本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域的加解密技術(shù)，具體涉及一種提升面向互聯(lián)網(wǎng)開放的軟件接口安全性的方法。

背景技術(shù)：

隨著互聯(lián)網(wǎng)的發(fā)展，對(duì)于面向互聯(lián)網(wǎng)開放的接口來說，保障數(shù)據(jù)傳輸?shù)陌踩允呛苤匾?，特別是對(duì)于銀企直連通道服務(wù)面向企業(yè)財(cái)務(wù)系統(tǒng)，應(yīng)用管理系統(tǒng)等對(duì)企業(yè)資金賬戶有支付交易、賬務(wù)查詢需求的應(yīng)用類系統(tǒng)，涉及到系統(tǒng)間數(shù)據(jù)的交互，尤其是對(duì)企業(yè)資金賬戶信息的交互，安全性更加重要。

目前現(xiàn)有方案主要是采用購(gòu)買第三方數(shù)字安全證書的方式來提升安全性，該方式會(huì)產(chǎn)生長(zhǎng)期的費(fèi)用，且加解密方式不由開發(fā)方控制，完全交由數(shù)字證書的發(fā)售方保障，如果第三方安全方案泄密會(huì)危及采用該系統(tǒng)的安全。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問題是：提出一種提升面向互聯(lián)網(wǎng)開放的軟件接口安全性的方法，解決傳統(tǒng)技術(shù)中采用購(gòu)買第三方數(shù)字安全證書的方式帶來的安全性不高的問題。

本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是：

提升面向互聯(lián)網(wǎng)開放的軟件接口安全性的方法，包括：客戶端和服務(wù)端各自生成自身的rsa密鑰對(duì)，并互換密鑰對(duì)中的公鑰進(jìn)行保存；在服務(wù)端與客戶端的交互過程中采用雙向加密，即客戶端在向服務(wù)端發(fā)送請(qǐng)求報(bào)文時(shí)對(duì)請(qǐng)求報(bào)文進(jìn)行加密，服務(wù)端在向客戶端發(fā)送響應(yīng)報(bào)文時(shí)對(duì)響應(yīng)報(bào)文進(jìn)行加密；以客戶端或者服務(wù)端作為發(fā)送方，相對(duì)應(yīng)的另一方作為接收方，加密步驟包括：

a.發(fā)送方生成aes密鑰；

b.發(fā)送方采用自身的rsa私鑰對(duì)明文數(shù)據(jù)進(jìn)行數(shù)字簽名；

c.發(fā)送方采用aes密鑰對(duì)簽名后的數(shù)據(jù)進(jìn)行加密獲得密文1；

d.發(fā)送方采用接收方的rsa公鑰對(duì)aes密鑰進(jìn)行加密獲得密文2；

e.發(fā)送方將步驟c和d中獲得的密文1和密文2發(fā)送給接收方；

解密步驟包括：

f.接收方采用自身的rsa公鑰對(duì)密文2進(jìn)行解密，獲得發(fā)送方的aes密鑰；

g.接收方采用獲得的發(fā)送方的aes密鑰對(duì)密文1進(jìn)行解密；

h.接收方對(duì)步驟g解密后獲得的數(shù)據(jù)進(jìn)行數(shù)字簽名驗(yàn)證，如果驗(yàn)證通過，則對(duì)數(shù)據(jù)進(jìn)行處理，如果驗(yàn)證失敗，則丟棄該數(shù)據(jù)并向接收方返回失敗消息。

作為進(jìn)一步優(yōu)化，步驟h中，所述進(jìn)行數(shù)字簽名驗(yàn)證包括：

對(duì)步驟g解密后獲得的數(shù)據(jù)進(jìn)行hash運(yùn)算獲得hash值1，并利用發(fā)送方的rsa公鑰進(jìn)行hash運(yùn)算獲得hash值2，將hash1與hash2進(jìn)行比較，判斷是否相同，如果相同，則驗(yàn)證通過，如果不同，則驗(yàn)證失敗。

作為進(jìn)一步優(yōu)化，客戶端和服務(wù)端中生成的rsa密鑰對(duì)中的公鑰和私鑰均被分片并采用加密算法存儲(chǔ)至各自對(duì)應(yīng)的數(shù)據(jù)庫(kù)中，交換的rsa公鑰也被分片并采用加密算法存儲(chǔ)至對(duì)方的數(shù)據(jù)庫(kù)中，在業(yè)務(wù)處理時(shí)，首先對(duì)分片進(jìn)行解密并組合成相應(yīng)的密鑰。

本發(fā)明的有益效果是：

在標(biāo)準(zhǔn)化https協(xié)議通訊的基礎(chǔ)上，采用自研發(fā)的服務(wù)器端和客戶端兩組非對(duì)稱性密鑰，再配合對(duì)稱性密鑰，對(duì)接口交互報(bào)文實(shí)現(xiàn)雙層加解密，增加了安全性；且在服務(wù)器端與客戶端的交互過程采用雙向加密，即：客戶端發(fā)送給服務(wù)器端的報(bào)文經(jīng)過加密處理，同時(shí)客戶端接收到的服務(wù)器端反饋報(bào)文經(jīng)過加密處理，也增加了數(shù)據(jù)傳輸安全性。

附圖說明

圖1為本發(fā)明實(shí)施例中的提升面向互聯(lián)網(wǎng)開放的軟件接口安全性方法流程圖。

具體實(shí)施方式

本發(fā)明旨在提出一種提升面向互聯(lián)網(wǎng)開放的軟件接口安全性的方法，解決傳統(tǒng)技術(shù)中采用購(gòu)買第三方數(shù)字安全證書的方式帶來的安全性不高的問題。

下面結(jié)合附圖及實(shí)施例對(duì)本發(fā)明的方案作進(jìn)一步的描述：

實(shí)施例：

提升面向互聯(lián)網(wǎng)開放的軟件接口安全性的方法，包括：客戶端和服務(wù)端各自生成自身的rsa密鑰對(duì)，并互換密鑰對(duì)中的公鑰進(jìn)行保存；在服務(wù)端與客戶端的交互過程中采用雙向加密，即客戶端在向服務(wù)端發(fā)送請(qǐng)求報(bào)文時(shí)對(duì)請(qǐng)求報(bào)文進(jìn)行加密，服務(wù)端在向客戶端發(fā)送響應(yīng)報(bào)文時(shí)對(duì)響應(yīng)報(bào)文進(jìn)行加密；

本實(shí)施例以客戶端作為報(bào)文發(fā)送方，以服務(wù)端作為報(bào)文接收方，對(duì)加解密流程進(jìn)行說明。

如圖1所示，其包括以下實(shí)現(xiàn)步驟：

客戶端的加密步驟包括：

1、客戶端生成aes密鑰；

2、客戶端采用自身的rsa私鑰對(duì)明文數(shù)據(jù)進(jìn)行數(shù)字簽名；

3、客戶端采用aes密鑰對(duì)簽名后的數(shù)據(jù)進(jìn)行加密獲得密文1；

4、客戶端采用服務(wù)端的rsa公鑰對(duì)aes密鑰進(jìn)行加密獲得密文2；

5、客戶端將步驟c和d中獲得的密文1和密文2發(fā)送給服務(wù)端；

解密步驟包括：

6、服務(wù)端接收密文1和密文2；

7、服務(wù)端采用自身的rsa公鑰對(duì)密文2進(jìn)行解密，獲得客戶端的aes密鑰；

8、服務(wù)端采用獲得的客戶端的aes密鑰對(duì)密文1進(jìn)行解密；

9、服務(wù)端對(duì)步驟8解密后獲得的數(shù)據(jù)進(jìn)行數(shù)字簽名驗(yàn)證，如果驗(yàn)證通過，則對(duì)數(shù)據(jù)進(jìn)行處理，如果驗(yàn)證失敗，則丟棄該數(shù)據(jù)并向接收方返回失敗消息。

在具體實(shí)現(xiàn)上，步驟9中，所述進(jìn)行數(shù)字簽名驗(yàn)證包括：

對(duì)步驟8解密后獲得的數(shù)據(jù)進(jìn)行hash運(yùn)算獲得hash值1，并利用客戶端的rsa公鑰進(jìn)行hash運(yùn)算獲得hash值2，將hash1與hash2進(jìn)行比較，判斷是否相同，如果相同，則驗(yàn)證通過，如果不同，則驗(yàn)證失敗。

為了進(jìn)一步提升數(shù)據(jù)的安全性，客戶端和服務(wù)端中生成的rsa密鑰對(duì)中的公鑰和私鑰均被分片并采用加密算法存儲(chǔ)至各自對(duì)應(yīng)的數(shù)據(jù)庫(kù)中，交換的rsa公鑰也被分片并采用加密算法存儲(chǔ)至對(duì)方的數(shù)據(jù)庫(kù)中，在業(yè)務(wù)處理時(shí)，首先對(duì)分片進(jìn)行解密并組合成相應(yīng)的密鑰。如此，密鑰就不容易被黑客破解，從而大大提升安全性。

技術(shù)特征：

技術(shù)總結(jié)
本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域的加解密技術(shù)，其公開了一種提升面向互聯(lián)網(wǎng)開放的軟件接口安全性的方法，解決傳統(tǒng)技術(shù)中采用購(gòu)買第三方數(shù)字安全證書的方式帶來的安全性不高的問題。該方法包括：a.發(fā)送方生成AES密鑰；b.發(fā)送方采用自身的RSA私鑰對(duì)明文數(shù)據(jù)進(jìn)行數(shù)字簽名；c.發(fā)送方采用AES密鑰對(duì)簽名后的數(shù)據(jù)進(jìn)行加密獲得密文1；d.發(fā)送方采用接收方的RSA公鑰對(duì)AES密鑰進(jìn)行加密獲得密文2；e.發(fā)送方將步驟c和d中獲得的密文1和密文2發(fā)送給接收方；f.接收方采用自身的RSA公鑰對(duì)密文2進(jìn)行解密，獲得發(fā)送方的AES密鑰；g.接收方采用獲得的發(fā)送方的AES密鑰對(duì)密文1進(jìn)行解密。h.接收方對(duì)步驟g解密后獲得的數(shù)據(jù)進(jìn)行數(shù)字簽名驗(yàn)證。

技術(shù)研發(fā)人員：徐庭銳;祝陽;曾鵬
受保護(hù)的技術(shù)使用者：四川長(zhǎng)虹電器股份有限公司
技術(shù)研發(fā)日：2017.06.22
技術(shù)公布日：2017.10.03