实现异构系统间可信报文交换与存储的系统的制作方法

本发明涉及报文安全存储及安全交互技术领域，特别涉及一种实现异构系统间可信报文交换与存储的系统。

背景技术：
国库集中收付制度改革10年来，财政国库信息化取得了显著成效，地方国库支付系统已发展成综合性的预算执行管理系统。随着国库集中收付改革向“横到边、纵到底”全面推进，国库收付管理的工作效率及信息反馈等要求不断提高，建立更加规范、高效、安全的财库收付管理新模式已成为地方财政部门的迫切要求。财政国库集中收付业务涉及到各方独立的地方业务系统，各系统开发环境各不相同，系统之间对接需要大量的适配接口，缺少统一性，维护难度增大；系统之间通信采用双方自定义的通信协议，系统之间通信安全由双方协调配置，缺少第三方可信、可靠的安全认证系统来保证通信安全；双方交易数据自行保存，交易明细日志由双方各自系统保存，各系统日志颗粒细度不一致，增加错误数据排查难度；双方交易数据更多依赖于人工传递，人工校验数据的完整性、合法性，数据出现问题时需要人力通知对方，严重地影响了国库收付管理的工作效率及信息反馈的质量。单方业务系统在进行内部审核时采用用户流程控制，需要定期更换密码且很难保证用户信息不被泄露。

技术实现要素：
本发明旨在至少在一定程度上解决上述相关技术中的技术问题之一。为此，本发明的目的在于提出一种实现异构系统间可信报文交换与存储的系统，该系统具有跨业务系统、安全性高、工作效率高以及准确性高的优点。为了实现上述目的，本发明的实施例提出了一种实现异构系统间可信报文交换与存储的系统，包括财政国库集中支付系统、人民银行系统、代理银行系统和无纸化安全支撑系统，其中，所述无纸化安全支撑系统具有安全支撑系统开发接口模块、电子凭证库模块、消息中间件模块、身份认证系统模块、签名服务模块和电子印章模块，其中，所述安全支撑系统开发接口模块，用于提供所述无纸化安全支撑系统对所述财政国库集中支付系统、所述人民银行系统、所述代理银行系统的接口，所述安全支撑系统开发接口模块构建所述财政国库集中支付系统、所述人民银行系统、所述代理银行系统与所述无纸化安全支撑系统中电子凭证库模块、所述消息中间件模块、所述身份认证系统模块、所述签名服务模块和所述电子印章模块之间的通信通道；所述电子凭证库模块，用于为所述安全支撑系统开发接口模块提供报文数据安全存储空间，保存的报文数据为通过所述身份认证系统模块、所述签名服务模块和所述电子印章模块加密后的报文数据，为所述财政国库集中支付系统、所述人民银行系统和所述代理银行系统提供安全的报文数据存储、查看功能以及操作日志审计功能；所述消息中间件模块，用于为所述财政国库集中支付系统、所述人民银行系统和所述代理银行系统之间提供报文数据传输，传输中的报文数据通过所述身份认证系统模块、所述签名服务模块加密、解密；所述身份认证系统模块，为所述财政国库集中支付系统、所述人民银行系统和所述代理银行系统颁发合法的签章、签名证书，并为所述签名服务模块、所述电子印章系统验签时提供身份认证校验依据；所述签名服务模块，为所述财政国库集中支付系统、所述人民银行系统和所述代理银行系统通过所述安全支撑系统开发接口模块提供报文数据签名、验签服务、数字信封加密、解密服务；所述电子印章模块，为所述财政国库集中支付系统、所述人民银行系统和所述代理银行系统通过所述安全支撑系统开发接口模块提供报文数据签章、验章服务。根据本发明实施例的实现异构系统间可信报文交换与存储的系统，为不同环境下的不同应用系统提供一个统一的开发平台，有效避免了应用服务系统面向多方系统进行开发配置，采用消息中间件传输消息，简化了系统之间数据传输流程，传输过程中采用数据信封加密技术、数字签名技术保证了消息传输的安全性和不可抵赖及数据完整性，由系统自动接收数据，有效避免了由人工传输数据带来的不确定性和数据延误处理等。另外，采用独立的数据库存储电子数据，降低了实体纸质数据的存储空间及经费成本，数据保存采用了签章、签名操作，保证了入库数据的完整性及不可抵赖性。显示电子数据时，会对当前数据进行验章、验签名，如数据发生改变，电子签章上会出现打叉、数字签名上会出现横线，能非常直观的反应数据是否改变，不再需要繁琐的数据核对，大幅提高了工作效率及准确度。另外，根据本发明上述实施例的实现异构系统间可信报文交换与存储的系统还可以具有如下附加的技术特征：在一些示例中，所述身份认证系统模块为CA。在一些示例中，所述身份认证系统颁发的签章、签名证书载体为USBKEY。在一些示例中，所述电子印章模块还用于在签章数据发生改变时，对电子签章进行打叉处理以及对数字签名进行划横线处理。在一些示例中，还包括：管理制度和规划模块，所述管理制度和规划模块用于向所述财政国库集中支付系统、人民银行系统、代理银行系统和无纸化安全支撑系统提供安全有效的安全管理制度。在一些示例中，还包括：开发手册和规划模块，所述开发手册和规划模块用于描述所述无纸化安全支撑系统对外提供的多个接口的功能、常见的业务场景及不同开发语言面向所述无纸化安全支撑系统的开发示例和注意事项本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。附图说明本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：图1是根据本发明一个实施例的实现异构系统间可信报文交换与存储的系统的结构框图；图2是根据本发明一个实施例的安全支撑系统开发接口模提供接口访问示意图；图3是根据本发明一个实施例的第三方系统调用直接支付业务流程示意图；图4是根据本发明一个实施例的第三方系统调用实拨支付业务流程示意图；图5是根据本发明一个实施例的报文数据传输示意图；图6是根据本发明一个实施例的模板配置示意图；图7是根据本发明一个实施例的正常签章后的数据显示图；以及图8为根据本发明一个实施例的报文数据被修改后的显示效果图。具体实施方式下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。以下结合附图描述根据本发明实施例实现异构系统间可信报文交换与存储的系统。图1是根据本发明一个实施例的实现异构系统间可信报文交换与存储的系统的结构框图。如图1所示，该系统100包括：财政国库集中支付系统110、人民银行系统120、代理银行系统130和无纸化安全支撑系统140，其中，无纸化安全支撑系统140具有安全支撑系统开发接口模块141、电子凭证库模块142、消息中间件模块143、身份认证系统模块144、签名服务模块145和电子印章模块146。具体地，安全支撑系统开发接口模块141用于提供无纸化安全支撑系统140对财政国库集中支付系统110、人民银行系统120、代理银行系统130的接口，安全支撑系统开发接口模块141构建财政国库集中支付系统110、人民银行系统120、代理银行系统130与无纸化安全支撑系统140中电子凭证库模块142、消息中间件模块143、身份认证系统模块144、签名服务模块145和电子印章模块146之间的通信通道。换言之，安全支撑系统开发接口模块141提供了本系统100对各异构系统(如财政国库集中支付系统110、人民银行系统120及代理银行系统130)提供的所有核心接口，该模块为调用者和电子凭证库模块142及消息中间件模块143、身份认证系统模块144、签名服务模块145和电子印章模块146搭建了一个通信桥梁，为各异构系统提供了统一、单一的调用者。电子凭证库模块142用于为安全支撑系统开发接口模块141提供报文数据安全存储空间，保存的报文数据为通过身份认证系统模块144、签名服务模块145和电子印章模块146加密后的报文数据，为财政国库集中支付系统110、人民银行系统120和代理银行系统130提供安全的报文数据存储、查看功能以及操作日志审计功能。消息中间件模块143用于为财政国库集中支付系统110、人民银行系统120和代理银行系统130之间提供报文数据传输，传输中的报文数据通过身份认证系统模块144、签名服务模块145加密、解密。身份认证系统模块144为财政国库集中支付系统110、人民银行系统120和代理银行系统130颁发合法的签章、签名证书，并为签名服务模块145、电子印章模块146验签时提供身份认证校验依据。在本发明的一个实施例中，身份认证系统模块144例如为某个财政厅CA。更为具体地，身份认证系统144为财政国库集中支付系统110、人民银行系统120和代理银行系统130颁发合法的签章、签名证书的载体例如为USBKEY。签名服务模块145为财政国库集中支付系统110、人民银行系统120和代理银行系统130通过安全支撑系统开发接口模块141提供报文数据签名、验签服务、数字信封加密、解密服务。电子印章模块146为财政国库集中支付系统110、人民银行系统120和代理银行系统130通过安全支撑系统开发接口模块141提供报文数据签章、验章服务。进一步地，在一些示例中，当签章数据发生改变时，电子印章模块146对电子签章进行打叉处理以及对数字签名进行划横线处理。在上述示例中，安全支撑系统开发接口模块141为各系统之间提供了报文数据交互的接口，使各系统之间消息传递更统一、简单。另外，采用消息中间件模块143进行消息传输，方便各系统之间通信，有效提高了数据传递效率；并且在数据传输时采用数字信封加密技术来保证数据的安全，另外，通过签名服务模块145的签名操作有效控制了流程节点的安全性和不可抵赖性。需要说明的是，在本发明的一个实施例中，该系统100例如还包括管理制度和规划模块(图中未示出)，用于支撑该系统100在制度和规划方面的可行性，促使本系统100在有效的安全管理制度下使用。另外，本系统100还包括开发手册和规划模块(图中未示出)，用于描述本系统100对外提供的多个接口的功能、常见的业务场景以及不同开发语言面向无纸化安全支撑系统140的开发示例和注意事项等。作为具体地示例，图3为本发明实施例的一个调用示例。如图3所示，展示了财政与代理银行系统直接支付业务的流程，具体包括以下步骤：步骤1：财政部门经办人在业务系统点击【签章】按钮，完成凭证签章操作(采用如图2所示的接口调用)：财政国库集中支付系统调用本发明实施例的系统的签章接口获取签章报文，签章接口完成证书PIN码输入验证、印章获取和签章动作处理。支付系统调用电子凭证库服务接口保存数据，同时保存业务系统操作，完成后可显示或打印凭证，效果如图7所示。步骤2：财政部门复核人在业务系统点击【复核签章】按钮，完成凭证复核签章操作(采用如图2所示的接口调用)：支付系统调用本发明系统的签章接口生成电子凭证签章报文获取签章报文，签章接口完成证书PIN码输入验证、印章获取和签章动作处理，签章接口完成电子凭证验签(章)。支付系统调用电子凭证服务接口(采用如图2所示的接口调用)保存凭证签章并返回报文，同时保存业务系统操作。复核人显示凭证时能看到经办人的签章结果，如果经办人签完章后数据被人修改过，复核人显示凭证时会出现签章是灰色的状态，效果如图8所示，未修改的显示效果如图7所示。步骤3：财政部门经办人在业务系统(如图5所示)完成凭证发送代理银行操作，调用服务器发送接口(采用如图2所示的接口调用)发送电子凭证。步骤4：代理银行系统读取直接支付凭证，代理银行系统调用凭证库服务接口(采用如图2所示的接口调用)从本发明的系统获取直接支付凭证信息。步骤5：代理银行系统获取直接支付凭证并解析入库，如果是本行数据，则调用本发明的系统的服务接口(采用如图2所示的接口调用)以返回签收成功信息。如果不是本行数据，则调用本发明的系统的服务接口(采用如图2所示的接口调用)以返回签收失败信息。步骤6：代理银行系统转账支付，如果转账失败(如收款人错误)，则调用本发明系统的服务接口(采用如图2所示的接口调用)以反馈签收失败信息，并作废直接支付凭证。如果转账成功，则代理银行系统在转账成功后，调用本发明系统的服务接口(采用如图2所示的接口调用)以上传直接支付凭证回单，进一步地，本发明系统对直接支付凭证回单自动签章后发送给财政。步骤7：财政部门登记直接支付凭证回单，财政系统调用本发明系统的服务接口(采用如图2所示的接口调用)以获取直接支付凭证状态信息。如果状态信息为已回单，则对财政端的数据进行相关业务处理，并调用本发明系统的服务接口(采用如图2所示的接口调用)以返回签收成功信息。图4为根据本发明实施例的另一个调用示例。如图4所示，展示了实拨支付业务流程，具体包括以下步骤：步骤10：财政部门经办人在业务系统点击【签章】按钮，完成拨款签单操作，支付系统调用本发明系统的签章接口(采用如图2所示的接口调用)以获取签章报文，完成证书PIN码输入验证、印章获取和签章动作处理。支付系统调用本发明系统的电子凭证库服务接口(采用如图2所示的接口调用)以保存凭证数据，同时保存业务系统操作。步骤20：财政部门复核人在业务系统点击【复核签章】按钮，完成凭证复核签章操作，支付系统调用本发明系统的签章接口(采用如图2所示的接口调用)以获取签章报文，签章接口完成证书PIN码输入验证、印章获取和签章动作处理，签章接口完成电子凭证验签(章)。服务支付系统调用服务器签章入库接口保存凭证数据，同时保存业务系统操作。步骤30：财政部门经办人在业务系统(如图5所示)完成凭证发送至人民银行的操作，具体包括：支付系统调用本发明系统的发送接口(采用如图2所示的接口调用)以发送电子凭证。步骤40：人民银行系统的电子支付客户端签收拨款单，人行端通过调用本发明系统自动接收财政端发送过来的拨款单凭证，人行电子支付客户端查询到之后进行签收(如采用图2所示的接口调用)。步骤50：回单签章发送，从待签章凭证表读取待签章的拨款单回单，对待签章拨款单回单进行签章，调用本发明系统的凭证写入接口(采用如图2所示的接口调用)以保存签章后的拨款单凭证，签章完成以后调用本发明系统的凭证发送接口(采用如图2所示的接口调用)发送回单给财政系统。步骤60：财政系统读取回单，可显示或打印回单(例如图7所示)，财政系统调用本发明系统的服务接口获取凭证状态信息。具体地，如果状态信息为已回单，则对财政端的数据进行相关业务处理，并调用本发明系统的接口(采用如图2所示的接口调用)以返回签收成功信息。综上，本发明实施例的系统100主要涉及数字签章、数字签名操作，保存签章、签名数据，验证签章、签名结果，格式化业务数据模板制作，消息中间件数据发送、接收，数据添加数字信封、解密数字信封，身份认证，数据审计，格式化数据归档，格式化数据查询、显示，格式化数据打印，操作日志查询、显示等操作。其中，数字签章指的是“电子印章”，是一种可视化电子签名，用于将晦涩的电子签名技术转变成人们习以为常的签名盖章方式。数字签名，一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。格式化业务数据模板制作，制作特定的表格格式数据，可根据传入不同的格式化业务数据根据制定的表格显示出来。因此，根据本发明实施例的实现异构系统间可信报文交换与存储的系统，为不同环境下的不同应用系统提供一个统一的开发平台，有效避免了应用服务系统面向多方系统进行开发配置，采用消息中间件传输消息，简化了系统之间数据传输流程，传输过程中采用数据信封加密技术、数字签名技术保证了消息传输的安全性和不可抵赖及数据完整性，由系统自动接收数据，有效避免了由人工传输数据带来的不确定性和数据延误处理等。另外，采用独立的数据库存储电子数据，降低了实体纸质数据的存储空间及经费成本，数据保存采用了签章、签名操作，保证了入库数据的完整性及不可抵赖性。显示电子数据时，会对当前数据进行验章、验签名，如数据发生改变，电子签章上会出现打叉、数字签名上会出现横线，能非常直观的反应数据是否改变，不再需要繁琐的数据核对，大幅提高了工作效率及准确度。进一步地，具备操作日志审计功能，能详细准确的反应凭证处于各个流程中的具体状态及操作人员信息，从而快速定位到责任人。在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。在本发明中，除非另有明确的规定和限定，第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触，或第一和第二特征通过中间媒介间接接触。而且，第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方，或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方，或仅仅表示第一特征水平高度小于第二特征。在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。