电子商务安全案例1
- 格式:doc
- 大小:156.00 KB
- 文档页数:4
北京师范大学是教育部直属重点大学,自1902年创立,已有百年历史。学校共设24个学院、2个系、20个研究院(所、中心)。全日制在校生19500余人,教职工3000余人。
随着校园网应用层次的逐步深入,将会有越来越多的学生、教职工和学校领导通过校园网进行重要数据的传输、资金的交割和各种教务活动的实现。北京师范大学现有的系统包括OA系统、邮件系统、网络计费系统、图书借阅系统、财务系统等,各个系统之间是相互独立,每个系统维护自己的用户帐户,用户管理混乱;同时系统归属于不同的业务部门管理,对于系统权限的制定,没有统一的规则;用户登录时需要分别登录各个系统,登录操作繁琐;“用户名+口令”的登录方式安全强度低,帐户密码丢失、信息被篡改等情况时有发生。并且基于网络的应用的所有内容都是以数字的形式流转于校园网之上,在这些应用中不可避免地存在着由网络的自由、共享和开放性所带来的信息安全隐患,这对校园网提出了很多安全需求。
解决方案
基于以上的需求,天威诚信为北京师范大学建设了一整套完成的CA认证平台,设计了如下的解决方案:
采用天威诚信iTrusCA系统,为校园网建设一套功能完善的CA认证系统,为校园网用户颁发数字证书,提供安全认证服务
为高校各应用系统进行PKI/CA的应用接口集成,使用者可以基于数字证书完成诸如强身份认证、信息交互中的传输安全保护、网上行为的可追溯证明
针对不同的使用者,可以颁发时间有效期不同的数字证书,例如,有效期为四年的本科生数字证书、有效期为三年的研究生(博士生)数字证书、有效期为期一年(或两年)的教职员工数字证书等
针对各应用系统安全级别的不同和使用者应用方式的不同,执行不同安全等级数字证书保存方式,如普通学生可以使用“文件证书”的保存方式,证书以文件的方式被学生在信息系统中调用;对于高校领导、内部财务人员等使用安全级别高的“USB KEY”保存证书的方式等
带来的价值
通过向学校的每个最终用户颁发个人证书,个人证书持有者可以在不同的应用系统登录,并由此确认学生的身份,给予相应的权限,提升整个校园网信息化的效率,尤其满足了诸如校园网络计费系统、个别特殊的BBS论坛、校园网公文发布系统、校园图书馆借阅系统等对于身份认证的强烈需求。此外利用数字证书对财务、文件发布等关键业务数据的数字签名也防止系统中电子数据在生成或传递过程中发生任何非授权人员篡改,保证了整个系统的安全可靠。而针对邮件系统颁发的数字证书将以数字签名和加密的方式确保整个办公通讯系统的机密信息保护的需要。天威诚信为北师大建设的数字认证平台是国内高校第一次大规模的应用数字证书,为国内高校解决数字校园建设中安全信任问题提供了一整套的解决思路,使北师大的校园信息化水平整体迈上了一个新的台阶。
背景
阿里巴巴成功的缔造了网上贸易市场,引领全球电子商务发展,在阿里巴巴这个虚拟的世界中,来自200个国家的七百万进口商与两百万家中国企业每天聚集在这里进行商业活动,阿里巴巴已经成为全球最大的网上贸易市场。支付宝网站()是阿里巴巴旗下的公司,是国内先进的网上支付平台,致力于为网上交易用户提供优质的安全支付服务,其运作的实质是以支付宝为信用中介,在买家确认收到商品前,由支付宝替买卖双方暂时保管货款的一种增值服务。支付宝服务自2003年10月18日在淘宝网推出以来,在短短的一年时间,迅速成为会员网上交易不可缺少的支付方式,深受淘宝会员喜爱,引起业界高度的关注。支付宝服务是互联网企业的一个创举,是电子商务发展的一个里程碑。
随着支付宝业务的发展,其安全性变得越来越重要。目前支付宝采用单向SSL(SSL:Secure Socket Layer,安全套接字协议)认证方式解决了支付宝网站真实性和防止网络窃取等安全需求,没有真正解决对支付宝用户的身份认证,非法用户仍然可以通过各种途径,盗取或猜测用户的登录Email地址和登录密码,假冒合法用户身份,登录支付宝进行消费。
方案
为了解决支付宝面临的安全隐患,支付宝公司决定采用成熟的客户端和服务器端双向SSL认证方式,启动“支付宝系统安全证书项目”,即在目前支付宝单向SSL认证的基础上,增加客户端采用数字证书认证的方式,支付宝用户登录支付宝帐户时通过数字证书来认证用户的身份。通过“支付宝系统安全证书项目”的实施,希望实现:
凡是能引起帐户变动和交易状态变化的关键的业务点上实现SSL的双向认证;
考虑系统的可扩充性原则,在今后增加数字签名功能时,保证现有的CA系统(CA:Certification Authority,认证权威,或认证中心)能够很好的满足需求,方便灵活的进行扩充。
经过严格的考察和论证,支付宝最终选择了天威诚信作为“支付宝系统安全证书项目”的合作伙伴。经过招标和讨论,支付宝对全国提供CA建设和服务的厂商进行了考察,包括对产品、技术方案、建设模式、运营模式、运营经验、技术支持能力等进行了考察。天威诚信凭借合理的技术方案、多年成功运营CA认证中心的丰富经验,特别是丰富的CA应用开发经验,成为支付宝安全证书项目的合作伙伴。
针对支付宝的建设思路和要求,天威诚信为其设计了合理的技术方案。天威诚信在设计和实施支付宝项目时,充分考虑了支付宝目前应用的实际需要和未来应用需求的扩展,提供了如下图所示的解决方案:
项目效果
支付宝安全证书项目的实施,实现了支付宝预期的两个目标。由于天威诚信设计和实施的支付宝CA系统能够签发满足电子签名法要求的用户证书,为阿里巴巴和支付宝提供了更多的扩展应用功能:电子签名证据保全服务功能和有法可依的诚信体系建设服务功能等。