POSP系统技术方案书

POSP系统技术方案书
二零一六年四月
目录
1.前言 (4)
1.1概述..........................................................................................................错误!未定义书签。

2.系统目标 (4)
2.1系统需求 (4)
2.2系统目标 (5)
3.系统结构设计 (6)
3.1系统建设原则 (6)
3.2系统网络拓扑图 (8)
3.3体系结构 (9)
3.4交易处理流程 (10)
3.4.1非账务类POS交易流程 (10)
3.4.2账务类POS交易流程 (10)
3.4.3管理类交易流程 (11)
3.5软件体系架构 (11)
4.接入服务系统 (13)
5.应用系统 (13)
5.1交易核心控制 (13)
5.2应用路由选择 (14)
5.3自动事务冲正 (14)
6.交易监控系统 (15)
6.1交易监控 (15)
6.2状态监控 (15)
7.前置机管理系统 (15)
7.1操作员管理 (16)
7.2设备管理 (16)
7.3流水管理 (16)
7.4业务管理 (16)
7.5卡种管理 (16)
7.6POS操作员管理 (17)
7.7密钥管理 (17)
7.8交易参数配置 (17)
7.9报表管理 (17)
8.安全系统设计 (19)
8.1硬件加密 (19)
8.2密钥体系 (19)
8.2.1硬件加密机密钥结构 (20)
8.2.2加密机密钥分类 (21)
8.3前置系统安全解决方案 (22)
8.3.1通讯数据加密 (22)
8.3.2POS密钥处理 (23)
9.系统出错处理 (25)
10技术优势 (25)
1.系统目标
2.1系统需求
系统安全性要求高，便于全行执行统一的安全策略，降低安全成本，提高安全水平 软件的模块化易于维护，业务便于拓展；
系统能平滑过渡至银联卡业务；
便于联接各种型号POS；
开放性和扩展性强；
避免网络系统建设与应用系统开发简单重复等现象；
支持多种通讯方式（有线、无线等）。

系统要充分运用先进的计算机、通讯等技术手段以及现有的计算机设备和网络资源，建立大前置系统，为客户提供丰富、快捷、方便的金融增值业务服务，实现银行的数据集中。

从安全角度上看，系统需满足以下安全需求：
数据的保密性
对一些敏感或重要的数据(如客户PIN)利用密码技术进行加密处理,在整个交易过程中PIN不能以明文方式出现，以防止它被未受权者获得。

数据完整性
在金融业务处理过程中必须防止数据被意外或人为的修改。

常用的技术是对数据进行某种运行得出校验码(MAC),通过对校验码的验证来签别数据的完整性。

身份认证
任何用户在进入计算机网络或计算机系统之前,必须首先向网络或计算机给出能表明自己身份的鉴别标志,经鉴别核实后方被允许使用计算机。

发送方对发送数据的不可否认性
采用一个数字签名,可以有效的防止发送方被他人冒充,同时接收方可确认报文内容
确无篡改,发送方对其所发信息也不可否认。

可审计性
审计对金融的安全管理十分重要，审计是发现犯罪和侦查取证的重要手段之一。

2.2系统目标
基本目标
系统具备消费、转账、代收费、查询余额、结算等基本POS业务功能；
系统具有运行中错账自动恢复和/或声明功能。

无法自动恢复的错账可以由手工进行恢复；
校验端末设备交易数据有效性，减轻主机负担；
账务部分依托于原有的业务系统，新增的POS业务功能能在对系统不作重大修改的情况下连接进去；
所有端末设备及操作人员的管理及维护交由各级支行的管理员自己完成，当然总行的超级管理员也可以进行管理，管理类的相关数据可以不存入主机，统一由前置机
中的库表保存；
前置机每次批处理结束后统计出关于POS交易的各类业务报表下传支行的监控管理机中，这样可以便行支行及时了解本地POS的使用状况。

但是支行不保存数据，数据统一保存在总行的前置机中，各支行只能管理及查询本地商户及POS的使用
状态等等，不能管理及查询其它支行的POS状态；
前置机系统在每日所有业务完成后，进行日终结算，汇总各项交易发生额，并生成各种报表；
数据备份、恢复和扩展。

每天日终结束后，将该日发生的数据备份到磁带或灾备数据库供长期保存和查询。

若前置机系统发生故障，可将备份磁带装回系统；
系统严格按照结构化设计，全程考虑安全性，注意扩展性，为其他未知的交易保留必要的编码空间；
交易数据的路由转发，对不同类别卡的数据按要求向不同的主机系统发送；
系统能够整合商业银行当前的其他系统（如银联卡系统以及其他中间业务）；
向用户提供方便的查询手段和监控功能。

其它目标
该系统可以支持终端多种的接入方式，如无线（GPRS等）的接入，保证系统的可扩展性；
本系统与原有的后台主机系统相接，本系统的加入要保证不影响原有系统的正常运行；
3.系统结构设计
系统采用数据集中方式。

系统的设计采用CLIENT/SERVER结构，主要包括前置机系统、监控系统、管理系统、终端设备等，采用以太网技术、无线GPRS技术、电话网NAC 技术进行系统连接。

3.1系统建设原则
（1）稳定性原则
保证各种情况下系统的正常工作，同时需保障原有系统的安全稳定运行。

（2）规范化原则
严格遵守银行的《销售点终端（POS）应用规范》。

（3）扩展性原则
系统既要满足现有交易（包括POS，自助终端等）的需求，又能适应将来对其他金融服务的新需求。

（4）科学先进性原则
严格按照系统工程的组建原则，采用科学的方法和先进的技术。

（5）安全性和保密性原则
网络要杜绝任何不安全因素，要有很强的保密措施，确保网络的正常运转。

有强有力的自我管理能力，严格控制网络的出入口，防止黑客和计算机病毒的入侵，并防止网络外用户的入侵或对金融数据的非授权访问或更改保存信息和数据，必须采用数据加密、报文认证等多级防范措施。

（6）可靠性原则
除了通信子网提供的可靠性保障外，网络本身要有软硬件的检错纠错手段，保证无差错处理，关键部件以及通讯线路均应有备份，以保证系统可靠运行。

系统的模块化设计有效地屏蔽了所有底层系统操作与数据库操作。

对应用软件的设计充分考虑了容错性（包括对ISO8583冲正交易的支持及交易消息转存重发），及从业务角度设计的整套交易取消与冲正，从而充分保证了交易数据的完整性。

（7）独立性
前置系统功能的实现必须避免主机应用的开发和调整。

将前置处理系统与后台账务处理系统分离，后台账务处理系统与前置系统只是通过标准的接口实现数据的交换与处理。

（8）通讯方式的多样性原则
平台要支持TCP/IP等有线的通讯方式，同时也要支持GPRS、GSM等多种无线通讯接入方式，保证以后业务的扩展；
（9）工程实施方面
在保证需求的前提下，力争做到合理控制投资规模；明确需求、友好合作、严格管理、加强技术投入，将项目的风险降到最低，保证项目按期保质的完成。

尽量使用已经成熟的技术和产品，把开发工作量缩短到最小；合理分析系统需求和业务量，提出系统配置方案，尽量减少硬件投入。

3.2系统网络拓扑图
系统的网络拓扑图如下：
网络接入模式：
MODEM接入
从POS终端到网控使用的是拨号接入方式。

以太网接入
从网控到大前置接入方式为以太网接入方式。

无线接入
以GPRS或CDMA方式无线接入
3.3体系结构
POSP系统由后台子系统、监控子系统和管理子系统构成。

后台子系统实现POS渠道接入、交易的控制和主机系统通讯功能。

监控子系统主要实现前置交易的实施屏幕监控。

管理子系统则实现运行管理、系统参数管理、交易流水查询、日终处理和密钥管理等功能。

系统体系结构图如下：
3.4交易处理流程
POS发起一笔交易，拨号经过通讯网络（PSTN、ETHERNET、GPRS/CDMA等)到当地的网控器，然后通过专线（DDN/X.25）到总行大前置，经过前置机有效性判断，卡种的判断等检查，然后发送到相应的主机系统处理后返回。

3.4.1非账务类POS交易流程
上送
POS发起交易请求网控器
3.4.2账务类POS交易流程
3.4.3管理类交易流程
路由器
3.5软件体系架构
前置机系统主要有包含以下几个子系统： 接入服务系统
交易控制系统
交易监控系统
前置管理系统
前置安全系统
核心系统为交易控制系统，该系统主要处理交易，负责连接其他系统。

POSP系统的主要子系统关系图如下：
系统设计主要有以下几个特点：
双进程实现输入、输出处理并发
自定义消息队列技术的广泛应用
交易路由机制
交易的超时处理
POS接入系统实现串口通讯接入和以太网通讯接入，交易服务系统处理的交易服务分为：管理类交易、金融类交易和下载密钥。

4.接入服务系统
接入服务系统作为银行内部应用系统以及银行外系统的接入门户，主要完成各可控网络系统间与大前置机系统的接入服务。

接入服务系统应具备如下功能：
（1）、与网控器的接口
该系统能接收网控器发送过来的数据，并能识别该协议的数据。

（2）、与外卡中心(银联中心)的接口
该系统能接收外卡交易数据包,并负责转发到外卡中心或者银联中心,正确的处理交易。

（3）、与业务主机的接口
该系统能将属于本行业务主机的数据包，转发到主机并正确接收返回完成交易。

（4）、无线通讯的接口
该系统能同时接收无线（如GPRS）POS发送的数据包，并正确完成无线通讯的交易。

（5）、与其他系统的接口
该系统预留与代缴机构的接口，可以完成和其他系统（如代缴，IC卡充值等）进行通讯的接口。

5.应用系统
5.1交易核心控制
该模块主要负责处理网控上来的数据，经过一定的处理后转发到相应的系统主机，交易流程如下：
5.2应用路由选择
应用路由在系统中是根据交易种类的不同而不同的,可以支持多种交易路由选择。

交易控制模块可以非常灵活地进行交易路由的选择，以进行目标端口的定位，控制交易的流程；
每类交易报文的传送都有一定的路径选择，并且每个代理单位系统路由选择的依据可能多种多样、各不相同，如有的是以账号或卡号的某些位来判断路由，有的是根
据上送的主机名来判断路由等等。

通过路由的定义，能准确、清晰地描述交易流程，在进行路由选择时，报文中的所有信息都能加入到路由条件中去，使路由功能非常
强大。

5.3自动事务冲正
在每类交易过程中，都有可能由于各种意外情况而使交易失败的情况，必须最大限度的保证金融机构的利益不受损失，保证不出现或少出现账不平、单边账的情况；
自动冲正管理模块解决系统事务完整性和一致性问题；
充分支持冲正报文、智能报文的存储转发处理；
在进行交易冲正时，自动冲正模块与交易核心控制模块配合，进行冲正包的组包和解包，根据返回的冲正响应包判断冲正是否成功；
冲正时基本原则就是倒冲的原则，自动冲正模块完全按倒冲原则进行冲正；（倒冲原则：后发生事务先进行冲正）。

6.交易监控系统
6.1交易监控
对前置机发生的每一笔交易情况，都实时地显示在监控屏幕上，便于系统管理员及时了解系统运行的动态信息。

如果是自助终端，还可以增加报备管理，主要是显示自助终端设备状况，如：缺纸，网络通讯故障，打印机错误等故障，实时的监控等等。

此外，对于监控交易系统，可以下发到各个支行，但是各个支行只能监控到当地的POS或者自助终端的交易状况，而不能监控到其它支行的设备交易情况。

在总行监控机则可以看到所有设备的交易状况。

6.2状态监控
监控服务器的实时监控屏能实时显示POS的状态和故障信息和当前的来电号码，故障状态包括缺纸、密码键盘连接错误等。

7.前置机管理系统
管理系统功能包括：操作员管理、设备管理、流水管理、业务管理、卡种管理、运行管理、POS操作员管理、密钥管理、交易参数配置和报表管理。

7.1操作员管理
前置机的管理员分为操作员和超级管理员。

操作员可以增加设备，查询流水等等操作，但是不能对其他管理员进行操作。

超级管理员可以增加其他操作员，设定操作员的权限等。

7.2设备管理
操作员可以对设备的相关参数（如商户号，终端号，负责人，终端所属地市等等）进行管理，可以增加，删除，查询设备等操作。

7.3流水管理
可以查询交易的流水，并且可以根据交易的信息（如交易流水号，日期等）查询到具体的交易信息。

同时也可以针对特别的流水进行查询，如查询异常流水，查询交易的失败率等等异常的流水，并提供报表。

7.4业务管理
业务管理可以针对银行业务部门的不同需求，对各种交易进行统计，打印出相关的日报表，月报表，年报表等相关的业务报表。

7.5卡种管理
卡种管理可以设定卡种，根据设定的卡种(本行卡/外卡)区分出不同的主机处理的交易。

7.6POS操作员管理
可以对POS的操作员进行管理，可以增加，删除，查询各个POS的操作员。

7.7密钥管理
为了保证交易的安全性和完整性，每一个POS都有各自的工作密钥（PINKEY/MACKEY），PINKEY用于加密个人密码，MACKEY用来加密数据包，形成MAC （信息校验码）。

所有POS共用一个主密钥（MASTERKEY），由专人管理，负责传送工作密钥时的加密。

以上所有密钥在数据库中存储均使用密文方式。

7.8交易参数配置
客户信息表配置、应用路由控制表配置和交易代码表配置
7.9报表管理
报表管理实现的报表种类包括：
POS业务轧账单
POS业务总计表
本地POS业务对账结果清单
本地POS业务对账不符明细清单
本地POS业务冲正交易明细清单
本地POS业务交易结算单
本地POS终端清单
本地特约商户清单
本地服务费率清单
POS交易汇总表--按各商户汇总
POS业务对账不符明细列表
POS业务冲正交易明细清单
POS交易业务量统计月报表
业务量统计月报表
总行管理终端类
按各商户生成--商户POS交易明细表
8.安全系统设计
8.1硬件加密
目前所使用的加密方式有两种，即软件加密和硬件加密。

使用软件加密成本低廉但是存在以下不足：
软件的运行要占用主机资源，并且软件的处理速度较慢；软件运作时很多重要的资料(如用来做密码运算的密钥，或顾客的PIN)都会在某时间清晰的出现于计算机的记忆或磁盘上，而对计算机数据安全有一定研究的不法分子便有机会把这些资料读取、修改或删除，破坏系统的安全性。

软件不能提供一种有效的机制保护密钥的存储安全。

而密钥一旦被人盗取，则客户密码PIN也就无安全可言。

而国际银行卡组织（VISA、万事达）以及我国的银联组织均作出了在金融系统中必须使用硬件加密设备的规定。

并且根据我国有关法规，不能使用进口涉密产品。

8.2密钥体系
(注：这里可以采用软件加密机制代替硬件加密机，从而降低先期投入成本)
硬件加密机要有一套完善的密钥管理方案，这包括密钥的产生、分配、贮存、转换、分工和分层。

硬件加密机采用国际标准(ISO8732、ANSIX9.17)，对密钥进行三层密钥管理模式，令成员行和交换中心处理密钥的工作更为安全和方便。

以分工来说，不同的信息需使用不同的密钥加密，例如交换中心与银行互联的区域PIN 密钥(ZPK，又称PIK)便与生成信息认证的Zone Authentication Key (ZAK又称MAK)不同，这样的好处是当其中一密钥的安全出现问题时，并不会影响其他信息的安全性。

而密钥的分
层则有利于密钥的更新和传送，同时保证了密钥的安全性。

8.2.1硬件加密机密钥结构
下图为硬件加密机的三层密钥结构：
密钥的层次结构
第一层，MK为加密机主密钥, 有三个成分组成，它是采用双倍标准的DES密钥（长达112位），它是存放在HSM机内的，真正实现三重数据加密技术。

它的作用是将所有在本地存放的其它密钥和加密数据进行加密。

由于本地存放的其它密钥和加密数据，都是在MK 加密之下。

因此，MK是最重要的密钥。

第二层，BMK通常称为密钥加密密钥或密钥交换密钥（Key-encrypting key或Key Exchange Key）。

它的作用是加密在通讯线路上需要传递的工作密钥。

从而实现工作密钥的自动分配。

在本地或共享网络中。

不同的两个通讯网点使用不同的密钥加密密钥，从而实现密钥的分工管理，它在本地存放时，处于本地M的加密之下或直接保存在硬件加密机中。

第三层，通常称为工作密钥或数据加密密钥。

包括PIK、MAK、TMK（包括TPK、TAK）等密钥，它的作用是加密各种不同的数据。

从而实现数据的保密，信息的认证，以及数字签名的功能，这些数据密钥在本地存放时，处于BMK的加密之下或直接保存在硬件加密机中。

8.2.2加密机密钥分类
下面介绍一下加密机中最主要的几种密钥：
1、加密机主密钥(MK)
加密机主密钥（Master Key - MK）是存入在HSM机内的由三个成分合成的一对最上层密钥。

在HSM机器以外的地方不会以明文形式存放，它采用双倍标准DES密钥（长达112位）实现三重数据加密。

HSM投入运行时，必须先产生和装载MK。

由于DES算法依靠某一个密钥进行加密，同时所有密钥和数据都经由MK进行加密，所以MK必须通过一种安全的方法生成和维护。

MK的产生需要银行三位主要的管理人员参与产生，在SJL06主机加密模块中采用MK（加密机主密钥）对BMK进行加密保护；
MK由三个成分（32位十六进制数）组成，由加密机使用单位通过行政手段分派专人管理和维护，一般由2~3人采用"背对背"形式进行输入；
MK以密文形式存储在加密机黑匣子中，且永远不以明文形式出现。

2、银行主密钥(BMK)
银行主密钥（BMK），是加密密钥用的密钥，适用于共享网络中，它可以在共享网络中两个(或多个)通讯网点之间以部分形式进行人工分配且保持双方的对称性，共享网络中任何两个通讯网点之间均共用不同的BMK。

BMK用于加密底层需要传送的数据密钥，这样远地密钥就能自动进行交换(无须人工干预)。

该密钥可以长期不更改，通常二年更新一次。

本地存储时，BMK是通过MK进行加密的或以索引方式存储在加密机中。

3、区域PIN密钥(PIK)
区域PIN密钥PIK是一个数据加密密钥，适用于共享网络，它通过BMK加密在两个(或多个)通讯网点之间进行自动分配，PIK用于加密两个通讯网点之间需传输的PIN，这样就实现了PIN的保密。

PIK需要经常性地定期更改，在本地存储时，它是通过BMK进行加密的。

PIK需要经常性地定期更改，通常每天更换一次。

4、区域MAC密钥(MAK)
区域MAC密钥MAK是一个数据加密密钥，适用于共享网络，它通过BMK加密在两个(或多个)通讯网点之间进行自动分配。

用于两个通讯网点之间传送信息时，生成和校验一个信息认证代码(Message Authentication Code)，从而达到信息认证的目的。

MAK需要经常性地定期更改，通常每天更换一次。

5、终端PIN密钥(TPK)
终端PIN密钥是一个数据加密用的密钥，适用于局域网络中，它是在局域网内通过TMK加密，由终端数据受理者自动分配到终端且保持通讯双方之间的对称性。

TPK用于加密在局域网内终端和终端数据受理者之间传送的PIN。

TPK在本地存储在加密机中通过索引的方式调用。

TPK需要经常性地定期更换，通常每天更换一次。

6、终端认证密钥(TAK)
终端认证密钥是一个数据加密用的密钥，适用于局域网内。

它在局域网内通过TMK 加密由终端数据受理者自动分配到终端或通过BMK加密由终端数据受理者自动分配到交换中心。

TAK用于局域网内终端与终端数据受理者之间传送信息时，生成和校验一个信息认证代码(Message Authentication Code)，从而达到信息认证的目的。

TAK需要经常性地更换，通常每天更换一次，TAK在本地存储在加密机中通过索引的方式调用。

7、PIN 校验密钥(PVK)
PIN 校验密钥是一个数据加密密钥，用于生成和校验PIN校验数据，同时校验一个PIN的可靠性。

传送时PVK通过TMK或ZMK加密；存放本地时，它通过MK加密。

8、卡校验密钥(CVK)
卡校验密钥(CVK)类似于PIN校验密钥，仅仅是用卡的信息取代了PIN。

8.3前置系统安全解决方案
针对前置系统的安全要求贯穿着整个系统的整个生命周期，要求整个系统的计算机软、硬件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、显露，整个平台系统正常运行。

对于系统来说通讯过程中的加密也是相当重要的。

8.3.1通讯数据加密
考虑到POS系统数据交换过程比较复杂，且流经的设备也较多，因此在通讯的所有环节中的都要考虑到数据安全问题。

主要的数据传输过程有以下几个：POS—网控器、网控器—前置机、前置机—主机。

为了保证数据传输的隐蔽性，关键数据字段采用了加密方式；为了保证数据传输的完整性，传输数据采用校验和作为检查标志。

从POS端到前置机的数据通讯采用了ISO8583金融数据交换格式，其中关键字段采用了数据加密方式，同时整个数据包经特定MAC算法计算出MAC校验和作为数据完整性的检查标志。

网控器本身不具备加密功能，只是将传输数据加以简单的LRC校验。

前置机和POS相互约定一组PIN加密密钥和MAC校验密钥，基本加密算法采用DES的X98/X99算法，理论上具有相当高的安全性。

前置机到主机的数据传输沿用POS到前置机的数据格式和加密方法，从而使系统整体上的安全性能具有一定的水准。

8.3.2POS密钥处理
由于POS属于易受攻击的金融设备，因此安全性问题显得尤为重要。

加强密钥管理是提高系统安全的有效手段，总行POSP机系统将采用一种具有很高安全性的密钥管理方法。

具体措施可采用如下方式：
1. POS的工作密钥组（包括PIN加密密钥和MAC校验密钥）采用动态更换的方法。

每进行一次金融交易，前置机都要向POS下传新的工作密钥组，通知POS以后的交易必须用新的工作密钥，否则视为非法。

2. 前置机向POS下传新的工作密钥组时，用主密钥中作为新工作密钥组的加密密钥，应用DES算法对新工作密钥组进行加密。

3. 在接收金融交易的返回包时，POS可以从中新工作密钥组密文，作为关键性数据存放起来。

等到必须使用工作密钥时，根据主密钥，然后应用DES算法解密即可得到工作密钥的明文。

注意工作密钥的明文在使用完毕后必须从物理上予以销毁。

9. 在进行金融交易时，若交易过程中在与前置机通讯时发生通讯故障时，POS必须在下次联机交易前自动发送冲正交易。

前置机在处理自动冲正交易时自动恢复原密钥组，防止了POS和前置机之间工作密钥组失去同步。

前述的密钥管理方法极大提高了系统的安全性，体现在以下几个方面：
1. 由于采用了动态更换密钥的方法，POS每进行一次金融交易，都必须更换一次工作密钥，这就使得工作密钥的生命周期被尽可能地缩到最短，把破译的可能性降到极低。

2. 每台POS的工作密钥是各自独立的，这就使得工作密钥的相关性为零，一台POS。