本发明提出了一种基于量子网络实现的IP电话与移动终端加密通信的系统及方法,其中通过在IP电话网络中设置融合网关提供两种不同通信协议之间的转换以及与移动通信网络的通信能力,同时相应地通过向融合网关和移动终端分发量子密钥作为会话密钥,使得能够以加密的方式实现不同通信网络之间的加密通信,同时允许兼容原有的网络架构和设备功能实现。相应地,本发明还提出了一种用于实现不同通信网络的通信终端之间加密通信的融合网关。
1.一种基于量子网络的IP电话与移动终端加密通信系统,其包括IP电话网络、移动通信网络、服务器、融合网关、密钥服务平台和量子网络,其中:所述IP电话网络包括IP电话终端,其被设置成在通信时生成第一通信信令和第一通信数据;
所述移动通信网络包括移动终端,其被设置成在通信时生成第二通信信令和第二通信数据;
所述服务器被设置用于允许通信信令和通信数据在所述IP电话终端与所述融合网关之间进行交互;
所述融合网关被设置用于实现通信信令和通信数据在IP电话网络协议与移动通信网络协议之间的转换;利用会话密钥对通信数据进行加解密;以及,与所述移动终端进行经加密的通信数据和通信信令的交互;
所述移动终端还被设置用于利用所述会话密钥对经加密的通信数据进行解密;
所述密钥服务平台被设置用于根据所述融合网关或移动终端的请求,向所述融合网关和移动终端分发所述会话密钥;以及,所述量子网络被设置用于向所述密钥服务平台分发量子密钥,作为所述会话密钥;
所述移动终端还被设置用于根据所述第二通信信令识别通话对端为移动终端或IP电话终端,并在所述通话对端为IP电话终端时向所述密钥服务平台申请所述会话密钥;利用所述会话密钥加密所述第二通信数据,并将经加密的第二通信数据和第二通信信令发送给所述融合网关;以及,利用所述会话密钥解密经加密的第一通信数据;以及/或者,所述融合网关还被设置用于向所述密钥服务平台申请所述会话密钥;利用所述会话密钥加密所述第一通信数据,并将经加密的第一通信数据和第一通信信令发送给所述移动终端;以及,利用所述会话密钥解密经加密的第二通信数据。
2.如权利要求1所述的加密通信系统,其中,所述服务器还被设置用于:根据所述第一通信信令识别通话对端为IP电话终端或移动终端,并在所述通话对端为移动终端时将所述第一通信信令和第一通信数据发送给所述融合网关;以及/或者,分别直接与所述IP电话终端和融合网关进行通信信令的交互;以及/或者,直接与所述融合网关进行通信数据的交互,以及直接或借助量子安全加密设备与所述IP电话终端进行通信数据的交互。
3.如权利要求1所述的加密通信系统,其中:所述密钥服务平台和融合网关存储有第一密钥,用于允许所述密钥服务平台以加密方式将所述会话密钥分发给所述融合网关;并且,所述密钥服务平台和移动终端存储有第二密钥,用于允许所述密钥服务平台以加密方式将所述会话密钥分发给所述移动终端。
4.如权利要求1‑3中任一项所述的加密通信系统,其中,所述IP电话网络划分为多个安全域,其包括第一安全域和第二安全域;
所述第一安全域内设有IP电话终端和量子安全加密设备,且同一第一安全域内的IP电话终端与量子安全加密设备之间使用明文通信;
所述第二安全域内设有IP电话终端、量子安全加密设备、服务器和融合网关,且同一第二安全域内的IP电话终端、量子安全加密设备、服务器和融合网关之间使用明文通信。
5.如权利要求4所述的加密通信系统,其中:通信数据在所述第一和第二安全域之间的交互通过所述第一安全域内的量子安全加密设备与所述第二安全域内的量子安全加密设备之间的加密通信实现;以及/或者,在同一第一安全域内,所述IP电话终端直接与所述量子安全加密设备进行通信数据的交互;以及/或者,
在同一第二安全域内,所述服务器直接或借助所述量子安全加密设备与所述IP电话终端进行通信数据的交互。
6.如权利要求5所述的加密通信系统,其中,所述第一和第二安全域的量子安全加密设备存储有共享量子密钥,用于允许实现两者之间的加密通信。
7.一种基于量子网络的IP电话与移动终端加密通信方法,其包括第一通信过程和第二通信过程;其中,
所述第一通信过程包括以下步骤:由IP电话终端生成第一通信信令和第一通信数据;
由融合网关将所述第一通信信令和第一通信数据从IP电话网络协议转换成移动通信网络协议;
向所述融合网关和移动终端分发量子密钥作为会话密钥;
由所述融合网关利用所述会话密钥对所述第一通信数据进行加密,并将加密的第一通信数据和第一通信信令发送给所述移动终端;
由所述移动终端利用所述会话密钥对加密的第一通信数据进行解密;并且,所述第二通信过程包括以下步骤:由所述移动终端生成第二通信信令和第二通信数据;
向所述融合网关和移动终端分发量子密钥作为会话密钥;
由所述移动终端利用所述会话密钥对所述第二通信数据进行加密,并将加密的第二通信数据和第二通信信令发送给所述融合网关;
由融合网关利用所述会话密钥对加密的第二通信数据进行解密,将所述第二通信信令和第二通信数据从所述移动通信网络协议转换成IP电话网络协议,并转发所述第二通信数据和第二通信信令;
由所述IP电话终端接收所述第二通信数据和第二通信信令。
8.如权利要求7所述的加密通信方法,其中,经由服务器实现通信信令和通信数据在所述IP电话终端与融合网关之间的交互。
9.如权利要求8所述的加密通信方法,其中,所述IP电话终端直接与所述服务器进行通信信令的交互;以及/或者,所述IP电话终端直接或借助量子安全加密设备与所述服务器进行通信数据的交互。
10.如权利要求9所述的加密通信方法,其中,将包括IP电话终端、服务器及融合网关的IP电话网络分为多个安全域;
在同一安全域内,以明文通信方式进行通信数据的交互;
在不同安全域之间,以量子密钥加密的通信方式实现通信数据的交互。
11.如权利要求7所述的加密通信方法,其中,以加密方式向所述融合网关和移动终端分发所述会话密钥。
12.如权利要求7所述的加密通信方法,其中,所述会话密钥的分发基于所述融合网关或所述移动终端的请求启动。
13.如权利要求7所述的加密通信方法,其借助如权利要求1‑6中任一项所述的加密通信系统来实现。
14.一种用于如权利要求1‑6中任一项所述的基于量子网络的IP电话与移动终端加密通信系统以实现第一通信网络终端与第二通信网络终端之间加密通信的融合网关,用于所述第一通信网络终端的第一通信网络协议不同于用于所述第二通信网络终端的第二通信网络协议,所述第一通信网络协议为IP电话网络协议,所述第二通信网络协议为移动通信网络协议,其中:
所述融合网关被设置成向密钥服务平台申请量子密钥,且包括协议转换模块、第一通信模块、第二通信模块及加解密模块;
所述第一通信模块用于允许与所述第一通信网络终端进行通信信令和通信数据的交互,所述第二通信模块用于允许与所述第二通信网络终端进行通信信令和通信数据的交互,且所述第一通信模块与所述第一通信网络终端之间和/或所述第二通信模块与所述第二通信网络终端之间的通信数据交互以加密的方式进行;
所述加解密模块用于利用所述量子密钥实现有关通信数据的加解密处理;
所述协议转换模块用于实现所述通信信令和通信数据的明文在所述第一通信网络协议与第二通信网络协议之间的转换;并且,所述融合网关还被设置成通过服务器实现有关所述第一通信网络终端的通信信令和通信数据的交互。
15.如权利要求14所述的融合网关,其中,所述IP电话网络协议包括SIP和H.323,所述移动通信网络协议包括VoLTE和CSFB。
基于量子网络的加密通信系统、方法及融合网关
技术领域
[0001] 本发明涉及量子保密通信领域,具体涉及一种基于量子网络的IP 电话与移动终端加密通信系统及方法,以及一种用于实现不同通信网络的通信终端之间加密通信的融合
网关。
背景技术
[0002] 随着量子保密通信技术的发展,量子密钥应用设备越来越多,量子密钥的使用场景也日趋增多,IP电话网络中的量子安全加密设备通过向量子网络申请量子密钥,获得和
对端量子安全加密设备之间的量子密钥,从而实现IP电话之间的加密通信;移动终端等无
线设备通过和密钥服务平台之间预置离线密钥,密钥服务平台向量子网络申请量子密钥,
并向移动终端等无线设备分发量子密钥,从而实现无线设备之间的加密通信。市场上的密
钥分发、管理系统对于不同网络场景下的消息互通缺乏有效的支撑和支持。
[0003] 现有技术基于量子网络解决了单一场景下的加密通信,但无法实现不同网络场景(如IP电话网络、移动通信网络)下设备之间的消息互通。
发明内容
[0004] 针对这一问题,本发明提出了一种基于量子网络实现的IP电话与移动终端加密通信的系统及方法,其中通过在IP电话网络中设置融合网关提供两种不同通信协议之间的转
换以及与移动通信网络的通信能力,同时相应地通过向融合网关和移动终端分发量子密钥
作为会话密钥,使得能够以加密的方式实现不同通信网络之间的加密通信。进一步地,本发
明还提出了一种融合网关,其用于实现不同通信网络的通信终端之间的加密通信。
[0005] 具体而言,本发明的第一方面涉及一种基于量子网络的IP电话与移动终端加密通信系统,其包括IP电话网络、移动通信网络、服务器、融合网关、密钥服务平台和量子网络,
其中:
[0006] 所述IP电话网络包括IP电话终端,其被设置成在通信时生成第一通信信令和第一通信数据;
[0007] 所述移动通信网络包括移动终端,其被设置成在通信时生成第二通信信令和第二通信数据;
[0008] 所述服务器被设置用于允许通信信令和通信数据在所述IP电话终端与所述融合网关之间进行交互;
[0009] 所述融合网关被设置用于实现通信信令和通信数据在IP电话网络协议与移动通信网络协议之间的转换;利用会话密钥对通信数据进行加解密;以及,与所述移动终端进行
经加密的通信数据和通信信令的交互;
[0010] 所述移动终端还被设置用于利用所述会话密钥对经加密的通信数据进行解密;
[0011] 所述密钥服务平台被设置用于根据所述融合网关或移动终端的请求,向所述融合网关和移动终端分发所述会话密钥;以及,
[0012] 所述量子网络被设置用于向所述密钥服务平台分发量子密钥,作为所述会话密钥。
[0013] 进一步地,所述移动终端还被设置用于根据所述第二通信信令识别通话对端为移动终端或IP电话终端,并在所述通话对端为IP电话终端时向所述密钥服务平台申请所述会
话密钥;利用所述会话密钥加密所述第二通信数据,并将经加密的第二通信数据和第二通
信信令发送给所述融合网关;以及,利用所述会话密钥解密经加密的第一通信数据;以及/
或者,
[0014] 所述融合网关还被设置用于向所述密钥服务平台申请所述会话密钥;利用所述会话密钥加密所述第一通信数据,并将经加密的第一通信数据和第一通信信令发送给所述移
动终端;以及,利用所述会话密钥解密经加密的第二通信数据。
[0015] 进一步地,所述服务器还被设置用于:根据所述第一通信信令识别通话对端为IP电话终端或移动终端,并在所述通话对端为移动终端时将所述第一通信信令和第一通信数
据发送给所述融合网关;以及 /或者,分别直接与所述IP电话终端和融合网关进行通信信
令的交互;以及/或者,直接与所述融合网关进行通信数据的交互,以及直接或借助量子安
全加密设备与所述IP电话终端进行通信数据的交互。
[0016] 进一步地,所述密钥服务平台和融合网关存储有第一密钥,用于允许所述密钥服务平台以加密方式将所述会话密钥分发给所述融合网关;并且,所述密钥服务平台和移动
终端存储有第二密钥,用于允许所述密钥服务平台以加密方式将所述会话密钥分发给所述
移动终端。
[0017] 更进一步地,所述IP电话网络划分为多个安全域,其包括第一安全域和第二安全域;
[0018] 所述第一安全域内设有IP电话终端和量子安全加密设备,且同一第一安全域内的IP电话终端与量子安全加密设备之间使用明文通信;
[0019] 所述第二安全域内设有IP电话终端、量子安全加密设备、服务器和融合网关,且同一第二安全域内的IP电话终端、量子安全加密设备、服务器和融合网关之间使用明文通信。
[0020] 进一步地,通信数据在所述第一和第二安全域之间的交互通过所述第一安全域内的量子安全加密设备与所述第二安全域内的量子安全加密设备之间的加密通信实现;以
及/或者,在同一第一安全域内,所述IP电话终端直接与所述量子安全加密设备进行通信数
据的交互;以及/或者,在同一第二安全域内,所述服务器直接或借助所述量子安全加密设
备与所述IP电话终端进行通信数据的交互。
[0021] 更进一步地,所述第一和第二安全域的量子安全加密设备存储有共享量子密钥,用于允许实现两者之间的加密通信。
[0022] 本发明的第二方面涉及一种基于量子网络的IP电话与移动终端加密通信方法,其包括第一通信过程和第二通信过程;其中,
[0023] 所述第一通信过程包括以下步骤:
[0024] 由IP电话终端生成第一通信信令和第一通信数据;
[0025] 由融合网关将所述第一通信信令和第一通信数据从IP电话网络协议转换成移动通信网络协议;
[0026] 向所述融合网关和移动终端分发量子密钥作为会话密钥;
[0027] 由所述融合网关利用所述会话密钥对所述第一通信数据进行加密,并将加密的第一通信数据和第一通信信令发送给所述移动终端;
[0028] 由所述移动终端利用所述会话密钥对加密的第一通信数据进行解密;并且,
[0029] 所述第二通信过程包括以下步骤:
[0030] 由所述移动终端生成第二通信信令和第二通信数据;
[0031] 向所述融合网关和移动终端分发量子密钥作为会话密钥;
[0032] 由所述移动终端利用所述会话密钥对所述第二通信数据进行加密,并将加密的第二通信数据和第二通信信令发送给所述融合网关;
[0033] 由融合网关利用所述会话密钥对加密的第二通信数据进行解密,将所述第二通信信令和第二通信数据从所述移动通信网络协议转换成IP电话网络协议,并转发所述第二通
信数据和第二通信信令;
[0034] 由所述IP电话终端接收所述第二通信数据和第二通信信令。
[0035] 进一步地,经由服务器实现通信信令和通信数据在所述IP电话终端与融合网关之间的交互。
[0036] 进一步地,所述IP电话终端直接与所述服务器进行通信信令的交互;以及/或者,所述IP电话终端直接或借助量子安全加密设备与所述服务器进行通信数据的交互。
[0037] 进一步地,可以将包括IP电话终端、服务器及融合网关的IP 电话网络分为多个安全域;在同一安全域内,以明文通信方式进行通信数据的交互;在不同安全域之间,以量子
密钥加密的通信方式实现通信数据的交互。
[0038] 进一步地,可以以加密方式向所述融合网关和移动终端分发所述会话密钥。
[0039] 进一步地,所述会话密钥的分发基于所述融合网关或所述移动终端的请求启动。
[0040] 进一步地,本发明的加密通信方法可以借助上述加密通信系统来实现。
[0041] 本发明的第三方面涉及一种用于实现第一通信网络终端与第二通信网络终端之间加密通信的融合网关,用于所述第一通信网络终端的第一通信网络协议不同于用于所述
第二通信网络终端的第二通信网络协议,其中:
[0042] 所述融合网关包括协议转换模块、第一通信模块、第二通信模块及加解密模块;
[0043] 所述第一通信模块用于允许与所述第一通信网络终端进行通信信令和通信数据的交互,所述第二通信模块用于允许与所述第二通信网络终端进行通信信令和通信数据的
交互,且所述第一通信模块与所述第一通信网络终端之间和/或所述第二通信模块与所述
第二通信网络终端之间的通信数据交互以加密的方式进行;
[0044] 所述加解密模块用于实现有关通信数据的加解密处理;
[0045] 所述协议转换模块用于实现所述通信信令和通信数据的明文在所述第一通信网络协议与第二通信网络协议之间的转换。
[0046] 进一步地,可以利用量子密钥对交互的通信数据进行加密。
[0047] 可选地,所述第一通信网络协议为IP电话网络协议,以及/或者,所述第二通信网络协议为移动通信网络协议。例如,所述IP电话网络协议包括SIP和H.323,所述移动通信网
络协议包括VoLTE和CSFB。
附图说明
[0048] 下面结合附图对本发明的具体实施方式作进一步详细的说明。
[0049] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需使用的附图作简单地介绍,显而易见,下面描述中的附图仅仅是本发明
的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据
这些附图来获得其他的附图。
[0050] 图1示出了根据本发明的基于量子网络的IP电话与移动终端加密通信系统的一种实施方式。
具体实施方式
[0051] 在下文中,本发明的示例性实施例将参照附图来详细描述。下面的实施例以举例的方式提供,以便充分传达本发明的精神给本发明所属领域的技术人员。因此,本发明不限
于本文公开的实施例。
[0052] 根据本发明,基于量子网络的IP电话与移动终端加密通信系统可以包括IP电话网络、移动通信网络、服务器、融合网关、密钥服务平台和量子网络。
[0053] IP电话网络可以包括IP电话终端,其用于允许进行IP电话通信。在进行电话通信时,IP电话终端可以生成第一通信信令和第一通信数据,其中,第一通信信令可以至少包括
通话对端的终端信息,用于识别本次通话的对端设备,例如为其他IP电话终端或者移动终
端。
[0054] 移动通信网络可以包括移动终端,其用于允许进行移动电话通信。在进行电话通信时,移动终端可以生成第二通信信令和第二通信数据,其中,第二通信信令可以至少包括
通话对端的终端信息,用于识别本次通话的对端设备,例如为其他移动终端或者IP电话终
端。
[0055] 移动终端还可以根据第二通信信令识别通话对端为移动终端或 IP电话终端,并在识别通话对端为IP电话终端时向密钥服务平台申请与融合网关的会话密钥;以及,利用
会话密钥加密第二通信数据,并将经加密的第二通信数据和第二通信信令发送给融合网
关。
[0056] 服务器可以用于通信信令和通信数据在IP电话终端与融合网关之间的交互。例如,服务器可以用于将(IP电话终端的)第一通信信令和第一通信数据转发给融合网关(例
如根据第一通信信令识别IP 电话终端的通话对端为移动终端时),或者将(移动终端的)第
二通信信令和第二通信数据(其经融合网关转换为IP电话网络协议)转发给IP电话终端。
[0057] 服务器还可以根据第一通信信令识别通话对端为IP电话终端或移动终端,并在识别通话对端为移动终端时将第一通信信令和第一通信数据发送给融合网关。
[0058] 进一步地,服务器可以分别与IP电话终端和融合网关进行通信信令的交互,以实现通信信令在IP电话终端与融合网关的交互。例如,第一通信信令由IP电话终端发送给服
务器,服务器将接收到的第一通信信令发送给融合网关;或者,融合网关将第二通信信令发
送给服务器,服务器将接收到的第二通信信令发送给IP电话终端。
[0059] 进一步地,服务器可以直接与融合网关进行通信数据的交互,以及直接或者借助量子安全加密设备与IP电话终端进行通信数据交互。
[0060] 融合网关可以用于例如通信信令和通信数据在IP电话网络协议 (例如SIP、H.323等)与移动通信网络协议(例如VoLTE、CSFB等) 之间的转换;向密钥服务平台申请与移动终
端的会话密钥,并利用会话密钥加密第一通信数据并将其和第一通信信令发送给相应的移
动终端;以及,利用会话密钥解密经加密的第二通信数据并将其和第二通信信令发送给服
务器。
[0061] 例如,在IP电话终端与移动终端进行加密通信时,融合网关可以将IP电话终端的第一通信信令和第一通信数据从IP电话网络协议转换成移动通信网络协议,并利用会话密
钥加密第一通信数据;以及,利用移动通信模块将经加密的第一通信数据和第一通信信令
发送给相应的移动终端。
[0062] 例如,在移动终端与IP电话终端进行加密通信时,融合网关可以利用会话密钥将经加密的第二通信数据进行解密以获得第二通信数据的明文;以及,将第二通信信令和第
二通信数据从移动通信网络协议转换成IP电话网络协议,并发送给服务器。
[0063] 密钥服务平台用于根据融合网关或者移动终端的会话密钥请求,利用预置密钥以加密的方式向融合网关和移动终端分发一致的量子密钥,作为会话密钥。
[0064] 相应地,融合网关和移动终端还可以利用预置密钥对加密的量子密钥进行解密,以获得会话密钥。
[0065] 进一步地,可以在密钥服务平台和融合网关中预置第一密钥,用于密钥服务平台以加密的方式将会话密钥分发给融合网关;以及,可以在密钥服务平台和移动终端中预置
第二密钥,用于密钥服务平台以加密的方式将会话密钥分发给移动终端。
[0066] 量子网络用于根据密钥服务平台的量子密钥请求,向密钥服务平台分发量子密钥。
[0067] 图1示出了根据本发明的基于量子网络的IP电话与移动终端加密通信系统的一种实施方式。
[0068] 如图1所示,IP电话网络可以被划分为多个安全域,其包括设有IP电话终端和量子安全加密设备的第一安全域,以及设有IP电话终端、量子安全加密设备、服务器和融合网关
的第二安全域。
[0069] 本领域技术人员能够理解,图1示出的第一和第二安全域的数量只是示意性的,第一和第二安全域的数量可以为一个或多个。
[0070] 根据本发明,同一安全域内的设备之间可以使用明文通信。例如,同一第一安全域内的IP电话终端A与量子安全加密设备A之间的数据(例如通信数据)交互可以以明文通信
方式实现;或者,同一第二安全域内的IP电话终端B、量子安全加密设备B、服务器和融合网
关之间的数据(例如通信数据和通信信令)交互可以以明文通信方式实现。
[0071] 根据本发明,在IP电话网络中,IP电话终端可以直接与服务器之间进行通信信令的交互。例如,IP电话终端可以直接将第一通信信令发送给服务器,或者服务器将接收到的
第二通信信令直接发送给IP 电话终端。
[0072] 在第一安全域内,IP电话终端可以直接与量子安全加密设备进行通信数据的交互。例如,IP电话终端A可以直接将第一通信数据发送给量子安全加密设备A,或者量子安全
加密设备A将接收到的第二通信数据直接发送给IP电话终端A。
[0073] 在第二安全域的一个示例中,服务器可以直接与同一安全域内的 IP电话终端进行通信数据的交互,以及借助量子安全加密设备与其他安全域内的IP电话终端进行通信数
据的交互。例如,服务器可以直接与IP电话终端B进行通信数据的交互;或者,通过量子安全
加密设备B和量子安全加密设备A与IP电话终端A进行通信数据的交互。
[0074] 在第二安全域的第二示例中,服务器仅可以借助量子安全加密设备与IP电话终端进行通信数据的交互。例如,服务器可以通过量子安全加密设备B与同一第二安全域内的IP
电话终端B进行通信数据的交互;或者,通过量子安全加密设备B和量子安全加密设备A与IP
电话终端A进行通信数据的交互。
[0075] 在本发明中,第一和第二安全域之间的通信数据交互可以由两个安全域中的量子安全加密设备来实现。其中,可以在第一和第二安全域的量子安全加密设备之间设置共享
的量子密钥(其可以由量子网络分发获得),用于量子安全加密设备对通信数据进行加解密
处理,以实现不同安全域之间通信数据传输的安全性。
[0076] 在第二安全域中,服务器还可以直接与融合网关进行通信信令和通信数据的交互。
[0077] 作为示例,融合网关可以包括协议转换模块、移动通信模块及加解密模块。
[0078] 协议转换模块用于实现通信信令和通信数据在IP电话网络协议与移动通信网络协议之间的转换。
[0079] 移动通信模块用于允许例如与移动终端进行移动通信。
[0080] 加解密模块用于执行加解密运算,例如利用会话密钥Ks对通信数据进行加解密处理,或者利用预置的密钥对加密的会话密钥进行解密运算。
[0081] 作为示例,移动终端可以包括移动通信模块和加解密模块。其中,移动通信模块用于允许进行移动通信;加解密模块用于执行加解密运算,例如利用会话密钥Ks对通信数据
进行加解密处理,或者利用预置的密钥对加密的会话密钥进行解密运算。
[0082] 在该实施方式中,融合网关和密钥服务平台可以预置有第一密钥 Kp1,并且移动终端和密钥服务平台可以预置第二密钥Kp2。
[0083] 因此,密钥服务平台可以利用第一密钥Kp1对会话密钥Ks进行加密,并将经加密的会话密钥发送给融合网关;融合网关利用第一密钥Kp1对经加密的会话密钥进行解密,以获
得会话密钥的明文。
[0084] 并且,密钥服务平台还可以利用第二密钥Kp1对会话密钥Ks进行加密,并将经加密的会话密钥发送给移动终端;移动终端利用第二密钥Kp2对经加密的会话密钥进行解密,以
获得会话密钥的明文。
[0085] 为了更好地理解本发明,下文将结合图1的实施方式说明根据本发明的基于量子网络的IP电话与移动终端加密通信方法。
[0086] 在根据本发明的加密通信方法中,当IP电话终端A向移动终端 A进行通信时:
[0087] IP电话终端A生成第一通信信令,并将第一通信信令直接发送给服务器。
[0088] 服务器根据第一通信信令识别通话对端为移动终端A,将第一通信信令转发至融合网关。
[0089] IP电话终端A将第一通信数据发送至同一第一安全域内的量子安全加密设备A,量子安全加密设备A利用量子安全加密设备A与B 之间的共享量子密钥加密第一通信数据,将
加密后的第一通信数据发送至第二安全域内的量子安全加密设备B,量子安全加密设备B利
用共享量子密钥解密获得第一通信数据的明文。
[0090] 在第二安全域内,量子安全加密设备B将第一通信数据明文转发至服务器,服务器继续转发至融合网关。
[0091] 融合网关将第一通信数据和第一通信信令从IP电话网络协议转换为移动通信网络协议,并向密钥服务平台请求与移动终端A之间的会话密钥Ks。其中,融合网关和密钥服
务平台中均预置有第一密钥 Kp1,且移动终端和密钥服务平台中均预置有第二密钥Kp2。
[0092] 密钥服务平台向量子网络申请量子密钥Ks,利用预置的第一密钥Kp1对量子密钥Ks进行加密(例如异或运算),并发送给融合网关,利用预置的第二密钥Kp2对量子密钥Ks进
行加密(例如异或运算),并发送给移动终端A。
[0093] 融合网关和移动终端A分别利用预置的第一和第二密钥Kp1和 Kp2对加密的会话密钥Ks进行解密(例如异或运算),从而获得一致的会话密钥Ks。
[0094] 融合网关利用会话密钥Ks对第一通信数据进行加密,并将其和第一通信信令发送给移动终端A。
[0095] 移动终端A利用会话密钥Ks对加密的第一通信数据进行解密,获得第一通信数据的明文,从而实现IP电话终端A向移动终端A 的加密通信。
[0096] 当移动终端A向IP电话终端A进行通信时:
[0097] 移动终端A(例如其中的加解密模块)根据其生成的第二通信信令识别通话对端为IP电话终端A,向密钥服务平台请求与融合网关之间的会话密钥Ks。
[0098] 密钥服务平台根据请求向量子网络申请量子密钥Ks,利用预置的第一密钥Kp1对量子密钥Ks进行加密(例如异或运算),并发送给融合网关,以及利用预置的第二密钥Kp2对
量子密钥Ks进行加密 (例如异或运算),并发送给移动终端A。
[0099] 融合网关和移动终端A分别利用第一和第二密钥Kp1和Kp2进行解密(例如异或运算)后,获得一致的会话密钥Ks。
[0100] 移动终端A例如借助其中的加解密模块,利用会话密钥Ks对第二通信数据进行加密,并将其和第二通信信令发送给融合网关。
[0101] 融合网关利用会话密钥Ks对加密的第二通信数据进行解密,获得第二通信数据的明文;以及,将第二通信数据和第二通信信令从移动通信网络协议转换为IP电话网络协议,
并将第二通信数据和第二通信信令转发给服务器。
[0102] 服务器将第二通信信令直接转发给IP电话终端,并将第二通信数据转发至量子安全加密设备B。
[0103] 量子安全机密设备B利用量子安全加密设备B与A之间的共享量子密钥加密第二通信数据,将加密后的第二通信数据发送至量子安全加密设备A。
[0104] 量子安全加密设备A利用共享量子密钥对加密的第二通信数据进行解密,获得第二通信数据的明文。
[0105] 量子安全加密设备A将第二通信数据的明文发送至处于相同的第一安全域内的IP电话终端A,从而实现移动终端A向IP电话终端 A的加密通信过程。
[0106] 在本发明中,还公开了一种融合网关,其可以用于实现第一通信网络终端与第二通信网络终端之间的加密通信。
[0107] 根据本发明,第一通信网络终端可以基于第一通信网络协议进行电话通信;第二通信网络终端可以基于第二通信网络协议进行电话通信。其中,第一通信网络协议不同于
第二通信网络协议。
[0108] 融合网关可以包括协议转换模块、第一通信模块、第二通信模块及加解密模块。
[0109] 第一通信模块用于允许与第一通信网络终端进行通信信令和通信数据的交互。
[0110] 第二通信模块用于允许与第二通信网络终端进行通信信令和通信数据的交互。
[0111] 在本发明中,第一通信模块与第一通信网络终端之间可以以加密的方式实现通信数据的交互;第二通信模块与第二通信网络终端之间也可以以加密的方式实现通信数据的
交互。
[0112] 融合网关可以借助其中的加解密模块对待发送的通信数据进行加密,以及对接收的经加密的通信数据进行解密。其中,加解密模块可以利用量子密钥实现对通信数据的加
解密处理。
[0113] 作为示例,可以借助密钥服务平台以加密的方式向融合网关分发量子密钥。
[0114] 如前所述,为了实现通信数据和通信信令在使用不同通信网络协议的通信终端之间的交互,融合网关可以借助其中的协议转换模块将待在两个通信终端之间进行交互的通
信信令和通信数据的明文,在第一通信网络协议与第二通信网络协议之间进行转换,使得
最终发送的通信信令和通信数据所采用的通信网络协议与待接收该通信信令和通信数据
的通信终端所采用的通信网络协议相符。
[0115] 作为示例,第一和第二通信网络协议可以分别为IP电话网络协议(例如SIP、H.323等)和移动通信网络协议(例如VoLTE、CSFB 等)。
[0116] 基于上文可知,本发明基于融合网关实现不同网络场景下的数据加解密、协议转换、数据转发,使不同网络场景下的数据可以互通,拓展了量子密钥的应用范围。尤其是可
以在兼容原有网络架构和设备功能实现的基础上,通过设置融合网关实现不同网络场景下
的数据互通,例如通过在融合网关中配置与移动终端中功能相对应的加解密模块,实现和
移动终端之间量子会话密钥分发,通过配置与移动终端中功能相对应的通信模块,并基于
会话密钥实现和移动终端之间的加密通信,通过实现IP电话网络协议和移动通信网络协议
之间的相互转换实现不同类型设备的消息互通。本领域技术人员能够理解,本发明不仅适
用于IP电话网络与移动通信网络之间的加密通信,还适用于其它的异构网络之间的互联互
通。
[0117] 尽管前面结合附图通过具体实施例对本发明进行了说明,但是,本领域技术人员容易认识到,上述实施例仅仅是示例性的,用于说明本发明的原理,其并不会对本发明的范
围造成限制,本领域技术人员可以对上述实施例进行各种组合、修改和等同替换,而不脱离
本发明的精神和范围。
