POSP前置系统技术方案书

1、POS前置系统技术方案书二零零七年四月目录1前言1概述42.系统目标62.1系统需求62.2系统目标73系统结构设计83系统建设原则83.2系统网络拓扑图103.3体系结构113.4交易处理流程123.4.1非账务类POS交易流程12342账务类POS交易流程123.4.3管理类交易流程.133.5软件体系架构134. 接入服务系统155. 应用系统155.1交易核心控制155.2应用路由选择165.3自动事务冲正166. 交易监控系统176交易监控176.2状态监控177. 前置机管理系统177操作员管理187.2设备管理187.3流水管理187.4业务管理187.5卡种管理187.6POS

2、操作员管理197.7密钥管理197.8交易参数配登197.9报表管理198安全系统设计21&1硬件加密21&2密钥体系21821硬件加密机密钥结构.228.2.2加密机密钥分类.238.3前置系统安全解决方案248.3通讯数堀加密.248.3.2POS密钥处理259系统出错处理2710技术优势271前言1.1概述新经济时代的信息技术与金融服务相互渗透，这改变了金融服务的方式和信息技术服务 的内涵。在国内，金融业面临着如何以金融服务的发展，适应经济、技术发展变化带来的新需求。 随着中国加入WTO和银行业的蓬勃发展的同时，国内银行业也而临更为紧迫的竞争压力， 银行间的竞争已逐渐趋于

3、白热化。如何降低银行的服务成本，丰富客户服务手段，提高客户 服务质量已成为银行竞争的关键。特别是如何更好地吸引和服务优质客户，成为银行能否更 好发展的重中之重的问题。我们相信：以先进的技术提升金融服务水平和竞争力，将有助于 银行金融业把握新的机遇，成功应对未来。全球经济一体化进程的加快和社会经济的快速发展，使我国银行业类客户的经济活动 方式和地域范囤发生了巨大的变化。客户结算半径的扩大，要求银行提供更加高效、便捷、 安全、可靠的结算和支付手段。这就需要我国商业银行打破传统的原有分散的地域性条块分 割的分散的管理和经营模式，依托快速发展的信息技术进行技术创新，为客户提供实时的金 融产品和多样性、

4、个性化的新型服务渠道，建设一个集中统一的数据集中处理环境，实现银 行数据集中是大势所趋。总体看来，实现数据集中将会给中国银行业带来许多有利条件，有 利于增强中国银行业的核心竞争力。国内各家商业银行经过多年的努力，业务处理电子化系统已被广泛使用，并在全行范囤 内实现了电子化。但是，由于各商业银行之间的竞争，特别是在中国加入WTO后金融业的 开放，金融、证券、保险的混业经营等的挑战，促使银行服务业向以客户为中心的理念发展。这种趋势，一方面体现在银行不断推出各种面向客户的新业务，如网上/手机银行，贷 记卡，各种中间业务等等；另一方而体现在银行决策向科学化发展，如客户群分析，效益/ 成本分析，风险防范

5、等。所有这些新需求，都需要有大集中式银行综合业务处理系统强有力 的支持。为此，各家商业银行的业务应用已经实现或正在实现大集中式处理。数据大集中处理促 使银行电子化成本下降，有利于新技术的使用和推广，有利于数据的分析和挖掘，有利于经 营管理。而在商业银行的大集中式业务处理系统中，需要在自助设备（ATM、POS、多媒体 终端等）与区域数据中心主机之间设宜有综合前巻系统，该系统承担连接银行各种设备和外 系统（渠道服务：银联、电信、税务等）的设备及交易数据的转接，它是银行数据交换的枢 纽，也是银行安全保障的核心部分，本方案为商业银行综合前置系统提供有效的解决方案。2系统目标2.1系统需求> 系统

6、安全性要求高，便于全行执行统一的安全策略，降低安全成本，提高安全水平> 软件的模块化易于维护，业务便于拓展：> 系统能平滑过渡至银联卡业务：> 便于联接各种型号POS：> 开放性和扩展性强；> 避免网络系统建设与应用系统开发简单重复等现象；> 支持多种通讯方式（有线、无线等）。系统要充分运用先进的讣算机、通讯等技术手段以及现有的汁算机设备和网络资源，建 立大前置系统，为客户提供丰富、快捷、方便的金融增值业务服务，实现银行的数据集中。从安全角度上看，系统需满足以下安全需求：> 数据的保密性对一些敏感或重要的数拯（如客户PIN）利用密码技术进行加密处理，在

7、整个交易过程中PIN不能以明文方式岀现，以防止它被未受权者获得。> 数据完整性在金融业务处理过程中必须防止数据被意外或人为的修改。常用的技术是对数据进行某种运行得岀校验码（MAC）,通过对校验码的验证来签别数据的完整性。> 身份认证任何用户在进入汁算机网络或计算机系统之前,必须首先向网络或计算机给出能表明自己身份的鉴别标志，经鉴别核实后方被允许使用汁算机。> 发送方对发送数据的不可否认性采用一个数字签名，可以有效的防止发送方被他人冒充,同时接收方可确认报文内容 确无篡改,发送方对其所发信息也不可否认。> 可审计性审计对金融的安全管理十分重要，审计是发现犯罪和侦查取证的重

8、要手段之一。2.2系统目标基本目标> 系统具备消费、转账、代收费、查询余额、结算等基本POS业务功能；> 系统具有运行中错账自动恢复和/或声明功能。无法自动恢复的错账可以由手工进 行恢复；> 校验端末设备交易数据有效性，减轻主机负担；> 账务部分依托于原有的业务系统，新增的POS业务功能能在对系统不作重大修改 的情况下连接进去；> 所有端末设备及操作人员的管理及维护交由各级支行的管理员自己完成，当然总行 的超级管理员也可以进行管理，管理类的相关数据可以不存入主机，统一由前置机 中的库表保存：> 前巻机每次批处理结束后统汁出关于POS交易的各类业务报表下传支行

9、的监控管 理机中，这样可以便行支行及时了解本地POS的使用状况。但是支行不保存数据， 数据统一保存在总行的前置机中，各支行只能管理及查询本地商户及POS的使用 状态等等，不能管理及查询其它支行的POS状态；> 前苣机系统在每日所有业务完成后，进行日终结算，汇总各项交易发生额，并生成 各种报表:> 数据备份、恢复和扩展。每天日终结朿后，将该日发生的数据备份到磁带或灾备数 据库供长期保存和查询。若前置机系统发生故障，可将备份磁带装回系统；> 系统严格按照结构化设讣，全程考虑安全性，注意扩展性，为其他未知的交易保留 必要的编码空间；> 交易数据的路由转发，对不同类别卡的数据按

10、要求向不同的主机系统发送；> 系统能够整合商业银行当前的其他系统（如银联卡系统以及其他中间业务）：> 向用户提供方便的査询手段和监控功能。其它目标> 该系统可以支持终端多种的接入方式，如无线（GPRS等）的接入，保证系统的可 扩展性；> 本系统与原有的后台主机系统相接，本系统的加入要保证不影响原有系统的正常运 行：3.系统结构设计系统采用数据集中方式。系统的设讣采用CLIENT/SERVER结构，主要包括前置机系 统、监控系统、管理系统、终端设备等，采用以太网技术、无线GPRS技术、电话网NAC 技术进行系统连接。3.1系统建设原则（1）稳泄性原则保证各种情况下系统的正

11、常工作，同时需保障原有系统的安全稳定运行。（2）规范化原则严格遵守银行的销售点终端（POS）应用规范。（3）扩展性原则系统既要满足现有交易（包括POS.自助终端等）的需求，又能适应将来对其他金融服务的新需求。（4）科学先进性原则严格按照系统工程的组建原则，采用科学的方法和先进的技术。（5）安全性和保密性原则网络要杜绝任何不安全因素，要有很强的保密措施，确保网络的正常运转。有强有 力的自我管理能力，严格控制网络的出入口，防止黑客和讣算机病毒的入侵，并防止网 络外用户的入侵或对金融数据的非授权访问或更改保存信息和数据，必须采用数据加 密、报文认证等多级防范措施。（6）可靠性原则除了通信子网提供的可

12、靠性保障外，网络本身要有软硬件的检错纠错手段，保证无 差错处理，关键部件以及通讯线路均应有备份，以保证系统可靠运行。系统的模块化设 计有效地屏蔽了所有底层系统操作与数据库操作。对应用软件的设汁充分考虑了容错性 （包括对ISO8583冲正交易的支持及交易消息转存重发），及从业务角度设汁的整套交 易取消与冲正，从而充分保证了交易数据的完整性。（7）独立性前苣系统功能的实现必须避免主机应用的开发和调整。将前置处理系统与后台账务 处理系统分离，后台账务处理系统与前置系统只是通过标准的接口实现数据的交换与处 理。（8）通讯方式的多样性原则平台要支持TCP/IP等有线的通讯方式，同时也要支持GPRS、GS

13、M等多种无线通 讯接入方式，保证以后业务的扩展：（9）工程实施方而在保证需求的前提下，力争做到合理控制投资规模：明确需求、友好合作、严格管 理、加强技术投入，将项目的风险降到最低，保证项目按期保质的完成。尽量使用已经 成熟的技术和产品，把开发工作量缩短到最小；合理分析系统需求和业务量，提出系统 配置方案，尽量减少硬件投入。3.2系统网络拓扑系统的网络拓扑图如下:网拎器POSPOS网络接入模式：> MODEM接入从POS终端到网控使用的是拨号接入方式。> 以太网接入从网控到大前垃接入方式为以太网接入方式。> 无线接入以GPRS或CDMA方式无线接入3.3体系结构POS前置系统由

14、后台子系统.监控子系统和管理子系统构成。后台子系统实现POS渠道接入、交易的控制和主机系统通讯功能。监控子系统主要实现前置交易的实施屏幕监控。管理子系统则实现运行管理、系统参数管理、交易流水査询、日终处理和密钥管理等功能。系统体系结构图如下:二交易服务模块栗迫接入类 上"t r.系统模块SKERNELDOWNLOADMANATRANNEWTRANSDOWN KEY交易总用34交易处理流程POS发起一笔交易，拨号经过通讯网络（PSTN、ETHERNET. GPRS/CDMA等）到当地 的网控器，然后通过专线（DDN/X.25）到总行大前置，经过前巻机有效性判断，卡种的判 断等检查，然后

15、发送到相应的主机系统处理后返回。341非账务类POS交易流程pos发起交易请求va网控器342账务类POS交易流程上送343管理类交易流程支行监控管理主机总行祈置主机（含监控平台）3.5软件体系架构前端接入系统通讯服务进程前置机系统主要有包含以下几个子系统:> 接入服务系统> 交易控制系统> 交易监控系统> 前垃管理系统> 前置安全系统核心系统为交易控制系统，该系统主要处理交易，负责连接其他系统。POS前置系统的主要子系统关系图如下：系统结构主机少务系统系统设计主要有以下几个特点：> 双进程实现输入、输出处理并发> 自泄义消息队列技术的广泛应用>

16、 交易路由机制> 交易的超时处理POS接入系统实现串口通讯接入和以太网通讯接入，交易服务系统处理的交易服务分为：管理类交易、金融类交易和下载密钥。4接入服务系统接入服务系统作为银行内部应用系统以及银行外系统的接入门户，主要完成各可控 网络系统间与大前苣机系统的接入服务。接入服务系统应具备如下功能：（1）、与网控器的接口该系统能接收网控器发送过来的数据，并能识别该协议的数据。（2）、与外卡中心（银联中心）的接口该系统能接收外卡交易数据包，并负责转发到外卡中心或者银联中心，正确的处理交 易。（3）、与业务主机的接口该系统能将属于本行业务主机的数据包，转发到主机并正确接收返回完成交易。（4）、

17、无线通讯的接口该系统能同时接收无线（如GPRS） POS发送的数据包，并正确完成无线通讯的交 易。（5）、与英他系统的接口该系统预留与代缴机构的接口，可以完成和英他系统（如代缴，IC卡充值等）进 行通讯的接口。5.应用系统5.1交易核心控制该模块主要负责处理网控上来的数据，经过一左的处理后转发到相应的系统主机，交易 流程如下:5.2应用路由选择应用路由在系统中是根拯交易种类的不同而不同的，可以支持多种交易路由选择。> 交易控制模块可以非常灵活地进行交易路由的选择，以进行目标端口的定位，控制 交易的流程：> 每类交易报文的传送都有一立的路径选择，并且每个代理单位系统路由选择的依据 可

18、能多种多样、各不相同，如有的是以账号或卡号的某些位来判断路由，有的是根 据上送的主机名来判断路由等等。通过路由的加义，能准确、淸晰地描述交易流程, 在进行路由选择时，报文中的所有信息都能加入到路由条件中去，使路由功能非常 强大。5.3自动事务冲正> 在每类交易过程中，都有可能由于各种意外情况而使交易失败的情况，必须最大限 度的保证金融机构的利益不受损失，保证不出现或少出现账不平、单边账的情况：>自动冲正管理模块解决系统事务完整性和一致性问题；> 充分支持冲正报文、智能报文的存储转发处理;> 在进行交易冲正时，自动冲正模块与交易核心控制模块配合，进行冲正包的组包和 解包，

19、根据返回的冲正响应包判断冲正是否成功：> 冲正时基本原则就是倒冲的原则，自动冲正模块完全按倒冲原则进行冲正；（倒冲 原则：后发生事务先进行冲正）。6交易监控系统6.1交易监控对前宜机发生的每一笔交易情况，都实时地显示在监控屏幕上，便于系统管理员及 时了解系统运行的动态信息。如果是自助终端，还可以增加报备管理，主要是显示自助终端设备状况，如：缺纸， 网络通讯故障，打印机错误等故障，实时的监控等等。此外，对于监控交易系统，可以下发到各个支行，但是各个支行只能监控到当地的 POS或者自助终端的交易状况，而不能监控到其它支行的设备交易情况。在总行监控机 则可以看到所有设备的交易状况。6.2状态监

20、控监控服务器的实时监控屏能实时显示pos的状态和故障信息和当前的来电号码，故障 状态包括缺纸、密码键盘连接错误等。7前置机管理系统管理系统功能包括：操作员管理、设备管理、流水管理、业务管理、卡种管理、运行管 理、POS操作员管理、密钥管理、交易参数配置和报表管理。7.1操作员管理前置机的管理员分为操作员和超级管理员。操作员可以增加设备，查询流水等等操作， 但是不能对英他管理员进行操作。超级管理员可以增加苴他操作员，设左操作员的权限等。7.2设备管理操作员可以对设备的相关参数（如商户号，终端号，负责人，终端所属地市等等）进行 管理，可以增加，删除，查询设备等操作。7.3流水管理可以查询交易的流水

21、，并且可以根据交易的信息（如交易流水号，日期等）査询到具体 的交易信息。同时也可以针对特别的流水进行查询，如查询异常流水，查询交易的失败率等 等异常的流水，并提供报表。7.4业务管理业务管理可以针对银行业务部门的不同需求，对各种交易进行统计，打印出相关的日报 表，月报表，年报表等相关的业务报表。7.5卡种管理卡种管理可以设左卡种，根据设立的卡种（本行卡/外卡）区分出不同的主机处理的交易。7.6POS操作员管理可以对POS的操作员进行管理，可以增加，删除，查询各个POS的操作员。7.7密钥管理为了保证交易的安全性和完整性，每一个POS都有各自的工作密钥 (PINKEY/MACKEY), PINK

22、EY用于加密个人密码，MACKEY用来加密数据包，形成MAC (信息校验码)。所有POS共用一个主密钥(MASTERKEY),由专人管理，负责传送工作密钥时的加密。 以上所有密钥在数据库中存储均使用密文方式。7.8交易参数配置客户信息表配置、应用路由控制表配程和交易代码表配置7.9报表管理报表管理实现的报表种类包括：> pos业务轧账单> POS业务总计表> 本地POS业务对账结果淸单> 本地POS业务对账不符明细淸单> 本地POS业务冲正交易明细淸单> 本地POS业务交易结算单> 本地POS终端淸单> 本地特约商户淸单> 本地服务费率淸单

23、POS交易汇总表-按各商户汇总POS业务对账不符明细列表POS业务冲正交易明细淸单POS交易业务量统计月报表业务量统汁月报表总行管理终端类按各商户生成-商户POS交易明细表8安全系统设计8.1硬件加密目前所使用的加密方式有两种，即软件加密和硬件加密。使用软件加密成本低廉但是存 在以下不足：软件的运行要占用主机资源，并且软件的处理速度较慢：软件运作时很多重要的资料（如 用来做密码运算的密钥，或顾客的PIN）都会在某时间淸晰的出现于计算机的记忆或磁盘上, 而对讣算机数据安全有一立研究的不法分子便有机会把这些资料读取、修改或删除，破坏系 统的安全性。软件不能提供一种有效的机制保护密钥的存储安全。而密

24、钥一旦被人盗取，则客户密码 PIN也就无安全可言。而国际银行卡组织（VISA、万事达）以及我国的银联组织均作出了在金融系统中必须 使用硬件加密设备的规左。并且根据我国有关法规，不能使用进口涉密产品。8.2密钥体系（注：这里可以采用软件加密机制代替硬件加密机，从而降低 先期投入成本）硬件加密机要有一套完善的密钥管理方案，这包括密钥的产生、分配、贮存、转换、分 工和分层。硬件加密机采用国际标准（ISO8732. ANSIX9.17）,对密钥进行三层密钥管理模 式，令成员行和交换中心处理密钥的工作更为安全和方便。以分工来说，不同的信息需使用不同的密钥加密，例如交换中心与银行互联的区域PIN 密钥（Z

25、PK,又称PIK）便与生成信息认证的Zone Authentication Key （ZAK又称MAK）不同， 这样的好处是当苴中一密钥的安全岀现问题时，并不会影响瓦他信息的安全性。而密钥的分层则有利于密钥的更新和传送，同时保证了密钥的安全性。8.2.1硬件加密机密钥结构下图为硬件加密机的三层密钥结构:信息完垫性密铜RN佞护密铝绻厳密钥（代玮OS终嫦）> 密钥的层次结构第一层，MK为加密机主密钥，有三个成分组成，它是采用双倍标准的DES密钥（长达 112位），它是存放在HSM机内的，真正实现三重数据加密技术。它的作用是将所有在本地 存放的其它密钥和加密数据进行加密。由于本地存放的英它密钥

26、和加密数据，都是在MK 加密之下。因此，MK是最重要的密钥。第二层，BMK通常称为密钥加密密钥或密钥交换密钥（Kcy-cncrypting key或Key Exchange Key）。它的作用是加密在通讯线路上需要传递的工作密钥。从而实现工作密钥的 自动分配。在本地或共享网络中。不同的两个通讯网点使用不同的密钥加密密钥，从而实现 密钥的分工管理，它在本地存放时，处于本地M的加密之下或直接保存在硬件加密机中。第三层，通常称为工作密钥或数据加密密钥。包括PIK、MAK、TMK（包括TPK.TAK） 等密钥，它的作用是加密各种不同的数据。从而实现数据的保密，信息的认证，以及数字签 名的功能，这些数据

27、密钥在本地存放时，处于BMK的加密之下或直接保存在硬件加密机中。822加密机密钥分类下而介绍一下加密机中最主要的几种密钥：1、加密机主密钥（MK）加密机主密钥（Master Key-MK）是存入在HSM机内的由三个成分合成的一对最上 层密钥。在HSM机器以外的地方不会以明文形式存放，它采用双倍标准DES密钥（长达 112位）实现三重数据加密。HSM投入运行时，必须先产生和装载MK.由于DES算法依靠某一个密钥进行加密, 同时所有密钥和数拯都经由MK进行加密，所以MK必须通过一种安全的方法生成和维护。MK的产生需要银行三位主要的管理人员参与产生，在SJL06主机加密模块中采用 MK （加密机主密

28、钥）对BMK进行加密保护；MK由三个成分（32位十六进制数）组成，由加密机使用单位通过行政手段分派专 人管理和维护，一般由23人采用“背对背"形式进行输入：MK以密文形式存储在加密机黑匣子中，且永远不以明文形式出现。2、银行主密钥（BMK）银行主密钥（BMK，是加密密钥用的密钥，适用于共享网络中，它可以在共享网络 中两个（或多个）通讯网点之间以部分形式进行人工分配且保持双方的对称性，共享网络中任 何两个通讯网点之间均共用不同的BMKo BMK用于加密底层需要传送的数据密钥，这样远 地密钥就能自动进行交换（无须人工干预）。该密钥可以长期不更改，通常二年更新一次。本 地存储时，BMK是通

29、过MK进行加密的或以索引方式存储在加密机中。3、区域PIN密钥（PIK）区域PIN密钥PIK是一个数据加密密钥，适用于共享网络，它通过BMK加密在两个 （或多个）通讯网点之间进行自动分配，PIK用于加密两个通讯网点之间需传输的PIN,这样 就实现了 PIN的保密。PIK需要经常性地左期更改，在本地存储时，它是通过BMK进行加 密的。PIK需要经常性地定期更改，通常每天更换一次。4、区域MAC密钥（MAK）区域MAC密钥MAK是一个数据加密密钥，适用于共享网络，它通过BMK加密在 两个（或多个）通讯网点之间进行自动分配。用于两个通讯网点之间传送信息时，生成和校验 一个信息认证代码（Message

30、 Authentication Code）,从而达到信息认证的目的c MAK需要经 常性地泄期更改，通常每天更换一次。5、终端PIN密钥(TPK)终端PIN密钥是一个数据加密用的密钥，适用于局域网络中，它是在局域网内通过 TMK加密，由终端数据受理者自动分配到终端且保持通讯双方之间的对称性。TPK用于加 密在局域网内终端和终端数据受理者之间传送的PIN.TPK任本地存储在加密机中通过索引 的方式调用。TPK需要经常性地左期更换，通常每天更换一次。6、终端认证密钥(TAK)终端认证密钥是一个数据加密用的密钥，适用于局域网内。它在局域网内通过TMK 加密由终端数据受理者自动分配到终端或通过BMK加

31、密由终端数据受理者自动分配到交换 中心。TAK用于局域网内终端与终端数据受理者之间传送信息时，生成和校验一个信息认 证代码(Message Authentication Code),从而达到信息认证的目的。TAK需要经常性地更换， 通常每天更换一次，TAK在本地存储在加密机中通过索引的方式调用。7、PIN校验密钥(PVK)PIN校验密钥是一个数据加密密钥，用于生成和校验PIN校验数据，同时校验一个 PIN的可靠性。传送时PVK通过K或ZMK加密：存放本地时，它通过MK加密。8、卡校验密钥(CVK)卡校验密钥(CVK)类似于PIN校验密钥，仅仅是用卡的信息取代了 PIN。8.3前置系统安全解决方

32、案针对前巻系统的安全要求贯穿着整个系统的整个生命周期，要求整个系统的计算机软、 硬件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、显露，整个平台系统正 常运行。对于系统来说通讯过程中的加密也是相当重要的。&31通讯数据加密考虑到POS系统数据交换过程比较复杂，且流经的设备也较多，因此在通讯的所有环 节中的都要考虑到数据安全问题。主要的数据传输过程有以下几个：POS网控器、网控器 前巻机、前置机一主机。为了保证数据传输的隐蔽性，关键数据字段采用了加密方式；为 了保证数据传输的完整性，传输数据采用校验和作为检查标志。从POS端到前置机的数据通讯采用了 ISO8583金融数据交换格式，英中关键字段采用 了数据加密方式，同时整个数据包经特泄MAC算法计算出MAC校验和作为数据完整性的 检查标志。网控器本身不具备加密功能，只是将传输数据加以简单的LRC校验。前置机和 POS相互约定一组PIN加密密钥和MAC校验密钥，基本加密算法采用DES的X98/X9