即时消息的传送方法、系统及wapi终端的制作方法
专利名称:即时消息的传送方法、系统及wapi终端的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种即时消息的传送方
法、系乡克及WAPI乡冬端。
背景技术:
无线局i或网(Wireless Local Area Network,简称为WLAN )最 初4吏用的有线等效力口密(Wired Equivalent Privacy,简称为WEP ) 安全机制已被证实不具备等效于有线的安全性,这给WLAN带来了 巨大的安全隐患。
我国在制定WLAN国家标准的过禾呈中,采用了无线局域网i^ "i正和4呆密基石出结构(WLAN Authentication Privacy Infrastructure,简 称为WAPI)才几制来^^f气IEEE 802.11安全方案。WAPI通过^>钥体 系的椭圓曲线迪菲-赫尔曼的密钥协商协议(Elliptic Curve Diffie-Hellman,筒称为ECDH)实现终端证书与接入点(Access Point,简称为AP)证书的验证和会话密钥的协商。WAPI在数据链 路层上保证终端与AP之间的数据保密传输,防止对WLAN的诸如 中间人攻击、重放攻击、冒名顶替攻击等攻击行为。
IP多力某体子系统(IP Multimedia Subsystem,简称为IMS)的 即时消息(Instant Massage,简称为IM )业务允许用户以4妄近实时 的方式向其它用户发送消息。通信的内容可以包括文本消息、HTML 页面、图片、歌曲文件、 一见频剪辑和其它普通文件,并且,即时消息还可以用于交换敏感信息,例如个人隐私资料、公司保密信息、 银行账号信息、以及其它金融交易信息等。
IM业务需要确保交换信息的完整性和保密性,了解通信对端的 真实身份和允许某些情况下的匿名通信。数字签名方法能够有效地 对即时消息通信对端进行身份认证,保护消息传输过程中的完整性 和防止通信对端的4氐赖。
但是,相关技术中缺少在WAPI安全机制下安全、完整、简单 i也传送IM的解决方案。
发明内容
考虑到相关技术中不能够基于WAPI安全机制的安全、完整、 简单地传送即时消息的问题而提出本发明,为此,本发明的主要目 的在于提供一种即时消息的传送方法、系统及WAPI终端,以解决 相关技术中存在的上述问题至少之一 。
为了实现上述目的,根据本发明的一个发面,提供了一种即时 消息的传送方法,用于在第一 WAPI终端与第二 WAPI纟冬端之间传 送即时消息。
根据本发明的即时消息的传送方法包括在第一 WAPI终端与 第二 WAPI终端接入IMS核心网后,第一 WAPI终端对待发送的即 时消息进行哈希运算,得到第一运算结果;第一WAPI终端利用其 私钥并使用椭圓曲线加密算法对第 一运算结果进行加密,得到第二 运算结果;第一 WAPI终端将未加密的即时消息、第二运算结果共 同发送至第二 WAPI终端。
优选地,第一 WAPI终端/第二 WAPI终端4妄入IMS核心网具体 包括第一 WAPI终端/第二 WAPI终端与其接入点和鉴权服务器进行三元对等认证,在通过认证的情况下,第一 WAPI终端/第二 WAPI 终端4姿入IMS核心网。
优选地,在第一 WAPI终端首次向第二 WAPI终端发送即时消 息时,该方法还包括在第一 WAPI终端通过三元对等认证后,第 一 WAPI终端将其公钥证书附加在首次发送的即时消息之后发送至 第二 WAPI终端。
优选地,该方法还包括第二 WAPI终端接收到来自第一 WAPI 终端的未加密的即时消息、第二运算结果;第二 WAPI终端对4妄收 到的未加密的即时消息进行哈希运算,得到第三运算结果;第二 WAPI终端利用预先获取的第一 WAPI终端的公钥解密第二运算结 果,得到第四运算结果;第二 WAPI终端将第三运算结果与第四运 算结果进行比较,并根据比较的结果判断即时消息的完整性。
优选地,在第二 WAPI终端4妄收到来自第一 WAPI终端的未加 密的即时消息、第二运算结果之后,该方法还包括第二WAPI终 端通过-验i正中心-睑i正第一 WAPI终端的i正书,并在'验i正通过的情况 下,执行利用第一 WAPI终端的公钥解密第二运算结果的处理。
优选地,第二 WAPI终端根据第三运算结果与第四运算结果的 比较结果进行判断的处理包括在第三运算结果与第四运算结果相 同的情况下,判断接收的即时消息为完整的;在第三运算结果与第 四运算结果不同的情况下,判断4妄收的即时消息为不完整的。
优选地,第一 WAPI终端将未加密的即时消息和第二运算结果 共同发送至第二 WAPI终端的处理包括第一 WAPI终端将第二运 算结果按照安全多功能互联网配件扩展协议规定的消息格式进行封 装,并将第二运算结果附加在未加密的即时消息之后组成消息体;将消息体与未加密的即时消息的消息头共同发送至第二 WAPI终端。
才艮据本发明的另一方面,还提供了一种WAPI终端。
才艮据本发明的WAPI终端包括第 一运算才莫块,用于对待发送 的即时消息进行哈希运算,得到第一运算结果;第二运算模块,用 于利用WAPI终端的私钥并4吏用椭圓曲线加密算法对第一运算结果 进行加密,得到第二运算结果;发送^t块,用于将未加密的即时消 息和第二运算结果共同发送至其它WAPI终端。
优选地,该终端进一步包括接收才莫块,用于接收到来自其它 WAPI终端的未加密的即时消息、被加密且经过哈希运算的即时消 息;第三运算模块,用于对接收模块接收到的未加密的即时消息进 行哈希运算,得到第三运算结果;解密模块,用于利用预先获取的 其它WAPI终端的公钥解密接收模块接收的被加密且经过哈希运算 的即时消息,得到第四运算结果;判断模块,用于将第三运算结果 与第四运算结果进行比较,并根据比较的结果判断来自其它终端的 即时消息的完整性。
根据本发明的另 一方面,还提供了 一种即时消息的传送系统, 用于实现第一 WAPI终端与第二 WAPI终端之间的即时消息传送。
才艮据本发明的即时消息的传送系统包括
第一WAPI终端,其包括第一运算冲莫块,用于对待发送的即 时消息进行哈希运算,得到第一运算结果;第二运算模块,用于利 用WAPI终端的私钥并^f吏用椭圆曲线加密算法对第一运算结果进4亍 加密,得到第二运算结果;发送模块,用于将未加密的未加密的即 时消息和笫二运算结果共同发送至第二 WAPI终端;第二WAPI终端,其包括接收模块,用于接收来自发送模块 的未加密的即时消息、第二运算结果;第三运算模块,用于对接收 模块接收到的未加密的即时消息进行哈希运算,得到第三运算结果; 解密模块,用于利用预先获取的第一 WAPI终端的公钥解密接收模 块接收的第二运算结果,得到第四运算结果;判断模块,用于将第 三运算结果与第四运算结果进行比较,并根据比较的结果判断即时 消息的完整性。
〃借助于本发明的上述才支术方案至少之一,通过4吏用椭圓曲线加 密算法实现对即时消息的签名,能够为通信双方提供防篡改、抗抵 赖的安全即时消息通信才几制。
此处所说明的附图用来才是供对本发明的进一步理解,构成本申 请的一部分,本发明的示意性实施例及其说明用于解释本发明,并 不构成对本发明的不当限定。在附图中
图1是根据本发明实施例的WAPI终端的结构图2是才艮据本发明实施例的WAPI终端的框图3是根据本发明实施例的WAPI终端的优选结构的框图4是4艮据本发明实施例的即时消息的传送系统的框图5是根据本发明实施例的即时消息的传送方法的流程图6是根据本发明实施例的即时消息的传送方法的优选处理方 案的流程图。
具体实施例方式
功能概述
本发明的主要思想是结合底层WAPI提供的安全措施,使用采用了公钥基础设施的数字签名算法和WAPI安全框架,并利用WAPI纟是供的椭圆曲线加密方式实现对即时消息的签名,为通信双方提供了 一种身份认证和防篡改、抗抵赖的安全即时消息通信的技术方案。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。如果不冲突,本发明实施例及实施例中特征可以相互组合。
装置实施例
图1是才艮据本发明实施例的WAPI终端的结构图。如图1所示,WAPI终端分为操作系统层、无线网络管理层、即时消息业务层。
其中,操作系统层包括WLAN硬件/驱动层、WAPI安全框架、TCP/IP协议栈、椭圆曲线加密系统,操作系统层主要实现对WLAN硬件设备的驱动和WAPI安全方式所用到的加密硬件的驱动,对上层提供WAPI的应用编程接口 ;
无线网络管理层包括接入管理^^莫块、证书管理^^莫块、证书状态模块、WAPI接口 ,无线网络管理层负责终端与AP之间建立关联,向证书机构申请用于WAPI安全的证书,保存证书对应的私钥,验证证书是否吊销、按证书可区分主体名字保存证书机构证书;
即时消息业务层包括用于实现发送即时消息的会话初始协议(Session Initiation Protocol,简称为SIP )才莫块和消息会话中继协i义(Message Session Relay Protocol,简称为MSRP )才莫块、IM聊天界面、呈现信息。SIP协议模块和MSRP协议模块,即时消息业务层负责即时消息的组包和数字签名,利用无线网络管理层提供的证书管理接口验证通信对端证书的是否受信任,消息内容在传输过程中是否被修改,并通知用户数字签名验证结果。
根据本发明实施例,提供了 一种WAPI终端。
图2是才艮据本发明实施例的WAPI终端的框图,图3是4艮据本发明实施例的WAPI终端的优选结构的框图。
如图2所示,4艮据本发明实施例的WAPI终端包括
第一运算模块110,用于对待发送的即时消息进行哈希运算,得到第一运算结果;
第二运算模块120,连接至第一运算模块110,用于利用WAPI终端的私钥并4吏用椭圓曲线加密算法对第 一运算结果进4于加密,得到第二运算结果;
发送模块130,连接至第二运算模块120,用于将未加密的即时消息和第二运算结果共同发送至其它WAPI终端。
如图3所示,在图2所示的结构的基础上,才艮据本发明实施例的WAPI终端还可以包括
接收模块240,用于接收来自其它WAPI终端的未加密的即时消息、被加密且经过哈希运算的即时消息;
第三运算模块250,连接至接收模块240,用于对接收模块240
接收到的未加密的即时消息进行哈希运算,得到第三运算结果;解密模块260,连接至接收模块240,用于利用预先获取的其它WAPI终端的公钥解密接收才莫块240接收的被加密且经过哈希运算的即时消息,得到第四运算结果;
判断模块270,分别连接至第三运算模块250和解密模块260,用于将第三运算模块250得到的第三运算结果与解密模块260得到的第四运算结果进行比较,并根据比较的结果判断来自其它终端的即时消息的完整性。
系乡克实施例
根据本发明实施例,还提供了一种即时消息的传送系统,用于实现WAPI终端之间的即时消息传送。
图4是才艮据本发明实施例的即时消息的传送系统的框图,如图4所示,该系统包4舌第一 WAPI终端IO和第二 WAPI终端20,其
中
第一 WAPI终端10具体包括
第一运算模块12,用于对待发送的即时消息进行哈希运算,得到第一运算结果;
第二运算模块14,连接至第一运算模块12,用于利用WAPI终端的私钥并使用椭圓曲线加密算法对第 一运算结果进行加密,得到第二运算结果;
发送模块16,连接至第二运算模块14,用于将未加密的即时消息和第二运算结果共同发送至第二 WAPI终端。
第二 WAPI终端20具体包括接收模块22,用于接收来自发送模块16的未加密的即时消息、 第二运算结果;
第三运算模块24,连接至接收模块22,用于对接收模块22接 收到的未加密的即时消息进行哈希运算,得到第三运算结果;
解密模块26,连接至接收模块22,用于利用预先获取的第一 WAPI终端的公钥解密接收模块22接收的第二运算结果,得到第三 运算结果;
判断模块28,分别连接至第三运算模块24和解密模块26,用 于将第三运算模块24得到的第三运算结果与解密模块26得到的第 三运算结果进行比较,并根据比较的结果判断即时消息的完整性。
在上述的处理中,可以采用椭圆曲线数字签名算法对即时消息 进4亍加密,该椭圓曲线凄t字签名算法具有如下优点
1、 安全性高,160位的椭圓曲线密钥跟1024位的RSA具有相 同的加密强度,210位的椭圆曲线密码系统与2048位RSA具有相 同的安全强度;
2、 计算量小、处理速度快,适用于存储容量和处理能力受限的 嵌入式系统;
3 、网络带宽要求较低,椭圆曲线密码系统对于加解密长消息时, 与RSA、 DSA需要相同的网络带宽,但对于短消息,只需要很小的 带宽,因此对于即时消息这样的IMS业务,大部分都是较短的消息, 能够为用户和网络运营商节省网络带宽成本。方法实施例
根据本发明实施例,还提供了一种即时消息的传送方法,用于
在第一 WAPI终端与第二 WAPI终端之间传送即时消息。该传送方 法可以用于实现上述装置实施例所^是供的WAPI终端以及上述系统 实施例所^是供的传送系统。
首先,第一 WAPI终端在发起即时消息业务时,通过\\^ 1安 全方式完成第一 WAPI终端、4妄入点和鉴4又J良务器之间的三元对等 认证,建立与AP之间的关联,可以开始进行正常的分组网络通信, 并通过SIP协_汉的REGISTER i青求注册到本地IMS核心网。
第二 WAPI终端也同样进行上述的如第一 WAPI终端的处理, 此处不赘述。在第二 WAPI终端成功的登录IMS核心网后,第一 WAPI终端通过订阅第二 WAPI终端的呈现信息,获知第二 WAPI 终端在线的消息,可以开始进行即时消息通信。
第一 WAPI终端可以先通过SIP OPTIONS i青求查询第二 WAPI 终端支持的签名算法。
图5是才艮据本发明实施例的即时消息的安全传送方法的流程 图。需要^兌明的是,在以下方法中描述的步艰《可以在诸如一组计算 机可执行指令的计算机系统中执行,并且,虽然在图5中示出了逻 辑顺序,^f旦是在某些情况下,可以以不同于此处的顺序扭^亍所示出 或描述的步骤。如图5所示,该方法包括以下处理其特征在于, 方法包4舌
步骤S502,在第一 WAPI终端与第二 WAPI终端4妻入IMS核 心网后,第一 WAPI终端对待发送的即时消息进行哈希运算,得到 第一运算结果;步骤S504,第一 WAPI终端利用其私钥并4吏用椭圓曲线加密算 法对第一运算结果进行加密,得到第二运算结果;
步骤S506,第一 WAPI终端将未加密的即时消息、第二运算结 果共同发送至第二 WAPI终端。
下面详细描述上述各处理的细节。
图6是根据本发明实施例的即时消息的安全传送方法的优选处 理方案的流程图。下面将WAPI终端简称为终端,如图6所示,该 流禾呈包4舌以下处理
5601, 终端采用证书方式的WAPI机制,与接入点进行相互认 证并进行关联,从而建立终端与IM服务器的IP通道。
5602, 用户启动IM聊天界面,由SIP协议模块发起IMS注册 流程,收到服务器的200OK响应后,用户可以开始使用即时消息应 用。
5603, 用户发起IMS注册成功后,需要订阅联系人的呈现信息, 当对端i殳备(第二 WAPI终端)也成功注册到IMS核心网后,终端 能够-接收到它的上线通知,这样就可以与对端进行即时消息交换过程。
5604, 终端输入要与对端通信的内容,可以是文本消息或者文 件,如果其中包含一些重要信息或者敏感信息的内容,那么可以启 用安全机制,进行数字签名。
S605 ,用户发起即时消息时,由SIP协议才莫块组建SIP即时消 息请求,在头部字段Content-Type中包含即时消息的封装格式,例如Message/CPIM或者Text/Plain。如果要传输文件的话,可能需要 建立一个SIP会话进行协商。
S606,终端对消息内容进行哈希算法,例如SHA-1,对即时消 息内容进行哈希操作,需要对先前的即时消息请求进行扩展,添加 一个数字签名消息段,与原始消息内容用特定符号隔开。
上述步艰《S601 — S606只于应图5中的步艰《S502。
5607, 终端调用WAPI提供的椭圓曲线加密算法(EC),利用 i正书对应的私钥对上一步骤的p合希运算结果进行加密(也就是签 名),添加一个消息段,在消息段中将头部字段Content-Type指定为
"multipart/signed",用头部字4爻Content-Disposition才旨示通4言方^口 何处理此消息分段。
5608, 终端将签名的结果4姿照安全多功能互联网配件扩展 (Secure/Multipurpose Internet Mail Extensions,简称为S/MIME )协
议规定的消息格式封装,将其附加到即时消息请求的后面,发送至 对端设备。
上述步骤S607 - S608对应图5中的步骤S504。
5609, 如果是第一次与对端设备进行通信,终端需要将公钥证 书也按S/MIME协议规定的证书编码方式附加到即时消息请求的消 息体后。例如可以在SIP Message i青求中附加用户的7>钥_〖正书, 再添加一个消息段,此消息段中头部字段Content-Type指定为
"Application/pkcs7-mime",消息体为WAPI安全机制所使用的证 书。
S610,终端将以上待发送的即时消息(未加密)、经过加密的 即时消息、爿^钥i正书等三部分内容组成SIP的即时消息i青求的消息
17体,与原有的即时消息头部一起发送至IMS核心网。如果对端设备 能够成功验证数字签名,那么带数字签名功能的即时消息通信系统 可以正常运4亍。
上述步骤S610对应图5中的步骤S506。 即时消息。
在进4于上述处理之后,即时消息通信对端(第二 WAPI终端) 接收到带签名的即时消息后,执行验证是否存在用户的证书信息、 证书截止日期是否有效、证书的颁发机构是否为所信任的证书机构、 证书的可选主体名称是否与此消息的头部字4殳FROM的地址记录 一致等处理。
如果未通过验证,通知用户是否接受有关证书验证的结果。如 果验证通过的话,用证书中的公钥对签名消息段进行解密,对消息 内容进行哈希运算,将两者的结果进行比较,如果一致,则证实此 消息确实是证书对应的用户发送的、而且没有被别人篡改。之后, 可以将此用户的证书加入自己的密钥环中,以i正书主体名称作为索 引进行存储以便后续通信使用。
综上所述,借助于本发明的上述技术方案,通过使用椭圆曲线 加密算法实现对即时消息的签名,能够以更加简单的方式为通信双 方提供防篡改、抗抵赖的安全即时消息通信机制。
显然,本领域的技术人员应该明白,上述的本发明的各模块或 各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算 装置上,或者分布在多个计算装置所组成的网络上,可选地,它们 可以用计算装置可执4于的程序代码来实现,从而,可以将它们存储
在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模 块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述〗义为本发明的优选实施例而已,并不用于限制本发明, 对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1. 一种即时消息的传送方法,用于在第一无线局域网认证和保密基础结构终端WAPI终端与第二WAPI终端之间传送即时消息,其特征在于,所述方法包括在所述第一WAPI终端与所述第二WAPI终端接入IP多媒体子系统IMS核心网后,所述第一WAPI终端对待发送的所述即时消息进行哈希运算,得到第一运算结果;所述第一WAPI终端利用其私钥并使用椭圆曲线加密算法对所述第一运算结果进行加密,得到第二运算结果;所述第一WAPI终端将未加密的所述即时消息和所述第二运算结果共同发送至所述第二WAPI终端。
2. 根据权利要求1所述的方法,其特征在于,所述第一WAPI终端/所述第二 WAPI终端接入所述IMS核心网具体包括所述第一 WAPI终端/所述第二 WAPI终端与其4妾入点和鉴权服务器进行三元对等认证,在通过认证的情况下,所述第一 WAPI终端/所述第二 WAPI终端4矣入所述IMS核心网。
3. 根据权利要求2所述的方法,其特征在于,在所述第一WAPI终端首次向所述第二 WAPI终端发送所述即时消息时,所述方法还包括在所述第一 WAPI纟冬端通过所述三元^j"等iU正后,所述第一 WAPI终端将其公钥证书附加在首次发送的所述即时消息之后发送至所述第二 WAPI终端。
4. 才艮据权利要求1所述的方法,其特征在于,还包括所述第二 WAPI终端接收到来自所述第一 WAPI终端的未加密的所述即时消息、所述第二运算结果;所述第二 WAPI终端对接收到的未加密的所述即时消息进行哈希运算,得到第三运算结果;所述第二 WAPI终端利用预先获:f又的所述第一 WAPI终端的公钥解密所述第二运算结果,得到第四运算结果;所述第二 WAPI终端将所述第三运算结果与所述第四运算结果进行比较,并4艮据比较的结果判断所述即时消息的完整性。
5. 根据权利要求4所述的方法,其特征在于,在所述第二WAPI终端接收到来自所述第一 WAPI终端的未加密的所述即时消息、所述第二运算结果之后,所述方法还包括所述第二 WAPI终端通过-验证中心-验证所述第一 WAPI终端的证书,并在验证通过的情况下,执行利用所述第一 WAPI终端的7>钥解密所述第二运算结果的处理。
6. 根据权利要求4所述的方法,其特征在于,所述第二WAPI终端根据所述第三运算结果与所述第四运算结果的比较结果进行判断的处理包括在所述第三运算结果与所述第四运算结果相同的情况下,判断接收的所述即时消息为完整的;在所述第三运算结果与所述第四运算结果不同的情况下,判断接收的所述即时消息为不完整的。
7. 根据权利要求1所述的方法,其特征在于,所述第一 WAPI终端将未加密的所述即时消息和所述第二运算结果共同发送至所述第二 WAPI终端的处理包括所述第一 WAPI终端将所述第二运算结果按照安全多功能互联网配件扩展协议规定的消息格式进行封装,并将所述第二运算结果附加在未加密的所述即时消息之后组成消息体;将所述消息体与所述未加密的所述即时消息的消息头共同发送至所述第二 WAPI终端。
8. —种WAPI终端,其iNM正在于,包括第一运算模块,用于对待发送的所述即时消息进行哈希运算,得到第一运算结果;第二运算才莫块,用于利用所述WAPI终端的私钥并4吏用椭圆曲线加密算法对所述第 一运算结果进行加密,得到第二运算结果;发送模块,用于将未加密的所述即时消息和所述第二运算结果共同发送至其它WAPI终端。
9. 根据权利要求8所述的终端,其特征在于,进一步包括4妾收才莫块,用于4妄收来自其它WAPI终端的未加密的所述即时消息、被加密且经过p合希运算的所述即时消息;第三运算模块,用于对所述接收模块接收到的未加密的所述即时消息进行哈希运算,得到第三运算结果;解密才莫块,用于利用预先获取的所述其它WAPI终端的7>钥解密所述接收模块接收的被加密且经过哈希运算的所述即时消息,得到第四运算结果;判断模块,用于将所述第三运算结果与所述第四运算结果进行比较,并一艮据比较的结果判断来自所述其它终端的所述即时消息的完整性。
10.—种即时消息的传送系统,用于实现第一 WAPI终端与第二WAPI终端之间的即时消息传送,其特征在于,所述系统包括所述第一WAPI终端,其包括第一运算模块,用于对待发送的所述即时消息进行哈希运算,得到第一运算结果;第二运算才莫块,用于利用所述WAPI终端的私钥并使用椭圓曲线加密算法对所述第 一运算结果进行加密,得到第二运算结果;发送模块,用于将未加密的所述未加密的所述即时消息和所述第二运算结果共同发送至所述第二 WAPI终端;所述第二WAPI终端,其包括接收模块,用于接收来自所述发送模块的未加密的所述即时消息、所述第二运算结果;第三运算模块,用于对所述接收模块接收到的未加密的所述即时消息进行哈希运算,得到第三运算结果;解密模块,用于利用预先获取的所述第一 WAPI终端的公钥解密所述接收模块接收的所述第二运算结果,得到第四运算结果;判断模块,用于将所述第三运算结果与所述第四运算结果进行比较,并根据比较的结果判断所述即时消息的完整性。
全文摘要
本发明公开了一种即时消息的传送方法、系统及WAPI终端,其中,该方法包括在第一WAPI终端与第二WAPI终端接入IMS核心网后,第一WAPI终端对待发送的即时消息进行哈希运算,得到第一运算结果;第一WAPI终端利用其私钥并使用椭圆曲线加密算法对第一运算结果进行加密,得到第二运算结果;第一WAPI终端将未加密的即时消息、第二运算结果共同发送至第二WAPI终端。通过本发明,能够提供防篡改、抗抵赖的安全即时消息通信机制。
文档编号H04W12/02GK101483863SQ20091000624
公开日2009年7月15日 申请日期2009年2月6日 优先权日2009年2月6日
发明者商泽利, 施元庆, 梁洁辉 申请人:中兴通讯股份有限公司
技术领域:
本发明涉及通信领域,具体而言,涉及一种即时消息的传送方
法、系乡克及WAPI乡冬端。
背景技术:
无线局i或网(Wireless Local Area Network,简称为WLAN )最 初4吏用的有线等效力口密(Wired Equivalent Privacy,简称为WEP ) 安全机制已被证实不具备等效于有线的安全性,这给WLAN带来了 巨大的安全隐患。
我国在制定WLAN国家标准的过禾呈中,采用了无线局域网i^ "i正和4呆密基石出结构(WLAN Authentication Privacy Infrastructure,简 称为WAPI)才几制来^^f气IEEE 802.11安全方案。WAPI通过^>钥体 系的椭圓曲线迪菲-赫尔曼的密钥协商协议(Elliptic Curve Diffie-Hellman,筒称为ECDH)实现终端证书与接入点(Access Point,简称为AP)证书的验证和会话密钥的协商。WAPI在数据链 路层上保证终端与AP之间的数据保密传输,防止对WLAN的诸如 中间人攻击、重放攻击、冒名顶替攻击等攻击行为。
IP多力某体子系统(IP Multimedia Subsystem,简称为IMS)的 即时消息(Instant Massage,简称为IM )业务允许用户以4妄近实时 的方式向其它用户发送消息。通信的内容可以包括文本消息、HTML 页面、图片、歌曲文件、 一见频剪辑和其它普通文件,并且,即时消息还可以用于交换敏感信息,例如个人隐私资料、公司保密信息、 银行账号信息、以及其它金融交易信息等。
IM业务需要确保交换信息的完整性和保密性,了解通信对端的 真实身份和允许某些情况下的匿名通信。数字签名方法能够有效地 对即时消息通信对端进行身份认证,保护消息传输过程中的完整性 和防止通信对端的4氐赖。
但是,相关技术中缺少在WAPI安全机制下安全、完整、简单 i也传送IM的解决方案。
发明内容
考虑到相关技术中不能够基于WAPI安全机制的安全、完整、 简单地传送即时消息的问题而提出本发明,为此,本发明的主要目 的在于提供一种即时消息的传送方法、系统及WAPI终端,以解决 相关技术中存在的上述问题至少之一 。
为了实现上述目的,根据本发明的一个发面,提供了一种即时 消息的传送方法,用于在第一 WAPI终端与第二 WAPI纟冬端之间传 送即时消息。
根据本发明的即时消息的传送方法包括在第一 WAPI终端与 第二 WAPI终端接入IMS核心网后,第一 WAPI终端对待发送的即 时消息进行哈希运算,得到第一运算结果;第一WAPI终端利用其 私钥并使用椭圓曲线加密算法对第 一运算结果进行加密,得到第二 运算结果;第一 WAPI终端将未加密的即时消息、第二运算结果共 同发送至第二 WAPI终端。
优选地,第一 WAPI终端/第二 WAPI终端4妄入IMS核心网具体 包括第一 WAPI终端/第二 WAPI终端与其接入点和鉴权服务器进行三元对等认证,在通过认证的情况下,第一 WAPI终端/第二 WAPI 终端4姿入IMS核心网。
优选地,在第一 WAPI终端首次向第二 WAPI终端发送即时消 息时,该方法还包括在第一 WAPI终端通过三元对等认证后,第 一 WAPI终端将其公钥证书附加在首次发送的即时消息之后发送至 第二 WAPI终端。
优选地,该方法还包括第二 WAPI终端接收到来自第一 WAPI 终端的未加密的即时消息、第二运算结果;第二 WAPI终端对4妄收 到的未加密的即时消息进行哈希运算,得到第三运算结果;第二 WAPI终端利用预先获取的第一 WAPI终端的公钥解密第二运算结 果,得到第四运算结果;第二 WAPI终端将第三运算结果与第四运 算结果进行比较,并根据比较的结果判断即时消息的完整性。
优选地,在第二 WAPI终端4妄收到来自第一 WAPI终端的未加 密的即时消息、第二运算结果之后,该方法还包括第二WAPI终 端通过-验i正中心-睑i正第一 WAPI终端的i正书,并在'验i正通过的情况 下,执行利用第一 WAPI终端的公钥解密第二运算结果的处理。
优选地,第二 WAPI终端根据第三运算结果与第四运算结果的 比较结果进行判断的处理包括在第三运算结果与第四运算结果相 同的情况下,判断接收的即时消息为完整的;在第三运算结果与第 四运算结果不同的情况下,判断4妄收的即时消息为不完整的。
优选地,第一 WAPI终端将未加密的即时消息和第二运算结果 共同发送至第二 WAPI终端的处理包括第一 WAPI终端将第二运 算结果按照安全多功能互联网配件扩展协议规定的消息格式进行封 装,并将第二运算结果附加在未加密的即时消息之后组成消息体;将消息体与未加密的即时消息的消息头共同发送至第二 WAPI终端。
才艮据本发明的另一方面,还提供了一种WAPI终端。
才艮据本发明的WAPI终端包括第 一运算才莫块,用于对待发送 的即时消息进行哈希运算,得到第一运算结果;第二运算模块,用 于利用WAPI终端的私钥并4吏用椭圓曲线加密算法对第一运算结果 进行加密,得到第二运算结果;发送^t块,用于将未加密的即时消 息和第二运算结果共同发送至其它WAPI终端。
优选地,该终端进一步包括接收才莫块,用于接收到来自其它 WAPI终端的未加密的即时消息、被加密且经过哈希运算的即时消 息;第三运算模块,用于对接收模块接收到的未加密的即时消息进 行哈希运算,得到第三运算结果;解密模块,用于利用预先获取的 其它WAPI终端的公钥解密接收模块接收的被加密且经过哈希运算 的即时消息,得到第四运算结果;判断模块,用于将第三运算结果 与第四运算结果进行比较,并根据比较的结果判断来自其它终端的 即时消息的完整性。
根据本发明的另 一方面,还提供了 一种即时消息的传送系统, 用于实现第一 WAPI终端与第二 WAPI终端之间的即时消息传送。
才艮据本发明的即时消息的传送系统包括
第一WAPI终端,其包括第一运算冲莫块,用于对待发送的即 时消息进行哈希运算,得到第一运算结果;第二运算模块,用于利 用WAPI终端的私钥并^f吏用椭圆曲线加密算法对第一运算结果进4亍 加密,得到第二运算结果;发送模块,用于将未加密的未加密的即 时消息和笫二运算结果共同发送至第二 WAPI终端;第二WAPI终端,其包括接收模块,用于接收来自发送模块 的未加密的即时消息、第二运算结果;第三运算模块,用于对接收 模块接收到的未加密的即时消息进行哈希运算,得到第三运算结果; 解密模块,用于利用预先获取的第一 WAPI终端的公钥解密接收模 块接收的第二运算结果,得到第四运算结果;判断模块,用于将第 三运算结果与第四运算结果进行比较,并根据比较的结果判断即时 消息的完整性。
〃借助于本发明的上述才支术方案至少之一,通过4吏用椭圓曲线加 密算法实现对即时消息的签名,能够为通信双方提供防篡改、抗抵 赖的安全即时消息通信才几制。
此处所说明的附图用来才是供对本发明的进一步理解,构成本申 请的一部分,本发明的示意性实施例及其说明用于解释本发明,并 不构成对本发明的不当限定。在附图中
图1是根据本发明实施例的WAPI终端的结构图2是才艮据本发明实施例的WAPI终端的框图3是根据本发明实施例的WAPI终端的优选结构的框图4是4艮据本发明实施例的即时消息的传送系统的框图5是根据本发明实施例的即时消息的传送方法的流程图6是根据本发明实施例的即时消息的传送方法的优选处理方 案的流程图。
具体实施例方式
功能概述
本发明的主要思想是结合底层WAPI提供的安全措施,使用采用了公钥基础设施的数字签名算法和WAPI安全框架,并利用WAPI纟是供的椭圆曲线加密方式实现对即时消息的签名,为通信双方提供了 一种身份认证和防篡改、抗抵赖的安全即时消息通信的技术方案。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。如果不冲突,本发明实施例及实施例中特征可以相互组合。
装置实施例
图1是才艮据本发明实施例的WAPI终端的结构图。如图1所示,WAPI终端分为操作系统层、无线网络管理层、即时消息业务层。
其中,操作系统层包括WLAN硬件/驱动层、WAPI安全框架、TCP/IP协议栈、椭圆曲线加密系统,操作系统层主要实现对WLAN硬件设备的驱动和WAPI安全方式所用到的加密硬件的驱动,对上层提供WAPI的应用编程接口 ;
无线网络管理层包括接入管理^^莫块、证书管理^^莫块、证书状态模块、WAPI接口 ,无线网络管理层负责终端与AP之间建立关联,向证书机构申请用于WAPI安全的证书,保存证书对应的私钥,验证证书是否吊销、按证书可区分主体名字保存证书机构证书;
即时消息业务层包括用于实现发送即时消息的会话初始协议(Session Initiation Protocol,简称为SIP )才莫块和消息会话中继协i义(Message Session Relay Protocol,简称为MSRP )才莫块、IM聊天界面、呈现信息。SIP协议模块和MSRP协议模块,即时消息业务层负责即时消息的组包和数字签名,利用无线网络管理层提供的证书管理接口验证通信对端证书的是否受信任,消息内容在传输过程中是否被修改,并通知用户数字签名验证结果。
根据本发明实施例,提供了 一种WAPI终端。
图2是才艮据本发明实施例的WAPI终端的框图,图3是4艮据本发明实施例的WAPI终端的优选结构的框图。
如图2所示,4艮据本发明实施例的WAPI终端包括
第一运算模块110,用于对待发送的即时消息进行哈希运算,得到第一运算结果;
第二运算模块120,连接至第一运算模块110,用于利用WAPI终端的私钥并4吏用椭圓曲线加密算法对第 一运算结果进4于加密,得到第二运算结果;
发送模块130,连接至第二运算模块120,用于将未加密的即时消息和第二运算结果共同发送至其它WAPI终端。
如图3所示,在图2所示的结构的基础上,才艮据本发明实施例的WAPI终端还可以包括
接收模块240,用于接收来自其它WAPI终端的未加密的即时消息、被加密且经过哈希运算的即时消息;
第三运算模块250,连接至接收模块240,用于对接收模块240
接收到的未加密的即时消息进行哈希运算,得到第三运算结果;解密模块260,连接至接收模块240,用于利用预先获取的其它WAPI终端的公钥解密接收才莫块240接收的被加密且经过哈希运算的即时消息,得到第四运算结果;
判断模块270,分别连接至第三运算模块250和解密模块260,用于将第三运算模块250得到的第三运算结果与解密模块260得到的第四运算结果进行比较,并根据比较的结果判断来自其它终端的即时消息的完整性。
系乡克实施例
根据本发明实施例,还提供了一种即时消息的传送系统,用于实现WAPI终端之间的即时消息传送。
图4是才艮据本发明实施例的即时消息的传送系统的框图,如图4所示,该系统包4舌第一 WAPI终端IO和第二 WAPI终端20,其
中
第一 WAPI终端10具体包括
第一运算模块12,用于对待发送的即时消息进行哈希运算,得到第一运算结果;
第二运算模块14,连接至第一运算模块12,用于利用WAPI终端的私钥并使用椭圓曲线加密算法对第 一运算结果进行加密,得到第二运算结果;
发送模块16,连接至第二运算模块14,用于将未加密的即时消息和第二运算结果共同发送至第二 WAPI终端。
第二 WAPI终端20具体包括接收模块22,用于接收来自发送模块16的未加密的即时消息、 第二运算结果;
第三运算模块24,连接至接收模块22,用于对接收模块22接 收到的未加密的即时消息进行哈希运算,得到第三运算结果;
解密模块26,连接至接收模块22,用于利用预先获取的第一 WAPI终端的公钥解密接收模块22接收的第二运算结果,得到第三 运算结果;
判断模块28,分别连接至第三运算模块24和解密模块26,用 于将第三运算模块24得到的第三运算结果与解密模块26得到的第 三运算结果进行比较,并根据比较的结果判断即时消息的完整性。
在上述的处理中,可以采用椭圆曲线数字签名算法对即时消息 进4亍加密,该椭圓曲线凄t字签名算法具有如下优点
1、 安全性高,160位的椭圓曲线密钥跟1024位的RSA具有相 同的加密强度,210位的椭圆曲线密码系统与2048位RSA具有相 同的安全强度;
2、 计算量小、处理速度快,适用于存储容量和处理能力受限的 嵌入式系统;
3 、网络带宽要求较低,椭圆曲线密码系统对于加解密长消息时, 与RSA、 DSA需要相同的网络带宽,但对于短消息,只需要很小的 带宽,因此对于即时消息这样的IMS业务,大部分都是较短的消息, 能够为用户和网络运营商节省网络带宽成本。方法实施例
根据本发明实施例,还提供了一种即时消息的传送方法,用于
在第一 WAPI终端与第二 WAPI终端之间传送即时消息。该传送方 法可以用于实现上述装置实施例所^是供的WAPI终端以及上述系统 实施例所^是供的传送系统。
首先,第一 WAPI终端在发起即时消息业务时,通过\\^ 1安 全方式完成第一 WAPI终端、4妄入点和鉴4又J良务器之间的三元对等 认证,建立与AP之间的关联,可以开始进行正常的分组网络通信, 并通过SIP协_汉的REGISTER i青求注册到本地IMS核心网。
第二 WAPI终端也同样进行上述的如第一 WAPI终端的处理, 此处不赘述。在第二 WAPI终端成功的登录IMS核心网后,第一 WAPI终端通过订阅第二 WAPI终端的呈现信息,获知第二 WAPI 终端在线的消息,可以开始进行即时消息通信。
第一 WAPI终端可以先通过SIP OPTIONS i青求查询第二 WAPI 终端支持的签名算法。
图5是才艮据本发明实施例的即时消息的安全传送方法的流程 图。需要^兌明的是,在以下方法中描述的步艰《可以在诸如一组计算 机可执行指令的计算机系统中执行,并且,虽然在图5中示出了逻 辑顺序,^f旦是在某些情况下,可以以不同于此处的顺序扭^亍所示出 或描述的步骤。如图5所示,该方法包括以下处理其特征在于, 方法包4舌
步骤S502,在第一 WAPI终端与第二 WAPI终端4妻入IMS核 心网后,第一 WAPI终端对待发送的即时消息进行哈希运算,得到 第一运算结果;步骤S504,第一 WAPI终端利用其私钥并4吏用椭圓曲线加密算 法对第一运算结果进行加密,得到第二运算结果;
步骤S506,第一 WAPI终端将未加密的即时消息、第二运算结 果共同发送至第二 WAPI终端。
下面详细描述上述各处理的细节。
图6是根据本发明实施例的即时消息的安全传送方法的优选处 理方案的流程图。下面将WAPI终端简称为终端,如图6所示,该 流禾呈包4舌以下处理
5601, 终端采用证书方式的WAPI机制,与接入点进行相互认 证并进行关联,从而建立终端与IM服务器的IP通道。
5602, 用户启动IM聊天界面,由SIP协议模块发起IMS注册 流程,收到服务器的200OK响应后,用户可以开始使用即时消息应 用。
5603, 用户发起IMS注册成功后,需要订阅联系人的呈现信息, 当对端i殳备(第二 WAPI终端)也成功注册到IMS核心网后,终端 能够-接收到它的上线通知,这样就可以与对端进行即时消息交换过程。
5604, 终端输入要与对端通信的内容,可以是文本消息或者文 件,如果其中包含一些重要信息或者敏感信息的内容,那么可以启 用安全机制,进行数字签名。
S605 ,用户发起即时消息时,由SIP协议才莫块组建SIP即时消 息请求,在头部字段Content-Type中包含即时消息的封装格式,例如Message/CPIM或者Text/Plain。如果要传输文件的话,可能需要 建立一个SIP会话进行协商。
S606,终端对消息内容进行哈希算法,例如SHA-1,对即时消 息内容进行哈希操作,需要对先前的即时消息请求进行扩展,添加 一个数字签名消息段,与原始消息内容用特定符号隔开。
上述步艰《S601 — S606只于应图5中的步艰《S502。
5607, 终端调用WAPI提供的椭圓曲线加密算法(EC),利用 i正书对应的私钥对上一步骤的p合希运算结果进行加密(也就是签 名),添加一个消息段,在消息段中将头部字段Content-Type指定为
"multipart/signed",用头部字4爻Content-Disposition才旨示通4言方^口 何处理此消息分段。
5608, 终端将签名的结果4姿照安全多功能互联网配件扩展 (Secure/Multipurpose Internet Mail Extensions,简称为S/MIME )协
议规定的消息格式封装,将其附加到即时消息请求的后面,发送至 对端设备。
上述步骤S607 - S608对应图5中的步骤S504。
5609, 如果是第一次与对端设备进行通信,终端需要将公钥证 书也按S/MIME协议规定的证书编码方式附加到即时消息请求的消 息体后。例如可以在SIP Message i青求中附加用户的7>钥_〖正书, 再添加一个消息段,此消息段中头部字段Content-Type指定为
"Application/pkcs7-mime",消息体为WAPI安全机制所使用的证 书。
S610,终端将以上待发送的即时消息(未加密)、经过加密的 即时消息、爿^钥i正书等三部分内容组成SIP的即时消息i青求的消息
17体,与原有的即时消息头部一起发送至IMS核心网。如果对端设备 能够成功验证数字签名,那么带数字签名功能的即时消息通信系统 可以正常运4亍。
上述步骤S610对应图5中的步骤S506。 即时消息。
在进4于上述处理之后,即时消息通信对端(第二 WAPI终端) 接收到带签名的即时消息后,执行验证是否存在用户的证书信息、 证书截止日期是否有效、证书的颁发机构是否为所信任的证书机构、 证书的可选主体名称是否与此消息的头部字4殳FROM的地址记录 一致等处理。
如果未通过验证,通知用户是否接受有关证书验证的结果。如 果验证通过的话,用证书中的公钥对签名消息段进行解密,对消息 内容进行哈希运算,将两者的结果进行比较,如果一致,则证实此 消息确实是证书对应的用户发送的、而且没有被别人篡改。之后, 可以将此用户的证书加入自己的密钥环中,以i正书主体名称作为索 引进行存储以便后续通信使用。
综上所述,借助于本发明的上述技术方案,通过使用椭圆曲线 加密算法实现对即时消息的签名,能够以更加简单的方式为通信双 方提供防篡改、抗抵赖的安全即时消息通信机制。
显然,本领域的技术人员应该明白,上述的本发明的各模块或 各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算 装置上,或者分布在多个计算装置所组成的网络上,可选地,它们 可以用计算装置可执4于的程序代码来实现,从而,可以将它们存储
在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模 块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述〗义为本发明的优选实施例而已,并不用于限制本发明, 对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1. 一种即时消息的传送方法,用于在第一无线局域网认证和保密基础结构终端WAPI终端与第二WAPI终端之间传送即时消息,其特征在于,所述方法包括在所述第一WAPI终端与所述第二WAPI终端接入IP多媒体子系统IMS核心网后,所述第一WAPI终端对待发送的所述即时消息进行哈希运算,得到第一运算结果;所述第一WAPI终端利用其私钥并使用椭圆曲线加密算法对所述第一运算结果进行加密,得到第二运算结果;所述第一WAPI终端将未加密的所述即时消息和所述第二运算结果共同发送至所述第二WAPI终端。
2. 根据权利要求1所述的方法,其特征在于,所述第一WAPI终端/所述第二 WAPI终端接入所述IMS核心网具体包括所述第一 WAPI终端/所述第二 WAPI终端与其4妾入点和鉴权服务器进行三元对等认证,在通过认证的情况下,所述第一 WAPI终端/所述第二 WAPI终端4矣入所述IMS核心网。
3. 根据权利要求2所述的方法,其特征在于,在所述第一WAPI终端首次向所述第二 WAPI终端发送所述即时消息时,所述方法还包括在所述第一 WAPI纟冬端通过所述三元^j"等iU正后,所述第一 WAPI终端将其公钥证书附加在首次发送的所述即时消息之后发送至所述第二 WAPI终端。
4. 才艮据权利要求1所述的方法,其特征在于,还包括所述第二 WAPI终端接收到来自所述第一 WAPI终端的未加密的所述即时消息、所述第二运算结果;所述第二 WAPI终端对接收到的未加密的所述即时消息进行哈希运算,得到第三运算结果;所述第二 WAPI终端利用预先获:f又的所述第一 WAPI终端的公钥解密所述第二运算结果,得到第四运算结果;所述第二 WAPI终端将所述第三运算结果与所述第四运算结果进行比较,并4艮据比较的结果判断所述即时消息的完整性。
5. 根据权利要求4所述的方法,其特征在于,在所述第二WAPI终端接收到来自所述第一 WAPI终端的未加密的所述即时消息、所述第二运算结果之后,所述方法还包括所述第二 WAPI终端通过-验证中心-验证所述第一 WAPI终端的证书,并在验证通过的情况下,执行利用所述第一 WAPI终端的7>钥解密所述第二运算结果的处理。
6. 根据权利要求4所述的方法,其特征在于,所述第二WAPI终端根据所述第三运算结果与所述第四运算结果的比较结果进行判断的处理包括在所述第三运算结果与所述第四运算结果相同的情况下,判断接收的所述即时消息为完整的;在所述第三运算结果与所述第四运算结果不同的情况下,判断接收的所述即时消息为不完整的。
7. 根据权利要求1所述的方法,其特征在于,所述第一 WAPI终端将未加密的所述即时消息和所述第二运算结果共同发送至所述第二 WAPI终端的处理包括所述第一 WAPI终端将所述第二运算结果按照安全多功能互联网配件扩展协议规定的消息格式进行封装,并将所述第二运算结果附加在未加密的所述即时消息之后组成消息体;将所述消息体与所述未加密的所述即时消息的消息头共同发送至所述第二 WAPI终端。
8. —种WAPI终端,其iNM正在于,包括第一运算模块,用于对待发送的所述即时消息进行哈希运算,得到第一运算结果;第二运算才莫块,用于利用所述WAPI终端的私钥并4吏用椭圆曲线加密算法对所述第 一运算结果进行加密,得到第二运算结果;发送模块,用于将未加密的所述即时消息和所述第二运算结果共同发送至其它WAPI终端。
9. 根据权利要求8所述的终端,其特征在于,进一步包括4妾收才莫块,用于4妄收来自其它WAPI终端的未加密的所述即时消息、被加密且经过p合希运算的所述即时消息;第三运算模块,用于对所述接收模块接收到的未加密的所述即时消息进行哈希运算,得到第三运算结果;解密才莫块,用于利用预先获取的所述其它WAPI终端的7>钥解密所述接收模块接收的被加密且经过哈希运算的所述即时消息,得到第四运算结果;判断模块,用于将所述第三运算结果与所述第四运算结果进行比较,并一艮据比较的结果判断来自所述其它终端的所述即时消息的完整性。
10.—种即时消息的传送系统,用于实现第一 WAPI终端与第二WAPI终端之间的即时消息传送,其特征在于,所述系统包括所述第一WAPI终端,其包括第一运算模块,用于对待发送的所述即时消息进行哈希运算,得到第一运算结果;第二运算才莫块,用于利用所述WAPI终端的私钥并使用椭圓曲线加密算法对所述第 一运算结果进行加密,得到第二运算结果;发送模块,用于将未加密的所述未加密的所述即时消息和所述第二运算结果共同发送至所述第二 WAPI终端;所述第二WAPI终端,其包括接收模块,用于接收来自所述发送模块的未加密的所述即时消息、所述第二运算结果;第三运算模块,用于对所述接收模块接收到的未加密的所述即时消息进行哈希运算,得到第三运算结果;解密模块,用于利用预先获取的所述第一 WAPI终端的公钥解密所述接收模块接收的所述第二运算结果,得到第四运算结果;判断模块,用于将所述第三运算结果与所述第四运算结果进行比较,并根据比较的结果判断所述即时消息的完整性。
全文摘要
本发明公开了一种即时消息的传送方法、系统及WAPI终端,其中,该方法包括在第一WAPI终端与第二WAPI终端接入IMS核心网后,第一WAPI终端对待发送的即时消息进行哈希运算,得到第一运算结果;第一WAPI终端利用其私钥并使用椭圆曲线加密算法对第一运算结果进行加密,得到第二运算结果;第一WAPI终端将未加密的即时消息、第二运算结果共同发送至第二WAPI终端。通过本发明,能够提供防篡改、抗抵赖的安全即时消息通信机制。
文档编号H04W12/02GK101483863SQ20091000624
公开日2009年7月15日 申请日期2009年2月6日 优先权日2009年2月6日
发明者商泽利, 施元庆, 梁洁辉 申请人:中兴通讯股份有限公司
最新回复(0)