公務員期刊網(wǎng) 精選范文 電子合同的安全性范文

電子合同的安全性精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的電子合同的安全性主題范文,僅供參考,歡迎閱讀并收藏。

電子合同的安全性

第1篇:電子合同的安全性范文

【關(guān)鍵詞】PKI;SIM卡;CA認證;OTA;電子合同

一、引言

隨著電子商務的發(fā)展,B2B商務活動逐漸成為一種主流商務活動。在電子商務活動中,最為重要的部分為簽訂合同的過程。確保簽訂的合同安全有效是所有電子商務商戶所共同追求的目標。為保證網(wǎng)上信息的安全傳輸,目前廣泛采用的是公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)技術(shù)。PKI技術(shù)采用證書管理公鑰,通過第三方的可信任的認證中心(Certificate Au

thority,CA),將用戶公鑰和用戶的其它標識信息捆綁在一起,在互聯(lián)網(wǎng)上驗證用戶的身份。

本文所設(shè)計的電子合同系統(tǒng),就是利用SIM卡在移動通信網(wǎng)絡(luò)上建立起相應的PKI架構(gòu),利用SIM卡的可識別性來實現(xiàn)身份認證服務,確保了交易信息的安全性、完整性和不可抵賴性。

二、PKI技術(shù)簡介

PKI(Public Key Infrastructure )即“公開密鑰體系”,PKI是一種基于公開密鑰體制的密鑰管理平臺,通過采用認證技術(shù)確保電子合同的完整性和抗抵賴性,通過對信息進行加密確保信息在傳輸過程中的保密性。同時,通過采用基于PKI/CA結(jié)構(gòu)及用戶口令,可有效地對系統(tǒng)中的用戶進行身份認證,防止系統(tǒng)中出現(xiàn)非法用戶和偽造信息。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務的關(guān)鍵和基礎(chǔ)技術(shù)。其中CA是PKI的核心執(zhí)行機構(gòu),是PKI的主要組成部分,業(yè)界人士通常稱它為認證中心。它是保證電子商務、電子政務、網(wǎng)上銀行、網(wǎng)上證券等交易的權(quán)威性、可信任性和公正性的第三方機構(gòu)。

三、PKI-SIM卡

PKI-SIM卡通過SIM卡內(nèi)部提供PKI 相關(guān)功能,結(jié)合空中下載(Over the air,OTA)遠程管理,從而在移動網(wǎng)絡(luò)上建立完整的移動身份認證服務系統(tǒng)。PKI-SIM 卡作為 PKI 體系中的用戶私有密鑰的載體,提供了硬件級別的私有密鑰的數(shù)據(jù)保密性,并且在卡上實現(xiàn)各種安全算法,有足夠的安全措施保證密鑰的完整性。

PKI-SIM卡代替了傳統(tǒng)的USB key等其它外持的獨立設(shè)備作為認證終端,利用通訊網(wǎng)絡(luò)對PKI-SIM卡中的CA認證進行更新和管理。合同雙方能夠通過存放于SIM卡中的用戶私鑰來對合同簽名確認,接收后能夠通過數(shù)字簽名技術(shù)核實對方簽名的有效性,雙方確認后不能抵賴對合同的簽名。在數(shù)據(jù)傳輸過程中,即使用戶數(shù)據(jù)(密文)被竊取,由于沒有存在SIM卡中的私鑰,無法還原為正確的明文,從而保證了數(shù)據(jù)的安全性。

四、基于PKI-SIM的電子合同系統(tǒng)

1.電子合同系統(tǒng)結(jié)構(gòu)模型。電子合同系統(tǒng)由服務提供商,電子商務運營平臺,認證中心,移動終端和用戶等部分組成。服務提供商提供服務,并將服務的說明信息到電子商務運營平臺;電子商務運營平臺存儲各種服務信息,并且提供服務檢索、合同創(chuàng)建與維護、合同證據(jù)的保全等功能;認證中心用來審核CA證書,為移動終端提供經(jīng)過數(shù)據(jù)簽名的CA證書下載和審核;用戶通過移動終端的信息確認,登陸到運營平臺檢索服務,簽訂電子合同獲得自己需要的服務。電子合同系統(tǒng)的結(jié)構(gòu)模型如圖1所示:

圖1 電子合同結(jié)構(gòu)模型

通訊終端和認證中心的無線方式交換數(shù)據(jù)信息,運營商主要負責移動身份認證平臺和PKI-SIM移動終端之間的聯(lián)系,為他們之間通信提供了一條通道。其結(jié)構(gòu)如下圖2:

圖2 電子合同系統(tǒng)無線傳輸結(jié)構(gòu)模型

2.電子合同的簽訂流程。合同是交易雙方用來保證各自利益的法律依據(jù),所以電子合同系統(tǒng)的簽訂是系統(tǒng)最為關(guān)鍵部分。在簽署合同過程中,需要保證合同的機密性、完整性和抗抵賴性。本系統(tǒng)具體流程如下:

用戶在使用本合同系統(tǒng)之前,需要在運營商處申請數(shù)字證書。申請成功后,用戶通過PKI-SIM卡端執(zhí)行加密,將加密信息上傳到身份認證平臺 RA系統(tǒng),同時下載CA證書。

合同提供方(甲方)向電子商務平臺的電子合同系統(tǒng)提交意向合同,系統(tǒng)將合同傳送接收方(乙方),乙方根據(jù)合同條款決定是否簽訂。如果乙方有異議,返回協(xié)商信息給甲方,甲方根據(jù)乙方意見調(diào)整合同后再次提交給電子合同系統(tǒng);如果乙方同意,返回同意簽訂信息給電子合同系統(tǒng),雙方通過移動通信服務確定合同雙方的身份,如果雙方身份驗證成功,即可簽訂合同。具體流程如圖3所示。

圖3 電子合同系統(tǒng)簽訂流程示意圖

五、結(jié)論

隨著電子商務蓬勃發(fā)展,網(wǎng)上訂單和網(wǎng)絡(luò)交易越來越頻繁,人們對電子合同的安全性提出了更高的要求。PKI-SIM技術(shù)在電子商務平臺上的應用有效的保證了網(wǎng)絡(luò)商業(yè)交易的安全性,降低了交易風險?;赑KI-SIM技術(shù)的網(wǎng)絡(luò)電子合同平臺,可對系統(tǒng)中的交易雙方進行有效身份認證,保證電子合同的機密性、完整性和抗抵賴性。保證了電子合同的法律效力,消除了人們對網(wǎng)絡(luò)商業(yè)安全性的疑慮。用戶在移動終端上進行操作即簡單、安全,又方便、快捷,具有巨大的實用價值。

參 考 文 獻

[1]MESSAOUD B.Introduction to the Public Key Infrastructure for the Internet[M].2003

[2]中廣瑞波公司.PKI-SIM安全認證卡系統(tǒng)簡要說明

第2篇:電子合同的安全性范文

    論文關(guān)鍵詞 承諾 電子商務合同 edi

    20世紀末至今,伴隨著計算機網(wǎng)絡(luò)的普及發(fā)展,人類生活方式發(fā)生了深刻變革,企業(yè)的國際貿(mào)易模式也隨之優(yōu)化進步,利用計算機和網(wǎng)絡(luò)技術(shù)實現(xiàn)市場交換的全過程已成為現(xiàn)實。電子商務作為國際貿(mào)易不斷深化與科學技術(shù)飛速發(fā)展相結(jié)合的產(chǎn)物,隨著全球貿(mào)易競爭的日趨激烈,在國際貿(mào)易中所具有的重要地位將愈趨明顯。同時,電子商務的應用也為國際貿(mào)易中法律規(guī)制提出挑戰(zhàn),電子數(shù)據(jù)交換(edi)利用計算機網(wǎng)絡(luò)進行自動、及時的信息交流、數(shù)據(jù)交換和處理,開創(chuàng)了“無紙貿(mào)易”的新時代,使傳統(tǒng)理論中要約承諾的形式、生效時間地點、安全性、能否撤銷等規(guī)定受到質(zhì)疑,值得探究。

    一、傳統(tǒng)承諾理論的規(guī)定

    承諾是指受要約人按照要約人所指定的方式,對要約的內(nèi)容表示同意的一種意思表示,在國際貿(mào)易中,也稱“接受”或“收盤”。被要約人一旦表示承諾,則表明要約人、被要約人之間以達成協(xié)議,合同即宣告成立。《聯(lián)合國貨物買賣合同公約》第18條第2款規(guī)定:“接受發(fā)價于表示同意的通知送達發(fā)價人時生效。如果表示同意的通知在發(fā)價人所規(guī)定的時間內(nèi),如未規(guī)定時間,在一段合理的時間內(nèi),未曾送達發(fā)價人,接受就成為無效,但須當適地考慮到交易的情況,包括發(fā)價人所使用的通訊方法的迅速程度。對口頭發(fā)價必須立即接受,但情況有別者不在此限?!眰鹘y(tǒng)理論中,關(guān)于承諾生效的時間,存在投郵主義和到達主義兩種不同理論。

    英美法系采用投郵主義,即在以書信、電報作出承諾時,承諾的通知一經(jīng)交付郵局投郵立即生效,合同即告成立。即使是由于郵局的疏忽致使承諾的通知在作踐耽擱或丟失,風險仍由要約人承擔,而與受要約人無關(guān),且不影響合同的成立。英美法系采用“投郵主義”的目的在于縮短要約人能夠撤銷要約的時間,從而改善受要約人在交易中的被動地位。但在要約人收不到受要約人承諾時,以“投郵主義”而強加給要約人的合同成立其不合理性也是顯而易見的。

    與之不同,大陸法系采用到達主義,如《德國民法典》第130條規(guī)定:“對于相對人所做的意思表示,于意思表示到達相對人發(fā)生效力?!蔽覈嗖捎玫竭_主義,即遵循《合同法》第26條規(guī)定:“承諾通知到達要約人時生效。承諾不需要通知的,根據(jù)交易習慣或者要約的要求作出承諾的行為時生效?!?/p>

    關(guān)于承諾的撤回,除當面表示承諾和采用投郵主義立法的國家不存在外,采用到達主義的國家規(guī)定了承諾撤回問題。根據(jù)《聯(lián)合國國際貨物買賣合同公約》第22條,“接受得予撤回,如果撤回通知于接受原應生效之前或同時,送達發(fā)價人?!蔽覈逗贤ā芬?guī)定與之相同。

    二、e時代國際貿(mào)易的新形勢及問題

    e時代,最初用來指電子(electronic)時代,電腦網(wǎng)絡(luò)出現(xiàn)后email以其快速、簡便、多功能等在很短的時間內(nèi)顛覆了傳統(tǒng)的手寫郵寄信件。電子商務合同,是指以數(shù)據(jù)電文形式訂立的合同,當事人通過數(shù)據(jù)輸入進行要約、承諾,以網(wǎng)絡(luò)傳輸進行送達。

    傳統(tǒng)的書面合同要求雙方當事人在合同原件上手書簽名、蓋章或按指紋,以表明當事人對該書面合同內(nèi)容正確性的確認。而在edi合同中,手書簽章被電子簽名所代替,即由符號及代碼組成,經(jīng)由鍵盤輸入并存儲于計算機磁盤中。

    在電子商務合同的簽訂過程中,要約與承諾的意思表示由當事人通過計算機互聯(lián)網(wǎng)以電子方式實現(xiàn)瞬間傳遞的,因而由其所依賴的技術(shù)和其運作方式的獨特性,產(chǎn)生許多新問題。

    如:數(shù)字形式的電子簽名很容易被他人模仿、破譯或篡改,服務器故障導致延遲而產(chǎn)生生效時間爭議及撤銷爭議等問題,這些新形勢下的新問題亟待解決。

    三、新形勢下“承諾”的法律問題探究

    (一)“承諾”表達新形式問題

    在電子商務中,雖然采用edi取代了傳統(tǒng)口頭或書面的意思表示形式,但承諾仍具有在電子商務合同當事人間意思傳遞的重任,因而電子意思表示在形態(tài)上仍然可表現(xiàn)為要約、要約邀請或承諾。在edi環(huán)境下的承諾,因法律并未具體規(guī)定表達方式,又是當事人約定的結(jié)果,故以數(shù)據(jù)電文新形式表達的承諾也當具有法律效力。聯(lián)合國貿(mào)易和發(fā)展會議制定的《電子貿(mào)易示范法》第11條規(guī)定:“除非當事人另有協(xié)議,合同要約及承諾均可通過數(shù)據(jù)電文手段表示,并不得僅僅以使用了數(shù)據(jù)電文為理由否認該合同的有效性和可執(zhí)行性。”

    (二)“承諾”的撤回與撤銷問題

    承諾的撤回,是指承諾人阻止承諾發(fā)生法律效力的一種意思表示。采取投郵主義作為承諾生效原則的英美法系國家,不承認承諾可以撤回,但大陸法系國家對承諾生效采取的是到達主義原則,認為承諾可以撤回。e時代隨著計算機網(wǎng)絡(luò)的應用,承諾開始以電子形式表達。從法律規(guī)定上,撤回需要在承諾尚未送達要約人之前追回并終止其效力,然而計算機一旦發(fā)出承諾,幾乎不可能再找到一種方式,將撤回的通知先于或同時于承諾送達。因而,此種意義上承諾撤回是不可能的。

    承諾的撤銷在傳統(tǒng)合同中并不多見,因為要約一經(jīng)承諾,就標志著合同的成立。承諾的撤銷即意味著對已經(jīng)成立的合同的撤銷,因此進入到違約制度規(guī)范的范疇。但是,鑒于網(wǎng)絡(luò)交易的快捷和特殊性,法律可以采用約定或法定寬限期限的辦法對電子承諾給與特殊的待遇:承諾到達相對人時暫不生效,在經(jīng)過雙方約定的寬限期后承諾始生效。在雙方?jīng)]有約定的情況下,也可以由法律直接規(guī)定一個合理寬限期限。

    (三)“承諾”生效的時間、地點問題

    傳統(tǒng)意義上承諾的生效時間,英美法采取投郵生效原則,但需要的是,根據(jù)英美法學者的解釋,投郵主義的承諾只適用于郵寄承諾及以電報承諾兩種方式。倘雙方以電話、傳真等即時同步傳遞要約或承諾時,則承諾人之承諾必須清楚地傳到要約人的手中,否則不生承諾之效。 大陸法系對承諾的生效采用的是“到達主義”,承諾的通知必須于其到達相對人時才生效,合同亦于此時才成立。因而綜合兩種學派觀點,最為科學的電子承諾生效的時間點,應以“到達主義”為主。

    電子商務合同的訂立是在不同地點的計算機系統(tǒng)內(nèi)完成的,但由于電子數(shù)據(jù)可在任何地點發(fā)出,如果采用英美法系的“郵箱規(guī)則”,會使合同成立的地點具有很大的不確定性,不利于發(fā)生訴訟時管轄法院與法律的選擇。大陸法系的“到達主義”則可以在很大程度上避免這一缺陷。

    (四)電子商務合同的締約過失責任問題

    隨著計算機網(wǎng)絡(luò)的普及應用,商務合同的締約過失責任也出現(xiàn)了新問題。傳統(tǒng)理論中規(guī)定了締約過失責任的損害賠償問題,如我國《合同法》第42、43條規(guī)定:“當事人在訂立合同過程中有下列情形之一,給對方造成損失的,應當承擔損害賠償責任:(一)假借訂立合同,惡意進行磋商;(二)故意隱瞞與訂立合同有關(guān)的重要事實或者提供虛假情況;(三)有其他違背誠實信用原則的行為。當事人在訂立合同過程中知悉的商業(yè)秘密,無論合同是否成立,不得泄露或者不正當?shù)厥褂?。泄露或者不正當?shù)厥褂迷撋虡I(yè)秘密給對方造成損失的,應當承擔損害賠償責任?!?/p>

    但電子商務活動中的締約責任有其特殊性。這種特殊性表現(xiàn)在:一是由于合同訂立過程必須由第三人(網(wǎng)絡(luò)經(jīng)營者)的介入,二是網(wǎng)絡(luò)安全與商業(yè)秘密的泄露問題。故合同締約無效或不成立,可能由當事人違背誠實信用原則、通訊失誤或網(wǎng)絡(luò)安全等問題造成。

    此外,在電子數(shù)據(jù)的傳輸過程中,當事人的有關(guān)信息也可能被竊取、泄露或者刪除、篡改等。但由于這些原因造成的合同無效或撤銷,尚無專門的網(wǎng)絡(luò)安全立法規(guī)定,故在加強技術(shù)手段保障的同時,也應當彌補這一領(lǐng)域的立法缺陷。

    四、相關(guān)立法比較及應對建議

    對于承諾的生效時間,我國采納的是大陸法系的做法。由于利用edi的方式仍然有一定間隔,如到達文件箱后的保存需要一定時間,因此必須設(shè)定“到達主義”的例外。 如韓國《貿(mào)易處理促進法》第15條第2項規(guī)定,受要約方的信息在服務提供者的電腦文件箱里記錄后,“度過通常運行時所需的時間后”,被推定已到達。此即規(guī)定在到達服務提供者的電腦文件箱并記錄之前的危險,均由信息發(fā)送人負擔。

    對于承諾撤銷的規(guī)定,建議通過立法規(guī)定,在意思自治的基礎(chǔ)上,當事人約定對電子承諾給予特別期限的寬恕,或這直接由法律規(guī)定合理的寬限期限,但應注意此期限應當比較短暫,有利于保障交易的安全性。

    對于承諾表達新形式下的安全性問題,可賦予電子簽名與手書簽名同等的法律效力。如新加坡《電子交易法》規(guī)定:“如果一項法律規(guī)則要求簽名,或者規(guī)定某一文件未經(jīng)簽名會產(chǎn)生特定的法律后果,則采用電子簽名的形式滿足該法律規(guī)則?!蓖瑫r,也可借助指紋、聲紋、dna比對辨認等技術(shù),加強電子簽名的安全性,確認當事人的身份。

    對于電子商務合同締結(jié)過程中數(shù)據(jù)泄漏、刪除、篡改等問題,一方面可采取技術(shù)措施,如防火墻保護、口令輸入、生物碼指紋輸入技術(shù)等進行監(jiān)管,另一方面從法律角度,可借鑒國際商會制訂的《電傳交換貿(mào)易數(shù)據(jù)統(tǒng)一行為守則》的規(guī)定:“傳送電文的中介人保證,對中轉(zhuǎn)傳遞的電文不得作未經(jīng)授權(quán)的改動,并保證不得將其內(nèi)容透露給未經(jīng)授權(quán)的任何人。”

第3篇:電子合同的安全性范文

[關(guān)鍵詞]電子商務安全網(wǎng)絡(luò)安全商務安全

2003年對中國來說是個多事之秋,先是SARS肆虐后接高溫威脅。但對電子商務來說,卻未必不是好事:更多的企業(yè)、個人及其他各種組織,甚至包括政府都在積極地推動電子商務的發(fā)展,越來越多的人投入到電子商務中去。電子商務是指發(fā)生在開放網(wǎng)絡(luò)上的商務活動,現(xiàn)在主要是指在Internet上完成的電子商務。

Intenet所具有的開放性是電子商務方便快捷、廣泛傳播的基礎(chǔ),而開放性本身又會使網(wǎng)上交易面臨種種危險。一個真正的電子商務系統(tǒng)并非單純意味著一個商家和用戶之間開展交易的界面,而應該是利用Web技術(shù)使Web站點與公司的后端數(shù)據(jù)庫系統(tǒng)相連接,向客戶提供有關(guān)產(chǎn)品的庫存、發(fā)貨情況以及賬款狀況的實時信息,從而實現(xiàn)在電子時空中完成現(xiàn)實生活中的交易活動。這種新的完整的電子商務系統(tǒng)可以將內(nèi)部網(wǎng)與Internet連接,使小到本企業(yè)的商業(yè)機密、商務活動的正常運轉(zhuǎn),大至國家的政治、經(jīng)濟機密都將面臨網(wǎng)上黑客與病毒的嚴峻考驗。因此,安全性始終是電子商務的核心和關(guān)鍵問題。

電子商務的安全問題,總的來說分為二部分:一是網(wǎng)絡(luò)安全,二是商務安全。計算機網(wǎng)絡(luò)安全的內(nèi)容包括:計算機網(wǎng)絡(luò)設(shè)備安全,計算機網(wǎng)絡(luò)系統(tǒng)安全,數(shù)據(jù)庫安全,工作人員和環(huán)境等。其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題,實施網(wǎng)絡(luò)安全增強方案,以保證計算機網(wǎng)絡(luò)自身的安全性為目標。商務安全則緊緊圍繞傳統(tǒng)商務在Internet上應用時產(chǎn)生的各種安全問題,在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上,如何保障電子商務過程的順利進行。即實現(xiàn)電子商務的保密性,完整性,可鑒別性,不可偽造性和不可依賴性。

一、網(wǎng)絡(luò)安全問題

一般來說,計算機網(wǎng)絡(luò)安全問題是計算機系統(tǒng)本身存在的漏洞和其他人為因素構(gòu)成了計算機網(wǎng)絡(luò)的潛在威脅。一方面,計算機系統(tǒng)硬件和通信設(shè)施極易遭受自然環(huán)境的影響(如溫度、濕度、電磁場等)以及自然災害和人為(包括故意破壞和非故意破壞)的物理破壞;另一方面計算機內(nèi)的軟件資源和數(shù)據(jù)易受到非法的竊取、復制、篡改和毀壞等攻擊;同時計算機系統(tǒng)的硬件、軟件的自然損耗等同樣會影響系統(tǒng)的正常工作,造成計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)信息的損壞、丟失和安全事故。

二、計算機網(wǎng)絡(luò)安全體系

一個全方位的計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術(shù)、身份認證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技術(shù)、黑客跟蹤技術(shù),在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,并增加了審核信息的數(shù)量,利用這些審核信息可以跟蹤入侵者。

在實施網(wǎng)絡(luò)安全防范措施時,首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;其次要用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進行掃描分析,找出可能存在的安全隱患,并及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火墻,加強授權(quán)管理和認證;利用RAID5等數(shù)據(jù)存儲技術(shù)加強數(shù)據(jù)備份和恢復措施。

對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施;對在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M行強度的數(shù)據(jù)加密;安裝防病毒軟件,加強內(nèi)部網(wǎng)的整體防病毒措施;建立詳細的安全審計日志,以便檢測并跟蹤入侵攻擊等。

網(wǎng)絡(luò)安全技術(shù)是伴隨著網(wǎng)絡(luò)的誕生而出現(xiàn)的,但直到80年代末才引起關(guān)注,90年代在國外獲得了飛速的發(fā)展。近幾年頻繁出現(xiàn)的安全事故引起了各國計算機安全界的高度重視,計算機網(wǎng)絡(luò)安全技術(shù)也因此出現(xiàn)了日新月異的變化。安全核心系統(tǒng)、VPN安全隧道、身份認證、網(wǎng)絡(luò)底層數(shù)據(jù)加密和網(wǎng)絡(luò)入侵主動監(jiān)測等越來越高深復雜的安全技術(shù)極大地從不同層次加強了計算機網(wǎng)絡(luò)的整體安全性。安全核心系統(tǒng)在實現(xiàn)一個完整或較完整的安全體系的同時也能與傳統(tǒng)網(wǎng)絡(luò)協(xié)議保持一致。它以密碼核心系統(tǒng)為基礎(chǔ),支持不同類型的安全硬件產(chǎn)品,屏蔽安全硬件以變化對上層應用的影響,實現(xiàn)多種網(wǎng)絡(luò)安全協(xié)議,并在此之上提供各種安全的計算機網(wǎng)絡(luò)應用。

互聯(lián)網(wǎng)已經(jīng)日漸融入到人類社會的各個方面中,網(wǎng)絡(luò)防護與網(wǎng)絡(luò)攻擊之間的斗爭也將更加激烈。這就對網(wǎng)絡(luò)安全技術(shù)提出了更高的要求。未來的網(wǎng)絡(luò)安全技術(shù)將會涉及到計算機網(wǎng)絡(luò)的各個層次中,但圍繞電子商務安全的防護技術(shù)將在未來的幾年中成為重點,如身份認證,授權(quán)檢查,數(shù)據(jù)安全,通信安全等將對電子商務安全產(chǎn)生決定性影響。

三、商務安全要求

作為一個成功的電子商務系統(tǒng),首先要消除客戶對交易過程中安全問題的擔心才能夠吸引用戶通過WEB購買產(chǎn)品和服務。使用者擔心在網(wǎng)絡(luò)上傳輸?shù)男庞每皞€人資料被截取,或者是不幸遇到“黑店”,信用卡資料被不正當運用;而特約商店也擔心收到的是被盜用的信用卡號碼,或是交易不認賬,還有可能因網(wǎng)絡(luò)不穩(wěn)定或是應用軟件設(shè)計不良導致被黑客侵入所引發(fā)的損失。由于在消費者、特約商店甚至與金融單位之間,權(quán)責關(guān)系還未徹底理清,以及每一家電子商場或商店的支付系統(tǒng)所使用的安全控管都不盡相同,于是造成使用者有無所適從的感覺,因擔憂而猶豫不前。因些,電子商務順利開展的核心和關(guān)鍵問題是保證交易的安全性,這是網(wǎng)上交易的基礎(chǔ),也是電子商務技術(shù)的難點。

用戶對于安全的需求主要包括以下幾下方面:

1.信息的保密性。交易中的商務信息均有保密的要求。如信用卡的賬號和用戶被人知悉,就可能被盜用;定貨和付款信息被競爭對手獲悉,就可能喪失商機。因此在電子商務中的信息一般都有加密的要求。

2.交易者身份的確定性。網(wǎng)上交易的雙方很可能素昧平生,相隔千里。因此,要使交易能夠成功,首先要想辦法確認對方的身份。對商家而言,要考慮客戶端是否是騙子,而客戶也會擔心網(wǎng)上的商店是否是黑店。因此,能方便而可靠地確認對方身份是交易的前提。

3.交易的不可否認性。交易一旦達成,是不能被否認的,否則必然會損害一方的利益。因此電子交易過程中通信的各個環(huán)節(jié)都必須是不可否認的。主要包括:源點不可否認:信息發(fā)送者事后無法否認其發(fā)送了信息。接收不可否認:信息接收方無法否認其收到了信息?;貓?zhí)不可否認:發(fā)送責任回執(zhí)的各個環(huán)節(jié)均無法推脫其應負的責任。

4.交易內(nèi)容的完整性。交易的文件是不可以被修改的,否則必然會損害交易的嚴肅性和公平性。

5.訪問控制。不同訪問用戶在一個交易系統(tǒng)中的身份和職能是不同的,任何合法用戶只能訪問系統(tǒng)中授權(quán)和指定的資源,非法用戶將拒絕訪問系統(tǒng)資源。

四、電子商務安全交易標準

近年來,針對電子交易安全的要求,IT業(yè)界與金融行業(yè)一起,推出不少有效的安全交易標準和技術(shù)。主要的協(xié)議標準有:

1.安全超文本傳輸協(xié)議(S—HTTP):依靠對密鑰的加密,保障Web站點間的交易信息傳輸?shù)陌踩浴?/p>

2.安全套接層協(xié)議(SSL):由Netscape公司提出的安全交易協(xié)議,提供加密、認證服務和報文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器,以完成需要的安全交易操作。

3.安全交易技術(shù)協(xié)議(STT,SecureTransactionTechnology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft在InternetExplorer中采用這一技術(shù)。

4.安全電子交易協(xié)議(SET,SecureElectronicTransaction):1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標準SET公告,并于1997年5月底了SETSpecificationVersion1.0,它涵蓋了信用卡在電子商務交易中的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認證、數(shù)據(jù)簽名等。SET2.0預計今年,它增加了一些附加的交易要求。這個版本是向后兼容的,符合SET1.0的軟件并不必要跟著升級,除非它需要新的交易要求。SET規(guī)范明確的主要目標是保障付款安全,確定應用之互通性,并使全球市場接受。

所有這些安全交易標準中,SET標準以推廣利用信用卡支付網(wǎng)上交易,而廣受各界矚目,它將成為網(wǎng)上交易安全通信協(xié)議的工業(yè)標準,有望進一步推動Internet電子商務市場。

五、商務安全的關(guān)鍵CA認證

怎樣解決電子商務安全問題呢?國際通行的做法是采用CA安全認證系統(tǒng)。CA是CertificateAuthority的縮寫,是證書授權(quán)的意思。在電子商務系統(tǒng)中,所有實體的證書都是由證書授權(quán)中心即CA中心分發(fā)并簽名的。一個完整、安全的電子商務系統(tǒng)必須建立起一個完整、合理的CA體系。CA機構(gòu)應包括兩大部門:一是審核授權(quán)部門,它負責對證書申請者進行資格審查,決定是否同意給該申請者發(fā)放證書,并承擔因?qū)徍隋e誤引起的一切后果,因此它應由能夠承擔這些責任的機構(gòu)擔任;另一個是證書操作部門,負責為已授權(quán)的申請者制作、發(fā)放和管理證書,并承擔因操作運營所產(chǎn)生的一切后果,包括失密和為沒有獲得授權(quán)者發(fā)放證書等,它可以由審核授權(quán)部門自己擔任,也可委托給第三方擔任。

CA體系主要解決幾大問題:1.解決網(wǎng)絡(luò)身份證的認證以保證交易各方身份是真實的;2.解決數(shù)據(jù)傳輸?shù)陌踩砸员WC在網(wǎng)絡(luò)中流動的數(shù)據(jù)沒有受到破壞或篡改;3.解決交易的不可抵賴性以保證對方在網(wǎng)上說的話是真實的。

需要注意的是,CA認證中心并不是安全機構(gòu),而是一個發(fā)放”身份證”的機構(gòu),相當于身份的”公證處”。因此,企業(yè)開展電子商務不僅要依托于CA認證機構(gòu),還需要一個專業(yè)機構(gòu)作為外援來解決配置什么安全產(chǎn)品、怎樣設(shè)置安全策略等問題。外援的最合適人選當然非那些提供信息安全軟硬件產(chǎn)品的廠商莫屬了。好的IT廠商,會讓用戶在部署安全策略時少走許多彎路。在選擇外援時,用戶為了節(jié)省成本,避免損失,應該把握幾個基本原則:1.要知道自己究竟需要什么;2.要了解廠商的信譽;3.要了解廠商推薦的安全產(chǎn)品;4.用戶要有一雙”火眼金睛”,對項目的實施效果能夠正確加以評估。有了這些基本的安全思路,用戶可以少走許多彎路。

六、相應法律法規(guī)

電子商務要健康有序地發(fā)展,就像傳統(tǒng)商務一樣,也必須有相應的法律法規(guī)作后盾。商務過程中不可避免地會產(chǎn)生一些矛盾,電子商務也一樣。在電子商務中,合同的意義和作用沒有發(fā)生改變,但其形式卻發(fā)生了極大的變化,1.訂立合同的雙方或多方是互不見面的。所有的買方和賣方在虛擬市場上運作,其信用依靠密碼的辨認或認證機構(gòu)的認證。2.傳統(tǒng)合同的口頭形式在貿(mào)易上常常表現(xiàn)為店堂交易,并將商家所開具的發(fā)票作為合同的依據(jù)。而在電子商務中標的額較小、關(guān)系簡單的交易沒有具體的合同形式,表現(xiàn)為直接通過網(wǎng)絡(luò)訂購、付款,例如利用網(wǎng)絡(luò)直接購買軟件。3.表示合同生效的傳統(tǒng)簽字蓋章方式被數(shù)字簽名所代替。

電子商務合同形式的變化,對于世界各國都帶來了一系列法律新問題。電子商務作為一種新的貿(mào)易形式,與現(xiàn)存的合同法發(fā)生矛盾是非常容易理解的事情。但對于法律法規(guī)來說,就有一個怎樣修改并發(fā)展現(xiàn)存合同法,以適應新的貿(mào)易形式的問題。

小結(jié)

在計算機互聯(lián)網(wǎng)絡(luò)上實現(xiàn)的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統(tǒng)在保證其計算機網(wǎng)絡(luò)硬件平臺和系統(tǒng)軟件平臺安全的基礎(chǔ)上,應該還具備以下特點:強大的加密保證;使用者和數(shù)據(jù)的識別和鑒別;存儲和加密數(shù)據(jù)的保密;連網(wǎng)交易和支付的可靠;方便的密鑰管理;數(shù)據(jù)的完整、防止抵賴。電子商務對計算機網(wǎng)絡(luò)安全與商務安全的雙重要求,使電子商務安全的復雜程度比大多數(shù)計算機網(wǎng)絡(luò)更高,因此電子商務安全應作為安全工程,而不是解決方案來實施。

參考文獻:

[1]《電子商務基礎(chǔ)》尚建成主編高等教育出版社出版2000.9

第4篇:電子合同的安全性范文

關(guān)鍵詞:電子商務 安全 網(wǎng)上交易

中圖分類號:F626.5 文獻標志碼:A文章編號:1673-291X(2011)26-0279-06

一、電子商務安全的基本理論

(一)電子商務的概念

電子商務出現(xiàn)于20世紀90年代,發(fā)展的時間并不長,但與傳統(tǒng)商務相比,電子商務具有驚人的發(fā)展速度。CNN公布的資料表明,1999年度全球電子商務銷售額突破1 400億美元。但是,究竟什么是電子商務呢?實際上,迄今為止,電子商務還沒有一個被廣泛接受的概念。

世界貿(mào)易組織(WTO)給電子商務下的定義為:電子商務是指以電子方式進行的商品和服務之生產(chǎn)、分配、市場營銷、銷售或交付。

經(jīng)濟合作發(fā)展組織(OECD)認為:電子商務是指商業(yè)交易,它包括組織與個人在基于文字、聲音、可視化圖像等在內(nèi)的數(shù)字化數(shù)據(jù)傳輸與處理方面的商業(yè)活動。

世界各國對電子商務的理解也不盡相同。盡管電子商務的定義在內(nèi)容上各有側(cè)重,但是我認為電子商務的內(nèi)涵一般應至少包括下列三方面內(nèi)容:

(1)使用電子工具,借助互聯(lián)網(wǎng)傳輸信息。

(2)在公開環(huán)境下交易。

(3)依靠一定的技術(shù)規(guī)范和技術(shù)標準,利用數(shù)據(jù)化的信息來進行交易。

電子商務使用的網(wǎng)絡(luò)類型主要有三種形式:EDI網(wǎng)絡(luò)、INTRANET網(wǎng)絡(luò)和INTERNET網(wǎng)絡(luò)。由于EDI是專線網(wǎng)絡(luò),而INTRANET是企業(yè)內(nèi)部網(wǎng),其安全性較好,對傳統(tǒng)法律規(guī)范體系的沖擊相對于INTERNET要小的多,因而本文主要討論的電子商務主要是指借助于INTERNET網(wǎng)絡(luò)的電子商務。

(二)電子商務的安全的內(nèi)容及要求

電子商務作為一種新的經(jīng)濟交易方式,它只是在表現(xiàn)形式上與傳統(tǒng)商業(yè)不同,但是這并沒有改變其商業(yè)屬性,這就要求電子商務的運作必須遵循商業(yè)活動的一般規(guī)律,否則,電子商務是無法發(fā)展的。

安全與效率,是一切經(jīng)濟交易必須考慮的兩個問題。電子商務的存在與發(fā)展也必須滿足這兩個要求。對于電子商務而言,其高效性已經(jīng)得到了人們充分的認可。但是,安全性呢?電子商務作為一種新生事物,世界各國都尚未形成成熟的安全運營模式。如何在網(wǎng)絡(luò)環(huán)境下,構(gòu)建與傳統(tǒng)法律價值接近的規(guī)則體系,已經(jīng)越來越為人們所關(guān)注。

從傳統(tǒng)商業(yè)與電子商務的不同特點來看,要滿足電子商務的安全性要求,至少要有下面幾個問題需要解決。

1.交易前交易雙方身份的認證問題。電子商務是建立在互聯(lián)網(wǎng)絡(luò)平臺上的虛擬空間中的商務活動,交易的當事人可能處在不同的國家,他們并不直接見面,雙方只能通過數(shù)據(jù)、符號、信號等進行判斷、選擇,具體的商業(yè)行為也依靠電子信號和數(shù)據(jù)的交流,交易的當事人再也無法用傳統(tǒng)商務中的方法來保障交易的安全。

2.交易中電子合同的法律效力問題以及完整性保密性問題。在傳統(tǒng)國際貿(mào)易法中,合同形式要求為書面,而電子商務中的合同是電子合同,與傳統(tǒng)的書面形式存在很大的不同,其法律效力如何取決于法律的有關(guān)規(guī)定。而且,由于電子商務所依賴的互聯(lián)網(wǎng)平臺本身具有開放性的特點,交易雙方的數(shù)據(jù)如何避免被他人截取和篡改,以保證其完整性和保密性,這都是電子商務發(fā)展必須面對和解決的問題。

3.交易后電子記錄的證據(jù)力問題。在英美法系,傳聞證據(jù)規(guī)則限制了電子記錄的證據(jù)力。在我國,訴訟法中并未對電子記錄的證據(jù)力作出明確規(guī)定,甚至也沒有將其單列出來作為證據(jù)的一種。

上述這些問題,已經(jīng)對傳統(tǒng)法律制度造成了沖擊,也是實現(xiàn)電子商務安全所必須解決的問題。筆者將針對這些問題,從技術(shù)安全、組織安全、法律安全三個角度,對電子商務的安全運營問題進行解析。

二、電子商務安全性的現(xiàn)狀及存在的問題

(一)電子商務安全的現(xiàn)狀

1.基礎(chǔ)技術(shù)相對薄弱

國外有關(guān)電子商務的安全技術(shù),其結(jié)構(gòu)或加密算法等都不錯,但由于受到本國密碼政策的限制,公開的算法對于他們來說幾乎不能保密了,潛在安全隱患極大。比較遺憾的是我國至今還沒有自己研發(fā)成功的較為成熟的算法。

2.體系結(jié)構(gòu)不完整

電子商務安全以前大都擔當著“救火隊”的角色,頭痛醫(yī)頭,腳痛醫(yī)腳。這種“治標不治本”的做法下,問題總是層出不窮。近年來,人們已經(jīng)開始著手從體系結(jié)構(gòu)來解決問題,應當說在理論上已取得了明顯的進展,但到實踐運用還需要更大的努力。

3.支持產(chǎn)品不過硬

目前,市場上有關(guān)電子商務安全的產(chǎn)品數(shù)量不少,但真正通過認證的相當少。主要是因為不少安全措施是從網(wǎng)上“移植”來的。另外,不少電子商務安全技術(shù)的廠商對網(wǎng)絡(luò)技術(shù)很熟悉,但對安全技術(shù)普遍了解得不多,很難開發(fā)出真正實用的、足夠的安全技術(shù)和產(chǎn)品。目前,構(gòu)成我國信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)、硬件、軟件等產(chǎn)品幾乎完全建立在以美國為首的少數(shù)幾個發(fā)達國家的核心信息技術(shù)之上。

4.多種“威脅”紛雜交織、頻頻發(fā)生

電子商務面臨的安全威脅主要來源于三個方面:一是非人為、自然力造成的數(shù)據(jù)丟失、設(shè)備失效、線路阻斷;二是人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失;三是來自外部和內(nèi)部人員的惡意攻擊和侵入。最后一種是當前電子商務所面臨的最大威脅,極大地影響了電子商務的順利發(fā)展。因此,它是電子商務安全對策最需要解決的問題。

“黑客”攻擊電子商務系統(tǒng)的手段可以大致歸納為以下5種:

(1)中斷:采取破壞硬件、線路或文件系統(tǒng)等,攻擊系統(tǒng)的可用性。

(2)竊?。翰扇〈罹€、電磁竊取和分析業(yè)務流量等獲取有用情報,攻擊系統(tǒng)的機密性。

(3)篡改:結(jié)合其他手段修改秘密文件或核心內(nèi)容,攻擊內(nèi)容完整性。

(4)偽造:采取偽造假身份注入系統(tǒng)、假冒合法人接入系統(tǒng)、破壞消息的接受和發(fā)送,攻擊系統(tǒng)的真實性。

(5)轟炸:采取施放電子郵件炸彈等,攻擊系統(tǒng)的健壯性。

(二)電子商務安全的問題

1.網(wǎng)絡(luò)的安全性問題

(1)利用IP欺騙進行攻擊

黑客偽造LAN主機的IP地址,并根據(jù)這個偽造的地址進行不正當?shù)拇嫒 K仁贡恍湃蔚闹鳈C喪失工作能力,同時采用目標主機發(fā)出的TCP序列號,猜測出他的數(shù)據(jù)序列號,然后偽裝成被信任的主機,同時建立起與目標主機基于地址經(jīng)驗的應用連接。如果成功,黑客可以進行非授權(quán)操作,偷盜、篡改信息。

(2)捕獲用戶的姓名和口令

黑客通過軟件程序跟蹤檢測軟件,可檢測到用戶的登錄名、密碼,在獲得用戶賬戶的讀寫權(quán)之后,可以對其內(nèi)容胡亂加以修改,毀壞數(shù)據(jù),甚至輸入病毒,使整個數(shù)據(jù)庫陷于癱瘓。

(3)使用“拒絕服務”

黑客發(fā)送大量的“請求服務”指令,使得WEB服務器或路由器過載而停止服務,使網(wǎng)絡(luò)處于癱瘓的狀態(tài)。

(4)非法竊聽

黑客通過搭線竊聽,截收線路上傳輸?shù)男畔ⅲ蛘卟孰姶鸥`聽,截收無線電傳輸?shù)男畔ⅲ赃M行敲詐等非法活動。

(5)網(wǎng)絡(luò)協(xié)議安全性問題

2.交易中電子合同的法律效力問題以及完整性保密問題

在傳統(tǒng)國際貿(mào)易法中,合同形式要求為書面形式,而電子商務中的合同是電子合同,與傳統(tǒng)的書面形式存在很大的不同,其法律效力如何取決于法律的有關(guān)規(guī)定。而且,由于電子商務所依賴的互聯(lián)網(wǎng)平臺本身具有開放性的特點,交易雙方的數(shù)據(jù)如何避免被他人截取和篡改,以保證其完整性和保密性,這都是電子商務發(fā)展必須面對和解決的問題。

3.交易中的安全性問題

(1)網(wǎng)上詐騙

網(wǎng)上詐騙是世界上第二種最為常見的的投資詐騙形式,它有以下幾種形式:

①親和團體詐騙。利用團體內(nèi)部成員對宗教、種族及專業(yè)性團體進行詐騙。

②不正當銷售行為詐騙。向不適宜的投資者推銷、欺騙性報價及市場操縱。

③電話推銷行為詐騙。利用“電話交易所”,強行兜售非法或欺騙性的投資產(chǎn)品。

④高技術(shù)產(chǎn)品服務詐騙。利用不合法的優(yōu)惠條件來誤導高技術(shù)投資者,許諾高額利潤,對高技術(shù)產(chǎn)品的風險輕描淡寫。

⑤提供投資拍電影或其他娛樂產(chǎn)品行騙,欺騙投資者,對投資者隱瞞風險。

(2)冒名頂替

這是指盜用他人身份來謀取錢財。他們大多會使用一個假身份來向用戶販賣實際上并不存在的商品,借機獲得用戶的信用卡等信息,然后設(shè)法將用戶的錢取光。

(3)抵賴

在進行網(wǎng)上交易時,交易雙方不見面,互不知道對方的年齡、性別、住址、公司狀況,當交易的一方不守信用時,他可能對已經(jīng)實施的操作進行抵賴,或誣陷對方實施了其實沒有實施的操作,這種抵賴往往都是惡意的。如“賣股票500股被改成5 000股,請賠償損失”,其實,對方可能沒改動任何數(shù)字。

三、改善電子商務安全性問題的技術(shù)措施及建議

(一)利用電子商務安全技術(shù)改善電子商務安全

1.采用包過濾路由器

使用包過濾路由器(Router)除了可以完成不同網(wǎng)段間的尋址外,還可以濾除不受歡迎的一些主機的地址和服務。因為INTERNET/INTRANET的基礎(chǔ)協(xié)議是TCP/IP協(xié)議。網(wǎng)絡(luò)中的每臺機器都有一個唯一的IP地址,通過該地址可以訪問網(wǎng)絡(luò)中的任何一臺機器。除此之外,通信雙方必須有一致的協(xié)議(如FTP、HTTP、Gopher、Telnet等)才能彼此理解所傳送的數(shù)據(jù)包,這些協(xié)議是用機器的端口來標識的,而相應的服務也用端口來表示(如Gopher的端口為70、WWW的端口為80、FTP的端口為20或21),這樣,包過濾路由器就通過IP地址和端口地址以及允許、禁止兩種狀態(tài)來控制網(wǎng)絡(luò)對某個特定主機或服務的訪問。

2.防火墻技術(shù)

防火墻是近年來發(fā)展的最重要的安全技術(shù),所謂防火墻就是在內(nèi)部網(wǎng)與外部網(wǎng)之間的界面上構(gòu)造一個保護層并強制所有的連接都必須進過此保護層在進行檢查和連接。只有被授權(quán)的通信才能通過此保護層從而保護內(nèi)部網(wǎng)資源免遭非法入侵。它的主要功能是加強網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)即被保護網(wǎng)絡(luò)。電子商務中的防火墻主要是為了防止黑客利用不安全的服務對傳輸數(shù)據(jù)和信息進行攻擊,阻止未授權(quán)的用戶對信息資源的非法訪問,甚至是對網(wǎng)絡(luò)實施檢查,決定網(wǎng)絡(luò)之間的通信權(quán)限,監(jiān)視網(wǎng)絡(luò)的進行狀態(tài)。

防火墻作為最成熟、最早產(chǎn)品化的網(wǎng)絡(luò)安全機制,其最初的設(shè)計就是防范外部攻擊,改進的防火墻技術(shù)更可有效地控制內(nèi)部和病毒的破壞。在設(shè)計防火墻時必須考慮防火墻的姿態(tài)、機構(gòu)的整體安全策略、費用、基本構(gòu)件和拓撲結(jié)構(gòu)以及維護和管理方案。所有的防火墻設(shè)計都要遵照兩條基本原則:未被允許的必須禁止,未被禁止的均允許。另外,在選擇防火墻的使用時,也要考慮諸多原則,包括網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務應用系統(tǒng)需求、用戶及通信流量規(guī)模方面的需求以及可靠性、可用性和易用性等方面的需求。

3.采用防火墻體系

該技術(shù)運行于OSI的應用層,因此具有應用層的全部信息。由于防火墻的地位十分重要,所以一般采用兩級的安全機制,即第一級由包過濾路由器承擔,第二級由防火墻承擔。帶有兩級防線的防火墻主要有以下幾種形式:

(1)單堡壘主機、單路由器、一層網(wǎng)絡(luò)的隔離形式

這種配置的特點是堡壘主機配兩個網(wǎng)絡(luò)接口,外部網(wǎng)絡(luò)接口接受來自包過濾路由器的數(shù)據(jù),數(shù)據(jù)必須經(jīng)過包過濾路由器的過濾規(guī)則才能轉(zhuǎn)發(fā)給堡壘主機,由于堡壘主機與包過濾路由器之間還有一個網(wǎng)絡(luò),外界對堡壘主機的非法侵入將更加困難。

(2)分級管理的雙堡壘主機形式

所謂分級管理,是指在第一個堡壘主機與包過濾路由器之間的網(wǎng)絡(luò)中接入一部分機器,將常用的不需保密的低保密級的數(shù)據(jù)放在此層,而把保密級較高的數(shù)據(jù)放在第二級堡壘主機之后,這種配置除具有原單層主機的包過濾及時和堡壘主機的優(yōu)勢外,當包過濾機制和第一級堡壘主機均被攻破時,由于第二層堡壘主機采用不同的安全策略,不會造成對堡壘主機的連續(xù)突破,從而保證了內(nèi)部網(wǎng)絡(luò)的安全。目前,這種方案是較高級別的安全方案。

4.采用虛擬專用網(wǎng)(VPN)技術(shù)

VPN是用于Internet交易的一種專用網(wǎng)絡(luò),它可以在兩個系統(tǒng)之間建立安全的隧道。在VPN中,雙方的數(shù)據(jù)通信量要大得多,而且通信的雙方彼此都很熟悉。這就可以使用復雜的專用加密和認證技術(shù),只要通信的雙方默認即可。撥號VPN使用隧道技術(shù)使遠程訪問服務器把用戶數(shù)據(jù)打包到IP信息包中,這些信息通過電信服務商的網(wǎng)絡(luò)進行傳遞,在Internet中要穿過不同的網(wǎng)絡(luò),最后到達隧道終點。然后拆數(shù)據(jù)包,轉(zhuǎn)換成最初的形式。隧道技術(shù)使用點對點通信協(xié)議代替了交換連接,通過路由網(wǎng)絡(luò)來連接路由地址,這代替了電話交換網(wǎng)絡(luò)使用的電話號碼連接,允許授權(quán)移動用戶或已授權(quán)的用戶在任何時間任何地點訪問內(nèi)企業(yè)網(wǎng)絡(luò)。

(二)網(wǎng)上交易中安全問題的解決方法

1.數(shù)字認證

數(shù)字認證是一種新興的安全性解決方法。隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展,基礎(chǔ)設(shè)施的改善,多媒體技術(shù)運用的進一步普及,數(shù)字認證方法正被越來越多地用于網(wǎng)絡(luò)信息的安全傳輸中。在發(fā)送文件時,或在交易信息處理的過程中,通過把影響、聲音等各種證明發(fā)送者身份的數(shù)據(jù)傳送給接收端,可大大加強信息的可靠性,這包括電子數(shù)字簽名、電子信封、電子證書、以數(shù)字方式簽署和電子付款表格等,這種接收方能確認發(fā)送者的真實身份和確保交易信息不被篡改。

2.數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是電子商務的最基本安全措施。目前技術(shù)條件下,通常加密技術(shù)分為對稱加密和非對稱加密兩大類。

(1)對稱密鑰加密(Private Key)

采用相同的加密算法,并只交換共享的專用密鑰(加密和解密都使用相同的密鑰)。如果進行通信的交易各方能夠確保專用密鑰交換階段未曾發(fā)生泄露,則可以通過對稱加密方法加密信息,及隨報文發(fā)送報文摘要和報文散列值,來保證報文的機密性和完整性。密鑰安全交換是關(guān)系到對稱加密有效性的核心環(huán)節(jié)。

(2)非對稱密鑰加密

不同于對稱加密,非對稱加密的密鑰被分解為:公開密鑰和私有密鑰。密鑰對生成后,公開密鑰以非保密方式對外公開,只對應于生成該密鑰的者,私有密鑰則保存在密鑰方手里。任何得到公開密鑰的用戶都可以使用該密鑰加密信息發(fā)送給該公開密鑰的者,而者得到加密信息后,使用與公開密鑰相應對的私有密鑰進行解密。目前,常用的非對稱加密算法是有RSA算法。

3.病毒防范技術(shù)

電子商務系統(tǒng)一方面提高交易效率,另一方面也為計算機病毒的傳播創(chuàng)造了條件。病毒對網(wǎng)絡(luò)交易的順利進行和交易數(shù)據(jù)的妥善保存造成極大的威脅。計算機病毒是指隱藏在計算機數(shù)據(jù)源中,利用系統(tǒng)數(shù)據(jù)源進行繁殖并生成影響計算機正常運行且能通過系統(tǒng)數(shù)據(jù)共享途徑進行傳染的一組計算機指令或程序代碼,主要通過軟盤、硬盤、優(yōu)盤和網(wǎng)絡(luò)渠道傳播,可能導致系統(tǒng)癱瘓甚至完全崩潰的嚴重后果。從事網(wǎng)上交易的企業(yè)和個人都應當注重病毒防范技術(shù),排除病毒的干擾。因此,防范計算機病毒,避免計算機系統(tǒng)遭受病毒的侵襲,及時清除計算機病毒將病毒危害降低到最低程度是反病毒技術(shù)刻不容緩的任務。一般我們要給自己的計算機安裝防病毒軟件,認真執(zhí)行病毒定期清理制度,并設(shè)置控制權(quán)限,通過建立系統(tǒng)保護機制,來預防、檢測和消除病毒,謹慎打開陌生地址的電子郵件,還要高度警惕網(wǎng)絡(luò)陷阱。

(三)電子商務安全技術(shù)的實現(xiàn)

1.IDEA數(shù)據(jù)加密算法

IDEA數(shù)據(jù)加密算法是由中國學者來學嘉博士和著名的密碼專家James L. Massey于1990年聯(lián)合提出的。它的明文和密文都是64比特,但密鑰成為128比特。IDEA是作為迭代的分組密碼實現(xiàn)的,使用128位的密鑰和8個循環(huán)。這比DES提供了更多的安全性,但是在選擇用于IDEA的密鑰時,應該排除哪些稱為“弱密鑰”的密鑰。DES只有四個弱密鑰和12個次弱密鑰,而IDEA中的弱密鑰數(shù)相當可觀,有2的51次方個。但是,如果密鑰的總數(shù)非常大,達到2的128次方個,那么仍有2的77次方個密鑰可供選擇。IDEA被認為是極為安全的。使用128位的密鑰,蠻力攻擊中需要進行的測試次數(shù)與DES相比會明顯增大,甚至允許對弱密鑰測試。而且,它本身也顯示了它尤其能抵抗專業(yè)形式的分析性攻擊。

2.用OPEN SSL實現(xiàn)CA認證

(1)SSL(Secure Socket Layer)協(xié)議及其主要技術(shù)

1996年由美國Netscape公司開發(fā)和倡導的SSL協(xié)議,它是目前安全電子商務交易中使用最多的協(xié)議之一,它被許多世界知名廠商的Intranet和Internet網(wǎng)絡(luò)產(chǎn)品所支持。

SSL應用在Client和Server間安全的WebHTTP通信,UEL以開始替代http,并使用443端口進行通信。它主要使用加密機制、數(shù)字簽名、數(shù)字摘要、身份認證、CA技術(shù)提供Client和Server之間的秘密性、完整性、認證性三種基本的安全服務。

(2)用Open SSL工具實現(xiàn)安全認證

目前,國外主流的電子商務安全協(xié)議在核心密碼上都有出口限制,只允許40位或56位的RC4和512位的RSA算法出口等。這樣的算法強度引進后無法滿足我國電子商務實際應用當中的安全需求。但是,完全自主定義和開發(fā)一套安全標準體系不是一蹴而就的事情,需要人、財、物的長期投入。

在SSL未提供源代碼的情況下,由澳大利亞軟件工程師Eric Young與Tim Hudson聯(lián)合開發(fā)的OPENSSL恰好解決了這一難題。它不僅能實現(xiàn)SSL的所有功能,支持目前所有基于SSL V2/V3和TSL V1的應用軟件,而且由于源代碼公開和提供了各種加密算法,完全可以滿足國外安全協(xié)議引進后的本地化改造需求。

下面就用OPENSSL提供的強大功能在FreeBSD平臺下進行手工簽署證書的過程。

①先建立一個CA的證書,首先為CA創(chuàng)建一個RSA私用密鑰:

# OpenSLL genrsa -des3 -out ca.key 1024

該指令中g(shù)enrsa表示生成RSA私有密鑰文件。

-des3表示用DES3加密該文件。

-out ca.key表示生成文件ca.key。

1024是我們的RSA key的長度。

生成server.key的時候會要你輸入一個密碼,這個密鑰用來保護你的ca.key文件,這樣即使人家偷走你的ca.key文件,也打不開。拿不到你的私有密鑰。

運行該指令后系統(tǒng)提示輸入PEM pass phrase,也就是ca.key文件的加密密碼,我們設(shè)為12345678。

②用下列命令查看它的內(nèi)容:

# OpenSSL.rsa -nout -text -in ca.key

該指令中rsa表示對RSA私有密鑰的處理。

-nout表示不打印出key的編碼版本信息。

-text表示打印出私有密鑰的各個組成部分。

-in ca.key表示對ca.key文件的處理。

對RSA算法進行分析可以知道,RSA的私有密鑰其實就是三個字,其中兩個是質(zhì)數(shù)prime numbers。產(chǎn)生RSA私有密鑰的關(guān)鍵就是產(chǎn)生這兩個質(zhì)數(shù)。還有一些其他的參數(shù),引導著整個私有密鑰產(chǎn)生的過程。

③利用CA的RSA密鑰創(chuàng)建一個自簽署的CA證書

# OpenSSL req -new -x509 -days 365 -key ca.key -out ca.crt

該指令中req用來創(chuàng)建和處理CA證書,它還能夠建立自簽名證書,做Root CA。

-new產(chǎn)生一個新的CSR,他會要輸入創(chuàng)建證書請求CSR的一些必須的信息。

-x509將產(chǎn)生自簽名的證書,一般用來做測試用,或者自己做個Root CA用。

-days 365制定我們自己的CA給人家簽證書的有效期為365天。

-key ca.key指明我們的私有密鑰文件名為ca.key。

-out ca.crt指出輸出的文件名為ca.省略f

Enter PEM pass phrase:12345678

You are about to be asked to enter information that will be incorporated

Into your certificate request.

What you are about to enter is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank.

For some fields there will be a default value,

If you enter ,the field will be left blank.

……

Country Name (2 letter code) [AU]:CN (兩個字母的國家代號)

State or Province Name(full name)[Some-State]:JIANG SU (省份名稱)

Locality Name(eg,city)[]:ZHANGJIAGANG (城市名稱)

Organization Name(eg,company)[Internet Widgits Pry Ltd]:FAMILY NETWORK(公司名稱)

0rganizational Unit Name(eg,section)[]:HOME (部門名稱)

Common Name(eg,YOUR name)[]:TJL (你的姓名)

Email Address [ ]:TJL@WX88.NET (Email地址)

④用下列命令查看生成證書的內(nèi)容:

# OpenSSL x509 -noout -text -in ca.crt

該指令中x509表示證書處理工具。

-noout表示不打印毫key的編碼版本信息。

-text表示以文本方式顯示內(nèi)容。

-in Ca.crt表示對ca.crt文件進行處理

系統(tǒng)顯示證書內(nèi)容為:

Certificate:

Data:

Version:3(Ox2)

Serial Number:0(OxO)

Signature Algorithm:md5WithRSAEncryption

Issuer:C=CN, ST=JIANG SU,L=ZHANGJIAGANG,O=FAMILY NETWORK,OU=HOME,CN=TJL/Emai1=TJL@WX88.NE

Validity

Not Before:Feb 24 14:49:27 2003 GMT

Not After:Feb 2l 14:49:27 2013 GMI

Subject:C=CN,ST=JIANG SU,L=ZHANGJIAGANG,O=FAMILY NETWORK,OU=HOME,CN=TJL/Email=

Subject Public Key Info:

Public Key Algorithm:rsaEncryption

RSA Public Key:(1024 bit)

ModulUS(1024 bit):

00:da:20:09:11:19:lf:12:fO:98:Oc:fc:9l:ac:3e:

......

22:el:ea:04:Of:dc:e9:bd:9f

Exponent:65537(Oxt0001)

X509v3 extensions:

X509v3 Subject Key Identifier:

03:BO:14:8C:5D:C6:F8:F4:BO:96:AO:CC:7C:8F:9B:00:BB:78:E6:A6

X509v3 Authority Key Identifier:

keyid:03:BO:14:8C:5D:C6:F8:F4:BO:96:AO:CC:7C:8F:9B:00:BB:78:E6:A6

DirName:/C=CN/ST=JIANG SU/L=ZHANGJIAGANG/0=FAMTLY

NETWORK/0U=HOME/CN=TJL/email=TJL@WX88.NET

serial:00

X509v3 Basic Constraints:

CA:TRUE

Signature Algorithm:md5WithRSAEncryption

8d:e8:46:82:40:b4:18:a2:12:9f:7a:66:e5:fc:Oc:3f:77:5a:

......

04:13

從上面的輸出內(nèi)容可以看出這個證書基本包含了X.509數(shù)字證書的內(nèi)容,從發(fā)行者Issuer和接受者Subject的信息也可以看出是個自簽署的證書。

下面創(chuàng)建服務器證書簽署請求(使用指令和系統(tǒng)顯示信息基本和以上類似):

⑤首先為Apache創(chuàng)建一個RSA私用密鑰:

# OpenSSL genrsa -des3 -out server.key 1024

這里也要設(shè)定口令pass phrase,生成server.key文件。

⑥用下列命令查看它昀內(nèi)容:

# OpenSSL rsa -noout -text -in server.key

⑦用server.key生成證書簽署請求CSR:

# OpenSSL req -new -key server.Key -out server.Csr

這里也要輸入一些請求證書的信息,和上面的內(nèi)容類似。

⑧生成證書請求后,下面可以簽署證書了,需要用到Open SSL源代碼中的一個腳本sign.sh,簽署后就可以得到數(shù)字證書server.crt。

# sign.sh server.csr

⑨啟動安全Web服務

最后在apache服務器中進行ca認證沒置,拷貝server.crt和server.key到/usr/local/apache/conf

修改httpd.conf將下面的參數(shù)改為:

SSLCertificateFILE/usr/local/apache/conf/server.crt

SSLCertificateKeyFile/usr/local/apache/conf/server.key

可以啟動帶安全連接的Apache試一下了。

#/usr/local/apache/bin/apachectl startssl

提示輸入pass phrase(就是前面為服務器設(shè)置的口令)

⑩進行安全連接

通過另一臺電腦(IP地址為192.168.0.1)的IE瀏覽器與這臺Apache服務器(IP地址為192.168.0.2)連接并且選擇https協(xié)議,即:https://192.168.0.2:443。出現(xiàn)安全連接警告窗口,因為我的服務器證書是自己手工簽署的,不是經(jīng)過真正的CA頒發(fā)的證書,是個無效證書,所以按確定后如現(xiàn)安全證書無效的警告窗口。按“是” 繼續(xù),注意這里瀏覽器地址欄內(nèi)輸入的是https而不是http,另外此時在狀態(tài)欄內(nèi)出現(xiàn)了一把小鎖,這說明SSL協(xié)議超作用了,服務器和瀏覽器之間建立了一個安全連接,這樣我們使用開放源代碼的工具Open SSL來完成了電子商務的CA認證過程,同時這也只是使用現(xiàn)成的工具來完成的,在實際使用中還要分析它的源代碼,修改源代碼,來達到自己的安全需要。

(四)通過政府的效力加強我國電子商務的安全系數(shù)

1.對電子商務進行專門立法

電子商務是一個新生事物,很多方面不同于傳統(tǒng)商務,與傳統(tǒng)的法律規(guī)范體系也存在著諸多不相容之處,而且,傳統(tǒng)的法律規(guī)范體系中還有許多電子商務方面的空白。這一情況已經(jīng)在實踐中引起了不少的問題。

我國的電子商務是近年才發(fā)展起來的,目前規(guī)范電子商務相關(guān)的法律法規(guī)極為有限。在法律的層次上只有1997年《中華人民共和國刑法》和1999年《中華人民共和國合同法》對相關(guān)問題作了簡單規(guī)定。例如,我國1997年修訂的《刑法》中增加了關(guān)于計算機犯罪的條文,1999年通過的《合同法》對電子合同的書面形式、生效時間地點等作了規(guī)定。但是,這種規(guī)定太過簡單,遠遠不能滿足電子商務發(fā)展的需要。例如,對于電子認證的效力、虛假電子認證等重要的問題,我國法律還沒有規(guī)定,這已經(jīng)成為阻礙我國電子商務發(fā)展的重要問題。

因此,我國應大力加強電子商務法制化建設(shè),制定專門的《電子商務法》,對電子商務當事人的權(quán)利義務、電子合同法律關(guān)系、電子簽名、電子認證、網(wǎng)上知識產(chǎn)權(quán)的保護、電子支付等問題進行專門規(guī)定,使之適應電子商務發(fā)展的需要。在刑法中,對電子商務領(lǐng)域的犯罪進行規(guī)定。從而在法律上,為電子商務提供一個良好的發(fā)展環(huán)境。

2.建設(shè)我國的電子商務認證機構(gòu)體系

電子商務認證機構(gòu)是電子商務中的重要部門,其擔負著維護電子交易安全的責任。因此,要完善我國的電子商務安全運營,必須建立我國的電子商務認證體系。

在目前存在的三種電子商務認證機構(gòu)模式中,當事人自由約定的電子商務認證體系不適合我國的實際情況。我國電子商務剛剛發(fā)展起來,不完善的地方很多,很多普通的消費者對電子商務還不很了解,根本無法在自由約定時,提出對自己有利的條件。而且,在交易雙方的力量對比懸殊的情況下,弱勢一方很難通過談判來取得公平的結(jié)果。再進一步說,這種模式的認證結(jié)果通用性很差,不適合我國剛起步的電子商務的發(fā)展。

近年來,我國的電子商務認證機構(gòu)的發(fā)展很快。1999年3月19日,中國人民銀行組織12家商業(yè)銀行共建金融認證中心系統(tǒng);1999年8月,我國首套擁有自主知識產(chǎn)權(quán)的電子商務安全認證系統(tǒng)通過了國家密碼管理委員會和信息產(chǎn)業(yè)部組織的技術(shù)鑒定。但另一方面,我國的電子商務認證系統(tǒng)還遠不成熟,仍有許多需要完善的地方。我們必須對此給予充分的重視,以便為電子商務的安全發(fā)展提供組織保障。

3.大力推進電子簽名等技術(shù)的發(fā)展,從技術(shù)上為電子商務提供安全保障

電子商務的產(chǎn)生、發(fā)展是科技發(fā)展的結(jié)果,其安全運營也要依靠技術(shù)給予的保障。因此,為加強電子商務的安全性,我們必須大力推進科技的發(fā)展,使技術(shù)滿足電子商務的安全運營要求。在電子商務中廣泛使用的電子簽名,就涉及許多復雜的技術(shù)問題。為使電子簽名具有與傳統(tǒng)簽名相同的法律效力,我們必須使電子簽名具有像手寫簽名那樣的獨特性。這一問題的解決,需要技術(shù)發(fā)展才能實現(xiàn)。

目前,解決電子簽名效力的途徑主要有:

(1)修改法律或者進行法律解釋,使簽名涵蓋電子簽名。但對于何種電子簽名才具有法律效力,立法要兼顧技術(shù)中立、開放與安全,使之適應技術(shù)發(fā)展的需要。

(2)電子商務的當事人在合同中約定電子簽名方法及效力。

(3)依靠技術(shù)進步,這是最根本的方法。技術(shù)安全、成本低廉的電子簽名方式是電子商務安全的有力保障。

收稿日期:2011-07-05

作者簡介:路橋(1974-),男,遼寧新民人,碩士,講師,從事計算機應用與網(wǎng)絡(luò)經(jīng)濟研究。

參考文獻:

[1] 張小兵.我國電子商務發(fā)展現(xiàn)狀及存在問題與對策[J].商業(yè)研究,2004,(2).

[2] 徐偉.電子商務網(wǎng)上支付的安全保障問題[D].合肥:合肥聯(lián)合大學,2008,3.

[3] 高媛,歐陽志明,石曉軍.電子商務[M].北京:企業(yè)管理出版社,2005.

[4] 包曉聞,張海堂.電子商務――21世紀世界商務發(fā)展的潮流[M].北京:經(jīng)濟科學出版社,2008.

[5] 韓寶明.電子商務安全與支付[M].北京:人民郵電出版社,2009.

[6] 閆心麗.淺析電子商務安全[J].內(nèi)蒙古電大學刊,2005,(5).

[7] 祁明.電子商務安全與保密[M].北京:高等教育出版社,2005.

Study on the electronic commerce safety

LU Qiao

(North-east finance and economy university,Dalian116023,China)

第5篇:電子合同的安全性范文

1996年6月,聯(lián)合國國際貿(mào)易法委員會(UnitedNationsCommissionInternationalTradeLaw,UNCITRAL)通過了電子商務示范法。該法律支持在電子商務方面國際商業(yè)合同的使用,其模型建立了批準和承認以電子手段形成合同的規(guī)則和標準,為電子合同實施的合同格式和管理設(shè)置了查錯規(guī)則,定義了有效的電子書寫和原始文件的特征,為了立法和商業(yè)目的提供了電子簽名的可接受性,支持在法庭和仲裁過程中提供了計算機證據(jù),為電子商務的發(fā)展奠定了法律基礎(chǔ)。

UNCITRAL制定了一些原則用來指導管理全球電子商務合同的起草,如:

1.參與方應自由地在他們認為適合時簽訂他們之間的合同關(guān)系;

2.規(guī)則在技術(shù)上應保持中立(如:規(guī)則既不應要求也不應采用特殊技術(shù)),并且規(guī)則應著眼于未來發(fā)展(如:規(guī)則不應阻礙未來技術(shù)的使用或開發(fā));

3.作為必要的或?qū)嶋H的要求現(xiàn)存的規(guī)則應被修改,而新的規(guī)則應被采納以支持電子技術(shù)的使用;

4.過程應包括高技術(shù)商業(yè)部門以及還未在網(wǎng)上運作的業(yè)務。

支付標準

支付是電子商務活動的核心,國際通行的網(wǎng)上支付工具和支付方式主要有銀行卡支付、電子現(xiàn)金、電子支票以及電子資金轉(zhuǎn)賬、微支付等。

1.智能卡支付標準(SET)

1996年2月1日MasterCard與Visa兩大國際信用卡組織與技術(shù)合作伙伴GTE、Netscape、IBM、TerisaSystems、Verisign、Microsoft、SAIC等一批跨國公司共同開發(fā)了安全電子交易規(guī)范(SecureElectronicTransaction,簡稱SET)。SET是一種應用于開放網(wǎng)絡(luò)環(huán)境下,以信用卡為基礎(chǔ)的安全電子支付系統(tǒng)的協(xié)議,它給出了一套電子交易的過程規(guī)范。通過SET這一套完備的安全電子交易協(xié)議可以實現(xiàn)電子商務交易中的加密、認證機制、密鑰管理機制等,保證在開放網(wǎng)絡(luò)上使用信用卡進行在線購物的安全。由于SET提供商家和收單銀行的認證,確保了交易數(shù)據(jù)的安全、完整可靠和交易的不可抵賴性,特別是具有保護消費者信用卡號不暴露給商家等優(yōu)點,因此它成為目前公認的信用卡/借記卡的網(wǎng)上交易的國際標準。

SET協(xié)議采用了對稱密鑰和非對稱密鑰體制,把對稱密鑰的快速、低成本和非對稱密鑰的有效性結(jié)合在一起,以保護在開放網(wǎng)絡(luò)上傳輸?shù)膫€人信息,保證交易信息的隱蔽性。其重點是如何確保商家和消費者的身份和行為的認證和不可抵賴性,其理論基礎(chǔ)是著名的非否認協(xié)議(Non-repudiation),其采用的核心技術(shù)包括X。509電子證書標準與數(shù)字簽名技術(shù)(DigitalSignature)、報文摘要、數(shù)字信封、雙重簽名等技術(shù)。如使用數(shù)字證書對交易各方的合法性進行驗證;使用數(shù)字簽名技術(shù)確保數(shù)據(jù)完整性和不可否認;使用雙重簽名技術(shù)對SET交易過程中消費者的支付信息和定單信息分別簽名,使得商家看不到支付信息,只能對用戶的訂單信息解密,而金融機構(gòu)只能對支付和賬戶信息解密,充分保證消費者的賬戶和定貨信息的安全性。SET通過制定標準和采用各種技術(shù)手段,解決了一直困擾電子商務發(fā)展的安全問題,包括購物與支付信息的保密性、交易支付完整性、身份認證和不可抵賴性,在電子交易環(huán)節(jié)上提供了更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。

雖然早在1997年就推出了SET1.0版,但它的推廣應用較緩慢,主要原因是由于昂貴、互操作性差和難以實施,它提供了多層次的安全保障,復雜程度顯著增加;另一個原因是由于SSL的廣泛應用。此外,銀行的支付業(yè)務不光是卡支付業(yè)務,而SET支付方式適應于卡支付,對其他支付方式是有所限制的。而且,SET協(xié)議用以支持"BtoC"(businesstoconsumer)類型的電子商務模式,即消費者持卡在網(wǎng)上購物與交易的模式,而不能支持BtoB模式。

盡管有諸多缺陷,但SET已獲得IETF的認可,成為電子商務中最重要的協(xié)議。

典型的智能卡系統(tǒng)有CyberCash和FirstVirtualHolding等。SET協(xié)議可更好地保證智能卡在INTERNET環(huán)境下進行網(wǎng)絡(luò)直接交付。

2.電子現(xiàn)金支付協(xié)議

電子現(xiàn)金(e-cash或digitalcurrency)是以數(shù)字化形式存在的現(xiàn)金貨幣,具有多用途、靈活使用、匿名性、快速簡便的特點,無需直接與銀行連接便可使用,適用于小額交易。其主要好處是可以提高效率,方便用戶使用。目前電子現(xiàn)金一些只需要軟件,而另一些則需要新硬件--主要是智能卡,即主要有智能卡形式的支付卡或數(shù)字方式的現(xiàn)金文件。也可采用現(xiàn)金轉(zhuǎn)卡或采用Mondex卡轉(zhuǎn)卡的方式。其安全使用是一個重要的問題,包括限于合法人使用、避免重復使用等。不同類型的數(shù)字貨幣都有其自己的協(xié)議,用于消費者、銷售商和發(fā)行者之間交換金融申請。每個協(xié)議由后端服務器軟件--電子現(xiàn)金支付系統(tǒng),和客戶端的"錢包"軟件執(zhí)行。

電子現(xiàn)金支付已經(jīng)有三種典型的實用系統(tǒng)開始使用,分別是:Mondex,Netcash,Digicash。

Mondex:歐洲使用的、以智能卡為電子錢包的電子現(xiàn)金支付系統(tǒng),應用于多種用途,具有信息存儲、電子錢包、安全密碼鎖等功能,安全可靠。

Netcash:可記錄的匿名電子現(xiàn)金支付系統(tǒng)。主要特點是設(shè)置分級貨幣服務器來驗證和管理電子現(xiàn)金,其中電子交易的安全性得到保證。

DigiCash:無條件匿名電子現(xiàn)金支付系統(tǒng)。主要特點是通過數(shù)字記錄現(xiàn)金,集中控制和管理現(xiàn)金,是一種足夠安全的電子交易系統(tǒng)。

3.電子支票

電子支票(e-check或e-cheque)支付目前一般是通過專用網(wǎng)絡(luò)、設(shè)備、軟件及一套完整的用戶識別、標準報文、數(shù)據(jù)驗證等規(guī)范化協(xié)議完成數(shù)據(jù)傳輸,從而控制安全性。這種方式已經(jīng)較為完善。電子支票支付現(xiàn)在發(fā)展的主要問題是今后將逐步過渡到公共互聯(lián)網(wǎng)絡(luò)上進行傳輸。電子資金轉(zhuǎn)賬(ElectronicFundTransfer,簡稱EFT)或網(wǎng)上銀行服務(InternetBanking)方式,是將傳統(tǒng)的銀行轉(zhuǎn)賬應用到公共網(wǎng)絡(luò)上進行的資金轉(zhuǎn)賬。一般在專用網(wǎng)絡(luò)上應用具有成熟的模式(例如SWIFT系統(tǒng));公共網(wǎng)絡(luò)上的電子資金轉(zhuǎn)賬仍在實驗之中。目前大約80%的電子商務仍屬于貿(mào)易上的轉(zhuǎn)賬業(yè)務。

電子支票支付遵循金融服務技術(shù)聯(lián)盟(FSTC,F(xiàn)inancialServicesTechnologyConsortium)提的BIP(BankInternetPayment)標準(草案)。典型的電子支票系統(tǒng)有E-check、NetBill、NetCheque等。

4.微支付

"微支付"(micropayments)的特征是能夠處理任意小量的錢,適合于因特網(wǎng)上"不可觸摸(non-tangible)商品"的銷售。一方面,微支付要求商品的發(fā)送與支付要幾乎同時發(fā)生在因特網(wǎng)上;另一方面,商品銷售、處理與運輸?shù)?瓶頸"為保持成本低廉設(shè)置了障礙。為保持每個交易的發(fā)送速度與低成本,目前有很多廠商在致力于發(fā)展別的協(xié)議以支持SET和SSL所不能支持的微支付方式,其中之一是微支付傳輸協(xié)議(MicroPaymentTransportProtocol,簡稱MPTP),該協(xié)議是由IETF制定的工作草案。

"微支付"的一個重要方面是其定義隨著對象而變化,有許多系統(tǒng)聲明其是"微支付",允許支付小于現(xiàn)有貨幣面額的數(shù)額。如IBM開發(fā)的"MicroPayments"、Compaq與Digital開發(fā)的"Millicent"、CyberCoin開發(fā)的"CyberCash"等。

聯(lián)合電子支付聯(lián)盟JEPI(JointElectronicPaymentInitiative):是由WorldWideWeb協(xié)會和CommerceNet領(lǐng)導的一個聯(lián)盟,目的是對支付協(xié)商過程進行標準化。在買主一方(客戶方),JEPI是WEB瀏覽器和wallet使用不同協(xié)議的接口,在賣主一方(服務器方),JEPI在網(wǎng)絡(luò)和傳輸層之間,將下層來的事務送給適當?shù)膫鬏敽椭Ц秴f(xié)議。

智能卡標準

智能卡是一種內(nèi)部嵌入了集成電路的、信用卡大小的電子卡,具有儲存信息量大、數(shù)據(jù)保密性好、抗干擾能力強、儲存可靠、讀寫設(shè)備簡單、使用靈活、操作速度快、脫機工作能力強易于攜帶等特點。

智能卡大致分接觸式、非接觸式2種。它們又分別有存儲式、帶CPU式兩種。智能存儲器型卡中有硬件的邏輯保護,以密碼加密形式來保護其存儲內(nèi)容不被非法更改;較先進些的存儲卡里面有讀寫的安全模塊做算法的加密認證等;CPU卡因運算速度和存儲容量的不同而不同;有的CPU卡里帶FPU,能加快數(shù)學算法的運行,如公開密鑰的運算等.非接觸式的同樣分為存儲式的和帶CPU式的,它主要應用于容量或認證比較快捷方便的地方,如公交、門禁控制等。

智能卡提供了一種簡便的方法,可用來存儲和解釋私人密鑰和證書,并且非常容易攜帶。智能卡可以配合SET或SSL使用。SET非常好地解決了智能卡與電子商務的結(jié)合,智能卡上存放的證書使持卡人的身份得到認證,并直接在每一次網(wǎng)上購物時簽上客戶的數(shù)字簽名。

1997年全球智能卡發(fā)行量達13億張;1998年達到16億張,增長率為23%;到2000年,發(fā)卡量預計將增至30億張。推動智能卡發(fā)展的主要領(lǐng)域是銀行金融界、電信業(yè)、交通業(yè)以及醫(yī)療保健和身份認證系統(tǒng)。其中,金融業(yè)的增長將尤為迅速,電子支付將使智能卡的發(fā)展推到一個新的高度。歐洲是智能卡最大的市場,但亞洲和美洲市場具有非常廣闊的前景。據(jù)不完全統(tǒng)計,至1998年,我國已發(fā)行IC卡約8000多萬張。據(jù)有關(guān)部門預測,至2000年,我國IC卡發(fā)卡量將在2億張以上。智能卡已在電信、交通、醫(yī)療、商業(yè)、旅游、公用事業(yè)等眾多領(lǐng)域中得到廣泛的應用,并將在電子商務領(lǐng)域得到更大的發(fā)展。

1.智能卡國際標準

(1)全球PC/SC計算機與智能卡聯(lián)盟

Bull、HP、IBM、Microsoft、Simens、Nixdof、Sun、Toshiba、Verifone和Gemplus組成了計算機與智能卡聯(lián)盟,制定計算機和智能卡連用標準.以達到通過一張智能卡,插入異地網(wǎng)絡(luò)計算機,即可通過因特網(wǎng)查詢本地資料或進行電子商務活動。

(2)EMV集成電路卡規(guī)范(EUROPAY-MASTERCARD-VISAIntegratedCircuitCardSpecifications)

該規(guī)范是基于ISO標準的規(guī)范,最早由VISA于1992年著手研制,此后VISA聯(lián)合EUROPAYT和MASTERCARD共同完成了該規(guī)范。1996年6月,EMV出版了EMV集成電路卡規(guī)范第三版,1998年5月對該版做了更新,該規(guī)范用附加的數(shù)據(jù)類型和編碼規(guī)則為金融服務企業(yè)擴展了ISO7816標準。。

第6篇:電子合同的安全性范文

作者:張靜 王淑敏 單位:許昌職業(yè)技術(shù)學院

由于銀行與這些單位之間可能存在某些不信任因素,因此,它們之間的互聯(lián),為銀行網(wǎng)絡(luò)系統(tǒng)帶來了許多外單位的安全威脅,成為煤礦銷售電子支付安全的隱患。以上3方面安全威脅可能引發(fā)的結(jié)果有:惡意破壞數(shù)據(jù)、非法使用資源、數(shù)據(jù)篡改或竊取等。從技術(shù)層面講,煤礦銷售網(wǎng)上支付的安全性主要表現(xiàn)在對交易信息和支付信息的安全認證,加密保存、傳送,防止否認以及完整性控制等方面。煤礦銷售電子支付的安全風險限制了電子商務的發(fā)展,使得煤礦企業(yè)電子商務活動在過去相當長的一段時期內(nèi)保持“網(wǎng)上訂購,網(wǎng)下交易”的狀態(tài),停滯不前。雖然目前的煤礦銷售電子支付安全性有所保障,但是問題依然存在,依然是制約煤礦企業(yè)電子商務發(fā)展的主要障礙之一。

完善管理機制網(wǎng)絡(luò)安全并非單單靠技術(shù)手段來實現(xiàn),管理安全才是它得以維系的保證。另外,煤礦企業(yè)電子商務交易系統(tǒng)需要人機的高度綜合。故對管理人員的管理是其中非常重要的環(huán)節(jié)。而管理安全包括國家法律法規(guī)的宣傳、銀行系統(tǒng)安全制度的制定和企業(yè)人員整體的網(wǎng)絡(luò)安全意識的提高。在這管理機制中必須有一套完整的制度來培養(yǎng)管理人員的敬業(yè)愛崗精神,這個培養(yǎng)宗旨貫穿在系統(tǒng)管理權(quán)限的分配與監(jiān)督、管理人員的業(yè)務與道德水平的培養(yǎng)以及考核中。加強道德規(guī)范煤礦企業(yè)電子商務的交易非面對面的直接交易行為,比傳統(tǒng)交易更容易出現(xiàn)欺詐行為,道德的缺失嚴重影響著電子商務的安全。故要想煤礦企業(yè)電子商務得到健康長久的發(fā)展,就必須加強建立與完善社會道德規(guī)范,充分發(fā)揮道德的指引與約束作用。提供法律保障煤礦企業(yè)電子商務的安全單靠道德的規(guī)范是不夠的,還必須有法律的強制指引與規(guī)范。電子商務活動也屬于商品交易的一種,因此合法的電子商務活動的安全問題亦應當受法律保護,以保障數(shù)字簽名與電子合同之法律地位、判定電子合同是否可以修改和承認、保障電子合同的可實施性。提高防護技術(shù)(1)加強網(wǎng)絡(luò)安全強煤礦企業(yè)電子商網(wǎng)絡(luò)安全的加強可以通過加強訪問控制、網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全評估和安全檢測等途徑來實施。(2)增強信息鑒別能力數(shù)據(jù)的完整與真實也是煤礦企業(yè)網(wǎng)絡(luò)銷售系統(tǒng)的安全的重要部分,故必須增強信息鑒別能力,分辨數(shù)據(jù)是否完整、真實。數(shù)據(jù)在傳輸時有時會被非法篡改甚至竊取等,要保證數(shù)據(jù)完整、真實,就要采用信息鑒別技術(shù),如安裝VPN設(shè)備、數(shù)據(jù)源身份認證等。當原始數(shù)據(jù)包輸入VPN設(shè)備時,它可先加密數(shù)據(jù),再用HASH函數(shù)對其進行運算,并將產(chǎn)生的信息摘要同加密數(shù)據(jù)同時發(fā)到目的方的VPN加密設(shè)備。目的方的VPN加密設(shè)備又先解密已加密的數(shù)據(jù)包,再用HASH函數(shù)運算解密后的數(shù)據(jù),然后將所產(chǎn)生信息摘要同所收到的信息摘要對比,若2個信息摘要完全相同,則表明所解密的數(shù)據(jù)的完整性沒有被破壞,是原始數(shù)據(jù),否則就表明該數(shù)據(jù)已被非法篡改甚至竊取。另外,數(shù)據(jù)源身份認證也可以增強信息的鑒別能力。數(shù)據(jù)源身份認證主要通過數(shù)字簽名技術(shù)來實現(xiàn)。數(shù)字簽名是發(fā)送方用個人私鑰加密(簽名)信息再發(fā)給對方,對方要用發(fā)送方的公鑰對收到的信息進行解密,若能順利解密,則表明信息來源可信,否則不可信,此方法亦可防止抵賴。(3)安全認證煤礦企業(yè)網(wǎng)絡(luò)電子支付系統(tǒng)的安全肯定要依賴加密系統(tǒng),加密就需要密鑰,而密鑰的產(chǎn)生、管理和頒發(fā)均存在安全隱患。發(fā)放密鑰往往是以證書的方式來實現(xiàn),故就要解決證書的發(fā)送方同接收方怎樣確認對方的證書的真實性問題,引入第三方來發(fā)放此證書恰好能因應之。各銀行聯(lián)合構(gòu)建一權(quán)威認證機構(gòu)(CA認證中心),建立銀行系統(tǒng)的CA系統(tǒng),借以實現(xiàn)此系統(tǒng)內(nèi)證書的發(fā)交和煤礦銷售的安全交易。

開放的互聯(lián)網(wǎng)使得電子商務充滿風險,煤礦銷售電子支付系統(tǒng)的安全受到巨大威脅,不僅有來自互聯(lián)網(wǎng)的風險,還有來自銀行內(nèi)部以銀行以外的企業(yè)和事業(yè)單位的風險。因此,提出了完善管理機制、加強道德規(guī)范、提供法律保障和提高防護技術(shù)等切實可行的措施,以確保電子商務活動的安全、順利地進行,促進煤礦企業(yè)電子商務行業(yè)的健康發(fā)展。

第7篇:電子合同的安全性范文

關(guān)鍵詞:農(nóng)業(yè)機械;農(nóng)副產(chǎn)品;加工信息;電子商務平臺

1電子商務在農(nóng)業(yè)領(lǐng)域應用現(xiàn)狀分析

從當前農(nóng)業(yè)信息網(wǎng)絡(luò)發(fā)展能夠看出,現(xiàn)代化技術(shù)對農(nóng)業(yè)生產(chǎn)的影響較大,然而由于農(nóng)村地區(qū)經(jīng)濟發(fā)展緩慢,缺乏互聯(lián)網(wǎng)基礎(chǔ)設(shè)施,在一定程度上影響了電子商務的應用。農(nóng)民無法更多地接觸互聯(lián)網(wǎng),阻礙了電子商務平臺的發(fā)展?,F(xiàn)階段,我國電子商務平臺缺乏完整體系,因此,極易出現(xiàn)不良事件,導致電子商務平臺存在安全隱患。立足于我國經(jīng)濟發(fā)展現(xiàn)狀可知,農(nóng)業(yè)機械屬于高投入交易活動,當存在網(wǎng)絡(luò)違法行為時,將極易影響電子商務的安全性,相應影響農(nóng)業(yè)領(lǐng)域的發(fā)展。

2農(nóng)業(yè)加工信息電子商務平臺的基本結(jié)構(gòu)和功能

2.1系統(tǒng)結(jié)構(gòu)體系

從該電子商務平臺框架能夠看出,核心數(shù)據(jù)服務器具有重要應用價值,并且會覆蓋整個平臺系統(tǒng)的網(wǎng)絡(luò)購物模塊和安全管理模塊。以上模塊能夠支持企業(yè)物流應用模式的發(fā)展。在應用物流系統(tǒng)期間,其配送模式主要為第三方物流公司,并且采用與郵政企業(yè)合作方式,確保該企業(yè)能夠在物流系統(tǒng)中發(fā)揮作用。

2.2平臺關(guān)鍵技術(shù)

在應用電子商務模式時,核心技術(shù)包括信息安全技術(shù)、數(shù)據(jù)挖掘技術(shù)、XML技術(shù)、JAVA技術(shù)等。JAVA技術(shù)屬于最核心技術(shù),在加工信息電子商品平臺中應用該項技術(shù),能夠展示出平臺短租性能擴展的功能。在需要對現(xiàn)有服務進行擴展時,優(yōu)化應用服務器功能時,通過應用JAVA技術(shù)能夠提升平臺系統(tǒng)的擴展性和安全性。XML技術(shù)能夠通過搜素能力,全面優(yōu)化電子商務平臺系統(tǒng)。在實際應用該商務平臺時,支付安全問題是存在的最大應用難題,當農(nóng)業(yè)機械或者農(nóng)副產(chǎn)品交易活動中存在支付安全隱患時,將會使農(nóng)民承受較大的經(jīng)濟損失。因此,為了維護平臺支付安全性,需要應用電子證書和數(shù)據(jù)簽名等方式。數(shù)據(jù)挖掘技術(shù)能夠?qū)蛻魹g覽行為進行分析,準確定位商品銷售市場,對市場發(fā)展動態(tài)進行預測。信息安全技術(shù)能夠有效確保用戶電子支付的安全性,通過平臺中的支付功能模塊和安全集成認證模塊,能夠全面促進電子商務平臺的運行。當前,在電子商務平臺中,電子證書、數(shù)字時間戳和數(shù)據(jù)簽名屬于最常應用的信息安全方式。用戶在獲取認證授權(quán)證書之后,才能夠開展支付與交易活動。

2.3系統(tǒng)功能分析

通過該商務平臺能夠設(shè)備資源信息、市場交易信息等,確保其在農(nóng)業(yè)機械和農(nóng)副產(chǎn)品加工中的重要作用。還能夠促進地區(qū)與國際之間的交流,使我國農(nóng)業(yè)機械和農(nóng)產(chǎn)品逐漸走向國際。

2.3.1信息數(shù)據(jù)服務功能

應用該平臺的目的在于交流新技術(shù)和實用性技術(shù)。因此需要將農(nóng)業(yè)機械和農(nóng)產(chǎn)品加工作為數(shù)據(jù)庫核心,隨時關(guān)于農(nóng)業(yè)方面的最新技術(shù),商品信息和企業(yè)產(chǎn)品數(shù)據(jù)等。

2.3.2商品管理功能

該項功能能夠?qū)ι唐妨魍ㄟM行管理,確保商品信息查詢的智能化。在數(shù)據(jù)庫建設(shè)過程中,通過挖掘和分析數(shù)據(jù),可以查詢和分析商品信息,對市場發(fā)展動態(tài)進行預測。

2.3.3在線交易功能

電子商務平臺的核心在于在線交易,能夠加強合同管理、業(yè)務商討和交易行為等。通過視、音頻等技術(shù)的組合應用,促進商務洽談的便捷性。

2.3.4支付系統(tǒng)

該平臺能夠確保認證體系的安全性和可靠性,通過客戶報表管理,支付結(jié)算和賬務管理等方式,能夠建立安全的商務環(huán)境。

2.3.5物流配送

電子商務平臺所具備的物流配送系統(tǒng)主要包括第三方物流公司配送、直接運送商品和郵政網(wǎng)絡(luò)配送等方式。在實際應用期間優(yōu)化組合不同配送方式,以此確保物流配送系統(tǒng)的個性化和智能化。

3加工信息電子商務平臺的實際應用

3.1促進農(nóng)業(yè)信息資源共享

通過該平臺的應用現(xiàn)狀能夠看出,其能夠大范圍推廣農(nóng)業(yè)新技術(shù)和智慧農(nóng)業(yè),使農(nóng)民能夠共享農(nóng)業(yè)信息資源。電子商務平臺作用的發(fā)揮離不開系統(tǒng)功能的作用,從實際應用效果能夠看出,該平臺可以促進農(nóng)業(yè)新技術(shù)的交流,充分發(fā)揮出加工數(shù)據(jù)庫在商務平臺中的作用。為了更好地實現(xiàn)以上目標,農(nóng)業(yè)主管部門在推廣和宣傳該商務平臺時,應當不斷優(yōu)化和完善相關(guān)政策法規(guī)、信息功能以及政策查詢功能等,以便農(nóng)民在農(nóng)業(yè)生產(chǎn)活動中,可深入了解和掌握農(nóng)村市場商品信息和優(yōu)惠政策,由此促進農(nóng)業(yè)信息資源共享機制的發(fā)展。

3.2結(jié)合電子商務和傳統(tǒng)銷售模式

通過應用電子商務平臺,能夠有效結(jié)合電子商務和傳統(tǒng)銷售模式,因此在建設(shè)加工信息電子商務平臺時,應當充分展現(xiàn)出在線交易功能。在處理交易事宜和合同管理問題時,可通過在線交易功能中的音視頻技術(shù)實現(xiàn),以此促進業(yè)務交流與溝通的便捷性。優(yōu)化完善平臺支付系統(tǒng),加強賬戶管理力度,不斷改進和完善老客戶報表管理,以此結(jié)合和組合方式,促進電子商務和傳統(tǒng)銷售模式的共同進步發(fā)展。

3.3促進政府對農(nóng)業(yè)的宏觀調(diào)控

電子商務平臺有助于政府部門對農(nóng)業(yè)生產(chǎn)進行宏觀調(diào)控,通過信息數(shù)據(jù)功能和商品管理功能,可以充分發(fā)揮出電子商務平臺的作用。由于農(nóng)副產(chǎn)品和農(nóng)業(yè)機械會對電子商務平臺的作用發(fā)揮產(chǎn)生影響,且數(shù)據(jù)庫技術(shù)支撐商品管理功能的實現(xiàn),因此,電子商務平臺能夠?qū)r(nóng)業(yè)市場發(fā)展動態(tài)進行預測。通過此種預測功能,能夠準確把握農(nóng)業(yè)市場的實際需求,還能夠確保政府部門掌握和控制農(nóng)業(yè)行業(yè)的發(fā)展動態(tài)。所以,在農(nóng)業(yè)機械和農(nóng)副產(chǎn)品中應用加工信息電子商務平臺,能夠為政府宏觀調(diào)控提供重要技術(shù)支撐。

3.4促進農(nóng)業(yè)信息化發(fā)展

建立電子商務平臺能夠促進農(nóng)業(yè)信息化發(fā)展,優(yōu)化和改進農(nóng)業(yè)裝備市場的發(fā)展。從農(nóng)業(yè)機械產(chǎn)業(yè)的發(fā)展現(xiàn)狀能夠看出,傳統(tǒng)農(nóng)業(yè)市場的經(jīng)營模式主要為集市場模式,在建立電子商務平臺之后,可以通過信息管理模塊,促進農(nóng)業(yè)機械市場的信息化發(fā)展。在應用信息化技術(shù)時,通過該商務平臺,能夠確保農(nóng)業(yè)機械生產(chǎn)人員掌握農(nóng)村地區(qū)對于機械設(shè)備的需求度,向不同地區(qū)農(nóng)民銷售不同的農(nóng)業(yè)機械。

第8篇:電子合同的安全性范文

關(guān)鍵詞:網(wǎng)上仲裁 電子簽名

當前,仲裁已成為解決一切國際經(jīng)濟貿(mào)易爭議的一種主要方式,仲裁這種方式能適應世界經(jīng)濟增長的要求。隨著電子商務在全球化市場中的發(fā)展,必定會出現(xiàn)消費者與商家在產(chǎn)品質(zhì)量或服務質(zhì)量等方面的爭端與糾紛。如何公正、有效、迅速、低成本地解決此類電子商務爭端,增加消費者進行網(wǎng)上消費的信心,已成為當前電子商務發(fā)展中的重大課題。在多樣化的爭端解決方式中,ADR(Alternative Dispute Resolution,替代性糾紛解決辦法)以其獨特的優(yōu)勢受到普遍的重視,而網(wǎng)絡(luò)技術(shù)與ADR結(jié)合衍生出的ODR(Online Dispute Resolution)這一電子商務爭端解決新機制更是適應了現(xiàn)代商務了網(wǎng)絡(luò)要求。網(wǎng)上仲裁(Online Arbitration)正是ODR的主要方式之一。

在美國和其他主要的歐盟國家,互聯(lián)網(wǎng)上的訴訟外爭端解決機制早已成為經(jīng)濟組織體系的一部分,并迅速延及電子商務領(lǐng)域,出現(xiàn)了一批在線爭端解決系統(tǒng)。網(wǎng)上仲裁由于其經(jīng)濟性和實用性,越來越受到經(jīng)濟組織和學者們的青睞,這一新型的仲裁形式正在實踐中得到迅速的推廣。網(wǎng)上仲裁形式是對傳統(tǒng)仲裁形式的一次重大革新。網(wǎng)上仲裁(Online Arbitration,又稱在線仲裁),它是指仲裁程序的全部或主要環(huán)節(jié),包括仲裁協(xié)議的提交、開庭審理、提供證據(jù)、作出仲裁裁決等,在互聯(lián)網(wǎng)上進行的國際商事仲裁。

網(wǎng)上仲裁它是通過網(wǎng)絡(luò)這一虛擬的空間范圍進行的仲裁,所以與傳統(tǒng)的仲裁有著許多方面的差別,網(wǎng)上仲裁,需要解決一些突破傳統(tǒng)仲裁概念的重要問題,主要有書面形式、電子證據(jù)、電子簽名、仲裁地空缺等,本文主要探討關(guān)于網(wǎng)上仲裁電子簽名的法律問題。

各國電子簽名立法的現(xiàn)狀

在傳統(tǒng)的交易過程中,為了保證交易安全,交易中的文件一般都要由當事人簽字或蓋章,以便能夠確認簽名人的身份,并保證簽字或者蓋章人認可文件的內(nèi)容。當交易通過電子的形式進行時,傳統(tǒng)的手寫簽字和蓋章無法進行,必須依靠技術(shù)手段替代。這種在電子文件中識別交易人身份,保證交易安全的電子技術(shù)手段,就是電子簽名。隨著電子商務和電子政務的迅猛發(fā)展,電子簽名的應用范圍愈加廣泛。為了規(guī)范電子簽名活動,消除電子商務和電子政務發(fā)展過程中的法律障礙,有關(guān)國際組織、許多國家和地區(qū)相繼制定了電子簽名法或電子商務法。聯(lián)合國國際貿(mào)易法委員會也分別于1996年和2001年制定了《電子商務示范法》和《電子簽名示范法》,為各國的電子簽名立法提供指導。

電子簽名的定義

廣義的電子簽名

廣義的電子簽名,是指包括各種電子手段的電子簽名。這種定義規(guī)定只要符合一定的條件,電子簽名就具有與傳統(tǒng)簽名同等的法律效力,而不限制達到規(guī)定條件的電子簽名應該采用的技術(shù)。典型的廣義電子簽名概念如《聯(lián)合國國際貿(mào)易法委員會電子簽名示范法》中所作的定義。采用廣義概念的還有美國《統(tǒng)一電子交易法》,澳大利亞《電子交易草案》和新西蘭等國的電子簽名法。廣義電子簽名是以對傳統(tǒng)簽名的功能分析與承認為基礎(chǔ)的,它外延廣闊為新技術(shù)的發(fā)展留下了寬闊的空間,但是由于其標準與形式多種多樣,容易導致技術(shù)上的混亂。更重要的是許多簽名手段缺乏安全保障,從而使其實用性不強。

狹義的電子簽名

狹義的電子簽名,是以一定的電子簽名技術(shù)為特定手段的簽名,通常指數(shù)字簽名,它是以非對稱加密方法產(chǎn)生的數(shù)字簽名。該定義只明確采用某種特定技術(shù)的電子簽名的法律效力,對采用其他技術(shù)的電子簽名的法律效力未做規(guī)定。其特點是只有信息發(fā)送者才能生成,別人無法偽造,生成的該數(shù)字串同時也是對發(fā)送者發(fā)送的信息的真實性的證明。聯(lián)合國國際貿(mào)易法委員會《電子簽名統(tǒng)一規(guī)則草案》采用這種定義。狹義的電子簽名以特定的技術(shù)作為有效簽名手段,以保障簽名的安全性,這種方法采用統(tǒng)一的技術(shù)與標準,容易規(guī)范商務活動中的簽名。它所使用的技術(shù)要比廣義電子簽名所使用的技術(shù)更確定、更加趨于成熟,其適用范圍要比廣義電子簽名廣泛一些。

折衷式的電子簽名

折衷式的電子簽名即強化電子簽名(Enhanced Electronic Signature),又稱安全電子簽名或者增強電子簽名,是指經(jīng)過一定的安全應用程序,能夠達到傳統(tǒng)簽名的等價功能的電子簽名方式,其具體形式是開放型的,任何能夠達到同一效果的技術(shù)方式,都可以囊括在內(nèi)。該概念著重強調(diào)電子簽名的效果,而在其具體實現(xiàn)方式上盡量泛化,以包括各種技術(shù)手段,從而在數(shù)字簽名之外為其它能夠達到同一功能的技術(shù)方式留下了空間。這種定義承認所有安全電子簽名都具有與手寫簽名同等效力,同時以目前國際上比較公認的成熟技術(shù)為基礎(chǔ),推薦一定的安全條件和標準。在時間方面,折衷式電子簽名概念出現(xiàn)得最晚,是隨著科技的發(fā)展而最新發(fā)展起來的簽名方式。

從外延上來比較,廣義電子簽名概念是包括折衷式電子簽名的,而折衷式電子簽名概念是把狹義電子簽名概念容納之中的。折衷式電子簽名概念在廣義電子簽名概念的基礎(chǔ)上增加了對電子簽名安全性的要求,而狹義電子簽名與折衷式電子簽名的區(qū)別在于所肯定的技術(shù)范圍不同:狹義電子簽名以列舉式的方法指定某種技術(shù)為有效電子簽名手段;而折衷式的電子簽名則概括地提出安全簽名的基本標準。

電子簽名的立法模式

各國仲裁法除了書面要求之外,還伴有簽字的要求?!都~約公約》規(guī)定仲裁協(xié)議需有雙方當事人的簽字,網(wǎng)上仲裁雙方當事人的電子簽名是否符合《紐約公約》中的要求呢?

這個問題的實質(zhì)是關(guān)于電子簽名的法律效力問題。在對法律應該承認什么樣的電子簽名具有法律效力的問題上,聯(lián)合國示范法和各國電子簽名法采用了不同的立法模式,主要有以下幾種:

技術(shù)中立模式

這種模式以聯(lián)合國電子商務示范法為代表,即規(guī)定只要符合一定的條件,電子簽名就具有與傳統(tǒng)簽名同等的法律效力,而不限制達到規(guī)定條件的電子簽名應該采用的技術(shù)。美國、澳大利亞、新西蘭等國的電子簽名法也采用了這種技術(shù)中立的立法模式。

技術(shù)特定模式

即法律只明確采用其某種特定技術(shù)的電子簽名的法律效力,對采用其他技術(shù)的電子簽名的法律效力未作規(guī)定。如韓國電子署名法只承認數(shù)字簽名為合法的電子簽名。此外德國、丹麥、馬來西亞、印度以及我國香港地區(qū)等的電子簽名法也都采用狹義定義的立法模式。

技術(shù)中立與技術(shù)特定的折衷模式

這種模式承認所有安全電子簽名都具有與手寫簽名同等效力,同時以目前國際上公認的成熟技術(shù)為基礎(chǔ),推薦一定的安全條件和標準。聯(lián)合國電子簽名示范法、菲律賓電子商務法、新加坡、我國臺灣地區(qū)的電子簽章法等也都采用了這種折衷式的立法模式。

我國電子簽名立法和相關(guān)法律規(guī)范

我國積極進行電子簽名的立法工作,《中華人民共和國電子簽名法》于2005年4月1日起施行。這是被稱為“中國首部真正意義上的有關(guān)電子商務的法律”,它的實施,很大程度上消除了網(wǎng)絡(luò)信用危機,加強了電子商務的安全性,還可以降低成本,提高效率。

我國的《電子簽名法》采用了廣義的電子簽名概念。該法第2條規(guī)定:“本法所稱電子簽名,是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)。本法所稱數(shù)據(jù)電文,是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息?!北緱l對電子簽名的概念作了與聯(lián)合國電子簽名示范法相類似的規(guī)定。根據(jù)本條的規(guī)定,電子簽名的概念包含以下內(nèi)容:電子簽名是以電子形式出現(xiàn)的數(shù)據(jù);電子簽名是附著于數(shù)據(jù)電文的。電子簽名可以是數(shù)據(jù)電文的一個組成部分,也可以是數(shù)據(jù)電文的附屬,與數(shù)據(jù)電文具有某種邏輯關(guān)系、能夠使數(shù)據(jù)電文與電子簽名相聯(lián)系;電子簽名必須能夠識別簽名人身份并表明簽名人認可與電子簽名相聯(lián)系的數(shù)據(jù)電文的內(nèi)容。

根據(jù)本條的規(guī)定,電子簽名具有多種形式,如附著于電子文件的手寫簽名的數(shù)字化圖像,包括采用生物筆跡辨別法所形成的圖像;向收件人發(fā)出證實發(fā)送人身份的密碼、計算機口令;采用特定生物技術(shù)識別工具,如指紋或是眼虹膜透視辨別法等。無論采用什么樣技術(shù)手段,只要符合本條規(guī)定的要件,就是本法所稱的電子簽名。

我國的《電子簽名法》在電子簽名的法律效力問題上則采取了折衷式的立法模式:規(guī)定當事人約定使用電子簽名的文書,不得因其采用電子簽名而否定其法律效力;規(guī)定可靠的電子簽名具有與手寫簽名或者蓋章具有同等的法律效力;規(guī)定當事人可以選擇使用符合其約定的可靠條件的電子簽名;以目前國際上比較公認的成熟技術(shù)為基礎(chǔ),推薦一定的安全條件和標準,作為可靠的電子簽名的標準。按照本法的規(guī)定,一個電子簽名如果符合法定或者當事人約定的可靠的電子簽名的條件,就具有與手寫簽名或者蓋章同等的法律效力。

在我國《合同法》中的第32條規(guī)定:“當事人采用合同書形式訂立合同的,自雙方當事人簽字或蓋章時合同成立?!边@里的“簽字”是指一般意義上的簽字,即當事人的親筆簽名,至于電子合同是否必須經(jīng)當事人簽字或者蓋章才能成立,《合同法》并未規(guī)定,從而使電子簽名問題成為當事人的內(nèi)部問題?!逗贤ā返?3條還規(guī)定:“當事人采用信件、數(shù)據(jù)電文等形式訂立合同的,可以在合同成立之前簽訂確認書,簽訂確認書時合同成立?!币虼耍瑢τ诤贤瑫问剑炞只蛘呱w章是合同成立的法定形式要求,對于信件、數(shù)據(jù)電文等其他書面形式,《合同法》則未作這種強制性要求(不排除其他法律有這方面的要求),當事人可以約定將簽名作為合同成立的形式要件??梢?,我國《合同法》對電子簽名的法律效力未作規(guī)定。

值得注意的是,在認定通過函電方式達成的網(wǎng)上仲裁協(xié)議的書面性質(zhì)時,這種書面形式無需以雙方當事人簽名為條件。在信函中,存在有關(guān)當事人的親筆簽名,但在電報、電傳、傳真或電子郵件等電子通訊方式中,由當事人親筆簽名是不現(xiàn)實的,而只能以其他方式確認。以互換或往來函電的方式達成的商事仲裁協(xié)議,通常是當事人對自己的具體仲裁意見告知對方,如果雙方意見一致,互換或往來的函電本身即構(gòu)成雙方當事人對仲裁的意思表示一致,證明當事人之間的共同認可或一方接受另一方的意見。有的學者認為,不論電子簽名采用的是何種技術(shù)手段,只要在特定情況下能夠保證數(shù)據(jù)電文的生成和傳送達到適當和可靠的程度,該電子簽名的效力就應當?shù)玫椒傻恼J可。我國實施的《電子簽名法》也從立法的角度承認了電子簽名的法律效力。

所以,在網(wǎng)上仲裁這一運用電子信息技術(shù)而形成的新型仲裁方式中,爭議雙方通過電子郵件把爭議提交給仲裁機構(gòu),這些電子郵件本身就代表了爭議雙方對仲裁的意思表示一致。但是,電子郵件有著易被偽造、篡改的缺陷,爭議雙方的電子簽名是增強網(wǎng)絡(luò)安全的有效手段。

參考文獻:

第9篇:電子合同的安全性范文

[關(guān)鍵詞] 電子商務 法律問題 電子商務合同 知識產(chǎn)權(quán) 網(wǎng)絡(luò)隱私權(quán)

電子商務是以網(wǎng)絡(luò)為運作平臺的,其交易場所虛擬化、表現(xiàn)形式多樣化、交易范圍國際化,由于網(wǎng)絡(luò)平臺、市場準入、法律沖突、發(fā)展中國家的電子商務發(fā)展狀況等因素的制約,需要解決的法律問題十分龐大。電子商務的法律問題主要涉及在電子商務活動中出現(xiàn)的各方當事人之間的法律關(guān)系,即電子商務合同、電子支付、電子交易安全、知識產(chǎn)權(quán)、消費者權(quán)益特別是隱私權(quán)保護等方面所引起的法律問題。

一、電子商務合同問題

電子商務合同主要是雙方通過電子形式 (email;傳真;電話;或者網(wǎng)絡(luò)電子表格等等)來簽訂的。電子商務進行的是無紙貿(mào)易,其在形式上和法律效果上與傳統(tǒng)合同相比有了很大變化,這涉及數(shù)字簽名、電子發(fā)票、電子合同的法律地位和效力問題,必然產(chǎn)生很多問題:首先,電子商務合同雙方當事人基本屬于不見面,雙方都通過網(wǎng)絡(luò)虛擬平臺進行運作,其信用僅僅依靠密碼的辨認或認證機構(gòu)的認證,密碼認證的虛擬性和認證機構(gòu)認證的多樣性導致合同的信用體系存在較大疑問,對大額和長期的商務合作開展不利。其次,電子發(fā)票在我國只是存在理論上的構(gòu)想,很多電子商務合同特別是小額交易沒有發(fā)票,這種合同一旦產(chǎn)生問題,糾紛的解決就是個難題。第三,數(shù)字簽字代替了傳統(tǒng)合同生效的簽字蓋章方式。數(shù)字簽名本身的效力產(chǎn)生就存在疑問,并且其存在宜復制性和仿照性,不易辨別性,一旦被復制和仿用,產(chǎn)生的合同糾紛解決就十分復雜。第四,電子合同和網(wǎng)絡(luò)虛擬商家的普及,如何界定好生效的地點,這是合同糾紛的約定管轄的重要依據(jù)。第五,自動訂單合同的效力問題。依照商家或者客戶自動設(shè)置的訂單系統(tǒng)產(chǎn)生的訂單合同到底是否必然生效,由此一方無法供貨產(chǎn)生的違約責任由誰來承擔等,這些都是現(xiàn)實中存在的。最后,因計算機或者網(wǎng)絡(luò)發(fā)生故障產(chǎn)生的合同的法律效力如何認定。如果因為計算機或網(wǎng)絡(luò)系統(tǒng)發(fā)生故障導致當事人一方的意思表示有瑕疵或者錯誤,該意思表示的效力如何呢?由此而發(fā)生合同關(guān)系,該合同的效力如何,最終產(chǎn)生違約責任由誰來承擔?

二、電子商務支付問題

電子商務的優(yōu)勢在于能夠?qū)崿F(xiàn)零距離收付、零距離購銷,如果沒有安全有效的電子商務金融渠道,尤其是電子支付手段,是做不到“零距離”的。而我國現(xiàn)在的金融支付手段不完善,各大商業(yè)銀行的電子支付程序比較繁瑣,并且還沒達到數(shù)據(jù)的交互,沒有形成統(tǒng)一的支付系統(tǒng)。當電子交易中的當事人采用不同的支付方式且這些支付方式又互不兼容時,雙方就不可能通過電子支付的手段來完成款項支付,從而也就不能實現(xiàn)因特網(wǎng)上的交易。另外,現(xiàn)存的支付寶手段雖然在電子商務活動中起到了很好的作用,但這只是電子支付中的過渡產(chǎn)品,其在解決電子支付的安全性和資金流動的實時性上存在明顯缺陷,不能完全滿足金融電子化的要求。

三、電子商務交易安全問題

電子商務交易安全的法律問題,涉及到下面三個方面。第一,電子商務網(wǎng)站的安全管理存在很大隱患,普遍容易受到黑客攻擊,國內(nèi)安全技術(shù)結(jié)構(gòu)和加密技術(shù)強度普遍不夠;第二,電子商務交易售后安全也是真空地帶,出現(xiàn)問題后客戶往往不知道去找誰負責,有人開玩笑說“電子商務目前是個‘三無’行業(yè):無法可依、無安全可言、無規(guī)可循”;第三,電子商務交易安全缺乏足夠法律制度體系支持。我國現(xiàn)今對電子商務交易的保護主要分散于計算機網(wǎng)絡(luò)技術(shù)相關(guān)法律法規(guī)及民商法,沒有相關(guān)的專門法律體系,制度建設(shè)上也存在混亂,加上網(wǎng)絡(luò)技術(shù)發(fā)展速度過快,法治遠遠滯后。

四、電子商務知識產(chǎn)權(quán)保護問題

知識產(chǎn)權(quán)與有形財產(chǎn)存在明顯不同的特點,如壟斷性、地域性、時間性、無形性、政府確認性等等。其中,又以壟斷性(專有性)和地域性更為特別。如果知識產(chǎn)權(quán)不能保證權(quán)利人的專有,則知識產(chǎn)權(quán)制度就不能發(fā)揮出應有的作用,其權(quán)利也就成了一種擺設(shè)。如果地域性被徹底打破,權(quán)利就有可能成為世界通行的“全球權(quán)利”或者產(chǎn)生世界性統(tǒng)一的制度。電子商務活動建立在互聯(lián)網(wǎng)上,網(wǎng)絡(luò)的傳輸表現(xiàn)出“公開”的開放性和“無國界”的全球性特點及狀態(tài)?!肮_”為“公知”提供了前提,也為“公用”提供了方便;“無國界”又使得地域性的知識產(chǎn)權(quán)受到了嚴峻的挑戰(zhàn)。在知識產(chǎn)權(quán)保護國際化趨向之狀況下,是否因電子商務的發(fā)展而導致知識產(chǎn)權(quán)保護的真正本質(zhì)意義上的國際化?

電子商務中的知識產(chǎn)權(quán)問題主要是由現(xiàn)有的網(wǎng)絡(luò)技術(shù)給版權(quán)、專利權(quán)和商標權(quán)等制度帶來的問題。在其上的知識產(chǎn)權(quán)法律沖突呈現(xiàn)復雜性和難以根除性,有些問題在現(xiàn)有的法律制度中還很難以找到有效解決的方法。

五、電子商務隱私權(quán)保護問題

網(wǎng)絡(luò)隱私權(quán)是指公民在網(wǎng)絡(luò)中享有的私人生活安寧與私人信息依法受到保護,不被他人非法侵犯、知悉、搜集、復制、利用和公開的一種人格權(quán);也指禁止在網(wǎng)上泄露某些,與個人相關(guān)的敏感信息,這些信息的范圍包括事實,圖像(例如,照片,錄象帶),以及毀謗的意見等。目前電子商務隱私權(quán)保護領(lǐng)域遇到的三大問題:個人信息數(shù)據(jù)保護、個人數(shù)據(jù)二次開發(fā)利用和個人數(shù)據(jù)交易。網(wǎng)絡(luò)侵權(quán)行為的泛濫會使電子商務交易的誠信基礎(chǔ)更為削弱,不利于電子商務交易的長久發(fā)展。

雖然現(xiàn)階段在中國還存在著阻礙電子商務發(fā)展的著多問題,但是電子商務有著許多獨特的優(yōu)勢,隨著中國網(wǎng)絡(luò)技術(shù)的發(fā)展,上網(wǎng)用戶的急劇上升,上網(wǎng)速度的加快,網(wǎng)上支付手段的改善,網(wǎng)絡(luò)交易安全體系的建立,中國電子商務必定會得到飛速的發(fā)展。

參考文獻: