我国电子认证应用及发展对策分析随着互联网技术的不断发展与完善,人类进入信息化社会的步伐在深度和广度方面都 在加快，引发的电子商务应用发展迅猛。简单地讲，电子商务是指利用电子网络进行的商 务活动，是利用电子化、信息化的手段，使得企业能够提高效率、降低成本，提升客户满 意度，有效的增加企业的竞争力。在开展电子商务活动同时，也遇到很多问题，例如：身 份认证，电子认证应用推广，电子认证标准等。下面我们了解下电子认证在我国应用中的 问题及发展分析情况。一、电子认证相关概念及特征1.1 电子商务概念及分类电子商务Electronic Commerce （EC）早在十几年前就已产生，电子数据交换（EDI） 就是典型的电子商务活动。但是当时电脑用户有限，而且网络覆盖面不广使得成本高昂， 使用复杂，专业性强，以至于使用未能普及。一直到最近两年，随着通信技术的逐渐成熟， 网络用户快速成长，网上商业活动的效益日益明显，电子商务开始广受世人关注。广义的电子商务指任何通过互联网络进行的商务活动，包括商品与服务交易、金融汇 兑、网上广告或提供娱乐节目等等。电子商务分为两类：一类是企业与企业之间的电子商 务，主要是以EDI为核心，发展上中下游企业之间信息的整合利用；另一类是企业与消费 者之间的电子商务即电子商业。电子商务管理下的流程如1.1 所示：1.1 电子商务管理流程图电子商务提供的服务（1）售前服务。Interet作为一个新媒体，具有“即时互动、跨越时空和多媒体展示” 等特性，它强调了互动性，而且广告资料更新较快，比传统媒体的广告费用低廉。企业可 以网上主页和电子邮件在全球范围内做广告宣传。客户可借助网上检索工具迅速地找到所 需要的商品信息。(2) 售中服务。网上售中服务主要是帮助企业完成与客户之间的咨询洽谈、网上订购、 网上支付等商业过程，对于销售无形产品的公司来说，Internet上的售中服务为网上的 客户提供了直接试用产品的机会。(3) 售后服务。网上售后服务的内容主要包括解决产品使用中的问题，排除技术故障， 提供技术支持，传递产品改进和升级的信息以吸引客户对产品与服务的反馈信息。电子商 务能十分方便地采用网页上的“选择”、“填空”等格式文件来收集用户对销售服务的反馈 意见。这样使企业的市场营销能形成一个封闭的回路。网上售后服务不仅响应快、质量高、 费用底，而且可以大大降低服务人员的工作强度。电子商务分类：企业对个人的电子商务(BtoC, Business to Customer)、企业对企业 的电子商务(BtoB,Business to Business)、企业对个人对个人的电子商务(CtoC,Customer to Customer)、电子政务(B2G, Customer to Government)等。1.2电子认证定义及特征电子认证electronic authentication。采用电子技术检验用户合法性的操作。其主要内 容有以下 3 个方面： (1)保证自报姓名的个人和法人的合法性的本人确认。确认本人的简 单方法一般有组合使用用户ID和密码，磁卡或IC卡和密码。需要进行慎重的认证时，可 利用指纹、虹膜类型等可识别人体的生物统计学技术。 (2)特别是通过电子商务进行贵重 物品的交易时，保证个人或企业间收发信息在通信的途中和到达后不被改变的信息认证。 (3)数字签名。在数字信息内添加署名信息。电子认证的具体操作程序为：发件人在做电子签名前，签署者必须将他的公共 密钥送到一个经合法注册，具有从事电子认证服务许可证的第三方，即 CA 认证中 心，登记并由该认证中心签发电子印鉴证明( Certificate )。尔后，发件人将电子 签名文件同电子印鉴证明一并发送给对方， 收件方经由电子印鉴佐证及电子签名的 验证，即可确信电子签名文件的真实性和可信性。由此可见，在电子文件环境中， CA 认证中心扮演的角色与上述传统书面文件签字(盖章)环境中的第三者(户政 事务所)的角色有异曲同工之妙。 CA 认证中心正起到一个行使具有权威性公证的 第三人的作用。而经 CA 认证机关颁发的电子印鉴证明就是证明两者之间的对应关 系的一个电子资料，该资料指明及确认使用者名称及其公共密钥。使用者从公开地 方取得证明后，只要查验证明书内容确实是由 CA 机关所发，即可推断证明书内的 公开密钥确实为该证明书内相对应的使用者本人所拥有。如此，该公共密钥持有人 无法否认与之相对应的该密钥为他所有， 进而亦无法否认经该密钥所验证通过的电 子签名不为他所签署。电子认证的目的就是通过 CA 机关对公共密钥进行辨别和认证 （包括跨国认证） 以防止或减少因密钥的丢失、 损毁或解密等原因造成电子文件环境交易的不确定因 素及不安全性风险。同时，认证证明书还能佐证密钥申请人的资信状况。1.3电子认证的机构纵观一些国家在电子认证（CA）设定的形式一般有两大类。第一类是直接由国家有关 负责部门下属单位直接设立，从事电子认证服务工作。或者是由政府的相关部门扮演 CA 体系中最高一层的认证中心角色。第二大类是由政府相关部门做出授权，规定严格的审批 条件和程序签发认证证书（Certificate）,同时行使监督权，以确保网络交易的安全性。 无论是哪种形式，政府扮演的角色是至关重要的。其原因有以下几点：1）权威性。只有经国家主管部门授权经营的电子认证服务公司或由主管部门批发经营许可证的 CA 认证机关签发的电子认证证书最有权威性。在一定意义上，这正如只有经公安部门发 出的个人身份证具有绝对可靠的权威性一样。同时，由于电子认证在网络中的应用具有跨越国界的特性，只有国家主管部门以国家 名义出面介入，从而使得电子认证的效力的可靠性具有为他国承认的后果。2）标准化。政府主管部门可规定法律统一的技术方案以及规范不同级别的CA机关的电子认证标 准及程序。同时，政府主管机关可担当最高一级的公共密钥认证中心的角色。这是美国各 州及联邦政府以及德国等国公共密钥基础建设体系都普遍采用的一种形式。3）可执行性由于政府主管机关在CA认证中扮演国家的角色，因此在体系的建立，标准的设定， 以及兼容跨国认证等方面具有绝对权威性及统一性的特点。因此，在实施电子认证服务过 程中，其可操作性及可执行性的特点是显而易见的。这就避免可能由于不同标准（技术及 服务两方面）的出现，从而使得电子认证变得无法实施，达不到消除网上交易缺乏安全性 的顾虑的目的。1.4电子认证机关（CA）设立的条件CA 机构申请从事电子认证服务牌照时，需满足一定的审批条件。政府主管部门在审 核及批发许可证时，除要审查申请人的硬件措施（如办公场所的选定）、软件条件（如公 司中人员的技术专业知识），还要审查主体资格，承担损害赔偿的能力等多个方面。下面 简单介绍一下电子签名法规定CA提供电子认证服务的条件。1）主体资格：可为执业律师；在犹他州注册登记的信托机机能或保险机构；犹他州州长、 州法院、市、郡等已经依法律或行政命令指定执行CA认证业务的公务人员并为该机构员 工进行认证之组织；任何在犹他州取得营业许可的公司；2）程序：CA本身必须申请公开金钥凭证且须存放在主管机关设置或承认的公开金钥凭证 资料库中以供大众检视读取；3）公证资格：须有公证人（ano tary public）资格或至少聘雇一具有公证人资格之员工；4）从业人员不得有严重犯罪前科：所雇用的员工中不得有重大犯罪之前科或是犯有其他 诈欺、虚伪陈述或欺骗之罪行；5）专业知识：所雇用员工必须具有执行认证业务之专业知识；6）经营担保：除了政府官员或机关申请经营CA业务外，其他申请者必须提供营业担保；7）软硬件设施：对于经营CA业务所需软硬件设施，必须对该设施拥有具有合法的权利；8）营业场所：必须在犹他州设有营业处所或是指定代理人代为执行业务；9）必须遵守主管机构的所有其他规定。1.5 电子认证的效力电子认证的效力一般通过两种途径得到保障。第一种也是最直接的是通过立法的形式 加以确认。这主要是通过法律授权政府机关主管部门制定相应规则，从而最终达到保障电 子认证的效力具有法律上的依据与保障。美国很多州都是采取此种方式。这主要是表现在 以下几个方面：1、以直接的立法形式明示直接承认可被接受的技术方案标准；（如美国犹他州；香 港特别行政区法例等。）2、授权政府主管部门制定相应规则如享有颁发、或吊销CA机构从事电子认证业务 许可的权力，同时对违规/违法经营操作的CA机构具有行政处罚权；3、制定明确的设立及管理CA机构的条件及程序。同时，在监管CA机构层面上，政 府主管部门还设置所有合法登记、注册经营电子认证业务的CA机构的资料库供客户查询。 如美国犹他州法律规定，主管机构在其设置的公共密钥凭证资料库中，专门开辟一个存有 所有登记注册CA机构详尽档案数据库。其中除了一般公司信息（如公司名称、住址及电 话及被授权的营业范围）外，还包括目前使用的核发认证凭证的机构有无违规经营遭到处 罚的记录等等信息。第二种方式是采取当事人之间通过协议方式来确认电子认证的效力。在这种情形下， 法律只规定原则性条文，如确认电了签名与书面签名的同等效力性，至于当事人之间如何 选择技术方案以及由谁来做第三者-电子认证人，则由当事人之间协议确定。在此情形 下，银行， ISP 公司等均可扮演电子认证的机构的角色。但相对第一种形式，电子认证的 效力就相对薄弱。特别是发生纠纷的情况下，以及如何对抗第三人等，法院如何判定合约 效力及责任归属问题，就无专门法律可依。二、国内外电子认证应用发展及发展模式2.1 国内外的电子认证发展状况目前，国内外电子认证服务业的主要技术是PKI。PKI是利用公开密钥技术所构建 的，解决网络安全问题，普遍使用的一种基础设施。美国的一些学者把提供全面安全服务 的基础设施，包裹软件、硬件、人和策略合称为PKI。PKI提供了网络远景所需的四项基 本安全信任服务：身份识别和认证、机密性、完整性、不可否认性。 PKI 是基础设施，在 实际运作中，主要通过其核心组成部分“数字证书认证中心CA”来实现其功能。从各国实际反战情况看为了网络空间建立同意的信任体系，一般会建立起国家 PKI 体系。就一个国家而言， PKI 体系的建设基本上可分为两种模式进行，即“自上而下”和 “自下而上”。“自上而下”模式指的是国家在最开始就成立专门的管理机构来负责本国 的PKI建设，一般会建立起层状国家PKI体系。首先建立国家根CA,然后由国家根CA来 负责对下级CA的认证，采用这种方式的国家如加拿大、德国、韩国等。另外一种方式建 立国家PKI认可委员会，对国家的CA颁发认可证书，从而形成自上而下的国家PKI体系， 采用此种的如澳大利亚。“自下而上”模式指的是先建立起地区性和行业性CA,然后在 由国家出面进行协调，通过某种方式（如桥CA技术），将各自独立的PKI联结起来，从 而形成国家PKI信任体系。采用桥CA方式建立起国家PKI体系的国家如美国和日本。在我国，由于信息化建设起步比较晚，与国外的PKI发展状况相比，我过的PKI发 展呈现出两种极端的情况：一方面，行业性CA和区域性CA发展很快，目前已有电子认证 服务许可的各类CA中心28家；另一方面，我国政府在PKI的管理方面还未形成绝对权威 管理部门来负责建立全国统一的PKI体系，工业和信息化部正在规划建设国家电子政务电 子认证体系（根中心模式）。根据目前的形式来看，将来我国PKI体系的发展可能是居于 应用需要的“自下而上”式和基于国家控制的“自上而下”式这两种情况并存发展的。 2.2电子认证服务应用及发展模式PKI 概念的出现是在20世纪70年代，知道20世纪80年代末期证书标准制定后，电 子认证业才逐步在楼没经济发达地区孕育而生,早期专业从事PKI/CA的企业有1994