一種適用于電路域加密通信的安全tf卡短信發(fā)卡方法
【專利摘要】本發(fā)明公開了一種適用于電路域加密通信的安全TF卡短信發(fā)卡方法。本方法為:1)密鑰管理中心KMC將初始公私密鑰、UMC短信號碼、UMC公鑰發(fā)送至客戶端的安全TF卡中,并記錄UID和初始公私密鑰的對應關系;安全TF卡生成自身的初始簽名證書;2)客戶端利用初始簽名證書生成一注冊短信發(fā)送給UMC,然后UMC根據(jù)該注冊短信中的UID查詢對應初始公鑰驗證該注冊短信,驗證通過后生成含有密鑰和身份信息的短信發(fā)送給該客戶端;3)該客戶端收到該含有密鑰和身份信息的短信后,將電話號碼、該身份信息組以及密鑰發(fā)送給安全TF卡;然后安全TF卡產(chǎn)生一報到短信發(fā)送給UMC;4)UMC根據(jù)該報到短信記錄發(fā)卡完成狀態(tài)。
【專利說明】
-種適用于電路域加密通信的安全TF卡短信發(fā)卡方法
技術領域
[0001] 本發(fā)明屬于網(wǎng)絡通信安全技術領域,設及一種在電路域中基于安全TF卡的加密通 信中的短信發(fā)卡方法。
【背景技術】
[0002] 移動通信技術的迅速發(fā)展和廣泛應用使人們對其安全問題愈加重視。現(xiàn)加密通信 技術正逐步被推廣,基于硬件的手機加密通信方式為更多人所使用。對于基于硬件安全TF 卡的加密手機,在用戶數(shù)量增多時,普通的離線發(fā)卡手段已不能滿足需要。為此,我們設計 了一種短信發(fā)卡方案,能使Amlroid手機用戶高效且安全的通過短信進行安全TF卡發(fā)卡操 作。
[0003] 要實現(xiàn)加密通信,首先需要進行身份認證和密鑰協(xié)商?,F(xiàn)有的身份認證方式主要 基于數(shù)字證書。用戶在加密通信之前,需在相關機構(gòu)注冊并獲得自己的數(shù)字證書用于認證。 在基于安全TF卡的加密通信中,證書可離線方式提前刷入卡內(nèi),或在用戶使用時W在 線方式寫入。對于離線方式,由于證書的生成需要安全TF卡與手機號碼兩者缺一不可,用戶 需要攜帶TF卡與手機到離線發(fā)卡中屯、操作,運種方式在用戶增多時效率變得很低。針對在 線方式,本發(fā)明提出了一種??谟糜陔娐酚蚣用芡ㄐ诺亩绦虐l(fā)卡方案,保證足夠安全的前 提下,W盡量小的代價進行在線發(fā)卡,提高用戶的發(fā)卡效率與使用體驗。
[0004] 使用短信作為載體傳輸安全身份信息是一種高效簡便的方法,且形式多變,可W 通過適當修改使其適應其他安全通信場景。目前加密通信中尚沒有一種針對安全TF卡的安 全高效的短信發(fā)卡方案。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明提出了一種用于基于安全TF卡的電路域加密通信短信發(fā)卡方法。該方法通 過數(shù)字信封保護發(fā)卡信息,能夠達到足夠的安全性。
[0006] 本發(fā)明的技術方案為:
[0007] -種適用于電路域加密通信的安全TF卡短信發(fā)卡方法,其步驟為:
[000引 1)密鑰管理中屯、KMC將初始公私密鑰、UMC短信號碼、UMC公鑰發(fā)送至客戶端的安全 TF卡中,并記錄UID和初始公私密鑰的對應關系;安全TF卡生成自身的初始簽名證書;其中, UID為安全TF卡ID;
[0009] 2)客戶端利用初始簽名證書生成一注冊短信發(fā)送給UMC,然后UMC根據(jù)該注冊短信 中的UID查詢對應初始公鑰驗證該注冊短信,驗證通過后生成含有密鑰和身份信息的短信 發(fā)送給該客戶端;
[0010] 3)該客戶端收到該含有密鑰和身份信息的短信后,將電話號碼、該身份信息組W 及密鑰發(fā)送給安全TF卡;然后安全TF卡產(chǎn)生一報到短信,該客戶端將該報到短信發(fā)送給 UMC;
[0011] 4)UMC根據(jù)該報到短信記錄發(fā)卡完成狀態(tài)。
[0012] 進一步的,初始簽名證書包括:UID和初始私鑰對UID+初始公鑰的簽名。
[0013] 進一步的,使用初始簽名證書產(chǎn)生的注冊短信包括:短信標識字段、狀態(tài)碼字段和 初始簽名證書字段。
[0014] 進一步的,含有密鑰和身份信息的短信包括:明文信息、密文信息,其中,該明文信 息包括:短信標識、電話號碼、PKI身份信息和UMC簽名值;該密文信息包括:UID、主控密鑰、 加密密鑰、簽名密鑰、PKI密鑰和公鑰參數(shù);UMC簽名值為UMC利用自己的私鑰對密文的簽名。
[0015] 進一步的,生成含有密鑰和身份信息的短信的方法為:UMC從該注冊短信中讀取電 話號碼并從KMC獲取與該電話號碼對應的PKI身份信息、主控密鑰、加密密鑰、簽名密鑰、PKI 密鑰;然后在UMC端使用安全TF卡的初始公鑰對UID、主控密鑰、簽名密鑰、加密密鑰、PKI密 鑰進行加密,并使用UMC私鑰進行簽名;然后UMC根據(jù)該電話號碼、PKI身份信息,W及對UID、 主控密鑰、簽名密鑰、加密密鑰、PKI密鑰加密后的密文生成含有密鑰和身份信息的短信。
[0016] 進一步的,步驟3)中,該客戶端對該含有密鑰和身份信息的短信進行驗證,驗證通 過后將該電話號碼和該PKI身份信息,W及該主控密鑰、加密密鑰、簽名密鑰、PKI密鑰、公鑰 參數(shù)傳給安全TF卡;安全TF卡利用初始私鑰進行解密保存。
[0017] 進一步的,該客戶端將電話號碼、PKI身份信息組成命令形式傳給安全TF卡;將主 控密鑰、加密密鑰、簽名密鑰、PKI密鑰、公鑰參數(shù)組包成命令形式傳給安全TF卡;當命令能 成功返回時,安全TF卡產(chǎn)生該報到短信。
[001引本發(fā)明主要內(nèi)容包括:
[0019] 1.證書與短信格式
[0020] 本發(fā)明中設及的加密通信的身份認證過程基于證書,儲存在安全TF卡中。安全TF 卡出廠狀態(tài)為0x0055。初始化時,KMC(密鑰管理中屯、)下發(fā)初始公私密鑰、UMC(用戶管理中 屯、)短信號碼、UMC公鑰至TF卡中,并記錄UID和初始公私密鑰的對應關系。安全TF卡生成自 身唯一的初始簽名證書,如表1。
[0021] 表1安全TF卡初始簽名證書
[0022]
[0023] 其中各項含義如下:
[0024] ?UID:安全 TF 卡 ID;
[0025] ?自簽名:初始私鑰對UID+初始公鑰的簽名;
[00%]使用W上初始簽名證書產(chǎn)生的注冊短信格式如下:
[0027]表2注冊短信
[002引
[0029] 其中各項含義如下:
[0030] ?短信標識:即為0086+手機號碼+0(BCD碼,8B);
[0031] ?狀態(tài)碼:此處為0x0700,標識短信功能;
[0032] ?初始簽名證書:即為表1中安全TF卡初始簽名證書;
[0033] 將注冊短信發(fā)給UMC,然后UMC根據(jù)UID查詢對應的初始公鑰,并用初始公鑰驗證簽 名,UM四金證通過后,下發(fā)含有密鑰的短信,長度共452個字節(jié),格式如下:
[0034] 表3密鑰下發(fā)短信
[0035]
[0036] UMC利用自己的私鑰對密文部分的信息進行簽名得到UMC簽名值。因為在初始化時 UMC的公鑰已經(jīng)寫入到安全TF卡中,所W客戶端收到短信后可W進行驗證。
[0037] 其中各項含義如下:
[0038] 短信標識:FEFE0001,表示本條短信是身份信息短信;
[0039] PN:電話號碼;
[0040] PKI身份信息:所含信息包括版本(1B),算法族(1B),序列號(4B),公鑰(64B),對 "公鑰+電話號碼"的簽名(64B)和預留位(2B),消息總長136字節(jié);
[0041 ] UID:安全 TF 卡 ID;
[0042] 主控密鑰:用于手機客戶端本地數(shù)據(jù)存儲,me服務器上保留一份;
[0043] 加密密鑰:用于標識認證體系(IPA體系)加密;
[0044] 簽名密鑰:用于對數(shù)據(jù)簽名;
[0045] PKI密鑰:用于身份認證、密鑰交換、短信加解密等,公鑰在PKI身份信息中;
[0046] 公鑰參數(shù):加密后增加長度。
[0047] 2.短信發(fā)卡流程
[004引1)客戶端開機檢測安全TF卡狀態(tài)為初始化狀態(tài)(0x0055 ),則強制修改PIN碼,寫入 IMSI號,調(diào)用產(chǎn)生注冊短信接口,TF卡產(chǎn)生注冊短信,客戶端將短信發(fā)送給UMC。
[0049] 2)UMC判斷收到的短信為注冊短信后,則從服務器數(shù)據(jù)庫列表中查找出UID對應的 初始公鑰驗證注冊短信的簽名,驗證通過證明該注冊短信合法。
[0050] 3)UMC提供對應電話號碼參數(shù)(由注冊短信中讀出的電話號碼)并調(diào)用KMC的接口 從KMC獲取與該電話號碼對應的PKI身份信息、主控密鑰、加密密鑰、簽名密鑰、PKI密鑰,并 在UMC端使用安全TF卡的初始公鑰對UID、主控密鑰、簽名密鑰、加密密鑰、PKI密鑰進行加 密,并使用UMC私鑰進行簽名。
[0化1] 4)UMC將PN明文,PKI身份信息明文,UID、主控密鑰、簽名密鑰、加密密鑰、PKI密鑰 組包后的密文一起下發(fā);
[0052] 5)客戶端收到密鑰下發(fā)短信后,校驗UMC簽名值是否合法,如果不合法則報錯,不 進行后續(xù)步驟。
[0053] 6)客戶端驗證UMC簽名值合法后,將PN和PKI身份信息組成命令形式傳給TF卡;即 將主控密鑰、加密密鑰、簽名密鑰、PKI密鑰、公鑰參數(shù)組包成命令形式傳給TF卡,TF卡利用 初始私鑰解密,提取內(nèi)容保存到忍片內(nèi)。
[0054] 7)當命令能成功返回時,認為發(fā)卡完成,TF卡產(chǎn)生報到短信(狀態(tài)值為0x0088),客 戶端發(fā)送給UMC,向用戶提示初始化完成。
[0055] 8)UMC收到短信后查看狀態(tài)值并記錄發(fā)卡完成。
[0056] 與現(xiàn)有技術相比,本發(fā)明的積極效果為:
[0057] 本發(fā)明使用短信作為載體傳輸安全身份信息,高效簡便且形式多變,可W通過適 當修改使其適應其他安全通信場景,大大提高了發(fā)卡效率。
【附圖說明】
[0058] 圖1為本發(fā)明的短信發(fā)卡流程圖。
【具體實施方式】
[0059] 下面結(jié)合附圖對本發(fā)明進行更全面的描述:實施案例在W本發(fā)明技術方案為前提 下進行實施,給出了詳細的實施方式和具體的操作過程,但本發(fā)明的保護范圍不限于下述 的實施例。
[0060] 應用實例:
[0061 ]用戶獲得已初始化的安全TF卡,此時TF卡狀態(tài)為出廠狀態(tài)(0x0055),內(nèi)含其初始 簽名證書。用戶開機檢測TF卡狀態(tài)為初始化狀態(tài),強制修改PIN碼,TF卡產(chǎn)生注冊短信,并將 短信發(fā)送給UMCdUMC收到短信后判斷其為注冊短信,從服務器數(shù)據(jù)庫列表中查找出UID對應 的初始公鑰,并驗證通過證明該注冊短信合法。根據(jù)短信提供的電話號碼參數(shù)獲取PKI身份 信息,并使用TF卡的初始公鑰對其進行加密,使用UMC私鑰對其進行簽名,組包后下發(fā)。用戶 收到短信后,驗證UMC簽名值合法后,將身份信息傳給TF卡。TF卡利用初始私鑰解密,提取內(nèi) 容保存到忍片內(nèi)。同時,TF卡產(chǎn)生報到短信,發(fā)送給UMC,并向用戶提示初始化完成。服務器 收到短信后查看狀態(tài)值記錄發(fā)卡完成。發(fā)卡結(jié)束。
[0062] 綜上所述,本發(fā)明公開了適用于電路域加密通信的短信發(fā)卡方案。
[0063] 本發(fā)明的描述是為了示例和描述起見而給出的,而并不是無遺漏的或者將本發(fā)明 限于所公開的形式。顯然,本領域的普通技術人員可W對本發(fā)明的示例進行各種改動和變 形而不脫離本發(fā)明的精神和原則。選擇和描述實施例是為了更好說明本發(fā)明的原理和實際 應用,并且使本領域的普通技術人員能夠理解本發(fā)明從而設計適于特定用途的帶有各種修 改的各種實施例。
【主權項】
1. 一種適用于電路域加密通信的安全TF卡短信發(fā)卡方法,其步驟為: 1) 密鑰管理中心KMC將初始公私密鑰、UMC短信號碼、UMC公鑰發(fā)送至客戶端的安全TF卡 中,并記錄UID和初始公私密鑰的對應關系;安全TF卡生成自身的初始簽名證書;其中,UID 為安全TF卡ID; 2) 客戶端利用初始簽名證書生成一注冊短信發(fā)送給UMC,然后UMC根據(jù)該注冊短信中的 UID查詢對應初始公鑰驗證該注冊短信,驗證通過后生成含有密鑰和身份信息的短信發(fā)送 給該客戶端; 3) 該客戶端收到該含有密鑰和身份信息的短信后,將電話號碼、該身份信息組以及密 鑰發(fā)送給安全TF卡;然后安全TF卡產(chǎn)生一報到短信,該客戶端將該報到短信發(fā)送給UMC; 4. UMC根據(jù)該報到短信記錄發(fā)卡完成狀態(tài)。2. 如權利要求1所述的方法,其特征在于,初始簽名證書包括:UID和初始私鑰對UID+初 始公鑰的簽名。3. 如權利要求2所述的方法,其特征在于,使用初始簽名證書產(chǎn)生的注冊短信包括:短 信標識字段、狀態(tài)碼字段和初始簽名證書字段。4. 如權利要求3所述的方法,其特征在于,含有密鑰和身份信息的短信包括:明文信息、 密文信息,其中,該明文信息包括:短信標識、電話號碼、PKI身份信息和UMC簽名值;該密文 信息包括:UID、主控密鑰、加密密鑰、簽名密鑰、PKI密鑰和公鑰參數(shù);UMC簽名值為UMC利用 自己的私鑰對密文的簽名。5. 如權利要求1或2或3或4所述的方法,其特征在于,生成含有密鑰和身份信息的短信 的方法為:UMC從該注冊短信中讀取電話號碼并從KMC獲取與該電話號碼對應的PKI身份信 息、主控密鑰、加密密鑰、簽名密鑰、PKI密鑰;然后在UMC端使用安全TF卡的初始公鑰對UID、 主控密鑰、簽名密鑰、加密密鑰、PKI密鑰進行加密,并使用UMC私鑰進行簽名;然后UMC根據(jù) 該電話號碼、PKI身份信息,以及對UID、主控密鑰、簽名密鑰、加密密鑰、PKI密鑰加密后的密 文生成含有密鑰和身份信息的短信。6. 如權利要求5所述的方法,其特征在于,步驟3)中,該客戶端對該含有密鑰和身份信 息的短信進行驗證,驗證通過后將該電話號碼和該PKI身份信息,以及該主控密鑰、加密密 鑰、簽名密鑰、PKI密鑰、公鑰參數(shù)傳給安全TF卡;安全TF卡利用初始私鑰進行解密保存。7. 如權利要求6所述的方法,其特征在于,該客戶端將電話號碼、PKI身份信息組成命令 形式傳給安全TF卡;將主控密鑰、加密密鑰、簽名密鑰、PKI密鑰、公鑰參數(shù)組包成命令形式 傳給安全TF卡;當命令能成功返回時,安全TF卡產(chǎn)生該報到短信。
【文檔編號】H04W12/06GK106060788SQ201610348079
【公開日】2016年10月26日
【申請日】2016年5月24日
【發(fā)明人】周衛(wèi)華, 單旭, 李 遠
【申請人】中國科學院信息工程研究所