一种适用于电路域加密通信的消息传输方法技术

本发明专利技术公开了一种适用于电路域加密通信的消息传输方法。本方法为：1)创建一专用轻量级证书，其包括：算法族、序列号、证书所属的电话号码、公钥和电路域加密通信专用签名；2)在加密通信前，通信双方分别生成一身份认证消息Msg1发送给对方，通信双方对收到的身份认证消息Msg1进行验证，验证通过后双方分别生成一密钥协商消息Msg2发送给对方进行密钥交换；3)通信双方根据收到的密钥生成会话密钥，然后利用该会话密钥加密通信的消息。本发明专利技术大大提高了通信加密传输效率。

【技术实现步骤摘要】

本专利技术属于网络通信安全
，涉及一种消息传输方法，尤其涉及一种在电路域加密通信中的消息传输方法。
技术介绍
移动通信技术的迅速发展和广泛应用给人们的生活带来了极大的便利，但也带来许多安全隐患。由于无线信道具有开放性，只要利用相应的接收设备，就能够截获手机的通话信息，并对其进行定位、跟踪和监视。在某些特殊场合下(如涉密会议室)，为了防止手机通信泄密，通信需要加密。为此，我们设计了一种适用于电路域加密通信的消息传输机制，从而保护移动通信中通话和数据交换的安全。对通话信息进行加密是普遍使用的方法，主要有预置密钥和动态密钥协商等方法。对于动态密钥协商的方法，通信双方一般需要先进行身份认证。而在电路域通信中，信道狭窄但同时要求延时较小，身份信息和密钥交换信息传输的效率成为问题。本专利技术提出一种并行异步的消息传输机制，以保证安全性为前提，尽可能地减小时延。并行异步传输是一种普遍使用的方法，而且形式多变，可以通过适当修改使其适应其他通信的场景，比如带宽受限、节点资源受限、要求较小时延、网络不稳定等环境条件。目前尚没有一种能满足较小延时需求的电路域消息传输机制，能够高效且安全地完成加密和身份认证。
技术实现思路
本专利技术提出了一种适用于电路域加密通信的消息传输方法。该消息传输方法可工作在CDMA、WCDMA、TD-SCDMA等多种制式下。一种适用于电路域加密通信的消息传输方法，其步骤为：1)创建一专用轻量级证书，其包括：算法族、序列号、证书所属的电话号码、公钥和电路域加密通信专用签名；其中，算法族包括数字证书认证中心CA执行签名时所使用的签名算法，电路域加密通信专用签名的信息为：数字证书认证中心CA对证书所属的电话号码和该证书的公钥进行签名的签名信息；2)在加密通信前，通信双方分别生成一身份认证消息Msg1发送给对方，通信双方对收到的身份认证消息Msg1进行验证，验证通过后双方分别生成一密钥协商消息Msg2发送给对方进行密钥交换；3)通信双方根据收到的密钥生成会话密钥，然后利用该会话密钥加密通信的消息。进一步的，该专用轻量级证书还包括版本字段。进一步的，该身份认证消息Msg1包括算法族、序列号、公钥和电路域加密通信专用签名。进一步的，该身份认证消息Msg1还包括版本字段和预留字段。进一步的，该密钥协商消息Msg2包括电话号码密文、密钥密文、公钥。进一步的，该密钥协商消息Msg2还包括预留字段。进一步的，生成该密钥协商消息Msg2的方法为：首先是通信双方分别利用自己通信设备内的安全卡TF产生一密钥，然后使用收到的身份认证消息Msg1中对方的公钥对自己的电话号码和该密钥进行加密，生成该密钥协商消息Msg2。进一步的，该密钥为一随机数。进一步的，生成会话密钥的方法为：通信双方分别用自己的私钥对收到的密钥协商消息Msg2进行解密取出该密钥，然后用自己生成的密钥和对方发过来的密钥进行运算得到该会话密钥。进一步的，步骤2)中，对收到的身份认证消息Msg1进行验证的方法为：首先通信双方用自己通信设备内的公钥验证收到的身份认证消息Msg1中的电路域加密通信专用签名信息，验证成功后，验证电路域加密通信专用签名信息中的电话号码与通信时对方手机号码是否一致，如果一致则验证通过。本专利技术主要内容包括：1.身份认证与密钥协商消息本专利技术首先对标准的X.509证书做如下的扩展：新定义了符合X.509证书扩展项标准的、电路域加密通信专用扩展项，定义如下：Signature for Encrypted CS Communication:该扩展项包括的是当前CA对以下内容进行的签名：X.509证书所属的电话号码+该证书的公钥；即利用数字证书认证中心CA对证书所属的电话号码和该证书的公钥进行签名的签名信息。SignatureAlgorithm for Encrypted CS Communication:该扩展项包括的是当前数字证书认证中心CA执行以上签名是所使用的签名算法，签名算法支持SM2，RSA等。基于以上扩展的X.509证书，本专利技术提出了下面用于电路域加密通信的专用轻量级证书。以支持SM2算法的轻量级证书为例，该证书包括如下字段：●版本(1B)●算法族(1B)●序列号(4B)●证书所属的电话号码(15B，可选)●公钥(64B)●电路域加密通信专用签名(64B)其中，“版本”字段指示该证书的当前版本；“算法族”直接引用扩展的X.509证书的“SignatureAlgorithm for Encrypted CS Communication”扩展项；“序列号”直接引用扩展的X.509证书的“序列号”字段；“证书所属的电话号码”直接引用扩展的X.509证书的“电话号码”字段；“公钥”直接引用扩展的X.509证书的“公钥”字段；“电路域加密通信专用签名”直接引用扩展的X.509证书的“Signature for Encrypted CS Communication”扩展项。基于以上轻量级证书，在加密通话开始前，通信双方会先生成身份认证消息Msg1用于验证身份，格式如表1：表1 身份认证消息Msg1的格式其中，生成身份认证消息Msg1的方法为：去掉专用轻量级证书的电话号码，增加两个字节的预留字段，生成Msg1。在通信双方证书验证通过后，双方分别生成密钥协商消息Msg2用于交换密钥，格式如表2：表2 密钥协商消息Msg2的格式电话号码密文密钥密文公钥参数预留8B32B96B2B其中，Msg1消息总长136字节，Msg2消息总长138字节，以CDMA制式为例，每帧22个字节，只需要7帧就可以传完，使用短信的话一条就可以承载。其中，生成Msg2的方法为：首先是安全TF卡产生一个随机数作为密钥，然后使用收到的Msg1中对方的公钥对自己的手机号码和该随机数进行加密，生成Msg2消息。协商的过程也就是对方收到Msg2后，用自己的私钥进行解密取出该密钥。双方都有了一个自己生成的密钥和对方发过来的密钥，两个密钥进行一个简单运算得到最终会话用的密钥。通信双方证书验证方法为：首先用CA公钥(已预置在安全TF卡中)验证签名字段，成功后，验证签名字段中的手机号码与通信时对方手机号码是否一致，验证签名字段中的公钥与前面的公钥字段是否一致，都一致则验证通过。2.消息传输协议异步重发机制通信双方消息交换采用简单、异步重发的模式。该模式如下：1)各终端独立发送包含Msg1分片的帧和包含Msg2消息分片的帧，不使用确认重传机制；2)每个终端对消息分片循环发送，直到对方全部接收完成并给出确认；3)通过超时计数器来保证消息交换时间。如果N帧以内还没有完成交换并进入到正常的加密通信状态，则本次通信失败。3.消息传输协议状态机转换如图1所示。当加密手机作为主叫发起密话通信时：1.接通以后进入“密钥交换”状态；终端进入“密钥交换”状态后，a)将开始Msg1和Msg2的发送和接收；b)如果在N1帧之内没有收到对方发送来的Msg1消息分片，则表示对方不支持加密通信或者通信线路状况较差，则密钥交换失败，结束本次通话；c)如果Msg1和Msg2消息分片均已接收完成，且发送的消息也已被对方完全接收，则密钥交换成功，进入“加密通信”状态。2.终端进入“加密通信”状态后，a)连续发送“加密通信确认语音帧本文档来自技高网...

【技术保护点】
一种适用于电路域加密通信的消息传输方法，其步骤为：1)创建一专用轻量级证书，其包括：算法族、序列号、证书所属的电话号码、公钥和电路域加密通信专用签名；其中，算法族包括数字证书认证中心CA执行签名时所使用的签名算法，电路域加密通信专用签名的信息为：数字证书认证中心CA对证书所属的电话号码和该证书的公钥进行签名的签名信息；2)在加密通信前，通信双方分别生成一身份认证消息Msg1发送给对方，通信双方对收到的身份认证消息Msg1进行验证，验证通过后双方分别生成一密钥协商消息Msg2发送给对方进行密钥交换；3)通信双方根据收到的密钥生成会话密钥，然后利用该会话密钥加密通信的消息。

【技术特征摘要】
1.一种适用于电路域加密通信的消息传输方法，其步骤为：1)创建一专用轻量级证书，其包括：算法族、序列号、证书所属的电话号码、公钥和电路域加密通信专用签名；其中，算法族包括数字证书认证中心CA执行签名时所使用的签名算法，电路域加密通信专用签名的信息为：数字证书认证中心CA对证书所属的电话号码和该证书的公钥进行签名的签名信息；2)在加密通信前，通信双方分别生成一身份认证消息Msg1发送给对方，通信双方对收到的身份认证消息Msg1进行验证，验证通过后双方分别生成一密钥协商消息Msg2发送给对方进行密钥交换；3)通信双方根据收到的密钥生成会话密钥，然后利用该会话密钥加密通信的消息。2.如权利要求1所述的方法，其特征在于，该专用轻量级证书还包括版本字段。3.如权利要求1或2所述的方法，其特征在于，该身份认证消息Msg1包括算法族、序列号、公钥和电路域加密通信专用签名。4.如权利要求3所述的方法，其特征在于，该身份认证消息Msg1还包括版本字段和预留字段。5.如权利要求1或2所述的方法，其特征在于，该密钥协商消息M...

【专利技术属性】
技术研发人员：周卫华，单旭，李远，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11