射龙门刷流水
歡迎您訪問中國電子認證服務產業聯盟官方網站!
服務熱線: 010-68449338   |   設為首頁   |   會員申請
解決方案
解決方案
當前所在位置 首頁  »  解決方案

P2P電子簽章安全應用解決方案

來源:本站   發布時間:2014-12-12 9:57:37   瀏覽量:

1 引言

1.1     背景介紹

P2P 是 person to person 的縮寫。P2P 借貸的中文官方譯名是“人人貸”,是指資金的供需 雙方在特定的網絡環境中建立的借貸關系,網絡中的每一個參與者都可以發起,通過網絡進 行信息流通交互,建立一定的規則,對金額、期限、風險、利率等因素進行匹配,簽署具有法律效力的電子合同,滿足借貸雙方的需求并保障雙方的權益。這種借貸關系具有以信用為基礎、發起靈活、金額較小、利率較高等特點。

中國 P2P 借貸業務起步于 2007 年,這幾年發展十分迅猛,據相關部門統計,截止到 2013 年底,國內 P2P 貸款服務平臺已超過 800 家,可統計的線上業務借款余額近 100 億元。P2P 業務在快速發展的同時,也面臨互聯網業務的幾大技術問題:如何在網上確認各參與方的真實身份?如何保證交易的完整性?即借貸平臺能否保證交易信息防篡改和防抵賴?如何保證用戶信息、交易信息等敏感數據的機密性?在平臺上簽署的電子合同是否具有法律效力?

安證通多年來一直致力于為金融行業提供安全服務,有一整套成熟、可靠的安全解決方案,可以為 P2P 借貸平臺提供安全技術保障,從技術上幫助P2P 借貸平臺打造安全、公平、公正、 公開的網上資金交易環境,切實保護借貸平臺的各參與方的權益,滿足主管部門的監管要求。

1.2     編寫目的

本文檔著重分析 P2P 借貸平臺的各種安全需求,并針對這些需求進行設計和編寫的技術 方案說明。

1.3     讀者對象

所有需要了解和參與P2P 借貸平臺建設的相關業務人員和技術人員。

 

1.4     參考文獻

 

《中華人民共和國電子簽名法》

《公鑰基礎設施 PKI 與認證機構 CA》

2        需求分析

2.1       場景說明


 國內 P2P 借貸平臺商業模式示意圖

上圖所示為國內 P2P 借貸平臺的商業模式示意圖。P2P 借貸業務中一般為三個參與主體為:


借款人、放款人和借貸平臺。相關方還有擔保平臺、信用平臺和支付平臺。

 

2.2     關鍵業務

P2P 借貸平臺的關鍵業務有賬戶注冊和借款產品的發布和購買。

 

u 用戶注冊

 

P2P 平臺對擔保方的資質、材料審核通過后,可以由 P2P 操作員代為錄入、開通平臺擔 保方賬戶;出資人自行登錄 P2P 平臺注冊賬戶,借款人注冊時平臺會對其身份做校驗(身份 證、手機號、銀行卡),如果有條件可以對借款人身份進行線下的核對。

u 借款產品的發布和購買

 

借款人登錄 P2P 平臺,申請發布借款產品,P2P 平臺操作員對該申請進行審核(部分 P2P 平臺會線下審核借款人的償還能力),待審核通過后,該借款產品正式注冊到 P2P 平臺產品列 表中。

出資人登錄 P2P 平臺,選擇借款產品并瀏覽詳細的產品信息,選定好后可以錄入出資信息,提交后等待標滿生效。

當借款產品標滿后,P2P 平臺自動生成電子合同,電子合同中記錄借款產品的額度、利率、借款期限等信息,同時還會排列所有出資人的出資信息,該電子合同發布后可以供出資 人下載瀏覽。P2P 平臺操作員做最后的審核,審核通過后開始對借款人放款。借貸產品到期后由借款人還款,P2P 平臺會根據產品利息情況支付給出資人原款和收益金額。

 

2.3     關鍵需求

 

針對互聯網金融創新型平臺的業務場景,和安全相關的關鍵業務需求有以下幾點:

 

u  PDF電子合同生成需求

由于電子合同不可能單獨保存在平臺方,而是要符合各方都能獨立保存,作為法律的依據。因此,電子合同載體就不能以網頁的方式存儲在平臺方的數據庫,而PDF文件格式具有跨平臺、安全穩定,易于傳輸與存儲歸檔、閱讀方便等種種優點,已經使它成為電子合同最為理想文檔格式。如何實現PDF文檔的生成,是P2P平臺必要需求之一。

u  如何保障平臺方簽署電子合同高效性以及具有法律效力?

 

目前 P2P 平臺上各方簽署的電子合同數據只是普通的數據電文,不具備法律效力,如何保證平臺上快速簽署的電子合同并具有法律效力?

u  ?    如何避免 P2P 平臺受到釣魚網站的侵害?

 

P2P  平臺網站存在被釣魚網站冒充的風險,且用戶無法識別,若借款人和出資人不慎進 入釣魚網站,就會存在資金損失的風險,同時會對 P2P 借貸平臺品牌造成負面影響。

u  出借人和借款人的簽章使用流程


出借人:

在出借人進行投資業務申請時,同時需要簽署電子證書申請,授權公司為其生成電子證書并使用電子證書。當需要對出借人資金進行投資時,就需要使用已經存儲的電子證書在后臺批量調用簽章服務為相關協議進行簽章。

借款人:

在借款人到公司申請借款業務并獲批時,由借款人登錄電子簽約平臺獲得其所要簽署的合同,此時由電子簽約平臺為借款人在瀏覽器頁面生成臨時數字證書,在頁面調用電子簽章控件批量對所要簽署的協議進行簽章,借款人簽約結束后立刻銷毀瀏覽器中的證書。

u  未來的安全需求

 

P2P 業務系統的通信過程中或數據存儲都存在敏感信息泄露的風險,P2P 借貸平臺如何保證各參與方的用戶信息和交易信息的安全?

根據平臺業務的發展,如何實現各方在線電子簽名應用,打造全程電子合同安全應用,是未來發展的主要需求。


3    總體方案

3.1     總體架構


 P2P 借貸平臺總體邏輯架構圖

如上圖所示,P2P 借貸平臺可引入 PKI 數字證書技術來滿足平臺面臨的各種業務安全需求。

u  PDF電子合同生成方案設計

轉成pdf文件主要有兩種,服務器生成PDF文件以及前端轉換PDF文件,下面簡單介紹前后端轉換PDF方式實現原理:

1.       后臺轉換PDF流程


? 客戶程序調用文檔轉換服務(  PDFDocuProServer)的轉換API;

? API參數都是文件的URL,第一個為源格式文件,第二個為目標格式PDF文件的;

? 文檔轉換服務會執行轉換操作,生成的目標格式文件將會放于指定地址目錄中。

2.       前端PDF轉換虛擬打印組件

  前端轉換PDF,可采用虛擬打印技術,虛擬打印其實就是模擬的實現打印機的功能,打印文件。利用虛擬打印機能截獲所有Windows程序的打印操作,或模擬打印效果,或實現某些特殊功能,從而打印所需的文件格式。


流程說明:

1)       首先是文件來源格式,無論是office、TXT、其他版式……….文件格式都可以通過虛擬打印機轉換。

2)       虛擬打印機接到打印指令,馬上調動虛擬打印機,對來源文件進行數據轉換成固定板式PDF文件的操作。

3)       虛擬打印機對源文件轉換成用戶需要的PDF文件。

當真正需要集成的時候,提供我司的虛擬打印接口,業務系統開發人員直接引用虛擬打印接口即可完成轉換PDF功能。

u  基于可信的單位證書,利用后臺批量簽署技術實現對電子合同快速自動簽章。

貴單位提交所需申請資料,我司審核通過給貴公司簽發可信的企業證書,利用可信企業證書與電子簽章綁定對電子合同簽署,保障電子合同信息不可篡改、不可偽造、可信合法等安全應用。

以下對批量簽章簡介:

通過輪詢檢測:即P2P平臺與批量簽章服務建立公共表,進行文檔與參數的傳遞,根據相關參數設置,批量簽章服務輪詢檢測需要簽章的數據,一旦檢測到需要有待簽數據,則自動觸發簽章程序,讀取簽章信息進行簽章,其特點是無需客戶端進行干預,自動完成簽章。為確保電子合同的簽名時間真實 可靠,建議使用時間戳服務。經過各方簽名的電子合同符合我國相關法律要求,具備法律效力。

 

u  使用服務器證書防止網站被仿冒,防釣魚

 

為 P2P 平臺頒發站點服務器證書,用以標識網站的真實身份,使釣魚網站無法偽造,同時配置網站 SSL 安全通道,使平臺方與其他各方交互的數據加密傳輸,加強業務數據的保密性。

u  未來拓展應用需求

 

P2P 借貸平臺中的敏感信息,如用戶信息、資金信息、業務信息等敏感信息,可使用加密組件進行加密保存,防止信息被竊取或泄漏。

對于其他角色的簽名,可提供前臺自主操作簽名方式、托管自動電子簽名等多種電子簽名應用。

3.2     方案產品

為滿足 P2P 借貸平臺的安全要求,可使用安證通提供的如下產品:

序號

產品名稱

功能

說明

1

PDF轉換組件

實現對源文件轉換成PDF文件的過程

集成于后臺應用

2

一簽通分中心

電子合同簽章,可根據位置、標簽等進行簽章

集成于業務系統中

 

3

SignCloud云簽章服務器V2.0

國內獨家,主要解決在后臺服務器端實現電子簽章、加蓋水印等功能,無需編輯軟件,支持并發簽章。

集成于業務系統中

 

 

 

 

4

RA服務器

RA(Registration Authority),數字證書注冊審批機構。

RA系統是CA的證書發放、管理的延伸。它負責證書申請

者的信息錄入、審核以及證書發放等工作;同時,對發放

的證書完成相應的管理功能。發放的數字證書可以存放于

IC卡、硬盤或軟盤等介質中。RA系統是整個CA中心得以

正常運營不可缺少的一部分。

 

 

5

時間戳服務

提供標準時間戳服務

P2P 借貸平臺在簽章過程中集成時間戳服務接口

6

數字證書(固定證書+一次性證書)

包含公私鑰,代表用戶身份

為 P2P 借貸平臺的各參與方發放不同類型的證書

 

7

 

USB Key(可選)

 

數字證書硬件存儲介質

用戶持有,保證私鑰安全,適

合系統操作員或高端 客戶持 有

4        產品介紹

4.1       電子印章系統

4.1.1   概述

安證通 電子簽章產品基于 PKI 公鑰基礎設施,以 PKCS 公鑰加密標準為規范,將電子印章和數字簽名技術完美結合為一體的應用軟件系統,結合具體業務系統,實現數字簽名技術在業 務系統流程中的應用。解決了業務電子化過程中的公文蓋章人身份的確認性、電子公文的信息完整性、公文蓋章人的不可抵賴性,并結合傳統印章的圖章效果,提供給用戶一個透明的、 安全的、簡便的電子印章應用。

4.1.2   主要功能

u 文檔簽章 用戶可對編輯完成的文檔執行簽章操作,對文檔進行數字簽名,并將用戶的印章圖片顯

示到文檔的指定位置,生成如同紙質蓋章一樣的效果,“印章”的顯示透明,不影響用戶對文 檔內容的閱讀。

u 文檔驗章 驗證簽章是否有效,即驗證文檔內容和簽章信息是否被篡改。

u 簽章信息查看 用戶收到簽章文檔后,可隨時查看簽章信息,包括簽章是否有效,簽章人名稱,簽章時

間,單位名稱,印章名稱。

 

u 刪除簽章 簽章人可刪除自己的簽章,該過程需要身份確認。如果用戶想對現有簽章文檔進行修改,

也必須先將簽章刪除,然后修改編輯,完成后再進行“蓋章”。

 

u 查看簽章者證書 查看簽章人證書信息,證書主題名,證書頒發者,證書有效期。

u 多人簽章 多人可在同一文檔上執行“蓋章”操作,文檔顯示加蓋的多個圖章。各印章之間彼此獨

立,后蓋的印章不會自動檢查之前加蓋的印章有效性,也不會影響已有印章的有效性。

4.1.3   產品應用

集成于 P2P 借貸平臺中,對 PDF 文件進行簽章和驗證。使用效果如下圖:


 電子合同效果圖

4.2     時間戳服務

4.2.1    概述

在電子合同中,時間是十分重要的信息。文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。安證通作為一個權威的、可信賴的、公正的電子簽名認證廠商,其時 間戳服務就是將經過 CA 簽名的一個可信賴的日期和時間與特定電子數據綁定在一起,為電 子合同提供可信的時間證明。

4.2.2   主要功能

在時間戳服務中,包括如下兩部分,每個部分都是獲取時間戳服務的關鍵。

 

?    標準時間獲取時間源為國家授時中心的標準時間,為保證電子病歷時間的準確性和不受干擾,我們將

采用 GPS 衛星授時設備來獲取標準時間。

 

?    時間戳提取提供時間戳提取接口,獲得時間值。其過程如下:

1)對消息或文件進行 Hash 摘要處理;

2)根據提供的獲取蓋戳時間接口,解析時間戳消息或文件,獲得蓋戳時間。

4.2.3   服務使用

P2P  借貸平臺中使用時間戳服務的標準接口完成時間戳的申請和獲取,保證電子合同是經過蓋戳的。

 
 
Copyright 2012-2014 中國電子認證服務聯盟  京ICP備13000126號 版權所有 All rights reserved.
射龙门刷流水 快乐飞艇正规吗 在江苏盐城哪个乡镇卖饼赚钱吗 山东十一选五直播开奖 澳洲幸运8玩法 银河棋牌最新安卓版下载 地下城怎么多赚钱 北京11选5怎么看 重庆时时彩开奖号码 蛇怎么赚钱 山西十一选五遗漏走势图 可以买彩票的微信版本 博远棋牌跑路 七乐彩走势图模式 再火爆行业赚钱的都是少数 白山在线棋牌 福彩喜乐彩