【正文】 37。對軟件開發(fā)方法和手段，我們都有了一定的認識，加深理解了在課程中、書本上學到的知識和理論，并使其在課題研究中得到運用而且讓我得到了實踐的收獲。但是這些問題也讓我充分認識到了課題研究的困難與挑戰(zhàn)。此次所做課題是網(wǎng)上書城，由于自己的知識水平和經(jīng)驗的不足，課題的完成并不完美。用戶與商家間的信息安全：采用數(shù)字信封與數(shù)字簽名技術商家與銀行間的信息安全：采用數(shù)字信封與數(shù)字簽名技術 用戶與銀行間的信息安全：采用數(shù)字信封與數(shù)字簽名技術 用戶、商家、銀行之間的信息安全：雙簽名技術五．心得體會 通過對網(wǎng)上書城系統(tǒng)的設計，使我們進一步了解了所學的電子商務系統(tǒng)和數(shù)據(jù)庫知識，并且對HTML語言，ASP語言等知識有了初步了解。商家對接收到的簽名信息用銀行的證書進行驗證。驗證通過后，業(yè)務處理系統(tǒng)處理支付請求，進行記賬處理，把資金從客戶賬號劃轉至商家銀行賬號上。驗證通過后，客戶端出現(xiàn)銀行在線支付頁面，顯示從商家發(fā)來的訂單號及支付金額信息，客戶輸入支付銀行卡號和支付密碼，確認支付?？蛻魴C瀏覽器彈出新窗口頁面，提示將于銀行端網(wǎng)絡服務器直接建立SSL安全連接?？蛻舸_認資金金額等信息，商家產(chǎn)生一個包括訂單號、訂單金額、簽名數(shù)據(jù)、商家證書等信息的支付訂單。 該系統(tǒng)的交易流程按下列步驟進行：客戶到銀行網(wǎng)點進行注冊，開通網(wǎng)上銀行功能，得到銀行的網(wǎng)上支付授權，獲得銀行頒發(fā)的客戶證書，下一次網(wǎng)上支付就不需要再注冊了。6) 提供用戶對支付狀態(tài)的監(jiān)控。4) 認證用戶與業(yè)務單位的證書。2) 判斷支付服務器提交的支付數(shù)據(jù)的完整性。178。7) 理配制多個支付網(wǎng)關。5) 加解密交易數(shù)據(jù)。3) 提供定單管理服務。 支付服務器的功能1) 為上層業(yè)務應用提供標準的接口，用于關聯(lián)業(yè)務與支付過程。7) 對機密數(shù)據(jù)加密和解密。5) 接收支付服務器激活它時傳入的用戶購物清單。3) 記錄用戶的歷史交易記錄，并提供查詢功能。 電子錢包的功能1) 管理用戶的證書、私鑰文件。 有效性要求 確定時間＋確定地點167。 確認業(yè)務的完整性 HASH 算法 （數(shù)字摘要）167。 實現(xiàn)對各方的認證 167。CA中心:由專業(yè)的第三方機構擔當，它對其它各參與方頒發(fā)數(shù)字證書，可以起到認證各參與方身份的作用。銀行端:配置銀行服務器證書，用于與客戶、商家之間的信息加密、身份識別、數(shù)字簽名。需將商家證書和簽名API 安裝到自己的服務器中，用于與銀行支付系統(tǒng)之間的信息加密、身份識別、數(shù)字簽名。商家端 :商家是網(wǎng)上商城的經(jīng)營者，需在銀行開立結算賬戶?？蛻舳?:客戶必須是銀行的銀行卡用戶，而且需提前到銀行柜臺申請開通網(wǎng)上銀行支付功能，申請由銀行頒發(fā)的客戶證書來保證安全、實現(xiàn)簽名。所有用發(fā)送的請求以及WEB服務器返回的結果都會自動使用SSL加密傳輸。商家端和銀行端的WBE服務器安裝向第三方以中心申請的服務器證書，商家與銀行支付服務器之間采用證書認證方式。實弧線表示銀行系統(tǒng)為客戶和商家提供的查詢對賬服務以及在支付前客戶和商家在銀行的注冊流程。圖中虛線表示CA 分別向商家和銀行頒發(fā)證書。系統(tǒng)的總體結構如圖所示，其中，商家和客戶完成訂單的生成和提交，銀行負責處理支付信息，CA認證中心用作保證系統(tǒng)的認證。發(fā)送方不能否認曾經(jīng)發(fā)送過某條信息如訂單信息，接收方也不能否認接收到了某條信息，這對于電子商務也是很重要的。身份認證在電子支付中是非常重要的，只有交易各方能正確地識別對方，人們才能放心地進行交易。如果這些信息以明文的方式傳輸，有可能被非授權的第三方竊取，而導致信息泄漏。這在電子商務中是非常重要的，只有保證信息的完整性，才能正常地進行商務活動，否則會引起極大的混亂。安全性要求防止靜態(tài)信息的非法存取和動態(tài)信息的非法截取。 (8)商家用支付網(wǎng)關的公開密鑰解密后返回信息給持卡人，送貨，交易結束。 (6)支付網(wǎng)關解密商家傳來的信息，通過傳統(tǒng)的銀行網(wǎng)絡到發(fā)卡行驗證持卡人的支付信息是否有效，并即時劃帳。 (4)持卡人驗證支付網(wǎng)關的身份，填寫支付信息，將定購信息和支付信息通過SSL傳給商家，但支付信息被支付網(wǎng)關的公開密鑰加密過，對商家來說是不可讀的。 (2)持卡人決定購買，向商家發(fā)出購買請求。該系統(tǒng)的主體有持卡人、商家、支付網(wǎng)關和發(fā)卡銀行。該系統(tǒng)使用SSL協(xié)議，RSA加密算法、數(shù)字簽名和防火墻等保證交易的安全，支付時使用的是銀行發(fā)行的儲值卡(借記卡)、信用卡。四．支付系統(tǒng)設計據(jù)采用的支付安全協(xié)議，目前電子商務的支付體系結構主要有兩種，一種是SET結構，另一種是非SET結構。 （e）服務器端的腳本常常構成安全漏洞，這些漏洞又常常被黑客利用。需要測試相關信息是否寫進了日志文件、是否可追蹤。 （b）Web應用系統(tǒng)是否有超時的限制，也就是說，用戶登陸后在一定時間內（例如15分鐘）沒有點擊任何頁面，是否需要重新登陸才能正常使用。 安全性測試 Web應用系統(tǒng)的安全性測試區(qū)域主要有： （a）現(xiàn)在的Web應用系統(tǒng)基本采用先注冊，后登陸的方式。我們的系統(tǒng)可以使用Internet Explorer，傲游、Netscape等多種瀏覽器訪問。不同的瀏覽器對安全性和Java的設置也不一樣。例如，ActiveX是Microsoft的產(chǎn)品，是為Internet Explorer而設計的，JavaScript是Netscape的產(chǎn)品，Java是Sun的產(chǎn)品等等。 考慮的是實際情況，我們的系統(tǒng)主要是在Windows下的測試。Web應用系統(tǒng)的最終用戶究竟使用哪一種操作系統(tǒng)，取決于用戶系統(tǒng)的配置。例如：當用戶瀏覽Web應用系統(tǒng)時是否感到舒適，是否憑直覺就知道要找的信息在什么地方？整個Web應用系統(tǒng)的設計風格是否一致？ 216。216。 （d）圖片的大小和質量也是一個很重要的因素，一般采用JPG或GIF壓縮。 （b）驗證所有頁面字體的風格是否一致。圖形測試的內容有： （a）要確保圖形有明確的用途，圖片或動畫不要胡亂地堆在一起，以免浪費傳輸時間。 (2)圖形測試 在Web應用系統(tǒng)中，適當?shù)膱D片和動畫既能起到廣告宣傳的作用，又能起到美化頁面的功能。很少有用戶愿意花時間去熟悉Web應用系統(tǒng)的結構，因此，Web應用系統(tǒng)導航幫助要盡可能地準確。通過考慮下列問題，可以決定一個Web應用系統(tǒng)是否易于導航：導航是否直觀？Web系統(tǒng)的主要部分是否可通過主頁存??？ 在一個頁面上放太多的信息往往起到與預期相反的效果。216。(2) 負載測試 負載測試是為了測量Web系統(tǒng)在某一負載級別上的性能，以保證Web系統(tǒng)在需求范圍內能正常工作。而且，連接速度太慢，還可能引起數(shù)據(jù)丟失，使用戶得不到真實的頁面。如果Web系統(tǒng)響應時間太長（例如超過5秒鐘），用戶就會因沒有耐心等待而離開。 性能測試 (1) 連接速度測試 用戶連接到Web應用系統(tǒng)的速度根據(jù)上網(wǎng)方式的變化而變化，他們或許是電話撥號，或是寬帶上網(wǎng)。數(shù)據(jù)一致性錯誤主要是由于用戶提交的表單信息不正確而造成的，而輸出錯誤主要是由于網(wǎng)絡速度或程序設計問題等引起的，針對這兩種情況，可分別進行測試。在Web應用中，最常用的數(shù)據(jù)庫類型是關系型數(shù)據(jù)庫，可以使用SQL對信息進行處理。當在分布式環(huán)境中開發(fā)時，開發(fā)人員不在同一地點，這個問題就顯得尤為重要。測試的內容可包括Cookies是否起作用，是否按預定的時間進行保存，刷新對Cookies有什么影響等。(3) Cookies測試 Cookies通常用來存儲用戶信息和用戶在某應用系統(tǒng)的操作，當一個用戶使用Cookies訪問了某一個應用系統(tǒng)時，Web服務器將發(fā)送關于用戶的信息，把該信息以Cookies的形式存儲在客戶端計算機上，這可用來創(chuàng)建動態(tài)和自定義頁面或者存儲登陸等信息。如果表單只能接受指定的某些值，則也要進行測試。例如：用戶填寫的出生日期與職業(yè)是否恰當，填寫的所屬省份與所在城市是否匹配等。 (2) 表單測試 當用戶給