中小银行网上银行系统设计与实现.pdf

资源描述

摘要摘要随着近年互联网的高速普及及快速发展，特别是近年我国电子商务交易量的不断攀升，2013年被称为“互联网金融元年”，传统金融业务互联网化趋势越来越明显。国内宏观经济的稳定，用户消费习惯的养成，银行业自身业务的创新和信息科技的日新月异都推动着我国网上银行的快速发展。对于银行业来说，如何应对互联网金融的竞争，运用网络技术为公众搭建一个更加高效、更加易用、更加快捷的电子服务平台就显得非常重要。此外，十二五期间，若国际金融环境没有显着恶化，国内经济不出现重大动荡，网上银行将依然保持一个平稳的发展速度,但随着行业逐渐步入成熟期，以及手机银行、电话银行等替代产品的发展，网银增长速度将逐年降低。并且我们必须认识到，中小商业银行具有规模小、网点少、业务品种单一等不足之处，为在激烈的市场竞争中生存，迫切希望推出新一代网上银行系统，以满足其客户使用需要，并以此来丰富自身服务渠道，突破物理网点不足的限制。因此，研究中小银行网上银行系统的设计与实现具有非常重大的意义。本文首先介绍了网上银行的发展背景和研究意义，以某城市商业银行网上银行为研究对象，从需求分析、详细设计和系统实现三个方面进行了详细的论述，重点在应用体系设计、安全体系设计和基于Android移动客户端提出了相应的解决方案，采用基于SOA的N-层设计和基于PKI体系的基础安全架构，特别是对应用层安全防护、灾难备份和恢复和Android客户端等方面的研究具有一定的特色，通过对输入、授权、敏感、会话、加密、异常处理、审计等过程的全流程审核确保了应用层安全防护，设计了两地三中心的灾备方案，可防范灾难性风险，实现了基于Android的客户端，解决了移动终端使用问题。本文最后通过对整个系统进行了压力测试验证，结果表明系统设计方案先进,系统运行稳定高效，安全体系健全可靠，达到了系统设计目标，该系统目前已在某城市商业银行投入正式使用。网上银行系统的建设是一个庞大的工程，本文研究的内容只是其中比较关键的部分，并未展开全面的分析，在未来的研究过程中，我们也提出了有待进一步深化和解决的问题。关键词：网上银行，手机银行，Android,安全ABSTRACTABSTRACTWith the rapid spreading and development of the Internet in recent years,especially the rising of e-commerce transaction volume in China in 2013 which is known as the Internet banking first year”,the Internet trend of traditional banking business is becoming more obvious.Lots of factors,such as stability of domestic macroeconomic,consumption habits formation of users and technology innovation of banking business,promote the rapid development of Chinas online banking.For the banking industry,it is very important to solve problems like how to deal with Internet banking competition and build an easier and more efficient e-services platform for the company with network technology.In addition,during the twelfth five-year period,if there is no significantly worse of international financial environment and no major domestic economic turmoil,online banking will keep a stable development.As the industry is gradually maturing,with competition of mobile banking,telephone banking and other alternative products,online banking growth rate will be reduced year by year.And we must realize that small and medium commercial banks are restricted with disadvantages of small-scale,small business scope and single variety.In order to survive in the fierce market competition,it is imperative to launch a new generation of online banking system to meet the needs of its customers,and to enrich their service channels and break the limitations of insufficient of physical outlets.Therefore,it is of great importance to explore the design and implementation of online banking system for small and medium banks.This thesis firstly introduced the background and significance of the development of online banking and chose a city commercial online bank as the research object.Three aspects including requirements analysis,detailed design and system implementation are discussed in detail,which focus on solution of design in safety systems,application system and Android-based mobile client by using N-layer design of SOA-based security architecture.This research was characterized in application layer security,backup and disaster recovery,and Android-based clients.We ensured the application layers security and built a disaster recovery solution designed for a two three-center through the audit of the whole process:input,authorization,sensitive,session encryption,exception handling.We also achieved Android based clients and solved the ABSTRACTproblem of mobile terminal uses.At last,the entire system has gone through a stress test to verify the results which shows that the system design is advanced,stable and efficient,and the security system is reliable to achieve the designed goal.The system has been put into use in a city commercial bank.Construction of online banking system is a huge project,and the content of this thesis is just one of the critical parts.A comprehensive analysis of the study is needed in the future.We also proposed some critical problems that need further study.Keywords:online bank,mobile banking,Android,securityhi目录目录第一章绪论.11.1 研究背景.11.2 研究目的与意义.21.3 国内外网上银行现状.31.4 研究内容及论文结构.3第二章相关技术简介.52.1 J2EE 技术.52.2 Android 技术.52.2.1 Android 系统简介.52.2.2 Android 开发环境与工具.62.3 CMMI软件能力成熟度集成.62.4 CVSS通用脆弱性评级体系.72.5 本章小结.7第三章系统需求分析.83.1 系统建设目标.83.1.1 系统目标及要求.83.1.2 设计准则.93.2 系统业务功能需求.93.2.1 企业网银子系统.103.2.2 个人网银子系统.143.2.3 后台服务子系统.163.2.4 管理子系统.163.3 系统技术功能需求.163.3.1 安全性需求.163.3.2 开发规范需求.173.3.3 运行效率需求.173.3.4 稳定运行需求.173.4 本章小结.17第四章系统设计.184.1 系统总体架构.18IV目录4.2 系统应用体系设计.194.2.1 总体功能架构设计.194.2.2 平台总体结构设计.204.2.3 系统内部结构设计.214.3 系统数据库设计.224.3.1 数据库设计规范.224.3.2 主要表结构设计.244.4 系统安全体系设计.274.4.1 PKI证书安全体系.274.4.2 灾难备份和恢复.284.5 Android 客户端设计.304.6 本章小结.30第五章系统详细设计与实现.325.1 系统实现方法.325.2 典型交易过程分析.325.2.1 系统登录过程.325.2.2 跨行转账过程.355.2.3 第三方缴费.395.3 核心安全逻辑实现分析.435.3.1 会话管理.435.3.2 拦截器处理机制.445.3.3 SQL注入漏洞防范.445.3.4 跨站攻击防范.455.3.5 文件上传漏洞.455.4 系统安全保障措施.465.5 应用安全防护实现.485.6 Android 客户端设计.505.6.1 主要程序结构.505.6.2 主要处理流程.515.6.3 通讯接口规范.535.6.4 实现效果分析.555.7 本章小结.56第六章系统测试.58v目录6.1 测试目的.586.2 测试过程.586.2.1 测试环境描述.586.2.2 测试数据分析.596.3 测试结果.616.3.1 安全扫描结果.616.3.2 压力测试总结.636.4 本章小结.66第七章总结与展望.67附录.69致谢.74参考文献.75VI第一章绪论第一章绪论1.1 研究背景随着近年互联网的高速普及及快速发展，特别是近年我国电子商务交易量的不断攀升，展现在人们眼前的是一个崭新的电子化虚拟交易平台，人们的各项活动可以跨时空地在这一平台上进行快速传播、交换，货币的形态也由实物货币向电子虚拟货币进行转变。网上银行作为电子商务发展的重要支撑平台，已经得到广泛的应用和发展。对于商业银行来说，探索如何充分运用网络技术，改变客户服务理念，以网上银行为方向，为客户搭建一个高效、易用、快捷的电子金融服务平台就显得尤为重要。尽管网上银行至今仅仅经历了 10余年的发展，但是伴随着互联网技术的不断进步和发展，网上银行经历了展示银行形象的网站门户、以实现业务功能为主的业务系统、以强调用户体验为主的交易平台和以营销为导向的电子商务平台这样的四个发展阶段1。2000年以前以美国为首的网上银行系统就得到了较快增长，美国传统银行的资产年增长率为8%左右，而同期美国网上银行的资产年递增率达50%以上。此后，美国主要金融机构纷纷采用互联网技术，陆续推出各自的网上银行业务。2000 年至2005年之间，美国金融机构在互联网业务上的投资以28%每年的速度递增。美林证券成立了基于互联网的投资银行DirectMarLets,以远低于传统线下证券公司的价格推出网上股票交易服务，大通银行、富国银行和第一联合银行组成策略联盟Exchange,联手开拓网上银行业务。富国银行、国民银行和花旗银行的网上客户分别名列全美前三名。根据市场调研公司GMI的调查，欧洲至少有一半的银行开展了网上银行业务，其中荷兰、德国和丹麦人使用网上银行的比例最高叫我国的网上银行经历了门户网站、业务系统的阶段，目前所开通的服务基本上属于网上银行业务中比较初级的内容，基本属于传统银行业务的电子化延伸阶段。例如：网上个人与企业的账务查询、转账、网上支付、第三方缴费等业务。随着3G移动通信和移动互联网技术的飞速发展，智能手机、PDA、平板电脑等便携式移动设备日益普及，依托移动设备和移动互联网实现电子银行的无线移动和永久在线，成为了当前网上银行业务的技术发展方向。以苹果公司的iOS操作系统和Google公司的Android操作系统为代表的移动设备近年来在市场占据绝对优势，特别是Android系统具备完全免费和开放源码的独特优势，在移动市场占有率已稳居第一位。因此银行网上银行应用必须要考虑Android客户端的开发 1电子科技大学硕士学位论文和应用。1.2 研究目的与意义据统计，仅2013年第3季度，中国网上银行交易规模达317万亿，环比比增长10.9%,网银用户数已超4亿，多数银行的网银替代率已达到80%以上；从交易规模的结构来看，网上银行交易量最主要的组成部分是企业网银，而与此同时，个人网银交易笔数增速则超过了企业网银，且交易占比逐年上升。国内稳定的宏观经济，银行业自身业务的创新和信息科技的发展都推动着我国网上银行业务的快速发展。在未来一段时间，如果国内外金融环境没有出现明显恶化和经济重大动荡，我国网上银行将依然保持一个较快的发展速度，但随着行业逐渐步入成熟期，以及手机银行、电话银行等替代产品的发展，网银增长速度将逐年降低，预计2014年左右网银交易规模有可能在现有水平上翻一番。研究网上银行系统的设计与实现具有以下意义：(1)网上银行建设将大大降低银行的经营成本。据统计，网上银行每笔交易的平均成本大约只有0.01元，而在银行物理网点每笔交易的平均成本则超过1元,通过网上银行交易成本可节省99%o主要体现在降低了银行人力成本、物理网点开设成本，软硬件投资成本等。(2)通过网上银行建设将极大的方便客户使用，使得基础金融服务脱离时间和地点的限制，足不出户就可享受到7X24小时的一对一自助服务，对于银行拓展更多的客户资源提供了有利的条件。(3)网上银行对于提高银行竞争力，特别是中小银行竞争力具有重要意义。近期以来，银行之间同质化竞争激烈，受物理网点和规模约束，中小银行难以与大型国有银行和股份制银行抗衡，而网上银行提供了相对公平的竞争平台，完全突破了时空的限制。(4)近年来网上银行安全事件不断，客户信息、资金被盗的案例层出不穷。因此研究网上银行系统建设中的安全措施，非常具有现实意义和价值。(5)研究基于Android平台的网上银行移动客户端，具有一定的前沿性和先进性，基于Android的移动客户端可为客户提供全方位的“4A”服务(Anytime,Anywhere,Anyhow,Anyone)。中小商业银行一般属于区域性银行，具有规模小、网点少、业务品种单一等不足之处，为在激烈的市场竞争中生存，某城市商业银行迫切希望推出新一代网上银行系统，以满足其客户使用需要，并以此来丰富自身服务渠道，突破物理网点不足的限制，因此，研究中小银行网上银行系统具有较大的现实意义。2第一章绪论1.3 国内外网上银行现状网上银行起源于1995年左右，1995年10月18日，世界上第一家网络银行“安全第一网络银行”诞生。网上银行的出现是互联网经济发展的必然结果，也是电子商务发展的需要，作为一种新型银行结构，也是一种崭新的网上金融服务系统。1997年，招商银行推出了“一网通”品牌，包括互联网相关产品：网上个人银行、网上企业银行、系列网站等，成为国内银行网上银行风向标，创建了国内网上银行诸多标准。自1999年开始国内大型国有银行如中国银行、建设银行、中国工商银行等，相继推出了各自的网上银行系统，网上银行开始了蓬勃发展的历程。大中型商业银行的网上银行早期主要以满足行内账务查询和转账为主，随着金融业务的发展，逐步扩展到账户服务、银行卡服务、缴费站、网上汇市、网上贷款、网上证券、网上保险、信使服务、网上理财、客户服务等全业务范畴，其特点是功能多、用户量大、业务复杂。城市商业银行一般由农信社组建而成，成立时间大多集中在1997年左右，推出网上银行的时间也相对较晚，由于互联网技术和金融电子化技术已经发展到一定程度，以城市商业银行为主体的中小银行网上银行一开始就实现了数据大集中，在实现行内通存通兑的基础上，还接入了现代支付系统，实现了跨行资金互转，在网上银行安全技术应用方面，也直接采用了 Usbkey证书方式，可以说中小银行网上银行起步虽然较晚，但起点较高。根据中国银行业协会发布2013年度中国银行业服务改进情况报告，截至 2013年末，中国银行业网上银行个人客户同比增加28.09%；企业客户同比增加达到29.92%；网上银行交易总量伍佰亿元，4312.87万笔，网上银行交易总额达到 1066.97万亿元，同比增加190.87万亿元，增长比率21.79%。手机银行个人客户达到近4.6亿户，同比增加了 1.64亿户，增长比率为55.50%；企业客户达到H.43万户，同比增长23.04%；手机银行交易总量达49.80亿笔，交易总额12.74万亿元，同比增长248.09%。电视银行个人客户达到383.85万户，同比增力口 954.24%；电视银行交易总量达34.86万笔，交易总额0.90亿元。微信银行个人客户数量达到290.94万户，企业客户数量达到4.46万户，全年交易总量达到 850.76万笔，交易总额为6.65亿元。1.4 研究内容及论文结构本文基于J2EE技术和Android系统，采用Java语言、AndroidSDK Eclipse 等开发工具，设计和开发了适用于中小银行的网上银行系统和Android客户端，从而实现了通过互联网和移动终端进行银行业务办理，主要研究工作包括以下几个 3电子科技大学硕士学位论文方面：本文的第一部分一一绪论，主要讲述了网上银行的研究背景、研究目的与意义，分析了国内外网上银行现状及中小银行的特点和所面临的问题，指出了研究中小银行网上银行系统具有较大的现实意义。本文的第二部分介绍了论文研究相关技术，主要包括J2EE技术、Android技术、CMMI软件能力成熟度模型、CVSS通用脆弱性评级体系。本文的第三部分介绍了中小银行网上银行的系统需求，主要包括系统建设目标、业务功能需求、技术功能需求等部分，网上银行作为面向互联网的金融服务,除通用性业务需求外，还在安全、运行效率、稳定运行等方面有着特殊的需求。本文的第四部分针对第三章提出的系统需求，进行了系统详细设计，介绍了系统总体架构、应用体系设计、数据库设计、安全设计等主要内容，特别是对系统安全体系部分进行了详细而全面的阐述。本文的第五部分介绍了中小银行网上银行系统实现部分内容，对系统开发方法、典型交易过程、应用层安全防护等方面进行了重点阐述，最后通过系统测试总结，验证了整个系统的可用性和运行效率。并对Android客户端的主要程序结构、主要处理流程、通讯接口规范等进行了详细描述，对实现效果进行了分析。本文的第六部分针对系统实现后的测试情况进行阐述，明确了测试目的包括压力测试和安全测试两个方面，介绍了测试过程包括测试环境描述和测试数据分析，最后对测试结果进行分析。本文的第七部分进行了总结和展望，对本文的研究成果和未来需进一步研究的内容进行了简要的描述。本文最后是附录列举了部分代码，包括拦截器处理机制中的服务端参数拦截器、交易处理拦截器、请求内容处理拦截器部分的代码。4第二章相关技术简介第二章相关技术简介2.1 J2EE 技术J2EE是一种利用Java技术来简化企业级应用解决方案的开发、部署和管理的体系结构网。J2EE技术是基于核心Java平台或Java 2平台的通用版本发展起来的，不但巩固了通用版本中的多项优势，包括”编写一次、随处运行”的多平台兼容特性、方便快捷的JDBC数据库访问接口、实现应用互访的CORBA技术以及能够在互联网应用中保护数据的安全模式等，还提供了对Java Servlets、EJB、XML以及JSP 等技术的支持。J2EE核心是一组技术规范和指南，通过共同的标准来规格其中所包含的各类组件、服务架构及技术层次，使之兼容各种依循J2EE架构的不同平台之间，目前已在企业级开发中取得了广泛的应用。SSH是由struts spring和hibernate组成的集成框架，是目前广为使用的一种 Web应用程序开源框架Hi。集成SSH框架的Web应用系统通常分为四个层次：表示层、业务逻辑层、数据持久层和域模块层，据此开发工作人员可以有效地搭建一套结构清晰、重复性好并且方便维护的Web应用程序。SSH中使用Struts作为系统的基础结构，负责MVC的分离，在Struts框架的模型层次，控制业务逻辑跳转，通过Spring实现对struts和hibernate管理，通过Hibernate框架实现数据库操作持久层。2.2 Android 技术Android技术是由Google国际公司设计发行的一种构架于Linux的开放源代码的操作系统，主要使用于便携设备，如智能手机和平板电脑。2012年H月数据结果表明，Android系统在全世界智能手机市场中拥有百分之七十六的比例，更令人瞩目的是，仅仅在中国市场中占有率就达到了百分之九十。与其他操作系统相同，Android的系统结构采用了一级一级下分的结构，从低级到高级依次是Linux内核层、系统运行库层、应用程序框架层和应用程序层。Android开发四大组件分别是：活动(Activity)：用于表现功能。服务(Service)：后台运行服务，不提供界面呈现。广播接收器(BroadcastReceiver)：用于接收广播。内容提供商(Content Provider)：支持在多个应用中存储和读取数据，相当于数据库1。2.2.1 Android系统简介Android 一词英文本义指“机器人”，它是由Google公司于2007年H月推 5电子科技大学硕士学位论文出的基于Linux平台的开源手机操作系统，依靠Google公司的强大开发和媒体资源，Android成为众多手机厂商竞相追逐的对象，逐渐发展成为当下流行的手机开发平台口3。Android系统是依托于Linux内核的移动设备操作系统，大部分都采用了分层的结构。Android系统从低层到高层分别为Linux核心层、系统运行库、应用程序框架层和应用程序层四个层次：(1)应用程序框架。我们采用由多种不同的基础组件组成的应用程序，因此,开发应用程序时可以很直接的使用这些基础构建，通过这样的设计，我们大大节省了开发应用程序所需的时间。(2)Dalvik虚拟机。与其他设计不同的是，我们并不是依据SUN公司的 J2ME引擎来设计Android的Java虚拟机，而是自主开发的虚拟机技术，代号为 Dalvik,这种虚拟技术针对移动设备进行了大量优化，在保证API兼容的同时，运行效率更高，占用资源更小口 4。2.2.2 Android开发环境与工具(1)Android SDK在 Google 公司的 Android 开发者网站(http:)发布的 Android软件开发包(SDK)o登录此网站后，根据所用移动操作系统版本和类别分别下载，即可直接解压到特定的文件夹，并且在安装JDK 5.0及以上版本后，即可兼容Android SDK所采用的Java语言。(2)Eclipse集成开发环境及Eclipse插件在Android支持的多种集成开发环境(IDE)中，Eclipse是完全免费提供的,且与Android SDK有着非常好的集成。在Eclipse软件界面的更新菜单下，我们通过添加ADT插件的安装网址，就可以逐步完成安装。Eclipse开发环境在成功安装插件后，Android的开发和调试将获得很大的便利，在此同时可以获得很多实用工具。(3)Android的模拟器Android模拟器即在开发环境中创建Android虚拟机，选择对应的硬件参数，程序员可以模拟出各种类型的Adroid设备用于测试和验证。2.3 CMMI软件能力成熟度集成CMMI是Capability Maturity Model Integration的简称，也就是软件能力成熟度模型的集成。CMMI是在卡内基-梅隆大学、美国国防部和美国国防工业协会三方共同设计开发，它得最初目标是实现对软件运行过程中的管理和改善。软件企业 6第二章相关技术简介的开发和改善能力也可因此得到提升，达到按预定时间、预定预算开发出高质量的软件的目的。CMMI2是CMMI过程改进的第二管理级别，其包含了项目计划(PP)、项目计划跟踪与控制(PMC)、需求管理(RM)、供应商协议管理(SAM)、度量(MA)、配置管理(CM)、产品与过程质量保证(PPQA)等7个方面的主要内容。2.4 CVSS通用脆弱性评级体系CVSS(Common Vulnerability Scoring System)即通用脆弱性评级体系，它是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准，可以对弱点进行评分，进而帮助我们判断修复不同弱点的优先等级。漏洞CVSS修补级别定义如表2-1所示。表2-1漏洞CVSS修补级别定义修补级别级别定义立即处理(2周)7分=漏洞的CVSS分值=10分尽快处理(4周)4分=漏洞的CVSS分值7分需要关注1分=漏洞的CVSS分值4分暂不处理。分=漏洞的CVSS分值field name=amount longname二金额req=true type=amount”/$object(nvouchern,nAlln,#parameters.voucherld).info.whiteList.listType 0 0 expression name=nexp2n depends=bookNo message二”限制账户必须输入预约登记号、36第五章系统详细设计与实现交易报文定义如下：通过调用以上配置形成从页面端输入检查、服务端参数检查、交易报文组装等定义，再通过交易处理程序中统一完成日志记录、状态同步等操作。交易处理核心代码如下:37电子科技大学硕士学位论文public Params process(Params requestData)throws Exception this.obj ectFactory.setObj ectF actory(thi s.obj ectFactory);RequestContext.setNonwebContext(requestData);RequestContext.get().setUserAgent(new UserAgent(userAgent,true);Transactioninfo t=TransactionMonitor.getTransactionInfo();try Params ret=invoker.invoke(getMapping(requestData.getTransName(),requestData,Params.create().add(RequestContext.KEY_CURRENT_USER,this.getOperator(requestData);if(StringUtil.isEmpty(ret.findValue(KEY_SEQNO)ret.put(KEY_SEQNO,RequestContext.get().get J ournalNo();if(TransactionMonitor.isAvailable()t.setResponse(PackUtil.DEFAULT.pack(ret);TransactionUtil.processTransactionlnvocationException(ret);TransactionMonitor.processSuccess(t);return ret;)catch(Exception e)TransactionMonitor.processException(t,e);throw e;)转账实现界面，如图5-4所示：38第五章系统详细设计与实现昔通跨行转赅实时跨行转账他行账户转账跨行转账操作流程：选择付款账户埴写收款账户信息 4埴写交易金额信息确认转账汇款信息第一步：选择付款赅尸付款账户 162144698*Tf*0152 v*交易金额1显示余额交易金额（大写）壹元整预约登记号请选择预约登记号V查询预约增加预约加急标志总普通O加急用途test 是否短信通知收款人信息0保存为常用收款人图5-4客户转账界面截图5.2.3第三方缴费第三方缴费是网上银行上银行代理第三方业务的典型交易，包含了通讯费、数字电视费、自来水费、电费等代理业务，交易过程中除涉及到银行业务系统外,还涉及到很多第三方系统，使用了 http服务、数据库操作、行内通讯、第三方通讯等复杂技术处理过程，主要流程如图5-5所示：39电子科技大学硕士学位论文图5-5第三方缴费流程图其中主要的处理过程如下：（1）缴费查询。主要处理过程为，根据客户选择的缴费类型和内容，按照与第三方通讯的规范，组成缴费查询通讯报文，并发往第三方平台进行缴费查询处理，查询可能有两种结果，如查询失败则直接提示客户，如成功则进行下一步交易。（2）缴费处理。主要处理过程为，根据客户选择的缴费类型、内容、输入的交易密码，先对密码进行解密，然后将交易账户、交易类型、交易金额、密码等信息发往中间业务平台进行记账处理。（3）记账处理。主要处理过程为从客户帐扣减缴费所需金额，并记入第三方缴费过渡账户，记账处理会出现两种结果，一种是客户账户余额不足，返回记账失败，另一种是记账成功。第三方缴费业务必须先进行行内记账处理，主要是确保客户账户资金扣减成功，避免出现银行资金短款的情况。40第五章系统详细设计与实现（4）缴费结果处理。在记账处理成功后，中间业务平台将往第三方平台发送缴费请求，第三方平台返回缴费成功则更新网上银行交易流水状态为成功，并回显客户缴费结果。如第三方平台返回缴费失败，则需要向中间业务平台发起记账冲正交易，将已经发生的扣款交易进行反向记账，然后更新网上银行交易流水状态为失败，同时登记失败原因，并回显客户缴费失败结果。（5）冲正处理。冲正是账户记账交易的反向交易，由于先进行了记账交易，在第三方平台缴费处理失败是，为保证帐务平衡，需要对已经发生的记账交易进行冲正，从而保证客户和银行资金的双向平衡。以电话费代缴为例，参数定义文件如下所示：field name=nCallNamen title=n 电话户名 dbname=nteusnan alias=name/交易报文定义如下：transaction name=ntongxunn longname=n 通讯费”extends=HPerFinanceTransactionn writelog=n submit logined=falsen 41电子科技大学硕士学位论文smspassword=submit validatetoken=submitteleNofield name=smspassword longname=H 动态密码 req=true”action=submit”/expression name=expl depends=voucherNo2 message=”账号不一致“第三方缴费实现界面，如图5-6所示：42第五章系统详细设计与实现缴费中心缴费中心操作流程：选择扣款账户4选择地区和缴费类型埴写缴费项目,埴写缴费信息第四步：埴写1ft费信息供电单位编码 43-2用户编号 11 01用户名称-1-用户地址岳蔑“UE,JULI1*.本次应收总金额 0.00缴费金额 I本次预缴交易密码瑞定返回图5-6第三方缴费界面截图5.3 核心安全逻辑实现分析本章主要针对网上银行系统中通用层主要的应用处理逻辑进行分析，包括：会话管理和拦截器处理机制，另外，针对目前网上最为典型和常见的安全漏洞，提出网上银行安全控制实现方法，内容包括有SQL注入漏洞防范、跨站攻击防范、文件上传漏洞防范等方面。5.3.1 会话管理为实现多种会话的建立和统一管理，需要结合应用服务器的会话管理，实现动态负载均衡状态下的会话数据同步。同时实现对会话的生命周期管理，以防范黑客使用已经失效的会话对系统进行攻击，同时防止过期会话数据大量占用系统内存，影响系统性能。public void sessionDestroyed(HttpSessionEvent event)User user=(User)event.getSession().getAttribute(RequestContext.KEY_CURRENT_USER);logout(user,event.getSes sion();43电子科技大学硕士学位论文debug(nsession invalidate:+event.getSession().getId();5.3.2 拦截器处理机制网上银行采用拦截器机制对客户端提交的数据进行拦截处理。主要包括五类拦截器：服务端参数拦截器、请求内容拦截器、交易处理拦截器、ajax校验拦截器、操作日志拦截器。在服务端参数拦截器代码ServerParametersInterceptor.Java见附录一交易处理拦截器 TransactionControllerlnterceptor.Java 见附录二请求内容处理拦截器RequestContextlnterceptor Java见附录三5.3.3 SQL注入漏洞防范SQL注入漏洞是指利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行田,以达到获取系统特权或破坏系统的一种系统级漏洞。SQL注入漏洞通常是存在于传统的JDBC编程模式中，在该模式中数据库操作通常是通过SQL语句拼接的方式实现的，这种开发方式固然简单，但很容易带来SQL注入的漏洞风险。网上银行框架通过规范数据库操作方式，使用preparedstatement的机

展开阅读全文