文档介绍：1第7讲电子商务协议 2 ?电子商务协议( ): ?在 EC 模型中,四方交流交互关系必须遵循的规则。以此保证各方利益和安全, 并能控制风险。 3 EC 协议的设计原则?1。匿名性( anonymity ) ? 匿名性可以保护客户的隐私,但许多国家将匿名交易定为非法。如没过反洗钱法规定 EC 必须保证: ? 1万美元交易即报告? 100 美元应记录?解决办法:通过可信任的采购代理购物, ?由采购代理保存客户信息,追踪到代理为止。 4 ?2。安全性(security) ?是 EC 中最重要的性质,当前信用卡方式不安全, ∵卡号经网络传送,容易被窃取。? ~ 14600 名美、加游客在墨西哥游玩,信用卡损失达 2500 万美元。?3。不可否认性( nonrepudiation ) ? EC 中通过数字签名确保各方发出信息的不可抵赖性。 5 ?4。原子性(atomicity) ? 1. 钱原子性:EC 中的资金流守性,现金交易满足钱原子性。一方减少=另一方增多。? :首先满足钱原子性,其次,保证付款一定会得到商品。得到了商品则一定付了款。不存在付了款未得到商品或者得了商品而未付款的情况。货到付款即满足该性质。? :首先满足 2.,其次确认客户得到了商品(保质保量),商家发送了商品。实现时,可设计一个可信第三方。?5。交易规模(transaction size) ?开发特定的微交易(<$1 美元) 6 ? EC 协议: ① SSL, ② SET, ③匿名原子交易协议, ④ NETbill 协议, ⑤安全智能贸易代理协议, ⑥基于 PKC 的安全电子软件分销协议。?1。电子交易协议 SET ? (secure electronic transaction) ? SET: 1. 满足钱原子性,但不满足商品原子性和确认发送原子性。 7 ? 。①客户 C, ②商家 M,③支付网关 P, ④收单行 A,⑤金融专网, ⑥发卡行 I 图3 SET 协议流程 C ①(customer) 客户 M ②(merchant) 商家 P (payment ③ gateway) A ④( acquirer ) 收单行 I (issuer) ⑥发卡行 abcdej fi gh 8 (1) 客户 C向商家 M发出来采购请求(图3中的消息 a)。(2) 商家 M向客户 C报价(目录清单)(图3中的消息 b)。(3) 客户 C同意报价,并对订单 OI(order instructions) 进行数字签名: OI`=DSKC(OI) ?然后将 OI` 发给商家 M( 图3中的消息 C) ?(4) 商家 M堆收到的 OI` 解密: ? OI`=EPKC(OI`) 确认订单 OI 为客户 C所发。商家将自己的数字证书 CerM 、支付网关的数字证书 Cerp (事先储存再商家 M的服务器中)以及付款要求 Pay 进行数字签名: ?γ= DSKM(CerM , Cerp , Pay) ?然后发给客户 C( 图3中的消息 d) 9 ?(5) 客户 C收到γ,对γ进行解密: ?( CerM , Cerp , Pay) = EPKM( γ) ?确认γ为M所发,确认商家 M和支付网关 p的身份。客户 C生成按 Pay 要求的支付命令 P1(payment instructions), 并进行数字签名: PI`= DSKC(PI) ?客户 C取随机生成的一个对称密钥 K,由 K对 PI` 进行加密: PI`` = EK(PI`) ?对客户 C的帐户信息 PAN(C 的性命、信用卡号等)和 K用支付网关 p的公钥进行加密: ? P1= EPKP(PAN,K) ?以上两步加密防止了商家 M获悉有关客户 C支付的信息,只有支付网关 p才能解密。对客户 C的数字证书 CerC , PI`` 及 P1 进行数字签名: ?γ 1=( CerC , PI``, P1) ?然后发给商家 M( 图3中的消息 e)。 10 ?(6) 商家 M对收到的γ1进行解密: ?( CerC , PI``, P1)= EPKC( γ 1) 确认为客户 C所发。?对 CerC , PI``, P1 和商家 M自己的数字证书 CerM 进行数字签名: γ 2= DSKM(CerM,CerC , PI``,PI) ?然后发送给支付网关 p(图3中的消息 f) ?(7) 支付网关 p对收到的γ2进行解密: ?( CerM,CerC