谢可桢+刘晓月

摘 要： 基于WAP2.0技术标准，通过SEMOPS模型作为主要的业务流程基础，本文探究了一种全新的移动安全支付协议。通过对相关问题的探究与分析，了解了存在的问题与弊端，提出了具体的操作方式，希望可以为今后的相关研究提供参考。

关键词：WAP2.0 移动安全支付协议 分析

中图分类号：TP393 文献标识码：A 文章编号：1003-9082（2017）02-0012-01

据不完全统计，在现阶段的移动终端应用还是存在很多的问题，一些使用者对于移动安全支付存在一定的顾忌，这与移动安全支付业务尚缺乏系统的标准，对其相关业务开展没有进行详细的规定等尚未解决的问题有着一定的关系。

一、业务流程模型构建

在实际的业务模型应用中，具有消费者、商家、消费者支付处理机构与相关商家支付处理部门以及相关数据中心五个支付实体。在这其中消费者可以利用移动终端开展相关交易，而商家可以利用移动终端以及计算机开展相关支付互动；银行以及相关网络运营等服务提供商共同构建了支付处理机构；数据中心主要的工作内容就是相关消费者以及商家支付等处理机构之间实现的定位以及信息传输等工作。

在此模型中的支付流程主要在消费者以及商家中开展，基于双方确认的基础，进行相关资金支付。在操作过程中，在一次完整的交易业务流程交易中主要可以划分为询价、支付请求、资金冻结、支付通知、支付确认、转账与解冻及其相关通知等七个步骤。

1.询价。就是相关商家依据用户的实际挑选，形成唯一的一个交易流水号，利用唯一的可以识别身份的识别号，对相关交易信息进行详细的了解，主要涵盖了相关交易数据、交易价格、交易相关帐户信息等，然后在将其发送给消费者，在这其中的商家账户信息仅仅是为了银行等相关机构核实账目，完成入账而提供的，对于一些账户密码以及商家身份等敏感信息并不涉及。

2.支付请求。消费者在进行各种商家身份的确认之后，就会对具体的交易数据以及价格等具体信息进行核实，保障其精准性之后就会生成固定格式的消费请求在消费者的支付处理机构中呈现，在此信息之中涵盖了消费者自身发出的支付请求的具体时间等信息标记。

3.资金冻结。在相关支付处理机构收到具体的支付信息之后，就会根据具体的信息内容对相关账户资金进行冻结。

4.支付通知。在实际的过程中，相关消费支付处理机构就会利用数据中心，对消费者发出的相关支付通知进行重构签名，将其传送到具体的商家支付部门，在将相关通知发送给商家。

5.支付确认。具体的商家要对各种支付通知进行验证，进而生成相关消费确认消息，此消息中主要包含了“同意”与“拒绝”，两条内容，在通过商家相关支付处理机构与相关数据中心路径，传送到具体的消费者支付处理机构。

6.帐户转帐以及解冻。如果消费者的相关支付处理机构收到了具体的支付确认消息，并且商家同意，就会执行常规的转账操作，如果不同意就会解冻消费者的相关资金。

7.帐以及解冻通知。在相关帐户对信息处理完成之后，两个支付处理部门就会分别的将相关信息通知给消费者以及商家，明确具体的结果。

二、基于WAP2.0的移动安全支付协议

要想有效的保障相关交易信息的匿名性，保护相关信息的私密性，在进行相关步骤的开展中，具体的信息与数据并不相同。在实践的操作过程中，要对握手协议进行系统的简化。在此协议中，主要应用的协议是基于非对称密钥，主要采取的加密算法为椭圆曲线加密法。

基于WAP2. 0的移动安全支付协议，其客户端以及服务器端口之间主要通过TLS安全隧道进行通讯，利用WAP代理服务器取代了WAP1.x中的网关。同时在本文论述的模型之中，消费者与其支付机构之间使用的通讯协议主要应用的就是TLS握手协议，在实际的操作过程中，如果相关商家使用的是移动终端，则就意味着商家与其支付处理机构之间使用的通信协议也是基于WAP2. 0相关协议开展的。在TLS中主要涵盖了记录与握手两种协议，其中记录协议就是通过公钥加密算法以及Hash函数二者的运算速度相对较高，在进行相关信息的发送过程中并不会产生各种影响；而握手协议主要应用的是公钥加密算法，其计算量相对较大，对于TLS协议的运行效率有着一定的影响，对此本文基于WAP2. 0的移动安全支付协议在基于数据安全开展了握手协议的简化操作。

在实践过程中，TLS握手协议的具体简化原则具体如下：

1.通过提高整体的服务器运算量的形式对整个移动终端的压力起到缓解的作用。其中服务器要对验证客户端证书的同时也要对自身证书形成系统的摘要；要与客户端中发送的相关服务器证书形成一定的对照，进而提高其整体的运算量；

2.客户端要对与其进行较长通讯的服务器等相关证书进行系统的存储，并将其形成相关摘要并发送。因为相关信息的发送过程中，无需验证信息，也就是说此种操作形式降低了消息发送的整体次数；其相关摘要信息相对较短，对信息长度也进行了有效的控制；

3.服务器要对相关客户端的证书，进而系统的验证，在进行验证过程中要通过（T-Request以及T-Confirmation）时间戳作为主要的交易证据。次验证过程主要是对消费者以及商家等相关支付处理机构之间构建相对较为安全的通信模式；在进行相关证书的验证过程中，要通过时间戳开展，要保障验证的具体时间点与相关支付请求的时间点吻合。基于此种操作步骤之后，具有构建一个安全的TLS隧道，而相关交易信息就在这个TLS安全隧道中进行信息的传输；此种模式与为简化之前的握手协议相比，主要有相关服务器证书（Certificate）、相关客户端证书Certificate Request）、相关服务器问候结束（Server HelloDone）三个步骤。

结束语

基于WAP2.0技术标准的移动安全协议，通过非对称密钥体制的加密算法，利用相关技术应用保障相关交易数据的整体传输安全性，利用椭圆曲线加密算法（ECC）作为主要的加密算法，简化握手协议的优化，对基于WAP2.0的移动安全支付协议进行了探究分析。

参考文献

[1]范荣真. 基于WAP2.0的移动安全支付协议[J]. 信息网络安全，2010，02：47-48.

[2]宋珊珊. 一种基于WAP2.0的移动安全支付协议架构[J]. 计算机系统应用，2007，12：24-27+23.

[3]高垣. 基于WAP2.0移動协作学习系统设计与实现[D].西北大学，2010.

作者简介：谢可桢（1991.9-），男，江西萍乡人，研究方向：语音识别。