电话STTP协议

STPP是为银行卡支付系统设计的一种新的支付流程协议。STPP是基于SET和TLS协议提出的，STPP的基本框架与SET协议类似，不同的是用STL/WTLS协议中的握手机制来实现消费者和商店之间，消费者和支付网关之间的身份认证。利用SET协议的优点来保证STPP的安全性，用TLS/WTLS来避免SET协议的弱点。从SET协议中，借用以下做法：使用双签名来保证数据的完整性；使用商店在每次交易时产生的交易ID号机制；消费者、商店与支付网关之间的端到端的证书交换。从TLS/WTLS协议中，借用以下做法：安全参数的协商机制；经过协商消费者和商店获得证书的机制。STPP的支付流程分为证书交换、购买请求、支付验证和处理阶段等三个阶段。
　　1.证书交换阶段
　　根据STPP可知，在消费者向电子商店下定单之前，需要通过TLS/WTLS协议中的握手协议来交换双方的证书，验证双方的身份，还会协商保证随后通信安全的加密算法、密钥等。首先消费者向电子商店发送请求，这个过程称为消费者向电子商店打招呼，将消费者能使用或支持的加密算法等参数告诉电子商店。
　　电子商店收到消费者的握手请求后，也向消费者打招呼，电子商店将自己从消费者发送过来的加密算法等参数列表中选择能支持的几种告诉消费者，并且将电子商店和支付网关的证书也一起发送给消费者。随后，消费者验证电子商店和支付网关的身份，验证通过后，向电子商店发送确认信息，通知电子商店身份己经通过验证，并且还通过报文将消费者的证书发送给电子商店。最后，电子商店验证消费者的身份，通过验证后，向消费者发送确认信息。至此，证书交换过程完成。
　　2.购买请求阶段
　　购买请求阶段使用证书交换阶段所协商的加密算法等参数来保证消费者的订单信息和电子商店的支付信息。
　　在这阶段，消费者将挑选好的货物信息使用支付网关的公钥加密发送给电子商店。发送的内容是：{(OI)’+[(PI)’+card No.] PpubK}。其中(OI)’=(OI)Ks+MD2(PI)+双签名(Ks为会话密钥，Ks是证书交换阶段消费者和商店协商出来的)，(PI)’=PI+MD1(OI)+双签名，购买请求阶段双签名的形式:{{MD3[MD 1(OI)+MD2(PI)]}BprivateK}，BprivateK指的是消费者的私钥。