[发明专利]网络安全服务保障方法

权利要求书

1.一种网络安全服务保障方法，用于为不同组织系统间在公网上传递敏感数据和业务协作提供平等互信及通信数据安全保障，其特征在于，所述方法的实现由MSP组件、配置中心和自定义传输协议组成，其中，所述MSP组件中内置有CA服务器，所述自定义传输协议分为包头和包体，所述方法包括如下步骤：

配置中心启动及配置初始化：启动配置中心并配置各组织系统所属服务器地址，随后配置中心会根据服务器地址自动生成MSP_ID并与之关联；

MSP组件集成及启动：将配置中心生成的MSP_ID分配至对应组织系统，并将MSP组件集成至组织系统中随组织系统启动；

MSP组件初始化：MSP组件启动后会自动生成系统管理员角色用于节点的权限授权和其它角色的创建；

组织系统节点授权及角色权限划分：组织通过所述系统管理员角色向系统组织中各节点授予角色并颁发数字证书，用于跟其它组织建立连接时的身份认证，其中，数字证书包含当前节点的公钥用于传输数据密钥的加密；

建立节点间通信连接：各组织节点间首次进行协作交互时会建立连接通信并交换双方数字证书以获得对方公钥，用于进行传输数据秘钥的加密；并在当组织A中X节点需要向组织B中Y节点发送数据或请求时，先查询本地是否存在节点Y的公钥，在不存在时将所属组织的MSP_ID和数字证书放入包头并建立通信连接请求；节点Y收到节点X的通信连接后，首先提取包头中MSP_ID并到配置中心查找对应的CA服务器，然后将包头中的数字证书投送至查找到的CA服务器进行成员认证和权限认证，CA服务器认证通过后则提取出节点X的公钥并保存至本系统，然后将自身MSP_ID和证书发送至节点X，节点X做同样操作；

发送交互协作请求：在建立通信连接后节点X会将传输数据以3DES对称加密的方式进行加密并放入到包体中，每次传输时3DES的密钥都随机生成，然后再使用节点Y的公钥以RSA2非对称加密的方式对3DES密钥进行加密生成传输密钥密文；然后再以SHA-256算法计算出传输密钥密文和包体中传输数据密文的HASH值用于数据完整性验证，然后用自身私钥对计算出的HASH值进行非对称加密生成数字签名，最后将数字签名、传输密钥密文、所属组织的MSP_ID和数字证书一起放入包头完成请求包组装并向节点Y发起请求；

发送方身份认证及数据校验：节点Y接收到节点X的请求后首先提取包头中MSP_ID并到配置中心查找对应的CA服务器，然后将包头中的数字证书投送至查找到的CA服务器进行成员认证和权限认证，CA服务器认证通过后，首先使用节点X的公钥对数字签名进行验证确认发送者身份并解密签名获得节点X计算的传输密钥密文和传输数据密文的HASH值，之后节点B再用相同的SHA-256算法计算传输密钥密文和传输数据密文的HASH值并与节点X计算的HASH值比较以确保传输数据的有效性和完整性；

数据解密及角色操作权限校验：在身份认证和数据完整性校验通过后，节点Y使用自身私钥对传输密钥密文进行解密得到传输数据的加密密钥，然后使用得到的加密密钥解密包体中加密的传输数据得到原始传输数据并对数据进行解析并校验请求节点是否具备当前请求操作权限，在当前请求会修改节点Y数据时，发送节点X必须具备操作员角色，否则该请求越权无效；至于角色权限的验证及角色业务权限边界界定由组织系统自行划分及实现；

执行组织系统业务逻辑：至此跨地域跨组织安全交互协作流程完成。