張寶燕

(晉中學(xué)院，山西 晉中 030600)

計算機(jī)技術(shù)、企業(yè)管理理念都隨著生產(chǎn)社會化的浪潮快速發(fā)展和更新，在線安全支付系統(tǒng)在這個大環(huán)境下也應(yīng)運而生，并且正在越來越廣泛地應(yīng)用到方方面面。實現(xiàn)在線安全支付系統(tǒng)，有助于將計算機(jī)技術(shù)應(yīng)用到實際的購買活動中，方便用戶的購買，做到足不出戶，就能買到想要的產(chǎn)品商品;對于在線安全支付領(lǐng)域［1-3］存在的問題和潛在的問題，都能夠通過對系統(tǒng)的設(shè)計和使用體現(xiàn)出來，豐富在線安全支付領(lǐng)域的研究內(nèi)涵。在線安全支付系統(tǒng)的設(shè)計，同時也對企業(yè)產(chǎn)生深遠(yuǎn)影響，對它們的銷售渠道在線支付方式，都是很大的改變。

1 在線安全支付方案設(shè)計

網(wǎng)上購物系統(tǒng)中一般可以分為購買和支付兩大部分，買家通過因特網(wǎng)使用網(wǎng)銀行卡進(jìn)行網(wǎng)上購物。其中在瀏覽商戶網(wǎng)站時需要用戶登錄驗證身份合法性;選購商品，放入購物車。這些操作完成后，進(jìn)入收銀臺，商戶根據(jù)購物車內(nèi)容，生成付款單，將付款單和商戶對該付款單的數(shù)字簽名一起交消費者確認(rèn)。一旦消費者確認(rèn)支付，則該付款單和商戶對該付款單數(shù)字簽名將自動轉(zhuǎn)發(fā)銀行在線支付支付平臺。對于支付部分:支付平臺用商戶在線支付簽名公鑰對付款單的商戶身份及數(shù)據(jù)一致性，以及其他的諸如數(shù)據(jù)合法性、重復(fù)在線支付記錄、日志處理記錄作為輔助商戶不可否認(rèn)的依據(jù)。支付平臺的支付頁面會對商戶在線支付請求進(jìn)行會話建立，密鑰協(xié)商傳輸?shù)裙ぷ鳌?/p>

在系統(tǒng)中為了防止機(jī)器人登錄網(wǎng)頁進(jìn)行頻繁非法的操作，采用了圖片驗證技術(shù)，也即是驗證碼填寫(或者叫做附加碼)，該圖片通過服務(wù)器端的驗證碼生產(chǎn)服務(wù)程序產(chǎn)生，采用隨機(jī)函數(shù)生成驗證碼，再通過對驗證碼顏色、字體、大小、顯示高度等四個方面的隨機(jī)設(shè)定，最終畫成按照上述隨機(jī)要求的驗證碼圖片，并傳輸?shù)綖g覽器上，讓用戶識別該圖片上的內(nèi)容，并填寫在＜input ＞控件當(dāng)中。對于目前的計算機(jī)計算能力而言，總是正確的快速的自動識別圖片中的內(nèi)容是一個復(fù)雜的運算，機(jī)器人去做這種操作需要耗費的資源和最終獲取到驗證碼得到的利益不成正比。前者要遠(yuǎn)遠(yuǎn)大于后者，因此驗證碼能夠一定程度上防止機(jī)器人的頻繁無意義訪問，而需要強(qiáng)調(diào)的是，用戶的安全性和權(quán)限，仍然要依靠密碼的復(fù)雜設(shè)置和妥善保密。這是唯一確保用戶合法權(quán)限和利益的有效保證。

方法getsFont 用于返回字體設(shè)置，包括大小顏色等。隨機(jī)產(chǎn)生各種顏色，使得數(shù)字的顏色呈現(xiàn)隨機(jī)性，增加程序通過像素點顏色分析圖片中文字的難度。隨機(jī)產(chǎn)生數(shù)字，讓驗證碼產(chǎn)生多樣性，讓敵手不能找到數(shù)字產(chǎn)生的規(guī)律性，從而只能以猜測的方式獲得競爭挑戰(zhàn)游戲的勝利，詳情如圖1 驗證碼驗證流程圖所示。

圖1 驗證碼驗證流程圖

1.1 PKI 證書設(shè)計

本文設(shè)計采用了X.509 證書，該證書經(jīng)過了多個版本的改進(jìn)擴(kuò)展是一種商用的成熟的廣泛使用的證書系統(tǒng)。證書同樣使用了自簽名，使得證書本身不會被隨意的篡改。證書的核心部分就是證書持有者的公鑰，也包含了身份的其他信息，具體包括如下:基本信息部分:版本、認(rèn)證機(jī)構(gòu)CA、序列號;簽名聲明部分:算法選取、安全參數(shù);SSL 使用者標(biāo)示;有效期:開始時間、結(jié)束時間;公鑰描述聲明部分:算法聲明、安全參數(shù)、公鑰;SSL 使用者序列號;擴(kuò)展部分;簽名可選項集合聲明:算法列表、參數(shù)列表、加密部分［4-7］。

該證書是公鑰基礎(chǔ)設(shè)施PKI 部分的主體證書設(shè)計部分，它的設(shè)計包括了身份驗證，加密解密傳輸，文本簽名等功能，在實際的網(wǎng)絡(luò)環(huán)境中實現(xiàn)信息的安全有效傳輸，確保信息的安全性。該證書通過可信任第三方機(jī)構(gòu)CA 機(jī)構(gòu)頒發(fā)，用戶可以通過注冊購買使用該證書。

1.2 加密與信息傳輸模塊設(shè)計

前面已經(jīng)提到，SSL 握手和數(shù)據(jù)傳輸?shù)男阅芊治?，具體到模塊的設(shè)計部分:

SSL 握手協(xié)議部分具體為證書交換，Gen(1k)產(chǎn)生隨機(jī)數(shù)r，具體構(gòu)造表達(dá)式如下:

加密的文本結(jié)構(gòu)表達(dá)式為:C=Encry(Bpub，(Encry(Apri，H(M)))||Encry(Bpub，M)。在在線安全支付過程中，中間會有代理服務(wù)器的存在，所以，這里客戶端和服務(wù)器之間，往往會先經(jīng)過代理服務(wù)器，把C 加密文本交給代理服務(wù)器，然后再轉(zhuǎn)交給接收方。在解密部分，接收端解密H'(M)=Decry(Apub，Decry(Bpri，C))。M'=Decry(Bpri，C2)。分別從身份驗證和選擇性密文解密驗證了文本的身份合法性，然后再通過測試函數(shù)比對H(M')==H'(M)。這里面M 通常為會話密鑰k=r||日期序列號，例如k=r| |2014031206012。k 協(xié)商之后，開始DES 加密信息傳輸。

圖2 SSL 握手流程圖

加密信息文本結(jié)構(gòu)表達(dá)式為C2=Encry(k，H(M))| |Encry(k，M)。到解密接受端，H2'(M)=Decry(k，C)。M'=Decry(k，C2)。同樣測試H(M')==H'(M)的相等性，然后如果驗證錯誤的話，啟動預(yù)警應(yīng)急功能，向?qū)Ψ教岢鼍娟P(guān)閉或者審查網(wǎng)絡(luò)連接。

這里分為了RSA 和DES 加密兩部分，散列函數(shù)是MD5算法，RSA 用于SSL 握手，DES 用于會話信息加密解密傳輸。DES 加密模塊服務(wù)于一次商戶在線支付會話當(dāng)中，其會話密鑰動態(tài)生成，有公鑰加密體制RSA 負(fù)責(zé)傳輸該次會話密鑰。

在在線安全支付的訂單提交階段，系統(tǒng)和用戶的交互就會在建立的SSL 信道通信內(nèi)進(jìn)行。包括了SSL 建立，會話密鑰協(xié)商，在線支付信息加密傳輸，異常報警提示等功能［8-10］。

1.3 在線支付商戶SSL 握手

構(gòu)建SSL 公鑰證書java 存儲對象，且在在線支付前完成證書交換。建立SSL 安全信道，完成SSL 握手。等完成證書構(gòu)建和交換之后，開始下一步構(gòu)建RSA 加密的會話密鑰協(xié)商。

其中證書結(jié)構(gòu)如前面提到的X.509 標(biāo)準(zhǔn)，包括了基本信息部分:版本、認(rèn)證機(jī)構(gòu)CA、序列號;簽名聲明部分:算法選取、安全參數(shù);SSL 使用者標(biāo)示;有效期:開始時間、結(jié)束時間;公鑰描述聲明部分:算法聲明、安全參數(shù)、公鑰;SSL 使用者序列號;擴(kuò)展部分;簽名可選項集合聲明:算法列表、參數(shù)列表、加密部分。雙方在下載對方的證書之后，知道了對方的公鑰Apub，Bpub，然后通過服務(wù)器方產(chǎn)生隨機(jī)數(shù)r 作為消息M，這里面H 散列函數(shù)就是MD5 算法，Encry 函數(shù)為RSA 加密函數(shù)，這里私鑰記為Apri，Bpri。詳情見圖2 SSL 握手流程圖所示。

1.4 RSA 加密會話密鑰

RSA 加密算法構(gòu)建會話密鑰，將隨機(jī)產(chǎn)生的密鑰r 通過RSA 加密模塊傳輸?shù)娇蛻舳恕?/p>

這里面RSA 大素數(shù)為768 位比特的標(biāo)準(zhǔn)，RSA 參數(shù)初始化過程需要產(chǎn)生兩個768 比特位的大素數(shù)P，Q，其N=P* Q，M=(P－1)* (Q－1)，然后隨機(jī)選取e1，使得e1和N互質(zhì);再計算在modM 運算下，求e1的逆元e2，這樣Apub=(n，e1)，Apri=(n，e2)密鑰對就產(chǎn)生了，分別記Apub為公鑰，Apri為私鑰。其過程如圖3 RSA 加密流程圖所示。

圖3 RSA 加密流程圖

2 結(jié)束語

在線安全支付系統(tǒng)是對傳統(tǒng)商品在線支付環(huán)境的擴(kuò)充，也是在線安全支付運作模式的集中體現(xiàn)，支付模塊，采用了RSA 公鑰加密和DES 對稱加密相結(jié)合的方式，并且用MD5算法驗證商戶身份。通過實際的使用驗證了該在線支付系統(tǒng)的好處。該方案能夠為在線支付提供安全保障。

［1］程亮，劉輝.一種基于三因素認(rèn)證的網(wǎng)絡(luò)支付安全認(rèn)證模式［J］.計算機(jī)應(yīng)用，2008(7):1810－1811.

［2］文林彬.電子商務(wù)中ssl 協(xié)議的安全性分析［J］.現(xiàn)代商業(yè)，2007(18):194－195.

［3］吳稟雅.國內(nèi)當(dāng)前網(wǎng)上支付方式研究［J］.浙江金融，2007(5):64.

［4］何宗要，方黨生，李曉強(qiáng).基于圖像特征和公鑰密碼系統(tǒng)的易損水印算法［J］.計算機(jī)應(yīng)用，2006(1):90－92.

［5］李二亮，劉云強(qiáng).淺議第三方支付平臺［J］.電子商務(wù)，2005(9):92－94.

［6］魏利明，陳相寧.PKI 技術(shù)分析［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005(3):19－21.

［7］謝琳，盧建軍.電子商務(wù)中第三方電子支付平臺分析［J］.計算機(jī)應(yīng)用研究，2003(12):149－151.

［8］劉淵，周世兵，孫亞民.網(wǎng)上在線支付數(shù)字簽名的研究與設(shè)計［J］.計算機(jī)應(yīng)用研究，2003(11):110－112.

［9］郭晶晶，李臘元.基于SET 協(xié)議的電子商務(wù)支付系統(tǒng)的研究［J］.計算機(jī)應(yīng)用，2002(3):68－70.

［10］周龍驤.電子商務(wù)協(xié)議研究綜述［J］.軟件學(xué)報，2001(7):1014－1031.