CN112333172B - 签名验签方法及系统 - Google Patents
签名验签方法及系统 Download PDFInfo
- Publication number
- CN112333172B CN112333172B CN202011175080.6A CN202011175080A CN112333172B CN 112333172 B CN112333172 B CN 112333172B CN 202011175080 A CN202011175080 A CN 202011175080A CN 112333172 B CN112333172 B CN 112333172B
- Authority
- CN
- China
- Prior art keywords
- signature verification
- load balancing
- signature
- logical
- logic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Finance (AREA)
- Accounting & Taxation (AREA)
- Development Economics (AREA)
- Technology Law (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种签名验签方法及系统,其中签名验签方法包括:接收业务系统发送的签名交易报文;在确定证书主题标识集具有证书主题标识的情况下,查询与业务系统标识对应的第一逻辑分组;由第一逻辑分组中的签名验签服务器基于证书主题标识确定私钥,并利用私钥对业务数据执行签名操作;在第一逻辑分组的资源使用状态为忙碌状态,则确定资源使用状态为空闲状态的第二逻辑分组,从第二逻辑分组中调配一个或多个签名验签服务器标识至第一逻辑分组中。本申请为了使得签名验签服务器的资源利用最大化,可以从第二逻辑分组中调配一个或多个签名验签服务器标识至第一逻辑分组中,以便合理调配签名验签服务器的资源,提升资源利用率。
Description
技术领域
本申请涉及通信技术领域,尤其涉及签名验签方法及系统。
背景技术
在网络通讯中,双方借助电子化手段验证对方身份、保证信息完整性、抗抵赖性,其中一种实现方式就是通过数字签名与数字签名验证。
相关技术中,签名验签系统可以包括多个签名验签分组,每个签名验签分组包括多台应用服务器,多台应用服务器分别与两台签名验签服务器相连,以便在其中一台签名验签服务器出现故障时,可以使用另外一台签名验签服务器。
但是,由于每个分组均部署相同数量的签名验签服务器,且,签名验签服务器数量无法调整,因此当分组中的签名验签的交易量过大时会具有较长时延,当分组中的签名验签的交易量过小时会具有较多空闲资源。
相关技术中,签名验签系统中签名验签服务器进行资源利用较差,无法使得签名验签服务器的资源利用最大化。
发明内容
鉴于此,本申请提供一种签名验签方法及系统,可以使得签名验签服务器的资源利用最大化。
为了实现上述目的,本发明提供了下述技术特征:
一种签名验签方法,包括:
接收业务系统发送的签名交易报文;其中,所述签名交易报文包括业务系统标识、业务数据以及证书主题标识;
在确定证书主题标识集具有所述证书主题标识的情况下,查询与所述业务系统标识对应的第一逻辑分组;
由所述第一逻辑分组中的签名验签服务器基于所述证书主题标识确定私钥,并利用所述私钥对业务数据执行签名操作;
在所述第一逻辑分组的资源使用状态为忙碌状态,则确定资源使用状态为空闲状态的第二逻辑分组,从所述第二逻辑分组中调配一个或多个签名验签服务器标识至所述第一逻辑分组中。
可选的,所述查询与所述业务系统标识对应的第一逻辑分组包括:
从业务系统分组列表中,查询与所述业务系统标识对应的逻辑分组标识;
确定所述逻辑分组标识对应的逻辑分组为所述第一逻辑分组;
可选的,还包括:
响应于业务系统发出的调整分组请求,调整所述业务系统分组列表中与所述业务系统标识对应的逻辑分组标识。
可选的,所述确定所述第一逻辑分组的资源使用状态包括:
确定所述第一逻辑分组中各个签名验签服务器的工作状态;
当处于忙碌状态的签名验签服务器的数量占比大于预设阈值,则确定所述第一逻辑分组的资源使用状态为忙碌状态;
当处于忙碌状态的签名验签服务器的数量占比不大于预设阈值,则确定所述第一逻辑分组的资源使用状态非忙碌状态。
可选的,从所述第二逻辑分组中调配一个或多个签名验签服务器标识至所述第一逻辑分组中包括:
按照签名验签服务器的资源使用率,对第二逻辑分组中签名验签服务器进行排序操作;
按资源使用率从小到大的顺序确定一个或多个签名验签服务器标识;
删除所述第二逻辑分组中所述一个或多个签名验签服务器标识,向所述第一逻辑分组中添加所述一个或多个签名验签服务器标识。
可选的,还包括:
接收业务系统发送的签名验证交易报文;其中,所述签名交易报文包括业务系统标识、签名数据以及证书主题标识;
从多个逻辑分组中随机确定一个逻辑分组;
由所述逻辑分组中的签名验签服务器基于所述证书主题标识确定对应的公钥,并利用所述公钥对签名数据执行验签操作。
一种签名验签系统,包括:
第一硬件负载均衡设备;
与所述第一硬件负载均衡设备相连的多个应用服务器;
与所述多个应用服务器相连的负载均衡设备集;
与所述负载均衡设备集相连的多个签名验签服务器;其中所述多个签名验签服务器预先分为多个逻辑分组;
与所述多个应用服务器相连的数据库服务器;
所述第一硬件负载均衡设备,用于接收业务系统发送的签名交易报文;其中,所述签名交易报文包括业务系统标识、业务数据以及证书主题标识;在所述多个应用服务器中执行负载均衡操作,并发送签名交易报文至负载均衡操作确定一个应用服务器;
应用服务器,用于查询与所述业务系统标识对应的第一逻辑分组;发送签名交易报文至所述负载均衡设备集中所述第一逻辑分组对应的负载均衡设备;
所述负载均衡设备集中所述第一逻辑分组对应的负载均衡设备,用于存储有确定证书主题标识集,在确定证书主题标识集具有所述证书主题标识的情况下执行负载均衡操作,并发送签名交易报文至负载均衡操作确定一个签名验签服务器;
签名验签服务器,用于基于所述证书主题标识确定私钥,并利用所述私钥对业务数据执行签名操作;
所述数据库服务器,用于在所述第一逻辑分组的资源使用状态为忙碌状态,则确定资源使用状态为空闲状态的第二逻辑分组,从所述第二逻辑分组中调配一个或多个签名验签服务器标识至所述第一逻辑分组中。
可选的,包括:
所述第一硬件负载均衡设备,用于接收业务系统发送的签名验证交易报文;其中,所述签名验证交易报文包括业务系统标识、签名数据以及证书主题标识;在所述多个应用服务器中执行负载均衡操作,并发送签名验证交易报文至负载均衡操作确定一个应用服务器;
应用服务器,用于从多个逻辑分组中随机确定一个逻辑分组,并发送签名验证交易报文至所述负载均衡设备集中所述逻辑分组对应的负载均衡设备;
所述负载均衡设备集中所述逻辑分组对应的负载均衡设备,随机发送签名验证交易报文至一个签名验签服务器;
签名验签服务器,用于基于所述证书主题标识确定对应的公钥,并利用所述公钥对签名数据执行验签操作。
可选的,还包括:
所述负载均衡设备集包括与逻辑分组数量相同的负载均衡设备,每个负载均衡设备负责一个逻辑分组的负载均衡操作;
所述负载均衡设备集包括一个负载均衡设备,负载均衡设备负责各个逻辑分组的负载均衡操作。
可选的,还包括:
第二硬件负载均衡设备;
与所述第二硬件负载均衡设备相连的多个应用服务器;
与所述多个应用服务器相连的负载均衡设备集;
与所述负载均衡设备集相连的多个签名验签服务器;其中所述多个签名验签服务器预先分为多个逻辑分组;
与所述负载均衡设备集相连的数据库服务器;
与所述第一硬件负载均衡设备和第二硬件负载均衡设备相连的域名解析设备;
其中域名解析设备,用于接收业务系统发送的签名交易报文或签名验证交易报文,基于就近原则发送签名交易报文或签名验证交易报文至第一硬件负载均衡设备或第二硬件负载均衡设备,以实现灾备切换。
通过以上技术手段,可以实现以下有益效果:
本申请公开了一种签名验签方法,预先将多个签名验签服务器分为多个逻辑分组,基于逻辑分组来执行签名操作以及签名验签服务器的资源利用最大化。
在接收业务系统发送的签名交易报文后,验证证书主题标识集是否具有证书主题标识,在确定证书主题标识集具有所述证书主题标识的情况下确定业务系统具有证书使用权限。
本申请还可以查询与所述业务系统标识对应的第一逻辑分组,由第一逻辑分组中的签名验签服务器基于证书主题标识确定私钥,并利用私钥对业务数据执行签名操作。
为了使得签名验签服务器的资源利用最大化,可以确定第一逻辑分组的资源使用状态是否为忙碌状态,若为忙碌状态,确定资源使用状态为空闲状态的第二逻辑分组,从第二逻辑分组中调配一个或多个签名验签服务器标识至第一逻辑分组中,以便合理调配签名验签服务器的资源,提升资源利用率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种签名验签系统的实施例一的结构示意图;
图2为本申请实施例公开的一种签名验签系统的实施例二的结构示意图;
图3为本申请实施例公开的一种签名验签方法实施例一的流程图;
图4为本申请实施例公开的一种签名验签方法实施例二的流程图;
图5为本申请实施例公开的一种签名验签系统的实施例三的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1,本发明提供了一种签名验签系统的实施例一,包括:
第一硬件负载均衡设备110;
与所述第一硬件负载均衡设备110相连的多个应用服务器120;
与所述多个应用服务器120相连的负载均衡设备集130;
与所述负载均衡设备集130相连的多个签名验签服务器140;其中所述多个签名验签服务器预先分为多个逻辑分组;
与所述多个应用服务器120相连的数据库服务器150。
本实施例中,多个应用服务器位于逻辑分组之外,不受逻辑分组的限制,应用服务器可以接收不同业务系统的签名交易报文或签名验签交易报文,并转发签名交易报文或签名验签交易报文至相应的逻辑分组中进行签名操作或验签操作。
在同一逻辑分组中,签名验签服务器的服务配置、硬件类似,因为同一逻辑分组的业务系统属于同类,所以签名验签服务器的配置相同,这样可以合理的隔离不同逻辑分组的签名验签服务器。当改变一个逻辑分组内签名验签服务器的配置调整时,不影响其它逻辑分组中签名验签服务器。
为了提高双活灾备切换能力,参见图2,本发明提供了一种签名验签系统的实施例二,包括:
域名解析设备100;
与域名解析设备100相连的第一硬件负载均衡设备110,和,第二硬件负载均衡设备210。
与所述第一硬件负载均衡设备110相连的多个应用服务器120;
与所述多个应用服务器120相连的负载均衡设备集130;
与所述负载均衡设备集130相连的多个签名验签服务器140;其中所述多个签名验签服务器预先分为多个逻辑分组;
与所述多个应用服务器120相连的数据库服务器150。
与所述第二硬件负载均衡设备210相连的多个应用服务器220;
与所述多个应用服务器220相连的负载均衡设备集230;
与所述负载均衡设备集230相连的多个签名验签服务器240;其中所述多个签名验签服务器预先分为多个逻辑分组;
与所述多个应用服务器220相连的数据库服务器250。
与图1不同的是,图2具有第一硬件负载均衡设备110和第二硬件负载均衡设备210,两个硬件负载均衡设备位于不同的地理位置,以便具有灾备切换能力,以及,就近处理能力、提高响应速度的能力。
在图1所述的签名验签系统中,第一硬件负载均衡设备110直接接收业务系统发送的签名交易报文,在图2所述的签名验签系统中,域名解析设备100直接接收业务系统发送的签名交易报文,并根据业务系统的地理位置来就近为发送签名交易报文至第一硬件负载均衡设备110或第二硬件负载均衡设备210。
例如,北京、上海实现双活灾备,域名解析设备(智能DNS设备)映射北京、上海两端硬件负载均衡设备的IP地址,签名验签系统对外开放统一域名,智能DNS设备依据就近原则,将签名交易报文或签名验签交易报文发送至北京端或上海端;当上海端或北京端宕机后,切断宕机端交易流,同时另一端接管所有交易流,待宕机端恢复运营时再将交易进行分流。
参见图3,本发明提供一种签名验签方法实施例一,应用于图1或图2所示的签名验签系统,所述方法包括以下步骤:
步骤S301:接收业务系统发送的签名交易报文;其中,所述签名交易报文包括业务系统标识、业务数据以及证书主题标识。
业务系统已经预先向PKI系统申请证书,所以业务系统在需要对业务数据执行签名操作时,可以向签名验签系统发送签名交易报文。签名交易报文中包括用于表示业务系统的业务系统标识、待签名的业务数据以及用于区分不同私钥的证书主题标识。
步骤S302:在确定证书主题标识集具有所述证书主题标识的情况下,查询与所述业务系统标识对应的第一逻辑分组。
为了验证业务系统是否有证书使用权限,可以判断具有合法性的证书主题标识集中是否具有证书主题标识,若有则表示具有权限,否则表示不具有权限,向业务系统反馈不具有证书使用权限的提示消息。
签名验签系统预先存储业务系统分组列表,从业务系统分组列表中查询与所述业务系统标识对应的逻辑分组标识;确定所述逻辑分组标识对应的逻辑分组为所述第一逻辑分组。
不同逻辑分组可以用于不同应用场景,以便采用不同的签名方式,采用合理方式来隔离业务。
以三个逻辑分组为例,第一逻辑分组用于电子银行与互联网金融小组,第二逻辑分组用于机构和外联,第三分组用于内部运营和管理。每个逻辑分组中的签名验签服务器均存储该逻辑分组中业务系统所需私钥即可,避免签名验签服务器存储全量私钥,避免私钥外泄、冒用。
步骤S303:由所述第一逻辑分组中的签名验签服务器基于所述证书主题标识确定私钥,并利用所述私钥对业务数据执行签名操作。
签名验签服务器中存储有该逻辑分组中业务系统所需的私钥,由于私钥较多,所以基于证书主题标识确定私钥,并基于私钥对业务数据执行签名操作,至于签名操作的具体实现方式已为成熟技术,在此不再赘述。
在签名操作之后获得签名数据,发送签名数据至业务系统。
步骤S304:在所述第一逻辑分组的资源使用状态为忙碌状态,则确定资源使用状态为空闲状态的第二逻辑分组,从所述第二逻辑分组中调配一个或多个签名验签服务器标识至所述第一逻辑分组中。
步骤S301~S303与步骤S304为并行执行的操作,签名验签系统会定期判断各个逻辑分组的资源使用状态。
以第一逻辑分组为例,可以确定所述第一逻辑分组中各个签名验签服务器的工作状态;当处于忙碌状态的签名验签服务器的数量占比大于预设阈值,则确定所述第一逻辑分组的资源使用状态为忙碌状态;当处于忙碌状态的签名验签服务器的数量占比不大于预设阈值,则确定所述第一逻辑分组的资源使用状态非忙碌状态。
以第一逻辑分组为例,在第一逻辑分组的资源使用状态为忙碌状态,则从资源使用状态为空闲状态的第二逻辑分组中,调配一个或多个签名验签服务器标识至所述第一逻辑分组中,以便合理分配签名验签服务器的资源利用率。
可选的,为了更好的分配空闲签名验签服务器至第一逻辑分组中,可以按照签名验签服务器的资源使用率,对第二逻辑分组中签名验签服务器进行排序操作;按资源使用率从小到大的顺序确定一个或多个签名验签服务器标识;删除所述第二逻辑分组中所述一个或多个签名验签服务器标识,向所述第一逻辑分组中添加所述一个或多个签名验签服务器标识。
另外,还可以将添加进入的签名验签服务器中添加该逻辑分组所需的私钥。
可选的,所述方法还包括:响应于业务系统发出的调整分组请求,调整所述业务系统分组列表中与所述业务系统标识对应的逻辑分组标识。在业务系统的业务发生变更后,可以调整逻辑分组标识。
可选的,所述方法还包括:响应于业务系统的证书使用权限退订操作,删除或无效证书主题标识集中的证书主题标识,以便排除业务系统的证书使用权限。
通过上述实施例可以得知本申请具有以下有益效果:
本实施例将签名验签服务器分为多个逻辑分组,物理上并没有进行分组。
第一,不同逻辑分组可以用于不同应用场景,以便采用不同的签名方式,采用合理方式来隔离业务。每个逻辑分组中的签名验签服务器均存储该逻辑分组中业务系统所需私钥即可,避免签名验签服务器存储全量私钥,避免私钥外泄、冒用。
第二,在数据传输层面,使用证书主题标识作为私钥的索引方式,私钥保存在签名验签服务器之中且不可导出,避免私钥在除签名验签服务器之外存储。
第三,为了使得签名验签服务器的资源利用最大化,可以确定第一逻辑分组的资源使用状态是否为忙碌状态,若为忙碌状态,确定资源使用状态为空闲状态的第二逻辑分组,从第二逻辑分组中调配一个或多个签名验签服务器标识至第一逻辑分组中,以便合理调配签名验签服务器的资源,提升资源利用率。
第四,将签名验签服务器分为多个逻辑分组,物理上并没有进行分组,因此当业务系统的逻辑分组发生变动时,可通过修改业务系统所属的逻辑分组即可完成逻辑分组改变,而不需要物理上的变动(网线改动、IP地址变动等)。
第五,当业务系统退订证书使用权限也即下线时,只需将该业务系统的业务系统标识删除或将置为失效即可,灵活方便、易于控制。
参见图4,本发明提供一种签名验签方法实施例二,应用于图1或图2所示的签名验签系统,所述方法包括以下步骤:
步骤S401:接收业务系统发送的签名验证交易报文;其中,所述签名交易报文包括业务系统标识、签名数据以及证书主题标识。
当业务系统接收另外一个业务系统发送的签名数据后,为了验证签名数据之后是否为完整签名数据,是否为恶意攻击者所攻击,可以将签名数据发送至签名验签系统。
业务系统发送的签名验证交易报文包括:所述签名交易报文包括业务系统标识、签名数据以及证书主题标识。
步骤S402:从多个逻辑分组中随机确定一个逻辑分组。
由于签名验证采用的是公钥,所以不需验证权限。可以随机确定一个逻辑分组分配至该逻辑分组中的一个签名验签服务器。
当然,为了进一步提升资源利用率,可以分类至资源使用状态处于空闲状态的逻辑分组中的一个签名验签服务器。
步骤S403:由所述逻辑分组中的签名验签服务器基于所述证书主题标识确定对应的公钥,并利用所述公钥对签名数据执行验签操作。
下面提供一个场景实施例。
参见图5,为一种签名验签系统实施例三的结构示意图。
智能DNS1(域名解析设备)后端IP映射有两个IP地址,分别为硬件负载均衡1(上海端)和硬件负载均衡2(北京端),每端硬件负载均衡设备挂载若干应用服务器,每个应用服务器下挂载逻辑分组的硬件负载均衡。
以应用服务器1为例,应用服务器1挂载硬件负载均衡3~5,而硬件负载均衡3~5分别代表逻辑分组1、逻辑分组2、逻辑分组3,同理,另一端也是如此。
以硬件负载均衡3为例,硬件负载均衡3下挂载签名验签服务器若干台作为逻辑分组1的资源池,硬件负载均衡4下挂载签名验签服务器若干台作为分组2的资源池,硬件负载均衡5下挂载签名验签服务器若干台作为分组3资源池,同理,另一端架构亦是如此。
签名操作流程:
业务系统1发送签名交易报文至签名验签系统,智能DNS 1对业务系统1的IP位置进行解析,根据就近原则,将业务系统1的签名交易报文发送至硬件负载均衡1或负载均衡。
以签名交易发送至硬件负载均衡1为例,当硬件负载均衡1接收到交易后,轮询发送至应用服务器1至应用服务器4中负载最小的1个应用服务器。
当应用服务器接收到签名交易报文后,先查询签名交易报文中的业务系统标识(AppId)是否在应用配置表中,若在,则签名交易报中的业务系统标识(AppId)查找应用数据缓存中该业务系统1所属逻辑分组编号。
将签名交易报文发送至对应逻辑分组的负载均衡,再根据签名交易报文中的证书主题标识,查询该业务系统1是否有证书使用权限。
若有权限,则负载均衡将交易报文发送至逻辑分组内任一签名验签服务器,签名验签服务器确定证书主题标识对应是的私钥,基于私钥进行签名操作;若无证书使用权限则返回错误。
签名验证操作流程:
当业务系统1发送签名验证交易报文至签名验签系统,智能DNS 1对业务系统1的IP位置进行解析,根据就近原则,将业务系统1的签名验证交易报文发送至硬件负载均衡1或硬件负载均衡2。
以签名验证交易发送至硬件负载均衡1为例,当硬件负载均衡1接收到交易后,轮询发送至应用服务器1至应用服务器4其中1台应用服务器。
当应用服务器接收到签名验证交易报文后,由于签名验证操作所用的是用公钥验证,不需要对权限控制,所以可随机发送至任一逻辑分组中的任一签名验签服务器即可完成签名验证交易。
当然,为了进一步提高资源利用率,可以发送至资源状态处于空闲状态中的逻辑分组中的签名验签服务器,以便完成签名验证操作。
参见图1,本申请提供一种签名验签系统实施例一,包括:
第一硬件负载均衡设备110;
与所述第一硬件负载均衡设备110相连的多个应用服务器120;
与所述多个应用服务器120相连的负载均衡设备集130;
与所述负载均衡设备集130相连的多个签名验签服务器140;其中所述多个签名验签服务器预先分为多个逻辑分组;
与所述多个应用服务器120相连的数据库服务器150。
所述第一硬件负载均衡设备,用于接收业务系统发送的签名验证交易报文;其中,所述签名验证交易报文包括业务系统标识、业务数据以及证书主题标识;在所述多个应用服务器中执行负载均衡操作,并发送签名验证交易报文至负载均衡操作确定一个应用服务器;
应用服务器,用于查询与所述业务系统标识对应的第一逻辑分组;发送签名验证交易报文至所述负载均衡设备集中所述第一逻辑分组对应的负载均衡设备;
所述负载均衡设备集中所述第一逻辑分组对应的负载均衡设备,用于存储有确定证书主题标识集,在确定证书主题标识集具有所述证书主题标识的情况下执行负载均衡操作,并发送签名验证交易报文至负载均衡操作确定一个签名验签服务器;
签名验签服务器,用于基于所述证书主题标识确定私钥,并利用所述私钥对业务数据执行签名操作;
所述数据库服务器,用于在所述第一逻辑分组的资源使用状态为忙碌状态,则确定资源使用状态为空闲状态的第二逻辑分组,从所述第二逻辑分组中调配一个或多个签名验签服务器标识至所述第一逻辑分组中。
其中,所述第一硬件负载均衡设备,用于接收业务系统发送的签名验证交易报文;其中,所述签名验证交易报文包括业务系统标识、签名数据以及证书主题标识;在所述多个应用服务器中执行负载均衡操作,并发送签名验证交易报文至负载均衡操作确定一个应用服务器;
应用服务器,用于从多个逻辑分组中随机确定一个逻辑分组,并发送签名验证交易报文至所述负载均衡设备集中所述逻辑分组对应的负载均衡设备;
所述负载均衡设备集中所述逻辑分组对应的负载均衡设备,随机发送签名验证交易报文至一个签名验签服务器;
签名验签服务器,用于基于所述证书主题标识确定对应的公钥,并利用所述公钥对签名数据执行验签操作。
其中,所述负载均衡设备集包括与逻辑分组数量相同的负载均衡设备,每个负载均衡设备负责一个逻辑分组的负载均衡操作;
所述负载均衡设备集包括一个负载均衡设备,负载均衡设备负责各个逻辑分组的负载均衡操作。
参见图1,本申请提供一种签名验签系统实施例二,包括:
域名解析设备100;
与域名解析设备100相连的第一硬件负载均衡设备110,和,第二硬件负载均衡设备210。
与所述第一硬件负载均衡设备110相连的多个应用服务器120;
与所述多个应用服务器120相连的负载均衡设备集130;
与所述负载均衡设备集130相连的多个签名验签服务器140;其中所述多个签名验签服务器预先分为多个逻辑分组;
与多个应用服务器120相连的数据库服务器150。
与所述第二硬件负载均衡设备210相连的多个应用服务器220;
与所述多个应用服务器220相连的负载均衡设备集230;
与所述负载均衡设备集230相连的多个签名验签服务器240;其中所述多个签名验签服务器预先分为多个逻辑分组;
与所述多个应用服务器220相连的数据库服务器250。
其中域名解析设备,用于接收业务系统发送的签名验证交易报文或签名验证交易报文,基于就近原则发送签名验证交易报文或签名验证交易报文至第一硬件负载均衡设备或第二硬件负载均衡设备,以实现灾备切换。
本实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种签名验签方法,其特征在于,包括:
接收业务系统发送的签名交易报文;其中,所述签名交易报文包括业务系统标识、业务数据以及证书主题标识;
在确定证书主题标识集具有所述证书主题标识的情况下,查询与所述业务系统标识对应的第一逻辑分组;
由所述第一逻辑分组中的签名验签服务器基于所述证书主题标识确定私钥,并利用所述私钥对业务数据执行签名操作;
在确定所述第一逻辑分组的资源使用状态为忙碌状态时,则确定资源使用状态为空闲状态的第二逻辑分组,从所述第二逻辑分组中调配一个或多个签名验签服务器标识至所述第一逻辑分组中;
接收业务系统发送的签名验证交易报文;其中,所述签名交易报文包括业务系统标识、签名数据以及证书主题标识;
从多个逻辑分组中随机确定一个逻辑分组;
由所述逻辑分组中的签名验签服务器基于所述证书主题标识确定对应的公钥,并利用所述公钥对签名数据执行验签操作。
2.如权利要求1所述的方法,其特征在于,所述查询与所述业务系统标识对应的第一逻辑分组包括:
从业务系统分组列表中,查询与所述业务系统标识对应的逻辑分组标识;
确定所述逻辑分组标识对应的逻辑分组为所述第一逻辑分组。
3.如权利要求2所述的方法,其特征在于,还包括:
响应于业务系统发出的调整分组请求,调整所述业务系统分组列表中与所述业务系统标识对应的逻辑分组标识。
4.如权利要求2所述的方法,其特征在于,所述确定所述第一逻辑分组的资源使用状态包括:
确定所述第一逻辑分组中各个签名验签服务器的工作状态;
当处于忙碌状态的签名验签服务器的数量占比大于预设阈值,则确定所述第一逻辑分组的资源使用状态为忙碌状态;
当处于忙碌状态的签名验签服务器的数量占比不大于预设阈值,则确定所述第一逻辑分组的资源使用状态非忙碌状态。
5.如权利要求4所述的方法,其特征在于,从所述第二逻辑分组中调配一个或多个签名验签服务器标识至所述第一逻辑分组中包括:
按照签名验签服务器的资源使用率,对第二逻辑分组中签名验签服务器进行排序操作;
按资源使用率从小到大的顺序确定一个或多个签名验签服务器标识;
删除所述第二逻辑分组中所述一个或多个签名验签服务器标识,向所述第一逻辑分组中添加所述一个或多个签名验签服务器标识。
6.一种签名验签系统,其特征在于,包括:
第一硬件负载均衡设备;
与所述第一硬件负载均衡设备相连的多个应用服务器(120);
与所述多个应用服务器(120)相连的负载均衡设备集(130);
与所述负载均衡设备集(130)相连的多个签名验签服务器(140);其中所述多个签名验签服务器(140)预先分为多个逻辑分组;
与所述多个应用服务器(120)相连的数据库服务器(150);
所述第一硬件负载均衡设备,用于接收业务系统发送的签名交易报文,并将所述签名交易报文发送至第一应用服务器;其中,所述签名交易报文包括业务系统标识、业务数据以及证书主题标识,所述第一应用服务器是在所述多个应用服务器(120)中执行负载均衡操作后确定的;
所述第一应用服务器,用于查询与所述业务系统标识对应的第一逻辑分组;发送签名交易报文至所述负载均衡设备集(130)中所述第一逻辑分组对应的负载均衡设备;
所述负载均衡设备集(130)中所述第一逻辑分组对应的负载均衡设备,用于存储有证书主题标识集,在确定证书主题标识集具有所述证书主题标识的情况下执行负载均衡操作,并发送签名交易报文至所述负载均衡操作确定出的一个签名验签服务器;
所述签名验签服务器,用于基于所述证书主题标识确定私钥,并利用所述私钥对业务数据执行签名操作;
所述数据库服务器(150),用于在确定所述第一逻辑分组的资源使用状态为忙碌状态时,则确定资源使用状态为空闲状态的第二逻辑分组,从所述第二逻辑分组中调配一个或多个签名验签服务器标识至所述第一逻辑分组中。
7.如权利要求6所述的系统,其特征在于,包括:
所述第一硬件负载均衡设备,用于接收业务系统发送的签名验证交易报文,并将所述签名验证交易报文发送至第二应用服务器;其中,所述签名验证交易报文包括业务系统标识、签名数据以及证书主题标识,所述第二应用服务器是在所述多个应用服务器(120)中执行负载均衡操作后确定的;
所述第二应用服务器,用于从多个逻辑分组中随机确定一个逻辑分组,并发送签名验证交易报文至所述负载均衡设备集(130)中所述逻辑分组对应的负载均衡设备;
所述负载均衡设备集(130)中所述逻辑分组对应的负载均衡设备,随机发送签名验证交易报文至一个签名验签服务器;
签名验签服务器,用于基于所述证书主题标识确定对应的公钥,并利用所述公钥对签名数据执行验签操作。
8.如权利要求6或7所述的系统,其特征在于,还包括:
所述负载均衡设备集(130)包括与逻辑分组数量相同的负载均衡设备,每个负载均衡设备负责一个逻辑分组的负载均衡操作;或,
所述负载均衡设备集(130)包括一个负载均衡设备,负载均衡设备负责各个逻辑分组的负载均衡操作。
9.如权利要求6或7所述的系统,其特征在于,还包括:
第二硬件负载均衡设备;
与所述第二硬件负载均衡设备相连的多个应用服务器(220);
与所述多个应用服务器(220)相连的负载均衡设备集(230);
与所述负载均衡设备集(230)相连的多个签名验签服务器(240);其中所述多个签名验签服务器(240)预先分为多个逻辑分组;
与所述多个应用服务器(220)相连的数据库服务器(250);
与所述第一硬件负载均衡设备和第二硬件负载均衡设备相连的域名解析设备;
其中域名解析设备,用于接收业务系统发送的签名交易报文或签名验证交易报文,基于就近原则发送签名交易报文或签名验证交易报文至第一硬件负载均衡设备或第二硬件负载均衡设备,以实现灾备切换。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011175080.6A CN112333172B (zh) | 2020-10-28 | 2020-10-28 | 签名验签方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011175080.6A CN112333172B (zh) | 2020-10-28 | 2020-10-28 | 签名验签方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112333172A CN112333172A (zh) | 2021-02-05 |
| CN112333172B true CN112333172B (zh) | 2023-06-30 |
Family
ID=74296478
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011175080.6A Active CN112333172B (zh) | 2020-10-28 | 2020-10-28 | 签名验签方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112333172B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112907374A (zh) * | 2021-03-19 | 2021-06-04 | 中国工商银行股份有限公司 | 签名验签方法和装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107864189A (zh) * | 2017-10-18 | 2018-03-30 | 南京邮电大学 | 一种基于dpi的应用层流量负载均衡方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101247350A (zh) * | 2008-03-13 | 2008-08-20 | 华耀环宇科技(北京)有限公司 | 一种基于ssl数字证书的网络负载均衡方法 |
| CN104102541B (zh) * | 2013-04-08 | 2018-02-13 | 鸿富锦精密工业(深圳)有限公司 | 签核动态调整方法及系统 |
| CN104301119B (zh) * | 2014-11-05 | 2018-10-19 | 中国建设银行股份有限公司 | 数据签名方法、签名验证方法、数据签名设备及验证服务器 |
| US10263789B1 (en) * | 2016-03-28 | 2019-04-16 | Amazon Technologies, Inc. | Auto-generation of security certificate |
| CN110138732B (zh) * | 2019-04-03 | 2022-03-29 | 平安科技(深圳)有限公司 | 访问请求的响应方法、装置、设备及存储介质 |
| CN110471748A (zh) * | 2019-07-04 | 2019-11-19 | 口碑(上海)信息技术有限公司 | 服务器集群的任务处理方法、装置及设备 |
-
2020
- 2020-10-28 CN CN202011175080.6A patent/CN112333172B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107864189A (zh) * | 2017-10-18 | 2018-03-30 | 南京邮电大学 | 一种基于dpi的应用层流量负载均衡方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112333172A (zh) | 2021-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108616596B (zh) | 基于动态授权和网络环境感知的区块链自适应共识方法 | |
| CN109842906B (zh) | 一种通信的方法、装置及系统 | |
| CN107315786A (zh) | 业务数据存储方法及装置 | |
| RU2366109C2 (ru) | Способы и устройства для обновления информации местоположения мобильного узла | |
| JP4074621B2 (ja) | 分散サービス妨害攻撃に対するコンテンツ配信ネットワークの回復力を向上させるための方法および装置 | |
| EP2230802A1 (en) | A method and apparatus for maintaining route information | |
| CN109151009B (zh) | 一种基于mec的cdn节点分配方法和系统 | |
| CN102316416A (zh) | 终端接入方法和无线通信网络 | |
| CN113269546B (zh) | 一种基于区块链的用户身份证照系统及方法 | |
| CN111245910B (zh) | 一种区块链轻节点多副本的部署方法 | |
| CN113055188A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN108989270B (zh) | 认证方法、设备以及系统 | |
| CN112333172B (zh) | 签名验签方法及系统 | |
| CN112994897A (zh) | 证书查询方法、装置、设备及计算机可读存储介质 | |
| CN109525633B (zh) | 区块链网络、基于区块链网络的消息发送、消息接收方法 | |
| US9949119B2 (en) | Method and system for assessing a message in a decentralized communication network | |
| JP2009518883A (ja) | 分散サービスサイトの登録方法および登録システム | |
| US8498400B2 (en) | Method and system for implementing number portability service | |
| CN111866993A (zh) | 无线局域网连接管理方法、装置、软件程序及存储介质 | |
| CN116055403A (zh) | 报文数据的传输方法、装置和服务器 | |
| CN113329048B (zh) | 基于交换机的云负载均衡方法、装置及存储介质 | |
| CN109167759A (zh) | 一种手机号码获取方法和装置 | |
| CN109347966B (zh) | 一种服务器集群通讯方法及终端设备及通讯服务器 | |
| Misra et al. | Geographic server distribution model for key revocation | |
| CN114629956B (zh) | 用于实现边缘计算网络加速的方法和区块链网络 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |