随着云计算、移动互联网以及第三方移动支付的快速发展,支付方式正发生着深刻的变革。传统的校园卡系统以实体卡为主,已不能满足高校师生无卡支付的需要。以支付一体化整合服务为特征的聚合支付迎来新的发展机遇。所谓聚合支付就是指聚合银行和各种第三方支付通道,提供一体化的综合支付服务。商业银行因具有金融服务、稳定客户群及政策合规等优势,向高校提供聚合支付产品和服务。
本文通过高校与银行合作模式,整合高校信息化基础设施、第三方支付机构和校园卡技术服务商等多方资源,聚合银行和当前主流的第三方支付方式,设计并实现了一套移动化、一体化的新一代校园卡系统,方便用户支付、学校管理,让师生们在学校得到更好的生活和服务体验。
1、校园实体卡系统面临的问题
校园卡具备身份认证和金融消费两大基本功能,在其使用和管理过程中,逐渐暴露出越来越多的问题,主要有如下几个方面:
(1)校园实体卡因采用卡账户为主的账户结构,普遍存在卡库两套账,在POS终端脱机的情况下,线上支付与实体卡交易交叉进行,很容易造成“卡库不平”、“冻结账户”、“账户透支”、“账务不准”等现象发生。
(2)存在迎新季发卡压力大、补卡成本高、丢失卡率高、临时卡发放管理难、卡克隆(M1卡)造成资产流失等问题。
(3)高校多为大学生年轻群体,移动支付已成为习惯,校园实体卡的单一消费模式难以满足多元支付方式的需求,用户使用体验差。
(4)“一柜多机”问题。为满足支付场景的多样性,商户的档口需要摆设多台不同支付类型的POS机,不仅给商户在经营时带来诸多不便,还增加了商户与多家支付机构的对接管理成本。
(5)由于支付市场多元化,学校管理部门、商户存在多个支付账户,需要跟多家机构不同的接口和管理平台结算、对账,账务异常现象时有发生。
2、新一代校园卡系统设计关键技术
1. 新一代校园卡系统整体架构
新一代校园卡系统以现有校园卡系统为基础,通过对相关软硬件设备和支付体系的升级改造,构建私有云和公有云相结合的聚合支付体系,支持校园卡二维码、银行二维码、微信、支付宝、云闪付、龙支付、校园实体卡等多种支付工具,提供实名认证、金融消费以及准确完整的账务服务功能。系统整体架构如图1所示。
图1 新一代校园卡系统整体架构
系统整体架构分为两部分,分别部署在校园端和银行端。
校园端基于学校私有云,采用VMware的软件定义数据中心(software-defined data center, SDDC),通过计算虚拟化、网络虚拟化以及存储虚拟化,构建校园卡云计算基础架构,运行包括校园卡核心数据库在内的所有关键业务应用,实现了相关配置的灵活拓展以及校园卡数据信息的集中管理、备份与维护。
在校园卡业务处理方面,增加聚合支付服务模块、聚合支付网关服务器和支付服务平台。聚合支付网关服务器主要是接收来自终端POS机系统的支付请求,验证并处理支付请求数据,并将请求数据转发。支付服务平台主要是完成校内支付体系校园卡二维码的支付所用。
此外,为规范校园卡相关应用管理、统一软硬件接口授权管理,部署了TSM管理平台,负责外联银行端校园服务平台、聚合支付平台、电子校园卡模块。
银行端校园服务平台基于银行公有云,提供电子校园卡基础账户体系、后台配置管理以及外联模块管理。聚合支付平台提供银行端的聚合通道,涵盖微信、支付宝、云闪付、银行二维码、龙支付等多种支付手段,以减少学校与第三方支付机构的单独对接及账户管理。
电子校园卡模块作为底层业务支撑,与学校校园卡系统相集成,建立了统一的兼容聚合支付功能的商户服务系统,实现了学校实名认证、聚合支付、多部门业务流程整合和数据共享。所有电子校园卡交易数据与原有的校园卡系统数据实时交互,确保数据真实、准确、完整和共享。
2. 支付系统的设计
聚合支付通常采用主扫和被扫两种模式。主扫是指付款人通过客户端读取收款人POS机具生成的二维码来完成支付的行为。被扫是指POS机具读取付款人客户端生成的二维码来完成支付的行为。考虑高校用户高峰期就餐效率问题,在网络正常的情况下通常使用被扫模式。校园卡支付被扫信息流和资金流流程如图2所示。
图2 校园卡支付被扫流程
由图2可知,新一代校园卡支付系统包括两部分,一部分为银行端提供的聚合支付系统,另一部分为学校设计完成的校园内部的一套完整闭环电子支付体系。聚合支付系统采用银行端提供的统一通道和接口,直接与当前主流的支付方式,如微信、支付宝、云闪付等第三方支付相对接,实现多种支付方式的统一规范管理。
校园内电子支付系统提供与校园实体卡一一对应的校园卡二维码及扫一扫功能,可实现校内虚拟支付,账户余额共享的目的,同时,还有效弥补了银行端聚合支付体系的不足。当学校与银行端外部网络出现故障时,校内支付体系直接通过校园卡支付平台完成校内支付,保障支付关键业务的不中断,增强了新一代校园卡系统的高可用性与可靠性。
3. 聚合支付的实名认证功能
实名认证也是新一代校园卡系统需要考虑的重要功能。只有经过实名认证,才能够实现用户第三方账户与校园卡账户信息相绑定,解决用户身份可控可管以及匿名消费的问题。
银行端首先基于校园卡系统的真实数据建立用户身份数据,在用户首次领取电子校园卡时,完成其实名认证信息的绑定。领卡的过程就是将用户校园卡账户信息,如学工号、姓名等信息与银行及第三方平台提供的用户账户信息进行绑定,并将绑定信息持久化,用于交易时的验证依据。
身份识别是通过聚合支付交易接口获取持卡人账户ID,并与实名认证绑定数据进行比对,从而实现对持卡人身份的识别、判断以及差异化服务。
以用户使用微信、支付宝、云闪付等第三方支付方式被扫为例,其实名身份验证及交易流程如图3所示。
图3 聚合支付身份验证及交易流程
关键步骤如下:
(1)校园端POS终端设备读取第三方软件出示的付款码信息,传送给校园端的聚合支付网关。
(2)聚合支付网关判断二维码类型,向TSM管理平台发送用户身份验证请求。
(3)TSM管理平台调用银行端校园服务平台前置交易接口,发起用户信息查询请求(微信调用IDJY500指令,支付宝调用IDJY501指令,银联调用IDJY502指令)。
(4)交易返回第三方系统二维码所对应的用户身份标识openid或者身份证号加密串,并根据openid或者身份证号和学工号信息进行匹配,判断其身份认证的信息是否合法,是否允许消费及交易折扣信息(银行端和校园端均可进行控制)。若该交易返回该二维码不允许消费,则整个聚合支付交易流程结束。若返回允许消费则继续进行第5步操作。
(5)校园端聚合支付网关向TSM管理平台发起用户支付交易请求。
(6)TSM管理平台向银行端的聚合支付平台发起支付交易(PJY100)指令,同时记录交易流水信息、订单状态及二维码类型原始数据。
(7)若第6步没有返回交易结果或返回交易状态不确定,则调用聚合支付平台轮询订单结果交易PJY101。
(8)若第6步交易成功,TSM管理平台会改写订单状态,并通知一卡通后台做入账处理。
4. 系统安全设计
校园卡系统涉及到资金、敏感数据与个人隐私信息,其稳定性、安全性不容忽视。新一代校园卡系统设计时充分利用网络虚拟化NSX分布式防火墙的微分段功能,实现精细粒度的网络访问控制。
根据校园卡系统内常见的WEB层、应用层、数据库三层应用架构,分别创建相对应的安全分组,每台虚拟机的每个网卡都可对应一个安全分组,在防火墙策略中加载对应的安全分组,每台虚拟机或每个网卡都可设置自己独特、灵活的防火墙策略,不仅可以有效地将校园卡的业务和校内其他业务进行安全隔离,还能够实现校园卡系统内部虚拟服务器的安全隔离,最大限度地提高了校园卡系统的安全性。
5. 系统应急体系设计
校园卡系统在实际运行中,会不可避免地遇到网络故障,该系统在设计时充分考虑系统可靠性、冗余性,当系统发生故障时,主要采用以下应急响应方案:
(1)当学校与银行之间的线路或学校出口线路出现故障、校内网络正常时,银行端聚合支付渠道将不能使用。校内用户可以使用校园卡二维码,通过校内支付体系完成支付交易。
(2)当终端POS机具脱机、手机联网时,POS机具自动生成二维码,用户可以使用“扫一扫”功能,即用户手机扫描POS机具中的二维码,完成交易。
(3)当全校网络或服务器均出现故障时,用户可使用校园实体卡进行POS脱机消费,待网络恢复后进行流水上传处理。
3、新一代校园卡系统优势及实现
1. 新一代校园卡系统优势
(1)身份实名认证与渠道管控。
新一代的校园卡系统能够有效地对聚合支付方式实现身份实名认证和灵活的渠道管控,校内用户消费的每一笔流水都是实名消费,可以对用户的消费流水进行查询,为高校的大数据分析提供数据支撑。同时渠道管控能够有效针对用户不同身份实现不同费率调整。
(2)简化账户管理,对账简单。
新一代校园卡系统具备完备的账户管理体系,聚合支付平台将学校与银行、第三方机构之间的结算简化为学校与银行间的对账,如图4所示。整个校园卡系统所涉及到的充值、消费资金统一进入学校账户,银行会在T+1日清算到学校的账户中,同时向校园卡综合业务平台提供T日的银行对账单(实到资金的交易流水明细账),作为学校进行二清的依据,以便完成每日日终的资金对账和清算流程。资金结算与对账模式基本保持不变,在对账过程中如果出现账务数据不平,系统具有差错分析功能,能够查看每笔异常数据的描述及处理状态,极大地提高了学校财务管理部门的效能。
图4 财务对账流程
(3)数据本地化存储。
所有的原始交易流水数据都能在学校内校园卡系统后台记录,实现数据本地化存储,确保数据真实、准确、完整和安全。
(4)银企合作,有效规避第三方支付机构的运营风险。
第三方支付平台多属于商业机构,高校在第三方支付平台直接开设账户,大量资金沉淀其中,有商业金融风险。此外,校园卡数据涉及用户身份数据、消费数据,存放在第三方支付机构,也存在信息泄露风险。新一代校园卡系统通过高校与银行合作,不需要高校在第三方机构直接开设账户以及开通卡包等要求,有效避免高校与多家第三方支付机构的直接对接,不仅可以降低资金风险,保护用户隐私数据,还可以有效规避第三方支付平台的运营风险,满足高校资金监管的需求。
2. 系统实现效果
新一代校园卡系统自2019年12月末上线以来,注册领卡用户达10 397人,2020年1月,学校食堂总支付笔数为249 813,其中,校园实体卡支付笔数为248 640,聚合支付累计交易笔数为1 173,2020年5月,学校食堂总支付笔数为32 712,其中校园实体卡支付笔数为30 213,聚合支付累计交易笔数为2 499,2020年6月,学校食堂总支付笔数为497 747,其中校园实体卡支付笔数为447 457,聚合支付累计交易笔数为50 290,如图5所示。尽管校园实体卡在当前消费场景下仍为主要支付方式,但聚合支付每月支付笔数正呈明显递增的趋势。
图5 校园实体卡VS聚合支付消费情况
以6月份聚合支付累计交易笔数为例,如图6所示,微信支付笔数为12 094,占聚合支付累计交易笔数的24%,支付宝支付笔数为7 971,占聚合支付累计交易笔数的15.90%,云闪付(含龙支付)支付笔数为1 023,占聚合支付累计交易笔数的2%,银行二维码支付笔数为16 676,占聚合支付累计交易笔数的33.20%,校园卡二维码支付笔数为12 526,占聚合支付累计交易笔数的占24.90%。
图6 6月份聚合支付中各支付方式占比
4、结束语
设计实现的新一代校园卡系统融合当前主流的多种支付形式,同时提供身份识别、数据共享、统一账户管理、资金对账和清算服务等功能,有效地改善了用户体验,提高了管理效率。由于新冠肺炎疫情等外界因素及学校实施策略的影响,聚合支付消费总笔数及交易额暂时低于校园实体卡消费总笔数及交易额,但聚合支付明显呈上升趋势,聚合支付可以精确掌握师生消费数据,了解师生消费行为。
下一步工作将进一步完善新一代校园卡系统功能,对聚合支付系统产生的数据做分析,根据师生的消费特征制定或改变营销策略,提高精准服务能力。新一代校园卡系统是智慧校园建设的有益尝试,为其他高校校园卡系统建设提供参考经验和借鉴意义。
