我国电子商务认证现状及解决方案.docVIP

我国电子商务认证现状及解决方案 　　内容摘要：电子商务活动需要一个安全的网络环境，以保证数据在网络中传输的安全性和完整性，实现交易各方的身份认证，防止交易中抵赖的发生。有保障的支付体系、CA等各种安全认证体系和基本的安全技术是电子商务活动正常运行的前提条件。本文分析了我国PKI技术采用网络电子认证体系建设的现状，从法律制度与安全技术相结合的角度做了探索性研究，对采用网络公证以解决网络中的信用安全提出了相应的解决方案。 　　关键词：电子商务 PKI CA 网络公证 　　 　　引 言 　　 　　电子商务逐渐成为21世纪经济生活的新领域，它可以大幅度地降低交易成本，增加贸易机会，简化贸易流程，改善物流系统，提高贸易效率，推动企业和国民经济结构的改革。实现电子商务的关键是要保证商务活动过程中系统的安全性，即应保证在基于Internet的电子交易过程中与传统交易方式一样地安全、可靠。从安全和信任的角度来看，传统交易方式的买卖双方是面对面的，因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中，买卖双方是通过网络来联系，由于距离的限制，建立交易双方的安全和信任关系相当困难。如何解决电子商务中的信用及网络传输中的安全问题，如何判别网上交易对方的真实身份，如何固化并保存网上的交易内容并使之成为有效的法律证据，如何履行网络合同中最敏感的资金支付等一系列问题已构成了电子商务发展的障碍，建立完善的电子认证体系已成为电子商务发展的关键。 　　为解决Internet的信息安全，世界各国对其进行了多年的研究，初步形成了一套完整的解决方案，即目前被广泛采用的PKI（Public Key Infrastructure）技术，PKI技术采用证书管理公钥，通过第三方的可信任机构即认证中心CA（Certificate Authority），把用户的公钥和用户的其他标识信息如名称、身份证号等捆绑在一起，在Internet网上验证用户的身份。目前，通用的办法是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息在网络上的安全传输。 　　完整的PKI应??括认证政策的制定、遵循的认证规则技术标准、运作制度的制定、所涉及的各方法律关系以及技术的实现。笔者就网络电子认证体系采用网络公证从法律制度与安全技术相结合的角度做了探索性研究，并尝试对网络公证以解决网络中的信用安全给出了一整套解决方案。 　　 　　国内CA的现状 　　 　　互联网的开放性大大降低了网络环境的可信性。电子商务中的交易信任问题成为信息安全的主要问题和关键问题，而信任是交易的基础。为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，还必须建立一种信任及信任验证机制，即参加电子商务的各方必须有一个可以被验证的标识，这就是数字证书。数字证书是各实体在网上信息交流及商务交易活动中的身份证明，该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起，为实现这一目的，必须使数字证书符合国际标准，同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构，专门负责数字证书的发放和管理，确保网上信息的安全，这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性，电子商务就根本无从谈起。 　　电子商务对网络安全的要求，不仅推动着Internet上交易秩序和交易环节，同时也带来了巨大的商业机会。自1998年国内第一家以实体形式运营的上海CA中心成立以来，全国各地、各行业纷纷上马建成了几十家不同类型的CA认证机构。如果从CA中心建设的背景来分，国内的CA中心大致可以分为三类：行业建立的CA，如CFCA，CTCA等；政府授权建立的CA，如上海CA，北京CA等；商业性CA。不难看出，行业性CA不但是数字认证的服务商，也是其他商品交易的服务商，他们不可避免的要在不同程度上参与交易过程，这与CA中心本身要求的“第三方”性质又有很大的不同。就应用的范围而言，行业性CA更倾向于在自己熟悉的领域内开展服务。例如，外经贸部的国富安CA认证中心适当完善之后将首先应用于外贸企业的进出口业务。政府授权建立的第三方认证系统属于地区性CA，除具有地域优势外，在推广应用和总体协调方面具有明显的优势，不过需要指出地区性CA离不开与银行、邮电等行业的合作。 　　 　　国内CA存在的问题 　　 　　在电子商务系统中，CA安全认证中心负责所有实体证书的签名和分发。CA安全认证体系由证书审批部门和证书操作部门组成。就目前的情况而言，CA的概念已经深入到电子商务的各个层面，但就其应用而言，还远远不够，都还存在一些