网上支付系统应用安全设
计方案
1.1 目的
本文档结合客户需求,描述海航集团网上支付系统应用安全的设计方案。
主要提供给客户,作为系统方案交流的依据,以及提供给开发人员,作为整理开发手册的基础。
1.2 名词解释
2 软件需求
2.1 客户原始需求
在用户进行网上交易的过程中,为保障用户敏感信息的安全,维护用户的利益,要求网上支付交易必须符合以下安全需求:
1.用户PIN在交易过程中,不得以明文形式在硬件安全设备之外出现。
2.要求对交易的报文进行完整性验证,防止交易报文被篡改。
3.要求对登录用户的登录密码进行验证,保证用户登录的合法性和正确
性。
2.2 需求分析
3 系统设计
3.1 网络结构图
图3-1 网络结构图
图3-1中,安全控件存放在WebServer,第一次使用时从WebServer下载到IE终端保存,由应用系统调用其中的功能函数进行安全处理。
应用服务器调用密码服务平台的API,访问密码服务平台,完成安全服务功能。
在进行交易之前,必须完成密钥的生成和同步,包括密码服务平台与业务主机的密钥同步,以及密码服务平台与安全控件的密钥同步。
密码服务平台通过调用密码机指令完成安全算法运算,通过管理终端可以管理密码服务平台,通过监控终端可以对密码服务平台的运行状况进行实时监控。
3.2 系统结构图
图3-2 系统结构图
图3-2中,绿色竖纹方框表示科友公司提供的系统。
安全控件分为两部分,‘安全模块’提供应用系统访问安全控件的接口,‘软Key模块’提供密钥访问和算法接口,相当于一个软件算法模块。如果将来使用硬件存储密钥和进行算法运算,则直接替换‘软Key模块’即可。
每个安全控件有一对公私钥对,私钥保存在控件的‘软Key模块’中,公钥上传给密码服务平台保存。
密码服务平台本身有一对公私钥对,私钥保存在密码机中,公钥除保存在数据库中外,还需要分发给每个安全控件保存。
密码服务平台还需要与业务主机约定ZPK,数据库中保存ZPK的密文。一般采用先打印密钥信封,再通过人工录入的方式来进行同步。
3.3 系统功能清单
说明:每个用户对应唯一一个安全控件,每个安全控件拥有唯一一对RSA公私钥对,密码服务平台保存每个用户的安全控件公钥,因此,安全控件的公钥必须通过用户的ID号来存取。调用API访问密码服务平台时,凡涉及到安全控件的公钥,都必须在API的输入参数中包含安全控件的ID号,该ID号由应用系统取值,用以唯一标识一个用户。
3.4 系统部署图
密码机密码机
图3-3 系统部署图
✧密码服务平台一般为双机热备份形式,部署在独立的服务器上。
✧密码机可以部署多台。密码机与密码服务平台之间组成一个单独的网,
即:只有密码服务平台才能访问密码机,从网络上杜绝其它任何系统直
接访问密码机。
✧ 密码服务平台一般部署一个管理终端即可,可部署多个监控终端。 ✧ 每个用户对应一个安全控件,使用时现从网上支付应用的WebServer
下载。
3.5 系统组件
以下列出了密码服务平台、API 和安全控件支持的操作系统、数据库等,由客户根据需要进行选择。
3.6 密钥体系
3.6.1 密钥使用示意图
图3-4 密钥使用示意图
图3-4简要说明了各种密钥的使用,其中,红色实线表示安全控件完成的功能,蓝色虚线表示在密码服务平台完成的功能。
注意:PIN/用户登录密码的解密操作是在密码机部完成的,密码服务平台实
际进行的是PIN/用户登录密码的转加密、验证功能,因此PIN/用户登录密码的明文不会出现在密码设备之外。
3.6.2 密钥分布图
图3-5 密钥分布图
密码服务平台和安全控件各有自身的RSA公私钥对,私钥保存在自身的密钥库中,公钥除保存在自身的密钥库中外,还需要保存在对方的密钥库中。
密码服务平台的数据库中需要保存所有控件的公钥,由于控件数量较多(可能一个用户对应一个控件),因此不能使用文件方式存储,必须安装数据库。
3.6.3 密钥说明
3.6.4 密码服务平台RSA密钥对的初始化流程
图3-6 密码服务平台RSA密钥对初始化流程图
3.6.5 安全控件和密码服务平台的密钥同步流程
图3-7安全控件和密码服务平台的密钥同步流程图
3.7 交易安全处理流程
3.7.1 用户登录密码验证流程
图3-8 用户登录密码验证流程图3.7.2 PIN的安全处理流程
图3-9 PIN的安全处理流程图
3.7.3 交易报文的安全处理流程
图3-10 交易报文的安全处理流程图
4 交付件
5 附件
5.1 项目风险说明
私钥密文文件存放在IE终端,如果用户换一台终端,则必须将私钥密文文件拷贝到新的终端上,才能成功使用。因此必须告诉用户私钥文件的存放位置和使用注意事项,如果使用硬件的身份认证介质,则只要用户使用时插入身份认证介质即可,比较方便。
5.2 建议硬件、操作系统配置
5.3 项目其它要求
