實現移動通信保密的方法和智能存儲卡的製作方法
2023-05-23 20:44:01 2
專利名稱:實現移動通信保密的方法和智能存儲卡的製作方法
技術領域:
本發明涉及移動通信技術領域,特別涉及一種實現移動通信保密的方法和智能存儲卡。
背景技術:
隨著社會經濟的飛速發展,手機類用戶終端已經成為越來越多人的必備通訊工具之一。然而,無線通信在給人們帶來便利的同時,也不可避免地帶來了通信的安全問題,空中信號容易被截獲。以GSM網為例,GSM系統中的加密不是端到端的,只是在無線信道部分進行了加密,在地面網中沒有加密,採用明文傳輸;GSM系統中的認證是單向的,只有網絡對用戶的認證,而沒有用戶對網絡的認證;GSM中使用的加密密鑰長度是64位,在現有的解密技術下,可以在較短時間內破解;在GSM系統中,加密算法是固定不變的,沒有更多的密鑰算法可供選擇,缺乏算法協商和加密密鑰協商過程。另外,現在的病毒無孔不入,手機病毒可以自動啟動電話錄音功能、自動撥打電話、竊取手機中的私人資料;而且由於信號在空中接口傳播時沒有做加密處理,很容易被竊聽。因此有必要對現有的移動通信方式進行改造。現有的移動通信保密大多是通過在用戶終端上安裝加密軟體,由加密軟體對要發送的各類信息進行加密來實現的。加密軟體實現方法存在許多弊端,例如,加密軟體實現方法是通過軟體來實現加密處理的,加密速度慢,對用戶終端的運算性能要求高;另外,加密軟體實現方法通過軟體方式不便於密鑰管理,降低了系統的安全性;容易受到用戶終端上的黑客軟體攻擊;一旦用戶終端丟失或被盜,難以控制風險。由上面的內容可以知道,現有的移動通信中所使用的在用戶終端上安裝加密軟體,由加密軟體對要發送的各類信息進行加密的實現方法的系統安全性不高,不便於進行
密鑰管理。
發明內容
有鑑於此,本發明的目的在於提供一種實現移動通信保密的方法,該方法能夠提高用戶終端之間通信的系統安全性。本發明的另一個目的在於提供一種智能存儲卡,使用該智能存儲卡能夠提高用戶終端之間通信的系統安全性。為了達到上述第一個目的,本發明提供了一種實現移動通信保密的方法,該方法利用智能存儲卡對通話信息進行加密和解密,包括以下步驟A、主叫用戶終端和被叫用戶終端進行各自外接的智能存儲卡間的雙向身份認證、 協商本次會話密鑰,建立端到端的安全通道;B、主叫用戶或被叫用戶中的送話方用戶終端收到送話用戶的通話信息後,將所述通話信息發送到送話方用戶終端外接的第一智能存儲卡中用協商的會話密鑰進行加密,並將加密後的通話信息發送到主叫用戶或被叫用戶中的受話方用戶終端;C、受話方用戶終端接收到送話方用戶終端發來的加密後的通話信息後,將所述加密後的通話信息發送到受話方用戶終端外接的第二智能存儲卡中用協商的會話密鑰進行解密,得到通話信息輸出。所述智能存儲卡通過通用數據接口外接到用戶終端。預先在智能存儲卡中存儲其自身的數字證書;步驟A所述的主叫用戶終端和被叫用戶終端進行各自外接的智能存儲卡間的雙向身份認證包括A00、主叫用戶終端向被叫用戶終端發送加密通話請求,被叫用戶終端接受主叫用戶終端的加密通話請求後,通話雙方啟動各自外接的智能存儲卡的雙向身份認證流程;A01、主叫用戶終端和被叫用戶終端將各自智能存儲卡中存儲的數字證書發送給對方智能存儲卡進行數字證書的有效性驗證,如果所述主叫用戶終端和被叫用戶終端中有任一用戶終端外接的智能存儲卡的數字證書無效,則本次通話過程結束。預先在智能存儲卡中存儲證書吊銷列表CRL,所述的CRL包含被吊銷證書的唯一標識;步驟AOl所述進行數字證書的有效性驗證的方法是主叫用戶終端和被叫用戶終端各自外接的智能存儲卡在存儲的CRL中查找是否有接收到的對方的數字證書的唯一標識,如果有,則對方的數字證書無效,否則,則對方的數字證書有效。步驟AOl所述主叫用戶終端和被叫用戶終端將各自智能存儲卡中存儲的數字證書發送給對方智能存儲卡進行數字證書的有效性驗證的方法是主叫用戶終端和被叫用戶終端各自將接收到的對方的數字證書發送到證書授權中心Ck,由CA驗證並將對方的數字證書的有效性告知主叫用戶終端和被叫用戶終端各自外接的智能存儲卡。預先設定會話密鑰生成算法;步驟A所述協商本次會話密鑰包括A10、主叫用戶終端和被叫用戶終端各自外接的智能存儲卡各自產生一隨機數,並將各自產生的隨機數發送給對方;All、主叫用戶終端和被叫用戶終端各自外接的智能存儲卡收到對方發送的隨機數後,將各自產生的隨機數與收到的隨機數按照預先設定的會話密鑰生成算法運算得到會話密鑰並保存。步驟B所述主叫用戶或被叫用戶中的送話方用戶終端收到送話用戶的通話信息後,將所述通話信息發送到第一智能存儲卡進行加密之前進一步包括送話方用戶終端將所述通話信息進行模數A/D轉換、信源編碼;所述送話方用戶終端將加密後的通話信息發送到主叫用戶或被叫用戶中的受話方用戶終端之前進一步包括將加密後的通話信息進行調製;步驟C所述受話方用戶終端接收到送話方用戶終端發來的加密後的通話信息後, 將所述加密後的通話信息發送到第二智能存儲卡進行解密之前進一步包括將接收到的加密後信息進行解調;所述受話方用戶終端將所述加密後的通話信息發送到第二智能存儲卡進行解密之後,得到通話信息輸出之前進一步包括將解密後的通話信息進行信源解碼、數模D/A轉換。
為了達到本發明的另一個目的,本發明還提供了一種智能存儲卡,該智能存儲卡應用於移動通信系統中的用戶終端,通過用戶終端的通用數據接口外接到用戶終端,該智能存儲卡包括通用數據接口、核心控制單元;所述通用數據接口,用於實現該智能存儲卡所外接到的用戶終端與核心控制單元之間的信息交互;所述核心控制單元,用於在該智能存儲卡所外接到的用戶終端與外接具有相同身份認證、密鑰協商、加密、解密功能的智能存儲卡的另一用戶終端進行通話前,對所述另一用戶終端外接的智能存儲卡進行身份認證,協商本次會話密鑰;用於在該智能存儲卡所外接到的用戶終端與所述另一用戶終端進行通話時,對將要發送到所述另一用戶終端的通話信息進行加密,對從所述另一用戶終端接收到的通話信息進行解密。所述的核心控制單元包括身份認證單元、密鑰生成單元、加密單元、解密單元、存儲單元;所述身份認證單元,用於通過通用數據接口接收該智能存儲卡所外接到的用戶終端發來的所述另一用戶終端外接的智能存儲卡的數字證書,對數字證書進行有效性驗證;所述密鑰生成單元,用於在所述協商本次會話密鑰時生成隨機數,並將所述生成的隨機數通過通用數據接口發送到該智能存儲卡所外接到的用戶終端,用於在接收到該智能存儲卡所外接到的用戶終端通過通用數據接口發送來的從所述另一用戶終端接收到的隨機數時,根據所述生成的隨機數和接收到的隨機數生成會話密鑰,並將所述生成的會話密鑰發送到存儲單元存儲;所述加密單元,用於通過通用數據接口接收到該智能存儲卡所外接到的用戶終端的將要發送到所述另一用戶終端的通話信息時,使用所述生成的會話密鑰對所述通話信息進行加密,並將加密後通話信息通過通用數據接口發送回該智能存儲卡所外接到的用戶終端;所述解密單元,用於通過通用數據接口接收到該智能存儲卡所外接到的用戶終端發來的從所述另一用戶終端接收到的加密後通話信息時,使用所述生成的會話密鑰對所述加密後通話信息解密,並將解密後通話信息通過通用數據接口發送回該智能存儲卡所外接到的用戶終端;所述存儲單元用於接收並存儲密鑰生成單元發送來的會話密鑰;用於在該智能存儲卡所外接到的用戶終端與所述另一用戶終端的通話結束後刪除所述存儲的會話密鑰。所述的存儲單元進一步存儲證書吊銷列表CRL ;所述身份認證單元在存儲單元中存儲的CRL中查找是否有所述用戶終端發來的數字證書的唯一標識,如果有,則所述數字證書無效,否則所述數字證書有效。由上面的技術方案可以知道,本發明利用智能存儲卡,將智能存儲卡通過用戶終端的通用數據接口外接到用戶終端,在兩個外接具有相同的身份認證、密鑰協商、加密、解密功能的智能存儲卡的用戶終端進行通信前,對通話雙方外接的智能存儲卡進行身份認證,協商本次會話密鑰,在通話雙方通信時利用智能存儲卡對通話信息進行加密和解密操作,使得通話雙方的身份得到驗證,由於每次通話前都要進行密鑰協商,而且密鑰存放在硬體內,通話雙方的通話信息加密和解密也都是在硬體內進行,因此密鑰的安全性得到了保證,同時也便於密鑰的管理,又由於保證了密鑰的安全性,進而也提高了系統的安全性。
圖1是本發明實施例用戶終端加密通信流程示意圖;圖2是是本發明實施例實現移動通信保密的方法流程圖;圖3是本發明實施例智能存儲卡的結構示意圖。
具體實施例方式為了使本發明的目的、技術方案及優點更加清楚明白,下面結合附圖並舉實施例, 對本發明進行詳細說明。本發明的主要思想是用戶終端通過外接智能存儲卡,由智能存儲卡實現通話雙方通信前的身份認證、密鑰協商和通話時的通話信息的加密、解密功能,實現完全由通話雙方控制的端到端的加密通信,提高了系統的安全性。本發明的技術方案實現的加密通話,需要通話雙方通過通用數據接口外接具有相同的身份認證、密鑰協商、加密、解密功能的智能存儲卡,且在加密通話前通話雙方要對各自外接的智能存儲卡的進行雙向身份認證,協商本次會話密鑰,建立起端到端的安全通道。參見圖1,圖1是本發明實施例用戶終端加密通信流程示意圖,第一智能存儲卡通過送話用戶終端的通用數據接口外接到送話用戶終端;第二智能存儲卡通過受話用戶終端的通用數據接口外接到受話用戶終端。這裡,用戶終端按照現有的通用數據接口協議對智能存儲卡進行數據的讀寫。在送話方,話音信號進入送話用戶終端後,經過A/D轉換和信源編碼轉變為數字信息,數字信息經送話用戶終端的通用數據接口進入第一智能存儲卡,在第一智能存儲卡對所述數字信息進行加密後,將加密信息經第一通用數據接口返回到送話用戶終端,在送話用戶終端中對加密信息進行信息調製後發送;在受話方,受話用戶終端接收到調製信息後,先對調製信息進行解調得到加密信息,加密信息經受話用戶終端的通用數據接口進入第二智能存儲卡,在第二智能存儲卡中對加密信息進行解密得到數字信息,數字信息經受話用戶終端的通用數據接口返回到受話用戶終端,在受話用戶終端中對數字信息進行信源解碼、D/A轉換後轉變為話音信號輸出。參見圖2,圖2是本發明實施例實現移動通信保密的方法流程圖,該方法包括以下步驟步驟201、主叫用戶終端要與被叫用戶終端通話時,發送加密通話請求給被叫用戶終端,被叫用戶終端接受主叫用戶終端的加密通話請求後,通話雙方啟動各自外接的智能存儲卡間的雙向身份認證流程。步驟202、主叫用戶終端和被叫用戶終端進行各自外接的智能存儲卡間的雙向身份認證,協商本次通話密鑰,建立端到端的安全通道。這裡,主叫用戶終端和被叫用戶終端雙方進行各自外接的智能存儲卡間的身份認證流程是雙向的,通話雙方各自外接的智能存儲卡的數字證書預先保存各自的智能存儲卡中,在進行身份認證時,通話雙方將各自智能存儲卡中保存的數字證書發送到對方的智能存儲卡中進行證書有效性驗證。這裡,數字證書中包含數字證書自身的唯一標識。數字證書有效性驗證有兩種驗證方式
Al,基於證書吊銷列表(CRL),CRL是由證書授權中心(CA)籤名的一組電子文檔, 包含了被吊銷數字證書的唯一標識,數字證書驗證方利用CRL來驗證數字證書持有者的數字證書是否有效。如果採用基於CRL的驗證方式,則預先在用戶終端各自的智能存儲卡中存儲CRL, 當用戶終端外接的智能存儲卡的數字證書因其私鑰遺失、洩漏或被破解等原因必須被吊銷時,CA要將吊銷的數字證書信息及時發送到關聯用戶的用戶終端的智能存儲卡中存儲。這裡的關聯用戶的用戶終端指所有使用此類智能存儲卡進行加密通話的用戶終端。通話雙方各自的智能存儲卡收到對方發送的數字證書後,就在各自智能存儲卡內保存的CRL中查找是否有對方數字證書的唯一標識,如果沒有,則證明雙方數字證書有效; 否則,數字證書被視為無效。A2,基於CA進行驗證,通話雙方收到對方發送的數字證書後,將對方的數字證書發送給Ck,由CA驗證通話雙方的數字證書的有效性,CA再將驗證結果告知通話雙方各自外接的智能存儲卡。在進行了通話雙方各自外接的智能存儲卡的身份認證之後,通話雙方開始協商本次通話的密鑰,協商流程為Bi、通話雙方各自的智能存儲卡各自產生一隨機數,並將各自產生的隨機數發送給對方;B2、通話雙方各自的智能存儲卡在收到對方發送的隨機數後,將各自產生的隨機數與收到的隨機數按照預先約定的現有技術的會話密鑰生成算法得到會話密鑰。這裡的會話密鑰生成算法生成的會話密鑰是對稱密鑰。完成協商本次會話密鑰流程後,主叫用戶終端與被叫用戶終端之間端到端的安全通道建立。步驟203、主叫用戶或被叫用戶中的送話方用戶終端接收到送話用戶的話音信息後,將話音信息進行A/D轉換、信源編碼後轉變為數字信息,並將數字信息經通用數據接口發送到送話方用戶終端外接的智能存儲卡。步驟204、送話方用戶終端外接的智能存儲卡接收到送話方用戶終端發來的數字信息後,將數字信息加密得到已加密信息,並將已加密信息經通用數據接口發送回送話方用戶終端。本步驟中,智能存儲卡使用協商得到的本次會話密鑰對數字信息進行加密。步驟205、送話方用戶終端接收到送話方用戶終端外接的智能存儲卡發來的已加密信息後,將已加密信息進行調製,並將調製後信息發送到主叫用戶或被叫用戶中的受話方用戶終端。步驟206、受話方用戶終端接收到送話方用戶終端發來的調製後信息後,將調製後信息解調得到已加密信息,並將已加密信息經通用數據接口發送到受話方用戶終端外接的智能存儲卡。步驟207、受話方用戶終端外接的智能存儲卡接收到受話方用戶終端發來的已加密信息後,將已加密信息解密得到數字信息,並將數字信息經通用數據接口發送回受話方用戶終端。本步驟中,智能存儲卡使用協商得到的本次會話密鑰對數字信息進行解密。
步驟208、受話方用戶終端接收到受話方用戶終端外接的智能存儲卡發來的數字信息後,將數字信息進行信源解碼、D/A轉換後轉變為話音信息輸出。本步驟執行完後,如果通話雙方的通話沒有結束,則繼續返回步驟203執行。採用本發明技術方案實現的移動通信保密的方法,能夠有效的保證通話的安全性。以手機為例,一旦用戶發現卡丟失,可以立即通知發卡方或可信第三方如CA中心,由發卡方對丟失的卡做失效處理,即吊銷卡的數字證書和卡ID號,並通知所有與丟失卡有關聯的用戶,將丟失卡的ID號以及吊銷的卡的數字證書號發送到關聯用戶的卡中存儲;如果通話雙方是基於CA進行身份認證的,則只需通知CA,無需發送吊銷的數字證書號到關聯用戶的卡中存儲。如果有用戶試圖用丟失的卡冒充合法用戶與其他用戶通話,在建立通話前,由於通話雙方要進行卡對卡的雙向身份認證,在認證過程中,其他用戶的卡就會發現該卡已失效,認證失敗,進而拒絕與該卡建立通話連接,有效地保證了通話的安全性。如果有人試圖用丟失的卡監聽其他用戶之間的加密通話,這也是不可能的,因為每次通話前都要進行密鑰協商,因而每次使用的密鑰都不一樣。本發明還提供了一種智能存儲卡,該智能存儲卡應用於移動通信系統中的手機類用戶終端,通過用戶終端的通用數據接口外接到用戶終端;參見圖3,圖3是本發明實施例智能存儲卡的結構示意圖,該智能存儲卡包括通用數據接口 310、核心控制單元320 ;其中,通用數據接口 310,用於實現該智能存儲卡所外接到的用戶終端與核心控制單元 320之間的信息交互;核心控制單元320,用於在該智能存儲卡所外接到的用戶終端與外接具有相同身份認證、密鑰協商、加密、解密功能的智能存儲卡的另一用戶終端進行通話前,對所述另一用戶終端外接的智能存儲卡進行身份認證,協商本次會話密鑰;用於在該智能存儲卡所外接到的用戶終端與所述另一用戶終端進行通話時,對將要發送到所述另一用戶終端的通話信息進行加密,對從所述另一用戶終端接收到的通話信息進行解密。所述的核心控制單元320包括身份認證單元321、密鑰生成單元322、加密單元 323、解密單元324、存儲單元325 ;其中,身份認證單元321,用於通過通用數據接口 310接收該智能存儲卡所外接到的用戶終端發來的所述另一用戶終端外接的智能存儲卡的數字證書,對數字證書進行有效性驗證;這裡,需要說明的是,所述的數字證書中包含數字證書自身的唯一標識。密鑰生成單元322,用於在所述協商本次會話密鑰時生成隨機數,並將所述生成的隨機數通過通用數據接口 310發送到該智能存儲卡所外接到的用戶終端,用於在接收到該智能存儲卡所外接到的用戶終端通過通用數據接口 310發送來的從所述另一用戶終端接收到的隨機數時,根據所述生成的隨機數和接收到的隨機數生成會話密鑰,並將所述生成的會話密鑰發送到存儲單元325存儲;加密單元323,用於通過通用數據接口 310接收到該智能存儲卡所外接到的用戶終端的將要發送到所述另一用戶終端的通話信息時,使用所述生成的會話密鑰對所述通話信息進行加密,並將加密後通話信息通過通用數據接口 310發送回該智能存儲卡所外接到的用戶終端;解密單元324,用於通過通用數據接口 310接收到該智能存儲卡所外接到的用戶終端發來的從所述另一用戶終端接收到的加密後通話信息時,使用所述生成的會話密鑰對所述加密後通話信息解密,並將解密後通話信息通過通用數據接口 310發送回該智能存儲卡所外接到的用戶終端;存儲單元325,用於接收並存儲密鑰生成單元322發送來的會話密鑰;用於在該智能存儲卡所外接到的用戶終端與所述另一用戶終端的通話結束後刪除所述存儲的會話密鑰。所述的存儲單元325進一步存儲證書吊銷列表CRL ;所述身份認證單元321在存儲單元325中存儲的CRL中查找是否有所述用戶終端發來的數字證書的唯一標識,如果有,則所述數字證書無效,否則所述數字證書有效。由上面的實施例可以看出,本發明的這種實現移動通信保密的方法,通過在用戶終端上外接一硬體設備智能存儲卡,由外接的智能存儲卡來完成交互信息的加、解密處理以及密鑰管理。由於硬體運算速度快,這樣做不僅提高了加、解密處理速度,同時降低了對用戶終端的性能要求;由於密鑰是存放在安全硬體內的,加解密處理也在卡內進行,密鑰不出卡,密鑰的安全性得到了保證,同時也便於密鑰管理;又由於應用本發明的用戶終端通話前必須經過嚴格的身份認證,即使用戶終端丟失或被盜也不會帶來安全風險。以上所述僅為本發明的較佳實施例而已,並不用以限制本發明,凡在本發明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本發明保護的範圍之內。
權利要求
1.一種實現移動通信保密的方法,其特徵在於,該方法利用智能存儲卡對通話信息進行加密和解密,包括以下步驟A、主叫用戶終端和被叫用戶終端進行各自外接的智能存儲卡間的雙向身份認證、協商本次會話密鑰,建立端到端的安全通道;B、主叫用戶或被叫用戶中的送話方用戶終端收到送話用戶的通話信息後,將所述通話信息發送到送話方用戶終端外接的第一智能存儲卡中用協商的會話密鑰進行加密,並將加密後的通話信息發送到主叫用戶或被叫用戶中的受話方用戶終端;C、受話方用戶終端接收到送話方用戶終端發來的加密後的通話信息後,將所述加密後的通話信息發送到受話方用戶終端外接的第二智能存儲卡中用協商的會話密鑰進行解密, 得到通話信息輸出。
2.如權利要求1所述的實現移動通信保密的方法,其特徵在於,所述智能存儲卡通過通用數據接口外接到用戶終端。
3.如權利要求2所述的實現移動通信保密的方法,其特徵在於,預先在智能存儲卡中存儲其自身的數字證書;所述數字證書包含數字證書自身的唯一標識;步驟A所述的主叫用戶終端和被叫用戶終端進行各自外接的智能存儲卡間的雙向身份認證包括A00、主叫用戶終端向被叫用戶終端發送加密通話請求,被叫用戶終端接受主叫用戶終端的加密通話請求後,通話雙方啟動各自外接的智能存儲卡的雙向身份認證流程;A01、主叫用戶終端和被叫用戶終端將各自智能存儲卡中存儲的數字證書發送給對方智能存儲卡進行數字證書的有效性驗證,如果所述主叫用戶終端和被叫用戶終端中有任一用戶終端外接的智能存儲卡的數字證書無效,則本次通話過程結束。
4.如權利要求3所述的實現移動通信保密的方法,其特徵在於,預先在智能存儲卡中存儲證書吊銷列表CRL,所述的CRL包含被吊銷證書的唯一標識;步驟AOl所述進行數字證書的有效性驗證的方法是主叫用戶終端和被叫用戶終端各自外接的智能存儲卡在存儲的CRL中查找是否有接收到的對方的數字證書的唯一標識,如果有,則對方的數字證書無效,否則,則對方的數字證書有效。
5.如權利要求3所述的實現移動通信保密的方法,其特徵在於,步驟AOl所述主叫用戶終端和被叫用戶終端將各自智能存儲卡中存儲的數字證書發送給對方智能存儲卡進行數字證書的有效性驗證的方法是主叫用戶終端和被叫用戶終端各自將接收到的對方的數字證書發送到證書授權中心CA,由CA驗證並將對方的數字證書的有效性告知主叫用戶終端和被叫用戶終端各自外接的智能存儲卡。
6.如權利要求4或5所述的實現移動通信保密的方法,其特徵在於,預先設定會話密鑰生成算法;步驟A所述協商本次會話密鑰包括A10、主叫用戶終端和被叫用戶終端各自外接的智能存儲卡各自產生一隨機數,並將各自產生的隨機數發送給對方;All、主叫用戶終端和被叫用戶終端各自外接的智能存儲卡收到對方發送的隨機數後, 將各自產生的隨機數與收到的隨機數按照預先設定的會話密鑰生成算法運算得到會話密鑰並保存。
7.如權利要求5所述的實現移動通信保密的方法,其特徵在於,步驟B所述主叫用戶或被叫用戶中的送話方用戶終端收到送話用戶的通話信息後,將所述通話信息發送到第一智能存儲卡進行加密之前進一步包括送話方用戶終端將所述通話信息進行模數A/D轉換、 信源編碼;所述送話方用戶終端將加密後的通話信息發送到主叫用戶或被叫用戶中的受話方用戶終端之前進一步包括將加密後的通話信息進行調製;步驟C所述受話方用戶終端接收到送話方用戶終端發來的加密後的通話信息後,將所述加密後的通話信息發送到第二智能存儲卡進行解密之前進一步包括將接收到的加密後信息進行解調;所述受話方用戶終端將所述加密後的通話信息發送到第二智能存儲卡進行解密之後,得到通話信息輸出之前進一步包括將解密後的通話信息進行信源解碼、數模 D/A轉換。
8.一種智能存儲卡,其特徵在於,該智能存儲卡應用於移動通信系統中的用戶終端,通過用戶終端的通用數據接口外接到用戶終端,該智能存儲卡包括通用數據接口、核心控制單元;所述通用數據接口,用於實現該智能存儲卡所外接到的用戶終端與核心控制單元之間的信息交互;所述核心控制單元,用於在該智能存儲卡所外接到的用戶終端與外接具有相同身份認證、密鑰協商、加密、解密功能的智能存儲卡的另一用戶終端進行通話前,對所述另一用戶終端外接的智能存儲卡進行身份認證,協商本次會話密鑰;用於在該智能存儲卡所外接到的用戶終端與所述另一用戶終端進行通話時,對將要發送到所述另一用戶終端的通話信息進行加密,對從所述另一用戶終端接收到的通話信息進行解密。
9.如權利要求8所述的智能存儲卡,其特徵在於,所述的核心控制單元包括身份認證單元、密鑰生成單元、加密單元、解密單元、存儲單元;所述身份認證單元,用於通過通用數據接口接收該智能存儲卡所外接到的用戶終端發來的所述另一用戶終端外接的智能存儲卡的數字證書,對數字證書進行有效性驗證;所述密鑰生成單元,用於在所述協商本次會話密鑰時生成隨機數,並將所述生成的隨機數通過通用數據接口發送到該智能存儲卡所外接到的用戶終端,用於在接收到該智能存儲卡所外接到的用戶終端通過通用數據接口發送來的從所述另一用戶終端接收到的隨機數時,根據所述生成的隨機數和接收到的隨機數生成會話密鑰,並將所述生成的會話密鑰發送到存儲單元存儲;所述加密單元,用於通過通用數據接口接收到該智能存儲卡所外接到的用戶終端的將要發送到所述另一用戶終端的通話信息時,使用所述生成的會話密鑰對所述通話信息進行加密,並將加密後通話信息通過通用數據接口發送回該智能存儲卡所外接到的用戶終端;所述解密單元,用於通過通用數據接口接收到該智能存儲卡所外接到的用戶終端發來的從所述另一用戶終端接收到的加密後通話信息時,使用所述生成的會話密鑰對所述加密後通話信息解密,並將解密後通話信息通過通用數據接口發送回該智能存儲卡所外接到的用戶終端;所述存儲單元用於接收並存儲密鑰生成單元發送來的會話密鑰;用於在該智能存儲卡所外接到的用戶終端與所述另一用戶終端的通話結束後刪除所述存儲的會話密鑰。
10.如權利要求9所述的智能存儲卡,其特徵在於,所述的存儲單元進一步存儲證書吊銷列表CRL ;所述身份認證單元在存儲單元中存儲的CRL中查找是否有所述用戶終端發來的數字證書的唯一標識,如果有,則所述數字證書無效,否則所述數字證書有效。
全文摘要
本發明提供了一種實現移動通信保密的方法,該方法利用智能存儲卡,將智能存儲卡通過用戶終端的通用數據接口外接到用戶終端,在兩個外接具有相同的身份認證、密鑰協商、加密、解密功能的智能存儲卡的用戶終端進行通信前,對通話雙方外接的智能存儲卡進行身份認證,協商本次會話密鑰,在通話雙方通信時利用智能存儲卡對通話信息進行加密和解密操作。本發明還提供了一種智能存儲卡。應用本發明的方法,使得通話雙方的身份得到驗證,由於每次通話前都要進行密鑰協商,而且密鑰存放在硬體內,通話雙方的通話信息加密和解密也都是在硬體內進行,因此密鑰的安全性得到了保證,同時也便於密鑰的管理,又由於保證了密鑰的安全性,進而提高了系統的安全性。
文檔編號H04W88/02GK102572817SQ20101061494
公開日2012年7月11日 申請日期2010年12月21日 優先權日2010年12月21日
發明者劉道斌, 廖劍, 王晨陽, 陳慶方 申請人:普天信息技術研究院有限公司