CN112187802A - 一种总线系统及通信方法 - Google Patents

一种总线系统及通信方法 Download PDF

Info

Publication number
CN112187802A
CN112187802A CN202011049619.3A CN202011049619A CN112187802A CN 112187802 A CN112187802 A CN 112187802A CN 202011049619 A CN202011049619 A CN 202011049619A CN 112187802 A CN112187802 A CN 112187802A
Authority
CN
China
Prior art keywords
target
message
service system
encryption
strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011049619.3A
Other languages
English (en)
Inventor
吴沅宣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bank of China Ltd
Original Assignee
Bank of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of China Ltd filed Critical Bank of China Ltd
Priority to CN202011049619.3A priority Critical patent/CN112187802A/zh
Publication of CN112187802A publication Critical patent/CN112187802A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/02Banking, e.g. interest calculation or account maintenance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Economics (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Marketing (AREA)
  • General Physics & Mathematics (AREA)
  • Development Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Technology Law (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请实施例公开了一种总线系统及通信方法,其中该总线系统包括:通讯模块、路由模块和安全模块;路由模块用于根据预先存储的转发规则,针对待发送的目标消息确定对应的目标对象;安全模块用于当目标消息是由行内业务系统向行外第三方商户发送的消息时,根据与该行内业务系统对应的业务的级别确定目标加密策略,并采用该目标加密策略加密目标消息得到目标加密消息;安全模块还用于当目标消息是由行外第三方商户向行内业务系统发送的消息时,根据与该行内业务系统对应的业务的级别确定目标解密策略,并采用该目标解密策略解密目标消息得到目标解密消息;通讯模块用于将目标加密消息或目标解密消息发送至目标对象。

Description

一种总线系统及通信方法
技术领域
本申请涉及互联网技术领域,具体涉及一种总线系统及通信方法。
背景技术
在商业银行实际开展业务的过程中,行内业务系统与行外第三方商户往往需要通过互联网和专线进行通信。在实际应用中,可能多个行内业务系统对接同一个行外第三方商户,也可能一个行内业务系统对接多个行外第三方商户。面对这种通信场景,通常需要针对行内业务系统和行外第三方商户建立错综复杂的连接关系,从开发角度来看需要开发多次,从网络管理角度来看需要建立多种连接方式,由此可见,针对上述通信场景在开发角度和网络管理角度的实现都十分困难。
如何提供适用于上述场景的通讯方式,已成为目前亟待解决的问题。
发明内容
本申请实施例提供了一总线系统及通讯方法,能够降低网络复杂度,便于网络管理。
有鉴于此,本申请第一方面提供了一种总线系统,所述总线系统包括:通讯模块、路由模块和安全模块;
所述路由模块,用于根据预先存储的转发规则,针对待发送的目标消息确定对应的目标对象;
所述安全模块,用于当所述目标消息是由行内业务系统向行外第三方商户发送的消息时,根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略;并采用所述目标加密策略加密所述目标消息,得到对应的目标加密消息;
所述安全模块,还用于当所述目标消息是由行外第三方商户向行内业务系统发送的消息时,根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略;并采用所述目标解密策略解密所述目标消息,得到对应的目标解密消息;
所述通讯模块,用于将所述目标加密消息或者所述目标解密消息发送至所述目标对象。
可选的,所述安全模块具体用于:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略为令牌分割策略时,获取所述行内业务系统与所述行外第三方商户预先约定的目标令牌串,按照预设的令牌分割方式将所述目标令牌串中的字符分散设置在所述目标加密消息对应的报文的多个参数中。
可选的,所述安全模块具体用于:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略为令牌还原策略时,根据所述目标消息对应的报文中的各个参数,按照预设的令牌还原方式还原目标令牌串,判断还原得到的所述目标令牌串和所述行内业务系统与所述行外第三方商户预先约定的目标令牌串是否一致,若一致,则确定所述目标消息通过验证。
可选的,所述安全模块具体用于:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略为非对称加密时,使用eID智能安全芯片基于非对称密钥算法生成包括私钥和公钥的密钥对,利用所述私钥对所述目标消息进行电子签名处理,控制所述通讯模块将所述电子签名处理后的所述目标消息发送给所述目标对象。
可选的,所述安全模块具体用于:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略为非对称解密时,获取所述目标消息的发送对象使用eID智能安全芯片基于非对称密钥算法生成的密钥对中的公钥,利用所述公钥对所述目标消息进行电子签名验证,若验证通过,则控制所述通讯模块将所述目标消息发送给所述目标对象。
可选的,所述目标消息的发送对象使用所述eID智能安全芯片之前,需要输入预先设置的eID签名密码,确认所述eID签名密码通过验证后,允许所述发送对象使用eID智能安全芯片基于非对称密钥算法生成所述密钥对。
本申请第二方面提供了一种通信方法,所述方法包括:
根据预先存储的转发规则,针对待发送的目标消息确定对应的目标对象;
当所述目标消息是由行内业务系统向行外第三方商户发送的消息时,根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略;并采用所述目标加密策略加密所述目标消息,得到对应的目标加密消息;或者,当所述目标消息是由行外第三方商户向行内业务系统发送的消息时,根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略;并采用所述目标解密策略解密所述目标消息,得到对应的目标解密消息;
将所述目标加密消息或者所述目标解密消息发送至所述目标对象。
可选的,所述根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略;并采用所述目标加密策略加密所述目标消息,得到对应的目标加密消息,包括:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略为令牌分割策略时,获取所述行内业务系统与所述行外第三方商户预先约定的目标令牌串,按照预设的令牌分割方式将所述目标令牌串中的字符分散设置在所述目标加密消息对应的报文的多个参数中。
可选的,所述根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略;并采用所述目标解密策略解密所述目标消息,得到对应的目标解密消息,包括:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略为令牌还原策略时,根据所述目标消息对应的报文中的各个参数,按照预设的令牌还原方式还原目标令牌串,判断还原得到的所述目标令牌串和所述行内业务系统与所述行外第三方商户预先约定的目标令牌串是否一致,若一致,则确定所述目标消息通过验证。
可选的,所述根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略;并采用所述目标加密策略加密所述目标消息,得到对应的目标加密消息,包括:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略为非对称加密时,使用eID智能安全芯片基于非对称密钥算法生成包括私钥和公钥的密钥对,利用所述私钥对所述目标消息进行电子签名处理,控制所述通讯模块将所述电子签名处理后的所述目标消息发送给所述目标对象。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请实施例提供了一种总线系统,该总线系统包括通讯模块、路由模块和安全模块;其中,路由模块用于根据预先存储的转发规则,针对待发送的目标消息确定对应的目标对象;安全模块用于在目标消息是由行内业务系统向行外第三方商户发送的消息的情况下,根据与该行内业务系统对应的业务的级别,确定适用于该目标消息的目标加密策略,并采用该目标加密策略加密该目标消息得到对应的目标加密消息;该安全模块还用于在目标消息是由行外第三方商户向行内业务系统发送的消息的情况下,根据与该行内业务系统对应的业务的级别,确定适用于该目标消息的目标解密策略,并采用该目标解密策略解密该目标消息得到对应的目标解密消息;通讯模块用于将目标加密消息或者目标解密消息发送至目标对象。
在实际应用中,行内业务系统和行外第三方商户可以通过上述总线系统统一进行通信对接,行内业务系统和行外第三方商户均按照正常方式开发其通信网络即可,不需要进行额外的工作;并且,行内业务系统和行外第三方商户基于该总线系统进行通信时,无需考虑通信安全问题,如此,即保证了通信安全性,又降低了网络复杂程度,便于实现网络管理。
附图说明
图1为本申请实施例提供的总线系统的结构示意图;
图2为本申请实施例提供的eID加密技术的实现过程示意图;
图3为本申请实施例提供的通信方法的流程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
现有技术中,在商业银行实际开展业务的过程中,可能多个行内业务系统对接一个行外第三方商户,也可能一个行内业务系统对接多个行外第三方商户,这样行内业务系统和行外第三方商户之间需要建立错综复杂的连接关系,在开发角度需要开发多次,在网络层面也需要建立多种连接方式,即开发和网络管理角度的实现都十分困难。
针对上述现有技术存在的问题,本申请实施例提供了一种总线系统,该总线系统包括通讯模块、路由模块和安全模块;其中,路由模块用于根据预先存储的转发规则,针对待发送的目标消息确定对应的目标对象;安全模块用于在目标消息是由行内业务系统向行外第三方商户发送的消息的情况下,根据与该行内业务系统对应的业务的级别,确定适用于该目标消息的目标加密策略,并采用该目标加密策略加密该目标消息得到对应的目标加密消息;该安全模块还用于在目标消息是由行外第三方商户向行内业务系统发送的消息的情况下,根据与该行内业务系统对应的业务的级别,确定适用于该目标消息的目标解密策略,并采用该目标解密策略解密该目标消息得到对应的目标解密消息;通讯模块用于将目标加密消息或者目标解密消息发送至目标对象。
在实际应用中,行内业务系统和行外第三方商户可以通过上述总线系统统一进行通信对接,不需要每个行内业务系统单独对接行外第三方商户,行内业务系统和行外第三方商户均按照正常方式开发其通信网络即可,大大降低了网络开发的难度。此外,行内业务系统和行外第三方商户基于该总线系统进行通信时,也无需考虑通信安全问题,降低了行内业务系统的安全开发难度,同时也降低了网络复杂程度,便于实现网络管理。
下面通过实施例对本申请提供的总线系统进行详细介绍。
参见图1,图1为本申请实施例提供的总线系统的结构示意图。如图1所示,该总线系统包括通讯模块110、路由模块120和安全模块130。在实际应用中,行内业务系统与行外第三方商户可以通过该总线系统进行网络对接。
其中,路由模块120用于根据预先存储的转发规则,针对待发送的目标消息确定对应的目标对象。具体的,总线系统接收到目标消息后,路由模块120可以根据自身存储的路由映射表进行路由判断,该路由映射表中存储有行内业务系统与行外第三方商户之间的通信关系,路由模块120可以根据该路由映射表确定总线系统当前接收的目标消息对应的目标对象,即确定应当将该目标消息发送给哪个行外第三方商户或者行内业务系统。
其中,安全模块130用于在目标消息是由行内业务系统向行外第三方商户发送的消息的情况下,根据与该行内业务系统对应的业务的级别,确定适用于该目标消息的目标加密策略,并采用该目标加密策略加密该目标消息得到对应的目标加密消息。此外,该安全模块130还用于在目标消息是由行外第三方商户向行内业务系统发送的消息的情况下,根据与该行内业务系统对应的业务的级别,确定适用于该目标消息的目标解密策略,并采用该目标解密策略解密该目标消息得到对应的目标解密消息。即总线系统可以通过安全模块130,对行内业务系统产生的目标消息加密后发送给行外第三方商户,以及对行外第三方商户产生的目标消息解密后发送给行内业务系统。
具体的,安全模块130可以采用分级制度,对于不同级别、不同种类的行内业务系统,采用不同的安全保密手段对与该行内业务系统相关的目标消息进行加密或者解密处理。
在一些实施例中,安全模块130可以用于在根据与行内业务系统对应的业务的级别,确定适用于目标消息的目标加密策略为令牌分割策略时,获取行内业务系统与行外第三方商户预先约定的目标令牌串,然后按照预设的令牌分割方式,将该目标令牌串中的字符分散设置在该目标加密消息对应的报文的多个参数中。
相对应地,该安全模块130还可以用于在根据与行内业务系统对应的业务的级别,确定适用于目标消息的目标解密策略为令牌还原策略时,根据该目标消息对应的报文中的各个参数,按照预设的令牌还原方式还原目标令牌串,进而判断还原得到的目标令牌串和该行内业务系统与行外第三方商户预先约定的目标令牌串是否一致,若一致,则确定该目标消息通过验证。
示例性的,对于普通产品、安全性要求较低的产品(即银行内部的业务),安全模块130可以采用令牌token分割的方式进行身份验证。token分割方式为行内业务系统与行外第三方商户预先约定token,作为二者之间的密钥字段,然后约定消息对应的报文中的若干参数,将token分散在报文的若干参数中,并且约定一个规律,如按照时间将token分割到报文的不同参数中。
例如,假设行内业务系统与行外第三方商户约定的token为ASDFGHJKL、约定的token分割规律为y=(t-2x)mod10,其中,t为报文发送时间到1970年1月1日00:00:00.000GMT的毫秒数,x为token的第x个字段,mod为除数取余,y为参数的第y个字段。
为了便于计算,可以取一年为365天,那么对2020年1月1日00:00:00.000发送的消息对应的报文,基于token分割规律,A在参数(1576800000000-1)mod10=9位,S在(1576800000000-4)mod10=6位……最后发送的报文为(报文生成时间:2020年1月1日00:00:00.000)(参数1:xxx)(参数2:xxx)…(参数6:S)…(参数9:A),通过将token拆分,并放入消息对应的报文中的不同参数,即使是明文传输,在未知token分割规律的情况下,外界攻击者也难以获取token进行发动网络攻击。
此外,行内业务系统和行外第三方商户进行通信时还可以使用非对称加密技术,即双方需要进行公钥交换,以用于后续目标消息的加密。本申请实施例中的公钥交换涉及第三方证书中心(CertificateAuthority,CA),此处可以使用eID参与加密设计。
在一些实施例中,安全模块130可以用于当根据与行内业务系统对应的业务的级别,确定适用于目标消息的目标加密策略为非对称加密时,使用eID智能安全芯片基于非对称密钥算法生成包括私钥和公钥的密钥对,利用该私钥对目标消息进行电子签名处理,控制通讯模块110将电子签名处理后的目标消息发送给目标对象。
相对应地,安全模块130还可以用于当根据与行内业务系统对应的业务的级别,确定适用于目标消息的目标解密策略为非对称解密时,获取该目标消息的发送对象使用eID智能安全芯片基于非对称密钥算法生成的密钥对中的公钥,利用该公钥对目标消息进行电子签名验证,若验证通过,则控制通讯模块110将目标消息发送给目标对象。
需要说明的是,eID以智能安全芯片为载体,该芯片内部拥有独立的处理器、安全存储单元和密码运算处理器,只能运行专用安全芯片操作系统,其内建芯片安全机制可以抵抗各种物理和逻辑攻击,以确保芯片内部数据无法被非法读取、篡改或使用。
用户开通eID时,智能安全芯片内部会采用非对称密钥算法生成一组公私钥对,这组公私钥对可用于电子签名,其基本原理是:用户可以使用自己的eID私钥对信息进行电子签名后发送给其他人,其他人可以使用该用户的eID公钥对签名信息进行验签。
需要说明的是,目标消息的发送对象使用eID智能安全芯片之前,需要输入预先设置的eID签名密码,确认该eID签名密码通过验证后,允许发送对象使用eID智能安全芯片基于非对称密钥算法生成密钥对。即用户使用eID私钥签名的功能是受eID签名密码保护的,在开通eID时需要用户本人设置eID签名密码,连续输错多次eID签名密码eID功能将被锁定,如此确保使用eID完成的电子签名不可抵赖。基于eID进行认证和加密的方式可参考图2所示的过程。
使用eID加密方案较传统CA颁发的数字证书,由于使用了国产加密算法及相关安全芯片,安全性能大大提高。
其中,通讯模块110用于将由安全模块130加密后的目标加密消息发送给对应的行外第三方商户,或者将由安全模块130解密后的目标解密消息发送给对应的行内业务系统。
在实际应用中,行内业务系统和行外第三方商户可以通过上述总线系统统一进行通信对接,行内业务系统和行外第三方商户均按照正常方式开发其通信网络即可,不需要进行额外的工作;并且,行内业务系统和行外第三方商户基于该总线系统进行通信时,无需考虑通信安全问题,如此,即保证了通信安全性,又降低了网络复杂程度,便于实现网络管理。
本申请实施例还提供了一种通信方法,参见图3,图3为本申请实施例提供的通信方法的流程示意图。如图3所示,该方法包括以下步骤:
步骤301:根据预先存储的转发规则,针对待发送的目标消息确定对应的目标对象;
步骤302:当所述目标消息是由行内业务系统向行外第三方商户发送的消息时,根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略;并采用所述目标加密策略加密所述目标消息,得到对应的目标加密消息;或者,当所述目标消息是由行外第三方商户向行内业务系统发送的消息时,根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略;并采用所述目标解密策略解密所述目标消息,得到对应的目标解密消息;
步骤303:将所述目标加密消息或者所述目标解密消息发送至所述目标对象。
可选的,所述根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略;并采用所述目标加密策略加密所述目标消息,得到对应的目标加密消息,包括:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略为令牌分割策略时,获取所述行内业务系统与所述行外第三方商户预先约定的目标令牌串,按照预设的令牌分割方式将所述目标令牌串中的字符分散设置在所述目标加密消息对应的报文的多个参数中。
可选的,所述根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略;并采用所述目标解密策略解密所述目标消息,得到对应的目标解密消息,包括:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略为令牌还原策略时,根据所述目标消息对应的报文中的各个参数,按照预设的令牌还原方式还原目标令牌串,判断还原得到的所述目标令牌串和所述行内业务系统与所述行外第三方商户预先约定的目标令牌串是否一致,若一致,则确定所述目标消息通过验证。
可选的,所述根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略;并采用所述目标加密策略加密所述目标消息,得到对应的目标加密消息,包括:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略为非对称加密时,使用eID智能安全芯片基于非对称密钥算法生成包括私钥和公钥的密钥对,利用所述私钥对所述目标消息进行电子签名处理,控制所述通讯模块将所述电子签名处理后的所述目标消息发送给所述目标对象。
可选的,所述根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略;并采用所述目标解密策略解密所述目标消息,得到对应的目标解密消息,包括:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略为非对称解密时,获取所述目标消息的发送对象使用eID智能安全芯片基于非对称密钥算法生成的密钥对中的公钥,利用所述公钥对所述目标消息进行电子签名验证,若验证通过,则控制所述通讯模块将所述目标消息发送给所述目标对象。
可选的,所述目标消息的发送对象使用所述eID智能安全芯片之前,需要输入预先设置的eID签名密码,确认所述eID签名密码通过验证后,允许所述发送对象使用eID智能安全芯片基于非对称密钥算法生成所述密钥对。
在实际应用中,行内业务系统和行外第三方商户可以通过上述总线系统统一进行通信对接,行内业务系统和行外第三方商户均按照正常方式开发其通信网络即可,不需要进行额外的工作;并且,行内业务系统和行外第三方商户基于该总线系统进行通信时,无需考虑通信安全问题,如此,即保证了通信安全性,又降低了网络复杂程度,便于实现网络管理。
本申请实施例还提供一种计算机可读存储介质,用于存储程序代码,该程序代码用于执行前述各个实施例所述的一种通信方法中的任意一种实施方式。
本申请实施例还提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行前述各个实施例所述的一种通信方法中的任意一种实施方式。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:Read-OnlyMemory,英文缩写:ROM)、随机存取存储器(英文全称:RandomAccess Memory,英文缩写:RAM)、磁碟或者光盘等各种可以存储计算机程序的介质。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种总线系统,其特征在于,所述总线系统包括:通讯模块、路由模块和安全模块;
所述路由模块,用于根据预先存储的转发规则,针对待发送的目标消息确定对应的目标对象;
所述安全模块,用于当所述目标消息是由行内业务系统向行外第三方商户发送的消息时,根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略;并采用所述目标加密策略加密所述目标消息,得到对应的目标加密消息;
所述安全模块,还用于当所述目标消息是由行外第三方商户向行内业务系统发送的消息时,根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略;并采用所述目标解密策略解密所述目标消息,得到对应的目标解密消息;
所述通讯模块,用于将所述目标加密消息或者所述目标解密消息发送至所述目标对象。
2.根据权利要求1所述的系统,其特征在于,所述安全模块具体用于:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略为令牌分割策略时,获取所述行内业务系统与所述行外第三方商户预先约定的目标令牌串,按照预设的令牌分割方式将所述目标令牌串中的字符分散设置在所述目标加密消息对应的报文的多个参数中。
3.根据权利要求1所述的系统,其特征在于,所述安全模块具体用于:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略为令牌还原策略时,根据所述目标消息对应的报文中的各个参数,按照预设的令牌还原方式还原目标令牌串,判断还原得到的所述目标令牌串和所述行内业务系统与所述行外第三方商户预先约定的目标令牌串是否一致,若一致,则确定所述目标消息通过验证。
4.根据权利要求1所述的系统,其特征在于,所述安全模块具体用于:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略为非对称加密时,使用eID智能安全芯片基于非对称密钥算法生成包括私钥和公钥的密钥对,利用所述私钥对所述目标消息进行电子签名处理,控制所述通讯模块将所述电子签名处理后的所述目标消息发送给所述目标对象。
5.根据权利要求1所述的系统,其特征在于,所述安全模块具体用于:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略为非对称解密时,获取所述目标消息的发送对象使用eID智能安全芯片基于非对称密钥算法生成的密钥对中的公钥,利用所述公钥对所述目标消息进行电子签名验证,若验证通过,则控制所述通讯模块将所述目标消息发送给所述目标对象。
6.根据权利要求5所述的系统,其特征在于,所述目标消息的发送对象使用所述eID智能安全芯片之前,需要输入预先设置的eID签名密码,确认所述eID签名密码通过验证后,允许所述发送对象使用eID智能安全芯片基于非对称密钥算法生成所述密钥对。
7.一种通信方法,其特征在于,所述方法包括:
根据预先存储的转发规则,针对待发送的目标消息确定对应的目标对象;
当所述目标消息是由行内业务系统向行外第三方商户发送的消息时,根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略;并采用所述目标加密策略加密所述目标消息,得到对应的目标加密消息;或者,当所述目标消息是由行外第三方商户向行内业务系统发送的消息时,根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略;并采用所述目标解密策略解密所述目标消息,得到对应的目标解密消息;
将所述目标加密消息或者所述目标解密消息发送至所述目标对象。
8.根据权利要求7所述的方法,其特征在于,所述根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略;并采用所述目标加密策略加密所述目标消息,得到对应的目标加密消息,包括:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略为令牌分割策略时,获取所述行内业务系统与所述行外第三方商户预先约定的目标令牌串,按照预设的令牌分割方式将所述目标令牌串中的字符分散设置在所述目标加密消息对应的报文的多个参数中。
9.根据权利要求7所述的方法,其特征在于,所述根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略;并采用所述目标解密策略解密所述目标消息,得到对应的目标解密消息,包括:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标解密策略为令牌还原策略时,根据所述目标消息对应的报文中的各个参数,按照预设的令牌还原方式还原目标令牌串,判断还原得到的所述目标令牌串和所述行内业务系统与所述行外第三方商户预先约定的目标令牌串是否一致,若一致,则确定所述目标消息通过验证。
10.根据权利要求7所述的方法,其特征在于,所述根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略;并采用所述目标加密策略加密所述目标消息,得到对应的目标加密消息,包括:
当根据与所述行内业务系统对应的业务的级别,确定适用于所述目标消息的目标加密策略为非对称加密时,使用eID智能安全芯片基于非对称密钥算法生成包括私钥和公钥的密钥对,利用所述私钥对所述目标消息进行电子签名处理,控制所述通讯模块将所述电子签名处理后的所述目标消息发送给所述目标对象。
CN202011049619.3A 2020-09-29 2020-09-29 一种总线系统及通信方法 Pending CN112187802A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011049619.3A CN112187802A (zh) 2020-09-29 2020-09-29 一种总线系统及通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011049619.3A CN112187802A (zh) 2020-09-29 2020-09-29 一种总线系统及通信方法

Publications (1)

Publication Number Publication Date
CN112187802A true CN112187802A (zh) 2021-01-05

Family

ID=73945754

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011049619.3A Pending CN112187802A (zh) 2020-09-29 2020-09-29 一种总线系统及通信方法

Country Status (1)

Country Link
CN (1) CN112187802A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113268775A (zh) * 2021-07-16 2021-08-17 深圳市永兴元科技股份有限公司 照片处理方法、装置、系统及计算机可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107508796A (zh) * 2017-07-28 2017-12-22 北京明朝万达科技股份有限公司 一种数据通信方法和装置
CN108121918A (zh) * 2017-12-29 2018-06-05 福建省农村信用社联合社 一种银行内外部服务双向协作系统及方法
CN110995847A (zh) * 2019-12-10 2020-04-10 南京新贝金服科技有限公司 一种应用于多系统通信的保险服务总线实现方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107508796A (zh) * 2017-07-28 2017-12-22 北京明朝万达科技股份有限公司 一种数据通信方法和装置
CN108121918A (zh) * 2017-12-29 2018-06-05 福建省农村信用社联合社 一种银行内外部服务双向协作系统及方法
CN110995847A (zh) * 2019-12-10 2020-04-10 南京新贝金服科技有限公司 一种应用于多系统通信的保险服务总线实现方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113268775A (zh) * 2021-07-16 2021-08-17 深圳市永兴元科技股份有限公司 照片处理方法、装置、系统及计算机可读存储介质
CN113268775B (zh) * 2021-07-16 2021-10-15 深圳市永兴元科技股份有限公司 照片处理方法、装置、系统及计算机可读存储介质

Similar Documents

Publication Publication Date Title
TWI701929B (zh) 密碼運算、創建工作密鑰的方法、密碼服務平台及設備
EP0881559B1 (en) Computer system for protecting software and a method for protecting software
Anderson et al. Programming Satan's computer
AU2002355593B2 (en) Data certification method and apparatus
TW202029044A (zh) 區塊鏈交易的產生方法和裝置
RU2584500C2 (ru) Криптографический способ аутентификации и идентификации с шифрованием в реальном времени
Rezaeighaleh et al. New secure approach to backup cryptocurrency wallets
TWI706658B (zh) 密碼運算、創建工作密鑰的方法、密碼服務平台及設備
JP2007282295A (ja) キー寄託機能付き暗号システムおよび方法
JPH07250060A (ja) 通信における安全保護のための方法
CN110519046A (zh) 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统
CN101399666A (zh) 文件数字证书安全控制方法及系统
CN109034796A (zh) 基于联盟链的交易监管方法、电子装置及可读存储介质
CN110380859B (zh) 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和系统
US20230237437A1 (en) Apparatuses and methods for determining and processing dormant user data in a job resume immutable sequential listing
JP2010231404A (ja) 秘密情報管理システム、秘密情報管理方法、および秘密情報管理プログラム
Sathya et al. A comprehensive study of blockchain services: future of cryptography
CN110098925A (zh) 基于非对称密钥池对和随机数的量子通信服务站密钥协商方法和系统
CN116210199A (zh) 分布式计算系统中的数据管理和加密
CN110266483B (zh) 基于非对称密钥池对和qkd的量子通信服务站密钥协商方法、系统、设备
CN112187802A (zh) 一种总线系统及通信方法
Paillier Paillier Encryption and Signature Schemes.
van Oorschot Public Key Cryptography’s Impact on Society: How Diffie and Hellman Changed the World
CN111369251A (zh) 一种基于用户二级身份结构的区块链交易监管方法
CN110138547A (zh) 基于非对称密钥池对和序列号的量子通信服务站密钥协商方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210105

RJ01 Rejection of invention patent application after publication