虛擬銀行教學軟件系統的設計、實現與應用

張　璇　黃勤龍　彭　朋　李成功

文章編號：1672-5913(2009)10-0187-03

摘要：隨著教育信息化的發展，高等教育領域對教學軟件的需求不斷增加，本文介紹了為“安全電子支付與電子貨幣”課程設計并實現的虛擬銀行教學軟件系統VBR，該系統為學生提供了一個全方位、真實的學習與實踐環境。通過在教學中使用本教學軟件系統，不僅增強了學生運用信息安全專業知識的意識，充分發揮了學生自主探索式學習，更重要的是提高了學生的工程實踐能力，取得了良好的教學效果。

關鍵詞：虛擬銀行教學軟件系統；信息安全；安全電子支付；虛擬網上銀行；CA認證中心；虛擬購物中心

中圖分類號：G642

文獻標識碼：B

1引言

教育信息化不僅是國民經濟和社會信息化的重要組成部分，也是教育發展全局中的關鍵環節，將信息技術與教學進行整合，構造可視化、可接觸、所見即所得的學習環境成為了必然趨勢，其中，教學軟件就是一個重要應用，通過教學軟件的使用，可以滿足隨時隨地終身學習的需求，提升現代教育的質量和水平。

“安全電子支付與電子貨幣”是云南大學軟件學院信息安全專業選修課程，課程內容圍繞安全電子支付的技術和系統進行講授。由于課程內容以金融知識和相關信息安全知識為基礎，而大部分學生沒有使用網上銀行的經歷，也沒有網絡購物以及網上支付的經歷，如果單純用傳統的文字、幻燈等教學方式是無法滿足教學需要的，另外，軟件學院要求學生具備過硬的工程素質，而一個完整的安全電子支付系統需要多個基礎系統的支持。因此，我們為本門課程設計并開發了一套虛擬銀行教學軟件系統VBR(Virtual Bank Room)，用以輔助課程的教學，這套系統真實地模擬了現代網上銀行的功能，可以幫助學生理解課堂上學習的相關基礎知識，使學生可以針對信息安全知識進行運用，充分發揮學生自主探索式學習，增強學生運用知識的意識，同時也為學生的進一步工程實踐提供了一個基礎平臺。

2教學軟件系統的設計與實現

VBR虛擬銀行教學軟件系統由虛擬網上銀行、CA認證中心、虛擬購物中心三個子系統構成(見圖1)。其中，虛擬網上銀行子系統真實模擬了現代網上銀行的基本功能，包括：用戶管理、賬戶管理、轉賬匯款、網上支付、業務管理以及系統管理，其中，用戶管理、賬戶管理、轉賬匯款以及網上支付模塊是提供給虛擬銀行用戶，即學生使用的，業務管理模塊是提供給虛擬銀行工作人員使用的，而系統管理模塊是提供給虛擬銀行系統管理員維護系統使用的，虛擬銀行工作人員和系統管理員可以由教師或者指定的學生擔任。另外，參照中國金融認證中心CFCA，我們實現了虛擬銀行的CA認證中心子系統，用以提供用戶身份認證并支持安全網絡傳輸服務，為虛擬銀行用戶提供更強的安全保護并為將來支持安全電子支付系統的實現提供支撐。而且我們還在VBR中實現了一個虛擬購物中心子系統，提供虛擬的購物環境，這類似于很多銀行提供的網上商城，學生可以在虛擬購物中心中進行模擬購物，在CA認證中心獲取數字證書，通過虛擬網上銀行進行網上支付，當然，為了完成網上支付，只有虛擬網上銀行、CA認證中心和虛擬購物中心是不夠的，我們需要提供支持網上支付的協議或者系統，因此，我們在實現該教學軟件系統的基礎上為學生示范實現了SET(Secure Electronic Transaction)協議用于實現安全網上支付，提供給學生一個非常完整而真實的體驗環境，讓學生不僅真實體驗網上銀行功能，感受電子支付過程，也為學生將來進行進一步的工程實踐提供參考。

整套教學軟件系統的設計與實現：

(1) 滿足“安全電子支付與電子貨幣”課程的目標，這套系統支持讓學生運用已經具備的信息安全基礎知識來學習金融領域中電子支付相關安全技術與系統，并提供進行相關工程實踐的基礎；

(2) 充分體現信息安全專業學生的培養特色：整套教學軟件系統的設計和實現是以安全為基礎的，虛擬網上銀行系統要為銀行用戶提供安全保障，CA認證中心是安全

基礎設施中的核心組件，而電子支付的實現更是安全的應用，因此，信息安全專業的學生通過使用該套教學軟件系統不僅可以學習到相關知識，而且可以進行真實體驗以及進行相關安全工程的實踐；

(3) 強調對軟件學院學生工程能力的培養：通過以該教學軟件系統為基礎的實踐可以有效的鍛煉學生的工程能力。

我們采用Visual Studio 2008、SQL Server 2005和OpenSSL實現了整套系統，由于虛擬購物中心相對于虛擬網上銀行和CA認證中心來說，其設計實現的安全要求不是很高，因此，下面我們針對虛擬銀行教學軟件系統中的虛擬網上銀行子系統和CA認證中心子系統的關鍵技術實現來進行說明，然后介紹基于這套教學軟件系統進行的SET安全電子支付協議應用示范。

2.1虛擬網上銀行關鍵技術實現——數據庫加密

VBR虛擬銀行教學軟件系統中的虛擬網上銀行子系統雖然是模擬真實世界中的網上銀行系統，但是，為了強調其真實性，突出信息安全專業特色，加強對學生專業技能的培養，我們對虛擬網上銀行子系統中的敏感數據實施了加密安全保護技術，也就是對虛擬網上銀行管理的各類關鍵敏感信息進行加密存儲，整個數據庫以密文形式保存。在將數據以密文形式保存于數據庫后，如何進行高效的數據檢索是我們解決的另外一個問題，因為原來針對明文數據的檢索語句不可以直接運用到密文數據庫的檢索過程，而如果在檢索前先對加密數據進行解密，然后對解密數據進行檢索是不安全和不高效的，因此，我們設計了一種高效的密文檢索算法。通過這種安全保護，可以有效減少來自于數據庫的安全威脅。

我們對虛擬網上銀行子系統的數據庫實施加密保護，不僅是要教育學生如何應用密碼技術基礎知識，更重要的是，學生今后在這個加密數據庫上進行安全電子支付系統的工程實踐時可以充分運用密碼技術基礎知識，在不破壞密文數據庫的基礎上完成安全電子支付系統的設計和實現。

整個子系統的實現我們使用了對稱密碼算法DES和Hash算法SHA，我們的主要實現方法是：

(1) 數據庫加密：明文數據在輸入數據庫之前將經過加密處理，加密的粒度為分量，即每次加、解密的粒度為每條記錄的分量數據，這能較好地適應數據庫的操作。假設數據表為T，表T有M個屬性和N條記錄，其中一個屬性的屬性名為T(i)(i<=M)，T(i,j)表示數據表T的第j條記錄中T(i)字段的值，即明文分量T(i,j)被加密后得到密文分量C(i,j)存入數據庫。

(2) 密文分量C(i,j)由兩個部分組成，第一個部分C1(i,j)為對分量T(i,j)用密鑰K1進行對稱加密的密文DESK1 (T(i,j))，第二個部分C2(i,j)為基于第一部分密文生成的校驗碼DESSHA(T(i,j))(DESK1(T(i,j)))，用于檢索。

(3) 為保證相同的數據項每次加密的結果都不相同，在加密時，在每個數據項的后面添加了隨機數，這樣能夠增加破解的難度。

(4) 數據檢索：在檢索時，用戶提交檢索條件V，在不解密數據庫中密文的情況下，通過翻譯用戶提交的明文檢索語句DESSHA(V)(C1)與密文數據庫中的校驗碼C2進行比較，如果相等，則取出密文檢索結果后解密以得到明文結果，如果不相等，則表明數據庫中沒有符合檢索條件的記錄。

使用以上的數據庫加密以及密文檢索方法，虛擬網上銀行子系統中的敏感數據得到了保護，而且經過實驗證明，系統的執行效率并不會因為實施加密操作而降低，完全不影響整個系統的運行。更重要的是，讓學生充分體驗了所學信息安全基礎知識，即密碼技術是如何被有效應用到工程項目中的，將來學生再進一步基于此系統進行工程實踐時就必須運用相關密碼技術，達到了我們設計實現本教學軟件系統的目的。

2.2基于OpenSSL實現CA認證中心

PKI是一種網絡安全基礎設施，它的目標是向Internet上的用戶和應用程序提供公開密鑰的管理服務，以使他們能夠可靠地使用非對稱密碼技術來增強自己的安全水平，要實現一套完整的PKI安全基礎設施來支持我們的系統是不太現實的，因為實現一個完整的PKI系統是一項非常龐大的工程，而我們的目標只是要使用PKI中關鍵組件CA認證中心的核心功能，因此，在不失CA認證中心核心功能的情況下我們用OpenSSL實現了一個輕量級的CA認證中心，該CA認證中心完全能夠滿足我們系統的需要，即實現用戶身份認證以及支持網絡安全傳輸的功能，而且也有利于將來的擴展。

OpenSSL是一個功能強大的安全通信開放源碼庫，它采用C語言作為開發語言，具有優秀的跨平臺性能，支持Linux、UNIX、Windows、Mac等平臺，OpenSSL目前最新的版本是0.9.8h，我們使用的是0.9.8g，其中，我們主要使用了它的密鑰和證書管理功能。首先，我們使用自己編寫的1024位RSA算法來生成安全的密鑰對，并將密鑰對通過[char BN_E[20],公鑰e]、[char BN_N[20],模數n]放入OpenSSL中的EVP_PKEY的RSA結構中，然后使用req.c生成證書請求文件，內容包括用戶的公鑰和用戶的基本信息，然后通過此證書請求文件產生數字證書。我們生成的數字證書符合X.509標準，可以放在Windows的IE瀏覽器中進行統一的管理。

我們實現的CA認證中心主要由以下三部分組成：

(1) 注冊服務器：通過Web服務器為用戶提供數字證書申請服務，為了保證用戶數字證書能夠在整套系統中使用，數字證書中用戶的信息需要與用戶在虛擬銀行中的信息匹配，因此，所有用戶必須在虛擬銀行登錄后再通過虛擬銀行進入CA認證中心的注冊服務器進行注冊，而在數字證書中的用戶基本信息則直接從虛擬銀行獲得且用戶不可以修改。

(2) 證書申請受理機構：負責處理用戶提出的數字證書申請，生成證書請求文件。

(3) 認證中心服務器：是數字證書生成、發放以及管理的運作實體。

3教學軟件應用

目前，整套教學軟件系統已經實現了需要的所有功能并且已經投入教學使用。通過這套系統，學生可以在虛擬網上銀行子系統中體驗網上銀行的功能；通過CA認證中心子系統學習PKI安全基礎設施基本概念，進而了解中國金融認證中心的作用和目前一些網上銀行提供數字證書服務的作用；通過虛擬購物中心子系統進行模擬購物的體驗。基于這套教學軟件系統我們還為學生提供了一個應用示范，即在教學軟件系統支持的基礎上實現SET安全電子支付協議，讓學生可以在模擬購物完成后通過SET協議在虛擬網上銀行中進行支付結算，實現一個完整支付流程的體驗。

我們實現的SET協議即遵照了其原有的交易過程，包括：持卡用戶注冊，商家注冊，持卡用戶發送購買請求，商家請銀行進行支付授權和商家獲得支付五個基本過程，又鑒于其因復雜而不易于實現的問題，對其進行了一定的優化和改進，我們對SET協議的最后一個流程做了必要的修改：原來SET協議中支付完成請求是由商家在發送貨物或提供服務后發送到支付網關，但考慮到持卡人的利益，我們將其改為，在持卡人收到貨物或服務并滿意后由持卡人發送支付完成請求給支付網關，然后商家才能獲得支付，通過這個修改，可以保護持卡人的利益而且解決了持卡人支付完成后對商品或服務不滿意而產生糾紛的問題。另外，為了保護服務器端和客戶端數據交互的安全、穩定和認證需求以及網站之間的數據交換的安全，也為了提供更強的系統可用行，我們在客戶端使用瀏覽器插件為用戶提供服務，即用戶不需要安裝額外的客戶端軟件就可以進行客戶端數據的加密處理以及和服務器的數據交互，既保證數據的安全性和完整性，又能達到快速交互以及更強可用行的目的。

基于此應用示范的參考，學生已經完成了一些工程實踐。目前，已經實現Internet ATM、基于電子現金的電子支付和基于電子支票的電子支付系統，其中：Internet ATM是將現實生活中的ATM實體機搬到Internet上，實現在線從虛擬銀行取款，取出的電子貨幣可以用于電子現金支付系統的使用，而電子現金支付系統可以讓用戶使用電子貨幣進行在線交易；電子支票支付系統則是將紙制支票搬到Internet上用于在線交易。這些工程實踐項目的實現都是通過學生們在課堂上學習，然后基于我們的教學軟件系統來完成的。

同時，為了保證教學軟件系統的長期正常使用，我們仍然在做系統的升級和擴展。目前，我們對系統的升級和擴展主要集中在虛擬網上銀行和CA認證中心上，其中：我們正在實現虛擬網上銀行中信用卡服務的擴展，將來根據需要還可以進行其他功能的擴展；對CA認證中心主要是完備其功能，包括增加數字證書的撤銷、更新以及歸檔功能。

4總結

虛擬銀行教學軟件系統中的虛擬網上銀行子系統可以模擬現代網上銀行的功能，在與CA認證中心以及虛擬購物中心交互的基礎上可以展現那些在傳統教學中無法實現的教學效果，讓抽象難懂的知識變得形象生動，更重要的是這套系統可以有效的支持學生進行工程實踐。經過教學實踐，這套教學軟件系統的投入使用不僅增強了學生運用知識的意識，充分發揮了學生自主探索式學習，更重要的是提高了學生的工程實踐能力，取得了良好的教學效果。

參考文獻：

[1] 葛道凱. 高等教育信息化的建設與應用[J]. 中國高等教育,2004(10):13-14.

[2] 鐘名揚,劉美鳳,杜媛,等. 國內教學軟件開發中的問題及分析[J]. 中國遠程教育,2007(8):63-66.

[3] 徐帆. 多媒體教學軟件開發方法的探討[J]. 計算機教育,2004(1):66-67.

[4] 佚名. 2006年中國基礎教育信息化步伐加快[EB/OL]. [2008-11-26]. http://www.edu.cn/rd_xin_wen_5672/20070411/t20070411_227559.shtml.

[5] 陳慶章,何文秀,金冠卓,等. 國外可視化數據結構教學軟件及其比較[J]. 計算機教育, 005(2):21-23.