跨网数据共享方法、信息需求方、信息提供方和系统与流程

1.本发明涉及跨网络传输技术领域，尤其涉及一种跨网数据共享方法、信息需求方、信息提供方和系统。


背景技术：

2.随着计算机技术、通信技术、网络安全技术的发展，各类机构和单位越来越重视核心数据资产的保护，为了防止内部核心数据泄露，都实施了内外网物理隔离，甚至在内部网络中又划分出了安全生产网、专网、内部服务网和外部服务网等，通过对网络了隔离和划分，提升了网络安全水平。
3.但在专业化分工协作的现在，各类机构和单位越来越多地需要跨部门、跨行业进行频繁数据共享交换，网络隔离成为各单位内外网协作共享的屏障，因此急需一种数据共享方法、系统有效解决跨网络数据安全共享交换，解决上述问题。
4.因此，如何避免现有的不同网络之间数据共享不通畅，不同行业专网的安全性和跨网数据之间的共享开放性无法平衡的情况，仍然是本领域技术人员亟待解决的问题。


技术实现要素：

5.本发明提供一种跨网数据共享方法、信息需求方、电子设备和存储介质，用以解决现有的不同网络之间数据共享不通畅，不同行业专网的安全性和跨网数据之间的共享开放性无法平衡的问题，通过对信息需求方与信息提供方之间交互的消息使用加解密的传输和接收方式实现信息提供方有选择性的为特定网络的信息需求方提供数据，因为只有预先协商好了加解密算法的信息需求方才能向信息提供方获取数据，而中间采用网络防护设备进行加密数据的转发使得转发的加密请求能满足信息提供方的格式要求，从发送的加密数据的格式上使其能被目的端接收。
6.本发明提供一种跨网数据共享方法，该方法的执行主体为信息需求方，包括：
7.信息需求方对生成的数据请求消息进行加密生成加密请求后发送至网络防护设备，以供网络防护设备将所述加密请求进行格式转换并转发至信息提供方；
8.所述信息需求方接收所述网络防护设备返回的加密响应，对所述加密响应进行解密得到响应数据；
9.其中，所述加密响应为所述信息提供方接收的所述加密请求进行解密得到所述请求消息后，基于所述请求消息构建的所述响应数据进行加密后得到的。
10.根据本发明提供的一种跨网数据共享方法，所述信息需求方对生成的数据请求消息进行加密生成加密请求，具体包括：
11.所述信息需求方对生成的数据请求消息进行加密生成加密请求，具体包括：
12.信息需求方对生成的数据请求消息采用预设密钥进行加密得到数据加密值，对所述预设密钥采用公钥进行加密得到密钥加密值，基于所述密钥加密值和所述数据加密值生成加密请求；
13.对应地，所述信息提供方接收所述加密请求进行解密得到所述请求消息，基于所述请求消息构建的所述响应数据进行加密得到加密响应，具体包括：
14.所述信息提供方接收所述加密请求后采用私钥对所述加密请求中的所述密钥加密值进行解密得到所述预设密钥，采用所述预设密钥对所述加密请求中的数据加密值进行解密得到所述请求消息；
15.所述信息提供方基于所述请求消息构建的响应数据采用所述预设密钥进行加密得到加密响应；
16.所述对所述加密响应进行解密得到响应数据，具体包括：
17.对所述加密响应采用所述预设密钥进行解密得到响应数据；
18.其中，所述公钥和所述私钥对应。
19.根据本发明提供的一种跨网数据共享方法，所述预设密钥为所述信息需求方每次发起数据请求时临时生成的。
20.根据本发明提供的一种跨网数据共享方法，所述预设密钥还包括预设偏移向量，所述预设偏移向量用于使用预设密钥进行加密或者解密时增加一个所述预设偏移向量，所述预设偏移向量为临时随机生成或者预先配置固定值。
21.根据本发明提供的一种跨网数据共享方法，所述信息需求方对生成的数据请求消息进行加密生成加密请求，具体包括：
22.信息需求方对生成的数据请求消息先采用预设密钥进行加密再采用公钥进行二次加密生成加密请求；
23.对应地，所述信息提供方接收所述加密请求进行解密得到所述请求消息，基于所述请求消息构建的所述响应数据进行加密得到加密响应，具体包括：
24.所述信息提供方接收所述加密请求后先采用私钥进行解密再采用所述预设密钥进行二次解密得到所述请求消息；
25.所述信息提供方基于所述请求消息构建的响应数据采用所述预设密钥进行加密得到加密响应；
26.所述对所述加密响应进行解密得到响应数据，具体包括：
27.对所述加密响应采用所述预设密钥进行解密得到响应数据；
28.其中，所述公钥和所述私钥对应。
29.根据本发明提供的一种跨网数据共享方法，所述网络防护设备将所述加密请求进行格式转换并转发至信息提供方，具体包括：
30.网络防护设备对所述加密请求进行安全检查，若通过，则按照信息提供方对应的配置规则将所述加密请求转发至所述信息提供方。
31.根据本发明提供的一种跨网数据共享方法，所述公钥为rsa公钥，所述公钥对应的私钥为rsa私钥，所述预设密钥为aes密钥。
32.本发明还提供另一种跨网数据共享方法，包括：
33.信息提供方接收网络防护设备发送的加密请求，对所述加密请求进行解密后得到数据请求消息；
34.信息提供方基于所述数据请求消息构建响应数据并对所述响应数据进行加密得到加密响应，将所述加密响应发送至所述网络防护设备，以供所述网络防护设备将所述加
密响应进行格式转换并转发至信息需求方；
35.其中，所述加密请求是所述信息需求方对自身生成的所述数据请求消息进行加密后发送至所述网络防护设备的。
36.本发明还提供一种信息需求方，包括：
37.第一生成发送单元，用于信息需求方对生成的数据请求消息进行加密生成加密请求后发送至网络防护设备，以供网络防护设备将所述加密请求进行格式转换并转发至信息提供方；
38.第一接收解密单元，用于所述信息需求方接收所述网络防护设备返回的加密响应，对所述加密响应进行解密得到响应数据；
39.其中，所述加密响应为所述信息提供方接收的所述加密请求进行解密得到所述请求消息后，基于所述请求消息构建的所述响应数据进行加密后得到的。
40.本发明还提供一种信息提供方，包括：
41.第二接收解密单元，用于信息提供方接收网络防护设备发送的加密请求，对所述加密请求进行解密后得到数据请求消息；
42.第二生成发送单元，用于信息提供方基于所述数据请求消息构建响应数据并对所述响应数据进行加密得到加密响应，将所述加密响应发送至所述网络防护设备，以供所述网络防护设备将所述加密响应进行格式转换并转发至信息需求方；
43.其中，所述加密请求是所述信息需求方对自身生成的所述数据请求消息进行加密后发送至所述网络防护设备的。
44.本发明还提供一种跨网数据共享系统，包括上述信息需求方、上述信息提供方和网络防护设备，其中，
45.所述信息需求方对自身生成数据请求消息进行加密得到加密请求，并将所述加密请求发送至所述网络防护设备，以供所述网络防护设备将所述加密请求进行格式转换并转发至所述信息提供方；
46.所述信息提供方接收所述网络防护设备发送的加密请求，并对所述加密请求进行解密得到所述数据请求消息，并基于所述数据请求消息构建响应数据后对其进行加密得到加密响应，将所述加密响应发送至所述网络防护设备，以供所述网络防护设备将所述加密响应进行格式转换并转发至信息需求方；
47.所述信息需求方接收所述网络防护设备返回的加密响应，对所述加密响应进行解密得到响应数据。
48.本发明提供的跨网数据共享方法、信息需求方、信息提供方和系统，通过信息需求方对生成的数据请求消息进行加密生成加密请求后发送至网络防护设备，以供网络防护设备将所述加密请求进行格式转换并转发至信息提供方；所述信息需求方接收所述网络防护设备返回的加密响应，对所述加密响应进行解密得到响应数据；其中，所述加密响应为所述信息提供方接收的所述加密请求进行解密得到所述数据请求消息后，基于所述数据请求消息构建的所述响应数据进行加密后得到的。对信息需求方与信息提供方之间交互的消息使用加解密的传输和接收方式实现信息提供方有选择性的为特定网络的信息需求方提供数据，因为只有预先协商好了加解密算法的信息需求方才能向信息提供方获取数据，而中间采用网络防护设备进行加密数据的转发使得转发的加密请求能满足信息提供方的格式要
求，从发送的加密数据的格式上使其能被目的端接收。因此，本发明实施例提供的方法、信息需求方、信息提供方和系统，实现了跨网数据共享，且平衡了跨网通信的安全性和共享开放性。
附图说明
49.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
50.图1为本发明提供的跨网数据共享方法的流程示意图之一；
51.图2为本发明提供的跨网数据共享方法的流程示意图之二；
52.图3为本发明提供的信息需求方的结构示意图；
53.图4为本发明提供的信息需求方的结构示意图；
54.图5为本发明提供的跨网数据共享系统的结构示意图；
55.图6为本发明提供的一种电子设备的实体结构示意图。
具体实施方式
56.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
57.由于现有的不同网络之间普遍存在数据共享不通畅，不同行业专网的安全性和跨网数据之间的共享开放性无法平衡的问题。下面结合图1描述本发明的一种跨网数据共享方法。图1为本发明提供的跨网数据共享方法的流程示意图之一，执行主体为信息需求方，如图1所示，该方法包括：
58.步骤110，信息需求方对生成的数据请求消息进行加密生成加密请求后发送至网络防护设备，以供网络防护设备将所述加密请求进行格式转换并转发至信息提供方。
59.具体地，本发明提供的跨网数据共享方法的执行主体是信息需求方，即需要从目的服务器获取数据的信息需求方。此处针对的是跨网数据共享的应用场景，因此，信息需求方与信息提供方所在网络不同，信息提供方可能是某行业专网，例如医疗机构网络或电力系统网络，而信息需求方可能是大众使用的互联网，或者某其他行业专网。要打通这些不同行业专网之间的数据通信，不仅需要保证两个共享数据的跨网通信双方之间的授权，而且需要保证跨网通信时传输的消息结构配置方式能被接收方识别接受。首先，跨网通信双方之间的授权是通过预先配置的通信加解密方式进行的，即只有信息提供方认证可以共享数据的信息需求方才能获得与信息提供方相同的加解密密钥。如此，只有获取了与信息提供方匹配的加解密密钥，信息需求方才能使用正确的密钥对数据请求消息进行加密，信息提供方接收到加密请求后才能使用匹配的密钥进行解密得到真正的数据请求消息，最终实现双方正常交互和信息提供方将共享数据安全传输至信息需求方。其次，信息需求方和信息提供方中间通过网络防护设备进行交互消息的转发，而网络防护设备将需要转发的加密请
求的格式进行相应的转换，例如按照信息提供方的配置规则和接口信息对加密请求进行ip转换，发送给转换后ip对应的服务器(即信息提供方)。
60.步骤120，所述信息需求方接收所述网络防护设备返回的加密响应，对所述加密响应进行解密得到响应数据；
61.其中，所述加密响应为所述信息提供方接收的所述加密请求进行解密得到所述数据请求消息后，基于所述数据请求消息构建的所述响应数据进行加密后得到的。
62.具体地，信息提供方在接收到网络防护设备转发过来的符合信息提供方格式要求的加密请求后，对加密请求进行解密得到数据请求消息，此处需要说明的是，信息需求方和信息提供方之间的加解密算法是预先配置或者协商好的，正是因为信息提供方预先授权了对应的信息需求方的访问获取数据的权限，它们之间才共享了可以用于对交互消息进行加解密的密钥。其中，加解密密钥对的预先配置或者协商包括多种方式，例如：两种包括预设密钥和预先配置公钥私钥密钥对的双层加密方式，其一，信息需求方构建的数据请求消息采用预设密钥进行加密得到数据加密值，信息需求方再采用自身持有的公钥对预设密钥进行加密得到密钥加密值，将密钥加密值和数据加密值组成数据包通过网络防护设备的中间转发发送至信息提供方，信息提供方用自身持有的跟所述公钥匹配的私钥对所述数据包中的密钥加密值进行解密获取所述预设密钥，再用解密出来的预设密钥对所述数据包中的数据加密值进行解密得到数据请求消息的内容，此处预设密钥可以是信息需求方临时生成的随机密钥也可以是预先设置的固定密钥；其二，信息需求方采用预先配置的和信息提供方一致的预设密钥对数据共享请求消息进行第一层加密，得到初始加密值，再使用自身持有的公钥对初始加密值进行第二层加密得到加密请求，将加密请求通过网络防护设备的中间转发发送至信息提供方，信息提供方对接收到的加密请求首先使用自身持有的与所述公钥对应的私钥进行第一层解密，得到初始解密值，再用自身持有的与信息需求方一致的预设密钥对所述初始解密值进行第二层解密得到数据请求消息；上述两种双层加密方式中，前者使用的密钥对中的预设密钥可以是信息需求方临时生成的，也可以是信息需求方单边持有，需要通过安全的方式(即采用公钥加密)传输至信息提供方实现密钥的分发协商，后者使用的密钥对中公钥私钥和预设密钥均是预先配置的固定密钥值，在信息提供方向认证可以共享数据的特定信息需求方授权数据共享时已经设置完成，而且公钥私钥还可以定期或者不定期的更换，上述两种信息需求方和信息提供方消息交互和数据传输时的加解密方式都可以应用于本实施提供的场景中，此处不作具体限定。信息提供方在获取数据请求消息后，对数据请求消息进行解析和拆分得到查询条件，然后从信息提供方的对应接口数据中抽取所述查询条件对应的数据，进行加工、合并和组装形成响应数据，再对所述响应数据进行加密得到加密响应并发送至网络防护设备。最后，网络防护设备将加密响应转发至所述信息需求方，信息需求方接收到所述网络防护设备返回的加密响应后，对所述加密响应进行解密得到响应数据。此处需要说明的是，信息需求方和信息提供方进行交互时，相互发送的加密请求或者加密响应都是基于双方预先配置的固定密钥或者临时协商的随机密钥加密生成的，任一方进行接收时使用对应的预先配置的固定密钥或者临时协商的随机密钥进行解密。
63.本发明提供的方法，通过信息需求方对生成的数据请求消息进行加密生成加密请求后发送至网络防护设备，以供网络防护设备将所述加密请求进行格式转换并转发至信息
提供方；所述信息需求方接收所述网络防护设备返回的加密响应，对所述加密响应进行解密得到响应数据；其中，所述加密响应为所述信息提供方接收的所述加密请求进行解密得到所述数据请求消息后，基于所述数据请求消息构建的所述响应数据进行加密后得到的。对信息需求方与信息提供方之间交互的消息使用加解密的传输和接收方式实现信息提供方有选择性的为特定网络的信息需求方提供数据，因为只有预先协商好了加解密算法的信息需求方才能向信息提供方获取数据，而中间采用网络防护设备进行加密数据的转发使得转发的加密请求能满足信息提供方的格式要求，从发送的加密数据的格式上使其能被目的端接收。因此，本发明实施例提供的方法，实现了跨网数据共享，且平衡了跨网通信的安全性和共享开放性。
64.基于上述实施例，该方法中，所述信息需求方对生成的数据请求消息进行加密生成加密请求，具体包括：
65.信息需求方对生成的数据请求消息采用预设密钥进行加密得到数据加密值，对所述预设密钥采用公钥进行加密得到密钥加密值，基于所述密钥加密值和所述数据加密值生成加密请求；
66.对应地，所述信息提供方接收所述加密请求进行解密得到所述请求消息，基于所述请求消息构建的所述响应数据进行加密得到加密响应，具体包括：
67.所述信息提供方接收所述加密请求后采用私钥对所述加密请求中的所述密钥加密值进行解密得到所述预设密钥，采用所述预设密钥对所述加密请求中的数据加密值进行解密得到所述请求消息；
68.所述信息提供方基于所述请求消息构建的响应数据采用所述预设密钥进行加密得到加密响应；
69.所述对所述加密响应进行解密得到响应数据，具体包括：
70.对所述加密响应采用所述预设密钥进行解密得到响应数据；
71.其中，所述公钥和所述私钥对应。
72.具体地，本实施例进一步限定信息需求方和信息提供方进行交互时使用的加解密的具体方式。本发明中的双方交互时发送的数据请求消息或是响应数据都采用双层加密方式，即信息需求方在发送数据请求消息时，对数据请求消息使用预设密钥进行第一层加密，然后使用信息需求方自身持有的公钥对预设密钥进行第二层加密，如此，发送的消息内容采用预设密钥进行加密了，而预设密钥又采用公钥进行加密了，使得接收方进行解密时，需要先使用与公钥匹配的私钥对加密密钥进行第一层解密，解密得到预设密钥后，再用预设密钥对加密的消息内容进行解密。此种情况下，预设密钥既可以是信息需求方每次发起数据共享请求时临时生成的随机密钥，也可以是预先配置的固定密钥为信息需求方存储持有以备使用。为了使预设密钥进行加解密时更安全，还可以为预设密钥安排一个随机生成的新增偏移向量或者预先设置的固定偏移向量，用于其加密或者解密时进行进一步的加密结果的偏移或者解密结果的偏移，在预设密钥加解密的规则基础上再增加一层规则，增加预设密钥的抗破译性。
73.可选地，为了保证网络通信中的通信数据安全，需要采用https 协议和公钥密钥体制中的rsa加密；但由于rsa运算速度慢，所以采用运算速度快且安全性高的对称密钥密码体制中的aes对所需传输数据进行加密，然后再用rsa对aes密钥加密，这样既能保证安全
又能保证性能。因此，优选预设密钥为aes密钥，而公钥私钥对为rsa加解密秘钥，其中，rsa公钥和私钥由服务端生成，公钥放在客户端，私钥放在服务端，需要传输的数据经过作为预设密钥的 aes秘钥加密后采用base64编码，数据解密前也需要采用base64解码，编码格式同一采用utf
‑
8。
74.基于上述实施例，该方法中，所述预设密钥为所述信息需求方每次发起数据请求时临时生成的。
75.具体地，本实施例在上一实施例的基础上，对预设密钥的生成进行了进一步的限定。预设密钥在上一实施例中可以是信息提供方在认证授权数据共享的信息需求方时，随着分发公钥密钥一起配置分发给其认证的特定信息需求方的固定密钥，信息需求方自身存储持有该固定的预设密钥以备发起数据共享请求时使用；还可以是信息需求方在每一次发起数据共享请求时临时生成的随机密钥，由于临时生成的随机密钥没有自身存储持有的过程，因此，本实施例优选所述信息需求方每次发起数据请求时临时生成随机密钥作为预设密钥，避免了存储过程中的泄漏风险，故采用临时生成的随机密钥作为预设密钥更安全。
76.基于上述实施例，该方法中，所述预设密钥还包括预设偏移向量，所述预设偏移向量用于使用预设密钥进行加密或者解密时增加一个所述预设偏移向量，所述预设偏移向量为临时随机生成或者预先配置固定值。
77.具体地，不管预设密钥是临时生成的随机密钥还是预先配置的固定密钥，还可以在预设密钥的基础上再增加一个加解密规则，即加解密过程中还增加一个偏移向量的偏移，该偏移向量可以是随机生成的也可以是预先设置的固定向量，但是都会随着预设密钥一起被信息需求方自身持有的公钥加密后发送至信息提供方，以供信息提供方在使用解密出来的预设密钥对加密请求中的数据加密值进行解密时，还使用解密出来的偏移向量在解密过程中对解密结果新增一个所述偏移向量的偏移，因为所述数据加密值在信息需求方端生成时，就是信息需求方采用预设密钥对数据请求消息进行加密后还使用该偏移向量对加密结果新增了一个偏移向量的偏移，如此实现加密解密方式的对应，即在使用预设密钥进行加密或者解密的过程中，额外再增加一个该预设偏移向量的偏移，使得预设密钥的加解密规则中再增加一个预设偏移向量的规则，传输的数据更难被破译泄漏。优选地，偏移向量为每次信息需求方发起数据共享请求时临时生成的随机值，避免了预设固定值的偏移向量在信息需求方存储持有过程中的泄漏风险，故采用临时生成的随机向量作为偏移向量更安全。
78.基于上述实施例，该方法中，所述信息需求方对生成的数据请求消息进行加密生成加密请求，具体包括：
79.信息需求方对生成的数据请求消息先采用预设密钥进行加密再采用公钥进行二次加密生成加密请求；
80.对应地，所述信息提供方接收所述加密请求进行解密得到所述请求消息，基于所述请求消息构建的所述响应数据进行加密得到加密响应，具体包括：
81.所述信息提供方接收所述加密请求后先采用私钥进行解密再采用所述预设密钥进行二次解密得到所述请求消息；
82.所述信息提供方基于所述请求消息构建的响应数据采用所述预设密钥进行加密得到加密响应；
83.所述对所述加密响应进行解密得到响应数据，具体包括：
84.对所述加密响应采用所述预设密钥进行解密得到响应数据；
85.其中，所述公钥和所述私钥对应。
86.具体地，本实施例提供另一种对信息需求方和信息提供方交互过程中的传输消息和数据的加解密方式，即进一步限定信息需求方和信息提供方进行交互时使用的加解密的密钥是预先配置好的固定密钥 (即预设密钥)，而且为了进一步保障消息和数据传输安全性，数据请求消息和响应数据的发送都是经过双层加密后再发出的。此处需要说明的是，预设密钥是第一层密钥，用于对原始数据进行加密，信息提供方和信息需求方预先配置的公钥私钥安全性一般，用于第二层加密。接收方在接收到加密请求或者加密响应时，也采用对应的双层解密方法，首先使用私钥进行第一层解密，再使用预设密钥进行第二层解密，得到数据请求消息或者响应数据。此处需要说明的是，公钥私钥为信息提供方和信息需求方预先配置的起到双方身份权限认证功能的密钥对，只有信息提供方认定授权可以共享数据的特定信息需求方才能获取与信息提供方相同的公钥私钥，由于公钥私钥组成的密钥对的安全性普通，因此，又增加了也是预先配置的固定的预设密钥，用于和公钥私钥结合使用进行二次加密，可选地，预先配置的公钥私钥对在使用过程中定期或者不定期进行更换。
87.基于上述实施例，该方法中，所述网络防护设备将所述加密请求进行格式转换并转发至信息提供方，具体包括：
88.网络防护设备对所述加密请求进行安全检查，若通过，则按照信息提供方对应的配置规则将所述加密请求转发至所述信息提供方。
89.具体地，由于信息需求方生成的数据请求消息包括但不限于请求服务ip地址/网址、请求服务名称、请求函数和请求参数等。所述网络防护设备包括但不限于防火墙、网闸、安全平台等。因此，在网络防护设备对信息需求方发送来的加密请求进行安全检查时，会对加密请求进行安全检查、审计和过滤，若有非法请求、非法函数、非法参数或非法ip等中至少一种，则舍弃，如无非法请求、无非法函数或无非法参数等，根据预先配置的规则，对请求进行ip转换，发送给转换后ip对应的服务器(即信息提供方)，如果存在非法请求、非法ip中的一种或几种，则全部舍弃，拒绝ip转换，拒绝提供任何服务。
90.基于上述实施例，该方法中，所述公钥为rsa公钥，所述公钥对应的私钥为rsa私钥，所述预设密钥为aes密钥。
91.具体地，公钥私钥的物理类型为rsa，预设密钥的物理类型为 aes，在预设密钥为预先配置的固定密钥场景中，具体提供一种加解密模式：信息需求方用aes密钥对请求数据进行加密得到数据加密值，其中请求的数据包括但不限于数据格式、类型、字段等，然后信息需求方的使用自身持有的rsa公钥对aes密钥加密得到密钥加密值，信息需求方把加密后的数据加密值作为数据包内容，把加密后的密钥加密值放到自定义请求头中，发送给网络安全防护设备，以发起共享需求信息请求。例如：在综合交枢纽车站，同时有高铁、地铁、航空、公交等多种交通运输工具，不同交通运输企业都需要其他交通运输企业的客运信息，以便为旅客提供便捷的交通接驳，实现快速换乘、中转；同样，共享需求信息以综合交枢纽车站铁路信息系统需求为例，铁路信息系统需要地铁列车的到发时刻、停靠站和客流量等信息，铁路信息系统使用持有的预先配置的和综合交枢纽车站铁路信息系统一致的aes密钥，按约定的服务、函数、参数和返回格式等进行拼接组装，形成共享需求信息请求，使用aes密
钥对共享需求信息进行加密，然后使用信息需求方的rsa公钥对aes密钥进行加密，把加密值放到自定义请求头中，发送给网络安全防护设备。信息提供方接收到共享需求信息请求后，解析出自定义请求头的密钥加密值，使用信息提供方的rsa私钥对密钥加密值进行解密，解析出aes密钥。例如，信息提供方在接收到共享需求信息请求后，从自定义请求头中解析出密钥加密值，然后使用信息提供方的rsa私钥(与信息需求方的rsa公钥配对的私钥)，对加密值进行解密，解析得到aes 密钥。信息提供方通过使用上述步骤中解析出的aes密钥对请求数据中的数据加密值进行解密，对解密后的请求数据进行解析、拆分，提取对应的函数名、参数名，提交对应的函数按业务流程执行，对接口数据进行抽取、加工、合并和组装，形成响应数据，再用解析出的 aes密钥对响应数据进行加密，将加密后的响应数据按原路返回给信息需求方，其中响应数据格式可能包括数据表、字符串和json格式数据等。信息需求方得到上述步骤中由信息提供方返回的加密数据后，使用自身持有的aes密钥进行解密，获得共享信息，形成完整的共享数据请求、响应链路。
92.基于上述实施例，本发明还提供另一种跨网数据共享方法，执行主体为信息提供方，下面结合图2描述本发明的另一种跨网数据共享方法。图2为本发明提供的跨网数据共享方法的流程示意图之二，执行主体为信息需求方，如图2所示，该方法包括：
93.步骤210，信息提供方接收网络防护设备发送的加密请求，对所述加密请求进行解密后得到数据请求消息。
94.具体地，本发明提供另外一种跨网数据共享方法的执行主体是信息提供方，即需要向信息需求方提供所需数据的目标服务器。此处针对的是跨网数据共享的应用场景，因此，信息需求方与信息提供方所在网络不同，信息提供方可能是某行业专网，例如医疗机构网络或电力系统网络，而信息需求方可能是大众使用的互联网，或者某其他行业专网。要打通这些不同行业专网之间的数据通信，不仅需要保证两个共享数据的跨网通信双方之间的授权，而且需要保证跨网通信时传输的消息结构配置方式能被接收方识别接受。首先，跨网通信双方之间的授权是通过预先配置的通信加解密方式进行的，即只有信息提供方认证可以共享数据的信息需求方才能获得与信息提供方相同的加解密密钥。如此，只有获取了与信息提供方匹配的加解密密钥，信息需求方才能使用正确的密钥对数据请求消息进行加密，信息提供方接收到加密请求后才能使用匹配的密钥进行解密得到真正的数据请求消息，最终实现双方正常交互和信息提供方将共享数据安全传输至信息需求方。其次，信息需求方和信息提供方中间通过网络防护设备进行交互消息的转发，而网络防护设备将需要转发的加密请求的格式进行相应的转换，例如按照信息提供方的配置规则和接口信息对加密请求进行ip转换，发送给转换后ip对应的服务器(即信息提供方)。因此，在步骤210中，信息提供方接收到网络防护设备发送的加密请求，即可以使用预先配置分发表示其授权了信息需求方共享数据功能的密钥对对所述加密请求进行解密得到数据请求消息。
95.步骤220，信息提供方基于所述数据请求消息构建响应数据并对所述响应数据进行加密得到加密响应，将所述加密响应发送至所述网络防护设备，以供所述网络防护设备将所述加密响应进行格式转换并转发至信息需求方；
96.其中，所述加密请求是所述信息需求方对自身生成的所述数据请求消息进行加密后发送至所述网络防护设备的。
97.具体地，信息提供方在接收到网络防护设备转发过来的符合信息提供方格式要求
的加密请求后，对加密请求进行解密得到数据请求消息，此处需要说明的是，信息需求方和信息提供方之间的加解密算法是预先配置或者协商好的，正是因为信息提供方预先授权了对应的信息需求方的访问获取数据的权限，它们之间才共享了可以用于对交互消息进行加解密的密钥。其中，加解密密钥对的预先配置或者协商包括多种方式，例如：两种包括预设密钥和预先配置公钥私钥密钥对的双层加密方式，其一，信息需求方构建的数据请求消息采用预设密钥进行加密得到数据加密值，信息需求方再采用自身持有的公钥对预设密钥进行加密得到密钥加密值，将密钥加密值和数据加密值组成数据包通过网络防护设备的中间转发发送至信息提供方，信息提供方用自身持有的跟所述公钥匹配的私钥对所述数据包中的密钥加密值进行解密获取所述预设密钥，再用解密出来的预设密钥对所述数据包中的数据加密值进行解密得到数据请求消息的内容，此处预设密钥可以是信息需求方临时生成的随机密钥也可以是预先设置的固定密钥；其二，信息需求方采用预先配置的和信息提供方一致的预设密钥对数据共享请求消息进行第一层加密，得到初始加密值，再使用自身持有的公钥对初始加密值进行第二层加密得到加密请求，将加密请求通过网络防护设备的中间转发发送至信息提供方，信息提供方对接收到的加密请求首先使用自身持有的与所述公钥对应的私钥进行第一层解密，得到初始解密值，再用自身持有的与信息需求方一致的预设密钥对所述初始解密值进行第二层解密得到数据请求消息；上述两种双层加密方式中，前者使用的密钥对中的预设密钥可以是信息需求方临时生成的，也可以是信息需求方单边持有，需要通过安全的方式(即采用公钥加密)传输至信息提供方实现密钥的分发协商，后者使用的密钥对中公钥私钥和预设密钥均是预先配置的固定密钥值，在信息提供方向认证可以共享数据的特定信息需求方授权数据共享时已经设置完成，上述两种信息需求方和信息提供方消息交互和数据传输时的加解密方式都可以应用于本实施提供的场景中，此处不作具体限定。信息提供方在获取数据请求消息后，对数据请求消息进行解析和拆分得到查询条件，然后从信息提供方的对应接口数据中抽取所述查询条件对应的数据，进行加工、合并和组装形成响应数据，再对所述响应数据进行加密得到加密响应并发送至网络防护设备。最后，网络防护设备将加密响应转发至所述信息需求方，信息需求方接收到所述网络防护设备返回的加密响应后，对所述加密响应进行解密得到响应数据。此处需要说明的是，信息需求方和信息提供方进行交互时，相互发送的加密请求或者加密响应都是基于双方预先配置的固定密钥或者临时协商的随机密钥加密生成的，任一方进行接收时使用对应的预先配置的固定密钥或者临时协商的随机密钥进行解密。
98.本发明提供的执行主体为信息提供方的跨网数据共享方法，通过信息提供方接收网络防护设备发送的加密请求，对所述加密请求进行解密后得到数据请求消息；信息提供方基于所述数据请求消息构建响应数据并对所述响应数据进行加密得到加密响应，将所述加密响应发送至所述网络防护设备，以供所述网络防护设备将所述加密响应进行格式转换并转发至信息需求方；其中，所述加密请求是所述信息需求方对自身生成的所述数据请求消息进行加密后发送至所述网络防护设备的。对信息需求方与信息提供方之间交互的消息使用加解密的传输和接收方式实现信息提供方有选择性的为特定网络的信息需求方提供数据，因为只有预先协商好了加解密算法的信息需求方才能向信息提供方获取数据，而中间采用网络防护设备进行加密数据的转发使得转发的加密请求能满足信息提供方的格式要求，从发送的加密数据的格式上使其能被目的端接收。因此，本发明实施例提供的方法，
实现了跨网数据共享，且平衡了跨网通信的安全性和共享开放性。
99.下面对本发明提供的信息需求方进行描述，下文描述的信息需求方与上文描述的一种跨网数据共享方法可相互对应参照。
100.图3为本发明提供的信息需求方的结构示意图，如图3所示，信息需求方包括第一生成发送单元310和第一接收解密单元320，其中，
101.所述第一生成发送单元310，用于信息需求方对生成的数据请求消息进行加密生成加密请求后发送至网络防护设备，以供网络防护设备将所述加密请求进行格式转换并转发至信息提供方；
102.所述第一接收解密单元320，用于所述信息需求方接收所述网络防护设备返回的加密响应，对所述加密响应进行解密得到响应数据；
103.其中，所述加密响应为所述信息提供方接收的所述加密请求进行解密得到所述请求消息后，基于所述请求消息构建的所述响应数据进行加密后得到的。
104.本发明提供的信息需求方，通过信息需求方对生成的数据请求消息进行加密生成加密请求后发送至网络防护设备，以供网络防护设备将所述加密请求进行格式转换并转发至信息提供方；所述信息需求方接收所述网络防护设备返回的加密响应，对所述加密响应进行解密得到响应数据；其中，所述加密响应为所述信息提供方接收的所述加密请求进行解密得到所述数据请求消息后，基于所述数据请求消息构建的所述响应数据进行加密后得到的。对信息需求方与信息提供方之间交互的消息使用加解密的传输和接收方式实现信息提供方有选择性的为特定网络的信息需求方提供数据，因为只有预先协商好了加解密算法的信息需求方才能向信息提供方获取数据，而中间采用网络防护设备进行加密数据的转发使得转发的加密请求能满足信息提供方的格式要求，从发送的加密数据的格式上使其能被目的端接收。因此，本发明实施例提供的信息需求方，实现了跨网数据共享，且平衡了跨网通信的安全性和共享开放性。
105.在上述实施例的基础上，该信息需求方中，所述信息需求方对生成的数据请求消息进行加密生成加密请求，具体包括：
106.信息需求方对生成的数据请求消息采用预设密钥进行加密得到数据加密值，对所述预设密钥采用公钥进行加密得到密钥加密值，基于所述密钥加密值和所述数据加密值生成加密请求；
107.对应地，所述信息提供方接收所述加密请求进行解密得到所述请求消息，基于所述请求消息构建的所述响应数据进行加密得到加密响应，具体包括：
108.所述信息提供方接收所述加密请求后采用私钥对所述加密请求中的所述密钥加密值进行解密得到所述预设密钥，采用所述预设密钥对所述加密请求中的数据加密值进行解密得到所述请求消息；
109.所述信息提供方基于所述请求消息构建的响应数据采用所述预设密钥进行加密得到加密响应；
110.所述对所述加密响应进行解密得到响应数据，具体包括：
111.对所述加密响应采用所述预设密钥进行解密得到响应数据；
112.其中，所述公钥和所述私钥对应。
113.在上述实施例的基础上，该信息需求方中，所述预设密钥为所述信息需求方每次
发起数据请求时临时生成的。
114.在上述实施例的基础上，该信息需求方中，所述预设密钥还包括预设偏移向量，所述预设偏移向量用于使用预设密钥进行加密或者解密时增加一个所述预设偏移向量，所述预设偏移向量为临时随机生成或者预先配置固定值。
115.在上述实施例的基础上，该信息需求方中，所述信息需求方对生成的数据请求消息进行加密生成加密请求，具体包括：
116.信息需求方对生成的数据请求消息先采用预设密钥进行加密再采用公钥进行二次加密生成加密请求；
117.对应地，所述信息提供方接收所述加密请求进行解密得到所述请求消息，基于所述请求消息构建的所述响应数据进行加密得到加密响应，具体包括：
118.所述信息提供方接收所述加密请求后先采用私钥进行解密再采用所述预设密钥进行二次解密得到所述请求消息；
119.所述信息提供方基于所述请求消息构建的响应数据采用所述预设密钥进行加密得到加密响应；
120.所述对所述加密响应进行解密得到响应数据，具体包括：
121.对所述加密响应采用所述预设密钥进行解密得到响应数据；
122.其中，所述公钥和所述私钥对应。
123.在上述实施例的基础上，该信息需求方中，所述网络防护设备将所述加密请求进行格式转换并转发至信息提供方，具体包括：
124.网络防护设备对所述加密请求进行安全检查，若通过，则按照信息提供方对应的配置规则将所述加密请求转发至所述信息提供方。
125.在上述实施例的基础上，该信息需求方中，所述公钥为rsa公钥，所述公钥对应的私钥为rsa私钥，所述预设密钥为aes密钥。
126.下面对本发明提供的信息需求方进行描述，下文描述的信息需求方与上文描述的另一种跨网数据共享方法可相互对应参照。
127.图4为本发明提供的信息需求方的结构示意图，如图4所示，信息需求方包括第二接收解密单元410和第二生成发送单元420，其中，
128.所述第二接收解密单元410，用于信息提供方接收网络防护设备发送的加密请求，对所述加密请求进行解密后得到数据请求消息；
129.所述第二生成发送单元420，用于信息提供方基于所述数据请求消息构建响应数据并对所述响应数据进行加密得到加密响应，将所述加密响应发送至所述网络防护设备，以供所述网络防护设备将所述加密响应进行格式转换并转发至信息需求方；
130.其中，所述加密请求是所述信息需求方对自身生成的所述数据请求消息进行加密后发送至所述网络防护设备的。
131.本发明提供的信息需求方，通过信息提供方接收网络防护设备发送的加密请求，对所述加密请求进行解密后得到数据请求消息；信息提供方基于所述数据请求消息构建响应数据并对所述响应数据进行加密得到加密响应，将所述加密响应发送至所述网络防护设备，以供所述网络防护设备将所述加密响应进行格式转换并转发至信息需求方；其中，所述加密请求是所述信息需求方对自身生成的所述数据请求消息进行加密后发送至所述网络
防护设备的。对信息需求方与信息提供方之间交互的消息使用加解密的传输和接收方式实现信息提供方有选择性的为特定网络的信息需求方提供数据，因为只有预先协商好了加解密算法的信息需求方才能向信息提供方获取数据，而中间采用网络防护设备进行加密数据的转发使得转发的加密请求能满足信息提供方的格式要求，从发送的加密数据的格式上使其能被目的端接收。因此，本发明实施例提供的信息需求方，实现了跨网数据共享，且平衡了跨网通信的安全性和共享开放性。
132.基于上述实施例，本发明还提供一种跨网数据共享系统，图5为本发明提供的跨网数据共享系统的结构示意图，如图5所示，该系统包括上述任一实施例提供的信息需求方510、上述任一实施例提供的信息提供方520和网络防护设备530，其中，
133.所述信息需求方510对自身生成数据请求消息进行加密得到加密请求，并将所述加密请求发送至所述网络防护设备530，以供所述网络防护设备530将所述加密请求进行格式转换并转发至所述信息提供方520；
134.所述信息提供方520接收所述网络防护设备530发送的加密请求，并对所述加密请求进行解密得到所述数据请求消息，并基于所述数据请求消息构建响应数据后对其进行加密得到加密响应，将所述加密响应发送至所述网络防护设备530，以供所述网络防护设备530将所述加密响应进行格式转换并转发至信息需求方510；
135.所述信息需求方510接收所述网络防护设备530返回的加密响应，对所述加密响应进行解密得到响应数据。
136.图6为本发明提供的一种电子设备的实体结构示意图，如图6所示，该电子设备可以包括：处理器(processor)610、通信接口 (communications interface)620、存储器(memory)630和通信总线640，其中，处理器610，通信接口620，存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令，以执行跨网数据共享方法，该方法包括：信息需求方对生成的数据请求消息进行加密生成加密请求后发送至网络防护设备，以供网络防护设备将所述加密请求进行格式转换并转发至信息提供方；所述信息需求方接收所述网络防护设备返回的加密响应，对所述加密响应进行解密得到响应数据；其中，所述加密响应为所述信息提供方接收的所述加密请求进行解密得到所述请求消息后，基于所述请求消息构建的所述响应数据进行加密后得到的。
137.此外，上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
onlymemory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
138.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的跨网数据共享方法，该方法包括：信息需求方对生成的数据请求消息进行加密生成加密请求后发送至网络防护设备，以
供网络防护设备将所述加密请求进行格式转换并转发至信息提供方；所述信息需求方接收所述网络防护设备返回的加密响应，对所述加密响应进行解密得到响应数据；其中，所述加密响应为所述信息提供方接收的所述加密请求进行解密得到所述请求消息后，基于所述请求消息构建的所述响应数据进行加密后得到的。
139.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的跨网数据共享方法，该方法包括：信息需求方对生成的数据请求消息进行加密生成加密请求后发送至网络防护设备，以供网络防护设备将所述加密请求进行格式转换并转发至信息提供方；所述信息需求方接收所述网络防护设备返回的加密响应，对所述加密响应进行解密得到响应数据；其中，所述加密响应为所述信息提供方接收的所述加密请求进行解密得到所述请求消息后，基于所述请求消息构建的所述响应数据进行加密后得到的。
140.以上所描述的服务器实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
141.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
142.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。