电子支付的基本流程范文

前言：我们精心挑选了数篇优质电子支付的基本流程文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

关键词：医院 电子支付业务 内部控制

夜上海论坛 随着这几年“互联网+”的飞速发展，互联网微信支付、支付宝、银联支付已经进入到各行各业，深入到我们生活中的每一个角落。网络购物、超市购物，甚至菜市场、地边摊购物都可以用微信支付、支付宝支付。对于就医来说，除了医疗品质，良好的就医环境、便捷的就医流程、较少的排队等候、方便快捷的付款方式成了忙碌的现代人就医选择的重要因素。

根据国家卫计委调查表明，医疗服务领域群众感受最强烈的突出问题主要集中在就诊环境、医院标识、服务流程、信息透明、纠纷投诉等领域。创造良好的就诊环境、提供便捷就医、人民群众就医感受明显改善等是医院的奋斗目标。当今医院为了适应当前患者的需求，提供便捷就医、改善人民群众就医感受，不断推出各项措施。例如，为了不断提高患者就医的便利性，医院引进微信等方式，实现微信预约、挂号、缴费、住院押金缴纳、门诊住院清单查询、检验检查结果反馈、满意度投票等功能，并引进电子支付方式，例如微信支付、支付宝、自助银行服务机、网上团购体检套餐（包括支付宝、财付通等）支付方式等，由此带来的风险点越来越多，从内部审计的角度监督风险点，降低风险，从而提高互联网业务财务管理水平就显得尤其重要。

夜上海论坛 因电子支付、第三方支付的介入，再加上医院预约挂号、取消预约、退号、预缴住院押金、出院结算多还少补的特色，导致医院电子支付与普通商户的电子支付复杂很多，医院结算对账难度增大，增加了很多风险防控点。比如，医院信息系统与自助机系统、银联或第三方支付系统与医院系统、信息系统银联之间的划账、应收款与实际收款时间点、收费员交款与银行到账、微信支付宝退费（因某些原因患者在就诊日期前取消预约挂号、收款时患者未要求提供纸质收款凭据）等都是应该从内部控制角度来设计管理方案的。

如果可以做到先诊疗后付费的话，则电子支付就会简单快捷，财务对账也会大大提高方便性。医保患者APP的应用也是一个大的发展趋势，大城市基本都覆盖了医保人群，基本实现实时记账，而且大城市的子支付率越来越高。也就是说只有医保人员也可以使用电子支付了，医疗行业的电子支付率才能得到大幅提升，从而实现真正的便捷性。随着电子支付比例的增大，电子支付收费环节的内部控制的重要性直接影响到医院运营的安全性。从电子支付、结算业务流程中去发现风险点，设置防控点，堵住漏洞，不断利用Plan、Do、Check、Act（即PDCA）完善互联网电子支付的内部控制水平。

参考文献：

[1]田春华.内部审计在公立医院风险管理中的职责与作用[J].财经界（学术版），2014（14）.

第2篇

夜上海论坛 [关键词] 电子支付SETSTTP

一、引言

在电子支付系统中主要有TLS/WTLS和SET两种协议。前者的主要缺点在于安全性不高，但是基于前者构建的电子支付系统实现简单，身份验证时间短，消费者端和电子商店端的负担都不大。而SET协议为了保证系统最大的安全性，在工作流程的每一步都需要进行证书交换、身份验证和报文传输过程中的加密算法的协商，这无疑降低了系统的效率。为此，本文在以上两种协议的基础上提出并设计了一种改进的电子支付流程协议STPP。

二、STPP及支付流程

STPP是为银行卡支付系统设计的一种新的支付流程协议。STPP是基于SET和TLS协议提出的，STPP的基本框架与SET协议类似，不同的是用STL/WTLS协议中的握手机制来实现消费者和商店之间，消费者和支付网关之间的身份认证。利用SET协议的优点来保证STPP的安全性，用TLS/WTLS来避免SET协议的弱点。从SET协议中，借用以下做法：使用双签名来保证数据的完整性；使用商店在每次交易时产生的交易ID号机制；消费者、商店与支付网关之间的端到端的证书交换。从TLS/WTLS协议中，借用以下做法：安全参数的协商机制；经过协商消费者和商店获得证书的机制。STPP的支付流程分为证书交换、购买请求、支付验证和处理阶段等三个阶段。

1.证书交换阶段

夜上海论坛 根据STPP可知，在消费者向电子商店下定单之前，需要通过TLS/WTLS协议中的握手协议来交换双方的证书，验证双方的身份，还会协商保证随后通信安全的加密算法、密钥等。首先消费者向电子商店发送请求，这个过程称为消费者向电子商店打招呼，将消费者能使用或支持的加密算法等参数告诉电子商店。

夜上海论坛 电子商店收到消费者的握手请求后，也向消费者打招呼，电子商店将自己从消费者发送过来的加密算法等参数列表中选择能支持的几种告诉消费者，并且将电子商店和支付网关的证书也一起发送给消费者。随后，消费者验证电子商店和支付网关的身份，验证通过后，向电子商店发送确认信息，通知电子商店身份己经通过验证，并且还通过报文将消费者的证书发送给电子商店。最后，电子商店验证消费者的身份，通过验证后，向消费者发送确认信息。至此，证书交换过程完成。

2.购买请求阶段

购买请求阶段使用证书交换阶段所协商的加密算法等参数来保证消费者的订单信息和电子商店的支付信息。

在这阶段，消费者将挑选好的货物信息使用支付网关的公钥加密发送给电子商店。发送的内容是：{(OI)’+[(PI)’+card No.] PpubK}。其中(OI)’=(OI)Ks+MD2(PI)+双签名(Ks为会话密钥，Ks是证书交换阶段消费者和商店协商出来的)，(PI)’=PI+MD1(OI)+双签名，购买请求阶段双签名的形式:{{MD3[MD 1(OI)+MD2(PI)]}BprivateK}，BprivateK指的是消费者的私钥。

夜上海论坛 3.支付验证和处理阶段

夜上海论坛 支付验证和处理阶段主要处理支付网关和电子商店之间的事务。当电子商店向支付网关发送验证消费者账号的请求后，支付网关从金融机构获得消费者账号有效后，除了通知电子商店消费者账号有效之外，还要将本次交易的详细内容发送给消费者，交易的细节可从支付网关的数据库中获得。消费者可以查证交易的细节，根据查证的结果还可以决定是否取消交易，对于这点，只需要消费者向支付网关和电子商店发送取消交易的信息即可。

三、STPP支付协议的Kailar逻辑证明

夜上海论坛 1.Kailar逻辑简介

Kailar逻辑是一种形式化逻辑证明方法。它的基本概念是可追溯性，即协议中源到目标的“动作”(即发送一组数据)可以向第三方“证明”。与BAN逻辑不同的是，它不是研究协议中的“信任”(Believe)关系，而是研究“可证明”(CanProve)的关系。“证明”又分两种“强证明”(A CanProve x，即A可以证明x)和“弱证明” (A CanProve x to B，即A可以向B证明x，这里B为某个特定的对象或主机)。

Kailar逻辑的记号、语义和语法参见文献。几个基本的推理规则：K1：(A CanProve x；A CanProve y)|=A CanProve(x∧y)；K2：(A CanProve x；x=>y) |=A CanProve y；K3：((S(表示一组前提)；C CanProve y)=>(A CanProve x)) |= ((S;C CanProve y to B)=>(A CanProve x to B))；K4：((S；C IsTrustedon y)=>(A CanProve x)) |=((S；C IsTrustedon by B)=>(A CanProve x to B))；K5：(A Receives(m SignedWith K-1)；x in m；A CanProve (K Authenticates B))=(A CanProve(B Says x))；K6：(A CanProve(B Says x)；A CanProve(B IsTrustedon x) |= (A CanProve x)。

2.STPP协议的安全性分析

(1)STPP协议的过程描述

(2)安全性分析

①协议目标

夜上海论坛 由于STPP协议是电子支付协议，其目标只完成电子支付，不涉及服务的兑现，因而可表述为:C CanProve(RD，H(TD))(即M收到了付款)；M CanProve(RD，H(TD)) (即A履行了付款)。

夜上海论坛 ②协议的形式化

1)M Receives TD SignedWith Kc-1；2)B Receives TD SignedWith Km-1；B Receives TD SignedWith Kc-1；3)M Receives (RD，H(TD)) SignedWith Kb-1；4)C Receives (RD，H(TD)) SignedWith Kb-1。

③初始假设

P1：C，M CanProve(Kb Authenticates B)；P2：C，B CanProve(Km Authenticates M)；P3：M，B CanProve (Kc Authenticates C)；P4：C，M CanProve(B IsTrustedon(RD，H(TD)))。另外，当B可以证明C和M都验证过TD时，它可以将C的款项按要求转入M的账户并开出发票，从而完成支付。

④协议分析

在以上的初始假设下，我们做出以下推导：由1)和P3及K5得：M CanProve(C Says TD)；由2)和P2、P3及K5得：B CanProve (M Says TD)，B CanProve (C Says TD)；这样B就可以实施转账并开出发票。由3)和P1及K5得：M CanProve (B Says(RD，H(TD))；再由P4、K6即得：M CanProve(RD，H(TD))；

由4)和P1及K5得：M CanProve(B Says(RD，H(TD)))；再由P4、K6即得：C CanProve(RD，H(TD))。这样我们就从Kailar逻辑的角度“证明”了STPP电子支付协议是安全的，即STPP可以达到预定的电子支付目标。

四、结束语

第3篇

关键词：安全电子事务；电子支付；电子商务

中图分类号：TP309文献标识码：A文章编号：1009-3044(2007)17-31293-01

夜上海论坛 Basic Flow of Secure Electronic Transaction Protocol

FENG Fang-fang,SONG Li

(1.Faculty of Information Engineering,China University of Geosciences,Beijing 100032,China)

Abstract:With the rapid growth of the computer network,the Electronic Commerce has become a part of every day life. However the security is the largest trouble that blocks the development of the electronics commerce. This paper introduces the basic flow of SET protocol, which is the most famous standard among of a dozen security electronic payment protocols.

Key words:Secure Electronic Transaction;Electronic Payment;Electronic Commerce

1 绪言

夜上海论坛 随着互联网的飞速发展，电子商务呈现蓬勃发展势头。2007年7月26日“第三界中国电子支付高层论坛”在京召开，由中科院金融科技研究中心和《电子商务世界》杂志在论坛上联合的《2007中国消费者网上支付应用调查报告》显示61.7%的网上购物者首选网上支付。该调查还发现49.2％的人群认为安全是影响网上支付的因素，有30.3％认为便捷是影响网上支付的因素，可见安全问题确实是阻碍电子商务发展的最重要因素。

关于电子支付安全性的研究，从电子支付产生起就一直未停止过。目前世界上广泛使用的安全电子支付协议包括安全电子事务（SET，Secure Electronic Transaction）协议、iKP协议、NetBill协议等等。本文在介绍安全电子事务协议的目的、参与者、事务流程和支付流程的基础上，分析该协议的优缺点以及对我们的指导意义。

夜上海论坛 2 协议的目的

夜上海论坛 SET的前身是SEPP(Secure Electronic Payment Protocol)和STT(Secure Transaction Technology)两种协议。其中，SEPP 由 MasterCard, IBM和Netscape支持，STT由Visa和Microsoft支持。1996年初它们被统一为一个系统，即SET。SET通过公开/私有密钥、数字签名和认证证书可提供在线Internet信用卡业务处理的加密和认证，从而实现商务信息的保密性、完整性，持卡人帐号、商家和银行的多方认证，各方之间的交互作用等。

夜上海论坛 SET协议开发的目的是为了解决在互联网交易中的如下几个问题：

夜上海论坛 (1)通过加密实现信息保密；

夜上海论坛 (2)通过数字摘要保证数据的完整性；

(3)通过使用数字鉴名和持卡人证书，保证持卡人与支付卡颁发机构的合法性；

(4)通过使用数字鉴名和商户证书，保证商户与接收金融机构的关系；

夜上海论坛 (5)通过最好的安全机制保证参与者各方的合法利益。

3 参与者

SET协议的参与者包括持卡人和商户，以及颁发信用卡给持卡人的发卡机构和代表商户接收支付认求的接收银行，以及与交易密切相关的第三方――支付网关和认证中心。

夜上海论坛 (1)持卡人(Cardholder):电子交易中的持卡消费者，持卡人通过由发卡机构颁发的付款卡(如信用卡、借记卡)进行结算。

夜上海论坛 (2)发卡机构(Issuer):信用卡的发卡金融机构，它为客户建立帐号，发出信用 卡，它必须保证该信用卡组织的有关规定(包括安全、支付授权等)。

夜上海论坛 (3)商家(Merchant):提供商品者或服务者，接收卡支付的商家必须和接收银行有关系。

夜上海论坛 (4)接收银行(Acquirer):商家的开户银行，处理信用卡的授权和支付。

夜上海论坛 (5)支付网关(Payment Gateway);是一个由银行(或指定的第三方机构)操作的 设备，是金融网与Internet的接口，用来处理商家的支付信息。

夜上海论坛 (6)认证中心CA(Certification Authority):认证中心是一个或多个信用卡、商家和支付网关提供电子证书的生成和发放。认证中心一般由各方都信任的第三方担任。

4 事务流程

夜上海论坛 SET协议的基本事务流程，包括持卡人注册、商户注册、购买请求、支付确认和支付获取五个阶段。

4.1持卡人注册

这是持卡人的初始化操作，通过此操作持卡人将获得认证证书。持卡人首先将自己信用卡的详细信息发送给认证中心，并填写认证中心返回的注册表格。持卡人填写完表格后，还需要选择一对公钥私钥对，将其中的公钥连同表格一起发送给认证中心。认证中心验证提交的数据，并颁发包含持卡人公钥的认证证书。

4.2商户注册

夜上海论坛 商户同样也需要向认证中心申请认证证书。与持卡人不同的是，商户需要两个认证证书，其中一个用来加密数据，一个用来电子签名。

4.3购买请求

持卡人向商户发送订单信息和支付指令，商户可能在接收订单之前进行支付认证，也可能定时去进行批量支付认证。当然，在持卡人发送购买请求之前，已经与商户就物品或服务交易细节达成一致，但SET协议只关心支付，而不是那些交易细节。

4.4支付确认

夜上海论坛 商户收到持卡人的支付指令后，并不能直接向金融机构获取相应的金额。商户需要将支付指令转发给支付网关。支付网关与发卡机构有合作关系，在确认一些无误后，进行支付确认。

4.5支付获取

夜上海论坛 支付确认后，在协议之外，进行交易的资金从持卡人的账户转到商户的账户，整个事务流程完成。

5 支付流程

夜上海论坛 采用SET协议可以采用基本支付流程（如图1所示），也可以在基本支付流程的基础上根据自己业务的需要定制流程。

图1 基本支付流程

5.1初始请求与返回

夜上海论坛 在进行支付之前，首先持卡人要与商户就商品的价格、数量、型号等交易的详细细节达成一致，这个阶段就是支付初始请求和返回的目的所在。

5.2购买请求

夜上海论坛 当持卡人与商户就交易的详细细节达成一致以后，持卡人便发出购买请求到商户。在向商户发送的支付数据（包括信用卡号和PIN等）时，将以支付网关的公钥进行加密，因此商户是无法获取持卡人的支付数据的。