CN101247232A - 数据交换传输中基于数字签名的加密技术方法 - Google Patents
数据交换传输中基于数字签名的加密技术方法 Download PDFInfo
- Publication number
- CN101247232A CN101247232A CNA2008100352749A CN200810035274A CN101247232A CN 101247232 A CN101247232 A CN 101247232A CN A2008100352749 A CNA2008100352749 A CN A2008100352749A CN 200810035274 A CN200810035274 A CN 200810035274A CN 101247232 A CN101247232 A CN 101247232A
- Authority
- CN
- China
- Prior art keywords
- module
- file
- data
- service
- agent side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 230000005540 biological transmission Effects 0.000 title claims abstract description 28
- 239000000344 soap Substances 0.000 claims abstract description 46
- 230000008569 process Effects 0.000 claims abstract description 25
- 238000005516 engineering process Methods 0.000 claims abstract description 13
- 238000001914 filtration Methods 0.000 claims abstract description 9
- 238000012545 processing Methods 0.000 claims abstract description 5
- 239000003795 chemical substances by application Substances 0.000 claims description 99
- 230000006870 function Effects 0.000 claims description 25
- 230000010354 integration Effects 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 7
- 238000013524 data verification Methods 0.000 claims description 4
- 230000006855 networking Effects 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 238000013497 data interchange Methods 0.000 abstract 3
- 238000004422 calculation algorithm Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 4
- 238000012856 packing Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001427 coherent effect Effects 0.000 description 1
- 238000013478 data encryption standard Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种涉及信息技术领域的电子产品服务方法,尤旨在异构系统之间数据交换传输过程中基于数字签名的加密技术的实现,主要应用于网络服务中的数据交换传输中基于数字签名的加密技术方法。该方法通过网络服务使用简单物件存取协定SOAP进行网络服务过滤和数据交换,获得端到端的消息级安全;通过数据加密、数字证书和数据共享交换过程中安全网络服务,对可扩展标记语言XML进行数字签名与加密工作,实现数据的安全性;主要解决如何确保信息传递过程中机密性、完整性以及一致性等有关技术问题。本发明的积极效果是:采取基于数字签名的加密技术,可以确保信息传递过程中机密性、完整性以及一致性;具有方便了用户,提升了服务质量等优点。
Description
技术领域
本发明涉及一种信息技术领域的电子产品服务方法。尤旨在异构系统之间数据交换传输过程中基于数字签名的加密技术的实现,主要应用于网络服务中,使用简单物件存取协定SOAP(SIMPLE OBJECTACCESS PROTOCOL)来进行数据交换时,可扩展标记语言XML(EXTENSIBLE MARKUP LANGUAGE)在默认情况下是明文编码,这样使信息在传输过程中保密性受到威胁,因此采取基于数字签名的加密技术,可以确保信息传递过程中机密性、完整性以及一致性。
背景技术
安全的网络服务是网络服务成功的必要保证。但众所周知的是,网络服务使用简单物件存取协定SOAP(SIMPLE OBJECT ACCESSPROTOCOL),基于可扩展标记语言XML(EXTENSIBLE MARKUP LANGUAGE)来进行数据交换,而XML在默认情况下是明文编码的;同时,大部分网络服务使用传输协议HTTP(HYPERTEXT TRANSPORT PROTOCOL)协议作为传输协议,同样,传输协议HTTP也是使用明文方式来传输数据的。这样使信息传输的保密性受到威胁,不能满足安全性基本要求:
□机密性,确保数据的保密性。通常是使用加密实现的,使用加密算法将明文转换为密文,并使用相应的解密算法将密文转换回明文。
□数据完整性,确保数据免受意外或者故意(恶意)的篡改。完整性通常是由消息身份验证代码或哈希值提供的。
□身份验证,确定数据的来源。数字证书用于提供身份验证。数字签名通常应用于哈希值,因为这些值比它们所代表的源数据小得多。
2002年12月份IBM、Microsoft和Verisign联合发布了一个关于网络服务安全性网络服务(WS-Security)的规范,该规范描述如何向简单物件存取协定SOAP(SIMPLE OBJECT ACCESS PROTOCOL)消息附加签名和加密报头,提供了一套网络服务开发者保护简单物件存取协定SOAP消息交换的机制。
目前有两类不同的加密技术:
一类是对称加密,双方具有共享的密钥,只有在双方都知道密钥的情况下才能使用,通常应用于孤立的环境之中,如果用户数目多,这种机制并不可靠。常用的算法:数据加密标准DES(DATA ENCRYPTIONSTANDARD)、TripleDES(三重DES)、Rijndael、RC2等。
另一类是非对称加密,也称为公开密钥加密PKI(Public KeyInfrastructure),密钥是由公开密钥/私有密钥组成的密钥对,用私有密钥进行加密,利用公开密钥可以进行解密,但是由于公开密钥无法推算出私有密钥,所以公开的密钥并不会损害私有密钥的安全,公开密钥无须保密,可以公开传播,而私有密钥必须保密。常用算法:数字签名算法DSA(Digital Signature Algorithm)、RSA等。
数字签名是一种新兴的用来保证信息完整性的安全技术,它保证信息的安全不受侵犯,可以解决否认、伪造、篡改及冒充等问题。它实际使用了信息发送者的私有密钥变换所需传输的信息。常用算法:哈希Hash、DSS、RSA等。
通常公钥信息、用户信息都是保存在数字证书中。数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。X.509V3标准在编排公共密钥密码格式方面已被广为接受并应用于许多网络安全。
由于近年来我国信息技术的蓬勃发展,异构子系统之间数据集成要求越来越高,因此在数据交换共享时如何保障数据内容的机密性、完整性、安全性以及一致性,就成为必须要思考的问题。
发明内容
为了克服上述不足之处,本发明的主要目的旨在提供一种可以根据国际网络服务安全性的规范在数据交换过程中实现基于数字签名的加密技术;通过网络服务使用简单物件存取协定SOAP进行网络服务过滤和数据交换,通过数据加密、数字证书和数据共享交换过程中安全网络服务,采用Verisign公司传输协议HTTP的信任服务集成工具箱,支持完成简单物件存取协定SOAP包的数字签名、验证、加密与解密工作的数据交换传输中基于数字签名的加密技术方法。
本发明另一目的旨在使用数据加密和数字证书满足数据共享交换时网络安全性服务要求;当使用数字证书方法时,网络服务请求者必须有一个由可信认证中心签署的数字证书;请求者使用这个证书来表明它们的身份,并对简单物件存取协定SOAP(SIMPLE OBJECT ACCESSPROTOCOL)消息进行数字签名;对方系统接收到消息后,就可对消息做时间戳记并进行日志记录,验证。验证过程将确保消息来自发送方,并且还要验证消息内容在传输过程中没有被篡改。
信息被签名后再加密,然后把加密后的信息网络上传播,这样,即使第三方获得加密后的传输信息,也不能解密。
本发明要解决的技术问题是:主要解决在异构系统之间数据交换传输过程中,如何确保信息传递过程中机密性、完整性以及一致性问题;要解决如何通过网络服务获得端到端的消息级安全问题;要解决如何完成简单物件存取协定SOAP包的数字签名、验证、加密与解密工作等有关技术问题。
本发明解决其技术问题所采用的技术方案是:该方法运行于异构系统之间数据交换传输过程,通过网络服务使用简单物件存取协定SOAP进行网络服务过滤和数据交换,获得端到端的消息级安全;通过数据加密、数字证书和数据共享交换过程中安全网络服务,对可扩展标记语言XML进行数字签名与加密工作,实现数据的安全性;采用Verisign公司传输协议HTTP的信任服务集成工具箱,支持完成简单物件存取协定SOAP包的数字签名、验证、加密与解密工作;该数据共享交换过程中安全网络服务的工作流程,具体包括以下步骤:
步骤1:编写证书脚本
用Verisign公司的信任服务集成工具箱的使用标准,编写数据证书生成脚本,为编写证书脚本模块;
步骤2:执行脚本
执行完编写证书脚本模块后,编写证书脚本模块的输出信号传递到执行脚本模块;
步骤3:生成证书
执行完执行脚本模块后,执行脚本模块的输出信号传递到生成证书模块;通过数字证书脚本生成四个文件:服务器端文件:bms.keystore;代理端文件:bmc.keystore;服务器信任文件:bms.truststore和代理端信任文件:bmc.truststore;
步骤4:客户端部署代理端文件和服务器端信任文件
执行完生成证书模块后,生成证书模块的输出信号分为两路,一路传递到客户端部署代理端文件和服务器端信任文件模块,为网络客户端部署代理端文件bmc.keystore与服务器信任文件bms.truststore两个文件;
步骤5:服务端部署服务端文件和代理端信任文件
执行完生成证书模块后,生成证书模块的输出信号的另一路传递到服务端部署服务端文件和代理端信任文件模块,为服务端部署服务器端文件bms.keystore与代理端信任文件bmc.truststore两个文件;
步骤6:使用代理端文件获取数字签名
执行完客户端部署代理端文件和服务器端信任文件模块后,则进入使用代理端文件获取数字签名模块,客户端调用接口时用代理端文件bmc.keystore的私钥数字签名;
步骤7:使用服务器端信任文件进行加密
执行完使用代理端文件获取数字签名模块后,则进入使用服务器端信任文件进行加密模块,使用服务器端信任文件进行加密模块的输出信号传递到服务端部署服务端文件和代理端信任文件模块;用服务器信任文件bms.truststore的公钥对简单物件存取协定SOAP包做加密;
步骤8:使用代理端信任文件解密
执行完服务端部署服务端文件和代理端信任文件模块后,则进入使用代理端信任文件解密模块,处理响应时用代理端文件bmc.keystore的私钥对简单物件存取协定SOAP包做解密;
步骤9:使用服务端文件进行数字签名验证
执行完使用代理端信任文件解密模块后,则进入使用服务端文件进行数字签名验证模块,用服务器信任文件bms.truststore的公钥验证数字签名。
所述的数据交换传输中基于数字签名的加密技术方法的数字签名与加密工作为基于阿帕奇扩展网际系统AXIS,通过客户端和服务端A之间的发送和接收完成,客户端和服务端A之间为加密SOAP包模块和传输协议HTTP的电连接,其中:
客户端包括:对SOAP消息使用数字证书进行签名模块、对SOAP消息进行加密模块和加密函数模块,对SOAP消息使用数字证书进行签名模块的输出信号传递到对SOAP消息进行加密模块的输入端;加密函数模块的输出信号传递到对SOAP消息进行加密模块的输入端;
服务端A包括:对数字证书进行验证模块,对SOAP消息进行解密模块和解密函数模块,对数字证书进行验证模块的输出信号传递到对SOAP消息进行解密模块的输入端;解密函数模块的输出信号传递到对SOAP消息进行解密模块的输入端;该数字签名与加密工作包括以下步骤:
步骤1:客户端
在客户端通过签名函数对简单物件存取协定SOAP信息进行加密;
步骤2:加密过程
加密时,首先获得私有钥匙和相关证书,然后对简单物件存取协定SOAP消息进行签名,最后将签名后的文件通过传输协议HTTP协议发送到服务端;
步骤3:服务端A
服务端A通过数据验证函数验证已经签名的简单物件存取协定SOAP消息;
步骤4:解密过程
验证后根据私有key和相关证书对文档进行解密。
所述的数据交换传输中基于数字签名的加密技术方法的网络服务过滤包括:代理端和服务端B,代理端和服务端B之间通过请求和响应信号的电连接完成,其中:
代理端包括:数字证书认证、数字证书授权、内容加密和日志记录模块,各模块之间为平行的电连接;
服务端B包括:数字证书验证、内容解密和网络服务缓存模块,各模块之间为平行的电连接;该网络服务过滤工作包括以下步骤:
a)、对客户端进行认证、授权;
b)、把用户的访问写入系统日志;
c)、对请求的简单物件存取协定SOAP消息进行加密,解密;
d)、为网络服务对象做缓存。
一种数据交换传输中基于数字签名的加密技术的装置,该装置有业务系统、中心数据库和业务数据库,还包括:业务系统A、数据中心和业务系统B;业务系统A中的共享文件夹A与业务系统B中的共享文件夹B之间相互电连接;业务系统A中的数据代理A与数据中心中的数据交换中心之间相互电连接;数据中心中的数据交换中心与业务系统B中的数据代理B之间相互电连接;其中:
业务系统A中依次顺序连接有共享文件夹A、数据代理A和业务数据库A;共享文件夹A、数据代理A和业务数据库A之间为相互电连接,共享文件夹A与共享文件夹B之间相互电连接;
数据中心中依次顺序连接有中心数据库和数据交换中心;中心数据库和数据交换中心之间相互电连接;
业务系统B中依次顺序连接有共享文件夹B、数据代理B和业务数据库B;共享文件夹B、数据代理B和业务数据库B之间为相互电连接,数据代理B与数据交换中心之间相互电连接。
本发明的有益效果是:该方法提供了一种在数据共享交换的过程中安全网络服务实现,使应用程序能够构建安全的简单物件存取协定SOAP消息交换、获得端到端的消息级安全;可扩展标记语言XML签名用于认证发送者的身份、确保简单物件存取协定SOAP消息的完整性,并对可扩展标记语言XML加密提高了数据的安全性;采取基于数字签名的加密技术,可以确保信息传递过程中机密性、完整性以及一致性;具有方便了用户,提升了服务质量等优点。
附图说明
下面结合附图和实施例对本发明进一步说明。
附图1为本发明硬件环境结构方框示意图;
附图2为本发明数据共享交换过程中安全网络服务的总工作流程示意图;
附图3为本发明的数字签名与加密工作流程示意图;
附图4为本发明的网络服务过滤流程示意图;
附图5为本发明实施例之一的应用系统实现流程示意图;
附图中标号说明:
1-编写证书脚本;
2-执行脚本;
3-生成证书;
4-客户端部署代理端文件和服务器端信任文件;
5-服务端部署服务端文件和代理端信任文件;
6-使用代理端文件获取数字签名;
7-使用服务器端信任文件进行加密;
8-使用代理端信任文件解密;
9-使用服务端文件进行数字签名验证;
10-业务数据库B;
11-业务系统A;
12-共享文件夹A;
13-业务数据库A;
14-数据代理A;
15-数据中心;
16-中心数据库;
17-数据交换中心;
18-业务系统B;
19-共享文件夹B;
20-数据代理B;
21-客户端;
22-服务端A;
23-加密SOAP包;
24-传输协议HTTP;
25-对SOAP消息使用数字证书进行签名;
26-对SOAP消息进行加密;
27-加密函数;
28-对数字证书进行验证;
29-对SOAP消息进行解密;
30-解密函数; 51-发送方A数据打包;
31-代理端; 52-数字签名并加密;
32-服务端B; 53-发送结果到中间库;
33-请求; 54-中间库C验证并保存数据;
34-响应; 55-向发送方返回历史记录;
35-数字证书认证; 56-接收方B从中间库获取XML;
36-数字证书授权; 57-解密XML,验证数字证书;
37-内容加密; 58-向中间库数据置位;
38-日志记录; 59-解析XML入库;
39-数字证书验证; 60-向接收方返回历史记录。
40-内容解密;
41-网络服务缓存;
具体实施方式
请参阅附图1、2、3、4所示,该方法运行于异构系统之间数据交换传输过程,通过网络服务使用简单物件存取协定SOAP进行网络服务过滤和数据交换,获得端到端的消息级安全;通过数据加密、数字证书和数据共享交换过程中安全网络服务,对可扩展标记语言XML进行数字签名与加密工作,实现数据的安全性;采用Verisign公司传输协议HTTP的信任服务集成工具箱,支持完成简单物件存取协定SOAP包的数字签名、验证、加密与解密工作;该数据共享交换过程中安全网络服务的工作流程,具体包括以下步骤:
步骤1:编写证书脚本1
用Verisign公司的信任服务集成工具箱的使用标准,编写数据证书生成脚本,为编写证书脚本1模块;
步骤2:执行脚本2
执行完编写证书脚本1模块后,编写证书脚本1模块的输出信号传递到执行脚本2模块;
步骤3:生成证书3
执行完执行脚本2模块后,执行脚本2模块的输出信号传递到生成证书3模块;通过数字证书脚本生成四个文件:服务器端文件:bms.keystore;代理端文件:bmc.keystore;服务器信任文件:bms.truststore和代理端信任文件:bmc.truststore;
步骤4:客户端部署代理端文件和服务器端信任文件4
执行完生成证书3模块后,生成证书3模块的输出信号分为两路,一路传递到客户端部署代理端文件和服务器端信任文件4模块,为网络客户端部署代理端文件bmc.keystore与服务器信任文件bms.truststore两个文件;
步骤5:服务端部署服务端文件和代理端信任文件5
执行完生成证书3模块后,生成证书3模块的输出信号的另一路传递到服务端部署服务端文件和代理端信任文件5模块,为服务端部署服务器端文件bms.keystore与代理端信任文件bmc.truststore两个文件;
步骤6:使用代理端文件获取数字签名6
执行完客户端部署代理端文件和服务器端信任文件4模块后,则进入使用代理端文件获取数字签名6模块,客户端调用接口时用代理端文件bmc.keystore的私钥数字签名;
步骤7:使用服务器端信任文件进行加密7
执行完使用代理端文件获取数字签名6模块后,则进入使用服务器端信任文件进行加密7模块,使用服务器端信任文件进行加密7模块的输出信号传递到服务端部署服务端文件和代理端信任文件5模块;用服务器信任文件bms.truststore的公钥对简单物件存取协定SOAP包做加密;
步骤8:使用代理端信任文件解密8
执行完服务端部署服务端文件和代理端信任文件5模块后,则进入使用代理端信任文件解密8模块,处理响应时用代理端文件bmc.keystore的私钥对简单物件存取协定SOAP包做解密;
步骤9:使用服务端文件进行数字签名验证9
执行完使用代理端信任文件解密8模块后,则进入使用服务端文件进行数字签名验证9模块,用服务器信任文件bms.truststore的公钥验证数字签名。
请参阅附图3所示,所述的数据交换传输中基于数字签名的加密技术方法的数字签名与加密工作为基于阿帕奇扩展网际系统AXIS,通过客户端21和服务端A 22之间的发送和接收完成,客户端21和服务端A 22之间为加密SOAP包23模块和传输协议HTTP 24的电连接,其中:
客户端21包括:对SOAP消息使用数字证书进行签名25模块、对SOAP消息进行加密26模块和加密函数27模块,对SOAP消息使用数字证书进行签名25模块的输出信号传递到对SOAP消息进行加密26模块的输入端;加密函数27模块的输出信号传递到对SOAP消息进行加密26模块的输入端;
服务端A 22包括:对数字证书进行验证28模块,对SOAP消息进行解密29模块和解密函数30模块,对数字证书进行验证28模块的输出信号传递到对SOAP消息进行解密29模块的输入端;解密函数30模块的输出信号传递到对SOAP消息进行解密29模块的输入端;该数字签名与加密工作包括以下步骤:
步骤1:客户端21
在客户端21通过签名函数对简单物件存取协定SOAP信息进行加密;
步骤2:加密过程
加密时,首先获得私有钥匙和相关证书,然后对简单物件存取协定SOAP消息进行签名,最后将签名后的文件通过传输协议HTTP 24协议发送到服务端;
步骤3:服务端A 22
服务端A 22通过数据验证函数验证已经签名的简单物件存取协定SOAP消息;
步骤4:解密过程
验证后根据私有key和相关证书对文档进行解密。
本发明数字签名与加密工作的实施方式:
①在客户端通过签名函数对简单物件存取协定SOAP(SIMPLEOBJECT ACCESS PROTOCOL)信息进行加密;
②加密时,首先获得私有钥匙和相关证书,然后对简单物件存取协定SOAP(SIMPLE OBJECT ACCESS PROTOCOL)消息进行签名,最后将签名后的文件通过传输协议HTTP(HYPERTEXT TRANSPORTPROTOCOL)协议发送到服务端;
③服务端通过数据验证函数验证已经签名的简单物件存取协定(SOAP,全写为SIMPLE OBJECT ACCESS PROTOCOL)消息;
④验证后根据私有key和相关证书对文档进行解密。
请参阅附图4所示,所述的数据交换传输中基于数字签名的加密技术方法的网络服务过滤包括:代理端31和服务端B 32,代理端31和服务端B 32之间通过请求33和响应34信号的电连接完成,其中:
代理端31包括:数字证书认证35、数字证书授权36、内容加密37和日志记录38模块,各模块之间为平行的电连接;
服务端B 32包括:数字证书验证39、内容解密40和网络服务缓存41模块,各模块之间为平行的电连接;该网络服务过滤工作包括以下步骤:
a)、对客户端进行认证、授权;
b)、把用户的访问写入系统日志;
c)、对请求的简单物件存取协定SOAP消息进行加密,解密;
d)、为网络服务对象做缓存。
请参阅附图1所示,一种数据交换传输中基于数字签名的加密技术的装置,该装置由业务系统、中心数据库和业务数据库等模块,还包括:业务系统A 11、数据中心15和业务系统B 18;业务系统A 11中的共享文件夹A 12与业务系统B 18中的共享文件夹B 19之间相互电连接;业务系统A 11中的数据代理A 14与数据中心15中的数据交换中心17之间相互电连接;数据中心15中的数据交换中心17与业务系统B 18中的数据代理B 20之间相互电连接;其中:
业务系统A 11中依次顺序连接有共享文件夹A 12、数据代理A 14和业务数据库A 13;共享文件夹A 12、数据代理A 14和业务数据库A 13之间为相互电连接,共享文件夹A 12与共享文件夹B 19之间相互电连接;
数据中心15中依次顺序连接有中心数据库16和数据交换中心17;中心数据库16和数据交换中心17之间相互电连接;
业务系统B 18中依次顺序连接有共享文件夹B 19、数据代理B20和业务数据库B 10;共享文件夹B 19、数据代理B 20和业务数据库B 10之间为相互电连接,数据代理B 20与数据交换中心17之间相互电连接。
本发明硬件环境的实施方式:
①数据中心包括数据项管理、网络服务以及简单物件存取协定SOAP(SIMPLE OBJECT ACCESS PROTOCOL)信息的加密、解密功能;网络服务处理来自数据代理端的接口调用。
②数据代理主要完成数据提供和数据接收两部分功能。每个数据库运行一个数据代理端,也可多个数据库运行一个代理端,代理段也提供网络服务以及简单物件存取协定SOAP(SIMPLE OBJECT ACCESSPROTOCOL)信息的加密、解密功能。
请参阅附图5所示,为本发明实施例之一的应用系统实现流程图,具体包括以下步骤:
步骤1.发送方A数据打包(51)
设业务系统A 11为发送方A,即数据提供方A,准备发送方A数据打包(51)工作;
步骤2.数字签名并加密(52)
执行完发送方A数据打包(51)模块后,则进入数字签名并加密(52)模块;
步骤3.发送结果到中间库(53)
执行完数字签名并加密(52)模块后,则进入发送结果到中间库(53)模块;
步骤4.中间库C验证并保存数据(54)
执行完发送结果到中间库(53)模块后,则进入中间库C验证并保存数据(54)模块,中间库C验证并保存数据(54)的输出信号分为三路,第一路传递到向发送方返回历史记录(55)模块,第二路传递到接收方B从中间库获取XML(56)模块,第三路传递到向接收方返回历史记录(60)模块;
步骤5.解密XML,验证数字证书(57)
执行完接收方B从中间库获取XML(56)模块后,则进入解密XML,验证数字证书(57);
步骤6.向中间库数据置位(58)
执行完解密XML,验证数字证书(57)模块后,则进入向中间库数据置位(58);
步骤7.解析XML入库(59)
执行完向中间库数据置位(58)模块后,则进入解析XML入库(59)模块。
本发明实施例之一的应用系统实施方式:
现业务系统A 11为发送方即数据提供方A,业务系统B 12为获取方即数据获取方B,数据中心即中间库为C,A通过C共享数据给B:
①由A定义要共享的关系型数据表描述,提交给C及B;各代理端在自己系统中建立相应的提供项,根据A提供的描述形成自己的导入项;
②C根据A提供的数据表描述,在系统中建立相应的共享数据目录、定义共享时的数据格式可扩展标记语言XML(EXTENSIBLE MARKUPLANGUAGE)Schema(保存于网络服务器)。B也可在本系统内建立数据接收项及可扩展标记语言XML(EXTENSIBLE MARKUP LANGUAGE)Element/字段对应关系,便于B接收数据。B方相应的数据库表结构自行定义,但要与数据接收项目的相关元素吻合;
③A定时启动数据提供进程,把上一次没有共享(新增的或修改过)的记录根据规则打成可扩展标记语言XML(EXTENSIBLE MARKUPLANGUAGE)包,此XML文件必须遵循上面定义的XML(EXTENSIBLEMARKUP LANGUAGE)Schema。经过安全处理后通过C提供的接口保存至中心数据库,如果C确认接收则修改相应记录的标志位标识已经发送。如果数据要求的优先级较高,要求通知B;
④B定时启动数据接收进程。通过C提供的查询接口知晓是否有向自己共享的数据,有则从中心数据库获取可扩展标记语言XML(EXTENSIBLE MARKUP LANGUAGE)数据,收到数据后,经过XML(EXTENSIBLE MARKUP LANGUAGE)-to-Table转换到数据库中,并修改C中的接收标志;A构建的可扩展标记语言XML(EXTENSIBLEMARKUP LANGUAGE)包中包括附件信息,则B在解析时将提取相应的FTP地址或传输协议HTTP(HYPERTEXT TRANSPORT PROTOCOL)地址,加入到附件获取列表,从A的共享文件夹中下载到B的共享文件夹中。
Claims (4)
1、一种数据交换传输中基于数字签名的加密技术方法,其特征在于:该方法运行于异构系统之间数据交换传输过程,通过网络服务使用简单物件存取协定SOAP进行网络服务过滤和数据交换,获得端到端的消息级安全;通过数据加密、数字证书和数据共享交换过程中安全网络服务,对可扩展标记语言XML进行数字签名与加密工作,实现数据的安全性;采用Verisign公司传输协议HTTP的信任服务集成工具箱,支持完成简单物件存取协定SOAP包的数字签名、验证、加密与解密工作;该数据共享交换过程中安全网络服务的工作流程,具体包括以下步骤:
步骤1:编写证书脚本(1)
用Verisign公司的信任服务集成工具箱的使用标准,编写数据证书生成脚本,为编写证书脚本(1)模块;
步骤2:执行脚本(2)
执行完编写证书脚本(1)模块后,编写证书脚本(1)模块的输出信号传递到执行脚本(2)模块;
步骤3:生成证书(3)
执行完执行脚本(2)模块后,执行脚本(2)模块的输出信号传递到生成证书(3)模块;通过数字证书脚本生成四个文件:服务器端文件:bms.keystore;代理端文件:bmc.keystore;服务器信任文件:bms.trust store和代理端信任文件:bmc.trust store;
步骤4:客户端部署代理端文件和服务器端信任文件(4)
执行完生成证书(3)模块后,生成证书(3)模块的输出信号分为两路,一路传递到客户端部署代理端文件和服务器端信任文件
(4)模块,为网络客户端部署代理端文件bmc.keystore与服务器信任文件bms.truststore两个文件;
步骤5:服务端部署服务端文件和代理端信任文件(5)
执行完生成证书(3)模块后,生成证书(3)模块的输出信号的另一路传递到服务端部署服务端文件和代理端信任文件(5)模块,为服务端部署服务器端文件bms.keystore与代理端信任文件bmc.truststore两个文件;
步骤6:使用代理端文件获取数字签名(6)
执行完客户端部署代理端文件和服务器端信任文件(4)模块后,则进入使用代理端文件获取数字签名(6)模块,客户端调用接口时用代理端文件bmc.keystore的私钥数字签名;
步骤7:使用服务器端信任文件进行加密(7)
执行完使用代理端文件获取数字签名(6)模块后,则进入使用服务器端信任文件进行加密(7)模块,使用服务器端信任文件进行加密(7)模块的输出信号传递到服务端部署服务端文件和代理端信任文件(5)模块;用服务器信任文件bms.truststore的公钥对简单物件存取协定SOAP包做加密;
步骤8:使用代理端信任文件解密(8)
执行完服务端部署服务端文件和代理端信任文件(5)模块后,则进入使用代理端信任文件解密(8)模块,处理响应时用代理端文件bmc.keystore的私钥对简单物件存取协定SOAP包做解密;
步骤9:使用服务端文件进行数字签名验证(9)
执行完使用代理端信任文件解密(8)模块后,则进入使用服务端文件进行数字签名验证(9)模块,用服务器信任文件bms.truststore的公钥验证数字签名。
2、根据权利要求1所述的数据交换传输中基于数字签名的加密技术方法,其特征在于:所述的数字签名与加密工作为基于阿帕奇扩展网际系统AXIS,通过客户端(21)和服务端A(22)之间的发送和接收完成,客户端(21)和服务端A(22)之间为加密SOAP包(23)模块和传输协议HTTP(24)的电连接,其中:
客户端(21)包括:对SOAP消息使用数字证书进行签名(25)模块、对SOAP消息进行加密(26)模块和加密函数(27)模块,对SOAP消息使用数字证书进行签名(25)模块的输出信号传递到对SOAP消息进行加密(26)模块的输入端;加密函数(27)模块的输出信号传递到对SOAP消息进行加密(26)模块的输入端;
服务端A(22)包括:对数字证书进行验证(28)模块,对SOAP消息进行解密(29)模块和解密函数(30)模块,对数字证书进行验证(28)模块的输出信号传递到对SOAP消息进行解密(29)模块的输入端;解密函数(30)模块的输出信号传递到对SOAP消息进行解密(29)模块的输入端;该数字签名与加密工作包括以下步骤:
步骤1:客户端(21)
在客户端(21)通过签名函数对简单物件存取协定SOAP信息进行加密;
步骤2:加密过程
加密时,首先获得私有钥匙和相关证书,然后对简单物件存取协定SOAP消息进行签名,最后将签名后的文件通过传输协议HTTP
(24)协议发送到服务端;
步骤3:服务端A(22)
服务端A(22)通过数据验证函数验证已经签名的简单物件存取协定SOAP消息;
步骤4:解密过程
验证后根据私有key和相关证书对文档进行解密。
3、根据权利要求1所述的数据交换传输中基于数字签名的加密技术方法,其特征在于:所述的网络服务过滤包括:代理端(31)和服务端B(32),代理端(31)和服务端B(32)之间通过请求(33)和响应(34)信号的电连接完成,其中:
代理端(31)包括:数字证书认证(35)、数字证书授权(36)、内容加密(37)和日志记录(38)模块,各模块之间为平行的电连接;
服务端B(32)包括:数字证书验证(39)、内容解密(40)和网络服务缓存(41)模块,各模块之间为平行的电连接;该网络服务过滤工作包括以下步骤:
a)、对客户端进行认证、授权;
b)、把用户的访问写入系统日志;
c)、对请求的简单物件存取协定SOAP消息进行加密,解密;
d)、为网络服务对象做缓存。
4、一种数据交换传输中基于数字签名的加密技术的装置,该装置有业务系统、中心数据库和业务数据库,其特征在于还包括:业务系统A(11)、数据中心(15)和业务系统B(18);业务系统A(11)中的共享文件夹A(12)与业务系统B(18)中的共享文件夹B(19)之间相互电连接;业务系统A(11)中的数据代理A(14)与数据中心(15)中的数据交换中心(17)之间相互电连接;数据中心(15)中的数据交换中心(17)与业务系统B(18)中的数据代理B(20)之间相互电连接;其中:
业务系统A(11)中依次顺序连接有共享文件夹A(12)、数据代理A(14)和业务数据库A(13);共享文件夹A(12)、数据代理A(14)和业务数据库A(13)之间为相互电连接,共享文件夹A(12)与共享文件夹B(19)之间相互电连接;
数据中心(15)中依次顺序连接有中心数据库(16)和数据交换中心(17);中心数据库(16)和数据交换中心(17)之间相互电连接;
业务系统B(18)中依次顺序连接有共享文件夹B(19)、数据代理B(20)和业务数据库B(10);共享文件夹B(19)、数据代理B(20)和业务数据库B(10)之间为相互电连接,数据代理B(20)与数据交换中心(17)之间相互电连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810035274A CN101247232B (zh) | 2008-03-27 | 2008-03-27 | 数据交换传输中基于数字签名的加密技术方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810035274A CN101247232B (zh) | 2008-03-27 | 2008-03-27 | 数据交换传输中基于数字签名的加密技术方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101247232A true CN101247232A (zh) | 2008-08-20 |
| CN101247232B CN101247232B (zh) | 2012-09-26 |
Family
ID=39947464
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810035274A Expired - Fee Related CN101247232B (zh) | 2008-03-27 | 2008-03-27 | 数据交换传输中基于数字签名的加密技术方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101247232B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102256246A (zh) * | 2011-07-05 | 2011-11-23 | 上海市安全生产科学研究所 | 移动通信的数据传输加密方法 |
| CN101753539B (zh) * | 2008-12-01 | 2012-06-06 | 北京大学 | 一种网络数据存储方法及服务器 |
| CN103227770A (zh) * | 2012-01-30 | 2013-07-31 | 凌群电脑股份有限公司 | 端点数据安全传送模块及方法 |
| CN104036198A (zh) * | 2014-06-11 | 2014-09-10 | 北京素志科技发展有限公司 | 一种广域网文件加密方法 |
| CN106027456A (zh) * | 2015-03-25 | 2016-10-12 | 瞻博网络公司 | 用于对网络设备进行认证的装置和方法 |
| CN106295377A (zh) * | 2016-08-24 | 2017-01-04 | 成都万联传感网络技术有限公司 | 一种医疗养老数据安全交换代理装置及其构建方法 |
| CN106921644A (zh) * | 2016-06-23 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 客户端数据文件的验证方法及装置 |
| CN106970908A (zh) * | 2016-01-14 | 2017-07-21 | 芋头科技(杭州)有限公司 | 一种语音内容分析方法 |
| CN106970906A (zh) * | 2016-01-14 | 2017-07-21 | 芋头科技(杭州)有限公司 | 一种基于语句分段的语义分析方法 |
| CN106970909A (zh) * | 2016-01-14 | 2017-07-21 | 芋头科技(杭州)有限公司 | 一种二次匹配语义的语义分析方法 |
| CN106970907A (zh) * | 2016-01-14 | 2017-07-21 | 芋头科技(杭州)有限公司 | 一种语义识别方法 |
| CN106970905A (zh) * | 2016-01-14 | 2017-07-21 | 芋头科技(杭州)有限公司 | 一种语义分析方法 |
| CN107294726A (zh) * | 2016-04-12 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 虚拟加密机数据的导出导入以及处理方法、装置和系统 |
| CN110163006A (zh) * | 2019-04-18 | 2019-08-23 | 阿里巴巴集团控股有限公司 | 一种块链式账本中的签名验证方法、系统、装置及设备 |
| CN112287364A (zh) * | 2020-10-22 | 2021-01-29 | 同盾控股有限公司 | 数据共享方法、装置、系统、介质及电子设备 |
| US11057220B2 (en) | 2019-04-18 | 2021-07-06 | Advanced New Technologies Co., Ltd. | Signature verification for a blockchain ledger |
| TWI789105B (zh) * | 2020-11-13 | 2023-01-01 | 英商物聯保全有限公司 | 配置安全裝置、配置裝置、以及配置系統 |
| CN115766288A (zh) * | 2022-12-23 | 2023-03-07 | 四川更元科技有限公司 | 一种跨网交换的安全管理协同方法 |
| CN120090983A (zh) * | 2025-04-30 | 2025-06-03 | 北京理工大学出版社有限责任公司 | 一种基于标记语言的数据交换方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1352434A (zh) * | 2001-11-29 | 2002-06-05 | 上海维豪信息安全技术有限公司 | 基于信任与授权服务的电子政务安全平台系统 |
| US7360096B2 (en) * | 2002-11-20 | 2008-04-15 | Microsoft Corporation | Securely processing client credentials used for Web-based access to resources |
| CN100558035C (zh) * | 2006-08-03 | 2009-11-04 | 西安电子科技大学 | 一种双向认证方法及系统 |
-
2008
- 2008-03-27 CN CN200810035274A patent/CN101247232B/zh not_active Expired - Fee Related
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753539B (zh) * | 2008-12-01 | 2012-06-06 | 北京大学 | 一种网络数据存储方法及服务器 |
| CN102256246A (zh) * | 2011-07-05 | 2011-11-23 | 上海市安全生产科学研究所 | 移动通信的数据传输加密方法 |
| CN103227770B (zh) * | 2012-01-30 | 2016-01-20 | 凌群电脑股份有限公司 | 端点数据安全传送模块及方法 |
| CN103227770A (zh) * | 2012-01-30 | 2013-07-31 | 凌群电脑股份有限公司 | 端点数据安全传送模块及方法 |
| CN104036198A (zh) * | 2014-06-11 | 2014-09-10 | 北京素志科技发展有限公司 | 一种广域网文件加密方法 |
| CN106027456A (zh) * | 2015-03-25 | 2016-10-12 | 瞻博网络公司 | 用于对网络设备进行认证的装置和方法 |
| CN106970908A (zh) * | 2016-01-14 | 2017-07-21 | 芋头科技(杭州)有限公司 | 一种语音内容分析方法 |
| CN106970906A (zh) * | 2016-01-14 | 2017-07-21 | 芋头科技(杭州)有限公司 | 一种基于语句分段的语义分析方法 |
| CN106970909A (zh) * | 2016-01-14 | 2017-07-21 | 芋头科技(杭州)有限公司 | 一种二次匹配语义的语义分析方法 |
| CN106970907A (zh) * | 2016-01-14 | 2017-07-21 | 芋头科技(杭州)有限公司 | 一种语义识别方法 |
| CN106970905A (zh) * | 2016-01-14 | 2017-07-21 | 芋头科技(杭州)有限公司 | 一种语义分析方法 |
| CN107294726A (zh) * | 2016-04-12 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 虚拟加密机数据的导出导入以及处理方法、装置和系统 |
| CN106921644B (zh) * | 2016-06-23 | 2020-09-01 | 阿里巴巴集团控股有限公司 | 客户端数据文件的验证方法及装置 |
| CN106921644A (zh) * | 2016-06-23 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 客户端数据文件的验证方法及装置 |
| CN106295377A (zh) * | 2016-08-24 | 2017-01-04 | 成都万联传感网络技术有限公司 | 一种医疗养老数据安全交换代理装置及其构建方法 |
| CN106295377B (zh) * | 2016-08-24 | 2019-02-19 | 成都万联传感网络技术有限公司 | 一种医疗养老数据安全交换代理装置的构建方法 |
| CN110163006A (zh) * | 2019-04-18 | 2019-08-23 | 阿里巴巴集团控股有限公司 | 一种块链式账本中的签名验证方法、系统、装置及设备 |
| US11057220B2 (en) | 2019-04-18 | 2021-07-06 | Advanced New Technologies Co., Ltd. | Signature verification for a blockchain ledger |
| US11070379B2 (en) | 2019-04-18 | 2021-07-20 | Advanced New Technologies Co., Ltd. | Signature verification for a blockchain ledger |
| US11283622B2 (en) | 2019-04-18 | 2022-03-22 | Advanced New Technologies Co., Ltd. | Signature verification for a blockchain ledger |
| CN112287364A (zh) * | 2020-10-22 | 2021-01-29 | 同盾控股有限公司 | 数据共享方法、装置、系统、介质及电子设备 |
| TWI789105B (zh) * | 2020-11-13 | 2023-01-01 | 英商物聯保全有限公司 | 配置安全裝置、配置裝置、以及配置系統 |
| CN115766288A (zh) * | 2022-12-23 | 2023-03-07 | 四川更元科技有限公司 | 一种跨网交换的安全管理协同方法 |
| CN120090983A (zh) * | 2025-04-30 | 2025-06-03 | 北京理工大学出版社有限责任公司 | 一种基于标记语言的数据交换方法及系统 |
| CN120090983B (zh) * | 2025-04-30 | 2025-07-22 | 北京理工大学出版社有限责任公司 | 一种基于标记语言的数据交换方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101247232B (zh) | 2012-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101247232B (zh) | 数据交换传输中基于数字签名的加密技术方法 | |
| US20210367795A1 (en) | Identity-Linked Authentication Through A User Certificate System | |
| Barker et al. | Recommendation for key management part 3: Application-specific key management guidance | |
| CN101964791B (zh) | 客户端与web应用的通讯认证系统及认证方法 | |
| US9704159B2 (en) | Purchase transaction system with encrypted transaction information | |
| CN103546289B (zh) | 一种基于USBKey的安全传输数据的方法及系统 | |
| CN104394172B (zh) | 单点登录装置和方法 | |
| CN102377788B (zh) | 单点登录系统及其单点登录方法 | |
| KR102325725B1 (ko) | 디지털 인증서 관리 방법 및 장치 | |
| US20030163700A1 (en) | Method and system for user generated keys and certificates | |
| CN109450843B (zh) | 一种基于区块链的ssl证书管理方法及系统 | |
| CN108282459A (zh) | 基于智能合约的数据传递方法及系统 | |
| KR20060100920A (ko) | 웹 서비스를 위한 신뢰되는 제3자 인증 | |
| CN110889696A (zh) | 一种基于sgx技术的联盟区块链秘钥存储方法、装置、设备及介质 | |
| CN112564906A (zh) | 一种基于区块链的数据安全交互方法及系统 | |
| CN102594824A (zh) | 基于多重安全保护机制的电子文档安全分发方法 | |
| CN114650181A (zh) | 电子邮件加解密方法、系统、设备及计算机可读存储介质 | |
| CN111639952A (zh) | 基于区块链的退货核验方法、系统、服务器及终端 | |
| Barker et al. | Sp 800-57. recommendation for key management, part 1: General (revised) | |
| CN104243439A (zh) | 文件传输处理方法、系统及终端 | |
| CN110611679A (zh) | 一种数据传输方法、装置、设备及系统 | |
| CN112261002A (zh) | 数据接口对接的方法及设备 | |
| KR101839048B1 (ko) | 사물 인터넷 환경의 종단간 보안 플랫폼 | |
| CN114866244A (zh) | 基于密文分组链接加密的可控匿名认证方法、系统及装置 | |
| CN101984626B (zh) | 文件安全交换方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120926 |