中国电信产品维护经理认证体系培训-加密通信.ppt
《中国电信产品维护经理认证体系培训-加密通信.ppt》由会员分享,可在线阅读,更多相关《中国电信产品维护经理认证体系培训-加密通信.ppt(68页珍藏版)》请在冰豆网上搜索。
世界触手可及加密通信加密通信中国电信集团公司网络运行维护事业部2015年5月让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部通通过本本课程的学程的学习,掌握以下内容:
,掌握以下内容:
了解加密通信的了解加密通信的业务功能;功能;熟悉加密通信的熟悉加密通信的业务平台系平台系统;熟悉加密通信的熟悉加密通信的业务流程;流程;了解加密通信了解加密通信业务应急方案;急方案;初步具初步具备加密通信故障定位和加密通信故障定位和处理的能力。
理的能力。
课程目程目标让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部加密通信的加密通信的业务功能业务功能加密通信的业加密通信的业务平台系统务平台系统加密通信的加密通信的业务流程业务流程加密通信业务平加密通信业务平台的应急方案台的应急方案故障处理案例故障处理案例课课程程总总体体思思路路图图本课程目的是:
提升分公司政企客户支撑人员对加密通信产品的支撑技能课程思路课程思路让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部提提纲加密通信业务功能加密通信业务功能加密通信平台介绍加密通信平台介绍1.加密通信应急方案加密通信应急方案故障处理指引故障处理指引加密通信业务流程加密通信业务流程让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部业务概述业务概述加密通信业务加密通信业务是基于中国电信CDMA移动通信网络和安全管理平台,通过为客户特别定制的、内置国家密码管理局指配加密算法的专用手机终端,利用商用密码技术和信息安全技术,向客户提供端到端手机通话加密、基于终端的个人信息保护和丢失手机安全保护等安全服务。
让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部业务功能业务功能业务功能说明加密通话加密通话功能功能手动模式双方先建立普通(明文)通话,然后各自按下加密通话键,进入加密通话自动模式主叫方在起呼时直接选择加密通话,发起加密呼叫,如被叫也是本业务用户,则被叫接听后,双方进行加密通话信息安全信息安全保护功能保护功能安全设置用户对本地安全功能进行设置,如安全模式开闭、设定加密联系人、设定安全模式密码等密码清空对于安全模式密码,用户忘记或连续输错的场景下,用户可向中国电信申请远程对密码清空丢失手机信息保护当手机丢失后,只要当前手机是开机在网状态,能远程对手机上的隐私信息进行擦除操作,用户可申请远程对手机进行丢失手机信息保护(由于短信指令反馈机制方面的原因,不能承诺100%能完全擦除)说明:
加密通信业务适用于个人隐私、商业秘密等非国家秘密信息的话音加密传输。
端到端全程加密一话一密更安全国家商密级认证语音加密更放心专用手机功能强资料信息可隐藏手机遗失不用急远程指令可擦除1111222233334444国内独家提供商密级语音加密业务、拥有国家密码管理局唯一认证资质端到端全程密文传送,随机密钥,一次通话一个密钥隐藏特定联系人的通讯录和通话记录等资料信息远程指令擦除存放在手机上的联系人的通讯录和通话记录等资料信息,可以恢复到出厂设置核心卖点让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部业务原理(业务原理(11)中国电信cdma20001X安全通信产品是利用密码技术、信息安全技术实现对手机话音通信信息的加密,从而提高客户移动通信的安全性。
1X安全通信产品适用于主被叫用户皆为中国电信CDMA移动用户的情况,且用户都使用由中国电信定制的具备加密功能的终端。
中国电信cdma20001X安全通信产品主要针对政企客户及有加密产品需求的大中型企业客户,提供民用级端到端的语音加密服务。
该产品在中国电信CDMA移动网络内,保证端到端语音保密,不管是在空口传输还是核心网络内,整个端到端通道传输的都是加密语音,提供了最大程度的民用级通信保密。
系统架构图系统架构图让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部业务原理(业务原理(22)主要功能模块主要功能模块端加解端加解端加解端加解密功能密功能密功能密功能主要完成语音的加解密功能,在发送端对声码器输出的语音编码码流(EVRC码流)进行加密之后传输给下一个处理模块,在接收段对传给声码器的EVRC码流进行首先解密然后再解编码。
另外,还负责与KMC(密钥管理中心)的会话密钥协商,通过安全的方式获得每次通话的会话密钥。
网络透网络透网络透网络透传及控制传及控制传及控制传及控制主要在控制面和媒体面保证经过加密的语音码流不被进行处理(如编解码转换,回声抵消等),从而在接收端可以正确的加密和解码。
涉及到的网元包括BSC以及所有中间的媒体传输节点。
密钥的分密钥的分密钥的分密钥的分发和控制发和控制发和控制发和控制考虑到实现的复杂度,国家对密码的管理规定,目前的加密算法使用的是国有SMS4算法(属于对称分组密码算法),为了能够正确的实现加解密,通信的双方必须有一个相同的密钥来对语音码流进行加解密。
在此、引入一个新的网元KMC,KMC的作用主要是负责通信中密钥的分发以及多用户的密钥管理,以及对用户加密权限的验证等。
本系统使用一次通话一个密钥的方法,密钥通过KMC在用户触发加密请求的时候使用公钥密码体制安全的下发给通信的双方。
让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部提提纲加密通信业务功能加密通信业务功能加密通信平台介绍加密通信平台介绍1.加密通信应急方案加密通信应急方案故障处理指引故障处理指引加密通信业务流程加密通信业务流程让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部网络架构组织网络架构组织lKMCKMC以标准的以标准的MAPMAP消息与短消息中心、消息与短消息中心、HLRHLR、MSCMSC连接。
连接。
lKMCKMC与与ITIT系统相连,以实现用户业务开通以及计费。
系统相连,以实现用户业务开通以及计费。
让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部会话密钥会话密钥KsKsKsKs是由是由KMCKMC调用密码机的密钥生成调用密码机的密钥生成函数产生的,供某一次会话中双方函数产生的,供某一次会话中双方终端对语音进行加解密的会话密钥终端对语音进行加解密的会话密钥。
会话密钥会话密钥KsKs的长度为的长度为128bits128bits。
一话一密。
一话一密。
让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部KMCKMC公私钥对公私钥对K0K0与与KpKp终端利用公钥终端利用公钥K0K0对发送给对发送给KMCKMC的关键信息进行加密保护。
的关键信息进行加密保护。
KMCKMC用私钥用私钥KpKp对发送给终端的消息进行签名,终端用对发送给终端的消息进行签名,终端用K0K0进行签名验证进行签名验证。
KMCKMC将版本号及公钥提供给终端厂商,预置与出厂加密通信终端。
将版本号及公钥提供给终端厂商,预置与出厂加密通信终端。
KMCKMC支持对公私密钥进行更新支持对公私密钥进行更新。
KMCKMC的公私钥对由密码机产生,并完成涉及的公私钥对由密码机产生,并完成涉及KMCKMC公私钥的密码运算。
公私钥的密码运算。
公钥公钥K0K0长度为长度为4848字节,私钥字节,私钥KpKp长度长度2424字节字节让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部终端临时公私钥对终端临时公私钥对Pa/PbPa/Pb与与Ka/KbKa/KbPaPa与与KaKa为主叫终端临时产生的公私钥对为主叫终端临时产生的公私钥对终端在发送给终端在发送给KMCKMC的消息中携带了的消息中携带了PaPaKMCKMC用用PaPa对会话密钥对会话密钥KsKs进行加密之后下发给终端进行加密之后下发给终端终端用终端用KaKa解密获得会话密钥解密获得会话密钥KsKs。
PaPa与与KaKa在用户下一次发起密话请求时由新的临时公私钥对替换在用户下一次发起密话请求时由新的临时公私钥对替换。
让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部加密终端的实现加密终端的实现加密模块实现逻辑会话密钥协商与KMC的相互认证控制面的认证和密钥协商控制面的认证和密钥协商媒体面的加解密功能媒体面的加解密功能让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部会话密钥协商会话密钥协商当次加密通话结束后,终端销毁本次所用的会话密钥及临时公私钥对当次加密通话结束后,终端销毁本次所用的会话密钥及临时公私钥对终端与终端与KMCKMC之间的消息交互通过特殊的短信实现之间的消息交互通过特殊的短信实现每次发起密话请求前,终端自动产生一对临时公私钥。
向每次发起密话请求前,终端自动产生一对临时公私钥。
向KMCKMC发起发起密钥请求,携带自身公钥等信息密钥请求,携带自身公钥等信息当当KMCKMC完成用户认证后,产生会话密钥,并进行加密和签名处理后完成用户认证后,产生会话密钥,并进行加密和签名处理后下发给终端下发给终端终端接收后进行解密和签名验证,然后获得会话密钥。
终端接收后进行解密和签名验证,然后获得会话密钥。
让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部KMCKMC对用户和终端的认证与鉴权对用户和终端的认证与鉴权lKMCKMC根据用户的根据用户的MDNMDN,查询用户的签约属性,查询用户的签约属性。
l根据用户的根据用户的MDNMDN,获取,获取IMSIIMSI与与MEIDMEID。
对终端绑定的用。
对终端绑定的用户,若户,若IMSIIMSI和和MEIDMEID与与KMCKMC保存的用户数据匹配,则用户保存的用户数据匹配,则用户鉴权通过;若不匹配,则下发错误消息鉴权通过;若不匹配,则下发错误消息。
让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部终端对终端对KMCKMC的认证的认证KMCKMC在向终端下发消息时,利用私钥在向终端下发消息时,利用私钥KpKp对消息的内容做了签名处理,并对消息的内容做了签名处理,并将生成的签名字段与消息一起下发给终端。
将生成的签名字段与消息一起下发给终端。
终端在收到消息之后,利用本地保存的终端在收到消息之后,利用本地保存的KMCKMC公钥公钥K0K0对消息进行签名验证。
对消息进行签名验证。
让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部媒体面的加解密功能媒体面的加解密功能获得会话密钥之后,终端利用得到的获得会话密钥之后,终端利用得到的会话密钥对语音编码码流进行加解密。
会话密钥对语音编码码流进行加解密。
语音对称密码算法加解密:
终端通过加载加密算法,在话音经过数字语音编码之后对编码码流语音对称密码算法加解密:
终端通过加载加密算法,在话音经过数字语音编码之后对编码码流进行加密,从而实现对语音的加密。
在接收端通过在话音解码器之前先引入解密软件实现解密进行加密,从而实现对语音的加密。
在接收端通过在话音解码器之前先引入解密软件实现解密加(解)密模块通过固件方式实现加(解)密模块通过固件方式实现让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部KMCKMC的功能的功能用户数据的存储用户数据的存储合法终端设备标识存储合法终端设备标识存储KMCKMC公私钥版本管理公私钥版本管理会话密钥会话密钥KsKs的生成和管理的生成和管理密钥协商短信密钥协商短信KMCKMC签名信息签名信息KMCKMC对用户和终端的认证与鉴权对用户和终端的认证与鉴权KMCKMC公钥更新公钥更新KMCKMC远程控制远程控制让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部用户数据用户数据lMDNMDN、IMSIIMSI、MINMIN、ESNESN、MEIDMEIDl业务签约状态业务签约状态永久数据永久数据开通状态开通状态绑定状态绑定状态终端类型:
终端类型:
ESNESNMEIDMEID临时数据临时数据l临时公钥临时公钥让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部合法终端设备标识存储合法终端设备标识存储如用户如用户如用户如用户IMSIIMSIIMSIIMSI和终端和终端和终端和终端HardwareIDHardwareIDHar
升级会员 