1.一種通話密鑰協(xié)商方法,其特征在于,包括:
在主叫終端和被叫終端的安全芯片內(nèi)預(yù)置密鑰協(xié)商參數(shù),所述安全芯片不向外提供讀取接口;
當(dāng)主叫終端向被叫終端發(fā)起呼叫請(qǐng)求時(shí),所述主叫終端和所述被叫終端自動(dòng)根據(jù)所述安全芯片內(nèi)預(yù)置的密鑰協(xié)商參數(shù)按照預(yù)設(shè)規(guī)則協(xié)商確定對(duì)本次通話過(guò)程中的通話內(nèi)容進(jìn)行加密的通話密鑰。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述在主叫終端和被叫終端的安全芯片內(nèi)預(yù)置密鑰協(xié)商參數(shù)包括:
在所述主叫終端和被叫終端的安全芯片內(nèi)預(yù)置用于對(duì)加密因子進(jìn)行加密處理的第一密鑰和用于根據(jù)所述加密因子生成所述通話密鑰的第二密鑰。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述當(dāng)主叫終端向被叫終端發(fā)起呼叫請(qǐng)求時(shí),所述主叫終端和所述被叫終端自動(dòng)根據(jù)所述安全芯片內(nèi)預(yù)置的密鑰協(xié)商參數(shù)按照預(yù)設(shè)規(guī)則協(xié)商確定對(duì)本次通話過(guò)程中的通話內(nèi)容進(jìn)行加密的通話密鑰包括:
主叫終端向被叫終端發(fā)起通話請(qǐng)求;
讀取所述主叫終端的設(shè)備認(rèn)證信息,根據(jù)所述設(shè)備認(rèn)證信息生成加密因子;
從主叫終端的安全芯片中獲取一隨機(jī)密鑰,采用對(duì)稱(chēng)加密算法根據(jù)所述隨機(jī)密鑰對(duì)所述加密因子進(jìn)行加密,得到加密因子密文;
采用對(duì)稱(chēng)加密算法根據(jù)所述主叫終端安全芯片內(nèi)預(yù)置的第一密鑰對(duì)所述隨機(jī)密鑰進(jìn)行加密,生成隨機(jī)密鑰密文;
采用非對(duì)稱(chēng)加密算法根據(jù)所述主叫終端的私鑰對(duì)所述加密因子密文和所述隨機(jī)密鑰參數(shù)密文進(jìn)行簽名計(jì)算,得到所述主叫終端的簽名值;
采用非對(duì)稱(chēng)加密算法根據(jù)所述被叫終端的公鑰對(duì)所述加密因子密文、所述隨機(jī)密鑰密文以及所述簽名值進(jìn)行加密,并將加密后的密文發(fā)送至被叫終端;
采用非對(duì)稱(chēng)加密算法根據(jù)所述被叫終端的私鑰對(duì)所述密文進(jìn)行解密,得到所述加密因子密文、所述隨機(jī)密鑰密文以及所述簽名值;
采用非對(duì)稱(chēng)加密算法根據(jù)所述主叫終端的公鑰對(duì)所述加密因子密文、所述隨機(jī)密鑰密文以及所述簽名值進(jìn)行數(shù)字簽名驗(yàn)證;
若驗(yàn)證通過(guò),則確認(rèn)與所述主叫終端建立通話,并采用對(duì)稱(chēng)加密算法根據(jù)所述被叫終端安全芯片內(nèi)預(yù)置的第一密鑰對(duì)所述隨機(jī)密鑰密文進(jìn)行解密,得到所述隨機(jī)密鑰;
采用對(duì)稱(chēng)加密算法根據(jù)所述隨機(jī)密鑰對(duì)所述加密因子密文進(jìn)行解密得到加密因子;
所述主叫終端和所述被叫終端分別采用對(duì)稱(chēng)加密算法根據(jù)各自安全芯片內(nèi)預(yù)置的第二密鑰對(duì)所述加密因子進(jìn)行加密生成最后的通話密鑰,并將所述通話密鑰存儲(chǔ)在各自的安全芯片內(nèi)。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述讀取所述主叫終端的設(shè)備認(rèn)證信息,根據(jù)所述設(shè)備認(rèn)證信息生成加密因子包括:
讀取所述主叫終端的設(shè)備認(rèn)證信息,所述設(shè)備認(rèn)證信息包括所述主叫終端的設(shè)備標(biāo)識(shí)信息和當(dāng)前時(shí)間戳;
采用哈希加密算法對(duì)所述設(shè)備認(rèn)證信息進(jìn)行哈希加密計(jì)算,得到32byte的加密數(shù)據(jù);
提取所述32byte的加密數(shù)據(jù)中的前16byte數(shù)據(jù)作為加密因子。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述當(dāng)主叫終端向被叫終端發(fā)起呼叫請(qǐng)求時(shí),所述主叫終端和所述被叫終端自動(dòng)根據(jù)所述安全芯片內(nèi)預(yù)置的密鑰協(xié)商參數(shù)按照預(yù)設(shè)規(guī)則協(xié)商確定對(duì)本次通話過(guò)程中的通話內(nèi)容進(jìn)行加密的通話密鑰之后還包括:
在所述主叫終端和所述被叫終端進(jìn)行通話的過(guò)程中,采用所述通話密鑰對(duì)通話內(nèi)容進(jìn)行加密或解密。
6.一種通話密鑰協(xié)商系統(tǒng),其特征在于,包括密鑰協(xié)商參數(shù)配置終端、主叫終端和被叫終端,所述主叫終端包括第一通話密鑰協(xié)商單元,所述被叫終端包括第二通話密鑰協(xié)商單元,其中:
所述密鑰協(xié)商參數(shù)配置終端,用于在主叫終端和被叫終端的安全芯片內(nèi)預(yù)置密鑰協(xié)商參數(shù),所述安全芯片不向外提供讀取接口;
所述第一通話密鑰協(xié)商單元和所述第二通話密鑰協(xié)商單元,用于當(dāng)主叫終端向被叫終端發(fā)起呼叫請(qǐng)求時(shí),自動(dòng)根據(jù)所述主叫終端和被叫終端的安全芯片內(nèi)預(yù)置的密鑰協(xié)商參數(shù)按照預(yù)設(shè)規(guī)則協(xié)商確定對(duì)本次通話過(guò)程中的通話內(nèi)容進(jìn)行加密的通話密鑰。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述密鑰協(xié)商參數(shù)配置終端用于:
在所述主叫終端和被叫終端的安全芯片內(nèi)預(yù)置用于對(duì)加密因子進(jìn)行加密處理的第一密鑰和用于根據(jù)所述加密因子生成所述通話密鑰的第二密鑰。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,
所述第一通話密鑰協(xié)商單元包括:
呼叫請(qǐng)求單元,用于向所述被叫終端發(fā)起通話請(qǐng)求;
加密因子獲取單元,用于讀取所述主叫終端的設(shè)備認(rèn)證信息,根據(jù)所述設(shè)備認(rèn)證信息生成加密因子;
第一加密單元,用于從主叫終端的安全芯片中獲取一隨機(jī)密鑰,采用對(duì)稱(chēng)加密算法根據(jù)所述隨機(jī)密鑰對(duì)所述加密因子進(jìn)行加密,得到加密因子密文;
第二加密單元,用于采用對(duì)稱(chēng)加密算法根據(jù)所述主叫終端安全芯片內(nèi)預(yù)置的第一密鑰對(duì)所述隨機(jī)密鑰進(jìn)行加密,生成隨機(jī)密鑰密文;
簽名單元,用于采用非對(duì)稱(chēng)加密算法根據(jù)所述主叫終端的私鑰對(duì)所述加密因子密文和所述隨機(jī)密鑰參數(shù)密文進(jìn)行簽名計(jì)算,得到所述主叫終端的簽名值;
第三加密單元,用于采用非對(duì)稱(chēng)加密算法根據(jù)所述被叫終端的公鑰對(duì)所述加密因子密文、所述隨機(jī)密鑰密文以及所述簽名值進(jìn)行加密,并將加密后的密文發(fā)送至被叫終端;
第一通話密鑰生成單元,用于采用對(duì)稱(chēng)加密算法根據(jù)所述主叫終端的安全芯片內(nèi)預(yù)置的第二密鑰對(duì)所述加密因子進(jìn)行加密生成最后的通話密鑰,并將所述通話密鑰存儲(chǔ)在所述主叫終端的安全芯片內(nèi);
所述第二通話密鑰協(xié)商單元包括:
第一解密單元,用于采用非對(duì)稱(chēng)加密算法根據(jù)所述被叫終端的私鑰對(duì)所述密文進(jìn)行解密,得到所述加密因子密文、所述隨機(jī)密鑰密文以及所述簽名值;
簽名驗(yàn)證單元,用于采用非對(duì)稱(chēng)加密算法根據(jù)所述主叫終端的公鑰對(duì)所述加密因子密文、所述隨機(jī)密鑰密文以及所述簽名值進(jìn)行數(shù)字簽名驗(yàn)證;
第二解密單元,用于若驗(yàn)證通過(guò),則確認(rèn)與所述主叫終端建立通話,并采用對(duì)稱(chēng)加密算法根據(jù)所述被叫終端安全芯片內(nèi)預(yù)置的第一密鑰對(duì)所述隨機(jī)密鑰密文進(jìn)行解密,得到所述隨機(jī)密鑰;
第三解密單元,用于采用對(duì)稱(chēng)加密算法根據(jù)所述隨機(jī)密鑰對(duì)所述加密因子密文進(jìn)行解密得到加密因子;
第二通話密鑰生成單元,用于采用對(duì)稱(chēng)加密算法根據(jù)所述被叫終端的安全芯片內(nèi)預(yù)置的第二密鑰對(duì)所述加密因子進(jìn)行加密生成最后的通話密鑰,并將所述通話密鑰存儲(chǔ)在所述被叫終端的安全芯片內(nèi)。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述加密因子獲取單元具體用于:
讀取所述主叫終端的設(shè)備認(rèn)證信息,所述設(shè)備認(rèn)證信息包括所述主叫終端的設(shè)備標(biāo)識(shí)信息和當(dāng)前時(shí)間戳;
采用哈希加密算法對(duì)所述設(shè)備認(rèn)證信息進(jìn)行哈希加密計(jì)算,得到32byte的加密數(shù)據(jù);
提取所述32byte的加密數(shù)據(jù)中的前16byte數(shù)據(jù)作為加密因子。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,所述主叫終端還包括第一通話內(nèi)容加密單元,所述被叫終端還包括第二通話內(nèi)容加密單元,其中:
所述第一通話內(nèi)容加密單元和所述第二通話內(nèi)容加密單元均用于在所述主叫終端和所述被叫終端進(jìn)行通話的過(guò)程中,采用所述通話密鑰對(duì)通話內(nèi)容進(jìn)行加密或解密。