《2021【在线支付安全解决方案探讨】.doc》由会员分享,可在线阅读,更多相关《2021【在线支付安全解决方案探讨】.doc(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2021【在线支付安全解决方案探讨】随着城市信息化建设和应用的不断推进,城市一卡通在做好自身发展建设的同时,通过有效整合资源,不断拓展完善市民服务功能,对于建设节约型社会具有十分重要的现实意义。我们在2009年底开展的住房和城乡建设领域IC卡应用情况调查中发现,近90%的城市一卡通公司的IC卡应用已经拓展到小额消费领域的商场、超市、便利店、餐饮、健身、影剧院应用;自来水、燃气、供热等公用事业及通信方面的缴费;数字社区中门禁、停车场的管理以及园林景点门票应用。这些基于城市一卡通的增值服务,不仅扩大了持卡用户群和发卡量,还切实为百姓提供了便利周到的服务,当然最终也会为通卡公司自身带来了更多收益。对
2、于目前大家比较关注的城市一卡通在线支付,在此,我们从应用层面、技术层面进行简要介绍为行业应用提供参考。目前,越来越多的传统行业已经意识到,在以计算机、通信、网络为代表的信息产业快速发展的时代,实现电子商务是行业在愈演愈烈的市场竞争中得以生存发展的必由之路。据国内研究咨询机构发布的中国第三方支付市场蓝皮书中介绍,2009年国内第三方支付市场交易规模接近6000亿元,第三方支付平台为传统行业提供了释放价值的机会。近日,为规范非金融机构的支付服务,中国人民银行发布了非金融机构支付服务管理办法,管理办法中明确规定,非金融机构提供支付服务,应当依据管理办法规定取得支付业务许可证。城市一卡通在线支付泛指持
3、卡人通过使用城市一卡通公司发行的IC卡在网络上完成充值业务或者消费业务。此种支付方式将帮助IC卡持卡人足不出户即可完成一卡通卡的充值并提供各种网上小额支付服务,包括公用事业缴、通信缴费、网上购物等。为持卡人节约大量时间和精力成本的同时,即可随时享受安全、快速、便捷的服务。通过调研,目前城市一卡通在线支付主要由第三方运营机构进行运营和管理。第三方运营机构负责电子支付系统平台和自主终端的开发和建设,投资一般由第三方运营机构承担。特别开发的终端系统一般都能读取多种类型的卡片,如城市通卡、银行卡等。城市通卡通过电子支付系统平台发生的充值、缴费、消费等交易,一卡通公司将按一定比例支付交易服务费用。一卡通
4、公司利用电子支付平台终端消费领域的多元化,完善了充值、消费的业务环境,提高了城市通卡的刷卡率,加大了资金的周转率,增加了利润收益。调研中第三方运营机构还反映了一点很重要的问题,就是随着各地方跨地区跨行业的应用需求,互联互通应用已成为发展趋势。在城市一卡通建设或升级改造时,如统一使用建设事业IC卡密钥管理系统并遵循行业标准进行规划建设,将会提高在线支付系统的建设效率并可节省大量建设资金,同时也将会更加高效、便捷地为一卡通公司提供应用的拓展服务。1.1.一卡通系统:提供一卡通业务支持,包括卡片应用规划,卡片物理介质发行,密钥管理,清分清算处理。在线支付系统需要一卡通系统的支撑。1.2银行系统:泛指
5、能提供银行支付的系统,比如网银和第三方支付系统。客户能够借助银行系统使用银行卡为卡片的电子钱包进行圈存。在线支付系统可以针对资金的流转进行清分清算。1.3.商户系统:泛指在线支付系统发展的商户,客户可以使用电子钱包账户在商户系统进行消费。事后在线支付系统可以同商户怎对发生的消费交易进行资金清分清算。1.4.客户:客户指在线支付系统的消费群体,持有一卡通发行卡片和从在线支付系统获取POS机具。并借助银行系统完成对卡片电子钱包的圈存和用电子钱包在商户系统中进行消费。1.5.卡片:卡片由一卡通发行的。卡片可由在线支付系统开设专用的电子钱包应用区域。客户持卡片在POS机具上可以完成对电子钱包账户上的充
6、值和用电子钱包消费完成消费。卡片的电子钱包应用需要在线.POS机具:POS机具属于某个客户实体。客户可以持不同的卡片在POS机具上对卡片电子钱包充值和用电子钱包消费完成消费。POS机具需要被在线支付系统管理起来。1.7.网点柜面:可以受理客户的业务办理,完成卡片以及POS机具的发放和管理,以及其他相关业务。在线支付系统依托互联网络组建业务环境,应采用TCP/IP面向连接的通讯方式实现在线支付系统与家用电脑的连接,应采用Internet或专网(DDN)方式实现在线支付系统与外部系统的连接家用电脑增加POS机具提供与IC卡交互的能力。POS机具应能够提供IC卡应用的安全控制。家用电脑通过浏览器,借
7、助POS机具与在线支付系统的Web服务器进行交互实现一卡通业务。3在线读卡器:解决在线支付问题的关键是在客户端提供可安全读写非接触式IC卡的读写终端,包括读取非接触逻辑加密卡和非接触CPU卡。3.1.3 读写终端提供PKI认证功能,存储数字证书,提供密钥交换、数据加解密、数据签名功能;证书下的下发应由住房和城乡建设部IC卡应用服务中心统一管理,并下发给城市进行二次初始化。在线支付应独立架设WEB服务器和应用服务器。并将WEB服务器架设于互联网络中。在线支付客户端和在线支付WEB服务器间的通信采用HTTPS安全协议。在握手时,采用存储在读写器内部的客户端证书进行身份认证和数据加密。在线支付客户端
8、访问支付网关页面时的安全由支付网关负责验证支付客户端的身份合法性,只有通过认证的客户端才允许进行其他操作。在线支付服务端和各卡公司间的通信采用SSL安全协议。卡公司则安装服务器证书,支付服务端安装客户端证书。在线支付客户端在对用户卡进行充值时,需下发交易密钥和交易数据。此数据应保证在自一卡通公司加密送出后,到读写器内部解密前,不在任何环境中出现明文。为适应各城市不同的交易流程,读写器支持交易脚本的运行。在为不同的城市进行充值时,采用不同的充值脚本。充值脚本分为命令脚本和数据脚本。命令脚本中还有对用户卡进行操作的流程控制。数据脚本中含有对卡进行操作的数据和密钥。交易过程中,要对数据脚本和命令脚本
9、进行下载。下载的数据在各卡公司用读写器加解密密钥对的公钥进行加密,数据在读写器内部由读写器加解密密钥的私钥进行解密。交易完成后,读写器用私钥对交易数据进行签名。并将数据返回给各城市卡公司。城镇建设及公共服务领域CA系统是继建设事业IC卡密钥管理系统之后针对在线支付业务应用进行设计开发,目的是为了确保在线支付的身份认证和密钥传输过程中的安全性,结合建设事业IC卡密钥管理系统构成行业IC卡的安全体系。CA系统部署分布如下图:各工作CA的LDAP服务器需要进行同步,证书状态一有变化,就能及时反映到所有的证书发布系统。交易发生时,读写器并用自己的私钥对交易数据进行签名,充值系统传送交易数据并记录交易日志;城市一卡通系统通过使用自己颁发的读卡器证书验证签名信息来验证交易数据及卡信息是否被篡改,并检查卡信息;验证通过后返回充值允许信息(充值密钥和数据脚本),并用自己的私钥进行签名;安全管理,特别是充值、清算、资金划拨等环节高度的安全性,采用行业IC卡应用安全管理机制,采用城镇建设及公共服务领域数字证书认证系统,加强系统中所有涉密设备的检测工作。综上所述,在线支付对于一卡通公司来说,又为市民和持卡人提供便民、惠民进行了一个重要补充,这种涵盖线上、线下支付服务战略,将为一卡通公司赢得更大的市场空间。第 6 页 共 6 页