[发明专利]一种保密通信业务的实现方法、设备及系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种保密通信业务的实现方法、设备及系统。

背景技术

为了能够对IMS（IP Multimedia Subsystem，IP多媒体子系统）媒体面承载传输的用户业务信息进行端到端的加密保护，3GPP（Third Generation Partnership Project，第3代合作伙伴计划）标准组织在TS33.328中提出了SDES（Session Description Protocol Security Descriptions for Media Streams，会话描述协议媒体流安全描述）和KMS（Key Management Service，密钥管理服务）等两种相对独立的媒体面密钥管理方案来实现媒体面会话密钥的协商，通过协商得到的会话密钥，系统能够在主被叫终端之间、或者终端与IMS网络之间建立安全关联，并通过SRTP（Secure Real-Time Transport Protocol，安全实时传输协议）协议或IPSec（Internet Protocol Security，IP安全协议）协议对用户媒体面信息进行保护。

具体地，如图1所示，其为采用SDES密钥管理方案来实现媒体面会话密钥协商的基本流程示意图。在图1所示流程中，当SIP（Session Initiation Protocol，会话初始协议）会话建立时，UE A（终端A）将用于对UE A发往UE B（终端B）的媒体流进行加密的会话密钥K1写入SDP（Session Description Protocol，会话描述协议）密码属性中，并通过信令面SIP消息发送给UE B；UE B在接收到所述消息后，存储所述会话密钥K1并将用于对UE B发往UE A的媒体流进行加密的会话密钥K2通过SIP响应消息发送给UE A，在UE A接收并存储所述会话密钥K2之后，UE A和UE B可基于所述K1和K2对SRTP协议承载的媒体流进行加解密操作，从而实现对用户数据的加密保密。其中，此过程所涉及到的网元可包括IMS网络中的SBC（Session Border Controller，会话边界控制器）以及CSCF（Call Session Control Function，呼叫会话控制功能）等。

也就是说，在采用SDES密钥管理方案来实现媒体面会话密钥的协商时，可通过增加SDP密码属性信息来实现主被叫终端之间会话密钥的交互。但是，由于SDP密码属性信息仅由终端处理，且其在IMS网络中是透明传输的、没有用于触发任何与保密通信相关的IMS网络业务，因此，所述SDES密钥管理方案仅是一种在IMS网络中实现媒体面加密功能的密钥管理方案，而不是一种保密通信业务方案，从而导致运营商无法基于此方案开展保密通信业务、进而无法达到为用户提供差异化服务以实现差异化计费的目的。

而对于KMS密钥管理方案来说，其对应的媒体面会话密钥协商的基本流程示意图可如图2所示。在图2所述流程中，在基于GBA（Generic Bootstrapping Architecture，通用引导架构）机制对主被叫终端鉴权之后，用于负责用户密钥全生命周期管理的KMS实体将产生的会话密钥通过鉴权过程中建立的安全通道传送给主被叫终端，使其能够对媒体面信息进行加密保护，其中，此过程所涉及到的网元可包括IMS网络中的SBC、CSCF以及HSS（Home Subscriber Server，归属用户服务器），以及GBA架构中的SLF（Subscriber Locator Function，签约位置功能）、BSF（Bootstrapping Function，启动引导功能）以及NAF（Network Application Function，网络应用功能）等网元。

也就是说，在采用KMS密钥管理方案来实现媒体面会话密钥的协商时，可实现网络密钥中心对密钥的管理，但是从图2所示的密钥分发过程可以看出，密码属性信息是通过SIP消息在IMS网络内透明传输的，没有用于触发任何与保密通信相关的IMS网络业务，因此，所述KMS密钥管理方案也仅是一种在IMS网络中实现媒体面加密功能的密钥管理方案，而不是一种保密通信业务方案，从而导致运营商无法基于此方案开展保密通信业务、进而无法达到为用户提供差异化服务以实现差异化计费的目的。