CN106060807A - 一种适用于电路域加密通信的消息传输方法 - Google Patents
一种适用于电路域加密通信的消息传输方法 Download PDFInfo
- Publication number
- CN106060807A CN106060807A CN201610349159.3A CN201610349159A CN106060807A CN 106060807 A CN106060807 A CN 106060807A CN 201610349159 A CN201610349159 A CN 201610349159A CN 106060807 A CN106060807 A CN 106060807A
- Authority
- CN
- China
- Prior art keywords
- key
- communication
- certificate
- msg1
- circuit domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种适用于电路域加密通信的消息传输方法。本方法为:1)创建一专用轻量级证书,其包括:算法族、序列号、证书所属的电话号码、公钥和电路域加密通信专用签名;2)在加密通信前,通信双方分别生成一身份认证消息Msg1发送给对方,通信双方对收到的身份认证消息Msg1进行验证,验证通过后双方分别生成一密钥协商消息Msg2发送给对方进行密钥交换;3)通信双方根据收到的密钥生成会话密钥,然后利用该会话密钥加密通信的消息。本发明大大提高了通信加密传输效率。
Description
技术领域
本发明属于网络通信安全技术领域,涉及一种消息传输方法,尤其涉及一种在电路域加密通信中的消息传输方法。
背景技术
移动通信技术的迅速发展和广泛应用给人们的生活带来了极大的便利,但也带来许多安全隐患。由于无线信道具有开放性,只要利用相应的接收设备,就能够截获手机的通话信息,并对其进行定位、跟踪和监视。在某些特殊场合下(如涉密会议室),为了防止手机通信泄密,通信需要加密。为此,我们设计了一种适用于电路域加密通信的消息传输机制,从而保护移动通信中通话和数据交换的安全。
对通话信息进行加密是普遍使用的方法,主要有预置密钥和动态密钥协商等方法。对于动态密钥协商的方法,通信双方一般需要先进行身份认证。而在电路域通信中,信道狭窄但同时要求延时较小,身份信息和密钥交换信息传输的效率成为问题。本发明提出一种并行异步的消息传输机制,以保证安全性为前提,尽可能地减小时延。
并行异步传输是一种普遍使用的方法,而且形式多变,可以通过适当修改使其适应其他通信的场景,比如带宽受限、节点资源受限、要求较小时延、网络不稳定等环境条件。目前尚没有一种能满足较小延时需求的电路域消息传输机制,能够高效且安全地完成加密和身份认证。
发明内容
本发明提出了一种适用于电路域加密通信的消息传输方法。该消息传输方法可工作在CDMA、WCDMA、TD-SCDMA等多种制式下。
一种适用于电路域加密通信的消息传输方法,其步骤为:
1)创建一专用轻量级证书,其包括:算法族、序列号、证书所属的电话号码、公钥和电路域加密通信专用签名;其中,算法族包括数字证书认证中心CA执行签名时所使用的签名算法,电路域加密通信专用签名的信息为:数字证书认证中心CA对证书所属的电话号码和该证书的公钥进行签名的签名信息;
2)在加密通信前,通信双方分别生成一身份认证消息Msg1发送给对方,通信双方对收到的身份认证消息Msg1进行验证,验证通过后双方分别生成一密钥协商消息Msg2发送给对方进行密钥交换;
3)通信双方根据收到的密钥生成会话密钥,然后利用该会话密钥加密通信的消息。
进一步的,该专用轻量级证书还包括版本字段。
进一步的,该身份认证消息Msg1包括算法族、序列号、公钥和电路域加密通信专用签名。
进一步的,该身份认证消息Msg1还包括版本字段和预留字段。
进一步的,该密钥协商消息Msg2包括电话号码密文、密钥密文、公钥。
进一步的,该密钥协商消息Msg2还包括预留字段。
进一步的,生成该密钥协商消息Msg2的方法为:首先是通信双方分别利用自己通信设备内的安全卡TF产生一密钥,然后使用收到的身份认证消息Msg1中对方的公钥对自己的电话号码和该密钥进行加密,生成该密钥协商消息Msg2。
进一步的,该密钥为一随机数。
进一步的,生成会话密钥的方法为:通信双方分别用自己的私钥对收到的密钥协商消息Msg2进行解密取出该密钥,然后用自己生成的密钥和对方发过来的密钥进行运算得到该会话密钥。
进一步的,步骤2)中,对收到的身份认证消息Msg1进行验证的方法为:首先通信双方用自己通信设备内的公钥验证收到的身份认证消息Msg1中的电路域加密通信专用签名信息,验证成功后,验证电路域加密通信专用签名信息中的电话号码与通信时对方手机号码是否一致,如果一致则验证通过。
本发明主要内容包括:
1.身份认证与密钥协商消息
本发明首先对标准的X.509证书做如下的扩展:新定义了符合X.509证书扩展项标准的、电路域加密通信专用扩展项,定义如下:
Signature for Encrypted CS Communication:
该扩展项包括的是当前CA对以下内容进行的签名:X.509证书所属的电话号码+该证书的公钥;即利用数字证书认证中心CA对证书所属的电话号码和该证书的公钥进行签名的签名信息。
SignatureAlgorithm for Encrypted CS Communication:
该扩展项包括的是当前数字证书认证中心CA执行以上签名是所使用的签名算法,签名算法支持SM2,RSA等。
基于以上扩展的X.509证书,本发明提出了下面用于电路域加密通信的专用轻量级证书。以支持SM2算法的轻量级证书为例,该证书包括如下字段:
●版本(1B)
●算法族(1B)
●序列号(4B)
●证书所属的电话号码(15B,可选)
●公钥(64B)
●电路域加密通信专用签名(64B)
其中,“版本”字段指示该证书的当前版本;“算法族”直接引用扩展的X.509证书的“SignatureAlgorithm for Encrypted CS Communication”扩展项;“序列号”直接引用扩展的X.509证书的“序列号”字段;“证书所属的电话号码”直接引用扩展的X.509证书的“电话号码”字段;“公钥”直接引用扩展的X.509证书的“公钥”字段;“电路域加密通信专用签名”直接引用扩展的X.509证书的“Signature for Encrypted CS Communication”扩展项。
基于以上轻量级证书,在加密通话开始前,通信双方会先生成身份认证消息Msg1用于验证身份,格式如表1:
表1 身份认证消息Msg1的格式
其中,生成身份认证消息Msg1的方法为:去掉专用轻量级证书的电话号码,增加两个字节的预留字段,生成Msg1。
在通信双方证书验证通过后,双方分别生成密钥协商消息Msg2用于交换密钥,格式如表2:
表2 密钥协商消息Msg2的格式
| 电话号码密文 | 密钥密文 | 公钥参数 | 预留 |
| 8B | 32B | 96B | 2B |
其中,Msg1消息总长136字节,Msg2消息总长138字节,以CDMA制式为例,每帧22个字节,只需要7帧就可以传完,使用短信的话一条就可以承载。
其中,生成Msg2的方法为:首先是安全TF卡产生一个随机数作为密钥,然后使用收到的Msg1中对方的公钥对自己的手机号码和该随机数进行加密,生成Msg2消息。协商的过程也就是对方收到Msg2后,用自己的私钥进行解密取出该密钥。双方都有了一个自己生成的密钥和对方发过来的密钥,两个密钥进行一个简单运算得到最终会话用的密钥。
通信双方证书验证方法为:首先用CA公钥(已预置在安全TF卡中)验证签名字段,成功后,验证签名字段中的手机号码与通信时对方手机号码是否一致,验证签名字段中的公钥与前面的公钥字段是否一致,都一致则验证通过。
2.消息传输协议异步重发机制
通信双方消息交换采用简单、异步重发的模式。该模式如下:
1)各终端独立发送包含Msg1分片的帧和包含Msg2消息分片的帧,不使用确认重传机制;
2)每个终端对消息分片循环发送,直到对方全部接收完成并给出确认;
3)通过超时计数器来保证消息交换时间。如果N帧以内还没有完成交换并进入到正常的加密通信状态,则本次通信失败。
3.消息传输协议状态机转换如图1所示。
当加密手机作为主叫发起密话通信时:
1.接通以后进入“密钥交换”状态;终端进入“密钥交换”状态后,
a)将开始Msg1和Msg2的发送和接收;
b)如果在N1帧之内没有收到对方发送来的Msg1消息分片,则表示对方不支持加密通信或者通信线路状况较差,则密钥交换失败,结束本次通话;
c)如果Msg1和Msg2消息分片均已接收完成,且发送的消息也已被对方完全接收,则密钥交换成功,进入“加密通信”状态。
2.终端进入“加密通信”状态后,
a)连续发送“加密通信确认语音帧”N2次,用于和对方确认进入加密通信开始;
b)如果进入“加密通信”状态N3帧以后,没有收到对方发送的“加密通信确认语音帧”,则进入“结束”状态;否则进行步骤c);
c)对要发送的语音帧进行加密处理;
d)对接收的语音帧进行解密处理。
3.有三种进入“结束”状态的可能,即用户结束本次呼叫、密钥交换失败、或“加密通信”状态下N3帧之内没有收到对方的加密语音帧。进入“结束”状态后,
a)结束本次通信。
当加密手机作为被叫通信时:
1.接通以后进入“模式检测”状态。终端进入“模式检测”状态后,
a)将检测接收到的帧中是否有Msg1消息分片。如果N4帧之内没有收到Msg1分片,则进入“明文通信”状态;
b)如果在N5帧之内连续接收到对方发送来的Msg1分片,表示本次通信为加密通信,则进入“密钥交换”状态;
c)在“模式检测”状态时,对于发送帧用空帧替代。
2.终端进入“密钥交换”状态后,
a)将开始Msg1和Msg2的发送和接收;
b)如果Msg1和Msg2消息分片均已接收完成,且发送的消息也已被对方完全接收,则密钥交换成功,进入“加密通信”状态;
c)如果密钥交换失败,则直接结束本次通信。
3.终端进入“加密通信”状态后,
a)连续发送“加密通信确认语音帧”N2次,用于和对方确认自己进入加密通信开始;
b)如果在N3帧之内没有接收到对方的“加密通信确认语音帧”,则进入“结束”状态;
c)对要发送的语音帧进行加密处理;
d)对接收的语音帧进行解密处理。
4.终端进入“明文通信”状态后,
a)对来自通信模块的接收帧和发送帧不做任何处理,直接返回。
5.有三种进入“结束”状态的可能,即用户结束本次呼叫、密钥交换失败、或“加密通信”状态下N3帧之内没有收到对方的加密语音帧。进入“结束”状态后,
a)结束本次通信。
与现有技术相比,本发明的积极效果为:
本发明在窄带语音信道上,采用异步重发机制,简单高效的完成身份认证与密钥协商,时延很短,十几个帧就可以完成,大大提高了通信加密传输效率。
附图说明
图1为本发明的消息传输协议状态机转换图;
图2为本发明的加密通话消息传输流程图。
具体实施方式
下面结合附图对本发明进行更全面的描述:实施案例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
应用实例:
本发明的加密通话消息传输流程如图2所示,其步骤为:
1)通信终端A与通信终端B在加密通信之前已经从CA系统获得自己的扩展证书。并且,每个终端都基于该证书生成电路域加密通信专用轻量级证书。
2)终端A和终端B直接发起正常的通话信令流程。两终端之间完成信令呼叫以后,语音信道在两终端之间建立。
3)在呼叫接通之后,为了建立加密通信信道,通信双方开始相互认证。双方并行异步传输之前生成好的Msg1,连续传输3次,并接收合成完整且正确的Msg1(Msg1消息为136字节,而单个语音帧只能传输22或31个字节,所以Msg1是分成7帧或者5帧分片传输,接收方收到并合成Msg1消息。循环3次,是保证最终正确。)。取出呼叫连接中的电话号码信息,与Msg1中的电话号码进行比较,检查是否正确。若无误,将信息交给安全TF卡,使用Msg1中的签名验证证书的合法性,若无误,保存证书。同时生成含有密钥的数字信封,包含本次会话所需的协商密钥,双方并行异步传输Msg2。收集到完整的Msg2后打开数字信封,运算后得到最终的会话密钥(首先取出Msg2中对方生成的密钥,然后与自己生成的密钥做简单的异或操作,即可得到最终的会话密钥)。至此,双方完成密钥交换,建立了加密信道。
Msg2生成,首先是安全TF卡产生一个随机数,然后使用收到的Msg1中对方的公钥对自己的手机号码和该随机数进行加密,生成Msg2消息。
综上所述,本发明公开了适用于电路域加密通信的专用轻量级证书的生产和使用方法。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。显然,本领域的普通技术人员可以对本发明的示例进行各种改动和变形而不脱离本发明的精神和原则。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (10)
1.一种适用于电路域加密通信的消息传输方法,其步骤为:
1)创建一专用轻量级证书,其包括:算法族、序列号、证书所属的电话号码、公钥和电路域加密通信专用签名;其中,算法族包括数字证书认证中心CA执行签名时所使用的签名算法,电路域加密通信专用签名的信息为:数字证书认证中心CA对证书所属的电话号码和该证书的公钥进行签名的签名信息;
2)在加密通信前,通信双方分别生成一身份认证消息Msg1发送给对方,通信双方对收到的身份认证消息Msg1进行验证,验证通过后双方分别生成一密钥协商消息Msg2发送给对方进行密钥交换;
3)通信双方根据收到的密钥生成会话密钥,然后利用该会话密钥加密通信的消息。
2.如权利要求1所述的方法,其特征在于,该专用轻量级证书还包括版本字段。
3.如权利要求1或2所述的方法,其特征在于,该身份认证消息Msg1包括算法族、序列号、公钥和电路域加密通信专用签名。
4.如权利要求3所述的方法,其特征在于,该身份认证消息Msg1还包括版本字段和预留字段。
5.如权利要求1或2所述的方法,其特征在于,该密钥协商消息Msg2包括电话号码密文、密钥密文、公钥。
6.如权利要求5所述的方法,其特征在于,该密钥协商消息Msg2还包括预留字段。
7.如权利要求5所述的方法,其特征在于,生成该密钥协商消息Msg2的方法为:首先是通信双方分别利用自己通信设备内的安全卡TF产生一密钥,然后使用收到的身份认证消息Msg1中对方的公钥对自己的电话号码和该密钥进行加密,生成该密钥协商消息Msg2。
8.如权利要求7所述的方法,其特征在于,该密钥为一随机数。
9.如权利要求7所述的方法,其特征在于,生成会话密钥的方法为:通信双方分别用自己的私钥对收到的密钥协商消息Msg2进行解密取出该密钥,然后用自己生成的密钥和对方发过来的密钥进行运算得到该会话密钥。
10.如权利要求3所述的方法,其特征在于,步骤2)中,对收到的身份认证消息Msg1进行验证的方法为:首先通信双方用自己通信设备内的公钥验证收到的身份认证消息Msg1中的电路域加密通信专用签名信息,验证成功后,验证电路域加密通信专用签名信息中的电话号码与通信时对方手机号码是否一致,如果一致则验证通过。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610349159.3A CN106060807A (zh) | 2016-05-24 | 2016-05-24 | 一种适用于电路域加密通信的消息传输方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610349159.3A CN106060807A (zh) | 2016-05-24 | 2016-05-24 | 一种适用于电路域加密通信的消息传输方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106060807A true CN106060807A (zh) | 2016-10-26 |
Family
ID=57175193
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610349159.3A Pending CN106060807A (zh) | 2016-05-24 | 2016-05-24 | 一种适用于电路域加密通信的消息传输方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106060807A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682859A (zh) * | 2017-08-31 | 2018-02-09 | 上海华为技术有限公司 | 消息处理方法及相关设备 |
| CN107835196A (zh) * | 2017-12-13 | 2018-03-23 | 成都长城开发科技有限公司 | 一种基于hdlc的安全通信方法 |
| CN107995210A (zh) * | 2017-12-19 | 2018-05-04 | 芯盾(北京)信息技术有限公司 | 密钥和密文通过不同传输域传输的语音加密通信方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1665183A (zh) * | 2005-03-23 | 2005-09-07 | 西安电子科技大学 | Wapi认证机制中的密钥协商方法 |
| CN104486077A (zh) * | 2014-11-20 | 2015-04-01 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
| CN105530100A (zh) * | 2016-01-12 | 2016-04-27 | 东南大学 | 一种VoLTE安全通信方法 |
-
2016
- 2016-05-24 CN CN201610349159.3A patent/CN106060807A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1665183A (zh) * | 2005-03-23 | 2005-09-07 | 西安电子科技大学 | Wapi认证机制中的密钥协商方法 |
| CN104486077A (zh) * | 2014-11-20 | 2015-04-01 | 中国科学院信息工程研究所 | 一种VoIP实时数据安全传输的端到端密钥协商方法 |
| CN105530100A (zh) * | 2016-01-12 | 2016-04-27 | 东南大学 | 一种VoLTE安全通信方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李远 等: "一种电路域加密通信方案", 《信息网络安全》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682859A (zh) * | 2017-08-31 | 2018-02-09 | 上海华为技术有限公司 | 消息处理方法及相关设备 |
| WO2019042154A1 (zh) * | 2017-08-31 | 2019-03-07 | 华为技术有限公司 | 消息处理方法及相关设备 |
| CN107682859B (zh) * | 2017-08-31 | 2020-07-14 | 上海华为技术有限公司 | 消息处理方法及相关设备 |
| CN107835196A (zh) * | 2017-12-13 | 2018-03-23 | 成都长城开发科技有限公司 | 一种基于hdlc的安全通信方法 |
| CN107835196B (zh) * | 2017-12-13 | 2020-10-27 | 成都长城开发科技有限公司 | 一种基于hdlc的安全通信方法 |
| CN107995210A (zh) * | 2017-12-19 | 2018-05-04 | 芯盾(北京)信息技术有限公司 | 密钥和密文通过不同传输域传输的语音加密通信方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2279868T3 (es) | Autenticacion local en un sistema de comunicacion. | |
| US6633979B1 (en) | Methods and arrangements for secure linking of entity authentication and ciphering key generation | |
| CN104301115B (zh) | 一种手机与蓝牙key签名验证密文通讯方法 | |
| GB2384402A (en) | Secure data transmission links | |
| CN109450640B (zh) | 基于sm2的两方签名方法及系统 | |
| JP2005515701A6 (ja) | データ伝送リンク | |
| PE20050911A1 (es) | Metodo y sistema para la autenticacion de un usuario de un sistema de procesamiento de datos | |
| CN104041089B (zh) | 用于验证公共预警消息的公钥的管理 | |
| CN106788977A (zh) | 低功耗蓝牙设备通讯加密方法及系统 | |
| CN101340443A (zh) | 一种通信网络中会话密钥协商方法、系统和服务器 | |
| CN102315937A (zh) | 无线通信装置和服务器之间数据的安全交易系统和方法 | |
| CN103491540A (zh) | 一种基于身份凭证的无线局域网双向接入认证系统及方法 | |
| CN104754581A (zh) | 一种基于公钥密码体制的lte无线网络的安全认证方法 | |
| CN108989048A (zh) | 密钥分发方法、装置、设备及存储介质 | |
| CN109087100A (zh) | 密钥分发方法、装置、设备及存储介质 | |
| CN108566275A (zh) | 身份认证方法、装置及区块链节点 | |
| CN106060807A (zh) | 一种适用于电路域加密通信的消息传输方法 | |
| CN112055330B (zh) | 一种基于5g的v2x车联网安全通信系统及方法 | |
| CN111817846A (zh) | 一种轻量级的密钥协商通信协议 | |
| CN105992203B (zh) | 一种语音通信加密密钥协商方法及基于该方法的系统 | |
| CN101820626B (zh) | 基于无线mesh网络身份的无可信pkg的部分盲签名方法 | |
| CN114422205B (zh) | 一种电力专用cpu芯片网络层数据隧道建立方法 | |
| CN104883372A (zh) | 一种基于无线自组织网的防欺骗和抗攻击的数据传输方法 | |
| CN105763330A (zh) | 一种适用于电路域加密通信的轻量级证书及加密通信方法 | |
| EP0898397A2 (en) | Method for sending a secure communication in a telecommunications system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20161026 |