互联网公共支付交易平台建设方案

1、互联网公共支付交易平台方案建议书目录TOC o 1-1 h u HYPERLINK l _Toc20347 1. 导言 PAGEREF _Toc20347 h 1 HYPERLINK l _Toc2206 2. 项目需求 PAGEREF _Toc2206 h 5 HYPERLINK l _Toc18137 3. 系统总体设计 PAGEREF _Toc18137 h 23 HYPERLINK l _Toc22780 4. 应用系统设计 PAGEREF _Toc22780 h 35 HYPERLINK l _Toc9654 5. 系统集成 PAGEREF _Toc9654 h 68 HYPERLI

2、NK l _Toc31780 6. 系统安全保障策略 PAGEREF _Toc31780 h 76 HYPERLINK l _Toc6588 7. 工程实施 PAGEREF _Toc6588 h 89 HYPERLINK l _Toc11457 8. 支持与服务 PAGEREF _Toc11457 h 1111.导言基于Internet的电子商务在90年代后期开始起步，经历了1999-2000年的“网络泡沫”而得到了高速的发展。尽管在其后的2年间经历的一定的波折，但并没有停止其发展的脚步，在最近的2年间电子商务通过与传统产业有机的结合，获得了扎实的发展基础，其发展更为理性、健康，更加显示出其强

3、大的生命力和辉煌的发展前景。伴随着Internet和电子商务的蓬勃发展，在线支付和网上金融服务在全球范围，包括亚太地区得到了迅速的发展。据IDC统计，2003年亚太地区除日本以外的网上银行活跃用户已经达到3680万，预计到2007年将增加到1.07亿。这说明网民对于包括在线支付在内的网上金融服务开始给予越来越普遍的接受和使用，并迅速地开始形成一个广大的在线支付和在线金融服务市场。上海华腾软件系统有限公司很荣幸能有机会参与中国银联互联网公共支付平台系统的投标，衷心感谢各方对我们的信任，并呈交这份互联网公共支付平台系统建议书作为本次投标的技术文件。本建议书是在详细分析了业主和招标方业务需求和技术需

4、求的基础上，以互联网公共支付交易平台-业务需求为依据，结合华腾十多年在金融和电子商务支付等领域应用开发与系统集成的经验，给出了完整的解决方案与技术建议。项目概括在基于Internet的个人金融服务中，在线支付业务是发展最快的服务。随着Internet的普及和网络安全技术的迅速完善，它凭借着其便捷和易用的优势在电子商务的支付手段中日益成为一个主要的支付手段。目前国内发展互联网公共支付业务的除部分银行网银外，最具有影响力的是上海付费通公司，在其他省市地区暂无类似业务的公司。付费通公司的交易量和交易金额处于高速增长期，发展势头强劲。但从整个市场来看，通过互联网开展公共支付业务在国内还属于起步阶段。中

5、国银联已经针对在线交易的安全性，加速电子商务的发展，规范和统一银行卡在互联网电子商务领域的业务规则和安全机制，推出了CUPSecure网上支付安全体系。在这个体系下，针对银联卡的在线支付需要一个支付网关来支撑完整的业务系统。本项目正是建设这样一个包含支付网关、服务网站和辅助系统的平台。我们的优势对于银联网上支付平台系统的应用开发和项目实施，华腾公司凭借十几年来积累的对于金融电子化领域应用的深刻理解和丰富经验，以及对于电子金融和支付的技术的全面把握，具有坚实的基础和充分的优势。具体体现在：对于金融业务和支付技术的丰富积累华腾公司从1994年进入中国金融支付、信息交换、电子商务、社会信息化等系统集

6、成和应用软件领域,逐步扩大其在银行卡信息交换、金融服务电子化、邮政金融电子化、电子支付、外卡收单和支付、电子商务以及一些交叉行业的卡基支付信息交换、结算等方面的市场占有率。特别是在银行卡信息交换、邮政金融等领域的全国市场占有率位居第一，在中国的金融行业和网上支付处理应用领域内处于领先地位。自1994年至今，华腾公司承建了大量的银行卡支付系统、网上支付系统、网上银行系统、电子汇兑系统的设计开发及系统建设，成为国内金融与电子支付领域的领先厂商。在这些系统的建设过程中，华腾公司积累了丰富的国内、国际支付和金融服务类应用的业务知识和系统实现技术，形成了一整套的解决方案，为华腾公司进行支付平台系统的建设

7、奠定了扎实的技术和业务基础。成功实施了与银联公共支付平台系统类似的项目，积累了同类的解决方案和实施经验支付网关系统中涉及到支付网关系统的开发与建设。华腾公司在1999年至今，已先后成功建设了诸多电子支付网关，包括： ChinaPay、中国邮政的全国支付网关、上海联通虚拟卡系统平台、银联商务EPOS网关，韩国NICE支付网关等与本支付平台系统具有相同或相似业务的系统，不仅积累形成了支付平台系统所适用的解决方案，更重要的是，积累了支付平台系统建设中所迫切需要参考和借鉴的业务、技术和建设过程控制的实际经验，为银联支付平台系统建设的顺利进行做好了充分的准备。采用规范化的项目管理规范和质量控制过程华腾公

8、司十分注重自身管理水平的提高。公司已于2000年通过ISO 9001质量管理认证，并在2003年顺利通过ISO9001 2000版升级认证；全面实施了企业资源管理计划（ERP）；于2001年2月荣获上海市信息化办公室颁发的第0001号“软件企业认定证书”；2001年4月中国软件评测中心对公司进行了集成资质认证，批准为国家二级系统集成资质，目前公司已通过了软件评测中心一级系统集成资质的现场评审；公司在2005年通过了软件开发成熟度模型 CMMI 3级的认证。严格遵循国际规范的质量控制过程，为银联支付平台系统建设按照要求完成提供有力的保障。大型项目的集成和实施能力华腾公司自成立以来，依托合资企业的

9、优势，承担了大量的国内国外项目的开发和建设工作，吸取先进开发经验和项目管理方法，积累了从事大型项目的集成与开发实施经验，培养出了一支高水平的技术队伍。华腾公司坚信：公司在“金融业务、网络技术”方面的技术优势和丰富的项目实施经验，特别是公司对支付网关业务和建设的熟悉和理解、以及大型项目的系统集成经验和能力等，将为中国银联互联网公共支付交易平台系统建设的成功提供坚实的保障。名词解释CUPS中国银联信息交换系统PPP中国银联公共支付平台CUPSecure中国银联网上安全认证交易平台MPI商户插件USB Key数字证书是含有用户身份信息的电子文件，USB Key是用来存放证书和用户私钥并具有处理能力的

10、一种带智能的芯片、形状类似于U盘CFCA中国金融认证中心项目需求系统建设目标支付平台的建设目标为：1.建设先进的、规范的、安全的网上支付平台；2.建立统一的业务和技术规范，为用户提供统一认证和统一支付方式，为商业银行和商户提供统一支付接口；3.基于数字证书提供高安全强度的信息保障服务，推动数字证书在在线支付、网银系统之间跨行通用；4.建立以客户为中心、客户可以进行多账户信息查询的统一查询平台；5.通过支付平台加强网银网银系统之间的联系，并为客户提供实时到账服务，提高在线支付效率，缩短交易资金在途时间，促进资金流通，降低客户资金风险，保证客户利益；6.为目前没有支付平台的城市商业银行、农信社等金

11、融机构提供统一的支付平台服务；系统服务范围根据业务需求，中国银联互联网公共支付平台系统的使用方包括：银联总公司管理人员、银联分公司业务管理人员、公共事业商户业务人员、银行业务人员以及使用本平台进行交易的网上缴费用户。其服务范围如下图所示：图表 SEQ 图表 * ARABIC 1项目需求公共支付平台服务范围图将筹建的支付平台系统划分为三个区域：一个区域是目前筹建的互联网公共支付平台系统，一个区域是金融系统，一个区域是应用系统。系统建成后，将能够：对个人用户提供公共事业费用查询缴费、电子商务支付等业务；为使用平台的商务系统提供信息维护和业务处理服务；为地方公共支付平台提供公共支付业务服务；为支付平

12、台运营人员提供管理服务；业务功能分析从业务出发，互联网公共支付平台分成三个模块构成：交易服务网站、支付网关、管理平台三个部分，分别为不同对象提供服务。其中服务网站为持卡人、商户、银行提供服务；支付网关为整个平台提供支付服务的；管理平台是为分公司、总公司业务管理人员提供服务的。交易服务网站概述交易服务网站是为付费交易服务的，根据缴费业务为持卡人、商户等机构提供的衍生服务，网站包括分成三类服务内容，同时包含内容网站模块作为整个网站的服务支撑：图表 2 项目需求-交易服务网站功能结构图交易服务是根据支付业务的需要为持卡人和互联网商户提供支付衍生服务，主要是为持卡人提供账单查询等服务，为商户提供统计等

13、服务；信息服务是为社会大众和机构提供相关公共支付业务信息；公共支付业务服务处理是根据分公司公共支付业务的特殊需求，为分公司参与公共支付的机构提供相应的服务，服务整个公共支付业务，不局限于互联网公共支付。内容网站交易服务系统内容网站是宣传银联互联网公共支付交易平台形象，发布最新动态，介绍公共支付业务的窗口。同时提供用户网上交流的平台。交易服务系统网站的维护人员可以通过后台管理界面，发布，更新网站各栏目的设置和内容。栏目分类交易服务网站是直接面向使用者的门户，网站需要根据使用者不同的使用需求人性化的编制网站栏目，本着方便用户、功能清晰、使用便捷的原则，对网站的功能菜单进行栏目分类。信息服务信息服务

14、是给整个网站服务对象提供信息和帮助的界面，整个网站的信息服务分成两类对象：持卡人和商户。对持卡人的信息服务服务导航，由于整个公共支付商户涉及多个地区，需要多持卡人有一个良好的导航服务；产品信息发布服务，告知持卡人公共支付商户的一些优惠活动，打折信息；支付流程帮助，提供支付流程的帮助，解决持卡人支付中的困难。对商户的信息服务提供分公司的公共支付信息告知所有参与机构，包括服务商优惠打折等新闻类信息；业务更新公告（新增入网单位、新业务公告等）；日常业务通告（停机公告、差错问题说明等）；业务说明（业务操作流程、通常情况处理等）；其它信息（入网单位人员姓名、联系电话、邮箱地址等）。内容发布管理交易服务网

15、站的系统维护人员可以通过内容发布管理系统，进行发布，更新网站各栏目信息。在内容发布之前需要通过审核。持卡人服务主要是为个人提供WEB服务，个人为银联卡的持卡人，通过互联网公共支付平台完成公共事业费用缴纳，是互联网公共支付交易平台的最终使用者。用户信息管理服务网站是有用户支撑的网站，采用注册为个人提供服务，只有注册用户才能够享受到服务。注册需要收集注册用户的姓名、手机、身份证信息、付费账单信息等，同时考虑收集部分支付信息将来为基金、证券等行业服务。其中姓名、身份证信息需要通过各种形式验证，可以通过和SP账户信息匹配等方式验证。后期的关键信息如银行卡账号也将要求验证。付费账户管理将注册用户和特定商

16、户账户进行绑定，以便减少用户付费的麻烦，同时为后期电子账单服务打造基础。绑定关系是注册用户商户付费账户绑定关系，是一对多关系。同时考虑进行银行卡绑定，以便在支付时，用户可选择使用绑定银行卡进行支付，只需要显示部分卡号。同时支持对商户账单的绑定关系解除。信息查询提供付费交易记录查询、付费账户查询等，查询条件根据机构的要求制定。公共类支付通过本服务网站，持卡人可以发起公共类支付交易，目前支持两种方式：1)查询支付交易；2)充值类交易，用户完成支付交易后将由交易服务网站根据公共事业单位的不同通知总公司/分公司公共支付交易结果。查询支付交易用户根据输入的公共类帐单编号或者条形码进行帐单查询，根据公共事

17、业单位的不同，有交易服务网站通过总公司公共支付平坦或分公司公司支付平台进行帐单信息查询，用户根据查询结果进行支付帐单交易。公共类帐单的信息获取有两种方式：1)总公司/分公司公共支付平台保管账单信息2)总公司/分公司公共支付平台实时连接公共事业单位查询账单信息充值类交易用户直接对公共类账单帐户进行充值。电子账单服务根据绑定关系，交易服务网站定期向用户发送电子账单、交易结果通知、欠费通知、电子账单营销资料等信息。其他服务为持卡人提供交易数据统计分析（理财），银行卡余额查询、业务导航等交易服务等。商户服务商户服务主要是为互联网公共支付商户提供WEB服务的，商户可以使用本平台查询自己的交易情况，发起后

18、续交易、查询交易结果、进行交易统计等。是否为商户提供WEB服务，提供的服务内容和权限由分公司决定。服务内容包括：商户用户管理商户收付费数据上传商户可以将账单欠费数据、批扣数据等通过本平台上传给分公司。交易数据下载商户将每日有成功交易记录、已经完成支付的账单交易数据下载。后续交易银行和商户可以在服务网站以人工方式或者批量文件发起后续交易，部分分公司的商户在本网站做公共支付业务的差错交易。统计交易查询功能查询商户交易结果，对商户交易信息进行统计。为商户和银行提供用户数量及分布、银行卡数量及分布、收付费交易笔数及金额、手续费收入及支出、交易金额笔数同比、环比等。其他服务如销账服务，如果商户要求，服务

19、网站可以通过PPP及时向商户发起销账交易。公共支付业务服务公共支付业务服务是分公司处为公共支付业务参与机构提供服务的，目前仅厦门分公司提出需求，项目暂按照厦门需求进行，目前只提供给厦门分公司使用，对于经过CUPS的交易，原则上建议使用总公司差错平台进行。以后如有其他分公司需求，再对系统进行完善。公共支付业务服务是为参与公共支付业务的商户、银行服务的，不局限于互联网支付商户。该平台通过连接分公司公共支付业务数据，为各入网单位提供自助式咨询投诉、交易查询、以及疑似差错的确认和处理，优化业务处理流程，提高工作效率，从而更好地树立银联品牌形象，为入网单位及持卡人提供更便利优质的服务。整个平台以WEB方

20、式提供服务，由于公共支付业务服务的基础数据为分公司的公共支付数据，因此初步拟将公共支付业务服务部署分公司，总公司统一提供链接。该功能使用方为：公共支付企业、分公司、银行、大商户；分公司通过参数设置，开通使用方业务处理功能。主要功能包括：所有公共支付业务的交易查询；信息查询；统计分析功能；所有公共支付业务的交易状况查询查复和异常处理。支付网关系统概述支付网关系统是整个交易系统中核心的支付处理中心，是一套基于互联网的网上支付系统，支持银联CUPSecure网上交易安全体系，符合银联CUPSecure网上交易支付规范。支付网关系统的主要功能有：商户接入银联CUPSecure系统连接支付业务处理安全控

21、制商户接入商户的电子商务网站系统通过支付网关提供的的商户支付插件（MPI）连接到公共支付平台支付网关。商户需要通过支付插件完成提出在线支付，接收支付结果消息，发送结算交易等。商户的电子商务网站在生成了消费订单后，由消费者完成支付，商户网站此时通过公共支付平台提供的支付插件完成订单的数字签名并将页面跳转到公共支付平台支付网关的支付页面。在支付网关完成支付后接收支付网关发送的支付结果消息，支付结果验证成功后并支付结果也为成功时,更新订单的支付状态为已支付。支付插件需要提供标准的应用接口，便于使用。并且支持多种系统平台。支付插件所支持的功能包括：a)使用商户私钥对订单信息包括订单号、支付金额、日期、

22、商户编号等进行数字签名b)将页面跳转到支付网关支付页面c)能够接受支付网关后台发送的支付结果信息，并用支付网关公钥验证支付结果是否合法,将支付结果返回给商户电子商务网站以更新支付状态d)收到支付结果后向支付网关发送应答信息e)向支付网关发送结算交易信息银联CUPSecure系统连接公共支付平台支付网关系统是按照CUPSecure标准建立的互联网收单系统，需要按银联CUPSecure中关于安全插件（API）的要求实现支付网关与CUPSecure系统的连接。主要功能有：a)交易报文的解析(XML格式)b)交易报文格式的转换（Base64编码，数据压缩）c)报文的数字签名d)支付网关商户代码与银联商

23、户代码对照业务处理流程收单支付网关支持的交易是付费交易、商户后续交易、商户交易结果查询。其中支付流程相对统一，无论从商户网站还是服务网站发起，交易流程均是一致的。支付流程图表 SEQ 图表 * ARABIC 2项目需求支付网关支付交易流程图1、持卡人服务在服务网站或者商户网站发起交易请求，确认订单；2、服务网站/商户网站将持卡人浏览器定向到支付网关；3、持卡人在支付网关输入卡号；4、如果该卡号验证参与成功，支付网关将持卡人浏览器定向到CUPSecure指定的URL位置，后续步骤参照CUPSecure交易流程。其中按照商户所需的分公司确定收单机构。5、持卡人在SC/SAA输入安全信息，进行确认；

24、6、对应的SC/SAA将持卡人浏览器定向支付网关；7、CUPSecure系统向支付网关发送交易结果；8、支付网关将交易结果告知持卡人，并将持卡人浏览器导向到商户。9、商户网站/服务网站从持卡人浏览器获得交易结果；10、商户网站/服务网站可以主动向支付网关发起交易查询。11、支付网关可以主动向商户网站/服务网站发送交易结果。服务网站得到交易结果后可以选择是否向银联分公司公共支付平台发起销账交易。后续交易流程对于商户网站，可以通过MPI发起后续交易，后续交易包括消费撤销和退货；对于服务网站的商户，后续交易暂时按照现有PPP处理方式进行，可以直接通过PPP完成。图表 SEQ 图表 * ARABIC

25、3项目需求支付网关后续交易流程图1、商户通过网站发起MPI，发起后续交易请求；2、收单支付网关收到请求后经过审核后，向CUPSecure转发；3、收单支付网关从CUPSecue得到交易结果；4、收单支付网关将交易结果向商户转发。交易结果查询流程图表 SEQ 图表 * ARABIC 4项目需求支付网关交易结果查询交易流程图1、商户通过网站发起MPI，发起交易结果查询请求；2、收单支付网关返回交易结果；安全控制为了保证整个网上支付过程中各方面的交易安全，支付网关需要进行多方面的安全考虑，其中包括：浏览器与网关间SSL加密交易报文数字签名和签名的认证网站CA认证业务管理平台业务管理平台是为银联分公司

26、和系统管理人员使用的。主要有如下功能：图表 SEQ 图表 * ARABIC 5项目需求业务管理平台功能结构图银联总公司管理人员包括互联网公共支付平台的系统维护人员以及业务管理人员。系统维护人员使用平台提供的管理工具监控系统运行状况并进行日常维护，例如系统监控、日志管理等。业务管理人员主要负责那些不涉及到银联分公司的业务或者银联分公司需要总中心协调处理的业务。银联分公司业务管理人员使用本平台完成相应的业务操作，主要包括：商户注册、商户管理、交易查询、报表打印、用户管理（主要管理分公司管辖的银行、商户用户）等。分公司业务管理人员是平台最主要的使用者。分公司业务管理使用平台的分公司人员主要是业务人员

27、，主要有如下几个功能：分公司信息管理分公司可以管理自己的自身信息，增加、修改、删除有关自己的信息，同时分公司还可以为自己分配用户管理，设置统一的业务参数等。商户管理和服务由于分公司负责商户的发展，因此承担商户维护的重任。商户管理包括商户增加、修改、删除、关闭打开、商户用户分配。商户服务主要是定义机构服务网站为自己商户提供的服务，如交易统计功能、报表下载等。分公司与商户签署协议书后，按照协议书中所列明内容，在支付网关管理界面中登记商户、分配商户标示、设置商户开通业务种类、协议有效期、以及一些相关参数。如果商户使用自己网站连接支付网关，管理平台提供商户证书管理功能。分公司可以在管理网站上修改商户的

28、信息。包括商户基本信息如名称、所在国家、地址、邮编、联系人、电话、传真、网页地址等。修改商户风险定义：可以增加、删除、修改风险策略。交易统计信息服务分公司可以在管理平台对自己互联网公共支付交易情况进行统计分析。数据传递接口发送数据给管理平台，以便在机构服务网站提供服务。如上传商户报表、异常交易处理数据等。总公司业务管理总公司对网上公共支付业务管理主要两个部分：业务管理和技术管理两个方面。在业务方面，包括分公司用户管理和自身用户管理，统计查询、报表服务、业务参数设置等。在技术方面包括日志管理、系统监控、数据转移等服务。操作员信息维护即系统的登录用户信息，包括了系统运行管理人员、客户服务人员、差错

29、处理人员、商户等等。用户包括了操作员编号、密码、姓名、联系方式、所属组别、操作权限等信息。不同的用户分属于不同的组别，每个组别可以被赋予不同级别的操作权限；例如系统管理员具有系统维护的操作权限，可以对操作员组进行添加、查询、修改、删除等维护。也可以进行其他的一些系统维护操作。交易查询分为当日交易明细查询和历史交易查询。当日交易明细查询当中，操作员选择某一商户或者所有商户进行查询，也可以按照交易类型进行查询。历史交易明细查询当中，操作员输入查询的起始日期和结束日期，以及商户信息和交易类型进行条件查询。交易查询结果列表支持翻页显示。同时可以下载查询结果文件并打印。下载报表本系统会定期生成相关统计报

30、表，操作人员可以通过下载报表功能下载并打印。系统参数为了增加系统的灵活性和可扩展性，系统内设置了许多可配置参数，需要进行管理的系统参数包括技术参数和业务参数，技术参数例如系统进程配置，通讯端口参数等，业务参数包括交易限额、风险控制参数等系统监控此功能主要用于对整个系统运行状况的监控，系统负载均衡、日常业务操作、维护和管理，故障恢复等，从而保证整个系统的稳定可靠性。包括应用系统的监控，例如实时交易监控，应用系统日志监控等。系统负载均衡可以根据系统繁忙程度分配应用的处理能力，使得硬件资源得到充分利用和均衡。其他管理功能日常业务操作包括起停相关服务、启动系统批处理、生成报表等。维护和管理包括了关键数

31、据的自动备份、数据的清理等。故障恢复包括系统故障检测，应用系统故障自动恢复，系统数据恢复等。非功能性要求统一性支付平台采用统一的支付界面，界面应简洁明了，布局合理，美观大方。不同支付类型例如订单类支付、公共类支付等支付界面的风格、要素和布局应保持一致。易用性所有人机界面均要求简洁、易操作，在线帮助便捷、准确，对于固定可选的输入选项应提供列表选择。可靠性软件可靠性是指在规定的条件下，在规定的时间内，软件不引起系统失效的概率。支付平台是一个复杂的系统，由不同功能的部分组成，因此必须在系统架构设计上保证系统的可靠性。支付平台在设计时要考虑三个方面的分离：核心功能与外围功能的分离；系统架构和模块层次关

32、系设计与具体业务开发的分离；支付平台与第三方接入系统接口的分离，从而在系统架构上保证了系统的可靠性。支付平台应具有容错性。在软件系统的实现过程中，限制用户误操作，并充分考虑和列举用户可能的误操作情况，对这些误操作均应有容错能力。提供提示和智能操作功能。支付平台应对由于客户端环境、网络系统、支付平台和外部系统可能出现的各种不稳定性或异常提供一套完整的错误消息处理机制，向用户提供清楚明确的错误信息，并提供对各种异常情况的处理措施，保证业务逻辑的完整和一致性。有效性系统高效可用，用户完成一项任务的正确和完整程度与所占用的资源（时间）之间应有一个合理的比率。系统要保证新用户学习功能的时间和有经验的用户

33、使用该功能的时间在一个合理的范围内。灵活性对商业银行在支付工具、认证方式、交易类别等方面存在的差异提供灵活的兼容处理能力，在不更改处理逻辑的前提下，通过灵活快速的参数化配置方式进行处理。扩展性在业务增长过程中，如果并发性能不能满足业务量增长的要求，系统只需要通过增加硬件和调整软件参数即可满足业务增长的需要，不必进行硬件系统的结构性调整和软件系统改造。负载均衡与流量控制采用负载均衡技术，均衡服务器群和应用程序之间流量，充分利用系统处理能力,。对大流量的并发数据或者突发性的大量交易，系统可以通过智能化的流量控制进行自我保护，避免因超负荷的交易量导致系统瘫痪。系统性能要求平均日处理笔数40万，平均每

34、秒处理50笔峰值日处理笔数100万峰值服务网站每秒处理40笔，支付网关处理80笔， 管理平台处理20笔卡号输入页面显示速度：用户提交支付命令后，平均5秒内、最多10秒内完整显示出银联的输入卡号页面验证信息页面显示速度：用户提交卡号后，平均10秒、最多20秒完整显示出银联或发卡机构的输入验证信息页面交易成功信息页面速度：用户提交验证信息后，在平均20秒、最多70秒完整显示交易成功信息页面安全需求银联互联网公共支付系统由于涉及资金并连接金融网络，因此对系统数据的稳定和安全要求非常高。具体要求包括：保证系统稳定持续，尽量不间断运行；保证敏感数据的安全和相关数据库服务器的安全以及互联网数据传送的安全性

35、、机密性和完整性；保证与联网金融系统的连接安全；使用备份机制，服务器及数据库要能够在短时间内恢复另外，网上支付安全问题的解决是采用在应用层上数据安全交换的加密/解密技术，以及基于公钥基础架构原理上的数字证书来完成。加密技术无论是对称加密或非对称加密都涉及到密钥的分发及密钥的身份认证问题。CA认证体系就是基于公钥基础框架之上的第三方认证机构，它提供用户公钥的身份认证依据。该用户的身份可以是网上的消费者、商家或金融机构的支付网关。身份认证防止非法用户可以伪造、假冒网站、员工和客户的身份。确保登录用户身份的可靠性。阻止用户执行权限范围外的操作。信息的机密性防止在企业内部和外部网络上传输的企业敏感信息

36、和数据在传输过程中被非法用户截取。信息的完整性防止敏感、机密信息和数据在传输过程中被恶意篡改。信息的不可抵赖性通过数字签名的记录作为仲裁的依据。系统总体设计系统建设目标本项目在依托CUPS/CUPSecure/PPP基础上，建立互联网公共支付平台，为各地PPP平台提供统一的互联网公共支付收单服务。互联网公共支付平台将为持卡人提供银联收单商户的互联网支付渠道，扩展银联卡的安全支付通道。建设服务网站，连接各银联分公司的PPP平台，提供用户全国统一的公用事业费查询与缴费接入门户，通过与支付网关连接后，支持所有银联卡的支付，提供各地公用事业机构可在此门户网站提交帐单数据与接收结果文件等各项服务。建设管

37、理系统，提供银联总公司与各分公司针对网关与网站的各类管理、维护、统计等功能。系统设计原则中国银联互联网公共支付平台着眼于客户的系统需求，立足国际上先进的系统架构设计，按照招标书的规划设计要求，设计的系统具有高质量、高可靠性、高扩展性和高安全性等特性，具体体现在以下几个方面：安全性服务网站和支付网关系统是构建于国际互联网上的支付平台，为了防止外界的恶性攻击，非法侵入，在进行方案设计时充分考虑到网络完全，关键信息的保密，加密系统的安全等。系统具有加密、解密、用户身份确认、证书认证，保密数据安全、权限管理控制、日志记录、安全审计等安全控制功能，防止通过网络和操作系统的非法入侵。可靠性和容错性公共支付

38、平台在硬件方面可以采用磁盘阵列及RAID技术来保证数据存储的可靠性及容错性。通过数字签名的验证来保证交易各方身份的可靠性。建立完善的机制来保证对帐和结算的可靠性。通过关键信息与一般信息相分离，保证数据的可靠性。同时提供完善的数据备份与恢复机制保证系统数据得到及时备份，并用最短的时间恢复系统。开放式、标准化选用的所有网络设备及主机系统都是基于标准化和开放式的准则；应用系统建立在符合J2EE标准的应用服务器平台之上；使用的加密算法都是当前标准的1024位RSA及128位3DES加密等算法。与行内系统连接可以采用标准的ISO 8583消息格式也可采用银行提供的接口规范。可扩展性系统的设计不仅要满足目

39、前业务开展的需求，也应支持未来业务发展的需要。在业务种类的扩展方面，系统应提供业务流程重组与装配，在业务处理能力方面支持不改变软件体系结构即可扩展系统的处理能力。可管理性公共支付平台处理系统中提供强有力的管理功能，所有的管理界面是基于浏览器方式，便于用户远端连接管理。还可以提供基于浏览器的统计分析，便于管理层及时有效的管理该系统。总体逻辑架构公共支付平台系统总体逻辑架构图：图表 SEQ 图表 * ARABIC 6 系统总体设计-总体逻辑架构图注：未标注Internet的连接视实际情况而定是否使用内网连接。公共支付平台主要构建于国际互联网Internet基础上，用户通过浏览器访问服务网站。平台由

40、3大部分组成，服务网站、支付网关、管理系统。服务网站受理用户的各类管理交易，各地公共事业帐单的处理。支付网关受理服务网站和其他收单商户的支付请求，并向CUPSecure系统转发。管理系统供内部管理使用，可访问网站和网关。平台逻辑层次应用系统采用多层体系的设计方式，具体的层次架构如下图所示： 图表 SEQ 图表 * ARABIC 7系统总体设计-平台逻辑图互联网公共支付系统的应用设计原理在纵向可以分渠道接入层，服务层和数据层等三个层次，其中渠道接入层用于外部终端或其他系统的接入，例如公共事业单位、业务人员的客户端浏览器都是通过渠道接入层的WEB服务登录系统，通过structs提交应用服务。服务层

41、是提供核心应用服务的部分，各种交易服务和业务的流程控制、逻辑处理等都属于该层内容。整个支付平台从横向业务上分为3大块，即网站、网关、管理系统。各自分别包括持卡人服务、机构服务、信息编辑、栏目编辑、分公司特色、网关MPI，交易处理、商户管理、CUPSecure API，用户管理、报表、交易统计、信息维护、数据传递、系统监控、系统维护等。安全层提供整个平台的安全保障，借助于CA认证中心，进行身份认证，权限控制，和提供安全方面的保障服务。互联网公共支付平台系统将构建在开放式的平台上，采用J2EE等国际主流技术进行开发，可选用Web Logic等中间件来作为支撑平台，渠道接入层和服务层均部属在中间件上

42、。技术逻辑架构互联网公共支付平台技术架构上符合轻量级J2EE应用框架，表示层、业务处理层和服务集成层合成后的应用系统技术架构图如下：图表 SEQ 图表 * ARABIC 8 系统总体设计-平台应用系统技术架构图公共支付交易平台技术架构中，表示层采用简单MVC结构的Structs架构，JSP界面代表表示层节点，可以是持卡人浏览器或者系统管理控制台，HttpReq代表客户端节点。业务处理层采用Spring框架，有效的实现了对POJO组件的管理。对于业务交易，通过表示层的ActionBean映射到BusinessBean中，由BusinessBean负责交易流程的控制和调度，具体交易的实现由Tran

43、sactionBean完成，ConnectionBean负责对外的数据交换。对于JSP界面发起的查询/参数修改等纯数据库简单操作则由ActionBean映射到封装好的Spring DAO组件中，有DAO/ORM完成对数据库的操作，将数据结果用TAG方式表现在JSP界面中。水平分层结构参照目前主流分层设计思路，HTAPI安全插件服务端也采用分层设计和实现的方式，逻辑上可以将HTAPI系统划分为表示层、业务处理层和服务集成层三个层次。WEB表示层WEB表示层是专业化平台的图形用户接口，为持卡人或系统管理人员提供页面展示，提供基于的Web的Http / Https消息接入。在本产品中，采用相对简单S

44、tructs的框架。公共支付交易平台提供三种不同类型的Web展现：交易服务网站界面管理监控界面支付网关卡号输入界面WEB表示层又可以细分为：视图表示层、模型层和控制层。视图表示层：符合JSP2.0规范，并使用一种简单的表达式语言（EL），能够用来容易地从JSP页面访问数据，这种表达式语言简化了基于JSP的不含脚本的应用程序的编写。运用JSP TAG技术来使页面的编写更简洁并可维护。模型层：通过调用ActionForm，ActionForm表示HTTP窗体中的数据，可以将其看作是模型和视图的中介，它负责保存视图中的数据供模型或者视图使用。控制层：负责处理必要的业务逻辑处理准备工作、服务集成层通讯

45、的信息封装和根据处理结果决定程序的去处。业务逻辑层业务处理层主要完成业务逻辑的处理以及数据库访问。在系统中，业务处理层主要由J2EE的Spring架构来实现的，Spring采用IoC依赖注入模式很好的实现了对组件管理。具体的业务组件主要实现为POJO（普通JavaBeans）。对应与上图中BusinessBean实现对交易流程控制，TransactioBean实现了交易实体操作，同时为了方便具体业务逻辑的实现，在系统中还实现了很多共用的POJP或辅助Java对象。以下对各种POJO组件进行进一步分析。事务管理控制事务管理层提供了对消息的交换、路由及长事务管理的机制，并在发出消息超时情况下能够触

46、发善意冲正与存储转发。流程管理层提供超强的信息交换功能。平台通过消息的自动匹配，根据全局事务流程的定制，由动态路由机制完成各种消息交换。配置工具提供了专注业务的开发方式，业务开发不需对事务和流程管理做任何的编码工作，管理方式通过SpringBean配置文件进行定制。长事务管理机制是应用系统解决多系统多阶段交易的可靠性、原子性和处理效率所依赖的关键特性，在业务定制的过程中，首先将交易的各个阶段按正常交易流程进行配置，从而产生交易的正向事务链，而正向事务链的每一阶段产生错误，必须定制相应的恢复逻辑，从而产生反向事务链。系统通过正向事务链与反向事务链对相关数据中心进行数据一致性管理。业务组件业务处理

47、层TransactionBean使用Spring Framework框架中的BeanFactory 和AOP编程方式来实现业务模块的软编码，通过运用Spring 的事务机制来维护交易实体处理过程。系统的受理渠道多样化，可以是来源于WEB（持卡人浏览 / 管理控制台），也可以来源于报文（通过客户端HttpPost），我们设计了一个ITransactionComponent的Interface，系统在实现每个具体的业务逻辑处理POJO时必须实现该接口。请求方将按照约定的格式通过BusinessBean来确定调用相应的TransactionBean封装实现相应的交易实体过程处理。由Transacti

48、onBean管理交易内数据处理过程和逻辑，调用CommonBean 或者 DAO/ORM提供的相应方法。报文请求为了实现系统对不同报文类型的支持，设计IMessage的接口，所有的接口报文必须实现IMessage的方法，提供了对不同报文格式扩展的机制。现在系统中继承IMessage的Buffer类/Field类实现了xml报文的支持。数据库访问封装具体的业务处理由不同的TransactionBean来完成。为了简化TransactionBean对数据库的访问，由Spring DAO/ORM对数据库进行封装，提供简单的操作供TransactionBean调用。DAO访问数据库通过Hibernat

49、e数据库持久中间件的JDBC方式和使用Entity Bean方式。DAO实现了数据源的具体访问机制，应用通过DAO提供的的简单接口访问数据源。采用Spring Hibernate ORM对数据源进行封装后，保证了系统应用处理逻辑实现的数据库平台无关性，如果改变数据库管理系统，只要修改DAO/ORM就可以，而不需要修改业务处理组件。对外连接的封装对外的通讯连接组件必须要实现ICommConnctor接口，在应用系统中不需要关心具体的通讯连接组件，它只需要知道ICommConnector接口即可。这样就将系统的对外连接和应用系统分离出来。为支持Http协议报文发送，系统将设计一个Connectio

50、nHttpBean（实现 ICommConnector接口）来实现往外发送HttpPost协议报文。公共服务为了简便应用系统的开发，系统还统一设计了一些公共服务组件，这些公共服务组件实现了一些公共的服务，如产生报文流水号、特别异常处理、日志记录、Base64编码、数据压缩、数据安全等等。这些公共服务组件通过CommonBeans来实现，包括提供一些公用的辅助类，这些服务可以被各TransactionBean和ConnectionBean直接调用。服务集成层服务集成层用于解决和外部系统和外部资源的互连，目前主要采用JDBC、LDAP HTAPI等方式实现。通过HTTP/HTTPS，实现系统与SA

51、A/CUPSecure双向的数据交换。采用Hibernate封装数据库的访问，它对JDBC进行了非常轻量级的对象封装，可以轻松地在永久性存储介质中保存数据，而无需在选择存储、安装或配置类型方面花费太多精力。Hibernate能够存储任何类型的对象，因此，应用程序不需要知道其数据将使用Hibernate进行持久化。应用系统安全架构为了保证系统高度安全性，华腾公司对电子支付系统从客户端接入到数据存储管理的安全都经过了充分的考虑。 在用户浏览器层与服务网站接入之间支持SSL。服务网站和商户网站与支付网关间支持SSL、CA证书、数字签名等技术。支付网关与CUPSecure间符合CUPSecure规定的

52、各类安全规范。在应用层方面，系统提供用户密码验证，权限控制，PIN、MAC加解密等技术，在应用层要求所有敏感信息例如登录密码等均不能以明码形式存在。另外，系统还要求对关键数据库例如帐户表等数据进行重点安全控制，设置用户密码进行权限控制等，以及通过防火墙进行网络安全控制等等，具体的安全保障策略在第六章进行详细描述。平台外部接口互联网公共支付应用系统作为在线支付平台，在业务处理中时刻与各系统交换数据，因此，这些系统接口以及接口的相关规范和标准需要被明确。平台主要的外部接口如下图： 图表 SEQ 图表 * ARABIC 9 系统总体设计-平台外部接口其中主要的接口包括：网站服务器/收单商户与支付网关

53、之间的MPI接口MPI是“商户端支付软件包”，是采用证书身份验证方式，为银联特约网上签约商户提供支付接口。其中，商户不需自己开发复杂的程序，只需简单调用该接口。网站服务器和PPP之间的接口网站服务器与管理系统的接口支付网关与CUPSecure之间的API接口支付网关与管理系统的接口管理系统与CUPS LDAP间的接口方案特点成熟性与先进性兼顾系统设计以华腾的成熟解决方案为核心，集中体现了系统的成熟性；同时，根据业界技术的发展趋势，系统还提供了特定行业应用的扩展接口，方便进行应用和系统功能扩展，系统的整体技术水平在国内领先。可靠性实现系统可靠性包括应用系统、主机、和网络的可靠性。支付平台在设计时

54、考虑三个方面的分离：核心功能与外围功能的分离；系统架构和模块层次关系设计与具体业务开发的分离；支付平台与第三方接入系统接口的分离，从而在系统架构上保证了系统的可靠性。支付平台具有容错性，对用户界面的误操作，进行提示和智能操作功能。支付平台在应用设计和技术实现上，提供一套完整的错误消息处理机制，向用户提供清楚明确的错误信息，并提供对各种异常情况的处理措施，保证业务逻辑的完整和一致性。两台Web服务器，两台应用服务器的网络方案，（详见网络与系统部署方案），保证系统参数的更改和软件滚动升级。支付平台系统考虑到金融系统中数据信息的重要性和特殊性，在应用层充分考虑了应用程序的稳定性，应用处理逻辑严整性，

55、系统故障恢复，数据可靠性等，确保系统724小时运行。可用性实现根据交易种类的不同和管理功能的不同，合理设计操作流程和操作界面，充分考虑流程中可能出现的异常，为用户提供友好、合理、人性化的操作感受。系统和交易监控界面简洁、友好，为运营人员提供及时、明确、醒目信息。平台业务流程设计，方便新用户快速学习，和有经验用户快速使用。平台参数配置灵活，针对不同的目的设定各种切实可行的参数配置方案和策略。可扩展性实现可扩展性包括外部接口系统的可扩展性和平台业务、交易功能的可扩展性。外部接口系统可扩展性的实现：采用公用技术标准，制定平台交易的业务规范和统一的通讯报文接口，为商户订单管理系统，银行支付接入系统，提

56、供不同需求满足的安全插件API，降低外部接口系统改造成本，并可提供统一的支付接口。平台业务、交易功能可扩展性的实现：采用符合信息技术发展趋势的技术构成，组件化、层次化，高可配置性设计支付平台，以适应电子商务交易的复杂性和未来业务的发展变化，易于新需求和新业务的扩展。高安全性实现高安全性实现将保护用户的私密信息放在首要位置，保障平台用户信息安全，平台接口系统数据安全、运行安全。从物理和网络部署，安全技术，应用逻辑设计，管理规范等各个层面整体考虑支付平台的安全性，提高平台的整体安全性。详细方案建议见第六章安全方案。应用系统设计应用系统的设计与业务需求密切相关。本章就公共支付平台系统的应用实现架构和

57、需要考虑的问题提出规划建议，并说明在此系统架构下不同业务子系统之间的协同运作和集成。业务实现架构基于前一章对公共支付平台系统的总体架构设计，公共支付平台系统由交易服务网站、业务处理子系统、客户信息管理子系统、管理信息信息子系统（包括统计分析及报表查询）等业务子系统与渠道接入平台、信息交换平台（包括实时信息交换平台、非实时信息订阅发送平台）、系统管理控制台、系统监控平台等技术支撑平台组成。技术支撑平台技术支撑平台本身并不完成业务相关的业务功能，而是提供了一个具有高度的可扩展性的弹性支撑平台，通过这个技术支撑平台，将各业务子系统所能提供的服务功能整合起来，构造出各种传统的账单支付服务和衍生的增值服

58、务产品。从本质上说，该支撑平台是一个典型的信息交换和应用服务平台。渠道接入平台渠道接入平台作为统一的前端系统接入渠道，起到了各种服务提供渠道的整合作用。这些服务渠道包含了基于Internet 的交易服务网站方式，在后续的系统建设中可以将服务渠道扩展到电话服务中心、WAP 等服务方式，将传统经营方式和现代化的服务手段进行充分的整合。渠道接入平台也为商户、银行等服务方提供了统一的信息传输服务。信息交换平台信息交换平台为系统各个组成部分之间的信息传输提供了统一的抽象服务。信息交换分为两种类型，除了传统的请求/应答方式的信息交换机制外，也提供了基于订阅/发送方式的主动推送的信息交换机制。信息的类型除了

59、传统的联机交易的报文类型，也支持海量的数据类型，如文本文件、XML流、数据库表数据等。 信息交换平台也用于将系统内部的各种原子交易通过流程定义组合成系统对外提供的服务。通过流程定义，为跨第三方机构的全局交易提供基于冲帐补偿机制的交易原子性管理。管理监控控制台系统管理控制台提供系统日常的业务维护及管理功能。 系统监控平台提供系统运行状态实时信息的监控，并提供报警，事故诊断，解决建议及部分子系统的运行状态控制等。业务系统概述业务系统可以进一步划分为业务处理子系统、支付网关子系统、客户信息管理子系统、管理信息子系统（包括生产数据统计，报表生成及报表查询）、商户服务子系统、公共服务子系统、交易服务网站

60、等五个子系统。各个业务子系统具有明确的业务对象管理职责，通过清晰定义的界面提供相应的服务。业务处理子系统业务处理子系统在本方案中是实现各种业务管理功能的核心子系统，包括各种公共事业账单查询、综合缴费、商户管理、公共支付服务、银行服务等业务功能实现。业务处理子系统通过部署在平台上的一系列业务模块实现相应的业务功能。本方案的业务实现方法与传统的按业务条线划分的业务实现方法有很大的不同：业务功能模块本身仅实现与特定的业务特征相关的业务管理功能。该业务处理过程中需要的共性的处理服务是通过调用客户信息管理子系统、支付网关子系统所提供的服务功能实现的。支付网关子系统支付网关子系统在本方案中是支付实现核心子