一种集群呼叫语音加密的方法、终端和系统.pdf

摘要
申请专利号：	CN201110173832.X	申请日：	2011.06.24
公开号：	CN102843675A	公开日：	2012.12.26
当前法律状态：	驳回	有效性：	无权
法律详情：	发明专利申请公布后的驳回IPC(主分类):H04W 12/02申请公布日:20121226\|\|\|实质审查的生效IPC(主分类):H04W 12/02申请日:20110624\|\|\|公开
IPC分类号：	H04W12/02(2009.01)I; H04W12/04(2009.01)I	主分类号：	H04W12/02
申请人：	中兴通讯股份有限公司
发明人：	廖召华; 董文
地址：	518057 广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法务部
优先权：
专利代理机构：	北京康信知识产权代理有限责任公司 11240	代理人：	余刚;梁丽超
PDF下载：	PDF下载

内容摘要

本发明公开了一种集群呼叫语音加密的方法、终端和系统，属于集群通信技术领域。在所述方法中，主被叫所有成员终端在加密呼叫建立过程中分别通过基站子系统BBS向密钥分配服务器KDS获取本次加密通话的会话密钥；主被叫所有成员终端分别向BBS发送进入加密通话请求,建立加密呼叫；进入加密通话后，主被叫所有成员终端在通话过程中都使用同一会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。应用本发明一次通话一个密钥的方式，所有集群成员终端采用同一个会话密钥进行语音加密通话，实现了对各种集群呼叫进行语音加密，保证了通话内容的安全保密性。

权利要求书

1.一种集群呼叫语音加密的方法，其特征在于，所述方法包括：1.1主被叫所有成员终端在加密呼叫建立过程中分别通过基站子系统BBS向密钥分配服务器KDS获取本次加密通话的会话密钥，其中，被叫成员终端是在接收到KDS发送的被叫加密通知消息后向KDS请求所述会话密钥的，所述会话密钥是KDS通过主叫/被叫密钥响应消息将所述会话密钥加密下发给所有成员终端的；1.2主被叫所有成员终端分别向BBS发送进入加密通话请求，建立加密呼叫；1.3进入加密通话后，主被叫所有成员终端在通话过程中都使用所述会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。2.根据权利要求1所述的方法，其特征在于，所述主被终端向KDS获取会话密钥包括：2.1主叫终端产生一对临时公私钥对Pa和Ka，向KDS发送主叫密钥请求消息，消息中携带Pa；2.2主叫终端接收KDS发送的主叫密钥响应消息，利用临时私钥Ka解密得到主叫密钥响应消息中携带的会话密钥。3.根据权利要求2所述的方法，所述步骤2.2之后还包括主叫终端销毁临时公私钥对Pa和Ka。4.根据权利要求1所述的方法，其特征在于，所述被叫成员终端获取会话密钥包括：4.1被叫成员终端产生一对临时公私钥对Pb和Kb，通过BSS发送被叫密钥请求消息给KDS，消息中携带Pb；4.2被叫成员终端接收到KDS通过BSS发送的被叫密钥响应消息后，利用临时私钥Kb解密得到被叫密钥响应消息中携带的会话密钥。5.根据权利要求4所述的方法，所述步骤4.2之后还包括被叫成员终端销毁临时公私钥对Pb和Kb。6.根据权利要求1至5任一项所述的方法，主叫终端是指发起加密通话的一方，被叫终端是指被动加入加密通话的集群呼叫的成员终端。7.一种集群终端，包括声码器、信道及射频处理模块，其特征在于，还包括加解密模块，用于获取密钥分配服务器KDS通过主/被叫密钥响应消息下发的本次加密通话会话密钥；在所述集群终端作为发送端时将声码器输出的信号使用所述会话密钥进行加密，加密后传输给信道及射频处理模块；在所述集群终端作为接收端时，将从信道及射频模块接收的语音帧使用所述会话密钥进行解密，解密后传输给声码器。8.根据权利要求7所述的终端，所述终端设置呼叫属性选择，用于指定进行普通呼叫或加密呼叫。9.一种集群系统，其特征在于，包括密钥分配服务器KDS，所述KDS用于接收到主叫终端的密钥请求消息后产生本次加密通话的会话密钥，并通过主/被叫密钥响应消息将所述会话密钥加密下发给所有群呼成员终端。10.根据权利要求9所述的系统，其特征在于，所述会话密钥是调用密码机的密钥生成函数产生。11.根据权利要求9所述的系统，其特征在于，所述KDS单独实现或者在PDS上实现。12.根据权利要求9所述的系统，其特征在于，所述会话密钥加密是采用终端临时公钥加密。

说明书

一种集群呼叫语音加密的方法、终端和系统

技术领域

本发明涉及集群通信领域，涉及一种集群呼叫语音加密的方法、终端和系
统。

背景技术

集群通信系统是一种专用的调度通信系统，包括专用指挥和调度通信，在
使用中，集群用户可以同时加入呼叫。集群呼叫是集群通信领域最基本也是最
重要的业务，经过多年的发展，已经广泛应用于机场、码头、高铁、公共交
通、公共安全、紧急救援等领域。对于安全性要求较高的行业用户而言，诸
如警察、军队等，明文通话的安全保密性差，通话内容极易被人从空中截
获，故保密性和安全性也是集群呼叫需要解决的重要内容之一。

目前已有的针对集群通话进行语音加密中，加密集群呼叫只能由客户端发
起，终端无法发起，密钥也非常复杂，有组密钥、用户密钥、临时组密钥、集
团密钥等，且每次切换话权都要生成新的密钥并分发给所有终端和客户端，增
加系统负担。

发明内容

本发明所要解决的问题是，提供一种集群呼叫中语音加密的方法、终端
和系统，实现全程加解密，增强集群呼叫中的安全保密性。

为了解决上述问题，本发明提供了一种集群呼叫中语音加密的方法，该方
法包括：

主被叫所有成员终端在加密呼叫建立过程中分别通过BBS(基站子系
统)向KDS(Key Distribution Server，密钥分配服务器)获取本次加密通
话的会话密钥，被叫成员终端是在接收到KDS发送的被叫加密通知消息
后向KDS请求所述会话密钥的，所述会话密钥是KDS通过主叫/被叫密钥
响应消息将所述会话密钥加密下发给所有成员终端的；主被叫所有成员
终端分别向BBS发送进入加密通话请求，建立加密呼叫；进入加密通话
后，主被叫所有成员终端在通话过程中都使用会话密钥对发送的语音帧
进行加密，对接收的语音帧进行解密。

本发明还提供一种集群呼叫中语音加密的终端，该终端包括声码器、信
道及射频处理模块，还包括加解密模块；加解密模块用于获取KDS通过
主/被叫密钥响应消息下发的本次加密通话的会话密钥；在集群终端作
为发送端时将声码器输出的信号使用会话密钥进行加密，加密后传输给
信道及射频处理模块；在集群终端作为接收端时，将从信道及射频模块
接收的语音帧使用会话密钥进行解密，解密后传输给声码器。

本发明还提供一种集群呼叫中语音加密的系统，还包括：KDS，KDS用于
接收到主叫终端的密钥请求消息后产生本次加密通话的会话密钥，并通
过主/被叫密钥响应消息将会话密钥加密后下发给所有群呼成员终端。

采用本发明后，既可以在发起集群呼叫的时候指定发起加密集群呼叫，也
可以在普通集群呼叫通话过程中升级为加密集群呼叫，通话成员中的任一个终
端都可以发起或升级加密集群呼叫，通过一次通话一个密钥的方式，会话密钥
由KDS以加密的方式分发给所有终端，所有参与通话的终端使用同一个密钥直
到本次通话结束，会话密钥规则简单且安全性高，实现了对各种集群呼叫，包
括单呼、组呼、临时组、用户组等进行语音加密，既保证了通话内容的安全保
密性，又避免了频繁分发密钥给系统带来的负担。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部
分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不
当限定。在附图中：

图1为本发明的集群呼叫加密方法流程图

图2为本发明实施例的自动方式发起加密集群呼叫的主叫信令流程图

图3为本发明实施例的自动方式发起加密集群呼叫的被叫信令流程图

图4为本发明实施例的手动方式发起加密集群呼叫的主叫信令流程图

图5为本发明实施例的手动方式发起加密集群呼叫的被叫信令流程图

图6为本发明实施例的终端模块图

图7为本发明实施例的系统结构示意图

具体实施方式

为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明
白，以下结合附图和实施例，对本发明进行进一步详细说明。应当理解，此处
所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

如图1所示为本发明的集群呼叫加密方法流程图，

【S101】主被叫所有成员终端在加密呼叫建立过程中分别通过基站
子系统BBS向密钥分配服务器KDS获取本次加密通话的会话密钥，其
中，被叫成员终端是在接收到KDS发送的被叫加密通知消息后向KDS请
求所述会话密钥的，所述会话密钥是KDS通过主叫/被叫密钥响应消息将
所述会话密钥加密下发给所有成员终端的；

【S102】主被叫所有成员终端分别向BBS发送进入加密通话请求，建
立加密呼叫；

【S103】进入加密通话后，主被叫所有成员终端在通话过程中都使
用所述会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。

为了便于描述，后面实施例中的主叫终端是指发起加密通话的一方，被叫
终端是指被动加入加密通话的所有群呼终端成员。

实施例一

本实施例为自动方式发起加密集群呼叫：可以终端上设置一个选择呼叫属
性的菜单，供用户指定呼叫属性是普通集群呼叫还是加密集群呼叫。该设置项
提供普通和加密两个选项供用户选择。当用户选择普通时，用户按下PTT键
后，呼叫处理流程同普通集群终端的呼叫流程；当用户选择加密时，用户按下
PTT键后，采用如下加密集群呼叫流程：

主叫终端启动普通集群呼叫流程，在普通集群呼叫建立完成之前，主被叫
所有成员终端在加密呼叫建立过程中分别通过基站子系统BBS向KDS获
取本次加密通话的会话密钥，主被叫所有成员终端分别向BBS发送进入
加密通话请求，建立加密呼叫；进入加密通话后，主被叫所有成员终端
在通话过程中都使用同一会话密钥对发送的语音帧进行加密，对接收的语
音帧进行解密。

如图2所示，主叫终端信令流程如下：

【201】主叫终端选择呼叫属性为加密，并按PTT键发起呼叫；

【202】主叫终端启动普通集群呼叫流程，建立空口业务信道，在普通集
群呼叫建立完成之前，插入如下203-208步骤的建立加密呼叫；

【203】主叫终端产生一对临时公私钥对Pa和Ka，通过BSS发送主叫密
钥请求消息给KDS，该消息中携带Pa，消息中部分内容用KDS公钥加密。可以
将其中的模式标记参数置0表示使用自动方式；

【204】KDS调用密码机的密钥生成函数产生本次通话的会话密钥，通
过BSS发送主叫密钥响应消息给主叫终端。该消息中携带会话密钥，部分内容
先用Pa加密，再用KDS私钥签名；

【205】主叫终端用KDS公钥对主叫密钥响应消息进行签名验证，验证通
过后，再利用临时私钥Ka解密得到会话密钥，同时销毁临时公私钥对Pa和
Ka；

【206】主叫终端解密得到会话密钥后，通过业务请求消息(Service
Request Message)中的业务类型(SO)字段，发送进入加密通话请求给BSS；

【207】BSS发送业务连接消息(Service Connect Message)回应终端；

【208】主叫终端发送业务连接完成消息(Service Connect Complete)
给BSS；

【209】进入加密通话，主被叫所有成员终端在通话过程中都使用同
一会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。如果密话
建立失败，则呼叫结束，终端回到待机界面。

如图3所示，被叫终端信令流程如下：

【301】被叫终端启动普通集群呼叫流程，建立空口业务信道，在普通集
群呼叫建立完成之前，插入如下302-308步骤的建立加密呼叫；

【302】KDS通过BSS发送被叫加密通知消息给被叫终端；

【303】被叫终端产生一对临时公私钥对Pb和Kb，通过BSS发送被叫
密钥请求消息给KDS，该消息中携带Pb，部分内容用KDS公钥加密，可将其中
的模式标记参数置0表示使用自动方式；

【304】KDS通过BSS给被叫终端发送被叫密钥响应消息，该消息中携带
会话密钥，部分内容先用Pb加密，再用KDS私钥签名；

【305】被叫终端用KDS公钥对被叫密钥响应消息进行签名验证，验证
通过后，再利用临时私钥Kb解密得到会话密钥，同时销毁临时公私钥对Pb和
Kb；

【306】被叫终端解密得到会话密钥后，通过业务请求消息中的业务类型
字段，发送进入加密通话请求给BSS；

【307】BSS发送业务连接消息回应终端；

【308】被叫终端发送业务连接完成消息给BSS；

【309】被叫进入加密通话，主被叫所有成员终端在通话过程中都使
用同一会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。如果
密话建立失败，则呼叫结束，终端回到待机界面。

实施例二

本实施例是手动方式发起加密集群呼叫：普通集群呼叫发起终端呼叫属性
设置为普通，发起普通集群呼叫后，任何一集群呼叫成员在通话过程中按加密
通话键(或者操作菜单)后，经过密钥协商后，建立加密集群呼叫。具体为：
主被叫所有成员终端在加密呼叫建立过程中分别通过基站子系统BBS向
KDS获取本次加密通话的会话密钥，主被叫所有成员终端分别向BBS发
送进入加密通话请求，建立加密呼叫；进入加密通话后，主被叫所有成
员终端在通话过程中都使用会话密钥对发送的语音帧进行加密，对接收的
语音帧进行解密。

如图4所示，主叫终端信令流程如下：

【401】主被叫终端建立明文(普通)通话；

【402】主叫终端上按下加密通话键(或者操作菜单)；

【403】主叫终端产生一对临时公私钥对Pa和Ka，通过BSS发送主叫密
钥请求消息给KDS，该消息中携带Pa，部分内容用KDS公钥加密，可将其中的
模式标记参数要求置1表示使用手动方式；

【404】KDS调用密码机的密钥生成函数产生本次通话的会话密钥，通
过BSS发送主叫密钥响应消息给主叫终端，该消息中携带会话密钥，部分内容
先用Pa加密，再用KDS私钥签名；

【405】主叫终端用KDS公钥对主叫密钥响应消息进行签名验证，验证通
过后，再利用临时私钥Ka解密得到会话密钥，同时销毁临时公私钥对Pa和
Ka；

【406】主叫终端解密得到会话密钥后，通过业务请求消息(Service
Request Message)中的业务类型(SO)字段，发送进入加密通话请求给BSS；

【407】BSS发送业务连接消息回应终端；

【408】主叫终端发送业务连接完成消息给BSS；

【409】主叫进入加密通话，主被叫所有成员终端在通话过程中都使
用同一会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。如果
密话建立失败，则回退到原来的普通通话。

如图5所示，被叫终端信令流程如下：

【501】主被叫终端建立明文(普通)通话；

【502】KDS通过BSS发送被叫加密通知消息给被叫终端；

【503】被叫终端产生一对临时公私钥对Pb和Kb，通过BSS发送被叫密
钥请求消息给KDS，该消息中携带Pb，部分内容用KDS公钥加密，可将其中的
模式标记参数要求置1表示使用手动方式；

【504】KDS通过BSS给被叫终端发送被叫密钥响应消息，该消息中携带
会话密钥，部分内容先用Pb加密，再用KDS私钥签名；

【505】被叫终端用KDS公钥对被叫密钥响应消息进行签名验证，验证通
过后，再利用临时私钥Kb解密得到会话密钥，同时销毁临时公私钥对Pb和
Kb；

【506】被叫终端解密得到会话密钥后，通过业务请求消息中的业务类型
字段，发送进入加密通话请求给BSS；

【507】BSS发送业务连接消息回应终端；

【508】被叫终端发送业务连接完成消息给BSS；

【509】被叫进入加密通话，主被叫所有成员终端在通话过程中都使
用会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。如果密话
建立失败，则回退到原来的普通通话。

如图6所示，本发明实施例提供的加密集群终端，与普通集群终端相比，
在声码器与信道及射频处理之间，加入了一个加解密模块。加解密模块获取
KDS通过主/被叫密钥响应消息下发的本次加密通话会话密钥。集群终端
作为发送端时，模拟语音信号经采样、量化、编码之后输送到声码器，加密
模块对声码器输出的信号使用会话密钥进行加密，加密后传输给信道及射频
处理模块，经信道及射频处理模块发送给网络侧；在群终端作为接收端
时，经从信道及射频模块接收的语音帧是加密帧，加解密模块对加密帧使
用会话密钥进行解密，解密后传输给声码器，经过数模转换后最终输出到
发声设备(扬声器、耳机或听筒)进行播放。

优选地，终端中设置了呼叫属性选择，用于指定进行普通呼叫或加
密呼叫。

如图7所示，本发明实施例提供的加密集群通信系统，与普通集群通信系
统相比，增加了KDS。KDS接收到主叫终端的密钥请求消息后产生本次加
密通话的会话密钥，并通过主/被叫密钥响应消息将所述会话密钥加密
后下发给所有群呼成员终端。对于GOTA集群系统而言，KDS可以和PDS在
同一个网元节点上实现。为了保证安全性，采取一次一密的方式，终端每
次保密通话使用的Ks都不相同，并且每次下发给终端的会话密钥都采
用终端临时公钥加密。

优选地，会话密钥由KDS调用密码机的密钥生成函数产生。

上述说明示出并描述了本发明的一个优选实施例，但如前所述，应当理解
本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可
用于各种其他组合、修改和环境，并能够在本文所述发明构想范围内，通过上
述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化
不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。

资源描述

《一种集群呼叫语音加密的方法、终端和系统.pdf》由会员分享，可在线阅读，更多相关《一种集群呼叫语音加密的方法、终端和系统.pdf（11页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102843675 A (43)申请公布日 2012.12.26 C N 1 0 2 8 4 3 6 7 5 A *CN102843675A* (21)申请号 201110173832.X (22)申请日 2011.06.24 H04W 12/02(2009.01) H04W 12/04(2009.01) (71)申请人中兴通讯股份有限公司地址 518057 广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法务部 (72)发明人廖召华董文 (74)专利代理机构北京康信知识产权代理有限责任公司 11240 代理人余刚梁丽超 (54) 发明名称一种集群呼叫。

2、语音加密的方法、终端和系统 (57) 摘要本发明公开了一种集群呼叫语音加密的方法、终端和系统，属于集群通信技术领域。在所述方法中，主被叫所有成员终端在加密呼叫建立过程中分别通过基站子系统BBS向密钥分配服务器 KDS获取本次加密通话的会话密钥；主被叫所有成员终端分别向BBS发送进入加密通话请求,建立加密呼叫；进入加密通话后，主被叫所有成员终端在通话过程中都使用同一会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。应用本发明一次通话一个密钥的方式，所有集群成员终端采用同一个会话密钥进行语音加密通话，实现了对各种集群呼叫进行语音加密，保证了通话内容的安全保密性。 (5。

3、1)Int.Cl. 权利要求书1页说明书5页附图4页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 1 页说明书 5 页附图 4 页 1/1页 2 1.一种集群呼叫语音加密的方法，其特征在于，所述方法包括： 1.1主被叫所有成员终端在加密呼叫建立过程中分别通过基站子系统BBS向密钥分配服务器KDS获取本次加密通话的会话密钥，其中，被叫成员终端是在接收到KDS发送的被叫加密通知消息后向KDS请求所述会话密钥的，所述会话密钥是KDS通过主叫/被叫密钥响应消息将所述会话密钥加密下发给所有成员终端的； 1.2主被叫所有成员终端分别向BBS发送进入加密通话请求，建。

4、立加密呼叫； 1.3进入加密通话后，主被叫所有成员终端在通话过程中都使用所述会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。 2.根据权利要求1所述的方法，其特征在于，所述主被终端向KDS获取会话密钥包括： 2.1主叫终端产生一对临时公私钥对Pa和Ka，向KDS发送主叫密钥请求消息，消息中携带Pa； 2.2主叫终端接收KDS发送的主叫密钥响应消息，利用临时私钥Ka解密得到主叫密钥响应消息中携带的会话密钥。 3.根据权利要求2所述的方法，所述步骤2.2之后还包括主叫终端销毁临时公私钥对 Pa和Ka。 4.根据权利要求1所述的方法，其特征在于，所述被叫成员终端获取会话密钥包括： 4.。

5、1被叫成员终端产生一对临时公私钥对Pb和Kb，通过BSS发送被叫密钥请求消息给 KDS，消息中携带Pb； 4.2被叫成员终端接收到KDS通过BSS发送的被叫密钥响应消息后，利用临时私钥Kb 解密得到被叫密钥响应消息中携带的会话密钥。 5.根据权利要求4所述的方法，所述步骤4.2之后还包括被叫成员终端销毁临时公私钥对Pb和Kb。 6.根据权利要求1至5任一项所述的方法，主叫终端是指发起加密通话的一方，被叫终端是指被动加入加密通话的集群呼叫的成员终端。 7.一种集群终端，包括声码器、信道及射频处理模块，其特征在于，还包括加解密模块，用于获取密钥分配服务器KDS通过主/被叫密钥响应消息下发的本。

6、次加密通话会话密钥；在所述集群终端作为发送端时将声码器输出的信号使用所述会话密钥进行加密，加密后传输给信道及射频处理模块；在所述集群终端作为接收端时，将从信道及射频模块接收的语音帧使用所述会话密钥进行解密，解密后传输给声码器。 8.根据权利要求7所述的终端，所述终端设置呼叫属性选择，用于指定进行普通呼叫或加密呼叫。 9.一种集群系统，其特征在于，包括密钥分配服务器KDS，所述KDS用于接收到主叫终端的密钥请求消息后产生本次加密通话的会话密钥，并通过主/被叫密钥响应消息将所述会话密钥加密下发给所有群呼成员终端。 10.根据权利要求9所述的系统，其特征在于，所述会话密钥是调用密码机的密。

7、钥生成函数产生。 11.根据权利要求9所述的系统，其特征在于，所述KDS单独实现或者在PDS上实现。 12.根据权利要求9所述的系统，其特征在于，所述会话密钥加密是采用终端临时公钥加密。权利要求书CN 102843675 A 1/5页 3 一种集群呼叫语音加密的方法、终端和系统技术领域 0001 本发明涉及集群通信领域，涉及一种集群呼叫语音加密的方法、终端和系统。背景技术 0002 集群通信系统是一种专用的调度通信系统，包括专用指挥和调度通信，在使用中，集群用户可以同时加入呼叫。集群呼叫是集群通信领域最基本也是最重要的业务，经过多年的发展，已经广泛应用于机场、码头、高铁。

8、、公共交通、公共安全、紧急救援等领域。对于安全性要求较高的行业用户而言，诸如警察、军队等，明文通话的安全保密性差，通话内容极易被人从空中截获，故保密性和安全性也是集群呼叫需要解决的重要内容之一。 0003 目前已有的针对集群通话进行语音加密中，加密集群呼叫只能由客户端发起，终端无法发起，密钥也非常复杂，有组密钥、用户密钥、临时组密钥、集团密钥等，且每次切换话权都要生成新的密钥并分发给所有终端和客户端，增加系统负担。发明内容 0004 本发明所要解决的问题是，提供一种集群呼叫中语音加密的方法、终端和系统，实现全程加解密，增强集群呼叫中的安全保密性。 0005 为了解决上述问题，本发明。

9、提供了一种集群呼叫中语音加密的方法，该方法包括： 0006 主被叫所有成员终端在加密呼叫建立过程中分别通过BBS(基站子系统)向 KDS(Key Distribution Server，密钥分配服务器)获取本次加密通话的会话密钥，被叫成员终端是在接收到KDS发送的被叫加密通知消息后向KDS请求所述会话密钥的，所述会话密钥是KDS通过主叫/被叫密钥响应消息将所述会话密钥加密下发给所有成员终端的；主被叫所有成员终端分别向BBS发送进入加密通话请求，建立加密呼叫；进入加密通话后，主被叫所有成员终端在通话过程中都使用会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。 0007 本发明。

10、还提供一种集群呼叫中语音加密的终端，该终端包括声码器、信道及射频处理模块，还包括加解密模块；加解密模块用于获取KDS通过主/被叫密钥响应消息下发的本次加密通话的会话密钥；在集群终端作为发送端时将声码器输出的信号使用会话密钥进行加密，加密后传输给信道及射频处理模块；在集群终端作为接收端时，将从信道及射频模块接收的语音帧使用会话密钥进行解密，解密后传输给声码器。 0008 本发明还提供一种集群呼叫中语音加密的系统，还包括：KDS，KDS用于接收到主叫终端的密钥请求消息后产生本次加密通话的会话密钥，并通过主/被叫密钥响应消息将会话密钥加密后下发给所有群呼成员终端。 0009 采用本发明后。

11、，既可以在发起集群呼叫的时候指定发起加密集群呼叫，也可以在普通集群呼叫通话过程中升级为加密集群呼叫，通话成员中的任一个终端都可以发起或升级加密集群呼叫，通过一次通话一个密钥的方式，会话密钥由KDS以加密的方式分发给所说明书CN 102843675 A 2/5页 4 有终端，所有参与通话的终端使用同一个密钥直到本次通话结束，会话密钥规则简单且安全性高，实现了对各种集群呼叫，包括单呼、组呼、临时组、用户组等进行语音加密，既保证了通话内容的安全保密性，又避免了频繁分发密钥给系统带来的负担。附图说明 0010 此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的。

12、示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中： 0011 图1为本发明的集群呼叫加密方法流程图 0012 图2为本发明实施例的自动方式发起加密集群呼叫的主叫信令流程图 0013 图3为本发明实施例的自动方式发起加密集群呼叫的被叫信令流程图 0014 图4为本发明实施例的手动方式发起加密集群呼叫的主叫信令流程图 0015 图5为本发明实施例的手动方式发起加密集群呼叫的被叫信令流程图 0016 图6为本发明实施例的终端模块图 0017 图7为本发明实施例的系统结构示意图具体实施方式 0018 为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白，以下结合。

13、附图和实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。 0019 如图1所示为本发明的集群呼叫加密方法流程图， 0020 【S101】主被叫所有成员终端在加密呼叫建立过程中分别通过基站子系统BBS向密钥分配服务器KDS获取本次加密通话的会话密钥，其中，被叫成员终端是在接收到KDS发送的被叫加密通知消息后向KDS请求所述会话密钥的，所述会话密钥是KDS通过主叫/被叫密钥响应消息将所述会话密钥加密下发给所有成员终端的； 0021 【S102】主被叫所有成员终端分别向BBS发送进入加密通话请求，建立加密呼叫； 0022 【S103】进。

14、入加密通话后，主被叫所有成员终端在通话过程中都使用所述会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。 0023 为了便于描述，后面实施例中的主叫终端是指发起加密通话的一方，被叫终端是指被动加入加密通话的所有群呼终端成员。 0024 实施例一 0025 本实施例为自动方式发起加密集群呼叫：可以终端上设置一个选择呼叫属性的菜单，供用户指定呼叫属性是普通集群呼叫还是加密集群呼叫。该设置项提供普通和加密两个选项供用户选择。当用户选择普通时，用户按下PTT键后，呼叫处理流程同普通集群终端的呼叫流程；当用户选择加密时，用户按下PTT键后，采用如下加密集群呼叫流程： 0026 主叫终端启。

15、动普通集群呼叫流程，在普通集群呼叫建立完成之前，主被叫所有成员终端在加密呼叫建立过程中分别通过基站子系统BBS向KDS获取本次加密通话的会话密钥，主被叫所有成员终端分别向BBS发送进入加密通话请求，建立加密呼叫；进入加密通话后，主被叫所有成员终端在通话过程中都使用同一会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。说明书CN 102843675 A 3/5页 5 0027 如图2所示，主叫终端信令流程如下： 0028 【201】主叫终端选择呼叫属性为加密，并按PTT键发起呼叫； 0029 【202】主叫终端启动普通集群呼叫流程，建立空口业务信道，在普通集群呼叫建立完成之。

16、前，插入如下203-208步骤的建立加密呼叫； 0030 【203】主叫终端产生一对临时公私钥对Pa和Ka，通过BSS发送主叫密钥请求消息给KDS，该消息中携带Pa，消息中部分内容用KDS公钥加密。可以将其中的模式标记参数置 0表示使用自动方式； 0031 【204】KDS调用密码机的密钥生成函数产生本次通话的会话密钥，通过BSS发送主叫密钥响应消息给主叫终端。该消息中携带会话密钥，部分内容先用Pa加密，再用KDS私钥签名； 0032 【205】主叫终端用KDS公钥对主叫密钥响应消息进行签名验证，验证通过后，再利用临时私钥Ka解密得到会话密钥，同时销毁临时公私钥对Pa和Ka； 0033。

17、【206】主叫终端解密得到会话密钥后，通过业务请求消息(Service Request Message)中的业务类型(SO)字段，发送进入加密通话请求给BSS； 0034 【207】BSS发送业务连接消息(Service Connect Message)回应终端； 0035 【208】主叫终端发送业务连接完成消息(Service Connect Complete)给BSS； 0036 【209】进入加密通话，主被叫所有成员终端在通话过程中都使用同一会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。如果密话建立失败，则呼叫结束，终端回到待机界面。 0037 如图3所示，被叫终端信令流。

18、程如下： 0038 【301】被叫终端启动普通集群呼叫流程，建立空口业务信道，在普通集群呼叫建立完成之前，插入如下302-308步骤的建立加密呼叫； 0039 【30 2】KDS通过BSS发送被叫加密通知消息给被叫终端； 0040 【303】被叫终端产生一对临时公私钥对Pb和Kb，通过BSS发送被叫密钥请求消息给KDS，该消息中携带Pb，部分内容用KDS公钥加密，可将其中的模式标记参数置0表示使用自动方式； 0041 【304】KDS通过BSS给被叫终端发送被叫密钥响应消息，该消息中携带会话密钥，部分内容先用Pb加密，再用KDS私钥签名； 0042 【305】被叫终端用KDS公钥对被叫。

19、密钥响应消息进行签名验证，验证通过后，再利用临时私钥Kb解密得到会话密钥，同时销毁临时公私钥对Pb和Kb； 0043 【306】被叫终端解密得到会话密钥后，通过业务请求消息中的业务类型字段，发送进入加密通话请求给BSS； 0044 【307】BSS发送业务连接消息回应终端； 0045 【308】被叫终端发送业务连接完成消息给BSS； 0046 【309】被叫进入加密通话，主被叫所有成员终端在通话过程中都使用同一会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。如果密话建立失败，则呼叫结束，终端回到待机界面。 0047 实施例二 0048 本实施例是手动方式发起加密集群呼叫：普通集。

20、群呼叫发起终端呼叫属性设置为说明书CN 102843675 A 4/5页 6 普通，发起普通集群呼叫后，任何一集群呼叫成员在通话过程中按加密通话键(或者操作菜单)后，经过密钥协商后，建立加密集群呼叫。具体为：主被叫所有成员终端在加密呼叫建立过程中分别通过基站子系统BBS向KDS获取本次加密通话的会话密钥，主被叫所有成员终端分别向BBS发送进入加密通话请求，建立加密呼叫；进入加密通话后，主被叫所有成员终端在通话过程中都使用会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。 0049 如图4所示，主叫终端信令流程如下： 0050 【401】主被叫终端建立明文(普通)通话； 0。

21、051 【402】主叫终端上按下加密通话键(或者操作菜单)； 0052 【403】主叫终端产生一对临时公私钥对Pa和Ka，通过BSS发送主叫密钥请求消息给KDS，该消息中携带Pa，部分内容用KDS公钥加密，可将其中的模式标记参数要求置1表示使用手动方式； 0053 【404】KDS调用密码机的密钥生成函数产生本次通话的会话密钥，通过BSS发送主叫密钥响应消息给主叫终端，该消息中携带会话密钥，部分内容先用Pa加密，再用KDS私钥签名； 0054 【405】主叫终端用KDS公钥对主叫密钥响应消息进行签名验证，验证通过后，再利用临时私钥Ka解密得到会话密钥，同时销毁临时公私钥对Pa和Ka；。

22、 0055 【406】主叫终端解密得到会话密钥后，通过业务请求消息(Service Request Message)中的业务类型(SO)字段，发送进入加密通话请求给BSS； 0056 【407】BSS发送业务连接消息回应终端； 0057 【408】主叫终端发送业务连接完成消息给BSS； 0058 【409】主叫进入加密通话，主被叫所有成员终端在通话过程中都使用同一会话密钥对发送的语音帧进行加密，对接收的语音帧进行解密。如果密话建立失败，则回退到原来的普通通话。 0059 如图5所示，被叫终端信令流程如下： 0060 【501】主被叫终端建立明文(普通)通话； 0061 【502】KDS通过。

23、BSS发送被叫加密通知消息给被叫终端； 0062 【503】被叫终端产生一对临时公私钥对Pb和Kb，通过BSS发送被叫密钥请求消息给KDS，该消息中携带Pb，部分内容用KDS公钥加密，可将其中的模式标记参数要求置1表示使用手动方式； 0063 【504】KDS通过BSS给被叫终端发送被叫密钥响应消息，该消息中携带会话密钥，部分内容先用Pb加密，再用KDS私钥签名； 0064 【505】被叫终端用KDS公钥对被叫密钥响应消息进行签名验证，验证通过后，再利用临时私钥Kb解密得到会话密钥，同时销毁临时公私钥对Pb和Kb； 0065 【506】被叫终端解密得到会话密钥后，通过业务请求消息中的业。

24、务类型字段，发送进入加密通话请求给BSS； 0066 【507】BSS发送业务连接消息回应终端； 0067 【508】被叫终端发送业务连接完成消息给BSS； 0068 【509】被叫进入加密通话，主被叫所有成员终端在通话过程中都使用会话密钥对说明书CN 102843675 A 5/5页 7 发送的语音帧进行加密，对接收的语音帧进行解密。如果密话建立失败，则回退到原来的普通通话。 0069 如图6所示，本发明实施例提供的加密集群终端，与普通集群终端相比，在声码器与信道及射频处理之间，加入了一个加解密模块。加解密模块获取KDS通过主/被叫密钥响应消息下发的本次加密通话会话密钥。集群终。

25、端作为发送端时，模拟语音信号经采样、量化、编码之后输送到声码器，加密模块对声码器输出的信号使用会话密钥进行加密，加密后传输给信道及射频处理模块，经信道及射频处理模块发送给网络侧；在群终端作为接收端时，经从信道及射频模块接收的语音帧是加密帧，加解密模块对加密帧使用会话密钥进行解密，解密后传输给声码器，经过数模转换后最终输出到发声设备(扬声器、耳机或听筒) 进行播放。 0070 优选地，终端中设置了呼叫属性选择，用于指定进行普通呼叫或加密呼叫。 0071 如图7所示，本发明实施例提供的加密集群通信系统，与普通集群通信系统相比，增加了KDS。KDS接收到主叫终端的密钥请求消息后产生本次加密。

26、通话的会话密钥，并通过主/被叫密钥响应消息将所述会话密钥加密后下发给所有群呼成员终端。对于GOTA集群系统而言，KDS可以和PDS在同一个网元节点上实现。为了保证安全性，采取一次一密的方式，终端每次保密通话使用的Ks都不相同，并且每次下发给终端的会话密钥都采用终端临时公钥加密。 0072 优选地，会话密钥由KDS调用密码机的密钥生成函数产生。 0073 上述说明示出并描述了本发明的一个优选实施例，但如前所述，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述发明构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。说明书CN 102843675 A 1/4页 8 图1 图2 说明书附图CN 102843675 A 2/4页 9 图3 图4 说明书附图CN 102843675 A 3/4页 10 图5 图6 说明书附图CN 102843675 A 10 4/4页 11 图7 说明书附图CN 102843675 A 11 。

展开阅读全文