CN117714185A - 一种基于国密算法的银行柜面数据处理方法及系统 - Google Patents

一种基于国密算法的银行柜面数据处理方法及系统 Download PDF

Info

Publication number
CN117714185A
CN117714185A CN202311767615.2A CN202311767615A CN117714185A CN 117714185 A CN117714185 A CN 117714185A CN 202311767615 A CN202311767615 A CN 202311767615A CN 117714185 A CN117714185 A CN 117714185A
Authority
CN
China
Prior art keywords
counter
response message
request message
server
original request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311767615.2A
Other languages
English (en)
Inventor
杨志文
李耀
彭磊
黄融
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Zhongbang Bank Co Ltd
Original Assignee
Wuhan Zhongbang Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Zhongbang Bank Co Ltd filed Critical Wuhan Zhongbang Bank Co Ltd
Priority to CN202311767615.2A priority Critical patent/CN117714185A/zh
Publication of CN117714185A publication Critical patent/CN117714185A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种基于国密算法的银行柜面数据处理方法及系统,包括:柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文;柜面服务端对接收的加密后原始请求报文进行解密,获得解密后的原始请求报文;柜面服务端对解密后的原始请求报文进行业务数据存储的机密性及完整性处理,输出响应报文密文;柜面服务端向柜面客户端传输响应报文密文;柜面客户端对接收的响应报文密文进行解密,得到原始响应报文,对原始响应报文进行逻辑处理,输出处理结果。本发明针对金融系统及数据安全产生的各种威胁及提升金融系统核心技术的自主掌控能力和信息安全问题,提升金融系统安全及稳定性、加强数据信息安全保护措施,同时增强客户对银行业的信任度。

Description

一种基于国密算法的银行柜面数据处理方法及系统
技术领域
本发明涉及数据处理技术领域,尤其涉及一种基于国密算法的银行柜面数据处理方法及系统。
背景技术
目前,银行业务在向数字化、网络化转型过程中,往往会遇到对金融系统以及数据安全产生的各种威胁,如恶意软件攻击、黑客入侵及非法访问,为了更好的保障银行的金融安全和稳定及保护银行客户的敏感数据,加强对金融系统及数据安全保护,确保数据在传输、处理和存储的过程中得到有效的加密保护,防止数据被泄露和篡改,采用加密算法加强对数据的保护已成为迫切的需求。
在此基础上,银行业提升金融系统核心技术的自主掌控能力和信息安全可靠性,采用一定的加密安全算法也是十分必要的。而目前的银行业务中,尤其是柜面业务,还没有一套完整的安全加密算法作为支撑,也就无法有效保障柜面业务的安全性和业务的完整性。
发明内容
本发明提供一种基于国密算法的银行柜面数据处理方法及系统,用以解决现有技术中存在的缺陷。
第一方面,本发明提供一种基于国密算法的银行柜面数据处理方法,包括:
柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文;
所述柜面服务端对接收的加密后原始请求报文进行解密,获得解密后的原始请求报文;
所述柜面服务端对所述解密后的原始请求报文进行业务数据存储的机密性及完整性处理,输出响应报文密文;
所述柜面服务端向所述柜面客户端传输所述响应报文密文;
所述柜面客户端对接收的所述响应报文密文进行解密,得到原始响应报文,对所述原始响应报文进行逻辑处理,输出处理结果。
根据本发明提供的一种基于国密算法的银行柜面数据处理方法,柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文之前,还包括:
配置基于国密算法的SM2公钥;
引用基于国模算法的软件算法包;
待柜面应用启动时,初始化公钥信息。
根据本发明提供的一种基于国密算法的银行柜面数据处理方法,柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文,包括:
所述柜面客户端发起原始请求报文;
所述柜面客户端获取基于国密算法的SM4对称秘钥明文,调用基于国密算法的软件算法包的软件密码模块,采用SM4对称秘钥对所述原始请求报文进行加密,生成HMAC,其中所述SM4对称秘钥为GCM模式;
所述柜面客户端调用基于国密算法的软件算法包的软件密码模块,采用SM2公钥对经过SM4加密后的原始请求报文进行二次加密;
所述柜面客户端调用基于国密算法的软件算法包的软件密码模块,采用SM2公钥对SM4对称秘钥进行加密;
所述柜面客户端将加密后的原始请求报文以及加密后的SM4对称秘钥组装后发送至所述柜面服务端。
根据本发明提供的一种基于国密算法的银行柜面数据处理方法,所述柜面服务端对接收的加密后原始请求报文进行解密,获得解密后的原始请求报文,包括:
所述柜面服务端接收所述加密后原始请求报文;
所述柜面服务端调用签名服务器,采用SM2私钥对通过SM2公钥加密后的SM4对称秘钥密文进行解密,获得SM4对称秘钥密文;
所述柜面服务端调用签名服务器,采用SM2私钥对通过SM2公钥二次加密后的原始请求报文密文进行解密,得到通过SM4对称秘钥加密后的原始请求报文密文;
所述柜面服务端调用基于国密算法的软件算法包的软件密码模块,采用SM4对称秘钥对通过SM4对称秘钥加密后的原始请求报文密文进行解密并验证HMAC,其中所述SM4对称秘钥为GCM模式。
根据本发明提供的一种基于国密算法的银行柜面数据处理方法,所述柜面服务端对所述解密后的原始请求报文进行业务数据存储的机密性及完整性处理,输出响应报文密文,包括:
所述柜面服务端调用加密机,对金融数据安全为三级数据类型的数据进行机密性加密;
所述柜面服务端调用加密机,对加密后的三级数据类型的数据密文进行完整性加密;
将加密后的数据信息存储至柜面服务端数据库,完成柜面服务端业务逻辑处理。
根据本发明提供的一种基于国密算法的银行柜面数据处理方法,所述柜面服务端向所述柜面客户端传输所述响应报文密文,包括:
所述柜面服务端调用基于国密算法的软件算法包的软件密码模块,采用SM4对称秘钥对响应报文进行加密,其中所述SM4对称秘钥为GCM模式;
所述柜面服务端将加密后的响应报文进行组装后发送至所述柜面客户端。
根据本发明提供的一种基于国密算法的银行柜面数据处理方法,所述柜面客户端对接收的所述响应报文密文进行解密,得到原始响应报文,对所述原始响应报文进行逻辑处理,输出处理结果,包括:
所述柜面客户端接收所述响应报文密文;
所述柜面客户端调用基于国密算法的软件算法包的软件密码模块,采用SM4对称秘钥对所述响应报文密文进行解密,生成所述原始响应报文,其中所述SM4对称秘钥为GCM模式;
所述柜面客户端对所述原始响应报文进行前端逻辑处理,待业务处理完成,结束交易。
第二方面,本发明还提供一种基于国密算法的银行柜面数据处理系统,包括:
第一处理模块,用于柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文;
第二处理模块,用于所述柜面服务端对接收的加密后原始请求报文进行解密,获得解密后的原始请求报文;
第三处理模块,用于所述柜面服务端对所述解密后的原始请求报文进行业务数据存储的机密性及完整性处理,输出响应报文密文;
第四处理模块,用于所述柜面服务端向所述柜面客户端传输所述响应报文密文;
第五处理模块,用于所述柜面客户端对接收的所述响应报文密文进行解密,得到原始响应报文,对所述原始响应报文进行逻辑处理,输出处理结果。
第三方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述基于国密算法的银行柜面数据处理方法。
第四方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述基于国密算法的银行柜面数据处理方法。
本发明提供的基于国密算法的银行柜面数据处理方法及系统,目的在于解决银行业务在向数字化、网络化转型的过程中,遇到的金融系统及数据安全产生的各种威胁及提升金融系统核心技术的自主掌控能力和信息安全问题,提升金融系统安全及稳定性、加强数据信息安全保护措施,同时增强客户对银行业的信任度。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的基于国密算法的银行柜面数据处理方法的流程示意图之一;
图2是本发明提供的基于国密算法的银行柜面数据处理方法的流程示意图之二;
图3是本发明提供的基于国密算法的银行柜面数据处理系统的结构示意图;
图4是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有技术中存在的不足,本发明通过引入国密算法,目的在于解决银行业务在向数字化、网络化转型的过程中,遇到的对金融系统及数据安全产生的各种威胁及同时提升金融系统核心技术的自主掌控能力和信息安全的可靠性的问题。
本发明中涉及的算法包括国密SM2算法和国密SM4算法,其中:
SM2是一种公钥加密算法,用于实现机密通信和数字签名。SM2采用椭圆曲线密码学,其私钥长度为256位,公钥长度为512位,可以提供与1024位RSA算法相当的安全性。该算法由国家密码管理局设计并公开,用于国家关键信息系统的数据加密、解密和数字签名等操作,是我国自主创新的一种密码算法。
SM4是一种对称加密分组密码算法,用于加密大数据量。它的密钥长度为128位,分组长度为128位,具有高效性和安全性,也是我国采用的一种分组密码标准,由密码管理局发布。
可以看出,SM2提供了更高的安全性和更丰富的功能,但计算成本较高,更适用于身份验证和数据完整性校验。SM4是一种适用于快速加密大量数据的对称算法,但需要安全的密钥交换机制。一般来说,对称加密用于数据保密,而非对称加密用于身份验证和密钥交换。在许多现实场景中,这两种类型的算法会结合使用,以充分利用各自的优势。
此外,还包括研磨周期监测仪(Grinding Cycle Monitor,GCM)模式,GCM模式是对称加密算法分组密码的一种工作模式,分组密码工作模式可以分为加密模式、认证模式和认证加密模式等。GCM模式为认证加密模式的一种,提供认证和加密两种功能。GCM模式使用128位的分组大小。
哈希消息认证码(Hash-based Message Authentication Code,HMAC)是一种基于Hash函数和密钥进行消息认证的方法,并在IPSec和其他网络协议(如SSL)中得以广泛应用,现在已经成为事实上的Internet安全标准。
图1是本发明提供的基于国密算法的银行柜面数据处理方法的流程示意图之一,如图1所示,包括:
步骤100:柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文;
步骤200:柜面服务端对接收的加密后原始请求报文进行解密,获得解密后的原始请求报文;
步骤300:柜面服务端对解密后的原始请求报文进行业务数据存储的机密性及完整性处理,输出响应报文密文;
步骤400:柜面服务端向柜面客户端传输响应报文密文;
步骤500:柜面客户端对接收的响应报文密文进行解密,得到原始响应报文,对原始响应报文进行逻辑处理,输出处理结果。
具体地,本发明实施例采用基于国密的SM2算法和SM4算法,引用基于国密算法的软件算法包,调用签名服务器及加密机,实现了金融系统柜面客户端请求柜面服务端报文的处理流程、柜面服务端接收柜面客户端请求报文的处理流程、柜面服务端对业务数据存储的处理流程、柜面服务端响应柜面客户端报文的处理流程、柜面客户端接收柜面服务端响应报文的处理流程中的数据传输及存储的机密性和完整性的方法。
本发明的目的在于解决银行业务在向数字化、网络化转型过程中,遇到的对对金融系统及数据安全产生的各种威胁及同时提升金融系统核心技术的自主掌控能力和信息安全的可靠性的问题,提升金融系统安全及稳定性、加强数据信息安全保护措施,同时增强客户对银行业的信任度。
在上述实施例的基础上,如图2所示,柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文之前,还包括:
配置基于国密算法的SM2公钥;
引用基于国模算法的软件算法包;
待柜面应用启动时,初始化公钥信息。
在上述实施例的基础上,如图2所示,柜面客户端传输具有机密性及完整性的请求报文处理流程,包括以下步骤;
(1)柜面客户端发起交易请求,即原始请求报文;
(2)柜面客户端获取基于国密算法的SM4对称秘钥明文,调用基于国密算法的软件算法包的软件密码模块,并使用SM4对称秘钥(GCM模式)对原始请求报文进行加密并生成HMAC;
(3)柜面客户端调用基于国密算法的软件算法包的软件密码模块,使用SM2公钥对通过SM4加密后的请求报文进行二次加密;
(4)柜面客户端调用基于国密算法的软件算法包的软件密码模块,使用SM2公钥对SM4对称秘钥进行加密;
(5)柜面客户端组装加密后的请求报文及加密后SM4对称秘钥并发送至柜面服务端。
在上述实施例的基础上,如图2所示,柜面服务端对接收到的具有机密性及完整性请求报文密文的解密处理流程,包括以下步骤;
(1)柜面服务端接收到柜面客户端加密后的请求报文;
(2)柜面服务端调用签名服务器使用SM2私钥对通过SM2公钥加密后的SM4对称秘钥密文进行解密,获得SM4对称秘钥明文;
(3)柜面服务端调用签名服务器使用SM2私钥对通过SM2公钥二次加密后的请求报文密文进行解密,得到通过SM4对称秘钥加密后的请求报文密文;
(4)柜面服务端调用基于国密算法的软件算法包的软件密码模块,使用SM4对称秘钥(GCM模式)对通过SM4对称秘钥加密后的请求报文密文进行解密并验证HMAC。
在上述实施例的基础上,如图2所示,柜面服务端得到原始请求报文,进行相关业务逻辑处理,其中包含对业务数据存储的机密性及完整性处理,包括以下步骤;
(1)柜面服务端调用加密机对金融数据安全定为三级数据类型的数据进行加密;
(2)柜面服务端调用加密机对加密后的三级数据类型的数据密文进行MAC完整性加密;
(3)柜面服务端数据库存储加密后的数据信息,柜面服务端业务逻辑处理完成。
在上述实施例的基础上,如图2所示,柜面服务端传输具有机密性及完整性响应报文处理流程,包括以下步骤;
(1)柜面服务端调用基于国密算法的软件算法包的软件密码模块,使用基于国密算法的SM4对称秘钥(GCM模式)对服务端响应报文进行加密;
(2)柜面服务端组装加密后的响应报文并发送至柜面客户端。
在上述实施例的基础上,如图2所示,柜面客户端对接收到的具有机密性及完整性响应报文密文的解密处理流程,包括以下步骤;
(1)柜面客户端接收到柜面服务端加密后的响应报文;
(2)柜面客户端调用基于国密算法的软件算法包的软件密码模块,使用基于国密算法的SM4秘钥(GCM模式)对通过SM4对称秘钥加密后响应报文进行解密;
(3)柜面客户端得到原始响应报文,并进行前端逻辑处理,业务处理完成,交易结束。
下面对本发明提供的基于国密算法的银行柜面数据处理系统进行描述,下文描述的基于国密算法的银行柜面数据处理系统与上文描述的基于国密算法的银行柜面数据处理方法可相互对应参照。
图3是本发明实施例提供的基于国密算法的银行柜面数据处理系统的结构示意图,如图3所示,包括:第一处理模块31、第二处理模块32、第三处理模块33、第四处理模块34和第五处理模块35,其中:
第一处理模块31用于柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文;第二处理模块32用于所述柜面服务端对接收的加密后原始请求报文进行解密,获得解密后的原始请求报文;第三处理模块33用于所述柜面服务端对所述解密后的原始请求报文进行业务数据存储的机密性及完整性处理,输出响应报文密文;第四处理模块34用于所述柜面服务端向所述柜面客户端传输所述响应报文密文;第五处理模块35用于所述柜面客户端对接收的所述响应报文密文进行解密,得到原始响应报文,对所述原始响应报文进行逻辑处理,输出处理结果。
图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)410、通信接口(Communications Interface)420、存储器(memory)430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行基于国密算法的银行柜面数据处理方法,该方法包括:柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文;所述柜面服务端对接收的加密后原始请求报文进行解密,获得解密后的原始请求报文;所述柜面服务端对所述解密后的原始请求报文进行业务数据存储的机密性及完整性处理,输出响应报文密文;所述柜面服务端向所述柜面客户端传输所述响应报文密文;所述柜面客户端对接收的所述响应报文密文进行解密,得到原始响应报文,对所述原始响应报文进行逻辑处理,输出处理结果。
此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的基于国密算法的银行柜面数据处理方法,该方法包括:柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文;所述柜面服务端对接收的加密后原始请求报文进行解密,获得解密后的原始请求报文;所述柜面服务端对所述解密后的原始请求报文进行业务数据存储的机密性及完整性处理,输出响应报文密文;所述柜面服务端向所述柜面客户端传输所述响应报文密文;所述柜面客户端对接收的所述响应报文密文进行解密,得到原始响应报文,对所述原始响应报文进行逻辑处理,输出处理结果。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于国密算法的银行柜面数据处理方法,其特征在于,包括:
柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文;
所述柜面服务端对接收的加密后原始请求报文进行解密,获得解密后的原始请求报文;
所述柜面服务端对所述解密后的原始请求报文进行业务数据存储的机密性及完整性处理,输出响应报文密文;
所述柜面服务端向所述柜面客户端传输所述响应报文密文;
所述柜面客户端对接收的所述响应报文密文进行解密,得到原始响应报文,对所述原始响应报文进行逻辑处理,输出处理结果。
2.根据权利要求1所述的基于国密算法的银行柜面数据处理方法,其特征在于,柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文之前,还包括:
配置基于国密算法的非对称加密算法SM2公钥;
引用基于国模算法的软件算法包;
待柜面应用启动时,初始化公钥信息。
3.根据权利要求1所述的基于国密算法的银行柜面数据处理方法,其特征在于,柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文,包括:
所述柜面客户端发起原始请求报文;
所述柜面客户端获取基于国密算法的分组密码SM4对称秘钥明文,调用基于国密算法的软件算法包的软件密码模块,采用SM4对称秘钥对所述原始请求报文进行加密,生成哈希消息认证码HMAC,其中所述SM4对称秘钥为研磨周期监测仪GCM模式;
所述柜面客户端调用基于国密算法的软件算法包的软件密码模块,采用SM2公钥对经过SM4加密后的原始请求报文进行二次加密;
所述柜面客户端调用基于国密算法的软件算法包的软件密码模块,采用SM2公钥对SM4对称秘钥进行加密;
所述柜面客户端将加密后的原始请求报文以及加密后的SM4对称秘钥组装后发送至所述柜面服务端。
4.根据权利要求1所述的基于国密算法的银行柜面数据处理方法,其特征在于,所述柜面服务端对接收的加密后原始请求报文进行解密,获得解密后的原始请求报文,包括:
所述柜面服务端接收所述加密后原始请求报文;
所述柜面服务端调用签名服务器,采用SM2私钥对通过SM2公钥加密后的SM4对称秘钥密文进行解密,获得SM4对称秘钥密文;
所述柜面服务端调用签名服务器,采用SM2私钥对通过SM2公钥二次加密后的原始请求报文密文进行解密,得到通过SM4对称秘钥加密后的原始请求报文密文;
所述柜面服务端调用基于国密算法的软件算法包的软件密码模块,采用SM4对称秘钥对通过SM4对称秘钥加密后的原始请求报文密文进行解密并验证HMAC,其中所述SM4对称秘钥为GCM模式。
5.根据权利要求1所述的基于国密算法的银行柜面数据处理方法,其特征在于,所述柜面服务端对所述解密后的原始请求报文进行业务数据存储的机密性及完整性处理,输出响应报文密文,包括:
所述柜面服务端调用加密机,对金融数据安全为三级数据类型的数据进行机密性加密;
所述柜面服务端调用加密机,对加密后的三级数据类型的数据密文进行完整性加密;
将加密后的数据信息存储至柜面服务端数据库,完成柜面服务端业务逻辑处理。
6.根据权利要求1所述的基于国密算法的银行柜面数据处理方法,其特征在于,所述柜面服务端向所述柜面客户端传输所述响应报文密文,包括:
所述柜面服务端调用基于国密算法的软件算法包的软件密码模块,采用SM4对称秘钥对响应报文进行加密,其中所述SM4对称秘钥为GCM模式;
所述柜面服务端将加密后的响应报文进行组装后发送至所述柜面客户端。
7.根据权利要求1所述的基于国密算法的银行柜面数据处理方法,其特征在于,所述柜面客户端对接收的所述响应报文密文进行解密,得到原始响应报文,对所述原始响应报文进行逻辑处理,输出处理结果,包括:
所述柜面客户端接收所述响应报文密文;
所述柜面客户端调用基于国密算法的软件算法包的软件密码模块,采用SM4对称秘钥对所述响应报文密文进行解密,生成所述原始响应报文,其中所述SM4对称秘钥为GCM模式;
所述柜面客户端对所述原始响应报文进行前端逻辑处理,待业务处理完成,结束交易。
8.一种基于国密算法的银行柜面数据处理系统,其特征在于,包括:
第一处理模块,用于柜面客户端向柜面服务端发送具有机密性及完整性的原始请求报文;
第二处理模块,用于所述柜面服务端对接收的加密后原始请求报文进行解密,获得解密后的原始请求报文;
第三处理模块,用于所述柜面服务端对所述解密后的原始请求报文进行业务数据存储的机密性及完整性处理,输出响应报文密文;
第四处理模块,用于所述柜面服务端向所述柜面客户端传输所述响应报文密文;
第五处理模块,用于所述柜面客户端对接收的所述响应报文密文进行解密,得到原始响应报文,对所述原始响应报文进行逻辑处理,输出处理结果。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述基于国密算法的银行柜面数据处理方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述基于国密算法的银行柜面数据处理方法。
CN202311767615.2A 2023-12-19 2023-12-19 一种基于国密算法的银行柜面数据处理方法及系统 Pending CN117714185A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311767615.2A CN117714185A (zh) 2023-12-19 2023-12-19 一种基于国密算法的银行柜面数据处理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311767615.2A CN117714185A (zh) 2023-12-19 2023-12-19 一种基于国密算法的银行柜面数据处理方法及系统

Publications (1)

Publication Number Publication Date
CN117714185A true CN117714185A (zh) 2024-03-15

Family

ID=90144148

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311767615.2A Pending CN117714185A (zh) 2023-12-19 2023-12-19 一种基于国密算法的银行柜面数据处理方法及系统

Country Status (1)

Country Link
CN (1) CN117714185A (zh)

Similar Documents

Publication Publication Date Title
CN109309565B (zh) 一种安全认证的方法及装置
CN104158653B (zh) 一种基于商密算法的安全通信方法
JP3560439B2 (ja) 暗号キーの回復を実行する装置
CN108650210A (zh) 一种认证系统和方法
WO2017097041A1 (zh) 数据传输方法和装置
CN111147225A (zh) 基于双密值和混沌加密的可信测控网络认证方法
Ngo et al. Dynamic Key Cryptography and Applications.
CN110059458B (zh) 一种用户口令加密认证方法、装置及系统
WO2016058404A1 (zh) 基于预共享密钥的实体鉴别方法及装置
JP2011125020A (ja) 非証明書公開キーインフラストラクチャーに基づく、安全なクライアント・サーバー間の通信を設計するシステムおよび方法
CN111614621B (zh) 物联网通信方法和系统
CN110505055B (zh) 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统
CN113806772A (zh) 基于区块链的信息加密传输方法及装置
CN112351037B (zh) 用于安全通信的信息处理方法及装置
US10630466B1 (en) Apparatus and method for exchanging cryptographic information with reduced overhead and latency
CN110493177B (zh) 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统
TW201537937A (zh) 統一身份認證平臺及認證方法
CN110868291A (zh) 一种数据加密传输方法、装置、系统及存储介质
CN111130775A (zh) 一种密钥协商方法、装置及设备
CN113507372A (zh) 一种接口请求的双向认证方法
CN118214558B (zh) 一种数据流通处理方法、系统、装置及存储介质
CN110519222B (zh) 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统
CN117081736A (zh) 密钥分发方法、密钥分发装置、通信方法及通信装置
CN116743470A (zh) 业务数据加密处理方法及装置
CN116132025A (zh) 一种基于预置密钥组的密钥协商方法、装置和通信系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination