張　璇　黃勤龍　彭　朋　李成功

文章編號：1672-5913(2009)10-0187-03

摘要：隨著教育信息化的發(fā)展，高等教育領(lǐng)域?qū)虒W(xué)軟件的需求不斷增加，本文介紹了為“安全電子支付與電子貨幣”課程設(shè)計并實現(xiàn)的虛擬銀行教學(xué)軟件系統(tǒng)VBR，該系統(tǒng)為學(xué)生提供了一個全方位、真實的學(xué)習(xí)與實踐環(huán)境。通過在教學(xué)中使用本教學(xué)軟件系統(tǒng)，不僅增強(qiáng)了學(xué)生運用信息安全專業(yè)知識的意識，充分發(fā)揮了學(xué)生自主探索式學(xué)習(xí)，更重要的是提高了學(xué)生的工程實踐能力，取得了良好的教學(xué)效果。

關(guān)鍵詞：虛擬銀行教學(xué)軟件系統(tǒng)；信息安全；安全電子支付；虛擬網(wǎng)上銀行；CA認(rèn)證中心；虛擬購物中心

中圖分類號：G642

文獻(xiàn)標(biāo)識碼：B

1引言

教育信息化不僅是國民經(jīng)濟(jì)和社會信息化的重要組成部分，也是教育發(fā)展全局中的關(guān)鍵環(huán)節(jié)，將信息技術(shù)與教學(xué)進(jìn)行整合，構(gòu)造可視化、可接觸、所見即所得的學(xué)習(xí)環(huán)境成為了必然趨勢，其中，教學(xué)軟件就是一個重要應(yīng)用，通過教學(xué)軟件的使用，可以滿足隨時隨地終身學(xué)習(xí)的需求，提升現(xiàn)代教育的質(zhì)量和水平。

“安全電子支付與電子貨幣”是云南大學(xué)軟件學(xué)院信息安全專業(yè)選修課程，課程內(nèi)容圍繞安全電子支付的技術(shù)和系統(tǒng)進(jìn)行講授。由于課程內(nèi)容以金融知識和相關(guān)信息安全知識為基礎(chǔ)，而大部分學(xué)生沒有使用網(wǎng)上銀行的經(jīng)歷，也沒有網(wǎng)絡(luò)購物以及網(wǎng)上支付的經(jīng)歷，如果單純用傳統(tǒng)的文字、幻燈等教學(xué)方式是無法滿足教學(xué)需要的，另外，軟件學(xué)院要求學(xué)生具備過硬的工程素質(zhì)，而一個完整的安全電子支付系統(tǒng)需要多個基礎(chǔ)系統(tǒng)的支持。因此，我們?yōu)楸鹃T課程設(shè)計并開發(fā)了一套虛擬銀行教學(xué)軟件系統(tǒng)VBR(Virtual Bank Room)，用以輔助課程的教學(xué)，這套系統(tǒng)真實地模擬了現(xiàn)代網(wǎng)上銀行的功能，可以幫助學(xué)生理解課堂上學(xué)習(xí)的相關(guān)基礎(chǔ)知識，使學(xué)生可以針對信息安全知識進(jìn)行運用，充分發(fā)揮學(xué)生自主探索式學(xué)習(xí)，增強(qiáng)學(xué)生運用知識的意識，同時也為學(xué)生的進(jìn)一步工程實踐提供了一個基礎(chǔ)平臺。

2教學(xué)軟件系統(tǒng)的設(shè)計與實現(xiàn)

VBR虛擬銀行教學(xué)軟件系統(tǒng)由虛擬網(wǎng)上銀行、CA認(rèn)證中心、虛擬購物中心三個子系統(tǒng)構(gòu)成(見圖1)。其中，虛擬網(wǎng)上銀行子系統(tǒng)真實模擬了現(xiàn)代網(wǎng)上銀行的基本功能，包括：用戶管理、賬戶管理、轉(zhuǎn)賬匯款、網(wǎng)上支付、業(yè)務(wù)管理以及系統(tǒng)管理，其中，用戶管理、賬戶管理、轉(zhuǎn)賬匯款以及網(wǎng)上支付模塊是提供給虛擬銀行用戶，即學(xué)生使用的，業(yè)務(wù)管理模塊是提供給虛擬銀行工作人員使用的，而系統(tǒng)管理模塊是提供給虛擬銀行系統(tǒng)管理員維護(hù)系統(tǒng)使用的，虛擬銀行工作人員和系統(tǒng)管理員可以由教師或者指定的學(xué)生擔(dān)任。另外，參照中國金融認(rèn)證中心CFCA，我們實現(xiàn)了虛擬銀行的CA認(rèn)證中心子系統(tǒng)，用以提供用戶身份認(rèn)證并支持安全網(wǎng)絡(luò)傳輸服務(wù)，為虛擬銀行用戶提供更強(qiáng)的安全保護(hù)并為將來支持安全電子支付系統(tǒng)的實現(xiàn)提供支撐。而且我們還在VBR中實現(xiàn)了一個虛擬購物中心子系統(tǒng)，提供虛擬的購物環(huán)境，這類似于很多銀行提供的網(wǎng)上商城，學(xué)生可以在虛擬購物中心中進(jìn)行模擬購物，在CA認(rèn)證中心獲取數(shù)字證書，通過虛擬網(wǎng)上銀行進(jìn)行網(wǎng)上支付，當(dāng)然，為了完成網(wǎng)上支付，只有虛擬網(wǎng)上銀行、CA認(rèn)證中心和虛擬購物中心是不夠的，我們需要提供支持網(wǎng)上支付的協(xié)議或者系統(tǒng)，因此，我們在實現(xiàn)該教學(xué)軟件系統(tǒng)的基礎(chǔ)上為學(xué)生示范實現(xiàn)了SET(Secure Electronic Transaction)協(xié)議用于實現(xiàn)安全網(wǎng)上支付，提供給學(xué)生一個非常完整而真實的體驗環(huán)境，讓學(xué)生不僅真實體驗網(wǎng)上銀行功能，感受電子支付過程，也為學(xué)生將來進(jìn)行進(jìn)一步的工程實踐提供參考。

整套教學(xué)軟件系統(tǒng)的設(shè)計與實現(xiàn)：

(1) 滿足“安全電子支付與電子貨幣”課程的目標(biāo)，這套系統(tǒng)支持讓學(xué)生運用已經(jīng)具備的信息安全基礎(chǔ)知識來學(xué)習(xí)金融領(lǐng)域中電子支付相關(guān)安全技術(shù)與系統(tǒng)，并提供進(jìn)行相關(guān)工程實踐的基礎(chǔ)；

(2) 充分體現(xiàn)信息安全專業(yè)學(xué)生的培養(yǎng)特色：整套教學(xué)軟件系統(tǒng)的設(shè)計和實現(xiàn)是以安全為基礎(chǔ)的，虛擬網(wǎng)上銀行系統(tǒng)要為銀行用戶提供安全保障，CA認(rèn)證中心是安全

基礎(chǔ)設(shè)施中的核心組件，而電子支付的實現(xiàn)更是安全的應(yīng)用，因此，信息安全專業(yè)的學(xué)生通過使用該套教學(xué)軟件系統(tǒng)不僅可以學(xué)習(xí)到相關(guān)知識，而且可以進(jìn)行真實體驗以及進(jìn)行相關(guān)安全工程的實踐；

(3) 強(qiáng)調(diào)對軟件學(xué)院學(xué)生工程能力的培養(yǎng)：通過以該教學(xué)軟件系統(tǒng)為基礎(chǔ)的實踐可以有效的鍛煉學(xué)生的工程能力。

我們采用Visual Studio 2008、SQL Server 2005和OpenSSL實現(xiàn)了整套系統(tǒng)，由于虛擬購物中心相對于虛擬網(wǎng)上銀行和CA認(rèn)證中心來說，其設(shè)計實現(xiàn)的安全要求不是很高，因此，下面我們針對虛擬銀行教學(xué)軟件系統(tǒng)中的虛擬網(wǎng)上銀行子系統(tǒng)和CA認(rèn)證中心子系統(tǒng)的關(guān)鍵技術(shù)實現(xiàn)來進(jìn)行說明，然后介紹基于這套教學(xué)軟件系統(tǒng)進(jìn)行的SET安全電子支付協(xié)議應(yīng)用示范。

2.1虛擬網(wǎng)上銀行關(guān)鍵技術(shù)實現(xiàn)——數(shù)據(jù)庫加密

VBR虛擬銀行教學(xué)軟件系統(tǒng)中的虛擬網(wǎng)上銀行子系統(tǒng)雖然是模擬真實世界中的網(wǎng)上銀行系統(tǒng)，但是，為了強(qiáng)調(diào)其真實性，突出信息安全專業(yè)特色，加強(qiáng)對學(xué)生專業(yè)技能的培養(yǎng)，我們對虛擬網(wǎng)上銀行子系統(tǒng)中的敏感數(shù)據(jù)實施了加密安全保護(hù)技術(shù)，也就是對虛擬網(wǎng)上銀行管理的各類關(guān)鍵敏感信息進(jìn)行加密存儲，整個數(shù)據(jù)庫以密文形式保存。在將數(shù)據(jù)以密文形式保存于數(shù)據(jù)庫后，如何進(jìn)行高效的數(shù)據(jù)檢索是我們解決的另外一個問題，因為原來針對明文數(shù)據(jù)的檢索語句不可以直接運用到密文數(shù)據(jù)庫的檢索過程，而如果在檢索前先對加密數(shù)據(jù)進(jìn)行解密，然后對解密數(shù)據(jù)進(jìn)行檢索是不安全和不高效的，因此，我們設(shè)計了一種高效的密文檢索算法。通過這種安全保護(hù)，可以有效減少來自于數(shù)據(jù)庫的安全威脅。

我們對虛擬網(wǎng)上銀行子系統(tǒng)的數(shù)據(jù)庫實施加密保護(hù)，不僅是要教育學(xué)生如何應(yīng)用密碼技術(shù)基礎(chǔ)知識，更重要的是，學(xué)生今后在這個加密數(shù)據(jù)庫上進(jìn)行安全電子支付系統(tǒng)的工程實踐時可以充分運用密碼技術(shù)基礎(chǔ)知識，在不破壞密文數(shù)據(jù)庫的基礎(chǔ)上完成安全電子支付系統(tǒng)的設(shè)計和實現(xiàn)。

整個子系統(tǒng)的實現(xiàn)我們使用了對稱密碼算法DES和Hash算法SHA，我們的主要實現(xiàn)方法是：

(1) 數(shù)據(jù)庫加密：明文數(shù)據(jù)在輸入數(shù)據(jù)庫之前將經(jīng)過加密處理，加密的粒度為分量，即每次加、解密的粒度為每條記錄的分量數(shù)據(jù)，這能較好地適應(yīng)數(shù)據(jù)庫的操作。假設(shè)數(shù)據(jù)表為T，表T有M個屬性和N條記錄，其中一個屬性的屬性名為T(i)(i<=M)，T(i,j)表示數(shù)據(jù)表T的第j條記錄中T(i)字段的值，即明文分量T(i,j)被加密后得到密文分量C(i,j)存入數(shù)據(jù)庫。

(2) 密文分量C(i,j)由兩個部分組成，第一個部分C1(i,j)為對分量T(i,j)用密鑰K1進(jìn)行對稱加密的密文DESK1 (T(i,j))，第二個部分C2(i,j)為基于第一部分密文生成的校驗碼DESSHA(T(i,j))(DESK1(T(i,j)))，用于檢索。

(3) 為保證相同的數(shù)據(jù)項每次加密的結(jié)果都不相同，在加密時，在每個數(shù)據(jù)項的后面添加了隨機(jī)數(shù)，這樣能夠增加破解的難度。

(4) 數(shù)據(jù)檢索：在檢索時，用戶提交檢索條件V，在不解密數(shù)據(jù)庫中密文的情況下，通過翻譯用戶提交的明文檢索語句DESSHA(V)(C1)與密文數(shù)據(jù)庫中的校驗碼C2進(jìn)行比較，如果相等，則取出密文檢索結(jié)果后解密以得到明文結(jié)果，如果不相等，則表明數(shù)據(jù)庫中沒有符合檢索條件的記錄。

使用以上的數(shù)據(jù)庫加密以及密文檢索方法，虛擬網(wǎng)上銀行子系統(tǒng)中的敏感數(shù)據(jù)得到了保護(hù)，而且經(jīng)過實驗證明，系統(tǒng)的執(zhí)行效率并不會因為實施加密操作而降低，完全不影響整個系統(tǒng)的運行。更重要的是，讓學(xué)生充分體驗了所學(xué)信息安全基礎(chǔ)知識，即密碼技術(shù)是如何被有效應(yīng)用到工程項目中的，將來學(xué)生再進(jìn)一步基于此系統(tǒng)進(jìn)行工程實踐時就必須運用相關(guān)密碼技術(shù)，達(dá)到了我們設(shè)計實現(xiàn)本教學(xué)軟件系統(tǒng)的目的。

2.2基于OpenSSL實現(xiàn)CA認(rèn)證中心

PKI是一種網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，它的目標(biāo)是向Internet上的用戶和應(yīng)用程序提供公開密鑰的管理服務(wù)，以使他們能夠可靠地使用非對稱密碼技術(shù)來增強(qiáng)自己的安全水平，要實現(xiàn)一套完整的PKI安全基礎(chǔ)設(shè)施來支持我們的系統(tǒng)是不太現(xiàn)實的，因為實現(xiàn)一個完整的PKI系統(tǒng)是一項非常龐大的工程，而我們的目標(biāo)只是要使用PKI中關(guān)鍵組件CA認(rèn)證中心的核心功能，因此，在不失CA認(rèn)證中心核心功能的情況下我們用OpenSSL實現(xiàn)了一個輕量級的CA認(rèn)證中心，該CA認(rèn)證中心完全能夠滿足我們系統(tǒng)的需要，即實現(xiàn)用戶身份認(rèn)證以及支持網(wǎng)絡(luò)安全傳輸?shù)墓δ?，而且也有利于將來的擴(kuò)展。

OpenSSL是一個功能強(qiáng)大的安全通信開放源碼庫，它采用C語言作為開發(fā)語言，具有優(yōu)秀的跨平臺性能，支持Linux、UNIX、Windows、Mac等平臺，OpenSSL目前最新的版本是0.9.8h，我們使用的是0.9.8g，其中，我們主要使用了它的密鑰和證書管理功能。首先，我們使用自己編寫的1024位RSA算法來生成安全的密鑰對，并將密鑰對通過[char BN_E[20],公鑰e]、[char BN_N[20],模數(shù)n]放入OpenSSL中的EVP_PKEY的RSA結(jié)構(gòu)中，然后使用req.c生成證書請求文件，內(nèi)容包括用戶的公鑰和用戶的基本信息，然后通過此證書請求文件產(chǎn)生數(shù)字證書。我們生成的數(shù)字證書符合X.509標(biāo)準(zhǔn)，可以放在Windows的IE瀏覽器中進(jìn)行統(tǒng)一的管理。

我們實現(xiàn)的CA認(rèn)證中心主要由以下三部分組成：

(1) 注冊服務(wù)器：通過Web服務(wù)器為用戶提供數(shù)字證書申請服務(wù)，為了保證用戶數(shù)字證書能夠在整套系統(tǒng)中使用，數(shù)字證書中用戶的信息需要與用戶在虛擬銀行中的信息匹配，因此，所有用戶必須在虛擬銀行登錄后再通過虛擬銀行進(jìn)入CA認(rèn)證中心的注冊服務(wù)器進(jìn)行注冊，而在數(shù)字證書中的用戶基本信息則直接從虛擬銀行獲得且用戶不可以修改。

(2) 證書申請受理機(jī)構(gòu)：負(fù)責(zé)處理用戶提出的數(shù)字證書申請，生成證書請求文件。

(3) 認(rèn)證中心服務(wù)器：是數(shù)字證書生成、發(fā)放以及管理的運作實體。

3教學(xué)軟件應(yīng)用

目前，整套教學(xué)軟件系統(tǒng)已經(jīng)實現(xiàn)了需要的所有功能并且已經(jīng)投入教學(xué)使用。通過這套系統(tǒng)，學(xué)生可以在虛擬網(wǎng)上銀行子系統(tǒng)中體驗網(wǎng)上銀行的功能；通過CA認(rèn)證中心子系統(tǒng)學(xué)習(xí)PKI安全基礎(chǔ)設(shè)施基本概念，進(jìn)而了解中國金融認(rèn)證中心的作用和目前一些網(wǎng)上銀行提供數(shù)字證書服務(wù)的作用；通過虛擬購物中心子系統(tǒng)進(jìn)行模擬購物的體驗?；谶@套教學(xué)軟件系統(tǒng)我們還為學(xué)生提供了一個應(yīng)用示范，即在教學(xué)軟件系統(tǒng)支持的基礎(chǔ)上實現(xiàn)SET安全電子支付協(xié)議，讓學(xué)生可以在模擬購物完成后通過SET協(xié)議在虛擬網(wǎng)上銀行中進(jìn)行支付結(jié)算，實現(xiàn)一個完整支付流程的體驗。

我們實現(xiàn)的SET協(xié)議即遵照了其原有的交易過程，包括：持卡用戶注冊，商家注冊，持卡用戶發(fā)送購買請求，商家請銀行進(jìn)行支付授權(quán)和商家獲得支付五個基本過程，又鑒于其因復(fù)雜而不易于實現(xiàn)的問題，對其進(jìn)行了一定的優(yōu)化和改進(jìn)，我們對SET協(xié)議的最后一個流程做了必要的修改：原來SET協(xié)議中支付完成請求是由商家在發(fā)送貨物或提供服務(wù)后發(fā)送到支付網(wǎng)關(guān)，但考慮到持卡人的利益，我們將其改為，在持卡人收到貨物或服務(wù)并滿意后由持卡人發(fā)送支付完成請求給支付網(wǎng)關(guān)，然后商家才能獲得支付，通過這個修改，可以保護(hù)持卡人的利益而且解決了持卡人支付完成后對商品或服務(wù)不滿意而產(chǎn)生糾紛的問題。另外，為了保護(hù)服務(wù)器端和客戶端數(shù)據(jù)交互的安全、穩(wěn)定和認(rèn)證需求以及網(wǎng)站之間的數(shù)據(jù)交換的安全，也為了提供更強(qiáng)的系統(tǒng)可用行，我們在客戶端使用瀏覽器插件為用戶提供服務(wù)，即用戶不需要安裝額外的客戶端軟件就可以進(jìn)行客戶端數(shù)據(jù)的加密處理以及和服務(wù)器的數(shù)據(jù)交互，既保證數(shù)據(jù)的安全性和完整性，又能達(dá)到快速交互以及更強(qiáng)可用行的目的。

基于此應(yīng)用示范的參考，學(xué)生已經(jīng)完成了一些工程實踐。目前，已經(jīng)實現(xiàn)Internet ATM、基于電子現(xiàn)金的電子支付和基于電子支票的電子支付系統(tǒng)，其中：Internet ATM是將現(xiàn)實生活中的ATM實體機(jī)搬到Internet上，實現(xiàn)在線從虛擬銀行取款，取出的電子貨幣可以用于電子現(xiàn)金支付系統(tǒng)的使用，而電子現(xiàn)金支付系統(tǒng)可以讓用戶使用電子貨幣進(jìn)行在線交易；電子支票支付系統(tǒng)則是將紙制支票搬到Internet上用于在線交易。這些工程實踐項目的實現(xiàn)都是通過學(xué)生們在課堂上學(xué)習(xí)，然后基于我們的教學(xué)軟件系統(tǒng)來完成的。

同時，為了保證教學(xué)軟件系統(tǒng)的長期正常使用，我們?nèi)匀辉谧鱿到y(tǒng)的升級和擴(kuò)展。目前，我們對系統(tǒng)的升級和擴(kuò)展主要集中在虛擬網(wǎng)上銀行和CA認(rèn)證中心上，其中：我們正在實現(xiàn)虛擬網(wǎng)上銀行中信用卡服務(wù)的擴(kuò)展，將來根據(jù)需要還可以進(jìn)行其他功能的擴(kuò)展；對CA認(rèn)證中心主要是完備其功能，包括增加數(shù)字證書的撤銷、更新以及歸檔功能。

4總結(jié)

虛擬銀行教學(xué)軟件系統(tǒng)中的虛擬網(wǎng)上銀行子系統(tǒng)可以模擬現(xiàn)代網(wǎng)上銀行的功能，在與CA認(rèn)證中心以及虛擬購物中心交互的基礎(chǔ)上可以展現(xiàn)那些在傳統(tǒng)教學(xué)中無法實現(xiàn)的教學(xué)效果，讓抽象難懂的知識變得形象生動，更重要的是這套系統(tǒng)可以有效的支持學(xué)生進(jìn)行工程實踐。經(jīng)過教學(xué)實踐，這套教學(xué)軟件系統(tǒng)的投入使用不僅增強(qiáng)了學(xué)生運用知識的意識，充分發(fā)揮了學(xué)生自主探索式學(xué)習(xí)，更重要的是提高了學(xué)生的工程實踐能力，取得了良好的教學(xué)效果。

參考文獻(xiàn)：

[1] 葛道凱. 高等教育信息化的建設(shè)與應(yīng)用[J]. 中國高等教育,2004(10):13-14.

[2] 鐘名揚,劉美鳳,杜媛,等. 國內(nèi)教學(xué)軟件開發(fā)中的問題及分析[J]. 中國遠(yuǎn)程教育,2007(8):63-66.

[3] 徐帆. 多媒體教學(xué)軟件開發(fā)方法的探討[J]. 計算機(jī)教育,2004(1):66-67.

[4] 佚名. 2006年中國基礎(chǔ)教育信息化步伐加快[EB/OL]. [2008-11-26]. http://www.edu.cn/rd_xin_wen_5672/20070411/t20070411_227559.shtml.

[5] 陳慶章,何文秀,金冠卓,等. 國外可視化數(shù)據(jù)結(jié)構(gòu)教學(xué)軟件及其比較[J]. 計算機(jī)教育, 005(2):21-23.