1、上海我公司软件系统有限公司 版权所有电子商务清结算统一支付平台电子商务清结算统一支付平台方案建议书方案建议书版本号:1.0二一五年十一月XXX 省电子商务统一支付平台方案建议书 上海我公司软件系统有限公司 版权所有 - 1 -目 录1 前言 .11.1 工程概述 .11.2 术语和规范 .11.2.1 术语定义 .11.2.2 标准规范 .41.2.3 符号和缩略语 .42 需求分析 .62.1 项目建设目标 .62.1.1 概述 .62.1.2 建设目标 .72.2 项目建设要求 .82.2.1 系统建设原则 .82.2.2 主要业务功能需求 .112.3 B2B 支付业务 .132.3.1
2、 B2B 在线支付是电子商务发展的趋势 .132.3.2 SDCA 支付网关的 B2B 支付定位 .142.3.3 SDCA 支付网关 B2B 在线支付实现模式 .162.4 B2C 支付业务 .182.4.1 B2C 最广泛的电子商务模式 .182.4.2 XXXCA 支付网关的 B2C 定位 .193 总体方案描述 .213.1 设计原则 .213.2 系统总体模型 .223.3 系统扩展 .253.3.1 业务功能扩展 .253.3.2 接入渠道扩展 .263.3.3 处理能力扩展 .273.4 软件体系结构 .273.5 网络框架 .293.6 应用系统安全 .303.6.1 用户持有
3、证书的方式 .303.6.2 用户不持有证书的方式 .303.6.3 商户使用 SDCA 高级证书 .313.6.4 银行使用 SDCA 高级证书 .314 网络及数据库 .324.1 设计原则 .32XXX 省电子商务统一支付平台方案建议书 上海我公司软件系统有限公司 版权所有 - 2 -4.2 系统架构 .334.3 运行环境 .344.3.1 网络和网管系统配置 .344.3.2 应用平台系统配置 .414.3.3 主机安全、主机性能 .445 应用系统 .515.1 概述 .515.1.1 TOPPayHost/TOPPayLink 产品简介 .515.1.2 TOPGate 产品简介
4、 .525.2 系统功能框架 .525.3 支付平台子系统(TOPPAYHOST/TOPPAYLINK) .535.3.1 应用接入模块 .545.3.2 Web 服务模块 .555.3.3 安全模块 .575.3.4 支付组件 .575.3.5 外部接口 .595.4 支付网关子系统(TOPGATE) .605.4.1 交易信息的处理和转换 .605.4.2 网关路由功能 .605.4.3 与银行主机对帐 .605.4.4 银行通讯密钥 .615.4.5 网关配置功能 .615.4.6 交易日志功能 .615.4.7 具备网络管理和系统监控功能 .615.4.8 自动冲正和超时控制 .625
5、.4.9 与银行前置机联结 .625.5 结算子系统 .625.5.1 批次处理 .635.5.2 日期切换 .635.5.3 数据汇总 .635.5.4 核查明细 .645.5.5 结算处理 .645.5.6 生成财务报表 .645.5.7 生成业务报表 .645.6 统一管理控制子系统 .645.6.1 权限管理 .655.6.2 网站管理 .655.6.3 网站费率设置 .665.6.4 支付方法配置 .665.6.5 交易查询 .675.6.6 结算操作 .67XXX 省电子商务统一支付平台方案建议书 上海我公司软件系统有限公司 版权所有 - 3 -5.6.7 业务统计分析 .675.
6、6.8 运行监控 .685.6.9 应用系统管理 .685.7 业务流程 .695.7.1 SDCA 支付网关 B2B 在线支付流程 .695.7.2 SDCA 支付网关 B2C 网上支付业务流程 .735.7.3 B2C 交易对帐流程 .755.8 数据存储 .765.8.1 平台受理交易流水 .765.8.2 网上商户信息 .765.8.3 结算数据 .775.8.4 系统运行日志 .775.8.5 系统操作日志 .775.9 应用系统安全策略 .775.9.1 网络安全 .785.9.2 主机系统 .795.9.3 应用系统 .795.9.4 业务制度 .805.10 数据安全策略 .8
7、15.11 系统备份策略 .815.11.1 系统级备份与恢复 .815.11.2 数据备份与恢复 .825.11.3 日志备份与恢复 .836 工程实施 .846.1 项目实施策略 .846.2 人员及组织结构 .846.3 任务总结 .866.4 质量管理与控制 .886.5 项目进程 .886.5.1 进度报告 .886.5.2 工作说明 .896.6 系统验收 .916.7 资料和技术文件 .917 人员培训及服务 .937.1 培训 .937.1.1 培训计划的实施 .937.1.2 培训内容 .947.2 服务支持 .957.2.1 服务组织机构 .957.2.2 支持及服务组织架
8、构 .95XXX 省电子商务统一支付平台方案建议书 上海我公司软件系统有限公司 版权所有 - 4 -7.2.3 系统安装服务 .967.2.4 应用系统支持服务 .96XXX 省电子商务统一支付平台方案建议书 上海我公司软件系统有限公司 版权所有 - 1 -1 前言及公司简介1.1 工程概述随着XXX电子商务环境的完善,企业上网工程的推进,迫切需要建立电子商务统一支付平台,通过该平台将用户、商家与金融机构之间进行安全可信任连接,提供新颖便民业务,解决申报纳税、政府采购、金融交易、代收代付等业务的网上支付瓶颈,为广大企业和商户开展网上业务提供一个完备的基础环境。XXX省数字证书认证管理有限公司为
9、顺应当前的经济发展形势,并推动XXX省电子商务的发展,计划建立XXX省电子商务统一支付平台系统,为企业个人及各行业提供安全、快捷的交易平台,同时也为加快XXX省信息化建设的发展速度做出贡献。作为支付解决方案的系统集成商,我公司以客户为中心,为中国和全球的金融机构和商业企业间建立起业务的桥梁,突破多种商务领域的支付瓶颈,从而使电子商务真正实现和传统商务活动的融合。我公司很荣幸能参与到XXX电子商务统一支付平台(以下简称平台)的建设工作中,并向XXX省数字证书认证管理有限公司(以下简称XXXCA公司)呈交这份XXX省电子商务统一支付平台方案建议书(以下简称建议书)。本文档是在分析了XXXCA公司的
10、需求基础上编写的技术文档。在完成这份建议书的过程中,我们得到了XXXCA公司的领导、技术人员的大力支持,使我们能顺利地完成本建议书书,对此我们表示深深的感谢。 1.2 术语和规范1.2.1 术语定义XXX 省电子商务统一支付平台方案建议书 上海我公司软件系统有限公司 版权所有 - 2 -本文档定义的术语说明,以免读者产生歧义,供翻阅参考。 支付网关支付网关是连接网站和金融网络的桥梁,是Internet和金融网络之间的安全屏障。 TOPGate公司自主知识产权的支付网关产品,它联接电子商务网上商户支付系统和后端金融网络,它使网上商户能够将其支付请求通过支付网关发往银行的后台系统进行处理,再将处理
11、结果发回到网上商户,由此实现顾客的网上购物及支付活动。 TOPPayhost用来建设电子商务网上支付平台的软件产品,它为网上商户提供一个公用的支付平台,它一侧连接网上商店,另一侧连接后端支付网关或网上银行,高效处理链结网站的在线支付请求,并保证交易网站、银行清算的正确性。 TOPPayLink网上商户接入交易平台的接口软件,通过这个接口,网上商户可以在电子商务网上支付平台上开展安全的电子商务交易。 数字签名数字签名是用来保证当事人事后不能否认其提出的并已完成的交易请求。数字签名具有唯一性和不可抵赖性。 数据加密支付系统中使用的加密方法有 RSA、DES、3DES、SHA-1 等算法;这些算法可
12、以采用硬件加密的方式,也可以采用软件加密的方式。硬件加密机采用经国家权威部门审查批准,并符合国务院颁发的商用密码管理条例规定的指定生产机构生产的产品。XXX 省电子商务统一支付平台方案建议书 上海我公司软件系统有限公司 版权所有 - 3 - PKI 体系PKI 体系主要是用于管理密钥和证书,并且提供数据加密和签名服务。一个高效的 PKI 体系应该对用户应用是透明的, PKI 体系提供有关密钥和证书的管理服务。 CA 认证机构CA(Certification Authority)认证机构是电子商务交易的权威性、可信赖性及公正性的第三方机构。它为电子商务环境中各个实体颁发电子证书,以证明各实体的真
13、实性,并负责交易中交易各方数字证书的检验和管理。 SDCAXXX 省数字证书认证管理有限公司建立的 CA 认证机构。 证书废止列表证书废止列表(CRL)也称证书黑名单。认证机构签署的证书在有效期内有可能需要作废,因此,在使用证书时,除了验证认证机构对该证书的签名外,还要确保该证书是可信的。为实现这一点,PKI 加密体系提供了废除证书的一系列机制。一般地,在下列非常事件发生时,必须进行证书的作废处理: 持有者的私钥泄漏 持有者要求作废证书 持有者的工作性质变化 持有者消亡 持有者身份标识错误 CA 的私钥泄漏作废证书是通过将证书的唯一性序列号列入证书废止列表(CRL)来完成的。通常,系统中由认证
14、机构负责创建、签发并维护这些需要及时更新的证书废止列表(CRL),而由客户端应用程序代表用户在验证证书时负XXX 省电子商务统一支付平台方案建议书 上海我公司软件系统有限公司 版权所有 - 4 -责检查该证书是否位列 CRL 之中。CRL 一般放在目录系统中。1.2.2 标准规范本文档使用了以下的一些标准规范,供翻阅参考:(1) 网上安全支付系统技术接口标准(2) 金融交易卡信息交换格式标准(ISO 8583)(3)SSL协议(Secure Socket Layer安全套接字层)(4) 国务院颁发的商用密码管理条例,2000;(5) SET(Secure Electronic Transact
15、ion) 1.0 安全电子交易协议, SETCo,1997;(6) X.509 v3(Information technology - Open Systems Interconnection - The Directory: Authentication framework)证书规范, ITU-T Recommendation, 11/93; (7)ISO8583(Financialtransactioncard originated messages-Interchang message specifications)消息格式, ISO,1987;(8) J2EE(Java 2 Platf
16、orm, Enterprise Edition) 1.2 规范,SUN,2000;(9) ASN.1 (ABSTRACT SYNTAX NOTATION ONE)语义定义标准, ITU-T Recommendation X.680, 12/97;(10) ASN.1 BER(Basic Encoding Rules)/DER(Distinguished Encoding Rules)编码标准, ITU-T Recommendation X.690,12/97;(11) PKCS(Public Key Cryptography Standards)公钥加密体系,RSA;1.2.3 符号和缩略语本
17、文档提到的公司组织名称缩略词说明如下,供翻阅参考:(1) ISO : International Standards Ogranization 国际标准化组织;XXX 省电子商务统一支付平台方案建议书 上海我公司软件系统有限公司 版权所有 - 5 -(2) IEC : International Electrotechnical Commission ;(3) SETCo: SET Secure Electronic Transaction LLC ;(4) SUN: Sun Microsystems, Inc. 太阳微系统公司;(5) RSA: RSA Data Security, Inc;
