網(wǎng)上信貸平臺證書安全解決方案(四方簽署)ppt課件.ppt

1、,在線信貸平臺的應用安全解決方案,講解人：王冬冬,自 建 RA 模 式,1,議程目錄,1,公司簡介,注冊資金100,000,000元人民幣（國有企業(yè)）,公司優(yōu)勢,先天優(yōu)勢、資源整合、市場優(yōu)勢、服務支撐,需求分析,中華人民共和國電子簽名法頒布,建設方案及產(chǎn)品,證書應用主要借貸合同可視化簽名驗簽操作,2,3,4,5,方案設計,客戶端 - 企業(yè)端 - CFCA端,2,公司簡介,注冊資金100,000,000元人民幣（國有企業(yè)）,3,公司簡介,公司基本情況,CFCA于2000年6月起正式掛牌運行 注冊資金100,000,000元人民幣（國有企業(yè)） 人民銀行牽頭組建的國家重要的金融信息安全基礎設施之一

2、首批獲得信息產(chǎn)業(yè)部頒發(fā)的電子認證服務許可證的電子認證服務機構之一 提供以電子認證服務為基礎的綜合信息安全服務,4,2004,由中國人民銀行籌備組織14家商業(yè)銀行聯(lián)合共建中國金融認證中心 （CFCA）,1998,2000,CFCA 發(fā)展歷程,2014,2008,2010,2007,根據(jù)人民銀行領導批示，CFCA并入中國銀聯(lián),人行批準公司成立,建立統(tǒng)一電子商務安全網(wǎng)上支付平臺,聯(lián)合十多家商業(yè)銀行組成“網(wǎng)上銀行反欺詐聯(lián)動機制”聯(lián)盟,上海分公司成立 廣州分公司成立,中金支付有限公司成立開展互聯(lián)網(wǎng)支付業(yè)務,5,2006年CFCA榮獲“2005年度中國電子商務誠信建設貢獻獎”,技術成果與榮譽,中國金融認證

3、中心的部分成果與公司榮譽,2007年CFCA金融IC卡基于 PBOC2.0密鑰管理體系榮，獲上海市科學技術獎,2008年CFCA獲得國家金卡工程協(xié)調(diào)領導小組辦公室頒發(fā)的“國家金卡工程金螞蟻獎（最佳應用支撐獎）”,2009年CFCA獲得國家金卡工程協(xié)調(diào)領導小組辦公室頒發(fā)的“2009國家金卡工程優(yōu)秀成果金螞蟻獎（自主創(chuàng)新獎）”,2010年3月，CFCA“統(tǒng)一的電子商務安全網(wǎng)上支付平臺”項目通過中國人民銀行驗收,2013年11月，人民銀行科技司發(fā)送關于建議建立銀行業(yè)交易欺詐綜合管理平臺的函（申報發(fā)改委項目）,2007年CFCA獲得中國電子商務協(xié)會企業(yè)信用等級評價“AAA級信用企業(yè)”榮譽,6,公司資質(zhì)

4、,電子認證服務許可證（編號： ECP11010410002 ） 電子認證服務使用密碼許可證（編號：0008） 商用密碼產(chǎn)品銷售許可證（國密局銷字：SXS2119號） 電子政務電子認證服務機構 信息安全等級保護測評機構 高新技術企業(yè)證書 ISO9001質(zhì)量管理體系認證證書 信息安全服務資質(zhì)證書 計算機信息安全專用產(chǎn)品銷售許可證,7,CFCA 的業(yè)務范圍,業(yè)務方面，從早期的以電子認證為主，發(fā)展成為業(yè)務多元化的綜合安全服務提供商。,綜合 信息安全 服務商,軟件系統(tǒng) 開發(fā),互聯(lián)網(wǎng) 支付系統(tǒng),安全應用 硬件產(chǎn)品,信息系統(tǒng) 安全評估,電子認證 服務,交易監(jiān)控與 反欺詐平臺,業(yè)務范圍,8,主要產(chǎn)品與服務清單

5、,智能密碼鑰匙 藍牙Key Web電子印章 PDF電子印章 電子印章制章工具 電子印章服務器,網(wǎng)銀助手 安全輸入控件 數(shù)字證書保險箱 數(shù)字證書管理工具 移動安全中間件 移動終端安全輸入控件,全球服務器證書 EV 服務器證書 SSL 安全代理 數(shù)據(jù)安全網(wǎng)關 高性能簽名驗簽服務器,交易監(jiān)控及反欺詐系統(tǒng) 反洗錢系統(tǒng) 反欺詐共享庫,電子銀行安全評估 非金融支付機構檢測 等級保護評估 中金支付,數(shù)字證書簽發(fā)系統(tǒng) 數(shù)字證書注冊管理系統(tǒng) 密鑰管理系統(tǒng) 金融IC卡根CA系統(tǒng) 金融IC卡密鑰管理系統(tǒng) 金融IC卡數(shù)據(jù)準備系統(tǒng),無紙化營銷設備 物聯(lián)網(wǎng)數(shù)字標識 銀企直聯(lián)前置系統(tǒng) 統(tǒng)一身份認證系統(tǒng) 安全應用開發(fā)套件 國

6、產(chǎn)密碼算法客戶端,9,客戶列表,銀行客戶包括： 人民銀行和商業(yè)銀行共500+多家銀行客戶,非銀行客戶包括： 稅務、招投標、第三方支付平臺、供應鏈 ,P2P行業(yè)包括： 300多家信貸平臺 10余種證書應用模式,10,需求分析,中華人民共和國電子簽名法頒布,11,現(xiàn)狀概述,互聯(lián)網(wǎng),安全現(xiàn)狀： 目前企業(yè)用戶在登錄應用系統(tǒng)過程中通常使用用戶名、密碼口令的方式進行驗證用戶的身份和授權操作權限，簡單的用戶名和口令的模式存在一定的業(yè)務風險。,12,數(shù)字簽名,降低業(yè)務風險,實現(xiàn)交易安全性和客戶身份唯一性,現(xiàn)狀概述,結(jié)合數(shù)字證書和用戶名、口令相結(jié)合的雙因子驗證模式將很大程度的降低業(yè)務風險； 在平臺的關鍵交易環(huán)節(jié)

7、使用數(shù)字簽名簽名技術，實現(xiàn)了交易安全性和客戶身份唯一性的雙重保證。,13,安全需求,14,項目目標,證書管理環(huán)節(jié),在企業(yè)內(nèi)部自建RA頒發(fā)證書,證書應用環(huán)節(jié),實現(xiàn)證書身份認證和關鍵操作簽名,15,方案設計,客戶端 - 企業(yè)端 - CFCA端,16,方案設計思路,一、技術層面： 身份真實性：發(fā)放第三方CA數(shù)字證書 電子協(xié)議機密性：采用CA數(shù)字證書對電子協(xié)議進行加密傳輸 電子協(xié)議真實性：采用CA數(shù)字證書對電子進行電子簽名、驗簽 簽約行為抗抵賴性：提供第三方取證服務 二、易操作性： 證書管理流程：CA系統(tǒng)與信貸平臺做嵌入式集成，實現(xiàn)在信貸平臺申請、更新證書； 證書類型：區(qū)分個人證書和企業(yè)證書； 出資人

8、證書：由信貸平臺統(tǒng)一存儲管理或自行管理； 借款人證書：一次性使用，使用完畢后退出系統(tǒng)時自動刪除，保障其安全性； 電子簽章：CA數(shù)字證書所做的電子簽名是在后臺進行的，電子簽章是可視化的電子簽名，可以展現(xiàn)給客戶。 三、法律層面： 提供的第三方CA數(shù)字證書，及其所做的操作，均符合中華人民共和國電子簽名法,17,方案設計思路,18,方案產(chǎn)品,1,功能：申請、下載、吊銷證書 說明：已部署在企業(yè)，提供BS或CS服務 備注：必選,2,3,功能：結(jié)合數(shù)字證書電子簽名技術生成可視化圖章并進行簽署 說明：部署在應用后端 備注：必選,4,功能：包含公私鑰，代表用戶身份 說明：分為個人、企業(yè)、服務器證書等 備注：必選

9、,5,功能：用于存放數(shù)字證書 說明：客戶持有，保證私鑰安全 備注：可選,方 案 產(chǎn) 品,為滿足證書在企業(yè)在相關系統(tǒng)中的應用，CFCA將提供如上產(chǎn)品,自建RA系統(tǒng),證書工具包,電子簽章系統(tǒng),數(shù)字證書,時間戳,功能：實現(xiàn)在客戶端進行數(shù)據(jù)簽名，在服務器端實現(xiàn)簽名驗簽服務以驗證數(shù)字證書的有效性。 說明：分為客戶端和服務器端 備注：可選,19,業(yè)務流程,現(xiàn)有流程,未來流程,用戶注冊,業(yè)務操作,數(shù)據(jù)提交,最終存儲,證書下載,數(shù)字簽名,電子取證,電子簽章,20,業(yè)務流程,出資人,借款人,擔保公司,RA系統(tǒng),電子簽章系統(tǒng),信貸平臺,平臺證書,擔保公司證書,出資人證書,借款人： 借款人的證書本人持有,出資人：

10、出資人的證書托管至平臺,平臺方： 平臺方的證書托管至平臺,擔保方： 擔保方的證書托管至平臺,21,電子簽章流程,出資人,借款人,擔保公司,RA系統(tǒng),電子簽章系統(tǒng),信貸平臺,平臺證書,擔保公司證書,出資人證書,借貸合同,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX,借款人：,出資人：,擔保方：,平臺方：,時間戳,22,單擊此處編輯母版標題樣式,單擊此處編輯母版副標題樣式,對交易有爭議的用戶向CFCA提出取證申請； CFCA對取證申請進行判斷并接

11、受； 用戶和CFCA進行相關取證事宜的制定與簽約； 雙方配合進行取證服務和流程； CFCA將電子簽名驗證報告提交至爭議裁決方，完成整個流程。,注：整個取證過程中，CFCA可以為異議方提供電子簽名法相關的法律咨詢、援助等服務。,業(yè)務流程(取證流程),23,建設方案及產(chǎn)品,證書應用主要解決身份驗證和關鍵交易簽名驗簽操作,24,產(chǎn)品 應用,產(chǎn)品簡介 RA系統(tǒng),產(chǎn)品概述,主要功能,RA(Register Authority)，證書注冊審批機構，RA產(chǎn)品即為實現(xiàn)證書注冊審批機構功能需求的軟件系統(tǒng) RA功能是對CA功能的外部延伸，它能方便特定注冊審批機構管理其證書及用戶,證書申請 證書下載 證書換發(fā) 證書

12、補發(fā) 證書吊銷 證書刪除 批量錄入 查詢統(tǒng)計 用戶權限管理 日志管理,提供Webservice形式的接口 支持100萬以上證書的簽發(fā)和管理能力 日簽發(fā)能力不低于10萬張 并發(fā)處理證書請求大于200 并發(fā)連接用戶數(shù)大于500 支持RSA、SM系列算法 系統(tǒng)基于JAVA平臺 支持多種模式下的交叉認證 支持集群部署方式,25,部署方案, 系統(tǒng) 部署方式：將RA系統(tǒng)部署在企業(yè)本地，實現(xiàn)本地化證書管理和驗證， RA系統(tǒng)必須與CFCA的CA系統(tǒng)相連； 系統(tǒng)集成：在平臺中集成RA集成接口，將證書生命周期管理功能集成到平臺中，避免了用戶和平臺管理者見到CFCA證書 申請頁面，提高用戶體驗度，便于管理員統(tǒng)一管理

13、； 適用模式：該模式適合企業(yè)發(fā)證需求較大，對發(fā)證書模式有靈活需求的用戶。,RA 所依托的軟硬件環(huán)境,企業(yè)內(nèi)部,集成 RA 接口,業(yè) 務 系 統(tǒng),RA系統(tǒng),D B,數(shù)據(jù)庫,CA服務平臺,CRL發(fā)布服務器,CFCA,26,產(chǎn)品簡介 證書工具包,主要功能,數(shù)據(jù)簽名驗簽 數(shù)據(jù)加解密 解析X.509證書 驗證X.509證書 對稱加解密 Base64編解碼 證書黑名單 日志查詢功能,支持RSA、SM算法 客戶端支持windows和MAC全線產(chǎn)品 服務端支持Windows 、Linux，AIX ， Solaris 瀏覽器支持IE6.0及以上版本、Firefox、Chrome、Safari 和 Opera,產(chǎn)

14、品 特點,數(shù)字簽名,27,產(chǎn)品 應用,產(chǎn)品簡介 電子簽章系統(tǒng),文檔簽章 文檔驗章 簽章信息查看 刪除簽章 查看簽章者證書 多人簽章,產(chǎn)品概述,主要功能,電子回單系統(tǒng)； 供應鏈系統(tǒng) 電子合同； 辦公系統(tǒng) 其它需要電子印章的應用系統(tǒng)。,電子印章技術以先進的數(shù)字技術模擬傳統(tǒng)實物印章，其管理、使用方式符合實物印章的習慣和體驗，其加蓋的電子文件具有與實物印章加蓋的紙張文件相同的外觀、相同的有效性和相似的使用方式。,28,時間戳簽名 時間戳加蓋 驗證時間戳 獲取時間源 校隊時間源 同步時間源,產(chǎn)品簡介 時間戳,產(chǎn)品概述,主要功能,客戶端支持windows和MAC全線產(chǎn)品 服務端支持Windows 、Lin

15、ux，AIX ， Solaris 瀏覽器支持IE6.0及以上版本、Firefox、Chrome、Safari 和 Opera,使用 場景,國家法定時間源來負責保障時間的授時和守時監(jiān)測，任何機構包括時間戳中心自己不能對時間進行修改以保障時間的權威，只有這樣產(chǎn)生的時間戳才具有法律效力。,29,服務器端身份認證 客戶端身份認證 SSL通道建立 網(wǎng)站安全標識,產(chǎn)品簡介 服務器證書,產(chǎn)品概述,主要功能,客戶端支持windows和MAC全線產(chǎn)品 服務端支持Windows 、Linux，AIX ， Solaris 瀏覽器支持IE6.0及以上版本、Firefox、Chrome、Safari 和 Opera,產(chǎn)品 特點,服務器證書，相當于Web站點的網(wǎng)絡身