第7讲电子商务协议.pptVIP

第7讲 电子商务协议 电子商务协议(EC.protocol): 在EC模型中，四方交流交互关系必须遵循的规则。以此保证各方利益和安全，并能控制风险。 7．电子EC协议的设计原则 1。匿名性（anonymity） 　　　匿名性可以保护客户的隐私，但许多国家将 匿名交易定为非法。如没过反洗钱法规定EC必须保证: 1.超过1万美元交易即报告 2.超过100美元应记录 解决办法:通过可信任的采购代理购物， 由采购代理保存客户信息，追踪到代理为止。 2。安全性(security) 是EC中最重要的性质，当前信用卡方式不安全，∵卡号经网络传送，容易被窃取。 1997.7～1998.6 14600名美、加游客在墨西哥游玩，信用卡损失达2500万美元。 3。不可否认性(nonrepudiation) EC中通过数字签名确保各方发出信息的不可抵赖性。 4。原子性(atomicity) 1.钱原子性:EC中的资金流守性，现金交易满足钱原子性。一方减少＝另一方增多。 2.商品原子性:首先满足钱原子性，其次，保证付款一定会得到商品。得到了商品则一定付了款。不存在付了款未得到商品或者得了商品而未付款的情况。货到付款即满足该性质。 3.确认发送原子性:首先满足3.一定满足1.和2.，其次确认客户得到了商品(保质保量)，商家发送了商品。实现时，可设计一个可信第三方。 5。交易规模(transaction size) 开发特定的微交易($1美元) 8．几类EC协议: ①SSL,②SET, ③匿名原子交易协议，④NETbill协议，⑤安全智能贸易代理协议，⑥基于PKC的安全电子软件分销协议。 1。电子交易协议SET (secure electronic transaction) SET: 1.满足钱原子性，但不满足商品原子性和确认发送原子性。 2.采用数字签名防止任一方的抵赖。 (1)客户C向商家M发出来采购请求(图3中的消息a)。 (2)商家M向客户C报价(目录清单)(图3中的消息b)。 (3)客户C同意报价，并对订单OI(order instructions)进行数字签名: OI`=DSKC(OI) 然后将OI`发给商家M(图3中的消息C) (4)商家M堆收到的OI`解密: OI`=EPKC(OI`) 确认订单OI为客户C所发。 商家将自己的数字证书CerM、支付网关的数字证书Cerp (事先储存再商家M的服务器中)以及付款要求Pay进行数字签名: γ＝DSKM(CerM, Cerp, Pay) 然后发给客户C(图3中的消息d) (5) 客户C收到γ，对γ进行解密: (CerM, Cerp, Pay)＝EPKM(γ) 确认γ为M所发，确认商家M和支付网关p的身份。客户C生成按Pay要求的支付命令P1(payment instructions),并进行数字签名: PI`= DSKC(PI) 客户C取随机生成的一个对称密钥K，由K对PI`进行加密: PI``＝EK(PI`) 对客户C的帐户信息PAN(C的性命、信用卡号等)和K用支付网关p的公钥进行加密: P1= EPKP(PAN,K) 以上两步加密防止了商家M获悉有关客户C支付的信息，只有支付网关p才能解密。对客户C的数字证书CerC, PI``及P1进行数字签名: γ1=(CerC, PI``, P1) 然后发给商家M(图3中的消息e)。 (6) 商家M对收到的γ1进行解密: (CerC, PI``, P1)= EPKC(γ1) 确认为客户C所发。 对CerC, PI``, P1和商家M自己的数字证书CerM进行数字签名: γ2= DSKM(CerM,CerC, PI``,PI) 然后发送给支付网关p(图3中的消息f) (7) 支付网关p对收到的γ2进行解密: (CerM,CerC, PI``,PI)= EPKM(γ2) 确认为商家M所发。 对P1进行解密，确认为客户C所发信息 (PAN,K)= DSKP(P1)利用其中的对称密钥K对PI``进行解密: PI`= DK(PI``) 再对所得到的PI`进行解密: PI= EPKC(PI`) 获得曾由客户C数字签名的支付命令PI。将支付命令PI经由安全的金融专网发给发卡行I(图3中的消息g)。 （8）发卡行I进行验证，确认客户C的帐号有效（有足够余额），然后将经验证有效的支付命令PI经以后金融专网发还给支付网关p(图3中的消息h)，客户帐号和商家帐号间发生资金划拨(这不是由SET协议规定的)。 (9) 支付网关p向商家M法支付已讫消息M