本申請公開了一種安全服務調用方法和安全服務調用系統。其中該方法包括：在業務系統欲向加密機代理系統發送數據處理請求時，業務系統從第一連接池中獲取預先建立的目標第一TCP連接；其中，第一連接池設置于業務系統；業務系統基于目標第一TCP連接將數據處理請求發送至加密機代理系統，其中，數據處理請求包括待處理數據；加密機代理系統從第二連接池中獲取預先建立的目標第二TCP連接；其中，第二連接池設置于加密機代理系統；加密機代理系統基于目標第二TCP連接將待處理數據發送至對應的目標加密機，以使目標加密機對待處理數據進行計算處理。該方法可以減少整體的通信耗時，實現加密機代理到加密機之間TCP連接的復用，從而提升了加密機代理性能。

技術領域

本申請涉及數據處理技術領域，尤其涉及一種安全服務調用方法和安全服務調用系統。

背景技術

加密機代理系統是對加密機硬件設施的一層功能和業務代理系統。如圖1所示，加密機代理系統適配了不同加密機廠商的私有化協議，為各個業務組提供與具體廠商無關的通用的接口，簡化業務系統安全服務調用方式和去除業務系統對具體廠商加密機的依賴。

由于安全服務調用(如數據加解密、數字簽名驗簽等)是一個基本的安全需求，業務系統在與其他外部系統的交互過程中，都會涉及到對報文的簽名驗簽和敏感信息的加解密。數字簽名技術用以驗證請求報文的來源以及防抵賴，解決數據的可信問題。加解密技術用以在通信過程和存儲后的防竊取，解決數據的機密性問題。業務系統處在支付機構和銀行之間的交易轉接位置，在一筆正常的交易一般會涉及到以下幾個步驟：對來自支付機構報文的驗簽、解密報文內的敏感信息、加密敏感信息、對發往銀行的報文進行簽名。可以看到一筆交易會有多次的安全調用，因此加密機及加密機代理系統要能提供幾倍于各業務系統的并發訪問能力和吞吐能力。加密機代理系統處于業務系統和加密機之間，在調用鏈路上增加了一個環節，因此通過技術手段盡量減弱增加代理層所帶來的交易耗時增加具有重大收益。

相關技術中，在業務系統與加密機代理系統之間，加密機代理系統與加密機之間，通常均是采用TCP技術進行通信，即第一步需要建立通信雙方的TCP連接，建立的過程需要3次握手過程，在連接建立之后，通過連接進行數據傳輸。

但是，目前存在的問題是：在節點之間通信每次通信前建立TCP長連接，在通信完成后斷開TCP長連接。TCP連接的建立有三次握手過程，TCP連接的關閉需要有四次揮手過程。這種通信方式在業務系統和加密機代理系統、加密機代理系統到加密機通信都要進行TCP的建立連接，造成客戶端和服務端之間交互過，耗時較長。

發明內容

本申請的目的旨在至少在一定程度上解決上述的技術問題之一。

為此，本申請的第一個目的在于提出一種安全服務調用方法。該方法可以通過減少TCP連接的每次建立，極大的減少了整體的通信耗時，實現了加密機代理到加密機之間TCP連接的復用，從而提升了加密機代理性能。

本申請的第二個目的在于提出一種安全服務調用系統。

為達到上述目的，本申請第一方面實施例提出的安全服務調用方法，包括：在業務系統欲向加密機代理系統發送數據處理請求時，所述業務系統從第一連接池中獲取預先建立的目標第一TCP連接；其中，所述第一連接池設置于所述業務系統；所述業務系統基于所述目標第一TCP連接將所述數據處理請求發送至所述加密機代理系統，其中，所述數據處理請求包括待處理數據；所述加密機代理系統從第二連接池中獲取預先建立的目標第二TCP連接；其中，所述第二連接池設置于所述加密機代理系統；所述加密機代理系統基于所述目標第二TCP連接將所述待處理數據發送至對應的目標加密機，以使所述目標加密機對所述待處理數據進行計算處理。