CN113037471A - 基于政务领域的跨系统、跨部门业务协作信息交换方法 - Google Patents

基于政务领域的跨系统、跨部门业务协作信息交换方法 Download PDF

Info

Publication number
CN113037471A
CN113037471A CN202011508731.9A CN202011508731A CN113037471A CN 113037471 A CN113037471 A CN 113037471A CN 202011508731 A CN202011508731 A CN 202011508731A CN 113037471 A CN113037471 A CN 113037471A
Authority
CN
China
Prior art keywords
message
cross
department
data
information exchange
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011508731.9A
Other languages
English (en)
Other versions
CN113037471B (zh
Inventor
王俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Yunkun Information Technology Co ltd
Original Assignee
Jiangsu Yunkun Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Yunkun Information Technology Co ltd filed Critical Jiangsu Yunkun Information Technology Co ltd
Priority to CN202011508731.9A priority Critical patent/CN113037471B/zh
Publication of CN113037471A publication Critical patent/CN113037471A/zh
Application granted granted Critical
Publication of CN113037471B publication Critical patent/CN113037471B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/06Notations for structuring of protocol data, e.g. abstract syntax notation one [ASN.1]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于政务领域的跨系统、跨部门业务协作信息交换方法,以全市部门业务应用系统为对象进行跨部门、跨区域的信息交换,其包括以下步骤:部门接入;建立传输信息数据结构,构成报文传输信封,所述报文传输信包括报文头和报文体;进行信息传输,包括数据发送流程、数据接收流程;在实施期间,对数据流进行安全监管,包括令牌机制、签名机制、数据加密机制。由此,拥有统一的应用身份管控体系,统一的加密方式、完善的校验,大大的提高了部门之间协作信息交换的安全性、可靠性。基于tcp协议,数据包更小,传输速度更快。并且包含请求重试确认机制。有效的提高了信息交换的时效性和有效性。

Description

基于政务领域的跨系统、跨部门业务协作信息交换方法
技术领域
本发明涉及一种业务协作信息交换方法,尤其涉及一种基于政务领域的跨系统、跨部门业务协作信息交换方法。
背景技术
随着移动互联网的普及和5G等网络技术的发展,政务领域对信息、数据交换的需求场景越来越多。如政务“互联网+”平台,政务信息交换系统,政务一体化平台等。数据交换方式从最早的WEB-SERVICE服务开始,发展到现在RESTFUL 服务,RPC(远过程调用)服务等。数据交换的方式越来越多,各有利弊。但是由于政务领域的特殊性,主要包括业务复杂性和实施复杂性,目前没有一套完整的政务信息协作交换方法来满足政务协作信息交换的需求。
目前主流的信息交换交换方法有如下两种,即webservice服务和restful 服务。下面分别介绍这两种服务在政务领域的应用。
WebService是一种跨编程语言和跨操作系统平台的远程调用技术。 WebService三要素:
OAP(Simple Object Access Protocol):简易对象访问协议,soap用来描述传递信息的格式。
WSDL(WebServices Description Language):Web服务描述语言,用来描述WebService、以及如何访问WebService UDDI(Universal Description Discovery andIntegration):通用描述、发现及整合,用来管理、分发。
简单来说,WebService是基于SOAP协议和XML数据格式进行传输的技术。它向外界暴露出一个可以通过web进行调用的API,是分布式的服务组件。
在政务领域,业务部门通过发布出自己的WebService服务和WSDL文件来提供给其他部门进行调用,达到数据信息交换的目标。
REST是REpresentational State Transfer的缩写(一般中文翻译为表述性状态转移),REST是一种体系结构。REST就是将资源的状态以适合客户端或服务端的形式从服务端转移到客户端。在REST中,资源通过URL进行识别和定位,然后通过行为(即HTTP方法)来定义REST来完成怎样的功能。
Redtful服务是基于Http协议,以json格式为序列化格式的技术。在政务领域,业务部门会将业务内部的封装成restful接口,对外部开放访问。Restful 相比于webservice服务体积更小,传输速度稍快。但是基于http协议,当数据量增大时,还是会有一些响应慢,超时的情况发生。
就现有的处理方法来看,其存在以下缺点:
1、基于http协议,请求数据量大,响应慢,受网络条件影响较大。
2、没有默认的加密机制,容易暴露服务地址和端口,安全性较差。
3、没有统一的身份认证体系,对服务发起方和接收方的身份没有校验。安全性较低。
4、没有统一的信息校验,在政务领域有部分风险。比如用户A误操作,就可能将部门A的原本打算发送给部门B的数据发送到了部门C。如果有校验机制,平台可以对信息进行校验,避免错误的发送情况。
5、没有统一的权限认证,在政务领域,对于不同业务部门,可以操作的权限范围都需要进行校验管控。
6、没有统一的操作日志。当需要查看信息交换的历史操作时,无法追溯。
有鉴于上述的缺陷,本设计人,积极加以研究创新,以期创设一种基于政务领域的跨系统、跨部门业务协作信息交换方法,使其更具有产业上的利用价值。
发明内容
为解决上述技术问题,本发明的目的是提供一种基于政务领域的跨系统、跨部门业务协作信息交换方法。
本发明的基于政务领域的跨系统、跨部门业务协作信息交换方法,以全市部门业务应用系统为对象进行跨部门、跨区域的信息交换,其包括以下步骤:部门接入;建立传输信息数据结构,构成报文传输信封,所述报文传输信包括报文头和报文体;进行信息传输,包括数据发送流程、数据接收流程;在实施期间,对数据流进行安全监管,包括令牌机制、签名机制、数据加密机制。
进一步地,上述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其中,所述部门接入过程为,创建统一的应用管理体系,由平台管理员为部门下的业务应用创建应用信息、消息中心账号,给应用系统颁发应用唯一标识,用于后续进行信息交换的身份验证。
更进一步地,上述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其中,所述报文头为报文传输的头部结构,所述报文体为报文传输的主体部分结构,用于封装报文内容,
所述报文头的要素包括,必填内容和选填内容,所述必填内容包括消息来源、消息目的、发送方部门信息、接收方部门信息、发送时间、内容格式、内容编码、消息唯一标识、报文体是否加密、报文体哈希算法、报文体哈希值中的一种或是多种,所述选填内容包括,关联消息唯一标识、对整个报文体进行秘钥加密、报文体加密算法、签名算法、非对称加密算法、对称密钥中的一种或是多种;
所述报文体为JSON数据格式。
更进一步地,上述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其中,所述发送流程为,
步骤一,生成随机对称密钥,长度为16字节,使用SM4对称加密算法对业务数据加密;
步骤二,将随机对称密钥BASE64编码;
步骤三,将编码后的对称密钥,使用接收方的SM2的公钥进行公钥加密;
步骤四,将加密后的对称密钥放入报文头,填充encryptedSymmetricKey 属性传输给接收方;
所述数据接收流程为,
步骤1,从报文头获取签名,并BASE64解码;
步骤2,使用SM3对报文体计算哈希值;
步骤3,通过发送方的应用标识从公钥库查询发送方的公钥;
步骤4,使用发送方的公钥、获取的签名、接收方根据报文体计算出来的哈希值来验签,以确认信息是否来自指定的发送方,如果不匹配则记录异常日志,中断处理。
更进一步地,上述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其中,所述信息传输期间,对需要加密的报文体数据进行加密,增设数据签名,其过程为,
使用SM3算法对即将发送的报文体的数据进行HASH,计算哈希值;
采用Sm3WithSm2算法,用发送方的私钥对哈希值签名;
将签名结果进行BASE64编码后,放入报文头,填充signature属性传输给接收方;
在数据接收期间进行解密,过程为,获取被加密的对称密钥,使用自己的私钥解密对称密钥;用对称密钥解密报文体。
更进一步地,上述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其中,所述令牌机制为,
对应用本方法的应用系统进行注册,获得应用系统的身份(clientId)和密钥(clientSecret);应用系统通过身份和密钥获取访问令牌(accessToken),配置应用标识(clientId)与访问令牌(accessToken)。
更进一步地,上述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其中,所述应用标识是应用系统的身份标识,只有在平台注册过的应用系统,才由权限调用业务协作平台的消息交换服务;
所述访问令牌是调用平台服务的授权凭证,访问令牌有时效性,有效期为2 小时,过期后需要重新获取新的访问令牌。
更进一步地,上述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其中,所述签名机制为,各应用系统向平台发送消息都需要携带应用系统的签名信息,签名算法为国密算法Sm3withSm2。
再进一步地,上述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其中,所述数据加密机制为,通过消息队列发送的数据,使用SM4对称加密算法加密报文体,对称密钥自行生成;对称秘钥使用非对称加密算法国密SM2 加密。
借由上述方案,本发明至少具有以下优点:
1、拥有统一的应用身份管控体系,统一的加密方式、完善的校验,大大的提高了部门之间协作信息交换的安全性、可靠性。
2、基于tcp协议,数据包更小,传输速度更快。并且包含请求重试确认机制。有效的提高了信息交换的时效性和有效性。
3、能建立部门组织架构与消息路由动态的映射关系,可以更加灵活的进行权限管控以及安全控制。
4、包含了完整的日志系统,可以让后台人员对系统之间的信息交换进行有效的记录和追溯,便于后续的统计分析,业务发掘工作的展开。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,并可依照说明书的内容予以实施,以下以本发明的较佳实施例并配合附图详细说明如后。
附图说明
图1是组织结构的结构示意图。
图2是消息队列绑定示意图的结构示意图。
图3是信息收发示意图的结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
如图1至3的基于政务领域的跨系统、跨部门业务协作信息交换方法,以全市部门业务应用系统为对象进行跨部门、跨区域的信息交换,其包括以下步骤:
部门接入,其实施过程为,创建统一的应用管理体系,由平台管理员为部门下的业务应用创建应用信息、消息中心账号,给应用系统颁发应用唯一标识,用于后续进行信息交换的身份验证。
建立传输信息数据结构,构成报文传输信封,报文传输信包括报文头和报文体。具体来说,报文头为报文传输的头部结构,报文体为报文传输的主体部分结构,用于封装报文内容。
报文头的要素包括,必填内容和选填内容,必填内容包括消息来源、消息目的、发送方部门信息、接收方部门信息、发送时间、内容格式、内容编码、消息唯一标识、报文体是否加密、报文体哈希算法、报文体哈希值中的一种或是多种,选填内容包括,关联消息唯一标识、对整个报文体进行秘钥加密、报文体加密算法、签名算法、非对称加密算法、对称密钥中的一种或是多种;
具体如下表所示:
Figure RE-GDA0003078310160000061
Figure RE-GDA0003078310160000071
Figure RE-GDA0003078310160000081
Figure RE-GDA0003078310160000091
报文体为JSON数据格式。业务数据由业务部门自定义。由于报文头已经进行了数据签名和加密,消息已经包含防篡改机制,报文体可以不做签名处理。
同时,报文体数据可包括其他信息,填充以上报文头规范所需的属性,例如消息唯一标识、内容编码、内容格式、对称加密算法、非对称加密算法、签名算法、哈希算法、发送方部门、接收方部门、发送AppId、接收AppId、报文体的哈希值、报文体数据是否加密、发送时间、关联消息唯一标识、消息批次号。还可以采用连接消息队列,配置好消息的路由地址,将报文头和报文体一起发送给消息队列。
进行信息传输,包括数据发送流程、数据接收流程,具体来说,发送流程为:
步骤一,生成随机对称密钥,长度为16字节,使用SM4对称加密算法对业务数据加密;步骤二,将随机对称密钥BASE64编码;步骤三,将编码后的对称密钥,使用接收方的SM2的公钥进行公钥加密;步骤四,将加密后的对称密钥放入报文头,填充encryptedSymmetricKey属性传输给接收方。
数据接收流程为,步骤1,从报文头获取签名,并BASE64解码;步骤2,使用SM3对报文体计算哈希值;步骤3,通过发送方的应用标识从公钥库查询发送方的公钥;步骤4,使用发送方的公钥、获取的签名、接收方根据报文体计算出来的哈希值来验签,以确认信息是否来自指定的发送方,如果不匹配则记录异常日志,中断处理。
并且,在信息传输期间,对需要加密的报文体数据进行加密,增设数据签名。具体来说,其过程如下:使用SM3算法对即将发送的报文体的数据进行HASH,计算哈希值。采用Sm3WithSm2算法,用发送方的私钥对哈希值签名。将签名结果进行BASE64编码后,放入报文头,填充signature属性传输给接收方。在数据接收期间进行解密,过程为,获取被加密的对称密钥,使用自己的私钥解密对称密钥;用对称密钥解密报文体。
在实施期间,对数据流进行安全监管,包括令牌机制、签名机制、数据加密机制。具体来说,令牌机制为,对应用本方法的应用系统进行注册,获得应用系统的身份(clientId)和密钥(clientSecret);应用系统通过身份和密钥获取访问令牌(accessToken),配置应用标识(clientId)与访问令牌 (accessToken)。
具体来说,应用标识是应用系统的身份标识,只有在平台注册过的应用系统,才由权限调用业务协作平台的消息交换服务。访问令牌是调用平台服务的授权凭证,访问令牌有时效性,有效期为2小时,过期后需要重新获取新的访问令牌。
结合实际实施来看,签名机制为,各应用系统向平台发送消息都需要携带应用系统的签名信息,签名算法为国密算法Sm3withSm2。这样,能够保证发送消息的来源的真实可靠。同时,还可以保证发送消息的不可篡改性。
本发明采用的数据加密机制为,通过消息队列发送的数据,使用SM4对称加密算法加密报文体,对称密钥自行生成。对称秘钥使用非对称加密算法国密 SM2加密。
本发明的工作原理如下:
如图1所示,以部门业务系统接入来看。
所有的部门组织架构数据由平台初始化生成,包含树形层级关系。如图1所示。各个业务部门通常含有多个业务系统,需要给每个业务系统创建对应的应用身份信息(clientId,clientSecret)。
创建的应用信息数据格式如下:
Figure RE-GDA0003078310160000111
参数说明:
appNameCn:应用名称。deptId:所属部门id。clientId,clientSecret:秘钥对。此外还需要对业务部门进行颁发秘钥对。
数据格式如下:
Figure RE-GDA0003078310160000112
说明:publicKey:公钥。
之后,如图2所示,将业务系统应用与消息队列路由进行绑定。
绑定规则描述如下:
Z区消息队列的路由绑定描述:
1、TO-Z-GA-01绑定路由key:S市.Z区.某某局.Z-GA-01
2、TO-Z-XS-01绑定路由key:S市.Z区.行政审批局.Z-XS-01
3、TO-S-#绑定路由key:S市.市本级.#。
S市消息队列的路由绑定描述:
1、TO-S-DZB-01绑定路由key:S市.市本级.S-DZB-01
2、TO-SZ-XS-01绑定路由key:S市.市本级.行政审批局.S-XS-01
3、TO-Z-#绑定路由key:S市.Z区.#
4、TO-W-#绑定路由key:S市.W区.#。
W区消息队列的路由绑定描述:
1、TO-W-GA-01绑定路由key:S市.W区.某某局.WZ-GA-01
2、TO-W-XS-01绑定路由key:S市.W区.行政审批局.WZ-XS-01
3、TO-SZ-#绑定路由key:S市.市本级.#。
基于消息队列路由相互隔离的特性,将消息队列路由与业务部门架构相互关联。使得跨区域、跨系统的业务应用可以在同一的消息体系进行信息交换共享。于此同时,基于系统的权限控制,可以监控平台所有的消息队列,并进行统计日志等后台管理操作。
如图3所示,各个业务系统根据组织架构和消息队列绑定的路由列表进行消息的发送和消息的接收。根据数据传输格式进行加密、签名等操作。平台会对传输的消息根据路由规则转发到跨区域、跨系统的业务应用系统。同时,平台会对业务信息进行校验,避免一些不符合规范的数据在平台进行传输,影响正常的业务操作。最后,平台会对所有的传输操作进行日志记录。便于后续的统计分析工作。
通过上述的文字表述并结合附图可以看出,采用本发明后,拥有如下优点:
1、拥有统一的应用身份管控体系,统一的加密方式、完善的校验,大大的提高了部门之间协作信息交换的安全性、可靠性。
2、基于tcp协议,数据包更小,传输速度更快。并且包含请求重试确认机制。有效的提高了信息交换的时效性和有效性。
3、能建立部门组织架构与消息路由动态的映射关系,可以更加灵活的进行权限管控以及安全控制。
4、包含了完整的日志系统,可以让后台人员对系统之间的信息交换进行有效的记录和追溯,便于后续的统计分析,业务发掘工作的展开。
此外,本发明所描述的指示方位或位置关系,均为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或构造必须具有特定的方位,或是以特定的方位构造来进行操作,因此不能理解为对本发明的限制。
术语“主”、“副”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“主”、“副”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“若干”的含义是两个或两个以上,除非另有明确具体的限定。
同样,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“连接”、“设置”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个组件内部的连通或两个组件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。并且它可以直接在另一个组件上或者间接在该另一个组件上。当一个组件被称为是“连接于”另一个组件,它可以是直接连接到另一个组件或间接连接至该另一个组件上。
需要理解的是,术语“长度”、“宽度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或组件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
以上所述仅是本发明的优选实施方式,并不用于限制本发明,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变型,这些改进和变型也应视为本发明的保护范围。

Claims (9)

1.基于政务领域的跨系统、跨部门业务协作信息交换方法,以全市部门业务应用系统为对象进行跨部门、跨区域的信息交换,其特征在于包括以下步骤:部门接入;建立传输信息数据结构,构成报文传输信封,所述报文传输信包括报文头和报文体;进行信息传输,包括数据发送流程、数据接收流程;在实施期间,对数据流进行安全监管,包括令牌机制、签名机制、数据加密机制。
2.根据权利要求1所述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其特征在于:所述部门接入过程为,创建统一的应用管理体系,由平台管理员为部门下的业务应用创建应用信息、消息中心账号,给应用系统颁发应用唯一标识,用于后续进行信息交换的身份验证。
3.根据权利要求1所述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其特征在于:所述报文头为报文传输的头部结构,所述报文体为报文传输的主体部分结构,用于封装报文内容,
所述报文头的要素包括,必填内容和选填内容,所述必填内容包括消息来源、消息目的、发送方部门信息、接收方部门信息、发送时间、内容格式、内容编码、消息唯一标识、报文体是否加密、报文体哈希算法、报文体哈希值中的一种或是多种,所述选填内容包括,关联消息唯一标识、对整个报文体进行秘钥加密、报文体加密算法、签名算法、非对称加密算法、对称密钥中的一种或是多种;
所述报文体为JSON数据格式。
4.根据权利要求1所述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其特征在于:所述发送流程为,
步骤一,生成随机对称密钥,长度为16字节,使用SM4对称加密算法对业务数据加密;
步骤二,将随机对称密钥BASE64编码;
步骤三,将编码后的对称密钥,使用接收方的SM2的公钥进行公钥加密;
步骤四,将加密后的对称密钥放入报文头,填充encryptedSymmetricKey属性传输给接收方;
所述数据接收流程为,
步骤1,从报文头获取签名,并BASE64解码;
步骤2,使用SM3对报文体计算哈希值;
步骤3,通过发送方的应用标识从公钥库查询发送方的公钥;
步骤4,使用发送方的公钥、获取的签名、接收方根据报文体计算出来的哈希值来验签,以确认信息是否来自指定的发送方,如果不匹配则记录异常日志,中断处理。
5.根据权利要求1所述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其特征在于:所述信息传输期间,对需要加密的报文体数据进行加密,增设数据签名,其过程为,
使用SM3算法对即将发送的报文体的数据进行HASH,计算哈希值;
采用Sm3WithSm2算法,用发送方的私钥对哈希值签名;
将签名结果进行BASE64编码后,放入报文头,填充signature属性传输给接收方;
在数据接收期间进行解密,过程为,获取被加密的对称密钥,使用自己的私钥解密对称密钥;用对称密钥解密报文体。
6.根据权利要求1所述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其特征在于:所述令牌机制为,对应用本方法的应用系统进行注册,获得应用系统的身份和密钥;应用系统通过身份和密钥获取访问令牌,配置应用标识与访问令牌。
7.根据权利要求6所述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其特征在于:所述应用标识是应用系统的身份标识,只有在平台注册过的应用系统,才由权限调用业务协作平台的消息交换服务;
所述访问令牌是调用平台服务的授权凭证,访问令牌有时效性,有效期为2小时,过期后需要重新获取新的访问令牌。
8.根据权利要求1所述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其特征在于:所述签名机制为,各应用系统向平台发送消息都需要携带应用系统的签名信息,签名算法为国密算法Sm3withSm2。
9.根据权利要求1所述的基于政务领域的跨系统、跨部门业务协作信息交换方法,其特征在于:所述数据加密机制为,通过消息队列发送的数据,使用SM4对称加密算法加密报文体,对称密钥自行生成;对称秘钥使用非对称加密算法国密SM2加密。
CN202011508731.9A 2020-12-19 2020-12-19 基于政务领域的跨系统、跨部门业务协作信息交换方法 Active CN113037471B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011508731.9A CN113037471B (zh) 2020-12-19 2020-12-19 基于政务领域的跨系统、跨部门业务协作信息交换方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011508731.9A CN113037471B (zh) 2020-12-19 2020-12-19 基于政务领域的跨系统、跨部门业务协作信息交换方法

Publications (2)

Publication Number Publication Date
CN113037471A true CN113037471A (zh) 2021-06-25
CN113037471B CN113037471B (zh) 2023-01-03

Family

ID=76460506

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011508731.9A Active CN113037471B (zh) 2020-12-19 2020-12-19 基于政务领域的跨系统、跨部门业务协作信息交换方法

Country Status (1)

Country Link
CN (1) CN113037471B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115102768A (zh) * 2022-06-24 2022-09-23 平安银行股份有限公司 一种数据处理方法、装置及计算机设备
CN115510004A (zh) * 2022-11-22 2022-12-23 广东省信息安全测评中心 一种政务数据资源命名方法及管理系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103618610A (zh) * 2013-12-06 2014-03-05 上海千贯节能科技有限公司 一种基于智能电网中能量信息网关的信息安全算法
CN105407072A (zh) * 2014-09-05 2016-03-16 北京握奇智能科技有限公司 一种实现物联网安全的方法、系统及互联设备
CN110290102A (zh) * 2019-04-26 2019-09-27 武汉众邦银行股份有限公司 基于应用的业务安全系统及方法
CN111600829A (zh) * 2019-02-21 2020-08-28 杭州萤石软件有限公司 用于物联网设备间的安全通信方法和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103618610A (zh) * 2013-12-06 2014-03-05 上海千贯节能科技有限公司 一种基于智能电网中能量信息网关的信息安全算法
CN105407072A (zh) * 2014-09-05 2016-03-16 北京握奇智能科技有限公司 一种实现物联网安全的方法、系统及互联设备
CN111600829A (zh) * 2019-02-21 2020-08-28 杭州萤石软件有限公司 用于物联网设备间的安全通信方法和系统
CN110290102A (zh) * 2019-04-26 2019-09-27 武汉众邦银行股份有限公司 基于应用的业务安全系统及方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115102768A (zh) * 2022-06-24 2022-09-23 平安银行股份有限公司 一种数据处理方法、装置及计算机设备
CN115102768B (zh) * 2022-06-24 2024-03-19 平安银行股份有限公司 一种数据处理方法、装置及计算机设备
CN115510004A (zh) * 2022-11-22 2022-12-23 广东省信息安全测评中心 一种政务数据资源命名方法及管理系统

Also Published As

Publication number Publication date
CN113037471B (zh) 2023-01-03

Similar Documents

Publication Publication Date Title
CN105634904B (zh) 一种sslvpn的代理方法、服务器以及客户端及其处理方法
CN111799867B (zh) 一种充电设备与充电管理平台间的互信认证方法及系统
CN103124981A (zh) 电子文档分发系统和电子文档分发方法
CN101567878B (zh) 提高网络身份认证安全性的方法
JPH103420A (ja) アクセス制御システムおよびその方法
CN101785281A (zh) 自动服务发现和动态连接管理
CN113037471B (zh) 基于政务领域的跨系统、跨部门业务协作信息交换方法
CN102082796A (zh) 一种基于http的信道加密方法、信道简化加密方法及系统
CN114143788A (zh) 一种基于msisdn实现5g专网认证控制的方法和系统
CN114079645B (zh) 注册服务的方法及设备
US11411741B2 (en) Secure data transmission method
CN112335215B (zh) 用于将终端设备联接到可联网的计算机基础设施中的方法
JP5589034B2 (ja) 情報流通システム、認証連携方法、装置及びそのプログラム
Park et al. Open location-based service using secure middleware infrastructure in web services
CN113259436B (zh) 网络请求的处理方法和装置
CN109451009A (zh) 一种点对点即时通信方法
Schulz et al. d 2 Deleting Diaspora: Practical attacks for profile discovery and deletion
CN110351308B (zh) 一种虚拟专用网络通信方法和虚拟专用网络设备
CN113691510A (zh) 一种跨域访问控制方法、系统、存储介质及设备
CN114650165A (zh) 基于网络切片和无证书公钥密码体系的系统安全控制方法
CN111614688A (zh) 区块链的通用协议
US20100263019A1 (en) Secure exchange of messages
CN112560073A (zh) 验证数据来源可靠性的方法、装置及系统
CN113242249B (zh) 一种会话控制方法和设备
CN114978591B (zh) 一种基于安全防护的场域网数据交互系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant