至此完成了OAuth2.0的实现，实现了消费者、商家和银行之间的安全对接。银行支付系统作为电子商务中交易双方的中介，不仅提高了银行的信息化水平，也降低了银行的服务成本。

五、将来的发展

伴随着4G移动通信资费的下降，以智能手机为主的移动终端的普及，人们通过更为便捷的移动支付购买各种商品和服务，甚至具有智能化、网络化和虚拟化特点的移动支付开始有代替传统现金支付的趋势。但是，大部分移动支付平台为了降低通信量，对关键信息采用轻量级的加密算法，加密数据结构单一，易被非法用户窃取后分析出原始信息。因此迫切需要开发研制出低风险的移动支付平台。

近几年来，智能移动终端可以直接通过采集人类指纹信息。银行在开发移动支付系统时可以考虑将高精准辨认身份特征的指纹数据作为支付平台的身份认证的信息或者支付确认的密码。消费者和商家在支付平台进行关键操作，例如通过支付请求、确认支付等，都需要实时采集指纹数据作为身份认证信息。支付平台通过外部网络环境，提取注册信息中的已存储指纹数据，借助专门的指纹比对软件对比，完成消费者或商家的身份认证。身份认证成功，就可以进行下一步操作。身份认证失败将结束操作，并发出信息通知请求者。由于指纹数据的唯一性和复杂性，这就保证了自己不录入指纹的情况下不可能进行支付，也不能通过身份认证也无法获取在支付过程传递的数据，提高了支付平台的安全性。基于指纹的支付系统要实时采集指纹数据进行存储和比对，所以需要较大的存储空间，最好是云存储平台。

相信在将来，随着电子商务支付平台的安全性的提升，人们在对其安全性的疑虑降低，电子商务支付平台必将蓬勃发展。

信息化与互联网的高速发展，电子商务呈现出蓬勃发展之势。但同时各种支付安全问题时有发生。本文主要介绍了电子商务支付平台在安全性方面的存在的漏洞，和兰州某商业银行开发的电子商务支付系统的安全性设计和实现。在文章最后提出了银行在开发移动支付系统时可以考虑将高精准辨认身份特征的指纹数据作为支付平台的身份认证的信息或者支付确认的密码，以提高支付平台的安全性。随着信息化与互联网的高速发展，当前电子商务规模的持续扩大。2018年11月11日，各大电商平台可谓是战绩出色，接连刷新往年记录。在线支付交易过程中，支付平台作为整个系统最核心的部分，是消费者和商户共同信赖的机构，承担着资金收付，以及保障用户身份和交易信息安全的重大责任。但是网络的开放性，支付平台长时间持有大量的资金，使网上交易的风险急剧增加。一、电子商务支付平台存在的安全隐患（一）支付密码技术漏洞造成的安全性问题一般支付平台虽然采用支付密码和登录密码不同的双密码制度，但是在传输过程中,不法分子诱导用户登陆钓鱼网站或利用木马程序等手段窃取用户身份认证数据，就可以轻易地使用用户账号，造成重大经济损失。（二）数据传递存储造成的安全性问题支付平台支付时为了简化手续，无需跳转到网络银行支付的页面。再加上系统的设计存在的一些缺陷，一旦交易的主数据服务器遭受攻击就会导致支付信息、订单信息泄露。攻击者提取敏感信息，造成客户资料外泄的安全问题。或是对其中的关键消息进行数据格式分析，掌捏信息的长度、频度和加密方法等，对支付信息篡改、删除或插入，从而达到进行不法操作的目的，从中获得利益。因此需要对网络支付平台提出相应的安全控制要求。二、兰州某商业银行开发的银行支付系统兰州某商业银行股份有限公司开发的“电子商务支付系统”，利用计算机网络技术，借助于银行系统的安全性，通过网络交易平台为客户和企业提供基于网络的信息流、物流和资金流的电商交易，在网络交易中直接实现货款的代收和代付，有效降低网络交易中的个人资料外泄及诈骗行为（孙晓芳，某银行网络代收代付系统的设计与实现：兰州大学，2017）。银行支付系统有以下几大优点：1.借助银行自身的安全防护体系，银行支付系统对关键数据加密传输，使用国际上流行的安全协议，为商家、消费者提供了可靠的资金管理，有力的保障了网络支付的数据安全性（孙晓芳，某银行网络代收代付系统的设计与实现）。2.当网上交易出现纠纷时，例如双方对自己的交易行为存在争议时，支付系统中的交易情况记录可以作为凭证，从而对双方交易行为进行有效的约束和监督。3.银行支付系统具有开放性，支持跨银行、多卡种、多终端的支付模式（孙晓芳，某银行网络代收代付系统的设计与实现）。促进银行与银行、银行和企业之间的合作。三、系统安全性设计银行支付系统重要的问题是保证支付过程的全面安全，在此基础上再为客户和企业提供更多的便利。银行支付系统在考虑不增加存储空间及计算能力的条件下，对于重要数据采用ECC复合AES与RC4高效加密机制以及OAuth2.0授权协议，实现了电子商务网站和支付系统既安全又灵活的集成。（一）加密机制为保证敏感信息在支付系统、电商平台、银行等各实体之间的传输的完整性，必须对关键信息加密处理。在银行支付系统，采用ECC复合AES与RC4混合加密算法把用户的敏感信息转变为不可识别的数据。首先，对支付中的主要交互信息使用自定义的编码表编码。支付系统中对于敏感信息用特殊的方式编码后加密再传输，即使被攻击者获取解密后得到明文码字后，因为不了解解码规则，仍然不能有效的解读数据，因而保证支付系统更加安全。然后，对编码后的数据按成一定方式分成单元快，多个单元快再组合成组，对组中的第一个单元采用AES加密算法加密，对组中的其他单元采用更高效的RC4加密处理。最后，用资源消耗较低且处理效率较高的非对称密钥算法ECC对AES的密钥继续加密处理。三种加密算法的混合使用，既降低了加密速度，又有效的解决了对称加密算法的密钥管理复杂问题以及密钥协商问题，实现了效率与安全的最大平衡（高小梅，移动终端支付的安全性研究：长安大学，2017）。（二）OAuth授权认证电子商务平台和支付系统集成的方式各有不同，必须具有复杂的架构才能满足各种需求，而且需要高额的研发成本和后期的维护费用。消费者和企业之间的的订单和支付这些私密信息是电子商务平台的最关键的资源。当银行支付系统需要完成支付时，要与电子商务平台行数据交换，银行支付系统采用了OAuth2.0授权协议。在OAuth2.0授权过程中，电子商务平台不需提供用户名和密码等信息给银行支付系统，只需要通过一个令牌授权临时授权给支付系统。银行支付系统需要暂时保存与本次订单信息相关的临时授权完成支付。这个授权时间很短，超时就需要重新授权。在支付过程中客户无需输入账户和密码，而且也无法提取该用户的其他订单信息，避免了信息的泄露。如果用户不想继续支付，临时权限允许单独撤销某些订单。银行支付系统与电子商务平台集成的需要设计两个接口，关于FetchToken和getXXXTransactions的API。在用户同意授权时，登录电子商务网站的时候，支付系统调用FetchToken接口获得用户的授权令牌token后，调用GetXXXTransactions接口获取指定订单信息，无权访问授权以外的订单信息。买家确认信息无误后在规定时间内完成付款。一旦超时，授权令牌token就会失效（孙晓芳，某银行网络代收代付系统的设计与实现）。根据OAuth的授权认证流程，FetchToken接口中需要一个访问许可sessionID作为请求参数，这是授权令牌创建时唯一的标识符。所以为了获取令牌，还需要设计一个获取访问许可sessionID的接口，—旦得到了这个sessionID值，就可以构造一个URL，然后发送给用户登录页面。根据用户输入的信息，FetchToken就能根据这个sessionID来生成中正确的授权令牌了。（三）其他支付系统、电商平台、银行在通信前都要互相验证由权威机构发放的数字证书，验证通过后，双方才可以发送数据。使用WPKI安全认证机制确保了双方实体的身份认证。从而实现了一个安全高效的移动支付方案。四、系统的实现根据对银行支付系统的需求分析和详细设计，本章详细说明银行支付系统实现的技术支持，以及系统的技术架构实现和核心业务代码。（一）加密算法实现银行支付系统对关键数据加密过程如图1所示，解密过程如图2所示。图1 解密过程图2 解密过程（二）OAuth2.0授权协议Java授权OAuth2.0方案分三步实现：1.取得RequestToken第一步，首先传入各种参数准备，如注册后由银行提供的oauth_consumer_key和consumer_secret参数，oauth_signature_method参数、oauth_callback参数等等。第二步，组装BaseString，准备BaseString为了取得oauth_signature参数，该参数在向服务商发送互动请求的时候用到。第三步，取得BaseString之后，就可以进行签名并生成oauth_signature参数，oauth_signature是在请求request_token时使用。签名算法为HMAC-SHA1，签名所用key为最开始的consumer_secret参数后面追加一个 & 符号（孙晓芳，某银行网络代收代付系统的设计与实现）。2.用户认证准备好oauth_token后，用户就需要对这个oauth_token进行授权，也就是对应用授权动作。操作过程是发送oauth_token给服务商，并请求用户对该oauth_token进行授权：实现方法是用oauth_token和oauth_callback为参数请求oauthorize_url（孙晓芳，某银行网络代收代付系统的设计与实现）。当用户进入应用授权页面，并可以选择是否要对该应用进行授权。如果选择授权，接下来就会被带入到oauth_callback地址所在服务。同时服务商会给oauth_callback返会一个名为oauth_verifier的参数，至此，oauth_token已经取得了用户的授权（孙晓芳，某银行网络代收代付系统的设计与实现）。3.用oauth_token获取access_token这一步与第一步“取得RequestToken”基本相同，也需要先准备BaseString对其进行签名，然后发送出请求，实现代码和第一步相似，但是所需的相应参数会有不用，差异为第一步组装BaseString时，八个部分中第二部分的url换为access_token_url，并将oauth_callback变为oauth_token（若有oauth_verifier，也需要一并加上），组装好之后需要签名，以获得oauth_signature，本次签名的实现方法和上次一样，但是key值需要变为consumer_secret和oauth_token_secret，并以 & 符号连接的字符串（孙晓芳，某银行网络代收代付系统的设计与实现）。至此完成了OAuth2.0的实现，实现了消费者、商家和银行之间的安全对接。银行支付系统作为电子商务中交易双方的中介，不仅提高了银行的信息化水平，也降低了银行的服务成本。五、将来的发展伴随着4G移动通信资费的下降，以智能手机为主的移动终端的普及，人们通过更为便捷的移动支付购买各种商品和服务，甚至具有智能化、网络化和虚拟化特点的移动支付开始有代替传统现金支付的趋势。但是，大部分移动支付平台为了降低通信量，对关键信息采用轻量级的加密算法，加密数据结构单一，易被非法用户窃取后分析出原始信息。因此迫切需要开发研制出低风险的移动支付平台。近几年来，智能移动终端可以直接通过采集人类指纹信息。银行在开发移动支付系统时可以考虑将高精准辨认身份特征的指纹数据作为支付平台的身份认证的信息或者支付确认的密码。消费者和商家在支付平台进行关键操作，例如通过支付请求、确认支付等，都需要实时采集指纹数据作为身份认证信息。支付平台通过外部网络环境，提取注册信息中的已存储指纹数据，借助专门的指纹比对软件对比，完成消费者或商家的身份认证。身份认证成功，就可以进行下一步操作。身份认证失败将结束操作，并发出信息通知请求者。由于指纹数据的唯一性和复杂性，这就保证了自己不录入指纹的情况下不可能进行支付，也不能通过身份认证也无法获取在支付过程传递的数据，提高了支付平台的安全性。基于指纹的支付系统要实时采集指纹数据进行存储和比对，所以需要较大的存储空间，最好是云存储平台。相信在将来，随着电子商务支付平台的安全性的提升，人们在对其安全性的疑虑降低，电子商务支付平台必将蓬勃发展。

文章来源：《兰州石化职业技术学院学报》 网址: http://www.lzzyxyxb.cn/qikandaodu/2020/1002/416.html

上一篇：兰州市河湖管理现状与对策探讨
下一篇：文化创意产业与兰州中心城区有机更新的互动研