欢迎您访问中国电子认证服务产业联盟官方网站!
服务热线: 400-085-6811   |   设为首页   |   会员申请
解决方案
解决方案
当前所在位置 首页  »  解决方案

P2P电子签章安全应用解决方案

来源:本站   发布时间:2014-12-12 9:57:37   浏览量:

1 引言

1.1     背景介绍

P2P 是 person to person 的缩写。P2P 借贷的中文官方译名是“人人贷”,是指资金的供需 双方在特定的网络环境中建立的借贷关系,网络中的每一个参与者都可以发起,通过网络进 行信息流通交互,建立一定的规则,对金额、期限、风险、利率等因素进行匹配,签署具有法律效力的电子合同,满足借贷双方的需求并保障双方的权益。这种借贷关系具有以信用为基础、发起灵活、金额较小、利率较高等特点。

中国 P2P 借贷业务起步于 2007 年,这几年发展十分迅猛,据相关部门统计,截止到 2013 年底,国内 P2P 贷款服务平台已超过 800 家,可统计的线上业务借款余额近 100 亿元。P2P 业务在快速发展的同时,也面临互联网业务的几大技术问题:如何在网上确认各参与方的真实身份?如何保证交易的完整性?即借贷平台能否保证交易信息防篡改和防抵赖?如何保证用户信息、交易信息等敏感数据的机密性?在平台上签署的电子合同是否具有法律效力?

安证通多年来一直致力于为金融行业提供安全服务,有一整套成熟、可靠的安全解决方案,可以为 P2P 借贷平台提供安全技术保障,从技术上帮助P2P 借贷平台打造安全、公平、公正、 公开的网上资金交易环境,切实保护借贷平台的各参与方的权益,满足主管部门的监管要求。

1.2     编写目的

本文档着重分析 P2P 借贷平台的各种安全需求,并针对这些需求进行设计和编写的技术 方案说明。

1.3     读者对象

所有需要了解和参与P2P 借贷平台建设的相关业务人员和技术人员。

 

1.4     参考文献

 

《中华人民共和国电子签名法》

《公钥基础设施 PKI 与认证机构 CA》

2        需求分析

2.1       场景说明


 国内 P2P 借贷平台商业模式示意图

上图所示为国内 P2P 借贷平台的商业模式示意图。P2P 借贷业务中一般为三个参与主体为:


借款人、放款人和借贷平台。相关方还有担保平台、信用平台和支付平台。

 

2.2     关键业务

P2P 借贷平台的关键业务有账户注册和借款产品的发布和购买。

 

u 用户注册

 

P2P 平台对担保方的资质、材料审核通过后,可以由 P2P 操作员代为录入、开通平台担 保方账户;出资人自行登录 P2P 平台注册账户,借款人注册时平台会对其身份做校验(身份 证、手机号、银行卡),如果有条件可以对借款人身份进行线下的核对。

u 借款产品的发布和购买

 

借款人登录 P2P 平台,申请发布借款产品,P2P 平台操作员对该申请进行审核(部分 P2P 平台会线下审核借款人的偿还能力),待审核通过后,该借款产品正式注册到 P2P 平台产品列 表中。

出资人登录 P2P 平台,选择借款产品并浏览详细的产品信息,选定好后可以录入出资信息,提交后等待标满生效。

当借款产品标满后,P2P 平台自动生成电子合同,电子合同中记录借款产品的额度、利率、借款期限等信息,同时还会排列所有出资人的出资信息,该电子合同发布后可以供出资 人下载浏览。P2P 平台操作员做最后的审核,审核通过后开始对借款人放款。借贷产品到期后由借款人还款,P2P 平台会根据产品利息情况支付给出资人原款和收益金额。

 

2.3     关键需求

 

针对互联网金融创新型平台的业务场景,和安全相关的关键业务需求有以下几点:

 

u  PDF电子合同生成需求

由于电子合同不可能单独保存在平台方,而是要符合各方都能独立保存,作为法律的依据。因此,电子合同载体就不能以网页的方式存储在平台方的数据库,而PDF文件格式具有跨平台、安全稳定,易于传输与存储归档、阅读方便等种种优点,已经使它成为电子合同最为理想文档格式。如何实现PDF文档的生成,是P2P平台必要需求之一。

u  如何保障平台方签署电子合同高效性以及具有法律效力?

 

目前 P2P 平台上各方签署的电子合同数据只是普通的数据电文,不具备法律效力,如何保证平台上快速签署的电子合同并具有法律效力?

u      如何避免 P2P 平台受到钓鱼网站的侵害?

 

P2P  平台网站存在被钓鱼网站冒充的风险,且用户无法识别,若借款人和出资人不慎进 入钓鱼网站,就会存在资金损失的风险,同时会对 P2P 借贷平台品牌造成负面影响。

u  出借人和借款人的签章使用流程


出借人:

在出借人进行投资业务申请时,同时需要签署电子证书申请,授权公司为其生成电子证书并使用电子证书。当需要对出借人资金进行投资时,就需要使用已经存储的电子证书在后台批量调用签章服务为相关协议进行签章。

借款人:

在借款人到公司申请借款业务并获批时,由借款人登录电子签约平台获得其所要签署的合同,此时由电子签约平台为借款人在浏览器页面生成临时数字证书,在页面调用电子签章控件批量对所要签署的协议进行签章,借款人签约结束后立刻销毁浏览器中的证书。

u  未来的安全需求

 

P2P 业务系统的通信过程中或数据存储都存在敏感信息泄露的风险,P2P 借贷平台如何保证各参与方的用户信息和交易信息的安全?

根据平台业务的发展,如何实现各方在线电子签名应用,打造全程电子合同安全应用,是未来发展的主要需求。


3    总体方案

3.1     总体架构


 P2P 借贷平台总体逻辑架构图

如上图所示,P2P 借贷平台可引入 PKI 数字证书技术来满足平台面临的各种业务安全需求。

u  PDF电子合同生成方案设计

转成pdf文件主要有两种,服务器生成PDF文件以及前端转换PDF文件,下面简单介绍前后端转换PDF方式实现原理:

1.       后台转换PDF流程


Ø 客户程序调用文档转换服务(  PDFDocuProServer)的转换API;

Ø API参数都是文件的URL,第一个为源格式文件,第二个为目标格式PDF文件的;

Ø 文档转换服务会执行转换操作,生成的目标格式文件将会放于指定地址目录中。

2.       前端PDF转换虚拟打印组件

  前端转换PDF,可采用虚拟打印技术,虚拟打印其实就是模拟的实现打印机的功能,打印文件。利用虚拟打印机能截获所有Windows程序的打印操作,或模拟打印效果,或实现某些特殊功能,从而打印所需的文件格式。


流程说明:

1)       首先是文件来源格式,无论是office、TXT、其他版式……….文件格式都可以通过虚拟打印机转换。

2)       虚拟打印机接到打印指令,马上调动虚拟打印机,对来源文件进行数据转换成固定板式PDF文件的操作。

3)       虚拟打印机对源文件转换成用户需要的PDF文件。

当真正需要集成的时候,提供我司的虚拟打印接口,业务系统开发人员直接引用虚拟打印接口即可完成转换PDF功能。

u  基于可信的单位证书,利用后台批量签署技术实现对电子合同快速自动签章。

贵单位提交所需申请资料,我司审核通过给贵公司签发可信的企业证书,利用可信企业证书与电子签章绑定对电子合同签署,保障电子合同信息不可篡改、不可伪造、可信合法等安全应用。

以下对批量签章简介:

通过轮询检测:即P2P平台与批量签章服务建立公共表,进行文档与参数的传递,根据相关参数设置,批量签章服务轮询检测需要签章的数据,一旦检测到需要有待签数据,则自动触发签章程序,读取签章信息进行签章,其特点是无需客户端进行干预,自动完成签章。为确保电子合同的签名时间真实 可靠,建议使用时间戳服务。经过各方签名的电子合同符合我国相关法律要求,具备法律效力。

 

u  使用服务器证书防止网站被仿冒,防钓鱼

 

为 P2P 平台颁发站点服务器证书,用以标识网站的真实身份,使钓鱼网站无法伪造,同时配置网站 SSL 安全通道,使平台方与其他各方交互的数据加密传输,加强业务数据的保密性。

u  未来拓展应用需求

 

P2P 借贷平台中的敏感信息,如用户信息、资金信息、业务信息等敏感信息,可使用加密组件进行加密保存,防止信息被窃取或泄漏。

对于其他角色的签名,可提供前台自主操作签名方式、托管自动电子签名等多种电子签名应用。

3.2     方案产品

为满足 P2P 借贷平台的安全要求,可使用安证通提供的如下产品:

序号

产品名称

功能

说明

1

PDF转换组件

实现对源文件转换成PDF文件的过程

集成于后台应用

2

一签通分中心

电子合同签章,可根据位置、标签等进行签章

集成于业务系统中

 

3

SignCloud云签章服务器V2.0

国内独家,主要解决在后台服务器端实现电子签章、加盖水印等功能,无需编辑软件,支持并发签章。

集成于业务系统中

 

 

 

 

4

RA服务器

RA(Registration Authority),数字证书注册审批机构。

RA系统是CA的证书发放、管理的延伸。它负责证书申请

者的信息录入、审核以及证书发放等工作;同时,对发放

的证书完成相应的管理功能。发放的数字证书可以存放于

IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以

正常运营不可缺少的一部分。

 

 

5

时间戳服务

提供标准时间戳服务

P2P 借贷平台在签章过程中集成时间戳服务接口

6

数字证书(固定证书+一次性证书)

包含公私钥,代表用户身份

为 P2P 借贷平台的各参与方发放不同类型的证书

 

7

 

USB Key(可选)

 

数字证书硬件存储介质

用户持有,保证私钥安全,适

合系统操作员或高端 客户持 有

4        产品介绍

4.1       电子印章系统

4.1.1   概述

安证通 电子签章产品基于 PKI 公钥基础设施,以 PKCS 公钥加密标准为规范,将电子印章和数字签名技术完美结合为一体的应用软件系统,结合具体业务系统,实现数字签名技术在业 务系统流程中的应用。解决了业务电子化过程中的公文盖章人身份的确认性、电子公文的信息完整性、公文盖章人的不可抵赖性,并结合传统印章的图章效果,提供给用户一个透明的、 安全的、简便的电子印章应用。

4.1.2   主要功能

u 文档签章 用户可对编辑完成的文档执行签章操作,对文档进行数字签名,并将用户的印章图片显

示到文档的指定位置,生成如同纸质盖章一样的效果,“印章”的显示透明,不影响用户对文 档内容的阅读。

u 文档验章 验证签章是否有效,即验证文档内容和签章信息是否被篡改。

u 签章信息查看 用户收到签章文档后,可随时查看签章信息,包括签章是否有效,签章人名称,签章时

间,单位名称,印章名称。

 

u 删除签章 签章人可删除自己的签章,该过程需要身份确认。如果用户想对现有签章文档进行修改,

也必须先将签章删除,然后修改编辑,完成后再进行“盖章”。

 

u 查看签章者证书 查看签章人证书信息,证书主题名,证书颁发者,证书有效期。

u 多人签章 多人可在同一文档上执行“盖章”操作,文档显示加盖的多个图章。各印章之间彼此独

立,后盖的印章不会自动检查之前加盖的印章有效性,也不会影响已有印章的有效性。

4.1.3   产品应用

集成于 P2P 借贷平台中,对 PDF 文件进行签章和验证。使用效果如下图:


 电子合同效果图

4.2     时间戳服务

4.2.1    概述

在电子合同中,时间是十分重要的信息。文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。安证通作为一个权威的、可信赖的、公正的电子签名认证厂商,其时 间戳服务就是将经过 CA 签名的一个可信赖的日期和时间与特定电子数据绑定在一起,为电 子合同提供可信的时间证明。

4.2.2   主要功能

在时间戳服务中,包括如下两部分,每个部分都是获取时间戳服务的关键。

 

Ø    标准时间获取时间源为国家授时中心的标准时间,为保证电子病历时间的准确性和不受干扰,我们将

采用 GPS 卫星授时设备来获取标准时间。

 

Ø    时间戳提取提供时间戳提取接口,获得时间值。其过程如下:

1)对消息或文件进行 Hash 摘要处理;

2)根据提供的获取盖戳时间接口,解析时间戳消息或文件,获得盖戳时间。

4.2.3   服务使用

P2P  借贷平台中使用时间戳服务的标准接口完成时间戳的申请和获取,保证电子合同是经过盖戳的。

 
 
Copyright 2012-2014 中国电子认证服务联盟  京ICP备13000126号 版权所有 All rights reserved.