一种无需修改Web业务系统实现用户数据完整性和机密性的方法

摘要

本发明公开了一种无需修改Web业务系统实现用户数据完整性和机密性的方法，涉及信息安全领域。本发明通过一个配置一定策略的HTTP协议过滤装置，根据HTTP请求、回应数据和预定策略，自动生成证明用户操作和服务端认可行为的电子证据并存储用于事后举证的电子证据。本发明实现了业务系统关键数据的完整性，用户和服务端都获得和保存了自己需要的电子证据，在将来发生纠纷时，可以作为证据提供；实现了业务系统关键数据的保密性，用户表单数据、客户端证据和服务端证据在传递的过程中采用加密的形式，防止被非法截获泄密；更无需对业务系统进行修改，只部署和配置HTTP过滤装置就可以完成，简单方便，通用性好。

主权项

一种无需修改Web业务系统实现用户数据完整性和机密性的方法，其特征在于：包括以下步骤：[1]用户使用客户端向Web业务系统服务端请求进入关键业务操作页面，在Web业务系统的HTTP回应通过HTTP过滤装置时，HTTP过滤装置根据配置策略检测即将执行的关键业务操作，在HTML回应页面中加入用于表单数据和客户端电子证据加密的Web业务系统服务端加密证书，以及组织页面表单数据、执行电子签名操作、生成电子证据的页面模块和脚本发给客户端；[2]用户使用客户端填写表单数据并点击提交，客户端将使用用户智能密码钥匙内的签名私钥对执行页面组织电子证据脚本、制作待签名电子证据执行电子签名形成包含用户电子签名的客户端电子证据，以及用于服务端的电子证据加密的用户加密证书随同表单数据一起用Web业务系统服务端证书加密形成的数字信封，提交给Web业务系统服务端；[3]数字信封到达HTTP过滤装置时，HTTP过滤装置利用Web业务系统服务端私钥进行解密，提取表单数据和客户端电子证据进行有效性验证，若验证失败，则不再请求Web业务系统，直接回应客户端错误页面，并提示用户失败的原因；若验证成功，HTTP过滤装置请求时间戳服务器对客户端电子证据签署时间戳，并加密保存在服务端电子证据数据库中，将解密后的表单数据发给Web业务系统进行处理；[4]Web业务系统进行业务逻辑处理，并作出业务处理结果回应；[5]业务处理结果回应通过HTTP过滤装置时，HTTP过滤装置记录业务处理的结果，并与电子证据进行关联，HTTP过滤装置在业务处理成功时，将利用Web业务系统服务端的签名证书对电子证据执行签名形成包含服务端电子签名的服务端电子证据使用步骤2中的用户加密证书加密，随同步骤4的业务处理结果一起反馈给客户端；[6]客户端显示处理结果，并对服务端电子证据进行解密验证并保存。