网上支付系统应用安全设计方案.doc

网上支付系统应用安全设计方案目的本文档结合客户需求,描述海航集团网上支付系统应用安全的设计方案。主要提供给客户,作为系统方案交流的依据,以及提供给开发人员,作为整理开发手册的基础。名词解释基本术语说明PIN用户的交易密码,用户在交易时通过密码键盘输入,由业务主机进行验证。密钥信封存放密钥明文的信封文件,其中,密钥明文不可见,只有该信封被拆开后才能看到密钥的明文。PVKPINVerifyKey,PIN验证密钥,用于加密、验证PIN。ZPKZonePINKey,区域PIN密钥,用于加密PIN。LMKLocalMasterKey,本地主密钥,用于工作密钥或私钥在本地存储时进行保护。RSA一种国际标准的非对称密钥算法。RSA密钥对RSA非对称密钥体系中的密钥,每对RSA密钥对都包含一把公钥和一把私钥。PKRSA非对称密钥体系中的公钥,公钥的明文可以公开。VKRSA非对称密钥体系中的私钥,私钥的明文不能公开。用户登录密码以下也简称为登录密码,指用户登录系统时输入的密码,包括字母和数字,不定长。软件需求客户原始需求在用户进行网上交易的过程中,为保障用户敏感信息的安全,维护用户的利益,要求网上支付交易必须符合以下安全需求:用户PIN在交易过程中,不得以明文形式在硬件安全设备之外出现。要求对交易的报文进行完整性验证,防止交易报文被篡改。要求对登录用户的登录密码进行验证,保证用户登录的合法性和正确性。需求分析需求要点需求要点说明需求要点的实现方式用户PIN的安全用户的PIN在网上交易过程中进行转发和验证时,明文仅允许在硬件安全设备中出现。PIN的验证由业务主机和密码机保障,因此仅考虑PIN在传输过程中的安全。采用RSA非对称密钥机制:提供网页上的安全控件,用密码服务平台的公钥加密PIN。提供密码服务平台的安全服务,可以将公钥加密的PIN转换为与主机约定的ZPK加密的PIN,再传到主机进行验证。交易报文的安全交易报文传输过程中,报文的发起方生成签名,报文的接收方需验证签名,以保证报文没有被篡改。采用RSA非对称密钥机制:提供网页上的安全控件,用安全控件的私钥对交易报文进行签名。提供密码服务平台的安全服务,用相应安全控件的公钥验证签名是否正确。用户登录的安全用户登录时,需验证其登录的字符密码,保证用户登录的合法性。用户登录时,由网页上的安全控件提供密码输入的软键盘功能(包含字符和数字输入,且数字输入随机乱序),并且用密码服务平台的公钥加密用户登录密码。提供密码服务平台的安全服务,将登录密码转换为PVK加密。该功能在用户第一次输入登录密码或修改密码时调用,应用系统将PVK加密的登录密码密文保存到数据库中。提供密码服务平台的安全服务,将应用系统数据库中保存的用户登录密码密文和用户从界面输入的登录密码密文送到密码机中进行验证。该功能在验证用户的登录密码时调用。系统设计网络结构图图3-1网络结构图图3-1中,安全控件存放在WebServer,第一次使用时从WebServer下载到IE终端保存,由应用系统调用其中的功能函数进行安全处理。应用服务器调用密码服务平台的API,访问密码服务平台,完成安全服务功能。在进行交易之前,必须完成密钥的生成和同步,包括密码服务平台与业务主机的密钥同步,以及密码服务平台与安全控件的密钥同步。密码服务平台通过调用密码机指令完成安全算法运算,通过管理终端可以管理密码服务平台,通过监控终端可以对密码服务平台的运行状况进行实时监控。系统结构图图3-2系统结构图图3-2中,绿色竖纹方框表示科友公司提供的系统。安全控件分为两部分,‘安全模块’提供应用系统访问安全控件的接口,‘软Key模块’提供密钥访问和算法接口,相当于一个软件算法模块。如果将来使用硬件存储密钥和进行算法运算,则直接替换‘软Key模块’即可。每个安全控件有一对公私钥对,私钥保存在控件的‘软Key模块’中,公钥上传给密码服务平台保存。密码服务平台本身有一对公私钥对,私钥保存在密码机中,公钥除保存在数据库中外,还需要分发给每个安全控件保存。密码服务平台还需要与业务主机约定ZPK,数据库中保存ZPK的密文。一般采用先打印密钥信封,再通过人工录入的方式来进行同步。系统功能清单软件模块功能说明必须的功能客户需要的功能自行增加的功能是否新增功能安全控件提供界面,由用户输入P10证书的相关信息和私钥保护口令。然后随机生成一对RSA密钥对,将口令保护的私钥密文文件保存在本地,输出P10公钥证书请求文件。√√√保存密码服务平台的公钥。√√验证并保存密码服务平台签发的安全控件P10公钥证书。√√√提供密码输入的软键盘功能(包含字符和数字输入,且数字输入随机乱序),并且用密码服务平台的公钥加密用户登录密码或PIN,输出密文。√√提供界面,由用户输入私钥保护口令,然后用安全控件的私钥对报文进行签名