[发明专利]一种安全数据中转方法及系统

权利要求书

1.一种安全数据中转方法，其特征在于，包括：

业务数据发送节点对业务数据进行数字签名后将业务数据和数字签名字段打包发送给中转节点；

中转节点对接收到的业务数据包携带的数字签名字段进行认证，若认证通过，则再次对所述业务数据进行数字签名生成新的数字签名字段，并将业务数据和新的数字签名字段打包发送给业务数据接收节点，否则丢弃所述业务数据包；

业务数据接收节点对接收到的业务数据包携带的数字签名字段进行认证，若认证通过则接受所述业务数据包，否则丢弃所述业务数据包。

2.根据权利要求1所述的方法，其特征在于，由签名服务器为所述业务数据发送节点、中转节点、业务数据接收节点提供用于对所述业务数据包进行数字签名的随机明文或密钥。

3.根据权利要求1所述的方法，其特征在于，所述随机明文或密钥具有时效性，在所述随机明文或密钥过期时，或在对所述业务数据包携带的数字签名字段进行认证未通过时，所述中转节点或所述业务数据接收节点向签名服务器请求获取新的随机明文或密钥。

4.根据权利要求1、2或3所述的方法，其特征在于，所述业务数据发送节点和所述中转节点使用一组相同的随机明文或密钥生成业务数据的数字签名字段；所述中转节点和业务数据接收节点使用另一组相同的随机明文或密钥生成业务数据数字签名字段。

5.根据权利要求1、2或3所述的方法，其特征在于，所述业务数据发送节点、中转节点和业务数据接收节点使用约定的哈希算法生成业务数据的摘要，并使用所获得的随机明文或密钥对所述摘要进行签名后生成所述业务数据包中携带的数字签名字段及本地数字签名字段；或业务数据的发送方直接使用所获得的随机明文或密钥对自身的唯一标识或IP地址进行数字签名后生成所述数字签名字段，业务数据的接收方从业务数据包中提取业务数据发送方的唯一标识或IP地址后使用本地所获得的随机明文或密钥对其进行数字签名后生成本地数字签名字段；业务数据的接收方将业务数据包中携带的数字签名字段与本地生成的数字签名字段进行比对，进行所述数字签名字段的认证。

6.一种安全数据中转系统，其特征在于，包括：

业务数据发送节点，用于对业务数据进行数字签名将业务数据和数字签名字段打包发送给中转节点；

中转节点，用于对接收到的业务数据包携带的数字签名字段进行认证，若认证通过，则再次对所述业务数据进行数字签名生成新的数字签名字段，并将业务数据和新的数字签名字段打包发送给业务数据接收节点，否则丢弃所述业务数据包；

业务数据接收节点，用于对接收到的业务数据包携带的数字签名字段进行认证，若认证通过则接受所述业务数据包，否则丢弃所述业务数据包；

签名服务器，用于为业务数据发送节点、中转节点和业务数据接收节点产生和提供用于对所述业务数据进行数字签名的随机明文或密钥。

7.根据权利要求6所述的系统，其特征在于，所述由签名服务器为所述业务数据发送节点、中转节点、业务数据接收节点产生的用于对所述业务数据进行数字签名的随机明文或密钥具有时效性；在所述随机明文或密钥过期时，或在对所述业务数据包携带的数字签名进行认证未通过时，所述中转节点或所述业务数据接收节点向签名服务器请求获取新的随机明文或密钥。

8.根据权利要求6所述的系统，其特征在于，所述业务数据发送节点和所述中转节点使用一组相同的随机明文或密钥生成业务数据的数字签名字段；所述中转节点和业务数据接收节点使用另一组相同的随机明文或密钥生成业务数据数字签名字段。

9.根据权利要求6、7或8所述的系统，其特征在于，所述业务数据发送节点、中转节点和业务数据接收节点使用约定的哈希算法生成业务数据的摘要，并使用所获得的随机明文或密钥对所述摘要进行签名后生成所述业务数据包中携带的数字签名字段及本地数字签名字段；或业务数据的发送方直接使用所获得的随机明文或密钥对自身的唯一标识或IP地址进行数字签名后生成所述数字签名字段，业务数据的接收方从业务数据包中提取业务数据发送方的唯一标识或IP地址后使用本地所获得的随机明文或密钥对其进行数字签名后生成本地数字签名字段；业务数据的接收方将业务数据包中携带的数字签名字段与本地生成的数字签名字段进行比对，进行所述数字签名字段的认证。

10.根据权利要求9所述的系统，其特征在于，所述用于对所述业务数据包进行数字签名的密钥采用非对称加密算法产生。