電子認證

電子認證

電子認證electronic authentication。採用電子技術檢驗用戶合法性的操作。其主要內容有以下3個方面:(1)保證自報姓名的個人和法人的合法性的本人確認。確認本人的簡單方法一般有組合使用用戶ID和密碼,磁卡或IC卡和密碼。需要進行慎重的認證時,可利用指紋、虹膜類型等可識別人體的生物統計學技術。(2)特別是通過電子商務進行貴重物品的交易時,保證個人或企業間收發信息在通信的途中和到達後不被改變的信息認證。(3)數字簽名。在數字信息內添加署名信息。

概念

--電子簽名只是從技術手段上對簽名人身份做出辯認及能對簽署檔案的發件人與發出電子檔案所屬關係做出確認的方式。但如何解決上文提到判定公共密鑰的確定性以及私人密鑰持有者否認簽發檔案的可能性等問題,則是電子簽名技術本身無法解決的問題。換言之,這裡面有一個解決私人密鑰持有人信用度的問題。這裡面包括兩種可能

電子認證電子認證
性。一是密鑰持有人主觀惡意,即有意識否認自己做出的行為;二是客觀原因,即發生密鑰丟失、被竊或被解密情況,使發件人或收件人很難解釋歸責問題。事實上,相類似的問題在我們傳統商業交易活動中也存在,只不過我們有一套相對完整的解決方案罷了。當然這裡包括相配套的法律規範及保護措施。在傳統的簽字(蓋章)使用中,為了防止簽字(蓋章)方提供偽造虛假或被篡改的簽字(蓋章)或者防止傳送人以各種理由否認該簽字(蓋章)為其本人所為,一些國家或地區採取通過具有權威性公信力的授權機關對某印章提前做出備案,並可提供驗證證明的方式,防止抵賴或偽造等情形發生。例如,在我國台灣省,對一些重要法律檔案(如房地產買賣交易檔案),對印章真實性認證就採取下述方式處理:為保證蓋過章的檔案的真實性,印章持有人在蓋章之前需把印章送到具有權威性的戶政事務所登記備案,並申請印鑑證明,之後再把印鑑證明同蓋過章的檔案一併送給收件方,收件方將印鑑證明同原件相比較,如完全一致,就可確認檔案及其印章的真實性了。ˉ在電子交易過程,同樣需要一個具有權威性公信力的第三者作為安全認證機關(Certificate Authority)對公開密鑰行使辨別及認證等管理職能,以防止發件人抵賴或減少因密鑰丟失、被偷竊或被解密等風險。由此可見,電子簽名的安全使用必須配合安全認證機關體系的建立。事實上,西方很多國家(美國加拿大德國等)以及日本都已經或正在建立相配套的公共密鑰基礎設施( public key infrastructure)。這樣,網路上電子簽名與CA認證的相互結合就解決了前面闡述的由於電子簽名技術方面無法解決的信用度的問題。

程式

電子認證電子認證
--電子認證的具體操作程式為:發件人在做電子簽名前,簽署者必須將他的公共密鑰送到一個經合法註冊,具有從事電子認證服務許可證的第三方,即CA認證中心,登記並由該認證中心簽發電子印鑑證明(Certificate)。爾後,發件人將電子簽名檔案同電子印鑑證明一併傳送給對方,收件方經由電子印鑑佐證及電子簽名的驗證,即可確信電子簽名檔案的真實性和可信性。由此可見,在電子檔案環境中,CA認證中心扮演的角色與上述傳統書面檔案簽字(蓋章)環境中的第三者(戶政事務所)的角色有異曲同工之妙。CA認證中心正起到一個行使具有權威性公證的第三人的作用。而經CA認證機關頒發的電子印鑑證明就是證明兩者之間的對應關係的一個電子資料,該資料指明及確認使用者名稱及其公共密鑰。使用者從公開地方取得證明後,只要查驗證明書內容確實是由CA機關所發,即可推斷證明書內的公開密鑰確實為該證明書內相對應的使用者本人所擁有。如此,該公共密鑰持有人無法否認與之相對應的該密鑰為他所有,進而亦無法否認經該密鑰所驗證通過的電子簽名不為他所簽署。

目的

--電子認證的目的就是通過CA機關對公共密鑰進行辨別和認證(包括跨國認證)以防止或減少因密鑰的丟失、損毀或解密等原因造成電子檔案環境交易的不確定因素及不安全性風險。同時,認證證明書還能佐證密鑰申請人的資信狀況。

認證機構

1. 電子認證機構設立的形式。
--縱觀一些國家在電子認證(CA)設定的形式一般有兩大類。第一類是直接由國家有關負責部門下屬單位直接設立,從事電子認證服務工作。或者是由政府的相關部門扮演CA體系中最高一層的認證中心角色。第二大類是由政府相關部門做出授權,規定嚴格的審批條件和程式簽發認證證書(Certificate),同時行使監督權,以確保網路交易的安全性。無論是哪種形式,政府扮演的角色是至關重要的。其原因有以下幾點:

電子認證認證標誌
--1)權威性。
--只有經國家主管部門授權經營的電子認證服務公司或由主管部門批發經營許可證的CA認證機關簽發的電子認證證書最有權威性。在一定意義上,這正如只有經公安部門發出的個人身份證具有絕對可靠的權威性一樣。
--同時,由於電子認證在網路中的套用具有跨越國界的特性,只有國家主管部門以國家名義出面介入,從而使得電子認證的效力的可靠性具有為他國承認的後果。
--2)標準化。
--政府主管部門可規定法律統一的技術方案以及規範不同級別的CA機關的電子認證標準及程式。同時,政府主管機關可擔當最高一級的公共密鑰認證中心的角色。這是美國各州及聯邦政府以及德國等國公共密鑰基礎建設體系都普遍採用的一種形式。
--3)可執行性
電子認證電子認證
--由於政府主管機關在CA認證中扮演國家的角色,因此在體系的建立,標準的設定,以及兼容跨國認證等方面具有絕對權威性及統一性的特點。因此,在實施電子認證服務過程中,其可操作性及可執行性的特點是顯而易見的。這就避免可能由於不同標準(技術及服務兩方面)的出現,從而使得電子認證變得無法實施,達不到消除網上交易缺乏安全性的顧慮的目的。
2. 電子認證機關(CA)設立的條件
--CA機構申請從事電子認證服務牌照時,需滿足一定的審批條件。政府主管部門在審核及批發許可證時,除要審查申請人的硬體措施(如辦公場所的選定)、軟體條件(如公司中人員的技術專業知識),還要審查主體資格,承擔損害賠償的能力等多個方面。下面簡單介紹一下美國猶他州電子簽名法規定CA提供電子認證服務的條件。
--(1) 主體資格:可為執業律師;在猶他州註冊登記的信託機機能或保險機構;猶他州州長、州法院、市、郡等已經依法律或行政命令指定執行CA認證業務的公務人員並為該機構員工進行認證之組織;任何在猶他州取得營業
電子認證認證標誌
許可的公司;
--(2) 程式:CA本身必須申請公開金鑰憑證且須存放在主管機關設定或承認的公開金鑰憑證資料庫中以供大眾檢視讀取;
--(3) 公證資格:須有公證人(a notary public)資格或至少聘僱一具有公證人資格之員工;
--(4) 從業人員不得有嚴重犯罪前科:所雇用的員工中不得有重大犯罪之前科或是犯有其他詐欺、虛偽陳述或欺騙之罪行;
--(5) 專業知識:所雇用員工必須具有執行認證業務之專業知識;
--(6) 經營擔保:除了政府官員或機關申請經營CA業務外,其他申請者必須提供營業擔保;
--(7) 軟硬體設施:對於經營CA業務所需軟硬體設施,必須對該設施擁有具有合法的權利;
--(8) 營業場所:必須在猶他州設有營業處所或是指定代理人代為執行業務;
--(9) 必須遵守主管機構的所有其他規定

效力

電子認證的效力一般通過兩種途徑得到保障。第一種也是最直接的是通過立法的形式加以確認。這主要是通過法律授權政府機關主管部門制定相應規則,從而最終達到保障電子認證的效力具有法律上的依據與保障。美國很多州都是採取此種方式。這主要是表現在以下幾個方面:

電子認證認證標誌
--1、 以直接的立法形式明示直接承認可被接受的技術方案標準;(如美國猶他州;香港特別行政區法例等。)
--2、 授權政府主管部門制定相應規則如享有頒發、或吊銷CA機構從事電子認證業務許可的權力,同時對違規/違法經營操作的CA機構具有行政處罰權;
--3、 制定明確的設立及管理CA機構的條件及程式。同時,在監管CA機構層面上,政府主管部門還設定所有合法登記、註冊經營電子認證業務的CA機構的資料庫供客戶查詢。如美國猶他州法律規定,主管機構在其設定的公共密鑰憑證資料庫中,專門開闢一個存有所有登記註冊CA機構詳盡檔案資料庫。其中除了一般公司信息(如公司名稱、住址及電話及被授權的營業範圍)外,還包括目前使用的核發認證憑證的機構有無違規經營遭到處罰的記錄等等信息。
--第二種方式是採取當事人之間通過協定方式來確認電子認證的效力。在這種情形下,法律只規定原則性條文,如確認電了簽名與書面簽名的同等效力性,至於當事人之間如何選擇技術方案以及由誰來做"第三者"--電子認證人,則由當事人之間協定確定。在此情形下,銀行,ISP公司等均可扮演電子認證的機構的角色。但相對第一種形式,電子認證的效力就相對薄弱。特別是發生糾紛的情況下,以及如何對抗第三人等,法院如何判定契約效力及責任歸屬問題,就無專門法律可依。

服務管理辦法

中華人民共和國信息產業部令第35號《電子認證服務管理辦法》已經2005年1月28日中華人民共和國信息產業部第十二次部務會議審議通過,現予發布,自2005年4月1日起施行. 部長:王旭東二00五年二月八日電子認證服務管理辦法
第一章 總則
第一條 為了規範電子認證服務行為,對電子認證服務提供者實施監督管理,依照《中華人民共和國電子簽名法》和其他法律、行政法規的規定,制定本辦法。
第二條 本辦法所稱電子認證服務,是指為電子簽名相關各方提供真實性、可靠性驗證的公眾服務活動。
本辦法所稱電子認證服務提供者,是指為電子簽名人電子簽名依賴方提供電子認證服務的第三方機構(以下稱為“電子認證服務機構”)。

電子認證電子認證
第三條 在中華人民共和國境內設立電子認證服務機構和為電子簽名提供電子認證服務,適用本辦法。
第四條 中華人民共和國信息產業部(以下簡稱“信息產業部”)依法對電子認證服務機構和電子認證服務實施監督管理。第二章 電子認證服務機構
第五條 電子認證服務機構,應當具備下列條件:
(一)具有獨立的企業法人資格;
(二)從事電子認證服務的專業技術人員、運營管理人員、安全管理人員和客戶服務人員不少於三十名;
(三)註冊資金不低於人民幣三千萬元;
(四)具有固定的經營場所和滿足電子認證服務要求的物理環境;
(五)具有符合國家有關安全標準的技術和設備;
(六)具有國家密碼管理機構同意使用密碼的證明檔案;
(七)法律、行政法規規定的其他條件。
第六條 申請電子認證服務許可的,應當向信息產業部提交下列材料:
(一)書面申請;
(二)專業技術人員和管理人員證明;
(三)資金和經營場所證明;
(四)國家有關認證檢測機構出具的技術設備、物理環境符合國家有關安全標準的憑證;
(五)國家密碼管理機構同意使用密碼的證明檔案。
第七條 信息產業部對提交的申請材料進行形式審查,依法作出是否受理的決定。
第八條 信息產業部對決定受理的申請材料進行實質審查。需要對有關內容進行核實的,指派兩名以上工作人員實地進行核查。
第九條 信息產業部對與申請人有關事項書面徵求中華人民共和國商務部等有關部門的意見。
第十條 信息產業部自接到申請之日起四十五日內作出許可或者不予許可的書面決定。不予許可的,說明理由並書面通知申請人;準予許可的,頒發《電子認證服務許可證》,並公布下列信息:
(一)《電子認證服務許可證》編號
(二)電子認證服務機構名稱;
(三)發證機關和發證日期。 
電子認證服務許可相關信息發生變更的,信息產業部應當及時公布。
《電子認證服務許可證》的有效期為五年。
第十一條 取得電子認證服務許可的,應當持《電子認證服務許可證》到工商行政管理機關辦理相關手續。第十二條 取得認證資格的電子認證服務機構,在提供電子認證服務之前,應當通過網際網路公布下列信息:
(一)機構名稱和法定代表人;
(二)機構住所和聯繫辦法;
(三)《電子認證服務許可證》編號;
(四)發證機關和發證日期;
(五)《電子認證服務許可證》有效期的起止時間。
第十三條 電子認證服務機構在《電子認證服務許可證》的有效期內變更法人名稱、住所、註冊資本、法定代表人的,應自完成相關變更手續之日起五日內按照本辦法第十二條的規定公布變更後的信息,並自公布之日起十五日內向信息產業部備案。
第十四條 《電子認證服務許可證》的有效期屆滿要求續展的,電子認證服務機構應在許可證有效期屆滿三十日前向信息產業部申請辦理續展手續,並自辦結之日起五日內按照本辦法第十二條的規定公布相關信息。第三章 電子認證服務
第十五條 電子認證服務機構應當按照信息產業部公布的《電子認證業務規則規範》的要求,制定本機構的電子認證業務規則,並在提供電子認證服務前予以公布,向信息產業部備案。
電子認證業務規則發生變更的,電子認證服務機構應當予以公布,並自公布之日起三十日內向信息產業部備案。第十六條 電子認證服務機構應當按照公布的電子認證業務規則提供電子認證服務。
第十七條 電子認證服務機構應當保證提供下列服務:
電子認證電子認證
(一)製作簽發管理電子簽名認證證書
(二)確認簽發的電子簽名認證證書的真實性;
(三)提供電子簽名認證證書目錄信息查詢服務;
(四)提供電子簽名認證證書狀態信息查詢服務。
第十八條 電子認證服務機構應當履行下列義務:
(一)保證電子簽名認證證書內容在有效期內完整、準確;
(二)保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項;
(三)妥善保存與電子認證服務相關的信息。
第十九條 電子認證服務機構應當建立完善的安全管理和內部審計制度,並接受信息產業部的監督管理。
第二十條 電子認證服務機構應當遵守國家的保密規定,建立完善的保密制度。
電子認證服務機構對電子簽名人和電子簽名依賴方的資料,負有保密義務
第二十一條 電子認證服務機構在受理電子簽名認證證書申請前,應當向申請人告知下列事項:
(一)電子簽名認證證書和電子簽名的使用條件;
(二)服務收費的項目和標準;
(三)保存和使用證書持有人信息的許可權和責任;
(四)電子認證服務機構的責任範圍;
(五)證書持有人的責任範圍;
(六)其他需要事先告知的事項。
第二十二條 電子認證服務機構受理電子簽名認證申請後,應當與證書申請人簽訂契約,明確雙方的權利義務。第四章 電子認證服務的暫停、終止
第二十三條 電子認證服務機構在《電子認證服務許可證》的有效期內擬終止電子認證服務的,應在終止服務六十日前向信息產業部報告,同時向信息產業部申請辦理證書註銷手續,並持信息產業部的相關證明檔案向工商行政管理機關申請辦理註銷登記或者變更登記。
第二十四條 電子認證服務機構擬暫停或者終止電子認證服務的,應在暫停或者終止電子認證服務九十日前,就業務承接及其他有關事項通知有關各方。
電子認證服務機構擬暫停或者終止電子認證服務的,應當在暫停或者終止電子認證服務六十日前向信息產業部報告,並與其他電子認證服務機構就業務承接進行協商,作出妥善安排
第二十五條 電子認證服務機構擬暫停或者終止電子認證服務,未能就業務承接事項與其他電子認證服務機構達成協定的,應當申請信息產業部安排其他電子認證服務機構承接其業務。
第二十六條 電子認證服務機構被依法吊銷電子認證服務許可的,其業務承接事項的處理按照信息產業部的規定進行。
第二十七條 電子認證服務機構有根據信息產業部的安排承接其他機構開展的電子認證服務業務的義務。
第五章 電子簽名認證證書
第二十八條 電子簽名認證證書應當準確載明下列內容:
(一)簽發電子簽名認證證書的電子認證服務機構名稱;
(二)證書持有人名稱;
(三)證書序列號;
(四)證書有效期;
(五)證書持有人的電子簽名驗證數據
(六)電子認證服務機構的電子簽名;
(七)信息產業部規定的其他內容。
第二十九條 有下列情況之一的,電子認證服務機構可以撤銷其簽發的電子簽名認證證書:
(一)證書持有人申請撤銷證書;
(二)證書持有人提供的信息不真實;
(三)證書持有人沒有履行雙方契約規定的義務;
(四)法律、行政法規規定的其他情況。
第三十條 有下列情況之一的,電子認證服務機構應當對申請人提供的證明身份的有關材料進行查驗,並對有關材料進行審查:
(一)申請人申請電子簽名認證證書
(二)證書持有人申請更新證書;
(三)證書持有人申請撤銷證書。
第三十一條 電子認證服務機構更新或者撤銷電子簽名認證證書時,應當予以公告。
電子認證電子認證
第六章 監督管理第三十二條 信息產業部對電子認證服務機構進行年度檢查並公布檢查結果。
年度檢查採取報告審查和現場核查相結合的方式。
第三十三條 取得電子認證服務許可的電子認證服務機構,在電子認證服務許可的有效期內不得降低其設立時所應具備的條件。
第三十四條 電子認證服務機構應當按照信息產業部信息統計的要求,按時和如實報送認證業務開展情況及有關資料。
第三十五條 電子認證服務機構應當對其從業人員進行崗位培訓。
第三十六條 信息產業部根據監督管理工作的需要,可以委託有關省、自治區和直轄市的信息產業主管部門承擔具體的監督管理事項。
第七章 罰則
第三十七條 電子認證服務機構向信息產業部隱瞞有關情況、提供虛假材料或者拒絕提供反映其活動的真實材料的,由信息產業部依據職權責令改正,並處警告或者五千元以上一萬元以下罰款。
第三十八條 信息產業部和省、自治區和直轄市的信息產業主管部門的工作人員,不依法履行監督管理職責的,由信息產業部或者省、自治區和直轄市的信息產業主管部門依據職權視情節輕重,分別給予警告、記過、記大過、降級、撤職、開除的行政處分;構成犯罪的,依法追究刑事責任。
第三十九條 電子認證服務機構違反本辦法第十六條、第二十七條的規定的,由信息產業部依據職權責令限期改正,並處警告或一萬元以下的罰款,或者同時處以以上兩種處罰。
第四十條 電子認證服務機構違反本辦法第三十三條的規定的,由信息產業部依據職權責令限期改正,並處三萬元以下罰款。
第八章 附則
第四十一條 本辦法施行前已從事電子認證服務機構擬繼續從事電子認證服務的,應在2005年9月30日前依照本辦法取得電子認證服務許可;擬終止電子認證服務的,應當對終止業務的相關事項作出妥善安排。自2005年10月1日起,未取得電子認證服務許可的,不得繼續從事電子認證服務。
第四十二條 經信息產業部根據有關協定或者對等原則核准後,中華人民共和國境外的電子認證服務機構在境外簽發的電子簽名認證證書與依照本辦法設立的電子認證服務機構簽發的電子簽名認證證書具有同等的法律效力。第四十三條本辦法自2005年4月1日起施行。

發展情況

《中國電子認證服務業市場需求預測與投資戰略規劃分析報告前瞻》數據顯示,“十一五”時期,電子認證軟、硬體和服務市場規模增長明顯。數字證書認證系統建設、硬體介質數字證書發放、電子認證相關套用系統集成及服務等領域得到快速發展。截至2010年底,電子認證服務業市場總規模超過20億元,“十一五”期間年平均增長速度約為38%,2010年的增長率接近100%。
作為電子認證服務業的主體,電子認證服務機構得到長足發展。截至2010年底,獲得工業和信息化部許可的電子認證服務機構共30家,分布在全國21個省、直轄市、自治區,總資產規模達到20.1億元,銷售收入達到13.2億元,有效數字證書總量達到1530萬張,其中機構證書、個人證書、設備證書分別約為730萬張、790萬張、1萬張。
電子認證在公共服務、電子商務等領域套用不斷擴大。電子認證在網上報稅、報關、工商年檢、社保繳納、公積金管理等公共服務領域獲得廣泛套用。在網上招投標、線上支付、線上契約等電子商務領域套用迅速增長,並逐步向智慧財產權保護、物流和供應鏈管理等領域擴展。
跨地區的電子認證套用穩步推進。2009年粵港兩地電子簽名證書互認套用試點工作正式啟動,“基於粵港電子簽名證書互認環境下的跨境電子報關支撐平台”試點項目的實施效果逐步顯現。2010年,江蘇、浙江、安徽、上海三省一市電子認證服務機構聯合建設了“長三角數字證書套用互聯互通平台”,在電子認證套用層面推進認證資源共建共享取得突破。
電子認證基礎技術日趨成熟。基於國產橢圓曲線公鑰密碼算法的數字證書認證系統研發成功,國產數字證書認證系統技術水平大大提高,數字證書介質不斷豐富和完善。
電子認證套用技術快速發展。電子簽章系統、電子簽名伺服器、身份認證網關和時間戳服務系統等一系列電子簽名與套用類產品進入市場,為電子認證套用提供了基本保障。可信電子憑證、可信電子記錄和可信電子契約等套用技術研究取得階段性成果。
截至2010年底,我國有2.78億個IP位址,866萬個域名,191萬個網站,網民數量已突破4.5億,網路購物用戶數量1.61億,電子商務交易額4.5萬億元。據預測,“十二五”期間,網路套用在國民經濟和社會各領域將進一步普及深化,到2015年,電子商務年交易額將突破18萬億元,電子認證服務市場潛力巨大。
社保、醫療、保險等諸多公共服務領域將逐步深化電子認證的套用,電子病歷、電子保單等更多業務將得到廣泛開展。隨著社會對電子認證服務的認可程度進一步提高,網路購物用戶數量將迅速增長,網上交易活動開展更為頻繁,線上招投標、電子契約簽署與電子訂購等業務將蓬勃發展。
移動網際網路的發展使得傳統電子商務逐步向移動電子商務轉變,手機支付的套用使得商務交易更加便捷,身份認證、授權管理和責任認定必將發揮更加重要的作用。雲計算等新模式的產生使得雲端數據的安全存儲、訪問授權、隱私保護問題逐漸凸顯,為電子認證服務提供了更廣闊的發展空間。物聯網、三網融合等新技術新業務的出現勢必為電子認證服務的套用和發展帶來新的機遇。

相關搜尋

熱門詞條

聯絡我們