本发明专利技术公开了一种基于云端的安全即时通信的方法及系统,该系统包括:在云端设置的发送端、接收端、通信应用服务器以及本地设置的密钥管理中心(KMC),所述密钥管理中心产生终端初始化密钥(TIK)、传输主密钥(TMK)、终端本地主密钥(TLMK)、终端会话密钥(TAK),并发送给所述发送端和接收端;每个所述发送端和接收端均包括一通信模块和密钥模块,通过所述通信模块接收这些密钥数据,所述密钥模块负责解密、保存、管理这些密钥数据,并利用接收的所述终端会话密钥建立加密信道,每次建立所述加密信道所采用的所述终端会话密钥不同。通过本发明专利技术的技术方案可以,使整个系统安全性高、兼容性好、异构性强。
【技术实现步骤摘要】
本专利技术涉及数据安全领域,具体涉及基于云端的安全即时通信方法及系统。
技术介绍
随着越来越多的应用云化,从使用角度确实提高了效率,节省了成本,加快了应用的建设速度。但是从安全角度考虑,由于云端天然存在数据产生者与数据拥有者脱离的客观因素,因此安全问题也越发凸显。特别是在实时通信类应用中,此问题更加明显,比如通信双方传输的数据是否被窃听?存储在云端的数据是否被他人盗用等。要解决此问题,最好的技术方案就是采用加密技术,实现数据在传输、使用、存储过程中以密文形态存在,继而有效的防止数据泄露、内容窃听、信息外泄等安全问题。实现通信系统的加密安全传输其核心技术点在于密钥如何使用。什么时候采用对称密钥?什么是否使用加密密钥?什么时候密钥产生?什么时候密钥销毁等等各种关键技术点,任何一个环节设计或者搭配的有问题,就会造成加密效率缓慢,通信效率低下。从实现情况来看,目前一些常规的通信类软件,比如QQ、邮件等,主要以对称密钥加密内容,非对称密钥加密对称密钥的实现思路为主。图1展示了现有技术中的即时通信方法,其包括以下步骤:1)发送方在本地生成对称密钥;2)利用所述对称加密待发送的数据;3)发送方向密钥管理中心申请接收方的加密公钥;4)利用接收方加密公钥加密对称密钥;5)将加密数据和经加密的对称密钥发送给接收方;6)接收方利用私钥解密接收到的对称密钥;7)利用所述对称密钥解密加密数据;8)得到明文通信数据;9)完成通信。然而上述现有技术存在以下缺点:此方案中密钥管理中心放在互联网平台,不被使用者所管理,这就意味着核心密钥不受控,所以基于此密钥产生的所有数据原则上也不受信。此方案是一人一密的效果,虽然满足了设计简约的原则,但是安全性大大降低,一旦用户密钥被攻破,所有此用户的信息将被攻破,难以全面保证通信全链条的安全。从实际需求和安全防护的角度出发,基于云平台下的通信类应用可以采用私有KMC,保证核心密钥的自主可控。同时结合通信业务的场景,在传统的密钥使用技术上,增加新的密钥机制,实现LMK,TLMK,TMK,TAK,TIK的五层密钥管理体信息,真正的实现通信的可信可控。
技术实现思路
为解决上述技术问题,本专利技术提供了一种基于云端的安全即时通信方法,该方法包括以下步骤:。1)密钥管理中心(KMC)根据通信信道ID为通信双方生成随机的终端会话密钥(TAK);2)所述密钥管理中心采用传输主密钥(TMK)对所述终端会话密钥加密后发送后所述通信双方;3)所述通信双方接收终端会话密钥加密数据,并解密得到所述终端会话密钥;4)所述通信双方中的发送端通过所述终端会话密钥加密挑战数据包并发送给接收端;5)所述接收端接收并解密得到所述挑战数据包,并将明文挑战数据包发送给所述发送端;6)所述发送端接收到所述明文挑战数据包,并判断与其发送的挑战数据包是否匹配;7)如果匹配,则建立与所述接收端的加密信道,随后双方进行安全通信,如果匹配失败,则跳转到步骤8);8)结束通信。优选的,所述传输主密钥通过以下步骤获得:2.1)由所述密钥管理中心定期产生所述传输主密钥;2.2)所述密钥管理中心采用终端本地主密钥(TLMK)加密所述传输主密钥,并发送给用户;2.3)用户接收传输主密钥加密数据,并解密得到所述传输主密钥。优选的,所述传输主密钥通过广播的方式发送给所有用户。优选的,所述终端本地主密钥通过以下步骤获得:4.1)用户向所述密钥管理中心申请所述终端本地主密钥,采用本地主密钥(LMK)对申请信息加密;4.2)所述密钥管理中心接收并解密得到所述申请信息;4.3)所述密钥管理中心为用户分配所述终端本地主密钥,并通过终端初始化密钥(TIK)加密后发送给用户;4.4)所述用户接收终端本地主密钥加密数据,并解密得到所述终端本地主密钥;4.5)注销所述终端初始化密钥。优选的,所述终端初始化密钥通过以下步骤获得:2.1)新用户向所述密钥管理中心发送注册申请;2.2)所述密钥管理中心接收到所述注册申请后,为所述新用户分配所述终端初始化密钥,并向所述新用户发送验证信息;2.3)所述新用户接收到所述验证信息,并在本地生成所述终端初始化密钥。优选的,在本地通过时间戳技术对所述验证信息的时间戳进行匹配,如果接收的所述验证信息时间戳合法,则所述密钥管理中心生成的终端初始化密钥和本地生成的终端初始化密钥是相同的。优选的,可以通过以下步骤对通信数据进行安全保存:7.1)随机产生对称密钥;7.2)通过所述对称密钥加密待存储的通信数据;7.3)采用所述终端本地主密钥加密所述对称密钥;7.4)将经加密的通信数据和对称密钥存储在本地指定位置。优选的,所述本地主密钥为核心根密钥,用来保护所述密钥管理中心运行过程中所产生的各种需要保护的密钥和数据,所述本地主密钥存放于专用的密码存储介质中,该本地主密钥只能在专用的密码设备中使用,属于长期密钥,在所述密钥管理中心全生命周期中一直存在,不进行更换。优选的,每次建立所述加密信道所采用的所述终端会话密钥不同。为解决上述技术问题,本专利技术提供了一种基于云端的安全即时通信系统,该系统包括:在云端设置的发送端、接收端、通信应用服务器以及本地设置的密钥管理中心(KMC),所述密钥管理中心产生终端初始化密钥(TIK)、传输主密钥(TMK)、终端本地主密钥(TLMK)、终端会话密钥(TAK),并发送给所述发送端和接收端;每个所述发送端和接收端均包括一通信模块和密钥模块,通过所述通信模块接收这些密钥数据,所述密钥模块负责解密、保存、管理这些密钥数据,并利用接收的所述终端会话密钥建立加密信道,每次建立所述加密信道所采用的所述终端会话密钥不同。优选的,所述密钥管理中心定期产生所述传输主密钥,并广播给所有发送端和接收端。优选的,所述密钥管理中心根据用户请求,生成终端本地主密钥或终端会话密钥,并发送给用户。通过本专利技术的技术方案取得了以下技术效果:1.安全性高,在不过多影响正常业务效率的基础上,实现了一文一密,一人一密,安全程度高。2.兼容性好,能够兼容目前国内外大部分的主流加密算法。3.异构性强,能够支持云平台、本地平台、混合平台等多种架构模式。4.开发量少,对于应用而言,只需调用相关接口服务即可,无需做过多的开发工作即可实现安全保障。附图说明图1是现有技术中的即时通信流程图图2是本专利技术总体架构图图3是本专利技术整体业务流程图图4是本专利技术用户申请TIK的具体业务流程图图5是本专利技术用户申请TLMK的具体业务流程图图6是本专利技术传输密钥广播发布的具体业务流程图图7是本专利技术建立加密信道流程图图8是本专利技术本地数据加密的具体业务流程图图9是本专利技术实施例中制卡业务流程图图10是本专利技术实施例中发卡业务流程图图11是本专利技术实施例中加密视频通话业务流程图图12是本专利技术实施例中加密卡维护业务流程图具体实施方式名词解释:KMC,keymanagecenter,密钥管理中心,主要负责加密通信中密钥的生成、启用、销毁、恢复、更新等管理工作。LMK,LocalMainKey,本地主密钥,作为整个密钥体系的核心根密钥,用来保护系统产生的终端密钥,各分级密钥交换中心的主密钥,KMC运行过程中所产生的各种需要保护的密钥和数据。LMK存放于专用的密码存储介质当中,由专人进行保管,该密钥只能在专用的密码设备中使用本文档来自技高网...
【技术保护点】
一种基于云端的安全即时通信方法,该方法包括以下步骤:1)密钥管理中心(KMC)根据通信信道ID为通信双方生成随机的终端会话密钥(TAK);2)所述密钥管理中心采用传输主密钥(TMK)对所述终端会话密钥加密后发送后所述通信双方;3)所述通信双方接收终端会话密钥加密数据,并解密得到所述终端会话密钥;4)所述通信双方中的发送端通过所述终端会话密钥加密挑战数据包并发送给接收端;5)所述接收端接收并解密得到所述挑战数据包,并将明文挑战数据包发送给所述发送端;6)所述发送端接收到所述明文挑战数据包,并判断与其发送的挑战数据包是否匹配;7)如果匹配,则建立与所述接收端的加密信道,随后双方进行安全通信,如果匹配失败,则跳转到步骤8);8)结束通信。
【技术特征摘要】
1.一种基于云端的安全即时通信方法,该方法包括以下步骤:1)密钥管理中心(KMC)根据通信信道ID为通信双方生成随机的终端会话密钥(TAK);2)所述密钥管理中心采用传输主密钥(TMK)对所述终端会话密钥加密后发送后所述通信双方;3)所述通信双方接收终端会话密钥加密数据,并解密得到所述终端会话密钥;4)所述通信双方中的发送端通过所述终端会话密钥加密挑战数据包并发送给接收端;5)所述接收端接收并解密得到所述挑战数据包,并将明文挑战数据包发送给所述发送端;6)所述发送端接收到所述明文挑战数据包,并判断与其发送的挑战数据包是否匹配;7)如果匹配,则建立与所述接收端的加密信道,随后双方进行安全通信,如果匹配失败,则跳转到步骤8);8)结束通信。2.根据权利要求1所述的方法,所述传输主密钥通过以下步骤获得:2.1)由所述密钥管理中心定期产生所述传输主密钥;2.2)所述密钥管理中心采用终端本地主密钥(TLMK)加密所述传输主密钥,并发送给用户;2.3)用户接收传输主密钥加密数据,并解密得到所述传输主密钥。3.根据权利要求2所述的方法,所述传输主密钥通过广播的方式发送给所有用户。4.根据权利要求2所述的方法,所述终端本地主密钥通过以下步骤获得:4.1)用户向所述密钥管理中心申请所述终端本地主密钥,采用本地主密钥(LMK)对申请信息加密;4.2)所述密钥管理中心接收并解密得到所述申请信息;4.3)所述密钥管理中心为用户分配所述终端本地主密钥,并通过终端初始化密钥(TIK)加密后发送给用户;4.4)所述用户接收终端本地主密钥加密数据,并解密得到所述终端本地主密钥;4.5)注销所述终端初始化密钥。5.根据权利要求4所述的方法,所述终端初始化密钥通过以下步骤获得:5.1)新用户向所述密钥管理中心发送注册申请;5.2)所述密钥管理中心接收到所述注册申请后,为所述新用户分配所述终端初始化密钥,并向所...
【专利技术属性】
技术研发人员:李欣,王志海,郑涛,胡诗妍,何晋昊,蒲鹏飞,
申请(专利权)人:中国人民公安大学,北京明朝万达科技股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。