第五章电子认证法律制度PPT课件.ppt

第五章电子认证法律制度 第一节 电子认证概述一 电子认证的概念和性质 一 电子认证的概念认证是指权威的 中立的 没有直接利害关系的第三人或机构 对当事人提出的包括文件 身份物品及其产地 品质等具有法律意义的事实与资格 经审查属实后作出的证明 电子认证指一个国家承认的认证机构通过颁发数字证书和管理公共密匙来检验带有电子签名的文件所有人及其内容的真实性的一种行为 电子认证服务是指为电子签名相关各方提供真实性 可靠性验证的公众服务活动p74 电子签名只是从技术手段上对签名人身份做出辨认及能对签署文件的发件人与发出电子文件所属关系做出确认的方式 但如何解决上文提到判定公共密钥的确定性以及私人密钥持有者否认签发文件的可能性等问题 则是电子签名技术本身无法解决的问题 换言之 这里面有一个解决私人密钥持有人信用度的问题 这里面包括两种可能性 一是密钥持有人主观恶意 即有意识否认自己做出的行为 二是客观原因 即发生密钥丢失 被窃或被解密情况 使发件人或收件人很难解释归责问题 二 电子认证的分类 1 站点认证 交易中的商务信息都有保密的要求 如信用卡和账号和用户名被人知道 就有可能被盗用 订货和付款和信息被竞争对手获悉 就可能失去机会 因此 在商务信息传播中均有加密的要求 为了确保通讯安全 在正式传送数据电文之前 应首先认证通讯是否是在意定的两个站点间进行 这一过程称为站点认证 2 数据电文认证经过站点认证后 收发双方便可进行电子通信 而数据电文这种认证保证收方能够确定 这个电讯是由确认方发出的 该电讯的内容有无篡改或发生错误 该电讯传送给确定的收方 从而使每个通信者能够验证每份电讯的来源 内容 时间性和目的地的真实性 3 电讯源的认证网络交易必须保证发送者和接收者之间交换信息的保密性 电子商务作为一种子贸易手段 其信息直接代表着企业的商业机密 因此 要预防非法的信息存取和信息在传输过程中被非法窃取 确保只有合法用户才能看到数据 防止信息泄密事件发生 实现电讯源的认证既可以收发双方共享的数据加密密钥 来认证电讯源 也可以收发双方共享的保密的通行字为基础 来认证电讯源 4 身份认证 商家主要考虑客户端不能是骗子 而客户也会担心网上的商店不是一个有意欺诈的黑店 因此能方便而可靠地确认对方身份是交易的前提 其目的在于识别合法用户和非法用户 从而阻止非法用户访问系统 这对于确保系统和数据的安全保密是极其重要的 二 电子认证与电子签名的关系P75 电子签名主要用于保证数据电讯本身的安全 使之不被否认或篡改 是一种技术上的手段保证 但在保证交易关系的信用安全方面 保证交易人的真实性和可靠性方面却无能为力 而电子认证则侧重于对交易人身份及信用度的考察 使之与实际上的数据电文的发 收人相一致 因此 如果说电子签名是从技术手段上来保障电子商务的安全 则电子认证则是一种组织制度上的保证 电子签名侧重于解决身份辨别与文件归属问题 而电子认证解决的是密钥及其持有人的可信度问题 由此可见 电子签名的安全使用必须配合安全电子认证机构体系的建立 事实上 几乎所有的电子签名立法都比较详细地规定了电子签名的认证 而很多国家 比如美国 加拿大 日本等都建立了配套的公共密钥基础设施PKI 这样 网络上电子签名与安全电子认证的相互结合就解决了由于电子签名技术所无法解决的信用度的问题 认证机构提供的认证服务活动是建立在PKI体系之上的 它为技术平台 提供加密和数字签名等密码服务及所必须的密钥和证书管理体系 完整的PKI系统包括认证机构 数字证书库 密钥备份及恢复系统 证书作废系统 应用接口 PKI的核心是CA CA是受用户信任并提供用户身份验证的权威机构 进行密钥管理和数字证书的签发 从而证明公钥主体的身份及其公钥的匹配关系 Ca的主要职责 颁发 更新 查询 作废 归档具体包括 P76CA是多层次的分组结构 电子认证机构所提供的服务内容 1 制作 颁发 管理电子签名认证证书2 确认签发的电子签名认证证书的真实性3 提供电子签名认证证书目录信息查询服务4 提供电子签名认证证书状态信息查询服务 一 认证机构概述认证机构的英文为CertificationAuthority 简称CA 亦称为认证中心 验证机构或凭证管理中心等 为了保证电子签名的真实性 保障交易安全 发件人在做电子签名前 签署者必须将他的公共密钥送到经合法注册 具有从事电子认证服务许可证的第三方 即电子认证机构 CA认证中心 登记并由该认证中心签发电子印鉴证明 第二节认证机构的设立与管理规范 国际上对电子认证服务的管理大概分为三种模式 78 一 强制性许可 二 非强制性许可 三 完全依靠市场调节 二 认证机构的设立原则 一 权威性原则二 真实性原则三 保密性原则四 迅捷性原则五 经济性原则 三 认证机构具备以下的条件 1 认证机构必须是一个独立的法律实体 2 认证机构还必须是中立性的 3 必须是具有可靠性 权威性 不直接参与用户与依赖方间的商事交易 不以营利为目的4 被交易的当事人所接受 在社会上具有相当的影响力和可信度 四 申请电子认证服务许可 应该向信息产业部提交下列材料 1 书面的申请2 专业技术人员和管理人员的证明3 资金和经营场所的证明4 国家有关的认证检测机构出具的技术设备 物理环境符合国家有关的安全标准的凭证5 国家密码管理机构同意使用密码的证明文件 五 认证机构的设立条件我国 电子签名法 第17条对提供电子认证服务的机构应当具备下列条件 1 依法成立的法人组织 2 具有与认证服务相适应的专业技术人员和管理人员 3 具有与提供认证服务相适应的资金和经营场所 具备为用户提供认证服务和承担风险 责任的能力 4 具有符合国家安全标准的技术 设备 5 法律 行政法规规定的其他条件 国家行政主管机关对认证机构的资质审查主要集中于认证机构的经营条件方面 从以下几个方面进行审查 1 认证人员的资格 2 资金和经营场所 3 设备与系统安全性 4 密码使用资格 5 内部管理 实现不同认证机构颁发的数字证书的互通 实现跨国发展电子商务 最高效的方法是通过认证机构之间的交叉认证 交叉认证概念P82 国际间对于外国认证证书的承认方式 831 通过国际条约或双边协定来处理2 行政核准方式3 认证担保方式 数字证书的PKI解决方案 PKI PublicKeyInfrastructure公钥结构 是利用公钥加解密技术来实现信息安全的技术 代表了当今世界网络安全技术的最高水平 PKI方案的核心就是数字证书 第三节 认证机构的证书业务规范 一 证书的颁发与公布 数字证书 在Internet上从事一些需要保密的业务时必备的 个人身份证 由权威机构发行 在网络通信中标志通信各方身份 数字签名与数字证书相当于现实生活中的自然人与身份证的关系 的一系列数据 网络上通信各方向PKI的数字证书颁发机构申请数字证书 通过PKI系统建立的一套严密的身份认证系统来保证 1 信息除发送方和接受方外不被其他人截取2 信息在传输过程中不被篡改3 发送方能够通过数字证书来确认接受方的身份4 发送方对于自己的信息不能抵赖 签名认证证书应当准确无误 并应当载明下列内容 一 电子认证服务提供者名称 二 证书持有人名称 三 证书序列号 四 证书有效期 五 证书持有人的电子签名验证数据 六 电子认证服务提供者的电子签名 七 国务院信息产业主管部门规定的其他内容 图12 5数字证书的组成 数字证书的格式 版本 序列号签名算法颁发者使用者标识有效期 四 证书的管理 第22条电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整 准确 并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项 第19条电子认证服务提供者应当制定 公布符合国家有关规定的电子认证业务规则 并向国务院信息产业主管部门备案 电子认证业务规则应当包括责任范围 作业操作规范 信息安全保障措施等事项 第25条国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法 对电子认证服务提供者依法实施监督管理 四 证书的暂停 撤销 终止与保存 电子认证服务管理办法 第二十九条有下列情况之一的 电子认证服务机构可以撤销其签发的电子签名认证证书 一 证书持有人申请撤销证书 二 证书持有人提供的信息不真实 三 证书持有人没有履行双方合同规定的义务 四 证书的安全性不能得到保证 五 法律 行政法规规定的其他情况 第三十一条电子认证服务机构更新或者撤销电子签名认证证书时 应当予以公告 电子签名法 第二十三条电子认证服务提供者拟暂停或者终止电子认证服务的 应当在暂停或者终止服务九十日前 就业务承接及其他有关事项通知有关各方 电子认证服务提供者拟暂停或者终止电子认证服务的 应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告 并与其他电子认证服务提供者就业务承接进行协商 作出妥善安排 电子认证服务提供者被依法吊销电子认证许可证书的 其业务承接事项的处理按照国务院信息产业主管部门的规定执行 第二十四条电子认证服务提供者应当妥善保存与认证相关的信息 信息保存期限至少为电子签名认证证书失效后五年 第四节 认证机构的法律责任 一 认证服务机构与当事人之间的法律关系二 认证机构在认证法律关系中的义务三 认证机构的业务风险与过错责任四 电子认证服务机构的免责条件 一般情况下 电子认证服务活动涉及三方主体 证书持有人 认证服务机构 证书信赖人 一 认证服务机构与当事人之间的法律关系 1 认证服务机构与数字证书持有人之间的法律关系认证服务机构与其数字证书持有人之间是合同关系 当事人的合同关系表现在认证证书上 当事人在线或离线申请数字证书 认证服务机构允诺 合同即成立 合同的标的是认证机构的服务行为 双方的权利义务载明在认证证书上 数字证书本身不是合同 但它是合同存在的证明 2 认证服务机构与证书信赖人之间的法律关系证书信赖人 是指相信电子签名证书 并以该证书上所确定的证书持有人为交易对方 而进行交易的当事人 认证服务机构对于信赖证书的交易人 应承担公正信息发布的义务 而不能因未接受其服务报酬 而偏袒与之建立了服务合同的证书持有人一方 证书信赖人本身可能是 也可能不是认证服务机构的用户 他与认证服务机构 要比用户与认证服务机构之间的关系更为复杂 当证书信赖人不是认证服务机构的用户时 他与认证服务机构之间并无服务合同存在 但是 当他利用证书而与证书持有人交易时 却