电子认证及法规规定：现有服务机构与行政架构

1.电子认证的概念

电子商务买卖双方进行交易的前提条件是确认对方的身份，以考察对方的信用度。电子签名从技术手段上保障电子商务的安全，而电子认证则从组织制度上保障电子商务的安全。

电子认证是指由认证机构以加密技术为基础，以电子签名、数字证书等为手段，向电子商务中的交易各方提供身份确认、文件的真实性与完整性确认等服务的活动。

2.电子认证的作用

电子签名虽然将电子文件与其签署人紧密联系在一起，解决了电子文件的辨别问题，但是并没有在商事主体之间建立起交易所需的信任度。电子签名侧重于解决身份辨别与文件归属问题。电子认证机构作为第三方权威机构，承担着对公开密钥进行管理、认证的职责，所以电子认证解决的是密钥及其持有人的可信度问题。电子认证的作用有以下三点：一是确认交易双方的身份和交易内容；二是防止电子签名人对已经认证的信息予以否认；三是防止电子认证交易当事方以外的人实施欺诈行为。

3.电子认证的分类

根据电子认证机构的功能及其认证的对象，分为站点认证、数据电文认证、用户身份认证。

（1）站点认证

站点认证是电子商务平台为站点提供的安全验证方式，通过查看网站安装的电子商务认证授权机构（简称CA，也称为电子商务认证中心）发放的数字证书，来确认网站的安全性。

一个网站的数字证书是与域名绑定的，倘若证书的域名和所访问的网站域名不一致的话，则会弹出提示框信息：该网站出具的安全证书是为其他网站地址颁发的。若点击继续浏览，查看证书，则会弹出提示框信息：安全证书上的名称无效或者与站点名称不匹配，如图4－2所示。

图4－2　浏览网站弹出提示框信息

（2）数据电文认证

数据电文作为有效的电子文件，认证内容包括：该电文是由确认的发信人发出的；该电文是按确定的次序进行接收的；该电文已经传输给确定的收信人。

数据电文认证和用户身份认证往往一起进行验证。(www.xing528.com)

（3）用户身份认证

用户身份认证是通过一定的手段，完成对用户身份信息的确认。例如，用户A向用户B发送经过签名的数据电文，其身份认证和数据电文认证的整个流程，如图4－3所示。

站点认证、数据电文认证、用户身份认证的区别，如表4－1所示。

表4－1　电子认证的分类

根据电子认证机构提供的不同等级的服务，电子认证又分为身份认证、授权认证、执行认证、时间认证。根据认证的主体不同，电子认证分为双方认证和第三方认证等。

从目前的实践来看，电子证据已经广泛应用于电子商务经营活动中，电子证据包括电子邮件（E－mail）、电子公告（BBS）、电子聊天（E－chat）、电子数据交换（EDI）与电子签名（E－signature）等。

图4－3　数据电文发送过程中的身份认证和数据电文认证流程

注1：信息摘要，又称数字摘要，就是采用单向Hash函数将任意长度的消息“摘要”成一串固定长度（128位）的密文。这一串密文又称为数字指纹，它有固定的长度，而且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。
注2：数字信封是将对称密钥通过非对称加密（即公钥和私钥）的结果分发对称密钥的方法。
注3：数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人（例如接收者）进行伪造，它是对电子形式的消息进行签名的一种方法。

电子数据的合法性，即提取和固定必须合法。一方面，在电子数据的收集、提取过程中，要遵循取证的程序性规定，充分考虑取证主体、程序是否合法，取证工具是否经过认证，避免因操作不当影响证据的证明效力。同时，注意电子数据的规格、类别、文件格式是否规范注明。另一方面，要注意所取得的电子数据是否系通过非法手段获得。

4.电子认证服务机构

电子认证服务机构负责审核用户的身份，在确保用户身份真实的情况下，向用户发放电子签名认证证书，是发放和管理该证书的专业部门，为电子政务、电子商务等应用提供网上身份认证、电子签名等证书认证安全服务。

电子认证服务机构设立许可，具体由工业和信息化部负责实施。全国每个省至少有一家电子认证机构，经济发达地区省份的地级市也有电子认证机构。

电子认证服务使用密码许可证，如图4－4所示。