一種5g網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法【專利摘要】本發(fā)明公開了一種5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法,請(qǐng)求用戶端點(diǎn)和目標(biāo)用戶端點(diǎn)分別發(fā)送他們的交互式臨時(shí)公鑰以及相關(guān)信息給對(duì)方�����;請(qǐng)求用戶端點(diǎn)和目標(biāo)用戶端點(diǎn)終止交互后,協(xié)商出主密鑰��;每當(dāng)請(qǐng)求用戶端點(diǎn)需要和目標(biāo)用戶端點(diǎn)進(jìn)行通信����,在主密鑰加密下協(xié)商出域內(nèi)會(huì)話密鑰或跨域會(huì)話密鑰����,對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)。本發(fā)明在不涉及各安全域安全體制的情況下��,僅需要一次端到端的主密鑰協(xié)商��,就能在用戶通信時(shí)安全協(xié)商出會(huì)話密鑰���,使得信息所經(jīng)由的傳輸設(shè)備不能夠獲取明文信息�;同時(shí)��,監(jiān)管部門應(yīng)該能夠解密所傳輸?shù)男畔?���,以?shí)現(xiàn)監(jiān)管、反恐等目的;可用于在5G通信中實(shí)現(xiàn)信息同一域內(nèi)或跨域端到端的安全傳輸���?!緦@f(shuō)明】一種5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法
技術(shù)領(lǐng)域:
[0001]本發(fā)明屬于通信
技術(shù)領(lǐng)域:
�,尤其涉及一種5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法?!?br>背景技術(shù):
】[0002]隨著無(wú)線通信技術(shù)的高速發(fā)展,可實(shí)現(xiàn)的用戶體驗(yàn)速率飛速增長(zhǎng)����。5G網(wǎng)絡(luò)作為第五代移動(dòng)通信網(wǎng)絡(luò),其最高理論傳輸速度可達(dá)每秒數(shù)十Gb�,這比4G網(wǎng)絡(luò)的傳輸速度快數(shù)百倍。面對(duì)無(wú)線通信技術(shù)的飛速發(fā)展以及多種無(wú)線通信網(wǎng)絡(luò)的泛在共存����,用戶對(duì)無(wú)線通信系統(tǒng)傳輸性能的需求不斷提升,同時(shí)也對(duì)安全性能提出了越來(lái)越高的要求��。無(wú)線安全的威脅主要來(lái)自于無(wú)線鏈路的脆弱性���,因其天然的開放性和廣播性特點(diǎn)�,極易受到竊聽和干擾等安全威脅�����。這一問(wèn)題在3G、4G系統(tǒng)正逐步改善�,但是采用的安全手段還是沿用有線通信中的高層加密認(rèn)證機(jī)制,對(duì)彌補(bǔ)無(wú)線通信的短板沒(méi)有直接作用����。在傳統(tǒng)的無(wú)線通信網(wǎng)絡(luò)中,其安全性通常都是依靠認(rèn)證和密碼技術(shù)�,在通信協(xié)議棧的上層來(lái)解決,這就使得“水桶效應(yīng)”越來(lái)越明顯���,目前仍缺少結(jié)合無(wú)線傳輸特點(diǎn)的有效解決方案。近年來(lái)����,從物理層的角度對(duì)無(wú)線通信安全性的研究正蓬勃發(fā)展,物理層安全技術(shù)已成為無(wú)線通信領(lǐng)域的一個(gè)研究熱點(diǎn)�����。無(wú)線通信系統(tǒng)經(jīng)歷了前四代的發(fā)展歷程�����,已經(jīng)向著全I(xiàn)P的下一代無(wú)線通信系統(tǒng)逐步演進(jìn)。無(wú)線安全問(wèn)題變得尤為重要��,一直是業(yè)界研究的重點(diǎn)和熱點(diǎn)��,并且隨著各種無(wú)線通信技術(shù)及異構(gòu)網(wǎng)絡(luò)共存����、融合的趨勢(shì),未來(lái)無(wú)線通信系統(tǒng)的安全問(wèn)題將變得復(fù)雜����,5G所面臨的安全壓力和負(fù)荷比以往更大,安全威脅更加多樣化��。因此��,有必要在5G通信技術(shù)的研究起步之初����,兼顧通信和安全的雙重需求,在研究高頻譜效率����、高吞吐率的無(wú)線傳輸技術(shù)的同時(shí),同步開展針對(duì)無(wú)線傳播特點(diǎn)的安全防護(hù)機(jī)制研究�,力求在不顯著降低通信效率的前提下實(shí)現(xiàn)消息的源端到目的端的身份認(rèn)證及密鑰協(xié)商��,對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)����,使得信息所經(jīng)由的傳輸設(shè)備不能夠獲取明文信息�����。在2014年第九屆Internat1nalConferenceonBroadbandandWirelessComputing,Communicat1nandApplicat1n中���,會(huì)議論文《ASecureEnd-to-EndMobileChatScheme》中提出了一種安全的移動(dòng)端到端傳輸方式��。該傳輸方式通過(guò)密碼的身份認(rèn)證����,為端到端之間提供相同的認(rèn)證�,從而阻止密碼猜測(cè)攻擊以及未被檢測(cè)到的在線密碼猜測(cè)攻擊���。這種方法可以保障不同安全域之間端到端傳輸?shù)陌踩?���,但是只針?duì)于移動(dòng)智能設(shè)備提出���,適用于交互頻繁的端到端操作�����,不能直接應(yīng)用于空間信息網(wǎng)�����,因?yàn)槠渫負(fù)浣Y(jié)構(gòu)具有高動(dòng)態(tài)性��,端到端之間不適合頻繁交互�����?��!禝nternat1nalJournalofSecurityandItsApplicat1n》在2014年8月發(fā)表的《End-to-EndAuthenticat1nProtocolsforPersonaI/PortableDevicesoverCognitiveRad1Networks》一文針對(duì)端到端傳輸?shù)陌踩?�,提出了兩種基于本地認(rèn)證的協(xié)議�����,它使用本地信息認(rèn)證作為安全憑證�,減少了端與端之間的交互��,并且該協(xié)議可以整合進(jìn)現(xiàn)有的可擴(kuò)展協(xié)議中來(lái)。這種方法在端到端傳輸過(guò)程中交互動(dòng)作較少�,滿足空間信息網(wǎng)拓?fù)浣Y(jié)構(gòu)高動(dòng)態(tài)性以及結(jié)點(diǎn)能力有限的特點(diǎn),但是該方法只關(guān)注個(gè)人便攜式設(shè)備以及在無(wú)線電網(wǎng)絡(luò)中的應(yīng)用��,無(wú)法完成多個(gè)域間的安全協(xié)同���,不適用于空間信息網(wǎng)中多安全域并存的狀態(tài)��。2015年I月第12屆IBCAST的會(huì)議記錄《SecureEnd-to-EndSMSCommunicat1noverGSMNetworks》一文提出了一種使用對(duì)稱密鑰和身份認(rèn)證技術(shù)進(jìn)行加密和密鑰認(rèn)證的方式����,它可以在信息傳輸中斷�����、泄漏以及被檢測(cè)的情況下保障端到端的安全性�。這種方法在端到端傳輸過(guò)程中需要的交互動(dòng)作較少,同時(shí)延遲時(shí)間短���,滿足空間信息網(wǎng)結(jié)點(diǎn)距離遠(yuǎn)以及拓?fù)浣Y(jié)構(gòu)高動(dòng)態(tài)性的特點(diǎn),但是該僅限于特定的網(wǎng)絡(luò)環(huán)境以及特定的網(wǎng)絡(luò)服務(wù)����,同時(shí)也未考慮空間信息網(wǎng)周期性運(yùn)動(dòng)的特點(diǎn)��。[0003]現(xiàn)有的5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法不能直接應(yīng)用于空間信息網(wǎng)���,只關(guān)注個(gè)人便攜式設(shè)備以及在無(wú)線電網(wǎng)絡(luò)中的應(yīng)用,無(wú)法完成多個(gè)域間的安全協(xié)同�,不適用于空間信息網(wǎng)中多安全域并存的狀態(tài),未考慮空間信息網(wǎng)周期性運(yùn)動(dòng)的特點(diǎn)����。【
發(fā)明內(nèi)容】[0004]本發(fā)明的目的在于提供一種5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法���,旨在解決現(xiàn)有的5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法不能直接應(yīng)用于空間信息網(wǎng)���,只關(guān)注個(gè)人便攜式設(shè)備以及在無(wú)線電網(wǎng)絡(luò)中的應(yīng)用,無(wú)法完成多個(gè)域間的安全協(xié)同�����,不適用于空間信息網(wǎng)中多安全域并存的狀態(tài)����,未考慮空間信息網(wǎng)周期性運(yùn)動(dòng)特點(diǎn)的問(wèn)題。[0005]本發(fā)明是這樣實(shí)現(xiàn)的�����,一種5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法,所述5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法利用密鑰對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)����,使得信息所經(jīng)由的傳輸設(shè)備不能夠獲取明文信息;同時(shí)��,監(jiān)管部門應(yīng)該能夠解密所傳輸?shù)男畔?���;包?請(qǐng)求用戶端點(diǎn)和目標(biāo)用戶端點(diǎn)分別發(fā)送他們的交互式臨時(shí)公鑰以及相關(guān)信息給對(duì)方;請(qǐng)求用戶端點(diǎn)和目標(biāo)用戶端點(diǎn)終止交互后,協(xié)商出主密鑰;每當(dāng)請(qǐng)求用戶端點(diǎn)需要和目標(biāo)用戶端點(diǎn)進(jìn)行通信����,在主密鑰加密下協(xié)商出域內(nèi)會(huì)話密鑰或跨域會(huì)話密鑰,對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)�����。[0006]進(jìn)一步���,所述5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法包括以下步驟:[0007]步驟一�����,主密鑰協(xié)商階段�����,目標(biāo)用戶C2作為響應(yīng)者�����,接收請(qǐng)求用戶Cl發(fā)送的信息�,消息中包括公鑰gxVodq��、簽名SigA(gxl)���、隨機(jī)數(shù)NonceI�����,身份標(biāo)識(shí)ID1;[0008]步驟二�����,如果目標(biāo)用戶C2和請(qǐng)求用戶Cl跨域��,目標(biāo)用戶C2收到請(qǐng)求用戶Cl的信息后�,根據(jù)公鑰gxlmodq和私鑰X2計(jì)算主密鑰Masterkey,并計(jì)算應(yīng)答MIC1�,將MIC1、公鑰gx2modq����、簽名SigB(gx2)、隨機(jī)數(shù)Nonce2�����,身份標(biāo)識(shí)ID2—起發(fā)送給用戶Cl;如果目標(biāo)用戶C2和請(qǐng)求用戶Cl在同一域內(nèi)����,步驟二上述過(guò)程將SigB(gx2)改為SigA(gx2);[0009]步驟三,請(qǐng)求用戶Cl收到響應(yīng)后�,驗(yàn)證應(yīng)答MIC1,根據(jù)公鑰gxVodq和私鑰X1計(jì)算主密鑰Masterkey��,并計(jì)算應(yīng)答MIC2�����,將隨機(jī)數(shù)Nonce2和MIC2發(fā)送給目標(biāo)用戶C2�����;[0010]步驟四,目標(biāo)用戶C2收到響應(yīng)后�����,驗(yàn)證應(yīng)答MIC2,如果正確����,則用戶Cl和用戶C2在主密鑰協(xié)商階段協(xié)商出新的主密鑰Masterkey后�,每當(dāng)用戶Cl和用戶C2進(jìn)行通信時(shí),執(zhí)行步驟五����;[0011]步驟五,會(huì)話密鑰協(xié)商階段��,用戶Cl和用戶C2執(zhí)行四步握手協(xié)議���,協(xié)商出用于本次通信的域內(nèi)會(huì)話密鑰或者跨域會(huì)話密鑰�。[0012]進(jìn)一步�,所述步驟一中請(qǐng)求用戶端點(diǎn)Cl向目標(biāo)用戶端點(diǎn)C2發(fā)送主密鑰協(xié)商請(qǐng)求,按如下步驟進(jìn)行:[0013]第一步��,請(qǐng)求用戶端點(diǎn)Cl計(jì)算隨機(jī)數(shù)Noncel,將請(qǐng)求(Noncel�����,gxlmodq�����,SigA(gxl)����,ID1)發(fā)送給代理A,其中g(shù)xlmodq表示用戶Cl的公鑰��,SigA(gxl)表示第一安全域代理A對(duì)公鑰gxlmodq的簽名��,頂表示用戶Cl的身份�����;[0014]第二步�,第一安全域代理A向目標(biāo)用戶端點(diǎn)C2所在的第二安全域代理B發(fā)送請(qǐng)求消息;[0015]第三步,第二安全域B將消息發(fā)給目標(biāo)用戶端點(diǎn)C2�����。[0016]進(jìn)一步,所述步驟二中目標(biāo)用戶端點(diǎn)C2發(fā)送響應(yīng)�,按如下步驟進(jìn)行:[0017]第一步,目標(biāo)用戶端點(diǎn)C2接收到消息后��,解析出隨機(jī)數(shù)Noncel���、公鑰gxlmodq����、身份標(biāo)識(shí)IDi����,其中g(shù)xlmodq表示用戶Cl的公鑰�;[0018]第二步,目標(biāo)用戶端點(diǎn)C2計(jì)算應(yīng)答MICi=Hash(Masterkeygx2modq|SigB(gx2)|Nonce2|Noncel)����,其中Masterkey表示主密鑰,gx2modq表示用戶端點(diǎn)C2的公鑰�,SigB(gx2)表示第二安全域代理B對(duì)公鑰gx2modq的簽名,Nonce2表示用戶C2計(jì)算的隨機(jī)數(shù)��,Noncel表示用戶Cl計(jì)算的隨機(jī)數(shù)��;[0019]第三步,目標(biāo)用戶端點(diǎn)02將響應(yīng)化"21110(^力88(8)^)����,如1^2,11(:1����,102)發(fā)送給請(qǐng)求用戶端點(diǎn)Cl。[0020]上述步驟一到步驟三中�����,如果請(qǐng)求用戶端點(diǎn)Cl和目標(biāo)用戶端點(diǎn)C2在同一域內(nèi)���,則將安全域代理A和安全域代理B視為同一個(gè)安全域代理A�,并將SigB(gx2)改為SigA(gx2)��。[0021]進(jìn)一步�����,所述步驟三中請(qǐng)求用戶端點(diǎn)Cl發(fā)送響應(yīng)�,按如下步驟進(jìn)行:[0022]第一步,請(qǐng)求用戶端點(diǎn)Cl接收到消息后����,解析出隨機(jī)數(shù)Nonce2��、公鑰gxVodq,其中g(shù)x2modq表示用戶C2的公鑰�����;[0023]第二步�,請(qǐng)求用戶端點(diǎn)Cl計(jì)算MIC1��,將計(jì)算出的MIC1與用戶C2發(fā)送的MIC1進(jìn)行對(duì)比����,如果兩者相同���,驗(yàn)證通過(guò)����,否則驗(yàn)證失?���。籟0024]第三步����,如果通過(guò)�����,計(jì)算應(yīng)答MIC2=Hash(Masterkey||Nonce2||Noncel)�,其中Masterkey表示主密鑰�,Nonce2表示用戶C2計(jì)算的隨機(jī)數(shù),Noncel表示用戶Cl計(jì)算的隨機(jī)數(shù)�����;[0025]第四步�����,將響應(yīng)(Nonce2�,MIC2)發(fā)送給目標(biāo)用戶端點(diǎn)C2。[0026]進(jìn)一步���,所述步驟四中目標(biāo)用戶端點(diǎn)C2接收響應(yīng)后��,按如下步驟進(jìn)行:[0027]第一步���,目標(biāo)用戶端點(diǎn)C2接收到消息后�,解析出隨機(jī)數(shù)Nonce2�,應(yīng)答MIC2;[0028]第二步,計(jì)算MIC2,將計(jì)算出的MIC1與用戶Cl發(fā)送的[&進(jìn)行對(duì)比�,如果兩者相同,驗(yàn)證通過(guò)�����,否則驗(yàn)證失?��?����;[0029]第三步����,如果正確���,則用戶Cl和C2協(xié)商出主密鑰Masterkey,以上主密鑰協(xié)商過(guò)程對(duì)于用戶Cl和用戶C2只運(yùn)行一次����;[0030]所述步驟四中用戶端點(diǎn)Cl和C2經(jīng)過(guò)主密鑰協(xié)商后���,按如下步驟進(jìn)行:[0031]請(qǐng)求用戶端點(diǎn)Cl和目標(biāo)用戶端點(diǎn)C2執(zhí)行四步握手協(xié)議,協(xié)商出用于本次通信的域內(nèi)會(huì)話密鑰或者跨域會(huì)話密鑰�����,利用該密鑰對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)��;[0032]本發(fā)明的另一目的在于提供一種應(yīng)用所述5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法的智能終端�����。[0033]本發(fā)明的另一目的在于提供一種應(yīng)用所述5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法的通信控制系統(tǒng)��。[0034]現(xiàn)有的移動(dòng)通信系標(biāo)準(zhǔn)中的安全機(jī)制只保證了用戶信息在無(wú)線信道上傳輸?shù)臋C(jī)密性與完整性�����,通信信息在移動(dòng)通信系統(tǒng)的節(jié)點(diǎn)設(shè)備上仍然以明文形式存在���,移動(dòng)通信系統(tǒng)尚未提供用戶數(shù)據(jù)的端到端加密傳輸服務(wù)����,不能保證用戶數(shù)據(jù)的傳輸安全。我們假定共有2k個(gè)用戶����,其中k個(gè)是消息的發(fā)起者,k個(gè)是消息的接受者���,每?jī)蓚€(gè)用戶進(jìn)行η次會(huì)話���,則主密鑰和會(huì)話密鑰協(xié)商過(guò)程中,消息交互輪數(shù)為(3+4n)k����,每個(gè)用戶的計(jì)算量為I次模指+(2η+2)次Hash,代理的計(jì)算量為O��。如果一個(gè)安全域里面k值很大�����,即用戶數(shù)量很大���,則要考慮代理的承受能力。移動(dòng)通信網(wǎng)正是具有這個(gè)特點(diǎn)��。[0035]另外,考慮到移動(dòng)用戶的漫游需求�,可將用戶I和用戶2漫游分三種情況:用戶I或用戶2漫游到其他域,用戶I和用戶2都漫游到不同的域�����,用戶I和用戶2漫游到相同的域�。[0036]無(wú)論哪種情況,如果監(jiān)管部門想獲取用戶的通信內(nèi)容��,則用戶I漫游域的代理可以將主密鑰協(xié)商階段的第一條消息發(fā)送給用戶2注冊(cè)域代理���,由用戶2注冊(cè)域代理根據(jù)消息中用戶I的公鑰結(jié)合用戶2的私鑰計(jì)算出用戶I和用戶2的主密鑰Masterkey;或者用戶2漫游域的代理將主密鑰協(xié)商階段的第二條消息發(fā)送給用戶I注冊(cè)域代理���,由用戶I注冊(cè)域代理根據(jù)消息中用戶2的公鑰結(jié)合用戶I的私鑰計(jì)算出用戶I和用戶2的主密鑰Masterkey。[0037]本發(fā)明提供的5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法���,與現(xiàn)有技術(shù)相比����,本發(fā)明具有如下優(yōu)點(diǎn):[0038]I)代理A和B的工作量小����,僅僅在用戶I和用戶2注冊(cè)的時(shí)候(可以是在用戶申請(qǐng)SM卡的時(shí)候或者是在用戶入網(wǎng)接入認(rèn)證的時(shí)候)給用戶發(fā)放一對(duì)公私鑰���。之后再不參與用戶I和用戶2之間的密鑰協(xié)商。減輕了用戶對(duì)他們的依賴��,適合5G網(wǎng)絡(luò)中用戶數(shù)量大的場(chǎng)景��。[0039]2)本發(fā)明在兩個(gè)用戶通信前僅需要一次端到端的主密鑰協(xié)商�����,并且該協(xié)商過(guò)程無(wú)安全域代理參與計(jì)算�����,減輕了代理的負(fù)擔(dān)�,保證了后續(xù)會(huì)話密鑰協(xié)商的安全性。[0040]3)本發(fā)明在安全域代理和用戶端點(diǎn)的共同協(xié)助下��,僅需一次端到端的主密鑰協(xié)商�����,就能實(shí)現(xiàn)消息從源端到目的端的身份認(rèn)證及會(huì)話密鑰協(xié)商�����,利用會(huì)話密鑰對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)。[0041]4)由于安全域代理能夠計(jì)算出用戶之間協(xié)商的主密鑰Masterkey�,所以監(jiān)管部門可以獲取用戶間所傳輸?shù)南⒚魑?�,以?shí)現(xiàn)監(jiān)管�����、反恐等目的�。[0042]5)當(dāng)前移動(dòng)網(wǎng)絡(luò)中,端對(duì)端的通信信息在核心網(wǎng)傳輸過(guò)程中是未經(jīng)過(guò)加密的�,存在被截獲、竊取的風(fēng)險(xiǎn)�����,本發(fā)明利用會(huì)話密鑰對(duì)傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)����,使得信息所經(jīng)由的傳輸設(shè)備不能夠獲取明文信息,信息在發(fā)送端加密后到接收端閱讀解密前的整個(gè)過(guò)程都是以密文形式存在�����,具有很高的安全性���?�!靖綀D說(shuō)明】[0043]圖1是本發(fā)明實(shí)施例提供的5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法流程圖�。[0044]圖2是本發(fā)明實(shí)施例提供的跨域網(wǎng)絡(luò)安全模型示意圖。[0045]圖3是本發(fā)明實(shí)施例提供的域內(nèi)網(wǎng)絡(luò)安全模型示意圖��。[0046]圖4是本發(fā)明實(shí)施例提供的跨域通信密鑰協(xié)商過(guò)程示意圖��。[0047]圖5是本發(fā)明實(shí)施例提供的域內(nèi)通信密鑰協(xié)商過(guò)程示意圖��?!揪唧w實(shí)施方式】[0048]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�����,以下結(jié)合實(shí)施例�����,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明�。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明�,并不用于限定本發(fā)明。[0049]本發(fā)明針對(duì)5G網(wǎng)絡(luò)的特點(diǎn)���,提出一種5G網(wǎng)絡(luò)中域內(nèi)或跨域端到端的身份認(rèn)證以及密鑰協(xié)商方法�����,利用密鑰對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)�����,使得信息所經(jīng)由的傳輸設(shè)備不能夠獲取明文信息��;同時(shí)����,監(jiān)管部門應(yīng)該能夠解密所傳輸?shù)男畔?所述5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法請(qǐng)求用戶端點(diǎn)和目標(biāo)用戶端點(diǎn)通過(guò)交換各自的公鑰和相關(guān)信息�����,協(xié)商出主密鑰���,在主密鑰的加密下���,通過(guò)四步握手協(xié)議協(xié)商出會(huì)話密鑰。[0050]下面結(jié)合附圖對(duì)本發(fā)明的應(yīng)用原理作詳細(xì)的描述����。[0051]如圖1所示�����,本發(fā)明實(shí)施例的5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法包括以下步驟:[0052]SlOl:請(qǐng)求用戶端點(diǎn)和目標(biāo)用戶端點(diǎn)在注冊(cè)階段接收來(lái)自代理分發(fā)的公私鑰和簽名�����,當(dāng)請(qǐng)求用戶端點(diǎn)與目標(biāo)用戶端點(diǎn)進(jìn)行第一次通信時(shí)����,雙方分別發(fā)送他們的交互式臨時(shí)公鑰以及各自的簽名給以及相關(guān)信息對(duì)方����;[0053]S102:請(qǐng)求用戶端點(diǎn)和目標(biāo)用戶端點(diǎn)經(jīng)過(guò)三輪消息交互后,協(xié)商出主密鑰�����;[0054]S103:每當(dāng)請(qǐng)求用戶端點(diǎn)需要和目標(biāo)用戶端點(diǎn)進(jìn)行通信��,在主密鑰加密下�����,經(jīng)過(guò)四步握手協(xié)議,協(xié)商出域內(nèi)會(huì)話密鑰或跨域會(huì)話密鑰����,對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)。[0055]下面結(jié)合具體實(shí)施例對(duì)本發(fā)明的應(yīng)用原理作詳細(xì)的說(shuō)明���。[0056]參照?qǐng)D2��,本發(fā)明所適用的跨域網(wǎng)絡(luò)模型包括第一安全域I和第二安全域2這兩個(gè)安全域。其中第一安全域I有第一安全域代理A和第一用戶端點(diǎn)Cl:第二安全域2有第二安全域代理B和第二用戶端點(diǎn)C2���。[0057]安全域有如下特點(diǎn):[0058]I)端到端傳輸?shù)男畔⑺?jīng)過(guò)的傳輸設(shè)備是不可信的��,攻擊者可能監(jiān)聽和盜取用戶所傳輸?shù)男畔?��。[0059]2)安全域I和安全域2之間相互信任;[0060]3)代理A和代理B分別是安全域I和安全域2中的代理�,負(fù)責(zé)用戶的接入認(rèn)證,兩者相互信任���;[0061]4)用戶I是安全域I中的用戶����,他信任代理A;用戶2是安全域2中的用戶,他信任代理B;[0062]5)代理A和代理B之間已經(jīng)完成了相互身份認(rèn)證��,并建立了共享密鑰KAB����。用戶I和A完成了相互認(rèn)證,加入到了安全域I中����,建立了同A之間的共享密鑰K1;用戶2和B完成了相互認(rèn)證,加入到了安全域2中�,建立了同B之間共享的密鑰K2。[0063]6)注冊(cè)階段���,若用戶I和用戶2在不同安全域���,即用戶在申請(qǐng)SIM卡的時(shí)候,第一安全域代理�,即該域的認(rèn)證服務(wù)器Α,計(jì)算交互式臨時(shí)公鑰SI�����,向該域用戶I發(fā)送如下信息:用戶I的公鑰gxlmodq,用戶I的私鑰X1���,第一安全域代理A對(duì)公鑰gxlmodq的簽名SigA(gxl);[0064]類似的�����,注冊(cè)階段����,第二安全域代理B�,即該域的認(rèn)證服務(wù)器B,計(jì)算交互式臨時(shí)公鑰S2���,向該域用戶2發(fā)送如下信息:用戶2的公鑰gxVodq,用戶2的私鑰X2���,第二安全域代理B對(duì)公鑰gx2modq的簽名SigB(gx2)����;[0065]其中���,計(jì)算交互式臨時(shí)公鑰是借鑒Diffie-Hellman算法���,按如下步驟計(jì)算:[0066]第一步����,請(qǐng)求網(wǎng)絡(luò)端點(diǎn)Cl選取大素?cái)?shù)q和其本原根g��,其中�,大素?cái)?shù)q和其本原根g是兩個(gè)公開的整數(shù);[0067]第二步��,請(qǐng)求網(wǎng)絡(luò)端點(diǎn)Cl選取一個(gè)隨機(jī)整數(shù)Xl作為臨時(shí)私鑰����,其中X1〈q;[0068]第三步,得到交互式臨時(shí)公鑰:Sl=gxlmodq�����。[0069]用戶接收并存儲(chǔ)密鑰對(duì)信息后����,即表示注冊(cè)階段完成;[0070]在上述安全模型中��,用戶I和用戶2希望協(xié)商一個(gè)共享密鑰���,但A和B能夠獲取該密鑰�����,以實(shí)現(xiàn)對(duì)通信監(jiān)管的目的����。[0071]安全域是由在同一工作環(huán)境中、具有相同或相似的安全保護(hù)需求和保護(hù)策略�、相互信任、相互關(guān)聯(lián)或相互作用的實(shí)體組成的網(wǎng)絡(luò)����。對(duì)于每一個(gè)安全域而言,至少存在一個(gè)安全域代理用來(lái)實(shí)現(xiàn)安全域代理與域內(nèi)網(wǎng)絡(luò)端點(diǎn)的安全關(guān)聯(lián)以及域內(nèi)網(wǎng)絡(luò)端點(diǎn)間的安全關(guān)聯(lián)�����。同時(shí)����,安全域代理也為安全域間或跨域網(wǎng)絡(luò)端點(diǎn)間的安全提供支持���。[0072]參照?qǐng)D3�,本發(fā)明所適用的域內(nèi)網(wǎng)絡(luò)模型為第一安全域I。該模型與參照?qǐng)D2相比����,不同的地方在于:注冊(cè)階段,若用戶I和用戶2在同一安全域���,則只有一個(gè)安全域代理A�,向該域用戶I發(fā)送如下信息:用戶I的公鑰gxVodq��,用戶I的私鑰X1�����,第一安全域代理A對(duì)公鑰gxlmodq的簽名SigA(gxl);第一安全域代理A向該域用戶2發(fā)送如下信息:用戶2的公鑰gxVodq�����,用戶2的私鑰X2���,第一安全域代理A對(duì)公鑰gxVodq的簽名SigA(gx2)�����。[0073]參照?qǐng)D4��,本發(fā)明所使用的密鑰協(xié)商過(guò)程如下:[0074]主密鑰協(xié)商階段���,用戶Cl和用戶C2交換各自的公鑰和簽名��,經(jīng)過(guò)三輪交互���,可以計(jì)算出主密鑰。會(huì)話密鑰協(xié)商階段�����,用戶Cl和用戶C2執(zhí)行四步握手協(xié)議����,協(xié)商出本次跨域會(huì)話的密鑰。[0075]參照?qǐng)D5���,本發(fā)明所使用的密鑰協(xié)商過(guò)程如下:[0076]主密鑰協(xié)商階段����,用戶Cl和用戶C2交換各自的公鑰和簽名�,經(jīng)過(guò)三輪交互����,可以計(jì)算出主密鑰���。會(huì)話密鑰協(xié)商階段,用戶Cl和用戶C2執(zhí)行四步握手協(xié)議���,協(xié)商出本次域內(nèi)會(huì)話的密鑰�����。[0077]本發(fā)明在上述網(wǎng)絡(luò)安全模型下進(jìn)行5G網(wǎng)絡(luò)端到端的密鑰協(xié)商包括:主密鑰協(xié)商階段��,跨域會(huì)話密鑰協(xié)商��,域內(nèi)會(huì)話密鑰協(xié)商階段三部分����。[0078]一��、主密鑰協(xié)商階段[0079]本步驟的具體實(shí)現(xiàn)如下:[0080]步驟1�����、請(qǐng)求用戶端點(diǎn)Cl作為發(fā)起者���,發(fā)送如下信息給目標(biāo)用戶端點(diǎn)C2:[0081]用戶Cl的公鑰gxlmodq����,[0082]第一安全域代理A對(duì)公鑰gxlmodq的簽名SigA(gxl);[0083]隨機(jī)數(shù)Noncel,[0084]用戶Cl身份標(biāo)識(shí)ID1;[0085]步驟2���、目標(biāo)用戶端點(diǎn)C2作為響應(yīng)者�����,接收請(qǐng)求用戶端點(diǎn)Cl發(fā)送的信息�����,并計(jì)算應(yīng)^MICi=Hash(Masterkeygx2modq|SigB(gx2)|Nonce2|Noncel)��,其中MICi包括如下信息:[0086]主密鑰Masterkey=prf(gxlx2)modq,[0087]用戶端點(diǎn)C2的公鑰gxVodq��,[0088]第二安全域代理B對(duì)公鑰gxVodq的簽名SigB(gx2),[0089]隨機(jī)數(shù)Nonce2�����,[0090]隨機(jī)數(shù)NonceI;[0091]步驟3、如果請(qǐng)求用戶端點(diǎn)Cl和目標(biāo)用戶端點(diǎn)C2跨域�����,用戶C2發(fā)送如下信息給請(qǐng)求用戶端點(diǎn)Cl:[0092]用戶C2對(duì)用戶Cl的應(yīng)答MIC1,[0093]用戶C2的公鑰gxVodq�,[0094]第二安全域代理B對(duì)公鑰gxVodq的簽名SigB(gx2)��,[0095]隨機(jī)數(shù)Nonce2,[0096]用戶C2身份標(biāo)識(shí)ID2�,[0097]如果請(qǐng)求用戶端點(diǎn)Cl和目標(biāo)用戶端點(diǎn)C2在同一域內(nèi),則上述第二安全域代理B對(duì)公鑰gx2modq的簽名SigB(gx2)改為SigA(gx2);[0098]步驟4���、請(qǐng)求用戶端點(diǎn)Cl收到目標(biāo)用戶端點(diǎn)C2返回的信息后�,驗(yàn)證應(yīng)答MIC1的有效性并發(fā)送應(yīng)答MIC2�。[0099]4a)用戶端點(diǎn)Cl解析收到的消息,得到用戶C2的公鑰gxVodq��,第二安全域代理B對(duì)公鑰gxVodq的簽名SigB(gx2)�,隨機(jī)數(shù)Nonce2,如果請(qǐng)求用戶端點(diǎn)Cl和用戶端點(diǎn)C2在同一域內(nèi)����,則上述第二安全域代理B對(duì)公鑰gxVodq的簽名SigB(gx2)改為SigA(gx2);[0100]4b)計(jì)算MIC1,并與收到的用戶C2對(duì)用戶Cl的應(yīng)答犯&進(jìn)行對(duì)比����,如果兩者相同��,驗(yàn)證通過(guò)����,否則驗(yàn)證失?����?�;[0101]4c)如果通過(guò)�,計(jì)算應(yīng)答MIC2=Hash(MasterkeyNonce2|Noncel),其中MIC2包括如下信息:[0102]主密鑰Masterkey=prf(gxlx2)modq,[0103]隨機(jī)數(shù)Nonce2�����,[0104]隨機(jī)數(shù)NonceI;[0105]步驟5�、請(qǐng)求用戶端點(diǎn)Cl發(fā)送如下信息給目標(biāo)用戶端點(diǎn)C2:[0106]用戶Cl對(duì)用戶C2的應(yīng)答MIC2,[0107]隨機(jī)數(shù)Nonce2;[0108]步驟6、目標(biāo)用戶端點(diǎn)C2收到請(qǐng)求用戶端點(diǎn)Cl發(fā)送的信息后����,驗(yàn)證應(yīng)答MIC2的有效性。[0109]6a)計(jì)算MIC2,并與收到的用戶Cl對(duì)用戶C2的應(yīng)答MIC2進(jìn)行對(duì)比���,如果兩者相同��,驗(yàn)證通過(guò)�,否則驗(yàn)證失敗��。[0110]6b)如果正確�,則執(zhí)行步驟(7)��。以上主密鑰協(xié)商過(guò)程對(duì)于用戶Cl和用戶C2只運(yùn)行一次�����。[0111]二����、跨域會(huì)話密鑰協(xié)商階段[0112]本步驟的具體實(shí)現(xiàn)如下:[0113]步驟7�����、在經(jīng)過(guò)主密鑰協(xié)商后�����,用戶Cl和用戶C2執(zhí)行四步握手協(xié)議,協(xié)商出用于本次通信的跨域會(huì)話密鑰����,利用該密鑰對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)。[0114]三��、域內(nèi)會(huì)話密鑰協(xié)商階段[0115]本步驟的具體實(shí)現(xiàn)如下:[0116]步驟8��、在經(jīng)過(guò)主密鑰協(xié)商后�����,用戶Cl和用戶C2執(zhí)行四步握手協(xié)議����,協(xié)商出用于本次通信的域內(nèi)會(huì)話密鑰����,利用該密鑰對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)。[0117]以上所述僅為本發(fā)明的較佳實(shí)施例而已���,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改����、等同替換和改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��?����!局鳈?quán)項(xiàng)】1.一種5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法��,其特征在于����,所述5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法利用密鑰對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)����,使得信息所經(jīng)由的傳輸設(shè)備不能夠獲取明文信息;同時(shí)�,監(jiān)管部門應(yīng)該能夠解密所傳輸?shù)男畔?包括:請(qǐng)求用戶端點(diǎn)和目標(biāo)用戶端點(diǎn)分別發(fā)送他們的交互式臨時(shí)公鑰以及相關(guān)信息給對(duì)方;請(qǐng)求用戶端點(diǎn)和目標(biāo)用戶端點(diǎn)終止交互后,協(xié)商出主密鑰;每當(dāng)請(qǐng)求用戶端點(diǎn)需要和目標(biāo)用戶端點(diǎn)進(jìn)行通信��,在主密鑰加密下協(xié)商出域內(nèi)會(huì)話密鑰或跨域會(huì)話密鑰�����,對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)。2.如權(quán)利要求1所述的5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法�,其特征在于,所述5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法包括以下步驟:步驟一�����,主密鑰協(xié)商階段�,目標(biāo)用戶C2作為響應(yīng)者,接收請(qǐng)求用戶Cl發(fā)送的信息�����,消息中包括公鑰gxlmodq��、簽名SigA(gx1)���、隨機(jī)數(shù)Noncel�、身份標(biāo)識(shí)IDi;步驟二����,如果用戶Cl和用戶C2跨域,目標(biāo)用戶C2收到請(qǐng)求用戶Cl的信息后����,根據(jù)公鑰gxlmodq和私鑰X2計(jì)算主密鑰Masterkey,并計(jì)算應(yīng)答MIC1�,將MIC1、公鑰gx2modq����、簽名SigB(gx2)、隨機(jī)數(shù)Nonce2�、身份標(biāo)識(shí)ID2—起發(fā)送給用戶Cl;如果目標(biāo)用戶C2和請(qǐng)求用戶Cl在同一域內(nèi),步驟二上述過(guò)程需要將SigB(gx2)改為SigA(gx2);步驟三����,請(qǐng)求用戶Cl收到響應(yīng)后,驗(yàn)證應(yīng)答MIC1�,根據(jù)公鑰gxVodq和私鑰X1計(jì)算主密鑰Masterkey,并計(jì)算應(yīng)答MIC2���,將隨機(jī)數(shù)Nonce2和MIC2發(fā)送給目標(biāo)用戶C2;步驟四����,目標(biāo)用戶C2收到響應(yīng)后,驗(yàn)證應(yīng)答MIC2,如果無(wú)誤�����,則用戶Cl和用戶C2在主密鑰協(xié)商階段協(xié)商出新的主密鑰Masterkey,執(zhí)行步驟五���;步驟五�����,會(huì)話密鑰協(xié)商階段���,每當(dāng)用戶Cl和用戶C2進(jìn)行通信,用戶Cl和用戶C2執(zhí)行四步握手協(xié)議�����,協(xié)商出用于本次通信的域內(nèi)會(huì)話密鑰或者跨域會(huì)話密鑰��,利用該密鑰對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)��。3.如權(quán)利要求2所述的5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法��,其特征在于���,所述步驟一中請(qǐng)求用戶端點(diǎn)Cl向目標(biāo)用戶端點(diǎn)C2發(fā)送主密鑰協(xié)商請(qǐng)求�����,按如下步驟進(jìn)行:第一步����,請(qǐng)求用戶端點(diǎn)(31計(jì)算隨機(jī)數(shù)1'101^1,將請(qǐng)求(1'101^1¥11]10(^����,318八^1),IDi)發(fā)送給代理A��,其中g(shù)xlmodq表示用戶Cl的公鑰��,SigA(gxl)表示第一安全域代理A對(duì)公鑰gxlmodq的簽名��;第二步�����,第一安全域代理A向目標(biāo)用戶端點(diǎn)C2所在的第二安全域代理B發(fā)送請(qǐng)求消息�;第三步,第二安全域代理B將消息發(fā)給目標(biāo)用戶端點(diǎn)C2;如果請(qǐng)求用戶端點(diǎn)Cl和目標(biāo)用戶端點(diǎn)C2在同一域內(nèi)��,則將安全域代理A和安全域代理B視為同一個(gè)安全域代理A��。4.如權(quán)利要求2所述的5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法��,其特征在于���,所述步驟二中目標(biāo)用戶端點(diǎn)C2發(fā)送響應(yīng)�����,按如下步驟進(jìn)行:第一步�,目標(biāo)用戶端點(diǎn)C2接收到消息后�����,解析出隨機(jī)數(shù)Noncel�、公鑰gxlmodq,其中g(shù)xlmodq表示用戶CI的公鑰����;第二步,目標(biāo)用戶端點(diǎn)C2計(jì)算應(yīng)答MICi=Hash(Masterkey|gx2modq||SigB(gx2)|Nonce2|Noncel)�����,其中Masterkey表示主密鑰�,gx2modq表示用戶端點(diǎn)C2的公鑰,SigB(gx2)表示第二安全域代理B對(duì)公鑰gx2modq的簽名,Nonce2表示用戶C2計(jì)算的隨機(jī)數(shù)�����,Noncel表示用戶Cl計(jì)算的隨機(jī)數(shù)����;第三步,目標(biāo)用戶端點(diǎn)C2將響應(yīng)(gx2modq��,SigB(gx2),NoncAMIC1,ID2)發(fā)送給請(qǐng)求用戶端點(diǎn)Cl���,如果目標(biāo)用戶C2和請(qǐng)求用戶Cl在同一域內(nèi)��,需要將發(fā)送的簽名SigB(gx2)改為SigA(gx2);如果請(qǐng)求用戶端點(diǎn)Cl和目標(biāo)用戶端點(diǎn)C2在同一域內(nèi)��,則將安全域代理A和安全域代理B視為同一個(gè)安全域代理A���。5.如權(quán)利要求2所述的5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法,其特征在于�,所述步驟三中請(qǐng)求用戶端點(diǎn)Cl發(fā)送響應(yīng),按如下步驟進(jìn)行:第一步����,請(qǐng)求用戶端點(diǎn)CI接收到消息后��,解析出隨機(jī)數(shù)Nοnce2、公鑰gx2mοdq����,其中g(shù)x2modq表示用戶C2的公鑰;第二步�,請(qǐng)求用戶端點(diǎn)Cl計(jì)算MIC1,將計(jì)算出的MIC1與用戶C2發(fā)送的^(^進(jìn)行對(duì)比���,如果兩者相同�����,驗(yàn)證通過(guò)���,否則驗(yàn)證失敗�;第三步,如果通過(guò)�,計(jì)算應(yīng)答MIC2=Hash(MasterkeyNonce2|Noncel),其中Masterkey表示主密鑰����,Nonce2表示用戶C2計(jì)算的隨機(jī)數(shù)�,Noncel表示用戶Cl計(jì)算的隨機(jī)數(shù)����;第四步,請(qǐng)求用戶端點(diǎn)Cl將響應(yīng)(Nonce2�����,MIC2)發(fā)送給目標(biāo)用戶端點(diǎn)C2����。6.如權(quán)利要求2所述的5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法,其特征在于��,所述步驟四中目標(biāo)用戶端點(diǎn)C2接收響應(yīng)后�,按如下步驟進(jìn)行:第一步,目標(biāo)用戶端點(diǎn)C2接收到消息后�,解析出隨機(jī)數(shù)Nonce2,應(yīng)答MIC2;第二步����,目標(biāo)用戶端點(diǎn)C2計(jì)算MIC2,將計(jì)算出的MIC2與用戶Cl發(fā)送的MIC2進(jìn)行對(duì)比,如果兩者相同�,驗(yàn)證通過(guò),否則驗(yàn)證失??�;第三步����,如果正確����,則請(qǐng)求用戶端點(diǎn)Cl和目標(biāo)用戶端點(diǎn)C2協(xié)商出主密鑰Masterkey����,以上主密鑰協(xié)商過(guò)程對(duì)于用戶Cl和用戶C2只運(yùn)行一次。7.如權(quán)利要求2所述的5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法�����,其特征在于����,所述步驟五中用戶端點(diǎn)Cl和C2經(jīng)過(guò)主密鑰協(xié)商后,按如下步驟進(jìn)行:請(qǐng)求用戶端點(diǎn)Cl和目標(biāo)用戶端點(diǎn)C2執(zhí)行四步握手協(xié)議��,協(xié)商出用于本次通信的域內(nèi)會(huì)話密鑰或者跨域會(huì)話密鑰��,利用該密鑰對(duì)隨后傳輸?shù)男畔⑦M(jìn)行加密及完整性保護(hù)�����。8.—種應(yīng)用權(quán)利要求1-7任意一項(xiàng)所述5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法的智能終端。9.一種應(yīng)用權(quán)利要求1-7任意一項(xiàng)所述5G網(wǎng)絡(luò)中能夠?qū)崿F(xiàn)通信監(jiān)管的端到端安全建立方法的智能終端�����?�!疚臋n編號(hào)】H04W12/02GK105848140SQ201610153473【公開日】2016年8月10日【申請(qǐng)日】2016年3月17日【發(fā)明人】李興華,紀(jì)韜,張俊偉,馬建峰,張?jiān)骑w,鐘焰濤,雷藝學(xué),鄭倩【申請(qǐng)人】西安電子科技大學(xué),宇龍計(jì)算機(jī)通信科技(深圳)有限公司,西安同友信息技術(shù)有限公司