中國電信融合支付平臺技術(shù)要求-省平臺功能分冊（試行）.doc

中國電信融合支付平臺技術(shù)要求中國電信融合支付平臺技術(shù)要求 省平臺功能分冊省平臺功能分冊 （試行）（試行） 中國中國電電信集信集團(tuán)團(tuán)公司公司 2010 年年 6 月月 前言前言 本規(guī)范根據(jù)中國電信翼支付產(chǎn)品（基礎(chǔ)版）業(yè)務(wù)規(guī)范制定，描述中國電 信融合支付省平臺的功能。 本規(guī)范適用于中國電信融合支付省平臺的開發(fā)。 本規(guī)范解釋權(quán)屬于中國電信股份有限公司。 本規(guī)范起草單位：中國電信股份有限公司移動支付項目組。 本規(guī)范主要起草人：陳洪，李慶艷，董志軍，王之偉，袁輝，韓曉勇。 中國電信融合支付平臺技術(shù)要求省平臺功能分冊 i 目錄目錄 1概述 .1 2引用標(biāo)準(zhǔn) .1 3名詞解釋 .1 4總體功能架構(gòu) .2 4.1支付處理模塊2 4.1.1支付路由管理3 4.1.2支付事務(wù)處理3 4.1.3支付安全功能4 4.2系統(tǒng)管理功能5 4.2.1日志管理5 4.2.2權(quán)限管理6 4.2.3配置管理7 4.2.4業(yè)務(wù)監(jiān)控7 4.2.5版本管理8 4.3密鑰管理模塊8 4.3.1密鑰生成8 4.3.2密鑰接收8 4.3.3密鑰傳輸8 4.3.4密鑰銷毀9 4.3.5密鑰加載9 4.3.6密鑰恢復(fù).10 4.3.7psam 卡二次發(fā)卡 10 4.3.8用戶卡發(fā)卡支持.10 4.4前置模塊.10 4.4.1設(shè)計原則.10 4.4.2全國平臺接入模塊.11 4.4.3省業(yè)務(wù)平臺接入模塊.11 4.4.4統(tǒng)一充值平臺接入模塊.11 4.4.5crm 接入模塊 .12 4.4.6ivr 接入模塊 .12 4.4.7pos 接入模塊 .12 4.4.8業(yè)務(wù)監(jiān)控系統(tǒng)接入模塊.12 中國電信融合支付平臺技術(shù)要求省平臺功能分冊 第 1 頁 共 12 頁 1 概述概述 本文從功能層面規(guī)范了中國電信融合支付省平臺需要具備的模塊與功能。 2 引用標(biāo)準(zhǔn)引用標(biāo)準(zhǔn) 下列文件通過本文的參考而成為本技術(shù)要求的條款。凡是注日期的參考文 件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本文， 凡是不注日期的參考文件，其最新版本適用于本文。 【1】 中國電信翼支付產(chǎn)品（基礎(chǔ)版）業(yè)務(wù)規(guī)范（試行） 【2】 中國電信融合支付平臺技術(shù)要求總冊 【3】 中國電信融合支付平臺技術(shù)要求全國平臺功能分冊 3 名詞解釋名詞解釋 術(shù)語術(shù)語術(shù)語描述術(shù)語描述 翼支付賬戶中國電信向用戶提供的電信消費(fèi)賬戶中的在線支付賬戶 翼支付卡已經(jīng)寫入電信翼支付賬戶的 rfid uim 卡 翼支付卡號為用戶翼支付卡分配的翼支付卡號，存放在翼支付卡內(nèi)，用以標(biāo)識翼支 付應(yīng)用。 翼支付賬號翼支付賬號是用戶用來登錄及使用翼支付賬戶的號碼，翼支付賬號編碼 同電信通行證編碼。 posp 終端（接收端機(jī)具）接入平臺，分為全國、省兩級。 中國電信融合支付平臺技術(shù)要求省平臺功能分冊 第 2 頁 共 12 頁 4 總體功能架構(gòu)總體功能架構(gòu) 省級融合支付平臺架構(gòu)如下圖所示： 省平臺 系統(tǒng)管理模塊 前置模塊 省業(yè)務(wù)平臺接入 全國平臺接入 支付處理模塊 pos接入 支付事務(wù)處理 支付安全管理 支付路由管理 日志管理 權(quán)限管理 配置管理 版本管理 業(yè)務(wù)監(jiān)控 ivr接入 crm接入統(tǒng)一充值平臺接入 密鑰管理模塊 業(yè)務(wù)監(jiān)控系統(tǒng)接入 圖 4-1 省平臺功能架構(gòu) 省平臺主要負(fù)責(zé)對省級業(yè)務(wù)的交易數(shù)據(jù)進(jìn)行傳輸轉(zhuǎn)發(fā)，整體功能結(jié)構(gòu)可 以由四大部分組成，包括支付處理模塊、系統(tǒng)管理模塊、前置模塊及密鑰管 理模塊。 支付處理模塊：實現(xiàn)省級支付類業(yè)務(wù)數(shù)據(jù)的處理； 系統(tǒng)管理模塊：對省平臺的全局信息進(jìn)行管理維護(hù)控制，是省平臺的 管理控制中心。對整體系統(tǒng)的安全、穩(wěn)定、有效地運(yùn)行進(jìn)行監(jiān)督、控 制和維護(hù)； 前置模塊：主要用于省平臺和周邊應(yīng)用系統(tǒng)之間的數(shù)據(jù)傳輸、交換與 共享。實現(xiàn)外部系統(tǒng)的接入處理功能，完成與全國平臺的網(wǎng)絡(luò)連接和 轉(zhuǎn)發(fā)。完成與相關(guān)業(yè)務(wù)平臺的銜接； 密鑰管理模塊：負(fù)責(zé)本省密鑰相關(guān)數(shù)據(jù)的管理。 4.1 支付處理模塊支付處理模塊 支付處理模塊負(fù)責(zé)支付平臺交易數(shù)據(jù)的轉(zhuǎn)發(fā)處理。 中國電信融合支付平臺技術(shù)要求省平臺功能分冊 第 3 頁 共 12 頁 4.1.1 支付路由管理支付路由管理 支付路由管理根據(jù)各類支付業(yè)務(wù)的控制邏輯，將不同支付渠道上送的交 易送至不同的支付賬戶完成扣款；根據(jù)不同的支付渠道、支付賬戶和支付業(yè) 務(wù)之間的關(guān)系進(jìn)行路由管理，包括： 支付渠道路由； 資金源網(wǎng)關(guān)路由； 業(yè)務(wù)網(wǎng)關(guān)路由。 4.1.2 支付事務(wù)處理支付事務(wù)處理 4.1.2.1排隊管理排隊管理 將各類支付請求按照一定算法放入排隊隊列。要求系統(tǒng)能根據(jù)支付請求 的優(yōu)先級別（主要根據(jù)商戶級別和支付用戶級別，定的權(quán)重，計算支付的優(yōu) 先級別） ，進(jìn)行排隊管理。同時，要求一個請求排隊等待的時間不能超過 5 秒 鐘。 4.1.2.2交易通知交易通知 省平臺提供交易通知功能，在用戶交易完成后，系統(tǒng)自動通知用戶該筆 交易的信息。交易通知數(shù)據(jù)基于支付平臺數(shù)據(jù)。 4.1.2.3異常處理異常處理 對于支付過程中發(fā)生的異常情況進(jìn)行處理，不同的異常情況配置不同的 處理規(guī)則。 中國電信融合支付平臺技術(shù)要求省平臺功能分冊 第 4 頁 共 12 頁 4.1.3 支付安全功能支付安全功能 4.1.3.1網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全是系統(tǒng)安全的基礎(chǔ)，要從安全服務(wù)、機(jī)制與技術(shù)這三方面來實 現(xiàn)網(wǎng)絡(luò)安全防護(hù)。安全服務(wù)包括：服務(wù)控制服務(wù)、數(shù)據(jù)機(jī)密性服務(wù)、數(shù)據(jù)完 整性服務(wù)、對象認(rèn)證服務(wù)、防抵賴服務(wù)；安全機(jī)制包括：訪問控制機(jī)制、加 密機(jī)制、認(rèn)證交換機(jī)制、數(shù)字簽名機(jī)制、防業(yè)務(wù)流分析機(jī)制、路由控制機(jī)制； 安全技術(shù)包括：防火墻技術(shù)、加密技術(shù)、鑒別技術(shù)、數(shù)字簽名技術(shù)、審計監(jiān) 控技術(shù)、病毒防治技術(shù)。 具體要求如下： 應(yīng)提供對網(wǎng)絡(luò)設(shè)備和主機(jī)的監(jiān)控手段； 應(yīng)嚴(yán)格控制系統(tǒng)的訪問權(quán)限； 應(yīng)具備抵御惡意攻擊和防病毒的能力； 入侵檢測：要求入侵檢測系統(tǒng)對違背安全事件記錄并報警； 網(wǎng)絡(luò)登錄應(yīng)受到監(jiān)控，對反復(fù)試驗密碼的行為系統(tǒng)應(yīng)能告警； 應(yīng)該能夠進(jìn)行實時入侵檢測，同時對安全事件記錄并報警； 在監(jiān)察到系統(tǒng)被惡意攻擊時，應(yīng)該能夠設(shè)置禁止某 ip 訪問本系統(tǒng)。 4.1.3.2數(shù)據(jù)安全數(shù)據(jù)安全 應(yīng)建立安全的數(shù)據(jù)存儲機(jī)制，操作系統(tǒng)盤和數(shù)據(jù)盤采用容錯存儲方式， 保證數(shù)據(jù)的完整性； 數(shù)據(jù)備份：所有數(shù)據(jù)都要有可靠備份，并可聯(lián)機(jī)恢復(fù)，保證被恢復(fù)的 數(shù)據(jù)的完整性和一致性； 對于一些敏感的重要數(shù)據(jù)（如：客戶密碼、操作員密碼等）必須加密 存儲，保證敏感數(shù)據(jù)不外泄； 密鑰存儲：關(guān)鍵服務(wù)器證書的私鑰存儲在有自毀保護(hù)措施的安全設(shè)備 中； 中國電信融合支付平臺技術(shù)要求省平臺功能分冊 第 5 頁 共 12 頁 數(shù)據(jù)傳輸：對數(shù)據(jù)傳輸應(yīng)有較驗，能準(zhǔn)確發(fā)現(xiàn)數(shù)據(jù)被更改與否，并對 被更改的情況進(jìn)行報警和自動糾錯。特別是對潛在風(fēng)險較大的交易要 從數(shù)據(jù)的防竊取、防篡改、防冒充、防否認(rèn)、防重發(fā)保證應(yīng)用數(shù)據(jù)傳 輸?shù)陌踩裕ㄈ绱箢~支付）； 數(shù)據(jù)備份恢復(fù)要求： 1)對關(guān)鍵數(shù)據(jù)能自動定時備份，如客戶登錄帳號信息； 2)對關(guān)鍵配置文件定時備份，如 web 應(yīng)用部署文件； 3)對大容量數(shù)據(jù)（如工單數(shù)據(jù)、系統(tǒng)日志），可設(shè)定超過多少容量 數(shù)自動按照相應(yīng)的條件進(jìn)行數(shù)據(jù)備份；且保證備份后，仍能查詢 備份數(shù)據(jù)； 4)所有備份數(shù)據(jù)可以進(jìn)行聯(lián)機(jī)恢復(fù)，并保證被恢復(fù)的完整性與一致 性。 4.1.3.3系統(tǒng)告警機(jī)制系統(tǒng)告警機(jī)制 省平臺需要提供各類業(yè)務(wù)告警功能，包括： 操作異常； 交易異常。 4.2 系統(tǒng)管理功能系統(tǒng)管理功能 4.2.1 日志管理日志管理 管理員在系統(tǒng)管理門戶上的所有更新操作需記錄在操作日志中，管理員 可以查詢一定時間范圍內(nèi)的操作日志，以檢查和監(jiān)督操作員的操作。操作日 志應(yīng)能根據(jù)類型區(qū)分。 操作日志必須記錄的內(nèi)容包括：操作員編號、操作員名稱、操作資源類 型代碼、操作描述、操作結(jié)果、ip 地址、mac 地址（可選） 、操作時間。 省平臺將具有完善的日志管理功能，將各種日志進(jìn)行分類，日志管理必 須包括以下能力： 中國電信融合支付平臺技術(shù)要求省平臺功能分冊 第 6 頁 共 12 頁 具有對服務(wù)器啟動或關(guān)閉操作記錄的功能； 具有對重要數(shù)據(jù)操作的日志記錄功能； 具有對用戶登錄和退出的日志記錄功能； 具有對所有異常的日志記錄功能； 具有日志查詢和打印功能； 具有日志備份和恢復(fù)功能； 具有日志統(tǒng)計和分析功能； 日志數(shù)據(jù)至少保存某個固定時間（如在線可查詢的日志保持 3 個 月，過期日志必須保存到存儲上以便日后調(diào)閱） 。 從管理對象的角度，日志應(yīng)包括： 商戶交易日志； 用戶交易日志； 操作員操作日志； 商戶操作日志。 4.2.2 權(quán)限管理權(quán)限管理 權(quán)限管理的對象包括：權(quán)限、角色和用戶授權(quán)的管理。 權(quán)限管理方式：權(quán)限的控制基于角色進(jìn)行。對于用戶的授權(quán)則通過對用 戶分配角色實現(xiàn)。 權(quán)限的定義包括兩種：功能訪問權(quán)限和數(shù)據(jù)訪問權(quán)限。權(quán)限由平臺可部 署或配置的單元模塊進(jìn)行定義。權(quán)限的集合構(gòu)成角色。角色包括角色名稱、 角色說明。角色的實際權(quán)限由分配的功能確定。 權(quán)限具有地域?qū)傩?、專業(yè)屬性和操作方式（增加、刪除、修改和查詢） 屬性。 權(quán)限管理包括以下功能： 增加權(quán)限：增加權(quán)限，輸入用戶相關(guān)信息，系統(tǒng)中將產(chǎn)生相應(yīng)的新記錄。 權(quán)限名稱不允許重名，如輸入的權(quán)限名稱已存在，應(yīng)提示輸入無效并不做 修改； 中國電信融合支付平臺技術(shù)要求省平臺功能分冊 第 7 頁 共 12 頁 刪除權(quán)限：若權(quán)限仍被權(quán)限組使用，不允許刪除，給出使用該權(quán)限的權(quán)限 組列表； 修改權(quán)限：系統(tǒng)允許對權(quán)限的屬性信息進(jìn)行修改操作； 增加權(quán)限組：增加權(quán)限組，系統(tǒng)中將產(chǎn)生相應(yīng)的新記錄； 刪除權(quán)限組：若權(quán)限組中包含有功能對象，不允許刪除； 修改權(quán)限組：系統(tǒng)允許對權(quán)限組的屬性信息進(jìn)行修改操作。 角色管理包括以下功能: 增加角色：增加角色時，系統(tǒng)中將增加相應(yīng)的記錄； 刪除角色：如果該角色中包含用戶，不允許刪除； 修改角色：系統(tǒng)提供修改角色中用戶及權(quán)限組的功能。 4.2.3 配置管理配置管理 省平臺所需要的系統(tǒng)參數(shù)以及相關(guān)系統(tǒng)配置信息在配置管理中進(jìn)行管理。 系統(tǒng)參數(shù)可以靈活配置和管理，并無需重啟系統(tǒng)就能實時生效。 系統(tǒng)參數(shù)管理：對系統(tǒng)的基本運(yùn)行參數(shù)進(jìn)行管理； 區(qū)域管理：對區(qū)域信息進(jìn)行管理，包括增、改、刪、查詢等功能； 支付機(jī)構(gòu)管理：對支付機(jī)構(gòu)進(jìn)行管理，如銀行等支付機(jī)構(gòu)； 支付方式管理：支付方式管理對系統(tǒng)支持的支付方式進(jìn)行增加、刪除、 更改、查詢等操作。 4.2.4 業(yè)務(wù)監(jiān)控業(yè)務(wù)監(jiān)控 作為支付平臺，需要對日常運(yùn)營的特殊信息進(jìn)行監(jiān)控，如異常交易，關(guān) 鍵操作行為進(jìn)行監(jiān)控。 系統(tǒng)監(jiān)控包括以下幾部分功能: 監(jiān)控參數(shù)配置：包括各個閥值的配置； 告警信息通知：可以設(shè)定級別，平臺按照設(shè)定的參數(shù)自動通過郵件、 短信、語音等方式通知相應(yīng)的管理人員列表； 告警信息查詢：查詢系統(tǒng)的告警信息，可以按照告警時間、告警源、 告警級別等涉及的關(guān)鍵信息； 中國電信融合支付平臺技術(shù)要求省平臺功能分冊 第 8 頁 共 12 頁 告警信息統(tǒng)計分析：對系統(tǒng)產(chǎn)生的告警進(jìn)行統(tǒng)計分析，如分析哪類告 警發(fā)生最頻繁。 4.2.5 版本管理版本管理 版本管理模塊負(fù)責(zé)控制省平臺軟件系統(tǒng)本身的升級更新，包括各個配套 子系統(tǒng)的版本，以便確保整個系統(tǒng)的正常運(yùn)行，避免版本混亂，引起系統(tǒng)處 理差錯。 系統(tǒng)將建立統(tǒng)一的軟件版本庫，并通過版本管理模塊，對軟件版本控制 和比較，系統(tǒng)一旦發(fā)布新版本，可自動部署發(fā)布新版本模塊。 4.3 密鑰管理模塊密鑰管理模塊 詳見中國電信融合支付平臺技術(shù)要求密鑰分冊 。 4.3.1 密鑰生成密鑰生成 采用安全、可恢復(fù)機(jī)制生成相關(guān)密鑰，密鑰長度為 16 字節(jié)，密鑰之間不 存在互相推導(dǎo)和演繹關(guān)系，密鑰明文不得物理存儲于密鑰管理系統(tǒng)，以安全 方式存儲于密鑰管理母卡或加密機(jī)中。 4.3.2 密鑰接收密鑰接收 采用安全方式接收全國密鑰管理中心或第三方密鑰管理系統(tǒng)傳輸?shù)拿荑€， 在密鑰傳輸過程中，不得出現(xiàn)密鑰明文。 4.3.3 密鑰傳輸密鑰傳輸 采用安全方式進(jìn)行密鑰傳輸，密鑰傳輸過程中，不出現(xiàn)密鑰明文，通過 密鑰管理母卡或加密機(jī)方式存儲進(jìn)行傳輸?shù)拿荑€。 省密鑰管理系統(tǒng)進(jìn)行的密鑰傳輸包括如下幾種情況： 向用戶卡個人化系統(tǒng)傳輸密鑰 中國電信融合支付平臺技術(shù)要求省平臺功能分冊 第 9 頁 共 12 頁 向省集中應(yīng)用平臺傳輸密鑰 向可信任的第三方密鑰管理系統(tǒng)傳輸密鑰 省密鑰管理系統(tǒng)向用戶卡個人化系統(tǒng)傳遞如下類型的密鑰： 用戶卡主控密鑰 用戶卡維護(hù)密鑰 全國應(yīng)用-用戶卡應(yīng)用主控密鑰 全國應(yīng)用-用戶卡應(yīng)用維護(hù)密鑰 全國應(yīng)用-消費(fèi)密鑰 全國應(yīng)用-圈存密鑰 全國應(yīng)用-圈提密鑰 全國應(yīng)用-tac 密鑰 全國應(yīng)用-pin 解鎖密鑰 全國應(yīng)用-pin 重裝密鑰 全國應(yīng)用-透支更新密鑰 ota mac 密鑰 ota 數(shù)據(jù)加密密鑰 省應(yīng)用相關(guān)密鑰 4.3.4 密鑰銷毀密鑰銷毀 提供安全的、不可回退的方式銷毀存儲在密鑰存儲介質(zhì)上的密鑰。 4.3.5 密鑰加載密鑰加載 采用安全方式將中心管理的密鑰安全加載到省密鑰管理中心硬件加密機(jī) 中，密鑰加載過程中不得出現(xiàn)密鑰明文。 4.3.6 密鑰恢復(fù)密鑰恢復(fù) 提供安全方式，利用碼單等密鑰備份手段進(jìn)行密鑰恢復(fù)。 中國電信融合支付平臺技術(shù)要求省平臺功能分冊 第 10 頁 共 12 頁 4.3.7 psam 卡二次發(fā)卡卡二次發(fā)卡 根據(jù)操作員選擇的密鑰類型，將密鑰中心管理的密鑰安全寫入 psam 卡， 基于多版本、多索引密鑰管理原則，psam 卡上應(yīng)寫入某個索引的所有版本的 密鑰。 4.3.8 用戶卡發(fā)卡支持用戶卡發(fā)卡支持 密鑰管理系統(tǒng)可以采用如下兩種方式提供用戶卡發(fā)卡功能： 通過母卡方式，將欲寫入用戶卡的密鑰安全加載到發(fā)卡母卡以及發(fā)卡 母卡保護(hù)卡中，提供相應(yīng)的操作手冊或發(fā)卡服務(wù)，供發(fā)卡機(jī)構(gòu)進(jìn)行用 戶卡發(fā)卡； 通過加密機(jī)方式，將欲寫入用戶卡的密鑰安全加載到發(fā)卡加密機(jī)中， 通過加密機(jī)提供的發(fā)卡服務(wù)，供發(fā)卡機(jī)構(gòu)進(jìn)行用戶卡發(fā)卡。 不論采用那種方式，密鑰管理系統(tǒng)均需提供用戶卡廠商傳輸密鑰的安全 加載功能。 4.4 前置模塊前置模塊 4.4.1 設(shè)計原則設(shè)計原則 融合支付省平臺是一個獨(dú)立的數(shù)據(jù)處理系統(tǒng)，通過支付事務(wù)關(guān)系與所有 周邊業(yè)務(wù)系統(tǒng)建立數(shù)據(jù)聯(lián)系，并在此基礎(chǔ)上形成了與電信業(yè)務(wù)、非電信業(yè)務(wù) 之間的數(shù)據(jù)通信與信息交流。 省平臺接口的設(shè)計，必須參照以下的設(shè)計原則，并使外部系統(tǒng)的接口工 作量最?。?可擴(kuò)展性：接口的設(shè)計應(yīng)滿足未來業(yè)務(wù)拓展的需要，易于與未來 業(yè)務(wù)系統(tǒng)兼容； 靈活性：接口的設(shè)計應(yīng)滿足系統(tǒng)本身升級的需要，具有一定的再 設(shè)計空間； 中國電信融合支付平臺技術(shù)要求省平臺功能分冊 第 11 頁 共 12 頁 獨(dú)立性：接口的設(shè)計應(yīng)保證融合支付平臺與其他應(yīng)用系統(tǒng)相對獨(dú) 立，避免不同類型應(yīng)用接入對融合支付平臺的影響，并減少各接 口廠商的配合難度； 安全性：接口的設(shè)計應(yīng)保證要交換的數(shù)據(jù)的安全，不被丟失； 完整和準(zhǔn)確性：接口的設(shè)計應(yīng)保證要交換的數(shù)據(jù)的完整、統(tǒng)一、 準(zhǔn)確，要有相應(yīng)的檢錯、糾錯措施； 一致性：接口的設(shè)計應(yīng)保證交換數(shù)據(jù)的含義一致，無歧義性。 4.4.2 全國平臺接入模塊全國平臺接入模塊 對于需要全國統(tǒng)一處理的業(yè)務(wù)，由省平臺通過全國平臺接入系統(tǒng)發(fā)送支 付服務(wù)處理請求。 負(fù)責(zé)對業(yè)務(wù)進(jìn)行分類，根據(jù)業(yè)務(wù)路由配置對每個交易進(jìn)行路由控制，報 文送到支付處理系統(tǒng)或者賬戶系統(tǒng)處理，業(yè)務(wù)處理后，交易結(jié)果按照原路返 回到省平臺。 4.4.