基于WS—Security的電子商務安全支付系統研究

【摘要】近年來，電子商務發展速度逐年提升，發展規模也在日益擴大，為了有效提升電子商務運行的效率性和安全性，各相關企業和部門均在不斷進行系統優化設計和更新。其中，作為重要環節之一的支付系統也進行了適當調整，WS-Security規范被逐漸引入電子商務支付過程中。就此，本文對該規范進行了系統研究與分析，旨在進一步提升電子商務的安全運行效率。

【關鍵詞】WS-Security 電子商務 安全支付系統

就目前的電子商務發展狀況來看，發展機遇與挑戰并存，盡管有效提升了商務交易的便捷性，但是其安全隱患日漸突顯[1]。為此，本文將WS-Security規范應用于電子商務支付交易過程中，再結合以XML技術建立了電子商務安全支付系統，進一步提高了敏感信息的安全性和靈活性，現將研究內容論述如下。

一、電子商務安全支付系統的風險評估

近年來，物流行業正不斷調整傳統的配送方式，同時，隨著計算機技術和互聯網技術的不斷發展與應用，電子商務方式逐漸發揮其積極的商務交易作用，近年來出現了動態電子商務交易模式，但是在電子商務集成模式建立后其安全問題也逐漸增多，網絡交易的安全隱患日漸突出，其中尤以電子商務支付隱患和問題較多[2]。例如，很多大型百貨公司常常會采用Keberos系統，這類公司的財務業務管理多需要采用PKI方法。這種方法形成于Web服務方式，其電子財務管理方案主要由會計核算處理、財務報表、利稅計算等內容構成。由于財務業務有時需要外包，所以百貨公司和外包公司建立的集成模式往往會增加系統的安全風險。具體的風險主要表現在以下幾方面[3]：第一，財務服務系統可能會遭到非法用戶使用或進入。由于公司的電子商務密鑰基礎設施不夠完善，所以系統常常沒有特殊的訪問限定標準，最終致使財務系統受到侵入。作為一種財務交易過程，必須建立安全的信息系統，只有經過嚴格的身份審查和核定后才可以登錄或訪問財務系統。第二，相關支付信息或數據遭到修改、破壞或竊取。電子商務在運行過程中常常因為相關管理和運營系統的安全性較差導致相關支付信息遭到修改、竊取等問題，這樣就會造成買家的信息泄露，造成不必要的糾紛，最終引發電子商務運營過程的混亂。

二、WS-Security規范概述

WS-Security 規范就是指Web Service Security規范，它建立基礎為XML的安全性元數據容器，該規范自身不存在新的安全協議，它強調的是在原有的安全規范和標準基礎上構建新的安全規范，主要是一個可以擴展的框架，從而將消息摘要、數字簽名以及數據加密等安全性機制內容嵌入SOAP消息中[4]。在該規范基礎上擴展形成的Web Service中也不僅僅是傳統的XML文本消息，而是由SOAP傳輸的XML文件。而XMLheader中被用來作為密鑰加密的數字證書也實現了數字簽名，進行數字簽名的主要為傳輸的XML Body內容[5]。這樣就保證了客戶方面送來的信息經由接收端接收后可以依照客戶用戶解密對其實施驗證，這種過程便于提升信息來源的完整性、準確性以及保密性。就此，本文描述了一個Soap Envelop例子經由WS-Security規范的解釋后，使用的XML安全組件。其安全體系結構圖如圖1所示。

在這一結構中，XML Encryption所表示的內容為整個支付系統由XML文件表示主體之間傳遞的消息，其XML元素級加密不是對整體的信息進行加密，而是僅僅對部分信息中的內容進行加密，只對傳輸消息的一部分內容進行加密。這種加密過程加密的是不同的敏感信息，主要利用的是不同接收對象的公用交換密鑰，而敏感信息來源于XML信息。而同一條消息，不同的接收實體僅僅可以獲取自身的元素信息，對其他實體的敏感信息不能夠進行查看。此外，構架圖中提示的XML Signature則可以為電子商務進行不可否認和確認性的服務，它可以對XML文檔進行簽名，同時也可以對其進行簽名驗證。接下來的XKMS是指一種密鑰管理規范，能夠發揮相似于PKI的密鑰管理功能。此外，XACML和SAML是一種信任體系，能夠遷移，具有控制XML資源操作能力，其中，前者可以對使用一項資源發出的使用請求進行決定與允許工作，決定其是否可以使用單個文件，或者是否可以使用整個文件。而后者的則可以移植信任。最后，SOAP協議上可提供XML信息傳輸服務。

三、WS-Security基礎上的電子商務安全支付系統分析

WS-Security規范屬于一種SOAP擴展，是在Web服務基礎上建立起來的安全服務規范，這種規范常常被設計于多種安全模型中，應用與電子商務安全支付系統中可以集成多種安全技術，這些技術以往不能進行相互操作，但是基于這種安全服務規范就可以建立一種安全的Web服務方法[6]。它為支付過程提供了三種重要作用，完整消息、加密信息、傳送安全性令牌[7]。而這些機制自身是難以實現完整的安全性解決方案的。這種規范相當于一個構件，能夠聯合使用應用層協議、多種Web Service協議、加密技術等，可以保障Web服務的完整性和機密性。而在WS-Security規范下建立的電子支付系統如圖2所示。

上述系統中主要包含用戶和消費者兩個客戶端，一個商家企業服務器，一個網絡認證中心，一個金融網絡，加上電子支付工具和支付網關等。在電子商務整個交易過程中具體的步驟如下[8]：第一，由消費者于企業網站上進行貨物選購，然后填寫購物訂單，這時系統會將訂單創建日期添加在貨物訂單上。第二，由消費者自主選擇在線支付形式，期間細致輸入和填寫相關支付信息。第三，CA認證中心同企業服務器、消費者以及支付網關建立相互對應的安全通道，該通道進行了加密，然后由CA認證中心進行有效認證。第四，由消費者使用私有的密鑰對企業公用交換密鑰進行解密，然后通過這種密鑰加密交換方式獲取自身所需的傳輸消息，對其中涉及到貨物訂購信息進行獲取，隨后，使用支付網關的公用交換密鑰對消息中涉及到的支付信息部分進行加密處理。第五，由消費者聯系部分加密的XML消息和XML消息標準模式XMLSchema，將其連接在一起，使用WS-Security算法，建立出信息摘要，該摘要需要識別本次傳送的消息，然后建立數字簽名，該數字簽名由私用簽字密鑰形成，之后將其集成于SOAP模型中的消息頭中。第六，在企業防火墻和客戶機之間建立一種連接，然后由此獲取防火墻連接與時間戳服務，同時將時間標記于請求信息的頭部。第七，利用SSL連接將時間戳服務客戶請求信息傳遞于審核服務，然后在消息頭中中加入信息的審查結果。第八，經由企業服務器從郵戳服務中獲取消費者請求消息，然后利用公用簽字密鑰對XML消息摘要和Schema的數字簽名進行解密。第九，消費者在計算XML消息的消息摘要和Schema時需采取單向算法，而業服務器將選用相同的方法，然后將接收到的消息摘要彼此進行比較。第十，如果兩個摘要的比較結果一致，則需要由企業解密出消費者的訂購信息，主要方法為利用自己的私用交換密鑰，對其訂購數據進行確認，之后由企業生成支付請求信息，回到步驟五中，運用該步驟中的方法產生該支付請求信息消息摘要的簽名，并將其附加于消息頭上。除了上述這些步驟之外，還需要進行幾下步驟：一是企業傳送信息給支付網關，獲取信息后利用企業運用的檢驗方法，然后用支付網關對客戶的支付信息進行解密，同時解密企業的支付請求信息。二是核實客戶身份，此外，采用CA信用認證方法對賬戶信息和支付信息進行認證，由支付網關向企業返回確認信息。三是消費者發卡行將相應的交易金額從客戶賬號轉出到中介行。四是企業繼而向客戶返回響應信息，同時向配送服務發出運貨信息，配送服務向企業、支付網關發出貨物成功遞送的確認信息及其摘要的數字簽名，同時支付網關也將同一份確認信息和自己對該信息摘要的簽名轉發給消費者。五是客戶確認，中介行則將暫存的交易金額轉送到企業的收單行，否則，將交易金額轉回發卡行，結束交易。上述即為WS-Security規范下的電子商務安全支付方法，其中的XML安全組件包含元素級加密服務和XML數字簽名服務，可以實現交易的不可否認性，也可以實現消息層的安全性與靈活性。

四、總結

綜上所述，電子商務交易過程具有一定的安全隱患，其交易風險始終存在，近年來其安全隱患日漸突出，對此，文中討論了WS-Security規范，并結合以XML技術建立了電子商務安全支付系統，提升了支付信息的加密性以及交易過程的安全性，并實現了交易過程的不可否認性。而就本次研究而言，研究內容仍然不夠全面，今后筆者將繼續進行深入的研究與分析，爭取建立更加嚴謹的交易系統模型，進一步提升電子商務交易過程的安全性以及靈活性。

參考文獻

[1]郭悅紅，齊莉麗.基于WS-Security的電子商務安全支付系統[J].微電子學與計算機，2010，27（3）：151-153.

[2]徐燁，曾浩.基于WS-Security的SOA安全協議框架設計[J].合肥工業大學學報自然科學版，2011，34（4）：506-508.

[3]He Y，Jiang J.E-commerce security payment system research and implementation[C]// Computer Science and Information Technology （ICCSIT），2010 3rd IEEE International Conference on.IEEE，2010：559-562.

[4]李瑩瑩，金志超，阮彤等.基于GMF的WS-Security安全策略配置工具研究與實現[J].計算機應用與軟件，2012，29（2）：101-104.

[5]潘雨相.基于PKI技術的電子商務安全支付系統設計[J].現代電子技術，2014（12）：93-95.

[6]林素標.基于WS-Security的業務接口安全實現[J].中國新通信，2015（8）：125-126.

[7]呂玉珠.基于SSL協議的電子商務支付系統的實現及安全性研究[J].煤炭技術，2011，30（9）：119-121.

[8]Yi X.The research on electronic commerce security payment system based on set protocol[C]// International Conference on Digital Image Processing.International Society for Optics and Photonics，2012：83342Q-83342Q-5.

作者簡介：趙亮（1983-），男，本科，研究方向：電子商務。