一种基于四方的安全电子支付方法技术

本发明专利技术涉及安全电子支付领域，特别涉及一种针对SET协议的基于四方的安全电子支付方法。电子商务支付指的是消费者、商家和金融机构之间使用新型支付手段包括信用卡、借记卡、智能卡等通过安全的手段发送到银行从而实现电子支付，是实现电子商务的核心。建立一个基于SET协议既满足交易原子性又具有纠纷处理规则的安全电子支付协议至关重要。基于四方的安全电子商务支付协议的参与方包括客户、商家、支付机构、第四方；在该协议中，在电子商务支付协议主协议基础上，考虑到交易中可能存在的纠纷情况，设计了3种纠纷处理协议:客户要求退货的退货协议；客户要求换货的换货协议；客户收到的商品与客户订单不一致的纠纷处理协议。

【技术实现步骤摘要】

本专利技术涉及安全电子支付领域，特别涉及一种针对SET协议的基于四方的安全电子支付方法。
技术介绍
电子商务支付指的是消费者、商家和金融机构之间使用新型支付手段包括信用卡、借记卡、智能卡等通过安全的手段发送到银行从而实现电子支付，是实现电子商务的核心。安全电子交易协议SET(Secure Electronic Transaction)，是由Master Card和Visa联合Microsoft等公司于1997年6月推出的一种电子支付模型。由于SET提供了客户、商家和银行之间的相互认证，并且采用了数据加密、数字签名等技术，确保了数据的认证性、机密性、完整性和不可抵赖性，所以该协议得到了广泛应用。协议采用的技术手段有:对称加密、非对称加密、MD5算法、数字证书、数字签名、双重数字签名、数字信封等技术。使用对称、非对称密钥加密，保证数据的机密性；通过使用数字签名、MD5算法保证数据的完整性和不可否认性；通过数字证书对参与交易的各方进行身份认证。电子支付作为电子商务的核心，关于一直都是研究的热点，而它的原子性研究更是热门(刘义春，张焕国，王丽娜.电子支付协议的原子性研究综述[J].计算机科学，2005，32(2)：93-96)；J.D.Tygar提出一种满足上述原子性定义的电子支付协议-Netbill协议(Cox B,Tygar J D.NetBill Security and Transaction Protocol[C]//Proc.of the 1stUNENIX Workshop on E-Commerce.July 1995:77-78)。遗憾的是此协议只能用于数字商品的支付，不能适用于传统一般商品的支付。Giampaolo Bella等人经过各种验证证明SET协议是合理可行的(Giampaolo Bella,Fabio Massacci,Lawrence C.Paulson.Verifying the SET Purchase Protocols[J].Journal of Automated Reasoning,2006,Vol.36(1))。但研究发现该协议也存在一些不足，如申志浩、Brlek S等人发现协议算法效率低、交易各方需要反复进行身份认证等(Brlek S,Hamadou S,Mullis J.A flaw in the electronic commerce protocol SET[J].Information Processing Letters,2006,97(3):104-108)、(Shen Z H,Wang H.An improved SET protocol payment system[C]//Proc.of International Conf.on Computer and Communication Technologie in Agriculture Engineering.Chengdu,China,June 2010:400-403)；张若岩发现协议是面向西方信用卡支付的，而中国大部分人都使用借记卡，因此不能很好地满足国内市场需求(张若岩.基于SET协议的移动支付系统的研究与实现[D].西北大学，2008)；闫婷婷发现协议不能保证网上支付必须满足的商品原子性问题(闫婷婷.基于第四方电子商务的统一支付平台及其协议的研究[D].华南理工大学，2012)；任莉莉等人通过增加支付网关作为可信任的第三方监督交易各方的数据流动，很好地保证了电子交易的原子性原则，但并没有合理的纠纷处理原则(任莉莉，王成军，方元康.SET协议在网上支付中的应用研究[J].计算机应用与软件，2010,27(10)：105-107)。因此，建立一个基于SET协议既满足交易原子性又具有纠纷处理规则的安全电子支付协议至关重要。
技术实现思路
基于四方的安全电子商务支付协议的参与方包括客户、商家、支付机构、第四方。第四方是物流方，如邮政等物流公司，其职责为:负责商品货物的运送，协助支付机构解决交易纠纷等。基于四方的安全电子商务支付协议跟SET协议一样，主要应用于B2C的运营模式。在该协议中，在电子商务支付协议主协议基础上，考虑到交易中可能存在的纠纷情况，设计了3种纠纷处理协议:客户要求退货的退货协议；客户要求换货的换货协议；客户收到的商品与客户订单不一致的纠纷处理协议。改进后的协议要认证4次就能达到交易目的，而原SET协议要认证6次才能达到交易目的，因此改进后的协议大大提高认证效率。二者之间的对比见表1所示。表1参与方身份验证次数附图说明图1是改进后的协议主协议流程图；图2是改进后的协议退货、换货和欺诈纠纷过程流程图；具体实施方式首先给出协议中使用符号的含义，如表2所示。表2协议符号说明表①支付协议主协议描述在该协议中，参与方为客户C,商家M、支付机构P和第四方W，支付协议主协议流程如图1所示。图中编号的详细过程如下：(1)C→M：{(OI′||CerC)本文档来自技高网...

【技术保护点】
一种基于四方的安全电子支付方法，该方法包括如下步骤：(1)客户C浏览商家M销售的商品，同意报价，对订单OI数字签名: OI′＝DRKC(OI)，将OI‑与客户证书消息合并:OI′||CerC，将合并后的消息发给商家M；(2)商家M收到OI′后解密:EPKC(OI′)＝OI,确认订单为客户C所发，并根据订单OI生成付款要求Pay，商家M数字签名OI″:OI″＝DSKM(OI′)，生成订单的双重数字签名OI″，对OI″用第四方W的公钥加密:OI″′＝DPKW(OI″)，商家M将商家编号、客户编号、时间戳以及随机数合并生成交易唯一标识Num，商家M将标识Num、支付机构数字证书CerP、商家数字证书CerM、第四方数字证书CerW和付款要求Pay以及OI″′合并后签名:Y＝DSKM(Num||CerP||CerM||CerW||Pay||OI″′)，将Y发给客户C；(3)客户C接收Y，解密:EPKM(Y)＝(Num||CerP||CerM||CerW||Pay||OI″′),确定消息为商家M所发，客户C鉴别支付机构P的证书:CK(CerP),证明P的身份是真实有效的，客户C根据Pay要求生成支付命令PI,再将PI与客户自身账户信息PAN合并后签名得到PI′＝DSKC(PI||PAN)，对PI″用P的公钥进行加密:PI″＝DPKP(PI′)，客户C将Num、CerC、CerM、CerW、OI″′以及PI″合并后签名：Y1＝DSKC(Num||CerP||CerM||CerW||OI″′||PI″)，发给支付机构P；(4)支付机构P对收到Y1解密EPKC(Y1)＝(Num||CerC||CerM||CerW||OI″′||PI″),确认是由客户C发来的，支付机构P验证客户C的证书：CK(CerC),证实客户C的身份；验证商家M的证书：CK(CerM),证实商家M的身份；验证第四方W的数字证书:CK(CerW),证实第四方W的身份，支付机构P对收到的PI″用私钥解密:ESKP(PI″)＝PI′,继续解密PI′:EPKC(PI′)＝(PI||PAN),证实是客户C发来的付款指令，获得账户PAN和付款指令PI，支付机构P鉴定付款指令，在通过特殊渠道检查客户C账户有没有足够金额；若不足，取消交易；若客户C账户金额充足，支付网关P把客户所付款项临时打到一个临时账号上，然后得到支付成功完成消息Msg，支付网关P将交易编号Num、商家供货延迟时间T1和Msg连接后签名:Y2＝DSKP(Num||T1||Msg)，分别发给给M、W；(5)第四方W收到Y2，解密EPKC(Y2)＝(Num||T1||Msg),证实是由P发来的，并将交易编号 Num添加到交易数据库中，同时商家供货延迟时间T1开启，等候M发送商品，W收到M发送的商品，检查发货延迟是不是在规定的时间T1内，若商家发货则得到商家已按时发货消息Msg1，第四方W将交易编号Num和Msg1合并后签名:Y3＝DSKW(Num||Msg1)，并将Y3发给P；(6)P解密Y3:EPKW(Y3)＝(Num||Msg1),证实是W发来的，把交易编号Num与Msg1发给客户，使客户C知道交易发展情况；(7)第四方W发货后，客户C收到商品，同时W将交易编号Num、延迟时间T2和商品收到消息Msg2进行签名:Y4＝DSKW(Num||T2||Msg2)，接着发给P；(8)支付机构P收到Y4，解密:EPKW(Y4)＝(Num||T2||Msg2),确认是W发来的，同时交易纠纷申诉延迟时间T2启动,客户要在延迟时间T2内向支付网关申诉，同时把交易编号Num和客户接收商品消息Msg2发给M，使商家知道交易发展情况。...

【技术特征摘要】
1.一种基于四方的安全电子支付方法，该方法包括如下步骤：(1)客户C浏览商家M销售的商品，同意报价，对订单OI数字签名: OI′＝DRKC(OI)，将OI-与客户证书消息合并:OI′||CerC，将合并后的消息发给商家M；(2)商家M收到OI′后解密:EPKC(OI′)＝OI,确认订单为客户C所发，并根据订单OI生成付款要求Pay，商家M数字签名OI″:OI″＝DSKM(OI′)，生成订单的双重数字签名OI″，对OI″用第四方W的公钥加密:OI″′＝DPKW(OI″)，商家M将商家编号、客户编号、时间戳以及随机数合并生成交易唯一标识Num，商家M将标识Num、支付机构数字证书CerP、商家数字证书CerM、第四方数字证书CerW和付款要求Pay以及OI″′合并后签名:Y＝DSKM(Num||CerP||CerM||CerW||Pay||OI″′)，将Y发给客户C；(3)客户C接收Y，解密:EPKM(Y)＝(Num||CerP||CerM||CerW||Pay||OI″′),确定消息为商家M所发，客户C鉴别支付机构P的证书:CK(CerP),证明P的身份是真实有效的，客户C根据Pay要求生成支付命令PI,再将PI与客户自身账户信息PAN合并后签名得到PI′＝DSKC(PI||PAN)，对PI″用P的公钥进行加密:PI″＝DPKP(PI′)，客户C将Num、CerC、CerM、CerW、OI″′以及PI″合并后签名：Y1＝DSKC(Num||CerP||CerM||CerW||OI″′||PI″)，发给支付机构P；(4)支付机构P对收到Y1解密EPKC(Y1)＝(Num||CerC||CerM||CerW||OI″′||PI″),确认是由客户C发来的，支付机构P验证客户C的证书：CK(CerC),证实客户C的身份；验证商家M的证书：CK(CerM),证实商家M的身份；验证第四方W的数字证书:CK(CerW),证实第四方W的身份，支付机构P对收到的PI″用私钥解密:ESKP(PI″)＝PI′,继续解密PI′:EPKC(PI′)＝(PI||PAN),证实是客户C发来的付款指令，获得账户PAN和付款指令PI，支付机构P鉴定付款指令，在通过特殊渠道检查客户C账户有没有足够金额；若不足，取消交易；若客户C账户金额充足，支付网关P把客户所付款项临时打到一个临时账号上，然后得到支付成功完成消息Msg，支付网关P将交易编号Num、商家供货延迟时间T1和Msg连接后签名:Y2＝DSKP(Num||T1||Msg)，分别发给给M、W；(5)第四方W收到Y2，解密EPKC(Y2)＝(Num||T1||Msg),证实是由P发来的，并将交易编号 Num添加到交易数据库中，同时商家供货延迟时间T1开启，等候M发送商品，W收到M发送的商品，检查发货延迟是不是在规定的时间T1内，若商家发货则得到商家已按时发货消息Msg1，第四方W将交易编号Num和Msg1合并后签名:Y3＝DSKW(Num||Msg1)，并将Y3发给P；(6)P解密Y3:EPKW(Y3)＝(Num||Msg1),证实是W发来的，把交易编号Num与Msg1发给客户，使客户C知道交易发展情况；(7)第四方W发货后，客户C收到商品，同时W将交易编号Num、延迟时间T2和商品收到消息Msg2进行签名:Y4＝DSKW(Num||T2||Msg2)，接着发给P；(8)支付机构P收到Y4，解密:EPKW(Y4)＝(Num||T2||Msg2),确认是W发来的，同时交易纠纷申诉延迟时间T2启动,客户要在延迟时间T2内向支付网关申诉，同时把交易编号Num和客户接收商品消息Msg2发给M，使商家知道交易发展情况。2.根据权利要求1所述的基于四方的安全电子支付方法，该方法还包括客户退货过程协议，具体包括：(9)客户C想要申请退货，将交易编号Num和申请退货消息Tmsg合并进行签名：Yg＝DSKC(Tmsg||Num)，并将Y5发给P；(10)P解密接收的Y5：EPKC(Y5)＝(Tmsg...

【专利技术属性】
技术研发人员：柳毅，秦靖辉，凌捷，
申请(专利权)人：广东工业大学，
类型：发明
国别省市：广东;44