专利名称:基于安全sim卡的短消息两阶段加密传输和安全存储方法
技术领域:
本发明涉及一种移动用户设备间短消息收发和存储的方法,特别涉及一种基于安 全SIM卡的短消息两阶段加密传输和安全存储方法。
背景技术:
SIM卡是(Subscriber Identity Model客户识别模块)的縮写,也称为智能卡、用 户身份识别卡,GSM数字移动电话机必须装上此卡方能使用。SIM卡具有发送短消息、接收 短消息功能。根据GSM标准协议,SIM卡把编译好的短消息按照标准格式进行组包发送,还 可以接收无线网络发送过来的短消息,然后自动存储到SIM卡或者手机中。随着移动终端 设备的普及和短消息本身具有的方便,快捷,费用低廉等优势,有越来越多的移动用户以短 消息作为信息载体,进行信息查询,业务通知,网上交易等信息活动,由于这些活动往往涉 及敏感或重要信息,因此,对短消息的安全提出了更高的安全需求。目前短消息业务应用存 在一些缺陷 1.信息的内容以明文方式传输,可以通过技术手段轻易截取短消息内容,造成信 息内容被窃取或泄漏。 2.信息的内容以明文方式存储于移动设备上,一旦丢失或被他人查看,信息内容 隐私会暴露。 短信息收发双方都对短消息传输和存储过程中私密性和安全性有很高的使用需 求。
发明内容
本发明的目的在于克服现有技术中存在的不足而提供一种在安全SIM卡的支持 下实现基于公钥证书的动态会话密钥协商,基于安全短消息服务器进行短消息落地解密和 加密转发以及基于保密文件柜实现短消息加密存储安全功能的基于安全SIM卡的短消息 两阶段加密传输和安全存储方法。 本发明的目的是这样实现的该方法包括短消息加密传输和加密存储两个步骤
1)、短消息加密传输步骤,分为两个阶段实现 第一阶段,手机终端和安全短消息服务器之间通过约定的协议协商出会话密钥, 在两者之间建立起安全传输通道; 第二阶段,手机终端和安全短消息服务器利用会话密钥对短消息进行加解密处
理,保证短消息在空中传输过程中始终是密文状态,明文在短消息落地后出现; 2)短消息加密存储步骤是对有加密存储需求的短消息按照文件柜的组织形式进
行加密存储,文件柜分组个数动态可变,文件柜的唯一标识码为其访问密码。STK应用通过
用户登陆的密码自动匹配其中一组文件柜,用户只能查看自己登陆密码所属的加密文件柜
下的短消息内容。 所述的会话密钥是基于公钥证书协商短消息传输过程中的会话密钥,并根据实际
4使用需求动态在线更换用户会话密钥,包括以下步骤
1)、公钥证书的分发 A、证书服务器为安全短消息服务器和终端用户生成各自的公钥证书;
B、证书服务器离线向安全SM卡写入安全短消息服务器公钥证书;
C、证书服务器通知安全短消息服务器用户公钥证书;
2)、会话密钥协商 终端用户和安全短消息服务器之间通过公钥证书,实现双方身份认证,协商出会 话密钥,继而实现接收双方之间短消息传递的机密性、真实性和完整性服务,密钥协商协议 所发送的消息如下
C_>S:Nc S- > C :PEc (SIGs (Kcs, Nc, Ns))
C_>S:Ns 其中C表示移动终端发送方,S表示安全短消息服务器接收方;PEc表示用C的公
钥加密,SIGs表示用S的私钥签名, 会话密钥协商协议执行的步骤如下 第一步,发送方向接收方发出明文认证请求,请求内容包括终端产生验证因子
NC ; 第二步,安全短消息服务器根据移动终端的手机号码查找该用户相应的证书,并 在向证书服务器验证该证书合法性后,产生一个会话密钥Kcs和验证因子Ns,利用自己的 私钥和移动终端的加密公钥对Kcs、 Ns、 Nc进行签名和加密,然后传给移动终端;
第三步,移动终端对安全短消息服务器发送来的密文信息进行脱密(先用预存的 安全短消息服务器的公钥验签、再用自身的私钥脱密),检查Nc —致后,将Ns以明文传给安 全短消息服务器; 第四步,验证通过后,移动终端将Ns传给安全短消息服务器,服务器将收到的Ns 与原来的Ns进行比较,确认协商成功。 所述的短消息加解密处理是指加密短消息在安全短消息服务器上进行落地解密 处理和加密转发,利用会话密钥进行短消息加解密处理,短消息收发步骤如下
第一步,终端用户A向终端用户B发送短消息M,该消息M使用用户A与安全短消 息服务器之间协商的会话密钥Kca进行加密,得到消息密文Cl,Cl = EKca(M) ,Cl首先发送 至安全短消息服务器; 第二步,安全短消息服务器收到该密文Cl,用会话密钥Kca对消息Cl解密,得到 M, M = DKca(Cl); 第三步,安全短消息服务器将明文消息M用用户B的会话密钥Kcb加密,得到密文 C2, C2 = EKcb(M); 第四部,安全短消息服务器将密文C2发送给用户B,用户B使用Kcb对C2进行解 密,得到M。 M = DKcb(C2); 这里E和D分别代表对称加密中的加密和解密操作; 至此短消息M由用户A安全传输至用户B,在传输过程中,始终以密文形式存在。
所述的短消息加密存储是指对有加密存储需求的短消息按照文件柜的组织形式进行加密存储,使用加密文件柜进行加密存储步骤如下 第一步,设立文件柜结构安全SIM卡将卡上的存储空间按文件柜的形式分为各 个组; 第二步,用户设置文件柜每个文件柜对应一个操作密码,查看短信时只能查看自 己输入操作密码所属的加密文件柜中的短信,如果忘记加密文件柜操作密码,需要对该文 件柜进行重新设置,同时删除该加密文件柜中的所有文件与信息; 第三步,收到的短信按照文件柜号进行存储,用户只有输入该柜号对应的操作密 码才能查看短信。 本发明具有如下积极效果在短消息加密传输方面,基于安全短消息服务器进行 短消息落地解密和加密转发,保证短消息在空中传输过程中始终是密文状态,明文仅仅在 短消息落地后出现。在短消息加密存储方面,对有加密存储需求的短消息按照文件柜的组 织形式进行加密存储。用户只能查看自己登陆密码所属的加密文件柜下的短消息内容。这 种方法允许用户动态分配文件柜数量,并且文件柜的具体结构对其他用户是不可见的,极 大地保护了用户短消息加密存储的隐私性。
图1为本发明的证书分发过程示意图。
图2为本发明的会话密钥协商示意图。
图3为本发明的短消息加解密处理示意图。
图4为本发明的加密文件柜示意图。
具体实施例方式
如图1所示,本发明的安全SIM卡是在普通SIM卡的基础上,基于芯片重新进行安 全性设计,对功能的调用和对系统资源的使用都有严格的权限控制。对敏感数据的输入和 输出,可以采用安全报文传送方式,确保数据的安全。 一般安全SIM卡支持对称算法和非对 称算法。 1、基于公钥证书的动态会话密钥协商,其特征在于基于公钥证书协商短消息 传输过程中的会话密钥,并可根据实际使用需求动态在线更换用户会话密钥,包括以下步 骤 1)、公钥证书分发 A.证书服务器为安全短消息服务器和终端用户生成各自的公钥证书;
B.证书服务器离线向安全SM卡写入安全短消息服务器公钥证书;
C.证书服务器通知安全短消息服务器用户公钥证书; 2)、会话密钥协商终端用户和安全短消息服务器之间通过公钥证书,实现双方身 份认证,协商出会话密钥,继而实现接收双方之间短消息传递的机密性、真实性和完整性服 务,如图2所示。
密钥协商协议所发送的消息如下
C- > S :Nc S- > C :PEc (SIGs (Kcs, Nc, Ns))
6
C- > S :Ns 其中C表示发送方(移动终端),S表示接收方(安全短消息服务器);PEc表示用 C的公钥加密,SIGs表示用S的私钥签名。
会话密钥协商协议执行的步骤如下 第一步,发送方向接收方发出明文认证请求,请求内容包括终端产生验证因子
NC ; 第二步,安全短消息服务器根据移动终端的手机号码查找该用户相应的证书,并
在向证书服务器验证该证书合法性后,产生一个会话密钥Kcs和验证因子Ns,利用自己的
私钥和移动终端的加密公钥对Kcs、 Ns、 Nc进行签名和加密,然后传给移动终端; 第三步,移动终端对安全短消息服务器发送来的密文信息进行脱密(先用预存的
安全短消息服务器的公钥验签、再用自身的私钥脱密),检查Nc —致后,将Ns以明文传给安
全短消息服务器。 第四步,验证通过后,移动终端将Ns传给安全短消息服务器,服务器将收到的Ns 与原来的Ns进行比较,确认协商成功。 按照以上步骤,协商出的会话密钥可以根据需求由用户进行动态更换,简化了密 钥更新的过程,方便用户使用和管理。 2、短消息加解密处理如图3所示,加密短消息在安全短消息服务器上进行落地 解密处理和加密转发,利用会话密钥进行短消息加解密处理。 第一步,终端用户A向终端用户B发送短消息M,该消息M使用用户A与安全短消 息服务器之间协商的会话密钥Kca进行加密,得到消息密文Cl。 CI = EKca(M) , CI首先发 送至安全短消息服务器; 第二步,安全短消息服务器收到该密文Cl,用会话密钥Kca对消息Cl解密,得到 M, M = DKca(Cl); 第三步,安全短消息服务器将明文消息M用用户B的会话密钥Kcb加密,得到密文 C2, C2 = EKcb(M); 第四部,安全短消息服务器将密文C2发送给用户B,用户B使用Kcb对C2进行解 密,得到M。 M = DKcb(C2); 这里E和D分别代表对称加密中的加密和解密操作。 至此,短消息M由用户A安全传输至用户B,在传输过程中,始终以密文形式存在, 防止了消息内容被窃取和泄漏。采用安全短消息服务器进行短消息落地解密和加密转发, 处理过程对用户来说是透明的,同时由服务器统一存储用户的会话密钥,解决了终端用户 密钥管理问题。 3、短消息安全存储对有加密存储需求的短消息按照文件柜的组织形式进行加密 存储。使用加密文件柜进行加密存储步骤如下 第一步,设立文件柜结构。安全SM卡将卡上的存储空间按文件柜的形式分为若 干组。 第二步,用户设置文件柜。每个文件柜对应一个操作密码,查看短信时只能查看自 己输入操作密码所属的加密文件柜中的短信。如果忘记加密文件柜操作密码,需要对该文 件柜进行重新设置,同时删除该加密文件柜中的所有文件与信息。
第三步,收到的短信按照文件柜号进行存储,用户只有输入该柜号对应的操作密 码才能查看短信。 例如,用户设置口令12345678对应1号文件柜,在1号文件柜下存放短信1和短 信2。设置口令87654321对应2号文件柜,在2号文件柜下存放短信3和短信4,如图4所 示。 当用户输入操作密码12345678时,只能看到短信1和2 ;短信3和4对用户来说 是不可见的。同理,当用户输入操作密钥87654321时,短信1和2对用户来说是不可见的。 这样就极大保证了存储安全性,即使别人使用该手机,也会因为操作密码的分类和限制无 法获取有效的加密短消息。
权利要求
一种基于安全SIM卡的短消息两阶段加密传输和安全存储方法,其特征在于该方法包括短消息加密传输和加密存储两个步骤1)、短消息加密传输步骤,分为两个阶段实现第一阶段,手机终端和安全短消息服务器之间通过约定的协议协商出会话密钥,在两者之间建立起安全传输通道;第二阶段,手机终端和安全短消息服务器利用会话密钥对短消息进行加解密处理,保证短消息在空中传输过程中始终是密文状态,明文在短消息落地后出现;2)、短消息加密存储步骤是对有加密存储需求的短消息按照文件柜的组织形式进行加密存储,文件柜分组个数动态可变,文件柜的唯一标识码为其访问密码,STK应用通过用户登陆的密码自动匹配其中一组文件柜,用户只能查看自己登陆密码所属的加密文件柜下的短消息内容。
2. 根据权利要求1所述的基于安全SIM卡的短消息两阶段加密传输和安全存储方法, 其特征在于所述的会话密钥是基于公钥证书协商短消息传输过程中的会话密钥,并根据 实际使用需求动态在线更换用户会话密钥,包括以下步骤1) 、公钥证书的分发A、 证书服务器为安全短消息服务器和终端用户生成各自的公钥证书;B、 证书服务器离线向安全SM卡写入安全短消息服务器公钥证书;C、 证书服务器通知安全短消息服务器用户公钥证书;2) 、会话密钥协商终端用户和安全短消息服务器之间通过公钥证书,实现双方身份认证,协商出会话密 钥,继而实现接收双方之间短消息传递的机密性、真实性和完整性服务,密钥协商协议所发 送的消息如下C-〉S :NcS-〉C :PEc (SIGs(Kcs, Nc, Ns)) C-〉S :Ns其中C表示移动终端发送方,S表示安全短消息服务器接收方;PEc表示用C的公钥加 密,SIGs表示用S的私钥签名,会话密钥协商协议执行的步骤如下第一步,发送方向接收方发出明文认证请求,请求内容包括终端产生验证因子NC ;第二步,安全短消息服务器根据移动终端的手机号码查找该用户相应的证书,并在向证书服务器验证该证书合法性后,产生一个会话密钥Kcs和验证因子Ns,利用自己的私钥 和移动终端的加密公钥对Kcs、 Ns、 Nc进行签名和加密,然后传给移动终端;第三步,移动终端对安全短消息服务器发送来的密文信息进行脱密(先用预存的安全 短消息服务器的公钥验签、再用自身的私钥脱密),检查Nc —致后,将Ns以明文传给安全短 消息服务器;第四步,验证通过后,移动终端将Ns传给安全短消息服务器,服务器将收到的Ns与原 来的Ns进行比较,确认协商成功。
3. 根据权利要求1所述的基于安全SIM卡的短消息两阶段加密传输和安全存储方法, 其特征在于所述的短消息加解密处理是指加密短消息在安全短消息服务器上进行落地解密处理和加密转发,利用会话密钥进行短消息加解密处理,短消息收发步骤如下第一步,终端用户A向终端用户B发送短消息M,该消息M使用用户A与安全短消息服 务器之间协商的会话密钥Kca进行加密,得到消息密文Cl,Cl = EKca(M) ,C1首先发送至安 全短消息服务器;第二步,安全短消息服务器收到该密文CI,用会话密钥Kca对消息CI解密,得到M,M = DKca(Cl);第三步,安全短消息服务器将明文消息M用用户B的会话密钥Kcb加密,得到密文C2, C2 = EKcb (M);第四部,安全短消息服务器将密文C2发送给用户B,用户B使用Kcb对C2进行解密,得 至lj M。 M = DKcb (C2);这里E和D分别代表对称加密中的加密和解密操作;至此短消息M由用户A安全传输至用户B,在传输过程中,始终以密文形式存在。
4.根据权利要求1所述的基于安全SIM卡的短消息两阶段加密传输和安全存储方法, 其特征在于所述的短消息加密存储是指对有加密存储需求的短消息按照文件柜的组织形式进行加密存储,使用加密文件柜进行加密存储步骤如下第一步,设立文件柜结构安全SIM卡将卡上的存储空间按文件柜的形式分为各个组; 第二步,用户设置文件柜每个文件柜对应一个操作密码,查看短信时只能查看自己输入操作密码所属的加密文件柜中的短信,如果忘记加密文件柜操作密码,需要对该文件柜进行重新设置,同时删除该加密文件柜中的所有文件与信息;第三步,收到的短信按照文件柜号进行存储,用户只有输入该柜号对应的操作密码才能查看短信。
全文摘要
本发明涉及一种基于安全SIM卡的短消息两阶段加密传输和安全存储方法,包括短消息加密传输和加密存储步骤,手机终端和安全短消息服务器之间通过约定的协议协商出会话密钥,在两者之间建立起安全传输通道;手机终端和安全短消息服务器利用会话密钥对短消息进行加解密处理,短消息在空中传输过程中始终是密文状态,明文在短消息落地后出现;对有加密存储需求的短消息按照文件柜形式加密存储,文件柜分组个数动态可变,文件柜的唯一标识码为其访问密码,这种存储方式极大地保护了用户短消息加密存储的隐私性。
文档编号H04W4/14GK101720071SQ200910227210
公开日2010年6月2日 申请日期2009年12月1日 优先权日2009年12月1日
发明者刘熙胖, 司志刚, 常朝稳, 廖正赟, 梁松涛, 王一宁, 秦晰, 董建强, 赵国磊 申请人:郑州信大捷安信息技术有限公司