电子商务中第三方支付平台关键技术研究

重庆邮电大学本科毕业设计（论文）

摘 要

近年来我国电子商务发展非常迅猛，2008年我国电子商务交易总额达3.1万亿元，2009年我国电子商务市场交易额突破3.4万亿，2010年第一季度中国电子商务市场整体交易额达到了10152.7亿元，单季交易额突破万亿规模。中国网络购物也发展迅速，截至2009年6月，我国网上购物用户规模已达8788万，同比增加2459万人，年增长率为38.9%。

网上支付是电子商务的关键环节，但由于信用问题，它却成为我国电子商务发展的瓶颈之一，而第三方支付的出现为网上支付提供了一个可行的解决方法。相对于传统的资金划拨交易方式，第三方支付有效地保障了货物质量、交易诚信、退换要求等环节，在整个交易过程中，都可以对交易双方进行约束和监督。在不需要面对面进行交易的电子商务形式中，第三方支付为保证交易成功提供了必要的支持，因此随着电子商务在中国国内的快速发展，第三方支付行业也发展得比较快。

根据易观国际产业数据库2009年底发布的《中国第三方支付市场蓝皮书》显示，中国第三方支付市场经过10年的发展，年度交易规模已经接近6000亿，成为中国金融支付体系中重要的组成部分，也是中国互联网经济高速发展的底层支撑力量和进一步发展的推动力。

【关键词】第三方支付 第三方支付平台 网上支付 电子商务

- I -

重庆邮电大学本科毕业设计（论文）

ABSTRACT

In recent years, China's e-commerce is developing very fast in 2008, China's e-commerce transactions 3.1 billion yuan in total, 2009 China's e-commerce market turnover 3.4 trillion by 2010, the breakthrough in the first quarter of China's e-commerce market turnover reached the whole season, 10152.7 billion yuan traded breakthrough trillion scale. Internet shopping is rapidly developing in China .By June 2009, our shopping online user scale has reached 8788 million, increasing by 2459 million, annual growth rate for 38.9%.

The online payment is the key link of e-commerce, but because the credit problems, it has become the bottleneck of China's e-commerce development, and one of the third-party payment for online payment provides a feasible solution. Compared with the traditional funds transfer transactions, third-party payment can be effectively guarantee the quality of goods, trade integrity, exchange links such as required in the transaction process, can be in both trade for restriction and supervision. In the face of the transaction needs no form of e-commerce, third-party payment to ensure successful trading provides the necessary support, so with the e-commerce in China's rapid development, the third-party payment industry also develop faster.

According to analysys international industry database in China by the end of 2009 issued by the third party pay market of China blue, third-party payment market after 10 years of development, the annual trade size has nearly 60 million Chinese financial payment system, as an important part of China's Internet, high-speed economic development on the bottom of the support strength and further development impetus.

【Key words】Third Party Payment Third-party Payment Platform Online Payment E-commerce

- II -

重庆邮电大学本科毕业设计（论文）

目 录

前 言............................................................................................................................ 1 第一章

第三方支付概述 ................................................................................... 2

第一节 电子商务与电子支付相关概述 ................................................................ 2 一、电子商务定义 ................................................................................................ 2 二、电子支付定义和特点 .................................................................................... 3 三、电子支付分类 ................................................................................................ 3 第二节 第三方支付相关概述 ................................................................................ 4 一、第三方支付定义 ............................................................................................ 4 二、第三方支付实现原理 .................................................................................... 4 三、第三方支付特点 ............................................................................................ 5 第三节 第三方支付发展状况 ................................................................................ 6 一、我国第三方支付发展研究 ............................................................................ 6 二、第三方支付发展状况 .................................................................................... 7 本章小结 .................................................................................................................... 8 第二章

第三方支付平台流程 ........................................................................... 9

第一节 第三方支付平台定义和分类 .................................................................... 9 一、第三方支付平台定义 .................................................................................... 9 二、第三方支付平台分类 .................................................................................... 9 第二节 第三方支付平台的流程 .......................................................................... 10 一、第三方支付平台交易流程 .......................................................................... 10 二、第三方支付流程图 ...................................................................................... 11 第三节 第三方支付平台盈利模式 ...................................................................... 12 一、第三方支付平台的盈利模式 ...................................................................... 12

- III -

重庆邮电大学本科毕业设计（论文）

二、第三方支付平台的盈利现状 ...................................................................... 14 第四节 第三方支付平台产品 .............................................................................. 15 一、支付宝 .......................................................................................................... 15 二、财付通 .......................................................................................................... 16 三、PayPal............................................................................................................ 16 四、易宝支付 ...................................................................................................... 17 五、快钱 .............................................................................................................. 18 六、其他 .............................................................................................................. 18 本章小结 .................................................................................................................. 19 第三章

第三方支付平台关键技术 ................................................................. 20

第一节 第三方支付平台相关概念 ...................................................................... 20 一、支付网关 ...................................................................................................... 20 二、支付中介、支付安全与信用评价 .............................................................. 22 第二节 第三方支付平台关键技术 ...................................................................... 23 一、数据管理技术及其应用 .............................................................................. 23 二、加密技术及其应用 ...................................................................................... 25 三、PKI技术及其应用 ........................................................................................ 28 四、身份认证技术及其应用 .............................................................................. 30 五、安全控件技术及其应用 .............................................................................. 32 第三节 第三方支付平台关键技术实现 .............................................................. 33 一、数据管理技术的实现 .................................................................................. 33 二、加密技术的实现 .......................................................................................... 36 三、PKI技术的实现 ............................................................................................ 38 四、身份认证技术的实现 .................................................................................. 40 五、信用评价的实现 .......................................................................................... 41 第四节 移动第三方支付平台技术展望 .............................................................. 42 一、SIMpass技术 ................................................................................................ 42

- IV -

重庆邮电大学本科毕业设计（论文）

二、NFC技术 ....................................................................................................... 43 三、RF-SIM卡 ...................................................................................................... 43 本章小结 .................................................................................................................. 44 第四章

第三方支付平台前景展望 ................................................................. 45

第一节 第三方支付平台存在的问题 .................................................................. 45 一、交易安全问题 .............................................................................................. 45 二、公信力问题 .................................................................................................. 45 三、信用问题 ...................................................................................................... 46 四、在途资金问题 .............................................................................................. 46 五、盈利问题 ...................................................................................................... 46 六、相关法律问题 .............................................................................................. 47 第二节 第三方支付平台存在问题的解决方法 .................................................. 47 一、树立公信度，做好信用中介 ...................................................................... 47 二、完善法律支持体系 ...................................................................................... 48 三、加强第三方支付安全 .................................................................................. 48 四、开发新的盈利模式 ...................................................................................... 48 五、加强监管 ...................................................................................................... 49 六、行业自律 ...................................................................................................... 49 第三节 第三方支付平台的发展前景 .................................................................. 50 一、市场增长速度继续加快，成长空间逐渐扩大 .......................................... 50 二、逐渐向盈利靠近 .......................................................................................... 51 三、市场竞争激烈，挑战众多 .......................................................................... 51 本章小结 .................................................................................................................. 52 结 论.......................................................................................................................... 53 致 谢.......................................................................................................................... 54 参考文献...................................................................................................................... 55 附 录.......................................................................................................................... 56

- V -

重庆邮电大学本科毕业设计（论文）

一、英文原文： ...................................................................................................... 56 二、英文翻译： ...................................................................................................... 64

- VI -

重庆邮电大学本科毕业设计（论文）

前 言

随着网络经济时代的到来，电子商务已成为一种非常重要的商品交易模式。作为中间环节的网上支付，是电子商务流程中交易双方最为关心的问题之一。实际应用中电子支付方式较多，其中第三方支付平台以其安全、快捷等优势正逐渐发展成为目前电子商务中最为广泛采用的一种支付模式。

第三方支付平台是马云在2005年瑞士达沃斯世界经济论坛上首先提出来的，他在会议中表示，电子商务，首先应该是安全的电子商务，一个没有安全保证的电子商务环境，是没有真正的诚信和信任而言的。而要解决安全问题，就必须先从交易环节入手，彻底解决支付问题。

我国电子商务的发展以及网民规模的迅速增长，为第三方支付提供了空前的发展机遇。易观国际2009年底发布《中国第三方支付市场蓝皮书》显示，中国第三方支付市场经过10年的发展，年度交易规模已经接近6000亿，成为中国金融支付体系中重要的组成部分，也是中国互联网经济高速发展的底层支撑力量和进一步发展的推动力。初步预计2010年我国第三方在线支付市场交易规模将达到8860亿元。

第三方支付平台已经成为了电子商务这部发动机的主力助推器，它促进了电子商务的飞速发展，能更好地服务于人们的网络生活。电子商务中第三方支付平台关键技术有那些呢？这正是本课题需要研究的。第三方支付平台整合了电子商务中的资金流（银行），信息流（交易订单）和物流（物流公司），使三者有机的联系在一起，更好的完善了电子商务的诚信环境。第三方支付平台的应用，有效避免了交易构成中的退换货、诚信等方面的危险，为商家开展B2B、B2C、甚至C2C交易等电子商务服务和其它增值服务提供了完整的支持。

第三方支付平台为适应网上支付的实际需要，提供了较为安全、方便、快捷的网上支付通道，发挥了交易过程中的中介服务、资金转移安排的信用担保作用。第三方支付的发展促进了电子商务发展、降低了交易成本、方便社会公众支付和结算。通过研究本课题我们可以将课本上学到的知识与实际联系起来进行分析判断，更好地理解和掌握知识，将知识运用到实践当中。

了解了第三方支付平台的关键技术，可以更好地帮助我们认识第三方支付平台的优势和存在的一些问题，以便寻求更好更安全更高效地支付模式，促进电子商务的进一步发展。

- 1 -

重庆邮电大学本科毕业设计（论文）

第一章 第三方支付概述

第一节 电子商务与电子支付相关概述

一、电子商务定义

事实上，到目前为止还没有一个较为全面和权威、能够为大多数人接受的电子商务准确定义。一些专家学者、政府部门、行业协会和公司根据不同的出发点和立场，从不同的角度提出了各自的见解。

定义1：美国政府在其《全球电子商务纲要》中比较笼统地指出，电子商务是指通过Internet进行的各项商务活动，包括：广告、交易、支付、服务等活动，全球电子商务将会涉及全球各国。

定义2：世界贸易组织WTO认为，电子商务是通过电子方式进行货物和服务的生产、销售、买卖和传递。这一定义奠定了审查与贸易有关的电子商务的基础，也就是继承关贸GATT的多边贸易体系框架。

定义3：联合国经济合作和发展组织OECD认为，电子商务是通过数字通信进行的商品和服务的买卖以及资金的转账、包括E-mai、文件传输、传真、电视会议和远程计算机联网所能实现的全部功能。

定义4：电子商务通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、进入活动和相关的综合服务活动的一种新型的商业运营模式（根据百度百科中定义）。

电子商务，英文是Electronic Commerce，简称EC。广义上指使用各种电子工具从事商务或活动。电子商务的核心内容是商务，计算机处理和网络。其中，计算机处理是手段，网络是载体，商务是内容和目的。简单的说，电子商务就是指利用计算机网络进行的商务活动。[1]

- 2 -

重庆邮电大学本科毕业设计（论文）

二、电子支付定义和特点

所谓电子支付，是指从事电子商务交易的当事人，包括消费者、厂商和金融机构，通过信息网络，使用安全的信息传输手段，采用数字化方式进行的货币支付或资金流转。

根据我国社会经济发展的国情和习惯，电子支付可以这样定义：电子支付是指电子交易的当事人通过网络以电子数据形式进行的货币支付或资金流动。电子交易的当事人一般指消费者、商家和银行等。

虽然电子支付的产品和工具种类繁多，形式多样，但一般而言，它们还是具有以下一些特征：

①技术先进性。电子支付技术是通过数字流转来完成信息传输的，其各种支付方式都是采用数字化的方式进行款项支付的。

②多功能性。电子支付工具集储蓄、信贷和非现金结算等多种功能为一体，可用于生产、交换、分配和消费领域。

③方便、快捷、高效、经济。用户只要拥有一台可以上网的电子设备，便可足不出户，在极短的时间内完成整个支付过程。支付费用仅相当于传统支付的几分之一，甚至几百分之一。

④独立开放性。电子支付的工作环境是基于一个开放的系统平台(即因特网)之中，而传统支付则是在较为封闭的系统中运作。

⑤可信赖性。电子支付通常要经过银行专用网络，通过金融企业的专业品质保障工具的可靠性。

三、电子支付分类

电子支付的业务类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。

网上支付：网上支付是电子支付的一种形式。广义地讲，网上支付是以互联网为基础，利用银行所支持的某种数字金融工具，发生在购买者和销售者之间的金融交换，而实现从买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程，由此为电子商务服务和其它服务提供金融支持。

电话支付：电话支付是电子支付的一种线下实现形式，是指消费者使用电

- 3 -

重庆邮电大学本科毕业设计（论文）

话（固定电话、手机、小灵通）或其他类似电话的终端设备，通过银行系统就能从个人银行账户里直接完成付款的方式。

移动支付：移动支付（Mobile Payment，简称MPayment）是使用移动设备通过无线方式完成支付行为的一种新型的支付方式。移动支付所使用的移动终端可以是手机、PDA、移动PC等。[4]

第二节 第三方支付相关概述

一、第三方支付定义

所谓第三方支付，就是通过与产品所在国家以及国外各大银行签约、由具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。在通过第三方支付平台的交易中，买方选购商品后，使用第三方平台提供的账户进行货款支付，由第三方通知卖家货款到达、进行发货；买方检验物品后，就可以通知付款给卖家，第三方再将款项转至卖家账户。

二、第三方支付实现原理

除了网上银行、电子信用卡等手段之外还有一种方式也可以相对降低网络支付的风险，那就是正在迅速发展起来的利用第三方机构的支付模式及其支付流程，而这个第三方机构必须具有一定的诚信度。在实际的操作过程中这个第三方机构可以是发行信用卡的银行本身。在进行网络支付时，信用卡号以及密码的披露只在持卡人和银行之间转移，降低了因通过商家转移而导致的风险。

同样当第三方是除了银行以外的具有良好信誉和技术支持能力的某个机构时，支付也通过第三方在持卡人或者客户和银行之间进行。持卡人首先和第三方以替代银行帐号的某种电子数据的形式（例如邮件）传递帐户信息，避免了持卡人将银行信息直接透露给商家，另外也可以不必登录不同的网上银行界面，而取而代之的是每次登录时，都能看到相对熟悉和简单的第三方机构的界面。

- 4 -

重庆邮电大学本科毕业设计（论文）

第三方机构与各个主要银行之间又签订有关协议，使得第三方机构与银行可以进行某种形式的数据交换和相关信息确认。这样第三方机构就能实现在持卡人或消费者与各个银行，以及最终的收款人或者是商家之间建立一个支付的流程。

三、第三方支付特点

在第三方支付交易流程中，支付模式使商家看不到客户的信用卡信息，同时又避免了信用卡信息在网络上多次公开传输而导致信用卡信息被窃。

第三方支付具有许多显著的特点：

第一，第三方支付平台提供一系列的应用接口程序，将多种银行卡支付方式整合到一个界面上，负责交易结算中与银行的对接，使网上购物更加快捷、便利。消费者和商家不需要在不同的银行开设不同的账户，可以帮助消费者降低网上购物的成本，帮助商家降低运营成本；同时，还可以帮助银行节省网关开发费用，并为银行带来一定的潜在利润。

第二，第三方支付平台作为中介方，可以促成商家和银行的合作。对于商家第三方支付平台可以降低企业运营成本；对于银行，可以直接利用第三方的服务系统提供服务，帮助银行节省网关开发成本，利用第三方支付平台进行支付操作更加简单而易于接受。有了第三方支付平台，商家和客户之间的交涉由第三方来完成，使网上交易变得更加简单。

第三，第三方支付平台本身依附于大型的门户网站，且以与其合作的银行的信用作为信用依托，因此第三方支付平台能够较好地突破网上交易中的信用问题，有利于推动电子商务的快速发展。

第四，第三方支付平台能够提供增值服务，帮助商家网站解决实时交易查询和交易系统分析，提供方便及时的退款和止付服务。

第五，第三方支付平台可以对交易双方的交易进行详细的记录，从而防止交易双方对交易行为可能的抵赖以及为在后续交易中可能出现的纠纷问题提供相应的证据。

总之，第三方支付平台是当前所有可能的突破支付安全和交易信用双重问题中较理想的解决方案。 [8]

第三方支付也存在一定的局限性。第三方支付被广泛的应用，但由于我国法律的不完备，并且没有建立起国家的信用体制，第三方支付的安全得不到很

- 5 -

重庆邮电大学本科毕业设计（论文）

好的保证，还处于非常浅显的萌芽状态，支付方式也面临挑战。第三方支付还存在着很多不足，主要表现在：首先，第三方支付还不适宜在B2B中进行；其次，交易中出现纠纷买卖双方往往各执一词，相关部门取证困难；最后，支付平台流程有漏洞，不可避免的出现人为耍赖，不讲信用的情况。另外有些第三方支付平台存在安全漏洞，这些不足已成为第三方支付发展道路上必须要完善和改进的地方。

第三节 第三方支付发展状况

一、我国第三方支付发展研究

中国信息化、互联网和新媒体以及电信运营行业规模最大的中国科技市场领先的研究和咨询机构易观国际Enfodesk将中国第三方支付市场的发展总结为如下三个阶段，每个阶段出现一类新的模式推动市场发展，而原有的模式也继续存留在市场中：

第一阶段—服务于交易的支付网关模式（1999至今）

支付网关的模式即最基本的第三方在线支付模式，第三方支付厂商是各家商户和银行之间连接的“中转站”，能够有效的提升电子支付连接的效率，并从逻辑架构上降低搭建支付系统的成本。之所称其的价值为“服务于交易”，是指支付网关模式是服务于已经达成交易的资金支付，即交易是前提，一般第三方支付厂商在交易流程中几乎没有体现。支付网关模式是最普遍的第三方在线支付模式，所有第三方在线支付厂商都提供该模式，但由于其属于被动响应的服务方式，因此其发展速度受限于应用市场的发展程度。至今该模式仍在广泛使用。

第二阶段—促成交易的信用中介模式（2004年至今）

易观国际的研究认为，真正推动中国第三方支付市场发展的模式，是2004年开始出现的信用中介模式，该模式由支付宝首创，支付宝也快速成为第三方支付市场的绝对领先者。信用中介模式的价值在于促成交易，中国互联网交易信用体系一直不健全，而信用中介的模式能够通过第三方介入的模式有效解决

- 6 -

重庆邮电大学本科毕业设计（论文）

在线交易中的信任问题，真正实现促成交易。随着这一瓶颈的突破，中国网上零售市场得以飞速发展，而信用中介模式的第三方在线支付方式也迅速成为主流，也培养了最广泛的使用人群。信用中介模式的使用前提是用户需要注册一个虚拟账户，虚拟账户的出现也大大提升了用户在线支付操作的便捷性，成为了中国第三方支付市场用户认知度最高的支付方式。除了创立该模式的支付宝外，腾讯旗下的财付通也在2005年底以信用中介模式进入第三方支付市场。在中国第三方支付市场，除支付宝和财付通外，其他的厂商由于没有理想的商户平台，均没有成熟的信用支付模式应用。

第三阶段—创造交易的便捷支付工具模式（2009年至今）

便捷支付工具模式的重点在于工具，即支付账户或者电子钱包成为了用户经常使用的具有工具属性的应用之一。便捷支付工具模式有两个方面的体现，一是基于互联网的支付工具，支付宝在2008年注册账户达到1亿、2009年中达到2亿之后，已经具备了中国互联网基本应用的属性，即与QQ等IM软件、电子邮箱一样成为中国网民上网必用的应用之一，而支付宝面向个人用户集成的公共事业缴费、信用卡还款、转账收款、电信缴费等功能则是用户主动使用支付宝的重要动因，也由此具有创造交易的价值；便捷支付工具的另一个体现则是基于手机客户端的移动支付业务，随着中国3G时代的逐步深入，手机支付业务将会日趋成熟，支付应用与终端用户绑定得更加紧密，工具属性也将更加明确。支付宝在2009年下半年相继推出了面向主流智能手机操作系统的手机支付客户端，将是未来手机支付市场的重要参与者。易观国际的2010年十大预测之一即是移动支付市场将首先由第三方在线支付厂商的个人支付账户推动发展。

综上所述，易观国际的研究认为，中国第三方支付市场的发展已经经过了前两类模式的加速助推，虽然现阶段信用中介以及支付网关模式也仍是市场份额最大的模式，但未来便捷支付工具的模式将是该市场加速发展的最强推动力。[2]

二、第三方支付发展状况

易观国际发布的《中国第三方支付市场蓝皮书》显示，2009年我国第三方支付总额达到5550.3亿元，同比增长达到135.6%，2010年第三方支付规模有望超过1万亿元。随着竞争的加剧，越来越多的第三方支付运营商将目标瞄

- 7 -

重庆邮电大学本科毕业设计（论文）

准了细分市场，差异化发展已经成为趋势。

2004年开始，支付宝、财付通等一批推行“免费”支付的企业加入竞争，整个第三方支付行业进入了新阶段。借助淘宝和腾讯等商户平台，支付企业的作用从纯粹的“网关代理商”转变为促成交易的“信用中介”，通过第三方介入有效解决了互联网在线交易中的信任问题。

网购市场和第三方支付在互为推动下共同发展。从2005年起，第三方支付市场规模迅速扩大，每年增长幅度都在100%以上。2005年中国第三方支付市场规模为163亿元，到2009年猛增至接近6000亿元。

易观国际预测，第三方支付市场中的最大细分市场——互联网在线支付市场规模在2010年到2012年有望分别达到8860亿元、1.25万亿元和1.67万亿元。整个第三方支付市场规模在今年内有望突破1万亿。第三方支付交易额快速增长，得益于以下两个因素：一是网上支付安全性和易用性的提高，使得第三方支付受到越来越多的网民青睐；二是第三方支付运营商不断拓展应用行业，使得网上支付的应用领域延伸至日常生活的各个方面。

第三方支付在各领域的渗透率逐渐提高，促交易规模稳定增长；支付宝、财付通仍占据市场领先地位，运营商差异化发展是必然趋势。随着网上支付渗透到居民日常生活的各个领域以及企业结算的各个环节，第三方网上支付市场将继续保持高速增长的势态。第三方支付企业的竞争策略将从提供网关向提供整体解决方案的行业深耕策略转变。

本章小结

本章主要介绍了第三方支付的基本概念和发展状况，电子商务的发展促进了第三方支付的不断发展，第三方支付已经成为电子商务中最为重要的支付手段，我国的第三方支付也发展迅速，支付宝就是最为典型的代表，第三方支付的应用也推进了电子商务的发展，两者相互促进，相互影响。

- 8 -

重庆邮电大学本科毕业设计（论文）

第二章 第三方支付平台流程

第一节 第三方支付平台定义和分类

一、第三方支付平台定义

第三方支付平台是指通过与国内外各大银行签约、由具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。由第三方平台作为中介，在网上交易的商家和消费者之间作一个信用的中转，通过改造支付流程来约束双方的行为，从而在一定程度上缓解彼此对双方信用的猜疑，增加对网上购物的可信度。

除了信用中介，第三方支付平台还承担安全保障和技术支持的作用，与银行的交易接口直接对接，支持多家银行的多卡种支付，采用国际先进SSLl28位加密模式，在银行、消费者和商家之间传输和存储资料。同时还根据不同用户的需要对界面、功能等进行调整，增加个性化和人性化的特征。

二、第三方支付平台分类

第三方支付平台主要分为两大类： ①银行网关代理支付

第三方支付厂商与各大银行签订代理网关的合同，通过银行提供的接口与本企业的系统进行止缝连接，然后将集合了众多银行支付网失的支付系统平台提供给商户使用。支付网关是连接银行网络与互联网的一组服务器，主要作用是完成两者之间的通信、协议转换和进行数据加密、解密，以保护银行内部的安全。

银行网关代理支付服务与银行网关支付服务的区别在于前者的直接提供者是第三方支付企业，而后者则是银行本身。[11]

②账户支付

账户支付通常有两种，一种是E—mai账户支付，一种是ID账户支付，其

- 9 -

重庆邮电大学本科毕业设计（论文）

中，E-mail账户支付较为常见。使用E—mail账户支付的产品很多．比如PayPal、支付宝、快钱等都是基于用户 E—mail进行支付的方式。E—mail支付特点是不需要频繁输入银行卡的密码和账号，因此比较安全，但是抵抗“冒牌”网站和邮件欺诈的能力比较低，存在一定安全隐患。[11]

使用E—mail支付需要经历两个过程：充值过程和实际支付过程。完成实际支付的前提是账户中必须有足够的资金，当资金余额不足以完成支付时，可以向账户中充值以完成支付。通常，充值过程与实际支付过程是相对独立的，完成充值的用户不一定马上就进行支付，而进行支付也不需要每次都预先充值。

使用E—mail账户支付可以避免银行卡号在互联网中传输的危险。E—mail账户具有类似防火墙的特性，它在银行卡账号和互联网之间形成了一个隔离层。支付服务器有时候会发送邮件通知用户，这些自动邮件的存在导致了邮件欺诈的产生，一些不法分子冒充支付服务商发送邮件给用户，骗取用户的银行卡账号，这种犯罪越来越常见。邮件账户已经不能更好地保护银行卡账号，在这种情况下，ID支付产生了。ID支付常常与邮件账户支付配合使用，在使用邮件账户注册的同时，客户可以获得一个ID，需要支付时无论使用ID还是邮件账户都可以进行支付。ID账户支付在E—mail账户与互联网之间形成了隔离层，支付时不再需要输入E—mail账户，在一定程度上可以避免邮件诈骗。

第二节 第三方支付平台的流程

一、第三方支付平台交易流程

在通过第三方支付平台的交易中，买方选购商品后，使用第三方支付平台提供的账户进行货款支付，由第三方通知卖家货款到达、进行发货；买方检验物品后，就可以通知付款给卖家，第三方再将款项转至卖家账户。

第三方支付模式使商家看不到客户的银行卡等信息，同时又避免了银行卡等信息在网络上多次公开传输而导致的相关信息被窃事件，以B2C交易为例的第三方支付模式的交流流程如下：

①客户在电子商务网站上选购商品，最后决定购买，买卖双方达成交易意

- 10 -

重庆邮电大学本科毕业设计（论文）

向；

②客户选择利用第三方支付平台作为交易中介，通过第三方支付平台将货款划到第三方账户；

③第三方支付平台将客户已经付款的消息通知商家，并要求商家在规定时间内发货；

④商家收到通知后按照订单发货，并在网站上做相应的记录，消费者可以在网站上查看自己所购商品的状态。如果商家一直没有发货，则第三方支付平台会通知顾客交易失败，并询问是将货款划回其账户还是暂存在支付平台；

⑤客户收到货物并验证后通知第三方支付平台。客户如果对商品不满意，或者与商家承诺有出入，可通知第三方支付平台拒付货款并将货物退回。

⑥客户满意，第三方支付平台将其账户上的货款划入商家账户中，交易完成；客户不满意，第三方支付平台确认商家收到货物后，将该商品货款划回消费者账户或暂存在第三方账户中等待下一次交易的支付。

二、第三方支付流程图

第三方支付流程图如下：

- 11 -

重庆邮电大学本科毕业设计（论文）

图2.1 第三方支付流程图

第三节 第三方支付平台盈利模式

一、第三方支付平台的盈利模式

第三方支付平台的盈利模式主要有： ①收取买方或卖方的手续费或佣金

- 12 -

重庆邮电大学本科毕业设计（论文）

收取交易中介费历来是电子商务中介最重要的收入来源之一，第三方支付机构也不例外，其收费的依据是交易金额的一定比例，有时也包括门槛费，即注册费用等。

国际上较成熟的电子商务第三方支付工具只有美国 eBay 及其Paypal 一种模式，但是把这种模式在中国的市场上不是很成功。2003 年7 月之前，第三方支付中介服务都是收费的，而随后新兴机构“淘宝网”和第三方支付中介“支付宝”推出完全免费的策略，使得国内的第三方中介支付服务变成了“免费的午餐”，随后各个第三方支付工具均推出免费或减少收费的方案。事实证明，第三方支付服务收费是可行的。但目前的市场条件下，由于第三方支付机构间的不正当竞争关系导致了收费还不能实现。[10]

②沉淀资金的利息

支付工具的业务属性决定了在交易期间交易资金有一段时间是存放在第三方支付机构银行账户上的，其规模巨大。一笔交易的资金停留时间大概在7-8 天之间，那么一个三百亿元年交易额的支付工具平均沉淀资金在6-10 亿元之间。若银行按照协议利率支付利息，则随着第三方支付工具交易规模的不断扩大，利息可以成为稳定而可靠的收入来源。[10]

从长远来看，利息收入的规模会不断扩大，也可以保证支付工具与金融机构的良好关系。但是在现阶段，这种收入还微乎其微。以“支付宝”为例，其沉淀资金的利息只有千万级别，远远没有预期想象的那么多。沉淀资金的账户受到中国银监会的监管，这也限制了其他高回报的投资途径。在利率和监管没有松动前，沉淀资金不会给第三方支付机构带来更高的收入。[6]

③广告收入

广告与互联网是相伴相生的，所有网站或多或少都会有广告的存在，特别是在搜索网站和门户网站上。广告收入也成为了支撑网络经济不断发展的动力。与广告收入高低相关的是用户数和在线浏览量，用户数目越多，每天在线浏览量越大，则广告的影响力越大，收费也越高，这也充分体现了互联网“注意力经济”的特征。

随着第三方支付工具用户量不断增加，浏览量也逐年攀升，使得通过出租网页上广告位置，为客户提供排他性推荐并收取费用成为了可能。效仿门户网站的做法，进行广告位置拍卖并对网站的搜索排名进行拍卖，可以带来可观的收入，成为第三方支付机构的重要收入来源。但是，这项收入尚不能与本身在外广告投入费用相比。例如，eBay 公司中国易趣网一年的广告投入量就高达2000 万美元，成为各大门户网站和搜索引擎的广告标王，在竞争激烈的第三

- 13 -

重庆邮电大学本科毕业设计（论文）

方支付市场上，广告收入不能完全保证盈亏相抵，至少在现阶段如此。[10]

④新开发的增值服务

增值服务的核心内容是根据客户需要，为客户提供的超出常规服务范围的服务，或者采用超出常规的服务方法提供的服务。现阶段这方面的服务较少，专业性也不是不强，各家第三方支付机构都在这一块投入人力和资金，推进增值服务的发展。

二、第三方支付平台的盈利现状

根据易观国际Enfodesk产业数据库发布的《2009年第4季度中国第三方支付市场季度监测》数据显示，2009年第4季度中国第三方支付市场交易规模达到1849.1亿元，环比增长19%，同比增长高达117.1%。2009年全年中国第三方支付交易规模近6000亿元，达到5808.4亿元。 [2]

2009年第4季度中国第三方支付市场交易规模持续高速增长，环比增幅达19%，除客户活跃程度不断提高的因素之外，部分第三方支付厂商在公共事业缴费、航空机票、保险基金等领域的所推出的新服务也为其交易规模的扩大起到了积极的推动作用。

但是，目前国内几乎所有的第三方支付机构比如支付宝、财付通、易宝支付等等，都没有实现盈利，还处于烧钱的阶段。目前第三方支付与银行间的合作模式是，和银行确定一个基本的手续费率，缴给银行。然后，第三方支付平台在这个费率上加上自己的毛利润，再向客户收取费用。但实际上，目前C2C的第三方支付，为了拉拢客户，只向客户收取极低的手续费，以低费率或零费率吸引客户，甚至会为商户贴钱做市场推广。因此，他们付出的代价就是：为了吸引客户商家，而不惜赔本做买卖。业内人士对此分析说，目前很多支付公司的交易额并不大，假如一个月有几十万的交易额，一个月也就亏几千块钱，在境内外“风险资金\的支持下，目前很多公司还是“可以承受的”。做B2B或B2C的第三方支付，又是另一番景象：收费始终居高不下使一些专业类B2C网站应用者苦笑不得。不用网上支付，出纳忙得团团转；用了网上支付，支付费用的支出会把原有的利润减少50%。第三方支付平台使用者希望能进一步降低费用，以推进网上支付的普及。而第三方支付公司则指出了第三方支付平台在收费上的尴尬：“款进来，款出来，实际上是把一项业务分为两笔。在这种情况下，银行已经收取了一定的费用，第三方支付平台的生存空间非常有限”。

- 14 -

重庆邮电大学本科毕业设计（论文）

为了未来的生存与发展，第三方支付还得对其商业模式、盈利模式进行深入而切合实际的探索，找出一条适合中国国情的，既能让客户满意，又能提高自身效益的经营之道。毕竟，一个长期不能盈利而缺乏后劲的企业，在市场上是没有任何立足之地的，最后的结局只能是自生自灭。

第四节 第三方支付平台产品

一、支付宝

支付宝是国内领先的独立第三方支付平台，由阿里巴巴集团创办。支付宝致力于为中国电子商务提供“简单、安全、快速”的在线支付解决方案。

支付宝公司从2004年建立开始，就始终以“信任”作为产品和服务的核心。不仅从产品上确保用户在线支付的安全，同时让用户通过支付宝在网络间建立起相互的信任，为建立纯净的互联网环境迈出了非常有意义的一步。在六年的时间内，用户覆盖了整个C2C、B2C及B2B领域。截止到2010年3月14日，支付宝注册用户突破3亿，截止到2009年12月，支付宝日交易额超过12亿，日交易笔数达到500万笔。

支付宝创新的产品技术、独特的理念及庞大的用户群吸引越来越多的互联网商家主动选择支付宝作为其在线支付体系。支付宝品牌因此赢得了用户和业界的一致好评。支付宝被评为2005年网上支付最佳人气奖、2005年中国最具创造力产 品、2006年用户安全使用奖；同时支付宝也在2005年中国互联网产业调查中获得“电子支付”第一名，名列中国互联网产业品牌50强以及2005年中国最具创造力企业称号。2006年9月，在中国质量协会用户委员会及计世资讯主办的“2006年中国IT用户满意度调查”中，支付宝被评为“用户最信赖互联网支付平台”。另外，支付宝还获得“2006卓越表现奖之创新产品奖”和“2006年中国IT十佳市场策划”等多项殊荣。 [13]

- 15 -

重庆邮电大学本科毕业设计（论文）

二、财付通

财付通是腾讯公司创办的中国领先的在线支付平台，致力于为互联网用户和企业提供安全、便捷、专业的在线支付服务。2005年9月，腾讯公司正式推出财付通。财付通与拍拍网、腾讯QQ有着很好的融合，按交易额来算，财付通排名第二，份额为20%，仅次于阿里巴巴公司的支付宝。

个人用户通过注册财付通后，即可在拍拍网及40多万家购物网站轻松进行购物。财付通支持全国各大银行的网银支付，用户也可以先充值到财付通，享受更加便捷的财付通余额支付体验。财付通的提现、收款、付款等配套账户功能，让资金使用更灵活。财付通还为广大用户提供了手机充值、游戏充值、信用卡还款、机票专区等特色便民服务，让生活更方便。

针对企业用户，财付通构建了全新的综合支付平台，业务覆盖B2B、B2C和C2C各领域，提供卓越的网上支付及清算服务。还提供了安全可靠的支付清算服务和极富特色的QQ营销资源支持，与广大商户共享3亿腾讯用户资源。

专业的在线支付服务使财付通获得了业界和用户的一致热可，并先后荣膺2006年电子支付平台十佳奖、2006年最佳便捷支付奖、2006年中国电子支付最具增长潜力平台奖和2007年最具竞争力电子支付企业奖等奖项，并于2007年首创获得“国家电子商务专项基金”资金支持。[14]

三、PayPal

PayPal是eBay旗下的一家公司，致力于让个人或企业通过电子邮件，安全、简单、便捷地实现在线付款和收款。PayPal账户是PayPal公司推出的最安全的网络电子账户，使用它可有效降低网络欺诈的发生。PayPal账户所集成的高级管理功能，使您能轻松掌控每一笔交易详情。目前，在跨国交易中超过90%的卖家和超过85%的买家认可并正在使用PayPal电子支付业务。

PayPal是倍受全球亿万用户追捧的国际贸易支付工具，即时支付，即时到账，全中文操作界面，能通过中国的本地银行轻松提现，为我们解决外贸支付难题，帮助我们成功开拓外贸业务，决胜全球。注册PayPal后就可立即开始接受信用卡付款。作为世界第一的在线付款服务，PayPal是我们向全世界超过1.5亿的用户敞开大门的最快捷的方式。最大的好处是，注册完全免费！

PayPal在中国通过两个独立运作的网站提供在线支付服务——PayPal中

- 16 -

重庆邮电大学本科毕业设计（论文）

国(www.PayPal.com/c2)和贝宝(www.PayPal.com/cn)。

PayPal中国：与PayPal全球支付平台相连，可在190个国家和地区进行交易；接收美元、加元、英镑、澳元、日元等23种国际货币的付款；支持国际信用卡，可在支持PayPal付款的任意网站上轻松消费；在接收付款时，需要支付少许费用。

贝宝：不与PayPal全球平台相连；只能用于向中国用户付款和收款；仅在中国地区受理人民币；业务目前不收费。

四、易宝支付

易宝支付致力于成为世界一流的电子支付应用和服务提供商，专注于金融增值服务领域，创新并推广多元化、低成本、安全有效的支付服务。在立足于网上支付的同时，易宝支付不断创新，将互联网、手机、固定电话整合在一个平台上，继短信支付、手机充值之后，首家推出易宝支付电话支付业务，真正实现离线支付，为更多传统行业搭建了电子支付的高速公路。

利用其IT技术方面的强大优势，深入分析交易的每一个环节，去设计与创造推进交易发生的多元化支付机制，消除交易环节中的支付障碍，促进交易大量而顺利地发生。从前台网站到后台数据库，从大型硬件设备到各种软件，易宝支付支付平台基于IBM先进的技术环境，充分保障安全而高效的运转。同时得到了各大商业银行的全力支持，无论是电话支付、在线支付还是短信支付，透过易宝支付，银行可以和更多的消费者和广大商家在不同的支付终端相遇，为更多的需求提供有针对性的金融服务。

易扩展的支付、易保障的支付、易接入的支付。由于用户的重要数据只存储在用户开户银行的后台系统中，任何第三方无法窃取，因此为用户提供了充分保障。从接入易宝支付到使用商家管理系统，无需商家任何开发，零门槛自助式接入，流程简单易学、即接即用。凡是成为易宝支付的客户，都可以自动成为易宝支付财富俱乐部的会员，享受易宝支付提供的各种增值服务、互动营销推广以及各种丰富多彩的线下活动，拓展商务合作关系，发展商业合作伙伴，达到多赢的目的。

- 17 -

重庆邮电大学本科毕业设计（论文）

五、快钱

快钱是国内领先的独立第三方支付企业，旨在为各类企业及个人提供安全、便捷和保密的综合电子支付服务。目前，快钱是支付产品最丰富、覆盖人群最广泛的电子支付企业，其推出的支付产品包括但不限于人民币支付，外卡支付，神州行卡支付，联通充值卡支付，VPOS支付等众多支付产品，支持互联网、手机、电话和 POS等多种终端，满足各类企业和个人的不同支付需求。截至2010年02月28日，快钱已拥有5700万注册用户和逾41万商业合作伙伴，并荣获中国信息安全产品测评认证中心颁发的“支付清算系统安全技术保障级一级”认证证书和国际PCI安全认证。

快钱总部位于上海，在北京、广州等地设有分公司。公司拥有由互联网行业资深创业者、优秀金融界人士和顶尖技术人员所组成的国际化管理团队，在产品开发、技术创新、市场开拓、企业管理和资本运作等方面都具有丰富的经验。出众的执行力和快速的发展使得快钱获得了硅谷大型风险投资基金的风险投资，并于2006年荣获第三届中国国际金融论坛十佳中国成长金融机构殊荣。

快钱产品和服务的高度安全性以及严格的风险控制体系深受业内专家和众多企业及消费者的好评，快钱电子支付平台采用了国际上最先进的应用服务器和数据库系统，支付信息的传输采用了128位的SSL加密算法，整套安全体系完成了PCI安全标准委员会PCI-SSC的PCI数据安全标准（PCI DSS：Payment Card Industry Data Security Standard） V1.2的合规性评估，而美国Oracle公司、VeriSign数字安全公司和McAfee网络安全公司公司每天为快钱提供全面的安全服务，确保了数以亿计交易资金往来的安全。[15]

六、其他

①百付宝 “百付宝”是 由百度在2008年9月25日晚8点正式推出的C2C支付平台。北京百付宝科技有限公司由全球最大的中文搜索引擎公司百度所创办，是中国领先的在线支付应用和服务平台。百付宝以建立“简单可依赖”的在线支付信用体系为己任，其创新的产品技术、丰富的应用功能、为用户量身定做的交易体验流程，为互联网用户和企业提供安全、可依赖的在线支付服务。百付宝提供卓越的网上支付和清算服务，为用户提供了在线充值、交易管理、在线支付、提现、帐户提醒等丰富的功能，特有的双重密码设置和安全中

- 18 -

重庆邮电大学本科毕业设计（论文）

心的实时监控功能更是给百付宝帐户安全提供了双重保障。

②环迅支付 上海环迅电子商务有限公司成立于2000年，是国内最早的支付公司之一。至今，深受数千万持卡人信赖，月交易额不断攀升，成为国内支付领域的领跑者。环迅支付集成了银行卡支付、IPS账户支付及电话支付等几大主流功能，并自主研发了包括酒店预定通、票务通等新产品，为消费者、商户、企业和金融机构提供全方位、立体化的优质服务。 2008年，环迅支付荣获“最佳第三方支付奖”，同年，环迅支付通过国际支付卡最高安全认证——PCI-DSS认证，11月，环迅支付荣获“中国银行业最佳第三方支付平台奖”环迅支付总部位于上海，在北京、深圳和香港等地都设有分支机构。

③汇付天下 中国电子支付最具创新的平台“汇付天下”宣称打造中国一流的专业电子支付平台，建立中国领先的网银集成网络，是汇付天下的理想和目标！随着现代生活节奏的加快，社会公众之间的支付交易越来越频繁。当人们逐渐习惯了电子提款机与刷卡消费的便捷与乐趣的时候，网上支付的模式与安全问题，以及跨银行间的转帐、汇款等问题又开始困扰企业与个人用户。如何利用网络化社会环境下的先进技术，来解决支付行业中不断涌现出的种种问题。“汇付天下“利用领先的技术为企业和个人用户提供了科学的快捷安全的解决方案，推出了网上支付、跨行汇款、个人理财等产品及应用。

④网易宝 “网易宝”是网易公司为方便网易用户网上交易推出的在线支付与代收平台，“网易宝”提供多种方便的在线充值、交易管理、在线支付、帐户管理、代收、提现等服务。有了“网易宝”，可以轻松消费网易公司提供的各种产品（点卡、游戏周边、交友、印像派等），或者在网易公司官方的游戏装备交易平台“藏宝阁”上和第三方进行交易。

本章小结

本章主要介绍了第三方支付平台的流程，以及第三方支付平台盈利模式和产品，流程需要标准化，第三方支付平台盈利模式比较单一，产品差异化较小，各个平台之间竞争激烈，提供更优质和更专业的服务是第三方支付平台产品的发展方向。

- 19 -

重庆邮电大学本科毕业设计（论文）

第三章 第三方支付平台关键技术

第一节 第三方支付平台相关概念

一、支付网关

1、支付网关概念

支付网关（Payment Gateway）是银行金融网络系统和Internet网络之间的接口，是由银行操作的将Internet上传输的数据转换为金融机构内部数据的一组服务器设备，或由指派的第三方处理商家支付信息和顾客的支付指令。

支付网关是连接银行专用网络与Internet的一组服务器，是金融专用网与公用网之间的接口，也是金融网的安全屏障与关口，是网上支付的重要工具，也是面向银行的电子支付服务工具。同时，支付网关也是银行内部网与企业内部网之间的网关。

支付网关可确保交易在Internet用户和交易处理商之间安全、无缝的传递，并且无需对原有主机系统进行修改。它可以处理所有Internet支付协议，Internet安全协议，交易交换，信息及协议的转换以及本地授权和结算处理。另外，它还可以通过设置来满足特定交易处理系统的要求。离开了支付网关，网络银行的电子支付功能也就无法实现。

2、支付网关作用

支付网关的作用：支付网关是隔离银行系统和 Internet 的网关，起着安全屏障的作用。支付网关的主要作用是完成两者之间的数据通信和协议转换，进行数据的加解密，保证Internet 与银行，商户之间消息的安全，无缝的传递，支持各种Internet支付协议和可扩展协议，交易交换，协议转换以及本地授权和结算结果的处理。支付网关就是位于Internet和银行内部业务处理系统之间的一个系统，它专门负责处理来自Internet上的支付信息。支付网关负责将从Internet接受到的信息转换成银行内部业务处理系统能够识别的信息，送到目标银行的业务处理系统进行处理；然后接受银行内部业务处理系统返回的信息，将其转换成在Internet上传输的标准格式，传送给消费者或商户。。它的作

- 20 -

重庆邮电大学本科毕业设计（论文）

用和位置如下图所示：

图3.1 支付网关位置图

3、支付网关的功能

利用支付网关，可以很容易地实现支付协议消息的转换，并可以对大量的Internet的商户服务器的交易进行管理。其功能主要有：将由Internet 上传来的数据包进行解密，并按照银行系统内部通信系统的协议格式将数据重新打包；接受银行系统内部反馈的回应消息，将数据转换为Internet 传送的数据格式，并对其进行加密。即支付网关主要完成通信、协议转换和数据加解密功能，以保护银行内部网络。

具体的说，基于上述基本功能，收单银行使用支付网关还可以实现以下功能：配置和安装Internet 网络支付能力；保护现有主机系统，采用SET 协议模式后，可以确保系统的安全性；提供完整的商户电子支付功能。

支付网关具有以下基本功能： a、出入信息的智能化路由器；

b、保护用于解密的私有密钥的安全库房； c、对商家认证的管理和分配中心； d、验证持卡人和商家的认证证书。

具体的说，银行使用支付网关可以实现一下功能： a、配置和安装Internet支付能力； b、避免对现有主机系统的修改；

c、采用直观的用户图形接口进行系统管理；

d、适应诸如扣帐卡、电子支票、电子现金以及微电子支付等电子支付手段；

e、 提供完整的商户支付处理功能，包括授权、数据捕获和结算及对帐等； f、 通过对Internet上交易的报告和跟踪，对网上活动进行监视； g、通过采用RSA公共密钥加密和SET协议，可以确保网络交易的安全

- 21 -

重庆邮电大学本科毕业设计（论文）

性；

h、使Internet的支付处理过程与当前支付处理商的业务模式相符，确保商户信息管理上的一致性，并为支付处理商进入Internet交易处理提供机会。

二、支付中介、支付安全与信用评价

支付中介，就是一个为买卖双方提供推荐介绍服务，提供担保，促成买卖双方是交易的机构。

支付安全，就是支付过程要安全可靠，确保信息正确，避免信息泄露。 信用评价也称为信用评估、信用评级、资信评估、资信评级，至少包括以下几种解释：

①信用评价即由专业的机构或部门，根据“公正、客观、科学”原则，按照一定的方法和程序，在对企业进行全面了解、考察调研和分析的基础上，作出有关其信用行为的可靠性、安全性程度的估量，并以专用符号或简单的文字形式来表达的一种管理活动。

②信用评价是专业的机构采用公正、科学、权威的资信考核标准，对企业及金融机构的基本素质、经营水平、财务状况、盈利能力、管理水平和发展前景等方面进行综合分析和评价，测定企业及金融机构履行各种经济契约的能力和可信任程度，并以国际通用符号标明信用等级，向社会公告。

③信用评价是由信用服务机构根据规范的指标体系和科学的评估方法，以客观公正的立场，对被评估对象履行经济责任所承担的能力及其可信程度进行评价，并以一定的符号表示其信用等级的一种有组织的活动。

④信用评价就是对各类市场参与主体履行相应的经济契约的能力及其可信程度所进行的一种综合分析和测定，是市场经济不可缺少的一种中介服务。

因此，信用评价是由专门机构或者个人根据规范的指标体系和科学的评估方法，以客观公正的立场，对各类市场的参与者（企业、金融机构和社会组织）及各类金融工具的发行主体履行各类经济承诺的能力及可信任程度进行综合评价，并以一定的符号表示其信用等级的活动，它是建立在定量基础上的定性判断。

- 22 -

重庆邮电大学本科毕业设计（论文）

第二节 第三方支付平台关键技术

一、数据管理技术及其应用

1、数据管理简介

数据管理是利用计算机硬件和软件技术对数据进行有效的收集、存储、处理和应用的过程。其目的在于充分有效地发挥数据的作用。实现数据有效管理的关键是数据组织。数据管理技术是指对数据进行分类、组织、编码、存储、检索和维护的技术。数据管理技术提供了第三方支付平台中各种数据的存储和管理，为电子商务提供决策支持。第三方支付平台要分别建立客户、商家，以及交易信息等相关的数据库。

随着计算机技术的发展，数据管理经历了人工管理、文件系统、数据库系统、高级数据库技术四个发展阶段。在数据库技术中所建立的数据结构，更充分地描述了数据间的内在联系，便于数据修改、更新与扩充，同时保证了数据的独立性、可靠性、安全性与完整性，减少了数据冗余，故提高了数据共享程度及数据管理效率。

2、数据库技术基本的理论

(1)、数据和信息

数据就是为反映客观世界而记录下来的可以鉴别的符号，可以是数字、字符、图形、图像、声音等。信息就是指经过处理的数据，能解决或减少人们对客观事物认识的不确定性。数据只反映客观事物的性质，数据是信息的载体，是表达和传递信息的工具。

(2)、数据模型

数据模型是对现实世界中的数据和信息进行抽象、表示和处理的工具，是对现实世界的模拟，也是数据库系统中用于提供信息表示和操作手段的形式构架，通常由数据结构和数据操作。主要的数据模型有：层次模型、网状模型和关系模型。

3、数据管理技术实际应用

数据管理流程主要是：

①用户注册，先建立一个数据库，名称一般为用户名，随之为此数据库添加默认的表。每张表都以用户名为主键。

- 23 -

重庆邮电大学本科毕业设计（论文）

②当用户注册完毕，完善资料时，在用户信息资料表中添加入相应的数据并保存，当用户再次修改时删除当前的数据插入修改后的数据，添加新的资料时，只需要插入到对应的表中即可。

③当用户进行交易时，会在多个数据表中进行操作，用户的交易相关信息都会插入到数据表中，并且会一直保存，相对应一些数据会因此发生改变，比如积分、可用余额等等。当用户修改一些信息时，此时会根据信息的不同，一些信息会删除当前的记录插入修改后的信息，但是另一些信息必须要和原信息储存在一起，不能将原信息删除。

④当用户为账户充值时，此时会更新账户的余额信息，账户的可用余额信息也会发生改变。

⑤当用户申请一些特殊服务时，后台就会在用户相应的表中新建表记录此信息。

第三方支付平台的后台为用户建立一个数据表，用户可以方便地查询自己的相关信息。以支付宝为例：

图3.2 支付宝账户图

在图中的蓝色字体的“我的账户”、“买入交易”、“卖出交易”等单击进入后都可以看到相关的内容，这些内容都是通过后台的数据库连接为用户提供相关信息的查询。

数据管理技术是一项基本的技术，第三方支付中几乎每一个方面都要涉及到数据管理，数据库储存了海量的信息，为第三方支付平台提供服务提供了便利的条件，是第三方支付中应用最为广泛的技术。

- 24 -

重庆邮电大学本科毕业设计（论文）

二、加密技术及其应用

1、加密技术简介

由于在第三方支付平台中，安全性是最为重要的一个因素，因而必须采用保证系统的安全性技术。为了第三方支付的安全性，需要考虑的主要安全因素有：有效性；机密性；完整性；可靠性（不可抵赖和鉴别性）；审查能力。

加密技术是第三方支付采取的主要安全保密措施，是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密技术包括两个元素：算法和密钥。算法是将普通的文本（或者可以理解的信息）与一串数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DES，Data Encryption Standard）算法为典型代表，非对称加密通常以RSA（Rivest Shamir Ad1eman）算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。

(1)、对称加密技术

对称加密技术对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准（DES），另一个对称密钥加密系统是国际数据加密算法（IDEA），它比DES的加密性好，而且对计算机功能要求也没有那么高。IDEA加密标准由PGP（Pretty Good Privacy）系统使用。

在这种技术中，对信息的加密和解密都使用相同的密钥。也就是说，一把钥匙开一把锁。对称的加密方法简化了加密的处理过程，每个参与交易方不需要彼此研究和交换专用的加密算法，而是采用相同的加密算法，并只交换共享的专用密钥。如果交易方能够确保专用密钥没有在密钥传输阶段被泄漏，那么消息的机密性和报文的完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或者报文散列值来实现。所以对称加密技术存在交易方确保密钥安全交换的问题。

美国国家标准局提出的 DES 标准是目前广泛采用的对称加密技术之一。

- 25 -

重庆邮电大学本科毕业设计（论文）

DES 密钥长度为56 位。目前对称密钥加密多用于金融机构加密个人识别号（Personal Identification Numbers,简称PINs）。

(2)、非对称加密技术

1976年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

在非对称加密体系中，密钥被分解为一对（即一把公开密钥或加密密钥和一把专用密钥或解密密钥）。这对密钥具有数学关系，一旦由一把加密后，只能由另一把解密。这对密钥中的任何一把都可作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为专用密钥（解密密钥）加以保存。公开密钥用于对机密信息的加密，专用密钥则用于对加密信息的解密。专用密钥只能由生成密钥对的一方掌握。公开密钥可以广泛发布，只对应于生成该密钥对的贸易方。利用非对称密钥技术实现机密信息交换的基本过程是：贸易方甲生成一对密钥并将其中一把作为公开密钥发布，得到该密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给甲，甲再用自己保存的另一把专用密钥对加密后的信息进行解密。

目前非对称加密技术中，RSA 算法是最为著名的算法，但是它存在的一个主要问题就是运算速度太慢。所以通常只用于信息量较小的加密运算，对于信息量大的加密，公开密钥加密用于对称加密方法中的密钥的加密。

(3)、数字签名

数字签名（又称公钥数字签名、电子签章）是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。

数字签名的主要方式是：报文的发送方从报文文本中生成一个128 位的散列值（或报文摘要）。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方。接收方首先从收到的原始报文中计算出128位的散列值（或摘

- 26 -

重庆邮电大学本科毕业设计（论文）

要），接着再用发送方的公钥对报文附加的数字签名进行解密。如果两个散列值相同，接收方就确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。

数字签名能够实现的功能：保证信息传输的完整性；发送者的身份认证；防止交易中的抵赖发生；发方事后不能否认所发送过的消息，收方或非法者不能伪造、篡改消息。

数字签名是公开密钥加密技术的另一类应用。数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。

(4)、SSl加密技术

①SSL (Secure Socket Layer)为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL运行在TCP/IP层之上、应用层之下，为应用程序提供加密数据通道，它采用了RC4、MD5以及RSA等加密算法，使用40 位的密钥，适用于商业信息的加密。

②SSL加密技术是第三方支付中使用最为广泛的加密技术。支付宝、财付通、快钱、易宝支付等都使用了SSL加密技术。支付宝在传输过程中信息受到加密密钥长度达128为的SSL保护。易宝支付的支付网关的信息传输也使用国际通行的128位SSL加密技术，并对传输数据进行数字签名，保障在线支付的安全。快钱平台系统对全部用户信息、账户信息、加密、签名等进行128位SSL加密。财付通采用先进的128位SSL加密技术，确保用户信息安全传输避免窃取。

2、加密技术的应用

加密技术在第三方支付中的应用也较为广泛。第三方支付过程中涉及到加密技术的主要有以下几个方面：

①用户的注册信息。用户注册时的相关信息需要采用加密技术，这样可以保证用户信息的安全，防止重要信息泄露。一般情况下，用户的密码都需要加密，其他的信息根据平台的不同，加密的程度也不同。

②用户的交易相关信息。交易过程中的大部分信息都需要加密，尤其是支

- 27 -

重庆邮电大学本科毕业设计（论文）

付过程中，用户输入相关的账户和密码以及金额等信息传输时更需要加密，交易订单具体信息、送货地址、身份验证信息、手机短信验证信息等也需要进行加密。

③用户使用相关服务提供的信息。比如手机号码、身份证号码等，这些信息也需要加密，以免泄漏对用户造成不必要的影响。

三、PKI技术及其应用

1、PKI技术简介

PKI（PublicKey Infrastructure，公开密钥基础设施）是Internet 上保障信息安全的重要技术。PKI 是一种遵循标准的密钥管理平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

PKI 必须具有认证机关（CA），数字证书库，密钥备份以及恢复系统，证书作废处理系统、应用接口（API）系统等基本成分，构建PKI 系统也是围绕这五大系统来构建。

①认证机构：CA 是数字证书的签发机构，是PKI 体系的核心。公钥体制中的公钥是公开的，需要在网上传送，目前对公钥的管理问题较好的解决方案是使用证书体制。证书是公钥体制的一种密钥管理媒介，是一种权威性的文档，如同网络计算环境中的一种身份证，用于证明某个主题（人或服务器）的身份和其公钥的合法性。CA 就是用于证明主体的身份和其公钥的匹配关系。

②数字证书库：是数字证书和公钥的集中存放地，是网上的一种公共信息库，用户可以从此处获得其他用户的证书和公钥。构造证书库的最佳方法是采用LDAP 协议的目录系统，用户和相关进程通过LDAP 来访问证书库。

③密钥备份及恢复系统：PKI 提供备份与恢复解密密钥机制用于处理用户丢失解密密钥的情况。密钥备份和恢复只针对解密密钥，而签名私钥是不能够备份和恢复的。

④证书作废处理系统：PKI 采用三种策略提供证书的作废机制：作废一个或多个主题的证书；作废由某一对密钥签发的所有证书；作废由某个CA 签发的所有证书。作废一张证书通过将该证书列入作废证书表（CRL）来完成。用

- 28 -

重庆邮电大学本科毕业设计（论文）

户在验证证书时负责检查该证书是否在CRL 之列。

⑤PKI 应用接口系统：一个完整的PKI 必须提供一个良好的接口，以便各种各样的应用能够以安全、一致、可信的方式与PKI 交互，确保所建立起来的网络环境的完整性、易用性和可信性，同时降低管理维护成本。PKI 应用接口系统应该是跨平台的。PKI 应用接口系统主要实现的功能有：完成证书的验证工作，为所有应用以一致可信的方式使用公钥证书提供支持；以安全一致的方式与PKI密钥备份和恢复系统进行交互，为应用提供统一的密钥备份和恢复支持；在所有应用系统中，确保用户的签名私钥始终只在用户本人的控制之下，阻止备份签名私钥的行为；根据安全策略自动为用户更换密钥，实现密钥更换的自动，透明与一致；为方便用户访问加密的历史数据，向应用提供历史密钥的安全管理服务；为所有应用访问统一的公用证书提供支持；与证书作废系统交互；完成交叉证书的验证工作；支持多种密钥存放介质，包括IC卡，PC卡，安全文件等。[7]

2、PKI技术的应用

数字证书是大多数第三方支付平台使用的技术。支付宝、财付通、快钱等都在使用这项技术。以快钱为例：

使用数字证书需要三个步骤：a.填写资料；b.填写验证码；c.完成证书安装。数字证书可以用来标识用户身份信息，用户登录时可以获取更高安全等级的身份认证，保证发送的信息不会在网上被篡改，账户资金可以得到一定的保护。数字证书一般具有有效期，过期之后不能继续使用，需要重新申请证书。

图3.3 快钱数字证书图

- 29 -

重庆邮电大学本科毕业设计（论文）

四、身份认证技术及其应用

1、身份认证技术简介

身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。

计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。

如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。

常见的认证技术：

实名认证：实名认证同时核实客户身份信息和银行账户信息。实名认证主要是通过姓名和身份证号是否一致来进行验证。这种方法安全性一般，身份信息可能在使用过程中泄露。

静态密码：用户在网络登录时输入自己设定的密码，计算机就会认为该用户是合法用户。实际应用中，用户往往容易忘记密码，因此，在注册时提供了密码提示问题，该问题用于密码丢失时找回。因为是静态的密码，因此通被木马和程序容易截获。静态密码最为简单，但安全性也很差，是一种不安全的身份认证方式。

智能卡：是一种集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡需用户携带才可使用，较不方便，仍然存在一定隐患。

短信密码：这是一种动态的密码，每次使用的密码都是以手机短信形式请求的包含6位随机数，短信密码比较安全，普及性较高，易收费，易维护。因此是一种口碑较好的身份认证技术。

动态口令牌：这是目前最为安全的身份认证方式，它是客户手持用来生成动态密码的终端，基于时间同步方式，每隔一定时间变换一次口令，口令一次有效，它产生6位动态数字进行一次一密的方式认证。由于它使用起来非常便捷，85%以上的世界500强企业运用它保护登录安全，广泛应用于第三方支付中。

数字签名：数字签名又称电子加密，可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输 ，特别是电子商务是极其重要的，一般要采用

- 30 -

重庆邮电大学本科毕业设计（论文）

一种称为摘要的技术，摘要技术主要是采用 HASH 函数（ HASH( 哈希 ) 函数提供了这样一种计算过程：输入一个长度不固定的字符串，返回一串定长度的字符串，又称 HASH 值 ） 将一段长的报文通过函数变换，转换为一段定长的报文，即摘要。身份识别是指用户向系统出示自己身份证明的过程，主要使用约定口令、智能卡和用户指纹、视网膜和声音等生理特征。数字证明机制提供利用公开密钥进行验证的方法。

生物识别技术：通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。目前这方面实际应用最多的就是指纹识别技术和语音识别技术。

2、身份认证技术的应用

身份认证技术在第三方支付平台中使用比较频繁，几乎所有的第三方支付平台都支持身份认证。静态密码技术较为简单，每一种第三方支付工具都要使用，因此在这里不过多的陈述。

支付宝使用的手机动态口令，开通此服务后，进行重要操作时，支付宝会将“手机动态口令”通过短信或电话语音的方式，发送到使用者的手机上，然后只要输入对应口令便可继续操作，从未保证账户安全。此外支付宝也采用了实名认证技术，它的优势体现在：支付宝实名认证为第三方提供，更加可靠和客观；由众多知名银行共同参与，更具有权威性；同时核实客户身份信息和银行账户信息，极大提升其真实性；认证流程简单，认证信息及时反馈，客户实时掌握认证进程。

图3.4 支付宝手机动态口令图

快钱提供三种身份验证机制（手机验证、银行卡验证、身份证验证），使

- 31 -

重庆邮电大学本科毕业设计（论文）

交易更安全更放心。

快钱口令卡是快钱为了满足广大个人会员的要求，综合考虑安全性与成本因素而推出的一款全新的电子安全产品。快钱口令卡是有若干数字字符串的电子卡片，每个字符串对应一个唯一的坐标。

图3.5 快钱口令卡图

五、安全控件技术及其应用

1、安全控件技术简介

安全控件实质是一种程序。由各网站依据需要自行编写，当该网站的注册会员登录该网站时，安全控件发挥作用，通过对关键数据进行SSL加密，防止账号密码被木马程序或病毒窃取，可以有效防止木马截取键盘记录。

就目前而言，各银行的网银及网络交易平台等容易被不法分子有机可乘，使得其客户受到经济损失的网站，大多都会使用安全控件对客户的帐号密码等信息加以保护。

安全控件工作时，从客户的登录一直到注销，实时做到网站及客户终端的监控。就目前而言，由安全控件的保护客户的帐号及密码，还是非常安全的。

2、安全控件的应用

第一次进入支付宝页面时会提醒用户安装如下图所示安全控件，安装此控件可以提升账户的安全性，防止账户密码被木马程序或病毒窃取。

- 32 -

重庆邮电大学本科毕业设计（论文）

图3.6 支付宝安全控件图

财付通安全控件和支付宝的相似，它实现了对关键数据进行SSL加密，能够有效防止木马街区键盘记录信息。

图3.7 财付通安全控件图

其他第三方支付平台也大都提供了安全控件用来保障用户使用的安全。

第三节 第三方支付平台关键技术实现

一、数据管理技术的实现

本文以支付宝的数据管理技术为例进行介绍：

支付宝使用的数据库为SQL Server，由于涉及到众多的客户商家和商品信息，因此需要建立一系列数据库储存这些数据。

首先用户注册时后台就建立一个以用户注册名或者邮箱名等为名称的数据库，用户的所有数据都储存在此数据库中。

一个用户涉及到底实体型主要有：个人实体、账户实体、交易实体、安全实体、活动实体。每一个实体的属性较多，这里只列出一部分，具体见下图。

个人实体真实姓名登录名登录密码联系方式注册时间支付密码账户状态信用信息

- 33 -

重庆邮电大学本科毕业设计（论文）

账户实体可用余额登录名冻结资金积分数红包数账户类型提现银行关联账户

交易实体创建时间登录名类型交易号行为交易对方商品名称金额交易状态可执行状态备注 安全实体登录密码登录名支付密码数字证书安全保护问题支付宝信使付款前风险提示

活动实体活动名称登录名活动图片活动状态活动周期活动简介奖励简介操作

图3.8实体图

在数据库中建立相应的数据表后视图如下所示：

- 34 -

重庆邮电大学本科毕业设计（论文）

图3.9 数据库视图

各个实体之间的联系E-R图如图所示：

图3.10 E-R图

下面以一个具体的交易过程说明数据管理技术在第三方支付平台中的实现（以支付宝为例）：

①客户登陆支付宝，后台验证客户的密码，验证成功后就读取数据库中的数据并通过网页显示给客户，这个过程主要就是将数据库中的相关信息通过网页中的模块显示出来；

②用户浏览商品信息，并选中所需要的商品决定购买，此时就涉及到交易模块，后台会在客户、商家和自身的交易数据库中记录本次交易的相关信息，主要有商品名称、数量、收货地点等等；

③接下来进行支付，买家通过网银或者支付宝等工具将货款进行支付，此时就会发生交易数据库的更新，买家支付的款项划到支付宝的专用资金账户中，如果使用的是支付宝支付，就会是买家账户中的余额信息发生改变，相应买家账户数据表中的余额信息改变，支付宝资金数据表中信息也会改变；

④支付宝通知卖家发货，卖家一旦发货，交易状态信息立即改变，卖家商品库中的商品信息也相应改变；

⑤买家收到货物，验货后若和合同的一致，买家确认收货，交易信息改变，支付宝会将买家支付的款项划到卖方的账户之中，更新专用资金账户和卖家账户的资金信息；若货物与合同信息不一致，买家通知支付宝退货，卖家收到货物后将此次交易关闭，交易信息发生改变，支付宝将买家支付的款项退回到买家的账户之中，更新专用资金账户和买家账户的资金信息。

通过本次交易，交易双方评价对方后会发生交易双方信用信息的改变，此

- 35 -

重庆邮电大学本科毕业设计（论文）

时个人的信息数据发生变化。

数据管理就是管理用户使用过程中的相关操作和具体交易的信息，这些主要是通过后台数据库实现的，涉及到的数据操作主要有：选择、插入、删除、更新、查找、排序、总数、求和、平均、最大、最小。数据管理能快速准确地处理信息，加速了第三方支付平台的发展。

二、加密技术的实现

加密技术主要通过加密算法实现。常见的加密算法有DES、RSA、DSA等等。数据加密就是对原来为明文的文件或者数据按某种算法进行处理，使其成为不可读的一段代码，通常成为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。

1、DES加密算法

DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位，产生最大 64 位的分组大小。这是一个迭代的分组密码，使用称为 Feistel 的技术，其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能，然后将输出与另一半进行“异或”运算；接着交换这两半，这一过程会继续下去，但最后一个循环不交换。DES 使用 16 个循环，使用异或，置换，代换，移位操作四种基本运算。

可以用公式表示如下： Li=Ri-1

+f（Ri-1，Ki） Ri=Li-1○

i=1，2，3，?，16

加密过程如下图：（IP为初始置换，IP-1为逆初始置换）

其中Ki为子密钥，f为一能将32比特的Ri-1和48比特的子密钥两个输入参数映射为一个32比特输出的函数。

- 36 -

重庆邮电大学本科毕业设计（论文）

图3.11 DES加密过程图

2、RSA加密算法

①密钥的产生。选取两个保密的大素数p和q，计算n=p*q，f(n)=(p-1)(q-1)，其中f(n)是n的欧拉函数，选一整数e，满足1

②加密。加密时首先对明文比特串分组，使得每个分组对应的十进制数小于n，即分组长度小于Log2n，然后对每个明文分组m，做加密运算。C=me mod n。

③解密。对密文分组的解密运算为 m=Cd mod n。

第三方支付平台中常用的128位SSL加密技术采用了RC4、MD5以及RSA等加密算法，属于商业信息的加密。它采用公开密钥技术。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。

- 37 -

重庆邮电大学本科毕业设计（论文）

三、PKI技术的实现

由于PKI技术包括加密，因此在这里对加密不再做介绍。

1、数字签名和完整性验证的实现

数字签名是指附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性，有效地防止数据被伪造或篡改。数据签名的一般过程如下（设A为发送者，B为接收者，P为要发送的明文，M为消息摘要，H为消息摘要算法，Kxp为X(A或B)的公开密钥，Kxs为X的私有密钥，K为A、B间为一次会话随机产生的会话密钥）：

①A用消息摘要函数对要发送的明文P生成消息摘要M。 ②然后用自己的私有密钥加密M生成签名Cm。

③A随机产生一个会话密钥K，用B的公开密钥加密发送给B。 ④B用私有密钥解密获得会话密钥K。 ⑤A用会话密钥K加密明文P和签名Cm。 ⑥B用K解密接收到的密文，得到P1和Cml。 ⑦B利用摘要函数H对接收到的消息P1生成摘要M'。 ⑧B利用A的公钥解密接收到的签名Cml，得到消息摘要M1。 ⑨ 比较接收到的消息摘要M1和自己运算出来的消息摘要M'。 如果相同，就验证了消息的完整性和不可否认性；如果不同，则该消息不能通过验证，可能是其传输中出现问题（如被篡改）或发送者是可疑的，应予丢弃。利用数据签名可以有效地保证数据的完整性和不可否认性。

发送者和接收者两端对消息所做的处理及消息流序如下所示：发送者A 接收者B：H(P)→M；Kas(M) →Cm；Kbp(K)；Kbs(Kbp(K)) →K；K(P+Cm) ； K(K(P+Cm)) →P1+Cm1；H(P1) →M'；Kap(Cml) →M1；Compare(M1，M')。

2、实例分析PKI技术在第三方支付平台中的实现

系统采用数字证书实现对商家和客户的身份认证，使用公钥加密和数字签名保证通信数据的完整性和保密性，使用时间戳服务实现订单时间的不可抵赖性，并通过签名加密的电子邮件实现各参与者之间的数据通信。

下面是对第三方支付系统的交易过程中PKI技术实现的分析：

①客户浏览电子商务站点，进行客户端认证。客户通过互联网连接到电子商务站点，并要求服务器出示服务器证书，认证站点服务器身份。同时，站点服务器向客户端发出认证请求，客户将自己的客户证书发送给服务器，服务器

- 38 -

重庆邮电大学本科毕业设计（论文）

检查客户证书的有效性，包括验证用户证书，检查证书是否由可信的证书颁发机构签发，检查证书是否过期或被撤销等。双方身份认证完成后进入购买阶段。

②客户购买商品，发送订单客户确定所需商品后，需要向商家发送订单。订单内容包括发送给商家的订单信息(OI)和发给支付网关的支付信息(PI)。

双重签名(sign[H(OP)])：客户将OI和PI均通过Hash函数得到订单摘要(OIMD)和支付摘要(PIMD)，将OIMD和PIMD合并后再Hash得到POMD，使用自己的私钥加密POMD，生成双重签名。

订单指令(OI)：包含客户购买的订单信息。客户使用对称密钥加密订单，同时用站点服务器的公钥加密对称密钥，两者结合在一起形成OI的数字信封。客户将订单信息(OI)，支付信息摘要(PIMD)和双重签名一起发送给商家。

支付指令(PI)：包括客户的信用卡号、密码等支付信息。客户同样使用对称密钥和发卡行的公钥生成PI的数字信封，并将支付信息(PI)、订单信息摘要(OIMD)和双重签名发送给支付网关。

③服务器接受订单，验证信息并请求时间戳。服务器在收到客户发来的订单指令后，通过客户公钥获取订单摘要，并将订单摘要发送给时间戳服务器。时间戳服务器将该订单摘要和当前日期、时间的摘要合并，生成时间戳，利用时间戳服务器的私钥签名，返回给站点服务器。站点服务器利用时间戳公钥解密，以确定当前交易发生的时间，实现的交易时间的不可抵赖。

服务器验证订单信息和签名，通过自己的私钥解密数字信封得到对称密钥，使用对称密钥解密得到一份订单。服务器使用相同的Hash函数作用这份订单，得到一份新的订单摘要(OIMD2)；然后将OIMD2客户发来的PIMD合并后再Hash，得到一份新的双重摘要(OPMD2)，服务器通过比对这份OPMD2与用户发来的双重签名中的OPMD，若两份摘要相同，则到此完成订单的验证。记录交易数据。

在此我们可以看到，客户使用自己的私钥加密摘要(即数字签名)，服务器使用该客户公钥解密，保证了订单信息来自该客户；订单信息使用对称公钥加密，对称公钥使用服务器的公钥加密，这样只有才能服务器使用自己的私钥得到对称公钥，进而得到订单信息，因此订单信息只能由服务器端得到并解析；服务器端比对订单信息的新生成摘要和客户发来的摘要，保证的信息在发送过程中没有受到第三方的篡改；最后，通过一个可信的第三方时间戳服务器实现了时间上的不可抵赖。

由以上分析可知，使用PKI系统可以使电子商务交易过程中的信息保密性、完整性、有效性、通信双方的可鉴别性和交易时间的不可抵赖性等诸多要

- 39 -

重庆邮电大学本科毕业设计（论文）

求都得到很好的保障。

④支付网关验证用户的支付信息，完成网上支付。这一环节的验证方式类似于3中服务器对订单信息的验证，具体流程不在重复叙述。

这里客户使用了将订单信息和支付信息结合的双重签名，并分别向电子商务网站服务器发送{OI，PIMD，sign[H(OP)]}，向支付网关发送{PI, OPMD, sign[H(OP)]}。这样网站服务器和支付网关在进行信息完整性验证时，只需要对自己所需的信息Hash得到摘要，然后与另一份摘要合并，得到双重摘要后进行验证。这样一方面保证了电子交易在指定的（客户，电子商务网站，支付网关）三方之间进行，不受外部的干扰和破坏；另一方面使电子商务网站不必得知用户的信用卡密码等信息，支付网关不必得知用户的具体订单，保证了各方均能得到并只能得到自己所需要的那一部分信息，极大的维护了三方交易的机密性和安全性。

四、身份认证技术的实现

1、实名认证的实现

以支付宝实名认证为例：登录支付宝后，在“我的支付宝”首页点击申请，可以通过支付宝卡通和其他方式进行，支付宝卡通实现较为简单，因为申请时就已经提交了相关的信息，只要和卡通上的信息核对即可。其他方式主要是身份证件认证，填写了身份证件号和真实姓名后提交，再填写个人信息和账户信息，确认后提交，此时后台就会通过其与公安机关和银行的接口对用户输入的信息进行核对，核对一致后就会提醒用户认证申请成功，如果不一致，就会提示核实未通过，请重新输入。

2、静态密码的实现

静态密码的实现较为简单，当用户输入密码后，根据后台用户数据库中保存的密码信息验证即可实现。

3、智能卡的实现

首先用户必须拥有智能卡，芯片中设计了一系列的算法用以保密用户的数据，当储存了个人用户的数据之后，用户携带它即可实现认证。

4、短信密码的实现

短信密码是一种动态密码，第三方支付平台后台拥有短信网关，当用户需要使用它时，短信网关服务器端通过相应的算法生成6位随机的密码人后通过

- 40 -

重庆邮电大学本科毕业设计（论文）

手机短信发送到客户的手机上，用户输入就可以了。

5、动态口令牌的实现

根据特定的算法生成不可预测的随机数字组合，每个口令只能使用一次。现在主要有硬件令牌和手机令牌。硬件令牌主要是基于时间同步的，它每60秒变换一次口令，产生6位或8位数字。手机令牌是在手机上生成动态口令的客户端软件。通过手机令牌和硬件令牌产生口令，即可实现。

6、数字签名的实现

数字签名主要通过公钥加密技术实现，在公钥加密技术里，每一个使用者有一对密钥：一把公钥和一把私钥。公钥可以自由发布，但私钥则必须秘密保存；不可能通过公钥推算出私钥。

7、生物识别技术的实现

生物识别技术产品需要借助于现代计算机技术实现。以指纹识别为例：首先需要采集指纹图像，主要是通过光学录入技术、超声波录入技术和芯片录入技术，然后对图像进行解码，最后就是比对和匹配，这里要涉及到比对和匹配算法。其他技术都与之类似。

五、信用评价的实现

信用评价主要包含：专业机构、特定对象、履约能力、评价、符号等因素。下文以支付宝为例进行分析。

信用评价是会员在淘宝网交易成功后，在评价有效期内（应具体情况而定），就该笔交易互相做评价的一种行为。买家可以针对订单中每项买到的宝贝进行好、中、差评；卖家可以针对订单中每项卖出的宝贝给买家进行好、中、差评。这些评价统称为信用评价。只有使用支付宝并且交易成功的交易评价才能计分，非支付宝的交易不能评价。

淘宝都将信用评价分为好评、中评、差评3个等级，好评加1分，中评分数不变，差评减1分。淘宝规定，买家可以为卖家留下好评、中评或差评，以及简短的评语；卖家也可以为买家留下好评、中评或差评，以及简短的评语。淘宝规定，买家在为卖家留下评价时，可以选择匿名进行评价，这样的话出价记录和评价记录都将匿名显示。若买家评价时没有选择匿名进行，则评价后的30天内，还有一次机会将评价改为匿名评价。淘宝规定，如交易一方给出好评而另一方未评，在交易成功15天后，系统默认给予评价方好评。淘宝规定，

- 41 -

重庆邮电大学本科毕业设计（论文）

中评或差评在评价后30天内，评价方有一次自主更改或修改的机会，可以进行修改，但仅限于修改成好评，也可以删除。每个自然月中，相同买家和卖家之间的评价计分不超过6分（以支付宝交易创建的时间计算），超出计分规则范围的评价将不计分。若14天内相同买卖家之间就同一商品，有多笔支付宝交易，则多个好评只计1分，多个差评只计-1分。一笔网上交易于交易生成时间起的3-45天内为评价有效期，有效期过后不能评价。支付宝交易成功可以立即进行评价。

通过信用评价，买家和卖家就获得了相应的积分，积分代表着信用度，交易中买家和卖家的信用度都分为20个级别，积分越多，级别越高，信用度也越高。

第四节 移动第三方支付平台技术展望

一、SIMpass技术

SIMpass技术融合了DI卡技术和SIM卡技术，或者称为双界面SIM卡。SIMpass是一种多功能的SIM卡，支持接触与非接触两个工作接口，接触界面实现SIM功能，非接触界面实现支付功能，兼容多个智能卡应用规范。

利用SIMpass技术，可在无线通信网络及相应的手机支付业务服务平台的支持下，开展各种基于手机的现场移动支付服务。使用SIMPASS的用户只需在相应的消费终端前挥一下，即可安全、轻松完成支付过程。

SIMPASS卡除支持GSM或CDMA规范外，与低成本非接触CPU卡兼容，这也为SIMPASS卡片的广泛应用提供了基础应用环境。

SIMpass实际付诸应用，还依靠握奇提供的完整的SIMpass解决方案。SIMPASS的应用是一项系统工程，包括支持SIMPASS的手机、商家提供的消费终端、SIMPASS应用系统结算平台、移动运营商提供的通信网络、银行业务平台等多个方面的配合。SIMPASS在应用系统环境支持下可开展多种具体的智能卡应用系统。其优势是多方面的：以手机作为支付工具，不用专门携带智能卡；以非接触方式交易，交易速度快，适应于人流量大的影院、公共汽车、轨道交通等应用；SIMPASS支持一卡多用，可用于购水、购电、购气等多个

- 42 -

重庆邮电大学本科毕业设计（论文）

应用，应用间具有防火墙，各应用可具有独立的安全策略及文件系统； SIMPASS使用灵活，可使用SIM卡提供的OTA功能进行卡端应用的更新； 支持DES、RSA等安全算法，可根据应用需要建立相应的安全体系；SIMPASS兼容性强，兼容现有城市一卡通DI卡应用环境，这非常有利于在城市一卡通应用中推行手机支付。

随着3G的广泛应用，中国电信业持续快速发展，特别是金融与电信的合作与融合，已经成为大趋势。未来SIMpass将有着广阔的应用前景。

二、NFC技术

NFC是Near Field Communication缩写，即近距离无线通讯技术。由飞利浦公司和索尼公司共同开发的 NFC 是一种非接触式识别和互联技术，可以在移动设备、消费类电子产品、PC 和智能控件工具间进行近距离无线通信。NFC 提供了一种简单、触控式的解决方案，可以让消费者简单直观地交换信息、访问内容与服务。

NFC将非接触读卡器、非接触卡和点对点（Peer-to-Peer）功能整合进一块单芯片，为消费者的生活方式开创了不计其数的全新机遇。这是一个开放接口平台，可以对无线网络进行快速、主动设置，也是虚拟连接器，服务于现有蜂窝状网络、蓝牙和无线 802.11 设备。

NFC技术的特点有：在ISO/IEC 18092 NFCIP-1下进行标准化；以13.56MHz RFID技术为基础；通信距离为20cm；与现有的非接触式智能卡国际标准相兼容；数据传输速率106kbit/s、212 kbit/s或424kbit/s。

三、RF-SIM卡

RFSIM卡是可实现中近距离无线通信的手机智能卡，专利技术是一个可代替钱包、钥匙和身份证的全方位服务平台。它的最大特点是不需换手机，现有手机换一张智能卡后就成了类 NFC手机，但使用的频率是2.4G，不是13.56M，通信距离可在10-500CM自动调整，单向支持100M（数据广播）。

SIM 卡部分用于正常的手机移动通讯、鉴权，仅用作与手机的物理连接； 内置软件用于管理高安全度的RF-ID、 内置e-credit电子信用卡、EMV电子

- 43 -

重庆邮电大学本科毕业设计（论文）

钱包以及其他基于mifare 逻辑的VIP会员卡；使用微型RF模块并通过内置的天线与外部设备通讯。

RF-SIM卡主要功能包括：标准SIM功能(GSM 11.11，11.14)；电子钱包功能（模拟Mifare数据逻辑结构并符合PBOC2.0以及EMV电子信用卡的规范要求,支持空中开卡和充值）；远程支付功能（Rsa）；超级VIP卡功能(CRM 、积分、打折、交易)；电子票据功能；电子证件功能； 名片交换功能。

本章小结

本章主要介绍了第三方支付平台关键技术及其实现和应用，数据管理和加密是第三方支付平台中使用最为广泛的技术，有了强大的技术支持，第三方支付平台才能更好更快地发展，才能为用户提供更为安全有保障的服务。

- 44 -

本文来源：https://www.bwwdw.com/article/lflo.html