开放、不可信互联网环境下安全即时通信方法及系统技术方案

本发明专利技术公开了开放、不可信互联网环境下安全即时通信方法，包括：第一客户端将与第二客户端通信的请求发送给服务器，服务器将通信的请求转发给第二客户端；第二客户端将同意通信的响应返回给服务器，服务器将同意通信的响应转发给第一客户端；生成第一客户端与第二客户端之间的会话密钥；建立第一客户端与第二客户端的通信链接；第一客户端采集原始通信信息并通过自定义的数据格式对原始通信信息进行封装得到封装通信信息；第一客户端根据会话密钥对封装通信信息进行加密得到加密通信信息；第一客户端将加密通信信息发送给第二客户端；第二客户端根据会话密钥对接收到的加密通信信息进行解密得到封装通信信息。

【技术实现步骤摘要】
开放、不可信互联网环境下安全即时通信方法及系统
本专利技术涉及一种即时通信技术，尤其涉及一种开放、不可信互联网环境下安全即时通信方法及系统。
技术介绍
目前，我们正快速进入一个崭新的(移动)互联网时代。即时语音/视频通信作为移动互联网的重要基础，大量的应用，如“社交、娱乐、购物、休闲、金融”等，均基于其展开。但是，如何在开放、不可信的环境下保证即时语音/视频通信的安全性(保密性)却仍然是一个有待解决的关键问题。目前国内主流的即时通信软件，如微信、QQ和来往等，虽然提供了一定的安全保密功能，但是它们并不支持通信双方在开放、不可信的环境下自主、动态地协商会话密钥，换句话说，这些软件的加密通信过程(如果有的话)必须依赖于软件提供商的服务器。然而，软件提供商的服务器并不是完全可信的，虽然软件提供商已经尽可能保证服务器的安全性，但是在特定的情况下(如公司内部攻击者，网络攻击事件等)，服务器仍然可能被攻击者所控制，从而危害到即时通信的安全。一篇中国专利文献(申请号为200410021688.8)公开了一种手机话音和数据的端到端加密方法，其无线端用户采用外置的终端保密装置与支持蓝牙数据通信功能的GSM蓝牙移动台连接，从而实现GSM网络话音和数据业务的端到端加密。然而，这种方法需要外置的移动保密装置，普通商业硬件并不具备该装置，用户需要额外定制。另一篇中国专利文献(申请号为200910306202.8)公开了一种CDMA端到端加密通信系统及其密钥分发方法，其包括CDMA网络及其终端手机、公共交换电话网及其终端座机、短信中心，还包括以下三种密码处理单元：手机终端的密码芯片、密钥分发管理中心，网管移动交换中心的Firmware密码模块，由此形成一种安全的CDMA端到端加密通信的密钥分发方法。但是，该专利也需要对用户终端进行相应的改造，实施起来并不方便，且只支持CDMA网络间通信，具有一定局限性。可以看出，基于现有技术保证即时通信的安全性的方法存在以下缺陷：1、加密通信过程所使用的会话密钥只能由软件提供商的服务器生成，这一方面使得用户无法动态、自主和可控地协商会话密钥；另一方面也导致会话密钥本身、甚至整个通信加密过程的安全性必须依赖于服务器的安全性，但是服务器却不是绝对可信的。2、需要对用户终端进行特殊的改造，实施起来不方便，且需要额外成本。3、需要外置的移动保密装置，但普通商业移动智能终端并不具备这类装置，用户需要额外定制，成本较高。
技术实现思路
有鉴于此，有必要提供一种在开放、不可信互联网环境下进行安全即时通信的方法及系统。本专利技术具有如下特点：1、通信双方利用会话密钥对即时通信信息进行透明加解密保护，确保通信信息的安全性，整个过程无需用户干预。2、通信双方在每次通话之前，都会重新协商会话密钥，确保会话密钥的安全性。3、通信双方基于本专利技术所设计的会话密钥协商协议自主、可控地进行会话密钥协商。会话密钥协商协议从理论上保证了，无论网络通信环境是否可信、以及无论即时通信服务器是否可信，只要会话密钥能够协商成功，那么生成的会话密钥一定是真实(Authenticity)、新鲜(Freshness)和保密(Confidentiality)的。4、本专利技术适用于普通商用移动智能终端，无需对终端做任何内置或外置硬软件安全增强，不增加额外成本。6、本专利技术模块化，扩展性好。可以根据需要方便地替换使用各类密码学算法，并且可以容易地扩展到Android、iOS等各类操作系统之上。本专利技术解决其技术问题所采用的技术方案是：构造一种开放、不可信互联网环境下安全即时通信方法，其包括以下步骤：S01、第一客户端将与第二客户端通信的请求发送给服务器，所述服务器将所述通信的请求转发给所述第二客户端；所述第二客户端将同意通信的响应返回给所述服务器，所述服务器将所述同意通信的响应转发给所述第一客户端；S02、生成所述第一客户端与所述第二客户端之间的会话密钥；S03、建立所述第一客户端与所述第二客户端的通信链接；所述第一客户端采集原始通信信息并通过自定义的数据格式对所述原始通信信息进行封装得到封装通信信息；所述第一客户端根据所述会话密钥对所述封装通信信息进行加密得到加密通信信息；所述第一客户端将所述加密通信信息发送给所述第二客户端；所述第二客户端根据所述会话密钥对接收到的所述加密通信信息进行解密得到所述封装通信信息；所述第二客户端根据所述自定义的数据格式对所述封装信息进行解封得到所述原始通信信息。本专利技术还提供一种开放、不可信互联网环境下安全即时通信系统，其包括以下模块：通信请求模块，用于通过第一客户端将与第二客户端通信的请求发送给服务器，所述服务器将所述通信的请求转发给所述第二客户端；通过所述第二客户端将同意通信的响应返回给所述服务器，通过所述服务器将所述同意通信的响应转发给所述第一客户端；会话密钥生成模块，用于生成所述第一客户端与所述第二客户端之间的会话密钥；加密通信模块，用于建立所述第一客户端与所述第二客户端的通信链接；通过所述第一客户端采集原始通信信息并通过自定义的数据格式对所述原始通信信息进行封装得到封装通信信息；通过所述第一客户端根据所述会话密钥对所述封装通信信息进行加密得到加密通信信息；通过所述第一客户端将所述加密通信信息发送给所述第二客户端；通过所述第二客户端根据所述会话密钥对所述加密通信信息进行解密得到所述封装通信信息；通过所述第二客户端根据所述自定义数据格式对所述封装通信信息进行解封得到所述原始通信信息。本专利技术提供的开放、不可信互联网环境下安全即时通信方法及系统，基于普通商用移动智能终端，在无需对终端做任何硬软件安全增强、以及默认即时通信服务器不可信的前提下，利用本专利技术所设计的会话密钥协商协议，使得第一客户端和第二客户端在进行通即时信之前，首先协商生成会话密钥，并确保所生成会话密钥的真实性、新鲜性和保密性，之后利用透明加解密技术自动对第一客户端和第二客户端之间的即时通信信息进行加密保护，从而实现在开放、不可信互联网环境下进行安全保密的即时通信。附图说明图1是本专利技术一较佳实施例的开放、不可信互联网环境下安全即时通信方法的流程图；图2是图1中步骤S02的子流程图；图3是图2中步骤S1的子流程图；图4是图2中步骤S2的子流程图；图5是图2中步骤S5的子流程图；图6是本专利技术一较佳实施例的开放、不可信互联网环境下安全即时通信系统的结构框图；图7是图6中会话密钥生成模块的子结构框图；图8是图7中第一公私钥对生成子模块的子结构框图；图9是图7中第一客户端公钥发送子模块的子结构框图；图10是图7中会话密钥前半部分生成子模块的子结构框图。具体实施方式为了对本专利技术的技术特征、目的和效果有更加清楚的理解，现对照附图详细说明本专利技术的具体实施方式，下述具体实施方式以及附图，仅为更好地理解本专利技术，并不对本专利技术做任何限制。可选地，作为本专利技术的一种实现选择，本实施例基于运行Android系统的平台进行了实现。基于本专利技术的思想，也可以容易地扩展到其他操作系统(如iOS、WindowsPhone等)进行实现。图1为本专利技术实施例提供一种开放、不可信互联网环境下安全即时通信方法，其包括以下步骤：S01、第一客户端将与第二客户端通信的请求发送给服务器，所述服务器将所述通信的请求转发本文档来自技高网...

【技术保护点】
一种开放、不可信互联网环境下安全即时通信方法，其特征在于，其包括以下步骤：S01、第一客户端将与第二客户端通信的请求发送给服务器，所述服务器将所述通信的请求转发给所述第二客户端；所述第二客户端将同意通信的响应返回给所述服务器，所述服务器将所述同意通信的响应转发给所述第一客户端；S02、生成所述第一客户端与所述第二客户端之间的会话密钥；S03、建立所述第一客户端与所述第二客户端的通信链接；所述第一客户端采集原始通信信息并通过自定义的数据格式对所述原始通信信息进行封装得到封装通信信息；所述第一客户端根据所述会话密钥对所述封装通信信息进行加密得到加密通信信息；所述第一客户端将所述加密通信信息发送给所述第二客户端；所述第二客户端根据所述会话密钥对接收到的所述加密通信信息进行解密得到所述封装通信信息；所述第二客户端根据所述自定义数据格式对所述封装通信信息进行解封得到所述原始通信信息。

【技术特征摘要】
1.一种开放、不可信互联网环境下安全即时通信方法，其特征在于，其包括以下步骤：S01、第一客户端将与第二客户端通信的请求发送给服务器，所述服务器将所述通信的请求转发给所述第二客户端；所述第二客户端将同意通信的响应返回给所述服务器，所述服务器将所述同意通信的响应转发给所述第一客户端；S02、生成所述第一客户端与所述第二客户端之间的会话密钥；具体包括以下子步骤：S1、所述第一客户端生成第一客户端的公钥kea和第一客户端的私钥kda，并将所述公钥kea发送给所述服务器；所述服务器根据接收到的公钥kea’生成签名siga，并将所述签名siga发送给所述第一客户端；S2、所述第一客户端将所述公钥kea发送给所述第二客户端；S3、所述第二客户端生成第二客户端的公钥keb和第二客户端的私钥kdb，并将所述公钥keb发送给所述服务器；所述服务器根据接收到的公钥keb’生成签名sigb，并将所述签名sigb发送给所述第二客户端；S4、所述第二客户端将所述公钥keb发送给所述第一客户端；S5、所述第一客户端生成会话密钥的前半部分aes1，并将所述会话密钥的前半部分aes1发送给所述第二客户端；S6、所述第二客户端生成会话密钥的后半部分aes2，并将所述会话密钥的后半部分aes2发送给所述第一客户端，以使所述第一客户端和所述第二客户端得到完整的会话密钥AES；S03、建立所述第一客户端与所述第二客户端的通信链接；所述第一客户端采集原始通信信息并通过自定义的数据格式对所述原始通信信息进行封装得到封装通信信息；所述第一客户端根据所述会话密钥对所述封装通信信息进行加密得到加密通信信息；所述第一客户端将所述加密通信信息发送给所述第二客户端；所述第二客户端根据所述会话密钥对接收到的所述加密通信信息进行解密得到所述封装通信信息；所述第二客户端根据所述自定义数据格式对所述封装通信信息进行解封得到所述原始通信信息。2.根据权利要求1所述的开放、不可信互联网环境下安全即时通信方法，其特征在于，所述步骤S1包括如下子步骤：S11、所述第一客户端生成第一客户端的公钥kea和第一客户端的私钥kda，并将所述公钥kea发送给所述服务器；S12、所述服务器对实际接收到的公钥kea’进行数字签名得到签名siga；S13、所述服务器将所述公钥kea’和所述签名siga发送给所述第一客户端；S14、所述第一客户端验证所述签名siga并比较所述公钥kea与所述kea’是否一致；当所述签名siga验证通过并所述公钥kea与所述kea’一致时，跳转到下一步骤。3.根据权利要求2所述的开放、不可信互联网环境下安全即时通信方法，其特征在于，所述步骤S2包括如下子步骤：S21、所述第一客户端生成随机数ma，并根据所述私钥kda对所述随机数ma进行解密得到Dma；S22、所述第一客户端将所述公钥kea、所述签名siga和所述Dma，即<kea,siga,Dma>发送给所述第二客户端；S23、所述第二客户端接收到<kea’,siga’,Dma’>之后，验证所述签名siga’，所述第二客户端在所述签名siga’验证通过后根据所述公钥kea’对所述Dma’进行加密得到ma’；S24、所述第二客户端将所述ma’发送到所述第一客户端；S25、所述第一客户端判断所述ma与接收到的所述ma’是否一致；当所述ma与接收到的所述ma’一致时，跳转到下一步骤。4.根据权利要求3所述的开放、不可信互联网环境下安全即时通信方法，其特征在于，所述步骤S5包括如下子步骤：S51、所述第一客户端生成会话密钥的前半部分aes1，并根据所述私钥kda对所述aes1进行数字签名得到sigaes1；S52、所述第一客户端通过所述公钥keb对所述aes1和所述sigaes1加密生成Eaes1，所述第一客户端将所述Eaes1发送给所述第二客户端；S53、所述第二客户端接收到Eaes1’之后，根据所述私钥kdb对所述Eaes1’进行解密得到aes1’和sigaes1’；S54、所述第二客户端对所述sigaes1’进行验证；当所述sigaes1’通过验证时，所述第二客户端获得了所述aes1，并跳转到下一步骤。5.一种开放、不可信互联网环境下安全即时通信系统，其特征在于，其包括以下模块：通信请求模块，用于通过第一客户端将与第二客户端通信的请求发送给服务器，所述服务器将所述通信的请求转发给所述第二客户端；通过所述第二客户端将同意通信的响应返回给所述服务器，通过...

【专利技术属性】
技术研发人员：张帆，张聪，徐明迪，杨明慧，
申请(专利权)人：武汉轻工大学，
类型：发明
国别省市：湖北;42