一种采用“SSL+表单签名”的电子商务系统的制作方法

本发明涉及一种电子商务系统，尤其涉及一种采用“SSL+表单签名”的电子商务系统。

背景技术：

目前，随着Internet 的飞速发展，越来越多的用户使用电子商务系统进行交易，使电子商务系统的安全性得到了越来越多的关注。迄今为止，国内外已经出现了多种安全协议来解决电子商务的安全问题。而SSL协议由于其可被大部分的Web 浏览器和Web 服务器所内置，比较容易实现并且成本低，目前被电子商务系统广泛采用。SSL协议很好地解决了Internet上的信息传输，较好地保证了电子商务系统安全性。提供了客户端和服务器的身份认证、保密性和完整性等功能。但由于SSL没有对应用层的信息进行数字名，无法保证交易信息的不可否认性，这是SSL在电子商务使用中的最大不足。本文在浏览器中引入”表单签名”功能，此功能可对交易信息进行表单签名，从而保证交易的不可否认性。虽然单一的SSL能够为电子商务系统提供一定的安全保证，但是还存在一些不足，本文采用”SSL+表单签名”能为电子商务系统提供更好的安全性。

SSL协议（Secure Socket Layer）安全套接层是Netscape所研发，利用它可实现客户机和服务器之间的加密数据通信和双方的身份认证。SSL协议位于TCP协议和应用层协议（HTTP、FTP）等之间。SSL协议位于TCP/IP之上，弥补了TCP/IP协议的不足，使得在应用层传输的数据得到了安全保障。SSL提供了通信双方的身份认证，数据的保密性和完整性等功能。SSL协议可分为两层：记录协议和握手协议。此处还有SSL修改密文协议和报警协议，其记录协议和握手协议是SSL协议的核心组成部分，握手协议建立在记录协议之上，用于在实际的数据传输开始前，对客户机和服务器进行双向认证，并确定通信双方数据传输时所采用的加密算法和密钥交换算法。记录协议建立在TCP协议之上，为高层协议提供数据封装、压缩、加密等基本功能。

技术实现要素：

本发明的目的是为了为电子商务系统提供更好的安全性，设计了一种采用“SSL+表单签名”的电子商务系统。

本发明解决其技术问题所采用的技术方案是：

采用“SSL+表单签名”的电子商务系统由应用层（表单签名）、SSL、TCP/IP三部分构成。

所述的SSL协议为电子商务系统提供了客户端和服务器双方的身份认证，并对应用层传输的数据进行了加密和完整性验证，但是并未对应用层的加密数据进行签名，无法保证信息的不可否认性。

所述的系统在浏览器中引入表单签名功能，也即对应用层的数据进行签名。

所述的系统在应用层对客户的订单信息和支付信息的表单进行签名，然后交由下层SSL层进行安全连接和数据保密传输。在此过程中证书、公私钥对、哈希算法等，以一个独立的功能模块方式实现。

所述的“SSL+表单签名”的电子商务系统的工作过程如下：

①设客户的订单消息为表单M，使用客户的私钥对其进行签名得到S(M)。

②应用层将订单消息M和签名S(M)交由SSL层。

③利用握手协议协商的Hash 函数生成M 的消息摘要H(M)。

④客户向商家发送的消息中除了订单消息，表单签名还必须包含消息的摘要以保证接收者能够验证，因而发送的消息内容为（M，H(M)，S(M))。

本发明的有益效果是：

采用“SSL+表单签名”的电子商务系统在浏览器内引入流入表单签名技术，在应用层对交易表单进行签名，更大程度的保证了电子商务系统的安全。

附图说明

下面结合附图和实施例对本发明进一步说明。

图1是系统结构图。

图2是SSL握手协议。

具体实施方式

如图1所示，采用“SSL+表单签名”的电子商务系统由应用层（表单签名）、SSL、TCP/IP三部分构成。SSL协议为电子商务系统提供了客户端和服务器双方的身份认证，并对应用层传输的数据进行了加密和完整性验证，但是并未对应用层的加密数据进行签名，无法保证信息的不可否认性。本系统在浏览器中引入表单签名功能，也即对应用层的数据进行签名， 本系统在应用层对客户的订单信息和支付信息的表单进行签名，然后交由下层SSL层进行安全连接和数据保密传输。在此过程中证书、公私钥对、哈希算法等，以一个独立的功能模块方式实现。“SSL+表单签名”的电子商务系统的工作过程如下：

①设客户的订单消息为表单M，使用客户的私钥对其进行签名得到S(M)。

②应用层将订单消息M和签名S(M)交由SSL层。

③利用握手协议协商的Hash 函数生成M 的消息摘要H(M)。

④客户向商家发送的消息中除了订单消息，表单签名还必须包含消息的摘要以保证接收者能够验证，因而发送的消息内容为（M，H(M)，S(M))。

（5）商家收到消息后，用客户的公钥进行解密得到M，然后对M 应用Hash 函数得到H (M)，与H (M)进行对比，如果相同说明此消息是客户发送过来的，事后客户无法对此消息进行抵赖。向银行发送的支付消息的过程同上。

如图2所示， SSL记录协议从上一层协议（握手协议、改变密码规格协议、告警协议或应用层）传送信息，利用在握手协议中协商的加密算法和压缩方法对传送信息进行封装、压缩和加密。SSL记录协议的基本工作过程：首先信息要被打碎并选择性压缩，并把一个MAC加在使用协商的散列算法的压缩信息上。然后用协商的加密算法对压缩碎片和MAC进行加密。最后，把SSL文件名加到加密信息上，将数据交给TCP层进行传输。接收端收到数据后进行解密、验证MAC、解压、重组数据，然后交给应用层进行处理。SSL握手协议是用来在客户机和服务器端传输应用数据而建立的安全通信机制。它为记录协议提供安全参数，建立密钥系列并提供密钥和安全参数，具体工作流程如下：

①客户端向服务器发送ClientHello信息给服务器Server端，Server端回答ServerHello。这个过程建立的安全参数包括包含如下内容：一个SSL版本号、一个确定的会话ID、被选出的密码系列和压缩方法列表，另外，交换了两个随机数，用以计算会话主密钥。

②Hello消息发送完后，对服务器进行身份认证，服务器向客户发送其证书（如X.509数字证书）和密钥交换信息。如果服务器端被认证，它就会请求客户端的证书。

③客户端向服务器要返回证书或返回”没有证书”的指示，这种情况用于单向认证，客户端没有安装证书，然后客户端发送密钥交换信息。

④服务器此时要向客户端发送”握手完成”消息，以示完整的握手消息交换已完成，客户端和服务器可以开始进行通信。