網(wǎng)上交易平安認(rèn)證解決方案一、概述隨著網(wǎng)上電子交易模式的應(yīng)用和發(fā)展，產(chǎn)生了一些特地供應(yīng)網(wǎng)上交易服務(wù)的平臺(tái)運(yùn)營(yíng)商，運(yùn)營(yíng)商建設(shè)面對(duì)全國(guó)的、面對(duì)各行各業(yè)的網(wǎng)上交易平臺(tái)，面對(duì)企業(yè)或個(gè)人用戶供應(yīng)會(huì)員制的網(wǎng)上交易服務(wù)，包括：通過網(wǎng)上交易平臺(tái)發(fā)布商品信息、供求信息；通過網(wǎng)上交易平臺(tái)查詢供求信息；通過網(wǎng)上交易平臺(tái)完成交易談判；通過網(wǎng)上交易平臺(tái)完成電子化合同的簽署；通過網(wǎng)上交易平臺(tái)完成商品的交易；等等。網(wǎng)上交易平臺(tái)運(yùn)營(yíng)商的目標(biāo)是為企業(yè)或個(gè)人供應(yīng)一個(gè)開放的、便利的、誠(chéng)信的交易環(huán)境。然而，網(wǎng)上電子交易不行避開的涉及到很多保密信息如買家、賣家個(gè)人信息、交易信息、產(chǎn)品信息等，在給我們帶來天翻地覆的改變同時(shí)，也不行避開的帶來了平安上的巨大隱患；由于網(wǎng)上電子交易是建立在Internet和網(wǎng)絡(luò)技術(shù)基礎(chǔ)至上，由于Internet的開放性、廣泛性和匿名性，給網(wǎng)上交易帶來很多平安隱患.針對(duì)網(wǎng)上交易平臺(tái)應(yīng)用存在的諸多平安隱患，深圳市電子商務(wù)平安證書管理有限公司(深圳CA)推出了基于PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）技術(shù)的、易于實(shí)施的、完善的網(wǎng)上交易平臺(tái)平安解決方案。利用經(jīng)過國(guó)家權(quán)威部門認(rèn)可的、公正的、專業(yè)的深圳CA認(rèn)證中心作為權(quán)威、可信、公正的第三方認(rèn)證中心，為網(wǎng)上交易平臺(tái)構(gòu)建基于PKI/CA技術(shù)的信任基礎(chǔ)平臺(tái)，供應(yīng)身份認(rèn)證服務(wù)；網(wǎng)上交易平臺(tái)運(yùn)營(yíng)商的會(huì)員通過深圳CA申請(qǐng)數(shù)字證書，證書都保存到USBKey中；通過深圳CA為網(wǎng)上交易平臺(tái)申請(qǐng)服務(wù)器證書，證明網(wǎng)上交易平臺(tái)的真實(shí)性；會(huì)員登陸網(wǎng)上交易平臺(tái)時(shí)，通過數(shù)字證書來實(shí)現(xiàn)身份認(rèn)證和訪問限制；進(jìn)行信息發(fā)布時(shí)，運(yùn)用數(shù)字證書對(duì)發(fā)布的信息進(jìn)行數(shù)字簽名，確保發(fā)布信息的真實(shí)性、完整性、牢靠性和抗抵賴性；會(huì)員通過網(wǎng)上交易平臺(tái)進(jìn)行網(wǎng)上談判、電子化交易合同簽署時(shí)，運(yùn)用數(shù)字證書對(duì)提交的談判信息、交易訂單和交易合同等進(jìn)行簽名，保證交易信息的真實(shí)性、完整性、牢靠性和抗抵賴性二、數(shù)字證書與網(wǎng)上交易系統(tǒng)結(jié)合1.總體設(shè)計(jì)通過應(yīng)用證書，可以為網(wǎng)上交易系統(tǒng)實(shí)現(xiàn)身份認(rèn)證，數(shù)據(jù)加密，數(shù)據(jù)簽名等方面功能.2.身份認(rèn)證通過驗(yàn)證用戶證書的有效性和合法性，來確認(rèn)用戶具有系統(tǒng)給予的角色權(quán)限。通過交易系統(tǒng)的用戶名密碼結(jié)合證書的方式，甚至不須要用戶名密碼的方式就可登陸系統(tǒng)，確定用戶身份。平臺(tái)服務(wù)器配置服務(wù)器證書，建立起SSL平安通道，用戶或者客戶端必要運(yùn)用證書才能登錄到系統(tǒng)。通過雙向的認(rèn)證機(jī)制，保證登錄者的真實(shí)身份。如下圖：部署證書書目服務(wù)器（LDAP），供應(yīng)證書公鑰查詢，證書掉銷列表（CRL），證書狀態(tài)查詢等服務(wù)，用于檢查登錄用戶的證書的牢靠性。證書書目服務(wù)器自動(dòng)與深圳CA的主書目服務(wù)器同步數(shù)據(jù)。通過嚴(yán)格的身份認(rèn)證機(jī)制，確保檔案數(shù)據(jù)來源的牢靠性，系統(tǒng)的平安性。3.數(shù)字簽名應(yīng)用運(yùn)用SZCA的數(shù)字簽名中間件，可以對(duì)文字、表格、文件、圖像、圖形等類型的數(shù)據(jù)進(jìn)行簽名，制作數(shù)字信封、證書解析、數(shù)據(jù)編碼、數(shù)據(jù)摘要、獲得數(shù)據(jù)原文等功能。網(wǎng)上交易平臺(tái)與SZCA的數(shù)字簽名中間件結(jié)合，當(dāng)用戶要提交電子數(shù)據(jù)時(shí)，客戶端程序通過簽名中間件讀取用戶的個(gè)人證書，驗(yàn)證個(gè)人證書信息及有效性，然后運(yùn)用簽名中間件的標(biāo)準(zhǔn)簽名方法對(duì)電子文件進(jìn)行簽名，最終發(fā)送到網(wǎng)上交易平臺(tái)。技術(shù)特點(diǎn)：1).支持雙向簽名--具備簽名、驗(yàn)簽名功能，可以用來實(shí)現(xiàn)雙向、多次簽名的高平安級(jí)別方案。2).支持多方CA證書--支持多證書鏈的簽名和驗(yàn)證，極大的滿意了用戶對(duì)多個(gè)證書鏈的需求。假如用戶運(yùn)用的是其他CA機(jī)構(gòu)頒發(fā)的數(shù)字證書，也可以在進(jìn)行簽名。3).支持多個(gè)原文或文件--支持對(duì)多個(gè)原文內(nèi)容（或者文件）進(jìn)行一次簽名的功能，可以提高整體的簽名效率。4).支持USB介質(zhì)的證書載體--除了支持軟證書、磁盤證書外，還支持IC卡或者USBKey形式的證書，為用戶供應(yīng)了敏捷的選擇。5).支持多人簽名--依據(jù)RFC2985國(guó)際規(guī)范，簽名符合PKCS7的signedData格式，支持多個(gè)簽名，能按依次驗(yàn)證出各個(gè)簽名者。能很好的滿意公文流轉(zhuǎn)等類型系統(tǒng)中的多簽名狀況。6).電子文件的驗(yàn)證--用戶提交文件到電子商務(wù)平臺(tái)后，由平臺(tái)進(jìn)行統(tǒng)一驗(yàn)證簽名信息。驗(yàn)證的內(nèi)容包括如下:正確性：數(shù)字簽名的密文能否通過標(biāo)準(zhǔn)的驗(yàn)簽算法驗(yàn)證出簽名者信息。完整性：驗(yàn)證出來的原文哈希值是否與原文的哈希值一樣。真實(shí)性：驗(yàn)證的簽名者證書信息是否與原簽名者證書一樣。牢靠性：簽名者證書是否由牢靠的CA權(quán)威機(jī)構(gòu)頒發(fā)；簽名時(shí)間是否在簽名證書的有效期內(nèi)；實(shí)施簽名時(shí)，簽名證書是否已經(jīng)被吊銷。7).成熟的平安中間件，快捷地實(shí)現(xiàn)數(shù)字簽名功能全面支持X509數(shù)字證書及PKI公鑰體系輕松實(shí)現(xiàn)數(shù)字簽名、數(shù)字信封、數(shù)字證書解析等功能運(yùn)用COM技術(shù)、JavaBean組件、Activex控件，適用于各類型開發(fā)語言支持CSP規(guī)范，兼容各類型硬件（USBKEY、加密機(jī)等）4.數(shù)據(jù)加密應(yīng)用隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，對(duì)網(wǎng)絡(luò)傳輸過程中信息的保密性提出了更高的要求，這些要求主要包括：對(duì)敏感的文件進(jìn)行加密；保證數(shù)據(jù)的完整性，防止截獲人在文件中加入其他信息；對(duì)數(shù)據(jù)和信息的來源進(jìn)行驗(yàn)證，以確保發(fā)信人的身份。SZCA采納用戶和應(yīng)用系統(tǒng)雙向加密方式發(fā)送和接收數(shù)據(jù)，此加密方式平安牢靠，詳細(xì)說明如下：SSL通道協(xié)議供應(yīng)的平安信道有以下三個(gè)特性：數(shù)據(jù)的保密性

信息加密就是把明碼的輸入文件用加密算法轉(zhuǎn)換成加密的文件以實(shí)現(xiàn)數(shù)據(jù)的保密。加密的過程須要用到密匙來加密數(shù)據(jù)然后再解密。沒有了密匙，就無法解開加密的數(shù)據(jù)。數(shù)據(jù)加密之后，只有密匙要用一個(gè)平安的方法傳送。加密過的數(shù)據(jù)可以公開地傳送。SSL是通過HTTPS方式訪問和實(shí)現(xiàn)，如下圖：數(shù)據(jù)的一樣性

加密也能保證數(shù)據(jù)的一樣性。例如:消息驗(yàn)證碼（MAC），能夠校驗(yàn)用戶供應(yīng)的加密信息，接收者可以用MAC來校驗(yàn)加密數(shù)據(jù)，保證數(shù)據(jù)在傳輸過程中沒有被篡改過。平安驗(yàn)證

加密的另外一個(gè)用途是用來作為個(gè)人的標(biāo)識(shí)，用戶的密匙可以作為他的平安驗(yàn)證的標(biāo)識(shí)。SSL是利用公開密鑰的加密技術(shù)（RSA）來