CN105791294B - 一种实现用户数据完整性和机密性的方法 - Google Patents
一种实现用户数据完整性和机密性的方法 Download PDFInfo
- Publication number
- CN105791294B CN105791294B CN201610123539.5A CN201610123539A CN105791294B CN 105791294 B CN105791294 B CN 105791294B CN 201610123539 A CN201610123539 A CN 201610123539A CN 105791294 B CN105791294 B CN 105791294B
- Authority
- CN
- China
- Prior art keywords
- electronic evidence
- user
- server
- client
- electronic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种无需修改Web业务系统实现用户数据完整性和机密性的方法,涉及信息安全领域。本发明通过一个配置一定策略的HTTP协议过滤装置,根据HTTP请求、回应数据和预定策略,自动生成证明用户操作和服务端认可行为的电子证据并存储用于事后举证的电子证据。本发明实现了业务系统关键数据的完整性,用户和服务端都获得和保存了自己需要的电子证据,在将来发生纠纷时,可以作为证据提供;实现了业务系统关键数据的保密性,用户表单数据、客户端证据和服务端证据在传递的过程中采用加密的形式,防止被非法截获泄密;更无需对业务系统进行修改,只部署和配置HTTP过滤装置就可以完成,简单方便,通用性好。
Description
技术领域
本发明属于信息安全领域,涉及一种无需修改Web业务系统实现用户数据完整性和机密性的方法。
背景技术
随着Web技术在各领域的快速普及和深入应用,如何保护Web系统的安全性成为日益关注的问题,而保护用户数据的完整性和机密性是Web安全的一项重要内容。
目前,流行的方法是通过SSL(Secure Sockets Layer安全套接层)技术实现,该技术是为网络通信提供安全及数据完整性的一种安全协议。SSL协议提供的安全通道有以下三个特性:
机密性:使用密钥加密通信数据,防止数据中途被窃取。
可靠性:服务器和客户都会被认证。
完整性:对传送的数据进行完整性检查,确保数据在传输过程中不被改变。
SSL协议由于其方便性和易用性,受到用户的欢迎,广泛应用于电子商务和电子政务系统中。
虽然SSL协议对传输的数据进行完整性检查,确保数据在传输过程中不被改变,但是该协议并没有存储检查内容和结果作为用户操作的证据,在用户方和系统方对操作出现争议或纠纷时,不能提供足够的证据,来证明:
用户确实在某个时间点执行了某个操作;
执行这个操作时用户确实填写了某些数据内容;
服务端确实在某个时间点接收并认可了用户的操作;
也就是说,SSL协议只保证了传输过程的完整性,并不提供电子证据用于事后举证。
另一方面,有些系统采取修改业务系统深度集成电子签名技术的方法来实现电子证据的生成、验证、存储、取证等功能,需要根据业务系统进行定制开发,工作量大,无法形成通用的解决方案。
发明内容
本发明所要解决的技术问题是提供一种通过一个配置一定策略的HTTP协议过滤装置,根据HTTP请求、回应数据和预定策略,自动生成证明用户操作和服务端认可行为的电子证据,又无需修改Web业务系统,实现用户数据完整性和机密性的方法。
为解决上述技术问题,本发明所采取的技术方案是:一种无需修改Web业务系统实现用户数据完整性和机密性的方法,其特征在于:包括以下步骤:
[1]用户使用客户端向Web业务系统服务端请求进入关键业务操作页面,在Web业务系统的HTTP回应通过HTTP过滤装置时,HTTP 过滤装置根据配置策略检测即将执行的关键业务操作,在HTML回应页面中加入用于表单数据和客户端电子证据加密的Web业务系统服务端加密证书,以及组织页面表单数据、执行电子签名操作、生成电子证据的页面模块和脚本发给客户端;
[2]用户使用客户端填写表单数据并点击提交,客户端将使用用户智能密码钥匙内的签名私钥对执行页面组织电子证据脚本、制作待签名电子证据执行电子签名形成包含用户电子签名的客户端电子证据,以及用于服务端的电子证据加密的用户加密证书随同表单数据一起用Web业务系统服务端证书加密形成的数字信封,提交给Web业务系统服务端;
[3]数字信封到达HTTP过滤装置时,HTTP过滤装置利用Web业务系统服务端私钥进行解密,提取表单数据和客户端电子证据进行有效性验证,若验证失败,则不再请求Web业务系统,直接回应客户端错误页面,并提示用户失败的原因;若验证成功,HTTP过滤装置请求时间戳服务器对客户端电子证据签署时间戳,并加密保存在服务端电子证据数据库中,将解密后的表单数据发给Web业务系统进行处理;
[4]Web业务系统进行业务逻辑处理,并作出业务处理结果回应;
[5]业务处理结果回应通过HTTP过滤装置时,HTTP过滤装置记录业务处理的结果,并与电子证据进行关联,HTTP过滤装置在业务处理成功时,将利用Web业务系统服务端的签名证书对电子证据执行签名形成包含服务端电子签名的服务端电子证据使用步骤2中的用户加密证书加密,随同步骤4的业务处理结果一起反馈给客户端;
[6]客户端显示处理结果,并对服务端电子证据进行解密验证并保存。
进一步的技术方案在于,所述HTTP过滤装置依据包括要求用户提供电子证据页面的URL、电子证据包含页面表单的哪些字段以及这些字段的含义和描述、电子证据数据格式、电子证据模板等策略配置信息工作。
进一步的技术方案在于,所述的电子证据格式采用标准PDF文件格式,所述电子签名格式遵循PDF和PKCS7相关电子签名规范;所述 HTTP过滤装置中制作和配置相关PDF模板。
进一步的技术方案在于,在执行电子签名和加密时采用非对称算法。
进一步的技术方案在于,步骤[3]中表单数据和客户端电子证据进行效性验证内容包括:电子签名的有效性、用户签名证书的有效性以及电子证据中数据和表单数据的一致性。
进一步的技术方案还在于,电子签名和加密的格式采用PKCS7格式。
采用上述技术方案所产生的有益效果在于:本发明具有如下效果:
1.实现了业务系统关键数据的完整性,用户和服务端都获得和保存了自己需要的电子证据,在将来发生纠纷时,可以作为证据提供。
2.实现了业务系统关键数据的保密性,用户表单数据、客户端证据和服务端证据在传递的过程中采用加密的形式,防止被非法截获泄密。
3.技术方案无需业务系统进行修改,只部署和配置过滤装置就可以完成,简单方便,通用性好;
4.电子证据采用标准PDF格式,可以定制PDF模板,可读性好。
附图说明
下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1是本发明流程图。
图2是本发明中过滤装置的内部结构图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
本发明,首先,对HTTP过滤装置进行策略设置,具体的策略包括:要求用户提供电子证据页面的URL、电子证据包含页面表单的哪些字段以及这些字段的含义和描述、电子证据数据格式、电子证据模板等。
用户访问非关键业务操作时,过滤装置并不执行动作,只起到请求和回应传递的作用。用户在访问关键业务操作时步骤如下:
[1]用户使用客户端向Web业务系统服务端请求进入关键业务操作页面,在Web业务系统的HTTP回应通过HTTP过滤装置时,HTTP 过滤装置根据配置策略检测即将执行的关键业务操作,在HTML回应页面中加入用于表单数据和客户端电子证据加密的Web业务系统服务端加密证书,以及组织页面表单数据、执行电子签名操作、生成电子证据的页面模块和脚本发给客户端;
[2]用户使用客户端填写表单数据并点击提交,客户端将使用用户智能密码钥匙内的签名私钥对执行页面组织电子证据脚本、制作待签名电子证据执行电子签名形成包含用户电子签名的客户端电子证据,以及用于服务端的电子证据加密的用户加密证书随同表单数据一起用Web业务系统服务端证书加密形成的数字信封,提交给Web业务系统服务端;
[3]数字信封到达HTTP过滤装置时,HTTP过滤装置利用Web业务系统服务端私钥进行解密,提取表单数据和客户端电子证据进行有效性验证,若验证失败,则不再请求Web业务系统,直接回应客户端错误页面,并提示用户失败的原因;若验证成功,HTTP过滤装置请求时间戳服务器对客户端电子证据签署时间戳,并加密保存在服务端电子证据数据库中,将解密后的表单数据发给Web业务系统进行处理;
[4]Web业务系统进行业务逻辑处理,并作出业务处理结果回应;
[5]业务处理结果回应通过HTTP过滤装置时,HTTP过滤装置记录业务处理的结果,并与电子证据进行关联,HTTP过滤装置在业务处理成功时,将利用Web业务系统服务端的签名证书对电子证据执行签名形成包含服务端电子签名的服务端电子证据使用步骤2中的用户加密证书加密,随同步骤4的业务处理结果一起反馈给客户端;
[6]客户端显示处理结果,并对服务端电子证据进行解密验证并保存。
其中,所述的电子证据格式采用标准PDF文件格式,所述电子签名格式遵循PDF和PKCS7相关电子签名规范;所述HTTP过滤装置中制作和配置相关PDF模板。
其中,在执行电子签名和加密时采用非对称算法。
其中,电子签名和加密的格式采用PKCS7格式。
其中,步骤[3]中表单数据和客户端电子证据进行效性验证内容包括:电子签名的有效性、用户签名证书的有效性以及电子证据中数据和表单数据的一致性。
实施例
如图所示,对本发明作进一步阐述,具体如下:
1、客户端请求进入关键业务操作页面;
2、Web业务系统处理请求进行回应;
3、HTTP过滤装置根据配置策略FDP,修改回应页面,增加服务端加密证书CryptCertServer、电子证据组织策略脚本PS、电子证据模板 EEVT等;
4、客户端在填写表单数据提交时,根据电子证据组织策略脚本 PS,组织电子证据并利用用户私钥SignKeyClient签名生成客户端电子证据EEVClient。EEVClient=(表单数据FORM、电子证据模板EEVT、用户签名证书SignCertClient、用户签名SignClient);
5、对客户端电子证据EEVClient、用户加密证书CryptCertClient、表单数据FORM使用步骤3服务端加密证书CryptCertServer进行加密,提交Web业务系统服务端;
6、HTTP过滤装置使用服务端私钥CryptKeyServer对加密数据解密;
7、HTTP过滤装置提取客户端电子证据EEVClient、表单数据Form,进行电子证据验证,验证成功后,签署生成时间戳TimeStamp,存储电子证据EEVClient和时间戳TimeStamp,提交请求到Web业务系统进行处理;
8、Web业务系统处理请求,生成结果;
9、HTTP过滤装置记录Web业务系统处理结果,利用服务端私钥SignKeyServer执行电子签名生成服务端电子证据EEVServer。EEVserver= (EEVclient(表单数据FORM、电子证据模板EEVT、用户签名证书 SignCertClient、用户签名SignClient)、时间戳TimeStamp、服务端签名证书SignCertServer、服务端签名SignServer);
10、利用用户加密证书CryptCertClient对服务端电子证据EEVServer进行加密,发给客户端;
11、客户端利用客户端加密私钥CryptKeyClient解密加密后的服务端电子证据EEVServer;
12、客户端对服务端电子证据EEVServer进行验证并存储。
Claims (6)
1.一种无需修改Web业务系统实现用户数据完整性和机密性的方法,其特征在于:包括以下步骤:
[1]用户使用客户端向Web业务系统服务端请求进入关键业务操作页面,在Web业务系统的HTTP回应通过HTTP过滤装置时,HTTP过滤装置根据配置策略检测即将执行的关键业务操作,在HTML回应页面中加入用于表单数据和客户端电子证据加密的Web业务系统服务端加密证书,以及组织页面表单数据、执行电子签名操作、生成电子证据的页面模块和脚本发给客户端;
[2]用户使用客户端填写表单数据并点击提交,客户端根据电子证据组织策略组织电子证据,并利用用户智能密码钥匙内的签名私钥签名生成客户端电子证据,所述客户端电子证据内有表单数据、电子证据模板、用户签名证书和用户签名,所述客户端电子证据、用于服务端电子证据加密的用户加密证书、表单数据经Web业务系统服务端证书加密形成数字信封,提给Web业务系统服务端。
[3]数字信封到达HTTP过滤装置时,HTTP过滤装置利用Web业务系统服务端私钥进行解密,提取表单数据和客户端电子证据进行有效性验证,若验证失败,则不再请求Web业务系统,直接回应客户端错误页面,并提示用户失败的原因;若验证成功,HTTP过滤装置请求时间戳服务器对客户端电子证据签署时间戳,并加密保存在服务端电子证据数据库中,将解密后的表单数据发给Web业务系统进行处理;
[4]Web业务系统进行业务逻辑处理,并作出业务处理结果回应;
[5]业务处理结果回应通过HTTP过滤装置时,HTTP过滤装置记录业务处理的结果,并与电子证据进行关联,HTTP过滤装置在业务处理成功时,将利用Web业务系统服务端的签名证书对电子证据执行签名形成包含服务端电子签名的服务端电子证据使用步骤2中的用户加密证书加密,随同步骤4的业务处理结果一起反馈给客户端;
[6]客户端显示处理结果,并对服务端电子证据进行解密验证并保存。
2.根据权利要求1所述的一种无需修改Web业务系统实现用户数据完整性和机密性的方法,其特征在于:所述HTTP过滤装置的策略包括:要求用户提供电子证据页面的URL、电子证据包含页面表单的哪些字段以及这些字段的含义和描述、电子证据数据格式、电子证据模板。
3.根据权利要求1所述的一种无需修改Web业务系统实现用户数据完整性和机密性的方法,其特征在于:所述的电子证据格式采用标准PDF文件格式,所述电子签名格式遵循PDF和PKCS7相关电子签名规范;所述HTTP过滤装置中制作和配置相关PDF模板。
4.根据权利要求1所述的一种无需修改Web业务系统实现用户数据完整性和机密性的方法,其特征在于:在执行电子签名和加密时采用非对称算法。
5.根据权利要求1所述的一种无需修改Web业务系统实现用户数据完整性和机密性的方法,其特征在于:电子签名和加密的格式采用PKCS7格式。
6.根据权利要求1所述的一种无需修改Web业务系统实现用户数据完整性和机密性的方法,其特征在于:步骤[3]中表单数据和客户端电子证据进行效性验证内容包括:电子签名的有效性、用户签名证书的有效性以及电子证据中数据和表单数据的一致性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610123539.5A CN105791294B (zh) | 2016-03-04 | 2016-03-04 | 一种实现用户数据完整性和机密性的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610123539.5A CN105791294B (zh) | 2016-03-04 | 2016-03-04 | 一种实现用户数据完整性和机密性的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105791294A CN105791294A (zh) | 2016-07-20 |
CN105791294B true CN105791294B (zh) | 2020-11-03 |
Family
ID=56387003
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610123539.5A Active CN105791294B (zh) | 2016-03-04 | 2016-03-04 | 一种实现用户数据完整性和机密性的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105791294B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107562707A (zh) * | 2017-08-31 | 2018-01-09 | 湖北灰科信息技术有限公司 | 电子取证方法及装置 |
CN107944009A (zh) * | 2017-12-08 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种记录web应用操作日志的系统和方法 |
CN109756393B (zh) * | 2018-12-27 | 2021-04-30 | 阿里巴巴(中国)有限公司 | 信息处理方法、系统、介质和计算设备 |
CN113254061B (zh) * | 2021-06-02 | 2021-11-09 | 深圳前海大道金融服务有限公司 | 基于规则引擎的业务决策方法、系统及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104199962A (zh) * | 2014-09-19 | 2014-12-10 | 合肥工业大学 | 一种基于三层可信网页取证模型的可信网页取证系统及其取证方法 |
CN104426664A (zh) * | 2013-09-09 | 2015-03-18 | 东方钢铁电子商务有限公司 | 数据保全平台的电子签名方法 |
CN104580242A (zh) * | 2015-01-22 | 2015-04-29 | 杭州安存网络科技有限公司 | 网页证据保全方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6601047B2 (en) * | 2000-03-08 | 2003-07-29 | Inbit Inc. | Image-based digital evidence system and associated method |
-
2016
- 2016-03-04 CN CN201610123539.5A patent/CN105791294B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104426664A (zh) * | 2013-09-09 | 2015-03-18 | 东方钢铁电子商务有限公司 | 数据保全平台的电子签名方法 |
CN104199962A (zh) * | 2014-09-19 | 2014-12-10 | 合肥工业大学 | 一种基于三层可信网页取证模型的可信网页取证系统及其取证方法 |
CN104580242A (zh) * | 2015-01-22 | 2015-04-29 | 杭州安存网络科技有限公司 | 网页证据保全方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105791294A (zh) | 2016-07-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210367795A1 (en) | Identity-Linked Authentication Through A User Certificate System | |
CN109936569B (zh) | 一种基于以太坊区块链的去中心化数字身份登录管理系统 | |
CN108781227B (zh) | 用于在不可信云网络上的加密口令传输的方法和设备 | |
CN101938473B (zh) | 单点登录系统及单点登录方法 | |
CN101860540B (zh) | 一种识别网站服务合法性的方法及装置 | |
WO2016107320A1 (zh) | 网站安全信息的加载方法和浏览器装置 | |
CN102377788B (zh) | 单点登录系统及其单点登录方法 | |
CN105072125B (zh) | 一种http通信系统及方法 | |
US20070118732A1 (en) | Method and system for digitally signing electronic documents | |
CN109450843B (zh) | 一种基于区块链的ssl证书管理方法及系统 | |
US11323274B1 (en) | Certificate authority | |
TW201334493A (zh) | 用於安全金鑰產生的設備、利用終端用戶設備來進行安全金鑰產生的方法及在裝置製造者伺服器中進行安全金鑰產生的方法 | |
EP2710781A1 (en) | Trusted mobile device based security | |
KR20060096979A (ko) | 컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템 | |
CN105791294B (zh) | 一种实现用户数据完整性和机密性的方法 | |
CN101247232A (zh) | 数据交换传输中基于数字签名的加密技术方法 | |
CN104394172A (zh) | 单点登录装置和方法 | |
CN111698225A (zh) | 一种适用于电力调度控制系统的应用服务认证加密方法 | |
CN113114699B (zh) | 一种车辆终端身份证书申请方法 | |
EP2414983B1 (en) | Secure Data System | |
JP2020120173A (ja) | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム | |
CN114760070A (zh) | 数字证书颁发方法、数字证书颁发中心和可读存储介质 | |
JP2020014168A (ja) | 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法 | |
US11888997B1 (en) | Certificate manager | |
CN112235276A (zh) | 主从设备交互方法、装置、系统、电子设备和计算机介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 050000, room 1402, Zijin building, No. 100 Huai Xi Road, Hebei, Shijiazhuang Applicant after: Hebei Teng Xiang Technology Co., Ltd. Address before: 050000, room 1105, Zijin building, No. 100 Huai Xi Road, Shiqiao West, Hebei, Shijiazhuang Applicant before: HEBEI TECSHIELD SOFTWARE TECHNOLOGY CO., LTD. |
|
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |