第5章 电子认证法律制度.pptVIP

第五章 电子认证法律制度 使用浏览器访问Web页面能够轻松实现网上购物、网上炒股和网上银行等作业，其中会通过网络传送一些敏感信息，包括合同、金融帐号、帐号密码和支付信息等。TCP/IP在制定之初处于网络技术的初级阶段，并没有考虑安全问题，数据流采用明文传输。因此，对于一些有保密要求的应用如电子商务、电子政务、网络银行等，首先考虑的是安全性。 网络信息安全的新需求 1．身份认证和鉴别: 对信息传输的双方进行身份认证和鉴别，需要某种机制来证明双方的真实身份。 2．不可否认性: 信息的发送方必须对自己的操作承担责任，不可否认。 3．数字签名: 日常生活中，通信双方为了解决抵赖和欺骗的问题，会在文档上进行手写签名，把这个原理用在网络上就是数字签名。 问题的提出：在电子商务交易过程中，素未见面的交易各方如何建立信任？如何防止不被他人假冒交易者的身份？如何防止不被交易的对方否认其交易身份？ 第一节、电子认证概述 一、电子认证的概念和性质 （一）、电子认证的概念 认证是指权威的、中立的、没有直接利害关系的第三人或机构、对当事人提出的包括文件、身份物品及其产地、品质等具有法律意义的事实与资格、经审查属实后作出的证明。 电子认证指一个国家承认的认证机构通过颁发数字证书和管理公共密匙来检验带有电子签名的文件所有人及其内容的真实性的一种行为。 电子认证的特征： 　　电子认证以其所具有的四大特征确立了在信息化应用中基础性、关键性的作用。 　　（1）真实性 。要确保交易双方的真实身份、信息内容真实以其交易发生时间的真实性。 　　（2）完整性。确保双方交易的信息是完整的、没有被篡改过和伪造过。 　　（3）机密性。确保电子交易中数据电文、交换数据、信息的保密性，使之不被交易双方以外的交易无关个体获知。 　　（4）不可否认性。不可否认性确保了交易双方不能对其参与过交易的事实进行抵赖，它为日后可能存在的交易纠纷提供了一个可信的证据。 电子签名只是从技术手段上对签名人身份做出辨认及能对签署文件的发件人与发出电子文件所属关系做出确认的方式。但如何解决上文提到判定公共密钥的确定性以及私人密钥持有者否认签发文件的可能性等问题，则是电子签名技术本身无法解决的问题。换言之，这里面有一个解决私人密钥持有人信用度的问题。这里面包括两种可能性。一是密钥持有人主观恶意，即有意识否认自己做出的行为；二是客观原因，即发生密钥丢失、被窃或被解密情况，使发件人或收件人很难解释归责问题。 事实上，相类似的问题在我们传统商业交易活动中也存在，只不过我们有一套相对完整的解决方案罢了。当然这里包括相配套的法律规范及保护措施。在传统的签字（盖章）使用中，为了防止签字（盖章）方提供伪造虚假或被篡改的签字（盖章）或者防止发送人以各种理由否认该签字（盖章）为其本人所为，一些国家或地区采取通过具有权威性公信力的授权机关对某印章提前做出备案，并可提供验证证明的方式，防止抵赖或伪造等情形发生。例如，在我国台湾省，对一些重要法律文件（如房地产买卖交易文件），对印章真实性认证就采取下述方式处理：为保证盖过章的文件的真实性，印章持有人在盖章之前需把印章送到具有权威性的户政事务所登记备案，并申请印鉴证明，之后再把印鉴证明同盖过章的文件一并送给收件方,收件方将印鉴证明同原件相比较，如完全一致，就可确认文件及其印章的真实性了。 在电子交易过程，同样需要一个具有权威性公信力的第三者作为安全认证机关（Certificate Authority）对公开密钥行使辨别及认证等管理职能，以防止发件人抵赖或减少因密钥丢失、被偷窃或被解密等风险。由此可见，电子签名的安全使用必须配合安全认证机关体系的建立。事实上，西方很多国家（美国、加拿大、德国等）以及日本都已经或正在建立相配套的公共密钥基础设施（ public key infrastructure）。这样，网络上电子签名与CA认证的相互结合就解决了前面阐述的由于电子签名技术方面无法解决的信用度的问题。 （二）、电子认证的分类 1、站点认证。交易中的商务信息都有保密的要求，如信用卡和账号和用户名被人知道，就有可能被盗用，订货和付款和信息被竞争对手获悉，就可能失去机会，因此，在商务信息传播中均有加密的要求，为了确保通讯安全，在正式传送数据电文之前，应首先认证通讯是否是在意定的两个站点间进行，这一过程称为站点认证。 2、数据电文认证 经过站点认证后，收发双方便可进行电子通信，而数据电文这种认证保证收方能够确定：这个电讯是由确认方发出的，该电讯的内容有无篡改或发生错误；该电讯传送给确定的收方，从而使每个通信