一种基于标识的安全即时通信系统架构.pdf

本发明公开了一种基于标识的安全即时通信系统架构，包括IM用户、IM服务器和IM路由器。其中，每个IM用户具有全网唯一的标识UID，且该UID包含该用户注册的IM服务器的标识HID信息；每台IM服务器具有全网唯一的标识HID，它们相互连接形成即时通信服务网络，为IM用户提供安全的即时通信服务；每台IM路由器具有全网唯一的标识RID，它们构建路由服务网络，为IM服务器的网络连接进行安全的路由寻址。本发明的有益效果是：提供了一种全新的安全即时通信网络架构，用户既可以设置私有的服务器，又能够利用公共的服务器，还可以实现私有与公共服务器的安全互联，从而满足用户在不同网络环境下的安全即时通信需求。

权利要求书1.  一种基于标识的安全即时通信系统架构，包括IM用户、IM服务器和IM路由器，其特征在于：每个IM用户具有全网唯一的标识UID，且该标识UID包含该用户注册的IM服务器的标识HID信息，2个或多个IM用户能够通过IM服务器进行安全的即时通信；每台IM服务器具有全网唯一的标识HID，参与点对点或组群通信的IM用户所在的IM服务器相互连接形成即时通信服务网络，为IM用户提供安全的即时通信服务；每台IM路由器具有全网唯一的标识RID，管理一至多台IM服务器，IM路由器之间形成路由服务网络，基于IM服务器的标识HID，为IM服务器之间的网络连接提供安全的路由寻址服务。2.  根据权利要求1所述的即时通信系统架构，其特征在于，IM用户的唯一标识UID由用户名称和用户所注册的IM服务器的标识HID组成，IM用户的其他信息包括：昵称、真实姓名、性别、生日和二维码等。3.  根据权利要求1所述的即时通信系统架构，其特征在于，IM服务器的配置信息包括：名称、标识HID、描述、网络地址、状态、所属IM路由器的标识RID和连接关系表等。4.  根据权利要求1或3所述的IM服务器，其特征在于，每台IM服务器的连接关系表中，存储了与这台IM服务器有过网络连接的其他IM服务器的名称、服务器标识HID、网络地址和状态等信息；对于IM路由器返回的新IM服务器的名称和网络地址等信息，在验证新IM服务器为正常工作状态之后，相关信息会被添加到连接关系表中。5.  根据权利要求4所述的连接关系表，其特征在于，某个IM用户发起点对点或组群通信，如果会话相关的IM用户所在的IM服务器已经在发起方IM用户所在IM服务器的连接关系表中，则各IM服务器直接建立网络连接，无需经过IM路由器。6.  根据权利要求1所述的即时通信系统架构，其特征在于，IM路由器的配置信息包括：名称、标识RID、描述、网络地址、状态、所管理的IM服务器HID列表、邻居IM路由器标识RID列表和路由表等。7.  根据权利要求1或6所述的IM路由器，其特征在于，某个IM用户发起点对点或组群通信，如果有会话相关的IM用户所在的IM服务器不在发起方IM用户所在IM服务器的连接关系表中，则该服务器向所属IM路由器提交目标IM服务器的标识HID并发出路由寻址请求；然后IM路由器根据路由寻址策略，查找目标IM服务器的网络地址，找到后返回给该服务器。8.  根据权利要求1或6或7所述的IM路由器，其特征在于，它为IM服务器进行路由寻址的策略为最快速度优先策略或最短路径优先策略。9.  根据权利要求1所述的安全的即时通信，其特征在于，IM用户至IM服务器、IM服务器与IM服务器之间的网络连接，IM用户之间的网络会话数据，都是受到加密保护的。10.  根据权利要求1所述的安全的路由寻址服务，其特征在于，IM路由器之间的邻居关系确定，以及IM路由器与其所管理的IM服务器，均需要相互进行身份认证。

说明书一种基于标识的安全即时通信系统架构
技术领域
本发明属于信息技术领域，涉及如何在互联网、企业网和云计算环境下建立安全的即时通信系统，特别是涉及为个人、社团、企业或组织提供一套跨越不同网络的安全的即时通信系统。
背景技术
即时通信（Instant Messaging，缩写为IM）是手机、平板电脑和计算机用户之间利用网络进行即时消息的发送与接收过程，能够传送文字、图片、声音和视频等信息，是互联网非常普遍和受欢迎的网络应用之一。典型的IM应用有微信、QQ、Skype、腾讯通和亿企通等，其中，前三者面向公众用户，后两者面向企业或组织用户。
利用腾讯通软件，企业或组织能够很方便地搭建自己内部的即时通信系统，但却没有考虑不同企业或组织、企业或组织与公共即时通信的互联互通和信息安全问题。亿企通则是一个针对小型组织或企业的即时通信服务平台，所有的企业或组织会按照预定义的规则被分配到不同的即时通信服务器上；不同服务器之间的连接通过主用、备份两台控制器来进行管理；这样，企业或组织内部、不同企业或组织之间的用户，都能够在这个平台上进行即时通信。这些系统主要还存在以下两点不足：
一、不同企业或组织搭建的即时通信服务器，以及与公共的即时通信服务器，即使使用的是同一种即时通信系统，仍然不能做到互联互通，这使得组群通信的灵活性大大降低，严重影响了企业或组织的工作协同效率。如果使用的是不同的即时通信系统，它们之间就更难以互联互通，虽然出现了一些协议转换网关技术，可用来解决这个问题，但却大大增加了系统实现的复杂度，至今没能达到实际应用的目标。
二、现有的互联网公共即时通信系统，没有为用户提供安全的信息存储和传输服务；企业版的即时通信系统虽然可为用户提供安全的信息传输，但却没有提供本地信息的安全存储；而且，在企业或组织用户与公众用户、不同企业或组织用户之间进行点对点或组群通信时，无法进行安全的信息传输和存储。
发明内容
本发明的目的是提供一种在互联网、企业内网和云计算平台等复杂网络环境下进行互联互通和安全的即时通信系统架构，由“路由+服务+用户”三层结构组成，可建立灵活的、安全可控的即时通信体系。
本发明的一种基于标识的安全即时通信系统架构，包括IM用户、IM服务器和IM路由器。具体如下：
（1）IM用户。每个IM用户具有全网唯一的标识UID，且该标识UID包含该用户注册的IM服务器的标识HID信息，2个或多个IM用户能够通过IM服务器进行安全的即时通信；标识UID由用户名称和用户所注册的IM服务器的标识HID组成，IM用户的其他信息包括：昵称、真实姓名、性别、生日和二维码等。
（2）IM服务器。每台IM服务器具有全网唯一的标识HID，参与点对点或组群通信的IM用户所在的IM服务器相互连接形成即时通信服务网络，为IM用户提供安全的即时通信服务；IM服务器的配置信息包括：名称、标识HID、描述、网络地址、状态、所属IM路由器的标识RID和连接关系表等。
（3）IM路由器。每台IM路由器具有全网唯一的标识RID，管理一至多台IM服务器，IM路由器之间形成路由服务网络，基于IM服务器的标识HID，为IM服务器之间的网络连接提供安全的路由寻址服务；IM路由器的配置信息包括：名称、标识RID、描述、网络地址、状态、所管理的IM服务器HID列表、邻居IM路由器标识RID列表和路由表等。
IM服务器的连接关系表的作用是：在每台IM服务器的连接关系表中，存储了与这台IM服务器有过网络连接的其他IM服务器的名称、服务器标识HID、网络地址和状态等信息；对于IM路由器返回的新IM服务器的名称和网络地址等信息，在验证新IM服务器为正常工作状态之后，相关信息会被添加到连接关系表中。
如果某个IM用户发起点对点或组群通信，会话相关的IM用户所在的IM服务器已经在发起方IM用户所在IM服务器的连接关系表中，则各IM服务器直接建立网络连接，无需经过IM路由器。
如果某个IM用户发起点对点或组群通信，有会话相关的IM用户所在的IM服务器不在发起方IM用户所在IM服务器的连接关系表中，则该服务器向所属IM路由器提交目标IM服务器的标识HID并发出路由寻址请求；然后IM路由器根据路由寻址策略，查找目标IM服务器的网络地址，找到后返回给该服务器。
在本发明所提出的基于标识的安全即时通信系统架构中，IM路由器为IM服务器进行路由寻址的策略为最快速度优先策略或最短路径优先策略。
本发明的基于标识的安全即时通信系统架构，还进一步包含信息安全模块，IM用户至IM服务器、IM服务器与IM服务器之间的网络连接，IM用户之间的网络会话数据，都是受到加密保护的。而且，IM路由器还提供安全的路由寻址服务，IM路由器之间的邻居关系确定，以及IM路由器与其所管理的IM服务器，均需要相互进行身份认证。
附图说明
图1为本发明的安全即时通信系统架构的结构框图。
图2为本发明的安全即时通信系统架构的连接部署示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1是本发明的即时通信系统架构的结构框图。该系统采用三层结构，底层为用户层，是即时通信服务的使用者；中间层为服务层，为用户层提供即时通信服务；顶层为路由层，为服务层提供路由寻址等服务。
一、用户层
即使用即时通信服务的用户所在的层次。用户向某台IM服务器注册成功后，就获得一个即时通信账号，成为IM用户。用户可以在不同的IM服务器上申请注册不同的账号，成为不同的IM用户，在一台或多台手机、平板电脑或个人计算机终端上登录使用。
每个IM用户具有全网唯一的标识UID，且该标识UID包含该用户注册的IM服务器的标识HID信息，2个或多个IM用户能够通过IM服务器进行安全的即时通信；标识UID由用户名称和用户所注册的IM服务器的标识HID组成，IM用户的其他信息包括：昵称、真实姓名、性别、生日和二维码等。
二、服务层
即IM服务器所在的层次。每台IM服务器具有全网唯一的标识HID，参与点对点或组群通信的IM用户所在的IM服务器相互连接形成即时通信服务网络，为IM用户提供安全的即时通信服务；IM服务器的配置信息包括：名称、标识HID、描述、网络地址、状态、所属IM路由器的标识RID和连接关系表等。
IM服务器集访问点、即时通信应用和数据库于一体，可以是实体机和虚拟机。具备通信信息的加密存储和访问控制功能。IM用户至IM服务器、IM服务器与IM服务器之间的网络连接，IM用户之间的网络会话数据，都是受到加密保护的。在进行路由查找和管理操作之前，IM服务器会与所属IM路由器进行双向身份认证。
三、路由层
即IM路由器所在的层次。每台IM路由器具有全网唯一的标识RID，管理一至多台IM服务器，IM路由器之间形成路由服务网络，基于IM服务器的标识HID，为IM服务器之间的网络连接提供安全的路由寻址服务；IM路由器的配置信息包括：名称、标识RID、描述、网络地址、状态、所管理的IM服务器HID列表、邻居IM路由器标识RID列表和路由表等。
图2为本发明的安全即时通信系统架构的连接部署示意图。
IM路由器可以根据IM服务器的规模，基于路由寻址的效率，进行平面层次的网状连接，或者分层次的树状连接，来建立即时通信的路由服务网络。它处于即时通信系统架构的顶层，负责为其管理下的IM服务器进行路由寻址。这里，IM路由器R1、R2、R3、R4直至Rm构成了整个即时通信网络的路由服务网络。
IM服务器是网络即时通信服务的提供者，各IM服务器组成了即时通信服务网络，即时通信的信息交换只在IM服务器之间进行存储与流转。每台IM服务器都会有一台IM路由器来为它提供路由寻址服务。当即时通信发起方IM用户所在的IM服务器不知道目标IM用户所在的IM服务器的网络地址时，它会向所属IM路由器提出网络地址查询请求。这里，IM服务器S1和S3的所属IM路由器是R1，S2、S6和S7的所属IM路由器是R3，S4和S5的所属IM路由器是R2，S8的所属IM路由器是R4，Sn的所属IM路由器是Rm。
IM用户是即时通信服务的使用者，每个IM用户都有自己注册和登录的IM服务器。现实社会中的人可以在同一个或不同的IM服务器上申请注册多个IM用户，并在同一个终端同时登录，或在不同终端上登录。这里，S1的IM用户是U1、U2和U3，S2的IM用户是U4和U5，S3的IM用户是U6，S4的IM用户是U10，S5的IM用户是U7和U8，S6的IM用户是U9。所有的用户都可以发起点对点或组群通信，与想要通信的用户进行即时通信。
这里，我们通过一个典型的即时通信过程来对本发明进行详细说明。假定用户U1、U2、U3、U4、U5 、U6、U7和U8均已注册并审核通过。其中，用户U1、U2和U3在IM服务器S1注册并登录，用户U4和U5在IM服务器S2注册并登录，用户U6在IM服务器S3注册并登录，用户U7和U8在IM服务器S5注册并登录。假定IM服务器S2已经在IM服务器S1中的连接关系表中（因为之前S1与S2发生过即时通信，S1的连接关系表里存有S2的网络地址和状态信息），IM服务器S3、S4和S5尚未与IM服务器S1建立连接关系。如图2所示，具体步骤如下：
（1）IM用户U1创建一个群聊（组群通信），邀请IM用户U2、U3、U4、U5、U6、U7和U8加入；
（2）U1所在的IM服务器S1发现用户U1、U2和U3是自己的用户，而U4、U5、U6、U7和U8不是自己的用户；
（3）IM服务器S1解析用户U4、U5、U6、U7和U8的标识UID信息，得到了这些用户所注册和登录的IM服务器的名称和标识HID，分别为S2、S3和S5；
（4）IM服务器S1查询自己的连接关系表，发现IM服务器S2已经在自己的连接关系表中，于是与S2建立网络连接，这样，用户U4和U5加入群聊；
（4）S1不知道IM服务器S3和S5的网络地址，于是S1向所属IM路由器R1请求路由寻址；
（5）R1查询自己所管理的IM服务器HID列表，发现了S3在列表中，然后给S1返回S3的网络地址；
（6）S1根据返回的S3的网络地址，与S3建立网络连接，这样，用户U6加入群聊；
（7）R1查询自己的邻居IM路由器标识RID列表，向相邻IM路由器R2和R3提出对IM服务器S5的寻址请求；
（8）IM路由器R2接到寻址请求后，发现S5在自己所管理的IM服务器HID列表中，于是给R1返回S5的网络地址；
（9）R1再给S1返回S5的网络地址，S1根据返回的S5的网络地址，与S5建立网络连接，这样，用户U7和U8加入群聊；
（10）至此，IM服务器S1与所有用户的IM服务器S2、S3和S5建立了网络连接，路由寻址结束，群聊成功创建。