09F003-手机支付系统安全技术规范-应用(业务)分册V1.0.0.docx

中国移动通信CHINAMOBI1.E中国移动通信企业标准QB-F-OO3-2009中国移动手机支付系统平安技术规范应用(业务)分册SecurityTechnoIogySpecificationofMobiIepaymentserviceApplication(Service)Part版本号：2009-3-13实施2009-3-13发布中国移动通信集团公司发布前言IV1 范围12 规范性引用文件13 术语、定义和缩略语13 .1术语14 .2缩略语24 应用（业务）平安模型25 对称密码体系36 非对称密码体系46.1 实施原则46.2 证书方案5证书分类与格式要求5证书申请/颁发要求6证书管理8证书应用方案97 访问限制141.1 1实施原则141.2 访问限制技术要求15用户名/口令方式15基于共享密钥的身份认证16USBkey身份认证方式17短信动态口令方式171.3 手机支付系统访问限制方案18手机支付系统的用户模型19手机支付系统访问限制方案208 通信平安228.1 实施原则实施原则228.2 通信平安技术要求23T1.S/SS1.23S24SFTP24GSM03.4825ISO8583+268.3 通信平安方案279 可用性299.1实施原则实施原则299.2可用性方案30数据备份30应用进程监控31业务流程异样处理32灾备及相关限制措施3210平安审计331. .1实施原则实施原则3410. 2平安审计技术要求3411. 3平安审计方案35管理操作审计35业务流程审计36应用/业务异样审计37审计日志的管理3811 防攻击/防病毒3811.1 实施原则实施原则3811.2 防攻击/防病毒技术要求39应用层攻击和病毒防范39访问量限制3911.3 防攻击/防病毒方案4012 编制历史40附录-A远程支付业务流程审计明细表41附录-B现场支付业务流程审计明细表45依据手机支付的业务要求，本标准针对手机支付系统的应用（业务）方面提出了相关的技术规范，是构建手机支付系统应用层平安体系的依据。本标准主要包括以下几方面内容：应用（业务）平安模型、对称密码体系、非对称密码体系、访问限制、通信平安、可用性、平安审计、防攻击/防病毒等内容。本标准是手机支付业务系列标准之一。本标准的附录A和附录B为标准性附录。本标准由中移技（2009）67号文件印发。本标准由中国移动通信集团数据部提出，集团公司技术部归口。本标准起草单位：中国移动通信有限公司探讨院本标准主要起草人：任晓明、刘斐、郭漫雪、周智、粟栗、柏洪涛、刘海龙、魏来、李征、朱本浩、张雨廷、黄更生、曹一生1范围本技术要求对中国移动手机支付系统的应用平安，包括访问限制、数据平安存储、通信平安、可用性要求、平安管理、防攻击/防病毒等方面的技术要求。本技术要求，原则上在中国移动通信集团内部运用，用于在手机支付服务系统的建设，为集团公司和省公司供应技术依据。适用于GSM/GPRS/EDGE/3G网络环境。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后全部的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，激励依据本标准达成协议的各方探讨是否可运用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。1QB-D-003-2005中国移动网络平安总体技术要求V中国移动通信有限公司QB-F-001-2009中国移动手机支付系统平安总体技术要求中国移动通信有限公司3中国移动手机支付业务总体技术要求-总册及远程支付分册中国移动通信有限公司4中国移动手机支付业务总体技术要求-现场支付版中国移动通信有限公司5中国移动日志集中管理与审计系统功能及技术规范中国移动通信有限公司6中国移动内部限制手册中国移动通信有限公司7QB-F-002-2009手机支付系统平安技术规范-基础设施分册中国移动通信有限公司8PCI_DSSVI.1PCISecurityStandardsCouncil9中国移动帐号口令管理方法中国移动通信有限公司3术语、定义和缩略语下列术语、定义和缩略语适用于本标准:3.1术语说明术语机密性信息未被非授权的用户或实体获得的状态完整性信息没有被非授权更改或破坏不行否认性一种确保通信参加方不能否认所参加的通信过程的机制可用性依据系统设计的要求，系统或资源在任何时候应当为授权用户所供应的可访问和可运用的特性平安审计对系统中各类事务、操作进行记录和检查以确保与平安策略相一样的过程访问限制对用户和系统与其它系统和资源通信和交互进行限制的机制身份认证确保用户与其声明的身份一样的过程数字签名针对被爱护的数据对象采纳密码算法计算的一段数据，用于数据对象的接收方验证数据的来源和完整性可信网络窃听、篡改、DoS攻击等风险很小的网络，如VPN、IP专网等非可信网络存在窃听、篡改、DOS攻击等风险或风险较大的网络平安域一个逻辑范围或区域，统一区域中的信息资产具有相同或相近的平安属性X.509由ITU-T(IS0/1Ee)针对公钥证书和属性证书框架提出的标准。3.2缩略语应用(业务)平安模型缩略语英文全称中文含义IDSIntrusionDetectionSystem入侵检测系统IPSIntrusionPreventionSystem入侵防卫系统VPNVirtualPrivateNetwork虚拟专用网SS1.SecureSocket1.ayer平安套接层T1.STransport1.ayerSecurity传输层平安PKlPublicKeyInfrastructure公开密钥基础设施DOSDenialofService拒绝服务攻击DDOSDistributedDenialofService分布式拒绝服务攻击IiAHighAvailability高可用性IPSecIPSecurityIP平安CACertificationAuthority证书机构MACMessageAuthenticationCode消息认证码AC1.AccessControl1.ist访问限制列表在手机支付系统平安总体技术要求中定义了如下图所示的平安模型，本文档将主要介绍应用平安层的技术要求与规范。在应用平安层中须要供应的平安功能，包括密码体系、访问限制、通信平安、可用性、平安审计、防攻击/防病毒等，说明如下： 密码体系：系统的加解密、完整性保证措施及相关的密钥管理机制，具体包括对称密码体系和非对称密码体系（PKI） 访问限制：对移动手机支付业务中的各种应用进行访问限制 通信平安：通信过程中的平安，包括加密、不行否认性、完整性等 可用性：各种保证应用的可用性的措施 平安审计：包括应用层的平安审计功能 防攻击/防病毒：对各类攻击和病毒的防范措施下面对以上所述平安功能分别说明.【说明】:下列各个部分“实施原则”均与手机支付系统平安总体技术要求中的“实施原则”相一样,如有冲突,以手机支付系统平安总体技术要求为准。5对称密码体系手机支付系统中对称密码体系定义了如下类型的对称密钥，简洁说明如下:密钥类型应用说明手机支付业务密钥完成手机支付各业务流程所须要的相关的各类密钥，包括消费、充值、限制和维护密钥等POS服务系统密钥POS与POS服务系统之间通信所采纳的密钥，包括密钥加密密钥和工作密钥等PSAM卡密钥PSAM卡的卡片和应用管理和消费操作相关的各类密钥，包括卡片/应用限制和维护密钥以及消费密钥等OTA密钥OTA相关的各类密钥，包括业务下载密钥、RAM密钥和RFM密钥等用户卡密钥用户卡平安域相关的各类密钥，用于与OTA等平台通信过程中建立平安信道对以上各类密钥的层次结构、管理要求（包括、生成、传输、保存等），可参考如下系列规范： 手机支付系统密钥管理技术规范一手机支付业务分册 手机支付系统密钥管理技术规范POS服务系统分册 手机支付系统密钥管理技术规范一PSAM卡分册 手机支付系统密钥管理技术规范-OTA分册 手机支付系统密钥管理技术规范-用户卡分册6非对称密码体系6.1 实施原则本系统中的非对称密码体系指基于非对称加/解密算法（如：RSA算法）的密码体系及相关的应用模式，比如基于X.509证书的各类应用，本系统采纳数字证书进行的操作包括数字签名、密钥协商等操作。本系统中，非对称密码体系主要应用于如下方面： WEB服务器认证：WEBClient通过S访问WEBServer,通过Server的证书进行服务器认证，SerVer证书由第三方CA签发 应用（服务器）间认证与平安通信：采纳SS1.协议，通过服务器证书进行双向身份认证，服务器证书由中国移动CA签发 用户的强身份认证（USBKey）：采纳证书做身份认证，证书由中国移动CA签发 如下各类实体间的业务（企业间的数字签名等）： 金融机构系统-手机支付系统 商户系统-手机支付系统 业务平台-手机支付系统 等等在以上的应用领域中，对证书的要求如下： 证书类型：包括服务器证书（服务器的身份认证）、企业证书和管理员证书 证书管理：包括证书的申请、签发、更新、注销等功能，由CA完成（中国移动CA或第三方CA）o6.2证书方案6.2.1 证书分类与格式要求手机支付系统中，所应用的数字证书包括三类，即：服务器证书、企业证书和管理员证书，下面对三种证书的格式要求赐予说明（以下格式中仅列出了在本系统中对证书格式的基本信息要求，即必需供应的信息域，其它可扩展的格式内容未列出）。6.2.1.1 服务器证书服务器证书主要用途如下： 对服务器身份的认证 在各服务器之间建立平安通道（SS1.）过程中的密钥协商等服务器证书的格式要求如下:内容值备注版本X.509v3颁发者O=ChinaMobileCommunicationsCorp.OU=CAServicesCN=ChinaMobileServerCA该域依据所运用CA的不同而不同主体O=ChinaMobileCo.,1.td.CN=IP地址/域名1、对于后台服务器之间通信的服务器证书，该域为服务器的IP地址2、对于WEB服务器证书，则该域为服务器的域名证书有效期2年算法SHA1WithRSAEnctyption基本限制扩展CA=False6.2.1.2 商户（企业）证书商户（企业）证书的主要用途如下： 其它平台对商户身份的认证 商户在与其它平台交互过程中进行数字签名（不行否认性）商户证书的格式要求如下:内容值