支付系統(tǒng)應(yīng)用安全設(shè)計方案vDOC

1、海航集團網(wǎng)上支付系統(tǒng)應(yīng)用安全UC-2010-04-01-04-0002設(shè)計方案unitn江南科友V1.0廣州江南科友科技股份有限公司2010-4-14unitn文檔修訂記錄2010-4-5,陳家梅完成1.0版本。2010-4-14，陳家梅在1.0版本的基礎(chǔ)上，根據(jù)客戶的要求進行補充，同時根據(jù)公司內(nèi)部對方案的討論結(jié)果進行完善，升級為1.1版本。廣州江南科友科技股份有限公司第I頁.1r-丨丨丨unin目錄目錄i文檔說明ii.i目的.11.2名詞解釋12軟件需求22.1客戶原始需求22.2需求分析23系統(tǒng)設(shè)計43.1網(wǎng)絡(luò)結(jié)構(gòu)圖43.2系統(tǒng)結(jié)構(gòu)圖53.3系統(tǒng)功能清單63.4系統(tǒng)部署圖83.5系統(tǒng)組件9

2、3.6密鑰體系93.6.1密鑰使用示意圖93.6.2密鑰分布圖103.6.3密鑰說明113.6.4密碼服務(wù)平臺RSA密鑰對的初始化流程133.6.5安全控件和密碼服務(wù)平臺的密鑰同步流程143.7交易安全處理流程153.7.1用戶登錄密碼驗證流程153.7.2PIN的安全處理流程163.7.3交易報文的安全處理流程174交付件185附件195.1項目風險說明195.2建議硬件、操作系統(tǒng)配置195.3項目其它要求201文檔說明1.1目的本文檔結(jié)合客戶需求，描述海航集團網(wǎng)上支付系統(tǒng)應(yīng)用安全的設(shè)計方案。主要提供給客戶，作為系統(tǒng)方案交流的依據(jù)，以及提供給開發(fā)人員，作為整理開發(fā)手冊的基礎(chǔ)。1.2名詞解釋基

3、本術(shù)語說明PIN用戶的交易密碼，用戶在交易時通過密碼鍵盤輸入，由業(yè)務(wù)主機進行驗證。密鑰信封存放密鑰明文的信封文件，其中，密鑰明文不可見，只有該信封被拆開后才能看到密鑰的明文。PVKPINVerifyKey,PIN驗證密鑰，用于加密、驗證PIN。ZPKZonePINKey，區(qū)域PIN密鑰，用于加密PIN。LMKLocalMasterKey，本地主密鑰，用于工作密鑰或私鑰在本地存儲時進行保護。RSA一種國際標準的非對稱密鑰算法。RSA密鑰對RSA非對稱密鑰體系中的密鑰，每對RSA密鑰對都包含一把公鑰和一把私鑰。PKRSA非對稱密鑰體系中的公鑰，公鑰的明文可以公開。VKRSA非對稱密鑰體系中的私鑰，

4、私鑰的明文不能公開。用戶登錄密碼以下也簡稱為登錄密碼，指用戶登錄系統(tǒng)時輸入的密碼，包括字母和數(shù)字，不定長。2軟件需求2.1客戶原始需求在用戶進行網(wǎng)上交易的過程中，為保障用戶敏感信息的安全，維護用戶的利益，要求網(wǎng)上支付交易必須符合以下安全需求：1. 用戶PIN在交易過程中，不得以明文形式在硬件安全設(shè)備之外出現(xiàn)。2. 要求對交易的報文進行完整性驗證，防止交易報文被篡改。3. 要求對登錄用戶的登錄密碼進行驗證，保證用戶登錄的合法性和正確性。2.2需求分析需求要點需求要點說明需求要點的實現(xiàn)方式用戶PIN用戶的PIN在網(wǎng)上交易過程中采用RSA非對稱密鑰機制：的安全進行轉(zhuǎn)發(fā)和驗證時，明文僅允提供網(wǎng)頁上的安

5、全控件，用密碼服務(wù)平臺許在硬件安全設(shè)備中出現(xiàn)。的公鑰加密PIN。PIN的驗證由業(yè)務(wù)主機和密碼提供密碼服務(wù)平臺的安全服務(wù)，可以將公機保障，因此僅考慮PIN在傳鑰加密的PIN轉(zhuǎn)換為與主機約定的ZPK輸過程中的安全。加密的PIN，再傳到主機進行驗證。交易報文的安全交易報文傳輸過程中，報文的發(fā)起方生成簽名，報文的接收方需驗證簽名，以保證報文沒有被篡改。采用RSA非對稱密鑰機制： 提供網(wǎng)頁上的安全控件，用安全控件的私鑰對交易報文進行簽名。 提供密碼服務(wù)平臺的安全服務(wù)，用相應(yīng)安全控件的公鑰驗證簽名是否正確。用戶登錄用戶登錄時，需驗證其登錄的用戶登錄時，由網(wǎng)頁上的安全控件提供密的安全字符密碼，保證用戶登錄的

6、合碼輸入的軟鍵盤功能（包含字符和數(shù)字輸法性。入，且數(shù)字輸入隨機亂序），并且用密碼服務(wù)平臺的公鑰加密用戶登錄密碼。提供密碼服務(wù)平臺的安全服務(wù)，將登錄密略0碼轉(zhuǎn)換為PVK加密。該功能在用戶第一次輸入登錄密碼或修改密碼時調(diào)用，應(yīng)用系統(tǒng)將PVK加密的登錄密碼密文保存到數(shù)據(jù)庫中。提供密碼服務(wù)平臺的安全服務(wù)，將應(yīng)用系統(tǒng)數(shù)據(jù)庫中保存的用戶登錄密碼密文和用戶從界面輸入的登錄密碼密文送到密碼機中進行驗證。該功能在驗證用戶的登錄密碼時調(diào)用。廣州江南科友科技股份有限公司第7頁下載密鑰同步業(yè)務(wù)主機密鑰同步密碼服務(wù)平臺密碼機圖3-1網(wǎng)絡(luò)結(jié)構(gòu)圖網(wǎng)上支付應(yīng)用的Webserver監(jiān)控監(jiān)控終端管理管理終端安全控件用戶IE終端安

7、全控件應(yīng)用服務(wù)器UC-2010-04-01-04-0002海航集團網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計方案vl.O3系統(tǒng)設(shè)計3.1網(wǎng)絡(luò)結(jié)構(gòu)圖圖3-1中,安全控件存放在Webserver，第一次使用時從Webserver下載到IE終端保存，由應(yīng)用系統(tǒng)調(diào)用其中的功能函數(shù)進行安全處理。應(yīng)用服務(wù)器調(diào)用密碼服務(wù)平臺的API，訪問密碼服務(wù)平臺，完成安全服務(wù)功能。在進行交易之前，必須完成密鑰的生成和同步，包括密碼服務(wù)平臺與業(yè)務(wù)主機的密鑰同步，以及密碼服務(wù)平臺與安全控件的密鑰同步。密碼服務(wù)平臺通過調(diào)用密碼機指令完成安全算法運算，通過管理終端可以管理密碼服務(wù)平臺，通過監(jiān)控終端可以對密碼服務(wù)平臺的運行狀況進行實時監(jiān)控。UC-

8、2010-04-01-04-0002海航集團網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計方案vl.O32系統(tǒng)結(jié)構(gòu)圖安全控件安全模塊軟Key模塊VK業(yè)務(wù)主機密碼服務(wù)平臺的PK密碼服務(wù)平臺的API安全控件的PKI請求T響應(yīng)數(shù)據(jù)庫密碼機網(wǎng)上支付應(yīng)用密碼服務(wù)平臺服務(wù)器PK數(shù)據(jù)庫V密碼機-ZPK同步-圖3-2系統(tǒng)結(jié)構(gòu)圖圖3-2中，綠色豎紋方框表示科友公司提供的系統(tǒng)。安全控件分為兩部分，安全模塊提供應(yīng)用系統(tǒng)訪問安全控件的接口，軟Key模塊提供密鑰訪問和算法接口，相當于一個軟件算法模塊。如果將來使用硬件存儲密鑰和進行算法運算，則直接替換軟Key模塊即可。每個安全控件有一對公私鑰對，私鑰保存在控件的軟Key模塊中，公鑰上傳給密碼

9、服務(wù)平臺保存。密碼服務(wù)平臺本身有一對公私鑰對，私鑰保存在密碼機中，公鑰除保存在數(shù)據(jù)庫中外，還需要分發(fā)給每個安全控件保存。密碼服務(wù)平臺還需要與業(yè)務(wù)主機約定ZPK，數(shù)據(jù)庫中保存ZPK的密文。一般采用先打印密鑰信封，再通過人工錄入的方式來進行同步。3.3系統(tǒng)功能清單軟件模塊功能說明必提供界面，由用戶輸入P10證書的相關(guān)信息和私鑰保護口令。然后隨機生成一對RSA密鑰對，將口令保護的私鑰密文文件保存在本地，輸出P10公鑰證書請求文件。保存密碼服務(wù)平臺的公鑰。安全控件驗證并保存密碼服務(wù)平臺簽發(fā)的安全控件P10公鑰證書。提供密碼輸入的軟鍵盤功能（包含字符和數(shù)字輸入，且數(shù)字輸入隨機亂序），并且用密碼服務(wù)平臺的

10、公鑰加密用戶登錄密碼或PIN，輸出密文。提供界面，由用戶輸入私鑰保護口令，然后用安全控件的私鑰對報文進行簽名，輸出簽名。通過密碼服務(wù)平臺的初始化工具調(diào)用密碼機隨機生成： 密碼服務(wù)平臺的RSA密鑰對 密碼服務(wù)平臺的PVK通過管理界面下載密碼服務(wù)平臺的公鑰文件。密碼服務(wù)平臺通過管理界面上傳CA的公鑰文件。通過管理界面保存CA簽發(fā)的密碼服務(wù)平臺公鑰證書（X509v3）。通過API，驗證安全控件的P10證書請求文件資料的合法性，保存安全控件的公鑰（根據(jù)安全控件的ID號保存）。然后用密碼服務(wù)平臺的私鑰簽發(fā)安全控件的P10公鑰證書，輸出安全控件的P10公鑰證書。廣州江南科友科技股通過API，下載密碼服務(wù)平

11、臺的公鑰。岬蟲通過API，將密碼服務(wù)平臺公鑰加密的PIN轉(zhuǎn)換為業(yè)務(wù)主機ZPK加密的PIN密文。通過API，將密碼服務(wù)平臺公鑰加密的用戶登錄密碼密文轉(zhuǎn)換為PVK加密的密文。通過API，將密碼服務(wù)平臺公鑰加密的用戶登錄密碼密文和應(yīng)用系統(tǒng)數(shù)據(jù)庫中保存的PVK加密的登錄密碼密文送到密碼機中進行驗證。通過API，根據(jù)安全控件的ID號取出相應(yīng)安全控件的公鑰，用公鑰驗證報文的簽名是否正確。說明：每個用戶對應(yīng)唯一一個安全控件，每個安全控件擁有唯一一對RSA公私鑰對，密碼服務(wù)平因此，安全控件的公鑰必須通過用戶的ID號來存取。調(diào)用API訪問密碼服務(wù)平臺時，凡涉及到安全入?yún)?shù)中包含安全控件的ID號，該ID號由應(yīng)用系

12、統(tǒng)取值，用以唯一標識一個用戶。廣州江南科友科技股UC-2010-04-01-04-0002海航集團網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計方案vl.O3.4系統(tǒng)部署圖廣州江南科友科技股份有限公司第11頁網(wǎng)上支付應(yīng)用的Webserver業(yè)務(wù)主機內(nèi)部網(wǎng)絡(luò)Q:密碼機密碼機圖3-3系統(tǒng)部署圖密碼服務(wù)平臺一般為雙機熱備份形式，部署在獨立的服務(wù)器上。密碼機可以部署多臺。密碼機與密碼服務(wù)平臺之間組成一個單獨的內(nèi)網(wǎng)，即：只有密碼服務(wù)平臺才能訪問密碼機，從網(wǎng)絡(luò)上杜絕其它任何系統(tǒng)直接訪問密碼機。密碼服務(wù)平臺一般部署一個管理終端即可，可部署多個監(jiān)控終端。每個用戶對應(yīng)一個安全控件，使用時現(xiàn)從網(wǎng)上支付應(yīng)用的Webserver下載。3.

13、5系統(tǒng)組件以下列出了密碼服務(wù)平臺、API和安全控件支持的操作系統(tǒng)、數(shù)據(jù)庫等，由客戶根據(jù)需要進行選擇。3.6密鑰體系361密鑰使用示意圖安全控件VK簽名交易報文驗證簽名加密/解密加密II安全控件PK密碼服務(wù)平臺PVK業(yè)務(wù)主機ZPK圖3-4密鑰使用示意圖圖3-4簡要說明了各種密鑰的使用，其中，紅色實線表示安全控件完成的功能，藍色虛線表示在密碼服務(wù)平臺完成的功能。注意：PIN/用戶登錄密碼的解密操作是在密碼機內(nèi)部完成的，密碼服務(wù)平臺實際進行的是PIN/用戶登錄密碼的轉(zhuǎn)加密、驗證功能，因此PIN/用戶登錄密碼362密鑰分布圖密碼服務(wù)平安全控件臺PK安全控件VK安全控件PK密碼服務(wù)平臺A/密碼服務(wù)平/口

14、P安全控件PK:數(shù)據(jù)庫1/與主機約定1V的zpy密碼服務(wù)平臺的PVK圖3-5密鑰分布圖密碼服務(wù)平臺和安全控件各有自身的RSA公私鑰對，私鑰保存在自身的密鑰庫中，公鑰除保存在自身的密鑰庫中外，還需要保存在對方的密鑰庫中。密碼服務(wù)平臺的數(shù)據(jù)庫中需要保存所有控件的公鑰，由于控件數(shù)量較多（可能一個用戶對應(yīng)一個控件），因此不能使用文件方式存儲，必須安裝數(shù)據(jù)庫。3.6.3密鑰說明密鑰密鑰的用途密鑰的強度密鑰的存儲密鑰的數(shù)量簽發(fā)安全控件密碼服務(wù)明文形式存儲在密碼服務(wù)平只有一對在:512bits平臺的私的P10公鑰證書1024bits臺的密碼機中。RSA密鑰對。時通在密碼機內(nèi)部2048bitsLMK加密的密文

15、形式存儲在碼機密碼服務(wù)平臺的公解密PIN提供給CA簽發(fā)X509公鑰證書加密PIN512bits1024bits2048bits安全控件對交易報文進行簽名512bits的私鑰1024bits2048bits安全控件提供給密碼服512bits的公鑰務(wù)平臺簽發(fā)P101024bits公鑰證書2048bits驗證交易報文的簽名與業(yè)務(wù)主加密PIN64bits全控件的軟Key模塊中。LMK加密的密文形式存儲在密碼服務(wù)平臺的數(shù)據(jù)庫中。明文形式存儲在密碼服務(wù)平臺的數(shù)據(jù)庫中。明文形式存儲在安全控件的密鑰庫中。臺的數(shù)據(jù)庫中。通過保彳證書每個安全控初始件一對RSA產(chǎn)生密鑰對。令保P1務(wù)平碼服件白只有一把在密碼服口令加

16、密的密文文件形式存儲在安明文文件形式存儲在安全控件的軟Key模塊中。明文形式存儲在密碼服務(wù)平廣州江南科友科技股umcn機約定的ZPK 128bits密碼服務(wù)平臺的數(shù)據(jù)庫中。 192bits密文形式存儲在業(yè)務(wù)主機的數(shù)據(jù)庫中。密碼服務(wù)平臺的PVK加密/驗證用戶登錄密碼 64bits 128bits 192bitsLMK加密的密文形式存儲在密碼服務(wù)平臺的數(shù)據(jù)庫中。只有一把LMK私鑰或工作密鑰在本地保存時用LMK加密。128bits明文形式存儲在密碼機中。一把LMK保護一類密鑰業(yè)務(wù)主機下方式: 打.手工 人工在密碼服過初始化產(chǎn)生。在密碼機人工通過內(nèi)部算法廣州江南科友科技股士urunUC-2010-04

17、-01-04-0002海航集團網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計方案vl.Ourucn廣州江南科友科技股份有限公司第14頁3.6.4密碼服務(wù)平臺RSA密鑰對的初始化流程密碼服務(wù)平臺的RSA密鑰初始化流程密碼服務(wù)平臺CA訪問終端CA隨機生成RSA密鑰對下載CA的公鑰文件CA的公鑰文件k上傳密碼服務(wù)平臺的公.鑰文件.簽發(fā)密碼服務(wù)平臺的X509公鑰證書通過界面上傳密碼服務(wù)平臺的X509公鑰證書下載密碼服務(wù)平臺的斗X509公鑰證書生成密碼服務(wù)平臺的X509公鑰證書驗證并保存密碼服務(wù)平臺的X509公鑰證書圖3-6密碼服務(wù)平臺RSA密鑰對初始化流程圖365安全控件和密碼服務(wù)平臺的密鑰同步流程安全控件和密碼服務(wù)平臺的

18、RSA密鑰對同步流程安全控件應(yīng)用服務(wù)器密碼服務(wù)平臺鑰公臺平務(wù)服碼密載下通過API下載密碼服務(wù)平臺的公鑰文件密碼服務(wù)平臺的公鑰文件保存密碼服務(wù)平臺的公鑰文件調(diào)用安全控件接口保存密碼服務(wù)平臺公鑰文件提供界面由用戶輸入P10證書的相關(guān)信息和私鑰保護口令調(diào)用安全控件接口生成安全控件的RSA密鑰對隨機生成一對RSA密鑰對，將口令保護的私鑰保存在本地步同的生成并輸出P10公鑰證書請求文件取得該安全控件所屬用戶的ID號間之臺平務(wù)服碼密與和化始初的對鑰密控全宀&驗證安全控件的P10公鑰證書后保存調(diào)用API將安全控件的ID號和P10公鑰證書請求文件上傳給平臺調(diào)用安全控件的接口存放公鑰證書驗證安全控件的P10證書

19、請求文件資料的合法性保存安全控件的公鑰用密碼服務(wù)平臺的私鑰簽發(fā)安全控件的P10公鑰證書返回安全控件的P10公鑰證書圖3-7安全控件和密碼服務(wù)平臺的密鑰同步流程圖uninUC-2010-04-01-04-0002海航集團網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計方案vl.O3.7交易安全處理流程371用戶登錄密碼驗證流程用戶登錄密碼驗證流程廣州江南科友科技股份有限公司第21頁文密碼密的密加#保統(tǒng)系用應(yīng)，碼密改修者或碼密入輸次U安全控件應(yīng)用服務(wù)器密碼服務(wù)平臺用戶通過軟鍵盤輸入登錄密碼用密碼服務(wù)平臺的公鑰加密登錄密碼輸出登錄密碼密文用戶通過軟鍵盤輸入登錄密碼用密碼服務(wù)平臺的公鑰加密登錄密碼輸出登錄密碼密文碼密錄登戶用

20、證驗接收驗證結(jié)果圖3-8用戶登錄密碼驗證流程圖umtn372PIN的安全處理流程圖3-9PIN的安全處理流程圖373交易報文的安全處理流程圖3-10交易報文的安全處理流程圖比-2010-04-01-04-0002海航集團網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計方案vl.O4交付件類型名稱說明安全控件軟件包密碼服務(wù)平臺API鏈接庫Java的jar包密碼服務(wù)平臺4.x包括服務(wù)器安裝包和Webserver。設(shè)計文檔海航集團網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計方案基于用戶需求，對系統(tǒng)的總體結(jié)構(gòu)、部署、功能、密鑰體系、交易流程等進行詳細說明。海航集團網(wǎng)上支付系統(tǒng)應(yīng)描述開發(fā)人員進行開發(fā)的具體實現(xiàn)細節(jié)。用安全開發(fā)手冊安全控件使用說明說明安全控件的使用方法和注意事項。用戶文檔密碼服務(wù)平臺API手冊說明鏈接庫中API的調(diào)用方法,對其