网上交易安全认证解决方案

网上交易安全认证解决方案一、概述随着网上电子交易模式的应用和发展，产生了一些专门提供网上交易服务的平台运营商，运营商建设面向全国的、面向各行各业的网上交易平台，面向企业或个人用户提供会员制的网上交易服务，包括：通过网上交易平台发布商品信息、供求信息；通过网上交易平台查询供求信息；通过网上交易平台完成交易谈判；通过网上交易平台完成电子化合同的签署；通过网上交易平台完成商品的交易；等等。 网上交易平台运营商的目标是为企业或个人提供一个开放的、方便的、诚信的交易环境。然而，网上电子交易不可避免的涉及到许多保密信息如买家、卖家个人信息、交易信息、产品信息等，在给我们带来翻天覆地的变化同时，也不可避免的带来了安全上的巨大隐患；由于网上电子交易是建立在 Internet 和网络技术基础至上，由于 Internet 的开放性、广泛性和匿名性 ，给网上交易带来很多安全隐患.针对网上交易平台应用存在的诸多安全隐患，深圳市电子商务安全证书管理有限公司(深圳CA)推出了基于 PKI （ Public Key Infrastructure ，公钥基础设施）技术的、易于实施的、完善的网上交易平台安全解决方案 。利用经过国家权威部门认可的、公正的、专业的深圳CA认证中心作为权威、可信、公正的第三方认证中心，为网上交易平台构建基于 PKI/CA 技术的信任基础平台，提供身份认证服务；网上交易平台运营商的会员通过深圳CA申请数字证书，证书都保存到 USB Key 中；通过深圳CA为网上交易平台申请服务器证书，证明网上交易平台的真实性；会员登陆网上交易平台时，通过数字证书来实现身份认证和访问控制；进行信息发布时，使用数字证书对发布的信息进行数字签名，确保发布信息的真实性、完整性、可靠性和抗抵赖性；会员通过网上交易平台进行网上谈判、电子化交易合同签署时，使用数字证书对提交的谈判信息、交易订单和交易合同等进行签名，保证交易信息的真实性、完整性、可靠性和抗抵赖性二、数字证书与网上交易系统结合1.总体设计通过应用证书，可以为网上交易系统实现身份认证，数据加密，数据签名等方面功能.2.身份认证通过验证用户证书的有效性和合法性，来确认用户具有系统赋予的角色权限。通过交易系统的用户名密码结合证书的方式，甚至不需要用户名密码的方式就可登陆系统，确定用户身份。平台服务器配置服务器证书，建立起SSL安全通道，用户或者客户端必要使用证书才能登录到系统。通过双向的认证机制，保证登录者的真实身份。如下图：部署证书目录服务器（LDAP），提供证书公钥查询，证书掉销列表（CRL），证书状态查询等服务，用于检查登录用户的证书的可靠性。证书目录服务器自动与深圳CA的主目录服务器同步数据。 通过严格的身份认证机制，确保档案数据来源的可靠性，系统的安全性。 3.数字签名应用使用SZCA的数字签名中间件，可以对文字、表格、文件、图像、图形等类型的数据进行签名，制作数字信封、证书解析、数据编码、数据摘要、获取数据原文等功能。网上交易平台与SZCA的数字签名中间件结合，当用户要提交电子数据时，客户端程序通过签名中间件读取用户的个人证书，验证个人证书信息及有效性，然后使用签名中间件的标准签名方法对电子文件进行签名，最后发送到网上交易平台。技术特点：1).支持双向签名-具备签名、验签名功能，可以用来实现双向、多次签名的高安全级别方案。2).支持多方CA证书-支持多证书链的签名和验证，极大的满足了用户对多个证书链的需求。如果用户使用的是其他CA机构颁发的数字证书，也可以在进行签名。3).支持多个原文或文件-支持对多个原文内容（或者文件）进行一次签名的功能，可以提高整体的签名效率。4).支持USB介质的证书载体-除了支持软证书、磁盘证书外，还支持IC卡或者USBKey形式的证书，为用户提供了灵活的选择。5).支持多人签名-根据RFC2985国际规范，签名符合PKCS7的signedData格式，支持多个签名，能按顺序验证出各个签名者。能很好的满足公文流转等类型系统中的多签名情况。6).电子文件的验证-用户提交文件到电子商务平台后，由平台进行统一验证签名信息。验证的内容包括如下: 正确性：数字签名的密文能否通过标准的验签算法验证出签名者信息。 完整性：验证出来的原文哈希值是否与原文的哈希值一致。 真实性：验证的签名者证书信息是否与原签名者证书一致。 可靠性：签名者证书是否由可靠的CA权威机构颁发；签名时间是否在签名证书的有效期内；实施签名时，签名证书是否已经被吊销。7).成熟的安全中间件，快捷地实现数字签名功能 全面支持X509数字证书及PKI公钥体系 轻松实现数字签名、数字信封、数字证书解析等功能 运用COM技术、JavaBean组件、Activex控件，适用于各类型开发语言 支持CSP规范，兼容各类型硬件（USBKEY、加密机等）4.数据加密应用随着网络技术的发展，对网络传输过程中信息的保密性提出了更高的要求，这些要求主要包括：对敏感的文件进行加密；保证数据的完整性，防止截获人在文件中加入其他信息；对数据和信息的来源进行验证，以确保发信人的身份。SZCA采用用户和应用系统双向加密方式发送和接收数据，此加密方式安全可靠，具体说明如下：SSL通道协议提供的安全信道有以下三个特性：数据的保密性信息加密就是把明码的输入文件用加密算法转换成加密的文件以实现数据的保密。加密的过程需要用到密匙来加密数据然后再解密。没有了密匙，就无法解开加密的数据。数据加密之后，只有密匙要用一个安全的方法传送。加密过的数据可以公开地传送。 SSL是通过HTTPS方式访问和实现，如下图：数据的一致性加密也能保证数据的一致性。例如:消息验证码（MAC），能够校验用户提供的加密信息，接收者可以用MAC来校验加密数据，保证数据在传输过程中没有被篡改过。安全验证加密的另外一个用途是用来作为个人的标识，用户的密匙可以作为他的安全验证的标识。 SSL是利用公开密钥的加密技术（RSA）来作为