本發明涉及一種網絡安全服務保障方法，用于為不同組織系統間在公網上傳遞敏感數據和業務協作提供平等互信及通信數據安全保障。該網絡安全服務保障方法的實現由MSP組件、配置中心和自定義傳輸協議組成，該方法包括：配置中心啟動及配置初始化；MSP組件集成及啟動；MSP組件初始化；組織系統節點授權及角色權限劃分；建立節點間通信連接；發送交互協作請求；發送方身份認證及數據校驗；數據解密及角色操作權限校驗；執行組織系統業務邏輯。本申請提供的網絡安全服務保障方法其核心積極效果為摒棄傳統單方授信鑒權方式，以雙方或多方平等互信為基礎，建立跨組織跨系統協作且以足夠安全手段保證協作過程中傳輸數據的機密性和完整性。

技術領域

本發明涉及互聯網通信技術領域，特別是涉及一種網絡安全服務保障方法。

背景技術

目前關于公網中跨組織系統間的安全鑒權協作方面尚屬原始單方授信階段，各組織系統間交互基本是以頒發訪問令牌的方式實現且沒有高安全性通用組件可用，這種方式存在以下幾項缺點：當業務需要跨組織跨系統交互時需要額外開發鑒權授信功能；當訪問令牌遺失時其身份存在被冒用風險；當交互系統雙方甚至多方都需要互相調用協作時各方都要開發鑒權授信功能；各方交互系統的鑒權認證方式實現不一和角色權限配置各異；參與協作雙方或多方身份不對等。

發明內容

本發明要解決的技術問題是提供一種能為跨組織系統間的安全交互協作提供通用解決方案的網絡安全服務保障方法。

為實現本發明目的，本發明采用如下技術方案：

一種網絡安全服務保障方法，用于為不同組織系統間在公網上傳遞敏感數據和業務協作提供平等互信及通信數據安全保障，所述方法的實現由MSP組件、配置中心和自定義傳輸協議組成，其中，所述MSP組件中內置有CA服務器，所述自定義傳輸協議分為包頭和包體，所述方法包括如下步驟：

配置中心啟動及配置初始化：啟動配置中心并配置各組織系統所屬服務器地址，隨后配置中心會根據服務器地址自動生成MSP_ID并與之關聯；

MSP組件集成及啟動：將配置中心生成的MSP_ID分配至對應組織系統，并將MSP組件集成至組織系統中隨組織系統啟動；

MSP組件初始化：MSP組件啟動后會自動生成系統管理員角色用于節點的權限授權和其它角色的創建；

組織系統節點授權及角色權限劃分：組織通過所述系統管理員角色向系統組織中各節點授予角色并頒發數字證書，用于跟其它組織建立連接時的身份認證，其中，數字證書包含當前節點的公鑰用于傳輸數據密鑰的加密；

建立節點間通信連接：各組織節點間首次進行協作交互時會建立連接通信并交換雙方數字證書以獲得對方公鑰，用于進行傳輸數據秘鑰的加密；如當組織A中X節點需要向組織B中Y節點發送數據或請求時，會先查詢本地是否存在節點Y的公鑰，如不存在則將所屬組織的MSP_ID和數字證書放入包頭并建立通信連接請求；節點Y收到節點X的通信連接后，首先提取包頭中MSP_ID并到配置中心查找對應的CA服務器，然后將包頭中的數字證書投送至查找到的CA服務器進行成員認證和權限認證，CA服務器認證通過后則提取出節點X的公鑰并保存至本系統，然后將自身MSP_ID和證書發送至節點X，節點X做同樣操作；

發送交互協作請求：在建立通信連接后節點X會將傳輸數據以3DES對稱加密的方式進行加密并放入到包體中，每次傳輸時3DES的密鑰都隨機生成，然后再使用節點Y的公鑰以RSA2非對稱加密的方式對3DES密鑰進行加密生成傳輸密鑰密文；然后再以SHA-256算法計算出傳輸密鑰密文和包體中傳輸數據密文的HASH值用于數據完整性驗證，然后用自身私鑰對計算出的HASH值進行非對稱加密生成數字簽名，最后將數字簽名、傳輸密鑰密文、所屬組織的MSP_ID和數字證書一起放入包頭完成請求包組裝并向節點Y發起請求；