电子商务交易流程及其用到的公钥体制
19901042 石浩 现阶段网上交易大致采用以下形式:
1. 消费者开始浏览商家的网页
2. 消费者选择物品进购物篮
3. 消费者结帐,提交支付请求,商家从浏览器唤醒电子钱包
4. 消费者发送初始请求给商家,(自此以后由电子钱包自动进行)
--------------以下的各步骤将用到公钥体制进行加密
5. 商家发送初始应答及证书
6. 消费者收到应答并发送购买请求
7. 商家收到购买请求
8. 商家发送支付授权请求
9. 支付网关收到授权请求
10. 发送金融信息给金融机构
11. 金融机构返回应答消息
12. 支付网关授权应答
13. 商家处理授权应答
14. 商家向消费者发送支付成功消息
15. 消费者收到确认消息
其中10,11银行的网关和银行内部网交易的过程,主要是进行交易信息与银行内部的交易数据格式的转化。
交易主要涉及支付网关,商家,消费者三方,在交易前,必须准备安全交易平台,即提供了安全机制。
网上交易流程
(C--custom,M—merchant,P—payment),传递的证书包括一些信息和公钥。
消费者开始浏览商家的网页
建立安全的通道,要求WWW 服务器具有服务器证书(此处的证书并非用于交易,只是建立浏览器的SSL连接,也可以不用SSL连接)。在消费者发起HTTP请求时,自动建立SSL连接。建立安全通道的目的主要保证用户在选择物品和填写送货信息时的信息安全。
消费者选择物品进购物篮
消费者选择物品进购物篮时,商户系统为消费者建立定单号。
消费者结帐 消费者选择结帐方式,一般采用网上支付开始网上支付。非网上交易的(如邮购等)不算是真正的电子商务。用户提交一个支付按纽时,商家向用户浏览器发出wakeup的消息,唤醒用户的电子钱包。电子钱包可以是浏览器自带的(如IE的E-wallet),也可以是CA推荐的软件(如中银电子钱包BOC_Ewallet,8848上使用).
以下的每一步将用到公钥加密。
消费者发送初始请求给商家PInitReq
1) 消费者发送初始请求给商家;
在消费者填写合适的帐号信息后,提交支付,发送初始请求。消息中包括银行信息和定单号,以便于商家选择合适的支付网关(即选择用户的开户行);
商家发送初始应答及证书 PInitRes
2) 商家收到初始请求;
3) 商家产生应答信号并数字签名,应答消息包括商家号,定单号,费用,定单细目的摘要,时间;
商家在发送下列信息前,应先获得支付网关的密钥交换证书;
4) 商家将初始应答和商家证书、支付网关证书一并传给消费者;
Signature ( Merchant-ID + digest(Order-Info), Certificate(M)) + Certificate(M) + + Certificate(P) + Merchant-ID
消费者收到应答并发送购买请求Preq
5) 消费者收到商家应答,并验证商家证书;
用M的公钥解开M的数字签名,对比签名中的内容是否和签名外的内容一样,验证商家证书。
6) 消费者验证商家签名;验证定单细目是否一致;
消费者产生订购信息(OI);
包括(商家号,定单号,定单细目的摘要,时间);
对该摘要用自身签名私钥加密,形成数字签名:Signature ( OI,Certificate(C));
7) 消费者产生支付信息(PI);
包括(商家号,定单号,费用,信用卡号,密码,时间);
对上述信息进行的数字签名:Signature ( PI, Certificate(C);
用支付网关的公钥加密PI信息作成给支付网关的数字信封,成为加密的PI信息,该信息只有用支付网关的私钥解开,商家无法解开,以确保用户的金融信息不会被商家得知;OI商家需要知道,所以不用支付网关的私钥加密。
Envelope P ( Signature ( PI, Certificate(C) )
8) 消费者将OI和加密的PI作成给商家的数字信封;
Envelopem(Signature ( OI,Certificate(C)) + EnvelopeP( Signature ( PI, CertificateS(C) ))
9) 消费者将上一步中产生的数字信封传递给商家;
同时将消费者证书传递给商家;
Envelopem(Signature(OI,Certificate(C))+Envelope(Signature(PI,Certificate(C)), Certificate(C) ) )
商家收到购买请求 PRes
10) 商家接收到购买请求,解开数字信封,获得OI;
11) 商家验证消费者证书
12) 商家处理请求消息(比较定单的摘要是否相同,并将支付信息送给支付网关授权)。
Signature ( Merchant_ID + Order_ID + OrderInfo + Time, Certificate(M) ) + Certifiate(M)
商家发送支付授权请求
1) 商家产生授权请求;
包括(商家号,定单号,费用,时间);
商家的帐号信息在支付网关的数据库中对应;
2) 商家对授权请求进行数字签名;
Signature ( Merchant-ID + digest(Order-Info)+Cost+Time, Certificate(M)) + Certificate(M) )
3) 商家将签名后的授权请求消息形成对支付网关的数字信封;
4) 商家将以上形成的数字信封,及消费者发送给支付网关的PI数字信封及商家证书发送给支付网关;
Envelopep(Signature ( Merchant-ID + digest(Order-Info)+Cost+Time, Certificate(M)) + Certificate(M) ), Envelope P ( Signature ( PI, Certificate(C) ), Certificate(M),Certificate(C))
将消费者证书一并发给支付网关,便于验证签名;
支付网关收到授权请求
5) 支付网关验证商家证书;
6) 支付网关解开授权请求数字信封,得到授权请求消息;
Signature ( Merchant-ID + digest(Order-Info)+Cost+Time, Certificate(M)) + Certificate(M) )
7) 支付网关验证商家数字签名;
8) 支付网关验证消费者证书
9) 支付网关解开PI数字信封,得到支付信息(PI);
Signature ( PI, Certificate(C) )+ Certificate(C)
10) 支付网关验证消费者数字签名;
11) 支付网关核对,同时比对商家号,定单号,费用,时间,并进行唯一性检查;
应避免重放攻击,同时用商家号,定单号,费用,时间来保证订购和付费的一致性;
——————以下为银行支付网关和银行内部网的格式转化
12) 将用户卡号,密码,费用转换为8583格式;
10. 发送金融信息给金融机构 13) 转换为8583格式传递给银行主机;
11. 金融机构返回应答消息 14) 银行主机将确认消息传送给支付网关;
———— 12. 支付网关授权应答
15) 支付网关产生授权应答消息;
包括(成功与否,商家号,定单号,费用);
16) 支付网关对授权应答消息进行数字签名;
Signature (Merchant-ID+digest(Order-Info)+Cost+ISsuccessful, Certificate(P)) + Certificate(P)
17) 支付网关将签名后的信息形成给商家的数字信封;
Envelopem(Signature(Merchant-ID+digest(Order-Info)+Cost+ISsuccessful, Certificate(P)) + Certificate(P))
18) 支付网关将该数字信封同支付网关签名证书一并传送给商家;
13. 商家处理授权应答
19) 商家验证支付网关的签名证书;
20) 商家解开支付网关的数字信封,得到签名的授权应答;
Signature(Merchant-ID+digest(Order-Info)+Cost+ISsuccessful, Certificate(P))
21) 商家验证支付网关的数字签名;
22) 保存该数字签名及消息,作为收款凭证;
23) 商家完成购买请求;
14. 商家向消费者发送支付成功消息
1) 商家产生电子票据;
包括(商家号,定单号,定单细目,时间),并进行数字签名;
Signature (Merchant-ID+digest(Order-Info)+Time, Certificate(P)) + Certificate(P)
2) 将电子票据和商家证书发送给消费者;
Envelopec(Signature (Merchant-ID+digest(Order-Info)+Time, Certificate(P)) + Certificate(P))
15. 消费者收到确认消息
3) 验证商家证书
4) 验证商家签名
Signature (Merchant-ID+digest(Order-Info)+Time, Certificate(P)) + Certificate(P)
5) 保存电子票据
Merchant-ID+digest(Order-Info)+Time
6) 关闭电子钱包,返回浏览器并显示支付成功信息。
图示 持卡人商户网关
<---------- (1) Wakeup
(2) PinitReq ---------->
<---------- (3) PinitRes
(4) Preq ---------->
(5) AuthReq ---------->
<---------- (6) AuthRes
<---------- (7) Pres
在交易过程中,所有的消息传输都在消费者与商店,商店与银行(付款银行)之间,在消费者和银行之间是没有直接的消息传输,而是通过商家传输的,所以消费者和银行之间的数据传输都是通过对方的公钥加密作成数字信封,只有私钥才能解开,商家是不能看到和篡改数据的。数字信封中有各自的数字签名验证身份。
消费者与商店,商店与银行的数据传输是通过私钥加密而数字签名验证各自的身份,通过对方的公钥加密保证传输过程中第三方的窃密。
这三方必须有共同可信任的CA(证书发放和认证中心)。
温馨提示:答案为网友推荐,仅供参考