电子商务系统 本发明涉及一种在网络上向买方提供交易记录安全归挡的电子商务系统及方法,并且具体地涉及一种即使买方的终端安装在公共场所内而且可由许多非特定用户共同使用下仍能实现交易记录的安全的电子商务系统。
网络上的电子商务交易采用几种周知的方法,其中一种方法采用专用的公共终端。这种公共终端只能由已注册的成员使用(向用户颁发专用ID卡)。利用这种系统,在他或她登记为一个用户时,为该用户登记一个信号卡号,并向该用户发放一个专用ID卡以在购货时进入到终端上。本质上,这种系统对应于电话购买系统,不同之处在于用ID卡代替信用卡来提供购买者身份的确认。安全电子交易(SET)协议建立一种网络上采用的周知的电子商务方法。在上述专用公共终端处,由SET协议提供对交易记录的维护以记录购买数据(下面说明),而不是由用户进行。采用这种系统的交易只能由参与的商家处理。反之,对于采用SET协议的系统中的各商家,可以从世界上的任一处通过互联网实现支持SET协议的虚拟商家。但是,SET协议并不提供可以使多个非特定用户共用安装在公共场所的买方终端的方法。
如图1中所示,SET协议支持并简化买方、商家及支付网关之间的通信,并且对这三方进行的交易提供控制。在进行交易时,通过利用SET协议,在买方地交易记录中记录交易的具体说明、所作用的信用卡的数据、商家的电子签名以及处理该交易的支付网关。图2表示SET协议的概要。为了简化说明,省略掉所作用的报文名,并且未示出有关具体操作的细节。假定事先向三方的每方发放签名密钥、各方的认证以及认证机构(CA)的认证,并且假定对支付网关发放加密密钥。按照SET协议,每方向接收方发送其认证,并且通过利用CA发布的认证,接收方验证该认证。
首先,买方200向商家240发送信息,例如报文“启动交易”(1.发起请求)。然后,商家240向买方200发送报文“准备好”(2.发起应答)。一旦接收到该报文,买方200就向商家240发送报文“我允诺购买该产品并且用此卡支付”(3.购买请求)。具体地,买方200发送允诺购买的电子签名以及经支付网关280提供的公开密钥加密的卡号。商家240不能看到加密的卡号。
然后,商家240向支付网关280发送报文“请利用该许可的卡支付这次购买”(4.授权请求)。更具体地,商家240发送该允诺购买的电子签名以及利用支付网关280的公开密钥加密的卡号(这二者是商家接收的),并且发送它的允诺出售的电子签名。一旦接收到这些数据,支付网关280就解密卡号并确定是否批准交易。
接着,支付网关280向商家240发送报文“批准/不批准利用该卡(信用卡支付)交易”(S.授权应答)。更具体地,支付网关280发送批准或不批准的电子签名。作为响应,商家240向买方200发送报文“谢谢您”或者报文“很抱歉,我们不接收此卡”(6.购买应答)。具体地,发送来自支付网关280的电子签名,并发送商家允诺出售的电子签名。
最终,三方中的每方拥有购买定单、数额及日期以及另二方的认证和电子签名。这些数字被存储为交易记录。若在发送产品时或从账号中提取该产品的支付时出现问题,该交易记录是索赔的重要证据。根据SET协议,设想由买方负责买方交易记录的安全存储。因为交易记录存储在买方的PC硬盘上,从而由于事故(硬盘崩溃)可能出现记录丢失。SET协议并不提供多个非特定用户可共同使用安装在公用场所的买方终端的方法。
当买方的PC终端安装在公用场所(例如公用电话亭)中并且由许多非特定用户共同使用时,假定交易记录存储在PC的硬盘上,买方仅需操作该PC就可搜索记录。此外,因为PC是一台公用终端,第三方可能启动对交易记录中所含有的个人数据的搜索,而且,当商家和信用卡公司管理该终端时,交易记录中的项目可能被非法地修改或删除。
消除该问题的一种防范措施是采用灵巧卡。灵巧卡是一种含有内部存储器的智能卡设备。利用口令,内部存储的数据得到保护,并禁止对数据的非法读及重写(防窜改)。因此,用户可安全地存储专用数据。为确保安全性及便携性,通常把涉及用户的个人信息(卡号以及用户的密钥)存储到灵巧卡中。但是,从存储器容量的角度考虑,在灵巧卡中存储交易记录不是非常实用的。另外,即使解决了和存储容量有关的问题从而可把交易记录存储到灵巧卡中,仍然总是存在着由于丢失/损坏卡而失掉交易记录的可能性。事实上,随着认证所需的存储容量的增加,存在着不把所有的数据都存储在SET灵巧卡中的趋势。
换言之,用于网络的电子商务系统要求即使把用户终端安装在公用场所中仍能进行安全的交易。
因此,本发明的一个目的是提供一种可以安全地存储交易记录的用于网络的电子商务系统。
本发明的另一个目的是提供一种网络电子商务方法和系统,从而即使使用公共终端仍能安全地进行交易。
本发明的又一个目的是提供一种在存放交易记录时禁止对通信信道接线进行窍听以便抽取数据的方法。
本发明的再一个目的是提供一种防止非法检索归档服务器中所存储的交易记录的方法。
本发明的再一个目的是提供一种方法和系统,用于即使偶然丢失解密密钥仍能检索加密的交易记录。
本发明的再一个目的是提供一种方法和系统,用于恢复归档服务器中的解密密钥以检索交易记录。
本发明的再一个目的是提供一种方法和系统,用于在进行SET电子商务活动时防止修改和删除交易记录。
为了达到上述目的,准备一个用来加密交易记录的对话密钥并且用于加密交易记录。然后经过网络向归档服务器发送加密后的交易记录,从而在网络上的电子商务对话期间可以安全地检索或存储交易记录。
在准备对话密钥时,还建立用于恢复对话密钥的密钥恢复数据,并且在向归档服务器发送加密的交易记录时,向归档服务器发送密钥恢复数据和对话密钥。
此外,在加密交易记录的同时,利用一个安全密钥加密对话密钥,并且向归档服务器发送加密的交易记录、密钥恢复数据以及加密的对话密钥。
图1表示示范性的常规电子商务(SET)结构。
图2是一个示意图,用于解释SET协议。
图3表示本发明的结构。
图4表示根据本发明的买方的终端与灵巧卡输入/输出设备的示范性连接。
图5表示用于本发明的买方终端的示范性硬件结构。
图6是一个方块图,表示加密和读交易记录的方式。
图7是一个方块图,表示恢复交易记录的方式。
根据本发明,可以提供网络电子商务交易的交易记录的安全存储。此外,即使当用户终端被安装在用作公共终端如电话亭终端的环境下时,仍可安全地进行交易。并且即使偶然丢失解密密钥时,仍然可以恢复存储在归档服务器中的解密密钥并可以检索交易记录。
在网络上进行电子商务对话之前,买方首先检索其存储在归档服务器中的认证。接着,买方在网络上启动交易。当建立交易时,在买方产生一个交易记录,交易记录包括卡数据、购买定单、数量、处理该交易的商家的电子签名以及处理该交易的支付的信用卡公司的电子签名。
建立一个对话密钥以便加密交易记录。接着,利用密钥恢复技术准备用于恢复对话密钥的信息(密钥恢复信息)。因为基本的密钥技术是周知的,不对它进行说明。另外,利用灵巧卡上的密钥对对话密钥加密。向归档服务器传送加密的交易记录、用于恢复对话密钥的密钥恢复数据及加密的对话密钥。
为了读出已存储的交易记录,从归档服务器中检索加密的交易记录,利用灵巧卡中的密钥解密已加密的对话密钥,并且利用解密后的对话密钥解密加密的交易记录。这样,只有记录的拥有者才能读交易记录。
当错放灵巧卡并不能解密加密的对话密钥时,通过利用密钥恢复数据恢复对话密钥,并用来得到加密的交易记录。因为它不是灵巧卡上的密钥而只是密钥恢复处理过程中所恢复的仅用于该交易记录的一个对话密钥,该对话密钥不能用于其它的交易记录,从而保持了交易的安全性。
现在说明采用根据本发明的用于SET电子商务的方法的电子商务系统。图3示出整个电子交易系统的结构。在图3中,密钥恢复智能体(KRA)310产生并发布买方加密密钥。档案中心(AC)330是一个用于记录文件管理的归档服务器,并存储加密的记录数据库340。密钥恢复服务中心(KRSC)320提供恢复密钥的服务,当用户错放时它用来恢复记录文件。SET买方终端100按照SET协议进行交易、加密记录、准备密钥恢复数据和准备密钥恢复处理,并把本地记录存储到记录数据库360。请注意,当如本发明中把终端100用作公共终端时,不需要记录数据库360。记录被存储到加密记录数据库340中。商家包括一台购买服务器370,而信用卡公司包括一台支付网关服务器380。
由图3中的最小椭圆形390包围的部分代表和常规SET购买有关的部件。包含着椭圆形390的椭圆形350所包围的部分代表采用本发明的电子商务系统。仅当初始化时以及错放灵巧卡时才需要图3中的部件KRA、AC和KRSC。在常规交易下,椭圆形350包围的部分终止SET交易,并且记录文件传送到AC330。买方终端100和灵巧卡输入/输出设备410连接(见图4)。
图5中示出根据本发明的用户终端100的示范性硬件配置。用户终端100包括中央处理器(CPU)1和存储器4。通过总线2和IDE控制器25,CPU1和存储器4与硬盘13(或存储介质机,例如CD-ROM26或者DVD32)连接,后者是一个辅助设备。类似地,通过总线2和SCSI控制器27,CPU1和存储器4与硬盘30(或者存储介质机,例如MO28、CD-ROM29或DVD31)连接,后者是一个辅助设备。软驱20经软盘控制器19和总线2连接。
软盘插入到软驱20中。和操作系统交互并向CPU1等发出命令以实现本发明的计算机程序代码存储在软盘或硬盘13(或者存储介质,例如MO、CD-ROM或DVD)及ROM14中,并且装入到存储器4中,以供执行。该计算机程序代码可能是压缩的,或者可能划分为多个段并存储在多种介质中。
系统100还包括用户接口硬件部件,例如用于数据输入的指点器7(鼠标或操作纵杆)或键盘6,或者为向用户提供可视数据的显示器12。可以分别通过并口16和串口15把打印机和调制解调器和系统100连接。系统100还可通过串口15或通信适配器18(以太网或令牌环卡)和网络连接以和别的计算机通信。遥控收发机可和串口15或者并口16连接,以利用红外线或电波交换数据。
经放大器22扬声器23接收通过音频控制器21的数/模转换得到的模拟音频信号,并输出声音。音频控制器21接收来自拾音器24的音频数据并对它执行模/数转换,以提取外部音频数据。
容易理解,本发明的买方终端100可以装备成普通个人机(PC)、工作站、笔记本PC、掌中PC、网络计算机和家庭电气用具,例如带有计算机的电视机、具有通信功能的游戏机、电话机、传真机、便携式电话、PHS、具有通信功能并包含个人数字助理的通信终端或者它们的组合。此外,上面描述的部件仅是示例的,对于买方终端100不需要所有这些部件。
灵巧卡输入/输出部件410和买方终端100的串口15连接。为了提供灵巧卡输入/输出设备410和买方终端100之间的接口,可以采用多种方法,例如和键盘控制器5连接,或者和红外通信端口、并口16或通信适配器18连接。现在说明买方终端100执行的主要处理。1.获取认证
在启动SET交易之前,买方检索其存储在归档中心330中的认证。2.SET交易
买方启动用于确定其信用的SET交易。当建立该交易时,在买方产生包括下述信息的交易记录。-卡数据:卡号,卡持有者的姓名及有效日期-购买定单-数量-购买认证-交易商家的电子签名-信用卡公司的认证-用于支付该交易的信用卡公司的电子签名3.加密交易记录
图6中示出一种用于加密交易记录和读该记录的方法。首先,准备一个对话密钥620并用于加密一个交易记录610(630)。接着,采用一种密钥恢复技术以准备用来恢复对话密钥620的数据(密钥恢复信息640)。然后利用灵巧卡600中存储的密钥650加密对话密钥。
向归档服务器380(档案中心330)发送这三组数据,即,加密的交易记录615、密钥恢复信息640以及加密的对话密钥625。
4.读交易记录
在图6中,为了读交易记录610,首先检索存放在归档服务器380中的加密交易记录660。然后,利用灵巧卡600中的密钥650解密加密的对话密钥665。在此之后,利用对话密钥670解密加密的交易记录675(680)。从而,只有记录拥有可以读交易记录690。
5.当错放灵巧卡时恢复交易记录
参照图7解释为错放灵巧卡600并且不能解密加密的对话密钥665时恢复交易记录690的方法。按照该方法,利用密钥恢复信息640恢复对话密钥670,并且借助密钥670加密交易记录675。现更具体地说明交易记录恢复方法。
当买方打算从归档服务器380检索存放的交易记录660,但不具有主密钥650从而不能解密加密的对话密钥时,因此他(她)不能读出交易记录,他(她)必须从存放的记录中检索密钥恢复信息640,并把该信息发送到密钥恢复服务中心320以请求恢复密钥。密钥恢复服务中心320(未在图6中示出)把一部分密钥恢复信息640发送到密钥恢复智能体310。然后,密钥恢复智能体310处理接收到的记录,准备密钥恢复所需的数据并且回送给密钥恢复服务中心320。对所有有关的密钥恢复智能体310执行该处理。一旦接收到来自所有智能体310的数据,密钥恢复服务中心320就利用这些数据恢复密钥,并把得到的密钥(对话密钥670)回送给买方。利用密钥670,买方接着解密加密的交易记录675并读出目标交易记录690。
并不总是在互联网上进行买方与密钥恢复服务中心320之间以及密钥恢复服务中心320与密钥恢复智能体310之间的交换。可采用另一条专用线路,或者买方可直接检索存放在密钥恢复服务中心320中的交易记录660。
如上面所述,因为在密钥恢复处理期间没有恢复灵巧卡600中的密钥650而只恢复用于交易记录的对话密钥690,所以不能用恢复的对话密钥690解密别的交易记录,从而保持了安全性。