《电子商务系统中信息安全技术分析与研究.docx》由会员分享,可在线阅读,更多相关《电子商务系统中信息安全技术分析与研究.docx(27页珍藏版)》请在三一办公上搜索。
1、电子商务中信息安全技术分析与研究内容摘要3关 键 词3Abstract3Key words31引言4 11国际电子商务严峻的威胁与紧迫的形势4 12我国电子商务的发展现状与趋势4 13本文的主要工作包括5 2电子商务 62.1电子商务概述62.2电子商务功能6 2.3电子商务与传统商务的比较73.电子商务中数据的安全性问题83.1电子商务安全体系结构83.2电子商务安全交易规范(SET)93.2.1SET协议中使用的密码统 103.2.2使用SET协议的付款过程104作为安全策略的数字签名144.1概念及研究现状144.2数字签名原理及应用逻辑流程164.2.1认证164.2.2数字签名与验证
2、过程174.2.3数字签名的操作过程184.2.4数字签名的验证过程194.2.5数字签名的作用204.3数字签名技术在Java中的一种实现204.3.1RSA数字签名体制214.3.2用Java实现对电子商务中个人提交信息进行数字签名225总结与思考225.1全文总结235.2思考24参考文献 24内容摘要:随着Internet的不断发展,世界范围内掀起了一股电子商务热潮。许多国家政府部门对电子商务的发展十分重视,把这场以电子商务为标志的信息化革命与十九世纪以蒸汽机为标志的工业化革命相提并论。然而不安全事件的不断发生,使人们对电子商务的安全性心存质疑,电子商务的全问题也变得越来越突出,信息安
3、全已不可否认的成为阻碍电子商务发展的一个重要因数。因此,分析与研究电子商务中的安全性问题不仅具有特别重要的理论价值和实用价值,而且具有重要的现实意义。 本文从电子商务系统工程的基本观点和原理出发,从安全技术角度,根据电子商务自身运行特点,给出了电子商务安全技术体系结构,对电子商务安全技术进行了分析与研究,从全局上把握了电子商务安全体系,阐述了电子商务安全的技术。对数据加密有一定的描述与分析。分析和研究研究防止数据遭到窃取和破坏,简单描述了数字签名这一安全策略与路线。关键词:电子商务 安全技术 数据加密 数字签名Abstract: As the Internet continues to dev
4、elop, set off a wave of worldwide e-commerce boom. Government departments in many countries attached great importance to the development of e-commerce, e-commerce to this information revolution marked the nineteenth century the steam engine marked the industrial revolution par. Unsafe incidents cont
5、inue to occur, however, make people have doubts on the security of e-commerce, e-commerce has become more and more prominent safety issues, information security has become an obstacle to e-commerce development is undeniable is an important factor. Therefore, the analysis of electronic commerce and s
6、ecurity issues of particular importance not only has theoretical value and practical value, but also has important practical significance. This e-commerce systems engineering from the basic concepts and principle, from the perspective of security technology, according to their own e-commerce operati
7、on, it presents the architecture of e-commerce security technology, security technology for e-commerce analysis and research to grasp the overall situation e-commerce security system, described e-commerce security technology. Data encryption has some of the description and analysis. Analysis and res
8、earch studies to prevent data theft and destruction, a brief description of the digital signature of the security strategy and route. Keywords:e-commerce digital signature data encryption security technology1引言1.1国际电子商务严峻的威胁与紧迫的形势电子商务系统是依赖网络实现的商务系统,互联网的不稳定性也注定了电子商务的走势。从表面上看,互联网是一个民用信息网。但它的安全和正常运行却直接
9、影响到国家的安全和中国社会经济的稳定发展。互联网提供了进入政府首脑办公系统、公安、军事、全国电力、交通、银行、证券的信息和控制系统的可能入口。2000年2月7日至2月9日,短短三天时间内,美国几大主要网上站点遭受不明黑客攻击,其中包括著名的电子商务网站eBay和Amazon。在黑客开始所谓“拒绝服务”(Denialof Service)式的攻击后,亚马逊(Amazon)站点容纳顾客的能力急剧下降。数分钟后访客数量只有平时同一时段访客数量的15,大约小时后亚马逊网站才恢复正常。Buycom的一台服务器在两三个小时内速度减慢,而ETRADE则瘫痪了3个小时。据统计,三天来黑客袭击各大网站所造成的直
10、接或间接的经济损失高达数十亿美元以上“”。不仅如此,在西方社会,“黑客”已成为一个广泛的社会群体,存在合法的“黑客”组织、“黑客”学会。1997年11月在纽约召开的世界“黑客”大会就有4000多人参加。在Internet网上,“黑客”组织有公开的网址、信道,提供免费的“黑客”软件,介绍“黑客”手法,出版网上“黑客”杂志和“黑客”书籍。2003年1月,美国一家专为军事人员提供保健服务公司的数台笔记本电脑和一些台式电脑的硬盘被盗,50多万份军人医疗保健档案泄露,失窃资料包含有军人的社会安全号和信用卡账号,给被盗人的精神和财产方面造成了巨大的危害,对美国的社会和国土安全也构成威胁。这只不过是日益频繁
11、出现的电脑信息安全事故中的一个小事件。根据2002年美国协调中心统计,过去两年中计算机信息安全事故已增加两倍。而据美国信息周刊报道,全球2002年计算机犯罪造成的商业损失达15万亿美元。2002年10月底在常州召开的全国计算机安全学术交流会暨电子政务安全讨论会上,国家计算机网络与信息安全管理公布,2002年l至3月,观察到的全球病毒扩散次数超过58亿次,我国超过313亿次;全球有336万台电脑被感染,我国超过889万台。目前,我国信息与网络防御能力极为脆弱,2002年6月21日,在上海市信息安全产业研讨会上获悉,我国的信息安全技术水平 目前还处在低水平状态,在世界范围内,被排在等级最低的“第四
12、类”,形势严峻。很多重要的信息系统,基本上处于不设防状态,政府上网,缺乏安全保障。一些重要的信息系统,使用从国外引进的安全设备,无法保证其安全利用和有效监管。研究力量分散,投入不足,已有的研究仅满足于封堵己发现的安全漏洞,无法从根本上解决国家信息安全问题,更不要说形成反击能力。这种状况令人担忧。1.2我国电子商务的发展现状与趋势 电子商务作为一种全新的经济运作模式,极大地降低了经济与社会活动成本,提高了社会运行效率和企业经济效益。电子商务一经出现,就对世界经济格局和贸易体制的变化产生了深刻的影响,有力地促进了全球一体化的进程。 我国电子商务发展过程我国政府早在1997年就开始实施“三金”工程,
13、为开展电子商务打下了坚实基础:1998年7月1日,“中国商品市场”正式进入Internet。同时,这也是第一次由政府牵头组织的中国商品数据库和网上虚拟采购基地。1999年开展了政府上网工程,提高了政府各部门的工作效率。为了进一步促进电子商务在我国的发展,外经贸部规定,到2000年进出口企业必须通过中国国际电子商务网,以电子方式申领配额许可证,否则将失去经营配额许可证商品的权利。2000年,政府又把信息化工作的重点放在企业上,大力支持企业上网,全面推进企业的电子商务活动。 从1994年起,我国部分企业就开始涉足电子商务。我国的电子证券交易覆盖全国,有力的保证了证券市场的发展。我国的电子金融结算系
14、统联结着遍布全国的地面卫星小站和收发站,覆盖全国所有地级以上城市和700多个县,大大提高了转汇效率,缩短了资金在途时间。以现代信息网络为依托的中国商品交易中心(CCEC)、中国商品订货系统(COGS)、中国远洋运输集装箱信息系统、库存商品调剂网络等商务系统也投入运营。1998年3月6同,由世纪互连通讯技术有限公司和中国银行共同完成国内第一笔Internet网上支付,标志我国电子商务进入实用阶段。1.3本文的主要工作包括第一章 大体上描述电子商务的国际和国内形势。第二章 对电子商务进行了简要描述,总体上把握电子商务的特点。第三章 针对电子商务的安全性,描述了电子商务的运行结构与技术,结合电子商务
15、的安全性对数据的加密一定的说明。第四章 提出了数字签名这一安全技术路线,并对其进行了基本原理阐述,和实现途径。第五章 对全文进行了总结分析了本文的局限性, 并结合电子商务的安全形势对我国电子商务的提出了自己的看法。2电子商务2.1电子商务概述电子商务源于英文E1ectroniC Cojwrnerce,简写为Ec。顾名思义,其内容包含两个方面,一是电子方式,二是商贸活动。电子商务是指利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸的活动行为。电子商务是利用电子数据交换(EDI,Electronic Data Interchange)、电子邮件、电子资金转帐(EFT,Electr
16、onic Financing Turn)及Internet的主要技术在个人间、企业间和国家间进行无纸化的业务信息的交换。随着计算机和计算机网络的应用普及,电子商务不断被赋予新的含义。电子商务被认为是通过信息技术将企业、用户、供应商及其它商贸活动涉及的职能机构结合起来的应用,是完成信息流、物流和资金流转移的一种行之有效的方法。随着Internet的普及以及www服务的提供,可以声、文、图并茂的方式体现商品的特征,并尽可能地便利用户。Internet潜在的、对其他产业的影响,使得电子商务在国内外再掀热潮,电子商务亦被列为未来十大JT主导技术之一,迎接新的“电子商务时代”成为人们讨论的主题。从贸易活
17、动的角度分析,电子商务可以在多个环节实现,由此也可以将电子商务分为两个层次,较低层次的电子商务如电子商情、电子贸易、电子合同等:最完整的也是最高级的电子商务应该是利用因特网能够进行全部的贸易活动,即在网上将信息流、商流、资金流部分的物流完整地实现,也就是说,你可以从寻找客户开始,一宜到洽谈、订货、在线付(收)款、开据电子发票以至到电子报关、电子纳税等通过Internet一气呵成。要实现完整的电子商务还会涉及到很多方面,除了买家、卖家外,还要有银行或金融机构、政府机构、认证机构、配送中心等机构的加入才行。由于参与电子商务中的各方在物理上是互不谋面的,因此整个电子商务过程弗不是物理世界商务活动的翻
18、版,网上银行、在线电子支付等条件和数据加密、电子签名等技术在电子商务中发挥着重要的不可或缺的作用。电子商务的主要形式主要有以下几种:1企业对消费者,也称商家对个人或商业机构对消费者,即通常所说的B tOC(Business to Consumer)或B2C:2企业对企业,也称商家对商家或商业机构对商业机构,即通常所说的B toB(Business to Business)或928:3企业对政府机构,即通常所蜕的B tO G(Business to Government);4消费者对政府机构,即通常所说的C tO G(Consumer to Governmenl)。2.2电子商务功能电子商务通过
19、Internet可提供在网上的交易和管理的全过程的服务,具有以下七大功能:1广告宣传。电子商务使企业可通过自己的Web服务器、网络主页(HomePage)和电子邮件(Email)在全球范围同作广告宣传,在Internet上宣传企业形象和发播各种商品信息,客户用网络浏览器可以迅速找到所需的商品信息。与其他各种广告形式相比,在网上的广告成本最为低廉,而给顾客的信息量却最为丰富。2咨询洽谈。电子商务使企业可借助非实时的电子邮件(Email)、新闻组(News Group)和实时的讨论组(chat)来了解市场和商品信息、洽谈交易事务,如有进一步的需求,还可用网上的白板会议(White boardCon
20、ference)、公告板BBS来交流即时的信息。在网上的咨询和洽谈能超越人们面对面洽谈的限制、提供多种方便的异地交谈形式。3网上订购。电子商务通过Web中电子邮件的交互传送实现客户在网上的订购。企业的网上订购系统通常都是在商品介绍的页面上提供十分友好的订购提示信息和订购交互表格,当客户填完订购单后,系统回复确认信息单表示订购信息己收悉。电子商务的客户订购信息采用加密的方式使客户和商家的商业信息不会泄漏。4网上支付。网上支付是电子商务交易过程中的重要环节,客户和商家之间可采用信用卡、电子钱包、电子支票和电子现金等多种电子支付方式进行网上支付,采用在网上电子支付的方式节省了交易的开销。对于网上支付
21、的安全问题现在已有实用的SET协议等来保证信息传输的安全性。电子帐户交易的网上支付由银行、信用卡公司及保险公司等金融单位提供电子帐户管理等在网上实际操作的金融服务,客户的信用卡号或银行帐号是电子帐户的标志。电子帐户通过客户认证、数字签名、数据加密等技术措施的应用保证电子帐户操作的安全性。5服务传递。电子商务通过服务传递系统将所客户订购的商品尽快地传递到已订货并付款的客户手中。对于有形的商品,服务传递系统可以对本地和异地的仓库在网络中进行物流的调配并通过快递业务完成商品的传送;而无形的信息产品如软件、电子读物、信息服务等则可以立即从电子仓库中将商品通过网上直接传递到用户端。6意见征询。企业的电子
22、商务系统可以采用网页上的”选择”、”填空”等及时收集客户对商品和销售服务的反馈意见,客户的反馈意见能提高网上交易售后服务的水平,使企业获得改进产品、发现市场的商业机会,使企业的市场运作形成一个良性的封闭回路。7交易管理。电子商务的交易管理系统可以完成对网上交易活动全过程中的人、财、物,客户及本企业内部的各方面进行协调和管理。电子商务的上述功能,对网上交易提供了一个良好的交易服务和进行管理的环境,使电子商务的交易过程得以顺利和安全的完成,并可以使电子商务获得更广泛的应用。2.3电子商务与传统商务的比较传统商务的商贸实务运作过程是企业在具体进行个商贸交易过程中的实际操作步骤和处理的过程,这一过程如
23、果按照组织内部的管理活动可分为以下三个部分:1 事务流:是指商贸交易过程中的所有单据和实务操作过程。2 物流:是指商品的流动过程。3 资金流:是交易过程中资金在双方单位(包括银行)中的流动过程。传统商贸交易过程中的实务操作由交易前的准备、贸易磋商、合同与执行、支付与清算等环节组成:1 交易前的准备:对于商贸交易过程来说,交易前的准备就是供需双方如何能宣传或者获取有效的商品信息的过程。商品的供应方的营销策略是通过报纸、电视、户外媒体等各种广告形式宣传自己的商品信息。对于商品的需求者企业和消费者来说,要仅可能得到自己所需要的商品信息,来充实自己的进货渠道。因此,交易前的准备实际上就是一个商品信息的
24、发布、查询和匹配过程。2 贸易磋商过程:在商品的供需双方都了解了有关商品的供需信息后,就开始进入具体的贸易磋商过程,贸易磋商实际上是贸易双方进行口头磋商或纸面贸易单证的传递过程。纸面贸易单证包括询价单、价格磋商、定购合同、发货单、运输单、发票、收货单等等,各种纸面贸易单证反映了商品交易双方的价格意向、营销策略管理要求及详细的商品供需信息。在传统商贸活动的贸易磋商过程中使用的工具有电话、传真或邮寄等,因为传真件不足以作为法庭仲裁依据,故各种正式贸易单证的传递主要通过邮寄方式传递。3 合I司与执行:在传统商务活动中,贸易磋商过程经常通过口头协议来完成的,但在磋商过程完成后,交易双方必须要以书面形式
25、签定具有法律效应的商贸合同,来确定磋商的结果和监督监督执行,并在产生纠纷时通过合同由相应机构进行仲裁。4支付过程:传统商贸业务中的支付一般有支票和现金两种方式,支票方式多用于企业的商贸过程,用支票方式支付涉及到双方单位及其开户银行;现金方式常用于企业对个体消费者的商品零售过程。在电子商务环境下,商贸实务的运作过程虽然也有交易前的准备、贸易的磋商、合同的签定与执行以及资金的支付等环节,但是交易具体使用的运作方法是完全不同的。1交易前的准备:在电子商务营销模式中,交易的供需信息都是通过交易双方的网址和网络主页完成的,双方信息的沟通具有快速和高效率的的特点。2贸易的磋商:电子商务中的贸易磋商过程将纸
26、面单证在网络和系统的支持下变成了电子化的记录、文件和报文在网络上的传递过程,并且由专门的数据交换协议保证了网络信息传递的正确性和安全性和快速的特点。3合同的签定与执行:电子商务环境下的网络协议和电子商务应用系统的功能保证了交易双方所有的贸易磋商文件的正确性和可靠性,并且在第三方授权的情况下具有法律效应,可以作为在执行过程中产生纠纷的仲裁依掘。4资金的支付:电子商务中交易的资金支付采用信用卡、电子支票、电子现金和电子钱包等形式以在网上支付的方式进行。3电子商务中数据的安全性问题3.1电子商务安全体系结构电子商务的安全控制体系结构是保证电子商务中数据安全的一个完整的逻辑结构,由5个部分组成,具体如
27、图3一l所示。电子商务安全体系由网络服务层、加密技术层、安全认证层、交易协议层、应用系统层组成。从图中的层次结构可看出,下层是上层的基础,为上层提供技术支持;上层是下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。各层通过控制技术的递进实现电子商务系统的安全。 3-1安全逻辑结构图电子商务系统是依赖网络实现的商务系统,需要利用Internet基础设施和标准,所以构成电子商务安全框架的底层是网络服务层。它是各种电子商务应用系统的基础,并提供信息传送的载体和用户接入的手段及安全通信服务,保证网络最基本的运行安全。网络服务层是电子商务系统基本、灵活的网络服务平台.为确保电子商务系统全面安全
28、,必须建立完善的加密技术和认证机制。加密 技术是保证电子商务系统安全所采用的最基本的安全措旋,它用于满足电子商务 对保密性的需求。安全认证层中的认证技术是保证电子商务安全的又一必要手 段,它对加密技术层中提供的多种加密算法进行综合运用,进一步满足电子商务 对完整性、抗否认性、可靠性的要求。在图3-I所示的电子商务安全框架体系中,加密技术层、安全认证层、安全协议层,即专为电子交易数据的安全而构筑。其中,安全协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善。 它为电子商务安全交易提供保障机制和交易标准。3.2电子商务安全交易规范(SET)进行电子交易时最重要的是要提供信息的加密传输、能
29、鉴别参与交易的各方、确保商品付款指令和订购数据的完整性。为满足这些需要,SET(Securitylectronic Transaction)协议使用了一系列安全保密手段来提供信息傈密性、确保数据完整性和鉴别交易的双方。SET是一种在因特网上实现安全电子交易的协议标准。目前,SET是为网上支付业务安全所制定的唯一具有现实意义的国际标准。3.2.1SET协议中使用的密码系统 在SET协议中同时使用了传统密钥体制和公开密钥密码体制两种方法。在传统密码体制中,加密和解密使用相同的密钥。公开密钥密码体制是一种不对称密码系统,使用密钥对,一个用于加密,一个用于解密。每个用户拥有两个密钥:公开密钥和私用密钥
30、。用户在使用时将公开密钥宣布,保密私用密钥。由于该密钥对的特殊性质,使得用公开密钥加密的信息只有使用相应的私用密钥才能解密。最著名的公开密钥算法是RSA。公开密钥密码体制使得一个商家可以只创建一个密钥对,将其中的公开密钥发布,使用户将加密的信息传给商家。在SET中使用的安全手段有以下几种:1加密:用户将信息加密保证了信息的秘密性。直接加密方法。当两个用户想安全的交换信息时,互相交换各自的公钥,保密私钥。对称密钥的使用。SET使用密码技术来确保消息的秘密性。在SET中,消息数据通过个随机生成的对称密钥加密,再将此密钥用接收者的公钥加密(被称作消息的“数字信封”后与加密消息一起传送到接收方。在援到
31、数字信封后,接收者使用自己的私钥解密获得随机成的对称密钥,再用该密钥将原始信息还原出来。(2)数字签名:数字签名确保了信息的完整性和不可否认性“。密钥的使用。对于能够同时确保数据秘密性和真实性的公钥密码体制,由于公钥和私钥的数学关系,使得使用任一密钥加密的数据都可以通过相匹配的密钥解密,赦而,发送者也可以将消息用其私钥加密后发出,任何接收者在接到发送者的消息后都可以通过其公钥将消息还原。数字摘要。从一条消息中利用单向安全HASH函数抽取一串唯一的固定长度的数据表示该消息的数字摘要,数字摘要具有唯一性即不同消息对应的摘要不同(在相当大的概率上),同一消息对应的摘要总相同。数字签名。用发送者私钥加
32、密数字摘要,就得到了数字签名。接收到数字签名的接收者即可以确定该消息确实来自消息的发送者。同时,由于对消息中任意一位改动后,将造成数字摘要不可预知的变化,所以接收者可以通过利用同一个安全HASH函数从接收到的消息中抽取数字摘要和接收到的数字摘要进行比较来验证消息在传送过程中是否被改变。两个密钥对。SET使用了单独的公私钥对来产生数字签名。这样,SET中的各方就拥有了两个密钥对:一个密钥对用于加密和解密过程,它是对称密钥;另一个密钥对用于创建和验证数字签名,而这对密钥是非对称密钥。(3)凭证:用户凭证可以进一步加强用户的身份验证。对验证的需要。在双方使用公钥系统进行交易之前,都希望能确定对方的身
33、份。对第三方的需要。一种安全传输的密钥传送方式使用可以信赖的第三方来验证公钥。这样一个机构称为认证中心。认证中心根据用户发布的凭证来验证该用户的声明。由于SET各方有两套密钥对,因此也有两个凭证,并且都由认证中心签发。(4)双签名:SET使用了一种新的数字签名应用,即双签名。用户A向用户提出一份购物申请,并向银行提出委托,在用户B接收到这份申请时付款。但用户A不想让银行知道购物的内容,也不想让用户B知道其账号,而仅仅只需要在用户B接收订购时得到付款,即可通过双签名达到目的。 生成双签名。双签名通过分别为两个消息A,B生成数字摘要,并将两个摘要结合起来,再抽取得到摘要C,将摘要C用发送者的私钥加
34、密,在发送消息时,将消息A,以及加密后的摘要C一起发送给A的接收者,将消息B,以及加密后的摘要C一起发送给B的接收者,以便进行双签名验证。 验证双签名。接收到消息后,可以先为该消息生成数字摘要,将其与另一消息的摘要结合起来,再计算此结果的数字摘要c,将c与接收到的解密摘要进行比较,如果相同,则证明该消息是正确的,即该消息在传送过程中没有被改动。3.2.2使用SET协议的付款过程(1)持卡人为了利用SET协议进行安全电子交易,必须首先在认证中心(CA)注册(见图3-2)。a持卡人软件向cA申请交换密钥凭证。bcA接收初始请求后生成应答消息,并对它数字签名后与cA凭证一起发送给持卡人。c持卡人软件
35、接收应答并验证cA凭证,验证通过后,由持卡人键入帐号,持卡人软件生成申请注册表请求,加密后发往cA。dCA接到请求后解密,得到持卡人账号,生成注册表,签名后与cA凭证一起发送给持卡人。e持卡人接收注册表并验证CA凭证,验证通过后,填写注册表并由持卡人软件生成一对公私密钥,将注册表与其公钥一起加密形成申请凭证,送往CA。fcA解密接收的申请凭证并验证,通过后为持卡人生成凭证,与CA凭证一起加密后发送给持卡人。g持卡人软件验证cA凭证后,保存得到的持卡人凭证,用于在将来进行电子交易。 图3-2 持卡人认证中心注册(2)商家必须在认证中心(CA)注册后,才能接收持卡人的SET付款指令或通过付款网关进
36、行SET协议(见图33)。 图33商家在认证中心注册a商家软件向cA中请交换密匙凭证和相应的注册表。 bCA接收初始请求,将注册表加密后与cA凭证一起发送给商家。c商家软件接收注册表并解密,验证cA凭证,验证通过后,由商家软件生成两对公私密钥,并填写注册表,将注册表与两个公钥一起加密生成凭证申请,送往cA。dCA解密接收的申请凭证并验证,通过后为商家生成两个凭证(对应两个公钥),与CA凭证一起加密后发送给持卡人。e商家软件验证cA凭证后,保存得到的凭证,用于在将来进行电子交易。 (3)持卡人在完整填写了订购表格并选择付款方式后与商家进行电子交易(见图3-4)。f1持卡人电子购物后由持卡人软件向
37、商家发送初始请求。b商家软件接收请求,生成应答信息,数字签名后与商家凭证、付款网关凭证一起发送给持卡人。c持卡人软件接收应答,验证商家凭证、付款网关凭证和数字签名后,按照购物表格生成订购单,由持卡人完成付款指令,持卡人软件将订购单和付款指令进行双签将签名后的订购单、加密的付款指令、持卡人凭证一起发送给商家。d。商家软件验证持卡人凭证和双签名,将加密的付款指令转发到付款网关请求处理,生成应答消息,签名后与商家凭证一起发给持卡人,如果付款指令被验证通过,则履行持卡人的订购单。 e。持卡人软件验证商家凭证与数字签名,保存应答消息。 图34持卡人与商家进行电子交易(4)付款验证(见图3-5)。 图3-
38、5付款验证 a商家软件将带有数字签名的验证申请、加密的付款指令、商家凭证一起发往付款网关。b付款网关验证商家凭证和数字签名后,取出加密的付款指令,解密后将付款验证请求与付款指令比较,一致时,通过金融网向持卡人金融机构发送付款请求,创建付款获取令牌,与带有数字签名的验证应答、付款网关凭证一起加密后送往商家。c商家软件验证网关凭证和数字签名后,将验证应答与付款获取令牌保存以得到付款。(5)付款获取(见图36)。a商家软件创建带有商家凭证和数字签名的付款获取请求,与加密的付款获取令牌一起发往付款网关。b网关验证商户凭证和数字签名,解密后比较商家付款申请与付款获取令牌是否一致,若一致则向持卡人金融机构
39、提出付款申请,并创建带有网关凭证和数字签名的付款应答消息发往商家。c商家软件验证网关凭证和数字签名,将付款应答留做存根。 图3-6付款获取(6)银行进行转账业务综上所述,SET协议支持了电子交易的特殊安全需要,如:购物信息和支付信息的秘密性;使用数字签名确保支付信息的完整性;使用数字签名和持卡人证书,对持卡人的信用卡进行认证;使用数字签名和商户证书,对商户进行认证;保证各方对有关事项的不可否认性,其交易形态将成为未来电子交易的规范,因此在电子交易中采用SET协议是当今电子商务发展的一个主流形态,把握SET协议的精华将成为成功进行电子交易不可或缺的一部分4作为安全策略的数字签名数字签名属于电子商
40、务交易安全规范(sET)中使用的安全手段之一。但是,长期以来数字签名在我国得不到法律认可,使得没有有效的手段以抵御电子商务安全的主要威胁否认、篡改和伪造,2005年4月1日电子签名法的实旌,为数字签名进入电子商务扫除了障碍,电子商务由此开始真正进入实用阶段。4.1概念及研究现状20世纪70年代,公钥密码体制的诞生是现代密码学形成的一个重要标志。不久,基于公钥密码体制的数字签名技术也随之产生。 1991年8月美国国家标准局国家标准技术学会(National Tnstitute of Standard and Technology NIS公布了数字签名标准(Digital Signature St
41、andard DSS),此标准采用的算法称为DSA。自数字签名概念提出之后,人们做了大最的研究工作,并取得了丰硕的成果。数字签名方案主要是基于公钥密码体制,实现公钥密码体制思想的主要方法是基于如下几个不同的数学难题:离散对数难题:这类应用特别广泛,现在的大部分方案如E1Gamal型签名方案(1985年)、广义E1Gamal型签名方案(1994年)、Schnorr签名方案、DSA方案、ebergRueppel签名方案、Okamoto签名方案、Miyaji签名方案、HMP认证加密方案和许多协议等都是基于这个问题进行设计的。大素数因子分解难题:最著名的算法是RSA(1978年),还有Rabin签名方
42、案、iat-Shamir签名方案和Guillou-Quisquarer签名方案等。离散对数和素因子分解相结合难题:Ham签名方案(1994),LaiKuo签名方案(1997),HeKieslolor签名方案、Shao签名方案和Li签名方案等。二次剩余难题:Rabin密码体制、Rabin签名方案、Hew签名方案和广义himada签名方案。椭圆曲线离散对数问题:以椭圆曲线上的点构成的Abel群为背景结构构造公钥密码体制。自80年代中期引入这个概念以来,受到了密码学界的广泛关注和研究,取得了大量的成果己成为密码学的重要的一个分支。对于普通数字签名丽言,解决的最基本问题是通过数字方式实现了通信双方的身
43、份认证、通信的消息源真实性认证和消息的完整性认证等。由于各种不同的应用背景需要,人们基于不同的目的,研究了具有特殊用途的数字签名,对这些特殊的数字签名很难全面对其进行分类,因此大致可以分为如下几种特殊的数字签名。多重签名方案,代理签名,群签名方案,盲签名方案。1998年,Fan等提出一种部分盲签名方案,该方案能减少电子现金系统的计算量和数据库的大小。2001年,Chien等基于RSA公钥密码系统提出一种部分盲签名方案,该方案可以减少数据库的大小以及避免电子现金的重复花费。自证明认证加密方案:Girault于1991年首次介绍了基于公钥的自证明机制的思想,cA不需要知道用户的私钥,公钥的产生是由用户和cA共同完成的,验证者可以验证公钥的真伪,相比基于ID的密码体制而言,自证明机制具有节省存储空间、用户自选私钥及cA不能冒充用户等优点,具有更高的安全性。etersen和Horster扩充了自证明机制的概念,提出了若干在不同可信等级下的
