移動網絡環境下SET支付協議模擬實驗平臺開發與應用

◆王信敏

（中國石油大學（華東）經濟管理學院 山東 266580)

移動網絡環境下SET支付協議模擬實驗平臺開發與應用

◆王信敏

（中國石油大學（華東）經濟管理學院 山東 266580)

本文基于Shih-Mills移動學習模型對移動網絡環境下改進的SET支付協議模擬實驗平臺進行了需求分析與功能設計，對模擬實驗平臺的網絡配置環境和業務流程進行了詳細設計，最后對模擬實驗平臺進行了開發實現和教學應用。應用效果顯示，情境化的模擬實驗教學方式能夠適合現階段高校學生學習方式的轉變并較好地提升學生的學習興趣，實驗成效較為明顯；智能終端APP能夠提供便捷的理論學習和師生交流渠道，學生可以隨時隨地獲取學習資源并進行學習研討，大大提升了實驗效率；模擬實驗平臺配置簡單、成本低廉、通用性強，打破了傳統專業信息安全實驗室的限制，具有較好的可推廣性。

Shih-Mills移動學習模型；移動支付；SET協議；模擬實驗平臺

0 引言

SET協議[1]于1997年推出，專門為信用卡支付安全而設計，該協議保障了開放網絡上進行在線支付的安全性，解決了用戶、商家、銀行之間數據的安全傳輸，具有保密性、完整性、不可抵賴性等多種優勢，因此迅速成為了信用卡在線支付的國際標準。隨著智能設備和無線網絡的不斷普及，移動支付方式開始成為重要的支付手段之一，如Paypal、支付寶、財付通等，其易用性、實用性、便捷性對傳統的支付方式帶來了較大沖擊[2]。Paypal作為全球最大的移動支付公司，業務已覆蓋全球203個國家和地區，超過2.5億注冊用戶。移動支付在我國同樣發展迅速，根據艾瑞咨詢公司統計數據，2016年我國第三方移動支付交易規模達到了38萬億元，同比增長215.4%，其中支付寶占比51.8%，財付通占比38.3%?，F有的移動支付除了易用性之外，其擔保交易模式[3]、用戶體驗[4]等方面均具有較大優勢，但其身份認證、消息的完整性和不可否認性的保障方面與SET協議相比尚存在不足，這也是導致近年來二維碼欺騙行為經常發生的主要原因。為適應移動支付的發展需求以及彌補現有移動支付的不足，將傳統SET支付協議向移動支付方式改進升級成為較好的選擇，近年來逐漸成為研究的熱點之一，例如張若巖[5]對SET協議的移動支付系統進行了設計和開發；萬仲保、王晴[6]對WAP環境下基于SET協議的移動支付的安全性進行了分析和改進，加入了預付款機制、信用等級制度和糾紛仲裁機制；Ahamad等人[7]提出了移動支付環境下改進的SET協議，該協議中的數字簽名使用了ECDSA消息恢復機制。

改進的SET支付協議能夠較好應用于移動支付領域，同時該協議也是高校信息安全課程的重要內容。由于移動支付類實驗往往需要在復雜的專業實驗環境下完成[7、8]，對于改進的SET協議而言，其理論性較強，包含較多的信息安全算法，涉及持卡人、商家、CA、銀行等多方參與，在通用實驗環境下對SET協議的實際執行過程進行實驗的難度較大。對于我國高校的信息管理、電子商務等專業，目前具備專業的信息安全實驗環境的并不多，而SET協議又是一項較為重要的實驗項目，因此信息安全模擬實驗環境建設具有較好的現實意義[9、10]。當前我國部分高校已具有了信息安全實驗平臺，唐海濤等人[11]構建了網絡安全實驗平臺，該平臺包含較為復雜的硬件設備，如主控中心平臺、安全設備、組控設備、無線組控設備、應用服務器和管理服務器等，實現了基本的密碼學算法實驗、主機安全實驗、網絡攻防實驗、病毒攻防實驗和容災備份實驗功能；朱輝等人[12]基于虛擬化技術開發了一套軟硬結合的信息安全綜合實驗平臺，實現了密碼學算法、防火墻、入侵檢測和漏洞掃描實驗功能；底曉強等人[13]基于云計算和虛擬化技術開發了網絡攻防實驗教學平臺，實現了Internet協議分析、無線網絡攻擊、病毒攻防等實驗功能；劉坤[14]開發了基于云服務器的信息安全虛擬實驗平臺，功能包括漏洞定位實驗、主機加固實驗、部署及搭建IDS和網絡設備安全配置實驗；任丙忠等人[15]構建的基于GNS3和VMware/VirtualBox的信息安全平臺實現了較多的實驗項目，如訪問控制、防火墻、入侵檢測、VPN、證書服務器的配置、密碼算法等實驗；黃建忠等人[16]對網絡安全虛擬仿真實驗教學體系進行了設計，并構建了“四類型六環節”的虛擬仿真實驗教學云平臺。上述實驗平臺包含了較多的信息安全實驗項目，但由于SET協議的復雜性，各平臺均未涉及SET協議的實驗功能，而對于移動支付環境下的SET協議實驗更是未能實現。

本文首先基于Shih-Mills移動學習模型對模擬實驗平臺進行需求分析，在此基礎上對移動支付環境下改進的SET協議模擬實驗平臺進行功能設計、網絡環境配置和業務流程設計等，進而完成對SET協議模擬實驗平臺的開發和應用。該系統不僅能夠在通用環境下應用，而且可以提供高度情境化的學習環境，以角色扮演的方式實現SET協議操作流程的模擬實驗。該模擬系統以移動學習模型為設計理念，除了對協議操作流程進行情境化模擬外，還提供理論學習、實驗考核、師生交流等功能，能夠較好地提升教學效率。

1 SET協議模擬實驗平臺需求分析

SET協議模擬實驗平臺根據Shih-Mills移動學習模型[17]理念進行構建，移動學習模型如圖1所示。

圖1 Shih-Mills移動學習模型

該模型提倡學習互動、模擬仿真、數字化教學等高度情境化的學習方式，這種方式能夠較好地適應移動網絡環境下高校學生的學習特點。因此根據移動學習模型的基本理念及具體的實驗環境要求，SET協議模擬實驗平臺需要實現：

（1）情境化的學習模式。SET協議包含持卡人、商家、銀行、CA等較多的參與者，同時涉及較深的信息安全理論和算法實現，特別是對于高校信息管理、電子商務等專業學生來說，具有較大的學習難度，因此情境化的學習模式能夠較好提升學生的學習興趣，增強學習效果。在學習過程中，學生可以賦予各種角色，以角色扮演的方式對SET協議各流程進行模擬，在各流程中展示協議中理論和算法的實現過程，促進學生對于該協議的掌握。

（2）便捷獲取學習資源。智能設備及無線網絡的快速發展使得學生學習方式發生了較大變化，傳統的課堂教學受到了沖擊，同時紙質教材也逐漸趨于弱化，學習資源和學習渠道更加豐富，學生也逐漸轉向了網絡及電子資源的學習。在SET協議模擬實驗平臺設計中，應考慮學生學習方式的轉變，因此模擬實驗平臺應提供智能終端的學習資源獲取功能，充分拓寬學習渠道、豐富學習資源，使學生能夠使用智能手機就能隨時隨地瀏覽學習資源，為課下理論學習提供便利。

（3）課堂內外充分的學習交流。學習交流是Shih-Mills移動學習模型的重要內容之一，也為學生學習和教師教學提供有效反饋，能夠在較好提升學習效果的同時，為教師教學和模擬實驗平臺的改進提供支撐，因此平臺設計中應提供師生交流的暢通渠道，便于課堂內外充分的學習交流。

（4）實驗考核與學習監督。目前考試改革是高校教學改革的一項重要內容，考核方式應能夠更客觀地反映學生的學習效果。信息安全課程除了理論知識適合于傳統考試方式外，實踐能力的考核則較為困難，特別是SET協議模擬實驗，學生是否完成操作及對于知識的掌握程度則很難體現。因此模擬實驗平臺應對學生操作信息進行詳細記錄，并對考核方式進行合理設計，實驗平臺能夠自動根據學生操作情況給出實驗考核成績，同時便于教師進行學習監督。

（5）實驗環境的通用性。傳統的信息安全實驗往往需要專業設備及環境才能完成，而對于大多高校信息管理、電子商務等專業來說，信息安全的實驗環境往往較為缺乏，因此模擬實驗平臺適用于通用實驗環境顯得尤為重要。學生利用個人手機、普通電腦在普通機房環境下完成專業的信息安全實驗模擬，能夠降低實驗成本，打破嚴苛實驗條件的限制。

2 SET協議模擬實驗平臺設計與開發

2.1 網絡環境設計與系統軟件架構

SET協議模擬實驗平臺的網絡環境設計主要依據實驗的具體要求和通用實驗環境的易于配置特點，設計結果如圖2所示，該實驗的終端支付設備為手機、平板電腦等智能設備，利用GSM、CDMA或校園無線網絡等完成模擬支付，其他模擬角色采用普通PC或便攜電腦，智能設備通過WAP網關將訪問請求發送至WAP服務器，WAP服務器主要提供瀏覽和查詢服務，在應用時可以將理論學習的資源配置于WAP服務器，便于學生通過智能終端瀏覽查詢。其他模擬角色通過PC、便攜電腦等登錄服務器完成模擬操作，服務器包括電子錢包服務器、商家服務器、CA、支付網關、發卡行、收單行服務器等，為節約服務器資源，可以將WAP服務器、電子錢包服務器、商家服務器、CA等全部集成與一臺服務器，只需將功能劃分清楚即可。同樣，數據源也可以全部集成，當然這與現實中服務器和數據源各屬一家是不同的，本系統僅為完成功能模擬，不再考慮現實中的各種安全保障措施。

圖2 移動支付環境下SET協議模擬系統的網絡環境配置圖

系統軟件架構采用三層開發體系：表示層（UI）、業務邏輯層（BLL）和數據服務層（DAL），如圖3所示。

圖3 SET協議模擬系統的軟件分層結構

表示層主要包括持卡人、商家的客戶端系統以及其他模擬角色的B/S結構模擬系統，持卡人、商家的手機客戶端基于J2ME進行開發，服務器端采用J2EE技術，借助Servlet調用EJB，其他模擬角色的B/S結構模擬系統采用JSP技術實現。業務邏輯層則由JSP和Servlet技術實現，基于J2ME的手機客戶端向服務器端發送請求，通過Servlet訪問EJB層的業務邏輯組件，EJB層通過JDBC的API連接數據服務層。數據服務層主要包括由SQLServer構建的各模擬服務器的數據庫，包括CA數據庫、電子錢包數據庫、商家數據庫、支付網關數據庫、收單行數據庫和發卡行數據庫，為節約成本、提高系統通用性，這些數據庫可以集合于一個數據庫，通過設計不同的表來完成相應的模擬功能。

2.2 功能設計

根據SET協議模擬實驗平臺的需求分析，該系統的主要功能包括持卡人客戶端、商家客戶端、CA模塊、銀行模塊、學習與考核模塊和系統配置模塊，如圖4所示。

圖4 SET協議模擬系統的功能設計圖

持卡人客戶端是一個智能設備終端安裝的APP，便于學生隨時隨地獲取資源且符合學生的學習習慣變化。持卡人客戶端的主要功能包括賬戶申請和數字證書申請，系統賬戶是SET協議模擬系統的登錄賬戶，同時也是模擬銀行的網上銀行賬戶，該模擬賬戶可以綁定一個模擬信用卡，用來進行模擬支付。除此之外，持卡人客戶端還可以實現個人數字證書管理、個人賬戶信息管理及后續的模擬支付流程實驗。

商家客戶端與持卡人客戶端類似，均具有賬戶申請與賬戶管理、數字證書申請與管理等功能，不同之處在于商家客戶端中需要完成商品信息管理和訂單管理功能。

CA模塊則模擬現實系統PKI系統的基本功能，如RA的數字證書申請與審核功能、CA的數字證書生成與管理功能、數字證書與證書撤銷列表的發布功能等。

銀行模塊包括支付網關的支付信息處理功能、發卡行的支付確認功能、收單行的支付確認功能等。

學習和考核模塊包括理論學習、學生操作信息管理、考核信息管理、師生交流與指導。學生操作信息管理功能主要便于教師對學生操作進程和操作平臺使用情況進行查看，便于實驗進度的控制，學生操作信息主要包括每個角色登錄次數、每個操作步驟的操作次數、每個角色的登錄主機地址、登錄時間等。考核信息管理由系統根據學生操作情況給出實驗操作的分數，每個角色賦予固定分值，然后將分值分解到每個操作步驟，各個步驟的總分即為實驗操作考核分數，實驗操作分數作為實驗總分數的重要依據。師生交流功能便于在實驗中進行問題的研討，也是實驗效果反饋的重要渠道，為便于使用，在現實開發中將該模塊的理論學習和師生交流指導功能集成于智能設備端持卡人客戶端APP中，這也符合當前學生學習習慣的變化趨勢。

系統配置是系統管理員的功能模塊，包括課堂設置、教師管理、學生用戶的管理與權限的分配等，同時系統配置還具有系統的其他維護功能，如系統日志、系統清理等。

2.3 系統業務流程設計

SET協議模擬系統的業務流程包括CA管理職能的業務流程、模擬支付流程、商家的商品管理流程、訂單管理流程、系統配置流程、考核信息管理流程等。由于該系統功能較多，涉及流程也較多，本文僅對最為核心的CA管理流程和模擬支付流程進行說明。

CA管理職能的業務流程是PKI系統的核心，包括數字證書的申請、審核、生成、使用、更新、撤銷等環節，整體流程如圖5所示。證書申請由持卡人或商家的手機客戶端完成，支付網關的數字證書申請則可以在系統初始化配置時自動生成，也可以通過模擬角色進行申請，持卡人或商家登錄手機客戶端后首先檢測是否具有系統賬戶，需要注冊成功后才能申請數字證書，數字證書申請提交后由CA進行審核，審核通過后CA按照X.509證書格式生成數字證書，并提供下載，持卡人或商家下載數字證書后方可進行后續的模擬支付流程。當數字證書需要更新時，持卡人或商家發出證書更新申請，類似于數字證書申請流程，CA重新生成新證書并經過持卡人或商家下載后，使用數字證書進行模擬支付，而原數字證書則進入數字證書的撤銷流程，撤銷流程還包括過期的數字證書，證書撤銷后進入證書撤銷列表（CRL），CRL由CA進行發布。

模擬支付的業務流程涉及持卡人、商家、電子錢包服務器、支付網關、收單行和發卡行，具體流程如圖6所示。持卡人登錄客戶端APP，電子錢包服務器首先對持卡人進行身份認證，身份認證成功后持卡人可以使用網上購物模塊進行商品瀏覽，生成訂單并輸入支付信息后產生交易的初始請求。商家從電子錢包服務器獲取購物請求信息后生成初始響應數據，電子錢包服務器驗證商家及支付網關的身份后，進一步驗證商家的響應消息，然后對訂購信息（OI）和付款指令（PI）進行處理，將OI及PI消息進行雙重簽名，對PI進行加密，并生成數字信封，將部分相關信息發送給商家，商家驗證持卡人證書和收到的消息并形成支付指令，然后發送給支付網關。支付網關對支付指令進行處理，之后將支付授權請求發送給發卡行和收單行，發卡行和收單行根據支付授權信息進行相應的轉賬操作，最后產生支付成功的響應數據發給商家。商家將支付響應提交電子錢包服務器，電子錢包服務器對支付響應信息進行驗證，并將驗證結果反饋給持卡人，模擬支付流程完成，若流程中某一驗證失敗，則整個支付流程即可結束。

圖5 CA管理職能的業務流程圖

圖6 模擬支付過程的業務流程圖

2.4 模擬實驗平臺開發

使用J2ME和J2EE技術，結合MVC三層體系結構，對SET協議模擬支付平臺進行開發，該平臺包括智能終端使用的APP和基于B/S模式的程序其他部分。平臺配置完成后，學生首先下載智能終端使用的APP程序并安裝，首次使用時需注冊客戶端賬戶，并與虛擬的信用卡進行綁定（信用卡信息在系統中對每位學生已進行默認配置），如圖7所示，注冊成功后學生即擁有了與信用卡綁定的模擬客戶端賬戶。學生以持卡人或商家身份登錄客戶端后即可以顯示客戶端系統界面（圖7），持卡人客戶端界面包括理論學習、數字證書、模擬支付、過程查詢、師生交流和賬戶信息共6個模塊。點擊“理論學習”可以查看SET協議的詳細步驟及相關算法的使用介紹。數字證書模塊提供數字證書申請、下載安裝等功能。模擬支付則可以瀏覽購物頁面，生成訂單及模擬支付。過程查詢主要為學生提供模擬角色操作過程中的細節查詢，為便于實驗考核需要，學生的每步操作均形成一條記錄，每條記錄里的數據可以提供查詢（主要是關鍵環節的數據處理部分，如雙重簽名、加密操作等）。師生交流模塊為學生提供交流平臺，類似于QQ群，學生或教師可以針對某一問題進行討論。賬戶信息提供客戶端賬戶詳細信息的管理功能。除此之外，商家客戶端APP中還包括商品管理和訂單管理，商品管理便于商家角色添加、修改、刪除商品信息，訂單管理主要是查看和處理持卡人提交的訂單情況。

基于B/S模式的程序其他部分主要包括CA系統模擬、支付網關模擬、收單行和發卡行模擬等，學生可以使用客戶端的賬戶在普通PC上登錄SET協議模擬實驗平臺，選取相應的角色進行操作。CA管理系統模擬的開發結果見圖8，CA管理系統主要包括審核數字證書申請、生成數字證書、發布數字證書、管理證書撤銷列表等功能，用戶點擊“審核通過”按鈕即可進行生成數字證書的環節，而點擊“拒絕申請”后，該申請即進入了“審核未通過申請”列表，點擊“查看詳情”按鈕可以查看證書申請的各項詳細內容。點擊“交換角色”按鈕可以進入其他角色頁面，如支付網關、發卡行和收單行等，在持卡人用戶開始進行模擬購物時，支付網關、發卡行和收單行角色即可對相應的信息進行操作，同時學生以相應角色進入后，可以查看操作流程介紹，同時可以查看數據的具體細節，便于學生對相關理論進行驗證學習。由于SET協議模擬實驗平臺涉及功能較多，此處不再對其他頁面進行詳細展示。

圖8 CA管理模塊的開發結果

3 SET協議模擬實驗平臺應用效果

SET協議模擬實驗平臺的教師角色中可以查看學生的實驗操作信息，包括每個角色的練習時間、登錄地點、操作步驟記錄等，因此教師可以使用這些信息對實驗教學活動進行分析。下面從實驗操作時間地點、實驗完成情況、平臺資源需求和利用情況對SET協議模擬實驗平臺的應用效果進行說明。

（1）由于實驗平臺對硬件的要求較低，服務器端配置成功后，實驗不再受到時間和地點限制，學生可以在規定時間和地點完成實驗，也可以課下完成，因此大大拓展了實驗環境的限制。從平臺應用統計情況來看，80%左右的學生能夠在常規實驗課時內完成實驗，剩余20%左右的學生無法完成，但均可以在課下用較少的時間完成實驗，因此模擬實驗平臺能夠給予學生更大的學習自主性。

（2）從實驗完成情況來看，100%的學生均能夠完成各個角色的練習，平均可以在兩個實驗課時內完成操作（不包括理論學習，理論學習課前完成），每個步驟操作次數平均大于2次，因此實驗平臺能夠為學生提供充分的操作訓練。模擬實驗平臺采用角色扮演的模式，能夠提供較好的情境化學習體驗。從師生交流情況來看，學生對于模擬實驗平臺的學習效果均給予了較好評價，對這種實驗教學模式具有較高接受度，模擬實驗平臺可以較好地提升學生的學習興趣。

（3）由于高校智能手機和無線網絡的普及，SET協議模擬實驗平臺僅需要對服務器端進行配置即可完成對實驗環境的設置，因此能夠大大減少實驗的硬件投入。另一方面，學生對于模擬實驗平臺的利用存在時段性特征，一般而言，課程實驗課時和地點較為固定，雖然模擬實驗平臺打破了這些限制，但對于大部分學生而言（平均80%左右）實驗操作仍在固定時間和地點完成，因此對于單一服務器端來說存在一定的負載問題。當課堂較多時可將上課時間間隔安排，或者通過將不同角色功能和數據庫分別配置于不同服務器端的方法進行解決，因此該模擬實驗平臺也可以滿足多實驗課堂的教學需求。

4 結語

基于移動學習模型理念及現有的信息安全實驗要求，可以對SET協議模擬實驗平臺的構建需求進行分析，平臺的功能設計及開發實現可以有效針對現階段高校學生的學習方式進行，這對于平臺的建設具有較好的指導意義。SET協議模擬支付平臺具有高度情境化的模擬實驗設計，學生可以根據不同角色體驗不同的操作流程，同時可以查看流程中數據安全性保證機制的實現過程和細節，對于理論學習具有較好的輔助作用。該模擬實驗平臺基于移動互聯環境設計，學生可以隨時隨地使用手機進行理論學習、師生交流、操作信息查詢等，大大拓展了傳統實驗的時間和地點的限制。同時該模擬實驗平臺配置簡單，對于硬件環境要求較低，適用于缺乏信息安全專業實驗環境的信息安全課程教學，大大節約了教學成本?？偟膩碚f，模擬實驗平臺是一種較為有效的實驗教學方式，適合于現階段高校教學現狀及學生的學習特征。

該模擬實驗平臺的持卡人和商家角色的工作流程通過移動端智能設備進行操作練習，由于信息安全算法復雜度較高、數據量大，其他角色（如CA、支付網關、發卡行、收單行）的功能均在普通PC端完成，因此整個實驗需要智能終端和普通PC配合完成，一定程度上限制了平臺使用的便捷性。隨著智能終端設備不斷升級，在后續的系統改進中，可以將各個角色模擬過程全部集成于智能終端中，這將會完全擺脫設備的要求，進一步提升模擬實驗平臺的通用性。

[1]MasterCard and VISA. SET Secure Electronic Transaction Specification, Book1: Business Description Version 1.0[DB/OL]. May 31,1997. http://www.setco.org/download/set_bk1.pdf.

[2]Kim C，Mirusmonov M，Lee I. An empirical examination of factors influencing the intention to use mobile payment[J].Computers in Human Behavior，2010.

[3]李婧華.網上購物典型支付模式分析——以支付寶為例[J].中國商界，2010.

[4]周新發，白薇，王冬妮.基于TPB理論視角的消費者微信支付使用意愿實證研究[J].國際商務(對外經濟貿易大學學報)，2015.

[5]張若巖.基于SET協議的移動支付系統的研究與實現[D].西北大學，2008.

[6]萬仲保,王晴.基于SET協議的移動支付安全的分析與改進[J]. 微計算機信息，2010.

[7]S S Ahamad, N N Sastry, S K Udgata. Enhanced Mobile SET Protocol with Formal Verification[A]. Proceedings of 2012 Third International Conference on Computer and Communication Technology[C]，2012.

[8]琚春華，楊杰，湯旭翔.高校電子商務與物流專業移動學習實踐教學模式研究[J].高等工程教育研究，2014.

[9]王小妹，陳紅松.信息安全專業實驗室創新實踐教育體系的構建[J].實驗室研究與探索，2016.

[10]梁中，陳波，于泠，于浩佳.基于手機微信的信息安全翻轉實驗課堂教學實踐[J].實驗技術與管理，2016.

[11]王瑞錦, 周世杰, 秦志光, 吉家成.基于“虛擬仿真”的信息安全實驗教學體系改革[J].計算機教育，2015.

[12]唐海濤, 孟繁二, 孫聰等.網絡與信息安全實驗教學平臺的構建[J].實驗技術與管理，2010.

[13]朱輝, 劉北水, 李暉, 劉乃安.基于虛擬化技術的信息安全實驗平臺開發與應用[J].武漢大學學報(理學版)，2012.

[14]底曉強, 張宇昕, 趙建平.基于云計算和虛擬化的計算機網絡攻防實驗教學平臺建設探索[J].實驗技術與管理， 2015.

[15]劉坤.基于云服務器的信息安全虛擬實驗平臺的研究與實現[J].計算機安全，2013.

[16]任丙忠, 毛文杰, 孔文煥.基于GNS3和VMware/VirtualBox的網絡與信息安全虛擬實驗平臺實現與應用[J].教育現代化，2016.

[17]黃建忠, 張滬寅, 裴嘉欣.網絡安全虛擬仿真實驗教學體系設計[J].實驗室研究與探索，2016.

[18]Shih E Y, Mills D. Setting the new standard with mobile computing in online learning[J]. The International Review of Research in Open and Distance Learning，2007.