淺談B2C網上支付系統的構建

王春影

WANG Chun-ying

（長春工業大學，長春 130012）

0 引言

對于B2C電子商務來說，交易的雙方是來至不同領域的，可能是同一個城市的不同地點，甚至是不同國家，省市，鄉鎮等。一般而言，這種交易對于過去是不容易實現的，而B2C電子商務的出現打破了雙方的交易界限，使他們可以在網絡中進行面對面的協商交易。而其中的一個核心問題就是實現網上支付。伴隨著這樣的一個難題，網上支付系統的出現成為了B2C電子商務交易的核心，因此，提供一個可靠、安全、方便而實用的網上支付系統是電子商務交易的關鍵。到目前來看，國內外采用SSL協議及SET協議建立的電子商務支付系統相對來說較為普遍，而且SSL協議及SET協議都是工業界認可的標準協議，因此，建立在SSL協議及SET協議基礎之上的網上平臺相對來說是可靠、安全的。電子商務的網上支付不僅僅涉及交易雙方的利益，同時也涉及到國家的利益，因此，網上支付系統的建立對于我國電子商務交易的安全、可靠，便利來說就顯得尤為重要。

1 B2C電子商務概述

1.1 B2C概念

B2C即business to custom的簡稱，翻譯過來就是企業到客戶，是指利用因特網進行全部的貿易活動，即在網上將信息流、資金流、商流和部分的物流完整地實現連接。在今天，B2C電子商務以完備的雙向信息溝通、靈活的交易手段、快捷的物流配送、低成本高效益的運作方式等在各行各業展現了其極大的生命力。B2C模式是我國最早產生的電子商務模式。其B2C模式下的一般交易流程如圖1所示：

圖1 B2C交易的一般模式圖

客戶登錄到B2C商城——選定需購買的商品——點擊購買——到支付平臺支付款項——等待賣家發貨——賣家發貨——買家收貨——買家到B2C商城上確認收貨——支付款項到賣家賬戶成功——交易完成，而B2C運營商在后臺進行管理，以維護交易的正常運行。

1.2 B2C電子商務網站的運營與管理

1）綜合型B2C

發揮自身的品牌影響力，積極尋找新的利潤點，培養核心業務。網站建設要在商品陳列展示、信息系統智能化等方面進一步細化。對于新老客戶的關系管理，需要精細客戶體驗的內容，提供更加人性化、直觀的服務。選擇較好的物流合作伙伴，增強物流實際控制權，提高物流配送服務質量。

2）垂直型B2C

核心領域內繼續挖掘新亮點。積極與知名品牌生產商溝通與合作，化解與線下渠道商的利益沖突，擴大產品線與產品系列，完善售前、售后服務，提供多樣化的支付手段。

3）傳統生產企業網絡直銷型B2C

首先要從戰略管理層面明確這種模式未來的定位、發展與目標。協調企業原有的線下渠道與網絡平臺的利益，實行差異化的銷售，如網上銷售所有產品系列，而傳統渠道銷售的產品則體現地區特色；實行差異化的價格，線下與線上的商品定價根據時間段不同設置高低。線上產品也可通過線下渠道完善售后服務。在產品設計方面，要著重考慮消費者的需求感覺。大力吸收和挖掘網絡營銷精英，培養電子商務運作團隊，建立和完善電子商務平臺。

4）平臺型B2C網站

B2C受到的制約因素較多，但中小企業在人力、物力、財力有限的情況下，這不失為一種拓寬網上銷售渠道的好方法。關鍵是中小企業要選擇具有較高知名度、點擊率和流量的第三方平臺；其次要聘請懂得網絡營銷、熟悉網絡應用、了解實體店運作的網店管理人員；再次是要以長遠發展的眼光看待網絡渠道，增加產品的類別，充分利用實體店的資源、既有的倉儲系統、供應鏈體系以及物流配送體系發展網店。

2 B2C網上支付的關鍵性問題分析

B2C電子商務的出現不僅僅是科技發展的體現，更是網絡的先進信息技術與傳統信息資源相結合的體現，電子商務的使用己日益成為各國經濟新的增長點。對于這個新興產物的核心來說，網上支付系統如何可以提供一個可靠、安全、方便而且實用的支付平臺是電子商務交易的關鍵。要實現網上支付就必須解決以下幾個關鍵問題：

1）安全性和可靠性：對于在線交易需要絕對的安全和可靠，必須保證交易的機密性、完整性和可用性。

2）真實性：交易雙方能夠確認他們收到的電子貨幣是真實的。

3）身份認證：交易雙方進行交易前，必須相互進行身份認證。

4）不可否認性：對于信息的發送方和接收方，雙方都保證發送的信息是不否認的，這可以有效的防止交易上的糾紛。

3 SSL協議與SET協議概述

3.1 SSL協議

SSL（Secure Sockets Layer）安全套接層協議是Netscape公司1995年推出的一種安全通信協議。SSL提供了兩臺計算機之間的安全連接，對整個會話進行了加密，從而保證了安全傳輸。SSL協議建立在可靠的TCP傳輸控制協議之上，并且與上層協議無關，各種應用層協議（如：HTTP，FTP，TELNET等）能通過SSL協議進行透明傳輸。SSL協議分為兩層：SSL握手協議和SSL記錄協議。SSL協議提供的安全連接具有以下三個基本特點：

1）連接是保密的：對于每個連接都有一個唯一的會話密鑰，采用對稱密碼體制（如DES、RC4等）來加密數據；

2）連接是可靠的：消息的傳輸采用MAC算法（如MDS.SHA等）進行完整性檢驗；

3）對端實體的鑒別采用非對稱密碼體制（如IZSADSS等）進行認證。

3.2 SET協議

SET協議是應用層的協議，是一種基于消息流的協議，它是面向B2C模式的，完全針對信用卡來制定，涵蓋了信用卡在電子商務交易中的交易協議信息保密、資料完整等各個方面。SET協議確保了網上交易所要求的保密性、數據的完整性、交易的不可否認性和交易的身份認證。SET協議主要使用的技術包括：對稱密鑰加密（Symmetric Key Cryptography）、公鑰加密（Public Key Cryptography or Asymmetric Cryptography）、Hash算法、數字簽名（Digital Signature）、數字信封（Digital Envelope）以及數字證書（Digital Certificate）等技術。SET通過使用公鑰和對稱密鑰方式加密，以保證數據的保密性；通過使用數字簽名、Hash算法和數字證書實現交易各方的身份認證、數據的完整性和交易的不可否認性。

4 基于SSL、SET協議融合的交易方案

本方案的基本思想就是針對一次網上交易過程中將兩種協議分別應用，以達到可能某兩方（或多方）采用SSL協議，其他交易方采用SET協議，以此在不降低安全性的前提下，盡可能帶來方便性、簡單性，以提高網上支付的效率。如商家與客戶或支付網關連接的時候使用SSL協議，而客戶與支付網關連接的時候采用SET協議等，支付時可通過電子錢包使用銀行發行的儲值卡、信用卡等。其方案的系統主體由持卡人（客戶）、商家、支付網關與以組成。針對上述方案有如下分析：

1）在此改進方案中要求銀行必須建立支付站點，成為支付系統的主體；同時持卡人的電子錢包直接與支付網關相溝通，增加了支付網關的負擔。

2）持卡人與支付網關之間信息的傳輸過程中，采用DES和RSA的加密方法、基于RSA的數字簽名以及基于MD5的雜湊（hash）函數，由SET的相關軟件來實現，安全性得到充分的保證；其中Hash主要用于信號安全領域中的加密算法，它把任意長的輸入信息串變化成固定長的輸出串的一種函數，主要用于完整性檢驗和提高數字簽名的有效性。

3）改變了以前SET交易與SSL交易中支付指令總是由商家轉發給支付網關的做法，直接由持卡人交給支付網關，有效保證了持卡人的帳號、密碼等不被商家泄密的可能，提高了系統的安全性，并且只有訂單信息需要消費者發至商家，這樣也就不要對支付信息與訂單信息進行雙重簽名，減低了支付過程中過于復雜的環節，也提高了系統的運行效率。

4）在持卡人訂單請求和商家支付結果查詢過程中，使用SSL傳輸協議，也較好地保障了安全。

5 網上支付系統的構建

網上支付協議的改進方案根據設計一個模擬網上商店支付系統，以此實現和驗證該方案。在此方案中，可以在持卡人與支付網關之間采用SET協議，持卡人與商家、持卡人與CA，商家與CA，商家和支付網關與認證中心之間均采用SSL協議。系統的主要工作流程如下：

消費者通過瀏覽器登陸商家網上購物站點后，如確定購物，所購物品將生成一訂單，并且自動為每一訂單生成一流水號即訂單號，訂單信息采用SSL協議加密發往商家，同時用自己的電子錢包付賬（由銀行提供的安裝在客戶端的軟件），采用SET協議將支付信息發送到支付網關，授權銀行進行支付；商家根據訂單號查詢該定單所訂購商品貨款是否到自己賬戶確定發貨與否，交易前交易各方到認證中心申請自己數字證書，交易中任何一方都可以通過網絡核實對方證書。

6 結束語

隨著計算機網絡的不斷發展，電子商務的發展也將日新月異。網上支付系統的構建雖然讓可以利用SET協議及SSL協議的優點，但是依然還有所不足，但我相信這是暫時的，在未來的明天它的構建將會更全面，完整。

[1] 吳國棟.安全電子支付協議的兩種改進方案[J].農業網絡信息,2005,11.

[2] 尚建成.電子商務基礎[M].高等教育出版社,2000.

[3] 王忠誠.電子商務安全[M].機械工業出版社,2006.

[4] 費名瑜.電子商務解決方案[M].高等教育出版社,2002.

[5] 朱孝立,羅荷香.新編電子商務教程[M].中國科學技術大學出版社,2006.