基于WPKI的安全移動支付系統的設計與實現

作者：時間：2010-05-24 來源：網絡

加入技術交流群
- 掃碼加入
  和技術大咖面對面交流
  海量資料庫查詢

2.2 系統安全解決方案
整個系統的實現由4部分組成，它們包括：商家安全支付軟件MSS、客戶安全支付軟件CSS、商業銀行安全支付軟件BSS和交易中心安全支付軟件TSS。
2.2.1 安全功能設計
根據系統實體、交易流程及安全要求，4個軟件模塊的主要安全功能設計如下：
(1)MSS：該軟件構成了賣方交易平臺。首先應提供商品訂購過程中所需的安全功能：與客戶之間的雙向身份認證，驗證客戶對定單的數字簽名，生成商家對賬單和承諾的數字簽名，加解密與客戶之間傳遞的信息。其次提供支付過程所需的安全功能：與交易中心之間的雙向身份認證，驗證銀行返回的支付結果的數字簽名。另外還記錄客戶簽名后的定單信息，記錄支付信息以及保存自己簽名后的送貨信息等。
由上述功能可知，該軟件模塊應提供身份認證、數字簽名、客戶定購及支付信息的處理、密鑰及證書管理等服務。
(2)CSS：該軟件構成了買方交易平臺。它首先提供產品訂購過程中所需的安全功能：與商家之間的雙向身份認證，產生客戶對定單的數字簽名，驗證商家對賬單和承諾的數字簽名，加解密與商家之間傳遞的信息。其次提供支付過程所需的安全功能：與交易中心之間的雙向身份認證，采用銀行的公鑰加密提交的轉賬信息，生成交易中心需保存的交易證據，產生對交易證據的數字簽名。
該軟件模塊應提供身份認證、數字簽名、交易與支付歷史數據存儲管理、支付交易查詢、密鑰與證書管理等服務。
(3)TSS：該軟件構成了安全交易平臺。它記錄了交易過程中傳輸的各種重要信息、可供爭議解決的證據。其安全功能是：與商家之間的雙向身份認證、與客戶之間的雙向身份認證、與銀行之間的雙向身份認證、驗證客戶提交的交易證據的數字簽名、驗證銀行響應的支付結果的數字簽名，并在出現爭議時驗證爭議各方提交證據的真偽。
該模塊應提供身份認證、數字簽名、與商業銀行業務系統聯系的公共接口、交易與支付歷史數據存儲管理、支付交易仲裁、密鑰與證書管理等服務。
(4)BSS：該軟件提供支付網關功能，其主要作用是完成銀行網絡與Internet及移動網絡之間的通信、協議轉換以及數據的加解密，以保護銀行內部網絡的安全。實現與TTP之間的雙向身份識別，驗證客戶的數字簽名，產生支付結果的數字簽名，解密客戶傳來的轉帳通知，用商家的公鑰加密支付結果。
該模塊應提供：身份認證、數字簽名、與交易中心業務系統聯系的公共接口、支付歷史數據存儲管理、密鑰與證書管理等服務。
2.2.2 數字證書的配置
模塊MSS、CSS、TSS、BSS均為基于 WPKI的安全應用軟件，因此需配置相應的數字證書。具體配置情況如下：
(1)MSS：配置商家服務器證書，用于與客戶CSS之間的身份識別、消息加密和生成數字簽名；用于與交易中心TSS之間的身份識別、消息加密和生成數字簽名；
(2)CSS：配置客戶服務器證書，用于與MSS之間的身份識別、消息加密和生成數字簽名；用于與TSS之間的身份識別、消息加密和生成數字簽名；
(3)TSS：配置交易中心的服務器證書，用于與MSS、CSS、BSS之間的身份識別、消息加密和生成數字簽名；
(4)BSS：配置商業銀行的服務器證書，用于與TSS之間的身份識別、消息加密和生成數字簽名。
3 系統的實現
3.1 系統原理和交易步驟
該系統包括5個實體：商家、客戶、銀行系統、認證中心CFCA（China Finance Certificate Authority，中國金融認證中心)和交易中心TTP(Trusted Third Party，第三方信任實體)。其中，商家和用戶完成定單及賬單的提交和生成；銀行系統負責處理支付信息；CFCA和PKI Protal(RA)用作保證系統的安全性；TTP記錄了交易過程中傳輸的各種重要信息、可供解決爭議的證據。系統原理如圖3所示。

本文引用地址：http://cqxgywz.com/article/157433.htm

圖中虛線代表CA分別向商家、客戶、TTP和商業銀行頒發身份證書，實線代表系統的交易流程。根據網上交易過程的步驟分析，并參考了各種支付協議的數據流程，確定了該系統的信息流、數據流、資金流按下列步驟進行：
(1)客戶向商家下定單
客戶通過手機瀏覽器在商家的Web服務器定購商品?？蛻舾鶕碳业囊笙蛏碳姨峤欢▎蜲rder，商家根據定單形成相應的賬單Invoice，并將Invoice及商家的說明及承諾Statement發到客戶手機瀏覽器。