《第三方支付平台在线交易》电子商务课程论文.doc

内蒙古科技大学本科生课程论文*大学本科生课程论文 题 目：第三方支付平台在线交易 安全策略的运用 学生姓名： 学 号： 专 业： 班 级： 任课教师：2014年6月20日II摘 要第三方支付平台提供的在线支付服务，很大程度上满足了消费者和电子商务公司的支付需求，极力的推动了我国电子商务活动的发展。伴随着第三方支付平台的广泛应用，其在线交易安全的问题也越来越突出。由于我国电子商务的飞速发展和在线电子支付的起步时间晚以及在管理和技术上存在诸多的安全问题，消费者在线交易安全和账户安全受到威胁。目前我国第三方支付的模式下存在的支付信用以及支付安全等问题，将有可能阻碍我国的电子商务的发展。随着中国人民银行出台的非金融机构支付服务管理办法，对从事第三方支付业务的企业机构进行规范，实行支付业务许可。这一方面意味着央行把第三方支付企业的纳入到金融机构监管对象的队伍之中，另一方面也是对支付平台的在线交易安全问题的重视。本文作者参与了某公司的第三方支付牌照的申请工作，并参与了中国金融电子化公司对该支付平台的系统检测工作，以及全程参与支付平台的设计开发。对第三方支付平台在线交易安全进行了分析研究并提出了其安全性的设计。本文首先对第三方支付平台的基本概念、发展现状以及支付模式进行了简要的介绍，重点对在线交易安全策略进行了分析研究。其次介绍了系统的总体架构、技术路线以及功能模块的划分。最后针对保证支付平台安全性，介绍了消费者安全接入支付平台、商户安全接入支付平台以及银企直联系统安全模式的设计与实现。关键词：第三方支付平台；在线交易；安全策略AbstractThe third party online payment platform to provide payment services, largely to meet the consumer and electronic Business Company pay demands, to promote the development of Chinas electronic commerce activities. With the wide application of the third party payment platform, the online transaction security issues are also increasingly prominent. Because of the rapid development of electronic commerce in China and the starting time of online payment security problem in the evening and many in the management and technology, consumer online transaction security and account security is threatened. Payment credit and payment security problems of the third party payment mode of existence, will hinder the development of electronic commerce in China. With the peoples Bank China issued non financial institution payment services management approach, to regulate business organizations engaged in the third party payment, the payment business license. This means that the central bank to third party payment enterprises into the objects of supervision of financial institutions team, on the other hand is the payment platform of online transaction security issues. The author participates in the companys third party pay licence application, and participated in the China financial electronic company for the payment platform system testing work, and participate in the entire process of payment platform. The design of the security of the third party payment platform for online transaction security is analyzed and put forward.本文首先对第三方支付平台的基本概念、发展现状以及支付模式进行了简要的介绍，重点对在线交易安全策略进行了分析研究。其次介绍了系统的总体架构、技术路线以及功能模块的划分。最后针对保证支付平台安全性，介绍了消费者安全接入支付平台、商户安全接入支付平台以及银企直联系统安全模式的设计与实现。Briefly introduced the basic concept, the third party payment platform development present situation as well as the mode of payment, mainly studied the online transaction security strategy. Secondly, introduces the overall system architecture, the technical route and the function modules. Finally, to ensure the payment platform security, introduces the consumer safety access payment platform, business security access payment platform and direct bank enterprise system design and implementation of the security model.Keywords: the third party payment platform; online trading; security strategyII目 录摘 要IAbstractII1绪论11.1 研究背景及意义11.2 课题来源与项目依托21.3 国内外第三方支付发展现状31.4 论文组织结构52相关理论与技术基础62.1PKI技术62.1.1PKI的基本定义与组成62.1.2PKI的安全优势62.2CA认证体系72.3SSL安全协议82.3.1SSL协议简介82.3.2SSL协议的安全性分析92.3.3SSL协议的特点93第三方支付平台在线交易安全策略分析113.1第三方支付平台概述113.1.1第三方支付平台的定义113.1.2第三方支付模式123.1.3第三方支付平台的优势123.2第三方支付平台的业务流程分析133.3第三方支付平台的风险性分析143.4第三方支付平台安全策略分析153.4.1实名认证153.4.2128位SSL加密传输163.4.3登录验证码163.4.4安全控件173.4.5绑定手机173.4.6数字证书183.4.7交易预警提醒184 第三方支付平台系统的总体设计204.1系统的设计原则204.2系统总体架构204.2.1平台构成204.2.2系统整体架构224.2.3系统网络体系结构244.3系统功能模块划分254.4系统核心模块的设计274.4.1请求消息缓存区管理模块274.4.2业务处理模块294.4.3系统日志模块314.5系统安全体系设计334.5.1B2B企业级安全接入安全模式设计344.5.2银行支付网关系统安全接入模式344.6系统安全技术路线364.6.1基于J2EE技术架构364.6.2基于XML的数据处理375系统安全体系详细设计与实现395.1 消费者安全接入支付平台的设计395.1.1用户安全接入模式设计395.1.2SSL安全传输通道双向认证的实现405.2商户安全接入支付平台的设计实现435.2.1商户安全接入模式设计435.2.2商户接入接口的设定445.3 银企直联系统安全模式设计实现445.3.1银行安全接入模式设计445.3.2银企直联交易模块的实现465.4系统部分数据结构设计47结 论49参考文献50- 3 -1 绪论1.1 研究背景及意义2010年6月，中国人民银行对外正式公布非金融机构支付服务管理办法对我国的第三方支付行业开始实施正式的监管。根据相关明文规定，非金融机构若要提供网络在线支付服务必须按规定取得支付业务许可证，成为第三方支付机构，而2011年9月1日将是第三方支付机构获得第三方支付牌照的最后期限，在此日期之后末取得的企业单位将不能继续从事网络在线支付业务。2011年5月26日，中国人民银行正式公布了首批获得支付业务许可证的企业单位名单，包括财付通、快钱、支付宝、网银在线等悉数获得支付业务许可证，一共颁发了27块第三方支付牌照。通过获得官方颁发并认可的支付牌照，这意味着像网银在线、快钱、银联商务、支付宝等第三方支付单位己经被“正名”。由此可见，中国人民银行己经把第三方支付平台正式纳入金融机构管辖范围之内。这即将圆满解决第三方支付平台本身的信用问题。所以消费者也不必担心由于第三方支付企业的破产，而带来他们的各种金融风险。被中国人民银行正名后的第三方支付平台即将迎来大好的发展机遇。根据艾瑞、易观国际等咨询公司的相关数据显示，我国的第三方支付业务在近几年的发展势头相当的迅猛。我国第三方支付业务在2003年的交易规模还不到10亿元，2004年的交易额就达到74亿元2009年的交易额惊人的达到了5808亿元，2010年上半年相当于2008年全年的交易额，达到4546亿元。保守的估计末来三年内每年仍然会以年均70%以上的增长速度继续增长。1 2011年第一季度，根据易观国际咨询公司最新调查数据显示，我国的第三方在线支付在短短的3个月内交易规模达到3650亿元，同期相比上涨了102.6%。在第三方支付业务以惊人的速度发展的同时，其在线支付过程中的安全性越来越受到人们重视，并且有可能成为阻碍第三方支付健康发展的最大障碍。第三方支付给越来越多的消费者带来快捷便利的支付手段的同时，也随之带来了有关第三方支付平台系统的稳定、消费者的个人信息安全与账户资金安全以及消费者的权益保护等多方面的问题。第三方支付己经成为电子商务行业发展不可或缺的重要环节安全的第三方支付平台系统能为我国的电子商务的快速发展扫清障。我国的电子商务活动开始于上个世纪90年代的末期，经过10多年的发展取得了令人瞩目的成就。中国互联网络信息中心(CNNIC)于2011年7月19日发布的第28次中国互联网络发展状况统计报告显示：截至2011年6月底，中国网民规模达到4.85亿，较2010年底增加2770万人，增幅仅为6.1%，网民规模增长减缓；网络用户在线购物的数量为1.94亿，在线购物网民数量继续高速增长；通过网络在线支付的用户率达到32.5%，用户数量为1.67亿，每年的增幅高达81.8%，网民开始越来越多使用网上在线支付，网民增长最快的网络应用是在线支付。2但是目前还是有调查表明：55.6%的网民曾经在上网时遭遇过病毒或者木马的攻击，32.5%的网民曾经因自己的帐号和密码被盗的问题所深深困扰，66.4%的网民有“网络在线交易缺乏安全性”的担忧以及顾虑。3阻碍现代电子商务正常而迅速发展的一个主要问题是在电子商务的运作过程中出现的网络在线支付安全的问题。互联网由于自身的开放性特点，让依赖于网络而存在的电子商务活动遇到了严重的安全问题。针对互联网活动中出现的网络安全问题，早在1989年，国际标准化组织就曾经对OSI互联网络环境的安全性进行过深入的研究。OSI安全体系标准就是在该次研究的基础上提出来的，同时还制定了网络中含身份认证服务、访问控制服务、数据保密服务、数据完整性服务以及不可否认服务这五种安全服务；指出只有保障这五大安全服务，网络在线交易才可以继续的存在和持续发展，才能保证安全地进行电子商务交易。因此，研究如何建造第三方支付平台安全在线交易的保障体系、开发安全的第三方支付平台系统具有重要的现实以及战略意义，是适应目前我国电子商务发展的迫切而实际需求，同时也是一项艰巨任务，任重而道远。安全的第三方支付才能成功的引导网络上的消费走入健康发展的正轨，才能促进我网上支付的完善和发展，安全的第三方支付平台才是主要途径和必然趋势。1.2 课题来源与项目依托随着我国体育事业的高速发展与全民健身热情的高涨，国家为发展全民健身运动和提高体育竞技水平，建有标准体育场馆近60万座，投资近3万亿元人民币，不相适应的是大量的体育场馆处于闲置状态。如何满足人民体育锻炼的需要，同时提高体育场馆资源的有效利用，湖南省某商务司提出并建设中国体育类“电子商务平台”。该平台整合、包装体育场馆等资源，提供体育资讯、消费预订、用品配送等服务，盘活沉淀场馆资源，拉动消费，满足高涨的全民健身市场需求。该平台将体现公司以品牌数字化、手段信息化、客户大众化为宗旨，建设以电子商务、语音呼叫、物流配送、连锁经营、在线交易、电子支付为核心的行业公共信息基础工程，致力于为全球健身人群和企业客户提供专业服务。而第三方支付平台则是该电子商务平台的核心系统，该支付平台主要负责消费者的在线电子支付，为其提供安全便捷的支付通道；并凭中国人民银行拟批准的支付业务许可证从事网络支付与结算、预付卡的发行与受理、移动电话支付、积分兑换及其它支付服务。该支付平台的建成除了做为该商务公司旗下所有业务的支付平台，带给客户安全快捷的良好体验外，还定位于中国体育消费行业，致力于打造体育行业消费的非金融支付平台，成为体育消费行业的“支付宝”，也是中国体育积分承兑平台，企业通过该平台可以进一步规范企业电子商务交易市场，保证交易双方的利益，确保交易的安全性和完整性为交易双方提供一个良好的交易环境。本课题来源于此。1.3 国内外第三方支付发展现状在国外的第三方支付发展史上，PayPal是目前世界上最大的在线支付提供商。PayPal在首创使用电子邮件地址作为任何个人和企业在线收付款的方式。PayPal的服务构建于现有的银行账户和信用卡的金融结构之上，并利用PayPal先进的防欺诈安全保护系统，创建了一个安全、快速和全球化的实时付款解决方案。PayPal使用的安全保障技术包括传统的SSL安全协议以及CA认证安全体系结构，和先进的反欺诈风险安全技术策略。在2011 RSA大会信息安全国际论坛上，PayPal首席安全技术和移动支付的主要构建师Hadi Nahari指出，PayPal提供了拥有世界一流的内置安全技术的支付系统，与此同时采取的绑定电子邮箱的安全策略使得我们的损失率不到0.5%，在业内居于领先地位。Hadi Nahari强调，我们设计的反欺诈风险安全技术模型有助于检测和预报欺诈性交易，Paypal使用业界认可的地址认证服务技术(AVS)和(CSC，也称为CVV2)帮助用户防止身份被盗用，在对数据加密技术的使用PayPal处于业界领先地位，PayPal对数据加密技术的使用比任何财务型服务公司都要广泛。4 Moneybookers收汇通道是现今欧洲使用率最高的网络支付方式其注册用户人数甚至不低Paypal，而其便于使用，安全性高的性能更是为它赢得了于Paypal相当的口碑。Gary Douglas指出作为Moneybookers支付安全保障制度的重要一环，系统会对大额美金或者欧元支付使用业务监控技术，并且采用先进的256位SSL加密技术和先进的反欺诈技术审核以及风险管理技术模型，更有效更可靠的保护用户的财产安全。5而且，不同于其他网络支付系统，Moneybookers要求用户在必须在激活认证自己的注册帐号后才能开始使用其服务，这样就很大程度的遏制了网络支付诈骗的发生。在国内，第三方支付业务属于朝阳产业，初步建成了以中央银行支付系统为核心的支付清算网络体系，这个体系以银行支付系统为基础，票据、银行卡等支付系统作为组成，相互互补。相比较于国外的成熟发展，电子商务国内的发展还相当初级，整个行业还存在相当大的问题，电子支付行业的创新性不够。低水平的竞争常常引起恶性循环，同时从管理层面上来说还需要大大加强。从2011第一季度的统计报表中，我们可以看出中国第三方支付的交易份额和额度的分布，这些支付项目包括互联网、手机和电话支付。支付宝的份额占到了45.5%占到整个市场份额的一半左右，财付通能够占到交易总额的20.3 %银联网和快钱以及首信易支付会分别占比为11.7&，6.1%和6.0%，剩下的是其他的一些公司占比重一共1.1%。专业的支付行业分析师，来自艾瑞咨询的人员指出随着牌照的陆续发放，支付行业被各大资本财团注入的趋势愈加明显。这其中银联在线支付与银行的关系非常密切同时作为国营的第三方支付，具有作为“国家队”的先天优势，所以很多支付机构与其进行了合作，但是作为国营机构的弊端是第三方支付的灵活性没有民营的那么强，同时对于商户的各种需求也不能很好的满足，有很多地方需要改进和提高。我国第三方支付的安全技术问题一直是大家最关心的问题之一在应用层面，欺诈还是常常发生，保护用户的利益的方式和安全技术手段还需要进一步的完善。魏敏在我国第三方支付的安全性问题分析一文中指出，我国主流的第三方支付平台现阶段所实施的安全保障技术手段包括PKI技术、CA认证体系结构以及反洗钱监控技术，同时也提到我国现有的主流第三方支付平台如支付宝、块钱、财付通等都是采用多重安全策略保障用户账户的安全，如采用SSL协议保障底层安全、采用数字证书保护用户账户安全、采用手机验证保护用户账户安以及采用U盾或和银行U盾绑定保护用户账户安全。6在此同时林楚填在网络支付主流模式及安全技术分析中提到目前我国主流的支付平台在交易中采用了数字签名、数据加密、身份认证等核心技术来保障用户账户安全。7 1.4 论文组织结构本文的主要工作是研究当前第三方支付平台的在线交易安全策略，结合相关的安全理论和具体的工程实践方法，提出在支付平台软件设计过程应注意的安全事项，从实践的角度给出相应的安全策略解决方案。本文主要分为五个章节。第一章，介绍本文研究工作的背景，指出第三方支付平台在电子商务平台中存在的重要意义，本章还介绍国内外第三方支付发展动态最后给出了本文的论文结构。第二章，介绍了第三方支付平台相关技术理论，包括SSL安全协议技术、PKI技术、CA认证体系以及及其相关信息安全理论，为后续系统设计和开发奠定良好的技术基础。第三章，主要对第三方支付平台在线交易的安全性进行分析，分别对第三方支付平台的特点、业务流程和运作机制等进行了概述。并且对第三方支付在风险性和在线支付安全策略进行了分析。第四章，分析了系统平台整体的设计原则，并根据设计原则，对系统的总体架构，系统功能模块，系统的安全模式进行了分析和设计，并由此选择了系统的安全技术路线。第五章，展示了系统中关键部分的具体实现，以及相应的代码分析。最后给出了系统的部分功能界面截图。2 相关理论与技术基础第三方支付平台为解决在线交易的不可抵赖、身份验证、交易信息网络传输安全以及交易信息的完整性，所采用的关键技术包括PKI技术、身份认证技术、加密技术以及安全控件技术等。2.1 PKI技术2.1.1 PKI的基本定义与组成PKI是Public Key Infrastructure的缩写，是“公钥基础设施”，是一种遵循既定标准的密钥管理平台，是指运用公钥概念和技术来实现和提供具有普适性的通讯数据安全服务的安全基础设施。8它可以为所有网络应用给予数字签名和数字加密等一系列的密码服务以数字签名所需要的密钥和证书管理体系。简而言之，PKI就是提供安全服务的基础设施，它是通过公钥理论技术的基础建立起来。PKI技术它是电子商务的关键和基础技术，也是信息安全技术的重要核心。PKI是由数字证书、公开密钥密码技术、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。9 PKI可以保障网络在线交易和网络通讯的安全，它是利用公钥技术实现的电子商务安全的一种安全保障体系。从另外一种意义上讲，PKI包含了安全认证体系，所以说安全认证系统是PKI体系中绝对不能缺少的组成部分之一。PKI的基础技术有数字签名、双重数字签名、数字信封、数据加密、数据完整性机制等。PKI公钥基础设施是以管理数字证书和密钥为目的的提供数字签名和公钥加密服务的系统平台。第三方支付平台通过采用PKI框架体系来管理数字证书和密钥能够建立一个相对安全的网络在线交易环境。PKI主要包括四个部分：CA操作协议；CA管理协议；CA政策制定以及X.509格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2)。一个完整、有效、标准的PKI应用系统应该至少由认证中心CA,X.500目录服务器、具有高强度加密算法(SSL)的安全服务器、Web安全通信平台、安全应用系统五个部分组成。2.1.2 PKI的安全优势由于PKI无可比拟的技术优势以及强大的生命力使得PKI己经成为一种安全技术，深入到我们网络各个层面。PKI的灵魂源自于公钥密码技术，这种公钥密码技术从理论上让网络上的数字签名有了安全的保障，使得“知其然而不知其所以然”成为一种可以证明的状态。针对如何运用好这种非对称密码技术，PKI中最为核心的元素一数字证书便应运而生了。PKI的优势表现在以下几个方面：（1）PKI可以成为一种基础设施，为巨大的用户群服务，这是因为数字证书理论上可以保证服务范围的无限制扩张，可以由用户自己单独验证而不需要在线查询。PKI的密钥管理方式打破了以往的安全验证的服务必须在线的限制，运用通过第三方提供的数字证书证明末端实体的密钥，而非在线分发或在线查询的数字证书方式进行服务。（2）PKI在支持可追究服务上拥有不可取代的优势，使用公开密钥密码技术可以支持无法仿冒的数字签名而且可以公开验证。可追究服为保障原始数据的完整性提供了更高级别的担保。支持可公开验证或者说任意的第三方可验证，可以完善平等的网络系统间的操作以及信息的可追究性，可以更好地保护弱势的群体。（3）PKI中因为各种强大互联技术的结合，使在复杂的网络世界中建设一个网络信任体系成为可能，为消除在网络世界中信任孤岛的提供充分的技术保障。PKI拥有超强的互联能力，不管是平等的第三方信任关系，还是上下级的领导关系，PKI都可以依照人类世界的信任方式进行各种形式的互通互联，使PKI可以很好地为符合人类习惯的大型网络信息系统服务。（4）PKI在其应用领域不受任何具体应用的限制，是由于PKI提供了证书的撤销机制。为了使末来用户可以在各种安全环境下更加放心，在出现意外情况下还可以进行补救，为用户提供“后悔”或“改正错误”的途径，从而产生了措施撤销机制。此外，因为有撤销技术，不论是经常变换的角色还是永远不变的身份，都因为有PKI的服务而不需要担心被窃后角色或者身份被他人恶意盗用或者被永远作废。2.2 CA认证体系CA认证体系是由认证部门、审核授权部门、密钥管理部门、证书操作部门以及证书存储地五个部门组成。其中，认证部门CA(certificate authority)是指负责确定和发放用户实体的数字证书；授权部门RA(registry authority)决定是否同意给申请者发放证书，负责对证书申请者的资格进行审查，授权部门应由能够承担这些责任的机构担任，可以承担起因为审核错误而引起的任何不良后果，如为不满足资格的人发放了证书等；密钥管理部门km，负责发放实体的加密钥对，同时对其解密私钥提供相应的托管服务；证书操作部门CP(certification processor)是可以委托给任何第三方担任，或者由授权部门自己担任亦可的，为己被授权的申请者发放、制作以及管理证书，同时承担因操作运营错误所产生的一切可能出现的后果，包括为没有获得授权的人发放了证书和失密等行为；最后，证书存储地(DIR)是指包括网上所有的证书目录。CA安全认证体系包括签发数字证书、审核下级注册机构的业务、管理实体鉴别密钥器、所有证书目录服务的维护和管理、向密钥管理中心申请密钥、下级审核注册机构的管理等主要功能。CA安全认证是一个标识，使得参加电子商务的各方有一个可以被验证，CA安全认证具有建立一种信任及信任验证机制的作用。数字证书提供包括申请、签发、发布证书;查询、作废、更新证书；证书的存档；在线证书状态查询(OCSP)以及包括密钥的产生、存贮、更新、备份和恢复的密钥管理等业务。2.3 SSL安全协议2.3.1 SSL协议简介SSL(Secure Socket Layer)是Netscape公司在上个世纪90年代所研发，SSL协议是通过加密技术，用以保障通讯数据在网络传输的过程中的安全性，可确保交易数据在网络上的传输过程中不会被第三方截取、窃听以及篡改。10一般通用的规格即40位的安全加密标准，目前大部分的第三方支付平台早己经推出128位的更高安全加密标准。目前Web浏览器与服务器之间的数据加密传输，客户端与服务器端的身份认证都应用SSL安全协议技术，几乎所有主流的浏览器都支持SSL安全协议。SSL安全协议是位于各种应用层协议和TCP/IP协议的中间，为数据加密传输提供了强大的安全支持。SSL协议分为两层：SSL记录协议(SSL Record Protocol)和SSL握手协议(SSL Handshake Protocol)。SSL握手协议是建立在SSL记录协议基础之上，主要是为了解决在数据传输之前的双方的身份验证，并且通讯的双方交换加密密钥以及协商通讯数据的加密算法。SSL记录协议是用来给高层协议增加数据加密、数据封装以及数据压缩等功能的全面性支持，SSL记录协议是建立在安全可靠的传输协议之上的。SSL安全协议主要提供的安全服务有：（1）用来加密通讯数据，用以保证数据中途不被第三方窃取。（2）用来用户和服务器身份验证，确保通讯数据能够发送到正确的服务器与客户端。（3）保障传输数据的完整有效性，确保数据在网络传输的过程中不被第三方篡改。2.3.2 SSL协议的安全性分析在计算机科学领域，安全性问题是受到更多关注的问题，使用SSL协议是一个可以保证安全需要的解决办法。然而，当决定是否使用SSL的时候，还需要考虑整个大环境。第一种情况，当信用卡公司很可靠的情况下，可以使用SSL协议。因为在使用SSL协议进行网上交易时，买方可以通过商家的证书颁发机构(CA)鉴定商家的身份，商家可以通过验证买家提供的信用卡信息验证买方。但是，商家真正关心的人，不是提供信用卡信息来参加交易的人，而是真正持有卡的人，因为很有可能来交易的人是盗用了别人的信用卡。所以，必须在信用卡公司很可靠的情况下，才能够使用SSL协议，否则无法保证买卖双方的身份认证。第二种情况，当电子商务涉及的交易额比较小的情况下，可以使用SSL协议。因为一般情况下，黑客不会为了盗取SSL交易中较少的款项而去耗费过多精力和进行高成本的投资。总的来说，当网上交易对安全级别要求不高的情况下，可以使用SSL协议，因为该协议还存在着一些局限性，使它不能保障网上交易的绝对安全。2.3.3 SSL协议的特点SSL让两个从末见过面的实体使用保密的、完整的和极具认证性的信息进行沟通，它被浏览器内置，可以让客户端执行交易，从而建立沟通，并不需要特别的管理工作，企业己在电子商务中广泛采用这种模式。SSL协议的基本特点是：（1）保密性：是指大多数人认为是保密的。这就是说，只有用户选择的个人或团体能够读取该受保护的数据。（2）认证性：也就是说，要确保交易的实体确实是提供方提供的实体。（3）消息的完整性：也就是说，收件人收到的信息和所传送的信息是同样的信息，（换句话说，信息在传输过程中不会发生变化，无论是因意外事故还是故意攻击）。SSL在因特网上(或其他网络，如私人公司的网络)提供保密性、信息完整性，以及通信中的身份验证，尽管如此，在关注网络安全时并不局限于在访问网络时进行数据的保护，相反，必须考虑所在环境的整个威胁。SSL的局限性表现在这些方面：（1）SSL交易不能经常在客户端进行身份验证，所以在大多数情况下，只有服务器端进行身份验证。即使客户端拥有证书，服务器也只能保证交易时客户端的证书的真实性，但没有任何方式可以确保使用该证书的人就是签发该证书的人。（2）SSL仅能保护传输中的数据，而在另外一些情形中，数据是脆弱的。（3）SSL无法抵御交流性攻击。（4）SSL不能保护IP或TCP头，所以不能抵御流量分析。总体而言，在许多有着相似功能的安全协议中，SSL协议的安全可靠性是首屈一指的，同时，随着加密算法的安全性能取得更大的飞跃，SSL协议也会在此基础上取得更显著的突破，其安全性、可靠性、稳定性和方便性将逐步加强。3 第三方支付平台在线交易安全策略分析网络在线交易的基础是安全的在线支付，同时电子商务活动的关键核心问题也是安全的在线支付，安全性问题也是电子商务的一个技术重点和难点。在线支付的安全性我们主要关注如下四点：（1）数据网络传输的安全性：防止第三方对正常交易数据进行窃取保证公网数据传送的安全。（2）数据信息的完整性：确保数据的完整性，主要关注在数据传输的过程中防止被非法篡改。（3）身份信息验证：网络交易在身份验证方面需要做两个验证，第一个是对方真实身份和敏感信息的确认；第二个是对方帐户是否是正常使用，是否真实有效。（4）交易的不可抵赖：持有数字签名对交易的信息进行确认，在数据传输的过程中，验证传输数据是正确真实的同时，也可以利用签名信息来解决交易纠纷。3.1 第三方支付平台概述3.1.1 第三方支付平台的定义第三方支付由第三方机构来提供的交易支持平台，这些第三方机构具备信誉保障，并且与国内外的银行都有合约，具备相当的实力。它能够向政企和事业单位给出公正、中立的面向其他用户的增值服务和个性化支付结算，并且以银行的支付结算为基础，它的合作方式是与银行进行商业合作。第三方电子支付平台主要用于担保支付功能的实现，属于服务中介机构。第三方支付平台做第三方职能支付，独立于商家、网站和银行。它不直接参与具体的电子商务活动，主要为企业提供电子商务应用与基础支撑服务，这些企业都开展电子商务的业务。第三方支付平台是保障交易双方各项利益的独立机构，它由银行的监管，是一个交易双方之间的资金“中间平台”。典型的使用第三方支付平台的交易形式如下，买方选好商品之后，用第三方平台制定的帐户来进行货款支付，第三方通知卖家款到，提醒卖家发货;买方收到货物，验证货物之后，通知第三方付款给卖家，第三方会将款项打到卖家帐户中。第三方支付平台的存在，提供了我们更加丰富的支付手段，同时服务的质量也得到了有效地保证，第三方平台起到了一个网络交易的监督人的身份，同时提供了交易支付的渠道。相对于其它的资金支付结算方式，第三方支付比较有效地保障了货物质量、交易诚信、退换要求等环节，在整个交易过程中，都可以对交易双方进行约束和监督。第三方支付为无需面对面的电子商务交易提供了必要的支持，保证了交易的成功进行。电子商务也因此在国内外迅猛发展，第三方支付产业也随之快速发展。在我国，第三方网上支付平台市场支付规模从2001年的1.6亿元人民币增长到了2004年的23亿元，到了2007年的第二个季度规模达到了140亿元。日前活跃于市场的第三方网上支付平台有腾讯财富通、支付宝、网银在线、Yeepay、首信易支付等五十余家。3.1.2 第三方支付模式以第三方支付平台的经营状态的好坏作为考虑条件，经营状态相对较好的企业主要以以下的经营模式存在：（1）支付网关模式第三方支付以接口平台的形式，为商家提供服务，这个接口平台兼容多家银行的支付方式，第三方支付能够将多个银行的支付方式统一整合到一起，对接各个交易的银行结算，同时能够提供消费者付款给商家的一个渠道。（2）信用中介模式第三方支付服务能够充当信用中介，以“信用担保”和“代收代付”为手段，更好地加强货物和资金的流动性，同时，信用中介能够加强线上交易的卖家和卖家之间的信任度。具体的运行模式的核心观点为，支付公司作为信用中介，货款暂时先由中间进行保管，直到卖家把确认商品己经收到。在交易意向达成之后，买方不直接将货款达给卖家，而是将款项先存入支付平台的帐户上，等到买家收到货物查验之后，在由支付平台来完成将货款从买家的户头上转到卖家的户头上的操作。3.1.3 第三方支付平台的优势（1）第三方支付平台采用了与众多银行合作的方式，从而大大地方便了网上交易的进行，对于商家来说，不用安装各个银行的认证软件从一定程度上节约了成本和简化了操作流程。（2）第三方支付平台能够加强银行和商家之间的合作关系，并在其中充当中介的角色。从银行的角度考虑，直接使用第三方提供的服务能够节省银行而外开发网管的成本；而从商家的角度考虑，使用第三方提供的接口，能够在一定程度上降低运营成本，获取更大的利润。（3）第三方支付平台能够通过己有的交易数据进行实时查询以及商品买卖的预测，在己有数据的基础之上提供增值服务。同时，能够为商家提供退款和停止付费的服务等等。（4）第三方支付平台详细记录了交易记录，能够有效防止交易双方的抵赖行为，同时交易记录能够作为证据，解决可能出现的各种纠纷问题。综上所述，第三方支付平台是一种能够解决支付安全，同时能够提高交易信用的十分理想的解决方案。3.2 第三方支付平台的业务流程分析第三方支付能够有效地保护信用卡的信息，首先商家不能够得到客户的信用卡信息，其次，信用卡信息的保密也保证了信用卡的安全防止其被不法份子利用和被偷窃。第三方支付运行模式如下图：图3.1 第三方支付平台在线交易业务流程第三方支付平台的详细业务流程可以简述为：（1）首先消费者选购商品，通过电子商务网站预览商品，并最终决定需要购买商品，达成交易意向。（2）第三方支付平台作为消费者和商家之间的交易中介，消费者将款项先支付给第三方，第三方将设定发货的期限。（3）第三方支付平台在收到交易意向和货款之后将通知商家，按照设定的发货期限，要求商家发货。（4）商家接到第三方支付平台的付款通知之后，会按照消费者的订单进行发货，同时，在网站上将交易状态进行更改。消费者能够通过网站查询到交易的状态，如若商家末进行发货操作，交易失败，第三方支付平台会将货款转回消费者账号或者询问消费者是否暂时将款项保存在支付平台中。（5）在交易成功的情况下，如果消费者对货物不满意，或者与当初交易的约定有出入，可以进入拒付流程，通知第三方支付平台将货款拒付并将商品退还。如果消费者对商品满意，可以通知第三方支付平台同意将货款支付给商家，当第三方支付平台收到消费者的付款消息，会将货款支付给商家，正常交易完成。3.3 第三方支付平台的风险性分析（1）第三方支付平台能够进行资金吸存，同时它能够沉淀很大的资金量，当资金沉淀和吸存的行为凸显出来以后，随之而来的资金安全隐患方面的问题和支付风险问题也变得越来明显。网上支付机构一般都存在资金吸存的这种行为，买家把钱付给电子商务平台或者第三方平台，交易需要进行一段时间，卖家在确认以后，平台才会把钱再支付给卖家，这里存在一个滞留的过程，买家的钱沉淀在支付机构的帐户里；另外，开户后，交易额不断增长，一些提供支付服务的企业都以每周清算两次或者一次的约定与客户达成合约。资金沉淀量会随着这种业务量增大和逐渐增加。这种安排的目的是增强网上交易信心用于交易公正性的维护，是一种很有效的做法，但这里面存在的问题是交易双方之间的信心得到了保证，信誉服务得到了增强，但其自身的安全性和信用找不到第三方来保证。第三方支付服务的影响力随着交易规模的增大而变大，当第三方支付服务面向服务的企业越来越多时，解决其出现的问题的成本也就越来越大。（2）支付结算帐户和支付结算服务是第三方支付服务所提供的具体服务，这些服务能够突破了一些特许经营的管理限制，按照现有的一些法律法规的规定，整个支付清算业务以及支付结算业务归属于银行专有的业务。帐户开立之后，怎么定性帐户里沉淀的资金，现在很多企业以规避吸收公共存款的名目，能够以提供代理服务方式来运作它。进一步说代理服务也属于银行业务，代理收付款业务是它商业银行法里出现的形式。这类业务在特许业务范畴之内，如果是银行之外的机构进行这方面的业务需要先突破法律上的屏障。电子商务以飞快的速度发展着，其发展规模很难预料，电子支付所达到的规模直接影响到它今后在支付结算体系中所处的地位和能够改变商业布局的能力。美国的PAYPAL发展的比较好，达到了十分可观的规模，所以，政府不得不投入精力对其进行监管。（3）第三方支付平台存在金融资金隐患，可能成为套现和非法转移资金的潜在工具。在现阶段资金单笔交易额还不是很大的情况下套现和资金非法转移现象还不明显，但是也己经逐渐凸显出问题来。比如有的网上交易实际上并不是进行真正的消费，而是制造一笔虚假交易，通过银行卡支付后，钱进入了支付平台的帐户，通过帐户转移到银行，从银行取现，实际上是为了套取现金。信用卡的作用主要是为了满足支付和消费需求，同时能够促进消费，因为信用卡有一个限额，所以，现金量银行可以预算出来，而网上交易能够规避信用卡取现的一些控制制度。很多网站交易不收费，不会产生费用，成本接近零，这种交易的存在使得套现更加的容易实现。3.4 第三方支付平台安全策略分析国内知名的第三方支付平台如快钱和支付宝等等都采用了多重安全措施相结合的方式进行安全保护。以快钱为例，它在用户认证体系中加设了六道安全防范功能，这其中包括防盗卡的设计，以达到降低安全隐患的目的。目前大多的安全策略一般都采用SSL协议保障接入安全；安全采用数字证书和手机验证保护用户账户安全；采用U盾或和银行U盾绑定保护用户账户安全以及采取数字证书、手机动态口令、安全控件和风险实时监控等多重安全策略齐下的方案，大大降低了第三方支付在线交易的风险。3.4.1 实名认证2012年1月5日，中央人民银行公布了支付机构互联网支付业务管理办法征求意见稿，在这其中对网上支付账户的开立应实行实名制进行了规定。意见稿明确，个人客户在第三方支付账户申请开立时，支付机构应登记客户的姓名、住址、联系方式、职业、性别、国籍以及有效身份证件等身份信息，并对审核其真实性进行。对于单位支付账户，还需登记单位名称、地址、经营范围、税务登记证号码、组织机构代码等。实名认证是验证审核用户资料真实性，能够为完善互联网信用的可信性打下基础。实名认证之后，客户等同于有了一张互联网身份证，能够进行支付风险防范，以此来保护当事人的合法权益，同时可以提升账户拥有者的信用度，对第三方支付账户安全等级的提高也非常有利。实名认证好处很多，但是看似麻烦。实名认证能够有效确定身份增进客户和商家间的交流，对于网络商城的开展很有益，同时能够对网络上欺骗消费者的一些不法分子进行鉴别。3.4.2 128位SSL加密传输SSL是一种身份验证以及加密的国际通信协议。它能够对第三方支付平台的全部用户信息，支付信息等采用128位SSL进行加密传输保证数据在网络传输过程中的安全。SSL协议使用通讯双方的客户证书以及CA根证书，允许客户/服务器应用以一种不能被偷听的方式通讯，在通讯双方间建立起了一条安全的、可信任的通讯通道。它具备以下基本特征：信息完整性、信息相互鉴定和信息保密性。用户在SSL的加密传输模式下，所在网络的所有服务资料传输都通过了加密。由于SSL加密使用了128位加密手段，其他人是不能对网络中数据进行检测的。3.4.3 登录验证码动态验证码技术主要用于预防暴力破解工具，这些工具使用穷举法来破解帐户和密码，采用动态验证码技术动态生成口令，能够大大降低暴力破解的概率。所以，这项技术被大多是网站、论坛以及网页采用，动态验证码一般以图片的形式出现，它是由字母和数字随即生成，用户看到生成的图片手工输入到登陆验证框中。动态验证码能够保证第三方支付平台的用户帐户安全，它现在是很多网站通用的一种安全保障方法，能够有效的对抗黑客的暴力破解方法，比如说黑客针对特定用户，采用程序暴力破解的方法，不断进行登陆尝试，动态验证码能够加大破解的难度。3.4.4 安全控件安全控件的设计主要针对第三方支付帐户的安全，主要用加密的手段对用户关键信息加以保护，通过SSL加密传输，再经过多重加密实现对于木马程序和病毒等对帐户和密码的窃取。安全控件技术能够在很大程度上增加系统的安全性，特别是在公用电脑上使用，它能够避免机器中的木马窃取账号密码信息，是帐户信息保护的有力方法。安全控件能够对网站和客户端的数据流进行实时监控，它的监控时间周期是从用户登陆系统开始一直到用户注销系统。安全控件对于用户帐户和密码的实时保护在一定程度上增加了系统和用户的安全性。日