1、湖 南 大 学 毕 业 设 计 (论 文 ) 第 1 页HUNAN UNIVERSITY毕业设计(论文)设计(论文)题目: 企 业 电 子 商 务 网 站 支 付 模 块学 生 姓 名: 肖冬 学 生 学 号: 20041610327专 业 班 级: 2004 级 软 件 开 发 2 班 指 导 老 师: 程京系 主 任 ( 院 长 ) : 林亚平 2008 年 5 月 25 日湖 南 大 学 毕 业 设 计 (论 文 ) 第 2 页企 业 电 子 商 务 网 站 支 付 模 块摘要上世纪 90 年代以来,随着网络、通信和信息技术的突破性进展,Internet 在全球爆炸性增长并迅速普及,一种
2、崭新的商务形式电子商务,作为商业贸易领域中一种先进的交易方式正风靡全球,并对该领域中传统的观念和行为产生巨大的冲击和影响。电子商务是基于互联网、以交易双方为主体、以银行电子支付和结算为手段、以客户数据为依托的全新的商务模式,它可以使商家与供应商更紧密地联系起来,更快地满足客户需求,也可以让商家在全球范围内选择最佳供应商,在全球市场上销售产品。企业与消费者(B2C)的电子商务随着 WWW 网的出现而迅速发展的,它属于电子商务的零售范围。企业对消费者的电子商务模式将会快速发展,并将最终在电子商务领域中占据重要地位。B2C 型电子商务是直接面向消费者的电子商务模式,也是最为消费者熟悉和接触使用。目前
3、虽然 B2C 电子商务的交易额在整个零售市场中所占比重很小,但其影响力和发展潜力是相当巨大的关键词:电子商务,网上支付,安全湖 南 大 学 毕 业 设 计 (论 文 ) 第 3 页Payment Module of Business E-commerce Website for EnterpriseAbstractSince on the century 90s, along with the network, the correspondenceand the information technology unprecedented progress, Internet in theglob
4、al explosivity growth and the rapid popularization, one kind ofbrand-new commercial form - electronic commerce, took in thecommercial trade domain one advanced transaction way is being all therage the whole world, and the traditional idea and the behavior hasthe huge impact and the influence to this
5、 domain in. The electroniccommerce is based on the Internet, take transaction both sides as themain body, take the bank electron payment and the settlement as themethod, take the customer data as the brand-new commercial patternwhich depends on, it may cause the merchant and the supplier closelyrela
6、tes, quickly meets the customer need, also may let the merchantchoose the best supplier in the global scope, sells the product in theglobal market.Business-to-consumer (B2C) e-commerce development is the emergence of the Internet along with the rapid development of the World Wide Web. It belongs to
7、the scope of the retail e-commerce. Business-to-consumer e-commerce model will be developed rapidly and will eventually occupy an important position in the area of electronic commerce. B2C e-commerce model is a direct consumer-oriented e-commerce, most consumers are familiar with and use contacts. A
8、lthough B2C e-commerce transactions in the retail market share is very small, But its potential is enormous and development. Key Words:Business e-commerce On-line pays Network security 湖 南 大 学 毕 业 设 计 (论 文 ) 第 4 页目 录1. 绪论 51.1 选题背景 .51.2 电子商务支付系统概述 .61.3 网上支付方式与网络安全 .81.4 电子支付系统安全技术 .91.5 章节安排 .102.
9、 相关技术简介 112.1 ASP.NET 112.2 WebService.122.3 XML123.安全支付系统分析与设计 143.1 系统需求分析 143.2 系统整体设计 .153.3 系统功 能模块划分 .164.安全支付系统详细实现 184.1 网站登录验证 .184.2 产品购买 .214.3 网站支付申请 .234.4 银行服务 .244.5 网站支 付跟踪 .31总结 .34致谢 .35参考文献 .36湖 南 大 学 毕 业 设 计 (论 文 ) 第 5 页1. 绪论1.1 选题背景2004 年 7 月 20 日,中国互联网络信息中心(CNNIC)在北京发布“第十四次中国互联
10、网络发展状况统计报告” 。参见表 1-1,报告显示,截止到 2004 年 6 月 30 日,我国上网用户总数为 8700 万,比去年同期增长 27.9%(2004 年 12 月 1 日为 7950 万,2004 年 7 月为 6800 万) ,上网计算机达到 3630 万台。网络国际出口带宽增长飞速,总数达到 53.9Gbps,比去年同期增长 190.3%。表 1-1 互联网发展人数对比图统计截至时间 上网人数(万) 上网计算机数(万)网络国际出口带宽(M)2004.6.30 8700 3630 539412003.12.31 7950 3089 272162003.6.30 6800 257
11、2 185992000.6.30 1690 650 12341999.6.30 400 146 2411998.6.30 117.5 54.2 84.641997.10.31 62 29.9 25.408同时报告还显示,用户使用电子银行在网上直接付款比例增加,超过货到付款方式 13 个百分点,达到 37.9%。人们网络购物需求进一步扩大,未来一年内,打算进行网上购物的用户比例为 58%。这些充分表明,互联网经过了 10 年的发展,不仅互联网本身拥有极大的使用价值,而且还为其他传统行业的发展提供了新的工具和途径,一些传统行业得以创造出许多以前很难实现的服务和价值。例如网上炒股炒汇、网站短信服务、
12、QQ 等即时通信工具都在中国蓬勃发展,并为相关企业带来了巨大的经济效益。在中国如此庞大的互联网用户和基础网络、尤其是电子商务网站和网上交易迅猛发展的同时,一个十分严峻的问题出现在国人的面前,即互联网的安全问题。网络病毒、蠕虫、黑客,这些现象随着互联网诞生便出现,同时,随着互联网的发展,也不断出现新的变化与情况。并且,随着网络上各种新业务的兴起,比如电子商务(Electronic Commerce) 、电子现金(Electronic ash ) 、数字货币(Digital Cash) 、湖 南 大 学 毕 业 设 计 (论 文 ) 第 6 页网络银行(Network Bank)等的兴起,以及各种
13、专用网(比如金融网等)的建设,使得安全问题显得越来越重要。仅针对网上交易而言,存在的安全问题便涉及到软硬件安全、数据安全、身份识别、身份认证等多个方面。目前我国网上交易安全形势非常严峻。在企业方面,有国际网络保安专家警告说,现在正进入电子商务时代初期,而大多数公司对网上安全问题缺乏认识,投入的人力和物力有限,可以说,所有进行网上交易的公司都不安全。尤其大公司面临的问题,更为严重。世界著名网络保安公司 RSA 副主席吉姆 .比道斯(Jim Bidzos)就曾指出,由于大多数公司对网络安全不够重视,导致黑客与电脑病毒横行,电子商务安全面临严峻考验。而从个人消费者的角度来看,由于涉及的单笔金额比较少
14、,但庞大的交易基数却使个人消费者在网上交易中占到了绝对主导的地位,其在网络上所受到的保护就更加令人担心。 (张云昆,张继业. 网络安全理论与技术.人民邮电出版社,2003 年 10 月)1.2 电子商务支付系统概述电子支付( Electronic payment )是以计算机和通信技术为手段,通过计算机网络系统以电子信息传递形式实现的货币支付与资金流通。电子支付方式的出现要早于互联网,银行进行电子支付的 5 种形式分别代表着电子支付发展的不同阶段:第一阶段: 是银行利用计算机处理银行之间的业务,办理结算。 第二阶段: 是银行计算机与其它机构计算机之间资金的结算,入代发工资,代交水、电、气费,电
15、话费等业务 第三阶段: 是利用网络终端向用户提供各项银行服务。 第四阶段: 是利用银行销售终端向用户提供自动扣款服务,这是现阶段电子支付的主要方式。 第五阶段: 是最新发展阶段,电子支付可随时随地通过互联网络进行直接转帐结算,这一阶段的电子支付称为网上支付。 与传统的支付方式相比较,电子支付具有以下特点: 1.电子支付是采用先进的信息技术来完成信息传输的, 起各种支付方式都采用数字化的方式进行款项支付的,而传统的支付方式则是通过现金的流转、票据的转让及湖 南 大 学 毕 业 设 计 (论 文 ) 第 7 页银行的汇兑等物理实体的流转来完成款项支付的。 2.电子支付的支付环境是基于一个开放的系统
16、平台之上, 而传统支付则是在较为封闭的系统中运作。 3.电子支付使用的是最先进的通信手段,如互联网,而传统支付使用的则是传统的通讯媒介。电子支付对软、硬件设施的要求很高,如联网的微机、相关的软件及其他配套设施,而传统支付则没有这么高的要求。4.电子支付具有方便、快捷、高效、经济的优势。 目前世界通用的支付系统不下几十种,根据在线传输数据的种类(加密、分发类型) ,粗略可以被分为三类。 第一类是使用“ 信任的三方 ”(trusted third party)。客户和商家的信息比如银行帐号、信用卡号都被信任的第三方托管和维护。当要实施一个交易的时候,网络上只传送定单信息和支付确认、清除信息,而没有
17、任何敏感信息。实际上通过这样的支付系统没有任何实际的金融交易是在线(on-line)实施的。First Virtual 典型的信任第三方系统。在这种系统中,网络上的传送信息甚至可以不加密,因为真正金融交易是离线实施的。但是不加密信息,同样可以看成一个系统的缺陷,而且客户和商家必须到第三方注册才可以交易。 第二类是传统银行转帐结算的扩充。在利用信用卡和支票交易中,敏感信息被交换。例如,如果客户要从商家购买产品,客户可以通过电话告知信用卡号以及接收确认信息;银行同时也接收同样的信息,并且响应地校对用户和商家的帐号。如果这样的信息在线传送,必须经过加密处理。著名的 CyberCash 和 VISA/
18、Mastercard 的 SET就是基于数字信用卡(Digital Credit Cards)的典型支付系统。这种支付系统,对于 B to C( Business to Clients)在线交易是主流,因为现在大部分人,更习惯于传统的交易方式。通过合适的加密和认证处理,这种交易形式,应该比传统的电话交易更安全可靠,因为电话交易缺少必要的认证和信息加密处理。 第三类是包括各种数字现金(Digital Cash)、电子货币(Electronic Money and Electronic Coins)。和前面的系统不一样,这中支付形式传送的是真正的“ 价值”和“金钱”本身。前面两种交易中,信息的丢失
19、往往是信用卡号码,被伪造的信息,也只是信用卡号等。而这种交易种偷窃信息,不仅仅是信息丢失,往往也是财产的真正丢失。 通用支付手段又可以分为电子信用卡支付、Smart Card 支付、电子现金支付、电湖 南 大 学 毕 业 设 计 (论 文 ) 第 8 页子支票支付等。( Roberta Bragg,Mark Rhodes-Ousley,Keith Strassberg 网络安全完全手册.电子工业出版社.2005 年 10 月)1.3 网上支付方式与网络安全目前的网上支付方式主要有银行卡支付、电子支票支付、电子现金支付等,其中大都是各类银行卡。只要去银行开户并开通网上银行,就可以进行网上支付。目
20、前网上支付大多采取第三方支付的方式,买家和卖家中间加入一个第三方。买家将钱款交给第三方,然后卖家发货,买家收到货检验无误后通知第三方付款给卖家,由此形成一个完整的交易流程。如淘宝的支付宝、腾讯的财付通等。第三方支付仅能解决交易过程中的安全问题,即交易双方受地域限制无法一手交钱一手交货、彼此之间又无法相互信任的问题。这属于管理层面的安全问题,本文不再进行探讨,仅针对技术层面,即网络安全方面的问题,进行探讨。网络支付使得传统的银行存取款业务形式发生了重大改变。在以往的银行交易中,个人用户必须通过银行卡与银行完成交易。当银行卡丢失或损坏时,所能使用的凭据包括用户的身份证件、银行卡卡号和密码等综合使用
21、,才可能达成交易,实物卡的限制使得交易具有一定的安全性。只要用户保护好银行卡,出现问题的概率就被降到了最低。而在电子交易时代,用户身份的识别是通过用户名和密码完成的,没有了银行卡这个关键的实物介质。在这种情况下,一旦黑客掌握了用户的账号和密码,就能完成偷盗行为。而在当前的网络环境下,黑客商业化使得盗取密码行为无处不在。法规的不健全也造成了黑客商业化的泛滥。在大多数网银失窃案件中,都是黑客通过互联网盗取用户的账号和密码,再通过一系列转账或消费行为把资金变现。黑客的转账行为和变现行为不受任何限制,甚至在用户报案时,银行通常会拒绝向用户提供详细的资金转账情况。虽然目前网上支付尚未出现大问题,但盗用、
22、失号等事件频出,将使人们对安全问题过度担忧,严重影响电子支付行业的发展。网上支付的安全问题,俨然成为制约电子商务发展的最大瓶颈。湖 南 大 学 毕 业 设 计 (论 文 ) 第 9 页网上支付系统中信息及网络存在的安全问题主要如下:1)信息泄漏。在交易过程中,消费者是弱势群体。商家可以选择支付方式,而消费者在填完一大串信息后不知道这些信息将流向何方,很难杜绝信息的泄漏。电子支付网络设施落后。近年来,我国网络发展不均衡。我国计算机、网络防火墙还主要依靠国外技术。电子支付诸多参与者现有的技术规范措施不能适应大规模电子交易的需要。以银行为例,银行是电子支付产业链中的核心纽带,而目前我国银行的金融服务
23、和信息化建设水平相对落后,特别是县级以下银行机构,金融服务信息化还存在相当大的难度。普遍存在的网络带宽较窄、速度缓慢等问题,影响了运行效率和支付质量。2)潜在隐患。电子支付业务大多通过网络进行,没有了以往的签字、盖章及纸质凭证。银行业务的各种账务和记录都可以不留痕迹地修改,监管部门看到的数据不能正确反映支付情况,这给电子支付带来了潜在的安全隐患。1.4 电子支付系统安全技术电子商务支付信息流动典型结构如图-1 所示。在图中,信任第三方是 CA 认证中心。商家和客户都必须到 CA 得到自己的证书,然后通过 CA 认证。很明显,各个部分信息传递,必须要经过加密处理;信息来源和目的,必须经过认证。
24、图-电子商务字符框架在电子商务支付系统中,消费者和商家面临的威胁有: 1. 虚假定单:假冒者以客户名义订购商品,而要求客户付款或返还商品;2. 付款后收不到商品;3. 商家发货后,得不到付款;4. 机密性丧失:PIN 或口令在传输过程中丢失;商家的定单确认信息被窜改;5. 电子钱和硬币丢失:可能是物理破坏,或者被偷窃。这个通常给用户带来不可湖 南 大 学 毕 业 设 计 (论 文 ) 第 10 页挽回的损失。 相应的安全技术有: 1. 网络安全检测设备(SAFTsuite)2. 访问设备(安全认证卡)3. 浏览器/服务器软件(支持 SSL)4. 证书(VeriSign)(PKI-CA、公钥秘钥
25、加密算法)商业软件(支持电子支付)5. 防火墙(RSA 的 BSAFE:支持 RSA,DES,TripleDES ,RC2,RC4 等)保护传输线路安全(电磁辐射屏蔽等)6. 防入侵措施,IDS,DIDS(入侵检测系统、分布式入侵检测系统)7. 数据加密(最基本的安全技术,如链路、节点、端对端加密等)8. 访问控制(根据角色访问等控制)9. 鉴别机制(报文鉴别、数字签名、终端识别等)10. 路由选择机制(阻止不合适的 IP 访问、DoS 攻击防范)11. 通信流控制(掩盖通信频度、报文长度、报文形式、报文地址等)12. 数据完整性控制(来自正确的发送方、数据传送到正确的接收方)13. 端口保护
26、(反端口扫描等)14. 病毒木马防范措施 由于实验条件的限制,本系统采用数据加密的方式来演示如何保护网络支付安全。(韩宝明、杜鹏、刘华著, 电子商务安全与支付 ,人民邮电出版社,2003.3)1.5 章节安排本文针对电子商务中的网上支付问题进行了分析和研究,全文安排如下:第一章 绪论,介绍选题背景和网上支付方式相关知识以及网上支付中存在的安全及相关技术问题,最后简述全文安排;第二章 相关技术简介,简单介绍本系统所用到的相关技术,包括ASP.NET、WebService、 XML 等;第四章 安全支付系统需求分析与设计,介绍网上安全支付系统的需求分析与总体设计;湖 南 大 学 毕 业 设 计 (
27、论 文 ) 第 11 页第五章 安全支付系统详细实现,介绍网上安全支付系统的实现,以及其中用到的技术和关键代码;第六章 总结,针对本次毕业设计所做的工作进行总结。湖 南 大 学 毕 业 设 计 (论 文 ) 第 12 页2. 相关技术简介2.1 ASP.NETASP.NET 是一个统一的 Web 开发模型,它包括您使用尽可能少的代码生成企业级 Web 应用程序所必需的各种服务。 ASP.NET 作为 微软.NET Framework 的一部分提供,换句话说,ASP.NET 的开发运行是基于 NET Framework 的。当您编写 ASP.NET 应用程序的代码时,可以访问.NET Frame
28、work 中的类及其成员。您可以使用与公共语言运行库 (CLR) 兼容的任何语言来编写应用程序的代码,这些语言包括 Microsoft Visual Basic、C#、JScript .NET 和 J#,使用这些语言,可以开发利用公共语言运行库、类型安全、继承等方面的优点的 ASP.NET 应用程序。.NET Framework 通常翻译为.NET 框架,是微软公司支持生成和运行下一代应用程序和 XML Web Services 的内部 Windows 组件,代表了未来技术发展方向。 XML Web services 允许应用程序通过 Internet 进行通讯和共享数据,而不管所采用的是哪种
29、操作系统、设备或编程语言。Microsoft .NET 平台提供创建 XML Web services 并将这些服务集成在一起之所需。对个人用户的好处是无缝的、吸引人的体验。ASP.NET 页和控件框架是一种编程框架,它在 Web 服务器上运行,可以动态地生成和呈现 ASP.NET 网页。ASP.NET 作为新一代 Web 应用开发模式,其开发是基于组件模型的,这样就大大的加快了开发效率,减少的了出错的机会。用户可以从任何浏览器或客户端设备请求 ASP.NET 网页,ASP.NET 会向请求浏览器呈现标记(例如 HTML) ,然后浏览器才会展现出丰富多彩的网页内容。ASP.NET 网页是完全面
30、向对象的。在 ASP.NET 网页中,可以使用属性、方法和事件来处理 HTML 元素。ASP.NET 页框架为响应在服务器上运行的代码中的客户端事件提供统一的模型,从而使您不必考虑基于 Web 的应用程序中固有的客户端和服务器隔离的实现细节。该框架还会在页处理生命周期中自动维护页及该页上控件的状态。这一点是传统 Web 应用程序开发技术所不能媲美的,基于这种机制,极大的方便了开发人员,提高了开发效率。而且,使用 ASP.NET 页和控件框架还可以将常用的 UI 功能封装成易于使用且可重用的控件用户控件。控件只需编写一次,即可用于许多页并集成到 ASP.NET 网页中。这些控件在呈现期间放入 A
31、SP.NET 网页中。湖 南 大 学 毕 业 设 计 (论 文 ) 第 13 页2.2 WebService面向服务的体系结构(service-oriented architecture,SOA )是一个组件模型,它将应用程序的不同功能单元(称为服务)通过这些服务之间定义良好的接口和契约联系起来。接口是采用中立的方式进行定义的,它应该独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种这样的系统中的服务可以以一种统一和通用的方式进行交互。这种具有中立的接口定义(没有强制绑定到特定的实现上)的特征称为服务之间的松耦合。松耦合系统的好处有两点,一点是它的灵活性,另一点是,当组成整个应用程
32、序的每个服务的内部结构和实现逐渐地发生改变时,它能够继续存在。而另一方面,紧耦合意味着应用程序的不同组件之间的接口与其功能和结构是紧密相连的,因而当需要对部分或整个应用程序进行某种形式的更改时,它们就显得非常脆弱。Web 服务是 Web 服务器上的一些组件,客户端应用程序可通过 Web 发出 HTTP 请求来调用这些服务。Web Service 主要是为了使原来各孤立的站点之间的信息能够相互通信、共享而提出的一种接口。 Web Service 所使用的是 Internet 上统一、开放的标准,如 HTTP、XML、SOAP(简单对象访问协议) 、WSDL 等,所以 Web Service 可以
33、在任何支持这些标准的环境(Windows,Linux)中使用。由于 Web 服务越来越依赖 XML,所以一般将 XML Web 服务简称为 Web 服务。.NET 平台上对于 Web Service 的支持是非常方便的,微软将这个组件与 ASP.NET集成在一起,且以 XML 为基础,所以通常叫做 ASP.NET XML WebService。本书下述内容如无特别说明,将 ASP.NET XML WebService 简称 WebService 或者 Web 服务。2.3 XMLXML 指可扩展标记语言(英文拼作 EXtensible Markup Language) ,并于 1998 年 2
34、月 10 日被确立为 W3C 标准。XML 已经成为业界的焦点,很多技术包括.NET 在内都是兼容或者基于 XML 标准。XML 有着广泛的用途,包括:1. XML 可以将 HTML 与数据分离湖 南 大 学 毕 业 设 计 (论 文 ) 第 14 页当我们使用 HTML 来显示数据时,数据存储于 HTML 中。通过使用 XML,数据可以被存储在单独的 XML 文件中。这样做的话,您就可以把注意力集中在使用 HTML 进行数据布局和显示上面,并确保底层数据的改变不会牵扯到 HTML 的改变。XML 数据也可作为数据岛存储于 HTML 页面内部。您仍然可以专注于使用 HTML 对数据进行格式化和
35、显示。2. XML 用于交换数据在现实世界中,计算机系统和数据库通过互不兼容的格式来容纳数据。对开发人员来说,其中一项最费时的挑战一直是在因特网上的系统之间交换数据。通过将数据转换为 XML,可以极大地降低这种复杂性,并创建可被许多不同类型的应用程序读取的数据。3. XML 可被用来共享数据由于 XML 数据存储为纯文本格式,XML 提供了独立于软硬件的数据共享解决方案。这使得不同的应用程序都可以更容易地创建数据。也更容易把某个系统扩展或更新为新的操作系统、服务器、应用程序以及浏览器。4. XML 可被用来创建新的语言XML 是 WAP 和 WML 之母。无线标记语言( WML)是由 XML
36、编写的。其他还有很多用途,这里不再一一列举,更让人期待的是 XML 无穷的潜力。湖 南 大 学 毕 业 设 计 (论 文 ) 第 15 页3.安全支付系统分析与设计3.1 系统需求分析某大型企业需要将自己的产品发布到互联网上,以电子商务的形式进行管理与销售。一个完整的网上支付系统应该是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在的金融体系为一体的基于 Internet 的综合系统。如图-所示。图- 网上支付系统基本构成图其中,支付网关是公用网和金融专用网之间的接口,支付信息必须通过支付网关才能进入银行支付系统,进而完成支付的授权和获取。电子商务交易中同时传输了两种信息:交易信息与
37、支付信息,必须保证这两种信息在传输过程中不能被无关的第三者阅读,包括商家不能看到其中的支付信息(如信用卡号、授权密码等) ,银行不能看到其中的交易信息(如商品种类、商品总价等) ,这就要求支付网关一方面必须由商家以外的银行或其委托的信用卡组织来建设,另一方面网关不能分析交易信息,对交易信息也只是起保护传输的作用,即这些保密数据对网关而言是透明的。本安全支付系统主要模拟实现支付网关的功能,包括服务器端和客户端两部分。支付模块主要功能包括支付申请、支付类型、支付跟踪与反馈情况。网站有简单界面演示,网站功能需要登陆后才可以使用。湖 南 大 学 毕 业 设 计 (论 文 ) 第 16 页支付申请需要根
38、据账号和密码作为用户身份认证手段,支付内容仅以金额表示。支付功能需要调用银行方面的接口。为了在网络中安全传输,传输内容需要加密。加密和解密采用简单对称加密算法作为演示。在实际使用过程中,可以方便的替换为其它算法,比如流行的 DES 或者 MD5,甚至是自定义的算法。本安全模块采用C+编写,编译为动态链接库文件。用户进行各种支付后,可随时查看支付记录,记录以持久化数据源的方式保存在银行端。银行方面提供支付跟踪功能,将保存的记录返回给调用方。3.2 系统整体设计根据系统需求分析,该安全支付系统需要完成的功能包括前台支付页面、安全加密功能和支付和跟踪功能三大部分。前台支付页面部分属于电子商务网站的一
39、部分,位于商家服务器端(见图-) 。安全加密部分属于支付网关,位于客户和客户开户银行之间以及商家和商家开户银行之间(见图-) 。支付和跟踪功能部分商家服务器端和银行服务器端都需要记录和支持。由此可知该系统涉及到三个方面,包括商家网站、安全传输和银行。所以我们将该系统分为三大部分,采用分层模拟的方式来实现。其网络应用结构图从见图-所示。湖 南 大 学 毕 业 设 计 (论 文 ) 第 17 页电子商务网站银行支付接口安全加密模块图- 系统网络应用结构图其中电子商务网站采用 ASP.NET 开发,实现与用户的界面交互。可以与商品发布、会员管理、店铺管理等模块集成到一起。安全加密模块采用 C+动态链
40、接库的方式,由于.NET 代码是基于 CLR 的托管代码,而 C+就属于非托管代码。所以安全模块的嵌入实际上就是托管代码与非托管代码的交互问题。银行支付接口采用 WebService 的方式发布。订阅服务的网站或者客户端可以直接调用银行 Web 服务。服务包括支付与支付跟踪等。3.3 系统功能模块划分该安全支付系统主要实现以下功能: 银行服务 支付服务(安全模块支持) 跟踪服务(安全模块支持)湖 南 大 学 毕 业 设 计 (论 文 ) 第 18 页 网站功能 身份验证 支付申请(安全模块支持) 支付查询(安全模块支持) 安全模块 加密 解密 系统维护系统流程图见图-所示。用户登陆身份验证支付
41、申请 支付查询信息加密银行服务图- 系统流程图湖 南 大 学 毕 业 设 计 (论 文 ) 第 19 页4.安全支付系统详细实现4.1 网站登录验证网站功能首先要求必须以合法用户登陆。本系统以账号模拟网站会员身份。图 4.1 登录界面登陆操作在此仅仅是假设性验证,在实际系统中需要连接用户表进行用户名和密码验证。登陆成功后的用户信息保存到 Session 中维护状态,这样避免了重复登陆的繁琐操作。系统会生成一个与该假设性用户相关的 xml 文件,用于保存该用户的定单与支付记录等数据。/ / 登录/ / / protected void btLogin_Click(object sender, E
42、ventArgs e)湖 南 大 学 毕 业 设 计 (论 文 ) 第 20 页Session“account“ = tbAccount.Text;Session“password“ = tbPassword.Text;Response.Redirect(“Welcome.aspx“);为了保证所有功能网页都能验证登陆,网站抽象出一个基类 BasePage,继承自该类的网页在初始化的时候都会验证用户是否登陆,否则不予提供服务。using System;using System.Web;/ / 页面基类/ public class BasePage : System.Web.UI.Page/ /
43、 验证用户是否登录/ / / protected void Page_Init(object sender, EventArgs e)if (Session“account“ = null) Response.Redirect(“UserLogin.aspx“);之所以在 Page_Init 事件方法中验证,是因为 Init 方法限于 Load 方法执行,也就说,每个页面都有自己的 Load 实现,但每个派生页面都是首先执行 BasePage 的 Init 事件方法。这样处理简化每页中都需要验证的工作量,并且方便扩展与维护。新用户登录,系统会生成一个与该假设性用户相关的 xml 文件,用于保存
44、该用户湖 南 大 学 毕 业 设 计 (论 文 ) 第 21 页的定单与支付记录等数据。现有用户则读取相应的 xml 文件bool IsNew = false;string filepath = Server.MapPath(“/App_Data/“ + account + “.xml“);/如果首次,记录文件if (!File.Exists(filepath)IsNew = true;string template = Server.MapPath(“/App_Data/template.xml“);File.Copy(template, filepath);/读取已有记录DataSet d
45、s = new DataSet(filepath);ds.ReadXml(filepath);if (IsNew)ds.Tables0.Rows.Clear();/先清空模板行return ds;下面是登录后的界面。图 4.2 登录后的界面湖 南 大 学 毕 业 设 计 (论 文 ) 第 22 页4.2 产品购买在这里我们假设出来一个产品列表供客户选择购买,其中包括产品的型号,品牌,价格,以及货单号。这些数据同样是存储在 XML 文件中,其中的货单号支持下面的支付功能。下面是产品列表湖 南 大 学 毕 业 设 计 (论 文 ) 第 23 页图 4.3 产品列表购买成功之后,将购买信息写入相应的
46、 xml 文件中if (e.CommandName = “Buy“)bool IsNew = false;int rowIndex = Convert.ToInt32(e.CommandArgument);string account = this.Session“account“.ToString();string filepath = Server.MapPath(“/App_Data/“ + account + “.xml“);/如果首次,记录文件if (!File.Exists(filepath)IsNew = true;string template = Server.MapPath
47、(“/App_Data/template.xml“);File.Copy(template, filepath);/读取已有记录DataSet ds = new DataSet(filepath);ds.ReadXml(filepath);if (IsNew)ds.Tables0.Rows.Clear();/先清空模板行DataRow newOrder= ds.Tables0.NewRow();湖 南 大 学 毕 业 设 计 (论 文 ) 第 24 页newOrder0 = this.GridView1.RowsrowIndex.Cells0.Text;newOrder1 = DateTime
48、.Now.ToString();newOrder2 = this.GridView1.RowsrowIndex.Cells2.Text;newOrder3 = this.GridView1.RowsrowIndex.Cells2.Text;newOrder4 = “待支付“;ds.Tables0.Rows.Add(newOrder);ds.WriteXml(filepath);this.Label1.Text = “购买成功“;4.3 网站支付申请当银行模块的支付服务发布后,使用该银行支付功能的在线交易平台就可以制作自己的交易页面,供本网站的交易客户付款。当然对于同一个银行支付接口服务来说可以为多个电子商务网站进行服务支持。本系统模拟一个电子商务网站的交易页面,界面如下:图 4.4 支付界面为了演示简单,该支付只要求用户输入金额。确认支付执行的操作实际是调用银行服务的支付功能,而引用支付服务要求知道付款人的帐号和密码。但考虑到信息的安全性,所以在传递账号和密码时进行了加密传输。/ 湖 南 大 学 毕 业 设 计 (论 文 ) 第 25 页/ 执行确认/ / / protected void btOK_Click(object sender, EventArgs e)double money = Convert.ToDouble(tbMoney.Text
