电子商务CA认证体系与风险防范分析
摘要:随着互联网的发展,中国网民数量越来越多,各色各样的网站充斥着中国互联网市场,中国的互联网一篇繁荣。这其中,电子商务发展尤快,自ebay退出中国市场以来,电子商务站如雨后春笋般冒出,电子商务站的安全,则成了一大问题。本文将围绕电子商务站的安全论文网防范并结合CA认证体系进行系统的分析。
关键字:电子商务;CA认证;风险防范;数字身份
中图分类号:TP3文献标识码:A文章编号:1007-9599(2012)09-0000-02
随着互联网的发展,网上购物成了网民日常网络生活中的一部分,就如笔者,每个月都会在网络上购买一些物品,小到几元钱,大到几千元上万的东西。网络购物在很大程度上方面了网民,能让网民足不出户,买遍全国。并且卖家减少了店面租金装修等,节约了产品成本,让买家实际受益。然而,电子商务站带来的不仅仅是便捷,对于它的维护者来说,带来的更是挑战。
我们都知道,在网络上交易,就如同在现实交易,电子商务站内的钱,就等于人民币。假如服务器出现任何问题,或者能让人非法提交了数据,那就意味着,任何人可以在电脑上任意敲数字给自己银行卡存钱,这种致命的错误一但犯了,轻者损害网站名誉,让网民不敢放心网购,重者导致公司资金出现问题而倒闭,任何一种局面都是我们所不愿看到的,因此,如何做好电子商务网的安全是电子商务站的重中之重。
在应对电子商务站的安全与风险的众多措施下,有一种手段称为:CA认证。何谓CA认证?即:数字证书验证。英文称:CertificateAuthority(简称CA)。CA认证机构,又名证书授权中心。证书具有唯一性,授权机构负责证书不被非法修改,这样一来,使得不法分子无法修改或伪造电子证书。数字身份验证技术目前已被全球广泛使用,在电子交易上面有着无可取代的地位,担当着电子交易环节中的安全守护神的职责,是整个电子交易中的核心环节。有些读者或许不了解这种技术,但是很多人确确实实在交易中使用着这项技术,如在支付宝支付的时候相信很多人被要求过装证书。对于电子商务站,CA认证时最普遍的一种认证手段,能给支付系统带来更大的安全性。接下来,本文将围绕CA认证体系的工作方式与实行中将会碰到的各种风险进行分析与探讨。
CA认证是在2002年8月份开始在的武汉进行试点的,也是第一个经国家信息化产业部批准的CA认证机构,接下来2年,开始在主要的大中城市开始实行。
一。电子商务中交易流程的三个阶段,CA认证严格
在电子商务交易中,一共有三个阶段,五个交易参与方:买家。供货商。服务商。CA认证机构和银行。
第一阶段:认证中心(CA)证书的注册申请。交易各方通过认证中心(CA)获取各自的数字安全证书。这一个步骤是交易的前提,买家。供货商。银行等,首先要通过认证中心获取各自的安全证书,才能进行下一步的操作,就像在淘宝购物的时候,必须安装数字证书才能进行支付操作那样。交易各方都不能离开各自的数字证书
第二阶段:银行的支付中心对买家的数字安全证书进行验证,通过验证后,将买家的所付款冻结在银行中。此时服务商和供应商也相互进行数字安全证书的验证,通过验证后,可以履行交易内容进行发货。这个步骤实质上就类似于银行在充当交易的担保方,钱未进入发生交易的双方的任何一方,而是在第三方,换句话来说,假如交易发生任何意外,任何一方无法直接关闭交易不理睬对方,只能寻求第三方解决,为交易的人为性安全带来了保障。
第三阶段:买家确认收货无任何问题以后,银行验证服务商和供货商的安全数字证书以后,将买家冻结在银行的款项转到供货商和服务商头上,至此,一笔电子交易就完成了。
从三个阶段我们可以看出,CA认证充当着十分重要的作用,它一直贯穿着整个交易过程,整个交易过程中,数字证书几乎主宰着现金的流向,银行在专款的过程中,可以说是只认证书不认认,这也刚好充分体现了数字证书在电子交易中的角色地位,电子交易中,我们可能根本不认识与我们发生交易的人,不像现实中的交易,可以见人见货给钱。整个支付过程,数字证书就是收款人身份的一种标志,换句话说,一旦数字证书被非法修改,那么收款人即发生改变,就像现实中,你卖了点东西给别人,而别人利用了你的身份去收款,如果电子交易中发生这种情况,那整个电子交易市场将受到严重的冲击。
从三个阶段上看,CA数字证书的验证必须严格执行,要做到安全的电子交易,做好CA认证的严格执行是第一步。
二。关于CA认证的法律支持
为确保电子商务市场的稳定运行,国家在电子交易兴起前就发布了电子商务CA认证机构试点管理办法(以下简称办法),第一个由国家信息化产业部通过的CA认证机构,率先在武汉试点运行,取得了良好的效果,填补了在这一方面的空白。
从办法中我们可以看出,国家法律保护并支持CA机构的建立和运营,注重CA机构的审核,严格要求CA机构具有相关技术水平和经济能力,以保证万一出现事故,有能力赔付。
除了办法外,还出台了一部相关的法律电子签名法,该法有如下重要几条,从如下几条,我们可以看出国家对待数字证书CA的态度。
根据电子签名法第三章第十三条规定:
1。电子签名制作数据用于电子签名时,属于电子签名人专有;
2。签署时电子签名制作数据仅由电子签名人控制;
3。签署后对电子签名的任何改动能够被发现;
4。签署后对数据电文内容和形式的任何改动能够被发现。
从上面四条可以看出,法律在对待认证机构对数字签名的要求十分严格,在法律上要求认证机构能及时发现数字证书是否被修改,并且严格要求一人一证,数字签名属个人专有,保证了使用者的合法权益,强大的法律后盾是CA体系能够一路走来的一大因素。
电子签名法第三章第二十一条还规定:
1。电子认证服务提供者名称;
2。证书持有人名称;3。证书序列号;
4。证书有效期;
5。证书持有人的电子签名验证数据;
6。电子认证服务提供者的电子签名;
7。国务院信息产业主管部门规定的其他内容。
这表明认证机构颁发的证书,必须注明提供认证的提供者名称,证书持有人名称,证书序列号,证书有效期,以及验证数据和提供者的电子签名,其中,证书的有效期可以让该证书在一定时间以后,失去作用,必须重新申请,这加大了CA系统的安全性。
电子商务站在支付系统这方面,要降低交易风险,就要使用数字证书技术,它也是主流支付站点所普片使用的,在考虑CA体系的风险性的时候,不仅要考虑到电子上面上的,也要考虑到实际与认证机构的法律层面的,在和认证机构合作前一定要起草合约,按法律要求机构提供完整的服务,一旦发生事故,可以及时要求认证机构负责,如有必要,可以按照电子签名法将机构告上法庭,降低CA体系中的风险。
三。CA认证的实现和功能体系的设计步骤
电子商务的CA认证实现中,一共分为以下一些功能设计:RA,RS,CP,CRL
他们分别代表:证书发放审核部门,接受用户申请证书的受理者,证书发放的部门,以及记录证书作废的证书作废表
RA这个部门呢,是进行审核的,审核是否具有资格,因为,它必须要承担一些由审核不合格造成的一切损失。
CP为证书发放的操作部门,由上一个部门审核以后,就交给该部门来制作,该部门要负责证书的安全性,一切由证书被修改类造成的损失,均由该部门负责。
RS是领取证书的人,如果有人需要申请证书,则提交给改部门,然后再交给发放证书的部门发放。。
CRL我们都知道,证书存在过期时间,当证书过期以后,就需要一个证书过期的废表来保存这些过期的证书,crl即是起到这样的作用,它用来记录哪些证书是过期的,失效的,当验证证书的时候,可以与该表对比得出哪些证书是失效证书。
四。CA认证在面临的一些风险以及应对措施
在我们国家,目前CA认证主要的问题还是由于起步晚,技术不成熟,法律上有一些空子,导致了CA认证的安全级别没有西方一些发达国家那么安全,这些问题会随着时间的推移慢慢变小,而在此时期,我们主要的应对措施还是灵活应用,在实际操作中,尽量排除人为因素,可以自行签订条约对提供方提出约束,寻找信用良好的CA认证机构合作,拒绝不诚实的CA认证机构,国家需要完善法律法规,在法律上要有一致性。并且增加打击力度,对于不法分子予以严厉打击,以维护CA体系的稳健发展。
本文笔者从CA体系的建设和技术层面,并结合了法律法规,分析了存在于CA体系中的风险以及相关的应对措施,希望以此敲响警钟,为中国的电子商务事业添墙增瓦。
参考文献:
[1]何莉。CA体系常见问题[J]。黑龙江社会科学,2008,9:59-61
[2]张素娟,郑伟涛,余醒,陈新梅。中华人民共和国电子签名法开创中国电子商务新局面[J]。中国电子商务,2004,9:10-16
[3]李一凡。电子商务及其安全技术[M]。中国电子商务出版社,2005,1,6
[作者简介]庞瑞卿(1982-),男,籍贯:内蒙古卓资县,职称:助理工程师,学历:本科,工作领域:信息系统管理。
电子商务CA认证体系与风险防范分析