CN104469750A - 自主可控移动互联网的业务方法和装置 - Google Patents
自主可控移动互联网的业务方法和装置 Download PDFInfo
- Publication number
- CN104469750A CN104469750A CN201310418905.6A CN201310418905A CN104469750A CN 104469750 A CN104469750 A CN 104469750A CN 201310418905 A CN201310418905 A CN 201310418905A CN 104469750 A CN104469750 A CN 104469750A
- Authority
- CN
- China
- Prior art keywords
- data
- signature
- recipient
- transmit leg
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种自主可控移动互联网的业务发起方法和装置,并且还公开了自主可控移动互联网的业务接受方法和装置,本发明的***由SIM卡和CPK卡构成。移动终端将包括因特网在内的所有固定终端。移动互联网由SIM卡提供通信连接与交易连接服务,由于电话号码具有很好的公认性,可直接作为未来互联网的地址;由CPK卡提供通信连接与交易连接真实性证明。可直接作为未来互联网自主可控通信和交易的依据。
Description
技术领域
本发明涉及互联网技术领域,具体来说,涉及一种自主可控移动互联网的业务发起/接受方法、发起/接受装置和业务***。
背景技术
目前,在互联网上横行各种恶意软件和垃圾信息,严重污染了互联网的使用环境,直接影响到了互联网的生存,因此,各国纷纷开展新一代绿色互联网的研究,将互联网技术的重点转移到了自主可控方面。根据国内外实现互联网技术的经验,可以得知,要在互联网上具有自主可控能力,必须要解决两个问题:一是定义的地址码必须具有公认性;二是定义的地址码必须具有可证性。目前在用的互联网是Internet(因特网),是在固定终端(如计算机)上的互联网,其IP地址是随机数,既没有公认性,也没有可证性,为了解决这个问题,各国都在寻求一种解决方案。
随着智能化移动终端的出现,引发出了移动互联网的概念,移动互联网概念的提出,为未来互联网提供了发展的新机会,所谓移动互联网是指移动终端(如手机)上的互联网,根据目前的情况,移动互联网中的电话号码具有公认性的,从而只要解决电话号码或地址码的真实性证明,就可以解决移动互联网的自主可控的关键问题。
互联网是为交易服务的。如果解决了互联网通信的自主可控问题,同理可以解决互联网交易的自主可控问题。交易鉴别分事先鉴别和事后鉴别,而自主可控性则依赖于事先鉴别技术。
然而,目前,针对电话号码或地址码等标识的真实性证明这一关键问题还没有得到解决,进而针对整个移动互联网的自主可控问题或对交易的自主可控问题,均未提出有效的解决方案。
发明内容
针对相关技术中的问题,本发明提出一种自主可控移动互联网的通信(包括交易)发起/接受方法、发起/接受装置和通信***,不仅能够保证移动互联网通信层的自主可控,而且还能够保证移动互联网交易层的自主可控,解决了移动互联网的自主可控问题。
本发明的技术方案是这样实现的:
根据本发明的一个方面,提供了一种自主可控移动互联网的业务发起方法,用于自主可控互联网***,自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明。
该业务发起方法,包括:
在数据发送之前,发送方通过位于发送方侧的SIM卡向移动互联网提供地址标识,并且,发送方还通过位于发送方侧的CPK卡根据SIM卡所提供的地址标识,生成标识签名,促使地址标识具有可证性;
发送方通过CPK卡根据需要发送的数据,生成数据签名;
发送方将标识签名、数据签名以及数据发送至接收方。
此外,该业务发起方法还包括:发送方对需要发送的数据进行加密。
其中,发送方对需要发送的数据进行加密包括:发送方通过生成的第一密钥对需要发送的数据进行加密;发送方通过第二密钥对第一密钥进行加密,并且,将加密后的所第一密钥发送给接收方。
其中,第二密钥为接收方的公钥。
可选地,地址标识包括以下至少之一:通信终端号码、电子邮件地址、IP地址。
可选地,发送方和接收方均包括以下至少之一:智能终端、非智能终端、移动终端、固定终端。
可选地,数据包括以下至少之一:通信数据、交易数据。
根据本发明的另一方面,提供了一种自主可控移动互联网的业务发起装置,用于自主可控互联网***,自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明。
该业务发起装置,包括:
第一签名生成模块,用于在数据发送之前,通过SIM卡向移动互联网提供地址标识,并且还通过CPK卡根据SIM卡所提供的地址标识,生成标识签名,促使地址标识具有可证性;
第二签名生成模块,用于通过CPK卡根据需要发送的数据,生成数据签名;
发送模块,用于将标识签名、数据签名以及数据发送至接收方。
此外,该业务发起装置还包括:加密模块,用于对需要发送的数据进行加密。
其中,加密模块进一步包括第一加密子模块和第二加密子模块,第一加密子模块,用于通过生成的第一密钥对需要发送的数据进行加密;第二加密子模块,用于通过第二密钥对第一密钥进行加密,并且,将加密后的第一密钥发送给接收方。
其中,第二密钥为接收方的公钥。
可选地,地址标识包括以下至少之一:通信终端号码、电子邮件地址、IP地址。
可选地,发送方和接收方均包括以下至少之一:智能终端、非智能终端、移动终端、固定终端。
可选地,数据包括以下至少之一:通信数据、交易数据。
根据本发明的再一方面,提供了一种自主可控移动互联网的业务接受方法,用于自主可控互联网***,自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明。
该业务接受方法,包括:
接收方接收发送方发送的标识签名和数据签名;
接收方对根据接收的标识签名对发送方的地址标识进行验证,在验证结果为地址标识为真实的情况下,接收方根据数据签名对数据的完整性和真实性进行验证;
在需要传输的数据通过验证的情况下,允许对接收的数据进行处理。
其中,在对发送方的地址标识进行验证的结果为地址标识为非真实的情况下,接收方拒绝接收数据。
此外,该业务接受方法还包括:在数据被加密的情况下,接收方对数据进行解密。
其中,接收方对数据进行解密包括:接收方接收发送方发送的经第二密钥加密的第一密钥;接收方通过与第二密钥配对的第三密钥对加密的第一密钥进行解密;接收方利用通过解密得到的第一密钥对接收的数据进行解密。
其中,第二密钥为接收方的公钥,第三密钥为接收方的私钥。
可选地,发送方和接收方均包括以下至少之一:智能终端、非智能终端、移动终端、固定终端。
可选地,数据包括以下至少之一:通信数据、交易数据。
根据本发明的又一方面,提供了一种自主可控移动互联网的业务接受装置,用于自主可控互联网***,自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明。
该业务接受装置,包括:
签名接收模块,用于接收发送方发送的标识签名和数据签名;
签名验证模块,用于对根据接收的标识签名对发送方的地址标识进行验证,在验证结果为地址标识为真实的情况下,根据数据签名对数据的完整性和真实性进行验证;
数据处理模块,用于在需要传输的数据通过验证的情况下,允许对接收的数据进行处理。
其中,数据处理模块,还用于在对发送的地址标识进行验证的结果为地址标识为非真实的情况下,拒绝接收数据。
此外,该业务接受装置还包括:解密模块,用于在数据被加密的情况下,对数据进行解密。
其中,解密模块进一步接收模块、第一解密子模块和第二解密子模块,其中,接收模块,用于接收发送方发送的经第二密钥加密的第一密钥;第一解密子模块,用于通过与第二密钥配对的第三密钥对加密的第一密钥进行解密;第二解密子模块,用于利用通过解密得到的第一密钥对接收的数据进行解密。
其中,第二密钥为接收方的公钥,第三密钥为接收方的私钥。
可选地,发送方和接收方均包括以下至少之一:智能终端、非智能终端、移动终端、固定终端。
可选地,数据包括以下至少之一:通信数据、交易数据。
根据本发明的又一方面,提供了一种自主可控移动互联网的通信***。该通信***,用于自主可控互联网***,自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明。
该通信***,包括:
第一签名生成模块,位于发送方侧,用于在数据发送之前,通过SIM卡向移动互联网提供地址标识,并且还通过CPK卡根据SIM卡所提供的地址标识,生成标识签名,促使地址标识具有可证性;
第二签名生成模块,位于发送方侧,用于通过CPK卡根据需要发送的数据,生成数据签名;
发送模块,位于发送方侧,用于将标识签名、数据签名以及数据发送至接收方;
签名接收模块,位于接收方侧,用于接收发送方发送的标识签名和数据签名;
签名验证模块,位于接收方侧,用于对根据接收的标识签名对发送方的地址标识进行验证,在验证结果为地址标识为真实的情况下,根据数据签名对数据的完整性和真实性进行验证;
数据处理模块,位于接收方侧,用于在需要传输的数据通过验证的情况下,允许对接收的数据进行处理。
此外,该通信***还包括加密模块和解密模块,其中,加密模块,位于发送方侧,用于对需要发送的数据进行加密;解密模块,用于在数据被加密的情况下,对数据进行解密。
其中,加密模块进一步包括第一加密子模块和第二加密子模块,第一加密子模块,用于通过生成的第一密钥对需要发送的数据进行加密;第二加密子模块,用于通过第二密钥对第一密钥进行加密,并且,将加密后的第一密钥发送给接收方。
其中,解密模块进一步接收模块、第一解密子模块和第二解密子模块,其中,接收模块,用于接收发送方发送的经第二密钥加密的第一密钥;第一解密子模块,用于通过与第二密钥配对的第三密钥对加密的第一密钥进行解密;第二解密子模块,用于利用通过解密得到的第一密钥对接收的数据进行解密。
其中,第二密钥为接收方的公钥,第三密钥为接收方的私钥。
可选地,地址标识包括以下至少之一:通信终端号码、电子邮件地址、IP地址。
可选地,发送方和接收方均包括以下至少之一:智能终端、非智能终端、移动终端、固定终端。
可选地,数据包括以下至少之一:通信数据、交易数据。
本发明基于SIM卡和CPK卡,实现了移动互联网的自主可控功能,使的移动互联网的通信在通信受理阶段就对地址标识的真实性进行验证,解决了防止非法接入的难题,简化了建立可控连接的过程,大大提高了鉴别效率,同时,也使的移动互联网的通信在接受过程中就对数据的真实性进行验证,实现了数据签名,提供了数据的负责性。另外,本发明还能够实现数据加密和解密,提供了数据的保密性,大大提高了数据的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的自主可控移动互联网的业务发起方法的流程示意图;
图2是根据本发明实施例的自主可控移动互联网的业务发起装置的结构示意图;
图3是根据本发明实施例的自主可控移动互联网的业务接受方法的流程示意图;
图4是根据本发明实施例的自主可控移动互联网的业务接受装置的结构示意图;
图5是根据本发明实施例的通信层通信数据和交易层交易数据的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的实施例,提供了一种自主可控移动互联网的业务发起方法,用于自主可控互联网***,自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明。本发明所涉及的业务包括通信和交易等多种可能存在的业务。
如图1所示,根据本发明实施例的自主可控移动互联网的业务发起方法包括:
步骤S101,在数据发送之前,发送方通过位于发送方侧的SIM卡向移动互联网提供地址标识,并且,发送方还通过位于发送方侧的CPK卡根据SIM卡所提供的地址标识,生成标识签名,促使地址标识具有可证性;
步骤S103,发送方通过CPK卡根据需要发送的数据,生成数据签名;
步骤S105,发送方将标识签名、数据签名以及数据发送至接收方。
此外,为了数据的保密性,发送方还可以对需要发送的数据进行加密,而在发送方对需要发送的数据进行加密时,可根据发送方生成的第一密钥对需要发送的数据进行加密,这里的第一密钥可以是随机定义的,例如:自定义的密码。
另外,为了保证接收方接收到加密后的数据能进行解密,发送方需要将第一密钥发送给接收方,而为了防止第一密钥在发送的时候被第三方截取,导致加密的数据泄密,可根据第二密钥对第一密钥进行加密,在第一密钥加密后,再将加密后的第一密钥发送给接收方,其中,第二密钥可以是接收方的公钥。而且这里所说的数据,可以是通信数据,也可以是交易数据。
当然,在上述方案中,地址标识也是可选的,可以是通信终端号码,也可以是电子邮件地址或者IP地址,只要具备公认性即可,同样,通信终端(即上述的发送方和接收方)也是可选的,可以是智能终端或者非智能终端,同时也可以是移动终端或者固定终端。
根据本发明的实施例,还提供了一种自主可控移动互联网的业务发起装置,用于自主可控互联网***,自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明。
如图2所示,根据本发明实施例的自主可控移动互联网的业务发起装置包括:
第一签名生成模块21,用于在数据发送之前,通过SIM卡向移动互联网提供地址标识,并且还通过CPK卡根据SIM卡所提供的地址标识,生成标识签名,促使地址标识具有可证性;
第二签名生成模块22,用于通过CPK卡根据需要发送的数据,生成数据签名;
发送模块23,用于将标识签名、数据签名以及数据发送至接收方。
此外,为了数据的保密性,该业务发起装置还可以具有加密模块(未示出),用于对需要发送的数据进行加密;而在对需要发送的数据进行加密时,可根据加密模块中的第一加密子模块(未示出)通过生成的第一密钥对需要发送的数据进行加密,这里的第一密钥可是随机定义的,例如:自定义的密码。
另外,为了保证接收方接收到加密后的数据能进行解密,还可根据加密模块中的第二加密子模块(未示出)通过第二密钥对第一密钥进行加密,并且,将加密后的第一密钥发送给接收方,其中,第二密钥可以使接收方的公钥,而且,这里所说的数据,可以是通信数据,也可以是交易数据。
当然,在上述方案中,地址标识也是可选的,可以是通信终端号码,也可以是电子邮件地址或者IP地址,只要具备公认性即可,同样,通信终端(即上述的发送方和接收方)也是可选的,可以是智能终端或者非智能终端,也可以是移动终端或者固定终端。
根据本发明的实施例,还提供了一种自主可控移动互联网的业务接受方法,用于自主可控互联网***,自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明。
如图3所示,根据本发明实施例的自主可控移动互联网的业务接受方法包括:
步骤S301,接收方接收发送方发送的标识签名和数据签名;
步骤S303,接收方对根据接收的标识签名对发送方的地址标识进行验证,在验证结果为地址标识为真实的情况下,接收方根据数据签名对数据的完整性和真实性进行验证;
步骤S305,在需要传输的数据通过验证的情况下,允许对接收的数据进行处理。
其中,在对发送方的地址标识进行验证的结果为地址标识为非真实的情况下,接收方拒绝接收数据。
此外,在接收的数据是被加密的情况下,接收方可对数据进行解密,而在接收对数据进行解密时,可根据以下步骤进行解密:接收方接收发送方发送的经第二密钥加密的第一密钥;接收方通过与第二密钥配对的第三密钥对加密的第一密钥进行解密;接收方利用通过解密得到的第一密钥对接收的数据进行解密。其中,第二密钥可以是接收方的公钥,第三密钥可以是接收方的私钥,而且,这里所说的数据,可以是通信数据,也可以是交易数据。
当然,在上述方案中,通信终端(即上述的发送方和接收方)也是可选的,可以是智能终端或者非智能终端,也可以是移动终端或者固定终端。
根据本发明的实施例,还提供了一种自主可控移动互联网的业务接受装置,用于自主可控互联网***,自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明。
如图4所示,根据本发明实施例的自主可控移动互联网的业务接受装置包括:
签名接收模块41,用于接收发送方发送的标识签名和数据签名;
签名验证模块42,用于对根据接收的标识签名对发送方的地址标识进行验证,在验证结果为地址标识为真实的情况下,根据数据签名对数据的完整性和真实性进行验证;
数据处理模块43,用于在需要传输的数据通过验证的情况下,允许对接收的数据进行处理。
其中,数据处理模块43,还用于在对发送的地址标识进行验证的结果为地址标识为非真实的情况下,拒绝接收数据。
此外,该业务接受装置还可以具备解密模块(未示出),用于在数据被加密的情况下,对数据进行解密,而在对数据进行解密时,首先可根据解密模块中的接收模块(未示出)接收发送方发送的经第二密钥加密的第一密钥,再根据解密模块中的第一解密子模块(未示出)通过与第二密钥配对的第三密钥对加密的第一密钥进行解密;然后根据解密模块中的第二解密子模块(未示出)利用通过解密得到的第一密钥对接收的数据进行解密。其中,第二密钥可以是接收方的公钥,第三密钥可以是接收方的私钥,而且,这里所说的数据,可以是通信数据,也可以是交易数据。
当然,在上述方案中,通信终端(即上述的发送方和接收方)也是可选的,可以是智能终端或者非智能终端,也可以是移动终端或者固定终端。
根据本发明的实施例,还提供了一种自主可控移动互联网的通信***,用于自主可控互联网***,自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明。
根据本发明实施例的自主可控移动互联网的通信***包括:
第一签名生成模块,位于发送方侧,用于在数据发送之前,通过SIM卡向移动互联网提供地址标识,并且还通过CPK卡根据SIM卡所提供的地址标识,生成标识签名,促使地址标识具有可证性;
第二签名生成模块,位于发送方侧,用于通过CPK卡根据需要发送的数据,生成数据签名;
发送模块,位于发送方侧,用于将标识签名、数据签名以及数据发送至接收方;
签名接收模块,位于接收方侧,用于接收发送方发送的标识签名和数据签名;
签名验证模块,位于接收方侧,用于对根据接收的标识签名对发送方的地址标识进行验证,在验证结果为地址标识为真实的情况下,根据数据签名对数据的完整性和真实性进行验证;
数据处理模块,位于接收方侧,用于在需要传输的数据通过验证的情况下,允许对接收的数据进行处理。
此外,为了数据的保密性,该通信***还可以在发送方侧设置加密模块,通过加密模块对需要发送的数据进行加密,而在对需要发送的数据进行加密时,可根据加密模块中的第一加密子模块通过生成的第一密钥对需要发送的数据进行加密。
另外,为了保证接收方接收到加密后的数据能进行解密,还可根据加密模块中的第二加密子模块通过第二密钥对第一密钥进行加密,并且,将加密后的第一密钥发送给接收方。
此外,该通信***也可以在接收方侧设置解密模块,通过解密模块在数据被加密的情况下,对数据进行解密。而在对数据进行解密时,首先可根据解密模块中的接收模块接收发送方发送的经第二密钥加密的第一密钥,再根据解密模块中的第一解密子模块通过与第二密钥配对的第三密钥对加密的第一密钥进行解密;然后根据解密模块中的第二解密子模块利用通过解密得到的第一密钥对接收的数据进行解密。
在上述方案中,第一密钥可以是随机定义的,例如:自定义的密码。而第二密钥可以是接收方的公钥,第三密钥可以是接收方的私钥,而且,上述方案中所说的数据可以是通信数据,也可以是交易数据,当然,在上述方案中,地址标识也是可选的,可以是通信终端号码,也可以是电子邮件地址或者IP地址,只要具备公认性即可,同样,同样,通信终端(即上述的发送方和接收方)也是可选的,可以是智能终端或者非智能终端,同时也可以是移动终端或者固定终端。
本发明是在SIM卡和CPK卡上实现的,由SIM卡提供通信连接,现行的SIM卡无需改动,只提供地址标识(例如:电话号码、电子邮件地址、IP地址等)即可,保证地址标识的公正性,而CPK卡通过自身所具备的组合公钥体质和CPK协议又保证了地址标识的可证性,从而很好的为实现移动互联网的自主可控功能提供了依据。其中,CPK卡可以在SIM卡中实现该功能,也可以在手机存储卡(TF卡)上来实现该功能。
另外,自主可控功能主要是体现在接收方,接收方的接收过程分两步进行:受理过程和接受过程。在受理过程中,对该电话、短信、信件、邮件做出接不接的判断;在接受过程中,对该电话、短信、信件、邮件的负责性做出判断。如果数据呈加密状态,则对数据进行解密。
受理过程是电话号码(地址标识)的真实性证明来判别的。标识真实性证明是通过发送方出示证据,接收方验证证据的方式进行。
以下通过一实例对本发明的上述整体方案进行说明。
设Alice代表电话号码或者邮箱地址,发送方为证明标识真实性所出的证据是标识签名,标识签名是标识(Alice)对时间(time)的签名:
SIGalice(time)=(s1,c1)=sign1
发送方位数据负责性所出示的证据是数据签名。数据签名是标识对数据完整性码的签名:
SIGalice(mac)=(s2,c2)=sign2
发送方将证据作成消息发送:
Msg Alice→Bob:{Alice,time,sign1,Bob,data,sign2}
接收方的验证,分别进行受理过程和接受过程,受理过程对标识签名进行验证。如果不符,则拒收本次通信。
VERALICE(time,s1)=c1’
接受过程是对消息鉴别码进行验证。如果不符,将数据另行处理。
VERALICE(mac,s2)=c2’
如果需要数据加密,发送方对数据的加密过程如下:
Alice随机定义数据加密密钥:
key=rG;
Alice对数据加密:
Ekey(data)=code
Alice计算Bob的公钥:
HASH(Bob)→σ2(Ri,j)→BOB
将密钥key用Bob的公钥BOB加密:
ENCBOB(key)=β
其中,E是对称密钥的加密函数,ENC是非对称密钥的加密函数。
Alice发送消息:
Msg Alice→Bob:{Alice,time,sign1,β,code,sign2}
接收方对数据的解密过程如下:
接收方Bob对密钥进行解密:
DECbob(β)=bob-1bob rG=key
Bob对数据进行解密:
Dkey(code)=data
为方便理解,以下从SIM卡和CPK卡的角度出发,对本发明的上述技术方案进行说明。
在本发明中,将SIM卡和CPK卡作为基础构件,以实现移动互联网的自主可控功能,其中,SIM卡为CPK卡提供电话号码实现CPK卡的空间(包括128KB的flash),CPK卡包括CPK鉴别***,CPK鉴别***由CPK公钥体制和CPK鉴别协议构成,分述如下:
CPK公钥体制(Combined Public Key,CPK)是基于标识的公钥体制,采用国际标准ECC体制实现。在CPK公钥体制中,椭圆曲线以E:y2=x3+ax+b(modp)表出;参数为T={a,b,G,n,p},其中,G是基点,n是阶,p是模数;密钥矩阵,分为私钥矩阵(ri,j)和公钥矩阵(Ri.j),(i,j=1..32);HASH函数,采用国际通用的杂凑函数;影射算法分为私钥影射算法和公钥影射算法,其中,私钥影射算法用σ1标记,公钥影射算法用σ2标记。
假设生成Alice的公/私钥。私钥生成过程:
HASH(Alice)→σ1(ri,j)→alice
公钥生成过程:
HASH(Alice)→σ2(Ri,j)→ALICE
其中,HASH(Alice)=YS,YS是随机序列,按5单位划分成32个1,32的i和j作矩阵的坐标。σ1和σ2是组合函数,
σ1=∑(ri,j)mod n=alice
σ2=∑(Ri,j)=ALICE
由于σ2和(Ri,j)公开,公钥可由任何人计算,私钥则由CPK卡提供。CPK的密钥管理规模大于1048。
CPK鉴别协议包括数字签名协议、数据加密协议、口令更换协议、密钥保护协议等。鉴别协议是在真值逻辑基础之上实现的。
在真值逻辑中,一个实体分成两个组成部分,即标识(identity)和本体(body):
entity=identity+body
标识是代表一个实体的唯一名称,本体就是实体本身。真值逻辑由两个证明过程构成:标识鉴别过程和本体鉴别过程,标识和本体一体性证明是在本体证明中是自动完成的。
AUTH(entity)=AUTH(ID)∩AUTH(body)
标识真实性证明是标识对给定时间的签名。由于标识鉴别是可以在本体事件发生之前独立进行,因此称“事先鉴别”。
设:实体Alice的公钥为ALICE,私钥为alice,那么标识Alice真实性函数是标识(私钥)对时间的签名:
AUTH(Alice)=SIGalice(time)=sign1=(s1,c1)
标识验证函数则是:
VERALICE(time,s1)=c1’
如果c1=c1’,验证方证明了这个时刻的实体标识Alice为真。
本体真实性证明是标识对本体特征或本体完整性的签名。由于本体鉴别总是在本体时间发生之后进行,因此称“时候鉴别”。
AUTH(body)=SIGalice(CHR)=sign2=(s2,c2)
或
AUTH(body)=SIGalice(MAC)=sign2=(s2,c2)
其中,本体特征(CHR)是代表本体特征的码,如果本体是物理的,则将数据化的物理特征(指纹、照片)作为本体特征;如果本体是逻辑的,则将数据的完整性码作为本体特征。
其中,完整性是:Hash(data)=MAC。
其中,本体验证函数是:VERALICE(MAC,s2)=c2’。
如果c2=c2’,则证明了本体的真实性,也证明了标识和本题的一体性。
在交易鉴别中,交易过程分为受理过程(accept process)和接受进程(receptprocess),其证明过程与实体鉴别完全对应,不再重述。
如图5所示,本发明的自主可控可以作用于通信层,也可以作用于交易层,其中,Term1和Term2之间发生通信连接,Alice与Bob之间发生的是交易连接。这两者是互为独立的过程,一般所用标识不同,但可以用相同的标识。
以下就通信层的流程作业和交易层的流程作业,对本发明的技术方案做进一步的描述。
在通信层中,为了实现自主可控互联,发送方要提供标识真实性的证据和数据真实性证据;接收方验证发送方标识真实性和数据真实性。从而作业流程就包括通信连接流程和数据传输流程。
其中,发送方的通信连接流程如下:
SIGterm1(time)=(s1,c1)=sign1
其中,Term1代表发送方的电话号码,标识真实性的证据是发送方自己的标识签名,标识签名是标识(Term1)对时间(time)的签名。
发送方将证据作成消息发送:
Msg1:Term1→Term2:{Term1,time,sign1}
接收方通信连接流程如下:
VERTERM1(time,s1)=c1’
接收方进入通信的接受过程,在受理过程中,验证标识签名,决定受理不受理;其中,如果c1=c1′,则证明标识Term1(电话号码)为真,否则为假。此时在收放的屏幕上显示,发信者电话号或姓名,验证结果是通过或不通过。根据验证结果,用户可选择处理方式:接收或拒收。因为通信连接的受理过程在数据传输过程之前独立进行,称事先证明,可防止非法接入的发生。
发送方数据传输流程如下:
发送方数据真实性证据是标识(Term1)对数据完整性码(mac)的签名:
SIGterm1(mac)=(s2,c2)=sign2
发送方将证据和数据作成消息发送:
Msg2:Term1→Term2:{data,sign2}
接收方数据接受过程如下:
VERTERM1(mac,s2)=c2’
接收方对消息鉴别码进行验证,其中,如果c2=c2′,则证明数据mac为真,否则为假,验证结果在屏幕上显示,为用户提供处理依据。因为接受过程是在接收数据以后才能进行,称事后证明。
在CPK协议中还可包括数据加密,其作业过程如下:
发送方的加密流程:
Term1随机定义数据加密密钥:
key=rG;
Term1对数据加密:
Ekey(data)=code
Term1计算Term2的公钥:
HASH(Term2)→σ2=∑(Ri,j)→TERM2
将密钥key用Term2的公钥TERM2加密:
ENCTERM2(key)=β
其中,E是对称密钥的加密函数,ENC是非对称密钥的加密函数。
发送方Term1将加密数据作成消息:
Msg3:Term1→Term2:{β,code,sign2}
接收方Term2解密流程:
先用自己的私钥term2解出数据加密密钥key:
DECterm2(β)=term2-1term2rG=key
对数据解密:
Dkey(code)=data
其中,DEC是非对称密钥的解密函数,D是对称密钥的解密函数。私钥term2由CPK卡提供。
在交易层中,为了实现自主可控互联,交易的发送方要提供标识真实性的证据和交易数据真实性证据;接收方验证发送方标识真实性和数据真实性。
发送方的通信连接流程如下:
SIGtlice(time)=(s1,c1)
其中,Alice代表发送方,标识真实性的证据是发送方自己的标识签名,标识签名是标识(Allice)对时间(time)的签名。
发送方将证据作成消息发送:
Msg1:Alice→Bob:{Alice,time,sign1}
其中,Alice代表发送方Bob代表接收方。
接收方通信连接流程如下:
VERALICE(time,s1)=c1’
接收方进入通信的接受过程,在受理过程中,验证标识签名,决定受理不受理;其中,如果c1=c1′,则证明标识Alice为真,否则为假。此时在收放的屏幕上显示验证结果。根据验证结果,用户可选择处理方式:接收或拒收。因为交易受理过程在接收过程之前独立进行,称事先证明,可防止非法接入的发生。
发送方交易数据流程如下:
SIGalice(mac)=(s2,c2)
其中,发送方交易数据真实性证据是标识(Alice)对数据完整性码(mac)的签名。
接收方数据接受过程如下:
VERALICE(mac,s2)=c2’
其中,接收方对消息鉴别码进行验证,如果c2=c2′,则证明数据mac为真,否则为假,验证结果在屏幕上显示,为用户提供处理依据。因为接受过程是在接收数据以后才能进行,称事后证明。
在CPK协议中还可包括数据加密,其作业过程如下:
发送方的加密流程:
Alice随机定义数据加密密钥:
key=rG;
Alice对数据加密:
Ekey(data)=code
Alice计算Bob的公钥:
HASH(Bob)→σ2=∑(Ri,j)→BOB
将密钥key用Bob的公钥Bob加密:
ENCBOB(key)=β
其中,E是对称密钥的加密函数,ENC是非对称密钥的加密函数。
发送方Alice将加密数据作成消息:
Msg3:Alice→Bob:{β,code,sign2}
接收方Bob解密流程:
先用自己的私钥bob解出数据加密密钥key:
DECbob(β)=bob-1bob rG=key
对数据解密:
Dkey(code)=data
其中,DEC是非对称密钥的解密函数,D是对称密钥的解密函数。私钥bob由CPK卡提供。
在上述的通信层和交易层中,通信层和交易层是互为独立的两个过程,在交易层中,数据需要分类,因为不同数据的标识可能不同,需要进入不同的处理过程,随数据类型的不同,构成各自独立的相应的应用***,如短信、邮件、文件、票据等,如果需要处理各种业务,那么在CPK卡中应用具有多种私钥。在网点出售SIM卡或IC卡时,写入所需标识,如姓名、账号等,姓名、账号等经定义后,就不能修改,也不能第二次定义,这样,私钥申请时,可自动分发对应于姓名、账号的私钥和对应于电话号码的私钥。所有私钥均由CPK卡协议统一管理。
其中,私钥申请的过程如下:私钥申请表包括标识、UID号,标识,UID号对标识的签名,自动发送到网站或中心。发送的函数为msg:={UID,sign,ID},其中,sign是SIGuid(ID)=sign=(s,c);uid是UID号的私钥;s是签名码;c是核对码;ID是申请私钥的标识。
其中,私钥分发的过程如下:网站或中心检查标识的真实性:VERUID(s)=c’,如果c=c’,则生成私钥。其中UID(大写,斜体)是UID的公钥。将私钥sk用UID的公钥加密发送:如:选择一个随机数r,计算:rG=key、Ekey(sk)=code、ENCUID(key)=β,发送:msg={code,β},其中,E是对称加密,ENC是非对称加密。私钥写入过程如下:当msg到达用户设备后,CPK***将私钥自动解密:DECuid(β)=key、Dkey(code)=sk将私钥sk按私钥保护协议记入芯片中。其中,DEC是非对称解密,D是对称解密。至此,分发过程结束
整个过程自动进行,均在片内进行,不外露。SIM卡中的电话号码、人名只能自动扫描获得,在密钥分发中尽量减少人工干预。私钥只发一次,已有私钥的,不能第二次申请。
综上所述,借助于本发明的上述技术方案,通过SIM卡和CPK卡来实现移动互联网的自主可控,具有事先鉴别的标识鉴别功能,有效的防止了非法接入;而标识对数据签名的功能可为破案提供电子证据,取证方便,可构建有秩序地绿色网络;可给用户提供自主可控的依据,实现自主管理的安全策略,而对于数据加密的功能,可起到有效保护个人隐私的作用。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1.一种自主可控移动互联网的业务发起方法,其特征在于,该发起方法用于自主可控互联网***,所述自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明;并且,该发起方法包括:
在数据发送之前,发送方通过位于发送方侧的SIM卡向移动互联网提供地址标识,并且,发送方还通过位于发送方侧的CPK卡根据所述SIM卡所提供的地址标识,生成标识签名,促使所述地址标识具有可证性;
所述发送方通过所述CPK卡根据需要发送的数据,生成数据签名;
所述发送方将所述标识签名、数据签名以及所述数据发送至接收方。
2.根据权利要求1所述的业务发起方法,其特征在于,进一步包括:
所述发送方对需要发送的数据进行加密。
3.根据权利要求2所述的业务发起方法,其特征在于,所述发送方对需要发送的数据进行加密包括:
所述发送方通过生成的第一密钥对需要发送的数据进行加密;
所述发送方通过第二密钥对所述第一密钥进行加密,并且,将加密后的所第一密钥发送给接收方。
4.根据权利要求3所述的业务发起方法,其特征在于,所述第二密钥为所述接收方的公钥。
5.根据权利要求1所述的业务发起方法,其特征在于,所述地址标识包括以下至少之一:
通信终端号码、电子邮件地址、IP地址。
6.根据权利要求1所述的业务发起方法,其特征在于,所述发送方和接收方均包括以下至少之一:
智能终端、非智能终端、移动终端、固定终端。
7.根据权利要求1至6任意一项所述的业务发起方法,其特征在于,所述数据包括以下至少之一:
通信数据、交易数据。
8.一种自主可控移动互联网的业务发起装置,其特征在于,该发起装置用于自主可控互联网***,所述自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明;并且,该发起装置包括:
第一签名生成模块,用于在数据发送之前,通过SIM卡向移动互联网提供地址标识,并且还通过CPK卡根据所述SIM卡所提供的地址标识,生成标识签名,促使所述地址标识具有可证性;
第二签名生成模块,用于通过所述CPK卡根据需要发送的数据,生成数据签名;
发送模块,用于将所述标识签名、数据签名以及所述数据发送至接收方。
9.一种自主可控移动互联网的业务接受方法,其特征在于,该接受方法用于自主可控互联网***,所述自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明;并且,该接受方法包括:
接收方接收所述发送方发送的标识签名和数据签名;
接收方对根据接收的所述标识签名对所述发送方的地址标识进行验证,在验证结果为所述地址标识为真实的情况下,所述接收方根据所述数据签名对数据的完整性和真实性进行验证;
在需要传输的数据通过验证的情况下,允许对接收的所述数据进行处理。
10.根据权利要求9所述的业务接受方法,其特征在于,在对所述发送方的地址标识进行验证的结果为所述地址标识为非真实的情况下,所述接收方拒绝接收所述数据。
11.根据权利要求9所述的业务接受方法,其特征在于,进一步包括:
在所述数据被加密的情况下,所述接收方对所述数据进行解密。
12.根据权利要求11所述的业务接受方法,其特征在于,所述接收方对所述数据进行解密包括:
所述接收方接收所述发送方发送的经所述第二密钥加密的所述第一密钥;
所述接收方通过与所述第二密钥配对的第三密钥对加密的所述第一密钥进行解密;
所述接收方利用通过解密得到的所述第一密钥对接收的所述数据进行解密。
13.根据权利要求12所述的业务接受方法,其特征在于,所述第二密钥为所述接收方的公钥,所述第三密钥为所述接收方的私钥。
14.根据权利要求9所述的业务接受方法,其特征在于,所述发送方和接收方均包括以下至少之一:
智能终端、非智能终端、移动终端、固定终端。
15.根据权利要求9至14所述的业务接受方法,其特征在于,所述数据包括以下至少之一:
通信数据、交易数据。
16.一种自主可控移动互联网的业务接受装置,其特征在于,该接受装置用于自主可控互联网***,所述自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明;并且,该接受装置包括:
签名接收模块,用于接收所述发送方发送的标识签名和数据签名;
签名验证模块,用于对根据接收的所述标识签名对所述发送方的地址标识进行验证,在验证结果为所述地址标识为真实的情况下,根据所述数据签名对数据的完整性和真实性进行验证;
数据处理模块,用于在需要传输的数据通过验证的情况下,允许对接收的所述数据进行处理。
17.一种自主可控移动互联网的通信***,其特征在于,该通信***用于自主可控互联网***,所述自主可控互联网***由SIM卡和CPK卡构成,其中,SIM卡用于向移动互联网提供通信连接和交易连接,CPK卡用于为SIM卡提供的通信连接和交易连接提供真实性证明;并且,该通信***包括:
第一签名生成模块,位于发送方侧,用于在数据发送之前,通过SIM卡向移动互联网提供地址标识,并且还通过CPK卡根据所述SIM卡所提供的地址标识,生成标识签名,促使所述地址标识具有可证性;
第二签名生成模块,位于发送方侧,用于通过所述CPK卡根据需要发送的通信数据,生成数据签名;
发送模块,位于发送方侧,用于将所述标识签名、数据签名以及所述通信数据发送至接收方;
签名接收模块,位于接收方侧,用于接收所述发送方发送的标识签名和数据签名;
签名验证模块,位于接收方侧,用于对根据接收的所述标识签名对所述发送方的地址标识进行验证,在验证结果为所述地址标识为真实的情况下,根据所述数据签名对数据的完整性和真实性进行验证;
数据处理模块,位于接收方侧,用于在需要传输的数据通过验证的情况下,允许对接收的所述数据进行处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310418905.6A CN104469750A (zh) | 2013-09-13 | 2013-09-13 | 自主可控移动互联网的业务方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310418905.6A CN104469750A (zh) | 2013-09-13 | 2013-09-13 | 自主可控移动互联网的业务方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104469750A true CN104469750A (zh) | 2015-03-25 |
Family
ID=52914964
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310418905.6A Pending CN104469750A (zh) | 2013-09-13 | 2013-09-13 | 自主可控移动互联网的业务方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104469750A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104753671A (zh) * | 2013-12-27 | 2015-07-01 | 东方斯泰克信息技术研究院(北京)有限公司 | 网络实体间互联方法与装置和网际网的构建方法与装置 |
CN104869554A (zh) * | 2015-04-08 | 2015-08-26 | 北京旅信顺捷软件科技有限公司 | 一种通过托管sim卡实现移动通信的***及相应的方法 |
CN112087460A (zh) * | 2020-09-11 | 2020-12-15 | 北京中宏致远科技有限公司 | 一种基于工业互联网的自主可控安全芯片 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1859091A (zh) * | 2006-06-06 | 2006-11-08 | 南相浩 | 一种基于cpk的可信连接安全认证***和方法 |
WO2007121641A1 (fr) * | 2006-04-24 | 2007-11-01 | Beijing E-Henxen Authentication Technologies Co., Ltd. | Système d'authentification de la crédibilité d'une clé publique combinée utilisant une puce |
CN101340282A (zh) * | 2008-05-28 | 2009-01-07 | 北京易恒信认证科技有限公司 | 复合公钥的生成方法 |
CN102694818A (zh) * | 2012-06-08 | 2012-09-26 | 南相浩 | 网上私钥的在线分发方法及*** |
-
2013
- 2013-09-13 CN CN201310418905.6A patent/CN104469750A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007121641A1 (fr) * | 2006-04-24 | 2007-11-01 | Beijing E-Henxen Authentication Technologies Co., Ltd. | Système d'authentification de la crédibilité d'une clé publique combinée utilisant une puce |
CN1859091A (zh) * | 2006-06-06 | 2006-11-08 | 南相浩 | 一种基于cpk的可信连接安全认证***和方法 |
CN101340282A (zh) * | 2008-05-28 | 2009-01-07 | 北京易恒信认证科技有限公司 | 复合公钥的生成方法 |
CN102694818A (zh) * | 2012-06-08 | 2012-09-26 | 南相浩 | 网上私钥的在线分发方法及*** |
Non-Patent Citations (1)
Title |
---|
陈文星: "《移动电子商务离线认证模型研究》", 31 December 2011 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104753671A (zh) * | 2013-12-27 | 2015-07-01 | 东方斯泰克信息技术研究院(北京)有限公司 | 网络实体间互联方法与装置和网际网的构建方法与装置 |
CN104869554A (zh) * | 2015-04-08 | 2015-08-26 | 北京旅信顺捷软件科技有限公司 | 一种通过托管sim卡实现移动通信的***及相应的方法 |
WO2016161832A1 (zh) * | 2015-04-08 | 2016-10-13 | 北京旅信顺捷软件科技有限公司 | 一种通过托管sim卡实现移动通信的***及相应的方法 |
CN112087460A (zh) * | 2020-09-11 | 2020-12-15 | 北京中宏致远科技有限公司 | 一种基于工业互联网的自主可控安全芯片 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2021203815A1 (en) | Methods for secure cryptogram generation | |
CN108199835B (zh) | 一种多方联合私钥解密方法 | |
CN103532713B (zh) | 传感器认证和共享密钥产生方法和***以及传感器 | |
CN109257346B (zh) | 基于区块链的隐蔽传输*** | |
CN102547688B (zh) | 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法 | |
CN104322003B (zh) | 借助实时加密进行的密码认证和识别方法 | |
CN107612934A (zh) | 一种基于密钥分割的区块链移动端计算***和方法 | |
US20060280297A1 (en) | Cipher communication system using device authentication keys | |
EP0661845B1 (en) | System and method for message authentication in a non-malleable public-key cryptosystem | |
CN107566128A (zh) | 一种两方分布式sm9数字签名生成方法与*** | |
CN108768930A (zh) | 一种数据的加密传输方法 | |
CN105450406A (zh) | 数据处理的方法和装置 | |
CN104243494B (zh) | 一种数据处理方法 | |
CN106059747A (zh) | 基于公钥基础设施的可重用公钥证书方案 | |
CN106656510A (zh) | 一种加密密钥获取方法及*** | |
WO2015158172A1 (zh) | 一种用户身份识别卡 | |
CN104424446A (zh) | 一种安全认证和传输的方法和*** | |
US6640303B1 (en) | System and method for encryption using transparent keys | |
CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
CN103986583A (zh) | 一种动态加密方法及其加密通信*** | |
CN107679847A (zh) | 一种基于近场通信双向身份认证的移动交易隐私保护方法 | |
CN102082790A (zh) | 一种数字签名的加/解密方法及装置 | |
CN113507372A (zh) | 一种接口请求的双向认证方法 | |
CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证***及方法 | |
CN102281303A (zh) | 一种数据交换方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150325 |
|
WD01 | Invention patent application deemed withdrawn after publication |