基于WS—Security的电子商务安全支付系统研究

【摘要】近年来，电子商务发展速度逐年提升，发展规模也在日益扩大，为了有效提升电子商务运行的效率性和安全性，各相关企业和部门均在不断进行系统优化设计和更新。其中，作为重要环节之一的支付系统也进行了适当调整，WS-Security规范被逐渐引入电子商务支付过程中。就此，本文对该规范进行了系统研究与分析，旨在进一步提升电子商务的安全运行效率。

【关键词】WS-Security 电子商务 安全支付系统

就目前的电子商务发展状况来看，发展机遇与挑战并存，尽管有效提升了商务交易的便捷性，但是其安全隐患日渐突显[1]。为此，本文将WS-Security规范应用于电子商务支付交易过程中，再结合以XML技术建立了电子商务安全支付系统，进一步提高了敏感信息的安全性和灵活性，现将研究内容论述如下。

一、电子商务安全支付系统的风险评估

近年来，物流行业正不断调整传统的配送方式，同时，随着计算机技术和互联网技术的不断发展与应用，电子商务方式逐渐发挥其积极的商务交易作用，近年来出现了动态电子商务交易模式，但是在电子商务集成模式建立后其安全问题也逐渐增多，网络交易的安全隐患日渐突出，其中尤以电子商务支付隐患和问题较多[2]。例如，很多大型百货公司常常会采用Keberos系统，这类公司的财务业务管理多需要采用PKI方法。这种方法形成于Web服务方式，其电子财务管理方案主要由会计核算处理、财务报表、利税计算等内容构成。由于财务业务有时需要外包，所以百货公司和外包公司建立的集成模式往往会增加系统的安全风险。具体的风险主要表现在以下几方面[3]：第一，财务服务系统可能会遭到非法用户使用或进入。由于公司的电子商务密钥基础设施不够完善，所以系统常常没有特殊的访问限定标准，最终致使财务系统受到侵入。作为一种财务交易过程，必须建立安全的信息系统，只有经过严格的身份审查和核定后才可以登录或访问财务系统。第二，相关支付信息或数据遭到修改、破坏或窃取。电子商务在運行过程中常常因为相关管理和运营系统的安全性较差导致相关支付信息遭到修改、窃取等问题，这样就会造成买家的信息泄露，造成不必要的纠纷，最终引发电子商务运营过程的混乱。

二、WS-Security规范概述

WS-Security 规范就是指Web Service Security规范，它建立基础为XML的安全性元数据容器，该规范自身不存在新的安全协议，它强调的是在原有的安全规范和标准基础上构建新的安全规范，主要是一个可以扩展的框架，从而将消息摘要、数字签名以及数据加密等安全性机制内容嵌入SOAP消息中[4]。在该规范基础上扩展形成的Web Service中也不仅仅是传统的XML文本消息，而是由SOAP传输的XML文件。而XMLheader中被用来作为密钥加密的数字证书也实现了数字签名，进行数字签名的主要为传输的XML Body内容[5]。这样就保证了客户方面送来的信息经由接收端接收后可以依照客户用户解密对其实施验证，这种过程便于提升信息来源的完整性、准确性以及保密性。就此，本文描述了一个Soap Envelop例子经由WS-Security规范的解释后，使用的XML安全组件。其安全体系结构图如图1所示。

在这一结构中，XML Encryption所表示的内容为整个支付系统由XML文件表示主体之间传递的消息，其XML元素级加密不是对整体的信息进行加密，而是仅仅对部分信息中的内容进行加密，只对传输消息的一部分内容进行加密。这种加密过程加密的是不同的敏感信息，主要利用的是不同接收对象的公用交换密钥，而敏感信息来源于XML信息。而同一条消息，不同的接收实体仅仅可以获取自身的元素信息，对其他实体的敏感信息不能够进行查看。此外，构架图中提示的XML Signature则可以为电子商务进行不可否认和确认性的服务，它可以对XML文档进行签名，同时也可以对其进行签名验证。接下来的XKMS是指一种密钥管理规范，能够发挥相似于PKI的密钥管理功能。此外，XACML和SAML是一种信任体系，能够迁移，具有控制XML资源操作能力，其中，前者可以对使用一项资源发出的使用请求进行决定与允许工作，决定其是否可以使用单个文件，或者是否可以使用整个文件。而后者的则可以移植信任。最后，SOAP协议上可提供XML信息传输服务。

三、WS-Security基础上的电子商务安全支付系统分析

WS-Security规范属于一种SOAP扩展，是在Web服务基础上建立起来的安全服务规范，这种规范常常被设计于多种安全模型中，应用与电子商务安全支付系统中可以集成多种安全技术，这些技术以往不能进行相互操作，但是基于这种安全服务规范就可以建立一种安全的Web服务方法[6]。它为支付过程提供了三种重要作用，完整消息、加密信息、传送安全性令牌[7]。而这些机制自身是难以实现完整的安全性解决方案的。这种规范相当于一个构件，能够联合使用应用层协议、多种Web Service协议、加密技术等，可以保障Web服务的完整性和机密性。而在WS-Security规范下建立的电子支付系统如图2所示。

上述系统中主要包含用户和消费者两个客户端，一个商家企业服务器，一个网络认证中心，一个金融网络，加上电子支付工具和支付网关等。在电子商务整个交易过程中具体的步骤如下[8]：第一，由消费者于企业网站上进行货物选购，然后填写购物订单，这时系统会将订单创建日期添加在货物订单上。第二，由消费者自主选择在线支付形式，期间细致输入和填写相关支付信息。第三，CA认证中心同企业服务器、消费者以及支付网关建立相互对应的安全通道，该通道进行了加密，然后由CA认证中心进行有效认证。第四，由消费者使用私有的密钥对企业公用交换密钥进行解密，然后通过这种密钥加密交换方式获取自身所需的传输消息，对其中涉及到货物订购信息进行获取，随后，使用支付网关的公用交换密钥对消息中涉及到的支付信息部分进行加密处理。第五，由消费者联系部分加密的XML消息和XML消息标准模式XMLSchema，将其连接在一起，使用WS-Security算法，建立出信息摘要，该摘要需要识别本次传送的消息，然后建立数字签名，该数字签名由私用签字密钥形成，之后将其集成于SOAP模型中的消息头中。第六，在企业防火墙和客户机之间建立一种连接，然后由此获取防火墙连接与时间戳服务，同时将时间标记于请求信息的头部。第七，利用SSL连接将时间戳服务客户请求信息传递于审核服务，然后在消息头中中加入信息的审查结果。第八，经由企业服务器从邮戳服务中获取消费者请求消息，然后利用公用签字密钥对XML消息摘要和Schema的数字签名进行解密。第九，消费者在计算XML消息的消息摘要和Schema时需采取单向算法，而业服务器将选用相同的方法，然后将接收到的消息摘要彼此进行比较。第十，如果两个摘要的比较结果一致，则需要由企业解密出消费者的订购信息，主要方法为利用自己的私用交换密钥，对其订购数据进行确认，之后由企业生成支付请求信息，回到步骤五中，运用该步骤中的方法产生该支付请求信息消息摘要的签名，并将其附加于消息头上。除了上述这些步骤之外，还需要进行几下步骤：一是企业传送信息给支付网关，获取信息后利用企业运用的检验方法，然后用支付网关对客户的支付信息进行解密，同时解密企业的支付请求信息。二是核实客户身份，此外，采用CA信用认证方法对账户信息和支付信息进行认证，由支付网关向企业返回确认信息。三是消费者发卡行将相应的交易金额从客户账号转出到中介行。四是企业继而向客户返回响应信息，同时向配送服务发出运货信息，配送服务向企业、支付网关发出货物成功递送的确认信息及其摘要的数字签名，同时支付网关也将同一份确认信息和自己对该信息摘要的签名转发给消费者。五是客户确认，中介行则将暂存的交易金额转送到企业的收单行，否则，将交易金额转回发卡行，结束交易。上述即为WS-Security规范下的电子商务安全支付方法，其中的XML安全组件包含元素级加密服务和XML数字签名服务，可以实现交易的不可否认性，也可以实现消息层的安全性与灵活性。

四、总结

综上所述，电子商务交易过程具有一定的安全隐患，其交易风险始终存在，近年来其安全隐患日渐突出，对此，文中讨论了WS-Security规范，并结合以XML技术建立了电子商务安全支付系统，提升了支付信息的加密性以及交易过程的安全性，并实现了交易过程的不可否认性。而就本次研究而言，研究内容仍然不够全面，今后笔者将继续进行深入的研究与分析，争取建立更加严谨的交易系统模型，进一步提升电子商务交易过程的安全性以及灵活性。

参考文献

[1]郭悦红，齐莉丽.基于WS-Security的电子商务安全支付系统[J].微电子学与计算机，2010，27（3）：151-153.

[2]徐烨，曾浩.基于WS-Security的SOA安全协议框架设计[J].合肥工业大学学报自然科学版，2011，34（4）：506-508.

[3]He Y，Jiang J.E-commerce security payment system research and implementation[C]// Computer Science and Information Technology （ICCSIT），2010 3rd IEEE International Conference on.IEEE，2010：559-562.

[4]李莹莹，金志超，阮彤等.基于GMF的WS-Security安全策略配置工具研究与实现[J].计算机应用与软件，2012，29（2）：101-104.

[5]潘雨相.基于PKI技术的电子商务安全支付系统设计[J].现代电子技术，2014（12）：93-95.

[6]林素标.基于WS-Security的业务接口安全实现[J].中国新通信，2015（8）：125-126.

[7]吕玉珠.基于SSL协议的电子商务支付系统的实现及安全性研究[J].煤炭技术，2011，30（9）：119-121.

[8]Yi X.The research on electronic commerce security payment system based on set protocol[C]// International Conference on Digital Image Processing.International Society for Optics and Photonics，2012：83342Q-83342Q-5.

作者簡介：赵亮（1983-），男，本科，研究方向：电子商务。