(网经社讯)数字证书早已经应用到很多领域的很多方面,如说电子银行在收付款、保险行业的保险合同、交易平台的在线订单及合同。今天以电子合同这种更容易理解的方式给大家说说实例流程。
一、使用“数字证书”的初衷
为什么要在这里强调“使用电子签章的作用”?
很多时候我们在项目进行过程中会迷失自己的初衷,是在认真的做事,然后去总结,其实总结出来的点在我们出发时就已经“写好”了。
所以在这里还是先抛出数字证书的作用:信息的保密性、交易者身份的确定性、不可否认性、不可修改性。
(1)信息的保密性
电子商务中双方的交易保密性要求,同我们线下合同签订、订单、款项支付拥有同样的保密级别,一旦这些信息被泄漏,都将造成商机的丧失。
(2)交易者身份的确定性
使用数字认证的前提:使用方承认《电子签名法》、认可认证机构、认可平台的信誉;所以双方都信任通过平台进行认证的企业信息。那么双方在线产生交易并进行电子签章后,对方都能方便而可靠的确认对方身份的合法性。实例就是客户通过印章进行验证的过程。
(3)不可否认性
也就是在线契约一旦签订就生效,签章文档及签章的过程被记录,双方都不可以否认。首先,签章的行为经过层层的风险控制,出现被冒签的可能性机会为0(之后会讲风控);另外,签章一旦签订切被认证机构认定没有篡改,那么协议就是受《电子签名法》约束就是一份有效的合同。
(2)不可修改性
使用者可能会有这样的疑问,纸质合同是容易看出被篡改的痕迹,但是电子合同怎么能识别?这也就是数字签章关键技术所在了。首先双方(当然也可以是多方)签章后,文件本身是不允许修改的,即便使用了非法手段进行篡改,也会在验证过程中被识别(后面会讲)。
二、概念区分
做电子签章1年多了,最初对这些概念也是傻傻分不清,百度了许多文章,发现好多人也有同样的疑惑,结合网上的专业说法及自己的理解先来梳理下概念。
按照概念&操作产生的顺序来说明:
1. CA认证机构
电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,可以是民间团体,也可以是政府机构,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
那么数字证书是如何发放的呢?就我所做项目而言,并不是我们平台直接向CA认证机构为客户申请CA认证,而是与第三方合作系统对接,对接后我们只提供客户的资料,然后由第三方负责提交审核并发放数字证书,流程和所需要的资料都是一样的,只是这样的效率会更高。
CA认证机构还有一个重要的职能就是在发生电子合同纠纷时,出具认证文件确认当前文件的可靠性及是否被篡改,这也将作为重要的法律依据。
2. 数字证书
CA认证机构发行的东西是啥——数字证书。
数字证书内容包括:证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的一系列数字签名。
原理是:绑定了公钥及其持有者的真实身份,类似于现实生活中的身份证,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。
3. 数字签名
先说下“电子签名”和“数字签名”的区别:数字签名≠电子签名。
《电子签名法》对电子签名的定义是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。实现电子签名的技术手段有很多种,常见的电子签名形式有:手写签名或印章的数字化图像、采用生物识别数据(如虹膜、指纹)、基于公钥密码技术的数字签名等。
也就是说:数字签名只是电子签名的一种,也是目前比较成熟且全球应用最为普遍的电子签名技术。
所谓“数字签名”就是将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证:只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。
4. 电子签章
电子签章是数字签名的一种表现形式,利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果,同时利用电子签名技术保障电子信息的真实性和完整性以及签名人的不可否认性。
三、电子合同于电商平台中的实例
关于电商平台将数字证书应用于电子合同的实例,从实际项目中来说是分为“数字证书申请流程+平台内嵌”两个方面的,一个是要求你熟悉数字证书申请的过程,第二方面是一定要知道数字证书如何应用到你的平台中。
1. 数字证书申请流程
由于品台对接了第三方数字证书机构,所以在数字证书申请流程上相当于简化了平台的工作,平台只负责将平台用户的信息提交给第三方后,由第三方与CA认证中心进行审核对接,看下平台与第三方之间的对接流程:
第三方平台负责审核通过之后,有平台的管理人员将证书进行激活到空的Uk中;之后进行印章的制作。
大家需要清楚一点:数字证书是本质,印章样式是显像。
这也是为了符合使用者心里“人们对显现出来的东西更具有认知性”。在制作印章时客户可以选择使用原始线下的印模制作,或者直接在线生成(圆的、方的),实际过程中都会建议客户直接生成与线下实体章不同的电子印章。
2. 平台内嵌电子签章功能
这一块就是根据平台自身的业务进行设计,比如交易双方在线生成订单-合同,为了解决合同的传递风险、降低邮寄及沟通成本,平台会推出使用数字证书签订电子合同。
这一功能要求合同双方都认可数字证书,因为对一些传统企业来说,他们还是更习惯使用纸质合同,所以电子合同是需要平台进行运营和推广的。
平台系统与第三方数字证书提供方的系统对接就相对来说简单了,只要对方提供接口文档,最大的工作量就是内嵌签章功能的调试。
基本流程如下:
印章使用方法:
用户在进行需要使用证书的电脑上操作前,必须安装CA根证书,准备好装有证书的UKey,用户插入证书介质后系统将要求用户输入密码口令,此时用户需要输入申请证书时获得的密码信封中的密码。
密码验证正确后,系统会自动发送短信验证码到申请时预留的手机里,输入正确的验证码后,将自动调用数字证书进行相关操作。使用后,用户应记住取出Ukey,并妥善保管。
3. 风控要点
当然这里说的风控要点是在数字证书本身的风控要点之上,是基于平台的风险控制说的。
(1)登录校验
在客户登录时使用UK进行身份校验,并不会电子签章造成影响,只是确认登录用户的身份。
在Uk签发之前,将Uk与匹配的客户账户进行绑定,用户在登录时除了校验用户名和密码外,还要校验是否与当前插入的UK匹配,两个校验都通过之后才能登录。
(2)短信验证码
这一步是电子签章过程中必不可少的验证环节,在客户申请数字证书时是需要填写证书使用人及电话信息然后进行盖章提交的,所以平台会将改电话与UK进行绑定。
在用户使用UK进行盖章时,除了需要输入KEY的保护密码外,还要进行短信验证,来确认盖章得人就是当时申请数字证书的人,这一步也是避免客户的UK被非管理人员盗用并签章。
在应用短信验证码过程中是需要产品经理考虑以下几点:
电子合同签订的频率,是不是一次验证后,在N分钟不需验证;或者每签订一个合同都需要验证;
短信发送频率问题,如果每个合同都需要验证,那么签订一个合同需要几分钟,因为大多数短信通道系统为了防止恶意攻击,都会限制短信在1分钟内发送的频次。
(3)时间戳
时间戳是在数字签名时写入加密文档的,时间戳分为“自建时间戳”和“具有法律效力的时间戳”。如果平台不去处理时间戳,那么在签章时获取的是签章人本地电脑的时间,如果出现纠纷,这种“自建时间戳”是不具备法律效力的。
那么如果体现电子签名的不可否认性呢?
平台都会采用具有法律的效力的时间戳:它是由我国中科院国家授时中心与北京联合信任技术服务有限公司负责建设的我国第三方可信时间戳认证服务。
由国家授时中心负责时间的授时与守时监测。因其守时监测功能而保障时间戳证书中的时间的准确性和不被篡改,这样即便出现法律纠纷,也可以有权威机构来证实这个时间的法律效力。
关于时间戳的司法案件时有案例的,各位有兴趣可以查查。
(4)文件备份
这一点上主要是电子文档的留存,虽然CA认证机构会出具一些不可抵赖的认证、第三方也会进行日志的记录,但是源文件的存储就是不容忽视的大事情。
两种方式:
平台自建服务器存储,这个就必须要做好灾备;有的时候平台考虑数据安全性秘密性,不相信云存储,就会自建机房。
云存储当然要考虑“大家”。因为云存储好处在于不存在平台会有人恶意篡改文件,其实能改的概率极低,但是这也就在出现纠纷的时候,会提供一个更有说服力说辞。
写在文后
文章是以实际的案例的描述下流程及实际操作方面的事情,只能给新手们一点小小的灵感,其实更深的算法层的东西个人也在理解学习中,希望之后还可以继续交流。(来源:人人都是产品经理 文/柠檬茶 编选:电子商务研究中心)