第7讲电子商务协议

《第7讲电子商务协议》由会员分享，可在线阅读，更多相关《第7讲电子商务协议（43页珍藏版）》请在文档大全上搜索。

1、1 1第第7讲讲 电子商务协议电子商务协议2 2n电子商务协议电子商务协议(EC.protocol):n 在在EC模型中，四方交流交互关系必须模型中，四方交流交互关系必须遵循的规则。以此保证遵循的规则。以此保证各方利益和安全，各方利益和安全，并能控制风险。并能控制风险。3 37电子电子EC协议的设计原则协议的设计原则n1。匿名性（。匿名性（anonymity）n匿名性可以保护客户的隐私，但许匿名性可以保护客户的隐私，但许多国家将多国家将 匿名交易定为非法。如没过反洗匿名交易定为非法。如没过反洗钱法规定钱法规定EC必须保证必须保证:1.超过超过1万美元交易即报告万美元交易即报告2.超过超过100

2、美元应记录美元应记录n解决办法解决办法:通过可信任的采购代理购物，通过可信任的采购代理购物，n由采购代理保存客户信息，追踪到代理为由采购代理保存客户信息，追踪到代理为止。止。4 4n2。安全性。安全性(security)n是是EC中最重要的性质，当前信用卡方式不中最重要的性质，当前信用卡方式不安全，安全，卡号经网络传送，容易被窃取。卡号经网络传送，容易被窃取。 n1997.71998.6 14600名美、加游客在墨名美、加游客在墨西哥游玩，信用卡损失达西哥游玩，信用卡损失达2500万美元。万美元。n3。不可否认性。不可否认性(nonrepudiation)nEC中通过数字签名确保各方发出信息的

3、不中通过数字签名确保各方发出信息的不可抵赖性。可抵赖性。5 5n4。原子性。原子性(atomicity)n 1.钱原子性钱原子性:EC中的资金流守性，现金交易中的资金流守性，现金交易满足钱原子性。一方减少另一方增多。满足钱原子性。一方减少另一方增多。n 2.商品原子性商品原子性:首先满足钱原子性，其次，保首先满足钱原子性，其次，保证付款一定会得到商品。得到了商品则一定付了证付款一定会得到商品。得到了商品则一定付了款。不存在付了款未得到商品或者得了商品而未款。不存在付了款未得到商品或者得了商品而未付款的情况。货到付款即满足该性质。付款的情况。货到付款即满足该性质。n 3.确认发送原子性确认发送原

4、子性:首先满足首先满足3.一定满足一定满足1.和和2.，其次确认客户得到了商品，其次确认客户得到了商品(保质保量保质保量)，商家，商家发送了商品。实现时，可设计一个可信第三方。发送了商品。实现时，可设计一个可信第三方。n5。交易规模。交易规模(transaction size)n 开发特定的微交易开发特定的微交易($1美元美元)6 6n8几类几类EC协议协议: SSL,SET, 匿匿名原子交易协议，名原子交易协议，NETbill协议，协议，安全智能贸易代理协议，安全智能贸易代理协议，基于基于PKC的安全电子软件分销协议。的安全电子软件分销协议。n1。电子交易协议。电子交易协议SET n (se

5、cure electronic transaction)n SET: 1.满足钱原子性，但不满足满足钱原子性，但不满足商品原子性和确认发送原子性。商品原子性和确认发送原子性。7 7n2.采用数字签名防止任一方的抵赖。采用数字签名防止任一方的抵赖。客户客户C, C, 商家商家M， 支付网关支付网关P P， 收单行收单行A A，金融专网，金融专网， 发卡行发卡行I I 图图3 SET3 SET协议流程协议流程C (customer) 客户客户M (merchant)商家商家P(payment gateway) A （acquirer）收单行收单行I(issuer) 发卡行发卡行abcdejfigh

6、internetinternet8 8(1)客户客户C向商家向商家M发出来采购请求发出来采购请求(图图3中的消息中的消息a)。(2)商家商家M向客户向客户C报价报价(目录清单目录清单)(图图3中的消息中的消息b)。(3)客户客户C同意报价，并对订单同意报价，并对订单OI(order instructions)进行数字签名进行数字签名: OI=DSKC(OI)n然后将然后将OI发给商家发给商家M(图图3中的消息中的消息C)n(4)商家商家M堆收到的堆收到的OI解密解密: nOI=EPKC(OI) 确认订单确认订单OI为客户为客户C所发。所发。商家将自己的数字证书商家将自己的数字证书CerM、支付

7、网关的数字证书、支付网关的数字证书Cerp (事先储存再商家事先储存再商家M的服务器中的服务器中)以及付款要求以及付款要求Pay进行数字签名进行数字签名:n DSKM(CerM, Cerp, Pay)n 然后发给客户然后发给客户C(图图3中的消息中的消息d)9 9n(5) 客户客户C收到收到，对，对进行解密进行解密:n (CerM, Cerp, Pay)EPKM()n确认确认为为M所发，确认商家所发，确认商家M和支付网关和支付网关p的身份。的身份。客户客户C生成按生成按Pay要求的支付命令要求的支付命令P1(payment instructions),并进行数字签名并进行数字签名: PI= D

8、SKC(PI)n客户客户C取随机生成的一个对称密钥取随机生成的一个对称密钥K，由，由K对对PI进进行加密行加密: PIEK(PI)n对客户对客户C的帐户信息的帐户信息PAN(C的性命、信用卡号等的性命、信用卡号等)和和K用支付网关用支付网关p的公钥进行加密的公钥进行加密:n P1= EPKP(PAN,K)n以上两步加密防止了商家以上两步加密防止了商家M获悉有关客户获悉有关客户C支付的支付的信息，只有支付网关信息，只有支付网关p才能解密。对客户才能解密。对客户C的数字的数字证书证书CerC, PI及及P1进行数字签名进行数字签名:n 1=(CerC, PI, P1)n 然后发给商家然后发给商家M

9、(图图3中的消息中的消息e)。1010n(6) 商家商家M对收到的对收到的1进行解密进行解密:n (CerC, PI, P1)= EPKC(1) 确认为客户确认为客户C所发。所发。n 对对CerC, PI, P1和商家和商家M自己的数字证书自己的数字证书CerM进行数字签名进行数字签名: 2= DSKM(CerM,CerC, PI,PI)n然后发送给支付网关然后发送给支付网关p(图图3中的消息中的消息f)n(7) 支付网关支付网关p对收到的对收到的2进行解密进行解密:n(CerM,CerC, PI,PI)= EPKM(2) 确认为商家确认为商家M所所发。发。 对对P1进行解密，确认为客户进行解

10、密，确认为客户C所发信息所发信息 (PAN,K)= DSKP(P1)利用其中的对称密钥利用其中的对称密钥K对对PI进进行解密行解密: PI= DK(PI) 再对所得到的再对所得到的PI进行解密进行解密: PI= EPKC(PI) 获得曾由客户获得曾由客户C数字签名的支付命数字签名的支付命令令PI。将支付命令。将支付命令PI经由安全的金融专网发给发卡经由安全的金融专网发给发卡行行I(图图3中的消息中的消息g)。1111n（8）发卡行）发卡行I进行验证，确认客户进行验证，确认客户C的帐号的帐号有效（有足够余额），然后将经验证有效的有效（有足够余额），然后将经验证有效的支付命令支付命令PI经以后金融

11、专网发还给支付网关经以后金融专网发还给支付网关p(图图3中的消息中的消息h)，客户帐号和商家帐号间，客户帐号和商家帐号间发生资金划拨发生资金划拨(这不是由这不是由SET协议规定的协议规定的)。n (9) 支付网关支付网关p向商家向商家M法支付已讫消息法支付已讫消息Msg(图图3中的消息中的消息i): Msg= DSKP (Msg)n (10)商家商家M对收到的对收到的Msg进行解密，确认进行解密，确认为支付网关为支付网关p所发所发: Msg =EPKP(Msg)n 商家商家M向客户向客户C发货发货(图图3中的消息中的消息j)。1212n综上所述综上所述:客户客户C要验证商家要验证商家M的数字证