[发明专利]一种保密通信业务的处理方法、设备和系统

说明书

本发明公开了一种保密通信业务的处理方法、设备和系统，内容包括：在IMS网络中引入加密应用服务器和密钥管理中心，通过加密应用服务器在接收到第一终端设备发送的保密通信业务建立请求消息，并向密钥管理中心发送会话密钥请求消息，并在接收到密钥管理中心返回的加密后的会话密钥时，将该加密后的会话密钥发送给第一终端设备；通过加密应用服务器使得保密通信作为运营商提供给用户的业务，并且加密应用服务器从密钥管理中心获取加密后的会话密钥，下发给终端设备，不仅增加了运营商对保密通信的控制力，提高了系统的处理效率，引入的密钥管理中心实现了用户对密钥全生命周期的管理，增加了用户之间保密通信业务执行的安全性。

技术领域

本发明涉及无线通信技术领域和安全技术领域，尤其涉及一种基于交互式多媒体服务IMS业务系统中保密通信业务的处理方法、设备和系统。

背景技术

为了能够对IMS（Interactive Multimedia Service，交互式多媒体服务）媒体面承载传输的用户业务信息进行端到端加密保护，3GPP（3rd Generation PartnershipProject，第三代移动通信标准化组织）在TS33.328中提出了两种相对独立的媒体面密钥管理方案，实现媒体面会话密钥的协商，并利用协商得到的会话密钥，通信系统在主被叫终端之间或者终端与IMS网络之间建立安全关联，通过SRTP（Secure Real-time TransportProtocol，安全实时传输协议）或者IP Sec（Internet Protocol Security，IP安全）协议对用户媒体面信息进行保护。

其中，3GPP在TS33.328中提出了两种相对独立的媒体面密钥管理方案分别是SDES（Session Description Protocol Security Descriptions for Media Streams，会话描述协议媒体流安全描述）和KMS（Key Management Service，密钥管理服务）。

一、基于SDES的密钥管理方案。

具体地，SDES是一种为保护媒体流设计的一种简单的密钥管理协议，是在现有SDP（Session Initiation Protocol，会话描述协议）中新增了密码属性，用于携带终端产生的会话密钥以及参数信息，完成单播流媒体数据的安全参数配置。

当SDES应用在IMS系统中时，在SIP（Session Initiation Protocol，会话初始协议）建立过程中，交换终端设备A和终端设备B各自产生的用于媒体流加密的会话密钥。

如图1所示，为SDES密钥管理的工作流程示意图。一方面，在SIP会话建立时，终端设备A将用于对终端设备A发往终端设备B的媒体流加密的会话密钥K1写入SDP密码属性中，并通过信令面SIP消息承载，发送给终端设备B。

另一方面，终端设备B在接收到终端设备A发送的SIP消息后，存储密钥K1，并将用于对终端设备B发往终端设备A的媒体流加密的会话密钥K2通过SIP响应消息发送给终端设备A。

在终端设备A接收并存储密钥K2之后，终端设备A和终端设备B就都获得了会话密钥K1和会话密钥K2。

此后，终端设备A和终端设备B分别使用会话密钥K1和会话密钥K2对SRTP协议承载的媒体流进行加解密操作，从而实现对用户数据的保密。

但是，在SDES方案中，会话密钥通过信令面SIP消息传输，其安全性完全依赖于SIP信令的安全。

而SIP信令传输的安全机制常见的有两种：