《网上交易平台应用安全解决方案(阿里巴巴案例)》由会员分享,可在线阅读,更多相关《网上交易平台应用安全解决方案(阿里巴巴案例)(37页珍藏版)》请在金锄头文库上搜索。
1、网上交易平台应用安全解决方案网上交易平台应用安全解决方案 (针对阿里巴巴的应用)(针对阿里巴巴的应用)北京天威诚信电子商务服务有限公司北京天威诚信电子商务服务有限公司 iTrusChina Co.,Ltd.iTrusChina Co.,Ltd.2网上交易应用面临的安全隐患网上交易应用面临的安全隐患3信息化的浪潮催生了网上交易模式信息化的浪潮催生了网上交易模式随着计算机技术和通信技术的飞速发展,信息化的浪潮席卷全球 传统的交易模式不能满足发展的要求,网上交易模式孕育而生:网上交易是指个人、企事业单位或政府机构运用信息化手段,在 Internet开放的网络环境下,基于浏览器/服务器应用方式,实现消
2、费者 地网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运 营模式 网上交易模式将大大促进电子商务的发展:由于网上电子交易所附带的开放性、全球性、低成本、高效率等特征, 使得网上电子交易不仅仅是一种新的贸易形式,它不仅会改变企业本身 的生产、经营、管理活动,而且将影响到整个社会的经济运行与机构 网上交易将传统的商务流程电子化、数字化,一方面以电子流代替了实 物流,可以大量减少人力、物力,降低了成本;另一方面突破了时间和 空间的限制,使得交易活动可以在任何时间、任何地点进行,从而大大 的提高了效率 4专业交易平台的建设促进了网上交易业务的发展专业交易平台的建设促进了网上交易业务的发展随
3、着网上电子交易模式的应用和发展,产生了一些专门提供网上交 易服务的平台运营商运营商建设面向全国的、面向各行各业的网上交易平台,面向企业 会员提供会员制的网上交易服务 通过网上交易平台发布商品信息、供求信息 通过网上交易平台查询供求信息 通过网上交易平台完成交易谈判 通过网上交易平台完成电子化合同的签署 通过网上交易平台完成商品的交易等等 5全球最大的网上贸易市场全球最大的网上贸易市场阿里巴巴阿里巴巴6阿里巴巴诚信通服务阿里巴巴诚信通服务7阿里巴巴贸易通服务阿里巴巴贸易通服务8阿里巴巴支付宝服务阿里巴巴支付宝服务9互联网应用存在信息安全隐患互联网应用存在信息安全隐患如何确认彼此的身份?通过互联网
4、被窃听,导致信息泄漏信息被篡改,导致信息不完整用户对发送信息进行抵赖,没有抗抵赖的依据网上应用系统服务器用户数据库窃听篡改抵赖? ?假冒的站点? ?假冒的用户10网上交易平台应用安全需求网上交易平台应用安全需求身份认证需求 企业会员需要判断网上交易平台的真实身份,平台如何判断会员的真实身份信息的真实性 交易各方在平台上发布的信息、交易谈判信息和电子化交易合同等是否是真实的 信息,使得一些投机分子可以提交一些虚假的信息,达到欺骗的行为信息的机密性 卖家向交易平台上传的产品信息、买家进行付费是的财务信息和在交易平台上流动的一些机密资料有可能在传递过程中被非法用户截取 信息的完整性 敏感、机密信息和
5、数据在买卖双方和交易平台之间传递是可能被非法用户恶意篡改,造成用户的重大损失 信息的抗抵赖性 对于信息发布、交易谈判、交易合同签署、交易平台的信息提供等关键交易步骤,一旦有一方予以否认,另一方没有已签名的记录作为仲裁的依据 建立诚信的交易环境 由于Internet的广泛性、公开性和匿名性,以及交易过程中存在信息真实性、机密性、完整性和抗抵赖等行为,需要建立诚信的网上交易环境 11阿里巴巴网站具有明确的安全需求阿里巴巴网站具有明确的安全需求诚信通服务 会员身份认证 会员信息发布的真实性 交易信息的真实性、完整性和抗抵赖 诚信交易环境的建立贸易通服务 会员身份认证 贸易信息发布的真实性 在线洽谈信
6、息的真实性、完整性和抗抵赖 诚信的网上贸易环境的建立支付宝服务 支付用户的身份认证 支付信息传输的机密性 支付信息的真实性、完整性和抗抵赖 交易资金记录的查询和管理 12保障网上交易平台应用安全的最佳解决方案保障网上交易平台应用安全的最佳解决方案 PKI/CAPKI/CA13PKI/CAPKI/CA技术简介技术简介PKI: Public Key Infrastructure,公钥基础设施 使用成熟的公开密钥机制,综合了密码技术、数字摘要技术、数 字签名等多项安全技术以及一套成熟的安全管理机制来提供有效 的信息安全服务CA:Certification Authority,认证中心 采用PKI技术
7、建设CA认证中心,为用户签发数字证书; 用户在业务系统中使用证书,完成用户的身份认证、访问控制以 及信息传输的机密性、完整性和抗抵赖性,保障应用、通信或事 务处理的安全。采用PKI/CA技术可以有效的解决网上交易平台的信息安 全问题14PKIPKI的虚拟与现实的虚拟与现实John Hancock保密性身份鉴证授权完整性抗抵赖 Digital Signature加密 私钥与数字签名应用授权 数字证书 15什么是数字证书?什么是数字证书?网络世界的电子身份证 与现实世界的身份证类似 能够证明个人、团体或设备的身份包含相关信息: 包含姓名、地址、公司、电话号码、Email地址、 与身份证上的姓名、地
8、址等类似 包含所有者的公钥拥有者拥有证书公钥对应的私钥由可信的颁发机构颁发 比如身份证由公安局颁发一样颁发机构对证书进行签名 与身份证上公安局的盖章类似 可以由颁发机构证明证书是否有效 可防止擅改证书上的任何资料16数字证书颁发机构:数字证书颁发机构:CACA证书认证权威 Certification Authority提供网络身份认证服务 证明数字证书的有效性负责签发和管理数字证书 具体签发证书 对数字证书进行签名 并管理数字证书具有权威性和公正性 类似于颁发身份证的公安局 在网络世界中人人都信任CA公安局17电子签名法确立了数字签名的合法地位电子签名法确立了数字签名的合法地位2004年8月2
9、8日人大正式通过了中华人民共和国电子签 名法 2005年4月1日正式生效明确了电子签名的合法性,受到法律保护明确了含有安全的电子签名的电子文档可以作为有效的法律文件明确要求采用的技术能够实现 确定信息的原发性 信息一旦签署不能篡改 信息被改动后当事人应该能够及时发现 数字签名应能够被双方验证 18第三方认证是最佳的方案第三方认证是最佳的方案PKI本身的信任原理是基于第三方信任法律效力方面的问题: 企业会员进行网上交易需要第三方认证 中华人民共和国电子签名法保证第三方认证具有法律效力;CA运营和管理的问题: 在CA平台运营过程中的系统维护和安全保障成本; CA平台的运营和管理存在难度; 可以通过
10、第三方认证转嫁CA运营和管理的风险。采用第三方认证的方式是解决网上交易平台应用安全的 最佳方案 19天威诚信网上交易平台安全解决方案天威诚信网上交易平台安全解决方案20总体架构总体架构21具体描述具体描述利用经过国家权威部门认可的、公正的、专业的天威诚信CA认证中心作为 权威、可信、公正的第三方认证中心,为网上交易平台构建基于PKI/CA技 术的信任基础平台,提供身份认证服务网上交易会员通过天威诚信认证中心申请数字证书,作为会员的唯一身份, 证书都保存到USB Key中通过天威诚信认证中心为网上交易平台申请服务器证书,证明网上交易平台 的真实性会员登陆网上交易平台时,通过数字证书来实现身份认证
11、和访问控制进行信息发布时,使用数字证书对发布的信息进行数字签名,确保发布信息 的真实性、完整性、可靠性和抗抵赖性会员通过网上交易平台进行网上谈判、电子化交易合同签署时,使用数字证 书对提交的谈判信息、交易订单和交易合同等进行签名,保证交易信息的真 实性、完整性、可靠性和抗抵赖性 22CACA在阿里巴巴的应用在阿里巴巴的应用用户注册成阿里巴巴的会员时,通过天威诚信认证中心,为注册会 员发放证书 注册会员在阿里巴巴网站上的真实身份 保存到USB Key中会员阿里巴巴服务器天威诚信CA认证中心1会员注册通过天威诚信认证中心 为注册会员发证书223注册会员登陆阿里巴巴网上服务时,使用数字证书进行安全登
12、陆 通过会员的证书来实现对会员的身份认证,确保登陆会员的真实性 登陆后建立安全通道,确保信息传输的机密性CACA在阿里巴巴的应用在阿里巴巴的应用注册会员阿里巴巴服务器注册会员使用证书 进行安全登陆注册会员3324注册会员发布信息时,使用数字证书对发布信息进行数字签名 保证发布信息的真实性 会员不能抵赖发布的信息CACA在阿里巴巴的应用在阿里巴巴的应用注册会员阿里巴巴服务器信息发布时使用证书 对发布信息进行数字签名注册会员44数字签名数字签名25会员之间进行网上交易时,使用数字证书对交易信息进行数字签名 保证交易信息的真实性 交易双方不能对交易行为进行抵赖CACA在阿里巴巴的应用在阿里巴巴的应用
13、注册会员阿里巴巴服务器会员之间进行网上交易时, 对交易信息进行数字签名注册会员数字签名数字签名526阿里巴巴支付宝安全应用阿里巴巴支付宝安全应用天威诚信认证中心后台应用 服务器注册会员支付审计 数据库支付宝服务器SSL 安全通道银行支付数据1000元数字签名申请证书天威诚信认证中心为支付会员发放证书给支付宝服务器颁发服务器证书,证明支付宝服务器的身份会员进行支付时使用证书登陆支付宝提交支付数据时,同时证书对支付数据进行数字签名,经安全通道传输支付宝服务器验证支付数据的数字签名,将支付数据及其签名进行保存27方案产品与服务构成方案产品与服务构成天威诚信第三方认证服务 发放企业证书服务器证书 发放
14、给阿里巴巴服务器证书应用开发接口(API) 阿里巴巴服务平台安全集成接口USB Key 存放企业会员的企业证书28合作模式合作模式29合作模式和步骤合作模式和步骤选择天威诚信认证中心为阿里巴巴应用提供第三方认证服务: 采用天威诚信安证通(Onsite),在天威诚信认证中心为阿里巴巴定制RA( Registration Authority,注册权威)中心RA中心处于天威诚信 CTN(China Trust Network,中国信任网络)体系下提供证书申请和管理服务功能天威诚信协助阿里巴巴完成平台的应用安全集成改造: 天威诚信提供证书应用开发接口(API),并提供技术支持阿里巴巴实现平台的身份认证
15、、访问控制、加密、签名等功能 配合阿里巴巴完成系统测试天威诚信为阿里巴巴会员发放企业证书系统在安装调试完成后,天威诚信根据阿里巴巴提交的企业会员名录,通过严格 的鉴证流程,对企业会员进行第三方鉴证,确定各自的真实身份,颁发企业证书 ,企业证书保存在USB Key中 共同推广市场共同开展新闻发布会,组织市场推广会议,推动诚信网上交易环境的宣传后续强力的技术支持最终用户的技术支持和使用培训30为什么选择天威诚信?为什么选择天威诚信?31天威诚信公司简介天威诚信公司简介天威诚信公司成立于2000年9月 信息产业部批准的全国性PKI/CA企业 专业的信息安全技术与服务公司,提供全面的数字信任服务 提供
16、:数字信任服务、PKI/CA建设服务、PKI/CA应用服务、PKI/CA运营 管理咨询服务和PKI/CA体系整体规划服务天威诚信运营了一个政府认可的、权威、可信、公正的第三方认证中心 建有1000平米的国际一流水准的、安全的数据中心;配备了专业可靠的运营管理团队; 采用ISO17799信息安全管理体系进行管理; 制定了标准的认证业务声明(CPS) 使命与定位:“向企业、政府和大众客户提供全面的数字信任服务”,“成 为国内提供数字信任服务的领先者”32积极参与有关管理规范制订和立法工作积极参与有关管理规范制订和立法工作参与了国家有关PKI/CA体系规划、建设和运营管理等方面的工作积极参与了中华人民共和国电子签名法立法工作电子认证
