支付系统应用安全设计方案v.pdf

资源描述

《支付系统应用安全设计方案v.pdf》由会员分享，可在线阅读，更多相关《支付系统应用安全设计方案v.pdf（23页珍藏版）》请在三一文库上搜索。

1、打印日期：10/9/2018 海航集团网上支付系统应用安全 UC-2010-04-01-04-0002 设计方案 V1.0 广州江南科友科技股份有限公司 2010-4-14 文档修订记录广州江南科友科技股份有限公司第 I 页文档修订记录 2010-4-5 ，陈家梅完成 1.0 版本。 2010-4-14 ，陈家梅在 1.0 版本的基础上，根据客户的要求进行补充，同时根据公司内部对方案的讨论结果进行完善，升级为1.1 版本。目录广州江南科友科技股份有限公司第 I 页目录 1 文档说明 1 1.1 目的 . 1 1.2 名词解释 . 1 2 软件需求 2 2.1 客户原始需求 2 2.

2、2 需求分析 . 2 3 系统设计 4 3.1 网络结构图 4 3.2 系统结构图 5 3.3 系统功能清单 6 3.4 系统部署图 8 3.5 系统组件 . 9 3.6 密钥体系 . 9 3.6.1 密钥使用示意图 . 9 3.6.2 密钥分布图 . 10 3.6.3 密钥说明 11 3.6.4 密码服务平台RSA 密钥对的初始化流程. 13 3.6.5 安全控件和密码服务平台的密钥同步流程 . 14 3.7 交易安全处理流程. 15 3.7.1 用户登录密码验证流程 15 3.7.2 PIN 的安全处理流程. 16 3.7.3 交易报文的安全处理流程. 17 4 交付件 . 18 5 附件

3、. 19 5.1 项目风险说明 19 5.2 建议硬件、操作系统配置 19 5.3 项目其它要求 20 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 1 页 1 文档说明 1.1 目的本文档结合客户需求，描述海航集团网上支付系统应用安全的设计方案。主要提供给客户，作为系统方案交流的依据，以及提供给开发人员，作为整理开发手册的基础。 1.2 名词解释基本术语说明 PIN 用户的交易密码，用户在交易时通过密码键盘输入，由业务主机进行验证。密钥信封存放密钥明文的信封文件，其中，密钥明文不可见，只有该信封被拆开后

4、才能看到密钥的明文。 PVK PIN Verify Key ，PIN 验证密钥，用于加密、验证PIN 。 ZPK Zone PIN Key，区域 PIN 密钥，用于加密PIN 。 LMK Local Master Key，本地主密钥，用于工作密钥或私钥在本地存储时进行保护。 RSA 一种国际标准的非对称密钥算法。 RSA 密钥对RSA非对称密钥体系中的密钥，每对 RSA密钥对都包含一把公钥和一把私钥。 PK RSA非对称密钥体系中的公钥，公钥的明文可以公开。 VK RSA非对称密钥体系中的私钥，私钥的明文不能公开。用户登录密码以下也简称为登录密码，指用户登录系统时输入的密码，包括字母和

5、数字，不定长。 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 2 页 2 软件需求 2.1 客户原始需求在用户进行网上交易的过程中，为保障用户敏感信息的安全，维护用户的利益，要求网上支付交易必须符合以下安全需求： 1. 用户 PIN 在交易过程中，不得以明文形式在硬件安全设备之外出现。 2. 要求对交易的报文进行完整性验证，防止交易报文被篡改。 3. 要求对登录用户的登录密码进行验证，保证用户登录的合法性和正确性。 2.2 需求分析需求要点需求要点说明需求要点的实现方式用户PIN 的安全用户的 PIN 在

6、网上交易过程中进行转发和验证时，明文仅允许在硬件安全设备中出现。 PIN 的验证由业务主机和密码机保障，因此仅考虑PIN 在传输过程中的安全。采用 RSA 非对称密钥机制：提供网页上的安全控件，用密码服务平台的公钥加密PIN。提供密码服务平台的安全服务，可以将公钥加密的PIN 转换为与主机约定的ZPK 加密的 PIN ，再传到主机进行验证。交易报文的安全交易报文传输过程中，报文的发起方生成签名，报文的接收方需验证签名，以保证报文没有被篡改。采用 RSA 非对称密钥机制：提供网页上的安全控件，用安全控件的私钥对交易报文进行签名。提供密码服务平台的安全服务，用

7、相应安全控件的公钥验证签名是否正确。用户登录的安全用户登录时，需验证其登录的字符密码，保证用户登录的合法性。用户登录时，由网页上的安全控件提供密码输入的软键盘功能（包含字符和数字输入，且数字输入随机乱序），并且用密码服务平台的公钥加密用户登录密码。提供密码服务平台的安全服务，将登录密 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 3 页码转换为PVK 加密。该功能在用户第一次输入登录密码或修改密码时调用，应用系统将PVK 加密的登录密码密文保存到数据库中。提供密码服务平台的安全服务，将

8、应用系统数据库中保存的用户登录密码密文和用户从界面输入的登录密码密文送到密码机中进行验证。该功能在验证用户的登录密码时调用。 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 4 页 3 系统设计 3.1 网络结构图密码机 IE终端用户业务主机密钥同步网上支付应用的 WebServer 安全控件应用服务器密钥同步管理人员监控人员密码服务平台监控终端管理终端安全控件下载图 3-1 网络结构图图 3-1 中，安全控件存放在WebServer ，第一次使用时从WebServer 下载

9、到 IE 终端保存，由应用系统调用其中的功能函数进行安全处理。应用服务器调用密码服务平台的API，访问密码服务平台，完成安全服务功能。在进行交易之前，必须完成密钥的生成和同步，包括密码服务平台与业务主机的密钥同步，以及密码服务平台与安全控件的密钥同步。密码服务平台通过调用密码机指令完成安全算法运算，通过管理终端可以管理密码服务平台，通过监控终端可以对密码服务平台的运行状况进行实时监控。 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 5 页 3.2 系统结构图密码服务平台的API 密码服务平台服务器数据

10、库请求密码机响应网上支付应用业务主机数据库密码机安全控件 ZPK 同步软Key模块安全模块密码服务平台的 PK 安全控件的PK VK VKPKPVKZPK ZPK 图 3-2 系统结构图图 3-2 中，绿色竖纹方框表示科友公司提供的系统。安全控件分为两部分，安全模块提供应用系统访问安全控件的接口，软 Key 模块提供密钥访问和算法接口，相当于一个软件算法模块。如果将来使用硬件存储密钥和进行算法运算，则直接替换软Key 模块即可。每个安全控件有一对公私钥对，私钥保存在控件的软Key 模块中，公钥上传给密码服务平台保存。密码服务平台本身有一对公私钥对，私钥保存在

11、密码机中，公钥除保存在数据库中外，还需要分发给每个安全控件保存。密码服务平台还需要与业务主机约定ZPK，数据库中保存ZPK 的密文。一般采用先打印密钥信封，再通过人工录入的方式来进行同步。 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 6 页 3.3 系统功能清单软件模块功能说明必须的功能客户需要的功能自行增加的功能是否新增功能安全控件提供界面，由用户输入P10 证书的相关信息和私钥保护口令。然后随机生成一对RSA 密钥对，将口令保护的私钥密文文件保存在本地，输出P10 公钥证书请求文

12、件。保存密码服务平台的公钥。验证并保存密码服务平台签发的安全控件P10 公钥证书。提供密码输入的软键盘功能（包含字符和数字输入，且数字输入随机乱序），并且用密码服务平台的公钥加密用户登录密码或PIN，输出密文。提供界面，由用户输入私钥保护口令，然后用安全控件的私钥对报文进行签名，输出签名。密码服务平台通过密码服务平台的初始化工具调用密码机随机生成：密码服务平台的RSA 密钥对密码服务平台的PVK 通过管理界面下载密码服务平台的公钥文件。通过管理界面上传CA 的公钥文件。通过管理界面保存CA 签发的密码服务平台公钥证书（X509 v3 ）。通过 API ，验证安全控件的

13、P10 证书请求文件资料的合法性，保存安全控件的公钥（根据安全控件的 ID 号保存）。然后用密码服务平台的私钥签发安全控件的P10 公钥证书，输出安全控件的 P10 公钥证书。 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 7 页通过 API ，下载密码服务平台的公钥。通过 API ，将密码服务平台公钥加密的PIN 转换为业务主机ZPK 加密的 PIN 密文。通过 API ，将密码服务平台公钥加密的用户登录密码密文转换为PVK 加密的密文。通过 API，将密码服务平台公钥加密的用户登录密码密文和应用系统

14、数据库中保存的PVK 加密的登录密码密文送到密码机中进行验证。通过 API ，根据安全控件的ID 号取出相应安全控件的公钥，用公钥验证报文的签名是否正确。说明：每个用户对应唯一一个安全控件，每个安全控件拥有唯一一对RSA 公私钥对，密码服务平台保存每个用户的安全控件公钥，因此，安全控件的公钥必须通过用户的ID 号来存取。调用API 访问密码服务平台时，凡涉及到安全控件的公钥，都必须在API 的输入参数中包含安全控件的ID 号，该 ID 号由应用系统取值，用以唯一标识一个用户。 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股

15、份有限公司第 8 页 3.4 系统部署图独立内网密码服务平台内部网络密码机密码机 IE终端用户外部网络 IE 终端用户 IE终端用户网上支付应用的 WebServer 应用服务器业务主机管理人员管理终端监控人员监控终端监控人员监控终端图 3-3 系统部署图密码服务平台一般为双机热备份形式，部署在独立的服务器上。密码机可以部署多台。密码机与密码服务平台之间组成一个单独的内网，即：只有密码服务平台才能访问密码机，从网络上杜绝其它任何系统直接访问密码机。 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科

16、友科技股份有限公司第 9 页密码服务平台一般部署一个管理终端即可，可部署多个监控终端。每个用户对应一个安全控件，使用时现从网上支付应用的WebServer 下载。 3.5 系统组件以下列出了密码服务平台、 API 和安全控件支持的操作系统、数据库等，由客户根据需要进行选择。项目组件操作系统数据库 Windows Aix Linux Sco DB2 Oracle Informix Sybase 平台平台 API （C/Java ）安全控件 3.6 密钥体系 3.6.1 密钥使用示意图密码服务平台PK密码服务平台VK安全控件 VK 安全控件 PK 交易报文签名用户登录密码

17、验证签名加密解密业务主机 ZPK 加密 PIN 密码服务平台PVK 加密 / 解密加密解密图 3-4 密钥使用示意图图 3-4 简要说明了各种密钥的使用，其中，红色实线表示安全控件完成的功能，蓝色虚线表示在密码服务平台完成的功能。注意：PIN/用户登录密码的解密操作是在密码机内部完成的，密码服务平台实际进行的是PIN/用户登录密码的转加密、验证功能，因此PIN/用户登录密码 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 10 页的明文不会出现在密码设备之外。 3.6.2 密钥分布图数据库密码机

18、安全控件密码服务平台 LMK 密码服务平台VK 密码服务平台PK 安全控件 PK 密码服务平台PK 安全控件 VK 安全控件 PK 与主机约定的ZPK 密码服务平台的 PVK 图 3-5 密钥分布图密码服务平台和安全控件各有自身的RSA 公私钥对，私钥保存在自身的密钥库中，公钥除保存在自身的密钥库中外，还需要保存在对方的密钥库中。密码服务平台的数据库中需要保存所有控件的公钥，由于控件数量较多（可能一个用户对应一个控件），因此不能使用文件方式存储，必须安装数据库。 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股

19、份有限公司第 11 页 3.6.3 密钥说明密钥密钥的用途密钥的强度密钥的存储密钥的数量密钥的初始化密钥的生存周期密码服务平台的私钥签发安全控件的 P10 公钥证书在密码机内部解密 PIN 512bits 1024bits 2048bits 明文形式存储在密码服务平台的密码机中。 LMK加密的密文形式存储在密码服务平台的数据库中。只有一对 RSA 密钥对。在密码服务平台初始化时通过初始化工具由密码机随机产生。通过界面下载公钥，并保存由CA 签发的公钥证书（ X509 v3 ）。除非有特殊原因，一般投产之后不

20、会改变。密码服务平台的公钥提供给 CA 签发 X509 公钥证书加密 PIN 512bits 1024bits 2048bits 明文形式存储在密码服务平台的数据库中。明文形式存储在安全控件的密钥库中。安全控件的私钥对交易报文进行签名 512bits 1024bits 2048bits 口令加密的密文文件形式存储在安全控件的软Key 模块中。每个安全控件一对RSA 密钥对。初始化安全控件时随机产生，由用户输入的口令保护存储。 P10 公钥证书由密码服务平台签发，签发时密码服务平台保存安全控件的公钥。可以定期更新，具体周期由客

21、户自行确定。安全控件的公钥提供给密码服务平台签发P10 公钥证书验证交易报文的签名 512bits 1024bits 2048bits 明文文件形式存储在安全控件的软 Key 模块中。明文形式存储在密码服务平台的数据库中。与业务主加密 PIN 64bits LMK加密的密文形式存储在只有一把在密码服务平台初始化时与需要与业务主机 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 12 页机约定的 ZPK 128bits 192bits 密码服务平台的数据库中。

22、密文形式存储在业务主机的数据库中。业务主机约定，可以选择以下方式：打印密钥信封，然后再手工录入人工约定，手工录入方确定。密码服务平台的 PVK 加密 /验证用户登录密码 64bits 128bits 192bits LMK加密的密文形式存储在密码服务平台的数据库中。只有一把在密码服务平台初始化时通过初始化工具由密码机随机产生。除非有特殊原因，一般投产之后不会改变。 LMK 私钥或工作密钥在本地保存时用LMK加密。 128bits 明文形式存储在密码机中。一把 LMK 保护一类密钥在密码机测试或投产前，由人工通过界面录入MK，通过内

23、部算法离散生成LMK 。除非有特殊原因，一般投产之后不会改变。 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 13 页 3.6.4 密码服务平台 RSA 密钥对的初始化流程密码服务平台的 RSA 密钥初始化流程 CA访问终端密码服务平台CA 随机生成 RSA 密钥对签发密码服务平台的 X509公钥证书生成密码服务平台的 X509公钥证书通过界面上传密码服务平台的 X509公钥证书通过界面上传CA 的公钥文件通过界面下载密码服务平台的公钥文件 CA 的公钥文件下载 CA 的公钥文件上传

24、密码服务平台的公钥文件下载密码服务平台的 X509公钥证书验证并保存密码服务平台的 X509公钥证书图 3-6 密码服务平台RSA 密钥对初始化流程图 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 14 页 3.6.5 安全控件和密码服务平台的密钥同步流程安全控件和密码服务平台的RSA 密钥对同步流程下载密码服务平台公钥安全控件 R S A 密钥对的初始化和与密码服务平台之间的同步密码服务平台应用服务器安全控件保存安全控件的公钥生成并输

25、出 P10 公钥证书请求文件调用安全控件的接口存放公钥证书提供界面由用户输入 P10 证书的相关信息和私钥保护口令用密码服务平台的私钥签发安全控件的P10公钥证书返回安全控件的P10公钥证书随机生成一对 RSA 密钥对，将口令保护的私钥保存在本地验证安全控件的P10 证书请求文件资料的合法性调用 API 将安全控件的 ID号和 P10公钥证书请求文件上传给平台取得该安全控件所属用户的 ID号验证安全控件的P10公钥证书后保存密码服务平台的公钥文件通过 API下载密码服务平台的公钥文件保存密码服务平台的公钥文件调用安全控件接口保存密码服务

26、平台公钥文件调用安全控件接口生成安全控件的 RSA 密钥对图 3-7 安全控件和密码服务平台的密钥同步流程图 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 15 页 3.7 交易安全处理流程 3.7.1 用户登录密码验证流程用户登录密码验证流程第 1 次输入密码或者修改密码，应用系统保存 P V K 加密的密码密文验证用户登录密码密码服务平台应用服务器安全控件取出密码服务平台的私钥索引号和 PVK 密文调用密码服务平台接口转换登录密码密文

27、调用密码机接口将登录密码密文转换为PVK 加密的登录密码密文返回响应，响应报文中包括转换后的登录密码密文输出登录密码密文用密码服务平台的公钥加密登录密码将转换后的登录密码密文存放在数据库中用户通过软键盘输入登录密码调用安全控件接口输入用户登录密码返回验证结果用密码服务平台的公钥加密登录密码调用密码机接口将PK加密的登录密码密文和 PVK 加密的密码密文送到密码机中验证接收验证结果取出密码服务平台的私钥索引号和 PVK 密文调用安全控件接口输入用户登录密码用户通过软键盘输入登录密码输出登录密码密文从数据库中取出PVK 加密的旧密码密文

28、调用密码服务平台接口验证登录密码密文 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 16 页图 3-8 用户登录密码验证流程图 3.7.2 PIN 的安全处理流程 PIN的安全处理流程密码服务平台应用服务器安全控件用密码服务平台的公钥加密 PIN 调用密码服务平台接口转换 PIN密文输出 PIN密文将转换后的 PIN密文传到业务主机进行验证返回响应，响应报文中包括转换后的PIN密文取出密码服务平台的私钥索引号和与业务主机约定的 ZPK 密文调用密码机接口将PK加密的 PIN密文转换为业

29、务主机 ZPK加密的 PIN密文调用安全控件接口输入用户 PIN 接收转换 PIN请求用户通过软键盘输入 PIN 图 3-9 PIN 的安全处理流程图 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 17 页 3.7.3 交易报文的安全处理流程交易报文的安全处理流程密码服务平台应用服务器安全控件用安全控件的私钥对交易报文进行签名输出签名调用密码服务平台接口验证签名接收验证签名请求根据安全控件的ID 号取出安全控件的公钥调用密码机指令验证交易报文的签名返回验证结果接收验证结果调用安全控

30、件接口对交易报文签名用户通过界面输入私钥保护口令取得该安全控件所属用户的 ID号图 3-10 交易报文的安全处理流程图 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 18 页 4 交付件类型名称说明软件包安全控件密码服务平台API 链接库Java 的 jar 包密码服务平台4.x 包括服务器安装包和WebServer 。设计文档海航集团网上支付系统应用安全设计方案基于用户需求，对系统的总体结构、部署、功能、密钥体系、交易流程等进行详细说明。海航集团网上支付系统应用安全开发手册描述开

31、发人员进行开发的具体实现细节。用户文档安全控件使用说明说明安全控件的使用方法和注意事项。密码服务平台API 手册说明链接库中API 的调用方法，对其中的每个API 接口要进行详细说明。密码服务平台用户手册说明密码服务平台的使用方法，以及如何进行维护、配置、管理等。安装手册密码服务平台安装手册说明密码服务平台的安装方法。 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 19 页 5 附件 5.1 项目风险说明编号部署点功能存在的风险规避风险的参考方法 1 安全控件软 Key 模块存储私钥安全

32、算法运算私钥由用户的口令加密后，得到私钥的密文，私钥的密文以文件的方式存放在IE 终端。只要进入系统，机器上的私钥文件就可以被拷贝出来，如果私钥文件受到非法的恶意攻击，就有可能由于口令被破解而导致私钥泄密，从而给用户造成损失。强烈建议使用硬件存放私钥，并进行安全算法运算。推荐的硬件存储介质包括： UsbKey IC 卡可以为每个用户分发、注册一个用户身份认证介质。说明：除上述风险外，使用软Key还会给用户带来不方便的因素。由于私钥密文文件存放在IE 终端，如果用户换一台终端，则必须将私钥密文文件拷贝到新的终端上，才能成功使用。因此必

33、须告诉用户私钥文件的存放位置和使用注意事项，如果使用硬件的身份认证介质，则只要用户使用时插入身份认证介质即可，比较方便。 5.2 建议硬件、操作系统配置部署点配置硬件操作系统密码服务平台服务器INTEL架构服务器，80GB 7.2K 硬盘， 1G 内存。 Aix 版本 5 以上。密码服务平台客户端普通 PC 机即可，硬盘空间300M 。Windows 密码机SJL0902 UC-2010-04-01-04-0002 海航集团网上支付系统应用安全设计方案v1.0 广州江南科友科技股份有限公司第 20 页 5.3 项目其它要求项目具体要求密码服务平台监控、管理软件架构B-S 密码服务平台服务器运行的操作系统 AIX 密码服务平台服务器安装数据库 Oracle 9i 公司内部联系人林绵雄

展开阅读全文