搜索
世界触手可及加密通信中国电信集团公司网络运行维护事业部2015年5月让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部通过本课程的学习,掌握以下内容:了解加密通信的业务功能;熟悉加密通信的业务平台系统;熟悉加密通信的业务流程;了解加密通信业务应急方案;初步具备加密通信故障定位和处理的能力。课程目标让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部加密通信的业务功能加密通信的业务平台系统加密通信的业务流程加密通信业务平台的应急方案故障处理案例课程总体思路图本课程目的是:提升分公司政企客户支撑人员对加密通信产品的支撑技能课程思路让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部提纲加密通信业务功能加密通信平台介绍加密通信应急方案故障处理指引加密通信业务流程让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部业务概述加密通信业务是基于中国电信CDMA移动通信网络和安全管理平台,通过为客户特别定制的、内置国家密码管理局指配加密算法的专用手机终端,利用商用密码技术和信息安全技术,向客户提供端到端手机通话加密、基于终端的个人信息保护和丢失手机安全保护等安全服务。让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部业务功能业务功能说明加密通话功能手动模式双方先建立普通(明文)通话,然后各自按下加密通话键,进入加密通话自动模式主叫方在起呼时直接选择加密通话,发起加密呼叫,如被叫也是本业务用户,则被叫接听后,双方进行加密通话信息安全保护功能安全设置用户对本地安全功能进行设置,如安全模式开闭、设定加密联系人、设定安全模式密码等密码清空对于安全模式密码,用户忘记或连续输错的场景下,用户可向中国电信申请远程对密码清空丢失手机信息保护当手机丢失后,只要当前手机是开机在网状态,能远程对手机上的隐私信息进行擦除操作,用户可申请远程对手机进行丢失手机信息保护(由于短信指令反馈机制方面的原因,不能承诺100%能完全擦除)说明:加密通信业务适用于个人隐私、商业秘密等非国家秘密信息的话音加密传输。端到端全程加密一话一密更安全国家商密级认证语音加密更放心专用手机功能强资料信息可隐藏手机遗失不用急远程指令可擦除1234国内独家提供商密级语音加密业务、拥有国家密码管理局唯一认证资质端到端全程密文传送,随机密钥,一次通话一个密钥隐藏特定联系人的通讯录和通话记录等资料信息远程指令擦除存放在手机上的联系人的通讯录和通话记录等资料信息,可以恢复到出厂设置核心卖点让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部业务原理(1)中国电信cdma20001X安全通信产品是利用密码技术、信息安全技术实现对手机话音通信信息的加密,从而提高客户移动通信的安全性。1X安全通信产品适用于主被叫用户皆为中国电信CDMA移动用户的情况,且用户都使用由中国电信定制的具备加密功能的终端。中国电信cdma20001X安全通信产品主要针对政企客户及有加密产品需求的大中型企业客户,提供民用级端到端的语音加密服务。该产品在中国电信CDMA移动网络内,保证端到端语音保密,不管是在空口传输还是核心网络内,整个端到端通道传输的都是加密语音,提供了最大程度的民用级通信保密。系统架构图让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部业务原理(2)主要功能模块端加解密功能主要完成语音的加解密功能,在发送端对声码器输出的语音编码码流(EVRC码流)进行加密之后传输给下一个处理模块,在接收段对传给声码器的EVRC码流进行首先解密然后再解编码。另外,还负责与KMC(密钥管理中心)的会话密钥协商,通过安全的方式获得每次通话的会话密钥。网络透传及控制主要在控制面和媒体面保证经过加密的语音码流不被进行处理(如编解码转换,回声抵消等),从而在接收端可以正确的加密和解码。涉及到的网元包括BSC以及所有中间的媒体传输节点。密钥的分发和控制考虑到实现的复杂度,国家对密码的管理规定,目前的加密算法使用的是国有SMS4算法(属于对称分组密码算法),为了能够正确的实现加解密,通信的双方必须有一个相同的密钥来对语音码流进行加解密。在此、引入一个新的网元KMC,KMC的作用主要是负责通信中密钥的分发以及多用户的密钥管理,以及对用户加密权限的验证等。本系统使用一次通话一个密钥的方法,密钥通过KMC在用户触发加密请求的时候使用公钥密码体制安全的下发给通信的双方。让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部提纲加密通信业务功能加密通信平台介绍加密通信应急方案故障处理指引加密通信业务流程让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部网络架构组织LMSDTDMCSBSSBSSMSBTSBSCMSC/VLRHLR/ACKMCMSBTSBSCA2CMSCe/VLRMGWA1pA2p39/XXHLRe/ACMAPMSCe/VLRMGW39/XXZZYYMAPQ’MSC/VLRCQEA1A2AC鉴权中心基站子系统MSC移动交换中心HLR归属位置寄存器VLR拜访位置寄存器KMC密钥管理中心MGW移动媒体网关媒体信令BSS注:IT系统A1MCMNN’MCMMC短信中心NQN’Q’Q’QKMC以标准的MAP消息与短消息中心、HLR、MSC连接。KMC与IT系统相连,以实现用户业务开通以及计费。让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部会话密钥KsKs是由KMC调用密码机的密钥生成函数产生的,供某一次会话中双方终端对语音进行加解密的会话密钥。会话密钥Ks的长度为128bits。一话一密。让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部KMC公私钥对K0与Kp终端利用公钥K0对发送给KMC的关键信息进行加密保护。KMC用私钥Kp对发送给终端的消息进行签名,终端用K0进行签名验证。KMC将版本号及公钥提供给终端厂商,预置与出厂加密通信终端。KMC支持对公私密钥进行更新。KMC的公私钥对由密码机产生,并完成涉及KMC公私钥的密码运算。公钥K0长度为48字节,私钥Kp长度24字节让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部终端临时公私钥对Pa/Pb与Ka/KbPa与Ka为主叫终端临时产生的公私钥对终端在发送给KMC的消息中携带了PaKMC用Pa对会话密钥Ks进行加密之后下发给终端终端用Ka解密获得会话密钥Ks。Pa与Ka在用户下一次发起密话请求时由新的临时公私钥对替换。让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部加密终端的实现加密模块实现逻辑会话密钥协商与KMC的相互认证控制面的认证和密钥协商媒体面的加解密功能让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部会话密钥协商当次加密通话结束后,终端销毁本次所用的会话密钥及临时公私钥对终端与KMC之间的消息交互通过特殊的短信实现每次发起密话请求前,终端自动产生一对临时公私钥。向KMC发起密钥请求,携带自身公钥等信息当KMC完成用户认证后,产生会话密钥,并进行加密和签名处理后下发给终端终端接收后进行解密和签名验证,然后获得会话密钥。让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部KMC对用户和终端的认证与鉴权KMC根据用户的MDN,查询用户的签约属性。根据用户的MDN,获取IMSI与MEID。对终端绑定的用户,若IMSI和MEID与KMC保存的用户数据匹配,则用户鉴权通过;若不匹配,则下发错误消息。让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部终端对KMC的认证KMC在向终端下发消息时,利用私钥Kp对消息的内容做了签名处理,并将生成的签名字段与消息一起下发给终端。终端在收到消息之后,利用本地保存的KMC公钥K0对消息进行签名验证。让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部媒体面的加解密功能获得会话密钥之后,终端利用得到的会话密钥对语音编码码流进行加解密。⑤声码器⑥加密模块②信道及射频处理普通语音加密语音①基带③电源管理④外围器件语音对称密码算法加解密:终端通过加载加密算法,在话音经过数字语音编码之后对编码码流进行加密,从而实现对语音的加密。在接收端通过在话音解码器之前先引入解密软件实现解密加(解)密模块通过固件方式实现让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部KMC的功能用户数据的存储合法终端设备标识存储KMC公私钥版本管理会话密钥Ks的生成和管理密钥协商短信KMC签名信息KMC对用户和终端的认证与鉴权KMC公钥更新KMC远程控制让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部用户数据MDN、IMSI、MIN、ESN、MEID业务签约状态永久数据开通状态绑定状态终端类型:ESNMEID临时数据临时公钥让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部合法终端设备标识存储如用户IMSI和终端HardwareID不绑定,需检查HardwareID是否合法白名单储存合法终端的HardwareID信息黑名单储存非法终端的HardwareID信息HardwareID可以手动单个输入及批量输入让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部KMC公私钥版本管理KMC使用的第一对公私钥版本号为0,并将版本号及公钥提供给终端厂商,预置于出厂的加密通信终端。KMC支持对公私密钥进行定期或不定期的更新。KMC公私钥版本号长度8bits,KMC的公私钥每次更新时,版本号加1。公私钥版本号从1到255,循环更新。让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部会话密钥Ks的生成和管理KMC接收到密钥请求信息后,调用密码机会话密钥生成函数接口,获得其随机产生一个会话密钥Ks,实现一话一密。KMC对每次产生的会话密钥Ks,利用当前KMC私钥,调用密码机对称密码算法加密保存。会话密钥Ks存储于独立的存储空间,物理/逻辑上与KMC其他管理功能独立。让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部密钥协商短信手动模式用户先建立一个普通明话通话,之后双方约定同时通过按键操作申请进入密话通话自动模式用户在发起呼叫前,提供菜单或特殊按键供用户选择直接进入密话通话让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部KMC签名信息KMC通过自己的私钥调用密码机函数接口获得签名信息,并在密钥响应消息中下发给终端让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部KMC对用户和终端的认证与鉴权KMC根据用户的MDN,查询用户的签约属性。根据用户的MDN,获取IMSI与MEID。对终端绑定的用户,若IMSI和MEID与KMC保存的用户数据匹配,则用户鉴权通过;若不匹配,则下发错误消息。对终端未绑定的用户,KMC查询用户的MEID是否位于MEID白名单/黑名单中。若在白名单,则用户鉴权通过;若白名单未查询到,或在黑名单,则下发错误消息让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部KMC公钥更新KMC设备有操作界面,允许管理员手工发起KMC公私钥对更新KMC支持公私钥对的定期或不定期更新KMC的公私钥对更新后,主动发起公钥更新流程KMC收到终端的密钥请求消息,发现KMC公钥版本不一致,发起公钥更新流程让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部KMC远程控制KMC支持通过远程控制指令对终端进行安全信息擦除、终端安全密码重置等操作通过KMC的操作界面,允许管理员手工发起远程控制指令通过与CRM的接口,执行接口指令,发起相应的远程控制操作发送短信失败,可累计重发控制指令3次让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部提纲加密通信业务功能加密通信平台介绍加密通信应急方案故障处理案例加密通信业务流程让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部语音媒体透传基站、基站控制器和核心网设备(MSC、MGW)都不做任何语音编解码处