專利名稱:實現(xiàn)移動通信保密的方法和智能存儲卡的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù)領(lǐng)域,特別涉及一種實現(xiàn)移動通信保密的方法和智能存儲卡。
背景技術(shù):
隨著社會經(jīng)濟的飛速發(fā)展,手機類用戶終端已經(jīng)成為越來越多人的必備通訊工具之一。然而,無線通信在給人們帶來便利的同時,也不可避免地帶來了通信的安全問題,空中信號容易被截獲。以GSM網(wǎng)為例,GSM系統(tǒng)中的加密不是端到端的,只是在無線信道部分進行了加密,在地面網(wǎng)中沒有加密,采用明文傳輸;GSM系統(tǒng)中的認(rèn)證是單向的,只有網(wǎng)絡(luò)對用戶的認(rèn)證,而沒有用戶對網(wǎng)絡(luò)的認(rèn)證;GSM中使用的加密密鑰長度是64位,在現(xiàn)有的解密技術(shù)下,可以在較短時間內(nèi)破解;在GSM系統(tǒng)中,加密算法是固定不變的,沒有更多的密鑰算法可供選擇,缺乏算法協(xié)商和加密密鑰協(xié)商過程。另外,現(xiàn)在的病毒無孔不入,手機病毒可以自動啟動電話錄音功能、自動撥打電話、竊取手機中的私人資料;而且由于信號在空中接口傳播時沒有做加密處理,很容易被竊聽。因此有必要對現(xiàn)有的移動通信方式進行改造?,F(xiàn)有的移動通信保密大多是通過在用戶終端上安裝加密軟件,由加密軟件對要發(fā)送的各類信息進行加密來實現(xiàn)的。加密軟件實現(xiàn)方法存在許多弊端,例如,加密軟件實現(xiàn)方法是通過軟件來實現(xiàn)加密處理的,加密速度慢,對用戶終端的運算性能要求高;另外,加密軟件實現(xiàn)方法通過軟件方式不便于密鑰管理,降低了系統(tǒng)的安全性;容易受到用戶終端上的黑客軟件攻擊;一旦用戶終端丟失或被盜,難以控制風(fēng)險。由上面的內(nèi)容可以知道,現(xiàn)有的移動通信中所使用的在用戶終端上安裝加密軟件,由加密軟件對要發(fā)送的各類信息進行加密的實現(xiàn)方法的系統(tǒng)安全性不高,不便于進行
密鑰管理。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的在于提供一種實現(xiàn)移動通信保密的方法,該方法能夠提高用戶終端之間通信的系統(tǒng)安全性。本發(fā)明的另一個目的在于提供一種智能存儲卡,使用該智能存儲卡能夠提高用戶終端之間通信的系統(tǒng)安全性。為了達到上述第一個目的,本發(fā)明提供了一種實現(xiàn)移動通信保密的方法,該方法利用智能存儲卡對通話信息進行加密和解密,包括以下步驟A、主叫用戶終端和被叫用戶終端進行各自外接的智能存儲卡間的雙向身份認(rèn)證、 協(xié)商本次會話密鑰,建立端到端的安全通道;B、主叫用戶或被叫用戶中的送話方用戶終端收到送話用戶的通話信息后,將所述通話信息發(fā)送到送話方用戶終端外接的第一智能存儲卡中用協(xié)商的會話密鑰進行加密,并將加密后的通話信息發(fā)送到主叫用戶或被叫用戶中的受話方用戶終端;C、受話方用戶終端接收到送話方用戶終端發(fā)來的加密后的通話信息后,將所述加密后的通話信息發(fā)送到受話方用戶終端外接的第二智能存儲卡中用協(xié)商的會話密鑰進行解密,得到通話信息輸出。所述智能存儲卡通過通用數(shù)據(jù)接口外接到用戶終端。預(yù)先在智能存儲卡中存儲其自身的數(shù)字證書;步驟A所述的主叫用戶終端和被叫用戶終端進行各自外接的智能存儲卡間的雙向身份認(rèn)證包括A00、主叫用戶終端向被叫用戶終端發(fā)送加密通話請求,被叫用戶終端接受主叫用戶終端的加密通話請求后,通話雙方啟動各自外接的智能存儲卡的雙向身份認(rèn)證流程;A01、主叫用戶終端和被叫用戶終端將各自智能存儲卡中存儲的數(shù)字證書發(fā)送給對方智能存儲卡進行數(shù)字證書的有效性驗證,如果所述主叫用戶終端和被叫用戶終端中有任一用戶終端外接的智能存儲卡的數(shù)字證書無效,則本次通話過程結(jié)束。預(yù)先在智能存儲卡中存儲證書吊銷列表CRL,所述的CRL包含被吊銷證書的唯一標(biāo)識;步驟AOl所述進行數(shù)字證書的有效性驗證的方法是主叫用戶終端和被叫用戶終端各自外接的智能存儲卡在存儲的CRL中查找是否有接收到的對方的數(shù)字證書的唯一標(biāo)識,如果有,則對方的數(shù)字證書無效,否則,則對方的數(shù)字證書有效。步驟AOl所述主叫用戶終端和被叫用戶終端將各自智能存儲卡中存儲的數(shù)字證書發(fā)送給對方智能存儲卡進行數(shù)字證書的有效性驗證的方法是主叫用戶終端和被叫用戶終端各自將接收到的對方的數(shù)字證書發(fā)送到證書授權(quán)中心Ck,由CA驗證并將對方的數(shù)字證書的有效性告知主叫用戶終端和被叫用戶終端各自外接的智能存儲卡。預(yù)先設(shè)定會話密鑰生成算法;步驟A所述協(xié)商本次會話密鑰包括A10、主叫用戶終端和被叫用戶終端各自外接的智能存儲卡各自產(chǎn)生一隨機數(shù),并將各自產(chǎn)生的隨機數(shù)發(fā)送給對方;All、主叫用戶終端和被叫用戶終端各自外接的智能存儲卡收到對方發(fā)送的隨機數(shù)后,將各自產(chǎn)生的隨機數(shù)與收到的隨機數(shù)按照預(yù)先設(shè)定的會話密鑰生成算法運算得到會話密鑰并保存。步驟B所述主叫用戶或被叫用戶中的送話方用戶終端收到送話用戶的通話信息后,將所述通話信息發(fā)送到第一智能存儲卡進行加密之前進一步包括送話方用戶終端將所述通話信息進行模數(shù)A/D轉(zhuǎn)換、信源編碼;所述送話方用戶終端將加密后的通話信息發(fā)送到主叫用戶或被叫用戶中的受話方用戶終端之前進一步包括將加密后的通話信息進行調(diào)制;步驟C所述受話方用戶終端接收到送話方用戶終端發(fā)來的加密后的通話信息后, 將所述加密后的通話信息發(fā)送到第二智能存儲卡進行解密之前進一步包括將接收到的加密后信息進行解調(diào);所述受話方用戶終端將所述加密后的通話信息發(fā)送到第二智能存儲卡進行解密之后,得到通話信息輸出之前進一步包括將解密后的通話信息進行信源解碼、數(shù)模D/A轉(zhuǎn)換。
為了達到本發(fā)明的另一個目的,本發(fā)明還提供了一種智能存儲卡,該智能存儲卡應(yīng)用于移動通信系統(tǒng)中的用戶終端,通過用戶終端的通用數(shù)據(jù)接口外接到用戶終端,該智能存儲卡包括通用數(shù)據(jù)接口、核心控制單元;所述通用數(shù)據(jù)接口,用于實現(xiàn)該智能存儲卡所外接到的用戶終端與核心控制單元之間的信息交互;所述核心控制單元,用于在該智能存儲卡所外接到的用戶終端與外接具有相同身份認(rèn)證、密鑰協(xié)商、加密、解密功能的智能存儲卡的另一用戶終端進行通話前,對所述另一用戶終端外接的智能存儲卡進行身份認(rèn)證,協(xié)商本次會話密鑰;用于在該智能存儲卡所外接到的用戶終端與所述另一用戶終端進行通話時,對將要發(fā)送到所述另一用戶終端的通話信息進行加密,對從所述另一用戶終端接收到的通話信息進行解密。所述的核心控制單元包括身份認(rèn)證單元、密鑰生成單元、加密單元、解密單元、存儲單元;所述身份認(rèn)證單元,用于通過通用數(shù)據(jù)接口接收該智能存儲卡所外接到的用戶終端發(fā)來的所述另一用戶終端外接的智能存儲卡的數(shù)字證書,對數(shù)字證書進行有效性驗證;所述密鑰生成單元,用于在所述協(xié)商本次會話密鑰時生成隨機數(shù),并將所述生成的隨機數(shù)通過通用數(shù)據(jù)接口發(fā)送到該智能存儲卡所外接到的用戶終端,用于在接收到該智能存儲卡所外接到的用戶終端通過通用數(shù)據(jù)接口發(fā)送來的從所述另一用戶終端接收到的隨機數(shù)時,根據(jù)所述生成的隨機數(shù)和接收到的隨機數(shù)生成會話密鑰,并將所述生成的會話密鑰發(fā)送到存儲單元存儲;所述加密單元,用于通過通用數(shù)據(jù)接口接收到該智能存儲卡所外接到的用戶終端的將要發(fā)送到所述另一用戶終端的通話信息時,使用所述生成的會話密鑰對所述通話信息進行加密,并將加密后通話信息通過通用數(shù)據(jù)接口發(fā)送回該智能存儲卡所外接到的用戶終端;所述解密單元,用于通過通用數(shù)據(jù)接口接收到該智能存儲卡所外接到的用戶終端發(fā)來的從所述另一用戶終端接收到的加密后通話信息時,使用所述生成的會話密鑰對所述加密后通話信息解密,并將解密后通話信息通過通用數(shù)據(jù)接口發(fā)送回該智能存儲卡所外接到的用戶終端;所述存儲單元用于接收并存儲密鑰生成單元發(fā)送來的會話密鑰;用于在該智能存儲卡所外接到的用戶終端與所述另一用戶終端的通話結(jié)束后刪除所述存儲的會話密鑰。所述的存儲單元進一步存儲證書吊銷列表CRL ;所述身份認(rèn)證單元在存儲單元中存儲的CRL中查找是否有所述用戶終端發(fā)來的數(shù)字證書的唯一標(biāo)識,如果有,則所述數(shù)字證書無效,否則所述數(shù)字證書有效。由上面的技術(shù)方案可以知道,本發(fā)明利用智能存儲卡,將智能存儲卡通過用戶終端的通用數(shù)據(jù)接口外接到用戶終端,在兩個外接具有相同的身份認(rèn)證、密鑰協(xié)商、加密、解密功能的智能存儲卡的用戶終端進行通信前,對通話雙方外接的智能存儲卡進行身份認(rèn)證,協(xié)商本次會話密鑰,在通話雙方通信時利用智能存儲卡對通話信息進行加密和解密操作,使得通話雙方的身份得到驗證,由于每次通話前都要進行密鑰協(xié)商,而且密鑰存放在硬件內(nèi),通話雙方的通話信息加密和解密也都是在硬件內(nèi)進行,因此密鑰的安全性得到了保證,同時也便于密鑰的管理,又由于保證了密鑰的安全性,進而也提高了系統(tǒng)的安全性。
圖1是本發(fā)明實施例用戶終端加密通信流程示意圖;圖2是是本發(fā)明實施例實現(xiàn)移動通信保密的方法流程圖;圖3是本發(fā)明實施例智能存儲卡的結(jié)構(gòu)示意圖。
具體實施例方式為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白,下面結(jié)合附圖并舉實施例, 對本發(fā)明進行詳細(xì)說明。本發(fā)明的主要思想是用戶終端通過外接智能存儲卡,由智能存儲卡實現(xiàn)通話雙方通信前的身份認(rèn)證、密鑰協(xié)商和通話時的通話信息的加密、解密功能,實現(xiàn)完全由通話雙方控制的端到端的加密通信,提高了系統(tǒng)的安全性。本發(fā)明的技術(shù)方案實現(xiàn)的加密通話,需要通話雙方通過通用數(shù)據(jù)接口外接具有相同的身份認(rèn)證、密鑰協(xié)商、加密、解密功能的智能存儲卡,且在加密通話前通話雙方要對各自外接的智能存儲卡的進行雙向身份認(rèn)證,協(xié)商本次會話密鑰,建立起端到端的安全通道。參見圖1,圖1是本發(fā)明實施例用戶終端加密通信流程示意圖,第一智能存儲卡通過送話用戶終端的通用數(shù)據(jù)接口外接到送話用戶終端;第二智能存儲卡通過受話用戶終端的通用數(shù)據(jù)接口外接到受話用戶終端。這里,用戶終端按照現(xiàn)有的通用數(shù)據(jù)接口協(xié)議對智能存儲卡進行數(shù)據(jù)的讀寫。在送話方,話音信號進入送話用戶終端后,經(jīng)過A/D轉(zhuǎn)換和信源編碼轉(zhuǎn)變?yōu)閿?shù)字信息,數(shù)字信息經(jīng)送話用戶終端的通用數(shù)據(jù)接口進入第一智能存儲卡,在第一智能存儲卡對所述數(shù)字信息進行加密后,將加密信息經(jīng)第一通用數(shù)據(jù)接口返回到送話用戶終端,在送話用戶終端中對加密信息進行信息調(diào)制后發(fā)送;在受話方,受話用戶終端接收到調(diào)制信息后,先對調(diào)制信息進行解調(diào)得到加密信息,加密信息經(jīng)受話用戶終端的通用數(shù)據(jù)接口進入第二智能存儲卡,在第二智能存儲卡中對加密信息進行解密得到數(shù)字信息,數(shù)字信息經(jīng)受話用戶終端的通用數(shù)據(jù)接口返回到受話用戶終端,在受話用戶終端中對數(shù)字信息進行信源解碼、D/A轉(zhuǎn)換后轉(zhuǎn)變?yōu)樵捯粜盘栞敵觥⒁妶D2,圖2是本發(fā)明實施例實現(xiàn)移動通信保密的方法流程圖,該方法包括以下步驟步驟201、主叫用戶終端要與被叫用戶終端通話時,發(fā)送加密通話請求給被叫用戶終端,被叫用戶終端接受主叫用戶終端的加密通話請求后,通話雙方啟動各自外接的智能存儲卡間的雙向身份認(rèn)證流程。步驟202、主叫用戶終端和被叫用戶終端進行各自外接的智能存儲卡間的雙向身份認(rèn)證,協(xié)商本次通話密鑰,建立端到端的安全通道。這里,主叫用戶終端和被叫用戶終端雙方進行各自外接的智能存儲卡間的身份認(rèn)證流程是雙向的,通話雙方各自外接的智能存儲卡的數(shù)字證書預(yù)先保存各自的智能存儲卡中,在進行身份認(rèn)證時,通話雙方將各自智能存儲卡中保存的數(shù)字證書發(fā)送到對方的智能存儲卡中進行證書有效性驗證。這里,數(shù)字證書中包含數(shù)字證書自身的唯一標(biāo)識。數(shù)字證書有效性驗證有兩種驗證方式
Al,基于證書吊銷列表(CRL),CRL是由證書授權(quán)中心(CA)簽名的一組電子文檔, 包含了被吊銷數(shù)字證書的唯一標(biāo)識,數(shù)字證書驗證方利用CRL來驗證數(shù)字證書持有者的數(shù)字證書是否有效。如果采用基于CRL的驗證方式,則預(yù)先在用戶終端各自的智能存儲卡中存儲CRL, 當(dāng)用戶終端外接的智能存儲卡的數(shù)字證書因其私鑰遺失、泄漏或被破解等原因必須被吊銷時,CA要將吊銷的數(shù)字證書信息及時發(fā)送到關(guān)聯(lián)用戶的用戶終端的智能存儲卡中存儲。這里的關(guān)聯(lián)用戶的用戶終端指所有使用此類智能存儲卡進行加密通話的用戶終端。通話雙方各自的智能存儲卡收到對方發(fā)送的數(shù)字證書后,就在各自智能存儲卡內(nèi)保存的CRL中查找是否有對方數(shù)字證書的唯一標(biāo)識,如果沒有,則證明雙方數(shù)字證書有效; 否則,數(shù)字證書被視為無效。A2,基于CA進行驗證,通話雙方收到對方發(fā)送的數(shù)字證書后,將對方的數(shù)字證書發(fā)送給Ck,由CA驗證通話雙方的數(shù)字證書的有效性,CA再將驗證結(jié)果告知通話雙方各自外接的智能存儲卡。在進行了通話雙方各自外接的智能存儲卡的身份認(rèn)證之后,通話雙方開始協(xié)商本次通話的密鑰,協(xié)商流程為Bi、通話雙方各自的智能存儲卡各自產(chǎn)生一隨機數(shù),并將各自產(chǎn)生的隨機數(shù)發(fā)送給對方;B2、通話雙方各自的智能存儲卡在收到對方發(fā)送的隨機數(shù)后,將各自產(chǎn)生的隨機數(shù)與收到的隨機數(shù)按照預(yù)先約定的現(xiàn)有技術(shù)的會話密鑰生成算法得到會話密鑰。這里的會話密鑰生成算法生成的會話密鑰是對稱密鑰。完成協(xié)商本次會話密鑰流程后,主叫用戶終端與被叫用戶終端之間端到端的安全通道建立。步驟203、主叫用戶或被叫用戶中的送話方用戶終端接收到送話用戶的話音信息后,將話音信息進行A/D轉(zhuǎn)換、信源編碼后轉(zhuǎn)變?yōu)閿?shù)字信息,并將數(shù)字信息經(jīng)通用數(shù)據(jù)接口發(fā)送到送話方用戶終端外接的智能存儲卡。步驟204、送話方用戶終端外接的智能存儲卡接收到送話方用戶終端發(fā)來的數(shù)字信息后,將數(shù)字信息加密得到已加密信息,并將已加密信息經(jīng)通用數(shù)據(jù)接口發(fā)送回送話方用戶終端。本步驟中,智能存儲卡使用協(xié)商得到的本次會話密鑰對數(shù)字信息進行加密。步驟205、送話方用戶終端接收到送話方用戶終端外接的智能存儲卡發(fā)來的已加密信息后,將已加密信息進行調(diào)制,并將調(diào)制后信息發(fā)送到主叫用戶或被叫用戶中的受話方用戶終端。步驟206、受話方用戶終端接收到送話方用戶終端發(fā)來的調(diào)制后信息后,將調(diào)制后信息解調(diào)得到已加密信息,并將已加密信息經(jīng)通用數(shù)據(jù)接口發(fā)送到受話方用戶終端外接的智能存儲卡。步驟207、受話方用戶終端外接的智能存儲卡接收到受話方用戶終端發(fā)來的已加密信息后,將已加密信息解密得到數(shù)字信息,并將數(shù)字信息經(jīng)通用數(shù)據(jù)接口發(fā)送回受話方用戶終端。本步驟中,智能存儲卡使用協(xié)商得到的本次會話密鑰對數(shù)字信息進行解密。
步驟208、受話方用戶終端接收到受話方用戶終端外接的智能存儲卡發(fā)來的數(shù)字信息后,將數(shù)字信息進行信源解碼、D/A轉(zhuǎn)換后轉(zhuǎn)變?yōu)樵捯粜畔⑤敵?。本步驟執(zhí)行完后,如果通話雙方的通話沒有結(jié)束,則繼續(xù)返回步驟203執(zhí)行。采用本發(fā)明技術(shù)方案實現(xiàn)的移動通信保密的方法,能夠有效的保證通話的安全性。以手機為例,一旦用戶發(fā)現(xiàn)卡丟失,可以立即通知發(fā)卡方或可信第三方如CA中心,由發(fā)卡方對丟失的卡做失效處理,即吊銷卡的數(shù)字證書和卡ID號,并通知所有與丟失卡有關(guān)聯(lián)的用戶,將丟失卡的ID號以及吊銷的卡的數(shù)字證書號發(fā)送到關(guān)聯(lián)用戶的卡中存儲;如果通話雙方是基于CA進行身份認(rèn)證的,則只需通知CA,無需發(fā)送吊銷的數(shù)字證書號到關(guān)聯(lián)用戶的卡中存儲。如果有用戶試圖用丟失的卡冒充合法用戶與其他用戶通話,在建立通話前,由于通話雙方要進行卡對卡的雙向身份認(rèn)證,在認(rèn)證過程中,其他用戶的卡就會發(fā)現(xiàn)該卡已失效,認(rèn)證失敗,進而拒絕與該卡建立通話連接,有效地保證了通話的安全性。如果有人試圖用丟失的卡監(jiān)聽其他用戶之間的加密通話,這也是不可能的,因為每次通話前都要進行密鑰協(xié)商,因而每次使用的密鑰都不一樣。本發(fā)明還提供了一種智能存儲卡,該智能存儲卡應(yīng)用于移動通信系統(tǒng)中的手機類用戶終端,通過用戶終端的通用數(shù)據(jù)接口外接到用戶終端;參見圖3,圖3是本發(fā)明實施例智能存儲卡的結(jié)構(gòu)示意圖,該智能存儲卡包括通用數(shù)據(jù)接口 310、核心控制單元320 ;其中,通用數(shù)據(jù)接口 310,用于實現(xiàn)該智能存儲卡所外接到的用戶終端與核心控制單元 320之間的信息交互;核心控制單元320,用于在該智能存儲卡所外接到的用戶終端與外接具有相同身份認(rèn)證、密鑰協(xié)商、加密、解密功能的智能存儲卡的另一用戶終端進行通話前,對所述另一用戶終端外接的智能存儲卡進行身份認(rèn)證,協(xié)商本次會話密鑰;用于在該智能存儲卡所外接到的用戶終端與所述另一用戶終端進行通話時,對將要發(fā)送到所述另一用戶終端的通話信息進行加密,對從所述另一用戶終端接收到的通話信息進行解密。所述的核心控制單元320包括身份認(rèn)證單元321、密鑰生成單元322、加密單元 323、解密單元324、存儲單元325 ;其中,身份認(rèn)證單元321,用于通過通用數(shù)據(jù)接口 310接收該智能存儲卡所外接到的用戶終端發(fā)來的所述另一用戶終端外接的智能存儲卡的數(shù)字證書,對數(shù)字證書進行有效性驗證;這里,需要說明的是,所述的數(shù)字證書中包含數(shù)字證書自身的唯一標(biāo)識。密鑰生成單元322,用于在所述協(xié)商本次會話密鑰時生成隨機數(shù),并將所述生成的隨機數(shù)通過通用數(shù)據(jù)接口 310發(fā)送到該智能存儲卡所外接到的用戶終端,用于在接收到該智能存儲卡所外接到的用戶終端通過通用數(shù)據(jù)接口 310發(fā)送來的從所述另一用戶終端接收到的隨機數(shù)時,根據(jù)所述生成的隨機數(shù)和接收到的隨機數(shù)生成會話密鑰,并將所述生成的會話密鑰發(fā)送到存儲單元325存儲;加密單元323,用于通過通用數(shù)據(jù)接口 310接收到該智能存儲卡所外接到的用戶終端的將要發(fā)送到所述另一用戶終端的通話信息時,使用所述生成的會話密鑰對所述通話信息進行加密,并將加密后通話信息通過通用數(shù)據(jù)接口 310發(fā)送回該智能存儲卡所外接到的用戶終端;解密單元324,用于通過通用數(shù)據(jù)接口 310接收到該智能存儲卡所外接到的用戶終端發(fā)來的從所述另一用戶終端接收到的加密后通話信息時,使用所述生成的會話密鑰對所述加密后通話信息解密,并將解密后通話信息通過通用數(shù)據(jù)接口 310發(fā)送回該智能存儲卡所外接到的用戶終端;存儲單元325,用于接收并存儲密鑰生成單元322發(fā)送來的會話密鑰;用于在該智能存儲卡所外接到的用戶終端與所述另一用戶終端的通話結(jié)束后刪除所述存儲的會話密鑰。所述的存儲單元325進一步存儲證書吊銷列表CRL ;所述身份認(rèn)證單元321在存儲單元325中存儲的CRL中查找是否有所述用戶終端發(fā)來的數(shù)字證書的唯一標(biāo)識,如果有,則所述數(shù)字證書無效,否則所述數(shù)字證書有效。由上面的實施例可以看出,本發(fā)明的這種實現(xiàn)移動通信保密的方法,通過在用戶終端上外接一硬件設(shè)備智能存儲卡,由外接的智能存儲卡來完成交互信息的加、解密處理以及密鑰管理。由于硬件運算速度快,這樣做不僅提高了加、解密處理速度,同時降低了對用戶終端的性能要求;由于密鑰是存放在安全硬件內(nèi)的,加解密處理也在卡內(nèi)進行,密鑰不出卡,密鑰的安全性得到了保證,同時也便于密鑰管理;又由于應(yīng)用本發(fā)明的用戶終端通話前必須經(jīng)過嚴(yán)格的身份認(rèn)證,即使用戶終端丟失或被盜也不會帶來安全風(fēng)險。以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進等,均應(yīng)包含在本發(fā)明保護的范圍之內(nèi)。
權(quán)利要求
1.一種實現(xiàn)移動通信保密的方法,其特征在于,該方法利用智能存儲卡對通話信息進行加密和解密,包括以下步驟A、主叫用戶終端和被叫用戶終端進行各自外接的智能存儲卡間的雙向身份認(rèn)證、協(xié)商本次會話密鑰,建立端到端的安全通道;B、主叫用戶或被叫用戶中的送話方用戶終端收到送話用戶的通話信息后,將所述通話信息發(fā)送到送話方用戶終端外接的第一智能存儲卡中用協(xié)商的會話密鑰進行加密,并將加密后的通話信息發(fā)送到主叫用戶或被叫用戶中的受話方用戶終端;C、受話方用戶終端接收到送話方用戶終端發(fā)來的加密后的通話信息后,將所述加密后的通話信息發(fā)送到受話方用戶終端外接的第二智能存儲卡中用協(xié)商的會話密鑰進行解密, 得到通話信息輸出。
2.如權(quán)利要求1所述的實現(xiàn)移動通信保密的方法,其特征在于,所述智能存儲卡通過通用數(shù)據(jù)接口外接到用戶終端。
3.如權(quán)利要求2所述的實現(xiàn)移動通信保密的方法,其特征在于,預(yù)先在智能存儲卡中存儲其自身的數(shù)字證書;所述數(shù)字證書包含數(shù)字證書自身的唯一標(biāo)識;步驟A所述的主叫用戶終端和被叫用戶終端進行各自外接的智能存儲卡間的雙向身份認(rèn)證包括A00、主叫用戶終端向被叫用戶終端發(fā)送加密通話請求,被叫用戶終端接受主叫用戶終端的加密通話請求后,通話雙方啟動各自外接的智能存儲卡的雙向身份認(rèn)證流程;A01、主叫用戶終端和被叫用戶終端將各自智能存儲卡中存儲的數(shù)字證書發(fā)送給對方智能存儲卡進行數(shù)字證書的有效性驗證,如果所述主叫用戶終端和被叫用戶終端中有任一用戶終端外接的智能存儲卡的數(shù)字證書無效,則本次通話過程結(jié)束。
4.如權(quán)利要求3所述的實現(xiàn)移動通信保密的方法,其特征在于,預(yù)先在智能存儲卡中存儲證書吊銷列表CRL,所述的CRL包含被吊銷證書的唯一標(biāo)識;步驟AOl所述進行數(shù)字證書的有效性驗證的方法是主叫用戶終端和被叫用戶終端各自外接的智能存儲卡在存儲的CRL中查找是否有接收到的對方的數(shù)字證書的唯一標(biāo)識,如果有,則對方的數(shù)字證書無效,否則,則對方的數(shù)字證書有效。
5.如權(quán)利要求3所述的實現(xiàn)移動通信保密的方法,其特征在于,步驟AOl所述主叫用戶終端和被叫用戶終端將各自智能存儲卡中存儲的數(shù)字證書發(fā)送給對方智能存儲卡進行數(shù)字證書的有效性驗證的方法是主叫用戶終端和被叫用戶終端各自將接收到的對方的數(shù)字證書發(fā)送到證書授權(quán)中心CA,由CA驗證并將對方的數(shù)字證書的有效性告知主叫用戶終端和被叫用戶終端各自外接的智能存儲卡。
6.如權(quán)利要求4或5所述的實現(xiàn)移動通信保密的方法,其特征在于,預(yù)先設(shè)定會話密鑰生成算法;步驟A所述協(xié)商本次會話密鑰包括A10、主叫用戶終端和被叫用戶終端各自外接的智能存儲卡各自產(chǎn)生一隨機數(shù),并將各自產(chǎn)生的隨機數(shù)發(fā)送給對方;All、主叫用戶終端和被叫用戶終端各自外接的智能存儲卡收到對方發(fā)送的隨機數(shù)后, 將各自產(chǎn)生的隨機數(shù)與收到的隨機數(shù)按照預(yù)先設(shè)定的會話密鑰生成算法運算得到會話密鑰并保存。
7.如權(quán)利要求5所述的實現(xiàn)移動通信保密的方法,其特征在于,步驟B所述主叫用戶或被叫用戶中的送話方用戶終端收到送話用戶的通話信息后,將所述通話信息發(fā)送到第一智能存儲卡進行加密之前進一步包括送話方用戶終端將所述通話信息進行模數(shù)A/D轉(zhuǎn)換、 信源編碼;所述送話方用戶終端將加密后的通話信息發(fā)送到主叫用戶或被叫用戶中的受話方用戶終端之前進一步包括將加密后的通話信息進行調(diào)制;步驟C所述受話方用戶終端接收到送話方用戶終端發(fā)來的加密后的通話信息后,將所述加密后的通話信息發(fā)送到第二智能存儲卡進行解密之前進一步包括將接收到的加密后信息進行解調(diào);所述受話方用戶終端將所述加密后的通話信息發(fā)送到第二智能存儲卡進行解密之后,得到通話信息輸出之前進一步包括將解密后的通話信息進行信源解碼、數(shù)模 D/A轉(zhuǎn)換。
8.一種智能存儲卡,其特征在于,該智能存儲卡應(yīng)用于移動通信系統(tǒng)中的用戶終端,通過用戶終端的通用數(shù)據(jù)接口外接到用戶終端,該智能存儲卡包括通用數(shù)據(jù)接口、核心控制單元;所述通用數(shù)據(jù)接口,用于實現(xiàn)該智能存儲卡所外接到的用戶終端與核心控制單元之間的信息交互;所述核心控制單元,用于在該智能存儲卡所外接到的用戶終端與外接具有相同身份認(rèn)證、密鑰協(xié)商、加密、解密功能的智能存儲卡的另一用戶終端進行通話前,對所述另一用戶終端外接的智能存儲卡進行身份認(rèn)證,協(xié)商本次會話密鑰;用于在該智能存儲卡所外接到的用戶終端與所述另一用戶終端進行通話時,對將要發(fā)送到所述另一用戶終端的通話信息進行加密,對從所述另一用戶終端接收到的通話信息進行解密。
9.如權(quán)利要求8所述的智能存儲卡,其特征在于,所述的核心控制單元包括身份認(rèn)證單元、密鑰生成單元、加密單元、解密單元、存儲單元;所述身份認(rèn)證單元,用于通過通用數(shù)據(jù)接口接收該智能存儲卡所外接到的用戶終端發(fā)來的所述另一用戶終端外接的智能存儲卡的數(shù)字證書,對數(shù)字證書進行有效性驗證;所述密鑰生成單元,用于在所述協(xié)商本次會話密鑰時生成隨機數(shù),并將所述生成的隨機數(shù)通過通用數(shù)據(jù)接口發(fā)送到該智能存儲卡所外接到的用戶終端,用于在接收到該智能存儲卡所外接到的用戶終端通過通用數(shù)據(jù)接口發(fā)送來的從所述另一用戶終端接收到的隨機數(shù)時,根據(jù)所述生成的隨機數(shù)和接收到的隨機數(shù)生成會話密鑰,并將所述生成的會話密鑰發(fā)送到存儲單元存儲;所述加密單元,用于通過通用數(shù)據(jù)接口接收到該智能存儲卡所外接到的用戶終端的將要發(fā)送到所述另一用戶終端的通話信息時,使用所述生成的會話密鑰對所述通話信息進行加密,并將加密后通話信息通過通用數(shù)據(jù)接口發(fā)送回該智能存儲卡所外接到的用戶終端;所述解密單元,用于通過通用數(shù)據(jù)接口接收到該智能存儲卡所外接到的用戶終端發(fā)來的從所述另一用戶終端接收到的加密后通話信息時,使用所述生成的會話密鑰對所述加密后通話信息解密,并將解密后通話信息通過通用數(shù)據(jù)接口發(fā)送回該智能存儲卡所外接到的用戶終端;所述存儲單元用于接收并存儲密鑰生成單元發(fā)送來的會話密鑰;用于在該智能存儲卡所外接到的用戶終端與所述另一用戶終端的通話結(jié)束后刪除所述存儲的會話密鑰。
10.如權(quán)利要求9所述的智能存儲卡,其特征在于,所述的存儲單元進一步存儲證書吊銷列表CRL ;所述身份認(rèn)證單元在存儲單元中存儲的CRL中查找是否有所述用戶終端發(fā)來的數(shù)字證書的唯一標(biāo)識,如果有,則所述數(shù)字證書無效,否則所述數(shù)字證書有效。
全文摘要
本發(fā)明提供了一種實現(xiàn)移動通信保密的方法,該方法利用智能存儲卡,將智能存儲卡通過用戶終端的通用數(shù)據(jù)接口外接到用戶終端,在兩個外接具有相同的身份認(rèn)證、密鑰協(xié)商、加密、解密功能的智能存儲卡的用戶終端進行通信前,對通話雙方外接的智能存儲卡進行身份認(rèn)證,協(xié)商本次會話密鑰,在通話雙方通信時利用智能存儲卡對通話信息進行加密和解密操作。本發(fā)明還提供了一種智能存儲卡。應(yīng)用本發(fā)明的方法,使得通話雙方的身份得到驗證,由于每次通話前都要進行密鑰協(xié)商,而且密鑰存放在硬件內(nèi),通話雙方的通話信息加密和解密也都是在硬件內(nèi)進行,因此密鑰的安全性得到了保證,同時也便于密鑰的管理,又由于保證了密鑰的安全性,進而提高了系統(tǒng)的安全性。
文檔編號H04W88/02GK102572817SQ20101061494
公開日2012年7月11日 申請日期2010年12月21日 優(yōu)先權(quán)日2010年12月21日
發(fā)明者劉道斌, 廖劍, 王晨陽, 陳慶方 申請人:普天信息技術(shù)研究院有限公司