【文章內(nèi)容簡介】 ............................... 32 1．開發(fā)環(huán)境的搭建 ................................................................................................. 32 2．?dāng)?shù)字證書常見格式與協(xié)議介紹 ............................................................................ 32 2 天津大學(xué) 2020屆本科生畢業(yè)設(shè)計（論文） 1 第一章 緒論 選題背景 隨著計算機網(wǎng)絡(luò)與因特網(wǎng)技術(shù)的發(fā)展與普及，電子商務(wù)已經(jīng)逐步進入人們的日常生活，網(wǎng)上銀行和網(wǎng)上商城的出現(xiàn)，悄悄地改變?nèi)藗兊馁徫锓绞?、消費方式和生活觀念，更方便了人們的日常生活。 調(diào)查顯示，截至 2020 年 6月，我國網(wǎng)民規(guī)模達到 億，較 2020 年底增加3600 萬人?；ヂ?lián)網(wǎng)普及率攀升至 %，較 2020 年底提高 個百分點。 互聯(lián)網(wǎng)在我國繼續(xù)呈現(xiàn)飛速發(fā)展的趨勢。 網(wǎng)上購物的優(yōu)點 ： 第一，可以在家 逛商店 ，訂貨不受時間的限制 ：現(xiàn)在的時尚男女，由于白天工作的繁忙，沒有更多的時間去逛商店，所以網(wǎng)上購物成了首選?？梢栽诰W(wǎng)上盡情的挑選，也不受時間的限制。 第二，獲得較大量的商品信息，可以買到當(dāng)?shù)貨]有的商品：在網(wǎng)上，可以慢慢的挑選，也可以買到當(dāng)?shù)貨]有的商品。 第三，網(wǎng)上支付較傳統(tǒng)拿現(xiàn)金支付更加安全，可避免現(xiàn)金丟失或遭到搶劫：你可以通 過網(wǎng)上銀行方便又安全 ，可以避免去商場購物帶 大把現(xiàn)金，又不安全。 第四，從訂貨、買貨到貨物上門無需親臨現(xiàn)場，既省時又省力：在家里就可以購物，快遞送貨上門。 第五，由于網(wǎng)上商品省去租店面、召雇員、儲存、保管等一系 列費用，總的來說其價格較一般商場的同類商品更便宜。不管是化妝品、服裝， 還 是其他生活用品的價格都比一般商場或?qū)嶓w店賣的低得多。 2020 年 3 月 4 日，美團網(wǎng)的正式上線，使得團購這一網(wǎng)購模式迅速蔓延，短短幾個月的時間，就有了成百上千家團購網(wǎng)站出現(xiàn)。團購的出現(xiàn) 使得 網(wǎng)購的概念在百姓中 更加 普及 。 目前影響網(wǎng)購 發(fā)展 的最大障礙之一是消費者擔(dān)心他們的信用卡等信心泄密。由于電子商務(wù)中的交易雙方互不見面，將會產(chǎn)生許多傳統(tǒng)商務(wù)模式中不會出現(xiàn)的安全問題，如假冒、否認、欺詐、泄密、黑客攻擊等。尤其在支付環(huán)節(jié)，要求用戶輸入自己的銀行卡密 碼等保密信息，這些信息，一旦被他人截獲，將對使用者的財產(chǎn)安全造成很大隱患。所以對網(wǎng)上購物支付環(huán)節(jié)的安全性必須有一種完善的保護機制。 當(dāng)前技術(shù) 狀況 在近年來發(fā)表的多個安全電子交易協(xié)議或標(biāo)準(zhǔn)中，均采納了一些常用的安全天津大學(xué) 2020屆本科生畢業(yè)設(shè)計（論文） 2 電子交易的方法和手段。 加密技術(shù) 采用密碼技術(shù)對信息加密，是最常用的安全交易手段。在電子商務(wù)中獲得廣泛應(yīng)用的加密技術(shù)有以下兩種： 1. 公共密鑰和私用密鑰（ public key and private key） 這一加密方法亦稱為 RSA 編碼法，是由 Rivest、 Shamir 和 Adlernan 三人所研究發(fā)明的。它利用兩個很大的質(zhì)數(shù)相乘所產(chǎn)生的乘積來加密。這兩個質(zhì)數(shù)無論哪一個先與原文件編碼相乘，對文件加密，均可由另一個質(zhì)數(shù)再相乘來解密。但要用一個質(zhì)數(shù)來求出另一個質(zhì)數(shù)，則是十分困難的。因此將這一對質(zhì)數(shù)稱為密鑰對 (Key Pair)。在加密應(yīng)用時，某個用戶總是將一個密鑰公開，讓需發(fā)信的人員將信息用其公共密鑰加密后發(fā)給該用戶，而一旦信息加密后，只有用該用戶一個人知道的私用密鑰才能解密。具有數(shù)字憑證身份的人員的公共密鑰可在網(wǎng)上查到，亦可在請對方發(fā)信息時主動將公共密鑰傳給對方，這樣保證在 Inter 上傳輸信息的保密和安全。 2. 數(shù)字摘要 (digital digest) 這一加密方法亦稱安全 Hash 編碼法（ SHA:Secure Hash Algorithm）或 MD5(MD Standards for Message Digest)，由 Ron Rivest 所設(shè)計。該編碼法采用單向Hash 函數(shù)將需加密的明文“摘要”成一串 128bit 的密文，這一串密文亦稱為數(shù)字指紋 (Finger Print)，它有固定的長度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這摘 要便可成為驗證明文是否是“真身”的“指紋”了。 上述兩種方法可結(jié)合起來使用，數(shù)字簽名就是上述兩法結(jié)合使用的實例。 簡單的安全消息系統(tǒng) (1)消息發(fā)送過程 天津大學(xué) 2020屆本科生畢業(yè)設(shè)計（論文） 3 圖 11 消息發(fā)送示意圖 1. A 計算出消息摘要。 2. A 對消息摘要進行簽名并將產(chǎn)生的數(shù)字簽名及其證書一起附在消息上。 3. A 產(chǎn)生一個隨機回話密鑰，使用它來加密經(jīng)過簽名的消息。 4. A 用 B 的公鑰對會話進行加密并將處理過的會話密鑰附到消息上，將消息發(fā)送給 b。 (2)消息接收過程 圖 12 消息接收示意圖 1. B 使用其私鑰對會話進行解密。 2. B 使 用會話密鑰對消息，即證書和數(shù)字簽名進行解密。 3. B 自己計算出消息的摘要值。 4. B 對 a 的證書進行驗證并取出 a的公鑰。 天津大學(xué) 2020屆本科生畢業(yè)設(shè)計（論文） 4 5. B 使用 a的公鑰來驗證 a 的數(shù)字簽名。 交易協(xié)議 電子商戶的運行需要一套完整的安全協(xié)議。目前比較成熟的協(xié)議有SET(secure electronic transaction), SSL(secure sockets layer)和 3D等。 (1) SET 協(xié)議 SET 安全電子交易協(xié)議是一種基于消息流的協(xié)議，用以保證在開放網(wǎng)絡(luò)環(huán)境下電子商務(wù)的電子支付交易的安全性。 SET 協(xié)議中使用了公開密鑰 RSA、對稱密鑰 DES、數(shù)字簽名、數(shù)字信封、雙重簽名、數(shù)字證書等安全技術(shù)。 SET 要實現(xiàn)的目標(biāo)是：實現(xiàn)因特網(wǎng)環(huán)境安全電子交易；保證信息在互聯(lián)網(wǎng)上的安全傳輸；保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客或內(nèi)部人員竊??；實現(xiàn)訂單信息和個人帳號信息的分離（如將包括持卡人帳號信息的訂單發(fā)送到商家時，商家只能看到訂貨信息而看不到持卡人的賬號信息。同樣，這一信息傳到銀行時，銀行只能看到賬號信息而看不到訂貨信息）；持卡人和商家的身份認證，以確定通訊雙方身份的真實性。 SET是一個基于可信的第三方認證中心 CA（ certificate authority）的安全電子交易協(xié)議。 在 SET系統(tǒng)中，完成一筆安全電子商務(wù)交易，通常包含 6個主要的參與方，分別是持卡人、網(wǎng)絡(luò)商家、發(fā)卡銀行、收單銀行、支付網(wǎng)關(guān)及認證中心，各參與方之間有著嚴(yán)謹?shù)男刨囮P(guān)系，各參與方的主要功能與作用如下。 持卡人：持卡人通過 WEB 瀏覽器或客戶端軟件直接與網(wǎng)絡(luò)商家互動購物。第一次上網(wǎng)購物前，須向認證中心 CA 注冊登記，取得數(shù)字證書后，才可以使用經(jīng)過 SET協(xié)議認證的電子錢包以及其他電子憑證進行交易。 網(wǎng)絡(luò)商家：提供網(wǎng)絡(luò)商店給消費者；首先須與信用卡收單銀行簽訂協(xié)議，向認證中心申請到數(shù)字證書，其次 必須使用經(jīng)過 SET 協(xié)議認證過的商家服務(wù)器軟件，負責(zé)消費者在網(wǎng)上付款的核查。 發(fā)卡銀行：為持卡人建立一個銀行賬戶，并發(fā)放支付卡；負責(zé)持卡人的身份認證，同時從事發(fā)放數(shù)字證書的各項審查工作；持卡人數(shù)字證書的簽發(fā)既可以由發(fā)卡銀行發(fā)放，也可以由專業(yè)的認證中心 CA 簽發(fā)。發(fā)卡銀行不屬于安全電子商戶交易的直接組成部分，但卻是授權(quán)與清算操作的主要參與方。 收單銀行：為商家建立一個銀行賬戶，并且處理支付卡的授權(quán)和付款事宜。同樣，收單銀行也不屬于安全電子交易的直接組成部分。 支付網(wǎng)關(guān)：是由收單銀行或收單銀行指定的第三方運行的一套 設(shè)備，用來處理商家的付款信息以及持卡人發(fā)出的付款指令，將網(wǎng)絡(luò)商家傳來的 SET 報文轉(zhuǎn)化天津大學(xué) 2020屆本科生畢業(yè)設(shè)計（論文） 5 為原信用卡信息，處理支付卡的授權(quán)和支付。 認證中心 CA: 為每個交易參與方生成一個數(shù)字證書做為交易方身份的驗證工具。 加密技術(shù)和數(shù)字證書是 SET 的核心技術(shù)，主要有對稱加密、非對稱加密、報文摘要、數(shù)字簽名、數(shù)字信封、雙重簽名、數(shù)字證書。這些技術(shù)為電子交易過程提供參與者的身份認證、交易信息的完整性、交易信息的機密性、和交易過程的不可否認性。 雖然通過加密技術(shù)能保證信息的隱蔽性，防止泄密，但被加密后的數(shù)據(jù)信息仍有可能被篡改或被人部 分刪除，使得信息的接收者得到一個錯誤的信息。報文摘要技術(shù)通過同時發(fā)一個消息的簡單摘要給接收者，供接收者與消息本身對比，如果相符則消息正確，未被篡改。報文摘要是一個唯一對應(yīng)一個消息或文本的數(shù)值，通過單向哈希函數(shù)作用消息而產(chǎn)生一個固定長度的數(shù)值。 數(shù)字信封 主要目的是保證數(shù)據(jù)的機密性。 SET協(xié)議把對稱密鑰體制和公開密鑰體制完美的結(jié)合在一起，充分利用了 DES 效率高速度快和 RSA安全性高且密鑰管理簡便的優(yōu)點。在 SET 中，當(dāng)要將數(shù)據(jù)機密傳送時，發(fā)送者首先使用隨機產(chǎn)生的 DES 對稱密鑰來加密要發(fā)送的信息。然后將此 DES 對稱 密鑰用接收者的公鑰加密，形成消息的數(shù)字信封，將其和采用對稱密鑰加密的消息一起發(fā)送給接收者。 在安全電子交易過程中，持卡人、商家和銀行三者之間，持卡人的訂單信息和付款信息和付款只是是互相對應(yīng)的，商家只有在確認了持卡人的訂單信息對應(yīng)的付款指示是真實有效的情況下，才可能按訂單信息發(fā)貨；同樣，銀行只有在確認持卡人的付款指示對應(yīng)的訂單信息是真實有效的情況下，才可能按商家要求進行支付授權(quán)。因此，訂單信息和付款指示必須一起發(fā)送給商家和銀行。但為了預(yù)防商家在驗證持卡人付款指示時盜用持卡人的信用卡賬號，以及銀行在驗證持卡人訂 單信息時，跟蹤持卡人的交易活動，在 SET中采用了雙重簽名技術(shù)。 一個雙重簽名是通過計算兩個消息的報文摘要產(chǎn)生的，并將兩個摘要連接在一起再用 持卡人的私鑰對報文摘要加密。這樣，通過雙重簽名，接收者只能看到他應(yīng)該看到的消息，對于不應(yīng)該看到的消息則以報文摘要的形式出現(xiàn)。 SET 協(xié)議流程： 1. 初始請求 持卡人在自己的個人計算機上通過瀏覽器在網(wǎng)絡(luò)商家的網(wǎng)站上瀏覽所展示的商品，根據(jù)商品的功能、外觀和優(yōu)惠等屬性，選擇想購買的商品。填寫相應(yīng)的訂單。選擇 SET作為其付款協(xié)議，進行付款。激活支付軟件，向商家發(fā)送初始請求。 2. 初始應(yīng)答 天津大學(xué) 2020屆本科生畢業(yè)設(shè)計（論文） 6 商家接收到用戶的支付初始請求后，產(chǎn)生初始應(yīng)答消息。用單向哈希函數(shù)對初始應(yīng)答生成報文摘要。用商家的私鑰對初始應(yīng)答進行數(shù)字簽名。將商家證書、支付網(wǎng)關(guān)證書、初始應(yīng)答、初始應(yīng)答報文摘要的數(shù)字簽名發(fā)送給持卡人。 3. 購物請求 持卡人接收初始應(yīng)答，驗證商家和支付網(wǎng)關(guān)的證書。用商家的公鑰解開初始應(yīng)答報文摘要的數(shù)字簽名，得到初始應(yīng)答報文摘要。用單向哈希函數(shù)對初始應(yīng)答產(chǎn)生相應(yīng)的報文摘要，對比，如相同則表示數(shù)據(jù)在途中未被篡改，否則丟棄。檢查商家傳送過來的購買項目和價錢正確無誤，向商家提出購物請求。 4．網(wǎng) 絡(luò)商家發(fā)出支付授權(quán)請求 商家接收持卡人的購物請求，驗證持卡人的數(shù)字簽名。用商家的私鑰解密訂單信息，并進行雙重簽名比較。產(chǎn)生 支付授權(quán)請求，將支付授權(quán)請求用哈希算法生成報文摘要，并簽名，用 隨機的對稱密鑰對支付授權(quán)請求機密形成密文，再用支付網(wǎng)關(guān)的公鑰形成支付網(wǎng)關(guān)數(shù)字信封。最后將商家證書、支付請求密文、商家數(shù)字簽名、支付網(wǎng)關(guān)數(shù)字信封及持卡人通過商家轉(zhuǎn)發(fā)的雙重簽名、訂單摘要、加密后的付款指示、支付網(wǎng)關(guān)數(shù)字信封、持卡人證書發(fā)往支付網(wǎng)關(guān)。 5. 支付網(wǎng)關(guān)發(fā)出支付授權(quán)請求 支付網(wǎng)關(guān)收到商家發(fā)出的支付授權(quán)請求后，驗證商家證 書，驗證商家簽名。用私鑰打開支付網(wǎng)關(guān)數(shù)字信封，獲取對稱密鑰，解開支付授權(quán)請求報文。用哈希算法作用于支付請求，形成報文摘要，與商家發(fā)來的支付請求相比較。支付網(wǎng)關(guān)驗證持卡人的證書。驗證來自商家的交易標(biāo)識和來自持卡人的付款指示的交易標(biāo)識是否匹配。通過銀行專業(yè)網(wǎng)，向持卡人所屬的發(fā)卡銀行發(fā)送支付授權(quán)請求。 6. 發(fā)卡銀行的支付授權(quán)應(yīng)答 發(fā)卡銀行在收到支付網(wǎng)關(guān)的支付授權(quán)請求后，檢查持卡人的信用卡是否有效。向支付網(wǎng)關(guān)發(fā)送支付授權(quán)應(yīng)答。 7. 支付網(wǎng)關(guān)向商家發(fā)送支付授權(quán)應(yīng)答 支付網(wǎng)關(guān)產(chǎn)生支付授權(quán)應(yīng)答信息，它包括發(fā)卡銀行 的相應(yīng)信息和支付網(wǎng)關(guān)的簽名證書等，并將其生成數(shù)字信封，作為支付授權(quán)應(yīng)答信息發(fā)給商家。 8. 向持卡人發(fā)送購物應(yīng)答 商家驗證支付網(wǎng)關(guān)證書，解密支付授權(quán)應(yīng)答，驗證支付網(wǎng)關(guān)的數(shù)字簽名，用天津大學(xué) 2020屆本科生畢業(yè)設(shè)計（論文） 7 私鑰打開數(shù)字信封，得到對稱密鑰，用此密鑰解開支付授權(quán)應(yīng)答，產(chǎn)生支付授權(quán)應(yīng)答報文摘要。用網(wǎng)關(guān)公鑰解開其數(shù)字簽名，得到原始支付授權(quán)應(yīng)答報文摘要，并與新產(chǎn)生的摘要比較。商家產(chǎn)生購物應(yīng)答，對購物應(yīng)答生成報文摘要，并簽名。將商家證書，購物應(yīng)答，數(shù)字簽名一起發(fā)往持卡人。 9. 持卡人接收并處理購物應(yīng)答 持卡人收到購物應(yīng)答后，驗證商家信息。 驗證通過后，對購物應(yīng)答產(chǎn)生報文摘要，樣商家公鑰解開數(shù)字簽名，得到原始報文摘要，與新產(chǎn)生的報文摘要比較。SET 軟件記錄交易日志。持卡人等待商家發(fā)貨。 (2) SSL 協(xié)議