《支付系统应用安全设计方案vDOC》由会员分享,可在线阅读,更多相关《支付系统应用安全设计方案vDOC(23页珍藏版)》请在金锄头文库上搜索。
1、海航集团网上支付系统应用安全UC-20002设计方案V1.0广州江南科友科技股份有限公司2010-4-14文档修订记录2010-4-5,陈家梅完成1.0版本。2010-4-14,陈家梅在1.0版本的基础上,根据客户的要求进行补充,同时根据公司内部对方案的讨论结果进行完善,升级为1.1版本。目录1 文档说明11.1 目的11.2 名词解释12 软件需求22.1 客户原始需求22.2 需求分析23 系统设计43.1 网络结构图43.2 系统结构图53.3 系统功能清单63.4 系统部署图83.5 系统组件93.6 密钥体系93.6.1 密钥使用示意图93.6.2 密钥分布图103.6.3 密钥说明
2、113.6.4 密码服务平台RSA密钥对的初始化流程133.6.5 安全控件和密码服务平台的密钥同步流程143.7 交易安全处理流程153.7.1 用户登录密码验证流程153.7.2 PIN的安全处理流程163.7.3 交易报文的安全处理流程174 交付件185 附件195.1 项目风险说明195.2 建议硬件、操作系统配置195.3 项目其它要求201 文档说明1.1 目的本文档结合客户需求,描述海航集团网上支付系统应用安全的设计方案。主要提供给客户,作为系统方案交流的依据,以及提供给开发人员,作为整理开发手册的基础。1.2 名词解释基本术语说明PIN用户的交易密码,用户在交易时通过密码键盘
3、输入,由业务主机进行验证。密钥信封存放密钥明文的信封文件,其中,密钥明文不可见,只有该信封被拆开后才能看到密钥的明文。PVKPIN Verify Key,PIN验证密钥,用于加密、验证PIN。ZPKZone PIN Key,区域PIN密钥,用于加密PIN。LMKLocal Master Key,本地主密钥,用于工作密钥或私钥在本地存储时进行保护。RSA一种国际标准的非对称密钥算法。RSA密钥对RSA非对称密钥体系中的密钥,每对RSA密钥对都包含一把公钥和一把私钥。PK RSA非对称密钥体系中的公钥,公钥的明文可以公开。VK RSA非对称密钥体系中的私钥,私钥的明文不能公开。用户登录密码以下也简
4、称为登录密码,指用户登录系统时输入的密码,包括字母和数字,不定长。2 软件需求2.1 客户原始需求在用户进行网上交易的过程中,为保障用户敏感信息的安全,维护用户的利益,要求网上支付交易必须符合以下安全需求:1. 用户PIN在交易过程中,不得以明文形式在硬件安全设备之外出现。2. 要求对交易的报文进行完整性验证,防止交易报文被篡改。3. 要求对登录用户的登录密码进行验证,保证用户登录的合法性和正确性。2.2 需求分析需求要点需求要点说明需求要点的实现方式用户PIN的安全用户的PIN在网上交易过程中进行转发和验证时,明文仅允许在硬件安全设备中出现。PIN的验证由业务主机和密码机保障,因此仅考虑PI
5、N在传输过程中的安全。采用RSA非对称密钥机制:l 提供网页上的安全控件,用密码服务平台的公钥加密PIN。l 提供密码服务平台的安全服务,可以将公钥加密的PIN转换为与主机约定的ZPK加密的PIN,再传到主机进行验证。交易报文的安全交易报文传输过程中,报文的发起方生成签名,报文的接收方需验证签名,以保证报文没有被篡改。采用RSA非对称密钥机制:l 提供网页上的安全控件,用安全控件的私钥对交易报文进行签名。l 提供密码服务平台的安全服务,用相应安全控件的公钥验证签名是否正确。用户登录的安全用户登录时,需验证其登录的字符密码,保证用户登录的合法性。l 用户登录时,由网页上的安全控件提供密码输入的软
6、键盘功能(包含字符和数字输入,且数字输入随机乱序),并且用密码服务平台的公钥加密用户登录密码。l 提供密码服务平台的安全服务,将登录密码转换为PVK加密。该功能在用户第一次输入登录密码或修改密码时调用,应用系统将PVK加密的登录密码密文保存到数据库中。l 提供密码服务平台的安全服务,将应用系统数据库中保存的用户登录密码密文和用户从界面输入的登录密码密文送到密码机中进行验证。该功能在验证用户的登录密码时调用。3 系统设计3.1 网络结构图图3-1 网络结构图图3-1中,安全控件存放在WebServer,第一次使用时从WebServer下载到IE终端保存,由应用系统调用其中的功能函数进行安全处理。
7、应用服务器调用密码服务平台的API,访问密码服务平台,完成安全服务功能。在进行交易之前,必须完成密钥的生成和同步,包括密码服务平台与业务主机的密钥同步,以及密码服务平台与安全控件的密钥同步。密码服务平台通过调用密码机指令完成安全算法运算,通过管理终端可以管理密码服务平台,通过监控终端可以对密码服务平台的运行状况进行实时监控。3.2 系统结构图图3-2 系统结构图图3-2中,绿色竖纹方框表示科友公司提供的系统。安全控件分为两部分,安全模块提供应用系统访问安全控件的接口,软Key模块提供密钥访问和算法接口,相当于一个软件算法模块。如果将来使用硬件存储密钥和进行算法运算,则直接替换软Key模块即可。
8、每个安全控件有一对公私钥对,私钥保存在控件的软Key模块中,公钥上传给密码服务平台保存。密码服务平台本身有一对公私钥对,私钥保存在密码机中,公钥除保存在数据库中外,还需要分发给每个安全控件保存。密码服务平台还需要与业务主机约定ZPK,数据库中保存ZPK的密文。一般采用先打印密钥信封,再通过人工录入的方式来进行同步。3.3 系统功能清单软件模块功能说明必须的功能客户需要的功能自行增加的功能是否新增功能安全控件提供界面,由用户输入P10证书的相关信息和私钥保护口令。然后随机生成一对RSA密钥对,将口令保护的私钥密文文件保存在本地,输出P10公钥证书请求文件。保存密码服务平台的公钥。验证并保存密码服
9、务平台签发的安全控件P10公钥证书。提供密码输入的软键盘功能(包含字符和数字输入,且数字输入随机乱序),并且用密码服务平台的公钥加密用户登录密码或PIN,输出密文。提供界面,由用户输入私钥保护口令,然后用安全控件的私钥对报文进行签名,输出签名。密码服务平台通过密码服务平台的初始化工具调用密码机随机生成:l 密码服务平台的RSA密钥对l 密码服务平台的PVK通过管理界面下载密码服务平台的公钥文件。通过管理界面上传CA的公钥文件。通过管理界面保存CA签发的密码服务平台公钥证书(X509 v3)。通过API,验证安全控件的P10证书请求文件资料的合法性,保存安全控件的公钥(根据安全控件的ID号保存)
10、。然后用密码服务平台的私钥签发安全控件的P10公钥证书,输出安全控件的P10公钥证书。通过API,下载密码服务平台的公钥。通过API,将密码服务平台公钥加密的PIN转换为业务主机ZPK加密的PIN密文。通过API,将密码服务平台公钥加密的用户登录密码密文转换为PVK加密的密文。通过API,将密码服务平台公钥加密的用户登录密码密文和应用系统数据库中保存的PVK加密的登录密码密文送到密码机中进行验证。通过API,根据安全控件的ID号取出相应安全控件的公钥,用公钥验证报文的签名是否正确。说明:每个用户对应唯一一个安全控件,每个安全控件拥有唯一一对RSA公私钥对,密码服务平台保存每个用户的安全控件公钥
11、,因此,安全控件的公钥必须通过用户的ID号来存取。调用API访问密码服务平台时,凡涉及到安全控件的公钥,都必须在API的输入参数中包含安全控件的ID号,该ID号由应用系统取值,用以唯一标识一个用户。3.4 系统部署图图3-3 系统部署图 密码服务平台一般为双机热备份形式,部署在独立的服务器上。 密码机可以部署多台。密码机与密码服务平台之间组成一个单独的内网,即:只有密码服务平台才能访问密码机,从网络上杜绝其它任何系统直接访问密码机。 密码服务平台一般部署一个管理终端即可,可部署多个监控终端。 每个用户对应一个安全控件,使用时现从网上支付应用的WebServer下载。3.5 系统组件以下列出了密
12、码服务平台、API和安全控件支持的操作系统、数据库等,由客户根据需要进行选择。项目组件操作系统数据库WindowsAixLinuxScoDB2OracleInformixSybase平台平台API(C/Java)安全控件3.6 密钥体系3.6.1 密钥使用示意图图3-4 密钥使用示意图图3-4简要说明了各种密钥的使用,其中,红色实线表示安全控件完成的功能,蓝色虚线表示在密码服务平台完成的功能。注意:PIN/用户登录密码的解密操作是在密码机内部完成的,密码服务平台实际进行的是PIN/用户登录密码的转加密、验证功能,因此PIN/用户登录密码的明文不会出现在密码设备之外。3.6.2 密钥分布图图3-
13、5 密钥分布图密码服务平台和安全控件各有自身的RSA公私钥对,私钥保存在自身的密钥库中,公钥除保存在自身的密钥库中外,还需要保存在对方的密钥库中。密码服务平台的数据库中需要保存所有控件的公钥,由于控件数量较多(可能一个用户对应一个控件),因此不能使用文件方式存储,必须安装数据库。3.6.3 密钥说明密钥密钥的用途密钥的强度密钥的存储密钥的数量密钥的初始化密钥的生存周期密码服务平台的私钥l 签发安全控件的P10公钥证书l 在密码机内部解密PINl 512bitsl 1024bitsl 2048bitsl 明文形式存储在密码服务平台的密码机中。l LMK加密的密文形式存储在密码服务平台的数据库中。
14、只有一对RSA密钥对。l 在密码服务平台初始化时通过初始化工具由密码机随机产生。l 通过界面下载公钥,并保存由CA签发的公钥证书(X509 v3)。除非有特殊原因,一般投产之后不会改变。密码服务平台的公钥l 提供给CA签发X509公钥证书l 加密PINl 512bitsl 1024bitsl 2048bitsl 明文形式存储在密码服务平台的数据库中。l 明文形式存储在安全控件的密钥库中。安全控件的私钥对交易报文进行签名l 512bitsl 1024bitsl 2048bits口令加密的密文文件形式存储在安全控件的软Key模块中。每个安全控件一对RSA密钥对。l 初始化安全控件时随机产生,由用户输入的口令保护存储。l P10公钥证书由密码服务平台签发,签发时密码服务平台保存安全控件的公钥。
