CN108650171B - 一种基于点对点通信技术的安全即时通信方法 - Google Patents
一种基于点对点通信技术的安全即时通信方法 Download PDFInfo
- Publication number
- CN108650171B CN108650171B CN201810456894.3A CN201810456894A CN108650171B CN 108650171 B CN108650171 B CN 108650171B CN 201810456894 A CN201810456894 A CN 201810456894A CN 108650171 B CN108650171 B CN 108650171B
- Authority
- CN
- China
- Prior art keywords
- client
- user
- communication
- point
- personal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 title claims abstract description 61
- 238000004891 communication Methods 0.000 title claims abstract description 60
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000005516 engineering process Methods 0.000 title claims abstract description 16
- 230000005540 biological transmission Effects 0.000 claims description 2
- 238000012795 verification Methods 0.000 claims description 2
- 230000000977 initiatory effect Effects 0.000 claims 1
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/04—Real-time or near real-time messaging, e.g. instant messaging [IM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于点对点通信技术的安全即时通信方法,属于安全通信领域,本发明主要通过在各个即时通信用户之间直接使用TLS协议加密的点对点通信技术传输数据,旨在保障用户通信不受任何第三方监听。提供了安全性更高即时通信解决方案,提高了企业信息化的安全性,降低了信息泄露的风险。
Description
技术领域
本发明涉及安全通信技术,尤其涉及一种基于点对点通信技术的安全即时通信方法。
背景技术
用户在使用电脑、手机等各类计算设备时,经常会用到即时通讯功能。尤其在企业日常工作中,企业内部雇员之间、雇员与合作伙伴之间经常需要安全性更为可靠的加密通讯机制。虽然基于公钥证书的传输层加密技术已经可以保障用户客户端与服务端之间的安全通信。但由于服务端长期持续的在公网暴露,其安全性很难持续的得到高强度的保障。因此提供一种点对点加密的安全即时通讯协议是十分必要的。
发明内容
为了解决以上技术问题,本发明提出了一种基于点对点通信技术的安全即时通信方法,同时支持点对点即时通信、全端非对称加密通信、客户端保护个人专用数字证书、个人专用数字证书同步等功能。
本发明的技术方案是:
一种点对点加密的安全即时通讯方法,包括以下步骤:
1)用户通过符合通讯协议要求的客户端程序完成身份认证流程。并获取身份令牌。
2)用户客户端依照实际情况完成用户个人专用数字证书的同步或创建操作。
3)用户通过个人专用数字证书建立与其他用户的通讯链路。进行加密通讯。
在步骤1中,用户通过客户端完成身份认证过程。最终客户端获得用户的身份认证令牌。
在步骤2中,用户与任何其他用户通信前,必须确保已获取用户个人专用通信证书。此时可能出现三类情况:
若用户从未在任何客户端使用个人专用数字证书,则立即在当前客户端生成证书。并告知服务端,完成用户与客户端的绑定。
若用户当前客户端没有个人专用数字证书,但用户在其他客户端存有证书,则通过服务端发起同步流程。完成数字证书从其他任一客户端向当前客户端的同步。
若用户在当前客户端已有个人专用数字证书则直接发起通信链接。
在步骤3中,用户使用个人专用数字证书与其他用户进行双向安全认证,建立互信关系。之后在互信的加密通道内进行点对点通信。
所述完成身份认证的步骤,
1)使用安全的身份认证协议进行身份认证,包括但不限于OAuth 1.0、OAuth 2.0、CAS等。
2)整个认证流程采用基于非对称加密技术的传输层加密通信协议进行加密,包括但不限于SSL协议、TLS协议等。
所述同步或创建个人专用数字证书的步骤,
1)个人专用数字证书采用非对称加密技术。
2)过程中所有与服务端的通信需要采用服务端公钥证书进行非对称加密通信。加密通讯技术包括但不限于SSL个版本协议、TLS个版本协议。
3)如果当前客户端持有或可以访问到当前用户的个人专用数字证书则直接跳过此步骤。
4)如果当前客户端未持有或无法访问到当前用户的个人专用数字证书,且在任何客户端上都未曾创建个人专用数字证书。此时客户端通过非对称加密算法直接生成自签名的公钥、私钥证书。并告知服务端用户与当前客户端进行绑定。
5)如果当前客户端未持有或无法访问到当前用户的个人专用数字证书,但通过服务器端查询,在其他客户端上存在。则通过个人有效身份令牌向服务端发起同步请求,要求从用户从其他客户端上同步个人专用证书到本地。
6)服务端收到证书同步请求后,在验证用户身份令牌合法的前提下,对用户所有客户端推送证书同步通知。客户端收到同步通知后提示用户,并请求用户确认同步请求。
7)用户在任意客户端确认请求后,该客户的公钥证书及点对点通讯地址净服务端转发至请求来源客户端;如果用户拒绝同步请求,则同步流程就此终止。
8)证书请求源客户端收到个人公钥证书及点对点通讯地址后,发起与另一客户端的点对点直接通信连接进行个人专用私钥证书的分发。该连接采用个人公钥证书进行非对称加密通信。传输层加密通讯技术包括但不限于SSL个版本协议、TLS个版本协议。
所述通过个人专用数字证书建立与其他用户的通讯链路的步骤,使用非对称加密的数字证书进行点对点通信双方的身份校验。即通信用户双方使用数字证书中注册的持有人信息进行比对。匹配后即认为双方身份有效合法。
本发明的有益效果是
本发明实现了任意用户之间通过数字证书建立互信关系,并进行点对点的加密通信传输。整个过程中用户私密信息不经过服务器传输。服务端不持有用户任何密钥。确保了整个通信过程无中间人攻击、且不存在服务端泄露用户机密信息的可能。
附图说明
图1是创建用户专用数字证书过程的活动时序示意图;
图2是同步用户专用数字证书过程的活动时序示意图。
具体实施方式
下面对本发明的内容进行更加详细的阐述:
首先用户与服务端之间通过服务端公钥证书进行加密通信。客户端依据公钥证书信任服务端。服务端通过用户身份认证令牌信任客户端。同时通过公钥证书完成客户端与服务端的通信加密。
之后客户端与其他客户端之间的通讯通过点对点通信技术,直接建立两个客户端所在设备的通信链路。在此过程中,点对点通信采用双向数字证书互信并加密的通信策略,确保不可被监听。
为确保上述步骤安全有效。用户专用数字证书必须在客户端本地生成,且确保不会将私钥以任何形式透露给服务端或网络中的其他未被信任的设备。为实现以上目的,我们设计了用户专用数字生证书创建和跨设备同步两个关键流程:
1 创建个人专用数字证书(参见图-1):
1.1 客户端首先完成与服务端的身份认证流程。获得身份令牌。
1.2 客户端尝试请求同步个人专用数字证书。
1.3 服务端校验身份后无法找到已注册的客户端信息。返回无可用证书同步。
1.4 客户端确认无可用证书同步后,在本地生成自签名证书作为个人专用数字证书。
1.5 客户端告知服务端更新绑定信息。
2 同步个人专用数字证书:
2.1 客户端首先完成与服务端的身份认证流程。获得身份令牌。
2.2 客户端尝试请求同步个人专用数字证书。
2.3 服务端验证用户身份后,告知所有用户其他客户端,用户请求同步个人专用数字证书到新客户端。
2.4 已存在个人专用数字证书的客户端收到通知后,提醒用户确认同步授权。
2.5 用户授权同步证书。
2.6 已存在个人专用数字证书的客户端将公钥证书和点对点通信所需地址借由服务端转发至新客户端。
2.7 新客户的通过公钥证书和点对点通信地址建立加密通信链路。
2.8 新客户端在加密通信链路内请求获取私钥证书。待另一方应答后整个同步过程完整结束。
以上是对本发明的一种点对点加密的安全即时通讯方法所进行的详细描述。本发明的使用场景:安全级别要求较高的客户端点对点通信场景。
本发明通过一种点对点通信技术和非对称加密技术,提供了安全性更高即时通信解决方案,提高了企业信息化的安全性,降低了信息泄露的风险。
Claims (2)
1.一种基于点对点通信技术的安全即时通信方法,其特征在于,
包含如下步骤:
1)、用户通过符合通讯协议要求的客户端程序完成身份认证流程,并获取身份令牌;
2)用户客户端依照实际情况完成用户个人专用数字证书的同步或创建操作;
3)用户通过个人专用数字证书建立与其他用户的通讯链路,进行加密通讯;
步骤1)中,
使用安全的身份认证协议进行身份认证;
整个认证流程采用基于非对称加密技术的传输层加密通信协议进行加密;
步骤2)中,
2.1)个人专用数字证书采用非对称加密技术;
2.2)过程中所有与服务端的通信需要采用服务端公钥证书进行非对称加密通信;
2.3)如果当前客户端持有或可以访问到当前用户的个人专用数字证书则直接跳过此步骤;
2.4)如果当前客户端未持有或无法访问到当前用户的个人专用数字证书,且在任何客户端上都未曾创建个人专用数字证书;此时客户端通过非对称加密算法直接生成自签名的公钥、私钥证书,并告知服务端用户与当前客户端进行绑定;
2.5)如果当前客户端未持有或无法访问到当前用户的个人专用数字证书,但通过服务器端查询,在其他客户端上存在,则通过个人有效身份令牌向服务端发起同步请求,要求用户从其他客户端上同步个人专用证书到本地;
2.6)、服务端收到证书同步请求后,在验证用户身份令牌合法的前提下,对用户所有客户端推送证书同步通知;客户端收到同步通知后提示用户,并请求用户确认同步请求;
2.7)用户在任意客户端确认请求后,该客户的公钥证书及点对点通讯地址由服务端转发至请求来源客户端;如果用户拒绝同步请求,则同步流程就此终止;
2.8)证书请求源客户端收到个人公钥证书及点对点通讯地址后,发起与另一客户端的点对点直接通信连接进行个人专用私钥证书的分发,该连接采用个人公钥证书进行非对称加密通信。
2.根据权利要求1所述的方法,其特征在于,
在步骤3)中,
使用非对称加密的数字证书进行点对点通信双方的身份校验,即通信用户双方使用数字证书中注册的持有人信息进行比对,匹配后即认为双方身份有效合法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810456894.3A CN108650171B (zh) | 2018-05-14 | 2018-05-14 | 一种基于点对点通信技术的安全即时通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810456894.3A CN108650171B (zh) | 2018-05-14 | 2018-05-14 | 一种基于点对点通信技术的安全即时通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108650171A CN108650171A (zh) | 2018-10-12 |
| CN108650171B true CN108650171B (zh) | 2020-12-22 |
Family
ID=63755331
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810456894.3A Active CN108650171B (zh) | 2018-05-14 | 2018-05-14 | 一种基于点对点通信技术的安全即时通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108650171B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064695A (zh) * | 2007-05-16 | 2007-10-31 | 杭州看吧科技有限公司 | 一种P2P(Peer to Peer)安全连接的方法 |
| CN102437913A (zh) * | 2010-09-29 | 2012-05-02 | 任少华 | 网络用户的认证系统或方法 |
| US9754100B1 (en) * | 2014-12-22 | 2017-09-05 | Amazon Technologies, Inc. | Credential synchronization management |
-
2018
- 2018-05-14 CN CN201810456894.3A patent/CN108650171B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064695A (zh) * | 2007-05-16 | 2007-10-31 | 杭州看吧科技有限公司 | 一种P2P(Peer to Peer)安全连接的方法 |
| CN102437913A (zh) * | 2010-09-29 | 2012-05-02 | 任少华 | 网络用户的认证系统或方法 |
| US9754100B1 (en) * | 2014-12-22 | 2017-09-05 | Amazon Technologies, Inc. | Credential synchronization management |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108650171A (zh) | 2018-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109561066B (zh) | 数据处理方法、装置、终端及接入点计算机 | |
| US9923877B2 (en) | External indexing and search for a secure cloud collaboration system | |
| KR102134302B1 (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
| EP3149887B1 (en) | Method and system for creating a certificate to authenticate a user identity | |
| US10074374B2 (en) | Ad hoc one-time pairing of remote devices using online audio fingerprinting | |
| KR100953095B1 (ko) | 슈퍼 피어 기반 p2p 네트워크 시스템 및 이를 위한 피어인증 방법 | |
| CN107040513B (zh) | 一种可信访问认证处理方法、用户终端和服务端 | |
| CN109302412B (zh) | 基于CPK的VoIP通信处理方法、终端、服务器及存储介质 | |
| US10298561B2 (en) | Providing a single session experience across multiple applications | |
| US20100138907A1 (en) | Method and system for generating digital certificates and certificate signing requests | |
| CN110808829B (zh) | 一种基于密钥分配中心的ssh认证方法 | |
| US8751792B2 (en) | Method and system for entity public key acquiring, certificate validation and authentication by introducing an online credible third party | |
| WO2019178942A1 (zh) | 一种进行ssl握手的方法和系统 | |
| CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
| JP2016526844A (ja) | 制約リソースデバイスのための鍵確立 | |
| US8085937B1 (en) | System and method for securing calls between endpoints | |
| CN108259486B (zh) | 基于证书的端到端密钥交换方法 | |
| CN107493294B (zh) | 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法 | |
| CN108650171B (zh) | 一种基于点对点通信技术的安全即时通信方法 | |
| US20060031418A1 (en) | Authenticating client-to-client communication | |
| CN113449312A (zh) | 基于联盟区块链的用户通讯平台 | |
| Lee | Stateless One-time Authenticated Session Resumption in TLS Handshake Using Paired Token | |
| CN117749393B (zh) | 基于协同签名的sslvpn用户身份验证方法及系统 | |
| CN116961988A (zh) | 用于保证客户端的私用密钥安全的方法、系统和介质 | |
| CN114531225A (zh) | 端到端通信加密方法、装置、存储介质及终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |