中國電信融合支付產(chǎn)品技術規(guī)范總冊.doc

中國電信融合支付產(chǎn)品技術規(guī)范總冊v1.0（討論稿）中國電信集團2009-12版 本 歷 史版本作者參與者起止日期描述0.1謝朝建，董志軍，陳洪，王之偉，李慶艷，陸冬娜，袁輝，韓曉勇王釗，李峰2009-11-32009-11-9需求未明確的情況，根據(jù)校企一卡通，公眾一卡通，電話支付及互聯(lián)網(wǎng)支付四個產(chǎn)品的方向，整理建設方案1.0陳洪、王之偉、陸東娜、董志軍、袁輝、李慶艷2009.12.12009.12.2目錄1.總則61.1背景61.2文檔說明61.3名詞解釋62.業(yè)務描述82.1業(yè)務目標82.2賬戶設計92.2.1賬戶需求分析92.2.2賬戶層級架構112.2.3電信消費類賬戶122.2.4電信通信類賬戶132.2.5其他關聯(lián)類賬戶132.2.6其他說明142.3賬戶體系演進階段建議142.3.1第一階段142.3.2第二階段152.4支付場景152.4.1互聯(lián)網(wǎng)支付場景162.4.2電話pos支付場景162.4.3電話語音支付場景（ivr）162.4.4移動支付場景163.總體架構設計183.1總體架構圖183.2周邊平臺183.2.1udb平臺183.2.2積分平臺193.2.3nsag平臺193.2.4ota平臺193.2.5銀行（第三方支付）平臺193.2.6業(yè)務平臺193.2.7卡管理平臺203.3組網(wǎng)要求203.3.1組網(wǎng)原則203.3.2組網(wǎng)結構213.4全國平臺功能架構233.5省級平臺功能架構234.對賬、清分與結算244.1日切前的處理244.2賬戶管理模塊的處理244.3支付處理模塊的處理244.4其他業(yè)務平臺255.沖正機制的要求255.1沖正適用范圍255.2沖正處理要求265.3需要自動沖正的交易266.網(wǎng)管要求266.1網(wǎng)絡管理方式266.2網(wǎng)絡管理的主要功能276.2.1性能管理276.2.2故障管理276.2.3安全管理286.2.4配置管理287.系統(tǒng)性能要求287.1賬戶數(shù)297.2日均交易量297.3端到端交易處理時延t（遠程支付）297.4系統(tǒng)交易處理時延（遠程支付）307.5系統(tǒng)吞吐量307.6系統(tǒng)內交易成功率307.7系統(tǒng)并發(fā)處理能力307.8批處理時長317.9客服系統(tǒng)性能要求317.10其他318.系統(tǒng)數(shù)據(jù)管理要求318.1業(yè)務數(shù)據(jù)管理328.1.1數(shù)據(jù)內容328.1.2保管介質要求328.1.3保管期限要求建議328.2安全數(shù)據(jù)管理328.2.1數(shù)據(jù)內容328.2.2保管介質要求328.2.3管理期限要求建議328.3交易清算數(shù)據(jù)管理338.3.1數(shù)據(jù)內容338.3.2保管介質要求338.3.3保管期限要求建議338.4賬務數(shù)據(jù)管理338.4.1數(shù)據(jù)內容338.4.2保管介質要求338.4.3保管期限要求建議338.5日志數(shù)據(jù)管理348.5.1數(shù)據(jù)內容348.5.2保管介質要求348.5.3保管期限要求建議349.系統(tǒng)安全要求349.1安全體系模型349.1.1安全威脅349.1.2安全模型359.2應用層安全要求369.2.1密碼體系369.2.2訪問控制369.2.3數(shù)據(jù)存儲安全369.2.4通信安全379.2.5可用性379.2.6安全審計379.2.7防攻擊/防病毒379.3系統(tǒng)層安全要求389.3.1訪問控制389.3.2可用性389.3.3安全審計389.3.4防攻擊/防病毒389.4網(wǎng)絡層安全要求399.4.1訪問控制399.4.2可用性399.4.3安全審計399.4.4防攻擊/防病毒399.5物理層安全要求409.5.1環(huán)境安全409.5.2媒體安全409.5.3設備安全4010.系統(tǒng)備份與恢復4010.1備份范圍4010.2備份目標與性能要求4010.3存儲介質與備份方式4110.4備份策略4210.5其他要求與建議421. 總則1.1 背景近來我國電子商務發(fā)展訊速,電子支付經(jīng)過幾年的發(fā)展，從金融機構的銀行卡支付、網(wǎng)銀支付、第三方支付，再到電子錢包,已經(jīng)成為電子商務交易中關鍵的支撐環(huán)節(jié)。隨著3g時代的到來，移動支付越來越成為電子商務的重要支付渠道。部分電信省公司在支付工作上有所試點，并有規(guī)模型推廣。但整體突顯以下問題： 除目前4個統(tǒng)一支付試點省已實現(xiàn)支付平臺的統(tǒng)一，其余非試點省的支付平臺仍分散，支付業(yè)務分散在多個業(yè)務平臺上； 不同單位建設、經(jīng)營，不同的建設、經(jīng)營模式，導致用戶感知度不一致、缺乏黏性； 資源分散，缺乏統(tǒng)一業(yè)務發(fā)展模式，各地業(yè)務發(fā)展水平、營銷及支撐能力參差不一，尚未形成全網(wǎng)的規(guī)模效益 缺乏業(yè)務發(fā)展指導規(guī)劃，各省期待集團在業(yè)務發(fā)展方面提供指導意見 缺乏統(tǒng)一支付品牌，專業(yè)運營能力欠缺。1.2 文檔說明本規(guī)范規(guī)定了中國電信融合支付平臺在業(yè)務開展中需要規(guī)范的內容，供中國移動內部和廠商共同適用；適用于在融合支付平臺在業(yè)務開展、招標選型，工程建設和運行維護為集團公司和省公司提供技術依據(jù)。1.3 名詞解釋術語術語描述電話支付語音支付業(yè)務是基于中國電信固網(wǎng)及移動網(wǎng)絡、用戶撥打電話通過語音方式，使用電信自有賬戶、銀行卡賬戶或電信通信賬戶，利用電信支付平臺及合作金融機構清算系統(tǒng)，向用戶提供公用事業(yè)費、電視購物等的自助支付服務的電信增值業(yè)務。話費代收接受其它單位（包括虛擬運營商）的委托，在電信計費系統(tǒng)中使用電信通信賬戶對其向客戶提供的業(yè)務使用費向客戶收費的過程。移動支付指借助移動通信終端和設備，通過移動通信網(wǎng)絡或無線方式所進行的資金劃撥、繳費和購物等商業(yè)交易活動。遠程支付移動支付的一種，指用戶利用手機，基于移動通信網(wǎng)絡，通過web、sms、wap、ivr等遠程接入系統(tǒng)完成支付行為。現(xiàn)場支付移動支付的一種，指用戶利用移動終端，通過rfid近距離通信方式完成支付行為?，F(xiàn)場支付又分為離線支付和在線支付。離線支付：支付過程中，pos機不和后臺系統(tǒng)交互，僅由用戶非接觸式uim卡與pos終端交互認證及操作即可完成支付。在線支付：支付過程中，pos機都需要通過網(wǎng)絡連接到后臺系統(tǒng)，由后臺賬戶系統(tǒng)完成用戶驗證和扣款操作。其資金賬戶由后臺賬戶系統(tǒng)管理。用戶支付主賬戶用戶支付主賬戶用于用戶賬戶類型標識，用戶支付主賬戶包括了多個一級子賬戶。用戶支付賬戶用戶支付賬戶是指用戶用來支付的賬戶類型，用戶支付賬戶包括在線支付賬戶子賬戶、離線支付賬戶子賬戶。電信自有支付賬戶獨立于用戶通信賬戶。在線支付賬戶在線支付賬戶是用戶支付賬戶的核心子賬戶，用戶可以使用在線支付賬戶進行遠程支付或現(xiàn)場支付。離線支付賬戶離線支付賬戶存放于用戶的移動終端（含uim卡）中，用于通過現(xiàn)場支付商戶的pos終端進行小額離線脫機支付。積分賬戶用戶積分的匯聚賬戶。代金券/優(yōu)惠券可以直接抵扣現(xiàn)金或者體現(xiàn)折扣使用的一種代金券/優(yōu)惠券，與普通紙代金券/優(yōu)惠券不同，電子優(yōu)惠券以網(wǎng)站、網(wǎng)頁為載體，通過互聯(lián)網(wǎng)傳播發(fā)送，以電子形式在移動終端上進行存儲、瀏覽、使用。電信通信賬戶中國電信客戶用來支付電信產(chǎn)品使用費用的的賬戶，包括預付費用戶預存賬戶和后付費出帳賬戶。用于客戶支付電信產(chǎn)品使用費用的基本繳費單位。銀行卡賬戶指各銀行發(fā)行的各類銀行借記卡和貸記卡。第三方行業(yè)賬戶第三方行業(yè)或單位發(fā)行在規(guī)定范圍內使用的賬戶，包括市政卡、公交卡、校園/企業(yè)內部賬戶、行業(yè)消費卡（如聯(lián)華ok卡、雅高卡、斯瑪特卡等）第三方支付賬戶主要指第三方支付服務提供商提供的用于電子商務支付的賬戶，通常存放于第三方支付平臺上，如支付寶、財富通、paypal、快錢等。清分是指根據(jù)資金往來交易的記錄，按照一定的規(guī)則進行匯總分類計算出對帳文件，并進行軋差處理的過程。結算根據(jù)清分的結果，進行資金劃撥的過程。帳號用戶在開立賬戶后，會產(chǎn)生一個號碼，這個號碼和賬戶一一對應。在對該賬戶進行業(yè)務處理的時候，帳號是唯一的標識。電信通行證中國電信通行證（ct 通行證）是面向中國電信用戶提供的互聯(lián)網(wǎng)應用（包括移動互聯(lián)網(wǎng)應用）的統(tǒng)一帳號。使用中國電信通行證（ct 通行證）可以在中國電信自營互聯(lián)網(wǎng)站點或客戶端以及與中國電信合作并受信的cp/sp互聯(lián)網(wǎng)站點或客戶端上實現(xiàn)統(tǒng)一帳號，統(tǒng)一認證并可實現(xiàn)單點登錄（sso）服務2. 業(yè)務描述2.1 業(yè)務目標中國電信融合支付平臺旨在實現(xiàn)接入網(wǎng)的通信功能與支付功能的分離，把支付能力從目前的各種業(yè)務系統(tǒng)中獨立出來，形成相對獨立的能力引擎和管理核心，建立與中國電信運營服務體系相適應的集中維護、統(tǒng)一管理的基于自有賬戶的多帳戶多媒介的立體化電信融合支付運營服務體系。通過推進組織結構、流程制度和信息系統(tǒng)的優(yōu)化完善，形成與電信融合支付運營服務體系相互支撐，相互作用的可持續(xù)優(yōu)化的運作機制，促進電信融合支付運營服務水平的不斷提升。中國電信融合支付平臺服務于電信自有業(yè)務對支付功能需求的基礎上，將擴展服務于電子商務支付、手機移動支付等業(yè)務需求，具備多種支付手段和渠道能力。遠程支付能夠支持實現(xiàn)互聯(lián)網(wǎng)（web）、wap、短信、語音支付等應用；現(xiàn)場支付能夠實現(xiàn)大額有密聯(lián)機交易、小額無密脫機交易功能。中國電信融合支付平臺業(yè)務的總體架構如下圖所示： 圖中去掉通信賬戶 2.2 賬戶設計2.2.1 賬戶需求分析中國電信支付產(chǎn)品定位于以消費類賬戶為主的多賬戶多媒介 (web、wap、ivr、sms、rfid等)的支付應用。中國電信的用戶消費賬戶與電信通信賬戶相分離，使消費賬戶成為獨立于電信通信計費賬戶體系，并確立以消費賬戶進行支付的核心賬戶。電話支付所采用的通信話費小額支付功能隨著消費賬戶的建立，支付功能逐步由用戶消費賬戶代替。電信用戶還可以使用電信積分在合作商戶進行消費。中國電信用戶還可以通過其它關聯(lián)賬戶（如銀行賬戶、第三方行業(yè)賬戶等）進行各種支付和消費。這樣，用戶就可以通過固話、移動和互聯(lián)網(wǎng)等多種接入手段，保證支付賬號及相關聯(lián)的賬戶在任意交易場景均可融合使用，方便用戶隨時隨地快捷方便地使用電信支付業(yè)務。隨著電信消費賬戶的建立，電信融合支付平臺的逐步壯大，更多的第三方應用商依附于電信的支付平臺進行支付，逐步建立電信在支付產(chǎn)品價值鏈中的核心地位?；ヂ?lián)網(wǎng)接入、語音接入、短信接入及手機支付等不同接入媒介對于賬戶的需求如下表如示：主要支付媒介通信賬戶電信支付賬戶(在線)電信支付賬戶(離線)積分賬戶銀行/準金融賬戶第三方行業(yè)賬戶代金券/優(yōu)惠券互聯(lián)網(wǎng)小額應用大額應用語音虛擬物品實名應用短信小額應用手機/pos聯(lián)盟商戶校企消費市政公交第三方發(fā)展行業(yè)商戶優(yōu)惠券合作商戶注1：表中所述小額定義為單筆支付金額小于100元注2：表中所述大額定義為單筆支付金額大于500元2.2.2 賬戶層級架構中國電信融合支付平臺賬戶架構根據(jù)歸屬和管理的平臺層級分為全國和省兩級。2.2.3 電信消費類賬戶2.2.3.1 用戶支付賬戶在線支付賬戶是用戶支付賬戶的核心子賬戶，由電信融合支付全國平臺建設和管理，用戶可以使用在線支付賬戶進行各類遠程支付或現(xiàn)場支付。各省可以根據(jù)省內需求，確定是否設立省內離線支付賬戶。省內離線支付賬戶由省級平臺進行建設和管理，主要用于省內各類現(xiàn)場離線支付?？紤]未來跨省的支付，省級平臺進行離線支付賬戶建設時，應遵循集團公司統(tǒng)一的卡技術和aid應用規(guī)范，采用全國平臺統(tǒng)一的密鑰管理體系。全國平臺應制定統(tǒng)一的卡技術和應用規(guī)范，建設統(tǒng)一的密鑰管理平臺，并在未來離線支付賬戶開通跨省支付應用時，負責離線支付賬戶相關的商戶交易的清分結算以及跨省支付應用的清分和路由管理。2.2.3.2 積分賬戶電信客戶積分賬戶包含電信各省crm生成積分、集團號百業(yè)務平臺生成的積分和積分平臺匯總積分。1）電信融合支付平臺建設第一階段中，積分賬戶暫時定位為電信消費類賬戶的關聯(lián)賬戶，仍按目前已存在的積分管理模式由集團號百和各省級積分平臺進行管理。目前積分賬戶的管理分為模式一（積分賬戶在各省管理）和模式二（積分賬戶在集團號百積分平臺管理）。如該號百客戶已與品牌客戶歸并，則該客戶的號百積分需要下發(fā)到省內（模式一），匯入各省積分平臺賬戶統(tǒng)一管理。根據(jù)各省實際情況，電信crm生成積分也可匯聚到集團號百積分平臺進行統(tǒng)一管理。2）電信融合支付平臺建設第二階段中，當積分賬戶可實時匯聚到全國積分平臺后，將積分賬戶納入到電信消費類賬戶體系，作為消費類賬戶下的子賬戶。2.2.3.3 代金券/優(yōu)惠券賬戶代金券賬戶由電信融合支付全國平臺建設和管理，由融合支付全國運營機構發(fā)行，配合在線支付賬戶和離線支付賬戶進行用于各類遠程和現(xiàn)場代金抵扣支付應用。代金券可以由積分平臺統(tǒng)一管理。優(yōu)惠券賬戶由電信融合支付升級平臺建設和管理，由各融合支付省級運營機構發(fā)行，用于優(yōu)惠券發(fā)行商戶指定的特約商戶進行現(xiàn)場支付時的優(yōu)惠折扣應用。2.2.4 電信通信類賬戶電信通信賬戶仍然按照目前的運行的管理層級進行管理，由各省crm系統(tǒng)進行建設和管理。融合支付平臺建設和運營后，此類賬戶仍然保持原有模式和層級不變。 2.2.5 其他關聯(lián)類賬戶 全國性金融類關聯(lián)賬戶包括：工行、建行、中行、農(nóng)行、交行、招行、民生銀行、中信銀行、廣發(fā)、深發(fā)展、上海浦發(fā)等銀行以及支付寶、財付通等全國性或跨省區(qū)域性金融類賬戶，原則上該類賬戶接入、管理維護和清分結算由全國平臺承擔。 地方性金融類關聯(lián)賬戶包括：寧波銀行、杭州銀行等地方性商業(yè)銀行。因該類賬戶業(yè)務范圍一般僅限于某個城市或某個省內，故該類金融賬戶將直接接入省級平臺，并由省級平臺進行管理維護和結算。但如果所屬省未建設融合支付省級平臺或因全國業(yè)務和技術管理需要，也可直接接入融合支付全國平臺，接入管理方式和范圍同全國性金融類賬戶。 第三方行業(yè)賬戶包括：校企內部賬戶、市政/公交/市民等一機通賬戶、第三方行業(yè)消費卡此類關聯(lián)賬戶根據(jù)省及地市電信的需要，將直接由省電信進行根據(jù)規(guī)范進行系統(tǒng)建設和管理。2.2.6 其他說明融合支付全國平臺和省級平臺對賬戶建立和管理的關系：1）對于沒有建設省平臺的省份，全國中心平臺承擔虛擬省賬戶管理功能，建立和實現(xiàn)省平臺所需的所有賬戶管理功能；2）對于建設省平臺的省份，以上歸屬省平臺管理的賬戶，將由省平臺建設和管理，全國平臺不再管理該省所屬的相關省級平臺賬戶。2.3 賬戶體系演進階段建議根據(jù)賬戶設計預期目標和當前實際情況，賬戶和平臺的建設可以分兩個階段建設和實施。2.3.1 第一階段第一階段主要是建設以用戶支付賬戶為主的賬戶平臺，主要實現(xiàn)基于現(xiàn)金方式的消費支付應用，消費類賬戶僅由在線支付賬戶和離線支付賬戶組成。離線支付賬戶由各省平臺根據(jù)需要建立和管理，但需要考慮未來跨省使用的可能性，采用統(tǒng)一的密鑰和應用id（aid）?？紤]到目前積分賬戶主要由各省積分平臺管理和維護；積分賬戶在當前第一階段暫時定位為電信消費類賬戶的關聯(lián)賬戶，由全國積分平臺和省積分平臺管理；目前過渡階段用戶在消費時需明確選擇使用積分賬戶還是使用用戶支付賬戶扣款。過渡階段賬戶架構圖如下：2.3.2 第二階段第二階段將逐步向目標賬戶結構進行演進。本階段當積分賬戶可實時匯聚到全國積分平臺后，將積分賬戶納入到電信消費類賬戶體系，作為消費類賬戶下的子賬戶。全國平臺適時建立代金券賬戶，省平臺根據(jù)業(yè)務開展需求建立優(yōu)惠券賬戶，用于抵扣現(xiàn)金或者優(yōu)惠折扣應用。2.4 支付場景還未校對中國電信支付業(yè)務支持客戶通過多種終端接入使用、允許客戶使用不同的賬號進行支付，對應產(chǎn)生的支付場景如下。2.4.1 互聯(lián)網(wǎng)支付場景用戶通過互聯(lián)網(wǎng)接入支付平臺時，可以對電信業(yè)務進行充值/繳費，也可以使用融合支付平臺支付網(wǎng)上商城選購的商品。主要的支付場景有以下四種：l 銀行卡網(wǎng)上支付：利用融合支付平臺的統(tǒng)一銀行接口，根據(jù)銀行卡輸入信息的位置，分為網(wǎng)銀模式和支付平臺模式；l 在線支付賬戶（電信自有）網(wǎng)上支付：用戶利用申請的電信在線支付賬戶進行網(wǎng)上支付；l 積分賬戶網(wǎng)上兌換：利用電信的積分賬戶在互聯(lián)網(wǎng)上進行商品的兌換，只能用于特定場景和特定商品；2.4.2 電話pos支付場景用戶通過電話pos接入融合支付平臺時，可使用的支付方式如下：l 銀行卡刷卡支付：支付賬單下發(fā)到電話支付終端或用戶選擇支付訂單后，通過刷銀行卡完成支付；l 在線支付賬戶支付：支付賬單下發(fā)到電話支付終端或用戶選擇支付訂單后，通過輸入電信在線賬戶信息完成支付。2.4.3 電話語音支付場景（ivr）用戶通過固話、手機ivr方式接入融合支付平臺時，只能應用于以下場景：l 銀行卡（信用卡）支付：通過ivr，利用銀行卡（信用卡）開展實名商品（訂房、訂餐、訂機票）的商旅應用或其他應用；l 在線支付賬戶支付：利用電信在線支付賬戶，支付自有業(yè)務充值繳費、商品訂購等支付應用。2.4.4 移動支付場景2.4.4.1 短信支付場景用戶通過短信方式接入融合支付平臺時，可采用的支付方式如下：l 銀行卡（第三方支付卡）支付：通過短信方式，利用銀行卡（第三方支付卡）（可以設定綁定關系）開展電信充值繳費、公共事業(yè)費繳費、小額商品購買等應用；l 在線支付賬戶支付：利用在線支付賬戶進行電信產(chǎn)品充值繳費、公共事業(yè)費繳費、商品購買等應用。2.4.4.2 wap支付場景用戶通過wap接入融合支付平臺時，可以對電信業(yè)務進行充值/繳費商品購買等業(yè)務。具體可采用的支付方式有：l 銀行卡（第三方支付卡）支付：通過融合支付平臺的統(tǒng)一銀行接口支持wap方式的支付業(yè)務；l 在線支付賬戶支付：利用在線支付賬戶支持wap上的支付業(yè)務；l 積分賬戶兌換：利用積分賬戶兌換wap上的商品。2.4.4.3 rfid支付場景用戶通過rfid接入支付平臺時，采用的是rfid的刷卡支付方式，可以采用的支付方式有：l 離線支付賬戶：利用電信離線支付賬戶支持離線支付應用。3. 總體架構設計3.1 總體架構圖3.2 周邊平臺3.2.1 udb平臺用戶通過web、wap、營業(yè)廳開通支付功能及建立支付賬戶，必須先開通或激活通行證賬戶。激活操作由udb平臺完成3.2.2 積分平臺此處提到的積分平臺是存放管理積分賬戶的平臺，不包含積分商城等應用部分。在支付體系中的作用主要是作為一種支付資金源積分賬戶。當用戶采用積分賬戶支付時，平臺將用戶輸入的積分賬戶信息發(fā)送給積分平臺，由積分平臺對積分賬戶進行認證和扣款，然后將處理結果返回給支付平臺。另外，積分平臺中的積分賬戶可以在一些特殊情況中與支付平臺發(fā)生關聯(lián)。比如自有賬戶消費產(chǎn)生積分（需要集團另行規(guī)定），則支付平臺將產(chǎn)生的積分和積分賬戶信息發(fā)送給積分平臺，由平臺完成充值操作。3.2.3 nsag平臺nsag平臺是支撐支付平臺的一種能力引擎，負責短信/彩信方式的信息發(fā)送。在支付體系中的作用主要有：支付行為發(fā)起、支付結果通知、商品信息發(fā)送、二維碼應用、認證信息發(fā)送等。3.2.4 ota平臺ota平臺是卡資源操作能力平臺。主要功能有：空中圈存、應用下載、應用存儲、安全域的操作（創(chuàng)建、刪除等）、安全域相關信息存儲、應用個人化操作、卡片應用狀態(tài)管理、卡密鑰（安全域密鑰、應用密鑰）更新操作等。3.2.5 銀行（第三方支付）平臺銀行及第三方支付平臺是中國電信通道型支付應用的重要資金來源。在支付流程中，實現(xiàn)銀行/第三方支付賬戶的認證和扣款。若支持銀行/第三方支付賬戶與自有賬戶的綁定，支付系統(tǒng)也需要將相關信息發(fā)送給銀行/第三方支付平臺。根據(jù)不同的支付方式，需要提供多種支付接口。3.2.6 業(yè)務平臺業(yè)務平臺根據(jù)業(yè)務性質可以分為自有業(yè)務平臺和其他商戶系統(tǒng)，根據(jù)適用范圍可以分為全國級業(yè)務平臺和省級業(yè)務平臺。一機通平臺屬于省級業(yè)務平臺范疇。業(yè)務平臺主要提供支付商品或支付業(yè)務，在支付流程中，承擔支付發(fā)起、商品確認等功能。3.2.7 卡管理平臺卡管平臺負責制卡數(shù)據(jù)的生成。主要功能包括：制卡基礎數(shù)據(jù)管理、安全域管理、碼號資源管理、預置密鑰管理、訂單管理、卡片數(shù)據(jù)生成和卡管系統(tǒng)管理。3.3 組網(wǎng)要求3.3.1 組網(wǎng)原則中國電信融合平臺采用兩級組網(wǎng)：全國融合支付平臺（簡稱全國平臺）和省級融合支付平臺（簡稱省平臺）。3.3.1.1 全國融合支付平臺全國融合平臺主要由以下部分組成：l 賬戶子系統(tǒng)（包括在線支付賬戶管理模塊）l 支付服務子系統(tǒng)（包括：前置模塊、支付處理模塊、支付管理模塊、清分清算模塊、門戶）集團中心平臺的主要功能包括：1、 負責在線支付賬戶的集中管理、統(tǒng)一支付處理和支付管理；2、 提供集中清算和結算的功能；3、 負責接入所有的全國級自有業(yè)務平臺或者商戶平臺；4、 負責銀行總行、銀聯(lián)總部、銀行網(wǎng)銀或第三方支付平臺的接入；5、 負責與電信積分平臺的接入；6、 負責與ota平臺、nsag、udb平臺、卡管平臺的接入7、 查看和監(jiān)控所有中國電信自行布放的pos終端的運行狀態(tài)信息、交易信息以及相關的統(tǒng)計報表；8、 對于沒有建設省平臺的省份，集團中心平臺承擔虛擬省功能，實現(xiàn)省平臺的所有功能。3.3.1.2 省級融合支付平臺省平臺主要由以下部分組成：l 賬戶子系統(tǒng)（離線支付賬戶管理模塊）l 支付服務子系統(tǒng)（包括省級平臺的：前置模塊、支付處理模塊、支付管理模塊、清分清算模塊、門戶）省平臺的主要功能包括：1. 負責本地業(yè)務平臺、本地商戶系統(tǒng)的接入；2. 負責本省離線支付賬戶的管理及相關的支付處理3. 負責本省pos的接入和管理； 4. 負責本省商戶的管理，對離線商戶的清結算；5. 提供交易轉發(fā)功能。3.3.2 組網(wǎng)結構全國平臺通過ctnet與nsag連接，實現(xiàn)短信/彩信業(yè)務的一點接入；全國平臺通過ctnet與wap gw連接，實現(xiàn)wap方式的接入；全國平臺通過專線與udb連接，實現(xiàn)統(tǒng)一認證功能；全國平臺通過專線與ota平臺連接；全國平臺通過專線與網(wǎng)管系統(tǒng)連接；全國平臺與銀聯(lián)/銀行之間通過專線進行連接；全國平臺通過專線與積分平臺連接；省平臺通過專線（采用主備線路方式）與集團中心平臺連接；省平臺通過專線與充值scp一點連接，然后將充值數(shù)據(jù)透傳到全國融合支付平臺，實現(xiàn)充值卡向在線支付賬戶的充值；全國或省級平臺與商戶/業(yè)務平臺可通過internet或專線進行連接。pos機通過cdma 1x/evdo或pstn網(wǎng)絡接入省級融合支付平臺。建議融合支付平臺的所有網(wǎng)絡設備和主機設備都采用雙機熱備的方式來配置，與外圍網(wǎng)元的連接雙路連接，保障無單點故障，提高系統(tǒng)的可靠性。同時通過負載均衡等機制，保障網(wǎng)絡的可用性，提高系統(tǒng)性能。全國平臺負責所有與在線支付賬戶相關的交易處理和賬戶管理，必須保障全國平臺的可靠性。全國平臺建議采用主備方式建設，并提供完善的數(shù)據(jù)（尤其是賬戶及帳務數(shù)據(jù)）備份和恢復機制。省級平臺負責本省離線支付賬戶相關的交易處理和賬戶管理。也建議采用主備方式建設，并提供完善的數(shù)據(jù)（尤其是賬戶及帳務數(shù)據(jù)）備份和恢復機制。在融合支付平臺組網(wǎng)中，通過采用內外網(wǎng)隔離機制（如防火墻），防止通過通信手段對內部網(wǎng)絡中的重要數(shù)據(jù)和業(yè)務滲透和操縱。另外通過局域網(wǎng)vlan的劃分來實現(xiàn)不同子平臺、不同級別用戶之間的訪問控制。在網(wǎng)絡中部署網(wǎng)絡防病毒系統(tǒng)、入侵檢測系統(tǒng)、安全掃描、加密機等安全相關系統(tǒng)，為平臺提供全方位的立體安全保障。3.4 全國平臺功能架構3.5 省級平臺功能架構4. 對賬、清分與結算4.1 日切前的處理對于pos、web、wap、電話ivr上送的交易數(shù)據(jù)，在日切之前需進行以下交易數(shù)據(jù)的處理：1. 支付處理模塊按照日切的時間點，從渠道、業(yè)務、資金源等標識對交易數(shù)據(jù)分類統(tǒng)計（分類標準以實際的業(yè)務需求為準）；2. 在賬戶日切前上送的交易，納入當日的清分處理；未在日切前上送的交易，納入日切后的工作日進行清分處理。4.2 賬戶管理模塊的處理1. 發(fā)起日切請求：賬戶管理模塊日切，并通知支付處理模塊；2. 生成對賬文件：賬戶管理模塊照約定的格式生成當日的對賬文件，并發(fā)送到指定目錄；4.3 支付處理模塊的處理1. 進行日切：支付處理模塊接受到賬戶管理模塊的日切通知后，進行日切；2. 產(chǎn)生交易明細文件：按照約定的格式生成交易明細文件，并發(fā)送到指定的目錄；3. 與賬戶管理模塊對賬：支付處理模塊用自己產(chǎn)生的交易明細文件和賬戶管理模塊生成的對賬文件進行對賬，以賬戶管理模塊生成的對賬文件為基準對賬，并生成對賬差錯文件；之后進行差錯處理。在對賬的過程中，系統(tǒng)可以繼續(xù)進行清分、結算工作；4. 清分：根據(jù)交易明細文件，按省、按渠道、按商戶、按業(yè)務等參數(shù)匯總交易；5. 生成其它平臺對賬文件：根據(jù)清分的結果對其他業(yè)務平臺如電信計費域系統(tǒng)、商戶等按照約定的格式分別生成對賬文件，并發(fā)送到指定的目錄。6. 內部結算準備，生成相應的結算文件：a) 對電信計費域系統(tǒng)結算，分別對各省的繳話費交易進行軋差處理，計算出各省級電信計費域系統(tǒng)的劃撥資金，并生成各省電信計費域系統(tǒng)的結算文件；b) 跨省交易，包括跨省交易的手續(xù)費，以及傭金進行再分配，并生成各省的結算文件等；c) 生成銀行往來的結算文件（已發(fā)生），送交財務。d) 生成統(tǒng)一充值付費卡的結算文件（已發(fā)生），送交財務。7. 商戶結算準備：對商戶結算包括消費交易，撤銷交易，退貨交易等進行軋差處理，計算出應該支付給商戶的金額，以及應該扣收的傭金，并生成各個商戶的結算文件。根據(jù)和商戶約定資金劃撥時間，t+n天時往銀行發(fā)送資金劃撥指令，進行資金劃撥；并對資金劃撥成功后生成資金劃撥清單。4.4 其他業(yè)務平臺1. 對賬處理：以賬戶管理系統(tǒng)的日切周期為準，其他相關系統(tǒng)，根據(jù)支付交易模塊提交的對賬文件進行對賬，如不平生成差錯文件，并進行差錯處理 。2. 銀行資金劃撥：如果銀行系統(tǒng)收到支付處理模塊對商戶資金劃撥的指令，便對商戶進行資金劃撥；3. 內部資金劃撥：內部財務系統(tǒng)收到對省級計費域系統(tǒng)、省間結算文件，處理內部資金劃撥。5. 沖正機制的要求5.1 沖正適用范圍系統(tǒng)沖正，是指由系統(tǒng)自動發(fā)起對原交易進行反向操作的過程。系統(tǒng)沖正的使用情況如下：1支付系統(tǒng)中，對于非現(xiàn)金賬務類交易，在交易轉發(fā)的各個節(jié)點間都應設有超時控制機制。當檢測到有超時發(fā)生時，應拒絕該交易的繼續(xù)處理并自動發(fā)送沖正消息；2對于多方參與的賬務交易（如銀行卡轉賬充值），當一方交易成功，而后續(xù)交易失敗時，應向交易成功的一方發(fā)起自動沖正交易，以保證賬務的一致性；3沖正交易僅在同一結算日內有效，對隔日沖正（被沖正交易日期與當前業(yè)務日期不一致）應予以拒絕，沖正交易應不能出現(xiàn)在客戶的賬單上；4沖正交易本身不能被沖正。5.2 沖正處理要求沖正交易的發(fā)出方收不到?jīng)_正應答時，應重新發(fā)送沖正交易，直到收到應答或者達到系統(tǒng)約定的最大沖正次數(shù)（根據(jù)雙方協(xié)議）為止；如果沖正交易最終不能成功，平臺按照不短款原則進行異常處理，pos終端不允許進行后續(xù)聯(lián)機交易，必須由人工進行處理。對于多方交易，自動沖正交易應考慮資金風險，按照先借后貸的原則進行沖正；通常情況下，沖正采用與正交易相反的交易順序進行沖正。5.3 需要自動沖正的交易對賬務類交易發(fā)生超時時需要自動沖正：如1. 在線支付賬戶銀行卡充值2. 在線支付賬戶充值卡充值3. 離線支付賬戶銀行卡充值4. 離線支付賬戶充值卡充值5. 支付消費6. 轉賬7. pos消費撤銷6. 網(wǎng)管要求6.1 網(wǎng)絡管理方式融合支付平臺必須提供相應的網(wǎng)管功能，按照一級網(wǎng)管中心的標準建設，必須要納入到ip網(wǎng)絡管理之中，制定必要的管理制度。網(wǎng)管系統(tǒng)需要實現(xiàn)對網(wǎng)原級設備的管理，還需要實現(xiàn)應用級的網(wǎng)管。融合支付平臺應支持網(wǎng)管接口要求。6.2 網(wǎng)絡管理的主要功能對融合支付平臺的性能、故障、安全、配置進行管理，以保證整個系統(tǒng)的穩(wěn)定性、健壯性、高可用性、高效性、安全性，主要包括性能管理、故障管理、安全管理、配置管理等幾個方面。系統(tǒng)應提供網(wǎng)管功能模塊，對外提供網(wǎng)管接口。6.2.1 性能管理性能管理是向網(wǎng)絡運營者提供網(wǎng)絡設備的性能特征，以供網(wǎng)絡趨勢分析、網(wǎng)絡擴建、網(wǎng)絡控制時參考。l 監(jiān)視網(wǎng)絡性能，定期收集網(wǎng)絡中所有網(wǎng)源設備的性能參數(shù)統(tǒng)計數(shù)據(jù)，最好通過snmp方式提供各自的mib值；l 監(jiān)視服務器的運行狀況，如響應速度、用戶連接并發(fā)度、用戶訪問分布等；l 檢查其他相關服務的運行狀況，如數(shù)據(jù)庫的響應性能；l 在性能分析的基礎上，對制約網(wǎng)絡性能的相關參數(shù)如路由表和性能門限等參數(shù)進行調整，提高網(wǎng)絡性能。6.2.2 故障管理故障管理負責監(jiān)視網(wǎng)絡設備的故障告警，進行故障診斷及定位分析。平臺提供對各個網(wǎng)絡設備及網(wǎng)絡的狀態(tài)跟蹤，在某個網(wǎng)絡設備出現(xiàn)故障或異常時，能夠及時醒目的通知管理人，迅速的恢復故障。l 實時監(jiān)視網(wǎng)絡運行狀態(tài)和設備故障，以圖形和文本方式顯示網(wǎng)絡告警；l 所有網(wǎng)絡設備都必須提供狀態(tài)通知功能，定期將各自的各項狀態(tài)指標通知相關的管理人員；l 所有網(wǎng)絡設備都必須要有報警功能，設置必要的報警條件，另外報警手段也不能過于單一；l 對產(chǎn)生的故障告警及事件信息進行記錄，以便用戶對歷史告警進行查詢。定期進行告警日志的維護及刪除；l 當一個物理設備發(fā)生故障時，可能產(chǎn)生多個失效告警，網(wǎng)管系統(tǒng)應能夠進行故障定位，確定與實際失效有關的告警。故障可定位到設備的端口級；l 為便于故障定位分析或鏈路性能分析，各種服務器應接收網(wǎng)管系統(tǒng)發(fā)來的連通性測試要求，并返回測試結果。6.2.3 安全管理平臺通過必要的手段在各個層次上進行安全防范，使得用戶能放心使用，商戶能安心提供應用和服務，系統(tǒng)管理員能全面的對平臺進行控制。l 網(wǎng)絡級安全，通過防火墻實施一定的安全策略；l 系統(tǒng)級安全，關閉平臺不必要的服務，減少可能引起安全問題的原由；l 應用級安全，必要的防病毒軟件；l 采取一定的認證和授權機制，對無權操作人員進行控制，規(guī)范管理人員的行為；l 網(wǎng)絡鏈路傳送的信息加密/解密；l 配置及修改各管理用戶的管理范圍；l 為增加網(wǎng)絡的安全系數(shù)，對于關鍵的服務器應冗余備份；l 需要有用戶級權限管理，管理整個平臺的用戶級別；l 需要能夠對訪問平臺的客戶進行ip限制；l 需要提供幾類不同的備份/恢復策略，如系統(tǒng)級、應用級和數(shù)據(jù)級；l 需要詳細地記錄用戶的動作，用戶在和平臺信息交互的全過程都是被監(jiān)控的；6.2.4 配置管理配置管理是指通過網(wǎng)管接口接入所能實現(xiàn)的網(wǎng)絡資源和配置管理功能。配置管理的功能主要包括：l 提供網(wǎng)元級的配置管理，包括對服務器、數(shù)據(jù)庫服務器等網(wǎng)元設備進行配置。支持簡單的snmp方式配置信息查詢；l 創(chuàng)建并維護配置數(shù)據(jù)庫，其中包含網(wǎng)絡設備、軟件、操作級別、負責維護設備的人員等信息；l 用戶可逐級進入而進行拓撲信息查詢；l 對網(wǎng)絡互連信息進行配置和查詢；l 網(wǎng)絡業(yè)務配置，網(wǎng)絡節(jié)點各種數(shù)據(jù)的初始配置與修改，網(wǎng)絡各種業(yè)務政策的配置與管理；l 當服務器的某些配置發(fā)生改變時應向網(wǎng)管系統(tǒng)報告。7. 系統(tǒng)性能要求本章的性能要求給出了性能指標的定義及一些必須的性能指標數(shù)值。隨著業(yè)務的發(fā)展，支付業(yè)務系統(tǒng)應能夠平滑升級和擴容，不影響業(yè)務的開展。本文僅給出端到端系統(tǒng)的性能要求，單設備的詳細性能要求在相應的設備規(guī)范中定義。7.1 賬戶數(shù)賬戶數(shù)指標是指手機支付業(yè)務系統(tǒng)支持的已開立賬戶數(shù)量，包括主賬戶和子賬戶。7.2 日均交易量該指標是指支付業(yè)務系統(tǒng)平均每日需處理的交易總數(shù)，包括交易額、交易次數(shù)、交易類型等。7.3 端到端交易處理時延t（遠程支付）該指標是指在網(wǎng)絡及設備正常工作的情況下，用戶發(fā)起交易指令到交易完成的時延，該指標不包括網(wǎng)絡連接（如pdp激活）建立時間及用戶操作時間（如輸入支付密碼）。網(wǎng)絡融合支付平臺用戶第三方系統(tǒng)t1t4tt2t3t5t0如上圖所示，端到端交易處理時延t=t0+t1+t2+t3+t4+t5，其中：網(wǎng)絡傳輸時延。：網(wǎng)絡網(wǎng)元處理響應時間，如，等。：網(wǎng)絡到融合支付平臺傳輸時延。是毫秒級，可以忽略不計。：平臺內部處理響應時間。：支付平臺到第三方系統(tǒng)的傳輸時延，如，銀行；是毫秒級，可以忽略不計。：第三方系統(tǒng)內的處理響應時間。對于基于sms/stk方式： 平均單筆交易響應時間不超過20秒；單筆最大響應時間不超過120秒；wap方式web方式ivrpos： 平均單筆交易響應時間不超過10秒；單筆最大響應時間不超過120秒。7.4 系統(tǒng)交易處理時延（遠程支付）該指標是指在網(wǎng)絡及設備正常工作的情況下，單筆交易從手機支付業(yè)務系統(tǒng)接收到交易請求至返回響應需要的時間，該指標不包括網(wǎng)絡連接（如pdp激活）建立時間及用戶操作時間（如輸入支付密碼）。網(wǎng)絡融合支付平臺用戶第三方系統(tǒng)t1t4tt2t3t5t0l 如果涉及第三方系統(tǒng)，則平均單筆交易處理響應時間不超過6秒；單筆最大處理響應時間不超過60秒；l 如果不涉及第三方系統(tǒng)，則平均單筆交易處理響應時間不超過4秒；單筆最大處理響應時間不超過30秒；7.5 系統(tǒng)吞吐量該指標是指在單位時間內融合支付平臺成功處理的交易總數(shù)。7.6 系統(tǒng)內交易成功率該指標是指在給定的交易處理時延內處理成功的交易數(shù)占交易請求總量的百分比。交易成功率不低于99.9%。7.7 系統(tǒng)并發(fā)處理能力該指標是指在某個時刻，融合支付平臺支持的tcp連接數(shù)。要求同時處理的tcp連接并發(fā)數(shù)不少于500個。7.8 批處理時長該指標是指融合支付平臺完成相關批量處理業(yè)務，如清分清算、報表、對賬、結算、備份所需要的最長時間。系統(tǒng)批處理時長不長于小時。7.9 客服系統(tǒng)性能要求1、 系統(tǒng)可用性：99.999%；2、 mtbf（平均故障間隔時間）：5000小時；3、 mttr（平均故障處理時間）：30分鐘；4、 停機時間：3分鐘/年；5、 客服質量要求：l 7*24小時服務l 客戶服務響應速度：在48小時內解決客戶投訴并回復，直至客戶滿意；l 30秒客戶服務電話接通率不低于95%，應答時限=4秒；l 排隊等待時間=20s；7.10 其他l 系統(tǒng)支持至少100個外部網(wǎng)元的同時連接；l 724小時服務；l 系統(tǒng)擴容：系統(tǒng)處理能力基本與硬件的擴容成線形增長。8. 系統(tǒng)數(shù)據(jù)管理要求對于系統(tǒng)內保存的業(yè)務數(shù)據(jù)、安全數(shù)據(jù)、賬務數(shù)據(jù)，交易數(shù)據(jù)和日志數(shù)據(jù)記錄都應使用專門的管理工具進行數(shù)據(jù)加密、備份、歸檔、核對和恢復等管理維護，便于數(shù)據(jù)查詢、修改、更新與擴充，同時保證數(shù)據(jù)的獨立性、可靠性、安全性與完整性。8.1 業(yè)務數(shù)據(jù)管理8.1.1 數(shù)據(jù)內容l 紙質交易憑證：客戶協(xié)議、支付交易憑證等。l 電子交易憑證：電子客戶協(xié)議、網(wǎng)絡交易記錄等。8.1.2 保管介質要求l 使用專用協(xié)議格式協(xié)議，由用戶填寫協(xié)議并簽字保存。l 交易憑證必須統(tǒng)一規(guī)范要求，信息要求完整、準確。8.1.3 保管期限要求建議l 交易類憑證保管期限，建議為12個月；l 協(xié)議類憑證保管6個月；l 到期的憑證應該安全處理或者備份。8.2 安全數(shù)據(jù)管理8.2.1 數(shù)據(jù)內容l 密鑰口令：主密鑰，分散密鑰，密鑰加密密鑰，應用工作密鑰、系統(tǒng)口令、管理員口令；l 用戶信息：用戶信息、姓名、身份證號碼、手機號碼、住宅號碼、家庭住址、賬戶號碼、交易信息；8.2.2 保管介質要求l 主密鑰應該用ic卡保存，或者書面多人異地保存，保存在加密機中，整個流程必須以密文傳輸；l 分散密鑰數(shù)據(jù)應該保存在專門的加密設備設備中，不可讀出明文；l 系統(tǒng)操作員分級管理，并制定相應的管理制度；l 關鍵系統(tǒng)口令更新后應該建立紙質備份，異地專人保管；l 用戶敏感信息、賬戶信息不得泄露，經(jīng)過授權的人員可以查看。8.2.3 管理期限要求建議l 關鍵系統(tǒng)口令變更需要進行登記管理；l 主密鑰只有必要才進行更換；l 系統(tǒng)用戶口令每倆個月修改一次，20次不得重復；l 操作員口令6個月修改一次。8.3 交易清算數(shù)據(jù)管理8.3.1 數(shù)據(jù)內容l 各個平臺的交易流水記錄；l 各個平臺的管理類交易記錄；l 參與清算的機構、商戶、銀行賬戶信息數(shù)據(jù)；l 與銀行交易的記錄明細。8.3.2 保管介質要求l 交易流水記錄保存在機器數(shù)據(jù)庫表中，硬盤保存；l 歷史數(shù)據(jù)保存在數(shù)據(jù)庫歷史流水表中，硬盤保存；l 商戶、機構、終端數(shù)據(jù)保存在單獨的數(shù)據(jù)表內，硬盤保存；l 備份的數(shù)據(jù)保存在備份硬盤、磁帶、光盤中做冗余備份。8.3.3 保管期限要求建議l 交易數(shù)據(jù)聯(lián)機保存：0.5年。l 交易數(shù)據(jù)脫機保存：重要交易備份數(shù)據(jù)永久保管。8.4 賬務數(shù)據(jù)管理8.4.1 數(shù)據(jù)內容l 用戶賬戶數(shù)據(jù)；l 商戶賬務數(shù)據(jù)；l 賬務操作記錄；l 銀行相關賬務交易信息；l 各機構間的賬務數(shù)據(jù)；l 與boss系統(tǒng)相關賬務處理數(shù)據(jù)。8.4.2 保管介質要求l 系統(tǒng)硬盤保存?zhèn)浞輸?shù)據(jù)；l 備份的賬務數(shù)據(jù)保存在備份硬盤、磁帶、光盤中做冗余備份；l 每天對賬務數(shù)據(jù)進行備份處理。8.4.3 保管期限要求建議l 賬務數(shù)據(jù)保留10年；l 關鍵數(shù)據(jù)永久保管。8.5 日志數(shù)據(jù)管理8.5.1 數(shù)據(jù)內容l 系統(tǒng)運行日志；l 交易日志；l 通訊日志；l 異常日志。8.5.2 保管介質要求l 系統(tǒng)硬盤保存?zhèn)浞萑罩緮?shù)據(jù)數(shù)據(jù)；l 備份的日志數(shù)據(jù)保存在備份硬盤、磁帶、光盤中做冗余備份。8.5.3 保管期限要求建議l 系統(tǒng)保存3個月的日志記錄信息。9. 系統(tǒng)安全要求9.1 安全體系模型為了便于對手融合支付系統(tǒng)的安全要求進行描述，將整個融合支付系統(tǒng)劃分為四個層次，即：應用層、系統(tǒng)層、網(wǎng)絡層和物理層（后面三層可統(tǒng)稱為基礎設施層）。9.1.1 安全威脅融合支付系統(tǒng)中的每個層次都面臨著不同的安全威脅，每種安全威脅都需要采取相應的安全措施進行防范。融合支付系統(tǒng)四個層次面臨的安全威脅如下表所示：系統(tǒng)層次面臨威脅類型應用層應用層的業(yè)務流程和應用系統(tǒng)面臨的安全威脅主要為如下幾類：l 病毒/木馬/蠕蟲/后門/間諜軟件l 拒絕服務l 權限和身份的濫用/誤用/盜用/偽造/欺騙等l 信息泄漏l 篡改用戶身份信息/篡改業(yè)務數(shù)據(jù)信息l 抵賴l 應用軟件故障等等系統(tǒng)層系統(tǒng)層包括各類服務器、終端等，該層所面臨的威脅主要有：l 系統(tǒng)軟件故障l 病毒/木馬/蠕蟲/后門/間諜軟件l 拒絕服務l 權限和身份的濫用/誤用/盜用/偽造/欺騙等l 信息泄露/篡改等等網(wǎng)絡層網(wǎng)絡層包括各類網(wǎng)絡協(xié)議、網(wǎng)絡服務等，該層所面臨的威脅有：l 蠕蟲/拒絕服務/其它網(wǎng)絡攻擊l 權限和身份的濫用/誤用/盜用/偽造/欺騙等l 信息泄露/篡改等等物理層物理層包括環(huán)境、媒體和設備等，面臨的威脅有：l 斷電l 傳輸/網(wǎng)絡/主機設備故障l 存儲媒體故障等等9.1.2 安全模型為了應對以上各類安全威脅，本系統(tǒng)采用如下安全體系模型：安全體系系統(tǒng)安全層網(wǎng)絡安全層物理安全層應用安全層基 礎 設 施各種威脅/攻擊訪問控制通信安全可用性安全審計防攻擊/病毒密碼體系環(huán)境安全、媒體安全、設備安全數(shù)據(jù)存儲安全該模型要求每個層次都需要提供相應的安全功能，包括密碼體系、訪問控制、存儲安全、通信安全、可用性、安全審計、防攻擊/防病毒等，說明如下：n 密碼體系：系統(tǒng)的加解密、完整性保證措施及相關的密鑰管理機制n 訪問控制：對移動手機支付業(yè)務中的各種應用、系統(tǒng)、網(wǎng)絡進行訪問控制n 數(shù)據(jù)存儲安全：包括密鑰存儲、數(shù)據(jù)存儲安全（加密）以及數(shù)據(jù)完整性等內容n 通信安全：通信過程中的安全，包括加密、不可否認性、完整性等n 可用性：各種保證應用、系統(tǒng)、網(wǎng)絡的可用性的措施n 安全審計：包括應用層、系統(tǒng)層、網(wǎng)絡層的安全審計功能n 防攻擊/防病毒：對各類攻擊和病毒的防范措施9.2 應用層安全要求9.2.1 密碼體系融合支付系統(tǒng)涉及多類業(yè)務、用戶、網(wǎng)元的交互，為了保證所有這些交互過程中的信息的機密性、完整性和不可否認性等，需要設計一套完整的密碼體系，該體系至少應該考慮如下要求：l 密碼體制：需要根據(jù)業(yè)務需求選擇對稱、非對稱密碼體制，選擇加解密/完整性算法，密鑰長度等。對于對稱密碼體制，需要為不同的業(yè)務、不同的目的提供不同的密鑰。l 密鑰管理：為了保證