【正文】 訊服務(wù)，吸納更多的潛在客戶。同時(shí)，券商有形的營(yíng)業(yè)部得到無(wú)形地?cái)U(kuò)張，可以以低成本，新形式走出地區(qū)，甚至走出國(guó)門。 盛潤(rùn)公司除保持技術(shù)領(lǐng)先外，還借鑒國(guó)際成功典范，揣摩國(guó)內(nèi)業(yè)界的營(yíng)運(yùn)實(shí)例，總結(jié)經(jīng)驗(yàn)教訓(xùn)，力圖博采眾家所長(zhǎng)，提供最高品質(zhì)的解決方案，做國(guó)內(nèi)乃至國(guó)際一流的電子商務(wù)系統(tǒng)供應(yīng)商。 第二章 系統(tǒng)設(shè)計(jì) 桂林證券南寧營(yíng)業(yè)部網(wǎng)上交易系統(tǒng)基本架構(gòu) 用 戶 及 股 民證 券 營(yíng) 業(yè) 部ADSL\DN數(shù) 據(jù) 局 ISPPSTN網(wǎng) 上 交 易 經(jīng) 紀(jì) 系 統(tǒng) 概 括 圖 基本架構(gòu)說(shuō)明 行情本地化基本的網(wǎng)上證券交易行情發(fā)布，考慮到 Inter 的在國(guó)內(nèi)的建設(shè)仍帶有很強(qiáng)地域性的特點(diǎn)，及行情信息量較大，Inter 接入客戶的地方化現(xiàn)狀，ISP 經(jīng)營(yíng)的地域化特點(diǎn)，在本地設(shè)立行情服務(wù)器，以近乎實(shí)時(shí)地交易數(shù)據(jù)供股民瀏覽；在行情信息源比如：券商采集行情信息，然后轉(zhuǎn)換并發(fā)送到設(shè)在 ISP 的行情服務(wù)器，由行情服務(wù)器提供網(wǎng)絡(luò)服務(wù)，ISP 宜選取當(dāng)?shù)乇容^有名氣，設(shè)備先進(jìn)，可擴(kuò)容空間充足，帶寬較高，有一定營(yíng)運(yùn)經(jīng)驗(yàn)及客戶基礎(chǔ)較好的 ISP，如：南寧市數(shù)據(jù)局。當(dāng)網(wǎng)上股民的數(shù)量增加時(shí)，亦可以在省內(nèi)其它地方設(shè)立鏡像站點(diǎn)。 交易集中化證券交易委托服務(wù)器，可設(shè)于具有證券業(yè)務(wù)經(jīng)營(yíng)權(quán)的證券公司及其營(yíng)業(yè)部，采用ADSL 與 Inter 相聯(lián)充分發(fā)揮網(wǎng)上強(qiáng)大的通訊資源優(yōu)勢(shì)，節(jié)約昂貴的電話中繼線和通訊設(shè)備的投資，讓更多的股民通過(guò) Inter 進(jìn)行證券交易和相關(guān)查詢。銀證轉(zhuǎn)帳接口類似于柜臺(tái)，盛潤(rùn)也會(huì)給出一套接口標(biāo)準(zhǔn)。為客戶提供全方位的電子商務(wù)解決方案，以及實(shí)時(shí)專業(yè)的財(cái)經(jīng)資訊服務(wù)。速度特快，每分鐘可達(dá) 12 筆，技術(shù)指標(biāo)具有可進(jìn)一步設(shè)置的參數(shù)，成交價(jià)格平均參數(shù)可自行設(shè)置，均線天數(shù)及均線數(shù)都可靈活修改，另外平均成交量分為兩根，可分別自行設(shè)置。全天 24 小時(shí)行情提供。振幅排名；跌幅排名；量比排名；2. 分紅送股能力分析：提供分配潛力分析、最近一次分配情況等，以便投資者對(duì)該公司的送配力度有明確理解。5. 公司簡(jiǎn)介：對(duì)該上市公司的歷史和現(xiàn)狀進(jìn)行介紹，方便投資者全面了解該公司的沿革變遷。7. 主要股東：列表顯示該公司十大股東的名稱、持股量和持股比例。9. 分紅配股情況：為方便投資者還權(quán)，列示該公司歷次分紅派息配股記錄。11. 財(cái)務(wù)評(píng)述：根據(jù)上市公司的基本財(cái)務(wù)數(shù)據(jù)，利用專家模型，給出一個(gè)針對(duì)該公司財(cái)務(wù)狀況的結(jié)論性意見(jiàn)，方便股民解讀報(bào)表。 典型業(yè)務(wù)流程網(wǎng)上經(jīng)紀(jì)系統(tǒng)主要由券商、銀行/信用卡部、ISP 構(gòu)成三方。行情提供：證券公司與電信（ISP）間 ADSL 或 DDN 專線；ADSL 連接上網(wǎng)方式，此方式帶寬高、費(fèi)用低、實(shí)施使用方便。目前，深圳、上海等地區(qū)已提供 ADSL 服務(wù)。DDN 連接上網(wǎng)方式，采用此方式時(shí)每條 DDN 線路需要路由器和 DTU 各一對(duì)；若使用 ISDN備份注意選取即可聯(lián) DDN 又有 ISDN 接口的路由器；使用電話線備份另需一對(duì) Modem；此方式的可在全國(guó)所有地方使用。另對(duì)于大容量的行情提供以及總部的交易委托服務(wù)器建議采用多/雙處理器雙總線結(jié)構(gòu)的服務(wù)器，至少 8G 的高速 SCSI 硬盤。行情交易的客戶端，一般而言不外兩種方式 1：Browser/Web Server方式 2：Client/Server方式 1 的優(yōu)點(diǎn)是客戶端不需要軟件，使用 Inter 通用瀏覽器即可，但系統(tǒng)安全由于受美國(guó)加密出口策略限制，只能達(dá)到 40 位，不夠安全[下面有詳盡論述] ，另由于國(guó)內(nèi)網(wǎng)絡(luò)建設(shè)的現(xiàn)況決定了在未來(lái)一段時(shí)間內(nèi)網(wǎng)絡(luò)帶寬不會(huì)有大的改善，因此速度也成問(wèn)題。盛潤(rùn)兩種方式都提供，既有網(wǎng)絡(luò)行情的 Web based 的服務(wù)器，又有經(jīng)過(guò)加密統(tǒng)一簽發(fā)密鑰的客戶端，但交易主要以客戶端為主，行情查看的程序可由盛潤(rùn) 2022 的網(wǎng)站免費(fèi)下載。三大軟件包：+行情提供軟件包 包括行情轉(zhuǎn)換，行情發(fā)送，行情接受，行情網(wǎng)絡(luò)提供等；+交易委托軟件包 主要包括系統(tǒng)認(rèn)證、加密，交易路由，通訊隔離，中央流程處理及與柜臺(tái)及銀行的接口等；+銀證系統(tǒng)軟件包 銀證系統(tǒng)由于銀行行業(yè)本身特點(diǎn)，因此個(gè)性化很強(qiáng)，盛潤(rùn)提供成功的樣板；具體內(nèi)容及開(kāi)發(fā)等事宜需多方協(xié)商而定； 安全策略自誕生以來(lái)網(wǎng)上金融系統(tǒng)就額外得網(wǎng)絡(luò) Hacker（黑客）的青睞，另外還有成批的居心叵測(cè)的才子們搞出來(lái)的病毒；沒(méi)有一套過(guò)硬的安全策略，網(wǎng)上交易寸步難行。對(duì)電子商務(wù)而言，可一分為三：網(wǎng)絡(luò)安全、信息傳遞安全、安全數(shù)字驗(yàn)證。目前其實(shí)現(xiàn)方式有兩種，即基于包過(guò)濾（Packet Filter）的防火墻 和基于代理（Proxy）的防火墻?；诖淼姆阑饓Γ步袘?yīng)用層防火墻，處于應(yīng)用層，可對(duì) IP 地址和發(fā)生在該 IP 地址上的具體應(yīng)用進(jìn)行控制，由于它能識(shí)別應(yīng)用協(xié)議，因此可對(duì)應(yīng)用的整個(gè)過(guò)程進(jìn)行控制，比如在應(yīng)用建立時(shí)的密碼驗(yàn)證、在 FTP 應(yīng)用中允許某站點(diǎn) get 而不允許put 等等。盛潤(rùn)公司采用的是應(yīng)用層防火墻 + 包過(guò)濾防火墻復(fù)合技術(shù)； 首先，盛潤(rùn)公司采用支持包過(guò)濾的 Cisco 路由器，通過(guò)設(shè)置 accesslist 的過(guò)濾規(guī)則來(lái)實(shí)現(xiàn)包過(guò)濾功能：禁止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的重要機(jī)器的訪問(wèn)，并且利用端口號(hào)來(lái)選擇控制的應(yīng)用協(xié)議。這樣即使有非法侵入者即使通過(guò)了包過(guò)濾防火墻也不可能通過(guò)應(yīng)用層防火墻。為此要保證信息在傳遞過(guò)程中的安全。而這方面的主要技術(shù)是加密技術(shù)。1．安全標(biāo)準(zhǔn)目前，Inter 上有幾種加密協(xié)議在使用，對(duì)應(yīng) (七層)網(wǎng)絡(luò)模型的每一層都已提出了相應(yīng)的協(xié)議。對(duì)會(huì)話層有 SSL(安全套層) 協(xié)議。SSL(Secure Socket Layer Protocol)網(wǎng)絡(luò)資料傳輸?shù)陌踩珔f(xié)定，是由著名的 Inter 先驅(qū) Netscape Communication 提出的針對(duì)數(shù)據(jù)的隱秘性/ 完整性/身份的確認(rèn) /開(kāi)放性的安全標(biāo)準(zhǔn)機(jī)制。盡管使 SSL協(xié)議成為標(biāo)準(zhǔn)還需要一段時(shí)間，但 SSL 協(xié)議事實(shí)上已被大部分萬(wàn)維網(wǎng)軟件生產(chǎn)商所采用。SET(Secure Electronic Transactions)安全電子交易規(guī)格，是由著名的信用卡機(jī)構(gòu) VISA 及MasterCard 提出的針對(duì)電子錢包/ 商場(chǎng)伺服器/認(rèn)證中心的安全標(biāo)準(zhǔn)。 2．加密方法和加密強(qiáng)度信息加/解密技術(shù)可分為兩種體系，即單密鑰的加密體系和雙密鑰的加密體系/ 也稱對(duì)稱加密和非對(duì)稱加密。這一密鑰必須由信源方和信宿方在通信的加密過(guò)程之前通過(guò)秘密途徑達(dá)成一致，所以這種方法也叫密鑰加密系統(tǒng)。非對(duì)稱加密系統(tǒng)，是在 76 年 Diffie 和 Hellman 提出的公鑰加密加密模型的基礎(chǔ)上發(fā)展起來(lái)的。也就是說(shuō)，可以方便地由 A 變換到 B，但是要實(shí)現(xiàn)從 B 到 A 則不能滿足可計(jì)算性（即算法的時(shí)間復(fù)雜度和空間復(fù)雜度遠(yuǎn)遠(yuǎn)超過(guò)實(shí)際能夠承擔(dān)的范圍，比如讓全世界所有的計(jì)算機(jī)同時(shí)計(jì)算同一問(wèn)題，要花費(fèi)幾萬(wàn)年，這種問(wèn)題我們就認(rèn)為是不能滿足可計(jì)算條件的） 。在這樣的算法系統(tǒng)中，任何通信方可以公布一個(gè)密鑰，由專門的密鑰管理機(jī)構(gòu)管理。由于只有乙的私鑰和他自己的公鑰才能構(gòu)成一對(duì)變換，所以甲送來(lái)的信息只有乙才看得懂。當(dāng)然，事物是一分為二的。但，在該方法中，密鑰只需要通過(guò)偽隨機(jī)產(chǎn)生即可，非常迅速；加、解密處理速度也很快，目前還有相應(yīng)的硬件產(chǎn)品。密鑰產(chǎn)生速度一直是該方法得到廣泛應(yīng)用的瓶頸。目前，在這一領(lǐng)域，有許多數(shù)學(xué)工作者和密碼學(xué)家集中于這方面的研究。這兩種加密體系在 Inter 都得到了不同的應(yīng)用。那么各種加密算法被攻破的可能性有多大呢？讓我們以比較常用的 DES 與 RSA 加密算法為例作一分析。設(shè)備投資為 100 萬(wàn)美元時(shí)對(duì)不同長(zhǎng)度的 DES 密鑰進(jìn)行強(qiáng)行破譯的時(shí)間長(zhǎng)度如下：密鑰長(zhǎng)度年份40 位 56 位 64 位 80 位 112 位 128 位1995 年 .2sec 38days 7,000yrs 10 yrs132022 年 .02sec 21min 4days 700yrs 10 yrs22022 年 2ms 2min 9hrs 70yrs 10 yrs2022 年 .2ms 13sec 1hr 7yrs 10 yrs10而目前對(duì) RSA 的最佳破譯法是叫做 General Number Field Sieve 的因子分解法。直到 2022 年，可以認(rèn)為是難以攻破的，而密鑰長(zhǎng)度少于上述標(biāo)準(zhǔn)的加密算法則是不甚安全的。由于象 DES、RSA 這樣的加密技術(shù)除了可用于商業(yè)目的外，還能用于軍事目的（事實(shí)上，美國(guó)目前在軍事上就普遍采用了類似的加密技術(shù)） ，因此，美國(guó)對(duì)加密技術(shù)一直采取了非常嚴(yán)格的出口限制。從 97 年年中開(kāi)始美國(guó)雖然放松了對(duì)部分國(guó)家加密技術(shù)出口的控制，但中國(guó)仍被列入“黑名單” ，維持原出口限制不變。有鑒于此，盛潤(rùn)公司組織了大量的人力物力進(jìn)行攻關(guān)，經(jīng)過(guò)一年多的時(shí)間開(kāi)發(fā)了 SBCA1 對(duì)稱加密技術(shù)（其加密強(qiáng)度不亞于密鑰長(zhǎng)度為 128 位的 TripleDES 加密算法） 、攻克了 RSA 非對(duì)稱加密技術(shù)以及 SHA 雜湊函數(shù)技術(shù)，這樣，我們就完全打破了美國(guó)對(duì)我國(guó)的技術(shù)封鎖，獨(dú)立自主地開(kāi)發(fā)出安全可靠的網(wǎng)上證券交易系統(tǒng)。目前，Inter 上的信原 始 數(shù) 據(jù)DAT雜 湊 結(jié) 果SDat 數(shù) 字 簽 名 Sign②數(shù) 字 簽 名PKEncrypt 加 密 數(shù) 據(jù) MDat③合 成 數(shù) 據(jù)加 密 數(shù) 據(jù)①進(jìn) 行 雜 湊MD5 盛 潤(rùn) 公 司 加 密 算 法 基 本 流 程 息加密有兩種途徑：基于 IP 層的信息加密和基于應(yīng)用層的信息加密，基于應(yīng)用層的信息加密是傳統(tǒng)的方法，用戶在發(fā)送信息前，利用加密工具先將信息加密，然后才發(fā)送出去，接收方可利用相應(yīng)的解密工具還原信息；基于 IP 的信息加密是 Inter 上的一種新技術(shù)，它對(duì) IP 包進(jìn)行加密，對(duì)于應(yīng)用層的用戶來(lái)說(shuō)是透明的，用戶無(wú)需在傳送數(shù)據(jù)前進(jìn)行加密，數(shù)據(jù)的安全是通過(guò) IP 層自動(dòng)實(shí)現(xiàn)的，但是這種應(yīng)用要求發(fā)送方和接收方采用同樣的技術(shù)、同樣的產(chǎn)品，目前已有采用這種技術(shù)的產(chǎn)品出現(xiàn)，比如 Sun 公司的防火墻 Sun Screen 就具有此功能。另外，信道加密技術(shù)(IP Sec)也可以在兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)之間建立透明的安全加密信道。利用 IP 封裝凈載(IP ESP)可以實(shí)現(xiàn)通信內(nèi)容的保密。對(duì) IP V6 標(biāo)準(zhǔn)，IP Sec 在安全上做了更多的工作。從原理來(lái)說(shuō)，SSL 協(xié)議是通過(guò)把對(duì)稱加密技術(shù)、非對(duì)稱加密技術(shù)與雜湊函數(shù)技術(shù)結(jié)合起來(lái)而實(shí)現(xiàn)各項(xiàng)安全保密功能。這樣，網(wǎng)絡(luò)竊聽(tīng)者雖然可利用 IP packet sniffers 等手段截獲兩臺(tái)計(jì)算機(jī)之間的信息流，卻不可能讀懂信息流中的內(nèi)容。SSL 協(xié)議利用了雜湊函數(shù)技術(shù)（如 SHA）對(duì)此進(jìn)行了防備。身份的相互驗(yàn)證：為驗(yàn)證對(duì)方的身份，遵循 SSL 協(xié)議的兩臺(tái)計(jì)算機(jī)在進(jìn)行對(duì)話之前都有一個(gè)握手過(guò)程。雙方利用非對(duì)稱加密技術(shù)（如 RSA）驗(yàn)證對(duì)方的身份并得到對(duì)方的公鑰；其中一方隨機(jī)生成一組進(jìn)行對(duì)稱加密用的密鑰組，把該密鑰組用對(duì)方的公鑰加密并傳給對(duì)方，對(duì)方即可用自己的私鑰解密得到進(jìn)行對(duì)稱加密用的密鑰組；雙方確定以后對(duì)話中所使用的對(duì)稱加密算法。一旦加密算法被攻破， SSL 協(xié)議將完全失去效用。VeriSign 目前已經(jīng)在全球發(fā)放了超過(guò) 65000個(gè)安全服務(wù)器標(biāo)識(shí)， 《幸福》 （Fortune）雜志評(píng)定的全球 100 家大企業(yè)中，有 95 家采用了 VeriSign 安全服務(wù)器標(biāo)識(shí)。采用 VeriSign 安全服務(wù)器標(biāo)識(shí)，安全套接層（SSL）為因特網(wǎng)交易提供了充分的安全保障。為此盛潤(rùn)針對(duì)對(duì)最后一個(gè)環(huán)節(jié)——客戶身份采取了安全數(shù)字認(rèn)證，爭(zhēng)取武裝到“牙齒” 。在握手過(guò)程中通過(guò)數(shù)字身份證明文件以及 RSA 電子簽名的方式互相校驗(yàn)身份，并通過(guò) RSA 算法安全地交換以后對(duì)話用的 SBCA1 密鑰。系統(tǒng)所有數(shù)據(jù)在傳輸時(shí)都加有 SHA 指紋，所有傳輸錯(cuò)誤或被惡性修改的數(shù)據(jù)都會(huì)因不能通過(guò) SHA 檢驗(yàn)而被丟棄，有效地防止了數(shù)據(jù)的傳輸錯(cuò)誤與惡意篡改。用戶的每條交易指令都要附上有效的電子簽名，只有通過(guò)簽名驗(yàn)證的指令才予執(zhí)行，確保指令的真實(shí)性。更令人放心的是，盛潤(rùn)網(wǎng)上證券交易系統(tǒng)從 版開(kāi)始已選用了密鑰有效長(zhǎng)度為 128 位的SBCA1 對(duì)稱加密算法與密鑰有效長(zhǎng)度為 1024 位的 RSA 非對(duì)稱加密算法，確保系統(tǒng)的加密算法是難