胡 彬,徐 珂
(河南工业职业技术学院 计算机工程系,河南 南阳 473009)
随着信息经济、网络经济在全球的增长,电子商务的发展大大超出了人们的预料。国际数据组织(IDC:International Data Corporation)的最新研究结果表明,电子商务能为信息产业发展带来巨大的市场,从而推动经济和社会的全面发展。
以Internet为平台的电子商务,简化了网上购物的交易过程,只要网络能到达的地方,就可以使用电子支付,减少了人为的干预,节省了大量的人力、物力。在Internet成为各个商家首选的电子支付网络平台的同时,与电子支付相关的技术、标准等也在不断涌现,进行网上支付已成为现代化支付系统的发展趋势。为了培养真正能够适应市场需求的电子商务人才,高校很有必要设计一个B2C网上支付系统,让学生真正接触它,而不再局限于仅以消费者的立场去接触网上支付系统。只有全面熟悉了网上支付系统的整个工作流程和运作体系,才可能发现它的优缺点,从而进一步改进、完善。
设计网上支付系统基于的安全机制是SSL协议,它采用对称算法、公用密钥算法和防火墙等措施保证交易的安全,支付时使用的是银行发行的储值卡(借记卡)、信用卡。网上支付系统主要涉及的实体有:客户、商家、银行(发卡银行和收单银行)、支付网关、CA认证中心。系统的总体结构如图1所示。客户完成商品的选购、订单的提交,商家处理提交的订单并提送银行支付网关,银行负责处理支付信息,CA认证中心提供商家和银行的认证。
图1 网上支付系统结构示意图
客户端:客户必须持有发卡银行所发行的支付卡,客户需要使用支付工具(如信用卡、电子支票等)进行支付。为了保证支付的安全性,要求客户的网络浏览器至少支持128位安全加密。
商家端:这里商家是指在网络上出售商品或服务的个人或机构。商家须首先到银行柜面申请开通网上银行服务,从而获得银行分配的ID号,此ID号是唯一的。
发卡银行:即客户申请获得支付卡的银行。发卡银行要确保客户的支付卡可以兑付。
收单银行:即商户申请开户的银行,它向商户提供交易结算。商家开户行在接受商家提交的客户支付指令后,进行交易双方开户银行之间的清算等工作,是整个支付结算过程中资金流向的目的地。
支付网关:即一组能够连接外部互联网平台和银行内部金融专用网络平台之间接口的服务器,实现支付信息从Internet到银行内部网络的转换,完成安全支付的授权和获取。支付网关的主要作用是完成两个平台直接的通信、协议、转换和进行数据加密、解密,因此,支付网关的建设直接关系到网上支付系统和银行系统的安全性。
金融专用网络:即银行系统内部之间进行数据通信的专用网络,禁止外部访问,安全级别很高,是支付过程中负责结算的部门。
CA认证中心:向客户、商家和支付网关发放数字证书,通过证书验证彼此之间的真实身份,保障网上支付过程中的安全性。同时,CA认证中心要对证书进行管理,是具有权威性、可信赖性和公正性的第三方的公正机构,它与传统商务中的工商管理局的作用相当。
Visual Studio.NET 2005是微软新一代软件开发平台,集成了VB.NET、C#、ASP.NET的开发环境,提供了包括设计、编码、编译调试、数据库连接操作等基本功能和基于开放架构的服务器组件开发平台、企业开发工具和应用程序重新发布工具以及性能评测报告等高级功能。而ASP.NET是在服务器端运行的通用语言运行环境,具有易于管理、使用、恢复等诸多优势。因此,本系统操作系统采用WindowsXP/WindowsServer2003,用Visual-Studio.Net 2005作为网上支付系统的编程环境,ASP.NET作为编程工具。
网上支付系统的交易流程按以下步骤进行:
(1)客户登陆商家网站选购完商品,与商家服务器建立SSL安全通道,商家生成支付订单,该订单应包含订单号、商家名称、日期、金额、商家证书等数据信息。
(2)客户选择支付方式,商家服务器将支付订单发送给银行支付网关服务器,银行支付网关服务器验证请求数据中包含商家身份确认信息的“商家证书”、“签名信息”。
(3)验证确实是商家签署的、有效的支付信息后,客户端出现银行在线支付页面,显示从商家发来的订单号及支付金额信息。否则会发出警告并返回失败信息提示。
(4)客户在对应界面中输入支付卡卡号和支付密码,核对相关信息无误后确认支付。
(5)银行验证客户的卡号、密码。核查无误后,银行支付网关将信息送入银行业务处理系统进行相应的业务处理。
(6)若出现客户金额不足等问题,银行业务系统处理失败,支付系统直接向客户返回处理失败信息,若订单支付成功,银行将用自己的私钥对订单信息和支付成功信息进行加密后传给商家。
(7)商家接到支付成功信息后,用银行的证书验证其签名信息。
(8)商家验证成功后,向客户提供交易成功信息,并根据自己的需要进行记账处理、更新订单信息,向客户发送货物。
通过对网上支付系统交易流程的分析与设计,可以看出网上支付系统中的数据流主要有三部分,分别是生成支付订单数据流、处理支付订单数据流、支付结果数据流。
2.2.1 生成支付订单数据流
商家接收到客户提交的购买商品信息后,生成支付订单,同时将订单中的信息存储到商家服务器的订单记录这一模块中。流程如图2所示。
图2 生成支付订单数据流程示意图
商家服务器将订单信息用商家证书私钥进行数字签名后生成订单支付信息,该信息主要存放在OrderIM表中,OrderIM表主要包括Order_ID、Merchantr_ID、MercName、Orders、OrderTime、Order-Amount、MereRetURL等字段,各字段的详细信息如表1所示。
2.2.2 处理支付订单数据流程
商家服务器将客户订单支付信息发送给银行支付网关进行支付请求,银行支付网关从订单支付信息中获取并检验商家的数字签名和证书。检验通过则客户在给出的支付界面中输入卡号和密码,将支付信息送到银行支付系统;检验不通过则提示错误信息,中断交易操作。流程如图3所示。
表1 OrderIM数据表
图3 处理支付订单数据流程示意图
其中,提交过程中的支付信息主要存放在Pay-IM表中,PayIM表主要包含PayIM、Merchantr_ID、Order_ID、OrderAmount、Cardno、Passwd等字段,各字段的详细信息如表2所示。
表2 PayIM数据表
2.2.3 确认支付订单数据流程
银行支付系统验证客户的卡号、支付密码等信息成功后,将支付信息发送给业务处理系统进行处理,处理完后将结果发送给支付服务器,若订单支付成功,银行将用自己的私钥对订单信息和支付成功信息进行加密后传给商家,否则放弃交易。流程如图4所示。
图4 支付订单结果数据流程示意图
其中,将交易结果和签名数据合成支付确认结果信息,存放在ResIM表中,ResIM表主要包括ResIM、Merchantr_ID、Order_ID、MercName、Order-Amount、TransDate、Orderseril、Succ Mark、Comment等字段,各字段的详细信息如表3所示。
表3 ResIM数据表
最后,在本系统中,采用SSL协议保证商家与客户以及商家与银行支付网关之间信息传递的完整性和保密性。
本系统对网上交易涉及的其他方面,如商家对商品的具体管理、物流管理等模块都没有具体的设计。如果只是从教学角度出发,通过此支付系统可以让学生熟悉网上支付的整个流程及其中数据加解密的流程。但是,由于试验条件和技术水平的限制,虽然采用了SSL协议建立了客户、商家、银行之间的安全通道,在一定程度上保障了交易的安全,但在现实使用中,如何去抵挡他人的恶意攻击,提高系统的安全性,这还有待于继续努力研究,进一步改进、完善此系统。不过,从教学角度来说,此系统的不够完善也正好可以引导学生去深入探究,找出解决实际问题的方法,也算是起到了抛砖引玉的作用。
[1]吴瑞明.网上支付系统[J].电子质量,2002(02).
[2]Census Bureau.E-Commerce Retail Sales[J].Stratigic ManagementJournal,2006(10).
[3]莫燕,张玉清.SSL3.0基本握手协议的运行模式分析[J].中国科学院研究生院学报,2005,22(04).
[4]Schclzrinne H,Rosenberg J.The Session Initiation Protocol:Internet-Centric Signaling[J].IEEE Communieation Magazine,2000(06).
[5]Ashish Banerjee,Aravind Corera.C#Web服务高级编程使用.NET Remoting和ASP.NET创建Web服务[M].康博,译.北京:清华大学出版社,2002.
[6]李智博.电子商务安全性问题的探讨[J].青海科技纵横,2007(2).