第5章电子认证法律制度.pptVIP

第5章 电子认证法律制度 5.1 电子认证概述 5.1.1 电子认证的概念 电子认证是以特定的机构对电子签名及其签署者的真实性进行验证的具有法律意义的服务。 5.1.2 电子认证的作用与意义 1. 电子认证的作用 1) 确认交易双方的身份和交易内容 2) 防止电子签名人对已进行认证的信息予以否认 3) 防止电子认证交易当事方以外的人实施欺诈行为 2. 电子认证的意义 1) 保证电子交易安全 2) 促进电子商务的发展 5.1.3 电子认证的方法、分类和技术 1. 电子认证的方法 1) 用户身份认证的传统方法 2) 基于智能卡的用户身份认证方法 3) 口令认证方法 4) 使用公开密钥签名算法的挑战响应认证方法 5) 使用电子签名和双重电子签名的身份认证方法 2. 电子认证的分类 1) 根据电子认证机构的功能及其认证的对象 (1) 站点认证 (2) 数据电文认证 (3) 身份认证 2) 根据电子认证机构提供的不同等级的服务 (1) 身份认证 (2) 授权认证 (3) 执行认证 (4) 时间标识 3) 依据认证的主体不同 (1) 双方认证 (2) 第三方认证 3. 电子认证的技术 1) 数字认证技术 数字认证就是利用密码学的方法实现认证，最普遍的数字认定技术就是采用口令认证。 2) 生物认证技术 即根据使用者的生物特征实现认证，如人脸认证、指纹认证、虹膜认证、掌纹认证、声音认证、步态识别、手工签名认证等。 5.1.4 电子认证的机构 1. 电子认证机构的概念 2. 电子认证机构的特征 1) 独立性 2) 权威性 3) 中立性与可靠性 4) 非营利性 3. 电子认证机构的设立与管理 1) 电子认证机构的设立 (1)人员。 (2) 设备。 (3) 营业场所。 (4) 经营担保。 (5) 认证机构的许可。 2) 电子认证机构的管理 (1) 外部管理，包括制定规范、业务监督和审计监督。 (2) 内部管理，涉及机构记录的披露、机构的内部系统要求、机构所从事危险活动的禁止及机构主体变更后的业务承接。 5.1.5 电子认证的程序 (1) 发信人在进行电子签名前，利用密钥制造系统产生公钥，私钥由发信人自己保管。 (2) 电子签名人向CA认证中心申请该认证中心登记并由其签发认证证书。 (3) 电子认证机构对电子签名人的申请进行审查。如符合上述要求，则发给电子签名人一个“认证证书” 。 (4) 发信人将电子签名文件和认证证书一起发给收信方。 (5) 收信人接到电子签名文件和认证证书后，根据认证证书中的内容，向相应的认证机构提出申请，请求认证机构将发信人的公钥发给自己。 (6) 收信人通过对公钥及电子签名的验证即可确认电子签名文件的真实性和可信性。 5.1.6 电子认证的效力 1. 立法形式 (1) 以直接的立法形式明示直接承认可被接受的技术方案。 (2) 授权政府行政主管部门制定相应规则。 (3) 制定明确的设立及管理CA机构的条件及程序。 2. 协议形式 在此情况下，电子认证业务不纯粹由CA机构独享，银行、ISP公司均可扮演电子认证机构的角色。 5.2 认证证书业务规范 5.2.1 认证证书概述 1．认证证书的概念 认证证书又称数字证书(Digital Certificate，Digital ID)，是指用电子手段证实用户的身份、交易信息内容及其对网络资源的访问权限的特定化信息。一般而言，认证证书分为客户证书、商家证书、网关证书、认证机构系统证书几种类型。 2. 认证证书的等级 在认证业务中，认证机构可以根据客户的不同需求而提供不同档次服务等级的认证证书。认证机构一般根据证书的等级、证书政策，标明其可提供的不同的选择性的服务。 5.2.2 证书政策与证书政策实施说明 1. 概念 证书政策(Certification?Policy，CP)由一组规定组成，用以指明证书用于特定社团或具有相同安全要求的应用类型。 2. 证书政策和证书政策实施说明的关系 证书政策侧重于说明证书主张的内容，而证书政策说明则侧重于说明该主张实现的具体过程。 3. 证书政策和证书政策实施说明的制定过程 (1) 计划阶段。 (2) 开展阶段。 (3) 维护阶段。 (4) 发布阶段。 4. 证书政策和证书政策实施说明的基本内容 1) 定义 2) 缩略语 3) 概述 4) 内容 5) 认证和授权 6) 操作需求 7) 物理、程序和人员安全控制 8) 技术安全控制 9) 证书及CRL配置文件 10) 规格管理