[发明专利]一种提高SaaS应用安全性的方法及系统

权利要求书

1.一种提高SaaS应用安全性的方法，其特征在于包括：

在创建客户时，每个客户对应一个ID，设置归属于该客户的用户公钥，用户公钥用于验证客户身份和对数据密钥进行加密；

按照客户的指示，对该客户的业务数据进行保存时，针对该客户的ID随机生成用于加密业务数据的所述数据密钥；

采用对称加密算法以数据密钥作密钥对业务数据加密；采用非对称加密算法用该客户的用户公钥对所述数据密钥进行加密；客户将加密后的业务数据密文和数据密钥的密文保存在服务器上；

客户用自己的私钥成功解密服务器的挑战报文后，客户获得前述保存在服务器上的密文；客户用自己的私钥解密其中的数据密钥的密文，从中得到前述加密业务数据的数据密钥，并进一步根据对称加密算法解密出前述业务数据。

2.根据权利要求1所述的方法，其特征在于所述对称加密算法为DES算法或AES算法；所述非对称加密算法为RSA算法或ECC算法。

3.根据权利要求1所述的方法，其特征在于用数据密钥对业务数据进行加密时，选择对全部的业务数据进行加密或仅对业务数据中的部分敏感业务数据加密。

4.一种提高SaaS应用安全性的系统，其特征在于包括相互之间能进行数据传输的WEB服务器、认证服务器和数据库服务器：

WEB服务器，用于创建客户ID，并对归属于该客户ID的业务数据进行业务加工，并在验证用户身份后，向客户提供加密后的业务数据及加密后的数据密钥；

认证服务器，根据WEB服务器的指示设置用于验证该客户身份的用户公钥，并针对客户ID的业务数据生成用于加密业务数据的数据密钥，根据数据密钥对业务数据进行对称加密，根据用户公钥对数据密钥进行非对称加密；

数据库服务器，用于保存业务数据以及各用户的用户身份数据，如果业务数据已经作了加密，同时保存相应业务数据密钥的密文。

5.根据权利要求4所述的系统，其特征在于所述用户身份数据包括用户名和用户公钥。

6.根据权利要求4所述的系统，其特征在于客户端拥有一对配对的私钥和用户公钥，其中用户公钥在数据库服务器上保存有同样的备份；客户的业务数据发送至WEB服务器端后，认证服务器用随机产生的数据密钥对业务数据作对称加密得，得到业务数据密文，所述业务数据密文与数据密钥经用户公钥非对称加密后的密文一起打包后保存在数据库服务器中；客户端在需要时向WEB服务器发出请求，获取经打包后的所述密文，将其中加密后的数据密钥根据用户私钥解密，并用解密后得到的数据密钥再对业务数据密文解密，还原出业务数据的明文。

7.根据权利要求6所述的系统，其特征在于在利用该系统创建一个客户的流程包括：

步骤300：客户端向WEB服务器发送创建用户请求；

步骤301：WEB服务器向认证服务器发送创建帐户请求；

步骤302：认证服务器设置账号的数据加密公钥；

步骤303：认证服务器向数据库服务器中存储帐号资料；

步骤304：数据库服务器向认证服务器发回存储成功的响应；

步骤305：认证服务器向WEB服务器发回创建账号成功的响应；

步骤306：WEB服务器向客户端发回创建用户成功的响应。

8.根据权利要求6所述的系统，其特征在于客户端登录该系统的流程包括：

步骤400：客户端向WEB服务器发送用户登陆请求；

步骤401：WEB服务器向认证服务器发送身份认证请求；

步骤402：认证服务器向从数据库中获取用户账号资料请求；

步骤403：数据库服务器向认证服务器发回账号资料响应；

步骤404：认证服务器根据用户资料中的公钥加密随机生成的挑战内容；

步骤405：认证服务器向客户端发送挑战内容的密文；

步骤406：客户端根据用户私钥解密挑战内容；

步骤407：客户端返回挑战内容的明文给认证服务器；

步骤408：认证服务器对比用户返回挑战内容是否正确；

步骤409：若步骤408验证成功，认证服务器向WEB服务器发回登陆成功的响应；

步骤410：WEB服务器向客户端发送登陆成功的响应。