CN105577683B - 电商网站数据处理方法 - Google Patents

Abstract

本发明提供了一种电商网站数据处理方法，该方法包括：在ATM设备上构建了跨平台客户端应用，该客户端应用使用银行前端对云端服务器聚合后的第三方电商进行访问，以供客户在ATM设备上进行商品交易。本发明提出了一种电商网站数据处理方法，建立覆盖大范围的安全电商网络，推动电子商务在边远地区的发展，改善金融支付环境。

Description

电商网站数据处理方法

技术领域

本发明涉及电子商务，特别涉及一种电商网站数据处理方法。

背景技术

近年来，以移动应用、大数据为代表的新兴互联网技术的不断涌现，使电商大数据成为电子商务发展的新趋势。传统电商纷纷加速进军金融业，金融产品与其他实体产品交易一样，在电商网站中实现支付和结息操作。然而对于银行自身具有优势的交易渠道和客户资源的开发较少，特别是没有对ATM设备与互联网的电商相结合，因而无法很好发挥银行的客户资源和渠道优势。

发明内容

为解决上述现有技术所存在的问题，本发明提出了一种电商网站数据处理方法，包括：

在ATM设备上构建了跨平台客户端应用，该客户端应用使用银行前端对云端服务器聚合后的第三方电商进行访问，以供客户在ATM设备上进行商品交易。

优选地，位于银行内部的ATM电商系统由ATM设备、中间业务平台主机以及电商应用服务器和前端组成，完成与客户的自助交互以及扣款业务，同时生成订单提交给业务云平台；位于银行外部的业务云平台由呼叫中心和业务服务器组成，利用云平台承载，对ATM终端的商品交易数据进行处理，最终通过业务云平台与客户进行交互完成商品的下单；

所述第三方电商将路由器、交换机、防火墙、服务器设备采用双机冗余架构，将防火墙和入侵检测系统进行整合；在网络系统两端分别从外至内部署边界路由器、防火墙系统、入侵检测系统三层异构设备，同时在核心交换机上划分权限域，结合访问控制列表、网络地址转换、虚拟局域网，对网络、主机和ATM设备的运行日志、性能和状态进行实时监控；

其中划分权限域进一步包括：将各分支行划分为不同的权限域，在权限域边界部署防火墙设备，对端口、服务进行限制，总行内部的局域网使用VLAN、访问控制列表来实现对各功能区域的逻辑隔离；防火墙系统设置可信企业内部网和不可公共网或网络权限域之间，通过监测、限制和更改跨越防火墙的数据流，来屏蔽网络内部的信息；

在与电商平台连接的网络系统中部署入侵检测系统实时检测，分析网络上的通信和应用数据流，对进出权限域边界或进出存储有涉密信息的关键网段、服务器主机的通信数据流进行监控，及时发现违规和异常行为并进行处理，具体包括：

以旁路监听方式秘密监测网络信息包；根据实际业务需要定制规则，对特定的非法访问行为或除特定合法访问行为外的所有访问行为进行监控；分析应用协议，自动检测网络实时数据流中符合特征的攻击行为；维护一个病毒特征库，针对已经发现的病毒攻击提供相关事件规则。

本发明相比现有技术，具有以下优点：

本发明提出了一种电商网站数据处理方法，建立覆盖大范围的安全电商网络，推动电子商务在边远地区的发展，改善金融支付环境。

附图说明

图1是根据本发明实施例的电商网站数据处理方法的流程图。

具体实施方式

下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明，但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定，并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节，并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。

本发明的一方面提供了一种电商网站数据处理方法。图1是根据本发明实施例的电商网站数据处理方法流程图。

本发明实现了基于ATM设备的电商平台系统。该系统在ATM设备上构建了跨平台客户端应用，该客户端应用使用银行前端对云端服务器聚合后的第三方电商进行访问，实现了客户在ATM设备上进行商品交易。

整个系统由ATM电商系统与电商业务云平台两部分组成：位于银行内部的ATM电商系统由ATM设备、中间业务平台主机以及电商应用服务器和前端组成，该系统完成与客户的自助交互以及扣款业务，同时生成订单提交给业务云平台。位于银行外部的业务云平台由呼叫中心和业务服务器组成，该系统利用云平台承载，对ATM终端的商品交易数据进行处理，而且能够实现资源的弹性扩展，满足大并发的访问和大数据的挖掘需求。最终通过业务云平台与客户进行交互完成商品的下单。

互联网电商将其原有的网络架构结合ATM电商平台应用要求，将路由器、交换机、防火墙、服务器等关键设备采用双机冗余架构；通过安全管理平台，将防火墙和入侵检测系统等安全设备进行整合；为保障信息数据安全，在网络系统两端分别从外至内部署边界路由器、防火墙系统、入侵检测系统三层异构设备，同时在核心交换机上划分权限域，结合访问控制列表、网络地址转换、虚拟局域网，有效提高信息系统安全。对网络、主机和ATM设备等设备的运行日志、性能和状态等进行实时监控。

根据电商平台网络系统的安全需求，本发明制订的安全方案由多种安全技术和多层防护措施构成，具体包括：在网络层划分权限域，部署防火墙系统、入侵检测系统、桌面安全系统、防病毒系统和日志审核系统等。

将各分支行划分为不同的权限域，在权限域边界部署防火墙设备，对端口、服务等进行限制。总行内部的局域网使用VLAN、访问控制列表等技术来实现对各功能区域的逻辑隔离。防火墙系统设置可信企业内部网和不可公共网或网络权限域之间。通过监测、限制和更改跨越防火墙的数据流，来屏蔽网络内部的信息。

在与电商平台连接的网络系统中部署入侵检测系统实时检测，分析网络上的通信和应用数据流，对进出权限域边界或进出存储有涉密信息的关键网段、服务器主机的通信数据流进行监控，及时发现违规和异常行为并进行处理。具体包括：

(1)以旁路监听方式秘密监测网络信息包，使攻击者无法感知；

(2)根据实际业务需要定制相关规则，对特定的非法访问行为或除特定合法访问行为外的所有访问行为进行监控；

(3)分析应用协议，自动检测网络实时数据流中符合特征的攻击行为。

(4)维护一个病毒特征库，针对已经发现的病毒攻击提供相关事件规则；

日志审核系统通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志和系统运行状态各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合日志统计汇总及关联分析功能，实现对信息系统日志的全面审核。通过将电商平台内的路由器、防火墙、交换机和入侵检测系统等网络设备添加到日志审核系统内，管理员可随时了解整个系统的运行情况，及时发现系统异常事件。

ATM设备上部署电商平台应用，采用B/S架构，所有业务逻辑及界面展示集中在Web服务器端，对于系统的部署、升级和维护只须在服务器端进行操作即可。

用户在ATM设备上发起交易，插入银行卡并输入密码后，由ATM设备端进行密码验证操作，并将密码验证结果返回；如果密码验证成功，ATM设备端将电商应用置为前端，并将数据的传输由ATM电商平台服务器从电商方获取；用户购买支付后，ATM电商平台服务器将支付信息提交给银行中间业务平台，由中间业务平台与银行核心系统进行交易通信，并将交易结果返回给ATM电商平台服务器；ATM电商平台服务器将支付结果返回给用户，并同时将支付结果通过ATM电商平台前置提交至电商，用户支付成功后，电商发送交易成功通知至用户。

在用户ATM终端、银行、电商三方之间，本发明利用在ATM终端上搭载的的交易过程。在交易开始时生成一系列会话密钥，并通过加密手段传输，用对称算法替换了非对称算法，使得后续交互流程中整体减少非对称算法的计算量。

用户，银行中间业务平台，电商，防火墙来交换他们的数字证书，总共需要生成5个会话密钥S1-S5。会话密钥为对称密钥，进行如下交换：

将银行中间业务平台和用户之间的会话密钥S1使用用户的公钥加密并附带银行中间业务平台数字证书的方式发送给用户；用户收到银行中间业务平台的信息后解密，验证完整性及银行中间业务平台身份；用户确认银行中间业务平台身份无误后，生成回复信息并加密；银行中间业务平台收到用户的信息后解密，验证完整性及用户的身份。

将防火墙和用户之间的会话密钥S2使用用户的公钥加密发送给用户；用户收到防火墙的信息后解密，验证完整性及防火墙身份，生成回复信息并加密；防火墙收到用户的信息后解密，验证完整性及用户的身份。

将银行中间业务平台和电商之间的会话密钥S3使用电商的公钥加密并附带银行中间业务平台数字证书的方式发送给电商；电商收到银行中间业务平台的信息后解密，验证完整性及银行中间业务平台身份；确认银行中间业务平台身份无误后，生成回复信息并加密；银行中间业务平台收到电商的信息后解密，验证完整性及电商的身份。

将防火墙和电商之间的会话密钥S4使用电商的公钥加密发送给电商；电商收到防火墙的信息后解密，验证完整性及防火墙身份，生成回复信息并加密；防火墙收到电商的信息后解密，验证完整性及电商的身份。

将防火墙和银行中间业务平台之间的会话密钥S5使用银行中间业务平台的公钥加密发送给银行中间业务平台；银行中间业务平台收到防火墙的信息后解密，验证完整性及防火墙身份，生成回复信息并加密；防火墙收到银行中间业务平台的信息后解密，验证完整性及银行中间业务平台的身份。

至此，会话密钥已通过强安全性的手段发放到各参与者手中，可用于执行接下来的交易流程。

用户在银行中间业务平台上发起订单时，发送交易初始化信息给银行中间业务平台，银行中间业务平台接收信息，回复订单确认信息给用户；用户向银行中间业务平台发起正式付款申请；银行中间业务平台确认订单信息；防火墙确认订单信息，同时确认银行中间业务平台并未对订单进行修改；银行中间业务平台确认支付信息的完整性并传递；防火墙确认支付信息以及支付信息的完整性；银行中间业务平台验证数据包是否被篡改，让防火墙验证数据包是否被篡改；银行中间业务平台接收信息并解密验证完整性；银行中间业务平台确认处理完毕后，将支付信息传递给防火墙证明银行中间业务平台对订单内容未作修改，防火墙收到信息后解密验证完整性；防火墙对银行中间业务平台的支付申请信息进行应答，对授权信息加密，电商收到后也通过同一个对称密钥解密；银行中间业务平台对用户的支付请求进行应答；银行中间业务平台向用户发回确认，同意用户经过防火墙进入银行的网络进行付款操作；用户在银行的网络付款操作完成后，防火墙将付款完成信息发送给银行中间业务平台；

电商登录银行中间业务平台进行收款时：首先发起收款申请，银行中间业务平台确认收款信息，防火墙确认收款信息，同时确认银行中间业务平台并未对订单进行修改，银行中间业务平台接收信息后验证信息可靠性，银行中间业务平台将收款信息传递给防火墙，银行中间业务平台收到信息后，确认对订单内容未作修改，防火墙收到信息后验证信息可靠性，防火墙将确认结果通知银行中间业务平台，银行中间业务平台可实施转账操作；用银行中间业务平台与防火墙的会话密钥对授权信息加密，电商收到后也通过同一个对称密钥解密。银行中间业务平台对电商进行转账。

综上所述，本发明提出了一种电商网站数据处理方法，建立覆盖大范围的安全电商网络，推动电子商务在边远地区的发展，改善金融支付环境。

显然，本领域的技术人员应该理解，上述的本发明的各模块或各步骤可以用通用的计算系统来实现，它们可以集中在单个的计算系统上，或者分布在多个计算系统所组成的网络上，可选地，它们可以用计算系统可执行的程序代码来实现，从而，可以将它们存储在存储系统中由计算系统来执行。这样，本发明不限制于任何特定的硬件和软件结合。

应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (1)

1.一种电商网站数据处理方法，其特征在于，包括：

在ATM设备上构建跨平台客户端应用，该客户端应用使用银行前端对云端服务器聚合后的第三方电商进行访问，以供客户在ATM设备上进行商品交易；

所述方法还包括：

位于银行内部的ATM电商系统由ATM设备、中间业务平台主机以及电商应用服务器和前端组成，完成与客户的自助交互以及扣款业务，同时生成订单提交给业务云平台；位于银行外部的业务云平台由呼叫中心和业务服务器组成，利用云平台承载，对ATM终端的商品交易数据进行处理，最终通过业务云平台与客户进行交互完成商品的下单；

所述第三方电商将路由器、交换机、防火墙、服务器设备采用双机冗余架构，将防火墙和入侵检测系统进行整合；在网络系统两端分别从外至内部署边界路由器、防火墙系统、入侵检测系统三层异构设备，同时在核心交换机上划分权限域，结合访问控制列表、网络地址转换、虚拟局域网，对网络、主机和ATM设备的运行日志、性能和状态进行实时监控；

其中划分权限域进一步包括：将各分支行划分为不同的权限域，在权限域边界部署防火墙设备，对端口、服务进行限制，总行内部的局域网使用VLAN、访问控制列表来实现对各功能区域的逻辑隔离；防火墙系统设置在可信企业内部网和不可公共网或网络权限域之间，通过监测、限制和更改跨越防火墙的数据流，来屏蔽网络内部的信息；

在与电商平台连接的网络系统中部署入侵检测系统实时检测，分析网络上的通信和应用数据流，对进出权限域边界或进出存储有涉密信息的关键网段、服务器主机的通信数据流进行监控，及时发现违规和异常行为并进行处理，具体包括：

以旁路监听方式秘密监测网络信息包；根据实际业务需要定制规则，对特定的非法访问行为或除特定合法访问行为外的所有访问行为进行监控；分析应用协议，自动检测网络实时数据流中符合特征的攻击行为；维护一个病毒特征库，针对已经发现的病毒攻击提供相关事件规则。