POS前置系统技术方案书.doc

POS前置系统 技术方案书 二零零七年四月 POS前置系统技术方案书 目录 1.前言. 4 1.1概述 . 4 2.系统目标. 6 2.1系统需求 . 6 2.2系统目标 . 7 3.系统结构设计. 8 3.1系统建设原则 . 8 3.2系统网络拓扑图 . 10 3.3体系结构 . 11 3.4交易处理流程 . 12 3.4.1非账务类POS交易流程 . 12 3.4.2账务类POS交易流程 . 12 3.4.3管理类交易流程 . 13 3.5软件体系架构 . 13 4.接入服务系统. 15 5.应用系统. 15 5.1交易核心控制 . 15 5.2应用路由选择 . 16 5.3自动事务冲正 . 16 6.交易监控系统. 17 6.1交易监控 . 17 6.2状态监控 . 17 7.前置机管理系统. 17 7.1操作员管理 . 18 7.2设备管理 . 18 7.3流水管理 . 18 7.4业务管理 . 18 7.5卡种管理 . 18 7.6POS操作员管理 . 19 7.7密钥管理 . 19 7.8交易参数配置 . 19 7.9报表管理 . 19 8.安全系统设计. 21 8.1硬件加密 . 21 8.2密钥体系 . 21 8.2.1硬件加密机密钥结构 . 22 8.2.2加密机密钥分类 . 23 第 2 页 共 27 页 POS前置系统技术方案书 8.3前置系统安全解决方案 . 24 8.3.1通讯数据加密 . 24 8.3.2POS密钥处理 . 25 9.系统出错处理. 27 10技术优势. 27 第 3 页 共 27 页 POS前置系统技术方案书 1.前言 1.1概述 新经济时代的信息技术与金融服务相互渗透，这改变了金融服务的方式和信息技术服务的内涵。 在国内，金融业面临着如何以金融服务的发展，适应经济、技术发展变化带来的新需求。随着中国加入WTO和银行业的蓬勃发展的同时，国内银行业也面临更为紧迫的竞争压力，银行间的竞争已逐渐趋于白热化。如何降低银行的服务成本，丰富客户服务手段，提高客户服务质量已成为银行竞争的关键。特别是如何更好地吸引和服务优质客户，成为银行能否更好发展的重中之重的问题。我们相信：以先进的技术提升金融服务水平和竞争力，将有助于银行金融业把握新的机遇，成功应对未来。 全球经济一体化进程的加快和社会经济的快速发展，使我国银行业各类客户的经济活动方式和地域范围发生了巨大的变化。客户结算半径的扩大，要求银行提供更加高效、便捷、安全、可靠的结算和支付手段。这就需要我国商业银行打破传统的原有分散的地域性条块分割的分散的管理和经营模式，依托快速发展的信息技术进行技术创新，为客户提供实时的金融产品和多样性、个性化的新型服务渠道，建设一个集中统一的数据集中处理环境，实现银行数据集中是大势所趋。总体看来，实现数据集中将会给中国银行业带来许多有利条件，有利于增强中国银行业的核心竞争力。 国内各家商业银行经过多年的努力，业务处理电子化系统已被广泛使用，并在全行范围内实现了电子化。但是，由于各商业银行之间的竞争，特别是在中国加入WTO后金融业的开放，金融、证券、保险的混业经营等的挑战，促使银行服务业向以客户为中心的理念发展。 这种趋势，一方面体现在银行不断推出各种面向客户的新业务，如网上/手机银行，贷记卡，各种中间业务等等；另一方面体现在银行决策向科学化发展，如客户群分析，效益/成本分析，风险防范等。所有这些新需求，都需要有大集中式银行综合业务处理系统强有力的支持。 第 4 页 共 27 页 POS前置系统技术方案书 为此，各家商业银行的业务应用已经实现或正在实现大集中式处理。数据大集中处理促使银行电子化成本下降，有利于新技术的使用和推广，有利于数据的分析和挖掘，有利于经营管理。而在商业银行的大集中式业务处理系统中，需要在自助设备（ATM、POS、多媒体终端等）与区域数据中心主机之间设置有综合前置系统，该系统承担连接银行各种设备和外系统（渠道服务：银联、电信、税务等）的设备及交易数据的转接，它是银行数据交换的枢纽，也是银行安全保障的核心部分，本方案为商业银行综合前置系统提供有效的解决方案。 第 5 页 共 27 页 POS前置系统技术方案书 2.系统目标 2.1系统需求 ? 系统安全性要求高，便于全行执行统一的安全策略，降低安全成本，提高安全水平 ? 软件的模块化易于维护，业务便于拓展； ? 系统能平滑过渡至银联卡业务； ? 便于联接各种型号POS； ? 开放性和扩展性强； ? 避免网络系统建设与应用系统开发简单重复等现象； ? 支持多种通讯方式（有线、无线等）。 系统要充分运用先进的计算机、通讯等技术手段以及现有的计算机设备和网络资源，建立大前置系统，为客户提供丰富、快捷、方便的金融增值业务服务，实现银行的数据集中。 从安全角度上看，系统需满足以下安全需求： ? 数据的保密性 对一些敏感或重要的数据(如客户PIN)利用密码技术进行加密处理,在整个交易过程中PIN不能以明文方式出现，以防止它被未受权者获得。 ? 数据完整性 在金融业务处理过程中必须防止数据被意外或人为的修改。常用的技术是对数据进行某种运行得出校验码(MAC),通过对校验码的验证来签别数据的完整性。 ? 身份认证 任何用户在进入计算机网络或计算机系统之前,必须首先向网络或计算机给出能表明自己身份的鉴别标志,经鉴别核实后方被允许使用计算机。 ? 发送方对发送数据的不可否认性 第 6 页 共 27 页 POS前置系统技术方案书 采用一个数字签名,可以有效的防止发送方被他人冒充,同时接收方可确认报文内容确无篡改,发送方对其所发信息也不可否认。 ? 可审计性 审计对金融的安全管理十分重要，审计是发现犯罪和侦查取证的重要手段之一。 2.2系统目标 基本目标 ? 系统具备消费、转账、代收费、查询余额、结算等基本POS业务功能； ? 系统具有运行中错账自动恢复和/或声明功能。无法自动恢复的错账可以由手工进行恢复； ? 校验端末设备交易数据有效性，减轻主机负担； ? 账务部分依托于原有的业务系统，新增的POS业务功能能在对系统不作重大修改的情况下连接进去； ? 所有端末设备及操作人员的管理及维护交由各级支行的管理员自己完成，当然总行的超级管理员也可以进行管理，管理类的相关数据可以不存入主机，统一由前置机中的库表保存； ? 前置机每次批处理结束后统计出关于POS交易的各类业务报表下传支行的监控管理机中，这样可以便行支行及时了解本地POS的使用状况。但是支行不保存数据，数据统一保存在总行的前置机中，各支行只能管理及查询本地商户及POS的使用状态等等，不能管理及查询其它支行的POS状态； ? 前置机系统在每日所有业务完成后，进行日终结算，汇总各项交易发生额，并生成各种报表； ? 数据备份、恢复和扩展。每天日终结束后，将该日发生的数据备份到磁带或灾备数据库供长期保存和查询。若前置机系统发生故障，可将备份磁带装回系统； ? 系统严格按照结构化设计，全程考虑安全性，注意扩展性，为其他未知的交易保留必要的编码空间； ? 交易数据的路由转发，对不同类别卡的数据按要求向不同的主机系统发送； 第 7 页 共 27 页 POS前置系统技术方案书 ? 系统能够整合商业银行当前的其他系统（如银联卡系统以及其他中间业务）； ? 向用户提供方便的查询手段和监控功能。 其它目标 ? 该系统可以支持终端多种的接入方式，如无线（GPRS等）的接入，保证系统的可扩展性； ? 本系统与原有的后台主机系统相接，本系统的加入要保证不影响原有系统的正常运行； 3.系统结构设计 系统采用数据集中方式。系统的设计采用CLIENT/SERVER结构，主要包括前置机系统、监控系统、管理系统、终端设备等，采用以太网技术、无线GPRS技术、电话网NAC技术进行系统连接。 3.1系统建设原则 （1）稳定性原则 保证各种情况下系统的正常工作， 同时需保障原有系统的安全稳定运行。 （2）规范化原则 严格遵守银行的销售点终端（POS）应用规范。 （3）扩展性原则 系统既要满足现有交易（包括POS，自助终端等）的需求，又能适应将来对其他金融服务的新需求。 （4）科学先进性原则 第 8 页 共 27 页 POS前置系统技术方案书 严格按照系统工程的组建原则，采用科学的方法和先进的技术。 （5）安全性和保密性原则 网络要杜绝任何不安全因素，要有很强的保密措施，确保网络的正常运转。有强有力的自我管理能力，严格控制网络的出入口，防止黑客和计算机病毒的入侵，并防止网络外用户的入侵或对金融数据的非授权访问或更改保存信息和数据，必须采用数据加密、报文认证等多级防范措施。 （6）可靠性原则 除了通信子网提供的可靠性保障外，网络本身要有软硬件的检错纠错手段，保证无差错处理，关键部件以及通讯线路均应有备份，以保证系统可靠运行。系统的模块化设计有效地屏蔽了所有底层系统操作与数据库操作。对应用软件的设计充分考虑了容错性（包括对ISO8583冲正交易的支持及交易消息转存重发），及从业务角度设计的整套交易取消与冲正，从而充分保证了交易数据的完整性。 （7）独立性 前置系统功能的实现必须避免主机应用的开发和调整。将前置处理系统与后台账务处理系统分离，后台账务处理系统与前置系统只是通过标准的接口实现数据的交换与处理。 （8）通讯方式的多样性原则 平台要支持TCP/IP等有线的通讯方式，同时也要支持GPRS、GSM等多种无线通讯接入方式，保证以后业务的扩展； （9）工程实施方面 在保证需求的前提下，力争做到合理控制投资规模；明确需求、友好合作、严格管理、加强技术投入，将项目的风险降到最低，保证项目按期保质的完成。尽量使用已经成熟的技术和产品，把开发工作量缩短到最小；合理分析系统需求和业务量，提出系统配置方案，尽量减少硬件投入。 第 9 页 共 27 页 POS前置系统技术方案书 3.2系统网络拓扑图 系统的网络拓扑图如下： 网络接入模式： ? MODEM接入 从POS终端到网控使用的是拨号接入方式。 ? 以太网接入 从网控到大前置接入方式为以太网接入方式。 ? 无线接入 以GPRS或CDMA方式无线接入 第 10 页 共 27 页 POS前置系统技术方案书 3.3体系结构 POS前置系统由后台子系统、监控子系统和管理子系统构成。后台子系统实现POS渠道接入、交易的控制和主机系统通讯功能。监控子系统主要实现前置交易的实施屏幕监控。管理子系统则实现运行管理、系统参数管理、交易流水查询、日终处理和密钥管理等功能。 系统体系结构图如下： 第 11 页 共 27 页 POS前置系统技术方案书 3.4交易处理流程 POS发起一笔交易，拨号经过通讯网络（PSTN、ETHERNET、GPRS/CDMA等)到当地的网控器，然后通过专线（DDN/X.25）到总行大前置，经过前置机有效性判断，卡种的判断等检查，然后发送到相应的主机系统处理后返回。 3.4.1非账务类POS交易流程 上 送 POS发起交易请求 网控器 下 传 上 送 总行前置主机 路由器； (含监控平台) 下 传 路由器 支行监控管理主机 3.4.2账务类POS交易流程 上 送 POS发起交易请求 网控器 下 传 上 送 总行大前置主机 路由器 (含监控平台) 下 传 上送 下传 账务主机 路由器 支行监控管理主机 第 12 页 共 27 页 POS前置系统技术方案书 3.4.3管理类交易流程 支行监控管理主机 路由器 总行前置主机 (含监控平台) 3.5软件体系架构 银行主机系统 外卡中心 前 系 端 统交易处理系统 接通 讯调度处理 入 服务 进安全平台 程 数据库 监控管理 前置机系统主要有包含以下几个子系统： ? 接入服务系统 ? 交易控制系统 第 13 页 共 27 页 POS前置系统技术方案书 ? 交易监控系统 ? 前置管理系统 ? 前置安全系统 核心系统为交易控制系统，该系统主要处理交易，负责连接其他系统。 POS前置系统的主要子系统关系图如下： 系统设计主要有以下几个特点： ? 双进程实现输入、输出处理并发 ? 自定义消息队列技术的广泛应用 ? 交易路由机制 ? 交易的超时处理 POS接入系统实现串口通讯接入和以太网通讯接入，交易服务系统处理的交易服务分为：管理类交易、金融类交易和下载密钥。 第 14 页 共 27 页 POS前置系统技术方案书 4.接入服务系统 接入服务系统作为银行内部应用系统以及银行外系统的接入门户，主要完成各可控网络系统间与大前置机系统的接入服务。 接入服务系统应具备如下功能： （1）、与网控器的接口 该系统能接收网控器发送过来的数据，并能识别该协议的数据。 （2）、与外卡中心(银联中心)的接口 该系统能接收外卡交易数据包,并负责转发到外卡中心或者银联中心,正确的处理交易。 （3）、与业务主机的接口 该系统能将属于本行业务主机的数据包，转发到主机并正确接收返回完成交易。 （4）、无线通讯的接口 该系统能同时接收无线（如GPRS）POS发送的数据包，并正确完成无线通讯的交易。 （5）、与其他系统的接口 该系统预留与代缴机构的接口，可以完成和其他系统（如代缴，IC卡充值等）进行通讯的接口。 5.应用系统 5.1交易核心控制 该模块主要负责处理网控上来的数据，经过一定的处理后转发到相应的系统主机，交易流程如下： 第 15 页 共 27 页 POS前置系统技术方案书 5.2应用路由选择 应用路由在系统中是根据交易种类的不同而不同的,可以支持多种交易路由选择。 ? 交易控制模块可以非常灵活地进行交易路由的选择，以进行目标端口的定位，控制交易的流程； ? 每类交易报文的传送都有一定的路径选择，并且每个代理单位系统路由选择的依据可能多种多样、各不相同，如有的是以账号或卡号的某些位来判断路由，有的是根据上送的主机名来判断路由等等。通过路由的定义，能准确、清晰地描述交易流程，在进行路由选择时，报文中的所有信息都能加入到路由条件中去，使路由功能非常强大。 5.3自动事务冲正 ? 在每类交易过程中，都有可能由于各种意外情况而使交易失败的情况，必须最大限度的保证金融机构的利益不受损失，保证不出现或少出现账不平、单边账的情况； ? 自动冲正管理模块解决系统事务完整性和一致性问题； ? 充分支持冲正报文、智能报文的存储转发处理； 第 16 页 共 27 页 POS前置系统技术方案书 ? 在进行交易冲正时，自动冲正模块与交易核心控制模块配合，进行冲正包的组包和解包，根据返回的冲正响应包判断冲正是否成功； ? 冲正时基本原则就是倒冲的原则，自动冲正模块完全按倒冲原则进行冲正；（倒冲原则：后发生事务先进行冲正）。 6.交易监控系统 6.1交易监控 对前置机发生的每一笔交易情况，都实时地显示在监控屏幕上，便于系统管理员及时了解系统运行的动态信息。 如果是自助终端，还可以增加报备管理，主要是显示自助终端设备状况，如：缺纸，网络通讯故障，打印机错误等故障，实时的监控等等。 此外，对于监控交易系统，可以下发到各个支行，但是各个支行只能监控到当地的POS或者自助终端的交易状况，而不能监控到其它支行的设备交易情况。在总行监控机则可以看到所有设备的交易状况。 6.2状态监控 监控服务器的实时监控屏能实时显示POS的状态和故障信息和当前的来电号码，故障状态包括缺纸、密码键盘连接错误等。 7.前置机管理系统 管理系统功能包括：操作员管理、设备管理、流水管理、业务管理、卡种管理、运行管理、POS操作员管理、密钥管理、交易参数配置和报表管理。 第 17 页 共 27 页 POS前置系统技术方案书 7.1操作员管理 前置机的管理员分为操作员和超级管理员。操作员可以增加设备，查询流水等等操作，但是不能对其他管理员进行操作。超级管理员可以增加其他操作员，设定操作员的权限等。 7.2设备管理 操作员可以对设备的相关参数（如商户号，终端号，负责人，终端所属地市等等）进行管理，可以增加，删除，查询设备等操作。 7.3流水管理 可以查询交易的流水，并且可以根据交易的信息（如交易流水号，日期等）查询到具体的交易信息。同时也可以针对特别的流水进行查询，如查询异常流水，查询交易的失败率等等异常的流水，并提供报表。 7.4业务管理 业务管理可以针对银行业务部门的不同需求，对各种交易进行统计，打印出相关的日报表，月报表，年报表等相关的业务报表。 7.5卡种管理 卡种管理可以设定卡种，根据设定的卡种(本行卡/外卡)区分出不同的主机处理的交易。 第 18 页 共 27 页 POS前置系统技术方案书 7.6POS操作员管理 可以对POS的操作员进行管理，可以增加，删除，查询各个POS的操作员。 7.7密钥管理 为了保证交易的安全性和完整性，每一个POS都有各自的工作密钥（PINKEY/MACKEY），PINKEY用于加密个人密码，MACKEY用来加密数据包，形成MAC（信息校验码）。 所有POS共用一个主密钥（MASTERKEY），由专人管理，负责传送工作密钥时的加密。 以上所有密钥在数据库中存储均使用密文方式。 7.8交易参数配置 客户信息表配置、应用路由控制表配置和交易代码表配置 7.9报表管理 报表管理实现的报表种类包括： ? POS业务轧账单 ? POS业务总计表 ? 本地POS业务对账结果清单 ? 本地POS业务对账不符明细清单 ? 本地POS业务冲正交易明细清单 ? 本地POS业务交易结算单 ? 本地POS终端清单 ? 本地特约商户清单 ? 本地服务费率清单 第 19 页 共 27 页 POS前置系统技术方案书 ? POS交易汇总表-按各商户汇总 ? POS业务对账不符明细列表 ? POS业务冲正交易明细清单 ? POS交易业务量统计月报表 ? 业务量统计月报表 ? 总行管理终端类 ? 按各商户生成-商户POS交易明细表 第 20 页 共 27 页 POS前置系统技术方案书 8.安全系统设计 8.1硬件加密 目前所使用的加密方式有两种，即软件加密和硬件加密。使用软件加密成本低廉但是存在以下不足： 软件的运行要占用主机资源，并且软件的处理速度较慢；软件运作时很多重要的资料(如用来做密码运算的密钥，或顾客的PIN)都会在某时间清晰的出现于计算机的记忆或磁盘上，而对计算机数据安全有一定研究的不法分子便有机会把这些资料读取、修改或删除，破坏系统的安全性。 软件不能提供一种有效的机制保护密钥的存储安全。而密钥一旦被人盗取，则客户密码PIN也就无安全可言。 而国际银行卡组织（VISA、万事达）以及我国的银联组织均作出了在金融系统中必须使用硬件加密设备的规定。并且根据我国有关法规，不能使用进口涉密产品。 8.2密钥体系 (注：这里可以采用软件加密机制代替硬件加密机，从而降低先期投入成本) 硬件加密机要有一套完善的密钥管理方案，这包括密钥的产生、分配、贮存、转换、分工和分层。硬件加密机采用国际标准(ISO8732、ANSIX9.17)，对密钥进行三层密钥管理模式，令成员行和交换中心处理密钥的工作更为安全和方便。 以分工来说，不同的信息需使用不同的密钥加密，例如交换中心与银行互联的区域PIN密钥(ZPK，又称PIK)便与生成信息认证的Zone Authentication Key (ZAK又称MAK)不同，这样的好处是当其中一密钥的安全出现问题时，并不会影响其他信息的安全性。而密钥的分 第 21 页 共 27 页 POS前置系统技术方案书 层则有利于密钥的更新和传送，同时保证了密钥的安全性。 8.2.1硬件加密机密钥结构 下图为硬件加密机的三层密钥结构： ? 密钥的层次结构 第一层，MK为加密机主密钥, 有三个成分组成，它是采用双倍标准的DES密钥（长达112位），它是存放在HSM机内的，真正实现三重数据加密技术。它的作用是将所有在本地存放的其它密钥和加密数据进行加密。由于本地存放的其它密钥和加密数据，都是在MK加密之下。因此，MK是最重要的密钥。 第二层，BMK通常称为密钥加密密钥或密钥交换密钥（Key-encrypting key或Key Exchange Key）。它的作用是加密在通讯线路上需要传递的工作密钥。从而实现工作密钥的自动分配。在本地或共享网络中。不同的两个通讯网点使用不同的密钥加密密钥，从而实现密钥的分工管理，它在本地存放时，处于本地M的加密之下或直接保存在硬件加密机中。 第三层，通常称为工作密钥或数据加密密钥。包括PIK、MAK、TMK（包括TPK、TAK）等密钥，它的作用是加密各种不同的数据。从而实现数据的保密，信息的认证，以及数字签名的功能，这些数据密钥在本地存放时，处于BMK的加密之下或直接保存在硬件加密机中。 第 22 页 共 27 页 POS前置系统技术方案书 8.2.2加密机密钥分类 下面介绍一下加密机中最主要的几种密钥： 1、加密机主密钥(MK) 加密机主密钥（Master Key - MK）是存入在HSM机内的由三个成分合成的一对最上层密钥。在HSM机器以外的地方不会以明文形式存放，它采用双倍标准DES密钥（长达112位）实现三重数据加密。 HSM投入运行时，必须先产生和装载MK。由于DES算法依靠某一个密钥进行加密，同时所有密钥和数据都经由MK进行加密，所以MK必须通过一种安全的方法生成和维护。 MK的产生需要银行三位主要的管理人员参与产生，在SJL06主机加密模块中采用MK（加密机主密钥）对BMK进行加密保护； MK由三个成分（32位十六进制数）组成，由加密机使用单位通过行政手段分派专人管理和维护，一般由23人采用"背对背"形式进行输入； MK以密文形式存储在加密机黑匣子中，且永远不以明文形式出现。 2、银行主密钥(BMK) 银行主密钥（BMK），是加密密钥用的密钥，适用于共享网络中，它可以在共享网络中两个(或多个)通讯网点之间以部分形式进行人工分配且保持双方的对称性