本發(fā)明涉及數(shù)據(jù)加密領(lǐng)域,具體地,涉及一種數(shù)據(jù)交換方法及設(shè)備。
背景技術(shù):
在信息系統(tǒng)建設(shè)過(guò)程中,不同部門的業(yè)務(wù)系統(tǒng)往往是采用不同技術(shù)標(biāo)準(zhǔn)、不同軟硬件平臺(tái)、并由不同軟件提供商開發(fā)的,這些系統(tǒng)是無(wú)法直接實(shí)現(xiàn)互聯(lián)的,并且完全替換并由同一軟件提供商新建所有業(yè)務(wù)系統(tǒng)也是不可接受的。如果采用根據(jù)特定連接需求,滿足特定問(wèn)題,進(jìn)行特定開發(fā)的方式同樣會(huì)帶來(lái)接口開發(fā)難以承受的負(fù)擔(dān),并且接口開發(fā)也還相當(dāng)復(fù)雜的,成本高昂。因此,迫切需要一個(gè)中間件平臺(tái),能夠用統(tǒng)一的方式,實(shí)現(xiàn)各系統(tǒng)間不同結(jié)構(gòu)和格式的數(shù)據(jù)的像相互轉(zhuǎn)換,并根據(jù)服務(wù)流程的統(tǒng)一定義協(xié)調(diào)各個(gè)部門業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)傳輸和消息通信。這種連接方式實(shí)現(xiàn)了數(shù)據(jù)的無(wú)縫交換和共享訪問(wèn),保證了各業(yè)務(wù)系統(tǒng)的有效協(xié)同,同時(shí)又能保證各應(yīng)用系統(tǒng)的相互獨(dú)立性和低耦合性,從整體上提高了系統(tǒng)運(yùn)作的效率和安全性。
基于可擴(kuò)展標(biāo)記語(yǔ)言xml的web服務(wù)技術(shù)的出現(xiàn)可以在現(xiàn)有的各種異構(gòu)平臺(tái)的基礎(chǔ)上構(gòu)筑一個(gè)通用的、與平臺(tái)無(wú)關(guān)、語(yǔ)言無(wú)關(guān)的技術(shù)層。各種不同平臺(tái)之上的應(yīng)用依靠這個(gè)技術(shù)層來(lái)實(shí)現(xiàn)彼此的連接和集成,改變了目前開發(fā)模式和應(yīng)用部署的費(fèi)用和規(guī)模,因此xml語(yǔ)言已經(jīng)成為現(xiàn)今解決異構(gòu)數(shù)據(jù)交換平臺(tái)中的傳輸介質(zhì)。隨之而來(lái)的xml數(shù)據(jù)處理的安全問(wèn)題成為了當(dāng)前數(shù)據(jù)交換應(yīng)用中的瓶頸之一。
數(shù)據(jù)交換平臺(tái)在運(yùn)行過(guò)程中存在著諸多安全隱患,如篡改數(shù)據(jù)及惡意修改數(shù)據(jù),修改兩臺(tái)交換計(jì)算機(jī)通過(guò)開放式網(wǎng)絡(luò)傳輸?shù)膞ml數(shù)據(jù)信息;交換中的敏感、機(jī)密數(shù)據(jù)被未授權(quán)的實(shí)體截獲等。
針對(duì)上述問(wèn)題,現(xiàn)有技術(shù)中尚無(wú)良好解決方案。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的目的是提供一種數(shù)據(jù)交換方法及設(shè)備,該數(shù)據(jù)交換方法及設(shè)備能夠保證數(shù)據(jù)在從發(fā)送方到接收方的整個(gè)交換過(guò)程中的安全。
為了實(shí)現(xiàn)上述目的,本發(fā)明提供一種數(shù)據(jù)交換方法,該方法包括:從發(fā)送方接收交換信息,該交換信息中包括以下至少之一者:發(fā)送方的地址、請(qǐng)求交換數(shù)據(jù)的時(shí)間、接收方的地址;根據(jù)所述接收方的地址,向所述接收方發(fā)送交換數(shù)據(jù)請(qǐng)求;響應(yīng)于所述接收方對(duì)所述交換數(shù)據(jù)請(qǐng)求的應(yīng)答,在所述發(fā)送方和所述接收方之間建立安全鏈接通道;以及通過(guò)所述安全鏈接通道從所述發(fā)送方接收數(shù)據(jù)并將所接收的數(shù)據(jù)發(fā)送至所述接收方。
進(jìn)一步地,在建立所述安全鏈接通道之后,該方法還包括:將一組公私密鑰對(duì)中的公鑰通過(guò)所述安全鏈接通道發(fā)送至所述發(fā)送方;以及將該組公私密鑰對(duì)中的私鑰通過(guò)所述安全鏈接通道發(fā)送至所述接收方。
進(jìn)一步地,通過(guò)所述安全鏈接通道從所述發(fā)送方接收數(shù)據(jù)的步驟包括:通過(guò)所述安全鏈接通道從所述發(fā)送方接收利用所述公鑰加密的數(shù)據(jù)。
進(jìn)一步地,所述公私密鑰對(duì)所依據(jù)的算法包括sm2或rsa。
進(jìn)一步地,基于安全套接層ssl協(xié)議建立所述安全鏈接通道。
本發(fā)明的另一個(gè)方面,提供了一種數(shù)據(jù)交換設(shè)備,該設(shè)備包括:第一接收裝置,用于從發(fā)送方接收交換信息,該交換信息中包括以下至少之一者:發(fā)送方的地址、請(qǐng)求交換數(shù)據(jù)的時(shí)間、接收方的地址;第一發(fā)送裝置,用于根據(jù)所述接收方的地址,向所述接收方發(fā)送交換數(shù)據(jù)請(qǐng)求;通道建立裝置,用于響應(yīng)于所述接收方對(duì)所述交換數(shù)據(jù)請(qǐng)求的應(yīng)答,在所述發(fā)送方和所述接收方之間建立安全鏈接通道;以及轉(zhuǎn)發(fā)裝置,用于通過(guò)所述安全鏈接通道從所述發(fā)送方接收數(shù)據(jù)并將所接收的數(shù)據(jù)發(fā)送至所述接收方。
進(jìn)一步地,該設(shè)備還包括:第二發(fā)送裝置,用于將一組公私密鑰對(duì)中的公鑰通過(guò)所述安全鏈接通道發(fā)送至所述發(fā)送方;以及將該組公私密鑰對(duì)中的私鑰通過(guò)所述安全鏈接通道發(fā)送至所述接收方。
進(jìn)一步地,所述轉(zhuǎn)發(fā)裝置,用于通過(guò)所述安全鏈接通道從所述發(fā)送方接收利用所述公鑰加密的數(shù)據(jù)。
進(jìn)一步地,所述公私密鑰對(duì)所依據(jù)的算法包括sm2或rsa。
進(jìn)一步地,所述通道建立裝置,用于基于ssl協(xié)議建立所述安全鏈接通道。
通過(guò)上述技術(shù)方案,在發(fā)送方和接收方之間建立安全鏈接通道并通過(guò)該安全鏈接通道將來(lái)自發(fā)送方的數(shù)據(jù)發(fā)送至接收方,能夠保證數(shù)據(jù)發(fā)送的安全性。
本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的具體實(shí)施方式部分予以詳細(xì)說(shuō)明。
附圖說(shuō)明
附圖是用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,并且構(gòu)成說(shuō)明書的一部分,與下面的具體實(shí)施方式一起用于解釋本發(fā)明,但并不構(gòu)成對(duì)本發(fā)明的限制。在附圖中:
圖1是本發(fā)明實(shí)施方式提供的數(shù)據(jù)交換方法流程圖;
圖2是本發(fā)明示例實(shí)施方式提供的數(shù)據(jù)交換方法流程圖;
圖3是本發(fā)明示例實(shí)施方式提供的數(shù)據(jù)交換方法使用場(chǎng)景圖;以及
圖4是本發(fā)明實(shí)施方式提供的數(shù)據(jù)交換設(shè)備組成示意圖。
具體實(shí)施方式
以下結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式進(jìn)行詳細(xì)說(shuō)明。應(yīng)當(dāng)理解的是,此處所描述的具體實(shí)施方式僅用于說(shuō)明和解釋本發(fā)明,并不用于限制本發(fā) 明。
圖1是本發(fā)明實(shí)施方式提供的數(shù)據(jù)交換方法流程圖。如圖1所示,本發(fā)明提供一種數(shù)據(jù)交換方法,該方法可以包括以下步驟:
步驟101:從發(fā)送方接收交換信息,該交換信息中包括以下至少之一者:發(fā)送方的地址、請(qǐng)求交換數(shù)據(jù)的時(shí)間、接收方的地址;
步驟102:根據(jù)所述接收方的地址,向所述接收方發(fā)送交換數(shù)據(jù)請(qǐng)求;
步驟103:響應(yīng)于所述接收方對(duì)所述交換數(shù)據(jù)請(qǐng)求的應(yīng)答,在所述發(fā)送方和所述接收方之間建立安全鏈接通道;以及
步驟104:通過(guò)所述安全鏈接通道從所述發(fā)送方接收數(shù)據(jù)并將所接收的數(shù)據(jù)發(fā)送至所述接收方。
通過(guò)上述技術(shù)方案,在發(fā)送方和接收方之間建立安全鏈接通道并通過(guò)該安全鏈接通道將來(lái)自發(fā)送方的數(shù)據(jù)發(fā)送至接收方,能夠保證數(shù)據(jù)發(fā)送的安全性。
在實(shí)施方式中,交換信息中包括的參數(shù)還可以包括發(fā)送方將要傳送的數(shù)據(jù)量,數(shù)據(jù)接收方可以根據(jù)請(qǐng)求交換數(shù)據(jù)的時(shí)間和/或傳送的數(shù)據(jù)量判斷是否對(duì)交換數(shù)據(jù)請(qǐng)求進(jìn)行應(yīng)答。如果接收方反饋了對(duì)交換數(shù)據(jù)請(qǐng)求的應(yīng)答,在優(yōu)選的實(shí)施方式中,在建立所述安全鏈接通道之后,例如,通過(guò)ssl協(xié)議建立該安全鏈接通道,該方法還可以包括:將一組公私密鑰對(duì)中的公鑰通過(guò)所述安全鏈接通道發(fā)送至所述發(fā)送方;以及將該組公私密鑰對(duì)中的私鑰通過(guò)所述安全鏈接通道發(fā)送至所述接收方。通過(guò)公私密鑰對(duì),數(shù)據(jù)的發(fā)送方可以利用公鑰對(duì)待發(fā)送的數(shù)據(jù)進(jìn)行加密,然后數(shù)據(jù)的接收方可以利用與該公鑰成對(duì)的私鑰對(duì)加密的數(shù)據(jù)進(jìn)行解密,以得到原始數(shù)據(jù)。在實(shí)施方式中,公私密鑰對(duì)所依據(jù)的算法包括sm2或rsa。
其中,sm2算法是國(guó)家密碼管理局于2010年12月17日發(fā)布的橢圓曲線公鑰密碼算法。sm2算法和rsa算法都是公鑰密碼算法,而sm2算法是 一種比rsa更先進(jìn)安全的算法。sm2算法的具體內(nèi)容已在2010年12月17日由國(guó)家商用密碼管理辦公室在國(guó)家密碼管理局公告(第21號(hào))中公布,在此不再贅述。
通過(guò)采用公私密鑰對(duì)對(duì)待發(fā)送的數(shù)據(jù)進(jìn)行加密,能夠進(jìn)一步保證數(shù)據(jù)傳送的安全性,并且數(shù)據(jù)在轉(zhuǎn)發(fā)過(guò)程中保持加密狀態(tài),只有在接收方處才可以被解密,確保了數(shù)據(jù)在傳輸?shù)恼麄€(gè)過(guò)程中都是安全的。
以下結(jié)合圖2和圖3對(duì)本發(fā)明的原理進(jìn)一步說(shuō)明。圖2是本發(fā)明示例實(shí)施方式提供的數(shù)據(jù)交換方法流程圖。圖3是本發(fā)明示例實(shí)施方式提供的數(shù)據(jù)交換方法使用場(chǎng)景圖。在如圖2和圖3所示的實(shí)施方式中可以通過(guò)以下步驟實(shí)現(xiàn)數(shù)據(jù)交換過(guò)程:
步驟201:數(shù)據(jù)發(fā)送方構(gòu)造交換信息。
步驟202:在與數(shù)據(jù)交換設(shè)備(例如,數(shù)據(jù)交換平臺(tái))建立連接之后,發(fā)送方將交換信息報(bào)文發(fā)送至數(shù)據(jù)交換平臺(tái),報(bào)文內(nèi)容中包含了發(fā)送方的地址、請(qǐng)求交換數(shù)據(jù)的時(shí)間、接收方的地址。其中數(shù)據(jù)交換設(shè)備可以包括主機(jī)和加密卡,其中主機(jī)可以用于執(zhí)行數(shù)據(jù)接收發(fā)送以及鏈路建立。
步驟203:數(shù)據(jù)交換平臺(tái)根據(jù)收到的報(bào)文中的接收方地址信息,向接收方發(fā)起交換數(shù)據(jù)的請(qǐng)求,接收方在收到請(qǐng)求信息后將發(fā)送響應(yīng)消息給數(shù)據(jù)交換平臺(tái)。
步驟204:數(shù)據(jù)交換平臺(tái)根據(jù)接收方反饋的響應(yīng)消息,判斷是否執(zhí)行發(fā)送方的數(shù)據(jù)交換請(qǐng)求,如果不執(zhí)行數(shù)據(jù)交換請(qǐng)求,數(shù)據(jù)交換平臺(tái)將構(gòu)造響應(yīng)消息反饋給數(shù)據(jù)發(fā)送方;如果執(zhí)行數(shù)據(jù)交換請(qǐng)求,數(shù)據(jù)交換平臺(tái)將與數(shù)據(jù)發(fā)送方、接收方分別建立基于ssl協(xié)議的安全鏈接通道,平臺(tái)將從加密卡中取得一組公私密鑰對(duì),并將公鑰綁定響應(yīng)消息一并發(fā)送給數(shù)據(jù)發(fā)送方,將對(duì)應(yīng)私鑰綁定另一組響應(yīng)消息發(fā)送給數(shù)據(jù)接收方。其中,加密卡可以用于存儲(chǔ)公私密鑰對(duì),或用于生成公私密鑰對(duì)。
步驟205:數(shù)據(jù)發(fā)送方收到交換平臺(tái)的響應(yīng)消息后進(jìn)行解析。
步驟206:判斷解析的響應(yīng)消息其中是否包含密鑰信息,如果不包含密鑰,則根據(jù)發(fā)送方自身的策略,定時(shí)或立即繼續(xù)向數(shù)據(jù)交換平臺(tái)發(fā)送數(shù)據(jù)交換請(qǐng)求信息,轉(zhuǎn)到步驟202;如果包含密鑰,則轉(zhuǎn)到步驟207進(jìn)行數(shù)據(jù)抽取。
步驟207:數(shù)據(jù)發(fā)送方按照用戶的配置相關(guān)信息完成數(shù)據(jù)的抽取工作。
步驟208:對(duì)于抽取的內(nèi)容,發(fā)送方將用交換平臺(tái)響應(yīng)消息中包含的公鑰進(jìn)行加密,對(duì)于抽取的字段信息,不加密;
步驟209:數(shù)據(jù)經(jīng)過(guò)抽取和加密操作后,發(fā)送方構(gòu)造發(fā)送消息發(fā)送至數(shù)據(jù)交換平臺(tái)。
步驟210:數(shù)據(jù)交換平臺(tái)收到數(shù)據(jù)發(fā)送方的數(shù)據(jù)后,解析出數(shù)據(jù)接收方的地址,并將數(shù)據(jù)發(fā)送方的密文信息發(fā)送至對(duì)應(yīng)接收方。
步驟211:數(shù)據(jù)接收方從數(shù)據(jù)交換平臺(tái)的響應(yīng)消息中解析出私鑰,并以此解密從數(shù)據(jù)交換平臺(tái)發(fā)送過(guò)來(lái)的密文信息。
步驟212:數(shù)據(jù)接收方將解密的數(shù)據(jù)寫入本地?cái)?shù)據(jù)庫(kù)。
圖4是本發(fā)明實(shí)施方式提供的數(shù)據(jù)交換設(shè)備組成示意圖。本發(fā)明的另一個(gè)方面,提供了一種數(shù)據(jù)交換設(shè)備(例如,數(shù)據(jù)交換平臺(tái))400,該設(shè)備可以包括:第一接收裝置401,用于從發(fā)送方接收交換信息,該交換信息中包括以下至少之一者:發(fā)送方的地址、請(qǐng)求交換數(shù)據(jù)的時(shí)間、接收方的地址;第一發(fā)送裝置402,用于根據(jù)所述接收方的地址,向所述接收方發(fā)送交換數(shù)據(jù)請(qǐng)求;通道建立裝置403,用于響應(yīng)于所述接收方對(duì)所述交換數(shù)據(jù)請(qǐng)求的應(yīng)答,在所述發(fā)送方和所述接收方之間建立安全鏈接通道;以及轉(zhuǎn)發(fā)裝置404,用于通過(guò)所述安全鏈接通道從所述發(fā)送方接收數(shù)據(jù)并將所接收的數(shù)據(jù)發(fā)送至所述接收方。
在實(shí)施方式中,該設(shè)備還可以包括:第二發(fā)送裝置405,用于將一組公私密鑰對(duì)中的公鑰通過(guò)所述安全鏈接通道發(fā)送至所述發(fā)送方;以及將該組公 私密鑰對(duì)中的私鑰通過(guò)所述安全鏈接通道發(fā)送至所述接收方。在實(shí)施方式中,轉(zhuǎn)發(fā)裝置404還可以用于通過(guò)所述安全鏈接通道從所述發(fā)送方接收利用所述公鑰加密的數(shù)據(jù)。
通過(guò)本發(fā)明提供的技術(shù)方案,數(shù)據(jù)交換平臺(tái)向數(shù)據(jù)交換請(qǐng)求的雙方發(fā)送公私密鑰對(duì)時(shí),均基于ssl安全通道,確保了密鑰的安全。發(fā)送方的數(shù)據(jù)明文在發(fā)送到數(shù)據(jù)交換平臺(tái)之前,需要用平臺(tái)提供的公鑰進(jìn)行加密,平臺(tái)在本地并沒(méi)有進(jìn)行解密,而是直接轉(zhuǎn)發(fā)給接收方,由接收方在本地進(jìn)行解密,確保了數(shù)據(jù)在交換的整個(gè)過(guò)程中都是安全的。該數(shù)據(jù)交換方法和平臺(tái)的優(yōu)點(diǎn)還有在每次數(shù)據(jù)交換請(qǐng)求發(fā)生時(shí)才由數(shù)據(jù)交換平臺(tái)從加密卡中產(chǎn)生一對(duì)密鑰對(duì),在交換完成時(shí)可以及時(shí)銷毀,有效保證了數(shù)據(jù)交換平臺(tái)的安全性。
以上結(jié)合附圖詳細(xì)描述了本發(fā)明的優(yōu)選實(shí)施方式,但是,本發(fā)明并不限于上述實(shí)施方式中的具體細(xì)節(jié),在本發(fā)明的技術(shù)構(gòu)思范圍內(nèi),可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行多種簡(jiǎn)單變型,這些簡(jiǎn)單變型均屬于本發(fā)明的保護(hù)范圍。
另外需要說(shuō)明的是,在上述具體實(shí)施方式中所描述的各個(gè)具體技術(shù)特征,在不矛盾的情況下,可以通過(guò)任何合適的方式進(jìn)行組合。為了避免不必要的重復(fù),本發(fā)明對(duì)各種可能的組合方式不再另行說(shuō)明。
此外,本發(fā)明的各種不同的實(shí)施方式之間也可以進(jìn)行任意組合,只要其不違背本發(fā)明的思想,其同樣應(yīng)當(dāng)視為本發(fā)明所公開的內(nèi)容。