一种全新的安全的即时通信体系制造技术

本发明专利技术公开了一种全新的安全的即时通信体系。在常规的“系统+用户”即时通信架构之上，增加一个“互联”层，形成“互联+系统+用户”的创新三层即时通信架构；进一步地，基于创新架构中各组件的身份标识，构建基于标识的安全架构，实现即时通信数据的存储安全和传输安全，以及各组件之间的身份认证。该即时通信体系的构建，在保证各即时通信系统自身独立性和私密性的基础上，实现了安全策略控制下的不同即时通信系统的互联互通。

【技术实现步骤摘要】

本专利技术属于即时通信领域，涉及如何在互联网、企业网和云计算环境等混合的复杂环境下建立安全互联的即时通信体系，特别是涉及到不同的即时通信系统如何进行安全的互联互通。
技术介绍
即时通信（InstantMessaging，缩写为IM）是手机、平板电脑和计算机用户之间利用网络进行即时消息的发送与接收过程，能够传送文字、图片、声音和视频等信息，是互联网非常普遍和受欢迎的网络应用之一。典型的IM应用有微信、QQ、LINE、WhatsApp、米聊和腾讯通等。上述这些IM应用都自成体系，各自构建的即时通信系统都拥有较大数量的用户群，但它们都不能互联互通，例如，米聊的用户不能与微信的用户进行即时通信。虽然出现了多种即时通信协议，有的像可扩展消息与呈现协议（XMPP）都已被批准为互联网即时通信协议标准，但仍未解决即时通信系统的互联互通问题。而且，现有的即时通信系统安全性也不足，用户会话信息在终端和网络上很容易被泄露或窃取。当前的即时通信系统主要存在以下两个问题：（1）不能互联互通。不同企业或组织搭建的即时通信系统，以及面向公众服务的即时通信系统，还不能做到互联互通，这使得即时通信的灵活性大大降低，严重影响了企业或组织的工作协同效率。业界希望即时通信也能够像电子邮件一样方便地互联互通。（2）安全性不足。现有绝大部分的互联网公共即时通信系统和企业级即时通信系统，通常仅提供基本的身份验证功能，都没有为用户提供足够的安全功能，来保护用户的数据存储安全和数据传输安全，会话信息很容易被篡改和窃取。目前，虽然出现了一些协议转换网关技术，可用来解决某两个特定即时通信系统的互联互通问题，但局限性很大，不是一个普适性的解决方案。也有像Telegram的小众即时通信系统，提供点对点即时通信安全加密，但安全功能总体上还不强。总之，随着移动互联网的飞速发展，以及人们的工作生活正越来越依赖移动智能终端和即时通信系统平台，人们希望即时通信也能够像电子邮件那样互联互通，并且是安全性较强的互联互通。为此，本专利技术提出了一种全新的安全的即时通信体系，这是一个一体化的安全互联解决方案，能够同时解决即时通信的互联互通和安全性问题。
技术实现思路
本专利技术的目的是建立一种在互联网、企业内网和云计算平台等复杂网络环境下，能够进行安全互联的即时通信体系，从而有效解决目前人们遇到的互联互通和安全性问题。无论是在企业专网搭建即时通信系统，还是租用云端服务器搭建即时通信系统，都能够在保证信息安全的前提下进行互联互通，用户之间方便地进行即时通信。本专利技术的一种全新的安全的即时通信体系，分为互联层、系统层和用户层三个层次，其中，互联层为系统层提供即时通信系统之间的互联互通服务，系统层为用户层提供安全的即时通信服务。具体内容如下。一、互联层互联层包括即时通信路由器和安全参数交换中心，用于各即时通信系统的互联互通。（1）即时通信路由器是指一种用于即时通信系统互联互通的网络设备，多个即时通信路由器能够相互连接形成路由服务网络，为系统层提供路由寻址和协议转换服务。（2）安全参数交换中心是指一种用于即时通信系统互联互通的安全设备，保存着各个即时通信系统的安全参数，为即时通信系统的互联互通提供彼此的安全参数。二、系统层系统层由一个个自治的即时通信系统组成，用于为用户提供安全的即时通信服务。即时通信系统又由即时通信服务器和安全服务中心组成，每个即时通信系统就是一个自治的成体系的即时通信网络，可部署一至多台即时通信服务器，具有自己的用户数据库，可运行不同的即时通信协议。（1）即时通信服务器是一种为用户提供安全的即时通信服务的设备，既可以部署在云数据中心，也可以部署在企业或组织的内部网络中，且具有与安全服务中心的交互接口。（2）安全服务中心由标识管理模块和标识密码管理模块组成，具有与即时通信服务器的交互接口，并通过该接口为其提供安全支撑。其中，标识管理模块用于管理维护即时通信系统中即时通信服务器和用户的身份标识，确保其唯一性；标识密码管理模块用于根据即时通信服务器或用户的身份标识，基于标识密码算法，以身份标识作为公钥，生成该身份标识所对应的私钥。三、用户层用户层由用户组成，用户间的即时通信分为系统内即时通信和跨系统即时通信两种。其中，系统内即时通信是指一个即时通信系统内的用户之间所进行的即时通信，无需通过互联层的支持；而跨系统即时通信则是指两个或两个以上即时通信系统的用户所进行的即时通信，需要通过互联层的支持。进一步地，跨系统即时通信的具体步骤如下：（1）用户发起即时通信，邀请其他用户加入通信；（2）发起用户所在的即时通信服务器，根据其他用户的标识，获取这些用户所在的即时通信服务器的标识；（3）发起用户所在的即时通信服务器利用这些服务器的标识，向连接它的即时通信路由器发出对这些服务器的寻址请求；（4）即时通信路由器在路由服务网络中路由寻址请求，找到这些服务器的网络地址；（5）即时通信路由器向发起用户所在的即时通信服务器返回各个服务器的网络地址；（6）发起用户所在的即时通信服务器请求与其他用户所在的服务器建立网络连接；（7）其他用户所在的服务器根据其安全策略进行访问控制，决定是否与发起用户所在的服务器建立网络连接；（8）如果安全策略允许，发起用户所在的即时通信服务器与其他用户所在的服务器建立网络连接；（9）各用户开始即时通信。本专利技术的一种全新的安全的即时通信体系，其安全特性体现在即时通信系统向用户提供了包含身份鉴别、访问控制、数据存储安全和数据传输安全的即时通信服务，具体如下：（1）身份鉴别：即时通信系统基于用户或即时通信服务器的身份标识，进行用户与用户之间的、即时通信服务器与用户之间的双向身份鉴别。（2）访问控制：即时通信系统制定基于源、目的即时通信服务器身份标识的安全策略，并下发到即时通信服务器中执行，去控制即时通信服务器与其他即时通信服务器的连接。（3）数据存储安全：即时通信系统支持用户利用自己的私钥在用户端对即时通信数据进行加密存储。（4）数据传输安全：即时通信系统支持安全的系统内即时通信和安全的跨系统即时通信，保护即时通信数据的传输安全。上述安全的系统内即时通信，其具体步骤如下：（1）发起用户随机生成会话密钥；（2）利用对话用户的身份标识作为公钥，将会话密钥加密后发送给该对话用户；（3）该对话用户利用其私钥进行解密，得到会话密钥；（4）如果是组群通信，同时重复第（2）（3）步，直至所有通信成员获得会话密钥；（5）后续的即时通信数据都用此会话密钥进行加密后传输。上述安全的跨系统即时通信，其具体步骤如下：（1）发起用户随机生成会话密钥；（2）发起用户向安全参数交换中心查询对话用户所登录的即时通信系统的安全参数；（3）安全参数交换中心向发起用户返回对话用户所登录的即时通信系统的安全参数；（4）发起用户利用对话用户的身份标识及其所登录的即时通信系统的安全参数，将会话密钥加密后发送给该对话用户；（5）该对话用户利用其私钥进行解密，得到会话密钥；（6）如果是组群通信，同时重复第（2）至第（5）步，直至所有通信成员获得会话密钥；（7）后续的即时通信数据都用此会话密钥进行加密后传输。该专利技术的有益效果是，在保证各即时通信系统自身独立性和私密性的基础上，实现了安全策略控制下的不同即时通信系统的互联互本文档来自技高网...

【技术保护点】
一种全新的安全的即时通信体系，分为互联层、系统层和用户层三个层次，其特征在于：（1）互联层：包括即时通信路由器和安全参数交换中心，用于各即时通信系统的互联互通；其中，即时通信路由器支持路由寻址和协议转换，用于各个即时通信系统的互联互通，安全参数交换中心用于保存各个即时通信系统的安全参数，为即时通信系统提供彼此的安全参数；（2）系统层：由一个个自治的即时通信系统组成，即时通信系统由即时通信服务器和安全服务中心组成，可部署一至多台即时通信服务器，具有自己的用户数据库，可运行不同的即时通信协议，用于为用户提供安全的即时通信服务；（3）用户层：由用户组成，用户间的即时通信分为系统内即时通信和跨系统即时通信两种；其中，系统内即时通信是指一个即时通信系统内的用户之间所进行的即时通信，无需通过互联层的支持；跨系统即时通信是指两个或两个以上即时通信系统的用户所进行的即时通信，需要通过互联层的支持。

【技术特征摘要】
1.一种全新的安全的即时通信体系，分为互联层、系统层和用户层三个层次，其特征在于：（1）互联层：包括即时通信路由器和安全参数交换中心，用于各即时通信系统的互联互通；其中，即时通信路由器支持路由寻址和协议转换，用于各个即时通信系统的互联互通，安全参数交换中心用于保存各个即时通信系统的安全参数，为即时通信系统提供彼此的安全参数；（2）系统层：由一个个自治的即时通信系统组成，即时通信系统由即时通信服务器和安全服务中心组成，可部署一至多台即时通信服务器，具有自己的用户数据库，可运行不同的即时通信协议，用于为用户提供安全的即时通信服务；（3）用户层：由用户组成，用户间的即时通信分为系统内即时通信和跨系统即时通信两种；其中，系统内即时通信是指一个即时通信系统内的用户之间所进行的即时通信，无需通过互联层的支持；跨系统即时通信是指两个或两个以上即时通信系统的用户所进行的即时通信，需要通过互联层的支持。2.根据权利要求1所述的即时通信体系，其特征在于，所述即时通信系统中的即时通信服务器是一种为用户提供安全的即时通信服务的设备，既可以部署在云数据中心，也可以部署在企业或组织的内部网络中，且具有与安全服务中心的交互接口。3.根据权利要求1所述的即时通信体系，其特征在于，所述即时通信系统中的安全服务中心具有与即时通信服务器的交互接口，并通过该接口为其提供安全支撑，由标识管理模块和标识密码管理模块组成，具体如下：（1）标识管理模块用于即时通信系统中的即时通信服务器和用户身份标识的全生命周期管理与维护，确保其唯一性；（2）标识密码管理模块用于根据即时通信服务器或用户的身份标识，基于标识密码算法，以身份标识作为公钥，生成该身份标识所对应的私钥。4.根据权利要求1所述的即时通信体系，其特征在于，所述用户层中的跨系统即时通信的具体步骤如下：（1）用户发起即时通信，邀请其他用户加入通信；（2）发起用户所在的即时通信服务器，根据其他用户的标识，获取这些用户所在的即时通信服务器的标识；（3）发起用户所在的即时通信服务器利用这些服务器的标识，向连接它的即时通信路由器发出对这些服务器的寻址请求；（4）即时通信路由器在路由服务网络中路由寻址请求，找到这些服务器的网络地址；（5）即时通信路由器向发起用户所在的即时通信服务器返回各个服务...

【专利技术属性】
技术研发人员：林皓，钟力，胡建斌，
申请(专利权)人：北京北信源软件股份有限公司，
类型：发明
国别省市：北京;11