TWI794126B - 端對端加密通訊監管系統及其方法 - Google Patents
端對端加密通訊監管系統及其方法 Download PDFInfo
- Publication number
- TWI794126B TWI794126B TW111125889A TW111125889A TWI794126B TW I794126 B TWI794126 B TW I794126B TW 111125889 A TW111125889 A TW 111125889A TW 111125889 A TW111125889 A TW 111125889A TW I794126 B TWI794126 B TW I794126B
- Authority
- TW
- Taiwan
- Prior art keywords
- message
- instant messaging
- chat room
- server
- monitoring
- Prior art date
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
一種端對端加密通訊監管系統及其方法,該方法包括:產生用以監控包括多個即時通訊終端的聊天室介面的監控帳號以及將監控帳號加入聊天室介面的憑證,其中聊天室介面的成員包括即時通訊終端以及監控帳號;對該聊天室介面的訊息進行加密,傳送經加密後的訊息並且傳送多個即時通訊終端的金鑰交換資訊;以及利用金鑰交換資訊進行端對端金鑰交換運算後取得的金鑰對訊息進行解密,並且依據經解密後的訊息發出告警資訊。
Description
本發明是有關於一種通訊監管系統及其方法,且特別是有關於一種端對端加密通訊監管系統及其方法。
目前現有之通訊監控技術大致上可分成兩種:直接透過伺服器端取得通訊資訊,或者配合額外的監控軟體安裝於用戶終端,即時偵測終端的應用視窗並直接擷取輸入框資訊後上傳至監控伺服器。
上述兩種通訊監控技術顯見之缺點有:伺服器必須可直接取得通訊資訊或將解密金鑰紀錄於伺服器中,大大降低了通訊系統的安全性;且安裝額外的監控軟體會影響用戶使用的體驗,並且於終端中可能有其他可繞過或強制關閉監控軟體的方式;擷取輸入框資訊後上傳至監控伺服器亦須將資訊加密保護,以避免監控的通訊資訊皆被第三方攔截竊聽。
為提升通訊安全,現今主流服務皆開始採用端對端加密技術,避免伺服器端儲存通訊資訊或解密金鑰,因此如何同時保持端對端加密的安全性,並可針對通訊資訊進行監管即成為企業即時通訊服務應用的一大挑戰。
本發明提供一種端對端加密通訊監管系統及其方法,可在不破壞端對端加密通訊之安全性的前提下,進行即時通訊監控。
本發明的一種端對端加密通訊監管系統,包括多個即時通訊終端、憑證認證伺服器、即時通訊伺服器以及監管伺服器。該些即時通訊終端包括至少一被監控對象。憑證認證伺服器產生用以監控該些即時通訊終端的聊天室介面的監控帳號以及將監控帳號加入聊天室介面的憑證,其中聊天室介面的成員包括該些即時通訊終端以及監控帳號。即時通訊伺服器分別通訊連接該些即時通訊終端以及憑證認證伺服器,監管伺服器分別通訊連接憑證認證伺服器以及即時通訊伺服器。其中,即時通訊終端對聊天室介面的訊息進行加密,即時通訊伺服器傳送經加密後的訊息並且傳送該些即時通訊終端的金鑰交換資訊至該些即時通訊終端以及監管伺服器,該些即時通訊終端以及監管伺服器利用金鑰交換資訊進行端對端金鑰交換運算後取得的金鑰對訊息進行解密,並且監管伺服器依據經解密後的訊息發出告警資訊。
在本發明的一實施例中,上述的端對端加密通訊監管系統,其中監管伺服器至少包括安全模組以及分析決策模組,其中安全模組用以儲存聊天室介面的成員的金鑰交換資訊以及金鑰,且監控帳號在聊天室介面處於隱藏狀態。
在本發明的一實施例中,上述的端對端加密通訊監管系統,其中分析決策模組以HTTP長連接(Long Pulling)的方式同步接收聊天室介面傳送的訊息,利用安全模組儲存的金鑰對聊天室介面的訊息進行解密,且分析決策模組更用以判斷經解密後的訊息是否包括高風險關鍵字,以於經解密後的訊息包括高風險關鍵字時發出告警資訊,並且分析決策模組更用以傳送鎖定訊號至即時通訊伺服器,以令即時通訊伺服器將至少一被監控對象以及包括高風險關鍵字的訊息進行鎖定操作,並且經由即時通訊伺服器傳送訊號至至少一被監控對象以令至少一被監控對象執行刪除包括高風險關鍵字的訊息的操作。
在本發明的一實施例中,上述的端對端加密通訊監管系統,其中在監控帳號加入聊天室介面之後,聊天室介面的成員更利用金鑰交換資訊重新進行端對端金鑰交換運算以取得新的金鑰,且利用新的金鑰對訊息進行加密,其中,即時通訊伺服器傳送經加密後的訊息並且傳送金鑰交換資訊至該些即時通訊終端以及監管伺服器,其中,該些即時通訊終端以及監管伺服器利用金鑰交換資訊進行端對端金鑰交換運算後取得的新的金鑰對訊息進行解密,並且監管伺服器依據經解密後的訊息發出告警資訊。
在本發明的一實施例中,上述的端對端加密通訊監管系統,其中監管伺服器更用以即時驗證憑證,以於憑證有效時,即時通訊伺服器將經加密後的訊息以及將金鑰交換資訊傳送至監管伺服器。
本發明的一種端對端加密通訊監管方法,包括:產生用以監控包括多個即時通訊終端的聊天室介面的監控帳號以及將監控帳號加入聊天室介面的憑證,其中聊天室介面的成員包括該些即時通訊終端以及監控帳號,該些即時通訊終端包括至少一被監控對象;對聊天室介面的訊息進行加密;傳送經加密後的訊息並且傳送該些即時通訊終端的金鑰交換資訊;利用金鑰交換資訊進行端對端金鑰交換運算後取得的金鑰對訊息進行解密;以及依據經解密後的訊息發出告警資訊。
在本發明的一實施例中,上述的端對端加密通訊監管方法,其中方法更包括儲存聊天室介面的成員的金鑰交換資訊以及金鑰,且監控帳號在聊天室介面處於隱藏狀態。
在本發明的一實施例中,上述的端對端加密通訊監管方法,其中利用金鑰對訊息進行解密,並且依據經解密後的訊息發出告警資訊的步驟中更包括:以HTTP長連接(Long Pulling)的方式同步接收聊天室介面傳送的訊息,利用儲存的金鑰對聊天室介面的訊息進行解密;判斷經解密後的訊息是否包括高風險關鍵字,以於經解密後的訊息包括高風險關鍵字時發出告警資訊;以及將至少一被監控對象以及包括高風險關鍵字的訊息進行鎖定操作,並且傳送訊號至至少一被監控對象,以令至少一被監控對象執行刪除包括高風險關鍵字的訊息的操作。
在本發明的一實施例中,上述的端對端加密通訊監管方法,其中該方法更包括:在監控帳號加入聊天室介面之後,聊天室介面的成員更利用金鑰交換資訊重新進行端對端金鑰交換運算以取得新的金鑰,且利用新的金鑰對訊息進行加密;傳送經加密後的訊息並且傳送金鑰交換資訊;利用金鑰交換資訊進行端對端金鑰交換運算後取得的新的金鑰對訊息進行解密;以及依據經解密後的訊息發出告警資訊。
在本發明的一實施例中,上述的端對端加密通訊監管方法,其中傳送經加密後的該訊息並且傳送該金鑰交換資訊的步驟中更包括:即時驗證憑證,以於憑證有效時,傳送經加密後的訊息並且傳送金鑰交換資訊。
基於上述,本發明提供一種端對端加密通訊監管系統及其方法,可在不破壞端對端加密通訊之安全性的前提下,進行即時通訊監控,且於加入監控帳號時可驗證監控帳號的有效性,避免中間人試圖假冒監控帳號進行竊密,並且可視需求於系統運行中加入監控事件,通過設定監控對象與監控事件之效期,從而避免監控權限遭到濫用。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
圖1是依照本發明的一實施例的一種端對端加密通訊監管系統的示意圖。
請參照圖1所示,端對端加密通訊監管系統10主要包括憑證認證伺服器100、即時通訊伺服器200、監管伺服器300以及多個即時通訊終端400。
其中,即時通訊終端400包括至少一被監控對象。為便於描述,將圖1的其中一即時通訊終端稱為被監控對象500。即時通訊終端400可具有處理單元(如:處理器但不限於此)、耦接於處理單元的通訊單元(例如:支援行動網路、藍牙或WiFi等各類通訊協定的收發器)及耦接於處理單元的儲存單元(例如:可移動隨機存取記憶體、快閃記憶體或硬碟等但不限於此)等運行即時通訊終端400的必要構件。在本實施例中,即時通訊終端400之間可透過即時通訊伺服器200進行端對端金鑰交換,並透過即時通訊伺服器200將經即時通訊終端400加密後的訊息進行傳送,並且經端對端金鑰交換運算後的金鑰可用以解密此經加密後的訊息。如此,即時通訊終端400可提供用戶之間於一聊天室介面中互相傳送訊息並且對訊息進行加密及解密以即時通訊的功能,並且即時通訊終端400可儲存此訊息或對此訊息進行刪除。
即時通訊伺服器200分別通訊連接即時通訊終端400以及憑證認證伺服100。在一實施例中,即時通訊伺服器200可具有處理單元(如:處理器但不限於此)、耦接於處理單元的通訊單元(例如:支援行動網路、藍牙或WiFi等各類通訊協定的收發器)及耦接於處理單元的儲存單元(例如:可移動隨機存取記憶體、快閃記憶體或硬碟等但不限於此)等運行即時通訊伺服器200的必要構件。
即時通訊終端400將包括被監控對象500的聊天室介面傳送的訊息進行加密,且即時通訊伺服器200可將經即時通訊終端400加密後的訊息以及將即時通訊終端400進行端對端金鑰交換運算的金鑰交換資訊傳送至即時通訊終端400以及傳送至監管伺服器300。在一實施例中,在即時通訊伺服器200將監控帳號加入聊天室介面之後,監控帳號可作為聊天室介面的隱藏的成員,而此聊天室介面的成員會重新進行端對端金鑰交換運算以取得新的金鑰,且利用新的金鑰對訊息進行加密,並且即時通訊伺服器200傳送經加密後的訊息以及金鑰交換資訊至即時通訊終端400以及監管伺服器300。
監管伺服器300分別通訊連接憑證認證伺服器100以及即時通訊伺服器200。在一實施例中,監管伺服器300可具有處理單元(如:處理器但不限於此)、耦接於處理單元的通訊單元(例如:支援行動網路、藍牙或WiFi等各類通訊協定的收發器)及耦接於處理單元的儲存單元(例如:可移動隨機存取記憶體、快閃記憶體或硬碟等但不限於此)等運行監管伺服器300的必要構件。
具體而言,監管伺服器300可包括安全模組310以及分析決策模組320。其中安全模組310可儲存聊天室介面的成員的金鑰交換資訊以及金鑰,聊天室介面的成員可包括被監控對象500、監控帳號以及其他參與聊天室的即時通訊終端400,且監控帳號於聊天室介面時處於隱藏狀態,而被監控對象500及其他即時通訊終端400可直接顯示於聊天室介面而不需被隱藏。其中,監管伺服器300可即時驗證憑證,以於憑證有效時,即時通訊伺服器200將經加密後的訊息以及將即時通訊終端400、被監控對象500、監控帳號的金鑰交換資訊傳送至即時通訊終端400以及監管伺服器300。
在監控帳號加入聊天室介面之後,聊天室介面的成員(包括即時通訊終端400、被監控對象500、監控帳號)利用金鑰交換資訊重新進行該端對端金鑰交換運算以取得新的金鑰,且利用新的金鑰對訊息進行加密,即時通訊伺服器200傳送經加密後的訊息並且傳送金鑰交換資訊至即時通訊終端400以及監管伺服器300。
如此,即時通訊終端400以及監管伺服器300可利用金鑰交換資訊進行端對端金鑰交換運算後取得的新的金鑰對聊天室介面傳送的訊息進行解密,並且監管伺服器300會依據經解密後的訊息發出告警資訊。
更詳細來說,監管伺服器300的分析決策模組320以HTTP長連接(Long Pulling)的方式同步接收聊天室介面傳送的訊息,利用安全模組310儲存的金鑰對聊天室介面中傳送的訊息進行解密,且分析決策模組320可判斷經解密後的訊息是否包括高風險關鍵字,以於經解密後的訊息包括高風險關鍵字時發出告警資訊,例如可通過向端對端加密通訊監管系統10的管理者發送郵件或傳送簡訊等方式發出告警資訊。
此外,監管伺服器300的分析決策模組320可傳送鎖定訊號至即時通訊伺服器200,以令即時通訊伺服器200將被監控對象500以及包括高風險關鍵字的訊息進行鎖定操作,並且經由即時通訊伺服器200傳送訊號至被監控對象500,以令被監控對象500執行刪除包括高風險關鍵字的訊息的操作。
圖2是依照本發明的一實施例的監控帳號憑證申請與管控的流程圖。
請參考圖2所示,於步驟S201中,產生憑證與金鑰。具體而言,產生申請憑證與憑證所需的公私鑰,以及參與端對端加密所需金鑰協商的公私鑰(此公鑰即提供即時通訊終端400進行金鑰交換所需之金鑰交換資訊),需要說明的是,進行端對端金鑰交換運算主要是以即時通訊終端400(例如對應監控帳號的即時通訊終端400)的私鑰與對方(即聊天室介面的其他成員,例如被監控對象500)於金鑰交換資訊中之公鑰來進行運算,經運算後可得出的金鑰,並且用此金鑰對訊息進行加密,同理對方也可反過來運用其私鑰與對應監控帳號的即時通訊終端400提供之金鑰交換資訊進行運算,以得出相同之金鑰,用以對此訊息進行解密。
於步驟S202中,申請監管專屬之憑證與監控帳號。也即是說,端對端加密通訊監管系統10向憑證認證伺服器100申請此次監控事件專屬的憑證與監控帳號,此次監控事件可包括被監控對象、監控期限、申請監控的原因或者其他事項,本發明並不以此為限。
於步驟S203中,憑證認證伺服器100建立監控帳號與設定權限。於步驟S204中,開通監控帳號。監管伺服器300收到憑證認證伺服器100傳送的憑證與IP資訊後,需使用此憑證與IP資訊向即時通訊伺服器200開通監控帳號。
於步驟S205中,產生隨機亂數要求簽章。即時通訊伺服器200向監管伺服器300要求進行簽章與驗證,驗證方法可利用但不限於產生隨機亂數以提供監管伺服器300進行簽章。監管伺服器300透過安全模組310進行簽章後回傳給即時通訊伺服器200。
於步驟S206中,憑證認證伺服器(Certificate Authority, CA)100驗證憑證的有效性。即時通訊伺服器200將憑證傳送至憑證認證伺服器100進行有效性查詢,若憑證有效且憑證中記載之監控帳號的資訊為即時通訊伺服器200中已註冊之有效帳號,則憑證認證伺服器100進行簽章驗證。
於步驟S207中,開通監控帳號並且鎖定IP與API使用權限。倘若監控帳號通過驗證後,即時通訊伺服器200開通監管帳號,將此監控帳號連線IP,並且設定監控帳號的API使用權限。
於步驟S208中,註冊端對端加密所需的金鑰交換資訊。於監控帳號開通成功後,監管伺服器300可向即時通訊伺服器200註冊參與端對端加密所需的金鑰交換資訊,金鑰交換資訊包含安全模組310儲存的金鑰交換公鑰,且使用數位憑證進行簽章。在一實施例中,監管伺服器300完成帳號開通後,於每次與即時通訊伺服器200通訊時,仍須即時驗證憑證的有效性。倘若憑證認證伺服器100發現監管伺服器300所持有之憑證已失效或被註銷時,即傳送訊號至即時通訊伺服器200,以將監控帳號退出所有聊天室介面並將此憑證設為失效。
圖3是依照本發明的一實施例的參與聊天室與重新金鑰交換的流程圖。
請參考圖3所示,於本實施例中,即時通訊伺服器200會將監控帳號加入被監控對象所參與的聊天室介面,在監控帳號加入聊天室介面之後,聊天室介面的成員(包括即時通訊終端400、被監控對象500、監控帳號)重新進行端對端金鑰協商/交換,使監控帳號可對聊天室介面中傳送的訊息進行解密,詳細流程如下。
於步驟S301中,即時通訊伺服器200依據該次監控事件申請的被監控對象,將監控帳號加入包括被監控對象的相關聊天室中,並標註成員類別為監控帳號。
於步驟S302中,即時通訊伺服器200將監控帳號的數位憑證與金鑰交換所需的公鑰同步傳送至即時通訊終端400。
於步驟S303中,即時通訊伺服器200將相關聊天室的成員異動資訊同步傳送至即時通訊終端400,當同步到新成員為監控帳號時,即時通訊終端400將監控帳號於相關聊天室的介面中進行隱藏。
於步驟S304中,即時通訊伺服器200將相關聊天室中已協商的金鑰的狀態設為失效(在一般端對端加密通訊系統中,即時通訊伺服器200並未持有相關聊天室的金鑰資訊,僅協助管理金鑰的狀態,故僅透過將金鑰的狀態設為失效並同步傳送至即時通訊終端400)。
於步驟S305中,即時通訊終端400收到金鑰失效的狀態後,需重新檢驗聊天室中所有成員的合法性,若該成員為監控帳號,則需確認其金鑰交換資訊之數位簽章是否正確,以確保監控帳號不被中間人假冒。
於步驟S306中,即時通訊終端400重新進行金鑰協商,以端對端加密方式協商聊天室的金鑰後將重新協商的金鑰交換資訊傳送至聊天室中所有成員,包含監控帳號。
於步驟S307中,監管伺服器300向即時通訊伺服器200同步傳送已重新協商的金鑰交換資訊,並儲存於安全模組310中,可作為於訊息同步與後續解密之用。
上述提及之金鑰協商的方法,包括但不限於群組金鑰交換方式,或可透過一對一成對交換金鑰的方式進行所有聊天室成員與監控帳號的端對端加密通訊,惟需透過數位簽章的驗證方式以確保交換對象未被中間人取代。
在上述參與聊天室與重新金鑰交換的流程之後,端對端加密通訊監管方法更包括監管與資料保護的流程。具體流程如下。
監管伺服器300透過分析決策模組320,以(HTTP長連接 Long Pulling)之方式向即時通訊伺服器200即時同步傳送包括被監控對象的相關聊天室的訊息。
分析決策模組320利用安全模組310所儲存的聊天室金鑰將此訊息進行解密,以取得經解密後的訊息。分析決策模組320可整合文字解析與決策方法,包含但不限於如自然語言處理(Natural Language Precessing,NLP)、關鍵字比對、基於規則系統(Rule-Base System)或AI機器學習等方式,對經解密後的訊息進行自動化的分析,以判斷經解密後的訊息中是否包含高風險的關鍵字或機密資料。
倘若分析決策模組320判斷經解密後的訊息中包含高風險的關鍵字或機密資料時,可標註訊息並且發出告警資訊通知系統管理人員,並同時傳送鎖定訊號至即時通訊伺服器200,以鎖定重要資料。
即時通訊伺服器200將被標註訊息的存取權限進行鎖定,避免即時通訊終端400再次取得被標註訊息,並傳送訊號至即時通訊終端400,由即時通訊終端400進行其本地端訊息的銷毀,避免包含高風險的關鍵字或機密資料的訊息外流。除鎖定訊息存取權限外,即時通訊伺服器200可進行相關帳號之停權,儲存可疑的聊天室對話訊息。分析決策模組320僅可儲存已被標註的訊息,而經端對端加密通訊監管系統10判斷為包含高風險的關鍵字或機密資料的訊息,即立刻刪除。
圖4是依照本發明的一實施例的端對端加密通訊監管方法的流程圖。
於步驟S401中,憑證認證伺服器100產生用以監控包括多個即時通訊終端400的聊天室介面的監控帳號以及將監控帳號加入聊天室介面的憑證,其中聊天室介面的成員包括多個即時通訊終端400以及監控帳號。
於步驟S402中,即時通訊終端400對聊天室介面的訊息進行加密,即時通訊伺服器200傳送經加密後的訊息並且傳送即時通訊終端400的金鑰交換資訊至即時通訊終端400以及監管伺服器300。其中即時通訊終端包括至少一被監控對象。具體而言,在監控帳號加入聊天室介面之後,聊天室介面的成員重新進行端對端金鑰交換以產生新的金鑰,並且監管伺服器300即時驗證憑證,以於憑證有效時,即時通訊伺服器200傳送經加密後的訊息以及重新進行端對端金鑰交換運算所需的新的金鑰交換資訊至即時通訊終端400以及監管伺服器300。
於步驟S403中,即時通訊終端400以及監管伺服器300利用新的金鑰交換資訊進行端對端金鑰交換運算後取得的新的金鑰對訊息進行解密,並且依據解密後的訊息發出告警資訊。詳細而言,監管伺服器300判斷經解密後的訊息是否包括高風險關鍵字,以於經解密後的訊息包括高風險關鍵字時發出告警資訊。於一實施例中,監管伺服器300的分析決策模組320可透過電子郵件、簡訊、或其他方式發出告警資訊,以通知系統管理者,並且可於收到告警資訊後對訊息的標註內容進行確認,若為誤判,系統管理者再修改被監控對象500的帳號停權與訊息之存取限制。
於步驟S404中,即時通訊伺服器200將被監控對象500以及包括高風險關鍵字的訊息進行鎖定操作以限制訊息的存取,避免繼續同步傳送此訊息至聊天室介面的其他即時通訊終端400,並針對被監控對象500進行停權,限制其登入帳號與收發訊息,並且傳送訊號至被監控對象500,以令被監控對象500於其本地端刪除包括高風險關鍵字的訊息。
基於上述,本發明提供一種端對端加密通訊監管系統及其方法,可在不破壞端對端加密通訊之安全性的前提下,進行即時通訊監控,且於加入監控帳號時可驗證監控帳號的有效性,避免中間人試圖假冒監控帳號進行竊密,並且可視需求於系統運行中加入監控事件,通過設定監控對象與監控事件之效期,從而避免監控權限遭到濫用。
雖然本揭露已以實施例揭露如上,然其並非用以限定本揭露,任何所屬技術領域中具有通常知識者,在不脫離本揭露的精神和範圍內,當可作些許的更動與潤飾,故本揭露的保護範圍當視後附的申請專利範圍所界定者為準。
10:端對端加密通訊監管系統
100:憑證認證伺服器
200:即時通訊伺服器
300:監管伺服器
400:即時通訊終端
500:被監控對象
S201、S202、S203、S204、S205、S206、S207、S208、S301、S302、S303、S304、S305、S306、S307、S401、S402、S403、S404:步驟
圖1是依照本發明的一實施例的一種端對端加密通訊監管系統的示意圖。
圖2是依照本發明的一實施例的監控帳號憑證申請與管控的流程圖。
圖3是依照本發明的一實施例的參與聊天室與重新金鑰交換的流程圖。
圖4是依照本發明的一實施例的端對端加密通訊監管方法的流程圖。
S401、S402、S403、S404:步驟
Claims (10)
- 一種端對端加密通訊監管系統,包括: 多個即時通訊終端,該些即時通訊終端包括至少一被監控對象; 憑證認證伺服器,該憑證認證伺服器產生用以監控包括該些即時通訊終端的聊天室介面的監控帳號以及將該監控帳號加入該聊天室介面的憑證,其中該聊天室介面的成員包括該些即時通訊終端以及該監控帳號; 即時通訊伺服器,分別通訊連接該些即時通訊終端以及該憑證認證伺服器;以及 監管伺服器,分別通訊連接該憑證認證伺服器以及該即時通訊伺服器, 其中,該些即時通訊終端對該聊天室介面的訊息進行加密,該即時通訊伺服器傳送經加密後的該訊息並且傳送該些即時通訊終端的金鑰交換資訊至該些即時通訊終端以及該監管伺服器, 其中,該些即時通訊終端以及該監管伺服器利用該金鑰交換資訊進行端對端金鑰交換運算後取得的金鑰對該訊息進行解密,並且該監管伺服器依據經解密後的該訊息發出告警資訊。
- 如請求項1所述的端對端加密通訊監管系統,其中該監管伺服器至少包括安全模組以及分析決策模組,其中該安全模組用以儲存該聊天室介面的該成員的該金鑰交換資訊以及該金鑰,且該監控帳號在該聊天室介面處於隱藏狀態。
- 如請求項2所述的端對端加密通訊監管系統,其中該分析決策模組以HTTP長連接(Long Pulling)的方式同步接收該聊天室介面傳送的該訊息,利用該安全模組儲存的該金鑰對該聊天室介面的該訊息進行解密,且該分析決策模組更用以判斷該經解密後的該訊息是否包括高風險關鍵字,以於該經解密後的該訊息包括該高風險關鍵字時發出該告警資訊, 其中該分析決策模組更用以傳送鎖定訊號至該即時通訊伺服器,以令該即時通訊伺服器將該至少一被監控對象以及包括該高風險關鍵字的訊息進行鎖定操作,並且經由該即時通訊伺服器傳送訊號至該至少一被監控對象以令該至少一被監控對象執行刪除包括該高風險關鍵字的訊息的操作。
- 如請求項1所述的端對端加密通訊監管系統,其中在該監控帳號加入該聊天室介面之後,該聊天室介面的該成員更利用該金鑰交換資訊重新進行該端對端金鑰交換運算以取得新的金鑰,且利用該新的金鑰對該訊息進行加密, 其中,該即時通訊伺服器傳送經加密後的該訊息並且傳送該金鑰交換資訊至該些即時通訊終端以及該監管伺服器, 其中,該些即時通訊終端以及該監管伺服器利用該金鑰交換資訊進行該端對端金鑰交換運算後取得的該新的金鑰對該訊息進行解密,並且該監管伺服器依據經解密後的該訊息發出該告警資訊。
- 如請求項4所述的端對端加密通訊監管系統,其中該監管伺服器更用以即時驗證該憑證,以於該憑證有效時,該即時通訊伺服器將經加密後的該訊息以及將該金鑰交換資訊傳送至該監管伺服器。
- 一種端對端加密通訊監管方法,包括: 產生用以監控包括多個即時通訊終端的聊天室介面的監控帳號以及將該監控帳號加入該聊天室介面的憑證,其中該聊天室介面的成員包括該些即時通訊終端以及該監控帳號,該些即時通訊終端包括至少一被監控對象; 對該聊天室介面的訊息進行加密; 傳送經加密後的該訊息並且傳送該些即時通訊終端的金鑰交換資訊; 利用該金鑰交換資訊進行端對端金鑰交換運算後取得的金鑰對該訊息進行解密;以及 依據經解密後的該訊息發出告警資訊。
- 如請求項6所述的端對端加密通訊監管方法,其中該方法更包括: 儲存該聊天室介面的該成員的該金鑰交換資訊以及該金鑰,且該監控帳號在該聊天室介面處於隱藏狀態。
- 如請求項7所述的端對端加密通訊監管方法,其中利用該金鑰對該訊息進行解密,並且依據經解密後的該訊息發出該告警資訊的步驟中更包括: 以HTTP長連接(Long Pulling)的方式同步接收該聊天室介面傳送的該訊息,利用該儲存的該金鑰對該聊天室介面的該訊息進行解密, 判斷該經解密後的該訊息是否包括高風險關鍵字,以於該經解密後的該訊息包括該高風險關鍵字時發出該告警資訊,以及 傳送鎖定訊號,以令將該至少一被監控對象以及包括該高風險關鍵字的該訊息進行鎖定操作,並且傳送訊號至該至少一被監控對象,以令該至少一被監控對象執行刪除包括該高風險關鍵字的訊息的操作。
- 如請求項6所述的端對端加密通訊監管方法,其中該方法更包括: 在該監控帳號加入該聊天室介面之後,該聊天室介面的成員更利用該金鑰交換資訊重新進行該端對端金鑰交換運算以取得新的金鑰,且利用該新的金鑰對該訊息進行加密; 傳送經加密後的該訊息並且傳送該金鑰交換資訊; 利用該金鑰交換資訊進行該端對端金鑰交換運算後取得的該新的金鑰對該訊息進行解密;以及 依據經解密後的該訊息發出該告警資訊。
- 如請求項9所述的端對端加密通訊監管方法,其中該傳送經加密後的該訊息並且傳送該金鑰交換資訊的步驟中更包括: 即時驗證該憑證,以於該憑證有效時,傳送經加密後的該訊息並且傳送該金鑰交換資訊。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW111125889A TWI794126B (zh) | 2022-07-11 | 2022-07-11 | 端對端加密通訊監管系統及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW111125889A TWI794126B (zh) | 2022-07-11 | 2022-07-11 | 端對端加密通訊監管系統及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI794126B true TWI794126B (zh) | 2023-02-21 |
| TW202404303A TW202404303A (zh) | 2024-01-16 |
Family
ID=86689407
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW111125889A TWI794126B (zh) | 2022-07-11 | 2022-07-11 | 端對端加密通訊監管系統及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI794126B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8479259B2 (en) * | 1997-09-26 | 2013-07-02 | Verizon Business Global Llc | Secure customer interface for web based data management |
| CN106100980A (zh) * | 2016-07-29 | 2016-11-09 | 黄亮 | 即时通信端到端的通信方法及装置 |
| US9992180B2 (en) * | 2012-05-24 | 2018-06-05 | Smart Security Systems Llc | Systems and methods for protecting communications between nodes |
| US20180270072A1 (en) * | 2003-02-20 | 2018-09-20 | Google Llc | Secure instant messaging system |
| CN109039871A (zh) * | 2018-08-31 | 2018-12-18 | 国鼎网络空间安全技术有限公司 | 基于容器的即时通信软件的端到端加密系统及方法 |
| CN109639680A (zh) * | 2018-12-14 | 2019-04-16 | 杭州安司源科技有限公司 | 一种三元对等的即时通信身份认证和权限控制方法 |
| CN114301979A (zh) * | 2021-12-17 | 2022-04-08 | 北京航空航天大学杭州创新研究院 | 基于Zabbix的自组网加密通信监控系统和方法 |
-
2022
- 2022-07-11 TW TW111125889A patent/TWI794126B/zh active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8479259B2 (en) * | 1997-09-26 | 2013-07-02 | Verizon Business Global Llc | Secure customer interface for web based data management |
| US20180270072A1 (en) * | 2003-02-20 | 2018-09-20 | Google Llc | Secure instant messaging system |
| US9992180B2 (en) * | 2012-05-24 | 2018-06-05 | Smart Security Systems Llc | Systems and methods for protecting communications between nodes |
| CN106100980A (zh) * | 2016-07-29 | 2016-11-09 | 黄亮 | 即时通信端到端的通信方法及装置 |
| CN109039871A (zh) * | 2018-08-31 | 2018-12-18 | 国鼎网络空间安全技术有限公司 | 基于容器的即时通信软件的端到端加密系统及方法 |
| CN109639680A (zh) * | 2018-12-14 | 2019-04-16 | 杭州安司源科技有限公司 | 一种三元对等的即时通信身份认证和权限控制方法 |
| CN114301979A (zh) * | 2021-12-17 | 2022-04-08 | 北京航空航天大学杭州创新研究院 | 基于Zabbix的自组网加密通信监控系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202404303A (zh) | 2024-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10644886B2 (en) | Providing low risk exceptional access | |
| CN106104562B (zh) | 机密数据安全储存和恢复系统及方法 | |
| US11363454B2 (en) | Providing low risk exceptional access with verification of device possession | |
| US8059818B2 (en) | Accessing protected data on network storage from multiple devices | |
| US8583943B2 (en) | Method and system for providing data field encryption and storage | |
| US20070055893A1 (en) | Method and system for providing data field encryption and storage | |
| CN108768613A (zh) | 一种基于多种加密算法的密文口令校验方法 | |
| JPH07325785A (ja) | ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| JP2001148697A (ja) | 低信頼性のチャネルを介して情報を通信する方法 | |
| US8401183B2 (en) | Method and system for keying and securely storing data | |
| CN117081815A (zh) | 数据安全传输的方法、装置、计算机设备及存储介质 | |
| CN114466353A (zh) | App用户ID信息保护的装置、方法、电子设备及存储介质 | |
| TWI827906B (zh) | 訊息傳輸系統以及應用其中之使用者裝置與資訊安全硬體模組 | |
| TWI794126B (zh) | 端對端加密通訊監管系統及其方法 | |
| JP3690237B2 (ja) | 認証方法、記録媒体、認証システム、端末装置、及び認証用記録媒体作成装置 | |
| TWI828558B (zh) | 訊息傳輸系統以及應用其中之使用者裝置與資訊安全硬體模組 | |
| JP7433620B1 (ja) | 通信方法、通信装置及びコンピュータプログラム | |
| Jain | “Sec-KeyD” an efficient key distribution protocol for critical infrastructures | |
| Stathopoulos et al. | Secure log management for privacy assurance in electronic communications | |
| WO2023151427A1 (zh) | 量子密钥传输方法、装置及系统 | |
| CN116663037A (zh) | 基于联盟链的加密病历安全共享及密钥管理方法 | |
| CN115883211A (zh) | 一种面向企业数据安全的文件流转系统 | |
| CN118101190A (zh) | 一种基于tpm的边缘网关多层级加密防护方法及装置 | |
| CN117938509A (zh) | 一种基于Hyperledger Fabric联盟链的中药产线数据加密及存储方法 |