賈義伍 黃衛(wèi)華

摘 要： 為了解決現(xiàn)有第三方支付行業(yè)中市場碎片化、商戶高維護費用的現(xiàn)狀，采用J2EE技術以及改進型的MD5信息加密方式，提出一種基于多層體系架構的第四方支付平臺框架方案。首先，該平臺融合了當今主流的多種在線支付方式，商戶在一個平臺就可以接入多種支付接口，大大減少了商戶接入、維護和支付結算服務時面臨的成本支出。其次，該平臺采用改進型的MD5信息加密方式，通過對平臺中商戶進件信息和交易預下單信息進行請求和響應參數(shù)的統(tǒng)一加密、驗簽，可有效地解決商戶信息、交易訂單信息被篡改的風險，保證網(wǎng)絡信息傳遞的唯一性和準確性。最后進行平臺框架的實際應用，結果表明，此框架為第四方支付結構提供了商戶入駐審核、交易、對賬、清分以及結算的一整套在線支付綜合解決方案。

關鍵詞： J2EE； 第四方支付； 在線支付； MD5信息加密； 支付平臺； 框架設計

中圖分類號： TN711?34 文獻標識碼： A 文章編號： 1004?373X（2018）20?0065?05

Abstract： A framework scheme of the fourth?party payment platform based on the multilayer architecture is proposed by adopting the J2EE technology and improved MD5 information encryption mode， so as to deal with the current situations of market fragmentization and merchants′ high maintenance cost in the third?party payment industry. Various main online payment modes at present are fused in this platform so that merchants can access multiple payment interfaces in one platform， which greatly reduces merchants′ cost and expenditure generated in access， maintenance， payment and settlement services. The improved MD5 information encryption mode is adopted on this platform. Unified encryption， verification and signing of request and response parameters are conducted for purchased goods information and pre?order transaction information of merchants on the platform， so as to effectively deal with the risk that merchant information and order information of the transaction are falsified， and ensure the uniqueness and accurateness of network information transmission. The actual application of the platform framework was carried out. The results show that the framework can provide a whole set of comprehensive online payment solution for merchants′ verification， transaction， account checking， clearing and settlement of the fourth?party payment institution.

Keywords： J2EE； fourth?party payment； online payment； MD5 information encryption； payment platform； framework design

0 引 言

第四方支付介于第三方支付和商戶之間，其將各種不同類型的支付接口融合在同一運營平臺上，為商戶提供綜合支付接口服務。按業(yè)務分類，聚合支付分線上和線下兩種類型。線上是聚合網(wǎng)絡支付，主要為電商服務；線下是聚合支付收單，主要為實體店服務[1]。據(jù)統(tǒng)計，2016 年一季度，第三方互聯(lián)網(wǎng)支付交易規(guī)模市場份額中[2]，支付寶占比43.3%、財付通占比20.1%、銀聯(lián)商務占比11.1%、快錢占比7.0%、中金支付占比5.1%及匯付天下占比5.0%?？梢悦黠@看出，第三方支付市場呈現(xiàn)出明顯的碎片化特征，對于大量中小商戶來說，與不同的第三方支付公司的支付接口一一對接往往需要大量時間和資金成本。在此背景下，第四方支付（聚合支付）通過APP、網(wǎng)站等渠道可實現(xiàn)聚合多家合作銀行、第三方支付平臺及其他服務商，為B端中小型商戶提供在線支付綜合解決方案的優(yōu)勢[3]。

在國外，第四方支付已經(jīng)誕生了Stripe級別的企業(yè)，其提供的支付服務在用戶體驗上更加流暢、合理和擁有更高的整合度[4]。目前，國內(nèi)第四方支付領域雖然沒有出現(xiàn)同等級別的企業(yè)，但其發(fā)展卻勢不可擋[5]，且整個行業(yè)處初級階段。在支付框架結構上，當前第四方支付與現(xiàn)有的第三方支付最大不同點體現(xiàn)在是否有代理商業(yè)務鏈條的嵌入。此外，第四方支付存在的問題集中在結算業(yè)務方面的“二清”風險[6]以及信息防篡改等方面。

就API技術角度而言，當前市面上主流的在線支付主要有：支付寶及時到賬支付、支付寶WAP支付、支付寶APP支付。針對這些支付方式，本文設計了一種融合多種在線支付接口的第四方支付平臺框架。該平臺基于J2EE（Java2 Platform Enterprise Edition）以及改進型的MD5信息加密技術，實現(xiàn)了上述三種主流支付接口的融合，通過采用代理商的合約運營模式，依據(jù)上游成本費率來管理商戶成本費率，降低了商戶接入和結算維護費用，為第四方支付公司或商業(yè)銀行機構提供一個有效的基于PC端的綜合運營管理平臺。

1 平臺框架設計

本文設計的第四方綜合支付管理平臺采用J2EE輕量級多層體系框架，共分為三層：表現(xiàn)層、業(yè)務邏輯層、數(shù)據(jù)庫持久層，并由對應的SSM（Spring MVC+Spring+Mybatis）框架來控制執(zhí)行，能更加便利、高效地開發(fā)出業(yè)務應用功能[7]。此外，平臺運用新型MD5數(shù)據(jù)加密方式并整合第三方支付接口，最終通過WAN網(wǎng)絡連接對應的第三方支付機構、商業(yè)銀行、代理商以及商戶，完成了代理商開戶、商戶入駐、支付交易、對賬、結算等業(yè)務。

1.1 網(wǎng)絡拓撲結構設計

第四方綜合支付運營平臺的網(wǎng)絡拓撲結構如圖1所示。

平臺網(wǎng)絡拓撲結構具體包含以下6個節(jié)點，分別為：數(shù)娛終端、 商戶站點、代理商平臺、第三方支付平臺、商業(yè)銀行及第四方綜合支付運營管理平臺。

數(shù)娛終端是指數(shù)字娛樂行業(yè)的用戶發(fā)起支付時所借用的硬件平臺，包括移動端和PC端；商戶站點特指商戶機構創(chuàng)建的APP、網(wǎng)站、服務窗等，主要負責為終端用戶提供虛擬的購物平臺，發(fā)起支付請求；代理商平臺與商戶平臺一樣，作為整個第四方運營管理平臺的子系統(tǒng)，負責完成商戶進件、綁卡、費率設置、交易查詢等工作；第三方支付平臺為運營管理平臺中涉及的支付上游，主要完成商戶的入駐、審核、風控以及支付請求與響應等功能；商業(yè)銀行主要的工作是參與平臺日交易的結算工作，經(jīng)清算人員核算，將結算款匯入商戶的結算賬戶。

綜合支付運營管理平臺即本文要論述的第四方綜合支付管理系統(tǒng)，主要處理商戶報件、交易、對賬、結算四大業(yè)務，分為對下游服務和對上游服務。對下游服務主要負責代理商開戶、審核、費率設置、商戶進件、商戶綁卡、費率和結算周期維護工作，對上游服務主要負責商戶入駐支付寶審核、訂單請求、商戶風控、對賬、清分、出款。

1.2 平臺功能結構設計

第四方綜合支付運營管理平臺為商戶提供了三種主流支付渠道的接入方式，通過代理商模式發(fā)展商戶，便于分級支付運營管理。針對下游支付信息的安全性，平臺采用改進型的MD5加密方式，為商戶提供快捷、安全、穩(wěn)定的支付服務。

平臺的業(yè)務從功能層次上主要分為以下幾個層面，平臺功能結構如圖2所示。

1） 網(wǎng)絡支撐層

網(wǎng)絡底層支撐層為上層應用提供了多種網(wǎng)絡接入方式，包括3G，4G，WiFi以及WAN，此外還包括一些軟硬件支持，包括定時任務系統(tǒng)、商戶風控系統(tǒng)、掛靠云服務器以及持久層應用等。

2） 接口層

平臺接口層的主要業(yè)務邏輯是對支付請求的處理與響應。圖3為平臺核心支付業(yè)務處理模型。

下游商戶站點采用HTTP通信協(xié)議以及POST請求方式將加密訂單信息通過代理商平臺傳遞至運營管理平臺，通過相關參數(shù)的驗證、組裝，最終響應下游商戶支付鏈接，由用戶發(fā)起最后的支付。

此外，該層不僅包括商戶進件接口、費率接口、支付接口，而且還包括對賬、清分操作后涉及的出款接口。對賬清分過程是獲取上游支付寶的訂單信息，再與平臺信息對比生成差異報表，最終調賬、清分，通過商業(yè)銀行提供的出款接口標準請求參數(shù)至商業(yè)銀行出款給商戶。

3） 業(yè)務層

基于J2EE多層體系架構的模塊化設計了業(yè)務邏輯層，為運營人員、客服、代理商、商戶提供網(wǎng)絡化管理、訂單查詢等功能；其中包括代理商開戶、商戶報件、綁卡、費率設置、對賬報表下載功能，同時也為下游機構提供了身份復核、支付寶商戶入駐等功能。

4） 平臺子系統(tǒng)

第四方綜合支付平臺共分三個子系統(tǒng)，分別是：運營管理系統(tǒng)、代理商系統(tǒng)和商戶系統(tǒng)。運營管理系統(tǒng)由運營人員、客服、清算人員進行維護，提供代理商和商戶管理、交易、對賬、清算、咨詢服務等功能；代理商系統(tǒng)負責商戶進件、商戶費率設置、交易查詢、分潤報表下載功能；商戶系統(tǒng)負責為商戶提供交易訂單的查詢、訂單統(tǒng)計功能。

2 在線支付流程

支付交易是第四方綜合支付平臺的核心業(yè)務。用戶終端通過在商戶線上站點或線下實體店下單，然后商戶對應支付接口通過網(wǎng)絡將訂單信息MD5加密，向上游代理商系統(tǒng)和運營管理平臺傳遞，運營管理平臺驗簽通過后會將訂單信息包裝成對應的支付鏈接返回給用戶終端，最后由用戶發(fā)起支付。此種運營平臺作為第三方支付服務商的支付模式，在支付發(fā)起時用戶并不在第一時間與外部第三方系統(tǒng)交互，而是通過服務商設置一個交易預下單的過程，這樣在很大程度上杜絕了交易信息被篡改的風險，提高了支付的穩(wěn)定性。本文設計的聚合平臺的支付請求處理流程如圖4所示。

支付請求處理流程的主要步驟如下：

1） 支付請求發(fā)起后，先由平臺進行商戶合法性的驗證，然后再對支付訂單加密信息進行驗證簽，并對應響應；

2） 判斷是否有重復訂單，并在判斷基礎上重新生成訂單信息；然后再驗證商戶是否設置了費率以及代理商和商戶的支付渠道限額情況，并響應；

3） 根據(jù)訂單信息生成支付訂單號，組裝支付寶請求參數(shù)，將支付流水信息同步到本地數(shù)據(jù)庫，同時將包含請求參數(shù)的支付鏈接返回給下游，最終由終端用戶發(fā)起授權支付；

4） 上游確認支付成功后，將支付結果異步回調給運營平臺，再由運營平臺回調給下游。

3 信息安全加密

支付平臺涉及商戶賬戶以及交易現(xiàn)金流水信息，因此綜合支付平臺從多方面進行了信息安全方面的考慮。

3.1 支付下游信息加密

在下游商戶入駐以及下游訂單信息上傳過程中，平臺使用了MD5簽名機制，以確保商戶入駐信息在傳遞過程的完整性和敏感信息的私密性，確保交易報文在傳輸過程中不被篡改，確保信息傳輸?shù)碾p向安全[8?10]。在商戶入駐平臺以及交易訂單上傳的過程中，對應接口會將請求數(shù)據(jù)組裝好：首先采用UTF?8編碼格式對接口請求參數(shù)進行字典排序，加上參數(shù)賦值后生成{json}格式的待簽名字符串；其次，將對應代理商開戶時生成的AGENT_KEY拼接在兩頭，生成key+{json}+key的簽名內(nèi)容；最后，采用MD5函數(shù)對簽名內(nèi)容進行簽名，從而得到32位簽名結果字符串，并將該字符串賦值于參數(shù)sign，然后再請求。當平臺獲取到請求參數(shù)后，也會采用同樣的方式對數(shù)據(jù)進行簽名，生成另一個參數(shù)sign；最終通過與原有請求中的sign值對比，以驗證信息傳輸?shù)陌踩?。支付上傳信息MD5加密實現(xiàn)代碼如下：

3.2 支付上游信息加密

入駐到平臺的商戶信息會通過定時任務（10 min發(fā)起1次），將商戶信息報件至上游第三方支付平臺進行審核。此過程采用支付寶RSA2簽名驗證機制，通過對請求參數(shù)進行摘要、非對稱加密以及SHA1WithRSA驗證來保證入駐信息的安全性。

此外，平臺提供了針對商戶賬戶的風控服務，通過及時獲取上游第三方支付平臺的風控信息，對商戶的結算賬戶進行凍結或者解凍操作，進而杜絕非法交易的情況發(fā)生，同時也保障了終端用戶的利益。

3.3 定時任務

由于網(wǎng)絡環(huán)境的原因，在支付流程結束后存在平臺未能收到來自上游返回的單筆交易的交易狀態(tài)。平臺設計了完整的定時任務系統(tǒng)，通過自動向上游發(fā)起的交易查詢、自動向下游代理商發(fā)起的9次交易狀態(tài)的異步通知等途徑，保證了支付交易狀態(tài)下的及時性。此外，還包括日交易的定時對賬、對賬文件以及對賬差異報表生成等。

4 結 語

本文設計了一種第四方綜合支付運營管理平臺框架。該平臺獨立于第三方支付平臺、商戶和商業(yè)銀行，采用J2EE多層體系架構分布式部署方式，運用代理商運營模式，為商戶對接上游各種支付接口，完成了商戶入駐、費率設置、清分、結算等業(yè)務。此外，平臺框架的可拓展性強，可以對接支付上游不同類型的接口，實現(xiàn)其他針對商戶的支付服務以及金融衍生服務。目前，該平臺框架已經(jīng)在某公司取得成功案例，為數(shù)字娛樂行業(yè)類型的商戶提供了穩(wěn)定、可靠的全方位支付服務；后期，平臺會在系統(tǒng)高并發(fā)上做進一步的改進與研究。

參考文獻

[1] 葉純青.聚合支付：支付服務的拓展[J].金融科技時代，2017（1）：81.

YE Chunqing. Aggregate payments： expansion of payment services [J]. Financial technology time， 2017（1）： 81.

[2] 肖樂.聚合支付成資本新寵尚難抗衡行業(yè)巨頭[N].每日經(jīng)濟新聞，2016?12?20（12）.

XIAO Le. Aggregate payment is a new favorite of capital， but it is hard to compete with industry giants [N]. National business daily， 2016?12?20（12）.

[3] 方雨嘉，張松.聚合支付的監(jiān)管邏輯與發(fā)展趨勢[J].中國信用卡，2017（5）：53?55.

FANG Yujia， ZHANG Song. Regulatory logic and development trend of aggregate payment [J]. China credit card， 2017（5）： 53?55.

[4] 殷麗萍.Stripe：何以成為支付新貴？[J].中外管理，2014（8）：32?33.

DUAN Liping. Why does Stripe become a new upstart？ [J]. Sino foreign management， 2014（8）： 32?33.

[5] 施娜.消費者習慣免費午餐聚合支付盈利模式暫不明朗[N].每日經(jīng)濟新聞，2016?12?20（12）.

SHI Na. Consumers are used to free lunch and aggregate payment profit model is unclear [N]. National business daily， 2016?12?20（12）.

[6] 吳迪，李林峰.淺論聚合支付發(fā)展帶來的潛在風險及對策[J].現(xiàn)代經(jīng)濟信息，2017（1）：311.

WU Di， LI Linfeng. On potential risks and countermeasures of development of aggregate payment [J]. Modern economic information， 2017（1）： 311.

[7] 鄒紅霆.基于SSM框架的Web系統(tǒng)研究與應用[J].湖南理工學院學報（自然科學版），2017，30（1）：39?43.

ZOU Hongting. Research and implementation of Web system based on SSM framework [J]. Journal of Hunan Institute of Science and Technology （Natural Sciences）， 2017， 30（1）： 39?43.

[8] 徐暢.基于MD5與隨機數(shù)組合的加密算法在用戶身份驗證中的應用[J].電子測試，2016（13）：56?57.

XU Chang. Application of improved MD5 algorithm for user authentication [J]. Electronic test， 2016（13）： 56?57.

[9] 張亦秋.基于MD5算法的機房管理系統(tǒng)開發(fā)[J].通訊世界，2016（21）：38.

ZHANG Yiqiu. Development of computer room management system based on MD5 algorithm [J]. Telecom world， 2016（21）： 38.

[10] 王紅偉，王紅紀.Android教學中信息防盜模塊中的MD5加密應用分析[J].科技資訊，2017，15（3）：182?183.

WANG Hongwei， WANG Hongji. MD5 encryption application analysis of information security module in Android teaching [J]. Science & technology information， 2017， 15（3）： 182?183.