[发明专利]数据密押交易系统、柜员认证系统、跨中心交易系统及其方法

说明书

技术领域

本发明涉及一种银行系统，尤其是涉及一种以密码技术为基础，使用数字证书和数字签名来实现银行柜面业务人员安全登陆、业务编核密押的系统和方法。

背景技术

管理机现用联行密押系统于1996年开发使用，由总授权机、分授权机、和编押机组成，完全独立于汇兑系统和汇票系统，由业务人员管理、使用。至今，有近14000个通汇网点使用编押机编、核密押，从未发生过利用密押作案的支付结算案件，有效防范了支付结算风险。但是，随着跨中心汇兑系统、银行汇票系统的建设，现行密押系统鉴于当时技术条件和业务需求的限制，与现行要求存在一定距离。

现行联行密押体系中，采用手工编押的方式。在该方式下密押机由专人保管，在发报行，由密押机进行特定加密运算生成支付指令中各种要素的密押，在解付行，用此密押核对各要素有无改变。从目前业务发展和技术条件来说，该种方式已不适应安全的需要，主要原因如下：

(1)不能处理综合应用系统(ABIS)数据集中后的业务，跨中心汇兑系统及银行汇票系统建立后，账务由省域中心综合应用系统(ABIS)主机处理，现行密押系统不能实时处理自动核对密押业务，不能处理综合应用系统(ABIS)数据集中后的业务；

(2)参与密押运算的管理密钥只有16位，加密标准及其算法已不符合国家保密委员会的现有规定，未达到国家密码标准(国家标准1997年制定)已不符合国家保密委员会的现有规定，密押算法易被破解；

(3)密押管理手段滞后，行号授权、行号区间及密钥的设置，通过手工处理，无法做到定期更换密钥，加大管理风险；

(4)银行的各项业务发展很快，要求柜员交易处理速度越来越快，而手工编押的效率偏低，无形中增加了柜员的劳动强度；

(5)硬件生产厂商不具备国家主管部门的资质批件(1997年国家规定计算机硬件生产厂商必须由国家密码委员会统一颁发的认证资格)；

(6)目前柜面操作人员登录综合应用系统(ABIS)系统主要是采用密码验证的方式，在各个营业网点的终端上输入柜员密码，对信息加密后通过网络传输到服务器进行正确与否的验证，这种方式存在着密码易泄漏，身份无法确认，易发生联合作案的缺点。

由于上述理由，基于当代的先进技术构建银行的新一代密押系统，是极为迫切的。

下面简单介绍本发明所要使用的一些现有技术，以使得本领域技术人员能够对本发明的概念、思想有更加深入的了解。

关于加密算法

加密算法主要分为两类，即对称加密算法(Symmetric Algorithm)和非对称加密算法(Asymmetric Algorithm)，后者的安全性能更好。

非对称加密算法需要两个密钥：公钥(public key)和私钥(private key)，公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密；如果用私钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫做非对称加密算法。利用非对称加密的这种特性，可以利用公开的公钥对文件进行加密，这样正常情况下就只有那些知道对应私钥的人才能对该文件进行解密。非对称加密算法有多种，包括DSA、Diffie-Hellman、RSA、SHA算法等。

关于公钥基础设施(PKI，Public Key Infrastructure)

PKI(Public Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易，通信和互联网上的各种活动。

PKI技术采用证书管理公钥，通过第三方的可信任机构--CA证书认证中心把用户的公钥和用户的其他标识信息捆绑在一起，在互联网上验证用户的身份。目前，通用的办法是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。PKI是基于公钥算法和技术，为网上通信提供安全服务的基础设施。是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。

PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

关于数字签名