CN115801453B - 一种敏感数据互联网安全查询的*** - Google Patents
一种敏感数据互联网安全查询的*** Download PDFInfo
- Publication number
- CN115801453B CN115801453B CN202310045167.9A CN202310045167A CN115801453B CN 115801453 B CN115801453 B CN 115801453B CN 202310045167 A CN202310045167 A CN 202310045167A CN 115801453 B CN115801453 B CN 115801453B
- Authority
- CN
- China
- Prior art keywords
- application
- data
- query
- request
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种敏感数据互联网安全查询的***,包括:通过基础安全措施建立请求端与服务端的数据传输安全通道;请求端请求和服务端返回结果,使用动态数据密钥、公私钥组合加解密;敏感数据物理隔离,在数据隔离区进行数据的加解密和计算处理,服务端数据不落地,存放在内存中;查询申请结果异步响应,先获取查询申请码,再根据查询申请码获取申请结果。本发明既能够保障敏感数据的安全,又便利敏感数据的业务应用,敏感数据在数据隔离区进行数据加解密和计算处理,互联网不存储和处理敏感数据,传输数据包使用动态数据密钥加证书公钥的方式进行数据加密,传输数据包被窃取也不会有数据泄露的风险。
Description
技术领域
本发明涉及数据传输安全技术领域,特别涉及一种敏感数据互联网安全查询的***。
背景技术
目前,现有敏感数据查询,一种方式是将包含敏感数据的***部署在专用网络,请求端查询时需要到专用网络区进行操作,如果业务涉及全国各地,往往需要专线连接或者代操作,成本高。第二种方式是将包含敏感数据的***部署在互联网,请求端通过互联网进行操作,敏感数据在互联网落地,存在数据泄露的风险。
发明内容
为克服上述现有技术的不足,本发明提出一种敏感数据互联网安全查询的***,包括:请求端,用于:配置服务端公钥;根据获取的业务查询申请,向服务端发送请求报文;
接收服务端发送的一级数据密钥,通过请求端私钥对所述一级数据密钥进行解密,得到查询数据密钥;基于所述查询数据密钥,向服务端发送查询申请报文,通过所述一级数据密钥对查询申请报文中的查询申请参数进行加密,得到查询申请数据,并将所述查询申请数据发送至服务端;接收服务端发送的一级查询申请码,通过请求端私钥和所述一级数据密钥对所述一级查询申请码分别进行解密,得到二级查询申请码;接收敏感数据隔离区上传的返回报文体和校验码,并按照预设的时间间隔向服务端发送查询结果申请报文;获取请求端发送的返回报文体中的查询申请结果,使用服务端公钥对所述返回报文体的校验码进行校验,当校验结果通过后,对所述查询申请结果分别使用请求端私钥和所述一级数据密钥进行解密,获取目标查询申请结果。
优选的,所述请求端中的请求报文包括:请求报文报文头和请求报文报文体;所述请求报文报文头包括:第一接入身份标识和第一业务唯一表示;所述请求报文报文体包括:请求参数信息和校验码;所述第一业务唯一标识包括:待获取的数据密钥、待获取的查询申请码、待获取的申请结果。
优选的,所述请求端中的查询申请报文包括:查询申请报文报文头和查询申请报文报文体;所述查询申请报文报文头包括:第二接入身份标识和第二业务唯一标识;所述查询申请报文报文体包括:查询申请参数。
优选的,所述请求端中的查询结果申请报文包括:查询结果申请报文报文头和查询结果申请报文报文体;所述查询结果申请报文报文头包括:第三接入身份标识和第三业务唯一标识;所述查询结果申请报文报文体包括:二级查询申请码。
基于同一发明构思,本发明提供一种敏感数据互联网安全查询的***,包括:服务端,用于:配置请求端公钥、请求端IP白名单和请求端接入身份标识;使用所述请求端公钥对服务端发送的请求报文进行校验,当校验结果为校验通过时,基于所述请求报文生成数据密钥,并通过所述请求端公钥将所述数据密钥进行加密,得到一级数据密钥,并将所述一级数据密钥返回至请求端;
接收请求端发送的查询申请数据,根据所述查询申请数据,生成对应的查询申请码,使用所述一级数据密钥和请求端公钥对所述查询申请码分别进行加密,得到一级查询申请码,将所述一级查询申请码上传至请求端;通过单向网闸将服务端内存中的所述查询申请数据同步至敏感数据隔离区,并接收敏感数据隔离区上传的返回报文体和校验码;接收请求端发送的查询结果申请报文,使用请求端公钥对所述查询结果申请报文的校验码进行校验,当校验结果通过后,向请求端返回所述返回报文体中的查询申请结果。
优选的,所述服务端中使用请求端公钥对所述查询结果申请报文的校验码进行校验,当校验结果通过后,返回所述返回报文体中的查询申请结果之后,还包括:按照预设的时间间隔清除内存中的查询申请结果。
基于同一发明构思,本发明提供了一种敏感数据互联网安全查询的***,包括:
敏感数据隔离区,用于:配置请求端公钥和服务端私钥;接收服务端发送的查询申请数据,通过服务端得到的一级数据密钥对所述查询申请数据进解密,得到查询申请参数;
根据所述查询申请参数,计算对应的查询申请结果;通过所述一级数据密钥和所述请求端公钥对所述查询申请结果分别进行加密,获取返回报文体;通过所述服务端私钥对所述返回报文体进行签名,生成对应的校验码,并将所述返回报文体和校验码上传至请求端和服务端。
与最接近的现有技术相比,本发明具有的有益效果如下:
本发明提供了一种敏感数据互联网安全查询的***,包括:通过基础安全措施建立请求端与服务端的数据传输安全通道;请求端请求和服务端返回结果,使用动态数据密钥、公私钥组合加解密;敏感数据物理隔离,在数据隔离区进行数据的加解密和计算处理,服务端数据不落地,存放在内存中;查询申请结果异步响应,先获取查询申请码,再根据查询申请码获取申请结果。本发明既能够保障敏感数据的安全,又便利敏感数据的业务应用,敏感数据在数据隔离区进行数据加解密和计算处理,互联网不存储和处理敏感数据,传输数据包使用动态数据密钥加证书公钥的方式进行数据加密,传输数据包被窃取也不会有数据泄露的风险;此外,能够保障敏感数据业务的安全应用。综合利用安全通道、一次一密、叠加的加密机制、物理隔离等多种手段,多重保证业务数据的安全。在数据包被截取的情况下,也能保障数据的安全,无法被解密;敏感数据的安全处理。
本发明的其它特征将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例中一种敏感数据互联网安全查询的***的技术流程示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序,“多个”的含义是两个或两个以上,除非另有明确具体的限定。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
实施例1:
本发明提供的一种敏感数据互联网安全查询的***,包括:请求端,用于:
配置服务端公钥;根据获取的业务查询申请,向服务端发送请求报文;
接收服务端发送的一级数据密钥,通过请求端私钥对所述一级数据密钥进行解密,得到查询数据密钥;
基于所述查询数据密钥,向服务端发送查询申请报文,通过所述一级数据密钥对查询申请报文中的查询申请参数进行加密,得到查询申请数据,并将所述查询申请数据发送至服务端;
接收服务端发送的一级查询申请码,通过请求端私钥和所述一级数据密钥对所述一级查询申请码分别进行解密,得到二级查询申请码;
接收敏感数据隔离区上传的返回报文体和校验码,并按照预设的时间间隔向服务端发送查询结果申请报文;
获取请求端发送的返回报文体中的查询申请结果,使用服务端公钥对所述返回报文体的校验码进行校验,当校验结果通过后,对所述查询申请结果分别使用请求端私钥和所述一级数据密钥进行解密,获取目标查询申请结果。
所述请求端中的请求报文包括:请求报文报文头和请求报文报文体;所述请求报文报文头包括:第一接入身份标识和第一业务唯一表示;所述请求报文报文体包括:请求参数信息和校验码;所述第一业务唯一标识包括:待获取的数据密钥、待获取的查询申请码、待获取的申请结果。
所述请求端中的查询申请报文包括:查询申请报文报文头和查询申请报文报文体;所述查询申请报文报文头包括:第二接入身份标识和第二业务唯一标识;所述查询申请报文报文体包括:查询申请参数。
所述请求端中的查询结果申请报文包括:查询结果申请报文报文头和查询结果申请报文报文体;所述查询结果申请报文报文头包括:第三接入身份标识和第三业务唯一标识;所述查询结果申请报文报文体包括:二级查询申请码;
本发明通过基础安全措施建立请求端与服务端的数据传输安全通道;请求端请求和服务端返回结果,使用动态数据密钥、公私钥组合加解密;敏感数据物理隔离,在数据隔离区进行数据的加解密和计算处理,服务端数据不落地,存放在内存中;查询申请结果异步响应,先获取查询申请码,再根据查询申请码获取申请结果。既保障敏感数据的安全,又便利敏感数据的业务应用。敏感数据在数据隔离区进行数据加解密和计算处理,互联网不存储和处理敏感数据。传输数据包使用动态数据密钥加证书公钥的方式进行数据加密,传输数据包被窃取也不会有数据泄露的风险。
在一个具体的实施例中,技术流程示意图如图1所示,
步骤1 配置基础安全措施
1)请求端配置服务端公钥fwd-cert.pem、请求端私钥qqd-cert-private.pem。服务端配置请求端公钥qqd-cert.pem。敏感数据隔离区配置请求端公钥qqd-cert.pem和服务端私钥fwd-cert-private.pem。
2)服务端对请求端的信息进行验证,验证通过后建立vpn通道。
3)服务端对请求端的IP白名单、接入身份标识进行验证,验证通过后服务端才响应请求。
以下步骤请求端通过发送请求报文R的方式发送请求,请求报文包含报文头,报文体和校验码三个区域,每个报区域根据请求的内容及参数组装生成报文内容。
步骤2 获取数据密钥,步骤2.1 请求端发送获取数据密钥请求
1)请求端生成业务唯一标识C1=2658174392B7462E9C587CEEA70DAF1B和服务端提供的接入身份标识A1;(A1=DDB9DDC994CA4B4884832DC2849E8C5B),共同组装请求报文头。
<head> <!--报文头-->
<auth_id>DDB9DDC994CA4B4884832DC2849E8C5B</auth_id><!--接入身份标识ID-->
<query_id>2658174392B7462E9C587CEEA70DAF1B</query_id> <!--业务唯一标识ID-->
<timestamp>20220719114916777</timestamp> <!--报文时间-->
</head>
2)请求端生成报文体。
<body>
<data>
<query_user>XXX请求端</query_user>
</data>
</body>
3)请求端使用请求端私钥qqd-cert-private.pem,对<data>标签里面的内容进行签名,生成签名结果E1;(E1=42A19FF8B86D011B42D00C04FC90106DADFDFAFDASFDFASDFAGDKLIEIJAKDFJNK8745IUUJN8DK),将E1放入校验码<ecc>标签。
<verification>
<ecc>
42A19FF8B86D011B42D00C04FC90106DADFDFAFDASFDFASDFAGDKLIEIJAKDFJNK8745IUUJN8DK
</ecc>
</verification>
4)请求端组装报文头、报文体和校验码,生成查询申请码请求报文R1,发送到服务端。
步骤2.2 服务端返回数据密钥
1)服务端验证请求报文头接入身份标识A1通过后,根据请求端公钥qqd-cert.pem对报文体<ecc>标签的校验码E1进行验签,与<data>标签里面的内容进行比较。
2)比较验证通过后,服务端生成数据密钥M1(M1=ED005294EFBB45FB9BCAD2B930C3EA12458DCFCAD19C44A39C8F6F906820F8CB),在内存中记录M1以及M1与C1的关系,将数据密钥放入返回结果报文体<data>,使用请求端公钥qqd-cert.pem对<data>标签里面的内容进行加密,生成加密数据D1(D1=7CDEBB77E537461188376A65729AEF23A30D2562C74C4E8198B144A1CEAE1EFADBBF11CC0AF949B183038B1357AC3E10)。
<body>
<data> 7CDEBB77E537461188376A65729AEF23A30D2562C74C4E8198B144A1CEAE1EFADBBF11CC0AF949B183038B1357AC3E10
</data>
</body>
步骤2.3 请求端获取数据密钥
1)请求端收到返回的报文后,解析报文<data>标签获得加密的数据D1。
2)使用请求端私钥文件qqd-cert-private.pem对D1进行解密获得数据密钥M1。
步骤3 获取查询申请码
步骤3.1 请求端发送获取查询申请码请求
1)请求端使用查询标识C1和接入身份标识A1生成请求报文头,组装查询申请参数S1。
<query_user>XXX请求端</query_user>
<parm1>参数1</parm1>
<parm2>参数2</parm2>
<parmn>参数n</parmn>
2)使用步骤2.3获得的数据密钥M1对组装的查询申请参数进行加密,生成加密查询申请数据D2;(D2=01C2E39F4ADD41C5BA38550041DECCEEC1063E81DEF944278BBF94AC75F7A3156F484F6FB70C43D9B6260BC54DEE85FA5924A7FD4BC846039F5DD73FB7DA217E),将D2放入返回报文的报文体<data>标签内。
3)请求端组装报文头、报文体,生成查询申请码请求报文R2,通过安全通道发送到服务端。
步骤3.2 服务端返回查询申请码
1)服务端获取R2报文头Q1=8DF29037103D4C5E8AC2FE768005940B的查询标识C1,在内存中找到对应的数据密钥M1。
2)服务端在内存中生成唯一查询申请码Q1
(Q1=8DF29037103D4C5E8AC2FE768005940B),使用数据密钥M1对Q1加密,生成加密数据D3;(D3=8B12D12F6B524507B678DDD7E40FCC755F2C3D759F874F458DC5A0670F1C9689E42EA58E47084C8F881),再使用请求端公钥qqd-cert.pem对D3进行加密,生成加密数据D4(D4=9E3D579F0E0044F48B789A8C5F284404D03CE47FB2D948149F056D6BD912E280B654D948256F4A088C0A31531ED3F90E),将查询申请码加密数据D4放入返回报文的报文体<data>标签内。
3)服务端返回查询申请码报文后,将内存中的数据密钥M1、查询申请码Q1和查询申请码请求报文R2同步到敏感数据隔离区。同步后清除服务端内存中的申请码和查询申请码请求报文数据。
步骤3.3 请求端获取查询申请码
1)请求端收到返回的报文后,解析报文<data>标签获得查询申请码D4。
2)使用请求端私钥文件qqd-cert-private.pem对D4进行解密获得加密数据D3,再使用数据密钥M1解密D3,获得查询申请码Q1。
步骤4 异步查询申请计算处理
1)敏感数据隔离区收到数据密钥M1、查询申请码Q1和请求报文R2后,开始计算处理。
2)获取R2报文体<data>标签内的D2,使用数据密钥M1对D2进行解密,获得查询申请参数S1。
3)根据申请参数S1进行查询业务处理,生成申请结果G1。
<field1>结果字段1</field1>
<field2>结果字段2</field2>
<fieldn>结果字段n</fieldn>
4)使用数据密钥M1对G1加密,生成加密数据D5(D5=A09200D0D53C41C4B359326793E4441DB3C50DC3DAD94EEDA6851F09957D50CAEB170E503D9F4DEBA11363C42007285B),再使用请求端公钥qqd-cert.pem对D5进行加密,生成加密数据D6(D6=1E753FAF6BA64C30B28046436CB06C124CF99D93736B4DC48C169FD3BE12085828E642E781BC454A8B365AD9D3A09F8E)。将D6放入返回报文的报文体<data>标签内。
5)使用服务端私钥fwd-cert-private.pem对D6进行签名,生成签名结果E2;(E2=6FAD51848D9D4AB3B81552003AF9ABD0EBE4BA7B2B8444C48E7519C7C546A0B17ACA87BB35954BCA8BA3977555632078),将E2放入到返回报文的校验码<ecc>标签内。
6)敏感数据隔离区生成返回结果报文R3,导出后导入到服务端内存。
步骤5 查询结果申请
步骤5.1 请求端发送查询结果申请
1)请求端使用查询标识C1和接入身份标识A1生成请求报文头。
2)将步骤3.3获取的查询申请码Q1作为查询参数,放入请求报文体<data>标签。
3)使用请求端私钥qqd-cert-private.pem,对<data>标签里面的Q1签名,生成签名结果E3(E3=7B9CAE76E03F420C9D091E680FD71FBA7A295227E870429D9A06CBF74E4207AC805F3E6567334697B2B2A8059BE670A9),将E3放入校验码的<ecc>标签。
4)发送请求报文R4。
步骤5.2 服务端返回申请结果
1)服务端根据请求端公钥文件qqd-cert.pem对报文体<ecc>标签的E3进行验签,与<data>标签里面的Q1进行比较。
2)比较验证通过后,根据查询申请码Q1在服务端内存中找到对应的结果报文R3,返回请求端。
步骤5.3 请求端获取申请结果
1)请求端使用服务端公钥fwd-cert.pem对返回报文R3的校验码<ecc>标签的E2进行验签,与R3报文的<data>标签的D6进行比较。
2)比较验证通过后,使用请求端私钥qqd-cert-private.pem,对<data>标签里面D6进行解密获得D5,再使用数据密钥M1对D5进行解密获得G1,G1即为敏感数据隔离区进行业务处理后返回的查询结果。
实施例2:
基于同一发明构思,本发明提供一种敏感数据互联网安全查询的***,包括:服务端,用于:配置请求端公钥、请求端IP白名单和请求端接入身份标识;
使用所述请求端公钥对服务端发送的请求报文进行校验,当校验结果为校验通过时,基于所述请求报文生成数据密钥,并通过所述请求端公钥将所述数据密钥进行加密,得到一级数据密钥,并将所述一级数据密钥返回至请求端;
接收请求端发送的查询申请数据,根据所述查询申请数据,生成对应的查询申请码,使用所述一级数据密钥和请求端公钥对所述查询申请码分别进行加密,得到一级查询申请码,将所述一级查询申请码上传至请求端;
通过单向网闸将服务端内存中的所述查询申请数据同步至敏感数据隔离区,并接收敏感数据隔离区上传的返回报文体和校验码;
接收请求端发送的查询结果申请报文,使用请求端公钥对所述查询结果申请报文的校验码进行校验,当校验结果通过后,向请求端返回所述返回报文体中的查询申请结果。
所述服务端中使用请求端公钥对所述查询结果申请报文的校验码进行校验,当校验结果通过后,返回所述返回报文体中的查询申请结果之后,还包括:
按照预设的时间间隔清除内存中的查询申请结果。
实施例3:
基于同一发明构思,本发明提供了一种敏感数据互联网安全查询的***,包括:敏感数据隔离区,用于:配置请求端公钥和服务端私钥;接收服务端发送的查询申请数据,通过服务端得到的一级数据密钥对所述查询申请数据进解密,得到查询申请参数;
根据所述查询申请参数,计算对应的查询申请结果;
通过所述一级数据密钥和所述请求端公钥对所述查询申请结果分别进行加密,获取返回报文体;
通过所述服务端私钥对所述返回报文体进行签名,生成对应的校验码,并将所述返回报文体和校验码上传至请求端和服务端。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (7)
1.一种敏感数据互联网安全查询的***,其特征在于,包括:请求端,用于:配置服务端公钥;根据获取的业务查询申请,向服务端发送请求报文;接收服务端发送的一级数据密钥,通过请求端私钥对所述一级数据密钥进行解密,得到查询数据密钥;
基于所述查询数据密钥,向服务端发送查询申请报文,通过所述一级数据密钥对查询申请报文中的查询申请参数进行加密,得到查询申请数据,并将所述查询申请数据发送至服务端;
接收服务端发送的一级查询申请码,通过请求端私钥和所述一级数据密钥对所述一级查询申请码分别进行解密,得到二级查询申请码;接收敏感数据隔离区上传的返回报文体和校验码,并按照预设的时间间隔向服务端发送查询结果申请报文;获取请求端发送的返回报文体中的查询申请结果,使用服务端公钥对所述返回报文体的校验码进行校验,当校验结果通过后,对所述查询申请结果分别使用请求端私钥和所述一级数据密钥进行解密,获取目标查询申请结果。
2.如权利要求1所述的***,其特征在于,所述请求端中的请求报文包括:请求报文报文头和请求报文报文体;所述请求报文报文头包括:第一接入身份标识和第一业务唯一标识;所述请求报文报文体包括:请求参数信息和校验码;所述第一业务唯一标识包括:待获取的数据密钥、待获取的查询申请码、待获取的申请结果。
3.如权利要求1所述的***,其特征在于,所述请求端中的查询申请报文包括:查询申请报文报文头和查询申请报文报文体;所述查询申请报文报文头包括:第二接入身份标识和第二业务唯一标识;所述查询申请报文报文体包括:查询申请参数。
4.如权利要求3所述的***,其特征在于,所述请求端中的查询结果申请报文包括:查询结果申请报文报文头和查询结果申请报文报文体;所述查询结果申请报文报文头包括:第三接入身份标识和第三业务唯一标识;所述查询结果申请报文报文体包括:二级查询申请码。
5.一种敏感数据互联网安全查询的***,其特征在于,包括:服务端,用于:配置请求端公钥、请求端IP白名单和请求端接入身份标识;
使用所述请求端公钥对服务端发送的请求报文进行校验,当校验结果为校验通过时,基于所述请求报文生成数据密钥,并通过所述请求端公钥将所述数据密钥进行加密,得到一级数据密钥,并将所述一级数据密钥返回至请求端;接收请求端发送的查询申请数据,根据所述查询申请数据,生成对应的查询申请码,使用所述一级数据密钥和请求端公钥对所述查询申请码分别进行加密,得到一级查询申请码,将所述一级查询申请码上传至请求端;通过单向网闸将服务端内存中的所述查询申请数据同步至敏感数据隔离区,并接收敏感数据隔离区上传的返回报文体和校验码;接收请求端发送的查询结果申请报文,使用请求端公钥对所述查询结果申请报文的校验码进行校验,当校验结果通过后,向请求端返回所述返回报文体中的查询申请结果。
6.如权利要求5所述的***,其特征在于,所述服务端中使用请求端公钥对所述查询结果申请报文的校验码进行校验,当校验结果通过后,返回所述返回报文体中的查询申请结果之后,还包括:按照预设的时间间隔清除内存中的查询申请结果。
7.一种敏感数据互联网安全查询的***,其特征在于,包括:敏感数据隔离区,用于:配置请求端公钥和服务端私钥;接收服务端发送的查询申请数据,通过服务端得到的一级数据密钥对所述查询申请数据进解密,得到查询申请参数;根据所述查询申请参数,计算对应的查询申请结果;通过所述一级数据密钥和所述请求端公钥对所述查询申请结果分别进行加密,获取返回报文体;通过所述服务端私钥对所述返回报文体进行签名,生成对应的校验码,并将所述返回报文体和校验码上传至请求端和服务端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310045167.9A CN115801453B (zh) | 2023-01-30 | 2023-01-30 | 一种敏感数据互联网安全查询的*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310045167.9A CN115801453B (zh) | 2023-01-30 | 2023-01-30 | 一种敏感数据互联网安全查询的*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115801453A CN115801453A (zh) | 2023-03-14 |
| CN115801453B true CN115801453B (zh) | 2023-05-02 |
Family
ID=85429184
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310045167.9A Active CN115801453B (zh) | 2023-01-30 | 2023-01-30 | 一种敏感数据互联网安全查询的*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115801453B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018099577A1 (en) * | 2016-12-02 | 2018-06-07 | Ecole Polytechnique Federale De Lausanne (Epfl) | System and method for providing a collective decentralized authority for sharing sensitive data |
| CN110502916A (zh) * | 2018-05-16 | 2019-11-26 | 苏宁易购集团股份有限公司 | 一种基于区块链的敏感性数据处理方法与*** |
| CN111104691A (zh) * | 2019-11-28 | 2020-05-05 | 贝壳技术有限公司 | 敏感信息的处理方法、装置、存储介质及设备 |
| CN111723385A (zh) * | 2020-06-01 | 2020-09-29 | 清华大学 | 数据信息处理方法、装置、电子设备及存储介质 |
| CN114553436A (zh) * | 2022-02-23 | 2022-05-27 | 山东省计算中心(国家超级计算济南中心) | 用于智能医学工程的数据安全共享与隐私保护方法及*** |
| CN114844720A (zh) * | 2022-06-06 | 2022-08-02 | 湖南五凌电力科技有限公司 | 一种物联数据加密传输方法、***、服务端及客户端 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109347625B (zh) * | 2018-08-31 | 2020-04-24 | 阿里巴巴集团控股有限公司 | 密码运算、创建工作密钥的方法、密码服务平台及设备 |
-
2023
- 2023-01-30 CN CN202310045167.9A patent/CN115801453B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018099577A1 (en) * | 2016-12-02 | 2018-06-07 | Ecole Polytechnique Federale De Lausanne (Epfl) | System and method for providing a collective decentralized authority for sharing sensitive data |
| CN110502916A (zh) * | 2018-05-16 | 2019-11-26 | 苏宁易购集团股份有限公司 | 一种基于区块链的敏感性数据处理方法与*** |
| CN111104691A (zh) * | 2019-11-28 | 2020-05-05 | 贝壳技术有限公司 | 敏感信息的处理方法、装置、存储介质及设备 |
| CN111723385A (zh) * | 2020-06-01 | 2020-09-29 | 清华大学 | 数据信息处理方法、装置、电子设备及存储介质 |
| CN114553436A (zh) * | 2022-02-23 | 2022-05-27 | 山东省计算中心(国家超级计算济南中心) | 用于智能医学工程的数据安全共享与隐私保护方法及*** |
| CN114844720A (zh) * | 2022-06-06 | 2022-08-02 | 湖南五凌电力科技有限公司 | 一种物联数据加密传输方法、***、服务端及客户端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115801453A (zh) | 2023-03-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI818423B (zh) | 物聯網設備的身份認證方法及裝置 | |
| CN108809953B (zh) | 一种基于区块链的匿名身份认证的方法及装置 | |
| CN109961292B (zh) | 区块链验证码应用方法、设备和存储介质 | |
| JP2005102163A (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体 | |
| CN108809940B (zh) | 电网***服务器与客户端交互加密方法 | |
| CN104836784B (zh) | 一种信息处理方法、客户端和服务器 | |
| EP1403839A1 (en) | Data originality validating method and system | |
| CN109492424B (zh) | 数据资产管理方法、数据资产管理装置及计算机可读介质 | |
| CN106790261A (zh) | 分布式文件***及用于其中节点间认证通信的方法 | |
| CN110740038B (zh) | 区块链及其通信方法、网关、通信***和存储介质 | |
| CN101305542B (zh) | 一种数字证书与密钥下载方法 | |
| CN113392430B (zh) | 基于智能合约认证的数字资源管理方法及*** | |
| CN112311537A (zh) | 基于区块链的设备接入认证***及方法 | |
| CN112235290B (zh) | 基于区块链的物联网设备管理方法及第一物联网设备 | |
| CN110213232B (zh) | 一种指纹特征和密钥双重验证方法和装置 | |
| CN106789963B (zh) | 非对称白盒密码加密方法和装置及设备 | |
| CN115906181A (zh) | 一种基于区块链属性的加密文件确权方法、装置及*** | |
| CN113746916B (zh) | 基于区块链的第三方服务提供方法、***及相关节点 | |
| CN117097476B (zh) | 一种基于工业互联网的数据处理方法、设备及介质 | |
| CN113965425B (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 | |
| CN110807210B (zh) | 一种信息处理方法、平台、***及计算机存储介质 | |
| CN117294417A (zh) | 一种安全通讯***、方法以及存储介质 | |
| CN115801453B (zh) | 一种敏感数据互联网安全查询的*** | |
| WO2023116027A1 (zh) | 安全多方计算中的跨域身份验证方法及服务器 | |
| CN113364803B (zh) | 基于区块链的配电物联网的安全认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |