[发明专利]网络安全服务保障方法

说明书

本发明涉及一种网络安全服务保障方法，用于为不同组织系统间在公网上传递敏感数据和业务协作提供平等互信及通信数据安全保障。该网络安全服务保障方法的实现由MSP组件、配置中心和自定义传输协议组成，该方法包括：配置中心启动及配置初始化；MSP组件集成及启动；MSP组件初始化；组织系统节点授权及角色权限划分；建立节点间通信连接；发送交互协作请求；发送方身份认证及数据校验；数据解密及角色操作权限校验；执行组织系统业务逻辑。本申请提供的网络安全服务保障方法其核心积极效果为摒弃传统单方授信鉴权方式，以双方或多方平等互信为基础，建立跨组织跨系统协作且以足够安全手段保证协作过程中传输数据的机密性和完整性。

技术领域

本发明涉及互联网通信技术领域，特别是涉及一种网络安全服务保障方法。

背景技术

目前关于公网中跨组织系统间的安全鉴权协作方面尚属原始单方授信阶段，各组织系统间交互基本是以颁发访问令牌的方式实现且没有高安全性通用组件可用，这种方式存在以下几项缺点：当业务需要跨组织跨系统交互时需要额外开发鉴权授信功能；当访问令牌遗失时其身份存在被冒用风险；当交互系统双方甚至多方都需要互相调用协作时各方都要开发鉴权授信功能；各方交互系统的鉴权认证方式实现不一和角色权限配置各异；参与协作双方或多方身份不对等。

发明内容

本发明要解决的技术问题是提供一种能为跨组织系统间的安全交互协作提供通用解决方案的网络安全服务保障方法。

为实现本发明目的，本发明采用如下技术方案：

一种网络安全服务保障方法，用于为不同组织系统间在公网上传递敏感数据和业务协作提供平等互信及通信数据安全保障，所述方法的实现由MSP组件、配置中心和自定义传输协议组成，其中，所述MSP组件中内置有CA服务器，所述自定义传输协议分为包头和包体，所述方法包括如下步骤：

配置中心启动及配置初始化：启动配置中心并配置各组织系统所属服务器地址，随后配置中心会根据服务器地址自动生成MSP_ID并与之关联；

MSP组件集成及启动：将配置中心生成的MSP_ID分配至对应组织系统，并将MSP组件集成至组织系统中随组织系统启动；

MSP组件初始化：MSP组件启动后会自动生成系统管理员角色用于节点的权限授权和其它角色的创建；

组织系统节点授权及角色权限划分：组织通过所述系统管理员角色向系统组织中各节点授予角色并颁发数字证书，用于跟其它组织建立连接时的身份认证，其中，数字证书包含当前节点的公钥用于传输数据密钥的加密；

建立节点间通信连接：各组织节点间首次进行协作交互时会建立连接通信并交换双方数字证书以获得对方公钥，用于进行传输数据秘钥的加密；如当组织A中X节点需要向组织B中Y节点发送数据或请求时，会先查询本地是否存在节点Y的公钥，如不存在则将所属组织的MSP_ID和数字证书放入包头并建立通信连接请求；节点Y收到节点X的通信连接后，首先提取包头中MSP_ID并到配置中心查找对应的CA服务器，然后将包头中的数字证书投送至查找到的CA服务器进行成员认证和权限认证，CA服务器认证通过后则提取出节点X的公钥并保存至本系统，然后将自身MSP_ID和证书发送至节点X，节点X做同样操作；

发送交互协作请求：在建立通信连接后节点X会将传输数据以3DES对称加密的方式进行加密并放入到包体中，每次传输时3DES的密钥都随机生成，然后再使用节点Y的公钥以RSA2非对称加密的方式对3DES密钥进行加密生成传输密钥密文；然后再以SHA-256算法计算出传输密钥密文和包体中传输数据密文的HASH值用于数据完整性验证，然后用自身私钥对计算出的HASH值进行非对称加密生成数字签名，最后将数字签名、传输密钥密文、所属组织的MSP_ID和数字证书一起放入包头完成请求包组装并向节点Y发起请求；