淺談第三方電子支付平臺測試方法的研究

第三方支付平臺的功能和結構特色

　　在信用方面，第三方支付平臺做爲中介，在網上交易的商家和消費者之間做一個信用的中轉，經過改造支付流程來約束雙方的行爲，從而在必定程度上緩解彼此對雙方信用的猜疑，增長對網上購物的可信度。

　　在技術層面，第三方支付平臺承擔安全保障和技術支持的做用，提供一系列的應用接口程序，支持多家銀行的多卡種支付，將多家簽約銀行的支付方式整合到一個界面上，負責交易結算中心與銀行的對接。銀行與商家經過接入第三方支付平臺實現二次結算，並採用國際先進SSL加密模式，在銀行、消費者和商家之間傳輸和存儲資料。第三方支付服務商所提供的支付系統可以承載很大的數據量、吞吐率，並具備極高的支付成功率。同時還能夠根據不一樣用戶的須要，對界面、功能等進行調整，增長個性化和人性化的特徵。

　　目前國內出現了數百個第三方支付平臺，這些平臺的業務模式和技術實現方法不盡相同，但平臺的結構則具備一個類似的基本點，即第三方支付平臺前端直接面對網上客戶，平臺的後端鏈接各家商業銀行，或經過人民銀行的相關支付系統鏈接各家商業銀行。

　　第三方支付平臺業務流分析

　　根據電子支付產業鏈的分析咱們看到，第三方支付最初的支付模式只是做爲銀行和網上商戶的中介，這就是第三方支付「通常模式」；隨着支付業務的發展，小商戶和網民之間的信用風險致使了「提供擔保」的支付模式。

　　第三方支付通常模式的流程：在中國，消費者經過第三方網上支付平臺進行支付通常必須涉及到髮卡銀行(網銀)、網上商戶和第三方網上支付平臺。一個典型的消費交易，經過第三方網上支付平臺支付的流程圖以下：

第三方支付通常模式流程說明

　　通常支付流程以下:

　　a)網上消費者瀏覽檢索商戶網頁，並在商戶網站選擇商品、下訂單；

　　b)商戶網站列出能夠選擇的支付網關，消費者選擇其一，商戶網站將鏈接到第三方支付網關的支付頁面；

　　c)網上消費者在第三方支付平臺的支付頁面，選擇相應的銀行、卡種；

　　d)第三方支付平臺將網上消費者的支付信息，按照各銀行支付網關的技術要求，傳遞到各相關銀行，進入銀行支付頁面；

　　e)銀行(銀聯)提供輸入卡號、金額、密碼等關鍵信息的安全頁面；網上銀行轉發給銀行帳務系統，由相關銀行(銀聯)檢查相應帳戶(網上消費者)的支付能力，實行凍結、扣帳或劃帳，並將帳務系統的處理結果返回給網上消費者自己和第三方支付平臺；

　　f)第三方支付平臺將支付結果轉發給網上商戶；

　　g)網上商戶確認收到成功支付應答的，向網上消費者發貨或提供服務；

　　h)第三方平臺根據協議於次日或約定的週期向商戶支付扣除手續費後的資金；第三方平臺爲網上商戶提供差錯交易處理的服務；

　　i)第三方平臺做爲商戶與網上銀行對賬，覈對資金、覈對；第三方平臺表明網上商戶與網上銀行處理差錯交易。

　　從整個過程上來看，多家銀行和簽約商家經過支付網關連成通道，消費者經過第三方支付平臺付款給商家，經過第三方支付爲商家提供一個能夠兼容多銀行支方式的接口平臺。

　　第三方支付擔保模式的流程：第三方支付擔保模式，也稱爲信用中介型模式。該種運營模式，基本是由大型的電子交易平臺獨立開發或與其餘投資人共同開發，憑藉運營商的實力和信譽與各大銀行合做，同時可以爲買賣雙方提供中間擔保的第三方支付運營模式。這種模式的運營商主要是藉助電子交易平臺和中間擔保支付平臺與用戶開展業務，在交易過中採用充當信用中介的模式，保證交易的正常進行。

　　以支付寶模式流程爲例，其具體運行流程是:

支付寶模式流程說明

　　以支付寶支付模式爲例，其具體運行流程是:

　　a)買家肯定購買以後從支付寶的我的帳戶中劃撥出來，保留在支付寶監管帳戶中；事先用戶應當保證帳戶中有足夠的資金；若是餘額不足，支付寶會自動跳轉到充值頁面，讓客戶經過網銀充值；

　　b)支付寶扣帳成功後，通知賣家發貨；

　　c)賣家經過其配送渠道向買家發貨；

　　d)待買方收到商品並確認無誤後，通知支付寶收到貨物；

　　e)支付寶將監管帳戶中資金劃撥到賣家在支付寶的帳戶中。

　　支付寶做爲代收代付的中介，主要是爲了維護網絡交易的安全性。

　　在網上交易中， 客戶在商家網站下訂單後，先把貨款付給你們都信任的第三方中介機構，在商家知道貨款己到第三方中介機構後把貨物發送給客戶。若是客戶對貨物滿意，貨款就經過第三方中介機構付給商家；若是不滿意，客戶把貨物返回給商家，並從第三方中介機構處取回貨款。

　　第三方支付平臺測試方法

　　從上述的兩種支付流程來看，做爲網絡交易的主要支付渠道，第三方網上支付平臺在髮卡銀行、網上商戶間提供了接口平臺，在電子支付產業鏈中起到重要的中介做用。面對這樣的電子化信息系統及其網絡交易中可能存在的風險，咱們不得不實時地關注：第三方支付業務的流程是否可以正確實現、功能是否正確、網上大量客戶的併發交易會不會致使支付系統崩潰、支付系統的不穩定或者互聯網誠信體系的不健全會不會影響網上購物和交易等等問題。

　　目前亟待解決的問題就集中在；如何經過有效地方法和策略以驗證第三方支付系統的功能是否正確實現，是否會形成網絡擁堵及如何經過現有的網絡技術如Internet Web、數據加密、防火牆技術、各類交易協議、客戶端瀏覽技術和軟件等，使得客戶和商家能透明安全地進行交易等。所以，爲了防範第三方支付系統的交易風險，保障系統的穩定運行，必須考慮採起強有力的措施加以管理和控制，積極地引入軟件測試，強化系統質量測試和安全評估，爲網絡交易支付系統提供可靠地服務保證。

　　根據支付系統的業務流程和發展須要，下面從系統的測試重點出發，主要討論第三方支付系統的功能、性能及安全性的測試方法。

　　功能測試方法

　　在對第三方支付平臺實施測試過程當中，應採用黑盒測試策略，使用等價類劃分、邊界值分析、因果圖法、斷定表法、正交試驗法、功能圖法等測試用例設計方法的原理與實現，分別對第三方支付系統的功能、第三方帳戶和交易風險監控、系統性能及安全性等測試指標項進行測試。黑盒測試法應制訂覆蓋所有功能模塊的測試用例，經過執行測試用例以實現系統功能、業務流程和其它質量特性的測試。

　　針對第三方支付平臺的業務功能，如「會員管理、帳戶管理、中間帳戶資金管理、差錯處理、資金結算、對帳處理、統計報表」等等，應綜合應用各種測試設計方法：首先對業務流程進行等價類劃分，設計的測試用例應是業務主流程和流程主分支的最小集，全部的判別分支都能被覆蓋，在流程覆蓋的同時，完成等價功能的測試；採用邊界值分析法，針對功能說明中的輸入輸出域，進行邊界值和極限值的設計和測試；採用逆向思惟方式，結合以往測試經驗和直覺設計軟件在功能和流程上可能存在的各類錯誤，靠經驗用錯誤推測法追加一些測試用例，進行容錯性測試；針對程序功能說明有各類輸入條件組合的，用因果圖和斷定表驅動法進行測試；參數配置類的狀況，用正交試驗法選擇較少組合方式達到最佳效果；功能圖法經過不一樣時期條件的有效性設計數據；對於業務清晰且複雜的系統利用場景法貫穿整個測試過程。

　　性能測試方法

　　性能測試使用併發負載、大數據量、速度、網絡故障分析及性能優化、網絡應用性能監控等測試方法。在性能測試時，經過構建與真實環境相同配置、數據規模知足系統將來三年業務發展須要的壓力測試環境，採用自動化測試工具模擬最終用戶向服務器發起業務請求，建立壓力測試腳本程序，對測試過程當中系統各點進行資源監控，最後造成壓力測試結果分析報告。

　　採用併發性能測試方法，模擬不一樣數量併發用戶執行關鍵業務，如「支付、退款、預存」等，測試系統可以承受的最大併發用戶數，在進行負載操做壓力測試的同時，用測試工具對數據庫服務器、應用服務器、認證及受權服務器上的操做系統、數據庫以及中間件等資源進行監控。

　　大數據量測試主要包括單獨的數據量測試及與併發性能測試相結合的綜合測試。獨立的數據量測試指針對系統的存儲、傳輸、統計、查詢等業務進行的大數據量測試，如「餘額查詢、卡交易明細查詢、帳單批處理」等；綜合數據量測試指和壓力性能測試、負載性能測試、疲勞性能測試相結合的綜合測試，測試數據的準備藉助於測試數據管理與生成工具。

　　速度測試主要檢測系統關鍵操做的效率，例如統計報表查詢等速度。一般是採用系統穩定運行狀況下可以支持的最大併發用戶數，持續執行一段時間業務，經過綜合分析交易執行指標和資源監控指標來肯定系統處理最大工做量強度性能的過程。

　　網絡故障分析和性能優化主要測試網絡帶寬、延遲、負載和TCP端口的變化是如何影響用戶的響應時間。同時在系統試運行以後，對網絡的應用性能監控，及時準確地瞭解網絡上正在發生什麼事情，什麼應用在運行，哪些應用程序致使系統瓶頸或資源競爭等等進行分析。

　　安全性測試方法

　　系統安全性檢測針對安全不一樣層面的不一樣內容，主要採用訪談、檢查及使用安全測試工具的方法進行考查。針對系統安全不一樣考查點，指定相應的訪談表、檢測表及測試表。從安全測評的技術層面上講，安全技術測評主要包括網絡安全、主機安全、應用安全及數據安全四方面的內容。

　　網絡安全主要從網絡設備、網絡架構以及網絡安全產品等方面進行檢測，如：對於防病毒軟件能夠從防病毒的策略、管理策略、分發策略等方面進行測試與評估；也可經過模擬不一樣種類的嘗試性探測手段，利用系統存在的漏洞，檢測系統漏洞可能形成的危害。可輔助使用網絡隱患掃描工具對整個非金融機構支付服務系統網絡中心執行網路設備漏洞掃描。

　　主機安全主要針對主機自身安全行、相關策略的測試。例如，主機用戶權限分配合理性審查；可輔助使用網絡隱患掃描工具檢查卡系統服務其漏洞；平常使用記錄檢查，操做規範檢查等。

　　應用安全主要採用軟件測試當中的黑盒測試方法，對涉及安全的軟件功能，如：用戶管理模塊、權限管理模塊、日誌管理、加密系統、認證系統等進行測試，主要採用黑盒測試方法驗證上述功能是否有效，還可輔助使用頁面安全測試工具進行應用系統漏洞檢測。

　　數據安全能夠經過網絡上捕獲數據包的方式驗證數據在傳輸過程當中是否採用加密措施，可輔助使用嗅探測試工具執行數據包抓獲；第三方支付平臺的支付的接口、支付的入口、與各個銀行的數據接口安全等接口檢查測試等。

　　小結

　　經過上述對第三方支付平臺的功能、支付模式及測試方法的分析，咱們應儘量的避免第三方支付系統建設的風險，爲支付系統網絡交易提供可靠地服務保證。經過對互聯網第三方支付系統的測試，以客觀、公正評估系統是否可靠和知足正常運營，是否符合人民銀行對第三方電子支付平臺服務系統的安全等各方面要求，保障我國電子支付系統的安全穩定運行。