利用Web服务架构对网络安全支付协议的改进
【摘 要】安全电子交易协议(SET协议)其安全性和复杂性都非常高。随着网络的普及以及新一代网络的出现,它将可能得到更大的应用,但是它自身却无法克服虚假交易和洗钱等网上支付漏洞。因而本文通过增加承运商角色提出对这个题目的解决模型。【关键词】SET Web服务 网络支付
1 引言
自互联网诞生以来,通过网络达成传统商务贸易就是人类一直孜孜不倦的追求目标。而在互联网发展到今天,人们对电子商务的熟悉早已经远远超过以往仅仅代替传统商务业务的需要了。
本文将就在新的网络条件下SET协议的应用以及对其不足进行完善和改进,尤其针对避免网络贸易上的虚假贸易提出自己的建设性意见。
2 SET协议及不足
SET协议(Secure Electronic Transaction安全电子交易协议)最早由Visa和MasterCard提出,后来得到IBM和Microsoft支持,由几家公司共同联合开发。这一协议主要针对信用卡用户而设计,它不仅制定了相应的加解密算法、认证方法等技术手段,而且还具体规定了客户、商家、银行等各方的数字证书的含义、响应动作以及与交易相关的责任认定等。
2.1 SET协议模型
SET协议的支付模型如图1所示,交易的每个阶段包括了身份认证、信息的加解密、数字签名/验证、数字信封、消息摘要天生/验证等过程。
2.2SET协议的不足
由于具有高安全复杂性,造成了SET协议在应用上的较高本钱代价,以及完成一个交易的较高时间代价。这就使其普及应用受到了很大的影响。随着计算机本钱的降低和计算机网络的普及,相信SET协议在互联网上的应用又将活跃起来。
不过,当前SET协议,就如何在支付的时候更大的保护交易双方的利益,防止虚假交易和洗钱活动在网络的掩护下肆虐进行,还是无法解决这样的题目。而就虚假交易来说,现在各国银行也无法判定,仅仅是通过限制网上贸易的额度对这些题目进行象征性的管制。这些都是现有SET协议本身所无法克服的题目。
我们将在接下来的部分讨论利用当前的流行技术Web Services来融进第三方物流信息,以弥补对以上SET协议在这些方面的不足之处。
3 Web服务
3.1 Web服务模型
Web服务体系结构基于三种角色(服务提供者、服务注册中心和服务请求者)之间的交互。图 2显示了这些操纵、提供这些操纵的组件及它们之间的交互。
4 改进后的模型设计
仅仅通过对SET协议本身加解密算法或者认证手段等等技术条件进行增减或效率改进是很难针对防范虚假交易和洗钱活动的。我们在这里提出一种将可信赖的第三方物流承运商加进到整个交易流程中来的办法,不但可以达到比设定交易资金限额方法更有效的结果,而且还能更大的保护交易各方的利益,尽量避免交易中产生的不必要纠纷。本文设计的改进后的模型具体如图3所示。
其中客户与商家进行订单协商的过程因与图1重复,故这里就直接从商家向客户发出购物响应后开始描述,主要过程如下:
(1)商家向客户发出购物响应后,客户的购物行动基本完成,商家按照客户订单信息备货,并通知承运商到商家仓库收货;
(2)承运商到商家确认收货,并将货物的物流信息以Web Service的方式提供给商家服务器,以便商家和客户实时跟踪自己的货物状态,以及有利于客户安排接货;
(3)承运商将货物运送到客户地址,通知客户预备接货;
(4)客户验货并确认收货,承运商通过移动商务系统或本地网络实时地将信息传送回承运商服务器;
(5)承运商将客户确认收货信息(包括承运商的证书)通过Web Service的方式实时回送给商家,以便商家在第一时间向支付网关发出获款请求;
(6)商家向支付网关发出获款请求,其中包括承运商的证书和承运商发送货物的track number,支付网关检查商家和承运商的证书,并以调用承运商服务器提供的Web服务验证货物发送情况;