基于WAP2.0的移動(dòng)安全支付協(xié)議

謝可楨+劉曉月

摘 要： 基于WAP2.0技術(shù)標(biāo)準(zhǔn)，通過(guò)SEMOPS模型作為主要的業(yè)務(wù)流程基礎(chǔ)，本文探究了一種全新的移動(dòng)安全支付協(xié)議。通過(guò)對(duì)相關(guān)問(wèn)題的探究與分析，了解了存在的問(wèn)題與弊端，提出了具體的操作方式，希望可以為今后的相關(guān)研究提供參考。

關(guān)鍵詞：WAP2.0 移動(dòng)安全支付協(xié)議 分析

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082（2017）02-0012-01

據(jù)不完全統(tǒng)計(jì)，在現(xiàn)階段的移動(dòng)終端應(yīng)用還是存在很多的問(wèn)題，一些使用者對(duì)于移動(dòng)安全支付存在一定的顧忌，這與移動(dòng)安全支付業(yè)務(wù)尚缺乏系統(tǒng)的標(biāo)準(zhǔn)，對(duì)其相關(guān)業(yè)務(wù)開(kāi)展沒(méi)有進(jìn)行詳細(xì)的規(guī)定等尚未解決的問(wèn)題有著一定的關(guān)系。

一、業(yè)務(wù)流程模型構(gòu)建

在實(shí)際的業(yè)務(wù)模型應(yīng)用中，具有消費(fèi)者、商家、消費(fèi)者支付處理機(jī)構(gòu)與相關(guān)商家支付處理部門(mén)以及相關(guān)數(shù)據(jù)中心五個(gè)支付實(shí)體。在這其中消費(fèi)者可以利用移動(dòng)終端開(kāi)展相關(guān)交易，而商家可以利用移動(dòng)終端以及計(jì)算機(jī)開(kāi)展相關(guān)支付互動(dòng)；銀行以及相關(guān)網(wǎng)絡(luò)運(yùn)營(yíng)等服務(wù)提供商共同構(gòu)建了支付處理機(jī)構(gòu)；數(shù)據(jù)中心主要的工作內(nèi)容就是相關(guān)消費(fèi)者以及商家支付等處理機(jī)構(gòu)之間實(shí)現(xiàn)的定位以及信息傳輸?shù)裙ぷ鳌?/p>

在此模型中的支付流程主要在消費(fèi)者以及商家中開(kāi)展，基于雙方確認(rèn)的基礎(chǔ)，進(jìn)行相關(guān)資金支付。在操作過(guò)程中，在一次完整的交易業(yè)務(wù)流程交易中主要可以劃分為詢價(jià)、支付請(qǐng)求、資金凍結(jié)、支付通知、支付確認(rèn)、轉(zhuǎn)賬與解凍及其相關(guān)通知等七個(gè)步驟。

1.詢價(jià)。就是相關(guān)商家依據(jù)用戶的實(shí)際挑選，形成唯一的一個(gè)交易流水號(hào)，利用唯一的可以識(shí)別身份的識(shí)別號(hào)，對(duì)相關(guān)交易信息進(jìn)行詳細(xì)的了解，主要涵蓋了相關(guān)交易數(shù)據(jù)、交易價(jià)格、交易相關(guān)帳戶信息等，然后在將其發(fā)送給消費(fèi)者，在這其中的商家賬戶信息僅僅是為了銀行等相關(guān)機(jī)構(gòu)核實(shí)賬目，完成入賬而提供的，對(duì)于一些賬戶密碼以及商家身份等敏感信息并不涉及。

2.支付請(qǐng)求。消費(fèi)者在進(jìn)行各種商家身份的確認(rèn)之后，就會(huì)對(duì)具體的交易數(shù)據(jù)以及價(jià)格等具體信息進(jìn)行核實(shí)，保障其精準(zhǔn)性之后就會(huì)生成固定格式的消費(fèi)請(qǐng)求在消費(fèi)者的支付處理機(jī)構(gòu)中呈現(xiàn)，在此信息之中涵蓋了消費(fèi)者自身發(fā)出的支付請(qǐng)求的具體時(shí)間等信息標(biāo)記。

3.資金凍結(jié)。在相關(guān)支付處理機(jī)構(gòu)收到具體的支付信息之后，就會(huì)根據(jù)具體的信息內(nèi)容對(duì)相關(guān)賬戶資金進(jìn)行凍結(jié)。

4.支付通知。在實(shí)際的過(guò)程中，相關(guān)消費(fèi)支付處理機(jī)構(gòu)就會(huì)利用數(shù)據(jù)中心，對(duì)消費(fèi)者發(fā)出的相關(guān)支付通知進(jìn)行重構(gòu)簽名，將其傳送到具體的商家支付部門(mén)，在將相關(guān)通知發(fā)送給商家。

5.支付確認(rèn)。具體的商家要對(duì)各種支付通知進(jìn)行驗(yàn)證，進(jìn)而生成相關(guān)消費(fèi)確認(rèn)消息，此消息中主要包含了“同意”與“拒絕”，兩條內(nèi)容，在通過(guò)商家相關(guān)支付處理機(jī)構(gòu)與相關(guān)數(shù)據(jù)中心路徑，傳送到具體的消費(fèi)者支付處理機(jī)構(gòu)。

6.帳戶轉(zhuǎn)帳以及解凍。如果消費(fèi)者的相關(guān)支付處理機(jī)構(gòu)收到了具體的支付確認(rèn)消息，并且商家同意，就會(huì)執(zhí)行常規(guī)的轉(zhuǎn)賬操作，如果不同意就會(huì)解凍消費(fèi)者的相關(guān)資金。

7.帳以及解凍通知。在相關(guān)帳戶對(duì)信息處理完成之后，兩個(gè)支付處理部門(mén)就會(huì)分別的將相關(guān)信息通知給消費(fèi)者以及商家，明確具體的結(jié)果。

二、基于WAP2.0的移動(dòng)安全支付協(xié)議

要想有效的保障相關(guān)交易信息的匿名性，保護(hù)相關(guān)信息的私密性，在進(jìn)行相關(guān)步驟的開(kāi)展中，具體的信息與數(shù)據(jù)并不相同。在實(shí)踐的操作過(guò)程中，要對(duì)握手協(xié)議進(jìn)行系統(tǒng)的簡(jiǎn)化。在此協(xié)議中，主要應(yīng)用的協(xié)議是基于非對(duì)稱密鑰，主要采取的加密算法為橢圓曲線加密法。

基于WAP2. 0的移動(dòng)安全支付協(xié)議，其客戶端以及服務(wù)器端口之間主要通過(guò)TLS安全隧道進(jìn)行通訊，利用WAP代理服務(wù)器取代了WAP1.x中的網(wǎng)關(guān)。同時(shí)在本文論述的模型之中，消費(fèi)者與其支付機(jī)構(gòu)之間使用的通訊協(xié)議主要應(yīng)用的就是TLS握手協(xié)議，在實(shí)際的操作過(guò)程中，如果相關(guān)商家使用的是移動(dòng)終端，則就意味著商家與其支付處理機(jī)構(gòu)之間使用的通信協(xié)議也是基于WAP2. 0相關(guān)協(xié)議開(kāi)展的。在TLS中主要涵蓋了記錄與握手兩種協(xié)議，其中記錄協(xié)議就是通過(guò)公鑰加密算法以及Hash函數(shù)二者的運(yùn)算速度相對(duì)較高，在進(jìn)行相關(guān)信息的發(fā)送過(guò)程中并不會(huì)產(chǎn)生各種影響；而握手協(xié)議主要應(yīng)用的是公鑰加密算法，其計(jì)算量相對(duì)較大，對(duì)于TLS協(xié)議的運(yùn)行效率有著一定的影響，對(duì)此本文基于WAP2. 0的移動(dòng)安全支付協(xié)議在基于數(shù)據(jù)安全開(kāi)展了握手協(xié)議的簡(jiǎn)化操作。

在實(shí)踐過(guò)程中，TLS握手協(xié)議的具體簡(jiǎn)化原則具體如下：

1.通過(guò)提高整體的服務(wù)器運(yùn)算量的形式對(duì)整個(gè)移動(dòng)終端的壓力起到緩解的作用。其中服務(wù)器要對(duì)驗(yàn)證客戶端證書(shū)的同時(shí)也要對(duì)自身證書(shū)形成系統(tǒng)的摘要；要與客戶端中發(fā)送的相關(guān)服務(wù)器證書(shū)形成一定的對(duì)照，進(jìn)而提高其整體的運(yùn)算量；

2.客戶端要對(duì)與其進(jìn)行較長(zhǎng)通訊的服務(wù)器等相關(guān)證書(shū)進(jìn)行系統(tǒng)的存儲(chǔ)，并將其形成相關(guān)摘要并發(fā)送。因?yàn)橄嚓P(guān)信息的發(fā)送過(guò)程中，無(wú)需驗(yàn)證信息，也就是說(shuō)此種操作形式降低了消息發(fā)送的整體次數(shù)；其相關(guān)摘要信息相對(duì)較短，對(duì)信息長(zhǎng)度也進(jìn)行了有效的控制；

3.服務(wù)器要對(duì)相關(guān)客戶端的證書(shū)，進(jìn)而系統(tǒng)的驗(yàn)證，在進(jìn)行驗(yàn)證過(guò)程中要通過(guò)（T-Request以及T-Confirmation）時(shí)間戳作為主要的交易證據(jù)。次驗(yàn)證過(guò)程主要是對(duì)消費(fèi)者以及商家等相關(guān)支付處理機(jī)構(gòu)之間構(gòu)建相對(duì)較為安全的通信模式；在進(jìn)行相關(guān)證書(shū)的驗(yàn)證過(guò)程中，要通過(guò)時(shí)間戳開(kāi)展，要保障驗(yàn)證的具體時(shí)間點(diǎn)與相關(guān)支付請(qǐng)求的時(shí)間點(diǎn)吻合?；诖朔N操作步驟之后，具有構(gòu)建一個(gè)安全的TLS隧道，而相關(guān)交易信息就在這個(gè)TLS安全隧道中進(jìn)行信息的傳輸；此種模式與為簡(jiǎn)化之前的握手協(xié)議相比，主要有相關(guān)服務(wù)器證書(shū)（Certificate）、相關(guān)客戶端證書(shū)Certificate Request）、相關(guān)服務(wù)器問(wèn)候結(jié)束（Server HelloDone）三個(gè)步驟。

結(jié)束語(yǔ)

基于WAP2.0技術(shù)標(biāo)準(zhǔn)的移動(dòng)安全協(xié)議，通過(guò)非對(duì)稱密鑰體制的加密算法，利用相關(guān)技術(shù)應(yīng)用保障相關(guān)交易數(shù)據(jù)的整體傳輸安全性，利用橢圓曲線加密算法（ECC）作為主要的加密算法，簡(jiǎn)化握手協(xié)議的優(yōu)化，對(duì)基于WAP2.0的移動(dòng)安全支付協(xié)議進(jìn)行了探究分析。

參考文獻(xiàn)

[1]范榮真. 基于WAP2.0的移動(dòng)安全支付協(xié)議[J]. 信息網(wǎng)絡(luò)安全，2010，02：47-48.

[2]宋珊珊. 一種基于WAP2.0的移動(dòng)安全支付協(xié)議架構(gòu)[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用，2007，12：24-27+23.

[3]高垣. 基于WAP2.0移動(dòng)協(xié)作學(xué)習(xí)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].西北大學(xué)，2010.

作者簡(jiǎn)介：謝可楨（1991.9-），男，江西萍鄉(xiāng)人，研究方向：語(yǔ)音識(shí)別。