电子商务文档.docx

1、电子商务文档一、数据管理技术的实现本文以支付宝的数据管理技术为例进行介绍：支付宝使用的数据库为SQL Server，由于涉及到众多的客户商家和商品信息，因此需要建立一系列数据库储存这些数据。首先用户注册时后台就建立一个以用户注册名或者邮箱名等为名称的数据库，用户的所有数据都储存在此数据库中。一个用户涉及到底实体型主要有：个人实体、账户实体、交易实体、安全实体、活动实体。每一个实体的属性较多，这里只列出一部分，具体见下图。个人实体真实姓名登录名登录密码联系方式注册时间支付密码账户状态信用信息账户实体可用余额登录名冻结资金积分数红包数账户类型提现银行关联账户交易实体创建时间登录名类型交易号行为交易

2、对方商品名称金额交易状态可执行状态备注安全实体登录密码登录名支付密码数字证书安全保护问题支付宝信使付款前风险提示活动实体活动名称登录名活动图片活动状态活动周期活动简介奖励简介操作图3.8 实体图在数据库中建立相应的数据表后视图如下所示：图3.9 数据库视图各个实体之间的联系E-R 图如图所示：图3.10 E-R 图下面以一个具体的交易过程说明数据管理技术在第三方支付平台中的实现（以支付宝为例）：客户登陆支付宝，后台验证客户的密码，验证成功后就读取数据库中的数据并通过网页显示给客户，这个过程主要就是将数据库中的相关信息通过网页中的模块显示出来；用户浏览商品信息，并选中所需要的商品决定购买，此时就

3、涉及到交易模块，后台会在客户、商家和自身的交易数据库中记录本次交易的相关信息，主要有商品名称、数量、收货地点等等；接下来进行支付，买家通过网银或者支付宝等工具将货款进行支付，此时就会发生交易数据库的更新，买家支付的款项划到支付宝的专用资金账户中，如果使用的是支付宝支付，就会是买家账户中的余额信息发生改变，相应买家账户数据表中的余额信息改变，支付宝资金数据表中信息也会改变；支付宝通知卖家发货，卖家一旦发货，交易状态信息立即改变，卖家商品库中的商品信息也相应改变；买家收到货物，验货后若和合同的一致，买家确认收货，交易信息改变，支付宝会将买家支付的款项划到卖方的账户之中，更新专用资金账户和卖家账户的

4、资金信息；若货物与合同信息不一致，买家通知支付宝退货，卖家收到货物后将此次交易关闭，交易信息发生改变，支付宝将买家支付的款项退回到买家的账户之中，更新专用资金账户和买家账户的资金信息。通过本次交易，交易双方评价对方后会发生交易双方信用信息的改变，此时个人的信息数据发生变化。数据管理就是管理用户使用过程中的相关操作和具体交易的信息，这些主要是通过后台数据库实现的，涉及到的数据操作主要有：选择、插入、删除、更新、查找、排序、总数、求和、平均、最大、最小。数据管理能快速准确地处理信息，加速了第三方支付平台的发展。二、加密技术的实现加密技术主要通过加密算法实现。常见的加密算法有DES、RSA、DSA等

5、等。数据加密就是对原来为明文的文件或者数据按某种算法进行处理，使其成为不可读的一段代码，通常成为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。1、DES加密算法DES 使用一个56 位的密钥以及附加的8 位奇偶校验位，产生最大64位的分组大小。这是一个迭代的分组密码，使用称为Feistel 的技术，其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能，然后将输出与另一半进行“异或”运算；接着交换这两半，这一过程会继续下去，但最后一个循环不交换。DES 使用16 个循环，使用异或，置换，代换，移位操作四种基本运算。可以用

6、公式表示如下：Li=Ri-1Ri=Li-1+ f（Ri-1，Ki）i=1，2，3，16加密过程如下图：（IP 为初始置换，IP-1 为逆初始置换）其中Ki 为子密钥，f 为一能将32 比特的Ri-1 和48 比特的子密钥两个输入参数映射为一个32 比特输出的函数。2、RSA加密算法密钥的产生。选取两个保密的大素数p 和q，计算n=p*q，f(n)=(p-1)(q-1)，其中f(n)是n 的欧拉函数，选一整数e，满足1e_殭加密算法，属于商业信息的加密。它采用公开密钥技术。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。三、PKI技术的实现由于PKI 技术包括加密，

7、因此在这里对加密不再做介绍。1、数字签名和完整性验证的实现数字签名是指附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性，有效地防止数据被伪造或篡改。数据签名的一般过程如下（设A 为发送者，B 为接收者，P 为要发送的明文，M 为消息摘要，H 为消息摘要算法，Kxp 为X(A 或B)的公开密钥，Kxs 为X 的私有密钥，K 为A、B 间为一次会话随机产生的会话密钥）：A 用消息摘要函数对要发送的明文P 生成消息摘要M。然后用自己的私有密钥加密M 生成签名Cm。A 随机产生一个会话密钥K，用B 的公开密钥加密发送给B。B

8、用私有密钥解密获得会话密钥K。A 用会话密钥K 加密明文P 和签名Cm。B 用K 解密接收到的密文，得到P1 和Cml。B 利用摘要函数H 对接收到的消息P1 生成摘要M。B 利用A 的公钥解密接收到的签名Cml，得到消息摘要M1。 比较接收到的消息摘要M1 和自己运算出来的消息摘要M。如果相同，就验证了消息的完整性和不可否认性；如果不同，则该消息不能通过验证，可能是其传输中出现问题（如被篡改）或发送者是可疑的，应予丢弃。利用数据签名可以有效地保证数据的完整性和不可否认性。发送者和接收者两端对消息所做的处理及消息流序如下所示：发送者A接收者B：H(P)M；Kas(M) Cm；Kbp(K)；Kb

9、s(Kbp(K) K；K(P+Cm) ；K(K(P+Cm) P1+Cm1；H(P1) M；Kap(Cml) M1；Compare(M1，M)。2、实例分析PKI技术在第三方支付平台中的实现系统采用数字证书实现对商家和客户的身份认证，使用公钥加密和数字签名保证通信数据的完整性和保密性，使用时间戳服务实现订单时间的不可抵赖性，并通过签名加密的电子邮件实现各参与者之间的数据通信。下面是对第三方支付系统的交易过程中PKI 技术实现的分析：客户浏览电子商务站点，进行客户端认证。客户通过互联网连接到电子商务站点，并要求服务器出示服务器证书，认证站点服务器身份。同时，站点服务器向客户端发出认证请求，客户将自

10、己的客户证书发送给服务器，服务器检查客户证书的有效性，包括验证用户证书，检查证书是否由可信的证书颁发机构签发，检查证书是否过期或被撤销等。双方身份认证完成后进入购买阶段。客户购买商品，发送订单客户确定所需商品后，需要向商家发送订单。订单内容包括发送给商家的订单信息(OI)和发给支付网关的支付信息(PI)。双重签名(signH(OP)：客户将OI 和PI 均通过Hash 函数得到订单摘要(OIMD)和支付摘要(PIMD)，将OIMD 和PIMD 合并后再Hash 得到POMD，使用自己的私钥加密POMD，生成双重签名。订单指令(OI)：包含客户购买的订单信息。客户使用对称密钥加密订单，同时用站点

11、服务器的公钥加密对称密钥，两者结合在一起形成OI 的数字信封。客户将订单信息(OI)，支付信息摘要(PIMD)和双重签名一起发送给商家。支付指令(PI)：包括客户的信用卡号、密码等支付信息。客户同样使用对称密钥和发卡行的公钥生成PI 的数字信封，并将支付信息(PI)、订单信息摘要(OIMD)和双重签名发送给支付网关。服务器接受订单，验证信息并请求时间戳。服务器在收到客户发来的订单指令后，通过客户公钥获取订单摘要，并将订单摘要发送给时间戳服务器。时间戳服务器将该订单摘要和当前日期、时间的摘要合并，生成时间戳，利用时间戳服务器的私钥签名，返回给站点服务器。站点服务器利用时间戳公钥解密，以确定当前交

12、易发生的时间，实现的交易时间的不可抵赖。服务器验证订单信息和签名，通过自己的私钥解密数字信封得到对称密钥，使用对称密钥解密得到一份订单。服务器使用相同的Hash 函数作用这份订单，得到一份新的订单摘要(OIMD2)；然后将OIMD2 客户发来的PIMD 合并后再Hash，得到一份新的双重摘要(OPMD2)，服务器通过比对这份OPMD2与用户发来的双重签名中的OPMD，若两份摘要相同，则到此完成订单的验证。记录交易数据。在此我们可以看到，客户使用自己的私钥加密摘要(即数字签名)，服务器使用该客户公钥解密，保证了订单信息来自该客户；订单信息使用对称公钥加密，对称公钥使用服务器的公钥加密，这样只有才

13、能服务器使用自己的私钥得到对称公钥，进而得到订单信息，因此订单信息只能由服务器端得到并解析；服务器端比对订单信息的新生成摘要和客户发来的摘要，保证的信息在发送过程中没有受到第三方的篡改；最后，通过一个可信的第三方时间戳服务器实现了时间上的不可抵赖。由以上分析可知，使用PKI 系统可以使电子商务交易过程中的信息保密性、完整性、有效性、通信双方的可鉴别性和交易时间的不可抵赖性等诸多要求都得到很好的保障。支付网关验证用户的支付信息，完成网上支付。这一环节的验证方式类似于3 中服务器对订单信息的验证，具体流程不在重复叙述。这里客户使用了将订单信息和支付信息结合的双重签名，并分别向电子商务网站服务器发送

14、OI，PIMD，signH(OP)，向支付网关发送PI, OPMD,signH(OP)。这样网站服务器和支付网关在进行信息完整性验证时，只需要对自己所需的信息Hash 得到摘要，然后与另一份摘要合并，得到双重摘要后进行验证。这样一方面保证了电子交易在指定的（客户，电子商务网站，支付网关）三方之间进行，不受外部的干扰和破坏；另一方面使电子商务网站不必得知用户的信用卡密码等信息，支付网关不必得知用户的具体订单，保证了各方均能得到并只能得到自己所需要的那一部分信息，极大的维护了三方交易的机密性和安全性。四、身份认证技术的实现1、实名认证的实现以支付宝实名认证为例：登录支付宝后，在“我的支付宝”首页点

15、击申请，可以通过支付宝卡通和其他方式进行，支付宝卡通实现较为简单，因为申请时就已经提交了相关的信息，只要和卡通上的信息核对即可。其他方式主要是身份证件认证，填写了身份证件号和真实姓名后提交，再填写个人信息和账户信息，确认后提交，此时后台就会通过其与公安机关和银行的接口对用户输入的信息进行核对，核对一致后就会提醒用户认证申请成功，如果不一致，就会提示核实未通过，请重新输入。2、静态密码的实现静态密码的实现较为简单，当用户输入密码后，根据后台用户数据库中保存的密码信息验证即可实现。3、智能卡的实现首先用户必须拥有智能卡，芯片中设计了一系列的算法用以保密用户的数据，当储存了个人用户的数据之后，用户携

16、带它即可实现认证。4、短信密码的实现短信密码是一种动态密码，第三方支付平台后台拥有短信网关，当用户需要使用它时，短信网关服务器端通过相应的算法生成6 位随机的密码人后通过手机短信发送到客户的手机上，用户输入就可以了。5、动态口令牌的实现根据特定的算法生成不可预测的随机数字组合，每个口令只能使用一次。现在主要有硬件令牌和手机令牌。硬件令牌主要是基于时间同步的，它每60秒变换一次口令，产生6 位或8 位数字。手机令牌是在手机上生成动态口令的客户端软件。通过手机令牌和硬件令牌产生口令，即可实现。6、数字签名的实现数字签名主要通过公钥加密技术实现，在公钥加密技术里，每一个使用者有一对密钥：一把公钥和一

17、把私钥。公钥可以自由发布，但私钥则必须秘密保存；不可能通过公钥推算出私钥。7、生物识别技术的实现生物识别技术产品需要借助于现代计算机技术实现。以指纹识别例：首先需要采集指纹图像，主要是通过光学录入技术、超声波录入技术和芯片录入技术，然后对图像进行解码，最后就是比对和匹配，这里要涉及到比对和匹配算法。其他技术都与之类似。五、信用评价的实现信用评价主要包含：专业机构、特定对象、履约能力、评价、符号等因素。下文以支付宝为例进行分析。信用评价是会员在淘宝网交易成功后，在评价有效期内（应具体情况而定），就该笔交易互相做评价的一种行为。买家可以针对订单中每项买到的宝贝进行好、中、差评；卖家可以针对订单中每

18、项卖出的宝贝给买家进行好、中、差评。这些评价统称为信用评价。只有使用支付宝并且交易成功的交易评价才能计分，非支付宝的交易不能评价。淘宝都将信用评价分为好评、中评、差评3 个等级，好评加1 分，中评分数不变，差评减1 分。淘宝规定，买家可以为卖家留下好评、中评或差评，以及简短的评语；卖家也可以为买家留下好评、中评或差评，以及简短的评语。淘宝规定，买家在为卖家留下评价时，可以选择匿名进行评价，这样的话出价记录和评价记录都将匿名显示。若买家评价时没有选择匿名进行，则评价后的30 天内，还有一次机会将评价改为匿名评价。淘宝规定，如交易一方给出好评而另一方未评，在交易成功15 天后，系统默认给予评价方好评。淘宝规定，中评或差评在评价后30 天内，评价方有一次自主更改或修改的机会，可以进行修改，但仅限于修改成好评，也可以删除。每个自然月中，相同买家和卖家之间的评价计分不超过6 分（以支付宝交易创建的时间计算），超出计分规则范围的评价将不计分。若14 天内相同买卖家之间就同一商品，有多笔支付宝交易，则多个好评只计1 分，多个差评只计-1 分。一笔网上交易于交易生成时间起的3-45 天内为评价有效期，有效期过后不能评价。支付宝交易成功可以立即进行评价。通过信用评价，买家和卖家就获得了相应的积分，积分代表着信用度，交易中买家和卖家的信用度都分为20 个级别，积分越多，级别越高，信用度也越高。