一种信息系统的数据交互方法及装置.pdf

摘要
申请专利号：	CN201210268828.6	申请日：	2012.07.30
公开号：	CN102833229A	公开日：	2012.12.19
当前法律状态：	授权	有效性：	有权
法律详情：	著录事项变更IPC(主分类):H04L 29/06变更事项:发明人变更前:王奔王林变更后:王奔王林刘欣卢立宁\|\|\|授权\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20120730\|\|\|公开
IPC分类号：	H04L29/06; H04L9/32	主分类号：	H04L29/06
申请人：	北京中电普华信息技术有限公司; 国家电网公司
发明人：	王奔; 王林
地址：	100192 北京市海淀区清河小营东路15号
优先权：
专利代理机构：	北京集佳知识产权代理有限公司 11227	代理人：	王宝筠
PDF下载：	PDF下载

内容摘要

本发明公开了一种信息系统的数据交互方法及装置，用于解决现有技术中信息系统的数据交互方式安全性较低的问题。该方法包括：第一服务器接收用户的数据请求，将数据请求以及该用户的认证密钥发送至第二服务器；用户的认证密钥为第二服务器预先下发给第一服务器的认证密钥；第一服务器接收第二服务器验证认证密钥合法后根据数据请求发送的用户所需的数据；第一服务器向用户展示用户所需的数据。该方案与现有技术相比提高了信息系统数据交互的安全性。

权利要求书

1.一种信息系统的数据交互方法，其特征在于，包括：第一服务器接收用户的数据请求，将所述数据请求以及该用户的认证密钥发送至第二服务器；所述用户的认证密钥为所述第二服务器预先下发给所述第一服务器的认证密钥；所述第一服务器接收所述第二服务器验证所述认证密钥合法后根据所述数据请求发送的用户所需的数据；所述第一服务器向所述用户展示所述用户所需的数据。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述第一服务器接收并保存所述第二服务器更新的认证密钥，所述新的认证密钥为所述第一服务器接收的外部输入的认证密钥。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述第一服务器接收并保存所述第二服务器随机生成的新的认证密钥。4.根据权利要求1所述的方法，其特征在于，所述第一服务器接收所述第二服务器验证所述认证密钥合法后根据所述数据请求发送的用户所需的数据包括：所述第一服务器通过webservice服务接收所述第二服务器验证所述认证密钥之后，根据所述数据请求通过webservice服务发送的数据；所述第一服务器向所述用户展示所述用户所需的数据包括：所述第一服务器将所述数据展示在所述用户的会话信息中。5.根据权利要求1-4任意一项所述的方法，其特征在于，所述方法还包括：所述第一服务器接收所述用户的上传数据请求；所述第一服务器将所述上传数据请求以及所述用户的认证密钥发送给所述第二服务器；如果所述第二服务器验证所述认证密钥合法，则接收所述第一服务器上传的数据。6.一种信息系统的数据交互装置，其特征在于，包括：第一发送模块，用于在接收用户的数据请求后，将所述数据请求以及该用户的认证密钥发送至第二服务器；所述用户的认证密钥为所述第二服务器预先下发给所述第一服务器的认证密钥；第一接收模块，用于接收所述第二服务器验证所述认证密钥合法后根据所述数据请求发送的用户所需的数据；展示模块，用于向所述用户展示所述数据。7.根据权利要求6所述的装置，其特征在于，所述装置还包括：第一保存模块，用于接收并保存所述第二服务器更新的认证密钥，所述新的认证密钥为所述第一服务器接收的外部输入的认证密钥。8.根据权利要求6所述的装置，其特征在于，所述装置还包括：第二保存模块，用于接收并保存所述第二服务器随机生成的新的认证密钥。9.根据权利要求6所述的装置，其特征在于，所述第一接收模块包括：接收单元，用于通过webservice服务接收所述第二服务器验证所述认证密钥之后，根据所述数据请求通过webservice服务发送的数据；所述展示模块包括：展示单元，用于将所述数据展示在所述用户的会话信息中。10.根据权利要求6-9任意一项所述的装置，其特征在于，所述装置还包括：第二接收模块，用于接收所述用户的上传数据请求；第二发送模块，用于将所述上传数据请求以及所述用户的认证密钥发送给所述第二服务器；第三接收模块，用于当所述第二服务器验证所述认证密钥合法后，接收所述第一服务器上传的数据。

说明书

一种信息系统的数据交互方法及装置

技术领域

本发明涉及数据安全领域，具体而言，涉及一种信息系统的数据交互方
法及装置。

背景技术

目前，大部分信息系统的核心是组织机构，其通常的展现方式为组织机
构树，各组织机构存在上下级的隶属关系。传统的信息系统对数据采用集中
存储方式，即各单位的数据存储于同一个服务器的数据库中。下级用户可以
通过以用户权限登录系统的方式，登录上级系统后，获取上级系统中的数据。
具体地，上级系统在接收到用户的数据请求后，根据用户的权限从全量数据
库中抽取用户请求的本单位的数据。该方式对于机密性较高的信息系统来说，
安全性较低。这样应用服务器很容易暴露给下级单位用户，系统一旦被攻破，
所有机密数据会全部泄露，将会造成重大的经济损失或政治影响。因此，现
有技术中信息系统的数据交互方式存在方式安全性较低的问题。

发明内容

本发明提供一种信息系统的数据交互方法及装置，用于解决现有技术中
信息系统的数据交互方式安全性较低的问题。

根据本发明的一个方面，提供了一种信息系统的数据交互方法，包括：

第一服务器接收用户的数据请求，将数据请求以及该用户的认证密钥发
送至第二服务器；用户的认证密钥为第二服务器预先下发给第一服务器的认
证密钥；第一服务器接收第二服务器验证认证密钥合法后根据数据请求发送
的用户所需的数据；第一服务器向用户展示用户所需的数据。

进一步地，上述方法还包括：第一服务器接收并保存第二服务器更新的
认证密钥，新的认证密钥为第一服务器接收的外部输入的认证密钥。

进一步地，上述方法还包括：第一服务器接收并保存第二服务器随机生
成的新的认证密钥。

其中，上述第一服务器接收第二服务器验证认证密钥合法后根据数据请
求发送的用户所需的数据包括：第一服务器通过webservice服务接收第二服
务器验证认证密钥之后，根据数据请求通过webservice服务发送的数据；第
一服务器向用户展示用户所需的数据包括：第一服务器将数据展示在用户的
会话信息中。

进一步地，上述方法还包括：第一服务器接收用户的上传数据请求；第
一服务器将上传数据请求以及用户的认证密钥发送给第二服务器；如果第二
服务器验证认证密钥合法，则接收第一服务器上传的数据。

根据本发明的另一个方面，提供了一种信息系统的数据交互装置，包括：
第一发送模块，用于在接收用户的数据请求后，将数据请求以及该用户的认
证密钥发送至第二服务器；用户的认证密钥为第二服务器预先下发给第一服
务器的认证密钥；第一接收模块，用于接收第二服务器验证认证密钥合法后
根据数据请求发送的用户所需的数据；展示模块，用于向用户展示数据。

进一步地，上述装置还包括：第一保存模块，用于接收并保存第二服务
器更新的认证密钥，新的认证密钥为第一服务器接收的外部输入的认证密钥。

其中，上述装置还包括：第二保存模块，用于接收并保存第二服务器随
机生成的新的认证密钥。

其中，上述第一接收模块包括：接收单元，用于通过webservice服务接
收第二服务器验证认证密钥之后，根据数据请求通过webservice服务发送的
数据；展示模块包括：展示单元，用于将数据展示在用户的会话信息中。

进一步地，上述装置还包括：第二接收模块，用于接收用户的上传数据
请求；第二发送模块，用于将上传数据请求以及用户的认证密钥发送给第二
服务器；第三接收模块，用于当第二服务器验证认证密钥合法后，接收第一
服务器上传的数据。

本发明的技术方案，由于第二服务器预先主动推送认证密钥给第一服务
器，他人无法得知认证密钥，并且恶意攻击者也并不知道该方法的验证机制，
他人无法通过第二服务器的验证，也无法获得第二服务器的数据。因此，该
方案与现有技术相比提高了信息系统数据交互的安全性。

附图说明

图1是本发明实施例1的信息系统的数据交互方法的流程图；

图2是本发明实施例2的信息系统的数据交互装置的结构框图；以及

图3是本发明实施例2的第一服务器与第二服务器数据交互示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图
和具体实施方式对本发明实施例作进一步详细的说明。

实施例1

图1是本发明实施例1的信息系统的数据交互方法的流程图。

以下第一服务器为上级服务器，第二服务器为下级服务器，步骤101至
103为用户通过下级服务器向上级获取机密数据的流程。

步骤101：第一服务器接收用户的数据请求，将数据请求以及该用户的
认证密钥发送至第二服务器；

其中，上述用户的认证密钥为第二服务器预先下发给第一服务器的认证
密钥；

步骤102：第一服务器接收第二服务器验证认证密钥合法后根据数据请
求发送的用户所需的数据；

步骤103：第一服务器向用户展示用户所需的数据。

第一服务器接收并保存第二服务器更新的认证密钥，新的认证密钥为第
一服务器接收的外部输入的认证密钥。

优选地，本实施例的上述第一服务器与第二服务器可以通过webservice
进行数据交互，基于此，上述第一服务器与第二服务器之间需要建立双向的
webservice，这样可以进一步提高数据交互的安全性。

其中，上述第二服务器可以定期更换其与第一服务器进行数据交互的认
证密钥。具体更换密钥的方式可以为，每次第一服务器重启时，第二服务器
接收来自外部的认证密钥更换指令，该外部指令可以由网络管理员发出，该
更换指令中包含有新的认证密钥；第二服务器将新的认证密钥通过
webservice发送至第一服务器。此外，即使在系统正常运转时，第二服务器
仍然可以随时向第一服务器推送新的密钥。

除了上述接收外部认证密钥更换指令来更换认证密钥的方式，本实施例
还可以采用第二服务器随机生成新的认证密钥，然后将生成的新的认证密钥
通过webservice发送至第一服务器的方式来更换密钥。

本实施例采用定期更换认证密钥的方式，由于第二服务器与第一级服务
器的认证完全是由第二服务器告知第一服务器交互的认证密钥，所以网络管
理员不需要以任何形式保留认证密钥。即使网络管理员忘记了交互密钥是什
么，第二服务器也可以更换新的密钥。

考虑到信息系统的安全性，当下级服务器，即第一服务器向作为上级服
务器的即第二服务器上报数据时，同样需要验证认证密钥的合法性。具体地，
当第二服务器接收到第一服务器的数据上传请求以及认证密钥时，判断认证
密钥是否与第二服务器预先下发给第一服务器的认证密钥一致；如果一致，
则接收第一服务器通过webservice上传的数据，数据到达第二服务器后，存
储在第二服务器的数据库中。

为了便于理解，以下采用更加详细的方式来阐述上述方案以及其他的多
种实现方案：

本方案可以包括A服务器以及B服务器，两台服务器都开放webservice
的数据交换接口，该接口可以传送A服务器和B服务器的认证密钥，也可以
传送机密的业务数据。WebService具有跨平台的可互操作性，是完全基于
XML（extensible markup language，可扩展标记语言）独立平台、独立于软件
供应商的标准，是创建可互操作的、分布式应用程序的新平台。

其中，上级单位访问A服务器，A服务器中存储所有数据，包括用户信
息以及所有业务数据。下级单位访问B服务器，B服务器只临时存储部分数
据。

B服务器可以是基于J2EE（Java 2 Platform Enterprise Edition，Java2平
台企业版）技术的web应用服务器，当用户登录B服务成功后，B服务器为
用户分配私有会话信息（即session），该会话信息在web服务器开辟单独的
内存，B服务器获得A服务器的数据后，就将数据存储在该内存中，当用户
关闭浏览器，或不操作浏览器的时间超过服务器设置的超时时间后，B服务
器会自动清除该session，所以数据也就跟着session一起被清除了，不需要
定期删除，也不需要A服务器的干预，因此B服务器只是暂时存储从A服
务器获取的机密数据，比较安全。

其中，上述两个服务器的部署方式工作具体流程为：A，B两台服务器
的应用启动，B服务器内存中暂时不存在与A进行数据交换的认证密钥。A
服务器通过WebService服务，主动推送认证密钥给B服务器，B服务器将认
证密钥存储在B服务器的内存中。下级单位用户登录B服务器，当用户点击
选取某业务时候，后台程序使用B服务器中存储的认证密钥，访问A的
webservice接口，向A服务发送数据请求，A服务器首先判断B服务器是否
有数据交互的认证密钥，如果没有密钥或密钥非法，则提示失败信息。如果
判断B有认证密钥，并且该认证密钥与之前A主动推送给B的密钥一致，
则通过验证，A服务器通过WebService服务，将B服务器请求的数据写入B
服务器相应用户的会话信息(session)中，并展现给用户。下级B服务器上报
数据时，依然需要验证认证密钥的合法性后，再通过WebService服务上报数
据，数据达到A服务器后存数A应用的数据库。

A服务器还可以定期更换认证密钥，比如在每次B服务器重启动时，A
服务器向B服务器推送认证密钥时可以采用不同的密钥。此外，即使是系统
正常运转中，A服务器仍然可以随时向B服务器推送新的认证密钥，以替换
旧的认证密钥，其中，新的认证密钥可以由接收到的外部指令中指定的新的
密钥来代替旧的密钥，也可以由A服务器自身生成的认证密钥来替换旧的密
钥。

本实施例可以使用java语言实现，集成目前主流的java实现的webservice
具有更好的跨平台可互操作性。

采用本实施例的信息系统的数据交互方式，下级服务器的攻击者只能访
问B服务器，因此，对于攻击者来说，可行的攻击方式只有攻破B系统服务
器，但这样攻击者获取不到有用的数据。即使攻击者熟悉该设计的原理，模
仿B系统的应用与A服务器进行数据交互，即搭建自己的B应用与A进行
交互。但是由于数据交互的认证密钥是在B的应用服务器内存中，攻击者搭
建的模拟应用没有密钥，则无法进行数据交互，从而不能窃取数据。即使B
服务器被攻破，攻击者只能向A服务器索要数据，但是A服务器给B服务
器数据的前提是B服务器具有合法的认证密钥，但这密钥是A服务器主动推
送给B服务器的，攻击者并不知道该密钥。并且攻击者不知道这套认证机制
是什么，即使攻击者是这套机制的设计者，B服务器的内存中都是序列化的
二进制数据，无法在短时间内分析出存储密钥的内存地址，而且管理员可以
定期的更换密钥或重启动服务，重启动服务会让内存中的数据重新分配内存
地址，更换密钥也是机密系统常用的安全手段，这也会让攻击者无从下手。
因此，本方法提高了信息系统数据交互的安全性。

实施例2

图2是本发明实施例2的信息系统的数据交互装置的结构框图。

如图2所示，该装置20包括以下组成部分：

第一发送模块21，用于在接收用户的数据请求后，将数据请求以及该用
户的认证密钥发送至第二服务器；用户的认证密钥为第二服务器预先下发给
第一服务器的认证密钥；

第一接收模块22，用于接收第二服务器验证认证密钥合法后根据数据请
求发送的用户所需的数据；

展示模块23，用于向用户展示数据。

其中，上述装置还可以定期更换向第二服务器推送的认证密钥，基于此，
上述装置还包括：

保存模块，用于接收并保存第二服务器更新的认证密钥，新的认证密钥
为第一服务器接收的外部输入的认证密钥。

除了上述接收外部指令更换认证密钥的方式外，本实施例的还可以基于
服务器本身生成的新的认证密钥来进行密钥的更新，因此上述保存模块还可
以用于接收并保存第二服务器随机生成的新的认证密钥。

其中，上述第一接收模块包括：接收单元，用于通过webservice服务接
收第二服务器验证认证密钥之后，根据数据请求通过webservice服务发送的
数据；

其中，展示模块包括：展示单元，用于将数据展示在用户的会话信息中。

基于信息系统的安全性考虑，不仅在下级服务器向上级服务器获取数据
时需要安全认证，当下级服务器向上级服务上传时，也应该设置安全认证，
因此，上述装置还可以进一步包括：第二接收模块，用于接收用户的上传数
据请求；第二发送模块，用于将上传数据请求以及用户的认证密钥发送给第
二服务器；第三接收模块，用于当第二服务器验证认证密钥合法后，接收第
一服务器上传的数据。

图3是本发明实施例2的A服务器与B服务器数据交互示意图。

如图3所示，其中，上述A服务器为上级服务器，该服务器的数据库存
储了所有的应用数据以及用户信息，安全级别要求较高。B服务器为下级服
务器，存储下级单位对应的用户信息和用户权限。下级单位访问该应用服务
器，该服务器与上述A服务器之间建立双向的WbService。

采用本实施例的信息系统的数据交互方式，下级服务器的攻击者只能访
问的B服务器，对于攻击者来说，可行的攻击方式只有攻破B系统服务器，
但这样攻击者获取不到有用的数据。即使攻击者熟悉该设计的原理，模仿B
系统的应用与A服务器进行数据交互，即搭建自己的B应用与A进行交互。
但是由于数据交互的认证密钥是在B的应用服务器内存中，攻击者搭建的模
拟应用没有密钥，则无法进行数据交互，从而不能窃取数据。即使B服务器
被攻破，攻击者只能向A服务器索要数据，但是A服务器给B服务器数据
的前提是B服务器具有合法的认证密钥，但这密钥是A服务器主动推送给B
服务器的，攻击者并不知道该密钥。并且攻击者不知道这套认证机制是什么，
即使攻击者是这套机制的设计者，B服务器的内存中都是序列化的二进制数
据，无法在短时间内分析出存储的密钥的内存地址，而且管理员可以定期的
更换密钥或重启动服务，重启动服务会让内存中的数据重新分配内存地址，
更换密钥也是机密系统常用的安全手段，这也会让攻击者无从下手。因此，
本方法提高了信息系统数据交互的安全性。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来
将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示
这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、
“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系
列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明
确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有
的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，
并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同
要素。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范
围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均
包含在本发明的保护范围内。

资源描述

《一种信息系统的数据交互方法及装置.pdf》由会员分享，可在线阅读，更多相关《一种信息系统的数据交互方法及装置.pdf（10页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102833229 A (43)申请公布日 2012.12.19 C N 1 0 2 8 3 3 2 2 9 A *CN102833229A* (21)申请号 201210268828.6 (22)申请日 2012.07.30 H04L 29/06(2006.01) H04L 9/32(2006.01) (71)申请人北京中电普华信息技术有限公司地址 100192 北京市海淀区清河小营东路 15号申请人国家电网公司 (72)发明人王奔王林 (74)专利代理机构北京集佳知识产权代理有限公司 11227 代理人王宝筠 (54) 发明名称一种信息系统的数据交互方法。

2、及装置 (57) 摘要本发明公开了一种信息系统的数据交互方法及装置，用于解决现有技术中信息系统的数据交互方式安全性较低的问题。该方法包括：第一服务器接收用户的数据请求，将数据请求以及该用户的认证密钥发送至第二服务器；用户的认证密钥为第二服务器预先下发给第一服务器的认证密钥；第一服务器接收第二服务器验证认证密钥合法后根据数据请求发送的用户所需的数据；第一服务器向用户展示用户所需的数据。该方案与现有技术相比提高了信息系统数据交互的安全性。 (51)Int.Cl. 权利要求书2页说明书5页附图2页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 2 页。

3、说明书 5 页附图 2 页 1/2页 2 1.一种信息系统的数据交互方法，其特征在于，包括：第一服务器接收用户的数据请求，将所述数据请求以及该用户的认证密钥发送至第二服务器；所述用户的认证密钥为所述第二服务器预先下发给所述第一服务器的认证密钥；所述第一服务器接收所述第二服务器验证所述认证密钥合法后根据所述数据请求发送的用户所需的数据；所述第一服务器向所述用户展示所述用户所需的数据。 2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述第一服务器接收并保存所述第二服务器更新的认证密钥，所述新的认证密钥为所述第一服务器接收的外部输入的认证密钥。 3.根据权利要求1所述的。

4、方法，其特征在于，所述方法还包括：所述第一服务器接收并保存所述第二服务器随机生成的新的认证密钥。 4.根据权利要求1所述的方法，其特征在于，所述第一服务器接收所述第二服务器验证所述认证密钥合法后根据所述数据请求发送的用户所需的数据包括：所述第一服务器通过webservice服务接收所述第二服务器验证所述认证密钥之后，根据所述数据请求通过webservice服务发送的数据；所述第一服务器向所述用户展示所述用户所需的数据包括：所述第一服务器将所述数据展示在所述用户的会话信息中。 5.根据权利要求1-4任意一项所述的方法，其特征在于，所述方法还包括：所述第一服务器接收所述用户的上传数据。

5、请求；所述第一服务器将所述上传数据请求以及所述用户的认证密钥发送给所述第二服务器；如果所述第二服务器验证所述认证密钥合法，则接收所述第一服务器上传的数据。 6.一种信息系统的数据交互装置，其特征在于，包括：第一发送模块，用于在接收用户的数据请求后，将所述数据请求以及该用户的认证密钥发送至第二服务器；所述用户的认证密钥为所述第二服务器预先下发给所述第一服务器的认证密钥；第一接收模块，用于接收所述第二服务器验证所述认证密钥合法后根据所述数据请求发送的用户所需的数据；展示模块，用于向所述用户展示所述数据。 7.根据权利要求6所述的装置，其特征在于，所述装置还包括：第一保存模块，用。

6、于接收并保存所述第二服务器更新的认证密钥，所述新的认证密钥为所述第一服务器接收的外部输入的认证密钥。 8.根据权利要求6所述的装置，其特征在于，所述装置还包括：第二保存模块，用于接收并保存所述第二服务器随机生成的新的认证密钥。 9.根据权利要求6所述的装置，其特征在于，所述第一接收模块包括：接收单元，用于通过webservice服务接收所述第二服务器验证所述认证密钥之后，根据所述数据请求通过webservice服务发送的数据；所述展示模块包括：展示单元，用于将所述数据展示在所述用户的会话信息中。权利要求书CN 102833229 A 2/2页 3 10.根据权利要求6-9。

7、任意一项所述的装置，其特征在于，所述装置还包括：第二接收模块，用于接收所述用户的上传数据请求；第二发送模块，用于将所述上传数据请求以及所述用户的认证密钥发送给所述第二服务器；第三接收模块，用于当所述第二服务器验证所述认证密钥合法后，接收所述第一服务器上传的数据。权利要求书CN 102833229 A 1/5页 4 一种信息系统的数据交互方法及装置技术领域 0001 本发明涉及数据安全领域，具体而言，涉及一种信息系统的数据交互方法及装置。背景技术 0002 目前，大部分信息系统的核心是组织机构，其通常的展现方式为组织机构树，各组织机构存在上下级的隶属关系。传统的信息系统。

8、对数据采用集中存储方式，即各单位的数据存储于同一个服务器的数据库中。下级用户可以通过以用户权限登录系统的方式，登录上级系统后，获取上级系统中的数据。具体地，上级系统在接收到用户的数据请求后，根据用户的权限从全量数据库中抽取用户请求的本单位的数据。该方式对于机密性较高的信息系统来说，安全性较低。这样应用服务器很容易暴露给下级单位用户，系统一旦被攻破，所有机密数据会全部泄露，将会造成重大的经济损失或政治影响。因此，现有技术中信息系统的数据交互方式存在方式安全性较低的问题。发明内容 0003 本发明提供一种信息系统的数据交互方法及装置，用于解决现有技术中信息系统的数据交互方式安全性较。

9、低的问题。 0004 根据本发明的一个方面，提供了一种信息系统的数据交互方法，包括： 0005 第一服务器接收用户的数据请求，将数据请求以及该用户的认证密钥发送至第二服务器；用户的认证密钥为第二服务器预先下发给第一服务器的认证密钥；第一服务器接收第二服务器验证认证密钥合法后根据数据请求发送的用户所需的数据；第一服务器向用户展示用户所需的数据。 0006 进一步地，上述方法还包括：第一服务器接收并保存第二服务器更新的认证密钥，新的认证密钥为第一服务器接收的外部输入的认证密钥。 0007 进一步地，上述方法还包括：第一服务器接收并保存第二服务器随机生成的新的认证密钥。 0008 其中，上。

10、述第一服务器接收第二服务器验证认证密钥合法后根据数据请求发送的用户所需的数据包括：第一服务器通过webservice服务接收第二服务器验证认证密钥之后，根据数据请求通过webservice服务发送的数据；第一服务器向用户展示用户所需的数据包括：第一服务器将数据展示在用户的会话信息中。 0009 进一步地，上述方法还包括：第一服务器接收用户的上传数据请求；第一服务器将上传数据请求以及用户的认证密钥发送给第二服务器；如果第二服务器验证认证密钥合法，则接收第一服务器上传的数据。 0010 根据本发明的另一个方面，提供了一种信息系统的数据交互装置，包括：第一发送模块，用于在接收用户的数据请。

11、求后，将数据请求以及该用户的认证密钥发送至第二服务器；用户的认证密钥为第二服务器预先下发给第一服务器的认证密钥；第一接收模块，用于接收第二服务器验证认证密钥合法后根据数据请求发送的用户所需的数据；展示模块，说明书CN 102833229 A 2/5页 5 用于向用户展示数据。 0011 进一步地，上述装置还包括：第一保存模块，用于接收并保存第二服务器更新的认证密钥，新的认证密钥为第一服务器接收的外部输入的认证密钥。 0012 其中，上述装置还包括：第二保存模块，用于接收并保存第二服务器随机生成的新的认证密钥。 0013 其中，上述第一接收模块包括：接收单元，用于通过webserv。

12、ice服务接收第二服务器验证认证密钥之后，根据数据请求通过webservice服务发送的数据；展示模块包括：展示单元，用于将数据展示在用户的会话信息中。 0014 进一步地，上述装置还包括：第二接收模块，用于接收用户的上传数据请求；第二发送模块，用于将上传数据请求以及用户的认证密钥发送给第二服务器；第三接收模块，用于当第二服务器验证认证密钥合法后，接收第一服务器上传的数据。 0015 本发明的技术方案，由于第二服务器预先主动推送认证密钥给第一服务器，他人无法得知认证密钥，并且恶意攻击者也并不知道该方法的验证机制，他人无法通过第二服务器的验证，也无法获得第二服务器的数据。因此，该方案。

13、与现有技术相比提高了信息系统数据交互的安全性。附图说明 0016 图1是本发明实施例1的信息系统的数据交互方法的流程图； 0017 图2是本发明实施例2的信息系统的数据交互装置的结构框图；以及 0018 图3是本发明实施例2的第一服务器与第二服务器数据交互示意图。具体实施方式 0019 为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明实施例作进一步详细的说明。 0020 实施例1 0021 图1是本发明实施例1的信息系统的数据交互方法的流程图。 0022 以下第一服务器为上级服务器，第二服务器为下级服务器，步骤101至103为用户通过下级服务器向上。

14、级获取机密数据的流程。 0023 步骤101：第一服务器接收用户的数据请求，将数据请求以及该用户的认证密钥发送至第二服务器； 0024 其中，上述用户的认证密钥为第二服务器预先下发给第一服务器的认证密钥； 0025 步骤102：第一服务器接收第二服务器验证认证密钥合法后根据数据请求发送的用户所需的数据； 0026 步骤103：第一服务器向用户展示用户所需的数据。 0027 第一服务器接收并保存第二服务器更新的认证密钥，新的认证密钥为第一服务器接收的外部输入的认证密钥。 0028 优选地，本实施例的上述第一服务器与第二服务器可以通过webservice进行数据交互，基于此，上述第一服务器。

15、与第二服务器之间需要建立双向的webservice，这样可以进一步提高数据交互的安全性。说明书CN 102833229 A 3/5页 6 0029 其中，上述第二服务器可以定期更换其与第一服务器进行数据交互的认证密钥。具体更换密钥的方式可以为，每次第一服务器重启时，第二服务器接收来自外部的认证密钥更换指令，该外部指令可以由网络管理员发出，该更换指令中包含有新的认证密钥；第二服务器将新的认证密钥通过webservice发送至第一服务器。此外，即使在系统正常运转时，第二服务器仍然可以随时向第一服务器推送新的密钥。 0030 除了上述接收外部认证密钥更换指令来更换认证密钥的方式，本实。

16、施例还可以采用第二服务器随机生成新的认证密钥，然后将生成的新的认证密钥通过webservice发送至第一服务器的方式来更换密钥。 0031 本实施例采用定期更换认证密钥的方式，由于第二服务器与第一级服务器的认证完全是由第二服务器告知第一服务器交互的认证密钥，所以网络管理员不需要以任何形式保留认证密钥。即使网络管理员忘记了交互密钥是什么，第二服务器也可以更换新的密钥。 0032 考虑到信息系统的安全性，当下级服务器，即第一服务器向作为上级服务器的即第二服务器上报数据时，同样需要验证认证密钥的合法性。具体地，当第二服务器接收到第一服务器的数据上传请求以及认证密钥时，判断认证密钥是否与第。

17、二服务器预先下发给第一服务器的认证密钥一致；如果一致，则接收第一服务器通过webservice上传的数据，数据到达第二服务器后，存储在第二服务器的数据库中。 0033 为了便于理解，以下采用更加详细的方式来阐述上述方案以及其他的多种实现方案： 0034 本方案可以包括A服务器以及B服务器，两台服务器都开放webservice的数据交换接口，该接口可以传送A服务器和B服务器的认证密钥，也可以传送机密的业务数据。 WebService具有跨平台的可互操作性，是完全基于XML（extensible markup language，可扩展标记语言）独立平台、独立于软件供应商的标准，是创建可互。

18、操作的、分布式应用程序的新平台。 0035 其中，上级单位访问A服务器，A服务器中存储所有数据，包括用户信息以及所有业务数据。下级单位访问B服务器，B服务器只临时存储部分数据。 0036 B服务器可以是基于J2EE（Java 2 Platform Enterprise Edition，Java2平台企业版）技术的web应用服务器，当用户登录B服务成功后，B服务器为用户分配私有会话信息（即session），该会话信息在web服务器开辟单独的内存，B服务器获得A服务器的数据后，就将数据存储在该内存中，当用户关闭浏览器，或不操作浏览器的时间超过服务器设置的超时时间后，B服务器会自动清除该。

19、session，所以数据也就跟着session一起被清除了，不需要定期删除，也不需要A服务器的干预，因此B服务器只是暂时存储从A服务器获取的机密数据，比较安全。 0037 其中，上述两个服务器的部署方式工作具体流程为：A，B两台服务器的应用启动， B服务器内存中暂时不存在与A进行数据交换的认证密钥。A服务器通过WebService服务，主动推送认证密钥给B服务器，B服务器将认证密钥存储在B服务器的内存中。下级单位用户登录B服务器，当用户点击选取某业务时候，后台程序使用B服务器中存储的认证密钥，访问A的webservice接口，向A服务发送数据请求，A服务器首先判断B服务器是否有数据。

20、交互的认证密钥，如果没有密钥或密钥非法，则提示失败信息。如果判断B有认证密钥，并且该认证密钥与之前A主动推送给B的密钥一致，则通过验证，A服务器通过WebService 说明书CN 102833229 A 4/5页 7 服务，将B服务器请求的数据写入B服务器相应用户的会话信息(session)中，并展现给用户。下级B服务器上报数据时，依然需要验证认证密钥的合法性后，再通过WebService服务上报数据，数据达到A服务器后存数A应用的数据库。 0038 A服务器还可以定期更换认证密钥，比如在每次B服务器重启动时，A服务器向B 服务器推送认证密钥时可以采用不同的密钥。此外，即使是系统正。

21、常运转中，A服务器仍然可以随时向B服务器推送新的认证密钥，以替换旧的认证密钥，其中，新的认证密钥可以由接收到的外部指令中指定的新的密钥来代替旧的密钥，也可以由A服务器自身生成的认证密钥来替换旧的密钥。 0039 本实施例可以使用java语言实现，集成目前主流的java实现的webservice具有更好的跨平台可互操作性。 0040 采用本实施例的信息系统的数据交互方式，下级服务器的攻击者只能访问B服务器，因此，对于攻击者来说，可行的攻击方式只有攻破B系统服务器，但这样攻击者获取不到有用的数据。即使攻击者熟悉该设计的原理，模仿B系统的应用与A服务器进行数据交互，即搭建自己的B应用与。

22、A进行交互。但是由于数据交互的认证密钥是在B的应用服务器内存中，攻击者搭建的模拟应用没有密钥，则无法进行数据交互，从而不能窃取数据。即使B服务器被攻破，攻击者只能向A服务器索要数据，但是A服务器给B服务器数据的前提是B服务器具有合法的认证密钥，但这密钥是A服务器主动推送给B服务器的，攻击者并不知道该密钥。并且攻击者不知道这套认证机制是什么，即使攻击者是这套机制的设计者， B服务器的内存中都是序列化的二进制数据，无法在短时间内分析出存储密钥的内存地址，而且管理员可以定期的更换密钥或重启动服务，重启动服务会让内存中的数据重新分配内存地址，更换密钥也是机密系统常用的安全手段，这也会让攻击。

23、者无从下手。因此，本方法提高了信息系统数据交互的安全性。 0041 实施例2 0042 图2是本发明实施例2的信息系统的数据交互装置的结构框图。 0043 如图2所示，该装置20包括以下组成部分： 0044 第一发送模块21，用于在接收用户的数据请求后，将数据请求以及该用户的认证密钥发送至第二服务器；用户的认证密钥为第二服务器预先下发给第一服务器的认证密钥； 0045 第一接收模块22，用于接收第二服务器验证认证密钥合法后根据数据请求发送的用户所需的数据； 0046 展示模块23，用于向用户展示数据。 0047 其中，上述装置还可以定期更换向第二服务器推送的认证密钥，基于此，上述装置。

24、还包括： 0048 保存模块，用于接收并保存第二服务器更新的认证密钥，新的认证密钥为第一服务器接收的外部输入的认证密钥。 0049 除了上述接收外部指令更换认证密钥的方式外，本实施例的还可以基于服务器本身生成的新的认证密钥来进行密钥的更新，因此上述保存模块还可以用于接收并保存第二服务器随机生成的新的认证密钥。 0050 其中，上述第一接收模块包括：接收单元，用于通过webservice服务接收第二服说明书CN 102833229 A 5/5页 8 务器验证认证密钥之后，根据数据请求通过webservice服务发送的数据； 0051 其中，展示模块包括：展示单元，用于将数据展示在用户。

25、的会话信息中。 0052 基于信息系统的安全性考虑，不仅在下级服务器向上级服务器获取数据时需要安全认证，当下级服务器向上级服务上传时，也应该设置安全认证，因此，上述装置还可以进一步包括：第二接收模块，用于接收用户的上传数据请求；第二发送模块，用于将上传数据请求以及用户的认证密钥发送给第二服务器；第三接收模块，用于当第二服务器验证认证密钥合法后，接收第一服务器上传的数据。 0053 图3是本发明实施例2的A服务器与B服务器数据交互示意图。 0054 如图3所示，其中，上述A服务器为上级服务器，该服务器的数据库存储了所有的应用数据以及用户信息，安全级别要求较高。B服务器为下级服务器，存储。

26、下级单位对应的用户信息和用户权限。下级单位访问该应用服务器，该服务器与上述A服务器之间建立双向的WbService。 0055 采用本实施例的信息系统的数据交互方式，下级服务器的攻击者只能访问的B服务器，对于攻击者来说，可行的攻击方式只有攻破B系统服务器，但这样攻击者获取不到有用的数据。即使攻击者熟悉该设计的原理，模仿B系统的应用与A服务器进行数据交互，即搭建自己的B应用与A进行交互。但是由于数据交互的认证密钥是在B的应用服务器内存中，攻击者搭建的模拟应用没有密钥，则无法进行数据交互，从而不能窃取数据。即使B服务器被攻破，攻击者只能向A服务器索要数据，但是A服务器给B服务器数据的。

27、前提是B服务器具有合法的认证密钥，但这密钥是A服务器主动推送给B服务器的，攻击者并不知道该密钥。并且攻击者不知道这套认证机制是什么，即使攻击者是这套机制的设计者，B服务器的内存中都是序列化的二进制数据，无法在短时间内分析出存储的密钥的内存地址，而且管理员可以定期的更换密钥或重启动服务，重启动服务会让内存中的数据重新分配内存地址，更换密钥也是机密系统常用的安全手段，这也会让攻击者无从下手。因此，本方法提高了信息系统数据交互的安全性。 0056 需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操。

28、作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。 0057 以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。说明书CN 102833229 A 1/2页 9 图1 图2 说明书附图CN 102833229 A 2/2页 10 图3 说明书附图CN 102833229 A 10 。

展开阅读全文