基于WS—Security的電子商務安全支付系統(tǒng)研究

【摘要】近年來，電子商務發(fā)展速度逐年提升，發(fā)展規(guī)模也在日益擴大，為了有效提升電子商務運行的效率性和安全性，各相關企業(yè)和部門均在不斷進行系統(tǒng)優(yōu)化設計和更新。其中，作為重要環(huán)節(jié)之一的支付系統(tǒng)也進行了適當調整，WS-Security規(guī)范被逐漸引入電子商務支付過程中。就此，本文對該規(guī)范進行了系統(tǒng)研究與分析，旨在進一步提升電子商務的安全運行效率。

【關鍵詞】WS-Security 電子商務 安全支付系統(tǒng)

就目前的電子商務發(fā)展狀況來看，發(fā)展機遇與挑戰(zhàn)并存，盡管有效提升了商務交易的便捷性，但是其安全隱患日漸突顯[1]。為此，本文將WS-Security規(guī)范應用于電子商務支付交易過程中，再結合以XML技術建立了電子商務安全支付系統(tǒng)，進一步提高了敏感信息的安全性和靈活性，現(xiàn)將研究內容論述如下。

一、電子商務安全支付系統(tǒng)的風險評估

近年來，物流行業(yè)正不斷調整傳統(tǒng)的配送方式，同時，隨著計算機技術和互聯(lián)網(wǎng)技術的不斷發(fā)展與應用，電子商務方式逐漸發(fā)揮其積極的商務交易作用，近年來出現(xiàn)了動態(tài)電子商務交易模式，但是在電子商務集成模式建立后其安全問題也逐漸增多，網(wǎng)絡交易的安全隱患日漸突出，其中尤以電子商務支付隱患和問題較多[2]。例如，很多大型百貨公司常常會采用Keberos系統(tǒng)，這類公司的財務業(yè)務管理多需要采用PKI方法。這種方法形成于Web服務方式，其電子財務管理方案主要由會計核算處理、財務報表、利稅計算等內容構成。由于財務業(yè)務有時需要外包，所以百貨公司和外包公司建立的集成模式往往會增加系統(tǒng)的安全風險。具體的風險主要表現(xiàn)在以下幾方面[3]：第一，財務服務系統(tǒng)可能會遭到非法用戶使用或進入。由于公司的電子商務密鑰基礎設施不夠完善，所以系統(tǒng)常常沒有特殊的訪問限定標準，最終致使財務系統(tǒng)受到侵入。作為一種財務交易過程，必須建立安全的信息系統(tǒng)，只有經(jīng)過嚴格的身份審查和核定后才可以登錄或訪問財務系統(tǒng)。第二，相關支付信息或數(shù)據(jù)遭到修改、破壞或竊取。電子商務在運行過程中常常因為相關管理和運營系統(tǒng)的安全性較差導致相關支付信息遭到修改、竊取等問題，這樣就會造成買家的信息泄露，造成不必要的糾紛，最終引發(fā)電子商務運營過程的混亂。

二、WS-Security規(guī)范概述

WS-Security 規(guī)范就是指Web Service Security規(guī)范，它建立基礎為XML的安全性元數(shù)據(jù)容器，該規(guī)范自身不存在新的安全協(xié)議，它強調的是在原有的安全規(guī)范和標準基礎上構建新的安全規(guī)范，主要是一個可以擴展的框架，從而將消息摘要、數(shù)字簽名以及數(shù)據(jù)加密等安全性機制內容嵌入SOAP消息中[4]。在該規(guī)范基礎上擴展形成的Web Service中也不僅僅是傳統(tǒng)的XML文本消息，而是由SOAP傳輸?shù)腦ML文件。而XMLheader中被用來作為密鑰加密的數(shù)字證書也實現(xiàn)了數(shù)字簽名，進行數(shù)字簽名的主要為傳輸?shù)腦ML Body內容[5]。這樣就保證了客戶方面送來的信息經(jīng)由接收端接收后可以依照客戶用戶解密對其實施驗證，這種過程便于提升信息來源的完整性、準確性以及保密性。就此，本文描述了一個Soap Envelop例子經(jīng)由WS-Security規(guī)范的解釋后，使用的XML安全組件。其安全體系結構圖如圖1所示。

在這一結構中，XML Encryption所表示的內容為整個支付系統(tǒng)由XML文件表示主體之間傳遞的消息，其XML元素級加密不是對整體的信息進行加密，而是僅僅對部分信息中的內容進行加密，只對傳輸消息的一部分內容進行加密。這種加密過程加密的是不同的敏感信息，主要利用的是不同接收對象的公用交換密鑰，而敏感信息來源于XML信息。而同一條消息，不同的接收實體僅僅可以獲取自身的元素信息，對其他實體的敏感信息不能夠進行查看。此外，構架圖中提示的XML Signature則可以為電子商務進行不可否認和確認性的服務，它可以對XML文檔進行簽名，同時也可以對其進行簽名驗證。接下來的XKMS是指一種密鑰管理規(guī)范，能夠發(fā)揮相似于PKI的密鑰管理功能。此外，XACML和SAML是一種信任體系，能夠遷移，具有控制XML資源操作能力，其中，前者可以對使用一項資源發(fā)出的使用請求進行決定與允許工作，決定其是否可以使用單個文件，或者是否可以使用整個文件。而后者的則可以移植信任。最后，SOAP協(xié)議上可提供XML信息傳輸服務。

三、WS-Security基礎上的電子商務安全支付系統(tǒng)分析

WS-Security規(guī)范屬于一種SOAP擴展，是在Web服務基礎上建立起來的安全服務規(guī)范，這種規(guī)范常常被設計于多種安全模型中，應用與電子商務安全支付系統(tǒng)中可以集成多種安全技術，這些技術以往不能進行相互操作，但是基于這種安全服務規(guī)范就可以建立一種安全的Web服務方法[6]。它為支付過程提供了三種重要作用，完整消息、加密信息、傳送安全性令牌[7]。而這些機制自身是難以實現(xiàn)完整的安全性解決方案的。這種規(guī)范相當于一個構件，能夠聯(lián)合使用應用層協(xié)議、多種Web Service協(xié)議、加密技術等，可以保障Web服務的完整性和機密性。而在WS-Security規(guī)范下建立的電子支付系統(tǒng)如圖2所示。

上述系統(tǒng)中主要包含用戶和消費者兩個客戶端，一個商家企業(yè)服務器，一個網(wǎng)絡認證中心，一個金融網(wǎng)絡，加上電子支付工具和支付網(wǎng)關等。在電子商務整個交易過程中具體的步驟如下[8]：第一，由消費者于企業(yè)網(wǎng)站上進行貨物選購，然后填寫購物訂單，這時系統(tǒng)會將訂單創(chuàng)建日期添加在貨物訂單上。第二，由消費者自主選擇在線支付形式，期間細致輸入和填寫相關支付信息。第三，CA認證中心同企業(yè)服務器、消費者以及支付網(wǎng)關建立相互對應的安全通道，該通道進行了加密，然后由CA認證中心進行有效認證。第四，由消費者使用私有的密鑰對企業(yè)公用交換密鑰進行解密，然后通過這種密鑰加密交換方式獲取自身所需的傳輸消息，對其中涉及到貨物訂購信息進行獲取，隨后，使用支付網(wǎng)關的公用交換密鑰對消息中涉及到的支付信息部分進行加密處理。第五，由消費者聯(lián)系部分加密的XML消息和XML消息標準模式XMLSchema，將其連接在一起，使用WS-Security算法，建立出信息摘要，該摘要需要識別本次傳送的消息，然后建立數(shù)字簽名，該數(shù)字簽名由私用簽字密鑰形成，之后將其集成于SOAP模型中的消息頭中。第六，在企業(yè)防火墻和客戶機之間建立一種連接，然后由此獲取防火墻連接與時間戳服務，同時將時間標記于請求信息的頭部。第七，利用SSL連接將時間戳服務客戶請求信息傳遞于審核服務，然后在消息頭中中加入信息的審查結果。第八，經(jīng)由企業(yè)服務器從郵戳服務中獲取消費者請求消息，然后利用公用簽字密鑰對XML消息摘要和Schema的數(shù)字簽名進行解密。第九，消費者在計算XML消息的消息摘要和Schema時需采取單向算法，而業(yè)服務器將選用相同的方法，然后將接收到的消息摘要彼此進行比較。第十，如果兩個摘要的比較結果一致，則需要由企業(yè)解密出消費者的訂購信息，主要方法為利用自己的私用交換密鑰，對其訂購數(shù)據(jù)進行確認，之后由企業(yè)生成支付請求信息，回到步驟五中，運用該步驟中的方法產(chǎn)生該支付請求信息消息摘要的簽名，并將其附加于消息頭上。除了上述這些步驟之外，還需要進行幾下步驟：一是企業(yè)傳送信息給支付網(wǎng)關，獲取信息后利用企業(yè)運用的檢驗方法，然后用支付網(wǎng)關對客戶的支付信息進行解密，同時解密企業(yè)的支付請求信息。二是核實客戶身份，此外，采用CA信用認證方法對賬戶信息和支付信息進行認證，由支付網(wǎng)關向企業(yè)返回確認信息。三是消費者發(fā)卡行將相應的交易金額從客戶賬號轉出到中介行。四是企業(yè)繼而向客戶返回響應信息，同時向配送服務發(fā)出運貨信息，配送服務向企業(yè)、支付網(wǎng)關發(fā)出貨物成功遞送的確認信息及其摘要的數(shù)字簽名，同時支付網(wǎng)關也將同一份確認信息和自己對該信息摘要的簽名轉發(fā)給消費者。五是客戶確認，中介行則將暫存的交易金額轉送到企業(yè)的收單行，否則，將交易金額轉回發(fā)卡行，結束交易。上述即為WS-Security規(guī)范下的電子商務安全支付方法，其中的XML安全組件包含元素級加密服務和XML數(shù)字簽名服務，可以實現(xiàn)交易的不可否認性，也可以實現(xiàn)消息層的安全性與靈活性。

四、總結

綜上所述，電子商務交易過程具有一定的安全隱患，其交易風險始終存在，近年來其安全隱患日漸突出，對此，文中討論了WS-Security規(guī)范，并結合以XML技術建立了電子商務安全支付系統(tǒng)，提升了支付信息的加密性以及交易過程的安全性，并實現(xiàn)了交易過程的不可否認性。而就本次研究而言，研究內容仍然不夠全面，今后筆者將繼續(xù)進行深入的研究與分析，爭取建立更加嚴謹?shù)慕灰紫到y(tǒng)模型，進一步提升電子商務交易過程的安全性以及靈活性。

參考文獻

[1]郭悅紅，齊莉麗.基于WS-Security的電子商務安全支付系統(tǒng)[J].微電子學與計算機，2010，27（3）：151-153.

[2]徐燁，曾浩.基于WS-Security的SOA安全協(xié)議框架設計[J].合肥工業(yè)大學學報自然科學版，2011，34（4）：506-508.

[3]He Y，Jiang J.E-commerce security payment system research and implementation[C]// Computer Science and Information Technology （ICCSIT），2010 3rd IEEE International Conference on.IEEE，2010：559-562.

[4]李瑩瑩，金志超，阮彤等.基于GMF的WS-Security安全策略配置工具研究與實現(xiàn)[J].計算機應用與軟件，2012，29（2）：101-104.

[5]潘雨相.基于PKI技術的電子商務安全支付系統(tǒng)設計[J].現(xiàn)代電子技術，2014（12）：93-95.

[6]林素標.基于WS-Security的業(yè)務接口安全實現(xiàn)[J].中國新通信，2015（8）：125-126.

[7]呂玉珠.基于SSL協(xié)議的電子商務支付系統(tǒng)的實現(xiàn)及安全性研究[J].煤炭技術，2011，30（9）：119-121.

[8]Yi X.The research on electronic commerce security payment system based on set protocol[C]// International Conference on Digital Image Processing.International Society for Optics and Photonics，2012：83342Q-83342Q-5.

作者簡介：趙亮（1983-），男，本科，研究方向：電子商務。