中国电信融合支付平台技术要求省平台功能分册（试行）.doc

《中国电信融合支付平台技术要求省平台功能分册（试行）.doc》由会员分享，可在线阅读，更多相关《中国电信融合支付平台技术要求省平台功能分册（试行）.doc（15页珍藏版）》请在三一办公上搜索。

1、中国电信融合支付平台技术要求省平台功能分册（试行）中国电信集团公司2010年6月前言本规范根据中国电信翼支付产品（基础版）业务规范制定，描述中国电信融合支付省平台的功能。本规范适用于中国电信融合支付省平台的开发。本规范解释权属于中国电信股份有限公司。本规范起草单位：中国电信股份有限公司移动支付项目组。本规范主要起草人：陈洪，李庆艳，董志军，王之伟，袁辉，韩晓勇。目录1概述12引用标准13名词解释14总体功能架构24.1支付处理模块24.1.1支付路由管理34.1.2支付事务处理34.1.3支付安全功能44.2系统管理功能54.2.1日志管理54.2.2权限管理64.2.3配置管理74.2.4业

2、务监控74.2.5版本管理84.3密钥管理模块84.3.1密钥生成84.3.2密钥接收84.3.3密钥传输84.3.4密钥销毁94.3.5密钥加载94.3.6密钥恢复104.3.7PSAM卡二次发卡104.3.8用户卡发卡支持104.4前置模块104.4.1设计原则104.4.2全国平台接入模块114.4.3省业务平台接入模块114.4.4统一充值平台接入模块114.4.5CRM接入模块124.4.6IVR接入模块124.4.7POS接入模块124.4.8业务监控系统接入模块121 概述本文从功能层面规范了中国电信融合支付省平台需要具备的模块与功能。2 引用标准下列文件通过本文的参考而成为本技

3、术要求的条款。凡是注日期的参考文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本文，凡是不注日期的参考文件，其最新版本适用于本文。【1】中国电信翼支付产品（基础版）业务规范（试行）【2】中国电信融合支付平台技术要求总册【3】中国电信融合支付平台技术要求全国平台功能分册3 名词解释术语术语描述翼支付账户中国电信向用户提供的电信消费账户中的在线支付账户翼支付卡已经写入电信翼支付账户的RFID UIM卡翼支付卡号为用户翼支付卡分配的翼支付卡号，存放在翼支付卡内，用以标识翼支付应用。翼支付账号翼支付账号是用户用来登录及使用翼支付账户的号码，翼支付账号编码同电信通行证编码。POSP终端（接

4、收端机具）接入平台，分为全国、省两级。4 总体功能架构省级融合支付平台架构如下图所示：图4-1 省平台功能架构省平台主要负责对省级业务的交易数据进行传输转发，整体功能结构可以由四大部分组成，包括支付处理模块、系统管理模块、前置模块及密钥管理模块。 支付处理模块：实现省级支付类业务数据的处理； 系统管理模块：对省平台的全局信息进行管理维护控制，是省平台的管理控制中心。对整体系统的安全、稳定、有效地运行进行监督、控制和维护； 前置模块：主要用于省平台和周边应用系统之间的数据传输、交换与共享。实现外部系统的接入处理功能，完成与全国平台的网络连接和转发。完成与相关业务平台的衔接； 密钥管理模块：负责本

5、省密钥相关数据的管理。4.1 支付处理模块支付处理模块负责支付平台交易数据的转发处理。4.1.1 支付路由管理支付路由管理根据各类支付业务的控制逻辑，将不同支付渠道上送的交易送至不同的支付账户完成扣款；根据不同的支付渠道、支付账户和支付业务之间的关系进行路由管理，包括： 支付渠道路由； 资金源网关路由； 业务网关路由。4.1.2 支付事务处理4.1.2.1 排队管理将各类支付请求按照一定算法放入排队队列。要求系统能根据支付请求的优先级别（主要根据商户级别和支付用户级别，定的权重，计算支付的优先级别），进行排队管理。同时，要求一个请求排队等待的时间不能超过5秒钟。4.1.2.2 交易通知省平台提

6、供交易通知功能，在用户交易完成后，系统自动通知用户该笔交易的信息。交易通知数据基于支付平台数据。4.1.2.3 异常处理对于支付过程中发生的异常情况进行处理，不同的异常情况配置不同的处理规则。4.1.3 支付安全功能4.1.3.1 网络安全网络安全是系统安全的基础，要从安全服务、机制与技术这三方面来实现网络安全防护。安全服务包括：服务控制服务、数据机密性服务、数据完整性服务、对象认证服务、防抵赖服务；安全机制包括：访问控制机制、加密机制、认证交换机制、数字签名机制、防业务流分析机制、路由控制机制；安全技术包括：防火墙技术、加密技术、鉴别技术、数字签名技术、审计监控技术、病毒防治技术。具体要求如

7、下： 应提供对网络设备和主机的监控手段； 应严格控制系统的访问权限； 应具备抵御恶意攻击和防病毒的能力； 入侵检测：要求入侵检测系统对违背安全事件记录并报警； 网络登录应受到监控，对反复试验密码的行为系统应能告警； 应该能够进行实时入侵检测，同时对安全事件记录并报警； 在监察到系统被恶意攻击时，应该能够设置禁止某IP 访问本系统。4.1.3.2 数据安全 应建立安全的数据存储机制，操作系统盘和数据盘采用容错存储方式，保证数据的完整性； 数据备份：所有数据都要有可靠备份，并可联机恢复，保证被恢复的数据的完整性和一致性； 对于一些敏感的重要数据（如：客户密码、操作员密码等）必须加密存储，保证敏感数

8、据不外泄； 密钥存储：关键服务器证书的私钥存储在有自毁保护措施的安全设备中； 数据传输：对数据传输应有较验，能准确发现数据被更改与否，并对被更改的情况进行报警和自动纠错。特别是对潜在风险较大的交易要从数据的防窃取、防篡改、防冒充、防否认、防重发保证应用数据传输的安全性（如大额支付）； 数据备份恢复要求：1) 对关键数据能自动定时备份，如客户登录帐号信息；2) 对关键配置文件定时备份，如WEB 应用部署文件；3) 对大容量数据（如工单数据、系统日志），可设定超过多少容量数自动按照相应的条件进行数据备份；且保证备份后，仍能查询备份数据；4) 所有备份数据可以进行联机恢复，并保证被恢复的完整性与一致

9、性。4.1.3.3 系统告警机制省平台需要提供各类业务告警功能，包括： 操作异常； 交易异常。4.2 系统管理功能4.2.1 日志管理管理员在系统管理门户上的所有更新操作需记录在操作日志中，管理员可以查询一定时间范围内的操作日志，以检查和监督操作员的操作。操作日志应能根据类型区分。操作日志必须记录的内容包括：操作员编号、操作员名称、操作资源类型代码、操作描述、操作结果、IP地址、MAC地址（可选）、操作时间。省平台将具有完善的日志管理功能，将各种日志进行分类，日志管理必须包括以下能力： 具有对服务器启动或关闭操作记录的功能； 具有对重要数据操作的日志记录功能； 具有对用户登录和退出的日志记录功

10、能； 具有对所有异常的日志记录功能； 具有日志查询和打印功能； 具有日志备份和恢复功能； 具有日志统计和分析功能； 日志数据至少保存某个固定时间（如在线可查询的日志保持3个月，过期日志必须保存到存储上以便日后调阅）。从管理对象的角度，日志应包括： 商户交易日志； 用户交易日志； 操作员操作日志； 商户操作日志。4.2.2 权限管理权限管理的对象包括：权限、角色和用户授权的管理。权限管理方式：权限的控制基于角色进行。对于用户的授权则通过对用户分配角色实现。权限的定义包括两种：功能访问权限和数据访问权限。权限由平台可部署或配置的单元模块进行定义。权限的集合构成角色。角色包括角色名称、角色说明。角色

11、的实际权限由分配的功能确定。权限具有地域属性、专业属性和操作方式（增加、删除、修改和查询）属性。权限管理包括以下功能： 增加权限：增加权限，输入用户相关信息，系统中将产生相应的新记录。权限名称不允许重名，如输入的权限名称已存在，应提示输入无效并不做修改； 删除权限：若权限仍被权限组使用，不允许删除，给出使用该权限的权限组列表； 修改权限：系统允许对权限的属性信息进行修改操作； 增加权限组：增加权限组，系统中将产生相应的新记录； 删除权限组：若权限组中包含有功能对象，不允许删除； 修改权限组：系统允许对权限组的属性信息进行修改操作。角色管理包括以下功能: 增加角色：增加角色时，系统中将增加相应的

12、记录； 删除角色：如果该角色中包含用户，不允许删除； 修改角色：系统提供修改角色中用户及权限组的功能。4.2.3 配置管理省平台所需要的系统参数以及相关系统配置信息在配置管理中进行管理。系统参数可以灵活配置和管理，并无需重启系统就能实时生效。 系统参数管理：对系统的基本运行参数进行管理； 区域管理：对区域信息进行管理，包括增、改、删、查询等功能； 支付机构管理：对支付机构进行管理，如银行等支付机构； 支付方式管理：支付方式管理对系统支持的支付方式进行增加、删除、更改、查询等操作。4.2.4 业务监控作为支付平台，需要对日常运营的特殊信息进行监控，如异常交易，关键操作行为进行监控。系统监控包括以

13、下几部分功能: 监控参数配置：包括各个阀值的配置； 告警信息通知：可以设定级别，平台按照设定的参数自动通过邮件、短信、语音等方式通知相应的管理人员列表； 告警信息查询：查询系统的告警信息，可以按照告警时间、告警源、告警级别等涉及的关键信息； 告警信息统计分析：对系统产生的告警进行统计分析，如分析哪类告警发生最频繁。4.2.5 版本管理版本管理模块负责控制省平台软件系统本身的升级更新，包括各个配套子系统的版本，以便确保整个系统的正常运行，避免版本混乱，引起系统处理差错。系统将建立统一的软件版本库，并通过版本管理模块，对软件版本控制和比较，系统一旦发布新版本，可自动部署发布新版本模块。4.3 密钥

14、管理模块详见中国电信融合支付平台技术要求密钥分册。4.3.1 密钥生成采用安全、可恢复机制生成相关密钥，密钥长度为16字节，密钥之间不存在互相推导和演绎关系，密钥明文不得物理存储于密钥管理系统，以安全方式存储于密钥管理母卡或加密机中。4.3.2 密钥接收采用安全方式接收全国密钥管理中心或第三方密钥管理系统传输的密钥，在密钥传输过程中，不得出现密钥明文。4.3.3 密钥传输采用安全方式进行密钥传输，密钥传输过程中，不出现密钥明文，通过密钥管理母卡或加密机方式存储进行传输的密钥。省密钥管理系统进行的密钥传输包括如下几种情况： 向用户卡个人化系统传输密钥 向省集中应用平台传输密钥 向可信任的第三方密

15、钥管理系统传输密钥省密钥管理系统向用户卡个人化系统传递如下类型的密钥： 用户卡主控密钥 用户卡维护密钥 全国应用-用户卡应用主控密钥 全国应用-用户卡应用维护密钥 全国应用-消费密钥 全国应用-圈存密钥 全国应用-圈提密钥 全国应用-TAC密钥 全国应用-PIN解锁密钥 全国应用-PIN重装密钥 全国应用-透支更新密钥 OTA MAC密钥 OTA 数据加密密钥 省应用相关密钥4.3.4 密钥销毁提供安全的、不可回退的方式销毁存储在密钥存储介质上的密钥。4.3.5 密钥加载采用安全方式将中心管理的密钥安全加载到省密钥管理中心硬件加密机中，密钥加载过程中不得出现密钥明文。4.3.6 密钥恢复提供安

16、全方式，利用码单等密钥备份手段进行密钥恢复。4.3.7 PSAM卡二次发卡根据操作员选择的密钥类型，将密钥中心管理的密钥安全写入PSAM卡，基于多版本、多索引密钥管理原则，PSAM卡上应写入某个索引的所有版本的密钥。4.3.8 用户卡发卡支持密钥管理系统可以采用如下两种方式提供用户卡发卡功能： 通过母卡方式，将欲写入用户卡的密钥安全加载到发卡母卡以及发卡母卡保护卡中，提供相应的操作手册或发卡服务，供发卡机构进行用户卡发卡； 通过加密机方式，将欲写入用户卡的密钥安全加载到发卡加密机中，通过加密机提供的发卡服务，供发卡机构进行用户卡发卡。不论采用那种方式，密钥管理系统均需提供用户卡厂商传输密钥的安

17、全加载功能。4.4 前置模块4.4.1 设计原则融合支付省平台是一个独立的数据处理系统，通过支付事务关系与所有周边业务系统建立数据联系，并在此基础上形成了与电信业务、非电信业务之间的数据通信与信息交流。省平台接口的设计，必须参照以下的设计原则，并使外部系统的接口工作量最小： 可扩展性：接口的设计应满足未来业务拓展的需要，易于与未来业务系统兼容； 灵活性：接口的设计应满足系统本身升级的需要，具有一定的再设计空间； 独立性：接口的设计应保证融合支付平台与其他应用系统相对独立，避免不同类型应用接入对融合支付平台的影响，并减少各接口厂商的配合难度； 安全性：接口的设计应保证要交换的数据的安全，不被丢失

18、； 完整和准确性：接口的设计应保证要交换的数据的完整、统一、准确，要有相应的检错、纠错措施； 一致性：接口的设计应保证交换数据的含义一致，无歧义性。4.4.2 全国平台接入模块对于需要全国统一处理的业务，由省平台通过全国平台接入系统发送支付服务处理请求。负责对业务进行分类，根据业务路由配置对每个交易进行路由控制，报文送到支付处理系统或者账户系统处理，业务处理后，交易结果按照原路返回到省平台。4.4.3 省业务平台接入模块连接各类省级业务应用平台，对各类账户的交易数据以及业务应用数据进行传输。4.4.4 统一充值平台接入模块统一充值平台与融合支付省平台对接，实现充值付费卡的认证鉴权。4.4.5

19、CRM接入模块CRM系统直接与融合支付省平台对接，IT系统不对翼支付账户进行管理。CRM主要完成以下功能：开通受理：在营业厅前台、互联网完成支付账户开户、销户、挂失、补/换卡等动作，再将相关信息同步至支付平台。状态同步：CRM将电信设备状态（开通，停机，暂停，挂失等）同步给支付平台。4.4.6 IVR接入模块省级IVR上的业务应用可以通过IVR接入模块使用全国融合支付平台提供的资金源完成支付动作。4.4.7 POS接入模块POS接入模块提供支付处理模块同POS服务系统间的报文组解包、接口适配、通讯服务。它依赖于密钥模块提供的安全服务，如加解密，验证签名服务等。POS接入子系统负责各种类型的终端接入能力，并且可转换成为标准交易数据包转发给上层核心处理平台。POS接入子系统支持PSTN拨号接入、PSTN拨网控器接入、局域网接入以及CDMA无线接入等。POS接入子系统从终端接入功能上实现了联机交易、报文格式化、安全保密、存储转发、交易路由以及网络路由等功能。4.4.8 业务监控系统接入模块根据业务监控系统设置，负责提供融合支付省平台相关信息。