1.一种业务系统和电子凭证系统之间的网络安全通信方法,所述业务系统在得到所述电子凭证系统的信任后,对用户请求的数据进行验证、对用户请求的合法性进行身份认证;而所述电子凭证系统在所述业务系统完成验证和认证后,才会执行相应的业务逻辑并返回给所述业务系统其处理结果;其特征在于:所述网络安全通信方法包括以下步骤:
步骤一、业务系统请求密钥:业务系统根据预先约定好的加密密钥和加密方式进行请求参数的加密,向电子凭证系统发起https的请求;
步骤二、电子凭证系统进行请求密钥互信认证:电子凭证系统接收到业务系统发起的请求密钥请求之后对请求进行互信认证;如果互信认证成功则执行后续步骤,否则直接执行后续的第十步骤;
步骤三、电子凭证系统对请求密钥用户请求身份认证:电子凭证系统对请求参数中携带的必要信息进行用户身份认证,如果身份验证成功则执行后续步骤,否则直接执行后续的第十步骤;
步骤四、电子凭证系统计算密钥并缓存:电子凭证系统计算业务系统在建立当前连接之后的请求参数加密密钥,并对密钥数据进行时效设置和加密存储,以备后续使用;
步骤五、业务系统接收返回的密钥并缓存:业务系统接收到返回的密钥,并在业务系统中实现存储,以便在后续请求中用此密钥进行参数加密,否则后续请求在后续第七步骤的互信认证和第八步骤的身份认证无法正确被认证;
步骤六、业务系统根据密钥进行请求参数加密进行业务请求:业务系统根据缓存的密钥即第五步骤获得的密钥对业务请求参数进行加密,并通过https方式发起业务请求;
步骤七、电子凭证系统进行互相认证:电子凭证系统接收到业务系统发起的业务请求之后对请求进行互信认证;如果互信认证成功则执行后续步骤,否则直接执行后续的第十步骤;
步骤八、电子凭证系统进行用户请求身份认证:电子凭证系统对请求参数中携带的必要信息进行用户身份认证,如果身份验证成功则执行后续步骤,否则直接执行后续的第十步骤;
步骤九、电子凭证系统进行请求业务执行:电子凭证系统根据业务系统的请求进行电子凭证系统的业务逻辑进行计算执行,以得到请求的结果值;
步骤十、电子凭证系统返回执行结果:电子凭证系统对请求的执行结果进行返回。
2.如权利要求1所述的业务系统和电子凭证系统之间的网络安全通信方法,其特征在于:互信认证需要验证请求来源是否合法,请求参数是否合法。
3.如权利要求1所述的业务系统和电子凭证系统之间的网络安全通信方法,其特征在于:身份认证需要调用业务系统提供的https业务认证接口进行身份验证。
4.如权利要求3所述的业务系统和电子凭证系统之间的网络安全通信方法,其特征在于:身份认证包括以下步骤:
获取请求head数据:将请求head携带的数据从请求中分离出来,并从对分离出的数据进行校验,如果合法则进行后续操作,如果不合法则直接执行身份认证的最后步骤:返回结果;
解密并校验head数据:对获取请求head数据步骤分离的数据进行解密,解密后验证参数是否合法,如果合法则进行后续操作,如果不合法则直接执行身份认证的最后步骤:返回结果;
调用业务系统进行用户验证:对解密后并校验成功的数据进行处理后,调用业务系统开放的用户验证接口验证用户是否合法,如果合法则继续执行,否则直接执行身份认证的最后步骤:返回结果;
执行凭证系统业务:完成用户验证后对请求执行业务逻辑,业务执行完成后组织返回数据;
返回结果:将请求执行结果返回给接口调用方。
5.如权利要求1所述的业务系统和电子凭证系统之间的网络安全通信方法,其特征在于:业务系统是给基于SDK安装在移动通讯终端上的应用程序,作为提供服务的后台系统。
6.一种业务系统和电子凭证系统之间的网络安全通信装置,所述业务系统在得到所述电子凭证系统的信任后,对用户请求的数据进行验证、对用户请求的合法性进行身份认证;而所述电子凭证系统在所述业务系统完成验证和认证后,才会执行相应的业务逻辑并返回给所述业务系统其处理结果;其特征在于:所述网络安全通信装置包括:
请求密钥模块,用于使业务系统请求密钥:业务系统根据预先约定好的加密密钥和加密方式进行请求参数的加密,向电子凭证系统发起https的请求;
请求密钥互信认证模块,用于使电子凭证系统进行请求密钥互信认证:电子凭证系统接收到业务系统发起的请求密钥请求之后对请求进行互信认证;如果互信认证成功则执行后续的请求身份认证模块,否则直接执行后续的返回执行结果模块;
请求身份认证模块,用于电子凭证系统对请求密钥用户请求身份认证:电子凭证系统对请求参数中携带的必要信息进行用户身份认证,如果身份验证成功则执行后续的请求身份认证模块,否则直接执行后续的返回执行结果模块;
计算密钥并缓存模块,用于使电子凭证系统计算密钥并缓存:电子凭证系统计算业务系统在建立当前连接之后的请求参数加密密钥,并对密钥数据进行时效设置和加密存储,以备后续使用;
接收模块,用于使业务系统接收返回的密钥并缓存:业务系统接收到返回的密钥,并在业务系统中实现存储,以便在后续请求中用此密钥进行参数加密,否则后续请求在后续的互相认证模块的互信认证和用户请求身份认证模块的身份认证无法正确被认证;
业务请求模块,用于使业务系统根据密钥进行请求参数加密进行业务请求:业务系统根据缓存的密钥即接收模块获得的密钥对业务请求参数进行加密,并通过https方式发起业务请求;
互相认证模块,用于使电子凭证系统进行互相认证:电子凭证系统接收到业务系统发起的业务请求之后对请求进行互信认证;如果互信认证成功则执行后续的用户请求身份认证模块,否则直接执行后续的返回执行结果模块;
用户请求身份认证模块,用于使电子凭证系统进行用户请求身份认证:电子凭证系统对请求参数中携带的必要信息进行用户身份认证,如果身份验证成功则执行后续的请求业务执行模块,否则直接执行后续的返回执行结果模块;
请求业务执行模块,用于使电子凭证系统进行请求业务执行:电子凭证系统根据业务系统的请求进行电子凭证系统的业务逻辑进行计算执行,以得到请求的结果值;
返回执行结果模块,用于使电子凭证系统返回执行结果:电子凭证系统对请求的执行结果进行返回。
7.如权利要求6所述的业务系统和电子凭证系统之间的网络安全通信装置,其特征在于:互信认证需要验证请求来源是否合法,请求参数是否合法。
8.如权利要求6所述的业务系统和电子凭证系统之间的网络安全通信装置,其特征在于:身份认证需要调用业务系统提供的https业务认证接口进行身份验证。
9.如权利要求8所述的业务系统和电子凭证系统之间的网络安全通信装置,其特征在于:所有的身份认证包括以下步骤:
获取请求head数据:将请求head携带的数据从请求中分离出来,并从对分离出的数据进行校验,如果合法则进行后续操作,如果不合法则直接执行身份认证的最后步骤:返回结果;
解密并校验head数据:对获取请求head数据步骤分离的数据进行解密,解密后验证参数是否合法,如果合法则进行后续操作,如果不合法则直接执行身份认证的最后步骤:返回结果;
调用业务系统进行用户验证:对解密后并校验成功的数据进行处理后,调用业务系统开放的用户验证接口验证用户是否合法,如果合法则继续执行,否则直接执行身份认证的最后步骤:返回结果;
执行凭证系统业务:完成用户验证后对请求执行业务逻辑,业务执行完成后组织返回数据;
返回结果:将请求执行结果返回给接口调用方。
10.如权利要求6所述的业务系统和电子凭证系统之间的网络安全通信装置,其特征在于:业务系统是给基于SDK安装在移动通讯终端上的应用程序,为提供服务的后台系统。