CN106559402B - 用户终端及其加密语音电话业务的身份认证方法及装置 - Google Patents
用户终端及其加密语音电话业务的身份认证方法及装置 Download PDFInfo
- Publication number
- CN106559402B CN106559402B CN201510642185.0A CN201510642185A CN106559402B CN 106559402 B CN106559402 B CN 106559402B CN 201510642185 A CN201510642185 A CN 201510642185A CN 106559402 B CN106559402 B CN 106559402B
- Authority
- CN
- China
- Prior art keywords
- party
- user terminal
- public key
- digital signature
- telephone service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
用户终端及其加密语音电话业务的身份认证方法及装置,所述方法包括:接收由第一方用户终端发送的第一方ID和第一方数字签名;基于公钥矩阵由所述第一方ID计算出第一方公钥;判断所述第一方数字签名是否与所述第一方公钥对应;其中,认证信息通过加密语音电话业务的终端电话建链过程空口协议来发送和接收。本发明在端对端的加密语音电话业务过程中,通过终端电话建链过程空口协议中的特定字段来传递身份认证信息,并采用特定的认证方式,保证身份认证信息的长度在终端电话建链过程空口协议中特定字段所允许的长度范围之内,从而在无需增加额外的握手消息的情况下完成加密语音电话业务过程中身份认证信息的传递。
Description
技术领域
本发明涉及无线通信技术领域,特别是涉及一种用户终端及其加密语音电话业务的身份认证方法及装置。
背景技术
随着移动通信技术的飞速发展,特别是GSM系统在全球的广泛应用,GSM手机通信的安全需求正日益增长,用户对手机安全通信的要求也越来越高。
现有技术对加密语音电话业务也有很多的研究:如申请号为200710019924.6的发明专利申请中提到的基于GSM手机端到端加密语音方案,在全球通手机语音通信系统的模/数转换模块和长时预测规则脉冲激励编解码模块之间,接入手机语音加/解密模块,进行语音加解密运算,实现语音加解密功能;该发明专利申请通过GSM网络的语音通道进行传输,具有抗RPE-LTP压缩编码的能力,通话延迟小,能够跨网互连互通。
又如申请号为200710020992.4的发明专利申请提出了抗声码器压缩的端到端加密语音装置与方法,具备抗RPE-LTP压缩编码的能力,可通过GSM网络的语音通道进行传输,但其无法克服基站滤波问题,不能实现跨网互通。
加密语音电话业务需要进行身份认证,现有技术中通常通过增加额外的握手消息来传输身份认证所需的认证信息,视身份认证过程中具体所采用的认证方式的不同,所需传输的认证信息的长度也会有所不同。
发明内容
本发明解决的技术问题是:在端对端的加密语音电话业务过程中,如何对对端设备进行身份认证,且无需增加额外的握手消息来传输认证信息。
为了解决上述技术问题,本发明实施例提供一种加密语音电话业务的身份认证方法,包括:
各个用户终端预先分别存储有公钥矩阵、各自的ID和各自的私钥;其中,公钥矩阵能够由用户终端的ID计算出该用户终端的公钥,用户终端的公钥能够验证被验证信息是否为该用户终端的公钥所对应的私钥;
加密语音电话业务的第二方用户终端接收由加密语音电话业务的第一方用户终端发送的第一方ID和第一方数字签名;其中,第一方ID为第一方用户终端的ID,第一方数字签名为第一方用户终端的私钥的数字签名;
所述第二方用户终端基于公钥矩阵由接收到的所述第一方ID计算出第一方公钥;
所述第二方用户终端判断接收到的所述第一方数字签名是否与所述第一方公钥对应,若是,则所述第二方用户终端以所述第一方ID作为第一方用户终端的身份;
其中,认证信息通过加密语音电话业务的终端电话建链过程空口协议来发送和接收,所述认证信息包括:第一方ID和第一方数字签名。
可选的,在所述第二方用户终端以所述第一方ID作为第一方用户终端的身份之后,还包括:
所述第一方用户终端接收由所述第二方用户终端发送的第二方ID和第二方数字签名;其中,第二方ID为第二方用户终端的ID,第二方数字签名为第二方用户终端的私钥的数字签名;
所述第一方用户终端基于公钥矩阵由接收到的所述第二方ID计算出第二方公钥;
所述第一方用户终端判断接收到的所述第二方数字签名是否与所述第二方公钥对应,若是,则所述第一方用户终端以所述第二方ID作为第二方用户终端的身份;
其中,所述认证信息还包括:第二方ID和第二方数字签名。
可选的,具有密钥管理中心,各个用户终端在进行加密语音电话业务之前,预先在所述密钥管理中心进行注册,从所述密钥管理中心获得公钥矩阵、各自的ID和各自的私钥。
可选的,所述第一方为加密语音电话业务的主叫方,所述第二方为加密语音电话业务的被叫方。
可选的,所述第一方为加密语音电话业务的被叫方,所述第二方为加密语音电话业务的主叫方。
可选的,被叫方接收的来自于主叫方的主叫方ID和主叫方数字签名通过所述终端电话建链过程空口协议中Setup消息中的User-User字段来携带。
可选的,主叫方接收的来自于被叫方的被叫方ID和被叫方数字签名通过所述终端电话建链过程空口协议中Alerting消息中的User-User字段来携带。
为了解决上述技术问题,本发明实施例还提供一种加密语音电话业务的身份认证装置,各个用户终端预先分别存储有公钥矩阵、各自的ID和各自的私钥;其中,公钥矩阵能够由用户终端的ID计算出该用户终端的公钥,用户终端的公钥能够验证被验证信息是否为该用户终端的公钥所对应的私钥,所述身份认证装置包括:第二信息传输单元、第二公钥计算单元和第二私钥验证单元;其中:
第二信息传输单元,适于接收由加密语音电话业务的第一方用户终端发送的第一方ID和第一方数字签名;其中,第一方ID为第一方用户终端的ID,第一方数字签名为第一方用户终端的私钥的数字签名;
第二公钥计算单元,适于基于公钥矩阵由接收到的所述第一方ID计算出第一方公钥;
第二私钥验证单元,适于在所述第二公钥计算单元执行操作之后,基于所述第一方公钥验证接收到的所述第一方数字签名是否为所述第一方公钥所对应的私钥,若是,则所述第二方用户终端以所述第一方ID作为第一方用户终端的身份;
其中,认证信息通过加密语音电话业务的终端电话建链过程空口协议来发送和接收,所述认证信息包括:第一方ID和第一方数字签名。
可选的,所述身份认证装置还包括:第一信息传输单元、第一公钥计算单元和第一私钥验证单元;其中:
第一信息传输单元,适于在所述第二方用户终端以所述第一方ID作为第一方用户终端的身份之后,接收由所述第二方用户终端发送的第二方ID和第二方数字签名;其中,第二方ID为第二方用户终端的ID,第二方数字签名为第二方用户终端的私钥的数字签名;
第一公钥计算单元,适于基于公钥矩阵由接收到的所述第二方ID计算出第二方公钥;
第一私钥验证单元,适于在所述第一公钥计算单元执行操作之后,基于所述第二方公钥验证接收到的所述第二方数字签名是否为所述第二方公钥所对应的私钥,若是,则所述第一方用户终端以所述第二方ID作为第二方用户终端的身份;
其中,所述认证信息还包括:第二方ID和第二方数字签名。
可选的,具有密钥管理中心,各个用户终端在进行加密语音电话业务之前,预先在所述密钥管理中心进行注册,从所述密钥管理中心获得公钥矩阵、各自的ID和各自的私钥。
可选的,所述第一方为加密语音电话业务的主叫方,所述第二方为加密语音电话业务的被叫方。
可选的,所述第一方为加密语音电话业务的被叫方,所述第二方为加密语音电话业务的主叫方。
可选的,被叫方接收的来自于主叫方的主叫方ID和主叫方数字签名通过所述终端电话建链过程空口协议中Setup消息中的User-User字段来携带。
可选的,主叫方接收的来自于被叫方的被叫方ID和被叫方数字签名通过所述终端电话建链过程空口协议中Alerting消息中的User-User字段来携带。
为了解决上述技术问题,本发明实施例还提供一种用户终端,包括如上所述的加密语音电话业务的身份认证装置。
可选的,所述用户终端为智能手机。
与现有技术相比,本发明的技术方案具有以下有益效果:
在端对端的加密语音电话业务过程中,通过终端电话建链过程空口协议中的特定字段来传递身份认证信息,并采用特定的认证方式,保证身份认证信息的长度在终端电话建链过程空口协议中特定字段(User-User字段)所允许的长度范围之内,即利用已有的终端电话建链过程来一并完成身份认证信息的传递,从而在无需增加额外的握手消息的情况下完成加密语音电话业务过程中身份认证信息的传递,有效降低了建立加密语音电话业务时的时延,提高加密语音电话业务建立的成功率,并且安全性和抗攻击性较高,可以很好地为团体客户的加密语音电话业务提供安全保障。
进一步地,具有密钥管理中心,用于对身份认证所涉及的信息(可以包括:公钥矩阵、用户终端的ID、以及各个用户终端的ID所对应的私钥)进行管理、分配等工作,各个用户终端在进行加密语音电话业务之前,预先在密钥管理中心进行注册,并在此过程中获得由密钥管理中心分配的用户终端的ID和用户终端的私钥、以及公钥矩阵,从而实现了密钥分配的统一协调管理。
附图说明
图1为本发明实施例中加密语音电话业务的身份认证方法流程图;
图2为本发明实施例中密钥的分配和管理示意图;
图3为本发明实施例中加密语音电话业务的身份认证装置结构框图。
具体实施方式
根据背景技术部分的分析可知,加密语音电话业务需要进行身份认证,现有技术中通常通过增加额外的握手消息来传输身份认证所需的认证信息,视身份认证过程中具体所采用的认证方式的不同,所需传输的认证信息的长度也会有所不同。
发明人经研究后提出:考虑到加密语音电话业务涉及终端电话建链过程,因此,可以利用已有的终端电话建链过程来一并完成身份认证信息的传递。通过终端电话建链过程空口协议中的特定字段来传递身份认证信息,则可以在无需增加额外的握手消息的情况下完成加密语音电话业务过程中身份认证所需的身份认证信息的传递,从而可以降低建立加密语音电话业务时的时延,提高加密语音建立的成功率。
为使本领域技术人员更好地理解和实现本发明,以下参照附图,通过具体实施例进行详细说明。
实施例一
如下所述,本发明实施例提供一种加密语音电话业务的身份认证方法。
本实施例中的加密语音电话业务的身份认证方法,适用于端对端的加密语音电话业务过程中。加密语音电话业务可以在诸如GSM、TDSCDMA、WCDMA、VOLTE等多种无线通信系统下实现。
在加密语音电话业务过程中,加密语音算法可以在用户终端的物理层实现,上行语音模拟信号在经过模数采样转换之后,可以通过加密模块进行加密处理,加密以后的数据可以通过语音编码模块进行语音编码,然后可以在经过信道编码之后发出去;下行语音数据在信道解码之后,可以通过语音解码模块完成语音解码,之后可以送入解码模块进行解密处理,解密之后的语音送到扬声器放出。
参照图1所示的加密语音电话业务的身份认证方法流程图,以下通过具体步骤进行详细说明:
本实施例在加密语音电话业务过程中所采用的身份认证方法,可以设置一密钥管理中心,该密钥管理中心用于对身份认证所涉及的信息(可以包括:公钥矩阵、用户终端的ID、以及各个用户终端的ID所对应的私钥)进行管理、分配等工作。
各个用户终端在进行加密语音电话业务之前(例如可以在用户终端出厂前),可以预先在密钥管理中心进行注册。
如图2所示,在此过程中,密钥管理中心为各个用户终端分别分配用户终端的ID和用户终端的私钥,该用户终端的ID和用户终端的私钥两者是对应的。上述对应关系具体是:公钥矩阵能够由用户终端的ID计算出该用户终端的公钥,用户终端的公钥能够验证被验证信息是否为该用户终端的公钥所对应的私钥。密钥管理中心同时可以记录各个用户终端的ID和用户终端的私钥的分配情况。
各个用户终端分别从所述密钥管理中心获得公钥矩阵、各自的ID和各自的私钥。
也就是说,各个用户终端在进行加密语音电话业务之前,预先分别存储有公钥矩阵、各自的ID和各自的私钥;其中,公钥矩阵能够由用户终端的ID计算出该用户终端的公钥,用户终端的公钥能够验证被验证信息是否为该用户终端的公钥所对应的私钥。
通过以上对技术方案的描述可以看出:本实施例中,具有密钥管理中心,用于对身份认证所涉及的信息(可以包括:公钥矩阵、用户终端的ID、以及各个用户终端的ID所对应的私钥)进行管理、分配等工作,各个用户终端在进行加密语音电话业务之前,预先在密钥管理中心进行注册,并在此过程中获得由密钥管理中心分配的用户终端的ID和用户终端的私钥、以及公钥矩阵,从而实现了密钥分配的统一协调管理。
S101,加密语音电话业务的第二方用户终端接收由加密语音电话业务的第一方用户终端发送的第一方ID和第一方数字签名。
其中,第一方ID为第一方用户终端的ID,第一方数字签名为第一方用户终端的私钥的数字签名。
一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。数字签名,就是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
发送报文时,发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私钥对这个摘要进行加密,这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用发送方的公钥来对报文附加的数字签名进行解密,如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。
本实施例中,第一方用户终端用自己的私钥签名自己的ID,发给第二方用户终端。第二方用户终端接收由第一方用户终端发送的第一方ID和第一方数字签名。
与现有技术的一个显著差别在于,本实施例中,身份认证信息(包括:第一方ID和第一方数字签名)通过加密语音电话业务的终端电话建链过程空口协议来发送和接收,因此,本实施例能够在无需增加额外的握手消息的情况下完成加密语音电话业务过程中身份认证所需的身份认证信息的传递。需要注意的是,由于终端电话建链过程空口协议中各字段的长度受到限制,因此,本实施例方案的实现需要避免身份认证信息过长。
在具体实施中,所述第一方可以是加密语音电话业务的主叫方,所述第二方可以是加密语音电话业务的被叫方。
在另一个实施例中,所述第一方可以是加密语音电话业务的被叫方,所述第二方可以是加密语音电话业务的主叫方。
在具体实施中,被叫方接收的来自于主叫方的主叫方ID和主叫方数字签名可以通过所述终端电话建链过程空口协议中Setup消息中的User-User字段来携带。具体地,主叫方用户终端在向网络侧发送Setup消息时,将User-User字段用来承载需要传给被叫方用户终端的主叫方ID和主叫方私钥。网络侧在给被叫方用户终端发送Setup消息时,会将User-User字段携带上发给被叫方用户终端。
在具体实施中,主叫方接收的来自于被叫方的被叫方ID和被叫方数字签名可以通过所述终端电话建链过程空口协议中Alerting消息中的User-User字段来携带。具体地,被叫方用户终端在向网络侧发送Alerting消息时,将User-User字段用来承载需要传给主叫方用户终端的被叫方ID和被叫方私钥。网络侧在给主叫方用户终端发送Alerting消息时,会将User-User字段携带上发给主叫方用户终端。
其中,User-User字段通常可以承载长度不超过30Byte的信息。
所述第二方用户终端后续可以根据接收到的第一方ID和第一方数字签名,来验证该第一方ID和第一方数字签名的发送方是否是该第一方ID所标识的用户终端,从而实现对对端的身份认证。
S102,所述第二方用户终端基于公钥矩阵由接收到的所述第一方ID计算出第一方公钥。
如前所述,各个用户终端在进行加密语音电话业务之前,预先分别存储有公钥矩阵,而公钥矩阵能够由用户终端的ID计算出该用户终端的公钥。
因此,所述第二方用户终端基于公钥矩阵由接收到的所述第一方ID,能够计算出第一方公钥。
在具体实施中,基于公钥矩阵能够得到由用户终端的ID到用户终端的公钥的换算公式,将接收到的所述第一方ID代入该换算公式,即可得出第一方公钥。
后续步骤中通过验证该第一方公钥与接收到的所述第一方数字签名是否对应,来确定第一方用户终端的身份是否为所述第一方ID所标识的用户终端。
S103,所述第二方用户终端判断接收到的所述第一方数字签名是否与所述第一方公钥对应。
即判断所述第一方数字签名和所述第一方公钥是否是一对公私密钥对。具体的判断方法属于现有技术,在此不赘述。
S104,若是,则所述第二方用户终端以所述第一方ID作为第一方用户终端的身份。
即表示第二方用户终端对第一方用户终端的身份认证通过。
可以理解的是,若否,则第二方用户终端对第一方用户终端的身份认证未通过,在此情况下,结束流程,第二方用户终端后续可以请求第一方用户终端重新发送身份认证信息,或者是终止此次加密语音电话业务。
在本实施例所提供的身份认证方法中,第二方用户终端对第一方用户终端的身份认证过程中,判断所需的第一方私钥(第一方数字签名)和第一方公钥、以及认证通过时对第一方用户终端身份的认定,均由步骤S101中发送的第一方ID和第一方数字签名得出。即在保证认证可靠性的基础上,通过较少的信息传递来完成身份认证。
如前所述,由于终端电话建链过程空口协议中各字段的长度受到限制,因此,本实施例方案的实现需要避免身份认证信息过长。本实施例在身份认证过程中采用特定的认证方式,从而保证了身份认证信息的长度在终端电话建链过程空口协议中特定字段(User-User字段)所允许的长度范围之内。
通过以上对技术方案的描述可以看出:本实施例中,在端对端的加密语音电话业务过程中,通过终端电话建链过程空口协议中的特定字段来传递身份认证信息,并采用特定的认证方式,保证身份认证信息的长度在终端电话建链过程空口协议中特定字段(User-User字段)所允许的长度范围之内,即利用已有的终端电话建链过程来一并完成身份认证信息的传递,从而在无需增加额外的握手消息的情况下完成加密语音电话业务过程中身份认证信息的传递,有效降低了建立加密语音电话业务时的时延,提高加密语音电话业务建立的成功率,并且安全性和抗攻击性较高,可以很好地为团体客户的加密语音电话业务提供安全保障。
本实施例在身份认证过程中所采用的认证方式,类似于组合公钥(CombinedPublic Key,CPK)的认证方式。
组合公钥体制及标识认证系统是我国具有自主知识产权的认证加密系统,具有易懂、易行、易普及的优势;它实现了基于标识的密钥生成,能够支持基于标识的数字签名和密钥交换,利用标识直接生成公私密钥对,实现基于标识的密钥管理,不需要可信第三方担保即可当场完成身份验证。
公钥基础设施(Public Key Infrastructure,PKI)是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。PKI交叉认证及证书管理策略复杂,搭建一个PKI系统CA认证中心花费巨大,成本很高。
CPK算法,以很小的资源,生成大规模密钥;而CPK将标识作为公开密钥,采用集中式管理的模式,从技术上解决了密钥管理的规模化和规模化密钥的存储技术,因而不需要多层CA结构,进而也不需要LDAP等目录库的支持,不需要维护CA中心,成本低;不需要可信第三方担保,直接认证,因而比多层的PKI信任度更高。
在所述第二方用户终端以所述第一方ID作为第一方用户终端的身份之后,即第二方用户终端对第一方用户终端的身份认证通过之后,可以进一步执行后续步骤。在另一个实施例中,也可以直接进行加密语音电话业务的通话,即只进行单方面的的身份认证。
S105,所述第一方用户终端接收由所述第二方用户终端发送的第二方ID和第二方数字签名。
其中,第二方ID为第二方用户终端的ID,第二方数字签名为第二方用户终端的私钥的数字签名。
其中,所述认证信息还包括:第二方ID和第二方数字签名。
S106,所述第一方用户终端基于公钥矩阵由接收到的所述第二方ID计算出第二方公钥。
S107,所述第一方用户终端判断接收到的所述第二方数字签名是否与所述第二方公钥对应。
S108,若是,则所述第一方用户终端以所述第二方ID作为第二方用户终端的身份。
即表示第一方用户终端对第二方用户终端的身份认证通过。
可以理解的是,若否,则第一方用户终端对第二方用户终端的身份认证未通过,在此情况下,结束流程,第一方用户终端后续可以请求第二方用户终端重新发送身份认证信息,或者是终止此次加密语音电话业务。
在第一方用户终端和第二方用户终端相互完成对对端的身份认证之后,后续可以进行加密语音电话业务的通话。
实施例二
如下所述,本发明实施例提供一种加密语音电话业务的身份认证装置。
本实施例中的加密语音电话业务的身份认证装置,适用于端对端的加密语音电话业务过程中。加密语音电话业务可以在诸如GSM、TDSCDMA、WCDMA、VOLTE等多种无线通信系统下实现。
在加密语音电话业务过程中,加密语音算法可以在用户终端的物理层实现,上行语音模拟信号在经过模数采样转换之后,可以通过加密模块进行加密处理,加密以后的数据可以通过语音编码模块进行语音编码,然后可以在经过信道编码之后发出去;下行语音数据在信道解码之后,可以通过语音解码模块完成语音解码,之后可以送入解码模块进行解密处理,解密之后的语音送到扬声器放出。
参照图3所示的加密语音电话业务的身份认证装置结构框图。
各个用户终端预先分别存储有公钥矩阵、各自的ID和各自的私钥;其中,公钥矩阵能够由用户终端的ID计算出该用户终端的公钥,用户终端的公钥能够验证被验证信息是否为该用户终端的公钥所对应的私钥。
所述加密语音电话业务的身份认证装置包括:第二信息传输单元301、第二公钥计算单元302和第二私钥验证单元303;其中各单元的主要功能如下:
第二信息传输单元301,适于接收由加密语音电话业务的第一方用户终端发送的第一方ID和第一方数字签名;其中,第一方ID为第一方用户终端的ID,第一方数字签名为第一方用户终端的私钥的数字签名;
第二公钥计算单元302,适于基于公钥矩阵由接收到的所述第一方ID计算出第一方公钥;
第二私钥验证单元303,适于在所述第二公钥计算单元302执行操作之后,基于所述第一方公钥验证接收到的所述第一方数字签名是否为所述第一方公钥所对应的私钥,若是,则所述第二方用户终端以所述第一方ID作为第一方用户终端的身份;
其中,认证信息通过加密语音电话业务的终端电话建链过程空口协议来发送和接收,所述认证信息包括:第一方ID和第一方数字签名。
通过以上对技术方案的描述可以看出:本实施例中,在端对端的加密语音电话业务过程中,通过终端电话建链过程空口协议中的特定字段来传递身份认证信息,并采用特定的认证方式,保证身份认证信息的长度在终端电话建链过程空口协议中特定字段(User-User字段)所允许的长度范围之内,即利用已有的终端电话建链过程来一并完成身份认证信息的传递,从而在无需增加额外的握手消息的情况下完成加密语音电话业务过程中身份认证信息的传递,有效降低了建立加密语音电话业务时的时延,提高加密语音电话业务建立的成功率,并且安全性和抗攻击性较高,可以很好地为团体客户的加密语音电话业务提供安全保障。
在具体实施中,所述加密语音电话业务的身份认证装置还可以包括:第一信息传输单元304、第一公钥计算单元305和第一私钥验证单元306;其中:
第一信息传输单元304,适于在所述第二方用户终端以所述第一方ID作为第一方用户终端的身份之后,接收由所述第二方用户终端发送的第二方ID和第二方数字签名;其中,第二方ID为第二方用户终端的ID,第二方数字签名为第二方用户终端的私钥的数字签名;
第一公钥计算单元305,适于基于公钥矩阵由接收到的所述第二方ID计算出第二方公钥;
第一私钥验证单元306,适于在所述第一公钥计算单元305执行操作之后,基于所述第二方公钥验证接收到的所述第二方数字签名是否为所述第二方公钥所对应的私钥,若是,则所述第一方用户终端以所述第二方ID作为第二方用户终端的身份;
其中,所述认证信息还包括:第二方ID和第二方数字签名。
在第一方用户终端和第二方用户终端相互完成对对端的身份认证之后,后续可以进行加密语音电话业务的通话。
在具体实施中,可以具有密钥管理中心,各个用户终端在进行加密语音电话业务之前,预先在所述密钥管理中心进行注册,从所述密钥管理中心获得公钥矩阵、各自的ID和各自的私钥。
通过以上对技术方案的描述可以看出:本实施例中,具有密钥管理中心,用于对身份认证所涉及的信息(可以包括:公钥矩阵、用户终端的ID、以及各个用户终端的ID所对应的私钥)进行管理、分配等工作,各个用户终端在进行加密语音电话业务之前,预先在密钥管理中心进行注册,并在此过程中获得由密钥管理中心分配的用户终端的ID和用户终端的私钥、以及公钥矩阵,从而实现了密钥分配的统一协调管理。
在具体实施中,所述第一方可以是加密语音电话业务的主叫方,所述第二方可以是加密语音电话业务的被叫方。
在另一个实施例中,所述第一方可以是加密语音电话业务的被叫方,所述第二方可以是加密语音电话业务的主叫方。
在具体实施中,被叫方接收的来自于主叫方的主叫方ID和主叫方数字签名可以通过所述终端电话建链过程空口协议中Setup消息中的User-User字段来携带。具体地,主叫方用户终端在向网络侧发送Setup消息时,将User-User字段用来承载需要传给被叫方用户终端的主叫方ID和主叫方私钥。网络侧在给被叫方用户终端发送Setup消息时,会将User-User字段携带上发给被叫方用户终端。
在具体实施中,主叫方接收的来自于被叫方的被叫方ID和被叫方数字签名可以通过所述终端电话建链过程空口协议中Alerting消息中的User-User字段来携带。具体地,被叫方用户终端在向网络侧发送Alerting消息时,将User-User字段用来承载需要传给主叫方用户终端的被叫方ID和被叫方私钥。网络侧在给主叫方用户终端发送Alerting消息时,会将User-User字段携带上发给主叫方用户终端。
实施例三
如下所述,本发明实施例提供一种用户终端。
所述用户终端能够与其他用户终端进行端对端的加密语音电话业务。
与现有技术的不同之处在于,该用户终端还包括如本发明实施例中所提供的加密语音电话业务的身份认证装置。因而该用户终端能够在端对端的加密语音电话业务过程中,通过终端电话建链过程空口协议中的特定字段来传递身份认证信息,并采用特定的认证方式,保证身份认证信息的长度在终端电话建链过程空口协议中特定字段(User-User字段)所允许的长度范围之内,即利用已有的终端电话建链过程来一并完成身份认证信息的传递,从而在无需增加额外的握手消息的情况下完成加密语音电话业务过程中身份认证信息的传递,有效降低了建立加密语音电话业务时的时延,提高加密语音电话业务建立的成功率,并且安全性和抗攻击性较高,可以很好地为团体客户的加密语音电话业务提供安全保障。
在具体实施中,所述用户终端可以是智能手机。
本领域普通技术人员可以理解,上述实施例的各种方法中,全部或部分步骤是可以通过程序指令相关的硬件来完成的,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
虽然本发明披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。
Claims (12)
1.一种加密语音电话业务的身份认证方法,其特征在于,包括:
各个用户终端预先分别存储有公钥矩阵、各自的ID和各自的私钥;其中,公钥矩阵能够由用户终端的ID计算出该用户终端的公钥,用户终端的公钥能够验证被验证信息是否为该用户终端的公钥所对应的私钥;
加密语音电话业务的第二方用户终端接收由加密语音电话业务的第一方用户终端发送的第一方ID和第一方数字签名;其中,第一方ID为第一方用户终端的ID,第一方数字签名为第一方用户终端的私钥的数字签名;
所述第二方用户终端基于公钥矩阵由接收到的所述第一方ID计算出第一方公钥;
所述第二方用户终端判断接收到的所述第一方数字签名是否与所述第一方公钥对应,若是,则所述第二方用户终端以所述第一方ID作为第一方用户终端的身份;
其中,认证信息通过加密语音电话业务的终端电话建链过程空口协议来发送和接收,被叫方接收的来自于主叫方的主叫方ID和主叫方数字签名通过所述终端电话建链过程空口协议中Setup消息中的User-User字段来携带,主叫方接收的来自于被叫方的被叫方ID和被叫方数字签名通过所述终端电话建链过程空口协议中Alerting消息中的User-User字段来携带,从而在无需增加额外的握手消息的情况下,完成加密语音电话业务过程中身份认证所需的身份认证信息的传递,以降低建立加密语音电话业务时的时延,所述认证信息包括:第一方ID和第一方数字签名,认证信息的长度在终端电话建链过程空口协议中User-User字段所允许的长度范围之内。
2.如权利要求1所述的加密语音电话业务的身份认证方法,其特征在于,在所述第二方用户终端以所述第一方ID作为第一方用户终端的身份之后,还包括:
所述第一方用户终端接收由所述第二方用户终端发送的第二方ID和第二方数字签名;其中,第二方ID为第二方用户终端的ID,第二方数字签名为第二方用户终端的私钥的数字签名;
所述第一方用户终端基于公钥矩阵由接收到的所述第二方ID计算出第二方公钥;
所述第一方用户终端判断接收到的所述第二方数字签名是否与所述第二方公钥对应,若是,则所述第一方用户终端以所述第二方ID作为第二方用户终端的身份;
其中,所述认证信息还包括:第二方ID和第二方数字签名。
3.如权利要求1所述的加密语音电话业务的身份认证方法,其特征在于,具有密钥管理中心,各个用户终端在进行加密语音电话业务之前,预先在所述密钥管理中心进行注册,从所述密钥管理中心获得公钥矩阵、各自的ID和各自的私钥。
4.如权利要求1所述的加密语音电话业务的身份认证方法,其特征在于,所述第一方为加密语音电话业务的主叫方,所述第二方为加密语音电话业务的被叫方。
5.如权利要求1所述的加密语音电话业务的身份认证方法,其特征在于,所述第一方为加密语音电话业务的被叫方,所述第二方为加密语音电话业务的主叫方。
6.一种加密语音电话业务的身份认证装置,其特征在于,各个用户终端预先分别存储有公钥矩阵、各自的ID和各自的私钥;其中,公钥矩阵能够由用户终端的ID计算出该用户终端的公钥,用户终端的公钥能够验证被验证信息是否为该用户终端的公钥所对应的私钥,所述身份认证装置包括:第二信息传输单元、第二公钥计算单元和第二私钥验证单元;其中:
第二信息传输单元,适于接收由加密语音电话业务的第一方用户终端发送的第一方ID和第一方数字签名;其中,第一方ID为第一方用户终端的ID,第一方数字签名为第一方用户终端的私钥的数字签名;
第二公钥计算单元,适于基于公钥矩阵由接收到的所述第一方ID计算出第一方公钥;
第二私钥验证单元,适于在所述第二公钥计算单元执行操作之后,基于所述第一方公钥验证接收到的所述第一方数字签名是否为所述第一方公钥所对应的私钥,若是,则第二方用户终端以所述第一方ID作为第一方用户终端的身份;
其中,认证信息通过加密语音电话业务的终端电话建链过程空口协议来发送和接收,被叫方接收的来自于主叫方的主叫方ID和主叫方数字签名通过所述终端电话建链过程空口协议中Setup消息中的User-User字段来携带,主叫方接收的来自于被叫方的被叫方ID和被叫方数字签名通过所述终端电话建链过程空口协议中Alerting消息中的User-User字段来携带,从而在无需增加额外的握手消息的情况下,完成加密语音电话业务过程中身份认证所需的身份认证信息的传递,以降低建立加密语音电话业务时的时延,所述认证信息包括:第一方ID和第一方数字签名,认证信息的长度在终端电话建链过程空口协议中User-User字段所允许的长度范围之内。
7.如权利要求6所述的加密语音电话业务的身份认证装置,其特征在于,所述身份认证装置还包括:第一信息传输单元、第一公钥计算单元和第一私钥验证单元;其中:
第一信息传输单元,适于在所述第二方用户终端以所述第一方ID作为第一方用户终端的身份之后,接收由所述第二方用户终端发送的第二方ID和第二方数字签名;其中,第二方ID为第二方用户终端的ID,第二方数字签名为第二方用户终端的私钥的数字签名;
第一公钥计算单元,适于基于公钥矩阵由接收到的所述第二方ID计算出第二方公钥;
第一私钥验证单元,适于在所述第一公钥计算单元执行操作之后,基于所述第二方公钥验证接收到的所述第二方数字签名是否为所述第二方公钥所对应的私钥,若是,则所述第一方用户终端以所述第二方ID作为第二方用户终端的身份;
其中,所述认证信息还包括:第二方ID和第二方数字签名。
8.如权利要求6所述的加密语音电话业务的身份认证装置,其特征在于,具有密钥管理中心,各个用户终端在进行加密语音电话业务之前,预先在所述密钥管理中心进行注册,从所述密钥管理中心获得公钥矩阵、各自的ID和各自的私钥。
9.如权利要求6所述的加密语音电话业务的身份认证装置,其特征在于,所述第一方为加密语音电话业务的主叫方,所述第二方为加密语音电话业务的被叫方。
10.如权利要求6所述的加密语音电话业务的身份认证装置,其特征在于,所述第一方为加密语音电话业务的被叫方,所述第二方为加密语音电话业务的主叫方。
11.一种用户终端,其特征在于,包括如权利要求6至10中任一项所述的加密语音电话业务的身份认证装置。
12.如权利要求11所述的用户终端,其特征在于,所述用户终端为智能手机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510642185.0A CN106559402B (zh) | 2015-09-30 | 2015-09-30 | 用户终端及其加密语音电话业务的身份认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510642185.0A CN106559402B (zh) | 2015-09-30 | 2015-09-30 | 用户终端及其加密语音电话业务的身份认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106559402A CN106559402A (zh) | 2017-04-05 |
| CN106559402B true CN106559402B (zh) | 2020-06-02 |
Family
ID=58418019
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510642185.0A Active CN106559402B (zh) | 2015-09-30 | 2015-09-30 | 用户终端及其加密语音电话业务的身份认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106559402B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109347627B (zh) * | 2018-09-19 | 2023-08-29 | 平安科技(深圳)有限公司 | 数据加解密方法、装置、计算机设备及存储介质 |
| WO2020172886A1 (zh) * | 2019-02-28 | 2020-09-03 | 云图有限公司 | 数据处理方法、装置、用户终端、管理平台和服务设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101378315A (zh) * | 2007-08-27 | 2009-03-04 | 华为技术有限公司 | 认证报文的方法、系统、设备和服务器 |
| CN102195990A (zh) * | 2011-06-27 | 2011-09-21 | 北京虎符科技有限公司 | Cpk认证加密方法在voip上的应用 |
| CN102202299A (zh) * | 2010-03-26 | 2011-09-28 | 谢德育 | 一种基于3g/b3g的端到端语音加密系统的实现方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI974341A (fi) * | 1997-11-26 | 1999-05-27 | Nokia Telecommunications Oy | Datayhteyksien tietosuoja |
-
2015
- 2015-09-30 CN CN201510642185.0A patent/CN106559402B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101378315A (zh) * | 2007-08-27 | 2009-03-04 | 华为技术有限公司 | 认证报文的方法、系统、设备和服务器 |
| CN102202299A (zh) * | 2010-03-26 | 2011-09-28 | 谢德育 | 一种基于3g/b3g的端到端语音加密系统的实现方法 |
| CN102195990A (zh) * | 2011-06-27 | 2011-09-21 | 北京虎符科技有限公司 | Cpk认证加密方法在voip上的应用 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106559402A (zh) | 2017-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FI108590B (fi) | Matkapuhelimen salausjärjestelmä | |
| US7123721B2 (en) | Enhanced subscriber authentication protocol | |
| TWI332345B (en) | Security considerations for the lte of umts | |
| TWI338489B (en) | Asymmetric cryptography for wireless systems | |
| CN100373991C (zh) | 一种分组网络中语音通信的加密协商方法 | |
| US8769284B2 (en) | Securing communication | |
| US20110320802A1 (en) | Authentication method, key distribution method and authentication and key distribution method | |
| CN102572817B (zh) | 实现移动通信保密的方法和智能存储卡 | |
| CN1249587A (zh) | 双方认证和密钥协定的方法 | |
| JP2001524777A (ja) | データ接続の機密保護 | |
| CN100466805C (zh) | 一种端到端加密语音通信的方法 | |
| US8724812B2 (en) | Methods for establishing a secure point-to-point call on a trunked network | |
| CN101552986B (zh) | 一种流媒体业务的接入认证方法及系统 | |
| RU2008146960A (ru) | Способ и система предоставления защищенной связи с использованием сотовой сети для множества устройств специализированной связи | |
| JP2012110009A (ja) | エンティティの認証と暗号化キー生成の機密保護されたリンクのための方法と構成 | |
| CN1249588A (zh) | 在无线通信系统中更新加密共享数据的方法 | |
| US20080137859A1 (en) | Public key passing | |
| EP2561658A1 (en) | ENABLING IPv6 MOBILITY WITH SENSING FEATURES FOR AD-HOC NETWORKS DERIVED FROM LONG TERM EVOLUTION NETWORKS | |
| WO2012083828A1 (zh) | 本地路由业务的实现方法、基站及系统 | |
| Castiglione et al. | Secr3t: Secure end-to-end communication over 3g telecommunication networks | |
| CN1349723A (zh) | 用于蜂窝通信系统的鉴权方法 | |
| CN112565302A (zh) | 基于安全网关的通信方法、系统及设备 | |
| CN106559402B (zh) | 用户终端及其加密语音电话业务的身份认证方法及装置 | |
| US10652746B2 (en) | Secure device access token | |
| CN102006298A (zh) | 接入网关实现负荷分担的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |