本發(fā)明涉及即時(shí)通信領(lǐng)域，尤其是一種針對(duì)安全即時(shí)通信的異步密鑰協(xié)商方法及裝置。本發(fā)明針對(duì)現(xiàn)有技術(shù)存在的問題，提供一種針對(duì)安全即時(shí)通信的異步密鑰協(xié)商方法及裝置，即時(shí)通信客戶端直接借助即時(shí)消息服務(wù)器進(jìn)行密鑰協(xié)商及交換，所有的交互都需要經(jīng)過即時(shí)通信服務(wù)器，即時(shí)通信客戶端是否在線將變得不敏感，從而實(shí)現(xiàn)異步密鑰協(xié)商。同時(shí)該發(fā)明采用了密鑰滾動(dòng)機(jī)制，動(dòng)態(tài)地生成會(huì)話臨時(shí)密鑰及其保護(hù)密鑰并進(jìn)行滾動(dòng)更新，這樣就實(shí)現(xiàn)了不同的消息使用不同的會(huì)話密鑰及其保護(hù)密鑰，使得對(duì)同一群組不同用戶之間使用不同的密鑰對(duì)群組消息進(jìn)行保護(hù)，相互隔離。

技術(shù)領(lǐng)域

本發(fā)明涉及即時(shí)通信領(lǐng)域，尤其是一種針對(duì)安全即時(shí)通信的異步密鑰協(xié)商方法及裝置。

背景技術(shù)

即時(shí)通信軟件作為一種靈活的現(xiàn)代通信方式,在給人們帶來了極大的方便同時(shí),也存在著較大的安全隱患，為解決即時(shí)通信的安全問題，國內(nèi)外出現(xiàn)了多種安全即時(shí)通信軟件。為共同建立會(huì)話密鑰，安全即時(shí)通信軟件通信前需在兩個(gè)或多個(gè)客戶端之間進(jìn)行密鑰協(xié)商，由于即時(shí)通信不僅具有群組通信功能，而且還具有離線消息收發(fā)能力，這就使得即時(shí)加密通信的密鑰協(xié)商和其他加密通信方式不同，目前現(xiàn)有的安全即時(shí)通信產(chǎn)品其密鑰協(xié)商可分為證書型和無證書型。證書型在會(huì)話密鑰的產(chǎn)生過程中，由一個(gè)可信的證書中心（CA）給參與密鑰協(xié)商的各方各分發(fā)一個(gè)證書，此證書中含有此方的公鑰，ID及其他信息。無證書型是指各方在進(jìn)行會(huì)話密鑰的協(xié)商過程中不需要證書的參與，這是目前密鑰協(xié)商協(xié)議的主流種類。

對(duì)于證書型密鑰協(xié)商，一種方式是每次通信時(shí)，臨時(shí)產(chǎn)生會(huì)話密鑰，其加密保護(hù)傳輸采用接收方公鑰和非對(duì)稱算法實(shí)現(xiàn)；另一種是直接使用公私鑰交叉點(diǎn)乘結(jié)果作為會(huì)話密鑰。對(duì)于無證書型的密鑰協(xié)商，會(huì)話密鑰的產(chǎn)生及加密保護(hù)傳輸主要有三種方式，一種是每次通信時(shí)，臨時(shí)產(chǎn)生會(huì)話密鑰，然后采用固定保護(hù)密鑰，通過對(duì)稱加密算法對(duì)其進(jìn)行加密保護(hù)傳輸;第二種是通過點(diǎn)乘算法計(jì)算保護(hù)密鑰，再通過對(duì)稱加密算法對(duì)會(huì)話密鑰進(jìn)行加密保護(hù)傳輸；第三種是直接使用公私鑰交叉點(diǎn)乘結(jié)果作為會(huì)話密鑰。不管那一種密鑰協(xié)商方法，均存在如下安全隱患：

一種是會(huì)話密鑰不是每次臨時(shí)產(chǎn)生，通過點(diǎn)乘算法計(jì)算得到，該種會(huì)話密鑰實(shí)際為固定密鑰，即針對(duì)某個(gè)客戶端，任何時(shí)候的所有消息所使用的會(huì)話密鑰均相同，該種方法的安全隱患就是一經(jīng)某個(gè)時(shí)候，某條消息的會(huì)話密鑰被破解，針對(duì)該客戶端所有的前后消息具無保密可言；另一種是會(huì)話密鑰雖然每次臨時(shí)產(chǎn)生，但會(huì)話密鑰的保護(hù)密鑰實(shí)際為固定密鑰，即針對(duì)某個(gè)客戶端，任何時(shí)候的所有消息所使用的會(huì)話保護(hù)密鑰均相同，該種方法的安全隱患就是一經(jīng)某個(gè)時(shí)候，某條消息的會(huì)話密鑰的保護(hù)密鑰被破譯，針對(duì)該客戶端所有的前后消息具無保密可言。

綜上所述，目前市面上針對(duì)即時(shí)加密通信的密鑰協(xié)商協(xié)議，一旦攻擊者掌握了這些不安全的設(shè)備,會(huì)話密鑰或會(huì)話密鑰的保護(hù)密鑰存在泄漏或破解的風(fēng)險(xiǎn)，一經(jīng)被泄漏或破解后，上述安全即時(shí)通信的前向和后向安全均無法保障。。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是：針對(duì)即時(shí)加密通信中密鑰協(xié)商難，協(xié)商時(shí)間長，同時(shí)確保（群組）加密消息可以抵御竊聽、重放、亂序、干擾等攻擊方式，特別為保障安全即時(shí)通信的前向和后向安全問題，提供一種針對(duì)安全即時(shí)通信的異步密鑰協(xié)商方法及裝置。即時(shí)通信客戶端直接與即時(shí)消息服務(wù)器進(jìn)行密鑰協(xié)商及交換，所有的交互都需要經(jīng)過即時(shí)通信服務(wù)器，即時(shí)通信客戶端是否在線將變得不敏感，從而實(shí)現(xiàn)異步密鑰協(xié)商。同時(shí)該發(fā)明采用了密鑰滾動(dòng)機(jī)制，動(dòng)態(tài)地生成會(huì)話臨時(shí)密鑰及其保護(hù)密鑰并進(jìn)行滾動(dòng)更新，這樣就實(shí)現(xiàn)了不同的消息使用不同的會(huì)話密鑰及其保護(hù)密鑰，使得對(duì)同一群組不同用戶之間使用不同的密鑰對(duì)群組消息進(jìn)行保護(hù)，相互隔離。

本發(fā)明采用的技術(shù)方案如下：

一種針對(duì)安全即時(shí)通信的異步密鑰協(xié)商方法包括：

步驟1：即時(shí)通信客戶端注冊(cè)時(shí)，即時(shí)通信客戶端分別產(chǎn)生終端身份公私鑰對(duì)和密鑰協(xié)商基本公私鑰對(duì)，并將終端身份公鑰和密鑰協(xié)商基本公鑰上傳到即時(shí)通信服務(wù)器，終端身份私鑰和密鑰協(xié)商基本私鑰安全存儲(chǔ)在本地。