（计算机软件与理论专业论文）基于信用卡的电子商务安全支付技术研究.pdf

南京邮电大学硕士研究生学位论文 摘要 摘要 电子商务作为2 0 世纪9 0 年代出现的新生事物，以其便捷、高效、低成本的优势，逐步成 为新兴的商务活动模式和理念，在世界范围内对各国经济发展带来了深刻的影响，已经成为 世界各国制定其经济政策的重要依据。 由于电了商务是建立在开放的i n t e r n e t 平台上的，而在开放的网络上传输的任何信息都可 能被他人载取，因此，要发展电子商务必须解决安全问题。电子商务安全包括商务交易安全 和电子支付支付安全。而商务交易安全主要是通过加密技术、安全机制、安全协议进行保证 的。 s e t ( s e c u r ee l e c t r o n i ct r a n s a c t i o n ) 安全电子交易协议是由美国v i s a 和m a s t e r c a r d 两大信用 卡组织提出的应用于i n t e r n e t 上的以信用卡为基础的电子支付系统协议。而基于信用， 的电了 支付的安全技术核一l , 民i j s e t 协议。s e t 协议中的核心技术主要有数据加密、数字签名、电子信 封、电子安全证书等。它主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设 计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。 本文通过对电予商务的安全协议体系、支付系统的剖析，对基于信用 支付的s e t 协议的 安全技术、认证体系、交易流程等方面进行了深入的分析与研究，指出t s e t 协议存在的缺陷， 并提出了改进的方案，而且给出改进方案的数据结构和执行流程，采用散列函数链来检验支 付指令的新鲜性并设计了基于改进的协议的支付模型，实现了该模型的客户端、商家服务器 和支付网关核心模块，分析其安全性和实用性。 关键词： 电子商务电子支付信用卡s e t 安全技术 a b s t r a c t f o re l e c t r o n i cc o m m e r c eh a sg r a d u a l l yb e c o m ean e wb u s i n e s st r a n s a c t i o nm o d l es i n c e19 9 0 s ，i th a s g r e a ti m p a c to nt h ew o r l d w i d ee c o n o m i cd e v e l o p m e n t ，a n dh a sb e c o m eo n e o ft h ei m p o r t a n tf a c t o r s f o rg o v e r n m e n t st od e t e r m i n e dt h e i re c o n o m i cp o l i c i e s a se l e c t r o n i cc o m m e r c eb a s eo nt h ei n t e r n e tp l a t f o r m ，t h et r a n s m i s s i o no fa n yi n f o r m a t i o nt h r o u g h i n t e r n e tm a yb ep r o b a b l yi n t e r c e p t e d s ot h ed e v e l o p m e n to fe l e c t r o n i cc o m m e r c es e c u r i t yi s s u ei s g r e a t l yd e p e n d so nt h es o l u t i o n o fe cs e c u r i t yi s s u e e l e c t r o n i cc o m m e r c es e c u r i t y ，i n c l u d i n g b u s i n e s st r a n s a c t i o n ss e c u r i t ya n de l e c t r o n i cp a y m e n ts e c u r i t y e n c r y p t i o nt e c h n o l o g y 、s e c u r i t y s y s t e ma n ds e c u r i t yp r o t o c o l sa r e t h em a j o rs u p p o r t sf o rp r e s e n t b u s i n e s st r a n s a c t i o n s e t ( s e c u r ee l e c t r o n i ct r a n s a c t i o n ) p r o t o c o lu s e do ni n t e m e t ，w h i c hw a sp r o p o s e db yt h et w o g r e a tc r e d i tc a r do r g a n i z a t i o n sv i s aa n dm a s e rc a r d ，i sa ne l e c t r o n i cp a y m e n ts y s t e mp r o t o c o lb a s e d o nc r e d i t sc a r d s i t sc o r et e c h n o l o g i e si n c l u d ed a t ae n c r y p t i o n ，d i g i t a ls i g n a t u r e ，d i g i t a le n v e l o p e s a n dd i g i t a lc e r t i f i c a t ee t c s e ti sd e s i g n e dm a i n l yt os u p p o r tt r a n s a c t i o n st h r o u g hc r e d i tc a r d p a y m e n ta m o n gt h ec a r d h o l d e ra n dt h em e r c h a n ta n dt h eb a n k , s oa st op r o t e c tt h es e c r e to f p a y m e n ti n f o r m a t i o n ，t h ei n t e g r i t yo fp a y m e n tp r o c e s s ，t h e l e g a l s t a t u so fm e r c h a n t sa n d c a r d - h o l d e r s ，a n dt h eo p e r a b i l i t y b a s e do nt h es e c u r i t yi n f r a s t r u c t u r ea n dp a y m e n ts y s t e mo fe l e c t r o n i cc o m m e r c et h ea u t h o rm a k e s a d e e pa n dc o m p r e h e n s i v er e s e a r c ho nt h es e c u r i t yt e c h n o l o g y ，a u t h e n t i c a t i o n ，t r a n s a c t i o np r o c e s sa n d s e c u r i t yp r o t o c o le s p e c i a l l ys e t & s s l p o i n t s o u tt h a tt h ee x i s t e n c eo ft h es e tp r o t o c o ld e f e c t s ， a n di m p r o v e m e n t so nt h es e tp r o t o c o la r em a d e a ni m p r o v e dd a t as t r u c t u r e a n de x e c t i v e p r o c e d u r ea r ed e s i g n e d ，a n dt h eh a s hli n ki s u s e dt ot e s tt h er e u s et op a y m e n ti n s t r u c t i o n s a tt h e s a m et i m e ，a c h i e v e dt h em o d e lc l i e n t ，s e r v e ra n dp a y m e n tg a t e w a yb u s i n e s sc o r em o d u l e s ，a n a l y s i s o f t h es a f e t ya n dp r a c t i c a l i t ya l s o k e yw o r d ：e l e c t r o n i cc o m m e r c e ，e l e c t r o n i cp a y m e n t ，c r e d i tc a r d ，s e t ，s e c u r i t y t e c h n o l o g y u 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名： 邋日期： 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名：星坦必师签_ = _ - d 南京邮电大学硕七研究生学位论文第- 帝绪论 1 1 概述 第一章绪论 从2 0 世纪九十年代以来，伴随着i n t e r n e t 的高速发展，电了商务也获得了长足的进步， 并且越来越得到各国政府、企业和民众的高度重视。电子商务有很多优势，人们通过电子商 务可以更快更方便地进行商业活动。电子商务的发展，将会改变人们的消费习惯，对社会经 济活动也会产生较大的影响。但是，在电子商务发展中还面临一系列的问题，如安全问题、 技术标准、法律问题等。其中，电子支付的安全性是电子商务发展所面临的最大问题。因此， 如何利用先进的信息安全技术和完善的安全支付协议，实现安全的电子支付系统，成为各国 学术界和企业界研究的重点。 1 2 电子商务简介 1 2 1 什么是电子商务 电子商务源于英文e l e c t r o n i cc o m m e r c e ，简写为e c 。顾名思义，e c 内容包含两 个方面，一是电子方式，二是商贸活动。 电了商务指的是利用简单、快捷、低成本的电子通讯方式，使买卖双方不用谋面而进行 各种商贸活动。电子商务可以通过多种电子通讯方式来完成。比如你通过打电话或发传真的 方式来与客户进行商贸活动，似乎也可以称作为电子商务；但是，现在人们所探讨的电子商 务主要是以e d i ( 电了数据交换) 和i n t e r n e t 来完成的。尤其是随着i n t e r n e t 技术的日 益成熟，电了商务真正的发展将是建立在烈t e r n e t 技术上的。所以也有人把电子商务简称 为i c ( i n t e r n e tc o m m e r c e ) 。从贸易活动的角度分析，电了商务可以在多个环节实现， 由此也可以将电子商务分为两个层次，较低层次的电子商务如电子商情、电子贸易、电子合 同等；最完整的也是最高级的电子商务应该是利用i n t e n e t 网络能够进行全部的贸易活动， 即在网上将信息流、商流、资金流和部分的物流完整地实现，也就是说，可以从寻找客户开 始，一直到洽谈、订货、在线付( 收) 款、开据电予发票以至到电子报关、电予纳税等，通 过i n t e r n e t 一气呵成。 南京邮电大学硕士研究生学位论文第一章绪论 要实现完整的电予商务还会涉及到很多方面，除了买家、卖家外，还要有银行或其它金 融机构、政府机构、认证机构、配送中心等机构的加盟才行。由于电子商务中各参与方在物 理上是互不谋面的，因此整个电予商务过程并不是物理世界商务活动的翻版，网上银行、在 线电子支付等条件和数据加密、电子签名等技术在电子商务中发挥着重要的不可或缺的作用。 1 2 2 电子商务的优越性 以互联网为依托的“电子 技术平台为传统商务活动提供了一个无比宽阔的发展空间，这 是传统媒介根本无法比拟的。 l 广域性：互联网跨越国界，穿越时空，无论你身处何地，无论白天与黑夜，只要利用浏览器 轻点鼠标，你就可以随心所欲地登录任何国家，地域的网站，与你想要交流的人面对面的直接沟 通。 2 实时性：2 l 世纪是信息社会，信息就是财富，而信息传递速度的快慢对于商家而言可说是 生死攸关互联网以其传递信息速度的快捷而倍受商家青睐，可以说，北半球刚刚发生的事情，南 半球的人们便可在十几分钟几分钟甚至短时间内通过上网获知互联网真正使整个地球变成 了一个地球村。 3 虚拟性：互联网使的传统的空间概念发生变化，出现了有别于实际地理空间的虚空间或 者虚拟社会处于世界任何角落的个人，公司或机构，可以通过互联网紧密地联系在一起，建立虚 拟小区，虚拟公司，虚拟政府，虚拟商场，虚拟大学或者虚拟研究所等，以达到信息共享，资源共享， 智力共享等。 4 互动性：通过互联网，商家之间可以直接交流，谈判，签合同，消费者也可以把自己的回馈 建议反映到企业或商家的网站，而企业或者商家则要根据消费者的回馈及时调查产品种类及服 务质量，做到良性互动综合以上优势，电子商务作为一种新的商业模式于2 0 世纪最后的十年 出现在人们面前和传统的交易方式相比，电子商务有很多优越之处，如它可以突破地域和时间 限制，使处于不同地区的人们自由地传递信息，互通有无，开展贸易，它的快捷，迅速，自由和交换 的低成本为人们所乐道，真是何乐而不为呢? 南京邮电大学硕士研究生学位论文第一章绪论 1 2 3 电子商务的分类 人类很早就开始将信息技术应用于商贸交易领域，但是早期的系统对技术标准和网络的 要求比较高，因此应用的范围一直很有限。进入2 0 世纪9 0 年代以后，由于i n t e r n e t 等网络 标准的出现和迅速普及，情况才有了革命性的改变，电子商务也因此迅猛地发展起来。迄今 为止，电子商务系统大致可以分为如下几类。口1 一、从电子商务系统支持业务过程的不同阶段来划分 商贸业务一般分为交易前、交易中和交易后三个阶段，按照这三个不同阶段划分相应的 电子商务系统也有三种，而且它们在技术上也有较大的差别。支持交易前的电子商务系统主 要支持商贸信息交流和贸易磋商。这是整个电了商贸业务中技术要求最低、最有用的一种， 目前我国w e b 上的各类电子商务应用系统大都是属于这一类。支持交易中的电子商务系统主 要支持商贸活动过程中的各种业务档或单证交换过程。这类系统一般对数据交换的可靠性会 有很高的要求，从技术上必须有两点重要保证；一是数据交换的准确性，这一点通常是用各 种协议或标准( 如u n e d i f a c t 等) 来保证的；二是单证报文记录的法律效力，这一点通常 是制定相应的法律制度和应用系统的安全性来保证的。支持交易后的电予商务系统。这类系 统丰要涉及到银行、金融机构和支付问题，所以对数据交换的可靠性和安全保密性都有很高 的要求，即不但要求绝对可靠，同时要求对账号、数字签名、开户银行等严格保密。例如， 目前由美国若干家大银行、三大信用卡公司和i b m 联合推出的、基于安全数据交换协议的电 子商贸系统，其核心问题就属于这一类。 二、从电子商务活动的主体区分 市场主体根据组织性质一般分为企业组织和个体消费者两大类，因此电了商务活动相应 分成三大主类：企业一企业( b u s i n e s s b u s i n e s s ，简称b b ) 型、企业一消费者 ( b u s i n e s s - - c o n s u m e r ) 型和企业内部的电予商务。 1 企业企业应用系统( bt ob ) 企业与企业之间的电子商务将是电子商务业务的主体，约占电子商务总交易量9 0 。就 目前来看，电子商务在供货、库存、运输、信息流通等方面大大提高企业的效率，电子商务 最热心的推动者也是商家。企业和企业之间的交易是通过引入电子商务能够产生大量效益的 地方。对于一个处于流通领域的商贸企业来说，由于它没有生产环节，电予商务活动几乎覆 盖了整个企业的经营管理活动，是利用电子商务最多的企业。通过电子商务，商贸企业可以 南京邮电大学硕十研究生学位论文第一章绪论 更及时、准确地获取消费者信息，从而准确定货、减少库存，并通过网络促进销售，以提高 效率、降低成本，获取更大的利益。以下举几个典型的例子，阿里巴巴( w w w a l i b a b c o r n ) 中 国制造网( h t t p ：w w w m a d e i n c h i n a c o m ) ，环球资源等。 企业间电子商务通用交易过程可以分为以下四个阶段。一是交易前的准备。这一阶段主 要是指买卖双方和参加交易各方在签约前的准备活动。二是交易谈判和签订合同。这一阶段 主要是指买卖双方对所有交易细节进行谈判，将双方磋商的结果以文档的形式确定下来，即 以书面文件形式和电子文件形式签订贸易合同。三是办理交易进行前的手续。这一阶段主要 是指买卖双方签订合同后到合同开始履行之前办理各种手续的过程。四是交易合同的履行和 索赔。 2 企业消费者的应用系统( bt oc ) 从长远来看，企业对消费者的电子商务将最终在电子商务领域占据重要地位。但是由于 各种因素的制约，目前以及比较长的一段时间内，这个层次的业务还只占很小的比重。它是 以互联网为主要服务提供手段，实现公众消费和提供服务，并保证与其相关的付款方式的电 子化。它是随着万维网( w w w ) 的出现而迅速发展的，可以将其看作是一种电子化的零售。目 前，在互联网网上遍布各种类型的商业中心，提供从鲜花、书籍到计算机、汽车等各种消费 商品和服务。目前在互联网的万维网上有很多这一类型电子商务应用的例子，如全球最大的 亚马逊书店( h t t p ：i l w w w a m a z o n c o m ) ，顾客可以自己管理和跟踪货物的联邦快递( h t t p ： f e d e x c o m ) ，网上预订外卖食品的比萨屋( h t t p ：l l w w w p i z z a h u t c o m ) 。国内的也有卓越、e 8 0 0 商城等。 这种购物过程彻底改变了传统的面对面交易和一手交钱一手交货及面谈等购物方式，这 是一种新的，很有效的电子购物方式。当然，要想放心大胆地进行电子购物活动，还需要非 常有效的电子商务保密系统。 3 企业政府的应用系统( bt og ) 包括政府采购、税收、商检、管理规则发布等在内的、政府与企业之间的各项事务都可 以涵盖在其中。例如，政府的采购清单可以通过互联网发布，公司以电子的方式响应。随着 电子商务的发展，这类应用将会迅速增长。政府在这里有两重角色：既是电子商务的使用者， 进行购买活动，属商业行为人。又是电子商务的宏观管理者，对电了商务起着扶持和规范的 作用。在发达国家，发展电子商务往往主要依靠私营企业的参与和投资，政府只起引导作用。 与发达国家相比，发展中国家企业规模偏小，信息技术落后，债务偿还能力低，政府的参与 南京邮电大学硕士研究生学位论文 第章绪论 有助于引进技术、扩大企业规模和提高企业偿还债务的能力。 1 3 电子商务支付方式 1 3 1 传统的支付方式 电子支付技术是建立在对传统的支付方式的深入研究基础之上的。人们总是通过传统支付 方式来比较电子支付方式，所以在讨论电子支付总体功能模型前，有必要对传统支付方式进 行一次再认识。传统支付方式有现金、票据和信用卡等多种支付方式。 一、现金支付 现金有两种基本形式：纸币和硬币，由国家组织或者政府授权的银行发行。其中，纸币本 身没有价值，它只是一种国家发行并强制使用的货币符号，但是却可以代替货币加以流通， 其价值由国家加以保证。硬币本身具有价值。 在现金交易中，买卖双方处于同等地位，而且交易是匿名进行的。卖方不需要了解买方的 真实身份，因为现金本身是有效的，其价值是由发行机构加以保证的，而不需要买方认同。 加之现金所具有使用方便和灵活等特点，帮多数个体和个体之间或个体与组织之间的小额交 易是通过现金支付来完成交易的。 这种交易程序上很简单，一手交钱，一手交货；交易双方在交易结束后马上就可以实现交 易目的：买方用现金买到货物，卖方用货物换到现金。然而这种交易存在一些缺陷：纸币 作为纸张的特性决定了现金易于伪造、磨损和偷盗等；受交易时间和地点的限制。对于不 在同一时间、同一地点进行和交易，就无法采用先进技术支付：对于一些大额交易，纸币 本身存在的小安全性使它很难适应需求。 二、票据支付 这里的票据专指票据法所规定的本票、汇票和支票等票据。汇票是出票人委托他人于到期 日无条件支付一定金额给受款人的票据：支票则是出票人委托银行或其它法定金融机构于见票 日无条件支付一定金额给受款人的票据。因此，可以说票据是出票人依顺票据法发行的， 无条件支付一定金额或委托他人无条件支付一定金额给受款人或持票人的一种文书凭证。 在商业交易中，交易双方往往不在同一个地方，所以常常发生异地之间的兑换金钱的需要。 在这种情况下，如果输出现金，数量可是惊人的，这就可能带来很多的麻烦的风险。但是， 如果通过在甲地将现金转化为票据，再在乙地将票据转化为现金的办法，以票据为转移代替 南京邮电大学硕士研究生学位论文第一章绪论 以现金为转移，则可以减少麻烦，使得交易可靠。 汇票、本票作为汇总工具的功能逐渐形成后，在交易中以支付票据代替现金支付的方式逐 渐流行起来。票据支付可以避免清点现金可能并生的错误，并可以节省时间，因此，人们在 经济生活中都普遍使用票据特别是支票作为支付的工具。 三、信用卡支付 信用卡：信用卡是商业银行向个人和单位发行的，凭以向特约单位购物、消费和向银行存 取现金，具有消费信用的特制载体卡片，其形式是一张正面印有发卡银行名称、有效期、号 码、持卡人姓名等内容，背面有磁条、签名条的卡片。我们现在所说的信用卡，一般单指贷 记卡。 作为一种支付工具的银行卡，按性质可以分为借记卡、准贷记卡和贷记卡三种，其中借记 卡不能透支，所对应的账户内有多少钱只能用多少钱，准贷记卡是具有中国特色的信用专， 在社会征信体制不完善的情况下，往往需要凭担保或存保证金才可以有条件有限度地透支消 费，目前正逐渐退出金融领域，而贷记卡是真正意义上的信用卡，与准贷记卡最大的区别在 于，申办无须担保无须保证金、透支消费具有免息期。 信用卡按使用对象分为：单位卡和个人卡；按信誉等级分为：白金卡、金 和普通 ；按 币种分为：人民币膏、国际卡或兼有两种功能的双币种卡。 1 3 2 电子商务主要支付方式 电子付款是买卖双方在网上进行的金融交换。其主要的支付方式有【8 】： 一、电子现金( e l e c t r o n i cc a s h ) 电子现金( e c a s h ) 又称为电子货币( e m o n e y ) 或数字货币( d i g i t a lc a s h ) ，是一种重 要的电子支付系统，是现实货币的电子或数字模拟。电子现金以数字信息形式存在，通过网 络流通，比实际现金更加方便、经济，无需承担较大的存储风险、高昂的传输费用、较大的 安全保卫和防伪的投资。它还有一个重要特点是能满足用户的匿名要求，也就是它能够保证 用户的身份不被他人知道，保护支付方和被支付方的不可追踪性。 电子现金最简单的形式包括商家、用户、银行三个丰体，以及初始化协议、提款协议、 支付协议、存款协议四个安全协议过程。电子现金的基本流程如图1 1 所示。用户与银行执 行提款协议，从银行提取电子现金；用户与商家执行支付协议，支付电子现金；商家与银行 执行存款协议，将交易所得电子现金存入银行。流程中的三方为银行、用户和商家。电予现 6 南京邮电大学硕七研究生学位论文 第一章绪论 金协议主要包括三个过程：用户购买电子现金、用户用电子现金进行支付和商家用电子现金 到银行去存款。 电子现金支付循 图1 1 电子现金支付的基本流 现金胸物循环 二、电了信用卡 电子信用卡是网上交易的一种重要方式如2 0 0 5 年报考全国职称英语考试、报考公务员、 报考会计师和税务师等。均是网上报名、网上缴费( 通过信用卡或借记卡支付) 。预计以后多 项国家统一考试会逐渐改为以网上报名、网上缴费的方式进行。目前网上银行除农村信用社 不能实现网上银行电了信用卡支付外其它银行均已实现此项功能。 为了电子信用卡的安全问题，1 9 9 7 年5 月由m a s t e r c a r d ( 万事达) 与v is a 两大国际信用卡公 司联合开发出了安全电子交易( s e t ：s e c u r ee le c t r o n ict r a n s a c tio n ) 协议为网上信息及 资金的安全流通提供了充分的保障。大量的现场实验和实施效果都表明它是一个安全的能用 于电子商务的卡支付系统。而微软公司开发的安全插口层协议( s s l ：s e c u r es o c k e t sl a y e r ) 是用于网站安全交易的协议，19 9 5 年有被黑客攻破的例子。 基于电子信用卡的支付协议有许多种，如由i b m 开发的i k e y p r o t o c o l ( i k p ) ，i 扫v i s a 和 m i c r o s o f t 联合开发的s e c u r et r a n s a c t i o n st e c h n o l o g y ( s t t ) ，以及由m a s t e r c a r d 开发的s e c u r e e l e c t r o n i cp a y m e n tp r o t o c o l ( s e p p ) 等。1 9 9 6 年由v i s a c a r d 和m a s t e r c a r d 联合g t e ，i b m ， m i c r o s o f t ，n e t s c a p e ，s a i c ，t e r i s a ，v e r i s i g n 共同开发的s e c u r ee l e c t r o n i ct r a n s a c t i o n ( s e t ) 是专门为了实现安全电子交易而设计的，它已经逐渐取代s t t 和s e p p 等而成为基于信用卡支付 南京邮电大学硕士研究生学位论文 第- 章绪论 协议的国际标准n 0 1 。 客户支付命 初始化请求 令及授权请求授权请求 客 商家殛网关认 商 授权响应及 支金 证( 初始化响应)付款标志 付融 订单信息及支 捕获请求 付命令( 购买请求) 网 付款请求 机 户 家 购买晌应 付款响应 关构 图1 2s e t 协议交易流程图 许多基于电子信用卡的支付协议的购物流程都大致相同。图1 2 说明了s e t 购物流程。具 体步骤为n ： 1 、持卡者初始化请求； 2 、商家接收请求，生成应答消息，数字签名后与商家证书、支付网关证节一起发送给持 卡人： 3 、持接收应答，验证商家证书、支付网关证书和商家的数字签名后，生成订购信付款信 息，并将订购信息和付款信息进行双重签名，它对双重签名后的信息支付网关的公钥加密的 付款信息签名后连同自己的证书发送给商家； 4 、商家持卡人证书和双签名后，生成授权请求，并连同加密的付款指令转发给支付网关； 5 、支付网关通过金融专网到发卡行验证持专人的授权信息( 向金融机构发出授权请求) 。 6 、验证持卡人的授权信息后，生成授权响应消息，数字签名后发给商家； 7 、商家收到授权响应后，验证支付网关的数字签名，生成购买响应发送给持卡人； 8 、如果付款指令被验证通过，则商家同时生成取款请求发给支付网关； 9 、支付网关通过金融专网完成转账。 1 0 、转账后生成取款应答消息发送给商家。 三、电子支票 电子支票是一种借鉴纸张支票转移支付的优点，利用数字传递将钱款从一个账户转移到 另个账户的电子付款形式。这种电子支票的支付是在与商户及银行相连的网络上以密码方 式传递的，多数使用公用关键字加密签名或个人身份证号码( p 附) 代替手写签名。用电子支票 南京邮电人学硕士研究生学位论文 第章绪论 支付，事务处理费用较低，而且银行也能为参与电子商务的商户提供标准化的资金信息，故 而可能是最有效率的支付手段。 使用电子支票进行支付，消费者可以通过电脑网络将电子支票发向商家的电子信箱，同 时把电子付款通知单发到银行，银行随即把款项转入商家的银行账户。这一支付过程在数秒 内即可实现。然而，这里面也存在一个问题，那就是：如何鉴定电子支票及电子支票使用者 的真伪? 因此，就需要有一个专门的验证机构来对此做出认证，同时，该验证机构还应像 c a 那样能够对商家的身份和资信提供认证。 电子支票交易的过程可以分以下几个步骤： l 、消费者和商家达成购销协议并选择用电子支票支付。 2 、消费者通过网络向商家发出电子支票，同时向银行发出付款通知单。 3 、商家通过验证中心对消费者提供的电子支票进行验证，验证无误后将电子支票送交银 行索付。 4 、银行在商家索付款时通过验证中心对消费者提供的电子支票进行验证，验证无误后即 向商家兑付或转账。 1 9 9 6 年，美国通过的改进债务偿还方式法成为推动电了支票在美国应用的一个重要 因素。该法规定，自1 9 9 9 年1 月起，政府部门的大部分债务将通过电子方式偿还。1 9 9 8 年1 月1 日，美国国防部以及由银行和技术销售商组成的旨在促进电予支票技术发展的金融服务 技术财团( f s t c ) 通过美国财政部的财政管理服务支付了一张电子支票以显示系统的安全性。 近期，向i n t e m e t 站点提供后端付款和处理服务的p a y m e n t n e t 将开始处理电子支票。 p a y m e n t n e t 采用s s l 标准保证交易安全，美国最大的支票验证公司t e l e c h e c k 通过对储存在 数据库中的购物者个人信息及风险可靠度进行交叉检验来确认其身份。不过，目前还没有人 试过在电子商务站点通过i n t e m e t 直接使用支票。 电子支票是网络银行常用的一种电了支付工具，支票一直是银行大量采用的支付工具之 一，将支票改变为带有数字签名的报文或者利用数字电文代替支票的全部信息，就是电了支 票。利用电子支票，可以使支票支付的业务和全部处理过程实现电予化。网络银行和大多数 银行金融机构通过建立电子支票支付系统，在各个银行之间可以发出和接收电子支票，就可 以向广大顾客、向全社会提供以电了支票为主要支付工具的电子支付服务 四、电子钱包 电子钱包有两种概念：一是纯粹的软件，主要用于网上消费、账户管理， 这类软件通常 南京邮电人学硕士研究生学位论文 第章绪论 与银行账户或银行卡账户是连接在一起的。二是小额支付的智能储值卡，持卡人预先在卡中 存入一定的金额，交易时直接从储值账户中扣除交易金额。 电子钱包是顾客在电子商务购物活动中常用的一种支付工具，是在小额购物或购买小商 品时常用的新式钱包。使用电子钱包购物，通常需要在电子钱包服务系统中进行。电子商务 活动中的电子钱包的软件通常都是免费提供的，可以直接使用与自己银行帐号相连接的电子 商务系统服务器上的电子钱包软件，也可以从i n t e r n e t 上调出来，采用各种保密方式利用 i n t e r n e t 上的电子钱包软件。目前世界上有v i s a c a s h 和m o n d e x 两大电子钱包服务系统，其它 电子钱包服务系统还有m a s t e r c a r d c a s h 、e u r o p a y 的c l i p 和比利时的p r o t o n 等。 使用电子钱包的顾客通常在银行里都是有账户的。在使用电子钱包时，将有关的应用软 件安装到电子商务服务器上，利用电子钱包服务系统就可以把自己的各种电予货币或电予金 融卡上的数据输入进去。在发牛收付款时，如果顾客要用电子信用卡付款，例如用v i s a 卡或 者m a s t e r c a r d 卡等收付款时，顾客只要单击一下相应项目( 或相应图标) 即可完成，人们常 将这种电子支付方式称为单击式或电击式支付方式。 在电子钱包内只能完全装电子货币，耳f j 装入电子现金、电子零钱、电子信用卡等。这些 电子支付工具都可以支持单击式支付方式。 1 3 3 电子商务支付方式的安全性 电子支付是电子商务发展的核心问题。因此，电子支付的安全性是电子商务安全关键技 术中最重要的内容问题。对于支付型电子商务系统来说，只有提供安全可靠的电子支付手段， 消费者、企业和银行才能信任它，才能大胆地从事电子商务活动，从而使电子商务系统真正 得到应用，真正地获得成功并进而促进电子商务的发展。可以说，电子支付的安全性问题是 关系到电子商务能否健康、稳定、快速发展的决定性因素。电子支付的安全性需求主要包括 保密性、完整性、身份认证、不可否认性和容错性【1 2 】。 l o 南京邮电人学硕十研究尘学位论文 第章绪论 1 4 电子商务主要安全协议 1 4 1 安全超文本传输协议( s - h t t p ) s h t t p s e c u r eh y p e r t e x tt r a n s f e rp r o t o c o l 安全超文本传输协议( s h t t p ) 是一种面向安全信息通信的协议，它可以和h t t p 结合 起来使用。s h 1 v r p 能与h t t p 信息模型共存并易于与h t t p 应用程序相整合。 s h t t p 协议为h t t p 客户机和服务器提供了多种安全机制，提供安全服务选项是为了 适用于万维网上各类潜在用户。s - h t t p 为客户机和服务器提供了相同的性能( 同等对待请 求和应答，也同等对待客户机和服务器) ，同时维持h t t p 的事务模型和实施特征。 s - h t t p 客户机和服务器能与某些加密信息格式标准相结合。 s - h t t p 支持多种兼容方 案并且与h t t p 相兼容。使用s - h t t p 的客户机能够与没有使用s - h t t p 的服务器连接， 反之亦然，但是这样的通讯明显地不会利用s - h t t p 安全特征。 s - h t t p 不需要客户端公用密钥认证( 或公用密钥) ，但它支持对称密钥的操作模式。这 点很重要因为这意味着即使没有要求用户拥有公用密钥，私人交易也会发生。虽然s - h t t p 可 以利用大多现有的认证系统，但s h t t p 的应用并不必依赖这些系统。 s - h t t p 支持端对端的安全事务通信。客户机可能“首先”启动安全传输( 使用报头的信 息) ，例如它可以用来支持己填表单的加密。使用s - h t t p ，敏感的数据信息不会以明文形式 在网络上发送。 s - h t t p 提供了完整且灵活的加密算法、模态及相关参数。选项谈判用来决定客户机和服 务器在事务模式、加密算法( 用于签名的r s a 和d s a 、用于加密的d e s 和r c 2 等) 及 证书选择方面取得一致意见。 虽然s h t t p 的设计者承认他有意识的利用了多根分层的信任模型和许多公钥证书系 统，但s - h t t p 仍努力避开对某种特定模型的滥用。s - h t t p 与摘要验证( 在【r f c 2 6 17 】中 有描述) 的不同之处在于，它支持共钥加密和数字签名，并具有保密性。h t t p s 作为另一 种安全w e b 通信技术，是指h t t p 运行在t l s 和s s l 上面的实现安全w e b 事务的协议。 在语法上，s - h t t p 报文与h t t p 相同，由请求或状态行组成，后面是信头和主体。显 然信头不相同并且主体密码设置更为精密。 与h t t p 报文类似，s - h t t p 报文由从客户机到服务器的请求和从服务器到客户机的响应 南京邮电大学硕士研究生学位论文 第一章绪论 组成。请求报文的格式如下： 为了和h t t p 报文区分开来，s h t t p 需要特殊处理，请求行使用特殊的“安全”途径和 指定协议“s - h t t p i 4 ”。因此s - h t t p 和h t t p 可以在相同的t c p 端口( 例3 1 ：1 ：端口8 0 ) 混合处理。为了防止敏感信息的泄漏，u r l 请求必须带有“p 。 s - h t t p 响应采用指定协议“s h t t p 1 4 ”。响应报文的格式如下： 注意，s - h t t p 响应行中的状态并不表明展开的h t t p 请求的成功或失败。如果s h t t p 处理成功，服务器会一直显示2 0 0 0 k 。这就阻止了所有请求的成功或失败分析。接收器由压 缩数据对其中正确性的做出判断，并接受所有的异常情形。 1 4 2 安全套接层协议( s s l 协议) s s l ( s e c u r es o c k e tl a y e r 即安全套接层) 协议是n e t s c a p e 公司在推出w e b 浏览器首版的 同时，提出的安全通信协议。它是国际上最早应用于电子商务的一种由消费者和商家双方参 加的信用卡借记卡支付协议【13 1 。 s s l 协议是在i n t e r n e t 基础上提供的一种安全通信协议，它能够对信用卡和个人信息提供 较强的保护，其目标是保证两个用户间通信的保密性和可靠性，可在服务器和客户机两端同 时实现支持。目前，利用公开密钥技术的s s l 协议，己成为i n t e m e t 上保密通讯的工业标准。 现行w e b 浏览器普遍将h t t p 和s s l 相结合，从而实现安全通信。 购买请求 图1 3 基于s s l 的电予交易 在交易中，客户( 消费者) 将购买的信息首先发往商家，商家再将信息转发给银行，银 行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功。 s s l 是对计算机之间整个会话进行加密的协议，在s s l 中，采用了公开密钥和私有密钥 两种加密方式，提供了两台机器间的安全连接，w e b 信息在传送端被加密，在接收端被解密， 南京邮电大学硕士研究生学位论文 第一章绪论 支付系统通过在s s l 连接上传输信用卡号的方式来构建。并且s s l 始终对服务器进行认证， 还可选择对客户进行认证。在线银行和其它金融系统，也可以构建在s s l 之上。s s l 被广泛 应用的原因，在于它被大部分w e b 浏览器和w e b 服务器所内置，比较容易被应用。 s s l 协议要求建立在可靠的传输层协议t c p 之上，其优势在于它是与应用层协议独立无 关的。高层的应用层协议( 例如h t t p 、f t p 、t e l n e t 等) 能透明的建立于s s l 协议之上。 s s l 协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。 因而，其后的应用层协议所传送的数据都会被加密，从而保证通信的安全性。s s l 的安全服 务的对象主要是w e b 应用，即客户浏览器和服务器。 s s l 安全协议丰要提供三方面的服务： 用户和服务器的合法性认证 认证用户和服务器的合法性，使得它们能够确信数据将被发送到正确的客户机和服务器 上。客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号，为了验证用户 是否合法，安全套接层协议要求在握手交换数据进行数字认证，以此来确保用户的合法性。 加密数据 安全套接层协议所采用的加密技术既有对称密钥技术，也有非对称密钥技术。在客户机与 服务器进行数据交换之前，交换s s l 初始握手信息，s s l 握手协议采用了多种加密技术，以 保证其机密性，并且对数字证书进行鉴别。这样就可以防止非法用户进行破译。 数据的完整性 安全套接层协议采用h a s h 函数的方法来提供信息的完整性服务，建立客户机与服务器之 间的安全通道，使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地 到达目的地。 要说明的是，安全套接层协议是一个保证计算机通信安全的协议，对通信对话过程进行安 全保护。例如，一台客户机与一台丰机连接，首先要初始化握手协议，然后就建立了一个s s l 。 直到对话结束，安全套接层协议都会对整个通信过程加密，并且检查其完整性。这样一个对 话时段算一次握手。而h t t p 协议中的每一次连接就是一次握手，因此，与h t t p 相比。安 全套接层协议的通信效率会高一些。 l 、接通阶段：客户通过网络向服务商打招呼，服务商回应； 2 、密码交换阶段：客户与服务器之间交换双方认可的密码，一般选用r s a 密码算法，也 有的选用d i 衢e h e l l m a n 和f o r t e z z a k e a 密码算法： 南京邮电大学硕十研究生学位论文 第章绪论 3 、会谈密码阶段：客户与服务商间产生彼此交谈的会话密钥； 4 、检验阶段：检验服务商取得的密码： 5 、客户认证阶段：验证客户的可信度； 6 、结束阶段，客户与服务商之间相互交换结束的信息。 当上述动作完成之后，两者间传送的资料就会加密，即使盗窃者在网络上取得编码后的资 料，如果没有原先编制的密钥算法，也不能获得可读的有用资料。 发送时信息用对称密钥加密，对称密钥用非对称算法加密，接收的过程与发送正好相反， 先打开有对称密钥的