專利名稱：基于安全sim卡的短消息兩階段加密傳輸和安全存儲方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種移動用戶設(shè)備間短消息收發(fā)和存儲的方法，特別涉及一種基于安 全SIM卡的短消息兩階段加密傳輸和安全存儲方法。
背景技術(shù)：
SIM卡是(Subscriber Identity Model客戶識別模塊)的縮寫，也稱為智能卡、用 戶身份識別卡，GSM數(shù)字移動電話機必須裝上此卡方能使用。SIM卡具有發(fā)送短消息、接收 短消息功能。根據(jù)GSM標(biāo)準(zhǔn)協(xié)議，SIM卡把編譯好的短消息按照標(biāo)準(zhǔn)格式進行組包發(fā)送，還 可以接收無線網(wǎng)絡(luò)發(fā)送過來的短消息，然后自動存儲到SIM卡或者手機中。隨著移動終端 設(shè)備的普及和短消息本身具有的方便，快捷，費用低廉等優(yōu)勢，有越來越多的移動用戶以短 消息作為信息載體，進行信息查詢，業(yè)務(wù)通知，網(wǎng)上交易等信息活動，由于這些活動往往涉 及敏感或重要信息，因此，對短消息的安全提出了更高的安全需求。目前短消息業(yè)務(wù)應(yīng)用存 在一些缺陷 1.信息的內(nèi)容以明文方式傳輸，可以通過技術(shù)手段輕易截取短消息內(nèi)容，造成信 息內(nèi)容被竊取或泄漏。 2.信息的內(nèi)容以明文方式存儲于移動設(shè)備上，一旦丟失或被他人查看，信息內(nèi)容 隱私會暴露。 短信息收發(fā)雙方都對短消息傳輸和存儲過程中私密性和安全性有很高的使用需 求。

發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)中存在的不足而提供一種在安全SIM卡的支持 下實現(xiàn)基于公鑰證書的動態(tài)會話密鑰協(xié)商，基于安全短消息服務(wù)器進行短消息落地解密和 加密轉(zhuǎn)發(fā)以及基于保密文件柜實現(xiàn)短消息加密存儲安全功能的基于安全SIM卡的短消息 兩階段加密傳輸和安全存儲方法。 本發(fā)明的目的是這樣實現(xiàn)的該方法包括短消息加密傳輸和加密存儲兩個步驟
1)、短消息加密傳輸步驟，分為兩個階段實現(xiàn) 第一階段，手機終端和安全短消息服務(wù)器之間通過約定的協(xié)議協(xié)商出會話密鑰， 在兩者之間建立起安全傳輸通道； 第二階段，手機終端和安全短消息服務(wù)器利用會話密鑰對短消息進行加解密處
理，保證短消息在空中傳輸過程中始終是密文狀態(tài)，明文在短消息落地后出現(xiàn)； 2)短消息加密存儲步驟是對有加密存儲需求的短消息按照文件柜的組織形式進
行加密存儲，文件柜分組個數(shù)動態(tài)可變，文件柜的唯一標(biāo)識碼為其訪問密碼。STK應(yīng)用通過
用戶登陸的密碼自動匹配其中一組文件柜，用戶只能查看自己登陸密碼所屬的加密文件柜
下的短消息內(nèi)容。 所述的會話密鑰是基于公鑰證書協(xié)商短消息傳輸過程中的會話密鑰，并根據(jù)實際
4使用需求動態(tài)在線更換用戶會話密鑰，包括以下步驟
1)、公鑰證書的分發(fā) A、證書服務(wù)器為安全短消息服務(wù)器和終端用戶生成各自的公鑰證書；
B、證書服務(wù)器離線向安全SM卡寫入安全短消息服務(wù)器公鑰證書；
C、證書服務(wù)器通知安全短消息服務(wù)器用戶公鑰證書；
2)、會話密鑰協(xié)商 終端用戶和安全短消息服務(wù)器之間通過公鑰證書，實現(xiàn)雙方身份認證，協(xié)商出會 話密鑰，繼而實現(xiàn)接收雙方之間短消息傳遞的機密性、真實性和完整性服務(wù)，密鑰協(xié)商協(xié)議 所發(fā)送的消息如下
C_>S:Nc S- > C :PEc (SIGs (Kcs， Nc， Ns))
C_>S:Ns 其中C表示移動終端發(fā)送方，S表示安全短消息服務(wù)器接收方；PEc表示用C的公
鑰加密，SIGs表示用S的私鑰簽名， 會話密鑰協(xié)商協(xié)議執(zhí)行的步驟如下 第一步，發(fā)送方向接收方發(fā)出明文認證請求，請求內(nèi)容包括終端產(chǎn)生驗證因子
NC ; 第二步，安全短消息服務(wù)器根據(jù)移動終端的手機號碼查找該用戶相應(yīng)的證書，并 在向證書服務(wù)器驗證該證書合法性后，產(chǎn)生一個會話密鑰Kcs和驗證因子Ns，利用自己的 私鑰和移動終端的加密公鑰對Kcs、 Ns、 Nc進行簽名和加密，然后傳給移動終端；
第三步，移動終端對安全短消息服務(wù)器發(fā)送來的密文信息進行脫密(先用預(yù)存的 安全短消息服務(wù)器的公鑰驗簽、再用自身的私鑰脫密)，檢查Nc —致后，將Ns以明文傳給安 全短消息服務(wù)器； 第四步，驗證通過后，移動終端將Ns傳給安全短消息服務(wù)器，服務(wù)器將收到的Ns 與原來的Ns進行比較，確認協(xié)商成功。 所述的短消息加解密處理是指加密短消息在安全短消息服務(wù)器上進行落地解密 處理和加密轉(zhuǎn)發(fā)，利用會話密鑰進行短消息加解密處理，短消息收發(fā)步驟如下
第一步，終端用戶A向終端用戶B發(fā)送短消息M，該消息M使用用戶A與安全短消 息服務(wù)器之間協(xié)商的會話密鑰Kca進行加密，得到消息密文Cl，Cl = EKca(M) ，Cl首先發(fā)送 至安全短消息服務(wù)器； 第二步，安全短消息服務(wù)器收到該密文Cl，用會話密鑰Kca對消息Cl解密，得到 M， M = DKca(Cl); 第三步，安全短消息服務(wù)器將明文消息M用用戶B的會話密鑰Kcb加密，得到密文 C2， C2 = EKcb(M); 第四部，安全短消息服務(wù)器將密文C2發(fā)送給用戶B，用戶B使用Kcb對C2進行解 密，得到M。 M = DKcb(C2); 這里E和D分別代表對稱加密中的加密和解密操作； 至此短消息M由用戶A安全傳輸至用戶B，在傳輸過程中，始終以密文形式存在。
所述的短消息加密存儲是指對有加密存儲需求的短消息按照文件柜的組織形式進行加密存儲，使用加密文件柜進行加密存儲步驟如下 第一步，設(shè)立文件柜結(jié)構(gòu)安全SIM卡將卡上的存儲空間按文件柜的形式分為各 個組； 第二步，用戶設(shè)置文件柜每個文件柜對應(yīng)一個操作密碼，查看短信時只能查看自 己輸入操作密碼所屬的加密文件柜中的短信，如果忘記加密文件柜操作密碼，需要對該文 件柜進行重新設(shè)置，同時刪除該加密文件柜中的所有文件與信息； 第三步，收到的短信按照文件柜號進行存儲，用戶只有輸入該柜號對應(yīng)的操作密 碼才能查看短信。 本發(fā)明具有如下積極效果在短消息加密傳輸方面，基于安全短消息服務(wù)器進行 短消息落地解密和加密轉(zhuǎn)發(fā)，保證短消息在空中傳輸過程中始終是密文狀態(tài)，明文僅僅在 短消息落地后出現(xiàn)。在短消息加密存儲方面，對有加密存儲需求的短消息按照文件柜的組 織形式進行加密存儲。用戶只能查看自己登陸密碼所屬的加密文件柜下的短消息內(nèi)容。這 種方法允許用戶動態(tài)分配文件柜數(shù)量，并且文件柜的具體結(jié)構(gòu)對其他用戶是不可見的，極 大地保護了用戶短消息加密存儲的隱私性。


圖1為本發(fā)明的證書分發(fā)過程示意圖。
圖2為本發(fā)明的會話密鑰協(xié)商示意圖。
圖3為本發(fā)明的短消息加解密處理示意圖。
圖4為本發(fā)明的加密文件柜示意圖。
具體實施例方式
如圖1所示，本發(fā)明的安全SIM卡是在普通SIM卡的基礎(chǔ)上，基于芯片重新進行安 全性設(shè)計，對功能的調(diào)用和對系統(tǒng)資源的使用都有嚴格的權(quán)限控制。對敏感數(shù)據(jù)的輸入和 輸出，可以采用安全報文傳送方式，確保數(shù)據(jù)的安全。 一般安全SIM卡支持對稱算法和非對 稱算法。 1、基于公鑰證書的動態(tài)會話密鑰協(xié)商，其特征在于基于公鑰證書協(xié)商短消息 傳輸過程中的會話密鑰，并可根據(jù)實際使用需求動態(tài)在線更換用戶會話密鑰，包括以下步 驟 1)、公鑰證書分發(fā) A.證書服務(wù)器為安全短消息服務(wù)器和終端用戶生成各自的公鑰證書；
B.證書服務(wù)器離線向安全SM卡寫入安全短消息服務(wù)器公鑰證書；
C.證書服務(wù)器通知安全短消息服務(wù)器用戶公鑰證書； 2)、會話密鑰協(xié)商終端用戶和安全短消息服務(wù)器之間通過公鑰證書，實現(xiàn)雙方身 份認證，協(xié)商出會話密鑰，繼而實現(xiàn)接收雙方之間短消息傳遞的機密性、真實性和完整性服 務(wù)，如圖2所示。
密鑰協(xié)商協(xié)議所發(fā)送的消息如下
C- > S :Nc S- > C :PEc (SIGs (Kcs， Nc， Ns))
6
C- > S :Ns 其中C表示發(fā)送方(移動終端)，S表示接收方(安全短消息服務(wù)器)；PEc表示用 C的公鑰加密，SIGs表示用S的私鑰簽名。
會話密鑰協(xié)商協(xié)議執(zhí)行的步驟如下 第一步，發(fā)送方向接收方發(fā)出明文認證請求，請求內(nèi)容包括終端產(chǎn)生驗證因子
NC ; 第二步，安全短消息服務(wù)器根據(jù)移動終端的手機號碼查找該用戶相應(yīng)的證書，并
在向證書服務(wù)器驗證該證書合法性后，產(chǎn)生一個會話密鑰Kcs和驗證因子Ns，利用自己的
私鑰和移動終端的加密公鑰對Kcs、 Ns、 Nc進行簽名和加密，然后傳給移動終端； 第三步，移動終端對安全短消息服務(wù)器發(fā)送來的密文信息進行脫密(先用預(yù)存的
安全短消息服務(wù)器的公鑰驗簽、再用自身的私鑰脫密)，檢查Nc —致后，將Ns以明文傳給安
全短消息服務(wù)器。 第四步，驗證通過后，移動終端將Ns傳給安全短消息服務(wù)器，服務(wù)器將收到的Ns 與原來的Ns進行比較，確認協(xié)商成功。 按照以上步驟，協(xié)商出的會話密鑰可以根據(jù)需求由用戶進行動態(tài)更換，簡化了密 鑰更新的過程，方便用戶使用和管理。 2、短消息加解密處理如圖3所示，加密短消息在安全短消息服務(wù)器上進行落地 解密處理和加密轉(zhuǎn)發(fā)，利用會話密鑰進行短消息加解密處理。 第一步，終端用戶A向終端用戶B發(fā)送短消息M，該消息M使用用戶A與安全短消 息服務(wù)器之間協(xié)商的會話密鑰Kca進行加密，得到消息密文Cl。 CI = EKca(M) ， CI首先發(fā) 送至安全短消息服務(wù)器； 第二步，安全短消息服務(wù)器收到該密文Cl，用會話密鑰Kca對消息Cl解密，得到 M， M = DKca(Cl); 第三步，安全短消息服務(wù)器將明文消息M用用戶B的會話密鑰Kcb加密，得到密文 C2， C2 = EKcb(M); 第四部，安全短消息服務(wù)器將密文C2發(fā)送給用戶B，用戶B使用Kcb對C2進行解 密，得到M。 M = DKcb(C2); 這里E和D分別代表對稱加密中的加密和解密操作。 至此，短消息M由用戶A安全傳輸至用戶B，在傳輸過程中，始終以密文形式存在， 防止了消息內(nèi)容被竊取和泄漏。采用安全短消息服務(wù)器進行短消息落地解密和加密轉(zhuǎn)發(fā)， 處理過程對用戶來說是透明的，同時由服務(wù)器統(tǒng)一存儲用戶的會話密鑰，解決了終端用戶 密鑰管理問題。 3、短消息安全存儲對有加密存儲需求的短消息按照文件柜的組織形式進行加密 存儲。使用加密文件柜進行加密存儲步驟如下 第一步，設(shè)立文件柜結(jié)構(gòu)。安全SM卡將卡上的存儲空間按文件柜的形式分為若 干組。 第二步，用戶設(shè)置文件柜。每個文件柜對應(yīng)一個操作密碼，查看短信時只能查看自 己輸入操作密碼所屬的加密文件柜中的短信。如果忘記加密文件柜操作密碼，需要對該文 件柜進行重新設(shè)置，同時刪除該加密文件柜中的所有文件與信息。
第三步，收到的短信按照文件柜號進行存儲，用戶只有輸入該柜號對應(yīng)的操作密 碼才能查看短信。 例如，用戶設(shè)置口令12345678對應(yīng)1號文件柜，在1號文件柜下存放短信1和短 信2。設(shè)置口令87654321對應(yīng)2號文件柜，在2號文件柜下存放短信3和短信4，如圖4所 示。 當(dāng)用戶輸入操作密碼12345678時，只能看到短信1和2 ;短信3和4對用戶來說 是不可見的。同理，當(dāng)用戶輸入操作密鑰87654321時，短信1和2對用戶來說是不可見的。 這樣就極大保證了存儲安全性，即使別人使用該手機，也會因為操作密碼的分類和限制無 法獲取有效的加密短消息。
權(quán)利要求
一種基于安全SIM卡的短消息兩階段加密傳輸和安全存儲方法，其特征在于該方法包括短消息加密傳輸和加密存儲兩個步驟1)、短消息加密傳輸步驟，分為兩個階段實現(xiàn)第一階段，手機終端和安全短消息服務(wù)器之間通過約定的協(xié)議協(xié)商出會話密鑰，在兩者之間建立起安全傳輸通道；第二階段，手機終端和安全短消息服務(wù)器利用會話密鑰對短消息進行加解密處理，保證短消息在空中傳輸過程中始終是密文狀態(tài)，明文在短消息落地后出現(xiàn)；2)、短消息加密存儲步驟是對有加密存儲需求的短消息按照文件柜的組織形式進行加密存儲，文件柜分組個數(shù)動態(tài)可變，文件柜的唯一標(biāo)識碼為其訪問密碼，STK應(yīng)用通過用戶登陸的密碼自動匹配其中一組文件柜，用戶只能查看自己登陸密碼所屬的加密文件柜下的短消息內(nèi)容。
2. 根據(jù)權(quán)利要求1所述的基于安全SIM卡的短消息兩階段加密傳輸和安全存儲方法， 其特征在于所述的會話密鑰是基于公鑰證書協(xié)商短消息傳輸過程中的會話密鑰，并根據(jù) 實際使用需求動態(tài)在線更換用戶會話密鑰，包括以下步驟1) 、公鑰證書的分發(fā)A、 證書服務(wù)器為安全短消息服務(wù)器和終端用戶生成各自的公鑰證書；B、 證書服務(wù)器離線向安全SM卡寫入安全短消息服務(wù)器公鑰證書；C、 證書服務(wù)器通知安全短消息服務(wù)器用戶公鑰證書；2) 、會話密鑰協(xié)商終端用戶和安全短消息服務(wù)器之間通過公鑰證書，實現(xiàn)雙方身份認證，協(xié)商出會話密 鑰，繼而實現(xiàn)接收雙方之間短消息傳遞的機密性、真實性和完整性服務(wù)，密鑰協(xié)商協(xié)議所發(fā) 送的消息如下C-〉S :NcS-〉C :PEc (SIGs(Kcs， Nc， Ns)) C-〉S :Ns其中C表示移動終端發(fā)送方，S表示安全短消息服務(wù)器接收方；PEc表示用C的公鑰加 密，SIGs表示用S的私鑰簽名，會話密鑰協(xié)商協(xié)議執(zhí)行的步驟如下第一步，發(fā)送方向接收方發(fā)出明文認證請求，請求內(nèi)容包括終端產(chǎn)生驗證因子NC ;第二步，安全短消息服務(wù)器根據(jù)移動終端的手機號碼查找該用戶相應(yīng)的證書，并在向證書服務(wù)器驗證該證書合法性后，產(chǎn)生一個會話密鑰Kcs和驗證因子Ns，利用自己的私鑰 和移動終端的加密公鑰對Kcs、 Ns、 Nc進行簽名和加密，然后傳給移動終端；第三步，移動終端對安全短消息服務(wù)器發(fā)送來的密文信息進行脫密(先用預(yù)存的安全 短消息服務(wù)器的公鑰驗簽、再用自身的私鑰脫密)，檢查Nc —致后，將Ns以明文傳給安全短 消息服務(wù)器；第四步，驗證通過后，移動終端將Ns傳給安全短消息服務(wù)器，服務(wù)器將收到的Ns與原 來的Ns進行比較，確認協(xié)商成功。
3. 根據(jù)權(quán)利要求1所述的基于安全SIM卡的短消息兩階段加密傳輸和安全存儲方法， 其特征在于所述的短消息加解密處理是指加密短消息在安全短消息服務(wù)器上進行落地解密處理和加密轉(zhuǎn)發(fā)，利用會話密鑰進行短消息加解密處理，短消息收發(fā)步驟如下第一步，終端用戶A向終端用戶B發(fā)送短消息M，該消息M使用用戶A與安全短消息服 務(wù)器之間協(xié)商的會話密鑰Kca進行加密，得到消息密文Cl，Cl = EKca(M) ，C1首先發(fā)送至安 全短消息服務(wù)器；第二步，安全短消息服務(wù)器收到該密文CI，用會話密鑰Kca對消息CI解密，得到M，M = DKca(Cl);第三步，安全短消息服務(wù)器將明文消息M用用戶B的會話密鑰Kcb加密，得到密文C2， C2 = EKcb (M);第四部，安全短消息服務(wù)器將密文C2發(fā)送給用戶B，用戶B使用Kcb對C2進行解密，得 至lj M。 M = DKcb (C2);這里E和D分別代表對稱加密中的加密和解密操作；至此短消息M由用戶A安全傳輸至用戶B，在傳輸過程中，始終以密文形式存在。
4.根據(jù)權(quán)利要求1所述的基于安全SIM卡的短消息兩階段加密傳輸和安全存儲方法， 其特征在于所述的短消息加密存儲是指對有加密存儲需求的短消息按照文件柜的組織形式進行加密存儲，使用加密文件柜進行加密存儲步驟如下第一步，設(shè)立文件柜結(jié)構(gòu)安全SIM卡將卡上的存儲空間按文件柜的形式分為各個組； 第二步，用戶設(shè)置文件柜每個文件柜對應(yīng)一個操作密碼，查看短信時只能查看自己輸入操作密碼所屬的加密文件柜中的短信，如果忘記加密文件柜操作密碼，需要對該文件柜進行重新設(shè)置，同時刪除該加密文件柜中的所有文件與信息；第三步，收到的短信按照文件柜號進行存儲，用戶只有輸入該柜號對應(yīng)的操作密碼才能查看短信。
全文摘要
本發(fā)明涉及一種基于安全SIM卡的短消息兩階段加密傳輸和安全存儲方法，包括短消息加密傳輸和加密存儲步驟，手機終端和安全短消息服務(wù)器之間通過約定的協(xié)議協(xié)商出會話密鑰，在兩者之間建立起安全傳輸通道；手機終端和安全短消息服務(wù)器利用會話密鑰對短消息進行加解密處理，短消息在空中傳輸過程中始終是密文狀態(tài)，明文在短消息落地后出現(xiàn)；對有加密存儲需求的短消息按照文件柜形式加密存儲，文件柜分組個數(shù)動態(tài)可變，文件柜的唯一標(biāo)識碼為其訪問密碼，這種存儲方式極大地保護了用戶短消息加密存儲的隱私性。
文檔編號H04W4/14GK101720071SQ200910227210
公開日2010年6月2日 申請日期2009年12月1日 優(yōu)先權(quán)日2009年12月1日
發(fā)明者劉熙胖, 司志剛, 常朝穩(wěn), 廖正赟, 梁松濤, 王一寧, 秦晰, 董建強, 趙國磊 申請人:鄭州信大捷安信息技術(shù)有限公司