一种业务数据集中加密系统及方法技术方案

技术编号:25405831 阅读:52 留言:0更新日期:2020-08-25 23:09
本发明专利技术公开了一种业务数据集中加密系统及方法。该系统采用定期更新的加密密钥对多个业务密钥和/多个签名验证密钥进行加密后存储;接收业务方发送的业务数据加/解密请求和/或签名验证请求,基于请求的类型、业务标识查找对应的业务密钥和/或签名验证密钥,并调用相应的加/解密服务模块和/或验签服务模块进行处理,将处理后的结果反馈给所述业务方。通过本发明专利技术提供的业务数据集中加密系统及方法能够比较好地解决支付业务、手游发行业务等涉及诸多外部商户的业务相关密钥数据统一管理难、容易造成泄露等问题,提高了业务方的密钥数据的安全性。

【技术实现步骤摘要】
一种业务数据集中加密系统及方法
本专利技术涉及业务数据的安全防护领域,具体涉及一种业务数据集中加密系统及方法,为不同的业务数据提供统一的数据加密以及数字签名服务。
技术介绍
目前、采用互联网进行业务处理越来越普遍,业务数据泄露的问题随着日益突出,给包括用户、企业在内的业务方造成了巨大的损失。不同的企业各自开发相应的业务数据加密系统对自身的业务数据进行加密,一定程度上保证了自己业务数据的安全。但是、由于各个企业的业务数据加密系统所使用到的密钥各自单独配置、客观上仍然存诸多安全问题。例如,一个企业内部多个业务使用不同的密钥的情况下,该企业所使用的密钥将变得非常分散不便于管理;若各密钥的安全管理标准不统一、密钥的存储或设置不规范(比如明文存储在数据库或配置文件中),极易造成相关密钥泄漏,存在巨大的安全隐患。
技术实现思路
为了解决目前各企业的数据加密系统所使用的密钥安全管理标准不统一、密钥的存储或设置不规范(比如明文存储在数据库或配置文件中),极易造成相关密钥泄漏的问题,本专利技术提供一种业务数据集中加密系统。该业务数据集中加密系统具有两个核心功能。一个核心功能是接收业务方传递业务原始数据对业务数据进行加密,加密所使用的密钥全部存储在所述业务数据集中加密系统内。例如、向支付宝等支付渠道进行支付下单时就需要对包含业务数据的请求进行加密,由业务方向所述业务数据集中加密系统发送加密请求,由所述加密服务系统完成业务数据的加密操作。另外一个核心功能是对业务数据中的数字签名进行验证。例如、用户在使用支付宝支付成功时,将通知该用户支付成功消息是带了加密后签名的,可以由本专利技术提供的业务数据集中加密系统进行签名验证、防止篡改。本专利技术提供的业务数据集中加密系统预先以密文的形式存储对不同业务数据进行加密的多个业务密钥以及对不同业务数字签名进行验证的多个签名验证密钥,并分配相应的签名密钥给相应的业务方对其签名进行加密;接收业务方发送的业务数据加/解密请求、根据所述请求的业务标识查找对应的业务密钥和相应的加/解密算法对相应的业务数据进行数据加密或解密,并将所述加密或解密所得的数据返回给所述业务方,和/或当某业务方需要对其他业务方的数字签名进行验证时,接收所述某业务方发送的签名验证请求后、根据该签名验证请求中附加的业务标识查找对应的签名验证密钥并解密,用解密后的签名验证密钥对待验证的数据签名进行验证,并将验证结果返回给所述某业务方。所述数据加密系统对需要以实现密文形式存储的不同密钥进行加密所采用的加密密钥可以是相同或者不同的;其用于对于需要加密以实现密文形式存储的相关密钥其进行加密的加密密钥由分别存储在不同的物理存储设备上的三分部组成,包括配置文件和数据库中定期更新的种子seed以及定义的随机串。其中、所述配置文件和数据库中的种子seed为由程序控制定期生成的8位随机数字;重新生成所述配置文件和/或数据库中的种子seed时对应的加密密钥同步更新,所述系统自动根据更新后的加密密钥对所述相关密钥进行重新加密。优选地、该业务数据集中加密系统基于非对称加密机制提供所述数字签名验证服务,所述预先存储有对不同业务数字签名进行验证的多个签名验证密钥为非对称加密体制中的私钥,所述分配给业务方的签名密钥为非对称加密体制中的公钥。所述业务数据集中加密系统采用3DES算法对需要以实现密文形式存储的密钥进行加密。与上述业务数据集中加密系统相对应,本专利技术还提供一种业务数据集中加密方法,其特征在于,该方法包括:预先以密文的形式存储对不同业务数据进行加密的多个业务密钥以及对不同业务数字签名进行验证的多个签名验证密钥,并分配相应的签名密钥给相应的业务方对其签名进行加密;接收业务方发送的业务数据加/解密请求、根据所述请求的业务标识查找对应的业务密钥和相应的加/解密算法对相应的业务数据进行数据加密或解密,并将所述加密或解密所得的数据返回给所述业务方,和/或当某业务方需要对其他业务方的数字签名进行验证时,接收所述某业务方发送的签名验证请求后、根据该签名验证请求中附加的业务标识查找对应的签名验证密钥并解密,用解密后的签名验证密钥对待验证的数据签名进行验证,并将验证结果返回给所述某业务方。本专利技术还提供的上述业务数据集中加密方法具体实现细节与上述业务数据集中加密系统实现的细节相对应。附图说明图1为本专利技术提供的业务数据集中加密系统的工作示意图。具体实施方式为了使本专利技术所解决的技术问题、技术方案以及有益效果更加清楚明白,以下结合附图对本专利技术进行进一步详细说明。应该理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。本专利技术提供的一种业务数据集中加密系统,其工作过程如图1所示。所述业务数据集中加密系统设置有密钥密文存储数据库。该数据库中预先以密文的形式存储对不同业务数据进行加密的多个业务密钥以及对不同业务数字签名进行验证的多个签名验证密钥。由相应的业务方持有与所述签名验证密钥对应的签名密钥,用于对其签名进行加密。参照图1、该业务数据集中加密系统接收到业务方1的业务数据加/解密请求和/或业务方2的签名验证请求后,由其接入签权服务模块对业务方1和业务方2进行IP认证授权和MD5签名双重认证,在认证通过后对接收到的上述业务方发送的请求进行处理。优选地、所述接入签权服务模块对不同的接入业务对所述MD5签名进行不同的加盐处理以保证不同业务之间的访问隔离度。在对接收到业务方1发送的业务数据加/解密请求和/或业务方2发送的签名验证请求进行处理时,所述业务数据集中加密系统根据请求的类型信息,将业务方1发送的业务数据加/解密请求发送对加密路由服务模块进行处理,和/或将业务方2发送的签名验证请求发送到验签路由服务模块进行处理。加密路由服务模块根据接收到业务方1发送的业务数据加/解密请求的业务标识查找对应的业务密钥和相应的加/解密算法,对所述业务密钥解密后结合所述加/解密算法对相应的业务数据进行数据加密或解密,并将所述加密或解密所得的数据返回给所述业务方。其中、所述加/解密算法以对应服务模块的形式供所述业务数据集中加密系统进行调用,如图1所示,所述加/解密服务模块至少包括MD5加/解密服务模块、SHA加/解密服务模块和RSA加/解密服务模块。所述验签路由服务模块接收到所述某业务方2发送的签名验证请求后、根据该签名验证请求中附加的业务标识查找对应的签名验证密钥并解密,用解密后的签名验证密钥对待验证的数据签名进行验证,并将验证结果返回给所述某业务方。其中、所述签名验证处理逻辑以对应服务模块的形式供所述业务数据集中加密系统进行调用。所述签名验证服务模块至少包括MD5验签服务模块、SHA验签服务模块和RSA验签服务模块。优选地、该业务数据集中加密系统基于非对称加密机制提供所述数字签名验证服务,所述预先存储有对不同业务数字签名进行验证的多个签名验证密钥为非对称加密体制中的私钥,所述分配给业务方的签名密钥为非对称加密体制中的公钥。进一步地,所述业务数据集中加密系统采用3DES算法对需要以实现密文形式存储的密钥进行加密,加本文档来自技高网...

【技术保护点】
1.一种业务数据集中加密系统,其特征在于,该系统预先存储有对不同业务数据进行加密的多个业务密钥以及各业务密钥关联的加解密算法,所述业务密钥以密文的形式存储;该系统接收业务方发送的业务数据加/解密请求、根据所述请求的业务标识查找对应的业务密钥和关联的加解密算法,对查找到的业务密钥进行解密,基于所述查找到的加解密算法、所述解密后的业务密钥对所述请求对应的业务数据进行数据加密或解密运算后、将所述运算结果数据返回给所述业务方。/n

【技术特征摘要】
1.一种业务数据集中加密系统,其特征在于,该系统预先存储有对不同业务数据进行加密的多个业务密钥以及各业务密钥关联的加解密算法,所述业务密钥以密文的形式存储;该系统接收业务方发送的业务数据加/解密请求、根据所述请求的业务标识查找对应的业务密钥和关联的加解密算法,对查找到的业务密钥进行解密,基于所述查找到的加解密算法、所述解密后的业务密钥对所述请求对应的业务数据进行数据加密或解密运算后、将所述运算结果数据返回给所述业务方。


2.如权利要求1所述的数据加密系统,其特征在于,所述数据加密系统还预先存储有对不同业务数字签名进行验证的多个签名验证密钥,所述签名验证密钥同样以密文的形式存储;当该系统接收业务方发送的签名验证请求后、根据该签名验证请求中附加的业务标识查找对应的签名验证密钥并解密,用所述解密后的签名验证密钥对待验证的数据签名进行验证,并将验证结果返回给所述业务方。


3.如权利要求2所述的数据加密系统,其特征在于,该系统基于非对称加密机制提供所述数字签名验证服务,所述预先存储有对不同业务数字签名进行验证的多个签名验证密钥为非对称加密体制中的私钥,所述分配给业务方的签名密钥为非对称加密体制中的公钥。


4.如权利要求1-3中任一项所述的数据加密系统,其特征在于,对于需要加密以实现密文形式存储的相关密钥,所述系统用于对其进行加密的加密密钥由配置文件以及数据库中定期更新的种子seed以及定义的随机串三分部组成,其中、所述种子seed为由程序控制定期生成的8位随机数字;当seed重新生成时加密密钥同步更新,所述系统自动根据更新后的加密密钥对所述相关密钥进行重新加密。


5.如权利要求4所述的数据加密系统,其特征在于,所述系统采用3DES算法对需要以实现密文形式存储的密钥进行加密;所述配置文件以及数据库中定期更新的种子seed以及定义的随机串三部分分别存储在不同的物理存储设备上,并且所述数据加密系统对需要以实现密文形式存储的不同密钥进行加密所采用的加密密钥可以是相同或者不同的。


6.如权利要求4所述的数据加密系统,其特征在于,所述系统在为某一业务配置新的业务密钥期间,为该业务对应的旧业务密钥指定失效时间,在该失效时间内所述系统支持新旧业务密钥共存,新旧业务密钥两个中任一个都有效。


7.如权利要求4所述的数据加密系统,其特征在于,所述系统在业务方接入时,对业务方进行IP认证授权和MD5签名双重认证,并且根据不同的接...

【专利技术属性】
技术研发人员:程钦辉
申请(专利权)人:盛趣信息技术上海有限公司
类型:发明
国别省市:上海;31

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1