《基于MVC架构的网上支付系统设计.doc》由会员分享,可在线阅读,更多相关《基于MVC架构的网上支付系统设计.doc(22页珍藏版)》请在三一文库上搜索。
1、网上支付与电子银行课程设计报告基于MVC架构的网上支付系统设计报告 姓 名 范宝鑫 学 号 0908032105 专业班级 09 计算机升本班 成 绩 目录目录- 2 -一引言- 1 -二系统分析- 1 -2.1.目标需求- 1 -2.2功能需求- 2 -2.3技术要求- 2 -三系统设计- 3 -3.1 MVC概述及特点- 3 -3.2 ECOM的WEB框架- 4 -3.3应用架构- 4 -四电子商务与支付系统的定义- 7 -4.1电子商务的定义- 7 -4.2网上支付系统的构成- 7 -五电子商务与网络支付系统的发展现状- 8 -5.1电子商务的发展现状- 8 -5.2网上支付系统的发展现
2、状- 9 -六网上支付系统的安全要求- 10 -6.1保密性- 10 -6.2信息的完整性- 10 -6.3可用性- 11 -6.4不可否认性- 11 -6.5可审查性。- 12 -6.6认证性- 12 -七网上支付系统可能受到的攻击- 12 -八网上支付系统安全的技术解决方案- 13 -8.1加密技术- 13 -8.1.1 利用加密技术保证电子商务支付的机密性- 13 -8.1.2 对称加密技术- 13 -8.1.3 非对称性加密方式- 14 -8.1.4 数字信封- 16 -8.2利用验证技术保证电子商务支付的真实性、完整性- 17 -8.2.1数字签名- 17 -8.2.2 Hash函数
3、- 17 -8.2.3 MD5 函数- 17 -8.2.4 SMA函数- 17 -8.3支付网关技术的应用。- 18 -九参考文献- 19 -网上支付与电子银行课程设计报告一引言电子商务是用现代信息技术,以数字化的网络通讯为基础,通过计算机进行信息处理,从而实现商品销售、交易服务和商务管理等各环节的数字化。电子商务按交易主体可分为B2B、B2C、C2C等。本文主要对B2B电子商务系统进行分析研究。B2B电子商务系统不仅为企业间商业活动提供了便捷、高效的交易手段,而且它的推广,将会在全行业商务运作数字化的基础上,实现信息准确高效的沟通和共享,可以全方位地优化传统业务流程,使交易效率提高,成本降低
4、,逐步实现商务运作的专业化、信息化和合理化。二系统分析 2.1.目标需求 建立一个统一的、规范的B2B电子商务交易系统,为实现全面上网采购奠定坚实的基础。通过商品全面上网采购,提高商品交易的透明性,规范商品交易市场,加强商品交易的政府监控,大幅度降低商品交易的一些不必要的中间费用,最终造福于百姓。为了实现这一总体目标,本系统必须达到以下要求: 引入严格的市场准入制度。 对网上的交易商品、交易机构都进行严格的资质认定,不符合规定的商品禁止在网上交易,资质认证不通过的机构也禁止在网上交易。 由基础数据信息组成的商品数据库平台。 由各种成交模式组成的成交平台。 适合个性化设置的采购平台。 满足各级政
5、府的监控统计平台。 与各业务系统的接口等。 2.2功能需求 与传统的商务活动不同,电子商务利用信息技术和网络技术,使交易数据能够充分共享,解决了原先市场中的信息不对称性,使竞争更加充分,提高了交易的透明性,提高了数据传递的时效性,大大减少了各种交易费用,既规范了市场,也提高了效益。 根据目标需求,本系统需实现三大业务子系统的功能:数据系统、交易系统和商务智能。数据系统是基础数据的管理平台,是应用系统的数据提供者;交易系统是事务处理系统,它为买方、卖方和监管方构建一个虚拟的电子交易市场,是基础数据的使用者;商务智能是在数据系统和交易系统的基础之上,构建数据仓库,提供数据挖掘功能,为各类型机构和管
6、理者提供决策信息,即提供平台的增值服务。 2.3技术要求 技术要求主要有可靠性、安全性和保密性等几个方面: 提高软件质量、增加容错措施。 要加强软件研发的过程管理,加强软件测试力度,确保软件质量。同时在系统硬件和软件基础上增加容错措施。 强调系统适应能力,使用户具有自维护能力、扩展能力,不依赖于开发商以及某一系统平台。 要求建设基于数据中心的统一的电子商务平台。应用基于Web,采用Internet模式实现高效、稳定、可靠的信息处理。 具有全局性的安全控制。 要求从网络、系统、应用实现等各方面保障系统的安全性,在通讯安全控制、系统控制、风险控制上要求严格保障,以保证业务数据的安全可靠。 三系统设
7、计 3.1 MVC概述及特点 B2B电子商务是比较典型的WEB的交互式系统,采用MVC(Model-View-Con-troller)的体系架构来实现系统中人-机交互是比较好的选择。Model-View-Controller架构把处理数据的对象与显示数据的对象分离开,减小了对象间的耦合度。在这种架构下系统分成三层:视图层、模型层和控制层,每一层有特定的功能,负责特定的任务。模型层表示业务数据和业务逻辑/操作,负责对业务数据的访问和修改。同时提供访问接口供控制层调用。视图表现模型的内容,它从模型层得到数据并且指定这些数据任意被显示,同时将客户输入转交给控制层。控制层定义系统的行为,它分配客户的请
8、求并且选择适合的视图显示给客户,判断客户的输入,把它们匹配到在模型层进行的适当的操作(ACTION)。对于独立的GUI客户程序,用户输入包括按钮的点击和菜单的选择,对于WEB应用,客户输入则是对WEB层的HTTP GET/POST。控制层在客户交互和模型层输出的基础上选择下一个显示的视图。 在模型、视图、控制对象之间进行责任分类减少了代码的重复,使系统更容易维护,它也使处理数据、是否增加新的数据源(datasource)、改变数据显示更加容易,因为数据和业务逻辑是分离的。 MVC特点: Model-View-Controller架构特别适合于交互式的WEB应用,WEB用户与WEB站点进行交互操
9、作,导航到多个页面进行数据显示、操作,多次的业务请求等。 如果系统采用MVC架构,可以利用成熟的基于MVC架构的应用框架(applicationframework)。框架的一致性结构和MVC所带来的功能分离使整个系统更加可靠、更容易进行维护和扩展,开发的应用组件可以更好地重用。 采用MVC架构能够最大限度地重用第一次迭代的结果。 视图和控制器都是可插入的,MVC概念的分离允许交换模型的视图和控制器对象。用户接口可以在运行时动态替换。 框架的可重用性,在开发其他项目时可以重用现在的代码和框架。 3.2 ECOM的WEB框架 3.3应用架构 本系统分成三大业务子系统,见示意图。 1)数据系统 数据
10、系统是电子商务运营的基础,没有数据就谈不上商务。为了成功地实施电子商务系统,必须建立强大的数据中心。数据中心负责收集、整理、分发基础数据。基础数据有商品数据、产品数据、商品数据、机构信息(买方机构、卖方机构、配送机构、管理机构等)以及其他辅助信息(如单位、规格、包装、行政区划等)。通过数据中心建立个性化的商品交易目录很好地实施商品市场准入制度。 2)交易系统 交易系统旨在建立虚拟的交易场所,为各方提供服务。根据交易流程可将交易系统分成几个子系统:价格形成(成交)子系统、价格执行(订单执行)子系统、电子结算子系统和政府监管子系统等。 价格形成买卖双方在进行具体交易前就交易商品达成价格的过程,同时
11、也包括政府对商品的价格干预过程。本系统可支持多种价格形成过程:招标、竞价、询价、备案、浏览(超市)等。 招标、竞价 招标、竞价是集中成交模式,招标比较规范,符合一定的程序。竞价比较灵活,可根据实际情况制订规则。 询价 询价比较简单,即买方发起,向卖方询问价格,卖方给予响应。可支持单品种询价和整单询价。 备案 支持监管部门备案和买方(自主)备案。政府备案是比较正规的过程,即如果某个品种已经通过集中的招标或竞价与某个厂家成交,而某企业由于某种实际情况需要购买别的厂家的产品,需要将这样的采购行为统一向相关的监管部门申报,批准通过后在系统中登记,形成备案。买方备案是比较自由的,供应商对自己的商品进行报
12、价,买方认为这个价格可以接受,就给予确认,实现备案过程。 浏览采购(或超市) 其实是将价格形成过程延迟到交易执行的阶段。即采购方查看供应方的供应目录。选择自己可接受的商品进行采购。 订单执行电子订单可认为是买方和卖方签定的一个电子版的购销合同,是本系统必须实现的功能。电子订单管理包括新增、修改、删除、审核、作废订单等处理。根据具体情况,可支持多种订单处理模式。 电子结算随着网络建设的不断深化,传统的配送方式将逐渐向现代物流转变,而其中重要的一项内容便是“电子结算”,它是适应现代化网络建设及市场变化的必然要求。电子结算有以下优点:提高了结算速度,提高了结算准确率,提高了工作效率和现金的安全性等。
13、 政府监管本系统提供许多政府监管措施,政府监管贯穿于整个业务的始终。政府相关机构可通过平台实现企业和产品的市场准入,产品价格核定,交易监控以及质量监控等。 3)商务智能 商务智能利用数据仓库和数据挖掘等技术为各方提供很多增值服务。比如它可以为生产企业产品定位,市场切入、竞争对手分析、产品的前向整合和后向整合等提供决策;为经营企业市场分析、寻找细分市场、营销策划、产品定价等提供决策;为研究机构提供研究数据等;为政府机构的监管,产品定价等提供信息支持;另外还可以为社会一些其他机构提供服务。四电子商务与支付系统的定义 4.1电子商务的定义电子商务源于英文Electronic Commerce,简写为
14、EC。顾名思义,其内容包含两个方而,一是电子方式,二是商贸活动。电子商务指的是利用简单、快捷、低成木的电子通讯方式,买卖双方小谋而地进行各种商贸活动。国际商会于1997年11月,在巴黎举行了世界电子商务会议(The World Business Agenda for Electronic Commerce)会上专家和代表对电子商务的概念进行了最权威的阐述:电子商务,是指实现整个贸易过程中各个阶段的贸易活动的电子化1。从涵盖范围可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业贸易;从技术方面可以定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交
15、换、电子邮件)、获得数据(共享数据库、电子公告牌)、以及自动捕获数据(条形码)等。4.2网上支付系统的构成支付系统是由一系列支付工具、程序、有关交易主体、法律规则组成的用于实现货币金额所有权转移的完整体系。网上支付是指以金融电子化网络为基础,以商用电子化工具和各类交易卡为媒介,采用现代计算机技术和通信技术作为手段,通过计算机网络系统,特别是因特网进行传输。以电子信息传递的形式来实现资金的流通和支付。网上支付系统的构成则主要包括两部分。一是网上支付主体。涉及网上商家、持卡人、银行和第三方认证机构。二是网上支付技术。如基于因特网的TCP/IP协议标准、WWW技术规范和以安全网络数据交换为宗旨的电子
16、数据交换协议SSL 和SET。五电子商务与网络支付系统的发展现状5.1电子商务的发展现状根据2009年1月13日,中国互联网络信息中心(CNNIC)在京发布的第23次中国互联网络发展状况统计报告显示,在主要互联网应用使用率调查中,网络求职、更新博客和网络购物位列增长最快的应用前三甲。而网络音乐、网络视频等娱乐性应用的使用率则明显呈现下降的趋势。由此可见,越来越多的企业和顾客加入到电子商务的队伍中来,网络支付系统得到越来越广泛的应用。电子商务发展迅速,通过网上进行交易已成为潮流。在我国,电子商务虽然刚起步,但是人们对电子商务的巨大潜力深信不疑;我国政府积极支持电子商务活动的开展,这些都对我国电子
17、商务的发展产生了重要的影响。但是应当看到,我国还存在一些“瓶颈”问题,严重地阻碍着电子商务的发展。从技术角度上看也存在两项解决的难题一是缺乏统一的电子商务技术服务标准,没有规矩不成方圆,没有标准的电子商务势必造成国内乃至国际电子交易混乱和麻烦。技术是电子商务发展的基础,而技术的发展必须建立在标准统一的基础之上。因此加快电子商务技术标准的制定是我国电子商务发展中迫在眉睫的、十分重要的事,是我国电子商务发展重中之重。二是还没有真正成熟的电子商务解决方案。在现阶段电子商务软件服务市场上,国外成熟的电子商务解决方案占据主导地位仍是不争的事实,而国内真正有能力的开发厂家更是屈指可数,仔细算来也只有实华开
18、、四通寥寥几家,但没有一家能够提供一套完整的电子商务交易标准。而网上支付作为新兴的电子支付手段,越来越普及越来越重要。无论是对电子商务技术服务标准的制定还是对真正成熟的电子商务的解决方案的出现,网上支付系统的关键技术都是至关重要的。但是现在制约电子商务发展的最关键的技术,是解决安全问题的技术。电子商务中的安全问题是重中之重的问题。在电子商务系统中 ,不仅需要交换使用者的信用卡号码、客户密码和个人身份等隐私信息,而且还涉及到个人财产的安全问题。在电子支付过程中 ,必须保证信息的机密性、完整性和真实性。一旦这些方面得不到切实的保证,那么将造成重大的损失和严重的法律问题,甚至会断送电子商务企业的命运
19、。因此必须发展能够保障支付系统安全的关键技术 ,确保交易过程是安全、可靠的。5.2网上支付系统的发展现状随着电子商务的迅猛发展,支付问题就成了制约电子商务发展的瓶颈,尤其是支付的安全性问题就像一直萦绕在头上的达摩克利斯之剑。电子支付构成了电子商务的核心环节,如果没有支付,整个电子商务过程无法完成。只有通过安全、快捷的实现电子支付才能实现电子商务涉及的物流、资金流、信息流的有机结合,才能确保电子商务交易顺利进行。而作为真正的网络支付手段出现的支付方式,则是在Internet的迅速走向普及化之后的事情。但是自2005年以来,中国网上支付成长十分迅速,这标志着中国电子商务迈入了以全面实现网上支付系统
20、为特征的崭新发展阶段。著名的网络市场调研机构艾瑞咨询公司的研究报告预测2010年我国的我网上支付市场规模将达到2800亿元。网上支付已成为国内网民从事网上交易时的第一选择,网上支付市场似乎已经成为继网络游戏、sp之后的又一座金山。在 Internet 上出现的支付系统模式已有十几种 ,这些系统模式大致上可以划分为如下 3 类:第一类是数字化的电子货币或者电子现金;第二类是使用他们已有的安全清算程序,对 Internet 的网上支付提供信息中介服务;第三类是针对银行卡主攻加密算法 ,使传统的银行卡支付信息通过 Internet 向商家传递 ,利用金融专用网络提供独立的支付授信,更先进的是采用智能
21、卡技术 ,提供联机的银行卡支付。但是不管是哪一类的系统,都是包含着信息加密措施的系统,每一个系统都是有很多保障安全性的系统。六网上支付系统的安全要求6.1保密性要确保网上支付系统的安全,首要的一点要求就是应防止未授权的数据暴露并确保数据源的可靠性,交易中的商务信息都需要遵循一定的保密规则。交易中的商务信息可能直接关联着个人、企业或国家的商业秘密 ,特别是涉及到商业机密和金融方面的敏感信息时,信息的保密性更为重要。因为其信息往往代表着国家、企业和个人的商业机密,而电子商务是建立在一个较为开放的互联网络环境上的。它所依托的网络本身也就是由于开放式互联形成的市场,才赢得了电子商务。因此在这一新的支撑
22、环境下,势必要用相应的技术和手段来延续和改进信息的保密性。,因此 ,要采取措施预防信息的非法存取和信息在传输过程中被非法窃取。维护商业机密是电子商务全面推广应用的重要保障。对于网上支付系统来说,他的保密性意味着系统必须满足两点:(1)私有交易不会被其它人截获及读取,既没有人能够通过拦截会话数据获得订货单中的帐户信息;(2)如果可能,应确保交易的匿名性,使交易不会被追踪,任何人无法利用“发生交易”这样的事实本身来达到别的目的。6.2信息的完整性不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动,信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各
23、方商业信息的完整统一出现了问题。而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略,因此保持贸易各方信息的完整性是网上支付系统应用必备的基础。要确保网上支付能够安全顺利的进行,还要防止未经授权的数据修改。交易双方的合同签订后就不能随意删改,以保证交易的公正性,与可行性。电子商务简化了贸易过程,减少了人为的干预,但对信息的随意生成、修改和删除会造,成差错甚至可能导致欺诈行为。数据传输过程中信息丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。这会影响贸易各方商业信息的完整性和统一性。因此保持贸易各方信息的完整性是电子商务应用的基础。完整性指资源只能由授权实体修改。网上支付系
24、统的完整性要求他提供的服务应在通信过程中接收到的消息确实是实际发送的消息,不可能在传输过程中被篡改,也不可能是一条伪造的消息。6.3可用性可用性是指一旦用户得到访问某一资源的权限,该资源就应该能够随时为他使用,而不应该将其保护起来使拥护的合法权益受到损害。在电子商务系统中,提高系统可用性有时还意味着用户仅需经一次登陆就可以访问任何其他有权访问的资源,避免对访问不同的服务使用不同的登录过程。不可否认电子商务的出现以计算机代替了人们以大多数复杂的劳动,信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整统一出现了问题。而贸易各方各类信息的完
25、整性势必影响到贸易过程中交易和经营策略,因此保持贸易各方信息的完整性是电子商务应用必备的基础。6.4不可否认性在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息或与之相反接受方收到信息后并不承认曾经收到过该条消息。因此如何确定交易中的任何一方在交易过程中所收到的交易信息,正是自己的合作对象发出的。而对方本身也没有被假冒是电子商务活动和谐顺利进行的保证。要确保网上支付系统的安全,交易一旦签订就不能被否认。因此交易的各个环节 ,都必须设法防止参与交易的任何一方的抵赖。不可否认性主要包含数据原始记录和发送记录的不可否认 ,确认数据已经完全发送和接收 ,防止接收用户更改原始
26、记录 ,防止用户在收到数据以后否认收到数据 ,并拖延自己的下一步工作。为了保证交易过程的可操作性 ,必须采取可靠的方法确保交易过程的真实性 ,保证参加电子交易的各方承认交易过程的合法性 ,在交易数据发送完成以后 ,双方都不得否认自己曾经发出或接收过信息。要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防 ,以保证贸易数据在确定的时刻 ,确定的地点是有效的。一旦事务结束,有关各方都不能否认自己参与过这次事务。6.5可审查性。根据机密性和完整性的要求 ,应对数据审查的结果进行记录 ,在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识
27、。当贸易一方发现交易行为对自己不利 ,否认电子交易行为时 ,系统应具备审查能力 ,使交易的任何一方都不能抵赖已经发生的交易行为。在传统的纸面贸易中 ,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴 ,确定合同、契约、单据的可靠性并预防抵赖行为的发生。而在无纸化的电子商务方式下 ,则应通过数字摘要、PKI、数字签名、数字凭证、CA 认证等手段 ,在交易信息的传输过程中为参与交易的个人 、企业或国家提供可靠的标识。6.6认证性要确保网上支付系统的安全,在电子商务中必须建立严格的身份认证机制 ,以确保参加交易各方的身份真实有效。首先 ,要确认当前的通讯、交易和存取要求
28、是合法的。即接收方可以确认信息来自发信者,而不是第三者冒名发送。发送方可以确认接收方的身份是真实的,而不至于发往与交易无关的第三方。要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。网上支付系统中通信的双方应能确定对方的身份,知道对方确实是他所称的那一位。在这里,确定意思并不完全意味着知道对方的准确身份,但应能做到知道自己是在与一个可靠的对象通信。七网上支付系统可能受到的攻击针对网上支付系统所进行的攻击就是试图破坏上面的六大安全特征。近一步细分又可以划分为两大类。(1)假冒和恶意破坏。由于掌握了数据的格式 并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取
29、信息 而远端用户通常很难分辨。由于攻击者可以接入网络则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。(2)窃取和篡改信息由于未采用加密措施或加密措施不利,数据信息在网络上以明文形式传送,或者是被不法者用设置网络窃听器等手段监视网上数据流、从数据包中获取敏感信息。入侵者在数据包经过的网关或路由器上可以截获传送的信息通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密,当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的。这种方法并不新鲜,在路由器或网关上都可以做
30、此类工作。八网上支付系统安全的技术解决方案 8.1加密技术8.1.1 利用加密技术保证电子商务支付的机密性密码技术在发展过程中逐渐分离出加密技术和验证技术两个分支。就加密技术而言 ,1976 年以前主要采用对称加密技术 ,这种加密技术存在着很多问题 ,如密钥分发的安全性 ,密钥规模过大、不能保证消息的真实性和完整性等。1976 年以后 ,迪飞和海尔曼创造性地提出了非对称加密算法 ,彻底解决了上述问题 ,使加密技术有了革命性的发展。8.1.2 对称加密技术对称加密技术有许多著名的算法 ,其中具有代表性的是 DES 算法。DES (Data Encryption Standard)算法是 1977
31、 年美国国际标准局(NBS)制定的标准加密算法。它把 64 位的明文输入块变成 64 位的密文输出块 ,所使用的密钥也是 64位 ,其中第 8 位奇偶校验位另作它用。DES 利用56 位的密钥 ,对64 位的输入数据块进行 16 次的排列置换 ,最后生成输出块密码。其生成步骤如下 :(1)为了产生 64 位明文的置换输入 ,对二进位进行初始排列(Initial Permutation) ,然后将结果分成32 位的左右两个数据块。(2)执行 16 次的迭代函数 f , 而每迭代一次所使用的密钥就不同, f 函数将此密钥和右侧数据块作为自己的输入参数。Li = Ri - 1 Ri = Li - 1
32、 + f (Ri - 1, Ki)(4)经 16 次迭代之后 ,输出由 6 位二进位组成的输入明文和密钥的函数结果。(5)将左右两块数据连接起来 ,对其进行再度排列 ,最终生成输出密文 ,但排列顺序刚好与初始排列相反。 (6)如果在加密过程中所使用的密钥按 K1 ,K2 , K3 , , K16 顺序,那么解密时必须要按 K16 ,K15 , K14 , , K1 顺序使用密钥。截止目前为止,还没有公开报道发现 DES算法的致命弱点 ,但 DES 算法由于密钥较短 ,容易遭受密码暴力攻击,因此 ,在具体实务中主要采用3DES算法。8.1.3 非对称性加密方式非对称密钥加密方式又称公开密钥加密。
33、它需要使用一对密钥来分别完成加密和解密功能。一个公开发布 ,即公开密钥;另一个由用户自己秘密保存 ,即私用密钥。信息发送者用公开密钥去加密 ,而信息接收者则用私用密钥去解密。公开密钥机制虽然灵活 ,但加密和解密速度却比对称密钥加密慢得多。公开密钥的加密步骤如下:(1)交互双方的用户系统 ,分别生成用来传递信息的加密和解密密钥。(2)系统将公开密钥向开放记录块和文件公布 ,而个人密钥却由自己保存。(3)用户 A 向用户 B 传递信息时 ,将使用用户B 的公开密钥进行加密。(4)用户B 接到用户 A 的加密信息之后将其解密时 ,则使用它自己的私用密钥。密钥生成算法如下:(1)随机生成两个不同大小的
34、素数 p,q。(2)计算 n= pq,(n) = ( p - 1) (q- 1) 。(3)随机选取与 p, q 无关的素数 e,1 e (n) 。(4) 利用扩展欧基里德算法求出满足 ed =1 mod (n)的整数 d。(5)用公开密钥进行加密时公开(n,e) ;用私用密钥解密时保密( p,q, (n) , d) 。其中,e为公开密钥, d 为私用密钥,n为模数。密钥的生成及应用例子如下:(1)用户B 公开密钥/私用密钥的生成(由用户B 或认证机构生成) 。取两个素数 p =47,q=71。n=47 71 =3 337,(n) =46 70 =3 220。选新的素数 e=79。利用扩展欧基里
35、德算法计算 79 d =(1 mod 3 220) 中的 d, d =1 019。用户B 的公开密钥 e=79 ,模数 n=3 337;用户B 的私用密钥 d =1 019,模数 n=3 337。(2)用户B 密钥的应用。加密技术在网上支付系统中的综合应用。结合对称技术、非对称加密技术的特点 ,在网上支付系统的支付过程中 ,主要采用非对称加密技术实现会话密钥的协商和分发;利用对称加密技术消息。既保证了消息传送的机密性 ,又保证了会话密钥分发的安全性。8.1.4 数字信封数字信封利用了上面两种加密技术的优点 来确保信息的安全传输 它克服了对称密钥加密 中对称密钥分发困难和公开密钥加密中加密时间长
36、的问题其实现过程如下:加密信息(1)产生一个对称密钥K;(2)用对称密钥加密信息M得到M*;(3)取得接收方的公钥;(4)用接收方的公钥加密对称密钥K得到K*(数字信封)(5)发送K*,M*解密信息(1)收到K*,M*;(2)用自己的私钥解密K*来得到原对称密钥K(3)用K解密M*来得到原信息M8.2利用验证技术保证电子商务支付的真实性、完整性在保证消息的真实性和完整性方面 ,主要采用的是基于非对称加密算法的验证技术 ,包括数字签名、身份验证等技术。8.2.1数字签名数字签名并不是新的加密算法 ,而是现有加密算法的综合应用。它应用的是数字摘要和公开密钥加密技术。因为数字摘要技术能够识破信息的篡
37、改,而公开密钥加密技术能够确认信息的来源。在数字签名系统中 ,信息发送方的任务是:(1)组织信息;(2)求出它的数字摘要;(3)加密数字摘要,且附上发送信息。而接收方的任务是:(1)利用发送方的密钥来解密发送方的数字摘要;(2)求出接收信息的数字摘要;(3)比较两个数字摘要 ,若相等,则说明接收信息准确无误。8.2.2 Hash函数有一个函数 f ,当已知它的自变量 x 时,很容易求出它的函数值 y = f ( x) ,但已知 y 时,很难求出它的反函数值 ,这样的函数称之为单向函数。已知一个哈希函数值 ,却很难计算它的两个相异的自变量 ,这样的函数称其为无冲突函数。如果一个哈希函数同时具备上
38、述的单向性和无冲突性 ,那么称这个函数为加密哈希函数。典型的有MD5 和 SMA。8.2.3 MD5 函数MD5(Message Digest Algorithm 5) 意为数字摘要算法5。它是 RSA 数据安全公司开发的一种加密算法。是从任意长度的字符串中生成128 位的哈希函数值。MD5 所开发的软件制品有 PGP 源码, SSLeay , RSAREF ,Cryptott , Ssh源码等。8.2.4 SMA函数SMA (Secure Hash Algorithm)是安全哈希算法。它是由美国政府公布的哈希加密标准算法。此算法从任意长度的字符串中生成 160 位的哈希函数值。8.3支付网关
39、技术的应用。 支付网关通常位于公网和传统的银行网络之间,或者终端和收费系统之间其主要功能为将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包 接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。支付网关技术,要完成通信协议转换和数据加解密功能,并可以保护银行内部网络。此外支付网关还具有密钥保护和证书管理等其它功能。有些内部使用网关还支持存储和打印数据等扩展功能交易安全是电子商务正常健康运营的关键所在,不同性质的企业应根据自身的特点选择最为安全和行之有效的防护技术。对于加密身份认证以及支付网关技术不断的加强测试,加强优化为安全运营构筑强有力的屏障。九
40、参考文献1吴功宜 ,徐敬东 ,张建忠.电子商务应用教程M.天津:南开大学出版社 ,20052 Wiener M J. Efficient DES key search.Applications C. Florida: Crypto 93 Rump Session Presentation ,1995.3 武金木.信息安全基础M.武汉:武汉大学出版社,20074 沈昌祥. 信息安全M. 杭州:浙江大学出版社 ,20075周 苏.电子商务概论M.武汉:武汉大学出版社 ,20086张俊、乔宇峰、周欣C#程序设计入门吉林电子出版社 2005.27 微软公司 SQL Server 2000数据库程序设计
41、高等教育出版社 2004.28 微软公司 ADO.NET程序设计高等教育出版社 2004.29金雪云 ASP.NET简明教程(C#篇)清华大学出版社 2006.110季久峰 专家门诊A开发答疑人民邮电出版社 2004.911 闫洪亮、潘勇 编著;ASP.NET程序设计教程上海交通大学出版社出版社,2006年1月。12 邓健、顾至亮、张宁 等编著;ASP.NET网站开发四“酷”全书电子工业出版社,2008年8月。13新一代C#与ASP.NET权威指南人民文学出版社,2004年6月。14C#高级编程人民文学出版社,2004年6月。15 吴晨 张亮 张静 编著;ASP.NET + SQL Server数据库开发与实例 清华大学出版社。16 李律松 马传宝 李 婷 编著;Visual C# + SQL Server数据库开发与实例清华大学出版社, 17 萨师煊、王珊编著;数据库系统概论高等教育出版社。18 赵杰、李涛、朱慧 编著;SQL Server数据库管理、设计与实现教程清华大学出版社,2004年3月。- 20 -