知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-05-24
(54)【発明の名称】VoLTE音声暗号化通信方法、端末及びシステム
(51)【国際特許分類】
H04L 9/10 20060101AFI20240517BHJP
H04L 9/12 20060101ALI20240517BHJP
H04L 9/32 20060101ALI20240517BHJP
H04W 12/06 20210101ALI20240517BHJP
H04W 12/40 20210101ALI20240517BHJP
H04W 12/043 20210101ALI20240517BHJP
H04W 12/033 20210101ALI20240517BHJP
H04W 76/11 20180101ALI20240517BHJP
【FI】
H04L9/10 A
H04L9/12
H04L9/32 100E
H04W12/06
H04W12/40
H04W12/043
H04W12/033
H04W76/11
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023541525
(86)(22)【出願日】2022-09-07
(85)【翻訳文提出日】2023-07-05
(86)【国際出願番号】 CN2022117510
(87)【国際公開番号】W WO2023206909
(87)【国際公開日】2023-11-02
(31)【優先権主張番号】202210442353.1
(32)【優先日】2022-04-26
(33)【優先権主張国・地域又は機関】CN
(81)【指定国・地域】
(71)【出願人】
【識別番号】523256856
【氏名又は名称】中電信量子科技有限公司
【氏名又は名称原語表記】CHINA TELECOM QUANTUM TECHNOLOGY CO., LTD.
【住所又は居所原語表記】A3-812, Phase I, Innovation Industrial Park, Hefei High-tech Zone, China(Anhui) Pilot Free Trade Zone Hefei, Anhui 230088, China
(74)【代理人】
【識別番号】110002262
【氏名又は名称】TRY国際弁理士法人
(72)【発明者】
【氏名】王 丙磊
(72)【発明者】
【氏名】陳 文俊
(72)【発明者】
【氏名】趙 鵬
(72)【発明者】
【氏名】劉 馳
(72)【発明者】
【氏名】王 建
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA42
5K067DD17
5K067DD26
5K067EE02
5K067EE16
5K067GG21
5K067HH36
(57)【要約】
本発明はVoLTE音声暗号化通信方法、端末及びシステムを開示し、無線通信の技術分野に属し、方法は、発信端末及び着信端末がそれぞれその対応するセキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了することと、発信端末が通話を開始し、クラウド暗号化セッションサービス管理プラットフォームに検証要求を送信して、クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得することと、通話に接続した後、発信端末及び着信端末が提示音を再生し、暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請することと、発信端末及び着信端末がセッション暗号化キーに基づいてメディアチャネルを介して発信端末及び着信端末の暗号化キー取得状態を同期した後、暗号化された音声通話を行うことと、通話を切ると、両方が暗号化終了メッセージを送信して今回の暗号化キー通話を終了することと、を含む。本発明は証明書管理モジュールを必要とせず、計算速度が速く、安全性が高く、且つ同期効率が高く、ユーザー体験が良い。
【特許請求の範囲】
【請求項1】
VoLTE音声暗号化通信方法であって、発信端末及び着信端末内にそれぞれセキュリティチップが統合され、前記方法は、
発信端末及び着信端末がそれぞれその対応するセキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了することと、
発信端末が通話を開始し、発信端末及び着信端末がクラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得することと、
通話に接続した後、発信端末及び着信端末が提示音を再生して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、前記セッション暗号化キーが量子鍵配送ネットワーク経由で配送されることと、
発信端末及び着信端末が前記セッション暗号化キーに基づいてメディアチャネルを介して発信端末及び着信端末の暗号化キー取得状態を同期した後、暗号化された音声通話を行うことと、
発信端末と着信端末が暗号化終了メッセージを送信して今回の暗号化キー通話を終了することと、を含むことを特徴とするVoLTE音声暗号化通信方法。
【請求項2】
発信端末及び着信端末がそれぞれその対応するセキュリティチップに記憶される認証暗号化キーによって暗号化キー管理プラットフォームへの身元認証を完了することは、前記セキュリティチップがそれぞれその属する暗号化キー管理プラットフォームの識別子を取得することと、
前記発信端末及び着信端末がそれぞれその対応するセキュリティチップに記憶される前記認証暗号化キーを呼び出して、その属する暗号化キー管理プラットフォームへの身元認証を完了することと、
前記発信端末及び着信端末がその属する暗号化キー管理プラットフォームの識別子及びその端末識別子を前記クラウド暗号化セッションサービス管理プラットフォームにアップロードすることにより、前記クラウド暗号化キーサービス管理プラットフォームが端末識別子と暗号化キー管理プラットフォーム識別子との対照表を生成して記憶することと、を含むことを特徴とする請求項1に記載のVoLTE音声暗号化通信方法。
【請求項3】
発信端末が通話を開始し、発信端末及び着信端末がクラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得することは、前記発信端末及び着信端末が前記クラウド暗号化セッションサービス管理プラットフォームに今回通話の発信番号及び着信番号を報告することにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記発信番号及び着信番号に基づいて今回通話の前記暗号化セッション識別子を生成することと、
前記クラウド暗号化セッションサービス管理プラットフォームは前記対照表に基づいて前記発信端末及び着信端末の属する暗号化キー管理プラットフォーム識別子が一致しないことを決定した場合、前記発信端末及び着信端末は前記クラウド暗号化セッションサービス管理プラットフォームが返信した前記暗号化セッション識別子及び相手端の属する暗号化キー管理プラットフォームの識別子を取得することと、を含むことを特徴とする請求項2に記載のVoLTE音声暗号化通信方法。
【請求項4】
通話に接続した後、発信端末及び着信端末が提示音を再生して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、前記セッション暗号化キーが量子鍵配送システムにより配送されることは、前記着信端末がその属する暗号化キー管理プラットフォームに第1暗号化キー要求を送信することにより、前記暗号化キー管理プラットフォームが暗号機から暗号化キー識別子を取得して前記着信端末に返信し、前記第1暗号化キー要求には前記暗号化セッション識別子及び相手端の属する暗号化キー管理プラットフォームの識別子が含まれることと、
前記着信端末が前記暗号化キー識別子及び前記暗号化セッション識別子を前記クラウド暗号化セッションサービス管理プラットフォームにプッシュすることにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記暗号化キー識別子及び前記暗号化セッション識別子を前記発信端末にプッシュすることと、
前記発信端末がその属する暗号化キー管理プラットフォームに第2暗号化キー要求を送信することにより、暗号化キー管理プラットフォームが前記セッション暗号化キーを前記発信端末に返信し、前記第2暗号化キー要求には前記暗号化キー識別子及び前記暗号化セッション識別子が含まれることと、を含むことを特徴とする請求項3に記載のVoLTE音声暗号化通信方法。
【請求項5】
暗号化キー管理プラットフォームが暗号機から暗号化キー識別子を取得して前記着信端末に返信することは、前記暗号化キー管理プラットフォームが前記暗号機に第1暗号化キー申請を送信することにより、前記暗号機が前記第1暗号化キー申請に基づいてその接続するQKDネットワークに対して第2暗号化キー申請を開始し、前記第1暗号化キー申請に含まれる情報が前記暗号化セッション識別子、前記発信番号、前記着信番号及び相手端の属する暗号化キー管理プラットフォームの識別子を含み、前記第2暗号化キー申請に含まれる情報が相手端の属する暗号化キー管理プラットフォームの識別子を含むことと、
前記QKDネットワークが前記第2暗号化キー申請に基づいて前記発信端末及び前記着信端末の属するQKDノードの1つの対称暗号化キーを取得して、前記対称暗号化キーを前記暗号機に返信することと、
前記暗号機が前記暗号化キー管理プラットフォームを介して前記対称暗号化キー及び暗号化キー識別子を前記着信端末に返信することと、を含むことを特徴とする請求項4に記載のVoLTE音声暗号化通信方法。
【請求項6】
発信端末及び着信端末が前記セッション暗号化キーに基づいてメディアチャネルを介して発信端末及び着信端末の暗号化キー取得状態を同期した後、暗号化された音声通話を行うことは、前記発信端末及び着信端末が前記セッション暗号化キーを取得することと、
前記発信端末及び着信端末が前記クラウド暗号化セッションサービス管理プラットフォームに対して暗号化キーにより取得された通知情報を同期することにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記通知情報を前記発信端末及び着信端末にパススルーして、暗号化キー取得状態の同期を完了することと、を含むことを特徴とする請求項1に記載のVoLTE音声暗号化通信方法。
【請求項7】
前記発信端末及び着信端末のうちの少なくとも一方がSIP拡張フィールド要求に応じて暗号化セッション参加識別子を配送するSIP端末である場合、前記方法は更に、前記クラウド暗号化セッションサービス管理プラットフォーム及びIMSネットワークがユーザー同期インターフェース及び暗号化セッション識別子プッシュインターフェースを完了することと、
前記クラウド暗号化セッションサービス管理プラットフォーム又は前記IMSネットワークにより前記暗号化セッション識別子を生成し、且つ前記IMSネットワークにより対応する暗号化セッション識別子を前記SIP端末に発信し、前記SIP端末が暗号化キーミドルウェア及び音声ミドルウェアを備えることと、
前記音声ミドルウェアがベースバンドチップにて処理済みの暗号化セッション識別子を取得し、且つ前記暗号化キーミドルウェアを呼び出して、前記セッション暗号化キーを取得するように前記暗号化キー管理プラットフォームに申請することと、を含むことを特徴とする請求項1に記載のVoLTE音声暗号化通信方法。
【請求項8】
VoLTE音声暗号化通信端末であって、前記端末内にセキュリティチップ及び中間アセンブリが設けられ、前記セキュリティチップに認証暗号化キーが記憶され、前記中間アセンブリが暗号化キーミドルウェア、サービスミドルウェア及び音声ミドルウェアを備え、
前記暗号化キーミドルウェアは、前記セキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了するためのものであり、前記サービスミドルウェアはクラウド暗号化セッションサービス管理プラットフォームにログインするように要求し、前記音声ミドルウェアは自己起動し、
前記サービスミドルウェアは、通話両方が通話を開始した後、クラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得するためのものであって、通話に接続して前記端末が提示音を再生した後、前記暗号化キーミドルウェアを呼び出して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請するためのものであり、前記セッション暗号化キーが量子鍵配送ネットワーク経由で配送され、
前記暗号化キーミドルウェアは、前記セッション暗号化キーを前記音声ミドルウェアに伝達して、前記音声ミドルウェアによりメディアチャネルを介して通話両方の暗号化キー取得状態の同期を完了した後、通話両方が暗号化された音声通話を行うためのものであり、
前記音声ミドルウェアは、通話を切った後、暗号化終了メッセージを送信して今回の暗号化キー通話を終了するためのものであることを特徴とするVoLTE音声暗号化通信端末。
【請求項9】
前記サービスミドルウェアはUI表示モジュール、暗号化セッション通知モジュール、暗号化セッション識別子同期モジュール及び暗号化キー協議開始モジュールを備え、前記UI表示モジュールは、前記クラウド暗号化セッションサービス管理プラットフォームと連携してユーザー契約を行う判断情報、今回の暗号化セッション通知及び識別子同期情報、並びに今回の暗号化セッション開始の暗号化キー協議状態を表示するためのものであり、
前記暗号化セッション通知モジュールは、前記クラウド暗号化セッションサービス管理プラットフォームのインターフェースと対話するためのものであり、
前記暗号化セッション識別子同期モジュールは、通話両方が暗号化セッション通話資格及び条件を有することを前記クラウド暗号化セッションサービス管理プラットフォームが判断した後、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子及び相手端の取得状態を取得して、暗号化セッション識別子の発信及び同期を完了するためのものであり、
前記暗号化キー協議開始モジュールは、暗号化キー識別子の同期を完了した後、前記暗号化キー識別子に基づいて前記暗号化キーミドルウェアに対して暗号化キー要求を開始して対応する暗号化キー協議状態を取得するためのものであることを特徴とする請求項8に記載のVoLTE音声暗号化通信端末。
【請求項10】
前記暗号化キーミドルウェアは外部サービスインターフェース、汎用暗号サービスモジュール及び暗号装置サービスモジュールを備え、前記外部サービスインターフェースは、プロセス間通信の方式で外部アプリケーションに接続するためのものであり、
前記汎用暗号サービスモジュールは、暗号化キー管理、身元認証及び暗号化キー演算インターフェースを提供するためのものであり、
前記暗号装置サービスモジュールは、前記セキュリティチップに記憶される認証暗号化キーを取得するためのものであることを特徴とする請求項8に記載のVoLTE音声暗号化通信端末。
【請求項11】
前記音声ミドルウェアは音声傍受モジュール、音声速度選別モジュール、音声暗号化モジュール及び音声バックホールモジュールを備え、前記音声傍受モジュールは、現在の端末システムにおける音声デジタルチャネルを傍受し、音声通話データを傍受及びバックホールするためのものであり、
前記音声速度選別モジュールは、前記音声傍受モジュールにより伝送される音声通話データを受信して検出して、AMRペイロードデータを取得するためのものであり、
前記音声暗号化モジュールは、暗号化キー処理、セッション暗号化キー状態の協議及び音声データの暗復号化・送受信を行うためのものであり、
前記音声バックホールモジュールは、前記AMRペイロードデータをシングルフレームの方式で前記音声暗号化モジュールに送信して、前記音声暗号化モジュールにて処理済みの音声暗号化データを前記音声速度選別モジュールにバックホールするためのものであることを特徴とする請求項8に記載のVoLTE音声暗号化通信端末。
【請求項12】
VoLTE音声暗号化通信システムであって、量子鍵配送ネットワーク、発信端末、着信端末、第1暗号化キー管理プラットフォーム、第2暗号化キー管理プラットフォーム、第1暗号機、第2暗号機、クラウド暗号化セッションサービス管理プラットフォーム及び事業者ネットワークを備え、
前記発信端末及び前記着信端末にそれぞれセキュリティチップが統合され、前記セキュリティチップに認証暗号化キーが記憶され、
前記発信端末が前記第1暗号化キー管理プラットフォームに接続し、前記着信端末が前記第2暗号化キー管理プラットフォームに接続し、前記第1暗号化キー管理プラットフォームが前記第1暗号機を介して前記量子鍵配送ネットワークにアクセスし、前記第2暗号化キー管理プラットフォームが前記第2暗号機を介して前記量子鍵配送ネットワークにアクセスし、前記発信端末及び前記着信端末がそれぞれ前記事業者ネットワーク経由で前記クラウド暗号化セッションサービス管理プラットフォームにアクセスし、
前記発信端末及び前記着信端末内にいずれも中間アセンブリが設けられ、前記中間アセンブリが暗号化キーミドルウェア、サービスミドルウェア及び音声ミドルウェアを備え、前記暗号化キーミドルウェアが前記第1暗号化キー管理プラットフォーム又は前記第2暗号化キー管理プラットフォームに接続し、前記サービスミドルウェアが前記クラウド暗号化セッションサービス管理プラットフォームに接続し、前記音声ミドルウェアが下位層のデータ伝送チャネルに接続し、
前記暗号化キーミドルウェアはその対応する前記セキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了するためのものであり、前記サービスミドルウェアは前記クラウド暗号化セッションサービス管理プラットフォームにログインするように要求し、前記音声ミドルウェアは自己起動し、
発信端末が通話を開始した後、前記サービスミドルウェアはクラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得するためのものであり、
通話に接続した後、発信端末及び着信端末は提示音を再生し、前記サービスミドルウェアは前記暗号化キーミドルウェアを呼び出して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、前記セッション暗号化キーが量子鍵配送ネットワーク経由で配送され、
前記暗号化キーミドルウェアは前記セッション暗号化キーを前記音声ミドルウェアに伝達して、前記音声ミドルウェアによりメディアチャネルを介して発信端末及び着信端末の暗号化キー取得状態の同期を完了した後、発信端末及び着信端末は暗号化された音声通話を行い、
通話を切った後、前記音声ミドルウェアは暗号化終了メッセージを送信して今回の暗号化キー通話を終了することを特徴とするVoLTE音声暗号化通信システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は無線通信の技術分野に関し、具体的にVoLTE音声暗号化通信方法、端末及びシステムに関する。
【背景技術】
【0002】
ヴォイスオーバーロングタームエボリューション(Voice overLong Term Evolution、VoLTEと略称される)はIPマルチメディアサブシステム(IP Multimedia Subsystem、IMSと略称される)に基づく音声サービスであって、IPデータ伝送技術である。VoLTEは2G/3Gネットワークを必要とせず、すべてのサービスが4Gネットワークに含まれ、接続待ち時間がより短く、及び品質がより高く、より自然な音声ビデオ通話効果を実現することができる。IMS自身は1セットの複雑でより安全な認証・認可メカニズムを提供するが、悪意のある傍受が多くなるにつれて、VoLTEはその通話の安全を確保するように特別な暗号化メカニズムを必要とする。
【0003】
現在、VoLTE音声の暗号化及び後続の大規模普及を実現するために直面する主な問題は3つある。
第1として、従来のVoLTE暗号化は証明書に依存するセキュリティメカニズムを提供し、端末が常にAPPをインストールしなければこの機能を実現できず、従って、VoLTE暗号化キー伝達過程において証明書セキュリティメカニズムに依存する。メカニズムはポラード・ロー素因数分解などの数学計算に依存するため、使用頻度の増加につれて安全性が徐々に低下する問題があって、証明書メカニズムにおいてセッション暗号化キーの伝達及び協議過程においてエンド・ツー・エンド協議があるため、プラットフォーム側における暗号化キーの監督管理も問題である。
第1として、従来のVoLTE暗号化は証明書に依存するセキュリティメカニズムを提供し、端末が常にAPPをインストールしなければこの機能を実現できず、従って、VoLTE暗号化キー伝達過程において証明書セキュリティメカニズムに依存する。メカニズムはポラード・ロー素因数分解などの数学計算に依存するため、使用頻度の増加につれて安全性が徐々に低下する問題があって、証明書メカニズムにおいてセッション暗号化キーの伝達及び協議過程においてエンド・ツー・エンド協議があるため、プラットフォーム側における暗号化キーの監督管理も問題である。
【0004】
第2として、VoLTE暗号化通話の実現については、既存の解決手段は拡張SIPプロトコルスタックであり、プリセット条件付きの呼セッションプロセスを開始して暗号化された電話の識別、非暗号化/暗号化着信の識別、着信応答、接続状態における相互操作の制御などの操作をサポートする。このために、全ネットワークにわたってIMSネットワークを捜査、検証及び改善して、SIP拡張フィールドに対してパススルー方式を用いるように初期設定できることが確保され、それにより通信両方の端末Modemチップが該SIP拡張フィールドを識別処理できるように確保するとともに、端末Modemチップをカスタマイズして改善することにより、SIP拡張フィールドをサポートして拡張内容を解析処理する必要がある。この解決手段は携帯端末、モジュール、IMSネットワークに対していずれも改善ニーズがあり、改善量が大きく且つ端末バージョンの進化につれて自動的にスムーズに更新できない問題がある。
【0005】
第3として、QKDネットワーク建設の発展に伴い、各地にはいずれも暗号管理システムを建設するニーズがあり、大多数の暗号管理システムはセキュリティメディアの本システム内での充填を実現する。しかしながら、実際にはVoLTE系サービスに対して、呼系サービス広域交換のニーズがあり、各独立した暗号管理システムの間には暗号化キーの協議、セッション暗号化キーの発信機能を有する必要がある。従って、顧客自身の暗号システム建設の安全性への要件と全ネットワーク交換ニーズとの融合を実現する必要があり、VoLTE暗号化サービスの互換性を向上させる。
【0006】
関連技術において、公開第CN114040385A号の発明特許出願にはVoLTEに基づく暗号化通話システム及び方法が開示されており、システムはクラウド暗号化セッションサービス管理プラットフォーム、事業者ネットワーク及び携帯端末アセンブリを備え、前記クラウド暗号化セッションサービス管理プラットフォームはVoLTE音声通話サービスに基づくユーザー管理及び証明書管理、並びにセッション暗号化キーの配送を提供するためのものであり、前記事業者ネットワークはクラウド暗号化セッションサービス管理プラットフォームと携帯端末との間のデータの搬送及び伝送を行うためのものであり、前記携帯端末アセンブリは暗号化通話機能を提供し、及び通話過程における通話データをリアルタイムに暗復号化するためのものである。該解決手段は通信事業者のIMSネットワークの改善及びシグナリング制御プロトコルSIPプロトコルの拡張を行わず、ユーザーが通信事業者ネットワーク間のVoLTE暗号化通話を行うことを実現することができる。しかしながら、クラウド暗号化セッションサービス管理プラットフォームは前記鍵管理センタークライアントのAPIインターフェースを提供するためのものであって、ユーザーがログインする際の身元確認、クライアントのSM2暗号化証明書の発信を行うためのものであり、証明書管理モジュールがユーザーのSM2暗号化証明書の申請、ダウンロード及び廃棄管理操作を行うために依然として鍵管理センターのAPIインターフェースを呼び出す必要があり、暗号化キー伝達過程において証明書セキュリティメカニズムに依存する。
【0007】
公開第CN106941403A号の発明特許出願には量子鍵に基づくセキュアモバイル通信システム及び方法が開示されており、量子鍵サービスステーション、若干のモバイル端末及びパブリック通信ネットワークを備え、量子鍵サービスステーションとモバイル端末がパブリック通信ネットワーク経由で通信し、量子鍵サービスステーションがモバイル端末に量子鍵ダウンロードサービスを提供して量子鍵の安全管理を完了するためのものであり、モバイル端末が基本的な通話機能及びセキュア通信追加機能を実現するためのものであり、パブリック通信ネットワークがデータ伝送機能を実現するためのものである。該解決手段は量子鍵サービスステーションが暗号化キーを提供する暗号化通信方式であるが、具体的な態様では電子タグによってモバイル両方の暗号化キーに対して監視機能を実行し、発信者及び着信者のモバイル端末が量子鍵サービスステーションにおいて身元認証を行って、電子タグを追加した共有量子鍵をダウンロードし、量子鍵が予め申請したものであり、暗号化セッションをかける際に発信者がその電子タグ認証情報を送信してパブリック通信ネットワーク経由で着信者に到達し、着信者が該電子タグを識別して、着信者の電子タグ認証情報をパブリック通信ネットワーク経由で発信者にフィードバックし、両方がそれぞれタグ認証を行い、認証に成功した後、発信者と着信者が記憶される量子鍵を呼び出してセキュア通信を開始する。しかしながら、通信交換過程においてタグシステムを用いる必要があり、交換プロセスが繁雑である。
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明が解決しようとする技術的問題はVoLTE携帯端末による認証において証明書に依存する問題をどのように解決するかである。
【課題を解決するための手段】
【0009】
本発明は以下の技術的手段によって上記技術的問題を解決することを実現する。
一態様では、本発明はVoLTE音声暗号化通信方法を提供し、発信端末及び着信端末内にそれぞれセキュリティチップが統合され、前記方法は、
発信端末及び着信端末がそれぞれその対応するセキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了することと、
発信端末が通話を開始し、発信端末及び着信端末がクラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得することと、
通話に接続した後、発信端末及び着信端末が提示音を再生して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、前記セッション暗号化キーが量子鍵配送ネットワーク経由で配送されることと、
発信端末及び着信端末が前記セッション暗号化キーに基づいてメディアチャネルを介して発信端末及び着信端末の暗号化キー取得状態を同期した後、暗号化された音声通話を行うことと、
発信端末と着信端末が暗号化終了メッセージを送信して今回の暗号化キー通話を終了することと、を含む。
一態様では、本発明はVoLTE音声暗号化通信方法を提供し、発信端末及び着信端末内にそれぞれセキュリティチップが統合され、前記方法は、
発信端末及び着信端末がそれぞれその対応するセキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了することと、
発信端末が通話を開始し、発信端末及び着信端末がクラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得することと、
通話に接続した後、発信端末及び着信端末が提示音を再生して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、前記セッション暗号化キーが量子鍵配送ネットワーク経由で配送されることと、
発信端末及び着信端末が前記セッション暗号化キーに基づいてメディアチャネルを介して発信端末及び着信端末の暗号化キー取得状態を同期した後、暗号化された音声通話を行うことと、
発信端末と着信端末が暗号化終了メッセージを送信して今回の暗号化キー通話を終了することと、を含む。
【0010】
本発明では、発信端末及び着信端末内にいずれもセキュリティチップが統合され、発信端末及び着信端末が夫々の内部に統合されたセキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了し、暗号化キー管理プラットフォームには量子鍵配送ネットワーク経由で配送するセッション暗号化キーペアが記憶され、対称暗号化キーアルゴリズムによってVoLTE端末による認証及び暗号化キーの配送を実現し、証明書管理モジュールを必要とせず、証明書システムに比べて、計算速度が速く、安全性が高い特徴を有する。且つ、該暗号化通話はVoLTEによりプロセスを開始し、未暗号化セッションに接続してから暗号化キー協議プロセスを行い、暗号化キーの協議が早すぎることを回避し、ユーザーが電話に出るのが速すぎて暗号化キーの協議への要件が高すぎる問題を回避し、且つ未暗号化セッションを本当に開始するとき、まず1節の提示音を再生し、暗号化キーの協議を行うまで本当の暗号化セッションを行い、ユーザーにとって暗号化セッションの感知のみがあり、ユーザー体験が良い。また、接続後のメディアチャネルを暗号化キー状態同期インターフェースとして用いることにより、暗号化キー同期時間をメディアチャネルにより同期することが実現でき、同期効率を向上させる。
【0011】
更に、発信端末及び着信端末がそれぞれその対応するセキュリティチップに記憶される認証暗号化キーによって暗号化キー管理プラットフォームへの身元認証を完了することは、
前記セキュリティチップがそれぞれその属する暗号化キー管理プラットフォームの識別子を取得することと、
前記発信端末及び着信端末がそれぞれその対応するセキュリティチップに記憶される前記認証暗号化キーを呼び出して、その属する暗号化キー管理プラットフォームへの身元認証を完了することと、
前記発信端末及び着信端末がその属する暗号化キー管理プラットフォームの識別子及びその端末識別子を前記クラウド暗号化セッションサービス管理プラットフォームにアップロードすることにより、前記クラウド暗号化キーサービス管理プラットフォームが端末識別子と暗号化キー管理プラットフォーム識別子との対照表を生成して記憶することと、を含む。
前記セキュリティチップがそれぞれその属する暗号化キー管理プラットフォームの識別子を取得することと、
前記発信端末及び着信端末がそれぞれその対応するセキュリティチップに記憶される前記認証暗号化キーを呼び出して、その属する暗号化キー管理プラットフォームへの身元認証を完了することと、
前記発信端末及び着信端末がその属する暗号化キー管理プラットフォームの識別子及びその端末識別子を前記クラウド暗号化セッションサービス管理プラットフォームにアップロードすることにより、前記クラウド暗号化キーサービス管理プラットフォームが端末識別子と暗号化キー管理プラットフォーム識別子との対照表を生成して記憶することと、を含む。
【0012】
更に、発信端末が通話を開始し、発信端末及び着信端末がクラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得することは、
前記発信端末及び着信端末が前記クラウド暗号化セッションサービス管理プラットフォームに今回通話の発信番号及び着信番号を報告することにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記発信番号及び着信番号に基づいて今回通話の前記暗号化セッション識別子を生成することと、
前記クラウド暗号化セッションサービス管理プラットフォームは前記対照表に基づいて前記発信端末及び着信端末の属する暗号化キー管理プラットフォーム識別子が一致しないことを決定した場合、前記発信端末及び着信端末は前記クラウド暗号化セッションサービス管理プラットフォームが返信した前記暗号化セッション識別子及び相手端の属する暗号化キー管理プラットフォームの識別子を取得することと、を含む。
前記発信端末及び着信端末が前記クラウド暗号化セッションサービス管理プラットフォームに今回通話の発信番号及び着信番号を報告することにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記発信番号及び着信番号に基づいて今回通話の前記暗号化セッション識別子を生成することと、
前記クラウド暗号化セッションサービス管理プラットフォームは前記対照表に基づいて前記発信端末及び着信端末の属する暗号化キー管理プラットフォーム識別子が一致しないことを決定した場合、前記発信端末及び着信端末は前記クラウド暗号化セッションサービス管理プラットフォームが返信した前記暗号化セッション識別子及び相手端の属する暗号化キー管理プラットフォームの識別子を取得することと、を含む。
【0013】
更に、通話に接続した後、発信端末及び着信端末が提示音を再生して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、前記セッション暗号化キーが量子鍵配送システムにより配送されることは、
前記着信端末がその属する暗号化キー管理プラットフォームに第1暗号化キー要求を送信することにより、前記暗号化キー管理プラットフォームが暗号機から暗号化キー識別子を取得して前記着信端末に返信し、前記第1暗号化キー要求には前記暗号化セッション識別子及び相手端の属する暗号化キー管理プラットフォームの識別子が含まれることと、
前記着信端末が前記暗号化キー識別子及び前記暗号化セッション識別子を前記クラウド暗号化セッションサービス管理プラットフォームにプッシュすることにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記暗号化キー識別子及び前記暗号化セッション識別子を前記発信端末にプッシュすることと、
前記発信端末がその属する暗号化キー管理プラットフォームに第2暗号化キー要求を送信することにより、暗号化キー管理プラットフォームが前記セッション暗号化キーを前記発信端末に返信し、前記第2暗号化キー要求には前記暗号化キー識別子及び前記暗号化セッション識別子が含まれることと、を含む。
前記着信端末がその属する暗号化キー管理プラットフォームに第1暗号化キー要求を送信することにより、前記暗号化キー管理プラットフォームが暗号機から暗号化キー識別子を取得して前記着信端末に返信し、前記第1暗号化キー要求には前記暗号化セッション識別子及び相手端の属する暗号化キー管理プラットフォームの識別子が含まれることと、
前記着信端末が前記暗号化キー識別子及び前記暗号化セッション識別子を前記クラウド暗号化セッションサービス管理プラットフォームにプッシュすることにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記暗号化キー識別子及び前記暗号化セッション識別子を前記発信端末にプッシュすることと、
前記発信端末がその属する暗号化キー管理プラットフォームに第2暗号化キー要求を送信することにより、暗号化キー管理プラットフォームが前記セッション暗号化キーを前記発信端末に返信し、前記第2暗号化キー要求には前記暗号化キー識別子及び前記暗号化セッション識別子が含まれることと、を含む。
【0014】
更に、暗号化キー管理プラットフォームが暗号機から暗号化キー識別子を取得して前記着信端末に返信することは、
前記暗号化キー管理プラットフォームが前記暗号機に第1暗号化キー申請を送信することにより、前記暗号機が前記第1暗号化キー申請に基づいてその接続するQKDネットワークに対して第2暗号化キー申請を開始し、前記第1暗号化キー申請に含まれる情報が前記暗号化セッション識別子、前記発信番号、前記着信番号及び相手端の属する暗号化キー管理プラットフォームの識別子を含み、前記第2暗号化キー申請に含まれる情報が相手端の属する暗号化キー管理プラットフォームの識別子を含むことと、
前記QKDネットワークが前記第2暗号化キー申請に基づいて前記発信端末及び前記着信端末の属するQKDノードの1つの対称暗号化キーを取得して、前記対称暗号化キーを前記暗号機に返信することと、
前記暗号機が前記暗号化キー管理プラットフォームを介して前記対称暗号化キー及び暗号化キー識別子を前記着信端末に返信することと、を含む。
前記暗号化キー管理プラットフォームが前記暗号機に第1暗号化キー申請を送信することにより、前記暗号機が前記第1暗号化キー申請に基づいてその接続するQKDネットワークに対して第2暗号化キー申請を開始し、前記第1暗号化キー申請に含まれる情報が前記暗号化セッション識別子、前記発信番号、前記着信番号及び相手端の属する暗号化キー管理プラットフォームの識別子を含み、前記第2暗号化キー申請に含まれる情報が相手端の属する暗号化キー管理プラットフォームの識別子を含むことと、
前記QKDネットワークが前記第2暗号化キー申請に基づいて前記発信端末及び前記着信端末の属するQKDノードの1つの対称暗号化キーを取得して、前記対称暗号化キーを前記暗号機に返信することと、
前記暗号機が前記暗号化キー管理プラットフォームを介して前記対称暗号化キー及び暗号化キー識別子を前記着信端末に返信することと、を含む。
【0015】
更に、発信端末及び着信端末が前記セッション暗号化キーに基づいてメディアチャネルを介して発信端末及び着信端末の暗号化キー取得状態を同期した後、暗号化された音声通話を行うことは、
前記発信端末及び着信端末が前記セッション暗号化キーを取得することと、
前記発信端末及び着信端末が前記クラウド暗号化セッションサービス管理プラットフォームに対して暗号化キーにより取得された通知情報を同期することにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記通知情報を前記発信端末及び着信端末にパススルーして、暗号化キー取得状態の同期を完了することと、を含む。
前記発信端末及び着信端末が前記セッション暗号化キーを取得することと、
前記発信端末及び着信端末が前記クラウド暗号化セッションサービス管理プラットフォームに対して暗号化キーにより取得された通知情報を同期することにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記通知情報を前記発信端末及び着信端末にパススルーして、暗号化キー取得状態の同期を完了することと、を含む。
【0016】
更に、前記発信端末及び着信端末のうちの少なくとも一方がSIP拡張フィールド要求に応じて暗号化セッション参加識別子を配送するSIP端末である場合、前記方法は更に、
前記クラウド暗号化セッションサービス管理プラットフォーム及びIMSネットワークがユーザー同期インターフェース及び暗号化セッション識別子プッシュインターフェースを完了することと、
前記クラウド暗号化セッションサービス管理プラットフォーム又は前記IMSネットワークにより前記暗号化セッション識別子を生成し、且つ前記IMSネットワークにより対応する暗号化セッション識別子を前記SIP端末に発信し、前記SIP端末が暗号化キーミドルウェア及び音声ミドルウェアを備えることと、
前記音声ミドルウェアがベースバンドチップにて処理済みの暗号化セッション識別子を取得し、且つ前記暗号化キーミドルウェアを呼び出して、前記セッション暗号化キーを取得するように前記暗号化キー管理プラットフォームに申請することと、を含む。
前記クラウド暗号化セッションサービス管理プラットフォーム及びIMSネットワークがユーザー同期インターフェース及び暗号化セッション識別子プッシュインターフェースを完了することと、
前記クラウド暗号化セッションサービス管理プラットフォーム又は前記IMSネットワークにより前記暗号化セッション識別子を生成し、且つ前記IMSネットワークにより対応する暗号化セッション識別子を前記SIP端末に発信し、前記SIP端末が暗号化キーミドルウェア及び音声ミドルウェアを備えることと、
前記音声ミドルウェアがベースバンドチップにて処理済みの暗号化セッション識別子を取得し、且つ前記暗号化キーミドルウェアを呼び出して、前記セッション暗号化キーを取得するように前記暗号化キー管理プラットフォームに申請することと、を含む。
【0017】
また、本発明は更にVoLTE音声暗号化通信端末を提供し、前記端末内にセキュリティチップ及び中間アセンブリが設けられ、前記セキュリティチップに認証暗号化キーが記憶され、前記中間アセンブリが暗号化キーミドルウェア、サービスミドルウェア及び音声ミドルウェアを備え、
前記暗号化キーミドルウェアは、前記セキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了するためのものであり、前記サービスミドルウェアはクラウド暗号化セッションサービス管理プラットフォームにログインするように要求し、前記音声ミドルウェアは自己起動し、
前記サービスミドルウェアは、通話両方が通話を開始した後、クラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得するためのものであって、通話に接続して前記端末が提示音を再生した後、前記暗号化キーミドルウェアを呼び出して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請するためのものであり、前記セッション暗号化キーが量子鍵配送ネットワーク経由で配送され、
前記暗号化キーミドルウェアは、前記セッション暗号化キーを前記音声ミドルウェアに伝達して、前記音声ミドルウェアによりメディアチャネルを介して通話両方の暗号化キー取得状態の同期を完了した後、通話両方が暗号化された音声通話を行うためのものであり、
前記音声ミドルウェアは、通話を切った後、暗号化終了メッセージを送信して今回の暗号化キー通話を終了するためのものである。
前記暗号化キーミドルウェアは、前記セキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了するためのものであり、前記サービスミドルウェアはクラウド暗号化セッションサービス管理プラットフォームにログインするように要求し、前記音声ミドルウェアは自己起動し、
前記サービスミドルウェアは、通話両方が通話を開始した後、クラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得するためのものであって、通話に接続して前記端末が提示音を再生した後、前記暗号化キーミドルウェアを呼び出して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請するためのものであり、前記セッション暗号化キーが量子鍵配送ネットワーク経由で配送され、
前記暗号化キーミドルウェアは、前記セッション暗号化キーを前記音声ミドルウェアに伝達して、前記音声ミドルウェアによりメディアチャネルを介して通話両方の暗号化キー取得状態の同期を完了した後、通話両方が暗号化された音声通話を行うためのものであり、
前記音声ミドルウェアは、通話を切った後、暗号化終了メッセージを送信して今回の暗号化キー通話を終了するためのものである。
【0018】
更に、前記サービスミドルウェアはUI表示モジュール、暗号化セッション通知モジュール、暗号化セッション識別子同期モジュール及び暗号化キー協議開始モジュールを備え、
前記UI表示モジュールは、前記クラウド暗号化セッションサービス管理プラットフォームと連携してユーザー契約を行う判断情報、今回の暗号化セッション通知及び識別子同期情報、並びに今回の暗号化セッション開始の暗号化キー協議状態を表示するためのものであり、
前記暗号化セッション通知モジュールは、前記クラウド暗号化セッションサービス管理プラットフォームのインターフェースと対話するためのものであり、
前記暗号化セッション識別子同期モジュールは、通話両方が暗号化セッション通話資格及び条件を有することを前記クラウド暗号化セッションサービス管理プラットフォームが判断した後、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子及び相手端の取得状態を取得して、暗号化セッション識別子の発信及び同期を完了するためのものであり、
前記暗号化キー協議開始モジュールは、暗号化キー識別子の同期を完了した後、前記暗号化キー識別子に基づいて前記暗号化キーミドルウェアに対して暗号化キー要求を開始して対応する暗号化キー協議状態を取得するためのものである。
前記UI表示モジュールは、前記クラウド暗号化セッションサービス管理プラットフォームと連携してユーザー契約を行う判断情報、今回の暗号化セッション通知及び識別子同期情報、並びに今回の暗号化セッション開始の暗号化キー協議状態を表示するためのものであり、
前記暗号化セッション通知モジュールは、前記クラウド暗号化セッションサービス管理プラットフォームのインターフェースと対話するためのものであり、
前記暗号化セッション識別子同期モジュールは、通話両方が暗号化セッション通話資格及び条件を有することを前記クラウド暗号化セッションサービス管理プラットフォームが判断した後、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子及び相手端の取得状態を取得して、暗号化セッション識別子の発信及び同期を完了するためのものであり、
前記暗号化キー協議開始モジュールは、暗号化キー識別子の同期を完了した後、前記暗号化キー識別子に基づいて前記暗号化キーミドルウェアに対して暗号化キー要求を開始して対応する暗号化キー協議状態を取得するためのものである。
【0019】
更に、前記暗号化キーミドルウェアは外部サービスインターフェース、汎用暗号サービスモジュール及び暗号装置サービスモジュールを備え、
前記外部サービスインターフェースは、プロセス間通信の方式で外部アプリケーションに接続するためのものであり、
前記汎用暗号サービスモジュールは、暗号化キー管理、身元認証及び暗号化キー演算インターフェースを提供するためのものであり、
前記暗号装置サービスモジュールは、前記セキュリティチップに記憶される認証暗号化キーを取得するためのものである。
前記外部サービスインターフェースは、プロセス間通信の方式で外部アプリケーションに接続するためのものであり、
前記汎用暗号サービスモジュールは、暗号化キー管理、身元認証及び暗号化キー演算インターフェースを提供するためのものであり、
前記暗号装置サービスモジュールは、前記セキュリティチップに記憶される認証暗号化キーを取得するためのものである。
【0020】
更に、前記音声ミドルウェアは音声傍受モジュール、音声速度選別モジュール、音声暗号化モジュール及び音声バックホールモジュールを備え、
前記音声傍受モジュールは、現在の端末システムにおける音声デジタルチャネルを傍受し、音声通話データを傍受及びバックホールするためのものであり、
前記音声速度選別モジュールは、前記音声傍受モジュールにより伝送される音声通話データを受信して検出して、AMRペイロードデータを取得するためのものであり、
前記音声暗号化モジュールは、暗号化キー処理、セッション暗号化キー状態の協議及び音声データの暗復号化・送受信を行うためのものであり、
前記音声バックホールモジュールは、前記AMRペイロードデータをシングルフレームの方式で前記音声暗号化モジュールに送信して、前記音声暗号化モジュールにて処理済みの音声暗号化データを前記音声速度選別モジュールにバックホールするためのものである。
前記音声傍受モジュールは、現在の端末システムにおける音声デジタルチャネルを傍受し、音声通話データを傍受及びバックホールするためのものであり、
前記音声速度選別モジュールは、前記音声傍受モジュールにより伝送される音声通話データを受信して検出して、AMRペイロードデータを取得するためのものであり、
前記音声暗号化モジュールは、暗号化キー処理、セッション暗号化キー状態の協議及び音声データの暗復号化・送受信を行うためのものであり、
前記音声バックホールモジュールは、前記AMRペイロードデータをシングルフレームの方式で前記音声暗号化モジュールに送信して、前記音声暗号化モジュールにて処理済みの音声暗号化データを前記音声速度選別モジュールにバックホールするためのものである。
【0021】
また、本発明は更にVoLTE音声暗号化通信システムを提供し、前記システムは量子鍵配送ネットワーク、発信端末、着信端末、第1暗号化キー管理プラットフォーム、第2暗号化キー管理プラットフォーム、第1暗号機、第2暗号機、クラウド暗号化セッションサービス管理プラットフォーム及び事業者ネットワークを備え、
前記発信端末及び前記着信端末にそれぞれセキュリティチップが統合され、前記セキュリティチップに認証暗号化キーが記憶され、
前記発信端末が前記第1暗号化キー管理プラットフォームに接続し、前記着信端末が前記第2暗号化キー管理プラットフォームに接続し、前記第1暗号化キー管理プラットフォームが前記第1暗号機を介して前記量子鍵配送ネットワークにアクセスし、前記第2暗号化キー管理プラットフォームが前記第2暗号機を介して前記量子鍵配送ネットワークにアクセスし、前記発信端末及び前記着信端末がそれぞれ前記事業者ネットワーク経由で前記クラウド暗号化セッションサービス管理プラットフォームにアクセスし、
前記発信端末及び前記着信端末内にいずれも中間アセンブリが設けられ、前記中間アセンブリが暗号化キーミドルウェア、サービスミドルウェア及び音声ミドルウェアを備え、前記暗号化キーミドルウェアが前記第1暗号化キー管理プラットフォーム又は前記第2暗号化キー管理プラットフォームに接続し、前記サービスミドルウェアが前記クラウド暗号化セッションサービス管理プラットフォームに接続し、前記音声ミドルウェアが下位層のデータ伝送チャネルに接続し、
前記暗号化キーミドルウェアは、その対応する前記セキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了するためのものであり、前記サービスミドルウェアは前記クラウド暗号化セッションサービス管理プラットフォームにログインするように要求し、前記音声ミドルウェアは自己起動し、
発信端末が通話を開始した後、前記サービスミドルウェアはクラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得するためのものであり、
通話に接続した後、発信端末及び着信端末は提示音を再生し、前記サービスミドルウェアは前記暗号化キーミドルウェアを呼び出して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、前記セッション暗号化キーが量子鍵配送ネットワーク経由で配送され、
前記暗号化キーミドルウェアは前記セッション暗号化キーを前記音声ミドルウェアに伝達して、前記音声ミドルウェアによりメディアチャネルを介して発信端末及び着信端末の暗号化キー取得状態の同期を完了した後、発信端末及び着信端末は暗号化された音声通話を行い、
通話を切った後、前記音声ミドルウェアは暗号化終了メッセージを送信して今回の暗号化キー通話を終了する。
前記発信端末及び前記着信端末にそれぞれセキュリティチップが統合され、前記セキュリティチップに認証暗号化キーが記憶され、
前記発信端末が前記第1暗号化キー管理プラットフォームに接続し、前記着信端末が前記第2暗号化キー管理プラットフォームに接続し、前記第1暗号化キー管理プラットフォームが前記第1暗号機を介して前記量子鍵配送ネットワークにアクセスし、前記第2暗号化キー管理プラットフォームが前記第2暗号機を介して前記量子鍵配送ネットワークにアクセスし、前記発信端末及び前記着信端末がそれぞれ前記事業者ネットワーク経由で前記クラウド暗号化セッションサービス管理プラットフォームにアクセスし、
前記発信端末及び前記着信端末内にいずれも中間アセンブリが設けられ、前記中間アセンブリが暗号化キーミドルウェア、サービスミドルウェア及び音声ミドルウェアを備え、前記暗号化キーミドルウェアが前記第1暗号化キー管理プラットフォーム又は前記第2暗号化キー管理プラットフォームに接続し、前記サービスミドルウェアが前記クラウド暗号化セッションサービス管理プラットフォームに接続し、前記音声ミドルウェアが下位層のデータ伝送チャネルに接続し、
前記暗号化キーミドルウェアは、その対応する前記セキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了するためのものであり、前記サービスミドルウェアは前記クラウド暗号化セッションサービス管理プラットフォームにログインするように要求し、前記音声ミドルウェアは自己起動し、
発信端末が通話を開始した後、前記サービスミドルウェアはクラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得するためのものであり、
通話に接続した後、発信端末及び着信端末は提示音を再生し、前記サービスミドルウェアは前記暗号化キーミドルウェアを呼び出して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、前記セッション暗号化キーが量子鍵配送ネットワーク経由で配送され、
前記暗号化キーミドルウェアは前記セッション暗号化キーを前記音声ミドルウェアに伝達して、前記音声ミドルウェアによりメディアチャネルを介して発信端末及び着信端末の暗号化キー取得状態の同期を完了した後、発信端末及び着信端末は暗号化された音声通話を行い、
通話を切った後、前記音声ミドルウェアは暗号化終了メッセージを送信して今回の暗号化キー通話を終了する。
【発明の効果】
【0022】
本発明の利点は以下のとおりである。
第1として、本発明では、発信端末及び着信端末内にいずれもセキュリティチップが統合され、発信端末及び着信端末が夫々の内部に統合されたセキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了し、暗号化キー管理プラットフォームには量子鍵配送ネットワーク経由で配送するセッション暗号化キーペアが記憶され、対称暗号化キーアルゴリズムによってVoLTE端末による認証及び暗号化キーの配送を実現し、証明書管理モジュールを必要とせず、証明書システムに比べて、計算速度が速く、安全性が高い特徴を有する。且つ、該暗号化通話はVoLTEによりプロセスを開始し、未暗号化セッションに接続してから暗号化キー協議プロセスを行い、暗号化キーの協議が早すぎることを回避し、ユーザーが電話に出るのが速すぎて暗号化キーの協議への要件が高すぎる問題を回避し、且つ未暗号化セッションを本当に開始するとき、まず1節の提示音を再生し、暗号化キーの協議を行うまで本当の暗号化セッションを行い、ユーザーにとって暗号化セッションの感知のみがあり、ユーザー体験が良い。また、接続後のメディアチャネルを暗号化キー状態同期インターフェースとして用いることにより、暗号化キー同期時間をメディアチャネルにより同期することが実現でき、同期効率を向上させる。
第1として、本発明では、発信端末及び着信端末内にいずれもセキュリティチップが統合され、発信端末及び着信端末が夫々の内部に統合されたセキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了し、暗号化キー管理プラットフォームには量子鍵配送ネットワーク経由で配送するセッション暗号化キーペアが記憶され、対称暗号化キーアルゴリズムによってVoLTE端末による認証及び暗号化キーの配送を実現し、証明書管理モジュールを必要とせず、証明書システムに比べて、計算速度が速く、安全性が高い特徴を有する。且つ、該暗号化通話はVoLTEによりプロセスを開始し、未暗号化セッションに接続してから暗号化キー協議プロセスを行い、暗号化キーの協議が早すぎることを回避し、ユーザーが電話に出るのが速すぎて暗号化キーの協議への要件が高すぎる問題を回避し、且つ未暗号化セッションを本当に開始するとき、まず1節の提示音を再生し、暗号化キーの協議を行うまで本当の暗号化セッションを行い、ユーザーにとって暗号化セッションの感知のみがあり、ユーザー体験が良い。また、接続後のメディアチャネルを暗号化キー状態同期インターフェースとして用いることにより、暗号化キー同期時間をメディアチャネルにより同期することが実現でき、同期効率を向上させる。
【0023】
第2として、本発明は端末内部処理プロセス、クラウド暗号化セッションサービス管理プラットフォーム、暗号化キー管理プラットフォーム及び対応する量子鍵配送ネットワークの観点から1つのエンド・ツー・エンドの実例を完了することができる。
【0024】
第3として、本発明は2つのQKDノードにおける異なる暗号化キー管理プラットフォーム間の暗号化キー交換におけるVoLTE交換の問題を実現することができる。
【0025】
第4として、SIP端末と非SIP端末がいずれも本発明の解決手段を用いて実施してもよく、且つ2つのタイプの端末を変更せず、実施しやすい。
【0026】
本発明に追加の態様及び利点は以下の説明から部分的に与えられ、残りが以下の説明から明らかになり、又は本発明の実践により理解される。
【図面の簡単な説明】
【0027】
【図1】本発明の第1実施例に係るVoLTE音声暗号化通信方法のフローチャートである。
【図2】本発明の第1実施例に係るステップS10の細分化ステップの模式図である。
【図3】本発明の第1実施例に係るステップS20の細分化ステップの模式図である。
【図4】本発明の第1実施例に係るステップS30の細分化ステップの模式図である。
【図5】本発明の第1実施例に係るステップS40の細分化ステップの模式図である。
【図6】本発明の第2実施例に係るVoLTE音声暗号化通信端末の構造模式図である。
【図7】本発明の第2実施例に係る中間アセンブリの接続模式図である。
【図8】本発明の第3実施例に係るVoLTE音声暗号化通信システムの構造模式図である。
【発明を実施するための形態】
【0028】
本発明の実施例の目的、技術案及び利点をより明確にするために、以下に本発明の実施例によって本発明の実施例の技術案を明確且つ完全に説明し、明らかに、説明される実施例は本発明の実施例の一部であり、実施例の全部ではない。本発明の実施例に基づいて、当業者が進歩性のある労働を必要とせずに取得する他の実施例は、いずれも本発明の保護範囲に属する。
【0029】
図1を参照し、本発明の第1実施例はVoLTE音声暗号化通信方法を提供し、発信端末及び着信端末内にそれぞれセキュリティチップが統合され、前記方法は下記ステップを含む。
S10 発信端末及び着信端末がそれぞれその対応するセキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了し、
なお、各暗号化キー管理プラットフォームが充填機能によってその接続するセキュリティチップの充填を実現し、発信端末及び着信端末がそれぞれ充填暗号化キーを取得し、充填暗号化キーを認証暗号化キーとし、且つ充填暗号化キー間に関連性がなく、本実施例はセキュリティチッププリセット暗号化キーを認証暗号化キーとして用いて、VoLTE携帯端末による認証において証明書に依存する問題を解決し、一次認証・一次暗号化キーの機能を実現する。
S10 発信端末及び着信端末がそれぞれその対応するセキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了し、
なお、各暗号化キー管理プラットフォームが充填機能によってその接続するセキュリティチップの充填を実現し、発信端末及び着信端末がそれぞれ充填暗号化キーを取得し、充填暗号化キーを認証暗号化キーとし、且つ充填暗号化キー間に関連性がなく、本実施例はセキュリティチッププリセット暗号化キーを認証暗号化キーとして用いて、VoLTE携帯端末による認証において証明書に依存する問題を解決し、一次認証・一次暗号化キーの機能を実現する。
【0030】
S20 発信端末が通話を開始し、発信端末及び着信端末がクラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得し、
なお、発着信両方が通話を開始し、着信端末が鳴動し始め、発信端末と着信端末がクラウド暗号化セッションサービス管理プラットフォームへの両方の契約情報の検証を申請し、クラウド暗号化セッションサービス管理プラットフォームはそのサービスシステムにおける記録により通話両方が暗号化セッションサービスを契約したかどうかを判断し、検証を完了した後、発信/着信両方のアカウントに基づいて今回通話の一意の識別子即ち暗号化セッション識別子を生成して発信端末及び着信端末に発信する。
なお、発着信両方が通話を開始し、着信端末が鳴動し始め、発信端末と着信端末がクラウド暗号化セッションサービス管理プラットフォームへの両方の契約情報の検証を申請し、クラウド暗号化セッションサービス管理プラットフォームはそのサービスシステムにおける記録により通話両方が暗号化セッションサービスを契約したかどうかを判断し、検証を完了した後、発信/着信両方のアカウントに基づいて今回通話の一意の識別子即ち暗号化セッション識別子を生成して発信端末及び着信端末に発信する。
【0031】
S30 通話に接続した後、発信端末及び着信端末が提示音を再生して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、前記セッション暗号化キーが量子鍵配送ネットワーク経由で配送され、
なお、発信/着信両方が未暗号化セッションの方式で予め行うことを回避するために、発信端末と着信端末は未暗号化セッションの方式を行う前に暗号化キー協議における提示音を再生し、両方が一時的に通話できず、次に暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、暗号化キー管理プラットフォームは夫々に接続する暗号機に今回通話のセッション暗号化キーを申請し、暗号機に記憶される量子鍵が量子鍵配送ネットワーク経由で配送され、即ち今回通話のセッション暗号化キーとされる。
なお、発信/着信両方が未暗号化セッションの方式で予め行うことを回避するために、発信端末と着信端末は未暗号化セッションの方式を行う前に暗号化キー協議における提示音を再生し、両方が一時的に通話できず、次に暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、暗号化キー管理プラットフォームは夫々に接続する暗号機に今回通話のセッション暗号化キーを申請し、暗号機に記憶される量子鍵が量子鍵配送ネットワーク経由で配送され、即ち今回通話のセッション暗号化キーとされる。
【0032】
S40、発信端末及び着信端末が前記セッション暗号化キーに基づいてメディアチャネルを介して発信端末及び着信端末の暗号化キー取得状態を同期した後、暗号化された音声通話を行い、
なお、接続後のメディアチャネルを暗号化キー状態同期インターフェースとして用いることにより、暗号化キー同期時間をメディアチャネルにより同期することが実現でき、同期効率を向上させる。
なお、発信端末と着信端末が暗号化された音声通話を行い始めるとき、音声を傍受し始めて条件に合う音声データを暗号化伝送する。
なお、接続後のメディアチャネルを暗号化キー状態同期インターフェースとして用いることにより、暗号化キー同期時間をメディアチャネルにより同期することが実現でき、同期効率を向上させる。
なお、発信端末と着信端末が暗号化された音声通話を行い始めるとき、音声を傍受し始めて条件に合う音声データを暗号化伝送する。
【0033】
S50 発信端末と着信端末が暗号化終了メッセージを送信して今回の暗号化キー通話を終了する。
【0034】
なお、発信端末と着信端末が電話を切ると、暗号化通話終了メッセージを送信し、両方が今回の暗号化キー通話を終了する。
【0035】
本実施例では、発信端末及び着信端末内にいずれもセキュリティチップが統合され、発信端末と着信端末が夫々の内部に統合されたセキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了し、暗号化キー管理プラットフォームには量子鍵配送ネットワーク経由で配送するセッション暗号化キーペアが記憶され、対称暗号化キーアルゴリズムによってVoLTE端末による認証及び暗号化キーの配送を実現し、証明書管理モジュールを必要とせず、証明書システムに比べて、計算速度が速く、安全性が高い特徴を有する。且つ、該暗号化通話はVoLTEによりプロセスを開始し、未暗号化セッションに接続してから暗号化キー協議プロセスを行い、暗号化キーの協議が早すぎることを回避し、ユーザーが電話に出るのが速すぎて暗号化キーの協議への要件が高すぎる問題を回避し、且つ未暗号化セッションを本当に開始するとき、まず1節の提示音を再生し、暗号化キーの協議を行うまで本当の暗号化セッションを行い、ユーザーにとって暗号化セッションの感知のみがあり、ユーザー体験が良い。また、接続後のメディアチャネルを暗号化キー状態同期インターフェースとして用いることにより、暗号化キー同期時間をメディアチャネルにより同期することが実現でき、同期効率を向上させる。
【0036】
更には、本発明は暗号化キー充填段階において直接に暗号化キー管理プラットフォームによって発着信両方のセキュリティチップに暗号化キーを認証暗号化キーとして充填し、発着信両方の内部に記憶される認証暗号化キーにいかなる関係もなく、その主な役割は、発着信両方がそれぞれ夫々のチップに記憶される暗号化キーにより暗号化キー管理プラットフォームへの身元認証を実現し、身元認証の一次認証・一次暗号化キーを実現することである。音声通信段階において、発着信両方が今回の通信暗号化キーを申請するとき、暗号化キー管理プラットフォームは発着信両方のセキュリティチップ内の1つの新たな暗号化キーを保護暗号化キーとして用いてセッション暗号化キーを発信することとなり、セッション暗号化キーの平文が一致するが、発着信両方のセキュリティチップに記憶される認証暗号化キーが異なるため、発着信両方が取得した暗号化キーの暗号文が一致せず、セッション暗号化キーを発信する一次認証・一次暗号化キーの機能を提供し、且つ過程全体にタグシステムを使用せず、交換プロセスを省略し、過程全体に発着信両方の暗号化キーが一致するように求められず、発着信セキュリティチップの内部に充填されるルート暗号化キーと実際の音声通信に必要なセッション暗号化キーとの非結合を実現し、より高い適応性を提供し、実際のサービス状況に一層適合する。
【0037】
一実施例では、図2を参照し、前記ステップS10は下記細分化ステップを含む。
S11 前記セキュリティチップがそれぞれその属する暗号化キー管理プラットフォームの識別子を取得し、
なお、各暗号化キー管理プラットフォームが充填機能によってその接続するセキュリティチップの充填を実現し、充填過程において暗号化キー管理プラットフォームの識別子をその接続するセキュリティチップに書き込み、この識別子が量子鍵配送QKDネットワークにおいて一意性を有する。
S11 前記セキュリティチップがそれぞれその属する暗号化キー管理プラットフォームの識別子を取得し、
なお、各暗号化キー管理プラットフォームが充填機能によってその接続するセキュリティチップの充填を実現し、充填過程において暗号化キー管理プラットフォームの識別子をその接続するセキュリティチップに書き込み、この識別子が量子鍵配送QKDネットワークにおいて一意性を有する。
【0038】
S12 前記発信端末及び着信端末がそれぞれその対応するセキュリティチップに記憶される前記認証暗号化キーを呼び出して、その属する暗号化キー管理プラットフォームへの身元認証を完了し、
なお、端末が起動したと、セキュリティチップ内の暗号化キーに記憶される認証暗号化キーを呼び出してその属する暗号化キー管理プラットフォームへのログイン認証を完了し、且つ端末が更に外部に暗号化キーサービスを提供する。
なお、端末が起動したと、セキュリティチップ内の暗号化キーに記憶される認証暗号化キーを呼び出してその属する暗号化キー管理プラットフォームへのログイン認証を完了し、且つ端末が更に外部に暗号化キーサービスを提供する。
【0039】
S13 前記発信端末及び着信端末がその属する暗号化キー管理プラットフォームの識別子及びその端末識別子を前記クラウド暗号化セッションサービス管理プラットフォームにアップロードすることにより、前記クラウド暗号化キーサービス管理プラットフォームが端末識別子と暗号化キー管理プラットフォーム識別子との対照表を生成して記憶する。
なお、クラウド暗号化セッションサービス管理プラットフォームにはユーザー端末と各暗号化キー管理プラットフォームとの対応関係を複数の暗号化キー管理プラットフォームが接続するユーザーリソース情報ベースとして記憶し、暗号化キー管理プラットフォーム間の暗号化キー協議クエリサービスを提供し、QKDネットワークにおける複数の暗号化キープラットフォームにおけるVoLTEサービスの交換問題に適合できる。
なお、クラウド暗号化セッションサービス管理プラットフォームにはユーザー端末と各暗号化キー管理プラットフォームとの対応関係を複数の暗号化キー管理プラットフォームが接続するユーザーリソース情報ベースとして記憶し、暗号化キー管理プラットフォーム間の暗号化キー協議クエリサービスを提供し、QKDネットワークにおける複数の暗号化キープラットフォームにおけるVoLTEサービスの交換問題に適合できる。
【0040】
一実施例では、図3を参照し、前記ステップS20は、
前記発信端末及び着信端末が前記クラウド暗号化セッションサービス管理プラットフォームに今回通話の発信番号及び着信番号を報告することにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記発信番号及び着信番号に基づいて今回通話の前記暗号化セッション識別子を生成するS21、及び
前記クラウド暗号化セッションサービス管理プラットフォームは前記対照表に基づいて前記発信端末及び着信端末の属する暗号化キー管理プラットフォーム識別子が一致しないことを決定した場合、前記発信端末及び着信端末は前記クラウド暗号化セッションサービス管理プラットフォームが返信した前記暗号化セッション識別子及び相手端の属する暗号化キー管理プラットフォームの識別子を取得するS22、の細分化ステップを含む。
前記発信端末及び着信端末が前記クラウド暗号化セッションサービス管理プラットフォームに今回通話の発信番号及び着信番号を報告することにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記発信番号及び着信番号に基づいて今回通話の前記暗号化セッション識別子を生成するS21、及び
前記クラウド暗号化セッションサービス管理プラットフォームは前記対照表に基づいて前記発信端末及び着信端末の属する暗号化キー管理プラットフォーム識別子が一致しないことを決定した場合、前記発信端末及び着信端末は前記クラウド暗号化セッションサービス管理プラットフォームが返信した前記暗号化セッション識別子及び相手端の属する暗号化キー管理プラットフォームの識別子を取得するS22、の細分化ステップを含む。
【0041】
なお、発信端末及び着信端末は今回通話の発着信番号をクラウド暗号化セッションサービス管理プラットフォームに報告し、クラウド暗号化セッションサービス管理プラットフォームは発信/着信両方の暗号化セッションの契約状態に応じて今回の通話が暗号化セッションに入る条件を有するかどうかを判断するとともに、クラウド暗号化セッションサービス管理プラットフォームは発信/着信両方の最近次のログイン状態を検査し、両方の状態が正常であることを発見した場合、発信/着信番号に基づいて今回通話の暗号化セッション識別子を生成するとともに、対照表に基づいて通話両方の属する暗号化キー管理プラットフォームの識別子を検査し、一致しない場合、クラウド暗号化セッションサービス管理プラットフォームは相手端の属する暗号化キープラットフォーム識別子及び暗号化セッション識別子を本端末に返信する。
【0042】
本実施例における暗号化セッション識別子の取得はQKDネットワークにおける複数の暗号化キープラットフォームのVoLTEサービスの交換問題に適合でき、それは複数の暗号化キー管理プラットフォームにおいてサービス識別子が暗号化キー識別子を直接置換できないためである。
【0043】
一実施例では、図4を参照し、前記ステップS30は、
前記着信端末がその属する暗号化キー管理プラットフォームに第1暗号化キー要求を送信することにより、前記暗号化キー管理プラットフォームが暗号機から暗号化キー識別子を取得して前記着信端末に返信し、前記第1暗号化キー要求には前記暗号化セッション識別子及び相手端の属する暗号化キー管理プラットフォームの識別子が含まれ、
なお、着信端末が一般的に能動側とされ、パラメータ(相手端の属するプラットフォーム識別子、暗号化セッション識別子)に基づいてその属する暗号化キー管理プラットフォームに暗号化キーを要求するS31、
前記着信端末が前記暗号化キー識別子及び前記暗号化セッション識別子を前記クラウド暗号化セッションサービス管理プラットフォームにプッシュすることにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記暗号化キー識別子及び前記暗号化セッション識別子を前記発信端末にプッシュするS32、及び
前記発信端末がその属する暗号化キー管理プラットフォームに第2暗号化キー要求を送信することにより、暗号化キー管理プラットフォームが前記セッション暗号化キーを前記発信端末に返信し、前記第2暗号化キー要求には前記暗号化キー識別子及び前記暗号化セッション識別子が含まれるS33、の細分化ステップを含む。
前記着信端末がその属する暗号化キー管理プラットフォームに第1暗号化キー要求を送信することにより、前記暗号化キー管理プラットフォームが暗号機から暗号化キー識別子を取得して前記着信端末に返信し、前記第1暗号化キー要求には前記暗号化セッション識別子及び相手端の属する暗号化キー管理プラットフォームの識別子が含まれ、
なお、着信端末が一般的に能動側とされ、パラメータ(相手端の属するプラットフォーム識別子、暗号化セッション識別子)に基づいてその属する暗号化キー管理プラットフォームに暗号化キーを要求するS31、
前記着信端末が前記暗号化キー識別子及び前記暗号化セッション識別子を前記クラウド暗号化セッションサービス管理プラットフォームにプッシュすることにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記暗号化キー識別子及び前記暗号化セッション識別子を前記発信端末にプッシュするS32、及び
前記発信端末がその属する暗号化キー管理プラットフォームに第2暗号化キー要求を送信することにより、暗号化キー管理プラットフォームが前記セッション暗号化キーを前記発信端末に返信し、前記第2暗号化キー要求には前記暗号化キー識別子及び前記暗号化セッション識別子が含まれるS33、の細分化ステップを含む。
【0044】
なお、単一の暗号化キー管理プラットフォームの場合には、暗号化キーの生成が1つのプラットフォームによるものであるため、直接に暗号化セッション識別子を暗号化キー識別子として用いて両方の暗号化キーの取得を完了することができ、発着信両方は暗号化セッション識別子を用いて同じ暗号化キー管理プラットフォームから暗号化キーを取得することができる。しかしながら、複数の暗号化キー管理プラットフォームの場合には、暗号化キー管理プラットフォームが主にQKDネットワーク経由で暗号化キーインターフェースを提供することにより両方の暗号化キーの協議を完了するため、1つの暗号化キーを協議すると1つの暗号化キー識別子を返信し、このとき、暗号化キー申請能動側からこの暗号化キー識別子を取得できるが、他方の側から同じ暗号化セッション識別子で1つの暗号化キーを一意に識別できず、暗号化キーの同期を実現できない。
【0045】
ところが、本実施例はQKDによる暗号化キーのリモート協議後の暗号化キー識別子と今回のVoLTE通話間の暗号化セッション識別子との関連付けを実現し、複数の暗号化キー管理プラットフォームにおける暗号化キーの配送問題を実現し、暗号化キーの同期を本当に実現する。
【0046】
一実施例では、前記ステップS31では、暗号化キー管理プラットフォームが暗号機から暗号化キー識別子を取得して前記着信端末に返信することは、
前記暗号化キー管理プラットフォームが前記暗号機に第1暗号化キー申請を送信することにより、前記暗号機が前記第1暗号化キー申請に基づいてその接続するQKDネットワークに対して第2暗号化キー申請を開始し、前記第1暗号化キー申請に含まれる情報が前記暗号化セッション識別子、前記発信番号、前記着信番号及び相手端の属する暗号化キー管理プラットフォームの識別子を含み、前記第2暗号化キー申請に含まれる情報が相手端の属する暗号化キー管理プラットフォームの識別子を含むことと、
前記QKDネットワークが前記第2暗号化キー申請に基づいて前記発信端末及び着信端末の属するQKDノードの1つの対称暗号化キーを取得して、前記対称暗号化キーを前記暗号機に返信することと、
前記暗号機が前記暗号化キー管理プラットフォームを介して前記対称暗号化キー及び暗号化キー識別子を前記着信端末に返信することと、を含む。
前記暗号化キー管理プラットフォームが前記暗号機に第1暗号化キー申請を送信することにより、前記暗号機が前記第1暗号化キー申請に基づいてその接続するQKDネットワークに対して第2暗号化キー申請を開始し、前記第1暗号化キー申請に含まれる情報が前記暗号化セッション識別子、前記発信番号、前記着信番号及び相手端の属する暗号化キー管理プラットフォームの識別子を含み、前記第2暗号化キー申請に含まれる情報が相手端の属する暗号化キー管理プラットフォームの識別子を含むことと、
前記QKDネットワークが前記第2暗号化キー申請に基づいて前記発信端末及び着信端末の属するQKDノードの1つの対称暗号化キーを取得して、前記対称暗号化キーを前記暗号機に返信することと、
前記暗号機が前記暗号化キー管理プラットフォームを介して前記対称暗号化キー及び暗号化キー識別子を前記着信端末に返信することと、を含む。
【0047】
なお、本実施例は端末内部処理プロセス、クラウド暗号化セッションサービス管理プラットフォーム、暗号化キー管理プラットフォーム及び対応する量子鍵配送ネットワークの観点から1つのエンド・ツー・エンドの実例を完了でき、且つ2つのQKDノードにおける異なる暗号化キー管理プラットフォーム間の暗号化キー交換におけるVoLTE交換の問題を実現できる。
【0048】
一実施例では、図5を参照し、前記ステップS40は、
前記発信端末及び着信端末が前記セッション暗号化キーを取得するS41、及び
前記発信端末及び着信端末が前記クラウド暗号化セッションサービス管理プラットフォームに対して暗号化キーにより取得された通知情報を同期することにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記通知情報を前記発信端末及び着信端末にパススルーして、暗号化キー取得状態の同期を完了するS42、の細分化ステップを含む。
前記発信端末及び着信端末が前記セッション暗号化キーを取得するS41、及び
前記発信端末及び着信端末が前記クラウド暗号化セッションサービス管理プラットフォームに対して暗号化キーにより取得された通知情報を同期することにより、前記クラウド暗号化セッションサービス管理プラットフォームが前記通知情報を前記発信端末及び着信端末にパススルーして、暗号化キー取得状態の同期を完了するS42、の細分化ステップを含む。
【0049】
なお、いくつかのシーンにおいて、発信/着信両方が関連する暗号化キーを取得した後、ユーザーは電話に接続してから暗号化キーを配送するのではなく、電話に接続すると暗号化セッションに入るように望まれ、それによりユーザーのVoLTE暗号化セッションに対する体験を向上させ、本実施例は端末プッシュメカニズムによってメディア情報ストリームに依存せずに暗号化キーを同期する最適化実例を実現することができ、コール両方の同一暗号化キープラットフォーム及び異なる暗号化キープラットフォームにおける暗号化キー取得状態の同期を実現することができ、一定の適応性を有する。
【0050】
更に、いくつかのシーンにおいて、SIP拡張フィールドに基づいて暗号化セッション参加識別子を配送するように要求するカスタマイズ端末(SIP端末)とSIP拡張フィールドに依存しないカスタマイズ端末(非SIP端末)とが共に存在する解決手段があり、2つのカスタマイズ端末の主な相違点はSIP系端末がモジュール側を改善してSIP拡張フィールドの処理能力を有することを実現することであり、類似する暗号化キーミドルウェア及び音声ミドルウェアの構造を有して暗号化キーの協議及び音声の暗復号化を実現する点では同じである。従って、クラウド管理プラットフォームとIMSが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)との接続を完了すれば、端末を修正しない場合のVoLTE交換機能を実現することができ、本解決手段は既存の2つのタイプの端末を変更せず、実施しやすい特徴を有する。具体的な実施ステップは以下を含む。
(1)IMSアセンブリが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)とクラウド暗号化セッションサービス管理プラットフォームとがユーザー同期インターフェース、暗号化セッション識別子プッシュインターフェースを完了し、
(2-1)第1種類のシーンにおいて、コール両方のうちの一方がSIP端末であり、SIP端末が発信者であり、
発信者が通話を開始した後、コール要求はIMSネットワークが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)に送信され、ASはローカル同期データベースをクエリして該アカウント端末のタイプを決定し、暗号化セッション参加条件に合う場合には対応する暗号化セッション識別子を生成して該識別子をクラウド暗号化セッションサービス管理プラットフォームに送信し、クラウド暗号化セッションサービス管理プラットフォームが該暗号化セッション識別子を相手端末にプッシュし、SIP端末の場合にASを介して暗号化セッション識別子を発信し続けて暗号化セッション参加を完了する。
(1)IMSアセンブリが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)とクラウド暗号化セッションサービス管理プラットフォームとがユーザー同期インターフェース、暗号化セッション識別子プッシュインターフェースを完了し、
(2-1)第1種類のシーンにおいて、コール両方のうちの一方がSIP端末であり、SIP端末が発信者であり、
発信者が通話を開始した後、コール要求はIMSネットワークが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)に送信され、ASはローカル同期データベースをクエリして該アカウント端末のタイプを決定し、暗号化セッション参加条件に合う場合には対応する暗号化セッション識別子を生成して該識別子をクラウド暗号化セッションサービス管理プラットフォームに送信し、クラウド暗号化セッションサービス管理プラットフォームが該暗号化セッション識別子を相手端末にプッシュし、SIP端末の場合にASを介して暗号化セッション識別子を発信し続けて暗号化セッション参加を完了する。
【0051】
(2-2)第2種類のシーンにおいて、SIP端末が着信側であり、正常に発信側が通話を開始し、
クラウド暗号化セッションサービス管理プラットフォームによってクエリして相手端がSIP端末であり、クラウド暗号化セッションサービス管理プラットフォームが暗号化セッション識別子を生成して対応する暗号化セッション識別子をIMSネットワークが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)にプッシュし、ASが対応する暗号化セッション参加識別子を対応するSIP拡張計画端末に発信して暗号化セッション参加を完了する。
クラウド暗号化セッションサービス管理プラットフォームによってクエリして相手端がSIP端末であり、クラウド暗号化セッションサービス管理プラットフォームが暗号化セッション識別子を生成して対応する暗号化セッション識別子をIMSネットワークが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)にプッシュし、ASが対応する暗号化セッション参加識別子を対応するSIP拡張計画端末に発信して暗号化セッション参加を完了する。
【0052】
(3)暗号化セッション識別子を発信した後、SIP端末がベースバンドチップにて処理された後の暗号化セッション参加識別子を音声ミドルウェアに伝達し、音声ミドルウェアが暗号化キーミドルウェアを呼び出して暗号化セッション参加識別子に基づいて暗号化キー管理プラットフォームから暗号化キーを取得することを完了し、非SIP系拡張フィールドに対して、サービスミドルウェアが暗号化セッション参加識別子を暗号化キーミドルウェアにプッシュすることにより暗号化キーの取得を実現する。
【0053】
(4)発着信両方が暗号化キーミドルウェアにより暗号化キーの取得を完了し、且つステップS40~S50のプロセスに基づいて音声暗号化機能を実現する。
【0054】
また、図6~7を参照し、本発明の第2実施例はVoLTE音声暗号化通信端末を提供し、前記端末内にセキュリティチップ4及び中間アセンブリが設けられ、前記セキュリティチップ4に認証暗号化キーが記憶され、前記中間アセンブリは暗号化キーミドルウェア3、サービスミドルウェア1及び音声ミドルウェア2を備え、
前記暗号化キーミドルウェア3は、前記セキュリティチップ4に記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了するためのものであり、前記サービスミドルウェア1はクラウド暗号化セッションサービス管理プラットフォームにログインするように要求し、前記音声ミドルウェア2は自己起動し、
前記サービスミドルウェア1は、通話両方が通話を開始した後、クラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得するためのものであって、通話に接続して前記端末が提示音を再生した後、前記暗号化キーミドルウェアを呼び出して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請するためのものであり、前記セッション暗号化キーが量子鍵配送ネットワーク経由で配送され、
前記暗号化キーミドルウェア3は、前記セッション暗号化キーを前記音声ミドルウェアに伝達して、前記音声ミドルウェア2によりメディアチャネルを介して通話両方の暗号化キー取得状態の同期を完了した後、通話両方が暗号化された音声通話を行うためのものであり、
前記音声ミドルウェア2は、通話を切った後、暗号化終了メッセージを送信して今回の暗号化キー通話を終了するためのものである。
前記暗号化キーミドルウェア3は、前記セキュリティチップ4に記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了するためのものであり、前記サービスミドルウェア1はクラウド暗号化セッションサービス管理プラットフォームにログインするように要求し、前記音声ミドルウェア2は自己起動し、
前記サービスミドルウェア1は、通話両方が通話を開始した後、クラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得するためのものであって、通話に接続して前記端末が提示音を再生した後、前記暗号化キーミドルウェアを呼び出して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請するためのものであり、前記セッション暗号化キーが量子鍵配送ネットワーク経由で配送され、
前記暗号化キーミドルウェア3は、前記セッション暗号化キーを前記音声ミドルウェアに伝達して、前記音声ミドルウェア2によりメディアチャネルを介して通話両方の暗号化キー取得状態の同期を完了した後、通話両方が暗号化された音声通話を行うためのものであり、
前記音声ミドルウェア2は、通話を切った後、暗号化終了メッセージを送信して今回の暗号化キー通話を終了するためのものである。
【0055】
本実施例では、端末の内部において3つのミドルウェアの間にセキュリティチップ内の暗号化キーによってミドルウェア間、ミドルウェアからプラットフォームまでの公開/秘密鍵ではなくセキュリティチップ内の暗号化キーによりエンティティ認証を実現し、一次認証・一次暗号化キーを実現し、認証速度が速い特徴を有する。
【0056】
具体的には、前記暗号化キーミドルウェアは、端末内に統合されたセキュリティチップと交換するためのものであり、複数のチャネルプロトコルをサポートして異なるタイプのセキュリティチップ内の暗号化キーの読取及び操作を実現する。セキュリティチップがシングルチャネルである場合が多いため、暗号化キーミドルウェアが外部統一サービス機能を有する必要があり、アクセスするアプリケーションのアプリケーション認可、アクセス制御、スケジューリングなどの機能を完了することができ、それと同時に、暗号化キーミドルウェアは更に暗号化キー管理プラットフォームとセキュリティチップに基づく身元認証、暗号化キーの協議、セッション暗号化キーの取得、暗号化及び廃棄機能を完了することができ、ミドルウェアによる暗号セキュリティ機能の統一管理及びサービスを実現する。
【0057】
前記サービスミドルウェアはクラウド暗号化セッションサービス管理プラットフォームと対話してVoLTE暗号化セッションの通知、暗号化セッション識別子の同期及び暗号ミドルウェアを呼び出して暗号化キーの協議を完了する機能を完了するためのものであり、ミドルウェア初期化段階においてセキュリティチップ内にプラットフォーム識別子を充填して報告する機能を完了することができ、クラウド暗号化セッションサービス管理プラットフォームは報告情報に基づいて1つのグローバルユーザーと暗号化キー管理プラットフォームとの対応関係を構築することができる。
【0058】
前記サービスミドルウェアは通話過程状態に応じて現在の通話進行をフィードバックすることができ、それと同時に該サービスミドルウェアは更に独立したプロセスの方式で携帯電話に位置し、始動すると自己起動し、且つ前記プロセスが携帯電話システムにより排除されないように維持する。
【0059】
前記音声ミドルウェアは独立したプロセスの方式で携帯電話のミドルウェアにおいて実行し、主に下位層の携帯電話の音声処理及び伝送モジュールと対話することを完了し、暗号化通話時のサイレント検出メカニズムの遮断及び録音機能の遮断を実現し、携帯電話システムの下位層に音声通話状態を傍受し、且つ暗号ミドルウェアが提供する暗号演算インターフェースを呼び出して音声ストリームの暗復号化機能を実現することができる。
【0060】
一実施例では、図6を参照し、前記サービスミドルウェアはUI表示モジュール、暗号化セッション通知モジュール、暗号化セッション識別子同期モジュール及び暗号化キー協議開始モジュールを備え、
前記UI表示モジュールは、前記クラウド暗号化セッションサービス管理プラットフォームと連携してユーザー契約を行う判断情報、今回の暗号化セッション通知及び識別子同期情報、並びに今回の暗号化セッション開始の暗号化キー協議状態を表示するためのものであり、
前記暗号化セッション通知モジュールは、前記クラウド暗号化セッションサービス管理プラットフォームのインターフェースと対話するためのものであり、
前記暗号化セッション識別子同期モジュールは、通話両方が暗号化セッション通話資格及び条件を有することを前記クラウド暗号化セッションサービス管理プラットフォームが判断した後、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子及び相手端の取得状態を取得して、暗号化セッション識別子の発信及び同期を完了するためのものであり、
前記暗号化キー協議開始モジュールは、暗号化キー識別子の同期を完了した後、前記暗号化キー識別子に基づいて前記暗号化キーミドルウェアに対して暗号化キー要求を開始して対応する暗号化キー協議状態を取得するためのものである。
前記UI表示モジュールは、前記クラウド暗号化セッションサービス管理プラットフォームと連携してユーザー契約を行う判断情報、今回の暗号化セッション通知及び識別子同期情報、並びに今回の暗号化セッション開始の暗号化キー協議状態を表示するためのものであり、
前記暗号化セッション通知モジュールは、前記クラウド暗号化セッションサービス管理プラットフォームのインターフェースと対話するためのものであり、
前記暗号化セッション識別子同期モジュールは、通話両方が暗号化セッション通話資格及び条件を有することを前記クラウド暗号化セッションサービス管理プラットフォームが判断した後、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子及び相手端の取得状態を取得して、暗号化セッション識別子の発信及び同期を完了するためのものであり、
前記暗号化キー協議開始モジュールは、暗号化キー識別子の同期を完了した後、前記暗号化キー識別子に基づいて前記暗号化キーミドルウェアに対して暗号化キー要求を開始して対応する暗号化キー協議状態を取得するためのものである。
【0061】
具体的に、前記UI表示モジュールは、暗号化セッション確立過程における各段階のUI表示を行うためのものであり、主にクラウド暗号化セッションサービス管理プラットフォームと連携してユーザー契約を行う判断情報の表示、今回の暗号化セッションの通知及び識別子同期情報の表示、今回の暗号化セッション開始の暗号化キー協議状態の表示などの複数のプロセスの表示を含む。
【0062】
前記暗号化セッション通知モジュールはクラウド暗号化セッションサービス管理プラットフォームインターフェースと対話して、暗号化セッション発着信両方の暗号化セッション契約資格の判断、両方の現在のネットワーク状態の判断及びクラウド暗号化セッションサービス管理プラットフォームへのメッセージプッシュ機能を実現する。
【0063】
前記暗号化セッション識別子同期モジュールは、両方が暗号化セッション通話の資格及び条件を有することをクラウド暗号化セッションサービス管理プラットフォームが判断した後、クラウド暗号化セッションサービス管理プラットフォームが今回通話の識別子を生成してサービスミドルウェアにプッシュし、サービスミドルウェアがクラウド暗号化セッションサービス管理プラットフォームを介して相手端の取得状態を取得し、暗号化セッション識別子の発信及び同期を完了するためのものであり、このインターフェースは主に複数の暗号化キー管理プラットフォーム間のユーザーVoLTE通話に使用され、同じ暗号化キープラットフォームにおいてユーザーが以前にこの機能を必要としない。
【0064】
前記暗号化キー協議開始モジュールは、暗号化キー識別子同期インターフェースを完了した後、サービスミドルウェアが該識別子によって暗号化キーミドルウェアに暗号化キー申請要求を開始して対応する暗号化キー協議状態を取得するためのものである。
【0065】
一実施例では、図6を参照し、前記暗号化キーミドルウェアは外部サービスインターフェース、汎用暗号サービスモジュール及び暗号装置サービスモジュールを備え、
前記外部サービスインターフェースは、プロセス間通信の方式で外部アプリケーションに接続するためのものであり、
前記汎用暗号サービスモジュールは、暗号化キー管理、身元認証及び暗号化キー演算インターフェースを提供するためのものであり、
前記暗号装置サービスモジュールは、前記セキュリティチップに記憶される認証暗号化キーを取得するためのものである。
前記外部サービスインターフェースは、プロセス間通信の方式で外部アプリケーションに接続するためのものであり、
前記汎用暗号サービスモジュールは、暗号化キー管理、身元認証及び暗号化キー演算インターフェースを提供するためのものであり、
前記暗号装置サービスモジュールは、前記セキュリティチップに記憶される認証暗号化キーを取得するためのものである。
【0066】
具体的に、前記外部サービスは主に外部アプリケーションの認可、アクセス制御、プロセス通信などの機能を含み、外部アプリケーションの安全アクセスを実現し、外部アプリケーションがプロセス間通信の方式で暗号化キーミドルウェアにアクセスする。
【0067】
前記汎用暗号サービスモジュールは主に暗号化キー管理、身元認証、暗号化キー演算インターフェースを備え、外部アプリケーションへの暗号化キーサービスを実現する。
【0068】
具体的には、暗号化キーミドルウェアは起動過程において暗号装置サービスインターフェースを介してセキュリティチップ内の暗号化キーを取得し、セキュリティチップ内の1つの暗号化キーを認証暗号化キーとして暗号化キー管理プラットフォームへの身元認証を完了することを実現し、認証過程全体が15843.2標準に規定された二次識別認証メカニズムに基づいて認証過程における一次認証・一次暗号化キーを実現し、証明書システムによる認証が複雑で、計算量が大きい問題を回避することができる。
【0069】
前記サービスミドルウェアは基本的な暗号化セッション識別子の同期を完了し、且つ暗号化キーミドルウェアの外部インターフェースを介して暗号化キーミドルウェアに伝達し、暗号化キーミドルウェアが暗号化セッション識別子、発着信両方の番号を暗号化キー識別子として暗号化キー管理プラットフォームに対応のセッション暗号化キーを申請し、今回の通話セッション暗号化キーの申請及び取得を実現する。
【0070】
前記暗号装置サービスモジュールは主にセキュリティチップのデバイス管理、カード容量、ファイルのアプリケーション管理、暗号化キーの管理及び演算インターフェースの呼び出しを実現する。
【0071】
一実施例では、図6を参照し、前記音声ミドルウェアは音声傍受モジュール、音声速度選別モジュール、音声暗号化モジュール及び音声バックホールモジュールを備え、
前記音声傍受モジュールは、現在の端末システムにおける音声デジタルチャネルを傍受し、音声通話データを傍受及びバックホールするためのものであり、
前記音声速度選別モジュールは、前記音声傍受モジュールにより伝送される音声通話データを受信して検出して、AMRペイロードデータを取得するためのものであり、
前記音声暗号化モジュールは、暗号化キー処理、セッション暗号化キー状態の協議及び音声データの暗復号化・送受信を行うためのものであり、
前記音声バックホールモジュールは、前記AMRペイロードデータをシングルフレームの方式で前記音声暗号化モジュールに送信して、前記音声暗号化モジュールにて処理済みの音声暗号化データを前記音声速度選別モジュールにバックホールするためのものである。
前記音声傍受モジュールは、現在の端末システムにおける音声デジタルチャネルを傍受し、音声通話データを傍受及びバックホールするためのものであり、
前記音声速度選別モジュールは、前記音声傍受モジュールにより伝送される音声通話データを受信して検出して、AMRペイロードデータを取得するためのものであり、
前記音声暗号化モジュールは、暗号化キー処理、セッション暗号化キー状態の協議及び音声データの暗復号化・送受信を行うためのものであり、
前記音声バックホールモジュールは、前記AMRペイロードデータをシングルフレームの方式で前記音声暗号化モジュールに送信して、前記音声暗号化モジュールにて処理済みの音声暗号化データを前記音声速度選別モジュールにバックホールするためのものである。
【0072】
具体的に、前記音声傍受モジュールは主に現在の携帯電話システムにおける音声デジタルチャネルを傍受し、音声通話データを傍受及びバックホールするためのものを備える。
【0073】
前記音声速度選別モジュールは、前記音声データ傍受モジュールから送信された音声通話データを受信して検出し、前記音声通話データの場合にはVoLTE音声品質設定ルールに従ってVoLTE音声データに対してデータ処理を行ってもよく、理論的には異なるネットワーク環境に適応するように異なるコードレートのVoLTE音声データの処理を実現することができ、条件に合う音声データの場合にはAMRペイロードデータを取得し、前記AMRペイロードデータを前記音声バックホールモジュールにプッシュするためのものである。3GPP(登録商標)プロトコルに従って、条件に合うAMRペイロードデータを前記音声バックホールモジュールにプッシュし、この要件を満たさない他の音声データを携帯電話の音声デジタルチャネルに返送する。
【0074】
前記音声バックホールモジュールは、前記AMRペイロードデータをシングルフレームの方式で協議暗号化モジュールにリアルタイムに送信して、前記協議暗号化モジュールにて処理されたVoLTE音声暗号化データを受信して音声速度選別モジュールにバックホールするためのものである。
【0075】
前記音声暗号化モジュールは、暗号化キーの処理、セッション暗号化キー状態の協議及び音声データの暗復号化・送受信機能を行うためのものである。
【0076】
具体的に、前記暗号化キー処理機能は主に、音声ミドルウェアが暗号化キーミドルウェアとの対話によってセッション暗号化キーを実現し、セッション暗号化キーが暗号化方式で保護され、暗号化キー処理機能によってセッション暗号化キー・暗号文データの処理を完了し、暗号化環境を初期化することである。
【0077】
前記セッション暗号化キーの協議は以下を含む。セッション暗号化キーの取得を完了した後、コール両方が既存のシステムの音声デジタルチャネルを介して今回の暗号化セッション識別子に関連する1つの音声情報を送信して、前記音声速度選別モジュールにより相手の返信情報を受け取る必要があり、相手の返信情報を選別する場合には、両方の音声データがいずれも事業者VoLTE環境において伝送され、両方のAMRペイロードレートがマッチングし、且つそれと同時に相手も既に前記暗号化セッション確立命令の要件に応じてセッション暗号化キーの協議を完了して暗号化通話のセッション暗号化キーを用意したと説明され、相手の返信情報を選別しない場合には、一方がVoLTE環境に位置せず又はセッション暗号化キーの取得に失敗し、AMRペイロードレートがマッチングせず、暗号化通話の協議に失敗したと示される。協議に成功した場合、音声データの暗号化に入る。
【0078】
前記音声データの暗復号化は、開始方両方がセッション暗号化キーの協議を完了した後、音声バックホールモジュールによりVoLTE音声データを伝達し、暗号化モジュールがVoLTE符号化速度への自己適応機能を有し、データ暗復号化の生命周期全体内に、アップ/ダウンリンク音声データストリームに対して、暗復号化モジュールがデータ暗復号化の開始及び終了メッセージを構築して暗復号化状態の制御及び同期を実現する、ことを含む。
【0079】
本実施例における暗号化端末は、VoLTE暗号化のために提供するサービス、暗号化キー、音声ミドルウェアの機能的特徴及び類似する端末内のプログラムを有し、VoLTE暗号化サービスの実施が確保される。
【0080】
一実施例では、QKDネットワークにおける複数の暗号化キープラットフォームのVoLTEサービス交換問題に適合するために、前記暗号化キーミドルウェアは前記セキュリティチップに記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了するためのものであり、前記サービスミドルウェアは前記クラウド暗号化セッションサービス管理プラットフォームにログインするように要求し、前記音声ミドルウェアは自己起動し、具体的には以下のとおりである。
a1)暗号化キー管理プラットフォームは充填機能によってセキュリティチップの充填を実現し、充填過程において本プラットフォームの暗号化キー管理プラットフォーム識別子をセキュリティチップに書き込み、この識別子がQKDネットワークにおいて一意性を有する。
a2)セキュリティチップが端末を統合し、端末が起動した後、暗号化キーミドルウェアはセキュリティチップ内の暗号化キーに記憶される暗号化キーを呼び出して暗号化キー管理プラットフォームへのログイン認証を完了するとともに、暗号化キーミドルウェアは外部に暗号化キーサービスを提供する。
a3)サービスミドルウェアは暗号化キーミドルウェアにアクセスして、充填された暗号化キー管理プラットフォーム識別子を取得し、且つ自身情報(端末情報)及び暗号化キー管理プラットフォーム識別子をクラウド暗号化セッションサービス管理プラットフォームにアップロードする。
a4)クラウド暗号化セッションサービス管理プラットフォームはユーザーと各暗号化キー管理プラットフォームとの対応関係を複数の暗号化キー管理プラットフォームが接続するユーザーリソース情報ベースとして記憶し、暗号化キー管理プラットフォーム間の暗号化キー協議クエリサービスを提供する。
a1)暗号化キー管理プラットフォームは充填機能によってセキュリティチップの充填を実現し、充填過程において本プラットフォームの暗号化キー管理プラットフォーム識別子をセキュリティチップに書き込み、この識別子がQKDネットワークにおいて一意性を有する。
a2)セキュリティチップが端末を統合し、端末が起動した後、暗号化キーミドルウェアはセキュリティチップ内の暗号化キーに記憶される暗号化キーを呼び出して暗号化キー管理プラットフォームへのログイン認証を完了するとともに、暗号化キーミドルウェアは外部に暗号化キーサービスを提供する。
a3)サービスミドルウェアは暗号化キーミドルウェアにアクセスして、充填された暗号化キー管理プラットフォーム識別子を取得し、且つ自身情報(端末情報)及び暗号化キー管理プラットフォーム識別子をクラウド暗号化セッションサービス管理プラットフォームにアップロードする。
a4)クラウド暗号化セッションサービス管理プラットフォームはユーザーと各暗号化キー管理プラットフォームとの対応関係を複数の暗号化キー管理プラットフォームが接続するユーザーリソース情報ベースとして記憶し、暗号化キー管理プラットフォーム間の暗号化キー協議クエリサービスを提供する。
【0081】
一実施例では、通話両方が通話を開始した後、前記サービスミドルウェアはクラウド暗号化セッションサービス管理プラットフォームに検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォームが返信した暗号化セッション識別子を取得するためのものであり、具体的には以下のとおりである。
b1)端末はサービスミドルウェアによって今回通話の発着信番号をクラウド暗号化セッションサービス管理プラットフォームに報告し、クラウド暗号化セッションサービス管理プラットフォームは発着信両方の暗号化セッションの契約状態に応じて、今回の通話が暗号化セッションに入る条件を有するかどうかを判断するとともに、クラウド暗号化セッションサービス管理プラットフォームは発着信両方のミドルウェアの最近次のログイン状態を検査し、両方のミドルウェア状態が正常であることを発見した場合、発着信番号に基づいて今回通話の暗号化セッション識別子を生成するとともに、通話両方の属する暗号化キー管理プラットフォーム識別子を検査し、一致しない場合、クラウド暗号化セッションサービス管理プラットフォームは相手端の属する暗号化キープラットフォーム識別子を返信し、及び今回通話の暗号化セッション識別子をサービスミドルウェアに生成する。
b2)暗号化キー協議段階が開始した後、端末内のサービスミドルウェアは相手端の属する暗号化キープラットフォーム識別子、クラウド暗号化セッションサービス管理プラットフォームが生成した暗号化セッション識別子を暗号化キーミドルウェアに送信する。
b1)端末はサービスミドルウェアによって今回通話の発着信番号をクラウド暗号化セッションサービス管理プラットフォームに報告し、クラウド暗号化セッションサービス管理プラットフォームは発着信両方の暗号化セッションの契約状態に応じて、今回の通話が暗号化セッションに入る条件を有するかどうかを判断するとともに、クラウド暗号化セッションサービス管理プラットフォームは発着信両方のミドルウェアの最近次のログイン状態を検査し、両方のミドルウェア状態が正常であることを発見した場合、発着信番号に基づいて今回通話の暗号化セッション識別子を生成するとともに、通話両方の属する暗号化キー管理プラットフォーム識別子を検査し、一致しない場合、クラウド暗号化セッションサービス管理プラットフォームは相手端の属する暗号化キープラットフォーム識別子を返信し、及び今回通話の暗号化セッション識別子をサービスミドルウェアに生成する。
b2)暗号化キー協議段階が開始した後、端末内のサービスミドルウェアは相手端の属する暗号化キープラットフォーム識別子、クラウド暗号化セッションサービス管理プラットフォームが生成した暗号化セッション識別子を暗号化キーミドルウェアに送信する。
【0082】
一実施例では、通話に接続した後、前記端末は提示音を再生し、前記サービスミドルウェアは前記暗号化キーミドルウェアを呼び出して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、具体的には以下のとおりである。
c1)着信者が一般的に能動側とされ、暗号ミドルウェアはパラメータ(相手端の属するプラットフォーム識別子、暗号化セッション識別子)に基づいてその暗号化キー管理プラットフォームに暗号化キーを要求する。
c2)暗号化キー管理プラットフォームは暗号化セッション識別子、発着信番号、相手端の属する暗号化キープラットフォーム識別子に基づいて暗号機から暗号化キーを取得し、暗号機は暗号化キープラットフォームの表示に基づいてその接続するQKDネットワークに対して暗号化キーの申請を開始する。
c3)QKDネットワークは要求に応じて、発着信者の属する暗号化キープラットフォーム識別子に基づいて指定された発着信者の属するQKDノードの1つの対称暗号化キーを取得し、且つ対応する暗号化キー識別子を暗号機に返信する。
c4)暗号機は対応する暗号化キーをフィードバックして暗号化キー管理プラットフォームにより暗号化キー及び暗号化キー識別子を着信側に返信する。
c5)着信側の暗号ミドルウェアは暗号化キー識別子をサービスミドルウェアにプッシュし、サービスミドルウェアは更に暗号化キー識別子及び暗号化セッション識別子をクラウド暗号化セッションサービス管理プラットフォームにプッシュする。
c6)クラウド暗号化セッションサービス管理プラットフォームは該暗号化キー識別子及び暗号化セッション識別子を発信側にプッシュする。
c7)発信側のサービスミドルウェアは暗号化キー識別子、暗号化セッション識別子をその暗号化キーミドルウェアにプッシュし、発信側の暗号化キーミドルウェアはこれらの2つのパラメータに基づいてその暗号化キー管理プラットフォームからセッション暗号化キーを取得する。
c1)着信者が一般的に能動側とされ、暗号ミドルウェアはパラメータ(相手端の属するプラットフォーム識別子、暗号化セッション識別子)に基づいてその暗号化キー管理プラットフォームに暗号化キーを要求する。
c2)暗号化キー管理プラットフォームは暗号化セッション識別子、発着信番号、相手端の属する暗号化キープラットフォーム識別子に基づいて暗号機から暗号化キーを取得し、暗号機は暗号化キープラットフォームの表示に基づいてその接続するQKDネットワークに対して暗号化キーの申請を開始する。
c3)QKDネットワークは要求に応じて、発着信者の属する暗号化キープラットフォーム識別子に基づいて指定された発着信者の属するQKDノードの1つの対称暗号化キーを取得し、且つ対応する暗号化キー識別子を暗号機に返信する。
c4)暗号機は対応する暗号化キーをフィードバックして暗号化キー管理プラットフォームにより暗号化キー及び暗号化キー識別子を着信側に返信する。
c5)着信側の暗号ミドルウェアは暗号化キー識別子をサービスミドルウェアにプッシュし、サービスミドルウェアは更に暗号化キー識別子及び暗号化セッション識別子をクラウド暗号化セッションサービス管理プラットフォームにプッシュする。
c6)クラウド暗号化セッションサービス管理プラットフォームは該暗号化キー識別子及び暗号化セッション識別子を発信側にプッシュする。
c7)発信側のサービスミドルウェアは暗号化キー識別子、暗号化セッション識別子をその暗号化キーミドルウェアにプッシュし、発信側の暗号化キーミドルウェアはこれらの2つのパラメータに基づいてその暗号化キー管理プラットフォームからセッション暗号化キーを取得する。
【0083】
一実施例では、前記暗号化キーミドルウェアは前記セッション暗号化キーを前記音声ミドルウェアに伝達して、前記音声ミドルウェアによりメディアチャネルを介して通話両方の暗号化キー取得状態の同期を完了し、具体的には以下のとおりである。
d1)発着信側の暗号化キーミドルウェアは今回通話のセッション暗号化キーを取得して、暗号化キー取得状態をそれぞれのサービスミドルウェアに通知する。
d2)両方のサービスミドルウェアはクラウド暗号化セッションサービス管理プラットフォームに対して今回の通話セッション暗号化キーが既に取得された通知情報を同期する。
d3)クラウド暗号化セッションサービス管理プラットフォームは両方のプッシュ情報をそれぞれのサービスミドルウェアにパススルーして、暗号化キー取得状態の同期を完了する。
d4)両方それぞれのサービスミドルウェアは状態情報をミドルウェアに同期して暗号化キー取得状態の同期を完了する。
なお、直接にサービスミドルウェアを用いるプッシュメカニズムはメディア情報ストリームに依存せずに暗号化キーを同期する最適化実例を実現し、この解決手段は暗号化キーミドルウェアに依存せず、コール両方の同一暗号化キープラットフォーム及び異なる暗号化キープラットフォームにおける暗号化キー取得状態の同期を実現し、一定の適応性を有する。
d1)発着信側の暗号化キーミドルウェアは今回通話のセッション暗号化キーを取得して、暗号化キー取得状態をそれぞれのサービスミドルウェアに通知する。
d2)両方のサービスミドルウェアはクラウド暗号化セッションサービス管理プラットフォームに対して今回の通話セッション暗号化キーが既に取得された通知情報を同期する。
d3)クラウド暗号化セッションサービス管理プラットフォームは両方のプッシュ情報をそれぞれのサービスミドルウェアにパススルーして、暗号化キー取得状態の同期を完了する。
d4)両方それぞれのサービスミドルウェアは状態情報をミドルウェアに同期して暗号化キー取得状態の同期を完了する。
なお、直接にサービスミドルウェアを用いるプッシュメカニズムはメディア情報ストリームに依存せずに暗号化キーを同期する最適化実例を実現し、この解決手段は暗号化キーミドルウェアに依存せず、コール両方の同一暗号化キープラットフォーム及び異なる暗号化キープラットフォームにおける暗号化キー取得状態の同期を実現し、一定の適応性を有する。
【0084】
一実施例では、前記発信端末及び着信端末の暗号化キー取得状態を同期した後、発信端末及び着信端末は暗号化された音声通話を行い、具体的には以下のとおりである。
e1)発信端末及び着信端末の暗号化キーミドルウェアは暗号化後のセッション暗号化キーを音声ミドルウェアに伝達して、音声ミドルウェアの暗号化状態の初期化を完了し、音声ミドルウェアはメディアチャネルを介してコール両方の暗号化キー取得状態の同期を完了する。
e2)発信/着信両方は暗号化セッションを行い始め、端末は暗号化された音声通話を行い始め、音声ミドルウェアは音声を傍受し始め、条件に合う音声データを暗号化する。
e3)発着信者は電話を切って、音声ミドルウェアは暗号化終了メッセージを送信して、今回の暗号化キー通話を完了する。
e1)発信端末及び着信端末の暗号化キーミドルウェアは暗号化後のセッション暗号化キーを音声ミドルウェアに伝達して、音声ミドルウェアの暗号化状態の初期化を完了し、音声ミドルウェアはメディアチャネルを介してコール両方の暗号化キー取得状態の同期を完了する。
e2)発信/着信両方は暗号化セッションを行い始め、端末は暗号化された音声通話を行い始め、音声ミドルウェアは音声を傍受し始め、条件に合う音声データを暗号化する。
e3)発着信者は電話を切って、音声ミドルウェアは暗号化終了メッセージを送信して、今回の暗号化キー通話を完了する。
【0085】
なお、本実施例に係る端末は通信事業者のIMSネットワークの改善及びシグナリング制御プロトコルSIPプロトコルの拡張を行わなくてもよく、統合された管理プラットフォームの配置、及び携帯端末の高度にカスタマイズされた(サービス、音声、暗号化キーの)3つのミドルウェアの相互連携によって音声チャネルを介する暗号化キー同期情報の伝送、サービスデータ情報に基づく暗号化キー同期情報の伝達、及びSIP拡張フィールド端末及び非SIP拡張端末によるVoLTE暗号化交換の問題を実現するだけであり、適応性が高く、建設計画が簡単で、コストがより低く、周期がより短い優位性を有する。
【0086】
且つ、端末の高度にカスタマイズされた(サービス、音声、暗号化キーの)3つのミドルウェアの技術でQKD量子鍵配送ネットワークによる単一の暗号化キー管理プラットフォーム、複数の暗号化キー管理プラットフォームにおけるVoLTE交換問題を実現し、顧客自身の暗号システム建設の安全性への要件と全ネットワーク交換ニーズとの融合を実現し、VoLTE暗号化サービスの互換性を向上させる。
【0087】
なお、本発明の前記VoLTE音声暗号化通信端末の他の実施例又は実現方法は上記各方法実施例を参照してもよく、ここで詳細な説明は省略する。
【0088】
また、図8を参照し、本発明の第3実施例はVoLTE音声暗号化通信システムを提供し、前記システムは量子鍵配送ネットワーク13、発信端末5、着信端末6、第1暗号化キー管理プラットフォーム9、第2暗号化キー管理プラットフォーム10、第1暗号機11、第2暗号機12、クラウド暗号化セッションサービス管理プラットフォーム8及び事業者IMSネットワーク7を備え、
前記発信端末5及び前記着信端末6にそれぞれセキュリティチップ4が統合され、前記セキュリティチップ4に認証暗号化キーが記憶され、
前記発信端末5が前記第1暗号化キー管理プラットフォーム9に接続し、前記着信端末6が前記第2暗号化キー管理プラットフォーム10に接続し、前記第1暗号化キー管理プラットフォーム9が前記第1暗号機11を介して前記量子鍵配送ネットワーク13にアクセスし、前記第2暗号化キー管理プラットフォーム10が前記第2暗号機12を介して前記量子鍵配送ネットワーク13にアクセスし、前記発信端末5及び前記着信端末6がそれぞれ前記事業者IMSネットワーク7経由で前記クラウド暗号化セッションサービス管理プラットフォーム8にアクセスし、
前記発信端末5及び前記着信端末6内にいずれも中間アセンブリが設けられ、前記中間アセンブリは暗号化キーミドルウェア3、サービスミドルウェア1及び音声ミドルウェア2を備え、前記暗号化キーミドルウェア3が前記第1暗号化キー管理プラットフォーム9又は前記第2暗号化キー管理プラットフォーム10に接続し、前記サービスミドルウェア1が前記クラウド暗号化セッションサービス管理プラットフォーム8に接続し、前記音声ミドルウェア2が下位層のデータ伝送チャネルに接続し、
前記暗号化キーミドルウェア3は、その対応するセキュリティチップ4に記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了するためのものであり、前記サービスミドルウェア1は前記クラウド暗号化セッションサービス管理プラットフォーム8にログインするように要求し、前記音声ミドルウェア2は自己起動し、
発信端末5が通話を開始した後、前記サービスミドルウェア1はクラウド暗号化セッションサービス管理プラットフォーム8に検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォーム8が返信した暗号化セッション識別子を取得するためのものであり、
通話に接続した後、発信端末5及び着信端末6は提示音を再生し、前記サービスミドルウェア1は前記暗号化キーミドルウェア3を呼び出して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、前記セッション暗号化キーが量子鍵配送ネットワーク13経由で配送され、
前記暗号化キーミドルウェア3は前記セッション暗号化キーを前記音声ミドルウェア2に伝達し、且つ前記音声ミドルウェア2によりメディアチャネルを介して発信端末5及び着信端末6の暗号化キー取得状態の同期を完了した後、発信端末5と着信端末6が暗号化された音声通話を行い、
発信端末5と着信端末6が切った後、前記音声ミドルウェア2により暗号化終了メッセージを送信して今回の暗号化キー通話を終了する。
前記発信端末5及び前記着信端末6にそれぞれセキュリティチップ4が統合され、前記セキュリティチップ4に認証暗号化キーが記憶され、
前記発信端末5が前記第1暗号化キー管理プラットフォーム9に接続し、前記着信端末6が前記第2暗号化キー管理プラットフォーム10に接続し、前記第1暗号化キー管理プラットフォーム9が前記第1暗号機11を介して前記量子鍵配送ネットワーク13にアクセスし、前記第2暗号化キー管理プラットフォーム10が前記第2暗号機12を介して前記量子鍵配送ネットワーク13にアクセスし、前記発信端末5及び前記着信端末6がそれぞれ前記事業者IMSネットワーク7経由で前記クラウド暗号化セッションサービス管理プラットフォーム8にアクセスし、
前記発信端末5及び前記着信端末6内にいずれも中間アセンブリが設けられ、前記中間アセンブリは暗号化キーミドルウェア3、サービスミドルウェア1及び音声ミドルウェア2を備え、前記暗号化キーミドルウェア3が前記第1暗号化キー管理プラットフォーム9又は前記第2暗号化キー管理プラットフォーム10に接続し、前記サービスミドルウェア1が前記クラウド暗号化セッションサービス管理プラットフォーム8に接続し、前記音声ミドルウェア2が下位層のデータ伝送チャネルに接続し、
前記暗号化キーミドルウェア3は、その対応するセキュリティチップ4に記憶される認証暗号化キーによってその属する暗号化キー管理プラットフォームへの身元認証を完了するためのものであり、前記サービスミドルウェア1は前記クラウド暗号化セッションサービス管理プラットフォーム8にログインするように要求し、前記音声ミドルウェア2は自己起動し、
発信端末5が通話を開始した後、前記サービスミドルウェア1はクラウド暗号化セッションサービス管理プラットフォーム8に検証要求を送信することにより、前記クラウド暗号化セッションサービス管理プラットフォーム8が返信した暗号化セッション識別子を取得するためのものであり、
通話に接続した後、発信端末5及び着信端末6は提示音を再生し、前記サービスミドルウェア1は前記暗号化キーミドルウェア3を呼び出して、前記暗号化セッション識別子に基づいてその属する暗号化キー管理プラットフォームに今回通話のセッション暗号化キーを申請し、前記セッション暗号化キーが量子鍵配送ネットワーク13経由で配送され、
前記暗号化キーミドルウェア3は前記セッション暗号化キーを前記音声ミドルウェア2に伝達し、且つ前記音声ミドルウェア2によりメディアチャネルを介して発信端末5及び着信端末6の暗号化キー取得状態の同期を完了した後、発信端末5と着信端末6が暗号化された音声通話を行い、
発信端末5と着信端末6が切った後、前記音声ミドルウェア2により暗号化終了メッセージを送信して今回の暗号化キー通話を終了する。
【0089】
なお、前記クラウド暗号化セッションサービス管理プラットフォーム8はVoLTE音声に基づく全ネットワーク広域ユーザーのアドレッシング管理、各暗号化キーシステム情報の登録管理、VoLTE通話過程における暗号化セッション参加識別子の生成、発信機能を提供するためのものである。
【0090】
前記事業者IMSネットワーク7はクラウド暗号化セッションサービス管理プラットフォーム8と携帯端末との間のデータの搬送及び伝送、並びに2台の携帯電話が以前に位置するシグナリング領域及びメディア領域を行うためのものである。
【0091】
前記中間アセンブリはVoLTE通話両方の暗号化キー管理プラットフォームのアドレッシング、VoLTE暗号化セッション参加メッセージの処理、暗号化キー協議の申請、取得機能、通話過程における通話データのリアルタイムな暗復号化などの機能を実現することができる。
【0092】
前記セキュリティチップ4は中国国家商用暗号管理局が公布した証明書に合うものであり、セキュリティ保護機能を有するセキュリティメディアであり、暗号化キー管理プラットフォームに接続してセキュリティチップ4内の暗号化キー充填機能を実現し、セキュリティチップ4内の暗号化キーを認証暗号化キーとする暗号化キー管理プラットフォームへの身元認証、セッション暗号化キーの一次認証・一次暗号化キーの発信を実現することができる。
【0093】
前記暗号化キー管理プラットフォームは、前記暗号化キー管理ミドルウェアのサーバサイドAPIインターフェースを提供するためのものであって、前記携帯端末のミドルウェアに接続してユーザーがセキュリティチップ4内の充填暗号化キーをコアとするユーザーログイン時の身元確認、セッション暗号化キーの協議、及び暗号化通話確立過程におけるセッション暗号化キーの生成及び発信を実現するためのものであり、且つ暗号化キー管理プラットフォームは独立して配置され、又は量子鍵配送ネットワーク13に配置されてもよく、暗号機に接続して暗号化キーを取得して量子ミドルウェアに配送する機能を有する。
【0094】
前記第1暗号機11及び第2暗号機12は、3段階の暗号化キー管理システムを用い、暗号カードによって暗号化キーの安全なローカル記憶を実現する。「一次認証・一次暗号化キー」及び国際データ暗号化アルゴリズムの2種類の暗号化方式をサポートし、暗号化キーの交換及び出力を実現する。国際データ暗号化アルゴリズムに基づく暗号演算を提供するためのものであり、量子セキュア通信ネットワーク、量子乱数発生器、ネイティブ暗号カードを暗号化キーソースとすることをサポートする。
【0095】
前記量子鍵配送ネットワーク13とは、量子が量子セキュア通信の異なるシーンにおけるネットワーク構築及びアプリケーションニーズを満たし、ポイントツーポイントQKDリンクを複数のユーザーに拡張するQKDネットワークを指す。主に、QKDネットワークにおけるQKDモジュール、暗号化キーマネージャー(KM)、QKDNコントローラ及びQKDNネットワーク管理システム、並びにQKDモジュール間のQKDリンク、KM間のKMリンク、ユーザーネットワークにおける暗号アプリケーション(KMS)などのモジュールを備える。
【0096】
なお、いくつかのシーンにおいて、SIP拡張フィールド要求に応じて暗号化セッション参加識別子を配送するカスタマイズ端末とSIP拡張フィールドに依存しないカスタマイズ端末とが共に存在する解決手段があり、2つのカスタマイズ端末の主な相違点はSIP系端末がモジュール側を改善してSIP拡張フィールドの処理能力を有することを実現することであり、類似する暗号化キーミドルウェア及び音声ミドルウェアの構造を有して暗号化キーの協議及び音声の暗復号化を実現する点では同じであり、従って、クラウド管理プラットフォームとIMSが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)との接続を完了すれば、端末を修正せずにVoLTE交換機能を実現することができる。
【0097】
本システムは既存の2つのタイプの端末を変更せず、実施しやすい特徴を有し、その具体的なプロセスは以下のとおりである。
(1)IMSアセンブリが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)はクラウド暗号化セッションサービス管理プラットフォームとユーザー同期インターフェース、暗号化セッション識別子プッシュインターフェースを完了すればよい。
(2-1)第1種類のシーンは発信者がSIP端末であることであり、
発信が通話を開始した後、コール要求はIMSネットワークが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)に送信され、ASはローカル同期データベースをクエリして該アカウント端末のタイプを決定し、暗号化セッション参加条件に合う場合には対応する暗号化セッション識別子を生成して該識別子をクラウド暗号化セッションサービス管理プラットフォームに送信し、クラウド暗号化セッションサービス管理プラットフォームが該暗号化セッション識別子を相手端末にプッシュし、SIP端末の場合にはASにより暗号化セッション識別子を発信し続けて暗号化セッション参加を完了する。
(1)IMSアセンブリが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)はクラウド暗号化セッションサービス管理プラットフォームとユーザー同期インターフェース、暗号化セッション識別子プッシュインターフェースを完了すればよい。
(2-1)第1種類のシーンは発信者がSIP端末であることであり、
発信が通話を開始した後、コール要求はIMSネットワークが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)に送信され、ASはローカル同期データベースをクエリして該アカウント端末のタイプを決定し、暗号化セッション参加条件に合う場合には対応する暗号化セッション識別子を生成して該識別子をクラウド暗号化セッションサービス管理プラットフォームに送信し、クラウド暗号化セッションサービス管理プラットフォームが該暗号化セッション識別子を相手端末にプッシュし、SIP端末の場合にはASにより暗号化セッション識別子を発信し続けて暗号化セッション参加を完了する。
【0098】
(2-2)第2種類のシーンはSIP端末が着信側であることであり、
正常に発信側が通話を開始し、クラウド暗号化セッションサービス管理プラットフォームによってクエリして相手端がSIP端末であり、クラウド暗号化セッションサービス管理プラットフォームは暗号化セッション識別子を生成して対応する暗号化セッション識別子をIMSネットワークが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)にプッシュし、ASにより対応する暗号化セッション参加識別子を対応するSIP端末に発信して暗号化セッション参加を完了する。
正常に発信側が通話を開始し、クラウド暗号化セッションサービス管理プラットフォームによってクエリして相手端がSIP端末であり、クラウド暗号化セッションサービス管理プラットフォームは暗号化セッション識別子を生成して対応する暗号化セッション識別子をIMSネットワークが暗号化キー識別子の配送を担うサービスAS(サービス認可プラットフォーム)にプッシュし、ASにより対応する暗号化セッション参加識別子を対応するSIP端末に発信して暗号化セッション参加を完了する。
【0099】
(3)暗号化セッション識別子を発信した後、SIP端末はベースバンドチップにて処理された後の暗号化セッション参加識別子を音声ミドルウェアに伝達し、音声ミドルウェアは暗号化キーミドルウェアを呼び出して暗号化セッション参加識別子に基づいて暗号化キー管理プラットフォームから暗号化キーを取得することを完了し、非SIP系拡張フィールドの場合には、サービスミドルウェアが暗号化セッション参加識別子を暗号化キーミドルウェアにプッシュする方式で暗号化キーの取得を実現する。
【0100】
(4)コール両方が暗号化キーミドルウェアによって暗号化キーの取得を完了し、e1)プロセスに説明されるメディアチャネルによって暗号化キー取得状態の両方の同期を実現してもよい。
【0101】
(5)コール両方が暗号化キーミドルウェアによって暗号化キーの取得を完了し、e1)プロセスの説明に基づいてセッション暗号化キーの取得及び暗号化キーの取得状態の両方の同期を実現し、且つセッション暗号化キーを音声ミドルウェアに暗号化して伝達してもよい。
【0102】
(6)両方が音声ミドルウェアによってe2)、e3)に基づいて音声暗号化機能を実現する。
【0103】
なお、本発明の前記VoLTE音声暗号化通信システムの他の実施例又は実現方法は上記各方法実施例を参照してもよく、ここで詳細な説明は省略する。
【0104】
なお、フローチャートに表示され又はここに他の方式で説明される論理及び/又はステップは、例えば、論理機能を実現するための実行可能命令のシーケンスリストと見なされてもよく、具体的に任意のコンピュータ可読媒体において実現されてもよく、それにより命令実行システム、装置又は機器(例えば、コンピュータに基づくシステム、プロセッサを備えるシステム又は命令実行システム、装置又は機器から命令を取得して実行できる他のシステム)が使用することに供し、又はこれらの命令実行システム、装置又は機器と組み合わせて使用される。本明細書には、「コンピュータ可読媒体」は命令実行システム、装置又は機器が使用し、又はこれらの命令実行システム、装置又は機器と組み合わせて使用することに供するようにプログラムを包含、記憶、通信、伝播又は伝送し得るいかなる装置であってもよい。コンピュータ可読媒体の更なる具体例(非網羅的リスト)は1つ又は複数の配線を有する電気接続部(電子装置)、ポータブルコンピュータのディスクケース(磁気装置)、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、消去可能プログラム可能読み出し専用メモリ(EPROM又はフラッシュメモリ)、光ファイバ装置、及び読み取り専用のコンパクトディスク(CDROM)を含む。また、コンピュータ可読媒体はひいてはその上に前記プログラムを印刷できる紙又は他の適切な媒体であってもよく、それは例えば紙又は他の媒体を光学的に走査し、次に編集、解釈又は必要な場合に他の適切な方式で処理して電子方式で前記プログラムを取得し、次にコンピュータメモリに記憶することができるためである。
【0105】
理解されるように、本発明の各部分はハードウェア、ソフトウェア、ファームウェア又はそれらの組み合わせにより実現されてもよい。上記実施形態において、複数のステップ又は方法はメモリに記憶されて適切な命令実行システムにより実行されるソフトウェア又はファームウェアによって実現されてもよい。例えば、ハードウェアにより実現される場合は、他の実施形態と同様に、データ信号に対して論理機能を実現するための論理ゲート回路を有する離散論理回路、適切な混合論理ゲート回路を有する特定用途向け集積回路、プログラマブルゲートアレイ(PGA)、フィールドプログラマブルゲートアレイ(FPGA)などといった本分野において公知である技術のうちのいずれか1つ又はそれらの組み合わせによって実現されてもよい。
【0106】
本明細書の説明において、参照用語「1つの実施例」、「いくつかの実施例」、「例」、「具体例」、又は「いくつかの例」などの説明は該実施例又は例を参照して説明した具体的な特徴、構造、材料又は特性が本発明の少なくとも1つの実施例又は例に含まれることを意味する。本明細書において、上記用語の模式的な説明は必ず同じ実施例又は例を指すとは限らない。且つ、説明される具体的な特徴、構造、材料又は特性はいずれか1つ又は複数の実施例又は例において適切な方式で組み合わせられてもよい。
【0107】
また、用語「第1」、「第2」は単に目的を説明するためのものであり、相対重要性を指示又は暗示し、又は指示される技術的特徴の数を暗示的に示すものと理解されるべきではない。これにより、「第1」、「第2」により制限された特徴は少なくとも1つの該特徴を明示的又は暗示的に含んでもよい。本発明の説明において、特に明確且つ具体的に限定しない限り、「複数」の意味は少なくとも2つ、例えば2つ、3つなどである。
【0108】
以上は本発明の実施例を表示及び説明したが、理解されるように、上記実施例は例示的なものであって、本発明を制限するものと理解されるべきではなく、当業者が本発明の範囲内に上記実施例に対して変化、修正、置換及び変形を行うことができる。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【国際調査報告】