一种基于安全标签的即时通信系统及方法与流程

本发明涉及信息安全技术领域，具体涉及一种基于安全标签的即时通信系统及方法。

背景技术：

即时通信系统不但能够实现文字、图片、表情等即时信息的发送，还能够进行媒体信息的传递，极大的提升了人们之间的沟通效率，已被广泛应用。然而，即时通信系统多强调便利性，对安全性的考虑并不充分，导致信息的传播不受控制、个人信息泄露等问题。目前，已经有一些方案着眼于解决该问题，CN201611190178.2提出了一种即时通信发送方法、控制方法、发送端及接收端，该专利在发送端发送的即时消息中增加扩展项，接收端可以通过该扩展项实现对该即时消息操作权限的控制；CN201611123159.8、CN201611032224.6、CN201610352485.X、CN201510832111.3、CN201611013131.9、CN201410641122.9均为通过密码学方法保障发送端和接收端数据的机密性和完整性。

以上方法有如下问题：(1)即时通信系统多着眼使用密码学方法来进行数据不被非授权用户访问，该方法将为即时通信系统带来密钥管理及加解密开销；(2)即时通信系统中数据的访问控制只包括是否能够转发、复制消息，对于其他业务数据并未提出控制方法。

技术实现要素：

本发明技术解决问题：克服现有技术的不足，提供一种基于安全标签的即时通信系统，能够与业务逻辑进行结合，实现对即时通信中业务资源的细粒度控制。

本发明技术解决方案：

如图1所示，本发明的一种基于安全标签的即时通信系统，包括安全标签处理系统，所述安全标签处理系统实现为：

(1)在即时通信客户端应用中为消息数据和聊天室获取可用的安全标签；

(2)在即时通信客户端应用中处理带有安全标签的消息数据，包括发送带有安全标签的消息数据，接收、验证和显示带有安全标签的消息数据；

(3)在即时通信客户端应用中显示带有安全标签的聊天室；

(4)在即时通信服务器中为即时通信客户端应用的用户获取带有安全标签的通讯录资源；

(5)在即时通信服务器中依据安全标签转发即时消息；

(6)在即时通信服务器中为即时通信客户端应用获取用户及聊天室可用的安全标签列表；

(7)在即时通信管理服务器中为即时消息、聊天室生成可用的安全标签；

(8)在即时通信管理服务器中创建、编辑即时通信系统所需要的安全标签，并根据即时通信客户端应用中的使用用户生成可用的通讯录；

所述安全标签是和即时通信系统中消息数据、通讯录、聊天室绑定的一段数字实体，记录了信息的安全策略标识、安全级别、安全类别、显示属性、自定义扩展信息。

所述安全标签处理系统包括：客户端处理模块、服务处理模块以及管理模块，其中客户端处理模块运行在即时通信客户端中，实现安全标签列表获取、安全标签发送与接收验证、安全标签显示控制三部分功能，所述客户端处理模块，通过即时通信客户端应用与服务处理模块之间进行交互，即时通信客户端之间通过处理类型解析与处理结果反馈功能进行交互；服务处理模块运行在即时通信服务器中，实现通讯录资源获取、即时消息转发处理、安全标签列表获取三部分功能，同时所述服务处理模块，通过即时通信服务器与管理模块之间进行交互，即与即时通信服务器之间通过处理类型解析与处理结果反馈功能进行交互；管理模块运行在即时通信系统管理服务器中，实现安全标签创建与编辑、通讯录资源生成、安全标签列表生成三部分功能，同时与即时通信管理服务器之间通过处理类型解析与处理结果反馈功能进行交互，管理模块通过安全标签管理服务器与即时通信服务器进行交互。所述安全标签列表为多个安全标签的集合。

所述客户端处理模块，通过即时通信客户端应用与服务处理模块之间进行交互时的交互数据包括：消息数据及聊天室可用安全标签列表请求/响应，带有安全标签的即时消息数据；所述消息数据及聊天室可用安全标签列表请求/响应，即时通信客户端应用发送消息数据或者创建聊天室时，将通过客户端处理模块生成安全标签列表请求数据包，由即时通信客户端应用发送给即时通服务器，即时通信服务器调用服务处理模块形成安全标签列表响应数据包，由即时通信服务器返回给即时通信客户端应用；所述带有安全标签的即时消息数据，客户端应用发送即时消息之前将调用客户端处理模块，对消息进行处理之后再发送；同时客户端处理模块还基于安全标签对即时消息和聊天室的显示进行控制；所述带有安全标签的消息数据，分为发送带有安全标签的消息数据，接收、验证和显示带有安全标签的消息数据两部分：所述发送带有安全标签的消息数据，用户发起消息发送请求时，即时通信客户端应用获取当前消息可用的安全标签列表供用户选择，用户选择后，调用客户端处理模块为每条消息嵌入安全标签后进行发送；

所述接收、验证和显示带有安全标签的消息数据，即时通信客户端应用收到消息数据时，调用客户端处理模块解析出安全标签，并对安全标签进行验证，并根据安全标签返回客户端应用每条消息的显示方式。

所述服务处理模块，通过即时通信服务器与管理模块之间进行交互时的交互数据包括：通讯录资源请求及响应、安全标签列表请求及响应，带有安全标签的即时消息数据；所述通讯录资源请求及响应、安全标签列表请求及响应，当即时通信服务器收到通讯录资源及安全标签列表请求时，将通过服务处理模块生成通讯录资源及安全标签资源请求数据包，由即时通信服务器发送给即时通信管理服务器，即时通信管理服务器调用管理模块查询并形成与用户相对应的通讯录资源响应、安全标签列表响应，由即时通信管理服务器返回给即时通信服务器；该模块通过即时通信服务器与客户端处理模块之间进行交互，交互数据包括：所述带有安全标签的即时消息数据，当即时通信服务器收到收到客户端应用发来的消息时，将调用服务处理模块对所述消息中的安全标签进行解析、验证，并确定接收者能够接收该所述消息之后对所述消息进行转发处理。

所述消息数据及聊天室可用安全标签列表请求及响应，具体实现如下：

(1)用户进行消息发送或聊天室创建时，客户端应用调用客户端处理模块，针对消息数据可用安全标签列表请求，客户端处理模块将组装带有收发端信息的请求数据包，针对聊天室可用安全标签列表请求，客户端处理模块将组装带有发起者以及参与者信息的请求数据包，以上数据包由返回给客户端应用，由客户端应用进一步封装并发送给即时通信服务器，并等待响应；

(2)客户端应用收到消息数据及聊天室可用安全标签列表响应时，调用客户端处理模块对消息进行解析，客户端处理模块解析出安全标签列表信息返回给客户端应用；

(3)所述显示带有安全标签的聊天室，用户点击进入聊天室时，将调用客户端处理模块根据安全标签显示聊天室的安全级别信息。

所述通讯录资源请求响应，指用户登录成功后基于服务处理模块进行通讯录获取操作，通讯录资源请求将由即时通信客户端应用发送至即时通信服务器，具体如下：

(1)即时通信服务器解析出业务类型为通讯录获取时，将调用服务处理模块组装包含发起用户信息的通讯录获取请求数据包，并返回给即时通信服务，即时通信服务进一步封装之后发送给即时通信管理服务器；

(2)即时通信服务器接收并解析出业务响应类型为通讯录响应时，将调用服务处理模块解析验证通讯录安全标签，并将带有安全标签的通讯录返回给即时通信服务器，由即时通信服务器进一步封装发送给客户端应用。

所述依据安全标签转发即时消息为：在即时通信服务中基于服务器处理模块对单用户聊天消息和多用户聊天消息进行控制两部分：所述对单用户聊天消息进行控制，服务器收到应用客户端应用之间传递的消息，调用服务处理模块解析验证消息的安全标签，并对消息执行接收用户权限验证，只有接收用户安全级别不低于消息安全标签中的安全级别时向服务器返回允许将该消息转发至接收用户客户端应用的结果；所述对多用户聊天消息进行控制，服务器收到单个应用客户端在聊天室内传递的消息，调用服务处理模块解析验证消息的安全标签，并遍历消息接收用户执行权限验证，筛选出接收用户安全级别不低于消息安全标签中安全级别的列表，并将所述列表返回给即时通信服务器，即时通信服务器根据所述列表执行消息转发操作。

所述获取用户及聊天室可用的安全标签列表，指即时通信服务器收到客户端应用发起的获取安全标签列表的请求，该请求中包含了消息收发用户的信息，具体如下：

(1)即时通信服务器收到客户端发起的获取安全标签列表的请求，调用服务处理模块，服务处理模块解析出消息收发用户信息，组装与数据包中消息收发用户相对应的安全标签列表获取请求，该请求中包含消息收发用户，服务处理模块将该请求返回给即时通信服务器，即时通信服务器对请求进行进一步封装发送给即时通信管理服务器；

(2)即时通信服务器收到即时通信管理服务器发送的安全标签列表响应时，调用服务处理模块对安全标签进行解析验证，并将安全标签列表数据返回给服务器，服务器进一步封装后返回给客户端应用。

所述管理模块中，实现安全标签创建与编辑、通讯录资源生成、安全标签列表生成时，管理模块提供创建、编辑安全标签的接口供即时通信系统使用，为即时消息、聊天室生成可用的安全标签，管理模块解析消息类型之后进行处理，根据收发用户的信息，形成可用的安全标签列表数据，并将该数据封装为网络数据包返回给即时通信管理服务器。

本发明的一种基于安全标签的即时通信方法，通过安全标签实现即时消息的收发及显示、聊天室的创建或通讯录的获取。

所述即时消息的收发及显示的步骤如下：

(1)用户选择带聊天用户/群组，并发起消息发送请求时，客户端处理模块组装数据包，通过客户端应用向服务处理模块发起安全标签列表获取所述请求；

(2)服务处理模块收到请求时，将发起用户及接收用户/群组的信息发送给管理模块；

(3)管理模块根据发起用户和接收用户/群组的信息生成可用安全标签列表，并将所述安全标签列表发送给服务处理模块；

(4)服务处理模块收到后，将安全标签列表转发至客户端处理模块，客户端处理模块将可用的安全标签列表提供给用户选择，用户选择后客户端处理模块为每条消息嵌入安全标签并进行发送；

(5)每条消息发送至即时通信服务器之后，服务处理模块将执行如下操作：

a)服务处理模块解析验证安全标签；

b)服务处理模块判断该消息是发给单个用户还是群组，如果是单个用户，则根据安全标签及用户信息确定用户可接收后进行发送，如果是群组，则根据安全标签遍历群组所有用户信息仅将即时消息发送给可接收的用户；

(6)即时通信客户端应用收到消息时，客户端处理模块解析验证安全标签后，将即时消息交由即时通信客户端应用进行处理，并根据安全标签通知客户端应用每条消息的显示方式。

所述聊天室的创建步骤如下：

(1)用户创建聊天室时，客户端处理模块向服务处理模块发起聊天室安全标签列表获取请求，请求中包含发起用户信息和聊天室涉及的用户信息；

(2)服务处理模块收到该请求时，将发起用户及聊天室中涉及用户的信息发送给管理模块；

(3)管理模块根据发起用户及聊天室中涉及用户的信息生成可用安全标签列表，并将该可用安全标签列表发送给服务处理模块；

(4)服务处理模块收到后，将响应转发至客户端处理模块，客户端处理模块将可用的安全标签列表提供给用户选择，用户选择后客户端处理模块为聊天室嵌入安全标签发送至服务器端完成创建过程；

(5)用户进入聊天室时，客户端模块根据安全标签进行聊天室的信息。

所述通讯录的获取步骤如下：

(1)用户进行通讯录获取操作，再由即时通信客户端发送至即时通信业务服务：

(2)即时通信服务器解析出业务类型为通讯录获取时，服务处理模块向即时通信管理模块发起通讯录获取请求，该请求中包含发起业务请求用户的信息，并等待响应；

(3)管理模块根据发起用户的信息，查询通讯录的安全标签，将符合要求的通讯录列表及其安全标签返回给即时通信服务器；

(4)即时通信服务器接收到通讯录请求响应时，对通讯录安全标签进行解析验证之后发送给客户端应用；

(5)客户端处理模块对通讯录的安全标签进行解析和验证，确认无误后返回给客户端应用，由该应用进行显示。

本发明与现有技术相比的优点在于：本发明通过增加安全标签可实现对即时通信系统中的即时消息、通讯录、聊天室等关键资源的访问控制，适用于需要对资源进行细粒度访问控制的场景。

附图说明

图1是本发明一种基于安全标签的即时通信系统结构示意图；

图2为本发明客户端处理模块实现流程图；

图3为本发明服务处理模块实现流程图；

图4为本发明管理模块实现流程图；

图5是本发明即时通信安全标签列表获取流程示意图。

具体实施方式

本发明基于安全标签基础设施设计了即时通信系统，在该系统中即时通信业务流程与安全标签的处理过程相结合，能够实现即时通信消息的细粒度控制，增强了即时通信系统的安全性。

为使本发明的实施例的目的、技术方案和优点更加清楚，下面以安全标签列表获取场景为例，结合附图对本发明作详细描述。

客户端处理模块实现流程如图2所示，具体为：

(1)客户端处理模块收到客户端应用的调用请求；

(2)客户端处理模块的处理类型解析与处理结果反馈子模块对该请求数据进行分析，根据类型选择对应的处理子模块，包括安全标签列表获取子模块、安全标签发送与接收验证子模块、安全标签显示控制子模块；

(3)当请求数据类型为消息数据安全标签列表获取、创建聊天室时，调用安全标签列表获取子模块产生请求数据包，并返回给客户端应用；

(4)当请求数据类型为消息发送与接收时，调用安全标签发送与接收验证子模块，以嵌入或提取验证数据消息中的安全标签，并将嵌入安全标签的数据或安全标签验证通过的数据返回给客户端应用；

(5)当请求数据类型为显示即时消息、聊天室时，调用安全标签显示控制子模块，返回消息及聊天室的显示参数。

服务处理模块实现流程如图3所示，具体为：

(1)服务处理模块收到服务器的调用请求；

(2)服务处理模块的处理类型解析与处理结果反馈部分对该请求数据进行分析，根据类型选择对应的处理子模块，包括通讯录资源获取子模块、即时消息转发处理子模块、安全标签列表获取子模块；

(3)当请求数据类型为通讯录资源获取时，调用通讯录资源获取子模块产生发送给管理服务器的请求数据包，并返回给服务器；

(4)当请求数据类型为收到客户端应用发送的即时消息时，调用即时消息转发处理子模块，提取验证数据消息中的安全标签，并进行接收用户的权限判断，并将判定结果返回给即时服务器，由即时服务器对消息的转发进行处理；

(5)当请求数据类型为获取安全标签、创建聊天室时，调用安全标签列表获取子模块产生发送给即时通信管理服务器的请求数据包，并返回给客户端应用。

如图4所示，管理模块实现流程具体为：

(1)管理模块收到即时通信管理服务器的调用请求；

(2)管理模块的处理类型解析与处理结果反馈部分对该请求数据进行分析，根据类型选择对应的处理子模块，包括安全标签创建与编辑子模块、通讯录资源生成子模块、安全标签列表生成子模块(什么，写完全)；

(3)当请求数据类型为创建安全标签、编辑安全标签时，调用安全标签创建与编辑子模块，为资源创建/编辑安全标签，并将处理结果返回给即时通信管理服务器；

(4)当请求数据类型为通讯录获取时，调用通讯录资源生成子模块，根据输入的用户信息获取对用户可见的通讯录列表，并将结果返回给即时通信管理服务器；

(5)当请求数据类型为获取安全标签时，调用安全标签列表生成子模块，根据输入的用户信息获取可用的安全标签列表，并将结果返回给即时通信管理服务器。

如图5所示，安全标签列表获取流程示意具体为：

(1)用户触发进行聊天用户选择，选择请求被发送至即时通信业务服务器；

(2)即时通信业务服务器判断该业务类型为聊天用户选择，将发起用户和接收用户信息一并传递给服务处理模块；

(3)服务处理模块根据该信息生成安全标签列表请求消息，并将该消息发送给即时通信业务服务器；

(4)即时通信业务服务器将该消息发送给管理模块；

(5)管理模块根据发起用户和接收用户生成安全标签列表响应消息，返回给即时通信业务服务；

(6)即时通信业务服务判断该业务类型为安全标签列表响应消息，将该消传递给服务处理模块；

(7)服务处理模块对安全标签列表进行验证后，返回给即时通信业务服务；

(8)即时通信业务服务封装成响应数据发送给即时通信客户端应用；

(9)即时通信客户端应用收到安全标签列表响应消息，将安全标签列表响应消息传递给客户端处理模块；

(10)客户端处理模块验证安全标签列表，返回给即时通信客户端应用，由即时通信客户端应用将安全标签列表显示给用户。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。