PDF《带有时间戳的安全电子交易协议》

8 6

1 ・ 计算机应用研究

2004 年 交易确认尧数据加密 认证中心 持卡人 发卡银行 收单银行 商家 杂耘栽 协议 杂耘栽 协议

3 时间戳 交易文件中, 时间是 十分重 要的信 息.在书面 合同 中, 文 件签署的日期和签名一样均是 十分重 要的防 止文件 被伪造 和 窜改的关键性内容.时间戳服务开展成功的电子 商务应用, 要 求交易结果对于参与双方应该是有约束力的, 参与方不能否认 其行为.这其中需要在经过数 字签名 的交易 上打上 一个可 信 赖的时间戳, 从而解决一系列的实际和法律问题.在电子交易 中, 同样需对交易文件的 日期和 时间信 息采取 安全措 施, 而时间戳服务就能提供电子文件发表时间的安全保护. 由于用户桌面时间很容易改变, 由该时间产生的时间戳不 可信赖, 因此需要一个第三方来提供可信赖的且不可抵赖的时 间戳服务.时间戳机构作为一个可信赖的第三方, 可应需求为 服务器端和客户端应用颁 发时间 戳.打上时 间戳就 是将一 个 可信赖的日期和时间与数据绑定在一起的过程. 时间戳是一个 经加 密 后形 成 的凭 证文 档, 它 包括 三个部分: ①需加时间戳的 文件的 摘要 ( Digest) ;

②时间 戳机 构收 到 文件的日期和时间;

③时间戳机构的数字签名. 时间戳产生的过程为: 用户首先将需要加时间戳的文件用 Hash 编码加密形成摘要, 然后将该摘要 发送到时间 戳机构, 时 间戳机构在加入了收到文件摘 要的日 期和时 间信息 后再对 该 文件加密( 数字签名) , 并送回用户. 由Bellcore 创造的时间戳 机构采用如下的过程: 加密时将 摘要信息归并到二叉树的数据结构;

再将二叉树的根值发表在 报纸上, 这样更有效 地为文 件发表 时间提 供了佐 证. 注意, 书 面签署文件的时间是由签署人自己写上的, 而数字时间戳则不 然, 它是由认证单位时间 戳机构 来加的, 以时 间戳机 构收到 文 件的时间为依据.因此, 时间戳也可作为科学家的科学发明文 献的时间认证.

4 带有时间戳的SET 协议 SET 协议忽略了 时间, SET 协议中并没 有对时间进行说明, 那么交易发生的确切时间无法确定, 时间可以被恶意修改, 受到攻击.这对于电子交易是非常不利的, 尤其是大额电子交 易.针对这个问题, 本文提出了带 有时间 戳的 SET 协议, 如图2所示. 图2带有时 间戳 的SET 协 议工作 流程 4.

1 协议的符号表示 ( 1) { }表示包含, 如T={A, B, C} , 表示 A, B, C 是T的组成部分;

( 2) C 表示持卡人( Cardholder) , M 表示商家( Merchant) , P 表示支付网关( Payment Gateway) , B 表示发卡 银行( Bank) , CA 表示 认证机构(Certificate Authority) , TSA 表示时间戳机构(Time- stamping Authority) ;

( 3) NumCard 表示信用卡号;

BrandCard 表示信用卡商标;

( 4) OI: 订货信息( Order Information) , M 可见, P 不可见;

( 5) PI: 支付指令( Payment Instruction) , M 不可见, P 可见;

( 6) DateTime: 当前时间;

( 7) TransID: 随机数, 表示一次交易;

( 8) SKZ: Z 的私钥, 其中 Z∈{ C, M, P, CA};

( 9) PKZ: Z 的公钥, 其中 Z∈{ C, M, P} ;

( 10) Ki : 对称密钥, 其中 i 表示第 i 个对称密钥;

( 11) CERTZ : Z 的证书, 其中 Z∈{C, M, P} ;

( 12) E- K( Msg) : 用密钥K对Msg 进行加密, 其中K∈ { SKZ , PKZ, EKG} ;

( 13) D- K( Msg) : 用密钥K对Msg 进行解密, 其中 K∈ { SKZ , PKZ, EKG} ;