第三方支付应用安全方案20120419.pdf

第三方支付 应用安全方案 北京微通新成网络科技有限公司 2012 年 第三方支付应用安全方案 ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别 注明，版权均属微通新成所有，并受到有关产权及版权法保护。任何个人、机构未经微通新 成的书面授权许可，不得以任何方式复制或引用本文的任何片断。 ■ 商标信息 微通新成、WeiTong Networks、密码卫士、PassGuard 是北京微通新成网络科技有限公 司的商标。 北京微通新成网络科技有限公司 400 6100 688 第三方支付应用安全方案 目 录 1. 前言 1 2. 需求分析 2 2.1. 用户帐户安全需求 2 2.2. 数字签名验证需求 3 2.3. 服务器证书需求 3 2.4. 数据加密及密钥管理需求 4 2.5. 合规性需求 4 2.6. 商业信誉保护需求 6 3. 用户帐号安全解决方案 6 3.1. 密码卫士简介 6 3.2. 密码卫士产品设计思路 7 3.2.1. 键盘消息处理原理7 3.2.2. 键盘消息传递安全漏洞分析9 3.2.3. 密码卫士键盘输入保护策略10 3.2.4. 密码卫士技术选型11 3.3. 密码卫士安全保护原理 12 3.3.1. 软件架构12 3.3.2. 安全机制13 3.4. 密码卫士工作流程 16 3.4.1. 一次一密对称加密工作流程16 3.4.2. 一次一密非对称加密工作流程17 3.5. 密码卫士安全控件功能 18 3.5.1. 敏感信息防护19 3.5.2. 自身安全性20 3.6. 密码卫士服务器库文件功能 20 3.7. 密码卫士Mac OS 版 20 3.8. 密码卫士移动平台版 20 3.9. 密码卫士安全控件技术特点 22 3.9.1. 采用底层技术22 3.9.2. 抗逆向和防反汇编22 3.9.3. 防重放攻击23 3.9.4. 多种算法支持23 3.10. 密码卫士产品优势 23 3.10.1. 安全性强23 3.10.2. 操作系统与浏览器兼容支持广泛24 3.10.3. 可扩展性高25 3.10.4. 稳定性好26 3.10.5. 易用性好26 3.10.6. 性能高26 3.11. 密码卫士安全控件升级机制 27 3.12. 实施方案及计划 28 北京微通新成网络科技有限公司