1、基于网络公证的电子商务认证体系研究摘要 针对目前国内 CA 认证在技术层面和应用层面上的弊端,提出了网络公证这一想法,将权威的国家证明权引入虚拟的网络世界,实行网络公证填补网络世界的法律真空,对主体身份确认危机、交易数据的证据危机和网络交易履行中的支付信任危机给出了解决方案。 关键词 电子商务 网络 CA PKI 随着网络技术和信息技术的发展,电子商务已经被普通百姓所接受,它将逐步取代传统商务活动,并有可能彻底改变贸易活动的本质,形成一套全新的贸易活动框架。但由于多种原因,电子商务的安全性仍然得不到有效的保障。为了解决电子商务的安全问题,世界各国经过多年的研究,初步形成了一套比较完整的解决方案
2、,即公开密钥基础设施 PKI(Public Key Infrastructure)。PKI 是基于公开密钥理论和技术建立起来的、提供信息安全服务的具有通用性的安全基础设施,可以保证网络通信、网上交易的安全。它采用证书进行公钥管理,通过 第三方可信任机构认证中心 CA(Certificate Authority),把用户的公钥和用户的其他标识信息(如用户名、Email 地址、身份证号码等)捆绑在一起,从而实现用户身份的验证、密钥的自动管理等安全功能。而电子商务它本质上仍是商务,只是在资讯媒介这一交易手段上有了创新,即以网络数据传递方式代替传统的纸介质的书面形式。电子商务仍须严谨地按照传统交易规则
3、进行。与传统交易模式相比较,除了利用了更为便捷高效的网络媒介手段外,整个交易流程没有改变,交易各方仍须经过互相确认身份、邀约及承诺、合约履行三个环节。 在商务活动中,公证司法证明权也必需在网上的实现,而这种在网络上进行的证明,有别于纸介质的书面证明方式,我们称之为“网络公证” (CyberNotary) 。 一、国内 CA 的现状 CA 认证机构是电子商务发展的需要。各级 CA 认证机构的存在组成了整个电子商务的信任链。如果 CA 机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。自 1998 年国内第一家以实体形式运营的上海 CA 中心成立以来,全国各地、各行
4、业已经建成了几十家不同类型的 CA 认证机构。从 CA 中心建设的背景来分,国内的 CA 中心可以分为三类:行业建立的 CA,如 CFCA,CTCA 等;政府授权建立的 CA,如上海 CA、北京 CA 等商业性 CA。不难看出,行业性 CA 不但是数字认证的服务商,也是其他商品交易的服务商,他们不可避免的要在不同程度上参与交易过程,这与 CA 中心本身要求的“第三方”性质又有很大的不同。就应用的范围而言,行业性 CA 更倾向于在自己熟悉的领域内开展服务。例如,外经贸部的国富安 CA 认证中心适当完善之后将首先应用于外贸企业的进出口业务。政府授权建立的第三方认证系统属于地区性 CA,除具有地域优
5、势外,在推广应用和总体协调方面具有明显的优势,不过需要指出地区性 CA 离不开与银行、邮电等行业的合作。 二、国内 CA 存在的问题 在电子商务系统中,CA 安全认证中心负责所有实体证书的签名和分发。CA 安全认证体系由证书审批部门和证书操作部门组成。就目前的情况而言,CA 的概念已经深入到电子商务的各个层面,但就其应用而言,还远远不够,都还存在一些问题。 1.在技术层面上 标准不统一,既有国际上的通行标准,又有自主研发的标准,这必将导致交叉认证过程中出现“公说公有理,婆说婆有理”的局面。 2.在应用层面上 一些 CA 认证机构对证书的发放和审核不够严谨。从法理上讲这些审核人员不具备法律上所要
6、求的审核证明人资格,也无法承担相应的法律责任;另一方面现在的 CA 中心本身往往也是交易或合同的一方,难免存在不公正性。在分布格局上,很多 CA 认证机构还存在明显的地域性和行业性,无法满足充当面向全社会的第三方权威认证机构的基本要求,而就互联网而言,不应该也不可能存在地域限制。 三、认证的解决方案 在传统的商务贸易中,公证机构作为国家的证明机构,以交易信用的第三方中介行使国家证明权,其权威性与统一性历来为法律所确认。公证证明属国际惯例,中国加入 WTO 后,在与国际法律制度的接轨中,公证机构的证明效力日益显现出来。正因如此,将权威的国家证明权引入虚拟的网络世界,实行网络公证能够彻底填补网络世
7、界的法律真空,解决目前国内 CA 认证的弊端,使现实世界的真实性向网络世界延伸。 网络公证方案首先从网络身份的真实性证明入手,在确认网络主体的真实身份的基础上,对网络交易内容以公正的第三方的角度加以证据保全,对交易履约中的资金支付采用公证行业特有的第三方安全支付加以解决,因此,我认为网络公证方案是电子商务安全与信用的一个整体解决方案。 1.网络中真实身份审核的解决 一个安全、完整的电子商务系统必须建立一个完整、合理的 CA 安全认证体系。以 PKI 技术为核心的 CA 证书能解决网络数据传输中的签名问题,日益显现出其确认网络主体身份的优越性。但是,在实际运作中,网络 CA 电子身份证书仍然为大
8、家所怀疑。究其原因,关键在于网络中的CA 证书持有人与现实世界中的真实身份是否一致并未得到彻底解决。如不解决这个前提,则用 CA 证书所做的任何签字将不产生任何法律效力,因为没有一个现实世界的主体与之相对应,并承担网上义务,而法庭更是无从受理。 纵观诸多国家的电子交易,数字证书的发放都不是依靠交易双方自己来完成,而是由一个具有权威性和公正性的第三方来完成,该第三方中介机构以提供公正交易环境为目的,应具有中立性。因此,银行所办的 CA 中心以及其他纯商业性的 CA 中心是不符合国际惯例的。一个身份认证必须满足两种鉴别需要:当面鉴别和网上鉴别。当面鉴别以生物特征为主,网上鉴别则以逻辑特征为主。在
9、CA 证书的发放中,最关键的环节是 RA(Registration Authority)证书离线面对面审核,交易当事人最关心的基本信息,如网上的对方究竟是谁,真实的身份与信用状况如何等。然而,目前相当多的 CA 公司在实际操作中或多或少地存在随意性,并未建立起严格的审核要求与流程。申请数字证书的用户只要在网上将相关的表格随意填写后,即可从 CA 公司那里获得个人 CA 证书。异地申请的企业只要将相关资料盖上公章邮寄过去,并交足相关费用即可获得CA 证书。造成这种状况的一个重要原因是:要在全国建立几千个面对面的审核点,目前还具有很大的难度,因而建立严格的审核流程是十分困难的。然而网络公证可以彻底
10、解决这一困惑。网络公证可以将传统的公证证明应用到 CA 证书的身份审核上。其具体解决办法是:将遍布全国的数千家公证机构通过因特网联成一个统一的网络中国公证网络,以实现将社会公众、公证客户、公证机构与公证相联结。也就是说,通过中国公证网,将遍布全国各地的公证机构有机地联在一起,彻底解决了异地审核的难度,并确保了网络身份的真实性。当用户需要申请 CA 证书时,即可到所在地的公证机构进行离线的面对面审核,也即 RA 审核。该审核严格按照公证机构的审核要求与流程进行,公证机构自然地对所审核的内容承担相应的法律责任,经过 RA 审核后的资料统一进入公证机构的中心数据库中进行安全存放。这样,经网络公证 R
11、A 审核后所颁发的 CA 证书就自然地与其真实身份相对应,以后在电子商务交易中的网上签名行为即为其真实持有人所为。进行 RA 审核的人员不是普通公民,而是现行法律体系中承担法定审核工作的公证员,他们负有审核身份的法律责任,行使的是国家的证明权。由此可见,网络公证所构建的网络真实身份审核体系,可以与 CA 中心以及其他公司相配合,为其发放 CA 证书提供审核环节的服务,以解决其审核布点困难以及审核者身份不合法的问题。 就技术而言,CA 在现阶段的应用已趋成熟,PKI 公钥管理体系也很实用。它通过给个人、企事业单位及政府机构签发公用密钥与私人密钥组成的数字证书,来确认电子商务活动中交易各方的身份,
12、并通过加解密方法来实现网络信息传输中的签名问题,以确保交易安全性。 2.网络中的交易数据的安全保存 在确定网络身份后,交易双方就进入了实质谈判,以达成双方认可的条款。在传统交易中,协议的合同化过程是在书面合同上签字盖章,一旦交易双方日后在履约中出现争议,就可以以当初所签署的书面合同作为证据来解决存在的争议。与此对应,在虚拟的网络交易中,也必须能让虚拟的交易数据得以固化并在日后可能发生的纠纷中作为证据为法院所采证。网络公证方案可以采用的解决方法是提供第三方数据保管服务。当交易双方在网上达成协议后,各自用 CA 证书对合同进行加密签名,并将合同的电文数据内容提交到网络公证的数据保存中心。由于进行了
13、加密签名,数据保存中心也无法打开并知悉当初的交易合同,这就真正确保了其安全性。事实上,由于第三方公正方的参与,使得电子商务交易得以在制度层面得到安全保障。交易双方一旦出现纠纷,通过解密打开的合同将由公证机构出具其保存的公证书证据。而公证文书在法庭上是可以作为证据直接被采纳的。 3.网上合同履行的提存服务 电子商务交易的信任危机除了主体身份确认危机、交易数据的证据危机外,网络交易履行中的支付信任更是阻碍网络交易发展的阻力。双方达成交易意向后,买家担心的是能否准确、及时地收到货物;卖家担心的是交了货后能否准确、快捷地收到货款。也就是说,网络交易双方共同关心着网络合同履行中的信用安全问题。网络公证可
14、以依照传统的提存公证思路,结合网络技术展开网络提存业务。在网络电子商务交易中,买方不必将货款直接交付卖方,而是将货款提存到网络公证提存中心,在其收到货物并签署完相关单据后,提存中心再将货款支付给卖方。这样,网络公证提供的第三方提存服务彻底解决了网络交易双方对网上合同履行的困惑,尤其是支付的担忧。法律制度和传统贸易中早已有的公证提存方式对网络世界中的交易尤为适用。 可以预见,随着信息安全领域的标准化、法制化建设的日益完善,网络公证依托中国公证网络,运用公证的国家证明力所构建的第三方信用与安全服务以及网上合同履行的提存服务,将彻底解决网络交易主体对电子商务的信用问题,也必将极大地推动我国电子商务的
15、发展。 四、小结 总之,通过向网络主体在经过 RA 审核后发放 CA 电子身份证,解决了网上虚拟主体的真实身份及网上签名问题,并通过网络公证的数据备份中心为交易双方的网上电子合同提供了证据保全,最终以网上提存电子合同的履行来提供网上支付信用服务。 “网络公证”作为一个第三方法律服务平台,以其几个有机连结的在线服务系统、完整地解决了电子商务中的安全及信用问题,在虚拟的网络空间构建起一座沟通双方的真实桥梁。 参考文献: 1谭卫:电子商务中安全技术的研究D.哈尔滨:哈尔滨工业大学,2006 2卢震宇戴英侠郑江:基于认证中心的多级信任模型的分析与构建仁J.计算机工程,2001 3Mclaughlin. L, Holistic security IEEE Security and Privacy 3 (3),2005 4Bella.G,Massacci.F,Paulson.L.C.An overview of the verification of SETInternational Journal of Information Security 4(12),2005 5刘思源:电子商务安全及其措施J.商业研究,2003,11