加密，实现了一次一密，保证了电话交换网络中传输的绝对安全性；2、本公开建立了总部量子密钥生成管理系统，与各省域的量子生成管理终端连接，通过该总部量子密钥生成管理系统可以对量子信道进行自动测试，验证公司总部到各省公司IMS交换网、PSTN网络的量子加密安全性和可用性，无需人工参与；并且在数据传输过程中对路由安全进行监测，当前路由安全性低于阈值时选择容本文档来自技高网...

【技术保护点】
1.一种电话交换网量子加密系统，其特征在于，包括：总量子生成管理系统、总PSTN域和总IMS域量子VPN、多个区域的PSTN域和IMS域量子生成管理终端、以及所述多个区域的PSTN域和IMS域量子VPN；其中，所述总量子生成管理系统分别与总PSTN域量子VPN和总IMS域量子VPN相连接；所述总量子生成管理系统分别与所述多个区域的PSTN域和IMS域量子生成管理终端相连接，所述多个区域的PSTN域和IMS域量子生成管理终端通过量子专线相连接；每个区域的PSTN域量子生成管理终端分别与本区域和其他区域的PSTN域量子VPN相连接；每个区域的PSTN域量子VPN与总PSTN域量子VPN相连接；每个区域的IMS域量子生成管理终端与本区域IMS域量子VPN相连接；每个区域的IMS域量子VPN和总IMS域量子VPN均接入数据通信网。

【技术特征摘要】
1.一种电话交换网量子加密系统，其特征在于，包括：总量子生成管理系统、总PSTN域和总IMS域量子VPN、多个区域的PSTN域和IMS域量子生成管理终端、以及所述多个区域的PSTN域和IMS域量子VPN；其中，所述总量子生成管理系统分别与总PSTN域量子VPN和总IMS域量子VPN相连接；所述总量子生成管理系统分别与所述多个区域的PSTN域和IMS域量子生成管理终端相连接，所述多个区域的PSTN域和IMS域量子生成管理终端通过量子专线相连接；每个区域的PSTN域量子生成管理终端分别与本区域和其他区域的PSTN域量子VPN相连接；每个区域的PSTN域量子VPN与总PSTN域量子VPN相连接；每个区域的IMS域量子生成管理终端与本区域IMS域量子VPN相连接；每个区域的IMS域量子VPN和总IMS域量子VPN均接入数据通信网。2.如权利要求1所述的一种电话交换网量子加密系统，其特征在于，所述总PSTN域量子VPN与总汇接C1交换机相连接，所述总汇接C1交换机与程控话机相连接；所述总IMS域量子VPN分别与总IMS核心网、媒体网关MGW相连接；所述区域PSTN域量子VPN与本区域PSTN交换机相连接；所述区域IMS域量子VPN分别与本区域IMS核心CE、媒体网关MGW相连接并接入数据通信网；所述区域IMS核心CE分别与IMS核心网元、会话边界控制器SBC连接，所述会话边界控制器SBC分别与SIP终端和IAD设备连接。3.一种基于权利要求1或2所述量子加密系统的加密通信方法，其特征在于，跨区域通信开始时，主叫端通过量子密钥传输路由将密钥传输到被叫端的量子生成管理终端；所述量子生成管理终端将密钥分发给各自的量子VPN，量子VPN对每条信令进行加密，信令握手成功后，量子VPN对所传输的语音数据包或媒体数据包进行加密。4.如权利要求3所述的加密通信方法，其特征在于，所述量子密钥传输路由确定方法包括：总量子生成管理系统分别与各区域量子生成管理终端测试互通；各区域量子生成管理终端之间分别进行量子密钥直连测试互通；总量子生成管理系统根据互通测试结果，确定总量子生成管理系统分别与各区域量子生成管理终端，以及各区域量子生成管理终端之间的最佳安全量子密钥传输路由。5.如权利要求3所述的加密通信方法，其特征在于，数据传输过程中，所述总量子生成管理系统监测量子密钥传输路...

【专利技术属性】
技术研发人员：赵鹏，杨坤，刘小芸，朱春莹，王敏，赵连增，李亮，孙丽丽，曹新智，
申请(专利权)人：国家电网有限公司，国网山东省电力公司信息通信公司，
类型：发明
国别省市：北京,11