②加密。
加密时首先对明文比特串分组,使得每个分组对应的十进制数小于n,即分组长度小于Log2n,然后对每个明文分组m,做加密运算。
C=memodn。
③解密。
对密文分组的解密运算为m=Cdmodn。
第三方支付平台中常用的128位SSL加密技术采用了RC4、MD5以及RSA等_畳>_殭加密算法,属于商业信息的加密。
它采用公开密钥技术。
其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。
三、PKI技术的实现
由于PKI技术包括加密,因此在这里对加密不再做介绍。
1、数字签名和完整性验证的实现
数字签名是指附加在数据单元上的一些数据,或是对数据单元所做的密码变换,这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性,有效地防止数据被伪造或篡改。
数据签名的一般过程如下(设A为发送者,B为接收者,P为要发送的明文,M为消息摘要,H为消息摘要算法,Kxp为X(A或B)的公开密钥,Kxs为X的私有密钥,K为A、B间为一次会话随机产生的会话密钥):
①A用消息摘要函数对要发送的明文P生成消息摘要M。
②然后用自己的私有密钥加密M生成签名Cm。
③A随机产生一个会话密钥K,用B的公开密钥加密发送给B。
④B用私有密钥解密获得会话密钥K。
⑤A用会话密钥K加密明文P和签名Cm。
⑥B用K解密接收到的密文,得到P1和Cml。
⑦B利用摘要函数H对接收到的消息P1生成摘要M'。
⑧B利用A的公钥解密接收到的签名Cml,得到消息摘要M1。
⑨比较接收到的消息摘要M1和自己运算出来的消息摘要M'。
如果相同,就验证了消息的完整性和不可否认性;如果不同,则该消息不能通过验证,可能是其传输中出现问题(如被篡改)或发送者是可疑的,应予丢弃。
利用数据签名可以有效地保证数据的完整性和不可否认性。
发送者和接收者两端对消息所做的处理及消息流序如下所示:
发送者A
接收者B:
H(P)→M;
Kas(M)→Cm;
Kbp(K);Kbs(Kbp(K))→K;
K(P+Cm);
K(K(P+Cm))→P1+Cm1;
H(P1)→M';
Kap(Cml)→M1;
Compare(M1,M')。
2、实例分析PKI技术在第三方支付平台中的实现
系统采用数字证书实现对商家和客户的身份认证,使用公钥加密和数字签名保证通信数据的完整性和保密性,使用时间戳服务实现订单时间的不可抵赖性,并通过签名加密的电子邮件实现各参与者之间的数据通信。
下面是对第三方支付系统的交易过程中PKI技术实现的分析:
①客户浏览电子商务站点,进行客户端认证。
客户通过互联网连接到电子商务站点,并要求服务器出示服务器证书,认证站点服务器身份。
同时,站点服务器向客户端发出认证请求,客户将自己的客户证书发送给服务器,服务器检查客户证书的有效性,包括验证用户证书,检查证书是否由可信的证书颁发机构签发,检查证书是否过期或被撤销等。
双方身份认证完成后进入购买阶段。
②客户购买商品,发送订单客户确定所需商品后,需要向商家发送订单。
订单内容包括发送给商家的订单信息(OI)和发给支付网关的支付信息(PI)。
双重签名(sign[H(OP)]):
客户将OI和PI均通过Hash函数得到订单摘要(OIMD)和支付摘要(PIMD),将OIMD和PIMD合并后再Hash得到POMD,使用自己的私钥加密POMD,生成双重签名。
订单指令(OI):
包含客户购买的订单信息。
客户使用对称密钥加密订单,同时用站点服务器的公钥加密对称密钥,两者结合在一起形成OI的数字信封。
客户将订单信息(OI),支付信息摘要(PIMD)和双重签名一起发送给商家。
支付指令(PI):
包括客户的信用卡号、密码等支付信息。
客户同样使用对称密钥和发卡行的公钥生成PI的数字信封,并将支付信息(PI)、订单信息摘要(OIMD)和双重签名发送给支付网关。
③服务器接受订单,验证信息并请求时间戳。
服务器在收到客户发来的订单指令后,通过客户公钥获取订单摘要,并将订单摘要发送给时间戳服务器。
时间戳服务器将该订单摘要和当前日期、时间的摘要合并,生成时间戳,利用时间戳服务器的私钥签名,返回给站点服务器。
站点服务器利用时间戳公钥解密,以确定当前交易发生的时间,实现的交易时间的不可抵赖。
服务器验证订单信息和签名,通过自己的私钥解密数字信封得到对称密钥,使用对称密钥解密得到一份订单。
服务器使用相同的Hash函数作用这份订单,得到一份新的订单摘要(OIMD2);然后将OIMD2客户发来的PIMD合并后再Hash,得到一份新的双重摘要(OPMD2),服务器通过比对这份OPMD2与用户发来的双重签名中的OPMD,若两份摘要相同,则到此完成订单的验证。
记录交易数据。
在此我们可以看到,客户使用自己的私钥加密摘要(即数字签名),服务器使用该客户公钥解密,保证了订单信息来自该客户;订单信息使用对称公钥加密,对称公钥使用服务器的公钥加密,这样只有才能服务器使用自己的私钥得到对称公钥,进而得到订单信息,因此订单信息只能由服务器端得到并解析;服务器端比对订单信息的新生成摘要和客户发来的摘要,保证的信息在发送过程中没有受到第三方的篡改;最后,通过一个可信的第三方时间戳服务器实现了时间上的不可抵赖。
由以上分析可知,使用PKI系统可以使电子商务交易过程中的信息保密性、完整性、有效性、通信双方的可鉴别性和交易时间的不可抵赖性等诸多要求都得到很好的保障。
④支付网关验证用户的支付信息,完成网上支付。
这一环节的验证方式类似于3中服务器对订单信息的验证,具体流程不在重复叙述。
这里客户使用了将订单信息和支付信息结合的双重签名,并分别向电子商务网站服务器发送{OI,PIMD,sign[H(OP)]},向支付网关发送{PI,OPMD,sign[H(OP)]}。
这样网站服务器和支付网关在进行信息完整性验证时,只需要对自己所需的信息Hash得到摘要,然后与另一份摘要合并,得到双重摘要后进行验证。
这样一方面保证了电子交易在指定的(客户,电子商务网站,支付网关)三方之间进行,不受外部的干扰和破坏;另一方面使电子商务网站不必得知用户的信用卡密码等信息,支付网关不必得知用户的具体订单,保证了各方均能得到并只能得到自己所需要的那一部分信息,极大的维护了三方交易的
机密性和安全性。
四、身份认证技术的实现
1、实名认证的实现
以支付宝实名认证为例:
登录支付宝后,在“我的支付宝”首页点击申请,可以通过支付宝卡通和其他方式进行,支付宝卡通实现较为简单,因为申请时就已经提交了相关的信息,只要和卡通上的信息核对即可。
其他方式主要是身份证件认证,填写了身份证件号和真实姓名后提交,再填写个人信息和账户信息,确认后提交,此时后台就会通过其与公安机关和银行的接口对用户输入的信息进行核对,核对一致后就会提醒用户认证申请成功,如果不一致,就会提示核实未通过,请重新输入。
2、静态密码的实现
静态密码的实现较为简单,当用户输入密码后,根据后台用户数据库中保存的密码信息验证即可实现。
3、智能卡的实现
首先用户必须拥有智能卡,芯片中设计了一系列的算法用以保密用户的数据,当储存了个人用户的数据之后,用户携带它即可实现认证。
4、短信密码的实现
短信密码是一种动态密码,第三方支付平台后台拥有短信网关,当用户需要使用它时,短信网关服务器端通过相应的算法生成6位随机的密码人后通过手机短信发送到客户的手机上,用户输入就可以了。
5、动态口令牌的实现
根据特定的算法生成不可预测的随机数字组合,每个口令只能使用一次。
现在主要有硬件令牌和手机令牌。
硬件令牌主要是基于时间同步的,它每60秒变换一次口令,产生6位或8位数字。
手机令牌是在手机上生成动态口令的客户端软件。
通过手机令牌和硬件令牌产生口令,即可实现。
6、数字签名的实现
数字签名主要通过公钥加密技术实现,在公钥加密技术里,每一个使用者有一对密钥:
一把公钥和一把私钥。
公钥可以自由发布,但私钥则必须秘密保存;不可能通过公钥推算出私钥。
7、生物识别技术的实现
生物识别技术产品需要借助于现代计算机技术实现。
以指纹识别例:
首先需要采集指纹图像,主要是通过光学录入技术、超声波录入技术和芯片录入技术,然后对图像进行解码,最后就是比对和匹配,这里要涉及到比对和匹配算法。
其他技术都与之类似。
五、信用评价的实现
信用评价主要包含:
专业机构、特定对象、履约能力、评价、符号等因素。
下文以支付宝为例进行分析。
信用评价是会员在淘宝网交易成功后,在评价有效期内(应具体情况而定),就该笔交易互相做评价的一种行为。
买家可以针对订单中每项买到的宝贝进行好、中、差评;卖家可以针对订单中每项卖出的宝贝给买家进行好、中、差评。
这些评价统称为信用评价。
只有使用支付宝并且交易成功的交易评价才能计分,非支付宝的交易不能评价。
淘宝都将信用评价分为好评、中评、差评3个等级,好评加1分,中评分数不变,差评减1分。
淘宝规定,买家可以为卖家留下好评、中评或差评,以及简短的评语;卖家也可以为买家留下好评、中评或差评,以及简短的评语。
淘宝规定,买家在为卖家留下评价时,可以选择匿名进行评价,这样的话出价记录和评价记录都将匿名显示。
若买家评价时没有选择匿名进行,则评价后的30天内,还有一次机会将评价改为匿名评价。
淘宝规定,如交易一方给出好评而另一方未评,在交易成功15天后,系统默认给予评价方好评。
淘宝规定,中评或差评在评价后30天内,评价方有一次自主更改或修改的机会,可以进行修改,但仅限于修改成好评,也可以删除。
每个自然月中,相同买家和卖家之间的评价计分不超过6分(以支付宝交易创建的时间计算),超出计分规则范围的评价将不计分。
若14天内相同买卖家之间就同一商品,有多笔支付宝交易,则多个好评只计1分,多个差评只计-1分。
一笔网上交易于交易生成时间起的3-45天内为评价有效期,有效期过后不能评价。
支付宝交易成功可以立即进行评价。
通过信用评价,买家和卖家就获得了相应的积分,积分代表着信用度,交易中买家和卖家的信用度都分为20个级别,积分越多,级别越高,信用度也越高。