专利名称:用于b2b数据交换的加密方法及系统的制作方法
技术领域:
本发明涉及数据交换中的加密技术,尤其涉及B2B数据交换中的加密 方法和系统。
背景技术:
电子商务活动中,存在两个或更多个组织实体的信息系统需进行业务 数据交换的应用场景,简称B2B数据交换。这类的数据交换,类似于国际 通行的EDI,但不具备电子数据标准化定义和专用传输网络的条件;也类 似于企业内部系统间的数据集成交换,但不同的是数据交换无法在企业专 用网(Intranet)内进行,需保障数据安全,同时由于进行多组织的数据交 换,数据所属的企业身份有效性,不可抵赖和传输记录的可追搠性显得较 为重要。
目前,在实际使用中的B2B数据交换,主要通过两种方式实现, 一类 为基于用户口令的明文传输,通讯方式为WebService, FTP或Http;另一
类是以Https为基础的加密连接。第一类方式,传输方面使用明文传递, 可通过简单的数据包截留读取内容,存在严重的安全隐患;而目前广泛使 用的Https加密通讯,只解决数据加密传输的要求,由于仅使用访问口令, 无法确保口令与用户的对应,抵抗口令猜想式的攻击;也无法通过用户名
口令实现身份的认定和唯一性保障。
银行、证券等金融行业目前广泛使用的安全通讯方式为加密机,加密 机作为一种加密通讯设备可有效确保数据传输安全和用户身份有效性,但 是,这类设备采购成本高昂,且加密机目前只能支持TCP/IP Socket数据 包通讯方式,二次开发的难度大,需较多专业知识,只支持少数几种程序 幵发语言,无法适应电子商务环境中多样化的企业软件体系,因此无法在 中小客户中推广使用加密机。
发明内容
本发明旨在提供一种针对B2B数据交换应用场景,针对中小客户系统 集成条件,基于加密机工作原理的用于B2B数据交换的加密方法及系统。
本发明的实现方式包括一种用于B2B数据交换的加密方法,用于业务 实体之间的数据交换,其中,该方法用于数个业务实体中的两个业务实体 之间的加密数据交换,其中一个业务实体作为数据发送方,另一个作为数 据接收方,所述方法包括
数据发送方加密步骤,包括使用随机算法生成128位长随机密钥; 使用随机密钥和对称加密算法对需要传输的明文进行对称加密,生成密文; 使用接收方的数字证书公钥的非对称加密算法将随机密钥加密为密钥;使 用发送方的数字证书私钥对密文生成数字签名;将密文、密钥和数字签名 组成一个数据包存入接收方的待读数据区;
数据接收方解密步骤,包括使用发送方的数字证书公钥所述验证数 字签名有效性,确定数据真实有效;使用接收方的数字证书私钥和非对称 加密算法解密所述密钥,运算获得所述随机密钥;使用随机密钥和对称加 密算法解密所述密文,获得所述明文。
本发明的实现方式还包括一种用于B2B数据交换的加密系统,用于业 务实体之间的数据交换,其中,该系统用于数个业务实体中的两个业务实 体之间的加密数据交换,其中一个业务实体作为数据发送方,另一个作为 数据接收方,所述系统包括
数据发送方加密装置,包括随机密钥产生模块,使用随机算法生成 128位长随机密钥;密文产生模块,使用随机密钥和对称加密算法对需要 传输的明文进行对称加密,生成密文;密钥产生模块,使用接收方的数字 证书公钥的非对称加密算法将随机密钥加密为密钥;数字签名产生模块, 使用发送方的数字证书私钥对密文生成数字签名;组包模块,将密文、密 钥和数字签名组成一个数据包存入接收方的待读数据区;
数据接收方解密装置,包括有效性验证模块,使用发送方的数字证 书公钥所述验证数字签名有效性,确定数据真实有效;随机密钥解密模块, 使用接收方的数字证书私钥和非对称加密算法解密所述密钥,运算获得所述随机密钥;明文解密模块,使用随机密钥和对称加密算法解密所述密文, 获得所述明文。
釆用本发明的技术方案,针对B2B数据交换应用场景,提出一种专门 供中小客户系统使用的B2B数据交换的加密方法和系统,利用加密机工作 原理,能满足中小客户系统的集成条件。
图l是本发明所使用的对称加密算法的过程示意图2是本发明所使用的非对称加密算法的过程示意图3是本发明所使用的数字签名过程的示意图4是本发明的用于B2B数据交换的加密方法的流程图5是本发明的用于B2B数据交换的加密系统的结构框图6是本发明的用于B2B数据交换的加密系统的一实现方式的结构图。
具体实施例方式
首先介绍一下本发明中所利用到的相关技术。
数字证书使用公钥配对的私钥进行了数字签名的包含用户身份、公 开密钥、有效期等许多相关信息的权威性的电子文件,是一个实体在网上 的电子身份证。数字证书包含的公钥和私钥可以认为是一种加密/解密的算 法凭证,公钥部分可以公开获得和流通,而私钥部分以秘密方式保存于物 理介质中,由物理介质的相关技术保障私钥在真实世界中的唯一存在,不 可复制。
数字签名基于数字证书的一种信息技术处理,类似与传统的手写签 名保证信息的不可抵赖性。参考图3所示,示出了数字签名的过程。需要 说明的是,图3中所示的基于数字证书的数字签名技术是本领域中的成熟 技术,其详细的过程是本领域的技术人员所熟知的,因此这里不再赘述。
对称加密算法对称加密算法中解密和解密使用的是同一个密钥。对 称密钥密码体制是从传统的简单置换、替代密码发展而来的,对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类常用的对称加密 算法有RC4、 RC2、 IDEA、 CAST。参考图l所示,其示出对称加密算法 的过程示意图。同样需要说明的是,图1中所示的对称加密算法的过程是 本领域中的成熟技术,其详细的过程是本领域的技术人员所熟知的,因此 这里不再赘述。
非对称加密算法非对称加密算法又被称之为公开密钥算法,因为算 法要求公开公私钥对中的公钥给他人。它要求密钥成对出现, 一个为公开 密钥, 一个为私有密钥,而且不可能从公开密钥推导出私有密钥,用公开 密钥加密的信息只能用私有密钥解密,反之亦然。除加密功能之外,公钥 系统还可提供数字签名。公锅加密算法主要有RSA、 Fertezza、 ECC(椭圆 曲线)等。参考图2所示,其示出对非称加密算法的过程示意图。同样需要 说明的是,图2中所示的非对称加密算法的过程是本领域中的成熟技术, 其详细的过程是本领域的技术人员所熟知的,因此这里不再赘述。
ebXML: ebXML是联合国贸易简化和电子商务促进中心(UN/CEFACT) 及推进结构化信息标准组织(OASIS)于1999年11月成立的工作组。多 年来,全球一百多个国家,两千多个组织的EDI、 XML专家、企业、行业 组织、软件服务商等约5000人参与了 ebXML标准的制订工作。ebXML的 远景是提供"一套国际上一致认可的、由通用的XML语法和结构化文件组 成的技术规范,使电子商务简单易搡作并且无所不在、最大限度的使用 XML、便于跨行业的B2B、 B2C商务交易,促进全球贸易。
FTP: File-Transfer-Protocol的缩写,译为"文件传输协议"。文件传 输是指将文件从一台计算机上发送到另一台计算机上,传输的文件可以包 括电子报表、声音、编译后的程序以及字处理程序的文档文件。如果用户 要将一个文件从自己的计算机上发送到另一台计算机上,就应使用FTP上 载(upload)或(put)。而更多种的情况是用户使用FTP下载(download) 或获取(get)文件及管理文件进行文件删除、更名、移动。
WebService: Web Service是一个应用程序,它向外界暴露一个能够 通过Web进行调用的API,这就是说,能够用编程的方法通过web调用来 实现某个功能的应用程序。Web Service是一种新的Web应用程序分支,它们是自包含、自描述,模块化的应用,可以在网络中被描述、发布、査
找以及通过Web调用。服务器系统也就是采用这种传输系统以达到用户可 以直接针对自己虛拟主机进行文件的操作。
利用上述的技术,本发明提供一种用于B2B数据交换的加密方法,用 于业务实体之间的数据交换,其中,该方法用于数个业务实体中的两个业 务实体之间的加密数据交换,其中一个业务实体作为数据发送方,另一个 作为数据接收方,参考图4所示,该方法10包括
数据发送方加密步骤ll,包括
110. 使用随机算法生成128位长随机密钥;
111. 使用随机密钥和对称加密算法对需要传输的明文进行对称加 密,生成密文;
112. 使用接收方的数字证书公钥的非对称加密算法将随机密钥加 密为密钥;
113. 使用发送方的数字证书私钥对密文生成数字签名;
114. 将密文、密钥和数字签名组成一个数据包存入接收方的待读
数据接收方解密步骤12,包括
120. 使用发送方的数字证书公钥验证数字签名有效性,确定数据 真实有效;
121. 使用接收方的数字证书私钥和非对称加密算法解密密钥,运 算获得随机密钥;
122. 使用随机密钥和对称加密算法解密密文,获得明文。 其中,该方法IO还可包括一数据格式转换步骤,数据发送方对数据进
行加密后进行格式转换,之后再提供给数据接收方进行解密,该加密方法 IO可用于包括FTP、 WEBSERVICE在内的多种集成接口。在实现中,对于 每组需要传递的数据,数据发送方根据一转换机制将数据转换为统一的数 据格式后进行传输,数据接收方收到数据后按数据接收方系统的要求提供 相应的集成接口。
同样的,在图4所示的方法10中,还提供一 B2B数据加密交换运行数据交换服务BDEXS,该服务BDEXS用于保存需要进行交换的数据、管理 参与数据交互的各个业务实体身份信息、并记录数据传输曰志、维护数据 保存和传输的标准。
每个业务实体具有保存有其数字证书的数字证书介质,每个数字证书 都在B2B数据加密交换运行数据交换服务BDEXS中注册;当一业务实体将 其数字证书介质接入到一 B2B数据加密交换客户端BDEXC时,该B2B数 据加密交换客户端BDEXC将读取数字证书介质中的信息以确定业务实体 的身份,然后从B2B数据加密交换运行数据交换服务BDEXS上读取对应的 数据进行处理。
参考图2所示,本发明还提供一种用于B2B数据交换的加密系统20, 用于业务实体之间的数据交换,其中,系统用于数个业务实体中的两个业 务实体之间的加密数据交换,其中一个业务实体作为数据发送方,另一个 作为数据接收方,该系统20包括 数据发送方加密装置21,包括
随机密钥产生模块210,使用随机算法生成128位长随机密钥; 密文产生模块211,使用随机密钥和对称加密算法对需要传输的 明文进行对称加密,生成密文;
密钥产生模块212,使用接收方的数字证书公钥的非对称加密算 法将随机密钥加密为密钥;
数字签名产生模块213,使用发送方的数字证书私钥对密文生成 数字签名;
组包模块214,将密文、密钥和数字签名组成一个数据包存入接 收方的待读数据区; 数据接收方解密装置22,包括
有效性验证模块220,使用发送方的数字证书公钥验证数字签名 有效性,确定数据真实有效;
随机密钥解密模块221,使用接收方的数字证书私钥和非对称加 密算法解密所述密钥,运算获得随机密钥;
明文解密模块222,使用随机密钥和对称加密算法解密密文,获得明文。
在上述实施例的系统20中,该加密系统20提供包括FTP、 WEBSERVICE在内的多种集成接口 ,该加密系统20中的数据发送方对数 据进行加密后进行格式转换,之后再提供给数据接收方进行解密。其中, 对于每组需要传递的数据,数据发送方根据一转换机制将数据转换为统一 的数据格式后进行传输,数据接收方收到数据后按数据接收方系统的要求 提供相应的集成接口。
继续参考图2,该加密系统20还包括B2B数据加密交换运行数据交换 服务模块23,该服务模块23用于保存需要进行交换的数据、管理参与数 据交互的各个业务实体身份信息、并记录数据传输日志、维护数据保存和 传输的标准。
参考图6所示,其是本发明的数据交换加密系统的一具体实现方式。 在图6所示的实施例中,该加密系统20中的每个业务实体具有保存有其数 字证书的数字证书介质,比如数据发送端的数字证书介质24a和数据接收 端的数字证书介质24b,每个数字证书都在B2B数据加密交换运行数据交 换服务模块23中注册;当一业务实体将其数字证'书介质接入到一 B2B数 据加密交换客户端25时,该B2B数据加密交换客户端25将读取数字证书 介质中的信息以确定业务实体的身份,然后从B2B数据加密交换运行数据 交换服务模块23上读取相应的数据进行处理。
釆用本发明的技术方案,针对B2B数据交换应用场景,提出一种专门 供中小客户系统使用的B2B数据交换的加密方法和系统,利用加密机工作 原理,能满足中小客户系统的集成条件。
权利要求
1. 一种用于B2B数据交换的加密方法,用于业务实体之间的数据交换,其中,所述方法用于数个业务实体中的两个业务实体之间的加密数据交换,其中一个业务实体作为数据发送方,另一个作为数据接收方,所述方法包括数据发送方加密步骤,包括使用随机算法生成128位长随机密钥;使用随机密钥和对称加密算法对需要传输的明文进行对称加密,生成密文;使用接收方的数字证书公钥的非对称加密算法将随机密钥加密为密钥;使用发送方的数字证书私钥对密文生成数字签名;将密文、密钥和数字签名组成一个数据包存入接收方的待读数据区;数据接收方解密步骤,包括使用发送方的数字证书公钥所述验证数字签名有效性,确定数据真实有效;使用接收方的数字证书私钥和非对称加密算法解密所述密钥,运算获得所述随机密钥;使用随机密钥和对称加密算法解密所述密文,获得所述明文。
2. 如权利要求1所述的用于B2B数据交换的加密方法,其特征在于, 还包括一数据格式转换步骤,数据发送方对数据进行加密后进行格式转换, 之后再提供给数据接收方进行解密,其中,所述加密方法可用于包括FTP、 WEBSERVICE在内的多种集成接口。
3. 如权利要求2所述的用于B2B数据交换的加密方法,其特征在于, 对于每组需要传递的数据,数据发送方根据一转换机制将数据转换为统一 的数据格式后进行传输,数据接收方收到数据后按数据接收方系统的要求 提供相应的集成接口。
4. 如权利要求l所述的用于B2B数据交换的加密方法,其特征在于, 还包括,提供一B2B数据加密交换运行数据交换服务BDEXS,所述服务用 于保存需要进行交换的数据、管理参与数据交互的各个业务实体身份信息、 并记录数据传输日志、维护数据保存和传输的标准。
5. 如权利要求4所述的用于B2B数据交换的加密方法,其特征在于, 每个业务实体具有保存有其数字证书的数字证书介质,每个数字证书都在所述B2B数据加密交换运行数据交换服务BDEXS中注册;当一业务实体将其数字证书介质接入到一 B2B数据加密交换客户端 BDEXC时,该B2B数据加密交换客户端BDEXC将读取数字证书介质中的 信息以确定业务实体的身份,然后从B2B数据加密交换运行数据交换服务 BDEXS上读取对应的数据进行处理。
6. —种用于B2B数据交换的加密系统,用于业务实体之间的数据交 换,其中,所述系统用于数个业务实体中的两个业务实体之间的加密数据 交换,其中一个业务实体作为数据发送方,另一个作为数据接收方,所述 系统包括数据发送方加密装置,包括随机密钥产生模块,使用随机算法生成128位长随机密钥;密文产生模块,使用随机密钥和对称加密算法对需要传输的明文 进行对称加密,生成密文;密钥产生模块,使用接收方的数字证书公钥的非对称加密算法将 随机密钥加密为密钥;数字签名产生模块,使用发送方的数字证书私钥对密文生成数字 签名;组包模块,将密文、密钥和数字签名组成一个数据包存入接收方 的待读数据区; 数据接收方解密装置,包括有效性验证模块,使用发送方的数字证书公钥所述验证数字签名 有效性,确定数据真实有效;随机密钥解密模块,使用接收方的数字证书私钥和非对称加密算 法解密所述密钥,运算获得所述随机密钥;明文解密模块,使用随机密钥和对称加密算法解密所述密文,获 得所述明文。
7. 如权利要求6所述的用于B2B数据交换的加密系统,其特征在于, 所述加密系统提供包括FTP、 WEBSERVICE在内的多种集成接口,所述加密系统中的数据发送方对数据进行加密后进行格式转换,之后再提供给数 据接收方进行解密。
8. 如权利要求7所述的用于B2B数据交换的加密系统,其特征在于, 对于每组需要传递的数据,数据发送方根据一转换机制将数据转换为统一 的数据格式后进行传输,数据接收方收到数据后按数据接收方系统的要求 提供相应的集成接口。
9. 如权利要求6所述的用于B2B数据交换的加密系统,其特征在于, 还包括一 B2B数据加密交换运行数据交换服务模块,所述服务模块用于保 存需要进行交换的数据、管理参与数据交互的各个业务实体身份信息、并 记录数据传输曰志、维护数据保存和传输的标准。
10. 如权利要求9所述的用于B2B数据交换的加密系统,其特征在于, 每个业务实体具有保存有其数字证书的数字证书介质,每个数字证书都在所述B2B数据加密交换运行数据交换服务模块中注册;当一业务实体将其数字证书介质接入到一 B2B数据加密交换客户端 时,该B2B数据加密交换客户端将读取数字证书介质中的信息以确定业务 实体的身份,然后从B2B数据加密交换运行数据交换服务模块上读取相应 的数据进行处理。
全文摘要
揭示了一种用于B2B数据交换的加密方法,用于数个业务实体中的两个业务实体之间的加密数据交换,该方法包括发送方加密使用随机算法生成128位长随机密钥;使用随机密钥和对称加密算法对需要传输的明文进行对称加密生成密文;使用接收方的数字证书公钥的非对称加密算法将随机密钥加密为密钥;使用发送方的数字证书私钥对密文生成数字签名;将密文、密钥和数字签名组成一个数据包存入接收方的待读数据区;接收方解密使用发送方的数字证书公钥验证数字签名有效性,确定数据真实有效;使用接收方的数字证书私钥和非对称加密算法解密密钥,运算获得随机密钥;使用随机密钥和对称加密算法解密密文,获得明文。
文档编号H04L29/08GK101442409SQ200710170909
公开日2009年5月27日 申请日期2007年11月23日 优先权日2007年11月23日
发明者飞 徐, 李少刚 申请人:东方钢铁电子商务有限公司