[发明专利]通信系统中消息加密签名的方法及系统和设备

权利要求书

1.一种通信系统中消息加密的方法，其特征在于，终端为待发送的消息生成内容密钥，将所生成的内容密钥发送到公钥服务设备；

所述公钥服务设备使用需要知道该消息内容的实体的公钥对该内容密钥加密，并将加密后的所述内容密钥返回所述终端；

所述终端使用该内容密钥对该消息的内容加密，并将所述加密后的消息和所述经公钥加密的内容密钥向对端终端发送。

2.根据权利要求1所述的通信系统中消息加密的方法，其特征在于，所述终端在对所述消息的内容加密之前，将所述消息的内容发送给所述公钥服务设备，所述公钥服务设备使用第一私钥对所述消息的内容进行签名，并将所述签名后的消息返回所述终端；

所述终端使用所述内容密钥加密所述经签名的消息内容。

3.根据权利要求2所述的通信系统中消息加密的方法，其特征在于，所述第一私钥是所述公钥服务设备的私钥或所述终端的私钥。

4.根据权利要求1所述的通信系统中消息加密的方法，其特征在于，所述终端通过以下方式之一获取所述公钥服务设备的地址：

在所述终端上固定配置公钥服务设备的地址；

在所述终端获取IP地址时，通过动态主机配置协议通知其所述公钥服务设备的地址；

所述终端是移动终端时，在分组数据协议上下文建立过程中通知所述终端所述公钥服务设备的地址。

5.根据权利要求2所述的通信系统中消息加密的方法，其特征在于，所述消息是会话初始协议SIP消息，所述消息的内容为SIP消息的消息体和/或指定头域。

6.根据权利要求5所述的通信系统中消息加密的方法，其特征在于，在所述SIP消息中包含用于请求加密或签名的第一头域，所述第一头域包含以下之一或其任意组合：

指示终端请求签名或请求加密的信息；

标识所述消息中请求签名或加密的内容的信息；

指示所述需要知道该消息内容的实体的信息。

7.根据权利要求5所述的通信系统中消息加密的方法，其特征在于，在所述SIP消息中包含用于返回加密或签名后内容的第二头域，所述第二头域包含以下之一或其任意组合：

指示所述消息中请求签名或加密的内容的信息；

标识所述消息中经签名或加密后的内容的信息；

指示所述需要知道该消息内容的实体的信息。

8.根据权利要求5所述的通信系统中消息加密的方法，其特征在于，在所述SIP消息中包含可选标签，所述公钥范围设备在无能力加密或签名所述消息中的内容时，通过该标签返回失败指示。

9.根据权利要求1所述的通信系统中消息加密的方法，其特征在于，所述公钥服务设备从证书服务器获取所述需要知道消息内容的实体的公钥。

10.根据权利要求9所述的通信系统中消息加密的方法，其特征在于，所述公钥服务设备通过第一接口与所述证书服务器建立连接，获取所述需要知道消息内容的实体的公钥；

所述第一接口是超文本传输协议接口或SIP接口。

11.根据权利要求1至10中任一项所述的通信系统中消息加密的方法，其特征在于，所述终端通过第二接口与所述公钥服务设备之间建立安全连接，并通过所述安全连接与所述公钥服务设备进行信息的交互；

所述第二接口基于安全的连接协议；

所述第二接口是私有接口或SIP接口。

12.根据权利要求1至10中任一项所述的通信系统中消息加密的方法，其特征在于，所述公钥服务设备禁止普通维护人员对所述终端和公钥服务设备间的消息进行跟踪，并为所述消息的维护操作设置日志记录。

13.根据权利要求1至10中任一项所述的通信系统中消息加密的方法，其特征在于，所述公钥服务设备禁止保存所述终端的内容密钥。

14.根据权利要求1至10中任一项所述的通信系统中消息加密的方法，其特征在于，所述需要知道消息内容的实体是消息传递路径中的中间实体或对端终端。

15.一种通信系统中消息签名的方法，其特征在于，终端将需要签名的消息内容发送给公钥服务设备；

所述公钥服务设备使用第一私钥对所述消息内容进行签名，并将所述签名后的消息返回所述终端。