金融网服务系统应用研究论文

摘要：一卡通系统是数字校园建设的基础部分，也是学校信息化建设的重要内容之一。在一卡通系统的设计、部署和实施中，安全性是首要考虑问题。基于此从卡片、终端、网络、前端应用、应用服务、数据中心、纠错能力等几方面对校园一卡通系统的安全性进行设计，以进一步推进数字化校园建设。下面是小编精心推荐的《金融网服务系统应用研究论文(精选3篇)》的相关内容，希望能给你带来帮助!

金融网服务系统应用研究论文 篇1：

医院统一支付平台的建设及应用

摘要：为医院HIS、自助服务系统、“掌上医院”App、微信公众号、支付宝服务窗、智能POS等其他各类涉及预交金充值退款、门诊缴费退费的系统提供一体化的服务接口，解决各个系统间以传统的点对点接口方式带来的接口众多、数据标准不统一、对账及异常账处理麻烦等财务管理上的不便问题，设计统一支付平台。方法：根据支付平台对安全性、稳定性、可扩展性的要求，对支付平台的建设内容和系统结构进行探讨。结果及结论：支付平台提高医院工作效率和服务质量，提升病人的就医环境、就医效率和就医满意度。

关键词：互联网+医疗;支付平台;银企对接

1 引言

长期以来，很多医院患者时常为了交一笔钱或退一笔钱在多个院区间来回奔波，重复往返，还要在窗口排队等候，浪费了大量的时间。为解决这些问题，医院把信息化技術作为破解难题的“利剑”，通过与银行、互联网相关金融机构合作，成功研发支付平台。该平台涵盖银行卡、微信、支付宝等多种支付渠道，将充值缴费服务前移至病区护士工作站以及患者床旁，真正实现了全方位多渠道多模式充值服务，并且门诊与住院实行缴款原路退回，真正实现全流程无现金化，从根本上攻破了医疗单位缴费点少、缴费速度慢的问题，打破了医疗缴退款困难的症结瓶颈问题，让数据“多跑路”，让病人“少跑腿”成为现实。在医院提高了工作效率和服务质量的同时，也极大地提升了病人的就医环境、就医效率和就医满意度。

2 建设要求

支付平台的建设涉及患者支付相关业务办理，同时平台又实时连接多个充值缴费渠道及医院各信息系统，属于实时在线运行的核心业务系统，因此，在平台的建设过程中应重点考虑安全性、稳定性和可扩展性。

2.1 安全性原则 平台涉及患者资金交易及个人隐私信息，这些数据的安全性至关重要，因此，系统遵循安全性的原则。在平台的安全性建设方面充分考虑了平台对接系统服务器接入的安全、终端设备及用卡环境安全、数据加解密传输安全、实名认证退款、防信用卡套现等问题。

2.2 稳定性原则 平台是在网络环境下运行，并且管理的数据量较大，数据的使用并发性强，这些特点对平台的设计提出了更高的要求。在平台的稳定性设计上采用了高并发、高稳定的线程池技术，统一处理各接入系统及应用的请求消息队列。另外，从网络架构设计上，提供了负载均衡方案，防止单点故障的发生。

2.3 可扩展性原则 通过平台架构上的合理设计及接口的统一规范建设，为今后其他系统及应用接入提供了较强的可扩展性，可以根据业务的发展需要进行灵活、快速的调整，实现信息系统及应用的快速部署，且不影响现有平台的稳定运行;架构上，通过采用多层架构，在系统需要扩容的时候，能较容易地实现系统性能的扩展。

3 建设内容

目前，患者在院内的非诊疗环节主要涉及建档、收入院、充值缴费、退款以及结算等环节，其中充值缴费、退款、结算等业务还存在大量的现金收支，为减少现金管理上的麻烦，降低医院窗口服务压力，为患者提供更加便捷的支付方式，需通过整合医院现有医疗信息系统数据资源，结合线上线下多种支付渠道，为患者打造方便、快捷、人性化的就诊服务模式，实现“互联网+医疗”的更广泛应用，打造“全自助、零排队”的就诊体验，从而达到“医疗为民、医疗便民、医疗惠民”的服务理念。

通过支付平台的建设，实现统一对接POS刷卡、支付宝、微信支付、银联支付等各类金融支付渠道，为医院HIS、自助服务系统、掌上医院App、微信公众号等其他各类涉及预交金充值、门诊缴费、住院缴费的系统提供一体化的服务接口，解决各个系统间以传统的点对点接口方式带来的接口众多、数据标准不统一、对账及异常账处理麻烦等财务管理上的问题，充分考虑了现有医院信息系统及新建平台的稳定性、安全性、可靠性、效率等问题，从管理上大大降低了医院的运行维护成本。以手机“掌上医院”充值为例来说明支付平台缴款流程。

3.1 “掌上医院”充值流程 平台为“掌上医院”提供统一的App收银台接口，支持支付宝、微信支付、银联支付等多种支付渠道，用户操作充值缴费时，“掌上医院”通过调用平台提供的App收银台接口向用户显示收银台付款界面，用户选择其中一种支付方式进行预交金充值或门诊缴费，支付完成后，App显示支付结果，平台同时向“掌上医院”后台异步推送支付请求结果，另外，“掌上医院”后台也可主动向平台查询支付结果。

3.2 “原路返还”退款流程 考虑到住院患者退款金额较大，为减少现金流，方便病人，门诊与住院在发起退款申请后，收费处可根据病人需要根据病人第三方支付的历史充值记录进行原路退款操作。

4 系统结构

为了确保医院系统安全稳定运行，统一支付平台应用服务只能部署在医院的内网，内网所有的应用直接连接支付平台进行充退款操作，但支付宝、微信扫码交易，银企对接退款需要保证支付平台应用服务器可以连到互联网服务器和银企对接专线上，故需要统一支付平台医院前置服务器部署在DMZ区。前置服务器完成内外网数据交换：一方面内网支付平台应用服务器，通过连接前置服务器来与外网的支付宝、微信退款接口服务等对连进行充值缴费操作，另一方面外网的“掌上医院”App、微信公众号、自助POS等应用又得通过支付平台前置服务器提供的Web Service服务来完成院内帐户充值退款等操作。

5 小结

医院支付平台系统正式运行以来，受到了患者与医务人员的欢迎。支付平台的建设，业务上，实现统一对接POS刷卡、支付宝、微信支付、银联支付等各类金融支付渠道，为医院HIS、自助服务系统、“掌上协和”App、微信公众号、智能POS等其他各类涉及预交金充值退款、门诊缴费退费的系统提供一体化的服务接口，解决各个系统间以传统的点对点接口方式带来的接口众多、数据标准不统一、对账及异常账处理麻烦等财务管理上的不便问题;管理上，平台为医院的财务人员提供统一的电子对账平台和各类财务管理相关的报表，并可根据实际需要与医院财务软件对接，协助财务工作人员更方便地管理各类现金、电 子 类 交 易，降 低 对 账 及 差 错 账处理的工作量和难度，提高工作效率;服务上，结合医院就诊模式，方便所有来医院就诊的患者使用社保卡、医院就诊卡、身份证、病案号、腕带等作为身份识别介质，并通过多渠道多模式的预缴充值方式，从而打造“全自助、零排队”的就诊体验，同时也减轻收费窗口的人工服务压力。

参考文献：

[1] 徐建.医院"门诊一站式"服务模式的探索[J].中医药管理杂志，2015，23（9）：39-42.

[2] 金明广.医疗机构第三方支付应用研究[J].中国卫生经济，2015（2）：90-91.

[3] 徐苗桑，潘安，吴自力，等.多模式多渠道自助结算方式的分析与实现[J].中国数字医学，2016，11（3）：111-113.

（作者单位：福鼎市医院）

作者：谢冬

金融网服务系统应用研究论文 篇2：

一卡通建设中安全性研究与设计

摘要：一卡通系统是数字校园建设的基础部分，也是学校信息化建设的重要内容之一。在一卡通系统的设计、部署和实施中，安全性是首要考虑问题。基于此从卡片、终端、网络、前端应用、应用服务、数据中心、纠错能力等几方面对校园一卡通系统的安全性进行设计，以进一步推进数字化校园建设。

关键词：一卡通；数据安全；密钥；数字化校园

Security Research and Design of E-card System

ZHOU Xian-bo, CHEN Jie-xin

(Net Center, Ningbo City College of Vocational Technology, Ningbo 315100, China)

Key words: E-card; data security; key; digital campus

一卡通是持有者在学校里的一种身份证明，和学校内的多个信息系统密切结合，关系着广大师生的教学、学习和生活的正常进行，在学校内，可以真正实现“一卡在手，走遍校园”的功能。[1]因此，对一卡通系统的安全性有着很高的要求。安全性是一卡通系统的生命线，在一卡通系统的设计和建设过程中，要把安全性设计放在首位，要确保系统能够高效、安全和可靠地运行。[2]在一卡通整个项目过程中主要从卡片、终端、网络、软件、纠错能力等几方面来考虑系统的安全设计。

首先，整个一个卡通系统的安全需要按照系统工程来建设、保障。其次，系统涉及到的每个环节都要考虑安全特性。最后，必须有针对性的对系统薄弱环节作特殊处理，以提高整个系统的安全系数。

1卡片安全性设计

采用密钥控制卡片数据区，即卡片内每扇区都是密码控制，就是使用不同的密钥来控制不同的数据区，防止被盗滥用。[3]卡片内数据区可以分为两类，校园卡数据区和个性化子系统数据区，数据区具有公共、独立的信息共享区，形成一种统一而又分而治之的数据管理策略。校园卡数据区的读写由卡片注册时生成的密钥进行控制，校园卡数据区加入系统专用标识，采用专用算法，专用算法存储在终端设备或SAM卡种，能有效地防止伪卡。[4]校园卡个性化子系统数据区采用出厂密码进行控制，在建立个性化子系统时可以更改对应的控制密码。具体可分为三种情况。如果子系统的建设和升级均由一卡通建设方自己完成，那么根据一卡通系统密钥生成原则，可直接接入一卡通系统。如果建设和升级由第三方进行，那么可以通过变更密钥，更换子系统扇区的读写密码。第三方提供最终的生成密钥给子系统专用读卡器，由读卡器控制卡片的读写权限。如果向第三方公开这个数据块，那全部由第三方来控制读写权限。

卡片是符合国家标准的电子钱包，可以保证卡机交易时卡片余额的真实有效。为了杜绝恶性透支的情况，卡片必须只有在余额大于零时才可以消费。当用户卡片遗失后，用户可以对帐户进行挂失，由上位系统主动广播，实现准实时生效，最长生效时间不能超过30秒。一卡通系统必须能实时更新黑名单。消息广播中心可主动发布黑白名单信息，确保所有联网终端在第一时间感知黑白名单的变动情况，并及时更新黑白名单。为了避免卡片遗失后被人恶意刷卡造成严重损失，管理员可以根据学校的实际情况限定钱包金额和交易次数，包括单笔金额限制、日累金额限制、当日交易次数限制、日累交易次数限制。除了管理员的限定外，用户自己也可以采取密码限额，当超过用户的限定消费额度时，必须输入个人密码方可消费成功。当网络出现故障需要脱机消费时，可以分别采用不同的限额来启用个人密码、禁止消费，从而使丢失但来不及挂失的卡造成的损失最小。而这些密码只有用户本人知道，在系统上操作员看不到持卡人的个人密码，持卡人的权利得到保障。

2终端设备安全性设计

2.1终端设备的安全

处于系统的最前端的终端设备，其稳定性和可靠性直接关系到一卡通系统的安全与否，所以在一卡通系统中采取注册/授权双向认证来防止非法产品入网流通使用。[5]

为保证系统密钥安全，采用密钥分段管理的办法对密钥进行管理与控制，可以有效防止密钥泄露。[6]终端设备首先必须用授权卡授权密钥信息，其次终端设备还必须与主机连网，由主机下载另一部分密钥信息，终端对两部分信息组合得到完整密钥，才可对卡片操作。

每台终端设备应具有签到和签退功能，保证交易的合法性。另外，操作员也可以设置键盘锁定与开锁功能。当非法卡在终端机使用时，终端机使用黑、白名单技术对卡片的合法性进行验证，并对非法卡使用情况进行记录，有效防止非法卡片的流通。对黑卡以及各种非法卡使用状态，将自动识别并提示相应的报警代码，提示工作人员采取相应措施处理，防止流通使用。其中非法卡片包括了未被授权在此终端机上使用的卡片和过有效期卡片。

2.2终端设备交易数据的安全

首先，终端机的密钥保存在PSAM卡中，而且无法被读取，这样可以增加交易的安全性[7]。其次，每一台消费终端机器在系统管理中心都有唯一的一个机器识别号。另外，为了防止伪造和非法使用终端，保障终端使用的安全，因此，每个合法操作员都被分配一张操作员卡，用来验证操作员身份的合法性。只有经过操作员刷卡后，消费终端才可以进行正常消费交易。当消费者拿着卡到终端上刷卡消费时，用户卡将与终端进行双向身份认证，终端首先需要验证用户卡的合法性，如果验证通过，那终端将进一步检查此卡是否在黑名单中，或卡片是否过期，如果都不是，那么这张卡才可以在终端上进行消费，并且卡中消费额度都可以通过设置进行限制。用户消费后，终端会自动保存交易流水和交易认证码。终端中保存交易流水的同时保存交易认证码可以有效防止数据被篡改。当进行数据采集时候，交易流水和交易认证码会一并上传，结算中心通过交易认证码的校验，来保证数据的真实性和完整性。为了防止数据泄露，上传到数据中心的数据都是加密保存。

为了避免终端设备在断电后无法继续运行使用，在终端设备比较集中的场所，可以配置UPS，比如餐厅、超市等地方，在设备相对比较分散的地方，可以为终端设备配置后备电池，比如个体商户。最后，为了进一步提高消费过程和终端的安全性，一套完整的密钥管理体系是必不可少的。

3网络安全性设计

3.1网络安全整体规划

主要从以下几方面考虑：

1）实体安全。主要是机房建设的合理性及安全性。

2）平台安全。主要是操作系统、网络协议以及应用服务器，当然也涉及交换机和防火墙的安全。

3）数据安全。主要是数据的机密性和完整性。从两方面进行解决：一方面采取软件加密方式，在传输协议上采用金融报文交换格式ISO 8583标准，通过DES、数字签名、MD5等加密措施，使所有终端设备接入都采用动态密钥进行签到、签退。另一方面是硬件加密，采用通过国家密码委认定的硬件加密产品。

4）通信安全。利用交换机来划分虚拟子网（VLAN），在没有配置路由的情况下，不同虚拟子网间是不能够互相访问。5）应用安全。严格控制内部使用人员对网络共享资源的使用。

6）运行安全。包括系统软件的升级和补丁，应用软件的检查和评估。

7）管理安全。制定健全的安全管理体制将是网络安全得以实现的重要保证。

一卡通系统建设中网络设计主要从以上几方面进行全方位规划。但是对于边界网络应该给予特别的关注。

3.2边界网络安全设计

1）一卡通网络与校园网的安全

在网络设计上，通过双网卡应用服务器群，隔离一卡通网络和一卡通之外的校园网络（校园网），通过VPN设备和相关技术构建一卡通网络，保留原有的校园网不变。设备接入服务、应用接入服务、信息发布服务和系统对接服务都配置双网卡，分别连接原有校园网络和一卡通网络。[8]

2）一卡通网与银行网的安全

为了杜绝校园网内部直接对银行网络的地访问，需要通过双网卡隔离这两个逻辑望段。一卡通系统如果需要银行这边的数据则从设立的银行通信网关获取，由银行通信网关访问银行网络。

在公网或专网上传输数据的安全、数据报文传输的安全以及与银行前置机数据交换的安全主要由双向身份认证、加密和报文认证来保障的。对传送的数据包加校验码（MAC或LRC），而对关键数据可进行加密处理，所有传送数据需要按银行要求将数据打包成ISO8583格式报文[9]。

3）第三方接口安全性

第三方应用系统接入一卡通系统采用专用对接POS机和系统对接服务的方式实现，即保留原有子系统的结构，单独配置一台双网卡的系统对接服务器。系统对接服务器的作用相当于应用网关，提供第三方应用系统到一卡通系统的应用接口。

任何一个应用系统或终端想要使用一卡通系统的资源或接入到一卡通系统都必须通过一卡通系统的授权、认证才能接入平台。应用接入服务和设备接入服务为每一个应用系统及终端设备建立授权注册信息，保证信息的安全传递与存储。所有应用系统及终端设备都必须经过认证才能与中心数据库进行交易，如果不进行认证就进行交易申请，那么后台不会接受。[10]认证过程由一卡通的统一身份认证自动完成，对应用系统而言是透明的，应用系统接入的复杂度不会因为这个流程而增加，通过以上措施可以严格保证系统接入的安全性。

4软件安全性设计

一卡通系统采用三层架构，具体划分成以下三个层次：数据库层，即一卡通数据中心、应用服务层，即一卡通应用服务群和用户界面层，即一卡通前端应用系统。

4.1前端应用接入安全设计

前端应用系统只有在一卡通中心注册以后才能安全的接入一卡通应用服务支撑平台，另外应用接入服务支持与前端应用之间建立安全通道，防止合法的IP地址的非法的程序对应用服务的访问和攻击。

当前端应用系统给应用服务发送一个接入请求后，应用接入服务通过身份验证服务判定前端应用是否已经注册，如果是通过认证的，则把认证码返回给应用接入服务，应用接入服务允许操作员登陆，再通过身份验证服务的验证操作员是否允许登录，如果允许则通过认证，返回结果给应用接入服务，前端应用被允许启动，通过建立在前端应用系统和应用接入服务层之间安全通道，数据就可以通过加密通道递交。

4.2应用服务层安全设计

应用服务层是一卡通的核心部分，集中了一卡通系统的业务逻辑的处理，如身份认证、支付交易等。应用服务层的设计很大程度上决定了软件系统的健壮性、灵活性和可重用性，对以后软件系统的升级和维护有重要影响。

为了使应用服务层的设计达到最佳效果，需要对应用服务层作进一步的职能分析和层次细分。应用服务群包括设备接入服务、应用接入服务、系统对接服务、信息发布服务、支付交易服务、转帐充值服务、管理结算服务、身份验证服务、信息查询服务等，基于微软的.Net平台实现。

应用服务层（业务逻辑层）是一卡通系统业务逻辑处理集中的部分。从完整的角度来说，应用服务层处理了以下内容：数据的表示方式（考虑类或对象同关系型数据的映射）、数据的存取方式（处理系统同数据库的交互）、业务逻辑的组织方式（业务逻辑封装成组件）、业务服务的提供方式（调用）、层的部署和层间交互（不同的部分部署在不同的逻辑或物理设备上）。

应用服务层的安全主要从以下几方面进行考虑。

1）自定义安全通道

一卡通应用支撑平台采用MS .NET Remoting技术实现，我们采用了自定义的安全通道解决客户机与服务之间、服务与服务之

间的安全通信。[11]

客户端与进程内的代理对象进行通信。可以通过远程对象代理设置身份验证凭据（例如用户名、密码和证书等等）。方法调用通过接收链进行传递（可以实现自己的自定义接收来执行数据加密），并到达负责通过网络发送数据的传输接收。在服务器端，调用通过相同的管道进行传递，并向对象发出调用。

2）身份验证和授权

一卡通应用支撑平台提供身份验证服务，前端应用程序以及各类卡机具登录和签到时将递交身份验证服务，当通过验证以后，系统会给每一个签到和登录的卡机具及应用系统一个UID，然后才建立安全的通信通道，以后UID将参与所有的通信加密过程，保证只有合法的卡机具和应用程序才可以调用一卡通系统提供的服务，并且不同的角色提供的授权信息不同，只能访问可信资源。

3）应用服务分层模型

为了保护一卡通数据库的安全，应用服务分成两层，一层面向一卡通外网，安全接入各类卡机具和前端应用系统，同时用于外部系统的对接和信息发布，包括设备接入服务、应用接入服务、信息发布服务、系统对接服务以及数据代理服务；一层面向一卡通内网，一方面为供面向一卡通外网的应用服务调用，一方面访问一卡通数据库，包括支付交易服务、管理结算服务、转帐充值服务、设备监控服务、身份验证服务、信息查询服务

应用服务层通过一致的数据访问服务，不但使得前端应用系统不能直接访问数据库，同时各应用服务通过一个口子访问数据

库，保护数据库的安全。[12]

4.3数据中心安全设计

1）数据库备份设计

建议使用两台数据服务器，通过双机冗余软件实现两台数据服务器的冗余，如果其中一台数据服务器发生故障，那么另一台服务器将自动接替工作，保证一卡通系统安全稳定的运行。[13]数据服务器需要连接一台磁盘阵列或SAN系统，以完成系统备份。

2）数据访问逻辑隔离

逻辑隔离并非彻底隔离数据，而是通过软件使数据有选择地通过。[14]在设计时充分考虑了校园一卡通网络基于校园网络的现状，所以通过应用服务器群的部署，逻辑上隔离了外部应用程序或者电脑对一卡通数据库的直接访问，进一步保护了数据中心数据的安全。

5系统纠错能力设计

在一般正常情况下，交易流水除了回传给数据中心，在POS机、通讯控制器上也会保存交易流水，以便与数据中心的数据进行比对。

当网络故障时，消费终端可以通过脱机消费继续工作，交易流水保存在消费终端上，一旦网络恢复畅通，数据就回传到数据中心并进行对账。

当系统通讯出现问题时，交易流水分别被保存在POS机和通讯控制器中，以便通讯恢复时进行对账并将流水回传给数据中心。

如果设备损坏，并且交易流水没有正常回传，那么系统将自动采取对账、挂账机制，这样既保障了商户和消费者的利益，又确保系统账务和数据的准确。

万一出现交易流水没有正常上传，系统将采用独有的卡库对账机制。交易流水是由卡号、卡片交易流水号、终端交易流水号、卡余额、交易额、交易日期、时间和认证码等信息组成的。

当消费POS机坏了，造成数据丢失，则系统有的严格的查账机制。当系统进行日结时发现上传流水的流水号不连续，则后台中心数据库进行流水号的检测工作，将流水号不连续的记录同步到控制器，再由控制器将记录同步到各台消费POS机。[15]当卡片到消费终端刷卡时，POS机检测到此卡片有未上传的流水，系统会自动将检测到片内的消费流水信息即时回传到校园卡后台，再由后台进行平账。

6结束语

一卡通系统安全、稳定地运行是学校教学、科研、后勤生活等学校活动顺利开展的基础，随着学校需求的增加，它的应用范围也会越来越广，对安全提出的要求也越来越高。一卡通是数字校园建设的基础和核心系统，整个系统的分析、设计到实施都要充分体现安全性的理念。在这个安全性理念的指引下，一卡通建设对数字化校园建设起着非常重要的推动作用。

参考文献：

[1]崔景娜.一卡通管理体系的构建与实践[J].实验室研究与探索,2011(9): 341-342.

[2]胡敏.浅谈校园一卡通系统的管理与安全性分析[J].科技信息,2010(15):465-466.

[3]徐维.校园一卡通的安全技术研究[J].电脑知识与技术,2011(21):5104-5106.

[4]邓拥军.一卡通系统中卡片的安全设计[J].网络安全,2007(5):70-71.

[5]任洪琴.数字化校园一卡通系统安全问题探讨[J].医学信息学,2009(9):1720-1722.

[6]刘冰玉.IPSec在校园一卡通平台安全系统中的应用[D].沈阳:东北大学,2005.

[7]孙长智.校园一卡通系统的设计与实现[D].天津:安徽大学,2012.

[8]王洪军.浅谈高校一卡通系统的数据安全[J].科技创新导报,2010(24):32-33.

[9]朱晔.浙江树人大学校园一卡通系统的设计与实现[D].杭州:电子科技大学.2012.

[10]徐辰.第三方应用接入一卡通系统方式初探[J].电脑知识与技术,2011(1):229-230.

[11]陈卫卫,王艳.Microsoft.Net Remoting技术的应用研究[J].数字技术与应用,2010(6):22.

[12]赵飒飒.一卡通系统设计与研究[J].硅谷,2009(1):14.

[13]张莹.校园一卡通系统的规范化部署方案[J].信息科技,2011(8):204-207.

[14]余明,曲江.以安全网闸技术实现计算机网络安全[J].科学与管理,2008(3):88-91.

[15]郭明超,饶增仁.射频IC卡POS机软件设计[J].甘肃科技,2009(21):22-25 .

作者：周贤波 陈杰新

金融网服务系统应用研究论文 篇3：

企业网银系统国产密码算法改造方案研究

【摘要】 本文通过对企业网银系统中密码算法的应用场景进行分析，提出了基于模块化方式将系统通用算法全部升级为国产算法的改造方案。为解决客户端浏览器对部分国产算法不兼容问题，引入了国密专用浏览器，实现了国产算法的全面应用。为确保新旧系统平滑切换，采用了密码服务中间件对应用系统进行了多算法支持，降低了方案实施难度，保障了系统服务的连续性和稳定性。

【关键词】 网银系统 国产密码算法 改造方案

前言

商业银行对其信息系统进行国密算法升级改造既是一项监管政策要求，也是银行提高信息技术安全可控能力的重要途径。企业网银系统是银行针对企业客户提供支付结算等多种金融服务的应用系统，相比个人网银系统，虽然单笔交易金额大、安全防护要求高，但也有用户数量少、交易笔数少、系统架构简单的特点。因此选择以企业网银系统为样本进行国密算法升级改造具有相对较低的实施难度，并可为其他重要信息系统的改造积累经验。本文针对基于公钥密码体系的典型企业网银系统，研究制定国密算法升级改造方案，并对其中涉及的關键环节和问题进行了分析。

一、企业网银系统现状分析

1.1企业网银系统的典型架构

企业网银系统一般采用B/S模式部署。在网络上，采用分区纵深防护的原则，划分为网银外联区、网银DMZ区、网银应用服务区和核心内网区，系统服务器分为典型的Web、应用、数据库三层次。同时，通过在客户端、服务器端部署智能密码钥匙（USB-key）、安全网关、签名验签服务器等密码组件，实现加密技术的应用，确保交易过程的安全。以下为网银系统部署示意图。

各区域主要功能为：

（1）网银外联区：到互联网的线路连接，外部用户接入区。

（2）网银DMZ区：负责验证客户身份并处理用户访问请求，客户与SSL安全网关建立安全传输通道，对系统Web服务器进行保护。

（3）网银应用区：部署网银系统应用服务器和签名验签服务器。

（4）核心内网区：部署数据库服务器，并通过此区域和银行其他信息系统进行数据交互。

（5）证书认证区：部署电子认证系统，负责客户数字证书的生成和核验。

（6）客户端：客户采用浏览器和智能密码钥匙（USBkey）与网银系统通信。

1.2系统密码算法应用场景及对应关系

密码技术在企业网银中一般起到保障数据传输安全、身份认证安全和交易信息安全三种职能。在数据传输方面，浏览器与网银安全网关之间通过建立SSL加密通道方式确保数据传输过程的安全，在建立SSL会话过程中，采用了对称加密算法AES协商会话密钥。在身份认证方面，通过客户、服务器建立双向数字证书认证机制，数字证书一般采用RSA算法生成，防止被仿冒。在业务交易环节，网银系统对客户提交的交易信息采用摘要杂凑算法SHA-1进行了签名加密，服务器端对应进行了验签，确保交易信息安全。

综上，网银系统中密码算法的应用共有数字证书生成、身份认证、通信协商、签名验签四个场景。国密算法改造需将各个应用场景中的国际通用算法替换为对应的国产SM系列算法。

二、系统算法升级改造方案

根据企业网银系统架构，采用分区域分模块改造的方式，对系统采用的全部通用算法进行改造。具体可分为安全基础设施改造、业务应用系统改造、客户端改造三部分。

2.1安全基础设施改造

安全基础设施改造的主要任务是对企业网银系统服务器端使用的安全接入设备、签名验签服务器等密码产品进行升级，替换为由国家密码主管部门批准的产品，使企业网银系统在软硬件上具备使用国密SM系列算法的基础。

2.1.1安全网关改造

通过对安全网关进行升级，实现安全网关可支持与客户端建立基于国产算法SM4的双向SSL加密链路，提高SSL协议传输的加密强度。

2.1.2签名验签改造

签名验签服务器作为底层硬件密码设备，将为应用服务器提供硬件密码生成和核验服务。改造后，新的签名验签服务器应支持对国产SM系列算法密钥的加密和解密。

2.2电子认证（CA）系统改造

网银系统一般采用第三方CA系统签发数字证书，对CA改造的目标是实现支持国密算法SM2签发的数字证书。银行应选择具有电子认证服务使用密码许可资质的单位合作建设基于国密算法的证书认证系统。

2.3网银应用系统改造

2.3.1应用系统改造内容

应用系统改造的内容是与新算法的签名验签服务器对接，可以直接调用新的签名验签服务器提供的开发接口方式实现。然而考虑到新的密码算法上线后，旧的密码体系并不会立刻中断，应用系统将会同时收到由SM2算法和RSA算法签发的两种不同类型的数字证书认证信息以及由SHA-1算法和SM3算法签名的两种不同类型的客户交易信息。因此应用服务器改造后还必须具备同时识别不同算法的数字证书和签名信息的能力。考虑到对重要生产系统实施大规模改造的复杂度以及对客户服务连续性的影响，可以通过部署密码服务中间件的方式，降低应用系统改造工作的难度。

2.3.2密码服务中间件的设计

密码服务中间件将签名验签、数据加解密过程采用中间件进行包装，由密码服务中间件同时连接新旧算法的密码设备，并自动判断是报文的加密算法并进行相应的解密。应用系统则改造为直接调用密码服务中间件的标准接口，实现了密码服务与应用系统的松耦合，从而简化了系统算法兼容性改造的复杂度。密码服务中间件的架构如图2。

2.4客户端改造

2.4.1硬件改造

新的客户端硬件设备需要选用内置了国密算法的设备（智能密码钥匙），同时该设备作为数字证书的载体需要兼容国密算法的数字证书。

2.4.2软件改造

客户端软件改造的核心内容是实现浏览器对国密算法的支持。目前SM2算法尚未被Windows系统和IE浏览器兼容，导致SM2算法数字证书无法直接应用在现有的客户端环境中。由于这一现实困难，一些机构在系统国密改造时，采用了通用算法和国密算法混搭使用的多证书方式，即使用浏览器支持的通用算法（RSA2048和AES）用于会话协商和证书认证，在需要签名时，再调用国密算法（SM2）证書进行签名。这种方式作为过渡方案有其合理性，但由于算法改造不够彻底，后续还面临较高的升级成本。国内相关安全厂商已于2015年推出了国密专用浏览器，实现了对国产密码算法和安全协议的完整支持，且通过了国家主管部门的检测。因此，在本次网银系统改造中，我们在客户端采用专用浏览器的方式，实现系统密码算法的全面国产化和改造的彻底性。采用国密浏览器的不足之处是需要给客户额外安装专用浏览器，需要做好客户引导说明。

三、系统上线和推广

3.1新旧系统的并行过渡期

系统国产算法升级改造完成后，原有通用算法体系下的存量客户会在一段时间内逐步迁移到新的系统。这就需要考虑新旧密码体系的并行和过渡问题。

为降低技术复杂度和对现有生产系统运行的影响，可以采用新增国密算法系统前端网络入口的方式，将国密算法的网银系统Web层服务器独立进行部署。一是启用新的国密网银系统域名，便于区分网络流量和用户群体。二是配置独立的国密SSL安全网关，对新的密码算法体系下的客户建立国密安全通道并完成身份认证。

3.2新系统的推广应用

国密算法的企业网银系统的推广应用工作影响因素多、实施周期长，为高效快捷完成新国密系统的推广，可以从三个方面展开工作：一是加强组织领导，周密部署，总分行联合制定推广工作方案，将推广任务逐层分解，设定目标和考核机制。二是采用短信通知、电话热线、网站提示等多种服务渠道加强宣介，积极引导客户主动到当地机构网点进行客户端设备的升级更换。三是对重要客户采用客户经理会同信息科技人员上门服务支持等方式，提升服务质量和客户满意度。

四、小结

企业网银系统国密算法升级改造工作必须统筹考虑密码改造工作的技术复杂度和实施难度，为保障信息系统服务的连续性和稳定性，还需要在算法升级改造过程中进行大量的测试和验证工作。通过企业网银系统的改造，提高了银行业金融机构重要信息系统的安全强度，具有较强的现实意义。

参 考 文 献

[1]王勇，岑荣伟，郭红，李新友. 国家电子政务外网电子认证系统SM2国密算法升级改造方案研究[J]. 信息网络安全，2012，10：83-85.

[2]付朋侠. 推进国产密码算法应用 实现信息系统自主可控[J]. 科学家，2015，10：104-105.

[3]王晓甜. SM密码算法在银行业中的推广和应用研究[J]. 网络安全技术与应用，2015，08：42+45.

作者：雷东生