[发明专利]二手物品在线交易过程中实现分级加密和安全认证的方法

说明书

技术领域

本发明涉及二手物品在线交易的的安全问题，具体为二手物品在线交易过程中实现多级加密和安全认证的方法。

背景技术

电子商务作为当前最为先进商业运营方式，主要通过互联网作为载体来完成交易过程，它为全世界的用户提供了空前丰富的商务信息，使得商业交易成本大大减少，交易过程简单迅捷。当前，电子商务已经成为了主流模式，全球电子商业的成交金额空前扩大。然而，互联网又是一把双刃剑，在给人们带来巨大便利的同时，也蕴含着极高的安全风险，建立在互联网基础之上的电子商务也就无可避免地面临着种种安全威胁，发展形势异常严峻，电子商务安全也成为了全世界最关注的焦点问题。

二手物品交易网站本质上属于电子商务范畴，由于其在一个面向所有人开放的网络中，因此有很大的可能受到其他人的登录甚至攻击。这些攻击会在很大程度上影响人们正常的登录浏览甚至是正规的交易会受到威胁，甚至会影响到网站的正常运营与发展。

在现有的二手物品交易很多支付不进行秘密级别的分级，即使有些有分级的思想，但是着力点却是在金额的大小，金额高的就使用长钥匙，金额低的就短钥匙。但这会带来以下问题，如何判断金额的高低，因不同的人对于金钱的看重程度是不同的，对于金额阈值的认可程度不一，这样就造成对于金额划分的标准难以确定的问题。并且在交易的过程中，高额的交易和小额的交易对于支付密码来说都是一样的，这就存在一定的隐患，入侵者的目的是拿到支付密码，对于短密钥加密密文的攻击难度要低于长密码加密密文，但是结果却是相同的，这就失去了使用长密钥的意义。

发明内容

本发明的目的在于针对目前二手物品交易过程中的安全性的问题，提出了二手物品在线交易过程中实现分级加密和安全认证的方法。该方法从总体结构上分为用户界面和相应程序、OTP生成器、OTP认证模块、ECDSA签名模块、ECDSA认证模块、分级加密模块。

所述的用户界面和相应程序的功能，主要是接收用户的交易认证请求交给交易认证服务器去处理。在服务器要求一次性口令时调用一次性口令生成器(OTP生成器)利用用户输入的秘密通行短语和服务器给出的挑战信息计算一次性口令递交给服务器，并将服务器的认证结果反馈给用户。

所述的OTP生成器，其运行在客户端，根据选定的一次性口令生成算法，依据用户输入秘密通行短语和服务器给出的挑战信息计算一次性口令。这样可以避免用户的秘密口令在网上传输，提高了用户口令的安全性。

所述的OTP认证模块，该模块主要响应普通用户的交易请求，给出挑战信息值，并对用户根据挑战信息计算出的一次性口令进行验证，如果验证通过，则用户的交易认证成功，否则拒绝承认用户的交易。

所述的ECDSA签名模块，该模块在客户端运行，针对特定的明文信息(该系统中使用用户的证书)，根据用户选择的私钥，利用ECDSA算法计算出用户的签名信息。

所述的ECDSA认证模块，该模块根据用户的递交的数字签名，利用用户的公开密钥进行验证，验证通过，则交易认证成功，认可用户的交易，否则拒绝承认用户交易。

所述的多级加密模块，是指对于低密级的信息，直接使用明文传输，可以加快交易速度；而对于中等秘密级别的信息，由于与账户关系不大，只是出于个人隐私的考虑，这样的信息对于以夺取经济利益为目标的入侵者来说没有意义，所以不需要使用很强的保密手段，只需要进行加密传输即可；但是对于秘密等级较高甚至是高的信息来说，完备的安全策略是必须的，只是在密钥长度上加以区分，因为两者使用的密码不同，使用频率不同，密码丢失后造成的危害也不同，所以可以适当使用短密码来提高交易速度是可取的。

所述的低级别的秘密等级是指请求信息和传递证书，中级别的秘密等级是指商品信息和确认信息，高级别的秘密等级是指密码修改和三方支付。

所述的秘密等级为低级别的对应策略为明文传输，秘密等级为中级别的对应策略为对称密钥加密，秘密等级为高级别的对应策略为数字信封、签名以及对称密钥长度为192bit。

本申请实施例中提供的一个或多个技术方案，至少具有如下技术效果或优点：本发明解决了二手物品在交易过程中的安全问题，只有通过认证的用户才能获得相应的交易资格权限，否则只能作为匿名用户进行有限访问，并且对每次通信的信息进行区分，以达到更高的通信效率，也能满足每种业务的具体需求。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为本发明的结构示意图。

具体实施方式