支付系統(tǒng)應(yīng)用安全設(shè)計(jì)方案vDOC

1、海航集團(tuán)網(wǎng)上支付系統(tǒng)應(yīng)用安全UC-2010-04-01-04-0002設(shè)計(jì)方案unitn江南科友V1.0廣州江南科友科技股份有限公司2010-4-14unitn文檔修訂記錄2010-4-5,陳家梅完成1.0版本。2010-4-14，陳家梅在1.0版本的基礎(chǔ)上，根據(jù)客戶的要求進(jìn)行補(bǔ)充，同時(shí)根據(jù)公司內(nèi)部對(duì)方案的討論結(jié)果進(jìn)行完善，升級(jí)為1.1版本。廣州江南科友科技股份有限公司第I頁.1r-丨丨丨unin目錄目錄i文檔說明ii.i目的.11.2名詞解釋12軟件需求22.1客戶原始需求22.2需求分析23系統(tǒng)設(shè)計(jì)43.1網(wǎng)絡(luò)結(jié)構(gòu)圖43.2系統(tǒng)結(jié)構(gòu)圖53.3系統(tǒng)功能清單63.4系統(tǒng)部署圖83.5系統(tǒng)組件9

2、3.6密鑰體系93.6.1密鑰使用示意圖93.6.2密鑰分布圖103.6.3密鑰說明113.6.4密碼服務(wù)平臺(tái)RSA密鑰對(duì)的初始化流程133.6.5安全控件和密碼服務(wù)平臺(tái)的密鑰同步流程143.7交易安全處理流程153.7.1用戶登錄密碼驗(yàn)證流程153.7.2PIN的安全處理流程163.7.3交易報(bào)文的安全處理流程174交付件185附件195.1項(xiàng)目風(fēng)險(xiǎn)說明195.2建議硬件、操作系統(tǒng)配置195.3項(xiàng)目其它要求201文檔說明1.1目的本文檔結(jié)合客戶需求，描述海航集團(tuán)網(wǎng)上支付系統(tǒng)應(yīng)用安全的設(shè)計(jì)方案。主要提供給客戶，作為系統(tǒng)方案交流的依據(jù)，以及提供給開發(fā)人員，作為整理開發(fā)手冊(cè)的基礎(chǔ)。1.2名詞解釋基

3、本術(shù)語說明PIN用戶的交易密碼，用戶在交易時(shí)通過密碼鍵盤輸入，由業(yè)務(wù)主機(jī)進(jìn)行驗(yàn)證。密鑰信封存放密鑰明文的信封文件，其中，密鑰明文不可見，只有該信封被拆開后才能看到密鑰的明文。PVKPINVerifyKey,PIN驗(yàn)證密鑰，用于加密、驗(yàn)證PIN。ZPKZonePINKey，區(qū)域PIN密鑰，用于加密PIN。LMKLocalMasterKey，本地主密鑰，用于工作密鑰或私鑰在本地存儲(chǔ)時(shí)進(jìn)行保護(hù)。RSA一種國(guó)際標(biāo)準(zhǔn)的非對(duì)稱密鑰算法。RSA密鑰對(duì)RSA非對(duì)稱密鑰體系中的密鑰，每對(duì)RSA密鑰對(duì)都包含一把公鑰和一把私鑰。PKRSA非對(duì)稱密鑰體系中的公鑰，公鑰的明文可以公開。VKRSA非對(duì)稱密鑰體系中的私鑰，

4、私鑰的明文不能公開。用戶登錄密碼以下也簡(jiǎn)稱為登錄密碼，指用戶登錄系統(tǒng)時(shí)輸入的密碼，包括字母和數(shù)字，不定長(zhǎng)。2軟件需求2.1客戶原始需求在用戶進(jìn)行網(wǎng)上交易的過程中，為保障用戶敏感信息的安全，維護(hù)用戶的利益，要求網(wǎng)上支付交易必須符合以下安全需求：1. 用戶PIN在交易過程中，不得以明文形式在硬件安全設(shè)備之外出現(xiàn)。2. 要求對(duì)交易的報(bào)文進(jìn)行完整性驗(yàn)證，防止交易報(bào)文被篡改。3. 要求對(duì)登錄用戶的登錄密碼進(jìn)行驗(yàn)證，保證用戶登錄的合法性和正確性。2.2需求分析需求要點(diǎn)需求要點(diǎn)說明需求要點(diǎn)的實(shí)現(xiàn)方式用戶PIN用戶的PIN在網(wǎng)上交易過程中采用RSA非對(duì)稱密鑰機(jī)制：的安全進(jìn)行轉(zhuǎn)發(fā)和驗(yàn)證時(shí)，明文僅允提供網(wǎng)頁上的安

5、全控件，用密碼服務(wù)平臺(tái)許在硬件安全設(shè)備中出現(xiàn)。的公鑰加密PIN。PIN的驗(yàn)證由業(yè)務(wù)主機(jī)和密碼提供密碼服務(wù)平臺(tái)的安全服務(wù)，可以將公機(jī)保障，因此僅考慮PIN在傳鑰加密的PIN轉(zhuǎn)換為與主機(jī)約定的ZPK輸過程中的安全。加密的PIN，再傳到主機(jī)進(jìn)行驗(yàn)證。交易報(bào)文的安全交易報(bào)文傳輸過程中，報(bào)文的發(fā)起方生成簽名，報(bào)文的接收方需驗(yàn)證簽名，以保證報(bào)文沒有被篡改。采用RSA非對(duì)稱密鑰機(jī)制： 提供網(wǎng)頁上的安全控件，用安全控件的私鑰對(duì)交易報(bào)文進(jìn)行簽名。 提供密碼服務(wù)平臺(tái)的安全服務(wù)，用相應(yīng)安全控件的公鑰驗(yàn)證簽名是否正確。用戶登錄用戶登錄時(shí)，需驗(yàn)證其登錄的用戶登錄時(shí)，由網(wǎng)頁上的安全控件提供密的安全字符密碼，保證用戶登錄的

6、合碼輸入的軟鍵盤功能（包含字符和數(shù)字輸法性。入，且數(shù)字輸入隨機(jī)亂序），并且用密碼服務(wù)平臺(tái)的公鑰加密用戶登錄密碼。提供密碼服務(wù)平臺(tái)的安全服務(wù)，將登錄密略0碼轉(zhuǎn)換為PVK加密。該功能在用戶第一次輸入登錄密碼或修改密碼時(shí)調(diào)用，應(yīng)用系統(tǒng)將PVK加密的登錄密碼密文保存到數(shù)據(jù)庫中。提供密碼服務(wù)平臺(tái)的安全服務(wù)，將應(yīng)用系統(tǒng)數(shù)據(jù)庫中保存的用戶登錄密碼密文和用戶從界面輸入的登錄密碼密文送到密碼機(jī)中進(jìn)行驗(yàn)證。該功能在驗(yàn)證用戶的登錄密碼時(shí)調(diào)用。廣州江南科友科技股份有限公司第7頁下載密鑰同步業(yè)務(wù)主機(jī)密鑰同步密碼服務(wù)平臺(tái)密碼機(jī)圖3-1網(wǎng)絡(luò)結(jié)構(gòu)圖網(wǎng)上支付應(yīng)用的Webserver監(jiān)控監(jiān)控終端管理管理終端安全控件用戶IE終端安

7、全控件應(yīng)用服務(wù)器UC-2010-04-01-04-0002海航集團(tuán)網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計(jì)方案vl.O3系統(tǒng)設(shè)計(jì)3.1網(wǎng)絡(luò)結(jié)構(gòu)圖圖3-1中,安全控件存放在Webserver，第一次使用時(shí)從Webserver下載到IE終端保存，由應(yīng)用系統(tǒng)調(diào)用其中的功能函數(shù)進(jìn)行安全處理。應(yīng)用服務(wù)器調(diào)用密碼服務(wù)平臺(tái)的API，訪問密碼服務(wù)平臺(tái)，完成安全服務(wù)功能。在進(jìn)行交易之前，必須完成密鑰的生成和同步，包括密碼服務(wù)平臺(tái)與業(yè)務(wù)主機(jī)的密鑰同步，以及密碼服務(wù)平臺(tái)與安全控件的密鑰同步。密碼服務(wù)平臺(tái)通過調(diào)用密碼機(jī)指令完成安全算法運(yùn)算，通過管理終端可以管理密碼服務(wù)平臺(tái)，通過監(jiān)控終端可以對(duì)密碼服務(wù)平臺(tái)的運(yùn)行狀況進(jìn)行實(shí)時(shí)監(jiān)控。UC-

8、2010-04-01-04-0002海航集團(tuán)網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計(jì)方案vl.O32系統(tǒng)結(jié)構(gòu)圖安全控件安全模塊軟Key模塊VK業(yè)務(wù)主機(jī)密碼服務(wù)平臺(tái)的PK密碼服務(wù)平臺(tái)的API安全控件的PKI請(qǐng)求T響應(yīng)數(shù)據(jù)庫密碼機(jī)網(wǎng)上支付應(yīng)用密碼服務(wù)平臺(tái)服務(wù)器PK數(shù)據(jù)庫V密碼機(jī)-ZPK同步-圖3-2系統(tǒng)結(jié)構(gòu)圖圖3-2中，綠色豎紋方框表示科友公司提供的系統(tǒng)。安全控件分為兩部分，安全模塊提供應(yīng)用系統(tǒng)訪問安全控件的接口，軟Key模塊提供密鑰訪問和算法接口，相當(dāng)于一個(gè)軟件算法模塊。如果將來使用硬件存儲(chǔ)密鑰和進(jìn)行算法運(yùn)算，則直接替換軟Key模塊即可。每個(gè)安全控件有一對(duì)公私鑰對(duì)，私鑰保存在控件的軟Key模塊中，公鑰上傳給密碼

9、服務(wù)平臺(tái)保存。密碼服務(wù)平臺(tái)本身有一對(duì)公私鑰對(duì)，私鑰保存在密碼機(jī)中，公鑰除保存在數(shù)據(jù)庫中外，還需要分發(fā)給每個(gè)安全控件保存。密碼服務(wù)平臺(tái)還需要與業(yè)務(wù)主機(jī)約定ZPK，數(shù)據(jù)庫中保存ZPK的密文。一般采用先打印密鑰信封，再通過人工錄入的方式來進(jìn)行同步。3.3系統(tǒng)功能清單軟件模塊功能說明必提供界面，由用戶輸入P10證書的相關(guān)信息和私鑰保護(hù)口令。然后隨機(jī)生成一對(duì)RSA密鑰對(duì)，將口令保護(hù)的私鑰密文文件保存在本地，輸出P10公鑰證書請(qǐng)求文件。保存密碼服務(wù)平臺(tái)的公鑰。安全控件驗(yàn)證并保存密碼服務(wù)平臺(tái)簽發(fā)的安全控件P10公鑰證書。提供密碼輸入的軟鍵盤功能（包含字符和數(shù)字輸入，且數(shù)字輸入隨機(jī)亂序），并且用密碼服務(wù)平臺(tái)的

10、公鑰加密用戶登錄密碼或PIN，輸出密文。提供界面，由用戶輸入私鑰保護(hù)口令，然后用安全控件的私鑰對(duì)報(bào)文進(jìn)行簽名，輸出簽名。通過密碼服務(wù)平臺(tái)的初始化工具調(diào)用密碼機(jī)隨機(jī)生成： 密碼服務(wù)平臺(tái)的RSA密鑰對(duì) 密碼服務(wù)平臺(tái)的PVK通過管理界面下載密碼服務(wù)平臺(tái)的公鑰文件。密碼服務(wù)平臺(tái)通過管理界面上傳CA的公鑰文件。通過管理界面保存CA簽發(fā)的密碼服務(wù)平臺(tái)公鑰證書（X509v3）。通過API，驗(yàn)證安全控件的P10證書請(qǐng)求文件資料的合法性，保存安全控件的公鑰（根據(jù)安全控件的ID號(hào)保存）。然后用密碼服務(wù)平臺(tái)的私鑰簽發(fā)安全控件的P10公鑰證書，輸出安全控件的P10公鑰證書。廣州江南科友科技股通過API，下載密碼服務(wù)平

11、臺(tái)的公鑰。岬蟲通過API，將密碼服務(wù)平臺(tái)公鑰加密的PIN轉(zhuǎn)換為業(yè)務(wù)主機(jī)ZPK加密的PIN密文。通過API，將密碼服務(wù)平臺(tái)公鑰加密的用戶登錄密碼密文轉(zhuǎn)換為PVK加密的密文。通過API，將密碼服務(wù)平臺(tái)公鑰加密的用戶登錄密碼密文和應(yīng)用系統(tǒng)數(shù)據(jù)庫中保存的PVK加密的登錄密碼密文送到密碼機(jī)中進(jìn)行驗(yàn)證。通過API，根據(jù)安全控件的ID號(hào)取出相應(yīng)安全控件的公鑰，用公鑰驗(yàn)證報(bào)文的簽名是否正確。說明：每個(gè)用戶對(duì)應(yīng)唯一一個(gè)安全控件，每個(gè)安全控件擁有唯一一對(duì)RSA公私鑰對(duì)，密碼服務(wù)平因此，安全控件的公鑰必須通過用戶的ID號(hào)來存取。調(diào)用API訪問密碼服務(wù)平臺(tái)時(shí)，凡涉及到安全入?yún)?shù)中包含安全控件的ID號(hào)，該ID號(hào)由應(yīng)用系

12、統(tǒng)取值，用以唯一標(biāo)識(shí)一個(gè)用戶。廣州江南科友科技股UC-2010-04-01-04-0002海航集團(tuán)網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計(jì)方案vl.O3.4系統(tǒng)部署圖廣州江南科友科技股份有限公司第11頁網(wǎng)上支付應(yīng)用的Webserver業(yè)務(wù)主機(jī)內(nèi)部網(wǎng)絡(luò)Q:密碼機(jī)密碼機(jī)圖3-3系統(tǒng)部署圖密碼服務(wù)平臺(tái)一般為雙機(jī)熱備份形式，部署在獨(dú)立的服務(wù)器上。密碼機(jī)可以部署多臺(tái)。密碼機(jī)與密碼服務(wù)平臺(tái)之間組成一個(gè)單獨(dú)的內(nèi)網(wǎng)，即：只有密碼服務(wù)平臺(tái)才能訪問密碼機(jī)，從網(wǎng)絡(luò)上杜絕其它任何系統(tǒng)直接訪問密碼機(jī)。密碼服務(wù)平臺(tái)一般部署一個(gè)管理終端即可，可部署多個(gè)監(jiān)控終端。每個(gè)用戶對(duì)應(yīng)一個(gè)安全控件，使用時(shí)現(xiàn)從網(wǎng)上支付應(yīng)用的Webserver下載。3.

13、5系統(tǒng)組件以下列出了密碼服務(wù)平臺(tái)、API和安全控件支持的操作系統(tǒng)、數(shù)據(jù)庫等，由客戶根據(jù)需要進(jìn)行選擇。3.6密鑰體系361密鑰使用示意圖安全控件VK簽名交易報(bào)文驗(yàn)證簽名加密/解密加密II安全控件PK密碼服務(wù)平臺(tái)PVK業(yè)務(wù)主機(jī)ZPK圖3-4密鑰使用示意圖圖3-4簡(jiǎn)要說明了各種密鑰的使用，其中，紅色實(shí)線表示安全控件完成的功能，藍(lán)色虛線表示在密碼服務(wù)平臺(tái)完成的功能。注意：PIN/用戶登錄密碼的解密操作是在密碼機(jī)內(nèi)部完成的，密碼服務(wù)平臺(tái)實(shí)際進(jìn)行的是PIN/用戶登錄密碼的轉(zhuǎn)加密、驗(yàn)證功能，因此PIN/用戶登錄密碼362密鑰分布圖密碼服務(wù)平安全控件臺(tái)PK安全控件VK安全控件PK密碼服務(wù)平臺(tái)A/密碼服務(wù)平/口

14、P安全控件PK:數(shù)據(jù)庫1/與主機(jī)約定1V的zpy密碼服務(wù)平臺(tái)的PVK圖3-5密鑰分布圖密碼服務(wù)平臺(tái)和安全控件各有自身的RSA公私鑰對(duì)，私鑰保存在自身的密鑰庫中，公鑰除保存在自身的密鑰庫中外，還需要保存在對(duì)方的密鑰庫中。密碼服務(wù)平臺(tái)的數(shù)據(jù)庫中需要保存所有控件的公鑰，由于控件數(shù)量較多（可能一個(gè)用戶對(duì)應(yīng)一個(gè)控件），因此不能使用文件方式存儲(chǔ)，必須安裝數(shù)據(jù)庫。3.6.3密鑰說明密鑰密鑰的用途密鑰的強(qiáng)度密鑰的存儲(chǔ)密鑰的數(shù)量簽發(fā)安全控件密碼服務(wù)明文形式存儲(chǔ)在密碼服務(wù)平只有一對(duì)在:512bits平臺(tái)的私的P10公鑰證書1024bits臺(tái)的密碼機(jī)中。RSA密鑰對(duì)。時(shí)通在密碼機(jī)內(nèi)部2048bitsLMK加密的密文

15、形式存儲(chǔ)在碼機(jī)密碼服務(wù)平臺(tái)的公解密PIN提供給CA簽發(fā)X509公鑰證書加密PIN512bits1024bits2048bits安全控件對(duì)交易報(bào)文進(jìn)行簽名512bits的私鑰1024bits2048bits安全控件提供給密碼服512bits的公鑰務(wù)平臺(tái)簽發(fā)P101024bits公鑰證書2048bits驗(yàn)證交易報(bào)文的簽名與業(yè)務(wù)主加密PIN64bits全控件的軟Key模塊中。LMK加密的密文形式存儲(chǔ)在密碼服務(wù)平臺(tái)的數(shù)據(jù)庫中。明文形式存儲(chǔ)在密碼服務(wù)平臺(tái)的數(shù)據(jù)庫中。明文形式存儲(chǔ)在安全控件的密鑰庫中。臺(tái)的數(shù)據(jù)庫中。通過保彳證書每個(gè)安全控初始件一對(duì)RSA產(chǎn)生密鑰對(duì)。令保P1務(wù)平碼服件白只有一把在密碼服口令加

16、密的密文文件形式存儲(chǔ)在安明文文件形式存儲(chǔ)在安全控件的軟Key模塊中。明文形式存儲(chǔ)在密碼服務(wù)平廣州江南科友科技股umcn機(jī)約定的ZPK 128bits密碼服務(wù)平臺(tái)的數(shù)據(jù)庫中。 192bits密文形式存儲(chǔ)在業(yè)務(wù)主機(jī)的數(shù)據(jù)庫中。密碼服務(wù)平臺(tái)的PVK加密/驗(yàn)證用戶登錄密碼 64bits 128bits 192bitsLMK加密的密文形式存儲(chǔ)在密碼服務(wù)平臺(tái)的數(shù)據(jù)庫中。只有一把LMK私鑰或工作密鑰在本地保存時(shí)用LMK加密。128bits明文形式存儲(chǔ)在密碼機(jī)中。一把LMK保護(hù)一類密鑰業(yè)務(wù)主機(jī)下方式: 打.手工 人工在密碼服過初始化產(chǎn)生。在密碼機(jī)人工通過內(nèi)部算法廣州江南科友科技股士urunUC-2010-04

17、-01-04-0002海航集團(tuán)網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計(jì)方案vl.Ourucn廣州江南科友科技股份有限公司第14頁3.6.4密碼服務(wù)平臺(tái)RSA密鑰對(duì)的初始化流程密碼服務(wù)平臺(tái)的RSA密鑰初始化流程密碼服務(wù)平臺(tái)CA訪問終端CA隨機(jī)生成RSA密鑰對(duì)下載CA的公鑰文件CA的公鑰文件k上傳密碼服務(wù)平臺(tái)的公.鑰文件.簽發(fā)密碼服務(wù)平臺(tái)的X509公鑰證書通過界面上傳密碼服務(wù)平臺(tái)的X509公鑰證書下載密碼服務(wù)平臺(tái)的斗X509公鑰證書生成密碼服務(wù)平臺(tái)的X509公鑰證書驗(yàn)證并保存密碼服務(wù)平臺(tái)的X509公鑰證書圖3-6密碼服務(wù)平臺(tái)RSA密鑰對(duì)初始化流程圖365安全控件和密碼服務(wù)平臺(tái)的密鑰同步流程安全控件和密碼服務(wù)平臺(tái)的

18、RSA密鑰對(duì)同步流程安全控件應(yīng)用服務(wù)器密碼服務(wù)平臺(tái)鑰公臺(tái)平務(wù)服碼密載下通過API下載密碼服務(wù)平臺(tái)的公鑰文件密碼服務(wù)平臺(tái)的公鑰文件保存密碼服務(wù)平臺(tái)的公鑰文件調(diào)用安全控件接口保存密碼服務(wù)平臺(tái)公鑰文件提供界面由用戶輸入P10證書的相關(guān)信息和私鑰保護(hù)口令調(diào)用安全控件接口生成安全控件的RSA密鑰對(duì)隨機(jī)生成一對(duì)RSA密鑰對(duì)，將口令保護(hù)的私鑰保存在本地步同的生成并輸出P10公鑰證書請(qǐng)求文件取得該安全控件所屬用戶的ID號(hào)間之臺(tái)平務(wù)服碼密與和化始初的對(duì)鑰密控全宀&驗(yàn)證安全控件的P10公鑰證書后保存調(diào)用API將安全控件的ID號(hào)和P10公鑰證書請(qǐng)求文件上傳給平臺(tái)調(diào)用安全控件的接口存放公鑰證書驗(yàn)證安全控件的P10證書

19、請(qǐng)求文件資料的合法性保存安全控件的公鑰用密碼服務(wù)平臺(tái)的私鑰簽發(fā)安全控件的P10公鑰證書返回安全控件的P10公鑰證書圖3-7安全控件和密碼服務(wù)平臺(tái)的密鑰同步流程圖uninUC-2010-04-01-04-0002海航集團(tuán)網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計(jì)方案vl.O3.7交易安全處理流程371用戶登錄密碼驗(yàn)證流程用戶登錄密碼驗(yàn)證流程廣州江南科友科技股份有限公司第21頁文密碼密的密加#保統(tǒng)系用應(yīng)，碼密改修者或碼密入輸次U安全控件應(yīng)用服務(wù)器密碼服務(wù)平臺(tái)用戶通過軟鍵盤輸入登錄密碼用密碼服務(wù)平臺(tái)的公鑰加密登錄密碼輸出登錄密碼密文用戶通過軟鍵盤輸入登錄密碼用密碼服務(wù)平臺(tái)的公鑰加密登錄密碼輸出登錄密碼密文碼密錄登戶用

20、證驗(yàn)接收驗(yàn)證結(jié)果圖3-8用戶登錄密碼驗(yàn)證流程圖umtn372PIN的安全處理流程圖3-9PIN的安全處理流程圖373交易報(bào)文的安全處理流程圖3-10交易報(bào)文的安全處理流程圖比-2010-04-01-04-0002海航集團(tuán)網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計(jì)方案vl.O4交付件類型名稱說明安全控件軟件包密碼服務(wù)平臺(tái)API鏈接庫Java的jar包密碼服務(wù)平臺(tái)4.x包括服務(wù)器安裝包和Webserver。設(shè)計(jì)文檔海航集團(tuán)網(wǎng)上支付系統(tǒng)應(yīng)用安全設(shè)計(jì)方案基于用戶需求，對(duì)系統(tǒng)的總體結(jié)構(gòu)、部署、功能、密鑰體系、交易流程等進(jìn)行詳細(xì)說明。海航集團(tuán)網(wǎng)上支付系統(tǒng)應(yīng)描述開發(fā)人員進(jìn)行開發(fā)的具體實(shí)現(xiàn)細(xì)節(jié)。用安全開發(fā)手冊(cè)安全控件使用說明說明安全控件的使用方法和注意事項(xiàng)。用戶文檔密碼服務(wù)平臺(tái)API手冊(cè)說明鏈接庫中API的調(diào)用方法,對(duì)其