第五章电子认证法律制度课件

1、第五章第五章 电子认证法律制度电子认证法律制度 第一节、电子认证概述第一节、电子认证概述 一、电子认证的概念和性质一、电子认证的概念和性质 （一）、电子认证的概念（一）、电子认证的概念 认证是指权威的、中立的、没有直接利害关认证是指权威的、中立的、没有直接利害关系的第三人或机构、对当事人提出的包括文件、系的第三人或机构、对当事人提出的包括文件、身份物品及其产地、品质等具有法律意义的事实身份物品及其产地、品质等具有法律意义的事实与资格、经审查属实后作出的证明与资格、经审查属实后作出的证明。 电子认证指一个电子认证指一个国家承认国家承认的认证机构通过颁的认证机构通过颁发数字证书和管理公共密匙来检验

2、带有电子签名发数字证书和管理公共密匙来检验带有电子签名的文件所有人及其内容的真实性的一种行为。的文件所有人及其内容的真实性的一种行为。 电子认证服务是指为电子签名相关各方提电子认证服务是指为电子签名相关各方提供真实性，可靠性验证的公众服务活动供真实性，可靠性验证的公众服务活动p74 。 电子签名只是从技术手段上对签名人身份做电子签名只是从技术手段上对签名人身份做出辨认及能对签署文件的发件人与发出电子文件出辨认及能对签署文件的发件人与发出电子文件所属关系做出确认的方式。但如何解决上文提到所属关系做出确认的方式。但如何解决上文提到判定公共密钥的确定性以及私人密钥持有者否认判定公共密钥的确定性以及私

3、人密钥持有者否认签发文件的可能性等问题，则是电子签名技术本签发文件的可能性等问题，则是电子签名技术本身无法解决的问题。换言之，这里面有一个解决身无法解决的问题。换言之，这里面有一个解决私人密钥持有人私人密钥持有人信用度信用度的问题。这里面包括两种的问题。这里面包括两种可能性。可能性。一是密钥持有人主观恶意，即有意识否一是密钥持有人主观恶意，即有意识否认自己做出的行为；认自己做出的行为；二是客观原因，即发生密钥二是客观原因，即发生密钥丢失、被窃或被解密情况，使发件人或收件人很丢失、被窃或被解密情况，使发件人或收件人很难解释归责问题。难解释归责问题。（二）、电子认证的分类（二）、电子认证的分类 1

4、、站点认证。交易中的商务信息都有保密的、站点认证。交易中的商务信息都有保密的要求，如信用卡和账号和用户名被人知道，就有要求，如信用卡和账号和用户名被人知道，就有可能被盗用，订货和付款和信息被竞争对手获悉，可能被盗用，订货和付款和信息被竞争对手获悉，就可能失去机会，因此，在商务信息传播中均有就可能失去机会，因此，在商务信息传播中均有加密的要求，为了确保通讯安全，在正式传送数加密的要求，为了确保通讯安全，在正式传送数据电文之前，应首先认证通讯是否是在意定的两据电文之前，应首先认证通讯是否是在意定的两个站点间进行，这一过程称为站点认证。个站点间进行，这一过程称为站点认证。 2、数据电文认证、数据电文

5、认证 经过站点认证后，收发双方便可进行电子通信，经过站点认证后，收发双方便可进行电子通信，而数据电文这种认证保证收方能够确定：这个电讯而数据电文这种认证保证收方能够确定：这个电讯是由是由确认方确认方发出的，该电讯的内容发出的，该电讯的内容有无篡改或发生有无篡改或发生错误；该电讯传送给确定的收方错误；该电讯传送给确定的收方，从而使每个通信，从而使每个通信者能够验证每份电讯的来源，内容、时间性和目的者能够验证每份电讯的来源，内容、时间性和目的地的真实性地的真实性 3、电讯源的认证、电讯源的认证 网络交易必须保证发送者和接收者之间交换信网络交易必须保证发送者和接收者之间交换信息的保密性。电子商务作为

6、一种子贸易手段，其信息的保密性。电子商务作为一种子贸易手段，其信息直接代表着企业的商业机密。因此，要预防非法息直接代表着企业的商业机密。因此，要预防非法的信息存取和信息在传输过程中被非法窃取，确保的信息存取和信息在传输过程中被非法窃取，确保只有合法用户才能看到数据，防止信息泄密事件发只有合法用户才能看到数据，防止信息泄密事件发生。实现电讯源的认证既可以收发双方共享的数据生。实现电讯源的认证既可以收发双方共享的数据加密密钥，来认证电讯源，也可以收发双方共享的加密密钥，来认证电讯源，也可以收发双方共享的保密的通行字为基础，来认证电讯源。保密的通行字为基础，来认证电讯源。 4、身份认证。、身份认证。

7、 商家主要考虑客户端不能是骗子，而客户也会商家主要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个有意欺诈的黑店，因此能担心网上的商店不是一个有意欺诈的黑店，因此能方便而可靠地确认对方身份是交易的前提，其目的方便而可靠地确认对方身份是交易的前提，其目的在于识别合法用户和非法用户，从而阻止非法用户在于识别合法用户和非法用户，从而阻止非法用户访问系统。这对于确保系统和数据的安全保密是极访问系统。这对于确保系统和数据的安全保密是极其重要的。其重要的。二二.电子认证与电子签名的关系电子认证与电子签名的关系P75 电子签名主要用于保证数据电讯本身的安全，电子签名主要用于保证数据电讯本身的安全，使之

8、不被否认或篡改，是一种使之不被否认或篡改，是一种技术上技术上的手段保证，的手段保证，但在保证交易关系的但在保证交易关系的信用安全方面、保证交易人的信用安全方面、保证交易人的真实性和可靠性方面却无能为力。真实性和可靠性方面却无能为力。 而电子认证则侧重于对交易人身份及信用度的而电子认证则侧重于对交易人身份及信用度的考察，使之与实际上的数据电文的发、收人相一致。考察，使之与实际上的数据电文的发、收人相一致。因此，如果说电子签名是从因此，如果说电子签名是从技术手段技术手段上来保障电子上来保障电子商务的安全，则电子认证则是一种商务的安全，则电子认证则是一种组织制度组织制度上的保上的保证。证。电子签名侧

9、重于解决身份辨别与文件归属问题，而电子签名侧重于解决身份辨别与文件归属问题，而电子认证解决的是电子认证解决的是密钥及其持有人的可信度密钥及其持有人的可信度问题。问题。由此可见，电子签名的安全使用必须配合安全电子由此可见，电子签名的安全使用必须配合安全电子认证机构体系的建立。认证机构体系的建立。事实上，几乎所有的电子签名立法都比较详细地规事实上，几乎所有的电子签名立法都比较详细地规定了电子签名的认证。而很多国家，比如美国、加定了电子签名的认证。而很多国家，比如美国、加拿大、日本等都建立了配套的公共密钥基础设施拿大、日本等都建立了配套的公共密钥基础设施PKI。这样，网络上电子签名与安全电子认证的相

10、互结合这样，网络上电子签名与安全电子认证的相互结合就解决了由于电子签名技术所无法解决的就解决了由于电子签名技术所无法解决的信用度信用度的的问题。问题。认证机构提供的认证服务活动是建立在认证机构提供的认证服务活动是建立在PKI体体系之上的，它为技术平台，提供加密和数系之上的，它为技术平台，提供加密和数字签名等密码服务及所必须的密钥和证书字签名等密码服务及所必须的密钥和证书管理体系。管理体系。 完整的完整的PKI系统系统包括认证机构、数字证书库，密钥备份及恢复系统，证书作废系统，应用接口。 PKI的核心是CA，CA是受用户信任并提供用户身份验证的权威机构，进行密钥管理和数字证书的签发，从而证明公钥

11、主体的身份及其公钥的匹配关系。 Ca的主要职责的主要职责：颁发、更新、查询、作废、归档 具体包括：P76 CA是多层次的分组结构。 电子认证机构所提供的服务内容： 1、制作、颁发、管理电子签名认证证书 2、确认签发的电子签名认证证书的真实性 3、提供电子签名认证证书目录信息查询服务 4、提供电子签名认证证书状态信息查询服务 一、一、第二节第二节 认证机构的设立与管理规范认证机构的设立与管理规范 国际上对电子认证服务的管理大概分为三种模式：78 （一）强制性许可 （二）非强制性许可 （三）完全依靠市场调节二、认证机构的设立原则二、认证机构的设立原则 一）、权威性原则一）、权威性原则 二）、真实性

12、原则二）、真实性原则 三）、保密性原则三）、保密性原则 四）、迅捷性原则四）、迅捷性原则 五）、经济性原则五）、经济性原则 三、认证机构具备以下的条件：三、认证机构具备以下的条件： 1认证机构必须是一个独立的法律实体。认证机构必须是一个独立的法律实体。 2认证机构还必须是中立性的。认证机构还必须是中立性的。 3、必须是具有可靠性、权威性，不直接参与、必须是具有可靠性、权威性，不直接参与用户与依赖方间的商事交易，不以营利为目的用户与依赖方间的商事交易，不以营利为目的 4、被交易的当事人所接受，在社会上具有、被交易的当事人所接受，在社会上具有相当的影响力和可信度。相当的影响力和可信度。四、申请电子

13、认证服务许可，应该向信息产业部提四、申请电子认证服务许可，应该向信息产业部提交下列材料交下列材料 1 1、书面的申请、书面的申请 2 2、专业技术人员和管理人员的证明、专业技术人员和管理人员的证明 3 3、资金和经营场所的证明、资金和经营场所的证明 4 4、国家有关的认证检测机构出具的技术设备、物、国家有关的认证检测机构出具的技术设备、物理环境符合国家有关的安全标准的凭证理环境符合国家有关的安全标准的凭证 5 5、国家密码管理机构同意使用密码的证明文件、国家密码管理机构同意使用密码的证明文件 五、认证机构的设立条件五、认证机构的设立条件我国我国电子签名法电子签名法第第17条对提供电子认证服条对

14、提供电子认证服务的机构应当具备下列条件：务的机构应当具备下列条件：1依法成立的法人组织；依法成立的法人组织；2具有与认证服务相适应的专业技术人员和具有与认证服务相适应的专业技术人员和管理人员；管理人员；3具有与提供认证服务相适应的资金和经营具有与提供认证服务相适应的资金和经营场所，具备为用户提供认证服务和承担风险、责场所，具备为用户提供认证服务和承担风险、责任的能力；任的能力； 4具有符合国家安全标准的技术、设备；具有符合国家安全标准的技术、设备；5法律、行政法规规定的其他条件。法律、行政法规规定的其他条件。国家行政主管机关对认证机构的资质审查主要集中国家行政主管机关对认证机构的资质审查主要集

15、中于认证机构的经营条件方面，从以下几个方面进行于认证机构的经营条件方面，从以下几个方面进行审查：审查： （1）、认证人员的资格）、认证人员的资格 （2）、资金和经营场所）、资金和经营场所 （3）、设备与系统安全性）、设备与系统安全性 （4）、密码使用资格）、密码使用资格 （5）、内部管理）、内部管理实现不同认证机构颁发的数字证书的互通，实现不同认证机构颁发的数字证书的互通，实现跨国发展电子商务，最高效的方法是实现跨国发展电子商务，最高效的方法是通过认证机构之间的交叉认证。通过认证机构之间的交叉认证。 交叉认证交叉认证概念 P82 国际间对于外国认证证书的承认方式：83 1、通过国际条约或双边协

16、定来处理 2、行政核准方式 3、认证担保方式 数字证书的数字证书的PKIPKI解决方案解决方案 PKI(Public Key Infrastructure PKI(Public Key Infrastructure 公钥结构公钥结构) )是利用公钥加解密技术来实现信息安全的技术，代是利用公钥加解密技术来实现信息安全的技术，代表了当今世界网络安全技术的最高水平。表了当今世界网络安全技术的最高水平。PKIPKI方案方案的核心就是的核心就是数字证书数字证书。第三节、认证机构的证书业务规范第三节、认证机构的证书业务规范一、证书的颁发与公布一、证书的颁发与公布数字证书数字证书 在在InternetInt

17、ernet上从事一些需要保密的业务时必备上从事一些需要保密的业务时必备的的“个人身份证个人身份证”，由权威机构发行，在网络通信，由权威机构发行，在网络通信中标志通信各方身份（中标志通信各方身份（数字签名与数字证书相当于数字签名与数字证书相当于现实生活中的自然人与身份证的关系现实生活中的自然人与身份证的关系）的一系列数）的一系列数据。据。 网络上通信各方向网络上通信各方向PKIPKI的数字证书颁发机构申请数字的数字证书颁发机构申请数字证书，通过证书，通过PKIPKI系统建立的一套严密的身份认证系统系统建立的一套严密的身份认证系统来保证：来保证： 1 1信息除发送方和接受方外不被其他人截取信息除发

18、送方和接受方外不被其他人截取 2 2信息在传输过程中不被篡改信息在传输过程中不被篡改 3 3发送方能够通过数字证书来确认接受方的身份发送方能够通过数字证书来确认接受方的身份 4 4发送方对于自己的信息不能抵赖发送方对于自己的信息不能抵赖 签名认证证书应当准确无误，并应当载明下列内容：签名认证证书应当准确无误，并应当载明下列内容： （一）电子认证服务提供者名称；（一）电子认证服务提供者名称； （二）证书持有人名称；（二）证书持有人名称； （三）证书序列号；（三）证书序列号； （四）证书有效期；（四）证书有效期； （五）证书持有人的电子签名验证数据；（五）证书持有人的电子签名验证数据； （六）电子

19、认证服务提供者的电子签名；（六）电子认证服务提供者的电子签名； （七）国务院信息产业主管部门规定的其他内容（七）国务院信息产业主管部门规定的其他内容。证书格式版本证书序列号码(证书识别号)签字法识别符(发证机构)证书发行机构名(X500名)使用期限(起止日期、时间)主体名(X500 名)算法识别公钥值主体公司信息发证者身份识别符主体者身份识别符证实机构数字签字证书数字签字证实机构的签字密钥图12-5 数字证书的组成 数字证书的格式数字证书的格式 版本、版本、 序列号序列号 签名算法签名算法 颁发者颁发者 使用者使用者 标识标识 有效期有效期四、证书的管理四、证书的管理 第第22条条 电子认证服

20、务提供者应当保证电子签名认证证电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。证实或者了解电子签名认证证书所载内容及其他有关事项。 第第19条条 电子认证服务提供者应当制定、公布符合国家有电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则，并向国务院信息产业主管部门关规定的电子认证业务规则，并向国务院信息产业主管部门备案。备案。 电子认证业务规则应当包括责任范围、作业操作规范、信电子认证业务规则应当包括责任范围、作业操作规范、信息安

21、全保障措施等事项。息安全保障措施等事项。 第第25条条 国务院信息产业主管部门依照本法制定电子认证国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法，对电子认证服务提供者依法实施监服务业的具体管理办法，对电子认证服务提供者依法实施监督管理。督管理。 四、证书的暂停、撤销、终止与保存四、证书的暂停、撤销、终止与保存 电子认证服务管理办法电子认证服务管理办法第二十九条第二十九条 有下列情况之一的，电子认证服务机构可以撤销其签发的有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证证书：电子签名认证证书：（一）证书持有人申请撤销证书。（一）证书持有人申请撤销证书。（二）证书持有

22、人提供的信息不真实。（二）证书持有人提供的信息不真实。（三）证书持有人没有履行双方合同规定的义务。（三）证书持有人没有履行双方合同规定的义务。（四）证书的安全性不能得到保证。（四）证书的安全性不能得到保证。（五）法律、行政法规规定的其他情况。（五）法律、行政法规规定的其他情况。第三十一条电子认证服务机构更新或者撤销电子签名认第三十一条电子认证服务机构更新或者撤销电子签名认证证书时，应当予以公告。证证书时，应当予以公告。 电子签名法电子签名法 第二十三条第二十三条 电子认证服务提供者拟暂停或电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务者终止电子认证服务的，应当在暂停或者

23、终止服务九十日九十日前，前，就业务承接及其他有关事项通知有关各方。就业务承接及其他有关事项通知有关各方。 电子认证服务提供者拟暂停或者终止电子认证服务的，电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务应当在暂停或者终止服务六十日六十日前向国务院信息产业主管部前向国务院信息产业主管部门报告，并与其他电子认证服务提供者就业务承接进行协商，门报告，并与其他电子认证服务提供者就业务承接进行协商，作出妥善安排。作出妥善安排。 电子认证服务提供者被依法吊销电子认证许可证书的，电子认证服务提供者被依法吊销电子认证许可证书的，其业务承接事项的处理按照国务院其业务承接事项的处理按照国务院

24、信息产业主管部门信息产业主管部门的规定的规定执行。执行。 第二十四条第二十四条 电子认证服务提供者应当妥善电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后少为电子签名认证证书失效后五年五年。 第四节、认证机构的法律责任第四节、认证机构的法律责任 一、认证服务机构与当事人之间的法律关系一、认证服务机构与当事人之间的法律关系 二、认证机构在认证法律关系中的义务二、认证机构在认证法律关系中的义务 三、认证机构的业务风险与过错责任三、认证机构的业务风险与过错责任 四、电子认证服务机构的免责条件四、电子认证服务机构的免责条件 一

25、般情况下，电子认证服务活动涉及三方主体：证一般情况下，电子认证服务活动涉及三方主体：证书持有人、认证服务机构、证书信赖人。书持有人、认证服务机构、证书信赖人。一、认证服务机构与当事人之间的法律关系一、认证服务机构与当事人之间的法律关系 （1 1）认证服务机构与数字证书持有人之间的法律）认证服务机构与数字证书持有人之间的法律关系关系 认证服务机构与其数字证书持有人之间是合同关系。认证服务机构与其数字证书持有人之间是合同关系。 当事人的合同关系表现在认证证书上。当事人在线当事人的合同关系表现在认证证书上。当事人在线或离线申请数字证书，认证服务机构允诺，合同即或离线申请数字证书，认证服务机构允诺，合同即成立。成立。 合同的标的是认证机构的服务行为，双方的权利义合同的标的是认证机构的服务行为，双方的权利义务载明在认证证书上。数字证书本身不是合同，但务载明在认证证书上。数字证