【技术实现步骤摘要】
不同实体间的系统安全对接方法及其系统
[0001]本专利技术涉及计算机系统领域,具体而言,涉及一种不同实体间的系统安全对接方法、系统。
技术介绍
[0002]近年,在信息系统上不同实体系统间数据信息的传输需要满足身份鉴别、数据传输的机密性、数据传输的完整性、数据原发抗抵赖和数据接收抗抵赖等安全指标。
[0003]数据传输的机密性方面,首先,建立双方安全传输的通道十分重要,业界一般采用运营商专线连接、https、VPN等建立数据加密传输的通道。https基于CA证书机制,一般使用第三方公司为不同实体颁发的CA证书实现,CA证书由认证机构服务者签发,网上实体身份的证明,能够证明某一实体的身份及其公钥的合法性。https超文本传输安全协议则是在HTTP协议的基础上加入SSL,保证数据传输的安全性。
[0004]VPN一般也会采用第三方产品。此外,在建立安全通道的基础上,系统应用处理上一般采用3DES、AES等国际对称算法通过第三方厂商的硬件设备(密码机/密码卡)实现加解密,发送方对源数据加密后得到密文,接收方收到密文后解密还原源数据。
[0005]数据的完整性上,早期系统主要采用MD5、SHA等国际算法通过调用第三方厂商的硬件设备(密码机/密码卡)接口实现,发送方对传输源数据生成MAC值,连同源数据一起发送,接收方收到后对收到的数据再计算MAC值,与发送方比对。
[0006]数据的抗抵赖方面,业内系统一般通过数字签名与验证实现,算法上使用RSA、SHA等国际算法。发送方对源数据使用自身私钥计 ...
【技术保护点】
【技术特征摘要】
1.一种不同实体间的系统安全对接方法,其特征在于,具体步骤包括:建立不同实体系统间多个HTTPS安全传输的通道,并采用自签CA证书机制进行双向通讯验证,同时在不同实体系统应用层之间的数据传输采用密码加密、解密、签名及验证;所述采用自签CA证书机制进行双向通讯验证的步骤包括证书的生成与颁发,以及双向通讯验证;证书的生成与颁发:具体的选取一台与互联网隔离的服务器作为证书服务器,使用OpenSSL工具生成CA根证书,包含CA的公钥证书ca.crt和私钥ca.key,在A系统服务器上使用OpenSSL工具生成A的私钥a.key和证书请求文件a.csr,并在证书服务器上签发出实体A的证书文件a.crt,随后在与A系统进行对接的B1系统服务器上使用OpenSSL工具生成B1的私钥b1.key和证书请求文件b1.csr,并在证书服务器上签发出实体B1的证书文件b1.crt;将CA公钥证书、A的私钥及证书安装到A系统,将信任证书、B1的私钥及证书文件安装到B1系统;双向验证:在交互通讯时,A作为客户端,不仅要验证B1服务器是否可靠,而且B1服务器需要验证A证书是否可信;在不同实体系统应用层之间的数据传输采用密码加密、解密、签名及验证的步骤包括:秘钥的生成与管理、业务交易过程中的加解密、MAC生成与校验、签名及验证;所述业务交易过程中的加解密过程,具体的当A请求B1时,A使用上述的秘钥K对全量请求数据D加密得到密文Dc,B1使用秘钥K
’
对请求数据密文Dc解密得到D
’
(D=D
’
);B1在同步返回应答给A时,B1使用上述的随机秘钥K1对应答数据D1加密得到密文D1c,A使用秘钥K1
’
对D1c解密得到D1
’
(D1=D1
’
)。2.根据权利要求1所述的方法,其特征在于,所述的秘钥的生成与管理使用ECC椭圆算法生成各个实体的公钥和私钥,具体的生成A的秘钥对a.prv、a.pub,将公钥a.pub发送A的对接实体B1;生成B1的秘钥对b1.prv、b1.pub,将B1公钥b1.pub发送给A并导入系统。3.根据权利要求2所述的方法,其特征在于,所述的秘钥对采用SM4算法随机生成,在使用接收方的公钥加密后,连同业务交易报文发送到接收方,接收方使用自己的私钥解密得到对称秘钥,具体的当A请求B1时,A生成秘钥K,并使用b1.pub对K加密得到Kc,B1在收到请求后,使用b1.prv对Kc解密得到明文K
’
(K
’
=K);同理,B1在同步返回应答给A时,B1生成新的随机秘钥K1,使用a.pub对K1加密...
【专利技术属性】
技术研发人员:陈增伟,
申请(专利权)人:建信金融科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。