中国电信产品维护经理认证体系培训-加密通信

1、世界触手可及 加密通信加密通信 中国电信集团公司网络运行维护事业部 2015年5月 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 通过本课程的学习，掌握以下内容：通过本课程的学习，掌握以下内容： 了解加密通信的业务功能；了解加密通信的业务功能； 熟悉加密通信的业务平台系统；熟悉加密通信的业务平台系统； 熟悉加密通信的业务流程；熟悉加密通信的业务流程； 了解加密通信业务应急方案；了解加密通信业务应急方案； 初步具备加密通信故障定位和处理的能力。初步具备加密通信故障定位和处理的能力。 课程目标课程目标 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 加密通信的加密通信的

2、业务功能业务功能 加密通信的业加密通信的业 务平台系统务平台系统 加密通信的加密通信的 业务流程业务流程 加密通信业务平加密通信业务平 台的应急方案台的应急方案 故障处理案例故障处理案例 课课 程程 总总 体体 思思 路路 图图 本课程目的是：提升分公司政企客户支撑人员对加密通信产品的支撑技能 课程思路课程思路 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 提纲提纲 加密通信业务功能加密通信业务功能 加密通信平台介绍加密通信平台介绍 加密通信应急方案加密通信应急方案 故障处理指引故障处理指引 加密通信业务流程加密通信业务流程 让客户尽情享受信息新生活中国电信集团公司网络运行维护事

3、业部 业务概述业务概述 加密通信业务加密通信业务是基于中国电信 CDMA移动通信网络和安全管理 平台，通过为客户特别定制的、 内置国家密码管理局指配加密算 法的专用手机终端，利用商用密 码技术和信息安全技术，向客户 提供端到端手机通话加密、基于 终端的个人信息保护和丢失手机 安全保护等安全服务。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 业务功能业务功能 业务功能说 明 加密通话加密通话 功能功能 手动模式双方先建立普通（明文）通话，然后各自按下加密通话键，进入加密通话 自动模式 主叫方在起呼时直接选择加密通话，发起加密呼叫，如被叫也是本业务用户，则被叫接听后， 双方进行加密

4、通话 信息安全信息安全 保护功能保护功能 安全设置用户对本地安全功能进行设置，如安全模式开闭、设定加密联系人、设定安全模式密码等 密码清空对于安全模式密码，用户忘记或连续输错的场景下，用户可向中国电信申请远程对密码清空 丢失手机信 息保护 当手机丢失后，只要当前手机是开机在网状态，能远程对手机上的隐私信息进行擦除操作，用 户可申请远程对手机进行丢失手机信息保护(由于短信指令反馈机制方面的原因，不能承诺 100%能完全擦除) 说明：加密通信业务适用于个人隐私、商业秘密等非国家秘密信息的话音加密传输。 端到端全程加密 一话一密更安全 国家商密级认证 语音加密更放心 专用手机功能强 资料信息可隐藏

5、手机遗失不用急 远程指令可擦除 国内独家提供商密级 语音加密业务、拥有 国家密码管理局唯一 认证资质 端到端全程密文传 送，随机密钥，一 次通话一个密钥 隐藏特定联系人的 通讯录和通话记录 等资料信息 远程指令擦除存放在手 机上的联系人的通讯录 和通话记录等资料信息, 可以恢复到出厂设置 核心卖点 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 业务原理（业务原理（1 1） 中国电信cdma2000 1X安全通信产品是 利用密码技术、信息安全技术实现对手机 话音通信信息的加密，从而提高客户移动 通信的安全性。 1X安全通信产品适用于主被叫用户皆为 中国电信CDMA移动用户的情况，且

6、用 户都使用由中国电信定制的具备加密功能 的终端。 中国电信cdma2000 1X安全通信产品主 要针对政企客户及有加密产品需求的大中 型企业客户，提供民用级端到端的语音加 密服务。 该产品在中国电信CDMA移动网络内， 保证端到端语音保密，不管是在空口传输 还是核心网络内，整个端到端通道传输的 都是加密语音，提供了最大程度的民用级 通信保密。 系统架构图系统架构图 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 业务原理（业务原理（2 2） 主要功能模块主要功能模块 主要完成语音的加解密功能，在发送端对声码器输出的语音编码码流（EVRC 码流）进行加密之后传输给下一个处理模块，在

7、接收段对传给声码器的EVRC 码流进行首先解密然后再解编码。另外，还负责与KMC（密钥管理中心）的 会话密钥协商，通过安全的方式获得每次通话的会话密钥。 主要在控制面和媒体面保证经过加密的语音码流不被进行处理（如编解码转换， 回声抵消等），从而在接收端可以正确的加密和解码。涉及到的网元包括BSC 以及所有中间的媒体传输节点。 考虑到实现的复杂度，国家对密码的管理规定，目前的加密算法使用的是国有 SMS4算法（属于对称分组密码算法），为了能够正确的实现加解密，通信的双 方必须有一个相同的密钥来对语音码流进行加解密。在此、引入一个新的网元 KMC，KMC的作用主要是负责通信中密钥的分发以及多用户的

8、密钥管理，以及 对用户加密权限的验证等。本系统使用一次通话一个密钥的方法，密钥通过 KMC在用户触发加密请求的时候使用公钥密码体制安全的下发给通信的双方。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 提纲提纲 加密通信业务功能加密通信业务功能 加密通信平台介绍加密通信平台介绍 加密通信应急方案加密通信应急方案 故障处理指引故障处理指引 加密通信业务流程加密通信业务流程 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 网络架构组织网络架构组织 lKMCKMC以标准的以标准的MAPMAP消息与短消息中心、消息与短消息中心、HLRHLR、MSCMSC连接。连接。 lKMC

9、KMC与与IT IT系统相连，以实现用户业务开通以及计费。系统相连，以实现用户业务开通以及计费。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 会话密钥会话密钥Ks Ks Ks Ks是由是由KMCKMC调用密码机的密钥生成调用密码机的密钥生成 函数产生的，供某一次会话中双方函数产生的，供某一次会话中双方 终端对语音进行加解密的会话密钥终端对语音进行加解密的会话密钥 。 会话密钥会话密钥KsKs的长度为的长度为128bits128bits。 一话一密。一话一密。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 KMCKMC公私钥对公私钥对K0K0与与Kp Kp 终端利用

10、公钥终端利用公钥K0K0对发送给对发送给KMCKMC的关键信息进行加密保护。的关键信息进行加密保护。 KMCKMC用私钥用私钥KpKp对发送给终端的消息进行签名，终端用对发送给终端的消息进行签名，终端用K0K0进行签名验证进行签名验证 。 KMCKMC将版本号及公钥提供给终端厂商，预置与出厂加密通信终端。将版本号及公钥提供给终端厂商，预置与出厂加密通信终端。 KMCKMC支持对公私密钥进行更新支持对公私密钥进行更新 。 KMCKMC的公私钥对由密码机产生，并完成涉及的公私钥对由密码机产生，并完成涉及KMCKMC公私钥的密码运算。公私钥的密码运算。 公钥公钥K0K0长度为长度为4848字节，私钥

11、字节，私钥KpKp长度长度2424字节字节 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 终端临时公私钥对终端临时公私钥对Pa/PbPa/Pb与与Ka/Kb Ka/Kb PaPa与与KaKa为主叫终端临时产生的公私钥对为主叫终端临时产生的公私钥对 终端在发送给终端在发送给KMCKMC的消息中携带了的消息中携带了Pa Pa KMCKMC用用PaPa对会话密钥对会话密钥KsKs进行加密之后下发给终端进行加密之后下发给终端 终端用终端用KaKa解密获得会话密钥解密获得会话密钥KsKs。 PaPa与与KaKa在用户下一次发起密话请求时由新的临时公私钥对替换在用户下一次发起密话请求时由新的

12、临时公私钥对替换 。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 加密终端的实现加密终端的实现 加密模块实现逻辑 会话密钥协商 与KMC的相互认证 控制面的认证和密钥协商控制面的认证和密钥协商 媒体面的加解密功能媒体面的加解密功能 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 会话密钥协商会话密钥协商 当次加密通话结束后，终端销毁本次所用的会话密钥及临时公私钥对当次加密通话结束后，终端销毁本次所用的会话密钥及临时公私钥对 终端与终端与KMCKMC之间的消息交互通过特殊的短信实现之间的消息交互通过特殊的短信实现 每次发起密话请求前，终端自动产生一对临时公私钥。向每次

13、发起密话请求前，终端自动产生一对临时公私钥。向KMCKMC发起发起 密钥请求，携带自身公钥等信息密钥请求，携带自身公钥等信息 当当KMCKMC完成用户认证后，产生会话密钥，并进行加密和签名处理后完成用户认证后，产生会话密钥，并进行加密和签名处理后 下发给终端下发给终端 终端接收后进行解密和签名验证，然后获得会话密钥。终端接收后进行解密和签名验证，然后获得会话密钥。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 KMCKMC对用户和终端的认证与鉴权对用户和终端的认证与鉴权 l KMC KMC根据用户的根据用户的MDNMDN，查询用户的签约属性，查询用户的签约属性 。 l 根据用户的

14、根据用户的MDNMDN，获取，获取IMSIIMSI与与MEIDMEID。对终端绑定的用。对终端绑定的用 户，若户，若IMSIIMSI和和MEIDMEID与与KMCKMC保存的用户数据匹配，则用户保存的用户数据匹配，则用户 鉴权通过；若不匹配，则下发错误消息鉴权通过；若不匹配，则下发错误消息 。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 终端对终端对KMCKMC的认证的认证 KMCKMC在向终端下发消息时，利用私钥在向终端下发消息时，利用私钥KpKp对消息的内容做了签名处理，并对消息的内容做了签名处理，并 将生成的签名字段与消息一起下发给终端。将生成的签名字段与消息一起下发给终

15、端。 终端在收到消息之后，利用本地保存的终端在收到消息之后，利用本地保存的KMCKMC公钥公钥K0K0对消息进行签名验证。对消息进行签名验证。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 媒体面的加解密功能媒体面的加解密功能 获得会话密钥之后，终端利用得到的获得会话密钥之后，终端利用得到的 会话密钥对语音编码码流进行加解密。会话密钥对语音编码码流进行加解密。 声声 码码 器器 加加 密密 模模 块块 信信 道道 及及 射射 频频 处处 理理 普通语音 加密语音 基带 电电 源源 管管 理理 外外 围围 器器 件件 语音对称密码算法加解密：终端通过加载加密算法，在话音经过数字语音

16、编码之后对编码码流语音对称密码算法加解密：终端通过加载加密算法，在话音经过数字语音编码之后对编码码流 进行加密，从而实现对语音的加密。在接收端通过在话音解码器之前先引入解密软件实现解密进行加密，从而实现对语音的加密。在接收端通过在话音解码器之前先引入解密软件实现解密 加（解）密模块通过固件方式实现加（解）密模块通过固件方式实现 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 KMCKMC的功能的功能 用户数据的存储用户数据的存储 合法终端设备标识存储合法终端设备标识存储 KMCKMC公私钥版本管理公私钥版本管理 会话密钥会话密钥KsKs的生成和管理的生成和管理 密钥协商短信密钥协商

17、短信 KMCKMC签名信息签名信息 KMCKMC对用户和终端的认证与鉴权对用户和终端的认证与鉴权 KMCKMC公钥更新公钥更新 KMCKMC远程控制远程控制 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 用户数据用户数据 l MDNMDN 、IMSIIMSI 、MINMIN 、ESNESN 、MEIDMEID l 业务签约状态业务签约状态 永久数据永久数据 开通状态开通状态 绑定状态绑定状态 终端类型：终端类型：ESNESN MEID MEID 临时数据临时数据 l 临时公钥临时公钥 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 合法终端设备标识存储合法终端设备标识

18、存储 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 KMCKMC公私钥版本管理公私钥版本管理 lKMCKMC使用的第一对公私钥版本号为使用的第一对公私钥版本号为0 0，并将版本号及公钥提供给终端厂，并将版本号及公钥提供给终端厂 商，预置于出厂的加密通信终端。商，预置于出厂的加密通信终端。 l KMC KMC支持对公私密钥进行定期或不定期的更新支持对公私密钥进行定期或不定期的更新 。 l KMC KMC公私钥版本号长度公私钥版本号长度8bits8bits，KMCKMC的公私钥每次更新时，版本号加的公私钥每次更新时，版本号加1 1。 公私钥版本号从公私钥版本号从1 1到到255255

19、，循环更新，循环更新 。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 会话密钥会话密钥KsKs的生成和管理的生成和管理 KMCKMC接收到密钥请求信息后，调用密码机会话密钥生成函数接口，获得其接收到密钥请求信息后，调用密码机会话密钥生成函数接口，获得其 随机产生一个会话密钥随机产生一个会话密钥KsKs，实现一话一密，实现一话一密 。 KMC KMC对每次产生的会话密钥对每次产生的会话密钥KsKs，利用当前，利用当前KMCKMC私钥，调用密码机对称密码私钥，调用密码机对称密码 算法加密保存算法加密保存 。 会话密钥会话密钥KsKs存储于独立的存储空间，物理存储于独立的存储空间，物

20、理/ /逻辑上与逻辑上与KMCKMC其他管理功能独立其他管理功能独立 。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 密钥协商短信密钥协商短信 手动模式手动模式 用户先建立一个普通明话通话，之后双方约定同时通过按键操作申请进入密话通话用户先建立一个普通明话通话，之后双方约定同时通过按键操作申请进入密话通话 自动模式自动模式 用户在发起呼叫前，提供菜单或特殊按键供用户选择直接进入密话通话用户在发起呼叫前，提供菜单或特殊按键供用户选择直接进入密话通话 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 KMCKMC签名信息签名信息 KMCKMC通过自己的私钥调用密码机函数接

21、口获得签名信息，并在密钥响应消息通过自己的私钥调用密码机函数接口获得签名信息，并在密钥响应消息 中下发给终端中下发给终端 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 KMCKMC对用户和终端的认证与鉴权对用户和终端的认证与鉴权 KMC KMC根据用户的根据用户的MDNMDN，查询用户的签约属性，查询用户的签约属性 。 根据用户的根据用户的MDNMDN，获取，获取IMSIIMSI与与MEIDMEID。对终端绑定的用户，若。对终端绑定的用户，若IMSIIMSI和和 MEIDMEID与与KMCKMC保存的用户数据匹配，则用户鉴权通过；若不匹配，则下保存的用户数据匹配，则用户鉴权通过；

22、若不匹配，则下 发错误消息发错误消息 。 对终端未绑定的用户，对终端未绑定的用户，KMCKMC查询用户的查询用户的MEIDMEID是否位于是否位于MEIDMEID白名单白名单/ /黑名黑名 单中。若在白名单，则用户鉴权通过；若白名单未查询到，或在黑名单，则单中。若在白名单，则用户鉴权通过；若白名单未查询到，或在黑名单，则 下发错误消息下发错误消息 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 KMCKMC公钥更新公钥更新 KMCKMC支持公私钥对的定期或不定期更新支持公私钥对的定期或不定期更新 KMCKMC的公私钥对更新后，主动发起公钥更新流程的公私钥对更新后，主动发起公钥更新流

23、程 KMCKMC收到终端的密钥请求消息，发现收到终端的密钥请求消息，发现KMCKMC公钥版本不一致，发起公钥更新流程公钥版本不一致，发起公钥更新流程 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 KMCKMC远程控制远程控制 l KMC支持通过远程控制指令对终端进行安全信息擦除、终端安全密支持通过远程控制指令对终端进行安全信息擦除、终端安全密 码重置等操作码重置等操作 l 通过通过KMC的操作界面，允许管理员手工发起远程控制指令的操作界面，允许管理员手工发起远程控制指令 l 通过与通过与CRM的接口，执行接口指令，发起相应的远程控制操作的接口，执行接口指令，发起相应的远程控制操作

24、 l发送短信失败，可累计重发控制指令发送短信失败，可累计重发控制指令3次次 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 提纲提纲 加密通信业务功能加密通信业务功能 加密通信平台介绍加密通信平台介绍 加密通信应急方案加密通信应急方案 故障处理案例故障处理案例 加密通信业务流程加密通信业务流程 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 语音媒体透传语音媒体透传 基站、基站控制器和核心网设备（基站、基站控制器和核心网设备（MSCMSC、MGWMGW）都不做任何语音编解码处理）都不做任何语音编解码处理 网络须全程关闭回声抑制功能网络须全程关闭回声抑制功能 用户在使用媒

25、体透传业务时能实现切换用户在使用媒体透传业务时能实现切换 （含硬切换）（含硬切换） 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 特殊短信特殊短信 消息类型标志消息类型 0 x000 x00主叫密钥请求主叫密钥请求 0 x010 x01主叫密钥响应主叫密钥响应 0 x020 x02被叫加密通知消息被叫加密通知消息 0 x030 x03被叫密钥请求被叫密钥请求 0 x040 x04被叫密钥响应被叫密钥响应 0 x050 x05错误通知错误通知 0 x060 x06KMCKMC公钥更新公钥更新 0 x070 x07KMCKMC公钥更新响应公钥更新响应 0 x080 x08KMCKMC

26、公钥更新确认公钥更新确认 0 x090 x09远程控制指令远程控制指令 0 x0a0 x0a远程控制指令响应远程控制指令响应 0 x0b0 x0b其他其他 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 密钥请求短信密钥请求短信 消息类型消息类型 模式标记模式标记 KMC KMC公钥版本公钥版本 临时公钥临时公钥(Pa)(Pa) 密文密文 - IMSI - Hardware ID - 被叫号码被叫号码 密钥请求短信中的主要参数密钥请求短信中的主要参数 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 密钥响应短信密钥响应短信 l 消息类型消息类型 l 密文密文 l KMC

27、 签名信息签名信息 密钥请响应短信中的主要参数密钥请响应短信中的主要参数 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 密钥通知短信密钥通知短信 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 KMCKMC与终端短消息路由与终端短消息路由 KMCKMC与上海一对与上海一对HSTPHSTP开开4 4根根LinkLink，地位相当于短信中心，通过信令网与现网各省短信中心互连，地位相当于短信中心，通过信令网与现网各省短信中心互连 。 KMCKMC的短信接入码为：的短信接入码为：1891891000118918910001，出厂时预置于加密通信终端，出厂时预置于加密通信终端

28、上行路径，终端上行路径，终端-归属短信中心归属短信中心-KMC-KMC 下行路径，下行路径，KMC -KMC -归属短信中心归属短信中心-终端终端 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 手动模式手动模式 1 1、建立普通话音通话、建立普通话音通话 2 2、密钥协商、密钥协商 移动 终端1 移动 终端2 密钥管理 中心 1. 主叫密钥请求消息 3. 主叫密钥通知消息 2. 被叫密钥请求消息 4. 被叫密钥通知消息 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 手动模式手动模式 当终端与BSC之间的业务协商成功之后，BSC关闭声码器，同时关闭 回声抑制功能，启动

29、媒体透传流程，进入密话通话 。 主被叫终端收到密钥响应消息之后，分别启动与网络的业务切换协商过程。 终端向BSC送ServiceRequestMsg消息，其中使用业务选项80b0H来标识语音 加密业务。 BSC向终端返回ServiceConnectMsg，表示BSC接受终端的请求。 终端向BSC返回ServiceConnectComplete消息，表示终端和BSC之间达成一 致，由普通话音转化为语音透传业务 。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 自动模式自动模式 移动 终端1 移动 终端2 密钥管理 中心 1. 主叫密钥请求消息 2. 被叫加密通知消息 4. 主叫密钥

30、通知消息 3. 被叫密钥请求消息 5. 被叫密钥通知消息 1 1 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 KMCKMC公钥更新公钥更新 BSS MSC/ MSCe MSKMC SDB （KMC公钥更新） Adds Deliver （KMC公钥更新响应） SMDPP （KMC公钥更新响应） SDB （KMC公钥更新响应） HLR SMSREQ smsreq SMDPP （KMC公钥更新） Adds Deliver （KMC公钥更新） SDB （KMC公钥更新确认） SMDPP （KMC公钥更新确认） Adds Deliver （KMC公钥更新确认） 让客户尽情享受信息新生活中

31、国电信集团公司网络运行维护事业部 KMCKMC公钥更新公钥更新 BSS MSC/ MSCe MSKMC SDB （KMC公钥更新） Adds Deliver （KMC公钥更新响应） SMDPP （KMC公钥更新响应） SDB （KMC公钥更新响应） HLR SMSREQ smsreq SMDPP （KMC公钥更新） Adds Deliver （KMC公钥更新） Adds Deliver （主叫/被叫密钥请求） SMDPP （主叫/被叫密钥请求） SDB （主叫/被叫密钥请求） KMC公钥版 本不一致， 发起KMC公 钥更新流程 SDB （KMC公钥更新确认） SMDPP （KMC公钥更新确认）

32、 Adds Deliver （KMC公钥更新确认） 可继续完成加密通信密钥协商流程，呼叫不中断可继续完成加密通信密钥协商流程，呼叫不中断 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 安全信息擦除安全信息擦除 BSS MSC/ MSCe MSKMC SDB （安全信息擦除） Adds Deliver （安全信息擦除响应） SMDPP （安全信息擦除响应） SDB （安全信息擦除响应） HLR SMSREQ smsreq SMDPP （安全信息擦除） Adds Deliver （安全信息擦除） 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 安全密码重置安全密码重置 B

33、SS MSC/ MSCe MSKMC SDB （密码重置消息） Adds Deliver （密码重置响应） SMDPP （密码重置响应） SDB （密码重置响应） HLR SMSREQ smsreq SMDPP （密码重置消息） Adds Deliver （密码重置消息） 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 主叫信令流程主叫信令流程 消息消息IDID消息类型消息类型消息方向消息方向 3034930349Um Origination MessageUm Origination MessageR-CSCHR-CSCH 3035030350A1 CM Service Requ

34、estA1 CM Service RequestBSC-MSCBSC-MSC 3035130351A1 Assignment RequestA1 Assignment RequestMSC-BSCMSC-BSC 3036530365A1 Assignment CompleteA1 Assignment CompleteBSC-MSCBSC-MSC 1 1、发起呼叫、发起呼叫 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 消息消息IDID消息类型消息类型消息方向消息方向 3037830378Um Data Burst MessageUm Data Burst MessageR-DS

35、CHR-DSCH 3038030380A1 ADDS DeliverA1 ADDS DeliverBSC-MSCBSC-MSC 1 1SMDPPSMDPPMSC-SMCMSC-SMC 2 2smdppsmdppSMC-MSCSMC-MSC 3038430384A1 ADDS DeliverA1 ADDS DeliverMSC-BSCMSC-BSC 3038530385Um Data Burst MessageUm Data Burst MessageF-DSCHF-DSCH 3038630386Um Order MessageUm Order MessageR-DSCHR-DSCH 30387

36、30387A1 ADDS Deliver AckA1 ADDS Deliver AckBSC-MSCBSC-MSC 主叫信令流程主叫信令流程 2、发送密钥请求短信 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 主叫信令流程主叫信令流程 消息消息IDID消息类型消息类型消息方向消息方向 3 3SMDPPSMDPPKMC-MSCKMC-MSC 3043430434A1 ADDS DeliverA1 ADDS DeliverMSC-BSCMSC-BSC 3043530435Um Data Burst MessageUm Data Burst MessageF-DSCHF-DSCH 30

37、43630436Um Order MessageUm Order MessageR-DSCHR-DSCH 3043730437Um Data Burst MessageUm Data Burst MessageR-DSCHR-DSCH 3043930439A1 ADDS Deliver AckA1 ADDS Deliver AckBSC-MSCBSC-MSC 3044030440A1 ADDS DeliverA1 ADDS DeliverBSC-MSCBSC-MSC 4 4smdppsmdppMSC-KMCMSC-KMC 3、接收密钥响应短信 让客户尽情享受信息新生活中国电信集团公司网络运行维

38、护事业部 4、编解码协商 消息消息IDID消息类型消息类型消息方向消息方向 3046830468Um Service Request MessageUm Service Request MessageR-DSCHR-DSCH 3047030470Um Service Connect MessageUm Service Connect MessageF-DSCHF-DSCH 3047330473Um Service Connect Completion MessageUm Service Connect Completion MessageR-DSCHR-DSCH 主叫信令流程主叫信令流程 让客

39、户尽情享受信息新生活中国电信集团公司网络运行维护事业部 被叫信令流程被叫信令流程 消息消息IDID消息类型消息类型消息方向消息方向 41914191A1 Paging RequestA1 Paging RequestMSC-BSCMSC-BSC 42384238A1 Paging ResponseA1 Paging ResponseBSC-MSCBSC-MSC 42394239A1 Assignment RequestA1 Assignment RequestMSC-BSCMSC-BSC 42544254A1 Assignment CompleteA1 Assignment CompleteB

40、SC-MSCBSC-MSC 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 被叫信令流程被叫信令流程 消息消息IDID消息类型消息类型消息方向消息方向 1 1SMDPPSMDPPKMC-MSCKMC-MSC 42914291A1 ADDS DeliverA1 ADDS DeliverMSC-BSCMSC-BSC 42924292Um Data Burst MessageUm Data Burst MessageF-DSCHF-DSCH 42934293Um Data Burst MessageUm Data Burst MessageR-DSCHR-DSCH 42954295A1

41、ADDS Deliver AckA1 ADDS Deliver AckBSC-MSCBSC-MSC 42964296A1 ADDS DeliverA1 ADDS DeliverBSC-MSCBSC-MSC 2 2smdppsmdppMSC-KMCMSC-KMC 2 2、收到密钥通知短信、收到密钥通知短信 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 被叫信令流程被叫信令流程 消息消息IDID消息类型消息类型消息方向消息方向 43174317A1 ConnectA1 ConnectBSC-MSCBSC-MSC 43264326Um Data Burst MessageUm Data

42、 Burst MessageR-DSCHR-DSCH 43284328A1 ADDS DeliverA1 ADDS DeliverBSC-MSCBSC-MSC 3 3SMDPPSMDPPMSC-SMCMSC-SMC 4 4smdppsmdppSMC-MSCSMC-MSC 43314331A1 ADDS DeliverA1 ADDS DeliverMSC-BSCMSC-BSC 43324332Um Data Burst MessageUm Data Burst MessageF-DSCHF-DSCH 43334333Um Order MessageUm Order MessageR-DSCHR-

43、DSCH 43344334A1 ADDS Deliver AckA1 ADDS Deliver AckBSC-MSCBSC-MSC 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 被叫信令流程被叫信令流程 消息消息IDID消息类型消息类型消息方向消息方向 5 5SMDPPSMDPPKMC-SMCKMC-SMC 43584358A1 ADDS DeliverA1 ADDS DeliverMSC-BSCMSC-BSC 43594359Um Data Burst MessageUm Data Burst MessageF-DSCHF-DSCH 43614361Um Data Burst

44、MessageUm Data Burst MessageR-DSCHR-DSCH 43624362Um Order MessageUm Order MessageF-DSCHF-DSCH 43634363A1 ADDS Deliver AckA1 ADDS Deliver AckBSC-MSCBSC-MSC 43644364A1 ADDS DeliverA1 ADDS DeliverBSC-MSCBSC-MSC 6 6smdppsmdppMSC-KMCMSC-KMC 4 4、收到密钥响应短信、收到密钥响应短信 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 被叫信令流程被叫信令流程

45、 消息ID消息类型消息方向 43694369Um Service Request MessageUm Service Request MessageR-DSCHR-DSCH 43704370Um Order MessageUm Order MessageF-DSCHF-DSCH 43714371Um Service Connect MessageUm Service Connect MessageF-DSCHF-DSCH 43744374Um Service Connect Completion MessageUm Service Connect Completion MessageR-DSC

46、HR-DSCH 5 5、编解码协商、编解码协商 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 业务使用流程业务使用流程 建立加密通话流程建立加密通话流程 加密通信终端提供普话转入密话和直接发起密话两种加密通话使用方式： 普话转入密话加密通话建立流程 普话转入密话加密通话建立主要 分为三个阶段：第一阶段是普通 （明文）通话的建立； 第二阶段加密通话的建立，双方 用户需要分别按下加密键，经过 终端、业务平台、移动网络一系 列的判断和操作， 最后进入第三阶段即加密通话阶 段。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 直接发起密话加密通话建立流程直接发起密话加密通话建

47、立流程: : 直接发起密话加密通话建立也分为三个阶段：第一阶段密话发起阶段，主叫方 需要手动选择加密呼叫；然后进行第二阶段，密话建立阶段，被叫正常接听电话后， 经过终端、业务平台、移动网络进行一系列判断和操作，最后进入第三阶段，加密 通话阶段。 业务使用流程业务使用流程 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 提纲提纲 加密通信业务功能加密通信业务功能 加密通信平台介绍加密通信平台介绍 加密通信应急方案加密通信应急方案 故障处理指引故障处理指引 加密通信业务流程加密通信业务流程 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 客户经理或本地10000 号受理故障

48、 申告后，进行相应的预处理工作， 排除用户（含终端、使用方式错误 等）及业务、服务等非网络的原因 后，再进入故障处理流程，报本地 运维部门进一步故障定位。如判断 为省内故障，则由省NOC牵头进行 故障排查和处理，如判断为KMC平 台问题，则将故障工单通过集团电 子工单系统派往集团上海NOC进行 故障处理，集团上海NOC在2个工 作日内完成故障处理并反馈故障处 理情况。 涉及跨省故障处理流程，按中国电 信2009534 号关于修订移动 业务跨省故障处理流程和工作要求 的通知要求执行。 故障处理流程故障处理流程 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部56 故障等级划分故障等级划

49、分- - 故障等级定义故障等级定义 故障及故障等级定义：故障及故障等级定义：设备硬件或软件功能失效、网路阻断、 网络中断或质量降低影响使用、维护指标劣化超过门限值，称 为故障。根据故障的严重程度和影响程度的不同，分别为重大 故障、严重故障和一般故障。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部57 重大故障：重大故障：指对系统安全运行产生重大影响的故障, 设备在运行中出现系统瘫 痪或服务中断，导致设备的基本功能不能实现或全面退化的故障等。重大故 障主要情况包括但不限于以下方面： KMC平台设备瘫痪、系统连续自动重装载或重启动； KMC平台服务器故障各项业务应用功能全部失效 KM

50、C平台与上海HSTPA/HSTPB信令链路全阻造成平台对外通信中断，导致M业 务签约用户不能正常使用加密通信业务 故障等级划分故障等级划分- - 重大故障重大故障 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部58 故障等级划分故障等级划分- - 严重故障严重故障 严重故障：严重故障：指对系统安全运行造成重大威胁或产生较大影响的故障，包括设备 在运行中出现的直接影响服务，导致系统性能或服务部分退化的故障，以及具 有潜在的系统瘫痪或服务中断的危险，并可能导致设备基本功能不能实现或全 面退化的故障。严重故障主要情况包括但不限于以下方面： KMC平台主、备服务器一侧设备故障，对平台运行造

51、成安全隐患，断续或间接地 影响系统功能和服务的故障。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 故障等级划分故障等级划分 一般故障一般故障 一般故障：一般故障：指设备在运行中出现的断续或间接地影响系统功能和服务的故障，包括： 不影响平台正常运行的设备故障 信令链路故障； 设备一般性告警； 其它不属于一、二级故障的故障； 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 故障预处理故障预处理 0 x000 x00本端用户无加密权限本端用户无加密权限 0 x010 x01对端用户无加密权限对端用户无加密权限 0 x020 x02本端终端非法本端终端非法 0 x030 x

52、03对端终端非法对端终端非法 0 x040 x04密话建立超时密话建立超时 0 x050 x05其他原因其他原因 问问: :只有自动故障，还是只有自动故障，还是 手动、自动兼故障？手动、自动兼故障？ 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 异常流程（异常流程（1 1） 用户A、B是合法加密通信业务用户，但用户B采用了非加密通信终端，采用 直接发起密话发起加密通话。 此时，KMC收不到被叫的密钥请求，超时后，KMC将通知主叫方终端，主 叫方终端界面上提示超时后通话结束。 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 用户A、B中有一方是非加密通信业务用户，双方都

53、采用加密通信终端，采用直接发起密话发起 加密通话。 此时无法通过KMC的认证，KMC将下发错误提示，终端收到错误通知后提示用户本端对端 没有申请加密通信业务，2秒后主动切断通话。 主叫用户A是非加密通信业务用户： 被叫用户B是非加密通信业务用户： 异常流程（异常流程（2 2） 主叫用户主叫用户A A通过输入电话号码通过输入电话号码 、电话本、通话记录等方式，、电话本、通话记录等方式， 选择被叫用户选择被叫用户B B电话号码电话号码 主叫用户主叫用户A A通过菜单加密通通过菜单加密通 话选项或者特定加密通话按话选项或者特定加密通话按 键发起对用户键发起对用户B B的加密通话的加密通话 用户用户A

54、 A终端提示用户未终端提示用户未 申请加密通信业务，申请加密通信业务， 并在并在2 2秒后切断本次呼秒后切断本次呼 叫叫 用户用户A A无权无权 主叫用户主叫用户A A通过输入电话号码通过输入电话号码 、电话本、通话记录等方式，、电话本、通话记录等方式， 选择被叫用户选择被叫用户B B电话号码电话号码 主叫用户主叫用户A A通过菜单加密通通过菜单加密通 话选项或者特定加密通话按话选项或者特定加密通话按 键发起对用户键发起对用户B B的加密通话的加密通话 因用户因用户B B无使用权限，用无使用权限，用 户户A A终端提示用户对方未终端提示用户对方未 申请加密通信业务，并申请加密通信业务，并 在在

55、2 2秒后切断本次呼叫秒后切断本次呼叫 用户用户B B无权无权 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部 提纲提纲 加密通信业务功能加密通信业务功能 加密通信平台介绍加密通信平台介绍 加密通信应急方案加密通信应急方案 故障处理指引故障处理指引 加密通信业务流程加密通信业务流程 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部64 手动模式双方超时手动模式双方超时 双方都超时，可以非常肯定的说：双方都超时，可以非常肯定的说：KMCKMC平台对主、被叫发的上行密钥请求短信没平台对主、被叫发的上行密钥请求短信没 有成功匹配起来。不匹配的原因可分为用户原因、终端原因、网络原

56、因。有成功匹配起来。不匹配的原因可分为用户原因、终端原因、网络原因。 用户套拨了用户套拨了1790117901、1180811808等等IPIP接入码；接入码； 主叫用户使用了来电显示限制业务；主叫用户使用了来电显示限制业务； 被叫用户没有来电显示业务；被叫用户没有来电显示业务； 该呼叫是个转移呼叫。该呼叫是个转移呼叫。 终端写入的终端写入的KMPKMP平台接入码不正确；平台接入码不正确； 终端写入的初始公钥不正确；终端写入的初始公钥不正确； 其它其它bugbug。 KMCKMC平台故障；平台故障； 归属归属SMCSMC向向KMCKMC平台转发平台转发SMDPPSMDPP 消息有延时，且总时延

57、超过消息有延时，且总时延超过2020秒。秒。 MSCMSC收到收到DBMDBM消息后，并没有向消息后，并没有向 归属归属SMCSMC发出发出SMDPPSMDPP消息消息 让客户尽情享受信息新生活中国电信集团公司网络运行维护事业部65 通过反复拨打、重现故障来查找网络原因的查障步骤通过反复拨打、重现故障来查找网络原因的查障步骤 4 4、如短信中心没有收到上行密钥请求短信，则在如短信中心没有收到上行密钥请求短信，则在MSCMSC跟踪信令进行查障。检查在业务信道指跟踪信令进行查障。检查在业务信道指 配完成后是否有配完成后是否有DBMDBM消息、消息、ADDS DeliverADDS Deliver消

58、息、消息、SMDPPSMDPP消息，如缺少消息，如缺少ADDS DeliverADDS Deliver消息消息 或或SMDPPSMDPP消息，则问题可定位在消息，则问题可定位在MSCMSC；如缺少；如缺少DBMDBM消息，则问题定位在终端。消息，则问题定位在终端。 1 1、接到申告后，要询问用户：拨号方式、使用补充业务情况，从而排除用户原因，同时要接到申告后，要询问用户：拨号方式、使用补充业务情况，从而排除用户原因，同时要 记下用户使用记下用户使用MM业务的时间、地点，以便查历史记录和重现故障；业务的时间、地点，以便查历史记录和重现故障； 2 2、测试人员以测试人员以1 1分钟时间间隔反复拨打

59、分钟时间间隔反复拨打MM业务密话，看是否能重现故障，如不能，则到申告业务密话，看是否能重现故障，如不能，则到申告 发生故障的地点去反复拨打，直到重现故障为止。记下重现故障那通电话的起止时间。发生故障的地点去反复拨打，直到重现故障为止。记下重现故障那通电话的起止时间。 3 3、通知主、被叫归属通知主、被叫归属SMCSMC维护人员，在指定时间段、指定用户，是否有发往被叫为维护人员，在指定时间段、指定用户，是否有发往被叫为 “1891891000118918910001”的短信？如查到主、被叫双方都有短信和成功的短信回执，且的短信？如查到主、被叫双方都有短信和成功的短信回执，且2 2条短信条短信 发送的时间差在发送的时间差在2020秒以内，则转而找秒以内，则转而找KMCKMC平