网上银行技术总体介绍_new.pptVIP

网上银行技术总体介绍 软件开发中心 滕长林 tengchanglin@ 010 网银建议:ebmaster@ 主题内容 一、我行网上银行技术构架 二、RA系统 三、CIF系统 四、金融交易系统 五、网关系统 六、网上银行业务的标准流程 七、分行开通网上银行业务前的准备工作 一、网上银行的技术构架 RA（Registration Authority ） 面向总行、分行、二级分行操作员和网点管理员 负责行内机构信息和操作员证书管理 CIF （Customer Information File System ） 面向网点操作员 负责客户信息和证书管理 网上银行交易系统 面向客户 客户交易处理核心，是网银渠道的展示部分 网关系统 负责客户交易请求的分发、传输、转换等工作 总行网关系统（总行端） 分行接口机系统（分行端） 分行报文接口转换系统（分行端） 系统拓扑图 系统特征 集中 统一的INTERNET出口 统一的交易展示页面 统一的客户信息管理 统一的证书管理系统 统一的总分行网关构架 统一的交易报文规范 统一的安全控制 分散 数据中心在分行 各分行对相同交易请求的处理有所区别 新一代和AIPS系统将缩小交易处理的地区性差别 AIPS（Application Integrated Preconsole System应用综合前置系统） 二、证书管理系统（RA） 基本概念 基本原理 体系构成 逻辑架构 系统更新 RA基本概念 PKI（ Public Key Infrastructure公钥基本结构 ） 用于描述管制或操纵证书与公钥及私钥的策略、标准和软件。实际上，PKI 是指由数字证书、证书颁发机构 (CA) 以及对电子交易所涉及各方的合法性进行检查和验证的其它注册机构组成的一套系统。 公开密钥体制，公钥公开发送，私钥私有，两密钥成对出现，相互解密 CA（Certificate Authority证书授权中心） 是证书的签发机构，具有公信性，权威性 签发证书；管理证书；确保整个签证过程的安全性和签名私钥的安全性；确保证书主体标识的唯一性；发布并维护CRL（证书撤消列表）；对整个证书签发过程做日志记录；向申请人发通知。 RA（Registration Authority 注册授权中心） 审核机构RA负责处理用户的证书申请，对证书申请进行审核，并且通过客户信息系统进行授权，参与用户证书申请、发行和作废的过程。 通过权限划分来实现逻辑分级。 数字证书 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书包含一个公开密钥、名称以及证书授权中心的数字签名。证书具有唯一性，是可以被验证的数字标识。 证书的可靠性由签发证书的CA保证。 CFCA和ABCCA CFCA（中国金融认证中心） 由工、农、中、建、交、招商、光大、中信、民生、广发、深发、华夏等十二家商业银行总行发起，由人民银行牵头建立 主要用于面向金融客户发放证书 ABCCA（中国农业银行认证中心） 由农行自建 可以同时面向行内人员和客户发证 在无法发放CFCA客户证书作为替代方式，发放客户证书 用于测试客户发证 网上银行中心兼容两者发放的证书，对客户透明。针对行内操作员，只发放ABCCA证书。 两者发放客户证书的方法略有不同，网点操作员根据页面提示进行操作即可。 数字证书和数字信封 数字信封保证数据传输的保密性 发件人获得收件人的公钥。 发件人创建一个随机机密密钥（在对称密钥加密中使用的单个密钥）。 发件人使用机密密钥和对称密钥算法将明文数据转换为暗文数据。 发件人使用收件人的公钥将机密密钥转换为暗文机密密钥。 发件人将暗文数据和暗文机密密钥一起发给收件人。 收件人使用其私钥将暗文机密密钥转换为明文。 收件人使用明文机密密钥将暗文数据转换为明文数据。 数字证书与数字签名 保证数据的完整性和不可抵赖性。 发件人将一种散列算法应用于数据，并生成一个不可逆的散列值，称为数据文摘。 发件人使用私钥将散列值转换为数字签名。 发件人将数据、签名及发件人的证书发给收件人。 收件人将该散列算法应用于接收到的数据，并生成一个散列值。 收件人使用发件人的公钥和新生成的散列值验证签名。 数字证书使用与安全代理软件 使用安全代理软件的优点 安全代理分为服务器端和客户端 客户方与服务方之间数据的加密传输（SSL 3.0协议） ，达到128位的加密强度 建立基于证书的身份认证 支持数字签名 支持客户证书和私钥的磁盘、USB-Key、IC卡等多种存储方式 支持密码信封打印等特殊功能 使用安全代理软件的缺点 需要另外安装软件 使用时需配置/取消配置浏览器代理，增加了操作复杂性 要求Internet线路支持So