第六章 电子认证法律制度

第六章电子认证法律制度掌握电子认证的概念了解电子认证的原理掌握电子认证法律关系6.1电子认证概述6.1.1产生背景认证是指权威的、中立的、没有直接利害关系的第三人或机构，对当事人提出的包括文件、身份、物品及其产地、品质等，具有法律意义的事实与资格，经审查属实后作出的证明。6.1.2电子认证以特定机构对电子签名及其签名人的真实性进行验证的具有法律意义的行为。6.1.3作用电子签名——技术手段上的保证电子认证则——组织制度上的保证防止欺诈防止否认6.2电子认证机构的设立与管理6.2.1认证机构概述认证机构就是承担网上安全电子交易认证服务、能签发数字证书，并能确认用户身份的服务机构。它为电子商务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责在交易中检验和管理证书；它是电子商务和网上银行交易的权威性、可信赖性及公正性的第三方机构。

数字签名数据加密身份认证PKI平台数据保密数据完整不可抵赖PKI——PublicKeyInfrastructure（公钥服务设施）6.2.2认证机构资质独立的法律实体以自己的名义从事数字证书服务，以其自有财产提供担保，并承担一定的责任。具有中立性与可靠性不代表交易任何一方的利益，仅发布公正的交易信息促成交易。被交易当事人所接受其营业目的是提供公正的交易环境

第五条：电子认证服务机构应当具备下列条件：（一）具有独立的企业法人资格。（二）具有与提供电子认证服务相适应的人员。从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名，并且应当符合相应岗位技能要求。（三）注册资本不低于人民币三千万元。（四）具有固定的经营场所和满足电子认证服务要求的物理环境。（五）具有符合国家有关安全标准的技术和设备。（六）具有国家密码管理机构同意使用密码的证明文件。（七）法律、行政法规规定的其他条件。CA行业典型应用--ChinaFinance★举例：中国金融认证中心中国金融认证中心(CFCA-CertificateAuthority)作为一个权威的、可信赖的、公正的第三方信任机构，于2000年6月29日正式挂牌成立，是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构，是重要的国家金融信息安全基础设施之一，也是《中华人民共和国电子签名法》颁布后，国内首批获得电子认证服务许可的CA之一。专门负责为金融业的各种认证需求提供证书服务，包括电子商务、网上银行、支付系统和管理信息系统等，为参与网上交易的各方提供安全的基础，建立彼此信任的机制。并且在中国电子商务发展中，组织并参与有关网上交易规则的制定，以及确立相应的技术标准等。

6.2.3认证服务第十七条电子认证服务机构应当保证提供下列服务：（一）制作、签发、管理电子签名认证证书。（二）确认签发的电子签名认证证书的真实性。（三）提供电子签名认证证书目录信息查询服务。（四）提供电子签名认证证书状态信息查询服务。

（一）签发电子签名认证证书的电子认证服务机构名称；（二）证书持有人名称；（三）证书序列号；（四）证书有效期；（五）证书持有人的电子签名验证数据；（六）电子认证服务机构的电子签名；（七）工业和信息化部规定的其他内容。证书存储介质的安全性比较优点缺点计算机硬盘使用方便、成本最低。存放证书的PC机必须受到安全保护，否则一旦被黑客攻击，证书就有可能被盗用。软盘成本较低，被窃取的可能性有所降低软盘容易坏，一旦损坏，证书将无法使用。软盘容易被复制、窃取。普通IC卡成本较低、本身不易损坏。普通IC卡本身不能作高强度的加密运算，加密运算只能在PC机中实现，加密时，系统只有将存储在普通IC卡中的密钥读到计算机内存中，造成安全隐患。Key/CPU+USBUSBkey或IC卡内有智能芯片操作系统及RSA协处理器，能作高强度的加密运算，所有加密运算都在eKey或PK卡中完成，只将处理结果传出，安全级别最高。成本较高社区认证服务型交易双方均为某认证机构的证书用户。单方证书用户型一方是证书用户，一方没有任何认证凭证。根认证对证书真伪的校验。交叉认证6.3电子认证法律关系（《电子认证服务管理办法》2009.3.31）6.3.1认证机构的权利义务权利有权根据不同的证书用户的需要，提供不同类型的证书；有权在一定情况下终止电子认证服务或废除证书；收取合理费用。

义务信息披露：（二）保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。第二十一条电子认证服务机构在受理电子签名认证证书申请前，应当向申请人告知下列事项：（一）电子签名认证证书和电子签名的使用条件。（二）服务收费的项目和标准。（三）保存和使用证书持有人信息的权限和责任。（四）电子认证服务机构的责任范围。（五）证书持有人的责任范围。（六）其他需要事先告知的事项。审核申请人身份第三十条有下列情况之一的，电子认证服务机构应当对申请人提供的证明身份的有关材料进行查验，并对有关材料进行审查：（一）申请人申请电子签名认证证书。（二）证书持有人申请更新证书。（三）证书持有人申请撤销证书。

保守信息秘密：

电子认证服务机构对电子签名人和电子签名依赖方的资料，负有保密的义务。

保证认证机构和用户秘钥安全各种管理义务：（一）保证电子签名认证证书内容在有效期内完整、准确。（三）妥善保存与电子认证服务相关的信息。

签发、中止或注销证书第二十九条有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证证书：（一）证书持有人申请撤销证书。（二）证书持有人提供的信息不真实。（三）证书持有人没有履行双方合同规定的义务。（四）证书的安全性不能得到保证。（五）法律、行政法规规定的其他情况。目录服务CA中心证书发放流程5.公开发行证书4.CA生成公密钥对(若为加密证书)并制证，通知RA6.通知LRA证书请求结果3.请求CA制证2.提交证书请求到上级RA注册机构(RA)当地发证窗口(LRA)1.提交请求，验明身份7.通知用户下载证书或将存储私钥和证书的载体发给用户证书和CRL查询新用户6.3.2证书持有人的权利义务权