【論文摘要:電子商務 網上支付系統 技術策略
【論文摘要我國電子商務和網上交易近年來取得了較大的發展 ,然而網上支付成爲我國電子商務發展的瓶頸之一。因此 ,解決網上支付新問題是發展電子商務的必要環節。本文從多個方面對網上支付系統的技術和平安新問題進行了探究。文章首先簡單地分析了網上支付系統在平安方面的需求,介紹了相關的核心技術。然後結合我國民航電子商務的發展目前狀況和需求 ,以節省交易成本和提高平安性爲目標 ,提出基於 SSL 協議的民航電子商務支付系統。通過加入雙重簽名技術 ,使得 SSL 協議的平安性有所提高 ,民航電子商務系統更加有效和平安 ,交易成本也大大降低。
Abstract摘要:Although Chinese e - commerce and network transaction have great development in recent years, online payment is becoming one of the bottlenecks. Therefore , solving the problems is an important step in developing electronic business.
This paper summaries electronic business technology and its related security issues from several aspects.First it briefly discusses security requirements and related key techniques which are necessary to protect an electronic business system. In the E2commerce area , security was a great concern to manyorganizations when a considerable volume of documents and transactions were digitized and exchanged online. An online payment system based on the SSL protocol in civil aviaton E2commerce is proposed in this paper ,according to the reality and need of the civil aviaton E2commerce in China. The security of the E2payment system was improved to some degree by adding the technology.
Key words摘要: EC; online payment system; technical countermeasures
第一章摘要:引言
2009年1月13日,中國互聯網絡信息中心(CNNIC)在京發佈了《第23次中國互聯網絡發展狀況統計報告》。報告顯示,截至2008年底,我國互聯網普及率以22.6%的比例首次超過21.9%的全球平均水平。同時,我國網民數達到2.98億,寬帶網民數達到2.7億,國家CN域名數達1357.2萬,三項指標繼續穩居世界排名第一。
我國網民和國家CNCN域名的增加,勢必爲電子商務的發展帶來更大的機會。隨着 Internet 技術和應用的不斷髮展 ,越來越多的企業加入到電子商務的隊伍中來。電子商務已成爲貿易發展的必然趨向, 隨着電子商務環境的規範和完善, 中國電子商務企業必然迅猛發展。使用網上支付的方式進行交易 ,大大降低了傳統貿易的費用和開銷 ,提高了工作效率和企業競爭優勢。越來越多的企業選擇在 Internet 上建立自己的 Web 站點 以便利、經濟的手段在網上展示自己的企業形象 ,推銷本企業的產品。
一、電子商務和支付系統的定義
1、電子商務的定義
電子商務源於英文Electronic Commerce,簡寫爲EC。顧名思義,其內容包含兩個方而,一是電子方式,二是商貿活動。電子商務指的是利用簡單、快捷、低成木的電子通訊方式,買賣雙方小謀而地進行各種商貿活動。國際商會於1997年11月,在巴黎舉行了世界電子商務會議(The World Business Agenda for Electronic Commerce)會上專家和代表對電子商務的概念進行了最權威的闡述摘要:電子商務,是指實現整個貿易過程中各個階段的貿易活動的電子化[1。從涵蓋範圍可以定義爲摘要:交易各方以電子交易方式而不是通過當面交換或直接面談方式進行的任何形式的商業貿易;從技術方面可以定義爲摘要:電子商務是一種多技術的集合體,包括交換數據(如電子數據交換、電子郵件)、獲得數據(共享數據庫、電子公告牌)、以及自動捕捉數據(條形碼)等[2。
2、網上支付系統的構成
支付系統是由一系列支付工具、程序、有關交易主體、法律規則組成的用於實現貨幣金額所有權轉移的完整體系。[3
網上支付是指以金融電子化網絡爲基礎,以商用電子化工具和各類交易卡爲媒介,採用現代計算機技術和通信技術作爲手段,通過計算機網絡系統,非凡是因特網進行傳輸。以電子信息傳遞的形式來實現資金的流通和支付。網上支付系統的構成則主要包括兩部分。一是網上支付主體。涉及網上商家、持卡人、銀行和第三方認證機構。二是網上支付技術。如基於因特網的TCP/IP協議標準、WWW技術規範和以平安網絡數據交換爲宗旨的電子數據交換協議SSL 和SET。[4
二、電子商務和網絡支付系統的發展目前狀況
1、電子商務的發展目前狀況
根據2009年1月13日,中國互聯網絡信息中心(CNNIC)在京發佈的《第23次中國互聯網絡發展狀況統計報告》顯示,在主要互聯網應用使用率調查中,網絡求職、更新博客和網絡購物位列增長最快的應用前三甲。而網絡音樂、網絡視頻等娛樂性應用的使用率則明顯呈現下降的趨向。
由此可見,越來越多的企業和顧客加入到電子商務的隊伍中來,網絡支付系統得到越來越廣泛的應用。電子商務發展迅速,通過網上進行交易已成爲潮流。在我國,電子商務雖然剛起步,但是人們對電子商務的巨大潛力深信不疑;我國政府積極支持電子商務活動的開展,這些都對我國電子商務的發展產生了重要的影響。
但是應當看到,我國還存在一些“瓶頸”新問題,嚴重地阻礙着電子商務的發展。從技術角度上看也存在兩項解決的難題一是缺乏統一的電子商務技術服務標準,沒有規矩不成方圓,沒有標準的電子商務勢必造成國內乃至國際電子交易混亂和麻煩。技術是電子商務發展的基礎,而技術的發展必須建立在標準統一的基礎之上。因此加快電子商務技術標準的制定是我國電子商務發展中迫在眉睫的、十分重要的事,是我國電子商務發展重中之重。二是還沒有真正成熟的電子商務解決方案。在現階段電子商務軟件服務市場上,國外成熟的電子商務解決方案佔據主導地位仍是不爭的事實,而國內真正有能力的開發廠家更是屈指可數,仔細算來也只有實華開、四通寥寥幾家,但沒有一家能夠提供一套完整的電子商務交易標準。而網上支付作爲新興的電子支付手段,越來越普及越來越重要。無論是對電子商務技術服務標準的制定還是對真正成熟的電子商務的解決方案的出現,網上支付系統的關鍵技術都是至關重要的。
但是現在制約電子商務發展的最關鍵的技術,是解決平安新問題的技術。電子商務中的平安新問題是重中之重的新問題。在電子商務系統中 ,不僅需要交換使用者的信用卡號碼、客戶密碼和個人身份等隱私信息,而且還涉及到個人財產的平安新問題。在電子支付過程中 ,必須保證信息的機密性、完整性和真實性。一旦這些方面得不到切實的保證,那麼將造成重大的損失和嚴重的法律新問題,甚至會斷送電子商務企業的命運。因此必須發展能夠保障支付系統平安的關鍵技術 ,確保交易過程是平安、可靠的。
2、網上支付系統的發展目前狀況
隨着電子商務的迅猛發展,支付新問題就成了制約電子商務發展的瓶頸,尤其是支付的平安性新問題就像一直縈繞在頭上的達摩克利斯之劍。電子支付構成了電子商務的核心環節,假如沒有支付,整個電子商務過程無法完成。只有通過平安、快捷的實現電子支付才能實現電子商務涉及的物流、資金流、信息流的有機結合,才能確保電子商務交易順利進行。
而作爲真正的網絡支付手段出現的支付方式,則是在Internet的迅速走向普及化之後的事情。但是自2005年以來,中國網上支付成長十分迅速,這標誌着中國電子商務邁入了以全面實現網上支付系統爲特徵的嶄新發展階段。聞名的網絡市場調研機構艾瑞諮詢公司的探究報告猜測2010年我國的我網上支付市場規模將達到2800億元。網上支付已成爲國內網民從事網上交易時的第一選擇,網上支付市場似乎已經成爲繼網絡遊戲、sp之後的又一座金山。
在 Internet 上出現的支付系統模式已有十幾種 ,這些系統模式大致上可以劃分爲如下 3 類摘要:第一類是數字化的電子貨幣或者電子現金;第二類是使用他們已有的平安清算程序,對 Internet 的網上支付提供信息中介服務;第三類是針對銀行卡主攻加密算法 ,使傳統的銀行卡支付信息通過 Internet 向商家傳遞 ,利用金融專用網絡提供獨立的支付授信,更先進的是採用智能卡技術 ,提供聯機的銀行卡支付。但是不管是哪一類的系統,都是包含着信息加密辦法的系統,每一個系統都是有很多保障平安性的系統。
第二章摘要:網上支付系統的平安技術新問題
一、網上支付系統的平安新問題
隨着網上支付手段使用人數的增加,網上支付系統所存在的新問題也暴露無遺,而且隨着使用範圍的推廣和黑客等技術的發展,也對網上支付系統的關鍵技術提出了更高的要求。其中最重要最核心的關鍵技術新問題,就是平安新問題。
電子商務的支付新問題是隨着電子商務本身的快速發展而衍生的。單純就它們的關係而言 ,電子商務需要電子支付 ,支付體系是開展電子商務的必備條件。隨着網上支付手段使用人數的增加,網上支付系統所存在的新問題也暴露無遺,而且隨着使用範圍的推廣和黑客等技術的發展,也對網上支付系統的關鍵技術提出了更高的要求。其中最重要最核心的關鍵技術新問題,就是平安新問題。據 AC 尼爾森公司在 2003年3 月~4 月做的一個調查表明 ,平安性是網上購物者用信用卡支付的主要顧慮。平安新問題已成爲電子支付發展面臨的重要挑戰 ,目前制約我國電子商務發展的瓶頸就是支付新問題。
二、信用卡平安的恐慌——網上支付系統的平安新問題案例分析
衆所周知道銀行業步入了網絡時代,網絡也融入了銀行業,這迎合了電子商務發展的趨向。網上銀行因不受時間、地域限制,成本低、快捷方便等優點得到了銀行業的積極響應。近幾年更是呈現出迅猛發展的勢頭。但是由於網上銀行所有內容都是以數據的形式流轉於網絡之上,不可避免地會帶來信息平安隱患。作爲龐大資金流動的載體,網上銀行極易受到非法入侵和惡意攻擊。假如銀行的網絡遭到攻擊,私人信息就可能會泄漏,若補救不及時,很可能給消費者造成巨大損失。2005年 4月,多名“支付寶”用戶工商銀行帳戶裏的錢不翼而飛。6月,花旗集團丟失了一批記錄着390萬客戶帳戶及個人信息的電腦記錄數據帶。同月,包括 Master、Visa在內的多家信用卡公司 4000多萬用戶信息被盜,涉及了近 9000張國內信用卡,一時間風聲鶴唳,引發了信用卡平安的恐慌。黑客竊取用戶資料、網絡詐騙、虛假銀行、網絡釣魚等支付平安新問題已經嚴重影響了電子商務的發展。
從銀行業的這一案例中我們可以清楚看到平安技術的重要地位和意義。因此必須對這一關鍵技術進行深入的探究,形成一個優秀的解決方案,確保網上支付系統的平安,保障我國電子商務事業的穩定快速發展。
第三章摘要:解決網上支付系統的平安新問題的技術解決途徑
平安的目的是摘要:保護一個系統不會受到未經授權的訪問,使系統的正常工作不會被非法干預。同所有計算機系統一樣。電子商務系統平安必須具有保密性、完整性及可用性三個特徵[5。網上支付系統的平安是電子商務發展的核心。任何在 Internet 上開展業務的機構必須採取積極的步驟 ,確保系統有足夠的平安辦法 ,防止機密信息泄露和非法侵入造成損失。因此網上支付系統不但要具有保密性、完整性及可用性三個特徵好要具有認證性、不可否認性和可審查性。
一、網上支付系統的平安要求
1、保密性
要確保網上支付系統的平安,首要的一點要求就是應防止未授權的數據暴露並確保數據源的可靠性,交易中的商務信息都需要遵循一定的保密規則。交易中的商務信息可能直接關聯着個人、企業或國家的商業祕密 ,非凡是涉及到商業機密和金融方面的敏感信息時,信息的保密性更爲重要。因爲其信息往往代表着國家、企業和個人的商業機密,而電子商務是建立在一個較爲開放的互聯網絡環境上的。它所依託的網絡本身也就是由於開放式互聯形成的市場,才贏得了電子商務。因此在這一新的支撐環境下,勢必要用相應的技術和手段來延續和改進信息的保密性。,因此 ,要採取辦法預防信息的非法存取和信息在傳輸過程中被非法竊取。維護商業機密是電子商務全面推廣應用的重要保障。
對於網上支付系統來說,他的保密性意味着系統必須滿足兩點摘要:(1)私有交易不會被其它人截獲及讀取,既沒有人能夠通過攔截會話數據獲得訂貨單中的帳戶信息;(2)假如可能,應確保交易的匿名性,使交易不會被追蹤,任何人無法利用“發生交易”這樣的事實本身來達到別的目的。
2、信息的完整性
不可否認電子商務的出現以計算機代替了人們以大多數複雜的勞動,信息系統的形式整合化簡了企業貿易中的各個環節,但網絡的開放和信息的處理自動化也使如何維護貿易各方商業信息的完整統一出現了新問題。而貿易各方各類信息的完整性勢必影響到貿易過程中交易和經營策略,因此保持貿易各方信息的完整性是網上支付系統應用必備的基礎。
要確保網上支付能夠平安順利的進行,還要防止未經授權的數據修改。交易雙方的合同簽訂後就不能隨意刪改,以保證交易的公正性,和可行性。電子商務簡化了貿易過程,減少了人爲的干預,但對信息的隨意生成、修改和刪除會造,成差錯甚至可能導致欺詐行爲。數據傳輸過程中信息丟失、信息重複或信息傳送的次序差異也會導致貿易各方信息的不同。這會影響貿易各方商業信息的完整性和統一性。因此保持貿易各方信息的完整性是電子商務應用的基礎。完整性指資源只能由授權實體修改。網上支付系統的完整性要求他提供的服務應在通信過程中接收到的消息確實是實際發送的消息,不可能在傳輸過程中被篡改,也不可能是一條僞造的消息。
3、可用性
可用性是指一旦用戶得到訪問某一資源的權限,該資源就應該能夠隨時爲他使用,而不應該將其保護起來使擁護的合法權益受到損害。在電子商務系統中,提高系統可用性有時還意味着用戶僅需經一次登陸就可以訪問任何其他有權訪問的資源,避免對訪問不同的服務使用不同的登錄過程。
不可否認電子商務的出現以計算機代替了人們以大多數複雜的勞動,信息系統的形式整合化簡了企業貿易中的各個環節,但網絡的開放和信息的處理自動化也使如何維護貿易各方商業信息的完整統一出現了新問題。而貿易各方各類信息的完整性勢必影響到貿易過程中交易和經營策略,因此保持貿易各方信息的完整性是電子商務應用必備的基礎。
4、不可否認性
在交易中會出現交易抵賴的現象,如信息發送方在發送操作完成後否認曾經發送過該信息或和之相反接受方收到信息後並不承認曾經收到過該條消息。因此如何確定交易中的任何一方在交易過程中所收到的交易信息,正是自己的合作對象發出的。而對方本身也沒有被假冒是電子商務活動和諧順利進行的保證。
要確保網上支付系統的平安,交易一旦簽訂就不能被否認。因此交易的各個環節 ,都必須設法防止參和交易的任何一方的抵賴。不可否認性主要包含數據原始記錄和發送記錄的不可否認 ,確認數據已經完全發送和接收 ,防止接收用戶更改原始記錄 ,防止用戶在收到數據以後否認收到數據 ,並拖延自己的下一步工作。爲了保證交易過程的可操作性 ,必須採取可靠的方法確保交易過程的真實性 ,保證參加電子交易的各方承認交易過程的合法性 ,在交易數據發送完成以後 ,雙方都不得否認自己曾經發出或接收過信息。要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防 ,以保證貿易數據在確定的時刻 ,確定的地點是有效的。一旦事務結束,有關各方都不能否認自己參和過這次事務。
5、可審查性。
根據機密性和完整性的要求 ,應對數據審查的結果進行記錄 ,在交易信息的傳輸過程中爲參和交易的個人、企業或國家提供可靠的標識。當貿易一方發現交易行爲對自己不利 ,否認電子交易行爲時 ,系統應具備審查能力 ,使交易的任何一方都不能抵賴已經發生的交易行爲。在傳統的紙面貿易中 ,貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑑別貿易伙伴 ,確定合同、契約、單據的可靠性並預防抵賴行爲的發生。而在無紙化的電子商務方式下 ,則應通過數字摘要、PKI、數字簽名、數字憑證、CA 認證等手段 ,在交易信息的傳輸過程中爲參和交易的個人 、企業或國家提供可靠的標識。
6、認證性
要確保網上支付系統的平安,在電子商務中必須建立嚴格的身份認證機制 ,以確保參加交易各方的身份真實有效。首先 ,要確認當前的通訊、交易和存取要求是合法的。即接收方可以確認信息來自發信者,而不是第三者冒名發送。發送方可以確認接收方的身份是真實的,而不至於發往和交易無關的第三方。要在交易信息的傳輸過程中爲參和交易的個人、企業或國家提供可靠的標識。網上支付系統中通信的雙方應能確定對方的身份,知道對方確實是他所稱的那一位。在這裏,確定意思並不完全意味着知道對方的準確身份,但應能做到知道自己是在和一個可靠的對象通信。
二、網上支付系統可能受到的攻擊
針對網上支付系統所進行的攻擊就是試圖破壞上面的六大平安特徵。近一步細分又可以劃分爲兩大類。
(1)假冒和惡意破壞。由於把握了數據的格式 並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息 而遠端用戶通常很難分辨。由於攻擊者可以接入網絡則可能對網絡中的信息進行修改,把握網上的機要信息,甚至可以潛入網絡內部,其後果是非常嚴重的。
(2)竊取和篡改信息由於未採用加密辦法或加密辦法不利,數據信息在網絡上以明文形式傳送,或者是被不法者用設置網絡竊聽器等手段監視網上數據流、從數據包中獲取敏感信息。入侵者在數據包經過的網關或路由器上可以截獲傳送的信息通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密,當入侵者把握了信息的格式和規律後,通過各種技術手段和方法,將網絡上傳送的信息數據在中途修改,然後再發向目的。這種方法並不新鮮,在路由器或網關上都可以做此類工作。
三、網上支付系統平安的技術解決方案
1、加密技術
1.1、利用加密技術保證電子商務支付的機密性[6
密碼技術在發展過程中逐漸分離出加密技術和驗證技術兩個分支。就加密技術而言 ,1976 年以前主要採用對稱加密技術 ,這種加密技術存在着很多新問題 ,如密鑰分發的平安性 ,密鑰規模過大、不能保證消息的真實性和完整性等。1976 年以後 ,迪飛和海爾曼創造性地提出了非對稱加密算法 ,徹底解決了上述新問題 ,使加密技術有了革命性的發展。
個人密鑰加密系統模型如圖 1 所示。
1.2 對稱加密技術
對稱加密技術有許多聞名的算法 ,其中具有代表性的是 DES 算法。DES (Data Encryption Standard)算法是 1977 年美國國際標準局(NBS)制定的標準加密算法。它把 64 位的明文輸入塊變成 64 位的密文輸出塊 ,所使用的密鑰也是 64位 ,其中第 8 位奇偶校驗位另作它用。DES 利用56 位的密鑰 ,對64 位的輸入數據塊進行 16 次的排列置換 ,最後生成輸出塊密碼。其生成步驟如[7
下 摘要:
(1)爲了產生 64 位明文的置換輸入 ,對二進位進行初始排列(Initial Permutation) ,然後將結果分成32 位的左右兩個數據塊。
(2)執行 16 次的迭代函數 f , 而每迭代一次所使用的密鑰就不同, f 函數將此密鑰和右側數據塊作爲自己的輸入參數。
(3)在每個迭代階段 ,左右兩個數據塊的置換值由下式確定摘要:
Li = Ri - 1
Ri = Li - 1 + f (Ri - 1, Ki)
(4)經 16 次迭代之後 ,輸出由 6 位二進位組成的輸入明文和密鑰的函數結果。
(5)將左右兩塊數據連接起來 ,對其進行再度排列 ,最終生成輸出密文 ,但排列順序剛好和初始排列相反。
(6)假如在加密過程中所使用的密鑰按 K1 ,K2 , K3 , …, K16 順序,那麼解密時必須要按 K16 ,K15 , K14 , …, K1 順序使用密鑰。
截止目前爲止,還沒有公開報道發現 DES算法的致命弱點 ,但 DES 算法由於密鑰較短 ,輕易遭受密碼暴力攻擊,因此 ,在具體實務中主要採用3DES算法。
1.3 非對稱性加密方式[8
非對稱密鑰加密方式又稱公開密鑰加密。它需要使用一對密鑰來分別完成加密和解密功能。一個公開發布 ,即公開密鑰;另一個由用戶自己祕密保存 ,即私用密鑰。信息發送者用公開密鑰去加密 ,而信息接收者則用私用密鑰去解密。公開密鑰機制雖然靈活 ,但加密和解密速度卻比對稱密鑰加密慢得多。公開密鑰方式的加密過程如圖
2 所示。
公開密鑰的加密步驟如下摘要:
(1)交互雙方的用戶系統 ,分別生成用來傳遞信息的加密和解密密鑰。
(2)系統將公開密鑰向開放記錄塊和文件公佈 ,而個人密鑰卻由自己保存。
(3)用戶 A 向用戶 B 傳遞信息時 ,將使用用戶B 的公開密鑰進行加密。
(4)用戶B 接到用戶 A 的加密信息之後將其解密時 ,則使用它自己的私用密鑰。
密鑰生成算法如下摘要:
(1)隨機生成兩個不同大小的素數 p,q。
(2)計算 n= pq,(n) = ( p - 1) (q- 1) 。
(3)隨機選取和 p, q 無關的素數 e,1 %26lt; e %26lt;(n) 。
(4) 利用擴展歐基裏德算法求出滿足 ed =1 mod ((n))的整數 d。
(5)用公開密鑰進行加密時公開(n,e) ;用私用密鑰解密時保密( p,q, (n) , d) 。其中,e爲公開密鑰, d 爲私用密鑰,n爲模數。
密鑰的生成及應用例子如下摘要:
(1)用戶B 公開密鑰/私用密鑰的生成(由用戶B 或認證機構生成) 。
①取兩個素數 p =47,q=71。
②n=47 ×71 =3 337,(n) =46 ×70 =3 220。
③選新的素數 e=79。
④利用擴展歐基裏德算法計算 79 ×d =(1 mod 3 220) 中的 d, d =1 019。
⑤用戶B 的公開密鑰 e=79 ,模數 n=3 337;用戶B 的私用密鑰 d =1 019,模數 n=3 337。
(2)用戶B 密鑰的應用。
當用戶 A 發送 ,用戶 B 接收時,明碼 688 的加密和解密過程如圖 3 所示。
加密技術在網上支付系統中的綜合應用。結合對稱技術、非對稱加密技術的特徵 ,在網上支付系統的支付過程中 ,主要採用非對稱加密技術實現會話密鑰的協商和分發;利用對稱加密技術消息。既保證了消息傳送的機密性 ,又保證了會話密鑰分發的平安性。
1.4、數字信封
數字信封利用了上面兩種加密技術的優點 來確保信息的平安傳輸 它克服了對稱密鑰加密 中對稱密鑰分發困難和公開密鑰加密中加密時間長的新問題其實現過程如下摘要:
加密信息
(1)產生一個對稱密鑰K;
(2)用對稱密鑰加密信息M得到M*;
(3)取得接收方的公鑰;
(4)用接收方的公鑰加密對稱密鑰K得到K*(數字信封)
(5)發送{K*,M*}
解密信息
(1)收到{K*,M*};
(2)用自己的私鑰解密K*來得到原對稱密鑰K
(3)用K解密M*來得到原信息M
2、利用驗證技術保證電子商務支付的真實性、完整性
在保證消息的真實性和完整性方面 ,主要採用的是基於非對稱加密算法的驗證技術 ,包括數字簽名、身份驗證等技術。
2.1 數字簽名
數字簽名並不是新的加密算法 ,而是現有加密算法的綜合應用。它應用的是數字摘要和公開密鑰加密技術。因爲數字摘要技術能夠識破信息的篡改,而公開密鑰加密技術能夠確認信息的來源。在數字簽名系統中 ,信息發送方的任務是摘要:(1)組織信息;(2)求出它的數字摘要;(3)加密數字摘要,且附上發送信息。而接收方的任務是摘要:(1)利用發送方的密鑰來解密發送方的數字摘要;(2)求出接收信息的數字摘要;(3)比較兩個數字摘要 ,若相等,則說明接收信息準確無誤。
2.2 Hash函數[9
有一個函數 f ,當已知它的自變量 x 時,很輕易求出它的函數值 y = f ( x) ,但已知 y 時,很難求出它的反函數值 ,這樣的函數稱之爲單向函數。已知一個哈希函數值 ,卻很難計算它的兩個相異的自變量 ,這樣的函數稱其爲無衝突函數。假如一個哈希函數同時具備上述的單向性和無衝突性 ,那麼稱這個函數爲加密哈希函數。典型的有MD5 和 SMA。
2.3 MD5 函數[10
MD5(Message Digest Algorithm 5) 意爲數字摘要算法5。它是 RSA 數據平安公司開發的一種加密算法。是從任意長度的字符串中生成128 位的哈希函數值。MD5 所開發的軟件製品有 PGP 源碼, SSLeay , RSAREF ,Cryptott , Ssh源碼等。
2.4 SMA函數[11
SMA (Secure Hash Algorithm)是平安哈希算法。它是由美國政府公佈的哈希加密標準算法。此算法從任意長度的字符串中生成 160 位的哈希函數值。
3、支付網關技術的應用。
支付網關通常位於公網和傳統的銀行網絡之間,或者終端和收費系統之間其主要功能爲將公網傳來的數據包解密,並按照銀行系統內部的通信協議將數據重新打包 接收銀行系統內部傳回來的響應消息,將數據轉換爲公網傳送的數據格式,並對其進行加密。支付網關技術,要完成通信協議轉換和數據加解密功能,並可以保護銀行內部網絡。此外支付網關還具有密鑰保護和證書管理等其它功能。有些內部使用網關還支持存儲和打印數據等擴展功能交易平安是電子商務正常健康運營的關鍵所在,不同性質的企業應根據自身的特徵選擇最爲平安和行之有效的防護技術。對於加密身份認證以及支付網關技術不斷的加強測試,加強優化爲平安運營構築強有力的屏障。
4、 防火牆技術的應用
爲了確保信息平安, 避免對網絡的威脅和攻擊, 防止對網絡資源不正當的存取, 保護信息資源而採取的一種手段就是設置防火牆。從理論上說, 防火牆概念指的是提供對網絡的存取控制功能, 保護信息資源。而從物理上的設備來看, 防火牆是 Intranet 和 Internet 之間設置的一種過濾器、限制器。
防火牆系統負責管理 Internet 和內部網絡之間的訪問, 主要功能是在網絡入口點檢查網絡通信, 根據所設定的平安規則, 在保護內部網絡平安的前提下, 提供內外網絡的通信。決定哪些內部服務可以被外界訪問, 外界的哪些人可以訪問內部的哪些可以訪問的服務, 哪些外部服務可以被內部人員訪問。所有來自和去往 Internet 的信息都必須經過防火牆的過濾、檢查和存取控制。
5、採用黑匣子模型增強客戶端平安
“黑盒”的意思就是從外面看不到裏面 ,誰也不知道盒子裏面隱藏的是什麼 ,在計算機技術中用“黑盒”來表示技術的實現被完全封裝起來 ,在這裏我們提出電子支付的“黑盒模型”的含義是指用戶端的輸入、信息加密、解密、通訊控制、平安檢測等被完全封裝到一個模塊中 ,這個模塊和用戶計算機之間只交換加密信息 ,加密信息通過 Internet 被送到銀行服務器 ,如圖4所示。
第四章摘要:一種基於 SSL 協議平安性民航網上支付系統的設計
基於上文提到的網上支付系統平安技術解決方案運用裏面的一些關鍵技術,如驗證技術數字簽名等技術,結合我國民航電子商務的發展目前狀況和需求 ,以節省交易成本和提高平安性爲目標 ,提出基於 SSL 協議的民航網上支付系統。通過加入雙重簽名技術 ,使得 SSL 協議的平安性有所提高 ,民航電子商務系統更加有效和平安 ,交易成本也大大降低。
SSL 握手協議中有一個身份認證的過程,其認證的核心是交換 X. 509 格式的數字證書。現有的 SSL協議中,公/ 私鑰只用於服務器和客戶機在握手過程中的密鑰交換,沒有利用其來實現數字簽名。本文通過在 SSL 協議棧中增加一個 SSL 簽名協議來解決這一新問題,加入簽名協議後的 SSL 協議棧如表1 所示。
|
SSL 握手 |
SSL 加密 |
SSL 警告 |
SSL 簽名 |
HTTP |
其他應用層協議 |
|
SSL 記錄協議 |
|||||
表 1 加入簽名協議後的協議棧
SSL 簽名協議的數據保密性和完整性由 SSL 記錄層協議負責。SSL 簽名協議專門處理對需要簽名的信息的消息交換、簽名和認證。SSL 簽名協議是在現有 SSL 協議的基礎上實現功能的擴充,利用了 SSL 協議原有的密碼資源,如證書、公私密鑰對、公開密鑰密碼算法、哈希函數等,並參考 SSL 定義消息的格式,以一個獨立的功能模塊方式實現,這樣就保證了新協議的向前兼容性。
使用 SSL 簽名協議的民航電子商務支付系統的交易流程如下摘要:
(1)設客戶的訂單信息和支付信息分別爲 M1、M2。客戶使用 Hash 函數,分別將 M1、M2 變換爲訂單信息摘要 h1、支付信息摘要 h2 ,並用自己的私鑰對(h1 , h2)進行簽名變爲DS。
(2)客戶將 M1、h2、DS聯立爲(M1 ,h2 ,DS) ,並使用商家的公鑰加密,變爲密文 C1;將 M2、h1、DS 聯立爲(M2 ,h1 ,DS) ,並使用銀行的公鑰加密,變爲密文 C2。
(3)客戶將雙重簽名的消息(C1 ,C2)發送給商家。
(4)商家收到(C1 ,C2) 後摘要: ①用自己的私鑰對 C1解密,恢復訂單信息、支付信息摘要、雙重簽名(M1 ,h2 ,DS) ; ②用客戶的公鑰對DS解密得到(h1 , h2) ,並檢驗摘要:a)加密值的第一部分是否等於 M1 的散列編碼
值,b)加密值的第二部分是否等於 h2。若是則簽名消
息有效; ③將 C2 發送給銀行。
(5)銀行收到 C2 後摘要: ①用自己的私鑰對 C2 解密,恢復支付信息、訂單信息摘要、雙重簽名(M2 ,h1 ,DS) ; ②用客戶的公鑰對 DS 解密得到(h1 , h2) ,並檢驗摘要:a)加密值的第一部分是否等於 M2 的散列編碼值,b)加密值的第二部分是否等於 h1。若是則簽名消息有效。
(6)商家通過上述操作 也獲得了和支付信息, M2有關的信息 和 。但商家不知道客戶的私鑰 無摘要:C2 h2 ,法由 恢復。又根據散列編碼的性質 商家也無C2 M2 ,法由 h2 恢復 M2。
(7)銀行通過上述操作,獲得了和訂單信息 M1 有關的以下信息摘要:h1。同樣根據散列編碼的性質,銀行無法由 h1 恢復 M1。
第五章摘要:小結
隨着我國網民規模的加大和電子商務的發展,網上支付系統的發展給人們的工作和生活帶來了新的嘗試和便利性,但是網上支付系統的發展卻受到技術的制約,其中一個最關鍵的技術就是網上支付系統的平安技術。鑑於這種目前狀況,本文對網上支付系統的平安要求,網上支付系統輕易受到的攻擊進行了深入的探究和分析。並針對這些要求和攻擊,提出了五種關鍵性技術。並結合我國民航業的特徵,綜合運用部分關鍵技術,設計了一種基於 SSL 協議平安性民航網上支付系統。是網上支付系統平安技術應用的一個經典實例。充分的說明只要運用好文中提到的網上支付系統的技術解決方案,定能大大提高網上制服系統的平安性,是網上支付的手段得到更大的普及和發展。
參考文獻
[1才書訓. 電子支付於網上金融學——電子商務系列教材.[M,2002,
66-98
[2」楊堅爭.電子商務平安和電子支付——高等院校電子商務專業規劃教材.北京摘要:機械土業出
版社.2007, 89-101
[3歐陽勇.網絡金融[M.西南財經大學,2006
[4李醫羣 葛文雷,發展網上支付系統的關鍵因素[J.國際商務探究,2007(2)
[5NJYeager,R E McGrath.Web Server Tecjnology,Chapter 8摘要: Digital Commerce摘要:Risks,Requirements and Techologies.Morgan Kaufmann Publishers,Inc,1995摘要:319-370
[6吳功宜 ,徐敬東 ,張建忠.電子商務應用教程[M.天津摘要:南開大學出版社 ,2005
[7 Wiener M J. Efficient DES key search.Applications [C. Florida摘要: Crypto ’93 Rump Session Presentation ,1995.
[8 武金木.信息平安基礎[M.武漢摘要:武漢大學出版社,2007
[9 沈昌祥. 信息平安[M. 杭州摘要:浙江大學出版社 ,2007
[10周 蘇.電子商務概論[M.武漢摘要:武漢大學出版社 ,2008
[11陳克非.信息平安技術導輪[M.北京摘要:電子工業出版社 ,2007
[12徐學軍.我國發展電子商務的主要瓶頸及策略[J.科技管理探究,2004(2)
[13李荊洪,論電子商務網上支付系統的功能和特徵[J,湖北經濟學院學報(人文社會科學版)2006(1)
[14聶捷楠,有關銀行網上支付系統的設計探究方案[J,成都醫學院學報,2007(2)
[15閻穎譽,電子商務交易平安和防護技術當議[J,電子科學,2008(1)
[16章舜仲,電子支付用戶端平安新問題探索[J,計算機和現代化,2005(6)