[发明专利]一种业务数据集中加密系统及方法

说明书

本发明公开了一种业务数据集中加密系统及方法。该系统采用定期更新的加密密钥对多个业务密钥和/多个签名验证密钥进行加密后存储；接收业务方发送的业务数据加/解密请求和/或签名验证请求，基于请求的类型、业务标识查找对应的业务密钥和/或签名验证密钥，并调用相应的加/解密服务模块和/或验签服务模块进行处理，将处理后的结果反馈给所述业务方。通过本发明提供的业务数据集中加密系统及方法能够比较好地解决支付业务、手游发行业务等涉及诸多外部商户的业务相关密钥数据统一管理难、容易造成泄露等问题，提高了业务方的密钥数据的安全性。

技术领域

本发明涉及业务数据的安全防护领域，具体涉及一种业务数据集中加密系统及方法，为不同的业务数据提供统一的数据加密以及数字签名服务。

背景技术

目前、采用互联网进行业务处理越来越普遍，业务数据泄露的问题随着日益突出，给包括用户、企业在内的业务方造成了巨大的损失。不同的企业各自开发相应的业务数据加密系统对自身的业务数据进行加密，一定程度上保证了自己业务数据的安全。但是、由于各个企业的业务数据加密系统所使用到的密钥各自单独配置、客观上仍然存诸多安全问题。例如，一个企业内部多个业务使用不同的密钥的情况下，该企业所使用的密钥将变得非常分散不便于管理；若各密钥的安全管理标准不统一、密钥的存储或设置不规范(比如明文存储在数据库或配置文件中)，极易造成相关密钥泄漏，存在巨大的安全隐患。

发明内容

为了解决目前各企业的数据加密系统所使用的密钥安全管理标准不统一、密钥的存储或设置不规范(比如明文存储在数据库或配置文件中)，极易造成相关密钥泄漏的问题，本发明提供一种业务数据集中加密系统。该业务数据集中加密系统具有两个核心功能。一个核心功能是接收业务方传递业务原始数据对业务数据进行加密，加密所使用的密钥全部存储在所述业务数据集中加密系统内。例如、向支付宝等支付渠道进行支付下单时就需要对包含业务数据的请求进行加密，由业务方向所述业务数据集中加密系统发送加密请求，由所述加密服务系统完成业务数据的加密操作。另外一个核心功能是对业务数据中的数字签名进行验证。例如、用户在使用支付宝支付成功时，将通知该用户支付成功消息是带了加密后签名的，可以由本发明提供的业务数据集中加密系统进行签名验证、防止篡改。

本发明提供的业务数据集中加密系统预先以密文的形式存储对不同业务数据进行加密的多个业务密钥以及对不同业务数字签名进行验证的多个签名验证密钥，并分配相应的签名密钥给相应的业务方对其签名进行加密；接收业务方发送的业务数据加/解密请求、根据所述请求的业务标识查找对应的业务密钥和相应的加/解密算法对相应的业务数据进行数据加密或解密，并将所述加密或解密所得的数据返回给所述业务方，和/或当某业务方需要对其他业务方的数字签名进行验证时，接收所述某业务方发送的签名验证请求后、根据该签名验证请求中附加的业务标识查找对应的签名验证密钥并解密，用解密后的签名验证密钥对待验证的数据签名进行验证，并将验证结果返回给所述某业务方。

所述数据加密系统对需要以实现密文形式存储的不同密钥进行加密所采用的加密密钥可以是相同或者不同的；其用于对于需要加密以实现密文形式存储的相关密钥其进行加密的加密密钥由分别存储在不同的物理存储设备上的三分部组成，包括配置文件和数据库中定期更新的种子seed以及定义的随机串。其中、所述配置文件和数据库中的种子seed为由程序控制定期生成的8位随机数字；重新生成所述配置文件和/或数据库中的种子seed时对应的加密密钥同步更新，所述系统自动根据更新后的加密密钥对所述相关密钥进行重新加密。

优选地、该业务数据集中加密系统基于非对称加密机制提供所述数字签名验证服务，所述预先存储有对不同业务数字签名进行验证的多个签名验证密钥为非对称加密体制中的私钥，所述分配给业务方的签名密钥为非对称加密体制中的公钥。所述业务数据集中加密系统采用3DES算法对需要以实现密文形式存储的密钥进行加密。