電子支付密碼器的云化技術實現及其推廣應用價值

沈國民 丁鵬

摘? 要： 支付密碼器產品，作為銀行防范票據金融詐騙的商用密碼產品，自2000年開始制訂相關國家標準，在全國逐步推廣，到2020年普及率達到了70%左右。但隨著金融科技的日新月異高速發展，原有支付密碼器產品的可用性變差，而“云支付密碼器”是一個很好的替代升級產品?！霸浦Ц睹艽a系統”是將原實物密碼器中的專用算法芯片，集中存放到云端，用戶只需在客戶端使用電腦、手機、PAD等終端設備，用密碼器軟件即“云支付密碼器”就可以方便地計算票據的支付密碼，并進行相應的管理。

關鍵詞： 支付密碼; 電子支付密碼器; 支付密碼核驗系統; 云支付密碼器

中圖分類號：TP393.1? ? ? ? ? 文獻標識碼：A? ? ?文章編號：1006-8228（2021）09-120-05

Abstract： Since 2000， payment cipher products， as a commercial cipher products to prevent financial fraud in bills， began to formulate relevant national standards and gradually promoted in the country. Until 2020，the products penetration rate reached about 70%. However， with the development of financial technology， the original payment cipher product is no longer suitable for actual use， and "Cloud Payment Cipher Product" is a good alternative to upgrade the product. The "Cloud Payment Cipher System" is to centrally store the special algorithm chip in the original physical cryptographer into the cloud， and the user only needs to use the terminal devices such as computer， mobile phone， PAD， etc.， and the supporting software， named "Cloud Payment Cipher System"， to conveniently calculate and correspondingly manage the payment password of the bill.

Key words： payment password; payment cipher product; payment cipher verification system; cloud payment cipher product

0 引言

支付密碼[1]是銀行票據業務中很好的密碼防偽和風險管控的手段，本文就實物電子支付密碼器[2]的應用現狀和云支付密碼器的推出，進行研究、分析和論證。

自2000年伊始，支付密碼器在大部分國有銀行與股份制銀行中推廣應用，據不完全統計，全國有4000多萬個企業基本戶，6800多萬個企業結算賬戶，支付密碼器的普及率達到70%左右。

在金融科技高速發展的今天，在銀行對公業務逐步線上化的今天，采用云支付密碼技術，銀行可以更好地降本增效，提升用戶體驗，同時也為銀企票據結算業務提供更先進、更高效的鑒別手段。

1 支付密碼器簡介

1.1 支付密碼器的基本原理

支付憑證（主要是支票）的簽發人將憑證上的有關要素輸入支付密碼器，經加密運算后生成16位數字的支付密碼填寫在支付憑證上。銀行利用計算機設備對支付憑證的有關要素及支付密碼進行核驗，確定憑證的真實性[1]。

圖1是一張使用支付密碼的轉賬支票，8888...8888所示位置即為支付密碼。

由于支付密碼是根據票面的簽發人賬號、業務種類、簽發日期、憑證號碼、金額等要素生成。票面要素的改動會引起支付密碼不可預知的變化。

支付密碼作為圖形簽章識別的補充，是一種用以加強支票等支付憑證簽發和付款安全管理的有效安全防范手段。

1.2 支付密碼的應用流程

支付密碼的應用主要通過三個過程完成：①通過銀行前臺的支付密碼管理終端（柜員終端）完成對支付密碼器的初始化發行并增加賬號;②企業財會人員在簽發票據時，用支付密碼器生成16位支付密碼，并抄寫到票據上;③帶有支付密碼的票據到銀行柜面受理時，通過銀行的計算機系統中支付密碼核驗系統[3]進行支付密碼的核驗并入賬處理。如圖2所示。

1.3 支付密碼在銀行對公業務中的作用

票據安全防偽 降低銀行前臺柜員折角驗章的難度，確保簽發人身份的唯一合法，防止銀企資金糾紛。

行內票據通兌 通過結合銀行印章管理系統或票據印章掃描識別系統，為企業客戶實現行內票據的通存通兌。

跨行實時清算 票據電子化由于沒有可靠的技術防范手段，大規模的普及應用始終難以真正實現，使用了支付密碼核驗系統[3]后，結合人民銀行的綜合業務系統中的大/小額支付系統，以及票據影像交換系統，可以實現票據的電子化的實時交換和清算，大大降低企業的在途資金，充分提高資金的利用效率。

全程密碼護航 使用了支付密碼器后，票據從簽發時開始，就受到支付密碼的保護，無論在流轉使用過程中，還是在銀行受理結算過程中，票據都受到了支付密碼的嚴密保護。票面數據無法修改，任何人也不可能冒充合法用戶生成正確的支付密碼，有效地防范了票據金融詐騙犯罪。

1.4 支付密碼器推廣應用過程中存在的問題

支付密碼器在推廣應用過程中存在著一些問題，主要表現在以下三個方面。

⑴ 用戶體驗亟待改進?，F在使用的實物支付密碼器是2000年初期研發的密碼設備，限于當時的技術水平和使用人員的習慣，該設備就象一個計算密碼的簡單計算器一樣，只便于單人使用，也不便于隨身攜帶，難以支持移動辦公和授權。

⑵ 商業銀行在推廣應用過程，需要耗費大量人力物力。從招標選型采購，到行內配送結算盤點，再到柜面培訓產品維保等等，都需要商業銀行投入大量的人力物力。

⑶ 傳統的支付密碼器應用場景單一，只適合企業財務人在辦公室單機使用，無法聯網，無法做到集體多人授權使用，并且功能單一，無法應用到需要動態密碼和多級授權的其他對公業務中去，缺乏對銀行業務創新發展的持續支撐。

2 云支付密碼器的推出和應用

2.1 云支付密碼器的推出

“云支付密碼器”是在支付密碼專用算法芯片SSX10[2]的基礎上，結合了當前互聯網云計算、WEB服務、小程序微應用等技術，形成的升級產品。銀行的企業用戶除了可以使用實物電子支付密碼器外，還可以使用“云支付密碼器”（密碼器軟件客戶端）通過互聯網完成票據支付密碼的計算，并進行相應管理。

2.2 云支付密碼器的技術原理

云支付密碼器區別于實物電子支付密碼器單機計算器形態。云支付密碼器將嵌入式軟件功能升級為平臺級系統服務，因此可以通過聯網方式提供應用服務。

在服務端，在后臺服務管理軟件的支撐下，將64塊硬件算法芯片SSX10集成到專用設備——支付密碼集中生成器中，集中對外提供SSX10算法芯片計算服務功能。

在客戶端，企業財務人員采用終端外設，比如手機、電腦、PAD等，通過支付密碼器軟件即“云支付密碼器”，聯網計算出票據的支付密碼，并進行相應管理。

2.2.1 云支付密碼器的系統架構

云支付密碼器系統分為五層，分別為展示交互層、交易通訊層、業務服務層、數據層、硬件層。如圖3所示。

展示交互層共有APP、小程序、Web等多種交互終端形式。其中APP和小程序主要面向應用終端，Web主要面向管理終端。

交易通訊層，具備HTTPS和TCP兩種通訊方式。對公網開放應用接口均采用HTTPS，而對金融機構內網開放的接口均采用TCP。

業務服務層，分為應用服務和管理服務兩大類，分別用于各業務功能的邏輯處理。

數據庫層，支持Oracle、DB2、MySQL等主流關系型數據庫。

硬件層，則由集成64個SSX10專用算法芯片的支付密碼集中生成器承擔。

2.2.2 云支付密碼器的軟件系統

云支付密碼器軟件系統采用J2EE架構。系統根據運行分工，分別由不同的組件處理。通訊組件對外支持HTTPS和TCP兩種連接模式。對公網開放應用接口均采用HTTPS，而對金融機構內網開放的接口均采用TCP。芯片服務組件負責調用和激活支付密碼集中生成器設備的芯片算法服務。其他組件分別負責管理業務邏輯處理、數據庫、日志等。軟件系統支持Oracle、DB2、MySQL等主流關系型數據庫

2.2.3 支付密碼集中生成器

支付密碼集中生成器是一臺集成了64個可插拔的SSX10算法芯片的專用密碼設備。

⑴ 設備連接64片SSX10算法芯片，MCU確保所有的SSX10算法芯片最優化運行，確保每個加密芯片都能高效的使用，多路并發處理。

⑵ 單路數據總線通過八路CPLD總線擴展，連接64個SSX10算法芯片，實現八路數據總線并發處理。

⑶ 采用流水線架構，實現64個SSX10算法芯片迅速響應，在上層應用實現多路并發的情況下，仍保證同時只有一個加密芯片讀寫操作時，其他芯片處于待機或加密計算過程。

⑷ 軟件首先測試SSX10算法芯片的IO性能，然后計算總線帶寬所能支持的加密芯片個數，并設計某種機制，同時檢測運行多路總線及其總線上的多個設備，實現整機性能的提高。

⑸ 在SSX10算法芯片總線導致破壞原有的SRAM總線時，CPU芯片的內存里完成整機的功能：在一路網絡連接上，同時接收執行多個加密業務，異步返回計算結果，該機制和上位機軟件協調設計并實現。

2.3 系統部署方案

支付密碼云服務系統由云碼客戶端、云碼應用端服務系統（AppServer）、云碼業務服務系統（EpassServer）、支付密碼集中密碼機和數據庫組成。支付密碼云服務系統部署方式采用同城多活模式。如圖4所示。

云碼業務服務系統、支付密碼集中密碼機和數據庫部署與銀行核心應用區。云碼業務服務系統部署雙機，通過負載均衡向云碼應用端服務系統提供服務。數據庫采用集群部署。

云碼應用端服務系統部署在DMZ區。云碼應用端服務系統采用雙機部署，通過負載均衡為云碼客戶端提供應用支持。

云碼客戶端支持綁定銀行微信小程序。同時也可以根據銀行定制需求，將云碼服務作為應用模塊加入到銀行的企業網銀和手機銀行中。

2.4 云支付密碼器的特點

⑴ 延用原有支付密碼技術 該技術經過十多年的市場考驗，已成為銀行票據支付結算領域的主流的、全社會通用的防偽加密技術?；赟M2、SM4國密算法的混合加解密體系，在保證數據通訊及時性的同時，也提高了產品的安全性。

⑵ 與原支付密碼系統兼容并行 本系統完全兼容銀行原有支付密碼核驗系統，可與目前的實物電子支付密碼器兼容并行使用。

⑶ 支持支付密碼的互聯網云計算 基于J2EE技術棧開發的支付云密碼服務系統，支持分布式微服務化擴展。系統具備高可用、可伸縮特性，原生態支持負載均衡、水平擴展。在萬物互聯時代，改變了硬件支付密碼器單機的模式，支持通過互聯網來計算支付密碼，同時也大大提高了支付密碼應用的擴展性。

2.5 云支付密碼器的作用

2.5.1 云支付密碼器對銀行的意義

⑴ 提升客戶服務體驗 為提升客戶使用服務體驗，在客戶選擇實物密碼器的同時，可為其開通云支付密碼器?？蔀榭蛻籼峁┒鄻踊闹Ц睹艽a使用體驗。

⑵ 對公快捷支付的移動授權 為對公快捷支付等創新業務，提供一套可以兼容CFCA的“在線支付 移動授權”的風控措施。

⑶ 提供統一的密碼服務基礎設施 為各種對公業務提供統一的密碼基礎設施，包括票據、網銀、單位人民結算卡……

⑷ 與銀行原有系統的無縫銜接 無需銀行柜面系統和后臺支付密碼核驗系統改造，并與銀行現有業務流程一致，簡化了企業用戶支付密碼業務的開通流程。

2.5.2 云支付密碼器對客戶的意義

⑴ 多樣化的使用體驗 提供用戶根據企業自身情況自助搭配選擇實物支付密碼器、“云支付密碼器”。

⑵ 企業財務內控便捷高效 一個“云支付密碼器”小程序，可以由多級財務管理人員授權使用，共同監管，便捷高效。

⑶ 支持移動辦公 在手機上就可進行支付密碼的計算、授權和查詢等功能，支持移動辦公，適應企管高效需求。

⑷ 真正做到資金管理一手掌控 使企業的財務管理人，真正做到資金管理，一手撐控，而不象U盾那樣只能在網銀上在線使用。

2.6 云支付密碼器與實物電子支付密碼器的結合使用

云支付密碼云具有與傳統實物電子支付密碼器并行的特性，用戶可根據自身需求自行選擇實物支付密碼器或者云支付密碼器。針對部分企業客戶票據結算業務量小，銀行也可以采取分級模式，重點客戶實物支付密碼器與云支付密碼器同時使用，給客戶多樣化的選擇;小微客戶可以直接使用云支付密碼器，在保障票據業務安全的前提下，減少客戶在實物支付密碼器的購買與使用成本。

2.7 實物電子支付密碼器與云支付密碼器的比較（見表1）

3 結束語

隨著時代進步和科技發展，更多的新技術如雨后春筍迭出。基于云技術的云支付密碼器的應用和推廣相對實物支付密碼器產品而言，有著諸多好處。

⑴ 集約各類社會資源。減少了物料投入、運輸、管理等各方面的物理成本和人力成本，也減少了設備老化報廢后的污染和排放。

⑵ 用戶體驗得到極大提升。隨著會計電算化和手機APP應用的普及，為云支付密碼器的使用，打下了良好的客戶基礎。隨身攜帶、軟件界面的新一代云密碼器，極大方便了中小微企業管理者和會計人員的管理和使用。

⑶ 云密碼器兼容原有實物支付密碼器，可以通過同賬號的增發的技術，為用戶提供多元化的服務和體驗，企業客戶可自主選擇使用云支付密碼器或實物支付密碼器，充分保障了原有用戶的利益。

⑷ 為拓展銀行對公業務創新和模式創新提供了更多可能。

⑸ 為創建區域金融安全，提供良好的金融安全云密碼服務平臺。

在國家戰略和新時代背景下，金融科技作為重中之重也在日新月異發展。銀行對公業務作為金融科技的核心組成部分，原有支付密碼器產品已不適合實際使用和管理，而“云支付密碼”作為一個兼顧既有功能、疊加最新技術而產生的升級換代產品，必將在銀行對公業務拓展過程中，發揮出巨大的作用。

參考文獻（References）：

[1] 中國人民銀行.支付密碼器系統業務需求，2001.

[2] 國家密碼管理局.支付密碼器系統通用性技術規范，2001.

[3] 國家密碼管理局.支付密碼器系統綜合性能檢測規范，2001.