今日钢铁电子合同安全保障解决方案.pptx

《今日钢铁电子合同安全保障解决方案.pptx》由会员分享，可在线阅读，更多相关《今日钢铁电子合同安全保障解决方案.pptx（38页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、今日钢铁电子合同安全保障方案北京国富安电子商务安全认证有限公司北京国富安电子商务安全认证有限公司 解决方案中心解决方案中心目录目录成功案例成功案例方案设计方案设计需求分析需求分析项目背景项目背景概述概述2021/9/122概述概述2021/9/123概述概述PKI技技术是目前解决是目前解决应用用层安全的最成熟安全的最成熟应用最广泛的技用最广泛的技术体系，体系，PKI技技术着重解决五个方面的着重解决五个方面的问题：v 确定网络上的身份，即解决你是谁的问题。v 确定你能干什么。基于证书进行授权，可有效保证只能做允许做的事情，防止非法操作。v 保证数据的机密性，防止他人窃取机密。v 保证数据的完整性

2、，防止他人擅自修改、伪造数据。v 保证网络行为的严肃性，防止用户抵赖行为。2021/9/124数字证书的技术与法律保障数字证书的技术与法律保障PKI体系体系公钥基础设施公钥基础设施采用非对称密码算法原理和技术通过证书管理公钥通过第三方的可信任机构（认证中心，即CA），把用户的公钥和用户的其他标识信息捆绑在一起。实现用户在Internet上的身份认证，从而提供安全可靠的信息处理。2021/9/125数字证书概念数字证书概念v数字证书，又叫“数字身份证”、“网络身份证”，是由认证中心CA发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真

3、实身份。其作用类似于现实生活中的身份证v数字证书采用PKI公钥体制。v数字证书的格式一般采用X.509国际标准。2021/9/126数字证书内容数字证书内容证书内容证书内容拥有者公钥拥有者公钥拥有者公钥拥有者公钥认证中心标识认证中心标识认证中心标识认证中心标识Subject:李林李林Not Before:10/18/99Not After:10/18/04Signed:Cg6&78#dxSerial Number:29483756Subjects Public key:公钥公钥公钥公钥Secure Email Client Authentication扩展域扩展域扩展域扩展域拥有者身份信息拥有

4、者身份信息拥有者身份信息拥有者身份信息有效期限有效期限有效期限有效期限Issuer:GFA CA认证中心认证中心认证中心认证中心(CA)(CA)的数字证书的数字证书的数字证书的数字证书证书发布证书发布证书发布证书发布IDID号号号号2021/9/127数字证书安全应用数字证书安全应用信任类型信任类型现实世界现实世界网络世界网络世界身份认证身份认证身份证、护照、信用卡、驾照身份证、护照、信用卡、驾照数字证书、数字签名数字证书、数字签名完完 整整 性性签名、支票、第三方证明签名、支票、第三方证明数字签名数字签名保保 密密 性性保险箱、信封、警卫、密藏保险箱、信封、警卫、密藏加密加密不可否认性不可否

5、认性签名、挂号信、公证、邮戳签名、挂号信、公证、邮戳数字签名数字签名2021/9/128数字证书的法律保障数字证书的法律保障2005年4月1日中华人民共和国电子签名法颁布 确立电子签名的法律效力确立电子签名的法律效力 电子签名法第十四条规定：“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”对电子认证服务机构设立了市场准入制度对电子认证服务机构设立了市场准入制度 电子签名法第十七条、第十八条规定，从事电子认证服务必须具备一定的条件，并取得工信部主管部门的许可。2021/9/129目录目录成功案例成功案例方案设计方案设计需求分析需求分析项目背景项目背景概述概述2021/9/1210项目背景

6、项目背景v目前的业务系统目前的业务系统：今日钢铁网 电子商务平台v业务面临的问题：业务面临的问题：纸质的合同由于拥有双方的签名，具有法律效力，可最大保障双方的合法权益；但电子合同由于缺乏签名，不具备相应的法律效力，当供需双方出现纠纷时，没有法律依据。v相关法律法规：相关法律法规：2005年颁布的电子签名法和工信部电子认证服务管理办法规定了，使用可靠的电子签名可以作为争议仲裁和责任认定的法律依据。结论：通过电子签名技术解决电子合同的合法性问题 2021/9/1211项目建设基础项目建设基础法律政策基础法律政策基础2004年8月28日中华人民共和国电子签名法2005年4月1日正式生效；第十四条第十

7、四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力可靠的电子签名与手写签名或者盖章具有同等的法律效力技术基础技术基础基于PKI体系的数字证书应用技术体系的数字证书应用技术作为保障应用安全的最佳应用技术，已经得到了广泛的应用。在医疗信息系统中，PKI技术可以保护信息的处理安全和传递安全，保护用户的隐私，提供信任机制并实现操作的可追溯性，为保障医疗信息系统的高安全性发挥重要作用。2021/9/1212目录目录成功案例成功案例方案设计方案设计需求分析需求分析项目背景项目背景概述概述2021/9/1213安全风险安全风险v在电子合同在应用的过程中，可能出现的安全威胁及风险列举如下：（1）伪造电子

8、合同：受害方无法证明该合同系伪造，容易引发交易争议和纠纷，需实现电子合同防伪；（2）篡改电子合同条款（包括价格、数量、品种型号等信息）：受害方无法证明该合同自签订后被篡改过。引发交易争议和纠纷，需实现电子合同完整性保护；（3）对合同内容进行否认：受害方无法证明该合同的有效性，即对方确实曾经签署过该合同，需实现电子合同的不可否认性；（4）电子合同在传送过程中被泄露：敏感商业机密被泄露，需实现电子合同的机密性保护。（5）缺乏法律保护：电子合同没有签名，无法同带有手写签名的纸质合同一样得到法律保障，一旦出现纠纷，没有法律依据，无法保障网站运营商、交易人三方的权益。2021/9/1214安全需求安全需

9、求安全风险安全风险解决方法解决方法对应技术对应技术/政策政策伪造电子合同电子合同由服务器生成，生成时需由服务器的证书进行电子签名、加盖时间戳，实现合同的完整性保护、时间标记证明等。在交易参与人使用电子合同时，需首先通过证书身份认证，才可以查看合同，并对电子合同做验证。数字签名时间戳证书的身份认证篡改电子合同条款电子合同在经过交易人确认后保存在服务器端时，需由服务器的证书进行电子签名，实现合同的完整性保护。数字签名对合同内容进行否认电子合同的各个签署人在修改、确认合同时需使用签署人证书进行电子签名，实现合同的不可否认性。数字签名电子合同在传送过程中被泄露电子合同在客户端及服务器端的传输过程中可采

10、用SSL对称加密来实现通道的机密性保护。电子合同的数据加密可以采用公钥加密的方式来实现机密性保护。对称加密公钥加密缺乏法律保护纸质的合同由于拥有双方的签名，具有法律效力，可最大保障双方的合法权益；但电子合同由于缺乏签名，不具备相应的法律效力，当供需双方出现纠纷时，没有法律依据。电子签名法使用具有资质的CA颁发的数字证书的数字签名2021/9/1215需求分析需求分析v需要使用基于需要使用基于PKI的数字证书技术，来保障电子合同在签的数字证书技术，来保障电子合同在签署、调用、验证、执行等过程的完整性、机密性、不可否署、调用、验证、执行等过程的完整性、机密性、不可否认性等安全需求。认性等安全需求。

11、v电子签名是基于PKI/CA体系的数字证书的安全应用功能，因此必须借助权威的CA机构来提供电子签名服务。2021/9/1216建设目标建设目标最终目标是：实现电子合同系统的安全使用和合法性保障。首要目标是实现第三方数字证书发放其次是进行证书与应用系统的集成 基于权威的国富安CA系统的数字证书服务解决了电子合同对于安全性及其法律效力的双重需求。可实现安全登录、数据签名、数据加密、时间戳等安全功能。2021/9/1217目录目录成功案例成功案例方案设计方案设计需求分析需求分析项目背景项目背景概述概述2021/9/1218方案设计思路方案设计思路建设思路v1需要实现第三方数字证书的签发：根据用户实际

12、情况，证书的发证模式提供三种模式三种模式，由国富安发放证书，或实现本地化的证书制作，用户可根据实际情况进行选择。v2进行证书与应用系统的集成，可实现安全登录、数据签名、数据加密、时间戳等安全功能：使用证书集成接口对应用系统做少量改造，将证书功能集成到应用系统，进而可实现用户在应用系统中的安全登录、电子合同的的电子签名、重要文件的加密、文件加盖时间戳等安全功能。无论采用哪种发证模式，证书集成开发工作是一样的，都通过证书接口对应用系统进行改造。2021/9/1219总体设计架构总体设计架构2021/9/1220总体设计总体设计1国富安电子认证服务国富安电子认证服务证书服务：证书服务：依托国富安全国

13、性的电子认证服务体系，为电子合同用户提供数字认证服务，提供的数字证书具有以下特点：1）证书具有法律效力证书具有法律效力 作为具有信息产业部颁发的电子认证服务许可资质的第三方CA运营商，国富安公司提供的数字证书具备中华人民共和国电子签名法所规定的法律效力。2）随需而变的证书类型随需而变的证书类型国富安CA满足业务系统对证书类型和证书格式的灵活需求：可以根据业务需求定制数字证书类型，主要包括：企业用户证书、服务器证书等类型，也可以根据业务具体需求签发不同格式的数字证书。证书存储介质：分为磁盘存储和USBKey存储。用户可以自行选择，价格低安全性略低的磁盘存储即软证书，和价格高安全性高的USBKey

14、存储即硬证书。2021/9/1221总体设计总体设计 3）本地化本地化发证发证服务（可选）服务（可选）如想实现本地提交申请，本地制作证书，可使用国富安RA/LA系统，具有证书申请、审核、下载、制作、发放、更新、注销及查询等服务，为电子合同提供方便快捷高效稳定的本地化服务。2.电子合同快速集成电子合同快速集成证书应用证书应用由数字证书（企业证书、服务器证书）和证书开发接口组成。为电子合同用户制作并发放证书，电子合同应用服务器配置服务器证书。通过证书开发接口与电子合同进行证书应用的安全无缝集成，实现系统的安全登录、电子合同的签名，从而保护电子合同的安全性及法律有效性。2021/9/1222国富安国

15、富安CACA体系结构体系结构CA承担证书签发、审批、吊销、查询、证书及黑名单发布、密钥和证书管理、政策制定等工作，设在国富安CA北京经济技术开发区运营主机房，不直接面对用户；RA注册机构作为电子认证服务机构授权委托的下属机构，包括注册系统（RA系统），和证书受理点（LA），负责用户证书的申请、审批和证书管理，直接面向证书用户；一般情况下LA证书受理点进行用户身份鉴定和证书信息录入，提交到RA系统把证书申请信息传递到CA。国富安CA的RA系统分为自建RA和授权RA，每个RA系统下面可以根据系统能力建立多个LA证书受理点。LALA业务受理点作为RA中心的附属机构，其主要职责是证书请求的接收、用户资

16、料的初级审核与提交。2021/9/1223证书签发模式证书签发模式模式一：直接使用国富安模式一：直接使用国富安CA证书2021/9/1224证书签发模式证书签发模式模式二：在今日模式二：在今日钢铁网本地安装网本地安装LA软件，件，实现本地本地证书签发2021/9/1225证书签发模式证书签发模式模式三：在今日模式三：在今日钢铁网本地部署网本地部署RA系系统，实现本地本地证书签发及及审核核2021/9/1226证书鉴证流程证书鉴证流程审核该组织机构身份的真实性：国富安CA或RA（包括受理点）检查组织机构相关的证明文件原件或复印件，申请者需向国富安CA提供组织机构确实存在的证明(如工商执照、组织机

17、构代码证、税务登记等，对于服务器证书需要出具域名拥有证书等)。代表人身份的授权：国富安CA或RA（包括受理点）必须检查组织机构的证书申请委托函，委托函需加盖组织机构公章和签名，通过对代表人身份证件的验证或其他渠道核实代表人已经由该组织授权。如果国富安CA或RA（包括受理点）已经预先明确了组织机构和授权或委托人的身份，那么国富安CA或RA（包括受理点）可以信赖这些证明。对于特殊情况，国富安CA或RA（包括受理点）可以采用其他方式追加组织机构身份鉴证的权利。2021/9/1227证书签发模式对比证书签发模式对比 详见WORD文件。2021/9/1228项目报价项目报价 详见报价文件。2021/9/

18、1229时间戳概念时间戳概念v时间戳能够提供可靠的时间信息，证明某份文件（或某条信息）在某个时间（或以前）存在，防止用户在这个时间前或时间后伪造数据进行欺骗活动；v是一个提供可信赖的且不可抵赖的时间戳服务的可信任第三方，它是PKI的重要组成部分。2021/9/1230时间戳的功能时间戳的功能v时间戳在本项目中的作用对电子合同等重要文件提供确实的签署时间，实现既能证实签署人身份又能确保准确的签署时间，从而无从抵赖或否认。2021/9/1231时间戳方案的部署图时间戳方案的部署图2021/9/1232时间戳方案的构成时间戳方案的构成包括两部分v授时服务系统：授时服务需要从第三方进行采购，如国家授时

19、中心、威科姆科技公司等，通过GPS或北斗卫星获得权威标准时间，为时间戳签发服务提供高精度的国家标准时间源；（注：北斗卫星地面控制中心具有多台原子钟并与国家授时中心组成北斗授时中心，为北斗系统提供高精度时间基准。北斗授时用户终端只需接收任意一颗卫星的任意一个波束信号，即可获得授时信息。）v时间戳系统：时间戳系统采用国富安自主研发的时间戳系统。在对文件内容进行签名的同时，对目标数据加上授时服务授时服务提供的时间标记，并用数字签名来保证时间标记的完整性与真实性。2021/9/1233授时服务系统构成授时服务系统构成v主要组成：北斗/GPS网络时间服务器北斗电力卫星同步时钟北斗天线放大器北斗天线支架

20、天线馈线GPS接收天线v主要功能通过接收天线获得北斗星卫星或者美国GPS的权威时间。2021/9/1234时间戳系统构成时间戳系统构成v主要组成时间戳服务器时间戳管理终端时间戳应用APIv主要功能在对文件内容进行签名的同时，对目标数据加上可信时间源提供的时间标记，并用数字签名来保证时间标记的完整性与真实性。提供精确可信的时间戳服务，以确认系统处理数据在某一时间（之前）的存在性和相关操作的相对时间顺序，为实现系统数据处理的抗抵赖性提供基础。2021/9/1235时间戳服务应用时间戳服务应用v部署内容：在客户本地建设时间源服务器和时间戳服务器。v应用：当用户在使用应用系统需要加盖时间戳时，可访问本地的时间戳服务器，时间戳服务器提供一个标准的时间并使用私钥进行签名，应用系统保存此签名信息，即记录了此次操作的标准时间并保留有时间证据。2021/9/1236目录目录成功案例成功案例方案设计方案设计需求分析需求分析项目背景项目背景概述概述2021/9/1237