CN118041646A - 中心协商单边分发点对点即时通信加密方法、介质及终端 - Google Patents

中心协商单边分发点对点即时通信加密方法、介质及终端 Download PDF

Info

Publication number
CN118041646A
CN118041646A CN202410212728.4A CN202410212728A CN118041646A CN 118041646 A CN118041646 A CN 118041646A CN 202410212728 A CN202410212728 A CN 202410212728A CN 118041646 A CN118041646 A CN 118041646A
Authority
CN
China
Prior art keywords
point
sender
iek
key
instant messaging
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410212728.4A
Other languages
English (en)
Inventor
蔡罗成
陈福莉
曾勇
陈林
马睿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu 30rtom Mobile Communication Co ltd
Original Assignee
Chengdu 30rtom Mobile Communication Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu 30rtom Mobile Communication Co ltd filed Critical Chengdu 30rtom Mobile Communication Co ltd
Priority to CN202410212728.4A priority Critical patent/CN118041646A/zh
Publication of CN118041646A publication Critical patent/CN118041646A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/04Real-time or near real-time messaging, e.g. instant messaging [IM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种中心协商单边分发点对点即时通信加密方法、介质及终端,所述方法包括:针对即时通信点对点交流特点,在发送方向中心端申请密钥时,将中心端生成的密钥分别用发送方密钥和接收方密钥保护后一次性发送给发送方,使得发送方加密生成的点对点即时通信数据密文中包括有接收方解密所需信息,接收方解密时能够直接从点对点即时通信数据密文中获得所需密钥,无需访问中心端即可正常完成解密处理。本发明具有的有益效果有(1)加解密效率高,用户体验好;(2)安全可管控;(3)对中心端资源要求低。

Description

中心协商单边分发点对点即时通信加密方法、介质及终端
技术领域
本发明涉及信息安全技术领域,具体而言,涉及一种中心协商单边分发点对点即时通信加密方法、介质及终端。
背景技术
即时通信系统根据中心侧是否需有服务器分为有中心、无中心两种类型,目前在企事业单位中大量实际部署使用的一般均为有中心模式的即时通信系统。
在有中心即时通信系统中,终端用户之间一对一的通信一般称为点对点通信。对点对点通信数据进行加密的方式目前普遍采用的方式为密钥由中心协商、双边分别下发,通信双方用接收到的密钥进行通信数据的加密处理,其中发送方在发送消息时向中心端申请密钥,中心端生成密钥并用发送方密钥保护后发送至发送方,发送方解密获得密钥、用密钥对通信数据进行加密;接收方在查看信息时,向中心端申请密钥,中心端查询已生成的密钥并用接收方密钥保护后发送给接收方,接收方解密获得密钥、用密钥解密通信数据密文获得明文。
对用户而言,即使信息已被接收方接收,但在查看信息时还是需再次访问中心端以获取解密所需的密钥数据,存在一定的延时,且每条点对点信息均有同样的问题,用户体验较差。同时若在查看信息时出现接收方无法连接至中心端的情况,则由于无法从服务端获取解密所需的密钥数据,接收方就无法正常查看已接收的信息。
发明内容
本发明旨在提供一种中心协商单边分发点对点即时通信加密方法、介质及终端,以实现无需访问中心端即可正常解密信息,使得信息查阅速度快,且能够在无法连接至中心端时仍可正常解密查看已接收的点对点信息,提升用户体验。
本发明提供的一种中心协商单边分发点对点即时通信加密方法,包括:针对即时通信点对点交流特点,在发送方向中心端申请密钥时,将中心端生成的密钥分别用发送方密钥和接收方密钥保护后一次性发送给发送方,使得发送方加密生成的点对点即时通信数据密文中包括有接收方解密所需信息,接收方解密时能够直接从点对点即时通信数据密文中获得所需密钥,无需访问中心端即可正常完成解密处理。
进一步的,发送方加密的流程包括如下步骤:
(1)发送方和接收方与中心端完成双向身份认证;
(2)发送方向中心端发起会话保护密钥生成申请;
(3)中心端根据发送方保护密钥生成申请,为通信双方生成会话保护密钥IEK,并分别查找发送方的密钥保护密钥KDK1、接收方的密钥保护密钥KDK2,用KDK1、KDK2对IEK进行加密保护,分别形成加密后的IEK密文EKDK1(IEK)、EKDK2(IEK);
(4)中心端将加密后的IEK密文EKDK1(IEK)、EKDK2(IEK)发送至发送方;
(5)发送方用自身密钥保护密钥KDK1解密EKDK1(IEK),获得IEK明文;
(6)发送方生成会话密钥KS,用KS对需传输的点对点即时通信数据D进行加密,形成EKS(D);
(7)发送方用IEK对KS加密,形成EIEK(KS);
(8)发送方对密文数据进行组包,形成待发送的点对点即时通信数据密文EIEK(KS)+EKS(D)+EKDK2(IEK);
(9)发送方加密处理完毕。
进一步的,发送方通过产生随机数作为会话密钥KS。
进一步的,接收方解密的流程包括如下步骤:
(1)发送方将点对点即时通信数据密文EIEK(KS)+EKS(D)+EKDK2(IEK)发送至接收方;
(2)接收方用自身密钥保护密钥KDK2解密EKDK2(IEK),获得IEK明文;
(3)接收方用IEK解密EIEK(KS),获得会话密钥KS明文;
(4)接收方用会话密钥KS解密EKS(D),获得点对点即时通信数据D明文。
进一步的,接收方解密处理完毕后,接收方能够对点对点即时通信数据D明文根据需要执行后续操作。
进一步的,所述后续操作包括消息查看。
本发明还提供一种计算机终端存储介质,存储有计算机终端可执行指令,所述计算机终端可执行指令用于执行上述的中心协商单边分发点对点即时通信加密方法中发送方加密的流程。
本发明还提供一种终端,包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-3中任一权利要求所述的中心协商单边分发点对点即时通信加密方法中发送方加密的流程。
本发明还提供一种计算机终端存储介质,存储有计算机终端可执行指令,所述计算机终端可执行指令用于执行上述的中心协商单边分发点对点即时通信加密方法中接收方解密的流程。
本发明还提供一种终端,包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述的中心协商单边分发点对点即时通信加密方法中接收方解密的流程。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1、加解密效率高,用户体验好:
在一次点对点即时通信过程中,仅需发送方与中心端进行一次通信即可获得整个加密、解密过程所需密钥,接收方在解密时无需访问中心端,接收端自身即可独立完成解密处理。同时本发明的全部加解密过程均可采用对称算法,运算速度快,加密产生的冗余数据少,在解密时无法连接至中心端时仍可正常解密,因此接收方查看信息延时低、体验好。
考虑到即时通信的特点,信息接收方一般均需对同一信息进行多次查看,即需对同一信息进行多次解密处理。由于本发明在消息解密时无需访问中心端、运算快速等特点,在多次解密时信息解密响应快速的特点将被多次累积放大,进一步提升用户体验。
2、安全可管控:
本发明发送方需与中心端完成双向身份认证方可正常获得密钥数据,同时中心端可通过控制策略对通信双方是否可进行通信进行判断,接收方也需与中心端完成双向身份认证方可正常获取点对点通信数据。
因此本发明通过中心端对发送方、接收方的认证,保证通信双方身份的安全可信,同时中心端通过在信息发送时对通信双方的策略控制实现对通信行为的集中管控,有效集成了中心在线模式下的安全可控、无中心离线模式下的快速解密多方优点,实现在接收方快速解密的同时,通信的安全可控也有可靠保障。
3、对中心端资源要求低:
由于每次终端之间的对话均需中心端生成新的IEK,鉴于即时通信系统的特点,终端用户之间几乎是无时无刻不在并行发起通信,而接收方可能很久之后才查看消息。因此若采用目前常用的中心协商、双边下发的方式,中心端需保留大量IEK信息,以便接收方在查看信息时可访问中心端即时获取IEK数据,从而可正常解密查看信息。
本发明的方法中,中心端在生成IEK后无需保存,接收方在查看时可无需访问中心端即可自行解密,如此可大大降低中心端在存储容量资源方面的要求。同时由于接收方解密时无需访问中心端,可将中心端在该类型的访问量降低一半。按即时通信系统的会话量来计,对中心端在存储容量、并发访问量等两方面资源的降低数量将极为可观。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例中的中心协商单边分发点对点即时通信加密方法的原理图。
图2为本发明实施例中的中心协商单边分发点对点即时通信加密方法中发送方加密的流程图。
图3为本发明实施例中的中心协商单边分发点对点即时通信加密方法中接收方解密的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本实施例提出一种中心协商单边分发点对点即时通信加密方法,包括:针对即时通信点对点交流特点,在发送方向中心端申请密钥时,将中心端生成的密钥分别用发送方密钥和接收方密钥保护后一次性发送给发送方,使得发送方加密生成的点对点即时通信数据密文中包括有接收方解密所需信息,接收方解密时能够直接从点对点即时通信数据密文中获得所需密钥,无需访问中心端即可正常完成解密处理。
本实施例中,点对点即时通信信息加密包括发送方加密和接收方解密两部分,具体如下:
如图2所示,发送方加密的流程包括如下步骤:
(1)发送方和接收方与中心端完成双向身份认证;
(2)发送方向中心端发起会话保护密钥生成申请;
(3)中心端根据发送方保护密钥生成申请,为通信双方生成会话保护密钥IEK,并分别查找发送方的密钥保护密钥KDK1、接收方的密钥保护密钥KDK2,用KDK1、KDK2对IEK进行加密保护,分别形成加密后的IEK密文EKDK1(IEK)、EKDK2(IEK);
(4)中心端将加密后的IEK密文EKDK1(IEK)、EKDK2(IEK)发送至发送方;
(5)发送方用自身密钥保护密钥KDK1解密EKDK1(IEK),获得IEK明文;
(6)发送方产生随机数,作为会话密钥KS,用KS对需传输的点对点即时通信数据D进行加密,形成EKS(D);
(7)发送方用IEK对KS加密,形成EIEK(KS);
(8)发送方对密文数据进行组包,形成待发送的点对点即时通信数据密文EIEK(KS)+EKS(D)+EKDK2(IEK);
(9)发送方加密处理完毕。
如图3所示,接收方解密的流程包括如下步骤:
(1)发送方将点对点即时通信数据密文EIEK(KS)+EKS(D)+EKDK2(IEK)发送至接收方;
(2)接收方用自身密钥保护密钥KDK2解密EKDK2(IEK),获得IEK明文;
(3)接收方用IEK解密EIEK(KS),获得会话密钥KS明文;
(4)接收方用会话密钥KS解密EKS(D),获得点对点即时通信数据D明文;
(5)接收方解密处理完毕,接收方能够对点对点即时通信数据D明文根据需要执行消息查看等后续操作。
实施例2
本实施例提出一种计算机终端存储介质,存储有计算机终端可执行指令,所述计算机终端可执行指令用于执行如实施例1所述的中心协商单边分发点对点即时通信加密方法中发送方加密的流程。计算机存储介质的示例包括磁性存储介质(例如,软盘、硬盘等)、光学记录介质(例如,CD-ROM、DVD等)或存储器,如存储卡、ROM或RAM等。计算机存储介质也可以分布在网络连接的计算机系统上,例如是应用程序的商店。
本实施例还提出一种终端,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如实施例1所述的中心协商单边分发点对点即时通信加密方法中发送方加密的流程。终端的示例包括PC机、平板电脑、智能手机或PDA等。
实施例3
本实施例提出一种计算机终端存储介质,存储有计算机终端可执行指令,所述计算机终端可执行指令用于执行如实施例1所述的中心协商单边分发点对点即时通信加密方法中接收方解密的流程。计算机存储介质的示例包括磁性存储介质(例如,软盘、硬盘等)、光学记录介质(例如,CD-ROM、DVD等)或存储器,如存储卡、ROM或RAM等。计算机存储介质也可以分布在网络连接的计算机系统上,例如是应用程序的商店。
本实施例还提出一种终端,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如实施例1所述的中心协商单边分发点对点即时通信加密方法中接收方解密的流程。终端的示例包括PC机、平板电脑、智能手机或PDA等。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种中心协商单边分发点对点即时通信加密方法,其特征在于,包括:针对即时通信点对点交流特点,在发送方向中心端申请密钥时,将中心端生成的密钥分别用发送方密钥和接收方密钥保护后一次性发送给发送方,使得发送方加密生成的点对点即时通信数据密文中包括有接收方解密所需信息,接收方解密时能够直接从点对点即时通信数据密文中获得所需密钥,无需访问中心端即可正常完成解密处理。
2.根据权利要求1所述的中心协商单边分发点对点即时通信加密方法,其特征在于,发送方加密的流程包括如下步骤:
(1)发送方和接收方与中心端完成双向身份认证;
(2)发送方向中心端发起会话保护密钥生成申请;
(3)中心端根据发送方保护密钥生成申请,为通信双方生成会话保护密钥IEK,并分别查找发送方的密钥保护密钥KDK1、接收方的密钥保护密钥KDK2,用KDK1、KDK2对IEK进行加密保护,分别形成加密后的IEK密文EKDK1(IEK)、EKDK2(IEK);
(4)中心端将加密后的IEK密文EKDK1(IEK)、EKDK2(IEK)发送至发送方;
(5)发送方用自身密钥保护密钥KDK1解密EKDK1(IEK),获得IEK明文;
(6)发送方生成会话密钥KS,用KS对需传输的点对点即时通信数据D进行加密,形成EKS(D);
(7)发送方用IEK对KS加密,形成EIEK(KS);
(8)发送方对密文数据进行组包,形成待发送的点对点即时通信数据密文EIEK(KS)+EKS(D)+EKDK2(IEK);
(9)发送方加密处理完毕。
3.根据权利要求2所述的中心协商单边分发点对点即时通信加密方法,其特征在于,发送方通过产生随机数作为会话密钥KS。
4.根据权利要求2所述的中心协商单边分发点对点即时通信加密方法,其特征在于,接收方解密的流程包括如下步骤:
(1)发送方将点对点即时通信数据密文EIEK(KS)+EKS(D)+EKDK2(IEK)发送至接收方;
(2)接收方用自身密钥保护密钥KDK2解密EKDK2(IEK),获得IEK明文;
(3)接收方用IEK解密EIEK(KS),获得会话密钥KS明文;
(4)接收方用会话密钥KS解密EKS(D),获得点对点即时通信数据D明文。
5.根据权利要求4所述的中心协商单边分发点对点即时通信加密方法,其特征在于,接收方解密处理完毕后,接收方能够对点对点即时通信数据D明文根据需要执行后续操作。
6.根据权利要求5所述的中心协商单边分发点对点即时通信加密方法,其特征在于,所述后续操作包括消息查看。
7.一种计算机终端存储介质,存储有计算机终端可执行指令,其特征在于,所述计算机终端可执行指令用于执行如权利要求1-3中任一权利要求所述的中心协商单边分发点对点即时通信加密方法中发送方加密的流程。
8.一种终端,其特征在于,包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-3中任一权利要求所述的中心协商单边分发点对点即时通信加密方法中发送方加密的流程。
9.一种计算机终端存储介质,存储有计算机终端可执行指令,其特征在于,所述计算机终端可执行指令用于执行如权利要求1以及4-6中任一权利要求所述的中心协商单边分发点对点即时通信加密方法中接收方解密的流程。
10.一种终端,其特征在于,包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1以及4-6中任一权利要求所述的中心协商单边分发点对点即时通信加密方法中接收方解密的流程。
CN202410212728.4A 2024-02-27 2024-02-27 中心协商单边分发点对点即时通信加密方法、介质及终端 Pending CN118041646A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410212728.4A CN118041646A (zh) 2024-02-27 2024-02-27 中心协商单边分发点对点即时通信加密方法、介质及终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410212728.4A CN118041646A (zh) 2024-02-27 2024-02-27 中心协商单边分发点对点即时通信加密方法、介质及终端

Publications (1)

Publication Number Publication Date
CN118041646A true CN118041646A (zh) 2024-05-14

Family

ID=90988744

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410212728.4A Pending CN118041646A (zh) 2024-02-27 2024-02-27 中心协商单边分发点对点即时通信加密方法、介质及终端

Country Status (1)

Country Link
CN (1) CN118041646A (zh)

Similar Documents

Publication Publication Date Title
CN109120639B (zh) 一种基于区块链的数据云存储加密方法及系统
CN106789052B (zh) 一种基于量子通信网络的远程密钥颁发系统及其使用方法
CN108768633B (zh) 实现区块链中信息共享的方法及装置
US9712519B2 (en) Efficient encryption, escrow and digital signatures
WO2007124693A1 (fr) Procédé de chiffrement et de déchiffrement des données de communication instantanée
WO2006135102A1 (en) Method and device for securely distributing data in group communication
KR20210045676A (ko) 차량용 통신 시스템 및 그를 위한 보안 통신 방법
US11621835B2 (en) Relay network for encryption system
US20210144002A1 (en) Secondary Channel Authentication of Public Keys
CN101325483B (zh) 对称密钥更新方法和对称密钥更新装置
US20210112039A1 (en) Sharing of encrypted files without decryption
TW202231014A (zh) 訊息傳輸系統以及應用其中之使用者裝置與資訊安全硬體模組
EP3282670B1 (en) Maintaining data security in a network device
CN103973543A (zh) 即时通信方法及装置
CN104796399A (zh) 一种数据加密传输的密钥协商方法
CN114221927A (zh) 基于国密算法的邮件加密服务系统及方法
US20210111876A1 (en) Secure session for decryption
CN113904805A (zh) 基于认证卸载的拟态通信方法及系统
CN116980203A (zh) 数据处理方法、装置、终端设备以及存储介质
CN102547686A (zh) M2m终端安全接入方法及终端、管理平台
CN118041646A (zh) 中心协商单边分发点对点即时通信加密方法、介质及终端
CN113411347B (zh) 交易报文的处理方法及处理装置
WO2018054144A1 (zh) 对称密钥动态生成方法、装置、设备及系统
CN112398818B (zh) 一种软件激活方法及其相关装置
CN114154185A (zh) 一种基于国密算法实现的数据加密存储方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination