在线支付安全解决方案.pdfVIP

在线支付安全解决方案 1. 在线支付概述 近年来,，随着互联网的快速发展，涌现了各种电子商务，极大地丰富和方 便了人们的生活。在线支付的出现，使电子商务得到进一步完善和发展。 在住房和城乡建设领域的在线支付泛指持卡人通过使用城市一卡通发行的 IC 卡在网络和上完成充值业务或者消费业务。 通过在线支付平台不仅可以解决充值网点的数量问题，还能够扩展出 种应 用业务，比如使用IC 卡进行水电热缴费、进行网购等。 2. 系统架构设计 2.1. 总体架构图 一卡通系统 银行系统 （提供金 在线支付业务平台 融支付） WEB 门户 网点柜面 商户系统 POS机具 POS机具 客户 卡片 卡片 1 页 共 11 页 图1 总体架构图 2.1.1. 一卡通系统 提供一卡通业务支持，包括卡片应用规划，卡片物理介质发行，密钥管理， 清分清算处理。在线支付系统需要一卡通系统的支撑。 2.1.2. 银行系统 泛指能提供银行支付的系统，比如网银和 三方支付系统。客户能够借助银 行系统使用银行卡为卡片的电子钱包进行圈存。在线支付系统可以针对资金的流 转进行清分清算。 2.1.3. 商户系统 泛指在线支付系统发展的商户，客户可以使用电子钱包账户在商户系统进行 消费。事后在线支付系统可以同商户怎对发生的消费交易进行资金清分清算。 2.1.4. 客户 客户指在线支付系统的消费群体，持有一卡通发行卡片和从在线支付系统获 取 POS 机具。并借助银行系统完成对卡片电子钱包的圈存和用电子钱包在商户 系统中进行消费。 2.1.5. 卡片 卡片由一卡通发行的。卡片可由在线支付系统开设专用的电子钱包应用区 域。客户持卡片在 POS 机具上可以完成对电子钱包账户上的充值和用电子钱包 消费完成消费。卡片的电子钱包应用需要在线支付系统开通。 2 页 共 11 页 2.1.6. POS 机具 POS 机具属于某个客户实体。客户可以持不同的卡片在POS 机具上对卡片 电子钱包充值和用电子钱包消费完成消费。POS 机具需要被在线支付系统管理起 来。 2.1.7. 网点柜面 可以受理客户的业务办理，完成卡片以及 POS 机具的发放和管理，以及其 他相关业务。 2.2. 系统拓扑 在线支 城市一卡通 付业务 银行系统 平台 商户系统 Internet POS 图2 系统拓扑结构 在线支付系统依托互联网络组建业务环境，应 用TCP/IP 面向连接的通讯 方式实现在线支付系统与家用电脑的连接，应 用Internet 或专网 （DDN ）方式 实现在线支付系统与外部系统的连接 家用电脑增加POS 机具提供与IC 卡交互的能力。POS 机具应能够提供IC 卡应用的安全控制。家用电脑通过浏览器，借助POS 机具与在线支付系统的Web 服务器进行交互实现一卡通业务 3 页 共 11 页 3. 在线支付需解决的问题 3.1. 读卡器 解决在线支付问题的关键是在客户端提供可安全读写非接触式IC 卡的读写 终端，包括读取非接触逻辑加密卡和非接触CPU 卡。 1. 读写终端是客户端电脑和非接触式IC 卡通信的专用设备； 2. 读写终端应能唯一标识自己，并只能在被住房和城乡建设部 IC 卡应用 服务中心和城市双重授权的情况下使用，以保证系统的安全性和实现跨 城市互通应用。 3. 读写终端提供PKI 认证功能，存储数字证书，提供密钥交换、数据加解 密、数据签名功能；证书下的下发应由住房和城乡建设部 IC 卡应用服 务中心统一管理，并下发给城市进行二次初始化。 4. 读写终端须通过住房和城乡建设部IC 卡应用服务中心检测。 3.2. 业务网络 在线支付涉及到以下四个网络： 1. 互联网络 客户端计算机必须接入互联网。 客户端计算机通过互联网，访问充值专用网页和支付网关网页。 2. 支付网关网络 和支付网关系统连接可有两种模式： a 利用支付网关提供的相关的网络转账功能； b 开发支付网关接口，实现支付网关支付功能； 3. 线支付网络 在线支付应独立架设WEB 服务器和应用服务器。并将WEB 服务器架设于 互联网络中。 4. 和各城市专线网络 在线支付应用服务器与各一卡通中心间 用加密通信或专用网络连接。 4 页 共 11 页 3.3. 安全体系 3.3.1. 传输安全 在线支付客户端和在线支付WEB 服务器间的通信 用HTTPS 安全协议。 在握手时， 用存储在读写器内部的客户端证书进行身 认证和数据加密。 在线支付客户端访问支付网关页面时的安全由支付网关负责验证支付客户 端的身份合法性，只有通过认证的客户端才允许进行其他操作。 在线支付服务端和各卡公司间的通信 用 SSL 安全协议。卡公司则安装