一种三元对等的即时通信身份认证和权限控制方法技术

本发明专利技术公开了一种三元对等的即时通信身份认证和权限控制方法，具体流程如下：在用户端生成安全信封并复制成由用户口令加密的第一安全信封、未加密的第二安全信封，第一安全信封和第二安全信封通过安全通道上传到安全服务器，安全服务器对第二安全信封进行第三方密钥加密，存储在安全服务器的第一安全信封和第二安全信封内容相同、加密方式不同，通过解密第三方密钥查看第二安全信封内容。其中第三方密钥由多方密钥分量组成，并分别由多方负责人员持有，在保证了用户信息的保密和安全的同时，对用户信息得到监控，对不法或者不良等危害信息进行监察。

【技术实现步骤摘要】
一种三元对等的即时通信身份认证和权限控制方法
本专利技术涉及即时通信端对端加密领域，尤其是涉及一种三元对等的即时通信身份认证和权限控制方法。
技术介绍
在即时通信中，为了解决通信和数据的安全，一般采用一种端到端加密体系，每个用户生成一套椭圆曲线的公私钥对，用户双方添加好友后，通过一种交换机制将双方的公私钥对生成会话密钥，后续的聊天消息都采用该会话密钥进行对称加密。但是这种通信方式存在以下缺点：一、用户之间的消息无法得到第三方的监控，某些用户可能借此进行某些与工作无关甚至触犯法律的事情，相关部门无法取证；二、从企业管理者角度来看，此加密体系缺乏有效的监控和管理手段，管理者无法得知企业团队或者成员是否进行工作以外的活动、甚至窃取或泄露企业重要信息。为了解决上述问题，可采用一种改进方案，将用户生成的公私钥对和个人信息都上传到安全服务器上进行加密存储，这样作为安全服务器的所有者和实际运营者就有条件获得每个用户的密钥，从而解密相关信息，从而得到监控作用，但是这个方案亦存在问题：安全服务器的所有者或实际运营者可能窃取或泄露用户信息等，危害用户隐私。
技术实现思路
本专利技术的目的在于解决现有技术的不足，提供一种对用户信息保密、且对用户信息有效监管的一种三元对等的即时通信身份认证和权限控制方法。本专利技术解决上述技术问题采用的技术方案是：一种三元对等的即时通信身份认证和权限控制方法：包括由用户端生成的安全信封，安全信封复制出复制出由用户口令加密的第一安全信封、未加密的第二安全信封，第一安全信封和第二安全信封通过安全通道上传到安全服务器，安全服务器对第二安全信封进行第三方密钥加密，存储在安全服务器的第一安全信封和第二安全信封的内容相同、加密方式不同，通过解密第三方密钥查看第二安全信封内容。以上技术方案中，用户在用户端生成安全信封，安全信封存储为由用户口令加密的第一安全信封、未加密的第二安全信封，并分别上传至安全服务器，安全服务器将第二安全信封进行第三方密钥加密，用户在用户端通过口令可解密打开第一安全信封，从而读取安全信封里的信息，第三方可通过解密第三方密钥来打开第二安全信封，从而读取第二安全信封里的内容，第二安全信封的内容和第一安全信封的内容完全一致，从而实现了第三方监控用户信息的功能。作为优选，第一安全信封和第二安全信封均包括用户生成的第一公私钥对和个人信息，通过用户口令获取存储在安全服务器的第一安全信封并解密得到第一公私钥对和个人信息，密钥协商交换机制通过第一公私钥对生成用于端对端加密解密的会话密钥，从而实现端到端的加密聊天。以上技术方案中，密钥协商指两个或多个实体协商，共同建立会话密钥，任何一个参与者均对结果产生影响，不需要任何可信的第三方；会话密钥是保证通信用户端对端之间安全通信会话而随机产生的加密和解密密钥，由通信用户之间进行协商得到。第一公私钥对和个人信息分别存储在第一安全信封和第二安全信封内，在客户端通过用户口令对第一安全信封解密得到第一公私钥对和个人信息，使用密钥协商交换机制通过第一公私钥对生成用于端对端加密解密的会话密钥，从而实现了用户的端到端之间的加密聊天。第三方通过解密第二安全信封来获取第一公私钥对和个人信息，从而实现监控的功能。作为优选，第三方密钥包括用于对第二安全信封加密的公钥、与公钥相对应且用于解密的私钥，通过私钥解密第二安全信封从而安全服务器公开第一公私钥对和个人信息。以上技术方案中，公钥与私钥是通过现有的一种比较通用的算法得到的一个密钥对，这种算法得到的密钥对能保证在世界范围内是唯一的，使用这个密钥对的时候，如果用其中一个密钥加密一段数据，必须用另一个密钥解密。比如用公钥加密数据就必须用私钥解密，如果用私钥加密也必须用公钥解密，否则解密将不会成功；以上技术实现了第三方对第三信封进行解密的功能，从而第三方通过解密第三信封得到个人信息，并对用户进行监控。作为优选，第一公钥存储在安全服务器，第一私钥由第二公私钥对加密并存储在安全服务器，第二公私钥对包括对第一私钥加密的第二公钥、对第一私钥解密的并存储在密盾硬件的第二私钥，密盾硬件通过软件接通安全服务器，从而通过第二私钥解密第一私钥得到解密信息，第二私钥对解密信息签名得到私钥签名，安全服务器验证私钥签名并通过第一私钥解密第二安全信封，从而安全服务器公开第一公私钥对和个人信息。以上技术方案中，第二私钥存储在密盾硬件中，保证了第二私钥的安全且方便第三方保存，从而第三方通过密盾硬件解密第二安全信封。作为优选，第一私钥包括分别由第二公钥加密的第三私钥、第四私钥、第五私钥，第二公钥包括分别对第三私钥、第四私钥、第五私钥加密的第三公钥、第四公钥、第五公钥，第二私钥包括对第三私钥解密的第六私钥、对第四私钥解密的第七私钥、对第五私钥解密的第八私钥，私钥签名包括第一私钥签名、第二私钥签名、第三私钥签名；密盾硬件通过软件接入系统分别解密第三私钥、第四私钥、第五私钥并得到解密信息，第三私钥、第四私钥、第五私钥对解密信息分别进行签名得到第一私钥签名、第二私钥签名、第三私钥签名，安全服务器分别对第一私钥签名、第二私钥签名、第三私钥签名进行有效性验证并通过第一私钥解密第二安全信封，从而安全服务器公开第一公私钥对和个人信息。以上技术方案中，安全服务器验证私钥签名的有效性，进一步地保证了私钥的可靠性，提升了个人信息保密安全程度。本技术中第二私钥分解为多把子私钥并需要所有子私钥配合才能解密第一私钥，降低了其中一把子私钥泄露而导致用户个人信息泄露的风险。作为优选，密盾硬件包括用于存储第六私钥的第一密盾硬件、用于存储第七私钥的第二密盾硬件、用于存储第八私钥的第三密盾硬件，第一密盾硬件、第二密盾硬件、第三密盾硬件通过软件同时接入系统分别解密第三私钥、第四私钥、第五私钥并得到解密信息。以上技术方案中，第一密盾硬件、第二密盾硬件、第三密盾硬件分别由三方持有，三方同时配合才能解密第一私钥，从而通过第一私钥打开第二安全信封，从而预防了某一方甚至两方窃取或泄露用户信息等的危害。本技术中第二私钥分解为多把并分别存储在多个相对应的密盾硬件中，多方分别持有密盾硬件，实现相同功能的类似技术手段均在本专利的保护范围中。作为优选，第一私钥、第二私钥、第三私钥对第二安全信封进行解密分别得到第一解密信息、第二解密信息、第三解密信息，第一解密信息、第二解密信息、第三解密信息分别使用私钥签名，并分别反馈给安全服务器，存储在安全服务器中的公钥验证私钥签名的有效性，从而安全服务器对解密信息进行有效性验证。以上技术方案中，公钥验证私钥的有效性，进一步地保证了私钥的可靠性，提升了个人信息保密安全程度。作为优选，安全信封通过TLS安全通道上传到安全服务器。以上技术方案中，TLS是传输性安全协议的简写，用于在两个应用程序间透过网络创建起安全的连线，防止在交换数据时受到窃听及篡改，保障了安全信封上传到安全服务器的保密性。作为优选，第一安全信封和第二安全信封还均包括与第一公私钥对关联的密钥ID。以上技术方案中，密钥ID用于第一信封对上传到安全服务器的体系识别。作为优选，用户口令包括通过加密算法生成的对称密钥。以上技术方案中，对称密钥的加密、解密速度快，方便用户方便、及时的解读存储在安全服务器上的个人信息，加密算法为现有通用的加密算本文档来自技高网...

【技术保护点】
1.一种三元对等的即时通信身份认证和权限控制方法，其特征在于：包括由用户端生成的安全信封(1)，安全信封复制出由用户口令(2)加密的第一安全信封(3)、未加密的第二安全信封(4)，第一安全信封(3)和第二安全信封(4)通过安全通道上传到安全服务器(17)，安全服务器(17)对第二安全信封(4)进行第三方密钥加密，存储在安全服务器(17)的第一安全信封(3)和第二安全信封(4)的内容相同、加密方式不同，通过解密第三方密钥查看第二安全信封(4)内容。

【技术特征摘要】
1.一种三元对等的即时通信身份认证和权限控制方法，其特征在于：包括由用户端生成的安全信封(1)，安全信封复制出由用户口令(2)加密的第一安全信封(3)、未加密的第二安全信封(4)，第一安全信封(3)和第二安全信封(4)通过安全通道上传到安全服务器(17)，安全服务器(17)对第二安全信封(4)进行第三方密钥加密，存储在安全服务器(17)的第一安全信封(3)和第二安全信封(4)的内容相同、加密方式不同，通过解密第三方密钥查看第二安全信封(4)内容。2.根据权利要求1所述的一种三元对等的即时通信身份认证和权限控制方法，其特征在于：第一安全信封(3)和第二安全信封(4)均包括用户生成的第一公私钥对(5)和个人信息(6)，通过用户口令(2)获取存储在安全服务器(17)的第一安全信封(3)并解密得到第一公私钥对(5)和个人信息(6)，密钥协商交换机制通过第一公私钥对(6)生成用于端对端加密解密的会话密钥，从而实现端到端的加密聊天。3.根据权利要求1或2所述的一种三元对等的即时通信身份认证和权限控制方法，其特征在于：第三方密钥包括用于对第二安全信封(4)加密的第一公钥(7)、与第一公钥(7)相对应且用于解密的第一私钥(8)，通过第一私钥(8)解密第二安全信封(4)，从而安全服务器(17)公开第一公私钥对(5)和个人信息(6)。4.根据权利要求3所述的一种三元对等的即时通信身份认证和权限控制方法，其特征在于：第一公钥(7)存储在安全服务器(17)，第一私钥(8)由第二公私钥对加密并存储在安全服务器(17)，第二公私钥对包括对第一私钥(8)加密的第二公钥(10)、对第一私钥(8)解密的并存储在密盾硬件(9)的第二私钥(11)，密盾硬件(9)通过软件接通安全服务器(17)，从而通过第二私钥(11)解密第一私钥(8)得到解密信息，第二私钥(11)对解密信息签名得到私钥签名(18)，安全服务器(17)验证私钥签名(18)并通过第一私钥(8)解密第二安全信封(4)，从而安全服务器(17)公开第一公私钥对(5)和个人信息(6)。5.根据权利要求4所述的一种三元对等的即时通信身份认证和权限控制方法，其特征在于：第一私钥(8)包括分别由第二公钥(10)加密的第三私钥(81)、第四私钥(82)、第五私钥(8...

【专利技术属性】
技术研发人员：刘林，戴强，徐伟南，
申请(专利权)人：杭州安司源科技有限公司，
类型：发明
国别省市：浙江,33