[摘要] 針對目前國內CA認證在技術層面和應用層面上的弊端，提出了網(wǎng)絡公證這一想法，將權威的國家證明權引入虛擬的網(wǎng)絡世界，實行網(wǎng)絡公證填補網(wǎng)絡世界的法律真空，對主體身份確認危機、交易數(shù)據(jù)的證據(jù)危機和網(wǎng)絡交易履行中的支付信任危機給出了解決方案。

[關鍵詞] 電子商務 網(wǎng)絡 CA PKI

隨著網(wǎng)絡技術和信息技術的發(fā)展，電子商務已經(jīng)被普通百姓所接受，它將逐步取代傳統(tǒng)商務活動，并有可能徹底改變貿易活動的本質，形成一套全新的貿易活動框架。但由于多種原因，電子商務的安全性仍然得不到有效的保障。為了解決電子商務的安全問題，世界各國經(jīng)過多年的研究，初步形成了一套比較完整的解決方案，即公開密鑰基礎設施PKI(Public Key Infrastructure)。PKI是基于公開密鑰理論和技術建立起來的、提供信息安全服務的具有通用性的安全基礎設施，可以保證網(wǎng)絡通信、網(wǎng)上交易的安全。它采用證書進行公鑰管理，通過

第三方可信任機構———認證中心CA(Certificate Authority)，把用戶的公鑰和用戶的其他標識信息(如用戶名、Email地址、身份證號碼等)捆綁在一起，從而實現(xiàn)用戶身份的驗證、密鑰的自動管理等安全功能。而電子商務它本質上仍是商務，只是在資訊媒介這一交易手段上有了創(chuàng)新，即以網(wǎng)絡數(shù)據(jù)傳遞方式代替?zhèn)鹘y(tǒng)的紙介質的書面形式。電子商務仍須嚴謹?shù)匕凑諅鹘y(tǒng)交易規(guī)則進行。與傳統(tǒng)交易模式相比較，除了利用了更為便捷高效的網(wǎng)絡媒介手段外，整個交易流程沒有改變，交易各方仍須經(jīng)過互相確認身份、邀約及承諾、合約履行三個環(huán)節(jié)。

在商務活動中，公證司法證明權也必需在網(wǎng)上的實現(xiàn)，而這種在網(wǎng)絡上進行的證明，有別于紙介質的書面證明方式，我們稱之為“網(wǎng)絡公證”（CyberNotary）。

一、國內CA的現(xiàn)狀

CA認證機構是電子商務發(fā)展的需要。各級CA認證機構的存在組成了整個電子商務的信任鏈。如果CA機構不安全或發(fā)放的數(shù)字證書不具有權威性、公正性和可信賴性，電子商務就根本無從談起。自1998年國內第一家以實體形式運營的上海CA中心成立以來，全國各地、各行業(yè)已經(jīng)建成了幾十家不同類型的CA認證機構。從CA中心建設的背景來分，國內的CA中心可以分為三類：行業(yè)建立的CA，如CFCA，CTCA等；政府授權建立的CA，如上海CA、北京CA等商業(yè)性CA。不難看出，行業(yè)性CA不但是數(shù)字認證的服務商，也是其他商品交易的服務商，他們不可避免的要在不同程度上參與交易過程，這與CA中心本身要求的“第三方”性質又有很大的不同。就應用的范圍而言，行業(yè)性CA更傾向于在自己熟悉的領域內開展服務。例如，外經(jīng)貿部的國富安CA認證中心適當完善之后將首先應用于外貿企業(yè)的進出口業(yè)務。政府授權建立的第三方認證系統(tǒng)屬于地區(qū)性CA，除具有地域優(yōu)勢外，在推廣應用和總體協(xié)調方面具有明顯的優(yōu)勢，不過需要指出地區(qū)性CA 離不開與銀行、郵電等行業(yè)的合作。

二、國內CA存在的問題

在電子商務系統(tǒng)中，CA 安全認證中心負責所有實體證書的簽名和分發(fā)。CA安全認證體系由證書審批部門和證書操作部門組成。就目前的情況而言，CA的概念已經(jīng)深入到電子商務的各個層面，但就其應用而言，還遠遠不夠，都還存在一些問題。

1.在技術層面上

標準不統(tǒng)一，既有國際上的通行標準，又有自主研發(fā)的標準，這必將導致交叉認證過程中出現(xiàn)“公說公有理，婆說婆有理”的局面。

2.在應用層面上

一些CA認證機構對證書的發(fā)放和審核不夠嚴謹。從法理上講這些審核人員不具備法律上所要求的審核證明人資格，也無法承擔相應的法律責任；另一方面現(xiàn)在的CA中心本身往往也是交易或合同的一方，難免存在不公正性。在分布格局上，很多CA認證機構還存在明顯的地域性和行業(yè)性，無法滿足充當面向全社會的第三方權威認證機構的基本要求，而就互聯(lián)網(wǎng)而言，不應該也不可能存在地域限制。

三、認證的解決方案

在傳統(tǒng)的商務貿易中，公證機構作為國家的證明機構，以交易信用的第三方中介行使國家證明權，其權威性與統(tǒng)一性歷來為法律所確認。公證證明屬國際慣例，中國加入WTO后，在與國際法律制度的接軌中，公證機構的證明效力日益顯現(xiàn)出來。正因如此，將權威的國家證明權引入虛擬的網(wǎng)絡世界，實行網(wǎng)絡公證能夠徹底填補網(wǎng)絡世界的法律真空，解決目前國內CA認證的弊端，使現(xiàn)實世界的真實性向網(wǎng)絡世界延伸。

網(wǎng)絡公證方案首先從網(wǎng)絡身份的真實性證明入手，在確認網(wǎng)絡主體的真實身份的基礎上，對網(wǎng)絡交易內容以公正的第三方的角度加以證據(jù)保全，對交易履約中的資金支付采用公證行業(yè)特有的第三方安全支付加以解決，因此，我認為網(wǎng)絡公證方案是電子商務安全與信用的一個整體解決方案。

1.網(wǎng)絡中真實身份審核的解決

一個安全、完整的電子商務系統(tǒng)必須建立一個完整、合理的CA安全認證體系。以PKI技術為核心的CA證書能解決網(wǎng)絡數(shù)據(jù)傳輸中的簽名問題，日益顯現(xiàn)出其確認網(wǎng)絡主體身份的優(yōu)越性。但是，在實際運作中，網(wǎng)絡CA電子身份證書仍然為大家所懷疑。究其原因，關鍵在于網(wǎng)絡中的CA證書持有人與現(xiàn)實世界中的真實身份是否一致并未得到徹底解決。如不解決這個前提，則用CA證書所做的任何簽字將不產(chǎn)生任何法律效力，因為沒有一個現(xiàn)實世界的主體與之相對應，并承擔網(wǎng)上義務，而法庭更是無從受理。

縱觀諸多國家的電子交易，數(shù)字證書的發(fā)放都不是依靠交易雙方自己來完成，而是由一個具有權威性和公正性的第三方來完成，該第三方中介機構以提供公正交易環(huán)境為目的，應具有中立性。因此，銀行所辦的CA中心以及其他純商業(yè)性的CA中心是不符合國際慣例的。一個身份認證必須滿足兩種鑒別需要：當面鑒別和網(wǎng)上鑒別。當面鑒別以生物特征為主，網(wǎng)上鑒別則以邏輯特征為主。在CA證書的發(fā)放中，最關鍵的環(huán)節(jié)是 RA（Registration Authority）證書離線面對面審核，交易當事人最關心的基本信息，如網(wǎng)上的對方究竟是誰，真實的身份與信用狀況如何等。然而，目前相當多的CA公司在實際操作中或多或少地存在隨意性，并未建立起嚴格的審核要求與流程。申請數(shù)字證書的用戶只要在網(wǎng)上將相關的表格隨意填寫后，即可從CA公司那里獲得個人CA證書。異地申請的企業(yè)只要將相關資料蓋上公章郵寄過去，并交足相關費用即可獲得CA證書。造成這種狀況的一個重要原因是：要在全國建立幾千個面對面的審核點，目前還具有很大的難度，因而建立嚴格的審核流程是十分困難的。然而網(wǎng)絡公證可以徹底解決這一困惑。網(wǎng)絡公證可以將傳統(tǒng)的公證證明應用到CA證書的身份審核上。其具體解決辦法是：將遍布全國的數(shù)千家公證機構通過因特網(wǎng)聯(lián)成一個統(tǒng)一的網(wǎng)絡—中國公證網(wǎng)絡，以實現(xiàn)將社會公眾、公證客戶、公證機構與公證相聯(lián)結。也就是說，通過中國公證網(wǎng)，將遍布全國各地的公證機構有機地聯(lián)在一起，徹底解決了異地審核的難度，并確保了網(wǎng)絡身份的真實性。當用戶需要申請CA證書時，即可到所在地的公證機構進行離線的面對面審核，也即RA審核。該審核嚴格按照公證機構的審核要求與流程進行，公證機構自然地對所審核的內容承擔相應的法律責任，經(jīng)過RA審核后的資料統(tǒng)一進入公證機構的中心數(shù)據(jù)庫中進行安全存放。這樣，經(jīng)網(wǎng)絡公證RA審核后所頒發(fā)的CA證書就自然地與其真實身份相對應，以后在電子商務交易中的網(wǎng)上簽名行為即為其真實持有人所為。進行 RA審核的人員不是普通公民，而是現(xiàn)行法律體系中承擔法定審核工作的公證員，他們負有審核身份的法律責任，行使的是國家的證明權。由此可見，網(wǎng)絡公證所構建的網(wǎng)絡真實身份審核體系，可以與CA中心以及其他公司相配合，為其發(fā)放CA 證書提供審核環(huán)節(jié)的服務，以解決其審核布點困難以及審核者身份不合法的問題。

就技術而言，CA在現(xiàn)階段的應用已趨成熟，PKI 公鑰管理體系也很實用。它通過給個人、企事業(yè)單位及政府機構簽發(fā)公用密鑰與私人密鑰組成的數(shù)字證書，來確認電子商務活動中交易各方的身份，并通過加解密方法來實現(xiàn)網(wǎng)絡信息傳輸中的簽名問題，以確保交易安全性。

2.網(wǎng)絡中的交易數(shù)據(jù)的安全保存

在確定網(wǎng)絡身份后，交易雙方就進入了實質談判，以達成雙方認可的條款。在傳統(tǒng)交易中，協(xié)議的合同化過程是在書面合同上簽字蓋章，一旦交易雙方日后在履約中出現(xiàn)爭議，就可以以當初所簽署的書面合同作為證據(jù)來解決存在的爭議。與此對應，在虛擬的網(wǎng)絡交易中，也必須能讓虛擬的交易數(shù)據(jù)得以固化并在日后可能發(fā)生的糾紛中作為證據(jù)為法院所采證。網(wǎng)絡公證方案可以采用的解決方法是提供第三方數(shù)據(jù)保管服務。當交易雙方在網(wǎng)上達成協(xié)議后，各自用CA證書對合同進行加密簽名，并將合同的電文數(shù)據(jù)內容提交到網(wǎng)絡公證的數(shù)據(jù)保存中心。由于進行了加密簽名，數(shù)據(jù)保存中心也無法打開并知悉當初的交易合同，這就真正確保了其安全性。事實上，由于第三方公正方的參與，使得電子商務交易得以在制度層面得到安全保障。交易雙方一旦出現(xiàn)糾紛，通過解密打開的合同將由公證機構出具其保存的公證書證據(jù)。而公證文書在法庭上是可以作為證據(jù)直接被采納的。

3.網(wǎng)上合同履行的提存服務

電子商務交易的信任危機除了主體身份確認危機、交易數(shù)據(jù)的證據(jù)危機外，網(wǎng)絡交易履行中的支付信任更是阻礙網(wǎng)絡交易發(fā)展的阻力。雙方達成交易意向后，買家擔心的是能否準確、及時地收到貨物；賣家擔心的是交了貨后能否準確、快捷地收到貨款。也就是說，網(wǎng)絡交易雙方共同關心著網(wǎng)絡合同履行中的信用安全問題。網(wǎng)絡公證可以依照傳統(tǒng)的提存公證思路，結合網(wǎng)絡技術展開網(wǎng)絡提存業(yè)務。在網(wǎng)絡電子商務交易中，買方不必將貨款直接交付賣方，而是將貨款提存到網(wǎng)絡公證提存中心，在其收到貨物并簽署完相關單據(jù)后，提存中心再將貨款支付給賣方。這樣，網(wǎng)絡公證提供的第三方提存服務徹底解決了網(wǎng)絡交易雙方對網(wǎng)上合同履行的困惑，尤其是支付的擔憂。法律制度和傳統(tǒng)貿易中早已有的公證提存方式對網(wǎng)絡世界中的交易尤為適用。

可以預見，隨著信息安全領域的標準化、法制化建設的日益完善，網(wǎng)絡公證依托中國公證網(wǎng)絡，運用公證的國家證明力所構建的第三方信用與安全服務以及網(wǎng)上合同履行的提存服務，將徹底解決網(wǎng)絡交易主體對電子商務的信用問題，也必將極大地推動我國電子商務的發(fā)展。

四、小結

總之，通過向網(wǎng)絡主體在經(jīng)過RA審核后發(fā)放CA電子身份證，解決了網(wǎng)上虛擬主體的真實身份及網(wǎng)上簽名問題，并通過網(wǎng)絡公證的數(shù)據(jù)備份中心為交易雙方的網(wǎng)上電子合同提供了證據(jù)保全，最終以網(wǎng)上提存電子合同的履行來提供網(wǎng)上支付信用服務?！熬W(wǎng)絡公證”作為一個第三方法律服務平臺，以其幾個有機連結的在線服務系統(tǒng)、完整地解決了電子商務中的安全及信用問題，在虛擬的網(wǎng)絡空間構建起一座溝通雙方的真實橋梁。

參考文獻:

[1]譚衛(wèi):電子商務中安全技術的研究[D].哈爾濱:哈爾濱工業(yè)大學，2006

[2]盧震宇戴英俠鄭江:基于認證中心的多級信任模型的分析與構建仁[J].計算機工程，2001

[3]Mclaughlin. L， Holistic security IEEE Security and Privacy 3 (3)，2005

[4]Bella.G，Massacci.F，Paulson.L.C.An overview of the verification of SETInternational Journal of Information Security 4(1～2)，2005

[5]劉思源:電子商務安全及其措施[J].商業(yè)研究，2003，11