[发明专利]一种基于虚拟专用信道的高可信手机安全通信信道的建立方法

说明书

技术领域：

本发明属于手机通信安全技术领域，涉及基于现有的手机网络为手机通信假设虚拟专用信道。 

背景技术：

本发明所涉及的高安全等级的手机安全信道，在用户身份认证一直的情况下，创建手机安全信道，确保用户使用信道交互数据的私密性、认证性和完整性，即使网络中存在有恶意的监听行为，也不能窃取到用户交互的数据，甚至在用户无疑中泄露了安全信道临时加密密钥，或者入侵者通过某种手段分析出部分临时加密密钥的情况下，仍然能保证安全信道交互的数据不会被完全窃取。

现有技术已经有所涉及：

1、对称加解密算法：主要是用于安全信道实时数据包的加密。因为对称加解密算法加密还是解密都使用同一个密钥，其主要的特点是加解密速度快，安全性高。这方面最有影响的单钥密码是1977年美国国家标准局颁布的DES算法，其密钥长度为56位，明文按64位进行分组，将分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。DES算法具有极高安全性，通过该算法，结合安全信道的安全策略设定动态的临时会话密钥生成，完全可以保证手机安全信道中交互数据的安全；

2、非对称加解密算法：其加解密的密钥为一对，分为公钥与私钥，公钥可以完全公开，对方使用公钥对数据进行加密后，只有私密拥有方才可能对密文进行解密，这方面的代表性算法有：1976年W.Diffie和M.E.Heilinan提出折DH算法，Rivest，Shamir和Ad1eman人提出的RSA密码体制。现以广泛使用在数据加密与数据签名方面；

3、数据签名与验证：数字签名是通过一个单向函数对要传送的数据包内容进行处理得到的，通过对数字签名的认证，来确认数据包的来源及其完整性。目前最为常用的是：DSS 和RSA算法，被广泛应用于许多产品的软件和类库中。其中，与DSS不同是，RSA既可以用来加密数据，也可以用于身份认证。和Hash签名相比，在公钥系统中，由于生成签名的密钥只存储于用户的计算机中，安全系数大一些。

可信根技术是指将加密的认证数据块放入可信根的存储专区，由此在移动硬盘在上电后，可信根利用认证数据块评估对已存储合法用户密约的可信度，从而确保合法用户信息没有被修改，基于此信息，即可实现对户的高可信身份认证。

发明内容：

本发明的目的在于：基于现有的手机网络，实现为手机通信架设虚拟专用信道，该通道具备满足完整性、认证性、秘密性的数据传输能力，实现高安全等级的手机文本、语音以及视频数据交互，可以抵御当前各类手机通信安全威胁，维护我国国家安全与经济建设，保障公民的隐私权力。

本发明的具体方法方案如下：一种基于虚拟专用信道的高可信手机安全通信通道的建立方法，当用户身份认证的服务器在接收到用户提交的数字身份认证后，将首先调用用户管理服务器中的存储的用户非对称加密公钥，身份认证的数字签名进行验证，确保身份认证数字证书的完整性，再使用公钥对身份认证数字蒸煮由可信根中私钥加密的用户身份信息进行解密，将用户注册到中继服务器，建立安全信道以完成手机文本、语音以及视频数据交互。本方法的具体步骤包括：

步骤1、请求方用户登录到手机安全信道系统，向身份认证服务器提交用户使用的手机SIM卡的PIN码、用户口令，可包括手机的IMEI编码和其他相关的用户信息；

步骤2、将以上的用户信息经手机终端用户登录模块组成身份认证数字证书； 

步骤3、调用手机终端内的可信根芯片中固化的非对称加密密钥对数字证书进行加密，并将加密后的数字证书经数字签名后，发送到用户身份认证服务器； 

步骤4、用户身份认证服务器在接收到用户提交的身份认证数字证书后，调用用户管理服务器中的存储的相应用户非对称加密公钥，身份认证数字证书的数字签名进行验证，确保身份认证数字证书的完整性；

步骤5、用户身份认证服务器用公钥对身份认证的数字证书由身份认证服务器可信根中私钥加密的用户身份信息进行解密，并对解密后的身份信息逐一验证；

步骤6、通过验证后，确认用户及其使用手机的身份，将用户注册到中继或其它服务器中，用户完成登录系统的过程；