小型B2C支付系统设计与研究 精品.docx
《小型B2C支付系统设计与研究 精品.docx》由会员分享,可在线阅读,更多相关《小型B2C支付系统设计与研究 精品.docx(62页珍藏版)》请在冰豆网上搜索。
小型B2C支付系统设计与研究精品
小型B2C支付系统设计与研究
摘要
随着互联网的迅速发展与流行,电子商务是近年来普遍受到人们关注的焦点。
网上支付系统是电子商务交易的核心,安全电子支付是安全体系中最为复杂和最为核心的环节,涉及到用户、商家与银行等重要金融部门的交互和接口,因此从实际应用的角度,研究与设计提供一个安全可靠、方便实用的电子商务安全支付系统具有非常重要的意义。
B2C是英文Business-to-Consumer(商家对客户)的缩写,而其中文简称为“商对客”。
“商对客”是电子商务的一种模式,也就是通常说的商业零售,直接面向消费者销售产品和服务。
B2C网站支付平台的出现符合电子商务的发展需要,也是网上支付业务创新的具体表现形式之一,B2C网站支付平台本身依附于大型的门户网站,且以与其合作的银行的信用作为其信用依托,因此B2C网站支付平台能够较好的突破网上交易中的信用问题,有利于推动电子商务的快速发展。
本系统采用了B/S架构,结合MVC模式,综合利用SSL安全协议,对支付系统的安全性进行了研究,提出了网上银行安全支付系统的方案设计模型,包括支付系统的总体设计、工作流程设计和功能设计等,最后着重介绍了支付系统商家与银行间接口的设计与实现。
【关键词】电子商务电子支付B2CSSL协议
ABSTRACT
AlongwiththerapiddevelopmentandpopularofInternet,weexpectdomorejobsthroughInternet.Inthelatestyears,peoplebegintofocousonElectronicCommerce.Onlinepaymentsystemisthecoreofelectroniccommercetransaction,it’scrueltoprovideakindofonlinepaymentsystemwhichissafe、reliable、convenientandapplied.Duringthesecuritysystem,securityelectronicpaymentisthemostcomplicatedandkeyfactor,includingthemutualityandinterfacesofsomesignificantfinancialdepartmentssuchasusers、bussinessman、banksandsoon.Thus,Intheviewofpracticalapplication,Researchinganddesigningthesecuritypaymentofelectroniccommercewhichisexpansible、highreliabilityandcommonalitybecomeshavesignificantmeaning.
B2CistheabbreviationforBusiness-to-Consumer,Business-to-ConsumerisamodelofE-commerce.Alsoiscommonlycalledcommercialretailsales,directlyfacingtheconsumerproductsandservices.B2Cwebsitepaymentplatformappearaccordwiththedevelopmentofe-commerce,andalsotheneedonlinepaymentbusinessinnovationconcreteformsone.B2Cwebsitepaymentplatformitselfattachedtolargewebportal,andtoworkwiththebankcreditasitscreditrelyon,thereforeB2Csitespaymentplatformtobetterthecreditquestionbreakthroughonlinetransactions,facilitatesthee-commercedevelopment
ThissystemuseaB/Sstructure,combinedwiththeMVCpattern,thecomprehensiveutilizationofSSLsecurityagreement,forpaythesecurityofthesystemwasdiscussed.Thenthebankonthenetsecuritypaymentsystemdesignmodel,includingpaymentsystemoftheoveralldesign,workflowdesignandfunctiondesign,Finallyintroducesemphaticallythepaymentsystemsbusinessandbankindirectmouthofdesignandimplementation.
【Keywords】ElectroniccommerceElectronicpaymentBusiness-to-ConsumerSecureSocketsLayer
第一章绪论
第一节课题研究背景
近年来随着信息技术和Internet的飞速发展,越来越多的人开始利用网络了解发生在世界各地的新闻或进行学习、娱乐,同时也可以借助网络进行证券交易、购物等商务活动。
金融业务的电脑化、支付系统的电子化将大大地促进金融和商务的发展,为金融机构、生产销售商家以及社会个人提供方便灵活的交易形式,代表着金融发展的方向,这就是我们所说的电子商务。
电子商务作为网络经济时代的商务模式,日益深刻地改变着我们的生活,改变着传统的商务活动模式,其作用可以与工业革命对经济发展的促进相媲美,并将成为21世纪人类信息社会的核心。
在复杂且庞大的电子商务系统工程中,电子支付是最核心、最关键的环节,
是交易双方实现各自交易目的的重要一步,也是电子商务得以进行的基础条件。
网上商店是目前一种比较常见的B2B或者B2C方式,电子商务的优势在于给交易的双方(或多方)会降低了成本,对于卖方而言它可以提高销售量,降低销售成本,对于买方而言它提供了更多商品选择的空间,节省了购买者路途所花的时间和金钱。
用户只需要在家里,打开电脑,连接互联网,然后就可以轻松选购他喜欢的商品.同时网上商店还提供商品的图片,这样就更加方便顾客选购,尤其是对于残疾人,出门不方便,在网上购物是他理想的选择。
电子商务是基于开放网络环境下的商务形式,这带来了一系列的问题。
开放程度越高,网络安全及支付安全问题就越凸现出来。
因此构建一种能够一定
程度上保证数据传输的完整性、有效性和安全性的支付系统显得尤为重要。
而本系统恰恰在这种背景下应运而生,很好的解决了网络电子安全支付的问题。
第二节电子商务的概念和分类
Internet的快速发展,特别是web技术的广泛应用,不仅使它具有通信和交换信息的功能,还开辟了一种商业交易方式,即在网上进行商业交易,实现电子交易处理。
一、电子商务的概念
人们通常把基于Internet平台进行的商务活动统称为电子商务,英文为E-commerce或EC。
1997年,国际商会在法国首都巴黎举行了世界电子商务会议,从商业角度提出了电子商务的概念,即电子商务是指实现整个商业贸易活动的电子化。
这里的电子化主要是指应用Internet作为商务平台。
电子商务从涵盖范围方面可以认为指交易各方以电子交易方式,而不是通过当面交换或直接面谈方式进行的任何形式的商业交易;从技术方面可以说是一种多技术的集合体,包括交换数据、获得数据以及自动捕获数据等。
电子商务的流程主要包括商务信息交换、售前售后服务、网络销售、网上支付、商品配送等。
在国际电子商务的实践中,人们通常是从狭义和广义两个层面上来理解电子
商务的。
从狭义上理解,电子商务就是企业通过业务流程的数字化、电子化与网
络化实现产品交易的手段.从广义上理解,电子商务泛指基于Internet的一切与数字化处理有关的商务活动。
二、电子商务的分类
按照商务交易对象的性质,电子商务可分为四类。
(1)企业对消费者(也称商家对个人客户或商业机构对消费者,即B2C)的电子务。
基本上等同于电子零售商业,即网上商店或称在线零售商店,网上商店为
消费者提供各式各样的网上实时服务如商品信息查询、产品支持、实时财经信
息指导、售前售后服务、网上订货、网上支付等。
(2)企业对企业(或称商家对商家,即B2B)的电子商务。
指商业机构(企业、公司)使用Internet或各种商务网络向供应商(企业或公司)谈判、订货、签约、接受发票和付款及索赔处理、商品发送管理和运输追踪等。
(3)企业对政府机构的电子商务(可称为B2G)政府一政府机构的电子商务可以覆盖公司与政府组织间的许多事务。
(4)消费者对政府机构的电子商务,政府可以利用网络进行福利发放,自我估税及个人税收征收等各项活动。
第三节电子支付
一、电子支付的安全性要求
人们在进行电子商务活动时涉及到很多的敏感信息,如身份、信用卡号和密码等,这些信息不能泄漏给其他人,否则就有可能出现资金丢失等非常严重的问题。
安全性要求防止静态信息的非法存取和动态信息的非法截取。
电子支付的安全性主要有以下几方面的要求:
1)完整性(Integrity):
完整性指信息在存储或传输时不被修改、破坏和丢失,以保证合法用户能接收和使用真实的信息。
这在电子商务中是非常重要的,只有保证信息的完整性,才能正常地进行商务活动,否则会引起极大的混乱。
2)数据保密性(Confidentiality):
电子商务是建立在一个开放的网络环境Internet上的,许多要传递的数据信息都是一些敏感信息,如账户、密码等私有信息。
如果这些信息以明文的方式传输,有可能被非授权的第三方窃取,而导致信息泄漏。
3)身份的真实性(VerificationofIdentity):
在交易信息的传输过程中,要为参与交易的各方提供可靠的标识,使他们能正确地识别对方并能互相证明自己的身份,这可以有效地防止网上交易的欺诈行为。
身份认证在电子支付中是非常重要的,只有交易各方能正确地识别对方,人们才能放心地进行交易。
4)不可否认性(Non-repudiationofDisputedCharges):
为了保证交易能合法有效地进行,必须防止交易各方日后不能否认发出过或接收过某信息。
发送方不能否认曾经发送过某条信息如订单信息,接收方也不能否认接收到了某条信息,这对于电子商务也是很重要的。
二、国内外研究现状
随着当前国际上对网络安全技术的不断深入研究和发展,我国的密码学领域也开始活跃起来。
但由于国外主流的电子商务安全协议在核心密码算法上都有出口限制,而且协议源代码不公开,根本无法满足我国电子商务实际应用的安全需求。
而完全自主定义和开发一套安全标准体系需要较大人力、财力和物力的长期投入。
目前,计算机技术及银行信用卡的不断普及,让越来越多的人有用银行信用卡进行在线交易的需求。
在西方国家,信用卡网络支付方式是应用最广的,现已投入实际应用的信用卡系统有:
CyberCash和FirstVirtualHolding,电子支票系统有:
E-check、NetBill、NetCheque等。
有用于跨行的资金转帐汇兑系统,如联邦储备通信系统FedWire(FederalReserveCommunicationSystem),BANKWIRE:
非营利性的私营的电子汇兑系统,SWIFT(SocietyWorldwideInterbankFinancialTelecommunication):
金融信息通信系统。
有资料统计,2001年,美国个人购物的50%左右是在网络上进行的,而这些网络交易销售额的80%又是用信用卡进行网络支付的。
在西方其他国家的情况也与美国差不多,特别是在瑞士等银行发达的国家。
一些新兴国家,如韩国、新加坡的网络支付方式发展得也不错。
在我国,电子商务虽然是个新兴的行业,但其发展速度是相当惊人的,市场前景相当可观。
但在电子商务发展的同时,网络交易安全问题却成为了电子商务中网络交易发展的瓶颈。
针对这一现状,国内外计算机安全研究领域都已全力投入到研究保护网络交易安全的措施中。
但由于目前较为成功的交易协议SSL及SET在协议出口的同时被一些国家进行了出口限制,其安全强度大为降低。
故国内大量科研机构及企业利用SSL协议较好的源码开放性,实现了网络交易过程的通信安全保障。
在认证企业中,北京国富安电子商务安全认证有限公司就是较为典型的公司,该公司利用PKI技术体系,采用X.509等国际标准,结合经国密办认可的PKI加密设备推出了具有全部自主知识产权的数字证书和密钥管理系统。
像国富安一类的公司在国内各大主流商贸城市已经有了较多,它们为我国的政府,经济、贸易业的安全、持续、稳定的发展作出了巨大的贡献。
它们对我国信息网络安全及电子商务的发展有着举足轻重的作用。
它们的出现,对我国信息网络安全事业起着极大的推进作用,为电子商务的持续发展铺平了道路。
第四节本文主要内容和组织结构
本文主要根据SSL协议和SET协议的特点、B2C在线支付发展状况以及安全性要求进行了详细的分析,建立了一种基于SSL安全协议的通用B2C安全支付平台集成模型,并构建了一个具有可扩展性、高可靠性以及通用性的B2C电子商务安全支付系统。
论文的组织结构如下:
第一部分,介绍了选题的意义及背景,简单介绍了电子商务的基本概念,并且对电子支付的安全性要求以及国内外研究现状做了简单描述。
第二部分,对SSL协议和SET协议及其特点做了详细介绍。
第三部分,介绍了基于SSL的在线支付系统的总体设计。
第四部分,系统实现。
第五部分,系统运行与测试。
第六部分,提出了系统的不足及改进方案,对本次毕业设计做了总结。
第二章B2C支付系统及SSL协议
第一节B2C支付系统的定义
B2C网站支付平台是买卖双方在交易过程中的资金“中间平台”,是在银行监管下保障交易双方利益的独立机构。
在通过B2C网站支付平台的交易中,买方选购商品后,使用第三方平台提供的账户进行货款支付,由第三方通知卖家货款到达、进行发货;买方检验物品后,通知付款给卖家,第三方再将款项转至卖家账户。
作为网络交易的监督人和主要支付渠道,B2C网站支付平台给我们提供了更丰富的支付手段和可靠的服务保证。
相对于其它的资金支付结算方式,B2C网站支付可以比较有效地保障了货物质量、交易诚信、退换要求等环节,在整个交易过程中,都可以对交易双方进行约束和监督。
在不需要面对面进行交易的电子商务形式中,B2C网站支付为保证交易成功提供了必要的支持,因此随着电子商务在国内的快速发展,B2C网站支付行业也发展迅猛。
2001年我国B2C网站网上支付平台市场支付规模是1.6亿元人民币,2004年增长到23亿元,2007年第二季度已达140亿元,目前活跃在网上支付市场的第三方网上支付平台有支付宝、首信易支付、腾讯财富通、环迅、网银在线、云网、上海快钱、Yeepay,汇付天下等五十余家。
第二节B2C网站支付系统模式
一、B2C网站运行模式
B2C网站支付使商家看不到客户的信用卡信息,同时又避免了信用卡信息在网络多次公开传输而导致的信用卡被窃事件。
B2C网站支付一般的运行模式为:
(1)、消费者在电子商务网站选购商品,最后决定购买,买卖双方在网上达成交易意向。
(2)、消费者选择利用B2C网站支付平台作为交易中介,用借记卡或信用卡将货款划到三方账户,并设定发货期限。
(3)、B2C网站支付平台通知商家,消费者的货款已到账,要求商家在规定时间内发货。
(4)、商家收到消费者已付款的通知后按订单发货,并在网站上做相应记录,消费者可在网站上查看自己所购买商品的状态;如果商家没有发货,则B2C网站支付平台会通知顾客交易失败,并询问是将货款划回其账户还是暂存在支付平台。
(5)、消费者收到货物并确认满意后通知B2C网站支付平台。
如果消费者对商品不满意,或认为与商家承诺有出入,可通知B2C网站支付平台拒付货款并将货物退回商家。
(6)、消费者满意,B2C网站支付平台将货款划入商家账户,交易完成;消费者对货物不满,B2C网站支付平台确认商家收到退货后,将该商品货款划回消费者账户或暂存在第三方账户中等待消费者下一次交易的支付。
二、B2C网站支付模式
纵观国内当前经营状况相对较好的B2C网站支付平台企业主要基于以下两种经营模式:
1、支付网关模式
B2C网站支付平台将多种银行卡支付方式整合到一个界面上,充当了电子商务交易各方与银行的接口,负责交易结算中与银行的对接,消费者通过B2C网站支付平台付款给商家,B2C网站支付为商家提供一个可以兼容多银行支付方式的接口平台。
2、中介模式
为了增强线上交易双方的信任度,更好的保证资金和货物的流通,充当信用中介的B2C网站支付服务应运而生,实行“代收代付”和“信用担保”。
交易双方达成交易意向后,买方须先将支付款存入其在支付平台上的账户内,待买家收货通知支付平台后,由支付平台将买方先前存入的款项从买家的账户中划至卖家在支付平台上的账户。
这种模式的实质便是以支付公司作为信用中介,在买家确认收到商品前,代替买卖双方暂时保管货款。
第三节B2C支付系统的特点
B2C在线支付系统主要有以下几个特点:
①B2C网站支付平台采用了与众多银行合作的方式,从而大大地方便了网上交易的进行,对于商家来说,不用安装各个银行的认证软件,从一定程度上节约了成本和简化了操作流程;
②B2C网站支付平台作为中介方,可以促成商家和银行的合作。
对于商家,第三方支付平台可以降低企业运营成本;对于银行,可以直接利用第三方的服务系统提供服务,帮助银行节省网关开发成本;
③B2C网站支付平台能够提供增值服务,帮助商家网站解决实时交易查询和交易系统分析,提供方便及时的退款和止付服务;
④B2C网站支付平台可以对交易双方的交易进行详细的记录,从而防止交易双方对交易行为可能的抵赖以及为在后续交易中可能出现的纠纷问题提供相应的证据。
总之,第三方支付平台是当前所有可能的突破支付安全和交易信用双重问题中最理想的解决方案。
第四节SSL协议技术分析
如何保证使电子商务的各参与方弄够安全、有序、快捷地完成网上支付,需要一个协议来规范各方的行为与各种技术的应用。
目前国际上有代表性的是SSL与SET两种安全交易协议机制。
下面主要对基于SSL协议的安全支付模型进行分析。
一、SSL协议简介
SSL安全协议是国际上最早应用于电子商务的一种网络安全协议,至今仍然有许多网上商店在使用。
SSL安全协议主要目的是提供互连网上的安全通信服务,提高应用程序之间的数据的安全系数。
该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。
SSL安全协议主要提供三方面的服务:
①认证用户和服务器的合法性认证,使得它们能够确信数据将被发送到正确的客户机和服务器上;
②加密数据以便隐藏被传送的数据;
③维护数据的完整性,确保数据在传输过程中不被改变。
SSL协议是一种保护WEB通讯的工业标准,是基于强公钥加密技术以及RSA的专用密钥序列密码,能够对信用卡和个人信息、电子商务提供较强的加密保护。
SSL在建立连接过程上采用公开密钥,在会话过程中使用专有密钥。
在每个SSL会话(其中客户机和服务器都被证实身份)中,要求服务器完成一次使用服务器专用密钥的操作和一次使用客户机公开密钥的操作。
SSL在客户机和服务器开始交换一个简短信息时提供一个安全的握手信号。
在开始交换的信息中,双方确定将使用的安全级别并交换数字证书。
每个计算机都要正确识别对方。
如果客户机没有证书也没关系,因为客户机是发送敏感信的一方。
而客户机正与之交易的服务器应有一个有效的证书,否则客户机就无法确认这个商务网站是否与其声称的身份相符。
确认完成后,SSL对在这两台计算机之间传输的信息进行加密和解密。
这将意味着对HTTP请求和响应都进行加密。
所加密的信息包括客户机所请求的URL、用户所填的各种表(如信用卡号)和HTTP访问授权数据(如用户名和口令)等。
简而言之,SSL支持的客户机和服务器间的所有通讯都加密了。
在SSL对所有通讯都加密后,窃听者得到的是无法识别的信息。
由于SSL处在互联网协议集中TCP/IP层的上面,除HTTP外,SSL还可对计算机之间的各种通讯都提供安全保护。
例如,SSL可为FPT会话提供安全保护,支持敏感的文档。
SSL能保证Telnet会话的安全,此会话中远程计算机用户要登录公司主机并传输口令和用户名。
实现SSL的协议是HTTP的安全版,名为HTTPS。
在URL前用HTTPS协议就意味着要和服务器之间建立一个安全的连接。
SSL有两种安全级别:
40位和128位。
这是指每个加密交易所生成的私有会话密钥的长度。
会话密钥是加密算法为在安全会话过程中将明文转成密文所用的密钥。
密钥越长,加密对攻击的抵抗就越强。
美国政府批准可以出口较短的48位密钥,但不允许128位密钥的出口。
你可根据互联网Explorer和Netscape浏览器状态条上锁头的开关来判别浏览器是否进入了SSL会话。
如果未进入,则锁头处于打开状态。
一旦会话结束,会话密钥将被永远抛弃,以后的会话也不再使用。
二、基于SSL的电子支付系统
SSL协议在应用层收发数据前,协商加密算法、密钥并进行认证,为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议,保证了应用层传输的安全性。
SSL协议实现简单并且独立于应用层协议,同时它还被大部分的浏览器所内置,因此便于在电子交易中应用。
在电子商务中,采用SSL协
议的电子支付系统的应用框架如图2.1。
图2.1SSL的应用框架示意图
下面以国际上流行的信用卡网上支付为例,当采用SLS安全协议机制时,可描述其网上支付流程中技术细节如下:
①客户机IE器向银行服务器发送客户端的SSL本号、密码设置、
随机生成的数据和需要服务器使用SSL协议与客户机通信等需要的其他信息(浏
览器使用htPs协议向服务器申请建立SSL会话).
②服务器向客户机发送服务器端的SSL版码设置随机生成的数据和客户机使用SSL协议与服务器通信所需要的其他信息。
服务器端也发送它自己的数字证书供客户认证,如果认为客户端需要身份认证要求客户发送证书(可选)。
③客户端利用服务器发送信息,如数字证书认证服务器的真实身份并取得公开密钥等。
若服务器不能被认证,用户被警告发生了问题,通知不能建立加密的和认证的连接。
若服务器能被成功认证,客户机进行下一步。
④根据与服务器协商以及服务器证书上的相关信息,利用数字信封技术在客户端为将要进行的会话(如传递支付号码和密码)创建会话预密钥pre-master-secret,用服务器的公钥(从服务器数字证书中得到)加密它,向服务器发送加密的会话密钥匙。
⑤若服务器选择客户认证,服务器就会
升级会员 