专利名称:通信终端及其通信信息处理方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种通信终端及其通信信息处理方法。
背景技术:
随着移动通信业务的发展,短信息(Short Message Service, SMS)已经成为了人 们进行通信的一种重要方式,其安全问题也受到越来越多的关注。短信息的内容泄露可能 会给用户或他人带来物质和精神上的双重损失。因此,对短信息的安全存储与安全传输的 技术研究变得越来越重要。在现有技术中,短信息的安全存储一般采用口令认证的方式,从而来杜绝对短信 息的非法查看。图1是根据现有技术的短信息安全存储的流程图。如图1所示,包括以下 步骤步骤S102,通信终端接收到用户的请求查看短信息的查看请求消息,以及用户输 入的口令,继续执行步骤S104 ;例如,短信息以密文的形式存储在通信终端中,通信终端中还存储有密文形式的 口令,其中,短信息的密文是经该口令加密的,口令的密文是经另一个同样存储于通信终端 的密钥Kl来加密的。步骤S104,通信终端对用户输入的口令进行认证,若认证通过,则进入步骤S106, 否则进入步骤S108 ;具体地,通信终端使用本地存储的Kl解密口令的密文,得到口令,然后,判断用户 输入的口令与解密得到的口令是否一致(或相同),若一致,则确定用户输入的口令认证通 过,否则认证不通过。步骤S106,通信终端使用用户输入的口令(或步骤S104中解密得到的口令)解密 本地存储的短信息的密文,得到短信息,然后,显示该短信息以供用户查看;步骤S108,不允许用户查看短信息,例如,提示用户口令错误等。上述现有技术的方法虽然在一定程度上能够防止短信息被直接查看,但是,由于 加密短信息的口令的密文以及加密口令的密钥Kl均存储于通信终端中,专业人员可以直 接从通信终端的存储区(例如通信终端中的存储卡、内存或闪存)中读取出短信息的密文、 口令的密文以及K1,并在获知加密算法后最终解密得到短信息的内容,而无需通过口令认 证的方式获取短信息。因此,采用上述现有技术的方法仍然不能很好地防止短信息被非法 获取。
发明内容
本发明实施例提供一种通信终端及其通信信息处理方法,可至少解决现有技术的 方法仍然不能很好地防止短信息被非法获取的问题。一方面,提供了一种通信终端的通信信息处理方法包括第一通信终端计算用户 输入的查看口令的哈希值;安装在第一通信终端上的第一用户识别模块通过判断用户输入的查看口令的哈希值与第一用户识别模块中存储的查看口令的哈希值是否相同,对用户输 入的查看口令进行认证;在第一用户识别模块判断为相同之后,第一通信终端根据用户的 查看请求消息,使用用户输入的查看口令解密第一通信终端中存储的第一通信信息密文; 第一通信终端显示解密得到的通信信息。另一方面,提供了一种通信终端包括第一计算模块,用于计算用户输入的查看口 令的哈希值;加解密模块,用于在安装于该通信终端上的用户识别模块判断第一计算模块 计算得到的用户输入的查看口令的哈希值与用户识别模块中存储的查看口令的哈希值相 同之后,根据用户的查看请求消息,使用用户输入的查看口令解密第一通信终端中存储的 第一通信信息密文,得到通信信息;显示模块,用于显示加解密模块解密得到的通信信息。本发明实施例将通信信息密文存储在通信终端中,而将解密通信信息密文的密钥 (即存储在用户识别模块中的查看口令)的哈希值存储在安装于通信终端中的用户识别 模块中,通信终端接收到用户输入的查看口令时计算用户输入的查看口令的哈希值,然后 由用户识别模块将用户输入的查看口令的哈希值与用户识别模块中存储的查看口令哈希 值进行比较并给出比较结果,通信终端仅在两者相同的情况下,才使用认证通过的用户输 入的查看口令对通信信息密文解密得到通信信息原文,从而获取到通信信息的内容以供查 看° 由于国际标准协议(例如ETSI (European Telecommunications Standards Institute, 欧洲电信标准协会)规范)为USIM卡等用户识别模块赋予了良好的安全性,用户识别模块 具有比通信终端更高的安全性,即使专业人员也无法从中读取出数据,因此,本发明实施例 充分利用用户识别模块在数据存储安全性方面的优势,将解密通信信息密文的查看口令的 哈希值存储在用户识别模块中,这样,即使专业人员从通信终端中获取到了通信信息密文, 而因为获取不到解密通信信息密文的密钥,所以也无法解密通信信息密文而最终获取到通 信信息原文,从而解决了现有技术无法很好地防止短信息被非法获取的问题,确保了短信 息等通信信息的存储安全。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根 据这些附图获得其他的附图。图1是根据现有技术的短信息安全存储的流程图;图2是根据本发明实施例一的通信终端的通信信息处理方法的流程图;图3是根据本发明实施例二的当第一通信终端作为发送端时的通信信息处理方 法的流程图;图4是根据本发明实施例三的当第一通信终端作为发送端时的通信信息的加密 发送的处理流程图;图5是根据本发明实施例四的当第一通信终端作为接收端时的通信信息处理方 法的流程图;图6是根据本发明实施例一的通信终端的结构示意图;图7是根据本发明实施例二的通信终端的结构示意图8是根据本发明实施例三的通信终端的结构示意图;图9是根据本发明实施例四的通信终端的结构示意图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施方式, 对本发明进行进一步详细说明。应当理解,此处所描述的具体实施方式
仅仅用于解释本发 明,并不用于限定本发明。在通信终端中,需要安装用户识别模块才能连入网络,并与其他通信终端进行电 话、短信息、彩信(Multimedia Messaging Service, MMS,意为多媒体信息服务)等方式的 通信。为了解决现有技术不能很好地防止短信息被非法获取的问题,本发明以下实施例提 供了一种通信终端及其通信信息处理方法,通信终端与用户识别模块一起配合以实现对短 信息等通信信息的更加安全的保护。在本发明实施例中,用户识别模块并不作为通信终端 中的一部分。本发明以下实施例中,通信终端可以为手机、PDA(Personal Digital Assistant, 个人数码助理)和iphone等具有短信息等通信信息功能的设备,用户识别模块可以是 SIM (Subscriber Identity Module,用户识别模块)卡、UIM (User Identity Module,用户 识别模块)卡和USIM(Universal Subscriber Identity Module,全球用户识别模块)卡 等,通信信息可以为短信息和彩信等。实施例一图2是根据本发明实施例一的通信终端的通信信息处理方法的流程图,包括以下 步骤步骤S202,第一通信终端计算用户输入的查看口令的哈希值(记为Hashl);例如,当用户通过按键或触摸选择进入“信息”菜单时,第一通信终端显示界面或 消息框以要求用户输入查看口令(可以是预定长度的由数字、字母等组成的字符串),然 后,在接收到用户在该界面或消息框中输入的查看口令之后,第一通信终端即可计算用户 输入的查看口令的哈希值,以便第一用户识别模块对用户输入的查看口令进行认证。步骤S204,第一用户识别模块通过判断用户输入的查看口令的哈希值(Hashl)与 第一用户识别模块中存储的查看口令的哈希值(记为Hash2)是否相同,对用户输入的查看 口令进行认证;例如,安装在第一通信终端中的第一用户识别模块中存储有正确的查看口令的哈 希值(Hash2),该正确的查看口令可以由用户自己设置。当第一用户识别模块判断Hashl与 Hash2相同时(此时说明用户输入的查看口令是正确的),对用户输入的查看口令的认证通 过,否则认证不通过。步骤S206,在第一用户识别模块判断为相同之后,第一通信终端根据用户的查看 请求消息,使用认证通过的用户输入的查看口令解密第一通信终端中存储的第一通信信息 密文;例如,通信信息密文是存储在通信终端中,第一通信终端获知第一用户识别模块 的判断结果为相同(即用户输入的查看口令认证通过),即可使用认证通过的查看口令(此 时即为用户输入的查看口令)对存储在本地的通信信息密文解密,得到通信信息原文。
7
步骤S208,第一通信终端显示解密得到的通信信息,以供用户进行查看。其中,在步骤208中的显示的方式可以有多种可以通过屏幕显示,也可以通过语 音、打印或其他方式显示,本发明实施例对此不做限定,即可以是任何能够使用户获知通信 信息内容的方式。本发明实施例将通信信息密文存储在通信终端中,而将解密通信信息密文的密钥 (即存储在用户识别模块中的查看口令)的哈希值存储在安装于通信终端中的用户识别 模块中,通信终端接收到用户输入的查看口令时计算用户输入的查看口令的哈希值,然后 由用户识别模块将用户输入的查看口令的哈希值与用户识别模块中存储的查看口令哈希 值进行比较并给出比较结果,通信终端仅在两者相同的情况下,才使用认证通过的用户输 入的查看口令对通信信息密文解密得到通信信息原文,从而获取到通信信息的内容以供查 看。由于国际标准协议(例如ETSI规范)为USIM卡等用户识别模块赋予了良好的安全性, 用户识别模块具有比通信终端更高的安全性,即使专业人员也无法从中读取出数据,因此, 本发明实施例充分利用用户识别模块在数据存储安全性方面的优势,将解密通信信息密文 的查看口令的哈希值存储在用户识别模块中,这样,即使专业人员从通信终端中获取到了 通信信息密文,而因为获取不到解密通信信息密文的密钥,所以也无法解密通信信息密文 而最终获取到通信信息原文,从而解决了现有技术无法很好地防止短信息被非法获取的问 题,确保了短信息等通信信息的存储安全。另外,通信信息密文存储在通信终端中,而解密通信信息密文的查看口令的哈希 值存储在用户识别模块中,这样,对通信终端或用户识别模块的单独破解均无法达到对通 信信息密文破解的目的。并且,由于用户识别模块中存储的是解密通信信息密文的查看口 令的哈希值,而且哈希运算是不可逆的,因此即使同时破解了通信终端和用户识别模块仍 然无法获取到解密通信信息密文的查看口令并最终破译通信信息密文,获取通信信息原 文。实施例一的技术方案可以称为通信信息的安全存储的技术方案。实施例二实施例一中的第一通信终端作为通信信息的发送端,第一通信终端需要发送通 信信息给第二通信终端,在第一用户识别模块中存储正确的“查看口令”的哈希值(记为 Hash2)。此时,根据本发明实施例二的第一通信终端的通信信息处理方法,如图3所示,包 括以下步骤步骤S302,第一通信终端计算用户输入的查看口令的哈希值(记为Hashl),将计 算得到的Hashl传送给第一用户识别模块;当用户通过按键或触摸方式选择进入“信息”菜单时,第一通信终端显示界面或消 息框以要求用户输入查看口令,然后,在接收到用户在该界面或消息框中输入的查看口令 之后,第一通信终端即可计算用户输入的查看口令的哈希值(Hashl)并将Hashl传送给第 一用户识别模块,以便第一用户识别模块对用户输入的查看口令进行认证。步骤S302对应于图2中的步骤S202。步骤S304,第一用户识别模块通过判断用户输入的查看口令的哈希值(Hashl)与 第一用户识别模块中存储的查看口令的哈希值(Hash2)是否相同,对用户输入的查看口令进行认证,并将认证结果返回给第一通信终端,若相同则认证通过,继续执行步骤S306,否 则认证不通过,不允许用户查看通信信息,例如,提示用户输入的查看口令错误,请重新输 入查看口令;例如,当用户识别模块是USIM卡时,可以预先在USIM卡中创建透明 (transparent)类型的私有文件,Hash2可以保存在该transparent类型的私有文件中,并 且该transparent类型的私有文件的读写权限均设置为Never (不允许),即通过ETSI规范 TS102. 221 中规定的与 USIM 卡相关的标准 APDU(Application Protocol Data Unit,应用 协议数据单元)指令无法读写该私有文件。显然,当用户识别模块是SIM卡和UIM卡时,也 可以采用上述的transparent类型的私有文件存储Hash2。但是,为了使得用户可以通过通信终端设置正确的查看口令并将查看口令哈希值 (Hash2)写入到USIM卡中,以便后续USIM卡使用Hash2对用户输入的查看口令进行认证。 本发明实施例提供了一种自定义的APDU指令,USIM卡与通信终端通过该自定义的APDU指 令进行通信,将用户通过通信终端设置的查看口令的哈希值(HasM)写入到USIM卡。如 表1所示,该自定义的APDU指令扩展了 ETIS规范TS 102. 221中规定的标准APDU指令的 INSdnstruction的缩写,命令)字段的值。表1自定义的APDU指令的结构
权利要求
1.一种通信终端的通信信息处理方法,其特征在于,包括第一通信终端计算用户输入的查看口令的哈希值;安装在所述第一通信终端上的第一用户识别模块通过判断所述用户输入的查看口令 的哈希值与所述第一用户识别模块中存储的查看口令的哈希值是否相同,对所述用户输入 的查看口令进行认证;在所述第一用户识别模块判断为相同之后,所述第一通信终端根据用户的查看请求消 息,使用所述用户输入的查看口令解密所述第一通信终端中存储的第一通信信息密文;所述第一通信终端显示解密得到的通信信息。
2.如权利要求1所述的方法,其特征在于,所述第一用户识别模块中存储的查看口令 的哈希值保存在所述第一用户识别模块中的透明类型的私有文件中,并且通过欧洲电信标 准协会ETSI规范中规定的与用户识别模块相关的标准应用协议数据单元APDU指令无法读 写所述透明类型的私有文件。
3.如权利要求1所述的方法,其特征在于,还包括在所述第一用户识别模块判断为相同之后,所述第一通信终端根据用户的发送请求消 息,对待发送的通信信息进行加密得到第二通信信息密文,并将所述第二通信信息密文发 送给第二通信终端;所述第一通信终端使用认证通过的所述用户输入的查看口令,对已发送的通信信息进 行加密得到第四通信信息密文,并存储所述第四通信信息密文。
4.如权利要求3所述的方法,其特征在于,对待发送的通信信息进行加密得到第二通 信信息密文,并将所述第二通信信息密文发送给第二通信终端包括所述第一通信终端向所述第一用户识别模块查询与所述第二通信终端对应的传输口 令密文;所述第一通信终端使用认证通过的所述用户输入的查看口令,对查询到的传输口令密 文进行解密;所述第一通信终端使用解密得到的传输口令对所述待发送的通信信息进行加密得到 所述第二通信信息密文,并计算所述传输口令的哈希值;所述第一通信终端将所述第二通信信息密文和所述传输口令的哈希值发送给所述第二通信终端。
5.如权利要求1所述的方法,其特征在于,还包括所述第一通信终端接收来自第三通 信终端的通信信息;则,在所述第一用户识别模块判断为相同之后,以及在所述第一通信终端根据用户的 查看请求消息,使用所述用户输入的查看口令解密所述第一通信终端中存储的第一通信信 息密文之前,还包括所述第一通信终端使用认证通过的所述用户输入的查看口令,对已接 收的所述通信信息进行加密得到所述第一通信信息密文;所述第一通信终端存储所述第一 通信信息密文。
6.如权利要求1所述的方法,其特征在于,还包括所述第一通信终端接收来自第三通 信终端的第三通信信息密文和传输口令的哈希值;则,在所述第一用户识别模块判断为相同之后,以及在所述第一通信终端根据用户的 查看请求消息,使用所述用户输入的查看口令解密所述第一通信终端中存储的第一通信信息密文之前,还包括所述第一通信终端向所述第一用户识别模块查询与所述第三通信终 端对应的传输口令密文;所述第一通信终端使用认证通过的所述用户输入的查看口令,对 查询到的传输口令密文进行解密;所述第一通信终端计算解密得到的传输口令的哈希值; 所述第一通信终端判断计算得到的传输口令的哈希值与接收到的传输口令的哈希值是否 相同;在判断为相同之后,所述第一通信终端使用所述解密得到的传输口令对所述第三通 信信息密文进行解密得到通信信息;所述第一通信终端使用认证通过的所述用户输入的查 看口令,对解密得到的所述通信信息进行加密得到所述第一通信信息密文;所述第一通信 终端存储所述第一通信信息密文。
7.如权利要求6所述的方法,其特征在于,在所述第一用户识别模块判断为相同之后, 以及在所述第一通信终端根据用户的查看请求消息,使用所述用户输入的查看口令解密所 述第一通信终端中存储的第一通信信息密文之前,还包括在判断为不同之后,所述第一通信终端暂存接收到的所述第三通信信息密文和传输口 令的哈希值;在接收到用户的查看待解密信息请求消息之后,所述第一通信终端执行所述向所述第 一用户识别模块查询与所述第三通信终端对应的传输口令密文的步骤,以重新对暂存的所 述第三通信信息密文进行解密得到所述通信信息,其中,所述第一用户识别模块中存储有 与所述第三通信终端对应的经重新确认的传输口令的密文。
8.如权利要求4、6或7所述的方法,其特征在于,所述第一用户识别模块中存储有线性 定长类型的私有文件,所述线性定长类型的私有文件中记录有各个通信终端及其对应的传 输口令密文,且通过ETSI规范中规定的与用户识别模块相关的标准APDU指令无法读写所 述类型为线性定长的私有文件。
9.一种通信终端,其特征在于,包括第一计算模块,用于计算用户输入的查看口令的哈希值;加解密模块,用于在安装于所述通信终端上的用户识别模块判断所述第一计算模块计 算得到的用户输入的查看口令的哈希值与所述用户识别模块中存储的查看口令的哈希值 相同之后,根据用户的查看请求消息,使用所述用户输入的查看口令解密所述第一通信终 端中存储的第一通信信息密文,得到通信信息;显示模块,用于显示所述加解密模块解密得到的所述通信信息。
10.如权利要求9所述的通信终端,其特征在于,还包括收发模块,其中所述加解密模块,还用于在所述用户识别模块判断为相同之后,根据用户的发送请求 消息,对待发送的通信信息进行加密得到第二通信信息密文;以及使用认证通过的所述用 户输入的查看口令,对已发送的通信信息进行加密得到第四通信信息密文并将所述第四通 信信息密文存储在所述通信终端中;所述收发模块,用于将所述加解密模块加密得到的所述第二通信信息密文发送给第二 通信终端。
11.如权利要求10所述的通信终端,其特征在于,所述加解密模块包括查询模块,用于向所述用户识别模块查询与所述第二通信终端 对应的传输口令密文;解密模块,用于使用认证通过的所述用户输入的查看口令,对所述查 询模块查询到的传输口令密文进行解密得到传输口令;加密模块,用于使用所述解密模块解密得到的传输口令,对所述待发送的通信信息进行加密得到所述第二通信信息密文;以 及使用认证通过的所述用户输入的查看口令,对已发送的通信信息进行加密得到所述第四 通信信息密文,并存储所述第四通信信息密文;第二计算模块,用于计算所述解密模块解密 得到的传输口令的哈希值;所述收发模块,还用于将所述第二计算模块计算得到的所述传输口令的哈希值与所述 第二通信信息密文一起发送给所述第二通信终端。
全文摘要
本发明实施例提供一种通信终端及其通信信息处理方法,应用于通信技术领域。上述的通信终端的通信信息处理方法包括第一通信终端计算用户输入的查看口令的哈希值;安装在第一通信终端上的第一用户识别模块通过判断用户输入的查看口令的哈希值与第一用户识别模块中存储的查看口令的哈希值是否相同,对用户输入的查看口令进行认证;在第一用户识别模块判断为相同之后,第一通信终端根据用户的查看请求消息,使用认证通过的用户输入的查看口令解密第一通信终端中存储的第一通信信息密文;第一通信终端显示解密得到的通信信息。
文档编号H04M1/725GK102098391SQ201110082108
公开日2011年6月15日 申请日期2011年4月1日 优先权日2011年4月1日
发明者王鹏 申请人:成都市华为赛门铁克科技有限公司