CN109257347A - 适于银企间数据交互的通信方法和相关装置、存储介质 - Google Patents
适于银企间数据交互的通信方法和相关装置、存储介质 Download PDFInfo
- Publication number
- CN109257347A CN109257347A CN201811049838.4A CN201811049838A CN109257347A CN 109257347 A CN109257347 A CN 109257347A CN 201811049838 A CN201811049838 A CN 201811049838A CN 109257347 A CN109257347 A CN 109257347A
- Authority
- CN
- China
- Prior art keywords
- key
- bank
- data
- message
- rsa
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0625—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种适于银企间数据交互的通信方法和相关装置、存储介质。其中,所述通信方法包括:银行端和企业端通过专线网络联通,所述银行端和企业端中发送数据的一方作为发送方,接收数据的一方作为接收方;发送方生成一对RSA密钥对,所述RSA密钥对包括RSA公钥和RSA私钥;发送方将RSA公钥进行加密后发送给接收方;接收方接收并解密经发送方加密的RSA公钥;发送方使用密钥对待发送的报文数据进行加密和数字签名,并发送给接收方;接收方使用对应密钥对数据进行解密和验签。实施本发明,能够提高银企系统网间交互的数据传输安全性。
Description
技术领域
本发明涉及通信领域,更为具体而言,涉及一种适于银企间数据交互的通信方法和相关装置、存储介质。
背景技术
传统的,当企业客户ERP(企业资源计划)系统与银行系统交互时,往往需要借助安全硬件来完成数据加解密,数字签名等操作。客户对数字信息进行签名一般都在客户端USBKEY内执行:将摘要信息用客户USB KEY内的私钥加密,与信息原文一起传送给服务端。服务端使用客户的公钥解密被加密的摘要信息,然后用哈希函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。然而使用硬件USB KEY进行数字签名往往成为系统交互的效率瓶颈,无法灵活进行密钥变更,以及硬件设备使用寿命等局限性。
随着互联网的快速发展,原始的银企(非直联)合作方式,例如使用银行的网银系统B/S模式(浏览器/服务器模式)或通过银行网点进行企业账务处理后,再与企业财务系统进行人工落地对接处理的业务流程,将导致企业业务处理不连贯,工作效率低,并且在保证银行系统与企业财务系统账务一致性问题上存在风险。
银企直联可以彻底解决以上弊端,同时银企直联系统利用成熟的商密技术,实现客户系统与银行系统间的身份认证、安全加密、数字签名等各方面的安全需求,向客户提供不间断的银行服务,实现了企业ERP或财务系统业务操作的7*24连续性,针对有特殊要求的客户也可量身定制个性化的应用服务。为满足各类型客户的银企直联需求,银行系统需提供功能全面、接口规范统一、接入方式灵活方便的银企直连服务系统给企业客户使用。
然而银企直连双方,无论是银行端服务系统和客户ERP系统都面临着相同的安全问题,如何快速、安全识别对端身份,保证银企系统间数据传输的机密和完整已经成为企业管理者面临的核心问题之一。
发明内容
为解决上述技术问题,本发明提供了一种适于银企间数据交互的通信方法和相关装置、存储介质,通过专线网络联通银企双系统,银企双方各自生成的RSA密钥对,其中RSA公钥加密互换,并且3DES对称密钥加密传输,在交换数据时发送方和接收方分别利用3DES对称密钥进行加密和解密,签名时利用各自生成的RSA私钥进行签名,以及通过解密收到的对端RSA公钥进行验签,从而实现了一种不依赖于硬件密码芯片,而是基于专线与网络访问权限控制,结合软加密以及数字签名的多层次、全方位的银企交互安全保障策略。
根据本发明实施方式的第一面,提供了一种适于银企间数据交互的通信方法,包括:银行端和企业端通过专线网络联通,所述银行端和企业端中发送数据的一方作为发送方,接收数据的一方作为接收方;其中,所述通信方法包括:发送方生成一对RSA密钥对,所述RSA密钥对包括RSA公钥和RSA私钥;发送方将RSA公钥进行加密后发送给接收方;发送方使用3DES对称密钥对待发送的报文数据进行加密,并使用所述RSA私钥对原始数据进行数字签名得到签名数据;发送方将加密后的报文数据和签名数据发送给接收方。
在本发明的一些实施方式中,所述通信方法还包括:接收方接收所述发送方经加密发送的RSA公钥,并解密得到所述RSA公钥;接收方接收所述发送方发送的加密后的报文数据和签名数据;接收方使用3DES对称密钥对报文数据进行解密,使用所述RSA公钥对签名数据进行验签。
在本发明的一些实施方式中,所述通信方法还包括:发送方和接收方中的一方生成3DES对称密钥,并将生成的3DES对称密钥加密发送给发送方和接收方中的另一方。
在本发明的一些实施方式中,所述通信方法还包括:所述另一方接收所述经加密的3DES对称密钥,然后解密得到3DES对称密钥。
在本发明的一些实施方式中,所述待发送报文包括请求内容或响应内容。
根据本发明实施方式的第二方面,提供了一种适于银企间数据交互的通信装置,所述通信装置包括:第一密钥生成模块,用于生成一对RSA密钥对,所述RSA密钥对包括RSA公钥和RSA私钥;第一密钥发送模块,用于将RSA公钥进行加密后发送给对端;报文加密模块,使用3DES对称密钥对待发送的报文数据进行加密;数字签名模块,使用所述RSA私钥对原始数据进行数字签名得到签名数据;报文发送模块,将加密后的报文数据和签名数据发送给对端。
在本发明的一些实施方式中,所述通信装置还包括:第一密钥接收模块,用于接收所述对端经加密发送的RSA公钥,并解密得到对端的RSA公钥;报文接收模块,用于接收对端发送的加密后的报文数据和签名数据;报文解密模块,使用3DES对称密钥对收到的报文数据进行解密;以及签名验证模块,使用所述对端的RSA公钥对收到的签名数据进行验签。
在本发明的一些实施方式中,所述通信装置还包括:第二密钥生成模块,用于生成3DES对称密钥;第二密钥发送模块,用于将所述3DES对称密钥加密发送给对端。
在本发明的一些实施方式中,所述通信装置还包括:第二密钥接收模块,用于接收对端经加密发送的3DES对称密钥,并解密得到所述3DES对称密钥。
在本发明的一些实施方式中,所述待发送报文包括请求内容或响应内容。
根据本发明实施例的第三方面,提供一种计算机可读存储介质,所述计算机存储介质上存储有计算机可读指令,其中,所述计算机可读指令被处理器执行时,使得计算机执行如下操作:所述操作包括如上中任意一项所述银企间数据交互的通信方法所包含的步骤。
根据本发明实施例的第四方面,提供一种适于银企间数据交互的通信装置,所述通信装置包括:存储器,存储有计算机可读指令;处理器,执行所述计算机可读指令以执行如上所述银企间数据交互的通信方法所包含的步骤。
本发明实施方式提供的适于银企间数据交互的通信方法、相关装置和存储介质,通过采用安全密码算法、数字证书、数字签名、访问控制等技术,实现了银企系统交互身份认证安全、数据传输安全、数据存储安全、数据加密安全、密钥调用安全等关键技术功能,构建了银企系统网间交互的可信安全服务体系。
附图说明
图1是根据本发明实施方式所适用的场景示意图;
图2是根据本发明一种实施方式中实现银企双方密钥交互的示意图;
图3是根据本发明一种实施方式中实现银企双方密钥交互中的密钥加密交互方法的流程示意图;
图4是根据本发明一种实施方式的用于企业端向银行端发送请求报文以及银行端向企业端返回响应报文的通信方法的示意图;
图5是根据本发明一种实施方式的用于银行端向企业端发送请求报文以及企业端向银行端返回响应报文的通信方法的示意图;
图6是根据本发明一种实施方式的用于银企间数据交互的通信装置的结构示意图。
具体实施方式
以下结合附图和具体实施方式对本发明的各个方面进行详细阐述。其中,众所周知的模块、单元及其相互之间的连接、链接、通信或操作没有示出或未作详细说明。并且,所描述的特征、架构或功能可在一个或一个以上实施方式中以任何方式组合。本领域技术人员应当理解,下述的各种实施方式只用于举例说明,而非用于限制本发明的保护范围。还可以容易理解,本文所述和附图所示的各实施方式中的模块或单元或处理方式可以按各种不同配置进行组合和设计。
下面对本文中使用的术语进行简要说明。
ERP,Enterprise Resource Planning企业资源计划
USB,Universal Serial Bus通用串行总线
QoS,Quality of Service服务质量
IP,Internet Protocol网络之间互连的协议
3DES,TDEA,Triple Data Encryption Algorithm三重数据加密算法。
RSA,公钥加密算法。
MD5WithRSA,结合MD5与RSA的签名算法。
图1是根据本发明实施方式所适用的场景示意图。
其中,银行端和企业端通过专线网络联通。网络专线就是为某个机构拉一条独立的网线,也就是一个独立的局域网,让用户的数据传输变得可靠可信,专线的优点就是安全性好,QoS可以得到保证。通过网络访问权限控制,限制发起方的IP地址,规定访问端口,只有在合法范围内的访问才能接入系统。从而在访问权限控制方面,在基础网络层面保障银企系统网间交互的数据传输的安全和对客户身份的严格把关。
其中,企业端100包括业务模块101和传输模块102,银行端200包括银行内部业务逻辑201和接入接出模块202。其中,传输模块都包括:密钥加密交互模块10、签名验签模块11、加密解密模块12以及通讯模块。银企双方通过各自的传输模块将业务模块中的各种请求以及响应做交互,实现银企间的通信。
图2是根据本发明一种实施方式中实现银企双方密钥交互的示意图。
其中,企业端100和企业端200各自生成一对RSA密钥对,企业端RSA密钥对包括企业端RSA私钥110和企业端RSA公钥111,银行端RSA密钥对包括银行端RSA私钥210和银行端RSA公钥211,企业端和银行端将各自生成的RSA公钥通过密钥加密交互模块10发送给对端,此外,企业端和银行端还包括3DES对称密钥,所述3DES对称密钥可以由企业端或者银行端生成,并且,企业端和银行端其中一端生成3DES对称密钥后将该对称密钥通过密钥加密交互10发送给另一端。
在本发明的实施方式中,图2中密钥加密交互模块10即图1中企业端和银行端传输模块中的密钥加密交互模块10。
图3是根据本发明一种实施方式中实现银企双方密钥交互中的密钥加密交互方法的流程示意图。
在本发明的实施方式中,图2中密钥加密交互模块10的具体操作方法即图3所示实现银企双方密钥交互中密钥加密交互的方法。
如图3所示,本发明的一种实施方式中用于实现银企双方密钥交互中的密钥加密交互方法可包括:处理S31和处理S32,下面对上述的处理进行具体的描述。
在处理S31中,使用双方约定的特定规则的密钥,使用DES加密算法做加密后传输。其中,双方约定的特定规则的密钥可以使用国际通用密钥,从而降低系统双方的开发难度,并且支持线上实时变更密钥,简化了密钥变更的流程,降低了密钥泄露的风险。
在处理S32中,使用双方约定的特定规则的密钥,使用DES解密算法进行解密。其中,双方约定的特定规则的密钥可以使用国际通用密钥,从而降低系统双方的开发难度,并且支持线上实时变更密钥,简化了密钥变更的流程,降低了密钥泄露的风险。
在本发明的实施方式中,企业端RSA公钥、银行端RSA公钥和3DES对称密钥的加密发送即通过图3所述的方法做密钥交互。
图4是根据本发明一种实施方式的用于企业端向银行端发送请求报文以及银行端向企业端返回响应报文的示意图。
如图4所示,本发明一种实施方式的用于企业端向银行端发送请求报文以及银行端向企业端返回响应报文的通信方法可包括:处理S11、处理S12、处理S13、处理S14、处理S15、处理S16、处理S17、处理S18、处理S19、处理S20、处理S21、处理S22和处理S23,下面对上述的处理进行具体描述。
如图4所示,企业端100为处理业务模块101中的业务,首先使用企业端RSA私钥110对请求报文做请求报文数字签名处理S11,得到签名数据,其次企业端100做发送签名数据处理S12,将签名数据发送给银行端200,随后企业端使用由银行端生成并加密发送,由企业端解密得到的3DES对称密钥(或由企业端生成的3DES对称密钥)对企业端将要发送的请求报文做请求报文加密处理S13,得到加密报文,企业端100做发送加密报文处理S14,将加密报文发送给银行端200。
在本发明的实施方式中,请求报文数字签名处理S11包括:企业端通过使用企业端生成的企业端RSA私钥110对待发送的请求报文用MD5WithRSA签名算法做数字签名,得到签名数据。
在本发明的实施方式中,请求报文的报文加密处理S13包括:企业端将待发送的报文数据使用企业端解密得到的银行端生成的3DES对称密钥(或企业端生成的3DES对称密钥)并应用3DES算法进行报文加密,得到加密报文。
在本发明的可选实施方式中,处理S11、S12和处理S13、S14的顺序可以改变。即企业端可以先做处理S13和S14,后做处理S11和S12,也可以在做处理S11和S12的同时做处理S13和S14。
在处理S15中,银行端200接收加密报文并解密,其方法可以为:银行端200使用银行端生成的3DES对称密钥212(或解密得到的企业端生成的3DES对称密钥112)并应用3DES算法对加密报文进行解密。
在处理S16中,银行端200接收签名数据并验签,其方法可以为:银行端200使用解密得到的企业端RSA公钥111对接收到的数字签名数据使用MD5WithRSA算法进行验签。此时,银行端200得到企业端100发送的请求报文。
在处理S17中,银行端200根据企业端100发送的请求报文产生响应报文。
在处理S18中,银行端200对响应报文做数字签名,其方法可以为:银行端200通过使用银行端生成的银行端私钥210对待返回企业端的响应报文用MD5WithRSA签名算法做数字签名,得到签名数据。
在处理S19中,银行端200将签名数据发送给企业端100。
在处理S20中,银行端200对响应报文做报文加密,其方法可以为:银行端200使用银行端生成的3DES对称密钥212(或解密得到的企业端生成的3DES对称密钥112)并使用3DES算法对银行端将要返回企业端的响应报文做报文加密,得到加密报文。
在处理S21中,银行端200将加密报文发送给企业端100。
在本发明的可选实施方式中,处理S18、S19和处理S20、S21的顺序可以改变。即企业端可以先做处理S18和S19,后做处理S20和S21,也可以在做处理S18和S19的同时做处理S20和S21。
在处理S22中,企业端100接收银行端200发送的加密报文并解密,其方法可以为:企业端100使用解密得到的银行端生成的3DES对称密钥212(或企业端生成的3DES对称密钥112)并应用3DES算法对加密报文进行解密。
在处理S23中,企业端100接收银行端200发送的签名数据并验签,其方法可以为:企业端100使用解密得到的银行端RSA公钥211对接收到的数字签名数据使用MD5WithRSA算法进行验签。此时,企业端根据解密及验签结果得到了银行端对企业端发送的请求的响应内容。
在本发明的实施方式中,每当企业端需要执行业务模块中的各项业务时,只需重复上述S11至S23的步骤即可。
图5是根据本发明一种实施方式的用于银行端向企业端发送请求报文以及企业端向银行端返回响应报文的通信方法的示意图。
如图5所示,本发明一种实施方式的用于企业端向银行端发送请求报文以及银行端向企业端返回响应报文的通信方法可包括:处理S31、处理S32、处理S33、处理S34、处理S35、处理S36、处理S37、处理S38、处理S39、处理S40、处理S41、处理S42和处理S43,下面对上述的处理进行具体描述。
在处理S31中,银行端200对请求报文做数字签名,其方法可以为:银行端200通过使用银行端生成的银行端私钥210对待发送给企业端的请求报文用MD5WithRSA签名算法做数字签名,得到签名数据。
在处理S32中,银行端200将签名数据发送给企业端100。
在处理S33中,银行端200对请求报文做报文加密,其方法可以为:银行端200使用银行端生成的3DES对称密钥212(或解密得到的企业端生成的3DES对称密钥112)并使用3DES算法对银行端将要发送给企业端的请求报文做报文加密,得到加密报文。
在处理S34中,银行端200将加密报文发送给企业端100。
在本发明的可选实施方式中,处理S31、S32和处理S33、S34的顺序可以改变。即企业端可以先做处理S31和S32,后做处理S33和S34,也可以在做处理S31和S32的同时做处理S33和S34。
在处理S35中,企业端100接收加密报文并解密,其方法可以为:企业端100使用解密得到的银行端生成的3DES对称密钥212(或企业端生成的3DES对称密钥112)并应用3DES算法对加密报文进行解密。
在处理S36中,企业端100接收签名数据并验签,其方法可以为:企业端100使用解密得到的银行端RSA公钥211对接收到的数字签名数据使用MD5WithRSA算法进行验签。此时,企业端100得到银行端200发送的请求报文。
在处理S37中,企业端100根据银行端200发送的请求报文产生响应报文。
在处理S38中,企业端100对响应报文做数字签名,其方法可以为:企业端100通过使用企业端生成的企业端私钥110对待返回企业端的响应报文用MD5WithRSA签名算法做数字签名,得到签名数据。
在处理S39中,企业端100将签名数据发送给银行端200。
在处理S40中,企业端100对响应报文做报文加密,其方法可以为:企业端100使用解密得到的银行端生成的3DES对称密钥212(或企业端生成的3DES对称密钥112)并使用3DES算法对企业端将要返回银行端的响应报文做报文加密,得到加密报文。
在处理S41中,企业端100将加密报文发送给银行端200。
在本发明的可选实施方式中,处理S38、S39和处理S40、S41的顺序可以改变。即企业端可以先做处理S38和S39,后做处理S40和S41,也可以在做处理S38和S39的同时做处理S40和S41。
在处理S42中,银行端接收企业端100发送的加密报文并解密,其方法可以为:银行端200使用银行端生成的3DES对称密钥212(或解密得到的企业端生成的3DES对称密钥112)并应用3DES算法对加密报文进行解密。
在处理S43中,银行端200接收企业端100发送的签名数据并验签,其方法可以为:银行端200使用解密得到的企业端RSA公钥111对接收到的数字签名数据使用MD5WithRSA算法进行验签。此时,银行端根据解密及验签结果得到了企业端对银行端发送的请求的响应内容。
在本发明的实施方式中,每当银行端需要执行业务模块中的各项业务时,只需重复上述S31至S43的步骤即可。
根据本发明的通信方法,银行端和企业端通过专线网络联通,银企间数据传输时利用多种软加密算法和数字签名算法的组合,并通过对密钥互换的过程中使用加密传输的方法,使得攻击者无法对传输数据进行篡改或伪装,保证了银企系统网间交互的核心安全问题,同时,减少了客户使用硬件介质的繁琐问题,提高了系统效率。
图6是根据本发明一种实施方式的用于银企间数据交互的通信装置的结构示意图。所述通信装置布置在银行端和企业端。
参见图6,所述通信装置可包括:
第一密钥生成模块301,用于生成一对RSA密钥对,所述RSA密钥对包括RSA公钥和RSA私钥;
第一密钥发送模块302,用于将生成的RSA公钥加密发送给对端系统;
第二密钥生成模块303,用于生成3DES对称密钥;
第二密钥发送模块304,用于将生成的3DES对称密钥加密发送给对端系统;
第一密钥接收模块305,用于接收对端经加密发送的RSA公钥,并解密得到对端RSA公钥;
第二密钥接收模块306,用于接收对端经加密发送的3DES对称密钥,并解密得到所述3DES对称密钥;
数字签名模块307,用由第一密钥生成模块301生成的所述RSA私钥对原始数据进行数字签名得到签名数据;
报文加密模块308,使用由第二密钥生成模块303生成的3DES对称密钥对待发送的报文数据进行加密得到加密报文;
报文发送模块309,将数字签名模块和报文加密模块得到的签名数据和加密报文发送给对端系统;
报文接收模块310,用于接收对端报文发送模块发送的签名数据和加密报文;
报文解密模块311,使用3DES对称密钥对收到的报文数据进行解密;
签名认证模块312,使用所述对端RSA公钥对接收的签名数据进行验签。
在本发明的一种实施方式中,对照图1中的各模块,图6中的第一密钥发送模块302、第二密钥发送模块304、第一密钥接收模块305和第二密钥接收模块306可对应分布于图1中的密钥加密交互模块10;图6中的数字签名模块307和签名验证模块312可对应分布于图1中的签名验签模块11;图6中的报文加密模块308和报文解密模块311可对应分布于图1中的加密解密模块12。
在本发明的实施方式中,第一密钥发送模块303和第二密钥发送模块304中加密发送的方法可以为:使用银企双方约定的特定规则的密钥,使用DES加密算法做加密后传输。其中,双方约定的特定规则的密钥可以使用国际通用密钥,从而降低系统双方的开发难度,并且支持线上实时变更密钥,简化了密钥变更的流程,降低了密钥泄露的风险。
在本发明的实施方式中,第一密钥接收模块305和第二密钥接收模块306中解密的方法可以为:使用双方约定的特定规则的密钥,使用DES解密算法进行解密。其中,双方约定的特定规则的密钥可以使用国际通用密钥,从而降低系统双方的开发难度,并且支持线上实时变更密钥,简化了密钥变更的流程,降低了密钥泄露的风险。
在本发明的实施方式中,数字签名模块307中签名方法可以为:过使用第一密钥生成模块301生成的RSA私钥对原始数据使用MD5WithRSA签名算法做数字签名,得到签名数据。
在本发明的实施方式中,报文加密模块308中报文加密方法可以为:将待发送的报文数据使用第二密钥生成模块303生成的3DES对称密钥(或第二密钥接收模块解密得到的3DES对称密钥)并应用3DES算法进行加密,得到加密报文。
在本发明的实施方式中,报文解密模块311中解密方法可以为:使用第二密钥生成模块303生成的3DES对称密钥(或第二密钥接收模块解密得到的3DES对称密钥)并应用3DES算法对加密报文进行解密。
在本发明的实施方式中,签名认证模块312中验签方法可以为:使用第一密钥接收模块305得到的对端RSA公钥对接收到的加密后的数字签名数据使用MD5WithRSA算法进行验签。
在本发明的实施方式中,当实现的是企业端向银行端发送请求以及银行端向企业端发送响应的过程时,首先银企双方的第一密钥生成模块生成各自的RSA密钥对;其中,各自生成的RSA公钥通过第一密钥发送模块发送给对端;对端通过第一密钥接收模块得到解密后的对端RSA公钥;银行端通过第二密钥生成模块生成3DES对称密钥(或企业端通过第二密钥生成模块生成3DES对称密钥);银行端通过第二密钥发送模块将加密后的3DES对称密钥发送给企业端(或企业端通过第二密钥发送模块将加密后的3DES对称密钥发送给银行端);企业端通过第二密钥接收模块得到解密后的3DES对称密钥(或银行端通过第二密钥接收模块得到解密后的3DES对称密钥);企业端通过报文加密模块对所以发送的请求进行报文加密得到加密报文;企业端通过数字签名模块对请求进行签名得到签名数据;企业端通过报文发送模块将加密报文和签名数据发送给银行端;银行端通过报文接收模块接收企业端发送的加密报文和签名数据;银行端通过报文解密模块对企业端发送的加密报文进行解密;银行端通过签名认证模块对企业端发送的签名数据进行解密验签;银行端经过验签后将结果作为响应内容,通过银行端的报文加密模块将响应内容进行加密得到加密报文;银行端通过数字签名模块对响应内容进行数字签名得到签名数据;银行端通过报文发送模块将加密报文和签名数据发送给企业端;企业端通过报文接收模块,接收银行端发送的加密报文及签名数据;企业端通过报文解密模块对收到的加密报文进行解密;企业端通过签名认证模块对收到的签名数据进行验签,得到银行端的响应内容。
本发明的另一种实施方式中实现的是银行端向企业端发送请求以及企业端向银行端发送响应的过程。该过程包括:首先银企双方的第一密钥生成模块生成各自的RSA密钥对;其中,各自生成的RSA公钥通过第一密钥发送模块发送给对端;对端通过第一密钥接收模块得到解密后的对端RSA公钥;银行端通过第二密钥生成模块生成3DES对称密钥(或企业端通过第二密钥生成模块生成3DES对称密钥);银行端通过第二密钥发送模块将加密后的3DES对称密钥发送给企业端(或企业端通过第二密钥发送模块将加密后的3DES对称密钥发送给银行端);企业端通过第二密钥接收模块得到解密后的3DES对称密钥(或银行端通过第二密钥接收模块得到解密后的3DES对称密钥);银行端通过报文加密模块对所以发送的请求进行报文加密得到加密报文;银行端通过数字签名模块对请求进行签名得到签名数据;银行端通过报文发送模块将加密报文和签名数据发送给企业端;企业端通过报文接收模块接收银行端发送的加密报文和签名数据;企业端通过报文解密模块对银行端发送的加密报文进行解密;企业端通过签名认证模块对银行端发送的签名数据进行解密验签;企业端经过验签后将结果作为响应内容,通过企业端的报文加密模块将响应内容进行加密得到加密报文;企业端通过数字签名模块对响应内容进行数字签名得到签名数据;企业端通过报文发送模块将加密报文和签名数据发送给银行端;银行端通过报文接收模块,接收企业端发送的加密报文及签名数据;银行端通过报文解密模块对收到的加密报文进行解密;银行端通过签名认证模块对收到的签名数据进行验签,得到企业端的响应内容。
通过上述实施例中的方法,可以保证银企系统双方身份认证,以及数据传输的安全性。
另外,本发明还提供一种计算机可读存储介质,所述计算机存储介质上存储有计算机可读指令,其中,所述计算机可读指令被处理器执行时,使得计算机执行如下操作:所述操作包括如上中任意一项所述银企间数据交互的通信方法所包含的步骤,在此不再赘述。其中,所述存储介质可以包括:例如,光盘、硬盘、软盘、闪存、磁带等。
另外,本发明还提供一种适于银企间数据交互的通信装置,所述通信装置包括:存储器,存储有计算机可读指令;处理器,执行所述计算机可读指令以执行如上所述银企间数据交互的通信方法所包含的步骤。所述通信装置可以是,例如,服务器、台式计算机、笔记本计算机、平板电脑等。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件结合硬件平台的方式来实现。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本发明说明书中使用的术语和措辞仅仅为了举例说明,并不意味构成限定。本领域技术人员应当理解,在不脱离所公开的实施方式的基本原理的前提下,对上述实施方式中的各细节可进行各种变化。因此,本发明的范围只由权利要求确定,在权利要求中,除非另有说明,所有的术语应按最宽泛合理的意思进行理解。
Claims (12)
1.一种适于银企间数据交互的通信方法,其特征在于,银行端和企业端通过专线网络联通,所述银行端和企业端中发送数据的一方作为发送方,接收数据的一方作为接收方;
其中,所述通信方法包括:
发送方生成一对RSA密钥对,所述RSA密钥对包括RSA公钥和RSA私钥;
发送方将RSA公钥进行加密后发送给接收方;
发送方使用3DES对称密钥对待发送的报文数据进行加密,并使用所述RSA私钥对原始数据进行数字签名得到签名数据;
发送方将加密后的报文数据和签名数据发送给接收方。
2.如权利要求1所述的通信方法,其特征在于,所述通信方法还包括:
接收方接收所述发送方经加密发送的RSA公钥,并解密得到所述RSA公钥;
接收方接收所述发送方发送的加密后的报文数据和签名数据;
接收方使用3DES对称密钥对报文数据进行解密,使用所述RSA公钥对签名数据进行验签。
3.如权利要求1所述的通信方法,其特征在于,所述通信方法还包括:
发送方和接收方中的一方生成3DES对称密钥,并将生成的3DES对称密钥加密发送给发送方和接收方中的另一方。
4.如权利要求3所述的通信方法,其特征在于,所述通信方法还包括:
所述另一方生接收所述经加密的3DES对称密钥,然后解密得到3DES对称密钥。
5.如权利要求1所述的通信方法,其特征在于,所述待发送报文包括请求内容或响应内容。
6.一种适于银企间数据交互的通信装置,其特征在于,所述通信装置包括:
第一密钥生成模块,用于生成一对RSA密钥对,所述RSA密钥对包括RSA公钥和RSA私钥;
第一密钥发送模块,用于将RSA公钥进行加密后发送给对端;
报文加密模块,使用3DES对称密钥对待发送的报文数据进行加密;
数字签名模块,使用所述RSA私钥对原始数据进行数字签名得到签名数据;
报文发送模块,将加密后的报文数据和签名数据发送给对端。
7.如权利要求6所述的通信装置,其特征在于,所述通信装置还包括:
第一密钥接收模块,用于接收所述对端经加密发送的RSA公钥,并解密得到对端的RSA公钥;
报文接收模块,用于接收对端发送的加密后的报文数据和签名数据;
报文解密模块,使用3DES对称密钥对收到的报文数据进行解密;以及
签名验证模块,使用对端的RSA公钥对收到的签名数据进行验签。
8.如权利要求6所述的通信装置,其特征在于,所述通信装置还包括:
第二密钥生成模块,用于生成3DES对称密钥;
第二密钥发送模块,用于将所述3DES对称密钥加密发送给对端。
9.如权利要求6所述的通信装置,其特征在于,所述通信装置还包括:
第二密钥接收模块,用于接收对端经加密发送的3DES对称密钥,并解密得到所述3DES对称密钥。
10.如权利要求6所述的通信装置,其特征在于,所述待发送报文包括请求内容或响应内容。
11.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机可读指令,该所述计算机可读指令被处理器执行时所述处理器进行权利要求1-5任意一项所述的方法所述的操作。
12.一种通信设备,其特征在于,所述通信设备包括:
存储器,存储有计算机可读指令;
处理器,执行所述计算机可读指令以进行权利要求1-5任意一项所述的方法所述的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811049838.4A CN109257347A (zh) | 2018-09-10 | 2018-09-10 | 适于银企间数据交互的通信方法和相关装置、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811049838.4A CN109257347A (zh) | 2018-09-10 | 2018-09-10 | 适于银企间数据交互的通信方法和相关装置、存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109257347A true CN109257347A (zh) | 2019-01-22 |
Family
ID=65047276
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811049838.4A Pending CN109257347A (zh) | 2018-09-10 | 2018-09-10 | 适于银企间数据交互的通信方法和相关装置、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109257347A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109245905A (zh) * | 2018-11-01 | 2019-01-18 | 四川长虹电器股份有限公司 | 基于rsa和aes算法对消息进行数字签名及加密的方法 |
| CN110380861A (zh) * | 2019-06-25 | 2019-10-25 | 深圳易普森科技股份有限公司 | 数字认证及其加密传输方法、系统和存储介质 |
| CN110503415A (zh) * | 2019-08-22 | 2019-11-26 | 浪潮软件集团有限公司 | 一种内外网隔离的在线银行打款安全防护方法 |
| CN112235261A (zh) * | 2020-09-26 | 2021-01-15 | 建信金融科技有限责任公司 | 报文加密与解密方法、装置、电子设备及可读存储介质 |
| CN112235274A (zh) * | 2020-09-30 | 2021-01-15 | 上海艾融软件股份有限公司 | 支持多种加密算法进行安全通信的银企直连系统和方法 |
| CN112422510A (zh) * | 2020-10-22 | 2021-02-26 | 山东浪潮通软信息科技有限公司 | 基于dmz区的数据传输方法和系统 |
| CN113438083A (zh) * | 2021-06-22 | 2021-09-24 | 中国工商银行股份有限公司 | 基于接口自动化测试的加验签方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102185691A (zh) * | 2011-03-31 | 2011-09-14 | 中山大学深圳研究院 | 基于数字家庭的综合业务卡信息加密方法 |
| CN105162607A (zh) * | 2015-10-12 | 2015-12-16 | 武汉瑞纳捷电子技术有限公司 | 一种支付账单凭证的认证方法及系统 |
| CN106604268A (zh) * | 2015-10-15 | 2017-04-26 | 中兴通讯股份有限公司 | 一种语音加密方法、系统和终端 |
| CN108121918A (zh) * | 2017-12-29 | 2018-06-05 | 福建省农村信用社联合社 | 一种银行内外部服务双向协作系统及方法 |
-
2018
- 2018-09-10 CN CN201811049838.4A patent/CN109257347A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102185691A (zh) * | 2011-03-31 | 2011-09-14 | 中山大学深圳研究院 | 基于数字家庭的综合业务卡信息加密方法 |
| CN105162607A (zh) * | 2015-10-12 | 2015-12-16 | 武汉瑞纳捷电子技术有限公司 | 一种支付账单凭证的认证方法及系统 |
| CN106604268A (zh) * | 2015-10-15 | 2017-04-26 | 中兴通讯股份有限公司 | 一种语音加密方法、系统和终端 |
| CN108121918A (zh) * | 2017-12-29 | 2018-06-05 | 福建省农村信用社联合社 | 一种银行内外部服务双向协作系统及方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109245905A (zh) * | 2018-11-01 | 2019-01-18 | 四川长虹电器股份有限公司 | 基于rsa和aes算法对消息进行数字签名及加密的方法 |
| CN110380861A (zh) * | 2019-06-25 | 2019-10-25 | 深圳易普森科技股份有限公司 | 数字认证及其加密传输方法、系统和存储介质 |
| CN110503415A (zh) * | 2019-08-22 | 2019-11-26 | 浪潮软件集团有限公司 | 一种内外网隔离的在线银行打款安全防护方法 |
| CN112235261A (zh) * | 2020-09-26 | 2021-01-15 | 建信金融科技有限责任公司 | 报文加密与解密方法、装置、电子设备及可读存储介质 |
| CN112235274A (zh) * | 2020-09-30 | 2021-01-15 | 上海艾融软件股份有限公司 | 支持多种加密算法进行安全通信的银企直连系统和方法 |
| CN112235274B (zh) * | 2020-09-30 | 2023-01-24 | 上海艾融软件股份有限公司 | 支持多种加密算法进行安全通信的银企直连系统和方法 |
| CN112422510A (zh) * | 2020-10-22 | 2021-02-26 | 山东浪潮通软信息科技有限公司 | 基于dmz区的数据传输方法和系统 |
| CN113438083A (zh) * | 2021-06-22 | 2021-09-24 | 中国工商银行股份有限公司 | 基于接口自动化测试的加验签方法及装置 |
| CN113438083B (zh) * | 2021-06-22 | 2023-04-07 | 中国工商银行股份有限公司 | 基于接口自动化测试的加验签方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109257347A (zh) | 适于银企间数据交互的通信方法和相关装置、存储介质 | |
| CN106161402B (zh) | 基于云环境的加密机密钥注入系统、方法及装置 | |
| US9948624B2 (en) | Key downloading method, management method, downloading management method, device and system | |
| CN108566381A (zh) | 一种安全升级方法、装置、服务器、设备和介质 | |
| CN104917741B (zh) | 一种基于usbkey的明文文档公网安全传输系统 | |
| CN111431713B (zh) | 一种私钥存储方法、装置和相关设备 | |
| CN107040369A (zh) | 数据传输方法、装置及系统 | |
| CN107453868A (zh) | 一种安全高效的量子密钥服务方法 | |
| CN107465689A (zh) | 云环境下的虚拟可信平台模块的密钥管理系统及方法 | |
| CN112400299B (zh) | 一种数据交互方法及相关设备 | |
| CN108347419A (zh) | 数据传输方法和装置 | |
| CN109800588B (zh) | 条码动态加密方法及装置、条码动态解密方法及装置 | |
| CN101815091A (zh) | 密码提供设备、密码认证系统和密码认证方法 | |
| CN107172056A (zh) | 一种信道安全确定方法、装置、系统、客户端及服务器 | |
| CN107516196A (zh) | 一种移动支付系统及其移动支付方法 | |
| CN106576043A (zh) | 病毒式可分配可信消息传送 | |
| CN105812349B (zh) | 一种基于身份信息的非对称密钥分发及消息加密方法 | |
| CN109905350A (zh) | 一种数据传输方法及系统 | |
| CN106656490B (zh) | 量子白板数据存储方法 | |
| CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
| CN104917807A (zh) | 资源转移方法、装置和系统 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| CN110046906A (zh) | 一种mpos机与服务器的双向认证交易方法及系统 | |
| EP1079565A2 (en) | Method of securely establishing a secure communication link via an unsecured communication network | |
| CN103997405B (zh) | 一种密钥生成方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190122 |
|
| WD01 | Invention patent application deemed withdrawn after publication |