我国电子商务认证的现状及解决方案

时间：2015-12-20 23:34:26 所属分类：微电子 浏览量:

内容摘要：电子商务活动需要一个安全的网络环境，以保证数据在网络中传输的安全性和完整性，实现交易各方的身份认证，防止交易中抵赖的发生。有保障的支付体系、CA等各种安全认证体系和基本的安全技术是电子商务活动正常运行的前提条件。本文分析了我国PKI技

内容摘要：电子商务活动需要一个安全的网络环境，以保证数据在网络中传输的安全性和完整性，实现交易各方的身份认证，防止交易中抵赖的发生。有保障的支付体系、CA等各种安全认证体系和基本的安全技术是电子商务活动正常运行的前提条件。本文分析了我国PKI技术采用网络电子认证体系建设的现状，从法律制度与安全技术相结合的角度做了探索性研究，对采用网络公证以解决网络中的信用安全提出了相应的解决方案。
　　关键词：电子商务 PKI CA 网络公证
　　
　　引 言
　　
　　电子商务逐渐成为21世纪经济生活的新领域，它可以大幅度地降低交易成本，增加贸易机会，简化贸易流程，改善物流系统，提高贸易效率，推动企业和国民经济结构的改革。实现电子商务的关键是要保证商务活动过程中系统的安全性，即应保证在基于Internet的电子交易过程中与传统交易方式一样地安全、可靠。从安全和信任的角度来看，传统交易方式的买卖双方是面对面的，因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系，由于距离的限制，建立交易双方的安全和信任关系相当困难。如何解决电子商务中的信用及网络传输中的安全问题，如何判别网上交易对方的真实身份，如何固化并保存网上的交易内容并使之成为有效的法律证据，如何履行网络合同中最敏感的资金支付等一系列问题已构成了电子商务发展的障碍，建立完善的电子认证体系已成为电子商务发展的关键。
　　为解决Internet的信息安全，世界各国对其进行了多年的研究，初步形成了一套完整的解决方案，即目前被广泛采用的PKI（Public Key Infrastructure）技术，PKI技术采用证书管理公钥，通过第三方的可信任机构即认证中心CA（Certificate Authority），把用户的公钥和用户的其他标识信息如名称、身份证号等捆绑在一起，在Internet网上验证用户的身份。目前，通用的办法是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息在网络上的安全传输。
　　完整的PKI应包括认证政策的制定、遵循的认证规则技术标准、运作制度的制定、所涉及的各方法律关系以及技术的实现。笔者就网络电子认证体系采用网络公证从法律制度与安全技术相结合的角度做了探索性研究，并尝试对网络公证以解决网络中的信用安全给出了一整套解决方案。
　　
　　国内CA的现状
　　
　　互联网的开放性大大降低了网络环境的可信性。电子商务中的交易信任问题成为信息安全的主要问题和关键问题，而信任是交易的基础。为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，还必须建立一种信任及信任验证机制，即参加电子商务的各方必须有一个可以被验证的标识，这就是数字证书。数字证书是各实体在网上信息交流及商务交易活动中的身份证明，该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起，为实现这一目的，必须使数字证书符合国际标准，同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构，专门负责数字证书的发放和管理，确保网上信息的安全，这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性，电子商务就根本无从谈起。
　　电子商务对网络安全的要求，不仅推动着Internet上交易秩序和交易环节，同时也带来了巨大的商业机会。自1998年国内第一家以实体形式运营的上海CA中心成立以来，全国各地、各行业纷纷上马建成了几十家不同类型的CA认证机构。如果从CA中心建设的背景来分，国内的CA中心大致可以分为三类：行业建立的CA，如CFCA，CTCA等；政府授权建立的CA，如上海CA，北京CA等；商业性CA。不难看出，行业性CA不但是数字认证的服务商，也是其他商品交易的服务商，他们不可避免的要在不同程度上参与交易过程，这与CA中心本身要求的“第三方”性质又有很大的不同。就应用的范围而言，行业性CA更倾向于在自己熟悉的领域内开展服务。例如，外经贸部的国富安CA认证中心适当完善之后将首先应用于外贸企业的进出口业务。政府授权建立的第三方认证系统属于地区性CA，除具有地域优势外，在推广应用和总体协调方面具有明显的优势，不过需要指出地区性CA离不开与银行、邮电等行业的合作。
　　
　　国内CA存在的问题
　　
　　在电子商务系统中，CA安全认证中心负责所有实体证书的签名和分发。CA安全认证体系由证书审批部门和证书操作部门组成。就目前的情况而言，CA的概念已经深入到电子商务的各个层面，但就其应用而言，还远远不够，都还存在一些问题。在技术层面上，由于受到美国出口限制的影响，国内的CA认证技术完全靠自己研发，由于参与部门很多，导致了标准不统一，既有国际上的通行标准，又有自主研发的标准，即便是同样的标准，其核心内容也有所偏差，这必将导致交叉认证过程中出现“公说公有理，婆说婆有理”的局面。在应用层面上，一些CA认证机构对证书的发放和审核不够严谨。目前国内相关的CA中心在颁发CA证书前虽然也竭力进行真实身份的审核，但由于进行相关审核的人员往往是CA中心自己的工作人员或其委托的其他人员，从法理上讲这些审核人员不具备法律上所要求的审核证明人资格，也无法承担相应的法律责任；另一方面现在的CA中心本身往往也是交易或合同的一方，难免存在不公正性。为了抢占市场，在没有进行严格的身分确认和验证就随意发放证书，难以确保认证的权威性和公证性。在分布格局上，很多CA认证机构还存在明显的地域性和行业性，无法满足充当面向全社会的第三方权威认证机构的基本要求，而就互联网而言，不应该也不可能存在地域限制。
　　
　　电子商务认证的解决方案
　　
　　在传统的商务贸易中，公证机构作为国家的证明机构，以交易信用的第三方中介行使国家证明权，其权威性与统一性历来为法律所确认。公证证明属国际惯例，中国加入WTO后，在与国际法律制度的接轨中，公证机构的证明效力日益显现出来。正因如此，将权威的国家证明权引入虚拟的网络世界，实行网络公证能够彻底填补网络世界的法律真空，解决目前国内CA认证的弊端，使现实世界的真实性向网络世界延伸。
　　网络公证方案首先从网络身份的真实性证明入手，在确认网络主体的真实身份的基础上，对网络交易内容以公正的第三方的角度加以证据保全，对交易履约中的资金支付采用公证行业特有的第三方安全支付加以解决，因此，笔者认为网络公证方案是电子商务安全与信用的一个整体解决方案。

网络中真实身份审核的解决
　　一个安全、完整的电子商务系统必须建立一个完整、合理的CA安全认证体系。以PKI技术为核心的CA证书能解决网络数据传输中的签名问题，日益显现出其确认网络主体身份的优越性。但是，在实际运作中，网络CA电子身份证书仍然为大家所怀疑。究其原因，关键在于网络中的CA证书持有人与现实世界中的真实身份是否一致并未得到彻底解决。如不解决这个前提，则用CA证书所做的任何签字将不产生任何法律效力，因为没有一个现实世界的主体与之相对应，并承担网上义务，而法庭更是无从受理。
　　纵观诸多国家的电子交易，数字证书的发放都不是依靠交易双方自己来完成，而是由一个具有权威性和公正性的第三方来完成，该第三方中介机构以提供公正交易环境为目的，应具有中立性。因此，银行所办的CA中心以及其他纯商业性的CA中心是不符合国际惯例的。
　　一个身份认证必须满足两种鉴别需要：当面鉴别和网上鉴别。当面鉴别以生物特征为主，网上鉴别则以逻辑特征为主。在CA证书的发放中，最关键的环节是RA（Registration Authority）证书离线面对面审核，交易当事人最关心的基本信息，如网上的对方究竟是谁，真实的身份与信用状况如何等。然而，目前相当多的CA公司在实际操作中或多或少地存在随意性，并未建立起严格的审核要求与流程。申请数字证书的用户只要在网上将相关的表格随意填写后，即可从CA公司那里获得个人CA证书。异地申请的企业只要将相关资料盖上公章邮寄过去，并交足相关费用即可获得CA证书。造成这种状况的一个重要原因是：要在全国建立几千个面对面的审核点具有很大的难度。因而建立严格的审核流程是十分困难的。然而网络公证可以彻底解决这一困惑。网络公证可以将传统的公证证明应用到 CA证书的身份审核上。其具体解决办法是：将遍布全国的数千家公证机构通过因特网联成一个统一中国公证网络，以实现将社会公众、公证客户、公证机构与公证相联结。也就是说，通过中国公证网，将遍布全国各地的公证机构有机地联在一起，彻底解决了异地审核的难度，并确保了网络身份的真实性。当用户需要申请CA证书时，即可到所在地的公证机构进行离线的面对面审核，也即RA审核。该审核严格按照公证机构的审核要求与流程进行，公证机构自然地对所审核的内容承担相应的法律责任，经过RA审核后的资料统一进入公证机构的中心数据库中进行安全存放。这样，经网络公证RA审核后所颁发的CA证书就自然地与其真实身份相对应，以后在电子商务交易中的网上签名行为即为其真实持有人所为。进行RA审核的人员不是普通公民，而是现行法律体系中承担法定审核工作的公证员，他们负有审核身份的法律责任，行使的是国家的证明权。由此可见，网络公证所构建的网络真实身份审核体系，可以与CA中心以及其他公司相配合，为其发放CA证书提供审核环节的服务，以解决其审核布点困难以及审核者身份不合法的问题。
　　就技术而言，CA在现阶段的应用已趋成熟，PKI公钥管理体系也很实用。它通过给个人、企事业单位及政府机构签发公用密钥与私人密钥组成的数字证书，来确认电子商务活动中交易各方的身份，并通过加解密方法来实现网络信息传输中的签名问题，以确保交易安全性。
　　
　　保存网络中的数据，使之成为有效的法律证据
　　在确定网络身份后，交易双方就进入了实质谈判，以达成双方认可的条款。在传统交易中，协议的合同化过程是在书面合同上签字盖章，一旦交易双方日后在履约中出现争议，就可以以当初所签署的书面合同作为证据来解决存在的争议。与此对应，在虚拟的网络交易中，也必须能让虚拟的交易数据得以固化并在日后可能发生的纠纷中作为证据为法院所采证。网络公证方案可以采用的解决方法是提供第三方数据保管服务。当交易双方在网上达成协议后，各自用CA证书对合同进行加密签名，并将合同的电文数据内容提交到网络公证的数据保存中心。由于进行了加密签名，数据保存中心也无法打开并知悉当初的交易合同，这就真正确保了其安全性。事实上，由于第三方公正方的参与，使得电子商务交易得以在制度层面得到安全保障。交易双方一旦出现纠纷，通过解密打开的合同将由公证机构出具其保存的公证书证据。而公证文书在法庭上是可以作为证据直接被采纳的。
　　
　　网上合同履行的提存服务
　　电子商务交易的信任危机除了主体身份确认危机、交易数据的证据危机外，网络交易履行中的支付信任更是阻碍网络交易发展的阻力。双方达成交易意向后，买家担心的是能否准确、及时地收到货物；卖家担心的是交了货后能否准确、快捷地收到货款。也就是说，网络交易双方共同关心着网络合同履行中的信用安全问题。网络公证可以依照传统的提存公证思路，结合网络技术展开网络提存业务。在网络电子商务交易中，买方不必将货款直接交付卖方，而是将货款提存到网络公证提存中心，在其收到货物并签署完相关单据后，提存中心再将货款支付给卖方。这样，网络公证提供的第三方提存服务彻底解决了网络交易双方对网上合同履行的困惑，尤其是支付的担忧。法律制度和传统贸易中早已有的公证提存方式对网络世界中的交易尤为适用。
　　可以预见，随着信息安全领域的标准化、法制化建设的日益完善，网络公证依托中国公证网络，运用公证的国家证明力所构建的第三方信用与安全服务以及网上合同履行的提存服务，彻底解决了网络交易主体对电子商务的信用问题，也必将极大地推动我国电子商务的发展。

　　参考资料：
　　1.姜新、汪秉文、李斌，电子支付网络系统中的保密通信研究，计算机应用与软件，2002年第9期
　　2.刘道广、付丰、韩德志，电子商务技术的探析，微机发展，2001年第3期

转载请注明来自：http://www.zazhifabiao.com/lunwen/dzxx/wdz/31319.html