电子认证概述

第一节　电子认证概述

在电子交易过程中，交易主体双方由于都是在虚拟的交易环境中借助电子交易手段来完成全部或大部分交易内容的，因此，如何确保交易主体双方的主体身份的真实有效就显得极为重要，它是交易主体双方之所以选择信任电子商务的关键要素。在电子签名仍然无法提供足够确信的情况下，独立的权威的第三方提供的认证服务对于交易主体的最终选择和信任就显得不可或缺。这是电子认证能够得以存在的重要前提。但在电子商务中提供电子认证服务的电子认证机构，并不是在从事行政管理，而是在遵循法律规范指引的前提下，按照市场运行的基本规律，提供的一种营利性服务。

一、电子认证的概念

认证，指的是权威的、中立的、与交易双方没有直接利害关系的第三人或第三方机构，对当事人提出的包括文件、身份、物品及其产地、品质等具有法律意义的事实与资格、经审查属实之后，作出相应的证明。电子认证是认证的新形式，是互联网大规模向商务领域应用之后必然采取的形式。在电子商务过程中交易安全是至关重要的，它具体应包括数据的保密性，数据的完整性，交易行为的不可否认性，交易对象身份的真实性等因素。

电子签名主要用于数据本身的安全，使其不被篡改和否认，同时，它从技术上对签名人身份辨认，确认签署文件的发件人与发出电子文件的所属关系。但如何解决公共密钥的确定性，保证交易人的真实可靠，却是电子签名技术本身无法解决的问题。这就需要一个具有权威性公信力的第三方对公开密钥行使辨别及认证等管理职能，以防止发件人进行抵赖，或者减少因密钥丢失、被盗或被解密等风险。

(一)电子认证的含义

所谓电子认证，就是由认证机构以加密技术为基础，以电子签名、数字证书、数字摘要等为手段，向电子商务中的交易各方提供身份确认、文件的真实性与完整性确认等服务的活动^[1]。它与电子签名一起组成了电子商务交易中的安全保障机制。电子签名的安全使用须配合安全认证体系的建立，将电子签名与电子认证相互结合，以此解决电子签名技术无法解决的信用度问题。

(二)电子认证的目的

电子认证的目的就是通过认证机构对公共密钥进行辨别和认证，防止或减少因密钥的丢失、损毁或解密等原因造成电子环境下交易的不确定因素及不安全性风险。同时，认证证书还能佐证密钥申请人的资信状况。^[2]

认证作为一种服务，其作用主要表现在对外防止欺诈，对内防止否认两方面。“防止欺诈，是防范交易当事人以外的人，故意入侵而造成风险所必须的;而防止否认，则是针对交易当事人之间可能产生的误解或抵赖而设置的，以便在电子商务交易当事人之间预防纠纷”。^[3]

(三)电子认证的程序

电子认证的操作程序一般为:发件人在电子签名前，签署者必须将他的公共密钥送到一个经合法注册，具有从事电子认证服务许可证的认证机构，登记并由该认证机构签发电子签名认证证书。然后，发件人将电子签名文件同电子签名认证证书一起发送给对方，收件方查验证书及电子签名，即可确信电子签名文件的真实性和可信性。

二、PKI体系

由于电子认证是建立在一定的电子技术和数字技术的基础之上的，因此，对电子认证的流程及其功能作用的发挥要有所认知，就必须首先对其所涉及的一些基本技术做初步的了解。就目前的电子认证技术发展水平来说，电子认证机构所提供的电子认证服务，主要是建立在PKI体系基础之上。

PKI是“Public Key Infrastructure”的缩写，意为“公钥基础设施”，是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。

PKI采用数字证书管理公钥，通过认证机构把客户的公钥和用户名称、E-mail地址、身份证书等信息捆绑在一起。通过对密钥的规范管理，建立和维护一个可信赖的系统环境，保证网上数字信息传输的机密性、真实性、完整性和不可否认性。

PKI是一种标准的密钥管理平台，为网络用户提供采用加密和数字签名等技术所必须的密钥和证书管理服务。其构建主要包括五大系统:认证机构、证书库、密钥备份与恢复系统、证书作废处理系统、客户端证书处理系统。^[4]

1.认证机构和数字证书

认证机构(Certification Authority，CA)是PKI的核心，它是能签发数字证书并能确认用户身份的服务机构，是交易双方依赖的具有权威性、可信性和公正性第三方。其主要任务是制作、签发、管理证书，并提供证书生命周期内的管理服务。数字证书是由认证机构签发的包含公开密钥拥有者信息以及公开密钥的数据文件，它用来在网络环境下确认持有密钥者的身份。认证机构对含有公钥的证书进行电子签名，使证书无法伪造。

电子认证最基本的活动是通过认证机构颁发数字证书实现的，通过证书使交易双方互相信赖。认证机构和其签发的数字证书在电子认证及电子商务交易中占有重要地位，对此笔者将在下一章中做具体讨论。

2.证书库

证书库是集中存放认证证书的地方。它是因特网上的一种公共信息库，用户可以从证书库中获得其他用户的证书和公钥。系统必须确保证书库的完整性，防止伪造、篡改证书。

3.密钥备份及恢复系统

密钥备份及恢复系统由认证机构来管理，它是在用户丢失用于验证签名的公共密钥的情况下恢复其密钥的有效机制。密钥备份与恢复仅针对公共密钥，签名私钥不能备份。

4.证书作废系统

作废证书是通过将证书列入作废证书表(Certificate Revocation List，缩写CRL)来完成。通常由认证机构负责创建并维护一份及时更新的CRL，而用户在验证证书时负责检查该证书是否在CRL内。CRL一般存放在目录系统中供用户查询，系统应保证CRL的完整性、及时性。

5.客户端证书处理系统

客户端证书处理系统是由相应的电子商务软件和从认证机构下载的认证证书组成，通常是按照认证机构的说明在客户端计算机系统中安装有关证书文件和签名及验证组件等。证书申请人可通过浏览器申请、下载证书，并安装在浏览器上使用。