何伯祥

摘要：本研究公开了一种两地直接交易的跨区域结算平台及方法。跨区域结算平台包括：安全认证及管理系统、分布式软件发布系统、跨区结算系统和若干前置端。运用前置端的统一管理、支持多卡中心的“一卡通”、安全可靠的两地直接交易、抗抵赖的三方确认结算等方法。实现对平台中前置端的统一管理；实现跨区域结算中一卡的全网通刷；待遇发生地与待遇享受地之间，实现安全可靠的两地直接交易；两地将结算结果发送给结算中心比对确认，实现抗抵赖的三方确认结算。

关键词：跨区域结算平台；全网通刷；异地就医

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2016）03-0068-03

1 研究背景

随着经济的发展水平不断提高，我国医疗保险的参保率逐年提高。参保人员的跨区流动就业、退休人员投靠子女在参保地外长期生活、出差旅游以及到疑难病症需要医疗水平更先进的地区就医等情况，这就产生了医疗保险参保人员异地就诊的需求。过去更多是参保人员先到异地就诊现金结算，再回参保地办理报销手续，这会给参保人员带来资金垫付与来回办理手续的困难。为解决群众就医难问题，近年来各地尝试构建异地就医结算平台，解决参保人异地直接刷卡结算的问题。

1.1 为解决人民群众异地就医直接刷卡结算需求，目前主要采用两种模式

一是系统大集中方式。把相关地区的医疗保险业务都集中到同一系统，实现本区域的异地就医直接刷卡交易结算。由于地经济发展水平差距，医疗保险政策、业务管理模式的差异，在系统集中过程中政策、业务的协调难度巨大。同时医疗保险待遇结算又具有实时性强、交易量大、运算复杂等特点。由于当前技术水平单一系统所能容纳的结算交易量有限，这种模式在现有业务环境与技术水平下很难大面积推广。

二是采用集中交易转发方式。建立一个集中式异地就医结算中心连接若干信息转发前置端，负责接受各地交易求并对交易进行分发。前置端与各地医疗保险待遇系统连接，负责接受医疗保险待遇系统的交易请求和向医疗保险待遇系统发送交易请求。医疗待遇系统与医院系统连接接受医院系统发起的交易请求。这种模式的工作方式：医院发起就诊交易请求，通过就医地医疗保险待遇系统、就医地转发前置端、异地就医结算中心、参保地转发前置端到达参保地医疗保险待遇系统，参保地医疗保险待遇系统按当地政策进行结算处理，然后结算结果信息再沿原路返回。

1.2 集中交易转发方式存在的问题

1）单点故障与性能瓶颈：所有异地结算的交易都须经过异地就医结算中心进行交易的分发，随着接入地区的不断扩大、业务量的持续增长，异地就医结算中心的压力越来越大，异地就医结算中心已经成为整个模式的性能瓶颈。同时异地就医结算中心的单点故障会直接造成整个模式的异地就医无法运行。

2）交易可靠性：由于至少涉及六个系统，串联调用链路过长、多次数据合规则性校验、处理环节过多。网络、软件系统的不稳定都会造成请求超时、数据丢失、访问失败，交易可靠性不高。

3）数据一致性：由于至少涉及医院系统、就医地医疗保险系统、异地就医结算中心、参保地医疗保险系统四地保存交易数据。采用传统的请求/返回式信息交互模式，交易状态跟踪措施不到位、数据一致性处理机制不完善，造成四地数据不一致。

4）信息安全性：交易中身份识别、数据保密性、数据完整性、抗抵赖性等信息安全方面措施不足，随着业务的增加会带来较大安全隐患。

2 跨区域教育结算平台的内容

2.1 跨区域教育结算平台研究技术

此平台的目的就是为了解决以上问题，提供一种两地直接交易的跨区域结算平台及方法。实现跨区域结算中一卡的全网通刷；待遇发生地与待遇享受地之间，实现安全可靠的两地直接交易；两地将向结算结果发送给跨区结算中心比对确认，实现抗抵赖的三方确认结算。

为实现上述目的，本研究采用如下技术方案：

一种跨区域交易结算平台包括：安全认证及管理系统、分布式软件发布系统、跨区结算系统、若干前置端。

1）安全认证及管理系统主要功能：①数字证书管理 ②权限管理；③服务目录表管理。服务目录表中保存着各前置端的证书信息和提供服务的业务类别、地区、服务地址、服务状态等信息。

2）分布式软件发布系统主要功能：统一发布最新前置端程序及业务校验规则库。

3）前置端主要功能：与相关业务系统连接，实现基于业务类别、地区的交易路由服务和提供安全、可靠的两地直接交易服务。

4）前置端包括：基础模块、安全控制模块、安全数字证书、接受业务请求模块、规则校验模块、业务校验规则库、交易路由服务模块、服务目录表、可靠交易模块、交易状态跟踪表、调用业务服务模块。

5）基础模块主要功能：提供前置端基础的功能，为其他模块提供基础支撑服务，启动或停用其他模块的运行。实现与软件发布系统检索最新软件及规则库版本，下载并更新本地程序与规则库。

6）安全控制模块主要功能：读取本地数字证书，向安全认证与管理系统请求认证注册；接受安全认证管理系统的权限管理；管理数字证书、交易密钥；下载更新服务目录表；两地直接交易过程中的安全控制。

7）接受业务请求模块主要功能：接受业务系统的访问请求。

规则校验模块主要功能：对接受的业务请求信息与调用业务的返回信息根据规则库进行合法性校验。规则校验分两个级别：一开发级校验：对规则库中信息格式、交易规则等都进行校验；二运行级校验：只对重要业务规则进行校验。

8）交易路由服务模块主要功能：根据请求交易的业务类别、地区和服务目录表中的信息，将信息转发服务端。

9）可靠交易模块主要功能： 运用交易状态跟踪表与请求/回复/确认/询问的交易模式，对交易进行跟踪处理，确保交易的可靠性与数据的一致性。

10）调用业务服务模块：调整业务系统的服务。

前置端所连接的业务系统一般既可作为交易发起的请求方，同时又可作为提供服务的服务方，根据业务发起地不同而承担不同的角色。本研究中为发便于描述功能，以请求端代指接受待遇发生地业务系统交易请求的前置端，服务端代指调用待遇享受地业务系统的前置端。

2.2 跨区域教育结算平台研究方法

本研究采用的方法有：前置端统一管理、支持多卡中心的“一卡通”、安全可靠的两地直接交易、抗抵赖的三方确认结算等方法。实现对平台中前置端的统一管理；实现跨区域结算中一卡的全网通刷；待遇发生地与待遇享受地之间，实现安全可靠的两地直接交易；两地将结算结果发送给结算中心比对确认，实现抗抵赖的三方确认结算。

1）前置端统一管理方法：通过安全认证及管理系统实现对前置端身份确认、权限管理、服务注册、服务目录管理；通过分布式软件发布系统，实现对前置端程序和规则库的统一发布、分布式部署、自动更新。

2）支持多卡中心的“一卡通”方法：通过在卡管系统与待遇享受地业务系统中将卡信息与人员业务信息的双向关联；业务请求刷卡结算时根据卡中发卡机构信息定位到卡管理系统，从卡管理系统中获取待遇享受地区信息，实现待遇发生地与待遇享受地之间的关联。

3）安全可靠的两地直接交易方法：待遇发生地根据业务类别、待遇享受地区信息查询到待遇享受地的服务，待遇发生地与待遇享受地两地间建立直接联系，进行两地直接交易。为保证交易的可靠性，采用交易状态跟踪与请求/回复/确认/询问的交易模式确保交易的可靠性与数据的一致性。通过采用PKI/CA数字证书技术确保交易的身份识别、数据保密、数据完整与抗抵赖等交易安全性。

4）抗抵赖的三方确认结算方法：交易结算完成后，两地以异步方式将结算信息以签名加密方式发送给跨区结算中心，结算中心比对确认后再将确认信息以签名加密方式返回双方，实现三方数据一致性、保密性、抗抵赖性。结算中心定期自动分地区产生跨区费用结算报表，并以签名加密方式发送给各地，各地比对确认后，以签名加密方式将比对结果发送给结算中心，实现跨区费用结算准确性与安全性。

5）安全可靠的两地直接交易的方法：通过服务路由流程，请求端获得服务端的服务信息，请求端与服务端建立直接联系；通过交换证书流程，确认彼此身份；通过约定交易密钥流程，约定彼此交易加密密钥；通过交易可靠性控制流程，确保交易的可靠性与数据的一致性；通过交易信息安全传输流程，确保交易的保密性与抗抵赖性。

2.3 跨区域教育结算平台交易可靠性控制流程

通过在请求端设置事务锁，防止重复请求与多次请求乱序；通过双方记录交易状态与请求/回复/确认/询问交易状态跟踪过程确保交易的可靠性、一致性。

2.3.1 正常交易步骤

1）接受交易请求：请求端接受业务请求，请求信息中包含人员信息、业务类别与地区信息、交易内容；

2）检查交易合法性：根据业务校验规则，校验请求信息的合法性；

3）检查交易事务锁：检查该人员所请求业务的事务锁状态，若存在未完成的交易则阻止此次请求，直到未完成请求交易完成或取消；

4）保存跟踪信息：请求端根据系统给定的规则对交易进行编序，并在交易状态跟踪表中记录交易序号、人员信息、业务类别与地区信息、交易内容及交易状态信息，开启该人员所请求业务的事务锁；

5）发送交易请求：请求端按信息安全传输流程将请求信息发送给服务端；

6）处理交易请求：服务端向业务系统发送处理请求，业务系统对请求进行处理；

7）检查回复合法性：服务端接受业务系统返回的回复信息，根据业务校验规则，校验回复信息的合法性。若不合法则向业务系统报告错误并由业务处理冲销之前的处理，作为失败交易向请求端返回回复信息；

8）保存跟踪信息：服务端在交易状态跟踪表中记录交易序号、请求内容、请求内容签名、回复内容及交易状态信息；

9）返回回复信息：服务端按信息安全传输流程将回复信息发送请求端；

10）处理回复信息：请求端对回复信息请求处理；

11）更新跟踪信息：请求端在交易状态跟踪表中更新回复内容、回复内容的签名、确认内容及交易状态信息，请求端事务结束事务锁关闭；

12）发送确认信息：请求端通过异步方式，按信息安全传输流程将确认信息发送服务端；

13）处理确认信息：服务端处理确认信息，若为肯定确认记录状态，若否定确认则冲消原请求交易处理；

14）更新跟踪信息：服务端在交易状态跟踪表中更新确认内容、确认内容的签名及交易状态信息，双方交易完成。

2.3.2 请求后未收到回复的异常处理步骤

若请求端发送信息后超时未能收到服务端的回复信息，则按以下步骤处理：

1）更新跟踪信息：请求端在交易状态跟踪表中记录回复询问信息及更新交易状态信息；

2）发送回复询问：请求端将包含请求信息内容的回复询问按信息安全传输流程发送给服务端；

3）查询跟踪信息：服务端收到回复询问，在交易状态跟踪表中检索对应请求的记录；若服务端已经处理过请求则从交易状态跟踪表提取回复信息，返回给请求端；若服务端之前未收到请求信息，则服务端返回未接请求的回复信息给请求端。请求端取消本次交易，事务锁关闭。其他步骤与正常流程相同

2.3.3 回复后未收到确认的异常处理步骤

若服务端回复后超时限未能收到请求端的确认信息，则按以下步骤处理：

1）更新跟踪信息：服务端在交易状态跟踪表中记录确认询问信息及更新交易状态信息；

2）发送确认询问：服务端将包含回复信息内容的确认询问按信息安全传输流程发送给请求端；

3）查询跟踪信息：请求端在交易状态跟踪表中检索对应请求的回复记录；若请求端已经处理过回复，则从交易状态跟踪表提取确认信息，返回给服务端；若请求端之前未收到回复信息，则请求端处理请求后返回确认信息给请求端；

2.3.4 抗抵赖的三方确认结算方法

通过服务路由流程，让双方建立直接联系；通过交换证书流程、约定交易密钥、信息安全传输流程，确保信息交互的安全性。通过结算信息三方确认流程，实现待遇发生地、跨区域结算中心、待遇享受地三方的数据一致性、抗抵赖性；通过跨区费用结算流程，实现结算中心与各地费用结算的准确性。

3 跨区域教育结算平台研究的优点

3.1 减少单点的依赖性

避免因某个单点故障而造成整个平台的瘫痪。若平台中安全认证及管理系统或分布式软件发布系统发生故障短时间停止运行并不会影响两地前置端之间进行正常交易；若跨区结算系统发生故障也不会影响交易的进行，待跨区结算系统正常运行时各地前置端再将结算信息上传至跨区结算系统正常结算。

3.2 提升业务的可扩展性

由于两地之间直接交易而不经过集中的分发服务器，接入点的增加、业务的增长不会造成单一服务器压力急剧增长，提升平台整体的可扩展性。

3.3 提高交易的可靠性

由于采用交易状态跟踪与请求/回复/确认/询问的交易模式确保交易的可靠性与数据的一致性。

3.4 确保结算的安全性

前置端安全身份认证与权限管理、交易信息的签名加密传输、抗抵赖的三方结算信息确认等手段确保结算的安全性。

3.5 增强平台的可维护性

各前置端分布式部署、统一管理，增强平台的可维护性。集中安全认证与权限管理；前置机程序与规则统一发布、分布式部署、自动下载更新；

3.6 实现“一卡通”

支持多卡中心的卡信息与人员业务信息实现跨地区双向关联，真正实现 一张卡全网通用。

4 运用跨区域结算交易系统，实现参保人持社保卡异就医

1）参保登记：参保人在办理参保手续；

2）申领社保卡：向参保地所属的卡管理系统申领社保卡，参保地业务系统调用卡应用注册流程，实现卡管理系统与社保系统中卡信息与人员参保信息的双向关联；

3）刷卡就医：参保人到异地医院刷卡就医；

4）医院向刷卡请求发至就医地业务系统；

5）获取卡管理服务：运用卡使用流程获取该持卡人的参保地信息；

6）就医地与参保地运用两地直接交易的方法交换人员信息，就医地系统进行异地就医人员信息登记、参保地进行参保人员异地就医信息登记；

7）医院获得返回的刷卡反馈信息；

8）医院通过就医地业务系统及前置端向跨区域结算交易系统请求交易完成异地就医的业务流程；

9）请求端与服务端运用安全可靠的两地直接交易办法处理完成医院系统所请求的业务交易；

10）请求端、服务端运用结算信息三方确认流程与跨区结算系统进行交互，完成结算信息的三方确认；

11）各地业务系统与跨区结算系统运用跨区费用结算流程与跨区结算系统进行交互，完成异地就医费用结算。

参考文献：

[1] 冀少君.吉林省内异地就医即时结算制度实施效果评估及改进分析[D].长春：东北师范大学，2015.

[2] 蒋可竟.职工基本医疗保险异地就医便捷化政策效应分析[D].杭州：浙江大学，2014.

[3] 高艳茹，赵欣.ERP环境下成本管理模式初探[J].佳木斯大学社会科学学报，2005（1）.

[4] 李成山.基于J2EE平台的商业银行国际结算系统的设计与实现[D].沈阳：东北大学，2009.