[发明专利]一种业务数据集中加密系统及方法

权利要求书

1.一种业务数据集中加密系统，其特征在于，该系统预先存储有对不同业务数据进行加密的多个业务密钥以及各业务密钥关联的加解密算法，所述业务密钥以密文的形式存储；该系统接收业务方发送的业务数据加/解密请求、根据所述请求的业务标识查找对应的业务密钥和关联的加解密算法，对查找到的业务密钥进行解密，基于所述查找到的加解密算法、所述解密后的业务密钥对所述请求对应的业务数据进行数据加密或解密运算后、将所述运算结果数据返回给所述业务方。

2.如权利要求1所述的数据加密系统，其特征在于，所述数据加密系统还预先存储有对不同业务数字签名进行验证的多个签名验证密钥，所述签名验证密钥同样以密文的形式存储；当该系统接收业务方发送的签名验证请求后、根据该签名验证请求中附加的业务标识查找对应的签名验证密钥并解密，用所述解密后的签名验证密钥对待验证的数据签名进行验证，并将验证结果返回给所述业务方。

3.如权利要求2所述的数据加密系统，其特征在于，该系统基于非对称加密机制提供所述数字签名验证服务，所述预先存储有对不同业务数字签名进行验证的多个签名验证密钥为非对称加密体制中的私钥，所述分配给业务方的签名密钥为非对称加密体制中的公钥。

4.如权利要求1－3中任一项所述的数据加密系统，其特征在于，对于需要加密以实现密文形式存储的相关密钥，所述系统用于对其进行加密的加密密钥由配置文件以及数据库中定期更新的种子seed以及定义的随机串三分部组成，其中、所述种子seed为由程序控制定期生成的8位随机数字；当seed重新生成时加密密钥同步更新，所述系统自动根据更新后的加密密钥对所述相关密钥进行重新加密。

5.如权利要求4所述的数据加密系统，其特征在于，所述系统采用3DES算法对需要以实现密文形式存储的密钥进行加密；所述配置文件以及数据库中定期更新的种子seed以及定义的随机串三部分分别存储在不同的物理存储设备上，并且所述数据加密系统对需要以实现密文形式存储的不同密钥进行加密所采用的加密密钥可以是相同或者不同的。

6.如权利要求4所述的数据加密系统，其特征在于，所述系统在为某一业务配置新的业务密钥期间，为该业务对应的旧业务密钥指定失效时间，在该失效时间内所述系统支持新旧业务密钥共存，新旧业务密钥两个中任一个都有效。

7.如权利要求4所述的数据加密系统，其特征在于，所述系统在业务方接入时，对业务方进行IP认证授权和MD5签名双重认证，并且根据不同的接入业务对所述MD5签名进行不同的加盐处理以保证不同业务之间的访问隔离度。

8.一种业务数据集中加密和签名验证方法，其特征在于，该方法包括：预先以密文的形式存储对不同业务数据进行加密的多个业务密钥以及对不同业务数字签名进行验证的多个签名验证密钥，并分配相应的签名密钥给相应的业务方对其签名进行加密；接收业务方发送的业务数据加/解密请求、根据所述请求的业务标识查找对应的业务密钥和相应的加/解密算法对相应的业务数据进行数据加密或解密，并将所述加密或解密所得的数据返回给所述业务方，和/或当某业务方需要对其他业务方的数字签名进行验证时，接收所述某业务方发送的签名验证请求后、根据该签名验证请求中附加的业务标识查找对应的签名验证密钥并解密，用解密后的签名验证密钥对待验证的数据签名进行验证，并将验证结果返回给所述某业务方。

9.如权利要求8所述的数据加密方法，其特征在于，该方法基于非对称加密机制提供所述数字签名验证服务，所述预先存储有对不同业务数字签名进行验证的多个签名验证密钥为非对称加密体制中的私钥，所述分配给业务方的签名密钥为非对称加密体制中的公钥。