CN105763330A - 一种适用于电路域加密通信的轻量级证书及加密通信方法 - Google Patents
一种适用于电路域加密通信的轻量级证书及加密通信方法 Download PDFInfo
- Publication number
- CN105763330A CN105763330A CN201410795927.9A CN201410795927A CN105763330A CN 105763330 A CN105763330 A CN 105763330A CN 201410795927 A CN201410795927 A CN 201410795927A CN 105763330 A CN105763330 A CN 105763330A
- Authority
- CN
- China
- Prior art keywords
- certificate
- circuit domain
- communication
- extension
- communication terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种用于电路域加密通信的轻量级证书以及利用该证书进行加密通信的方法。首先对标准的X.509证书进行扩展,增加符合X.509证书扩展项标准的、电路域加密通信专用扩展项,包括:当前CA对以下内容进行的签名:证书所属的电话号码+该证书的公钥;当前CA执行以上签名是所使用的签名算法。然后基于所述扩展的X.509证书得到用于电路域加密通信的专用轻量级证书,包括如下字段:版本,算法族,序列号,公钥,电路域加密通信专用签名。然后采用上述专用轻量级证书实现电路域加密通信。本发明减少了加密功能给通信带来的时延,保护了移动通信中通话和数据交换的安全,改善了用户的使用体验。
Description
技术领域
本发明涉及网络通信安全技术领域,尤其涉及在电路域加密通信中一种轻量级证书的生成和使用方法。
背景技术
移动通信技术的迅速发展和广泛应用给人们的生活带来了极大地便利,但也带来许多安全隐患。由于无线信道具有开放性,只要利用相应的接收设备,就能够截获手机的通话信息,并对其进行定位、跟踪和监视。在某些特殊场合下(如涉密会议室),为了防止手机通信泄密,是不希望有手机通信的。
对通话信息进行加密是普遍使用的方法,主要有预制密钥或者动态密钥协商等方法。在动态密钥协商的方法中,通信双方一般都需要首先进行身份的认证,其中一个方法是基于证书进行。
密码算法和身份认证是普遍使用的方法,而且形式多变,可以通过适当修改使其适应移动通信的环境,比如带宽受限、节点资源受限、要求较小时延、网络不稳定等环境条件。目前的加密算法一般在IP层或IP层之上引入,在电路域中不能完成较为安全且时延较小的加密和身份认证。
发明内容
本发明针对上述问题,提出了一种专门用于电路域加密通信的轻量级证书以及利用该证书进行加密通信的方法,以保证加密功能给通信带来的时延尽可能的减少,改善用户的使用体验。
本发明采用的技术方案如下:
一种用于电路域加密通信的轻量级证书的生成方法,其步骤包括:
1)对标准的X.509证书进行扩展,增加符合X.509证书扩展项标准的、电路域加密通信专用扩展项,包括:
当前CA对以下内容进行的签名:证书所属的电话号码+该证书的公钥;
当前CA执行以上签名所使用的签名算法;
2)基于步骤1)所述扩展的X.509证书,得到用于电路域加密通信的专用轻量级证书,该专用轻量级证书包括如下字段:
版本,指示该证书的当前版本;
算法族,直接引用扩展的X.509证书的签名扩展项;
序列号,直接引用扩展的X.509证书的序列号字段;
公钥,直接引用扩展的X.509证书的公钥字段;
电路域加密通信专用签名,直接引用扩展的X.509证书的签名算法扩展项。
进一步地,所述用于电路域加密通信的专用轻量级证书中各字段的长度是:版本,长度为1~2B;算法族,长度为1~2B;序列号,长度为4~8B;公钥,长度为64~128;电路域加密通信专用签名,长度为64~128B。
进一步地,所述用于电路域加密通信的专用轻量级证书还包括如下字段:证书所属的电话号码,长度为15B,直接引用扩展的X.509证书的“电话号码”字段。
进一步地,所述签名算法支持SM2、RSA等算法。
一种采用上述专用轻量级证书实现电路域加密通信的方法,其步骤包括:
1)在加密通信之前,通信终端A与通信终端B从CA系统获得自己的扩展的X.509证书,并且每个终端都基于扩展的X.509证书生成电路域加密通信专用轻量级证书;
2)通信终端A和通信终端B发起正常的通话信令流程,在两终端之间完成信令呼叫并建立语音信道;
3)基于建立的语音信道,通信终端A和通信终端B将各自的电路域加密专用轻量级证书发送给对方,以进行身份认证;
4)在身份认证成功以后,通信终端A和通信终端B双方进行密钥交换;
5)在密钥交换完成以后,通信终端A和通信终端B通信双方使用所协商好的密钥进行本次通话。
进一步地,步骤3)所述身份认证的方法是:每个终端从对方的证书中取出“公钥”,并且把从信令呼叫中获取的对方的电话号码进行组合获得“电话号码+公钥”组合;然后使用自己证书中的CA的公钥对该“电话号码+公钥”组合进行签名,然后与对方的证书中的CA的签名进行比较,检查是否一致。如果一致,说明对方身份正确,否则对方身份不正确。
本发明通过专门用于电路域加密通信的轻量级证书,实现了电路域加密通信的密钥管理,减少了加密功能给通信带来的时延,保护了移动通信中通话和数据交换的安全,改善了用户的使用体验。
附图说明
图1是实施例中通信终端A与通信终端B采用专用轻量级证书进行电路域加密通信的流程示意图。
具体实施方式
下面通过具体实施例和附图,对本发明做进一步说明。
本发明提出了一种用于电路域加密通信的轻量级证书、以及相关的生成和使用方法。该轻量级证书和标准的X.509证书兼容,保证对CA(CertificationAuthority,数字认证机构)和相关的证书规范没有影响。
1.针对X.509证书的扩展
X.509证书是通用的一种签名证书格式。证书都符合ITU-TX.509国际标准。X.509格式的证书被广泛应用于对电子邮件消息进行签名,对程序代码进行认证,以及对许多其他类型的数据进行认证等等。
本发明首先对标准的X.509证书做如下的扩展:新定义了符合X.509证书扩展项标准的、电路域加密通信专用扩展项,定义如下:
SignatureforEncryptedCSCommunication:(x比特)
该扩展项包括的是当前CA对以下内容进行的签名:证书所属的电话号码+该证书的公钥。即表示对电话号码和公钥两个字段放到一起组成的整体进行签名。其中CS表示CircuitSwitching。签名长度(即x比特)的值不固定,因为不同的算法造成的签名长度(即x比特)可能是不同的。
SignatureAlgorithmforEncryptedCSCommunication:(4比特)
该扩展项包括的是当前CA执行以上签名是所使用的签名算法,签名算法支持SM2,RSA等。其中长度4比特也可以是变长,一般4比特就足够用了。
以上的扩展都是基于X.509证书的标准进行,因而,当前的CA系统很容易就能够签发以上的扩展X.509证书。
基于X.509证书的CA系统,每个支持电路域加密通信的终端在初始化阶段都会获得CA签发的符合以上标准的扩展X.509证书。
2.电路域加密通信专用轻量级证书
由于电路域通信的速率较低,比如AMR一般不高于12.2kbps,通信双方如果直接交换X.509证书就会导致较长的时延,大大影响用户的体验。基于以上扩展的X.509证书,本发明提出了下面用于电路域加密通信的专用轻量级证书。以支持SM2算法的轻量级证书为例,该证书包括如下字段:
●版本(1B)
●算法族(1B)
●序列号(4B)
●证书所属的电话号码(15B,可选)
●公钥(64B)
●电路域加密通信专用签名(64B)
其中,“版本”字段指示该证书的当前版本;“算法族”直接引用扩展的X.509证书的“SignatureAlgorithmforEncryptedCSCommunication”扩展项;“序列号”直接引用扩展的X.509证书的“序列号”字段;“证书所属的电话号码”直接引用扩展的X.509证书的“电话号码”字段;“公钥”直接引用扩展的X.509证书的“公钥”字段;“电路域加密通信专用签名”直接引用扩展的X.509证书的“SignatureforEncryptedCSCommunication”扩展项。
以支持SM2算法的轻量级证书为例,整个证书大约在149字节。CDMA2000的语音帧长度为22字节,每个语音帧为20ms。在没有丢包的情况下,通信双方完成证书的交换大约需要7个语音帧,140ms的延时。基本能够保障用户体验没有明显下降。
下面提供一个应用实例,如图1所示,包括如下步骤:
通信终端A与通信终端B在加密通信之前已经从CA系统获得自己的扩展X.509证书。并且,每个终端都基于扩展的X.509证书生成电路域加密通信专用轻量级证书。
终端A和终端B直接发起正常的通话信令流程。两终端之间完成信令呼叫以后,语音信道在两终端之间建立。
基于建立的语音信道,终端A和终端B把各自的电路域加密专用轻量级证书发送给对方。
每个终端从对方的证书中取出“公钥”,并且把从信令呼叫中获取的对方的电话号码进行组合获得“电话号码+公钥”组合。然后使用自己证书中的CA的公钥对该“电话号码+公钥”组合进行签名,然后与对方的证书中的CA的签名进行比较,检查是否一致。如果一致,说明对方身份正确,否则说明对方身份不正确。
等身份认证成功以后,双方再进行密钥交换。
密钥交换完成以后,通信双方使用所协商好的密钥进行本次通话。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求所述为准。
Claims (7)
1.一种用于电路域加密通信的轻量级证书的生成方法,其步骤包括:
1)对标准的X.509证书进行扩展,增加符合X.509证书扩展项标准的、电路域加密通信专用扩展项,包括:
当前CA对以下内容进行的签名:证书所属的电话号码+该证书的公钥;
当前CA执行以上签名所使用的签名算法;
2)基于步骤1)所述扩展的X.509证书,得到用于电路域加密通信的专用轻量级证书,该专用轻量级证书包括如下字段:
版本,指示该证书的当前版本;
算法族,直接引用扩展的X.509证书的签名扩展项;
序列号,直接引用扩展的X.509证书的序列号字段;
公钥,直接引用扩展的X.509证书的公钥字段;
电路域加密通信专用签名,直接引用扩展的X.509证书的签名算法扩展项。
2.如权利要求1所述的方法,其特征在于,所述用于电路域加密通信的专用轻量级证书中各字段的长度是:版本,长度为1~2B;算法族,长度为1~2B;序列号,长度为4~8B;公钥,长度为64~128;电路域加密通信专用签名,长度为64~128B。
3.如权利要求1所述的方法,其特征在于,所述用于电路域加密通信的专用轻量级证书还包括如下字段:证书所属的电话号码,长度为15B,直接引用扩展的X.509证书的“电话号码”字段。
4.如权利要求1所述的方法,其特征在于:所述签名算法支持SM2算法或者RSA算法。
5.根据权利要求1至4中任一项所述方法生成的用于电路域加密通信的专用轻量级证书。
6.一种采用权利要求5所述专用轻量级证书实现电路域加密通信的方法,其步骤包括:
1)在加密通信之前,通信终端A与通信终端B从CA系统获得自己的扩展的X.509证书,并且每个终端都基于扩展的X.509证书生成电路域加密通信专用轻量级证书;
2)通信终端A和通信终端B发起正常的通话信令流程,在两终端之间完成信令呼叫并建立语音信道;
3)基于建立的语音信道,通信终端A和通信终端B将各自的电路域加密专用轻量级证书发送给对方,以进行身份认证;
4)在身份认证成功以后,通信终端A和通信终端B双方进行密钥交换;
5)在密钥交换完成以后,通信终端A和通信终端B通信双方使用所协商好的密钥进行本次通话。
7.如权利要求6所述的方法,其特征在于,步骤3)所述身份认证的方法是:每个终端从对方的证书中取出“公钥”,并且把从信令呼叫中获取的对方的电话号码进行组合获得“电话号码+公钥”组合;然后使用自己证书中的CA的公钥对该“电话号码+公钥”组合进行签名,然后与对方的证书中的CA的签名进行比较,检查是否一致,如果一致说明对方身份正确,否则说明对方身份不正确。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410795927.9A CN105763330A (zh) | 2014-12-18 | 2014-12-18 | 一种适用于电路域加密通信的轻量级证书及加密通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410795927.9A CN105763330A (zh) | 2014-12-18 | 2014-12-18 | 一种适用于电路域加密通信的轻量级证书及加密通信方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105763330A true CN105763330A (zh) | 2016-07-13 |
Family
ID=56340846
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410795927.9A Pending CN105763330A (zh) | 2014-12-18 | 2014-12-18 | 一种适用于电路域加密通信的轻量级证书及加密通信方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105763330A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107682859A (zh) * | 2017-08-31 | 2018-02-09 | 上海华为技术有限公司 | 消息处理方法及相关设备 |
CN113094722A (zh) * | 2021-03-25 | 2021-07-09 | 中国科学院信息工程研究所 | 一种三方口令认证密钥交换方法 |
CN113094721A (zh) * | 2021-03-16 | 2021-07-09 | 中国科学院信息工程研究所 | 一种基于模上错误学习的后量子口令认证密钥交换方法 |
CN113169883A (zh) * | 2021-03-15 | 2021-07-23 | 华为技术有限公司 | 数字证书的验证方法和验证装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100095372A1 (en) * | 2008-10-09 | 2010-04-15 | Novell, Inc. | Trusted relying party proxy for information card tokens |
CN101860824A (zh) * | 2010-05-06 | 2010-10-13 | 上海海基业高科技有限公司 | 一种基于短消息的数字签名认证系统及数字签名的方法 |
CN104065649A (zh) * | 2014-06-05 | 2014-09-24 | 天地融科技股份有限公司 | 一种语音通话的数据处理方法 |
-
2014
- 2014-12-18 CN CN201410795927.9A patent/CN105763330A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100095372A1 (en) * | 2008-10-09 | 2010-04-15 | Novell, Inc. | Trusted relying party proxy for information card tokens |
CN101860824A (zh) * | 2010-05-06 | 2010-10-13 | 上海海基业高科技有限公司 | 一种基于短消息的数字签名认证系统及数字签名的方法 |
CN104065649A (zh) * | 2014-06-05 | 2014-09-24 | 天地融科技股份有限公司 | 一种语音通话的数据处理方法 |
Non-Patent Citations (3)
Title |
---|
张路: "数据加密在GSM通信中的设计与应用", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
田庚林等: "数字签名及数字证书", 《计算机网络安全与管理》 * |
项楠: "端到端的手机语音加密办法研究与设计", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107682859A (zh) * | 2017-08-31 | 2018-02-09 | 上海华为技术有限公司 | 消息处理方法及相关设备 |
CN107682859B (zh) * | 2017-08-31 | 2020-07-14 | 上海华为技术有限公司 | 消息处理方法及相关设备 |
CN113169883A (zh) * | 2021-03-15 | 2021-07-23 | 华为技术有限公司 | 数字证书的验证方法和验证装置 |
CN113094721A (zh) * | 2021-03-16 | 2021-07-09 | 中国科学院信息工程研究所 | 一种基于模上错误学习的后量子口令认证密钥交换方法 |
CN113094722A (zh) * | 2021-03-25 | 2021-07-09 | 中国科学院信息工程研究所 | 一种三方口令认证密钥交换方法 |
CN113094722B (zh) * | 2021-03-25 | 2022-05-24 | 中国科学院信息工程研究所 | 一种三方口令认证密钥交换方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106936570B (zh) | 一种密钥配置方法及密钥管理中心、网元 | |
RU2663972C1 (ru) | Обеспечение безопасности при связи между устройством связи и сетевым устройством | |
US8583929B2 (en) | Encryption method for secure packet transmission | |
US8831224B2 (en) | Method and apparatus for secure pairing of mobile devices with vehicles using telematics system | |
US8917870B2 (en) | Methods and devices for computing a shared encryption key | |
EP1851932A1 (en) | Method and apparatus for providing bootstrapping procedures in a communication network | |
CN104683359A (zh) | 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法 | |
JP2006211687A (ja) | 移動通信加入者認証の安全な伝送方法 | |
CN110583036B (zh) | 网络认证方法、网络设备及核心网设备 | |
CN105763330A (zh) | 一种适用于电路域加密通信的轻量级证书及加密通信方法 | |
CN117546441A (zh) | 一种安全通信方法及装置、终端设备、网络设备 | |
EP3637815B1 (en) | Data transmission method, and device and system related thereto | |
CN107534555B (zh) | 一种用于证书验证的方法及装置 | |
CN105992203A (zh) | 一种语音通信加密密钥协商方法及基于该方法的系统 | |
CN104883372A (zh) | 一种基于无线自组织网的防欺骗和抗攻击的数据传输方法 | |
US20080176572A1 (en) | Method of handoff | |
CN110999215A (zh) | 安全设备访问令牌 | |
CN112235799B (zh) | 终端设备入网鉴权方法及系统 | |
CN102892114A (zh) | 一种设备合法性检验的方法及装置 | |
CN106060807A (zh) | 一种适用于电路域加密通信的消息传输方法 | |
CN106559402B (zh) | 用户终端及其加密语音电话业务的身份认证方法及装置 | |
Yadav et al. | Security analysis of RSA and ECC in Mobile Wimax | |
CN104955037A (zh) | 一种实现gsm手机的加密通话方法和加密装置 | |
CN108156112B (zh) | 数据加密方法、电子设备及网络侧设备 | |
Southern et al. | Solutions to security issues with legacy integration of GSM into UMTS |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160713 |