CN1783777B - 固定通信安全、数据加密方法和系统及固定终端鉴权方法 - Google Patents
固定通信安全、数据加密方法和系统及固定终端鉴权方法 Download PDFInfo
- Publication number
- CN1783777B CN1783777B CN 200410101016 CN200410101016A CN1783777B CN 1783777 B CN1783777 B CN 1783777B CN 200410101016 CN200410101016 CN 200410101016 CN 200410101016 A CN200410101016 A CN 200410101016A CN 1783777 B CN1783777 B CN 1783777B
- Authority
- CN
- China
- Prior art keywords
- fixed terminal
- data
- random number
- communication
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明涉及固定通信,尤其涉及固定通信安全方法、固定终端安全通信方法、固定通信数据加密方法和系统。通过在网络侧设置安全中心,在固定终端上设置安全管理模块,二者保存相同的根密钥,固定终端在初始化时,由安全中心向其返回一随机数,网络侧和固定终端分别利用该随机数和根密钥生成一致的通信密钥并保存,网络侧将通信密钥发送给固定终端的通信方,这样,在通信时,用通信密钥加/解密数据以保证安全。
Description
技术领域
本发明涉及固定通信,尤其涉及固定通信安全方法、固定终端安全通信方法、固定通信数据加密方法和系统。
背景技术
目前,固定网络运营商开展了一种固定短消息业务,按照该业务要求,用户在网络上开通固定短消息业务之后,只要将自己的固定终端更换为可以收发短消息的终端,就可以通过固定终端收发短消息了。由于固定短消息资费便宜,因此,使得固定短消息业务占据了一定的资费优势,另外,由于固定网络的带宽可以很容易的增加,因此还可以基于该短消息开发一些丰富的应用。但是,在固定短消息业务推广过程中,由于短消息的私密性,使得用户对固定短消息的安全性感到担忧,这种担忧也影响了固定短消息业务的开展。比如,在同一个办公室里,用户A和用户B都开通了短消息,A和B也都有各自的短消息终端,这样,如果用户B想偷窥用户A的短消息的话,用户B只需要将自己的话机接入到用户A的用户线上即可。
以上的缺陷显然不利于短消息的保密,实际当中,还没有任何技术措施解决这个问题,用户因担心短消息泄密而不敢使用固定终端接收短消息,很大程度上影响了短消息业务的开展,对于其他数据业务,加密措施的缺乏也是影响其发展的障碍。
发明内容
本发明通过针对网络侧根据固定终端号码设置安全密钥,在用户终端对应的设置相应的安全密钥即根密钥,利用根据根密钥生成通信密钥和验证密钥,通过在使用通信密钥和验证密钥来保障数据的安全性、完整性和通过鉴权保证通信方的合法性,以解决固定通信的安全问题,基于以上构思,本发明提供一种固定通信安全方法、固定终端安全通信方法、固定通信数据加密方法和系统,以及固定终端鉴权方法。
一种固定通信安全方法,包括下列步骤:
a、在网络侧设置固定安全中心,所述固定安全中心保存每一个签约的固定终端号码及其对应的根密钥;在固定终端上设置安全管理模块,所述安全管理模块中保存所述根密钥;
b、固定安全中心将产生的随机数发送给固定终端,或固定终端将产生的随机数发送给固定安全中心;固定安全中心用该随机数和该固定终端号码对应的根密钥生成第一通信密钥,把该第一通信密钥发给固定终端的端局设备;固定终端在安全管理模块中用该随机数和自己保存的根密钥生成第二通信密钥;
c、所述端局设备向固定终端发送数据或从固定终端接收数据时,用所述第一通信密钥加密发送给固定终端的数据或解密接收自固定终端的数据;固定终端向端局设备发送数据或从所述端局设备接收数据时,用所述第二通信密钥加密发送给端局设备的数据或解密接收自端局设备的数据。
步骤b进一步包括:固定安全中心用所述随机数和所述该固定终端号码对应的根密钥生成第一验证密钥并发送给固定终端的端局设备,固定终端用所述随机数和自己保存的根密钥生成第二验证密钥;
步骤c进一步包括:所述端局设备或固定终端在发送加密数据时,根据第一验证密钥或第二验证密钥,对数据密文进行摘要运算,生成摘要信息,将该摘要信息与数据密文一起发送;所述端局设备根据第一验证密钥验证接收的数据,所述固定终端根据第二验证密钥验证接收的数据。
所述方法还包括:
固定终端在安全管理模块中用所述根密钥和所述随机数生成第二鉴权标签,并将其发送给固定安全中心;
固定安全中心判断所述第二鉴权标签和固定安全中心保存的对应于该固定终端号码的所述根密钥以及所述随机数是否一致,如果一致,鉴权通过,否则,鉴权失败。
当所述随机数由固定终端产生时,还包括:固定安全中心在判断一致性之前,先判断该随机数的合法性,如果该随机数不合法,则鉴权失败,否则,执行后续的判断第一鉴权标签一致性的步骤。
所述的方法还包括鉴权失败后,固定安全中心通知端局设备限制对该固定终端号码的通信操作的步骤。
所述的方法还包括:
固定安全中心以固定终端号码对应的所述根密钥和所述随机数生成第一鉴权标签,并将其发送给固定终端;
固定终端在安全管理模块中判断所述第一鉴权标签和自己保存的所述根密钥以及随机数是否一致,如果一致,鉴权通过,否则,鉴权失败。
当所述随机数由固定安全中心产生时,还包括:固定终端在判断一致性之前,先判断该随机数的合法性,如果该随机数不合法,则鉴权失败,否则,执行后续的判断第二鉴权标签一致性的步骤。
当一个用户线被指配了两个以上的固定终端号码时,固定终端和网络侧的设备交互信息和数据时,带有固定终端号码的标识。所述标识包括预设的短号码,所述短号码对应固定终端号码设置,或者所述标识为一个随机数。
一种固定终端安全通信方法,包括下列步骤:
在固定终端上设置安全管理模块;
在所述安全管理模块中保存该固定终端所指配号码对应的根密钥;
所述安全管理模块接收初始化请求时,从请求信息中得到一个随机数;
所述安全管理模块利用所述根密钥与所述随机数生成该固定终端的通信密钥并保存;
在固定终端发送数据时,用所述通信密钥加密发送的数据,以及,在固定终端收到数据时,用所述通信密钥解密收到的数据。
所述的方法进一步包括下列步骤:
所述安全管理模块利用所述根密钥与所述随机数生成该固定终端的验证密钥并保存;
在固定终端发送数据时,利用所述第二验证密钥对要发送的数据密文进行摘要运算,并将计算得到的摘要信息和密文一起发送;
在固定终端接收数据时,根据所述第二验证密钥验证接收到的数据的正确性。
所述的方法还包括下列步骤:
固定终端响应固定安全中心鉴权的步骤:固定终端中所述安全管理模块利用所述根密钥与所述随机数进行运算生成该固定终端的鉴权标签,并将其发送给固定安全中心,并根据接收自鉴权中心返回的鉴权结果执行相应操作;
和/或,固定终端对固定安全中心鉴权的步骤:固定终端判断接收自固定安全中心的一个计算结果和自己保存的根密钥以及随机数是否一致来判断对固定安全中心的鉴权是否通过。
一种固定通信数据加密方法,包括下列步骤:
在网络侧设置固定安全中心,保存每一个签约的固定终端号码以及对应该终端号码的根密钥;
初始化时,固定安全中心向固定终端发送一个随机数;
固定安全中心用所述随机数和所述固定终端号码对应的所述根密钥生成该固定终端的第一通信密钥,保存该第一通信密钥并将其传递给该固定终端的端局设备;该端局设备向该固定终端发送数据时,使用该第一通信密钥加密数据,以及,该端局设备从该固定终端接收数据时,使用该第一通信密钥解密数据。
所述的方法,进一步包括:固定安全中心用该随机数与所述根密钥生成该固定终端的第一验证密钥,保存该第一验证密钥并将其传递给该固定终端的端局设备;该端局设备从该固定终端接数据时,通过该第一验证密钥对接收的数据进行验证;或者,向该固定终端发送数据时,使用该第一验证密钥对发送的数据密文进行摘要运算,并将计算得到的摘要信息和密文一起发送。
所述的方法还包括固定终端对固定安全中心鉴权的步骤:固定安全中心先利用所述根密钥与所述随机数先生成鉴权标签,并将其发送给固定终端,然后接收返回的鉴权结果。
一种固定通信数据加密系统,包括:网络侧的固定安全中心和固定终端上的安全管理模块;
所述固定安全中心包括数据库、随机数产生器和第一算法模块;所述数据库中对应保存签约的固定终端号码及其对应的根密钥;所述随机数产生器生成一随机数返回给初始化请求的固定终端;所述第一算法模块用该随机数和对应于固定终端的所述根密钥生成第一通信密钥,向固定终端的通信方网络侧交换机发送所述第一通信密钥和对应的固定终端号码;
所述安全管理模块包括存储器和第二算法模块;所述存储器中保存固定终端的根密钥和第二通信密钥,所述第二通信密钥由所述第二算法模块用收到的所述随机数和所述根密钥生成;
所述交换机向固定终端发送数据时,用所述第一通信密钥加密;所述交换机从固定终端接收数据时,用所述第一通信密钥解密;固定终端向交换机发送数据时,用所述第二通信密钥加密;固定终端从交换机接收数据时,用所述第二通信密钥解密。
所述固定安全中心设置在所述交换机上或单独设置在网络侧。
本发明所述方法和系统的实施可以收到以下有益效果:
1、通过利用通信密钥加密通信数据,保证了通信的安全性。这样可以防止盗打和偷听电话现象的发生,以及冒充签约用户发送短消息等对通信安全的攻击行为。
2、通过利用验证密钥生成数据的的摘要信息,利用摘要信息验证短消息的完整性和正确性,可以防止别人通过串接电话终端来窜改短消息内容。
3、通过使用鉴权标签在固定终端和固定安全中心之间进行单方或双方互相鉴权,防止非法固定终端的盗用他人终端号码对网络造成的干扰。
附图说明
图1本发明所述固定通信数据加密系统结构示意图;
图2固定终端请求初始化流程图。
具体实施方式
如图1所示,图1应用本发明提供的方法实现固定通信数据加密的系统结构示意图,包括:网络侧的固定安全中心和终端侧的安全管理模块,固定安全中心包括数据库、随机数产生器和密钥算法模块;数据库中保存每一个签约的固定终端号码及其根密钥;固定安全中心利用随机数产生器,在固定终端初始化请求时,生成一随机数返回给固定终端;密钥算法模块用该随机数和所述根密钥生成网络侧的通信密钥或验证密钥,每一通信密钥或验证密钥对应唯一的固定终端号码;固定安全中心将产生的通信密钥、验证密钥以及对应的终端号码发送给固定终端的端局设备,如交换机,交换机利用其与固定终端实现加密通信,进一步利用验证密钥保证和固定终端的通信数据的完整性。
固定终端上设置安全管理模块,安全管理模块中设置存储器和用户的密钥算法模块;密钥算法模块用收到的随机数和根密钥生成固定终端侧使用的通信密钥、验证密钥保存在存储器中,固定终端在与交换机通信时,利用存储器中的通信密钥加密数据,进一步利用验证密钥验证和交换机的通信数据的完整性。
这样,交换机向固定终端发送数据或从固定终端接收数据时,用其保存的通信密钥加密或解密数据;固定终端从交换机接收数据或向交换机发送数据时,用其生成的通信密钥解密或加密数据,实现数据的保密通信,并可以进一步在系统中实现单方或双方的鉴权。
实际当中,固定安全中心可以作为一个独立的模块单独设置在网络侧,也可以直接作为交换机的一个模块设置在交换机上,这种情况下,安全中心和所述交换机之间的信息交互通过交换机控制实现。
如图2所示,下面以短消息业务为例,详细描述如何在上述系统中实现安全中心和固定终端之间的安全通信,本实施例并非限定本发明的方法只能用于短消息业务,只要是固定终端和网络设备进行数据信息(包括语音数据信息)传送,都可以采用该方法。
1、针对每一签约终端号码设置其号码密钥DNKEY作为根密钥,并保存在固定安全中心FAC(Fixed AC)的数据库中。
2、在固定终端的安全管理模块中存入终端号码对应的安全描述信息,这些信息至少包括终端号码密钥DNKEY,也可以进一步包括用于加解密计算、摘要计算的算法等信息。可以在用户开户时,将终端号码密钥DNKEY提供给签约用户,由签约用户将DNKEY设置到固定终端的安全管理模块中。
3、在固定终端接入到用户线上时,向固定网交换机发送一个初始化请求命令,通过固定终端的端局设备,如固定交换机将该请求命令发送给固定安全中心,固定安全中心接到初始化请求命令后,检查初始化请求是否携带了终端号码相关信息,如果携带了,则获取对应的终端号码信息,如果没有携带,则根据用户线所指配的终端号码,从中选取一个作为发送请求信息的终端号码;同时,启动随机数产生器产生一个随机数Rand1,并通过固定交换机,将该随机数发送给固定终端。当然,初始化请求也可以由终端通过拨打一个特殊的接入码来发起,这实现起来简单,但用户用起来较为麻烦。
一般的,固定终端的请求命令中应包括终端号码域,当然,如果一个用户线只指配一个终端号码时,端局设备如交换机可以从用户线即可以得出对应的终端号码,此时,初始化命令可以不携带终端号码。这里根据用户线得到对应的终端号码的操作可以由交换机来完成,并将结果传送给固定安全中心,也可以在固定安全中心保存用户线和指配的终端号码的对应关系表,交换机在将初始化命令转发给固定安全中心时,携带上相应的用户线信息,固定安全中心根据用户线信息从该关系表得到对应的所指配的终端号码。比如,如果一个用户线被指配了两个以上的终端号码,则可以选择其中的一个,比如第一个终端号码作为发送初始化请求命令的终端号码。当初始化请求命令中携带有初始化信息比如终端号码时,固定安全中心返回的命令也对应的携带该终端号码,以便终端在接收到该返回命令后根据终端号码判断出返回命令是发送给自己的。
4、固定终端根据随机数Rand1,和自己保存的DNKEY通过给定的算法进行计算,得到一个通信密钥CK2,固定终端将CK2保存在存储器中。
5、固定安全中心也根据第3步得到的终端号码,从自己保存的对应关系表中得到自己保存的相应发送初始化请求的终端的DNKEY值,并使用该DNKEY值和该Rand1进行计算,得到通信密钥CK1。固定安全中心将计算得到的CK1发送给终端的端局设备,如固定交换机,固定交换机保存该CK1,如表一所示:
表一:
终端号码 | 通信密钥CK | 验证密钥IK |
82031233 | Kjsdfkljg0986nji | hgjhjhgjg245hgfn |
82031235 | Jfglskjdg0935kof | hjgfhgjhg876uybn |
28972345 | Lskjfkglskjh312 | jhgjgjh5525lxrnh |
28972356 | Soiewury375gfdhy | hgfhgfhgf35j5grd |
6、固定交换机向该固定终端发送短消息信息时,使用对应的CK1进行加密发送,将从该终端接收的短消息,使用对应的CK1进行解密后再进行相关后续处理。这样,在固定终端从交换机接收相关短消息时,首先要使用CK2进行解密处理,而后才能提交给用户;同样,在固定终端向交换机发送相关短消息时,首先通过CK2进行加密处理,而后才进行发送。
对于终端发出信息(比如发送短消息),终端可以携带指配给自己的终端号码,主叫交换机根据终端号码来选择对应的通信密钥。实际当中,终端也可以仅仅携带自己终端号码所对应的短号码,比如短号码为1位,而不是携带一个很长的终端号码,这样,就可以缩短呼叫的信令内容。此时,交换机可以根据短号码来确定出呼叫的主叫终端号码。这时,交换机要保存如下一张用户线、终端号码和短号码的对应关系表。如果终端在发出信息时,没有携带终端号码或短号码,则交换机将从用户线对应的终端号码中选择一个作为该发出信息的固定终端的终端号码,这时,如果该用户线指配了二个以上终端号码,则,交换机在根据终端号码选择通信密钥时,可能会出现错误,因此,对于一个用户线指配了多个终端号码的情况,终端在发出呼叫时最好携带终端号码或对应的短号码,所述用户线、短号码、终端号码表如表二所示。
表二:
用户线标识 | 短号码 | 终端号码 |
1234598 | 1 | 82031233 |
1234598 | 2 | 82031266 |
1234587 | 1 | 28972345 |
1234587 | 2 | 28975678 |
上述短号码可以由终端和交换机或固定安全中心提前进行约定并设置。比如,在固定终端初始化请求时,由交换机或固定安全中心给其分配一个短号码。
7、安全中心在计算通信密钥CK1时,可以同时计算出验证密钥IK1发送给端局设备,如交换机,IK1同样被相应的保存在表一中;相应用户固定终端在计算通信密钥CK2时,也可以计算出验证密钥IK2保存在存储器中。
8、固定终端和交换机在收到的对方发送的短消息信息之后,利用验证密钥IK2先验证信息中所携带的摘要信息是否正确,如果不正确,则认为短消息为非法短消息,并作无效处理,否则认为是合法的短消息。固定终端和交换机对合法的短消息进行解密处理。这里所说的验证摘要信息是否正确是指根据自己保存的对应的IK1或IK2对消息中的信息密文进行摘要计算,看计算得到的摘要信息和消息中携带的摘要信息是否一致,比如是否相等,如果一致,则判断收到的消息正确。
具体的过程是:固定终端用验证密钥IK2对发送数据加验证标记,比如,根据所述验证密钥对于发送数据进行摘要计算,将摘要计算结果作为验证标记;交换机从固定终端接收数据时,利用IK1验证接收到的数据的完整性和正确性,比如,从接收数据中分离出验证标记,并利用所述验证密钥对接收到的另外的数据,即数据密文信息进行摘要计算,得到一个摘要结果,比较摘要结果和分离出的验证标记是否一致,则说明接收到的数据完整、正确,没有被篡改,反之,交换机向固定终端发送数据时,同样增加验证标记。
综上,固定终端和交换机在发送经过加密得到的密文之前,针对加密的密文,生成密文的摘要信息,并将该摘要信息作为验证标记和密文一起发送,比如,将该摘要信息放在密文末尾或开始一起发送。在生成密文的摘要信息时,要有验证密钥的参与,这样,即使生成摘要的算法公开或泄漏也不会对安全造成大的危害,这样,摘要信息作为验证标记即可以用于验证消息的完整性和正确性。
以上第7和第8步可以防止第三者通过串接电话,对网络发起的攻击,从而可以过滤终端或交换机收到一些传输错误或恶意更改而产生的非法短消息。实际当中,当固定终端保存的根密钥与固定安全中心保存的对应于该固定终端号码的根密钥是对称密钥,且是相同的对称密钥,即:终端的DNKEY和鉴权中心保存的对应DNKEY相同,则以上针对同一个随机数Rand1利用相同的算法计算得到的CK1和CK2实际上是相同的,同样,IK1和IK2也是相同的。
实际当中还可以包括固定安全中心对固定终端进行鉴权的步骤,该鉴权的实现仍然基于根密钥,比如在步骤4,进一步由固定终端将Rand1和DNKey进行相关计算得到一个鉴权标签DFlag2,固定终端将DFlag2也发送给固定安全中心,固定安全中心判断DFlag2和自己保存的对应终端号码的DNKey和Rand1是否一致,如果一致,则对固定终端的鉴权通过,否则,鉴权不通过。或者固定安全中心通过比较自己根据保存的对应终端号码的DNKey和Rand1生成的鉴权标签DFlag1和接收自固定终端的鉴权标签DFlag2是否满足对应关系,比如:是否相等来判断,如果DFlag2和DFlag1相等,则认为接收自固定终端的鉴权标签DFlag2和自己保存的对应于该固定终端号码的根密钥DNKey以及所述产生的随机数Rand1是一致的,否则,认为不一致。
当固定安全中心判定对固定终端鉴权通过时,认为该固定终端合法,否则,认为该固定终端违法。如果所有具有相同终端号码的终端都违法,则固定安全中心可以通知交换机限制处理针对该固定终端号码对应的终端执行短消息收发业务。比如,固定安全中心通过在一定时间内监视是否有合法的固定终端使用了该终端号码来判断是否对应了合法的固定终端。比如,一个初始化请求后的10秒钟内,如果固定安全中心没有发现一个终端号码对应任何合法固定终端,则将取消该终端号码所对应的所有固定终端的短消息收发功能,即通知该固定终端的端局设备,如端局交换机,禁止处理关于该固定终端的短消息业务。此时,固定安全中心仍然允许一个终端使用该终端号码进行初始化请求,以保证可能的合法终端的初始化请求得到响应。实际当中,固定安全中心可以在判断存在合法的固定终端使用所述终端号码的情况下,才通知固定终端的端局设备,如端局交换机,允许处理关于该固定终端号码的短消息业务,并将该终端号码和对应的通信密钥及验证密钥传送给交换机保存。对于通信密钥和验证密钥的计算可以是在鉴权通过时进行,也可以是先执行计算通信密钥和验证密钥,后执行所述鉴权步骤。
固定安全中心在得到DFlag1和DFlag2的比较结果后,将比较结果发送给对应的固定终端,由于可能存在同一个用户线对应了多个固定终端号码的情况,这样固定终端在接收到安全中心返回的响应命令时,要判断该响应命令是否是属于自己的响应命令,而不是连接到该用户线的具有其它终端号码的固定终端的响应命令,因此,返回命令里需要携带固定终端号码相关信息,比如固定终端号码本身或其对应的短号码。固定终端根据该固定终端号码相关信息判断自己是否需要响应该命令;即:如果固定终端号码相关信息和自己保存的固定终端号码不一致,则认为该命令不是针对自己的响应命令,固定终端不处理,如果一致,则认为该命令是针对自己的响应命令,固定终端处理该命令。
相应地,上述随机数Rand1可以由固定终端产生,并通过该固定终端的端局设备如固定交换机将其传送给固定安全中心。同样,固定终端用该随机数和自己保存的根密钥产生CK1、IK1,固定安全中心用该随机数和自己保存的相应于该固定终端号码的根密钥产生CK2、IK2并将其传送给该固定终端号码的端局设备。
进一步地,还可以包括固定终端对固定安全中心鉴权的步骤:固定安全中心以自己保存的对应于该固定终端号码的根密钥DNKey和随机数Rand2生成一个一个计算结果,如鉴权标签DFlag3,并将DFlag3发给固定终端;固定终端判断接收自固定安全中心的鉴权标签DFlag3和自己保存的根密钥DNKey以及所述随机数Rand2是否一致来判断对固定安全中心的鉴权是否通过,即,如果一致,则鉴权通过,否则,鉴权失败。
对于固定安全中心对固定终端进行鉴权的情况,随机数如果由固定终端产生,固定终端可以在初始化请求时,将随机数和自己生成的所述鉴权标签一起发送给固定安全中心,固定安全中心先判断随机数是否合法,固定安全中心判断随机数合法后,再对鉴权标签作所述一致性判断,否则,如果固定安全中心判断随机数不合法时,对固定终端的鉴权操作失败,或者可以直接判断对固定终端的鉴权为不通过。固定安全中心可以设定随机数合法性判断的标准是要求固定终端发送给自己的随机数是递增的,则,当固定安全中心判断得到随机数是递增产生的时,就认为该随机数合法。比如,固定安全中心保存上一次对固定终端鉴权成功时,由该固定终端产生的随机数,固定安全中心通过比较本次接收自固定终端的随机数是否大于自己上次鉴权成功时保存的随机数,如果大于,则说明随机数是递增的,就认为该随机数合法,否则,认为该随机数不合法。
对于固定终端对固定安全中心进行鉴权的情况,随机数如果由固定安全中心产生,固定安全中心可以将随机数和自己生成的所述鉴权标签一起发送给固定终端,固定终端先判断随机数是否合法,固定终端判断随机数合法后,再对鉴权标签作一致性判断,否则,如果固定终端判断随机数不合法时,可以直接判断安全中心没有通过鉴权。
以上在交换机对短消息加解密的过程可以是在终端的接入设备中完成,此时,固定安全中心要将计算得到的相应通信密钥和验证密钥传送给该接入设备,或者,固定安全中心直接集成到接入设备。当然,该加解密过程也可以改为在短消息中心进行处理,这时,固定安全中心要将相应的通信密钥和验证密钥传送给短消息中心,而不是交换机,或者,固定安全中心直接被集成到短消息中心。这样,可以最大程度地避免消息明文在通信网络内部传送,因而,安全性会更好。
应用该方法,通过对固定终端的鉴权,防止通过非法固定终端盗用他人终端号码对网络造成的干扰。通过对通信数据的加密,保证了通信的安全性。这样可以防止盗打和偷听电话现象的发生。通过数据信息摘要信息,保证数据信息传送的完整性和正确性。防止别人通过串接电话终端来窜改包括短消息等的数据信息的内容,以及冒充签约用户发送短消息等对通信安全的攻击行为。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1.一种固定通信安全方法,其特征在于,包括下列步骤:
a、在网络侧设置固定安全中心,所述固定安全中心保存每一个签约的固定终端号码及其对应的根密钥;在固定终端上设置安全管理模块,所述安全管理模块中保存所述根密钥;
b、固定安全中心将产生的随机数发送给固定终端,或固定终端将产生的随机数发送给固定安全中心;固定安全中心用该随机数和该固定终端号码对应的根密钥生成第一通信密钥,把该第一通信密钥发给固定终端的端局设备;固定终端在安全管理模块中用该随机数和自己保存的根密钥生成第二通信密钥;
c、所述端局设备向固定终端发送数据或从固定终端接收数据时,用所述第一通信密钥加密发送给固定终端的数据或解密接收自固定终端的数据;固定终端向端局设备发送数据或从所述端局设备接收数据时,用所述第二通信密钥加密发送给端局设备的数据或解密接收自端局设备的数据。
2.如权利要求1所述的固定通信安全方法,其特征在于:
步骤b进一步包括:固定安全中心用所述随机数和所述该固定终端号码对应的根密钥生成第一验证密钥并发送给固定终端的端局设备,固定终端用所述随机数和自己保存的根密钥生成第二验证密钥;
步骤c进一步包括:所述端局设备或固定终端在发送加密数据时,根据第一验证密钥或第二验证密钥,对数据密文进行摘要运算,生成摘要信息,将该摘要信息与数据密文一起发送;所述端局设备根据第一验证密钥验证接收的数据,所述固定终端根据第二验证密钥验证接收的数据。
3.如权利要求1所述的固定通信安全方法,其特征在于,所述方法还包括:
固定终端在安全管理模块中用所述根密钥和所述随机数生成第二鉴权标签,并将其发送给固定安全中心;
固定安全中心判断所述第二鉴权标签和固定安全中心保存的对应于该固定终端号码的所述根密钥以及所述随机数是否一致,如果一致,鉴权通过,否则,鉴权失败。
4.如权利要求3所述的固定通信安全方法,其特征在于,当所述随机数由固定终端产生时,还包括:固定安全中心在判断一致性之前,先判断该随机数的合法性,如果该随机数不合法,则鉴权失败,否则,执行后续的判断第一鉴权标签一致性的步骤。
5.如权利要求3所述的固定通信安全方法,其特征在于,还包括鉴权失败后,固定安全中心通知端局设备限制对该固定终端号码的通信操作的步骤。
6.如权利要求1或3所述的固定通信安全方法,其特征在于,所述方法还包括:
固定安全中心以固定终端号码对应的所述根密钥和所述随机数生成第一鉴权标签,并将其发送给固定终端;
固定终端在安全管理模块中判断所述第一鉴权标签和自己保存的所述根密钥以及随机数是否一致,如果一致,鉴权通过,否则,鉴权失败。
7.如权利要求6所述的固定通信安全方法,其特征在于,当所述随机数由固定安全中心产生时,还包括:固定终端在判断一致性之前,先判断该随机数的合法性,如果该随机数不合法,则鉴权失败,否则,执行后续的判断第二鉴权标签一致性的步骤。
8.如权利要求1所述的固定通信安全方法,其特征在于:当一个用户线被指配了两个以上的固定终端号码时,固定终端和网络侧的设备交互信息和数据时,带有固定终端号码的标识。
9.如权利要求8所述的固定通信安全方法,其特征在于:所述标识包括预设的短号码,所述短号码对应固定终端号码设置,或者所述标识为一个随机数。
10.一种固定终端安全通信方法,其特征在于,包括下列步骤:
在固定终端上设置安全管理模块;
在所述安全管理模块中保存该固定终端所指配号码对应的根密钥;
所述安全管理模块接收初始化请求时,从请求信息中得到一个随机数;
所述安全管理模块利用所述根密钥与所述随机数生成该固定终端的第二通信密钥并保存;
在固定终端发送数据时,用所述第二通信密钥加密发送的数据,以及,在固定终端收到数据时,用所述第二通信密钥解密收到的数据。
11.如权利要求10所述的固定终端安全通信方法,其特征在于,进一步包括下列步骤:
所述安全管理模块利用所述根密钥与所述随机数生成该固定终端的第二验证密钥并保存;
在固定终端发送数据时,利用所述第二验证密钥对要发送的数据密文进行摘要运算,并将计算得到的摘要信息和密文一起发送;
在固定终端接收数据时,根据所述第二验证密钥验证接收到的数据的正确性。
12.如权利要求10或11所述的固定终端安全通信方法,其特征在于,还包括下列步骤:
固定终端响应固定安全中心鉴权的步骤:固定终端中所述安全管理模块利用所述根密钥与所述随机数进行运算生成该固定终端的鉴权标签,并将其发送给固定安全中心,并根据接收自鉴权中心返回的鉴权结果执行相应操作;
和/或,固定终端对固定安全中心鉴权的步骤:固定终端判断接收自固定安全中心的一个计算结果和自己保存的根密钥以及随机数是否一致来判断对固定安全中心的鉴权是否通过。
13.一种固定通信数据加密方法,其特征在于,包括下列步骤:
在网络侧设置固定安全中心,保存每一个签约的固定终端号码以及对应该终端号码的根密钥;
初始化时,固定安全中心向固定终端发送一个随机数;
固定安全中心用所述随机数和所述固定终端号码对应的所述根密钥生成该固定终端的第一通信密钥,保存该第一通信密钥并将其传递给该固定终端的端局设备;该端局设备向该固定终端发送数据时,使用该第一通信密钥加密数据,以及,该端局设备从该固定终端接收数据时,使用该第一通信密钥解密数据。
14.如权利要求13所述的固定通信数据加密方法,其特征在于,进一步包括:固定安全中心用该随机数与所述根密钥生成该固定终端的第一验证密钥,保存该第一验证密钥并将其传递给该固定终端的端局设备;该端局设备从该固定终端接数据时,通过该第一验证密钥对接收的数据进行验证;或者,向该固定终端发送数据时,使用该第一验证密钥对发送的数据密文进行摘要运算,并将计算得到的摘要信息和密文一起发送。
15.如权利要求13或14所述的固定通信数据加密方法,其特征在于,还包括固定终端对固定安全中心鉴权的步骤:固定安全中心先利用所述根密钥与所述随机数先生成鉴权标签,并将其发送给固定终端,然后接收返回的鉴权结果。
16.一种固定通信数据加密系统,其特征在于,包括:网络侧的固定安全中心和固定终端上的安全管理模块;
所述固定安全中心包括数据库、随机数产生器和第一算法模块;所述数据库中对应保存签约的固定终端号码及其对应的根密钥;所述随机数产生器生成一随机数返回给初始化请求的固定终端;所述第一算法模块用该随机数和对应于固定终端的所述根密钥生成第一通信密钥,向固定终端的通信方网络侧交换机发送所述第一通信密钥和对应的固定终端号码;
所述安全管理模块包括存储器和第二算法模块;所述存储器中保存固定终端的根密钥和第二通信密钥,所述第二通信密钥由所述第二算法模块用收到的所述随机数和所述根密钥生成;
所述交换机向固定终端发送数据时,用所述第一通信密钥加密;所述交换机从固定终端接收数据时,用所述第一通信密钥解密;固定终端向交换机发送数据时,用所述第二通信密钥加密;固定终端从交换机接收数据时,用所述第二通信密钥解密。
17.如权利要求16所述的固定通信数据加密系统,其特征在于:所述固定安全中心设置在所述交换机上或单独设置在网络侧。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200410101016 CN1783777B (zh) | 2004-12-02 | 2004-12-02 | 固定通信安全、数据加密方法和系统及固定终端鉴权方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200410101016 CN1783777B (zh) | 2004-12-02 | 2004-12-02 | 固定通信安全、数据加密方法和系统及固定终端鉴权方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1783777A CN1783777A (zh) | 2006-06-07 |
CN1783777B true CN1783777B (zh) | 2010-11-03 |
Family
ID=36773580
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200410101016 Active CN1783777B (zh) | 2004-12-02 | 2004-12-02 | 固定通信安全、数据加密方法和系统及固定终端鉴权方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1783777B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101794401B (zh) * | 2010-01-15 | 2012-01-25 | 华为终端有限公司 | 闪存的安全启动方法及其数据卡 |
CN101964802B (zh) * | 2010-10-25 | 2013-02-13 | 西安西电捷通无线网络通信股份有限公司 | 集中式安全连接建立系统及方法 |
JP5839659B2 (ja) * | 2011-06-20 | 2016-01-06 | ルネサスエレクトロニクス株式会社 | 半導体装置 |
CN103905192B (zh) * | 2012-12-26 | 2018-10-12 | 锐迪科(重庆)微电子科技有限公司 | 一种加密鉴权方法、装置以及系统 |
CN105450657A (zh) * | 2015-12-16 | 2016-03-30 | 广州天懋信息系统有限公司 | 基于预设值和动态验证码组合的动态口令认证方法及系统 |
CN107027117A (zh) * | 2016-02-02 | 2017-08-08 | 普天信息技术有限公司 | 一种动态生成根密钥的方法 |
CN106789986B (zh) * | 2016-12-08 | 2019-12-13 | 浙江宇视科技有限公司 | 监控设备认证方法及装置 |
CN108243181A (zh) * | 2017-10-09 | 2018-07-03 | 北京车和家信息技术有限公司 | 一种车联网终端、数据加密方法及车联网服务器 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5661806A (en) * | 1994-03-29 | 1997-08-26 | France Telecom | Process of combined authentication of a telecommunication terminal and of a user module |
US5794139A (en) * | 1994-08-29 | 1998-08-11 | Sony Corporation | Automatic generation of private authentication key for wireless communication systems |
-
2004
- 2004-12-02 CN CN 200410101016 patent/CN1783777B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5661806A (en) * | 1994-03-29 | 1997-08-26 | France Telecom | Process of combined authentication of a telecommunication terminal and of a user module |
US5794139A (en) * | 1994-08-29 | 1998-08-11 | Sony Corporation | Automatic generation of private authentication key for wireless communication systems |
Also Published As
Publication number | Publication date |
---|---|
CN1783777A (zh) | 2006-06-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US5689563A (en) | Method and apparatus for efficient real-time authentication and encryption in a communication system | |
CN101641976B (zh) | 认证方法 | |
CN101569165B (zh) | 用于保护电话银行的方法和设备 | |
CN101558598B (zh) | 组合合成器加密方法 | |
CN104333455B (zh) | 一种智能手机保密通信系统及方法 | |
JP4263384B2 (ja) | ユーザ加入識別モジュールの認証についての改善された方法 | |
CN1249637A (zh) | 在无线系统中加密无线通信的方法 | |
US8230218B2 (en) | Mobile station authentication in tetra networks | |
CN101635924B (zh) | 一种cdma端到端加密通信系统及其密钥分发方法 | |
CN102202299A (zh) | 一种基于3g/b3g的端到端语音加密系统的实现方法 | |
CN104917807A (zh) | 资源转移方法、装置和系统 | |
CN112020038A (zh) | 一种适用于轨道交通移动应用的国产加密终端 | |
CN102264068B (zh) | 共享密钥协商方法与系统、网络平台及终端 | |
CN100514999C (zh) | 实现虚拟终端通信的方法、终端设备和通信系统 | |
CN104955029A (zh) | 通讯录保护方法、装置及通信系统 | |
CN108599944A (zh) | 一种基于手机身份的验证码短信透明加密方法 | |
CN1783777B (zh) | 固定通信安全、数据加密方法和系统及固定终端鉴权方法 | |
CN101895885A (zh) | 一种密钥文件的保护方法及系统 | |
EP0018129B1 (en) | Method of providing security of data on a communication path | |
CN106452752A (zh) | 修改密码的方法、系统及客户端、服务器和智能设备 | |
CN106302698B (zh) | 订购业务的方法和系统 | |
US6111955A (en) | Security in cellular telephones | |
JP2001344214A (ja) | 端末の認証方法と暗号通信システム | |
KR101298216B1 (ko) | 복수 카테고리 인증 시스템 및 방법 | |
CN102612027B (zh) | 一种无线通讯系统中数据的安全传输方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |