支付系统应用安全设计方案vDOC

UC-2010-04-01-04-2010-4-2010-4-51.02010-4-141.0版本的基础上，依据客户的要求进行补充，同时1.1版本。 文档说 目 名词说 软件需 客户原始需 需求分 系统设 网络结构 系统结构 系统功能清 系统部署 系统组 密钥体 密钥运用示意 密钥分布 密钥说 密码服务平台RSA密钥对的初始化流 平安控件和密码服务平台的密钥同步流 交易平安处理流 用户登录密码验证流 PIN的平安处理流 交易报文的平安处理流 交付 附 项目风险说 建议硬件、操作系统配 项目其它要 PINVerifyKey，PINPINZonePINKeyPINPINRSARSARSAPIN用户用户的PIN在网上交易过程中PIN的验证由业务主机和密码PINRSA PIN。 钥加密的PIN转换为与主机约定的ZPKPIN交易报文RSA用户登录码输入的软键盘功能（PVK统将PVK加密的登录密码密文保存到数 安全控用安全控用IE终安全控网上支付应用应用服务业务主管理人密码服务平密码3-1IE终端保存，由应用系统调用其中的功能函数进行平安处理。安全控网上支付应数安全控网上支付应数据密码服务平台服务PKPVK数据ZPK同软Key模密码密码服务平台的业务主安全模密码3-23-2平安控件分为两部分，‘平安模块’供应应用系统访问平安控件的接口，Key模块’供应密钥访问和算法接口，相当于一个软件算法模块。假如将Key模块’即可。Key模块’中，公P10RSAP10√√√√√P10√√√供应密码输入的软键盘功能（包含字符和数字输入，且数字输入随机乱序PIN√√√√RSA√√√√CA√√v3√√√P10√√√APIAPIPINZPKPIN√√APIPVK√√APIPVK√√√√IDAPIAPI的输IDID号由应用系统取值，用以唯一标识一个用户。 管理终端人监控终端监监控终端监 3-3 √√√√ √平台√√√√3-4PIN/PIN/台PK安全控件 RSA公私钥对，私钥保存在自身的密密码服务 签发平安控件的P10在密码机内部 明文形式存储在密码服务平LMK加密的密文形式存储在 时通过初始化工具由密 保存由CA签发的公钥证书（X509v3。一般投产之后不会变更。密码服务X509 明文形式存储在密码服务平明文形式存储在平安控件的平安控件Key模块中。每个平安控RSA 产生，由用户输入的口 P10公钥证书由密码服务平台签发，签发时密码服务平台保存平安控平安控件 供应应密码服验证交易报文 明文文件形式存储在平安控Key模块中。 明文形式存储在密码服务平与业务主机约定的LMK加密的密文形式存储在 密文形式存储在业务主机的 密码服务平台的加密/验证用户登录LMK加密的密文形式存储在密码地保存时用LMKLMK爱密码服务平台的RSA密钥初始化流3-6RSA件安全控件和密码服务平台的RSA

3-8PIN的平安处PIN的安全处理流3-9PIN交易报文的安全处理流3-10APIJavajarWebServer海航集团网上支付系统应海航集团网上支付系统应APIAPI1 存