一种实时通信的分布式密钥分发方法及系统与流程

[0001]
本发明涉及信息安全领域，尤其涉及一种实时通信的分布式密钥分发方法及系统。


背景技术：

[0002]
为避免企业内部信息泄露，一些企业花费巨大的精力耗时许久开发企业内部沟通工具。现有技术中，密钥和传输信息存储在同一个服务器中，黑客一旦入侵服务器则获取密钥和传输信息，使用密钥可解密传输信息，窃取商业机密，对企业造成极大的损失。


技术实现要素：

[0003]
本发明的目的是为了克服现有技术的不足，提供一种实时通信的分布式密钥分发方法及系统。
[0004]
本发明提供了一种实时通信的分布式密钥分发方法，包括：当密钥管理服务器接收到分布式终端发送的获取密钥请求时，发送包含从获取密钥请求中得到的用户标识和令牌的查询令牌是否有效请求给应用服务器；当密钥管理服务器接收到应用服务器发送的第一响应信息时，根据第一响应信息判断令牌是否有效，是则根据第一响应信息中的用户属性信息检索第一密钥，使用预设密钥对第一密钥加密得到第一加密信息，发送第一加密信息和用户属性信息给分布式终端；否则，发送提示用户登录响应给分布式终端；当应用服务器接收到密钥管理服务器发送的查询令牌是否有效请求时，判断查询令牌是否有效请求是否满足第一预设条件，是则检索用户属性信息，将令牌有效标识和用户属性信息组成第一响应信息并发送给密钥管理服务器；否则将令牌无效标识组成第一响应信息并发送给密钥管理服务器；当应用服务器接收到分布式终端发送的登录请求时，进行身份认证，认证成功则将对应的用户设为已登录状态，生成令牌并保存，设置令牌有效期，根据令牌组成通过的认证响应，发送通过的认证响应给分布式终端；认证失败则发送未通过的认证响应给分布式终端；分布式终端判断令牌是否存在，是则根据令牌和用户标识生成获取密钥请求，发送获取密钥请求给密钥管理服务器，否则提示用户登录，当接收到用户触发时，发送登录请求给应用服务器；当分布式终端接收到密钥管理服务器发送的第一加密信息和用户属性信息时，使用预设密钥对第一加密信息解密得到第一密钥，将第一密钥与用户属性信息对应保存。
[0005]
本发明提供了一种实时通信的分布式密钥分发系统，包括：密钥管理服务器、应用服务器和分布式终端；密钥管理服务器包括：第一接收发送模块，用于当接收到分布式终端发送的获取密钥请求时，发送包含从获取密钥请求中得到的用户标识和令牌的查询令牌是否有效请求给应用服务器；
第一接收判断模块，用于当接收到应用服务器发送的第一响应信息时，根据第一响应信息判断令牌是否有效，是则触发第一检索发送模块，否则触发第一发送模块；第一检索发送模块，用于根据第一响应信息中的用户属性信息检索第一密钥，使用预设密钥对第一密钥加密得到第一加密信息，发送第一加密信息和用户属性信息给分布式终端；第一发送模块，用于发送提示用户登录响应给分布式终端；应用服务器包括：第二接收判断模块，用于当接收到密钥管理服务器发送的查询令牌是否有效请求时，判断查询令牌是否有效请求是否满足第一预设条件，是则触发第二检索发送模块，否则触发第二发送模块；第二检索发送模块，用于检索用户属性信息，将令牌有效标识和用户属性信息组成第一响应信息并发送给密钥管理服务器；第二发送模块，用于将令牌无效标识组成第一响应信息并发送给密钥管理服务器；接收认证模块，用于当接收到分布式终端发送的登录请求时，进行身份认证，认证成功则触发生成发送模块，认证失败则触发第二发送模块；生成发送模块，用于将对应的用户设为已登录状态，生成令牌并保存，设置令牌有效期，根据令牌组成通过的认证响应，发送通过的认证响应给分布式终端；第二发送模块，还用于发送未通过的认证响应给分布式终端；分布式终端包括：第一判断模块，用于判断令牌是否存在，是则触发生成发送模块，否则提示用户登录，触发第二接收发送模块；生成发送模块，用于根据令牌和用户标识生成获取密钥请求，发送获取密钥请求给密钥管理服务器；第二接收发送模块，用于当接收到用户触发时，发送登录请求给应用服务器；接收保存模块，用于当接收到密钥管理服务器发送的第一加密信息和用户属性信息时，使用预设密钥对第一加密信息解密得到第一密钥，将第一密钥与用户属性信息对应保存。
[0006]
本发明与现有技术相比，具有以下优点：本发明提供了一种实时通信的分布式密钥分发方法及系统，密钥管理服务器进行密钥分发，应用服务器保存转发消息，实现密钥与传输信息分离，确保密钥的密钥信道是加密且安全的，应用服务器接触不到密钥，密钥管理服务器接触不到传输信息，保证密钥和传输信息的安全。
附图说明
[0007]
图1为本发明实施例四提供的一种实时通信的分布式密钥分发系统的框图。
具体实施方式
[0008]
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于
本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0009]
实施例一本发明实施例一提供一种实时通信的分布式密钥分发方法，包括：当密钥管理服务器接收到分布式终端发送的获取密钥请求时，发送包含从获取密钥请求中得到的用户标识和令牌的查询令牌是否有效请求给应用服务器；当密钥管理服务器接收到应用服务器发送的第一响应信息时，根据第一响应信息判断令牌是否有效，是则根据第一响应信息中的用户属性信息检索第一密钥，使用预设密钥对第一密钥加密得到第一加密信息，发送第一加密信息和用户属性信息给分布式终端；否则，发送提示用户登录响应给分布式终端；当应用服务器接收到密钥管理服务器发送的查询令牌是否有效请求时，判断查询令牌是否有效请求是否满足第一预设条件，是则检索用户属性信息，将令牌有效标识和用户属性信息组成第一响应信息并发送给密钥管理服务器；否则将令牌无效标识组成第一响应信息并发送给密钥管理服务器；当应用服务器接收到分布式终端发送的登录请求时，进行身份认证，认证成功则将对应的用户设为已登录状态，生成令牌并保存，设置令牌有效期，根据令牌组成通过的认证响应，发送通过的认证响应给分布式终端；认证失败则发送未通过的认证响应给分布式终端；分布式终端判断令牌是否存在，是则根据令牌和用户标识生成获取密钥请求，发送获取密钥请求给密钥管理服务器，否则提示用户登录，当接收到用户触发时，发送登录请求给应用服务器；当分布式终端接收到密钥管理服务器发送的第一加密信息和用户属性信息时，使用预设密钥对第一加密信息解密得到第一密钥，将第一密钥与用户属性信息对应保存；当分布式终端发送实时通信消息时，使用第一密钥对传输信息进行加密得到第一密文，根据发送者的用户标识、发送者用户属性信息、接收者的用户标识和第一密文组成实时通信消息，发送实时通信消息给应用服务器。
[0010]
可选的，在本实施例中，用户属性信息为多个，第一密钥为多个。
[0011]
可选的，在本实施例中，判断查询令牌是否有效请求是否满足第一预设条件具体为：应用服务器判断查询令牌是否有效请求中的用户标识是否为已登录用户，是则判断查询令牌是否有效请求中的令牌是否有效，否则发送提示用户登录响应给分布式终端；当应用服务器判断查询令牌是否有效请求中的令牌有效时，检索用户属性信息，将令牌有效标识和用户属性信息组成第一响应信息并发送给密钥管理服务器；当应用服务器判断查询令牌是否有效请求中的令牌无效时，将令牌无效标识组成第一响应信息并发送给密钥管理服务器。
[0012]
可选的，在本实施例中，判断查询令牌是否有效请求中的令牌是否有效具体包括：步骤b1：应用服务器将查询令牌是否有效请求中的令牌与保存的令牌进行匹配，如匹配成功则执行步骤b2，如匹配失败则无效；步骤b2：应用服务器判断令牌是否在有效期内，是则有效，否则无效。
[0013]
可选的，在本实施例中，进行身份认证之前还包括：
当应用服务器接收到分布式终端发送的登录请求时，发送认证界面响应给分布式终端；当分布式终端接收到认证界面响应时，提示用户输入用户标识和密码，根据用户输入的用户标识和密码组成认证请求，发送认证请求给应用服务器。
[0014]
可选的，在本实施例中，还包括：当分布式终端接收到应用服务器发送的认证响应时，判断认证响应是否包含令牌，是则保存令牌，否则提示用户重新登录。
[0015]
可选的，在本实施例中，当分布式终端接收到应用服务器发送的实时通信消息时，根据实时通信消息中的发送者用户属性信息检索密钥，根据检索到的密钥对实时通信消息中的第一密文进行解密；如果解密后的消息为可显示的字符，则显示；如解密后的消息为不可显示的字符，则提示用户更新密钥。
[0016]
可选的，在本实施例中，如解密后的消息为不可显示的字符，则提示用户更新密钥之后还包括：当接收到用户的触发后，发送包含用户标识和令牌的获取密钥请求给密钥管理服务器。
[0017]
可选的，在本实施例中，还包括密钥更新过程；当密钥管理服务器接收到企业管理员发送的密钥更新请求时，生成第二密钥并保存，生成更新密钥命令，发送更新密钥命令给所有分布式终端。
[0018]
可选的，在本实施中，发送第一加密信息和用户属性信息给分布式终端之后还包括：记录令牌和第一加密信息。
[0019]
实施例二本发明实施例二提供一种实时通信的分布式密钥分发方法，包括：步骤101：当第一分布式终端接收到启用密钥指令时，判断令牌是否存在，是则根据用户标识和令牌生成获取密钥请求，发送获取密钥请求给密钥管理服务器，否则提示用户登录，执行步骤107；步骤102：密钥管理服务器接收获取密钥请求，根据获取密钥请求中的用户标识和令牌组成查询令牌是否有效请求，发送查询令牌是否有效请求给应用服务器；步骤103：应用服务器接收查询令牌是否有效请求，根据查询令牌是否有效请求中的用户标识判断用户是否登录，是则执行步骤104，否则发送提示用户登录响应给第一分布式终端；步骤104：应用服务器判断令牌是否有效，是则查询用户属性信息，发送令牌有效标识和用户属性信息给密钥管理服务器，否则发送令牌无效标识给密钥管理服务器；具体的，用户属性信息为用户所属群组；例如，用户与各用户单独通信属于用户群组0；用户与小a和小b建立用户群组1，用户与小c、小d和小e建立用户群组2；用户群组0、用户群组1和用户群组2使用不同的密钥传输消息；可选的，在本实施例中，步骤104具体包括：步骤104-1：应用服务器将查询令牌是否有效请求中的令牌与保存的令牌进行匹配，如匹配成功则执行步骤104-2，如匹配失败则无效；步骤104-2：应用服务器判断令牌是否在有效期内，是则有效，否则无效；步骤105：密钥管理服务器判断令牌是否有效，是则根据用户属性信息查找第一密钥，
使用预设密钥对第一密钥加密的得到第一加密信息，发送第一加密信息和用户属性信息第一分布式终端，记录令牌和第一加密信息，否则生成提示用户登录响应给第一分布式终端，执行步骤106；可选的，在本实施例中，步骤105中如用户属性信息为多个，未检索到某一用户属性信息对应的密钥时则生成密钥，使用预设密钥对多个密钥加密得到第一加密信息；步骤106：第一分布式终端判断是否接收到第一加密信息和用户属性信息，是则根据预设密钥对第一加密信息解密得到第一密钥，将用户属性信息和第一密钥对应保存，否则提示用户登录，执行步骤107；可选的，在本实施例中，如用户属性信息为多个，则根据预设密钥对第一加密信息解密得到多个密钥，将用户属性信息和密钥一一对应保存；步骤107：当第一分布式终端接收到用户的触发时，发送登录请求给应用服务器；步骤108：应用服务器接收登录请求，返回认证界面响应给第一分布式终端；步骤109：第一分布式终端接收用户输入的用户标识和密码，组成认证请求，发送认证请求给应用服务器；步骤110：应用服务器接收认证请求，根据认证请求进行身份认证，认证成功则生成令牌并保存，设置令牌有效期，根据令牌组成通过的认证响应，发送通过的认证响应给第一分布式终端，认证失败则发送未通过的认证响应给第一分布式终端；步骤111：第一分布式终端判断认证响应中是否有令牌，是则保存令牌，否则提示用户登录，执行步骤107；可选的，在本实施例中，还包括：步骤a1：企业管理员生成初始化密钥请求，发送初始化密钥请求给密钥管理服务器；步骤a2：密钥管理服务器生成第一密钥和启用密钥指令，发送启用密钥指令给所有分布式终端；可选的，在本实施例中，还包括通信过程：步骤d1：第一分布式终端使用第一密钥对传输信息进行加密得到第一密文，根据第一分布式终端的用户标识、第一分布式终端用户属性信息、第二分布式终端的用户标识和第一密文组成实时通信消息，发送实时通信消息给应用服务器；步骤d2：应用服务器接收实时通信消息并保存，根据实时通信消息中的第二分布式终端的用户标识发送实时通信消息第二分布式终端；步骤d3：第二分布式终端接收实时通信消息，根据实时通信消息中的第一分布式终端属性信息检索密钥，根据检索到的密钥对实时通信消息中的第一密文进行解密，如解密后的消息为可显示的字符，则显示，如解密后的消息为不可显示的字符，则提示用户更新密钥，当接收到用户的触发后，发送包含用户标识和令牌的获取密钥请求给密钥管理服务器；可选的，在本实施例中，还包括密钥更新过程，包括：步骤m1：企业管理员生成密钥更新请求，发送密钥更新请求给密钥管理服务器；步骤m2：密钥管理服务器生成第二密钥并保存，生成更新密钥命令，发送更新密钥命令给所有分布式终端；步骤m3：第一分布式终端接收到更新密钥命令时，根据预存的令牌和用户标识生成获取密钥请求，发送获取密钥请求给密钥管理服务器；
步骤m4：密钥管理服务器接收获取密钥请求，根据获取密钥请求中的用户标识和令牌组成查询令牌是否有效请求，发送查询令牌是否有效请求给应用服务器；步骤m5：应用服务器接收查询令牌是否有效请求，根据查询令牌是否有效请求中的用户标识判断用户是否已登录，是则执行步骤m6，否则发送提示用户登录响应给第一分布式终端；步骤m6：应用服务器判断令牌是否有效，是则检索用户属性信息，发送用户属性信息和令牌有效标识给密钥管理服务器，否则发送令牌无效标识给密钥管理服务器；步骤m7：密钥管理服务器判断令牌是否有效，是则使用预设密钥对第二密钥进行加密得到第二加密信息，发送第二加密信息和用户属性信息给第一分布式终端，否则发送提示用户登录响应给第一分布式终端；可选的，在本实施例中，如用户属性信息为多个，未检索到某一用户属性信息对应的密钥时则生成密钥，使用预设密钥对多个密钥加密得到第三加密信息；步骤m8：第一分布式终端判断是否接收到第二加密信息和用户属性信息，是则使用预设密钥对第二加密信息解密得到第二密钥，将第二密钥与用户属性信息对应保存，否则提示用户登录；可选的，在本实施例中，如用户属性信息为多个，则根据预设密钥对第二加密信息解密得到多个密钥，将用户属性信息和密钥一一对应保存；实施例三本发明实施例三提供一种实时通信的分布式密钥分发方法，包括：步骤201：当第一分布式终端接收到启用密钥指令时，判断令牌是否存在，是则根据令牌和用户标识生成获取密钥请求，发送获取密钥请求给密钥管理服务器，否则提示用户登录，执行步骤207；步骤202：密钥管理服务器接收获取密钥请求，根据获取密钥请求中的令牌和用户标识组成查询令牌是否有效请求，发送查询令牌是否有效请求给身份认证服务器；步骤203：身份认证服务器接收查询令牌是否有效请求，根据查询令牌是否有效请求中的用户标识判断用户是否登录，是则执行步骤204，否则发送提示用户登录响应给第一分布式终端；步骤204：身份认证服务器判断令牌是否有效，是则查询用户属性信息，发送令牌有效标识和用户属性信息给密钥管理服务器，否则发送令牌无效标识给密钥管理服务器；具体的，用户属性信息为用户所属群组；例如，用户与各用户单独通信属于用户群组0；用户与小a和小b建立用户群组1，用户与小c、小d和小e建立用户群组2；用户群组0、用户群组1和用户群组2使用不同的密钥传输消息；可选的，在本实施例中，步骤204具体包括：步骤204-1：身份认证服务器将查询令牌是否有效请求中的令牌与保存的令牌进行匹配，如匹配成功则执行步骤204-2，如匹配失败则无效；步骤204-2：身份认证服务器判断令牌是否在有效期内，是则有效，否则无效；步骤205：密钥管理服务器判断令牌是否有效，是则根据用户属性信息查找第三密钥，使用预设密钥对第三密钥加密得到第三加密信息，发送第三加密信息和用户属性信息给第
一分布式终端，记录令牌和第三加密信息，否则生成提示用户登录响应给第一分布式终端，执行步骤207；可选的，在本实施例中，步骤205中如用户属性信息为多个，未检索到某一用户属性信息对应的密钥时则生成密钥，使用预设密钥对多个密钥加密得到第三加密信息；步骤206：第一分布式终端判断是否接收到第三加密信息和用户属性信息，是则根据预设密钥对第三加密信息解密得到第三密钥，否则提示用户登录，执行步骤207；可选的，在本实施例中，如用户属性信息为多个，则根据预设密钥对第三加密信息解密得到多个密钥，将用户属性信息和密钥一一对应保存；步骤207：当第一分布式终端接收到用户触发时，发送登录请求给应用服务器；步骤208：应用服务器接收登录请求，根据预先注册的应用信息返回重定向url给第一分布式终端；步骤209：第一分布式终端接收重定向url，发送授权认证请求给身份认证服务器；步骤210：身份认证服务器接收授权认证请求，发送认证界面响应给第一分布式终端；步骤211：第一分布式终端接收用户输入的用户名和密码，组成认证请求，发送认证请求给身份认证服务器；步骤212：身份认证服务器接收认证请求，根据认证请求进行身份认证，认证成功则生成令牌并保存，设置令牌有效期，根据令牌组成通过的认证响应，发送通过的认证响应给应用服务器，认证失败则发送未通过的认证响应给应用服务器；步骤213：应用服务器转发认证响应给第一分布式终端；步骤214：第一分布式终端接收认证响应，判断认证响应中是否包含令牌，是则保存令牌，否则提示用户登录，执行步骤207；可选的，在本实施例中，还包括：步骤a1：企业管理员生成初始化密钥请求，发送初始化密钥请求给密钥管理服务器；步骤a2：密钥管理服务器生成第三密钥和启用密钥指令，发送启用密钥指令给所有分布式终端；可选的，在本实施例中，还包括通信过程：步骤d1：第一分布式终端使用第三密钥对传输信息进行加密得到第三密文，根据第一分布式终端的用户标识、第一分布式终端用户属性信息、第二分布式终端的用户标识和第三密文组成实时通信消息，发送实时通信消息给应用服务器；步骤d2：应用服务器接收实时通信消息并保存，根据实时通信消息中的第二分布式终端的用户标识发送实时通信消息第二分布式终端；步骤d3：第二分布式终端接收实时通信消息，根据实时通信消息中的第一分布式终端属性信息检索密钥，根据检索到的密钥对实时通信消息中的第三密文进行解密，如解密后的消息为可显示的字符，则显示，如解密后的消息为不可显示的字符，则提示用户更新密钥，当接收到用户的触发后，发送包含用户标识和令牌的获取密钥请求给密钥管理服务器；可选的，在本实施例中，还包括密钥更新过程，包括：步骤m1：企业管理员生成密钥更新请求，发送密钥更新请求给密钥管理服务器；步骤m2：密钥管理服务器生成第四密钥并保存，生成更新密钥命令，发送更新密钥命令给所有分布式终端；
步骤m3：第一分布式终端接收到更新密钥命令时，根据预存的令牌和用户标识生成获取密钥请求，发送获取密钥请求给密钥管理服务器；步骤m4：密钥管理服务器接收获取密钥请求，根据获取密钥请求中的令牌和用户标识组成查询令牌是否有效请求，发送查询令牌是否有效请求给身份认证服务器；步骤m5：身份认证服务器接收查询令牌是否有效请求，根据查询令牌是否有效请求中的用户标识判断用户是否已登录，是则执行步骤m6，否则发送发送提示用户登录响应给第一分布式终端；步骤m6：身份认证服务器判断令牌是否有效，是则检索用户属性信息，发送令牌有效标识和用户属性信息给密钥管理服务器，否则发送令牌无效标识给密钥管理服务器；步骤m7：密钥管理服务器判断令牌是否有效，是则使用预设密钥对第四密钥进行加密得到第四加密信息，发送第四加密信息和用户属性信息给第一分布式终端，否则发送提示用户登录响应给第一分布式终端；可选的，在本实施例中，如用户属性信息为多个，未检索到某一用户属性信息对应的密钥时则生成密钥，使用预设密钥对多个密钥加密得到第四加密信息；步骤m8：第一分布式终端判断是否接收到第四加密信息和用户属性信息，是则使用预设密钥对第四加密信息解密得到第四密钥，将第四密钥与用户属性信息对应保存，否则提示用户登录；可选的，在本实施例中，如用户属性信息为多个，则根据预设密钥对第二加密信息解密得到多个密钥，将用户属性信息和密钥一一对应保存。
[0020]
实施例四本发明实施例四提供一种实时通信的分布式密钥分发系统，如图1所示，包括：分布式终端、密钥管理服务器和应用服务器；密钥管理服务器包括：第一接收发送模块11，用于当接收到分布式终端发送的获取密钥请求时，发送包含从获取密钥请求中得到的用户标识和令牌的查询令牌是否有效请求给应用服务器；第一接收判断模块12，用于当接收到应用服务器发送的第一响应信息时，根据第一响应信息判断令牌是否有效，是则触发第一检索发送模块13，否则触发第一发送模块14；第一检索发送模块13，用于根据第一响应信息中的用户属性信息检索第一密钥，使用预设密钥对第一密钥加密得到第一加密信息，发送第一加密信息和用户属性信息给分布式终端；第一发送模块14，用于发送提示用户登录响应给分布式终端；应用服务器包括：第二接收判断模块21，用于当接收到密钥管理服务器发送的查询令牌是否有效请求时，判断查询令牌是否有效请求是否满足第一预设条件，是则触发第二检索发送模块22，否则触发第二发送模块23；第二检索发送模块22，用于检索用户属性信息，将令牌有效标识和用户属性信息组成第一响应信息并发送给密钥管理服务器；第二发送模块23，用于将令牌无效标识组成第一响应信息并发送给密钥管理服务器；接收认证模块24，用于当接收到分布式终端发送的登录请求时，进行身份认证，认证成
功则触发生成发送模块25，认证失败则触发第二发送模块23；生成发送模块25，用于将对应的用户设为已登录状态，生成令牌并保存，设置令牌有效期，根据令牌组成通过的认证响应，发送通过的认证响应给分布式终端；第二发送模块23，还用于发送未通过的认证响应给分布式终端；分布式终端包括：第一判断模块31，用于判断令牌是否存在，是则触发生成发送模块32，否则提示用户登录，触发第二接收发送模块33；生成发送模块32，用于根据令牌和用户标识生成获取密钥请求，发送获取密钥请求给密钥管理服务器；第二接收发送模块33，用于当接收到用户触发时，发送登录请求给应用服务器；接收保存模块34，用于当接收到密钥管理服务器发送的第一加密信息和用户属性信息时，使用预设密钥对第一加密信息解密得到第一密钥，将第一密钥与用户属性信息对应保存。
[0021]
可选的，在本实施例中，用户属性信息为多个，第一密钥为多个。
[0022]
可选的，在本实施例中，第二接收判断模块21具体包括：第一判断子模块，用于判断查询令牌是否有效请求中的用户标识是否为已登录用户，是则触发第二判断子模块，否则发送提示用户登录响应给分布式终端；第二判断子模块，用于判断查询令牌是否有效请求中的令牌是否有效；检索发送子模块，用于当第二判断子模块判断查询令牌是否有效请求中的令牌有效时，检索用户属性信息，将令牌有效标识和用户属性信息组成第一响应信息并发送给密钥管理服务器；组成发送子模块，用于当第二判断子模块判断查询令牌是否有效请求中的令牌无效时，将令牌无效标识组成第一响应信息并发送给密钥管理服务器。
[0023]
可选的，在本实施例中，第二判断子模块具体包括：第一判断单元，用于将查询令牌是否有效请求中的令牌与保存的令牌进行匹配，如匹配成功则触发第二判断单元，如匹配失败则无效；第二判断单元，用于判断令牌是否在有效期内，是则有效，否则无效。
[0024]
可选的，在本实施例中，应用服务器还包括第三接收发送模块，分布式终端还包括第四接收发送模块；第三接收发送模块，用于当接收到分布式终端发送的登录请求时，发送认证界面响应给分布式终端；第四接收发送模块，用于当接收到认证界面响应时，提示用户输入用户标识和密码，根据用户输入的用户标识和密码组成认证请求，发送认证请求给应用服务器。
[0025]
可选的，在本实施例中，分布式终端还包括第三接收判断模块；第三接收判断模块，用于当接收到应用服务器发送的认证响应时，判断认证响应是否包含令牌，是则保存令牌，否则提示用户重新登录。
[0026]
可选的，在本实施例中，分布式终端还包括加密发送模块和接收解密模块，应用服务器还包括接收转发模块；加密发送模块，用于当发送实时通信消息时，使用第一密钥对传输信息进行加密得到
第一密文，根据发送者的用户标识、发送者用户属性信息、接收者的用户标识和第一密文组成实时通信消息，发送实时通信消息给应用服务器；接收解密模块，用于当接收到应用服务器发送的实时通信消息时，根据实时通信消息中的发送者用户属性信息检索密钥，根据检索到的密钥对实时通信消息中的第一密文进行解密；如果解密后的消息为可显示的字符，则显示；如解密后的消息为不可显示的字符，则提示用户更新密钥；接收转发模块，用于当接收到所述分布式终端发送的实时通信消息时，根据实时通信消息中的接收者的用户标识转发实时通信消息给相应的分布式终端。
[0027]
可选的，在本实施例中，分布式终端还包括第五接收发送模块；第五接收发送模块，用于当接收到用户的触发后，发送包含用户标识和令牌的获取密钥请求给密钥管理服务器。
[0028]
可选的，在本实施例中，密钥管理服务器还包括第六接收发送模块；第六接收发送模块，用于当接收到企业管理员发送的密钥更新请求时，生成第二密钥并保存，生成更新密钥命令，发送更新密钥命令给所有分布式终端。
[0029]
可选的，在本实施例中，密钥管理服务器还包括记录模块；记录模块，用于记录令牌和第一加密信息。
[0030]
可选的，本实施例中，系统包括一个密钥管理服务器、多个应用服务器和多个客户端；相应地，获取密钥请求中还包括客户端软件信息，密钥管理服务器接收到获取密钥请求时根据客户端软件信息确定要查询的应用服务器。
[0031]
以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明公开的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。