CN107231368A - 提升面向互联网开放的软件接口安全性的方法 - Google Patents

提升面向互联网开放的软件接口安全性的方法 Download PDF

Info

Publication number
CN107231368A
CN107231368A CN201710481673.7A CN201710481673A CN107231368A CN 107231368 A CN107231368 A CN 107231368A CN 201710481673 A CN201710481673 A CN 201710481673A CN 107231368 A CN107231368 A CN 107231368A
Authority
CN
China
Prior art keywords
sender
key
recipient
ciphertext
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710481673.7A
Other languages
English (en)
Inventor
徐庭锐
祝阳
曾鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN201710481673.7A priority Critical patent/CN107231368A/zh
Publication of CN107231368A publication Critical patent/CN107231368A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及数据通信领域的加解密技术,其公开了一种提升面向互联网开放的软件接口安全性的方法,解决传统技术中采用购买第三方数字安全证书的方式带来的安全性不高的问题。该方法包括:a.发送方生成AES密钥;b.发送方采用自身的RSA私钥对明文数据进行数字签名;c.发送方采用AES密钥对签名后的数据进行加密获得密文1;d.发送方采用接收方的RSA公钥对AES密钥进行加密获得密文2;e.发送方将步骤c和d中获得的密文1和密文2发送给接收方;f.接收方采用自身的RSA公钥对密文2进行解密,获得发送方的AES密钥;g.接收方采用获得的发送方的AES密钥对密文1进行解密。h.接收方对步骤g解密后获得的数据进行数字签名验证。

Description

提升面向互联网开放的软件接口安全性的方法
技术领域
本发明涉及数据通信领域的加解密技术,具体涉及一种提升面向互联网开放的软件接口安全性的方法。
背景技术
随着互联网的发展,对于面向互联网开放的接口来说,保障数据传输的安全性是很重要的,特别是对于银企直连通道服务面向企业财务系统,应用管理系统等对企业资金账户有支付交易、账务查询需求的应用类系统,涉及到系统间数据的交互,尤其是对企业资金账户信息的交互,安全性更加重要。
目前现有方案主要是采用购买第三方数字安全证书的方式来提升安全性,该方式会产生长期的费用,且加解密方式不由开发方控制,完全交由数字证书的发售方保障,如果第三方安全方案泄密会危及采用该系统的安全。
发明内容
本发明所要解决的技术问题是:提出一种提升面向互联网开放的软件接口安全性的方法,解决传统技术中采用购买第三方数字安全证书的方式带来的安全性不高的问题。
本发明解决其技术问题所采用的技术方案是:
提升面向互联网开放的软件接口安全性的方法,包括:客户端和服务端各自生成自身的RSA密钥对,并互换密钥对中的公钥进行保存;在服务端与客户端的交互过程中采用双向加密,即客户端在向服务端发送请求报文时对请求报文进行加密,服务端在向客户端发送响应报文时对响应报文进行加密;以客户端或者服务端作为发送方,相对应的另一方作为接收方,加密步骤包括:
a.发送方生成AES密钥;
b.发送方采用自身的RSA私钥对明文数据进行数字签名;
c.发送方采用AES密钥对签名后的数据进行加密获得密文1;
d.发送方采用接收方的RSA公钥对AES密钥进行加密获得密文2;
e.发送方将步骤c和d中获得的密文1和密文2发送给接收方;
解密步骤包括:
f.接收方采用自身的RSA公钥对密文2进行解密,获得发送方的AES密钥;
g.接收方采用获得的发送方的AES密钥对密文1进行解密;
h.接收方对步骤g解密后获得的数据进行数字签名验证,如果验证通过,则对数据进行处理,如果验证失败,则丢弃该数据并向接收方返回失败消息。
作为进一步优化,步骤h中,所述进行数字签名验证包括:
对步骤g解密后获得的数据进行hash运算获得hash值1,并利用发送方的RSA公钥进行hash运算获得hash值2,将hash1与hash2进行比较,判断是否相同,如果相同,则验证通过,如果不同,则验证失败。
作为进一步优化,客户端和服务端中生成的RSA密钥对中的公钥和私钥均被分片并采用加密算法存储至各自对应的数据库中,交换的RSA公钥也被分片并采用加密算法存储至对方的数据库中,在业务处理时,首先对分片进行解密并组合成相应的密钥。
本发明的有益效果是:
在标准化HTTPS协议通讯的基础上,采用自研发的服务器端和客户端两组非对称性密钥,再配合对称性密钥,对接口交互报文实现双层加解密,增加了安全性;且在服务器端与客户端的交互过程采用双向加密,即:客户端发送给服务器端的报文经过加密处理,同时客户端接收到的服务器端反馈报文经过加密处理,也增加了数据传输安全性。
附图说明
图1为本发明实施例中的提升面向互联网开放的软件接口安全性方法流程图。
具体实施方式
本发明旨在提出一种提升面向互联网开放的软件接口安全性的方法,解决传统技术中采用购买第三方数字安全证书的方式带来的安全性不高的问题。
下面结合附图及实施例对本发明的方案作进一步的描述:
实施例:
提升面向互联网开放的软件接口安全性的方法,包括:客户端和服务端各自生成自身的RSA密钥对,并互换密钥对中的公钥进行保存;在服务端与客户端的交互过程中采用双向加密,即客户端在向服务端发送请求报文时对请求报文进行加密,服务端在向客户端发送响应报文时对响应报文进行加密;
本实施例以客户端作为报文发送方,以服务端作为报文接收方,对加解密流程进行说明。
如图1所示,其包括以下实现步骤:
客户端的加密步骤包括:
1、客户端生成AES密钥;
2、客户端采用自身的RSA私钥对明文数据进行数字签名;
3、客户端采用AES密钥对签名后的数据进行加密获得密文1;
4、客户端采用服务端的RSA公钥对AES密钥进行加密获得密文2;
5、客户端将步骤c和d中获得的密文1和密文2发送给服务端;
解密步骤包括:
6、服务端接收密文1和密文2;
7、服务端采用自身的RSA公钥对密文2进行解密,获得客户端的AES密钥;
8、服务端采用获得的客户端的AES密钥对密文1进行解密;
9、服务端对步骤8解密后获得的数据进行数字签名验证,如果验证通过,则对数据进行处理,如果验证失败,则丢弃该数据并向接收方返回失败消息。
在具体实现上,步骤9中,所述进行数字签名验证包括:
对步骤8解密后获得的数据进行hash运算获得hash值1,并利用客户端的RSA公钥进行hash运算获得hash值2,将hash1与hash2进行比较,判断是否相同,如果相同,则验证通过,如果不同,则验证失败。
为了进一步提升数据的安全性,客户端和服务端中生成的RSA密钥对中的公钥和私钥均被分片并采用加密算法存储至各自对应的数据库中,交换的RSA公钥也被分片并采用加密算法存储至对方的数据库中,在业务处理时,首先对分片进行解密并组合成相应的密钥。如此,密钥就不容易被黑客破解,从而大大提升安全性。

Claims (3)

1.提升面向互联网开放的软件接口安全性的方法,其特征在于,包括:客户端和服务端各自生成自身的RSA密钥对,并互换密钥对中的公钥进行保存;在服务端与客户端的交互过程中采用双向加密,即客户端在向服务端发送请求报文时对请求报文进行加密,服务端在向客户端发送响应报文时对响应报文进行加密;以客户端或者服务端作为发送方,相对应的另一方作为接收方,加密步骤包括:
a.发送方生成AES密钥;
b.发送方采用自身的RSA私钥对明文数据进行数字签名;
c.发送方采用AES密钥对签名后的数据进行加密获得密文1;
d.发送方采用接收方的RSA公钥对AES密钥进行加密获得密文2;
e.发送方将步骤c和d中获得的密文1和密文2发送给接收方;
解密步骤包括:
f.接收方采用自身的RSA公钥对密文2进行解密,获得发送方的AES密钥;
g.接收方采用获得的发送方的AES密钥对密文1进行解密;
h.接收方对步骤g解密后获得的数据进行数字签名验证,如果验证通过,则对数据进行处理,如果验证失败,则丢弃该数据并向接收方返回失败消息。
2.如权利要求1所述的提升面向互联网开放的软件接口安全性的方法,其特征在于,步骤h中,所述进行数字签名验证包括:
对步骤g解密后获得的数据进行hash运算获得hash值1,并利用发送方的RSA公钥进行hash运算获得hash值2,将hash1与hash2进行比较,判断是否相同,如果相同,则验证通过,如果不同,则验证失败。
3.如权利要求1或2所述的提升面向互联网开放的软件接口安全性的方法,其特征在于,客户端和服务端中生成的RSA密钥对中的公钥和私钥均被分片并采用加密算法存储至各自对应的数据库中,交换的RSA公钥也被分片并采用加密算法存储至对方的数据库中,在业务处理时,首先对分片进行解密并组合成相应的密钥。
CN201710481673.7A 2017-06-22 2017-06-22 提升面向互联网开放的软件接口安全性的方法 Pending CN107231368A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710481673.7A CN107231368A (zh) 2017-06-22 2017-06-22 提升面向互联网开放的软件接口安全性的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710481673.7A CN107231368A (zh) 2017-06-22 2017-06-22 提升面向互联网开放的软件接口安全性的方法

Publications (1)

Publication Number Publication Date
CN107231368A true CN107231368A (zh) 2017-10-03

Family

ID=59936086

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710481673.7A Pending CN107231368A (zh) 2017-06-22 2017-06-22 提升面向互联网开放的软件接口安全性的方法

Country Status (1)

Country Link
CN (1) CN107231368A (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107666491A (zh) * 2017-11-15 2018-02-06 北京交通大学 基于对称加密的空地一体化网络的数据传输方法
CN108900301A (zh) * 2018-05-31 2018-11-27 苏州浪潮智能软件有限公司 基于.NET MVC的restful接口安全认证及报文混合加密方法
CN109245905A (zh) * 2018-11-01 2019-01-18 四川长虹电器股份有限公司 基于rsa和aes算法对消息进行数字签名及加密的方法
CN109525387A (zh) * 2018-10-16 2019-03-26 广州市南方人力资源评价中心有限公司 一个基于考试项目自动分组的内网匿名在线沟通监管方法
CN109660543A (zh) * 2018-12-26 2019-04-19 山东浪潮商用系统有限公司 一种消息安全机制的实现方法
CN110011807A (zh) * 2019-03-25 2019-07-12 阿里巴巴集团控股有限公司 一种关键信息维护方法及系统
CN110890968A (zh) * 2019-10-24 2020-03-17 成都卫士通信息产业股份有限公司 一种即时通信方法、装置、设备及计算机可读存储介质
CN111327617A (zh) * 2020-02-25 2020-06-23 北京同邦卓益科技有限公司 数据传输方法、装置、服务器及存储介质
CN113242121A (zh) * 2021-04-15 2021-08-10 哈尔滨工业大学 一种基于组合加密的安全通信方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012110696A1 (en) * 2011-02-15 2012-08-23 P2S Media Group Oy Quarantine method for sellable virtual goods
CN103001976A (zh) * 2012-12-28 2013-03-27 中国科学院计算机网络信息中心 一种安全的网络信息传输方法
CN104023013A (zh) * 2014-05-30 2014-09-03 上海帝联信息科技股份有限公司 数据传输方法、服务端和客户端
CN104038828A (zh) * 2014-05-26 2014-09-10 四川长虹电器股份有限公司 一种基于AES加密RSAhash签名内容保护优化方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012110696A1 (en) * 2011-02-15 2012-08-23 P2S Media Group Oy Quarantine method for sellable virtual goods
CN103001976A (zh) * 2012-12-28 2013-03-27 中国科学院计算机网络信息中心 一种安全的网络信息传输方法
CN104038828A (zh) * 2014-05-26 2014-09-10 四川长虹电器股份有限公司 一种基于AES加密RSAhash签名内容保护优化方法
CN104023013A (zh) * 2014-05-30 2014-09-03 上海帝联信息科技股份有限公司 数据传输方法、服务端和客户端

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张健等主编: "《电子商务和电子政务安全》", 31 January 2012, 武汉大学出版社 *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107666491A (zh) * 2017-11-15 2018-02-06 北京交通大学 基于对称加密的空地一体化网络的数据传输方法
CN107666491B (zh) * 2017-11-15 2020-05-05 北京交通大学 基于对称加密的空地一体化网络的数据传输方法
CN108900301A (zh) * 2018-05-31 2018-11-27 苏州浪潮智能软件有限公司 基于.NET MVC的restful接口安全认证及报文混合加密方法
CN109525387A (zh) * 2018-10-16 2019-03-26 广州市南方人力资源评价中心有限公司 一个基于考试项目自动分组的内网匿名在线沟通监管方法
CN109245905A (zh) * 2018-11-01 2019-01-18 四川长虹电器股份有限公司 基于rsa和aes算法对消息进行数字签名及加密的方法
CN109660543A (zh) * 2018-12-26 2019-04-19 山东浪潮商用系统有限公司 一种消息安全机制的实现方法
CN110011807A (zh) * 2019-03-25 2019-07-12 阿里巴巴集团控股有限公司 一种关键信息维护方法及系统
CN110890968A (zh) * 2019-10-24 2020-03-17 成都卫士通信息产业股份有限公司 一种即时通信方法、装置、设备及计算机可读存储介质
CN111327617A (zh) * 2020-02-25 2020-06-23 北京同邦卓益科技有限公司 数据传输方法、装置、服务器及存储介质
CN111327617B (zh) * 2020-02-25 2022-08-12 北京同邦卓益科技有限公司 数据传输方法、装置、服务器及存储介质
CN113242121A (zh) * 2021-04-15 2021-08-10 哈尔滨工业大学 一种基于组合加密的安全通信方法

Similar Documents

Publication Publication Date Title
CN107231368A (zh) 提升面向互联网开放的软件接口安全性的方法
US20210367753A1 (en) Trusted measurement and control network authentication method based on double cryptographic values and chaotic encryption
US20190173873A1 (en) Identity verification document request handling utilizing a user certificate system and user identity document repository
CN109447647A (zh) 一种基于区块链的安全支付系统
CN110049060A (zh) 基于区块链的分布式可信身份存证方法及系统
CN102651739B (zh) 登录验证方法、系统及im服务器
CN101136777A (zh) 网络管理系统中双加密通道协作的安全管理方法
EP1913728B1 (en) Total exchange session security
CN110519300B (zh) 基于口令双向认证的客户端密钥安全存储方法
CN106341493A (zh) 实体权益数字化电子合同签署方法
CN102685749B (zh) 面向移动终端的无线安全身份验证方法
CN102868531B (zh) 一种网络交易认证系统和网络交易认证方法
US20100310077A1 (en) Method for generating a key pair and transmitting a public key or request file of a certificate in security
CN101515319B (zh) 密钥处理方法、密钥密码学服务系统和密钥协商方法
CN108243166A (zh) 一种基于USBKey的身份认证方法和系统
CN106506168A (zh) 一种安全的基于生物特征远程身份认证的方法
CN101631305B (zh) 一种加密方法及系统
CN104243494B (zh) 一种数据处理方法
CN109359464B (zh) 一种基于区块链技术的无线安全认证方法
CN103634266B (zh) 一种对服务器、终端双向认证的方法
CN101247407A (zh) 网络认证服务系统和方法
US9712519B2 (en) Efficient encryption, escrow and digital signatures
CN101640590A (zh) 一种获取标识密码算法私钥的方法和密码中心
CN107181716A (zh) 一种基于国家商用密码算法的网络安全通信系统及方法
TW201537937A (zh) 統一身份認證平臺及認證方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20171003

RJ01 Rejection of invention patent application after publication