本發(fā)明涉及即時通信系統(tǒng)領域，具體涉及一種基于標識密碼系統(tǒng)的即時通信系統(tǒng)部署方法。

背景技術(shù)：

移動即時通信技術(shù)及其用途的飛速發(fā)展。自智能手機發(fā)明以來，移動即時通信迅速發(fā)展，已成為最不可或缺的通信工具。其不但使用頻率高，且被開發(fā)出各種用途，成功用于各種不同領域。

各種企業(yè)的員工、政府公務員以及其他各種組織團隊都越來越地通過移動IM(Instant Message)交流、辦公及商務。其使用方便和不受時間地形限制的特性，極大地方便了員工之間的溝通，幫助企業(yè)提高效率；其速度快、通信代價小的特點，則在商務活動中，幫助用戶快速響應，減少時間成本，這對于變化莫測的市場是不可缺少的。

信任根與信息云分離、安全、信息管控的需求。首先，目前用于身份認證的信任根掌握在服務提供商手中，這不利于企業(yè)對內(nèi)部人員信息安全的保證，已成為即時通信進一步融入辦公活動的障礙。另一方面，搭建完整的專有IM網(wǎng)絡又費時費力。因此，一種將用于身份注冊的信任根和用于消息存儲轉(zhuǎn)發(fā)的信息云分開的即時消息系統(tǒng)的部署方案，成為迫切需求。其次，即時消息的作用越來越大，其傳遞的消息的價值也更多，一旦泄露，將對使用戶造成難以想象的損失。因而，保證即時通信網(wǎng)絡的安全性也極為重要。最后，企業(yè)IM網(wǎng)絡中的消息大多關系企業(yè)機密，任意傳播極可能傷害企業(yè)利益。因此，企業(yè)對于IM網(wǎng)絡中的消息的管控也有極大的需求。

目前即時通信系統(tǒng)的注冊部分和消息部分都不可能分離，這是“中心信任”式系統(tǒng)的弊端。同樣，這種傳統(tǒng)即時消息系統(tǒng)中，加密消息、消息認證、信息管控，都基于中心可信賴服務器，由服務提供商所掌握。為解決企業(yè)對這部分功能的需求，“263云通信”提出私有云部署，但其需要搭建獨立的完整IM系統(tǒng)，而這是一筆不小的開銷。

因此本發(fā)明提出一種基于標識密碼系統(tǒng)的即時通信系統(tǒng)的部署方法，利用信任根和信息云相分離的特點，可有效解決這些問題。

技術(shù)實現(xiàn)要素：

為了克服現(xiàn)有技術(shù)中存在的缺陷，本發(fā)明基于標識密碼的即時通信系統(tǒng)，將即時通信系統(tǒng)的注冊子系統(tǒng)與通信子系統(tǒng)分開部署，以滿足不同情形的使用；而多種部署方式下均可使用一個客戶端，大大減小使用難度。

本發(fā)明的具體技術(shù)方案為：

一種基于標識密碼系統(tǒng)的即時通信系統(tǒng)部署方法，該部署方法分為以下三種模式：

模式一)包括公共信任根和公共信息云的架構(gòu)；

模式二)包括私有信任根和私有信息服務器的架構(gòu)；

模式三)包括私有信任根和公共信息云的架構(gòu)。

作為本發(fā)明的優(yōu)選技術(shù)方案，所述模式一)包括公共信任根和公共信息云的架構(gòu)的部署包括如下步驟：

11)公共信任根和信息云均部署于公共云，公共信任根初始化IM網(wǎng)絡的基本參數(shù)：PKG選擇某條特定的橢圓曲線，并由其上的點構(gòu)成q階加法循環(huán)群G₁，其中q為一大素數(shù)，生成元為P；隨機選擇作為PKG的主密鑰，計算P_pub＝sP；再根據(jù)群G₁選擇雙線性映射e，使得e:G₁×G₁→G₂，G₂為q階乘法群；e:G₁×G₁→G₂為雙線性映射，則對任意Q,R∈G₁，a,b∈Z，有e(aQ,bR)＝e(Q,R)^ab；最后選擇相關哈希函數(shù)H₁:{0,1}^*→G₁，H₂:G₂→{0,1}ⁿ，n為密鑰長度；完成初始化后，公布系統(tǒng)的公共參數(shù)列表＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞；

12)通信雙方A和B首先在公共信任根進行注冊進入IM網(wǎng)絡，獲取公共信任根的基本公共參數(shù)＜G₁,G₂,P,P_pub,H₁,H₂,e＞以及各自的自認證公私鑰。A和B的實名標識即作為各自在系統(tǒng)中的自認證公鑰，A和B的自認證私鑰S_A＝sH₁(A)和S_B＝sH₁(B)由公共信任根生成并安全分發(fā)；

13)通信時，通信雙方A和B通過內(nèi)嵌消息的二次交互密鑰協(xié)商方法得到端到端安全會話密鑰ks。

14)通信發(fā)起方A將消息用密鑰ks進行端到端加密后，與目的主機標識一起發(fā)送給信息云；

15)信息云根據(jù)目的主機標識，將消息推送給目的主機；

16)目的主機接收到消息后，使用和源主機相同的密鑰協(xié)商算法得到對應的端到端加密密鑰，解讀消息，完成通信。

作為本發(fā)明的優(yōu)選技術(shù)方案，所述模式二)包括私有信任根和私有信息服務器的架構(gòu)的部署包括如下步驟：

21)私有信任根和私有信息存儲轉(zhuǎn)發(fā)服務器均部署于私有云，私有信任根初始化IM網(wǎng)絡的基本參數(shù)：PKG選擇某條特定的橢圓曲線，并由其上的點構(gòu)成q階加法循環(huán)群G₁，其中q為一大素數(shù)，生成元為P；隨機選擇作為PKG的主密鑰，計算P_pub＝sP；再根據(jù)群G₁選擇雙線性映射e，使得e:G₁×G₁→G₂，G₂為q階乘法群；e:G₁×G₁→G₂為雙線性映射，則對任意Q,R∈G₁，a,b∈Z，有e(aQ,bR)＝e(Q,R)^ab；最后選擇相關哈希函數(shù)H₁:{0,1}^*→G₁，H₂:G₂→{0,1}ⁿ，n為密鑰長度；完成初始化后，公布系統(tǒng)的公共參數(shù)列表＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞；

22)通信雙方A和B首先在私有信任根進行注冊進入IM網(wǎng)絡，獲取私有信任根的基本公共參數(shù)＜G₁,G₂,P,P_pub,H₁,H₂,e＞以及各自的自認證公私鑰。A和B的實名標識即作為各自在系統(tǒng)中的自認證公鑰，A和B的自認證私鑰S_A＝sH₁(A)和S_B＝sH₁(B)由私有信任根生成并安全分發(fā)；

23)通信時，通信雙方A和B通過內(nèi)嵌消息的二次交互密鑰協(xié)商方法得到端到端安全會話密鑰ks。

24)通信發(fā)起方A將消息用密鑰ks進行端到端加密后，與目的主機標識一起發(fā)送給私有信息存儲轉(zhuǎn)發(fā)服務器；

25)私有信息存儲轉(zhuǎn)發(fā)服務器根據(jù)目的主機標識，將消息推送給目的主機；

26)目的主機接收到消息后，使用和源主機相同的密鑰協(xié)商算法得到對應的端到端加密密鑰，解讀消息，完成通信；

作為本發(fā)明的優(yōu)選技術(shù)方案，所述模式三)包括私有信任根和公共信息云架構(gòu)的部署包括如下步驟：

31)私有信任根部署于私有云，信息云部署于公共云。私有信任根初始化IM網(wǎng)絡的基本參數(shù)：PKG選擇某條特定的橢圓曲線，并由其上的點構(gòu)成q階加法循環(huán)群G₁，其中q為一大素數(shù)，生成元為P；隨機選擇作為PKG的主密鑰，計算P_pub＝sP；再根據(jù)群G₁選擇雙線性映射e，使得e:G₁×G₁→G₂，G₂為q階乘法群；e:G₁×G₁→G₂為雙線性映射，則對任意Q,R∈G₁，a,b∈Z，有e(aQ,bR)＝e(Q,R)^ab；最后選擇相關哈希函數(shù)H₁:{0,1}^*→G₁，H₂:G₂→{0,1}ⁿ，n為密鑰長度；完成初始化后，公布系統(tǒng)的公共參數(shù)列表＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞；

32)通信雙方A和B首先在私有信任根進行注冊進入IM網(wǎng)絡，獲取公共信任根的基本公共參數(shù)＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞以及各自的自認證公私鑰。A和B的實名標識即作為各自在系統(tǒng)中的自認證公鑰，A和B的自認證私鑰S_A＝sH₁(A)和S_B＝sH₁(B)由公共信任根生成并安全分發(fā)；

33)通信時，通信雙方A和B通過內(nèi)嵌消息的二次交互密鑰協(xié)商方法得到端到端安全會話密鑰ks。

34)通信發(fā)起方A將消息用密鑰ks進行端到端加密后，與目的主機標識一起發(fā)送給信息云；

35)信息云根據(jù)目的主機標識，將消息推送給目的主機；

36)目的主機接收到消息后，使用和源主機相同的密鑰協(xié)商算法得到對應的端到端加密密鑰，解讀消息，完成通信。

作為本發(fā)明的優(yōu)選技術(shù)方案，所述安全會話密鑰ks包括完全端到端安全的會話密鑰或部分端到端安全的會話密鑰。

與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果在于：

1)可以靈活部署，以適應不同需求：全公共部署可適應一般用途，全私有部署保證絕對安全，半公半私在保證安全的同時降低部署難度，移動端私有信任根為私人提供更安全的小型IM網(wǎng)絡；

2)用戶不用更換客戶端，可同時與不同IM網(wǎng)絡的用戶通信；

3)端到端安全，可以保證消息的機密性，適應辦公需求；

4)私有信任根對自己的IM網(wǎng)絡可以進行監(jiān)管，更加安全。

附圖說明

圖1是包括公共信任根和公共信息云的架構(gòu)的部署圖；

圖2是包括私有信任根和公共信息云的架構(gòu)的部署圖；

圖3是包括私有信任根和公共信息云的架構(gòu)的部署圖。

具體實施方式

以下結(jié)合說明書附圖和具體優(yōu)選的實施例對本發(fā)明作進一步描述，但并不因此而限制本發(fā)明的保護范圍。

本發(fā)明的目的在于設計一種基于標識密碼即時消息系統(tǒng)的部署方法，其可靈活部署適應不同需求，同時兼顧安全和方便。

以下結(jié)合企業(yè)Company(以下簡稱C)在服務提供商Provider(以下簡稱P)提供了公共信任根Trust Public(以下簡稱TPup)和公共信息云Messaging Public(以下簡稱MPup)下靈活部署IM網(wǎng)絡為自己的企業(yè)員工Alice(以下簡稱A)和Bob(以下簡稱B)提供即時通信服務。

本實施例中，TPup和MPup搭建與公共云上，可為任意用戶提供消息服務。

如圖1-3所示，本例中C可以選擇下述三種模式的框架進行部署，包括：

模式一)包括公共信任根和公共信息云的架構(gòu)，企業(yè)C直接使用P提供的即時消息服務。企業(yè)員工A和B均從P架設的公共信任根TPup獲取公共信任根基本參數(shù)＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞及各自的認證公私鑰。

其中，PKG選擇某條特定的橢圓曲線，并由其上的點構(gòu)成q階加法循環(huán)群G₁，其中q為一大素數(shù)，生成元為P；隨機選擇作為PKG的主密鑰，計算P_pub＝sP；再根據(jù)群G₁選擇雙線性映射e，使得e:G₁×G₁→G₂，G₂為q階乘法群；e:G₁×G₁→G₂為雙線性映射，則對任意Q,R∈G₁，a,b∈Z，有e(aQ,bR)＝e(Q,R)^ab；最后選擇相關哈希函數(shù)H₁:{0,1}^*→G₁，H₂:G₂→{0,1}ⁿ，n為密鑰長度；完成初始化后，公布系統(tǒng)的公共參數(shù)列表＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞；

A和B的實名標識即作為各自在系統(tǒng)中的自認證公鑰，A和B的自認證私鑰S_A＝sH₁(A)和S_B＝sH₁(B)由公共信任根生成并安全分發(fā)。

通信時，通信雙方A和B通過內(nèi)嵌消息的二次交互密鑰協(xié)商方法得到端到端安全會話密鑰ks。

○B(yǎng)lake-Wilson等在《Key agreement protocols and their security analysis》中提出的密鑰協(xié)商協(xié)議的安全屬性：

①已知會話密鑰安全性。已知舊的會話密鑰不會影響其他會話密鑰安全性。

②前向安全性。如果一方或多方參與實體的長期私鑰泄露，攻擊者不能有效計算舊的會話密鑰，稱之為部分前向安全性；如果所有參與實體的長期私鑰泄露，攻擊者仍然不能有效計算舊的會話密鑰，稱之為完美前向安全性。

安全會話密鑰ks可分為兩種：一種是完全端到端安全的會話密鑰，會話密鑰只有通信雙方可知，任何第三方甚至公共信任根也無法獲知；另一種是部分端到端安全的會話密鑰，會話密鑰只有通信雙方可知，但公共信任根能夠獲得，除信任根外的任何第三方無法獲知。

通信發(fā)起方A將消息用密鑰ks進行端到端加密后，與目的主機標識B一起，發(fā)送給公共信息云MPup。

MPup根據(jù)目的主機標識B，將消息推送給B。

B接收到消息后，使用和源主機相同的密鑰協(xié)商算法得到對應的端到端加密密鑰，解讀消息，完成通信。

模式二)私有信任根+私有信息服務器架構(gòu)，企業(yè)C搭建私有信任根TrustPrivate(以下簡稱TPri)和私有信息服務器Messaing Private(以下簡稱MPri)。TPri初始化IM網(wǎng)絡的基本參數(shù)：主密鑰和公共參數(shù)＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞。

其中，PKG選擇某條特定的橢圓曲線，并由其上的點構(gòu)成q階加法循環(huán)群G₁，其中q為一大素數(shù)，生成元為P；隨機選擇作為PKG的主密鑰，計算P_pub＝sP；再根據(jù)群G₁選擇雙線性映射e，使得e:G₁×G₁→G₂，G₂為q階乘法群；e:G₁×G₁→G₂為雙線性映射，則對任意Q,R∈G₁，a,b∈Z，有e(aQ,bR)＝e(Q,R)^ab；最后選擇相關哈希函數(shù)H₁:{0,1}^*→G₁，H₂:G₂→{0,1}ⁿ，n為密鑰長度；完成初始化后，公布系統(tǒng)的公共參數(shù)列表＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞；

A和B從TPri獲取私有信任根的基本公共參數(shù)＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞以及各自的自認證公私鑰。A和B的實名標識即作為各自在系統(tǒng)中的自認證公鑰，A和B的自認證私鑰S_A＝sH₁(A)和S_B＝sH₁(B)S_A＝sH₁(B)由私有信任根生成并安全分發(fā)。

通信時，通信雙方A和B通過內(nèi)嵌消息的二次交互密鑰協(xié)商方法得到端到端安全會話密鑰ks。

安全會話密鑰ks可分為兩種：一種是完全端到端安全的會話密鑰，會話密鑰只有通信雙方可知，任何第三方甚至公共信任根也無法獲知；另一種是部分端到端安全的會話密鑰，會話密鑰只有通信雙方可知，但私有信任根能夠獲得，除信任根外的任何第三方無法獲知。

通信發(fā)起方A將消息用密鑰ks進行端到端加密后，與目的主機標識B一起，發(fā)送給私有信息存儲轉(zhuǎn)發(fā)服務器MPri。

私有信息存儲轉(zhuǎn)發(fā)服務器MPri根據(jù)目的主機標識，將消息推送給B。

B接收到消息后，使用和源主機相同的密鑰協(xié)商算法得到對應的端到端加密密鑰，解讀消息，完成通信。

模式三)包括私有信任根和公共信息云架構(gòu)，企業(yè)C搭建私有信任根Trust Private(以下簡稱TPri)，初始化IM網(wǎng)絡的基本參數(shù)：主密鑰和公共參數(shù)＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞。初始化IM網(wǎng)絡的基本參數(shù)：主密鑰和公共參數(shù)＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞。

其中，PKG選擇某條特定的橢圓曲線，并由其上的點構(gòu)成q階加法循環(huán)群G₁，其中q為一大素數(shù)，生成元為P；隨機選擇作為PKG的主密鑰，計算P_pub＝sP；再根據(jù)群G₁選擇雙線性映射e，使得e:G₁×G₁→G₂，G₂為q階乘法群；e:G₁×G₁→G₂為雙線性映射，則對任意Q,R∈G₁，a,b∈Z，有e(aQ,bR)＝e(Q,R)^ab；最后選擇相關哈希函數(shù)H₁:{0,1}^*→G₁，H₂:G₂→{0,1}ⁿ，n為密鑰長度；完成初始化后，公布系統(tǒng)的公共參數(shù)列表＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞；

A和B從TPri獲取私有信任根的基本公共參數(shù)＜q,G₁,G₂,e,n,P,P_pub,H₁,H₂＞以及各自的自認證公私鑰。A和B的實名標識即作為各自在系統(tǒng)中的自認證公鑰，A和B的自認證私鑰S_A＝sH₁(A)和S_B＝sH₁(B)由私有信任根生成并安全分發(fā)。

通信時，A和B使用公共信息云MPup進行通信。A和B通過內(nèi)嵌消息的二次交互密鑰協(xié)商方法得到端到端安全會話密鑰ks。

安全會話密鑰ks可分為兩種：一種是完全端到端安全的會話密鑰，會話密鑰只有通信雙方可知，任何第三方甚至公共信任根也無法獲知；另一種是部分端到端安全的會話密鑰，會話密鑰只有通信雙方可知，但私有信任根能夠獲得，除信任根外的任何第三方無法獲知；

通信發(fā)起方A將消息用密鑰ks進行端到端加密后，與目的主機標識B一起，發(fā)送給服務提供商P所架設的公共信息云MPup。

信息云MPup根據(jù)目的主機標識，將消息推送給B。

B接收到消息后，使用和源主機相同的密鑰協(xié)商算法得到對應的端到端加密密鑰，解讀消息，完成通信。

以上僅是本發(fā)明的優(yōu)選實施例，并非對本發(fā)明作任何形式上的限制。雖然本發(fā)明已以優(yōu)選實施例揭露如上，然而并非用以限定本發(fā)明。任何熟悉本領域的技術(shù)人員，在不脫離本發(fā)明技術(shù)方案范圍的情況下，都可利用上述揭示的技術(shù)內(nèi)容對本發(fā)明技術(shù)方案做出許多可能的變動和修飾，或修改為等同變化的等效實施例。因此，凡是未脫離本發(fā)明技術(shù)方案的內(nèi)容，依據(jù)本發(fā)明技術(shù)實質(zhì)對以上實施例所做的任何簡單修改、等同變化及修飾，均應落在本發(fā)明技術(shù)方案保護的范圍內(nèi)。