电子商务平台安全解决方案-精简版.docVIP

北京天威诚信电子商务服务有限公司 iTrusChina Co., Ltd 目录 1前言 (2 2需求 (2 3解决方案 (3 3.1总体设计思想 (3 3.2总体应用架构 (4 4给用户的价值 (5 4.1带给平台的价值 (5 4.2带给平台用户的价值 (6 5支付宝案例介绍 (7 第 1 页共9页 北京天威诚信电子商务服务有限公司 第 2 页 共9页 1 前言 目前在电子支付领域应用安全技术来保障交易安全还存在着很多问题,比较突出的是:相对于提高交易的便利性以吸引更多的商户用户,电子支付平台对安全技术的应用重视远远不够,遇到安全事件才会考虑使用安全产品,缺乏整体的安全规划。 随着中国人民银行(以下简称人行第三方支付牌的颁布,对于第三方支付平台的安全性要求越来越高。 2 需求 按照人行的要求,第三方支付平台必须要解决的安全问题包括: (1 第三方电子认证机构:采用基于PKI 技术的第三方认证系统,作为第三方支付平台 信息安全基础设施,为其提供身份认证、数字签名、数据加密的安全功能; (2 关键业务电子认证技术应用:需要对参与各方进行身份认证和访问控制,保证只有 身份真实且具有访问授权的用户才能访问地支付平台,保证用户登录的服务器真实身份; (3 电子签名有效性:根据2004年8月28日全国人大审批通过的《中华人民共和国电 子签名法》的相关规定,经过第三方认证的交易双方在签署电子订单时,通过数字签名技术对电子订单进行数字签名,确保签署的电子订单和电子签名具有法律效力解决方案 第 3 页 共9页 3 解决方案 3.1 总体设计思想 买方卖方 平台 凭证合同 关键业务环节变更支付指令 事后处理 认证登录发布信息浏览商品 提供一种鉴别方式确认最终用户 的实体身份 提供一种基于PKI/CA 的安全认证方式 提供一种基于PKI/CA 的符合相关法律要求的抗抵赖的解决方案基于数字证书和电子签名提供相应增值服务,如对账服务、取证服务等 关系确认 实名认证 C A 系统建设 S VS 电子签名 服务管理支撑体系 天威诚信认证中心 根据上一章节需求分析,天威诚信的解决方案设计思想如上图所示: 1 针对买卖双方与平台之间的关系确认,我们提供一套符合法律规范的实名制鉴别流程确认最终用户的实体身份。 2 在认证登录阶段,我们提供基于PKI/CA 的安全认证手段,可以采用完全第三方的服务型CA 建设,也可以采用自建+第三方服务的CA 系统建设。 3 在关键业务环节,如货品价格的变更,发送支付指令等待,我们提供基于PKI/CA 并且符合相关法律要求的抗抵赖的解决方案,例如采用SVS 电子签名服务器。 4 交易完成后的相关事务处理,包括纠纷赔付问题,企业对账等,我们提供基于数字证书和电子签名的增值服务,如ESS证据保全服务和可选电子对账服务等。 3.2总体应用架构 RA 中心 服务器 CA认证中心 企业用户 自建CA中心 CA系统 CA认证系统有两种建设模式:及第三方服务型和自建型。 第三方服务型,是指客户配置一个集成的PKI/CA平台,依靠第三方PKI服务提供商提供的PKI/CA服务,在本地建设面向最终用户的证书注册中心(RA中心,直接利用第三方PKI服务提供商的PKI/CA服务,作为系统的核心后台——证书认证中心(CA中心,共同为最终用户提供安全认证服务。随着2005年4月1日《电子签名法》的颁布 第 4 页共9页 和实施,以及国家相关部门的系列执行办法出台,PKI/CA有了明确的法律法规和行为准则,同时明确了由经过工信部认证,获得《电子认证服务许可证》资质的认证机构颁发出来的数字证书在电子商务应用中是获得《电子签名法》保护的。 自建型,是指支付平台一次性投入软硬件,在本地建设自建CA中心,有平台资金运营和管理,用于发放私有体系的数字证书。 服务器证书应用 为电子商务网站和支付平台颁发服务器证书,此证书与电子商务平台和支付平台的域名绑定,代表电子商务平台在网络上的真实身份,保证客户端与服务器端通过SSL通道进行通讯,保障数据的安全性;此服务器证书是根预埋的证书。 客户端证书应用 数字证书作为网络上身份的标识,必须要有一套完整的证书颁发鉴证流程,天威诚信可以提供身份鉴证和实名身份验证服务,并且支持与平台现有的身份鉴别流程结合。用户使用数字证书登陆电子商务平台和支付平台,保证登陆身份的真实性;使用数字证书对交易数据或者电子订单进行数字签名,保证交易数据或者电子订单的有效性,有效的保障双方的合法权益,签名数据可以包括在专有的ESS证据保全服务器当中。 4给用户的价值 天威诚信电子交易、支付平台安全认证服务方案是一个整体的解决方案,适合于几乎所有的电子商务类网上交易平台,能为电子商务平台及其用户带来如下价值。 4.1带给平