技術(shù)領(lǐng)域：

本發(fā)明屬于手機(jī)通信安全技術(shù)領(lǐng)域，涉及基于現(xiàn)有的手機(jī)網(wǎng)絡(luò)為手機(jī)通信假設(shè)虛擬專用信道。?

背景技術(shù)：

本發(fā)明所涉及的高安全等級(jí)的手機(jī)安全信道，在用戶身份認(rèn)證一直的情況下，創(chuàng)建手機(jī)安全信道，確保用戶使用信道交互數(shù)據(jù)的私密性、認(rèn)證性和完整性，即使網(wǎng)絡(luò)中存在有惡意的監(jiān)聽行為，也不能竊取到用戶交互的數(shù)據(jù)，甚至在用戶無疑中泄露了安全信道臨時(shí)加密密鑰，或者入侵者通過某種手段分析出部分臨時(shí)加密密鑰的情況下，仍然能保證安全信道交互的數(shù)據(jù)不會(huì)被完全竊取。

現(xiàn)有技術(shù)已經(jīng)有所涉及：

1、對稱加解密算法：主要是用于安全信道實(shí)時(shí)數(shù)據(jù)包的加密。因?yàn)閷ΨQ加解密算法加密還是解密都使用同一個(gè)密鑰，其主要的特點(diǎn)是加解密速度快，安全性高。這方面最有影響的單鑰密碼是1977年美國國家標(biāo)準(zhǔn)局頒布的DES算法，其密鑰長度為56位，明文按64位進(jìn)行分組，將分組后的明文組和56位的密鑰按位替代或交換的方法形成密文組的加密方法。DES算法具有極高安全性，通過該算法，結(jié)合安全信道的安全策略設(shè)定動(dòng)態(tài)的臨時(shí)會(huì)話密鑰生成，完全可以保證手機(jī)安全信道中交互數(shù)據(jù)的安全；

2、非對稱加解密算法：其加解密的密鑰為一對，分為公鑰與私鑰，公鑰可以完全公開，對方使用公鑰對數(shù)據(jù)進(jìn)行加密后，只有私密擁有方才可能對密文進(jìn)行解密，這方面的代表性算法有：1976年W.Diffie和M.E.Heilinan提出折DH算法，Rivest，Shamir和Ad1eman人提出的RSA密碼體制。現(xiàn)以廣泛使用在數(shù)據(jù)加密與數(shù)據(jù)簽名方面；

3、數(shù)據(jù)簽名與驗(yàn)證：數(shù)字簽名是通過一個(gè)單向函數(shù)對要傳送的數(shù)據(jù)包內(nèi)容進(jìn)行處理得到的，通過對數(shù)字簽名的認(rèn)證，來確認(rèn)數(shù)據(jù)包的來源及其完整性。目前最為常用的是：DSS?和RSA算法，被廣泛應(yīng)用于許多產(chǎn)品的軟件和類庫中。其中，與DSS不同是，RSA既可以用來加密數(shù)據(jù)，也可以用于身份認(rèn)證。和Hash簽名相比，在公鑰系統(tǒng)中，由于生成簽名的密鑰只存儲(chǔ)于用戶的計(jì)算機(jī)中，安全系數(shù)大一些。

可信根技術(shù)是指將加密的認(rèn)證數(shù)據(jù)塊放入可信根的存儲(chǔ)專區(qū)，由此在移動(dòng)硬盤在上電后，可信根利用認(rèn)證數(shù)據(jù)塊評(píng)估對已存儲(chǔ)合法用戶密約的可信度，從而確保合法用戶信息沒有被修改，基于此信息，即可實(shí)現(xiàn)對戶的高可信身份認(rèn)證。

發(fā)明內(nèi)容：

本發(fā)明的目的在于：基于現(xiàn)有的手機(jī)網(wǎng)絡(luò)，實(shí)現(xiàn)為手機(jī)通信架設(shè)虛擬專用信道，該通道具備滿足完整性、認(rèn)證性、秘密性的數(shù)據(jù)傳輸能力，實(shí)現(xiàn)高安全等級(jí)的手機(jī)文本、語音以及視頻數(shù)據(jù)交互，可以抵御當(dāng)前各類手機(jī)通信安全威脅，維護(hù)我國國家安全與經(jīng)濟(jì)建設(shè)，保障公民的隱私權(quán)力。

本發(fā)明的具體方法方案如下：一種基于虛擬專用信道的高可信手機(jī)安全通信通道的建立方法，當(dāng)用戶身份認(rèn)證的服務(wù)器在接收到用戶提交的數(shù)字身份認(rèn)證后，將首先調(diào)用用戶管理服務(wù)器中的存儲(chǔ)的用戶非對稱加密公鑰，身份認(rèn)證的數(shù)字簽名進(jìn)行驗(yàn)證，確保身份認(rèn)證數(shù)字證書的完整性，再使用公鑰對身份認(rèn)證數(shù)字蒸煮由可信根中私鑰加密的用戶身份信息進(jìn)行解密，將用戶注冊到中繼服務(wù)器，建立安全信道以完成手機(jī)文本、語音以及視頻數(shù)據(jù)交互。本方法的具體步驟包括：

步驟1、請求方用戶登錄到手機(jī)安全信道系統(tǒng)，向身份認(rèn)證服務(wù)器提交用戶使用的手機(jī)SIM卡的PIN碼、用戶口令，可包括手機(jī)的IMEI編碼和其他相關(guān)的用戶信息；

步驟2、將以上的用戶信息經(jīng)手機(jī)終端用戶登錄模塊組成身份認(rèn)證數(shù)字證書；?

步驟3、調(diào)用手機(jī)終端內(nèi)的可信根芯片中固化的非對稱加密密鑰對數(shù)字證書進(jìn)行加密，并將加密后的數(shù)字證書經(jīng)數(shù)字簽名后，發(fā)送到用戶身份認(rèn)證服務(wù)器；?

步驟4、用戶身份認(rèn)證服務(wù)器在接收到用戶提交的身份認(rèn)證數(shù)字證書后，調(diào)用用戶管理服務(wù)器中的存儲(chǔ)的相應(yīng)用戶非對稱加密公鑰，身份認(rèn)證數(shù)字證書的數(shù)字簽名進(jìn)行驗(yàn)證，確保身份認(rèn)證數(shù)字證書的完整性；

步驟5、用戶身份認(rèn)證服務(wù)器用公鑰對身份認(rèn)證的數(shù)字證書由身份認(rèn)證服務(wù)器可信根中私鑰加密的用戶身份信息進(jìn)行解密，并對解密后的身份信息逐一驗(yàn)證；

步驟6、通過驗(yàn)證后，確認(rèn)用戶及其使用手機(jī)的身份，將用戶注冊到中繼或其它服務(wù)器中，用戶完成登錄系統(tǒng)的過程；