一种政府机关及金融机构与企业安全直连方法技术

本发明专利技术公开了一种政府机关及金融机构与企业安全直连方法，具体直连方法步骤如下：步骤一：企业管理员进行平台注册及初始化：企业管理员首先需要联系数据开放平台，沟通企业需求及提供企业资格证明，由于我们设定的领域属于政府或银行，该领域对企业的接入是有资质要求的，当资质审查通过且内部评审流程通过，会向企业的管理员以短信的方式邀请链接；企业管理员打开邀请链接，按步骤注册并提交相关的资料，完成后提交给数据开放平台预审。该政府机关及金融机构与企业安全直连方法，操作简单，不需要额外的U盾硬件费用、租用VPN专线或三方平台软件使用费，安全性比传统方案高，适合广泛推广使用。泛推广使用。

【技术实现步骤摘要】
一种政府机关及金融机构与企业安全直连方法


[0001]本专利技术属于物联网
，具体涉及一种政府机关及金融机构与企业安全直连方法。

技术介绍

[0002]谷歌、微软等互联网巨头，开始竞相推出自己的开放平台战略，以求追赶互联网发展的新潮流。这些举动无疑触动了国内互联网公司的敏感神经，纷纷开始建设自己的应用平台。2010年，新浪微博、百度、盛大、开心网、腾讯等相继尝试开放部分互联领域的API，力求在网民中为自己塑造开放平台的形象。媒体评论，2011年，国内开放平台将进入“爆发期”。但是由于政府机构和金融机构本身属性的特性，导致其开放的数据平台推行一直举步维艰。由于其对数据安全性要求比互联网公司要高很多，所以一旦推出开放的数据的平台，必须使用更高的安全标准去与企业互联，因此需要建立政府机关及金融机构与企业安全直连端口。
[0003]现有的政府机关及金融机构与企业安全直连方法，操作复杂，具有额外的U盾硬件费用、租用VPN专线或三方平台软件使用费，安全性比传统方案低，不适合广泛推广使用。

技术实现思路

[0004]本专利技术的目的在于提供一种政府机关及金融机构与企业安全直连方法，以解决上述
技术介绍
中提出的现有的政府机关及金融机构与企业安全直连方法，操作复杂，具有额外的U盾硬件费用、租用VPN专线或三方平台软件使用费，安全性比传统方案低，不适合广泛推广使用的问题。
[0005]为实现上述目的，本专利技术提供如下技术方案：一种政府机关及金融机构与企业安全直连方法，具体直连方法步骤如下：
[0006]步骤一：企业管理员进行平台注册及初始化：企业管理员首先需要联系数据开放平台，沟通企业需求及提供企业资格证明，由于我们设定的领域属于政府或银行，该领域对企业的接入是有资质要求的，当资质审查通过且内部评审流程通过，会向企业的管理员以短信的方式邀请链接；企业管理员打开邀请链接，按步骤注册并提交相关的资料，完成后提交给数据开放平台预审，数据开放平台管理员根据提交过的资料首先进行预审，核对资料是否正确及申请数据权限是否符合，审核通过会以短信方式通知并告知初审线下地点地址；企业管理员收到短信预审通过的消息后，需要去数据开放平台提供的预审的地点完成线下审核，线下审核的目的是核对资质审核的原件与预审的电子版本对比；
[0007]步骤二：平台安全设置并获取密钥：平台注册成功后，管理员可以登录数据平台企业端，平台提供两种双因子模式，手机号+密码+手机短信验证码为默认模式，另外一种为手机号+密码+虚拟MFA，首次登录则为手机号+密码+手机短信验证码模式；企业管理员登录成功后，可以在主页面拿到企业的接入ID；对数据开放平台开放的接口的加密(包括非对称和对称加密)，签名算法可变的，管理员可以设置符合企业需求的的加密算法和签名算法，对
称算法为SM4，签名算法为SM3；管理员可在数据开放平台企业端请求生成并获取非对称加密算法的公钥和签名算法密钥，数据开放平台则将生成的非对称加密算法的私钥和签名算法密钥保存进数据库；实际ip为企业实际生产的服务器公网ip；
[0008]步骤三：系统密钥初始化：企业管理员登录企业的业务系统，企业的管理员打开只有管理员才有权限的保存数据开放平台密钥页面，根据页面要求设置签名密钥算法及对称和非对称算法加密算法，输入签名密钥和非对称算法公钥；企业管理员在企业的业务系统点击重置对称加密算法密钥，该功能一般在系统第一次运行时重置，但是对称加密算法密钥有过期设计，所以需要在过期前，人工再次重置该密钥；为了保证数据安全，系统关键流程都需要管理员双因子验证，所以该流程需要短信验证码；对称加密算法选择的结果，随机生成符合该具体加密算法合适的密钥，非对称加密算法选择的结果及获取到的非对称加密算法公钥加密流程生成的对称加密算法密钥；api采用https协议发送数据，需要按一定的规则拼接起来然后使用签名密钥和选择的签名算法计算出签名；数据开放平台从校验http头取出请求时间，然后对比当前时间，如果在设置的阈值内则该请求有效，否则返回错误；
[0009]步骤四：当企业的业务员使用企业的业务系统前应必须登录，使用分配给自己的用户名和密码登录业务系统，如果登录校验成功，企业的业务系统根据用户权限，当企业的业务人员需要使用数据开放平台的数据时，此时就需要登录数据开放平台，数据开放平台以API或SDK的接口提供的方式登录，数据开放平台登录后将获得token(令牌)，该token为接口方式请求数据开放平台的所需的基本数据；
[0010]步骤五：企业业务系统需要判断该用户在有效期内登录过判断是否登录数据开放平台，如果没有登录则需要登录，登录流程按照api接口登录数据平台；使用步骤三获得的对称加密算法密钥加密请求数据开放平台的报文；数据开放平台从校验http头取出请求时间，然后对比当前时间，如果在设置的阈值内则该请求有效，否则返回错误，该设计是为了数据重放攻击；数据开放平台可根据接入ID获取该企业配置的白名单，请求的IP可以根据HTTP协议获取，这样就可以判断请求的ip是否在白名单内，如果不在白名单内则返回错误；数据开放平台可根据接入ID获取该企业配置的签名算法及签名密钥，根据规则计算出签名；
[0011]步骤六：短信发送流程：在企业的业务系统对应的页面点击，从而获取手机验证码，页面进去的前提是用户必须有登录到企业业务系统，企业业务系统判断用户是否登录，再根据登录数据得到实际用户的手机号，数据开放平台从校验http头取出请求时间，然后对比当前时间，如果在设置的阈值内则该请求有效，否则返回错误，该设计是为了数据重放攻击；数据开放平台可根据接入ID获取该企业配置的非对称加密算法类型及私钥，然后解密出请求的报文，再根据数据平台用户查下是否该接入企业是否有该手机号且审核通过，如果无则报错返回；得到短信类型，短信类型决定要发送的短信内容模板及后续的验证码如何存储；如果不是设定区间的值则报错返回；
[0012]步骤七：api接口登录数据平台：在企业的业务系统对应的页面输入用户密码及短信验证码，然后点击登录，页面有效的前提是用户必须有登录到企业业务系统，企业业务系统判断用户是否登录，再根据登录数据得到实际用户的手机号；获得的非对称加密算法类型及非对称公钥加密请求数据开放平台的登录报文并将http头里面包括一些关键的字段(比如接入ID，http body的大小，请求时间，请求随机数，请求的url等关键字段)需要按一
定的规则拼接起来然后使用签名密钥和选择的签名算法及签名密钥计算出签名；数据开放平台从校验http头取出请求时间，然后对比当前时间，如果在设置的阈值内则该请求有效，否则返回错误，该设计是为了数据重放攻击。
[0013]进一步的，所述步骤四中数据平台提供登录的接口，设计为双因子认证模式；该模式提供两种模式：一是需要用到手机号+密码+手机短信验证码；二是需要用到手机号+密码+虚拟MFA。
[0014]进一步的，所述步骤三中校验token，判断用户是否有登录，首先需要判断token的格式，然后判断token本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种政府机关及金融机构与企业安全直连方法，其特征在于，具体直连方法步骤如下：步骤一：企业管理员进行平台注册及初始化：企业管理员首先需要联系数据开放平台，沟通企业需求及提供企业资格证明，由于我们设定的领域属于政府或银行，该领域对企业的接入是有资质要求的，当资质审查通过且内部评审流程通过，会向企业的管理员以短信的方式邀请链接；企业管理员打开邀请链接，按步骤注册并提交相关的资料，完成后提交给数据开放平台预审，数据开放平台管理员根据提交过的资料首先进行预审，核对资料是否正确及申请数据权限是否符合，审核通过会以短信方式通知并告知初审线下地点地址；企业管理员收到短信预审通过的消息后，需要去数据开放平台提供的预审的地点完成线下审核，线下审核的目的是核对资质审核的原件与预审的电子版本对比；步骤二：平台安全设置并获取密钥：平台注册成功后，管理员可以登录数据平台企业端，平台提供两种双因子模式，手机号+密码+手机短信验证码为默认模式，另外一种为手机号+密码+虚拟MFA，首次登录则为手机号+密码+手机短信验证码模式；企业管理员登录成功后，可以在主页面拿到企业的接入ID；对数据开放平台开放的接口的加密(包括非对称和对称加密)，签名算法可变的，管理员可以设置符合企业需求的的加密算法和签名算法，对称算法为SM4，签名算法为SM3；管理员可在数据开放平台企业端请求生成并获取非对称加密算法的公钥和签名算法密钥，数据开放平台则将生成的非对称加密算法的私钥和签名算法密钥保存进数据库；实际ip为企业实际生产的服务器公网ip；步骤三：系统密钥初始化：企业管理员登录企业的业务系统，企业的管理员打开只有管理员才有权限的保存数据开放平台密钥页面，根据页面要求设置签名密钥算法及对称和非对称算法加密算法，输入签名密钥和非对称算法公钥；企业管理员在企业的业务系统点击重置对称加密算法密钥，该功能一般在系统第一次运行时重置，但是对称加密算法密钥有过期设计，所以需要在过期前，人工再次重置该密钥；为了保证数据安全，系统关键流程都需要管理员双因子验证，所以该流程需要短信验证码；对称加密算法选择的结果，随机生成符合该具体加密算法合适的密钥，非对称加密算法选择的结果及获取到的非对称加密算法公钥加密流程生成的对称加密算法密钥；api采用https协议发送数据，需要按一定的规则拼接起来然后使用签名密钥和选择的签名算法计算出签名；数据开放平台从校验http头取出请求时间，然后对比当前时间，如果在设置的阈值内则该请求有效，否则返回错误；步骤四：当企业的业务员使用企业的业务系统前应必须登录，使用分配给自己的用户名和密码登录业务系统，如果登录校验成功，企业的业务系统根据用户权限，当企业的业务人员需要使用数据开放平台的数据时，此时就需要登录数据开放平台，数据开放平台以API或SDK的接口提供的方式登录，数据开放平台登录后将获得token(令牌)，该token为接口方式请求数据开放平台的所需的基本数据；步骤五：企业业务系统需要判断该用户在有效期内登录过判断是否登录数据开放平台，如果没有登录则需要登录，登录流程按照api接口登录数据平台；使用步骤三获得的对称加密算法密钥加密请求数据开放平台的报文；数据开放平台从校验http头取出请求时间，然后对比当前时间，如果在设置的阈值内则该请求有效，否则返回错误，该设计是为了数据重放攻击；数据开放平台可根据接入ID获取该企业配置的白名单，请求的IP可以根据HTTP协议获取，这样就可以判断请求的ip是否在白名单内，如果不在白名单内则返回错误；
数据开放平台可根据接入ID获取该企业配置的签名算法及签名密钥，根据规则计算出签名；步骤六：短信发送流程：在企业的业务系统对应的页面点击，从而获取手机验证码，页面进去的前提是用户必须有登录到企业业务系统，企业业务系统判断用户是否登录，再根据登录数据得到...

【专利技术属性】
技术研发人员：周晓睿，贺亮，
申请(专利权)人：深圳市共治物联科技有限公司，
类型：发明
国别省市：