一种保密通信业务的处理方法、设备和系统

1.一种保密通信业务的处理方法，其特征在于，包括：
加密应用服务器EAS接收第一终端设备发送的保密通信业务建立请求消息，其中，所述保密通信业务建立请求消息用于表征所述第一终端设备与第二终端设备之间需要建立保密通信业务，所述保密通信业务建立请求消息中包含了用于获取会话密钥的参数信息；
所述EAS将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC，其中，所述会话密钥请求消息用于表征请求所述KMC为所述第一终端设备和所述第二终端设备之间需要建立的保密通信业务产生会话密钥；
所述EAS接收所述KMC返回的加密后的会话密钥，并将加密后的所述会话密钥发送给所述第一终端设备，使得所述第一终端设备能够利用所述会话密钥实现与所述第二终端设备之间的保密通信，将加密后的会话密钥发送给所述第二终端设备，使得所述第二终端设备能够利用所述会话密钥实现与所述第一终端设备之间的保密通信，其中，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的。
2.如权利要求1所述的方法，其特征在于，所述用于获取会话密钥的参数信息中包含了所述第一终端设备的标识信息和所述第二终端设备的标识信息；
所述EAS在将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC之前，所述方法还包括：
所述EAS根据所述第一终端设备的标识信息和所述第二终端设备的标识信息，确定所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC。
3.如权利要求1所述的方法，其特征在于，所述EAS将加密后的会话密钥发送给所述第一终端设备和/或者第二终端设备，包括：
所述EAS通过IMS网络信令将加密后的会话密钥发送给所述第一终端设备和/或者第二终端设备。
4.如权利要求1～2任一所述的方法，其特征在于，所述加密后的会话密钥包含了利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥；
所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的，包括：
所述KMC根据所述用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对产生的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及
根据所述用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥，并利用所述第二保护密钥对产生的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥。
5.一种保密通信业务的处理方法，其特征在于，包括：
第一终端设备向加密应用服务器EAS发送保密通信业务建立请求消息，其中，所述保密通信业务建立请求消息用于表征所述第一终端设备与第二终端设备之间需要建立保密通信业务，所述保密通信业务建立请求消息中包含了用于获取会话密钥的参数信息；
所述第一终端设备接收所述EAS发送的加密后的会话密钥，并将所述加密后的会话密钥发送给所述第二终端设备，其中，所述加密后的会话密钥是所述EAS将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC，由所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的，所述会话密钥请求消息用于表征请求所述KMC为所述第一终端设备和所述第二终端设备之间需要建立的保密通信业务产生会话密钥。
6.如权利要求5所述的方法，其特征在于，所述第一终端设备将所述加密后的会话密钥发送给所述第二终端设备，包括：
所述第一终端设备通过IMS网络信令将所述加密后的会话密钥发送给所述第二终端设备；
或者，
所述第一终端设备通过建立的与所述第二终端设备之间的媒体面数据传输通道将所述加密后的会话密钥发送给所述第二终端设备。
7.如权利要求5所述的方法，其特征在于，所述方法还包括：
所述第一终端设备在接收所述EAS发送的加密后的会话密钥时，利用登录所述KMC时产生的第一保护密钥对所述加密后的会话密钥进行解密，得到所述KMC为所述第一终端设备与所述第二终端设备之间进行保密通信业务产生的会话密钥。
8.一种保密通信业务的处理方法，其特征在于，包括：
密钥管理中心KMC接收加密应用服务器EAS发送的会话密钥请求消息，其中，所述会话密钥请求消息用于表征请求所述KMC为第一终端设备和第二终端设备之间需要建立的保密通信业务产生会话密钥，所述会话密钥请求消息中包含了用于获取会话密钥的参数信息，所述用于获取会话密钥的参数信息是所述EAS接收到的所述第一终端设备发送的用于表征所述第一终端设备与所述第二终端设备之间需要建立保密通信业务的保密通信业务建立请求消息中携带的；并
向所述EAS返回加密后的会话密钥，以便于所述EAS将加密后的所述会话密钥发送给所述第一终端设备，使得所述第一终端设备能够利用所述会话密钥实现与所述第二终端设备之间的保密通信，并将加密后的会话密钥发送给所述第二终端设备，使得所述第二终端设备能够利用所述会话密钥实现与所述第一终端设备之间的保密通信，其中，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的。
9.如权利要求8所述的方法，其特征在于，所述用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息和第二终端设备的标识信息；
所述KMC向所述EAS返回加密后的会话密钥，包括：
所述KMC生成用于为所述第一终端设备与所述第二终端设备之间执行保密通信业务需要的会话密钥；
所述KMC根据用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对生成的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及
根据用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥；并利用所述第二保护密钥对生成的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥；
所述KMC将所述利用第一保护密钥加密后的会话密钥和所述利用第二保护密钥加密后的会话密钥作为加密后的会话密钥，通过密钥响应消息发送给所述EAS。
10.一种用于保密通信业务的加密应用服务器，其特征在于，包括：
接收模块，用于接收第一终端设备发送的保密通信业务建立请求消息，其中，所述保密通信业务建立请求消息用于表征所述第一终端设备与第二终端设备之间需要建立保密通信业务，所述保密通信业务建立请求消息中包含了用于获取会话密钥的参数信息；
发送模块，用于将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC，其中，所述会话密钥请求消息用于表征请求所述KMC为所述第一终端设备和所述第二终端设备之间需要建立的保密通信业务产生会话密钥；
处理模块，用于接收所述KMC返回的加密后的会话密钥，并将加密后的所述会话密钥发送给所述第一终端设备，使得所述第一终端设备能够利用所述会话密钥实现与所述第二终端设备之间的保密通信，将加密后的会话密钥发送给所述第二终端设备，使得所述第二终端设备能够利用所述会话密钥实现与所述第一终端设备之间的保密通信，其中，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的。
11.如权利要求10所述的加密应用服务器，其特征在于，所述用于获取会话密钥的参数信息中包含了所述第一终端设备的标识信息和所述第二终端设备的标识信息；
所述加密应用服务器还包括：
确定模块，用于在将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC之前，根据所述第一终端设备的标识信息和所述第二终端设备的标识信息，确定所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC。
12.如权利要求10所述的加密应用服务器，其特征在于，
所述处理模块，具体用于通过IMS网络信令将加密后的会话密钥发送给所述第一终端设备和/或者第二终端设备。
13.如权利要求10～11任一所述的加密应用服务器，其特征在于，所述加密后的通信业务密钥包含了利用第一保护密钥加密后的通信业务密钥和利用第二保护密钥加密后的通信业务密钥；
所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的，包括：
所述KMC根据所述用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对产生的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及
根据所述用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥，并利用所述第二保护密钥对产生的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥。
14.一种执行保密通信业务的终端设备，其特征在于，包括：
请求消息发送模块，用于向加密应用服务器EAS发送保密通信业务建立请求消息，其中，所述保密通信业务建立请求消息用于表征第一终端设备与第二终端设备之间需要建立保密通信业务，所述保密通信业务建立请求消息中包含了用于获取会话密钥的参数信息；
会话密钥接收模块，用于接收所述EAS发送的加密后的会话密钥，并将所述加密后的会话密钥发送给所述第二终端设备，其中，所述加密后的会话密钥是所述EAS将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC，由所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的，所述会话密钥请求消息用于表征请求所述KMC为所述第一终端设备和所述第二终端设备之间需要建立的保密通信业务产生会话密钥。
15.如权利要求14所述的终端设备，其特征在于，还包括；
处理模块，具体用于通过IMS网络信令将所述加密后的会话密钥发送给所述第二终端设备；
或者，
通过建立的与所述第二终端设备之间的媒体面数据传输通道将所述加密后的会话密钥发送给所述第二终端设备。
16.如权利要求14所述的终端设备，其特征在于，所述终端设备还包括：
解密模块，用于在接收所述EAS发送的加密后的会话密钥时，利用登录所述KMC时产生的第一保护密钥对所述加密后的会话密钥进行解密，得到所述KMC为所述第一终端设备与所述第二终端设备之间进行保密通信业务产生的会话密钥。
17.一种用于保密通信业务的密钥管理中心，其特征在于，包括：
密钥请求接收模块，用于接收加密应用服务器EAS发送的会话密钥请求消息，其中，所述会话密钥请求消息用于表征请求KMC为第一终端设备和第二终端设备之间需要建立的保密通信业务产生会话密钥，所述会话密钥请求消息中包含了用于获取会话密钥的参数信息，所述用于获取会话密钥的参数信息是所述EAS接收到的所述第一终端设备发送的用于表征所述第一终端设备与所述第二终端设备之间需要建立保密通信业务的保密通信业务建立请求消息中携带的；并
密钥发送模块，用于向所述EAS返回加密后的会话密钥，以便于所述EAS将加密后的所述会话密钥发送给所述第一终端设备，使得所述第一终端设备能够利用所述会话密钥实现与所述第二终端设备之间的保密通信，并将加密后的会话密钥发送给所述第二终端设备，使得所述第二终端设备能够利用所述会话密钥实现与所述第一终端设备之间的保密通信，其中，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的。
18.如权利要求17所述的密钥管理中心，其特征在于，所述用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息和第二终端设备的标识信息；
所述密钥发送模块，具体用于生成用于为所述第一终端设备与所述第二终端设备之间执行保密通信业务需要的会话密钥，根据用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对生成的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及
根据用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥；并利用所述第二保护密钥对生成的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥；
将所述利用第一保护密钥加密后的会话密钥和所述利用第二保护密钥加密后的会话密钥作为加密后的会话密钥，通过密钥响应消息发送给所述EAS。
19.一种保密通信业务的处理系统，其特征在于，所述系统包括：如权利要求10～13任一所述的加密应用服务器、如权利要求14～16任一所述的终端设备以及如权利要求17～18任一所述的密钥管理中心。

一种保密通信业务的处理方法、设备和系统\n技术领域\n[0001] 本发明涉及无线通信技术领域和安全技术领域，尤其涉及一种基于交互式多媒体服务IMS业务系统中保密通信业务的处理方法、设备和系统。\n背景技术\n[0002] 为了能够对IMS（Interactive Multimedia Service，交互式多媒体服务）媒体面承载传输的用户业务信息进行端到端加密保护，3GPP（3rd Generation Partnership Project，第三代移动通信标准化组织）在TS33.328中提出了两种相对独立的媒体面密钥管理方案，实现媒体面会话密钥的协商，并利用协商得到的会话密钥，通信系统在主被叫终端之间或者终端与IMS网络之间建立安全关联，通过SRTP（Secure Real-time Transport Protocol，安全实时传输协议）或者IP Sec（Internet Protocol Security，IP安全）协议对用户媒体面信息进行保护。\n[0003] 其中，3GPP在TS33.328中提出了两种相对独立的媒体面密钥管理方案分别是SDES（Session Description Protocol Security Descriptions for Media Streams，会话描述协议媒体流安全描述）和KMS（Key Management Service，密钥管理服务）。\n[0004] 一、基于SDES的密钥管理方案。\n[0005] 具体地，SDES是一种为保护媒体流设计的一种简单的密钥管理协议，是在现有SDP（Session Initiation Protocol，会话描述协议）中新增了密码属性，用于携带终端产生的会话密钥以及参数信息，完成单播流媒体数据的安全参数配置。\n[0006] 当SDES应用在IMS系统中时，在SIP（Session Initiation Protocol，会话初始协议）建立过程中，交换终端设备A和终端设备B各自产生的用于媒体流加密的会话密钥。\n[0007] 如图1所示，为SDES密钥管理的工作流程示意图。一方面，在SIP会话建立时，终端设备A将用于对终端设备A发往终端设备B的媒体流加密的会话密钥K1写入SDP密码属性中，并通过信令面SIP消息承载，发送给终端设备B。\n[0008] 另一方面，终端设备B在接收到终端设备A发送的SIP消息后，存储密钥K1，并将用于对终端设备B发往终端设备A的媒体流加密的会话密钥K2通过SIP响应消息发送给终端设备A。\n[0009] 在终端设备A接收并存储密钥K2之后，终端设备A和终端设备B就都获得了会话密钥K1和会话密钥K2。\n[0010] 此后，终端设备A和终端设备B分别使用会话密钥K1和会话密钥K2对SRTP协议承载的媒体流进行加解密操作，从而实现对用户数据的保密。\n[0011] 但是，在SDES方案中，会话密钥通过信令面SIP消息传输，其安全性完全依赖于SIP信令的安全。\n[0012] 而SIP信令传输的安全机制常见的有两种：\n[0013] 一种是基于IMS网络域安全机制，即完全依赖IMS网络域的安全来保证SIP信令传输的安全性，但是，IMS网络通常是在终端设备与SBC（Session Border Controller，会话边界控制器）之间采用加密手段，对终端设备接入链路上的SIP信令进行加密保护，而在IMS网络的核心网内部SIP信令则采用明文传输方式，这样就使得攻击者利用明文传输SIP信令的漏洞获取SIP信令中包含了会话密钥，实现对终端设备之间媒体面信息的监听，使得用户之间通话的安全性降低。\n[0014] 另一种是基于S/MIME（Secure Multipurpose Internet Mail Extensions，安全多用途网际邮件扩充协议）加密保护，即采用S/MIME协议对SIP信令中承载的SDP（Session Description Protocol，会话描述协议）消息内容进行端到端的加密。在终端设备无预设共享密钥的情况下，利用公钥证书系统，终端设备在发送会话密钥之前需要从公钥证书系统中获取对端的公钥，之后利用获取的公钥对SIP信令的内容进行加密后传输。这种方式使得密钥管理与会话管理完全分离，运营商无法控制密钥管理，在安全方面被旁路，无法满足运营商开展保密通信业务的需求，实际应用受到限制。\n[0015] 二、基于KMS的密钥管理方案。\n[0016] 具体地，KMS实体基于GBA（Generic Bootstrapping Architecture，通用引导架构）机制对主被叫终端鉴权，并将产生的会话密钥通过成功鉴权后建立的安全通道传送给主被叫终端。如图2所示，为KMS密钥管理的流程示意图。\n[0017] 基于GBA，KMS能够利用运营商为上层应用业务提供的统一认证能力建立与主被叫终端之间的安全关联，加密传输会话密钥等信息。\n[0018] 但是，由于GBA认证的核心实体BSF（Bean Scripting Framework）由运营商管理维护，负责生成维护KMS与终端设备之间的会话密钥，因此，运营商实际负责密钥安全传输通道的建立，终端设备需要的会话密钥传输的安全性依赖于运营商。这样，KMS密钥管理方案不能满足终端设备对密钥管理的高安全等级需求，更不适于运营商开展保密通信业务。\n[0019] 由此可见，目前IMS网络中媒体面承载传输的用户业务信息进行端到端加密保护的方式既无法满足用户与运营商各自需求，又存在安全性较低的问题。\n发明内容\n[0020] 本发明实施例提供了一种保密通信业务的处理方法、设备和系统，用于解决目前IMS网络中媒体面承载传输的用户业务信息进行端到端加密保护的方式存在的既无法满足用户与运营商各自需求，又使得媒体面数据传输安全性较低的问题。\n[0021] 一种保密通信业务的处理方法，包括：\n[0022] 加密应用服务器EAS接收第一终端设备发送的保密通信业务建立请求消息，其中，所述保密通信业务建立请求消息用于表征所述第一终端设备与第二终端设备之间需要建立保密通信业务，所述保密通信业务建立请求消息中包含了用于获取会话密钥的参数信息；\n[0023] 所述EAS将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC，其中，所述会话密钥请求消息用于表征请求所述KMC为所述第一终端设备和所述第二终端设备之间需要建立的保密通信业务产生会话密钥；\n[0024] 所述EAS接收所述KMC返回的加密后的会话密钥，并将加密后的所述会话密钥发送给所述第一终端设备，使得所述第一终端设备能够利用所述会话密钥实现与所述第二终端设备之间的保密通信，其中，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的。\n[0025] 所述用于获取会话密钥的参数信息中包含了所述第一终端设备的标识信息和所述第二终端设备的标识信息；\n[0026] 所述EAS在将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC之前，所述方法还包括：\n[0027] 所述EAS根据所述第一终端设备的标识信息和所述第二终端设备的标识信息，确定所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC。\n[0028] 所述方法还包括：\n[0029] 所述EAS将加密后的会话密钥发送给所述第二终端设备，使得所述第二终端设备能够利用所述会话密钥实现与所述第一终端设备之间的保密通信。\n[0030] 所述EAS将加密后的会话密钥发送给所述第一终端设备和/或者第二终端设备，包括：\n[0031] 所述EAS通过IMS网络信令将加密后的会话密钥发送给所述第一终端设备和/或者第二终端设备。\n[0032] 所述加密后的会话密钥包含了利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥；\n[0033] 所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的，包括：\n[0034] 所述KMC根据所述用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对产生的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及\n[0035] 根据所述用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥，并利用所述第二保护密钥对产生的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥。\n[0036] 一种保密通信业务的处理方法，包括：\n[0037] 第一终端设备向加密应用服务器EAS发送保密通信业务建立请求消息，其中，所述保密通信业务建立请求消息用于表征所述第一终端设备与第二终端设备之间需要建立保密通信业务，所述保密通信业务建立请求消息中包含了用于获取会话密钥的参数信息；\n[0038] 所述第一终端设备接收所述EAS发送的加密后的会话密钥，其中，所述加密后的会话密钥是所述EAS将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC，由所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的，所述会话密钥请求消息用于表征请求所述KMC为所述第一终端设备和所述第二终端设备之间需要建立的保密通信业务产生会话密钥。\n[0039] 所述方法还包括：\n[0040] 所述第一终端设备在接收所述EAS发送的加密后的会话密钥时，将所述加密后的会话密钥发送给所述第二终端设备。\n[0041] 所述第一终端设备将所述加密后的会话密钥发送给所述第二终端设备，包括：\n[0042] 所述第一终端设备通过IMS网络信令将所述加密后的会话密钥发送给所述第二终端设备；\n[0043] 或者，\n[0044] 所述第一终端设备通过建立的与第二终端设备的媒体面数据传输通道将所述加密后的会话密钥发送给所述第二终端设备。\n[0045] 所述方法还包括：\n[0046] 所述第一终端设备在接收所述EAS发送的加密后的会话密钥时，利用登录所述KMC时产生的第一保护密钥对所述加密后的会话密钥进行解密，得到所述KMC为所述第一终端设备与所述第二终端设备之间进行保密通信业务产生的会话密钥。\n[0047] 一种保密通信业务的处理方法，包括：\n[0048] 密钥管理中心KMC接收加密应用服务器EAS发送的会话密钥请求消息，其中，所述会话密钥请求消息用于表征请求所述KMC为第一终端设备和第二终端设备之间需要建立的保密通信业务产生会话密钥，所述会话密钥请求消息中包含了用于获取会话密钥的参数信息，所述用于获取会话密钥的参数信息是所述EAS接收到的所述第一终端设备发送的用于表征所述第一终端设备与所述第二终端设备之间需要建立保密通信业务的保密通信业务建立请求消息中携带的；并\n[0049] 向所述EAS返回加密后的会话密钥，以便于所述EAS将加密后的所述会话密钥发送给所述第一终端设备，使得所述第一终端设备能够利用所述会话密钥实现与所述第二终端设备之间的保密通信，其中，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的。\n[0050] 所述用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息和第二终端设备的标识信息；\n[0051] 所述KMC向所述EAS返回加密后的会话密钥，包括：\n[0052] 所述KMC生成用于为所述第一终端设备与所述第二终端设备之间执行保密通信业务需要的会话密钥；\n[0053] 所述KMC根据用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对生成的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及\n[0054] 根据用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥；并利用所述第二保护密钥对生成的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥；\n[0055] 所述KMC将所述利用第一保护密钥加密后的会话密钥和所述利用第二保护密钥加密后的会话密钥作为加密后的会话密钥，通过密钥响应消息发送给所述EAS。\n[0056] 一种用于保密通信业务的加密应用服务器，包括：\n[0057] 接收模块，用于接收第一终端设备发送的保密通信业务建立请求消息，其中，所述保密通信业务建立请求消息用于表征所述第一终端设备与第二终端设备之间需要建立保密通信业务，所述保密通信业务建立请求消息中包含了用于获取会话密钥的参数信息；\n[0058] 发送模块，用于将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC，其中，所述会话密钥请求消息用于表征请求所述KMC为所述第一终端设备和所述第二终端设备之间需要建立的保密通信业务产生会话密钥；\n[0059] 处理模块，用于接收所述KMC返回的加密后的会话密钥，并将加密后的所述会话密钥发送给所述第一终端设备，使得所述第一终端设备能够利用所述会话密钥实现与所述第二终端设备之间的保密通信，其中，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的。\n[0060] 所述用于获取会话密钥的参数信息中包含了所述第一终端设备的标识信息和所述第二终端设备的标识信息；\n[0061] 所述加密应用服务器还包括：\n[0062] 确定模块，用于在将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC之前，根据所述第一终端设备的标识信息和所述第二终端设备的标识信息，确定所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC。\n[0063] 所述处理模块，还用于将加密后的会话密钥发送给所述第二终端设备，使得所述第二终端设备能够利用所述会话密钥实现与所述第一终端设备之间的保密通信。\n[0064] 所述处理模块，具体用于通过IMS网络信令将加密后的会话密钥发送给所述第一终端设备和/或者第二终端设备。\n[0065] 所述加密后的会话密钥包含了利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥；\n[0066] 所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的，包括：\n[0067] 所述KMC根据所述用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对产生的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及\n[0068] 根据所述用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥，并利用所述第二保护密钥对产生的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥。\n[0069] 一种执行保密通信业务的终端设备，包括：\n[0070] 请求消息发送模块，用于向加密应用服务器EAS发送保密通信业务建立请求消息，其中，所述保密通信业务建立请求消息用于表征所述第一终端设备与第二终端设备之间需要建立保密通信业务，所述保密通信业务建立请求消息中包含了用于获取会话密钥的参数信息；\n[0071] 会话密钥接收模块，用于接收所述EAS发送的加密后的会话密钥，其中，所述加密后的会话密钥是所述EAS将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC，由所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的，所述会话密钥请求消息用于表征请求所述KMC为所述第一终端设备和所述第二终端设备之间需要建立的保密通信业务产生会话密钥。\n[0072] 所述终端设备还包括：\n[0073] 处理模块，用于在接收所述EAS发送的加密后的会话密钥时，将所述加密后的会话密钥发送给所述第二终端设备。\n[0074] 所述处理模块，具体用于通过IMS网络信令将所述加密后的会话密钥发送给所述第二终端设备；\n[0075] 或者，\n[0076] 通过建立的与所述第二终端设备之间的媒体面数据传输通道将所述加密后的会话密钥发送给所述第二终端设备。\n[0077] 所述终端设备还包括：\n[0078] 解密模块，用于在接收所述EAS发送的加密后的会话密钥时，利用登录所述KMC时产生的第一保护密钥对所述加密后的会话密钥进行解密，得到所述KMC为所述第一终端设备与所述第二终端设备之间进行保密通信业务产生的会话密钥。\n[0079] 一种用于保密通信业务的密钥管理中心，包括：\n[0080] 密钥请求接收模块，用于接收加密应用服务器EAS发送的会话密钥请求消息，其中，所述会话密钥请求消息用于表征请求所述KMC为第一终端设备和第二终端设备之间需要建立的保密通信业务产生会话密钥，所述会话密钥请求消息中包含了用于获取会话密钥的参数信息，所述用于获取会话密钥的参数信息是所述EAS接收到的所述第一终端设备发送的用于表征所述第一终端设备与所述第二终端设备之间需要建立保密通信业务的保密通信业务建立请求消息中携带的；并\n[0081] 密钥发送模块，用于向所述EAS返回加密后的会话密钥，以便于所述EAS将加密后的所述会话密钥发送给所述第一终端设备，使得所述第一终端设备能够利用所述会话密钥实现与所述第二终端设备之间的保密通信，其中，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的。\n[0082] 所述用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息和第二终端设备的标识信息；\n[0083] 所述密钥发送模块，具体用于生成用于为所述第一终端设备与所述第二终端设备之间执行保密通信业务需要的会话密钥，根据用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对生成的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及\n[0084] 根据用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥；并利用所述第二保护密钥对生成的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥；\n[0085] 将所述利用第一保护密钥加密后的会话密钥和所述利用第二保护密钥加密后的会话密钥作为加密后的会话密钥，通过密钥响应消息发送给所述EAS。\n[0086] 一种保密通信业务的处理系统，所述系统包括：上述的加密应用服务器、上述的终端设备以及上述的密钥管理中心。\n[0087] 本发明有益效果如下：\n[0088] 本发明实施例在IMS网络中引入加密应用服务器和密钥管理中心，通过加密应用服务器在接收到第一终端设备发送的用于表征第一终端设备与第二终端设备之间需要建立保密通信业务的保密通信业务建立请求消息，将保密通信业务建立请求消息中包含的用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给第一终端设备和第二终端设备所属的密钥管理中心，请求密钥管理中心为第一终端设备和第二终端设备之间需要建立的保密通信业务产生会话密钥，并在接收到密钥管理中心返回的加密后的会话密钥时，将该加密后的会话密钥发送给第一终端设备，使得第一终端设备能够利用该会话密钥实现与第二终端设备之间的保密通信。这样，通过加密应用服务器使得保密通信作为运营商提供给用户的一种业务实现，并且加密应用服务器从密钥管理中心获取加密后的会话密钥，下发给终端设备，不仅增加了运营商对保密通信的控制力，还提高了系统的处理效率，同时引入的密钥管理中心实现了用户对密钥全生命周期的管理，增加了用户之间保密通信业务执行的安全性。\n附图说明\n[0089] 图1为SDES密钥管理的工作流程示意图；\n[0090] 图2为KMS密钥管理的流程示意图；\n[0091] 图3为本发明实施例一提供的一种保密通信业务的处理方法的流程示意图；\n[0092] 图4为本发明实施例二提供的一种保密通信业务的处理方法的流程示意图；\n[0093] 图5为本发明实施例三提供的一种保密通信业务的处理方法的流程示意图；\n[0094] 图6为本发明实施例四提供的一种保密通信业务的处理方法的流程示意图；\n[0095] 图7为本发明实施例五提供的一种用于保密通信业务的加密应用服务器的结构示意图；\n[0096] 图8为本发明实施例六提供的一种执行保密通信业务的终端设备的结构示意图；\n[0097] 图9为本发明实施例七提供的一种用于保密通信业务的密钥管理中心的结构示意图；\n[0098] 图10为本发明实施例八提供的一种保密通信业务的处理系统的结构示意图。\n具体实施方式\n[0099] 为了实现本发明的目的，本发明实施例提供了一种保密通信业务的处理方法、设备和系统，在IMS网络中引入加密应用服务器和密钥管理中心，通过加密应用服务器在接收到第一终端设备发送的用于表征第一终端设备与第二终端设备之间需要建立保密通信业务的保密通信业务建立请求消息，将保密通信业务建立请求消息中包含的用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给第一终端设备和第二终端设备所属的密钥管理中心，请求密钥管理中心为第一终端设备和第二终端设备之间需要建立的保密通信业务产生会话密钥，并在接收到密钥管理中心返回的加密后的会话密钥时，将该加密后的会话密钥发送给第一终端设备，使得第一终端设备能够利用该会话密钥实现与第二终端设备之间的保密通信。\n[0100] 这样，通过加密应用服务器使得保密通信作为运营商提供给用户的一种业务实现，并且加密应用服务器从密钥管理中心获取加密后的会话密钥，下发给终端设备，不仅增加了运营商对保密通信的控制力，还提高了系统的处理效率，同时引入的密钥管理中心实现了用户对密钥全生命周期的管理，增加了用户之间保密通信业务执行的安全性。\n[0101] 需要说明的是，本发明实施例应用的系统架构包括但不限于IMS核心网络（例如：\n包含了SBC（Session Border Controller，会话边界控制器）、P-CSCF（Proxy Call Session Control Function，代理呼叫会话控制功能）、S-CSCF（Serving Call Session Control Function，服务呼叫会话控制功能）、HSS（Home Subscriber Server，归属用户服务器）、MGCF（Media Gateway Control Function，媒体网关控制功能）、MGW（Media Gateway，媒体网关）等网元设备；此外，当系统构架中包含了SIP（Session Initiation Protocol，会话初始协议）服务器时，也可以使用本发明实施例提供的技术方案，实现由SIP系统为用户提供保密通信业务，这里不做具体限定。\n[0102] 本发明各个实施例中涉及的加密应用服务器（EAS，Encryption Application Server），用于为终端设备提供保密通信业务（其中，保密通信业务包括但不限于加密语音通话业务、加密视频通话业务、加密会议通话业务、加密短信业务、加密文件传输业务、加密邮件业务等）。EAS具备的功能包括：一方面，EAS兼容有IMS网络系统中AS（Application Server，应用服务器）会话业务逻辑出发功能，能够从IMS网络的核心实体S-CSCF中接收终端设备发起的业务请求消息，触发保密通信业务以及负责各种控制面呼叫处理和连接控制，并对执行的业务进行计费；另一方面，EAS通过设置的安全接口与密钥管理中心（KMC，Key Management Center）进行通信，能够根据业务处理逻辑完成终端设备在KMC上的注册、身份鉴权、密钥管理等方面信息的传输，支持终端设备与KMC之间的信令交互。\n[0103] 本发明各个实施例中涉及的密钥管理中心（KMC），用于对保密通信业务需要的密钥进行管理，具体包括但不限于：生成密钥、注入密钥、分发密钥、存储密钥、归档密钥、导出密钥、更新密钥以及销毁密钥等在内的全生命周期的密钥管理。KMC通过安全接口与EAS进行通信，能够通过EAS接收来自终端设备的密码请求消息，完成终端设备的注册、身份鉴权、密钥分发等操作，还能够通过EAS向终端设备中的密码模块下发控制指令，实现对终端设备中的密码模块的远程控制，例如：KMC实现对终端设备中包含了密码模块的管理，能够远程销毁终端设备中的密码模块。\n[0104] 此外，为了提升用户对运营商保密业务服务的信任度，实现用户对KMC的自行部署。\n[0105] 本发明各个实施例中涉及的终端设备，该终端设备包含了IP通信模块和密码通信模块。其中，IP通信模块支持SIP通信协议，具有IMS通信能力，支持终端在IMS系统的登录/注销、身份认证、呼叫控制与处理等功能；密码模块负责终端密钥管理并执行加解密算法，在控制面，实现与KMC进行信令交互获得会话密钥，在媒体面，利用获取的会话密钥建立与对端设备的安全关联，实现通信业务的保密传输。\n[0106] 下面结合说明书附图对本发明各个实施例进行详细描述。\n[0107] 实施例一：\n[0108] 如图3所示，为本发明实施例一提供的一种保密通信业务的处理方法的流程示意图，所述方法可以如下所述。\n[0109] 步骤101：EAS接收第一终端设备发送的保密通信业务建立请求消息。\n[0110] 其中，所述保密通信业务建立请求消息用于表征所述第一终端设备与第二终端设备之间需要建立保密通信业务，所述保密通信业务建立请求消息中包含了用于获取会话密钥的参数信息。\n[0111] 在步骤101中，第一终端设备在呼叫第二终端设备时，向IMS网络发送保密通信业务建立请求消息，并由IMS网络核心网将该保密通信业务请求消息转发给EAS，告知EAS第一终端设备将与第二终端设备之间建立保密通信业务。\n[0112] 需要说明的是，此时第一终端设备发送的保密通信业务建立请求消息可以通过第一终端设备发起的呼叫建立请求消息实现，也就是说，在第一终端设备发起呼叫第二终端设备之时，向IMS网络发送呼叫建立消息，此时该呼叫建立消息具备两个功能：1、请求与第二终端设备之间建立呼叫连接；2、建立呼叫连接的同时触发保密通信业务。\n[0113] 或者，此时第一终端发送的保密通信业务建立请求消息是在第一终端设备发起呼叫建立请求消息之后随机触发的。\n[0114] 例如，第一终端设备在与第二终端设备成功建立呼叫链路之后，并在呼叫业务处理的过程中，向IMS网络发送保密通信业务建立请求消息，并由IMS网络核心网将该保密通信业务请求消息转发给EAS，告知EAS第一终端设备需要与第二终端设备之间进行保密通信业务。\n[0115] 也就是说，终端设备之间的呼叫连接建立与保密通信业务触发可以是同时执行的，也可以是不同时执行的，先触发保密通信业务，再建立呼叫连接，或者先建立呼叫连接，再触发保密通信业务都可以。\n[0116] 加密应用服务器在接收到第一终端设备发送的保密通信业务建立请求消息时，启动后续保密通信业务处理流程。\n[0117] 步骤102：所述EAS将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC。\n[0118] 其中，所述会话密钥请求消息用于表征请求所述KMC为所述第一终端设备和所述第二终端设备之间需要建立的保密通信业务产生会话密钥。\n[0119] 所述用于获取会话密钥的参数信息中包含了所述第一终端设备的标识信息和所述第二终端设备的标识信息。\n[0120] 需要说明的是，用于获取会话密钥的参数信息中至少包含了第一终端设备的标识信息、第二终端设备的标识信息、随机数等。\n[0121] 在步骤102中，EAS根据所述第一终端设备的标识信息和所述第二终端设备的标识信息，确定第一终端设备和第二终端设备所属的密钥管理中心KMC。\n[0122] 需要说明的是，本次呼叫建立的主被叫终端设备所属的密钥管理中心是同一个密钥管理中心，即第一终端设备和第二终端设备注册登录同一个密钥管理中心。\n[0123] 这里，同一个集团用户群的主被叫终端设备组合成一个用户域，同一用户域内包含了至少一个密钥管理中心。\n[0124] 也就是说，EAS根据第一终端设备的标识信息和第二终端设备的标识信息，确定第一终端设备和第二终端设备所属的用户域，并从该用户域内包含的至少一个密钥管理中心中选择一个密钥管理中心。\n[0125] EAS将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给确定的密钥管理中心KMC。\n[0126] 具体地，EAS通过安全接口向确定的KMC发送会话密钥请求消息，请求确定的密钥管理中心为第一终端设备和第二终端设备之间需要建立的保密通信业务产生会话密钥。\n[0127] 步骤103：所述EAS接收所述KMC返回的加密后的会话密钥，并将加密后的所述会话密钥发送给所述第一终端设备。\n[0128] 使得所述第一终端设备能够利用所述会话密钥实现与所述第二终端设备之间的保密通信。\n[0129] 其中，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的。\n[0130] 在步骤103中，所述EAS将加密后的会话密钥发送给所述第一终端设备的方式，包括：\n[0131] 所述EAS通过IMS网络信令将加密后的会话密钥发送给所述第一终端设备。\n[0132] 具体地，所述EAS通过IMS网络中的SIP信令将加密后的会话密钥发送给所述第一终端设备。\n[0133] 例如：SIP信令包含但不限于：MESSAGE消息、OPTIONS、INFO等。\n[0134] 或者，所述EAS通过IMS网络中的呼叫处理消息将加密后的会话密钥发送给所述第一终端设备。\n[0135] 例如：呼叫建立响应消息、会话处理消息等。\n[0136] 具体地，第一终端设备与第二终端设备之间的呼叫建立与保密通信业务建立同步实施时，EAS在向KMC发送会话密钥请求消息之后，即可将第一终端设备发起的呼叫第二终端设备的呼叫建立请求消息转发给第二终端设备，试图与第二终端设备建立呼叫连接。\n[0137] 同时，EAS在接收到KMC发送的加密的会话密钥时，确定是否接收到第二终端设备的呼叫建立响应消息，并在接收到第二终端设备的呼叫建立响应消息时，利用接收到的呼叫建立响应消息将加密后的会话密钥发送给所述第一终端设备。\n[0138] 需要说明的是，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的，具体实施方式包括但不限于：\n[0139] 首先，KMC在接收到EAS发送的会话密钥请求消息之后，生成针对第一终端设备与第二终端设备之间建立保密通信业务的会话密钥。\n[0140] 需要说明的是，KMC在接收到EAS发送的会话密钥请求消息之后，生成的会话密钥可以是随机产生的，也可以是根据该会话密钥请求消息中携带的用于获取会话密钥的参数信息确定的，例如：利用用于获取会话密钥的参数信息中的随机数信息生成的会话密钥等等，这里不做限定。\n[0141] 其次，为了保证会话密钥在通信链路中传输的安全性，KMC对生成的会话密钥进行加密处理。\n[0142] 由于KMC是用户部署的，那么用户所使用的终端设备在进行通信时，可以先注册登录KMC，并在登录时，KMC为该终端设备生成一个保护密钥，KMC在本地存储终端设备的标识信息和该保护密钥的对应关系，那么后续终端设备发起保密通信业务时，KMC就能够利用该保护密钥对生成的会话密钥进行加密处理，既能够保证会话密钥在通信链路传输过程中的安全性，还能够使得终端接收到加密后的会话密钥时，准确解密，获取真正的会话密钥，提高了保密通信业务的效率，保障了通信的安全。\n[0143] 此时，所述KMC根据所述用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对产生的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及根据所述用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥，并利用所述第二保护密钥对产生的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥。\n[0144] 最后，将包含了利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥的加密后的会话密钥发送给EAS。\n[0145] 具体地，KMC通过会话密钥响应消息将加密后的会话密钥发送给EAS。\n[0146] 其中，所述会话密钥响应消息中可以包含了加密后的会话密钥（即加密后的会话密钥是一个数据包，只是该会话密钥分为两部分，一部分内容利用第一保护密钥加密生成的会话密钥得到，另一部分利用第二保护密钥加密生成的会话密钥得到），也可以包含了利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥，这里不做限定。\n[0147] 具体地，当KMC通过会话密钥响应消息将利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥发送给EAS时，说明KMC发送给EAS的是两个不同数据包，一个数据包是利用第一保护密钥加密后的会话密钥，另一个数据包是利用第二保护密钥加密后的会话密钥。\n[0148] 可选地，KMC在得到利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥时，建立第一保护密钥对应的第一终端设备标识与利用第一保护密钥加密后的会话密钥的对应关系，以及建立第二保护密钥对应的第二终端设备标识与利用第二保护密钥加密后的会话密钥的对应关系，并在发送利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥给EAS的同时，将建立的对应关系也发送给EAS，这样使得EAS将加密后的会话密钥转发给第一终端设备之后，利用该对应关系，快速确定与自身的标识信息对应的加密后的会话密钥，这样加快了系统业务处理的速度，提高系统作业的效率。\n[0149] 在本发明的另一个实施例中，所述EAS将加密后的会话密钥发送给所述第二终端设备，使得所述第二终端设备能够利用所述会话密钥实现与所述第一终端设备之间的保密通信。\n[0150] 也就是说，EAS在接收到KMC发送的加密后的会话密钥之后，同时向第一终端设备和第二终端设备发送所述加密后的会话密钥。\n[0151] 例如，第一终端设备与第二终端设备之间的呼叫建立与保密通信业务建立同步实施时，EAS在向KMC发送会话密钥请求消息之后，即可将第一终端设备发起的呼叫第二终端设备的呼叫建立请求消息转发给第二终端设备，试图与第二终端设备建立呼叫连接。\n[0152] 同时，EAS在接收到KMC发送的加密后的会话密钥时，确定是否接收到第二终端设备的呼叫建立响应消息，并在接收到第二终端设备的呼叫建立响应消息时，同时向第一终端设备和第二终端设备发送加密后的会话密钥。\n[0153] 在第一终端设备和第二终端设备接收到EAS发送的加密后的会话密钥之后，分别利用自身登录KMC生成的保护密钥对加密后的会话密钥进行解密，得到KMC产生的会话密钥，并在第一终端设备和第二终端设备之间的媒体面传输通道建立后，在建立的媒体面传输通道中利用会话密钥传输通信业务。\n[0154] 需要说明的是，在EAS获取了KMC为第一终端设备和第二终端设备之间执行保密通信业务的加密后的会话密钥之后，向第一终端设备发送加密后的会话密钥的次数不限于一次，可以重复多次，以保证传输的正确性。\n[0155] 需要说明的是，假设EAS接收到的KMC返回的加密后的会话密钥属于一个数据包时，EAS将包含一个数据包的加密后的会话密钥分别发送给第一终端设备和第二终端设备；\n假设EAS接收到的KMC返回的加密后的会话密钥属于两个数据包，即一个数据包是利用第一保护密钥进行加密的会话密钥，另一个数据包是利用第二保护密钥进行加密的会话密钥时，EAS可以将包含了两个数据包的加密后的会话密钥分别发送给第一终端设备和第二终端设备；EAS还可以分别确定不同数据包对应的终端设备，将包含了利用第一保护密钥进行加密的会话密钥的数据包发送给第一终端设备，将包含了利用第二保护密钥进行加密的会话密钥的数据包发送给第二终端设备，这里不做具体限定。\n[0156] 通过本发明实施例一的方案，在IMS网络中引入加密应用服务器和密钥管理中心，通过加密应用服务器在接收到第一终端设备发送的用于表征第一终端设备与第二终端设备之间需要建立保密通信业务的保密通信业务建立请求消息，将保密通信业务建立请求消息中包含的用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给第一终端设备和第二终端设备所属的密钥管理中心，请求密钥管理中心为第一终端设备和第二终端设备之间需要建立的保密通信业务产生会话密钥，并在接收到密钥管理中心返回的加密后的会话密钥时，将该加密后的会话密钥发送给第一终端设备，使得第一终端设备能够利用该会话密钥实现与第二终端设备之间的保密通信。\n[0157] 这样，通过加密应用服务器使得保密通信作为运营商提供给用户的一种业务实现，并且加密应用服务器从密钥管理中心获取加密后的会话密钥，下发给终端设备，不仅增加了运营商对保密通信的控制力，还提高了系统的处理效率，同时引入的密钥管理中心实现了用户对密钥全生命周期的管理，增加了用户之间保密通信业务执行的安全性。\n[0158] 实施例二：\n[0159] 如图4所示，为本发明实施例二提供的一种保密通信业务的处理方法的流程示意图，本发明实施例二是与本发明实施例一在同一发明构思下的发明，本发明实施例二是站在终端设备角度对本发明涉及的保密通信业务的处理方法的详细描述。所述方法可以如下所述。\n[0160] 步骤201：第一终端设备向加密应用服务器EAS发送保密通信业务建立请求消息。\n[0161] 其中，所述保密通信业务建立请求消息用于表征所述第一终端设备与第二终端设备之间需要建立保密通信业务，所述保密通信业务建立请求消息中包含了用于获取会话密钥的参数信息。\n[0162] 在步骤201中，第一终端设备在呼叫第二终端设备时，向IMS网络发送保密通信业务建立请求消息，并由IMS网络核心网将该保密通信业务请求消息转发给EAS，告知EAS第一终端设备将与第二终端设备之间建立保密通信业务。\n[0163] 需要说明的是，此时第一终端设备发送的保密通信业务建立请求消息可以通过第一终端设备发起的呼叫建立请求消息实现，也就是说，在第一终端设备发起呼叫第二终端设备之时，向IMS网络发送呼叫建立消息，此时该呼叫建立消息具备两个功能：1、请求与第二终端设备之间建立呼叫连接；2、建立呼叫连接的同时触发保密通信业务。\n[0164] 或者，此时第一终端发送的保密通信业务建立请求消息是在第一终端设备发起呼叫建立请求消息之后随机触发的。\n[0165] 例如，第一终端设备在与第二终端设备成功建立呼叫链路之后，并在呼叫业务处理的过程中，向网络侧的EAS发送保密通信业务建立请求消息，告知EAS第一终端设备需要与第二终端设备之间进行保密通信。\n[0166] 也就是说，终端设备之间的呼叫建立连接与保密通信业务触发可以是同时执行的，也可以是不同时执行的，先触发保密通信业务，再建立呼叫连接，或者先建立呼叫连接，再触发保密通信业务都可以，这里不做具体限定。\n[0167] 使得加密应用服务器在接收到第一终端设备发送的保密通信业务建立请求消息时，启动后续保密通信业务处理流程。\n[0168] 步骤202：所述第一终端设备接收所述EAS发送的加密后的会话密钥。\n[0169] 其中，所述加密后的会话密钥是所述EAS将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC，由所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的，所述会话密钥请求消息用于表征请求所述KMC为所述第一终端设备和所述第二终端设备之间需要建立的保密通信业务产生会话密钥。\n[0170] 在步骤202中，加密应用服务器如何获取加密后的会话密钥的，在本发明实施例一中做了详细描述，这里不做赘述。\n[0171] 步骤203：所述第一终端设备在接收所述EAS发送的加密后的会话密钥时，利用登录所述KMC时产生的第一保护密钥对所述加密后的会话密钥进行解密，得到所述KMC为所述第一终端设备与所述第二终端设备之间进行保密通信业务产生的会话密钥。\n[0172] 其中，所述加密后的会话密钥包含了利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥。\n[0173] 在步骤203中，由于所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的，具体实施方式包括但不限于：\n[0174] 首先，KMC在接收到EAS发送的会话密钥请求消息之后，生成针对第一终端设备与第二终端设备之间建立保密通信业务的会话密钥。\n[0175] 需要说明的是，KMC在接收到EAS发送的会话密钥请求消息之后，生成的会话密钥可以是随机产生的，也可以是根据该会话密钥请求消息中携带的用于获取会话密钥的参数信息确定的，例如：利用用于获取会话密钥的参数信息中的随机数信息生成的会话密钥等等，这里不做限定。\n[0176] 其次，为了保证会话密钥在通信链路中传输的安全性，KMC对生成的会话密钥进行加密处理。\n[0177] 由于KMC是用户部署的，那么用户所使用的终端设备在进行通信时，可以先注册登录KMC，并在登录时，KMC为该终端设备生成一个保护密钥，KMC在本地存储终端设备的标识信息和该保护密钥的对应关系，那么后续终端设备发起保密通信业务时，KMC就能够利用该保护密钥对生成的会话密钥进行加密处理，既能够保证会话密钥在通信链路传输过程中的安全性，还能够使得终端接收到加密后的会话密钥时，准确解密，获取真正的会话密钥，提高了保密通信业务的效率，保障了通信的安全。\n[0178] 此时，所述KMC根据所述用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对产生的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及根据所述用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥，并利用所述第二保护密钥对产生的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥。\n[0179] 最后，将包含了利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥的加密后的会话密钥发送给EAS。\n[0180] 其中，所述会话密钥响应消息中可以包含了加密后的会话密钥（即加密后的会话密钥是一个数据包，只是该会话密钥分为两部分，一部分内容利用第一保护密钥加密生成的会话密钥得到，另一部分利用第二保护密钥加密生成的会话密钥得到），也可以包含了利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥，这里不做限定。\n[0181] 具体地，当KMC通过会话密钥响应消息将利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥发送给EAS时，说明KMC发送给EAS的是两个不同数据包，一个数据包是利用第一保护密钥加密后的会话密钥，另一个数据包是利用第二保护密钥加密后的会话密钥。\n[0182] 可选地，KMC在得到利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥时，建立第一保护密钥对应的第一终端设备标识与利用第一保护密钥加密后的会话密钥的对应关系，以及建立第二保护密钥对应的第二终端设备标识与利用第二保护密钥加密后的会话密钥的对应关系，并在发送利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥给EAS的同时，将建立的对应关系也发送给EAS，这样使得EAS将加密后的会话密钥转发给第一终端设备之后，利用该对应关系，快速确定与自身的标识信息对应的加密后的会话密钥，这样加快了系统业务处理的速度，提高系统作业的效率。\n[0183] 因此，当第一终端设备接收到的加密后的会话密钥属于一个数据包时，第一终端设备利用登录所述KMC时产生的第一保护密钥对所述加密后的会话密钥进行解密，得到所述KMC为所述第一终端设备与所述第二终端设备之间进行保密通信业务产生的会话密钥。\n[0184] 当第一终端设备接收到的加密后的会话密钥包含了两个数据包时，即接收到的加密后的会话密钥包含了利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥，此时，第一终端设备只能通过第一保护密钥对利用第一保护密钥加密后的会话密钥进行解密，得到所述KMC为所述第一终端设备与所述第二终端设备之间进行保密通信业务产生的会话密钥，为后续与第二终端设备进行保密通信做准备。\n[0185] 可选地，当第一终端设备接收到的加密后的会话密钥包含了利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥时，还可以根据KMC建立的终端设备的标识信息与加密后的会话密钥之间的对应关系，确定第一终端设备标识对应的利用第一保护密钥加密后的会话密钥，并利用第一保护密钥对利用第一保护密钥加密后的会话密钥进行解密，得到所述KMC为所述第一终端设备与所述第二终端设备之间进行保密通信业务产生的会话密钥。\n[0186] 步骤204：所述第一终端设备在接收所述EAS发送的加密后的会话密钥时，将所述加密后的会话密钥发送给所述第二终端设备。\n[0187] 在步骤204中，所述第一终端设备将所述加密后的会话密钥发送给所述第二终端设备的方式包括但不限于：\n[0188] 第一种方式：\n[0189] 所述第一终端设备通过IMS网络信令将所述加密后的会话密钥发送给所述第二终端设备。\n[0190] 具体地，不管在第一终端设备与第二终端设备之间的媒体面数据传输通道是否建立完成，第一终端在接收到EAS发送的会话密钥时，利用IMS网络信令将所述加密后的会话密钥发送给所述第二终端设备。\n[0191] 需要说明的是，IMS网络信令包含但不限于SIP信令、呼叫处理消息等。\n[0192] 所述第一终端设备通过SIP信令将所述加密后的会话密钥发送给所述第二终端设备。\n[0193] 例如：SIP信令包含但不限于：MESSAGE消息、OPTIONS、INFO等。\n[0194] 所述第一终端设备通过临时响应确认消息PRACK将所述加密后的会话密钥发送给所述第二终端设备。\n[0195] 具体地，为了节省系统信令开销，可以采用信令捎带传输的方式，即所述第一终端设备在接收到EAS通过第二终端设备发送的呼叫建立响应消息传输的加密后的会话密钥时，在对呼叫建立响应消息进行正确处理后，向第二终端设备返回临时确认消息PRACK时，将所述加密后的会话密钥携带在临时确认消息PRACK中发送给所述第二终端设备。\n[0196] 第二种方式：\n[0197] 所述第一终端设备通过建立的与第二终端设备的媒体面数据传输通道将所述加密后的会话密钥发送给所述第二终端设备。\n[0198] 具体地，所述第一终端设备在接收到EAS发送的会话密钥时，并确定与第二终端设备之间的媒体面传输通道建立完成后，利用建立的媒体面传输通道将所述加密后的会话密钥发送给所述第二终端设备。\n[0199] 具体地，当第一终端设备接收到的加密后的会话密钥属于一个数据包时，第一终端设备将包含一个数据包的加密后的会话密钥发送给第二终端设备；当第一终端设备接收到的加密后的会话密钥属于两个数据包时，即一个数据包是利用第一保护密钥进行加密的会话密钥，另一个数据包是利用第二保护密钥进行加密的会话密钥时，第一终端设备可以将包含了两个数据包的加密后的会话密钥同时发送给第二终端设备；第一终端设备EAS可以分别确定不同数据包对应的终端设备，将包含了利用第二保护密钥进行加密的会话密钥的数据包发送给第二终端设备，这里不做具体限定。\n[0200] 需要说明的是，本发明实施例二中步骤203和步骤204没有执行先后顺序的区分，可以按照本发明实施例所述的顺序实施，还可以先执行步骤204，再执行步骤203，也可以是步骤203和步骤204同时实施。\n[0201] 实施例三：\n[0202] 如图5所示，本发明实施例三提供的一种保密通信业务的处理方法的流程示意图。\n本发明实施例三是与本发明实施例一～实施例二属于同一发明构思下的发明，本发明实施例三是站在密钥管理中心侧对本发明实施例一中各个步骤的详细描述。所述方法可以如下所述。\n[0203] 步骤301：密钥管理中心KMC接收加密应用服务器EAS发送的会话密钥请求消息。\n[0204] 其中，所述会话密钥请求消息用于表征请求所述KMC为第一终端设备和第二终端设备之间需要建立的保密通信业务产生会话密钥。\n[0205] 所述会话密钥请求消息中包含了用于获取会话密钥的参数信息。\n[0206] 所述用于获取会话密钥的参数信息是所述EAS接收到的所述第一终端设备发送的用于表征所述第一终端设备与所述第二终端设备之间需要建立保密通信业务的保密通信业务建立请求消息中携带的。\n[0207] 步骤302：KMC向所述EAS返回加密后的会话密钥。\n[0208] 以便于所述EAS将加密后的所述会话密钥发送给所述第一终端设备，使得所述第一终端设备能够利用所述会话密钥实现与所述第二终端设备之间的保密通信。\n[0209] 其中，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的。\n[0210] 所述用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息和第二终端设备的标识信息。\n[0211] 在步骤302中，所述KMC向所述EAS返回加密后的会话密钥的方式包括但不限于：\n[0212] 首先，所述KMC生成用于为所述第一终端设备与所述第二终端设备之间执行保密通信业务需要的会话密钥。\n[0213] 需要说明的是，KMC在接收到EAS发送的会话密钥请求消息之后，生成的会话密钥可以是随机产生的，也可以是根据该会话密钥请求消息中携带的用于获取会话密钥的参数信息确定的，例如：利用用于获取会话密钥的参数信息中的随机数信息生成的会话密钥等等，这里不做限定。\n[0214] 其次，为了保证会话密钥在通信链路中传输的安全性，KMC对生成的会话密钥进行加密处理。\n[0215] 由于KMC是用户部署的，那么用户所使用的终端设备在进行通信时，可以先注册登录KMC，并在登录时，KMC为该终端设备生成一个保护密钥，KMC在本地存储终端设备的标识信息和该保护密钥的对应关系，那么后续终端设备发起保密通信业务时，KMC就能够利用该保护密钥对生成的会话密钥进行加密处理，既能够保证会话密钥在通信链路传输过程中的安全性，还能够使得终端接收到加密后的会话密钥时，准确解密，获取真正的会话密钥，提高了保密通信业务的效率，保障了通信的安全。\n[0216] 此时，所述KMC根据用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对生成的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及根据用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥；并利用所述第二保护密钥对生成的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥。\n[0217] 最后，所述KMC将所述利用第一保护密钥加密后的会话密钥和所述利用第二保护密钥加密后的会话密钥作为加密后的会话密钥，通过密钥响应消息发送给所述EAS。\n[0218] 实施例四：\n[0219] 如图6所示，本发明实施例四提供的一种保密通信业务的处理方法的流程示意图。\n本发明实施例四是与本发明实施例一～本发明实施例三在同一发明构思下的发明，本发明实施例四以终端设备A和终端设备B需要执行保密通信业务为例对本发明所述的技术方案进行详细描述。所述方法可以如下所述。\n[0220] 需要说明的是，终端设备A和终端设备B需要执行保密通信业务的时间可以是在终端设备A和终端设备B呼叫建立时，也可以是在终端设备A和终端设备B呼叫建立之后，这里不做限定。\n[0221] 步骤1：当用户通过终端设备A向终端设备B发起保密通信呼叫时，向IMS网络发起呼叫建立请求消息。\n[0222] 其中，所述呼叫建立请求消息可以是INVITE消息，用于告知IMS核心网需要与终端设备B建立加密会话连接。\n[0223] 所述呼叫建立请求消息中包含了终端设备A的标识信息（或者电话号码信息）和终端设备B的标识信息（或者电话号码信息）。\n[0224] 此时，所述呼叫建立请求消息中还携带了会话密钥请求消息。\n[0225] 在本发明的另一个实施例中，终端设备A发送的与终端设备B之间的呼叫建立请求消息，还可以只是用于告知IMS核心网需要与终端设备B建立会话连接；同时，终端设备A通过IMS信令（例如：MESSAGE消息）发送会话密钥请求消息，所述会话密钥请求消息用于告知IMS网络终端设备A与终端设备B之间需要建立加密会话连接。\n[0226] 步骤2：EAS在接收到呼叫建立请求消息时，根据终端设备A的标识信息和终端设备B的标识信息，确定终端设备A和终端设备B所属的用户域，并向该用户域内的一个密钥管理中心发送会话密钥请求消息。\n[0227] 步骤3：KMC为终端设备A和终端设备B产生一个会话密钥，并向EAS发送密钥响应消息。\n[0228] 其中，所述密钥响应消息中包含了加密后的会话密钥。\n[0229] 为了保证会话密钥在传输过程中不被泄露，KMC分别利用终端设备A和终端设备B登录KMC时产生的保护密钥对会话密钥进行加密保护。\n[0230] 步骤4：EAS向KMC发送会话密钥请求消息后，立即向终端设备B转发呼叫建立请求消息。\n[0231] 这样在会话密钥请求的同时，并行进行呼叫接续，以提高处理效率。\n[0232] 在本发明的另一个实施例中，EAS向KMC发送会话密钥请求消息后，等待KMC返回响应消息。\n[0233] 在接收到KMC发送的会话密钥响应消息之后，再向终端设备B转发呼叫建立请求消息，继续呼叫接续。\n[0234] 步骤5：EAS接收终端设备B返回的会话处理消息。\n[0235] 所述会话处理消息是终端设备B对接收到呼叫建立请求消息进行处理后返回的。\n[0236] 在本发明的另一个实施例中，若EAS在收到会话处理消息时，尚未接收到KMC发送的会话密钥响应消息，此时EAS需要等待KMC的反馈。\n[0237] 步骤6：EAS将接收到KMC反馈的密钥响应消息中的加密的会话密钥携带在会话处理消息中发送给终端设备A。\n[0238] 此时，在本发明的另一个实施例中，EAS将接收到KMC反馈的会话密钥响应消息中的保密通信密钥利用IMS信令发送给终端设备A和终端设备B。\n[0239] 步骤7：终端设备A在接收到加密后的会话密钥后，利用登录KMC时产生的第一保护密钥进行解密，得到KMC为本次通话产生的会话密钥。\n[0240] 在本发明的另一个实施例中，终端设备A通过以下几种方式将接收到的加密后的会话密钥发送给终端设备B：\n[0241] 第一种方式：\n[0242] 所述第一终端设备通过IMS网络信令将所述加密后的会话密钥发送给所述第二终端设备。\n[0243] 具体地，不管在第一终端设备与第二终端设备之间的媒体面数据传输通道是否建立完成，第一终端在接收到EAS发送的会话密钥时，利用IMS网络信令将所述加密后的会话密钥发送给所述第二终端设备。\n[0244] 或者，所述第一终端设备通过临时响应确认消息PRACK183将所述加密后的会话密钥发送给所述第二终端设备。\n[0245] 例如，为了节省系统信令开销，可以采用信令捎带传输的方式，即所述第一终端设备在接收到EAS通过第二终端设备发送的呼叫建立响应消息传输的加密后的会话密钥时，在对呼叫建立响应消息进行正确处理后，向第二终端设备返回临时确认消息PRACK时，将所述加密后的会话密钥携带在临时确认消息PRACK中发送给所述第二终端设备。\n[0246] 第二种方式：\n[0247] 所述第一终端设备通过建立的与所述第二终端设备之间的媒体面数据传输通道将所述加密后的会话密钥发送给所述第二终端设备。\n[0248] 具体地，所述第一终端设备在接收到EAS发送的会话密钥时，并确定与第二终端设备之间的媒体面传输通道建立完成后，利用建立的媒体面传输通道将所述加密后的会话密钥发送给所述第二终端设备。\n[0249] 步骤8：终端设备B在接收到加密后的会话密钥后，利用登录KMC时产生的第二保护密钥进行解密，得到KMC为本次通话产生的会话密钥。\n[0250] 步骤9：终端设备A和终端设备B在呼叫链路建立完成时，利用得到的会话密钥对通话数据进行加密，实现终端设备A和终端设备B之间的加密呼叫。\n[0251] 需要说明的是，本发明实施例四是对保密通信业务处理流程的粗略描述，涉及到的技术细节，可以采用本发明实施例一～实施三中描述所述的技术方案，这里不再详细描述。\n[0252] 实施例五：\n[0253] 如图7所示，为本发明实施例五提供的一种用于保密通信业务的加密应用服务器的结构示意图。本发明实施例五是与本发明实施例一～实施例四属于同一发明构思下的发明，所述加密应用服务器包括：接收模块11、发送模块12和处理模块13，其中：\n[0254] 接收模块11，用于接收第一终端设备发送的保密通信业务建立请求消息，其中，所述保密通信业务建立请求消息用于表征所述第一终端设备与第二终端设备之间需要建立保密通信业务，所述保密通信业务建立请求消息中包含了用于获取会话密钥的参数信息；\n[0255] 发送模块12，用于将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC，其中，所述会话密钥请求消息用于表征请求所述KMC为所述第一终端设备和所述第二终端设备之间需要建立的保密通信业务产生会话密钥；\n[0256] 处理模块13，用于接收所述KMC返回的加密后的会话密钥，并将加密后的所述会话密钥发送给所述第一终端设备，使得所述第一终端设备能够利用所述会话密钥实现与所述第二终端设备之间的保密通信，其中，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的。\n[0257] 具体地，所述用于获取会话密钥的参数信息中包含了所述第一终端设备的标识信息和所述第二终端设备的标识信息。\n[0258] 所述加密应用服务器还包括：确定模块14，其中：\n[0259] 确定模块14，用于在将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC之前，根据所述第一终端设备的标识信息和所述第二终端设备的标识信息，确定所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC。\n[0260] 具体地，所述处理模块13，还用于将加密后的会话密钥发送给所述第二终端设备，使得所述第二终端设备能够利用所述会话密钥实现与所述第一终端设备之间的保密通信。\n[0261] 所述处理模块13，具体用于通过IMS网络信令将加密后的会话密钥发送给所述第一终端设备和/或者第二终端设备。\n[0262] 具体地，所述加密后的会话密钥包含了利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥；\n[0263] 所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的，包括：\n[0264] 所述KMC根据所述用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对产生的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及\n[0265] 根据所述用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥，并利用所述第二保护密钥对产生的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥。\n[0266] 需要说明的是，本发明实施例五所述的加密应用服务器可以是硬件实现的物理实体单元，也可以是软件实现的逻辑部件，这里不做具体限定。\n[0267] 实施例六：\n[0268] 如图8所示，为本发明实施例六提供的一种执行保密通信业务的终端设备的结构示意图。本发明实施例六是与本发明实施例一至本发明实施例四在同一发明构思下的发明，所述终端设备包括：请求消息发送模块21和会话密钥接收模块22，其中：\n[0269] 请求消息发送模块21，用于向加密应用服务器EAS发送保密通信业务建立请求消息，其中，所述保密通信业务建立请求消息用于表征所述第一终端设备与第二终端设备之间需要建立保密通信业务，所述保密通信业务建立请求消息中包含了用于获取会话密钥的参数信息；\n[0270] 会话密钥接收模块22，用于接收所述EAS发送的加密后的会话密钥，其中，所述加密后的会话密钥是所述EAS将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC，由所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的，所述会话密钥请求消息用于表征请求所述KMC为所述第一终端设备和所述第二终端设备之间需要建立的保密通信业务产生会话密钥。\n[0271] 可选地，所述终端设备还包括：处理模块23，其中：\n[0272] 处理模块23，用于在接收所述EAS发送的加密后的会话密钥时，将所述加密后的会话密钥发送给所述第二终端设备。\n[0273] 所述处理模块23，具体用于通过IMS网络信令将所述加密后的会话密钥发送给所述第二终端设备；\n[0274] 或者，\n[0275] 通过建立的与所述第二终端设备之间的媒体面数据传输通道将所述加密后的会话密钥发送给所述第二终端设备。\n[0276] 所述终端设备还包括：解密模块24，其中：\n[0277] 解密模块24，用于在接收所述EAS发送的加密后的会话密钥时，利用登录所述KMC时产生的第一保护密钥对所述加密后的会话密钥进行解密，得到所述KMC为所述第一终端设备与所述第二终端设备之间进行保密通信业务产生的会话密钥。\n[0278] 需要说明的是，本发明实施例六所述的终端设备可以是硬件实现的物理实体单元，也可以是软件实现的逻辑部件，这里不做具体限定。\n[0279] 此外，本发明实施例六还包含了IP通信模块和密码通信模块。\n[0280] 其中，IP通信模块支持SIP通信协议，具有IMS通信能力，支持终端在IMS系统的登录/注销、身份认证、呼叫控制与处理等功能；密码模块负责终端密钥管理并执行加解密算法，在控制面，实现与KMC进行信令交互获得会话密钥，在媒体面，利用获取的会话密钥建立与对端设备的安全关联，实现通信业务的保密传输。\n[0281] 实施例七：\n[0282] 如图9所示，为本发明实施例七提供的一种用于保密通信业务的密钥管理中心的结构示意图。本发明实施例七是与本发明实施例一至实施例四属于同一发明构思下的发明，所述密钥管理中心包括：密钥请求接收模块31和密钥发送模块32，其中：\n[0283] 密钥请求接收模块31，用于接收加密应用服务器EAS发送的会话密钥请求消息，其中，所述会话密钥请求消息用于表征请求所述KMC为第一终端设备和第二终端设备之间需要建立的保密通信业务产生会话密钥，所述会话密钥请求消息中包含了用于获取会话密钥的参数信息，所述用于获取会话密钥的参数信息是所述EAS接收到的所述第一终端设备发送的用于表征所述第一终端设备与所述第二终端设备之间需要建立保密通信业务的保密通信业务建立请求消息中携带的；并\n[0284] 密钥发送模块32，用于向所述EAS返回加密后的会话密钥，以便于所述EAS将加密后的所述会话密钥发送给所述第一终端设备，使得所述第一终端设备能够利用所述会话密钥实现与所述第二终端设备之间的保密通信，其中，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的。\n[0285] 具体地，所述用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息和第二终端设备的标识信息；\n[0286] 所述密钥发送模块32，具体用于生成用于为所述第一终端设备与所述第二终端设备之间执行保密通信业务需要的会话密钥，根据用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对生成的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及\n[0287] 根据用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥；并利用所述第二保护密钥对生成的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥；\n[0288] 将所述利用第一保护密钥加密后的会话密钥和所述利用第二保护密钥加密后的会话密钥作为加密后的会话密钥，通过密钥响应消息发送给所述EAS。\n[0289] 需要说明的是，本发明实施例七所述的密钥管理中心可以是硬件实现的物理实体单元，也可以是软件实现的逻辑部件，这里不做具体限定。\n[0290] 实施例八：\n[0291] 如图10所示，为本发明实施例八提供的一种保密通信业务的处理系统的结构示意图，所述系统包括：加密应用服务器41、密钥管理中心42、第一终端设备43和第二终端设备\n44，其中：\n[0292] 所述第一终端设备43，用于向加密应用服务器EAS发送保密通信业务建立请求消息，并接收所述EAS发送的加密后的会话密钥，其中，所述保密通信业务建立请求消息用于表征所述第一终端设备与第二终端设备之间需要建立保密通信业务，所述保密通信业务建立请求消息中包含了用于获取会话密钥的参数信息。\n[0293] 所述加密应用服务器41，用于接收第一终端设备发送的保密通信业务建立请求消息，将用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC，并接收所述KMC返回的加密后的会话密钥，并将加密后的所述会话密钥发送给所述第一终端设备，其中，所述会话密钥请求消息用于表征请求所述KMC为所述第一终端设备和所述第二终端设备之间需要建立的保密通信业务产生会话密钥。\n[0294] 所述密钥管理中心42，用于接收加密应用服务器EAS发送的会话密钥请求消息，并向所述EAS返回加密后的会话密钥，其中，所述加密后的所述会话密钥是所述KMC根据所述用于获取会话密钥的参数信息对产生的会话密钥进行加密处理后得到的。\n[0295] 具体地，所述用于获取会话密钥的参数信息中包含了所述第一终端设备的标识信息和所述第二终端设备的标识信息；\n[0296] 所述加密应用服务器41，用于在将所述用于获取会话密钥的参数信息携带在会话密钥请求消息中发送给所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC之前，根据所述第一终端设备的标识信息和所述第二终端设备的标识信息，确定所述第一终端设备和所述第二终端设备所属的密钥管理中心KMC。\n[0297] 所述加密应用服务器41，还用于将加密后的会话密钥发送给所述第二终端设备，使得所述第二终端设备能够利用所述会话密钥实现与所述第一终端设备之间的保密通信。\n[0298] 所述加密应用服务器41，具体用于通过IMS网络信令将加密后的会话密钥发送给所述第一终端设备和/或者第二终端设备。\n[0299] 所述第一终端设备43，用于在接收所述EAS发送的加密后的会话密钥时，将所述加密后的会话密钥发送给所述第二终端设备。\n[0300] 所述第一终端设备43，具体用于通过IMS网络信令将所述加密后的会话密钥发送给所述第二终端设备；\n[0301] 或者，\n[0302] 通过建立的与所述第二终端设备之间的媒体面数据传输通道将所述加密后的会话密钥发送给所述第二终端设备。\n[0303] 所述加密后的会话密钥包含了利用第一保护密钥加密后的会话密钥和利用第二保护密钥加密后的会话密钥；\n[0304] 所述第一终端设备43，用于在接收所述EAS发送的加密后的会话密钥时，利用登录所述KMC时产生的第一保护密钥对所述加密后的会话密钥进行解密，得到所述KMC为所述第一终端设备与所述第二终端设备之间进行保密通信业务产生的会话密钥。\n[0305] 所述密钥管理中心42，具体用于生成用于为所述第一终端设备与所述第二终端设备之间执行保密通信业务需要的会话密钥，根据用于获取会话密钥的参数信息中包含的所述第一终端设备的标识信息，确定所述第一终端设备的标识信息对应的第一终端设备在登录所述KMC时产生的第一保护密钥，并利用所述第一保护密钥对生成的所述会话密钥进行加密运算，得到利用第一保护密钥加密后的会话密钥；以及\n[0306] 根据用于获取会话密钥的参数信息中包含的所述第二终端设备的标识信息，确定所述第二终端设备的标识信息对应的第二终端设备在登录所述KMC时产生的第二保护密钥；并利用所述第二保护密钥对生成的所述会话密钥进行加密运算，得到利用第二保护密钥加密后的会话密钥；\n[0307] 将所述利用第一保护密钥加密后的会话密钥和所述利用第二保护密钥加密后的会话密钥作为加密后的会话密钥，通过密钥响应消息发送给所述EAS。\n[0308] 本领域的技术人员应明白，本发明的实施例可提供为方法、装置（设备）、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。\n[0309] 本发明是参照根据本发明实施例的方法、装置（设备）和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。\n[0310] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。\n[0311] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。\n[0312] 尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。\n[0313] 显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。