一种基于第三方的在线支付方案

　　摘 要：
　　本文给出了一种基于第三方的在线支付方案，阐述了第三方支付平台的概念、系统框架及支付模式，分析了现在流行的安全电子交易SET 标准，引入了一种基于改进的SET协议的支付流程，并讨论了第三方信誉保障机制。
　　
　　关键字：第三方支付平台；SET；第三方信誉保障机制
　　
　　1 引 言
　　
　　随着信息通信技术的发展和计算机网络的普及，电子商务正以飞快的速度渗透到各行各业。电子商务是运用现代信息技术和网络技术，依托Internet进行营销宣传、业务洽谈以及支付结算等商务活动的新型网上在线贸易方式。电子商务系统的关键在于完全实现网上在线电子支付功能，因此，开发便捷、安全可靠、令人信任的网上电子支付系统成为加快发展电子商务的重要任务。
　　
　　目前，电子支付存在多种形式，根据支付手段的不同可以分为信用卡支付系统、电子支票支付系统和电子现金支付系统等。其中信用卡支付系统是目前最流行的支付方式。在信用卡支付系统中大都采用SET标准的安全支付流程，但是SET的协议过于复杂，实施比较困难，而且它没有明确规定交易完成后，交易数据处理问题，交易数据的不当存储有可能成为安全隐患。另外，用户无法监视交易的全过程，不能解决用户对所购买物品质量不满意等问题，交易双方往往互不信任，交易中的任意一方总担心另一方在交易过程中处于比自己更加有利的位置，从而可能使自己蒙受损失。针对这些问题，本文引入了一种基于第三方的在线支付解决方案，在本方案中使用基于改进的SET协议的支付流程和第三方信誉保障机制，较好的解决了上述问题。
　　
　　2 第三方支付平台
　　
　　2.1 第三方支付平台概述
　　
　　第三方支付平台是指由已经和国内外各大银行签约，并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台，它属于服务型中介机构,具有清晰的支付职能，主要为开展电子商务业务的企业提供电子商务基础支撑与应用支撑的服务,不直接从事具体的电子商务活动。
　　
　　在通过第三方支付平台的交易中，消费者选购商品后，使用第三方支付平台提供的账户进行货款支付，由对方通知卖家货款到达、进行发货；买方检验物品后，就可以通知付款给卖家。采用第三方支付平台可以带来以下优点：（1）有效避免了交易构成中的退换货、诚信等方面的危险；（2）有助于促成商家和银行的合作，打破银行卡壁垒，并能够提供增值服务，帮助商家网站解决实时交易查询和交易系统分析等服务。
　　
　　2.2 第三方支付平台系统框架
　　
　　第三方支付平台与顾客、商家、金融机构相连，总体上分为前台交易部分和后台管理部分。前台交易部分负责网上用户在线交易；后台负责与银行的清算及网上用户的管理和网上用户的查询。其系统框架图1 所示：
　　
　　其中顾客、商家需要在第三方支付平台上注册拥有虚拟账户,并通过虚拟账户与实际银行卡账户相关联，可将一定数额的款项从相关联的实际银行卡账户转移到虚拟账户中，形成虚拟账户中的虚拟货币，然后可以使用虚拟货币进行网上交易。 第三方支付平台通过与银行相连,实现用户虚拟账号与用户实际银行卡账户相关联，并提供有关虚拟货币与信用卡账户的操作，以满足虚拟货币与实际信用卡账户的转账交易。支付平台可以自动清算有关的交易，及时将交易款项按协议转入网上商家的银行账户。
　　
　　2.3 第三方支付平台的支付模式
　　
　　在第三方支付平台中，商家与顾客通过注册成为第三方支付平台的注册用户，拥有唯一的虚拟账户。顾客在进行电子交易之前，可通过相关联的银行卡对虚拟账户充值以保证拥有足够的虚拟货币。在电子交易过程中，顾客使用虚拟账户中的虚拟货币进行在线交易，支付过程主要经过以下几个步骤：
　　
　　（1）顾客登录到第三方支付平台中，指定特定的汇出金额，并提供商家的虚拟账号给第三方，第三方暂时保管汇出的款项。
　　
　　（2）第三方通知商家发货，商家发货给顾客。
　　
　　（3）顾客收到货物后，对货物满意，并通知第三方同意付款，第三方将暂时保管的货物款项划转到商家的虚拟账号中。
　　
　　（4）顾客收到货物后，对对货物不满意，如果商家同意退货，则通知第三方，第三方将暂时保管的货物款项划转到顾客的虚拟账号中。若双方发生争议，可以通过第三方的仲裁，通过协商来确认有关的付款。
　　
　　3 基于改进的SET 协议的支付流程
　　
　　电子商务基于开放的互联网，必然面临各种安全风险，如信息泄露或被篡改、欺骗、抵赖等。电子商务安全涉及信息的保密性和完整性、交易身份的真实性、不可否认性以及可审计性．对电子商务而言，支付安全是一个关键环节，众多的安全技术都是通过安全协议实施的．因此，简洁、有效的安全协议对电子商务安全至关重要．3.1 SET 协议标准及其缺陷安全电子交易(SET, Secure Electronic Transactions)是由Visa和Master Card两大信用卡组织共同制定了。它是一个开放的规范，目的是解决在公共网络上传输敏感的个人和金融信息的安全性，保证信用卡支付安全，促进全球电子商务的发展。采用SET协议进行网上电子交易支付时，主要涉及持卡人、商家、支付网关、发卡者、支付者和CA认证共六方。
　　
　　采用SET的支付过程实现了比较完备的安全机制。持卡人、商家和支付网关之间通过交换证书保证了交易参与者身份的真实性；通过数字签名保证了订单信息、支付指标以及回应信息的完整性；通过结合使用对称和非对称加密方式保证了信息的私密性。在整个过程中持卡人信息得到了完善的保护。
　　
　　尽管SET协议实现了高安全性和可靠性，然而，SET协议的交易流程依然存在着不少缺陷，主要有如下两点：第一，SET的交易过程过于复杂。仅仅是一次购买请求过程，就需要进行多次请求和回应、多次的数字签名、身份认证和加解密过程。而且，一次完整的交易要涉及所有的交易参与者。第二，SET是一种商家转发的支付方式。所谓商家转发，即持卡人的消费支付请求首先发送给商家， 再由商家转发到银行。由于采用商家转发的支付方式，SET支付方式不能保证交易的不可否认性，持卡人没有办法掌握支付的凭证。
　　
　　3.2 改进的SET 协议的支付流程
　　
　　针对SET 协议标准的缺陷，在第三方支付平台中，使用了一种改进的SET 协议的支付流程，顾客通过登录第三方支付平台，直接使用自己虚拟账号中的虚拟货币进行支付，而不是通过商家进行中转，保证了顾客账号信息的安全，同时使支付流程得到一定的简化。支付流程如图2 所示：
　　
　　（1）顾客在商家的网上商店选购商品，形成购买请求，发送给商家。
　　
　　（2）商家接受到请求后，生成订单并记录下来，并将经过卖方数字签名的订单与商家的证书一起使用第三方支付平台的公开密钥加密返回给顾客。
　　
　　（3）顾客提交订单和个人登录信息，提交的目的URL 是第三方支付平台的WEB 应用服务器URL，URL 的前缀为https，即提交将以SSL 方式传输。
　　
　　（4）第三方支付平台的WEB 应用服务器接收到顾客提交的信息以后，验证顾客登录信息，用私钥解密订单信息和商家的证书，并验证商家的证书及数字签名。验证通过后，将订单信息回显给顾客，等待顾客响应。
　　
　　（5）顾客提供支付密码进行支付确认。
　　
　　（6）第三方支付平台产生授权通知信息，并进行数字签名，用商家的公开密钥加密， 将加密后的授权通知信息与第三方支付平台的证书一起传送给顾客。
　　
　　支付流程中的安全性分析：
　　
　　（1） 商家订单信息的完整性和保密性。通过商家对订单信息的数字签名来保证完整性。商家用第三方支付平台的公开密钥加密以保证订单信息的保密性。
　　
　　（2） 顾客账号信息的完整性和私密性。因为支付不通过商家转发，而是顾客直接把账号和密码等信息传送到第三方支付平台，通过SSL协议传输，避免了为防止商家转发过程中的信息泄漏而采取的复杂的加密过程。
　　
　　（3） 商家的身份和订单有效性的验证。将证书与签名了的订单信息一起发送，来证明订单的有效性。为保证商家的证书途中不被他人窃取， 将证书与订单一起用第三方支付平台的公钥加密后再传送。
　　
　　（4） 顾客的身份验证。顾客的验证不采用证书，而是通过顾客的账户密码方式验证。因为顾客的账户信息直接送到第三方支付平台，口令方式的验证已经足够了。
　　
　　（5） 第三方支付平台的的身份验证。通过SSL 的认证实现，客户端可以下载支付网关服务器的证书，由浏览器进行证书的管理。
　　
　　4 第三方信誉保障机制
　　
　　在信用体制比较薄弱的情况下，在电子支付过程中常会出现拒付和欺诈行为的发生，买卖双方的利益得不到有效的保护。针对这个问题第三方支付平台提供了第三方信用支付保障机制，即在支付过程中，待付款由第三方暂时保管，规定期限内交易双方无争议，待付款划给商家，规定期限内交易双方存在争议，由第三方仲裁，经网上卖方和买方协商来确认有关的付款。这样就充分保障了交易双方的权益，公平公正的解决商家与消费者之间纠纷，改善网上支付信誉差的问题，创造良好的、买卖双方彼此信任的交易环境。第三方信誉保障机制支付流程如图3 所示：
　　
　　（1）顾客登陆虚拟账户并确认支付，第三方支付平台从顾客的虚拟账户中扣除虚拟货币并暂时保管。
　　
　　（2）商家请求撤消此次交易。
　　
　　（3）商家在一定期限内没有发送货物进行响应。　　
　　
　　（4）第三方支付平台撤消此次交易，并把暂时保管的虚拟货币退还给顾客，取消完成，交易结束。
　　
　　（5）商家按订单发出货物。
　　
　　（6）货物发送不成功，商家取回货物，交易失败。
　　
　　（7）顾客成功收到货物，进入一定期限的鉴赏期，在此期间顾客可以决定是付款还是退货。
　　
　　（8）顾客对货物满意，同意支付货款。
　　
　　（9）在鉴赏期限内顾客没有做出响应，平台自动将货款划给商家。
　　
　　（10）第三方支付平台将暂时保管的虚拟货币划入商家账户，付款完成，交易结束。
　　
　　（11）顾客对货物不满意，请求退货。
　　
　　（12）商家同意退货。
　　
　　（13） 第三方支付平台将暂时保管的虚拟货币退还给顾客，并扣取手续费、运费，退货完成，交易结束。　　
　　
　　（14）商家不同意退货，顾客坚持退货，引起争议，第三方支付平台进行仲裁。
　　
　　（15）仲裁完成,交易结束。
　　
　　5 结论
　　
　　国外在网上支付方面已经比较成熟，但国内在此方面尚显不足，已经成为电子商务发展的一个瓶颈，通过建立安全可靠的第三方支付平台，可以解决一大批网站面临的支付困境和信誉体制所造成的买家与买家互不信任的矛盾，解决目前中国国内的网上交易没有直接标准的状况，对推动网上交易的发展具有积极的作用。