中心协商单边分发点对点即时通信加密方法、介质及终端与流程

本发明涉及信息安全，具体而言，涉及一种中心协商单边分发点对点即时通信加密方法、介质及终端。

背景技术：

1、即时通信系统根据中心侧是否需有服务器分为有中心、无中心两种类型，目前在企事业单位中大量实际部署使用的一般均为有中心模式的即时通信系统。

2、在有中心即时通信系统中，终端用户之间一对一的通信一般称为点对点通信。对点对点通信数据进行加密的方式目前普遍采用的方式为密钥由中心协商、双边分别下发，通信双方用接收到的密钥进行通信数据的加密处理，其中发送方在发送消息时向中心端申请密钥，中心端生成密钥并用发送方密钥保护后发送至发送方，发送方解密获得密钥、用密钥对通信数据进行加密；接收方在查看信息时，向中心端申请密钥，中心端查询已生成的密钥并用接收方密钥保护后发送给接收方，接收方解密获得密钥、用密钥解密通信数据密文获得明文。

3、对用户而言，即使信息已被接收方接收，但在查看信息时还是需再次访问中心端以获取解密所需的密钥数据，存在一定的延时，且每条点对点信息均有同样的问题，用户体验较差。同时若在查看信息时出现接收方无法连接至中心端的情况，则由于无法从服务端获取解密所需的密钥数据，接收方就无法正常查看已接收的信息。

技术实现思路

1、本发明旨在提供一种中心协商单边分发点对点即时通信加密方法、介质及终端，以实现无需访问中心端即可正常解密信息，使得信息查阅速度快，且能够在无法连接至中心端时仍可正常解密查看已接收的点对点信息，提升用户体验。

2、本发明提供的一种中心协商单边分发点对点即时通信加密方法，包括：针对即时通信点对点交流特点，在发送方向中心端申请密钥时，将中心端生成的密钥分别用发送方密钥和接收方密钥保护后一次性发送给发送方，使得发送方加密生成的点对点即时通信数据密文中包括有接收方解密所需信息，接收方解密时能够直接从点对点即时通信数据密文中获得所需密钥，无需访问中心端即可正常完成解密处理。

3、进一步的，发送方加密的流程包括如下步骤：

4、(1)发送方和接收方与中心端完成双向身份认证；

5、(2)发送方向中心端发起会话保护密钥生成申请；

6、(3)中心端根据发送方保护密钥生成申请，为通信双方生成会话保护密钥iek，并分别查找发送方的密钥保护密钥kdk1、接收方的密钥保护密钥kdk2，用kdk1、kdk2对iek进行加密保护，分别形成加密后的iek密文ekdk1(iek)、ekdk2(iek)；

7、(4)中心端将加密后的iek密文ekdk1(iek)、ekdk2(iek)发送至发送方；

8、(5)发送方用自身密钥保护密钥kdk1解密ekdk1(iek)，获得iek明文；

9、(6)发送方生成会话密钥ks，用ks对需传输的点对点即时通信数据d进行加密，形成eks(d)；

10、(7)发送方用iek对ks加密，形成eiek(ks)；

11、(8)发送方对密文数据进行组包，形成待发送的点对点即时通信数据密文eiek(ks)+eks(d)+ekdk2(iek)；

12、(9)发送方加密处理完毕。

13、进一步的，发送方通过产生随机数作为会话密钥ks。

14、进一步的，接收方解密的流程包括如下步骤：

15、(1)发送方将点对点即时通信数据密文eiek(ks)+eks(d)+ekdk2(iek)发送至接收方；

16、(2)接收方用自身密钥保护密钥kdk2解密ekdk2(iek)，获得iek明文；

17、(3)接收方用iek解密eiek(ks)，获得会话密钥ks明文；

18、(4)接收方用会话密钥ks解密eks(d)，获得点对点即时通信数据d明文。

19、进一步的，接收方解密处理完毕后，接收方能够对点对点即时通信数据d明文根据需要执行后续操作。

20、进一步的，所述后续操作包括消息查看。

21、本发明还提供一种计算机终端存储介质，存储有计算机终端可执行指令，所述计算机终端可执行指令用于执行上述的中心协商单边分发点对点即时通信加密方法中发送方加密的流程。

22、本发明还提供一种终端，包括：

23、至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如权利要求1-3中任一权利要求所述的中心协商单边分发点对点即时通信加密方法中发送方加密的流程。

24、本发明还提供一种计算机终端存储介质，存储有计算机终端可执行指令，所述计算机终端可执行指令用于执行上述的中心协商单边分发点对点即时通信加密方法中接收方解密的流程。

25、本发明还提供一种终端，包括：

26、至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述的中心协商单边分发点对点即时通信加密方法中接收方解密的流程。

27、综上所述，由于采用了上述技术方案，本发明的有益效果是：

28、1、加解密效率高，用户体验好：

29、在一次点对点即时通信过程中，仅需发送方与中心端进行一次通信即可获得整个加密、解密过程所需密钥，接收方在解密时无需访问中心端，接收端自身即可独立完成解密处理。同时本发明的全部加解密过程均可采用对称算法，运算速度快，加密产生的冗余数据少，在解密时无法连接至中心端时仍可正常解密，因此接收方查看信息延时低、体验好。

30、考虑到即时通信的特点，信息接收方一般均需对同一信息进行多次查看，即需对同一信息进行多次解密处理。由于本发明在消息解密时无需访问中心端、运算快速等特点，在多次解密时信息解密响应快速的特点将被多次累积放大，进一步提升用户体验。

31、2、安全可管控：

32、本发明发送方需与中心端完成双向身份认证方可正常获得密钥数据，同时中心端可通过控制策略对通信双方是否可进行通信进行判断，接收方也需与中心端完成双向身份认证方可正常获取点对点通信数据。

33、因此本发明通过中心端对发送方、接收方的认证，保证通信双方身份的安全可信，同时中心端通过在信息发送时对通信双方的策略控制实现对通信行为的集中管控，有效集成了中心在线模式下的安全可控、无中心离线模式下的快速解密多方优点，实现在接收方快速解密的同时，通信的安全可控也有可靠保障。

34、3、对中心端资源要求低：

35、由于每次终端之间的对话均需中心端生成新的iek，鉴于即时通信系统的特点，终端用户之间几乎是无时无刻不在并行发起通信，而接收方可能很久之后才查看消息。因此若采用目前常用的中心协商、双边下发的方式，中心端需保留大量iek信息，以便接收方在查看信息时可访问中心端即时获取iek数据，从而可正常解密查看信息。

36、本发明的方法中，中心端在生成iek后无需保存，接收方在查看时可无需访问中心端即可自行解密，如此可大大降低中心端在存储容量资源方面的要求。同时由于接收方解密时无需访问中心端，可将中心端在该类型的访问量降低一半。按即时通信系统的会话量来计，对中心端在存储容量、并发访问量等两方面资源的降低数量将极为可观。