- 相關推薦
利用Web服務架構對網絡安全支付協議的改進
【摘 要】安全電子交易協議(SET協議)其安全性和復雜性都非常高。隨著網絡的普及以及新一代網絡的出現,它將可能得到更大的應用,但是它自身卻無法克服虛假交易和洗錢等網上支付漏洞。因而本文通過增加承運商角色提出對這個題目的解決模型。【關鍵詞】SET Web服務 網絡支付
1 引言
自互聯網誕生以來,通過網絡達成傳統商務貿易就是人類一直孜孜不倦的追求目標。而在互聯網發展到今天,人們對電子商務的熟悉早已經遠遠超過以往僅僅代替傳統商務業務的需要了。
本文將就在新的網絡條件下SET協議的應用以及對其不足進行完善和改進,尤其針對避免網絡貿易上的虛假貿易提出自己的建設性意見。
2 SET協議及不足
SET協議(Secure Electronic Transaction安全電子交易協議)最早由Visa和MasterCard提出,后來得到IBM和Microsoft支持,由幾家公司共同聯合開發。這一協議主要針對信用卡用戶而設計,它不僅制定了相應的加解密算法、認證方法等技術手段,而且還具體規定了客戶、商家、銀行等各方的數字證書的含義、響應動作以及與交易相關的責任認定等。
2.1 SET協議模型
SET協議的支付模型如圖1所示,交易的每個階段包括了身份認證、信息的加解密、數字簽名/驗證、數字信封、消息摘要天生/驗證等過程。
2.2SET協議的不足
由于具有高安全復雜性,造成了SET協議在應用上的較高本錢代價,以及完成一個交易的較高時間代價。這就使其普及應用受到了很大的影響。隨著計算機本錢的降低和計算機網絡的普及,相信SET協議在互聯網上的應用又將活躍起來。
不過,當前SET協議,就如何在支付的時候更大的保護交易雙方的利益,防止虛假交易和洗錢活動在網絡的掩護下肆虐進行,還是無法解決這樣的題目。而就虛假交易來說,現在各國銀行也無法判定,僅僅是通過限制網上貿易的額度對這些題目進行象征性的管制。這些都是現有SET協議本身所無法克服的題目。
我們將在接下來的部分討論利用當前的流行技術Web Services來融進第三方物流信息,以彌補對以上SET協議在這些方面的不足之處。
3 Web服務
3.1 Web服務模型
Web服務體系結構基于三種角色(服務提供者、服務注冊中心和服務請求者)之間的交互。圖 2顯示了這些操縱、提供這些操縱的組件及它們之間的交互。
4 改進后的模型設計
僅僅通過對SET協議本身加解密算法或者認證手段等等技術條件進行增減或效率改進是很難針對防范虛假交易和洗錢活動的。我們在這里提出一種將可信賴的第三方物流承運商加進到整個交易流程中來的辦法,不但可以達到比設定交易資金限額方法更有效的結果,而且還能更大的保護交易各方的利益,盡量避免交易中產生的不必要糾紛。本文設計的改進后的模型具體如圖3所示。
其中客戶與商家進行訂單協商的過程因與圖1重復,故這里就直接從商家向客戶發出購物響應后開始描述,主要過程如下:
(1)商家向客戶發出購物響應后,客戶的購物行動基本完成,商家按照客戶訂單信息備貨,并通知承運商到商家倉庫收貨;
(2)承運商到商家確認收貨,并將貨物的物流信息以Web Service的方式提供給商家服務器,以便商家和客戶實時跟蹤自己的貨物狀態,以及有利于客戶安排接貨;
(3)承運商將貨物運送到客戶地址,通知客戶預備接貨;
(4)客戶驗貨并確認收貨,承運商通過移動商務系統或本地網絡實時地將信息傳送回承運商服務器;
(5)承運商將客戶確認收貨信息(包括承運商的證書)通過Web Service的方式實時回送給商家,以便商家在第一時間向支付網關發出獲款請求;
(6)商家向支付網關發出獲款請求,其中包括承運商的證書和承運商發送貨物的track number,支付網關檢查商家和承運商的證書,并以調用承運商服務器提供的Web服務驗證貨物發送情況;
(7)承運商服務器提供相應的貨物狀態信息查詢服務,支付網關獲得相關確認后判定這是一次真實的交易,然后向銀行發出放款請求,得到響應后支付網關立即向商家作出獲款響應。
這樣,整個交易至此就完全結束了。
而在這個模型中,承運商并不需要像SET協議里那樣提供完整的加解密、數字信封、數字摘要、雙重簽名等操縱,而只需通過注冊相應的Web服務,然后向支付網關提供自己的數字證書就可以了。所以其帶來的系統開銷和網絡開銷并不太大。
最重要的一點是,有這樣的一個可信賴的第三方承運商的參與,我們就可以大大進步防范虛假交易和洗錢活動的效率。尤其針對SET協議有相當大的意義,由于信用卡網上支付是SET協議的最大支持對象,而通過虛假網上實現信用卡套現或洗錢的活動確實有些防不勝防,假如采用本文的模型那么實現這樣的防范將相對輕易得多。
5 結束語
電子商務安全涉及到方方面面,而其中支付的安全(包括技術安全和社會安全)是一個非常重要的課題。本文僅就SET協議在提供更好的交易各方利益保護方面和防范虛假交易方面提出了相應的改進模式,而其中主要涉及到對Web Services的應用。相信利用Web服務和分布式網絡架構提出電子商務新的支付模式和開發新支付平臺在不遠的將來就會出現,這也將推動整個電子商務走向新的***。
參考文獻:
[1]柯新生.網絡支付與結算.北京:電子產業出版社,2004,182-194.
[2]International Technical Support Organization,Secure Electronic Transactions:Credit Card Payment on the Web in Theory and Practice,IBM Corporation, 1997, 17-49.
[3]蘇成,胡慶鋒,趙飛芙.SET協議的分析與改進.計算機時代,2004,(3):20-21.
[4]陳炎,楊庚.基于Web Services的電子錢包系統的分布式解決方案研究.南京郵電學院學報,2005,(1):42-45.
[5]馬強,李燕軍.網絡安全之GAP技術研究.
[6]林楓.電子商務安全理論與實務.北京航天航空大學出版社.
[7]信息安全與技術.中國信息安全測試認證中心.
【利用Web服務架構對網絡安全支付協議的改進】相關文章:
一種改進的電子支付協議03-28
利用Directshow進行流媒體播放架構的研究與實現03-08
電子商務個性化服務與Web使用挖掘技術12-07
利用本錢性態對杜邦分析法改進芻探11-13
基于802.16d的服務質量架構03-07
基于流程組件的面向服務運維架構03-07
利用成本性態對杜邦分析法改進芻探03-20