电子商务安全与支付-第8章--电子商务系统安全的解决方案

第8章电子商务系统安全的解决方案8.1案例一8.1.1电子商务流程和结构简介8.1.1.1电子商务流程传统的商务活动和在Internet上的商务活动都可以统一地分成四个步骤：吸引客户、与客户交互、供货商提供商品、供货商解决客户的咨询，或称为售后服务，如图8-1所示。吸引客户（WEB广告）与客户交互（将客户的兴趣转变为定单）提供客户咨询（提供售后服务）供货商提供商品（定货协调完成）图8-1Internet商务的四个步骤在买卖双方交互和供货的两个阶段，我们要特别强调安全问题，因为这涉及到买卖双方的利益。电子商务的流程如图8-2所示。图8-2电子商务流程8.1.1.2电子商务结构电子商务系统主要包括客户端、商户端、CA认证中心以及支付网关四个重要部分，如图8-3所示。图8-3电子商务的拓扑结构图8.1.2电子商务的安全问题在考虑电子商务的安全问题之前，我们先介绍支付系统的参与者。8.1.2.1支付系统的参与者(1)持卡人(2)发卡机构(3)商户(4)认证机构(5)支付网关(6)商标(7)第三方8.1.2.2加密1．密钥加密如图8-4所示。图8-4密钥加密2．公有密钥加密（非对称密钥加密）非对称密钥加密过程如图8-5所示。图8-5非对称密钥加密公有密钥私有密钥密文密文明文明文3．密钥之间的关系4．对称密钥的使用如图8-6所示。图8-6对称密钥加密公有密钥公有密钥密文密文明文明文5．数字签名(1)密钥之间的关系公有密钥和私有密钥之间有一定的数学关系。(2)信息摘要6．认证(1)认证的必要性(2)双签(3)产生双签(4)双签的使用(5)输入/输出机构许多政府机构对加密的输入、输出要进行一定的调控。一般说来，在下列情况下，政府允许使用加密：①加密的数据是金融性质的②数据内容具有完善的定义③数据长度是有限的④该加密不容易被其他目的所使用表8-1和8-2举例说明其加密、解密的步骤：表8-1加密过程步骤描述1用户A将要发送的信息原文用单向Hash算法产生一个单一数值的信息摘要。这个信息摘要被称为数字指纹，在后面将用于测试信息的完整性2用户A用自己的私有密钥加密信息摘要，产生数字签名3生成一个随机的对称密钥，并用这个对称密钥加密用户A的签名和包含公有密钥的证书。为了对用户A的签名和证书解密，用户B也需要这个对称密钥4用户A在与用户B通信之前必须得到用户B包含其公有密钥的证书，为了保证对称密钥在传输时的安全性，用户A用用户B的公有密钥加密这个对称密钥。这个加密后的对称密钥，就是数字信封。这个数字信封将与加密的信息一起发送给用户B5用户A传送给用户B的信息包括：用对称密钥加密的信息原文、签名、证书和非对称加密的对称密钥（数字信封）表8-2解密过程步骤描述1用户B接收到来自用户A的信息，用自己的私有密钥解密数字信封，得到对称密钥2用户B用对称密钥解密加密后的信息原文、用户A的签名和证书3用户B用用户A的公有密钥解密用户A的数字签名，得到用户A生成的信息摘要。4用户B将接收到并解密后的信息原文用单向的Hash算法产生一个新的信息摘要5最后，用户B用这个新产生的信息摘要与用户A的信息摘要对比；如果两个信息摘要完全一样，用户B可以确定：信息在传输过程中没有被修改，同时确实是用用户A的私有密钥签名的如果两个信息摘要不完全一样，用户B可以确定：或者是信息在传输过程中被修改过，或者是信息原文在进行签名之前就被修改过；这样一来用户B就必须采取其他办法通知用户A或干脆将收到的信息抛弃(6)持卡人证书(7)商户证书(8)支付网关证书(9)金融咨询机构证书(10)发卡行证书(11)信任树结构信任树结构如图8-7所示。图8-7信任树结构8.1.3支付过程8.1.3.1持卡人注册注册流程可以用图8-8来表示。图8-8持卡人注册8.1.3.2商户注册商户注册流程如图8-9所示。图8-9商户注册8.1.3.3购买请求购买请求流程如图8-10所示。图8-10购买请求8.1.3.4支付授权支付授权流程如图8-11所示。图8-11支付授权8.1.3.5支付实施支付实施流程如图8-12所示。图8-12支付实施