终端方式

2024-08-05

终端方式（共4篇）

终端方式篇1

移动终端上网与我们传统的台式电脑上网不同之处, 它能够具有更多的可选择性与灵活性 (本文所指移动终端一般为:是具有上网功能的笔记本、平板电脑、智能手机、车载电脑、POS机等设备, 将以笔记本为例介绍) 。在这里将为大家介绍移动上网可以采用的方法, 并他们作个比较, 让大家都真正的“无限你的无线”。

这里为大家介绍一下有线上网和无线上网两种情况。

1 有线上网方式

有线上网方式分两种:

1) 通过电话线拔号上网, 这就需要你的本本有MODEM (也叫调制解调器) , 只要有电话的地方就可以拔号了, 缺点是速度较慢, 为早期的有线上网方式。适用于对上网可有可无、或是耐性非常好的人, 上网也就是收发E-Mail (电子邮件) , 数据交流量不大, 对网络依赖性较低, 这种上网方式已经被逐渐淘汰。

2) 大家目前常用的宽带拔号或是有线局域网共享宽带上网 (即ADSL) 了, 特点是速度较快, ADSL是通过现有普通电话线为家庭、办公室提供宽带数据传输服务的技术一般都有1M以上的带宽, 而共享ADSL给局域网用户这一方式则是非常实惠的, 因为是宽带, 就算是多个用户一起使用, 也不会感觉速度有太大变化。适用人群:绝大多数用户, 速度基本满意, 在家或是在办公室的时候非常合适, 虽然还是要接线, 但是其较低的价格与较高的速度可以成为您上网方式的主流之选。

2 无线上网新技术:无线网络

随着技术进步, 曾经使用的红外线上网、蓝牙上网、数据线等上网方式, 由于其上网速度与距离却不能让人满意, 现在已经淘汰, 该文也不再介绍。但是无线上网仍然是IT科技的热门。无线上网分为两种应用模式:远程无线上网与无线局域网 (即:WLAN) , 二者各有千秋, 下面为大家详细解读。

2.1 远程无线上网

目前, 国内的移动通讯运营商, 分别推出了GPRS业务、CDMA1X业务与天翼业务等, 这是在原有的GSM手机网络上进行扩展而开发的新技术, 其简单的原理就是在GSM网络的音频脉冲信号上进行改进, 使其采用无线电波进行数据传输, 并且扩大了网络带宽。

整个使用流程如下 (以GPRS为例) :

在营业厅开户领取您上网卡 (不能在手机上使用, 只是作为无线上网的身份识别) —将卡装入无线上网卡中—安装驱动程序—使用相关拔号程序连通网络—打开浏览器即可上网。

优点:只要有手机信号的地方 (须开通了GPRS业务) 就可以上网, 可以真正地做到随时随地与世界相连, 的确是方便到了及至, 不用再担心会无法及时获取网络信息。

缺点:速度慢, 价格相对较贵, 网络稳定性差。速度慢, 由于其数据传输是基于移动基站的无线信号传输, 手机无线上网, 最大速度也仅达到50Kbps;价格贵, 每Kb收费1分, 我们计算一下:也就是说每MB数据需要10元左右, 下载1M内容大约需要30分钟左右, 也就是说每小时需要近10元, 这种价格, 很难使它得到普及, 虽然推出了包月的服务, 但是整体仍有待加强, 同时, 传输时断时续的问题一直在困扰广大用户。

评论:方便是的确方便了, 价格与服务还是不能让人满意, 如果您的确需要随时随地上网的话, 可以考虑一下这种无线上网方式。适用人群:对网络依赖度非常高的商务人士。

2.2 无线局域网 (WLAN)

无线局域网 (WLAN) 是Wireless Local Area Network的缩写, 指用无线通信技术将计算机设备互联起来, 构成可以互相通信和实现资源共享的网络体系。无线局域网本质的特点是不再使用通信电缆将计算机与网络连接起来, 而是通过无线的方式连接, 从而使网络的构建和终端的移动更加灵活。

无线局域网目前已经发展出IEEE 802.11a (下简称802.11) 、802.11b与802.11g标准, 随之还有802.11n与802.11v等。802.11a标准使用5GHz频段, 支持的最大速度为54Mbps, 而802.11b和802.11g标准使用2.4GHz频段, 分别支持最大11Mbps和54Mbps的速度。802.11b协议标准的产品传输速度是11M/秒, 而802.11a协议的产品传输速度则可达到54M/秒, 这已是接近有线局域网的速度了。大家在使用的笔记本采用的技术或是市面上能购买到的无线网卡, 绝大部份是802.11b协议的;近年又通过的802.11n正式标准, WLAN的传输速率由原来的802.11a、802.11g提供的54Mbps、108Mbps, 提高到300Mbps甚至高达600Mbps。还有目前正在出台的802.11v标准更是有线网络所无法比拟的节能效果与简化管理效果。

WLAN网络的运行相对较复杂, 除了用户手上需有一台支持无线上网的移动终端外, 运营商还必须在“热点”地区布设接入点。只有布设足够多的接入点, 才能形成一个完整的无线局域网, 也才能实现WLAN上网, 因此其覆盖范围小、穿透率较差 (隔两面墙就不能使用) 。

说到无线局域网不能不提一下WiFi无线上网。WiFi (WirelessFidelity, 无线保真) 技术是一个基于802.11系列标准的无线网路通信技术的品牌, 目的是改善基于802.11标准的无线网路产品之间的互通性, 由Wi-Fi联盟 (Wi-FiAlliance) 所持有, 简单来说WiFi就是一种无线联网的技术, 以前通过网络连接电脑, 而现在则是通过无线电波来连网。而Wi-Fi联盟 (也称做:无线局域网标准化的组织WECA) 成立于1999年, 当时的简称叫WECA, 在2002年10月, 正式改名为Wi-FiAlliance。

那么WLAN与WiFi有什么区别呢?首先, WiFi包含于WLAN中, 属于采用WLAN协议中的一项新技术, 二者仅仅是发射信号的功率不同, 覆盖范围不同。一般而言WLAN的信号在开阔地带能达到5Km, 而WiFi一般不超过90m。

那么如何构建无线局域网络?要架设一个无线局域网络, 先买一个无线收发器 (即天线, 简称AP) , 使用网线将它连接到有线局域网上即可, 这个无线收发器会把一定范围内的所有有无线网卡的电脑接入到有线局域网的交换机上, 其网络设置方法与使用有线网络一样, 唯一有区别的是, 您的电脑会显示您正通过某某无线设备连接到网络上 (在右下角任务栏) , 同时您可以在这个范围内抱着笔记本任意走动, 在信号的覆盖范围内任意上网。

一个AP的信号覆盖范围大约在100~300米之间, 如果是开阔的环境, 那么超过300米也能接收到信号, 更棒的是, 一个AP根据型号的不同, 可以同时接入10~30个用户无线上网。更关键的一点就在于成本了, 之所以无线局域网能够如此快速地发展起来, 价格因素功不可没, 我们可与有线网络对比一下成本:如果使用有线网络, 在一个办公区域内让二十个笔记本电脑用户同时上网, 需要购买24口交换机, 并且布线的需连接至每台机器, 如果公司迁址, 那整套综合布线系统就废掉了, 在新的办公场所需要重新投资布线。而使用无线局域网则不一样, 根本不需要布线, 只需要在办公区域摆上一个AP, 通过网络线连接到机房的交换机中, 在这个AP区域100~300米中, 大家都可以快速无线上网, 11M的速度是大部份公司或个人都可以接受的, 一个AP的售价在市面上有600~1000元不等, 连家庭用户也可以轻松架设, 并且在公司或家庭迁址的时候, AP提走就可以了, 搬迁成本基本为零, 同时范围内使用笔记本上网可以在区域内随意移动。相同类型的AP之间信号是不会相互干扰的, 这样的优势对比实在是太明显了, 说明该技术有巨大的市场潜力。

如果您在某个场所看到这个标志 (中国移动的WLAN标志) , 那就肯定是可以无线上网的。在城市的商务大厦、写字楼以及机场、酒店、某些麦当劳、肯德基都安装了无线上网设备, 在这些场所都可以使用笔记本电脑高速无线上网, 我们可以将其称之为:“热点”, 运营商在上述的区域铺设无线AP接入点, 然后发行上网卡, 您可以在上网的时候通过密码验证程序接入这些公用。当然, 并不是所有可以无线上网的地方都会有这个标志, 最佳方法是打开您的笔记本, 看看网络是否有信号就清楚了。

评论:我们出门在外也可以享受无线局域网带来的方便、高速与低价的乐趣, 随着无线网络的普及, “热点”会越来越多, 我们也就能够更方便地高速无线上网了。低价、方便、高速成为无线局域网发展的火箭推动剂, 加之移动通讯运营商加入公共无线接入点的铺设, 无线局域网已经突破“局域网”这个概念了, 相信无线网络技术必定会走上市场需求的顶峰。

可以看出, 上面四大上网方式的确是各有千秋, 大家完全可以根据自己的实际使用情况来选择不同的方式, 当然, 也是可以按需搭配使用的, 怎么样才能够找出最合适自己的方式, 以最少的代价获得最佳的服务, 一切在于您的选择, 希望能够给您起到一个引导的作用。

终端方式篇2

关键词：企业,智能移动终端信息,安全管理

移动智能终端是指能够连通移动网络, 具有为应用程序提供开发接口的开放性应用系统, 同时, 还能对第三方应用软件进行运行。移动职能终端在企业的应用逐渐发展成为一种趋势, 企业在办公、营销以及生产等环境对移动智能终端的使用需求不断增加, 移动智能终端的使用在一定程度上提升了企业的工作效率, 加强了企业的工作管理, 提升了客户对企业的满意。但移动智能终端大多是针对个人消费的产品, 没有得到企业有效的安全管理。同时, 在移动智能终端内部功能上, 由于其实通信产品和信息终端结合的产品, 集中了通信和信息双重的安全风险威胁, 在无形中加强了自身的安全弊端。一旦企业使用者对其安全管理不当, 就会导致企业信息安全管理风险, 不利于企业健康、稳定的发展。因此, 需要有关人员加强对企业智能移动终端信息安全的管理。

一、企业常应用的主流智能移动终端操作系统平台

现阶段常见的主流智能移动终端操作系统平台主要包括Android、iphone、Windows Phone三种。三种智能移动终端操作系统平台由于厂商源代码的开放程度不同, 其自身的安全信息管理不同, 面临的安全风险也各不相同。

(一) Windows Phone。Windows Phone保留了i Phone的封闭性特点, 其中Marketplaee是Windows Phone智能移动终端安装应用程序的唯一方式, 不能安装其他形式的安装包。这种限定性的方式杜绝了一些盗版软件的风险, 对开发使用者的权益进行有保护, 但第三方应用如何拦截垃圾短信和信息成为一个难以控制的问题。

(二) iphone平台。iphone平台是完全封闭的平台, 这种封闭性的设置在一定程度上保障了平台的安全, 主要体现在iphone平台不具备对通话记录、短信等进行读取的API, 当用户位置被调试时, API就会弹出一些提示性的信息, 提醒用户提防使用安全, 有效保证了用户信息的安全。另外, iphone平台在发短信、打电话时候都需要API用户的确认, 不能直接读取短信和进通电话, 这种需要用户确认的方式, 在一定程度上减少了恶意订购、恶意扣除话费的风险。但出现了更多越狱的用户, 这些用户对系统安全性问题进行更改, 导致原有应用程序的安全性能弱化, 信息共享的方式更是无法保证用户信息得安全。

(三) Android平台。Android平台将短信的发送权、电话的拨打权交给了用户, 由用户个人决定时候要直接发送短信。主要表现为, 在使用API时要进行申明, 从而当出现用户信息风险时, 系统就会自动提示给用户, 由用户个人确定是否要进行安装。另外, 一些软件的设置, 用户不具有对其正确使用的能力, 导致这些软件的设置失去实际意义。

二、智能移动终端信息安全管理存在的风险

(一) 智能移动终端系统脆弱性高。首先, 苹果系统、微软Windows主要是通过对应用软件安装入口点的控制来提升移动智能终端的安全性能的, 而安卓系统主要是通过取消用户的ROOT权限来提升移动智能终端安全性能的。但二者的使用者一般通过简单的办法就能逃脱这种安全防范, 越狱之后肆意安装软件, 从而严重破坏了系统的安全性。其次, 智能移动终端系统安全机制存在一些消极影响, 对网络流量的使用以及移动终端数据的隐私不能进行及时的监控和管理, 也不能对一些恶意软件进行查杀, 一般是需要用户个人卸载, 但卸载不当或者不彻底就会留下永久的隐患, 对智能移动终端系统带来了很大的安全威胁。最后, 基于智能移动终端系统本身是为消费者设计的, 自身系统层面缺乏企业的安全监管, 比如不具备对用户角色进行划分的功能, 不具备对用户权限的管控功能, 不具备对系统补丁的自动更新功能。这些缺陷导致移动智能终端系统会被人滥用或者攻击。

(二) 智能移动终端系统威胁源多。伴随中国3G、4G、Wi-Fi的发展, 一些恶意攻击软件得到了迅速的发展, 同时将移动终端智能终端网络作为主要攻击对象。同时, 我国移动智能终端也是美国重要攻击的目标, 美国成立专门的小组来研究突破我国各种手机终端的移动网络系统, 从而获取我国手机数据信息。

(三) 智能移动终端威胁的传播途经多。智能移动终端受通信和信息结合特点的影响, 其发展面临的安全威胁形式多样, 最主要的是智能移动终端恶意软件对其安全的影响, 这种恶意软件相对于传统的桌面终端系统, 对病毒的传播途径更为广泛。主要体现在以下几个方面:第一, 通过发短信、联网等形式对恶意软件、收费软件的订购, 悄悄拨打的通讯电话等;第二, 对手机本地信息的随意获取, 比如手机终端的通讯录、通话记录以及短信信息、地理位置共享等;第三, 通过盗号软件对用户账号的盗取, 并从中获得非法利益;第四, 卸载软件时附带的恶意骚扰程序。

三、企业智能移动终端信息安全管理策略

伴随个人移动终端的发展, 智能移动终端越来越多的应用到企业部门工作中, 其安全管理问题尤为突出, 基于智能移动终端系统自身存在缺陷以及受外部环境的干扰, 智能移动终端安全被纳入企业信息安全管理中的时, 要注意对智能移动终端的安全管理, 从而保证其对企业管理工作的积极作用, 具体的安全管理工作主要从以下几个方面进行:

(一) 提升智能移动终端系统操作网络的安全。随着无线网络的引入和发展, 智能移动终端系统成为企业无线网络的主要系统, 但随着企业用户对无线网络以及智能移动终端安全意识的薄弱, 在具体的使用中会对企业用户的信息完全造成威胁, 甚至引发一系列网络安全问题争端。同时, 智能移动终端和私人计算机之间数据的链接和传输也为网络终端的恶意攻击行为带来契机, 加剧了智能移动终端系统不安全因素的发展。因此, 企业在对智能移动终端系统使用时, 要加强对网络设备以及智能移动终端系统操作的安全, 比如企业可以禁止有关人员大规模的布设具有无线接入功能的路由器及一些网络设备, 对于已经布设的设备要利用先进的技术手段, 实现其与信息重要服务系统和网络设备的隔离, 禁止一些无线热点接入较为敏感的企业信息网络系统, 有效防止恶意信息经由互联网传入企业智能移动设备终端。

(二) 保障智能移动终端系统主机的安全。现阶段智能移动终端系统缺乏一个统一的安全防范技术标准, 在企业的系统管理中, 一旦出现一些敏感的信息和研究领域时, 信息系统管理员的智能移动终端可能存在严重的安全隐患。因此, 要将智能移动终端系统作为主机的安全部分加入企业的信息管理中, 具体实施体现在以下几个方面:第一, 要限制主机应用开发的OS种类, 加强对OS种类安全性能的检查, 及时中断不合理OS的使用, 同时要对主机安装的一些软件进行严格的规定和管理;第二, 对于涉及企业秘密隐私信息的智能移动终端系统主机, 要对其设置密码、备份等, 加强对其信息泄露和流失的防范;第三, 对企业使用的智能移动终端主机软件要定期进行统一的安全检验和更新。

(三) 加强对智能移动终端使用范围、功能及方法的规范。第一, 加强对智能移动终端使用范围的规范。对于便携计算机、智能手机、平板电脑等移动设备的使用范围、功能以及使用方法等进行规范, 并将要求增加到有关移动设备的终端安全管理系统中。第二, 加强对智能移动终端操作人员的安全培训, 其中培训的内容重点包括智能移动终端操作的安全性、操作范围、禁止使用等方面。第三, 对企业职能移动终端设备进行统一的登记和管理, 严谨工作人员在企业的施工场所内部进行拍照、录音、开启蓝牙、无线等行为。

总结

随着网络的发展, 信息安全问题成为人们关注的重点, 企业在建设中也加强了对智能移动终端的应用。但在具体使用中存在一些个人隐私安全的问题, 因此, 有关人员要在企业安全管理中提升智能移动终端的信息安全管理, 从而实现智能移动终端设备对企业办公带来的便利, 不断推动企业的发展, 为构建智慧城市提供力量支持。

参考文献

[1]宁华, 李巍, 汪坤, 雷鸣宇.智能终端安全体系研究[J].现代电信科技, 2012, 5.

终端方式篇3

随着以笔记本、智能手机、平板电脑等为代表的具备WLAN功能的智能终端越来越普及, 与之相关的无线应用也日益增多, 并由于贴近大众生活, 获得了普通人群的认可, 也获得了运营商的青睐。但WLAN网络的发展仍处于初级阶段, 更多还是注重“硬件”层面的建设, 在用户体验感等“软件”层面与2G/3G网络相比仍有较大差距。本文撇开WLAN网络建设的繁枝细节, 单就用户体验WLAN网络的第一步——认证, 进行探讨。

现在运营商WLAN业务基本都是采用单一Portal认证方式, 这种方式在实际使用中具备可行性, 但是其繁琐的认证流程, 不但降低了网络的效率, 更重要的是影响了用户的体验效果, 制约了WLAN用户的发展。用户使用网络时长和用户数量都无法快速提升, 则网络建设投资成本回收期延长, 用户ARPU值降低。

对此, 业界提出了简化认证解决方案, 通过首次连接时用户无线网卡物理地址与后台的绑定, 用户下次连接网络无需再重新进行繁琐的认证即可直接上网。简化认证作为一种简便快捷的WLAN接入认证方式, 可以与认证服务器结合使用, 不但实现成本相对较低, 而且达到了简化认证流程、提升用户体验的目的。目前, 简化认证解决方案的实现, 在不同地区还不尽相同, 下文就对两种常见的简化认证方案进行简单的探讨和分析。

方案A:用户访问网站为触发条件

如图1所示, 方案A以用户打开浏览器并访问网站为触发条件。根据用户意愿选择是否启用简化认证功能。

方案A具有如下优点。

1、AC能够针对不同的终端类型 (手机、笔记本等) , 灵活控制用户认证报文是否需要进行简化认证功能的请求信息, 方便对不同终端类型的用户进行管控和差异化的认证区分, 并针对不同终端用户推送不同服务和业务。

2、AC能够针对不同的用户群体, 能够灵活识别和控制用户是否需要进行简化认证功能的请求, 例如公众用户群体的认证服务器地址中可以不添加固定的用户简化认证流程请求信息, 而固定认证用户群体的认证服务器则可以添加用户简化认证流程的请求信息, 方便对不同类型 (大众、学生等) 的用户进行管控, 并针对不同类型用户推送不同服务和业务。

同时, 方案A也具有一些不足。

1、应用场景严格受限:用户只有首先打开浏览器并必须访问网站才能触发简化认证功能;而其他应用, 如手机QQ、视频软件、新闻软件等无法自动触发简化认证功能, 使其应用收到极大限制。

2、需要对认证服务器系统进行改造, 修改认证流程和协议交互的部分内容, 而且要修改认证界面, 以支持对绑定信息的存储, 及增加绑定信息的交互流程。

方案B:以流量为触发条件

方案B以流量为触发条件, 用户无线网卡物理地址由专门的绑定服务器进行查询和绑定, 降低了认证服务器或后台服务器的压力。同时采用流量触发的方式, 避免了关联即绑定造成的服务器压力问题。

方案B克服了方案A的不足, 是一种较为完善的解决方案, 其具有如下优点。

1、适用范围广:除支持浏览器外, 也支持手机QQ、视频软件等其他无线应用。

2、用户完全零配置:绑定服务器上的用户无线网卡物理地址和用户名绑定完全自动生成, 用户体验度高;同时用户界面无需改动。

3、安全性高:绑定结果通过短信告知用户。

4、可扩展性好:绑定服务器除用于无线网卡物理地址认证外, 其功能还可根据用户需求进行扩展, 而无需对认证服务器系统进行改动。

5、增加了流量阈值, 防止智能终端上由于定期触发的报文, 如ARP、DHCP、DNS等频繁触发认证请求。

6、避免了无线环境比较差的情况下用户频繁掉线引起的频繁认证问题。

7、系统支持短信下线, 增加了用户的可选择性。即用户通过手机发送短信后, 短信网关通知绑定服务器强制下线。

方案对比

终端方式篇4

目前国内各大银行正在不断扩展其银行业务种类和业务范围,从成熟的储蓄业务、公司业务、国际业务、存贷款业务、信用卡业务、离岸银行业务等,到近期推广十分成功的银行卡业务,以及迅速崛起的网上银行业务和新兴的手机银行业务。其中银行卡业务和网上银行业务是已经发展成熟并且相对比较出众的业务种类。

各家银行力图通过推广银行卡业务和网上银行业务,壮大这些金融产品的用户群,以求达到迅速提高经济效益的目的。

本文旨在提出一种将传统终端(POS)交易方式和网上银行交易方式相结合的新型终端设备和交易方法。

1 现有交易方式及缺点

1.1 传统终端交易方式

传统的终端交易是银行卡业务的主要交易种类之一,这种终端设备主要基于电信电话网络或银行专用线路。在数据传送方面,它一般基于FSK调制,采用中国电信CTSI信息协议或银行自定义等传输协议。在数据安全性方面,它们或没有加密、或仅采用了3DES等对称加密算法。相对现金交易来说,传统的终端交易不但可以降低消费者携带大量现金的风险,使他们能够更加安全、快速、方便地交易,还可以减少商户对大量营业款的押运、管理、辨假风险等。由于它的诸多优点,并经过多年的发展,传统终端交易方式在银行卡业务中脱颖而出,并受到了商家以及广大消费者的认同和喜爱。

1.2 网上银行支付交易方式

网上银行业务是目前相对新颖的业务种类,受到银行卡业务的带动,使用银行卡进行网上支付交易的新型交易方式迅速发展成熟。网络支付平台是基于国际互联网的。在数据传送方面,它采用了HTTPS等基于国际互联网的应用层安全传输协议。在数据安全性方面,它采用了PKI(公钥基础设施)技术体系、RSA等非对称加密算法。网络支付平台交易方式具有交易更加安全、交易不可抵赖、交易成本低、资金周转方便、不受时间和地域的约束、覆盖面广等一系列优势。用户只需打开一个网页浏览器,连接银行支付平台,提交数字证书,输入银行卡账号和密码信息就可以在瞬间安全完成交易。

1.3 上述两种交易方式存在的缺点

1) 传统终端交易的缺点

(1) 基于电信电话网络或银行专用线路的数据传输方案,限定了传统终端设备需要采用公共电话网络与银行进行通信,这样一来,银行方面需要在各服务地区投入大量响应处理前置服务器,并需要维护和管理这些设备;如果为了提高数据传输速度而采用电缆专线与前置服务器直接进行通信,银行方面还需要额外铺设专用电缆线路(如图1所示)。两种情况都需要投入大量成本,而这种成本必然会有一部份转嫁到商户与消费者身上。

(2) FSK传输技术限定了传统终端设备的数据传输速度(最高不大于300字节/秒),直接导致设备将无法快速处理大数据量的交易信息。这对于日益复杂化、多样化的业务要求来说显然是不利的。

(3) 许多商品批发交易市场的商家采用电话转账机进行转账交易。这也是一种传统终端交易方法。该终端普遍采用3DES加密,通过拨号网络与支付平台之间建立专用网络连接。而支付平台和银联前置之间使用POS体系。终端的密钥由密钥管理系统生成,并通过SAM卡(IC卡)导入终端。

随着各种针对芯片和硬件攻击技术的不断发展和提高,由于SAM卡是安装在用户的终端设备里,使用环境极为复杂,监管十分困难,这就潜伏着安全隐患。虽然针对隐患提出了密钥销毁、风险管理、实名制交易控制等策略,但是如果终端反复遭遇到恶意攻击,很难最终确保终端存储密码的安全性。

另外由于密钥管理系统所采用的是主密钥管理体系,当上级根密钥由于泄漏或其他原因需要重新更换时,就必须将下级应用或所有终端中的密钥重新更新并注入。而且如何保障分散在各处的应用或终端密钥注入时的传输安全也存在诸多难题。所以,为了保障电话转账机的交易的安全性,主密钥管理体系的维护成本是很高的。

(4) 采用对称加密算法将无法实现数字签名功能,也就注定了传统终端交易方法不具备抗抵赖性。这使得发生交易纠纷时,银行方面得不到法律保障。

2) 网上支付交易的缺点

(1) 使用一般网络交易必须配备一台PC电脑,而且由于不再使用银行卡等实体交易凭据,网络交易相对不易被消费者所信任和接受。

(2) 完成一次网络交易需要操作者具备一定的文化程度,一定的电脑操作知识,以及安全防范知识。这种要求相对不能适合绝大多数的消费者。

2 新型终端交易方法

我们提出的解决方法是:“扬长弃短”。即充分利用传统的终端交易方式的实用和易操作性和国际互联网的高效和安全性。提供一种既保留了传统终端的交易方式,又能实现网上支付交易目标的解决方法。我们称其为:“基于传统终端交易方式的银行网银业务处理方法”(简称:“新型终端交易方法”)。

2.1 原理

新型终端交易方法是利用国际互联网作为数据传输载体(如图2所示),从而在物理连接上省去了传统电话公共网模式中大量响应处理前置服务器设备和长距离专用电缆线路的成本。使其具备了低投入成本、低维护成本等网银业务具备的优点。同时,新型终端交易方法使用的新型终端(如图3所示)将继续延用传统的输入和输出设备,从而保留了早已被大众所熟知和接受的原有传统终端的交易方式,使其继承了易操作性、实用性等传统业务的优点,同时还具备很强的移植性。

2.2 新型终端和传统终端的区别

(1) 新型终端设置(如图4所示)由含有CPU芯片的嵌入式板卡,以及移动智能钥匙、液晶显示器、银行卡槽、键盘、电源和调制解调器组成。其中调制解调器用于接入Internet网或用ADSL拨号接入Internet网;嵌入式板卡控制、调度外设,并执行预定的软件;键盘、卡槽和液晶显示屏用于输入或输出数据。

(2) 新型终端交易方法选用基于国际互联网环境的应用层安全通信协议之一的HTTPS作为数据传输协议,符合全球银行网上支付平台现有的、稳定的、正在被广泛使用的协议安全标准。当然,也可以实现使用基于TCP/IP的任何应用层(HTTPS、SSL、SET、PGP等或自定义)安全通信协议作为数据传输协议。

(3) 新型终端交易方法选用非对称RSA加密算法和报文摘要HASH算法作为交易数据的重要加密算法。结合使用PKI技术体系,通过第三方的可信机构(CA),把用户的公钥和用户的其他标识信息(如名称、E-Mail、身份证号等)捆绑在一起,即使用数字证书。这样可以在国际互联网上验证用户的身份并使用电子签名技术,保证了网上数据的机密性、真实性、完整性和不可抵赖性(电子签名的功能定义)。为达到更高的安全性,可以支持智慧卡模式(电子签名的主要模式之一)所允许使用的任何存储形式(智能卡设备、智能钥匙USBKey等)的数字证书,并由硬件实现交易数据加密所需的一切算法。

2.3 新型终端交易方法的优点

(1) 用国际互联网进行终端交易,免去了银行方铺设专线或购买前置设备的投入成本,免去了使用方租用线路的使用成本。也减轻了交易场所受到地域和环境的影响程度。

(2) 用已经发展成熟的网银交易接口实现传统终端交易,在技术上大大提高了数据传输速度,节省了数据传输时间,加快了交易效率,同时也保障了交易安全性。

(3) 保留了传统的终端交易方式,继承了其低使用难度和低操作复杂度的特点,对现有的传统终端操作员不需要进行任何培训,也适合绝大多数消费者使用。

(4) 采用PKI体系结构、非对称加密技术,保障终端交易的安全性。具有机密性、真实性、完整性和不可抵赖性,完全符合信息传输的安全标准。

(5) 较于传统的网上支付需要PC机的开放环境而言,新型终端又是一个封闭的应用环境,在很大程度上可以保证终端的安全性(如不受木马和病毒的侵袭)。

3 实现新型终端交易方法的技术方案

3.1 采用新型终端设备

采用新型终端的网银交易系统主要由新型终端设备和网银Web Services应用接口系统组成。采用新型终端设备的网银交易系统能够实现新型终端与现有网上银行电子商务系统的通信连接。

新型终端设备可以用拨号上网的方式或直接通过局域网接入国际互联网,然后通过互联网与现有的网银系统进行交互,使用Web Services技术和HTTPS协议进行信息加密传输,从而实现和网银系统平台的链接。对网银系统来说,接入一个新型终端只需提供相应的Web Services接口,就如同接入一个互联网上在线的客户终端,现有的软硬件支持体系几乎无需更改就可以实现银行卡的支付转账。

新型终端设备的主要功能是:

(1) 负责校验接入的USBKey中的数字证书是否合法有效,并验证交易商户及交易数据的合法性。

(2) 手动拨号(或通过局域网)接入国际互联网,并通过调用Web Services应用接口与网银支付平台交互;通过HTTPS协议(SSL加密隧道)将用户输入的交易数据提交到网银系统,待网银系统完成最终的交易后,负责接收交易结果。

3.2 数字证书、USBKey发放

采用新型终端交易方法的客户(户主)必须在银行注册成为网上银行注册用户,其网银数字证书存放在USBKey。USBKey中的数字证书完全可以沿用现有银行内的数字证书(CA体系),在客户注册时下载。存放在USBKey中的客户(户主)数字证书的私钥不可导出。

实际上数字证书及USBKey的发放只需遵循银行现有的运行系统运作即可。

3.3 使用Web Services技术

Web Services是解决应用程序间相互通信的一项技术,是基于HTTP、SOAP、WSDL和UDDI的服务体系。它使用标准规范的XML描述接口,实现了不同平台、不同技术间的互操作,使用户得到更具效率、更加便捷的服务。现有主流的商业Web平台都能够提供成熟的Web Serivces技术服务。

国内各大商业银行所建立网银系统都可以完全不改变平台的任何现有应用逻辑,只需向客户提供相关的Web Services接口即可。

虽然新型终端可以直接通过解析并提交纯粹的HTML脚本实现与网银的交互,但是Web Services可以详细地说明其接口,这使用户能够简单的创建客户端应用程序与它们进行通信。WSDL 文件定义了编写使用 XML Web Service 的程序所需的全部内容,为用户创建客户端应用程序提供方便。

3.4 程序更新

随着银行卡类型以及各种应用形式的日益多样性,系统不可避免地面临各种功能的变更和增强,银行卡的交易终端也不可避免地需要调整其功能和交易逻辑。又因为新型终端设备放在公共场所,缺少专人的监管,且其部署地域也极为分散。所以本方案中,所有的程序更新都是通过网络(Internet)直接下载并自动更新。通信协议可以使用HTTPS或者FTPS等协议。

银行首先需要对下载更新的程序用认证数字证书进行签名。新型终端设备下载后也须进行签名认证后方可进行替换更新。这样既保证了下载程序的合法性和安全性,也保证了下载程序的完整性。

3.5 系统安全设计

1) 使用数字证书

数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。本文所描述的新型终端也能够支持国家密码管理局所认可的ECC椭圆加密体制。

用户可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:

· 保证信息是由签名者自己签名发送的,签名者不能否认或难以否认。

· 保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。

2) 使用USBKey

新型终端设备可以应用于公共场合,缺少专人管理维护。针对这种情况新型终端使用USBKey的安全对策。这就是要求每个操作者都有一个USBKey,内存一套独自的密钥及数字证书,这样便有效地保证了新型终端交易系统的安全性。因为主要的加解密运算都在外接的USBKey中完成,而且USBKey存储有数字证书,使银行有足够的措施验证操作者的合法身份及合法银行账户。所以使用USBKey解决了操作者身份账户不确定性的问题。

USBKey内部集成RSA或ECC协处理器,能够完成加解密运算,内部保护机制也保障了私钥无法读出,又由于USBKey存储了用于身份验证的数字证书,而数字证书和PKI技术的应用是保障系统安全的有效手段。由此可见,使用USBKey在保障系统安全方面担负着重要的作用。

USBKey的作用表现在它插入新型终端设备,拨号并用HTTPS协议连接网上银行系统和终端与网银进行SSL加密通信的过程中:

· 新型终端与网银系统提供的Web Services应用进行HTTPS连接,此时,客户端所有PKI相关运算都由接入的含数字证书的USBKey完成。

· 新型终端通过调用网银的Web Services交易接口与网银系统进行交易或查询数据的传递。此时,交易信息须客户持有并插入新型终端USB口的USBKey中的私钥进行签名。

3) 使用SSL协议

新型终端通过互联网与现有的网银系统进行交互,通信采用SSL协议进行加密传输。安全套接层协议(SSL,Security Socket Layer)包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性,主要采用PKI体制和数字证书(USBKey)技术来提供安全性保证。对于电子商务应用来说, SSL可保证信息的真实性、完整性和保密性。

SSL访问分为两种形式。第一种是单向SSL。它做两件事情:(1)验证服务器;(2)加密会话。第二种是使用双向SSL,也称为客户验证方式。使用该选项后,客户端和服务器之间使用数字证书互相验证。本系统方案采用的是更为安全的双向认证模式。转账终端所需要的PKI运算都由接入的USBKey完成。

由于目前现有银行网银都采用了基于HTTP SSL双向验证的安全机制,而Web Services本身就是构建在HTTP协议之上的,因此,这个系统方案的安全性完全是有保障的。

3.6 新型终端网银交易系统的基本功能

由于新型终端交易方法是终端设备通过链接网银交易接口来实现传统终端交易,所以它不但完成交易高效、安全,而且保留了传统终端的简易的操作方式(刷卡、输入密码)和基本功能。

目前该新型终端在与国内某大型商业银行的合作中预先实现了如下基本功能:

(1) 银行转账服务

· 户主卡转客户卡功能(读转入、转出卡磁条、密码)。

· 客户卡转户主卡功能(读转出卡磁条、密码)。

(2) 账户查询

· 持USBKey户主卡余额查询。

· 客户卡余额查询(须刷客户卡、密码)。

· 持USBKey户主末笔交易查询。