支付宝卡通银行端解决方案_V12.docx

支付宝卡通 银行端解决方案 产品技术及用户体验部 2007年12月 目 录 1、接入支付宝卡通条件 3 2、接入支付宝卡通的工作流程 3 3、银行端建设工作具体内容 4 (1) 成立项目小组 4 (2) 开发 4 (3) 业务 5 (4) 运维 6 (5) 时间工作量评估 7 附录一：银行开发工作计划 7 附录二：银行VPN接入方案 10 2.1 方案描述 10 2.2 接入支付宝VPN环境的典型部署 11 具备防火墙环境的VPN接入部署 12 不具备防火墙环境的VPN接入部署 12 2.3 银行方准备事项 13 附录三：推荐开发运行环境 13 附录四、费用情况列表 14 文档修改说明 序号 修改人 修改时间 修改内容 审核 1 方迅 20070910 增加外包解决方案、工作量评估 燕青 1、接入支付宝卡通的工作流程 (1)从支付宝获取支付宝卡通标准，包括技术标准、结算标准＆服务标准； (2)银行各相关部门评估可行性、工作量，内部达成一致，确认总体工作计划，明确上线时间点。 (3)签订支付宝卡通合作协议 (4)各相关部门制定详细工作计划，与支付宝沟通联调测试方案计划。技术部门按支付宝卡通标准开发银行端应用，银行端内部适应性改造；运维部门准备线路和运行环境。按双方约定的时间点准备资源，联调测试直至上线投产运行。 (5)业务部门与支付宝共同制定推广计划，与支付宝共同开展市场活动。 (6)对外推广营销，生产运行情况跟踪。 2、银行端建设工作具体内容 (1) 成立项目小组 建立一个业务、技术和商务等组成的项目工作小组，用于与支付宝沟通日常业务。 需要包括银行各相关部门人员： l 项目总负责人（行长、总经理或业务负责人）：项目总协调 l 业务方负责人：项目业务方总负责（业务测试、业务推广计划、结算相关、培训等） l 技术方负责人：技术方总负责（方案选型、开发计划、 开发测试进度控制） l 运行负责人：运维负责（测试、生产线路准备，生产设备准备） (2) 开发 针对卡通业务，银行方有比较大的开发量，包括前台、业务平台、主机核心、卡系统几个部分，根据各商业银行IT系统的不同而有差异。这里只是列举主要功能。 l 前台柜面功能：需要新增签约、签约撤销、查询签约信息、查询银行限额、交易流水查询交易，对帐结果查询，对帐，卡通报表（总帐、明细）等，需要银行技术部门结合实际情况细化。 l 业务平台功能：大部分银行都会有独立于核心系统之外的业务平台系统，负责处理各中间业务和其它外联业务。对于支付宝发起的交易也主要由业务平台来接收处理。包括下列交易： 银行柜面发起： Ø 签约 Ø 撤销签约 Ø 支付限额查询 Ø 支付限额设置 Ø 卡通流水查询 Ø 卡通签约信息查询 Ø 签约对帐 Ø 清算对帐 Ø 卡通报表（汇总表、明细表） 支付宝发起： Ø 网上支付（扣款、冲正） Ø 批量退货（退货通知、取退货文件、退货处理（退货/冲正）、返回文件） Ø 银行卡余额查询 Ø 银行当日限额查询 Ø 实时交易查询 Ø 提现 Ø 中间账户查询 外包公司针对支付宝业务的银行端的解决方案，解决了下列问题： 1、 提供支付宝业务处理功能。包括业务平台的开发、与支付宝的业务接口联调（通讯处理、加解密处理、报文打包解包、支付宝业务交易处理、支付宝业务数据处理等） 2、 提供支付宝业务的管理功能 3、 银行端只剩下前台画面的增加、提供后台业务调用接口 4、 再需要前台、后台与业务平台的接口联调工作 l 后台核心功能：提供帐务相关接口交易 Ø 卡状态检查 Ø 卡充值 Ø 卡支付 Ø 卡退货交易 Ø 冲正交易 (3) 业务 业务部分是卡通项目的牵头部门，主要涉及下面三个部分的工作： l 清算、结算、划款： Ø 熟悉支付宝的结算协议，新增符合本行清算要求的支付宝清算规则。 Ø 新增一个会计分录和相关报表，用来核算来自支付宝卡通的网上支付业务。 l 生产用数字证书申请 支付宝卡通业务约定，为数据安全需要，银行端发起的所有交易报文，都要用银行的数字证书签名。这就要求银行端在投产之前需要申请向第三方的数字证书公司申请一个企业用普通数字签名证书。需要银行业务部门在项目预算中增加该项费用。参考费用：800元/年 Ø 证书申请联系方式： 北京天威诚信电子商务服务有限公司(华东营销中心) 管栋 国际认证中心总监 地址：上海市普陀区曹杨路450号绿地和创大厦1702室（200063） 电话：021-33608128-805 13671789152 天威诚信数字认证中心 （北京天威诚信电子商务服务有限公司） 曹颖婷（Chris Cao） 国际认证中心 电话：021-52352103-802传真：021-52352103-806 手机：13816026838 MSN：caoyingting@ Email:cao_yingting@ 网址： 地址：上海市白玉路98弄7号401室（200063） 北京国富安电子商务安全认证有限公司 联系人：唐清文 手机：13641107128 email:tangqw@ 电话：010-676800317 l 培训： Ø 柜员关于支付宝卡通业务的操作培训 Ø 客服培训：用于持卡人的业务咨询，同时配套的需要建立一个支付宝卡通业务管理平台，用于受理持卡人的卡通业务咨询和支付宝服务人员的业务咨询。 l 宣传推广 Ø 工作计划 Ø 宣传推广策划 (4) 运维 l 根据行内现状、网络结构制定支付宝卡通接入方案。 l 如果有现成设备支持VPN，可以直接用现成设备；否则需要购置新设备。搭建一条VPN通道，用于支付宝卡通的服务器与支付宝系统之间的通讯线路，采用加密传输＆防火墙技术。 l 测试、生产VPN线路准备（VPN线路设备和线路情况见附录二） l 我们推荐VPN接入模式，如果银行采用的是专线方案，由此产生相关的专线费用以及由于专线接入支付宝给支付宝端产生的新增设备费用（包含转接设备费用）由银行承担。专线目前支付宝端只支持电信的专线（后续会支持网通专线，具体时间参照支付宝公司通知）。（专线支持MSTP、SDH和DDN，对于SDH和DDN线路，支付宝端的转接设备由银行提供。） l 开发、生产设备准备   业务平台服务器：可以利用银行现有的业务平台直接开发支付宝卡通的银行端应用。根据银行目前前置平台生产运行状况来确定是否需要新增服务器。       开发用服务器直接可以利用银行现有的开发环境。 机器配置方案可以参照附录三，再结合银行现状选择。 (5) 时间工作量评估 根据既有卡通项目经验，我们评估银行实现卡通业务大致的工作量如下: 1、 前提：合作协议签署，开发方案、业务推广方案确定，网络部署方案确定。 2、 开发：银行端全新开发时间评估 l 行内需求确认：3人/天 l 开发环境准备：1人/天 l 前台开发测试：5人/天 l 业务平台开发测试:15人/天 l 后台开发测试:6人/天 l 联调测试：10人/天 l 投产上线：23人/天 合计：4243人/天 如果采用外包解决方案，银行端可以免掉业务平台的开发测试，与支付宝的联调测试，时间评估 l 行内需求确认,开发环境准备：1人/天 l 前台开发测试：2人/天 l 后台开发测试:2人/天 l 联调测试：5人/天 l 投产上线：1人/天 合计：11人/天 这只是一个大致的评估，根据银行的具体情况，实现复杂度会有变动，其中各个环节有的可以并行，视银行人员安排的具体情况定。 附录一：银行开发工作计划 下面是某家银行的开发工作计划，供参考： 一． 银行实施负责人 职务 姓名 电话 手机 Email 业务组 总负责 测试总负责 联机交易 对账、差错处理 技术组 总负责 前台 平台 后台 运行组 网络运行 二． 技术实施时间安排 整个技术联调的时间是在7月16日，请各个公司根据具体的安排把握好各自的时间。 [需求及技术方案确定阶段] 任务 起始时间 结束时间 负责人 参与人 备注 业务部门准备需求 06.05 06.08 杨红 与南天/顶点/支付宝初步讨论技术架构及技术实施任务量 06.05 06.08 刘飞 刘翔，徐艳,南天,顶点 通过互联网,电话 确认需求方案 06.11上午9:00 杨红 支付宝，电子银行部，刘翔，徐艳, 刘飞 确认技术方案 06.12上午9:00 刘飞 支付宝，南天，顶点，电子银行部, 刘翔，徐艳，王金刚 [技术开发及技术联调阶段] 任务 子任务 起始时间 结束时间 负责人 参与人 备注 开发 平台联机所有交易的开发 06.13 06.27 顶点 主机端程序的开发 06.13 07.10 南天 前台系统开发 06.20 07.13 王金刚 支付宝—平台联调 06.20 07.04 顶点 通信层技术联调 平台---主机通信联调 07.05 07.13 刘翔，徐艳 顶点 应用层技术联调 所有交易的技术联调 （利用支付宝模拟环境） 07.16 07.27 刘翔 南天, 顶点 所有交易的技术联调 （通过支付宝的仿真环境） 07.30 08.10 刘翔 南天,, 顶点，支付宝 [开发及测试环境准备阶段] 任务 起始时间 结束时间 负责人 参与人 备注 主机设置 06.20 06.29 刘翔 徐艳 记录所设置的过程 开发机设备就绪 06.13 06.29 王飞 开发机安装系统 07.02 07.04 王飞 安装操作系统, 数据库 支付宝专线就绪 07.25 王飞 支付宝联调测试环境就绪 07.25 支付宝 支付宝测试环境调试 07.26 07.27 王飞 刘翔，支付宝，顶点 调通整个测试网络 [生产环境准备阶段] 任务 起始时间 结束时间 负责人 参与人 备注 生产设备准备 生产设备就位 08.03 王飞 生产环境准备 安装系统 08.06 08.07 王飞 安装操作系统, 数据库 安装应用 08.08 08.08 顶点 生产环境设置 08.13 08.14 刘翔 徐艳 生产环境通信测试 生产环境的测试 08.15 08.17 刘翔 王飞，顶点，支付宝 时间穿插在用户测试中 [用户测试及上线] 任务 起始时间 结束时间 负责人 参与人 备注 用户测试 07.30 08.17 杨红 上线 08.20 08.24 刘翔 科技，南天，前台，顶点，支付宝 分步骤上线，最后是支付宝端的上线，支付宝端的上线时间由业务部门确定 技术准备就绪 08.24(投入生产环境) 附录二：银行VPN接入方案 接入方式 实现原理 优点 缺点 投资成本 运维成本 IPSEC VPN 基于IPSEC协议和加密协议的虚拟私有网络（VPN） 1、私密程度高，可以采用多重加密； 2、对链路依赖程度低，只要保证互联网链路可靠安全，应用支持重新连接； 3、不需要考虑传输链路的冗余，具有天生冗余性； 4、不会成为带宽瓶颈； 5、对业务应用透明，不需额外修改； 6、成本低，并且为一次性投入。 1、需要专用VPN硬件设备投入； 2、可能受互联网波动影响。 一次性投入成本4.2万。 如按3年平均折旧，每年成本1.4万。 低 2.1 方案描述 我们在支付宝IDC的出口处部署一组冗余的Nokia IP系列防火墙，同时根据流量和规模在各个银行出口处部署不同型号的Nokia IP系列防火墙，通过统一的Nokia IPsec加密协议在支付宝和银行系统间建立 VPN隧道。下面是各大银行和支付宝公司之间加入防火墙后的拓扑结构图和支付宝公司接入层拓扑图。 双方在互联网上建立IPsec VPN隧道，至于IPsec VPN隧道建立中所使用的安全协议、认证方式、密钥管理方式等可以通过双方的调试工程师一起协商来确定。 2.2 接入支付宝VPN环境的典型部署 考虑到各个银行网络环境的差异，我们将商业银行今后与支付宝之间的VPN连接分为以下两种环境： l 具备防火墙的VPN接入 l 不具备防火墙的VPN接入 具备防火墙环境的VPN接入部署 针对已经具有防火墙的银行网络,我们建议在原有防火墙系统中并联一台Nokia IP系列防火墙，由该Nokia防火墙执行VPN网关功能。建议部署拓扑： 环境要求 l Nokia VPN网关需要部署在Internet出口位置,同时分配公网IP地址 l 内部需要访问支付宝的服务器网段与支付宝的服务器不在一个网段 l 银行内部服务器需要将访问支付宝的目标路由指向Nokia防火墙 不具备防火墙环境的VPN接入部署 与支付宝之间需要建立VPN隧道的服务器网段在Internet出口处没有部署防火墙的，建议在银行服务器的前端串联一台Nokia防火墙。该Nokia防火墙一方面可以与支付宝端的Nokia建立IPsec的VPN隧道，另一方面可以保护银行端服务器免受来自Internet的安全威胁。建议部署拓扑如下： 环境要求 l Nokia VPN网关需要部署在Internet出口位置,同时分配公网IP地址 l 内部需要访问支付宝的服务器网段与支付宝的服务器不在一个网段 l 银行内部服务器需要将访问支付宝的目标路由指向Nokia防火墙 2.3 银行方准备事项 要以IPSEC VPN方式接入支付宝，银行方需要明确并准备下列事项： a) 简单网络拓扑图，简明表述银行端从服务器到边界设备的结构关系，供支付宝参考。 b) 一台支持VPN接入的设备，我方建议使用Nokia IP防火墙，若要使用其他防火墙，请确保能够与Nokia IP防火墙兼容且有成功案例。 c) 告知支付宝VPN设备外部端口的公网ip，用来建立隧道peer。 d) 告知支付宝提供服务接入的服务ip段与服务的端口号，双方的ip网段不能在一个网段内。 e) 及早告知支付宝银行方进行VPN调试的主要负责人与应用调试负责人的联系方式，调试计划时间表。 f) 银行方应该在服务器上或者网络设备上做访问控制，只放通某些ip的接入。 附录三：推荐开发运行环境 方案一，小型机 可以满足日均处理能力在5万笔以上，以IBM机型为参考。 设备名称 软硬件名称 主要配置 说明 支付宝卡通业务主机 IBM pSeries 520 CPU：1.65GHz *2； 内存：4G； 硬盘：200~300GB 可以在上面布局WebService 操作系统 AIX5.3以上 普通PC机 普通商用机2台 WIN2000或者更高版本操作系统，要求带IE5.5以上版本。 用于开发环境的安装，与业务管理IE。 方案二，高档PC服务器 可以满足日均处理能力在5万笔以下。 设备名称 软硬件名称 主要配置 说明 支付宝卡通业务主机 高档PC服务器 内存：4G； 硬盘：100~150GB 操作系统 Sco Unix5.05 普通PC机 普通商用机2台 WIN2000或者更高版本操作系统，要求带IE5.5以上版本。 用于开发环境的安装，与业务管理IE。 附录四、费用情况列表 序号 项目 联系人 备注 1 网络费用－VPN设备 上海群柏公司 王玮 13918821212 支持Nokia、天融信等VPN防火墙，通过公网直连，一次性购买设备。 2 网络费用－专线、转接设备 支付宝网络工程师 黎昔清 0571－26888888－11508 手机：15867108125 email：lxq96@ MSN: lxq96@ 旺旺：卫青 目前支付宝只支持电信专线，推荐银行用MSTP专线接入，如果采用SDH、DDN专线，则需要银行提供支付宝端网络接入的转接设备。 3 企业用普通数字签名证书 北京天威诚信 曹颖婷管栋 021-33608128-805 13671789152 北京国富安 唐清文 010-76800317 13641107128 用于银行端发送支付宝报文的数字签名。行内可以自行发放的可以自行生成，否则可以咨询这两家公司。 4 支付宝业务开发费用（硬件、软件） 支付宝提供技术接口和相关咨询，银行根据各自系统情况确定自主开发还是外包 5 支付宝业务推广费用 根据行内情况，针对支付宝业务推广的方案、宣传品、活动费用。