探討XML技術(shù)在信用卡安全支付系統(tǒng)設(shè)計(jì)中的應(yīng)用

摘 要：伴隨我國(guó)經(jīng)濟(jì)的快速發(fā)展，以及網(wǎng)絡(luò)通訊的廣闊覆蓋，人們漸漸選擇使用信用卡網(wǎng)上支付的方式來(lái)進(jìn)行消費(fèi)。但由于信用卡支付是在虛擬的網(wǎng)絡(luò)環(huán)境中進(jìn)行，這在交易過(guò)程中存在諸多的安全風(fēng)險(xiǎn)。為降低信用卡網(wǎng)上支付的安全風(fēng)險(xiǎn)，構(gòu)建信用卡安全支付體系，設(shè)計(jì)信用卡安全支付系統(tǒng)是積極解決當(dāng)前信用卡使用者后顧之憂的最佳途徑。在此，本文將重點(diǎn)探討XML技術(shù)在信用卡安全支付系統(tǒng)設(shè)計(jì)中的應(yīng)用。

關(guān)鍵詞：XML技術(shù)；信用卡安全支付；系統(tǒng)設(shè)計(jì)；實(shí)現(xiàn)

信用卡作為一種非現(xiàn)金交易付款的方式，其以快捷、便利的網(wǎng)上支付方式在歐美等一些發(fā)達(dá)國(guó)家使用非常廣泛。在我國(guó)，信用卡的網(wǎng)上消費(fèi)具有極大的發(fā)展空間，近些年信用卡行業(yè)獲得了迅猛發(fā)展，不過(guò)也相應(yīng)產(chǎn)生了諸多安全問(wèn)題，造成了卡戶與銀行的雙重經(jīng)濟(jì)損失。為此，構(gòu)建信用卡安全支付體系，設(shè)計(jì)信用卡安全支付系統(tǒng)是積極解決當(dāng)前信用卡使用者后顧之憂的最佳途徑。

1 信用卡網(wǎng)上支付面臨的安全風(fēng)險(xiǎn)

1.1 用戶信息的截獲與竊取

信用卡網(wǎng)上支付屬于電子商務(wù)系統(tǒng)的范疇，因而電子商務(wù)系統(tǒng)中的安全措施會(huì)影響到信用卡網(wǎng)上支付的安全性。如若加密、防護(hù)等安全措施不到位，那些信用卡用戶的信息（銀行賬號(hào)與密碼、企業(yè)的商業(yè)機(jī)密數(shù)據(jù)等）就容易被不法分子截獲與竊取，造成用戶信息保密性的缺失。

1.2 數(shù)據(jù)信息的篡改擾亂正常交易

網(wǎng)絡(luò)是信用卡實(shí)現(xiàn)網(wǎng)上支付的技術(shù)支持，用戶與賣家之間的交易數(shù)據(jù)信息內(nèi)容都需要通過(guò)網(wǎng)絡(luò)來(lái)進(jìn)行傳輸。而在傳輸過(guò)程中一些不法分子會(huì)利用各種技術(shù)手段對(duì)數(shù)據(jù)信息進(jìn)行篡改或惡意破壞，導(dǎo)致用戶與賣家接收錯(cuò)誤信息內(nèi)容或無(wú)法正確解讀信息內(nèi)容，進(jìn)而擾亂正常的交易活動(dòng)。

2 XML技術(shù)在信用卡安全支付系統(tǒng)設(shè)計(jì)中應(yīng)用

2.1 XML消息的橢圓曲線簽名方案設(shè)計(jì)

在信用卡安全支付系統(tǒng)中，應(yīng)用XML技術(shù)來(lái)進(jìn)行橢圓曲線簽名設(shè)計(jì)，從而提高信用卡網(wǎng)上支付過(guò)程中消息傳輸?shù)耐暾耘c安全性。基于XML技術(shù)，引用高速度、高安全的ECDSA算法來(lái)實(shí)現(xiàn)XML消息的橢圓曲線簽名設(shè)計(jì)。如圖1所示，這是ECDSA數(shù)字簽名流程圖。

通過(guò)圖1我們能夠直觀了解到XML消息的橢圓曲線簽名設(shè)計(jì)的具體流程包括：①發(fā)送端通過(guò)運(yùn)用SHA-1算法對(duì)消息進(jìn)行計(jì)算，以獲取數(shù)字摘要；②在發(fā)送端進(jìn)行ECDSA算法初始化，進(jìn)而得出密鑰與參數(shù)，以用于簽名中的橢圓曲線；③通過(guò)計(jì)算公式R=k（xg，yg）=[xr，其中G=（xI，在算法初始化的時(shí)候獲得）]，其中 r=xrn；e=I（H（M）為數(shù)字摘要）。令s=k-1（e+rd）n（其中，d為密鑰，在算法初始化中已獲得）。r、s為數(shù)字簽名。④利用網(wǎng)絡(luò)向接收端發(fā)送數(shù)字簽名與原消息；⑤數(shù)字摘要的獲得需要通過(guò)SHA-1算法將接收到的原消息來(lái)計(jì)算得出；⑥運(yùn)用公式w=s-1m來(lái)計(jì)算出w，e=I（H（M）為數(shù)字摘要），利用公式u1=ewmodn；u2=rwmodn計(jì)算出u1值u2，運(yùn)用公式t=u1G=u2Q=（X其中Q為密匙，Q和G在算法初始化的時(shí)候獲得），通過(guò)橢圓曲線算法對(duì)接收到的數(shù)字簽名進(jìn)行解密，令v，比較r、v，若相同，則驗(yàn)證成功。

2.2 XML消息的數(shù)字信封方案設(shè)計(jì)

在信用卡安全支付系統(tǒng)中，XML消息的安全性可以通過(guò)設(shè)計(jì)數(shù)字信封來(lái)實(shí)現(xiàn)。數(shù)字信封，一種結(jié)合了對(duì)稱加密、非對(duì)稱加密的安全方案，為了提高數(shù)字信封對(duì)XML消息安全性的保障，本系統(tǒng)設(shè)計(jì)還是運(yùn)用XML技術(shù)中的ECDH算法，以及AES算法來(lái)共同完成XML消息數(shù)字信封方案的設(shè)計(jì)目標(biāo)。對(duì)稱加密通過(guò)AES算法來(lái)完成，對(duì)稱密鑰共享利用ECDH算法來(lái)實(shí)現(xiàn)，以提高系統(tǒng)的安全性與效率性。具體的方案設(shè)計(jì)流程包括：①發(fā)送端和接收端獲得橢圓曲線E（GF（q））和基點(diǎn)G；②發(fā)送端選擇一個(gè)選擇任意整數(shù)，na∈[1，n；nb∈[1，n，以計(jì)算出Pa與Pb；③發(fā)送端計(jì)算K=，K為對(duì)稱密鑰，接收端計(jì)算K=，K為對(duì)稱密鑰，通過(guò)ECDH方案發(fā)送端和接收端得到AES加密算法的對(duì)稱密鑰。④發(fā)送端使用K對(duì)明文進(jìn)行加密，生成密文；⑤密文通過(guò)網(wǎng)絡(luò)發(fā)送給接收端；⑥接收端使用K對(duì)密文進(jìn)行解密，生成明文。

2.3 XML消息安全方案的詳細(xì)設(shè)計(jì)

關(guān)于信用卡安全支付系統(tǒng)中XML消息安全方案的詳細(xì)設(shè)計(jì)，不同的消息內(nèi)容需要設(shè)計(jì)不同的安全方案。在XML消息中，PInitReq、PInitRes、PRes因未涉及敏感信息，所以采取簡(jiǎn)單的簽名安全措施即可。但在XML消息中，PReq涉及敏感信息，因而需要利用橢圓曲線簽名設(shè)計(jì)方案來(lái)重點(diǎn)保護(hù)。具體的設(shè)計(jì)流程包括：①計(jì)算OIData與PIData的數(shù)字摘要，得出HOIData和HPIData，并將其連接成為PI-TBS；②信用卡用戶運(yùn)用ECDSA橢圓曲線算法來(lái)獲得密鑰與參數(shù)，然后通過(guò)PI-TBS進(jìn)行簽名，以生成數(shù)字簽名；③利用XSLT2.0技術(shù)來(lái)分解PIData；④信用卡用戶利用支付網(wǎng)關(guān)、ECDSA算法來(lái)實(shí)現(xiàn)對(duì)稱密鑰的共享，并利用共享的對(duì)稱密鑰對(duì)分解后的PIData與HOIData進(jìn)行加密，有商家將這些數(shù)據(jù)傳輸至支付網(wǎng)關(guān)；⑤通過(guò)上述步驟的安全處理，向商家發(fā)送已處理的安全消息，而后商家利用ECDSA算法對(duì)數(shù)字簽名進(jìn)行驗(yàn)證。

通過(guò)上述分析可知，將XML技術(shù)應(yīng)用于信用卡安全支付系統(tǒng)設(shè)計(jì)中，這對(duì)提高信用卡網(wǎng)上支付的安全性、效率性有極大的幫助。基于XML技術(shù)來(lái)進(jìn)行橢圓曲線簽名設(shè)計(jì)、數(shù)字信封設(shè)計(jì)、安全方案設(shè)計(jì)，以進(jìn)一步完善信用卡網(wǎng)上支付的安全功能，從而為廣大信用卡用戶與銀行提供安全保障。

[參考文獻(xiàn)]

[1]張婷婷.基于XML的票據(jù)存儲(chǔ)管理系統(tǒng)[J].電腦開發(fā)與應(yīng)用，2012，25（2）：55-57.

[2]李艷.基于XML/Web服務(wù)技術(shù)的電子商務(wù)系統(tǒng)模型的研究與設(shè)計(jì)[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2012（4）：95-98.