[发明专利]一种基于3G/B3G的端到端语音加密系统的实现方法

说明书

技术领域

本发明涉及通信领域，特别是3G/B3G网络等无线通信领域移动终端之间，移动终端和计算机之间以及移动终端和固定宽带网络IP设备之间的端到端加密通信方式及相关系统。

背景技术

随着通信技术的飞速发展，全球正进入信息化时代。在3G/B3G网络中，除了传统的语音业务外，它还提供多媒体业务、数据业务以及电子商务、互联网服务等多种信息服务。每天都有海量信息在通信网上传输，其中包含大量涉及政治、经济、金融及人们生活中的敏感信息。当前，移动通信网内传统的语音数据的传输基本上都是未经加密的，这是由于加密之后，对运营商的设备性能提出了更高的要求，造成其成本增加，而且很难达到预期的通信服务质量。然而采用这种未加密方式会对普通用户的隐私、企业级用户，甚至是政府机关的信息安全构成威胁。为应对上述威胁，保证数据的机密性，对语音传输进行端到端加密是行之有效的方式之一。

当前的移动加密终端产品是通过电路交换数据信道(CSD，Circuit Switch Data)或语音信道实现加密语音数据传输；采用流加密算法或者与流模式较为类似的对称分组加密算法加密语音数据。这些终端只能实现同网络种的同类终端之间的加密语音通信，不支持与其他网络设备进行加密语音通信。然而，当前移动通信网络正向宽带化发展，网络IP化成为趋势，因此在未来的网络中基于IP分组的数据传输将成为传输的主要方式。在IP网络中通过分组语音技术和加密技术来实现用户到用户的加密语音通信成为一种技术方案，该方案还将支持移动加密终端与IP网络中的计算机、固定IP设备间的通信。

发明内容

本发明主要为了保障移动用户间的端到端通信安全，提出了一整套的端到端加密语音通信方案。发明是利用3G/B3G网络的分组数据信道实现语音数据通信，利用IP技术和分组语音技术构建了分组语音通信系统，该系统包括通信管理服务器(CMS，CommunicationManagement Server)、密钥管理中心(KMC，Key Management Center)和移动加密终端。

通信管理服务器实现对通信用户的管理、维护。在通信管理方面，服务器支持用户的注册、鉴权及当前状态维护，并支持通信呼叫、通信建立等通信过程管理。为解决内外网互相通信问题，通信管理服务器维护用户列表，表中涉及用户名、用户号码、IP(Internet Protocol)地址、端口号等信息映射，便于进行NAT(Network Address Translation)穿透，即使是位于私有网络内的用户同样可以实现端到端的安全可靠通信。

密钥管理中心负责用户身份信息的产生、分发以及通信工作密钥的产生、分发。用户身份信息主要包括用户名、用户私钥、用户数字证书等。在通信管理服务器发起通信工作密钥请求时，密钥管理中心根据通信双方来加密封装将要分发的通信工作密钥。

移动加密终端实现用户注册、呼叫、加密通信等功能。

加密语音通信通过3G/B3G网络的分组数据信道传输，不但支持移动用户到移动用户，还支持移动用户与接入各种宽带网络的计算机、IP设备间的加密语音通信。

同时本发明无需更改网络中的原有设备组件，只是增加相应的服务器并在终端进行部署，这样就减少了部署成本和复杂度。

本发明所述的端到端加密方式及其相关实现系统，涉及到移动加密终端、计算机客户端以及固定IP设备之间的通信，即终端设备将加密语音数据以IP分组数据方式进行端到端的可靠通信，以及为保证上述通信所需的通信管理服务器和密钥管理中心。其工作过程主要包括三个过程：终端在服务器进行注册的过程、呼叫和加密通信的过程以及注销过程。其中终端的注册和注销都是可以由用户自行设定的，可以设置为开机注册、关机注销，或者在需要的时候手工注册、手工注销。

移动加密终端在后文中统称为终端。

(一)注册过程

注册主要完成以下内容：终端使用固定IP或动态获得IP地址(广域网地址或私有网络地址)接入分组网络(私有网络通过网关接入)，然后向通CMS注册，CMS将该终端(或其网关)的IP地址和端口号与用户标识进行映射(或者是IPv6地址与用户标识间进行映射)，并更改用户状态。

在注册过程中，终端与CMS进行双向认证，从而既保证接入CMS的是合法用户，又能防止假冒CMS的威胁。

其注册过程为：

a)终端发起注册请求，其产生一个随机数，使用用户私钥对用户标识进行签名，然后用CMS公钥对随机数，用户标识和签名进行加密，再将其发给CMS；