CN110690967A - 一种不依赖于服务端安全的即时通信密钥确立方法 - Google Patents

一种不依赖于服务端安全的即时通信密钥确立方法 Download PDF

Info

Publication number
CN110690967A
CN110690967A CN201911262507.3A CN201911262507A CN110690967A CN 110690967 A CN110690967 A CN 110690967A CN 201911262507 A CN201911262507 A CN 201911262507A CN 110690967 A CN110690967 A CN 110690967A
Authority
CN
China
Prior art keywords
key
keygroup
client
server
keyab
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911262507.3A
Other languages
English (en)
Other versions
CN110690967B (zh
Inventor
刘志强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Byte Information Technology Co Ltd
Original Assignee
Hangzhou Byte Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Byte Information Technology Co Ltd filed Critical Hangzhou Byte Information Technology Co Ltd
Priority to CN201911262507.3A priority Critical patent/CN110690967B/zh
Publication of CN110690967A publication Critical patent/CN110690967A/zh
Application granted granted Critical
Publication of CN110690967B publication Critical patent/CN110690967B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/04Real-time or near real-time messaging, e.g. instant messaging [IM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/04Real-time or near real-time messaging, e.g. instant messaging [IM]
    • H04L51/043Real-time or near real-time messaging, e.g. instant messaging [IM] using or handling presence information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提出了一种不依赖于服务端安全的即时通信密钥确立方法,主要包括一对一通信密钥确立方法、群通信密钥确立方法以及群通信周期性或触发性密钥更新方法。相比于传统IM系统安全解决方案,本发明所有业务相关密钥均在客户端使用,服务端仅仅存储密钥密文或者信息密文,因此可确保服务端不触碰客户信息以及数据加解密密钥。

Description

一种不依赖于服务端安全的即时通信密钥确立方法
技术领域
本发明涉及信息安全技术领域,特别地,涉及一种不依赖于服务端安全的即时通信密钥确立方法。
背景技术
随着IM(即时通信)应用的快速普及,除用于一般社交外越来越多的用户使用其处理涉及工作和个人隐私的事物(如工作用的文档、图片等),尤其是一些企业级应用领域将会构成巨大的商业安全威胁。因此IM系统信息安全显得尤为重要,每个用户都具有强烈的愿望希望能保证自己的数据安全,而且最好能由用户自身完全掌控。
然而,当前传统的IM系统对用户的通信内容往往采用弱加密甚至不加密的方式,如当前使用最广的QQ、微信基本都没有端到端的加密,数据对于后台来说是裸的。即便是有加密安全保护,其核心原理也是依赖于对服务端密钥管理中心的无条件信任。此类密钥确立机制往往是通过服务端密钥管理中心随机产生密钥,之后通过用户公钥加密或预共享密钥方式分发给各客户端用户,所有密钥由密钥管理中心统一加密管理;
无论如何,该机制最大的缺点在于客户需要对服务端无条件信任。从威胁分析的角度来看,存在服务端密钥数据泄露的可能,客户的数据安全没有真正掌握在自己手中。一方面,黑客在利益驱动下攻击服务端并最终窃取重要数据甚至用户密钥而导致用户遭受巨大损失;另一方面,用户的通信内容对于密钥管理中心来说是透明的,内部开发人员及后台维护管理人员在巨额利益诱惑下也存在内鬼可能性。
发明内容
有鉴于此,本发明的目的是提供一种不依赖于服务端安全的即时通信密钥确立方法,把用户数据控制权交还给用户自己。即便在最坏(如服务端数据被黑客或内鬼掌控)的情况下,也不至于导致用户的隐私数据泄密,最大限度地保护了用户的安全。
具体技术方案为:
一种不依赖于服务端安全的即时通信密钥确立方法,应用于一对一通信,包括客户端A、客户端B,以及服务端,所述服务端用于存储密钥密文或者信息密文,包括如下步骤:
S11、客户端A向服务端查询并获取客户端B的公钥PUKB;
S12、客户端A收到客户端B的公钥PUKB后,本地随机产生对称密钥KeyAB,其中密钥KeyAB可加密存储于本地和服务端,以备使用;
S13、客户端A使用客户端B的公钥PUKB对密钥KeyAB加密,并将密文EPUKB(KeyAB)直接发送或通过服务端转发给客户端B;
S14、客户端B收到密文EPUKB(KeyAB)后,使用自身私钥PRKB解密获得通信密钥KeyAB,该密钥KeyAB可用于A与B之间通信使用,且该密钥KeyAB可加密存储于本地和服务端,以备使用。
本发明还提供了一种不依赖于服务端安全的即时通信密钥确立方法,应用于群通信,包括客户端A、客户端B,以及服务端,其中客户端A为群通信发起者;所述服务端用于存储密钥密文或者信息密文;包括如下步骤:
S1、在客户端A与客户端B之间确立用于客户端A与客户端B之间通信使用的对称密钥KeyAB;
S2、客户端A随机产生用于群通信的对称群密钥KeyGroup,其中群密钥KeyGroup可加密存储于本地和服务端,以备使用;
S3、客户端A使用密钥KeyAB对群密钥KeyGroup加密,并将密文EKeyAB(KeyGroup)发送给服务端。
S4、服务端收到信息后,记录新添加群成员客户端B的信息,并将密文EKeyAB(KeyGroup)转发给客户端B;
S5、客户端B收到群密钥密文EKeyAB(KeyGroup)后,客户端B使用密钥KeyAB对群密钥密文EKeyAB(KeyGroup)进行解密获取群密钥KeyGroup,该群密钥KeyGroup可用于群通信使用,且该群密钥KeyGroup可加密存储于本地和服务端,以备使用。
优选的,在步骤S1中,采用S11-S14步骤所述的方法,来确立用于客户端A与客户端B之间通信使用的密钥KeyAB。
优选的,在步骤S3中,若客户端A当前已有密钥KeyAB,则直接使用密钥KeyAB对群密钥KeyGroup加密,并将密文EKeyAB(KeyGroup)发送给服务端;
否则,客户端A获取加密存储于本地的密钥KeyAB后,使用密钥KeyAB对群密钥KeyGroup加密,并将密文EKeyAB(KeyGroup)发送给服务端;
若获取失败,则选择从服务端解密获得密钥KeyAB后,使用密钥KeyAB对群密钥KeyGroup加密,并将密文EKeyAB(KeyGroup)发送给服务端。
优选的,在步骤S5中,如客户端B当前已有密钥KeyAB,客户端B则直接使用密钥KeyAB对群密钥密文EKeyAB(KeyGroup)进行解密获取群密钥KeyGroup;
否则客户端B获取加密存储于本地的密钥KeyAB,客户端B获取加密存储于本地的密钥KeyAB后,再使用密钥KeyAB对群密钥密文EKeyAB(KeyGroup)进行解密获取群密钥KeyGroup;
若获取失败,则选择从服务端解密获得密钥KeyAB后,再使用密钥KeyAB对群密钥密文EKeyAB(KeyGroup)进行解密获取群密钥KeyGroup。
本发明还提供一种不依赖于服务端安全的即时通信密钥确立方法,应用于群通信密钥更新,包括客户端A、客户端B,以及服务端,其中客户端A为群发起者;所述服务端用于存储密钥密文或者信息密文;包括如下步骤:
T1、服务端监测周期性或触发性事件,服务端选定密钥更新发起客户端A;
T2、客户端A收到群密钥更新通知后,随机产生一个对称新群密钥New_KeyGroup,然后使用原群密钥KeyGroup以及服务端公钥PUKS加密New_KeyGroup,并将密文EPUKS(EKeyGroup(New_KeyGroup))发送给服务端,其中密钥New_KeyGroup可加密存储于本地和服务端,以备使用;
T3、服务端收到密文EPUKS(EKeyGroup(New_KeyGroup))后,使用自己的私钥PRKS进行解密得到EKeyGroup(New_KeyGroup);
T4、服务端查询群成员B的公钥PUKB,并使用公钥PUKB对密文EKeyGroup(New_KeyGroup)再一次进行加密,得到密文EPUKB(EKeyGroup(New_KeyGroup))并发送给客户端B;
T5、客户端B收到密文EPUKB(EKeyGroup(New_KeyGroup))后,使用自身私钥PRKB及原群密钥KeyGroup先后解密最终得到New_KeyGroup,其中,新群密钥New_KeyGroup可加密存储于本地和服务端,以备使用。
较之现有技术,本发明的优点在于:
1、相比于传统IM系统安全解决方案,本发明所有业务相关密钥均在客户端使用,服务端仅仅存储密钥密文或者信息密文,因此可确保服务端不触碰客户信息以及数据加解密密钥。因此,即便服务端被黑客攻击而导致数据库完全泄露,也可以保证用户的通信数据不被泄露,整个IM系统的安全性不依赖于服务端安全。
2、本发明中群通信密钥的确立过程基于一对一通信密钥KeyAB可信基础上,通过一对一通信的信任传递进而建立群密钥,过程中采用计算性能较高的对称算法,相比于传统群密钥确立依赖于非对称算法,可节约系统计算资源以及提升系统性能。
3、一对一通信(即在客户端A和客户端B之间建立通信密钥KeyAB)及群通信密钥均加密(如通过口令)存储于本地和服务端,通信时优先从本地解密获取密钥可以减少与服务端的交互,从而减少了服务端的开销;而存储于服务端是为了用户更换终端的同时也能兼容业务(如查询历史通信数据)。
4、本发明提供的群密钥更新方法,该方法虽通过服务端使用公钥加密转发,但是由于服务端收到的更新密钥是双重加密密文形式,服务端也无法获知更新密钥明文,显然该密钥更新机制不依赖于服务端安全。
5、由于密钥不在服务端产生,传到服务端的密钥都是以密文形式,这些密钥可以直接存储而不需要加密存储,因此服务端也不需要设计复杂的密钥管理体系,因此其服务端可以非常便捷的兼容公私有云安全部署。
附图说明
图1为确立密钥KeyAB的流程图;
图2为应用于群通信的密钥确立流程图;
图3为应用于群密钥更新流程图。
具体实施方式
以下结合附图,对本发明的具体实施方式作进一步详述,以使本发明技术方案更易于理解和掌握。
实施例1:
参照图1所示,本实施例提供一种不依赖于服务端安全的即时通信密钥确立方法,应用于一对一通信,包括客户端A、客户端B,以及服务端,所述服务端用于存储密钥密文或者信息密文,包括如下步骤:
S11、客户端A向服务端查询并获取客户端B的公钥PUKB(用户注册时服务端已经保存了注册用户的公钥);
S12、客户端A收到客户端B的公钥PUKB后,本地随机产生对称密钥KeyAB,其中密钥KeyAB可加密(如通过口令)存储于本地和服务端,以备使用;
S13、客户端A使用客户端B的公钥PUKB对密钥KeyAB加密,并将密文EPUKB(KeyAB)直接发送或通过服务端转发给客户端B;
S14、客户端B收到密文EPUKB(KeyAB)后,使用自身私钥PRKB解密获得通信密钥KeyAB,该密钥KeyAB可用于A与B之间通信使用,且该密钥KeyAB可加密(如通过口令)存储于本地和服务端,以备使用。
客户端A可通过以上步骤和客户端C、客户端D等确立一一对应的通信密钥KeyAC、KeyAD等。
本实施例中,相关密钥均在客户端使用,服务端仅仅存储密钥密文或者信息密文,因此可确保服务端不触碰客户信息以及数据加解密密钥。因此,即便服务端被黑客攻击而导致数据库完全泄露,也可以保证用户的通信数据不被泄露,整个IM系统的安全性不依赖于服务端安全。而且,一对一通信密钥均加密(如通过口令)存储于本地和服务端,通信时优先从本地解密获取密钥可以减少与服务端的交互,从而减少了服务端的开销;而存储于服务端是为了用户更换终端的同时也能兼容业务(如查询历史通信数据)。
实施例2,
本实施例提供一种不依赖于服务端安全的即时通信密钥确立方法,如图2所示,应用于群通信,包括客户端A、客户端B,以及服务端,其中客户端A为群通信发起者;所述服务端用于存储密钥密文或者信息密文;包括如下步骤:
第一步、在客户端A与客户端B之间确立用于客户端A与客户端B之间通信使用的对称密钥KeyAB;(其中这里的密钥KeyAB可以是采用实施例1所记载的方案所确立的,也可以是其他方法所确立的,在此不做限定。);本实施例中以采用实施例1记载的方案所确立的密钥KeyAB为例。
第二步:客户端A首先随机产生用于群通信的群密钥KeyGroup(属于对称密钥),密钥KeyGroup可加密(如通过口令)存储于本地和服务端,以备使用;
第三步:客户端A如当前已有密钥KeyAB(指客户端A、B之间正进行一对一通信时以明文形式存在客户端A内存里的密钥KeyAB)则直接进入第四步,否则客户端A获取加密存储于本地的密钥KeyAB(密文形式,需客户端A解密),如失败则选择从服务端获取,之后解密获得密钥KeyAB(密文形式存储于服务端,需客户端A解密);
第四步:客户端A使用密钥KeyAB对群密钥KeyGroup加密,并将密文EKeyAB(KeyGroup)发送给服务端;
第五步:服务端收到信息后,记录新添加群成员客户端B的信息,并将密文EKeyAB(KeyGroup)转发给客户端B;
第六步:客户端B收到群密钥密文EKeyAB(KeyGroup)后,如当前已有密钥KeyAB(指客户端A、B之间正进行一对一通信时以明文形式存在客户端B内存里的密钥KeyAB)则直接进入第七步,否则客户端B获取加密存储于本地的密钥KeyAB(密文形式,需客户端B解密),如失败则选择从服务端获取,之后解密获得密钥KeyAB(密文形式存储于服务端,需客户端B解密);
第七步:客户端B使用密钥KeyAB对群密钥密文EKeyAB(KeyGroup)进行解密获取群密钥KeyGroup,该密钥可用于群通信使用。密钥KeyGroup可加密(如通过口令)存储于本地和服务端,以备使用;
同理,已有群成员客户端(A或者B)可以通过重复上述步骤邀请自己想要邀请的客户端(如客户端C、客户端D),邀请成功后各客户端将密钥KeyGroup加密(如通过口令)存储于本地和服务端,以备使用。
本实施例中,相关密钥均在客户端使用,服务端仅仅存储密钥密文或者信息密文,因此可确保服务端不触碰客户信息以及数据加解密密钥。因此,即便服务端被黑客攻击而导致数据库完全泄露,也可以保证用户的通信数据不被泄露,整个IM系统的安全性不依赖于服务端安全。而且群通信密钥均加密(如通过口令)存储于本地和服务端,通信时优先从本地解密获取密钥可以减少与服务端的交互,从而减少了服务端的开销;而存储于服务端是为了用户更换终端的同时也能兼容业务(如查询历史通信数据)。
实施例3
实际使用群通信时,会发生周期性或触发性事件(触发性事件指一般群成员被踢除,或者群成员自己退群)因此为了群通信密钥的安全性,本实施例提供一种不依赖于服务端安全的即时通信密钥确立方法,如图3所示,应用于群通信密钥更新,包括客户端A、客户端B,以及服务端,所述服务端用于存储密钥密文或者信息密文;包括如下步骤:
第1步,服务端监测周期性或触发性事件(触发性事件指一般群成员被踢除,或者群成员自己退群),服务端选定密钥更新发起客户端A(一般优先群主),并将更新通知发送给客户端A;
第2步,客户端A收到群密钥更新通知后,随机产生一个对称新群密钥New_KeyGroup,然后使用当前群密钥KeyGroup(这里的群密钥KeyGroup可以是采用实施例2的方法确立的,也可以是其他方案确立的,本实施例以采用实施例2的方法确立的为例。)以及服务端公钥PUKS加密New_KeyGroup并将密文EPUKS(EKeyGroup(New_KeyGroup))发送给服务端。密钥New_KeyGroup可加密(如通过口令)存储于本地和服务端,以备使用;
第3步,服务端收到密文EPUKS(EKeyGroup(New_KeyGroup))后,使用自己的私钥PRKS进行解密得到EKeyGroup(New_KeyGroup);
第4步,服务端查询群成员B的公钥PUKB,并对密文EKeyGroup(New_KeyGroup)再一次进行加密得到密文EPUKB(EKeyGroup(New_KeyGroup))并发送给客户端B;
第5步,客户端B收到密文EPUKB(EKeyGroup(New_KeyGroup))后,使用自身私钥PRKB及KeyGroup先后解密最终得到New_KeyGroup,密钥New_KeyGroup可加密(如通过口令)存储于本地和服务端,以备使用;
第6步,服务端查询除A、B外其它群成员并重复步骤4及步骤5,最终使得每个群成员都获得新群密钥New_KeyGroup。
本实施例中,群密钥更新机制采用一种双重加密保护机制实现,该机制首先通过服务端监听到密钥更新触发事件(如周期性的密钥更新或群成员被移除),然后由服务端选定密钥更新发起客户端(优先群主)并由其随机产生新的群密钥,之后使用原有群密钥以及服务端公钥进行双重加密发送给服务端,服务端收到EPUKS(EKeyGroup(New_KeyGroup))后使用自己私钥解密(但无法解密获取新群密钥明文)得到EKeyGroup(New_KeyGroup),此后通过查询其它群成员公钥并加密发送给其它群成员,其它群成员收到密文后使用自身私钥及原有群密钥进行双重解密可获得新群密钥New_KeyGroup完成群密钥更新。整个过程的核心思想就是使用非对称算法确保在原有群密钥被泄露的前提下仍然不影响新密钥的安全性,而使用原有群密钥加密新密钥是为了不依赖服务端的安全性。欲保护这种利用对称算法与非对称算法特性进行双重加密保护的密钥更新思想,但不限于本实施例给出的实现方式。
实际通信数据加密时,可以使用该确立密钥(即以上叙述的密钥KeyAB或KeyGroup)充当主密钥与盐值或者时间戳派生出数据加密密钥KeyData用于数据加密,具体如下派生函数实现可归纳为以下形式:
KeyData = Fun(Key,Parameter);
其中,KeyData为数据加密密钥;Fun表示密码学变换函数,可以是HASH、HMAC、PBKDF2,甚至是对称算法等;Key为以上叙述中的KeyAB或KeyGroup;Parameter可以是随机产生的盐值Salt、也可以是时间戳Timestamp、递增序列Counter值、用户名或者其它可以标识客户端的ID值。
通过密钥派生方式减少了通信确立密钥(KeyAB或KeyGroup)的使用频率,进一步保护通信确立密钥的安全同时减少了密钥更新机制的周期性调用,使系统即兼顾了安全又确保了性能。
以上只是本发明的典型实例,除此之外,本发明还可以有其它多种具体实施方式,凡采用等同替换或等效变换形成的技术方案,均落在本发明要求保护的范围。

Claims (5)

1.一种不依赖于服务端安全的即时通信密钥确立方法,应用于群通信,包括客户端A、客户端B,以及服务端,其中客户端A为群通信发起者;其特征在于:所述服务端用于存储密钥密文或者信息密文;包括如下步骤:
S1、在客户端A与客户端B之间确立用于客户端A与客户端B之间通信使用的对称密钥KeyAB;
S2、客户端A随机产生用于群通信的对称群密钥KeyGroup,其中群密钥KeyGroup可加密存储于本地和服务端,以备使用;
S3、客户端A使用密钥KeyAB对群密钥KeyGroup加密,并将密文EKeyAB(KeyGroup)发送给服务端;
S4、服务端收到信息后,记录新添加群成员客户端B的信息,并将密文EKeyAB(KeyGroup)转发给客户端B;
S5、客户端B收到群密钥密文EKeyAB(KeyGroup)后,客户端B使用密钥KeyAB对群密钥密文EKeyAB(KeyGroup)进行解密获取群密钥KeyGroup,该群密钥KeyGroup可用于群通信使用,且该群密钥KeyGroup可加密存储于本地和服务端,以备使用。
2.根据权利要求1所述的一种不依赖于服务端安全的即时通信密钥确立方法,其特征在于:在步骤S3中,若客户端A当前已有密钥KeyAB,则直接使用密钥KeyAB对群密钥KeyGroup加密,并将密文EKeyAB(KeyGroup)发送给服务端;
否则,客户端A获取加密存储于本地的密钥KeyAB后,使用密钥KeyAB对群密钥KeyGroup加密,并将密文EKeyAB(KeyGroup)发送给服务端;
若获取失败,则选择从服务端解密获得密钥KeyAB后,使用密钥KeyAB对群密钥KeyGroup加密,并将密文EKeyAB(KeyGroup)发送给服务端。
3.根据权利要求1所述的一种不依赖于服务端安全的即时通信密钥确立方法,其特征在于:在步骤S5中,如客户端B当前已有密钥KeyAB,客户端B则直接使用密钥KeyAB对群密钥密文EKeyAB(KeyGroup)进行解密获取群密钥KeyGroup;
否则客户端B获取加密存储于本地的密钥KeyAB,客户端B获取加密存储于本地的密钥KeyAB后,再使用密钥KeyAB对群密钥密文EKeyAB(KeyGroup)进行解密获取群密钥KeyGroup;
若获取失败,则选择从服务端解密获得密钥KeyAB后,再使用密钥KeyAB对群密钥密文EKeyAB(KeyGroup)进行解密获取群密钥KeyGroup。
4.一种不依赖于服务端安全的即时通信密钥确立方法,应用于群通信密钥更新,包括客户端A、客户端B,以及服务端,其中客户端A为群发起者;其特征在于,所述服务端用于存储密钥密文或者信息密文;包括如下步骤:
T1、服务端监测周期性或触发性事件,服务端选定密钥更新发起客户端A;
T2、客户端A收到群密钥更新通知后,随机产生一个对称新群密钥New_KeyGroup,然后使用原群密钥KeyGroup以及服务端公钥PUKS加密New_KeyGroup,并将密文EPUKS(EKeyGroup(New_KeyGroup))发送给服务端,其中密钥New_KeyGroup可加密存储于本地和服务端,以备使用;
T3、服务端收到密文EPUKS(EKeyGroup(New_KeyGroup))后,使用自己的私钥PRKS进行解密得到EKeyGroup(New_KeyGroup);
T4、服务端查询群成员B的公钥PUKB,并使用公钥PUKB对密文EKeyGroup(New_KeyGroup)再一次进行加密,得到密文EPUKB(EKeyGroup(New_KeyGroup))并发送给客户端B;
T5、客户端B收到密文EPUKB(EKeyGroup(New_KeyGroup))后,使用自身私钥PRKB及原群密钥KeyGroup先后解密最终得到New_KeyGroup,其中,新群密钥New_KeyGroup可加密存储于本地和服务端,以备使用。
5.根据权利要求4所述的一种不依赖于服务端安全的即时通信密钥确立方法,其特征在于:所述原群密钥KeyGroup采用如权利要求1所述的方法确立。
CN201911262507.3A 2019-12-11 2019-12-11 一种不依赖于服务端安全的即时通信密钥确立方法 Active CN110690967B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911262507.3A CN110690967B (zh) 2019-12-11 2019-12-11 一种不依赖于服务端安全的即时通信密钥确立方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911262507.3A CN110690967B (zh) 2019-12-11 2019-12-11 一种不依赖于服务端安全的即时通信密钥确立方法

Publications (2)

Publication Number Publication Date
CN110690967A true CN110690967A (zh) 2020-01-14
CN110690967B CN110690967B (zh) 2021-03-02

Family

ID=69117797

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911262507.3A Active CN110690967B (zh) 2019-12-11 2019-12-11 一种不依赖于服务端安全的即时通信密钥确立方法

Country Status (1)

Country Link
CN (1) CN110690967B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111756535A (zh) * 2020-06-30 2020-10-09 北京海泰方圆科技股份有限公司 通信密钥的协商方法、装置、存储介质及电子设备
CN114499871A (zh) * 2021-12-23 2022-05-13 成都卫士通信息产业股份有限公司 一种签名加密方法、装置、系统及计算机可读存储介质
CN115361222A (zh) * 2022-08-26 2022-11-18 杭州安司源科技有限公司 通信处理方法、装置和系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1599485A (zh) * 2003-09-19 2005-03-23 华为技术有限公司 一种在集群系统中更新组密钥的方法
CN101155027A (zh) * 2006-09-27 2008-04-02 华为技术有限公司 密钥共享方法和系统
CN101331492A (zh) * 2005-12-13 2008-12-24 美商内数位科技公司 用于保护节点中的用户数据的方法和系统
CN102663863A (zh) * 2012-03-23 2012-09-12 广州大学 抗信道木马攻击的金融pos系统及其抗攻击的实现方法
CN103595527A (zh) * 2012-08-13 2014-02-19 西安西电捷通无线网络通信股份有限公司 一种双向密钥的切换方法及实现装置
CN104219051A (zh) * 2014-08-20 2014-12-17 北京奇艺世纪科技有限公司 一种群组内消息的通信方法和系统
US20160205555A1 (en) * 2015-01-14 2016-07-14 Samsung Electronics Co., Ltd. Method and system for establishing a secure communication between remote ue and relay ue in a device to device communication network
CN109845184A (zh) * 2018-08-29 2019-06-04 区链通网络有限公司 一种即时通信的数据加密方法及装置
CN110061836A (zh) * 2019-04-10 2019-07-26 湖北工业大学 一种具有前向安全性的组密钥分发方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1599485A (zh) * 2003-09-19 2005-03-23 华为技术有限公司 一种在集群系统中更新组密钥的方法
CN101331492A (zh) * 2005-12-13 2008-12-24 美商内数位科技公司 用于保护节点中的用户数据的方法和系统
CN101155027A (zh) * 2006-09-27 2008-04-02 华为技术有限公司 密钥共享方法和系统
CN102663863A (zh) * 2012-03-23 2012-09-12 广州大学 抗信道木马攻击的金融pos系统及其抗攻击的实现方法
CN103595527A (zh) * 2012-08-13 2014-02-19 西安西电捷通无线网络通信股份有限公司 一种双向密钥的切换方法及实现装置
CN104219051A (zh) * 2014-08-20 2014-12-17 北京奇艺世纪科技有限公司 一种群组内消息的通信方法和系统
US20160205555A1 (en) * 2015-01-14 2016-07-14 Samsung Electronics Co., Ltd. Method and system for establishing a secure communication between remote ue and relay ue in a device to device communication network
CN109845184A (zh) * 2018-08-29 2019-06-04 区链通网络有限公司 一种即时通信的数据加密方法及装置
CN110061836A (zh) * 2019-04-10 2019-07-26 湖北工业大学 一种具有前向安全性的组密钥分发方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111756535A (zh) * 2020-06-30 2020-10-09 北京海泰方圆科技股份有限公司 通信密钥的协商方法、装置、存储介质及电子设备
CN114499871A (zh) * 2021-12-23 2022-05-13 成都卫士通信息产业股份有限公司 一种签名加密方法、装置、系统及计算机可读存储介质
CN114499871B (zh) * 2021-12-23 2024-01-09 成都卫士通信息产业股份有限公司 一种签名加密方法、装置、系统及计算机可读存储介质
CN115361222A (zh) * 2022-08-26 2022-11-18 杭州安司源科技有限公司 通信处理方法、装置和系统

Also Published As

Publication number Publication date
CN110690967B (zh) 2021-03-02

Similar Documents

Publication Publication Date Title
US11316677B2 (en) Quantum key distribution node apparatus and method for quantum key distribution thereof
EP2924948B1 (en) External indexing and search for a secure cloud collaboration system
US6064736A (en) Systems, methods and computer program products that use an encrypted session for additional password verification
Lazar et al. Alpenhorn: Bootstrapping secure communication without leaking metadata
US7016499B2 (en) Secure ephemeral decryptability
US8966243B2 (en) Method and system for data encryption and decryption in data transmission through the web
CN110690967B (zh) 一种不依赖于服务端安全的即时通信密钥确立方法
EP3598714A1 (en) Method, device, and system for encrypting secret key
Garg et al. An efficient and secure data storage in Mobile Cloud Computing through RSA and Hash function
KR20130140873A (ko) 공개키에 의존하는 키 관리를 위한 보안 연계의 발견
CN114641965A (zh) 安全数据交换网络
US20020106085A1 (en) Security breach management
Bali et al. Lightweight authentication for MQTT to improve the security of IoT communication
US11621835B2 (en) Relay network for encryption system
Meye et al. A secure two-phase data deduplication scheme
US20220085976A1 (en) Distributed session resumption
WO2020085151A1 (ja) サーバ装置、通信端末、通信システム、及びプログラム
Youn et al. Authorized client-side deduplication using CP-ABE in cloud storage
Castiglione et al. An efficient and transparent one-time authentication protocol with non-interactive key scheduling and update
US8739306B2 (en) System and method for accessing private digital content
EP3522443B1 (en) Communication apparatus, communication method, and program
Xue-Zhou Network data encryption strategy for cloud computing
CN105791301A (zh) 一种面向多用户组群信密分离的密钥分发管理方法
CN111279655A (zh) 数据共享方法、数据共享系统、数据共享服务器、通信终端、程序
Ali et al. Security protocol of keys management system for transmission encrypted data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: An instant messaging key establishment method independent of server security

Effective date of registration: 20221121

Granted publication date: 20210302

Pledgee: Zhejiang Fuyang Rural Commercial Bank Co.,Ltd. Jinqiao sub branch

Pledgor: HANGZHOU BYTE INFORMATION TECHNOLOGY Co.,Ltd.

Registration number: Y2022980022579

PE01 Entry into force of the registration of the contract for pledge of patent right