CN115150760A - 短消息加密传递系统、方法及存储介质 - Google Patents
短消息加密传递系统、方法及存储介质 Download PDFInfo
- Publication number
- CN115150760A CN115150760A CN202110333681.3A CN202110333681A CN115150760A CN 115150760 A CN115150760 A CN 115150760A CN 202110333681 A CN202110333681 A CN 202110333681A CN 115150760 A CN115150760 A CN 115150760A
- Authority
- CN
- China
- Prior art keywords
- short message
- encryption
- user
- receiving end
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 230000005540 biological transmission Effects 0.000 title abstract description 7
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 40
- 238000012384 transportation and delivery Methods 0.000 claims abstract description 18
- 238000012795 verification Methods 0.000 description 16
- 238000004891 communication Methods 0.000 description 13
- 101000882406 Staphylococcus aureus Enterotoxin type C-1 Proteins 0.000 description 11
- 102100040837 Galactoside alpha-(1,2)-fucosyltransferase 2 Human genes 0.000 description 10
- 101000893710 Homo sapiens Galactoside alpha-(1,2)-fucosyltransferase 2 Proteins 0.000 description 10
- 101000882403 Staphylococcus aureus Enterotoxin type C-2 Proteins 0.000 description 10
- 230000015654 memory Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000010295 mobile communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 4
- 238000002716 delivery method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 239000002699 waste material Substances 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
- H04W4/14—Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
Abstract
本发明涉及短消息加密传递系统、方法及存储介质。本发明的短消息加密传递系统包括:接收单元,接收来自发送端的附带加密标识的短消息;短消息中心单元,对所述短消息进行解析,查询所述发送端的签约信息,在所述加密标识表示需要进行加密、且所述加密标识与所述签约信息包含的加密权限相匹配的情况下,查询接收端的安全能力信息,该安全能力信息存储于用户安全能力数据库中;加密单元,将由所述安全能力信息确定的密钥作为加密密钥,选择与所述接收端的安全能力相匹配的加密算法对短消息进行加密;以及发送单元,将加密后的短消息和所述加密标识发送给所述接收端。
Description
技术领域
本发明涉及移动通信领域,更具体涉及短消息加密传递系统、方法及存储介质。
背景技术
短消息业务是移动通信基本业务之一,广泛应用于广告、通知、信息发布以及账户验证等。近几年,短消息应用在账户验证方面的应用越来越广泛,包括网络账户验证、手机银行账户验证、移动支付验证等方面,验证码是敏感信息,随着信息技术的发展,验证码被空中拦截、泄露而导致账户被骑劫的事件屡屡发生,给用户造成了巨大的财产损失。
为了保护包含重要敏感信息的短消息内容的安全,亟需一种可实施的能对包含重要敏感信息的短消息进行加密的传送方法,从而避免因为恶意窃取而泄露短消息内容中敏感信息的风险,保证短消息内容的安全性。但是目前运营商对所有短消息都是以明文发送,因为在所发送的短消息中存在大量重要性非常低甚至发布短信的目的就是希望知道的人越多越好,对这些短信进行加密不仅毫无必要,而且也是对资源的巨大浪费。目前一些专利对短信加密的方法由于无法根据客户及其短消息的重要性来选择加密与否,也无法识别用户安全能力,用户安全能力不尽相同,使得方法不具备可实施性。
发明内容
本发明将信息基于客户和信息的敏感性进行分类,避免了对非敏感信息的加密,节省了大量资源;同时根据用户对安全能力的支持程度来选择对短消息加密与否以及加密算法,从而使得本方法可以适应不同安全能力用户的加密需求;而对诸如验证码等重要而敏感信息则可以通过发送广告进行逐步推广,随着手机应用可以逐步普及,将减少短消息内容泄露或者被恶意窃取的可能性。加密算法管理和加密集中实现提高了加密算法和加密的灵活性。
在下文中给出了关于本发明的简要概述,以便提供关于本发明的一些方面的基本理解。但是,应当理解,这个概述并不是关于本发明的穷举性概述。它并不是意图用来确定本发明的关键性部分或重要部分,也不是意图用来限定本发明的范围。其目的仅仅是以简化的形式给出关于本发明的某些概念,以此作为稍后给出的更详细描述的前序。
根据本发明的一个方面,提供一种短消息加密传递系统,包括:接收单元,接收来自发送端的附带加密标识的短消息;短消息中心单元,对所述短消息进行解析,查询所述发送端的签约信息,在所述加密标识表示需要进行加密、且所述加密标识与所述签约信息包含的加密权限相匹配的情况下,查询接收端的安全能力信息,该安全能力信息存储于用户安全能力数据库中;加密单元,将由所述安全能力信息确定的密钥作为加密密钥,选择与所述接收端的安全能力相匹配的加密算法对短消息进行加密;以及发送单元,将加密后的短消息和所述加密标识发送给所述接收端。
根据本发明的另一个方面,提供一种短消息加密传递方法,包括:接收来自发送端的附带加密标识的短消息;对所述短消息进行解析,查询所述发送端的签约信息,在所述加密标识表示需要进行加密、且所述加密标识与所述签约信息包含的加密权限相匹配的情况下,查询接收端的安全能力信息,该安全能力信息存储于用户安全能力数据库中;将由所述安全能力信息确定的密钥作为加密密钥,选择与所述接收端的安全能力相匹配的加密算法对短消息进行加密;以及将加密后的短消息和所述加密标识发送给所述接收端。
根据本发明的又一个方面,提供一种计算机可读存储介质,其包括计算机可执行指令,所述计算机可执行指令在由一个或多个处理器执行时,使得所述一个或多个处理器执行根据本发明的上述方面所述的方法。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更清楚地理解本发明,其中:
图1是示出了根据本发明的一个实施例的短消息加密传递系统的示意性的框图。
图2是示出了根据本发明的一个实施例的短消息加密传递方法的示意性的流程图。
图3是示出了根据本发明的一个应用例的短消息加密传递系统的框图。
图4是示出了根据本发明的一个应用例的短消息加密传递系统的流程图。
图5示出了能够实现根据本发明的实施例的计算设备1200的示例性配置。
具体实施方式
参考附图进行以下详细描述,并且提供以下详细描述以帮助全面理解本发明的各种示例实施例。以下描述包括各种细节以帮助理解,但是这些细节仅被认为是示例,而不是为了限制本发明,本发明是由随附权利要求及其等同内容限定的。在以下描述中使用的词语和短语仅用于能够清楚一致地理解本发明。另外,为了清楚和简洁起见,可能省略了对公知的结构、功能和配置的描述。本领域普通技术人员将认识到,在不脱离本发明的精神和范围的情况下,可以对本文描述的示例进行各种改变和修改。
图1是示出了根据本发明的一个实施例的短消息加密传递系统的示意性的框图。
如图1所示,短消息加密传递系统1包括接收单元11、短消息中心单元12、加密单元13和发送单元14。短消息加密传递系统1分别经由通信网络N1和通信网络N2与发送端2和接收端3连接。在图1中,发送端2和接收端3示出了一个的情况,应当理解发送端2和接收端3可以为多个。
发送端2是用于发送短消息的终端,发送端2可以是移动终端,也可以是平台终端。在一个实施例中,发送端2可以将短消息分类并将需要加密的短消息附上相应的加密标识,并将附带加密标识的短消息发送给短消息加密传递系统1。例如,发送端2是银行短消息发送平台,所发送的短消息例如包括安全级别低的一般性广告信息和安全级别高的网上银行验证信息等。发送端2在发送短消息之前首先对短消息进行分类,例如对安全级别低的一般性广告信息附加表示不进行加密的加密标识,对安全级别高的网上银行验证信息附加表示进行加密和/或加密等级的加密标识。
接收单元11经由通信网络N1接收来自发送端2的附带加密标识的短消息。接收单元11在接收到来自发送端2的附带加密标识的短消息之后,将附带加密标识的短消息发送给短消息中心单元12。通信网络N1没有特别的限定,在一个实施例中通信网络N1可以是因特网、专用网络或移动通信网络等网络类型。在一个实施例中通信网络N2可以是移动通信网络。
短消息中心单元12在接收到附带加密标识的短消息之后进行解析而获得发送端2和接收端3各自的用户标识,接着短消息中心单元12查询发送端2的签约信息,签约信息是表示发送端2是否具备发送加密信息的权限的信息,在加密标识表示该短消息需要进行加密、且短消息所附带的加密标识与签约信息包含的加密权限相匹配的情况下,短消息中心单元12进一步查询接收端3的安全能力信息,该安全能力信息存储于用户安全能力数据库中。安全能力表示接收端3的终端设备能够支持的安全能力,安全能力信息例如包括接收端3的用户标识、加密用户标识类型、接收端3的终端设备的应用版本号、接收端3所支持的加密算法类型(标识)等中的一个或其组合。用户标识包括用户设备标识、国际移动用户标识以及国际移动用户号码中的一种或其组合,加密用户标识类型指示由何种标识构成用于加密的用户标识。用户安全能力数据库既可以包含于短消息中心单元12中,也可以设置于短消息中心单元12的外部。
加密单元13从短消息中心单元12接收待发送的短消息、加密标识、接收端3的安全能力信息,将由安全能力信息所确定的密钥作为加密密钥,选择与接收端3的安全能力相匹配的加密算法对短消息进行加密。在一个实施例中,加密后的短消息可以返回到短消息中心单元12后经由发送单元14发送给接收端3。在另一个实施例中,加密后的短消息也可以直接发送到发送单元14而发送给接收端3。
发送单元14将加密后的短消息和加密标识经由通信网络N2发送给接收端3。
根据本发明,发送端2对短消息进行分类,并附上加密标识,可以大幅度减少需要加密信息数量,对大量安全等级低的短消息(例如公告、通知消息)不需要加密,从而节省了大量资源,降低了运营成本。
此外,根据本发明,采用了加密短消息的签约要求,使得发送端无法滥用加密机制,确保了得到授权的发送端才能对短消息进行加密,并且由于在始发段并没有加密,不影响合法监听。
此外,根据本发明,能够采用不同加密算法进行加密,使得破解更加困难。
在一个实施例中,短消息中心单元12还包括发送端短消息服务中心121和接收端短消息服务中心122,发送端短消息服务中心121在短消息中心单元12接收到附带加密标识的短消息之后对其进行解析而获得发送端2和接收端3各自的用户标识,接着查询发送端2的签约信息,并对所述加密标识与所述签约信息包含的加密权限进行匹配检查,在加密标识表示需要进行加密、且加密标识与签约信息包含的加密权限相匹配的情况下,将附带加密标识的短消息发送给接收端短消息服务中心122,接收端短消息服务中心122在接收到携带加密标识的短消息之后,向用户安全能力数据库查询接收端3的安全能力信息,用户安全能力服务器在接收到接收端短消息服务器122的查询请求后,根据接收端3的用户标识查询接收端3的安全能力,并将包括接收端3的安全能力信息、接收端3的用户标识以及加密的用户标识类型等参数的查询结果返回接收端短消息服务中心122,接收端短消息服务中心122接收到用户安全能力数据库返回的查询结果,将短消息、加密标识、接收端3的用户标识、用户安全能力信息发送给加密单元13。
在一个实施例中,不同的用户根据自己的需要预先与短信服务商完成签约而生成签约信息,签约信息规定了用户享受的短消息服务内容,短消息服务中心12根据签约信息对发送端2的用户进行了分类,例如,将发送端用户分类为I、II、III和IV类用户。其中,I类用户:来自该类用户的所有信息无条件进行加密,无论用户是否标记了加密标识SEC1,此类信息发送时无需考虑接收方安全能力,此种类型适用于某些敏感单位的信息;II类用户:来自用户的某些信息无条件加密,无条件加密的信息标记为SEC1,此类信息发送时无需考虑接收方安全能力,另一方面,非无条件信息附上SEC2(条件加密)标识或者NULL(不加密)标识;III类用户:某些消息可选加密,可选加密信息,根据用户安全能力决定是否对信息进行加密,比如银行验证码,由于考虑到用户安装解密程序参差不齐,也无法进行统一的规定和部署,此时选择SEC2,另一方面,广告、通知之类的则选择加密标识NULL而不进行加密;IV类用户:明码信息无论用户是否附加了加密标识,附加了哪种加密标识,系统都将其加密标识置为NULL,不对其信息进行加密。通过对不同要求的用户进行分类,能够保证安全性的同时避免用户对加密能力的滥用,浪费资源。
在一个实施例中,加密单元13包括相互独立设置的加密算法管理单元131和加密服务器单元132,由此,可以提供最大的灵活性,可以灵活地更新加密算法、加密策略和加密参数,而不对加密短消息的其他环节造成影响。
在一个实施例中,发送单元14将加密后的短消息和加密标识与加密用户标识类型一起经由通信网络N2发送给接收端3。
在一个实施例中,加密单元13以由接收端3通过加密用户标识类型指定的用户标识作为加密密钥,此处的用户标识包括用户设备标识、国际移动用户标识以及国际移动用户号码中的一种或其任意组合。由此,以接收端的用户标识作为密钥,简便但又可以避免非本机对短消息进行解密。而且,通过接收端3利用加密用户标识类型选择用作密钥的用户标识,能够提高系统的安全性,使得破解更加困难。此外,以用户标识作为密钥,并通过标识类型来指示,实现了短消息加密机制与移动网络加密机制的分离,提高了灵活性。
在一个实施例中,接收端3在上线和/或下线时向用户安全能力数据库进行注册以便更新接收端3的用户标识和/或用户安全能力信息。由此,能够及时更新接收端3的用户状态和安全能力。此外,对于类似验证码这种用户需求不尽相同的敏感信息,用户对接收端的更新不一定及时,甚至一些用户缺乏更新终端的条件。根据本发明,通过终端(接收端)向用户安全能力数据库注册接收端的安全能力可以使短消息的加密能够基于接收端的实际安全能力。对于不具备安全能力,则不进行加密,对于需要加密的用户,系统可以选择与其相匹配的加密算法,给用户带来极大的方便,同时,也给推广敏感信息加密业务带来了方便,便于银行之类的客户逐步推广验证码加密,但又不影响暂时不具备对加密短消息进行解码的用户正常使用业务,通过推广使用加密短信的用户越来越多。
在一个实施例中,短消息中心单元12判断待发送给接收端3的短消息是否是被转发的短消息,在是被转发的短消息的情况下在短消息中追加表示该短消息是转发消息的转发标识,在所述接收端3接收到短消息时,接收端3的短消息应用根据转发标识判断该短消息是否是转发短消息,如果判断为转发短消息,无论短消息是否为需要加密的信息,都按照加密标识为NULL(即不加密)进行处理,即不对携带转发标识的信息进行解密,避免敏感信息泄露;若为非转发信息,则根据信息中的安全能力信息选择匹配的加密算法并从接收端3中获得加密时所使用的用户标识为密钥对信息进行解密/解码并呈现。
在一个实施例中,短消息服务中心12能够存储、删除、变更短消息加密签约信息,管理并检查签约信息与短消息加密标识的匹配性,并对加密标识进行纠正。
在一个实施例中,在5G移动通信网络中,加密单元13通过基于服务的接口(SBI)与短消息服务中心互连。在另一个实施例中,在2/3G、4G移动通信网络中,加密单元13通过移动应用接口协议与短消息服务中心互连。
在一个实施例中,接收端3可以从应用商店下载并安装短消息应用(SMSAPP),短消息应用从MS中获取MS标识并且选择作为密钥的用户标识并向XDR注册用户安全能力信息,实现用户标识与安全参数的绑定。SMSAPP上线、下线都应该向UDR进行注册,以保证用户安全能力在终端和网络之间保持一致性。
图2是示出了根据本发明的一个实施例的短消息加密传递方法的示意性的流程图。
如图2所示,在步骤S201中,短消息加密传递系统1接收来自发送端2的附带加密标识的短消息。
接着,在步骤S203中,短消息加密传递系统1对短消息进行解析而获得发送端2和接收端3各自的用户标识,查询发送端2的签约信息,签约信息是表示发送端用户是否具备发送加密信息的权限的信息,在所附的加密标识表示需要对本短消息进行加密、且加密标识与签约信息包含的加密权限相匹配的情况下,短消息加密传递系统1进而查询接收端3的安全能力信息,该安全能力信息存储于用户安全能力数据库中,安全能力信息例如包括接收端3的用户标识、加密用户标识类型、接收端3的终端设备的应用版本号、接收端3所支持的加密算法类型(标识)等中的一个或其组合。用户标识包括用户设备标识、国际移动用户标识以及国际移动用户号码中的一种或其组合,加密用户标识类型指示由何种标识构成用于加密的用户标识。
接着,在步骤S205中,将由安全能力信息确定的密钥作为加密密钥,选择与接收端3的安全能力相匹配的加密算法对短消息进行加密。
接着,在步骤S207中,将加密后的短消息和加密标识发送给接收端3。
根据本发明,采用了加密短消息的签约要求,使得发送端无法滥用加密机制,确保了得到授权的发送端才能对短消息进行加密,并且由于在始发段并没有加密,不影响合法监听。
此外,根据本发明,能够采用不同加密算法进行加密,使得破解更加困难。
在一个实施例中,在步骤S205中以由接收端3通过加密用户标识类型指定的用户标识作为加密密钥,此处的用户标识包括用户设备标识、国际移动用户标识以及国际移动用户号码中的一种或其组合,此处的组合可以是代码拼接,也可以是通过按照规定的算法计算而得到的。由此,以接收端的用户标识作为密钥,简便但又可以避免非本机对短消息进行解密。而且,通过接收端3利用加密用户标识类型选择用作密钥的用户标识,能够提高系统的安全性,使得破解更加困难。此外,以用户标识作为密钥,并通过标识类型来指示,实现了短消息加密机制与移动网络加密机制的分离,提高了灵活性。
在一个实施例中,在步骤S203中,对于被判断为来自非签约的发送端以及未带加密标识的短消息以明文下发到接收端3。由此,能够大幅度减少需要加密信息数量,对大量安全等级低的短消息不需要加密,各种公告、通知都不会进行加密,从而节省了大量资源,降低了运营成本。
在一个实施例中,接收端3能够更新加密算法,并将符合接收端3的安全能力信息注册到用户安全能力数据库。对于类似验证码这种用户需求不尽相同的敏感信息,用户对接收端的更新不一定及时,甚至一些用户缺乏更新终端的条件。根据本发明,通过终端(接收端)向用户安全能力数据库注册接收端的安全能力可以使短消息的加密能够基于接收端的实际安全能力。对于不具备安全能力,则不进行加密,对于需要加密的用户,系统可以选择与其相匹配的加密算法,给用户带来极大的方便,同时,也给推广敏感信息加密业务带来了方便,便于银行之类的客户逐步推广验证码加密,但又不影响暂时不具备对加密短消息进行解码的用户正常使用业务,通过推广使用加密短信的用户越来越多。
在一个实施例中,在步骤S205中,还判断待发送的短消息是否是被转发的短消息,在判断为是被转发的短消息的情况下在短消息中追加表示该短消息是转发消息的转发标识,接收端3在接收到短消息时根据转发标识判断该短消息是否是转发消息,在判断为是的情况下接收端3不对转发的短消息进行解密。由此,接收端3不对携带转发标识的短消息进行解密,从而避免敏感信息泄露。
在一个实施例中,做步骤S207中,将加密后的短消息、加密标识与加密用户标识类型一起经由通信网络N2发送给接收端3。
图3是示出了根据本发明的一个应用例的短消息加密传递系统的框图。
本发明可以适用于2G/3G/4G/5G/6G移动通信网络。由于加密短消息的传送与网络的关系是松耦合,在各种通信网络上的传送差别不大。因此,在本应用例仅以5G网络为例,并且假设发送端短消息服务中心(MO-SMSC)和接收端短消息服务中心(MT-SMSC)合设,用户安全能力数据库(XDR)为UDM(Unified Data Management,统一数据管理)/UDR(UnifiedData Repository,统一数据存储)。
如图3所示,ESME(External Short Message Entity)为扩展消息发送实体,是短消息发送端,负责对短消息进行分类并对需要加密的信息附上加密标识,例如是银行发送短消息的应用。短消息服务功能(SMSF)负责短消息(SMS)的转发,SMSF可以包括发送端短消息服务中心(MO-SMSC)和接收端短消息服务中心(MT-SMSC),其中,发送端短消息服务中心负责检查用户发送信息加密的权限,确保用户加密信息的权限和加密标识相一致,并负责发送信息到MT-SMSC;接收端短消息服务中心负责接收MO-SMSC转发的短消息,向用户安全能力数据库查询用户安全能力并将用户安全能力参数、用户标识和加密标识发送给加密算法管理和加密服务器。加密算法和加密服务器(SEM)负责加密算法管理和短消息的加密,具体地其接收MT-SMSC发送的信息、加密标识、安全能力参数以及用户标识,并据此选择合适的加密算法对信息进行加密,将加密后的信息发送给MT-SMSC。短消息服务中心(SMSC)提供短消息发送和接收功能。XDR(UDM/UDR)负责存储和管理用户安全能力参数以及路由查询,其中UDR负责存储,UDM负责管理。UE(SMSAPP)是用户终端,接收MT-SMSC通过网络下发的短消息,并根据短消息中安全参数和从UE中获取的用户标识对短消息进行解码并呈现。
在5G网络中的各种服务之间通过基于服务的接口(SBI接口)互连,ESME与SMSC之间的互连采用SMPP协议,SMSC与SEM之间接口采用专有协议。
ESME将需要加密的信息附上要求加密的标识,并将信息通过SMPP协议发送给发送端SMSC(MO-SMSC)。此处,业务类型置可以为SEC1或SEC2,具体取决于客户对加密的需求,如果要求无条件加密则为SEC1,如果是要求基于用户能力决定加密与否,则加密标识置为SEC2。
SMSC(更具体为SMSC中的MO-SMSC)检查MO-SMSC中的用户签约信息,如果用户是要求无条件加密用户,检查加密标识,如果客户错误使用了加密标识,则纠正用户的加密标识;如果客户要求基于用户能力的加密,则检查用户发送的短消息的加密标识是否正确,如果不正确则纠正为SEC2,如果为非加密短消息则不作处理;如果为非加密信息签约客户,则将其加密标识全部置为NULL(即表示不进行加密处理)。然后将所有短消息(包括携带加密标识和未携带加密标识的短消息)发送给MT-SMSC(在本应用例中MO-SMSC和MT-SMSC合设,两者为内部接口)。
SMSC(更具体为SMSC中的MT-SMSC)检查接收到的信息的加密标识,如果加密标识为NULL,则直接按照接收流程下发给接收端UE;如果加密标识为SEC1或SEC2,则向UDM/UDR查询用户的安全能力、加密所采用的用户标识及其类型,并将UDM/UDR返回的用户安全能力、用户标识、信息和加密标识发送给SEM。
SEM接收到SMSC发送的信息、加密标识、安全能力、加密所采用的用户标识及其类型,并以此决定加密算法和所使用的密钥并对信息进行加密,将加密后的信息返回给SMSC(具体而言MT-SMSC);
SMSC(具体而言MT-SMSC)根据正常的短消息下发流程将加密后的短消息下发给接收用户UE。
UE接收到短消息之后将短消息传递给短信解码程序SMSAPP,SMSAPP提取消息中携带的信息类型(如转发标识、加密标识、加密算法标识)以及加密所采用的用户标识类型,根据信息中所含的用户标识类型从本机读取相应的本机标识,然后根据信息类型、加密标识(加密与否和加密算法标识)以及加密所用的用户标识对短消息进行解码并呈现。
图4是示出了根据本发明的一个应用例的短消息加密传递系统的流程图。
在图4所示的应用例的流程中,首先发送端(ESME)将短消息分类并将需要加密的信息附上加密标识,并将信息发送给MO-SMSC(S102)。
接着,MO-SMSC接收到发送端发送的信息后通过签约信息检查发送端是否具备发送加密信息的权限,并对加密标识进行核对。不同的用户根据自己的需要预先与短信服务商完成签约而生成签约信息,签约信息规定了用户享受的短消息服务内容,SMSC按照签约信息对ESME的用户进行了分类,例如,将发送端用户分类为I、II、III和IV类用户。其中,I类用户:来自该类用户的所有信息无条件进行加密,无论用户是否标记了加密标识SEC1,此类信息发送时无需考虑接收方安全能力,此种类型适用于某些敏感单位的信息;II类用户:来自用户的某些信息无条件加密,无条件加密的信息标记为SEC1,此类信息发送时无需考虑接收方安全能力,另一方面,非无条件信息附上SEC2(条件加密)标识或者NULL(不加密)标识;III类用户:某些消息可选加密,可选加密信息,根据用户安全能力决定是否对信息进行加密,比如银行验证码,由于考虑到用户安装解密程序参差不齐,也无法进行统一的规定和部署,此时选择SEC2,另一方面,广告、通知之类的则选择加密标识NULL而不进行加密;IV类用户:明码信息无论用户是否附加了加密标识,附加了哪种加密标识,系统都将其加密标识置为NULL,不对其信息进行加密。通过对不同要求的用户进行分类,能够在保证安全性的同时避免用户对加密能力的滥用,浪费资源。
对于I类用户的短消息,检查是否所有信息都加上了SEC1加密标识,如果没有则将其所有信息加密标识都置为SEC1;对于II类、III类用户的短消息,则保持信息加密标识不变,分别为SEC1、SEC2;对于其他非加密信息的加密标识为NULL,若存在加密标识则将其置为NULL;然后将所有短消息(包括携带加密标识和未携带加密标识的)发送给MT-SMSC。
接着MT-SMSC接收MO-SMSC发送的信息,检查信息加密标识,如果加密标识为NULL,则直接向接收端UE发送信息;如果加密标识为SEC1或者SEC2,MT-SMSC向用户安全能力数据库(XDR)查询用户安全能力。
接下来,XDR接收到MT-SMSC的查询请求后,根据接收端用户标识查询用户安全能力并将查询结果(安全能力参数和加密用户标识类型、用户标识)返回MT-SMSC。
而后,MT-SMSC收到XDR返回的查询结果后,将短消息、加密标识和用户安全能力参数一并发送给加密算法和加密服务器SEM。
接着,SEM收到MT-SMSC发送的信息、加密标识、用户安全能力参数以及用户标识,选择匹配的加密算法以用户标识为密钥对信息进行加密,并将加密后的信息发送给MT-SMSC。
接着,MT-SMSC将SEM返回的加密后信息及加密参数(例如加密所使用的用户标识类型、转发标识等)下发给信息接收端UE。
最后,UE接收到MT-SMSC发送的信息之后,检查短消息的转发标识,如果为转发短消息,无论短消息是否为需要加密的信息,都按照加密标识为NULL进行处理,即不对携带转发标识的信息进行解密,避免敏感信息泄露。若为非转发信息,则根据信息中的安全能力信息选择匹配的加密算法并从UE中获得加密时所使用的用户标识为密钥对信息进行解码并呈现。
此外,UE从应用商店下载并安装短消息应用(SMSAPP),SMSAPP从MS中获取MS标识并且选择作为密钥的用户标识并向XDR注册用户安全能力参数,实现用户标识与安全参数的绑定。SMSAPP上线、下线都应该向UDR进行注册,以保证用户安全能力在终端和网络之间保持一致性。
根据本发明,发送端对短消息进行分类,并附上加密标识,可以大幅度减少需要加密信息数量,对大量安全等级低的短消息(例如公告、通知消息)不需要加密,从而节省了大量资源,降低了运营成本。
此外,根据本发明,采用了加密短消息的签约要求,使得发送端无法滥用加密机制,确保了得到授权的发送端才能对短消息进行加密,并且由于在始发段并没有加密,不影响合法监听。
此外,根据本发明,能够采用不同加密算法进行加密,使得破解更加困难。
图5示出了能够实现根据本发明的实施例的计算设备1200的示例性配置。
计算设备1200是能够应用本发明的上述方面的硬件设备的实例。计算设备1200可以是被配置为执行处理和/或计算的任何机器。计算设备1200可以是但不限制于工作站、服务器、台式计算机、膝上型计算机、平板计算机、个人数据助手(PDA)、智能电话、车载计算机或以上组合。
如图5所示,计算设备1200可以包括可以经由一个或多个接口与总线1202连接或通信的一个或多个元件。总线2102可以包括但不限于,工业标准架构(Industry StandardArchitecture,ISA)总线、微通道架构(Micro Channel Architecture,MCA)总线、增强ISA(EISA)总线、视频电子标准协会(VESA)局部总线、以及外设组件互连(PCI)总线等。计算设备1200可以包括例如一个或多个处理器1204、一个或多个输入设备1206以及一个或多个输出设备1208。一个或多个处理器1204可以是任何种类的处理器,并且可以包括但不限于一个或多个通用处理器或专用处理器(诸如专用处理芯片)。
计算设备1200还可以包括或被连接至非暂态存储设备1214,该非暂态存储设备1214可以是任何非暂态的并且可以实现数据存储的存储设备,并且可以包括但不限于盘驱动器、光存储设备、固态存储器、软盘、柔性盘、硬盘、磁带或任何其他磁性介质、压缩盘或任何其他光学介质、缓存存储器和/或任何其他存储芯片或模块、和/或计算机可以从其中读取数据、指令和/或代码的其他任何介质。计算设备1200还可以包括随机存取存储器(RAM)1210和只读存储器(ROM)1212。ROM 1212可以以非易失性方式存储待执行的程序、实用程序或进程。RAM 1210可提供易失性数据存储,并存储与计算设备1200的操作相关的指令。计算设备1200还可包括耦接至数据链路1218的网络/总线接口1216。网络/总线接口1216可以是能够启用与外部装置和/或网络通信的任何种类的设备或系统,并且可以包括但不限于调制解调器、网络卡、红外线通信设备、无线通信设备和/或芯片集(诸如蓝牙TM设备、802.11设备、WiFi设备、WiMax设备、蜂窝通信设施等)。
本发明可以被实现为装置、系统、集成电路和非瞬时性计算机可读介质上的计算机程序的任何组合。可以将一个或多个处理器实现为执行本发明中描述的部分或全部功能的集成电路(IC)、专用集成电路(ASIC)或大规模集成电路(LSI)、系统LSI,超级LSI或超LSI组件。
本发明包括软件、应用程序、计算机程序或算法的使用。可以将软件、应用程序、计算机程序或算法存储在非瞬时性计算机可读介质上,以使诸如一个或多个处理器的计算机执行上述步骤和附图中描述的步骤。例如,一个或多个存储器以可执行指令存储软件或算法,并且一个或多个处理器可以关联执行该软件或算法的一组指令,以根据本发明中描述的实施例提供各种功能。
软件和计算机程序(也可以称为程序、软件应用程序、应用程序、组件或代码)包括用于可编程处理器的机器指令,并且可以以高级过程性语言、面向对象编程语言、功能性编程语言、逻辑编程语言或汇编语言或机器语言来实现。术语“计算机可读介质”是指用于向可编程数据处理器提供机器指令或数据的任何计算机程序产品、装置或设备,例如磁盘、光盘、固态存储设备、存储器和可编程逻辑设备(PLD),包括将机器指令作为计算机可读信号来接收的计算机可读介质。
举例来说,计算机可读介质可以包括动态随机存取存储器(DRAM)、随机存取存储器(RAM)、只读存储器(ROM)、电可擦只读存储器(EEPROM)、紧凑盘只读存储器(CD-ROM)或其他光盘存储设备、磁盘存储设备或其他磁性存储设备,或可以用于以指令或数据结构的形式携带或存储所需的计算机可读程序代码以及能够被通用或专用计算机或通用或专用处理器访问的任何其它介质。如本文中所使用的,磁盘或盘包括紧凑盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘和蓝光盘,其中磁盘通常以磁性方式复制数据,而盘则通过激光以光学方式复制数据。上述的组合也包括在计算机可读介质的范围内。
提供本发明的主题作为用于执行本发明中描述的特征的装置、系统、方法和程序的示例。但是,除了上述特征之外,还可以预期其他特征或变型。可以预期的是,可以用可能代替任何上述实现的技术的任何新出现的技术来完成本发明的部件和功能的实现。
另外,以上描述提供了示例,而不限制权利要求中阐述的范围、适用性或配置。在不脱离本发明的精神和范围的情况下,可以对所讨论的元件的功能和布置进行改变。各种实施例可以适当地省略、替代或添加各种过程或部件。例如,关于某些实施例描述的特征可以在其他实施例中被结合。
类似地,虽然在附图中以特定次序描绘了操作,但是这不应该被理解为要求以所示的特定次序或者以顺序次序执行这样的操作,或者要求执行所有图示的操作以实现所希望的结果。在某些情况下,多任务处理和并行处理可以是有利的。
Claims (15)
1.一种短消息加密传递系统,包括:
接收单元,接收来自发送端的附带加密标识的短消息;
短消息中心单元,对所述短消息进行解析,查询所述发送端的签约信息,在所述加密标识表示需要进行加密、且所述加密标识与所述签约信息包含的加密权限相匹配的情况下,查询接收端的安全能力信息,该安全能力信息存储于用户安全能力数据库中;
加密单元,将由所述安全能力信息确定的密钥作为加密密钥,选择与所述接收端的安全能力相匹配的加密算法对短消息进行加密;以及
发送单元,将加密后的短消息和所述加密标识发送给所述接收端。
2.根据权利要求1所述的系统,其中,
所述短消息中心单元还包括发送端短消息服务中心和接收端短消息服务中心,
所述发送端短消息服务中心在所述短消息中心单元接收到附带加密标识的短消息之后对该短消息进行解析,查询所述发送端的签约信息,并对所述加密标识与所述签约信息包含的加密权限进行匹配检查,在所述加密标识表示需要进行加密、且所述加密标识与所述签约信息包含的加密权限相匹配的情况下,将附带加密标识的短消息发送给所述接收端短消息服务中心,
所述接收端短消息服务中心在接收到携带加密标识的短消息之后,向所述用户安全能力数据库查询接收端的安全能力信息,
所述用户安全能力服务器在接收到所述接收端短消息服务器的查询请求后,根据所述接收端的用户标识查询接收端的安全能力信息并将包括所述接收端的安全能力信息、所述接收端的用户标识以及加密用户标识类型的查询结果返回所述接收端短消息服务中心,
所述接收端短消息服务中心接收到所述用户安全能力数据库返回的查询结果,将短消息、加密标识、加密用户标识类型、用户安全能力信息发送给所述加密单元。
3.根据权利要求1所述的系统,其中,
所述安全能力信息包括所述接收端的用户标识和/或加密用户标识类型,所述用户标识包括用户设备标识、国际移动用户标识以及国际移动用户号码中的一种或其组合,所述加密用户标识类型指示由何种标识构成用于加密的用户标识,
将由所述接收端通过所述加密用户标识类型指定的用户标识作为所述加密密钥。
4.根据权利要求1所述的系统,其中,
所述短消息中心单元判断待发送的短消息是否是被转发的短消息,在是被转发的短消息的情况下在短消息中追加表示该短消息是转发消息的转发标识,
所述接收端在接收到短消息时根据所述转发标识判断该短消息是否是转发消息,在判断为是的情况下所述接收端不对转发的短消息进行解密。
5.根据权利要求1所述的系统,其中,
所述短消息服务中心能够存储、删除、变更短消息加密签约信息,管理并检查签约信息与短消息加密标识的匹配性,并对加密标识进行纠正。
6.根据权利要求1所述的系统,其中,
所述加密单元通过基于服务的接口(SBI)与所述短消息服务中心互连或者通过移动应用接口协议与所述短消息服务中心互连。
7.根据权利要求1所述的系统,其中,
所述接收端在上线和/或下线时向所述用户安全能力数据库进行注册以便更新用户标识和/或用户安全能力信息。
8.一种短消息加密传递方法,包括:
接收来自发送端的附带加密标识的短消息;
对所述短消息进行解析,查询所述发送端的签约信息,在所述加密标识表示需要进行加密、且所述加密标识与所述签约信息包含的加密权限相匹配的情况下,查询接收端的安全能力信息,该安全能力信息存储于用户安全能力数据库中;
将由所述安全能力信息确定的密钥作为加密密钥,选择与所述接收端的安全能力相匹配的加密算法对短消息进行加密;以及
将加密后的短消息和所述加密标识发送给所述接收端。
9.根据权利要求8所述的方法,其中,
所述安全能力信息包括所述接收端的用户标识和/或加密用户标识类型,所述用户标识包括用户设备标识、国际移动用户标识以及国际移动用户号码中的一种或其组合,所述加密用户标识类型指示由何种标识构成用于加密的用户标识,
将由所述接收端通过所述加密用户标识类型指定的用户标识作为所述加密密钥。
10.根据权利要求8所述的方法,其中,
所述接收端从接收端本机获得用户标识并向所述用户安全能力数据库注册用户安全能力信息,该用户安全能力信息还包括所述接收端的应用版本号和/或所述接收端所支持的加密算法标识。
11.根据权利要求8所述的方法,其中,
所述接收端从接收端本机获取接收端的用户标识,并随机或人工选择用作密钥的用户标识,并将所述接收端的用户标识注册到所述用户安全能力数据库。
12.根据权利要求8所述的方法,还包括:
判断待发送的短消息是否是被转发的短消息,在判断为是被转发的短消息的情况下在短消息中追加表示该短消息是转发消息的转发标识,
所述接收端在接收到短消息时根据所述转发标识判断该短消息是否是转发短消息,在判断为是的情况下所述接收端不对转发的短消息进行解密。
13.根据权利要求8所述的方法,还包括对来自非签约的发送端以及未带加密标识的短消息以明文下发到所述接收端。
14.根据权利要求8所述的方法,其中,
所述接收端能够更新加密算法,并将符合所述接收端的安全能力信息注册到所述用户安全能力数据库。
15.一种计算机可读存储介质,包括计算机可执行指令,所述计算机可执行指令在由一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求8—14中的任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110333681.3A CN115150760A (zh) | 2021-03-29 | 2021-03-29 | 短消息加密传递系统、方法及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110333681.3A CN115150760A (zh) | 2021-03-29 | 2021-03-29 | 短消息加密传递系统、方法及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115150760A true CN115150760A (zh) | 2022-10-04 |
Family
ID=83403746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110333681.3A Pending CN115150760A (zh) | 2021-03-29 | 2021-03-29 | 短消息加密传递系统、方法及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115150760A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040030906A1 (en) * | 2002-06-20 | 2004-02-12 | International Business Machines Corporation | System and method for SMS authentication |
| CN101141680A (zh) * | 2007-09-30 | 2008-03-12 | 中兴通讯股份有限公司 | 短消息加密发送和接收方法 |
| CN105245494A (zh) * | 2015-08-26 | 2016-01-13 | 华为技术有限公司 | 一种网络攻击的确定方法及装置 |
| CN105407467A (zh) * | 2015-12-09 | 2016-03-16 | 中国联合网络通信集团有限公司 | 短消息加密方法、装置和系统 |
| CN106302428A (zh) * | 2016-08-09 | 2017-01-04 | 杭州华三通信技术有限公司 | 一种加密级别的自动部署方法和装置 |
| CN106470106A (zh) * | 2015-08-18 | 2017-03-01 | 中兴通讯股份有限公司 | 终端信息显示方法及装置 |
| CN109640277A (zh) * | 2019-01-03 | 2019-04-16 | 中国联合网络通信集团有限公司 | 应用于usim卡的短消息处理方法和装置 |
-
2021
- 2021-03-29 CN CN202110333681.3A patent/CN115150760A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040030906A1 (en) * | 2002-06-20 | 2004-02-12 | International Business Machines Corporation | System and method for SMS authentication |
| CN101141680A (zh) * | 2007-09-30 | 2008-03-12 | 中兴通讯股份有限公司 | 短消息加密发送和接收方法 |
| CN106470106A (zh) * | 2015-08-18 | 2017-03-01 | 中兴通讯股份有限公司 | 终端信息显示方法及装置 |
| CN105245494A (zh) * | 2015-08-26 | 2016-01-13 | 华为技术有限公司 | 一种网络攻击的确定方法及装置 |
| CN105407467A (zh) * | 2015-12-09 | 2016-03-16 | 中国联合网络通信集团有限公司 | 短消息加密方法、装置和系统 |
| CN106302428A (zh) * | 2016-08-09 | 2017-01-04 | 杭州华三通信技术有限公司 | 一种加密级别的自动部署方法和装置 |
| CN109640277A (zh) * | 2019-01-03 | 2019-04-16 | 中国联合网络通信集团有限公司 | 应用于usim卡的短消息处理方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7296156B2 (en) | System and method for SMS authentication | |
| US11076295B2 (en) | Remote management method, and device | |
| US9059980B2 (en) | Systems and methods for authenticating mobile devices | |
| KR100636111B1 (ko) | 분실된 이동 단말기에 내장된 데이터 보호 방법 및 이에 관한 기록매체 | |
| US8543091B2 (en) | Secure short message service (SMS) communications | |
| KR100840901B1 (ko) | Ota 서비스를 제공하기 위한 시스템 및 그 방법 | |
| US20160352692A1 (en) | Wireless device and computer readable medium for storing a message in a wireless device | |
| US7191343B2 (en) | Voucher driven on-device content personalization | |
| JP5116846B2 (ja) | Otaサービスを提供するためのシステムおよびその方法 | |
| US20070112680A1 (en) | System and method for processing digital media content in a mobile device | |
| GB2387505A (en) | Method of securely coupling communications devices | |
| US20140079219A1 (en) | System and a method enabling secure transmission of sms | |
| RU2395930C2 (ru) | Последующая реализация функциональности модуля идентификации абонента в защищенном модуле | |
| US20140052992A1 (en) | Response to Queries by Means of the Communication Terminal of a User | |
| US20140040988A1 (en) | Method and System for Data Communication to an Identification Module in a Mobile Radio Terminal | |
| CN112995413A (zh) | 号码信息溯源方法、装置和服务器 | |
| CN115150760A (zh) | 短消息加密传递系统、方法及存储介质 | |
| US20220240095A1 (en) | Quantum-resistant sim card | |
| KR101588662B1 (ko) | 문자 메시지 암호화 방법, 컴퓨팅 장치 및 시스템 | |
| CN114884742B (zh) | 一种基于隐私计算技术的业务数据共享方法及系统 | |
| CN113411347B (zh) | 交易报文的处理方法及处理装置 | |
| KR101090145B1 (ko) | Mo 서비스를 이용하여 이동단말의 전화번호를 획득하는 방법 및 시스템 | |
| CN117915298A (zh) | 卡应用处理方法、装置、设备及存储介质 | |
| KR20070013851A (ko) | 인증 번호를 이용한 단문 메시지 수신 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |