基于WS―Security电子商务安全支付系统探究.docVIP

基于WS―Security电子商务安全支付系统探究 　　【摘要】近年来，电子商务发展速度逐年提升，发展规模也在日益扩大，为了有效提升电子商务运行的效率性和安全性，各相关企业和部门均在不断进行系统优化设计和更新。其中，作为重要环节之一的支付系统也进行了适当调整，WS-Security规范被逐渐引入电子商务支付过程中。就此，本文对该规范进行了系统研究与分析，旨在进一步提升电子商务的安全运行效率 【关键词】WS-Security 电子商务 安全支付系统 就目前的电子商务发展状况来看，发展机遇与挑战并存，尽管有效提升了商务交易的便捷性，但是其安全隐患日渐突显[1]。为此，本文将WS-Security规范应用于电子商务支付交易过程中，再结合以XML技术建立了电子商务安全支付系统，进一步提高了敏感信息的安全性和灵活性，现将研究内容论述如下 一、电子商务安全支付系统的风险评估 近年来，物流行业正不断调整传统的配送方式，同时，随着计算机技术和互联网技术的不断发展与应用，电子商务方式逐渐发挥其积极的商务交易作用，近年来出现了动态电子商务交易模式，但是在电子商务集成模式建立后其安全问题也逐渐增多，网络交易的安全隐患日渐突出，其中尤以电子商务支付隐患和问题较多[2]。例如，很多大型百货公司常常会采用Keberos系统，这类公司的财务业务管理多需要采用PKI方法。这种方法形成于Web服务方式，其电子财务管理方案主要由会计核算处理、财务报表、利税计算等内容构成。由于财务业务有时需要外包，所以百货公司和外包公司建立的集成模式往往会增加系统的安全风险。具体的风险主要表现在以下几方面[3]：第一，财务服务系统可能会遭到非法用户使用或进入。由于公司的电子商务密钥基础设施不够完善，所以系统常常没有特殊的访问限定标准，最终致使财务系统受到侵入。作为一种财务交易过程，必须建立安全的信息系统，只有经过严格的身份审查和核定后才可以登录或访问财务系统。第二，相关支付信息或数据遭到修改、破坏或窃取。电子商务在?\行过程中常常因为相关管理和运营系统的安全性较差导致相关支付信息遭到修改、窃取等问题，这样就会造成买家的信息泄露，造成不必要的纠纷，最终引发电子商务运营过程的混乱 二、WS-Security规范概述 WS-Security 规范就是指Web Service Security规范，它建立基础为XML的安全性元数据容器，该规范自身不存在新的安全协议，它强调的是在原有的安全规范和标准基础上构建新的安全规范，主要是一个可以扩展的框架，从而将消息摘要、数字签名以及数据加密等安全性机制内容嵌入SOAP消息中[4]。在该规范基础上扩展形成的Web Service中也不仅仅是传统的XML文本消息，而是由SOAP传输的XML文件。而XMLheader中被用来作为密钥加密的数字证书也实现了数字签名，进行数字签名的主要为传输的XML Body内容[5]。这样就保证了客户方面送来的信息经由接收端接收后可以依照客户用户解密对其实施验证，这种过程便于提升信息来源的完整性、准确性以及保密性。就此，本文描述了一个Soap Envelop例子经由WS-Security规范的解释后，使用的XML安全组件。其安全体系结构图如图1所示 在这一结构中，XML Encryption所表示的内容为整个支付系统由XML文件表示主体之间传递的消息，其XML元素级加密不是对整体的信息进行加密，而是仅仅对部分信息中的内容进行加密，只对传输消息的一部分内容进行加密。这种加密过程加密的是不同的敏感信息，主要利用的是不同接收对象的公用交换密钥，而敏感信息来源于XML信息。而同一条消息，不同的接收实体仅仅可以获取自身的元素信息，对其他实体的敏感信息不能够进行查看。此外，构架图中提示的XML Signature则可以为电子商务进行不可否认和确认性的服务，它可以对XML文档进行签名，同时也可以对其进行签名验证。接下来的XKMS是指一种密钥管理规范，能够发挥相似于PKI的密钥管理功能。此外，XACML和SAML是一种信任体系，能够迁移，具有控制XML资源操作能力，其中，前者可以对使用一项资源发出的使用请求进行决定与允许工作，决定其是否可以使用单个文件，或者是否可以使用整个文件。而后者的则可以移植信任。最后，SOAP协议上可提供XML信息传输服务 三、WS-Security基础上的电子商务安全支付系统分析 WS-Security规范属于一种SOAP扩展，是在Web服务基础上建立起来的安全服务规范，这种规范常常被设计于多种安全模型中，应用与电子商务安全支付系统中可以集成多种安全技术，这些技术以往不能进行相互操作，但是基于这种安全服务规范就可以建立一种安全的Web服务方法[6]。它为支付过程提供了