中国电信融合支付平台技术要求总册（试行）.doc

《中国电信融合支付平台技术要求总册（试行）.doc》由会员分享，可在线阅读，更多相关《中国电信融合支付平台技术要求总册（试行）.doc（36页珍藏版）》请在三一办公上搜索。

1、中国电信融合支付平台技术要求总册（试行）中国电信集团公司2010年6月前言本规范根据中国电信翼支付产品（基础版）业务规范制定，描述中国电信融合支付平台的总体情况。本规范适用于中国电信融合支付平台的指导开发工作。本规范解释权属于中国电信股份有限公司。本规范起草单位：中国电信股份有限公司移动支付项目组。本规范主要起草人：陈洪，李庆艳，董志军，王之伟，袁辉，韩晓勇。目录1.总则11.1适用范围11.2引用标准11.3名词解释12.业务描述32.1平台定位32.2目标客户群32.3应用场景42.4支付对象范围42.5翼支付账户设计52.5.1翼支付账户52.5.2账户编码设计63.总体架构设计83.1

2、总体架构图83.2全国平台功能结构93.3省平台功能结构103.4社区平台功能结构113.5周边系统113.5.1全国平台周边系统113.5.2省平台周边系统134.网管要求134.1网络管理方式134.2网络管理的主要功能134.2.1性能管理144.2.2故障管理144.2.3安全管理154.2.4配置管理155.平台性能要求165.1账户数165.2日均交易量165.3端到端交易处理时延Ta（远程支付）165.4平台交易处理时延Tb（远程支付）175.5平台吞吐量185.6平台内交易成功率185.7平台并发处理能力185.8批处理时长185.9客服系统性能要求185.10其他196.系统

3、数据管理要求196.1业务数据管理196.1.1数据内容196.1.2保管介质要求196.1.3保管期限要求建议196.2安全数据管理206.2.1数据内容206.2.2保管介质要求206.2.3管理期限要求建议206.3交易清算数据管理206.3.1数据内容206.3.2保管介质要求216.3.3保管期限要求建议216.4账务数据管理216.4.1数据内容216.4.2保管介质要求216.4.3保管期限要求建议216.5日志数据管理226.5.1数据内容226.5.2保管介质要求226.5.3保管期限要求建议227.平台安全要求227.1安全体系模型227.1.1安全威胁227.1.2安全模

4、型237.2应用层安全要求247.2.1密码体系247.2.2访问控制247.2.3数据存储安全257.2.4通信安全257.2.5可用性257.2.6安全审计267.2.7防攻击/防病毒267.3系统层安全要求267.3.1访问控制267.3.2可用性277.3.3安全审计277.3.4防攻击/防病毒277.4网络层安全要求277.4.1访问控制277.4.2可用性287.4.3安全审计287.4.4防攻击/防病毒287.5物理层安全要求297.5.1环境安全297.5.2媒体安全297.5.3设备安全298.系统备份与恢复298.1备份范围298.2备份目标与性能要求298.3存储介质与备

5、份方式308.4备份策略318.5其他要求与建议311. 总则1.1 适用范围本技术要求适用于向中国电信提供融合支付平台的设备提供商和应用开发商，为中国电信融合支付平台应用开发、工程设计和运行维护等方面的技术依据。1.2 引用标准下列文件通过本文的参考而成为本技术要求的条款。凡是注日期的参考文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文，凡是不注日期的参考文件，其最新版本适用于本文。【1】中国电信翼支付产品（基础版）业务规范（试行）【2】中国电信翼支付业务账户管理办法（试行）1.3 名词解释术语术语描述电话语音支付语音支付业务是基于中国电信固网及移动网络、用户拨打电话通过语

6、音方式，使用电信自有账户、银行卡账户或电信通信账户，利用电信支付平台及合作金融机构清算系统，向用户提供公用事业费、电视购物等的自助支付服务的电信增值业务。话费代收接受其它单位（包括虚拟运营商）的委托，在电信计费系统中使用电信通信账户对其向客户提供的业务使用费向客户收费的过程。远程支付指用户通过WEB、SMS、WAP、IVR等远程接入系统完成支付的操作。现场支付指用户利用移动终端、非接触IC卡或银行卡，通过POS机现场刷卡完成支付的操作，现场支付分为离线支付和在线支付方式。翼支付产品基础版的现场支付使用电信消费在线支付账户（翼支付账户）通过在线支付方式实现。翼支付账户中国电信向用户提供的电信消费

7、账户中的在线支付账户翼支付卡已经写入电信翼支付账户的RFID UIM卡翼支付卡号为用户翼支付卡分配的翼支付卡号，存放在翼支付卡内，用以标识翼支付应用。翼支付账号翼支付账号是用户用来登录及使用翼支付账户的号码，翼支付账号编码同电信通行证编码。在线支付账户在线支付账户是翼支付账户的核心子账户，用户可以使用在线支付账户进行远程支付或现场支付。离线支付账户离线支付账户是与存在在用户移动终端上的电子钱包对应的支付账户，通过电子钱包，可以实现小额离线脱机支付。积分账户用户积分的汇聚账户。代金券/优惠券可以直接抵扣现金或者体现折扣使用的一种代金券/优惠券，与普通纸代金券/优惠券不同，电子优惠券以网站、网页为

8、载体，通过互联网传播发送，以电子形式在移动终端上进行存储、浏览、使用。电信通信账户中国电信客户用来支付电信产品使用费用的的账户，包括预付费用户预存账户和后付费出账账户。用于客户支付电信产品使用费用的基本缴费单位。银行卡账户指各银行发行的各类银行借记卡和贷记卡。第三方行业账户第三方行业或单位发行在规定范围内使用的账户。第三方支付账户主要指第三方支付服务提供商提供的用于电子商务支付的账户，通常存放于第三方支付平台上，如支付宝、财富通、paypal、快钱等。清分是指根据资金往来交易的记录，按照一定的规则进行汇总分类计算出对账文件，并进行轧差处理的过程。结算根据清分的结果，进行资金划拨的过程。账号用户

9、在开立账户后，会产生一个号码，这个号码和账户一一对应。在对该账户进行业务处理的时候，账号是唯一的标识。电信通行证中国电信通行证（CT 通行证）是面向中国电信用户提供的互联网应用（包括移动互联网应用）的统一账号。使用中国电信通行证（CT 通行证）可以在中国电信自营互联网站点或客户端以及与中国电信合作并受信的CP/SP互联网站点或客户端上实现统一账号，统一认证并可实现单点登录（SSO）服务2. 业务描述2.1 平台定位中国电信融合支付平台以移动支付为切入点，整合现网支付平台/能力，实现“统一支付品牌、统一银行接入、自有账户管理、集约清分清算、专业团队运营”的总体目标，形成全业务支付的专业运营能力。

10、通过融合支付平台建设实现接入网的通信功能与支付功能的分离，把支付能力从目前的各种业务系统中独立出来，形成相对独立的能力引擎和管理核心，建立与中国电信运营服务体系相适应的集中维护、统一管理的基于翼支付账户的多账户多媒介的立体化电信融合支付运营服务体系。中国电信融合支付平台不仅实现电信自有支付业务需求，并提供电子商务支付、手机移动支付等业务，具备多种支付手段和渠道能力。远程支付能够支持实现互联网（WEB）、WAP、短信、语音支付等应用；现场支付能够实现在POS终端上的支付功能。中国电信融合支付平台是与具体业务分离的能力平台，集团、各省可以通过结合各种支付方式、各种关联账户以及业务应用形成不同的支付

11、产品。2.2 目标客户群个人用户：已经是中国电信客户且希望能够通过多种方式进行支付的客户。中国电信客户的定义为已经与中国电信存在产品订购或租用关系的用户，即以产权关系界定的、在同一登记证件名下的中国电信产品的所有者。中国电信客户的具体定义可参见中国电信2008348 号文客户战略分群补充细则。集团用户（批量）：与中国电信签订翼支付业务使用协议后，集团客户以批量的形式注册成为天翼手机以及翼支付业务的集团用户。除开户流程之外，集团用户具备与个人用户相同的功能，受相同的管理。商户：希望成为中国电信翼支付联盟商户，商户提供的商品可供用户通过翼支付业务进行交易。中国电信翼支付的商户必须在工商注册，是具有

12、本行业经营权的独立法人。2.3 应用场景1） 现场POS机刷卡应用场景：用户在电信联盟商家或合作商户消费后，营业员在POS上输入消费金额，用户持插入翼支付卡的手机终端在POS机上刷卡，即可从存放在融合支付平台上的用户翼支付账户上扣除消费金额，POS机刷卡完毕后打印消费凭证。2） 远程网上支付应用场景：用户在电信网上商城以及可通过电信翼支付账户进行支付的合作商户的服务网站购买商品或服务，输入翼支付账号和支付密码、验证码，支付商品或服务费用。3） 远程电话支付应用场景：（待定）4） 远程短信支付应用场景：（待定）。2.4 支付对象范围翼支付产品适用于但不限于以下对象的支付：1） 远程支付对象：包括

13、各类电信网上商城（如号百商城、互联星空等）实体及虚拟商品和服务的销售；号百商旅支付（机票订单支付等）、SP业务支付缴费和充值（如Q币等）、公用事业（水、电、气、煤）缴费、游戏卡购买、票务代理收费等增值业务及第三方代理业务缴费支付；预留与电信通信账户的接口能力用于提供电信通信话费的缴付。2） 现场支付对象：各类联盟特约商家的商品和服务的收款付费。2.5 翼支付账户设计2.5.1 翼支付账户2.5.1.1 翼支付账户定义翼支付账户是中国电信向用户提供的电信消费账户的在线支付账户，翼支付账户存放电信平台上，是用户消费账户的核心子账户，用户向翼支付账户充值后，可以使用翼支付账户在中国电信联盟商户进行远

14、程支付或现场支付。翼支付账户的详细定义参见中国电信翼支付业务账户管理办法（试行）第二章账户设置（ 见中国电信市场201013号文）。翼支付账户的资金来源包括：银行卡、第三方行业卡（现阶段暂不开放）、电信充值付费卡（现阶段暂不开放）、以及市场营销推广时赠送给用户的消费金额。2.5.1.2 翼支付账户密码 查询密码翼支付账户的查询密码分为网上查询密码和电话查询密码。1）网上查询密码：用于网上登录，查询账户信息时使用。同用户电信通行证密码，长度615位字母或数字及特殊字符(-, 空格,” ,$ 除外)，字母区分大小写。网上查询密码由全国UDB平台统一管理。2）语音查询密码：用于语音查询账户信息的密码

15、。密码为6位数字。语音查询密码由支付平台管理。初始语音查询密码由支付平台随机产生，并通过开户成功SMS告知用户。 支付密码用户支付密码是用户在支付时提供的账户鉴权交易密码。密码为6位数字。初始支付密码由支付平台随机产生，并通过开户成功SMS告知用户。2.5.2 账户编码设计2.5.2.1 翼支付账号编码消费账号是用于对用户消费账户使用和管理的标识，消费账号告知用户，消费账号和用户开通的各类消费子账户相关联。消费账号编码同中国电信通行证的编码规则：1）对中国电信手机用户，用户支付账号为用户手机号；2）对中国电信固定电话用户，用户支付账号为“区号+固定电话号码”；3）对中国电信宽带用户，如果绑定了

16、固定电话，则用户支付账号为“区号+固定电话号码”，如果“区号+固定电话号码小于11位”，前补零，如果未绑定固定电话，则用户支付账号为“区号+0+7位数字”。2.5.2.2 翼支付卡号编码（写入UIM卡中）翼支付卡号编码是指为用户生成的写入UIM卡中的翼支付在线应用的客户卡号，编码规则如下：ABCDEFGHIJKLMNOP预留客户类别预留卡级别预留地区码顺序位校验位（1）预留码A、B，目前采用国际长途区号，统一为“86”； （2）客户类别标识：未来可能会区分客户级别，暂时预留，目前取默认值“0”； （3）卡级别码：D 位用于区别不同的卡级别，目前不区分卡级别，此位预留，目前取默认值“0”；（4）

17、地区码E-G 位用于区别发卡省份，规则与长途地区区号一致，若不足3 位，E 位用0 补足；（5）顺序编码H-O 位以省为单位规划，顺序产生；（6）校验位：最后一位P位为校验位；校验算法采用Luhn方程计算得出。2.5.2.3 翼支付账户ID翼支付账户ID是系统内部为用户生成的账户标识，不向用户宣传。翼支付账号在系统中和翼支付账户ID对应，如果用户开通多个消费子账户，如在线支付账户、积分账户、代金券账户，翼支付账号则对应系统中的多个翼支付账户ID。翼支付账户ID具体编码规则如下：ABCDEFGHIJKLMNOP预留客户类别标识账户标识地区码顺序号相关说明：1）预留码A、B 两位与国际长途区号一致

18、，统一为“86”；2）客户类别标识：C 位标识客户类别，补换卡时按照当前客户使用的产品更新。“1”=政企客户“2”=公众客户“6”=其他客户客户使用多种产品时，按政企、公众、其他的优先顺序确定。2）账户标识主要标识账户的类型，规则如下：“0”支付资金主账户“1”=在线支付账户“2”=离线支付账户“3”=代金券账户“4”=积分账户3）地区码E-G 位用于区别账户归属地区，规则与长途地区区号一致，不足3 位，E 位用0 补足。4）账户顺序号H-P 位以地区为单位规划，顺序产生。2.5.2.4 三者之间的关系图2-1 翼支付账号、翼支付卡号、翼支付账户ID关系图翼支付卡号存放在用户申请的翼支付卡中，

19、不向用户宣传，对用户透明。翼支付账号是用户用来登录及使用翼支付账户的号码，该账号生成时告知用户。翼支付卡号与翼支付账号一一对应。在账户平台，系统根据翼支付卡号或输入的翼支付账号及应用判断用户使用的翼支付账户ID，在对于的账户中扣款消费。3. 总体架构设计3.1 总体架构图图3-1 中国电信融合支付平台总体架构图3.2 全国平台功能结构图3-2 中国电信融合支付全国平台功能示意图管理模块：包含客户管理、商户管理、POS管理、支付应用管理及支付的风险管理等功能；支付账户管理模块：所有翼支付账户相关信息的管理和维护；清分清算模块：包含清分、结算、对账、差错控制等功能；详见中国电信融合支付平台技术要求

20、清分清算分册支付处理模块：包含支付规则定义、支付鉴权处理支付请求处理、支付路由管理、支付冲正处理、充值处理及支付异常处理等功能；系统管理模块：包含统计分析、日志管理、权限管理、平台配置管理、业务监控、版本管理、报表管理等功能；密钥管理模块：详见中国电信融合支付平台技术要求密钥分册；门户：根据用户可以分为客户门户、商户门户、客服门户与管理员门户；前置模块：包括所有全国平台的外部接口。POSP相关接口详见中国电信融合支付平台技术要求POSP分册，其他接口详见中国电信融合支付平台技术要求全国平台接口分册。功能模块的说明详见中国电信融合支付平台技术要求全国平台功能分册。3.3 省平台功能结构图3-3

21、中国电信融合支付省平台功能示意图系统管理模块：包含日志管理、业务监控、平台配置管理、权限管理、版本管理等功能；支付处理模块：包含了支付路由管理、支付事务处理、支付安全管理等功能；密钥管理模块：包含了密钥传输、密钥生成等功能；详见中国电信融合支付平台技术要求密钥分册；前置模块：包括所有省平台的外部接口。 POSP相关接口详见中国电信融合支付平台技术要求POSP分册，其他接口详见中国电信融合支付平台技术要求省平台接口分册。其他功能模块的说明详见中国电信融合支付平台技术要求省平台功能分册。3.4 社区平台功能结构详见中国电信融合支付平台技术要求-社区平台（翼机通系统）分册。3.5 周边系统3.5.1

22、 全国平台周边系统3.5.1.1 UDB平台用户通过营业厅开通支付功能及建立支付账户，必须同时开通或激活通行证账户。激活操作由UDB平台完成。3.5.1.2 积分平台此处提到的积分平台是存放管理积分账户的平台，不包含积分商城等应用部分。当用户采用积分账户支付时，平台将用户输入的积分账户信息发送给积分平台，由积分平台对积分账户进行认证和扣款，然后将处理结果返回给支付平台。3.5.1.3 NSAG平台NSAG平台是支撑支付平台的一种能力引擎，负责短信/彩信方式的信息发送。在支付体系中的作用主要有：支付结果通知、商品信息发送、二维码应用、认证信息发送、密码下发等。3.5.1.4 OTA平台OTA平台

23、是卡资源操作能力平台。主要功能有：空中圈存、应用下载、应用存储、安全域的操作（创建、删除等）、安全域相关信息存储、应用个人化操作、卡片应用状态管理、卡密钥（安全域密钥、应用密钥）更新操作等。3.5.1.5 银行/第三方支付平台银行及第三方支付平台是中国电信通道型支付应用的重要资金来源。在支付流程中，实现银行/第三方支付账户的认证和扣款。若支持银行/第三方支付账户与自有账户的绑定，支付系统也需要将相关信息发送给银行/第三方支付平台。根据不同的支付方式，需要提供网页跳转、后台等多种支付接口。3.5.1.6 卡应用管理平台卡应用管理平台负责制卡信息管理、卡空间管理、卡应用管理（下载、锁定/解锁、删除

24、、个人化、）、卡菜单管理、AID管理等。3.5.1.7 全国级业务平台或商户系统提供全国级的支付应用，包括电信自有的业务系统以及外部的商户应用。3.5.1.8 业务监控系统负责对融合支付全国平台和省平台的设备、网络、数据进行监控管理。3.5.2 省平台周边系统3.5.2.1 统一充值平台负责充值付费卡的认证鉴权。3.5.2.2 CRM系统CRM系统直接与融合支付省平台对接，IT系统不对支付账户进行管理。CRM主要完成以下功能：开通受理：在营业厅前台、互联网完成支付账户开户、销户、挂失、补/换卡等动作，再将相关信息同步至支付平台。状态同步：CRM将电信设备状态（开通，停机，暂停，挂失等）同步给支

25、付平台。3.5.2.3 省级业务平台或商户系统提供全国级的支付应用，包括电信自有的业务系统以及外部的商户应用。4. 网管要求4.1 网络管理方式融合支付平台必须提供相应的网管功能，按照一级网管中心的标准建设，必须要纳入到IP网络管理之中，制定必要的管理制度。网管系统需要实现对网元级设备的管理，还需要实现应用级的网管。融合支付平台应支持网管接口要求。4.2 网络管理的主要功能对融合支付平台的性能、故障、安全、配置进行管理，以保证整个平台的稳定性、健壮性、高可用性、高效性、安全性，主要包括性能管理、故障管理、安全管理、配置管理等几个方面。平台应提供网管功能模块，对外提供网管接口。4.2.1 性能管

26、理性能管理是向网络运营者提供网络设备的性能特征，以供网络趋势分析、网络扩建、网络控制时参考。l 监视网络性能，定期收集网络中所有网源设备的性能参数统计数据，最好通过SNMP方式提供各自的MIB值；l 监视服务器的运行状况，如响应速度、用户连接并发度、用户访问分布等；l 检查其他相关服务的运行状况，如数据库的响应性能；l 在性能分析的基础上，对制约网络性能的相关参数如路由表和性能门限等参数进行调整，提高网络性能。4.2.2 故障管理故障管理负责监视网络设备的故障告警，进行故障诊断及定位分析。平台提供对各个网络设备及网络的状态跟踪，在某个网络设备出现故障或异常时，能够及时醒目的通知管理人，迅速的恢

27、复故障。l 实时监视网络运行状态和设备故障，以图形和文本方式显示网络告警；l 所有网络设备都必须提供状态通知功能，定期将各自的各项状态指标通知相关的管理人员；l 所有网络设备都必须要有报警功能，设置必要的报警条件，另外报警手段也不能过于单一；l 对产生的故障告警及事件信息进行记录，以便用户对历史告警进行查询。定期进行告警日志的维护及删除；l 当一个物理设备发生故障时，可能产生多个失效告警，网管系统应能够进行故障定位，确定与实际失效有关的告警。故障可定位到设备的端口级；l 为便于故障定位分析或链路性能分析，各种服务器应接收网管系统发来的连通性测试要求，并返回测试结果。4.2.3 安全管理平台通过

28、必要的手段在各个层次上进行安全防范，使得用户能放心使用，商户能安心提供应用和服务，平台管理员能全面的对平台进行控制。l 网络级安全，通过防火墙实施一定的安全策略；l 系统级安全，关闭平台不必要的服务，减少可能引起安全问题的原由；l 应用级安全，必要的防病毒软件；l 采取一定的认证和授权机制，对无权操作人员进行控制，规范管理人员的行为；l 网络链路传送的信息加密/解密；l 配置及修改各管理用户的管理范围；l 为增加网络的安全系数，对于关键的服务器应冗余备份；l 需要有用户级权限管理，管理整个平台的用户级别；l 需要能够对访问平台的客户进行IP限制；l 需要提供几类不同的备份/恢复策略，如系统级、

29、应用级和数据级；l 需要详细地记录用户的动作，用户在和平台信息交互的全过程都是被监控的；4.2.4 配置管理配置管理是指通过网管接口接入所能实现的网络资源和配置管理功能。配置管理的功能主要包括：l 提供网元级的配置管理，包括对服务器、数据库服务器等网元设备进行配置。支持简单的SNMP方式配置信息查询；l 创建并维护配置数据库，其中包含网络设备、软件、操作级别、负责维护设备的人员等信息；l 用户可逐级进入而进行拓扑信息查询；l 对网络互连信息进行配置和查询；l 网络业务配置，网络节点各种数据的初始配置与修改，网络各种业务政策的配置与管理；l 当服务器的某些配置发生改变时应向网管系统报告。5. 平

30、台性能要求本章的性能要求给出了全国平台及省平台相关性能指标的定义及一些必须的性能指标数值。随着业务的发展，支付平台应能够平滑升级和扩容，不影响业务的开展。本文仅给出端到端系统的性能要求，单设备的详细性能要求在相应的设备规范中定义。5.1 账户数账户数指标是指全国平台支持的已开立账户数量，包括主账户和子账户。5.2 日均交易量该指标是指支付业务平台平均每日需处理的交易总数，包括交易额、交易次数、交易类型等。5.3 端到端交易处理时延Ta（远程支付）该指标是指在网络及设备正常工作的情况下，用户发起交易指令到交易完成的时延，该指标不包括网络连接（如PDP激活）建立时间及用户操作时间（如输入支付密码）

31、。网络融合支付平台用户第三方系统T1T4TT2T3T5T0如上图所示，端到端交易处理时延Ta=T0+T1+T2+T3+T4+T5，其中：T0：网络传输时延。T1：网络网元处理响应时间，如ISMG，SMC等。T2：网络到融合支付平台传输时延。是毫秒级，可以忽略不计。T3：平台内部处理响应时间。T4：支付平台到第三方系统的传输时延，如BOSS，银行；是毫秒级，可以忽略不计。T5：第三方系统内的处理响应时间。对于基于SMS/STK方式： 平均单笔交易响应时间不超过20秒；单笔最大响应时间不超过120秒；WAP方式WEB方式IVRPOS： 平均单笔交易响应时间不超过10秒；单笔最大响应时间不超过120

32、秒。5.4 平台交易处理时延Tb（远程支付）该指标是指在网络及设备正常工作的情况下，单笔交易从支付平台接收到交易请求至返回响应需要的时间，该指标不包括网络连接（如PDP激活）建立时间及用户操作时间（如输入支付密码）。网络融合支付平台用户第三方系统T1T4TT2T3T5T0l 如果涉及第三方系统，则TbT3T4T5平均单笔交易处理响应时间不超过6秒；单笔最大处理响应时间不超过60秒；l 如果不涉及第三方系统，则TbT3平均单笔交易处理响应时间不超过4秒；单笔最大处理响应时间不超过30秒；5.5 平台吞吐量该指标是指在单位时间内融合支付平台成功处理的交易总数。5.6 平台内交易成功率该指标是指在给

33、定的交易处理时延内处理成功的交易数占交易请求总量的百分比。交易成功率不低于99.9%。5.7 平台并发处理能力该指标是指在某个时刻，融合支付平台支持的TCP连接数。要求同时处理的TCP连接并发数不少于500个。5.8 批处理时长该指标是指融合支付平台完成相关批量处理业务，如清分清算、报表、对账、结算、备份所需要的最长时间。平台批处理时长不长于小时。5.9 客服系统性能要求1、 系统可用性：99.999%；2、 MTBF（平均故障间隔时间）：5000小时；3、 MTTR（平均故障处理时间）：30分钟；4、 停机时间：3分钟/年；5、 客服质量要求：l 7*24小时服务；l 客户服务响应速度：在4

34、8小时内解决客户投诉并回复，直至客户满意；l 30秒客户服务电话接通率不低于95%，应答时限=4秒；l 排队等待时间=20s。5.10 其他l 平台支持至少100个外部网元的同时连接；l 724小时服务；l 平台扩容：平台处理能力基本与硬件的扩容成线形增长。6. 系统数据管理要求对于全国平台及省平台保存的业务数据、安全数据、账务数据，交易数据和日志数据记录都应使用专门的管理工具进行数据加密、备份、归档、核对和恢复等管理维护，便于数据查询、修改、更新与扩充，同时保证数据的独立性、可靠性、安全性与完整性。6.1 业务数据管理6.1.1 数据内容l 纸质交易凭证：客户协议、支付交易凭证等；l 电子交

35、易凭证：电子客户协议、网络交易记录等。6.1.2 保管介质要求l 使用专用协议格式协议，由用户填写协议并签字保存；l 交易凭证必须统一规范要求，信息要求完整、准确。6.1.3 保管期限要求建议l 交易类凭证保管期限，建议为12个月；l 协议类凭证保管6个月；l 到期的凭证应该安全处理或者备份。6.2 安全数据管理6.2.1 数据内容l 密钥口令：主密钥，分散密钥，密钥加密密钥，应用工作密钥、系统口令、管理员口令；l 用户信息：用户信息、姓名、身份证号码、手机号码、住宅号码、家庭住址、账户号码、交易信息。6.2.2 保管介质要求l 主密钥应该用IC卡保存，或者书面多人异地保存，保存在加密机中，整

36、个流程必须以密文传输；l 分散密钥数据应该保存在专门的加密设备设备中，不可读出明文；l 系统操作员分级管理，并制定相应的管理制度；l 关键系统口令更新后应该建立纸质备份，异地专人保管；l 用户敏感信息、账户信息不得泄露，经过授权的人员可以查看。6.2.3 管理期限要求建议l 关键系统口令变更需要进行登记管理；l 主密钥只有必要才进行更换；l 系统用户口令每俩个月修改一次，20次不得重复；l 操作员口令6个月修改一次。6.3 交易清算数据管理6.3.1 数据内容l 各个平台的交易流水记录；l 各个平台的管理类交易记录；l 参与清算的机构、商户、银行账户信息数据；l 与银行交易的记录明细。6.3.

37、2 保管介质要求l 交易流水记录保存在机器数据库表中，硬盘保存；l 历史数据保存在数据库历史流水表中，硬盘保存；l 商户、机构、终端数据保存在单独的数据表内，硬盘保存；l 备份的数据保存在备份硬盘、磁带、光盘中做冗余备份。6.3.3 保管期限要求建议l 交易数据联机保存：0.5年；l 交易数据脱机保存：重要交易备份数据永久保管。6.4 账务数据管理6.4.1 数据内容l 用户账户数据；l 商户账务数据；l 账务操作记录；l 银行相关账务交易信息；l 各机构间的账务数据；l 与BOSS系统相关账务处理数据。6.4.2 保管介质要求l 平台硬盘保存备份数据；l 备份的账务数据保存在备份硬盘、磁带、

38、光盘中做冗余备份；l 每天对账务数据进行备份处理。6.4.3 保管期限要求建议l 账务数据保留10年；l 关键数据永久保管。6.5 日志数据管理6.5.1 数据内容l 平台运行日志；l 交易日志；l 通讯日志；l 异常日志。6.5.2 保管介质要求l 平台硬盘保存备份日志数据数据；l 备份的日志数据保存在备份硬盘、磁带、光盘中做冗余备份。6.5.3 保管期限要求建议l 平台保存3个月的日志记录信息。7. 平台安全要求7.1 安全体系模型为了便于对融合支付平台的安全要求进行描述，将整个融合支付平台划分为四个层次，即：应用层、系统层、网络层和物理层（后面三层可统称为基础设施层）。7.1.1 安全威

39、胁融合支付平台中的每个层次都面临着不同的安全威胁，每种安全威胁都需要采取相应的安全措施进行防范。融合支付平台四个层次面临的安全威胁如下表所示：系统层次面临威胁类型应用层应用层的业务流程和应用系统面临的安全威胁主要为如下几类：l 病毒/木马/蠕虫/后门/间谍软件l 拒绝服务l 权限和身份的滥用/误用/盗用/伪造/欺骗等l 信息泄漏l 篡改用户身份信息/篡改业务数据信息l 抵赖l 应用软件故障等等系统层系统层包括各类服务器、终端等，该层所面临的威胁主要有：l 系统软件故障l 病毒/木马/蠕虫/后门/间谍软件l 拒绝服务l 权限和身份的滥用/误用/盗用/伪造/欺骗等l 信息泄露/篡改等等网络层网络层

40、包括各类网络协议、网络服务等，该层所面临的威胁有：l 蠕虫/拒绝服务/其它网络攻击l 权限和身份的滥用/误用/盗用/伪造/欺骗等l 信息泄露/篡改等等物理层物理层包括环境、媒体和设备等，面临的威胁有：l 断电l 传输/网络/主机设备故障l 存储媒体故障等等7.1.2 安全模型为了应对以上各类安全威胁，平台采用如下安全体系模型：安全体系系统安全层网络安全层物理安全层应用安全层基 础 设 施各种威胁/攻击访问控制通信安全可用性安全审计防攻击/病毒密码体系环境安全、媒体安全、设备安全数据存储安全该模型要求每个层次都需要提供相应的安全功能，包括密码体系、访问控制、存储安全、通信安全、可用性、安全审计、

41、防攻击/防病毒等，说明如下：n 密码体系：平台的加解密、完整性保证措施及相关的密钥管理机制；n 访问控制：对支付业务中的各种应用、系统、网络进行访问控制；n 数据存储安全：包括密钥存储、数据存储安全（加密）以及数据完整性等内容；n 通信安全：通信过程中的安全，包括加密、不可否认性、完整性等；n 可用性：各种保证应用、系统、网络的可用性的措施；n 安全审计：包括应用层、系统层、网络层的安全审计功能；n 防攻击/防病毒：对各类攻击和病毒的防范措施。7.2 应用层安全要求7.2.1 密码体系融合支付平台涉及多类业务、用户、网元的交互，为了保证所有这些交互过程中的信息的机密性、完整性和不可否认性等，需

42、要设计一套完整的密码体系，该体系至少应该考虑如下要求：l 密码体制：需要根据业务需求选择对称、非对称密码体制，选择加解密/完整性算法，密钥长度等。对于对称密码体制，需要为不同的业务、不同的目的提供不同的密钥；l 密钥管理：为了保证密钥的安全性，需要充分保证密钥的生成、传输、更新和销毁整个密钥生命周期过程的安全性。同时，密钥管理系统为管理部门提供操作上的权责管理、管理上的人员相互制约的机制。确保系统的安全性。7.2.2 访问控制对于应用业务流程，必然涉及多个不同的对象之间的相互访问。为确保访问的安全性、正确性和有效性，需要采用如下访问控制措施：l 角色管理与权限划分：对访问业务/应用的所有角色进

43、行划分和管理，并按照角色分配相应的权限。其原则是每个角色只能访问其业务相关的信息，而无关信息则禁止访问；l 身份认证：根据应用和业务的安全级别分别采用相应级别的身份认证方式，如高级别的用户（系统管理员用户）则可以采用基于双因素的身份认证方式，如USB Key+口令的方式。7.2.3 数据存储安全在融合支付平台中，所有应用级数据存储都需要保证其安全性。数据存储安全性主要包括：l 机密性：关键敏感数据需要采用加密存储；l 完整性：所有应用级数据存储，对于需要保证数据完整性的数据需要采取进行完整性措施，防止非法的篡改；l 访问控制：对各类应用数据需要采取访问控制措施，避免非法用户的访问。7.2.4

44、通信安全应用层通信安全指应用之间通过网络进行通信过程中采取的安全措施，以实现如下安全目标：l 通信数据加密；l 通信数据完整性；l 不可否认性。在融合支付平台的安全方案设计中需要充分考虑到业务流程中所涉及到的安全威胁，并根据业务需要有针对性的采取加密、完整性保护、以及数字签名等措施。7.2.5 可用性可用性是指，平台能够可靠及时地为授权用户提供服务。因此，需要采取必要的可用性措施提供保障。应用可用性包括：l 数据备份与恢复：对于各个平台的数据库以及重要的文件系统数据均需进行定时备份，从而最大限度的保证数据的可用性。备份方式可以采用增量和全备份相结合的方式进行；l 应用热备与监控：对于关键应用，需要对应用系统采取热备措施，同时，对应用进程需要进行状态监控，发现异常及时采取处理措施；l 业务流程异常处理：对于业务流程中的各类异常应采取适当的处理机制。7.2.6 安全审计应用层的安全审计至少包括对如下操作的审计：l 对业务流程中的关键操作的审计：包括业务流程中的各种关键环节的操作，需要做必要的记录，从而为后续的统计、异常分析等操作提供依据；l 系统管理员、应用管理员的关键操作的审计：包括管理员的登陆、退出操作，和管理员对用户的增加、修改、删除等操作；l 各类应用异常事件的审计：包括平台调用异常