第三方支付平台测试方法

第三方支付平台测试方法

作为网络交易的主要支付渠道，第三方网上支付平台在发卡银行、网上商户间提供了接口平台，在电子支付产业链中起到重 要的中介作用。面对这样的电子化信息系统及其网络交易中可能存在的风险，我们不得不实时地关注：第三方支付业务的流程是否能够正确实现、功能是否正确、网 上大量客户的并发交易会不会导致支付系统崩溃、支付系统的不稳定或者互联网诚信体系的不健全会不会影响网上购物和交易等等问题。

根据支付系统的业务流程和发展需要，下面从系统的测试重点出发，主要讨论第三方支付系统的功能、性能及安全性的测试方法。

功能测试方法

在对第三方支付平台实施测试过程中，应采用黑盒测试策略，使用等价类划分、边界值分析、因果图法、判定表法、正交试验法、功能图法等测试用例设 计方法的原理与实现，分别对第三方支付系统的功能、第三方账户和交易风险监控、系统性能及安全性等测试指标项进行测试。黑盒测试法应制订覆盖全部功能模块 的测试用例，通过执行测试用例以实现系统功能、业务流程和其它质量特性的测试。

针对第三方支付平台的业务功能，如“会员管理、账户管理、中间账户资金管理、差错处理、资金结算、对账处理、统计报表”等等，应综合应用各类测 试设计方法：首先对业务流程进行等价类划分，设计的测试用例应是业务主流程和流程主分支的最小集，所有的判别分支都能被覆盖，在流程覆盖的同时，完成等价 功能的测试;采用边界值分析法，针对功能说明中的输入输出域，进行边界值和极限值的设计和测试;采用逆向思维方式，结合以往测试经验和直觉设计软件在功能 和流程上可能存在的各种错误，靠经验用错误推测法追加一些测试用例，进行容错性测试;针对程序功能说明有各种输入条件组合的，用因果图和判定表驱动法进行 测试;参数配置类的情况，用正交试验法选择较少组合方式达到最佳效果;功能图法通过不同时期条件的有效性设计数据;对于业务清晰且复杂的系统利用场景法贯 穿整个测试过程。

性能测试方法

性能测试使用并发负载、大数据量、速度、网络故障分析及性能优化、网络应用性能监控等测试方法。在性能测试时，通过构建与真实环境相同配置、数 据规模满足系统未来三年业务发展需要的压力测试环境，采用自动化测试工具模拟最终用户向服务器发起业务请求，创建压力测试脚本程序，对测试过程中系统各点 进行资源监控，最后形成压力测试结果分析报告。

采用并发性能测试方法，模拟不同数量并发用户执行关键业务，如“支付、退款、预存”等，测试系统能够承受的最大并发用户数，在进行负载操作压力测试的同时，用测试工具对数据库服务器、应用服务器、认证及授权服务器上的操作系统、数据库以及中间件等资源进行监控。

大数据量测试主要包括单独的数据量测试及与并发性能测试相结合的综合测试。独立的数据量测试指针对系统的存储、传输、统计、查询等业务进行的大 数据量测试，如“余额查询、卡交易明细查询、账单批处理”等;综合数据量测试指和压力性能测试、负载性能测试、疲劳性能测试相结合的综合测试，测试数据的 准备借助于测试数据管理与生成工具。

速度测试主要检测系统关键操作的效率，例如统计报表查询等速度。通常是采用系统稳定运行情况下能够支持的最大并发用户数，持续执行一段时间业务，通过综合分析交易执行指标和资源监控指标来确定系统处理最大工作量强度性能的过程。

网络故障分析和性能优化主要测试网络带宽、延迟、负载和TCP端口的变化是如何影响用户的响应时间。同时在系统试运行之后，对网络的应用性能监控，及时准确地了解网络上正在发生什么事情，什么应用在运行，哪些应用程序导致系统瓶颈或资源竞争等等进行分析。

安全性测试方法

系统安全性检测针对安全不同层面的不同内容，主要采用访谈、检查及使用安全测试工具的方法进行考查。针对系统安全不同考查点，指定相应的访谈表、检测表及测试表。从安全测评的技术层面上讲，安全技术测评主要包括网络安全、主机安全、应用安全及数据安全四方面的内容。

网络安全主要从网络设备、网络架构以及网络安全产品等方面进行检测，如：对于防病毒软件可以从防病毒的策略、管理策略、分发策略等方面进行测试 与评估;也可通过模拟不同种类的尝试性探测手段，利用系统存在的漏洞，检测系统漏洞可能造成的危害。可辅助使用网络隐患扫描工具对整个非金融机构支付服务 系统网络中心执行网路设备漏洞扫描。

主机安全主要针对主机自身安全行、相关策略的测试。例如，主机用户权限分配合理性审查;可辅助使用网络隐患扫描工具检查卡系统服务其漏洞;日常使用记录检查，操作规范检查等。

应用安全主要采用软件测试当中的黑盒测试方法，对涉及安全的软件功能，如：用户管理模块、权限管理模块、日志管理、加密系统、认证系统等进行测试，主要采用黑盒测试方法验证上述功能是否有效，还可辅助使用页面安全测试工具进行应用系统漏洞检测。

数据安全可以通过网络上捕获数据包的方式验证数据在传输过程中是否采用加密措施，可辅助使用嗅探测试工具执行数据包抓获;第三方支付平台的支付的接口、支付的入口、与各个银行的数据接口安全等接口检查测试等。