CN114666099B - 一种基于加解签与中间件实现网页跨域可信数据通信方法 - Google Patents

Abstract

本发明公开了一种基于加解签与中间件实现网页跨域可信数据通信方法，包括：在可信平台中部署中间件，通过中间件对原始信息进行缓存，获得返回值Key_Redis；基于非对称加密算法对返回值Key_Redis进行加密，并通过可信平台将加密结果封装到URL中；对封装好的加密结果Data_Encryption进行解密，并将解密结果传输至可信平台；中间件通过调用取值法对解密结果进行取值，获得封装信息Data_pac，并将其传输至公证平台；公证平台将封装信息Data_pac进行拆分，公证平台通过Data_ori渲染公证平台的签署页面，用户签署业务处理完毕之后通过Token_trust将处理结果返回给可信平台；本发明保证了两个异构系统直接URL通信时的信息安全性，还通过中间件Redis将通信数据信息缓存，解决了URL通信时通信内容大小受限的问题。

Description

一种基于加解签与中间件实现网页跨域可信数据通信方法

技术领域

本发明涉及可信数据通信的技术领域，尤其涉及一种基于加解签与中间件实现网页跨域可信数据通信方法。

背景技术

随着电子商务的不断发展，商务过程中使用电子合同的交易模式越来越多，但通常所使用的电子合同签署技术都是基于公钥密码学.在公钥密码系统中，每一种用户拥有一对相匹配的公钥和私钥，其中的公钥对外公开，私钥由用户自己安全保管；公钥可以用来确认签署方的信息，并保证签署信息不被篡改，解决了两个系统在通信时的信息安全问题。

合同签约领域，为了保证签署过程的有效性和公证性，会通过引入第三方公证系统来对签署过程进行公证，在实现过程中，有两个系统页面直接跳转的需求。合同签约的系统对公证系统是信任的，但是公证系统对跳转过来的系统是不信任的。因此在签约过程中，跳转到公证系统，在公证系统的见证下签约之前，需要通过电子签名的方式，让公证系统确认签约系统的身份。

两个跨域的网页系统直接跳转时，只能通过URL通信。而由于不同浏览器的在URL有着不同的长度限制，因此当通信的数据内容较多或者大小不确定时，直接通过URL通信的方式将变得不可靠，随着系统业务的复杂程度增加，URL通信随时面临着过长的风险。

发明内容

本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

鉴于上述现有存在的问题，提出了本发明。

为解决上述技术问题，本发明提供如下技术方案，包括：在可信平台中部署中间件，通过中间件对原始信息进行缓存，获得返回值Key_Redis；基于非对称加密算法对返回值Key_Redis进行加密，并通过可信平台将加密结果封装到URL中；对封装好的加密结果Data_Encryption进行解密，并将解密结果传输至可信平台；中间件通过调用取值法对解密结果进行取值，获得封装信息Data_pac，并将其传输至公证平台；公证平台将封装信息Data_pac进行拆分，公证平台通过Data_ori渲染公证平台的签署页面，用户签署业务处理完毕之后通过Token_trust将处理结果返回给可信平台。

作为本发明所述的基于加解签与中间件实现网页跨域可信数据通信方法的一种优选方案，其中：缓存包括：将携带可信平台的令牌Token_trust和原始信息Data_ori进行封装得到封装信息Data_pac；通过中间件将封装信息Data_pac进行缓存，得到返回值Key_Redis。

作为本发明所述的基于加解签与中间件实现网页跨域可信数据通信方法的一种优选方案，其中：加密包括：通过随机数生成算法构造随机数a，并结合随机数重排S盒；利用可信平台配置的私钥key_pri1对返回值Key_Redis进行加密，获得密文M；利用可信平台配置的私钥key_pri2对对密文M进行解密，获得明文M′；利用重排的S盒对明文M′进行二次加密，获得密文C。

作为本发明所述的基于加解签与中间件实现网页跨域可信数据通信方法的一种优选方案，其中：密文M包括：

作为本发明所述的基于加解签与中间件实现网页跨域可信数据通信方法的一种优选方案，其中：明文M′包括：

M′＝key_pri2+aMP

其中，P为任意选取的椭圆曲线上的基点。

作为本发明所述的基于加解签与中间件实现网页跨域可信数据通信方法的一种优选方案，其中：密文C包括：

C＝DES_E(M′)

其中，E为随机数a经仿射变换后获得的明文，即重排的S盒。

作为本发明所述的基于加解签与中间件实现网页跨域可信数据通信方法的一种优选方案，其中：重排S盒包括：S盒的空间为GF(256)，对于随机数a∈GF(16²)，求解其逆运算：随机数b∈GF(16²)，使得a·b＝a·b≡1mod(x²+1)；将逆运算结果与GF(16)进行仿射变换，获得重排的S盒E：

E＝key_pri1[(b*key_pri1+key_pri2)mod GF(16)-key_pri1]mod GF (16)

其中，gcd[k1，GF(16)]＝1，key_pri2的取值范围为(0，25)。

作为本发明所述的基于加解签与中间件实现网页跨域可信数据通信方法的一种优选方案，其中：解密包括：在公证平台中部署解签模块，配置对应的公钥key_pub；解签模块通过公钥key_pub对Data_Encryption进行解密，得到Key_Redis。

作为本发明所述的基于加解签与中间件实现网页跨域可信数据通信方法的一种优选方案，其中：包括：公证平台通过超文本传输安全协议Https，将Key_Redis传给可信平台。

作为本发明所述的基于加解签与中间件实现网页跨域可信数据通信方法的一种优选方案，其中：包括：可信平台通过超文本传输安全协议Https，将封装信息Data_pac传给公证平台。

本发明的有益效果：本发明基于非对称加密的加、解签算法，保证了两个异构系统直接URL通信时的信息安全性，还通过中间件Redis将通信数据信息缓存，解决了URL通信时通信内容大小受限的问题。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：

图1为本发明第一个实施例所述的基于加解签与中间件实现网页跨域可信数据通信方法的流程示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。

其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。

本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。

同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1

参照图1，为本发明的第一个实施例，该实施例提供了一种基于加解签与中间件实现网页跨域可信数据通信方法，包括：

S1：在可信平台中部署中间件，通过中间件对原始信息进行缓存，获得返回值Key_Redis。

将携带可信平台的令牌Token_trust和原始信息Data_ori进行封装得到封装信息Data_pac；

通过中间件Redis将封装信息Data_pac进行缓存，得到返回值Key_Redis。

较佳的是，本实施例通过中间件Redis将通信数据信息缓存，解决了URL通信时通信内容大小受限的问题。

S2：基于非对称加密算法对返回值Key_Redis进行加密，并通过可信平台将加密结果封装到URL中。

(1)通过随机数生成算法构造随机数a，并结合随机数重排S盒；

①S盒的空间为GF(256)，对于随机数a∈GF(16²)，求解其逆运算：随机数b∈GF(16²)，使得a·b＝a·b≡1mod(x²+1)；即求解随机数a在多项式r(x)＝x²+1下的逆。

②将逆运算结果与GF(16)进行仿射变换，获得重排的S盒E：

E＝key_pri1[(b*key_pri1+key_pri2)mod GF(16)-key_pri1]mod GF(16)

其中，gcd[k1，GF(16)]＝1，key_pri2的取值范围为(0，25)。

(2)利用可信平台配置的私钥key_pri1对返回值Key_Redis进行加密，获得密文M；

(3)利用可信平台配置的私钥key_pri2对对密文M进行解密，获得明文M′；

M′＝key_pri2+aMP

其中，P为任意选取的椭圆曲线上的基点。

(4)利用重排的S盒对明文M′进行二次加密，获得密文C。

C＝DES_E(M′)

其中，E为随机数a经仿射变换后获得的明文，即重排的S盒。

(5)通过可信平台将加密结果封装到URL，获得Data_Encryption。

S3：对封装好的加密结果Data_Encryption进行解密，并将解密结果传输至可信平台。

(1)在公证平台中部署解签模块，配置对应的公钥key_pub；

(2)解签模块通过公钥key_pub对Data_Encryption进行解密，得到Key_Redis。

(3)公证平台通过超文本传输安全协议Https，将Key_Redis传给可信平台。

S4：中间件通过调用取值法对解密结果进行取值，获得封装信息Data_pac，并将其传输至公证平台。

可信平台通过超文本传输安全协议Https，将封装信息Data_pac传给公证平台。

S5：公证平台将封装信息Data_pac进行拆分，公证平台通过Data_ori渲染公证平台的签署页面，用户签署业务处理完毕之后通过Token_trust将处理结果返回给可信平台。

实施例2

为了对本方法中采用的技术效果加以验证说明，本实施例选择传统的技术方案和采用本方法进行对比测试，以科学论证的手段对比试验结果，以验证本方法所具有的真实效果。

传统的技术方案采用URL直接传输可信数据，但是各个浏览器会URL长度存在限制，例如IE浏览器对URL的最大限制为2083个字符，谷歌浏览器的URL长度更是不能超过8182个字符，因此用URL直接传输可信数据存在信息丢失的风险。

为验证本方法相对传统的技术方案在数据传输上的完整度的优势，本实施例中将采用传统的URL直接传输方案和本方法分别对仿真大型文件进行签署。

测试环境：直接将1000页的合同文件每页进行签章操作，生成的可信数据大小为197983个字符。

当可信数据大小为197983个字符时，利用传统的URL直接传输方案在IE浏览器中提交按钮没有任何反应。

利用本方法，可信数据可以再IE浏览器中顺利打开。

应当认识到，本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现，其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而，若需要，该程序可以以汇编或机器语言实现。在任何情况下，该语言可以是编译或解释的语言。此外，为此目的该程序能够在编程的专用集成电路上运行。

此外，可按任何合适的顺序来执行本文描述的过程的操作，除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行，并且可作为共同地在一个或多个处理器上执行的代码(例如，可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。

进一步，所述方法可以在可操作地连接至合适的任何类型的计算平台中实现，包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现，无论是可移动的还是集成至计算平台，如硬盘、光学读取和/或写入存储介质、RAM、ROM等，使得其可由可编程计算机读取，当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外，机器可读代码，或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时，本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时，本发明还包括计算机本身。计算机程序能够应用于输入数据以执行本文所述的功能，从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中，转换的数据表示物理和有形的对象，包括显示器上产生的物理和有形对象的特定视觉描绘。

如在本申请所使用的，术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体，该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如，组件可以是，但不限于是：在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例，在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中，并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外，这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如，来自一个组件的数据，该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号，以本地和/或远程过程的方式进行通信。

应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.一种基于加解签与中间件实现网页跨域可信数据通信方法，其特征在于，包括：

在可信平台中部署中间件，通过中间件对原始信息进行缓存，获得返回值Key_Redis；

基于非对称加密算法对返回值Key_Redis进行加密，并通过可信平台将加密结果Data_Encryption封装到URL中；

对封装好的加密结果Data_Encryption进行解密，并将解密结果传输至可信平台；

中间件通过调用取值法对解密结果进行取值，获得封装信息Data_pac，并将其传输至公证平台；

缓存包括将携带可信平台的令牌Token_trust和原始信息Data_ori进行封装得到封装信息Data_pac；通过中间件将封装信息Data_pac进行缓存，得到返回值Key_Redis；

公证平台将封装信息Data_pac进行拆分，公证平台通过Data_ori渲染公证平台的签署页面，用户签署业务处理完毕之后通过Token_trust将处理结果返回给可信平台；

加密包括：

通过随机数生成算法构造随机数a，并结合随机数重排S盒；

利用可信平台配置的私钥key_pri1对返回值Key_Redis进行加密，获得密文M；

利用可信平台配置的私钥key_pri2对密文M进行解密，获得明文M’；

利用重排的S盒对明文M’进行二次加密，获得密文C。

2.如权利要求1所述的基于加解签与中间件实现网页跨域可信数据通信方法，其特征在于，密文M包括：

3.如权利要求2所述的基于加解签与中间件实现网页跨域可信数据通信方法，其特征在于，明文M’包括：

M’＝key_pri2+aMP

其中，P为任意选取的椭圆曲线上的基点。

4.如权利要求3所述的基于加解签与中间件实现网页跨域可信数据通信方法，其特征在于，密文C包括：

C＝DES_E(M’)

其中，E为随机数a经仿射变换后获得的明文，即重排的S盒。

5.如权利要求4所述的基于加解签与中间件实现网页跨域可信数据通信方法，其特征在于，重排S盒包括：

S盒的空间为GF(256)，对于随机数a∈GF(16²)，求解其逆运算：随机数b∈GF(16²)，使得a·b＝a·b≡1mod(x²+1)；

将逆运算结果与GF(16)进行仿射变换，获得重排的S盒E：

E＝key_pri1[(b*key_pri1+key_pri2)mod GF(16)-key_pri1]mod GF(16)

其中，gcd[key_pri1,GF(16)]＝1，key_pri2的取值范围为(0，25)。

6.如权利要求5所述的基于加解签与中间件实现网页跨域可信数据通信方法，其特征在于，解密包括：

在公证平台中部署解签模块，配置对应的公钥key_pub；

解签模块通过公钥key_pub对Data_Encryption进行解密，得到Key_Redis。

7.如权利要求6所述的基于加解签与中间件实现网页跨域可信数据通信方法，其特征在于，包括：

公证平台通过超文本传输安全协议Https，将Key_Redis传给可信平台。

8.如权利要求7所述的基于加解签与中间件实现网页跨域可信数据通信方法，其特征在于，包括：

可信平台通过超文本传输安全协议Https，将封装信息Data_pac传给公证平台。