移動(dòng)網(wǎng)絡(luò)環(huán)境下SET支付協(xié)議模擬實(shí)驗(yàn)平臺(tái)開發(fā)與應(yīng)用

◆王信敏

（中國(guó)石油大學(xué)（華東）經(jīng)濟(jì)管理學(xué)院 山東 266580)

移動(dòng)網(wǎng)絡(luò)環(huán)境下SET支付協(xié)議模擬實(shí)驗(yàn)平臺(tái)開發(fā)與應(yīng)用

◆王信敏

（中國(guó)石油大學(xué)（華東）經(jīng)濟(jì)管理學(xué)院 山東 266580)

本文基于Shih-Mills移動(dòng)學(xué)習(xí)模型對(duì)移動(dòng)網(wǎng)絡(luò)環(huán)境下改進(jìn)的SET支付協(xié)議模擬實(shí)驗(yàn)平臺(tái)進(jìn)行了需求分析與功能設(shè)計(jì)，對(duì)模擬實(shí)驗(yàn)平臺(tái)的網(wǎng)絡(luò)配置環(huán)境和業(yè)務(wù)流程進(jìn)行了詳細(xì)設(shè)計(jì)，最后對(duì)模擬實(shí)驗(yàn)平臺(tái)進(jìn)行了開發(fā)實(shí)現(xiàn)和教學(xué)應(yīng)用。應(yīng)用效果顯示，情境化的模擬實(shí)驗(yàn)教學(xué)方式能夠適合現(xiàn)階段高校學(xué)生學(xué)習(xí)方式的轉(zhuǎn)變并較好地提升學(xué)生的學(xué)習(xí)興趣，實(shí)驗(yàn)成效較為明顯；智能終端APP能夠提供便捷的理論學(xué)習(xí)和師生交流渠道，學(xué)生可以隨時(shí)隨地獲取學(xué)習(xí)資源并進(jìn)行學(xué)習(xí)研討，大大提升了實(shí)驗(yàn)效率；模擬實(shí)驗(yàn)平臺(tái)配置簡(jiǎn)單、成本低廉、通用性強(qiáng)，打破了傳統(tǒng)專業(yè)信息安全實(shí)驗(yàn)室的限制，具有較好的可推廣性。

Shih-Mills移動(dòng)學(xué)習(xí)模型；移動(dòng)支付；SET協(xié)議；模擬實(shí)驗(yàn)平臺(tái)

0 引言

SET協(xié)議[1]于1997年推出，專門為信用卡支付安全而設(shè)計(jì)，該協(xié)議保障了開放網(wǎng)絡(luò)上進(jìn)行在線支付的安全性，解決了用戶、商家、銀行之間數(shù)據(jù)的安全傳輸，具有保密性、完整性、不可抵賴性等多種優(yōu)勢(shì)，因此迅速成為了信用卡在線支付的國(guó)際標(biāo)準(zhǔn)。隨著智能設(shè)備和無(wú)線網(wǎng)絡(luò)的不斷普及，移動(dòng)支付方式開始成為重要的支付手段之一，如Paypal、支付寶、財(cái)付通等，其易用性、實(shí)用性、便捷性對(duì)傳統(tǒng)的支付方式帶來(lái)了較大沖擊[2]。Paypal作為全球最大的移動(dòng)支付公司，業(yè)務(wù)已覆蓋全球203個(gè)國(guó)家和地區(qū)，超過2.5億注冊(cè)用戶。移動(dòng)支付在我國(guó)同樣發(fā)展迅速，根據(jù)艾瑞咨詢公司統(tǒng)計(jì)數(shù)據(jù)，2016年我國(guó)第三方移動(dòng)支付交易規(guī)模達(dá)到了38萬(wàn)億元，同比增長(zhǎng)215.4%，其中支付寶占比51.8%，財(cái)付通占比38.3%。現(xiàn)有的移動(dòng)支付除了易用性之外，其擔(dān)保交易模式[3]、用戶體驗(yàn)[4]等方面均具有較大優(yōu)勢(shì)，但其身份認(rèn)證、消息的完整性和不可否認(rèn)性的保障方面與SET協(xié)議相比尚存在不足，這也是導(dǎo)致近年來(lái)二維碼欺騙行為經(jīng)常發(fā)生的主要原因。為適應(yīng)移動(dòng)支付的發(fā)展需求以及彌補(bǔ)現(xiàn)有移動(dòng)支付的不足，將傳統(tǒng)SET支付協(xié)議向移動(dòng)支付方式改進(jìn)升級(jí)成為較好的選擇，近年來(lái)逐漸成為研究的熱點(diǎn)之一，例如張若巖[5]對(duì)SET協(xié)議的移動(dòng)支付系統(tǒng)進(jìn)行了設(shè)計(jì)和開發(fā)；萬(wàn)仲保、王晴[6]對(duì)WAP環(huán)境下基于SET協(xié)議的移動(dòng)支付的安全性進(jìn)行了分析和改進(jìn)，加入了預(yù)付款機(jī)制、信用等級(jí)制度和糾紛仲裁機(jī)制；Ahamad等人[7]提出了移動(dòng)支付環(huán)境下改進(jìn)的SET協(xié)議，該協(xié)議中的數(shù)字簽名使用了ECDSA消息恢復(fù)機(jī)制。

改進(jìn)的SET支付協(xié)議能夠較好應(yīng)用于移動(dòng)支付領(lǐng)域，同時(shí)該協(xié)議也是高校信息安全課程的重要內(nèi)容。由于移動(dòng)支付類實(shí)驗(yàn)往往需要在復(fù)雜的專業(yè)實(shí)驗(yàn)環(huán)境下完成[7、8]，對(duì)于改進(jìn)的SET協(xié)議而言，其理論性較強(qiáng)，包含較多的信息安全算法，涉及持卡人、商家、CA、銀行等多方參與，在通用實(shí)驗(yàn)環(huán)境下對(duì)SET協(xié)議的實(shí)際執(zhí)行過程進(jìn)行實(shí)驗(yàn)的難度較大。對(duì)于我國(guó)高校的信息管理、電子商務(wù)等專業(yè)，目前具備專業(yè)的信息安全實(shí)驗(yàn)環(huán)境的并不多，而SET協(xié)議又是一項(xiàng)較為重要的實(shí)驗(yàn)項(xiàng)目，因此信息安全模擬實(shí)驗(yàn)環(huán)境建設(shè)具有較好的現(xiàn)實(shí)意義[9、10]。當(dāng)前我國(guó)部分高校已具有了信息安全實(shí)驗(yàn)平臺(tái)，唐海濤等人[11]構(gòu)建了網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)，該平臺(tái)包含較為復(fù)雜的硬件設(shè)備，如主控中心平臺(tái)、安全設(shè)備、組控設(shè)備、無(wú)線組控設(shè)備、應(yīng)用服務(wù)器和管理服務(wù)器等，實(shí)現(xiàn)了基本的密碼學(xué)算法實(shí)驗(yàn)、主機(jī)安全實(shí)驗(yàn)、網(wǎng)絡(luò)攻防實(shí)驗(yàn)、病毒攻防實(shí)驗(yàn)和容災(zāi)備份實(shí)驗(yàn)功能；朱輝等人[12]基于虛擬化技術(shù)開發(fā)了一套軟硬結(jié)合的信息安全綜合實(shí)驗(yàn)平臺(tái)，實(shí)現(xiàn)了密碼學(xué)算法、防火墻、入侵檢測(cè)和漏洞掃描實(shí)驗(yàn)功能；底曉強(qiáng)等人[13]基于云計(jì)算和虛擬化技術(shù)開發(fā)了網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)，實(shí)現(xiàn)了Internet協(xié)議分析、無(wú)線網(wǎng)絡(luò)攻擊、病毒攻防等實(shí)驗(yàn)功能；劉坤[14]開發(fā)了基于云服務(wù)器的信息安全虛擬實(shí)驗(yàn)平臺(tái)，功能包括漏洞定位實(shí)驗(yàn)、主機(jī)加固實(shí)驗(yàn)、部署及搭建IDS和網(wǎng)絡(luò)設(shè)備安全配置實(shí)驗(yàn)；任丙忠等人[15]構(gòu)建的基于GNS3和VMware/VirtualBox的信息安全平臺(tái)實(shí)現(xiàn)了較多的實(shí)驗(yàn)項(xiàng)目，如訪問控制、防火墻、入侵檢測(cè)、VPN、證書服務(wù)器的配置、密碼算法等實(shí)驗(yàn)；黃建忠等人[16]對(duì)網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)體系進(jìn)行了設(shè)計(jì)，并構(gòu)建了“四類型六環(huán)節(jié)”的虛擬仿真實(shí)驗(yàn)教學(xué)云平臺(tái)。上述實(shí)驗(yàn)平臺(tái)包含了較多的信息安全實(shí)驗(yàn)項(xiàng)目，但由于SET協(xié)議的復(fù)雜性，各平臺(tái)均未涉及SET協(xié)議的實(shí)驗(yàn)功能，而對(duì)于移動(dòng)支付環(huán)境下的SET協(xié)議實(shí)驗(yàn)更是未能實(shí)現(xiàn)。

本文首先基于Shih-Mills移動(dòng)學(xué)習(xí)模型對(duì)模擬實(shí)驗(yàn)平臺(tái)進(jìn)行需求分析，在此基礎(chǔ)上對(duì)移動(dòng)支付環(huán)境下改進(jìn)的SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)進(jìn)行功能設(shè)計(jì)、網(wǎng)絡(luò)環(huán)境配置和業(yè)務(wù)流程設(shè)計(jì)等，進(jìn)而完成對(duì)SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)的開發(fā)和應(yīng)用。該系統(tǒng)不僅能夠在通用環(huán)境下應(yīng)用，而且可以提供高度情境化的學(xué)習(xí)環(huán)境，以角色扮演的方式實(shí)現(xiàn)SET協(xié)議操作流程的模擬實(shí)驗(yàn)。該模擬系統(tǒng)以移動(dòng)學(xué)習(xí)模型為設(shè)計(jì)理念，除了對(duì)協(xié)議操作流程進(jìn)行情境化模擬外，還提供理論學(xué)習(xí)、實(shí)驗(yàn)考核、師生交流等功能，能夠較好地提升教學(xué)效率。

1 SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)需求分析

SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)根據(jù)Shih-Mills移動(dòng)學(xué)習(xí)模型[17]理念進(jìn)行構(gòu)建，移動(dòng)學(xué)習(xí)模型如圖1所示。

圖1 Shih-Mills移動(dòng)學(xué)習(xí)模型

該模型提倡學(xué)習(xí)互動(dòng)、模擬仿真、數(shù)字化教學(xué)等高度情境化的學(xué)習(xí)方式，這種方式能夠較好地適應(yīng)移動(dòng)網(wǎng)絡(luò)環(huán)境下高校學(xué)生的學(xué)習(xí)特點(diǎn)。因此根據(jù)移動(dòng)學(xué)習(xí)模型的基本理念及具體的實(shí)驗(yàn)環(huán)境要求，SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)需要實(shí)現(xiàn)：

（1）情境化的學(xué)習(xí)模式。SET協(xié)議包含持卡人、商家、銀行、CA等較多的參與者，同時(shí)涉及較深的信息安全理論和算法實(shí)現(xiàn)，特別是對(duì)于高校信息管理、電子商務(wù)等專業(yè)學(xué)生來(lái)說，具有較大的學(xué)習(xí)難度，因此情境化的學(xué)習(xí)模式能夠較好提升學(xué)生的學(xué)習(xí)興趣，增強(qiáng)學(xué)習(xí)效果。在學(xué)習(xí)過程中，學(xué)生可以賦予各種角色，以角色扮演的方式對(duì)SET協(xié)議各流程進(jìn)行模擬，在各流程中展示協(xié)議中理論和算法的實(shí)現(xiàn)過程，促進(jìn)學(xué)生對(duì)于該協(xié)議的掌握。

（2）便捷獲取學(xué)習(xí)資源。智能設(shè)備及無(wú)線網(wǎng)絡(luò)的快速發(fā)展使得學(xué)生學(xué)習(xí)方式發(fā)生了較大變化，傳統(tǒng)的課堂教學(xué)受到了沖擊，同時(shí)紙質(zhì)教材也逐漸趨于弱化，學(xué)習(xí)資源和學(xué)習(xí)渠道更加豐富，學(xué)生也逐漸轉(zhuǎn)向了網(wǎng)絡(luò)及電子資源的學(xué)習(xí)。在SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)設(shè)計(jì)中，應(yīng)考慮學(xué)生學(xué)習(xí)方式的轉(zhuǎn)變，因此模擬實(shí)驗(yàn)平臺(tái)應(yīng)提供智能終端的學(xué)習(xí)資源獲取功能，充分拓寬學(xué)習(xí)渠道、豐富學(xué)習(xí)資源，使學(xué)生能夠使用智能手機(jī)就能隨時(shí)隨地瀏覽學(xué)習(xí)資源，為課下理論學(xué)習(xí)提供便利。

（3）課堂內(nèi)外充分的學(xué)習(xí)交流。學(xué)習(xí)交流是Shih-Mills移動(dòng)學(xué)習(xí)模型的重要內(nèi)容之一，也為學(xué)生學(xué)習(xí)和教師教學(xué)提供有效反饋，能夠在較好提升學(xué)習(xí)效果的同時(shí)，為教師教學(xué)和模擬實(shí)驗(yàn)平臺(tái)的改進(jìn)提供支撐，因此平臺(tái)設(shè)計(jì)中應(yīng)提供師生交流的暢通渠道，便于課堂內(nèi)外充分的學(xué)習(xí)交流。

（4）實(shí)驗(yàn)考核與學(xué)習(xí)監(jiān)督。目前考試改革是高校教學(xué)改革的一項(xiàng)重要內(nèi)容，考核方式應(yīng)能夠更客觀地反映學(xué)生的學(xué)習(xí)效果。信息安全課程除了理論知識(shí)適合于傳統(tǒng)考試方式外，實(shí)踐能力的考核則較為困難，特別是SET協(xié)議模擬實(shí)驗(yàn)，學(xué)生是否完成操作及對(duì)于知識(shí)的掌握程度則很難體現(xiàn)。因此模擬實(shí)驗(yàn)平臺(tái)應(yīng)對(duì)學(xué)生操作信息進(jìn)行詳細(xì)記錄，并對(duì)考核方式進(jìn)行合理設(shè)計(jì)，實(shí)驗(yàn)平臺(tái)能夠自動(dòng)根據(jù)學(xué)生操作情況給出實(shí)驗(yàn)考核成績(jī)，同時(shí)便于教師進(jìn)行學(xué)習(xí)監(jiān)督。

（5）實(shí)驗(yàn)環(huán)境的通用性。傳統(tǒng)的信息安全實(shí)驗(yàn)往往需要專業(yè)設(shè)備及環(huán)境才能完成，而對(duì)于大多高校信息管理、電子商務(wù)等專業(yè)來(lái)說，信息安全的實(shí)驗(yàn)環(huán)境往往較為缺乏，因此模擬實(shí)驗(yàn)平臺(tái)適用于通用實(shí)驗(yàn)環(huán)境顯得尤為重要。學(xué)生利用個(gè)人手機(jī)、普通電腦在普通機(jī)房環(huán)境下完成專業(yè)的信息安全實(shí)驗(yàn)?zāi)M，能夠降低實(shí)驗(yàn)成本，打破嚴(yán)苛實(shí)驗(yàn)條件的限制。

2 SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)設(shè)計(jì)與開發(fā)

2.1 網(wǎng)絡(luò)環(huán)境設(shè)計(jì)與系統(tǒng)軟件架構(gòu)

SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)的網(wǎng)絡(luò)環(huán)境設(shè)計(jì)主要依據(jù)實(shí)驗(yàn)的具體要求和通用實(shí)驗(yàn)環(huán)境的易于配置特點(diǎn)，設(shè)計(jì)結(jié)果如圖2所示，該實(shí)驗(yàn)的終端支付設(shè)備為手機(jī)、平板電腦等智能設(shè)備，利用GSM、CDMA或校園無(wú)線網(wǎng)絡(luò)等完成模擬支付，其他模擬角色采用普通PC或便攜電腦，智能設(shè)備通過WAP網(wǎng)關(guān)將訪問請(qǐng)求發(fā)送至WAP服務(wù)器，WAP服務(wù)器主要提供瀏覽和查詢服務(wù)，在應(yīng)用時(shí)可以將理論學(xué)習(xí)的資源配置于WAP服務(wù)器，便于學(xué)生通過智能終端瀏覽查詢。其他模擬角色通過PC、便攜電腦等登錄服務(wù)器完成模擬操作，服務(wù)器包括電子錢包服務(wù)器、商家服務(wù)器、CA、支付網(wǎng)關(guān)、發(fā)卡行、收單行服務(wù)器等，為節(jié)約服務(wù)器資源，可以將WAP服務(wù)器、電子錢包服務(wù)器、商家服務(wù)器、CA等全部集成與一臺(tái)服務(wù)器，只需將功能劃分清楚即可。同樣，數(shù)據(jù)源也可以全部集成，當(dāng)然這與現(xiàn)實(shí)中服務(wù)器和數(shù)據(jù)源各屬一家是不同的，本系統(tǒng)僅為完成功能模擬，不再考慮現(xiàn)實(shí)中的各種安全保障措施。

圖2 移動(dòng)支付環(huán)境下SET協(xié)議模擬系統(tǒng)的網(wǎng)絡(luò)環(huán)境配置圖

系統(tǒng)軟件架構(gòu)采用三層開發(fā)體系：表示層（UI）、業(yè)務(wù)邏輯層（BLL）和數(shù)據(jù)服務(wù)層（DAL），如圖3所示。

圖3 SET協(xié)議模擬系統(tǒng)的軟件分層結(jié)構(gòu)

表示層主要包括持卡人、商家的客戶端系統(tǒng)以及其他模擬角色的B/S結(jié)構(gòu)模擬系統(tǒng)，持卡人、商家的手機(jī)客戶端基于J2ME進(jìn)行開發(fā)，服務(wù)器端采用J2EE技術(shù)，借助Servlet調(diào)用EJB，其他模擬角色的B/S結(jié)構(gòu)模擬系統(tǒng)采用JSP技術(shù)實(shí)現(xiàn)。業(yè)務(wù)邏輯層則由JSP和Servlet技術(shù)實(shí)現(xiàn)，基于J2ME的手機(jī)客戶端向服務(wù)器端發(fā)送請(qǐng)求，通過Servlet訪問EJB層的業(yè)務(wù)邏輯組件，EJB層通過JDBC的API連接數(shù)據(jù)服務(wù)層。數(shù)據(jù)服務(wù)層主要包括由SQLServer構(gòu)建的各模擬服務(wù)器的數(shù)據(jù)庫(kù)，包括CA數(shù)據(jù)庫(kù)、電子錢包數(shù)據(jù)庫(kù)、商家數(shù)據(jù)庫(kù)、支付網(wǎng)關(guān)數(shù)據(jù)庫(kù)、收單行數(shù)據(jù)庫(kù)和發(fā)卡行數(shù)據(jù)庫(kù)，為節(jié)約成本、提高系統(tǒng)通用性，這些數(shù)據(jù)庫(kù)可以集合于一個(gè)數(shù)據(jù)庫(kù)，通過設(shè)計(jì)不同的表來(lái)完成相應(yīng)的模擬功能。

2.2 功能設(shè)計(jì)

根據(jù)SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)的需求分析，該系統(tǒng)的主要功能包括持卡人客戶端、商家客戶端、CA模塊、銀行模塊、學(xué)習(xí)與考核模塊和系統(tǒng)配置模塊，如圖4所示。

圖4 SET協(xié)議模擬系統(tǒng)的功能設(shè)計(jì)圖

持卡人客戶端是一個(gè)智能設(shè)備終端安裝的APP，便于學(xué)生隨時(shí)隨地獲取資源且符合學(xué)生的學(xué)習(xí)習(xí)慣變化。持卡人客戶端的主要功能包括賬戶申請(qǐng)和數(shù)字證書申請(qǐng)，系統(tǒng)賬戶是SET協(xié)議模擬系統(tǒng)的登錄賬戶，同時(shí)也是模擬銀行的網(wǎng)上銀行賬戶，該模擬賬戶可以綁定一個(gè)模擬信用卡，用來(lái)進(jìn)行模擬支付。除此之外，持卡人客戶端還可以實(shí)現(xiàn)個(gè)人數(shù)字證書管理、個(gè)人賬戶信息管理及后續(xù)的模擬支付流程實(shí)驗(yàn)。

商家客戶端與持卡人客戶端類似，均具有賬戶申請(qǐng)與賬戶管理、數(shù)字證書申請(qǐng)與管理等功能，不同之處在于商家客戶端中需要完成商品信息管理和訂單管理功能。

CA模塊則模擬現(xiàn)實(shí)系統(tǒng)PKI系統(tǒng)的基本功能，如RA的數(shù)字證書申請(qǐng)與審核功能、CA的數(shù)字證書生成與管理功能、數(shù)字證書與證書撤銷列表的發(fā)布功能等。

銀行模塊包括支付網(wǎng)關(guān)的支付信息處理功能、發(fā)卡行的支付確認(rèn)功能、收單行的支付確認(rèn)功能等。

學(xué)習(xí)和考核模塊包括理論學(xué)習(xí)、學(xué)生操作信息管理、考核信息管理、師生交流與指導(dǎo)。學(xué)生操作信息管理功能主要便于教師對(duì)學(xué)生操作進(jìn)程和操作平臺(tái)使用情況進(jìn)行查看，便于實(shí)驗(yàn)進(jìn)度的控制，學(xué)生操作信息主要包括每個(gè)角色登錄次數(shù)、每個(gè)操作步驟的操作次數(shù)、每個(gè)角色的登錄主機(jī)地址、登錄時(shí)間等?？己诵畔⒐芾碛上到y(tǒng)根據(jù)學(xué)生操作情況給出實(shí)驗(yàn)操作的分?jǐn)?shù)，每個(gè)角色賦予固定分值，然后將分值分解到每個(gè)操作步驟，各個(gè)步驟的總分即為實(shí)驗(yàn)操作考核分?jǐn)?shù)，實(shí)驗(yàn)操作分?jǐn)?shù)作為實(shí)驗(yàn)總分?jǐn)?shù)的重要依據(jù)。師生交流功能便于在實(shí)驗(yàn)中進(jìn)行問題的研討，也是實(shí)驗(yàn)效果反饋的重要渠道，為便于使用，在現(xiàn)實(shí)開發(fā)中將該模塊的理論學(xué)習(xí)和師生交流指導(dǎo)功能集成于智能設(shè)備端持卡人客戶端APP中，這也符合當(dāng)前學(xué)生學(xué)習(xí)習(xí)慣的變化趨勢(shì)。

系統(tǒng)配置是系統(tǒng)管理員的功能模塊，包括課堂設(shè)置、教師管理、學(xué)生用戶的管理與權(quán)限的分配等，同時(shí)系統(tǒng)配置還具有系統(tǒng)的其他維護(hù)功能，如系統(tǒng)日志、系統(tǒng)清理等。

2.3 系統(tǒng)業(yè)務(wù)流程設(shè)計(jì)

SET協(xié)議模擬系統(tǒng)的業(yè)務(wù)流程包括CA管理職能的業(yè)務(wù)流程、模擬支付流程、商家的商品管理流程、訂單管理流程、系統(tǒng)配置流程、考核信息管理流程等。由于該系統(tǒng)功能較多，涉及流程也較多，本文僅對(duì)最為核心的CA管理流程和模擬支付流程進(jìn)行說明。

CA管理職能的業(yè)務(wù)流程是PKI系統(tǒng)的核心，包括數(shù)字證書的申請(qǐng)、審核、生成、使用、更新、撤銷等環(huán)節(jié)，整體流程如圖5所示。證書申請(qǐng)由持卡人或商家的手機(jī)客戶端完成，支付網(wǎng)關(guān)的數(shù)字證書申請(qǐng)則可以在系統(tǒng)初始化配置時(shí)自動(dòng)生成，也可以通過模擬角色進(jìn)行申請(qǐng)，持卡人或商家登錄手機(jī)客戶端后首先檢測(cè)是否具有系統(tǒng)賬戶，需要注冊(cè)成功后才能申請(qǐng)數(shù)字證書，數(shù)字證書申請(qǐng)?zhí)峤缓笥蒀A進(jìn)行審核，審核通過后CA按照X.509證書格式生成數(shù)字證書，并提供下載，持卡人或商家下載數(shù)字證書后方可進(jìn)行后續(xù)的模擬支付流程。當(dāng)數(shù)字證書需要更新時(shí)，持卡人或商家發(fā)出證書更新申請(qǐng)，類似于數(shù)字證書申請(qǐng)流程，CA重新生成新證書并經(jīng)過持卡人或商家下載后，使用數(shù)字證書進(jìn)行模擬支付，而原數(shù)字證書則進(jìn)入數(shù)字證書的撤銷流程，撤銷流程還包括過期的數(shù)字證書，證書撤銷后進(jìn)入證書撤銷列表（CRL），CRL由CA進(jìn)行發(fā)布。

模擬支付的業(yè)務(wù)流程涉及持卡人、商家、電子錢包服務(wù)器、支付網(wǎng)關(guān)、收單行和發(fā)卡行，具體流程如圖6所示。持卡人登錄客戶端APP，電子錢包服務(wù)器首先對(duì)持卡人進(jìn)行身份認(rèn)證，身份認(rèn)證成功后持卡人可以使用網(wǎng)上購(gòu)物模塊進(jìn)行商品瀏覽，生成訂單并輸入支付信息后產(chǎn)生交易的初始請(qǐng)求。商家從電子錢包服務(wù)器獲取購(gòu)物請(qǐng)求信息后生成初始響應(yīng)數(shù)據(jù)，電子錢包服務(wù)器驗(yàn)證商家及支付網(wǎng)關(guān)的身份后，進(jìn)一步驗(yàn)證商家的響應(yīng)消息，然后對(duì)訂購(gòu)信息（OI）和付款指令（PI）進(jìn)行處理，將OI及PI消息進(jìn)行雙重簽名，對(duì)PI進(jìn)行加密，并生成數(shù)字信封，將部分相關(guān)信息發(fā)送給商家，商家驗(yàn)證持卡人證書和收到的消息并形成支付指令，然后發(fā)送給支付網(wǎng)關(guān)。支付網(wǎng)關(guān)對(duì)支付指令進(jìn)行處理，之后將支付授權(quán)請(qǐng)求發(fā)送給發(fā)卡行和收單行，發(fā)卡行和收單行根據(jù)支付授權(quán)信息進(jìn)行相應(yīng)的轉(zhuǎn)賬操作，最后產(chǎn)生支付成功的響應(yīng)數(shù)據(jù)發(fā)給商家。商家將支付響應(yīng)提交電子錢包服務(wù)器，電子錢包服務(wù)器對(duì)支付響應(yīng)信息進(jìn)行驗(yàn)證，并將驗(yàn)證結(jié)果反饋給持卡人，模擬支付流程完成，若流程中某一驗(yàn)證失敗，則整個(gè)支付流程即可結(jié)束。

圖5 CA管理職能的業(yè)務(wù)流程圖

圖6 模擬支付過程的業(yè)務(wù)流程圖

2.4 模擬實(shí)驗(yàn)平臺(tái)開發(fā)

使用J2ME和J2EE技術(shù)，結(jié)合MVC三層體系結(jié)構(gòu)，對(duì)SET協(xié)議模擬支付平臺(tái)進(jìn)行開發(fā)，該平臺(tái)包括智能終端使用的APP和基于B/S模式的程序其他部分。平臺(tái)配置完成后，學(xué)生首先下載智能終端使用的APP程序并安裝，首次使用時(shí)需注冊(cè)客戶端賬戶，并與虛擬的信用卡進(jìn)行綁定（信用卡信息在系統(tǒng)中對(duì)每位學(xué)生已進(jìn)行默認(rèn)配置），如圖7所示，注冊(cè)成功后學(xué)生即擁有了與信用卡綁定的模擬客戶端賬戶。學(xué)生以持卡人或商家身份登錄客戶端后即可以顯示客戶端系統(tǒng)界面（圖7），持卡人客戶端界面包括理論學(xué)習(xí)、數(shù)字證書、模擬支付、過程查詢、師生交流和賬戶信息共6個(gè)模塊。點(diǎn)擊“理論學(xué)習(xí)”可以查看SET協(xié)議的詳細(xì)步驟及相關(guān)算法的使用介紹。數(shù)字證書模塊提供數(shù)字證書申請(qǐng)、下載安裝等功能。模擬支付則可以瀏覽購(gòu)物頁(yè)面，生成訂單及模擬支付。過程查詢主要為學(xué)生提供模擬角色操作過程中的細(xì)節(jié)查詢，為便于實(shí)驗(yàn)考核需要，學(xué)生的每步操作均形成一條記錄，每條記錄里的數(shù)據(jù)可以提供查詢（主要是關(guān)鍵環(huán)節(jié)的數(shù)據(jù)處理部分，如雙重簽名、加密操作等）。師生交流模塊為學(xué)生提供交流平臺(tái)，類似于QQ群，學(xué)生或教師可以針對(duì)某一問題進(jìn)行討論。賬戶信息提供客戶端賬戶詳細(xì)信息的管理功能。除此之外，商家客戶端APP中還包括商品管理和訂單管理，商品管理便于商家角色添加、修改、刪除商品信息，訂單管理主要是查看和處理持卡人提交的訂單情況。

基于B/S模式的程序其他部分主要包括CA系統(tǒng)模擬、支付網(wǎng)關(guān)模擬、收單行和發(fā)卡行模擬等，學(xué)生可以使用客戶端的賬戶在普通PC上登錄SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)，選取相應(yīng)的角色進(jìn)行操作。CA管理系統(tǒng)模擬的開發(fā)結(jié)果見圖8，CA管理系統(tǒng)主要包括審核數(shù)字證書申請(qǐng)、生成數(shù)字證書、發(fā)布數(shù)字證書、管理證書撤銷列表等功能，用戶點(diǎn)擊“審核通過”按鈕即可進(jìn)行生成數(shù)字證書的環(huán)節(jié)，而點(diǎn)擊“拒絕申請(qǐng)”后，該申請(qǐng)即進(jìn)入了“審核未通過申請(qǐng)”列表，點(diǎn)擊“查看詳情”按鈕可以查看證書申請(qǐng)的各項(xiàng)詳細(xì)內(nèi)容。點(diǎn)擊“交換角色”按鈕可以進(jìn)入其他角色頁(yè)面，如支付網(wǎng)關(guān)、發(fā)卡行和收單行等，在持卡人用戶開始進(jìn)行模擬購(gòu)物時(shí)，支付網(wǎng)關(guān)、發(fā)卡行和收單行角色即可對(duì)相應(yīng)的信息進(jìn)行操作，同時(shí)學(xué)生以相應(yīng)角色進(jìn)入后，可以查看操作流程介紹，同時(shí)可以查看數(shù)據(jù)的具體細(xì)節(jié)，便于學(xué)生對(duì)相關(guān)理論進(jìn)行驗(yàn)證學(xué)習(xí)。由于SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)涉及功能較多，此處不再對(duì)其他頁(yè)面進(jìn)行詳細(xì)展示。

圖8 CA管理模塊的開發(fā)結(jié)果

3 SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)應(yīng)用效果

SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)的教師角色中可以查看學(xué)生的實(shí)驗(yàn)操作信息，包括每個(gè)角色的練習(xí)時(shí)間、登錄地點(diǎn)、操作步驟記錄等，因此教師可以使用這些信息對(duì)實(shí)驗(yàn)教學(xué)活動(dòng)進(jìn)行分析。下面從實(shí)驗(yàn)操作時(shí)間地點(diǎn)、實(shí)驗(yàn)完成情況、平臺(tái)資源需求和利用情況對(duì)SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)的應(yīng)用效果進(jìn)行說明。

（1）由于實(shí)驗(yàn)平臺(tái)對(duì)硬件的要求較低，服務(wù)器端配置成功后，實(shí)驗(yàn)不再受到時(shí)間和地點(diǎn)限制，學(xué)生可以在規(guī)定時(shí)間和地點(diǎn)完成實(shí)驗(yàn)，也可以課下完成，因此大大拓展了實(shí)驗(yàn)環(huán)境的限制。從平臺(tái)應(yīng)用統(tǒng)計(jì)情況來(lái)看，80%左右的學(xué)生能夠在常規(guī)實(shí)驗(yàn)課時(shí)內(nèi)完成實(shí)驗(yàn)，剩余20%左右的學(xué)生無(wú)法完成，但均可以在課下用較少的時(shí)間完成實(shí)驗(yàn)，因此模擬實(shí)驗(yàn)平臺(tái)能夠給予學(xué)生更大的學(xué)習(xí)自主性。

（2）從實(shí)驗(yàn)完成情況來(lái)看，100%的學(xué)生均能夠完成各個(gè)角色的練習(xí)，平均可以在兩個(gè)實(shí)驗(yàn)課時(shí)內(nèi)完成操作（不包括理論學(xué)習(xí)，理論學(xué)習(xí)課前完成），每個(gè)步驟操作次數(shù)平均大于2次，因此實(shí)驗(yàn)平臺(tái)能夠?yàn)閷W(xué)生提供充分的操作訓(xùn)練。模擬實(shí)驗(yàn)平臺(tái)采用角色扮演的模式，能夠提供較好的情境化學(xué)習(xí)體驗(yàn)。從師生交流情況來(lái)看，學(xué)生對(duì)于模擬實(shí)驗(yàn)平臺(tái)的學(xué)習(xí)效果均給予了較好評(píng)價(jià)，對(duì)這種實(shí)驗(yàn)教學(xué)模式具有較高接受度，模擬實(shí)驗(yàn)平臺(tái)可以較好地提升學(xué)生的學(xué)習(xí)興趣。

（3）由于高校智能手機(jī)和無(wú)線網(wǎng)絡(luò)的普及，SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)僅需要對(duì)服務(wù)器端進(jìn)行配置即可完成對(duì)實(shí)驗(yàn)環(huán)境的設(shè)置，因此能夠大大減少實(shí)驗(yàn)的硬件投入。另一方面，學(xué)生對(duì)于模擬實(shí)驗(yàn)平臺(tái)的利用存在時(shí)段性特征，一般而言，課程實(shí)驗(yàn)課時(shí)和地點(diǎn)較為固定，雖然模擬實(shí)驗(yàn)平臺(tái)打破了這些限制，但對(duì)于大部分學(xué)生而言（平均80%左右）實(shí)驗(yàn)操作仍在固定時(shí)間和地點(diǎn)完成，因此對(duì)于單一服務(wù)器端來(lái)說存在一定的負(fù)載問題。當(dāng)課堂較多時(shí)可將上課時(shí)間間隔安排，或者通過將不同角色功能和數(shù)據(jù)庫(kù)分別配置于不同服務(wù)器端的方法進(jìn)行解決，因此該模擬實(shí)驗(yàn)平臺(tái)也可以滿足多實(shí)驗(yàn)課堂的教學(xué)需求。

4 結(jié)語(yǔ)

基于移動(dòng)學(xué)習(xí)模型理念及現(xiàn)有的信息安全實(shí)驗(yàn)要求，可以對(duì)SET協(xié)議模擬實(shí)驗(yàn)平臺(tái)的構(gòu)建需求進(jìn)行分析，平臺(tái)的功能設(shè)計(jì)及開發(fā)實(shí)現(xiàn)可以有效針對(duì)現(xiàn)階段高校學(xué)生的學(xué)習(xí)方式進(jìn)行，這對(duì)于平臺(tái)的建設(shè)具有較好的指導(dǎo)意義。SET協(xié)議模擬支付平臺(tái)具有高度情境化的模擬實(shí)驗(yàn)設(shè)計(jì)，學(xué)生可以根據(jù)不同角色體驗(yàn)不同的操作流程，同時(shí)可以查看流程中數(shù)據(jù)安全性保證機(jī)制的實(shí)現(xiàn)過程和細(xì)節(jié)，對(duì)于理論學(xué)習(xí)具有較好的輔助作用。該模擬實(shí)驗(yàn)平臺(tái)基于移動(dòng)互聯(lián)環(huán)境設(shè)計(jì)，學(xué)生可以隨時(shí)隨地使用手機(jī)進(jìn)行理論學(xué)習(xí)、師生交流、操作信息查詢等，大大拓展了傳統(tǒng)實(shí)驗(yàn)的時(shí)間和地點(diǎn)的限制。同時(shí)該模擬實(shí)驗(yàn)平臺(tái)配置簡(jiǎn)單，對(duì)于硬件環(huán)境要求較低，適用于缺乏信息安全專業(yè)實(shí)驗(yàn)環(huán)境的信息安全課程教學(xué)，大大節(jié)約了教學(xué)成本。總的來(lái)說，模擬實(shí)驗(yàn)平臺(tái)是一種較為有效的實(shí)驗(yàn)教學(xué)方式，適合于現(xiàn)階段高校教學(xué)現(xiàn)狀及學(xué)生的學(xué)習(xí)特征。

該模擬實(shí)驗(yàn)平臺(tái)的持卡人和商家角色的工作流程通過移動(dòng)端智能設(shè)備進(jìn)行操作練習(xí)，由于信息安全算法復(fù)雜度較高、數(shù)據(jù)量大，其他角色（如CA、支付網(wǎng)關(guān)、發(fā)卡行、收單行）的功能均在普通PC端完成，因此整個(gè)實(shí)驗(yàn)需要智能終端和普通PC配合完成，一定程度上限制了平臺(tái)使用的便捷性。隨著智能終端設(shè)備不斷升級(jí)，在后續(xù)的系統(tǒng)改進(jìn)中，可以將各個(gè)角色模擬過程全部集成于智能終端中，這將會(huì)完全擺脫設(shè)備的要求，進(jìn)一步提升模擬實(shí)驗(yàn)平臺(tái)的通用性。

[1]MasterCard and VISA. SET Secure Electronic Transaction Specification, Book1: Business Description Version 1.0[DB/OL]. May 31,1997. http://www.setco.org/download/set_bk1.pdf.

[2]Kim C，Mirusmonov M，Lee I. An empirical examination of factors influencing the intention to use mobile payment[J].Computers in Human Behavior，2010.

[3]李婧華.網(wǎng)上購(gòu)物典型支付模式分析——以支付寶為例[J].中國(guó)商界，2010.

[4]周新發(fā)，白薇，王冬妮.基于TPB理論視角的消費(fèi)者微信支付使用意愿實(shí)證研究[J].國(guó)際商務(wù)(對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)學(xué)報(bào))，2015.

[5]張若巖.基于SET協(xié)議的移動(dòng)支付系統(tǒng)的研究與實(shí)現(xiàn)[D].西北大學(xué)，2008.

[6]萬(wàn)仲保,王晴.基于SET協(xié)議的移動(dòng)支付安全的分析與改進(jìn)[J]. 微計(jì)算機(jī)信息，2010.

[7]S S Ahamad, N N Sastry, S K Udgata. Enhanced Mobile SET Protocol with Formal Verification[A]. Proceedings of 2012 Third International Conference on Computer and Communication Technology[C]，2012.

[8]琚春華，楊杰，湯旭翔.高校電子商務(wù)與物流專業(yè)移動(dòng)學(xué)習(xí)實(shí)踐教學(xué)模式研究[J].高等工程教育研究，2014.

[9]王小妹，陳紅松.信息安全專業(yè)實(shí)驗(yàn)室創(chuàng)新實(shí)踐教育體系的構(gòu)建[J].實(shí)驗(yàn)室研究與探索，2016.

[10]梁中，陳波，于泠，于浩佳.基于手機(jī)微信的信息安全翻轉(zhuǎn)實(shí)驗(yàn)課堂教學(xué)實(shí)踐[J].實(shí)驗(yàn)技術(shù)與管理，2016.

[11]王瑞錦, 周世杰, 秦志光, 吉家成.基于“虛擬仿真”的信息安全實(shí)驗(yàn)教學(xué)體系改革[J].計(jì)算機(jī)教育，2015.

[12]唐海濤, 孟繁二, 孫聰?shù)?網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)教學(xué)平臺(tái)的構(gòu)建[J].實(shí)驗(yàn)技術(shù)與管理，2010.

[13]朱輝, 劉北水, 李暉, 劉乃安.基于虛擬化技術(shù)的信息安全實(shí)驗(yàn)平臺(tái)開發(fā)與應(yīng)用[J].武漢大學(xué)學(xué)報(bào)(理學(xué)版)，2012.

[14]底曉強(qiáng), 張宇昕, 趙建平.基于云計(jì)算和虛擬化的計(jì)算機(jī)網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)建設(shè)探索[J].實(shí)驗(yàn)技術(shù)與管理， 2015.

[15]劉坤.基于云服務(wù)器的信息安全虛擬實(shí)驗(yàn)平臺(tái)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)安全，2013.

[16]任丙忠, 毛文杰, 孔文煥.基于GNS3和VMware/VirtualBox的網(wǎng)絡(luò)與信息安全虛擬實(shí)驗(yàn)平臺(tái)實(shí)現(xiàn)與應(yīng)用[J].教育現(xiàn)代化，2016.

[17]黃建忠, 張滬寅, 裴嘉欣.網(wǎng)絡(luò)安全虛擬仿真實(shí)驗(yàn)教學(xué)體系設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索，2016.

[18]Shih E Y, Mills D. Setting the new standard with mobile computing in online learning[J]. The International Review of Research in Open and Distance Learning，2007.