中国电信公司移动支付系统解决方案

中国电信公司移动支付系统解决方案1中国某电信公司电子商务平台概述中国某电信公司电子商务平台分为两层：支撑层和业务层，支撑层为电子商务业务的开展提供支撑功能，包括认证系统、支付系统、移动终端安全系统以及整个电子商务业务的计费和结算系统；业务层包括各种具体的电子商务业务以及为各种业务提供公共服务功能的业务平台。电子商务平台的体系结构如下图所示。1.1支撑层支撑层包括认证系统、支付系统、移动终端安全系统和计费结算系统。认证系统采用集中建设方式，在总部建设CA中心，在部分省建设RA中心，利用某电信公司现有营业厅和营业终端建设业务受理点。没有RA中心的省如果需要开展证书申请业务，可以建设业务受理点并连接到试点省RA中心。支付系统采用全国中心和省中心两级结构，全国中心负责全国性的商家接入、跨省的异地支付，并负责省际结算；省中心负责本省内的支付和与本省商家的结算。移动终端安全系统为各种基于移动终端的电子商务业务提供安全保证，包括终端身份的确认、从终端到应用系统之间的数据加密等。计费和结算系统为所有电子商务业务提供计费和结算功能，各种业务系统只负责原始话单采集和计费结算参数的维护。1.2业务层业务层负责各种电子商务业务的开展，为便于新业务的开展，降低以后新系统的开发量，将各种业务所需的公共功能作为业务平台建设，各种电子商务业务应用依托业务平台开发。业务平台包括用户接入认证、交易处理、支付和认证接口、计费和结算接口等功能。2某电信公司电子商务平台支付系统概述2.1支付方式中国某电信公司电子商务平台支付系统支持以下支付方式：•基于计算机终端和某电信公司业务资源的支付，用户通过计算机终端和浏览器使用某电信公司话费等业务资源进行网上支付；•基于移动终端和某电信公司业务资源的支付，用户通过某电信公司手机以WAP、短信、JAVA、BREW等方式使用某电信公司业务资源进行支付；•基于计算机终端和银行账号的支付，这也是目前比较常见的支付方式，需要支持B2B和B2C业务，同时支持SET和非SET支付方式；•基于移动终端和银行账号的支付，用户通过某电信公司手机以WAP、短信、JAVA、BREW等方式使用银行账号进行支付，该方式或者提供可靠的安全措施保证只有银行可以获取用户账号、密码等信息，或者由银行对用户账号进行特殊处理，设置专门的电子商务支付账户并进行支付金额的限制。2.2层次结构根据中国某电信公司的支付系统的软件功能需求、某电信公司电子商务平台结构、以及中国某电信公司的业务特点，可以将支付系统软件分为三层：支付接口层、业务逻辑层和后台业务接口层。如下图所示：相关说明：支付接口层，接受电子商务应用系统的支付请求并转发到业务逻辑层，本层应支持与应用系统的身份认证和数据加解密；业务逻辑层，处理支付业务数据，完成主要业务功能、系统管理功能，如支付、日志记录、冲正、退款、对账、计费、结算等，具体见支付系统软件功能部分；业务接口层，支付业务数据经过处理后，将支付数据转发银行或某电信公司业务支撑系统，完成支付处理，与银行或业务支撑系统的接口需要根据银行或业务支撑系统的要求，提供相应的安全功能。2.3系统功能支付系统功能如下：（1）支付接口支付接口负责受理用户和商家发送的支付请求，对请求进行处理后转换为标准格式发送到支付处理模块。支付系统对外提供多种接口方式，对于计算机终端用户提供浏览器重定向方式和支付网关方式的接口模块，商家通过接口模块将用户支付请求转发到支付系统并发送支付参数（订单信息等）完成支付；对于移动终端用户提供WAP方式的浏览器重定向支付接口或直接提供应用层接口，商家可以将用户手机号码、支付金额等信息直接发送到支付系统，也可以由支付系统提供WAP页面，用户在页面中输入手机号码、密码等信息。（2）支付处理：支付处理功能完成具体的支付业务处理，包括转账、退款、冲正、日志记录等，支付处理根据用户的支付种类进行相应的处理，并完成与财务管理相关的各种账务功能。（3）与其它系统接口：支付系统处理银行账号支付和某电信公司业务资源支付时分别需要连接银行支付网关和某电信公司综合账务系统，因此需要与上述系统的接口，银行接口用于支付请求的转发，需要支持B2B和B2C方式；某电信公司综合账务接口用于扣费请求和确认。上述接口应遵循银行及综合账务系统现有接口标准。（4）结算：由于支付系统需要向连接本系统的商家收取支付手续费，因此需要提供与商家的结算功能，由于电子商务平台将建设统一的计费结算系统，因此支付系统负责采集原始话单，将原始话单和结算规则发送到结算系统中处理，另外还需要提供与商家的对账功能。（5）系统管理：包括商家管理，在支付平台中注册和管理不同类型的商家资料，商家可以在支付平台查询自己的历史交易记录；网络管理，采用SNMP，ICMP等协议对支付系统设备进行管理，且提供专用的接口，对系统软件和应用软件进行实时监控；统计分析，对支付系统的业务记录进行汇总和分析，提供各种统计分析报表；操作员管理，对支付平台的操作员进行管理。3移动支付解决方案3.1支付类型中国某电信公司与中国银联合作提供给用户的支付类型包括两种：移动终端支付和网上支付，考虑到某电信公司的优势在于大量的移动客户资源，本期工程首先开展各种基于移动终端的电子商务，包括代收费和手机银行等，在此基础上再开展网上支付。本期工程中移动终端用户可以通过手机使用短信、Wap、Brew、语音等接入方式完成基于银联卡的支付业务，并首先开展基于某电信公司业务的支付服务（缴费、购卡等），然后扩展到社会上其它商家的支付（购买彩票、购物等）。随着某电信公司电子商务业务的推广，中国某电信公司电子商务平台后续工程将开展网上银行、网上购物等商务活动，支付系统将与银联网上银行支付网关相连，完成网上支付功能。3.2业务模式在中国某电信公司电子商务平台上开展的移动支付业务，遵循以下业务模式1、用户通过银联ATM/POS网络建立银行卡号与手机号码绑定关系。2、中国某电信公司手机支付系统负责用户接入、商家接入、业务逻辑处理等功能，中国银联为中国某电信公司手机支付系统提供支付功能。3、支付交易过程中以手机号作为交易身份验证标识，不涉及银行帐户及密码等敏感信息，交易时中国某电信公司手机支付系统与中国银联之间的数据传输只有手机号码和指令码。4、中国某电信公司手机支付系统为中国银联及商家提供管理服务。5、充分利用银行卡号和手机号码的唯一性，为普通SIM卡用户提供手机支付功能。3.3业务类别中国某电信公司电子商务平台移动支付系统上开展的业务类别主要包括如下两类1、开展某电信公司自身业务，如移动话费缴费、某电信公司的IP卡业务等。资金流程是用户根据中国某电信公司业务服务价格转账至中国某电信公司开户行帐号2、为SP服务商提供手机支付运行平台，如买彩票、游戏卡类等。资金流程是用户根据商家产品或服务价格转账至商家开户行帐号其次，通过某电信公司移动支付系统近期开展业务，如手机缴费业务、银行帐务查询、手机购移动虚拟卡业务、手机购买游戏卡业务、彩票投注业务等。通过某电信公司移动支付系统远期开展业务，如交通违章缴款、手机水、电费缴纳、手机捐款、银行业务、手机购买保险、电子票务、传统票务、网上购物、商场购物等3.4逻辑架构按照中国某电信公司的支付系统的软件功能需求、某电信公司电子商务平台结构、以及中国某电信公司的业务特点，支付系统软件分为三层：支付接口层、业务逻辑层和后台业务接口层。支付接口层负责对外提供统一的支付接口；业务逻辑层完成具体的业务处理和各种管理功能；业务接口层实现与某电信公司综合营账系统以及银行系统的接口转换。支付系统的层次结构如下图所示。银联业务接口层：支付业务数据经过处理后，通过银联业务接口层将支付数据转发银联，完成支付处理。其次，由于基于银行卡支付方式的特殊性，银行业务接口层还需要承担支付系统业务逻辑层不能完成的功能。3.5体系结构按照前述支付系统的层次结构，与银联的接口模块属于支付系统的接口层，该模块负责完成银联支付接口协议与某电信公司支付系统内部协议的转换，在本系统中将配置一台专用的银联支付接口机完成上述功能。目前某电信公司支付系统采用集中建设（全国中心加虚拟省中心）的方式，银联支付接口由全国中心统一完成，各省支付请求全部转发到全国中心完成；以后各省建设独立的支付省中心后，将由各省完成与当地银联的接口。3.6网络结构3.7用户注册移动终端用户在开展银联支付方式前，用户先必须在银联的ATM、POS、IVR等完成移动终端用户手机号码之间的绑定关系。其次银联应把移动终端用户在银联方建立的手机号码与银联卡号之间的绑定关系实时传送给用户。同时以银联的用户绑定关系资料为准，某电信公司电子商务平台用户资料同步银联用户绑定关系资料。3.8对应关系通过银联（各银行）的ATM、POS等银行接口设备，建立移动终端用户手机卡号与银行帐户之间的一一对应关系。为方便用户使用，在建立两种的对应关系中，允许多个移动手机号码对应一个银行卡号，但一个银行卡号只能对应一个手机号码。3.9密码管理某电信公司电子商务平台收到银联发送的用户绑定信息后，系统自动为该移动终端用户产生一个手机支付交易密码，并以短信的方式把该密码发送给用户。以后，移动终端用户通过银行卡进行支付时，某电信公司电子商务平台根据该密码对用户进行鉴权认证。其次，用户通过短信等方式查询、修改该交易密码。对于安全要求比较高的用户也可以采用动态口令的方式，以防止密码被截获。3.10系统结算某电信公司电子商务平台将建设统一的结算系统，完成与银行和商家的结算。3.11安全管理1)移动终端安全：中国某电信公司对于移动终端的各种不同接入方式将提供相应的安全手段，除基本的密码方式外，对于短消息方式，不用STK时，采用封闭网络保证安全，使用STK时，在应用层对短消息进行加密；对于WAP1.2，通TLS+SSLTLS保证两段传输安全；对于WAP2.0，通过端到端的TLS保证安全；对于BREW方式由应用层与移动终端动态口令系统共同保证安全。2)银联传输安全：为保证某电信公司电子商务平台与银联之间的数据安全，对于交易双方在网络上传输的数据都必须进行安全处理，通常情况下采用证书认证系统来进行身份认证和数据加密。与银联进行交易过程中，对于敏感交易信息，可以采用中国某电信公司提供的证书和银行提供的证书进行数字签名和数据加密3)业务安全管理：手机用户在银联建立手机号码与银行帐号的对应关系；支付平台不保留用户帐号关键信息，在交易过程中只将手机号码、交易金额等内容发送到银联，并不涉及用户帐号及密码，因此避免了支付安全问题。4移动支付业务功能流程通过移动终端开展的某电信公司电子商务业务活动，某电信公司电子商务平台支持移动终端用户的多种使用方式如短信、BREW、WAP、IVR等方式。下面以短信方式描述银联支付业务流程。4.1建立建立绑定关系流程为方便移动终端用户使用某电信公司电子商务平台业务，同时保证移动终端用户交易的安全，在移动终端用户使用银行帐户进行支付之前，通过某电信公司电子商务平台和银联为移动终端用户建立移动终端用户卡号与该用户的银行卡号之间的绑定关系，确保用户交易安全。移动终端用户在开展基于银行帐户支付方式之前，用户需要通过银行POS、ATM或银行IVR等建立移动终端用户卡号与该用户的银行卡号之间的绑定关系，该关系保存在银联和某电信公司电子商务两个平台中。在具体的操作过程中，银行或银联修改POS、ATM等设备的功能菜单，增加移动终端手机号码与银行卡建立对应关系栏。用户只有通过POS、ATM鉴权后，就可以建立手机卡号与该用户的银行卡号的对应关系。以下是移动终端用户通过银联系统建立银行卡号与移动终端手机号码绑定关系的流程图1）银联/银行POS机上根据菜单提示提出手机号码与银行帐号绑定关系请求。2）银联/银行根据用户请求将用户手机号码送到某电信公司电子商务平台进行用户鉴权。3）某电信公司电子商务平台将手机号码验证请求发送到某电信公司BOSS进行用户鉴权。4）某电信公司BOSS检测用户手机号码是否合法，然后将结果返回给某电信公司电子商务平台。某电信公司电子商务平台