支付系统应用安全设计v解析.doc

海航集团网上支付系统应用安全 UC-2010-04-01-04-0002 设计方案 V1.0 广州江南科友科技股份有限公司 2010-4-14 文档修订记录 2010-4-5，陈家梅完成1.0版本。 2010-4-14，陈家梅在1.0版本的基础上，根据客户的要求进行补充，同时根据公司内部对方案的讨论结果进行完善，升级为1.1版本。  目录 1 文档说明 1 1.1 目的 1 1.2 名词解释 1 2 软件需求 2 2.1 客户原始需求 2 2.2 需求分析 2 3 系统设计 4 3.1 网络结构图 4 3.2 系统结构图 5 3.3 系统功能清单 6 3.4 系统部署图 8 3.5 系统组件 9 3.6 密钥体系 9 3.6.1 密钥使用示意图 9 3.6.2 密钥分布图 10 3.6.3 密钥说明 11 3.6.4 密码服务平台RSA密钥对的初始化流程 13 3.6.5 安全控件和密码服务平台的密钥同步流程 14 3.7 交易安全处理流程 15 3.7.1 用户登录密码验证流程 15 3.7.2 PIN的安全处理流程 16 3.7.3 交易报文的安全处理流程 17 4 交付件 18 5 附件 19 5.1 项目风险说明 19 5.2 建议硬件、操作系统配置 19 5.3 项目其它要求 20 文档说明 目的 本文档结合客户需求，描述海航集团网上支付系统应用安全的设计方案。 主要提供给客户，作为系统方案交流的依据，以及提供给开发人员，作为整理开发手册的基础。 名词解释 基本术语 说明 PIN 用户的交易密码，用户在交易时通过密码键盘输入，由业务主机进行验证。 密钥信封 存放密钥明文的信封文件，其中，密钥明文不可见，只有该信封被拆开后才能看到密钥的明文。 PVK PIN Verify Key，PIN验证密钥，用于加密、验证PIN。 ZPK Zone PIN Key，区域PIN密钥，用于加密PIN。 LMK Local Master Key，本地主密钥，用于工作密钥或私钥在本地存储时进行保护。 RSA 一种国际标准的非对称密钥算法。 RSA密钥对 RSA非对称密钥体系中的密钥，每对RSA密钥对都包含一把公钥和一把私钥。 PK RSA非对称密钥体系中的公钥，公钥的明文可以公开。 VK RSA非对称密钥体系中的私钥，私钥的明文不能公开。 用户登录密码 以下也简称为登录密码，指用户登录系统时输入的密码，包括字母和数字，不定长。 软件需求 客户原始需求 在用户进行网上交易的过程中，为保障用户敏感信息的安全，维护用户的利益，要求网上支付交易必须符合以下安全需求： 用户PIN在交易过程中，不得以明文形式在硬件安全设备之外出现。 要求对交易的报文进行完整性验证，防止交易报文被篡改。 要求对登录用户的登录密码进行验证，保证用户登录的合法性和正确性。 需求分析 需求要点 需求要点说明 需求要点的实现方式 用户PIN的安全 用户的PIN在网上交易过程中进行转发和验证时，明文仅允许在硬件安全设备中出现。 PIN的验证由业务主机和密码机保障，因此仅考虑PIN在传输过程中的安全。 采用RSA非对称密钥机制： 提供网页上的安全控件，用密码服务平台的公钥加密PIN。 提供密码服务平台的安全服务，可以将公钥加密的PIN转换为与主机约定的ZPK加密的PIN，再传到主机进行验证。 交易报文的安全 交易报文传输过程中，报文的发起方生成签名，报文的接收方需验证签名，以保证报文没有被篡改。 采用RSA非对称密钥机制： 提供网页上的安全控件，用安全控件的私钥对交易报文进行签名。 提供密码服务平台的安全服务，用相应安全控件的公钥验证签名是否正确。 用户登录的安全 用户登录时，需验证其登录的字符密码，保证用户登录的合法性。 用户登录时，由网页上的安全控件提供密码输入的软键盘功能（包含字符和数字输入，且数字输入随机乱序），并且用密码服务平台的公钥加密用户登录密码。 提供密码服务平台的安全服务，将登录密码转换为PVK加密。该功能在用户第一次输入登录密码或修改密码时调用，应用系统将PVK加密的登录密码密文保存到数据库中。 提供密码服务平台的安全服务，将应用系统数据库中保存的用户登录密码密文和用户从界面输入的登录密码密文送到密码机中进行验证。该功能在验证用户的登录密码时调用。 系统设计 网络结构图 图3-1 网络结构图 图3-1中，安全控件存放在WebServer，第一次使用时从WebServer下载到IE终端保存，由应用系统调用其中的功能函数进行安全处理。 应用服务器调用密码服务平台的API，访问密码服务平台，完成安全服务功能。 在进行交易之前，必须完成密钥的生成和同步，包括密码服务平台与业务主机的密钥同步，以及密码服务平台与安全控件