CN115866593A - 增强安全通信方法及装置 - Google Patents
增强安全通信方法及装置 Download PDFInfo
- Publication number
- CN115866593A CN115866593A CN202111114067.4A CN202111114067A CN115866593A CN 115866593 A CN115866593 A CN 115866593A CN 202111114067 A CN202111114067 A CN 202111114067A CN 115866593 A CN115866593 A CN 115866593A
- Authority
- CN
- China
- Prior art keywords
- user
- anchor point
- verification
- biological characteristic
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种增强安全通信方法及装置,属于通信技术领域。由终端执行,包括:向接入锚点发送接入层无线信道密钥协商请求;与所述接入锚点协商接入层无线信道密钥后,向所述接入锚点上报所采集的用户的生物特征信息;接收所述接入锚点返回的验证成功消息,指示所述用户的生物特征信息验证成功。本发明的技术方案能够构建更安全、更可靠的通信系统。
Description
技术领域
本发明涉及网络信息安全技术领域,特别是指一种增强安全通信方法及装置。
背景技术
现有移动通信系统的安全,是通过认证、识别、鉴权及加密、完整性保护等设计来实现。如GSM(Global System for Mobile Communications,全球移动通信系统)/LTE(LongTerm Evolution,长期演进)/5G系统,通过携带临时或永久标识实现对用户的身份认证识别,通过鉴权实现终端对网络以及网络对终端的鉴定,通过加密和完整性保护实现对所需传递信令和数据的安全和完整传输。
在这套安全机制设计中,认证、识别与鉴权步骤在加密前执行,也就意味着在开启加密前所传输的信息内容,是可以通过开放的空中接口获取到明文信息,存在信息泄露的风险;虽然设计了加密和完整性保护的流程,但此处的加密和完整性保护是对信令和业务数据所在的应用层做的,并非是在无线信号传输的物理层所做的,也就存在通过开放的空中接口,将加密后传输的应用层内容通过物理层无线信号捕获技术获取后,进行离线破解的风险;另外,现有系统的加密算法、流程、机制设计比较复杂,例如LTE系统中的分段密钥派生机制,基于终端USIM(Universal Subscriber Identity Module,全球用户识别卡)和网络AuC预存的主密钥K,逐段在接入涉及的不同网元(HSS(Home Subscriber Server,归属签约用户服务器)、MME(Mobility Management Entity,移动性管理实体)、eNB(基站)、UE(User Equipment,用户终端))上,通过设计复杂的算法和交互流程所派生的加密和完整性保护密钥来实现。算法设计复杂、流程机制设计繁琐,且需要两侧均预存主密钥。
综合上述内容,现有移动通信系统存在三个主要问题:一、加密步骤建立滞后;二、加密应用数据易被捕获离线破解;三、加密算法、流程机制设计复杂,需多网元逐段实现算法功能,并且终端和网络都需要预存主密钥。
发明内容
本发明要解决的技术问题是提供一种增强安全通信方法及装置,能够构建更安全、更可靠的通信系统。
为解决上述技术问题,本发明的实施例提供技术方案如下:
一方面,提供一种增强安全通信方法,由终端执行,包括:
向接入锚点发送接入层无线信道密钥协商请求;
与所述接入锚点协商接入层无线信道密钥后,向所述接入锚点上报所采集的用户的生物特征信息;
接收所述接入锚点返回的验证成功消息,指示所述用户的生物特征信息验证成功。
一些实施例中,向所述接入锚点上报所采集的用户的生物特征信息之前,所述方法还包括:
向所述接入锚点发送业务指令,指示进行主叫业务流程处理;
接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
一些实施例中,向所述接入锚点上报所采集的用户的生物特征信息之前,所述方法还包括:
接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
一些实施例中,接收所述接入锚点返回的验证成功消息之后,所述方法还包括:
向所述接入锚点发送业务指令,指示进行被叫业务流程处理。
一些实施例中,与所述接入锚点协商接入层无线信道密钥包括:
与所述接入锚点通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本发明实施例还提供了一种增强安全通信方法,由接入锚点执行,包括:
接收终端的接入层无线信道密钥协商请求;
与所述终端协商接入层无线信道密钥后,接收所述终端上报的用户的生物特征信息;
向业务处理锚点发送携带所述用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;
接收所述业务处理锚点返回的验证成功响应,指示所述用户的生物特征信息验证成功;
建立所述用户与加密无线信道的关联关系,向所述终端返回验证成功消息,指示所述用户的生物特征信息验证成功。
一些实施例中,接收所述终端上报的用户的生物特征信息之前,所述方法还包括:
接收所述终端的业务指令,指示进行主叫业务流程处理;
根据加密无线信道查询与所述用户的关联关系,若无法查到加密无线信道与所述用户的关联关系,向所述终端发送上报请求,指示上报所述用户的生物特征信息。
一些实施例中,向所述终端返回验证成功消息之后,所述方法还包括:
向所述业务处理锚点发送业务发起指令,指示进行主叫业务流程处理。
一些实施例中,接收终端的接入层无线信道密钥协商请求之前,所述方法还包括:
接收所述业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理。
一些实施例中,接收所述终端上报的用户的生物特征信息之前,所述方法还包括:
向所述终端发送上报请求,指示上报所述用户的生物特征信息。
一些实施例中,向所述终端返回验证成功消息之后,所述方法还包括:
接收所述终端的业务指令,指示进行被叫业务流程处理。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
一些实施例中,与所述终端协商接入层无线信道密钥包括:
与所述终端通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
本发明实施例还提供了一种增强安全通信方法,由业务处理锚点执行,包括:
接收接入锚点的携带用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;
判断是否已缓存所述用户的信息,若已缓存所述用户的信息,根据所缓存的用户的信息对所述用户的生物特征信息进行验证;若未缓存所述用户的信息,向验证锚点发送携带所述用户的生物特征信息的验证消息,请求验证所述用户的生物特征信息,接收所述验证锚点返回的验证成功响应,存储所述用户的生物特征信息以及所述接入锚点的信息;
向所述接入锚点返回验证成功响应,指示所述用户的生物特征信息验证成功。
一些实施例中,向所述接入锚点返回验证成功响应之后,所述方法还包括:
接收所述接入锚点的业务发起指令,指示进行主叫业务流程处理。
一些实施例中,接收所述接入锚点的业务发起指令之后,所述方法还包括:
向所述验证锚点发送获取请求,请求获取被叫用户所处的业务处理锚点;
接收所述验证锚点返回的所述被叫用户所处的业务处理锚点;
向所述被叫用户所处的业务处理锚点发送业务发起指令,指示进行被叫业务流程处理。
一些实施例中,接收接入锚点的携带用户的生物特征信息的验证请求之前,所述方法还包括:
接收主叫用户的业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理;
向所述接入锚点发送业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本发明实施例还提供了一种增强安全通信方法,由验证锚点执行,包括:
接收业务处理锚点的携带用户的生物特征信息的验证请求,请求所述验证锚点验证所述用户的生物特征信息;
根据存储的信息对所述用户的生物特征信息进行验证;
验证成功后,向所述业务处理锚点发送验证成功响应,指示所述用户的生物特征信息验证成功。
一些实施例中,接收业务处理锚点的携带用户的生物特征信息的验证请求的步骤之前,所述方法还包括:
接收主叫用户所处的业务处理锚点发送的获取请求,请求获取所述用户所处的业务处理锚点;
向所述主叫用户所处的业务处理锚点返回所述业务处理锚点。
一些实施例中,接收业务处理锚点的携带用户的生物特征信息的验证请求的步骤之前,所述方法还包括:
在用户开户时,存储用户的生物特征信息。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本发明实施例还提供了一种增强安全通信装置,应用于终端,包括收发机和处理器,
所述收发机用于向接入锚点发送接入层无线信道密钥协商请求;与所述接入锚点协商接入层无线信道密钥后,向所述接入锚点上报所采集的用户的生物特征信息;接收所述接入锚点返回的验证成功消息,指示所述用户的生物特征信息验证成功。
一些实施例中,所述收发机还用于向所述接入锚点发送业务指令,指示进行主叫业务流程处理;接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
一些实施例中,所述收发机还用于接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
一些实施例中,所述收发机还用于向所述接入锚点发送业务指令,指示进行被叫业务流程处理。
一些实施例中,所述收发机具体用于与所述接入锚点通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本发明实施例还提供了一种增强安全通信装置,应用于接入锚点,包括收发机和处理器,
所述收发机用于接收终端的接入层无线信道密钥协商请求;与所述终端协商接入层无线信道密钥后,接收所述终端上报的用户的生物特征信息;向业务处理锚点发送携带所述用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;接收所述业务处理锚点返回的验证成功响应,指示所述用户的生物特征信息验证成功;建立所述用户与加密无线信道的关联关系,向所述终端返回验证成功消息,指示所述用户的生物特征信息验证成功。
一些实施例中,所述收发机还用于接收所述终端的业务指令,指示进行主叫业务流程处理;根据加密无线信道查询与所述用户的关联关系,若无法查到加密无线信道与所述用户的关联关系,向所述终端发送上报请求,指示上报所述用户的生物特征信息。
一些实施例中,所述收发机还用于向所述业务处理锚点发送业务发起指令,指示进行主叫业务流程处理。
一些实施例中,所述收发机还用于接收所述业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述收发机还用于向所述终端发送上报请求,指示上报所述用户的生物特征信息。
一些实施例中,所述收发机还用于接收所述终端的业务指令,指示进行被叫业务流程处理。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
一些实施例中,所述收发机具体用于与所述终端通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
本发明实施例还提供了一种增强安全通信装置,应用于业务处理锚点,包括收发机和处理器,
所述收发机用于接收接入锚点的携带用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;
所述处理器用于判断是否已缓存所述用户的信息,若已缓存所述用户的信息,根据所缓存的用户的信息对所述用户的生物特征信息进行验证;
所述收发机用于若未缓存所述用户的信息,向验证锚点发送携带所述用户的生物特征信息的验证消息,请求验证所述用户的生物特征信息,接收所述验证锚点返回的验证成功响应,存储所述用户的生物特征信息以及所述接入锚点的信息;向所述接入锚点返回验证成功响应,指示所述用户的生物特征信息验证成功。
一些实施例中,所述收发机还用于接收所述接入锚点的业务发起指令,指示进行主叫业务流程处理。
一些实施例中,所述收发机还用于向所述验证锚点发送获取请求,请求获取被叫用户所处的业务处理锚点;接收所述验证锚点返回的所述被叫用户所处的业务处理锚点;向所述被叫用户所处的业务处理锚点发送业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述收发机还用于接收主叫用户的业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理;向所述接入锚点发送业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本发明实施例还提供了一种增强安全通信装置,应用于验证锚点,包括收发机和处理器,
所述收发机用于接收业务处理锚点的携带用户的生物特征信息的验证请求,请求所述验证锚点验证所述用户的生物特征信息;
所述处理器用于根据存储的信息对所述用户的生物特征信息进行验证;
所述收发机用于验证成功后,向所述业务处理锚点发送验证成功响应,指示所述用户的生物特征信息验证成功。
一些实施例中,所述收发机还用于接收主叫用户所处的业务处理锚点发送的获取请求,请求获取所述用户所处的业务处理锚点;向所述主叫用户所处的业务处理锚点返回所述业务处理锚点。
一些实施例中,所述处理器还用于在用户开户时,存储用户的生物特征信息。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本发明实施例还提供了一种增强安全通信装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述处理器执行所述程序时实现如上所述的增强安全通信方法。
一些实施例中,增强安全通信装置应用于终端,所述处理器用于向接入锚点发送接入层无线信道密钥协商请求;与所述接入锚点协商接入层无线信道密钥后,向所述接入锚点上报所采集的用户的生物特征信息;接收所述接入锚点返回的验证成功消息,指示所述用户的生物特征信息验证成功。
一些实施例中,所述处理器还用于向所述接入锚点发送业务指令,指示进行主叫业务流程处理;接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
一些实施例中,所述处理器还用于接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
一些实施例中,所述处理器还用于向所述接入锚点发送业务指令,指示进行被叫业务流程处理。
一些实施例中,所述处理器具体用于与所述接入锚点通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
一些实施例中,增强安全通信装置,应用于接入锚点,所述处理器用于接收终端的接入层无线信道密钥协商请求;与所述终端协商接入层无线信道密钥后,接收所述终端上报的用户的生物特征信息;向业务处理锚点发送携带所述用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;接收所述业务处理锚点返回的验证成功响应,指示所述用户的生物特征信息验证成功;建立所述用户与加密无线信道的关联关系,向所述终端返回验证成功消息,指示所述用户的生物特征信息验证成功。
一些实施例中,所述处理器还用于接收所述终端的业务指令,指示进行主叫业务流程处理;根据加密无线信道查询与所述用户的关联关系,若无法查到加密无线信道与所述用户的关联关系,向所述终端发送上报请求,指示上报所述用户的生物特征信息。
一些实施例中,所述处理器还用于向所述业务处理锚点发送业务发起指令,指示进行主叫业务流程处理。
一些实施例中,所述处理器还用于接收所述业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述处理器还用于向所述终端发送上报请求,指示上报所述用户的生物特征信息。
一些实施例中,所述处理器还用于接收所述终端的业务指令,指示进行被叫业务流程处理。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
一些实施例中,所述处理器具体用于与所述终端通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
一些实施例中,增强安全通信装置,应用于业务处理锚点,所述处理器用于接收接入锚点的携带用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;判断是否已缓存所述用户的信息,若已缓存所述用户的信息,根据所缓存的用户的信息对所述用户的生物特征信息进行验证;若未缓存所述用户的信息,向验证锚点发送携带所述用户的生物特征信息的验证消息,请求验证所述用户的生物特征信息,接收所述验证锚点返回的验证成功响应,存储所述用户的生物特征信息以及所述接入锚点的信息;向所述接入锚点返回验证成功响应,指示所述用户的生物特征信息验证成功。
一些实施例中,所述处理器还用于接收所述接入锚点的业务发起指令,指示进行主叫业务流程处理。
一些实施例中,所述处理器还用于向所述验证锚点发送获取请求,请求获取被叫用户所处的业务处理锚点;接收所述验证锚点返回的所述被叫用户所处的业务处理锚点;向所述被叫用户所处的业务处理锚点发送业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述处理器还用于接收主叫用户的业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理;向所述接入锚点发送业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
一些实施例中,增强安全通信装置,应用于验证锚点,所述处理器用于接收业务处理锚点的携带用户的生物特征信息的验证请求,请求所述验证锚点验证所述用户的生物特征信息;根据存储的信息对所述用户的生物特征信息进行验证;验证成功后,向所述业务处理锚点发送验证成功响应,指示所述用户的生物特征信息验证成功。
一些实施例中,所述处理器还用于接收主叫用户所处的业务处理锚点发送的获取请求,请求获取所述用户所处的业务处理锚点;向所述主叫用户所处的业务处理锚点返回所述业务处理锚点。
一些实施例中,所述处理器还用于在用户开户时,存储用户的生物特征信息。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的增强安全通信方法中的步骤。
本发明的实施例具有以下有益效果:
上述方案中,将加密步骤提前到所有数据传输阶段之前,将加密通道建立时间提前,解决了加密通道建立前存在明文交互泄露信息的风险;使用生物特征取代两侧预存的主密钥K,通过使用用户虹膜、指纹、声纹、面部等生物特征的综合元素信息进行身份认证与鉴定识别,终端侧不需要类似预存主密钥信息的机制设计,用户的生物特征信息随身携带,仅需要在开户时在系统侧预留一份;解决了现有系统中需要接入认证所涉及网元都需要实现的复杂加密算法和繁琐的流程机制。
附图说明
图1为EPS密钥层次结构示意图;
图2为控制面协议栈示意图;
图3为用户面协议栈示意图;
图4为本发明实施例接入认证原理图;
图5为本发明实施例接入认证流程图;
图6为本发明实施例主叫业务流程图;
图7为本发明实施例被叫业务流程图;
图8为本发明实施例业务寻址流程图;
图9为本发明实施例增强安全通信装置的结构示意图;
图10为本发明实施例增强安全通信装置的组成示意图。
具体实施方式
为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
生物特征识别(BIOMETRICS)技术是通过计算机与各种传感器和生物统计学原理等高科技手段的密切结合,利用人体固有的生理特性来进行个人身份的鉴定、识别。
生理特征与生俱来,多为先天性的;用来进行身份鉴别的生理特征一般都满足以下几个条件:
第一,普遍性:即必须每个人都具备这种特征。
第二,唯一性:即任何两个人的特征是不一样的。
第三,可测量性:即特征可测量。
第四,稳定性:即特征在一段时间内不改变。
当然,在应用过程中,还要考虑其他的实际因素,比如:识别精度、识别速度、对人体无伤害等等。
现在常用的生物特征有:人脸识别、虹膜识别、指纹识别、声音识别、DNA等。
无线信道特征技术介绍
在无线通信物理层安全研究中,通信双方的信道具有很好的短时互易性,可以从无线信道中提取出相似的信道特征并生成唯一的标识。该技术可以利用无线信道天然的随机性为无线通信系统实时的产生对称密钥,并实现唯一的识别通信双方用户。
无线信道密钥技术,与依赖数学复杂算法的传统密钥生成方式有所不同,该技术通过提取通信双方唯一的信道特征信息作为密钥的数据来源,同时利用无线信道特征易变的特性,可以在短时间内更换密钥,甚至实现“一次一密”功能,其安全性更高,使得破解密钥难度增加。
在通信系统中,相干时间内的无线信道具有短时互易性,通信双方互相发送的导频信号经历了相同的信道衰落,所以测量得到的信道特征极为相似,从信道特征中提取信道状态信息,进而生成会话密钥具有较高可行性。第三方窃听者监听到的导频信号由于经历了不同的信道衰减,所以无法提取与合法接收者相同的信道特征。
无线信道特征技术主要通过信道测量、信道估计、量化编码、信息调和及隐私放大等步骤产生协商密钥。
以LTE系统为例,相关标准对系统安全架构进行了完整描述和介绍,其中核心的内容为AKA(Authentication and key agreement)、EPS密钥层次结构及密钥在网络与终端侧的分配与派生方案。
密钥分层结构如图1所示,其中,UE为终端,USIM为全球用户身份模块,HSS为归属签约用户服务器,MME为移动性管理实体,eNB为基站。LTE系统中的分层密钥派生机制,基于终端USIM和网络AuC预存的主密钥K,逐段在接入涉及的不同网元(HSS、MME、eNB、UE)上,通过设计复杂的算法(SNOW 3G、AES、ZUC)和交互流程所派生的加密和完整性保护密钥来实现。算法设计复杂、流程机制设计繁琐,且需要两侧均预存主密钥。
相关标准中对LTE无线空口的用户面和控制面协议栈相关描述如图2所示,LTE系统对控制面的安全机制,是通过图2中PDCP(分组数据汇聚协议)对RRC(无线资源控制)、NAS(非接入层)控制面信令提供加密和完整性保护操作来实现;对用户面的安全机制,是通过图3中PDCP对上层的用户面数据提供加密和完整性保护操作来实现。这些加密和完整性保护措施都在上层实现,而非基于PHY的物理层实现。
在启动加密步骤(5a.Security)之前,存在部分未加密的信令消息通过空中接口传输。
从以上LTE系统的安全机制设计可以看出,现有移动通信系统所存在的三个主要问题:一、加密步骤建立滞后;二、仅对应用层(信令面和用户面)数据进行加密,易被捕获离线破解;三、加密算法、流程机制设计复杂,需多网元逐段实现算法功能,并且终端和网络都需要预存主密钥。
本发明实施例提供一种增强安全通信方法及装置,能够构建更安全、更可靠的通信系统。
本发明实施例提供一种增强安全通信方法,由终端执行,包括:
向接入锚点发送接入层无线信道密钥协商请求;
与所述接入锚点协商接入层无线信道密钥后,向所述接入锚点上报所采集的用户的生物特征信息;
接收所述接入锚点返回的验证成功消息,指示所述用户的生物特征信息验证成功。
一些实施例中,向所述接入锚点上报所采集的用户的生物特征信息之前,所述方法还包括:
向所述接入锚点发送业务指令,指示进行主叫业务流程处理;
接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
一些实施例中,向所述接入锚点上报所采集的用户的生物特征信息之前,所述方法还包括:
接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
一些实施例中,接收所述接入锚点返回的验证成功消息之后,所述方法还包括:
向所述接入锚点发送业务指令,指示进行被叫业务流程处理。
一些实施例中,与所述接入锚点协商接入层无线信道密钥包括:
与所述接入锚点通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本发明实施例还提供了一种增强安全通信方法,由接入锚点执行,包括:
接收终端的接入层无线信道密钥协商请求;
与所述终端协商接入层无线信道密钥后,接收所述终端上报的用户的生物特征信息;
向业务处理锚点发送携带所述用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;
接收所述业务处理锚点返回的验证成功响应,指示所述用户的生物特征信息验证成功;
建立所述用户与加密无线信道的关联关系,向所述终端返回验证成功消息,指示所述用户的生物特征信息验证成功。
一些实施例中,接收所述终端上报的用户的生物特征信息之前,所述方法还包括:
接收所述终端的业务指令,指示进行主叫业务流程处理;
根据加密无线信道查询与所述用户的关联关系,若无法查到加密无线信道与所述用户的关联关系,向所述终端发送上报请求,指示上报所述用户的生物特征信息。
一些实施例中,向所述终端返回验证成功消息之后,所述方法还包括:
向所述业务处理锚点发送业务发起指令,指示进行主叫业务流程处理。
一些实施例中,接收终端的接入层无线信道密钥协商请求之前,所述方法还包括:
接收所述业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理。
一些实施例中,接收所述终端上报的用户的生物特征信息之前,所述方法还包括:
向所述终端发送上报请求,指示上报所述用户的生物特征信息。
一些实施例中,向所述终端返回验证成功消息之后,所述方法还包括:
接收所述终端的业务指令,指示进行被叫业务流程处理。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
一些实施例中,与所述终端协商接入层无线信道密钥包括:
与所述终端通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
本发明实施例还提供了一种增强安全通信方法,由业务处理锚点执行,包括:
接收接入锚点的携带用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;
判断是否已缓存所述用户的信息,若已缓存所述用户的信息,根据所缓存的用户的信息对所述用户的生物特征信息进行验证;若未缓存所述用户的信息,向验证锚点发送携带所述用户的生物特征信息的验证消息,请求验证所述用户的生物特征信息,接收所述验证锚点返回的验证成功响应,存储所述用户的生物特征信息以及所述接入锚点的信息;
向所述接入锚点返回验证成功响应,指示所述用户的生物特征信息验证成功。
一些实施例中,向所述接入锚点返回验证成功响应之后,所述方法还包括:
接收所述接入锚点的业务发起指令,指示进行主叫业务流程处理。
一些实施例中,接收所述接入锚点的业务发起指令之后,所述方法还包括:
向所述验证锚点发送获取请求,请求获取被叫用户所处的业务处理锚点;
接收所述验证锚点返回的所述被叫用户所处的业务处理锚点;
向所述被叫用户所处的业务处理锚点发送业务发起指令,指示进行被叫业务流程处理。
一些实施例中,接收接入锚点的携带用户的生物特征信息的验证请求之前,所述方法还包括:
接收主叫用户的业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理;
向所述接入锚点发送业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本发明实施例还提供了一种增强安全通信方法,由验证锚点执行,包括:
接收业务处理锚点的携带用户的生物特征信息的验证请求,请求所述验证锚点验证所述用户的生物特征信息;
根据存储的信息对所述用户的生物特征信息进行验证;
验证成功后,向所述业务处理锚点发送验证成功响应,指示所述用户的生物特征信息验证成功。
一些实施例中,接收业务处理锚点的携带用户的生物特征信息的验证请求的步骤之前,所述方法还包括:
接收主叫用户所处的业务处理锚点发送的获取请求,请求获取所述用户所处的业务处理锚点;
向所述主叫用户所处的业务处理锚点返回所述业务处理锚点。
一些实施例中,接收业务处理锚点的携带用户的生物特征信息的验证请求的步骤之前,所述方法还包括:
在用户开户时,存储用户的生物特征信息。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本实施例通过以下方案实现增强安全通信:
一、将加密步骤提前到所有数据传输阶段之前,即先通过无线信道特征技术提前协商终端与网络接入锚点间的密钥,预先建立加密无线管道。无线信道特征技术可确保两侧在协商密钥时,不会通过无线空口泄露两侧密钥信息,以提高本实施例无线管道的安全性;同时,无线信道的互异性特征,也能确保每部终端与网络接入锚点间的密钥唯一性,确保每部终端与网络接入锚点间都是一个不同的加密管道。
二、将加密处理下沉到物理层,即通过基于对无线信道特征的测量、估计、量化、调和及隐私放大后,所产生的物理层密钥建立起的加密管道来传输数据,可以把原有系统设计中在上层做的加密下沉到物理层来实现;同时,无线信道时变性特征,可以提高加密通道密钥更新频次,更能确保所传输数据的安全性,增大通过无线空口捕获进行离线破解的难度。
三、使用生物特征取代两侧预存的主密钥K,原有系统中需要在终端和网络侧分别预存共同密钥,而本实施例使用生物特征来取代原有预主密钥K。本实施例需要用户在开户时,在系统中留存具备自身唯一性的相关各类生物特征信息,而不需要再像现有系统一样,需要在接入系统的终端中预存在系统开户时的预主密钥K;即每次用户通过终端接入系统,通过终端采集用户生物特征后,与系统中预留的生物特征信息进行比对,如匹配则允许用户接入,如不匹配则拒绝用户接入。另外,使用生物特征取代预主密钥的机制,也可以降低现有系统对密钥分层及分配、派生所需要的相关网元的处理复杂度,并且不需要每个涉及网元都需要实现的加密算法功能。本实施例仅需要终端和网络接入锚点实现基于无线信道物理层特征技术的密钥协商能力。
本实施例基于无线信道特征技术及生物特征技术对现有移动通信系统进行了全面的改造,构建了一个更安全、更可靠的通信系统。
本实施例的增强安全通信系统的接入认证部分主要由终端UE、接入锚点与验证锚点组成。如图4所示,其中终端侧负责触发接入层无线信道密钥协商请求,在与接入锚点通过信道测量、信道估计、量化编码、信息调和及隐私放大等步骤后产生协商密钥,通过协商密钥对后续基于无线信号交互的信息进行加密保护。
在两侧协商成功密钥后,终端向接入锚点上报经过终端采集的用户生物特征信息,并经由接入锚点向验证锚点发送验证请求;验证锚点在用户开户时,已留存具备用户自身唯一性的相关各类生物特征信息,验证锚点根据自身所存信息对接入锚点发送的用户生物特征信息进行验证、处理、答复;接入锚点在收到验证锚点的答复后,建立该用户与加密无线信道的关联关系后,向终端发送验证成功响应。
此后,经过验证的终端可进行后续的业务操作。
一具体实施例中,接入认证的具体流程如图5所示:
在开户阶段,验证锚点在用户开户时预存用户相关生物特征信息(人脸识别、虹膜识别、指纹识别、声音识别、DNA等。)
建立加密信道阶段,终端触发接入层无线信道密钥协商请求,在与接入锚点通过信道测量、信道估计、量化编码、信息调和及隐私放大等步骤后产生协商密钥,通过协商密钥对后续基于无线信号交互的信息进行加密保护。
接入认证阶段,终端向接入锚点上报经过终端采集的用户生物特征信息,接入锚点向业务处理锚点发送验证请求。业务处理锚点判断是否已缓存用户相关信息,如已缓存用户相关信息,则业务处理锚点根据自身所缓存信息对接入锚点发送的用户生物特征信息进行验证、处理、答复,接入锚点在收到业务处理锚点的答复后,建立该用户与加密无线信道的关联关系后,向终端发送验证成功响应,终端完成接入认证过程。如业务处理锚点判断未缓存用户相关信息,则将收到的用户生物特征信息发送给验证锚点,验证锚点根据自身所存信息对业务处理锚点发送的用户生物特征信息进行验证、处理、答复,并缓存用户业务处理锚点信息;业务处理锚点在收到验证锚点的答复后缓存用户(生物特征及接入锚点)相关信息,并将验证成功消息发送给接入锚点,接入锚点在收到业务处理锚点的答复后,建立该用户与加密无线信道的关联关系后,向终端发送验证成功响应,终端完成接入认证过程。
本实施例中,主叫类业务具体流程如图6所示,终端触发接入层无线信道密钥更新请求,在与接入锚点通过信道测量、信道估计、量化编码、信息调和及隐私放大等步骤后产生协商密钥,通过协商密钥对后续基于无线信号交互的信息进行加密保护。
在接入层无线信道密钥更新成功后,终端向接入锚点发送发起业务相关指令,接入锚点根据加密无线信道查询与用户的关联关系,如果能查到无线信道与用户的关联关系,则将发起业务相关指令发送给业务处理锚点进行主叫业务流程处理。
如果无法查到无线信道与用户的关联关系,则要求终端上报采集到的用户生物特征信息,并向业务处理锚点发送验证请求,业务处理锚点判断是否已缓存用户相关信息,如已缓存用户相关信息,则业务处理锚点根据自身所缓存信息对接入锚点发送的用户生物特征信息进行验证、处理、答复,接入锚点在收到业务处理锚点的答复后,建立该用户与加密无线信道的关联关系后,再将发起业务相关指令发送给业务处理锚点进行主叫业务流程处理。
如业务处理锚点判断未缓存用户相关信息,则将收到的用户生物特征信息发送给验证锚点,验证锚点根据自身所存信息对业务处理锚点发送的用户生物特征信息进行验证、处理、答复;业务处理锚点在收到验证锚点的答复后缓存用户(生物特征及接入锚点)相关信息,并将验证成功消息发送给接入锚点,接入锚点在收到业务处理锚点的答复后,建立该用户与加密无线信道的关联关系后,再将发起业务相关指令发送给业务处理锚点进行主叫业务流程处理。
本实施例中,被叫类业务具体流程如图7所示,业务处理锚点接收到被叫业务流程后,从之前被叫用户接入认证阶段,缓存在业务处理锚点上的用户相关信息中获取到用户的接入锚点,并将发起业务相关指令消息发送给被叫用户的接入锚点;接入锚点根据被叫用户接入认证阶段,在该节点上创建的用户与加密无线信道关联关系获取用户的无线信道信息,并通过无线信道向终端发送接入层无线信道密钥更新请求,终端与接入锚点通过信道测量、信道估计、量化编码、信息调和及隐私放大等步骤后成功更新无线信道密钥;之后接入锚点要求终端上报用户生物特征信息,并依次向业务处理锚点和验证锚点进行被叫用户身份的二次验证,以防止用户的仿冒风险。
在完成上述验证后,即可建立起用户的被叫业务流程。
本实施例中,业务寻址具体流程如图8所示,被叫用户接入认证后在验证锚点上已缓存被叫用户所接入的业务处理锚点信息,则业务寻址时,主叫业务处理锚点向验证锚点获取被叫用户所处业务处理锚点,并将发起业务相关指令发送给被叫业务处理锚点。主叫业务侧的相关流程与主叫业务流程中所介绍的步骤相同;被叫业务侧的相关流程与被叫业务流程中所介绍的步骤相同,可参考前述两节介绍部分,此处不再赘述。
本实施例提出一种基于物理层加密方式建立安全隧道从而保证用户生物信息安全传递,从而达到利用用户生物信息对用户进行远程认证的能力。相比于现有基于用户生物信息的认证方法,解决了用户生物信息传递的安全难题,突破了生物信息本地验证的限制。
本发明实施例还提供了一种增强安全通信装置,应用于终端,如图9所示,包括收发机11和处理器12,
所述收发机11用于向接入锚点发送接入层无线信道密钥协商请求;与所述接入锚点协商接入层无线信道密钥后,向所述接入锚点上报所采集的用户的生物特征信息;接收所述接入锚点返回的验证成功消息,指示所述用户的生物特征信息验证成功。
一些实施例中,所述收发机11还用于向所述接入锚点发送业务指令,指示进行主叫业务流程处理;接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
一些实施例中,所述收发机11还用于接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
一些实施例中,所述收发机11还用于向所述接入锚点发送业务指令,指示进行被叫业务流程处理。
一些实施例中,所述收发机11具体用于与所述接入锚点通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本发明实施例还提供了一种增强安全通信装置,应用于接入锚点,如图9所示,包括收发机11和处理器12,
所述收发机11用于接收终端的接入层无线信道密钥协商请求;与所述终端协商接入层无线信道密钥后,接收所述终端上报的用户的生物特征信息;向业务处理锚点发送携带所述用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;接收所述业务处理锚点返回的验证成功响应,指示所述用户的生物特征信息验证成功;建立所述用户与加密无线信道的关联关系,向所述终端返回验证成功消息,指示所述用户的生物特征信息验证成功。
一些实施例中,所述收发机11还用于接收所述终端的业务指令,指示进行主叫业务流程处理;根据加密无线信道查询与所述用户的关联关系,若无法查到加密无线信道与所述用户的关联关系,向所述终端发送上报请求,指示上报所述用户的生物特征信息。
一些实施例中,所述收发机11还用于向所述业务处理锚点发送业务发起指令,指示进行主叫业务流程处理。
一些实施例中,所述收发机11还用于接收所述业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述收发机11还用于向所述终端发送上报请求,指示上报所述用户的生物特征信息。
一些实施例中,所述收发机11还用于接收所述终端的业务指令,指示进行被叫业务流程处理。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
一些实施例中,所述收发机11具体用于与所述终端通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
本发明实施例还提供了一种增强安全通信装置,应用于业务处理锚点,如图9所示,包括收发机11和处理器12,
所述收发机11用于接收接入锚点的携带用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;
所述处理器12用于判断是否已缓存所述用户的信息,若已缓存所述用户的信息,根据所缓存的用户的信息对所述用户的生物特征信息进行验证;
所述收发机11用于若未缓存所述用户的信息,向验证锚点发送携带所述用户的生物特征信息的验证消息,请求验证所述用户的生物特征信息,接收所述验证锚点返回的验证成功响应,存储所述用户的生物特征信息以及所述接入锚点的信息;向所述接入锚点返回验证成功响应,指示所述用户的生物特征信息验证成功。
一些实施例中,所述收发机11还用于接收所述接入锚点的业务发起指令,指示进行主叫业务流程处理。
一些实施例中,所述收发机11还用于向所述验证锚点发送获取请求,请求获取被叫用户所处的业务处理锚点;接收所述验证锚点返回的所述被叫用户所处的业务处理锚点;向所述被叫用户所处的业务处理锚点发送业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述收发机11还用于接收主叫用户的业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理;向所述接入锚点发送业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本发明实施例还提供了一种增强安全通信装置,应用于验证锚点,如图9所示,包括收发机11和处理器12,
所述收发机11用于接收业务处理锚点的携带用户的生物特征信息的验证请求,请求所述验证锚点验证所述用户的生物特征信息;
所述处理器12用于根据存储的信息对所述用户的生物特征信息进行验证;
所述收发机11用于验证成功后,向所述业务处理锚点发送验证成功响应,指示所述用户的生物特征信息验证成功。
一些实施例中,所述收发机11还用于接收主叫用户所处的业务处理锚点发送的获取请求,请求获取所述用户所处的业务处理锚点;向所述主叫用户所处的业务处理锚点返回所述业务处理锚点。
一些实施例中,所述处理器12还用于在用户开户时,存储用户的生物特征信息。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本发明实施例还提供了一种增强安全通信装置,如图10所示,包括存储器21、处理器22及存储在所述存储器21上并可在所述处理器22上运行的计算机程序;所述处理器22执行所述程序时实现如上所述的增强安全通信方法。
一些实施例中,增强安全通信装置应用于终端,所述处理器22用于向接入锚点发送接入层无线信道密钥协商请求;与所述接入锚点协商接入层无线信道密钥后,向所述接入锚点上报所采集的用户的生物特征信息;接收所述接入锚点返回的验证成功消息,指示所述用户的生物特征信息验证成功。
一些实施例中,所述处理器22还用于向所述接入锚点发送业务指令,指示进行主叫业务流程处理;接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
一些实施例中,所述处理器22还用于接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
一些实施例中,所述处理器22还用于向所述接入锚点发送业务指令,指示进行被叫业务流程处理。
一些实施例中,所述处理器22具体用于与所述接入锚点通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
一些实施例中,增强安全通信装置,应用于接入锚点,所述处理器22用于接收终端的接入层无线信道密钥协商请求;与所述终端协商接入层无线信道密钥后,接收所述终端上报的用户的生物特征信息;向业务处理锚点发送携带所述用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;接收所述业务处理锚点返回的验证成功响应,指示所述用户的生物特征信息验证成功;建立所述用户与加密无线信道的关联关系,向所述终端返回验证成功消息,指示所述用户的生物特征信息验证成功。
一些实施例中,所述处理器22还用于接收所述终端的业务指令,指示进行主叫业务流程处理;根据加密无线信道查询与所述用户的关联关系,若无法查到加密无线信道与所述用户的关联关系,向所述终端发送上报请求,指示上报所述用户的生物特征信息。
一些实施例中,所述处理器22还用于向所述业务处理锚点发送业务发起指令,指示进行主叫业务流程处理。
一些实施例中,所述处理器22还用于接收所述业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述处理器22还用于向所述终端发送上报请求,指示上报所述用户的生物特征信息。
一些实施例中,所述处理器22还用于接收所述终端的业务指令,指示进行被叫业务流程处理。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
一些实施例中,所述处理器22具体用于与所述终端通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
一些实施例中,增强安全通信装置,应用于业务处理锚点,所述处理器22用于接收接入锚点的携带用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;判断是否已缓存所述用户的信息,若已缓存所述用户的信息,根据所缓存的用户的信息对所述用户的生物特征信息进行验证;若未缓存所述用户的信息,向验证锚点发送携带所述用户的生物特征信息的验证消息,请求验证所述用户的生物特征信息,接收所述验证锚点返回的验证成功响应,存储所述用户的生物特征信息以及所述接入锚点的信息;向所述接入锚点返回验证成功响应,指示所述用户的生物特征信息验证成功。
一些实施例中,所述处理器22还用于接收所述接入锚点的业务发起指令,指示进行主叫业务流程处理。
一些实施例中,所述处理器22还用于向所述验证锚点发送获取请求,请求获取被叫用户所处的业务处理锚点;接收所述验证锚点返回的所述被叫用户所处的业务处理锚点;向所述被叫用户所处的业务处理锚点发送业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述处理器22还用于接收主叫用户的业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理;向所述接入锚点发送业务发起指令,指示进行被叫业务流程处理。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
一些实施例中,增强安全通信装置,应用于验证锚点,所述处理器22用于接收业务处理锚点的携带用户的生物特征信息的验证请求,请求所述验证锚点验证所述用户的生物特征信息;根据存储的信息对所述用户的生物特征信息进行验证;验证成功后,向所述业务处理锚点发送验证成功响应,指示所述用户的生物特征信息验证成功。
一些实施例中,所述处理器22还用于接收主叫用户所处的业务处理锚点发送的获取请求,请求获取所述用户所处的业务处理锚点;向所述主叫用户所处的业务处理锚点返回所述业务处理锚点。
一些实施例中,所述处理器22还用于在用户开户时,存储用户的生物特征信息。
一些实施例中,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的增强安全通信方法中的步骤。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储待检测终端设备或任何其他非传输介质,可用于存储可以被计算待检测终端设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (29)
1.一种增强安全通信方法,其特征在于,由终端执行,包括:
向接入锚点发送接入层无线信道密钥协商请求;
与所述接入锚点协商接入层无线信道密钥后,向所述接入锚点上报所采集的用户的生物特征信息;
接收所述接入锚点返回的验证成功消息,指示所述用户的生物特征信息验证成功。
2.根据权利要求1所述的增强安全通信方法,其特征在于,向所述接入锚点上报所采集的用户的生物特征信息之前,所述方法还包括:
向所述接入锚点发送业务指令,指示进行主叫业务流程处理;
接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
3.根据权利要求1所述的增强安全通信方法,其特征在于,向所述接入锚点上报所采集的用户的生物特征信息之前,所述方法还包括:
接收所述接入锚点的上报请求,指示上报用户的生物特征信息。
4.根据权利要求3所述的增强安全通信方法,其特征在于,接收所述接入锚点返回的验证成功消息之后,所述方法还包括:
向所述接入锚点发送业务指令,指示进行被叫业务流程处理。
5.根据权利要求1所述的增强安全通信方法,其特征在于,与所述接入锚点协商接入层无线信道密钥包括:
与所述接入锚点通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
6.根据权利要求1所述的增强安全通信方法,其特征在于,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
7.一种增强安全通信方法,其特征在于,由接入锚点执行,包括:
接收终端的接入层无线信道密钥协商请求;
与所述终端协商接入层无线信道密钥后,接收所述终端上报的用户的生物特征信息;
向业务处理锚点发送携带所述用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;
接收所述业务处理锚点返回的验证成功响应,指示所述用户的生物特征信息验证成功;
建立所述用户与加密无线信道的关联关系,向所述终端返回验证成功消息,指示所述用户的生物特征信息验证成功。
8.根据权利要求7所述的增强安全通信方法,其特征在于,接收所述终端上报的用户的生物特征信息之前,所述方法还包括:
接收所述终端的业务指令,指示进行主叫业务流程处理;
根据加密无线信道查询与所述用户的关联关系,若无法查到加密无线信道与所述用户的关联关系,向所述终端发送上报请求,指示上报所述用户的生物特征信息。
9.根据权利要求8所述的增强安全通信方法,其特征在于,向所述终端返回验证成功消息之后,所述方法还包括:
向所述业务处理锚点发送业务发起指令,指示进行主叫业务流程处理。
10.根据权利要求7所述的增强安全通信方法,其特征在于,接收终端的接入层无线信道密钥协商请求之前,所述方法还包括:
接收所述业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理。
11.根据权利要求10所述的增强安全通信方法,其特征在于,接收所述终端上报的用户的生物特征信息之前,所述方法还包括:
向所述终端发送上报请求,指示上报所述用户的生物特征信息。
12.根据权利要求10所述的增强安全通信方法,其特征在于,向所述终端返回验证成功消息之后,所述方法还包括:
接收所述终端的业务指令,指示进行被叫业务流程处理。
13.根据权利要求7所述的增强安全通信方法,其特征在于,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
14.根据权利要求7所述的增强安全通信方法,其特征在于,与所述终端协商接入层无线信道密钥包括:
与所述终端通过信道测量、信道估计、量化编码、信息调和以及隐私放大步骤协商密钥。
15.一种增强安全通信方法,其特征在于,由业务处理锚点执行,包括:
接收接入锚点的携带用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;
判断是否已缓存所述用户的信息,若已缓存所述用户的信息,根据所缓存的用户的信息对所述用户的生物特征信息进行验证;若未缓存所述用户的信息,向验证锚点发送携带所述用户的生物特征信息的验证消息,请求验证所述用户的生物特征信息,接收所述验证锚点返回的验证成功响应,存储所述用户的生物特征信息以及所述接入锚点的信息;
向所述接入锚点返回验证成功响应,指示所述用户的生物特征信息验证成功。
16.根据权利要求15所述的增强安全通信方法,其特征在于,向所述接入锚点返回验证成功响应之后,所述方法还包括:
接收所述接入锚点的业务发起指令,指示进行主叫业务流程处理。
17.根据权利要求16所述的增强安全通信方法,其特征在于,接收所述接入锚点的业务发起指令之后,所述方法还包括:
向所述验证锚点发送获取请求,请求获取被叫用户所处的业务处理锚点;
接收所述验证锚点返回的所述被叫用户所处的业务处理锚点;
向所述被叫用户所处的业务处理锚点发送业务发起指令,指示进行被叫业务流程处理。
18.根据权利要求15所述的增强安全通信方法,其特征在于,接收接入锚点的携带用户的生物特征信息的验证请求之前,所述方法还包括:
接收主叫用户的业务处理锚点发送的业务发起指令,指示进行被叫业务流程处理;
向所述接入锚点发送业务发起指令,指示进行被叫业务流程处理。
19.根据权利要求15所述的增强安全通信方法,其特征在于,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
20.一种增强安全通信方法,其特征在于,由验证锚点执行,包括:
接收业务处理锚点的携带用户的生物特征信息的验证请求,请求所述验证锚点验证所述用户的生物特征信息;
根据存储的信息对所述用户的生物特征信息进行验证;
验证成功后,向所述业务处理锚点发送验证成功响应,指示所述用户的生物特征信息验证成功。
21.根据权利要求20所述的增强安全通信方法,其特征在于,接收业务处理锚点的携带用户的生物特征信息的验证请求的步骤之前,所述方法还包括:
接收主叫用户所处的业务处理锚点发送的获取请求,请求获取所述用户所处的业务处理锚点;
向所述主叫用户所处的业务处理锚点返回所述业务处理锚点。
22.根据权利要求20所述的增强安全通信方法,其特征在于,接收业务处理锚点的携带用户的生物特征信息的验证请求的步骤之前,所述方法还包括:
在用户开户时,存储用户的生物特征信息。
23.根据权利要求20所述的增强安全通信方法,其特征在于,所述用户的生物特征信息包括以下至少一项:面部特征、虹膜、指纹和声纹。
24.一种增强安全通信装置,其特征在于,应用于终端,包括收发机和处理器,
所述收发机用于向接入锚点发送接入层无线信道密钥协商请求;与所述接入锚点协商接入层无线信道密钥后,向所述接入锚点上报所采集的用户的生物特征信息;接收所述接入锚点返回的验证成功消息,指示所述用户的生物特征信息验证成功。
25.一种增强安全通信装置,其特征在于,应用于接入锚点,包括收发机和处理器,
所述收发机用于接收终端的接入层无线信道密钥协商请求;与所述终端协商接入层无线信道密钥后,接收所述终端上报的用户的生物特征信息;向业务处理锚点发送携带所述用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;接收所述业务处理锚点返回的验证成功响应,指示所述用户的生物特征信息验证成功;建立所述用户与加密无线信道的关联关系,向所述终端返回验证成功消息,指示所述用户的生物特征信息验证成功。
26.一种增强安全通信装置,其特征在于,应用于业务处理锚点,包括收发机和处理器,
所述收发机用于接收接入锚点的携带用户的生物特征信息的验证请求,请求验证所述用户的生物特征信息;
所述处理器用于判断是否已缓存所述用户的信息,若已缓存所述用户的信息,根据所缓存的用户的信息对所述用户的生物特征信息进行验证;
所述收发机用于若未缓存所述用户的信息,向验证锚点发送携带所述用户的生物特征信息的验证消息,请求验证所述用户的生物特征信息,接收所述验证锚点返回的验证成功响应,存储所述用户的生物特征信息以及所述接入锚点的信息;向所述接入锚点返回验证成功响应,指示所述用户的生物特征信息验证成功。
27.一种增强安全通信装置,其特征在于,应用于验证锚点,包括收发机和处理器,
所述收发机用于接收业务处理锚点的携带用户的生物特征信息的验证请求,请求所述验证锚点验证所述用户的生物特征信息;
所述处理器用于根据存储的信息对所述用户的生物特征信息进行验证;
所述收发机用于验证成功后,向所述业务处理锚点发送验证成功响应,指示所述用户的生物特征信息验证成功。
28.一种增强安全通信装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其特征在于,所述处理器执行所述程序时实现如权利要求1-23中任一项所述的增强安全通信方法。
29.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-23中任一项所述的增强安全通信方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111114067.4A CN115866593A (zh) | 2021-09-23 | 2021-09-23 | 增强安全通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111114067.4A CN115866593A (zh) | 2021-09-23 | 2021-09-23 | 增强安全通信方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115866593A true CN115866593A (zh) | 2023-03-28 |
Family
ID=85652958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111114067.4A Pending CN115866593A (zh) | 2021-09-23 | 2021-09-23 | 增强安全通信方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115866593A (zh) |
-
2021
- 2021-09-23 CN CN202111114067.4A patent/CN115866593A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108781366B (zh) | 用于5g技术的认证机制 | |
| RU2480925C2 (ru) | Генерация криптографического ключа | |
| KR100546916B1 (ko) | 이동 단말기 인증 방법 | |
| WO2019019736A1 (zh) | 安全实现方法、相关装置以及系统 | |
| US11044084B2 (en) | Method for unified network and service authentication based on ID-based cryptography | |
| US9668139B2 (en) | Secure negotiation of authentication capabilities | |
| CN110192381B (zh) | 密钥的传输方法及设备 | |
| CN105828332B (zh) | 一种无线局域网认证机制的改进方法 | |
| US10588015B2 (en) | Terminal authenticating method, apparatus, and system | |
| US9571475B2 (en) | Call encryption systems and methods | |
| US20110113250A1 (en) | Security integration between a wireless and a wired network using a wireless gateway proxy | |
| CN108353279B (zh) | 一种认证方法和认证系统 | |
| CN110049492A (zh) | 异构网络的统一认证框架 | |
| RU2015143914A (ru) | Способ и устройство для связывания аутентификации абонента и аутентификации устройства в системах связи | |
| EP2912815A1 (en) | Method and apparatus for securing a connection in a communications network | |
| KR102425273B1 (ko) | 크기 제약된 인증 프로토콜들에서의 보안 연결을 보장하기 위한 방법 및 장치들 | |
| CN109496412A (zh) | 使用隐私识别码的验证 | |
| CN108737431B (zh) | IoT场景下基于混淆的分等级分布式认证方法、装置及系统 | |
| CN109561431B (zh) | 基于多口令身份鉴别的wlan接入访问控制系统及方法 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| CN115022850A (zh) | 一种d2d通信的认证方法、装置、系统、电子设备及介质 | |
| CN105516168A (zh) | 一种脱机虹膜认证设备和方法 | |
| US10671717B2 (en) | Communication device, communication method and computer program | |
| US10834063B2 (en) | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel | |
| CN115866593A (zh) | 增强安全通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |