技术培训.ppt
《技术培训.ppt》由会员分享,可在线阅读,更多相关《技术培训.ppt(58页珍藏版)》请在冰点文库上搜索。
神州通信综合计费结算系统培训,技术处2006.7,培训安排,计费系统第三方接口模拟演示实际操作培训,神通卡,神通卡芯片介绍,芯片结构图,神通卡芯片介绍,CPU芯片由四个主要模块组成:
CPU及逻辑加密-保证EEPROM中数据的安全,使外界不能用任何非法手段获取EEPROM中的数据RAM-COS系统工作时存放命令参数、返回结果、安全状态及临时工作密钥的区域ROM-存放COS程序的区域EEPROM-存放用户应用数据的区域,COS将用户数据以文件形式保存在EEPROM中,在满足用户规定的安全条件时,可进行读或写的操作,神通卡芯片介绍,神通卡芯片规格神通卡采用CPU芯片卡,此类卡片要求同时具备联机账户功能和电子钱包功能。
神通卡的芯片类型为Infineon66C161,支持PBOC1.0标准,CPU的类型为8/16bit,33MHz,0.25um,芯片容量为8k,I/O接口符合ISO7816标准。
芯片内的COS系统采用的是握奇数据的TimeCOS。
COS介绍,COS-ChipOperatingSystem,即片内操作系统-针对特定的智能卡开发的专用系统-遵循ISOIEC7816标准,即有触点集成电路卡国际标准-中国金融集成电路(IC)卡规范,COS介绍,传输管理监督卡与读写机具之间的通信,保证数据正确传输,防止通信数据被非法窃取或篡改。
文件管理将用户数据以文件形式存储在EEPROM中,保证访问文件时的快速性和数据安全性。
安全体系涉及到卡的鉴别与核实和对文件访问时的权限控制。
指令解释检查指令各项参数,执行相应的操作。
神通卡密钥管理体系,神通宝读卡器,神通宝读卡器,神通宝读卡器为接触式IC卡读卡器,在用读卡器对神通卡进行读写(刷卡)操作时,须将神通卡芯片部分插入读卡器,读写操作完成后,需人为将卡片抽出。
神通宝读卡器,标准特性-采用USB1.1通讯-支持T=0,T=1协议-支持3V5V的CPU卡-支持微软Windows智能卡接口-符合微软WHQLUSB智能卡读卡器的需求-支持PC/SC1.0(PCSmartCardIndustryStandard)标准-符合EMVVersion4.0(EuropayMasterCardVisa)-符合USBICCID规范-ISO78161/2/3兼容智能卡接口,支持PPS,神通宝读卡器,技术规格,神通宝读卡器,读卡器的指示灯说明-神通宝读卡器有一盏双色指示灯,有红绿两种状态。
当读卡器与电脑连接正常后,指示灯为红色,表示读卡器电源已连通;卡片正确插入读卡器后,指示灯为绿色,表明卡座中存在卡片。
在对神通卡进行读写操作时,指示灯呈绿色闪动状态。
注:
卡片插入读卡器后,卡片有个自动复位的过程。
如果在卡片插入卡座后,绿色指示灯闪动几次,然后再变为绿色表明读卡器对这个卡片不能正常复位,读卡器将无法操作此卡。
PC/SC介绍,PC/SC即个人计算机(PersonalComputer)/智能卡(SmartCard),它是为智能卡访问Windows平台(包括Windows2000)而定义的一种标准结构。
为集成电路卡(ICC)与个人计算机系统设计的交互规范。
PC/SC体系由三个主要部件组成,分别规定了操作系统厂商、读卡器厂商(IFD)和智能卡厂商(ICC)的职责。
PC/SC体系结构,读卡器(IFD)控制器是由读卡器厂商提供的可安装部件。
资源管理器(ResourceManager)是由操作系统厂商提供的系统级部件。
服务提供者(ServiceProviders)服务程序是由厂商提供的可安装部件,用于提供访问特殊服务的手段。
综合计费结算系统,综合计费结算系统,计费系统的架构,综合计费结算系统网络拓扑图,综合计费结算系统,硬件配置清单,综合计费结算系统功能介绍,综合计费结算系统功能介绍,权限控制与管理-操作鉴权主要指对通过角色以及相关权限的定义,将使用系统的用户进行分层次、分级别地管理,即判定系统操作员登录系统后是否有权利执行某项操作。
-数据鉴权在操作鉴权许可的情况下,对数据的权限控制保证不同的用户只能访问其职权范围内的数据。
综合计费结算系统功能介绍,权限管理与控制,综合计费结算系统功能介绍,权限管理与控制,综合计费结算系统功能介绍,权限管理与控制,综合计费结算系统功能介绍,运营商子系统分公司管理-提供分公司建立、信息维护、区域设置、结算卡设置、销户等功能代理商管理-提供代理商的开户、信息维护、上锁、解锁、销户等功能用户管理-提供用户开户、信息维护等功能账户管理-提供账户开户、上锁、解锁、挂失、解挂、绑定神通卡、解绑神通卡等功能卡流通管理-支持神通卡在神州通信各分公司及代理商间的分发。
提供入库、出库、回收、报废等功能,综合计费结算系统功能介绍,运营商子系统卡信息管理-提供神通卡激活、上锁、解锁、挂失、解挂等充值卡管理-提供充值卡入库、查询、统计等功能消费点管理-提供消费点开户、信息维护、上锁、解锁、销户、业务统计查询、结算卡设置等功能商家管理-提供商家开户、销户、信息维护、上锁、解锁、历史交易查询、结算卡设置等功能预结算管理-支持神通卡在神州通信各分公司及代理商间的分发。
提供入库、出库、回收、报废等功能,综合计费结算系统功能介绍,运营商子系统呼叫中心管理-提供客服坐席人员对对神通卡用户进行信息维护、卡解锁、历史交易记录查询、余额查询、积分查询等功能权限管理-提供权限控制与管理中描述的功能日志管理-提供操作日志和业务日志的查询系统管理-提供关于系统参数等的设置和管理,综合计费结算系统功能介绍,消费点自助系统信息维护-修改用户自己的基本信息刷卡消费-神通卡用户在消费点进行消费,填写支付金额,通过刷卡支付的方式进行支付,资金从用户神通卡实时(或非实时)转入消费点的结算卡上查询结算卡余额-可以查询消费点结算卡的当前余额交易记录查询-可以根据组合条件查询和自己发生交易记录返款-从消费点自己的结算卡上将金额返划给用户。
主要用于当用户刷卡后,取消交易的情况,综合计费结算系统功能介绍,商户自助系统商户除拥有消费点的所有功能外,还拥有下列几个专有的功能模块连接卡管理-根据运营商设定商户的最大连接卡数量,商户可以设置相应的连接卡权限管理-可以管理自己的操作员、分配相应权限等,综合计费结算系统功能介绍,用户自助系统用户注册-神通卡用户申请了神通卡后,可以进行网上自助用户注册,注册成功后,可以登录自助系统信息维护-可以维护自己的信息,但关键信息除外(如:
姓名、生日等)查询余额-用户可以查询自己的神通卡上的余额积分查询-用户可以查询自己的消费积分资金转出-可以将用户所拥有的神通卡内的资金转到给另一张神通卡内历史交易查询-可以根据组合条件查询自己卡上的历史交易记录修改登陆密码和神通卡交易密码,综合计费结算系统功能介绍,IVR与呼叫中心系统IVR提供的功能:
查询余额-用户身份验证通过后,可以查询卡余额充值-用户输入充值卡的充值密码,神通卡卡号,可以为神通卡进行充值积分查询-用户身份验证通过后,可以查询卡关联账户的消费积分坐席人员提供的服务除了上述的三项外,还包括下列几项:
历史交易查询-可以根据组合条件查询用户卡上的近期的历史交易记录卡解锁卡挂失,综合计费结算系统功能介绍,支付与交易处理实时支付与非实时支付系统支持实时支付与非实时支付两种模式。
实时模式下,神通卡用户和商家发生交易,通过神通卡进行支付,交易金额实时地由用户卡上转移到商家的结算卡上。
非实时模式下,用户和商家交易,通过神通卡支付时,交易金额实时从用户卡上扣除,但不实时进入商家结算卡上,在每日进行到帐处理后,才真正进入商家帐上。
交易限额-支持单笔支付限额、日累计支付限额预结算参数-支持按单笔交易额收取一定比例的手续费,但有单笔最低手续费和单笔最高手续费的限制积分-神通卡用户使用神通卡进行消费支付时,系统给用户计算积分。
商户在给用户进行返款操作后,要根据返款的金额扣除相应的用户积分,综合计费结算系统功能介绍,在不影响安全性的前提下,为了使用便利,系统提供了一些不需要登录的功能卡激活输入卡号及激活码,即可对卡进行激活。
充值-输入充值卡密码、待充值的神通卡卡号,可对神通进行充值余额查询-输入神通卡卡号、交易密码,可对神通卡的余额进行查询工行转账充值,计费系统的安全性,安全报文传送的目的是保证数据的机密性、完整性和对发送方的认证。
数据的机密性通过对数据域的加密来得到保证。
数据的完整性和对发送方的认证通过使用报文鉴别代码来实现。
具体实施时要先对传输的数据进行DES加密,这样传输的就是密文,攻击者即使获得数据也没有意义,分析后只能得到错误的结果。
而后对传输的数据附加4个字节的MAC码,接收方收到后首先进行校验,只有校验正确的数据才予以接受,这样就防止了数据传输中的篡改。
安全认证流程(消费交易),安全认证流程(登录认证),MAC计算,数据的加密/解密运算,数据的加密运算,数据的加密/解密运算,数据的解密运算,安全与保护措施,防火墙保护-防火墙作为内网、外网的屏障,阻止外部恶意攻击加密通道保护-WebServer和客户端之间的通信使用https协议,即SSL安全协议。
用作对传输通道进行加密认证系统对神通卡的安全认证-借助金融加密机和神通卡芯片内的安全数据库(密钥),对神通卡进行认证,包括内部认证、外部认证、消费密钥认证等登陆保护-无论是系统操作员、用户,还是商家操作员,在登录各自的系统时,除了输入登录名和密码外,还需要使用神通卡进行认证,认证不通过,则不允许登录权限控制-对登录系统的操作员,根据分配的权限,控制其能执行的操作和能操作的数据,保护数据不会泄密以及防止其他非法操作,安全与保护措施,水印码保护-在余额查询、充值以及各种操作员登录界面,添加水印码保护,防止黑客软件暴力攻击连接卡保护-对于商家、IVR等其他系统的服务器,在和系统对接时,要求对方服务器插入具有连接卡功能的神通卡,只有插入了正确而合法的神通卡,系统才与这些服务器进行通信加密保护-系统与其他服务器进行通信时,在用SSL协议对通信通道进行加密后,再使用3DES算法对传输的数据进行加密交易限制-对于普通神通卡用户,系统设置单笔限额、每日累计限额等密码保护-为防止用户不断尝试神通卡的密码(包括登录密码和交易密码),当用户对某张神通卡的密码累计输错3次后,系统自动将此张神通卡上锁;同理,为防止用户不断尝试输入充值卡密码,用户对神通卡充值时,累计失败3次则1小时内不允许对该卡进行充值操作,数据库,使用Oracle10gR2,通过RealApplicationCluster特性,增强数据库的可靠性,并能提高硬件资源利用率,充分利用硬件资源。
OracleRAC是具有共享缓存体系结构的集群数据库,它运行在通过集群互联和共用存储器子系统连接在一起的多台机器上,实现系统的高可用性。
RAC通过不同的节点使用一个(一般是一个)或多个实例(Instance)与一个Database连接。
RAC在工作期间,每个节点可以单独的被使用并且被应用程序负载均衡。
如果发生意外,如一个节点的失败,可以实现节点的失败切换(Failover),保证数据库24*7的高可用性,数据备份,本地备份-各节点进行本地数据保护,对数据进行定时的备份,当系统发生故障和人为的错误时,可以通过恢复备份数据来保证数据安全。
异地备份-在北京通信枢纽中心将关键数据备份,然后送到顺义数据中心保存。
灾难发生后,按预定数据恢复程序恢复系统和数据。
当灾难发生时存在大量数据恢复,先恢复关键数据,后恢复非关键数据,数据备份恢复制度,1、根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
2、数据备份的主要内容为:
网络服务器端操作系统的日志文档和数据库文件及其他控制信息。
3、备份方式分为磁带机备份、光盘备份、SAN备份;4、备份时间为每天一次增量备份,每周一次全备份,时间为晚上10:
00-2:
00,并每天备份其他文件,如遇系统有重大改动或更新,需在改动之后当日进行备份;5、服务器单机故障,最长四小时恢复;6、数据备份由网络管理员负责实施;7、含有数据的备份媒体系绝密材质,由网络中心专人保存;8、备份数据光盘、磁带及相关的数据备份档案统一保存于信息中心机房。
未经领导批准不得外借。
9、如遇服务器遭受攻击或网络病毒,造成数据丢失或系统崩溃,需要进行数据恢复,由网络通管理员进行数据恢复,同时将具体情况记入数据备份及恢复档案中。
10、备份数据资料保管地点设有防火、防热、防潮、防尘、防磁、防盗设施。
数据库,表的分类基本信息类表业务类表-交易类表-结算类表-日志类表系统初始化时定义的表-系统类表-权限管理类表,数据库,基本信息类表,数据库,业务类表,数据库,系统初始化时定义的表,数据库,卡与账户管理,数据库,业务机构管理,数据库,商户和消费点,数据库,第三方交易业务,数据库,神通卡发卡业务,数据库,充值卡发卡业务,数据库,系统权限管理,第三方业务支付模型,问题与解答,
升级会员 