专利名称:数据密押交易系统、柜员认证系统、跨中心交易系统及其方法
技术领域:
本发明涉及一种银行系统,尤其是涉及一种以密码技术为基础,使用数 字证书和数字签名来实现银行柜面业务人员安全登陆、业务编核密押的系统 和方法。
背景技术:
管理机现用联行密押系统于1996年开发使用,由总授权机、分授权机、 和编押机组成,完全独立于汇兑系统和汇票系统,由业务人员管理、使用。 至今,有近14000个通汇网点使用编押机编、核密押,从未发生过利用密押 作案的支付结算案件,有效防范了支付结算风险。但是,随着跨中心汇兑系 统、银行汇票系统的建设,现行密押系统鉴于当时技术条件和业务需求的限 制,与现行要求存在一定距离。现行联行密押体系中,釆用手工编押的方式。在该方式下密押机由专人 保管,在发报行,由密押机进行特定加密运算生成支付指令中各种要素的密 押,在解付行,用此密押核对各要素有无改变。从目前业务发展和技术条件 来说,该种方式已不适应安全的需要,主要原因如下(1) 不能处理综合应用系统(ABIS)数据集中后的业务,跨中心汇兑 系统及银行汇票系统建立后,账务由省域中心综合应用系统(ABIS)主机处 理,现行密押系统不能实时处理自动核对密押业务,不能处理综合应用系统(ABIS)数据集中后的业务;(2) 参与密押运算的管理密钥只有16位,加密标准及其算法己不符合 国家保密委员会的现有规定,未达到国家密码标准(国家标准1997年制定) 已不符合国家保密委员会的现有规定,密押算法易被破解;
(3) 密押管理手段滞后,行号授权、行号区间及密钥的设置,通过手工处理,无法做到定期更换密钥,加大管理风险;(4) 银行的各项业务发展很快,要求柜员交易处理速度越来越快,而 手工编押的效率偏低,无形中增加了柜员的劳动强度;(5) 硬件生产厂商不具备国家主管部门的资质批件U997年国家规定 计算机硬件生产厂商必须由国家密码委员会统一颁发的认证资格);(6) 目前柜面操作人员登录综合应用系统(ABIS)系统主要是采用密 码验证的方式,在各个营业网点的终端上输入柜员密码,对信息加密后通过 网络传输到服务器进行正确与否的验证,这种方式存在着密码易泄漏,身份 无法确认,易发生联合作案的缺点。由于上述理由,基于当代的先进技术构建银行的新一代密押系统,是极 为迫切的。下面简单介绍本发明所要使用的一些现有技术,以使得本领域技术人员 能够对本发明的概念、思想有更加深入的了解。 关于加密算法加密算法主要分为两类,即对称加密算法(Symmetric Algorithm)和非 对称加密算法(AsymmetricAlgorithm),后者的安全性能更好。非对称加密算法需要两个密钥公钥(publickey)和私钥(privatekey), 公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解 密;如果用私钥对数据进行加密,那么只有用对应的公开密钥才能解密。因 为加密和解密使用的是两个不同的密钥,所以这种算法叫做非对称加密算 法。利用非对称加密的这种特性,可以利用公开的公钥对文件进行加密,这 样正常情况下就只有那些知道对应私钥的人才能对该文件进行解密。非对称 加密算法有多种,包括DSA、 Diffie-Hellman、 RSA、 SHA算法等。关于公钥基础设施(PKI, Public Key Infrastructure) PKI (Public Key Infrastructure )是一种遵循标准的利用公钥加密技术 为电子商务的开展提供一套安全基础平台的技术和规范。它能够为所有网络 应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单 来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户 可利用PKI平台提供的服务进行安全的电子交易,通信和互联网上的各种活 动。PKI技术采用证书管理公钥,通过第三方的可信任机构-CA证书认证中 心把用户的公钥和用户的其他标识信息捆绑在一起,在互联网上验证用户的 身份。目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要 传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性 和不可否认性,从而保证信息的安全传输。PKI是基于公钥算法和技术,为 网上通信提供安全服务的基础设施。是创建、颁发、管理、注销公钥证书所 涉及到的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是 CA认证机构。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI 的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签 名等。关于数字签名数字签名是指用私钥对原始数据的摘要进行加密所得的数据。信息接收 者使用信息发送者的公钥对附在原始信息后的数字签名进行解密获取摘要 信息,并通过与自己用收到的原始数据产生的信息摘要对照,便可确信原始 信息是否被篡改。进行数字签名除了要使用公开密钥算法,还必须引入另外一种加密算 法,目前己知多种加密算法,例如Hash、SHA等。我们以安全哈希算法(SHA) 为例进行说明。SHA是一种单向加密算法,使用SHA对任意长度的信息加 密后,将得到定长(160bits)的数据,称为信息摘要。摘要算法是一类符合特殊要求的散列函数函数,这些特殊要求是 參接受的输入报文数据没有长度限制春对任何输入报文数据生成固定长度的摘要(数字指纹)输出 參由报文能方便地算出摘要參难以对指定的摘要生成一个报文,由该报文可以得出指定的摘要 參难以生成两个不同的报文具有相同的摘要
图1和图2分别显示了对信息进行加密和解密的示意图。如图1和图2 所示,信息的发送方首先用SHA算法对要传送的明文信息进行单向加密, 得到信息摘要,又称为手印。然后用自己的私钥S对手印加密,得到密文, 即数字签名。信息的发送方把数字签名、自己的公钥P和信息一起传给接收 方。私钥S只由发送方持有,而私钥S和公钥P又是一一对应的,只有能对 密文正确解密,所以只要用能正确地恢复手印,就能证明信息未被篡改。依据这个原理,数字签名验证的过程就是信息的接收方首先用对方的 公钥解密数字签名,得到手印,然后对信息直接用SHA计算得到信息摘要, 即手印。对照两个手印,如果完全一致,就认为验证正确,否则失败。关于数字证书数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进 行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都 需验证对方证书的有效性,从而解决相互间的信任问题。证书是一个经证书 认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数 字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。证书 格式及证书内容遵循X.509标准。其中图3表示了证书各部分的含义。数字证书颁发过程一般为用户首先产生自己的密钥对,并将公共密钥
及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些 必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户 一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有 认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活 动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可 提供不同级别的可信度。可以从证书发行机构获得自己的数字证书。发明内容本发明的目的是克服现有技术不能实时处理自动核对密押业务、不能处理综合应用系统(ABIS)数据集中后的业务、安全性差、效率低等缺点,提 供一种能够有效增强交易安全性、提高工作效率等优点的数据密押交易系 统、柜员认证系统、跨中心交易系统及其方法。本发明提供一种数据密押交易系统,该系统包括柜员信息存储装置、 往帐交易终端、编押单元、来帐交易终端、前置机、安全认证和核押中心以 及业务系统主机,其中,所述柜员信息存储装置用于存储柜员私钥和柜员证 书,该柜员证书包括柜员标识信息、柜员公钥和证书序列号;所述往帐交易 终端用于读取所述柜员信息存储装置中存储的柜员证书和柜员私钥,接收输 入的交易数据,并从所述前置机接收反馈信息;所述编押单元用于接收从往 帐交易终端输入的交易数据并对该交易数据进行编押,经中间数据后产生编 押数据;所述前置机用作往帐交易终端、编押单元与安全认证和核押中心、 来帐交易终端以及业务系统主机之间的中间件;所述安全认证和核押中心用 于通过所述前置机接收来自于所述往帐交易终端的柜员证书和输入的交易 数据,根据接收到的柜员证书对柜员身份进行核对,当柜员身份核对成功时, 将核对结果通过所述前置机发送到所述业务系统主机,通过所述前置机接收 所述编押单元生成的编押数据,对所述编押数据进行核押,如果核押成功, 则发送交易数据到业务系统主机进行帐务处理,如果核押失败,则通过前置 机和往帐交易终端通知柜员核押失败并结束;当柜员身份核对失败时,则通 过前置机和所述往帐交易终端通知柜员身份核对失败并结束;所述业务系统 主机用于接收来自于所述安全认证和核押中心的核对结果并对柜员作出认 证,将认证结果通过前置机反馈给所述往帐交易终端完成柜员签到并允许所 述编押单元对交易数据进行编押,接收交易数据,根据接收到的交易数据处 理银行帐务,生成帐务信息;所述来帐交易终端用于通过所述前置机接收所 述业务系统主机生成的帐务信息。本发明提供一种数据密押交易方法,该方法包括该方法包括步骤a) 读取包含柜员公钥的柜员证书和柜员私钥,接收输入的交易数据;步骤b) 接收在步骤a)读取的柜员证书,根据接收到的柜员证书对柜员身份进行核 对,当柜员身份核对成功时,则执行步骤c),当柜员身份核对失败时,则结 束;步骤c),接收在步骤b)的核对结果完成柜员认证,将认证结果进行反 馈以完成柜员签到并允许执行步骤d);步骤d),接收在步骤a)输入的交易 数据并对该交易数据进行编押,经中间数据后产生编押数据;e)接收在步 骤d)生成的编押数据,对该编押数据进行核押,如果核押成功,则执行步 骤f),如果核押失败,则结束;步骤f),根据交易数据进行帐务处理,生成 帐务信息;g)接收在步骤f)生成的帐务信息。本发明提供一种柜员认证系统,该系统包括柜员信息存储装置、交易 终端、前置机、安全认证中心以及业务系统主机,其中,所述柜员信息存储 装置用于存储柜员证书,该柜员证书包括柜员公钥;所述交易终端用于读取 所述存储装置中存储的柜员证书,并从所述前置机接收反馈信息;所述前置 机用作交易终端与安全认证中心、业务系统主机之间的中间件;所述安全认 证中心用于通过所述前置机接收来自于所述交易终端的柜员证书,根据接收 到的柜员证书对该柜员进行核对,如果柜员身份核对成功,则将核对结果通
过所述前置机发送到所述业务系统主机,完成柜员认证,如果柜员身份核对失败,则通过前置机和所述交易终端通知用户核对失败信息;所述业务系统 主机对柜员作出认证并将认证结果通过前置机反馈给所述往帐交易终端完 成柜员签到。本发明还提供一种柜员认证方法,该方法包括步骤A),读取柜员证 书;步骤B),接收在步骤A)读取的柜员证书,根据接收到的柜员证书对柜员身份进行核对,当柜员身份核对成功时,则执行步骤c),当柜员身份核对失败时,则结束;步骤C),接收在步骤B)的核对结果完成柜员认证, 将认证结果进行反馈以完成柜员签到。本发明提供一种跨中心交易系统,该跨中心交易系统包括往帐数据密押交易系统、来帐数据密押交易系统和总行交换中心,其中,所述往帐数据 密押交易系统和来帐数据密押交易系统是上述的数据密押交易系统,所述往 帐数据密押交易系统用于对柜员进行认证,对交易数据进行编押产生编押数据,并根据交易数据进行帐务处理;所述总行交换中心用于通过所述往帐数 据密押交易系统中的前置机接收所述交易数据和编押数据,并将接收到的交 易数据和编押数据传送到所述来帐数据密押交易系统中的前置机;所述来帐 数据密押交易系统用于对接收到的编押数据进行核押,当核押成功时,根据 接收到的交易数据进行帐务处理。 本发明的优点在于如下-(1) 认证卡代表身份 对于柜员的合法性进行注册统一管理,柜员信息存储装置例如IC卡与数字签名证书结合,可以有效的证明系统内人员的身份,真正做到了 "一人 一卡、人卡对应,分级管理、逐级授权、按权限使用"。(2) 提高编核密押效率,完善功能变营业网点"点对点"编核密押为数据中心集中编核密押,满足了帐务集中处理和安全管理的需要;变手工脱机编核密押为安全认证系统联机实时 自动编核密押,提高了密押系统的自动化程度,满足了提高汇划效率的需要; 编核密押的载体由密押机变为密押卡,加密方法更加科学、安全。(3) 保证业务真实,不被伪造; 系统对柜员办理的每一笔需加编密押业务的数据,进行单向拼凑后用该柜员自己的私钥进行加密,并附在数据后。在验证数据时用公钥对签名的数 据进行解密,并与原文杂凑后的数据进行比对,以确定数据是否正确,从而 保证业务的真实性。(4) 保证数据正确,不被篡改; 系统采用数字签名对数据传输的完整性进行保护。柜员的交易数据用自己的私钥对交易数据进行数字签名。签名数据由认证和核押中心进行验证, 验证通过后才发至业务系统主机进行账务处理。数字签名能够实现交易的一 致性、数据完整性、支付信息发送的不可否认性和交易者身份的确定性,从 而保证了数据信息的安全。 一旦数据信息遭到篡改,篡改后的数据必然与数 字签名不匹配,可以立即知道原始的数据信息已经被他人篡改,这样就确保 了数据的一致性和完整性。(5) 保证强度达标,不被破解; 原支付结算密押系统采用的是对称加密算法,密钥位数少极易被破解。而安全认证系统采用的是世界通用的非对称算法,密钥为位数更高,例如可 以达到1024位,按照现在的技术条件能够保证在较长的时间不被破译,在 运算方式和计算方法上加强了难度,确保了数据的保密性和完整性,也加大 了破解的难度。(6) 密押自动编核,无需人工干预;使用安全认证系统后,对联行业务进行编核押时,系统自动处理,不需 柜员进行操作。
(7) 密钥变更,不动硬件; 原编押机采用的是对称加密算法,如编押机丢失需要在全国范围内更改密钥;现安全认证卡采用的是非对称密钥算法,利用私钥编制密押,公钥核 对,如果上述柜员信息存储装置丢失只需制卡行管理员把该该柜员信息存储 装置作废即可。(8) 身份控制,不被他用; 系统采用公钥和私钥的方式对需编核押的业务进行数字签名,对于私钥只有柜员自己才拥有,私钥信息包含了柜员的有效证件号码、姓名、机构号、 柜员号等等,保证了整个安全认证系统里每个人的私钥是唯一的,所以数字 签名就如同柜员实际的签名和印鉴一样,可以作为柜员所作操作的依据,交 易发起者不能对自己的数字签名进行否认。图1显示了对数据进行加密的示意图;图2显示了对加密数据进行解密的示意图;图3显示了数字证书的各部分含义;图4是显示根据本发明的数据密押交易系统的框图;图5是显示根据本发明优选实施方式的往帐交易终端的示意图;图6是显示根据本发明的编押单元构造的示意性框图;图7是显示根据本发明的编押过程的示意图;图8是显示根据本发明的安全认证和核押中心的系统示意图;图9是显示根据本发明的核押过程的示意图;图10是显示根据本发明优选实施方式的数据密押交易系统的结构示意图;图11是显示银行中各级卡片申请和管理流程示意图; 图12是显示根据本发明的数据密押交易方法的流程图;图13是显示根据本发明的对交易数据进行编押的流程图;图14是显示根据本发明优选实施方式的在来帐行进行密押核对的流程图;图15是显示根据本发明的柜员认证系统的框图;图16是显示根据本发明优选实施方式的柜员认证系统的结构示意图; 图17是显示根据本发明的柜员认证方法的流程图; 图18是显示根据本发明的跨中心交易系统的框图;图19是显示根据本发明优选实施方式的跨中心交易系统的示意性框图; 图20是显示根据本发明的银行汇兌和解付业务的流程图; 图21是显示根据本发明的银行汇票和兑付业务的流程图。
具体实施方式
下面根据附图对本发明的具体实施方式
进行详细描述。 本发明所称的网络,可以是国际互联网、公司内部网、局域网等公知的 网络,但优选情况下为银行内部专网,本发明具体实施方式
将基于银行内部 专网进行描述。当然,本领域技术人员可以理解,这仅是示例性的而非对本 发明作出限制。如图4所示,本发明提供的数据密押交易系统包括柜员信息存储装置1000、往帐交易终端1100、编押单元1200、来帐交易终端1300、前置机1400、 安全认证和核押中心1500以及业务系统主机1600,其中,所述柜员信息存 储装置IOOO用于存储柜员私钥和柜员证书,该柜员证书包括柜员标识信息、 柜员公钥和证书序列号;所述往帐交易终端1100用于读取所述柜员信息存 储装置1000中存储的柜员证书和柜员私钥,接收输入的交易数据,并从所 述前置机1400接收反馈信息;所述编押单元1200用于接收从往帐交易终端 1100输入的交易数据并对接收到的交易数据进行编押,经中间数据后产生编押数据;所述前置机1400用作往帐交易终端1100、编押单元1200与安全认 证和核押中心1500、来帐交易终端1300以及业务系统主机1600之间的中间 件;所述安全认证和核押中心1500用于通过所述前置机1400接收来自于所 述往帐交易终端1100的柜员证书和输入的交易数据,根据接收到的柜员证 书对柜员身份进行核对, 一方面,当柜员身份核对成功时,将核对结果通过 所述前置机1400发送到所述业务系统主机1600,通过所述前置机1400接收 所述编押单元1200生成的编押数据,对所述编押数据进行核押,如果核押 成功,则发送交易数据到业务系统主机进行帐务处理,如果核押失败,则通 过前置机和往帐交易终端通知柜员核押失败并结束,另一方面,当柜员身份 核对失败时,则通过前置机和所述往帐交易终端通知柜员身份核对失败并结 束;所述业务系统主机1600用于接收来自于所述安全认证和核押中心1500 的核对结果并对柜员作出认证,将认证结果通过前置机1400反馈给所述往 帐交易终端1100完成柜员签到并允许所述编押单元1200对交易数据进行编 押,接收交易数据,根据接收到的交易数据处理银行帐务,生成帐务信息; 所述来帐交易终端1300用于通过所述前置机1400接收所述业务系统主机 1600处理后生成的帐务信息。所述柜员信息存储装置1000可以为多种公知的存储类型,例如 USBKey、单片机型存储器、射频RF卡等,优选为IC卡,其具有安全、轻 便等优点。该柜员信息存储装置1000中存储的信息包括柜员证书和柜员私 钥,该柜员证书包括图3所示的各项内容,例如"subject"项可以包括IC 卡持有人,即银行密押员的个人识别信息,例如效证件号码、姓名、机构号、 柜员号,因此计算机可以通过该证书获取持有人的个人信息,而且,由于该 证书具有身份验证机构的签名,因此保证了证书的可信性和安全性,这对于 本领域技术人员来说是公知的,因此这里将不再详述。所述柜员私钥是由非对称算法生成的密钥对中的私钥。根据本发明的一个实施方式,所述往帐交易终端1100包括计算机终端 以及与计算机连接的柜员信息读取装置,所述柜员信息读取装置用于读取柜员信息存储装置1000例如IC卡中存储的柜员证书和柜员私钥,所述计算机终端用于接收由所述柜员信息读取装置读取的柜员证书和柜员私钥,并用于 输入交易数据和接收反馈信息。具体来讲,所述计算机可以让柜员输入交易 数据,并且通过计算机显示屏向柜员显示各种反馈信息。所述柜员反馈该柜员信息装置可以通过计算机的串口、并口或USB接口连接。目前市场上已 经有多种柜员信息读取装置可供选择,例如IC卡读卡机等,本领域技术人 员可以很容易地选择适合的读取装置,因此这里将不再详述。当需要对交易 数据进行编押时,录入员通过该计算机终端录入交易信息,密钥员将存储有 柜员私钥(这里成为密钥员私钥)的IC卡插入到与计算机相连接的柜员信 息读取装置中(例如IC卡读卡机)中,从而计算机可以读取所述柜员私钥, 并用该私钥对交易员录入的交易数据进行编押。编押过程将在下文中进行详 细描述。优选情况下,如图5所示,所述往帐交易终端1100为包括至少两个计 算机终端即交易员终端1120和密押员终端1130、终端服务器1110及柜员信 息读取装置1140的小型局域网,例如一个营业所内的局域网,其中交易员 终端1120 (由交易员操作)用于接收录入的交易数据,密押员终端1130 (由 密押员操作)用于通过所述柜员信息读取装置1140读取所述柜员信息存储 装置IOOO (例如IC卡)中存储的信息。这样的小型局域网可以有多种构造 方式,例如网内所有终端(交易员终端1120、密押员终端1130和柜员信息 读取装置1140)都连接到该局域网内的终端服务器上,所有信息均通过终端 服务器1110进行处理,例如当密押员将IC卡插入IC卡读卡机,并从密押 员终端1130输入相应的指令时,该读卡机读取存储在IC卡中的柜员私钥,
并将柜员私钥发送到该局域网内的终端服务器iiio,交易员从交易员终端 1120输入交易数据并且该交易数据也被发送到该局域网内的终端服务器 1110,这样就可以在所述终端服务器中完成对交易数据的编押。当然,上面的描述仅说明了一个例子,实际的连接还需要集线器等网络元件,由于本领 域技术人员可以根据实际需要构建出不同的局域网,因此这里将不再详述。如图5所示,所述往帐交易终端1100进一步包括打印设备1150,用于 打印票据,该打印设备1150可以与交易员终端1120或编押员终端1130连 接,优选情况下,该打印设备连接在所述终端服务器1110上,各柜员终端 (包括密押员终端和交易员终端)可以通过所述终端服务器1119使用该打 印设备,执行票据打印等任务。下面结合图6和图7对所述编押单元1200的构造以及工作过程进行详 细描述。图6是显示根据本发明的编押单元1200的示意性框图。如图6所示, 所述编押单元1200包括交易数据接收模块1210、摘要生成模块1220以及柜 员签名模块1230,如图7所示,所述交易数据接收模块1210用于接收交易 数据,即接收从所述往帐交易终端1100输入的交易数据,(例如转帐、汇兑 等交易信息);所述摘要生成模块1220用于利用摘要算法对交易数据进行摘 要以生成交易数据摘要,优选利用Hash算法;所述柜员签名模块1230调 用柜员信息存储装置1000中的柜员私钥并利用该柜员私钥对生成的交易数 据摘要进行加密,生成签名后交易数据摘要,也就是生成编押数据。所生成 的签名后交易数据摘要(编押数据)即为电子联行中使用的密押。然后,交 易数据和生成的签名后交易数据摘要(编押数据)被发送到所述前置机中。上述的编押单元1200可以是通过串口、并口或USB接口与往帐交易终 端IIOO连接的外部装置,也可以是运行在所述往帐交易终端中的软件模块。 根据本发明的一个实施方式,所述编押单元1200是运行在所述计算机终端
中的软件模块,根据本发明的优选实施方式,所述编押单元1200是运行在 所述终端服务器中的软件模块。如图6所示,优选情况下,所述编押单元1200进一步包括字符转换模 块1240,该字符转换模块1240用于将所述柜员签名模块1230生成的签名后 交易数据摘要(编押数据)转换为可打印密押。生成的可打印密押通过打印 设备1150将打印到票据上。该打印有密押的票据发送给接收行,用于验证 上述编押的正确性,这将在下文进行详细描述。该字符转换模块1240可以 通过各种字符转换算法对签名后数据摘要进行转换,例如SHA1算法。通常情况下,编押单元1200的启动有赖于柜员是否在业务系统主机中 签到,如果柜员未签到,则编押单元并不启动。柜员签到将在下文中进行详 细描述。所述前置机1400的功能主要包括各类渠道的接入和业务的处理,优选 情况下,该前置机1400是运行有综合应用服务前置系统AIPS (Application Integrated Prepositive Service)的服务器。所述AIPS系统是中国农业银行用 于交易处理的计算机软件系统,其主要功能为各类渠道(例如柜面、ATM、 POS、电话、自助终端、互联网以及各种交换网关等)的接入和业务处理两 方面。AIPS系统集中体现了大前置的设计思想,从不同的视角和层面对系 统采用了构件方式设计、系统分层设计、软件分层设计、面向对象设计等设 计方法,以拓展银行交易渠道、创新金融业务产品为目标。AIPS的交易处 理部分基于开放系统(AIX、 HPUX等)、OLTP中间件CICS和数据库服务 SYBASE,用标准C和嵌入式结构化査询语言ESQL开发。AIPS的管理监 控部分基于WINDOWS系统,用0++开发。通过AIPS的应用,可以在帐务 数据大集中的框架下,解决渠道和服务的汇集与扩展问题,协调数据集中与 地方应用需求多元化的关系。根据本发明,如图8所示,所述安全认证和核押中心1500包括认证系 统1510和核押系统1520,所述认证系统1510用于通过所述前置机1400接 收柜员证书并根据接收到的柜员证书对柜员身份进行核对,如果柜员身份核 对成功,则将核对结果通过所述前置机1400发送到所述业务系统主机1600, 如果柜员身份核对失败,则通过前置机1400通知柜员身份核对失败并结束; 所述核押系统1520用于根据接收到的交易数据和柜员证书对签名后交易数 据摘要进行核押,如果核押成功,则发送交易数据到业务系统主机1600进 行帐务处理,如果核押失败,则通过前置机1400通知柜员核押失败并结束。需要注意的是,这里所说的"结束"仅是指该次运行结束,也可以是提 示柜员重新开始下一次执行。根据本发明,对柜员身份进行核对是指根据接收到的柜员证书,在预先 存储的柜员证书目录中搜索与该柜员证书对应的柜员证书。具体来说,如图 8所示,所述认证系统1510包括认证服务器1511和认证信息数据库1512, 所述认证信息数据库1512用于存储柜员证书目录,该柜员证书目录包括有 效证书列表,所述认证服务器1511用于通过所述前置机1400接收柜员证书, 并在认证信息数据库1512中存储的柜员证书目录中搜索对应的柜员证书, 如果在所述有效证书列表中搜索到对应的柜员证书,则柜员身份核对成功, 如果没有在所述有效证书列表中搜索到对应的柜员证书,则柜员身份核对失 败。优选情况下,所述柜员证书目录进一步包括证书停用列表和/或证书废 除列表(CRL),如果认证服务器1511在所述证书停用列表和/或证书废除列 表(CRL)搜索到对应的柜员证书,则所述认证服务器1511认为接收到的 柜员证书已经停用或已经废除,柜员身份核对失败。需要注意的是,这里所 说的"对应的柜员证书"是指内容与接收到的柜员证书内容相对应的证书, 例如证书持有人的标识信息,证书序列号等。根据本发明,如图8所示,所述核押系统1520包括核押服务器1521和 票据核押流水数据库1522,所述票据核押流水数据库1522用于存储编押过 程中产生的中间数据、编押数据,以及柜员证书中包括的柜员标识信息和证 书序列号。这里所述的中间数据即经摘要算法产生的交易数据摘要。根据本 发明,所述柜员标识信息为14位,交易数据摘要为4位、编押数据为172 位,柜员证书序列号(serial number)为64位;所述核押服务器1521用于 根据接收到的柜员证书中包含的柜员公钥对该数据库1522中存储的编押数 据进行核押,核押过程如图9所示,所述核押服务器1521首先利用柜员公 钥对票据核押流水数据库1522中存储的编押数据进行解密,生成解密交易 数据摘要,然后将生成的解密交易数据摘要与票据核押流水数据库1522中 存储的交易数据摘要进行验证,即进行比对,如果二者一致,则核押成功, 并将核押结果发送到所述业务系统主机1600,从而业务系统主机1600能够 对交易数据进行进一步的处理;如果二者不一致,则核押失败。虽然上述的 核押过程仅谈到了交易数据摘要(例如4位)和签名后交易数据摘要(例如 172位),但核对后的信息也包含了柜员标识信息和柜员证书序列号,因此, 业务系统主机1600能够从核对结果中获知该笔交易的密押员信息以及该密 钥员的证书信息,从而保证了交易的安全。此外,需要理解的是,根据所采用的算法不同,以及要求不同,各种数 据的位数也可以不同于上述例子,这里将不再详述。实际中,所述认证服务器1511和核押服务器1521可以是能够实现二者 功能的单个服务器,称为认证和核押服务器,如图10所示。根据本发明,所述业务系统主机1600在所述安全认证和核押中心1500 通过对柜员的核对后,对柜员作出认证,并将认证结果通过所述前置机1400 反馈给往帐交易终端,并记录柜员的姓名、职位、所述银行等信息,从而完 成柜员的签到并允许编押单元1200对交易数据进行编押。所述业务系统主 机1600及ABIS系统,目前已在银行中使用,其是一个具有多层次性结构的、 功能广泛的银行应用体系,具有完整的系统控制管理功能和广泛的业务处理 功能。从层次上分为三层即输入/输出(I/O)层、系统控制(SC)层和应 用(AP)层,能够处理中国农业银行全部的柜面业务的本外币计算机应用软 件系统,其以处理银行柜面业务、满足金融业务品种不断创新为基本目标, 同时兼顾银行管理决策科学化的长远目标,为银行管理、分析和决策提供业 务原始数据。根据本发明,所述来帐交易终端1300可以是单台计算机,优选情况下为与来帐交易终端类似或相同的小型局域网,该来帐交易终端1300通过前 置机1400从所述业务系统主机1600接收处理后的生成的帐务信息。优选情况下,所述来帐交易终端1300包括字符转换模块(未示出),所 述字符转换模块用于通过所述前置机接收所述编押数据,并将接收到的编押 数据转换为可识别字符。来帐银行的柜员将该可打印字符与往帐交易终端 IIOO在票据上打印出来的密押进行比较,以确定密押是否正确。本领域技术人员可以理解,所述字符转换模块也可以位于所述安全认证 和核押中心1500中,所述签名后交易数据摘要在安全认证和核押中心1500 中直接被转换为可打印字符并将该可打印字符通过前置机1400传送到往帐 交易终端1300,然后往帐交易终端1300的打印设备对该可打印字符进行打 印。如图10所示,优选情况下,本发明提供的数据密押交易系统进一步包 括密钥和证书生成中心1700,用于生成包括柜员公钥和柜员私钥的密钥对, 产生柜员证书,并向所述安全认证和核押中心1500发布产生的柜员证书。 一方面,所述柜员信息存储装置1000中存储的柜员私钥和柜员证书可以来 自于所述密钥和证书生成中心1700,另一方面,由于在认证系统1510中对 柜员证书进行认证时需要存储与该证书对应的柜员证书,因此认证系统1510 中存储的柜员证书也可以来自于所述密钥和证书生成中心1700。
根据本发明,所述密钥和证书生成中心1700包括密钥管理中心1710和 CA证书认证中心1720,所述密钥管理中心1710用于产生、保存、使用、 备份、恢复、销毁包括柜员公钥和柜员私钥的密钥对,所述CA证书认证中 心1720用于从该密钥生成中心1720接收产生的密钥对,根据该密钥对实现 柜员证书的生成/签发、柜员证书撤销列表生成/签发,并将柜员证书发布到 所述认证系统1510,具体来说是发布到所述认证系统1510的认证信息数据 库1512。这样,当有新的柜员加入时(例如密押员发生人事变动),就需要 有新的密钥对,也就是需要信息的柜员证书,这样,生成的新的柜员证书就 可以发布到所述认证信息数据1512,或者换句话来说,所述认证信息数据库 1512可以从CA证书认证中心1720下载新的柜员证书,或者下载废除或停 用的柜员证书。所述认证信息数据库1512可以为多种数据库,例如SQL数据库、具有 X.500目录访问协议的数据库等,优选情况下,所述认证信息数据1512为具 有轻量级目录访问协议(LDAP)的服务器,这里简称为LDAP服务器。所 述LDAP简化了笨重的X.500目录访问协议,并且在功能性、数据表示、编 码以及传输方面做了改进,对于存储需要从不同地点读取,但不需要经常更 新的信息最为有效。具体的运行过程为,当所述CA证书认证中心1720中 有柜员证书更新时(新增、停用或废除),该CA证书认证中心1720将更新 的柜员证书目录发布到所述LDAP服务器1512中,所述认证服务器1511利 用LDAP协议从该LDAP服务器1512中下载更新的证书,并利用下载的更 新的证书对新柜员(新增、停用或废除)进行认证。如图10所示,本发明提供的数据密押交易系统进一步包括人员管理中 心1800,该人员管理中心1800与所述密钥和证书生成中心1700连接,具体 来说是与所述密钥和证书生成中心1700中的CA证书认证中心1720连接, 从该CA证书认证中心获取柜员证书,用于对柜员证书进行管理和/或对柜员 信息存储装置(例如IC卡)进行管理。根据本发明优选实施方式,如图10所示,所述人员管理中心1800包括 人员管理数据库1810以及管理服务器1820,所述管理服务器1820用于管理 柜员证书和/或卡片,并将柜员证书信息和/或卡片信息存储在人员管理数据 库1810中。根据本发明,所述管理服务器1820包括证书管理系统1821禾口/ 或卡片管理系统1822,所述证书管理系统1821向所述密钥和证书生成中心 1700,具体来说是向密钥和证书生成中心1700中的CA证书认证中心1720 申请、废除、停用证书,审核该证书,并将证书信息存储在人员管理数据库 1810中。所述卡片管理系统1822用于管理柜员信息存储装置1000 (例如IC 卡)的调入、调出、査询、统计及废除,并将柜员信息存储装置的信息(例 如卡号、使用该卡的柜员信息等)存储在人员管理数据库1810中。例如,当需要新增一个密押员的时候,证书管理系统1821向密钥和证 书生成中心1700申请发放该密押员的柜员证书,密钥和证书生成中心1700 接到该请求时,首先在密钥管理中心1710生成一对密钥,然后将生成的密 钥发送给CA证书认证中心1720进行认证,产生柜员证书,该证书中包含 密押员的个人信息以及该CA证书认证中心1720的签名等内容。生成的柜 员证书发送到所述人员管理中心1800,根据生成的证书制作柜员信息存储装 置IOOO,也就是制作供柜员(密押员)使用的IC卡,由于每个IC卡都有对 应的卡号或者识别号,因此利用卡片管理系统1822能够对该IC卡进行更好 的管理。另一方面,在所述CA证书认证中心1720生成的柜员证书发布到 所述的LDAP服务器中,从而柜员(密押员)可以实现前述的认证。与此类 似,当需要废除或停用某张卡片的时候,证书管理系统1821向CA证书认 证中心1720请求废除或停用该卡片,也就时废除该卡片对应的柜员证书, 此时CA证书认证中心1720将该证书废除或停用,并将信息反馈给证书管 理系统1821,这样在所述人员管理中心1800中,会记录该证书和卡片已经
废除或停用,同样,数字证书被废除的信息也发布到所述的LDAP服务器。 根据本发明优选实施方式,如图10所示,所述人员管理中心1S00进一 步包括管理员终端1880和管理员信息存储装置(未示出),所述管理员信息 存储装置用于存储银行管理员证书,所述管理员终端1880用于接收总行管 理员的输入,读取存储于所述管理员信息存储装置中的管理员证书,并接受 所述人员管理中心的管理。这里所说的管理,包括管理员终端通过所述人员 管理中心进行管理员认证、上下管理级之间的信息交互以及上级对下级管理 员的授权等等。总行管理员可以通过该总行管理员终端输入下级管理员(或 柜员)的信息,并且通过该终端向管理服务器1820为下级柜员设定一定得 权限。此外,这里所述的管理员证书实际也是一种柜员证书,只是使用的人 权限和职责全密押员不一样而己,其与前文中的柜员证书有相同的格式,并 且都是由所述CA证书认证中心1720生成的。因此,所述人员管理中心1800 也可以从CA证书认证中心1720获取所述的管理员证书并利用该证书对管 理员作出认证。认证过程与前文中描述的一致,这里将不再详述。所述管理员终端1880可以是多个,包括总行管理员终端、 一级分行管 理终端、二级分行管理终端等,每个终端设置于不同级别的银行,例如总行 管理员终端设置于总行运行中心,而一级、二级分行管理终端设置于一级、 二级分行运行中心,例如省级分行或直辖市分行,而前述的柜员终端位于各 营业网点。终端的多少根据各银行管理层次的多少而定,这里将不再详述,。 所述管理员信息存储装置也可以是多个,根据管理员的权限,该信息存储装 置也可以分为总行管理员信息存储装置、 一级分行管理员信息存储装置、二 级分行管理员信息存储装置等。银行的管理人员可以根据各自的权限对权限 内的数字证书的申请、作废等作出管理。这些管理员信息存储装置可以为多 种类别,优选为IC卡。根据本发明优选实施方式,所述管理服务器1820进一步包括安全网关1823,所述安全网关1823用于管理员终端1880接入所述管理服务器1820 时的安全认证,提供数据安全保密通道,防止证书管理系统1821和/或卡片 管理系统1822与管理员终端1880之间进行通信时通信数据被窃听。根据本发明的优选实施方式,如图10所示,所述管理服务器1S20进一 步包括审计系统1824,用于证书管理系统182K卡片管理系统1822以及安 全网关1823的日志管理,提供日志审计服务。例如,可以对个系统的故障、 故障时间、非法操作、蓄意破坏等历史情况作出记录并供技术人员对各种记 录进行追溯,有助于保证系统的安全运行和故障维护。优选情况下,如图10所示,所述CA证书认证中心1720向所述LDAP 服务器发布管理员证书,所述人员管理中心1800通过LDAP协议从该LDAP 服务器下载管理员证书和柜员证书。这种下载可以经过安全网关1823的安 全认证,也可以直接下载到所述的证书管理系统1821。这种利用LDAP协 议下载证书的方法可以减轻CA证书认证中心1720的负担,有利于系统性 能的提高。根据本发明,各交易终端1100和1300位于各营业网点,前置机1400、 一级、二级管理员终端位于一级、二级分行,而安全认证和核押中心1500、 业务系统主机1600、密钥和证书生成中心1700、人员管理中心(除一级、 二级管理员终端外)位于总行运行中心,这样全国的各级银行机构就可以实 现安全有效的管理。下面就图10所提供的系统框图对发卡、制卡以及卡片、柜员管理等过 程进行详细描述。如图11所示,各级卡申请和管理如下(1)总行管理部门将负责总行 管理的总行管理员的信息发送给总行运行中心(即通过管理服务器1820), 并向总行运行中心申请发放总行管理员卡,总行运行中心在确认信息无误 后,产生总行管理员证书,并将生成的总行管理员证书存放在总行管理员IC 卡中,登记各种信息(包括在管理服务器1820中登记证书信息、IC卡信息 和向LDAP服务器发布信息等),并发放总行管理员IC卡;(2)—级分行管 理部门(省级分行)向总行管理部门申请发放省级管理员IC卡,并提供新 增或变更的IC卡的相关资料;(3)总行管理部门接收到申请信息并核对无 误后进行制卡,并通过总行管理员终端向总行运行中心发送信息,为一级分 行管理员IC卡授予一定的权限,并发放一级管理员IC卡;(4) 二级分行管 理部门向一级分行管理部门申请二级管理员IC卡,并提供新增或变更的IC 卡的相关资料;(5) —级分行管理部门收到二级分行申请信息并核对无误后 进行制卡,并通过一级分行管理员终端(省级管理员终端)向总行运行中心 发送信息,为二级分行管理员IC卡授予一定的权限,并发放二级管理员IC 卡;(6)九级主管(通汇机构或县级支行)向二级分行管理部门申请柜员管 理员IC卡,并提供新增或变更的IC卡的相关资料;(7) 二级分行管理部门 收到通汇机构申请信息并核对无误后进行制卡,并通过二级管理员终端向总 行运行中心发送信息,授予通汇机构中密押员编押的权力,并发放密押员IC 卡。按照上述步骤制卡发卡之后,各级银行将只有特定的权限,而且每次行 使权限都会被系统记录下来,从而能够大大提高银行系统的安全性和交易的 安全性。通常情况下,制卡造作需要由两个操作员(信息录入员和审核员)完成, 单独一个操作员无法完成制卡操作。具体由谁录入、制卡,谁审核,是由上 级管理员授权的。制卡过程如下,信息录入员录入信息,然后提交审核员进 行审核,如果审核通过,则进行制卡并授权,如果不能通过审核,则拒绝制卡。本发明提供一种数据密押交易方法,如图12所示,该方法包括步骤 步骤SIOOO,读取柜员证书和柜员私钥,接收输入的交易数据;步骤SllOO, 接收在步骤S1000读取的柜员证书,根据接收到的柜员证书对柜员身份进行 核对,当柜员身份核对成功时,则执行步骤S1200,当柜员身份核对失败时, 则结束;步骤S1200,接收在步骤S1100的核对结果完成柜员认证,将认证结果进行反馈以完成柜员签到并允许执行步骤si30o;步骤snoo,接收在步骤S1000输入的交易数据并对该交易数据进行编押,产生编押数据;步骤S1400,接收在步骤S1300生成的编押数据,对该编押数据进行核押,如果 核押成功,则执行步骤S1500,如果核押失败,则结束;步骤S1500,根据 交易数据进行帐务处理,生成帐务信息;S1600接收在步骤S1500生成的帐务信息。对柜员身份进行核对是指根据接收到的柜员证书,在预先存储的柜员证 书目录中搜索与该柜员证书对应的柜员证书。具体来说,本发明提供的全认 证和核押中心1500包括认证系统1510,该认证系统1510包括认证服务器 1511和认证信息数据库1512,所述认证信息数据库1512用于存储柜员证书 目录,该柜员证书目录包括有效证书列表,所述认证服务器1511用于通过 所述前置机1400接收柜员证书,并在认证信息数据库1512中存储的柜员证 书目录中搜索对应的柜员证书,如果在所述有效证书列表中搜索到对应的柜 员证书,则柜员身份核对成功,如果没有在所述有效证书列表中搜索到对应 的柜员证书,则柜员身份核对失败。优选情况下,所述柜员证书目录所述柜员证书目录进一步包括证书停用 列表和/或证书废除列表(CRL),如果认证服务器1511在所述证书停用列表 和/或证书废除列表(CRL)搜索到对应的柜员证书,则所述认证服务器1511 认为接收到的柜员证书停用或已经废除,柜员身份核对失败。优选情况下,所述柜员证书目录通过LDAP协议下载。当柜员身份核对成功后,则将核对成功的信息发送给业务系统主机 1600,该业务系统主机对柜员作出认证并通过前置机反馈给往帐交易终端1100,从而完成柜员签到,此时允许编押单元1200对交易数据进行编押优选情况下,如图13所示,所述产生编押数据的过程S1300包括步骤 步骤S1310,接收从所述往帐交易终端IIOO输入的交易数据;步骤S1320, 利用摘要算法对交易数据进行摘要,生成交易数据摘要;步骤S1330,调用 柜员信息存储装置1000中的柜员私钥并利用该柜员私钥对生成的交易数据 摘要进行加密,生成编押数据。优选情况下,所述摘要算法为Hash算法。优选情况下,如图13所示,所述步骤S1300进一步包括步骤S1340, 利用字符转换算法将生成的签名后交易数据摘要(编押数据)转换为可打印 密押并通过打印设备在票据上打印该可打印密押。在生成编押数据后,则在步骤S1400对生成的编押数据进行核押,如图 9所示,所述核押步骤S1400包括利用柜员证书中包含的柜员公钥对接收 到的编押数据(签名后交易数据摘要)进行解密,生成解密交易数据摘要; 将生成的解密交易数据摘要与所述交易数据摘要进行比对,如果二者一致, 则核押成功,如果二者不一致,则核押失败。当核押成功后,在步骤S1500,所述业务系统主机1600对交易数据进 行帐务处理,帐务处理包括转帐、汇兑等业务,生成帐务信息。当在步骤S1500进行帐务处理之后,在步骤S1600,来帐交易终端1300 接收生成的帐务信息,从而完成一次交易。优选情况下,如图14所示,所述步骤S1600进一步包括步骤S1610, 接收编押数据(或称为签名后交易数据摘要),步骤S1620,将该编押数据 转换为可识别字符;步骤S1630,将该可识别字符与步骤S1340生成的打印 在票据上的可打印密押进行比较,以确定密钥是否正确。按照上述步骤,就可完成一次交易中的柜员认证、数据编押及核押,提 高了交易数据传输过程的安全性。而且,利用本发明所进一步提供的人员管
理中心1800,可以对整个系统内的柜员、卡片等信息进行安全的、综合的、 实时的管理。本发明还提供一种柜员认证系统,如图15所示,该系统包括柜员信息存储装置1000、交易终端1100、前置机1400、安全认证中心1500以及业 务系统主机1600,其中,所述柜员信息存储装置1000用于存储柜员证书; 所述交易终端IIOO用于读取所述存储装置1000中存储的柜员证书,并从所 述前置机1400接收反馈信息;所述前置机1400用作交易终端1100与安全 认证中心1500、业务系统主机1600之间的中间件;所述安全认证中心1500 用于通过所述前置机1400接收来自于所述交易终端1100的柜员证书,根据 接收到的柜员证书对该柜员进行核对,如果柜员身份核对成功,则将核对结 果通过所述前置机1400发送到所述业务系统主机1600,如果柜员身份核对 失败,则通过前置机1400和所述交易终端IIOO通知用户核对失败信息并结 束;所述业务系统主机1600接收来自于所述安全认证中心1500的核对结果 并对柜员作出认证,将认证结果通过前置机1400反馈给所述往帐交易终端 IIOO完成柜员签到。优选情况下,所述柜员信息存储装置1000是IC卡。根据本发明的一个实施方式,所述交易终端1100包括计算机终端以及 与计算机连接的柜员信息读取装置,所述柜员信息读取装置用于读取柜员信 息存储装置1000例如IC卡中存储的柜员证书,所述计算机终端用于接收由 所述柜员信息读取装置读取的柜员证书。根据本发明的另一实施方式,所述往帐交易终端IIOO为包括柜员终端、 终端服务器及柜员信息读取装置的小型局域网,所述交易员终端、密押员终 端以及柜员信息读取装置与该终端服务器连接。对于本领域技术人员来说, 这种网络是很容易实现的,因此这里将不再详述。所述安全认证中心1500包括认证系统1510,所述认证系统1510用于通 过所述前置机1400接收柜员证书并根据接收到的柜员证书对柜员身份进行 核对,如果柜员身份核对成功,则将核对结果通过所述前置机1400发送到 所述业务系统主机1600;如果柜员身份核对失败,则通过前置机1400通知 柜员身份核对失败并结束。根据本发明,对柜员身份进行核对是指根据接收到的柜员证书,在预先 存储的柜员证书目录中搜索与该柜员证书对应的柜员证书。具体来说,如图 16所示,所述认证系统1510包括认证服务器1511和认证信息数据库1512, 所述认证信息数据库1512用于存储柜员证书目录,该柜员证书目录包括有 效证书列表,所述认证服务器1511用于通过所述前置机1400接收柜员证书, 并在认证信息数据库1512中存储的柜员证书目录中搜索对应的柜员证书, 如果在所述有效证书列表中搜索到对应的柜员证书,则柜员身份核对成功, 如果没有在所述有效证书列表中搜索到对应的柜员证书,则柜员身份核对失 败。优选情况下,所述柜员证书目录进一步包括证书停用列表和/或证书废 除列表(CRL),如果认证服务器1511在所述证书停用列表和/或证书废除列 表(CRL)搜索到对应的柜员证书,则所述认证服务器1511认为接收到的 柜员证书停用或已经废除,柜员身份核对失败。根据本发明,所述业务系统主机1600在所述安全认证中心1500通过对 柜员的认证后,将认证成功的信息通过所述前置机1400反馈给往帐交易终 端,并记录柜员的姓名、职位、所述银行等信息,从而完成柜员的签到。如图16所示,优选情况下,本发明提供的柜员认证系统进一步包括密 钥和证书生成中心1700,用于生成包括柜员公钥和柜员私钥的密钥对,产生 柜员证书,并向所述安全认证中心1500发布产生的柜员证书。 一方面,所 述柜员信息存储装置1000中存储的柜员私钥和柜员证书可以来自于所述密 钥和证书生成中心1700,另一方面,由于在认证系统1510中对柜员证书进 行认证时需要存储与该证书对应的柜员证书,因此认证系统1510中存储的 柜员证书也可以来自于所述密钥和证书生成中心1700。根据本发明,如图16所示,所述密钥和证书生成中心1700包括密钥管 理中心1710和CA证书认证中心1720,所述密钥管理中心1710用于产生、 保存、使用、备份、恢复、销毁包括柜员公钥和柜员私钥的密钥对,所述 CA证书认证中心1720用于从该密钥生成中心1720接收产生的密钥对,根 据该密钥对实现柜员证书的生成/签发、柜员证书撤销列表生成/签发,并将 柜员证书发布到所述认证系统1510,具体来说是发布到所述认证系统1510 的认证信息数据库1512。优选情况下,所述认证信息数据1512为具有轻量级目录访问协议 (LDAP)的数据库,这里简称为LDAP服务器。如图16所示,本发明提供的柜员认证系统进一步包括人员管理中心 1800,该人员管理中心1800与所述密钥和证书生成中心1700连接,具体来 说是与所述密钥和证书生成中心1700中的CA证书认证中心1720连接,用 于对柜员证书进行管理和/或对柜员信息存储装置(例如IC卡)进行管理。根据本发明优选实施方式,如图16所示,所述人员管理中心1800包括 人员管理数据库1810以及管理服务器1820,所述管理服务器1820用于管理 证书和/或卡片,并将证书信息和/或卡片信息存储在人员管理数据库1810 中。根据本发明,所述管理服务器1820包括证书管理系统1821和/或卡片管 理系统1822,所述证书管理系统1821向所述密钥和证书生成中心1700,具 体来说是向密钥和证书生成中心1700中的CA证书认证中心1720申请、废 除、停用证书,审核该证书,并将证书信息存储在人员管理数据库1810屮。 所述卡片管理系统1822用于管理柜员信息存储装置1000 (例如IC卡)的调 入、调出、査询、统计及废除,并将柜员信息存储装置的信息(例如卡号、 使用该卡的柜员标识信息等)存储在人员管理数据库1810中。
根据本发明优选实施方式,如图16所示,所述人员管理中心1S00进一 步包括管理员终端1880和管理员信息存储装置(未示出),所述管理员信息 存储装置用于存储银行管理员证书,所述管理员终端1880用于接收总行管 理员的输入,读取存储于所述管理员信息存储装置中的管理员证书,并通过 所述人员管理中心1800对管理员作出认证。所述管理员终端1880可以是多个,包括总行管理员终端、 一级分行管 理终端、二级分行管理终端等。所述管理员信息存储装置也可以是多个,根 据管理员的权限,该信息存储装置也可以分为总行管理员信息存储装置、一 级分行管理员信息存储装置、二级分行管理员信息存储装置等。根据本发明优选实施方式,所述管理服务器1820进一步包括安全网关 1823,所述安全网关1823用于管理员终端1880接入所述管理服务器1820 时的安全认证,提供数据安全保密通道,防止证书管理系统1821和/或卡片 管理系统1822与管理员终端1880之间进行通信时通信数据被窃听。根据本发明的优选实施方式,如图16所示,所述管理服务器1820进一 步包括审计系统1824,用于证书管理系统1821、卡片管理系统1822以及安 全网关1823的日志管理,提供日志审计服务。优选情况下,如图16所示,所述CA证书认证中心1720向所述LDAP 服务器发布管理员证书,所述人员管理中心1800通过LDAP协议从该LDAP 服务器下载管理员证书和柜员证书。本发明还提供一种柜员认证方法,如图17所示,该方法包括步骤 SIOOO,读取柜员证书;步骤SllOO,接收在步骤S1000读取的柜员证书, 根据接收到的柜员证书对柜员身份进行核对,当柜员身份核对成功时,则执 行步骤S1200,当柜员身份核对失败时,则结束;步骤S1200,接收在步骤 S1100的核对结果完成柜员认证,将认证结果进行反馈以完成柜员签到。根据本发明,对柜员身份进行核对是指根据接收到的柜员证书,在预先存储的柜员证书目录中搜索与该柜员证书对应的柜员证书。根据本发明,所述柜员证书目录包括有效证书列表,如果在所述有效证 书列表中搜索到对应的柜员证书,则柜员身份核对成功,如果没有在所述有 效证书列表中搜索到对应的柜员证书,则柜员身份核对失败。优选情况下,所述柜员证书目录所述柜员证书目录进一步包括证书停用列表和/或证书废除列表(CRL),如果认证服务器1511在所述证书停用列表 和/或证书废除列表(CRL)搜索到对应的柜员证书,则所述认证服务器1511 认为接收到的柜员证书停用或已经废除,柜员身份核对失败。优选情况下,所述柜员证书目录通过LDAP协议下载。本发明还提供一种跨中心交易系统,如图18所示,该跨中心交易系统 包括往帐数据密押交易系统100、来帐数据密押交易系统200和总行交换 中心300,其中,所述往帐数据密押交易系统100和来帐数据密押交易系统 200是上述的数据密押交易系统,所述往帐数据密押交易系统IOO用于对柜 员进行认证,认证成功时对交易数据进行编押产生编押数据,并根据交易数 据进行帐务处理;所述总行交换中心300用于通过所述往帐数据密押交易系 统100中的前置机接收所述交易数据、编押数据和往帐数据密押交易系统 IOO中的柜员证书,并将接收到的交易数据、编押数据以及柜员证书传送到 所述来帐数据密押交易系统200中的前置机;所述来帐数据密押交易系统 200用于根据接收到的柜员证书对所述编押数据进行核押,当核押成功时, 根据接收到的交易数据进行帐务处理。上述的跨中心交易系统用于省际之间的帐务交换。以分别位于A省和B 省的两个银行为例,假设A省银行为往帐行,B省银行为来帐行。如图19所示,开始交易时,A省银行的柜员将其IC卡插入柜员交易终 端的读卡器并输入交易数据,在按照前述过程对柜员进行认证和签到之后, 对输入的交易数据进行编押,并在A省的业务系统主机根据交易数据处理帐
务。然后,通过A省的前置机A将密钥数据附在交易数据后发送给B省银 行,B省银行首先对接收到的编押数据进行核押,无误后在B上银行的业务 系统主机处理交易数据。B省对编押数据进行核押有两种方式, 一种为自动核押,即B省的前置 机接收到来自于A省的编押数据后,自动在B省的安全认证和核押中心对 密押数据进行核押,核押无误后交B省的业务系统主机进行帐务处理;另一 种为人工核押,即B省的柜员收到来帐信息后,插入IC卡,经过认证签到 后输入要核押的信息,并通过B省前置机发送到B省业务系统主机,然后 进行核押及帐务处理。在上述的过程中,在往帐数据密押交易系统100中并未对在该系统100 内编押的数据进行核押,这样可以减少对安全认证和核押中心的调用次数, 提高交易速度。优选情况下,所述往帐数据密押交易系统100进一步用于对 编押数据进行核押。这样,可以在往帐行系统内对编押数据进行核押,如果 出现错误,则本往帐行可很快获知,而无须在来帐行核押不正确后才得知结 果。优选情况下,如图19所示,所述往帐数据密押交易系统IOO和来帐数 据密押交易系统200各自的安全认证和核押中心可以为一个共享的服务器。 即共享的服务器建立在总行运行中心,各省级银行通过远程连接接入该共享 的服务器。所述述往帐数据密押交易系统100和来帐数据密押交易系统200各自的 业务系统主机(ABIS1和ABIS2)可以是物理分离的,即位于各省级银行中 心,也可以是一个位于总行运行中心的业务系统主机,各省级银行通过远程 连接接入该位于总行运行中心的业务系统主机进行帐务处理,从而使统一管 理更加方便。下面结合图20和图21对银行中的汇兑业务和汇票业务进行详细描述, 以使本领域技术人员能够更好地理解本发明。图20是银行中汇兑及解付业务的流程图。如图20所示,在汇兑流程中, 首先由交易员录入汇兑信息,密押员插入存储有其证书的IC卡,然后系统 对密押员的身份进行认证,认证通过后,密押员在业务系统主机(ABIS)中 签到;接下来密押员对交易员输入的汇兑信息进行复核,复核无误后密押员 提交交易;接下来,编押单元自动对提交的交易数据进行签名,然后交易数 据及其签名被提交到安全认证和核押中心进行核押处理即验证密押,当核押 通过时,在往帐行的ABIS进行帐务处理。解付时,来帐行的AIPS将接收到的交易数据发送给安全认证和核押中 心进行核押处理,当核押处理通过时,最后来帐行的ABIS进行帐务处理。图21是银行中汇票及兑付业务的流程图。如图21所示,在汇票业务中, 首先由交易员录入汇票信息,密押员插入存储有其证书的IC卡,然后系统 对密押员的身份进行认证,认证通过后,密押员在业务系统主机(ABIS)中 签到;接下来密押员对交易员输入的汇票信息进行复核,复核无误后密押员 提交交易;接下来,编押单元自动对提交的交易数据进行签名,然后交易数 据及其签名被提交到安全认证和核押中心进行核押处理即验证密押,当核押 通过时,安全认证和核押中心记录交易流水,并在往帐行的ABIS进行帐务 处理,最后打印汇票密押供来帐行核对。在兑付时,来帐行的柜员接收汇票,然后将接收到的汇票录入系统,来 帐行的AIPS将汇票号及票面密押发送至安全认证和核押中心,安全认证和 核押中心检索交易流水以验证密押,核押通过后,柜员再复核交易要素,最 后来帐行的ABIS进行帐务处理。
权利要求
1. 一种数据密押交易系统,该系统包括柜员信息存储装置、往帐交易 终端、编押单元、来帐交易终端、前置机、安全认证和核押中心、以及业务 系统主机,其中,所述柜员信息存储装置用于存储柜员私钥和柜员证书,该柜员证书包括 柜员标识信息、柜员公钥和证书序列号;所述往帐交易终端用于读取所述柜员信息存储装置中存储的柜员证书 和柜员私钥,接收输入的交易数据,并从所述前置机接收反馈信息;所述编押单元用于接收从往帐交易终端输入的交易数据并对该交易数 据进行编押,经中间数据后产生编押数据;所述前置机用作往帐交易终端、编押单元与安全认证和核押中心、来帐 交易终端以及业务系统主机之间的中间件;所述安全认证和核押中心用于通过所述前置机接收来自于所述往帐交 易终端的柜员证书和输入的交易数据,根据接收到的柜员证书对柜员身份进 行核对,当柜员身份核对成功时,将核对结果通过所述前置机发送到所述业 务系统主机,通过所述前置机接收所述编押单元生成的编押数据,对所述编 押数据进行核押,如果核押成功,则发送交易数据到业务系统主机进行帐务 处理,如果核押失败,则通过前置机和往帐交易终端通知柜员核押失败并结 束;当柜员身份核对失败时,则通过前置机和所述往帐交易终端通知柜员身 份核对失败并结束;所述业务系统主机用于接收来自于所述安全认证和核押中心的核对结 果并对柜员作出认证,将认证结果通过前置机反馈给所述往帐交易终端完成 柜员签到并允许所述编押单元对交易数据进行编押,接收交易数据,根据接 收到的交易数据处理银行帐务,生成帐务信息;所述来帐交易终端用于通过所述前置机接收所述业务系统主机生成的 帐务信息。
2. 根据权利要求1所述的数据密押交易系统,其中,所述柜员信息存储装置为IC卡。
3. 根据权利要求1所述的数据密押交易系统,其中,往帐交易终端包括 计算机终端以及与计算机连接的柜员信息读取装置,所述柜员信息读取装置 用于读取柜员信息存储装置存储的柜员证书和柜员私钥,所述计算机终端用 于接收由所述柜员信息读取装置读取的柜员证书和柜员私钥,并用于输入交 易数据和接收反馈信息。
4. 根据权利要求1所述的数据密押交易系统,其中,所述往帐交易终端 为包括交易员终端、密押员终端、终端服务器及柜员信息读取装置的局域网, 所述交易员终端、密押员终端以及柜员信息读取装置与该终端服务器连接。
5. 根据权利要求3或4所述的数据密押交易系统,其中,所述往帐交易 终端进一步包括打印设备。
6. 根据权利要求1所述的数据密押交易系统,其中,所述编押单元是运 行在所述往帐交易终端的软件模块。
7. 根据权利要求1或6所述的数据密押交易系统,其中,所述编押单元 包括交易数据接收模块、摘要生成模块以及柜员签名模块,所述交易数据接 收模块用于从所述往帐交易终端接收交易数据,所述摘要生成模块用于利用 摘要算法对交易数据进行摘要以生成交易数据摘要,所述柜员签名模块调用 柜员信息存储装置中的柜员私钥并利用该柜员私钥对生成的交易数据摘要 进行加密,生成编押数据。
8. 根据权利要求7所述的数据密押交易系统,其中,所述摘要算法是 Hash算法。
9. 根据权利要求7所述的数据密押交易系统,其中,所述编押单元进一 步包括字符转换模块,用于将所述柜员签名模块生成的编押数据转换为可打 印密押。
10. 根据权利要求1所述的数据密押交易系统,其中,所述前置机是运 行有综合应用服务前置系统的服务器。
11. 根据权利要求1所述的数据密押交易系统,其中,所述安全认证和 核押中心包括认证系统和核押系统,所述认证系统用于通过所述前置机接收 柜员证书并根据接收到的柜员证书对柜员身份进行核对;所述核押系统用于 根据接收到的交易数据和柜员证书对编押进行核押。
12. 根据权利要求11所述的数据密押交易系统,其中,所述认证系统包 括认证服务器和认证信息数据库,所述认证信息数据库用于存储柜员证书目 录,该柜员证书目录包括有效证书列表,所述认证服务器用于通过所述前置 机接收柜员证书,并在认证信息数据库中存储的柜员证书目录中搜索对应的 柜员证书,如果在所述有效证书列表中搜索到对应的柜员证书,则柜员身份 核对成功,如果没有在所述有效证书列表中搜索到对应的柜员证书,则柜员 身份核对失败。
13. 根据权利要求12所述的数据密押交易系统,其中,所述柜员证书目 录进一步包括证书停用列表和/或证书废除列表,如果认证服务器在所述证书 停用列表和/或证书废除列表搜索到对应的柜员证书,则所述认证服务器认为接收到的柜员证书已经停用或已经废除,柜员身份核对失败。
14. 根据权利要求ll所述的数据密押交易系统,其中,所述核押系统包 括核押服务器和票据核押流水数据库,所述票据核押流水数据库用于存储所 述中间数据、编押数据及柜员证书中包括的柜员标识信息和证书序列号;所 述核押服务器用于根据接收到的柜员证书中包含的柜员公钥,对该数据库中 存储的编押数据进行核押。
15. 根据权利要求14所述的数据密押交易系统,其中,所述中间数据为 交易数据摘要。
16. 根据权利要求14所述的数据密押交易系统,其中,所述的核押是指 核押服务器利用柜员公钥对票据核押流水数据库中存储的编押数据进行解 密,生成解密交易数据摘要,然后将生成的解密交易数据摘要与票据核押流 水数据库中存储的交易数据摘要进行比对,如果二者一致,则核押成功,如 果二者不一致,则核押失败。
17. 根据权利要求1所述的数据密押交易系统,其中,所述来帐交易终 端包括字符转换模块用于通过所述前置机接收所述编押数据,并将接收到的 编押数据转换为可识别字符。
18. 根据权利要求1所述的数据密押交易系统,其中,该数据密押交易 系统进一步包括密钥和证书生成中心,用于生成包括柜员公钥和柜员私钥的 密钥对,产生柜员证书,并向所述安全认证和核押中心发布产生的柜员证书。
19. 根据权利要求12所述的数据密押交易系统,其中,所述数据密押交易系统进一步包括密钥和证书生成中心,用于生成包括柜员公钥和柜员私钥 的密钥对,产生柜员证书,并向所述认证信息数据库发布产生的柜员证书。
20. 根据权利要求19所述的数据密押交易系统,其中,所述密钥和证书 生成中心包括密钥管理中心和CA证书认证中心,所述密钥管理中心用于产 生、保存、使用、备份、恢复、销毁包括柜员公钥和柜员私钥的密钥对,所 述CA证书认证中心用于从该密钥生成中心接收产生的密钥对,根据该密钥 对实现柜员证书的生成/签发、柜员证书撤销列表生成/签发,并将柜员证书 发布到所述认证信息数据库。
21. 根据权利要求20所述的数据密押交易系统,其中,所述认证信息数 据库为具有轻量级目录访问协议的服务器。
22. 根据权利要求1所述的数据密押交易系统,其中,该数据密押交易 系统进一步包括人员管理中心,该人员管理中心与所述密钥和证书生成中心 连接,从该CA证书认证中心获取柜员证书,并对柜员证书进行管理和/或对 柜员信息存储装置进行管理。
23. 根据权利要求21所述的数据密押交易系统,其中,该数据密押交易 系统进一步包括人员管理中心,该人员管理中心与所述CA证书认证中心连 接,从该CA证书认证中心获取柜员证书,并对柜员证书进行管理和/或对柜 员信息存储装置进行管理。
24. 根据权利要求23所述的数据密押交易系统,其中,所述人员管理中 心包括人员管理数据库以及管理服务器,所述管理服务器用于管理柜员证书 和/或卡片,并将柜员证书信息和/或卡片信息存储在人员管理数据库中。
25. 根据权利要求24所述的数据密押交易系统,其中,所述管理服务器 包括证书管理系统和/或卡片管理系统,所述证书管理系统向所述CA证书认 证中心申请、废除、停用证书,审核该证书,并将证书信息存储在人员管理 数据库中;所述卡片管理系统用于管理柜员信息存储装置的调入、调出、査 询、统计及废除,并将柜员信息存储装置的信息。
26. 根据权利要求24所述的柜员密押交易系统,其中,所述人员管理中 心进一步包括管理员终端和管理员信息存储装置,所述管理员信息存储装置 用于存储银行管理员证书,所述管理员终端用于接收总行管理员的输入,读 取存储于所述管理员信息存储装置中的管理员证书,并接受所述管理服务器 的管理。
27. 根据权利要求26所述的柜员密押交易系统,其中,所述人员管理中 心进一步包括安全网关,用于管理员终端接入所述管理服务器时的安全认 证,提供数据安全保密通道,防止证书管理系统和/或卡片管理系统与管理员 终端之间进行通信时通信数据被窃听。
28. 根据权利要求27所述的柜员密押交易系统,其中,所述管理服务器 进一步包括审计系统,用于证书管理系统、卡片管理系统以及安全网关的日 志管理,提供日志审计服务。
29. 根据权利要求23所述的柜员密押交易系统,其中,所述人员管理中 心通过轻量级目录访问协议从运行有轻量级目录访问协议的服务器下载柜 员证书。
30. —种数据密押交易方法,该方法包括 步骤a)读取包含柜员公钥的柜员证书和柜员私钥,接收输入的交易数据;步骤b)接收在步骤a)读取的柜员证书,根据接收到的柜员证书对柜 员身份进行核对,当柜员身份核对成功时,则执行步骤c),当柜员身份核对 失败时,则结束;步骤c),接收在步骤b)的核对结果完成柜员认证,将认证结果进行反 馈以完成柜员签到并允许执行步骤d);步骤d),接收在步骤a)输入的交易数据并对该交易数据进行编押,经 中间数据后产生编押数据;步骤e)接收在步骤d)生成的编押数据,对该编押数据进行核押,如 果核押成功,则执行步骤f),如果核押失败,则结束;步骤f),根据交易数据进行帐务处理,生成帐务信息;步骤g),接收在步骤f)生成的帐务信息。
31. 根据权利要求30所述的数据密押交易方法,其中,对柜员身份进行 核对是指根据接收到的柜员证书,在预先存储的柜员证书目录中搜索与该柜 员证书对应的柜员证书,该柜员证书目录包括有效证书列表,如果在所述有 效证书列表中搜索到对应的柜员证书,则柜员身份核对成功,如果没有在所 述有效证书列表中搜索到对应的柜员证书,则柜员身份核对失败。
32. 根据权利要求31所述的数据密押交易方法,其中,所述柜员证书目 录进一步包括证书停用列表和/或证书废除列表,如果在所述证书停用列表和 /或证书废除列表搜索到对应的柜员证书,则所述认为接收到的柜员证书已经 停用或已经废除,柜员身份核对失败。
33. 根据权利要求31或32所述的数据密押交易方法,其中,所述柜员 证书目录通过轻量级目录访问协议下载。
34. 根据权利要求30所述的数据密押交易方法,其中,所述步骤d)包括dl),接收输入的交易数据;d2),利用摘要算法对交易数据进行摘要,生成交易数据摘要;d3),调用柜员私钥并利用该柜员私钥对生成的交易数据摘要进行加密,生成编押数据。
35. 根据权利要求34所述的数据密押交易方法,其中,所述摘要算法为 Hash算法。
36. 根据权利要求34或35所述的数据密押交易方法,其中,所述步骤 d)进一步包括d4),利用字符转换算法将生成的编押数据转换为可打印密押并在票据 上打印该可打印密押。
37. 根据权利要求30所述的数据密押交易方法,其中,所述步骤e)包括el),利用柜员证书中包含的柜员公钥对接收到的编押数据进行解密, 生成解密交易数据摘要;e2),将生成的解密交易数据摘要与所述中间数据进行比对,如果二者 一致,则核押成功,如果二者不一致,则核押失败。
38. 根据权利要求37所述的数据密押交易方法,其中,所述中间数据为交易数据摘要。
39. 根据权利要求30所述的数据密押交易方法,其中,所述步骤g)进一步包括gl),接收编押数据;g2),将该编押数据转换为可识别字符;
40. 根据权利要求36所述的数据密押交易方法,其中,所述步骤g)进 一步包括gl),接收编押数据;g2),将该编押数据转换为可识别字符;g3),将该可识别字符与生成的打印在票据上的可打印密押进行比较, 以确定密钥是否正确。
41. -一种柜员认证系统,该系统包括柜员信息存储装置、交易终端、前置机、安全认证中心以及业务系统主机,其中,所述柜员信息存储装置用于存储柜员证书,该柜员证书包括柜员公钥; 所述交易终端用于读取所述存储装置中存储的柜员证书,并从所述前置 机接收反馈信息;所述前置机用作交易终端与安全认证中心、业务系统主机之间的中间件;所述安全认证中心用于通过所述前置机接收来自于所述交易终端的柜 员证书,根据接收到的柜员证书对该柜员进行核对,如果柜员身份核对成功, 则将核对结果通过所述前置机发送到所述业务系统主机,如果柜员身份核对 失败,则通过前置机和所述交易终端通知用户核对失败信息并结束; 所述业务系统主机接收来自于所述安全认证中心的核对结果并对柜员 作出认证,将认证结果通过前置机反馈给所述往帐交易终端完成柜员签到。
42. 根据权利要求41所述的柜员认证系统,其中,所述柜员信息存储装 置为IC卡。
43. 根据权利要求41所述的柜员认证系统,其中,所述交易终端包括计 算机终端以及与计算机连接的柜员信息读取装置,所述柜员信息读取装置用 于读取柜员信息存储装置中存储的柜员证书,所述计算机终端用于接收由所 述柜员信息读取装置读取的柜员证书。
44. 根据权利要求41所述的柜员认证系统,其中,所述往帐交易终端为 包括柜员终端、终端服务器及柜员信息读取装置的局域网,所述交易员终端、 密押员终端以及柜员信息读取装置与该终端服务器连接。
45. 根据权利要求41所述的柜员认证系统,其中,所述安全认证中心包 括认证系统,所述认证系统用于通过所述前置机接收柜员证书并根据接收到 的柜员证书对柜员身份进行核对。
46. 根据权利要求45所述的柜员认证系统,其中所述认证系统包括认证 服务器和认证信息数据库,所述认证信息数据库用于存储柜员证书目录,该 柜员证书目录包括有效证书列表,所述认证服务器用于通过所述前置机接收 柜员证书,并在认证信息数据库中存储的柜员证书目录中搜索对应的柜员证 书,如果在所述有效证书列表中搜索到对应的柜员证书,则柜员身份核对成 功,如果没有在所述有效证书列表中搜索到对应的柜员证书,则柜员身份核 对失败。
47. 根据权利要求46所述的柜员认证系统,其中,所述柜员证书目录进 一步包括证书停用列表和/或证书废除列表,如果认证服务器在所述证书停用 列表和/或证书废除列表搜索到对应的柜员证书,则所述认证服务器认为接收 到的柜员证书停用或已经废除,柜员身份核对失败。
48. 根据权利要求41所述的柜员认证系统,其中,该柜员认证系统进一 步包括密钥和证书生成中心,用于生成包括柜员公钥和柜员私钥的密钥对, 产生柜员证书,并向所述安全认证中心发布产生的柜员证书。
49. 根据权利要求46所述的柜员认证系统,其中,该柜员认证系统进一 步包括密钥和证书生成中心,用于生成包括柜员公钥和柜员私钥的密钥对, 产生柜员证书,并向所述认证信息数据库发布产生的柜员证书。
50. 根据权利要求49所述的柜员认证系统,其中,所述密钥和证书生成 中心包括密钥管理中心和CA证书认证中心,所述密钥管理中心用于产生、 保存、使用、备份、恢复、销毁包括柜员公钥和柜员私钥的密钥对,所述 CA证书认证中心用于从该密钥生成中心接收产生的密钥对,根据该密钥对 实现柜员证书的生成/签发、柜员证书撤销列表生成/签发,并将柜员证书发 布到所述认证信息数据库。
51. 根据权利要求50所述的柜员认证系统,其中,所述认证信息数据库 为具有轻量级目录访问协议的服务器。
52. 根据权利要求41所述的柜员认证系统,其中,该柜员认证系统进一 步包括人员管理中心,该人员管理中心与所述密钥和证书生成中心连接,从该CA证书认证中心获取柜员证书,并对柜员证书进行管理和/或对柜员信息存储装置进行管理。
53. 根据权利要求51所述的柜员认证系统,其中,该柜员认证系统进一 步包括人员管理中心,该人员管理中心与所述CA证书认证中心连接,从该 CA证书认证中心获取柜员证书,并对柜员证书进行管理和/或对柜员信息存 储装置进行管理。
54. 根据权利要求53所述的柜员认证系统,其中,所述人员管理中心包 括人员管理数据库以及管理服务器,所述管理服务器用于管理柜员证书和/ 或卡片,并将柜员证书信息和/或卡片信息存储在人员管理数据库中。
55. 根据权利要求54所述的柜员认证系统,其中,所述管理服务器包括 证书管理系统和/或卡片管理系统,所述证书管理系统向所述CA证书认证中 心申请、废除、停用证书,审核该证书,并将证书信息存储在人员管理数据 库中;所述卡片管理系统用于管理柜员信息存储装置的调入、调出、査询、 统计及废除,并将柜员信息存储装置的信息。
56. 根据权利要求54所述的柜员认证系统,其中,所述人员管理中心进 一步包括管理员终端和管理员信息存储装置,所述管理员信息存储装置用于 存储银行管理员证书,所述管理员终端用于接收总行管理员的输入,读取存 储于所述管理员信息存储装置中的管理员证书,并接受所述管理服务器的管 理。
57. 根据权利要求56所述的柜员认证系统,其中,所述人员管理中心进 一步包括安全网关,用于管理员终端接入所述管理服务器时的安全认证,提供数据安全保密通道,防止证书管理系统和/或卡片管理系统与管理员终端之 间进行通信时通信数据被窃听。
58. 根据权利要求57所述的柜员认证系统,其中,所述管理服务器进一 步包括审计系统,用于证书管理系统、卡片管理系统以及安全网关的日志管 理,提供日志审计服务。
59. 根据权利要求53所述的柜员认证系统,其中,所述人员管理中心通 过轻量级目录访问协议从运行有轻量级目录访问协议的服务器下载柜员证书。
60. —种柜员认证方法,该方法包括 步骤A),读取柜员证书;步骤B),接收在步骤A)读取的柜员证书,根据接收到的柜员证书对柜员身份进行核对,当柜员身份核对成功时,则执行步骤c),当柜员身份核对失败时,则结束;步骤C),接收在步骤B)的核对结果完成柜员认证,将认证结果进行 反馈以完成柜员签到。
61.根据权利要求60所述的柜员认证方法,其中,对柜员身份进行核对 是指根据接收到的柜员证书,在预先存储的柜员证书目录中搜索与该柜员证 书对应的柜员证书,该柜员证书目录包括有效证书列表,如果在所述有效证 书列表中搜索到对应的柜员证书,则柜员身份核对成功,如果没有在所述有 效证书列表中搜索到对应的柜员证书,则柜员身份核对失败。
62.根据权利要求61所述的柜员认证方法,其中,所述柜员证书目录进一步包括证书停用列表和/或证书废除列表,如果在所述证书停用列表和/或 证书废除列表中搜索到对应的柜员证书,则认为接收到的柜员证书已经停用 或已经废除,柜员身份核对失败。
63. 根据权利要求61或62所述的柜员认证方法,其中,,所述柜员证书 目录通过轻量级目录访问协议下载。
64. —种跨中心交易系统,该跨中心交易系统包括往帐数据密押交易 系统、来帐数据密押交易系统和总行交换中心,其中,所述往帐数据密押交 易系统和来帐数据密押交易系统是权利要求1-29中任意一项所述的数据密 押交易系统,所述往帐数据密押交易系统用于对柜员进行认证,认证成功时 对交易数据进行编押产生编押数据,并根据交易数据进行帐务处理;所述总 行交换中心用于通过所述往帐数据密押交易系统中的前置机接收所述交易 数据、编押数据和往帐数据密押交易系统中的柜员证书,并将接收到的交易 数据、编押数据以及柜员证书传送到所述来帐数据密押交易系统中的前置 机;所述来帐数据密押交易系统用于根据接收到的柜员证书对所述编押数据 进行核押,当核押成功时,根据接收到的交易数据进行帐务处理。
65. 根据权利要求64所述的跨中心交易系统,其中,所述往帐数据密押 交易系统进一步用于对编押数据进行核押。
66. 根据权利要求64所述的跨中心交易系统,其中,所述往帐数据密押 交易系统和来帐数据密押交易系统各自的安全认证和核押中心是共享的服 务器。
全文摘要
本发明公开了一种数据密押交易系统,该系统包括柜员信息存储装置、往帐交易终端、编押单元、来帐交易终端、前置机、安全认证和核押中心以及业务系统主机,该系统对柜员身份进行认证,如果认证通过,则对交易数据进行编押,编押后的交易数据在安全认证和核押中心进行核押,如果核押成功,则发送到来帐行进行处理。本发明所提供的数据密押交易系统能够提高银行交易的安全性和可靠性。
文档编号G06Q40/00GK101145233SQ20061012721
公开日2008年3月19日 申请日期2006年9月12日 优先权日2006年9月12日
发明者淜 仇, 刘欣桃, 叶又升, 军 吴, 周中华, 周云杉, 张秀萍, 伟 徐, 徐兴国, 曹谷崖, 杰 李, 晔 牛, 峰 王, 王彦朋, 王志勇, 王志辉, 胡丽娟, 钊 蔡, 蔡澄宇, 谢之波, 赵金峰, 翔 陈, 马长征 申请人:中国农业银行