计算机信息安全论文：SET协议移动支付安全分析与改进.docVIP

计算机信息安全论文：基于SET协议的移动支付安全的分析与改进 摘要:分析了在WAP环境下基于SET协议的移动支付的交易流程不满足商品原子性和确认发送原子性。当商家得到正确支付后,SET协议不能保证他一定会发货给持卡者,也不能保证发送的就是持卡者订购的商品。同时基于SET协议的安全性和不可否认性也存在着不足。基于这些局限性,本文通过加入预付款机制,信用等级制度和纠纷仲裁机制,完善了移动支付的整个交易过程,切实保护了各方的利益。 关键词:SET协议;移动支付;原子性;信用等级制度;WAP 1引言 移动支付业务是由移动运营商、服务提供商和金融机构共同推出的、构建在移动运营支撑系统上的一个移动数据增值业务。通过移动支付,企业和用户可以随时随地通过无线方式进行交易,大大增强了买卖双方的灵活性和支付性。中国拥有广大的移动用户群,而且这些移动用户都是收入较高者,拥有比较强的消费能力,综合这些方面,中国的手机支付业务具有相当大的发展潜力。但是移动支付目前的发展状况并不像预期的那么好,安全性、技术平台有待成熟、完善和标准化,消费者缺乏使用习惯,信用体系的缺失等几个问题是阻碍移动支付发展的主要因素。其中移动支付的安全问题又是建立一个完善的移动电子支付系统所要解决的首要问题。只要手机支付在信用安全方面的问题得不到有效地解决,移动支付就很难得到真正的应用。因此,可以采用先进的技术和设备来确保移动支付的安全性问题。现有的信息安全基础技术为移动支付的安全保障提供了非常有力的解决途径。其中身份认证、数据加密、数字签名等技术是移动安全支付系统中最重要的基础技术。 2移动支付中的安全威胁和安全要求 2.1移动支付面临的三大安全威胁 (1)交易者身份被冒用。 (2)传输交易资料(付款卡或账号等私人资料)时被窃取或修改。 (3)交易者否认曾经进行过的交易。 2.2移动支付的安全要求移动支付应对支付本身、支付所涉及的内容进行恰当的保护,确保交易双方的合法权益不受非法攻击者的侵害。通常移动支付应满足下面的安全要求: (1)交易双方身份的认证。 (2)资料信息的私密性。 (3)资料信息的一致性、完整性。 (4)不可否认性。 3 SET协议在移动支付中的应用 3.1 WAP环境分析WAP网络架构由3部分组成,即WAP网关、移动终端和WAP源服务器。WAP网关起着“翻译”的作用,是联系GSM网和Internet的桥梁;移动终端为用户提供了上网用的微浏览器以及信息命令的输入方式;WAP源服务器存储大量信息,以提供移动终端用户浏览和查询。 WAP以WTLS协议作为传输层安全协议,保证在WAP网关和移动终端之间安全连接。在有线环境下用SSL协议用来保证WAP网关和Internet Web服务器之间的安全通信。 但是由于WAP移动终端内存小、处理能力低和无线网络带宽窄等局限性,并且SET协议在提出之时没有考虑无线通讯环境。要解决上述问题,可以将SET协议中的传统电子钱包进行优化。将原来主要功能集于一身的“胖”电子钱包分为两部分:电子钱包服务器端和电子钱包客户端。客户端是一个很小的浏览器插件,可以安装在移动终端,服务器端承担了大部分的处理交易功能。这样改进后的SET协议就可以用于WAP环境下的移动支付。 3.2支持WAP终端的SET模型 电子钱包接口安装在WAP终端,服务器钱包代表持卡人与器钱包之间采用WAP的WTLS和SSL安全协议,实现两者之间的安全通讯。 3.3基于SET协议的移动支付交易流程 (1)持卡者使用微浏览器登陆商家网上商城购物,选定要购买的商品放入购物车,完毕后,点击“支付”按钮; (2)商家软件生成包含商品、价格、交易码在内的订单信息,启动电子钱包客户端,输入用户名称和密码登录,与钱包服务器端开始一个WTLS会话连接; (3)服务器钱包发出它的WTLS证书给钱包客户端。一旦钱包客户端验证通过,就开始发送初始交易信息; (4)客户端钱包接口将支付初始消息发向服务器钱包,选择卡种来进行付款; (5)服务器电子钱包向商家发送初始化请求; (6)商家发送初始化响应及证书; (7)服务器电子钱包收到响应,产生购买请求发送给商家,同时包括支付网关需要的信息; (8)商家收到购买请求后,向支付网关发送授权请款请求 (9)支付网关收到授权请款请求后,产生授权请款响应发送给商家; (10)商家处理授权请款响应,发送购物请求响应给服务器电子钱包,并发送客户购买的货物或服务; (11)服务器电子钱包与顾客客户端WTLS会话连接,通知客户端支付成功。 3.4基于SET协议的移动支付的局限性 虽然能够解决WAP终端和电子钱包服务器端的安全连接和身份认证问题,但是由于SET协议交易流程中本身存在着缺陷,移动支付交易也存在着同样的局限性。 (1)业务信息保密和完整性:终端用户发出的支付敏感数据