【技术实现步骤摘要】
本专利技术涉及数据处理领域,尤其涉及一种数据交换系统、方法、装置、计算机设备及介质。
技术介绍
1、在政府部门或企业的数字化转型中,数据资源作为社会经济发展的重要生产要素,越来越被各政府部门和企业所重视。现有方式中,业务系统之间的数据交换大多基于传统ssl/tls安全协议的api接口调用方式,现有主流的数据交换大部分都是采用基于ssl/tls安全协议的api开放接口,ssl/tls安全协议是通过pki/ca体系的数字证书的安全认证和数据加密协商,来实现对数据的加密保护。
2、专利技术人在实现本专利技术过程中发现,现有技术普遍存在以下缺点:pki/ca体系由很多子系统组成,体系架构过于庞大和复杂,建设成本高、维护难;数字证书涉及到证书颁发、证书保存、证书查询、证书认证、证书过期、证书升级、证书挂失等,管理工作繁杂不利于快速部署;ssl/tls协议安全漏洞层出不穷,曾曝出过多起重大数据泄露的安全事故,经过不断地升级仍然还存在安全风险;大部分数据平台基于ssl/tls都是用户端对平台端的数字证书单向认证,用户端仅是简单的账号密码签名认证,一旦泄露安全得不到保证。
技术实现思路
1、本专利技术实施例提供一种数据交换系统、方法、装置、计算机设备和存储介质,以提高数据交互的安全性。
2、为了解决上述技术问题,本申请实施例提供一种数据交换系统,所述数据交换系统包括密钥基础设施平台、数据提供方节点和数据请求方节点,所述密钥基础设施平台、数据提供方节点和数据请求方节点之间通信
3、所述密钥基础设施平是标识管理中心和密钥发放中心,由密钥生成中心、用户注册管理平台、公开参数服务平台和安全中间件组成;
4、所述数据提供方节点和数据请求方节点的业务平台的最小单元由安全中间件/装置、数据共享交换平台、数据应用管理平台、共享交换数据库、授权应用ip白名单组成。
5、可选地,所述密钥生成中心用于密钥生成、密钥管理、公开参数管理;
6、所述密钥生成是依据主私钥和用户id标识等数据生成用户私钥;
7、密钥管理包括密钥安全传输、密钥安全更新、密钥安全撤消、密钥安全恢复、根密钥安全备份、根密钥安全保护等密钥服务与管理功能,以及用户信息存储、更新、查询、冻结、解冻、作废、销毁;
8、公开参数管理包括密码参数管理、用户id状态数据管理、系统策略数据管理,用于提供公开密码参数、密钥生成策略和用户标识状态的查询服务;
9、密钥基础设施平台不保存用户私钥。
10、可选地,所述数据共享交换平台用于数据交换的业务流程控制、数据包的封包解包、数据包解析、交换数据的查询和存储等全生命周期管理,数据共享交换平台通过调用安全中间件/装置的功能接口,实现对数据交换过程中的密钥协商、数据签名/验签、加密/解密。
11、可选地,所述数据应用管理平台用于对数据请求方的身份、权限和行为记录管理,数据请求方在向数据提供方申请数据之前,需要通过线下申请,数据提供方审核通过后,所述数据应用管理平台为数据请求方建立档案,分配应用标识,设置数据请求方可访问数据的权限,同时保存数据请求的ip白名单地址。
12、为了解决上述技术问题,本申请实施例还提供一种数据交换方法,包括:
13、接收第一方节点和第二方节点的注册请求并审核,审核通过后,使用sm9算法根据用户标识生成用户签名私钥和用户加密私钥,并保存在本地;
14、若接收到第一方节点和第二方节点之间的数据交换请求,则采用所述用户签名私钥和用户加密私钥,动态协商双方数据传输的对称算法加密密钥,得到目标加密密钥;
15、采用所述目标加密密钥对数据进行加密,并使用sm9标识算法基于用户签名私钥对加密数据进行签名,得到加密签名数据;
16、采用所述加密签名数据进行数据交换。
17、可选地,所述注册请求中包括节点标识,所述节点标识为节点域名或者节点ip地址中的至少一种。
18、可选地,所述采用所述用户签名私钥和用户加密私钥,动态协商双方数据传输的对称算法加密密钥,得到目标加密密钥包括:
19、检查数据包发送地址是否与预设备案的ip白名单地址一致;
20、若一致,则获取双方节点的随机密钥参数;
21、基于双方节点的随机密钥参数、所述用户签名私钥和用户加密私钥,采用sm9的非对称密钥的加密和签名保护动态协商,得到所述目标加密密钥。
22、为了解决上述技术问题,本申请实施例还提供一种数据交换装置,包括:
23、节点注册模块,用于接收第一方节点和第二方节点的注册请求并审核,
24、审核通过后,使用sm9算法根据用户标识生成用户签名私钥和用户加密私钥,并保存在本地;
25、密钥生成模块,用于若接收到第一方节点和第二方节点之间的数据交换请求,则采用所述用户签名私钥和用户加密私钥,动态协商双方数据传输的对称算法加密密钥,得到目标加密密钥;
26、加密签名模块,用于采用所述目标加密密钥对数据进行加密,并使用sm9标识算法基于用户签名私钥对加密数据进行签名,得到加密签名数据;
27、数据交换模块,用于采用所述加密签名数据进行数据交换。
28、可选地,所述密钥生成模块包括:
29、检查单元,用于检查数据包发送地址是否与预设备案的ip白名单地址一致;
30、比较单元,用于若一致,则获取双方节点的随机密钥参数;
31、加密单元,用于基于双方节点的随机密钥参数、所述用户签名私钥和用户加密私钥,采用sm9的非对称密钥的加密和签名保护动态协商,得到所述目标加密密钥。
32、为了解决上述技术问题,本申请实施例还提供一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述数据交换方法的步骤。
33、为了解决上述技术问题,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述数据交换方法的步骤。
34、本专利技术实施例提供的数据交换方法、装置、计算机设备及存储介质,通过接收第一方节点和第二方节点的注册请求并审核,审核通过后,使用sm9算法根据用户标识生成用户签名私钥和用户加密私钥,并保存在本地;若接收到第一方节点和第二方节点之间的数据交换请求,则采用用户签名私钥和用户加密私钥,动态协商双方数据传输的对称算法加密密钥,得到目标加密密钥;采用目标加密密钥对数据进行加密,并使用sm9标识算法基于用户签名私钥对加密数据进行签名,得到加密签名数据;采用加密签名数据进行数据交换。实现了让数据交换双方不需要交换数字证书、不需要保存密钥的目录服务等基础设施、不需要使用第三方提供认证服务的情况下,既能有效规避ssl/tls安全协议漏洞,又能够实现类似pki/ca体系架构的安全保障能力本文档来自技高网...
【技术保护点】
1.一种数据交换系统,其特征在于,所述数据交换系统包括密钥基础设施平台、数据提供方节点和数据请求方节点,所述密钥基础设施平台、数据提供方节点和数据请求方节点之间通信连接;
2.如权利要求1所述的数据交换方法,其特征在于,所述密钥生成中心用于密钥生成、密钥管理、公开参数管理;
3.如权利要求1所述的数据交换系统,其特征在于,所述数据共享交换平台用于数据交换的业务流程控制、数据包的封包解包、数据包解析、交换数据的查询和存储等全生命周期管理,数据共享交换平台通过调用安全中间件/装置的功能接口,实现对数据交换过程中的密钥协商、数据签名/验签、加密/解密。
4.如权利要求1所述的数据交换系统,其特征在于,所述数据应用管理平台用于对数据请求方的身份、权限和行为记录管理,数据请求方在向数据提供方申请数据之前,需要通过线下申请,数据提供方审核通过后,所述数据应用管理平台为数据请求方建立档案,分配应用标识,设置数据请求方可访问数据的权限,同时保存数据请求的IP白名单地址。
5.一种数据交换方法,其特征在于,所述数据交换方法包括:
6.如权
7.如权利要求5所述的数据交换方法,其特征在于,所述采用所述用户签名私钥和用户加密私钥,动态协商双方数据传输的对称算法加密密钥,得到目标加密密钥包括:
8.一种数据交换装置,其特征在于,所述数据交换装置包括:
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求5至7任一项所述的数据交换方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求5至7任一项所述的数据交换方法。
...【技术特征摘要】
1.一种数据交换系统,其特征在于,所述数据交换系统包括密钥基础设施平台、数据提供方节点和数据请求方节点,所述密钥基础设施平台、数据提供方节点和数据请求方节点之间通信连接;
2.如权利要求1所述的数据交换方法,其特征在于,所述密钥生成中心用于密钥生成、密钥管理、公开参数管理;
3.如权利要求1所述的数据交换系统,其特征在于,所述数据共享交换平台用于数据交换的业务流程控制、数据包的封包解包、数据包解析、交换数据的查询和存储等全生命周期管理,数据共享交换平台通过调用安全中间件/装置的功能接口,实现对数据交换过程中的密钥协商、数据签名/验签、加密/解密。
4.如权利要求1所述的数据交换系统,其特征在于,所述数据应用管理平台用于对数据请求方的身份、权限和行为记录管理,数据请求方在向数据提供方申请数据之前,需要通过线下申请,数据提供方审核通过后,所述数据应用管理平台为数据请求方建立档案,分配应用标识,设置数据请求方可访问数...
【专利技术属性】
技术研发人员:杨帆,
申请(专利权)人:湖南数越科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。