[发明专利]逻辑隔离应用服务器间数据交换系统

说明书

本发明涉及一种逻辑隔离应用服务器间数据交换系统，包括一个数据交换服务器和多个应用服务器，多个应用服务器通过数据交换服务器连接，多个应用服务器通过数据交换服务器完成业务数据上传和业务数据接收，并且，每个应用服务器通过数据交换服务器完成密钥更新，其中，每个应用服务器包括：密钥协商模块，用于与数据交换服务器完成密钥协商；签名认证和加解密模块，用于对待交换的业务数据进行加密并生成签名，同时对接收到的业务数据进行签名认证和解密；数据传输模块，用于向数据交换服务器发送业务数据。本发明在单向数据访问请求的逻辑隔离网络下，通过充分利用互联网进行敏感业务数据交换，提高了数据交换效率，节省了敏感数据交换的成本。

技术领域

本发明涉及互联网信息传输技术领域，具体涉及一种逻辑隔离应用服务器间数据交换系统。

背景技术

由于实际业务需要，处于不同网络下的业务系统间常需进行跨网络数据交换，为了保障业务系统的安全，这些业务系统所处的应用服务器与互联网间保持逻辑隔离，仅能够单向访问互联网上的特定服务器，而传统传输方式无法满足对安全性要求较高的数据交换场景，因此高安全级别的数据交换仍采用离线的数据交换，实时性无法得到保障，且应用成本较高，需要人工干预；因此，为分布在逻辑隔离环境下的应用服务器间提供一种安全的业务数据在线交换方法，可充分利用互联网资源，降低高安全级别数据交换场景下的数据交换成本，提高数据传输过程中的机密性。

发明内容

为解决现有技术存在的不足，本发明提供了一种逻辑隔离应用服务器间数据交换系统，所述数据交换系统包括一个数据交换服务器和多个应用服务器，多个应用服务器通过数据交换服务器连接，多个应用服务器通过数据交换服务器完成业务数据上传和业务数据接收，并且，每个应用服务器通过数据交换服务器完成密钥更新，其中，

每个应用服务器包括：

密钥协商模块，用于与数据交换服务器完成密钥协商；

签名认证和加解密模块，用于对业务数据交换请求进行加密并生成签名，同时对返回结果进行签名认证和解密；并且，对待交换的业务数据进行加密并生成签名，同时对接收到的业务数据进行签名认证和解密；

数据传输模块，用于向数据交换服务器发送业务数据。

其中，所述数据交换服务器包括：

密钥分发模块，用于响应各应用服务器的密钥协商请求；

签名认证和加解密模块，负责对收到的应用服务器的业务数据交换请求中携带的签名进行验证，并对应用服务器的业务数据交换请求进行解密，保证业务数据的完整性和不可抵赖性；同时，对向应用服务器返回的数据进行加密并生成签名，并对应用服务器上传的业务数据进行验证；

数据存储模块，用于对密钥分发模块产生的密钥和经过验证的业务数据进行存储，也用于向应用服务器返回需要交换的业务数据。

其中，所述密钥协商模块与数据交换服务器进行的密钥协商包括：定期更新应用服务器的公钥和私钥，查询接收方应用服务器的公钥信息以及，查询发送方应用服务器上传的业务数据；

所述数据交换服务器中，签名验证和加解密模块所接收的业务数据交换请求包括：定期更新应用服务器的公钥和私钥的请求，查询接收方应用服务器的公钥信息的请求以及，查询发送方应用服务器上传的业务数据的请求。

其中，所述应用服务器中，签名验证和加解密模块基于数据交换服务器的公钥对业务数据交换请求进行加密，基于自身私钥对业务数据交换请求生成签名，基于自身私钥对返回的数据进行解密，基于数据交换服务器的公钥对返回的数据进行验证；基于目标服务器的公钥对待交换的业务数据进行加密，基于自身私钥对对待交换的业务数据生成签名，基于自身私钥对接收到的业务数据进行解密，基于目标服务器公钥对接收到的业务数据进行签名验证；