一种基于硬件装置的加密即时通信方法和系统
技术领域
本发明涉及数据安全技术领域,特别涉及一种基于硬件装置的加密即时通信方法和系统。
背景技术
即时通信工具通常借助互联网进行远距离数据传输。在传输过程中,面临多种威胁,比如中间人攻击,而在即时通信的工具终端,泄漏隐私的可能性更高。
传统的保护即时通信的方式,存在两种方式,通信通道加密或者信息源加密。借助于加密专用通信通道,例如VPN,可以达到安全输出通信内容的目的,但是这种方式会使成本大大增加。且一旦信道被破解,无法再保证数据安全。所谓信息源加密,即在数据发放之前就进行软件加密,因此,数据在传输时,本身就以密文的形式在传输。
如果建立专用加密通信传输通道,会带来高成本的问题,且一旦通道被破解,数据无法再保密。在数据源进行加密,将通信内容以加密的形式在网络中传输,这对保护数据来说,是一种可行的方式。但其所带来的问题是,如何将密钥安全传输到信息接收方手中。
目前,通常的做法,是将密钥以非即时通信的方式,但是也是通过网络传输远距离传输到对方手中。这种方式是存在极大的风险。在传输过程中,密钥可能被第三方获取。这其中,为了安全,有些方案可能会设计一些安全的通信协议,建立在协议之上,实际上只是增大了破解难度。
发明内容
本发明要解决的技术问题是:提供一种基于硬件装置的加密即时通信方法和系统,用以提升即时通信的数据安全性。
为解决上述问题,本发明采用的技术方案是:
一种基于硬件装置的加密即时通信方法,包括如下步骤:
S1、将发送方硬件装置与接收方硬件装置间的共享密钥因子S0烧录至两方硬件装置的硬件保护区域内;
S2、当需要即时通信时,发送方客户端为每个会话生成一个临时的随机密钥S1,同时通过基于双端认证的https将该随机密钥S1、即时通信建立的通信会话id、会话中所包含的人员账号信息以及人员账号信息的签名一起上传到服务器中;
S3、服务器验证发送方客户端上传信息通过后,会通知信息接收方客户端,让接收方客户端上建立同样的会话;
S4、当发送方客户端需要发送即时通信数据时,将其生成的临时随机密钥S1以参数的形式,传入到发送方硬件装置中,发送方硬件装置根据自定义的加盐算法,将随机密钥S1和存储在发送方硬件装置中的共享密钥因子S0作用,生成通讯所需的加密密钥,并返回给发送通信客户端对发送数据加密。
进一步的步骤S4之后还包括:接收方客户端接收到加密数据信息之后,首先通过自身账号信息向服务器中获取到对应的随机密钥S1,之后将随机密钥S1作为参数传入到接收方硬件装置中,接收方硬件装置将随机密钥S1和存储在接收方硬件装置中的共享密钥因子S0作用,生成真正的解密密钥,并将该解密密钥返回给接收方客户端,以完成对数据的解密工作。
进一步的,发送方客户端和接收方客户端均可通过蓝牙与各自的硬件装置通信。
进一步的,为了增强从客户端上传到服务器的信息的可靠性,步骤S2在向服务器上传信息之前,上传信息会首先由发送方客户端传输到发送方硬件装置中,由发送方硬件装置对所传数据进行数据签名,其中服务器拥有和发送方硬件装置中一致的签名算法。
进一步的,在即时通信过程中,发送客户端可对发送的数据设置阅读权限,如阅读日期和阅读时间。所谓阅读日期,即超过该日期后无法阅读;阅读时间,即超过阅读后一定时间,无法阅读。该功能通过接收端和服务器建立心跳机制得以保证。
一种基于硬件装置的加密即时通信系统,包括:
发送方硬件装置,在发送方硬件装置的硬件保护区域内烧录有与接收方硬件装置相同的共享密钥因子S0,发送方硬件装置可利用该共享密钥因子S0和发送方客户端传来的随机密钥S1,生成通讯所需的加密密钥;
服务器,在即时通讯时协助发送方客户端和接收方客户端建立对应的会话,以及向接收方客户端提供每次会话对应的随机密钥S1;
发送方客户端,当需要即时通信时,发送方客户端为每个会话生成一个临时的随机密钥S1,同时通过基于双端认证的https将该随机密钥S1、即时通信建立的通信会话id、会话中所包含的人员账号信息以及人员账号信息的签名一起上传到服务器中;当发送方客户端需要发送即时通信数据时,将其生成的临时随机密钥S1以参数的形式,传入到发送方硬件装置中,从而从发送方硬件装置获得通讯所需的加密密钥,以完成对发送数据的加密工作。
进一步的,上述通信系统还包括:
接收方硬件装置,在接收方硬件装置的硬件保护区域内烧录有与发送方硬件装置相同的共享密钥因子S0,接收方硬件装置可利用该共享密钥因子S0和接收方客户端传来的随机密钥S1,生成通讯所需的解密密钥;
接收方客户端,接收方客户端接收到加密数据信息之后,首先通过自身账号信息向服务器中获取到对应的随机密钥S1,之后将随机密钥S1作为参数传入到接收方硬件装置中,从而从接收方硬件装置获得真正的解密密钥,以完成对数据的解密工作。
进一步的,发送方客户端和接收方客户端均可通过蓝牙与各自的硬件装置通信。
进一步的,为了增强从客户端上传到服务器的信息的可靠性,发送方客户端在向服务器上传信息之前,首先会将上传信息传输到发送方硬件装置中,由发送方硬件装置对所传数据进行数据签名,其中服务器拥有和发送方硬件装置中一致的签名算法。
进一步的,在即时通信过程中,发送客户端可对发送的数据设置阅读权限,如阅读日期和阅读时间。所谓阅读日期,即超过该日期后无法阅读;阅读时间,即超过阅读后一定时间,无法阅读。该功能通过接收端和服务器建立心跳机制得以保证。
本发明的有益效果是:本发明通过引入硬件装置,并将部分密钥因子保存于硬件装置中,使得通信中的数据能够通过发送客户端和硬件装置共同加密,达到终端的数据同样处于加密状态,而加解密密钥的关键组成部分存储在接收方的外部硬件装置中,只有在需要解密的时候,通过硬件认证后,由硬件提供解密密钥,用于用户临时查阅通信内容,由于本发明通过软件和硬件结合的形式来保障数据安全,因此有效的解决了数据远距离密钥或基于软件协议的密钥生成、传送的安全问题。
附图说明
图1是本发明实施例的原理框图。
具体实施方式
本发明为了解决数据远距离密钥或基于软件协议的密钥生成、传送的安全问题,提供了一种基于硬件装置的加密即时通信系统,包括发送方硬件装置、接收方硬件装置、服务器、发送方客户端以及接收方客户端,系统的连接方式如图1所示,其中,发送方硬件装置和接收方硬件装置分别存放于发送方和接收方,发送方硬件装置和接收方硬件装置可通过短程无线网络(例如蓝牙)与发送方客户端以及接收方客户端进行通信,发送方硬件装置和接收方硬件装置具体形式可以制成钥匙扣、U盘、手环等各种样式,发送方客户端和接收方客户端一般是安装于用户终端(例如手机、平板、PC)上的APP,以下对各部分的功能进行具体说明。
1、发送方硬件装置
在发送方硬件装置的硬件保护区域内烧录有与接收方硬件装置相同的共享密钥因子S0,发送方硬件装置可利用该共享密钥因子S0和发送方客户端传来的随机密钥S1,生成通讯所需的加密密钥。
为了增强从客户端上传到服务器的信息的可靠性,发送方客户端在向服务器上传信息之前,首先会将上传信息传输到发送方硬件装置中,由发送方硬件装置对所传数据进行数据签名,其中服务器拥有和发送方硬件装置中一致的签名算法。
2、接收方硬件装置
在接收方硬件装置的硬件保护区域内烧录有与发送方硬件装置相同的共享密钥因子S0,接收方硬件装置可利用该共享密钥因子S0和接收方客户端传来的随机密钥S1,生成通讯所需的解密密钥。
3、服务器
服务器用于向发送方硬件装置和接收方硬件装置分配相同的共享密钥因子S0,在即时通讯时协助发送方客户端和接收方客户端建立对应的会话,以及向接收方客户端提供每次会话对应的随机密钥S1。
4、发送方客户端
当需要即时通信时,发送方客户端为每个会话生成一个临时的随机密钥S1,同时通过基于双端认证的https将该随机密钥S1、即时通信建立的通信会话id、会话中所包含的人员账号信息以及人员账号信息的签名一起上传到服务器中。为了增强从客户端上传到服务器的信息的可靠性,发送方客户端在向服务器上传信息之前,首先会将上传信息传输到发送方硬件装置中,由发送方硬件装置对所传数据进行数据签名,其中服务器拥有和发送方硬件装置中一致的签名算法。
当发送方客户端需要发送即时通信数据时,将其生成的临时随机密钥S1以参数的形式,传入到发送方硬件装置中,从而从发送方硬件装置获得通讯所需的加密密钥,以完成对发送数据的加密工作。
在即时通信过程中,发送客户端还可对发送的数据设置阅读权限,如阅读日期和阅读时间。所谓阅读日期,即超过该日期后无法阅读;阅读时间,即超过阅读后一定时间,无法阅读。该功能通过接收端和服务器建立心跳机制得以保证。
5、接收方客户端
接收方客户端接收到加密数据信息之后,首先通过自身账号信息向服务器中获取到对应的随机密钥S1,之后将随机密钥S1作为参数传入到接收方硬件装置中,从而从接收方硬件装置获得真正的解密密钥,以完成对数据的解密工作。
基于以上系统,实施例还提供了一种基于硬件装置的加密即时通信方法,具体包括如下步骤:
S1、在硬件装置出厂前,从专用的烧录服务器(为了保证密钥的安全性,该烧录服务器与即时通信系统中的服务器一般不是同一个服务器)获取发送方硬件装置与接收方硬件装置间的共享密钥因子S0,并通过烧录客户端将共享密钥因子S0烧录至两方硬件装置的硬件保护区域内;
S2、当需要即时通信时,发送方客户端为每个会话生成一个临时的随机密钥S1,同时通过基于双端认证的https将该随机密钥S1、即时通信建立的通信会话id、会话中所包含的人员账号信息以及人员账号信息的签名一起上传到服务器中;在向服务器上传信息之前,上传信息会首先由发送方客户端传输到发送方硬件装置中,由发送方硬件装置对所传数据进行数据签名;
S3、服务器拥有和发送方硬件装置中一致的签名算法,服务器验证发送方客户端上传信息通过后,会通知信息接收方客户端,在接收方客户端上建立同样的会话;
S4、当发送方客户端需要发送即时通信数据时,将其生成的临时随机密钥S1以参数的形式,通过蓝牙传入到发送方硬件装置中,发送方硬件装置根据自定义的加盐算法,将随机密钥S1和存储在发送方硬件装置中的共享密钥因子S0作用,生成通讯所需的加密密钥,并通过蓝牙返回给发送通信客户端对发送数据加密;
S5、数据加密完成之后,加密数据通过网络被服务器中转到指定的接收方客户端;
S6、接收方客户端接收到加密数据信息之后,首先通过自身账号信息向服务器中获取到对应的随机密钥S1,之后将随机密钥S1作为参数通过蓝牙传入到接收方硬件装置中,接收方硬件装置将随机密钥S1和存储在接收方硬件装置中的共享密钥因子S0作用,生成真正的解密密钥,并将该解密密钥通过蓝牙返回给接收方客户端,以完成对数据的解密工作。在即时通信过程中,发送客户端还可对发送的数据设置阅读权限,如阅读日期和阅读时间。所谓阅读日期,即超过该日期后无法阅读;阅读时间,即超过阅读后一定时间,无法阅读。该功能通过接收端和服务器建立心跳机制得以保证。
