骤一中的客户端将Ekek(RI)及ER1(Data)发送至服务端。
[0038]步骤五:服务端根据当前群成员组成,将所收到的Ekek(RI)及ER1(Data)转发至群内所有成员。
[0039]步骤六:各个群成员利用加密密钥保护密钥KEK对EKEK(R1)进行解密运算,获得Rl。
[0040]步骤七:各个群成员用Rl作为解密密钥对ER1(Data)进行解密运算,获得明文Data数据。
[0041]图2展示了群聊数据发送接收流程,頂客户端A即为步骤一中的客户端,頂客户端B代表了其它某个成员客户端。
[0042]本发明具有如下特点:
(I)适用于大部分的即时通信应用
本发明所设定的群聊成员变动情况符合大部分即时通信应用的设计,大部分应用的群聊均存在创建群、增加/减少群成员的情况,完全符合本发明的设定。即使可能某些即时通信应用在群聊的一些具体流程设计上与创建、增加/减少群成员的使用模式存在差异,但群的成员变动事件是不可避免存在的。只要存在成员变动的情况,本发明即可适用于该即时通信应用。
[0043](2)通信数据加密运算量较低
采用数字信封方式进行群聊通信数据加密处理时,每次发送数据均需用所有群成员的公钥对加密密钥进行保护,数据加密运算量较大。由于群聊中消息的发送量极大,每条发送的消息均如此处理,群成员越多,则运算量将呈几何级数上升。
[0044]本发明的数据加密方法在对群聊通信消息进行加密处理时与群成员的数量多少无关,同样的通信数据,在群仅有2个人与群有2万人相比,在群聊中涉及最多的通信数据加密处理方面的运算量基本一致,可有效满足组织较多人员进行协同办公交流等大型群聊情况下的通信数据高效加密传输需求。
[0045](3)适用于移动通信设备进行多人即时通信
本发明提出的保护密钥协商过程中需用所有群成员的公钥对保护密钥进行加密处理,涉及的运算量较大。发明中将此部分运算交由服务端来完成,可借助服务端丰富的计算资源快速完成运算,各客户端仅需承担较小的保护密钥协商运算。本发明提出的通信数据加密运算需由客户端完成,此过程仅需对加密密钥进行一次保护运算即可,客户端所需承担的加密运算量同样较小。
[0046]因此,本发明提出的数据加密方法尤其适用于基于移动通信设备作为客户端进行多人即时通信,移动通信设备仅需较小的资源消耗即可满足多人即时通信过程中数据的加解密处理要求,同时本发明提出的加密方法产生的加密冗余数据较少,对移动设备的计算、存储、网络传输、电池等消耗较小,可有效延长移动设备的续航能力。
[0047](4)安全性有保证
本发明提出的方法中,保护密钥为随机产生,且采用群成员的公钥进行加密保护并传输,保护密钥产生及分发过程的安全可靠。在群成员变更时即时更换群保护密钥,从密钥这个解密运算的根本点上确保已退出群的用户不能再获得群聊信息,避免其他加密方式由于误操作可能引起的已退群用户仍可获得后续群聊通信数据的安全隐患。同时可设定保护密钥有效期规则,在有效期到期后也进行群保护密钥的更新,进一步提高保护密钥的安全性。
[0048]在群聊通信数据加密过程中,加密密钥同样为随机产生,严格实施“一次一密”理念,在前述保护密钥得到有效安全保证的前提下,通信数据的安全性同样也得到有效的保证。
【主权项】
1.一种适用于多人群聊即时通信的数据加密方法,其特征在于,包括群聊保护密钥产生流程及群聊数据发送接收流程,其中, 群聊保护密钥产生流程包括如下步骤: 步骤一:发生服务端更新群聊通信数据加密密钥保护密钥触发事件; 步骤二:服务端产生随机数,作为新的群聊通信数据加密密钥保护密钥KEK; 步骤三:选定群成员中的某位作为第一客户端,服务端用其公钥PKA对KEK进行加密处理,形成对应第一客户端的密文Epk(KEK); 步骤四:服务端将密文Epk(KEK)发送至第一客户端; 步骤五:第一客户端用自己的私钥SKA解密Epk (KEK),获得加密密钥保护密钥KEK; 步骤六:服务端对当前群所有其他成员客户端分别执行上述步骤三至五,使得每个成员客户端都获得加密密钥保护密钥KEK; 群聊数据发送接收流程包括如下步骤: 步骤一:某一客户端输入群聊交流内容Data,准备发送给群成员; 步骤二:步骤一中的客户端产生随机数Rl,作为加密密钥对Data进行加密运算,形成Eri(Data); 步骤三:步骤一中的客户端用加密密钥保护密钥KEK对Rl进行加密运算,形成Ekek(R1 ); 步骤四:步骤一中的客户端将Ekek(RI)及ER1(Data)发送至服务端; 步骤五:服务端根据当前群成员组成,将所收到的Ekek(RI)及ER1(Data)转发至群内所有成员; 步骤六:各个群成员利用加密密钥保护密钥KEK对Ekek(Rl)进行解密运算,获得Rl; 步骤七:各个群成员用Rl作为解密密钥对Er1 (Data)进行解密运算,获得明文Data数据。2.如权利要求1所述的适用于多人群聊即时通信的数据加密方法,其特征在于,服务端更新群聊通信数据加密密钥保护密钥触发事件为:周期性密钥更新触发。3.如权利要求1所述的适用于多人群聊即时通信的数据加密方法,其特征在于,服务端更新群聊通信数据加密密钥保护密钥触发事件为:某一客户端需要变动群成员,向服务端发起申请。4.如权利要求3所述的适用于多人群聊即时通信的数据加密方法,其特征在于,步骤三中,选定需要变动群成员的客户端作为第一客户端。
【专利摘要】本发明公开了一种适用于多人群聊即时通信的数据加密方法,该方法根据群聊使用过程中的具体特点,在群的创建、增加/减少成员等群成员发生变动的时刻增加加密相关的群加密密钥协商更换处理过程,将群聊的应用事件与加密处理深度融合,在群成员变动时即时更换群加密保护密钥并分发至当前所有群成员,所有的群通信数据均用当前有效的群保护密钥进行保护,可有效解决群聊通信数据数据加密耗时长、冗余数据多的问题。
【IPC分类】H04L29/06, H04L12/18, H04L12/58
【公开号】CN105610789
【申请号】CN201510949616
【发明人】蔡罗成
【申请人】成都三零瑞通移动通信有限公司
【公开日】2016年5月25日
【申请日】2015年12月18日