基于WAP2.0的移動安全支付協議

謝可楨+劉曉月

摘 要： 基于WAP2.0技術標準，通過SEMOPS模型作為主要的業務流程基礎，本文探究了一種全新的移動安全支付協議。通過對相關問題的探究與分析，了解了存在的問題與弊端，提出了具體的操作方式，希望可以為今后的相關研究提供參考。

關鍵詞：WAP2.0 移動安全支付協議 分析

中圖分類號：TP393 文獻標識碼：A 文章編號：1003-9082（2017）02-0012-01

據不完全統計，在現階段的移動終端應用還是存在很多的問題，一些使用者對于移動安全支付存在一定的顧忌，這與移動安全支付業務尚缺乏系統的標準，對其相關業務開展沒有進行詳細的規定等尚未解決的問題有著一定的關系。

一、業務流程模型構建

在實際的業務模型應用中，具有消費者、商家、消費者支付處理機構與相關商家支付處理部門以及相關數據中心五個支付實體。在這其中消費者可以利用移動終端開展相關交易，而商家可以利用移動終端以及計算機開展相關支付互動；銀行以及相關網絡運營等服務提供商共同構建了支付處理機構；數據中心主要的工作內容就是相關消費者以及商家支付等處理機構之間實現的定位以及信息傳輸等工作。

在此模型中的支付流程主要在消費者以及商家中開展，基于雙方確認的基礎，進行相關資金支付。在操作過程中，在一次完整的交易業務流程交易中主要可以劃分為詢價、支付請求、資金凍結、支付通知、支付確認、轉賬與解凍及其相關通知等七個步驟。

1.詢價。就是相關商家依據用戶的實際挑選，形成唯一的一個交易流水號，利用唯一的可以識別身份的識別號，對相關交易信息進行詳細的了解，主要涵蓋了相關交易數據、交易價格、交易相關帳戶信息等，然后在將其發送給消費者，在這其中的商家賬戶信息僅僅是為了銀行等相關機構核實賬目，完成入賬而提供的，對于一些賬戶密碼以及商家身份等敏感信息并不涉及。

2.支付請求。消費者在進行各種商家身份的確認之后，就會對具體的交易數據以及價格等具體信息進行核實，保障其精準性之后就會生成固定格式的消費請求在消費者的支付處理機構中呈現，在此信息之中涵蓋了消費者自身發出的支付請求的具體時間等信息標記。

3.資金凍結。在相關支付處理機構收到具體的支付信息之后，就會根據具體的信息內容對相關賬戶資金進行凍結。

4.支付通知。在實際的過程中，相關消費支付處理機構就會利用數據中心，對消費者發出的相關支付通知進行重構簽名，將其傳送到具體的商家支付部門，在將相關通知發送給商家。

5.支付確認。具體的商家要對各種支付通知進行驗證，進而生成相關消費確認消息，此消息中主要包含了“同意”與“拒絕”，兩條內容，在通過商家相關支付處理機構與相關數據中心路徑，傳送到具體的消費者支付處理機構。

6.帳戶轉帳以及解凍。如果消費者的相關支付處理機構收到了具體的支付確認消息，并且商家同意，就會執行常規的轉賬操作，如果不同意就會解凍消費者的相關資金。

7.帳以及解凍通知。在相關帳戶對信息處理完成之后，兩個支付處理部門就會分別的將相關信息通知給消費者以及商家，明確具體的結果。

二、基于WAP2.0的移動安全支付協議

要想有效的保障相關交易信息的匿名性，保護相關信息的私密性，在進行相關步驟的開展中，具體的信息與數據并不相同。在實踐的操作過程中，要對握手協議進行系統的簡化。在此協議中，主要應用的協議是基于非對稱密鑰，主要采取的加密算法為橢圓曲線加密法。

基于WAP2. 0的移動安全支付協議，其客戶端以及服務器端口之間主要通過TLS安全隧道進行通訊，利用WAP代理服務器取代了WAP1.x中的網關。同時在本文論述的模型之中，消費者與其支付機構之間使用的通訊協議主要應用的就是TLS握手協議，在實際的操作過程中，如果相關商家使用的是移動終端，則就意味著商家與其支付處理機構之間使用的通信協議也是基于WAP2. 0相關協議開展的。在TLS中主要涵蓋了記錄與握手兩種協議，其中記錄協議就是通過公鑰加密算法以及Hash函數二者的運算速度相對較高，在進行相關信息的發送過程中并不會產生各種影響；而握手協議主要應用的是公鑰加密算法，其計算量相對較大，對于TLS協議的運行效率有著一定的影響，對此本文基于WAP2. 0的移動安全支付協議在基于數據安全開展了握手協議的簡化操作。

在實踐過程中，TLS握手協議的具體簡化原則具體如下：

1.通過提高整體的服務器運算量的形式對整個移動終端的壓力起到緩解的作用。其中服務器要對驗證客戶端證書的同時也要對自身證書形成系統的摘要；要與客戶端中發送的相關服務器證書形成一定的對照，進而提高其整體的運算量；

2.客戶端要對與其進行較長通訊的服務器等相關證書進行系統的存儲，并將其形成相關摘要并發送。因為相關信息的發送過程中，無需驗證信息，也就是說此種操作形式降低了消息發送的整體次數；其相關摘要信息相對較短，對信息長度也進行了有效的控制；

3.服務器要對相關客戶端的證書，進而系統的驗證，在進行驗證過程中要通過（T-Request以及T-Confirmation）時間戳作為主要的交易證據。次驗證過程主要是對消費者以及商家等相關支付處理機構之間構建相對較為安全的通信模式；在進行相關證書的驗證過程中，要通過時間戳開展，要保障驗證的具體時間點與相關支付請求的時間點吻合。基于此種操作步驟之后，具有構建一個安全的TLS隧道，而相關交易信息就在這個TLS安全隧道中進行信息的傳輸；此種模式與為簡化之前的握手協議相比，主要有相關服務器證書（Certificate）、相關客戶端證書Certificate Request）、相關服務器問候結束（Server HelloDone）三個步驟。

結束語

基于WAP2.0技術標準的移動安全協議，通過非對稱密鑰體制的加密算法，利用相關技術應用保障相關交易數據的整體傳輸安全性，利用橢圓曲線加密算法（ECC）作為主要的加密算法，簡化握手協議的優化，對基于WAP2.0的移動安全支付協議進行了探究分析。

參考文獻

[1]范榮真. 基于WAP2.0的移動安全支付協議[J]. 信息網絡安全，2010，02：47-48.

[2]宋珊珊. 一種基于WAP2.0的移動安全支付協議架構[J]. 計算機系統應用，2007，12：24-27+23.

[3]高垣. 基于WAP2.0移動協作學習系統設計與實現[D].西北大學，2010.

作者簡介：謝可楨（1991.9-），男，江西萍鄉人，研究方向：語音識別。