今日钢铁电子合同安全保障解决方案

今日钢铁电子合同安全保障方案北京国富安电子商务安全认证有限公司解决方案中心目录成功案例方案设计需求分析项目背景概述概述www.cacenter.com.cn概述PKI技术是目前解决应用层安全的最成熟应用最广泛的技术体系，PKI技术着重解决五个方面的问题：确定网络上的身份，即解决你是谁的问题。确定你能干什么。基于证书进行授权，可有效保证只能做允许做的事情，防止非法操作。保证数据的机密性，防止他人窃取机密。保证数据的完整性，防止他人擅自修改、伪造数据。保证网络行为的严肃性，防止用户抵赖行为。www.cacenter.com.cn数字证书的技术与法律保障PKI体系——公钥基础设施采用非对称密码算法原理和技术通过证书管理公钥通过第三方的可信任机构（认证中心，即CA），把用户的公钥和用户的其他标识信息捆绑在一起。实现用户在Internet上的身份认证，从而提供安全可靠的信息处理。数字证书概念数字证书，又叫“数字身份证”、“网络身份证”，是由认证中心CA发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。其作用类似于现实生活中的身份证数字证书采用PKI公钥体制。数字证书的格式一般采用X.509国际标准。www.cacenter.com.cn数字证书内容www.cacenter.com.cn7证书内容拥有者公钥认证中心标识Subject:李林NotBefore:10/18/99NotAfter:10/18/04Signed:Cg6&^78#@dxSerialNumber:29483756Subject’sPublickey:公钥SecureEmailClientAuthentication扩展域拥有者身份信息有效期限Issuer:GFACA认证中心(CA)的数字证书证书发布ID号数字证书安全应用www.cacenter.com.cn信任类型现实世界网络世界身份认证身份证、护照、信用卡、驾照数字证书、数字签名完整性签名、支票、第三方证明数字签名保密性保险箱、信封、警卫、密藏加密不可否认性签名、挂号信、公证、邮戳数字签名数字证书的法律保障2005年4月1日《中华人民共和国电子签名法》颁布确立电子签名的法律效力《电子签名法》第十四条规定：“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”对电子认证服务机构设立了市场准入制度《电子签名法》第十七条、第十八条规定，从事电子认证服务必须具备一定的条件，并取得工信部主管部门的许可。目录成功案例方案设计需求分析项目背景概述项目背景目前的业务系统：今日钢铁网电子商务平台业务面临的问题：纸质的合同由于拥有双方的签名，具有法律效力，可最大保障双方的合法权益；但电子合同由于缺乏签名，不具备相应的法律效力，当供需双方出现纠纷时，没有法律依据。相关法律法规：2005年颁布的《电子签名法》和工信部《电子认证服务管理办法》规定了，使用可靠的电子签名可以作为争议仲裁和责任认定的法律依据。结论：通过电子签名技术解决电子合同的合法性问题项目建设基础法律政策基础•2004年8月28日《中华人民共和国电子签名法》•2005年4月1日正式生效；第十四条可靠的电子签名与手写签名或者盖章具有同等的法律效力技术基础•基于PKI体系的数字证书应用技术作为保障应用安全的最佳应用技术，已经得到了广泛的应用。在医疗信息系统中，PKI技术可以保护信息的处理安全和传递安全，保护用户的隐私，提供信任机制并实现操作的可追溯性，为保障医疗信息系统的高安全性发挥重要作用。目录成功案例方案设计需求分析项目背景概述14安全风险在电子合同在应用的过程中，可能出现的安全威胁及风险列举如下：（1）伪造电子合同：受害方无法证明该合同系伪造，容易引发交易争议和纠纷，需实现电子合同防伪；（2）篡改电子合同条款（包括价格、数量、品种型号等信息）：受害方无法证明该合同自签订后被篡改过。引发交易争议和纠纷，需实现电子合同完整性保护；（3）对合同内容进行否认：受害方无法证明该合同的有效性，即对方确实曾经签署过该合同，需实现电子合同的不可否认性；（4）电子合同在传送过程中被泄露：敏感商业机密被泄露，需实现电子合同的机密性保护。（5）缺乏法律保护：电子合同没有签名，无法同带有手写签名的纸质合同一样得到法律保障，一旦出现纠纷，没有法律依据，无法保障网站运营商、交易人三方的权益。安全需求安全风险解决方法对应技术/政策伪造电子合同电子合同由服务器生成，生成时需由服务器的证书进行电子签名、加盖时间戳，实现合同的完整性保护、时间标记证明等。在交易参与人使用电子合同时，需首先通过证书身份认证，才可以查看合同，并对电子合同做验证。数字签名时间戳证书的身份认证篡改电子合同条款电子合同在经过交易人确认后保存在服务器端时，需由服务器的证书进行电子签名，实现合同的完整性保护。数字签名对合同内容进行否认电子合同的各个签署人在修改、确认合同时需使用签署人证书进行电子签名，实现合同的不可否认性。数字签名电子合同在传送过程中被泄露电子合同在客户端及服务器端的传输过程中可采用SSL对称加密来实现通道的机密性保护。电子合同的数据加密可以采用公钥加密的方式来实现机密性保护。对称加密公钥加密缺乏法律保护纸质的合同由于拥有双方的签名，具有法律效力，可最大保障双方的合法权益；但电子合同由于缺乏签名，不具备相应的法律效力，当供需双方出现纠纷时，没有法律依据。电子签名法使用具有资质的CA颁发的数字证书的数字签名需求分析需要使用基于PKI的数字证书技术，来保障电子合同在签署、调用、验证、执行等过程的完整性、机密性、不可否认性等安全需求。电子签名是基于PKI/CA体系的数字证书的安全应用功能，因此必须借助权威的CA机构来提供电子签名服务。建设目标最终目标是：实现电子合同系统的安全使用和合法性保障。首要目标是实现第三方数字证书发放其次是进行证书与应用系统的集成基于权威的国富安CA系统的数字证书服务解决了电子合同对于安全性及其法律效力的双重需求。可实现安全登录、数据签名、数据加密、时间戳等安全功能。目录成功案例方案设计需求分析项目背景概述方案设计思路建设思路——1．需要实现第三方数字证书的签发：根据用户实际情况，证书的发证模式提供三种模式，由国富安发放证书，或实现本地化的证书制作，用户可根据实际情况进行选择。2．进行证书与应用系统的集成，可实现安全登录、数据签名、数据加密、时间戳等安全功能：使用证书集成接口对应用系统做少量改造，将证书功能集成到应用系统，进而可实现用户在应用系统中的安全登录、电子合同的的电子签名、重要文件的加密、文件加盖时间戳等安全功能。无论采用哪种发证模式，证书集成开发工作是一样的，都通过证书接口对应用系统进行改造。总体设计架构客户端控件今日钢铁网SSLSSLSSLInternet企业证书第三方CA机构用户企业客户国富安CA中心企业客户InternetCA系统国富安RA/LA系统服务器证书防火墙电子合同应用服务器WEBSERVER证书应用接口集成客户端控件企业证书总体设计1．国富安电子认证服务——证书服务：依托国富安全国性的电子认证服务体系，为电子合同用户提供数字认证服务，提供的数字证书具有以下特点：1）证书具有法律效力作为具有信息产业部颁发的电子认证服务许可资质的第三方CA运营商，国富安公司提供的数字证书具备《中华人民共和国电子签名法》所规定的法律效力。2）随需而变的证书类型国富安CA满足业务系统对证书类型和证书格式的灵活需求：可以根据业务需求定制数字证书类型，主要包括：企业用户证书、服务器证书等类型，也可以根据业务具体需求签发不同格式的数字证书。证书存储介质：分为磁盘存储和USBKey存储。用户可以自行选择，价格低安全性略低的磁盘存储即软证书，和价格高安全性高的USBKey存储即硬证书。总体设计3）本地化发证服务（可选）如想实现本地提交申请，本地制作证书，可使用国富安RA/LA系统，具有证书申请、审核、下载、制作、发放、更新、注销及查询等服务，为电子合同提供方便快捷高效稳定的本地化服务。2.电子合同快速集成——证书应用由数字证书（企业证书、服务器证书）和证书开发接口组成。为电子合同用户制作并发放证书，电子合同应用服务器配置服务器证书。通过证书开发接口与电子合同进行证书应用的安全无缝集成，实现系统的安全登录、电子合同的签名，从而保护电子合同的安全性及法律有效性。国富安CA体系结构www.cacenter.com.cnCA——承担证书签发、审批、吊销、查询、证书及黑名单发布、密钥和证书管理、政策制定等工作，设在国富安CA北京经济技术开发区运营主机房，不直接面对用户；RA——注册机构作为电子认证服务机构授权委托的下属机构，包括注册系统（RA系统），和证书受理点（LA），负责用户证书的申请、审批和证书管理，直接面向证书用户；一般情况下LA证书受理点进行用户身份鉴定和证书信息录入，提交到RA系统把证书申请信息传递到CA。国富安CA的RA系统分为自建RA和授权RA，每个RA系统下面可以根据系统能力建立多个LA证书受理点。LA——LA业务受理点作为RA中心的附属机构，其主要职责是证书请求的接收、用户资料的初级审核与提交。证书签发模式模式一：直接使用国富安CA证书www.cacenter.com.cn证书受理点审核资料根CA服务器国富安CA国富安亦庄运营主机房国富安RA物理隔离密钥管理中心广州异地数据备份中心北京同城数据备份中心中国国际电子商务网国富安CA运营主中心最终用户最终用户申请证书递交资料申请证书递交资料internet证书用户证书申请材料证书签发模式模式二：在今日钢铁网本地安装LA软件，实现本地证书签发www.cacenter.com.cnLA系统根CA服务器国富安CA国富安亦庄运营主机房国富安RA物理隔离密钥管理中心广州异地数据备份中心北京同城数据备份中心中国国际电子商务网国富安CA运营主中心最终用户最终用户申请证书递交资料申请证书递交资料internet证书用户今日钢铁网证书申请材料录入用户资料并提交本地不保存用户资料证书签发模式模式三：在今日钢铁网本地部署RA系统，实现本地证书签发及审核www.cacenter.com.cnRA系统根CA服务器国富安CA国富安亦庄运营主机房国富安RA物理隔离密钥管理中心广州异地数据备份中心北京同城数据备份中心中国国际电子商务网国富安CA运营主中心最终用户最终用户申请证书递交资料申请证书递交资料internet证书用户今日钢铁网证书申请材料审核/管理用户资料证书鉴证流程①审核该组织机构身份的真实性：国富安CA或RA（包括受理点）检查组织机构相关的证明文件原件或复印件，申请者需向国富安CA提供组织机构确实存在的证明(如工商执照、组织机构代码证、税务登记等，对于服务器证书需要出具域名拥有证书等)。②代表人身份的授权：国富安CA或RA（包括受理点）必须检查组织机构的证书申请委托函，委托函需加盖组织机构公章和签名，通过对代表人身份证件的验证或其他渠道核实代表人已经由该组织授权。如果国富安CA或RA（包括受理点）已经预先明确了组织机构和授权或委托人的身份，那么国富安CA或RA（包括受理点）可以信赖这些证明。对于特殊情况，国富安CA或RA（包括受理点）可以采用其他方式追加组织机构身份鉴证的权利。www.cacenter.com.cn证书签发模式对比www.cacenter.com.cn详见WORD文件。项目报价详见报价文件。时间戳概念时间戳能够提供可靠的时间信息，证明某份文件（或某条信息）在某个时间（或以前）存在，防止用户在这个时间前或时间后伪造数据进行欺骗活动；是一个提供可信赖的且不可抵赖的时间戳服务的可信任第三方，它是PKI的重要组成部分。时间戳的功能时间戳在本项目中的作用对电子合同等重要文件提供确实的签署时间，实现既能证实签署人身份又能确保准确的签署时间，从而无从抵赖或否认。时间戳方案的部署图国家受时中心时间戳服务器控制台1U时间源