利用Ｗｅｂ服务架构对网络安全支付协议的改进.doc

利用服务架构对网络安全支付协议的改进 【摘 要】安全电子交易协议（SET协议）其安全性和复杂性都非常高。随着网络的普及以及新一代网络的出现，它将可能得到更大的应用，但是它自身却无法克服虚假交易和洗钱等网上支付漏洞。因而本文通过增加承运商角色提出对这个问题的解决模型。 【关键词】SET Web服务 网络支付 1 引言 自互联网诞生以来，通过网络达成传统商务贸易就是人类一直孜孜不倦的追求目标。而在互联网发展到今天，人们对电子商务的认识早已经远远超过以往仅仅代替传统商务业务的需要了。 本文将就在新的网络条件下SET协议的应用以及对其不足进行完善和改进，尤其针对避免网络贸易上的虚假贸易提出自己的建设性意见。 2 SET协议及不足 SET协议（Secure Electronic Transaction安全电子交易协议）最早由Visa和MasterCard提出，后来得到IBM和Microsoft支持，由几家公司共同联合开发。这一协议主要针对信用卡用户而设计，它不仅制定了相应的加解密算法、认证方法等技术手段，而且还详细规定了客户、商家、银行等各方的数字证书的含义、响应动作以及与交易相关的责任认定等。 2.1 SET协议模型 SET协议的支付模型如图1所示，交易的每个阶段包括了身份认证、信息的加解密、数字签名/验证、数字信封、消息摘要生成/验证等过程。 2.2SET协议的不足 因为具有高安全复杂性，造成了SET协议在应用上的较高成本代价，以及完成一个交易的较高时间代价。这就使其普及应用受到了很大的影响。随着计算机成本的降低和计算机网络的普及，相信SET协议在互联网上的应用又将活跃起来。 不过，当前SET协议，就如何在支付的时候更大的保护交易双方的利益，防止虚假交易和洗钱活动在网络的掩护下肆虐进行，还是无法解决这样的问题。而就虚假交易来说，现在各国银行也无法判断，仅仅是通过限制网上贸易的额度对这些问题进行象征性的管制。这些都是现有SET协议本身所无法克服的问题。 我们将在接下来的部分讨论利用当前的流行技术Web Services来融入第三方物流信息，以弥补对以上SET协议在这些方面的不足之处。 3 Web服务 3.1 Web服务模型 Web服务体系结构基于三种角色（服务提供者、服务注册中心和服务请求者）之间的交互。图 2显示了这些操作、提供这些操作的组件及它们之间的交互。 4 改进后的模型设计 仅仅通过对SET协议本身加解密算法或者认证手段等等技术条件进行增减或效率改进是很难针对防范虚假交易和洗钱活动的。我们在这里提出一种将可信赖的第三方物流承运商加入到整个交易流程中来的办法，不但可以达到比设定交易资金限额方法更有效的结果，而且还能更大的保护交易各方的利益，尽量避免交易中产生的不必要纠纷。本文设计的改进后的模型具体如图3所示。 其中客户与商家进行订单协商的过程因与图1重复，故这里就直接从商家向客户发出购物响应后开始描述，主要过程如下： （1）商家向客户发出购物响应后，客户的购物行动基本完成，商家按照客户订单信息备货，并通知承运商到商家仓库收货； （2）承运商到商家确认收货，并将货物的物流信息以Web Service的方式提供给商家服务器，以便商家和客户实时跟踪自己的货物状态，以及有利于客户安排接货； （3）承运商将货物运送到客户地址，通知客户准备接货； （4）客户验货并确认收货，承运商通过移动商务系统或本地网络实时地将信息传送回承运商服务器； （5）承运商将客户确认收货信息（包括承运商的证书）通过Web Service的方式实时回送给商家，以便商家在第一时间向支付网关发出获款请求； （6）商家向支付网关发出获款请求，其中包括承运商的证书和承运商发送货物的track number，支付网关检查商家和承运商的证书，并以调用承运商服务器提供的Web服务验证货物发送情况； （7）承运商服务器提供相应的货物状态信息查询服务，支付网关获得相关确认后判断这是一次真实的交易，然后向银行发出放款请求，得到响应后支付网关立即向商家作出获款响应。 这样，整个交易至此就完全结束了。 而在这个模型中，承运商并不需要像SET协议里那样提供完整的加解密、数字信封、数字摘要、双重签名等操作，而只需通过注册相应的Web服务，然后向支付网关提供自己的数字证书就可以了。所以其带来的系统开销和网络开销并不太大。 最重要的一点是，有这样的一个可信赖的第三方承运商的参与，我们就可以大大提高防范虚假交易和洗钱活动的效率。尤其针对SET协议有相当大的意义，因为信用卡网上支付是SET协议的最大支持对象，而通过虚假网上实现信用卡套现或洗钱的活动确实有些防不胜防，如果采用本文的模型那么实现这样的防范将相对容易得多。 5 结束语 电子商务安全涉及到方方面面，而其中支付的安全（包括技术安全和社会安全）是一个非常重要的课题。本文仅就SET协议在提供更好的交易各方利益保护方面和防范虚假交易方面提出了相应的改进模式，而其中主要涉及到对Web Services的应用。相信利用Web服务和分布式网络架构提出电子商务新的支付模式和开发新支付平台在不远的将来就会出现，这也将推动整个电子商务走向新的高潮。 参考文献： 1柯新生.网络支付与结算.北京：电子工业出版社，2004，182-194. 2International Technical Support Organization，Secure Electronic Transactions：Credit Card Payment on the Web in Theory and Practice，IBM Corporation， 1997， 17-49. 3苏成，胡庆锋，赵飞芙.SET协议的分析与改进.计算机时代，2004，（3）：20-21. 4陈炎，杨庚.基于We