公开/公告号CN101720071A
专利类型发明专利
公开/公告日2010-06-02
原文格式PDF
申请/专利权人 郑州信大捷安信息技术有限公司;
申请/专利号CN200910227210.3
申请日2009-12-01
分类号H04W4/14(20090101);H04W12/02(20090101);H04W12/04(20090101);
代理机构41102 郑州科维专利代理有限公司;
代理人张国文;张欣棠
地址 450001 河南省郑州市高新开发区莲花街11号
入库时间 2023-12-17 23:57:08
法律状态公告日
法律状态信息
法律状态
2018-11-27
专利权质押合同登记的注销 IPC(主分类):H04W4/14 授权公告日:20121003 登记号:2018410000003 出质人:郑州信大捷安信息技术股份有限公司 质权人:交通银行股份有限公司河南省分行 解除日:20181105 申请日:20091201
专利权质押合同登记的生效、变更及注销
2018-03-06
专利权质押合同登记的生效 IPC(主分类):H04W4/14 登记号:2018410000003 登记生效日:20180206 出质人:郑州信大捷安信息技术股份有限公司 质权人:交通银行股份有限公司河南省分行 发明名称:基于安全SIM卡的短消息两阶段加密传输和安全存储方法 授权公告日:20121003 申请日:20091201
专利权质押合同登记的生效、变更及注销
2012-10-03
授权
授权
2012-09-19
著录事项变更 IPC(主分类):H04W4/14 变更前: 变更后: 申请日:20091201
著录事项变更
2012-07-25
著录事项变更 IPC(主分类):H04W4/14 变更前: 变更后: 申请日:20091201
著录事项变更
2010-07-21
实质审查的生效 IPC(主分类):H04W4/14 申请日:20091201
实质审查的生效
2010-06-02
公开
公开
查看全部
技术领域:
本发明涉及一种移动用户设备间短消息收发和存储的方法,特别涉及一种基于安全SIM卡的短消息两阶段加密传输和安全存储方法。
背景技术:
SIM卡是(Subscriber Identity Model客户识别模块)的缩写,也称为智能卡、用户身份识别卡,GSM数字移动电话机必须装上此卡方能使用。SIM卡具有发送短消息、接收短消息功能。根据GSM标准协议,SIM卡把编译好的短消息按照标准格式进行组包发送,还可以接收无线网络发送过来的短消息,然后自动存储到SIM卡或者手机中。随着移动终端设备的普及和短消息本身具有的方便,快捷,费用低廉等优势,有越来越多的移动用户以短消息作为信息载体,进行信息查询,业务通知,网上交易等信息活动,由于这些活动往往涉及敏感或重要信息,因此,对短消息的安全提出了更高的安全需求。目前短消息业务应用存在一些缺陷:
1.信息的内容以明文方式传输,可以通过技术手段轻易截取短消息内容,造成信息内容被窃取或泄漏。
2.信息的内容以明文方式存储于移动设备上,一旦丢失或被他人查看,信息内容隐私会暴露。
短信息收发双方都对短消息传输和存储过程中私密性和安全性有很高的使用需求。
发明内容:
本发明的目的在于克服现有技术中存在的不足而提供一种在安全SIM卡的支持下实现基于公钥证书的动态会话密钥协商,基于安全短消息服务器进行短消息落地解密和加密转发以及基于保密文件柜实现短消息加密存储安全功能的基于安全SIM卡的短消息两阶段加密传输和安全存储方法。
本发明的目的是这样实现的:该方法包括短消息加密传输和加密存储两个步骤:
1)、短消息加密传输步骤,分为两个阶段实现:
第一阶段,手机终端和安全短消息服务器之间通过约定的协议协商出会话密钥,在两者之间建立起安全传输通道;
第二阶段,手机终端和安全短消息服务器利用会话密钥对短消息进行加解密处理,保证短消息在空中传输过程中始终是密文状态,明文在短消息落地后出现;
2)短消息加密存储步骤是对有加密存储需求的短消息按照文件柜的组织形式进行加密存储,文件柜分组个数动态可变,文件柜的唯一标识码为其访问密码。STK应用通过用户登陆的密码自动匹配其中一组文件柜,用户只能查看自己登陆密码所属的加密文件柜下的短消息内容。
所述的会话密钥是基于公钥证书协商短消息传输过程中的会话密钥,并根据实际使用需求动态在线更换用户会话密钥,包括以下步骤:
1)、公钥证书的分发:
A、证书服务器为安全短消息服务器和终端用户生成各自的公钥证书;
B、证书服务器离线向安全SIM卡写入安全短消息服务器公钥证书;
C、证书服务器通知安全短消息服务器用户公钥证书;
2)、会话密钥协商:
终端用户和安全短消息服务器之间通过公钥证书,实现双方身份认证,协商出会话密钥,继而实现接收双方之间短消息传递的机密性、真实性和完整性服务,密钥协商协议所发送的消息如下:
C->S:Nc
S->C:PEc(SIGs(Kcs,Nc,Ns))
C->S:Ns
其中C表示移动终端发送方,S表示安全短消息服务器接收方;PEc表示用C的公钥加密,SIGs表示用S的私钥签名,
会话密钥协商协议执行的步骤如下:
第一步,发送方向接收方发出明文认证请求,请求内容包括终端产生验证因子Nc;
第二步,安全短消息服务器根据移动终端的手机号码查找该用户相应的证书,并在向证书服务器验证该证书合法性后,产生一个会话密钥Kcs和验证因子Ns,利用自己的私钥和移动终端的加密公钥对Kcs、Ns、Nc进行签名和加密,然后传给移动终端;
第三步,移动终端对安全短消息服务器发送来的密文信息进行脱密(先用预存的安全短消息服务器的公钥验签、再用自身的私钥脱密),检查Nc一致后,将Ns以明文传给安全短消息服务器;
第四步,验证通过后,移动终端将Ns传给安全短消息服务器,服务器将收到的Ns与原来的Ns进行比较,确认协商成功。
所述的短消息加解密处理是指加密短消息在安全短消息服务器上进行落地解密处理和加密转发,利用会话密钥进行短消息加解密处理,短消息收发步骤如下:
第一步,终端用户A向终端用户B发送短消息M,该消息M使用用户A与安全短消息服务器之间协商的会话密钥Kca进行加密,得到消息密文C1,C1=EKca(M),C1首先发送至安全短消息服务器;
第二步,安全短消息服务器收到该密文C1,用会话密钥Kca对消息C1解密,得到M,M=DKca(C1);
第三步,安全短消息服务器将明文消息M用用户B的会话密钥Kcb加密,得到密文C2,C2=EKcb(M);
第四部,安全短消息服务器将密文C2发送给用户B,用户B使用Kcb对C2进行解密,得到M。M=DKcb(C2);
这里E和D分别代表对称加密中的加密和解密操作;
至此短消息M由用户A安全传输至用户B,在传输过程中,始终以密文形式存在。
所述的短消息加密存储是指对有加密存储需求的短消息按照文件柜的组织形式进行加密存储,使用加密文件柜进行加密存储步骤如下:
第一步,设立文件柜结构:安全SIM卡将卡上的存储空间按文件柜的形式分为各个组;
第二步,用户设置文件柜:每个文件柜对应一个操作密码,查看短信时只能查看自己输入操作密码所属的加密文件柜中的短信,如果忘记加密文件柜操作密码,需要对该文件柜进行重新设置,同时删除该加密文件柜中的所有文件与信息;
第三步,收到的短信按照文件柜号进行存储,用户只有输入该柜号对应的操作密码才能查看短信。
本发明具有如下积极效果:在短消息加密传输方面,基于安全短消息服务器进行短消息落地解密和加密转发,保证短消息在空中传输过程中始终是密文状态,明文仅仅在短消息落地后出现。在短消息加密存储方面,对有加密存储需求的短消息按照文件柜的组织形式进行加密存储。用户只能查看自己登陆密码所属的加密文件柜下的短消息内容。这种方法允许用户动态分配文件柜数量,并且文件柜的具体结构对其他用户是不可见的,极大地保护了用户短消息加密存储的隐私性。
附图说明:
图1为本发明的证书分发过程示意图。
图2为本发明的会话密钥协商示意图。
图3为本发明的短消息加解密处理示意图。
图4为本发明的加密文件柜示意图。
具体实施方式:
如图1所示,本发明的安全SIM卡是在普通SIM卡的基础上,基于芯片重新进行安全性设计,对功能的调用和对系统资源的使用都有严格的权限控制。对敏感数据的输入和输出,可以采用安全报文传送方式,确保数据的安全。一般安全SIM卡支持对称算法和非对称算法。
1、基于公钥证书的动态会话密钥协商,其特征在于:基于公钥证书协商短消息传输过程中的会话密钥,并可根据实际使用需求动态在线更换用户会话密钥,包括以下步骤:
1)、公钥证书分发:
A.证书服务器为安全短消息服务器和终端用户生成各自的公钥证书;
B.证书服务器离线向安全SIM卡写入安全短消息服务器公钥证书;
C.证书服务器通知安全短消息服务器用户公钥证书;
2)、会话密钥协商:终端用户和安全短消息服务器之间通过公钥证书,实现双方身份认证,协商出会话密钥,继而实现接收双方之间短消息传递的机密性、真实性和完整性服务,如图2所示。
密钥协商协议所发送的消息如下:
C->S:Nc
S->C:PEc(SIGs(Kcs,Nc,Ns))
C->S:Ns
其中C表示发送方(移动终端),S表示接收方(安全短消息服务器);PEc表示用C的公钥加密,SIGs表示用S的私钥签名。
会话密钥协商协议执行的步骤如下:
第一步,发送方向接收方发出明文认证请求,请求内容包括终端产生验证因子Nc;
第二步,安全短消息服务器根据移动终端的手机号码查找该用户相应的证书,并在向证书服务器验证该证书合法性后,产生一个会话密钥Kcs和验证因子Ns,利用自己的私钥和移动终端的加密公钥对Kcs、Ns、Nc进行签名和加密,然后传给移动终端;
第三步,移动终端对安全短消息服务器发送来的密文信息进行脱密(先用预存的安全短消息服务器的公钥验签、再用自身的私钥脱密),检查Nc一致后,将Ns以明文传给安全短消息服务器。
第四步,验证通过后,移动终端将Ns传给安全短消息服务器,服务器将收到的Ns与原来的Ns进行比较,确认协商成功。
按照以上步骤,协商出的会话密钥可以根据需求由用户进行动态更换,简化了密钥更新的过程,方便用户使用和管理。
2、短消息加解密处理:如图3所示,加密短消息在安全短消息服务器上进行落地解密处理和加密转发,利用会话密钥进行短消息加解密处理。
第一步,终端用户A向终端用户B发送短消息M,该消息M使用用户A与安全短消息服务器之间协商的会话密钥Kca进行加密,得到消息密文C1。C1=EKca(M),C1首先发送至安全短消息服务器;
第二步,安全短消息服务器收到该密文C1,用会话密钥Kca对消息C1解密,得到M,M=DKca(C1);
第三步,安全短消息服务器将明文消息M用用户B的会话密钥Kcb加密,得到密文C2,C2=EKcb(M);
第四部,安全短消息服务器将密文C2发送给用户B,用户B使用Kcb对C2进行解密,得到M。M=DKcb(C2);
这里E和D分别代表对称加密中的加密和解密操作。
至此,短消息M由用户A安全传输至用户B,在传输过程中,始终以密文形式存在,防止了消息内容被窃取和泄漏。采用安全短消息服务器进行短消息落地解密和加密转发,处理过程对用户来说是透明的,同时由服务器统一存储用户的会话密钥,解决了终端用户密钥管理问题。
3、短消息安全存储:对有加密存储需求的短消息按照文件柜的组织形式进行加密存储。使用加密文件柜进行加密存储步骤如下:
第一步,设立文件柜结构。安全SIM卡将卡上的存储空间按文件柜的形式分为若干组。
第二步,用户设置文件柜。每个文件柜对应一个操作密码,查看短信时只能查看自己输入操作密码所属的加密文件柜中的短信。如果忘记加密文件柜操作密码,需要对该文件柜进行重新设置,同时删除该加密文件柜中的所有文件与信息。
第三步,收到的短信按照文件柜号进行存储,用户只有输入该柜号对应的操作密码才能查看短信。
例如,用户设置口令12345678对应1号文件柜,在1号文件柜下存放短信1和短信2。设置口令87654321对应2号文件柜,在2号文件柜下存放短信3和短信4,如图4所示。
当用户输入操作密码12345678时,只能看到短信1和2;短信3和4对用户来说是不可见的。同理,当用户输入操作密钥87654321时,短信1和2对用户来说是不可见的。这样就极大保证了存储安全性,即使别人使用该手机,也会因为操作密码的分类和限制无法获取有效的加密短消息。
机译: 在sim卡中安全存储数据的系统和方法
机译: 虚拟环境中基于安全上下文的安全存储分段方法和装置
机译: 虚拟环境中基于安全上下文的安全存储分段方法和装置
