CN112737784A - 基于语音通道实现用户数据安全迁移的方法 - Google Patents

基于语音通道实现用户数据安全迁移的方法 Download PDF

Info

Publication number
CN112737784A
CN112737784A CN202011427797.5A CN202011427797A CN112737784A CN 112737784 A CN112737784 A CN 112737784A CN 202011427797 A CN202011427797 A CN 202011427797A CN 112737784 A CN112737784 A CN 112737784A
Authority
CN
China
Prior art keywords
terminal
user data
request
data
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011427797.5A
Other languages
English (en)
Other versions
CN112737784B (zh
Inventor
张鹤鸣
李庚欣
杨龙剑
李铎
许志强
李鉴
杨宏
康敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202011427797.5A priority Critical patent/CN112737784B/zh
Publication of CN112737784A publication Critical patent/CN112737784A/zh
Application granted granted Critical
Publication of CN112737784B publication Critical patent/CN112737784B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/60Network streaming of media packets
    • H04L65/65Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/80Responding to QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开了一种基于语音通道实现用户数据安全迁移的方法,在保密电话通信网络的可信任终端上,部署对称密码与非对称密码相结合的密码体制。利用对称密码加解密速度快、计算效率高、资源占用少的特点,完成用户信息的机密性保护;利用非对称密码在有限域上离散对数的计算困难性,实现通信双方的身份认证,同时借助于椭圆曲线算法的复合特性,通过临时公私钥对点乘获取通信双方的共享因子,生成一次一密的业务数据保护密钥,保证用户数据的前向安全性;最后,分别利用散列算法的计算确定性和随机序列的不确定性,解决用户数据在传输过程中的完整性保护和密码协议的抗重放性问题。

Description

基于语音通道实现用户数据安全迁移的方法
技术领域
本发明涉及数据迁移技术领域,尤其涉及一种基于语音通道实现用户数据安全迁移的方法。
背景技术
近年来,随着移动通信技术的发展,固定电话在传统市场中的主导地位不断受到冲击。但以语音交换服务器为核心的宽带语音通信平台,突破了网络防火墙对VoIP技术的限制,能够基于TCP/IP协议栈,为用户提供端到端的语音通信服务,而且具备会话建立速度快、资源占用少、可管理性高等特点,更符合以IMS为代表的新一代网络发展趋势,在固定电话通信领域发挥着不可替代的作用。
为满足用户多样化的需求,越来越多的业务集成在宽带电话终端之上,比如短消息、备忘录、私人电话、语音助手、会议行程等。作为存储用户信息和记录用户习惯的重要载体,宽带电话终端如果能与网络相互配合,建立起安全可靠的传输通道,保证用户信息在可信任的终端间自由迁移,不仅能够进一步提升终端的智能性和便捷性,对于保持用户习惯的延续,增强用户粘性,也有着重要的促进作用。
此前,用户数据迁移主要应用于移动通信领域,移动终端通过蓝牙或者WIFI 等渠道,近距离实现大量用户数据和软件的迁移,该过程简洁、高效,但受距离约束明显,而且过程中缺乏有效的安全防护措施。在对安全性要求较高的电话通信领域,固话终端的用户数据相对较少,但存在远距离传输的需求,而且对过程中的安全性要求极高,蓝牙或WIFI等外设或者由于距离原因,或者由于安全性风险而无法使用。因此,针对该类系统的用户特点和使用需求,设计一种安全的用户数据在线迁移方法,在用户使用位置发生变动之后,通过管理人员快速将原话机的用户数据迁移到新话机之上,同时保证用户信息在传输过程中的安全性,显得十分必要。
发明内容
针对上述技术中存在的不足之处,本发明提供一种基于语音通道实现用户数据安全迁移的方法,在对安全性要求较高的电话通信系统中,用户的短消息、备忘录、私人电话、通话记录、会议行程等内容属于用户个人信息,这些信息与用户使用体验息息相关。如何使这些信息随用户在可信任的电话终端间安全迁移,进而保证用户使用习惯的延续,是设备智能性、易用性的重要体现。本发明的目的是基于宽带电话终端的语音通道,提供一种安全可靠的用户数据迁移方法,主要解决以下问题:
(1)针对安全性要求较高,蓝牙、WIFI等常规渠道可能被禁用的保密电话通信系统,在不引入安全风险、不改变用户习惯的前提下,提出一种适用性强、传送距离远、适用范围广的用户信息迁移方案,重点解决用户数据在传输过程中的通道问题;
(2)在用户信息迁移之前,完成通信双方的身份认证和鉴权工作,防止非法人员利用历史交互信息,假冒终端通过伪装、欺骗等手段获取用户数据;
(3)在用户信息传输过程中,确保用户数据的机密性、完整性和前向安全性,防止非法截获用户数据造成的信息泄漏。
为实现上述目的,本发明所提供的方案为:
一种基于语音通道实现用户数据安全迁移的方法,应用于两个设备终端的数据转移,包括请求终端、转移终端和宽带语音服务器,包括以下步骤:
建立连接:请求终端、转移终端利用与宽带语音服务器之间的信令通道建立呼叫连接;
身份认证请求和验证:请求终端利用呼叫连接中的媒体通道向转移终端发出身份认证请求,转移终端验证身份认证请求,实现双方身份的认证和鉴权;
用户数据请求:请求终端利用媒体通道发出数据申请请求,转移终端对数据申请请求进行验证,验证通过后发送用户数据;
用户数据传输:请求终端利用媒体通道接收用户数据后进行解密存储,同时向转移终端响应接收成功应答。
优选的,所述请求终端、转移终端中设有密码模块、协议层和用户数据库;
密码模块包括用于步骤身份认证请求和验证保护的非对称密码体制和用于用户数据请求、用户数据迁移保护的对称密码体制;
协议层包括密码协议栈、RTP协议栈和呼叫控制协议栈,用户数据库包括需要转移的各种用户数据信息。
优选的,请求终端利用密码模块生成第一临时公私钥对,所述转移终端利用密码模块生成第二临时公私钥对、第二业务数据保护密钥分量;
在步骤身份认证请求和验证中,请求终端向转移终端发送第一临时公钥和基于第一临时公钥、媒体通道信息所生成的第一临时公钥摘要信息;转移终端基于第一临时公钥、媒体通道信息对第一临时公钥摘要信息进行验证后,利用第一临时公钥对其第二临时公钥和第二业务数据保护密钥分量,加密后发送至请求终端;
之后,请求终端利用第一临时私钥进行解密,获得第二临时公钥、第二业务数据保护密钥分量;
请求终端利用其第一临时私钥和所获得的第二临时公钥进行椭圆曲线点乘运算,以获取第一业务数据保护密钥分量;而转移终端利用其第二临时私钥和所获得的第一临时公钥进行椭圆曲线点乘运算,以获取相同的第一业务数据保护密钥分量;
请求终端和转移终端分别利用第一业务数据保护密钥分量和第二业务数据保护密钥分量进行异或运算,得到业务数据保护密钥;
在步骤用户数据请求中,请求终端利用业务数据保护密钥对数据请求申请中的身份认证信息进行加密,转移终端接收上述数据请求申请后,利用业务数据保护密钥解密,并对身份认证信息验证,验证通过后进入步骤用户数据传输;
在步骤用户数据传输中,转移终端利用业务数据保护密钥对用户数据进行加密,请求终端在接收用户数据后,利用业务数据保护密钥进行解密存储,完成用户数据迁移。
优选的,所述第二业务数据保护密钥分量为由密码模块生成的随机数。
优选的,在步骤身份认证请求和验证中,请求设备终端、转移设备终端采用协议层配合密码模块进行工作,形成统一格式的协议数据封装。
优选的,协议数据基于RTP净荷承载,包括类型、长度、密码协议或用户数据。
优选的,RTP净荷类型选用动态净荷类型,以作为标识和正常RTP媒体数据相区分。
优选的,类型包括终端认证请求、终端认证应答、用户数据请求、用户数据传输等报文类型,长度表示密码协议或用户数据字段的长度,密码协议或用户数据包括密码协议和用户数据。
优选的,在步骤用户数据请求和用户数据传输中,采用密码模块和RTP协议栈相配合的方式,实现数据申请请求、用户数据的信息传输。本发明的有益效果是:本申请在保密电话通信网络的可信任终端上,部署对称密码与非对称密码相结合的密码体制。利用对称密码加解密速度快、计算效率高、资源占用少的特点,完成用户信息的机密性保护;利用非对称密码在有限域上离散对数的计算困难性,实现通信双方的身份认证,同时借助于椭圆曲线算法的复合特性,通过临时公私钥对点乘获取通信双方的共享因子,生成一次一密的业务数据保护密钥,保证用户数据的前向安全性;最后,分别利用散列算法的计算确定性和随机序列的不确定性,解决用户数据在传输过程中的完整性保护和密码协议的抗重放性问题。
本发明在以下几个方面提升了用户信息传输的安全性:
1)信息不被窃取
采用对称和非对称相结合的密码体制,为方案在执行过程中提供机密性、前向安全性等防护措施;同时利用ECC算法的复合特性,通过临时公私钥对点乘获取临时共享因子,生成一次一密的业务数据保护密钥,不仅简化了密钥管理,降低了密钥被破译、窃取的风险,还有效提升了方案的整体安全。
2)防假冒攻击
利用椭圆曲线在有限域上离散对数的计算困难性,通过对临时公钥的验证,实现通信双方的身份认证;同时利用会话协商的媒体通道信息生成参数,结合特定的哈希算法保证协议的完整性,使第三方不可能伪造、篡改合法的协议信息及用户数据,有效的抵抗了假冒攻击行为。
3)抗重放攻击
利用随机数为协议提供抗重放特性,能够有效防止非法人员利用历史交互信息,通过伪装、欺骗等手段窃取用户数据。
附图说明
图1为本发明的网络通信场景示意图;
图2为本发明的基本流程示意图;
图3为本发明的协议数据封装格式示意图。
具体实施方式
为了更清楚地表述本发明,下面结合附图和实施例对本发明作进一步地描述。
请参阅图1至图3,一种基于语音通道实现用户数据安全迁移的方法,应用于两个设备终端的数据转移,包括请求终端、转移终端和宽带语音服务器,包括以下步骤:
建立连接:请求终端、转移终端利用与宽带语音服务器之间的信令通道建立呼叫连接;
身份认证请求和验证:请求终端利用呼叫连接中的媒体通道向转移终端发出身份认证请求,转移终端验证身份认证请求,实现双方身份的认证和鉴权;
用户数据请求:请求终端利用媒体通道发出数据申请请求,转移终端对数据申请请求进行验证,验证通过后发送用户数据;
用户数据传输:请求终端利用媒体通道接收用户数据后进行解密存储,同时向转移终端响应接收成功应答。
其中,所述请求终端、转移终端中设有密码模块、协议层和用户数据库;密码模块包括用于步骤身份认证保护、身份认证验证保护的非对称密码体制和用于用户数据请求、用户数据传输保护的对称密码体制;协议层包括密码协议栈、RTP协议栈和呼叫控制协议栈,用户数据库包括需要转移的各种用户数据信息。
关于身份认证请求和验证、用户数据请求和用户数据传输的详细步骤,在本实施方式中:
请求终端利用密码模块生成第一临时公私钥对,所述转移终端利用密码模块生成第二临时公私钥对、第二业务数据保护密钥分量;
在步骤身份认证请求和验证中,请求终端向转移终端发送第一临时公钥和基于第一临时公钥、媒体通道信息(包括请求终端/转移终端的电话号码、本次呼叫连接所使用的媒体流端口)所生成的第一临时公钥摘要信息;转移终端基于第一临时公钥、媒体通道信息对第一临时公钥摘要信息进行验证后,利用第一临时公钥对其第二临时公钥和第二业务数据保护密钥分量,加密后发送至请求终端;
之后,请求终端利用第一临时私钥进行解密,获得第二临时公钥、第二业务数据保护密钥分量;
请求终端利用其第一临时私钥和所获得的第二临时公钥进行椭圆曲线点乘运算,以获取第一业务数据保护密钥分量;而转移终端利用其第二临时私钥和所获得的第一临时公钥进行椭圆曲线点乘运算,以获取相同的第一业务数据保护密钥分量;
请求终端和转移终端分别利用第一业务数据保护密钥分量和第二业务数据保护密钥分量进行异或运算,得到业务数据保护密钥;
在步骤用户数据请求中,请求终端利用业务数据保护密钥对数据请求申请中的身份认证信息进行加密,转移终端接收上述数据请求申请后,利用业务数据保护密钥解密,并对身份认证信息验证,验证通过后进入步骤用户数据传输;
在步骤用户数据传输中,转移终端利用业务数据保护密钥对用户数据进行加密,请求终端在接收用户数据后,利用业务数据保护密钥进行解密存储,完成用户数据迁移。
本申请的方案利用呼叫中建立的媒体通道,传递密码协议信息和受保护的用户数据,从而实现用户信息在可信任终端之间的迁移,方案主要由密码模块、密码协议栈和用户数据库三部分组成,其中密码模块是方案的基础,主要提供哈希值计算、用户数据加解密、公钥的生成及验证、公私钥点乘运算等算法接口;密码协议栈是方案的核心,基于RTP协议栈实现密码协议的交互和用户信息的传输,为用户提供方案在实施过程中的机密性、完整性、前向安全性和抗重放性等保护措施,能够以最小的代价识别、防范非法人员的欺骗、伪装等行为,并做出及时的响应;用户数据库服务于各类应用,其在可信任终端间的安全迁移是本方案的主要目的。
下面以IMS(IP多媒体子系统)网络中的SIP(会话初始化协议)电话为例,进一步地介绍本申请的具体实施流程;
(1)基本数据流程:
IMS利用SIP和SDP(会话描述协议)实现两个宽带终端之间的会话控制功能,利用RTP(实时传输协议)实现端到端的实时数据传输。语音通信过程一般分为会话建立、会话、会话结束三个阶段,密码协议的实施主要在会话阶段进行,通过终端认证请求、终端认证应答、用户数据请求和用户数据传输四个流程,完成双方认证鉴权、业务密钥协商和用户数据传输等工作。
(2)协议数据封装格式:
密码协议的交互和用户信息的传输基于RTP协议实现,数据采用统一格式进行封装,根据RFC3551的定义,采用RTP协议的应用,必须指定一个净荷类型,作为媒体流的编码格式识别,净荷类型的取值范围为0-127,其中动态净荷类型没有固定的标识编号,取值范围为96-127,方案中选用动态净荷类型,作为区分本协议与正常RTP媒体数据的标识;RTP净荷部分根据TLV格式,分为类型、长度和数据三部分;类型:表示协议数据的类型,包括终端认证请求、终端认证应答、用户数据请求、用户数据传输等报文类型;长度:表示密码协议或用户数据字段的长度;密码协议或用户数据包括密码协议和受保护的用户数据,密码协议用于控制信息的交互,受保护的用户数据主要指用户信息。
(3)密码协议实施
将终端B的用户信息迁移到可信任终端A上,用户需要先以管理员权限登录终端A,在A的操作界面内输入B的电话号码和身份认证信息(可以是指纹或账号密码等),然后由A向B发起用户信息迁移请求,其中,终端A即为请求终端,终端B即为转移终端。
用户数据迁移过程中,每个步骤涉及到的符号说明如下表所示
Figure RE-GDA0002970974200000091
Figure RE-GDA0002970974200000101
第一步,终端A向B发起认证请求:
步骤1:终端A通过密码模块产生一组临时公私钥对,记为:
TPKA/TSKA,同时生成一组32字节的随机数,记为:RandA
步骤2:终端A利用本次通话的媒体通道信息,计算参数K1:
Figure RE-GDA0002970974200000102
步骤3:终端A利用参数K1和HmacK()算法,计算(RandA+TPKA)的摘要信息,记为:HmacK1(RandA+TPKA);
步骤4:终端A利用RandA+TPKA+HmacK1(RandA+TPKA),构造终端认证请求,封装成RTP报文后,通过媒体通道发往终端B。
第二步,终端B收到A的认证请求:
步骤5:终端B提取RandA,同时利用本次通话的通道信息,计算参数K1:
Figure RE-GDA0002970974200000103
步骤6:终端B利用参数K1和HmacK()算法,计算(RandA+TPKA)的摘要信息,并与报文携带的HmacK1(RandA+TPKA)进行比较,如果失败结束本流程,成功则继续执行;
步骤7:终端B对终端A的临时公钥TPKA进行有效性判断:EccPk(TPKA),如果失败结束本流程,成功则继续执行;
步骤8:终端B通过密码模块产生一组临时公私钥对,记为:TPKB/TSKB,同时生成一组32字节的随机数,记为:RandB
步骤9:终端B利用参数K1和HmacK()算法,计算的(RandB+TPKB)摘要信息,记为:HmacK1(RandB+TPKB);
步骤10:终端B利用A的临时公钥TPKA,对RandB、TPKB、 HmacK1(RandB+TPKB),加密记为:
Figure RE-GDA0002970974200000111
构造终端认证应答,封装成RTP报文后,通过媒体通道发往终端A;
步骤11:终端B计算业务数据保护密钥K2:
Figure RE-GDA0002970974200000112
第三步,终端A收到终端B的认证应答:
步骤12:终端A利用设备临时私钥TSKA解密,记为:
Figure RE-GDA0002970974200000113
从中提取终端B的临时公钥TPKB、随机数RandB,以及校验数据 HmacK1(RandB+TPKB);
步骤13:终端A利用参数K1和HmacK()算法,计算(RandB+TPKB)的摘要信息,并与报文携带的校验数据HmacK1(RandB+TPKB)进行比较,如果失败结束本流程,校验通过则继续执行;
步骤14:终端A对终端B的临时公钥TPKB进行有效性判断,记为: EccPk(TPKB),如果失败结束本流程,成功则继续执行;
步骤15:终端A计算业务数据保护密钥K2;
Figure RE-GDA0002970974200000121
步骤16:用户在终端B的身份认证信息包含用户名、密码或指纹等内容,记为USERB,终端A的设备信息记为DEVA,终端A利用K2对USERB、DEVA进行加密保护,记为:FuncEnK2(USERB+DEVA),构造用户数据请求,封装成RTP 报文后,通过媒体通道发往终端B;
第四步,终端B收到终端A的数据下载请求:
步骤17:终端B利用K2对终端A的用户数据请求解密,记为: FuncDeK2(USERB+DEVA),得到用户身份认证信息USERB、A的设备信息DEVA
步骤18:终端B验证用户身份认证信息USERB,如果验证失败则终止流程,成功继续进行;
步骤19:终端B记录设备信息DEVA,同时准备用户数据信息;
步骤20:终端B将用户数据根据RTP报文大小进行分片,第r片分片记为: Datar,利用K2对每一分片进行加密后,记为:FuncEnK2(Datar),最后通过媒体通道发往终端A;
第五步,终端A收到B的用户数据信息:
步骤21:终端A利用K2解密:FuncEnK2(Datar),获取用户数据分片Datar,同时向终端B响应分片接收成功应答;
步骤22:用户数据传输与应答过程可以反复执行,直到所有用户信息发送完毕,终端A通知B数据接收完毕,并通过信令通知对方结束本次会话。
本发明适用于在可信任的宽带电话终端之间,完成数据量较小、机密性要求更高的用户数据传输,与其他用户数据迁移方案相比,具备以下优势:
(1)利用媒体通道传输用户数据,不受传送距离的限制,增强方案的可用性:由于WIFI和蓝牙存在安全性风险,在保密性要求较高的专用网络中,可能被禁止使用;方案利用通话终端协商的媒体通道传输用户数据,可以避开用户网络的安全限制,使用范围更广,可用性更强;
(2)便捷性:用户以管理员权限在目的端的操作界面内,输入用户信息源端电话号码和身份认证信息,即可自动协商安全通道参数,下载用户数据;作为宽带电话终端,在不影响用户使用的基础上,采用该方式启动用户数据迁移,更能贴合用户的使用习惯,提升用户体验。
本发明在保密性要求较高的专用网络内,提出一种宽带电话终端之间的用户信息迁移方法,不仅能够保证用户信息在传输过程中的安全性,同时可以有效提升用户的使用体验,在保密电话通信领域有着良好的应用前景;以上公开的仅为本发明的具体实施,但是本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

Claims (9)

1.一种基于语音通道实现用户数据安全迁移的方法,应用于两个设备终端的数据转移,其特征在于,包括请求终端、转移终端和宽带语音服务器,包括以下步骤:
建立连接:请求终端、转移终端利用与宽带语音服务器之间的信令通道建立呼叫连接;
身份认证请求和验证:请求终端利用呼叫连接中的媒体通道向转移终端发出身份认证请求,转移终端验证身份认证请求,实现双方身份的认证和鉴权;
用户数据请求:请求终端利用媒体通道发出数据申请请求,转移终端对数据申请请求进行验证,验证通过后发送用户数据;
用户数据传输:请求终端利用媒体通道接收用户数据后进行解密存储,同时向转移终端响应接收成功应答。
2.根据权利要求1所述的基于语音通道实现用户数据安全迁移的方法,其特征在于,所述请求终端、转移终端中设有密码模块、协议层和用户数据库;
密码模块包括用于步骤身份认证请求和验证保护的非对称密码体制和用于用户数据请求、用户数据迁移保护的对称密码体制;
协议层包括密码协议栈、RTP协议栈和呼叫控制协议栈,用户数据库包括需要转移的各种用户数据信息。
3.根据权利要求2所述的基于语音通道实现用户数据安全迁移的方法,其特征在于,
请求终端利用密码模块生成第一临时公私钥对,所述转移终端利用密码模块生成第二临时公私钥对、第二业务数据保护密钥分量;
在步骤身份认证请求和验证中,请求终端向转移终端发送第一临时公钥和基于第一临时公钥、媒体通道信息所生成的第一临时公钥摘要信息;转移终端基于第一临时公钥、媒体通道信息对第一临时公钥摘要信息进行验证后,利用第一临时公钥对其第二临时公钥和第二业务数据保护密钥分量,加密后发送至请求终端;
之后,请求终端利用第一临时私钥进行解密,获得第二临时公钥、第二业务数据保护密钥分量;
请求终端利用其第一临时私钥和所获得的第二临时公钥进行椭圆曲线点乘运算,以获取第一业务数据保护密钥分量;而转移终端利用其第二临时私钥和所获得的第一临时公钥进行椭圆曲线点乘运算,以获取相同的第一业务数据保护密钥分量;
请求终端和转移终端利用第一业务数据保护密钥分量和第二业务数据保护密钥分量进行异或运算,各自得到业务数据保护密钥;
在步骤用户数据请求中,请求终端利用业务数据保护密钥对数据请求申请中的身份认证信息进行加密,转移终端接收上述数据请求申请后,利用业务数据保护密钥解密,并对身份认证信息验证,验证通过后进入步骤用户数据传输;
在步骤用户数据传输中,转移终端利用业务数据保护密钥对用户数据进行加密,请求终端在接收用户数据后,利用业务数据保护密钥进行解密存储,完成用户数据迁移。
4.根据权利要求3所述的基于语音通道实现用户数据安全迁移的方法,其特征在于,所述第二业务数据保护密钥分量为由密码模块生成的随机数。
5.根据权利要求3所述的基于语音通道实现用户数据安全迁移的方法,其特征在于,在步骤身份认证请求和验证中,请求设备终端、转移设备终端采用协议层配合密码模块进行工作,形成统一格式的协议数据封装。
6.根据权利要求5所述的基于语音通道实现用户数据安全迁移的方法,其特征在于,协议数据基于RTP净荷承载,包括类型、长度、密码协议或用户数据。
7.根据权利要求6所述的基于语音通道实现用户数据安全迁移的方法,其特征在于,RTP净荷类型选用动态净荷类型,以作为标识和正常RTP媒体数据相区分。
8.根据权利要求6所述的基于语音通道实现用户数据安全迁移的方法,其特征在于,类型包括终端认证请求、终端认证应答、用户数据请求、用户数据传输等报文类型,长度表示密码协议或用户数据字段的长度,密码协议或用户数据包括密码协议和用户数据。
9.根据权利要求3所述的基于语音通道实现用户数据安全迁移的方法,其特征在于,在步骤用户数据请求和用户数据传输中,采用密码模块和RTP协议栈相配合的方式,实现数据申请请求、用户数据的信息传输。
CN202011427797.5A 2020-12-09 2020-12-09 基于语音通道实现用户数据安全迁移的方法 Active CN112737784B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011427797.5A CN112737784B (zh) 2020-12-09 2020-12-09 基于语音通道实现用户数据安全迁移的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011427797.5A CN112737784B (zh) 2020-12-09 2020-12-09 基于语音通道实现用户数据安全迁移的方法

Publications (2)

Publication Number Publication Date
CN112737784A true CN112737784A (zh) 2021-04-30
CN112737784B CN112737784B (zh) 2022-03-22

Family

ID=75598596

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011427797.5A Active CN112737784B (zh) 2020-12-09 2020-12-09 基于语音通道实现用户数据安全迁移的方法

Country Status (1)

Country Link
CN (1) CN112737784B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117955945A (zh) * 2024-03-26 2024-04-30 南京维赛客网络科技有限公司 同场景下用户间的多音频线路同步方法、系统及存储介质
CN117955945B (zh) * 2024-03-26 2024-05-31 南京维赛客网络科技有限公司 同场景下用户间的多音频线路同步方法、系统及存储介质

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1889611A (zh) * 2006-01-26 2007-01-03 华为技术有限公司 实时语音通信的方法及实时语音通信系统
US20090029692A1 (en) * 2007-03-29 2009-01-29 Klaus Radermacher Predictive computer network services provisioning for mobile users
US20150227268A1 (en) * 2005-07-22 2015-08-13 Yogesh Chunilal Rathod Method and system for dynamic application management
CN105306492A (zh) * 2015-11-25 2016-02-03 成都三零瑞通移动通信有限公司 一种针对安全即时通信的异步密钥协商方法及装置
CN105471876A (zh) * 2015-12-02 2016-04-06 东莞见达信息技术有限公司 一种通讯加密的方法及装置
CN105656850A (zh) * 2014-11-13 2016-06-08 腾讯数码(深圳)有限公司 一种数据处理方法、相关装置及系统
CN106027620A (zh) * 2016-05-11 2016-10-12 国网江苏省电力公司 一种基于云计算的数据迁移系统
CN106487758A (zh) * 2015-08-28 2017-03-08 华为技术有限公司 一种数据安全签名方法、业务终端以及私钥备份服务器
CN109413194A (zh) * 2018-11-09 2019-03-01 中国电子科技集团公司第三十研究所 用于移动通信系统的用户信息云端协同处理及转移方法
US20190109860A1 (en) * 2017-10-10 2019-04-11 Blackberry Limited Forward and backward niap migration of certificate stores
CN111381962A (zh) * 2020-02-28 2020-07-07 中国科学院信息工程研究所 一种边缘服务迁移方法及装置

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150227268A1 (en) * 2005-07-22 2015-08-13 Yogesh Chunilal Rathod Method and system for dynamic application management
CN1889611A (zh) * 2006-01-26 2007-01-03 华为技术有限公司 实时语音通信的方法及实时语音通信系统
US20090029692A1 (en) * 2007-03-29 2009-01-29 Klaus Radermacher Predictive computer network services provisioning for mobile users
CN105656850A (zh) * 2014-11-13 2016-06-08 腾讯数码(深圳)有限公司 一种数据处理方法、相关装置及系统
CN106487758A (zh) * 2015-08-28 2017-03-08 华为技术有限公司 一种数据安全签名方法、业务终端以及私钥备份服务器
CN105306492A (zh) * 2015-11-25 2016-02-03 成都三零瑞通移动通信有限公司 一种针对安全即时通信的异步密钥协商方法及装置
CN105471876A (zh) * 2015-12-02 2016-04-06 东莞见达信息技术有限公司 一种通讯加密的方法及装置
CN106027620A (zh) * 2016-05-11 2016-10-12 国网江苏省电力公司 一种基于云计算的数据迁移系统
US20190109860A1 (en) * 2017-10-10 2019-04-11 Blackberry Limited Forward and backward niap migration of certificate stores
CN109413194A (zh) * 2018-11-09 2019-03-01 中国电子科技集团公司第三十研究所 用于移动通信系统的用户信息云端协同处理及转移方法
CN111381962A (zh) * 2020-02-28 2020-07-07 中国科学院信息工程研究所 一种边缘服务迁移方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张鹤鸣,陈南洋: "一种基于IPSec 实现SIP 通信安全的方法", 《通信技术》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117955945A (zh) * 2024-03-26 2024-04-30 南京维赛客网络科技有限公司 同场景下用户间的多音频线路同步方法、系统及存储介质
CN117955945B (zh) * 2024-03-26 2024-05-31 南京维赛客网络科技有限公司 同场景下用户间的多音频线路同步方法、系统及存储介质

Also Published As

Publication number Publication date
CN112737784B (zh) 2022-03-22

Similar Documents

Publication Publication Date Title
EP2713546B1 (en) Method and apparatuses for establishing a data transmission via sip
CN103974241B (zh) 一种面向Android系统移动终端的语音端到端加密方法
CN109302412B (zh) 基于CPK的VoIP通信处理方法、终端、服务器及存储介质
CN102572817B (zh) 实现移动通信保密的方法和智能存储卡
US7764945B2 (en) Method and apparatus for token distribution in session for future polling or subscription
CN104683304A (zh) 一种保密通信业务的处理方法、设备和系统
CN111556501B (zh) 一种可信通信系统及方法
CN106936788A (zh) 一种适用于voip语音加密的密钥分发方法
CN113079022B (zh) 一种基于sm2密钥协商机制的安全传输方法和系统
CN111756726A (zh) 一种支持国密算法的sip安全认证方法
CN107094156A (zh) 一种基于p2p模式的安全通信方法及系统
CN103368735B (zh) 应用接入智能卡的认证方法、装置和系统
CN113595985A (zh) 一种基于国密算法安全芯片的物联网安全云平台实现方法
CN103973543B (zh) 即时通信方法及装置
EP3248355B1 (en) Enhanced establishment of ims session with secure media
CN109120408A (zh) 用于认证用户身份的方法、装置和系统
CN114630290A (zh) 语音加密通话的密钥协商方法、装置、设备及存储介质
CN101001143A (zh) 一种终端设备对系统设备进行认证的方法
CN101547269A (zh) 呼叫控制方法和语音终端
WO2011131070A1 (zh) 基于密钥管理服务器的ims媒体安全的合法监听系统
CN112737784B (zh) 基于语音通道实现用户数据安全迁移的方法
CN115589288A (zh) 基于量子密钥预充注实现端到端VoIP加密通信方法
CN102752263B (zh) 一种实现端到端安全呼叫转移的方法及系统
CN114040385A (zh) 一种基于VoLTE的加密通话系统及方法
CN105763571A (zh) 基于sip的非对称语音加密

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant