电子签字与认证法律制度介绍.ppt

内 容 提 要 第一节 电子签字 第二节 电子签字立法发展 第三节 电子签字的适用范围 第四节 电子商务安全认证 第五节 电子商务认证法律关系 第一节 电子签字 第四节 电子商务安全认证 第五节 电子商务认证法律关系 我国《电子签名法》的立法原则 功能等同原则 技术中立原则 非歧视原则 意思自制原则 有限中立原则 * 强调安全保障的原则： 物理安全、系统、网络、应用、管理安全； * 实现平稳过渡的原则： * 保障电子认证服务的有效性、有序性和连续性的原则：报告制度、指定承接、协商承接；业务委托； * 非特殊许可，不设限制和规划，市场选择； * 成立条件，3000万资金——800万机房，500万设备，600万人员，800万运营，300万风险. 我国《电子签名法》的影响 第三节 电子签字的适用范围 和消费者保护 电子签字受到局限的主要方面有： 1．需要在物体本身上标记签字的场合； 2．与身份关系相关的场合； 3．与诉讼程序相关的场合； 4．法律有特别规定的事项。 一、电子签字的适用范围 为保护消费者的合法利益，商家应当明确以下事项： （一）商家应当告知消费者使用电子签字的权利义务 1）告知消费者可以同意使用电子签字也可以不同意使用电子签字。 2）告知消费者有权撤回对使用电子签字的同意。 3）告知消费者可以查阅以电子签字方式签署的文件。 二、电子签字与消费者权利保护 （二）在告知消费者的权利后应征得消费者的同意 同意可以以电子方式做出，也可以采用其它方式，只要做出的行为合理即可。 （三）商家应当特别提示消费者的事项 1）告知采用该种电子签字方式对电脑软硬件的要求。 2）告知电子签字方式发生改变后，对消费者的权利实现的影响以及如何补救。 一、基本概念 电子认证—— 广义：包括认证机构（CA）、电子认证行为和数字证书在内的一整套法律制度。 狭义：电子认证行为，即由认证机构采用电子方法以证明电子签字持有人真实身份或电子信息真实的行为。 数字证书—— 由认证机构签发的数据电文或相关记录以确认持有特定密钥者身份的文件。 安全体系核心：基于PKI的数字证书 有了数字证书，当事人在从事交易时，向相对方提交一个由认证机构签发的包含个人身份的证书，使对方相信自己的身份。 认证机构—— 从事颁发为电子签字的目的而使用的与加密密钥相关的证书的人。主要是解决电子商务活动中交易参与各方身份的认定，维护交易活动的安全。 CA 持卡人 商 家 二、数字证书和认证机构的种类 应用对象: 持卡人证书、商家证书 业务类型: A类证书(符合SET协议) 、 B类证书(符合 X.509标准) 安全等级: 一级证书、二级证书、三级证书、四级证书 个人用户证书、企业用户证书、服务器证书、代码证书 发卡机构证书、银行证书、支付网关证书 三、电子商务的认证体系 SET CA—— SET（Secure Electronic Transaction）协议是由美国Visa和MasterCard两大信用卡组织合作发起的，它得到了包括IBM、Microsoft、Netscape、RSA等著名公司的参与和支持，该协议规定了在因特网上以银行卡为基础进行在线交易的安全标准。 电子商务认证体系技术标准分类 PKI CA—— Public-Key Infrastructure：利用公开密钥加密技术来实施和提供网络信息传输服务的安全基础设施。PKI是一种框架体系，因特网上的用户利用它可实现数据信息的安全交换，满足电子商务对信息交换保密性、完整性、真实性及不可抵赖性的需求。PKI包括认证机构CA（certificate authority）、注册机构RA（Registry Authority）、公开密钥、公开密钥的安全策略、数字证书、信任模型、证书库、证书撤消、密钥备份和恢复、自动密钥更新、密钥历史档案、交叉认证、时间戳、客户端软件等多方面内容。 CA生成用户证书流程 待签名消息 用户证书 证书持有人 证书颁发人 证书序列号 证书有限期 公钥消息 散列 摘要 签名算法 证书持有人 证书颁发人 证书序列号 证书有限期 公钥消息 数字签名 CA的私钥 CA 的签名保证证书的真实性 证书以一种可信方式将密钥“捆绑”到唯一命名 持有人: Zhang Min 公开密钥: 9f 0a 34 ... 序列号: 123465 有效期: 2/9/1997- 1/9/1998 发布人: CA-名 签名: CA 数字签名 证书可能存放到文件、软盘、智能卡、数据库 ? X.509 证书 用户的私钥可能已泄露，相应的公钥将不再有效； 用户可区分