The invention relates to a data exchange system between logically isolated application servers, which includes a data exchange server and multiple application servers. Multiple application servers are connected by data exchange servers. Multiple application servers complete business data upload and business data reception through data exchange servers, and each application server is completed by data exchange servers. Key update, in which each application server includes: key agreement module, used to complete key agreement with data exchange server; signature authentication and encryption module, used to encrypt and generate signatures for business data exchanged, while signature authentication and decryption for received business data; data transmission module, used to send business to data exchange server Data. The invention improves the efficiency of data exchange and saves the cost of sensitive data exchange by making full use of the Internet to exchange sensitive business data under the logical isolation network of one-way data access requests.
【技术实现步骤摘要】
逻辑隔离应用服务器间数据交换系统
本专利技术涉及互联网信息传输
,具体涉及一种逻辑隔离应用服务器间数据交换系统。
技术介绍
由于实际业务需要,处于不同网络下的业务系统间常需进行跨网络数据交换,为了保障业务系统的安全,这些业务系统所处的应用服务器与互联网间保持逻辑隔离,仅能够单向访问互联网上的特定服务器,而传统传输方式无法满足对安全性要求较高的数据交换场景,因此高安全级别的数据交换仍采用离线的数据交换,实时性无法得到保障,且应用成本较高,需要人工干预;因此,为分布在逻辑隔离环境下的应用服务器间提供一种安全的业务数据在线交换方法,可充分利用互联网资源,降低高安全级别数据交换场景下的数据交换成本,提高数据传输过程中的机密性。
技术实现思路
为解决现有技术存在的不足,本专利技术提供了一种逻辑隔离应用服务器间数据交换系统,所述数据交换系统包括一个数据交换服务器和多个应用服务器,多个应用服务器通过数据交换服务器连接,多个应用服务器通过数据交换服务器完成业务数据上传和业务数据接收,并且,每个应用服务器通过数据交换服务器完成密钥更新,其中,每个应用服务器包括:密钥协商模块,用于与数据交换服务器完成密钥协商;签名认证和加解密模块,用于对业务数据交换请求进行加密并生成签名,同时对返回结果进行签名认证和解密;并且,对待交换的业务数据进行加密并生成签名,同时对接收到的业务数据进行签名认证和解密;数据传输模块,用于向数据交换服务器发送业务数据。其中,所述数据交换服务器包括:密钥分发模块,用于响应各应用服务器的密钥协商请求;签名认证和加解密模块,负责对收到的应用服务器的业务数据交换 ...
【技术保护点】
1.一种逻辑隔离应用服务器间数据交换系统,其特征在于,所述数据交换系统包括一个数据交换服务器和多个应用服务器,多个应用服务器通过数据交换服务器连接,多个应用服务器通过数据交换服务器完成业务数据上传和业务数据接收,并且,每个应用服务器通过数据交换服务器完成密钥更新,其中,每个应用服务器包括:密钥协商模块,用于与数据交换服务器完成密钥协商;签名认证和加解密模块,用于对业务数据交换请求进行加密并生成签名,同时对返回结果进行签名认证和解密;并且,对待交换的业务数据进行加密并生成签名,同时对接收到的业务数据进行签名认证和解密;数据传输模块,用于向数据交换服务器发送业务数据。
【技术特征摘要】
1.一种逻辑隔离应用服务器间数据交换系统,其特征在于,所述数据交换系统包括一个数据交换服务器和多个应用服务器,多个应用服务器通过数据交换服务器连接,多个应用服务器通过数据交换服务器完成业务数据上传和业务数据接收,并且,每个应用服务器通过数据交换服务器完成密钥更新,其中,每个应用服务器包括:密钥协商模块,用于与数据交换服务器完成密钥协商;签名认证和加解密模块,用于对业务数据交换请求进行加密并生成签名,同时对返回结果进行签名认证和解密;并且,对待交换的业务数据进行加密并生成签名,同时对接收到的业务数据进行签名认证和解密;数据传输模块,用于向数据交换服务器发送业务数据。2.如权利要求1所述的逻辑隔离应用服务器间数据交换系统,其特征在于,所述数据交换服务器包括:密钥分发模块,用于响应各应用服务器的密钥协商请求;签名认证和加解密模块,负责对收到的应用服务器的业务数据交换请求中携带的签名进行验证,并对应用服务器的业务数据交换请求进行解密,保证业务数据的完整性和不可抵赖性;同时,对向应用服务器返回的数据进行加密并生成签名,并对应用服务器上传的业务数据进行验证;数据存储模块,用于对密钥分发模块产生的密钥和经过验证的业务数据进行存储,也用于向应用服务器返回需要交换的业务数据。3.如权利要求2所述的逻辑隔离应用服务器间数据交换系统,其特征在于,所述密钥协商模块与数据交换服务器进行的密钥协商包括:定期更新应用服务器的公钥和私钥,查询接收方应用服务器的公钥信息以及,查询发送方应用服务器上传的业务数据;所述数据交换服务器中,签名验证和加解密模块所接收的业务数据交换请求包括:定期更新应用服务器的公钥和私钥的请求,查询接收方应用服务器的公钥信息的请求以及,查询发送方应用服务器上传的业务数据的请求。4.如权利要求2所述的逻辑隔离应用服务器间数据交换系统,其特征在于,所述应用服务器中,签名验证和加解密模块基于数据交换服务器的公钥对业务数据交换请求进行加密,基于自身私钥对业务数据交换请求生成签名,基于自身私钥对返回的数据进行解密,基于数据交换服务器的公钥对返回的数据进行验证;基于目标服务器的公钥对待交换的业务数据进行加密,基于自身私钥对对待交换的业务数据生成签名,基于自身私钥对接收到的业务数据进行解密,基于目标服务器公钥对接收到的业务数据进行签名验证;所述数据交换服务器中,签名验证和加解密模块基于自身私钥对应用服务器的业务数据交换请求进行解密,基于应用服务器的公钥对业务数据交换请求进行验证;基于自身私钥对返回的数据生成签名,基于应用服务器的公钥对返回的数据进行加密。5.如权利要求2所述的逻辑隔离应用服务器间数据交换系统,其特征在于,每个应用服务器通过数据交换服务器完成密钥更新的方法包括:步骤S1:应用服务器向数据交换服务器发送密钥更新的密钥协商请求,应用服务器对密钥更新请求进行加密,并对密钥更新请求生成数字签名;步骤S2:数据交换服务器接收所述应用服务器的密钥更新请求,对密钥更新请求进行解密,解密成功则执行步骤S3,否则执行步骤S10;步骤S3:数据交换服务器对密钥更新请求携带的数字签名进行验证,验证通过则执行步骤S4,否则执行步骤S10;步骤S4:数据交换服务器为所述应用服务器生成新的公钥和新的私钥,并为新的公钥生成唯一标识和生成时间,生成成功则执行步骤S5,否则执行步骤S10;步骤S5:数据交换服务器将数据存储模块中保存的该应用服务器上传的待交换业务数据中携带的公钥标识与当前存储的公钥标识进行比对,得出当前未被使用的公钥的标识集合;步骤S6:数据交换服务器向所述应用服务器返回新的公钥唯一标识、新的私钥以及未被使用的公钥标识集合,并对返回结果进行加密及生成数字签名;步骤S7:应用服务器接收到数据交换服务器返回的数据,对返回数据进行解密,解密成功则执行步骤S8,否则执行步骤S10;步骤S8:应用服务器对步骤S6中返回数据携带的数字签名进行验证,验证成功则执行步骤S9,否则执行步骤S10;步骤S9:应用服务器接收到数据交换服务器返回的新的公钥唯一标识和新的私钥,将当前私钥和当前公钥更新为新的公钥和新的私钥,并清除当前公钥和当前私钥;步骤S10:结束。6.如权利要求5所述的逻辑隔离应用服务器间数据交换系统,其特征在于,所述步骤S1中,应用服务器利用数据交换服务器的公钥对密钥更新请求进行加密,并利用应用服务器当前私钥对密钥更新请求生成数字签名;所述步骤S2中,数据交换服务器利用自身私钥对密钥更新请求进行解密;所述步骤S3中,数据交换服务器利用所述应用服务器的当前公钥对密钥更新请求携带的数字签名进行验证;所述步骤S6中,数据交换服务器利用所述应用服务器当前公钥对返回数据进行加密,并利用自身私钥对返回数据生成数字签名;所述步骤S7中,应用服务器利用自身当前私钥对返回数据进行解密;所述步骤S8中,应用服务器利用所述数据交换服务器的公钥对步骤S6中返回数据携带的数字签名进行验证。7.如权利要求2所述的逻辑隔离应用服务器...
【专利技术属性】
技术研发人员:常静坤,杜浩荡,郑嵩,马坤,徐丹丹,郑悦,
申请(专利权)人:中国软件与技术服务股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。