一种用于加密即时通信的证书更新方法与流程

本发明属于网络通信安全技术领域，涉及一种在加密即时通信中的证书更新方法。

背景技术：

即时通信已经成为人们普通使用的通信联络工具，比如微信。其即时消息、语音通话等功能正在改变人们的通信沟通方式。在享受即时通信带来的便利同时，通信监听以及个人隐私泄露也成为日益严重的问题。

具有加密功能的即时通信应用也开始出现，其能够对即时消息、语音等进行加密处理，保护用户的通信安全和个人隐私。由于PKI体系具有较高的安全性，其也被用来为加密即时通信系统提供认证与数据加解密功能。

在基于客户端终端产生加密公钥与私钥的证书颁发系统中，每个加密即时通信客户端在初次启动时，在本地产生用于数据加解密的公私钥对，并且把公钥发送到后台CA/安全平台生成数字证书，私钥本地保存。即时通信用户使用各自的数字证书进行身份认证，以及对方的数字证书进行通信加解密等操作。

对于以上类型的及时通信系统，很多情况会造成证书重新的颁发：如用户删掉客户端应用后重新安装、用户切换登陆的手机等。如果某用户使用通信对方的旧证书与其通信，将造成通信信息无法正常解密的问题。因此，如何高效、及时的处理用户证书同步成为一个重要问题。

技术实现要素：

针对现有技术中存在的技术问题，本发明的目的在于提供一种用于加密即时通信的证书更新方法。本发明解决了加密即时通信中证书同步的方法。在典型的即时通信系统中，即时消息是共有的最基础通信功能之一。本发明通过重新定义即时通信消息格式，把它改造成用于证书同步的信令短消息，高效简洁的解决了即时通信用户之间的证书同步问题。

本发明的技术方案为：

一种用于加密即时通信的证书更新方法，其步骤为：

1)用户A登录即时通信客户端时，即时通信客户端首先将该用户A的标识发送到业务服务器获取该用户A上次登录即时通信客户端所使用通信设备的设备标识；

2)该业务服务器根据该用户A的标识查找对应的设备标识，并返回给该用户A登录的 即时通信客户端；如果未查找到，则返回空；

3)该用户A所登录的即时通信客户端检查返回的设备标识是否为空；

31)如果为空，即该用户A为首次登录即时通信客户端；则即时通信客户端将其所在通信设备的设备标识注册到该业务服务器，并且该业务服务器生成用于证书更新的信令短消息发送给该用户A通讯录中每一联系人；该用户A通讯录中的联系人所登录的即时通信客户端接收到该证书更新的信令短消息后，保存该用户A当前的数字证书；

32)如果不为空，则将返回的设备标识与即时通信客户端当前所在通信设备的设备标识进行比较；如果不同，则将当前所在通信设备的设备标识更新到该业务服务器，然后该业务服务器生成用于证书更新的信令短消息发送给该用户A通讯录中每一联系人，该用户A通讯录中的联系人所登录的即时通信客户端接收到该证书更新的信令短消息后，保存该用户A当前的数字证书；如果相同，则不进行证书更新。

进一步的，该证书更新的信令短消息的字段包括：用户id、数字证书。

进一步的，该证书更新的信令短消息的字段还包括算法族。

进一步的，该算法族字段中包括非对称加密算法。

进一步的，该证书更新的信令短消息的字段还包括版本号。

进一步的，该证书更新的信令短消息为SIP协议的MESSAGE消息或XMPP协议的消息。

进一步的，该即时通信客户端为微信。

本发明的主要内容包括：

1证书更新的信令短消息格式定义

证书更新的信令短消息可以是SIP协议的MESSAGE消息，也可以是XMPP协议的消息或其它任何格式的即时消息。如图1所示，消息通知格式如下：

●版本号(1B)，用来标识当前的版本；

●算法族(1B)，用来标识采用的加密算法；包括非对称加密算法；

●用户id(4B)，用来标识用户的id；

●数字证书(<2000B)，用来承载用户的数字证书。

2证书更新方法

如图2所示，业务服务器记录了每个即时通信客户端当前的设备标识，也就是手机的IMEI。当用户首次登录即时通信客户端时，即时通信客户端会从手机获取手机的设备标识。然后把该设备标识注册到业务服务器进行保存。

此后，每次用户登录，即时通信客户端都将从业务服务器获取其前一次注册的设备标识。 然后，把从业务服务器获取的设备标识和当前所使用手机的设备标识进行比较。如果设备标识未发生改变，则说明即时通信客户端所使用的证书未发生改变，则不需要进行证书更新；如果设备标识发生了改变，则说明即时通信客户端所使用的证书已经发生改变，需要对其通信录中的所有联系人进行证书更新。

如果需要进行证书更新，则根据前面所述的证书更新信令短消息的定义为通信录中的每个联系人生成用于证书更新的信令短消息，并且一次发送给每个联系人。

当联系人接收到信令短消息以后，则使用新的证书替换本地保存的证书以待使用。

与现有技术相比，本发明的积极效果为：

本发明中使用业务服务器存储存储用户的设备标识可以用于客户端很简单的判断其证书是否已经变更。

本发明通过重新定义即时通信消息格式，把它改造成用于证书同步的信令短消息，高效简洁的解决了即时通信用户之间的证书同步问题。

附图说明

图1为本发明消息通知格式图；

图2为证书更新系统结构图；

图3为本发明方法流程图。

具体实施方式

下面结合附图对本发明进行进一步详细描述。

应用实例：

本发明的更新流程如图3所示，其中用户A登录即时通信客户端时，首先将该使用用户A的标识发送到业务服务器获取该用户A上次登录时所使用通信设备的设备标识。业务服务器检查该用户标识对应的设备标识，并且返回给用户A，如果没有则返回空。

用户A所登录的即时通信客户端检查返回的设备标识是否为空。如果为空，说明用户A是第一次登录。则业务服务器生成用于证书更新的信令短消息，并且发送给用户A通讯录中所有的联系人，如用户B。用户B所登录的即时通信客户端接收到证书更新的信令短消息后，保存用户A最新的数字证书。

如果用户A所登录的即时通信客户端检查发现业务服务器返回的设备标识不为空，则与即时通信客户端本地当前所使用通信设备的设备标识进行比较。如果相同，则不进行证书更新；如果不同，则首先把本地当前所使用通信设备的设备标识更新到业务服务器，然后业务 服务器生成用于证书更新的信令短消息，并且发送给用户A通讯录中所有的联系人，如用户B。用户B所登录的即时通信客户端收到证书更新的信令短消息后，保存用户A最新的数字证书。

综上所述，本发明公开了适用于加密即时通信的通信证书更新方法。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。显然，本领域的普通技术人员可以对本发明的示例进行各种改动和变形而不脱离本发明的精神和原则。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。