中国电信融合支付产品技术规范总册.doc

中国电信融合支付产品技术规范总册v1.0（讨论稿）中国电信集团2009-12版 本 历 史版本作者参与者起止日期描述0.1谢朝建，董志军，陈洪，王之伟，李庆艳，陆冬娜，袁辉，韩晓勇王钊，李峰2009-11-32009-11-9需求未明确的情况，根据校企一卡通，公众一卡通，电话支付及互联网支付四个产品的方向，整理建设方案1.0陈洪、王之伟、陆东娜、董志军、袁辉、李庆艳2009.12.12009.12.2目录1.总则61.1背景61.2文档说明61.3名词解释62.业务描述82.1业务目标82.2账户设计92.2.1账户需求分析92.2.2账户层级架构112.2.3电信消费类账户122.2.4电信通信类账户132.2.5其他关联类账户132.2.6其他说明142.3账户体系演进阶段建议142.3.1第一阶段142.3.2第二阶段152.4支付场景152.4.1互联网支付场景162.4.2电话pos支付场景162.4.3电话语音支付场景（ivr）162.4.4移动支付场景163.总体架构设计183.1总体架构图183.2周边平台183.2.1udb平台183.2.2积分平台193.2.3nsag平台193.2.4ota平台193.2.5银行（第三方支付）平台193.2.6业务平台193.2.7卡管理平台203.3组网要求203.3.1组网原则203.3.2组网结构213.4全国平台功能架构233.5省级平台功能架构234.对账、清分与结算244.1日切前的处理244.2账户管理模块的处理244.3支付处理模块的处理244.4其他业务平台255.冲正机制的要求255.1冲正适用范围255.2冲正处理要求265.3需要自动冲正的交易266.网管要求266.1网络管理方式266.2网络管理的主要功能276.2.1性能管理276.2.2故障管理276.2.3安全管理286.2.4配置管理287.系统性能要求287.1账户数297.2日均交易量297.3端到端交易处理时延t（远程支付）297.4系统交易处理时延（远程支付）307.5系统吞吐量307.6系统内交易成功率307.7系统并发处理能力307.8批处理时长317.9客服系统性能要求317.10其他318.系统数据管理要求318.1业务数据管理328.1.1数据内容328.1.2保管介质要求328.1.3保管期限要求建议328.2安全数据管理328.2.1数据内容328.2.2保管介质要求328.2.3管理期限要求建议328.3交易清算数据管理338.3.1数据内容338.3.2保管介质要求338.3.3保管期限要求建议338.4账务数据管理338.4.1数据内容338.4.2保管介质要求338.4.3保管期限要求建议338.5日志数据管理348.5.1数据内容348.5.2保管介质要求348.5.3保管期限要求建议349.系统安全要求349.1安全体系模型349.1.1安全威胁349.1.2安全模型359.2应用层安全要求369.2.1密码体系369.2.2访问控制369.2.3数据存储安全369.2.4通信安全379.2.5可用性379.2.6安全审计379.2.7防攻击/防病毒379.3系统层安全要求389.3.1访问控制389.3.2可用性389.3.3安全审计389.3.4防攻击/防病毒389.4网络层安全要求399.4.1访问控制399.4.2可用性399.4.3安全审计399.4.4防攻击/防病毒399.5物理层安全要求409.5.1环境安全409.5.2媒体安全409.5.3设备安全4010.系统备份与恢复4010.1备份范围4010.2备份目标与性能要求4010.3存储介质与备份方式4110.4备份策略4210.5其他要求与建议421. 总则1.1 背景近来我国电子商务发展讯速,电子支付经过几年的发展，从金融机构的银行卡支付、网银支付、第三方支付，再到电子钱包,已经成为电子商务交易中关键的支撑环节。随着3g时代的到来，移动支付越来越成为电子商务的重要支付渠道。部分电信省公司在支付工作上有所试点，并有规模型推广。但整体突显以下问题： 除目前4个统一支付试点省已实现支付平台的统一，其余非试点省的支付平台仍分散，支付业务分散在多个业务平台上； 不同单位建设、经营，不同的建设、经营模式，导致用户感知度不一致、缺乏黏性； 资源分散，缺乏统一业务发展模式，各地业务发展水平、营销及支撑能力参差不一，尚未形成全网的规模效益 缺乏业务发展指导规划，各省期待集团在业务发展方面提供指导意见 缺乏统一支付品牌，专业运营能力欠缺。1.2 文档说明本规范规定了中国电信融合支付平台在业务开展中需要规范的内容，供中国移动内部和厂商共同适用；适用于在融合支付平台在业务开展、招标选型，工程建设和运行维护为集团公司和省公司提供技术依据。1.3 名词解释术语术语描述电话支付语音支付业务是基于中国电信固网及移动网络、用户拨打电话通过语音方式，使用电信自有账户、银行卡账户或电信通信账户，利用电信支付平台及合作金融机构清算系统，向用户提供公用事业费、电视购物等的自助支付服务的电信增值业务。话费代收接受其它单位（包括虚拟运营商）的委托，在电信计费系统中使用电信通信账户对其向客户提供的业务使用费向客户收费的过程。移动支付指借助移动通信终端和设备，通过移动通信网络或无线方式所进行的资金划拨、缴费和购物等商业交易活动。远程支付移动支付的一种，指用户利用手机，基于移动通信网络，通过web、sms、wap、ivr等远程接入系统完成支付行为。现场支付移动支付的一种，指用户利用移动终端，通过rfid近距离通信方式完成支付行为。现场支付又分为离线支付和在线支付。离线支付：支付过程中，pos机不和后台系统交互，仅由用户非接触式uim卡与pos终端交互认证及操作即可完成支付。在线支付：支付过程中，pos机都需要通过网络连接到后台系统，由后台账户系统完成用户验证和扣款操作。其资金账户由后台账户系统管理。用户支付主账户用户支付主账户用于用户账户类型标识，用户支付主账户包括了多个一级子账户。用户支付账户用户支付账户是指用户用来支付的账户类型，用户支付账户包括在线支付账户子账户、离线支付账户子账户。电信自有支付账户独立于用户通信账户。在线支付账户在线支付账户是用户支付账户的核心子账户，用户可以使用在线支付账户进行远程支付或现场支付。离线支付账户离线支付账户存放于用户的移动终端（含uim卡）中，用于通过现场支付商户的pos终端进行小额离线脱机支付。积分账户用户积分的汇聚账户。代金券/优惠券可以直接抵扣现金或者体现折扣使用的一种代金券/优惠券，与普通纸代金券/优惠券不同，电子优惠券以网站、网页为载体，通过互联网传播发送，以电子形式在移动终端上进行存储、浏览、使用。电信通信账户中国电信客户用来支付电信产品使用费用的的账户，包括预付费用户预存账户和后付费出帐账户。用于客户支付电信产品使用费用的基本缴费单位。银行卡账户指各银行发行的各类银行借记卡和贷记卡。第三方行业账户第三方行业或单位发行在规定范围内使用的账户，包括市政卡、公交卡、校园/企业内部账户、行业消费卡（如联华ok卡、雅高卡、斯玛特卡等）第三方支付账户主要指第三方支付服务提供商提供的用于电子商务支付的账户，通常存放于第三方支付平台上，如支付宝、财富通、paypal、快钱等。清分是指根据资金往来交易的记录，按照一定的规则进行汇总分类计算出对帐文件，并进行轧差处理的过程。结算根据清分的结果，进行资金划拨的过程。帐号用户在开立账户后，会产生一个号码，这个号码和账户一一对应。在对该账户进行业务处理的时候，帐号是唯一的标识。电信通行证中国电信通行证（ct 通行证）是面向中国电信用户提供的互联网应用（包括移动互联网应用）的统一帐号。使用中国电信通行证（ct 通行证）可以在中国电信自营互联网站点或客户端以及与中国电信合作并受信的cp/sp互联网站点或客户端上实现统一帐号，统一认证并可实现单点登录（sso）服务2. 业务描述2.1 业务目标中国电信融合支付平台旨在实现接入网的通信功能与支付功能的分离，把支付能力从目前的各种业务系统中独立出来，形成相对独立的能力引擎和管理核心，建立与中国电信运营服务体系相适应的集中维护、统一管理的基于自有账户的多帐户多媒介的立体化电信融合支付运营服务体系。通过推进组织结构、流程制度和信息系统的优化完善，形成与电信融合支付运营服务体系相互支撑，相互作用的可持续优化的运作机制，促进电信融合支付运营服务水平的不断提升。中国电信融合支付平台服务于电信自有业务对支付功能需求的基础上，将扩展服务于电子商务支付、手机移动支付等业务需求，具备多种支付手段和渠道能力。远程支付能够支持实现互联网（web）、wap、短信、语音支付等应用；现场支付能够实现大额有密联机交易、小额无密脱机交易功能。中国电信融合支付平台业务的总体架构如下图所示： 图中去掉通信账户 2.2 账户设计2.2.1 账户需求分析中国电信支付产品定位于以消费类账户为主的多账户多媒介 (web、wap、ivr、sms、rfid等)的支付应用。中国电信的用户消费账户与电信通信账户相分离，使消费账户成为独立于电信通信计费账户体系，并确立以消费账户进行支付的核心账户。电话支付所采用的通信话费小额支付功能随着消费账户的建立，支付功能逐步由用户消费账户代替。电信用户还可以使用电信积分在合作商户进行消费。中国电信用户还可以通过其它关联账户（如银行账户、第三方行业账户等）进行各种支付和消费。这样，用户就可以通过固话、移动和互联网等多种接入手段，保证支付账号及相关联的账户在任意交易场景均可融合使用，方便用户随时随地快捷方便地使用电信支付业务。随着电信消费账户的建立，电信融合支付平台的逐步壮大，更多的第三方应用商依附于电信的支付平台进行支付，逐步建立电信在支付产品价值链中的核心地位。互联网接入、语音接入、短信接入及手机支付等不同接入媒介对于账户的需求如下表如示：主要支付媒介通信账户电信支付账户(在线)电信支付账户(离线)积分账户银行/准金融账户第三方行业账户代金券/优惠券互联网小额应用大额应用语音虚拟物品实名应用短信小额应用手机/pos联盟商户校企消费市政公交第三方发展行业商户优惠券合作商户注1：表中所述小额定义为单笔支付金额小于100元注2：表中所述大额定义为单笔支付金额大于500元2.2.2 账户层级架构中国电信融合支付平台账户架构根据归属和管理的平台层级分为全国和省两级。2.2.3 电信消费类账户2.2.3.1 用户支付账户在线支付账户是用户支付账户的核心子账户，由电信融合支付全国平台建设和管理，用户可以使用在线支付账户进行各类远程支付或现场支付。各省可以根据省内需求，确定是否设立省内离线支付账户。省内离线支付账户由省级平台进行建设和管理，主要用于省内各类现场离线支付。考虑未来跨省的支付，省级平台进行离线支付账户建设时，应遵循集团公司统一的卡技术和aid应用规范，采用全国平台统一的密钥管理体系。全国平台应制定统一的卡技术和应用规范，建设统一的密钥管理平台，并在未来离线支付账户开通跨省支付应用时，负责离线支付账户相关的商户交易的清分结算以及跨省支付应用的清分和路由管理。2.2.3.2 积分账户电信客户积分账户包含电信各省crm生成积分、集团号百业务平台生成的积分和积分平台汇总积分。1）电信融合支付平台建设第一阶段中，积分账户暂时定位为电信消费类账户的关联账户，仍按目前已存在的积分管理模式由集团号百和各省级积分平台进行管理。目前积分账户的管理分为模式一（积分账户在各省管理）和模式二（积分账户在集团号百积分平台管理）。如该号百客户已与品牌客户归并，则该客户的号百积分需要下发到省内（模式一），汇入各省积分平台账户统一管理。根据各省实际情况，电信crm生成积分也可汇聚到集团号百积分平台进行统一管理。2）电信融合支付平台建设第二阶段中，当积分账户可实时汇聚到全国积分平台后，将积分账户纳入到电信消费类账户体系，作为消费类账户下的子账户。2.2.3.3 代金券/优惠券账户代金券账户由电信融合支付全国平台建设和管理，由融合支付全国运营机构发行，配合在线支付账户和离线支付账户进行用于各类远程和现场代金抵扣支付应用。代金券可以由积分平台统一管理。优惠券账户由电信融合支付升级平台建设和管理，由各融合支付省级运营机构发行，用于优惠券发行商户指定的特约商户进行现场支付时的优惠折扣应用。2.2.4 电信通信类账户电信通信账户仍然按照目前的运行的管理层级进行管理，由各省crm系统进行建设和管理。融合支付平台建设和运营后，此类账户仍然保持原有模式和层级不变。 2.2.5 其他关联类账户 全国性金融类关联账户包括：工行、建行、中行、农行、交行、招行、民生银行、中信银行、广发、深发展、上海浦发等银行以及支付宝、财付通等全国性或跨省区域性金融类账户，原则上该类账户接入、管理维护和清分结算由全国平台承担。 地方性金融类关联账户包括：宁波银行、杭州银行等地方性商业银行。因该类账户业务范围一般仅限于某个城市或某个省内，故该类金融账户将直接接入省级平台，并由省级平台进行管理维护和结算。但如果所属省未建设融合支付省级平台或因全国业务和技术管理需要，也可直接接入融合支付全国平台，接入管理方式和范围同全国性金融类账户。 第三方行业账户包括：校企内部账户、市政/公交/市民等一机通账户、第三方行业消费卡此类关联账户根据省及地市电信的需要，将直接由省电信进行根据规范进行系统建设和管理。2.2.6 其他说明融合支付全国平台和省级平台对账户建立和管理的关系：1）对于没有建设省平台的省份，全国中心平台承担虚拟省账户管理功能，建立和实现省平台所需的所有账户管理功能；2）对于建设省平台的省份，以上归属省平台管理的账户，将由省平台建设和管理，全国平台不再管理该省所属的相关省级平台账户。2.3 账户体系演进阶段建议根据账户设计预期目标和当前实际情况，账户和平台的建设可以分两个阶段建设和实施。2.3.1 第一阶段第一阶段主要是建设以用户支付账户为主的账户平台，主要实现基于现金方式的消费支付应用，消费类账户仅由在线支付账户和离线支付账户组成。离线支付账户由各省平台根据需要建立和管理，但需要考虑未来跨省使用的可能性，采用统一的密钥和应用id（aid）。考虑到目前积分账户主要由各省积分平台管理和维护；积分账户在当前第一阶段暂时定位为电信消费类账户的关联账户，由全国积分平台和省积分平台管理；目前过渡阶段用户在消费时需明确选择使用积分账户还是使用用户支付账户扣款。过渡阶段账户架构图如下：2.3.2 第二阶段第二阶段将逐步向目标账户结构进行演进。本阶段当积分账户可实时汇聚到全国积分平台后，将积分账户纳入到电信消费类账户体系，作为消费类账户下的子账户。全国平台适时建立代金券账户，省平台根据业务开展需求建立优惠券账户，用于抵扣现金或者优惠折扣应用。2.4 支付场景还未校对中国电信支付业务支持客户通过多种终端接入使用、允许客户使用不同的账号进行支付，对应产生的支付场景如下。2.4.1 互联网支付场景用户通过互联网接入支付平台时，可以对电信业务进行充值/缴费，也可以使用融合支付平台支付网上商城选购的商品。主要的支付场景有以下四种：l 银行卡网上支付：利用融合支付平台的统一银行接口，根据银行卡输入信息的位置，分为网银模式和支付平台模式；l 在线支付账户（电信自有）网上支付：用户利用申请的电信在线支付账户进行网上支付；l 积分账户网上兑换：利用电信的积分账户在互联网上进行商品的兑换，只能用于特定场景和特定商品；2.4.2 电话pos支付场景用户通过电话pos接入融合支付平台时，可使用的支付方式如下：l 银行卡刷卡支付：支付账单下发到电话支付终端或用户选择支付订单后，通过刷银行卡完成支付；l 在线支付账户支付：支付账单下发到电话支付终端或用户选择支付订单后，通过输入电信在线账户信息完成支付。2.4.3 电话语音支付场景（ivr）用户通过固话、手机ivr方式接入融合支付平台时，只能应用于以下场景：l 银行卡（信用卡）支付：通过ivr，利用银行卡（信用卡）开展实名商品（订房、订餐、订机票）的商旅应用或其他应用；l 在线支付账户支付：利用电信在线支付账户，支付自有业务充值缴费、商品订购等支付应用。2.4.4 移动支付场景2.4.4.1 短信支付场景用户通过短信方式接入融合支付平台时，可采用的支付方式如下：l 银行卡（第三方支付卡）支付：通过短信方式，利用银行卡（第三方支付卡）（可以设定绑定关系）开展电信充值缴费、公共事业费缴费、小额商品购买等应用；l 在线支付账户支付：利用在线支付账户进行电信产品充值缴费、公共事业费缴费、商品购买等应用。2.4.4.2 wap支付场景用户通过wap接入融合支付平台时，可以对电信业务进行充值/缴费商品购买等业务。具体可采用的支付方式有：l 银行卡（第三方支付卡）支付：通过融合支付平台的统一银行接口支持wap方式的支付业务；l 在线支付账户支付：利用在线支付账户支持wap上的支付业务；l 积分账户兑换：利用积分账户兑换wap上的商品。2.4.4.3 rfid支付场景用户通过rfid接入支付平台时，采用的是rfid的刷卡支付方式，可以采用的支付方式有：l 离线支付账户：利用电信离线支付账户支持离线支付应用。3. 总体架构设计3.1 总体架构图3.2 周边平台3.2.1 udb平台用户通过web、wap、营业厅开通支付功能及建立支付账户，必须先开通或激活通行证账户。激活操作由udb平台完成3.2.2 积分平台此处提到的积分平台是存放管理积分账户的平台，不包含积分商城等应用部分。在支付体系中的作用主要是作为一种支付资金源积分账户。当用户采用积分账户支付时，平台将用户输入的积分账户信息发送给积分平台，由积分平台对积分账户进行认证和扣款，然后将处理结果返回给支付平台。另外，积分平台中的积分账户可以在一些特殊情况中与支付平台发生关联。比如自有账户消费产生积分（需要集团另行规定），则支付平台将产生的积分和积分账户信息发送给积分平台，由平台完成充值操作。3.2.3 nsag平台nsag平台是支撑支付平台的一种能力引擎，负责短信/彩信方式的信息发送。在支付体系中的作用主要有：支付行为发起、支付结果通知、商品信息发送、二维码应用、认证信息发送等。3.2.4 ota平台ota平台是卡资源操作能力平台。主要功能有：空中圈存、应用下载、应用存储、安全域的操作（创建、删除等）、安全域相关信息存储、应用个人化操作、卡片应用状态管理、卡密钥（安全域密钥、应用密钥）更新操作等。3.2.5 银行（第三方支付）平台银行及第三方支付平台是中国电信通道型支付应用的重要资金来源。在支付流程中，实现银行/第三方支付账户的认证和扣款。若支持银行/第三方支付账户与自有账户的绑定，支付系统也需要将相关信息发送给银行/第三方支付平台。根据不同的支付方式，需要提供多种支付接口。3.2.6 业务平台业务平台根据业务性质可以分为自有业务平台和其他商户系统，根据适用范围可以分为全国级业务平台和省级业务平台。一机通平台属于省级业务平台范畴。业务平台主要提供支付商品或支付业务，在支付流程中，承担支付发起、商品确认等功能。3.2.7 卡管理平台卡管平台负责制卡数据的生成。主要功能包括：制卡基础数据管理、安全域管理、码号资源管理、预置密钥管理、订单管理、卡片数据生成和卡管系统管理。3.3 组网要求3.3.1 组网原则中国电信融合平台采用两级组网：全国融合支付平台（简称全国平台）和省级融合支付平台（简称省平台）。3.3.1.1 全国融合支付平台全国融合平台主要由以下部分组成：l 账户子系统（包括在线支付账户管理模块）l 支付服务子系统（包括：前置模块、支付处理模块、支付管理模块、清分清算模块、门户）集团中心平台的主要功能包括：1、 负责在线支付账户的集中管理、统一支付处理和支付管理；2、 提供集中清算和结算的功能；3、 负责接入所有的全国级自有业务平台或者商户平台；4、 负责银行总行、银联总部、银行网银或第三方支付平台的接入；5、 负责与电信积分平台的接入；6、 负责与ota平台、nsag、udb平台、卡管平台的接入7、 查看和监控所有中国电信自行布放的pos终端的运行状态信息、交易信息以及相关的统计报表；8、 对于没有建设省平台的省份，集团中心平台承担虚拟省功能，实现省平台的所有功能。3.3.1.2 省级融合支付平台省平台主要由以下部分组成：l 账户子系统（离线支付账户管理模块）l 支付服务子系统（包括省级平台的：前置模块、支付处理模块、支付管理模块、清分清算模块、门户）省平台的主要功能包括：1. 负责本地业务平台、本地商户系统的接入；2. 负责本省离线支付账户的管理及相关的支付处理3. 负责本省pos的接入和管理； 4. 负责本省商户的管理，对离线商户的清结算；5. 提供交易转发功能。3.3.2 组网结构全国平台通过ctnet与nsag连接，实现短信/彩信业务的一点接入；全国平台通过ctnet与wap gw连接，实现wap方式的接入；全国平台通过专线与udb连接，实现统一认证功能；全国平台通过专线与ota平台连接；全国平台通过专线与网管系统连接；全国平台与银联/银行之间通过专线进行连接；全国平台通过专线与积分平台连接；省平台通过专线（采用主备线路方式）与集团中心平台连接；省平台通过专线与充值scp一点连接，然后将充值数据透传到全国融合支付平台，实现充值卡向在线支付账户的充值；全国或省级平台与商户/业务平台可通过internet或专线进行连接。pos机通过cdma 1x/evdo或pstn网络接入省级融合支付平台。建议融合支付平台的所有网络设备和主机设备都采用双机热备的方式来配置，与外围网元的连接双路连接，保障无单点故障，提高系统的可靠性。同时通过负载均衡等机制，保障网络的可用性，提高系统性能。全国平台负责所有与在线支付账户相关的交易处理和账户管理，必须保障全国平台的可靠性。全国平台建议采用主备方式建设，并提供完善的数据（尤其是账户及帐务数据）备份和恢复机制。省级平台负责本省离线支付账户相关的交易处理和账户管理。也建议采用主备方式建设，并提供完善的数据（尤其是账户及帐务数据）备份和恢复机制。在融合支付平台组网中，通过采用内外网隔离机制（如防火墙），防止通过通信手段对内部网络中的重要数据和业务渗透和操纵。另外通过局域网vlan的划分来实现不同子平台、不同级别用户之间的访问控制。在网络中部署网络防病毒系统、入侵检测系统、安全扫描、加密机等安全相关系统，为平台提供全方位的立体安全保障。3.4 全国平台功能架构3.5 省级平台功能架构4. 对账、清分与结算4.1 日切前的处理对于pos、web、wap、电话ivr上送的交易数据，在日切之前需进行以下交易数据的处理：1. 支付处理模块按照日切的时间点，从渠道、业务、资金源等标识对交易数据分类统计（分类标准以实际的业务需求为准）；2. 在账户日切前上送的交易，纳入当日的清分处理；未在日切前上送的交易，纳入日切后的工作日进行清分处理。4.2 账户管理模块的处理1. 发起日切请求：账户管理模块日切，并通知支付处理模块；2. 生成对账文件：账户管理模块照约定的格式生成当日的对账文件，并发送到指定目录；4.3 支付处理模块的处理1. 进行日切：支付处理模块接受到账户管理模块的日切通知后，进行日切；2. 产生交易明细文件：按照约定的格式生成交易明细文件，并发送到指定的目录；3. 与账户管理模块对账：支付处理模块用自己产生的交易明细文件和账户管理模块生成的对账文件进行对账，以账户管理模块生成的对账文件为基准对账，并生成对账差错文件；之后进行差错处理。在对账的过程中，系统可以继续进行清分、结算工作；4. 清分：根据交易明细文件，按省、按渠道、按商户、按业务等参数汇总交易；5. 生成其它平台对账文件：根据清分的结果对其他业务平台如电信计费域系统、商户等按照约定的格式分别生成对账文件，并发送到指定的目录。6. 内部结算准备，生成相应的结算文件：a) 对电信计费域系统结算，分别对各省的缴话费交易进行轧差处理，计算出各省级电信计费域系统的划拨资金，并生成各省电信计费域系统的结算文件；b) 跨省交易，包括跨省交易的手续费，以及佣金进行再分配，并生成各省的结算文件等；c) 生成银行往来的结算文件（已发生），送交财务。d) 生成统一充值付费卡的结算文件（已发生），送交财务。7. 商户结算准备：对商户结算包括消费交易，撤销交易，退货交易等进行轧差处理，计算出应该支付给商户的金额，以及应该扣收的佣金，并生成各个商户的结算文件。根据和商户约定资金划拨时间，t+n天时往银行发送资金划拨指令，进行资金划拨；并对资金划拨成功后生成资金划拨清单。4.4 其他业务平台1. 对账处理：以账户管理系统的日切周期为准，其他相关系统，根据支付交易模块提交的对账文件进行对账，如不平生成差错文件，并进行差错处理 。2. 银行资金划拨：如果银行系统收到支付处理模块对商户资金划拨的指令，便对商户进行资金划拨；3. 内部资金划拨：内部财务系统收到对省级计费域系统、省间结算文件，处理内部资金划拨。5. 冲正机制的要求5.1 冲正适用范围系统冲正，是指由系统自动发起对原交易进行反向操作的过程。系统冲正的使用情况如下：1支付系统中，对于非现金账务类交易，在交易转发的各个节点间都应设有超时控制机制。当检测到有超时发生时，应拒绝该交易的继续处理并自动发送冲正消息；2对于多方参与的账务交易（如银行卡转账充值），当一方交易成功，而后续交易失败时，应向交易成功的一方发起自动冲正交易，以保证账务的一致性；3冲正交易仅在同一结算日内有效，对隔日冲正（被冲正交易日期与当前业务日期不一致）应予以拒绝，冲正交易应不能出现在客户的账单上；4冲正交易本身不能被冲正。5.2 冲正处理要求冲正交易的发出方收不到冲正应答时，应重新发送冲正交易，直到收到应答或者达到系统约定的最大冲正次数（根据双方协议）为止；如果冲正交易最终不能成功，平台按照不短款原则进行异常处理，pos终端不允许进行后续联机交易，必须由人工进行处理。对于多方交易，自动冲正交易应考虑资金风险，按照先借后贷的原则进行冲正；通常情况下，冲正采用与正交易相反的交易顺序进行冲正。5.3 需要自动冲正的交易对账务类交易发生超时时需要自动冲正：如1. 在线支付账户银行卡充值2. 在线支付账户充值卡充值3. 离线支付账户银行卡充值4. 离线支付账户充值卡充值5. 支付消费6. 转账7. pos消费撤销6. 网管要求6.1 网络管理方式融合支付平台必须提供相应的网管功能，按照一级网管中心的标准建设，必须要纳入到ip网络管理之中，制定必要的管理制度。网管系统需要实现对网原级设备的管理，还需要实现应用级的网管。融合支付平台应支持网管接口要求。6.2 网络管理的主要功能对融合支付平台的性能、故障、安全、配置进行管理，以保证整个系统的稳定性、健壮性、高可用性、高效性、安全性，主要包括性能管理、故障管理、安全管理、配置管理等几个方面。系统应提供网管功能模块，对外提供网管接口。6.2.1 性能管理性能管理是向网络运营者提供网络设备的性能特征，以供网络趋势分析、网络扩建、网络控制时参考。l 监视网络性能，定期收集网络中所有网源设备的性能参数统计数据，最好通过snmp方式提供各自的mib值；l 监视服务器的运行状况，如响应速度、用户连接并发度、用户访问分布等；l 检查其他相关服务的运行状况，如数据库的响应性能；l 在性能分析的基础上，对制约网络性能的相关参数如路由表和性能门限等参数进行调整，提高网络性能。6.2.2 故障管理故障管理负责监视网络设备的故障告警，进行故障诊断及定位分析。平台提供对各个网络设备及网络的状态跟踪，在某个网络设备出现故障或异常时，能够及时醒目的通知管理人，迅速的恢复故障。l 实时监视网络运行状态和设备故障，以图形和文本方式显示网络告警；l 所有网络设备都必须提供状态通知功能，定期将各自的各项状态指标通知相关的管理人员；l 所有网络设备都必须要有报警功能，设置必要的报警条件，另外报警手段也不能过于单一；l 对产生的故障告警及事件信息进行记录，以便用户对历史告警进行查询。定期进行告警日志的维护及删除；l 当一个物理设备发生故障时，可能产生多个失效告警，网管系统应能够进行故障定位，确定与实际失效有关的告警。故障可定位到设备的端口级；l 为便于故障定位分析或链路性能分析，各种服务器应接收网管系统发来的连通性测试要求，并返回测试结果。6.2.3 安全管理平台通过必要的手段在各个层次上进行安全防范，使得用户能放心使用，商户能安心提供应用和服务，系统管理员能全面的对平台进行控制。l 网络级安全，通过防火墙实施一定的安全策略；l 系统级安全，关闭平台不必要的服务，减少可能引起安全问题的原由；l 应用级安全，必要的防病毒软件；l 采取一定的认证和授权机制，对无权操作人员进行控制，规范管理人员的行为；l 网络链路传送的信息加密/解密；l 配置及修改各管理用户的管理范围；l 为增加网络的安全系数，对于关键的服务器应冗余备份；l 需要有用户级权限管理，管理整个平台的用户级别；l 需要能够对访问平台的客户进行ip限制；l 需要提供几类不同的备份/恢复策略，如系统级、应用级和数据级；l 需要详细地记录用户的动作，用户在和平台信息交互的全过程都是被监控的；6.2.4 配置管理配置管理是指通过网管接口接入所能实现的网络资源和配置管理功能。配置管理的功能主要包括：l 提供网元级的配置管理，包括对服务器、数据库服务器等网元设备进行配置。支持简单的snmp方式配置信息查询；l 创建并维护配置数据库，其中包含网络设备、软件、操作级别、负责维护设备的人员等信息；l 用户可逐级进入而进行拓扑信息查询；l 对网络互连信息进行配置和查询；l 网络业务配置，网络节点各种数据的初始配置与修改，网络各种业务政策的配置与管理；l 当服务器的某些配置发生改变时应向网管系统报告。7. 系统性能要求本章的性能要求给出了性能指标的定义及一些必须的性能指标数值。随着业务的发展，支付业务系统应能够平滑升级和扩容，不影响业务的开展。本文仅给出端到端系统的性能要求，单设备的详细性能要求在相应的设备规范中定义。7.1 账户数账户数指标是指手机支付业务系统支持的已开立账户数量，包括主账户和子账户。7.2 日均交易量该指标是指支付业务系统平均每日需处理的交易总数，包括交易额、交易次数、交易类型等。7.3 端到端交易处理时延t（远程支付）该指标是指在网络及设备正常工作的情况下，用户发起交易指令到交易完成的时延，该指标不包括网络连接（如pdp激活）建立时间及用户操作时间（如输入支付密码）。网络融合支付平台用户第三方系统t1t4tt2t3t5t0如上图所示，端到端交易处理时延t=t0+t1+t2+t3+t4+t5，其中：网络传输时延。：网络网元处理响应时间，如，等。：网络到融合支付平台传输时延。是毫秒级，可以忽略不计。：平台内部处理响应时间。：支付平台到第三方系统的传输时延，如，银行；是毫秒级，可以忽略不计。：第三方系统内的处理响应时间。对于基于sms/stk方式： 平均单笔交易响应时间不超过20秒；单笔最大响应时间不超过120秒；wap方式web方式ivrpos： 平均单笔交易响应时间不超过10秒；单笔最大响应时间不超过120秒。7.4 系统交易处理时延（远程支付）该指标是指在网络及设备正常工作的情况下，单笔交易从手机支付业务系统接收到交易请求至返回响应需要的时间，该指标不包括网络连接（如pdp激活）建立时间及用户操作时间（如输入支付密码）。网络融合支付平台用户第三方系统t1t4tt2t3t5t0l 如果涉及第三方系统，则平均单笔交易处理响应时间不超过6秒；单笔最大处理响应时间不超过60秒；l 如果不涉及第三方系统，则平均单笔交易处理响应时间不超过4秒；单笔最大处理响应时间不超过30秒；7.5 系统吞吐量该指标是指在单位时间内融合支付平台成功处理的交易总数。7.6 系统内交易成功率该指标是指在给定的交易处理时延内处理成功的交易数占交易请求总量的百分比。交易成功率不低于99.9%。7.7 系统并发处理能力该指标是指在某个时刻，融合支付平台支持的tcp连接数。要求同时处理的tcp连接并发数不少于500个。7.8 批处理时长该指标是指融合支付平台完成相关批量处理业务，如清分清算、报表、对账、结算、备份所需要的最长时间。系统批处理时长不长于小时。7.9 客服系统性能要求1、 系统可用性：99.999%；2、 mtbf（平均故障间隔时间）：5000小时；3、 mttr（平均故障处理时间）：30分钟；4、 停机时间：3分钟/年；5、 客服质量要求：l 7*24小时服务l 客户服务响应速度：在48小时内解决客户投诉并回复，直至客户满意；l 30秒客户服务电话接通率不低于95%，应答时限=4秒；l 排队等待时间=20s；7.10 其他l 系统支持至少100个外部网元的同时连接；l 724小时服务；l 系统扩容：系统处理能力基本与硬件的扩容成线形增长。8. 系统数据管理要求对于系统内保存的业务数据、安全数据、账务数据，交易数据和日志数据记录都应使用专门的管理工具进行数据加密、备份、归档、核对和恢复等管理维护，便于数据查询、修改、更新与扩充，同时保证数据的独立性、可靠性、安全性与完整性。8.1 业务数据管理8.1.1 数据内容l 纸质交易凭证：客户协议、支付交易凭证等。l 电子交易凭证：电子客户协议、网络交易记录等。8.1.2 保管介质要求l 使用专用协议格式协议，由用户填写协议并签字保存。l 交易凭证必须统一规范要求，信息要求完整、准确。8.1.3 保管期限要求建议l 交易类凭证保管期限，建议为12个月；l 协议类凭证保管6个月；l 到期的凭证应该安全处理或者备份。8.2 安全数据管理8.2.1 数据内容l 密钥口令：主密钥，分散密钥，密钥加密密钥，应用工作密钥、系统口令、管理员口令；l 用户信息：用户信息、姓名、身份证号码、手机号码、住宅号码、家庭住址、账户号码、交易信息；8.2.2 保管介质要求l 主密钥应该用ic卡保存，或者书面多人异地保存，保存在加密机中，整个流程必须以密文传输；l 分散密钥数据应该保存在专门的加密设备设备中，不可读出明文；l 系统操作员分级管理，并制定相应的管理制度；l 关键系统口令更新后应该建立纸质备份，异地专人保管；l 用户敏感信息、账户信息不得泄露，经过授权的人员可以查看。8.2.3 管理期限要求建议l 关键系统口令变更需要进行登记管理；l 主密钥只有必要才进行更换；l 系统用户口令每俩个月修改一次，20次不得重复；l 操作员口令6个月修改一次。8.3 交易清算数据管理8.3.1 数据内容l 各个平台的交易流水记录；l 各个平台的管理类交易记录；l 参与清算的机构、商户、银行账户信息数据；l 与银行交易的记录明细。8.3.2 保管介质要求l 交易流水记录保存在机器数据库表中，硬盘保存；l 历史数据保存在数据库历史流水表中，硬盘保存；l 商户、机构、终端数据保存在单独的数据表内，硬盘保存；l 备份的数据保存在备份硬盘、磁带、光盘中做冗余备份。8.3.3 保管期限要求建议l 交易数据联机保存：0.5年。l 交易数据脱机保存：重要交易备份数据永久保管。8.4 账务数据管理8.4.1 数据内容l 用户账户数据；l 商户账务数据；l 账务操作记录；l 银行相关账务交易信息；l 各机构间的账务数据；l 与boss系统相关账务处理数据。8.4.2 保管介质要求l 系统硬盘保存备份数据；l 备份的账务数据保存在备份硬盘、磁带、光盘中做冗余备份；l 每天对账务数据进行备份处理。8.4.3 保管期限要求建议l 账务数据保留10年；l 关键数据永久保管。8.5 日志数据管理8.5.1 数据内容l 系统运行日志；l 交易日志；l 通讯日志；l 异常日志。8.5.2 保管介质要求l 系统硬盘保存备份日志数据数据；l 备份的日志数据保存在备份硬盘、磁带、光盘中做冗余备份。8.5.3 保管期限要求建议l 系统保存3个月的日志记录信息。9. 系统安全要求9.1 安全体系模型为了便于对手融合支付系统的安全要求进行描述，将整个融合支付系统划分为四个层次，即：应用层、系统层、网络层和物理层（后面三层可统称为基础设施层）。9.1.1 安全威胁融合支付系统中的每个层次都面临着不同的安全威胁，每种安全威胁都需要采取相应的安全措施进行防范。融合支付系统四个层次面临的安全威胁如下表所示：系统层次面临威胁类型应用层应用层的业务流程和应用系统面临的安全威胁主要为如下几类：l 病毒/木马/蠕虫/后门/间谍软件l 拒绝服务l 权限和身份的滥用/误用/盗用/伪造/欺骗等l 信息泄漏l 篡改用户身份信息/篡改业务数据信息l 抵赖l 应用软件故障等等系统层系统层包括各类服务器、终端等，该层所面临的威胁主要有：l 系统软件故障l 病毒/木马/蠕虫/后门/间谍软件l 拒绝服务l 权限和身份的滥用/误用/盗用/伪造/欺骗等l 信息泄露/篡改等等网络层网络层包括各类网络协议、网络服务等，该层所面临的威胁有：l 蠕虫/拒绝服务/其它网络攻击l 权限和身份的滥用/误用/盗用/伪造/欺骗等l 信息泄露/篡改等等物理层物理层包括环境、媒体和设备等，面临的威胁有：l 断电l 传输/网络/主机设备故障l 存储媒体故障等等9.1.2 安全模型为了应对以上各类安全威胁，本系统采用如下安全体系模型：安全体系系统安全层网络安全层物理安全层应用安全层基 础 设 施各种威胁/攻击访问控制通信安全可用性安全审计防攻击/病毒密码体系环境安全、媒体安全、设备安全数据存储安全该模型要求每个层次都需要提供相应的安全功能，包括密码体系、访问控制、存储安全、通信安全、可用性、安全审计、防攻击/防病毒等，说明如下：n 密码体系：系统的加解密、完整性保证措施及相关的密钥管理机制n 访问控制：对移动手机支付业务中的各种应用、系统、网络进行访问控制n 数据存储安全：包括密钥存储、数据存储安全（加密）以及数据完整性等内容n 通信安全：通信过程中的安全，包括加密、不可否认性、完整性等n 可用性：各种保证应用、系统、网络的可用性的措施n 安全审计：包括应用层、系统层、网络层的安全审计功能n 防攻击/防病毒：对各类攻击和病毒的防范措施9.2 应用层安全要求9.2.1 密码体系融合支付系统涉及多类业务、用户、网元的交互，为了保证所有这些交互过程中的信息的机密性、完整性和不可否认性等，需要设计一套完整的密码体系，该体系至少应该考虑如下要求：l 密码体制：需要根据业务需求选择对称、非对称密码体制，选择加解密/完整性算法，密钥长度等。对于对称密码体制，需要为不同的业务、不同的目的提供不同的密钥。l 密钥管理：为了保证