CN116647336A - 一种基于使用方代理客户端模块、服务方代理客户端模块的数据接口安全系统与交换方法 - Google Patents

一种基于使用方代理客户端模块、服务方代理客户端模块的数据接口安全系统与交换方法 Download PDF

Info

Publication number
CN116647336A
CN116647336A CN202310661083.8A CN202310661083A CN116647336A CN 116647336 A CN116647336 A CN 116647336A CN 202310661083 A CN202310661083 A CN 202310661083A CN 116647336 A CN116647336 A CN 116647336A
Authority
CN
China
Prior art keywords
module
server
user
information
client module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310661083.8A
Other languages
English (en)
Inventor
赵阳
刘国清
靖春雨
李鸿达
王瑀
王明月
张宁
成国维
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jilin Province Jilin Xiangyun Information Technology Co ltd
Original Assignee
Jilin Province Jilin Xiangyun Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jilin Province Jilin Xiangyun Information Technology Co ltd filed Critical Jilin Province Jilin Xiangyun Information Technology Co ltd
Priority to CN202310661083.8A priority Critical patent/CN116647336A/zh
Publication of CN116647336A publication Critical patent/CN116647336A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种基于使用方代理客户端模块、服务方代理客户端模块的数据接口安全系统与交换方法,属于互联网通信技术领域,解决了现有技术无法保证使用方数据与服务方数据请求一致性的问题。使用方模块安装使用方代理客户端模块,服务方模块安装服务方代理客户端模块,管理模块向使用方代理客户端模块和服务方代理客户端模块分配公钥和私钥,代理方模块与服务方模块的请求参数进行交换,使用方代理客户端模块向服务方代理客户端模块请求公钥,并生成摘要和签名,区块链模块将摘要和签名发送到服务方代理客户端模块,其使用私钥进行验证摘要和签名。所述的数据接口安全交换方法可以应用于数据接口使用或者使用接口等网络协议进行数据交换的场景。

Description

一种基于使用方代理客户端模块、服务方代理客户端模块的 数据接口安全系统与交换方法
技术领域
本发明涉及互联网通信技术领域,具体涉及数据接口安全系统与交换方法。
背景技术
目前数据接口采用网关授权的形式,如Basic、OAuth和JWT等方式鉴权。
Basic是一种基本的身份验证方式,它使用编码后的用户名和密码来验证用户身份。在HTTP请求头中添加一个Authorization字段,值为“Basic[username:password]”进行验证。
OAuth是一种授权框架,它允许用户授权第三方应用程序访问他们在不共享密码的情况下存储在另一个服务提供商上的信息。这种授权是通过让用户登录到服务提供商并向他们授权特定范围的操作来完成的。授权后,服务提供商会向应用程序颁发一个访问令牌,该令牌被用来访问用户信息。
JWT是一种令牌化身份验证方法,它利用JSON对象将用户信息编码为令牌。这些令牌可以被应用程序用来验证用户身份,并且它们是无状态的,也就是说应用程序不需要从数据存储中查找用户信息。JWT的最大优点是可以自包含,这意味着它可以包含所有必要的信息,如过期时间和所需的权限。以上方式都是以网关的日志作为审计手段。
但是,现有的数据接口存在使用方数据与服务方数据无法互信的问题,既使用方数据与服务方数据无法保证请求和响应数据的一致性,以网关或者双方日志审计手段也无法保证双方的互认,无法做到防止日志串改,数据一致性,无法做到权威互信。
综上所述,现有技术无法保证使用方数据与服务方数据请求一致性。
发明内容
本发明解决了现有技术无法保证使用方数据与服务方数据请求一致性的问题。
本发明所述的一种基于使用方代理客户端模块的数据接口安全系统,所述系统包括以下模块:
第一使用方模块,用于向第一使用方代理客户端模块发起请求后,并向第一使用方代理客户端模块提供使用方请求参数;
第一使用方代理客户端模块,用于按照顺序将使用方请求参数、使用方信息和使用方信息参数分别进行拼接形成拼接信息后,找到第一服务方代理客户端模块的公钥,其对拼接信息分别生成摘要和签名;
第一使用方代理客户端模块,用于将使用方请求参数、使用方信息、使用方信息参数、摘要和签名分别保存到第一区块链模块,并记录区块链信息;
第一区块链模块,用于将使用方请求参数、使用方信息、使用方信息参数、摘要、签名和区块链信息分别同步发送到第一服务方代理客户端模块和第一管理模块;
第一服务方代理客户端模块,用于判断其公钥对拼接信息分别生成摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致,若是,则其将使用方请求参数发送到第一服务方模块,若否,则结束操作;
第一服务方模块,用于接收使用方请求参数;
第一管理模块,用于向第一服务方代理客户端模块分配公钥和私钥;
第一管理模块,用于对使用方请求参数、使用方信息、摘要、签名和区块链信息进行查证;
第一管理模块,用于追溯第一使用方模块请求参数。
进一步地,在本发明的一个实施例中,所述的使用方信息参数包括使用方时间戳、使用方ip和使用方请求唯一ID。
进一步地,在本发明的一个实施例中,所述的第一服务方代理客户端模块,用于判断其公钥对拼接信息分别生成摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致,具体为:
第一服务方代理客户端模块从区块链模块分别拉取出使用方请求参数、使用方信息、使用方信息参数、摘要和签名,按照顺序将使用方请求参数、使用方信息和使用方信息参数进行拼接形成拼接信息,通过其私钥对拼接信息分别生成摘要和签名后,第一服务方代理客户端模块判断拉取出的摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致。
本发明所述的一种基于服务方代理客户端模块的数据接口安全系统,所述系统包括以下模块:
第二服务方模块,向第二服务方代理客户端模块发起请求后,并向第二服务方代理客户端模块提供服务方请求参数;
第二服务方代理客户端模块,用于按照顺序将服务方请求参数、服务方信息和服务方信息参数分别进行拼接形成拼接信息后,找到第二使用方代理客户端模块的公钥,其对拼接信息分别生成摘要和签名;
第二服务方代理客户端模块,将服务方请求参数、服务方信息、服务方信息参数、摘要和签名分别保存到第二区块链模块,并记录区块链信息;
第二区块链模块,用于将服务方请求参数、服务方信息、服务方信息参数、摘要、签名和区块链信息分别同步发送到第二使用方代理客户端模块和第二管理模块;
第二使用方代理客户端模块,判断其公钥对拼接信息分别生成摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致,若是,则其将服务方请求参数发送到第二使用方模块,若否,则结束操作;
第二使用方模块,用于接收服务方请求参数;
第二管理模块,用于向第二使用方代理客户端模块分配公钥和私钥;
第二管理模块,用于对服务方请求参数、服务方信息、摘要、签名和区块链信息进行查证;
第二管理模块,用于追溯第二服务方模块请求参数。
进一步地,在本发明的一个实施例中,所述的服务方信息参数包括服务方时间戳、服务方ip和服务方请求唯一ID。
进一步地,在本发明的一个实施例中,所述的第二使用方代理客户端模块,用于判断其公钥对拼接信息分别生成摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致,具体为:
第二使用方代理客户端模块从区块链模块分别拉取出服务方请求参数、服务方信息、服务方信息参数、摘要和签名,按照顺序将服务方请求参数、服务方信息和服务方信息参数进行拼接形成拼接信息,通过其私钥对拼接信息分别生成摘要和签名后,第二使用方代理客户端模块判断拉取出的摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致。
本发明所述的一种数据接口安全交换方法,所述交换方法是基于上述方法所述的一种基于使用方代理客户端的数据接口安全系统和上述方法所述的一种基于服务方代理客户端的数据接口安全系统实现的,具体为:
当第一代理方模块与第二服务方模块的请求参数进行交换时,第一管理模块向第一服务方代理客户端模块分配公钥和私钥,第二管理模块向第二使用方代理客户端模块分配公钥和私钥;
依次执行第一使用方模块、第一使用方代理客户端模块、第一区块链模块、第一服务方代理客户端模块和第一服务方模块;
第一服务方模块将使用方请求参数发送到第二服务方模块,第二服务方模块根据使用方请求参数调取出服务方请求参数;
依次执行第二服务方模块、第二服务方代理客户端模块、第二区块链模块、第二使用方代理客户端模块和第二使用方模块,则完成第一代理方模块与第二服务方模块的请求参数的安全交换。
本发明解决了现有技术无法保证使用方数据与服务方数据请求一致性的问题。具体有益效果包括:
1、本发明所述的一种数据接口安全交换方法,由于现有技术无法保证使用方数据与服务方数据请求一致性,本发明通过在使用方模块安装使用方代理客户端模块,在服务方模块安装服务方代理客户端模块,管理模块向使用方代理客户端模块和服务方代理客户端模块均分配公钥和私钥,当代理方模块与服务方模块的请求参数进行交换时,公钥和私钥能够双重保护请求参数,并结合区块链模块,不仅实现去中心化的数据交换使用形式,节省了工序,还保证了使用方模块的请求参数与服务方模块提供的请求参数的一致性;
2、本发明所述的一种数据接口安全交换方法,当代理方模块与服务方模块的请求参数进行交换时,管理模块能够对使用方请求参数、使用方信息、摘要、签名和区块链信息进行查证的同时,还能够对服务方请求参数、服务方信息、摘要、签名和区块链信息进行查证,且管理模块还能追溯使用方模块和服务方模块的请求参数,因此,当代理方模块与服务方模块请求参数进行交换时,管理模块能够有效地对使用方模块和服务方模块的请求参数进行监管,防止了数据篡改,提高了传输请求参数时的安全性;
3、本发明所述的一种基于使用方代理客户端模块的数据接口安全系统,当使用方模块向服务方模块发送请求参数时,为了保证请求参数传输的安全性,本发明通过管理模块向服务方代理客户端模块分配公钥和私钥,使用方代理客户端模块用服务方代理客户端模块的公钥进行签名,服务方代理客户端模块用私钥进行验签,即保证了请求参数传输的安全性;
本发明所述的数据接口安全交换方法可以应用于数据接口使用或者使用接口等网络协议进行数据交换的场景。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是实施方式一所述的使用方代理客户端模块的数据接口安全系统图;
图2是实施方式二所述的服务方代理客户端模块的数据接口安全系统图;
图3是实施方式三所述的数据接口安全交换方法流程图。
具体实施方式
下面结合附图将对本发明的多种实施方式进行清楚、完整地描述。通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
实施方式一、本实施方式所述的一种基于使用方代理客户端模块的数据接口安全系统,所述系统包括以下模块:
第一使用方模块,用于向第一使用方代理客户端模块发起请求后,并向第一使用方代理客户端模块提供使用方请求参数;
第一使用方代理客户端模块,用于按照顺序将使用方请求参数、使用方信息和使用方信息参数分别进行拼接形成拼接信息后,找到第一服务方代理客户端模块的公钥,其对拼接信息分别生成摘要和签名;
第一使用方代理客户端模块,用于将使用方请求参数、使用方信息、使用方信息参数、摘要和签名分别保存到第一区块链模块,并记录区块链信息;
第一区块链模块,用于将使用方请求参数、使用方信息、使用方信息参数、摘要、签名和区块链信息分别同步发送到第一服务方代理客户端模块和第一管理模块;
第一服务方代理客户端模块,用于判断其公钥对拼接信息分别生成摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致,若是,则其将使用方请求参数发送到第一服务方模块,若否,则结束操作;
第一服务方模块,用于接收使用方请求参数;
第一管理模块,用于向第一服务方代理客户端模块分配公钥和私钥;
第一管理模块,用于对使用方请求参数、使用方信息、摘要、签名和区块链信息进行查证;
第一管理模块,用于追溯第一使用方模块请求参数。
本实施方式中,所述的使用方信息参数包括使用方时间戳、使用方ip和使用方请求唯一ID。
本实施方式中,所述的第一服务方代理客户端模块,用于判断其公钥对拼接信息分别生成摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致,具体为:
第一服务方代理客户端模块从区块链模块分别拉取出使用方请求参数、使用方信息、使用方信息参数、摘要和签名,按照顺序将使用方请求参数、使用方信息和使用方信息参数进行拼接形成拼接信息,通过其私钥对拼接信息分别生成摘要和签名后,第一服务方代理客户端模块判断拉取出的摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致。
本实施方式中,如图1所示,在第一使用方模块安装第一使用方代理客户端模块,在第一服务方模块安装第一服务方代理客户端模块,第一管理模块向第一服务方代理客户端模块分别分配公钥和私钥;
当第一使用方模块向第一使用方代理客户端模块提出使用方请求参数后,第一使用方代理客户端模块使用第一服务方代理客户端模块的公钥对拼接信息进行摘要和签名,并将使用方请求参数、第一服务方代理客户端模块的公钥对拼接信息进行的摘要和签名等信息上传到第一区块链模块;
第一服务方代理客户端模块从第一区块链模块分别提取出使用方请求参数、第一服务方代理客户端模块的公钥对拼接信息进行的摘要和签名等信息,并使用第一服务方代理客户端模块的私钥对拼接信息进行验签,若验签成功,第一服务方代理客户端模块将使用方请求参数发送到第一服务方模块;
第一管理模块,主要是分配流程中秘钥管理等功能,用户可以在第一管理模块上申请第一使用方模块,进行本地安装,第一服务方模块可以对第一使用方模块进行作废等管理;
第一管理模块,可以通过第一区块链模块中拉取信息,然后再本地中进行统计展示,统计第一使用方模块的使用量,以及第一服务方模块的被使用量,也可以根据单次调用hash进行数据使用追溯;
第一使用方模块申请数据服务后,会根据第一服务方代理客户端模块以及第一使用方代理客户端模块,形成路由管理,屏蔽使用上的负载链路;
第一服务方代理客户端模块,可以对接口进行挂载,挂载后第一使用方代理客户端模块会自动同步数据接口信息;
此种第一使用方模块向第一服务方模块传输使用方请求参数的过程,通过第一管理模块向第一服务方代理客户端模块分别分配公钥和私钥,实现了采用公钥和私钥的双重加密程序,即提高了使用方请求参数运输过程中的安全性,并通过第一区块链模块,实现去中心化的数据交换使用形式。
实施方式二、本实施方式所述的一种基于服务方代理客户端模块的数据接口安全系统,所述系统包括以下模块:
所述系统包括以下模块:
第二服务方模块,向第二服务方代理客户端模块发起请求后,并向第二服务方代理客户端模块提供服务方请求参数;
第二服务方代理客户端模块,用于按照顺序将服务方请求参数、服务方信息和服务方信息参数分别进行拼接形成拼接信息后,找到第二使用方代理客户端模块的公钥,其对拼接信息分别生成摘要和签名;
第二服务方代理客户端模块,将服务方请求参数、服务方信息、服务方信息参数、摘要和签名分别保存到第二区块链模块,并记录区块链信息;
第二区块链模块,用于将服务方请求参数、服务方信息、服务方信息参数、摘要、签名和区块链信息分别同步发送到第二使用方代理客户端模块和第二管理模块;
第二使用方代理客户端模块,判断其公钥对拼接信息分别生成摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致,若是,则其将服务方请求参数发送到第二使用方模块,若否,则结束操作;
第二使用方模块,用于接收服务方请求参数;
第二管理模块,用于向第二使用方代理客户端模块分配公钥和私钥;
第二管理模块,用于对服务方请求参数、服务方信息、摘要、签名和区块链信息进行查证;
第二管理模块,用于追溯第二服务方模块请求参数。
本实施方式中,所述的服务方信息参数包括服务方时间戳、服务方ip和服务方请求唯一ID。
本实施方式中,所述的第二使用方代理客户端模块,用于判断其公钥对拼接信息分别生成摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致,具体为:
第二使用方代理客户端模块从区块链模块分别拉取出服务方请求参数、服务方信息、服务方信息参数、摘要和签名,按照顺序将服务方请求参数、服务方信息和服务方信息参数进行拼接形成拼接信息,通过其私钥对拼接信息分别生成摘要和签名后,第二使用方代理客户端模块判断拉取出的摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致。
本实施方式中,如图2所示,在第二服务方模块安装第二服务方代理客户端模块,在第二使用方模块安装第二使用方代理客户端模块,第二管理模块向第二使用方代理客户端模块分别分配公钥和私钥;
当第二服务方模块向第二服务方代理客户端模块提出服务方请求参数后,第二服务方代理客户端模块使用第二使用方代理客户端模块的公钥对拼接信息进行摘要和签名,并将服务方请求参数、第二使用方代理客户端模块的公钥对拼接信息进行的摘要和签名等信息上传到第二区块链模块;
第二使用方代理客户端模块从第二区块链模块分别提取出服务方请求参数、第二使用方代理客户端模块的公钥对拼接信息进行的摘要和签名等信息,并使用第二使用方代理客户端模块的私钥对拼接信息进行验签,若验签成功,第二使用方代理客户端模块将服务方请求参数发送到第二使用方模块;
第二管理模块,主要是分配流程中秘钥管理等功能,用户可以在第二管理模块上申请第二服务方模块,进行本地安装,第二使用方模块可以对第二服务方模块进行作废等管理;
第二管理模块,可以通过第二区块链模块中拉取信息,然后再本地中进行统计展示,统计第二服务方模块的使用量,以及第二使用方模块的被使用量,也可以根据单次调用hash进行数据使用追溯;
第二服务方模块申请数据服务后,会根据第二使用方代理客户端模块以及第二服务方代理客户端模块,形成路由管理,屏蔽使用上的负载链路;
第二使用方代理客户端模块,可以对接口进行挂载,挂载后第二服务方代理客户端模块会自动同步数据接口信息;
此种第二服务方模块向第二使用方模块传输服务方请求参数的过程,通过第二管理模块向第二使用方代理客户端模块分别分配公钥和私钥,实现了采用公钥和私钥的双重加密程序,即提高了服务方请求参数运输过程中的安全性,并通过第二区块链模块,实现去中心化的数据交换使用形式。
实施方式三、本实施方式所述的一种数据接口安全交换方法,所述交换方法是基于实施方式一所述的一种基于使用方代理客户端的数据接口安全系统和实施方式二所述的一种基于服务方代理客户端的数据接口安全系统实现的,具体为:
当第一代理方模块与第二服务方模块的请求参数进行交换时,第一管理模块向第一服务方代理客户端模块分配公钥和私钥,第二管理模块向第二使用方代理客户端模块分配公钥和私钥;
依次执行第一使用方模块、第一使用方代理客户端模块、第一区块链模块、第一服务方代理客户端模块和第一服务方模块;
第一服务方模块将使用方请求参数发送到第二服务方模块,第二服务方模块根据使用方请求参数调取出服务方请求参数;
依次执行第二服务方模块、第二服务方代理客户端模块、第二区块链模块、第二使用方代理客户端模块和第二使用方模块,则完成第一代理方模块与第二服务方模块的请求参数的安全交换。
本实施方式中,如图3所示,所述的一种数据接口安全交换方法,包括以下步骤:
第一管理模块向第一服务方代理客户端模块分配公钥和私钥,第二管理模块向第二使用方代理客户端模块分配公钥和私钥,第一使用方模块安装第一使用方代理客户端模块,第一服务方模块安装第一服务方代理客户端模块,第二使用方模块安装第二使用方代理客户端模块,第二服务方模块安装第二服务方代理客户端模块;
步骤S1,第一使用方代理客户端模块自动从第一管理模块同步到路由信息、安全秘钥和区块链授权信息,第二服务方代理客户端模块均自动从第二管理模块同步到路由信息、安全秘钥和区块链授权信息,即第一使用方模块向第一服务方模块发送请求参数的时候,第一使用方代理客户端模块用第一服务方代理客户端模块的公钥分别进行签名和摘要,第一服务方代理客户端模块使用私钥进行验签,同样地,第二服务方模块向第二使用方模块发送被请求参数的时候,第二服务方代理客户端模块用第二使用方代理客户端模块的公钥分别进行签名和摘要,第二使用方代理客户端模块使用私钥进行验签;
步骤S2,第一使用方模块根据需求,直接访问第一使用方代理客户端模块发起接口请求或者数据交换请求,第一使用方模块按照自身需求以及接口规范组装请求参数,并将使用方请求参数提供给第一使用方代理客户端模块;
步骤S3,第一使用方代理客户端模块对使用方请求参数、使用方信息、使用方时间戳、使用方ip和使用方请求唯一ID等信息按照顺序进行拼接形成拼接信息后,第一使用方代理客户端模块获取第一服务方代理客户端模块的公钥后,第一服务方代理客户端模块的公钥使用非对称对拼接信息分别生成摘要和签名,此处签名算法可以使用SM2、RSA和ECC,摘要算法可以使用md5、sm3和sha256;
步骤S4,第一使用方代理客户端模块将使用方请求参数、使用方信息、使用方时间戳、使用方ip、使用方请求唯一ID、摘要和签名分别保存到第一区块链模块,并记录第一区块链模块的区块高度和哈希等信息;
步骤S5,第一区块链模块将使用方请求参数、使用方信息、使用方时间戳、使用方ip、使用方请求唯一ID、摘要、签名和区块链信息分别通过路由信息转发到第一服务方代理客户端模块,同时,第一区块链模块将使用方请求参数、使用方信息、使用方时间戳、使用方ip、使用方请求唯一ID、摘要、签名和区块链信息同步给第一管理模块;
步骤S6,第一服务方代理客户端模块接收到第一区块链模块转发的使用方请求参数、使用方信息、使用方时间戳、使用方ip、使用方请求唯一ID、摘要、签名和区块链信息后,第一服务方代理客户端模块会从第一区块链模块中拉取使用方请求参数、使用方信息、使用方时间戳、使用方ip、使用方请求唯一ID、摘要和签名,第一服务方代理客户端模块对使用方请求参数、使用方信息、使用方时间戳、使用方ip、使用方请求唯一ID信息按照顺序进行拼接形成拼接信息后,第一使用服务方代理客户端模块的私钥对拼接信息分别进行摘要和签名后,并与收到的摘要和签名进行对比,即第一服务方代理客户端模块的公钥对拼接信息分别进行摘要和签名,如果一致,则第一服务方代理客户端模块将使用方请求参数转发第一服务方模块中,第一服务方模块将使用方请求参数发送到第二服务方模块,第二服务方模块根据使用方请求参数调取出服务方请求参数;
步骤S7,第二服务方模块将服务方请求参数发送到第二服务方代理客户端模块,第二服务方代理客户端模块收到服务方请求参数后,第二服务方代理客户端模块对服务方请求参数、服务方信息、服务方时间戳、服务方ip和服务方请求唯一ID等信息按照顺序进行拼接形成拼接信息后,第二服务方代理客户端模块获取第二使用方代理客户端模块的公钥后,第二使用方代理客户端模块的公钥使用非对称对拼接信息分别生成摘要和签名,此处签名算法可以使用SM2、RSA和ECC,摘要算法可以使用md5、sm3和sha256;
步骤S8,第二服务方代理客户端模块将服务方请求参数、服务方信息、服务方时间戳、服务方ip、服务方请求唯一ID、摘要和签名分别保存到第二区块链模块,并记录第二区块链模块的区块高度和哈希等信息;
步骤S9,第二区块链模块将服务方请求参数、服务方信息、服务方时间戳、服务方ip、服务方请求唯一ID、摘要、签名和区块链信息分别通过路由信息转发到第二使用方代理客户端模块,同时,第二区块链模块将服务方请求参数、服务方信息、服务方时间戳、服务方ip、服务方请求唯一ID、摘要、签名和区块链信息同步给第二管理模块;
步骤S10,第二使用方代理客户端模块接收到第二区块链模块转发的服务方请求参数、服务方信息、服务方时间戳、服务方ip、服务方请求唯一ID、摘要、签名和区块链信息后,第二使用方代理客户端模块会从第二区块链模块中拉取服务方请求参数、服务方信息、服务方时间戳、服务方ip、服务方请求唯一ID、摘要和签名,第二使用方代理客户端模块对服务方请求参数、服务方信息、服务方时间戳、服务方ip、服务方请求唯一ID信息按照顺序进行拼接形成拼接信息后,使用第二使用方代理客户端模块的私钥对拼接信息分别进行摘要和签名后,并与收到的摘要和签名进行对比,即第二使用方代理客户端模块的公钥对拼接信息分别进行摘要和签名,如果一致,则说明本次请求参数交换完成,且请求参数真实有效,该交换过程永远留存在第一管理模块、第二管理模块、第一区块链模块以及第二区块链模块中,如果对请求参数产生异议时,或者对请求参数使用进行追溯,可通过第一使用方模块发出的请求参数或者收到的请求参数与第一区块链模块上的请求参数对比,因第一区块链模块的特性,使用其记录,请求参数无法被篡改。
本实施方式基于本发明所述的一种数据接口安全交换方法,提供一种实际的实施方式:
在现有的数据交换形式下,两个政务业务部门对办件结果数据进行交换,让数据多跑路,群众少跑腿,交换使用接口形式进行交换,减少线下材料的提供,但是交换过程中数据的准确性,数据是否真实有效,数据是否被篡改的问题,无法解决,或者数据中包含用户隐私,无法保证数据被滥用;
因此,采取了本实施方式所述的一种数据接口安全交换方法,搭建了一套多方互信的联盟链,多方使用该安全交换方法进行数据交换,例如,公积金贷款业务中需要自然资源的房产证明,房地产解除抵押中需要用到公积金的贷款结清证明等数据,双方在数据交换过程中,使用该安全交换方法,有以下优势:
1)双方提供数据权威可信,可以通过区块链模块进行查证,数据互认;
2)交换过程中,数据不会篡改;
3)交换过程全程记录,双方不会滥用,可以进行有效监管,又不会触碰用户隐私。
以上对本发明所提出的一种基于使用方代理客户端模块、服务方代理客户端模块的数据接口安全系统与交换方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (7)

1.一种基于使用方代理客户端模块的数据接口安全系统,其特征在于,所述系统包括以下模块:
第一使用方模块,用于向第一使用方代理客户端模块发起请求后,并向第一使用方代理客户端模块提供使用方请求参数;
第一使用方代理客户端模块,用于按照顺序将使用方请求参数、使用方信息和使用方信息参数分别进行拼接形成拼接信息后,找到第一服务方代理客户端模块的公钥,其对拼接信息分别生成摘要和签名;
第一使用方代理客户端模块,用于将使用方请求参数、使用方信息、使用方信息参数、摘要和签名分别保存到第一区块链模块,并记录区块链信息;
第一区块链模块,用于将使用方请求参数、使用方信息、使用方信息参数、摘要、签名和区块链信息分别同步发送到第一服务方代理客户端模块和第一管理模块;
第一服务方代理客户端模块,用于判断其公钥对拼接信息分别生成摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致,若是,则其将使用方请求参数发送到第一服务方模块,若否,则结束操作;
第一服务方模块,用于接收使用方请求参数;
第一管理模块,用于向第一服务方代理客户端模块分配公钥和私钥;
第一管理模块,用于对使用方请求参数、使用方信息、摘要、签名和区块链信息进行查证;
第一管理模块,用于追溯第一使用方模块请求参数。
2.根据权利要求1所述的一种基于使用方代理客户端模块的数据接口安全系统,其特征在于,所述的使用方信息参数包括使用方时间戳、使用方ip和使用方请求唯一ID。
3.根据权利要求1所述的一种基于使用方代理客户端模块的数据接口安全系统,其特征在于,所述的第一服务方代理客户端模块,用于判断其公钥对拼接信息分别生成摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致,具体为:
第一服务方代理客户端模块从区块链模块分别拉取出使用方请求参数、使用方信息、使用方信息参数、摘要和签名,按照顺序将使用方请求参数、使用方信息和使用方信息参数进行拼接形成拼接信息,通过其私钥对拼接信息分别生成摘要和签名后,第一服务方代理客户端模块判断拉取出的摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致。
4.一种基于服务方代理客户端模块的数据接口安全系统,其特征在于,所述系统包括以下模块:
第二服务方模块,向第二服务方代理客户端模块发起请求后,并向第二服务方代理客户端模块提供服务方请求参数;
第二服务方代理客户端模块,用于按照顺序将服务方请求参数、服务方信息和服务方信息参数分别进行拼接形成拼接信息后,找到第二使用方代理客户端模块的公钥,其对拼接信息分别生成摘要和签名;
第二服务方代理客户端模块,将服务方请求参数、服务方信息、服务方信息参数、摘要和签名分别保存到第二区块链模块,并记录区块链信息;
第二区块链模块,用于将服务方请求参数、服务方信息、服务方信息参数、摘要、签名和区块链信息分别同步发送到第二使用方代理客户端模块和第二管理模块;
第二使用方代理客户端模块,判断其公钥对拼接信息分别生成摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致,若是,则其将服务方请求参数发送到第二使用方模块,若否,则结束操作;
第二使用方模块,用于接收服务方请求参数;
第二管理模块,用于向第二使用方代理客户端模块分配公钥和私钥;
第二管理模块,用于对服务方请求参数、服务方信息、摘要、签名和区块链信息进行查证;
第二管理模块,用于追溯第二服务方模块请求参数。
5.根据权利要求4所述的一种基于服务方代理客户端模块的数据接口安全系统,其特征在于,所述的服务方信息参数包括服务方时间戳、服务方ip和服务方请求唯一ID。
6.根据权利要求4所述的一种基于服务方代理客户端模块的数据接口安全系统,其特征在于,所述的第二使用方代理客户端模块,用于判断其公钥对拼接信息分别生成摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致,具体为:
第二使用方代理客户端模块从区块链模块分别拉取出服务方请求参数、服务方信息、服务方信息参数、摘要和签名,按照顺序将服务方请求参数、服务方信息和服务方信息参数进行拼接形成拼接信息,通过其私钥对拼接信息分别生成摘要和签名后,第二使用方代理客户端模块判断拉取出的摘要和签名与其私钥对拼接信息分别生成摘要和签名是否一致。
7.一种数据接口安全交换方法,所述交换方法是基于权利要求1所述的一种基于使用方代理客户端的数据接口安全系统和权利要求4所述的一种基于服务方代理客户端的数据接口安全系统实现的,其特征在于,具体为:
当第一代理方模块与第二服务方模块的请求参数进行交换时,第一管理模块向第一服务方代理客户端模块分配公钥和私钥,第二管理模块向第二使用方代理客户端模块分配公钥和私钥;
依次执行第一使用方模块、第一使用方代理客户端模块、第一区块链模块、第一服务方代理客户端模块和第一服务方模块;
第一服务方模块将使用方请求参数发送到第二服务方模块,第二服务方模块根据使用方请求参数调取出服务方请求参数;
依次执行第二服务方模块、第二服务方代理客户端模块、第二区块链模块、第二使用方代理客户端模块和第二使用方模块,则完成第一代理方模块与第二服务方模块的请求参数的安全交换。
CN202310661083.8A 2023-06-06 2023-06-06 一种基于使用方代理客户端模块、服务方代理客户端模块的数据接口安全系统与交换方法 Pending CN116647336A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310661083.8A CN116647336A (zh) 2023-06-06 2023-06-06 一种基于使用方代理客户端模块、服务方代理客户端模块的数据接口安全系统与交换方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310661083.8A CN116647336A (zh) 2023-06-06 2023-06-06 一种基于使用方代理客户端模块、服务方代理客户端模块的数据接口安全系统与交换方法

Publications (1)

Publication Number Publication Date
CN116647336A true CN116647336A (zh) 2023-08-25

Family

ID=87643229

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310661083.8A Pending CN116647336A (zh) 2023-06-06 2023-06-06 一种基于使用方代理客户端模块、服务方代理客户端模块的数据接口安全系统与交换方法

Country Status (1)

Country Link
CN (1) CN116647336A (zh)

Similar Documents

Publication Publication Date Title
CN102984127B (zh) 一种以用户为中心的移动互联网身份管理及认证方法
CN107426157B (zh) 一种基于数字证书以及ca认证体系的联盟链权限控制方法
JP4304055B2 (ja) クライアントセッションフェイルオーバーを提供する方法および構造
CN103795692B (zh) 开放授权方法、系统与认证授权服务器
CN108965230A (zh) 一种安全通信方法、系统及终端设备
CN102438044B (zh) 一种基于云计算的数字内容可信使用控制方法
CN107425983A (zh) 一种基于web服务的统一身份认证方法及系统平台
CN107294916B (zh) 单点登录方法、单点登录终端及单点登录系统
WO2021047446A1 (zh) 在区块链网络中更换身份证书的方法、装置、存储介质和计算机设备
CN109088857B (zh) 一种在物联网场景下的分布式授权管理方法
EP2391083A1 (en) Method for realizing authentication center and authentication system
CN113132388A (zh) 一种数据安全交互方法及系统
CN114051031B (zh) 基于分布式身份的加密通讯方法、系统、设备及存储介质
CN111683090A (zh) 一种基于分布式存储的区块链数字签名方法及装置
CN113810412A (zh) 一种无证书的标识解析身份信任管控方法、系统及设备
CN114024698A (zh) 一种基于国密算法的配电物联网业务安全交互方法及系统
CN113129008B (zh) 数据处理方法、装置、计算机可读介质及电子设备
CN114091009A (zh) 利用分布式身份标识建立安全链接的方法
CN116647336A (zh) 一种基于使用方代理客户端模块、服务方代理客户端模块的数据接口安全系统与交换方法
CN102882882B (zh) 一种用户资源授权方法
CN116388989A (zh) 一种基于分布式身份的零信任单包认证系统及方法
CN114329395A (zh) 一种基于区块链的供应链金融隐私保护方法和系统
CN117118640A (zh) 一种数据处理方法、装置、计算机设备以及可读存储介质
CN109902515B (zh) 一种真实数据验证方法及系统
Serrão et al. Interoperability mechanisms for registration and authentication on different open DRM platforms

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination