返回myqueue首页 | 更多的金融技术文章 | 评论(1) | 得分(0.00)
发布于:2001-06-30 浏览次数:290
伴随着Internet的蓬勃发展,电子商务正以自身高效益、低成本的优势,逐步成为新兴的商业模式和理念。以亚马逊网上书店为代表的B to C交易模式,由于需要参与交易的个人必须是持卡人,并且是基于SET标准为基础的,这种交易模式在我国的发展不太理想。我国电子商务是以B to B为主要交易模式,并且B to B每笔交易的成交额大,交易货物规范,市场大,加之现在B to B的平台、帐号等条件比B to C完善,所以,目前在我国发展电子商务的主要模式是B to B。
一、交易流程
电子商务B to B模式的参与方有认证中心、生产商、购买商、商业银行和电子商城。参与电子商务交易的各方,包括生产商、购买商、商业银行以及提供交易平台的电子商城,他们都必须拥有CA(即数字证书认证中心,Certification Authority)所发放的数字证书。数字证书包含了证书拥有者的信息和所签发证书的CA的相关信息,该证书既可以对信息进行加密,又可以用于签名,它保证了信息传输的机密性、真实性、完整性和交易的不可否认性。CA作为独立的、客观的、公正的、可信赖的第三方机构,专门为参与网上交易各方提供认证服务(发放和管理证书)。参与网上交易的各方通过彼此验证证书,确认对方的身份,防止欺诈,从而保证了交易的安全。参与交易的各方及交易流程如图1所示。
1.购买商向生产商下定单
购买商通过浏览器在生产商的WEB服务器订购商品,该过程由生产商确定。在这一过程中,购买商应根据生产商的要求向其提交定单(Order),生产商将根据定单形成帐单(Invoice),然后将Invoice及生产商对其承诺(Statement)送到购买商浏览器,购买商通过电子商城的B to B安全支付平台到商业银行进行支付。
2.购买商付款
购买商通过电子商城的B to B安全支付平台到商业银行进行支付的流程如下。
过程A:购买商将支付信息PM提交到电子商城的B to B安全支付平台。
过程B:电子商城的B to B安全支付平台将PM转发到商业银行。
过程C:商业银行验证购买商对PM的数字签名,取出支付信息PI,然后根据PI进行转帐,并将支付结果信息PR(包括支付金额、是否成功等信息)告知电子商城的B to B安全支付平台。
过程D:电子商城的B to B安全支付平台将支付结果PR实时告知购买商。
过程E:电子商城的B to B安全支付平台将PR实时转交生产商。
二、安全需求
1.订购过程的安全需求
在购买商向生产商订购商品的过程中,传递的重要信息为Order、Invoice、Statement。此过程的安全需求如下:
(1)购买商和生产商之间需进行双向身份认证。
(2)Order、Invoice、Statement作为商业机密应提供加密保护。
(3)应对Order、Invoice、Statement进行数字签名,提供防篡改及不可否认保护。
2.支付过程的安全需求
(1)图1中过程A的主要目的是向电子商城提供解决争议的证据,其安全需求包括以下几点。
1购买商与电子商城之间的双向身份认证。
2保证除生产商外的任何第三方(包括电子商城,解决争议时除外)均不能了解Invoice的内容,除商业银行外的任何第三方(包括电子商城,解决争议时除外)均不能了解PI的内容。
3对PM进行数字签名来防止对PM的非授权修改和购买商否认发出PM。
4PM应包括解决争议的足够信息。
根据以上要求,M包含的信息
PM={M1={IN,IH,PH,EPI},SIG(M1)}
其中
IN:发票号;
IH=Hash(IN,Invoice);
PH=Hash(IN,PI);
EPI=EBPK(IN,PI), BPK 为商业银行的公开密钥;
SIG(M1)为购买商对 M1 的数字签名。
(2)过程B的安全需求为电子商城与商业银行之间的双向身份识别。
(3)过程C的安全需求为商业银行对PR进行数字签名,提供防篡改和不可否认保护。PR中包括发票号、交易号、转帐金额、转帐结果等。由于转帐金额为商业机密,因此包括电子商城在内的非交易参与方均不能知道该信息。
PR={M2={IN,R,EPR},SIG(M2)}
其中
IN:发票号;
R:转帐结果;
EPR=EPPK(IN,AMOUNT,R),PPK为生产商的公钥;
SIG(M2)为商业银行对M2的数字签名。
(4)过程D和E的安全需求分别为生产商与电子商城之间的双向身份识别、购买商与电子商城之间的双向身份识别;生产商能验证商业银行的数字签名、购买商能验证商业银行的数字签名。
三、安全解决方案
整个交易过程为基于WEB的应用,根据以上安全要求,提供如下的安全解决方案。
1.系统组成与功能
整个安全系统由四部分组成,即生产商安全软件(PSEC)、购买商安全软件(RSEC)、电子商城安全软件(CSEC)和银行安全软件(BSEC)。
这四个软件的主要安全功能如下。
(1)PSEC首先提供产品订购过程中所需的安全功能,包括与购买商之间的双向身份认证、验证购买商对定单的数字签名、生成生产商对帐单和承诺的数字签名、加/解密与购买商之间传递的信息。其次提供支付过程所需的安全功能,包括与电子商城之间的双向身份认证、验证商业银行返回的支付结果的数字签名。
(2)RSEC首先提供产品订购过程中所需的安全功能,包括与生产商之间的双向身份认证、产生购买商对定单的数字签名、验证生产商对帐单和承诺的数字签名、加/解密与生产商之间传递的信息。其次提供支付过程所需的安全功能,包括与电子商城之间的双向身份认证、采用商业银行的公钥加密提交的转帐信息、生成电子商城需保存的交易证据、产生对交易证据的数字签名。
(3)CSEC的安全功能包括:1生产商之间的双向身份识别;2生产商与购买商之间的双向身份识别;3生产商与商业银行之间的双向身份识别;4验证购买商提交的交易证据的数字签名;5验证商业银行响应的支付结果的数字签名;6在出现争议时验证争议各方提交证据的真伪。
(4)BSEC的安全功能包括:1电子商城之间的双向身份识别;2验证购买商的数字签名;3产生对支付结果的数字签名;4解密购买商传来的转帐通知;5用生产商的公钥加密支付结果。
2.数字证书配置
PSEC、RSEC、CSEC、BSEC均为基于PKI的安全应用软件,因此需配置相应的数字证书。具体配置情况如下:
(1)PSEC配置生产商服务器证书,用于与购买商RSEC之间的身份识别、信息加密和生成数字签名;预装银行的服务器证书用于验证商业银行BSEC产生的数字签名。
(2)RSEC配置购买商的客户端证书,用于与PSEC之间的身份识别、信息加密和生成数字签名;用于与CSEC之间的身份识别、信息加密和生成数字签名;预装商业银行的服务器证书,用于加密向商业银行提交转帐通知。
(3)CSEC配置电子商城的服务器证书,用于与PSEC、RSEC、BSEC之间的身份识别。
(4)BSEC配置商业银行的服务器证书,用于与CSEC之间的身份识别和生成对支付结果的数字签名。预装生产商的服务器证书用于加密向生产商提交的支付结果。
3.工作流程
生产商、购买商、电子商城和商业银行分别配置了PSEC、RSEC、CSEC、BSEC及相应的数字证书后,其工作流程如下。
(1)购买商提交定单。购买商在生产商的WEB服务器上选择好要订购的产品及数量,并填写完其它必要信息(如送货时间、地点等)后,点击页面上的定单提交按钮,激活RSEC软件。RSEC首先与生产商的PSEC用各自的数字证书进行双向身份识别,然后对定单信息进行加密和数字签名,并将形成的信息传递给PSEC。
(2)生产商形成帐单(包括生产商的承诺)。PSEC接收到的Order解密并验证购买商的数字签名后,将其送到后台定单处理系统,形成帐单(包括生产商的承诺)。PSEC对帐单进行数字签名和加密后将其传递给RSEC,RSEC解密出Invoice,验证生产商的签名,将Invoice连同其数字签名保存在客户端,并显示在客户端浏览器。此时,在浏览器上同时显示转帐通知表,请购买商填写并通过电子商城进行转帐。
(3)购买商转帐。购买商在生产商送来的WEB页上填写转帐通知信息PI,点击转帐按钮进行转帐。此时激活RSEC,它首先与电子商城的CSEC用各自的数字证书进行双向身份识别,然后用Invoice和PI生成如下支付信息:
PM={M1={IN,IH,PH,EPI},SIG(M1)}
并将PM发送给CSEC。
(4)电子商城转发转帐通知。CSEC收到PM后,首先验证购买商的数字签名,并将PM作为交易证据保存在证据库中,然后向商业银行转发PM。为此,CSEC首先与商业银行的BSEC用各自的数字证书进行双向身份识别,然后将PM转发给BSEC。
(5)商业银行处理转帐通知。BSEC收到PM后,首先验证购买商对PM的数字签名,然后分两步进行处理。
1转帐受理通知。若数字签名验证正确,BSEC通知电子商城银行受理转帐通知;若数字签名验证错误,BSEC通知电子商城银行拒绝受理转帐通知。CSEC然后将商业银行受理情况转发给购买商的RSEC,告知购买商转帐是否被受理。
2转帐结果通知。当数字签名验证正确时,BSEC从PM中取出转帐信息PI,并将PI送到银行后台系统进行处理。后台系统处理完后,将支付结果R告知BSEC,BSEC首先与电子商城的CSEC用各自的数字证书进行双向身份识别,然后形成支付结果信息:
PR={M2={IN,R,EPR},SIG(M2)}
并将PR发送给CSEC。CSEC验证银行的数字签名,然后与生产商的PSEC用各自的数字证书进行双向身份识别,并将PR转发给PSEC。PSEC验证银行的数字签名,并解密出支付结果R,将其送到后台处理系统。购买商可通过到生产商处查询定单状况或到电子商城处查询支付状况来得到支付结果R。
随着电子商务的发展,基于SET安全电子交易的B to C模式在国际上比较流行,但由于其交易流程复杂,成功率较低,加之交易额小,因此推广受到一定限制。B to B模式由于其交易额大,加之市场比较规范,因而越来越受到人们的重视。基于电子商城B to B模式的安全解决方案,由于参与交易的各方都拥有数字证书,保证交易信息的机密性、真实性、完整性和交易的不可否认性,从而保证了交易的安全,它不失为一种很好的 B to B模式解决方案。
用户登录
还没有账号?立即注册
用户注册
投稿取消
文章分类: |
|
还能输入300字
上传中....