【技术实现步骤摘要】
一种基于硬件密码设备的即时通信消息保护系统及方法
[0001]本专利技术涉及移动智能终端即时信息安全保护领域,特别是一种基于硬件密码设备的即时通信消息保护系统及方法。
技术介绍
[0002]即时通信(Instant Messaging)是目前Internet上最为流行的通讯方式,它利用的是互联网线路,通过文字、语音、视频、文件的信息交流与互动,有效节省了沟通双方的时间与经济成本。目前各种各样的即时通讯软件也层出不穷;然而大多数即时通信系统是公开的,因此在信息传输过程中以及信息接收终端很容易出现信息被窃取的危险。通常即时通信保护方法包括两种,通信通道加密,例如VPN专用通道加密,以及信息源加密,对即时消息进行密文转换,再发送出去。
[0003]现有即时通信消息加密技术一般从信号源或者信息传输通道来解决即时通信消息的窃取风险,从信号源来说,一般将信号转换成密文的形式发送出去,但这种形式也极易被窃取,一旦窃密者掌握密文的破解方法,例如对称密钥的解密,由于解密密钥的相同,那么对于消息的保护就形同虚设。从信息传输通道来说,建立...
【技术保护点】
【技术特征摘要】
1.一种基于硬件密码设备的即时通信消息保护方法,其特征在于,具有安全芯片的客户端会和服务器端进行双向认证,具体是,客户端和服务器端首先会互相交换公钥,然后各自将对方的公钥和己方的私钥保存在硬件密码设备里,以确保签名验签或者加解密过程在一个物理隔离的环境,在此环境下对即时通信消息实施保护,包括以下步骤:客户端首先将业务数据使用系统临时生成的对称秘钥加密形成dataEncrypt;然后使用客户端的私钥对dataEncrypt和时间戳进行签名形成authCode;最后使用服务器端的公钥对临时生成的对称秘钥进行加密形成keyEncrypt,并将其发送至服务器端;服务器端首先会收到客户端发送的authCode和keyEncrypt,利用客户端的公钥对authCode进行验签,确认接收数据的完整性和可靠性,如若验证成功则使用服务器端的私钥对keyEncrypt进行解密获取对称秘钥,再使用对称秘钥对业务数据进行解密,待业务处理成功进入服务器的认证阶段;服务器端的业务数据使用服务器端临时生成的对称秘钥加密形成dataEncrypt;然后使用服务器端的私钥对dataEncrypt和时间戳进行签名形成authCode;最后使用客户端公钥对临时生成的对称秘钥加密形成keyEncrypt,并将其发送至客户端;同样地,客户端收到服务器端发送的authCode和keyEncrypt后首先会使用服务器端的公钥对authCode进行验签,确认接收数据的完整性和可靠性,通过后则使用客户端的私钥对keyEncrypt进行解密获取对称秘钥,再使用对称秘钥对来自服务器端的业务数据进行解密。2.根据权利要求1所述的个人数据保护系统,其特征在于,对authCode 进行验签时,在有效期内没有验证或者验证失败,则需要重新刷新sessionKey token进行认证。3.根据权利要求1所述的即时通信消息保护方法,其特征在于,还包括即时通信消息建立会话的方法,是在两个客户端之间建立会话,步骤包括:第一客户端的会话窗口建立时,创建一个会话句柄,生成一个随机因子组成一个会话包,进而生成第一派生因子,由第一派生因子与硬件密码设备进行交换获取加解密即时消息的密钥和加密会话内容的会话密钥;所述硬件密码设备会对文件进行硬件加密;文件的加密完成后,所述硬件密码设备派生出窗口会话密钥,通过所述窗口会话密钥对加密的文件进行再加密处理,再加密完成后进行信息发送。4.根据权利要求3所述的即时通信消息保护方法,其特征在于,所述硬件密码设备派生的密钥根据文件分别处理:对于本地的文件加密,系统根据文件种类的不同,系统将派生不同的密钥;对于小文本数据,由密钥管理模块派生硬件加密密钥,并在硬件中完成加密过程,然后进行转发;对于中大型消息文本,硬件密码设备同时会生成软件加密密钥,为了确保软件加密密钥的安全性,将在硬件密码设备中采用非对称加密后转发至客户端,客户端进行解密后获取软件加密...
【专利技术属性】
技术研发人员:刘俊,
申请(专利权)人:中易通科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。