搜索
网上交易平台应用安全解决方案(针对阿里巴巴的应用)北京天威诚信电子商务服务有限公司iTrusChinaCo.,Ltd.2网上交易应用面临的安全隐患3信息化的浪潮催生了网上交易模式随着计算机技术和通信技术的飞速发展,信息化的浪潮席卷全球传统的交易模式不能满足发展的要求,网上交易模式孕育而生:–网上交易是指个人、企事业单位或政府机构运用信息化手段,在Internet开放的网络环境下,基于浏览器/服务器应用方式,实现消费者地网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式网上交易模式将大大促进电子商务的发展:–由于网上电子交易所附带的开放性、全球性、低成本、高效率等特征,使得网上电子交易不仅仅是一种新的贸易形式,它不仅会改变企业本身的生产、经营、管理活动,而且将影响到整个社会的经济运行与机构–网上交易将传统的商务流程电子化、数字化,一方面以电子流代替了实物流,可以大量减少人力、物力,降低了成本;另一方面突破了时间和空间的限制,使得交易活动可以在任何时间、任何地点进行,从而大大的提高了效率4专业交易平台的建设促进了网上交易业务的发展随着网上电子交易模式的应用和发展,产生了一些专门提供网上交易服务的平台运营商运营商建设面向全国的、面向各行各业的网上交易平台,面向企业会员提供会员制的网上交易服务–通过网上交易平台发布商品信息、供求信息–通过网上交易平台查询供求信息–通过网上交易平台完成交易谈判–通过网上交易平台完成电子化合同的签署–通过网上交易平台完成商品的交易–等等5全球最大的网上贸易市场——阿里巴巴6阿里巴巴诚信通服务7阿里巴巴贸易通服务8阿里巴巴支付宝服务9互联网应用存在信息安全隐患如何确认彼此的身份?通过互联网被窃听,导致信息泄漏信息被篡改,导致信息不完整用户对发送信息进行抵赖,没有抗抵赖的依据网上应用系统服务器用户数据库窃听篡改抵赖?假冒的站点?假冒的用户10网上交易平台应用安全需求身份认证需求–企业会员需要判断网上交易平台的真实身份,平台如何判断会员的真实身份信息的真实性–交易各方在平台上发布的信息、交易谈判信息和电子化交易合同等是否是真实的信息,使得一些投机分子可以提交一些虚假的信息,达到欺骗的行为信息的机密性–卖家向交易平台上传的产品信息、买家进行付费是的财务信息和在交易平台上流动的一些机密资料有可能在传递过程中被非法用户截取信息的完整性–敏感、机密信息和数据在买卖双方和交易平台之间传递是可能被非法用户恶意篡改,造成用户的重大损失信息的抗抵赖性–对于信息发布、交易谈判、交易合同签署、交易平台的信息提供等关键交易步骤,一旦有一方予以否认,另一方没有已签名的记录作为仲裁的依据建立诚信的交易环境–由于Internet的广泛性、公开性和匿名性,以及交易过程中存在信息真实性、机密性、完整性和抗抵赖等行为,需要建立诚信的网上交易环境11阿里巴巴网站具有明确的安全需求诚信通服务–会员身份认证–会员信息发布的真实性–交易信息的真实性、完整性和抗抵赖–诚信交易环境的建立贸易通服务–会员身份认证–贸易信息发布的真实性–在线洽谈信息的真实性、完整性和抗抵赖–诚信的网上贸易环境的建立支付宝服务–支付用户的身份认证–支付信息传输的机密性–支付信息的真实性、完整性和抗抵赖–交易资金记录的查询和管理12保障网上交易平台应用安全的最佳解决方案——PKI/CA13PKI/CA技术简介PKI:PublicKeyInfrastructure,公钥基础设施–使用成熟的公开密钥机制,综合了密码技术、数字摘要技术、数字签名等多项安全技术以及一套成熟的安全管理机制来提供有效的信息安全服务CA:CertificationAuthority,认证中心–采用PKI技术建设CA认证中心,为用户签发数字证书;–用户在业务系统中使用证书,完成用户的身份认证、访问控制以及信息传输的机密性、完整性和抗抵赖性,保障应用、通信或事务处理的安全。采用PKI/CA技术可以有效的解决网上交易平台的信息安全问题14PKI的虚拟与现实JohnHancock保密性身份鉴证授权完整性抗抵赖DigitalSignature加密私钥与数字签名应用授权数字证书15什么是数字证书?网络世界的电子身份证–与现实世界的身份证类似–能够证明个人、团体或设备的身份包含相关信息:–包含姓名、地址、公司、电话号码、Email地址、…与身份证上的姓名、地址等类似–包含所有者的公钥拥有者拥有证书公钥对应的私钥由可信的颁发机构颁发–比如身份证由公安局颁发一样颁发机构对证书进行签名–与身份证上公安局的盖章类似–可以由颁发机构证明证书是否有效–可防止擅改证书上的任何资料16数字证书颁发机构:CA证书认证权威–CertificationAuthority提供网络身份认证服务–证明数字证书的有效性负责签发和管理数字证书–具体签发证书–对数字证书进行签名–并管理数字证书具有权威性和公正性–类似于颁发身份证的公安局–在网络世界中人人都信任CA公安局17电子签名法确立了数字签名的合法地位2004年8月28日人大正式通过了《中华人民共和国电子签名法》–2005年4月1日正式生效明确了电子签名的合法性,受到法律保护明确了含有安全的电子签名的电子文档可以作为有效的法律文件明确要求采用的技术能够实现–确定信息的原发性–信息一旦签署不能篡改–信息被改动后当事人应该能够及时发现–数字签名应能够被双方验证–……18第三方认证是最佳的方案PKI本身的信任原理是基于第三方信任法律效力方面的问题:–企业会员进行网上交易需要第三方认证–《中华人民共和国电子签名法》保证第三方认证具有法律效力;CA运营和管理的问题:–在CA平台运营过程中的系统维护和安全保障成本;–CA平台的运营和管理存在难度;–可以通过第三方认证转嫁CA运营和管理的风险。采用第三方认证的方式是解决网上交易平台应用安全的最佳方案19天威诚信网上交易平台安全解决方案20总体架构21具体描述利用经过国家权威部门认可的、公正的、专业的天威诚信CA认证中心作为权威、可信、公正的第三方认证中心,为网上交易平台构建基于PKI/CA技术的信任基础平台,提供身份认证服务网上交易会员通过天威诚信认证中心申请数字证书,作为会员的唯一身份,证书都保存到USBKey中通过天威诚信认证中心为网上交易平台申请服务器证书,证明网上交易平台的真实性会员登陆网上交易平台时,通过数字证书来实现身份认证和访问控制进行信息发布时,使用数字证书对发布的信息进行数字签名,确保发布信息的真实性、完整性、可靠性和抗抵赖性会员通过网上交易平台进行网上谈判、电子化交易合同签署时,使用数字证书对提交的谈判信息、交易订单和交易合同等进行签名,保证交易信息的真实性、完整性、可靠性和抗抵赖性22CA在阿里巴巴的应用用户注册成阿里巴巴的会员时,通过天威诚信认证中心,为注册会员发放证书–注册会员在阿里巴巴网站上的真实身份–保存到USBKey中会员阿里巴巴服务器天威诚信CA认证中心1会员注册通过天威诚信认证中心为注册会员发证书223注册会员登陆阿里巴巴网上服务时,使用数字证书进行安全登陆–通过会员的证书来实现对会员的身份认证,确保登陆会员的真实性–登陆后建立安全通道,确保信息传输的机密性CA在阿里巴巴的应用注册会员阿里巴巴服务器注册会员使用证书进行安全登陆注册会员3324注册会员发布信息时,使用数字证书对发布信息进行数字签名–保证发布信息的真实性–会员不能抵赖发布的信息CA在阿里巴巴的应用注册会员阿里巴巴服务器信息发布时使用证书对发布信息进行数字签名注册会员44数字签名数字签名25会员之间进行网上交易时,使用数字证书对交易信息进行数字签名–保证交易信息的真实性–交易双方不能对交易行为进行抵赖CA在阿里巴巴的应用注册会员阿里巴巴服务器会员之间进行网上交易时,对交易信息进行数字签名注册会员数字签名数字签名526阿里巴巴支付宝安全应用天威诚信认证中心后台应用服务器注册会员支付审计数据库支付宝服务器SSL安全通道银行支付数据1000元…数字签名申请证书天威诚信认证中心为支付会员发放证书给支付宝服务器颁发服务器证书,证明支付宝服务器的身份会员进行支付时使用证书登陆支付宝提交支付数据时,同时证书对支付数据进行数字签名,经安全通道传输支付宝服务器验证支付数据的数字签名,将支付数据及其签名进行保存27方案产品与服务构成天威诚信第三方认证服务–发放企业证书服务器证书–发放给阿里巴巴服务器证书应用开发接口(API)–阿里巴巴服务平台安全集成接口USBKey–存放企业会员的企业证书28合作模式29合作模式和步骤选择天威诚信认证中心为阿里巴巴应用提供第三方认证服务:–采用天威诚信安证通(Onsite),在天威诚信认证中心为阿里巴巴定制RA(RegistrationAuthority,注册权威)中心RA中心处于天威诚信CTN(ChinaTrustNetwork,中国信任网络)体系下提供证书申请和管理服务功能天威诚信协助阿里巴巴完成平台的应用安全集成改造:–天威诚信提供证书应用开发接口(API),并提供技术支持–阿里巴巴实现平台的身份认证、访问控制、加密、签名等功能–配合阿里巴巴完成系统测试天威诚信为阿里巴巴会员发放企业证书–系统在安装调试完成后,天威诚信根据阿里巴巴提交的企业会员名录,通过严格的鉴证流程,对企业会员进行第三方鉴证,确定各自的真实身份,颁发企业证书,企业证书保存在USBKey中共同推广市场–共同开展新闻发布会,组织市场推广会议,推动诚信网上交易环境的宣传后续强力的技术支持–最终用户的技术支持和使用培训30为什么选择天威诚信?31天威诚信公司简介天威诚信公司成立于2000年9月信息产业部批准的全国性PKI/CA企业专业的信息安全技术与服务公司,提供全面的数字信任服务–提供:数字信任服务、PKI/CA建设服务、PKI/CA应用服务、PKI/CA运营管理咨询服务和PKI/CA体系整体规划服务天威诚信运营了一个政府认可的、权威、可信、公正的第三方认证中心–建有1000平米的国际一流水准的、安全的数据中心;–配备了专业可靠的运营管理团队;–采用ISO17799信息安全管理体系进行管理;–制定了标准的认证业务声明(CPS)使命与定位:“向企业、政府和大众客户提供全面的数字信任服务”,“成为国内提供数字信任服务的领先者”32积极参与有关管理规范制订和立法工作参与了国家有关PKI/CA体系规划、建设和运营管理等方面的工作积极参与了《中华人民共和国电子签名法》立法工作《电子认证服务管理办法》起草组成员之一信息产业部领导人大法工委和国务院法制办领导人大领导33天威诚信的优势天威诚信优势:–信息产业部批准的第一家全国性PKI/CA的企业–国内首家通过ISO/IEC17799-2000信息安全管理体系认证的PKI/CA认证中心–采用国际上先进的、商业化运作模式–完善的运营机制–专业的服务体系–丰富的实践经验–专业的技术支持队伍–完善的客户保障体系天威诚信多年来在CA运营积累的丰富经验,将为阿里巴巴提供权威、公正、可信的第三方认证服务34为阿里巴巴带来的价值35可信的信息安全的传输方式具有法律效力的签名记录便捷信息获取方式快速的交易模式可信的会员可信的站点数字签名诚信的网上交易环境建立诚信的网上交易环境36带来的价值天威诚信网上交易平台应用安全解决方案在保证安全的同时,将建立诚信的网上交易环境:–对于参与会员来说,安全的网上交易平台的建立,将:获得高安全性的保证,降低交易的成本,提高效率;获得真实的企业信息、商品信息和交易信息,可以放心的参与网上交易业务;获得开放的、方便的、诚信的网上交易环境,真正体验电子商务带来的好处。–对于阿里巴巴来说,安全的网上交易平台的建立,将:建立一个可信赖的网络环境,确保客户重要数据的安全性;降低阿里巴巴的管理成本,会员必须以真实的身份发布信息并参与网上交易,从而减少信息管理、