支付系统应用安全设计方案vDOC

打印日期 打印日期 2020 3 31 海航集团网上支付系统应用安全海航集团网上支付系统应用安全 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 设计方案设计方案 V1 0 广州江南科友科技股份有限公司广州江南科友科技股份有限公司 2010 4 142010 4 14 文档修订记录文档修订记录 广州江南科友科技股份有限公司 第 I 页 文档修订记录文档修订记录 2010 4 5 陈家梅完成 1 0 版本 2010 4 14 陈家梅在 1 0 版本的基础上 根据客户的要求进行补充 同时 根据公司内部对方案的讨论结果进行完善 升级为 1 1 版本 目录目录 广州江南科友科技股份有限公司 第 I 页 目目录录 1 文档说明 1 1 1 目的 1 1 2 名词解释 1 2 软件需求 2 2 1 客户原始需求 2 2 2 需求分析 2 3 系统设计 4 3 1 网络结构图 4 3 2 系统结构图 5 3 3 系统功能清单 6 3 4 系统部署图 8 3 5 系统组件 9 3 6 密钥体系 9 3 6 1 密钥使用示意图 9 3 6 2 密钥分布图 10 3 6 3 密钥说明 11 3 6 4 密码服务平台 RSA 密钥对的初始化流程 13 3 6 5 安全控件和密码服务平台的密钥同步流程 14 3 7 交易安全处理流程 15 3 7 1 用户登录密码验证流程 15 3 7 2 PIN 的安全处理流程 16 3 7 3 交易报文的安全处理流程 17 4 交付件 18 5 附件 19 5 1 项目风险说明 19 5 2 建议硬件 操作系统配置 19 5 3 项目其它要求 20 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 1 页 1 文档说明文档说明 1 1 目的目的 本文档结合客户需求 描述海航集团网上支付系统应用安全的设计方案 主要提供给客户 作为系统方案交流的依据 以及提供给开发人员 作为 整理开发手册的基础 1 2 名词解释名词解释 基本术语基本术语说明说明 PIN用户的交易密码 用户在交易时通过密码键盘输入 由业务主机进行验 证 密钥信封密钥信封存放密钥明文的信封文件 其中 密钥明文不可见 只有该信封被拆开 后才能看到密钥的明文 PVKPIN Verify Key PIN 验证密钥 用于加密 验证 PIN ZPKZone PIN Key 区域 PIN 密钥 用于加密 PIN LMKLocal Master Key 本地主密钥 用于工作密钥或私钥在本地存储时进 行保护 RSA一种国际标准的非对称密钥算法 RSA 密钥对密钥对RSA 非对称密钥体系中的密钥 每对 RSA 密钥对都包含一把公钥和一把 私钥 PK RSA 非对称密钥体系中的公钥 公钥的明文可以公开 VK RSA 非对称密钥体系中的私钥 私钥的明文不能公开 用户登录密码用户登录密码以下也简称为登录密码 指用户登录系统时输入的密码 包括字母和数 字 不定长 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 2 页 2 软件需求软件需求 2 1 客户原始需求客户原始需求 在用户进行网上交易的过程中 为保障用户敏感信息的安全 维护用户的 利益 要求网上支付交易必须符合以下安全需求 1 用户 PIN 在交易过程中 不得以明文形式在硬件安全设备之外出现 2 要求对交易的报文进行完整性验证 防止交易报文被篡改 3 要求对登录用户的登录密码进行验证 保证用户登录的合法性和正确 性 2 2 需求分析需求分析 需求要点需求要点需求要点说明需求要点说明需求要点的实现方式需求要点的实现方式 用户用户 PIN 的安全的安全 用户的 PIN 在网上交易过程 中进行转发和验证时 明文仅 允许在硬件安全设备中出现 PIN 的验证由业务主机和密码 机保障 因此仅考虑 PIN 在 传输过程中的安全 采用 RSA 非对称密钥机制 提供网页上的安全控件 用密码服务平 台的公钥加密 PIN 提供密码服务平台的安全服务 可以将 公钥加密的 PIN 转换为与主机约定的 ZPK 加密的 PIN 再传到主机进行验证 交易报文交易报文 的安全的安全 交易报文传输过程中 报文的 发起方生成签名 报文的接收 方需验证签名 以保证报文没 有被篡改 采用 RSA 非对称密钥机制 提供网页上的安全控件 用安全控件的 私钥对交易报文进行签名 提供密码服务平台的安全服务 用相应 安全控件的公钥验证签名是否正确 用户登录用户登录 的安全的安全 用户登录时 需验证其登录的 字符密码 保证用户登录的合 法性 用户登录时 由网页上的安全控件提供 密码输入的软键盘功能 包含字符和数字 输入 且数字输入随机乱序 并且用密 码服务平台的公钥加密用户登录密码 提供密码服务平台的安全服务 将登录 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 3 页 密码转换为 PVK 加密 该功能在用户第 一次输入登录密码或修改密码时调用 应 用系统将 PVK 加密的登录密码密文保存 到数据库中 提供密码服务平台的安全服务 将应用 系统数据库中保存的用户登录密码密文和 用户从界面输入的登录密码密文送到密码 机中进行验证 该功能在验证用户的登录 密码时调用 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 4 页 3 系统设计系统设计 3 1 网络结构图网络结构图 密码机 IE终端 用户 业务主机 密钥同步 网上支付应用的 WebServer 安全控件 应用服务器密钥同步 管理 人员 监控 人员 密码服务平台 监控终端 管理终端 安全控件 下载 图图 3 1 网络结构图网络结构图 图 3 1 中 安全控件存放在 WebServer 第一次使用时从 WebServer 下 载到 IE 终端保存 由应用系统调用其中的功能函数进行安全处理 应用服务器调用密码服务平台的 API 访问密码服务平台 完成安全服务 功能 在进行交易之前 必须完成密钥的生成和同步 包括密码服务平台与业务 主机的密钥同步 以及密码服务平台与安全控件的密钥同步 密码服务平台通过调用密码机指令完成安全算法运算 通过管理终端可以 管理密码服务平台 通过监控终端可以对密码服务平台的运行状况进行实时监 控 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 5 页 3 2 系统结构图系统结构图 密码服务平台的API 密码服务平台服务器 数据库 请求 密码机 响应 网上支付应用业务主机 数据库密码机 安安全全控控件件 Z ZP PK K同同步步 软Key模块 安全模块 密码服务 平台的PK 安全控件 的PK VK VKPKPVKZPK ZPK 图图 3 2 系统结构图系统结构图 图 3 2 中 绿色竖纹方框表示科友公司提供的系统 安全控件分为两部分 安全模块 提供应用系统访问安全控件的接口 软 Key 模块 提供密钥访问和算法接口 相当于一个软件算法模块 如果将 来使用硬件存储密钥和进行算法运算 则直接替换 软 Key 模块 即可 每个安全控件有一对公私钥对 私钥保存在控件的 软 Key 模块 中 公 钥上传给密码服务平台保存 密码服务平台本身有一对公私钥对 私钥保存在密码机中 公钥除保存在 数据库中外 还需要分发给每个安全控件保存 密码服务平台还需要与业务主机约定 ZPK 数据库中保存 ZPK 的密文 一般采用先打印密钥信封 再通过人工录入的方式来进行同步 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 6 页 3 3 系统功能清单系统功能清单 软件模块软件模块功能说明功能说明 必须的必须的 功能功能 客户需要客户需要 的功能的功能 自行增加自行增加 的功能的功能 是否新是否新 增功能增功能 提供界面 由用户输入 P10 证书的相关信息和私钥保护口令 然后随机生成一对 RSA 密钥 对 将口令保护的私钥密文文件保存在本地 输出 P10 公钥证书请求文件 保存密码服务平台的公钥 验证并保存密码服务平台签发的安全控件 P10 公钥证书 提供密码输入的软键盘功能 包含字符和数字输入 且数字输入随机乱序 并且用密码服务 平台的公钥加密用户登录密码或 PIN 输出密文 安全控件安全控件 提供界面 由用户输入私钥保护口令 然后用安全控件的私钥对报文进行签名 输出签名 通过密码服务平台的初始化工具调用密码机随机生成 密码服务平台的 RSA 密钥对 密码服务平台的 PVK 通过管理界面下载密码服务平台的公钥文件 通过管理界面上传 CA 的公钥文件 通过管理界面保存 CA 签发的密码服务平台公钥证书 X509 v3 通过 API 验证安全控件的 P10 证书请求文件资料的合法性 保存安全控件的公钥 根据安 全控件的 ID 号保存 然后用密码服务平台的私钥签发安全控件的 P10 公钥证书 输出安全 控件的 P10 公钥证书 通过 API 下载密码服务平台的公钥 密码服务平台密码服务平台 通过 API 将密码服务平台公钥加密的 PIN 转换为业务主机 ZPK 加密的 PIN 密文 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 7 页 通过 API 将密码服务平台公钥加密的用户登录密码密文转换为 PVK 加密的密文 通过 API 将密码服务平台公钥加密的用户登录密码密文和应用系统数据库中保存的 PVK 加 密的登录密码密文送到密码机中进行验证 通过 API 根据安全控件的 ID 号取出相应安全控件的公钥 用公钥验证报文的签名是否正确 说明 每个用户对应唯一一个安全控件 每个安全控件拥有唯一一对 RSA 公私钥对 密码服务平台保存每个用户的安全 控件公钥 因此 安全控件的公钥必须通过用户的 ID 号来存取 调用 API 访问密码服务平台时 凡涉及到安全控件的公钥 都必须在 API 的输入参数中包含安全控件的 ID 号 该 ID 号由应用系统取值 用以唯一标识一个用户 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 8 页 3 4 系统部署图系统部署图 独独立立内内网网 密码服务平台 内内部部网网络络 密码机密码机 IE终端 用户 外外部部网网络络 IE终端 用户 IE终端 用户 网上支付应用的 WebServer 应用服务器 业务主机 管理 人员 管理终端 监控 人员 监控终端 监控 人员 监控终端 图图 3 3 系统部署图系统部署图 密码服务平台一般为双机热备份形式 部署在独立的服务器上 密码机可以部署多台 密码机与密码服务平台之间组成一个单独的内 网 即 只有密码服务平台才能访问密码机 从网络上杜绝其它任何 系统直接访问密码机 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 9 页 密码服务平台一般部署一个管理终端即可 可部署多个监控终端 每个用户对应一个安全控件 使用时现从网上支付应用的 WebServer 下载 3 5 系统组件系统组件 以下列出了密码服务平台 API 和安全控件支持的操作系统 数据库等 由客户根据需要进行选择 操作系统操作系统数据库数据库 项目项目 组件组件 WindowsAixLinuxScoDB2OracleInformixSybase 平台平台 平台平台 API C Java 安全控件安全控件 3 6 密钥体系密钥体系 3 6 1 密钥使用示意图密钥使用示意图 密码服务平台PK密码服务平台VK安全控件VK 安全控件PK 交易报文 签签名名 用户登录密码 验验证证签签名名 加加密密解密 业务主机ZPK 加加密密 PIN 密码服务平台PVK 加加密密 解解密密 加加密密 解解密密 图图 3 4 密钥使用示意图密钥使用示意图 图 3 4 简要说明了各种密钥的使用 其中 红色实线表示安全控件完成的 功能 蓝色虚线表示在密码服务平台完成的功能 注意 PIN 用户登录密码的解密操作是在密码机内部完成的 密码服务平 台实际进行的是 PIN 用户登录密码的转加密 验证功能 因此 PIN 用户登录密 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 10 页 码的明文不会出现在密码设备之外 3 6 2 密钥分布图密钥分布图 数据库密码机 安全控件 密码服务平台 LMK 密码服务平 台VK 密码服务平 台PK 安全控件PK 密码服务平 台PK 安全控件VK 安全控件PK 与主机约定 的ZPK 密码服务平 台的PVK 图图 3 5 密钥分布图密钥分布图 密码服务平台和安全控件各有自身的 RSA 公私钥对 私钥保存在自身的密 钥库中 公钥除保存在自身的密钥库中外 还需要保存在对方的密钥库中 密码服务平台的数据库中需要保存所有控件的公钥 由于控件数量较多 可能一个用户对应一个控件 因此不能使用文件方式存储 必须安装数据库 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 11 页 3 6 3 密钥说明密钥说明 密钥密钥密钥的用途密钥的用途密钥的强度密钥的强度密钥的存储密钥的存储密钥的数量密钥的数量密钥的初始化密钥的初始化密钥的生存周期密钥的生存周期 密码服务密码服务 平台的私平台的私 钥钥 签发安全控件 的 P10 公钥证 书 在密码机内部 解密 PIN 512bits 1024bits 2048bits 明文形式存储在密码服务平 台的密码机中 LMK 加密的密文形式存储在 密码服务平台的数据库中 密码服务密码服务 平台的公平台的公 钥钥 提供给 CA 签 发 X509 公钥证 书 加密 PIN 512bits 1024bits 2048bits 明文形式存储在密码服务平 台的数据库中 明文形式存储在安全控件的 密钥库中 只有一对 RSA 密钥对 在密码服务平台初始化 时通过初始化工具由密 码机随机产生 通过界面下载公钥 并 保存由 CA 签发的公钥 证书 X509 v3 除非有特殊原因 一般投产之后不 会改变 安全控件安全控件 的私钥的私钥 对交易报文进行签名 512bits 1024bits 2048bits 口令加密的密文文件形式存储在安 全控件的软 Key 模块中 安全控件安全控件 的公钥的公钥 提供给密码服 务平台签发 P10 公钥证书 验证交易报文 的签名 512bits 1024bits 2048bits 明文文件形式存储在安全控 件的软 Key 模块中 明文形式存储在密码服务平 台的数据库中 每个安全控 件一对 RSA 密钥对 初始化安全控件时随机 产生 由用户输入的口 令保护存储 P10 公钥证书由密码服 务平台签发 签发时密 码服务平台保存安全控 件的公钥 可以定期更新 具体周期由客户 自行确定 与业务主与业务主 机约定的机约定的 加密 PIN 64bits 128bits LMK 加密的密文形式存储在 密码服务平台的数据库中 只有一把在密码服务平台初始化时与 业务主机约定 可以选择以 需要与业务主机 方确定 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 12 页 ZPK 192bits 密文形式存储在业务主机的 数据库中 下方式 打印密钥信封 然后再 手工录入 人工约定 手工录入 密码服务密码服务 平台的平台的 PVK 加密 验证用户登录 密码 64bits 128bits 192bits LMK 加密的密文形式存储在密码 服务平台的数据库中 只有一把在密码服务平台初始化时通 过初始化工具由密码机随机 产生 除非有特殊原因 一般投产之后不 会改变 LMK私钥或工作密钥在本 地保存时用 LMK 加 密 128bits明文形式存储在密码机中 一把 LMK 保 护一类密钥 在密码机测试或投产前 由 人工通过界面录入 MK 通 过内部算法离散生成 LMK 除非有特殊原因 一般投产之后不 会改变 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 13 页 3 6 4 密码服务平台密码服务平台 RSA 密钥对的初始化流程密钥对的初始化流程 密码服务平台的RSA密钥初始化流程 CA访问终端密码服务平台CA 随机生成RSA密钥对 签发密码服务平台的 X509公钥证书 生成密码服务平台的 X509公钥证书 通过界面上传密码服务 平台的X509公钥证书 通过界面上传CA的公钥 文件 通过界面下载密码服务 平台的公钥文件 CA的公钥文件下载CA的公钥文件 上传密码服务平台的公 钥文件 下载密码服务平台的 X509公钥证书 验证并保存密码服务平 台的X509公钥证书 图图 3 6 密码服务平台密码服务平台 RSA 密钥对初始化流程图密钥对初始化流程图 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 14 页 3 6 5 安全控件和密码服务平台的密钥同步流程安全控件和密码服务平台的密钥同步流程 安全控件和密码服务平台的RSA密钥对同步流程 下载密码服务平台公钥安全控件RSA密钥对的初始化和与密码服务平台之间的同步 密码服务平台应用服务器安全控件 保存安全控件的公钥 生成并输出 P10公钥证书请求文件 调用安全控件的接口存 放公钥证书 提供界面由用户输入 P10证书的相关信息和 私钥保护口令 用密码服务平台的私钥 签发安全控件的P10公 钥证书 返回安全控件的P10公 钥证书 随机生成一对RSA密钥 对 将口令保护的私钥 保存在本地 验证安全控件的P10证 书请求文件资料的合法 性 调用API将安全控件的 ID号和P10公钥证书 请求文件上传给平台 取得该安全控件所属用 户的ID号 验证安全控件的P10公 钥证书后保存 密码服务平台的公钥文 件 通过API下载密码服务 平台的公钥文件 保存密码服务平台的公 钥文件 调用安全控件接口保存 密码服务平台公钥文件 调用安全控件接口生成 安全控件的RSA密钥对 图图 3 7 安全控件和密码服务平台的密钥同步流程图安全控件和密码服务平台的密钥同步流程图 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 15 页 3 7 交易安全处理流程交易安全处理流程 3 7 1 用户登录密码验证流程用户登录密码验证流程 用户登录密码验证流程 第1次输入密码或者修改密码 应用系统保存PVK加密的密码密文验证用户登录密码 密码服务平台应用服务器安全控件 取出密码服务平台的私 钥索引号和PVK密文 调用密码服务平台接口 转换登录密码密文 调用密码机接口将登录 密码密文转换为PVK加 密的登录密码密文 返回响应 响应报文中 包括转换后的登录密码 密文 输出登录密码密文 用密码服务平台的公钥 加密登录密码 将转换后的登录密码密 文存放在数据库中 用户通过软键盘输入登 录密码 调用安全控件接口输入 用户登录密码 返回验证结果 用密码服务平台的公钥 加密登录密码 调用密码机接口将PK加 密的登录密码密文和 PVK加密的密码密文送 到密码机中验证 接收验证结果 取出密码服务平台的私 钥索引号和PVK密文 调用安全控件接口输入 用户登录密码 用户通过软键盘输入登 录密码 输出登录密码密文 从数据库中取出PVK加 密的旧密码密文 调用密码服务平台接口 验证登录密码密文 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 16 页 图图 3 8 用户登录密码验证流程图用户登录密码验证流程图 3 7 2 PIN 的安全处理流程的安全处理流程 PIN的安全处理流程 密码服务平台应用服务器安全控件 用密码服务平台的公钥 加密PIN 调用密码服务平台接口 转换PIN密文 输出PIN密文 将转换后的PIN密文传 到业务主机进行验证 返回响应 响应报文中 包括转换后的PIN密文 取出密码服务平台的私 钥索引号和与业务主机 约定的ZPK密文 调用密码机接口将PK加 密的PIN密文转换为业 务主机ZPK加密的PIN密 文 调用安全控件接口输入 用户PIN 接收转换PIN请求 用户通过软键盘输入 PIN 图图 3 9 PIN 的安全处理流程图的安全处理流程图 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 17 页 3 7 3 交易报文的安全处理流程交易报文的安全处理流程 交易报文的安全处理流程 密码服务平台应用服务器安全控件 用安全控件的私钥对交 易报文进行签名 输出签名 调用密码服务平台接口 验证签名 接收验证签名请求 根据安全控件的ID号取 出安全控件的公钥 调用密码机指令验证交 易报文的签名 返回验证结果接收验证结果 调用安全控件接口对交 易报文签名 用户通过界面输入私钥 保护口令 取得该安全控件所属用 户的ID号 图图 3 10 交易报文的安全处理流程图交易报文的安全处理流程图 UC 2010 04 01 04 0002UC 2010 04 01 04 0002 海航集团网上支付系统应用安全设计方案海航集团网上支付系统应用安全设计方案 v1 0v1 0 广州江南科友科技股份有限公司 第 18 页 4 交付件交付件 类型类型名称名称说明说明 安全控件 密码服务平台 API 链接库Java 的 jar 包软件包软件包 密码服务平台 4 x包括服务器安装包和 WebServer 海航集团网上支付系统应 用安全设计方案 基于用户需求 对系统的总体结构 部署 功能 密钥体系 交易流程等进行详细说明 设计文档设计文档 海航集团网上支付系统应 用安全开发手册 描述开发人员进行开发的具体实现细节 安全控件使用说明说明安全控件的使用方法和注意事