|
[摘要] 针对目前国内CA认证在技术层面和应用层面上的弊端,提出了网络公证这一想法,将权威的国家证明权引入虚拟的网络世界,实行网络公证填补网络世界的法律真空,对主体身份确认危机、交易数据的证据危机和网络交易履行中的支付信任危机给出了解决方案。
[关键词] 电子商务 网络 CA PKI
随着网络技术和信息技术的发展,电子商务已经被普通百姓所接受,它将逐步取代传统商务活动,并有可能彻底改变贸易活动的本质,形成一套全新的贸易活动框架。但由于多种原因,电子商务的安全性仍然得不到有效的保障。为了解决电子商务的安全问题,世界各国经过多年的研究,初步形成了一套比较完整的解决方案,即公开密钥基础设施PKI(Public Key Infrastructure)。PKI是基于公开密钥理论和技术建立起来的、提供信息安全服务的具有通用性的安全基础设施,可以保证网络通信、网上交易的安全。它采用证书进行公钥管理,通过
第三方可信任机构———认证中心CA(Certificate Authority),把用户的公钥和用户的其他标识信息(如用户名、Email地址、身份证号码等)捆绑在一起,从而实现用户身份的验证、密钥的自动管理等安全功能。而电子商务它本质上仍是商务,只是在资讯媒介这一交易手段上有了创新,即以网络数据传递方式代替传统的纸介质的书面形式。电子商务仍须严谨地按照传统交易规则进行。与传统交易模式相比较,除了利用了更为便捷高效的网络媒介手段外,整个交易流程没有改变,交易各方仍须经过互相确认身份、邀约及承诺、合约履行三个环节。
在商务活动中,公证司法证明权也必需在网上的实现,而这种在网络上进行的证明,有别于纸介质的书面证明方式,我们称之为“网络公证”(CyberNotary)。
一、国内CA的现状
CA认证机构是电子商务发展的需要。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。自1998年国内第一家以实体形式运营的上海CA中心成立以来,全国各地、各行业已经建成了几十家不同类型的CA认证机构。从CA中心建设的背景来分,国内的CA中心可以分为三类:行业建立的CA,如CFCA,CTCA等;政府授权建立的CA,如上海CA、北京CA等商业性CA。不难看出,行业性CA不但是数字认证的服务商,也是其他商品交易的服务商,他们不可避免的要在不同程度上参与交易过程,这与CA中心本身要求的“第三方”性质又有很大的不同。就应用的范围而言,行业性CA更倾向于在自己熟悉的领域内开展服务。例如,外经贸部的国富安CA认证中心适当完善之后将首先应用于外贸企业的进出口业务。政府授权建立的第三方认证系统属于地区性CA,除具有地域优势外,在推广应用和总体协调方面具有明显的优势,不过需要指出地区性CA 离不开与银行、邮电等行业的合作。
二、国内CA存在的问题
在电子商务系统中,CA 安全认证中心负责所有实体证书的签名和分发。CA安全认证体系由证书审批部门和证书操作部门组成。就目前的情况而言,CA的概念已经深入到电子商务的各个层面,但就其应用而言,还远远不够,都还存在一些问题。
1.在技术层面上
标准不统一,既有国际上的通行标准,又有自主研发的标准,这必将导致交叉认证过程中出现“公说公有理,婆说婆有理”的局面。
2.在应用层面上
一些CA认证机构对证书的发放和审核不够严谨。从法理上讲这些审核人员不具备法律上所要求的审核证明人资格,也无法承担相应的法律责任;另一方面现在的CA中心本身往往也是交易或合同的一方,难免存在不公正性。在分布格局上,很多CA认证机构还存在明显的地域性和行业性,无法满足充当面向全社会的第三方权威认证机构的基本要求,而就互联网而言,不应该也不可能存在地域限制。
三、认证的解决方案
在传统的商务贸易中,公证机构作为国家的证明机构,以交易信用的第三方中介行使国家证明权,其权威性与统一性历来为法律所确认。公证证明属国际惯例,中国加入WTO后,在与国际法律制度的接轨中,公证机构的证明效力日益显现出来。正因如此,将权威的国家证明权引入虚拟的网络世界,实行网络公证能够彻底填补网络世界的法律真空,解决目前国内CA认证的弊端,使现实世界的真实性向网络世界延伸。
网络公证方案首先从网络身份的真实性证明入手,在确认网络主体的真实身份的基础上,对网络交易内容以公正的第三方的角度加以证据保全,对交易履约中的资金支付采用公证行业特有的第三方安全支付加以解决,因此,我认为网络公证方案是电子商务安全与信用的一个整体解决方案。
1.网络中真实身份审核的解决
一个安全、完整的电子商务系统必须建立一个完整、合理的CA安全认证体系。以PKI技术为核心的CA证书能解决网络数据传输中的签名问题,日益显现出其确认网络主体身份的优越性。但是,在实际运作中,网络CA电子身份证书仍然为大家所怀疑。究其原因,关键在于网络中的CA证书持有人与现实世界中的真实身份是否一致并未得到彻底解决。如不解决这个前提,则用CA证书所做的任何签字将不产生任何法律效力,因为没有一个现实世界的主体与之相对应,并承担网上义务,而法庭更是无从受理。
纵观诸多国家的电子交易,数字证书的发放都不是依靠交易双方自己来完成,而是由一个具有权威性和公正性的第三方来完成,该第三方中介机构以提供公正交易环境为目的,应具有中立性。因此,银行所办的CA中心以及其他纯商业性的CA中心是不符合国际惯例的。一个身份认证必须满足两种鉴别需要:当面鉴别和网上鉴别。当面鉴别以生物特征为主,网上鉴别则以逻辑特征为主。在CA证书的发放中,最关键的环节是 RA(Registration Authority)证书离线面对面审核,交易当事人最关心的基本信息,如网上的对方究竟是谁,真实的身份与信用状况如何等。然而,目前相当多的CA公司在实际操作中或多或少地存在随意性,并未建立起严格的审核要求与流程。申请数字证书的用户只要在网上将相关的表格随意填写后,即可从CA公司那里获得个人CA证书。异地申请的企业只要将相关资料盖上公章邮寄过去,并交足相关费用即可获得CA证书。造成这种状况的一个重要原因是:要在全国建立几千个面对面的审核点,目前还具有很大的难度,因而建立严格的审核流程是十分困难的。然而网络公证可以彻底解决这一困惑。网络公证可以将传统的公证证明应用到CA证书的身份审核上。其具体解决办法是:将遍布全国的数千家公证机构通过因特网联成一个统一的网络—中国公证网络,以实现将社会公众、公证客户、公证机构与公证相联结。也就是说,通过中国公证网,将遍布全国各地的公证机构有机地联在一起,彻底解决了异地审核的难度,并确保了网络身份的真实性。当用户需要申请CA证书时,即可到所在地的公证机构进行离线的面对面审核,也即RA审核。该审核严格按照公证机构的审核要求与流程进行,公证机构自然地对所审核的内容承担相应的法律责任,经过RA审核后的资料统一进入公证机构的中心数据库中进行安全存放。这样,经网络公证RA审核后所颁发的CA证书就自然地与其真实身份相对应,以后在电子商务交易中的网上签名行为即为其真实持有人所为。进行 RA审核的人员不是普通公民,而是现行法律体系中承担法定审核工作的公证员,他们负有审核身份的法律责任,行使的是国家的证明权。由此可见,网络公证所构建的网络真实身份审核体系,可以与CA中心以及其他公司相配合,为其发放CA 证书提供审核环节的服务,以解决其审核布点困难以及审核者身份不合法的问题。 |
|