《电子商务法律与实务 第4章-数字签名与电子认证.ppt》由会员分享,可在线阅读,更多相关《电子商务法律与实务 第4章-数字签名与电子认证.ppt(191页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 第第4 4章章 数字签名与电子认证数字签名与电子认证 本章提要:本章详细介绍数字签名与本章提要:本章详细介绍数字签名与电子认证,首先要了解传统签名的法律内电子认证,首先要了解传统签名的法律内涵与性质,数字签名的技术环境,深入理涵与性质,数字签名的技术环境,深入理解电子认证的法律意义以及电子认证的分解电子认证的法律意义以及电子认证的分类与作用。类与作用。要求掌握数字签名过程与规则,了解要求掌握数字签名过程与规则,了解数字签名的特点、制作与核证过程、数字数字签名的特点、制作与核证过程、数字签名应用步骤,以及各方当事人的基本行签名应用步骤,以及各方当事人的基本行为规范。为规范。要重点掌握电子签名的
2、法律要求,如要重点掌握电子签名的法律要求,如电子签名的基本要求、法定标准、法律效电子签名的基本要求、法定标准、法律效力和电子签名的使用及其效果。力和电子签名的使用及其效果。充分认识认证机构与数字证书,对认充分认识认证机构与数字证书,对认证机构的设立、管理、证书业务规范、信证机构的设立、管理、证书业务规范、信用规范都要熟悉。用规范都要熟悉。最后重点掌握电子认证活动中的法律最后重点掌握电子认证活动中的法律问题,如认证机构与当事人间的法律关系、问题,如认证机构与当事人间的法律关系、认证机构的风险及其法律责任。认证机构的风险及其法律责任。电子签名与电子认证概述电子签名与电子认证概述4.1 数字签名过程
3、与规则数字签名过程与规则4.2 电子签名的法律要求电子签名的法律要求4.3 认证机构与数字证书认证机构与数字证书4.4 电子认证活动中的法律问题电子认证活动中的法律问题4.5 本章小结本章小结4.6 本章小结本章小结4.7 4.1 4.1 电子签名与电子认证概述电子签名与电子认证概述4.1.1传统签名的法律内涵与性传统签名的法律内涵与性质质1传统签名的概念传统签名的概念传统签名,是与书面形式紧密联系的传统签名,是与书面形式紧密联系的一个概念。一个概念。各国的法律或相关辞典等对之都有相各国的法律或相关辞典等对之都有相应的解释。应的解释。2传统签名的法律内涵与性质传统签名的法律内涵与性质(1)传统
4、签名的法律内涵)传统签名的法律内涵尽管上述尽管上述“签名签名”的定义各有不同,的定义各有不同,但就传统签名的内涵来看,还是比较一致但就传统签名的内涵来看,还是比较一致的,即签名是特定人手写自己的名字,以的,即签名是特定人手写自己的名字,以此表明其受书面内容约束的意愿。此表明其受书面内容约束的意愿。因此,因此,“签名签名”应包含三个重要方面应包含三个重要方面的内容。的内容。正确的名字。正确的名字。书面形式。书面形式。本人亲手书写。本人亲手书写。“签名签名”在法律意义上来说,是一种行在法律意义上来说,是一种行为,而非事件。为,而非事件。“签名签名”首先是一种证明行为,表明物首先是一种证明行为,表明
5、物品、行为和意思的归属或同意;其次是特品、行为和意思的归属或同意;其次是特定法律行为的构成要素,当法律规定或当定法律行为的构成要素,当法律规定或当事人约定以事人约定以“签名签名”作为法律行为生效要作为法律行为生效要件时,件时,“签名签名”就成为该法律行为的决定就成为该法律行为的决定因素之一。因素之一。由此,由此,“签名签名”具有多种法律功能。具有多种法律功能。正如联合国国际贸易法委员会在拟定正如联合国国际贸易法委员会在拟定电子商务示范法电子商务示范法的过程中,指出的过程中,指出“签签名名”的下述功能。的下述功能。确定一个人的身份。确定一个人的身份。肯定是该人自己的签名。肯定是该人自己的签名。使
6、该人与文件内容发生关系。使该人与文件内容发生关系。(2)传统签名的性质)传统签名的性质传统签名具有传统签名具有“身份性、承认性、法身份性、承认性、法律性、制约性律性、制约性”的特性。的特性。身份性。身份性。作为签署文件的身份证明,把自己与作为签署文件的身份证明,把自己与所签署的文件相关联,例如遗嘱。所签署的文件相关联,例如遗嘱。承认性。承认性。证实签名之人同意了文件的内容。证实签名之人同意了文件的内容。法律性。法律性。签署人意图说明此文件具有法律效力签署人意图说明此文件具有法律效力并且可充当签名的证据。并且可充当签名的证据。制约性。制约性。签署之后,签署人明确其签署行为,签署之后,签署人明确其
7、签署行为,并在文件规定的范围之内行事。并在文件规定的范围之内行事。由此,收到含有签名的文件的接收方由此,收到含有签名的文件的接收方可以确认相对方已证实了文件的内容;接可以确认相对方已证实了文件的内容;接收方还可以证实签署人的身份;他们收到收方还可以证实签署人的身份;他们收到了有关文件来源和内容的证据。了有关文件来源和内容的证据。从法律的角度来看,传统签字主要起从法律的角度来看,传统签字主要起着认证的作用,即确认该合同或文件是真着认证的作用,即确认该合同或文件是真实的(实的(asgenuine),并赋予其法律效力),并赋予其法律效力(legalvalidity)、可靠性()、可靠性(credib
8、ility)、)、可接受性(可接受性(acceptability)。)。而且由于书面文件的耐久性及手书签而且由于书面文件的耐久性及手书签字的独特性等特征,在传统的法律制度中,字的独特性等特征,在传统的法律制度中,签字为一种最主要也是最有效的认证手段。签字为一种最主要也是最有效的认证手段。因此,世界上许多国家的法律在很多因此,世界上许多国家的法律在很多的情况下都要求多数合同、文件或单据在的情况下都要求多数合同、文件或单据在符合书面形式的要求后,还必须有当事人符合书面形式的要求后,还必须有当事人的签字。的签字。4.1.2数字签名的技术环境数字签名的技术环境1数字签名的概念数字签名的概念数字签名是利
9、用公钥密码技术和其他数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码算法生成一系列符号及代码组成电子密码进行签名,来代替书写签名和印章。密码进行签名,来代替书写签名和印章。这种电子式的签名还可进行技术验证,这种电子式的签名还可进行技术验证,其验证的准确度是手工签名和图章的验证其验证的准确度是手工签名和图章的验证无法比拟的。无法比拟的。数字签名在数字签名在ISO7498-2标准中定义为:标准中定义为:“附加在数据单元上的一些数据,或是对附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数
10、据单换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造。防止被人(例如接收者)进行伪造。”它是对电子形式的消息进行签名的一它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络种方法,一个签名消息能在一个通信网络中传输。中传输。美国电子签名标准对数字签名作了如美国电子签名标准对数字签名作了如下解释:下解释:“利用一套规则和一个参数对数据计算利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的所得的结果,用此结果能够确认签名者的身份和数据的完整性。身份和数据的完整性。”2公钥
11、密码技术公钥密码技术实现数字签名的技术有很多,基于公实现数字签名的技术有很多,基于公钥密码体制和私钥密码体制都可以获得数钥密码体制和私钥密码体制都可以获得数字签名。字签名。目前数字签名采用较多的是公钥加密目前数字签名采用较多的是公钥加密技术。技术。1994年美国标准与技术协会公布了数年美国标准与技术协会公布了数字签名标准而使公钥加密技术广泛应用。字签名标准而使公钥加密技术广泛应用。公钥加密系统采用的是非对称加密算公钥加密系统采用的是非对称加密算法。法。公钥证书和私钥是用加密文件存放在公钥证书和私钥是用加密文件存放在证书介质中。证书介质中。证书是由认证服务机构证书是由认证服务机构CA所签发的权所
12、签发的权威电子文档,威电子文档,CA与数字证书等是公钥基础与数字证书等是公钥基础设施设施PKI的主要组成机构和元素。的主要组成机构和元素。3PKI技术技术PKI是一个利用非对称密码算法(即是一个利用非对称密码算法(即公开密钥算法)原理和技术实现的,并提公开密钥算法)原理和技术实现的,并提供网络安全服务的,具有通用性的安全基供网络安全服务的,具有通用性的安全基础设施。础设施。它遵循标准的公钥加密技术,为电子它遵循标准的公钥加密技术,为电子商务、电子政务、网上银行和网上证券业商务、电子政务、网上银行和网上证券业提供一整套安全保证的基础平台。提供一整套安全保证的基础平台。用户利用用户利用PKI基础平
13、台所提供的安全基础平台所提供的安全服务,能在网上实现安全地通信。服务,能在网上实现安全地通信。PKI这种遵循标准的密钥管理平台,这种遵循标准的密钥管理平台,能够为所有网上应用,透明地提供加解密能够为所有网上应用,透明地提供加解密和数字签名等安全服务所需要的密钥和证和数字签名等安全服务所需要的密钥和证书管理。书管理。PKI是硬件、软件、策略和人组成的是硬件、软件、策略和人组成的系统。系统。PKI的核心执行机构是电子认证服务的核心执行机构是电子认证服务提供者,即通称为认证机构提供者,即通称为认证机构CA(CertificateAuthority)。)。4.1.3电子认证的法律意义电子认证的法律意义
14、 电子认证是电子商务安全运行的重要电子认证是电子商务安全运行的重要条件之一,也是牵涉到电子商务能否广泛条件之一,也是牵涉到电子商务能否广泛开展的关键环节。开展的关键环节。目前世界各国和地区都在探讨适合本目前世界各国和地区都在探讨适合本国、本地区的电子认证体系与模式。国、本地区的电子认证体系与模式。我国也不例外,一些行业、企业已将我国也不例外,一些行业、企业已将电子商务认证系统的研究、开发,列入了电子商务认证系统的研究、开发,列入了自身发展战略之中,有的已经进入了试运自身发展战略之中,有的已经进入了试运行阶段。行阶段。电子认证是以特定的认证机构对电子电子认证是以特定的认证机构对电子签名及其签署者
15、的真实性进行验证的具有签名及其签署者的真实性进行验证的具有法律意义上的服务。法律意义上的服务。4.1.4电子认证的分类与作用电子认证的分类与作用1电子认证的分类电子认证的分类(1)按照认证主体分类)按照认证主体分类双方认证。双方认证。第三方认证。第三方认证。(2)按照电子认证的功能和对象分)按照电子认证的功能和对象分类类站点认证。站点认证。电子意思表示认证。电子意思表示认证。身份认证。身份认证。2电子认证的作用电子认证的作用电于认证作为一种在线服务,其作用电于认证作为一种在线服务,其作用主要有两点:一是防止欺诈,二是防止否主要有两点:一是防止欺诈,二是防止否认。认。(1)防止欺诈。)防止欺诈。
16、(2)防止否认。)防止否认。4.2 4.2 数字签名过程与规则数字签名过程与规则4.2.1数字签名的特点数字签名的特点数字签名的特点是和传统签名相比较数字签名的特点是和传统签名相比较来看的。来看的。签名本质上是一种认证手段或程序。签名本质上是一种认证手段或程序。传统签名随着科技发展,将被新的认证手传统签名随着科技发展,将被新的认证手段和程序代替,这是历史的必然。段和程序代替,这是历史的必然。因为,传统签名的局限性十分明显。因为,传统签名的局限性十分明显。1传统签名的特点传统签名的特点(1)传统签名必须以纸面为载体,)传统签名必须以纸面为载体,因此无论是书写还是传送,都比电子因此无论是书写还是传
17、送,都比电子通信媒介的成本要高得多,而且也不通信媒介的成本要高得多,而且也不如电子通信方式方便和快捷。如电子通信方式方便和快捷。(2)传统签名必须由签名人亲笔书)传统签名必须由签名人亲笔书写,这一点虽然对于法律行为的发生写,这一点虽然对于法律行为的发生具有证据法上的意义,但从商业交易具有证据法上的意义,但从商业交易的数量与频率上来看,由于受签名人的数量与频率上来看,由于受签名人的精力、时间及其行动空间的约束,的精力、时间及其行动空间的约束,因此传统的签名不适合于大规模的交因此传统的签名不适合于大规模的交易行为的进行。易行为的进行。(3)维护传统签名的成本高。一方)维护传统签名的成本高。一方面对
18、传统签名的仿冒成本低,不需要面对传统签名的仿冒成本低,不需要很高的技术和成本,因此存在很大的很高的技术和成本,因此存在很大的仿冒可能性;而另一方面,对仿冒签仿冒可能性;而另一方面,对仿冒签名的鉴定却需要专业的技术和人员,名的鉴定却需要专业的技术和人员,并且准确性也并非万无一失。并且准确性也并非万无一失。2数字签名的特点数字签名的特点(1)签名行为的复杂性。)签名行为的复杂性。(2)签名保存的电子化。)签名保存的电子化。(3)签名识别的间接化。)签名识别的间接化。(4)签名的多样性。)签名的多样性。(5)签名和文件的相关性。)签名和文件的相关性。从数字签名的使用和功能看,也与传从数字签名的使用和
19、功能看,也与传统签名不同。统签名不同。(1)从数字签名的使用来看,数字)从数字签名的使用来看,数字签名一般是通过在线签署的,是一种签名一般是通过在线签署的,是一种远距离的认证方式,它不能像传统签远距离的认证方式,它不能像传统签名一样,保证签名人亲临交易现场。名一样,保证签名人亲临交易现场。(2)从数字签名的功能来看,它具)从数字签名的功能来看,它具有保证信息传输的保密性、数据交换有保证信息传输的保密性、数据交换的完整性、发送信息的不可否认性、的完整性、发送信息的不可否认性、交易者身份的确定性等特点。交易者身份的确定性等特点。4.2.2数字签名的制作与核证数字签名的制作与核证过程过程1基于对称密
20、钥的数字签名的制基于对称密钥的数字签名的制作与核证作与核证传统的基于对称密钥的加传统的基于对称密钥的加/解密身份识解密身份识别和签名方法,是指使用同一密钥进行加别和签名方法,是指使用同一密钥进行加密和解密的方法。密和解密的方法。2基于非对称密钥的数字签名的基于非对称密钥的数字签名的制作与核证制作与核证目前基于非对称密钥的数字签名是建目前基于非对称密钥的数字签名是建立在公共密钥体制基础上的,它是公用密立在公共密钥体制基础上的,它是公用密钥加密技术的另一类应用。钥加密技术的另一类应用。3数字签名的核证作用数字签名的核证作用通过数字签名能够实现对原始报文的通过数字签名能够实现对原始报文的鉴别与核证。
21、鉴别与核证。数字签名与书面文件签名有相同之处。数字签名与书面文件签名有相同之处。采用数字签名,采用数字签名,如果接收方对发送方如果接收方对发送方数字签名验证成功,就可以对以下三个实数字签名验证成功,就可以对以下三个实质性的问题作出核证。质性的问题作出核证。(1)该报文确实是由签名者的发送)该报文确实是由签名者的发送方所发出的,报文来源于该发送者。方所发出的,报文来源于该发送者。因为,签署时电子签名数据由电子因为,签署时电子签名数据由电子签名人所控制。签名人所控制。(2)被签名的报文确实是经发送方)被签名的报文确实是经发送方签名后发送的,说明发送方用了自签名后发送的,说明发送方用了自己的私钥做的
22、签名并得到验证,达己的私钥做的签名并得到验证,达到不可否认的目的。到不可否认的目的。(3)接收方收到的报文在传输中没)接收方收到的报文在传输中没有被篡改,保持了数据的完整性,有被篡改,保持了数据的完整性,因为,签署后对电子签名的任何改因为,签署后对电子签名的任何改动都能够被发现。动都能够被发现。4.2.3数字签名应用步骤数字签名应用步骤在电子商务安全保密系统中,数字签在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在数据电文名技术有着特别重要的地位,在数据电文的源鉴别、完整性服务、不可否认服务中,的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。都要用到数字签名技术。下面我
23、们将讲述数字签名的具体应用下面我们将讲述数字签名的具体应用步骤。步骤。1不要求对原文进行加密的数字不要求对原文进行加密的数字签名步骤签名步骤 (1)身份认证)身份认证单向认证是甲乙双方在网上通信时,单向认证是甲乙双方在网上通信时,甲只需要认证乙的身份即可。甲只需要认证乙的身份即可。双向认证。双向认证。(2)数字签名的步骤)数字签名的步骤数字签名的步骤可以分为三个阶段:数字签名的步骤可以分为三个阶段:首先是生成被签名的电子文件(首先是生成被签名的电子文件(电子签电子签名法名法中称数据电文),然后对电子文件中称数据电文),然后对电子文件用哈希算法做数字摘要,再对数字摘要用用哈希算法做数字摘要,再对
24、数字摘要用签名私钥做非对称加密,即做数字签名。签名私钥做非对称加密,即做数字签名。之后是将以上的签名和电子文件原文之后是将以上的签名和电子文件原文以及签名证书的公钥加在一起进行封装,以及签名证书的公钥加在一起进行封装,形成签名结果发送给收方,等待收方验证。形成签名结果发送给收方,等待收方验证。(3)数字签名的验证)数字签名的验证接收方收到数字签名的结果,其中包接收方收到数字签名的结果,其中包括数字签名、电子原文和发送方公钥,即括数字签名、电子原文和发送方公钥,即待验证的数据。待验证的数据。2要要求求对对原原文文进进行行加加密密的的数数字字签签名步骤名步骤 “数字信封数字信封”是由发送方将其对称
25、密钥是由发送方将其对称密钥用接收方公钥加密后形成的,具体签名的用接收方公钥加密后形成的,具体签名的步骤如下。步骤如下。(1)发方)发方A将原文信息进行哈希运算,将原文信息进行哈希运算,得一哈希值即数字摘要得一哈希值即数字摘要MD。(2)发方)发方A用自己的私钥用自己的私钥PVA,采用,采用非对称非对称RSA算法,对数字摘要算法,对数字摘要MD进进行加密,即得数字签名行加密,即得数字签名DS。(3)发方)发方A用对称算法用对称算法DES的对称密的对称密钥钥SK对原文信息、数字签名对原文信息、数字签名DS及发及发方方A证书的公钥证书的公钥PBA采用对称算法加采用对称算法加密,得加密信息密,得加密信
26、息E。(4)发方用收方)发方用收方B的公钥的公钥PBB,采用,采用RSA算法对对称密钥算法对对称密钥SK加密,形成加密,形成数字信封数字信封DE,就好像将对称密钥,就好像将对称密钥SK装到了一个用收方公钥加密的信封里。装到了一个用收方公钥加密的信封里。(5)发方)发方A将加密信息将加密信息E和数字信封和数字信封DE一起发送给收方一起发送给收方B。(6)收方)收方B接受到数字信封接受到数字信封DE后,后,首先用自己的私钥首先用自己的私钥PVB解密数字信封,解密数字信封,取出对称密钥取出对称密钥SK。(7)收方)收方B用对称密钥用对称密钥SK通过通过DES算法解密加密信息算法解密加密信息E,还原出
27、原文信,还原出原文信息、数字签名息、数字签名DS及发方及发方A证书的公钥证书的公钥PBA。(8)收方)收方B验证数字签名,先用发方验证数字签名,先用发方A的公钥解密数字签名得数字摘要的公钥解密数字签名得数字摘要MD。(9)收方)收方B同时将原文信息用同样的同时将原文信息用同样的哈希运算,求得一个新的数字摘要哈希运算,求得一个新的数字摘要MD。(10)将两个数字摘要)将两个数字摘要MD和和MD进进行比较,验证原文是否被修改。如果行比较,验证原文是否被修改。如果二者相等,说明数据没有被篡改,是二者相等,说明数据没有被篡改,是保密传输的,签名是真实的;否则拒保密传输的,签名是真实的;否则拒绝该签名。
28、绝该签名。4.2.4各方当事人的基本行为各方当事人的基本行为规范规范参与数字签名过程的各方当事人包括:参与数字签名过程的各方当事人包括:签名人,验证服务提供商和签字依赖方。签名人,验证服务提供商和签字依赖方。“电子签名人电子签名人”是指持有电子签名制作是指持有电子签名制作数据并以本人身份或者以其所代表的人的数据并以本人身份或者以其所代表的人的名义实施电子签名的人;名义实施电子签名的人;“电子签名依赖电子签名依赖方方”是指基于对电子签名认证证书或者电是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人;子签名的信赖从事有关活动的人;“验证验证服务提供商服务提供商”是指签发证书或可能提供与
29、是指签发证书或可能提供与电子签字有关的其他服务的人。电子签字有关的其他服务的人。在数字签名的过程中,各方当事人都在数字签名的过程中,各方当事人都应当从法律和道德的角度,尽力保证数字应当从法律和道德的角度,尽力保证数字签名过程正确、有效、合法地进行,承担签名过程正确、有效、合法地进行,承担各自的责任并且履行相应的义务,用法律各自的责任并且履行相应的义务,用法律和道德规范各自的行为。和道德规范各自的行为。数字签名作为电子签名的一种,其签数字签名作为电子签名的一种,其签名过程中各方当事人的基本行为规范在联名过程中各方当事人的基本行为规范在联合国合国电子签字示范法电子签字示范法和我国和我国电子签电子签
30、名法名法中都有相关规定。中都有相关规定。1电子签字示范法电子签字示范法中的规定中的规定(1)签字人的行为)签字人的行为(2)认证服务提供人的行为)认证服务提供人的行为(3)依赖方的行为)依赖方的行为 2我国我国电子签名法电子签名法中的规定中的规定我国我国电子签名法电子签名法也对也对“电子签名电子签名人人”和和“电子认证服务提供者电子认证服务提供者”作了相应作了相应规定。规定。(1)签字人的行为)签字人的行为(2)认证服务提供人的行为)认证服务提供人的行为 4.3 4.3 电子签名的法律要求电子签名的法律要求能够在电子文件中识别交易人身份,能够在电子文件中识别交易人身份,保证交易安全,起到与传统
31、手写签字或盖保证交易安全,起到与传统手写签字或盖章同等作用的技术手段,称之为电子签名。章同等作用的技术手段,称之为电子签名。电子签名是与数据电信紧密联系的法电子签名是与数据电信紧密联系的法律问题。律问题。由于传统签名有一定的局限性。由于传统签名有一定的局限性。第一,传统的签名必须以纸面为介质:第一,传统的签名必须以纸面为介质:第二,传统签名必须由个人亲笔书写;第二,传统签名必须由个人亲笔书写;第三,传统签名存在着相当大的被仿第三,传统签名存在着相当大的被仿冒的可能性,由于传统签字要求由签署者冒的可能性,由于传统签字要求由签署者在文件上在文件上“手工签字手工签字”(manualsignature
32、),然而,在互联网上,不可能),然而,在互联网上,不可能存在签名或加盖公章等行为,人们也不可存在签名或加盖公章等行为,人们也不可能通过电子数据传递亲笔签字,能通过电子数据传递亲笔签字,因此,为适应电子商务、电子政务、因此,为适应电子商务、电子政务、网上银行、网上证券等网上业务的飞速发网上银行、网上证券等网上业务的飞速发展,必须要确立一种新的方法,以适应现展,必须要确立一种新的方法,以适应现实的需要。实的需要。所以,作为替代的方法,电子签名这所以,作为替代的方法,电子签名这种电子技术便应运而生。种电子技术便应运而生。4.3.1电子签名的基本要求电子签名的基本要求1电子签名的概念电子签名的概念有关
33、电子签名的概念,一些国际组织、有关电子签名的概念,一些国际组织、国家和地区的电子签名法都作了规定。国家和地区的电子签名法都作了规定。我国自我国自2005年年4月月1日起施行的日起施行的电子电子签名法签名法对电子签名的概念作了与联合国对电子签名的概念作了与联合国电子签名示范法很类似的规定:电子签名示范法很类似的规定:“电子签电子签名是指数据电文中以电子形式所含、所附,名是指数据电文中以电子形式所含、所附,用于识别签名人身份并表明签名人认可其用于识别签名人身份并表明签名人认可其中内容的数据。中内容的数据。”其中所称数据电文,是指以电子、光其中所称数据电文,是指以电子、光学、磁或者类似手段生成、发送
34、、接收或学、磁或者类似手段生成、发送、接收或者储存的信息。者储存的信息。根据该法第根据该法第2条的规定,电子签名的概条的规定,电子签名的概念包含以下内容。念包含以下内容。(1)电子签名是以电子形式出现的)电子签名是以电子形式出现的数据。数据。(2)电子签名是附着于数据电文的。)电子签名是附着于数据电文的。电子签名可以是数据电文的一个组成电子签名可以是数据电文的一个组成部分,也可以是数据电文的连接,与部分,也可以是数据电文的连接,与数据电文具有某种逻辑关系、能够使数据电文具有某种逻辑关系、能够使数据电文与电子文件联系。数据电文与电子文件联系。(3)电子签名必须能够识别签名人)电子签名必须能够识别
35、签名人身份,并表明签名人认可与电子签名身份,并表明签名人认可与电子签名相联系的数据电文的内容。相联系的数据电文的内容。电子签名具有多种形式,如:附着于电子签名具有多种形式,如:附着于电子文件的手写签名的数字化图像,包括电子文件的手写签名的数字化图像,包括采用生物笔迹辨别法所形成的图像;向收采用生物笔迹辨别法所形成的图像;向收件人发出证实发送人身份的密码、计算机件人发出证实发送人身份的密码、计算机口令;采用特定生物技术识别工具,如指口令;采用特定生物技术识别工具,如指纹或是眼虹膜透视辨别法等。纹或是眼虹膜透视辨别法等。无论采用什么样的技术手段,只要符无论采用什么样的技术手段,只要符合本条规定的要
36、件,就是本法所称的电子合本条规定的要件,就是本法所称的电子签名。签名。2电子签名的基本要求电子签名的基本要求目前在网上进行的很多交易都对数字目前在网上进行的很多交易都对数字签名提出了各种各样的要求,其中包括对签名提出了各种各样的要求,其中包括对信息安全、信息完整性、交易者身份的确信息安全、信息完整性、交易者身份的确认等要求,而电子签名正是具备了这些要认等要求,而电子签名正是具备了这些要求才能保证电子商务和电子政务能够顺利求才能保证电子商务和电子政务能够顺利进行。进行。有关电子签名的基本要求有以下几个有关电子签名的基本要求有以下几个方面。方面。(1)保证签名文档的完整性及可鉴)保证签名文档的完整
37、性及可鉴别性。别性。(2)能确认当事人的身份。)能确认当事人的身份。(3)发送者事后不能否认发送的报)发送者事后不能否认发送的报文签名。文签名。(4)接收者能够核实发送者发送的)接收者能够核实发送者发送的报文签名。报文签名。(5)接收者不能伪造发送者的报文)接收者不能伪造发送者的报文签名。签名。(6)接收者不能对发送者的报文进)接收者不能对发送者的报文进行部分篡改。行部分篡改。(7)网络中的某一用户不能冒充另)网络中的某一用户不能冒充另一用户作为发送者或接收者。一用户作为发送者或接收者。(8)保证双方传递信息的真实性。)保证双方传递信息的真实性。4.3.2电子签名的法定标准电子签名的法定标准1
38、“电子签名电子签名”法定标准的制定法定标准的制定联合国电子签名概念的起草主要考虑联合国电子签名概念的起草主要考虑了下面三个问题。了下面三个问题。(1)概念的广泛性。)概念的广泛性。(2)不偏重任何技术的原则。)不偏重任何技术的原则。(3)电子签名的实质。)电子签名的实质。电子签名法电子签名法在在“电子签名的法律电子签名的法律效力;电子签名行为;电子签名的安全保效力;电子签名行为;电子签名的安全保障障”等方面都给出了相关标准。等方面都给出了相关标准。2电子签名的一般法定标准电子签名的一般法定标准由于电子签名的方法有多种形式,不由于电子签名的方法有多种形式,不同公司推出的技术标准也有所差异,因此同
39、公司推出的技术标准也有所差异,因此要在法律上确定一个基本标准要求,凡达要在法律上确定一个基本标准要求,凡达到该标准的电子签字均是有法律效力的。到该标准的电子签字均是有法律效力的。电子签字的目的是要达到传统书面签电子签字的目的是要达到传统书面签字的基本功能,以纸张为基础的传统签字字的基本功能,以纸张为基础的传统签字主要是为了履行下述功能。主要是为了履行下述功能。(1)确定一个人的身份。)确定一个人的身份。(2)肯定是该人自己的签字。)肯定是该人自己的签字。(3)使该人与文件内容发生关系。)使该人与文件内容发生关系。从总体上说,如果电子签字既能表明从总体上说,如果电子签字既能表明签字人与信息内容的
40、联系性,而且与纸面签字人与信息内容的联系性,而且与纸面签字同样可靠,功能等同,就算达到了要签字同样可靠,功能等同,就算达到了要求。求。联合国联合国电子商务示范法电子商务示范法确定了在确定了在何种情况下数据电文可视为经过了具有足何种情况下数据电文可视为经过了具有足够可信度的核证,而且可以生效执行,视够可信度的核证,而且可以生效执行,视之达到了签字要求。之达到了签字要求。3可靠电子签名的法定标准可靠电子签名的法定标准签名的根本目的在于证明当事人的身签名的根本目的在于证明当事人的身份,证明信息的真实、完整。份,证明信息的真实、完整。技术的发展基本上已经使电子签名符技术的发展基本上已经使电子签名符合法
41、律关于可靠电子签名的要求。合法律关于可靠电子签名的要求。只要一种签名技术采用了某种可靠的只要一种签名技术采用了某种可靠的方法来证实当事人的身份,证明当事人同方法来证实当事人的身份,证明当事人同意信息中包含的内容,并且信息在传递过意信息中包含的内容,并且信息在传递过程中是可靠的,那么这种签名技术就符合程中是可靠的,那么这种签名技术就符合法律关于可靠电子签名的标准要求。法律关于可靠电子签名的标准要求。我国我国电子签名法电子签名法规定了可靠电子规定了可靠电子签名的标准。签名的标准。4.3.3电子签名的法律效力电子签名的法律效力电子签名的法律效力问题,是电子签电子签名的法律效力问题,是电子签名法要解决
42、的首要问题。名法要解决的首要问题。电子签名、数据电文虽然以电子形式电子签名、数据电文虽然以电子形式出现而与手写签名、书面文件不同,但是出现而与手写签名、书面文件不同,但是法律不应仅因为这一点而不承认其法律效法律不应仅因为这一点而不承认其法律效力。力。只要符合法律规定的标准、条件,电只要符合法律规定的标准、条件,电子签名、数据电文与手写签名、书面文件子签名、数据电文与手写签名、书面文件具有同等的法律效力。具有同等的法律效力。因此,有关国际组织、国家和地区的因此,有关国际组织、国家和地区的电子商务法或电子签名法一般都对电子签电子商务法或电子签名法一般都对电子签名、数据电文的法律效力问题作出规定,名
43、、数据电文的法律效力问题作出规定,要求不得以其采用电子形式而加以歧视。要求不得以其采用电子形式而加以歧视。我国我国电子签名法电子签名法第第3条明确规定:条明确规定:“民事活动中的合同或者其他文件、单证民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用等文书,当事人可以约定使用或者不使用电子签名、数据电文。电子签名、数据电文。”4.3.4电子签名的使用及其效电子签名的使用及其效果果2005年年4月月1日,被称为日,被称为“中国首部真中国首部真正意义上的信息化法律正意义上的信息化法律”的的电子签名法电子签名法正式实施,自此,电子签名与传统手写正式实施,自此,电子签名与传统手写签
44、名和盖章具有同等的法律效力。签名和盖章具有同等的法律效力。虽然舆论普遍认为虽然舆论普遍认为电子签名法电子签名法将将会极大地促进电子商务在我国的快速发展,会极大地促进电子商务在我国的快速发展,但在网络交易安全、相关法律衔接等但在网络交易安全、相关法律衔接等“拦拦路虎路虎”面前,有关专家认为,现阶段面前,有关专家认为,现阶段电电子签名法子签名法的标志意义大于实际意义。的标志意义大于实际意义。1电子签名的使用电子签名的使用电子签名可以广泛地使用在电子商务电子签名可以广泛地使用在电子商务和电子政务等各种社会活动中,但是否使和电子政务等各种社会活动中,但是否使用用“电子签名电子签名”,遵循当事人,遵循当
45、事人“意思自治意思自治”原则。原则。2电子签名的使用效果电子签名的使用效果电子签名改变了我们的生活,更有力电子签名改变了我们的生活,更有力地给电子商务活动带来了生机和活力,电地给电子商务活动带来了生机和活力,电子签名法实施以后,我们的工作和生活将子签名法实施以后,我们的工作和生活将会越来越容易摆脱纸质文档的束缚,而一会越来越容易摆脱纸质文档的束缚,而一些可以预见的改变也即将发生。些可以预见的改变也即将发生。首先,电子签名的最大好处就是操作首先,电子签名的最大好处就是操作方便。方便。其次,还有一个很大的好处就是降低其次,还有一个很大的好处就是降低成本。成本。最后,电子签名的使用效果还不令人最后,
46、电子签名的使用效果还不令人满意。满意。4.4 4.4 认证机构与数字证书认证机构与数字证书4.4.1认证机构的设立认证机构的设立1认证机构的概念、特点认证机构的概念、特点在电子商务交易中,无论是数字时间在电子商务交易中,无论是数字时间戳服务还是数字证书的发放,都不是靠交戳服务还是数字证书的发放,都不是靠交易的双方自己来完成的,而需要有一个具易的双方自己来完成的,而需要有一个具有权威性、公正性和可信任性的第三方机有权威性、公正性和可信任性的第三方机构,即认证机构来完成。构,即认证机构来完成。认证机构(认证机构(CertificateAuthority),),英文缩写为英文缩写为CA,在业界通常把
47、它称为认证,在业界通常把它称为认证中心,就是承担安全电子交易认证服务,中心,就是承担安全电子交易认证服务,并能确认用户身份的服务机构。并能确认用户身份的服务机构。在电子商务系统中,所有实体的证书在电子商务系统中,所有实体的证书都是由认证机构都是由认证机构CA分发并签名的。分发并签名的。一个完整、安全的电子商务系统必须一个完整、安全的电子商务系统必须建立起一个完整、合理的电子商务认证体建立起一个完整、合理的电子商务认证体系。系。电子认证机构应该有三个明显的特点:电子认证机构应该有三个明显的特点:权威性、可信任性和公正性。权威性、可信任性和公正性。2认证机构的设立认证机构的设立电子认证服务机构的设
48、立需要具有符电子认证服务机构的设立需要具有符合安全标准的技术和设备及一定的专业技合安全标准的技术和设备及一定的专业技术人员。术人员。我国对电子认证服务机构实行许可制我国对电子认证服务机构实行许可制度,从事电子认证服务业务须经过国家信度,从事电子认证服务业务须经过国家信息产业主管部门的批准。息产业主管部门的批准。(1)设立的条件)设立的条件(2)设立的程序)设立的程序 4.4.2认证机构的管理认证机构的管理我国我国电子签名法电子签名法对电子认证机构对电子认证机构采用了政府主导的管理模式,认证机构的采用了政府主导的管理模式,认证机构的管理包括内部管理和外部管理两部分。管理包括内部管理和外部管理两部
49、分。1认证机构的外部管理认证机构的外部管理外部管理主要是有关主管部门对认证外部管理主要是有关主管部门对认证机构的管理。机构的管理。电子签名法第二十五条规定:电子签名法第二十五条规定:国务院国务院信息产业主管部门依照本法制定电子认证信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。提供者依法实施监督管理。外部管理包括下列各项。外部管理包括下列各项。(1)审批监督)审批监督(2)审计监督)审计监督(3)业务监管)业务监管 2认证机构的内部管理认证机构的内部管理内部管理是认证机构对其自身的管理。内部管理是认证机构对其自
50、身的管理。认证机构的自身管理主要是指认证机认证机构的自身管理主要是指认证机构对其用户证书、认证服务和登记者等方构对其用户证书、认证服务和登记者等方面的管理。面的管理。(1)认证证书的管理)认证证书的管理(2)认证服务的管理)认证服务的管理(3)认证机构对登记者的管理)认证机构对登记者的管理 此外,电子认证服务机构还负有如下此外,电子认证服务机构还负有如下义务。义务。电子认证服务机构在受理证书申请时电子认证服务机构在受理证书申请时履行信息披露的义务。履行信息披露的义务。电子认证服务机构对有关数据的保密电子认证服务机构对有关数据的保密义务。义务。电子认证服务机构在合理期间内保存电子认证服务机构在合