中國電信產(chǎn)品維護經(jīng)理認證體系培訓-加密通信

1、世界觸手可及加密通信加密通信中國電信集團公司網(wǎng)絡運行維護事業(yè)部2015年5月 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部通過本課程的學習，掌握以下內(nèi)容：通過本課程的學習，掌握以下內(nèi)容：了解加密通信的業(yè)務功能；了解加密通信的業(yè)務功能；熟悉加密通信的業(yè)務平臺系統(tǒng)；熟悉加密通信的業(yè)務平臺系統(tǒng)；熟悉加密通信的業(yè)務流程；熟悉加密通信的業(yè)務流程；了解加密通信業(yè)務應急方案；了解加密通信業(yè)務應急方案；初步具備加密通信故障定位和處理的能力。初步具備加密通信故障定位和處理的能力。課程目標課程目標 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部加密通信的加密通信的業(yè)務功能業(yè)務功能加密通信

2、的業(yè)加密通信的業(yè)務平臺系統(tǒng)務平臺系統(tǒng)加密通信的加密通信的業(yè)務流程業(yè)務流程加密通信業(yè)務平加密通信業(yè)務平臺的應急方案臺的應急方案故障處理案例故障處理案例 課課程程總總體體思思路路圖圖本課程目的是：提升分公司政企客戶支撐人員對加密通信產(chǎn)品的支撐技能課程思路課程思路 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部提綱提綱加密通信業(yè)務功能加密通信業(yè)務功能加密通信平臺介紹加密通信平臺介紹加密通信應急方案加密通信應急方案故障處理指引故障處理指引加密通信業(yè)務流程加密通信業(yè)務流程 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部業(yè)務概述業(yè)務概述 加密通信業(yè)務加密通信業(yè)務是基于中國電信CDM

3、A移動通信網(wǎng)絡和安全管理平臺，通過為客戶特別定制的、內(nèi)置國家密碼管理局指配加密算法的專用手機終端，利用商用密碼技術和信息安全技術，向客戶提供端到端手機通話加密、基于終端的個人信息保護和丟失手機安全保護等安全服務。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部業(yè)務功能業(yè)務功能業(yè)務功能說 明加密通話加密通話功能功能手動模式雙方先建立普通（明文）通話，然后各自按下加密通話鍵，進入加密通話自動模式主叫方在起呼時直接選擇加密通話，發(fā)起加密呼叫，如被叫也是本業(yè)務用戶，則被叫接聽后，雙方進行加密通話信息安全信息安全保護功能保護功能安全設置用戶對本地安全功能進行設置，如安全模式開閉、設定加密聯(lián)系

4、人、設定安全模式密碼等密碼清空對于安全模式密碼，用戶忘記或連續(xù)輸錯的場景下，用戶可向中國電信申請遠程對密碼清空丟失手機信息保護當手機丟失后，只要當前手機是開機在網(wǎng)狀態(tài)，能遠程對手機上的隱私信息進行擦除操作，用戶可申請遠程對手機進行丟失手機信息保護(由于短信指令反饋機制方面的原因，不能承諾100%能完全擦除)說明：加密通信業(yè)務適用于個人隱私、商業(yè)秘密等非國家秘密信息的話音加密傳輸。端到端全程加密一話一密更安全國家商密級認證語音加密更放心專用手機功能強資料信息可隱藏手機遺失不用急遠程指令可擦除國內(nèi)獨家提供商密級語音加密業(yè)務、擁有國家密碼管理局唯一認證資質(zhì)端到端全程密文傳送，隨機密鑰，一次通話一個密

5、鑰隱藏特定聯(lián)系人的通訊錄和通話記錄等資料信息遠程指令擦除存放在手機上的聯(lián)系人的通訊錄和通話記錄等資料信息,可以恢復到出廠設置核心賣點 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部業(yè)務原理（業(yè)務原理（1 1） 中國電信cdma2000 1X安全通信產(chǎn)品是利用密碼技術、信息安全技術實現(xiàn)對手機話音通信信息的加密，從而提高客戶移動通信的安全性。 1X安全通信產(chǎn)品適用于主被叫用戶皆為中國電信CDMA移動用戶的情況，且用戶都使用由中國電信定制的具備加密功能的終端。 中國電信cdma2000 1X安全通信產(chǎn)品主要針對政企客戶及有加密產(chǎn)品需求的大中型企業(yè)客戶，提供民用級端到端的語音加密服務。 該

6、產(chǎn)品在中國電信CDMA移動網(wǎng)絡內(nèi)，保證端到端語音保密，不管是在空口傳輸還是核心網(wǎng)絡內(nèi)，整個端到端通道傳輸?shù)亩际羌用苷Z音，提供了最大程度的民用級通信保密。 系統(tǒng)架構(gòu)圖系統(tǒng)架構(gòu)圖 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部業(yè)務原理（業(yè)務原理（2 2）主要功能模塊主要功能模塊主要完成語音的加解密功能，在發(fā)送端對聲碼器輸出的語音編碼碼流（EVRC碼流）進行加密之后傳輸給下一個處理模塊，在接收段對傳給聲碼器的EVRC碼流進行首先解密然后再解編碼。另外，還負責與KMC（密鑰管理中心）的會話密鑰協(xié)商，通過安全的方式獲得每次通話的會話密鑰。主要在控制面和媒體面保證經(jīng)過加密的語音碼流不被進行處理

7、（如編解碼轉(zhuǎn)換，回聲抵消等），從而在接收端可以正確的加密和解碼。涉及到的網(wǎng)元包括BSC以及所有中間的媒體傳輸節(jié)點?？紤]到實現(xiàn)的復雜度，國家對密碼的管理規(guī)定，目前的加密算法使用的是國有SMS4算法（屬于對稱分組密碼算法），為了能夠正確的實現(xiàn)加解密，通信的雙方必須有一個相同的密鑰來對語音碼流進行加解密。在此、引入一個新的網(wǎng)元KMC，KMC的作用主要是負責通信中密鑰的分發(fā)以及多用戶的密鑰管理，以及對用戶加密權(quán)限的驗證等。本系統(tǒng)使用一次通話一個密鑰的方法，密鑰通過KMC在用戶觸發(fā)加密請求的時候使用公鑰密碼體制安全的下發(fā)給通信的雙方。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部提綱提綱加

8、密通信業(yè)務功能加密通信業(yè)務功能加密通信平臺介紹加密通信平臺介紹加密通信應急方案加密通信應急方案故障處理指引故障處理指引加密通信業(yè)務流程加密通信業(yè)務流程 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部網(wǎng)絡架構(gòu)組織網(wǎng)絡架構(gòu)組織 lKMCKMC以標準的以標準的MAPMAP消息與短消息中心、消息與短消息中心、HLRHLR、MSCMSC連接。連接。 lKMCKMC與與IT IT系統(tǒng)相連，以實現(xiàn)用戶業(yè)務開通以及計費。系統(tǒng)相連，以實現(xiàn)用戶業(yè)務開通以及計費。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部會話密鑰會話密鑰Ks Ks Ks Ks是由是由KMCKMC調(diào)用密碼機的密鑰生成調(diào)用

9、密碼機的密鑰生成函數(shù)產(chǎn)生的，供某一次會話中雙方函數(shù)產(chǎn)生的，供某一次會話中雙方終端對語音進行加解密的會話密鑰終端對語音進行加解密的會話密鑰 。 會話密鑰會話密鑰KsKs的長度為的長度為128bits128bits。 一話一密。一話一密。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部KMCKMC公私鑰對公私鑰對K0K0與與Kp Kp 終端利用公鑰終端利用公鑰K0K0對發(fā)送給對發(fā)送給KMCKMC的關鍵信息進行加密保護。的關鍵信息進行加密保護。 KMCKMC用私鑰用私鑰KpKp對發(fā)送給終端的消息進行簽名，終端用對發(fā)送給終端的消息進行簽名，終端用K0K0進行簽名驗證進行簽名驗證 。 KMC

10、KMC將版本號及公鑰提供給終端廠商，預置與出廠加密通信終端。將版本號及公鑰提供給終端廠商，預置與出廠加密通信終端。 KMCKMC支持對公私密鑰進行更新支持對公私密鑰進行更新 。 KMCKMC的公私鑰對由密碼機產(chǎn)生，并完成涉及的公私鑰對由密碼機產(chǎn)生，并完成涉及KMCKMC公私鑰的密碼運算。公私鑰的密碼運算。 公鑰公鑰K0K0長度為長度為4848字節(jié)，私鑰字節(jié)，私鑰KpKp長度長度2424字節(jié)字節(jié) 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部終端臨時公私鑰對終端臨時公私鑰對Pa/PbPa/Pb與與Ka/Kb Ka/Kb PaPa與與KaKa為主叫終端臨時產(chǎn)生的公私鑰對為主叫終端臨時產(chǎn)

11、生的公私鑰對 終端在發(fā)送給終端在發(fā)送給KMCKMC的消息中攜帶了的消息中攜帶了Pa Pa KMCKMC用用PaPa對會話密鑰對會話密鑰KsKs進行加密之后下發(fā)給終端進行加密之后下發(fā)給終端 終端用終端用KaKa解密獲得會話密鑰解密獲得會話密鑰KsKs。 PaPa與與KaKa在用戶下一次發(fā)起密話請求時由新的臨時公私鑰對替換在用戶下一次發(fā)起密話請求時由新的臨時公私鑰對替換 。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部加密終端的實現(xiàn)加密終端的實現(xiàn) 加密模塊實現(xiàn)邏輯 會話密鑰協(xié)商 與KMC的相互認證控制面的認證和密鑰協(xié)商控制面的認證和密鑰協(xié)商媒體面的加解密功能媒體面的加解密功能 讓客戶

12、盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部會話密鑰協(xié)商會話密鑰協(xié)商 當次加密通話結(jié)束后，終端銷毀本次所用的會話密鑰及臨時公私鑰對當次加密通話結(jié)束后，終端銷毀本次所用的會話密鑰及臨時公私鑰對 終端與終端與KMCKMC之間的消息交互通過特殊的短信實現(xiàn)之間的消息交互通過特殊的短信實現(xiàn)每次發(fā)起密話請求前，終端自動產(chǎn)生一對臨時公私鑰。向每次發(fā)起密話請求前，終端自動產(chǎn)生一對臨時公私鑰。向KMCKMC發(fā)起發(fā)起密鑰請求，攜帶自身公鑰等信息密鑰請求，攜帶自身公鑰等信息 當當KMCKMC完成用戶認證后，產(chǎn)生會話密鑰，并進行加密和簽名處理后完成用戶認證后，產(chǎn)生會話密鑰，并進行加密和簽名處理后下發(fā)給終端下發(fā)

13、給終端 終端接收后進行解密和簽名驗證，然后獲得會話密鑰。終端接收后進行解密和簽名驗證，然后獲得會話密鑰。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部KMCKMC對用戶和終端的認證與鑒權(quán)對用戶和終端的認證與鑒權(quán) l KMC KMC根據(jù)用戶的根據(jù)用戶的MDNMDN，查詢用戶的簽約屬性，查詢用戶的簽約屬性 。l 根據(jù)用戶的根據(jù)用戶的MDNMDN，獲取，獲取IMSIIMSI與與MEIDMEID。對終端綁定的用。對終端綁定的用戶，若戶，若IMSIIMSI和和MEIDMEID與與KMCKMC保存的用戶數(shù)據(jù)匹配，則用戶保存的用戶數(shù)據(jù)匹配，則用戶鑒權(quán)通過；若不匹配，則下發(fā)錯誤消息鑒權(quán)通過；若不

14、匹配，則下發(fā)錯誤消息 。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部終端對終端對KMCKMC的認證的認證KMCKMC在向終端下發(fā)消息時，利用私鑰在向終端下發(fā)消息時，利用私鑰KpKp對消息的內(nèi)容做了簽名處理，并對消息的內(nèi)容做了簽名處理，并將生成的簽名字段與消息一起下發(fā)給終端。將生成的簽名字段與消息一起下發(fā)給終端。終端在收到消息之后，利用本地保存的終端在收到消息之后，利用本地保存的KMCKMC公鑰公鑰K0K0對消息進行簽名驗證。對消息進行簽名驗證。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部媒體面的加解密功能媒體面的加解密功能 獲得會話密鑰之后，終端利用得到的獲得會

15、話密鑰之后，終端利用得到的會話密鑰對語音編碼碼流進行加解密。會話密鑰對語音編碼碼流進行加解密。 聲聲 碼碼 器器 加加 密密 模模 塊塊 信信 道道 及及 射射頻頻 處處 理理普通語音加密語音 基帶 電電 源源 管管 理理 外外 圍圍 器器 件件語音對稱密碼算法加解密：終端通過加載加密算法，在話音經(jīng)過數(shù)字語音編碼之后對編碼碼流語音對稱密碼算法加解密：終端通過加載加密算法，在話音經(jīng)過數(shù)字語音編碼之后對編碼碼流進行加密，從而實現(xiàn)對語音的加密。在接收端通過在話音解碼器之前先引入解密軟件實現(xiàn)解密進行加密，從而實現(xiàn)對語音的加密。在接收端通過在話音解碼器之前先引入解密軟件實現(xiàn)解密 加（解）密模塊通過固件方

16、式實現(xiàn)加（解）密模塊通過固件方式實現(xiàn) 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部KMCKMC的功能的功能用戶數(shù)據(jù)的存儲用戶數(shù)據(jù)的存儲合法終端設備標識存儲合法終端設備標識存儲KMCKMC公私鑰版本管理公私鑰版本管理會話密鑰會話密鑰KsKs的生成和管理的生成和管理密鑰協(xié)商短信密鑰協(xié)商短信KMCKMC簽名信息簽名信息KMCKMC對用戶和終端的認證與鑒權(quán)對用戶和終端的認證與鑒權(quán)KMCKMC公鑰更新公鑰更新KMCKMC遠程控制遠程控制 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部用戶數(shù)據(jù)用戶數(shù)據(jù)l MDNMDN 、IMSIIMSI 、MINMIN 、ESNESN 、MEID

17、MEIDl 業(yè)務簽約狀態(tài)業(yè)務簽約狀態(tài) 永久數(shù)據(jù)永久數(shù)據(jù)開通狀態(tài)開通狀態(tài) 綁定狀態(tài)綁定狀態(tài) 終端類型：終端類型：ESNESN MEID MEID臨時數(shù)據(jù)臨時數(shù)據(jù)l 臨時公鑰臨時公鑰 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部合法終端設備標識存儲合法終端設備標識存儲 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部KMCKMC公私鑰版本管理公私鑰版本管理 lKMCKMC使用的第一對公私鑰版本號為使用的第一對公私鑰版本號為0 0，并將版本號及公鑰提供給終端廠，并將版本號及公鑰提供給終端廠商，預置于出廠的加密通信終端。商，預置于出廠的加密通信終端。l KMC KMC支持對公私

18、密鑰進行定期或不定期的更新支持對公私密鑰進行定期或不定期的更新 。l KMC KMC公私鑰版本號長度公私鑰版本號長度8bits8bits，KMCKMC的公私鑰每次更新時，版本號加的公私鑰每次更新時，版本號加1 1。公私鑰版本號從公私鑰版本號從1 1到到255255，循環(huán)更新，循環(huán)更新 。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部會話密鑰會話密鑰KsKs的生成和管理的生成和管理 KMCKMC接收到密鑰請求信息后，調(diào)用密碼機會話密鑰生成函數(shù)接口，獲得其接收到密鑰請求信息后，調(diào)用密碼機會話密鑰生成函數(shù)接口，獲得其隨機產(chǎn)生一個會話密鑰隨機產(chǎn)生一個會話密鑰KsKs，實現(xiàn)一話一密，實現(xiàn)一

19、話一密 。 KMC KMC對每次產(chǎn)生的會話密鑰對每次產(chǎn)生的會話密鑰KsKs，利用當前，利用當前KMCKMC私鑰，調(diào)用密碼機對稱密碼私鑰，調(diào)用密碼機對稱密碼算法加密保存算法加密保存 。會話密鑰會話密鑰KsKs存儲于獨立的存儲空間，物理存儲于獨立的存儲空間，物理/ /邏輯上與邏輯上與KMCKMC其他管理功能獨立其他管理功能獨立 。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部密鑰協(xié)商短信密鑰協(xié)商短信手動模式手動模式用戶先建立一個普通明話通話，之后雙方約定同時通過按鍵操作申請進入密話通話用戶先建立一個普通明話通話，之后雙方約定同時通過按鍵操作申請進入密話通話 自動模式自動模式用戶在發(fā)起

20、呼叫前，提供菜單或特殊按鍵供用戶選擇直接進入密話通話用戶在發(fā)起呼叫前，提供菜單或特殊按鍵供用戶選擇直接進入密話通話 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部KMCKMC簽名信息簽名信息 KMCKMC通過自己的私鑰調(diào)用密碼機函數(shù)接口獲得簽名信息，并在密鑰響應消息通過自己的私鑰調(diào)用密碼機函數(shù)接口獲得簽名信息，并在密鑰響應消息中下發(fā)給終端中下發(fā)給終端 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部KMCKMC對用戶和終端的認證與鑒權(quán)對用戶和終端的認證與鑒權(quán) KMC KMC根據(jù)用戶的根據(jù)用戶的MDNMDN，查詢用戶的簽約屬性，查詢用戶的簽約屬性 。 根據(jù)用戶的根據(jù)用戶的M

21、DNMDN，獲取，獲取IMSIIMSI與與MEIDMEID。對終端綁定的用戶，若。對終端綁定的用戶，若IMSIIMSI和和MEIDMEID與與KMCKMC保存的用戶數(shù)據(jù)匹配，則用戶鑒權(quán)通過；若不匹配，則下保存的用戶數(shù)據(jù)匹配，則用戶鑒權(quán)通過；若不匹配，則下發(fā)錯誤消息發(fā)錯誤消息 。 對終端未綁定的用戶，對終端未綁定的用戶，KMCKMC查詢用戶的查詢用戶的MEIDMEID是否位于是否位于MEIDMEID白名單白名單/ /黑名黑名單中。若在白名單，則用戶鑒權(quán)通過；若白名單未查詢到，或在黑名單，則單中。若在白名單，則用戶鑒權(quán)通過；若白名單未查詢到，或在黑名單，則下發(fā)錯誤消息下發(fā)錯誤消息 讓客戶盡情享受信

22、息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部KMCKMC公鑰更新公鑰更新 KMCKMC支持公私鑰對的定期或不定期更新支持公私鑰對的定期或不定期更新 KMCKMC的公私鑰對更新后，主動發(fā)起公鑰更新流程的公私鑰對更新后，主動發(fā)起公鑰更新流程 KMCKMC收到終端的密鑰請求消息，發(fā)現(xiàn)收到終端的密鑰請求消息，發(fā)現(xiàn)KMCKMC公鑰版本不一致，發(fā)起公鑰更新流程公鑰版本不一致，發(fā)起公鑰更新流程 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部KMCKMC遠程控制遠程控制 l KMC支持通過遠程控制指令對終端進行安全信息擦除、終端安全密支持通過遠程控制指令對終端進行安全信息擦除、終端安全密碼重置等操作

23、碼重置等操作 l 通過通過KMC的操作界面，允許管理員手工發(fā)起遠程控制指令的操作界面，允許管理員手工發(fā)起遠程控制指令l 通過與通過與CRM的接口，執(zhí)行接口指令，發(fā)起相應的遠程控制操作的接口，執(zhí)行接口指令，發(fā)起相應的遠程控制操作l發(fā)送短信失敗，可累計重發(fā)控制指令發(fā)送短信失敗，可累計重發(fā)控制指令3次次 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部提綱提綱加密通信業(yè)務功能加密通信業(yè)務功能加密通信平臺介紹加密通信平臺介紹加密通信應急方案加密通信應急方案故障處理案例故障處理案例加密通信業(yè)務流程加密通信業(yè)務流程 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部語音媒體透傳語音媒體透

24、傳基站、基站控制器和核心網(wǎng)設備（基站、基站控制器和核心網(wǎng)設備（MSCMSC、MGWMGW）都不做任何語音編解碼處理）都不做任何語音編解碼處理 網(wǎng)絡須全程關閉回聲抑制功能網(wǎng)絡須全程關閉回聲抑制功能用戶在使用媒體透傳業(yè)務時能實現(xiàn)切換用戶在使用媒體透傳業(yè)務時能實現(xiàn)切換 （含硬切換）（含硬切換） 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部特殊短信特殊短信 消息類型標志消息類型0 x000 x00主叫密鑰請求主叫密鑰請求0 x010 x01主叫密鑰響應主叫密鑰響應0 x020 x02被叫加密通知消息被叫加密通知消息0 x030 x03被叫密鑰請求被叫密鑰請求0 x040 x04被叫密鑰響

25、應被叫密鑰響應0 x050 x05錯誤通知錯誤通知0 x060 x06KMCKMC公鑰更新公鑰更新0 x070 x07KMCKMC公鑰更新響應公鑰更新響應0 x080 x08KMCKMC公鑰更新確認公鑰更新確認0 x090 x09遠程控制指令遠程控制指令0 x0a0 x0a遠程控制指令響應遠程控制指令響應0 x0b0 x0b其他其他 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部密鑰請求短信密鑰請求短信 消息類型消息類型 模式標記模式標記 KMC KMC公鑰版本公鑰版本 臨時公鑰臨時公鑰(Pa)(Pa) 密文密文- IMSI- Hardware ID - 被叫號碼被叫號碼 密鑰請求

26、短信中的主要參數(shù)密鑰請求短信中的主要參數(shù) 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部密鑰響應短信密鑰響應短信l 消息類型消息類型l 密文密文l KMC 簽名信息簽名信息 密鑰請響應短信中的主要參數(shù)密鑰請響應短信中的主要參數(shù) 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部密鑰通知短信密鑰通知短信 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部KMCKMC與終端短消息路由與終端短消息路由KMCKMC與上海一對與上海一對HSTPHSTP開開4 4根根LinkLink，地位相當于短信中心，通過信令網(wǎng)與現(xiàn)網(wǎng)各省短信中心互連，地位相當于短信中心，通過信令網(wǎng)與現(xiàn)網(wǎng)各省

27、短信中心互連 。KMCKMC的短信接入碼為：的短信接入碼為：1891891000118918910001，出廠時預置于加密通信終端，出廠時預置于加密通信終端上行路徑，終端上行路徑，終端-歸屬短信中心歸屬短信中心-KMC-KMC下行路徑，下行路徑，KMC -KMC -歸屬短信中心歸屬短信中心-終端終端 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部手動模式手動模式1 1、建立普通話音通話、建立普通話音通話 2 2、密鑰協(xié)商、密鑰協(xié)商 移動終端1移動終端2密鑰管理中心1. 主叫密鑰請求消息3. 主叫密鑰通知消息2. 被叫密鑰請求消息4. 被叫密鑰通知消息 讓客戶盡情享受信息新生活中國電

28、信集團公司網(wǎng)絡運行維護事業(yè)部手動模式手動模式當終端與BSC之間的業(yè)務協(xié)商成功之后，BSC關閉聲碼器，同時關閉回聲抑制功能，啟動媒體透傳流程，進入密話通話 。主被叫終端收到密鑰響應消息之后，分別啟動與網(wǎng)絡的業(yè)務切換協(xié)商過程。終端向BSC送ServiceRequestMsg消息，其中使用業(yè)務選項80b0H來標識語音加密業(yè)務。BSC向終端返回ServiceConnectMsg，表示BSC接受終端的請求。終端向BSC返回ServiceConnectComplete消息，表示終端和BSC之間達成一致，由普通話音轉(zhuǎn)化為語音透傳業(yè)務 。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部自動模式自動

29、模式移動終端1移動終端2密鑰管理中心1. 主叫密鑰請求消息2. 被叫加密通知消息4. 主叫密鑰通知消息3. 被叫密鑰請求消息5. 被叫密鑰通知消息1 1 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部KMCKMC公鑰更新公鑰更新 BSSMSC/MSCeMSKMCSDB（KMC公鑰更新）Adds Deliver（KMC公鑰更新響應）SMDPP（KMC公鑰更新響應）SDB（KMC公鑰更新響應）HLRSMSREQsmsreqSMDPP（KMC公鑰更新）Adds Deliver（KMC公鑰更新）SDB（KMC公鑰更新確認）SMDPP（KMC公鑰更新確認）Adds Deliver（KMC公鑰

30、更新確認） 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部KMCKMC公鑰更新公鑰更新 BSSMSC/MSCeMSKMCSDB（KMC公鑰更新）Adds Deliver（KMC公鑰更新響應）SMDPP（KMC公鑰更新響應）SDB（KMC公鑰更新響應）HLRSMSREQsmsreqSMDPP（KMC公鑰更新）Adds Deliver（KMC公鑰更新）Adds Deliver（主叫/被叫密鑰請求）SMDPP（主叫/被叫密鑰請求）SDB（主叫/被叫密鑰請求）KMC公鑰版本不一致，發(fā)起KMC公鑰更新流程SDB（KMC公鑰更新確認）SMDPP（KMC公鑰更新確認）Adds Deliver（K

31、MC公鑰更新確認）可繼續(xù)完成加密通信密鑰協(xié)商流程，呼叫不中斷可繼續(xù)完成加密通信密鑰協(xié)商流程，呼叫不中斷 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部安全信息擦除安全信息擦除BSSMSC/MSCeMSKMCSDB（安全信息擦除）Adds Deliver（安全信息擦除響應）SMDPP（安全信息擦除響應）SDB（安全信息擦除響應）HLRSMSREQsmsreqSMDPP（安全信息擦除）Adds Deliver（安全信息擦除） 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部安全密碼重置安全密碼重置 BSSMSC/MSCeMSKMCSDB（密碼重置消息）Adds Deliver

32、（密碼重置響應）SMDPP（密碼重置響應）SDB（密碼重置響應）HLRSMSREQsmsreqSMDPP（密碼重置消息）Adds Deliver（密碼重置消息） 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部主叫信令流程主叫信令流程消息消息IDID消息類型消息類型消息方向消息方向3034930349Um Origination MessageUm Origination MessageR-CSCHR-CSCH3035030350A1 CM Service RequestA1 CM Service RequestBSC-MSCBSC-MSC3035130351A1 Assignmen

33、t RequestA1 Assignment RequestMSC-BSCMSC-BSC3036530365A1 Assignment CompleteA1 Assignment CompleteBSC-MSCBSC-MSC 1 1、發(fā)起呼叫、發(fā)起呼叫 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部消息消息IDID消息類型消息類型消息方向消息方向3037830378Um Data Burst MessageUm Data Burst MessageR-DSCHR-DSCH3038030380A1 ADDS DeliverA1 ADDS DeliverBSC-MSCBSC-MSC1

34、1SMDPPSMDPPMSC-SMCMSC-SMC2 2smdppsmdppSMC-MSCSMC-MSC3038430384A1 ADDS DeliverA1 ADDS DeliverMSC-BSCMSC-BSC3038530385Um Data Burst MessageUm Data Burst MessageF-DSCHF-DSCH3038630386Um Order MessageUm Order MessageR-DSCHR-DSCH3038730387A1 ADDS Deliver AckA1 ADDS Deliver AckBSC-MSCBSC-MSC主叫信令流程主叫信令流程2、

35、發(fā)送密鑰請求短信 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部主叫信令流程主叫信令流程消息消息IDID消息類型消息類型消息方向消息方向3 3SMDPPSMDPPKMC-MSCKMC-MSC3043430434A1 ADDS DeliverA1 ADDS DeliverMSC-BSCMSC-BSC3043530435Um Data Burst MessageUm Data Burst MessageF-DSCHF-DSCH3043630436Um Order MessageUm Order MessageR-DSCHR-DSCH3043730437Um Data Burst Mes

36、sageUm Data Burst MessageR-DSCHR-DSCH3043930439A1 ADDS Deliver AckA1 ADDS Deliver AckBSC-MSCBSC-MSC3044030440A1 ADDS DeliverA1 ADDS DeliverBSC-MSCBSC-MSC4 4smdppsmdppMSC-KMCMSC-KMC 3、接收密鑰響應短信 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部4、編解碼協(xié)商消息消息IDID消息類型消息類型消息方向消息方向3046830468Um Service Request MessageUm Service R

37、equest MessageR-DSCHR-DSCH3047030470Um Service Connect MessageUm Service Connect MessageF-DSCHF-DSCH3047330473Um Service Connect Completion MessageUm Service Connect Completion MessageR-DSCHR-DSCH主叫信令流程主叫信令流程 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部被叫信令流程被叫信令流程消息消息IDID消息類型消息類型消息方向消息方向41914191A1 Paging RequestA

38、1 Paging RequestMSC-BSCMSC-BSC42384238A1 Paging ResponseA1 Paging ResponseBSC-MSCBSC-MSC42394239A1 Assignment RequestA1 Assignment RequestMSC-BSCMSC-BSC42544254A1 Assignment CompleteA1 Assignment CompleteBSC-MSCBSC-MSC 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部被叫信令流程被叫信令流程消息消息IDID消息類型消息類型消息方向消息方向1 1SMDPPSMDPPKMC

39、-MSCKMC-MSC42914291A1 ADDS DeliverA1 ADDS DeliverMSC-BSCMSC-BSC42924292Um Data Burst MessageUm Data Burst MessageF-DSCHF-DSCH42934293Um Data Burst MessageUm Data Burst MessageR-DSCHR-DSCH42954295A1 ADDS Deliver AckA1 ADDS Deliver AckBSC-MSCBSC-MSC42964296A1 ADDS DeliverA1 ADDS DeliverBSC-MSCBSC-MSC2

40、 2smdppsmdppMSC-KMCMSC-KMC2 2、收到密鑰通知短信、收到密鑰通知短信 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部被叫信令流程被叫信令流程消息消息IDID消息類型消息類型消息方向消息方向43174317A1 ConnectA1 ConnectBSC-MSCBSC-MSC43264326Um Data Burst MessageUm Data Burst MessageR-DSCHR-DSCH43284328A1 ADDS DeliverA1 ADDS DeliverBSC-MSCBSC-MSC3 3SMDPPSMDPPMSC-SMCMSC-SMC4 4s

41、mdppsmdppSMC-MSCSMC-MSC43314331A1 ADDS DeliverA1 ADDS DeliverMSC-BSCMSC-BSC43324332Um Data Burst MessageUm Data Burst MessageF-DSCHF-DSCH43334333Um Order MessageUm Order MessageR-DSCHR-DSCH43344334A1 ADDS Deliver AckA1 ADDS Deliver AckBSC-MSCBSC-MSC 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部被叫信令流程被叫信令流程消息消息IDID消

42、息類型消息類型消息方向消息方向5 5SMDPPSMDPPKMC-SMCKMC-SMC43584358A1 ADDS DeliverA1 ADDS DeliverMSC-BSCMSC-BSC43594359Um Data Burst MessageUm Data Burst MessageF-DSCHF-DSCH43614361Um Data Burst MessageUm Data Burst MessageR-DSCHR-DSCH43624362Um Order MessageUm Order MessageF-DSCHF-DSCH43634363A1 ADDS Deliver AckA1

43、ADDS Deliver AckBSC-MSCBSC-MSC43644364A1 ADDS DeliverA1 ADDS DeliverBSC-MSCBSC-MSC6 6smdppsmdppMSC-KMCMSC-KMC4 4、收到密鑰響應短信、收到密鑰響應短信 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部被叫信令流程被叫信令流程消息ID消息類型消息方向43694369Um Service Request MessageUm Service Request MessageR-DSCHR-DSCH43704370Um Order MessageUm Order MessageF-DS

44、CHF-DSCH43714371Um Service Connect MessageUm Service Connect MessageF-DSCHF-DSCH43744374Um Service Connect Completion MessageUm Service Connect Completion MessageR-DSCHR-DSCH 5 5、編解碼協(xié)商、編解碼協(xié)商 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部業(yè)務使用流程業(yè)務使用流程建立加密通話流程建立加密通話流程加密通信終端提供普話轉(zhuǎn)入密話和直接發(fā)起密話兩種加密通話使用方式：普話轉(zhuǎn)入密話加密通話建立流程普話轉(zhuǎn)入密話

45、加密通話建立主要分為三個階段：第一階段是普通（明文）通話的建立；第二階段加密通話的建立，雙方用戶需要分別按下加密鍵，經(jīng)過終端、業(yè)務平臺、移動網(wǎng)絡一系列的判斷和操作，最后進入第三階段即加密通話階段。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部直接發(fā)起密話加密通話建立流程直接發(fā)起密話加密通話建立流程: :直接發(fā)起密話加密通話建立也分為三個階段：第一階段密話發(fā)起階段，主叫方需要手動選擇加密呼叫；然后進行第二階段，密話建立階段，被叫正常接聽電話后，經(jīng)過終端、業(yè)務平臺、移動網(wǎng)絡進行一系列判斷和操作，最后進入第三階段，加密通話階段。業(yè)務使用流程業(yè)務使用流程 讓客戶盡情享受信息新生活中國電信

46、集團公司網(wǎng)絡運行維護事業(yè)部提綱提綱加密通信業(yè)務功能加密通信業(yè)務功能加密通信平臺介紹加密通信平臺介紹加密通信應急方案加密通信應急方案故障處理指引故障處理指引加密通信業(yè)務流程加密通信業(yè)務流程 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部客戶經(jīng)理或本地10000 號受理故障申告后，進行相應的預處理工作，排除用戶（含終端、使用方式錯誤等）及業(yè)務、服務等非網(wǎng)絡的原因后，再進入故障處理流程，報本地運維部門進一步故障定位。如判斷為省內(nèi)故障，則由省NOC牽頭進行故障排查和處理，如判斷為KMC平臺問題，則將故障工單通過集團電子工單系統(tǒng)派往集團上海NOC進行故障處理，集團上海NOC在2個工作日內(nèi)完成

47、故障處理并反饋故障處理情況。涉及跨省故障處理流程，按中國電信2009534 號關于修訂移動業(yè)務跨省故障處理流程和工作要求的通知要求執(zhí)行。故障處理流程故障處理流程 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部56 故障等級劃分故障等級劃分- - 故障等級定義故障等級定義 故障及故障等級定義：故障及故障等級定義：設備硬件或軟件功能失效、網(wǎng)路阻斷、網(wǎng)絡中斷或質(zhì)量降低影響使用、維護指標劣化超過門限值，稱為故障。根據(jù)故障的嚴重程度和影響程度的不同，分別為重大故障、嚴重故障和一般故障。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部57 重大故障：重大故障：指對系統(tǒng)安全運行產(chǎn)生重

48、大影響的故障, 設備在運行中出現(xiàn)系統(tǒng)癱瘓或服務中斷，導致設備的基本功能不能實現(xiàn)或全面退化的故障等。重大故障主要情況包括但不限于以下方面：KMC平臺設備癱瘓、系統(tǒng)連續(xù)自動重裝載或重啟動；KMC平臺服務器故障各項業(yè)務應用功能全部失效KMC平臺與上海HSTPA/HSTPB信令鏈路全阻造成平臺對外通信中斷，導致M業(yè)務簽約用戶不能正常使用加密通信業(yè)務故障等級劃分故障等級劃分- - 重大故障重大故障 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部58 故障等級劃分故障等級劃分- - 嚴重故障嚴重故障嚴重故障：嚴重故障：指對系統(tǒng)安全運行造成重大威脅或產(chǎn)生較大影響的故障，包括設備在運行中出現(xiàn)的直接

49、影響服務，導致系統(tǒng)性能或服務部分退化的故障，以及具有潛在的系統(tǒng)癱瘓或服務中斷的危險，并可能導致設備基本功能不能實現(xiàn)或全面退化的故障。嚴重故障主要情況包括但不限于以下方面：KMC平臺主、備服務器一側(cè)設備故障，對平臺運行造成安全隱患，斷續(xù)或間接地影響系統(tǒng)功能和服務的故障。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部故障等級劃分故障等級劃分 一般故障一般故障 一般故障：一般故障：指設備在運行中出現(xiàn)的斷續(xù)或間接地影響系統(tǒng)功能和服務的故障，包括：不影響平臺正常運行的設備故障信令鏈路故障；設備一般性告警；其它不屬于一、二級故障的故障； 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事

50、業(yè)部故障預處理故障預處理0 x000 x00本端用戶無加密權(quán)限本端用戶無加密權(quán)限0 x010 x01對端用戶無加密權(quán)限對端用戶無加密權(quán)限0 x020 x02本端終端非法本端終端非法0 x030 x03對端終端非法對端終端非法0 x040 x04密話建立超時密話建立超時0 x050 x05其他原因其他原因問問: :只有自動故障，還是只有自動故障，還是手動、自動兼故障？手動、自動兼故障？ 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部異常流程（異常流程（1 1）用戶A、B是合法加密通信業(yè)務用戶，但用戶B采用了非加密通信終端，采用直接發(fā)起密話發(fā)起加密通話。此時，KMC收不到被叫的密鑰請求

51、，超時后，KMC將通知主叫方終端，主叫方終端界面上提示超時后通話結(jié)束。 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部用戶A、B中有一方是非加密通信業(yè)務用戶，雙方都采用加密通信終端，采用直接發(fā)起密話發(fā)起加密通話。此時無法通過KMC的認證，KMC將下發(fā)錯誤提示，終端收到錯誤通知后提示用戶本端對端沒有申請加密通信業(yè)務，2秒后主動切斷通話。主叫用戶A是非加密通信業(yè)務用戶：被叫用戶B是非加密通信業(yè)務用戶：異常流程（異常流程（2 2）主叫用戶主叫用戶A A通過輸入電話號碼通過輸入電話號碼、電話本、通話記錄等方式，、電話本、通話記錄等方式，選擇被叫用戶選擇被叫用戶B B電話號碼電話號碼主叫用戶

52、主叫用戶A A通過菜單加密通通過菜單加密通話選項或者特定加密通話按話選項或者特定加密通話按鍵發(fā)起對用戶鍵發(fā)起對用戶B B的加密通話的加密通話用戶用戶A A終端提示用戶未終端提示用戶未申請加密通信業(yè)務，申請加密通信業(yè)務，并在并在2 2秒后切斷本次呼秒后切斷本次呼叫叫用戶用戶A A無權(quán)無權(quán)主叫用戶主叫用戶A A通過輸入電話號碼通過輸入電話號碼、電話本、通話記錄等方式，、電話本、通話記錄等方式，選擇被叫用戶選擇被叫用戶B B電話號碼電話號碼主叫用戶主叫用戶A A通過菜單加密通通過菜單加密通話選項或者特定加密通話按話選項或者特定加密通話按鍵發(fā)起對用戶鍵發(fā)起對用戶B B的加密通話的加密通話因用戶因用戶B

53、 B無使用權(quán)限，用無使用權(quán)限，用戶戶A A終端提示用戶對方未終端提示用戶對方未申請加密通信業(yè)務，并申請加密通信業(yè)務，并在在2 2秒后切斷本次呼叫秒后切斷本次呼叫用戶用戶B B無權(quán)無權(quán) 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部提綱提綱加密通信業(yè)務功能加密通信業(yè)務功能加密通信平臺介紹加密通信平臺介紹加密通信應急方案加密通信應急方案故障處理指引故障處理指引 加密通信業(yè)務流程加密通信業(yè)務流程 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部64 手動模式雙方超時手動模式雙方超時雙方都超時，可以非?？隙ǖ恼f：雙方都超時，可以非?？隙ǖ恼f：KMCKMC平臺對主、被叫發(fā)的上行密鑰

54、請求短信沒平臺對主、被叫發(fā)的上行密鑰請求短信沒有成功匹配起來。不匹配的原因可分為用戶原因、終端原因、網(wǎng)絡原因。有成功匹配起來。不匹配的原因可分為用戶原因、終端原因、網(wǎng)絡原因。用戶套撥了用戶套撥了1790117901、1180811808等等IPIP接入碼；接入碼；主叫用戶使用了來電顯示限制業(yè)務；主叫用戶使用了來電顯示限制業(yè)務；被叫用戶沒有來電顯示業(yè)務；被叫用戶沒有來電顯示業(yè)務；該呼叫是個轉(zhuǎn)移呼叫。該呼叫是個轉(zhuǎn)移呼叫。終端寫入的終端寫入的KMPKMP平臺接入碼不正確；平臺接入碼不正確；終端寫入的初始公鑰不正確；終端寫入的初始公鑰不正確；其它其它bugbug。KMCKMC平臺故障；平臺故障；歸屬歸

55、屬SMCSMC向向KMCKMC平臺轉(zhuǎn)發(fā)平臺轉(zhuǎn)發(fā)SMDPPSMDPP消息有延時，且總時延超過消息有延時，且總時延超過2020秒。秒。MSCMSC收到收到DBMDBM消息后，并沒有向消息后，并沒有向歸屬歸屬SMCSMC發(fā)出發(fā)出SMDPPSMDPP消息消息 讓客戶盡情享受信息新生活中國電信集團公司網(wǎng)絡運行維護事業(yè)部65 通過反復撥打、重現(xiàn)故障來查找網(wǎng)絡原因的查障步驟通過反復撥打、重現(xiàn)故障來查找網(wǎng)絡原因的查障步驟4 4、如短信中心沒有收到上行密鑰請求短信，則在如短信中心沒有收到上行密鑰請求短信，則在MSCMSC跟蹤信令進行查障。檢查在業(yè)務信道指跟蹤信令進行查障。檢查在業(yè)務信道指配完成后是否有配完成后是

56、否有DBMDBM消息、消息、ADDS DeliverADDS Deliver消息、消息、SMDPPSMDPP消息，如缺少消息，如缺少ADDS DeliverADDS Deliver消息消息或或SMDPPSMDPP消息，則問題可定位在消息，則問題可定位在MSCMSC；如缺少；如缺少DBMDBM消息，則問題定位在終端。消息，則問題定位在終端。1 1、接到申告后，要詢問用戶：撥號方式、使用補充業(yè)務情況，從而排除用戶原因，同時要接到申告后，要詢問用戶：撥號方式、使用補充業(yè)務情況，從而排除用戶原因，同時要記下用戶使用記下用戶使用MM業(yè)務的時間、地點，以便查歷史記錄和重現(xiàn)故障；業(yè)務的時間、地點，以便查歷史

57、記錄和重現(xiàn)故障；2 2、測試人員以測試人員以1 1分鐘時間間隔反復撥打分鐘時間間隔反復撥打MM業(yè)務密話，看是否能重現(xiàn)故障，如不能，則到申告業(yè)務密話，看是否能重現(xiàn)故障，如不能，則到申告發(fā)生故障的地點去反復撥打，直到重現(xiàn)故障為止。記下重現(xiàn)故障那通電話的起止時間。發(fā)生故障的地點去反復撥打，直到重現(xiàn)故障為止。記下重現(xiàn)故障那通電話的起止時間。3 3、通知主、被叫歸屬通知主、被叫歸屬SMCSMC維護人員，在指定時間段、指定用戶，是否有發(fā)往被叫為維護人員，在指定時間段、指定用戶，是否有發(fā)往被叫為“1891891000118918910001”的短信？如查到主、被叫雙方都有短信和成功的短信回執(zhí)，且的短信？如查到主、被叫雙方都有短信和成功的短信回執(zhí)，且2 2條短信條短信發(fā)送的時間差在發(fā)送的時間差在2020秒以內(nèi)，則轉(zhuǎn)而找秒以內(nèi)，則轉(zhuǎn)而找KMCKMC平臺維護人員查障；如有一方?jīng)]有收到回執(zhí)或平臺維護人員查障；如有一方?jīng)]有收到