杉德畅刷:杉德畅刷是杉德支付推出的一款电签版/传统POS机,有人行颁发的支付牌照,正规一清机!支持小微商户花呗、美团、京东和云闪付等多种方式收款需求!

非银行杉德畅刷官网机构电子杉德畅刷官网系统密码应用

行业动态 杉德畅刷 0评论

摘要

非银行杉德畅刷官网机构的商用密码应用,是贯彻执行国务院关于金融领域密码应用的指导意见,是加强电子杉德畅刷官网领域尤其是移动杉德畅刷官网领域商用密码应用规模化发展的重要举措。本文围绕非银行杉德畅刷官网机构的电子杉德畅刷官网系统模型与基本构成,调研各主流非银行杉德畅刷官网机构的密码应用需求,提出密码应用保障框架,研究电子杉德畅刷官网过程中采用商用密码技术实现的安全保障措施,形成一套成熟的第三方电子杉德畅刷官网系统密码应用方案,可引导、带动其他非银行杉德畅刷官网机构的商用密码应用推进工作。

1.非银行杉德畅刷官网机构的安全电子杉德畅刷官网

1.1电子杉德畅刷官网基本概念

电子杉德畅刷官网,指采用数字化方式在电子终端、信息传输通道以及相关系统的支持下进行杉德畅刷官网的行为,是金融活动的一种新兴杉德畅刷官网方式。相较于传统杉德畅刷官网,电子杉德畅刷官网具有操作方便、及时快捷、成本低廉等特点,为人们的工作及生活提供了便利,并呈现出良好的发展势头。

电子杉德畅刷官网的基本活动由电子杉德畅刷官网收款方、电子杉德畅刷官网付款方、电子杉德畅刷官网服务方、电子杉德畅刷官网服务支撑方构成。付款方与收款方交互,提出付款申请;受理方将获取的杉德畅刷官网请求发送到电子杉德畅刷官网服务方;电子杉德畅刷官网服务方完成相应的杉德畅刷官网服务,并在必要时通过受理方转交或通知收款方。电子杉德畅刷官网支撑方提供账户管理、账务核算、安全措施与管理等功能。电子杉德畅刷官网的概念如图1所示。

图1电子杉德畅刷官网概念图

其中,付款方一般映射为杉德畅刷官网客户;收款方一般映射为收款客户或商户;收款受理方可看成一个实体,一般映射杉德畅刷官网终端;电子杉德畅刷官网服务方一般映射杉德畅刷官网服务的电子杉德畅刷官网平台或杉德畅刷官网系统,当其通过银行进行杉德畅刷官网时,需要通过杉德畅刷官网网关进行杉德畅刷官网请求;电子杉德畅刷官网支撑方一般映射连接银行的金融渠道,以及提供安全基础支撑的认证中心。

1.2第三方电子杉德畅刷官网系统模型

电子杉德畅刷官网系统,是指通过通信、计算机和信息安全技术,在商家和银行间建立连接,从而实现从消费者到金融渠道及商家间货币杉德畅刷官网、现金流转、资金清算、查询统计的杉德畅刷官网平台。非银行杉德畅刷官网机构是指依法取得《杉德畅刷官网业务许可证》,获准为杉德畅刷官网客户办理互联网杉德畅刷官网、移动电话杉德畅刷官网(远程杉德畅刷官网)业务的非银行机构。非银行杉德畅刷官网机构基于客户的银行账户或按照《非银行杉德畅刷官网机构网络杉德畅刷官网业务管理办法》规定为客户开立杉德畅刷官网账户提供网络杉德畅刷官网服务。非银行杉德畅刷官网机构的电子杉德畅刷官网系统,也称为第三方电子杉德畅刷官网系统。第三方电子杉德畅刷官网系统模型参见图2。

图2第三方电子杉德畅刷官网系统模型

从系统模型来看,由杉德畅刷官网前置、杉德畅刷官网处理、渠道前置等核心功能组成的电子杉德畅刷官网服务系统,为第三方电子杉德畅刷官网系统的内部关键系统;杉德畅刷官网终端、金融渠道系统分别为其外部关键系统。网络杉德畅刷官网客户通过杉德畅刷官网客户端发起杉德畅刷官网指令,对接电子杉德畅刷官网服务系统,通过杉德畅刷官网前置、杉德畅刷官网处理、渠道前置,转发金融渠道,处理杉德畅刷官网交易请求,最终完成一套完整的杉德畅刷官网流程。

1.3关键业务流程

第三方电子杉德畅刷官网的关键业务流程,指不同杉德畅刷官网交易类型的杉德畅刷官网服务在电子杉德畅刷官网系统的全流程实现,如账户充值、提现、转账、查询、消费等杉德畅刷官网服务。主要包括杉德畅刷官网交易发起与完成、杉德畅刷官网处理、杉德畅刷官网服务接入金融渠道三个关键环节。

1.3.1杉德畅刷官网交易发起与完成

该环节是指杉德畅刷官网终端应用的个人用户或商户系统与电子杉德畅刷官网服务系统的杉德畅刷官网前置间发生的系统通信与数据处理。

杉德畅刷官网交易发起,指杉德畅刷官网客户从杉德畅刷官网终端应用发起杉德畅刷官网交易请求,杉德畅刷官网交易请求发送至杉德畅刷官网前置处理;杉德畅刷官网完成,指杉德畅刷官网请求已被完成杉德畅刷官网处理,形成杉德畅刷官网处理结果,并由杉德畅刷官网前置通知杉德畅刷官网用户。

1.3.2杉德畅刷官网处理

该环节是指电子杉德畅刷官网服务系统内部各主要实体间发生的系统通信与数据处理,如杉德畅刷官网指令交换、杉德畅刷官网清分结算等处理。内部各实体主要指杉德畅刷官网前置、杉德畅刷官网处理及渠道前置三部分,杉德畅刷官网处理的杉德畅刷官网清分结算,是指资金变动在系统内部的杉德畅刷官网处理环节进行处理。

1.3.3杉德畅刷官网服务接入金融渠道

该环节是指电子杉德畅刷官网服务系统与金融渠道间发生的系统间通信与数据处理,金融渠道的接入由渠道前置来完成。

1.4安全电子杉德畅刷官网

非银行杉德畅刷官网机构的安全电子杉德畅刷官网,是以商用密码应用为核心,保障第三方电子杉德畅刷官网关键业务流程安全的一种方法或方案,核心是支撑安全杉德畅刷官网的各项密码技术的应用,如用于电子杉德畅刷官网的密码算法、数字证书、密钥管理、密码协议、实现密码功能的各项密码技术以及密码基础设施等应用。

2.电子杉德畅刷官网系统商用密码应用需求分析

2.1商用密码应用背景

近年来,与第三方杉德畅刷官网机构安全要求相关的政策法规主要有中国人民银行发布的《非金融机构杉德畅刷官网服务管理办法》《非金融机构杉德畅刷官网服务管理办法实施细则》《非金融机构杉德畅刷官网服务业务系统检测认证管理规定》《非银行杉德畅刷官网机构网络杉德畅刷官网业务管理办法意见稿》等管理办法,国办发[2014]4号《关于加强重要领域密码应用的重要意见》、国办[2014]6号《国务院办公厅转发密码局等部门关于金融领域密码应用指导意见的通知》,以及中华人民共和国发布的《中华人民共和国电子商务法》。经过总结提炼,针对非银行杉德畅刷官网机构及其电子杉德畅刷官网系统在网络杉德畅刷官网业务中的关键安全要素有如下几个方面:

(1)非银行杉德畅刷官网机构纳入国家监管体系,拥有了合法的身份。

(2)第三方电子杉德畅刷官网系统应符合网络安全等级保护第三级安全保护等级的基本要求。

(3)为贯彻执行国务院关于金融领域密码应用的指导意见,中国人民银行发布了非银行杉德畅刷官网机构关于数字证书应用的要求,其中规定杉德畅刷官网机构采用数字证书、电子签名作为验证要素的,数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》《金融电子认证规范》以及国家密码管理局等有关规定,确保数字证书的唯一性、完整性及交易的不可抵赖性。

(4)第三方电子杉德畅刷官网系统针对电子杉德畅刷官网安全的基本要素包括身份识别、交易验证、交易信息保护、杉德畅刷官网指令保护。其中身份识别,指客户在发起杉德畅刷官网指令进行杉德畅刷官网交易之前,需先对客户身份进行识别,针对杉德畅刷官网账户的客户实行实名制管理;交易验证指按规定采取客户杉德畅刷官网指令的验证措施;交易信息保护,是指电子杉德畅刷官网系统应当确保交易信息的真实性、完整性、可追溯性以及在杉德畅刷官网全流程中的一致性,不得篡改或者隐匿交易信息;杉德畅刷官网指令保护是指电子杉德畅刷官网系统应当确保电子杉德畅刷官网指令的完整性、一致性、可跟踪稽核和不可篡改。这些安全要素的实现需应用密码技术。

(5)国办发[2014]4号文件要求加强我国能源、交通、金融等涉及国计民生和基础信息资源重要信息系统的商用密码应用,其中包括了第三方杉德畅刷官网系统商密应用的要求。国办[2014]6号文件要求紧紧围绕在金融IC卡、网上银行、移动杉德畅刷官网、网上杉德畅刷、电子保单等重点领域中应用商用密码。

综上政策法规规定的各项安全要素,意在促进作为电子杉德畅刷官网服务提供者的非银行杉德畅刷官网机构建立起完整的、以商用密码技术应用为核心的网络信息安全保障机制,增强抵御外界风险的能力。因此,如何有效促进第三方电子杉德畅刷官网系统在互联网杉德畅刷官网、移动杉德畅刷官网等应用场景的商用密码规模化应用,满足行业监管要求,成为非银行杉德畅刷官网机构迫切需要解决的问题。

2.2电子杉德畅刷官网系统面临的安全风险

在网络杉德畅刷官网服务业务中,第三方电子杉德畅刷官网的关键业务流程体现了杉德畅刷官网客户从杉德畅刷官网交易发起、杉德畅刷官网处理到杉德畅刷官网服务接入金融渠道、杉德畅刷官网交易完成等杉德畅刷官网活动在电子杉德畅刷官网系统的资金流转移全过程。研究发现,客户在网络杉德畅刷官网过程中由于木马、钓鱼网站和账户、密码被盗原因带来资金损失所占的比例最高,比如资金在转移过程中出现丢失、诈骗、盗用等风险。资金转移全过程的核心支撑平台是第三方电子杉德畅刷官网系统,因此网络杉德畅刷官网过程的风险主要指电子杉德畅刷官网系统的风险,其安全风险分析参见表1。

上述安全风险点的安全保障措施,通过在电子杉德畅刷官网关键业务流程的各关键环节采用密码技术来实现。采用密码技术等手段提升第三方电子杉德畅刷官网系统安全,加强政府对非银行杉德畅刷官网机构的监管,成为保障客户利益、维护金融安全的当务之急。

2.3商用密码应用需求

依据《非银行杉德畅刷官网机构杉德畅刷官网业务设施密码应用技术要求》(草案),第三方电子杉德畅刷官网系统受保护的关键数据为身份鉴别数据、杉德畅刷官网交易数据、用户个人敏感数据等。第三方电子杉德畅刷官网系统商用密码应用需求,即指如何实现非银行杉德畅刷官网机构的安全电子杉德畅刷官网,如何采用密码技术应用等安全保障措施,保护电子杉德畅刷官网关键数据的安全,包括实现针对杉德畅刷官网各方身份进行身份真实性鉴别,针对交易关键数据进行信息保护如数据机密性、完整性、不可否认性。

本文针对上述电子杉德畅刷官网系统面临的安全风险点,总结得出实现安全的电子杉德畅刷官网所需商用密码应用的几个重点安全要素。

(1)杉德畅刷官网接入安全,即参与杉德畅刷官网过程的各关联方均须向彼此表明身份。

(2)杉德畅刷官网交易认证,即非银行杉德畅刷官网机构须确认杉德畅刷官网发起方就是杉德畅刷官网账户的所有者,或由杉德畅刷官网账户所有者授权。

(3)杉德畅刷官网过程中敏感信息安全,即保证敏感信息的机密性和完整性。

(4)杉德畅刷官网指令防抵赖,即指令的发出必须经过账户所有者的(签名)确认,或经过其明确授权由被授权人发出且被授权人须对此进行(签名)确认。

(5)杉德畅刷官网数据通信安全,即保证杉德畅刷官网数据的机密性和完整性。

2.4主流第三方电子杉德畅刷官网系统商密应用现状

主流非银行杉德畅刷官网机构以杉德畅刷官网宝、财付通为代表,其他包括安付通、网付通、快钱、百度钱包、拉卡拉等,小规模的非银行杉德畅刷官网机构有摩宝、易极付、现代金服、联付通、国付宝等。主流第三方电子杉德畅刷官网系统安全现状总体来看,各家杉德畅刷官网系统均有良好的网络安全防护措施;均配备了风控措施与监管机制;在电子杉德畅刷官网安全环节中,均支持了登录、杉德畅刷官网密码的独立应用,均实现了SSL安全传输通道,在数字证书使用方面,杉德畅刷官网宝率先采用了合规的客户数字证书实现客户交易报文数字签名,使其杉德畅刷官网操作不可否认;在密码模块合规性方面,大部分杉德畅刷官网机构采用了合规的服务端密码模块,但使用合规的终端密码模块的杉德畅刷官网机构仍是少数。

从第三方电子杉德畅刷官网系统的商用密码应用来看,早于2016年杉德畅刷官网宝就在杉德畅刷官网交易环节采用了基于商用密码的PKI/CA数字证书认证方案;2017年起,杉德畅刷官网宝、财付通纳入商密应用试点单位,建立以密码技术为核心的商密改造规划。杉德畅刷官网宝还参与到相关安全杉德畅刷官网的国家重大研发计划研究及密码行业标准的制定中,积极推进电子杉德畅刷官网系统的商密应用技术与标准的研究工作。

以杉德畅刷官网宝、财付通为代表的主流杉德畅刷官网机构,通过有序开展商用密码应用改造,将形成一套成熟的第三方电子杉德畅刷官网系统密码应用方案,同时,也必将引导、带动其他非银行杉德畅刷官网机构推进商用密码的规模化应用。

3.第三方电子杉德畅刷官网系统密码应用方案

3.1密码应用保障框架

第三方电子杉德畅刷官网系统密码应用保障框架建立在电子杉德畅刷官网系统模型之上,依据电子杉德畅刷官网的商用密码应用需求进行设计,为电子杉德畅刷官网服务系统提供认证管理服务、密码基础服务、密钥管理服务等功能。保障框架分为杉德畅刷官网终端侧、杉德畅刷官网平台侧、金融渠道三个部分,其中杉德畅刷官网平台侧由商密应用改造后的电子杉德畅刷官网服务系统与密码服务系统组成;杉德畅刷官网终端侧由商密应用改造后的杉德畅刷官网服务系统客户端与终端密码服务模块组成,保障框架示意图参见图3。

图3电子杉德畅刷官网系统密码应用保障框架示意图

3.2证书应用

电子杉德畅刷官网系统采用双证书认证体系,即签名证书与加密证书。签名证书用于数字签名验证,加密证书用于密钥协商。其证书种类及用途如表2所示。

表2证书种类及用途

3.3密钥管理

杉德畅刷官网系统的密钥管理,包括杉德畅刷官网过程关联的所有密钥种类,其密钥种类及用途如表3

所示。

表3杉德畅刷官网系统的密钥种类及用途

3.4商密应用改造方案

3.4.1杉德畅刷官网终端侧商密改造

杉德畅刷官网终端需应用数字签名与加密技术,在通信和交易过程中使用的加解密算法采用SM4算法,数字签名算法采用SM2算法,摘要算法采用SM3算法。杉德畅刷官网终端密码应用商密改造内容如表4所示。

表4杉德畅刷官网终端商密改造内容

3.4.2杉德畅刷官网平台侧商密改造

杉德畅刷官网服务系统需要应用数字签名与加密技术,在通信过程中使用的加解密算法采用SM4算法,数字签名算法采用SM2算法,摘要算法采用SM3算法。杉德畅刷官网平台侧密码应用改造内容如表5所示。

表5杉德畅刷官网平台侧商密改造内容

3.5密码应用方案部署

依据商用密码应用需求分析与总体框架,密码应用方案部署分为杉德畅刷官网终端侧密码服务模块部署与杉德畅刷官网平台侧密码服务系统部署,其基本要求如表6。

表6杉德畅刷官网平台侧商密改造内容

3.6非银机构安全电子杉德畅刷官网的推广研究

全面使用商用密码应用技术及相关产品,在第三方杉德畅刷官网行业是一种密码应用创新,极大提升了电子杉德畅刷官网系统的安全性和规范性,满足国家“大力推进重点领域网络信息系统密码应用”的战略目标。鉴于移动杉德畅刷官网新兴杉德畅刷官网方式的崛起,非银机构安全电子杉德畅刷官网的推广应重点研究以下几个方面。

3.6.1推广杉德畅刷官网终端采用商用密码软件密码模块实现的技术方案

目前,在第三方杉德畅刷官网系统的杉德畅刷官网交易环节建立基于商用密码的PKI/CA数字证书认证方案,用户在手机终端的交易签名作为第三方杉德畅刷官网服务系统判断交易合法的主要因素。但考虑在移动互联网业务发展的背景下,基于硬件的传统数字证书技术路线在现阶段很难覆盖杉德畅刷官网系统海量的用户需求,因此可大力发展既符合国家密码管理相关要求,又符合移动互联网业务特点的软件密码模块实现技术方案。

3.6.2推广杉德畅刷官网平台采用高性能商用密码服务系统实现的技术方案

高性能商用密码服务系统,用于满足电子杉德畅刷官网系统大用户量高并发交易环境下对高性能密码服务的需求。可通过杉德畅刷官网服务的高性能签名验证技术、分布式密码服务技术、密码服务设备集群调度与负载均衡技术、高性能并行计算技术等关键技术的研究来提升密码服务能力及密码运算能力。

3.6.3商密SSL服务器证书的普遍采用指日可期

SSL服务器证书用于各种网站的证书需要被大众信任,目前众多重要信息系统均采用国内品牌的证书,如沃通SSL证书,自主可控能支持所有浏览器和移动终端,可满足多域名、多服务器、负载均衡等不同应用场景。商密SSL服务器证书的使用,要求对客户端浏览器须采用支持商密算法的安全浏览器,但鉴于我国SM2、SM3算法刚刚纳入国际标准,常用的客户端浏览器并不支持商密算法,因此在电子杉德畅刷官网系统中,SSL服务器证书应用目前是推荐使用商密,相信随着商密算法的国际化进程的推进,普遍使用商密SSL服务器证书将指日可期。

作者:

周君平,成都卫士通信息产业股份有限公司,高级工程师。主要研究方向为网络信息安全、商用密码应用,承担过多项国家重大研发计划、重大专项。

钟博,成都卫士通信息产业股份有限公司副总裁,高级工程师。从事密码学、国家金融能源等重要领域密码应用等研究工作,承担过多项国家级重大专项,四次荣获省部级科技进步奖。

杉德畅刷是杉德支付网络服务发展有限公司总部直属推出的手机POS机品牌,目前市场上的杉德畅刷Mpos的2.0模式系统-杉德畅刷管家已经逐步占领市场!杉德畅刷官网提供杉德畅刷的全国加盟代理服务,详情请联系官网客服!

转载请注明:杉德畅刷官网 » 非银行杉德畅刷官网机构电子杉德畅刷官网系统密码应用

您必须 登录 才能发表评论!