一种适用于电路域加密通信的安全tf卡短信发卡方法
【专利摘要】本发明公开了一种适用于电路域加密通信的安全TF卡短信发卡方法。本方法为:1)密钥管理中心KMC将初始公私密钥、UMC短信号码、UMC公钥发送至客户端的安全TF卡中,并记录UID和初始公私密钥的对应关系;安全TF卡生成自身的初始签名证书;2)客户端利用初始签名证书生成一注册短信发送给UMC,然后UMC根据该注册短信中的UID查询对应初始公钥验证该注册短信,验证通过后生成含有密钥和身份信息的短信发送给该客户端;3)该客户端收到该含有密钥和身份信息的短信后,将电话号码、该身份信息组以及密钥发送给安全TF卡;然后安全TF卡产生一报到短信发送给UMC;4)UMC根据该报到短信记录发卡完成状态。
【专利说明】
-种适用于电路域加密通信的安全TF卡短信发卡方法
技术领域
[0001] 本发明属于网络通信安全技术领域,设及一种在电路域中基于安全TF卡的加密通 信中的短信发卡方法。
【背景技术】
[0002] 移动通信技术的迅速发展和广泛应用使人们对其安全问题愈加重视。现加密通信 技术正逐步被推广,基于硬件的手机加密通信方式为更多人所使用。对于基于硬件安全TF 卡的加密手机,在用户数量增多时,普通的离线发卡手段已不能满足需要。为此,我们设计 了一种短信发卡方案,能使Amlroid手机用户高效且安全的通过短信进行安全TF卡发卡操 作。
[0003] 要实现加密通信,首先需要进行身份认证和密钥协商。现有的身份认证方式主要 基于数字证书。用户在加密通信之前,需在相关机构注册并获得自己的数字证书用于认证。 在基于安全TF卡的加密通信中,证书可离线方式提前刷入卡内,或在用户使用时W在 线方式写入。对于离线方式,由于证书的生成需要安全TF卡与手机号码两者缺一不可,用户 需要携带TF卡与手机到离线发卡中屯、操作,运种方式在用户增多时效率变得很低。针对在 线方式,本发明提出了一种专口用于电路域加密通信的短信发卡方案,保证足够安全的前 提下,W尽量小的代价进行在线发卡,提高用户的发卡效率与使用体验。
[0004] 使用短信作为载体传输安全身份信息是一种高效简便的方法,且形式多变,可W 通过适当修改使其适应其他安全通信场景。目前加密通信中尚没有一种针对安全TF卡的安 全高效的短信发卡方案。
【发明内容】
[0005] 本发明提出了一种用于基于安全TF卡的电路域加密通信短信发卡方法。该方法通 过数字信封保护发卡信息,能够达到足够的安全性。
[0006] 本发明的技术方案为:
[0007] -种适用于电路域加密通信的安全TF卡短信发卡方法,其步骤为:
[000引 1)密钥管理中屯、KMC将初始公私密钥、UMC短信号码、UMC公钥发送至客户端的安全 TF卡中,并记录UID和初始公私密钥的对应关系;安全TF卡生成自身的初始签名证书;其中, UID为安全TF卡ID;
[0009] 2)客户端利用初始签名证书生成一注册短信发送给UMC,然后UMC根据该注册短信 中的UID查询对应初始公钥验证该注册短信,验证通过后生成含有密钥和身份信息的短信 发送给该客户端;
[0010] 3)该客户端收到该含有密钥和身份信息的短信后,将电话号码、该身份信息组W 及密钥发送给安全TF卡;然后安全TF卡产生一报到短信,该客户端将该报到短信发送给 UMC;
[0011] 4)UMC根据该报到短信记录发卡完成状态。
[0012] 进一步的,初始签名证书包括:UID和初始私钥对UID+初始公钥的签名。
[0013] 进一步的,使用初始签名证书产生的注册短信包括:短信标识字段、状态码字段和 初始签名证书字段。
[0014] 进一步的,含有密钥和身份信息的短信包括:明文信息、密文信息,其中,该明文信 息包括:短信标识、电话号码、PKI身份信息和UMC签名值;该密文信息包括:UID、主控密钥、 加密密钥、签名密钥、PKI密钥和公钥参数;UMC签名值为UMC利用自己的私钥对密文的签名。
[0015] 进一步的,生成含有密钥和身份信息的短信的方法为:UMC从该注册短信中读取电 话号码并从KMC获取与该电话号码对应的PKI身份信息、主控密钥、加密密钥、签名密钥、PKI 密钥;然后在UMC端使用安全TF卡的初始公钥对UID、主控密钥、签名密钥、加密密钥、PKI密 钥进行加密,并使用UMC私钥进行签名;然后UMC根据该电话号码、PKI身份信息,W及对UID、 主控密钥、签名密钥、加密密钥、PKI密钥加密后的密文生成含有密钥和身份信息的短信。
[0016] 进一步的,步骤3)中,该客户端对该含有密钥和身份信息的短信进行验证,验证通 过后将该电话号码和该PKI身份信息,W及该主控密钥、加密密钥、签名密钥、PKI密钥、公钥 参数传给安全TF卡;安全TF卡利用初始私钥进行解密保存。
[0017] 进一步的,该客户端将电话号码、PKI身份信息组成命令形式传给安全TF卡;将主 控密钥、加密密钥、签名密钥、PKI密钥、公钥参数组包成命令形式传给安全TF卡;当命令能 成功返回时,安全TF卡产生该报到短信。
[001引本发明主要内容包括:
[0019] 1.证书与短信格式
[0020] 本发明中设及的加密通信的身份认证过程基于证书,储存在安全TF卡中。安全TF 卡出厂状态为0x0055。初始化时,KMC(密钥管理中屯、)下发初始公私密钥、UMC(用户管理中 屯、)短信号码、UMC公钥至TF卡中,并记录UID和初始公私密钥的对应关系。安全TF卡生成自 身唯一的初始签名证书,如表1。
[0021] 表1安全TF卡初始签名证书
[0022]
[0023] 其中各项含义如下:
[0024] ?UID:安全 TF 卡 ID;
[0025] ?自签名:初始私钥对UID+初始公钥的签名;
[00%]使用W上初始签名证书产生的注册短信格式如下:
[0027]表2注册短信
[002引
[0029] 其中各项含义如下:
[0030] ?短信标识:即为0086+手机号码+0(BCD码,8B);
[0031] ?状态码:此处为0x0700,标识短信功能;
[0032] ?初始签名证书:即为表1中安全TF卡初始签名证书;
[0033] 将注册短信发给UMC,然后UMC根据UID查询对应的初始公钥,并用初始公钥验证签 名,UM四金证通过后,下发含有密钥的短信,长度共452个字节,格式如下:
[0034] 表3密钥下发短信
[0035]
[0036] UMC利用自己的私钥对密文部分的信息进行签名得到UMC签名值。因为在初始化时 UMC的公钥已经写入到安全TF卡中,所W客户端收到短信后可W进行验证。
[0037] 其中各项含义如下:
[0038] 短信标识:FEFE0001,表示本条短信是身份信息短信;
[0039] PN:电话号码;
[0040] PKI身份信息:所含信息包括版本(1B),算法族(1B),序列号(4B),公钥(64B),对 "公钥+电话号码"的签名(64B)和预留位(2B),消息总长136字节;
[0041 ] UID:安全 TF 卡 ID;
[0042] 主控密钥:用于手机客户端本地数据存储,me服务器上保留一份;
[0043] 加密密钥:用于标识认证体系(IPA体系)加密;
[0044] 签名密钥:用于对数据签名;
[0045] PKI密钥:用于身份认证、密钥交换、短信加解密等,公钥在PKI身份信息中;
[0046] 公钥参数:加密后增加长度。
[0047] 2.短信发卡流程
[004引1)客户端开机检测安全TF卡状态为初始化状态(0x0055 ),则强制修改PIN码,写入 IMSI号,调用产生注册短信接口,TF卡产生注册短信,客户端将短信发送给UMC。
[0049] 2)UMC判断收到的短信为注册短信后,则从服务器数据库列表中查找出UID对应的 初始公钥验证注册短信的签名,验证通过证明该注册短信合法。
[0050] 3)UMC提供对应电话号码参数(由注册短信中读出的电话号码)并调用KMC的接口 从KMC获取与该电话号码对应的PKI身份信息、主控密钥、加密密钥、签名密钥、PKI密钥,并 在UMC端使用安全TF卡的初始公钥对UID、主控密钥、签名密钥、加密密钥、PKI密钥进行加 密,并使用UMC私钥进行签名。
[0化1] 4)UMC将PN明文,PKI身份信息明文,UID、主控密钥、签名密钥、加密密钥、PKI密钥 组包后的密文一起下发;
[0052] 5)客户端收到密钥下发短信后,校验UMC签名值是否合法,如果不合法则报错,不 进行后续步骤。
[0053] 6)客户端验证UMC签名值合法后,将PN和PKI身份信息组成命令形式传给TF卡;即 将主控密钥、加密密钥、签名密钥、PKI密钥、公钥参数组包成命令形式传给TF卡,TF卡利用 初始私钥解密,提取内容保存到忍片内。
[0054] 7)当命令能成功返回时,认为发卡完成,TF卡产生报到短信(状态值为0x0088),客 户端发送给UMC,向用户提示初始化完成。
[0055] 8)UMC收到短信后查看状态值并记录发卡完成。
[0056] 与现有技术相比,本发明的积极效果为:
[0057] 本发明使用短信作为载体传输安全身份信息,高效简便且形式多变,可W通过适 当修改使其适应其他安全通信场景,大大提高了发卡效率。
【附图说明】
[0058] 图1为本发明的短信发卡流程图。
【具体实施方式】
[0059] 下面结合附图对本发明进行更全面的描述:实施案例在W本发明技术方案为前提 下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述 的实施例。
[0060] 应用实例:
[0061 ]用户获得已初始化的安全TF卡,此时TF卡状态为出厂状态(0x0055),内含其初始 签名证书。用户开机检测TF卡状态为初始化状态,强制修改PIN码,TF卡产生注册短信,并将 短信发送给UMCdUMC收到短信后判断其为注册短信,从服务器数据库列表中查找出UID对应 的初始公钥,并验证通过证明该注册短信合法。根据短信提供的电话号码参数获取PKI身份 信息,并使用TF卡的初始公钥对其进行加密,使用UMC私钥对其进行签名,组包后下发。用户 收到短信后,验证UMC签名值合法后,将身份信息传给TF卡。TF卡利用初始私钥解密,提取内 容保存到忍片内。同时,TF卡产生报到短信,发送给UMC,并向用户提示初始化完成。服务器 收到短信后查看状态值记录发卡完成。发卡结束。
[0062] 综上所述,本发明公开了适用于电路域加密通信的短信发卡方案。
[0063] 本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明 限于所公开的形式。显然,本领域的普通技术人员可W对本发明的示例进行各种改动和变 形而不脱离本发明的精神和原则。选择和描述实施例是为了更好说明本发明的原理和实际 应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修 改的各种实施例。
【主权项】
1. 一种适用于电路域加密通信的安全TF卡短信发卡方法,其步骤为: 1) 密钥管理中心KMC将初始公私密钥、UMC短信号码、UMC公钥发送至客户端的安全TF卡 中,并记录UID和初始公私密钥的对应关系;安全TF卡生成自身的初始签名证书;其中,UID 为安全TF卡ID; 2) 客户端利用初始签名证书生成一注册短信发送给UMC,然后UMC根据该注册短信中的 UID查询对应初始公钥验证该注册短信,验证通过后生成含有密钥和身份信息的短信发送 给该客户端; 3) 该客户端收到该含有密钥和身份信息的短信后,将电话号码、该身份信息组以及密 钥发送给安全TF卡;然后安全TF卡产生一报到短信,该客户端将该报到短信发送给UMC; 4. UMC根据该报到短信记录发卡完成状态。2. 如权利要求1所述的方法,其特征在于,初始签名证书包括:UID和初始私钥对UID+初 始公钥的签名。3. 如权利要求2所述的方法,其特征在于,使用初始签名证书产生的注册短信包括:短 信标识字段、状态码字段和初始签名证书字段。4. 如权利要求3所述的方法,其特征在于,含有密钥和身份信息的短信包括:明文信息、 密文信息,其中,该明文信息包括:短信标识、电话号码、PKI身份信息和UMC签名值;该密文 信息包括:UID、主控密钥、加密密钥、签名密钥、PKI密钥和公钥参数;UMC签名值为UMC利用 自己的私钥对密文的签名。5. 如权利要求1或2或3或4所述的方法,其特征在于,生成含有密钥和身份信息的短信 的方法为:UMC从该注册短信中读取电话号码并从KMC获取与该电话号码对应的PKI身份信 息、主控密钥、加密密钥、签名密钥、PKI密钥;然后在UMC端使用安全TF卡的初始公钥对UID、 主控密钥、签名密钥、加密密钥、PKI密钥进行加密,并使用UMC私钥进行签名;然后UMC根据 该电话号码、PKI身份信息,以及对UID、主控密钥、签名密钥、加密密钥、PKI密钥加密后的密 文生成含有密钥和身份信息的短信。6. 如权利要求5所述的方法,其特征在于,步骤3)中,该客户端对该含有密钥和身份信 息的短信进行验证,验证通过后将该电话号码和该PKI身份信息,以及该主控密钥、加密密 钥、签名密钥、PKI密钥、公钥参数传给安全TF卡;安全TF卡利用初始私钥进行解密保存。7. 如权利要求6所述的方法,其特征在于,该客户端将电话号码、PKI身份信息组成命令 形式传给安全TF卡;将主控密钥、加密密钥、签名密钥、PKI密钥、公钥参数组包成命令形式 传给安全TF卡;当命令能成功返回时,安全TF卡产生该报到短信。
【文档编号】H04W12/06GK106060788SQ201610348079
【公开日】2016年10月26日
【申请日】2016年5月24日
【发明人】周卫华, 单旭, 李 远
【申请人】中国科学院信息工程研究所