基于J2EE+B2B第三方支付平台研究与实现

长春理工大学硕士学位论文基于J2EE B2B第三方支付平台研究与实现姓名：李磊申请学位级别：硕士专业：计算机应用技术指导教师：李莉20080401摘要随着社会进步，计算机、网络和通讯技术同益发展，一种新兴的商务行为模式一一电子商务出现了。电予商务的核心支付方式随着计算机技术在会融领域的应用不断的演变，于是基于互联网的网上支付出现了，电子商务的网上支付问题也就越来越受到人们的重视。目Ii在国内的网上交易中主要有网下支付和网上支付两种方式。前一种主要通过电话、电报或信件来传递信用卡和账户信息：后一种就是通过网上直接输入信用卡和账户信息进行转账。相比之下网上支付更能体现电子商务的方便性和实用性。本文在对国内电子商务，支付系统研究的基础之上，研究了B2B模式下的第三方支付平台系统，对其发展、优势、支付过程进行了研究，同时研究了相关的J2EE技术、加密算法、SSL协议、最后模拟实现了基于SSL的支付平台。本论文的意义就是在于开发设计出第三方的支付平台，形成一种商业模式，解决在B2B交易中出现的问题，形成第三方的信用机构，为中小企业服务，我们重点研究第三方支付平台的安全性，数据保密性等问题。关键词：J2EE B2B SSL第三方支付平台ABSTRACTAlong with social progress，computer,networking and communications skillsdevelopment,a non model of business-eCOmmerCC emergedne core of e-commercewith the methods of payment of computer technology in the field of financial applicationsconstant evolution，SO Internet-based online payment has arisen,e-commerce onlinepayment problems will be more and more peopleS attentionAt present in the countrymainly in the online trading network and online payment under the payment in two waysThe former mainly through mlephonetelegram or letter to deliver credit and accountinformmion；latter iS the direct input through an online credit card and account informationtransfersBy contrast e-commerce online payment that reflects the convenience andpracticalityIn this paper，the domestic e-commerce and payment system on the basis of research onthe B2B mode platform under the thirdparty payment system，the development of itsadvantages，the process for the research，look at the relevant J2EE technology，eneryptionalgorithm，SSL protocol，the final realization ofthe simulation SSLbased payment platformThe significance of this paper is to design a development platform for third-party paymentthe formation of a business mode】for the resolution of B2B transactions in the emergingissues，a third-party credit agencies，services for SMEs，we focus on the third party paymentplatform security，data privacy and other issuesKey words：J2EE B2B SSL a third party payment platform长春理工大学硕士学位论文原创性声明本人郑重声明：所呈交的硕士学位论文，基于J2EE B2B第三方支付平台研究与实现是本人在指导教师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 作者魏雹脚剑幺日长春理工大学学位论文版权使用授权书本学位论文作者及指导教师完全了解“长春理工大学硕士、博士学位论文版权使用规定”，同意长春理工大学保留并向国家有关部门或机构送交学位论文的复印件和电子版，允许论文被查阅和借阅。本人授权长春理工大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，也可采用影印、缩印或扫描等复制手段保存和汇编学位论文。作者签名：缝 脚年皿月幽指导导师签名；垄蚕乏年业月必第一章绪论1，1研究目的及意义在向信息经济世界的转变过程中，传统商务由于存在太多的弊端，已经不能胜任现时条件下的贸易环境。电子商务作为因特网技术发展同益成熟的直接结果，是未来商业发展的新方向。电子商务(Electronic Commence)是一种以电子数据交换EDI(E1ectronic Data Interchange)和Internet网上交易为主要内容的全新商务模式。其体现的丌放性、全球性、地域性、低成本和高效率等内在特征，在符合商业经济内在要求的同时，还使其超越了作为一种新的贸易形式。在带动经济结构变革的同时，对我国对外贸易也产生了巨大而且深远的影响。它不仅改变了企业本身的生产、经营、管理，而且对传统的贸易方式带来冲击，一些新的问题由此产生。这些问题的解决赢接关系到我国对外贸易的发展。我国作为经济正在发展的贸易大国，在电子商务的挑战之下，要同时面对其带来的压力和机遇。进行自我调整，以求跟上其快速变革的步伐。要大力发展电子商务，在今后的贸易竞争中占据主动，应拿出自己的举措，以赢得和发达国家站在同一起跑线上的机会”1。近Ft，CNNIC发布了第十八次中国互联网络发展状况统计报告，截止2006年6月30闩，我国网民增至123亿人，国内网站总数达7884力个，互联网渗透率升至94，远高于同等发达水平国家。报告同时还指出，经常上网购物人数已达3000月人，同比增长50。虽然网民上网的需求重点还是娱乐与信息方面，但电子商务在我国网民心目中的价值分量已经在逐渐加重，显示出良好的潜力和Ij景，互联网对我国经济生活的核心价值也随之渐渐的被释放出来。B2B是电子商务的主要组成部分，随着互联网普及程度的同益加深，使人们对其有了全新的看法，特别是经过电子商务元年的洗礼，各级企业对实现企业商业目的电子商务观念已具雏形。不少更已经丌始纷纷试水网上贸易“。B2B(Business to Business)电子商务运作模型和业务流程中三个环节一信息流、资会流和物流是促进电子商务发展的关键。作为中|日J环节的网络(在线)支付，是电子商务流程中交易双方最为关心的问题，即如何在买卖双方达成交易协议以后进行支付，越来越成为制约电子商务发展的“瓶颈”。由于电予商务中交易双方不见面，将会产生许多传统模式中不会出现的问题，本质上就是交易问题。对买方来说：网上看到的商品是否与食物一致?交钱以后对方是否一定会送货?何时送到?自己使用的电子货币是否安全?等等。对于卖家束说：对方的资会是否真到了自己账上?自己的网上帐号是否安全，交易中出现了问题怎么解决?所以消费者不愿意网上交易，大部分原因是因为信用危机、安全问题。因此各种支付手段在这种情况下纷纷出现，以期降低支付的成本，增加支付的安全性，从而更好的促进电子商务的发展。网上电子支付存在的问题”11安全性：安全问题存在于任何一种支付方式中，但是作为电子商务使用的电子化货币安全问题更突出。电子支付的安全问题对电子商务交易的双方都存在，世界各国都在竭尽全力解决网上支付的安全问题。现在已经完全达到实用阶段。2速度性：速度是困扰人们网上购物的一大障碍。难以忍受的速度表现在办卡，认证，发送等几乎网上购物的所有环节。这些障碍使网上商店失去了大部分的优势。3不方便性：网上购物不能像传统的购物那要挑选，再加上复杂的操作过程也很容易易使人失去购物乐趣而远离网上商店。在这种潮流下，第三方支付平台应运而生，它以其更加安全、稳定、快捷的支付体系，J下成为当今世界电子商务网上支付手段的主流。我国的电子商务的支付手段正朝着这个方向发展。随着电子商务发展，一些商家自行丌发支付系统，直接与银行连接完成在线支付交易，但大量中小型商家无力承担自行丌发支付系统的高额费用，另一方面银行也无法与所有中小型商家直连。本论文的意义就是在于开发设计出第三方的支付平台，形成一种商业模式，解决在B2B交易中出现的问题，形成第三方的信用机构，为中小企业服务，我们重点研究第三方支付平台的安全性，数据保密性等问题。12国内外网上支付发展现状1995年10月，美国三家银行Area Bank股份公司、Wachovia银行公司和HuntingtonBank股份公司联合在Internet上成立全球第一家无任何分支机构的纯网络银行，即美国安全第一网络银行(SFNB)，短短几年的时问，网上银行业务飞速发展，在全球范围内扩展。世界最大1000家银行，70的都有自己的网站。欧洲已有90以上的银行能为客户提供网上银行服务。到2002年发达国家网上银行业务比重己达到15。网上银行在国外急速发展的同时，中国的网上银行业务也逐步展丌了。中国工商银行被环球会融杂志评为2003年度最佳个人网上银行，招商银行也曾获得CHP国际计算机大赛会融房地产类的“21世纪贡献大奖”决赛提名奖。因此，国内商业银行抓住了金融信息化的优势，萨在缩小与发达国家的差距。中国银行是最早丌展网上银行业务的银行，最先于1996年2月在互联网上设立了自己的主页，在网上发布信息，同时可以查询外汇牌价。1998年3月成功进行了第一笔电子交易。中国银行目前可以提供公司网上银行业务，包括通过网上银行实时查询对公账户余额及交易历史，进行网上支付、转账，向国家外汇管理局进行对公汇入汇款申报，查询各子公司的账户余额、交易信息，划拨集团内部公司之间的资会、进行账户管理。1999年8月，中国银行推出了银证快车服务，可以使用户在短时I日J内完成证券公司、交易所、营业部之白J的资会清算服务。中国银行还可以提供个人网上银行业务，在北京和上海两地可以实现网上支付。网上银行业务丌展的较好的是招商银行。1995年招商银行率先推出基于客户号管2理的一卡通业务，实现了储蓄全国通存通兑。1998年4月，招商银行率先推出支持网上支付的一网通业务。实现了ATM全国通存通兑和POS全国消费联网。招商银行提供的网上银行服务有：网上公司银行，能提供同城转账、异地电话、信托、母公司与子公司账务稽核等业务：网上个人银行，能为客户提供网上查询账务、简单财务分析、转账等服务：网上支付系统，通用网上购物广场、实时证券行业系统等。其他各大银行分别加大了网上银行业务。以中国工商银行为例，2000年讵式推出网上银行，2003年12月推出了个人网上银行业务，目前可以提供账户查询，转账、汇款、证券、外汇、基会等业务。建设银行从1999年开始仅在北京和广州两地试点网上支付业务，其功能主要包括对私业务网上账户查询、转账、代缴费、对公账户查询等。13本文研究内容和组织结构131本文的研究内容1在对网上支付的背景进行分析，研究了电子商务和第三方支付平台的相关概念，发展趋势。2在对B2B电子商务模式研究的基础上，研究适合我国当IjB2B电子商务发展需求的第三方支付平台。3本文主要从应用角度，探讨如何构建个安全的、实时的电子支付平台以解决电子商务系统中各交易实体间的资会流和信息流，在Internet上的实时传递及其安全性问题，并且研究了B2B的相关安全技术，MB5算法，SSL安全协议等。4本文最后利用前面研究的相关技术，使用J2EE技术，SSL安全协议模拟实现了B2B的支付过程。132论文组织结构第一章：绪论，主要介绍了支付平台的背景，以及国内外支付系统发展现状和存在的问题。第二章：相关概念，主要介绍了电子商务的概念、分类、发展趋势与前景和电子商务所面临的主要问题。然后介绍了第三方支付平台的相关知识、第三方支付平台的概念、分类、发展趋势、第三方支付平台的优势和第三方支付平台支付过程。最后介绍了J2EE的相关技术。第三章：系统分析与设计，主要介绍了B2B的安全技术，例如数掘加密、MD5算法、数字认证、SSL协议技术。最后对第三方支付平台系统做了总体设计。第四章：系统模拟实现，主要介绍了实现SSL安全通道，MD5技术的应用和订单，支付实现。第五章：总结与展望，主要对本文进行总结，指出了存在的相关问题和以后努力的方向。第二章相关概念及技术21电子商务211电子商务的概念电子商务是Internet与传统信息技术相结合的背景下应运而生的一种动态商务活动，电子商务将参与商务活动的各方即商家、顾客、银行或金融机构、信用卡公司或证券公司和政府等利用计算机网络统一起来，彻底实现网上在线交易的电子化。这种基于Internet的电子商务给传统的交易方式带来一场革命。电子商务的一个重要技术特征是利用web技术来传输和处理商业信息。电子商务有广义和狭义之分。狭义的电子商务也称电子交易，主要指利用web提供的通信手段在网上进行的交易。而广义的电子商务包括电子交易在内的利用web进行的全部商业活动，如市场分析、客户联系、物资调配等等，亦称电子商业。这些活动可以发生于公司内部、公司之间及公司于客户之间。212电子商务的分类电子商务按电子商务交易涉及的对象、电子商务交易所涉及的商品内容和进行电子业务的企业所使用的网络类型等对电子商务进行不同的分类。1按参与交易的对象电子商务可以分为以下三种类型：(1)企业与消费者之间的电子商务(Business to Customer即B TO C)。这是消费者利用因特网直接参与经济活动的形式，类同于商业电子化的零售商务。随着万维网(WWW)的出现，网上销售迅速地发展起来。目前在因特网上有许许多多各种类型的虚拟商店和虚拟企业，提供各种与商品销售有关的服务。通过网上商店买卖的商品可以是实体化的，如书籍、鲜花、服装、食品、汽车、电视等等；也可以是数字化的，如新闻、音乐、电影、数据库、软件及各类基于知识的商品；还有提供的各类服务，有安排旅游、在线医疗诊断和远程教育等。(2)企业与企业之间的电子商务(Business to Business即B TO B)。B T0 B方式是电子商务应用最重和最受企业重视的形式，企业可以使用Internet或其他网络对每笔交易寻找最佳合作伙伴，完成从定购到结算的全部交易行为，包括向供应商订货、签约、接受发票和使用电子资金转移、信用证、银行托收等方式进行付款，以及在商贸过程中发生的其他问题如索赔、商品发送管理和运输跟踪等。企业对企业的电子商务经营额大，所需的各种硬软件环境较复杂，但在EDI商务成功的基础上发展得最快。(3)企业与政府方面的电子商务(Business to Government B TO G)。这种商务活动覆盖企业与政府组织问的各项事务。例如企业与政府之间进行的各种手续的报批，政府通过因特网发布采购清单、企业以电子化方式响应：政府在网上以电子交换方式来完成对企业和电子交易的征税等，这成为政府机关政务公开的手段4和方法。2按交易涉及的商品内容电子商务主要包括两类商业活动。(1)间接电子商务电子商务涉及商品是有形货物的电子订贷，如鲜花、书籍、食品、汽车等，交易的商品需要通过传统的渠道如邮政业的服务和商业快递服务来完成送货，因此，间接电子商务要依靠送货的运输系统等外部要素。(2)直接电子商务电子商务涉及商品是无形的货物和服务，如计算机软件、娱乐内容的联机订购、付款和交付，或者是全球规模的信息服务。直接电子商务能使双方越过地理界线直接进行交易，充分挖掘全球市场的潜力。目前我国大部分的农业网站都属于这一类，但这还是真正意义上的直接电子商务。3按电子商务使用的网络类型分类电子商务可以分为如下三种形式：(1)EDI网络电子商务(Electronic Data Interchange，电子数据交换)。EDI是按照一个公认的标准和协议，将商务活动中涉及的文件标准化和格式化，通过计算机网络，在贸易伙伴的计算机网络系统之间进行数据交换和自动处理。EDI主要应用于企业与企业、企业与批发商、批发商与零售商之间的批发业务。EDI电子商务在90年代已得到较大的发展，技术上也较为成熟，但是因为开展EDI对企业有较高的管理、资金和技术的要求，因此至今尚不太普及。(2)因特网电子商务(Internet网络)。是指利用连通全球的Internet网络开展的电子商务活动，在因特网上可以进行各种形式的电子商务业务，所涉及的领域广泛，全世界各个企业和个人都可以参与，正以飞快的速度在发展，其前景十分诱人，是目前电子商务的主要形式。(3)内联网络电子商务(Intranet网络)。是指在一个大型企业的内部或一个行业内开展的电子商务活动，形成一个商务活动链，可以大大提高工作效率和降低业务的成本。例如中华人民共和国专利局的主页，客户在该网站上可以查询到有关中国专利的所有信息和业务流程，这是电子商务在政府机关办公事务中的应用；已经开通的上海网上南京路一条街主页，包括了南京路上的主要商店，客户可以在网上游览著名的上海南京路商业街，并在南京路上的网上商店中以电子商务的形式购物；已开始营业的北京图书大厦主页，客户可以在此查阅和购买北京图书大厦经营的几十万种图书。上述两个都是B TO c的电子商务应用形式。213 B2B电子商务分类1按贸易类型分嘲(如图21所示)：(1)内贸型B2B电子商务是指国内供应者与采购者进行交易服务为主的电子商务市场，交易的主体和行业范围主要在同一国家内进行。(2)外贸型5B2B电子商务是指提供国内与国外的供应者与采购者交易服务为主的电子商务市场，相对内贸型B2B电子商务市场，外贸B2B电子商务市场需要突破语言文化、法律法规、关税汇率等各方面的障碍，涉及的B2B电子商务活动流程更复杂，要求的专业性更强。图21B2B电子商务分类一(按贸易类型)2按贸易主导主体类型(如图22所示)：B2B电子商务按照B2B电子商务贸易主导的主体类型可分为大型企业和中小型企业B2B电子商务，其中大中型企业往往采购或供应规模较大，因此更容易形成销售方和购买方的控制力量。分类粼销售方控制只提供信息的卖主平台(犬中型可通过网络订货的卖主平台企业)购买方控通过网络发布采购信息，反向拍卖制采购代理人，易赞交易(大中型企业)采购信息搜集者，加入团体购买计划中立的第特定产业或产品的搜索工具三方控制信息超市(获取卖主和产品信息的通道)(中小型企业广场(包括众多卖主的店面)企业)拍卖场图22B2B电子商务分类二(按贸易主导主体类型)214B2B电子商务的基本原理B2B电子商务是指商业机构使用Internet或各种商务网络向供应商订货和付款的6电子商务运营模式。它是企业与企业之间通过互联网进行产品、服务和信息的交换，是一个将买方、卖方和中间商之间的信息交换和交易行为集成在一个平台上的电子运作方式。B2B使企业之间的交易减少了许多事务性的工作流程和管理费用，降低了企业经营成本。215 B2B电子商务系统交易流程企业之间的在线交易要比顾客网上购物复杂得多，不仅广泛涉及到商品交易的品种，规格、型号以及价格、运输和支付方式等，还涉及到不同企业的交易信誉、生产能力、资金实力和技术水平等一系列问题。因此，企业间的电子商务交易过程更复杂些。电子商务通用交易过程可以分为以下阶段“1：1交易前的准备。这一阶段主要是指参加交易各方在签约前的准备活动。买方根据自己要买的商品，制订购货计划，然后确定购买商品的种类、数量、规格、价格、购货地点和交易方式等：卖方根据自己所销售的商品，全面进行市场调查和市场分析，制订各种销售策略和销售方式，利用互联网发布商品广告，寻找贸易伙伴和交易机会。其他参加交易各方有中介方、银行金融机构、信用卡公司、海关系统、商检系统、保险公司、税务系统、运输公司也都为进行电子商务交易做好准备。2交易谈判和签订合同。这一阶段主要是指买卖双方对所有交易细节进行谈判，将磋商结果以文件的形式确定下来，即以书面文件或电子文件形式签订贸易合同。交易双方可以利用各种网络技术手段、电子通信设备和通信方法，经过认真谈判和磋商后，将双方在交易中的权利、义务、对所购买商品的种类、数量、质量、价格、交货地点、交货期、交易方式和运输方式、违约和索赔等合同条款，全部以电子交易合同做出全面详细的规定，合同双方可以利用EDI签约，也可以通过数字签名签约。3办理交易进行前的手续。这一阶段主要是指买卖双方签订合同后到合同开始履行之前办理各种手续的过程，也是双方贸易前的交易准备过程。交易中可能要涉及到有关各方，如中介方、银行金融机构、信用卡公司、海关系统、商检系统、保险公司、税务系统、运输公司等，买卖双方可利用EDI与有关各方进行各种电子票据和电子单证的交换，直到办理完可以将所购商品从卖方按合同规定开始向买方发货的一切手续为止。4交易合同的履行。这一阶段是从买卖双方办完所有各种手续之后开始。卖方要备货、组货，同时进行报关、保险、取证、信用等，将所售商品交付给运输公司包装、起运和发货；买方要按合同规定的货款数量、支付方式和时间，在委托银行完成货款支付。买卖双方可以通过电子商务服务器跟踪发出的货物，银行和金融机构也按照合同，处理双方收付款、进行结算，出具相应的银行单据等。直到买方收到自己所购商品，完成整个交易过程。7如图23所示企业A通过Internet选定一家提供商务服务的电子商务系统，根据其自身需要提出商务业务请求，并将请求信息通过Internet发送给此电子商务系统：电子商务系统根据企业A提出的商务业务请求寻找合适的交易企业B，并将请求信息通过Internet发送给企业B；企业B得到企业A的请求信息后，经过分析处理其相应交易请求，将相应信息发送给电子商务系统；收到企业B的交易请求后，电子商务系统丌始处理交易信息，并要求交易双方提供各自银行账户信息；得到交易双方的银行账户信息后，需对交易双方进行身份认证，将认证合格的银行账户信息通过支付网关发送给交易双方的开户银行，完成银行转账：将转账后的信息通过电子商务系统发送给交易企业，并联合工商、税务等协同单位，最后委托运输配送公司来完成配送工作。幽23 BS电子商务支付流程216中国B2B电子商务发展前景展望目Iji，我国发展B2B电子商务的环境(网络基础建设等运行环境、法律环境、市场环境、信息安全、认证中心建设等条件)F在逐步完善，国家有关电子商务的各项政策、法规也同益健全，为中国B2B电子商务规范、高速前行提供了推力。虽然，我国的B2B电子商务还处在初步发展的阶段，但作为电子商务的一种最主要的应用模式，B2B电子商务蕴涵了无限的商机，为我国企业提供了广阔的发展空间。由于中国的电子商务环境同美国存在较大差别，照搬美国模式并不一定能够取得成功，所以中国B2B电子商务的成功发展必须针对自身的特点束描绘未来发展的蓝图。发展有中国特色的B2B商业模式，可以从以下四个方面着手”1：1大企业成为发展和应用电子商务的先锋。先实现企业供应链管理的电子化，通过互联网将企业的上家(供应商)和下家(销售商)联为一体，建立网上采购系统。2建立专业网站作为电子商务的切入点，逐步实现网上交易。3利用电子商务手段，开拓国际市场，实现全球采购、分销。4中小企业借助中介网站开展B2B电子商务。目前，我国B2B电子商务的成长环境已基本形成，一个日臻成熟、充分保障、协调发展、良性循环、以点带面的有中国特色的B2B电子商务呼之欲出。217制约我国B2B发展的因素尽管我国电子商务几乎与除美国以外的多数发达国家同时起步，但总体上与发达国家存在较大差距。据经济参考报报道，商务部研究院日前发布报告显示，网上支付、现行税制、物流体系三方面存在的障碍，直接制约了我国电子商务的发展。电子商务的发展基本上是受制于信息技术及网络设施，即信息网络基础设施水平和对应于网络经济的社会法律、诚信环境建设状况。具体到电子商务活动运行本身，目前最直接的制约因素，大约有以下三个方面：首先是网上支付问题：网上支付是电子商务的关键环节，网上支付的安全、便捷、规范和高效是发展电子商务的必需条件。网上支付需要具备四个方面的条件，即商务系统、电子钱包、支付网关和安全认证。其中安全认证是目前必须解决的核心问题所在。虽然各家银行都直接或间接地建立了自己的金融认证中心，但至今缺乏统一的、权威的、全国性的认证中心，这就容易导致交叉认证、重复认证和资源浪费。此外，相关法律保障缺乏，出现问题后的责任认定、承担、仲裁结果的执行等复杂的法律关系难以解决。另外，网上支付效率低下，银行确认支付时间长(约需10天)，收费高(信用卡收取5的管理费)、限制多，也制约了电子商务的发展。其次是现行税制问题：电子商务是完全不同于传统商务运行方式的新的商务模式，目前我国还没有针对电子商务交易的明确税法条文。这种状况长期存在下去，必然会影响到电子商务的健康有序发展。报告指出，目前不同经济发展水平的国家，对电子商务的征税制度各不相同。美国对电子商务实行全面免税制度：禁止联邦和州政府对互联网访问征新税，对数字化产品和服务暂缓征税，对任何形式的电子商务不再增加新税。欧盟则采用“清晰与中性的税收”制度，对在互联网上从事电子商务活动的企业和个人征收增值税，不征额外税。再次是物流体系的制约：目前我国为电子商务服务的物流企业中有1000余家是传统的物流企业，数量规模供大于求，质量则有待提高。没有高效率的物流体系作保障，电子商务的无空间距离快速交易的优势就难以体现。22第三方支付平台221第三方支付平台概念所谓第三方支付，就是一些和国内外各大银行签约、并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。在通过第三方支付平台的交易中，买方选购商品后，使用第三方平台提供的账户进行货款支付，由第三方通知卖家货款到达、进9行发货：买方检验物品后，就可以通知付款给卖家，第三方再将款项转至卖家账户。相对于传统的资会划拨交易方式，第三方支付可以比较有效地保障了货物质量、交易诚信、退换要求等环节，在整个交易过程中，都可以对交易双方进行约束和监督。在不需要面对面进行交易的电子商务形式中，第三方支付为保证交易成功提供了必要的支持，因此随着电子商务在国内的快速发展，第三方支付行业也发展得比较快”3。222我国第三方支付平台的分类我国的第三方支付平台可以分为宿主型和独立性两类：1宿主型此种第三方支付平台依托于某个电子商务网站，由此电子商务网站自行开发，它为自己的电子商务网站的交易支付进行服务。以淘宝网的“支付宝”和eBay易趣网这两个电子商务网站都是C to C的电子商务模式，此种模式的商务网站主要提供两种服务：一是提供用户进行商务活动的平台；二是提供用户进行交易的支付平台。C to C模式的电子商务网站实质就是为用户的交易提供一个可信、快捷、稳定的交易环境，所以它的支付平台不在属于任何一个特定的买方或卖方，而是独立出来作为一个公平的第三方对买卖双方的支付过程进行全面的监督和保障。2独立型此种第三方支付平台独立于任何一个电子商务网站和银行，只专注于提供第三方支付平台服务。以首信“易支付”、易达信动“1stpaynet”为此种类型第三方支付平台的代表。首信和易达信动作为第三方代表，与多家银行形成战略联盟的关系，为多家特别是中小型的电予商务网站提供支付服务，由于它独立和有力的全程监控措施，使得其成为电子商务支付平台最有潜力的一种形式。223第三方支付平台发展趋势网上支付问题一直是制约中国电子商务发展的瓶颈之一，第三方支付平台在2005年的蓬勃发展极大的推动了该瓶颈问题的解决，因此2005年也被业界称为“安全支付年”。电子签名法的币式生效和电子支付指引的颁布，舰范了电子商务网上支付环境，一个在安全认证守护下的电子商务支付环境将逐渐形成，这样的支付环境无疑也是支付平台健康发展的最佳环境。2005年，第三方支付平台也在支付安全技术及盈利模式方面进行了有意义的探索。在买卖双方之问承担完全中立的第三方的角色，从而协调双方的合法权益均得到最大限度的维护，这使得第三方支付平台逐渐获得广大中小企业以及个人用户的信赖，在电子商务网上支付中扮演起更加重要的角色。网上支付平台安全信用等指标的加强给网民以极好的心理预期，同时网民对于方便快捷的追求也趋使他们选择网上支付方式。从2004年开始，网上支付作为网民购物的支付方式变得越柬越为人们所接受，2005年，网上支付的选择比例达到了484，也即有约一半网E购物者愿意选择网上支付作为他们的支付方式。这与支付技术的不断完善及支付安全的不断提高是分不丌的。而当保证交易安全，维持电子商务诚信的职能逐步转入由第三方的支付服务机构来进行后，一个更为安全、诚信的网上消费氛10围必将逐渐形成，电子商务的安全支付问题也将逐步得到解决唧。未来支付平台发展趋势是：1中小企业成为电子商务创新的原动力，迫切需要第三方支付服务商的支持。2成功的支付服务商能够以高质量的技术服务和新的增值服务体现价值，打动各行业的优秀企业，与其结成长期的合作伙伴。第三方支付服务商的初级阶段是成为商家的“收银台”，中级阶段是与商家结成紧密的利益联合体，高级阶段是成为商家提供全面的外包服务。目前，很多服务商仍停留在初级阶段。在部分服务商的业务中我们看到了中级阶段的萌芽，而高级阶段是绝大多数服务商尚未意识到的。3BtoB支付、虚拟帐户支付大有可为，移动支付业务的竞争将空前惨烈。224第三方支付平台的优势1安全性第三方支付平台具有雄厚的资金作为支撑，因而能建立完善的安全支付平台，一方面，第三方支付平台采用目前最成熟的电子支付相关技术，与各银行的支付网关相连，用户在支付时输入的帐户和密码都将直接传给用户帐户所在的银行，这样通过银行本身支付网关就能提供足够的支付安全保障：另一方面，第三方支付平台自身拥有非常好的安全防护体系，对用户的关键数据传输使用国际最流行的SSL 128位加密通道并配合PKI密钥体系，为用户提供了更强的支付安全保障。2PKI密钥体系PKI(Public Key infrastructure)即公开密钥体系，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设旌，它是国际公认的互联网电子商务的安全机制，它利用现代密码学中的公钥密码技术在开放的Internet网络环境中提供数据加密以及数字签名服务的统一的技术框架，公钥是目前应用最广泛的一种加密体制，在这一体系中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接受者在利用自己专有的私钥进行解密，这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性，目前公钥体系广泛地被应用于第三方支付平台提供支付的安全保障。3公正性由于采用第三方支付平台的清算模式，就最大限度地避免了拒付和欺诈行为的发生，创造出良好的、使买卖双方彼此信任的交易环境，第三方清算保证模式采用了在网站与银行之间进行二次结算的方式，使得支付平台不在单纯地作为连接各银行支付网关的通道，而是作为独立的第三方机构，能够保留商户和消费者的有效交易信息，为维护双方合法权益提供有力的保障4便捷性第三方支付平台作为独立的一方，与各大电子商务网站以及银行建立合作关系。用户在与第三方支付平台合作的电子商务网站上进行支付活动时，第三方支付平台为用户提供一个统一的支付界面，因此用户无论拥有哪个银行的户头，都可以通过这个界面进行支付，不需要在各个网上银行的界面中来回操作，极大的方便了用户的操作性。5开放性第三方支付平台是一个开放的体系，几乎所有第三方支付平台都能支持全国范围大多数银行的几十种银行卡和全球范围的国际信用卡的在线支付，为用户提供支持银行卡种类最多、覆盖范围最广的支付服务。另外，第三方支付平台现在的支付终端也产生了多元化变化，它不仅支持各种银行卡通过Pc机终端进行支付，雨且还支持手机、电话等各种终端的支付操作。由于第三方支付平台采取多银行、多卡种、多终端支付方式，因而具有极大的开放性。225第三方支付平台支付过程第三方支付平台的工作流程主要分三步：一是将买方货款转拨到第三方平台所在帐户。二是当转账成功后通知卖方发货。三是接收买方确认信息后货款转拨到卖方帐户。一次成功的第三方支付过程包括下面几个环节“o“劲，如图25所示图25第三方支付平台支付过程1买方(网上客户)进入卖方市场(电子商务网站)，浏览自己所需商品的信息。2买方如果觉的某件商品合适，就和卖方达成交易协议。卖方就发送信息通知买方到与其结盟的第三方支付平台进行支付，买方进入第三方支付平台，提交其帐户和密码以及所付款额等信息给第三方支付平台。3第三方支付平台接收到买方提供的银行帐户信息后，进入买方帐户所在银行，对其提供的帐户信息迸行验证。4验证成功后，第三方支付平台将买方所应支付的款额转拨到第三方支付平台所在帐户，对其进行临时保管。5通知与其结盟的电子商务网站，买方货款已到，准备发货。6电子商务网站配送商品到买方手中。127买方收到商品后进行验证，如果满意就发送信息给第三方支付平台，确认商品已经验收，同意付款8第三方支付平台接收到用户确认信息后，将其临时保存的货款转拨给卖方，完成一次完整的支付过程。23技术支持231 JAVA技术分类Sun公司把JAvA分为3个领域应用平台：1针对企业网应用的J2EE(Java 2 Enterprise Edition)J2EE即JAVA2企业版，是一套面向企业应用的体系结构，在建设大型的分布式企业级应用系统，即电子商务应用系统时，J2EE占据了巨大的市场份额。J2EE是J2SE的扩展和延伸，它拥有J2SE中的许多优点，并定义了一系列的服务，API，协议等，适用于开发分布式，多层式，以组件为基础，以WEB为基础的应用程序。整个J2EE的体系是相当庞大的，比较为人所熟悉的技术如JSP，Servlet，EJB等。2针对普通Pc应用的J2SE(Java 2 Standard Edition)J2SE是JAVA的基础，另外两个领域都以这个为基础。J2SE可以分为4个主要的部分：蹦鹏麟与JAVA黼JM即JAVA觑帆JRE是Java2Runtime Environment，即Java运行环境。为了运行JAvA所编写好的程序，我们的平台上必须有JVM和JRE。JDK包括了JRE以及开发过程中所需要的一些工具程序，如javac，java，appletviewer等工具程序。java语言只是J2SE的一部分，除了语言之外，JAVA最重要的就是它提供了API类库，提供像字符串输入处理，数据输入输出，网络组件，使用者窗口接口等功能。我们可以使用这些API作为基础来进行程序的开发，而无须重复开发功能相同的组件。3针对嵌入式设备及消费类电器的J2ME(Java 2 Micro Edition)。J2ME是JAvA平台版本中最小的一个，目的是作为小型数字设备上开发及部署应用程序的平台，针对嵌入式设备的，比如手机，股票机等232 J2EE简介J2EE是使用Java进行企业开发的一套扩展规范，它提供基于组件设计、开发、部署和管理企业应用的解决方案。J2EE规范必须基于J2SE平台，它不仅巩固了标准版中的许多优点，例如“一次编译、随处运行”的跨平台特性、方便高效的数据库提供无缝连接的技术JDBC(Java Data Base Connectivity，Java数据库连接)、能够在Internet应用中确保数据完整性的安全模式以及支持多线程技术等，同时还针对ServletJSP、EJB、JMS、JTSJTA、JcAT和XML等技术提供了全面的支持。J2EE己建立了一套能够使企业级应用开发者缩短软件产品开发周期的标准架构体系。J2EE使用多层的分布式架构模型，模型由组件组成，应用程序的逻辑根据功能划分被封装在各组件中。由于是采用分布式架构，J2EE应用中的大量组件部署在不同的机器中，通常这些机器具有不同的物理地址。J2EE架构一般分为4层：客户层、Web图26 J2EE四层体系结构1。客户层一个J2EE客户层软件可以是基于Web的，也可以是基于Application(应用)的。Web客户端由Web应用层的Web组件动态生成Web页面，主要是HTML文件和XML文件。客户端用户在使用J2EE服务时，无需安装多余软件，只要计算机上装有一个Web浏览器即可，如MS Internet Explorer、NetScape、Mozilla Firefox等等。基于应用程序的客户端，可以为用户展示比Web客户端更为丰富的人性化的图形界面，如JavaAWTSwing开发的图形用户界面。Web客户端通过Web应用层中的JSPServlet进行通信，而应用程序客户端则可以跳过Web组件层直接访问运行在企业组件层的Enterprise JavaBean。2WEB服务器层Web服务器层提供的服务主要依赖于JSP页面或是Servlet。JSP和Servlet都是J2EE应用技术中的重要组成部分。jsP页面由HTML文件、Java程序片段和JSP标签构成，以Servlet的方式执行。Servlet是Web应用开发的基础。它完全用Java语言开发，是Java平台上的CGI技术。它运行于服务器端的J2EE容器中，具有很高的效率，能够动态地加载，动态地生成Web页面。Servlet擅长于流程控制和事务处理，提供的扩展服务功能可为企业定制灵活的开发策略。Web服务器层主流的服务器有：Tomcat、Weblogic等3业务层14企业业务层中主要是负责处理企业的业务流，并且将相关的业务逻辑封装在Enterprise JavaBean中。这一层提供了EJB的开发、部署和运行时管理环境。每一个EJB都是一个可重用的组件。EJB架构定义了3种Enterprise JavaBean类型：会话Bean、实体Bean和消息驱动Bean。其中，会话Bean又分为有状态会话Bean和无状态会话Bean。实体Bean可以进行自行状态管理，也可以交由EJB容器进行管理，两种方式都为了完成实体Bean的持久性。消息驱动Bean始终处于无状态。三种类型的Enterprise JavaBean有着不同的生命周期。4企业信息层企业信息层的特点是有数据库系统的支持。233 J2EE主要技术1Servlet技术Servlet是Web应用开发的基础。它完全用Java语言开发，是Java平台上的CGI技术。它运行于服务器端的J2EE容器中，具有很高的效率，能够动态地加载，动态地生成Web页面。Servlet擅长于流程控制和事务处理，提供的扩展服务功能可为企业定制灵活的开发策略“。2JSP技术JSP技术其本质仍是Servlet，只是两者创建方式不同。JSP文件由HTML文件、Java程序片段和JSP标签构成。JSP将首先通过分析器生成相应的Servlet源文件，然后再对此Servlet文件进行编译运行。JSP与Servlet一样，具有相当高的运行效率。3JMS(Java Message Service)技术Java消息服务。JMS是J2EE平台的重要组成部分。它是一组标准Java应用接口，可以在各种企业通信系统间使用，提供创建、发送、接收、读取消息等服务。为确保Java应用能够和各种消息中间件进行异步通信，JMS定义了一组公共的应用程序接口和相应语法来满足开发需求。通过使用统一的JMs接口集，开发人员可以无须掌握消息产品的使用方法，就来编写和操纵各种消息中间件。JMS支持点对点、发布订阅式的异步消息通信机制，并能够最大限度地提升消息应用的可移植性。4JNDI(Java Naming and Directory Interface)技术J2EE应用程序组件通常分布在不同物理地址的机器上，所以需要一种机制以方便客户端使用者查找和引用J2EE组件及企业系统资源。在J2EE体系中，使用JNDI技术定位各种对象，包括EJB对象、数据库驱动对象、JDBC数据源对象及消息连接对象等。JNDI函数库为应用程序提供了一个统一的接口来完成规范定义的目录操作，如通过对象属性来查找和定位该对象。234 J2EE的主要框架1Struts框架忡171Struts是Apache组织的一个开放源代码项目，Struts框架提供了对开发MVC系15统底层支持，Struts主要采用大多数开发者熟悉的JavaBean，Jsp，Servlet等标准技术。可以说Struts体系结构是州c架构技术的具体体现。如图27所示。图27 Struts框架2EJB框架18锄EJB并不是一个产品。它是Java服务器端服务框架的规范，软件厂商根据它来实现EJB服务器。应用程序开发者可以专注于支持应用所需的商业逻辑，而不用担心周围框架的实现问题。EJB规范详细地解释了一些最小但是必须的服务，如事务，安全和名字等。软件厂商根据这些规范要求以保证一个Enterprise bean能使用某个必需的服务。规范并没有说明厂商如何实现这些服务。这使得通过阅读规范来学习EJB更加困难，因为它允许厂商在不牺牲核心服务的可移植性的前提下来提供一些增强功能。EJB依照特性的不同，目前区分为三种，分别是Session Bean，Entity Bean，以及Message Driven Bean。其中Session Bean与Entity Bean算是EJB的始祖，这两种EJB在EJB规格1x的时候就已经存在了，而Message Driven Bean则出现在EJB 20的规格中。一个EJB实例包含一个HOME接口，REMOTE接口，和一个BEAN类。如图28所示16啪Server图28耵B框架235 J2EE的优势J2EE为搭建具有可伸缩性、灵活性、易维护性的商务系统提供了良好的机制刨。221。1高效的开发J2EE允许公司把一些通用的、很繁琐的服务端任务交给中间件供应商去完成。这样开发人员可以集中精力在如何创建商业逻辑上，相应地缩短了开发时自J。高级中间件供应商提供以下这些复杂的中间件服务：状态管理服务让开发人员写更少的代码，不用关心如何管理状态，这样能够更快地完成程序开发。持续性服务让开发人员不用对数据访问逻辑进行编码就能编写应用程序，能生成更轻巧，与数据库无关的应用程序，这种应用程序更易于开发与维护。2支持异构环境J2EE能够开发部署在异构环境中的可移植程序。基于J2EE的应用程序不依赖任何特定操作系统、中间件、硬件。因此设计合理的基于J2EE的程序只需开发一次就可部署到各种平台。这在典型的异构企业计算环境中是十分关键的。J2EE标准也允许客17户订购与J2EE兼容的第三方的现成的组件，把他们部署到异构环境中，节省了由自己制订整个方案所需的费用。3可伸缩性企业必须要选择一种服务器端平台，这种平台应能提供极佳的可伸缩性去满足那些在他们系统上进行商业运作的大批新客户。基于J2EE平台的应用程序可被部署到各种操作系统上。例如可被部署到高端UNIX与大型机系统，这种系统单机可支持64至256个处理器。(这是NT服务器所望尘莫及的)J2EE领域的供应商提供了更为广泛的负载平衡策略。能消除系统中的瓶颈，允许多台服务器集成部署。这种部署可达数千个处理器，实现可高度伸缩的系统，满足未来商业应用的需要。4稳定的可用性一个服务器端平台必须能全天候运转以满足公司客户、合作伙伴的需要。因为INTERNET是全球化的、无处不在的，即使在夜间按计划停机也可能造成严重损失。若是意外停机，那会有灾难性后果。J2EE部署到可靠的操作环境中，他们支持长期的可用性。一些J2EE部署在WINDOWS环境中，客户也可选择健壮性能更好的操作系统如Sun Solaris、IBM 0S390。最健壮的操作系统可达到99999的可用性或每年只需5分钟停机时间。这是实时性很强商业系统理想的选择lS第三章安全技术研究与系统分析31安全技术311数据加密算法L对称密钥密码算法一-DES算法251对称密码体制是从传统的简单换位代替密码发展而来的，自1977年美国颁布DES密码算法作为美国数据加密标准以来，对称密钥密码体制得到了迅猛发展，得到了世界各国关注和使用。对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类。DES是Data Encryption Standard(数据加密标准)的缩写。它是由IBM公司研制的一种加密算法，美国国家标准局于1977年公布把它作为非机要部门使用的数据加密标准，二十年来，它一直活跃在国际保密通信的舞台上，扮演了十分重要的角色。DES是一个分组加密算法，他以64位为分组对数据加密。同时DES也是一个对称算法：加密和解密用的是同一个算法。它的密匙长度是56位(因为每个第8位都用作奇偶校验)，密匙可以是任意的56位的数，而且可以任意时候改变。其中有极少量的数被认为是弱密匙，但是很容易避开他们。所以保密性依赖于密钥。DES对64(bit)位的明文分组M进行操作，M经过一个初始置换IP置换成m0，将mO明文分成左半部分和右半部分mO=(LO，RO)，各32位长。然后进行16轮完全相同的运算，这些运算被称为函数f，在运算过程中数据与密匙结合。经过16轮后，左，右半部分合在一起经过一个末置换，这样就完成了。在每一轮中，密匙位移位，然后再从密匙的56位中选出48位。通过一个扩展置换将数据的右半部分扩展成48位，并通过一个异或操作替代成新的32位数据，在将其置换换一次。这四步运算构成了函数f。然后，通过另一个异或运算，函数f的输出与左半部分结合，其结果成为新的右半部分，原来的右半部分成为新的左半部分。将该操作重复16次，就实现了。具体如图31所示19l 明文 III P JI I L0 l l R0 Ik，刘 I KI Il。(r列 I Ij iI LI：R0 RI=L00f(R0，KI)Il lII 经过16轮相同运算i lI R16=L15。f(R15，K16) L16=R15J上一P- J密文图31 DES算法证架2不对称型加密算法一一RSA算法也称公用密钥算法，其特点是有二个密钥即公用密钥和私有密钥，只有二者配合使用才能完成加密和解密的全过程(如图32所示)。图32不对称加密算法由于不对称算法拥有二个密钥，因此它特别适用于分布式系统中的数据加密，在Internet中得到了广泛应用。其中公用密钥在网上公布，为数据源对数据加密使用，而用于解密的相应私有密钥，则由数据的收信方妥善保管。3不可逆加密算法一-MD5算法其特征是其加密过程不需要密钥，并且经过加密的数据无法被解密，只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题，适合于分布式网络系统上使用，但是其加密计算工作量大，所以通常用于数据量有限的情形的加密，例如计算机系统中的口令的加密。不可逆算法的代表是MD5算法。MD5的全称是MessageDigest Algorithm 5(信息一摘要算法)，在90年代初由MIT Laboratory for Computer Science和RSA DataSecurity Inc的Ronald LRivest开发出来，经MD2、MD3和MD4发展而来。它的作用是让大容量信息在用数字签名软件签署私人密匙前被”压缩”成一种保密的格式(就是把一个任意长度的字节串变换成一定长的大整数)。不管是MD2、MD4还是MD5，它们都需要获得一个随机长度的信息并产生一个128位的信息摘要。对MD5算法简要的叙述可以为：MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。在MD5算法中，首先需要对信息进行填充，使其字节长度对512求余的结果等于448。因此，信息的字节长度(Bits Length)将被扩展至N512+448，即N64+56个字节(Bytes)，N为一个正整数。填充的方法如下，在信息的后面填充一个l和无数个0，直到满足上面的条件时才停止用0对信息的填充。然后，在这个结果后面附加一个以64位二进制表示的填充前信息长度。经过这两步的处理，现在的信息字节长度=胁512+448+64=(N+1)512，即长度恰好是512的整数倍。这样做的原因是为满足后面处理中对信息长度的要求。MD5中有四个32位被称作链接变量(Chaining Variable)的整数参数，他们分别为：A=Ox01234567，B=Ox89abcdef，C=Oxfedcba98，D=Ox76543210。当设置好这四个链接变量后，就开始进入算法的四轮循环运算。循环的次数是信息中2I512位信息分组的数目。将上面四个链接变量复制到另外四个变量中：A到a，B到b，C到c，D到d。主循环有四轮(MD4只有三轮)，每轮循环都很相似。第一轮进行16次操作。每次操作对a、b、c和d中的其中三个作一次非线性函数运算，然后将所得结果加上第四个变量，文本的一个子分组和一个常数。再将所得结果向右环移一个不定的数，并加上a、b、c或d中之一。最后用该结果取代a、b、c或d中之一。以一下是每次操作中用到的四个非线性函数(每轮一个)。F(x，Y，z)=(xY)l(x)z)G(x，Y，z)=(X&Z)l(Y(z)H(X，Y，Z)=XYZI(x，Y，z)=Y(xI(z)(是与，I是或，“是非，是异或)这四个函数的说明：如果x、Y和z的对应位是独立和均匀的，那么结果的每一位也应是独立和均匀的。F是一个逐位运算的函数。即，如果X，那么Y，否则Z。函数H是逐位奇偶操作符。假设Mj表示消息的第j个子分组(从0到15)FF(a，b，c，d，Mj，s，ti)表示a-b+(a+(F(b，c，d)+Mj+ti)(；GG(a，b，c，d，Mj，s，ti)表示a：b+(a+(G(b，c，d)+Mj+ti)：聃(a，b，c，d，Mj，s，ti)表示a=b+(a+(H(b，c，d)+Mj+ti)；II(a，b，c，d，Mj，S，ti)表示a=b+(a+(I(b，c，d)+Mj+ti)：这四轮(64步)是：第一轮FF(a，b，c，d，MO，7，Oxd76aa478)FF(d，a，b，c，M1，12，OxeSc7b756)FF(c，d，a，b，M2，17，Ox242070db)FF(b，C，d，a，M3，22，Oxclbdceee)FF(a，b，c，d，M4，7，Oxf57cOfaf)FF(d，a，b，c，M5，12，Ox4787c62a)FF(c，d，a，b，M6，17，0xa8304613)FF(b，C，d，a，M7。22，Oxfd469501)FF(a，b，c，d，M8，7，Ox698098d8)FF(d，a，b，c，M9，12，Ox8b44f7af)FF(c，d，a，b，MIO，17，Oxffff5bbl)FF(b，c，d，a，M11，22，Ox895cd7be)FF(a，b，c，d，M12，7，Ox6b901122)FF(d，a，b，c，M13，12，Oxfd987193)FF(c，d，fl，b，M14，17，Oxa679438e)FF(b，c，d，a，M15，22，Ox49b40821)第二轮GG(a，b，C，d，M1，5，Oxf61e2562)GG(d，a，b，c，M6，9，Oxc04019340)GG(c，d，a，b，M1 I，14，Ox265e5a51)C-G(b，c，d，a，MO，20，Oxe9b6c7aa)GG(a，b，c，d，M5，5，Oxd62f105d)GG(d，a，b，c，MIO，9，0x02441453)GG(C，d，a，b，M15，14，Oxd8ale681)GG(b，c，d，a，l4。20，Oxe7d3fbcS)GG(a，b，c，d，M9，5，Ox2lelcde6)GG(d，a，b，c，M14，9，Oxc33707d6)GG(c，d，a，b，M3，14，Oxf4d50d87)GG(b，C，d，8，M8，20，Ox455a14ed)GG(a，b，c，d，M13，5，Oxa9e3e905)GG(d，a，b，c，M2，9，Oxfcefa318)GG(C，d，a，b，M7，14，Ox676f02d9)GG(b，c，d，a，M12，20，Ox8d2a4c8a)第三轮HH(a，b，c，d，M5，4，Oxfffa3942)HH(d，a，b，C，M8，11，0x877if681)HH(c，d，a，b，M11，16，Ox6d9d6122)HH(b，c，d，a，M14，23，Oxfde5380c)唧(a，b，c，d，M1，4，Oxa4beea44)哪(d，a，b，c，姒。11，Ox4bdecfa9)唧(c，d，a，b，M7，16，Oxf6bb4b60)删(b，c，d，fl，MIO，23，Oxbebfbc70)HH(a，b，C，d，M13，4，Ox289b7ec6)fIH(d，a，b，c，MO，11，Oxeaal27fa)眦(c，d，fl，b，M3，16，Oxd4ef3085)HH(b，c，d，a，M6，23，0x0488Id05)删(a，b，C，d，M9，4，Oxd9d4d039)删(d，a，b，c，M12，11，Oxe6db99e5)唧(c，d，a，b，M15，16，Oxlfa27cf8)HH(b，c，d，a，M2，23，Oxc4ac5665)第四轮II(a，b，c，d，Mo，6，0xf4292244)II(d，a，b，c，M7，10，Ox432aff97)II(c，d，a，b，M14，15，Oxab9423a7)II(b，c，d，a，M5，21，Oxfc93a039)II(a，b，e，d，M12，6，Ox655b59c3)II(d，a，b，c，M3，10，Ox8fOccc92)II(c，d，a，b，WIO，15，Oxffeff47d)II(b，e，d，a，M1，21，Ox85845ddl)II(a，b，c，d，M8，6，0x6fa87e4f)II(d，a，b，e，M15，10，Oxfe2ce6eO)II(c，d，a，b，M6，15，0xa3014314)II(b，e，d，a，M13，21，Ox4e081lal)II(a，b，c，d，M4，6，Oxf7537e82)II(d，a，b，c，M1 1，10，Oxbd3af235)II(c，d，a，b，M2，15，Ox2ad7d2bb)II(b，c，d，a，M9，21，Oxeb86d391)常数ti可以如下选择：在第i步中，ti是4294967296十abs(sin(i)的整数部分，i的单位是弧度。(4294967296等于2的32次方)所有这些完成之后，将A、B、C、D分别加上a、b、c、d。然后用下一分组数据继续运行算法，最后的输出是A、B、C和D的级联。312认证技术1数字摘要(digital digest)这一加密方法亦称安全Hash编码法，由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文摘要成一串128bit的密文，这一串密文亦称为数字指纹(Finger Print)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是真身的指纹了。2数字签名(digital signature)数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。在书面文件上签名是确认文件的一种手段，签名的作用有两点0，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。3数字时间戳(digital timestamp)交易文件中，时间是十分重要的信息。在书面合同中，文件签署的同期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网上安全服务项目，由专门的机构提供。时间戳(timestamp)是一个经加密后形成的凭证文档，它包括三个部分：(1)需加时间戳的文件的摘要(digest)。(2)DTS收到文件的日期和时问。(3)DTS的数字签名。(4)数字证书(digital certificate。digital ID)数字证书又称为数字凭证，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。数字凭证有三种类型：(1)个人凭证(Personal Digital ID)(2)企业(服务器)凭证(Server ID)(3)软件(开发者)凭证(Developer ID)上述三类凭证中前二类是常用的凭证，第三类则用于较特殊的场合，大部分认证中心提供前两类凭证。4身份认证技术倥融8为解决Internet的安全问题，世界各国对其进行了多年的研究，初步形成了一套完整的Internet安全解决方案，即目前被广泛采用的PKl(Public Key Infrastructure公钥基础设施)体系结构。PKI体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起，在Internet网上验证用户的身份，PKI体系结构把公钥密码和对称密码结合起来，在Internet网上实现密钥的自动管理，保证网上数据的机密性、完整性。在电子交易中，无论是数字时间戳服务(DTS)还是数字证书(Digital ID)的发放，都不是靠交易的自己能完成的，而需要有一个具有权威性和公正性的第三方(thirdparty)来完成。认证中心(certificate Authority)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(Certification Practice Statement)来实施服务操作。(1)认证系统的基本原理利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性，可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为cA，cA为用户发放电子证书，用户之问(比如网银服务器和某客户之间)利用证书来保证信息安全性和双方身份的合法性。(2)认证系统结构整个系统是一个大的网络环境，系统从功能上基本可以划分为CA、RA和WebPllblisher。核心系统cA放在一个单独的封闭空间中，为了保证运行的绝对安全，其人员及制度都有严格的规定，并且系统设计为一离线网络。CA的功能是在收到来自队的证书请求时，颁发证书。一般的个人证书发放过程都是自动进行，无须人工干预。证书的登记机构Register Authority，简称RA，分散在各个网上银行的地区中心。RA与网银中心有机结合，接受客户申请，并审批申请，把证书正式请求通过银行企业内部网发送给CA中心。RA与cA双方的通信报文也通过RSA进行加密，确保安全。系统的分布式结构适于新业务网点的开设，具有较好的扩充性。通信协议为TCPIP。证书的公布系统Web Publisher，简称wP，置于Internet网上，是普通用户和cA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由cA颁发之后，cA用ElIlail通知用户，然后用户须用浏览器从这里下载证书。证书链服务(有时也称交叉认证)是一个cA扩展其信任范围或被认可范围的一种实现机制。如果企业或机构已经建立了自己的cA系统，通过第三方认证中心对该机构或企业的cA签发CA证书，能够使得该企业或机构的cA发放的证书被所有信任第三方认证中心的浏览器、邮件客户所信任。(3)中国金融认证中心CFCA的建设情况中国对电子商务的发展也给予了应有的重视。中国金融认证中心CFcA(ChinaFinancial Certificate Authority)。已于2000年6月29日开始对社会各界提供证书服务，系统进入运行状态。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构，为参与电子商务各方的各种认证需求提供证书服务，建立彼此的信任机制，为全国范围内的电子商务及网上银行等网上支付业务提供多种模式的认证服务，在不远的将来实现与国外CA的交叉认证。313 SSL协议技术1SSL协议(Secure Sockets Layer)安全套接层协议一面向连接的协议， SSL协议主要是使用公开密钥体制和X509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式。SSL协议在应用层收发数据前，协商加密算法、连接密钥并认证通信双方，从而为应用层提供了安全的传输通道：在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。SSL协议独立于应用层协议，因此，在电子交易中被用来安全传送信用卡号码。中国目前多家银行均采用SSL协议，从目前实际使用的情况来看，SSL还是人们最信赖的协议。2SSL协议原理与分析SSL是工作在网络层与会话层之间的协议，它在TCPIP和HTIP之间增加了一个加密层，主要是使用公开密钥体制和X509数字证书技术保护信息传输的机密性和完整性，但是不能保证信息的不可抵赖性，常以WEB SERVER方式进行点对点之间的信息传输。SSL协议是建立在TCP层协议上的一个安全性协议，其加密数据以不可读的格式在网络上传输，并向基于TCPIP的客户端和服务器提供信息完整性及信息机密性。在应用程序处理信息数据交换前，SSL使用数字证书交换握手信息提供对方的身份认证性，并交换SSL初始握手信息实现有关安全特性的审查，在SSL握手信息中采用了DES、MD5等加密技术来实现机密和信息数据的完整性，使用X509的数字证书进行鉴别。SSL协议通过信息送发者和信息接收者来建立TCP连接后，协商建立安全的通信环境，其中包括身份认证(通过对对方证书的验证来实现)、密码算法和密钥的协商、MAC秘密的协商等建立安全通信环境后，便可以进行SSL数据的收发；一旦建立了安全连接，网上支付系统通过在SSL连接上传输信用卡卡号的方式来构建，绝大部分的WEB浏览器和WEB服务器内置了SSL协议。SSL协议与应用层协议无关，并在应用层协议通信前就完成了加密算法、透信密钥的协商以及服务器的认证工作，离层的应用协议(http、ftp、telnet等)可以透明地建立在SSL协议上，应用层协议所传送的数据都会被加密，从而保证了通信和交易的私密性和安全性。由于SSL的记录协议建立在可靠的TCP之上，为高层协议提供封装、压缩、加密等基本功能的支持，SSL的握手协议建立在记录协议上，用于在实际的数据传输开始前，通信双方进行身份验证、协商加密算法、交换加密密钥等。为了向客户证明身份，服务器提供由cA发放的证书，通过对cA在该证书公钥的签名认证可验证该服务器的真实性，验证后，浏览器中的SSL随机产生一个数作为传输密钥，用服务器证书中已经验证的服务器公钥加密后传给服务器，于是就开始了基于http的通信。3SSL握手协议SSL握手协议被封装在记录协议中，该协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建立SSL连接时服务器与客户机交换一系列消息。这些消息交换能够实现如下操作：(1)客户机认证服务器；(2)允许客户机与服务器选择双方都支持的密码算法；(3)可选择的服务器认证客户；(4)使用公钥加密技术生成共享密钥；(5)建立加密SSL连接。SSL握手协议报文头包括三个字段：类型(1字节)：该字段指明使用的SSL握手协议报文类型。SSL握手协议报文包括lO种类型。报文类型见图33。长度(3字节)：以字节为单位的报文长度。内容(1字节)：使用的报文的有关参数。 报文类型 参数helo_request 空client hello 版本、随机数、会话ID、密文族、压缩方法server_hello 版本，随机数、会话ID、密文族、压缩方法certificate x509v3证书链server-key_exchange 参数、签名certificate_request 类型、授权server done 空certificate_verify 签名client_key_exchange 参数、签名finished Hash值图33 SSL握手协议报文SSL握手协议的过程如下：客户 服务器2(4)注：带的传输是可选的，或者与站点相关的，并不总是发送的报文。图34握手协议的过程(1)建立安全能力。客户机向服务器发送clienthelIo报文，服务器向客户机回应server_hello报文，建立如下的安全属性：协议版本，会话ID，密文族，压缩方法，同时生成并交换用于防止重放攻击的随机数。密文族参数包括密钥交换方法(DeffieHellman密钥交换算法、基于RSA的密钥交换和另一种实现在Fortezza chip上的密钥交换)、加密算法(DES、RC4、RC2、3DES等)、MAC算法(MD5或sHA-1)、加密类型(流或分组)等内容。(2)认证服务器和密钥交换。在hello报文之后，如果服务器需要被认证，服务器将发送其证书。如果需要，服务器还要发送server_keyexchange。然后，服务器可以向客户发送certificate_request请求证书。服务器总是发送server_hello done报文，直到服务器的helIo阶段结束。(3)认证客户和密钥交换。客户一旦收到服务器的server helIo done报文，客户将检查服务器证书的合法性(如果服务器要求)，如果服务器向客户请求了证书，客户必须发送客户证书，然后发送clientkey exchange报文，报文的内容依赖于client 与 定义的密钥交换的类型。最后，客户可能发送_helIoserver_helloclient verify报文来校验客户发送的证书，这个报文只能在具有签名作用的客户证书之后发送。(4)结束。客户发送changecipherspec报文并将挂起的CipherSpec复制到当前的CipherSpec。这个报文使用的是改变密码格式协议。然后，客户在新的算法、对称密钥和MAC秘密之下立即发送finished报文。finished报文验证密钥交换和鉴别过程是成功的。服务器对这两个报文响应，发送自己的changecipher_spec报文、finished报文。握手结束，客户与服务器可以发送应用层数据了。当客户从服务器端传送的证书中获得相关信息时，需要检查以下内容来完成对服务器的认证：时间是否在证书的合法期限内；签发证书的机关是否客户端信任的；签发证书的公钥是否符合签发者的数字签名；证书中的服务器域名是否符合服务器自己真正的域名。服务器被验证成功后，客户继续进行握手过程。同样的，服务器从客户传送的证书中获得相关信息，认证客户的身份，需要检查：用户的公钥是否符合用户的数字签名；时间是否在证书的合法期限内；签发证书的机关是否服务器信任的；用户的证书是否被列在服务器的LDAP用户的信息中；得到验证的用户是否仍然有权限访问请求的服务器资源。4SET协议(Secure Electronic Transaction)安全电子交易一一专门为电子商务而设计的协议，但仍然不能解决电子商务所遇到全部问题，电子商务在提供机遇和便利的同时，也面临着一个最大的挑战，即交易的安全问题。在网上购物的环境中，持卡人希望在交易中保密自己的帐户信息，使之不被人盗用；商家则希望客户的定单不可抵赖，并且，在交易过程中，交易各方都希望验明其他方的身份，以防止被欺骗。针对这种情况，由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构，共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准，这就是安全电子交易(SET)。它采用公钥密码体制和X509数字证书标准，主要应用于保障网上购物信息的安全性。由于SET提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点，因此它成为了目前公认的信用卡借记卡的网上交易的国际安全标准。SET的局限性：SET是专门为电子商务而设计的协议，虽然它在很多方面优于SSL协议，但仍然不能解决电子商务所遇到的全部问题。32系统设计目标电子商务力图使商务活动中的信息流、资会流和物流电子化，其中资会流的电子化一电子支付，是电子商务活动最重要的价值体现。传统的支付方式碰到了各种安全问题，如假币、虚假签名等，而要在毫无安全可一言的因特网上实现电子支付，则存在更多的安全问题。电子形式的文档极易被复制，一旦私钥泄密，数字签名也很容易再生，甚至传统支付手段中提供的隐私保护在电子支付中也是个很突出的需要解决的问题。因此根掘现实中需要解决的问题，本系统的设计目标主要有以下几个方面：1保证交易各方身份的合法性在网络社会罩，如何确定交易的一方确实是他所宣称的身份，这需要一个可信的第三方机构通过颁发数字证书来证明，第三方机构使用x5的数字签名和数字证书实现对各方的认证，以证实身份的合法性。2保护数据的机密性为了保证敏感数据不被他人非法获取。为了完成网上支付，买卖双方需要给出自己的敏感信息，如银行账号，密码等。显然任何一方都不希望这些信息被他人窃取。另外一些与当事人有关的业务数据也不希望被他人非法获得。因此需要使用加密算法对业务进行加密，以防止未被授权的非法第三者获取消息的真J下含义。3保持数据的完整性用户希肇重要数据在传送过程中不被他人非法篡改，这是一项很重要的需求。因此使用消息摘要算法就可以确认业务的完整性。4保证支付不可否认性如何确保信息发送方不能否认已经发送的信息，同时接收方不能否认已经收到了信息，如买方不能否认己经发出某条定单，而卖方不能否认己经收