摘要：隨著我國互聯(lián)網(wǎng)的發(fā)展，中國網(wǎng)民數(shù)量越來越多，各色各樣的網(wǎng)站充斥著中國互聯(lián)網(wǎng)市場，中國的互聯(lián)網(wǎng)一篇繁榮。這其中，電子商務(wù)發(fā)展尤快，自ebay退出中國市場以來，電子商務(wù)站如雨后春筍般冒出，電子商務(wù)站的安全，則成了一大問題。本文將圍繞電子商務(wù)站的安全防范并結(jié)合CA認(rèn)證體系進(jìn)行系統(tǒng)的分析。

關(guān)鍵詞：電子商務(wù)；CA認(rèn)證；風(fēng)險防范；數(shù)字身份

中圖分類號：TP3 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 (2012) 09-0000-02

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)上購物成了網(wǎng)民日常網(wǎng)絡(luò)生活中的一部分，就如筆者，每個月都會在網(wǎng)絡(luò)上購買一些物品，小到幾元錢，大到幾千元上萬的東西。網(wǎng)絡(luò)購物在很大程度上方面了網(wǎng)民，能讓網(wǎng)民足不出戶，買遍全國。并且賣家減少了店面租金裝修等，節(jié)約了產(chǎn)品成本，讓買家實際受益。然而，電子商務(wù)站帶來的不僅僅是便捷，對于它的維護(hù)者來說，帶來的更是挑戰(zhàn)。

我們都知道，在網(wǎng)絡(luò)上交易，就如同在現(xiàn)實交易，電子商務(wù)站內(nèi)的錢，就等于人民幣。假如服務(wù)器出現(xiàn)任何問題，或者能讓人非法提交了數(shù)據(jù)，那就意味著，任何人可以在電腦上任意敲數(shù)字給自己銀行卡存錢，這種致命的錯誤一但犯了，輕者損害網(wǎng)站名譽，讓網(wǎng)民不敢放心網(wǎng)購，重者導(dǎo)致公司資金出現(xiàn)問題而倒閉，任何一種局面都是我們所不愿看到的，因此，如何做好電子商務(wù)網(wǎng)的安全是電子商務(wù)站的重中之重。

在應(yīng)對電子商務(wù)站的安全與風(fēng)險的眾多措施下，有一種手段稱為：CA認(rèn)證。何謂CA認(rèn)證？即：數(shù)字證書驗證。英文稱：Certificate Authority(簡稱CA)。CA認(rèn)證機(jī)構(gòu)，又名證書授權(quán)中心。證書具有唯一性，授權(quán)機(jī)構(gòu)負(fù)責(zé)證書不被非法修改，這樣一來，使得不法分子無法修改或偽造電子證書。數(shù)字身份驗證技術(shù)目前已被全球廣泛使用，在電子交易上面有著無可取代的地位，擔(dān)當(dāng)著電子交易環(huán)節(jié)中的安全守護(hù)神的職責(zé)，是整個電子交易中的核心環(huán)節(jié)。有些讀者或許不了解這種技術(shù)，但是很多人確確實實在交易中使用著這項技術(shù)，如在支付寶支付的時候相信很多人被要求過裝證書。對于電子商務(wù)站，CA認(rèn)證時最普遍的一種認(rèn)證手段，能給支付系統(tǒng)帶來更大的安全性。接下來，本文將圍繞CA認(rèn)證體系的工作方式與實行中將會碰到的各種風(fēng)險進(jìn)行分析與探討。

CA認(rèn)證是在2002年8月份開始在我國的武漢進(jìn)行試點的，也是第一個經(jīng)國家信息化產(chǎn)業(yè)部批準(zhǔn)的CA認(rèn)證機(jī)構(gòu)，接下來2年，開始在我國主要的大中城市開始實行。

一、電子商務(wù)中交易流程的三個階段，CA認(rèn)證嚴(yán)格

在電子商務(wù)交易中，一共有三個階段，五個交易參與方：買家、供貨商、服務(wù)商、CA認(rèn)證機(jī)構(gòu)和銀行。

第一階段：認(rèn)證中心（CA）證書的注冊申請。交易各方通過認(rèn)證中心（CA）獲取各自的數(shù)字安全證書。這一個步驟是交易的前提，買家、供貨商、銀行等，首先要通過認(rèn)證中心獲取各自的安全證書，才能進(jìn)行下一步的操作，就像在淘寶購物的時候，必須安裝數(shù)字證書才能進(jìn)行支付操作那樣。交易各方都不能離開各自的數(shù)字證書

第二階段：銀行的支付中心對買家的數(shù)字安全證書進(jìn)行驗證，通過驗證后，將買家的所付款凍結(jié)在銀行中。此時服務(wù)商和供應(yīng)商也相互進(jìn)行數(shù)字安全證書的驗證，通過驗證后，可以履行交易內(nèi)容進(jìn)行發(fā)貨。這個步驟實質(zhì)上就類似于銀行在充當(dāng)交易的擔(dān)保方，錢未進(jìn)入發(fā)生交易的雙方的任何一方，而是在第三方，換句話來說，假如交易發(fā)生任何意外，任何一方無法直接關(guān)閉交易不理睬對方，只能尋求第三方解決，為交易的人為性安全帶來了保障。

第三階段：買家確認(rèn)收貨無任何問題以后，銀行驗證服務(wù)商和供貨商的安全數(shù)字證書以后，將買家凍結(jié)在銀行的款項轉(zhuǎn)到供貨商和服務(wù)商頭上，至此，一筆電子交易就完成了。

從三個階段我們可以看出，CA認(rèn)證充當(dāng)著十分重要的作用，它一直貫穿著整個交易過程，整個交易過程中，數(shù)字證書幾乎主宰著現(xiàn)金的流向，銀行在?？畹倪^程中，可以說是只認(rèn)證書不認(rèn)認(rèn)，這也剛好充分體現(xiàn)了數(shù)字證書在電子交易中的角色地位，電子交易中，我們可能根本不認(rèn)識與我們發(fā)生交易的人，不像現(xiàn)實中的交易，可以見人見貨給錢。整個支付過程，數(shù)字證書就是收款人身份的一種標(biāo)志，換句話說，一旦數(shù)字證書被非法修改，那么收款人即發(fā)生改變，就像現(xiàn)實中，你賣了點東西給別人，而別人利用了你的身份去收款，如果電子交易中發(fā)生這種情況，那整個電子交易市場將受到嚴(yán)重的沖擊。

從三個階段上看，CA數(shù)字證書的驗證必須嚴(yán)格執(zhí)行，要做到安全的電子交易，做好CA認(rèn)證的嚴(yán)格執(zhí)行是第一步。

二、我國關(guān)于CA認(rèn)證的法律支持

為確保我國電子商務(wù)市場的穩(wěn)定運行，國家在電子交易興起前就發(fā)布了《電子商務(wù)CA認(rèn)證機(jī)構(gòu)試點管理辦法》（以下簡稱《辦法》），第一個由國家信息化產(chǎn)業(yè)部通過的CA認(rèn)證機(jī)構(gòu)，率先在武漢試點運行，取得了良好的效果，填補(bǔ)了我國在這一方面的空白。

從《辦法》中我們可以看出，國家法律保護(hù)并支持CA機(jī)構(gòu)的建立和運營，注重CA機(jī)構(gòu)的審核，嚴(yán)格要求CA機(jī)構(gòu)具有相關(guān)技術(shù)水平和經(jīng)濟(jì)能力，以保證萬一出現(xiàn)事故，有能力賠付。

除了《辦法》外，我國還出臺了一部相關(guān)的法律《電子簽名法》，該法有如下重要幾條，從如下幾條，我們可以看出國家對待數(shù)字證書CA的態(tài)度。

根據(jù)《電子簽名法》第三章第十三條規(guī)定：

1.電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；

2.簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；

3.簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；

4.簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)。

從上面四條可以看出，我國法律在對待認(rèn)證機(jī)構(gòu)對數(shù)字簽名的要求十分嚴(yán)格，在法律上要求認(rèn)證機(jī)構(gòu)能及時發(fā)現(xiàn)數(shù)字證書是否被修改，并且嚴(yán)格要求一人一證，數(shù)字簽名屬個人專有，保證了使用者的合法權(quán)益，強(qiáng)大的法律后盾是CA體系能夠一路走來的一大因素。

《電子簽名法》第三章第二十一條還規(guī)定：

1.電子認(rèn)證服務(wù)提供者名稱；

2.證書持有人名稱；

3.證書序列號；

4.證書有效期；

5.證書持有人的電子簽名驗證數(shù)據(jù)；

6.電子認(rèn)證服務(wù)提供者的電子簽名；

7.國務(wù)院信息產(chǎn)業(yè)主管部門規(guī)定的其他內(nèi)容。

這表明認(rèn)證機(jī)構(gòu)頒發(fā)的證書，必須注明提供認(rèn)證的提供者名稱，證書持有人名稱，證書序列號，證書有效期，以及驗證數(shù)據(jù)和提供者的電子簽名，其中，證書的有效期可以讓該證書在一定時間以后，失去作用，必須重新申請，這加大了CA系統(tǒng)的安全性。

電子商務(wù)站在支付系統(tǒng)這方面，要降低交易風(fēng)險，就要使用數(shù)字證書技術(shù)，它也是主流支付站點所普片使用的，在考慮CA體系的風(fēng)險性的時候，不僅要考慮到電子上面上的，也要考慮到實際與認(rèn)證機(jī)構(gòu)的法律層面的，在和認(rèn)證機(jī)構(gòu)合作前一定要起草合約，按法律要求機(jī)構(gòu)提供完整的服務(wù)，一旦發(fā)生事故，可以及時要求認(rèn)證機(jī)構(gòu)負(fù)責(zé)，如有必要，可以按照電子簽名法將機(jī)構(gòu)告上法庭，降低CA體系中的風(fēng)險。

三、CA認(rèn)證的實現(xiàn)和功能體系的設(shè)計步驟

電子商務(wù)的CA認(rèn)證實現(xiàn)中，一共分為以下一些功能設(shè)計：RA，RS，CP，CRL

他們分別代表：證書發(fā)放審核部門，接受用戶申請證書的受理者，證書發(fā)放的部門，以及記錄證書作廢的證書作廢表

RA這個部門呢，是進(jìn)行審核的，審核是否具有資格，因為，它必須要承擔(dān)一些由審核不合格造成的一切損失。

CP為證書發(fā)放的操作部門，由上一個部門審核以后，就交給該部門來制作，該部門要負(fù)責(zé)證書的安全性，一切由證書被修改類造成的損失，均由該部門負(fù)責(zé)。

RS是領(lǐng)取證書的人，如果有人需要申請證書，則提交給改部門，然后再交給發(fā)放證書的部門發(fā)放。。

CRL我們都知道，證書存在過期時間，當(dāng)證書過期以后，就需要一個證書過期的廢表來保存這些過期的證書，crl即是起到這樣的作用，它用來記錄哪些證書是過期的，失效的，當(dāng)驗證證書的時候，可以與該表對比得出哪些證書是失效證書。

四、CA認(rèn)證在我國面臨的一些風(fēng)險以及應(yīng)對措施

在我們國家，目前CA認(rèn)證主要的問題還是由于起步晚，技術(shù)不成熟，法律上有一些空子，導(dǎo)致了CA認(rèn)證的安全級別沒有西方一些發(fā)達(dá)國家那么安全，這些問題會隨著時間的推移慢慢變小，而在此時期，我們主要的應(yīng)對措施還是靈活應(yīng)用，在實際操作中，盡量排除人為因素，可以自行簽訂條約對提供方提出約束，尋找信用良好的CA認(rèn)證機(jī)構(gòu)合作，拒絕不誠實的CA認(rèn)證機(jī)構(gòu)，國家需要完善法律法規(guī)，在法律上要有一致性。并且增加打擊力度，對于不法分子予以嚴(yán)厲打擊，以維護(hù)我國CA體系的穩(wěn)健發(fā)展。

本文筆者從CA體系的建設(shè)和技術(shù)層面，并結(jié)合了法律法規(guī)，分析了存在于我國CA體系中的風(fēng)險以及相關(guān)的應(yīng)對措施，希望以此敲響警鐘，為中國的電子商務(wù)事業(yè)添墻增瓦。

參考文獻(xiàn)：

[1]何莉.CA體系常見問題[J].黑龍江社會科學(xué)，2008，9:59-61

[2]張素娟，鄭偉濤，余醒，陳新梅.《中華人民共和國電子簽名法》開創(chuàng)中國電子商務(wù)新局面[J].中國電子商務(wù)，2004，9:10-16

[3]李一凡.電子商務(wù)及其安全技術(shù)[M].中國電子商務(wù)出版社，2005，1，6

[作者簡介]龐瑞卿（1982-），男，籍貫：內(nèi)蒙古卓資縣，職稱：助理工程師，學(xué)歷：本科，工作領(lǐng)域：信息系統(tǒng)管理。