一种基于SMSoverIMS的IP短消息加解密的方法及IP短消息加解密系统

摘要

本发明提供了一种基于SMSoverIMS的IP短消息加解密的方法，LTE用户通过SMSoverIMS的方式，在IMS域下发送和接收IP短消息时，IP短消息是内容部分是密文的加密短消息；用户归属的IP短消息加解密中心完成网络侧的加解密，在完成加解密之后，返回给IMS核心网络完成后续路由。本发明通过分析SMSoverIMS的技术特点，针对关键性问题进行深度剖析，并提出相应的技术解决方案：通过IMS的iFC触发机制实现在注册流程中的用户注册登记管理和用户秘钥的协商，实现IP短消息业务流程中的短消息内容的加解密功能；通过开发新终端应用软件，配合实现终端侧对加解密秘钥的协商和对短消息内容的从加解密到用户界面呈现的功能；本方案的实施可不需要改动现网设备，而且运行及维护成本较低。

说明书

技术领域

本发明涉及一种基于SMSoverIMS的IP短消息加解密的方法及其系统，属于通信技术领域。

背景技术

自2012年斯诺登爆出美国“棱镜计划”后，网络安全引起了人们的空前关注，而苹果的“隐私门”的爆发，再一次引发了人们对信息安全的重视。

目前移动通信存在的安全隐患主要在三个点上：

1）、网络窃听，在传输过程中被截获信令报文；

2）、空口窃听，截获无线信号，PN码捕获、获知目标用户的信道扰码，拦截信令和话音信道；

3）、终端窃取，如终端被植入木马，盗取短消息等信息。

所以随着移动通讯和手机操作系统的发展，如何有效地解决智能手机短消息的安全性成为人们日益关注的热点问题。在一份对政府部分及金融等大型企业高层的需求调查中有数据显示：担心移动电话泄密占了60%，愿意对通信进行加密占了53.3%。

但通过硬件加密实现，无疑加大了成本，而伴随着智能手机的发展，终端处的信息的加密可以通过软件实现，使自己的信息不被别有用心的人窃取。同时随着通信技术的发展，基于LTE的4G通信技术已经大规模的进行商用，目前基于LTE的通信更多的还是应用在上网流量方面。

发明内容

本发明首先所要解决的技术问题是提供一种基于SMSoverIMS的IP短消息加解密的方法，其运行及维护成本较低。为此，本发明采用以下技术方案：

一种基于SMSoverIMS的IP短消息加解密的方法，其特征在于：

LTE用户通过SMSoverIMS的方式，在IMS域下发送和接收IP短消息时，IP短消息是内容部分是密文的加密短消息；

通讯终端上需要登记注册获取加解密的秘钥；

通讯终端上收发短消息的应用模块在发送所述加密短消息时调用加解密算法进行加密，在接收所述加密短消息时调用加解密算法进行解密；

通过SMSoverIMS的方式，在IMS域下收发IP短消息时，IP短消息的信令被触发到用户归属的IP短消息加解密中心；

4）、用户归属的IP短消息加解密中心完成网络侧的加解密：

4-1）、对接收到来自用户侧的短消息，进行短消息内容部分的解密；

4-2）、对要发送给用户的短消息，进行短消息内容部分的加密；

在完成加解密之后，返回给IMS核心网络完成后续路由。

进一步地，所述登记注册获取加解密的秘钥具有以下特征：

当前LTE用户在IMS域的用户参数信息表中配置了登记注册时向IP短消息加解密中心进行第三方注册的iFC触发条件的参数项；

当前LTE用户通过SMSoverIMS的方式在IMS域发起初始注册登记或周期性注册登记时，IMS会话控制功能节点会根据IMS域的iFC机制向IP短消息加解密中心进行第三方的注册登记；

IP短消息加解密中心发起与LTE用户之间的加解密秘钥的协商流程。

进一步地，所述通讯终端上收发短消息的应用模块在发送所述加密短消息时调用加解密算法进行加密，在接收所述加密短消息时调用加解密算法进行解密，具有以下特征：

对于发送所述加密短消息的业务，通讯终端上的短消息收发应用模块进入加密流程，调用加密算法，调取协商好的秘钥对短消息内容进行加密，并在发出的所述加密短消息的信令报文中标识当前短消息为加密短消息；对是发送普通短消息业务时不进入加密流程；

对于接收到的所述加密短消息的处理业务，通讯终端上的短消息收发应用模块首先通过短消息报文携带的参数识别是否为所述加密短消息业务，如果识别是所述加密短消息业务则进入解密流程，调用解密算法，调取协商好的秘钥对短消息内容进行解密，之后呈现与用户；如果识别为普通短消息业务，则不进入解密流程。

进一步地，所述通过SMSoverIMS的方式，在IMS域下收发IP短消息时，IP短消息的信令被触发到用户归属的IP短消息加解密中心，具有以下特征：

1）、当前LTE用户在IMS域的用户参数信息表中配置了当为所述加密短消息业务时将短消息业务的信令触发到IP短消息加解密中心的iFC触发条件的参数项；

2）、当加密的IP短消息业务的信令经过IMS会话控制功能节点时，根据iFC的触发条件被当前的信令被触发到IP短消息加解密中心。

进一步地，用户归属的IP短消息加解密中心完成网络侧的加解密之后，返回给IMS核心网络完成后续路由，具有以下特征：处理接收到短消息报文需分MO短消息业务流程和MT短消息业务流程两种：

1）、从用户终端发送上来的短消息业务为MO短消息业务，在MO短消息业务流程时，IP短消息加解密中心从MO短消息业务请求信令消息中提取始发用户和短消息内容，根据始发用户查找到此用户的解密秘钥，通过解密秘钥对短消息内容进行解密，之后将解密后的短消息内容替换此MO短消息业务请求信令消息中的短消息内容部分，之后将此MO短消息业务请求信令消息转回给IMS会话控制功能节点；IMS会话控制功能节点完成后续路由。

2）、发给用户终端的短消息业务为MT短消息业务，在MT短消息业务流程时，IP短消息加解密中心从MT短消息业务请求信令消息中提取目的地用户和短消息内容，根据目的地用户查找到此用户的加密秘钥，通过加密秘钥对短消息内容进行加密，之后将加密后的短消息内容替换此MT短消息业务请求信令消息中的短消息内容部分，之后将此MT短消息业务请求信令消息转回给IMS会话控制功能节点；IMS会话控制功能节点完成后续路由。

本发明所要解决的另一个技术问题是提供一种实现上述方法的IP短消息加解密系统。为此，本发明采用以下技术方案：

所述系统包括系统侧平台的SIP信令模块、用户注册管理模块、秘钥管理模块、开销户模块、短消息收发及加解密模块、操作维护模块、数据库模块和终端侧的IP短消息收发模块、IMS网络业务状态管理模块和SIP信令模块；

系统侧平台部署在IMS网络中，与IMS会话控制功能节点通过IMS网络的ISC接口互相通信，采用SIP协议；平台内部的各个模块能进行数据交互；

1）、SIP信令模块负责SIP协议的解析和SIP事务的管理并向其他模块提供业务调度接口，与IMS会话控制功能节点通过SIP协议进行数据交互；

2）、用户注册管理模块，负责接收从SIP信令模块递交上来的用户注册事件，维护管理用户的业务状态，记录用户的通信地址，并向秘钥管理模块申请为注册用户分配秘钥，协助秘钥管理模块完成与用户之间的秘钥协商交互流程；

3）、秘钥管理模块，负责接收用户注册管理模块的注册用户分配秘钥的请求时为注册用户分配秘钥，在用户注册的有效期内管理分配的秘钥；负责接收短消息加密模块的秘钥请求，根据请求中携带的用户信息查找并返回此用户在本注册期内的秘钥；

4）、开销户模块，负责接收用户的开户、销户请求，并同时生成对应关系保存在数据库；

5）、短消息收发及加解密模块，负责接收短消息业务的报文，确定短消息为所述加密短消息时向用户注册管理与秘钥管理模块查找用户的秘钥，并调用协商指定的加解密算法对短消息内容进行加解密操作；

6）、操作管理模块，提供包括用户人机界面管理，负责设备维护、告警和统计数据收集在内的工作；

7）、数据库模块，为用户注册管理模块、秘钥管理模块和开销户模块三个模块服务，提供介质方式的数据保存，保存的数据包括开户用户数、用户的加密参数、用户当前有效秘钥，用户有效注册时长、用户注册开始时间；

终端侧IP短消息收发模块、IMS网络业务状态管理模块和SIP信令模块，被作为应用处在通讯终端中：

1）、具有加密和解密功能的IP短消息收发模块，所述具有加密和解密功能的IP短消息收发模块具有对所述加密短消息的发送加密和接收解密功能，在执行加解密计算时它从指定的存储空间读取加解密秘钥；

2）、具有加密功能的IMS网络业务状态管理模块，所述具有加密功能的IMS网络业务状态管理模块完成注册过程中秘钥的分配协商交互后负责对秘钥的管理，同时将获取的秘钥写入指定的存储空间；

3）、SIP信令模块，负责SIP协议的解析和SIP事务的管理并向具有加密和解密功能的IP短消息收发模块和具有加密功能的IMS网络业务状态管理模块提供业务调度接口。

由于采用本发明的技术方案，本发明通过分析SMSoverIMS的技术特点，针对关键性问题进行深度剖析，并提出相应的技术解决方案：通过IMS的iFC触发机制实现在注册流程中的用户注册登记管理和用户秘钥的协商，实现IP短消息业务流程中的短消息内容的加解密功能；通过开发新终端应用软件，配合实现终端侧对加解密秘钥的协商和对短消息内容的从加解密到用户界面呈现的功能；本方案的实施可不需要改动现网设备，而且运行及维护成本较低。

以下对本发明所用的名词或英文缩写分别做解释如下：

LTE：长期演进（Long Term Evolution）

IMS：IP多媒体子系统（IP Multimedia Subsystem）

VoLTE：基于LTE的语音业务（Voice over LTE）

SMSoverIMS：基于IMS的短消息业务（SMS over IMS）

SMS：短消息业务（Short Messaging Service）

iFC：初始过滤规则（ Initial Filter Criteria）

SIP：初始会话协议（Session Initiation Protocol）

HSS：归属用户服务器（Home Subscriber Server）

CSCF：呼叫会话控制功能（Call Session Control Function）

MO：终端发起（Mobile Originate）

MT： 终端截止（Mobile Terminated）

Ki：鉴权密钥（Key identifier）

GSM：全球移动通信系统(Global System for Mobile Communications)；

CDMA：码分多址 (Code Division Multiple Access)

TD-SCDMA：时分同步码分多址(Time Division-Synchronous Code Division Multiple Access)

DCN网：数据通信网络（Data Communication Network）

BOSS：业务运营支撑系统（Business & Operation Support System）

USIM：全球用户识别卡（Universal Subscriber Identity Module）。

附图说明

图1为实现本发明所述的SMSoverIMS的IP短消息加解密系统示意图。

图2为实现本发明所述的终端模块框图示意图。

图3为实现本发明所述的登记注册获取加解密的秘钥流程示意图。

图4为实现本发明所述的发送MO IP短消息业务流程示意图。

图5为实现本发明所述的接收MT IP短消息业务流程示意图。

具体实施方式

为了方便描述，下文中的“SMSoverIMS的IP短消息加解密系统”将统一称为“本系统”。

如图1所示，本系统有用户注册与秘钥管理服务器、IP短消息业务服务器、数据库服务器、操作管理服务器和开销户服务器等，各系统部件的关系如下：

1）、SIP信令模块、用户注册管理模块、秘钥管理模块设置在用户注册与秘钥管理服务器中；IMS网络送至的用户注册信令通过SIP信令模块的接收并进行解析和参数提取后递交给用户注册管理模块，用户注册管理从数据库中鉴权用户信息成功后返回注册成功的应答指令通过SIP信令模块回送给IMS网络。同时向秘钥管理模块申请秘钥的分配，获得秘钥后，通过SIP信令模块向注册的用户发起秘钥协商流程，在获得用户的秘钥协商成功结果响应后，将用户注册信息、用户秘钥信息一并递交给数据库模块进行静态数据的保存。

2）、SIP信令模块和短消息收发及加解密模块设置在IP短消息业务服务器中；从IMS网络的送至的IP短消息的信令消息通过SIP信令模块的接收并进行解析和参数提取后递交给短消息收发及加解密模块，短消息收发及加解密模块判断为需要加解密运算时向秘钥管理模块申请用户的加解密秘钥，在完成加解密运算后将处理过的消息通过SIP信令模块重新送回IMS网络。

3）、数据库模块设置在数据库服务器中。数据库服务模块负责在数据库中管理用户数据以及和用户注册管理模块、秘钥管理模块、开销户模块交互；

4）、操作维护模块设置在操作维护服务器中，负责本地的操作维护，通过城域网提供远程设备的管理功能；

5）、开销户模块设置在开销户服务器中，开销户模块通过运营商的DCN网络和BOSS系统连接，接收用户的开户、销户请求，转递给用户注册管理模块，并同时生成对应关系保存在数据库；开销户模块实现与BOSS之间的接口协议。

系统的运行没有特殊的软、硬件要求，运行平台可以为现在主流的操作系统。

各个模块通过TCP/IP网络通信方式或操作系统消息队列等进程间通信方式进行数据交互。

如图2所示，通讯终端中设置具有加密和解密功能的IP短消息收发模块、具有加密功能的IMS网络业务状态管理模块和SIP信令模块三个模块。

1）、具有加密和解密功能的IP短消息收发模块，替换通讯终端原先的IP短消息收发模块，它保留原先通讯终端IP短消息收发模块的功能外，新增加了对加密模式短消息的发送加密和接收解密功能，在执行加解密计算时它从指定的存储空间读取加解密秘钥；

其在接收来自SIP信令模块递交的接收到的IP短消息，对判断为是所述加密短消息时调用相应的解密算法进行解密后调用库函数接口呈现给用户；其在对收到来自用户界面的短消息发送请求要求时，如是所述加密短消息则进行短消息内容的加密运算，通过SIP信令模块发送IP短消息；

2）、具有加密功能的IMS网络业务状态管理模块，替换通讯终端原先的IMS网络业务状态管理模块，它保留原先终端IMS网络业务状态管理模块的功能外，新增加了对加密模式能力的处理，完成注册过程中秘钥的分配协商交互后负责对秘钥的管理，同时将获取的秘钥写入指定的存储空间。

其在初始注册和周期性注册的时候，通过SIP信令模块发起注册信令完成注册流程，同时完成与IMS网络IP短消息加解密中心的加解密秘钥协商流程，保存加解密秘钥；

3）、SIP信令模块，管理SIP事务、负责SIP消息的解析，提供调用接口。

应用运行支持目前主流的如IOS、Android和Windows Mobile终端操作系统。

如图3所示，登记注册获取加解密的秘钥流程示意图。

1）、终端的IMS网络业务状态管理模块发起SIP的Register信令进行注册，送至IMS网络的会话控制功能节点；

2）、IMS网络的会话控制功能节点向HSS下载用户信息；

3）、IMS网络的会话控制功能节点返回给终端Register注册信令200 OK的成功响应；

4）、IMS网络的会话控制功能节点从用户信息中提取iFC参数，判断需要发起第三方的注册，注册的目的地址为本系统，于是向本系统发起第三方的注册Register信令；

5）、本系统的用户注册与秘钥管理模块接收到这个第三方的Register注册信令，在判断用户信息合法后，提取用户当前的联系地址返回第三方Register注册信令200 OK的成功响应；

6）、本系统的用户注册与秘钥管理模块为这个用户随机生成一个加解密的秘钥，将这个加解密的秘钥通过一定的封装，由SIP协议的Message消息携带送给终端的IMS网络业务管理状态模块。对这个秘钥的封装可以有约定的初始秘钥进行一次初始加密，这个初始秘钥可以由开户时BOSS提供的用户的Ki信息来推导，初始加密的算法可采用国密算法或其他如MD5、SHA等算法。具体的初始算法由Message消息一起携带。

7）、终端的IMS网络业务管理状态模块收到这个Message消息，从Message消息中提取加密秘钥的封装，从Message消息中确定的算法，从终端USIM卡中提取Ki，然后解码出加密秘钥，将加密秘钥存储在指定空间保存。同时返回Message消息的200 OK 成功响应。

如图4所示，发送MO IP短消息业务流程示意图。

1）、终端的IP短消息收发模块发起加密IP短消息，通过Message消息携带送至IMS网络的会话控制功能节点，Message消息中携带了加密标识、加密的算法和加密后的短消息内容，同时标识了本次为MO短消息业务；

2）、IMS网络的会话控制功能节点判断为MO短消息流程，以始发号码为用户号码，从内存数据库中找出这个用户的用户信息，并从中提取iFC参数，判断需要将本次Message消息触发到某应用业务平台，此某应用业务平台为本系统，于是在当前Message消息中打上Route头域参数后向本系统发起此条Message消息，此Route头域中的地址参数为本IMS网络的会话控制功能节点的联系地址；

3）、本系统的短消息收发及加解密模块接收到此条Message消息，对其进行解析和参数提取，在判断为MO短消息流程后，以始发号码为用户号码进行用户信息的鉴权，鉴权成功获得加解密秘钥。根据Message消息中携带的加密算法，本模块调用相应的解密算法以获得的加解密秘钥和短消息密文为输入，获得解码后的短消息明文；

本系统的短消息收发及加解密模块重新封装Message消息，以解密后的明文代替加密的密文，将这个新封装的Message送至到达Message消息中的Route头域的地址参数所指的联系地址上，既送回给IMS会话控制功能节点；

4）、IMS会话控制功能节点识别出当前Message消息为iFC机制触发回来的消息，于是经过后续路由的查找送给短消息中心；

5）、短消息中心接受这个MO流程的IP短消息，返回Message消息的200 OK的成功应答，通过Message消息的转送路径逐一返回给终端的IP短消息收发模块。

如图5所示，接收MT IP短消息业务流程示意图。

1）、短消息中心发起MT短消息流程，通过Message消息携带送至IMS网络的会话控制功能节点；

2）、IMS网络的会话控制功能节点判断为MT短消息流程，以目的号码为用户号码，从内存数据库中找出这个用户的用户信息，并从中提取iFC参数，判断需要将本次Message消息触发到某应用业务平台，此某应用业务平台为本系统。于是在当前Message消息中打上Route头域参数后向本系统发起此条Message消息，此Route头域中的地址参数为本IMS网络的会话控制功能节点的联系地址；

3）、本系统的短消息收发及加解密模块接收到此条Message消息，对其进行解析和参数提取，在判断为MT短消息流程后，以目的号码为用户号码进行用户信息的鉴权，鉴权成功获得加解密秘钥。本模块选择一个加密算法，根据加解密秘钥对短消息内容部分进行加密运算，获得加密后的密文；

本系统的短消息收发及加解密模块重新封装Message消息，以加密后的明文代替明文，同时携带了加密标识、加密的算法，将这个新封装的Message送至到达Message消息中的Route头域的地址参数所指的联系地址上，既送回给IMS会话控制功能节点；

4）、IMS会话控制功能节点识别出当前Message消息为iFC机制触发回来的消息，于是经过后续路由的查找送给用户终端；

5）、用户终端的IP短消息收发模块接收此Message消息，对其进行解析和参数提取，在判断为加密短消息流程后，从指定空间处获取加解密的秘钥，根据Message消息中携带的加密算法，本模块调用相应的解密算法以获得的加解密秘钥和短消息密文为输入，获得解码后的短消息明文，通过人机界面接口呈现给用户。同时返回Message消息的200 OK的成功应答，通过Message消息的转送路径逐一返回给始发的短消息中心。