【文章內容簡介】 ............................... 32 1．開發(fā)環(huán)境的搭建 ................................................................................................. 32 2．數字證書常見格式與協(xié)議介紹 ............................................................................ 32 2 天津大學 2020屆本科生畢業(yè)設計（論文） 1 第一章 緒論 選題背景 隨著計算機網絡與因特網技術的發(fā)展與普及，電子商務已經逐步進入人們的日常生活，網上銀行和網上商城的出現，悄悄地改變人們的購物方式、消費方式和生活觀念，更方便了人們的日常生活。 調查顯示，截至 2020 年 6月，我國網民規(guī)模達到 億，較 2020 年底增加3600 萬人。互聯(lián)網普及率攀升至 %，較 2020 年底提高 個百分點。 互聯(lián)網在我國繼續(xù)呈現飛速發(fā)展的趨勢。 網上購物的優(yōu)點 ： 第一，可以在家 逛商店 ，訂貨不受時間的限制 ：現在的時尚男女，由于白天工作的繁忙，沒有更多的時間去逛商店，所以網上購物成了首選?？梢栽诰W上盡情的挑選，也不受時間的限制。 第二，獲得較大量的商品信息，可以買到當地沒有的商品：在網上，可以慢慢的挑選，也可以買到當地沒有的商品。 第三，網上支付較傳統(tǒng)拿現金支付更加安全，可避免現金丟失或遭到搶劫：你可以通 過網上銀行方便又安全 ，可以避免去商場購物帶 大把現金，又不安全。 第四，從訂貨、買貨到貨物上門無需親臨現場，既省時又省力：在家里就可以購物，快遞送貨上門。 第五，由于網上商品省去租店面、召雇員、儲存、保管等一系 列費用，總的來說其價格較一般商場的同類商品更便宜。不管是化妝品、服裝， 還 是其他生活用品的價格都比一般商場或實體店賣的低得多。 2020 年 3 月 4 日，美團網的正式上線，使得團購這一網購模式迅速蔓延，短短幾個月的時間，就有了成百上千家團購網站出現。團購的出現 使得 網購的概念在百姓中 更加 普及 。 目前影響網購 發(fā)展 的最大障礙之一是消費者擔心他們的信用卡等信心泄密。由于電子商務中的交易雙方互不見面，將會產生許多傳統(tǒng)商務模式中不會出現的安全問題，如假冒、否認、欺詐、泄密、黑客攻擊等。尤其在支付環(huán)節(jié)，要求用戶輸入自己的銀行卡密 碼等保密信息，這些信息，一旦被他人截獲，將對使用者的財產安全造成很大隱患。所以對網上購物支付環(huán)節(jié)的安全性必須有一種完善的保護機制。 當前技術 狀況 在近年來發(fā)表的多個安全電子交易協(xié)議或標準中，均采納了一些常用的安全天津大學 2020屆本科生畢業(yè)設計（論文） 2 電子交易的方法和手段。 加密技術 采用密碼技術對信息加密，是最常用的安全交易手段。在電子商務中獲得廣泛應用的加密技術有以下兩種： 1. 公共密鑰和私用密鑰（ public key and private key） 這一加密方法亦稱為 RSA 編碼法，是由 Rivest、 Shamir 和 Adlernan 三人所研究發(fā)明的。它利用兩個很大的質數相乘所產生的乘積來加密。這兩個質數無論哪一個先與原文件編碼相乘，對文件加密，均可由另一個質數再相乘來解密。但要用一個質數來求出另一個質數，則是十分困難的。因此將這一對質數稱為密鑰對 (Key Pair)。在加密應用時，某個用戶總是將一個密鑰公開，讓需發(fā)信的人員將信息用其公共密鑰加密后發(fā)給該用戶，而一旦信息加密后，只有用該用戶一個人知道的私用密鑰才能解密。具有數字憑證身份的人員的公共密鑰可在網上查到，亦可在請對方發(fā)信息時主動將公共密鑰傳給對方，這樣保證在 Inter 上傳輸信息的保密和安全。 2. 數字摘要 (digital digest) 這一加密方法亦稱安全 Hash 編碼法（ SHA:Secure Hash Algorithm）或 MD5(MD Standards for Message Digest)，由 Ron Rivest 所設計。該編碼法采用單向Hash 函數將需加密的明文“摘要”成一串 128bit 的密文，這一串密文亦稱為數字指紋 (Finger Print)，它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這摘 要便可成為驗證明文是否是“真身”的“指紋”了。 上述兩種方法可結合起來使用，數字簽名就是上述兩法結合使用的實例。 簡單的安全消息系統(tǒng) (1)消息發(fā)送過程 天津大學 2020屆本科生畢業(yè)設計（論文） 3 圖 11 消息發(fā)送示意圖 1. A 計算出消息摘要。 2. A 對消息摘要進行簽名并將產生的數字簽名及其證書一起附在消息上。 3. A 產生一個隨機回話密鑰，使用它來加密經過簽名的消息。 4. A 用 B 的公鑰對會話進行加密并將處理過的會話密鑰附到消息上，將消息發(fā)送給 b。 (2)消息接收過程 圖 12 消息接收示意圖 1. B 使用其私鑰對會話進行解密。 2. B 使 用會話密鑰對消息，即證書和數字簽名進行解密。 3. B 自己計算出消息的摘要值。 4. B 對 a 的證書進行驗證并取出 a的公鑰。 天津大學 2020屆本科生畢業(yè)設計（論文） 4 5. B 使用 a的公鑰來驗證 a 的數字簽名。 交易協(xié)議 電子商戶的運行需要一套完整的安全協(xié)議。目前比較成熟的協(xié)議有SET(secure electronic transaction), SSL(secure sockets layer)和 3D等。 (1) SET 協(xié)議 SET 安全電子交易協(xié)議是一種基于消息流的協(xié)議，用以保證在開放網絡環(huán)境下電子商務的電子支付交易的安全性。 SET 協(xié)議中使用了公開密鑰 RSA、對稱密鑰 DES、數字簽名、數字信封、雙重簽名、數字證書等安全技術。 SET 要實現的目標是：實現因特網環(huán)境安全電子交易；保證信息在互聯(lián)網上的安全傳輸；保證網上傳輸的數據不被黑客或內部人員竊取；實現訂單信息和個人帳號信息的分離（如將包括持卡人帳號信息的訂單發(fā)送到商家時，商家只能看到訂貨信息而看不到持卡人的賬號信息。同樣，這一信息傳到銀行時，銀行只能看到賬號信息而看不到訂貨信息）；持卡人和商家的身份認證，以確定通訊雙方身份的真實性。 SET是一個基于可信的第三方認證中心 CA（ certificate authority）的安全電子交易協(xié)議。 在 SET系統(tǒng)中，完成一筆安全電子商務交易，通常包含 6個主要的參與方，分別是持卡人、網絡商家、發(fā)卡銀行、收單銀行、支付網關及認證中心，各參與方之間有著嚴謹的信賴關系，各參與方的主要功能與作用如下。 持卡人：持卡人通過 WEB 瀏覽器或客戶端軟件直接與網絡商家互動購物。第一次上網購物前，須向認證中心 CA 注冊登記，取得數字證書后，才可以使用經過 SET協(xié)議認證的電子錢包以及其他電子憑證進行交易。 網絡商家：提供網絡商店給消費者；首先須與信用卡收單銀行簽訂協(xié)議，向認證中心申請到數字證書，其次 必須使用經過 SET 協(xié)議認證過的商家服務器軟件，負責消費者在網上付款的核查。 發(fā)卡銀行：為持卡人建立一個銀行賬戶，并發(fā)放支付卡；負責持卡人的身份認證，同時從事發(fā)放數字證書的各項審查工作；持卡人數字證書的簽發(fā)既可以由發(fā)卡銀行發(fā)放，也可以由專業(yè)的認證中心 CA 簽發(fā)。發(fā)卡銀行不屬于安全電子商戶交易的直接組成部分，但卻是授權與清算操作的主要參與方。 收單銀行：為商家建立一個銀行賬戶，并且處理支付卡的授權和付款事宜。同樣，收單銀行也不屬于安全電子交易的直接組成部分。 支付網關：是由收單銀行或收單銀行指定的第三方運行的一套 設備，用來處理商家的付款信息以及持卡人發(fā)出的付款指令，將網絡商家傳來的 SET 報文轉化天津大學 2020屆本科生畢業(yè)設計（論文） 5 為原信用卡信息，處理支付卡的授權和支付。 認證中心 CA: 為每個交易參與方生成一個數字證書做為交易方身份的驗證工具。 加密技術和數字證書是 SET 的核心技術，主要有對稱加密、非對稱加密、報文摘要、數字簽名、數字信封、雙重簽名、數字證書。這些技術為電子交易過程提供參與者的身份認證、交易信息的完整性、交易信息的機密性、和交易過程的不可否認性。 雖然通過加密技術能保證信息的隱蔽性，防止泄密，但被加密后的數據信息仍有可能被篡改或被人部 分刪除，使得信息的接收者得到一個錯誤的信息。報文摘要技術通過同時發(fā)一個消息的簡單摘要給接收者，供接收者與消息本身對比，如果相符則消息正確，未被篡改。報文摘要是一個唯一對應一個消息或文本的數值，通過單向哈希函數作用消息而產生一個固定長度的數值。 數字信封 主要目的是保證數據的機密性。 SET協(xié)議把對稱密鑰體制和公開密鑰體制完美的結合在一起，充分利用了 DES 效率高速度快和 RSA安全性高且密鑰管理簡便的優(yōu)點。在 SET 中，當要將數據機密傳送時，發(fā)送者首先使用隨機產生的 DES 對稱密鑰來加密要發(fā)送的信息。然后將此 DES 對稱 密鑰用接收者的公鑰加密，形成消息的數字信封，將其和采用對稱密鑰加密的消息一起發(fā)送給接收者。 在安全電子交易過程中，持卡人、商家和銀行三者之間，持卡人的訂單信息和付款信息和付款只是是互相對應的，商家只有在確認了持卡人的訂單信息對應的付款指示是真實有效的情況下，才可能按訂單信息發(fā)貨；同樣，銀行只有在確認持卡人的付款指示對應的訂單信息是真實有效的情況下，才可能按商家要求進行支付授權。因此，訂單信息和付款指示必須一起發(fā)送給商家和銀行。但為了預防商家在驗證持卡人付款指示時盜用持卡人的信用卡賬號，以及銀行在驗證持卡人訂 單信息時，跟蹤持卡人的交易活動，在 SET中采用了雙重簽名技術。 一個雙重簽名是通過計算兩個消息的報文摘要產生的，并將兩個摘要連接在一起再用 持卡人的私鑰對報文摘要加密。這樣，通過雙重簽名，接收者只能看到他應該看到的消息，對于不應該看到的消息則以報文摘要的形式出現。 SET 協(xié)議流程： 1. 初始請求 持卡人在自己的個人計算機上通過瀏覽器在網絡商家的網站上瀏覽所展示的商品，根據商品的功能、外觀和優(yōu)惠等屬性，選擇想購買的商品。填寫相應的訂單。選擇 SET作為其付款協(xié)議，進行付款。激活支付軟件，向商家發(fā)送初始請求。 2. 初始應答 天津大學 2020屆本科生畢業(yè)設計（論文） 6 商家接收到用戶的支付初始請求后，產生初始應答消息。用單向哈希函數對初始應答生成報文摘要。用商家的私鑰對初始應答進行數字簽名。將商家證書、支付網關證書、初始應答、初始應答報文摘要的數字簽名發(fā)送給持卡人。 3. 購物請求 持卡人接收初始應答，驗證商家和支付網關的證書。用商家的公鑰解開初始應答報文摘要的數字簽名，得到初始應答報文摘要。用單向哈希函數對初始應答產生相應的報文摘要，對比，如相同則表示數據在途中未被篡改，否則丟棄。檢查商家傳送過來的購買項目和價錢正確無誤，向商家提出購物請求。 4．網 絡商家發(fā)出支付授權請求 商家接收持卡人的購物請求，驗證持卡人的數字簽名。用商家的私鑰解密訂單信息，并進行雙重簽名比較。產生 支付授權請求，將支付授權請求用哈希算法生成報文摘要，并簽名，用 隨機的對稱密鑰對支付授權請求機密形成密文，再用支付網關的公鑰形成支付網關數字信封。最后將商家證書、支付請求密文、商家數字簽名、支付網關數字信封及持卡人通過商家轉發(fā)的雙重簽名、訂單摘要、加密后的付款指示、支付網關數字信封、持卡人證書發(fā)往支付網關。 5. 支付網關發(fā)出支付授權請求 支付網關收到商家發(fā)出的支付授權請求后，驗證商家證 書，驗證商家簽名。用私鑰打開支付網關數字信封，獲取對稱密鑰，解開支付授權請求報文。用哈希算法作用于支付請求，形成報文摘要，與商家發(fā)來的支付請求相比較。支付網關驗證持卡人的證書。驗證來自商家的交易標識和來自持卡人的付款指示的交易標識是否匹配。通過銀行專業(yè)網，向持卡人所屬的發(fā)卡銀行發(fā)送支付授權請求。 6. 發(fā)卡銀行的支付授權應答 發(fā)卡銀行在收到支付網關的支付授權請求后，檢查持卡人的信用卡是否有效。向支付網關發(fā)送支付授權應答。 7. 支付網關向商家發(fā)送支付授權應答 支付網關產生支付授權應答信息，它包括發(fā)卡銀行 的相應信息和支付網關的簽名證書等，并將其生成數字信封，作為支付授權應答信息發(fā)給商家。 8. 向持卡人發(fā)送購物應答 商家驗證支付網關證書，解密支付授權應答，驗證支付網關的數字簽名，用天津大學 2020屆本科生畢業(yè)設計（論文） 7 私鑰打開數字信封，得到對稱密鑰，用此密鑰解開支付授權應答，產生支付授權應答報文摘要。用網關公鑰解開其數字簽名，得到原始支付授權應答報文摘要，并與新產生的摘要比較。商家產生購物應答，對購物應答生成報文摘要，并簽名。將商家證書，購物應答，數字簽名一起發(fā)往持卡人。 9. 持卡人接收并處理購物應答 持卡人收到購物應答后，驗證商家信息。 驗證通過后，對購物應答產生報文摘要，樣商家公鑰解開數字簽名，得到原始報文摘要，與新產生的報文摘要比較。SET 軟件記錄交易日志。持卡人等待商家發(fā)貨。 (2) SSL 協(xié)議