公務(wù)員期刊網(wǎng) 精選范文 驗(yàn)證電子合同的有效方法范文

驗(yàn)證電子合同的有效方法精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的驗(yàn)證電子合同的有效方法主題范文,僅供參考,歡迎閱讀并收藏。

驗(yàn)證電子合同的有效方法

第1篇:驗(yàn)證電子合同的有效方法范文

摘要:電子簽名不同于傳統(tǒng)的簽名,表現(xiàn)為特殊的形式,它從內(nèi)部保證了電子合同的效力安全;電子認(rèn)證及認(rèn)證機(jī)構(gòu)則是從外部來(lái)確保合同關(guān)系的存在。為了保護(hù)交易安全,應(yīng)對(duì)電子合同的簽名和認(rèn)證予以法律規(guī)制。

一、電子合間引發(fā)的簽名及認(rèn)證的新問(wèn)題

隨著信息高速公路和因特網(wǎng)技術(shù)的迅速普及,電子郵件、電子數(shù)據(jù)交換等現(xiàn)代通訊手段在商務(wù)交易中的廣泛應(yīng)用,合同以一種新的形式即電子合同的形式出現(xiàn),并迅速發(fā)展成為電子商務(wù)活動(dòng)的一種重要工具和載體。電子合同利用信息技術(shù)改變了傳統(tǒng)的貿(mào)易觀念和方式,同時(shí)也引發(fā)了一系列新的法律問(wèn)題,在此就與安全有關(guān)的電子簽名和電子認(rèn)證問(wèn)題做些討論。

第一,電子簽名與合同安全。眾所周知,電子合同是通過(guò)網(wǎng)絡(luò)中的數(shù)據(jù)交換來(lái)傳遞信息的,其賴以存在的介質(zhì)是電腦硬盤或軟盤的磁性介質(zhì),它不同于傳統(tǒng)的書面合同是將信息記載或附著于一定的物質(zhì)載體(紙)_L。由于電子合同的“無(wú)紙性”,對(duì)其進(jìn)行傳統(tǒng)意義上的親筆簽字即在文件上寫上當(dāng)事人的名字或蓋章顯然是不可能的。因此我國(guó)《合同法》第33條規(guī)定,電子合同的成立應(yīng)以在確認(rèn)書上簽章為要件。但如果在現(xiàn)實(shí)中每簽訂一份電子合同都要事先簽訂一份確認(rèn)書且在確認(rèn)書上進(jìn)行簽章,那么將無(wú)法發(fā)揮電子合同快捷、低成本的優(yōu)點(diǎn),電子合同就失去了存在的意義和價(jià)值。而另一方面,簽名在法律上的意義就在于證明及確認(rèn)某項(xiàng)意思表示或法律文件之成立、生效以及內(nèi)容的確實(shí)性。川為了保證交易安全,確認(rèn)當(dāng)事人的身份及合同內(nèi)容,簽名對(duì)于電子合同來(lái)說(shuō)又是必不可少的一個(gè)重要環(huán)節(jié)。現(xiàn)實(shí)對(duì)傳統(tǒng)的簽名提出了挑戰(zhàn)。

第二,電子認(rèn)證與合同安全。由于網(wǎng)絡(luò)具有虛擬性的特點(diǎn),使得電子合同雖有與傳統(tǒng)合同相同的法律效果,卻始終是不同于傳統(tǒng)合同的。交易雙方甚至往往是相互陌生的,互相不確定真實(shí)身份及真實(shí)意圖,即使交易雙方是在一定的信任基礎(chǔ)上進(jìn)行交易,網(wǎng)絡(luò)中的交易信息在傳輸存儲(chǔ)交換過(guò)程中被刪改、竊取、攔截等情況也會(huì)發(fā)生,不能通過(guò)有效途徑或有關(guān)無(wú)利害關(guān)系的第三方通過(guò)認(rèn)證,保證信息的可靠性、可用性、完整性、保密性、不可抵賴性,就會(huì)導(dǎo)致當(dāng)事人責(zé)任不明,阻礙交易的進(jìn)行或不利于糾紛的解決,電子交易就會(huì)處于相當(dāng)脆弱的境地,其發(fā)展的余地可想而知。安全是電子合同的生命之所在,沒(méi)有安全,就不可能有電子合同的存在與廣泛應(yīng)用,而電子合同的安全性主要體現(xiàn)在簽名和認(rèn)證上。因此,有必要對(duì)電子合同的簽名及認(rèn)證問(wèn)題進(jìn)行研究,找到一種切實(shí)可行的辦法來(lái)解決由電子合同引發(fā)的安全間題。

二、電子簽名在我國(guó)法律上的確認(rèn)

關(guān)于電子簽名(electronicsi,ature),國(guó)外及國(guó)際組織或是從簽名形式的角度,或是從法律意義的角度闡述了電子簽名的含義。筆者認(rèn)為,電子簽名簡(jiǎn)言之就是指以電子形式存在,依附于電子文件,并與其邏輯相關(guān),可用來(lái)辨識(shí)電子文件簽署者身份及表示簽署者同意電子文件內(nèi)容者。

電子簽名本身是一種電子數(shù)據(jù),儲(chǔ)存在計(jì)算機(jī)硬盤或軟盤中,極易被修改或破壞,且不會(huì)留下痕跡,而書面簽章可以向法庭提交初始文件,因而電子簽名的證明力不如書面簽章;在電子交易中,當(dāng)事人一方可能同時(shí)擁有多個(gè)電子簽名,可能在不同的系統(tǒng)中使用不同的電子簽名,不如書面簽名那樣具有唯一性。盡管電子簽名在這些方面遜色于傳統(tǒng)的簽名,但它滿足了電子合同快捷的要求,其存在的價(jià)值在現(xiàn)代交易中得以體現(xiàn)。因此,不妨先認(rèn)可電子簽名的可應(yīng)用性,然后找到一種依賴于高新技術(shù)的安全可靠的方式以及完善的制度設(shè)計(jì)來(lái)增加對(duì)電子簽名的信任度和安全感。

縱觀各國(guó)立法或條例,其中都涉及到了電子簽名的概念、效力問(wèn)題。我國(guó)香港、臺(tái)灣地區(qū)對(duì)此也有相關(guān)的規(guī)定。反觀我國(guó)大陸,無(wú)論立法,還是司法解釋,都未涉及電子簽名,我國(guó)《合同法》顯出了它的滯后性。筆者建議在《合同法》或司法解釋中對(duì)電子簽名的概念、種類、效力等基本問(wèn)題作出規(guī)定,使之更有利于指導(dǎo)實(shí)踐。具體應(yīng)涉及以下幾個(gè)方面:

第一,電子簽名的概念。適用一個(gè)新的概念之前,首先應(yīng)清楚其具體含義。電子簽名主要包含了三層憊思:(l)電子簽名是以電子形式存在的;(2)電子簽名能確認(rèn)電子合同的內(nèi)容:(3)當(dāng)事人通過(guò)電子簽名表明其身份,并表明接受合同項(xiàng)下的權(quán)利義務(wù),繼之表明愿意承擔(dān)可能產(chǎn)生的合同責(zé)任。

第二,電子簽名的種類。目前電子簽名的主要方式是以非對(duì)稱密鑰體系為荃礎(chǔ)建立起來(lái)的數(shù)字簽名,但不可否認(rèn)還有其它簽名形式的存在,如PIN碼等,以及今后可能會(huì)出現(xiàn)的更先進(jìn)的簽名方式。在法律中不能只規(guī)定流行的做法,應(yīng)考慮到在現(xiàn)實(shí)基礎(chǔ)上的技術(shù)的多樣性及可能性。電子簽名離不開(kāi)技術(shù)的支持,而技術(shù)由于人類認(rèn)識(shí)世界和改造世界的能力的不斷提高也是不斷進(jìn)步和完善的。從某種意義上來(lái)說(shuō),后出現(xiàn)的技術(shù)優(yōu)于先出現(xiàn)的技術(shù),也包括攻擊破壞技術(shù)。如果法律只規(guī)定現(xiàn)今廣泛應(yīng)用的技術(shù),則不能適應(yīng)新環(huán)境下對(duì)安全性的要求)為此,法律必須不斷修改以適應(yīng)新的需求,如此必將犧牲法律的穩(wěn)定性和權(quán)威性。另外,法律的單一性規(guī)定可能會(huì)妨礙其他技術(shù)的應(yīng)用,導(dǎo)致壟斷、歧視。因此,法律需要在電子簽名的種類問(wèn)題上保持中立我國(guó)應(yīng)采取折衷的方法,一方面規(guī)定電子簽名的一般效力,允許運(yùn)用以任何技術(shù)為基礎(chǔ)的電子簽名,保持技術(shù)的中立性;另一方面.又對(duì)所謂的“安全電子簽名”(即數(shù)字簽名)作出特別規(guī)定,并建立配套的認(rèn)證機(jī)制,與國(guó)際接軌。

第三,電子簽名的效力。有學(xué)者認(rèn)為,根據(jù)“功能等同原則”,電子簽名具有與傳統(tǒng)簽名同等的法律效力。然而,電子簽名的法律效力并不是由原則來(lái)賦予的,要使電子簽名具有與傳統(tǒng)簽名同等的效力,只能通過(guò)立法的形式。就電子簽名的內(nèi)涵而言,它與傳統(tǒng)簽名別無(wú)二致,只是表現(xiàn)形式不同而已。在電子交易中,只要能使用一種方法來(lái)鑒別電子意思表示的發(fā)端人并證實(shí)發(fā)端人認(rèn)可了該電子意思表示的內(nèi)容,即可達(dá)到簽字的基本法律功能。國(guó)外電子商務(wù)的相關(guān)立法或正在提交審議的草案中均承認(rèn)了電子簽名的效力。為了便于國(guó)際領(lǐng)域的商務(wù)活動(dòng),法律應(yīng)該承認(rèn)電子簽名的效力。

三、電子認(rèn)證制度在我國(guó)的建立

通過(guò)電子簽名,從實(shí)體法角度來(lái)講,確保了合同的有效成立,確定了合同的內(nèi)容以及當(dāng)事人的身份和愿受合同約束的意思表示;從訴訟法角度來(lái)講,保證了合同因簽名而具有的證明當(dāng)事人交易關(guān)系的能力。然而,電子簽名只是從內(nèi)部為當(dāng)事人提供了數(shù)據(jù)信息安全性的保障。如果有人盜用電子簽名進(jìn)行交易以達(dá)到其詐騙的目的,如果交易一方否認(rèn)合同義務(wù)而不予履行,那么合同另一方當(dāng)事人仍是處于危險(xiǎn)之中的,交易信用安全仍然岌岌可危。因而,從外部對(duì)當(dāng)事人合同關(guān)系進(jìn)行切實(shí)有效的保護(hù)以及對(duì)電子簽名、當(dāng)事人身份、合同內(nèi)容等信息的真實(shí)性進(jìn)行證明顯得尤為重要。此種外部保護(hù)就是由不涉及合同利益的第三方公平地對(duì)交易信息的真實(shí)性主要是當(dāng)事人電子簽名真實(shí)性進(jìn)行證明,它依賴于電子認(rèn)證以及認(rèn)證機(jī)構(gòu)。

電子認(rèn)證是指電子商務(wù)認(rèn)證機(jī)構(gòu)(CertifieationAuthority,簡(jiǎn)稱CA)對(duì)電子簽名及其簽署者的真實(shí)性進(jìn)行驗(yàn)證的過(guò)程。我國(guó)信息產(chǎn)業(yè)部《電子商務(wù)認(rèn)證機(jī)構(gòu)管理辦法》征求意見(jiàn)稿將CA定義為:為在電子商務(wù)活動(dòng)中的有關(guān)各方提供數(shù)字身份證書服務(wù)的獨(dú)立法人單位。電子認(rèn)證包括站點(diǎn)認(rèn)證、數(shù)據(jù)信息認(rèn)證、當(dāng)事人身份認(rèn)證等。CA能提供比較易于使用的手段,使依賴證書的當(dāng)事人得以證實(shí):信息認(rèn)證人的身份;用以鑒定簽名持有人身份的方法;對(duì)使用簽名目的方面的任何限制;簽名是否有效以及是否已失密。

電子合同有效運(yùn)作離不開(kāi)認(rèn)證及CA,沒(méi)有CA的認(rèn)證,電子合同交易的安全性就無(wú)從得到保障,當(dāng)事人對(duì)交易對(duì)方的信任也無(wú)法建立,整個(gè)電子商務(wù)活動(dòng)就會(huì)因?yàn)榈貌坏饺藗兊男湃味鵁o(wú)法進(jìn)行下去。要使整個(gè)認(rèn)證體系及認(rèn)證活動(dòng)受人信賴,使通過(guò)認(rèn)證程序頒發(fā)的電子簽名證書被廣泛應(yīng)用于電子合同交易中,CA的建立與完善問(wèn)題首當(dāng)其沖。這就涉及到CA的功能與機(jī)構(gòu)設(shè)置問(wèn)題。

第一,功能方面。目前,在世界范圍內(nèi)CA的主要功能都是接收注冊(cè)請(qǐng)求,處理、批準(zhǔn)或拒絕請(qǐng)求,頒發(fā)證書,以此達(dá)到對(duì)內(nèi)防止否認(rèn),對(duì)外防止欺詐。J3]在認(rèn)證體系中,CA應(yīng)該是一個(gè)受單個(gè)或多個(gè)用戶信任的,提供電子簽名及用戶身份驗(yàn)證的第三方機(jī)構(gòu)。CA應(yīng)該具備這樣的特征:(1)它是獨(dú)立的法律實(shí)體,以全部財(cái)產(chǎn)對(duì)外承擔(dān)責(zé)任;(2)它具有中立性,提供的是一種信用服務(wù);(3)它的運(yùn)作是為了建立或保證一個(gè)公正的交易環(huán)境。在具體的電子合同場(chǎng)合,CA扮演著一個(gè)買賣雙方簽約、履約的監(jiān)督管理以及合同關(guān)系證明的角色。

在功能方面的建立及完善措施主要是規(guī)定CA的義務(wù),明確CA的責(zé)任。從義務(wù)的角度來(lái)看,主要是明確CA的信息披露、數(shù)據(jù)保護(hù)、安全保密、歇業(yè)安排等的基本義務(wù)。比如,CA有義務(wù)確保自己作出的所有重大陳述,就其所知悉和所相信的最大程度而言是準(zhǔn)確無(wú)誤與完整的。另外,所有的CA都必須強(qiáng)制取得許可證,非許可的CA將喪失電子簽名在證據(jù)法上的推定和相當(dāng)優(yōu)惠的責(zé)任限制。從責(zé)任的角度來(lái)看,證書是電子交易的基礎(chǔ),需要穩(wěn)定性和準(zhǔn)確性,認(rèn)證人對(duì)自己因疏忽或告知不實(shí)而導(dǎo)致的用戶損失與第三人損失,都應(yīng)當(dāng)負(fù)賠償責(zé)任。通過(guò)義務(wù)及責(zé)任體系的建立及完善,將使CA的功能得到極大限度的發(fā)揮,也有利于電子交易活動(dòng)中對(duì)電子簽名的信任感的建立。

第二,機(jī)構(gòu)設(shè)置方面。CA的建設(shè)機(jī)制可分為樹(shù)形驗(yàn)證結(jié)構(gòu)與邦聯(lián)結(jié)構(gòu)。日隊(duì)我國(guó)當(dāng)前實(shí)際考察,宜采用樹(shù)形結(jié)構(gòu),建立一個(gè)獨(dú)立于所有行業(yè)、所有交易的全國(guó)性的權(quán)威認(rèn)證機(jī)構(gòu),由這樣一個(gè)機(jī)構(gòu)制定認(rèn)證行業(yè)的統(tǒng)一運(yùn)作規(guī)則,包括認(rèn)證機(jī)構(gòu)的人員、組織形式、營(yíng)運(yùn)章程等,并向下級(jí)CA發(fā)放根證書。目前,由人行牽頭、組織12家商業(yè)銀行聯(lián)合共建的中國(guó)金融認(rèn)證中心(CFCA)建設(shè)已取得重大進(jìn)展,認(rèn)證體系一期工程建設(shè)已宣告結(jié)束,相繼向全國(guó)的商業(yè)銀行、商業(yè)用戶和個(gè)人發(fā)放證書。毫無(wú)疑問(wèn),在CFCA建設(shè)運(yùn)營(yíng)的基礎(chǔ)上發(fā)展國(guó)家根CA是可行的,國(guó)家根CA將來(lái)為全國(guó)其他所有的CA(包括金融CA與第三方CA)發(fā)放根證書,并對(duì)全國(guó)的認(rèn)證機(jī)構(gòu)進(jìn)行監(jiān)管。它的中立性、權(quán)威性將保證電子商務(wù)的深人發(fā)展,也將有利于保障電子合同的安全。

總之,從某種意義上來(lái)說(shuō),電子簽名主要是用于數(shù)據(jù)電訊本身的安全,使之不被否認(rèn)或篡改,是一種技術(shù)手段上的保證;而電子認(rèn)證,則主要應(yīng)用于交易關(guān)系的信用安全方面,保證交易人的真實(shí)與可靠,是一種組織制度上的保證,不管從哪方面來(lái)說(shuō),都有利于電子合同的安全。電子簽名和認(rèn)證的價(jià)值也得到了體現(xiàn)。因而,在立法中對(duì)它們作出相關(guān)的規(guī)定勢(shì)在必行。

參考文獻(xiàn):

曾更瑩.網(wǎng)際網(wǎng)路上運(yùn)用電子簽名所步及法律問(wèn)題研究[J]·中國(guó)臺(tái)灣:萬(wàn)國(guó)法律,1997(4).

蔣建平,楊毅.電子合同的效力問(wèn)題[J].律師世界,l999(11).

梅紹祖·電子商務(wù)法律規(guī)范[M]北京:清華大學(xué)出版社,2000,68.

第2篇:驗(yàn)證電子合同的有效方法范文

關(guān)鍵詞:電子商務(wù);身份認(rèn)證;防火墻

中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)30-0559-02

A Brief Analysis on the Security Strategy of E-business

WANG Gai-xiang

(Shanxi Professional College of Finance,Taiyuan 030008,China)

Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.

Key words:E-business; identity authentication; firewall

1 引言

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢(shì),使得政府與企業(yè)都十分重視并推動(dòng)電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問(wèn)題在于時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問(wèn)題之一。研究和分析電子商務(wù)的安全性問(wèn)題,特別是針對(duì)企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開(kāi)發(fā)的先進(jìn)技術(shù)和經(jīng)驗(yàn),開(kāi)發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵,而安全體系的構(gòu)建顯得尤為重要。

2 電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國(guó)迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性,即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過(guò)程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來(lái)看,傳統(tǒng)的買賣雙方是面對(duì)面的,因此較容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中,買賣雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系,由于距離的限制,因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn),電子商務(wù)交易雙方(銷售者和消費(fèi)者)都面臨安全威脅,電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面:

2.1 信息真實(shí)性、有效性

電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

2.2 信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段,其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3 信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

3.4 信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無(wú)紙化的電子商務(wù)方式下,通過(guò)手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在1nternet上每個(gè)人都是匿名的,電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。

3 電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行,要求電子商務(wù)平臺(tái)要穩(wěn)定可靠,能不中斷地提供服務(wù)。任何系統(tǒng)的中斷,如硬件、軟件錯(cuò)誤,網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證,往往會(huì)造成巨大的經(jīng)濟(jì)損失。

所以就整個(gè)電子商務(wù)安全系統(tǒng)而言,安全性可以劃分為四個(gè)層次,

1) 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2) 通訊的安全性

3) 應(yīng)用程序的安全性

4) 用戶的認(rèn)證管理

其中2、3、4是通過(guò)操作系統(tǒng)和Web服務(wù)器軟件實(shí)現(xiàn),而網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證,我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

3.1 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開(kāi)的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供個(gè)相對(duì)更安全的平臺(tái)。

防火墻是在連接Internet和Intranet保證安全最為有效的方法 ,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能,制定正確的安全策略,將能提供一個(gè)安全、高效的Intranet系統(tǒng)。 應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒(méi)有全面的安全策略,那么防火墻就形同虛設(shè)。

3.2 通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過(guò)加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。 目前采用的是瀏覽器缺省的40位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到128位。 為在瀏覽器和服務(wù)器之間建立安全機(jī)制,SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書,證書包括一個(gè)公鑰,由一家可信證書授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。建立SSL鏈接不需要一定有個(gè)人證書,實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(下載可以在訪問(wèn)之前或訪問(wèn)時(shí))。驗(yàn)證此證書是合法的服務(wù)器證書通過(guò)后利用該證書對(duì)稱加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰,然后用此對(duì)稱算法加密傳輸?shù)拿魑?。此時(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。

3.3 應(yīng)用程序的安全性

即使正確地配置了訪問(wèn)控制規(guī)則,要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時(shí);程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行,而不是只有有限的指令子集在特權(quán)模式下運(yùn) 行,其他的部分只有縮小的許可;程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源,如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制(最少許可),程序員認(rèn)為這個(gè)缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹@?,緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。 訪問(wèn)控制系統(tǒng)中沒(méi)有什么可以檢測(cè)到這些問(wèn)題 。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)象這些問(wèn)題一樣的錯(cuò)誤。

3.4 用戶的認(rèn)證管理

1) 身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器CA證書與IC卡相結(jié)合實(shí)現(xiàn)的。CA證書用來(lái)認(rèn)證服務(wù)器的身份,IC卡用來(lái)認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒(méi)有提供交易功能,所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。

2) CA證書

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書進(jìn)行驗(yàn)證,這份數(shù)字證書就是CA證書,它由認(rèn)證授權(quán)中心(CA中心)發(fā)行。認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。CA中心一般是社會(huì)公認(rèn)的可靠組織,它對(duì)個(gè)人、組織進(jìn)行審核后,為其發(fā)放數(shù)字證書,證書分為服務(wù)器證書和個(gè)人證書。建立SSL安全鏈接不需要一定有個(gè)人證書,實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(下載可以在訪問(wèn)之前或訪問(wèn)時(shí)進(jìn)行)。

3) 安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

第3篇:驗(yàn)證電子合同的有效方法范文

摘要:隨著互聯(lián)網(wǎng)的全面普及,基于Internet 開(kāi)展的電子商務(wù)已逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式,越來(lái)越多的企業(yè)和個(gè)人通過(guò)Internet 進(jìn)行商務(wù)活動(dòng),電子商務(wù)的發(fā)展前景十分誘人,而商業(yè)信息的安全是電子商務(wù)的首要問(wèn)題。

關(guān)鍵詞:電子商務(wù);身份認(rèn)證;防火墻

一、引言

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢(shì),使得政府與企業(yè)都十分重視并推動(dòng)電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問(wèn)題在于時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問(wèn)題之一。研究和分析電子商務(wù)的安全性問(wèn)題,特別是針對(duì)企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開(kāi)發(fā)的先進(jìn)技術(shù)和經(jīng)驗(yàn),開(kāi)發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵,而安全體系的構(gòu)建顯得尤為重要。

二、電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國(guó)迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性,即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過(guò)程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來(lái)看,主要體現(xiàn)在以下幾個(gè)方面:

1.信息真實(shí)性、有效性

電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

2.信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。

4.信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

三、電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行,要求電子商務(wù)平臺(tái)要穩(wěn)定可靠,能不中斷地提供服務(wù)。任何系統(tǒng)的中斷,如硬件、軟件錯(cuò)誤,網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證,往往會(huì)造成巨大的經(jīng)濟(jì)損失。

1.網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開(kāi)的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供個(gè)相對(duì)更安全的平臺(tái)。

2.通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過(guò)加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到128 位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制,SSL 首先要求服務(wù)器向?yàn)g覽器出示它的證書,證書包括一個(gè)公鑰,由一家可信證書授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。建立SSL 鏈接不需要一定有個(gè)人證書,實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL 鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(下載可以在訪問(wèn)之前或訪問(wèn)時(shí))。

3.應(yīng)用程序的安全性

即使正確地配置了訪問(wèn)控制規(guī)則,要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時(shí);程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行,而不是只有有限的指令子集在特權(quán)模式下運(yùn)行,其他的部分只有縮小的許可;程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源,如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制(最少許可),程序員認(rèn)為這個(gè)缺省的許可是正確的。

四、安全管理

為了確保系統(tǒng)的安全性,除了采用上述技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。對(duì)于所有接觸系統(tǒng)的人員,按其職責(zé)設(shè)定其訪問(wèn)系統(tǒng)的最小權(quán)限。按照分級(jí)管理原則,嚴(yán)格管理內(nèi)部用戶賬號(hào)和密碼,進(jìn)入系統(tǒng)內(nèi)部必須通過(guò)嚴(yán)格的身份確認(rèn),防止非法占用、冒用合法用戶賬號(hào)和密碼。

五、結(jié)束語(yǔ)

安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證1OO%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運(yùn)行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的。安全只是相對(duì)的,而不是絕對(duì)的。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問(wèn)題,使電子商務(wù)系統(tǒng)相對(duì)更安全。

參考文獻(xiàn):

[1] 吳洋.電子商務(wù)安全方法研究[D].天津大學(xué).2006

[2] 李艷.電子商務(wù)信息安全策略研究[J].甘肅科技.2005.06

第4篇:驗(yàn)證電子合同的有效方法范文

要理解什么是電子簽名,需要從傳統(tǒng)手工簽名或蓋印章談起。在傳統(tǒng)商務(wù)活動(dòng)中,為了保證交易的安全與真實(shí),一份書面合同或公文要由當(dāng)事人或其負(fù)責(zé)人簽字、蓋章,以便讓交易雙方識(shí)別是誰(shuí)簽的合同,保證簽字或蓋章的人認(rèn)可合同的內(nèi)容,在法律上才能承認(rèn)這份合同是有效的。而隨著互聯(lián)網(wǎng)應(yīng)用的越來(lái)越成熟,在電子文件上,傳統(tǒng)的手寫簽名和蓋章是無(wú)法進(jìn)行的,這就必須依靠IT技術(shù)手段來(lái)替代。

電子認(rèn)證與電子簽名

從法律上講,簽名有兩個(gè)功能: 即標(biāo)識(shí)簽名人和表示簽名人對(duì)文件內(nèi)容的認(rèn)可。聯(lián)合國(guó)貿(mào)發(fā)會(huì)的《電子簽名示范法》中對(duì)電子簽名做如下定義: “指在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽名人和表明簽名人認(rèn)可數(shù)據(jù)電文所含信息”; 在歐盟的《電子簽名共同框架指令》中就規(guī)定: “以電子形式所附或在邏輯上與其他電子數(shù)據(jù)相關(guān)的數(shù)據(jù),作為一種判別的方法”稱為電子簽名。而我國(guó)《電子簽名法》對(duì)電子簽名的定義: “是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。根據(jù)這一定義,能識(shí)別簽名人身份的電子簽名方法可能有很多種,比如: ID/口令、指紋識(shí)別、虹膜/網(wǎng)膜識(shí)別和形態(tài)識(shí)別等等。但是,用這樣一些電子簽名手段,只能進(jìn)行人的身份識(shí)別,即《電子簽名法》中定義的電子認(rèn)證。但不能做到在《電子簽名法》中對(duì)電子簽名的全面要求: 即在識(shí)別簽名人身份的同時(shí),還要做到簽名人認(rèn)可其中的內(nèi)容。

從廣義上講,實(shí)現(xiàn)電子簽名的技術(shù)手段有很多種,但目前比較成熟的,世界先進(jìn)國(guó)家普遍使用的電子簽名技術(shù)還是“數(shù)字簽名”技術(shù)。由于保持技術(shù)中立性是制訂法律的一個(gè)基本原則,因此,目前還不能說(shuō)明公鑰密碼理論是制作簽名的惟一技術(shù),因此有必要規(guī)定一個(gè)更一般化的概念以適應(yīng)今后技術(shù)的發(fā)展。但是,目前電子簽名法中提到的簽名,一般指的就是“數(shù)字簽名”。所謂“數(shù)字簽名”就是通過(guò)某種密碼運(yùn)算生成一系列符號(hào)及代碼組成電子密碼進(jìn)行簽名,來(lái)代替書寫簽名或印章,對(duì)于這種電子式的簽名還可進(jìn)行技術(shù)驗(yàn)證,其驗(yàn)證的準(zhǔn)確度是一般手工簽名和圖章的驗(yàn)證無(wú)法比擬的。

電子簽名的一般實(shí)現(xiàn)方法

目前,實(shí)現(xiàn)電子簽名的方法有好多種技術(shù)手段,前提是在確認(rèn)了簽署者的確切身份即經(jīng)過(guò)電子認(rèn)證之后,電子簽名承認(rèn)人們可以用多種不同的方法簽署一份電子記錄。

1. 手寫簽名或圖章的模式識(shí)別

即將手寫簽名或印章作為圖像,用光掃描經(jīng)光電轉(zhuǎn)換后在數(shù)據(jù)庫(kù)中加以存儲(chǔ),當(dāng)驗(yàn)證此人的手寫簽名或蓋印時(shí),也用光掃描輸入,并將原數(shù)據(jù)庫(kù)中的對(duì)應(yīng)圖像調(diào)出,用模式識(shí)別的數(shù)學(xué)計(jì)算方法,進(jìn)行二者比對(duì),以確認(rèn)該簽名或印章的真?zhèn)?。這種方法曾經(jīng)在銀行會(huì)計(jì)柜臺(tái)使用過(guò),但由于需要大容量的數(shù)據(jù)庫(kù)存儲(chǔ)和每次手寫簽名和蓋印的差異性,證明了它的不實(shí)用性,這種方法也不適用于互聯(lián)網(wǎng)上傳輸,是較原始和落后的方法。

2. 生物識(shí)別技術(shù)

生物識(shí)別技術(shù)是利用人體生物特征進(jìn)行身份認(rèn)證的一種技術(shù),生物特征是一個(gè)人與他人不同的惟一表征,它是可以測(cè)量、自動(dòng)識(shí)別和驗(yàn)證的。生物識(shí)別系統(tǒng)對(duì)生物特征進(jìn)行取樣,提取其惟一的特征進(jìn)行數(shù)字化處理,轉(zhuǎn)換成數(shù)字代碼,并進(jìn)一步將這些代碼組成特征模板存于數(shù)據(jù)庫(kù)中,人們同識(shí)別系統(tǒng)交互進(jìn)行身份認(rèn)證時(shí),識(shí)別系統(tǒng)獲取其特征并與數(shù)據(jù)庫(kù)中的特征模板進(jìn)行比對(duì),以確定是否匹配,從而決定確定或否認(rèn)此人。生物識(shí)別技術(shù)主要有以下幾種:

(1)指紋識(shí)別技術(shù)。每個(gè)人的指紋皮膚紋路是惟一的,并且終身不變,依靠這種惟一性和穩(wěn)定性,就可以把一個(gè)人同他的指紋對(duì)應(yīng)起來(lái),通過(guò)將他的指紋和預(yù)先保存在數(shù)據(jù)庫(kù)中的指紋采用指紋識(shí)別算法進(jìn)行比對(duì),便可驗(yàn)證他的真實(shí)身份。在身份識(shí)別后的前提下,可以將一份紙質(zhì)公文或數(shù)據(jù)電文按手印簽名或放于IC卡中簽名。但這種簽名需要有大容量的數(shù)據(jù)庫(kù)支持,適用于本地面對(duì)面的處理,不適宜網(wǎng)上傳輸,目前指紋簽名還做不到與數(shù)據(jù)電文內(nèi)容相關(guān)聯(lián)。

(2)視網(wǎng)膜、虹膜識(shí)別技術(shù)。視網(wǎng)膜識(shí)別技術(shù)是利用激光照射眼球的背面,掃描攝取幾百個(gè)視網(wǎng)膜的特征點(diǎn),代碼摸板存儲(chǔ),經(jīng)數(shù)字化處理后形成記憶模板存儲(chǔ)于數(shù)據(jù)庫(kù)中,供以后的比對(duì)驗(yàn)證。視網(wǎng)膜是一種極其穩(wěn)定的生物特征,作為身份認(rèn)證是精確度較高的識(shí)別技術(shù)。但使用困難,不適用于直接數(shù)字簽名和網(wǎng)絡(luò)傳輸,只能做到身份識(shí)別,還做不到與數(shù)據(jù)電文內(nèi)容相綁定。虹膜識(shí)別技術(shù): 紅外照射,取樣制作代碼摸板存儲(chǔ),用時(shí)進(jìn)行比對(duì)。這種簽名也只能是進(jìn)行身份識(shí)別。

(3)聲音識(shí)別技術(shù)。聲音識(shí)別技術(shù)是一種行為識(shí)別技術(shù),用聲音錄入設(shè)備反復(fù)不斷地測(cè)量、記錄聲音的波形和變化,并進(jìn)行頻譜分析,經(jīng)數(shù)字化處理之后作成聲音模板加以存儲(chǔ)。使用時(shí)將現(xiàn)場(chǎng)采集到的聲音同登記過(guò)的聲音模板進(jìn)行精確的匹配,以識(shí)別該人的身份。這種技術(shù)精確度較差,使用困難,不適用于直接數(shù)字簽名和網(wǎng)絡(luò)傳輸。

以上這種身份識(shí)別的方法解決的都是“你是什么?”,“你是誰(shuí)?”,適用于面對(duì)面的場(chǎng)合,不適用遠(yuǎn)程網(wǎng)絡(luò)認(rèn)證,不適合大規(guī)模人群認(rèn)證。

3. 密碼、口令和個(gè)人識(shí)別碼。

這里是指用一種傳統(tǒng)的對(duì)稱密鑰加/解密的身份識(shí)別和簽名方法。甲方需要乙方簽名一份電子文件,甲方可產(chǎn)生一個(gè)隨機(jī)碼傳送給乙方,乙方用事先雙方約定好的對(duì)稱密鑰加密該隨機(jī)碼和電子文件回送給甲方,甲方用同樣對(duì)稱密鑰解密后得到電文并核對(duì)隨機(jī)碼,如隨機(jī)碼核對(duì)正確,甲方即可認(rèn)為該電文來(lái)自乙方。這種方法解決的是“你知道什么?”。適于遠(yuǎn)程網(wǎng)絡(luò)傳輸,但不適合大規(guī)模人群認(rèn)證,因?yàn)閷?duì)稱密鑰管理困難。但是,對(duì)加密的數(shù)據(jù)電文簽名人做不到認(rèn)可。

在對(duì)稱密鑰加/解密認(rèn)證中,在實(shí)際應(yīng)用方面經(jīng)常采用的是ID+PIN(身份惟一標(biāo)識(shí)+口令)。即發(fā)方直接將ID和PIN發(fā)給收方,收方與后臺(tái)已存放的ID和口令進(jìn)行比對(duì),達(dá)到認(rèn)證的目的。人們?cè)谌粘I钪惺褂玫你y行卡就是用的這種認(rèn)證方法。這種方法解決的是“你有什么?”和“你知道什么?”。適用遠(yuǎn)程網(wǎng)絡(luò)傳輸,但不安全,易被黑客竊取,只能簡(jiǎn)單的身份識(shí)別,不適用于電子簽名。

4. 基于PKI的電子簽名

基于公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure)的電子簽名被稱做“數(shù)字簽名”。有人稱“電子簽名”就是“數(shù)字簽名”,這種說(shuō)法是錯(cuò)誤的。數(shù)字簽名是電子簽名的一種主要形式。因?yàn)殡娮雍灻哂屑夹g(shù)中立性,但也帶來(lái)使用的不便,法律上又對(duì)電子簽名做了進(jìn)一步規(guī)定,如聯(lián)合國(guó)貿(mào)發(fā)會(huì)的《電子簽名示范法》和歐盟的《電子簽名共同框架指令》中就規(guī)定了“可靠電子簽名”和“高級(jí)電子簽名”,其目的就是規(guī)定了數(shù)字簽名的具體功能,這種規(guī)定使數(shù)字簽名獲得了更好的應(yīng)用安全性和可操作性。目前,具有實(shí)際意義的電子簽名只有公鑰密碼理論。所以,目前國(guó)內(nèi)外普遍使用的、技術(shù)成熟的、可實(shí)際使用的還是基于PKI的數(shù)字簽名技術(shù)。作為公鑰基礎(chǔ)設(shè)施PKI可提供多種網(wǎng)上安全服務(wù),如認(rèn)證、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認(rèn)性,其中都用到了數(shù)字簽名技術(shù)。

數(shù)字簽名的技術(shù)保障

1. 什么是數(shù)字簽名

數(shù)字簽名在ISO7498-2標(biāo)準(zhǔn)中定義為: “附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對(duì)數(shù)據(jù)單元所作的密碼變換,這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來(lái)源和數(shù)據(jù)單元的完整性,并保護(hù)數(shù)據(jù),防止被人(例如接收者)進(jìn)行偽造”。美國(guó)電子簽名標(biāo)準(zhǔn)(DSS,F(xiàn)IPS186-2)對(duì)數(shù)字簽名做了如下解釋: “利用一套規(guī)則和一個(gè)參數(shù)對(duì)數(shù)據(jù)計(jì)算所得的結(jié)果,用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性”。按上述定義PKI可以提供數(shù)據(jù)單元的密碼變換,并能使接收者判斷數(shù)據(jù)來(lái)源及對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證,是數(shù)字簽名的技術(shù)保障。

PKI的核心執(zhí)行機(jī)構(gòu)是《電子簽名法》中所定義的電子認(rèn)證服務(wù)提供者,即通稱為認(rèn)證機(jī)構(gòu)CA(Certificate Authority),PKI簽名的核心元素是由CA簽發(fā)的數(shù)字證書。數(shù)字證書所提供的PKI服務(wù)就是認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性和不可否認(rèn)性。它的作法就是利用證書公鑰和與之對(duì)應(yīng)的私鑰進(jìn)行加/解密,并產(chǎn)生對(duì)數(shù)字電文的簽名及驗(yàn)證簽名。數(shù)字簽名是利用公鑰密碼技術(shù)和其他密碼算法生成一系列符號(hào)及代碼組成電子密碼進(jìn)行簽名,來(lái)代替書寫簽名和印章。這種電子式的簽名還可進(jìn)行技術(shù)驗(yàn)證,其驗(yàn)證的準(zhǔn)確度是在物理世界中對(duì)手工簽名和圖章的驗(yàn)證是無(wú)法比擬的。這種簽名方法可在很大的可信PKI域人群中進(jìn)行認(rèn)證,或在多個(gè)可信的PKI域中進(jìn)行交叉認(rèn)證,它特別適用于互聯(lián)網(wǎng)和廣域網(wǎng)上的安全認(rèn)證和傳輸。

關(guān)振勝

中國(guó)建設(shè)銀行科技部副總工程師,高級(jí)工程師?,F(xiàn)受聘中國(guó)金融認(rèn)證中心(CFCA)技術(shù)顧問(wèn)、中國(guó)人民銀行“網(wǎng)上銀行發(fā)展與監(jiān)管工作組” 專家、亞洲PKI論壇(中國(guó))委員、中國(guó)電子商務(wù)協(xié)會(huì)專家委員會(huì)專家、電子協(xié)會(huì)電子簽名專家委員會(huì)常委。主持領(lǐng)導(dǎo)設(shè)計(jì)、開(kāi)發(fā)多個(gè)銀行大型應(yīng)用系統(tǒng)。著作有“公鑰基礎(chǔ)設(shè)施PKI與認(rèn)證機(jī)構(gòu)CA”、“中國(guó)金融認(rèn)證中心建設(shè)”、 “第四代語(yǔ)言INFORMIX 4GL”等。曾獲得科技進(jìn)步獎(jiǎng)一等、二等、三等獎(jiǎng)。(如右圖)

2. 公鑰密碼技術(shù)原理

公開(kāi)密鑰密碼理論是1976年美國(guó)發(fā)表的RSA算法,它是以三個(gè)發(fā)明人的名字而命名的,后來(lái)又有橢圓算法ECC,但常用的、成熟的公鑰算法是RSA。它與傳統(tǒng)的對(duì)稱密鑰算法有本質(zhì)的區(qū)別,對(duì)稱密鑰算法常用的是DES算法,它具有一個(gè)密鑰,加/解密時(shí)用的是同一個(gè)密鑰。而公鑰算法利用的是非對(duì)稱密鑰,即利用兩個(gè)足夠大的質(zhì)數(shù)與被加密原文相乘生產(chǎn)的積來(lái)加/解密。這兩個(gè)質(zhì)數(shù)無(wú)論是用哪一個(gè)與被加密的原文相乘(模乘),即對(duì)原文件加密,均可由另一個(gè)質(zhì)數(shù)再相乘來(lái)進(jìn)行解密。但是,若想用這個(gè)乘積來(lái)求出另一個(gè)質(zhì)數(shù),就要進(jìn)行對(duì)大數(shù)分解質(zhì)因子,分解一個(gè)大數(shù)的質(zhì)因子是十分困難的,若選用的質(zhì)數(shù)足夠大,這種求解幾乎是不可能的。因此,將這兩個(gè)質(zhì)數(shù)稱為密鑰對(duì),其中一個(gè)采用私密的安全介質(zhì)保密存儲(chǔ)起來(lái),不對(duì)任何外人泄露,所以簡(jiǎn)稱為“私鑰”; 另一個(gè)密鑰可以公開(kāi)發(fā)表,用數(shù)字證書的方式在稱之為“網(wǎng)上黃頁(yè)”的目錄服務(wù)器上,用LDAP協(xié)議進(jìn)行查詢,也可在網(wǎng)上請(qǐng)對(duì)方發(fā)送信息時(shí)主動(dòng)將該公鑰證書傳送給對(duì)方,這個(gè)密鑰稱之為“公鑰”。

公/私密鑰對(duì)的用法是,當(dāng)發(fā)方向收方通信時(shí)發(fā)方用收方的公鑰對(duì)原文進(jìn)行加密,收方收到發(fā)方的密文后,用自己的私鑰進(jìn)行解密,其中他人是無(wú)法解密的,因?yàn)樗瞬粨碛凶约旱乃借€,這就是用公鑰加密,私鑰解密用于通信; 而用私鑰加密文件公鑰解密則是用于簽名,即發(fā)方向收方簽發(fā)文件時(shí),發(fā)方用自己的私鑰加密文件傳送給收方,收方用發(fā)方的公鑰進(jìn)行解密。

但是,在實(shí)際應(yīng)用操作中發(fā)出的文件簽名并非是對(duì)原文本身進(jìn)行加密,而是要對(duì)原文進(jìn)行所謂的“哈?!保℉ash)運(yùn)算,即對(duì)原文作數(shù)字摘要。該密碼算法也稱單向散列運(yùn)算,其運(yùn)算結(jié)果稱為哈希值,或稱數(shù)字摘要,也有人將其稱為“數(shù)字指紋”。哈希值有固定的長(zhǎng)度,運(yùn)算是不可逆的,不同的明文其哈希值是不同的,而同樣的明文其哈希值是相同并且惟一,原文的任何改動(dòng),其哈希值就要發(fā)生變化。數(shù)字簽名是用私鑰對(duì)數(shù)字摘要進(jìn)行加密,用公鑰進(jìn)行解密和驗(yàn)證。

公鑰證書和私鑰是用加密文件存放在證書介質(zhì)中,證書是由認(rèn)證服務(wù)機(jī)構(gòu)CA所簽發(fā)的權(quán)威電子文檔,CA與數(shù)字證書等是公鑰基礎(chǔ)設(shè)施PKI的主要組成機(jī)構(gòu)和元素。

3. 認(rèn)證機(jī)構(gòu)CA

認(rèn)證機(jī)構(gòu)CA是PKI的核心執(zhí)行機(jī)構(gòu),是PKI的主要組成部分,一般簡(jiǎn)稱為CA,在業(yè)界通常把它稱為認(rèn)證中心。CA認(rèn)證機(jī)構(gòu)在《電子簽名法》中被稱做“電子認(rèn)證服務(wù)提供者”。

根據(jù)《電子簽名法》中規(guī)定,國(guó)務(wù)院信息產(chǎn)業(yè)部據(jù)本法制定了《電子認(rèn)證服務(wù)管理辦法》(中華人民共和國(guó)信息產(chǎn)業(yè)部令 第35號(hào)),并與2005年2月8日頒布。在該管理辦法中第五條第七項(xiàng)有關(guān)人員、技術(shù)、設(shè)備、密碼、安全和資金等,詳細(xì)規(guī)定了電子認(rèn)證機(jī)構(gòu)(CA)應(yīng)具備的市場(chǎng)準(zhǔn)入條件。

4. 數(shù)字證書

數(shù)字證書或稱電子證書簡(jiǎn)稱為證書,它是PKI的核心元素,由認(rèn)證機(jī)構(gòu)服務(wù)者所簽發(fā),它是數(shù)字簽名的技術(shù)基礎(chǔ)保障; 它符合X?509標(biāo)準(zhǔn),是網(wǎng)上實(shí)體身份的證明,證明某一實(shí)體的身份以及其公鑰的合法性,證明該實(shí)體與公鑰二者之間的匹配關(guān)系,證書是公鑰的載體,證書上的公鑰惟一與實(shí)體身份相綁定,并與其私鑰相對(duì)應(yīng)。國(guó)家標(biāo)準(zhǔn)規(guī)定作為第三方提供電子認(rèn)證服務(wù)的CA,其簽發(fā)證書機(jī)制一般應(yīng)為雙證書機(jī)制,即一個(gè)實(shí)體應(yīng)具有兩個(gè)證書,兩個(gè)密鑰對(duì),一個(gè)是加密證書,一個(gè)是簽名證書,加密證書原則上是不能用于簽名的。用加密證書的公鑰加密,對(duì)應(yīng)的私鑰解密,用于通信; 采用簽名證書的私鑰加密,對(duì)應(yīng)的公鑰解密用于簽名。

證書在公鑰體制中是密鑰管理的媒介,不同的實(shí)體可以通過(guò)證書來(lái)互相傳遞公鑰,證書是由權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)所簽發(fā)。因此,它是權(quán)威性電子文檔。

證書的內(nèi)容主要用于身份認(rèn)證、簽名的驗(yàn)證和有效期的檢查。CA簽發(fā)證書時(shí),要對(duì)證書內(nèi)容進(jìn)行簽名,以示對(duì)所簽發(fā)證書內(nèi)容的完整性、準(zhǔn)確性負(fù)責(zé)并證明該證書的合法性和有效性,將網(wǎng)上身份與該證書綁定。

鏈接:什么是PKI?

工程學(xué)家對(duì)PKI是這樣定義的: “PKI是一個(gè)用公鑰概念與技術(shù)來(lái)實(shí)施和提供安全服務(wù)的普遍適用的安全基礎(chǔ)設(shè)施。換句話說(shuō),PKI是一個(gè)利用非對(duì)稱密碼算法(即公開(kāi)密鑰算法)原理和技術(shù)實(shí)現(xiàn)的并提供網(wǎng)絡(luò)安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施”。它是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)、電子政務(wù)、網(wǎng)上銀行和網(wǎng)上證券業(yè),提供一整套安全保證的基礎(chǔ)平臺(tái)。用戶利用PKI基礎(chǔ)平臺(tái)所提供的安全服務(wù),能在網(wǎng)上實(shí)現(xiàn)安全地通信。PKI這種遵循標(biāo)準(zhǔn)的密鑰管理平臺(tái),能夠?yàn)樗芯W(wǎng)上應(yīng)用,透明地提供加解密和數(shù)字簽名等安全服務(wù)所需要的密鑰和證書管理。

第5篇:驗(yàn)證電子合同的有效方法范文

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢(shì),使得政府與企業(yè)都十分重視并推動(dòng)電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問(wèn)題在于時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問(wèn)題之一。研究和分析電子商務(wù)的安全性問(wèn)題,特別是針對(duì)企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開(kāi)發(fā)的先進(jìn)技術(shù)和經(jīng)驗(yàn),開(kāi)發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵,而安全體系的構(gòu)建顯得尤為重要。

2電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國(guó)迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動(dòng)過(guò)程中系統(tǒng)的安全性,即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過(guò)程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來(lái)看,傳統(tǒng)的買賣雙方是面對(duì)面的,因此較容易保證交易過(guò)程的安全性和建立起信任關(guān)系。但在電子商務(wù)過(guò)程中,買賣雙方是通過(guò)網(wǎng)絡(luò)來(lái)聯(lián)系,由于距離的限制,因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時(shí)空的分離導(dǎo)致了安全問(wèn)題的出現(xiàn),電子商務(wù)交易雙方(銷售者和消費(fèi)者)都面臨安全威脅,電子商務(wù)的安全要素主要體現(xiàn)在以下幾個(gè)方面:

2.1信息真實(shí)性、有效性

電子商務(wù)以電子形式取代了紙張,如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

2.2信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段,其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的,商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。因此,電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

3.4信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^;不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為;可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中,貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無(wú)紙化的電子商務(wù)方式下,通過(guò)手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。在1nternet上每個(gè)人都是匿名的,電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴;接收方在接收數(shù)據(jù)后也不能抵賴。

3電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行,要求電子商務(wù)平臺(tái)要穩(wěn)定可靠,能不中斷地提供服務(wù)。任何系統(tǒng)的中斷,如硬件、軟件錯(cuò)誤,網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證,往往會(huì)造成巨大的經(jīng)濟(jì)損失。

所以就整個(gè)電子商務(wù)安全系統(tǒng)而言,安全性可以劃分為四個(gè)層次,

1)網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2)通訊的安全性

3)應(yīng)用程序的安全性

4)用戶的認(rèn)證管理

其中2、3、4是通過(guò)操作系統(tǒng)和Web服務(wù)器軟件實(shí)現(xiàn),而網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證,我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

3.1網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,它其實(shí)就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)(通常指局域網(wǎng)或城域網(wǎng))隔開(kāi)的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,為電子商務(wù)的施展提供個(gè)相對(duì)更安全的平臺(tái)。

防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而作出允許/拒絕等正確的判斷。通過(guò)靈活有效地運(yùn)用這些功能,制定正確的安全策略,將能提供一個(gè)安全、高效的Intranet系統(tǒng)。應(yīng)給予特別注意的是,防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源,這種安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施,以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng),而沒(méi)有全面的安全策略,那么防火墻就形同虛設(shè)。

3.2通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過(guò)加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過(guò)程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制,SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書,證書包括一個(gè)公鑰,由一家可信證書授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。建立SSL鏈接不需要一定有個(gè)人證書,實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(下載可以在訪問(wèn)之前或訪問(wèn)時(shí))。驗(yàn)證此證書是合法的服務(wù)器證書通過(guò)后利用該證書對(duì)稱加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對(duì)稱算法及密鑰,然后用此對(duì)稱算法加密傳輸?shù)拿魑?。此時(shí)瀏覽器也會(huì)出進(jìn)入安全狀態(tài)的提示。

3.3應(yīng)用程序的安全性

即使正確地配置了訪問(wèn)控制規(guī)則,要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時(shí);程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)行,而不是只有有限的指令子集在特權(quán)模式下運(yùn)行,其他的部分只有縮小的許可;程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源,如一個(gè)文件和目錄。不是顯式地設(shè)置訪問(wèn)控制(最少許可),程序員認(rèn)為這個(gè)缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來(lái)騙特權(quán)程序做一些它本來(lái)不應(yīng)該做的事情。緩沖溢出攻擊就是通過(guò)給特權(quán)程序輸入一個(gè)過(guò)長(zhǎng)的字符串來(lái)實(shí)現(xiàn)的。程序不檢查輸入字符串長(zhǎng)度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來(lái)增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例如,緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。訪問(wèn)控制系統(tǒng)中沒(méi)有什么可以檢測(cè)到這些問(wèn)題。只有通過(guò)監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)象這些問(wèn)題一樣的錯(cuò)誤。

3.4用戶的認(rèn)證管理

1)身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過(guò)服務(wù)器CA證書與IC卡相結(jié)合實(shí)現(xiàn)的。CA證書用來(lái)認(rèn)證服務(wù)器的身份,IC卡用來(lái)認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒(méi)有提供交易功能,所以只采用ID號(hào)和密碼口令的身份確認(rèn)機(jī)制。

2)CA證書

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書進(jìn)行驗(yàn)證,這份數(shù)字證書就是CA證書,它由認(rèn)證授權(quán)中心(CA中心)發(fā)行。認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù),能簽發(fā)數(shù)字證書,并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu),主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。CA中心一般是社會(huì)公認(rèn)的可靠組織,它對(duì)個(gè)人、組織進(jìn)行審核后,為其發(fā)放數(shù)字證書,證書分為服務(wù)器證書和個(gè)人證書。建立SSL安全鏈接不需要一定有個(gè)人證書,實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來(lái)訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(下載可以在訪問(wèn)之前或訪問(wèn)時(shí)進(jìn)行)。

3)安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

SSL通過(guò)數(shù)字簽名和數(shù)字證書來(lái)實(shí)行身份驗(yàn)證,數(shù)字證書是從認(rèn)證機(jī)構(gòu)(CA,CertificateAuthority)獲得的,通常包含有唯一標(biāo)識(shí)證書所有者的名稱、唯一標(biāo)識(shí)證書者的名稱、證書所有者的公開(kāi)密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等。在用數(shù)字證書對(duì)雙方的身份驗(yàn)證后,雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前,協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方,從而為應(yīng)用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應(yīng)用協(xié)議(如Http、Ftp、Telnet等)以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個(gè)階段組成:服務(wù)器認(rèn)證和用戶認(rèn)證。

①服務(wù)器認(rèn)證

客戶端向服務(wù)器發(fā)送一個(gè)“Hello”信息,以便開(kāi)始一個(gè)新的會(huì)話連接;服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息;客戶根據(jù)收到的服務(wù)器響應(yīng)信息,產(chǎn)生一個(gè)主密鑰,并用服務(wù)器的公開(kāi)密鑰加密后傳給服務(wù)器;服務(wù)器恢復(fù)該主密鑰,并返回給客戶一個(gè)用主密鑰認(rèn)證的信息,以此讓客戶認(rèn)證服務(wù)器。這樣通過(guò)主密鑰引出的密鑰對(duì)一系列數(shù)據(jù)進(jìn)行加密來(lái)認(rèn)證服務(wù)器,從而建立安全的通信通道。

②用戶認(rèn)證

經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問(wèn)給客戶,客戶則返回?cái)?shù)字簽名后的提問(wèn)和其公開(kāi)密鑰,從而向服務(wù)器提供認(rèn)證。SSL協(xié)議支持各種加密算法,實(shí)現(xiàn)簡(jiǎn)單,獨(dú)立于應(yīng)用層協(xié)議,且被大部分瀏覽器和Web服務(wù)器內(nèi)置,便于在電子交易中應(yīng)用。但SSL是一個(gè)面向連接的協(xié)議,起初并不是為了支持電子商務(wù)而設(shè)計(jì)的,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,在涉及多方的電子交易中,SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系。為此,開(kāi)發(fā)出了在網(wǎng)絡(luò)應(yīng)用層中專為電子商務(wù)而設(shè)計(jì)的SET協(xié)議。

4安全管理

為了確保系統(tǒng)的安全性,除了采用上述技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。對(duì)于所有接觸系統(tǒng)的人員,按其職責(zé)設(shè)定其訪問(wèn)系統(tǒng)的最小權(quán)限。按照分級(jí)管理原則,嚴(yán)格管理內(nèi)部用戶帳號(hào)和密碼,進(jìn)入系統(tǒng)內(nèi)部必須通過(guò)嚴(yán)格的身份確認(rèn),防止非法占用、冒用合法用戶帳號(hào)和密碼。

建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢。定期檢查日志,以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。

對(duì)于重要數(shù)據(jù)要及時(shí)進(jìn)行備份,且對(duì)數(shù)據(jù)庫(kù)中存放的數(shù)據(jù),數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)視其重要性提供不同級(jí)別的數(shù)據(jù)加密。

第6篇:驗(yàn)證電子合同的有效方法范文

企業(yè)檔案信息資產(chǎn)必須要確保其安全。一方面,要做好歷史檔案信息資源的數(shù)字化工作;另一方面,也要做好新入庫(kù)電子文件的數(shù)字化工作。對(duì)于歷史檔案信息資源,要與專門的掃描單位簽訂協(xié)議,進(jìn)行批量掃描。在掃描過(guò)程中,會(huì)涉及到信息安全風(fēng)險(xiǎn)的問(wèn)題。對(duì)于新入庫(kù)電子文件,則要保障電子文件與紙質(zhì)文件的絕對(duì)一致性,由員工個(gè)人原因造成電子與紙質(zhì)文件的不一致性,會(huì)給實(shí)際工作帶來(lái)安全隱患。針對(duì)如上問(wèn)題:第一,對(duì)參與掃描工作人員的權(quán)限進(jìn)行嚴(yán)格控制:簽訂保密協(xié)議、設(shè)置電腦權(quán)限;對(duì)企業(yè)參與圖像和信息驗(yàn)收的員工:配備專門電腦和存儲(chǔ)空間、設(shè)置電腦權(quán)限和密碼、屏蔽USB和光盤接口、屏蔽刪除鍵;第二,在接收檔案信息資源入庫(kù)時(shí),由檔案部門先接收電子文件,并檢查電子文件的標(biāo)準(zhǔn)化,然后再將電子文件打印成紙質(zhì)文件,這樣避免了設(shè)計(jì)人員先歸紙質(zhì)文件,再改電子文件而帶來(lái)的不一致性。

檔案信息的信息化技術(shù)中的安全保障

幾乎所有的檔案管理都會(huì)經(jīng)歷手工管理、信息化管理、知識(shí)化管理這三個(gè)階段,這是檔案信息在網(wǎng)絡(luò)時(shí)代體現(xiàn)利用價(jià)值的內(nèi)在需求。從手工管理過(guò)渡到信息化管理和知識(shí)化管理,使檔案信息價(jià)值得到了全方位的體現(xiàn),但是同時(shí)針對(duì)檔案信息安全所帶來(lái)的法律風(fēng)險(xiǎn)也會(huì)越來(lái)越多,所以要確保檔案信息系統(tǒng)的運(yùn)行安全,加強(qiáng)對(duì)提供利用載體的管理,加強(qiáng)對(duì)檔案信息的拷貝與利用管理,對(duì)不同層級(jí)的信息使用者有所區(qū)別,通過(guò)技術(shù)手段防止拷貝資料再?gòu)?fù)制,措施如下:第一,利用企業(yè)自主開(kāi)發(fā)或引進(jìn)的加密軟件對(duì)檔案信息進(jìn)行加密,只有在企業(yè)辦公環(huán)境及企業(yè)配備的電腦上才能正常打開(kāi)使用,一旦脫離企業(yè)環(huán)境,對(duì)檔案信息的操作要提前進(jìn)行申請(qǐng),申請(qǐng)通過(guò)后,方可由技術(shù)人員解密;第二,所有對(duì)企業(yè)外部提供的檔案信息都必須是經(jīng)過(guò)轉(zhuǎn)化的PDF或者TIFF格式的文件,原始的DWG文件不能直接提供,以保證檔案信息的不可更改性。提供給內(nèi)部設(shè)計(jì)參考的檔案信息可以是DWG的,但是必須加密,統(tǒng)一在企業(yè)環(huán)境中使用,防止外泄。

人員管理中多級(jí)別權(quán)限和密碼管理的安全保障

為了保證檔案信息系統(tǒng)的安全,有必要加強(qiáng)對(duì)系統(tǒng)使用者的管理,加強(qiáng)對(duì)系統(tǒng)使用者使用權(quán)限的審核,并采用現(xiàn)代網(wǎng)絡(luò)技術(shù)對(duì)其網(wǎng)絡(luò)操作進(jìn)行跟蹤與記錄。加強(qiáng)對(duì)使用過(guò)程中各種保密措施的管理,采用多級(jí)別權(quán)限和密碼管理,防止黑客或他人對(duì)檔案信息管理系統(tǒng)帶來(lái)的安全隱患:第一,支持檔案信息系統(tǒng)的電子文件在線閱覽功能,但是閱覽范圍和下載權(quán)限受限,要經(jīng)過(guò)文件產(chǎn)生部門和檔案管理部門的審批才能解限;第二,對(duì)企業(yè)高尖端技術(shù)類別的檔案信息,必須要經(jīng)過(guò)企業(yè)專門的保密委員會(huì)進(jìn)行風(fēng)險(xiǎn)評(píng)估,審批同意后方可利用,并實(shí)行責(zé)任人負(fù)責(zé)制;第三,實(shí)行用戶登錄驗(yàn)證制度,登錄檔案管理系統(tǒng)時(shí),員工需要輸入自己的密碼進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)后才能進(jìn)行事先設(shè)定好的權(quán)限范圍內(nèi)的相關(guān)操作;第四,控制臺(tái)超時(shí)注銷,控制臺(tái)訪問(wèn)用戶超過(guò)一段時(shí)間沒(méi)有對(duì)系統(tǒng)進(jìn)行交互操作,設(shè)備將自動(dòng)注銷本次操作臺(tái)配置任務(wù),并切斷連接;第五,離職、退休人員離開(kāi)工作崗位時(shí),要進(jìn)行檔案資料和使用設(shè)備交接手續(xù),相關(guān)部門和責(zé)任人確認(rèn)檔案資料交接完成、使用設(shè)備上交后,方可同意該人員離開(kāi);第六,所有淘汰電腦,必須經(jīng)過(guò)格式化,確保電腦內(nèi)資料不可復(fù)原后,才可回收利用。

以管理為重點(diǎn),建立檔案信息安全保障體系,加強(qiáng)法律風(fēng)險(xiǎn)的防控

在企業(yè)的管理上,檔案信息安全保障體系建立的重要意義是對(duì)法律風(fēng)險(xiǎn)隱患的“防”與法律風(fēng)險(xiǎn)發(fā)生后的及時(shí)“控”。

1.建立法律風(fēng)險(xiǎn)防控體系,從部門設(shè)置上確保檔案信息安全保障體系的牢固企業(yè)必須建立法律風(fēng)險(xiǎn)防控體系,即:成立專門的法律風(fēng)險(xiǎn)防控歸口管理部門,引進(jìn)專門的法律專業(yè)人才,負(fù)責(zé)法律事務(wù)的評(píng)審和咨詢服務(wù),定期提供企業(yè)范圍內(nèi)的法律知識(shí)培訓(xùn)和專題講座。聘請(qǐng)法律界資深律師作為專門的法律顧問(wèn),隨時(shí)參與和控制突發(fā)的重大法律問(wèn)題;各部門配備兼職法律風(fēng)險(xiǎn)管理員,負(fù)責(zé)代表部門向法律歸口部門進(jìn)行法律事務(wù)傳送。

2.突出管理重點(diǎn),加強(qiáng)對(duì)合同法律風(fēng)險(xiǎn)的防控針對(duì)合同法律風(fēng)險(xiǎn),在建立檔案信息安全保障體系時(shí),以管理為重點(diǎn),應(yīng)采取以下措施:第一,收繳散落在各部門的合同印章,由法律歸口管理部門統(tǒng)一管理,法律歸口管理部門配備專門的人員負(fù)責(zé)合同印章的使用和安全;第二,建立規(guī)范的合同印章使用流程,企業(yè)上下必須嚴(yán)格按照此流程申請(qǐng)使用合同印章;第三,建立合同印章使用臺(tái)賬,每一個(gè)流程結(jié)束、合同印章使用完成后,當(dāng)事合同必須完整歸檔一份合同原件,合同原件最終由法律歸口管理部門向檔案部門統(tǒng)一移交;第四,法律歸口管理部門以年度為單位,各種類合同的標(biāo)準(zhǔn)格式,并在企業(yè)范圍內(nèi)統(tǒng)一使用,因特殊情況不能使用格式合同的,法律部門要對(duì)非標(biāo)準(zhǔn)格式合同進(jìn)行評(píng)審;第五,不同類型的合同,確定由不同的評(píng)審部門參與評(píng)審,實(shí)行責(zé)任人責(zé)任制。

3.管理手段與時(shí)俱進(jìn),注重前端控制和過(guò)程管理檔案信息系統(tǒng)、企業(yè)協(xié)同辦公(OA)及門戶系統(tǒng)、ERP系統(tǒng)等信息化知識(shí)管理方式的引進(jìn),使企業(yè)的文件形態(tài)不斷從紙質(zhì)向電子轉(zhuǎn)化,文件數(shù)量與日俱增、文件保存形式呈現(xiàn)立體多樣化的發(fā)展趨勢(shì)。在此背景下,檔案前端控制管理理論和實(shí)踐操作應(yīng)運(yùn)而生。前端控制管理提出將檔案的控制環(huán)節(jié)提前到文件生命周期的最初階段形成階段,并貫穿于文件生命周期的整個(gè)過(guò)程,這十分有利于減少企業(yè)合同電子文件信息和載體的安全隱患,對(duì)企業(yè)合同法律風(fēng)險(xiǎn)起到很好的防止和控制功能。

4.以人為本,加強(qiáng)員工的安全意識(shí)、法律意識(shí)、安全技能的培訓(xùn)對(duì)員工的安全意識(shí)、法律意識(shí)、安全技能的培訓(xùn)十分關(guān)鍵。人員的安全意識(shí)是與其所掌握的安全技能有關(guān),而安全技能又與其所接受安全技能培訓(xùn)有關(guān)。因此,人員的安全意識(shí)是通過(guò)培訓(xùn),以及技能的積累才能逐步提高。第一,定期開(kāi)展企業(yè)信息安全、保密管理的相關(guān)培訓(xùn),加強(qiáng)管理人員的安全保密意識(shí);第二,適時(shí)進(jìn)行法律知識(shí)的宣傳和普及工作,例如:針對(duì)日益興起的海外合同,舉行《海外合同簽訂的注意事項(xiàng)和合同文本資料的保存》講座,促使員工形成良好的法律意識(shí)和收集保管資料的良好工作習(xí)慣;第三,進(jìn)行相關(guān)的計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)培訓(xùn),定期預(yù)報(bào)病毒信息和預(yù)防措施,定期企業(yè)IT運(yùn)營(yíng)周報(bào),分析存在的問(wèn)題和解決方法。

以法規(guī)標(biāo)準(zhǔn)為依托,建立檔案信息安全保障體系,加強(qiáng)法律風(fēng)險(xiǎn)的防控

首先,根據(jù)《GB/T22240-2008信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》和《GB/T22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,結(jié)合檔案信息系統(tǒng)的重要程度,確定檔案信息系統(tǒng)安全等級(jí)和安全需求,采取相應(yīng)的安全技術(shù)和安全管理措施;同時(shí)依據(jù)《GB/T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》在檔案信息系統(tǒng)生命周期的不同階段進(jìn)行過(guò)程風(fēng)險(xiǎn)評(píng)估,全面實(shí)現(xiàn)動(dòng)態(tài)防御。其次,建立完善的檔案管理制度。從企業(yè)級(jí)制度和標(biāo)準(zhǔn)、QHSE管理體系、項(xiàng)目管理體系、部門內(nèi)部詳細(xì)作業(yè)指導(dǎo)這5個(gè)方面建立起檔案管理制度保障體系。再次,從法律角度上,必須建立完善合同管理體制,從制度上對(duì)企業(yè)合同法律風(fēng)險(xiǎn)進(jìn)行防控。制定相關(guān)的《合同印章管理規(guī)定》、《合同評(píng)審管理辦法》、《合同管理規(guī)定》等。

檔案信息安全保障體系建設(shè)存在的問(wèn)題

雖然我國(guó)企業(yè)的檔案信息安全保障體系建設(shè)在技術(shù)、管理、和規(guī)范標(biāo)準(zhǔn)上已經(jīng)取得明顯的成效,但還存在以下問(wèn)題:1.檔案信息安全保障體系建設(shè)意識(shí)沒(méi)有得到全面重視。一方面,檔案信息安全保障體系建設(shè)比較明顯的體現(xiàn)在現(xiàn)代企業(yè)總部,對(duì)企業(yè)下屬的分子公司等控制力度不夠。2.目前檔案信息安全保障體系構(gòu)建主要依賴于信息安全技術(shù),且缺乏有效的安全管理和安全監(jiān)督機(jī)制,檔案信息系統(tǒng)隨時(shí)存在安全風(fēng)險(xiǎn),只有通過(guò)科學(xué)、有效的管理和規(guī)范才能構(gòu)建真正的檔案信息安全保障體系。

結(jié)語(yǔ)

第7篇:驗(yàn)證電子合同的有效方法范文

以往專業(yè)而復(fù)雜的操作,比如衛(wèi)星定位、無(wú)線通話、收發(fā)郵件、照相攝影等,現(xiàn)在只需要一部不到千元的手機(jī)就可以簡(jiǎn)單而快速地完成。雖然我們?nèi)匀话V迷于透著墨香的書本、晶瑩剔透的玉器,以及種種富有質(zhì)感的美妙事物,但我們必須有所意識(shí):這是個(gè)快速變化的世界,隨著互聯(lián)網(wǎng)和電子設(shè)備的廣泛運(yùn)用,人們?cè)谙硎芷鋷?lái)的極大便利的同時(shí),也時(shí)常受困于應(yīng)運(yùn)而生的各種新“麻煩”。缺乏法律規(guī)定的電子信息常常在法律案件中使法官們陷入兩難,而普通大眾更是茫然無(wú)措,以至于我們身邊因電子信息引發(fā)的法律糾紛越來(lái)越多。

身邊的事件

以下是一個(gè)真實(shí)案例,但為了方便,隱去了公司真實(shí)名字。2008年1月,位于上海的普遜公司與珠海的頓成公司簽訂合同,約定由頓成公司按照普遜公司提供的圖紙及技術(shù)參數(shù)生產(chǎn)電子產(chǎn)品。合同履行過(guò)程中,當(dāng)普遜公司需要產(chǎn)品時(shí),便先電話通知頓成公司,然后郵寄書面訂單。

經(jīng)過(guò)一段時(shí)間的合作后,為了避免訂單郵寄在途時(shí)間被浪費(fèi),普遜公司在郵寄訂單前便先行將訂單的電子版本電郵至頓成公司,讓頓成公司有充分的時(shí)間作好準(zhǔn)備工作。對(duì)此,雙方均感到合作十分默契。

2008年9月,頓成公司又接到普遜公司電話,隨后即收到電子訂單,遂按電子訂單的要求生產(chǎn)產(chǎn)品,并如期發(fā)貨至普遜公司指定港口,然而這次卻被告知暫時(shí)拒絕收貨。頓成公司自然不服,于是持電子訂單與普遜公司理論,普遜公司解釋說(shuō)該批貨物銷售計(jì)劃尚未商定,因此未向頓成公司郵寄書面訂單,如今后有新的銷售計(jì)劃,則可接受該批貨物。

此后由于市場(chǎng)變化,普遜公司終未接受頓成公司的該批貨物,頓成公司于是至法院,要求普遜公司接收貨物,支付貨款,并承擔(dān)倉(cāng)儲(chǔ)等費(fèi)用。

在法院的審理中,頓成公司向法院提交了附送該電子訂單的郵件打印件,以期證明訂單的真實(shí)性。對(duì)此,普遜公司予以否認(rèn),并提出質(zhì)疑:雖然目前該郵件顯示的收件人地址確系該公司所有,但由于該郵件已被下載至Outlook,而非保存于原郵件系統(tǒng)中,所以該郵件系頓成公司篡改偽造的訂單。

法院經(jīng)評(píng)議認(rèn)為:頓成公司所舉示郵件及其附件的真實(shí)性無(wú)法確認(rèn),書面合同中也未約定以電子郵件方式下訂單,因此無(wú)法認(rèn)定普遜公司向頓成公司下達(dá)該訂單的事實(shí)。據(jù)此,對(duì)頓成公司的訴訟請(qǐng)求予以駁回。

在這樣一個(gè)常見(jiàn)的貨款糾紛中,電子郵件成為了決定案件勝敗的關(guān)鍵。那么電子郵件這樣的電子信息需要達(dá)到什么樣的標(biāo)準(zhǔn)才能為法院所采信呢?

電子信息的法律地位

出于對(duì)法官和隨意判案的擔(dān)心,我國(guó)在當(dāng)初制定三大訴訟法(刑事、民事、行政訴訟法)時(shí)帶有強(qiáng)烈的形式主義色彩,根據(jù)當(dāng)時(shí)的生活和法律經(jīng)驗(yàn),把可以當(dāng)作證據(jù)使用事物嚴(yán)格劃分為七類:書證、物證、視聽(tīng)資料、證人證言、當(dāng)事人(被害被告人)的陳述、鑒定結(jié)論、勘驗(yàn)筆錄。而無(wú)法納入前述七類形式的,不得作為證據(jù)采用。這等于給證據(jù)設(shè)定了一個(gè)“戶口”制度,沒(méi)有“戶口”的事物就不能在法庭上作為證據(jù)出現(xiàn)。

然而邏輯常常受到生活的挑戰(zhàn),正如沒(méi)有戶口的小孩同樣是人,缺乏法律界定的電子郵件等電子信息其實(shí)同樣可以證明案件事實(shí)。這個(gè)矛盾使法官們一度陷入了兩難:如果不承認(rèn)電子郵件可以證明案件事實(shí),無(wú)疑是自欺欺人;但直接引用電子郵件所反映的事實(shí),又不符合訴訟法的規(guī)定。

很快專家們就為電子郵件這樣的電子信息找了第一個(gè)戶口――書證。所謂書證,是指以文字、符號(hào)、圖案等內(nèi)容和含義來(lái)證明案件事實(shí)的證據(jù)形式,而電子郵件也是以其中的文字或圖案來(lái)證明事實(shí),似乎符合書證的特點(diǎn)。

但是這種分類方法很快遭到了大多數(shù)人的反對(duì),理由有兩點(diǎn):一是因?yàn)猷]件雖然可以在電腦上閱讀,但郵件本身并不是電腦的一部分,和電腦并非一個(gè)整體;任何一臺(tái)電腦都不只可以顯示一封郵件,對(duì)這臺(tái)電腦而言,其所能顯示的內(nèi)容具有不確定性;二是郵件的本質(zhì)是電子信號(hào),不能被直接閱讀,必須通過(guò)專門設(shè)備(如電腦或手機(jī))以及程序(內(nèi)置軟件)加以翻譯才能為人所知,如果沒(méi)有特定設(shè)備,或者軟件錯(cuò)誤,郵件是不可閱讀的,或者是會(huì)被錯(cuò)誤閱讀的。

于是專家們的眼光又在剩余的六種證據(jù)形式中仔細(xì)搜索,終于為電子信息找到了第二個(gè)戶口――視聽(tīng)資料。而理由則是這類證據(jù)都需要通過(guò)專門設(shè)備和程序編譯才能以其內(nèi)容證明案件事實(shí)。除電子郵件外,被納入“視聽(tīng)資料”范疇的電子信息還包括:手機(jī)短信、BBS、電子文檔、聊天記錄、數(shù)據(jù)庫(kù)等。

不過(guò),若電子郵件因可以借助電腦屏幕顯示文字圖案而勉強(qiáng)被稱為視聽(tīng)資料的話,那么一些其他形式的電子信息則與傳統(tǒng)的“視聽(tīng)”概念相去甚遠(yuǎn)了。

曾經(jīng)有這樣一個(gè)案例:某客戶向證券公司主張其為某資金賬戶的所有人,最后法院審查的焦點(diǎn)集中在該客戶是否擁有賬戶密碼這個(gè)問(wèn)題上。于是該客戶向法院提交了自己的密碼,并申請(qǐng)法院調(diào)查證券公司計(jì)算機(jī)系統(tǒng)中該資金賬戶預(yù)留的密碼,如果兩個(gè)密碼一致,那么該客戶即為賬戶所有人。

但當(dāng)法院就此進(jìn)行深入調(diào)查時(shí)卻發(fā)現(xiàn),證券公司系統(tǒng)中的客戶密碼根本不能顯示,只能通過(guò)輸入密碼的方式進(jìn)行驗(yàn)證。因此,雖然法院在隨后的驗(yàn)證中發(fā)現(xiàn)該客戶提供的密碼正確,但法院卻自始至終也無(wú)法直觀地查明證券公司系統(tǒng)中預(yù)留密碼的具體信息。

在這起案件中,證券公司計(jì)算機(jī)系統(tǒng)中的客戶密碼信息顯然既不能看,更聽(tīng)不出所以然,但仍被納入視聽(tīng)資料范疇,其唯一目的就是為了解決電子信息的身份問(wèn)題。在這樣的背景下,法學(xué)界一邊呼吁盡快制定法律確立電子信息的獨(dú)立證據(jù)地位,一邊也不得不面對(duì)現(xiàn)實(shí)。因此司法機(jī)關(guān)在證據(jù)形式認(rèn)定上的曲線救國(guó),實(shí)屬情有可原。

有了上述背景,目前幾乎所有法院都不再對(duì)電子信息的身份問(wèn)題傷腦筋,但新的問(wèn)題又出來(lái)了――根據(jù)我國(guó)法律的規(guī)定,書證可以直接單獨(dú)作為定案的依據(jù),而視聽(tīng)資料即使沒(méi)有疑點(diǎn),也必須結(jié)合其他證據(jù)才能作為認(rèn)定案件事實(shí)的依據(jù)。

這樣的規(guī)定是什么意思呢?舉個(gè)例子可以說(shuō)明:甲乙兩人做生意簽合同,如果以紙質(zhì)材料簽字蓋章,形成的合同文本可以直接證明雙方具有合同關(guān)系;但如果雙方以電子方式簽訂(如郵件、短信方式等),即使這樣形成的合同未經(jīng)篡改、編輯,也沒(méi)有其他任何疑點(diǎn),仍然不能單獨(dú)證明雙方具有合同關(guān)系。

因此盡管我們?cè)缫蚜?xí)慣享受電子時(shí)代給生活和工作帶來(lái)的便利,但在依賴電子手段之前,還不得不做些準(zhǔn)備。

電子信息證據(jù)的約定使用

我們對(duì)電子手段的依賴,有時(shí)候是基于效率的考慮:如果發(fā)個(gè)短信就能通知開(kāi)會(huì),又何必用EMS呢?另外一些情況下,電子手段則可以節(jié)省大量的費(fèi)用,例如銀行發(fā)送賬單,開(kāi)發(fā)商通知接房等。

要讓這些電子手段能夠在需要的時(shí)候產(chǎn)生證據(jù)的效力,我們可以考慮對(duì)電子手段的法律地位在書面合作協(xié)議中進(jìn)行約定,避免雙方就此發(fā)生爭(zhēng)議。比如我們可以在合同中約定手機(jī)號(hào)碼、郵箱地址、聊天工具號(hào)碼等。這樣既可以解決電子信息證據(jù)需要與其他證據(jù)配合使用的法律硬性要求,也同時(shí)避免因電子手段未進(jìn)行實(shí)名制登記帶來(lái)的舉證負(fù)擔(dān)。

以上文中頓成公司的遭遇為例,假如雙方事先在書面合同中約定以電子郵件方式下達(dá)訂單,同時(shí)約定雙方的電郵地址,甚至約定在將電子郵件作為法庭證據(jù)使用時(shí)使用方無(wú)須證明其未經(jīng)修改,而由質(zhì)疑方承擔(dān)證明該郵件被篡改的舉證責(zé)任。那么屆時(shí)電子郵件就可以很輕松的與書面合同配合使用,用以證明案件事實(shí)。當(dāng)然,我們?cè)谔幚韨€(gè)人私務(wù)時(shí)通常不會(huì)事先辦理這么麻煩的手續(xù),不過(guò)如果是處理公務(wù),類似的約定還是很有必要。

我們還可以在書面合同中進(jìn)一步約定電子信息的使用規(guī)則,例如在使用電子郵件的情形,發(fā)出后由于某種原因電子郵件有可能并未查收,對(duì)此我們可以約定:“電子郵件在發(fā)出后24小時(shí)后視為對(duì)方已經(jīng)收到并閱讀該郵件及附件”;考慮到手機(jī)或者郵箱有時(shí)可能被其他人使用,我們還可以約定“合作期間,雙方應(yīng)保證約定的手機(jī)號(hào)碼由本人使用,任何以該手機(jī)發(fā)出的短信都將被視為本人的真實(shí)意思表示并對(duì)本人產(chǎn)生約束力”……

當(dāng)然還有更為有效的使用方式,例如電子商務(wù)有償服務(wù),通過(guò)與專門經(jīng)營(yíng)電子商務(wù)的服務(wù)平臺(tái)進(jìn)行合作,讓借助電子手段進(jìn)行的合作過(guò)程被雙方認(rèn)可的服務(wù)平臺(tái)記載,作為還原合作過(guò)程的客觀依據(jù)。

電子信息證據(jù)的固定和取得

雖然我們可以通過(guò)事前的約定賦予電子信息更多更強(qiáng)的法律效力,但糾紛往往以令人意想不到的方式讓人猝不及防。就像上文中的頓成公司,根本沒(méi)有預(yù)料到普遜公司會(huì)否認(rèn)下訂的事實(shí),這種情況下,就需要及時(shí)固定和取得電子信息證據(jù)。

與傳統(tǒng)的證據(jù)相比較,電子信息證據(jù)具有兩個(gè)非常顯著的特點(diǎn),一是容易被篡改,二是容易流失。這兩個(gè)特點(diǎn)共同成為了電子信息證據(jù)進(jìn)入法庭的最大障礙。但有一些習(xí)慣和方法,可以增加證據(jù)的可信性:

1.原始狀態(tài)的證據(jù)。

所謂原始狀態(tài),是指不改變電子信息的保存位置和方式。譬如重要的電子郵件應(yīng)當(dāng)保存在郵件系統(tǒng)中,不要在下載或者閱讀后刪除。已經(jīng)習(xí)慣使用Outlook、Foxmail等郵件管理工具的朋友需要特別注意,此類工具很可能在將郵件下載到您電腦的同時(shí),就已將系統(tǒng)中的郵件刪除。

原始狀態(tài)的電子信息,可以大大提高證據(jù)的真實(shí)性,而被改變保存位置和方式的證據(jù),則很可能遭到“被篡改”的質(zhì)疑。

2.服務(wù)器備份。

某些電子通訊方式提供了上傳備份的服務(wù),服務(wù)器上的記載可以作為第三方較為客觀中立的信息。

對(duì)于較為重要的電子信息證據(jù),如果及時(shí)上傳至服務(wù)器保存,必要時(shí)再由服務(wù)商證明每次上傳至服務(wù)器的具體內(nèi)容,其真實(shí)性較保存于自己電腦中的記錄會(huì)大大增強(qiáng)。

3.多種平臺(tái)的混合使用。

以電子郵件為例,郵箱平臺(tái)可以是自己公司的,也可以是第三方的公眾平臺(tái),兩者各有利弊。第三方的公眾平臺(tái)因難以被客戶修改,因此真實(shí)性強(qiáng),但缺點(diǎn)在于難以證明對(duì)方身份;而公司平臺(tái)則較為容易證明身份問(wèn)題。

因此不妨混合使用兩個(gè)平臺(tái),使用公司平臺(tái)收發(fā)郵件,同時(shí)抄送給自己所有的第三方平臺(tái)上的郵箱,這樣既可證實(shí)對(duì)方身份,又可以在糾紛發(fā)生時(shí)從第三方平臺(tái)調(diào)取信息,證明事實(shí)。

4.適時(shí)進(jìn)行公證。

公證是指由公證機(jī)構(gòu)依法對(duì)相關(guān)事實(shí)的真實(shí)性進(jìn)行證明,并出具公證書的行為。公證書具有極高的法律效力,最高法院甚至認(rèn)為:跟春去秋來(lái)這種自然規(guī)律一樣,公證書證明的事實(shí)無(wú)須證明。

5.司法保全

并非所有單位和個(gè)人都會(huì)對(duì)公證機(jī)構(gòu)進(jìn)行配合,所以公證雖然高效而且專業(yè),但缺乏強(qiáng)制力。情勢(shì)危急時(shí),可以考慮司法保全,包括民事訴訟中的訴前保全、訴訟中保全,以及刑事偵查機(jī)關(guān)通過(guò)偵查活動(dòng)對(duì)證據(jù)的固定。

上述方法中,公證及保全都會(huì)涉及十分專業(yè)的技術(shù)問(wèn)題,通常有兩個(gè)問(wèn)題值得注意:一是不可在自己所有的計(jì)算機(jī)上取證,自己的計(jì)算機(jī)難以排除偽證的可能性?;诒芟拥目紤],公證機(jī)構(gòu)很多時(shí)候甚至連他們自己的計(jì)算機(jī)也不愿意使用,而是在公共場(chǎng)所(如公共網(wǎng)吧)臨時(shí)選擇計(jì)算機(jī)上網(wǎng)取證;二是保證取證過(guò)程的連貫性。在這個(gè)問(wèn)題上,可以考慮使用視頻截屏軟件錄制上網(wǎng)取證的全部過(guò)程。

可以說(shuō)電子信息證據(jù)諸多的先天不足,讓我們?cè)趯⑵渥鳛樽C據(jù)具體使用時(shí)必須慎重考慮方式方法。因而在實(shí)踐中我們或許可以考慮將電子信息證據(jù)以“鑒定結(jié)論”的名義進(jìn)行使用。

三大訴訟法中,均規(guī)定“鑒定結(jié)論”為法定的證據(jù)形式,而且具有幾乎無(wú)可辯駁的證據(jù)效力。鑒于電子信息證據(jù)技術(shù)性強(qiáng)的特點(diǎn),我們?cè)谛枰褂秒娮有畔⒆C據(jù)時(shí),可以聘請(qǐng)專業(yè)機(jī)構(gòu)對(duì)電子信息證據(jù)的客觀性、真實(shí)性、原始性進(jìn)行鑒定,并出具正式的書面結(jié)論,然后我們可以使用該鑒定結(jié)論。

第8篇:驗(yàn)證電子合同的有效方法范文

關(guān)鍵詞:電子簽名;數(shù)字簽名;PKI

一、電子簽名的含義

凡是能在電子通訊中,起到證明當(dāng)事人的身份、證明當(dāng)事人對(duì)文件內(nèi)容的認(rèn)可的電子技術(shù)手段,都可被稱為電子簽名,電子簽名即現(xiàn)代認(rèn)證技術(shù)的一般性概念,它是信息安全的重要保障手段,電子簽名與手寫簽名或印章具有同等法律效力。目前,可以通過(guò)多種技術(shù)手段實(shí)現(xiàn)電子簽名,在確認(rèn)了簽署者的確切身份后,電子簽名承認(rèn)人們可以用多種不同的方法簽署一份電子記錄。

二、電子簽名與數(shù)字簽名的關(guān)系

數(shù)字簽名在ISO7498-2標(biāo)準(zhǔn)中定義為:“附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對(duì)數(shù)據(jù)單元所作的密碼變換,這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來(lái)源和數(shù)據(jù)單元的完整性,并保護(hù)數(shù)據(jù),防止被人(例如接收者)進(jìn)行偽造”。美國(guó)電子簽名標(biāo)準(zhǔn)(DSS,F(xiàn)IPS186-2)對(duì)數(shù)字簽名作了如下解釋:“利用一套規(guī)則和一個(gè)參數(shù)對(duì)數(shù)據(jù)計(jì)算所得的結(jié)果,用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性”。按上述定義,PKI可以提供數(shù)據(jù)單元的密碼變換,并能使接收者判斷數(shù)據(jù)來(lái)源及對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證?;赑KI的電子簽名被稱作“數(shù)字簽名”。有人稱“電子簽名”就是“數(shù)字簽名”是錯(cuò)誤的。數(shù)字簽名只是電子簽名的一種特定形式。因?yàn)殡娮雍灻m然獲得了技術(shù)中立性,但也帶來(lái)使用的不便,法律上又對(duì)電子簽名作了進(jìn)一步規(guī)定,如《電子簽名法》中就規(guī)定了“可靠電子簽名”和“高級(jí)電子簽名”。實(shí)際上就是規(guī)定了數(shù)字簽名的功能,這種規(guī)定使數(shù)字簽名獲得了更好的應(yīng)用安全性和可操作性。目前,具有實(shí)際意義的電子簽名只有公鑰密碼理論。所以,目前國(guó)內(nèi)外普遍使用的、技術(shù)成熟的、可實(shí)際使用的還是基于PKI的數(shù)字簽名技術(shù)。作為公鑰基礎(chǔ)設(shè)施PKI可提供多種網(wǎng)上安全服務(wù),如認(rèn)證、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認(rèn)性,其中都用到了數(shù)字簽名技術(shù)。

三、PKI技術(shù)的含義

1.什么是PKI?

PKI是Public Key Infrastructure的首字母縮寫,翻譯過(guò)來(lái)就是公鑰基礎(chǔ)設(shè)施;PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開(kāi)展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。

工程學(xué)家對(duì)PKI是這樣定義的:“PKI是一個(gè)用公鑰概念與技術(shù)來(lái)實(shí)施和提供安全服務(wù)的普遍適用的安全基礎(chǔ)設(shè)施。換句話說(shuō),PKI是一個(gè)利用非對(duì)稱密碼算法(即公開(kāi)密鑰算法)原理和技術(shù)實(shí)現(xiàn)的并提供網(wǎng)絡(luò)安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施”。它遵循標(biāo)準(zhǔn)的公鑰加密技術(shù),為電子商務(wù)、電子政務(wù)、網(wǎng)上銀行和網(wǎng)上證券業(yè),提供一整套安全保證的基礎(chǔ)平臺(tái)。用戶利用PKI基礎(chǔ)平臺(tái)所提供的安全服務(wù),能在網(wǎng)上實(shí)現(xiàn)安全地通信。PKI這種遵循標(biāo)準(zhǔn)的密鑰管理平臺(tái),能夠?yàn)樗芯W(wǎng)上應(yīng)用,透明地提供加解密和數(shù)字簽名等安全服務(wù)所需要的密鑰和證書管理。PKI是創(chuàng)建、頒發(fā)、管理和撤消公鑰證書所涉及到的所有軟件、硬件系統(tǒng),以及所涉及到的整個(gè)過(guò)程安全策略規(guī)范、法律法規(guī)以及人員的集合。安全地、正確地運(yùn)營(yíng)這些系統(tǒng)和規(guī)范就能提供一整套的網(wǎng)上安全服務(wù)。PKI的核心執(zhí)行機(jī)構(gòu)是認(rèn)證機(jī)構(gòu)CA(Certificate Authority),其核心元素是數(shù)字證書。公鑰證書和私鑰是用加密文件存放在證書介質(zhì)中,證書是由認(rèn)證服務(wù)機(jī)構(gòu)CA所簽發(fā)的權(quán)威電子文檔,CA與數(shù)字證書等是公鑰基礎(chǔ)設(shè)施PKI的主要組成機(jī)構(gòu)和元素。CA認(rèn)證機(jī)構(gòu)在《電子簽名法》中被稱作“電子認(rèn)證服務(wù)提供者”。

2.數(shù)字證書。

數(shù)字證書簡(jiǎn)稱證書,是PKI的核心元素,由認(rèn)證機(jī)構(gòu)服務(wù)者簽發(fā),它是數(shù)字簽名的技術(shù)基礎(chǔ)保障;符合X.509標(biāo)準(zhǔn),是網(wǎng)上實(shí)體身份的證明,證明某一實(shí)體的身份以及其公鑰的合法性,及該實(shí)體與公鑰二者之間的匹配關(guān)系,證書是公鑰的載體,證書上的公鑰唯一與實(shí)體身份相綁定?,F(xiàn)行的PKI機(jī)制一般為雙證書機(jī)制,即一個(gè)實(shí)體應(yīng)具有兩個(gè)證書,兩個(gè)密鑰對(duì),一個(gè)是加密證書,一個(gè)是簽名證書,加密證書原則上是不能用于簽名的。

證書在公鑰體制中是密鑰管理的媒介,不同的實(shí)體可通過(guò)證書來(lái)互相傳遞公鑰,證書由權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)CA簽發(fā)。是權(quán)威性電子文檔。證書的主要內(nèi)容,按X.509標(biāo)準(zhǔn)規(guī)定其邏輯表達(dá)式為:

CA《A》=CAxV,SN,AI,CA,UCA,A,UA,Ap,Tay

其中:CA《A》---認(rèn)證機(jī)構(gòu)CA為用戶A頒發(fā)的證書

CAx, , ,y---認(rèn)證機(jī)構(gòu)CA對(duì)花括弧內(nèi)證書內(nèi)容進(jìn)行的數(shù)字簽名

V---證書版本號(hào)

SN---證書序列號(hào)

AI---用于對(duì)證書進(jìn)行簽名的算法標(biāo)識(shí)

CA---簽發(fā)證書的CA機(jī)構(gòu)的名字

UCA---簽發(fā)證書的CA的惟一標(biāo)識(shí)符

A---用戶A的名字 UA---用戶A的惟一標(biāo)識(shí)

Ap---用戶A的公鑰 Ta---證書的有效期

從V到Ta是證書在標(biāo)準(zhǔn)域中的主要內(nèi)容。

證書的這些內(nèi)容主要用于身份認(rèn)證、簽名的驗(yàn)證和有效期的檢查。CA簽發(fā)證書時(shí),要對(duì)上述內(nèi)容進(jìn)行簽名,以示對(duì)所簽發(fā)證書內(nèi)容的完整性、準(zhǔn)確性負(fù)責(zé)并證明該證書的合法性和有效性,將網(wǎng)上身份與證書綁定。

CA頒發(fā)的上述證書與對(duì)應(yīng)的私鑰存放在一個(gè)保密文件里,最好的辦法是存放在IC卡和USBKey介質(zhì)中,可以保證私鑰不出卡,證書不能被拷貝、安全性高、攜帶方便、便于管理。這就是《電子簽名法》中所說(shuō)的“電子簽名生成數(shù)據(jù),屬于電子簽名人所有并由電子簽名人控制?!钡木唧w作法。

四、PKI技術(shù)的發(fā)展現(xiàn)狀及趨勢(shì)

PKI的應(yīng)用涉及電子商務(wù)、電子政務(wù)、電子事物等諸多領(lǐng)域,PKI具有非常廣闊的市場(chǎng)應(yīng)用前景,具體表現(xiàn)為如下幾個(gè)方面:

1.對(duì)我國(guó)電子商務(wù)有很大的促進(jìn)和有力發(fā)展的作用?!峨娮雍灻ā分贫ǖ淖谥季褪菫榱吮U想娮由虅?wù)的安全,維護(hù)有關(guān)各方的合法利益,促進(jìn)電子商務(wù)的發(fā)展,而制定本法。有了《電子簽名法》就可以解決電子商務(wù)參與方的不可否認(rèn)性,提高電子商務(wù)交易的安全;可以實(shí)現(xiàn)網(wǎng)上自動(dòng)在線支付,解決目前我國(guó)電子商務(wù)的瓶頸問(wèn)題。

2.對(duì)金融界的應(yīng)用,金融行業(yè)是PKI技術(shù)應(yīng)用最活躍、最廣泛的領(lǐng)域。銀行審核網(wǎng)銀用戶身份的真實(shí)性,用戶的身份必須是真實(shí)可靠的,簽名才有實(shí)際意義,這是使用數(shù)字簽名的基礎(chǔ)。交易額大、安全性要求高的交易必須使用數(shù)字簽名。由于數(shù)字簽名是一種相對(duì)復(fù)雜的計(jì)算方式,簽名的過(guò)程要耗費(fèi)一定的系統(tǒng)資源,一般是在交易金額大、安全性要求高的網(wǎng)銀業(yè)務(wù)中使用數(shù)字簽名。作為金融行業(yè)統(tǒng)一的第三方安全認(rèn)證機(jī)構(gòu),在保障網(wǎng)上交易安全,提供公正、可信的認(rèn)證服務(wù)方面發(fā)揮了重要的作用。上面是電子簽名在網(wǎng)銀中的應(yīng)用特點(diǎn);從應(yīng)用的范圍和廣度講,目前國(guó)內(nèi)的網(wǎng)上銀行業(yè)務(wù)中基本上都采用了數(shù)字簽名技術(shù)。

3.對(duì)《票據(jù)法》的改革,有了《電子簽名法》作母法,我國(guó)的票據(jù)法要以《電子簽名法》作依據(jù),制定和完善整套的銀行新法規(guī)。這樣銀行就可以節(jié)省大量的紙張印刷,減少費(fèi)用,提高效益。還有網(wǎng)上證券的交易、網(wǎng)上稅務(wù)等等一方面是缺乏好的的安全支付協(xié)議,更主要就是沒(méi)有數(shù)字簽名的法律保障;技術(shù)是基礎(chǔ),法律是保證,這些都是“電子簽名”應(yīng)用更大的領(lǐng)域。

4.對(duì)《合同法》的修改,合同也可以以電子文件形式出現(xiàn)。有了PKI技術(shù)作保證,網(wǎng)上招標(biāo)、網(wǎng)上采購(gòu)都可以根據(jù)電子合同作為依據(jù)。為了適應(yīng)傳統(tǒng)業(yè)務(wù)經(jīng)營(yíng)需要,還可以將電子簽名與傳統(tǒng)的手工簽名或印章做成“電子簽名”可視化,即在驗(yàn)證了電子簽名真?zhèn)蔚耐瑫r(shí),可調(diào)用打印經(jīng)圖形化處理過(guò)的手書簽名或圖章,這樣即可適應(yīng)傳統(tǒng)習(xí)慣認(rèn)證方法,又將簽名向先進(jìn)電子技術(shù)領(lǐng)域推進(jìn)一步。

自21世紀(jì)以來(lái),PKI技術(shù)作為信息安全的關(guān)鍵技術(shù)逐步得到許多國(guó)家的政府和企業(yè)的廣泛重視,PKI技術(shù)理論研究進(jìn)入到了商業(yè)化應(yīng)用階段,如今PKI技術(shù)發(fā)展已經(jīng)日趨成熟,許多新技術(shù)還在不斷涌現(xiàn),CA之間的信任模型,使用的加密算法、密鑰管理方案也在不斷的變化中。隨著“互聯(lián)網(wǎng)+”時(shí)代的來(lái)臨,信息化技術(shù)不斷地影響著人們的思維,改進(jìn)了我們的工作、生活方式,隨著《電子簽名法》的修正,電子簽名技術(shù)將給我們的“互聯(lián)網(wǎng)+”時(shí)代的工作和生活帶來(lái)積極正面的影響。

參考文獻(xiàn):

[1] 樊迎光,馮俊麗,王永. 電子商務(wù)安全中的數(shù)字簽名技術(shù). 福建電腦.2009第2期.

[2] 祝洪杰,鄒玉妮,侯瑞蓮 陶洋.數(shù)字簽名技術(shù)在電子商務(wù)系統(tǒng)中的應(yīng)用. 山東輕工業(yè)學(xué)院學(xué)報(bào).2007年第4期.

第9篇:驗(yàn)證電子合同的有效方法范文

早在2010年筆者曾撰文《數(shù)字簽名在注冊(cè)會(huì)計(jì)師行業(yè)的應(yīng)用》,對(duì)審計(jì)報(bào)告的電子化進(jìn)行過(guò)理論探討。如今,隨著電子政務(wù)的發(fā)展,電子簽名技術(shù)的應(yīng)用日益廣泛,財(cái)務(wù)審計(jì)報(bào)告的電子化已經(jīng)進(jìn)入了實(shí)踐領(lǐng)域。

(一)北京市社會(huì)團(tuán)體無(wú)紙化年檢方案介紹。為推進(jìn)無(wú)紙化辦公,優(yōu)化年檢服務(wù),提高年檢效率,節(jié)約辦事成本,北京市民政局決定,從2015年起,通過(guò)改造年檢系統(tǒng),推行法人單位數(shù)字證書,利用電子簽章實(shí)現(xiàn)申報(bào)材料電子化,取消文本材料報(bào)送。社會(huì)組織登記管理機(jī)關(guān)、業(yè)務(wù)主管單位和社會(huì)組織等年檢事務(wù)參與方,使用數(shù)字證書登錄系統(tǒng)進(jìn)行身份識(shí)別,并利用電子簽章實(shí)現(xiàn)電子版年檢申報(bào)材料報(bào)送。

電子財(cái)務(wù)審計(jì)報(bào)告是年檢申報(bào)材料的重要組成部分,會(huì)計(jì)師事務(wù)所出具社會(huì)組織電子審計(jì)報(bào)告流程為:首先由會(huì)計(jì)師事務(wù)所出具社會(huì)組織財(cái)務(wù)審計(jì)報(bào)告電子版;其次使用數(shù)字證書簽章工具,加蓋單位電子簽章和個(gè)人電子簽章;最后向社會(huì)組織提供加蓋單位和個(gè)人電子簽章的電子版審計(jì)報(bào)告?!吨腥A人民共和國(guó)電子簽名法》第三條明確規(guī)定:“民事活動(dòng)中的合同或者其他文件、單證等文書,當(dāng)事人可以約定使用或者不使用電子簽名、數(shù)據(jù)電文。當(dāng)事人約定使用電子簽名、數(shù)據(jù)電文的文書,不得僅因?yàn)槠洳捎秒娮雍灻?、?shù)據(jù)電文的形式而否定其法律效力?!币虼耍捎秒娮雍灻绞降碾娮影尕?cái)務(wù)審計(jì)報(bào)告,具備了合規(guī)性、合法性。

(二)運(yùn)行效果。北京市社會(huì)組織年檢無(wú)紙化工作分兩期進(jìn)行,首期在2015年6月前完成市級(jí)社會(huì)組織和試點(diǎn)區(qū)縣推廣任務(wù);第二期將總結(jié)試點(diǎn)經(jīng)驗(yàn),逐步將成果擴(kuò)大到全市社會(huì)組織范圍。首批參加無(wú)紙化年檢的社會(huì)組織包括市級(jí)社會(huì)團(tuán)體、民辦非企業(yè)單位、基金??;順義區(qū)試點(diǎn)社會(huì)團(tuán)體、民辦非企業(yè)單位。目前該項(xiàng)改革工作扎實(shí)推進(jìn),利用數(shù)字簽章功能實(shí)現(xiàn)了年檢申報(bào)材料電子化、年檢審查程序網(wǎng)絡(luò)化、審核行為即時(shí)化、年檢檔案數(shù)字化。相關(guān)企業(yè)的財(cái)務(wù)審計(jì)報(bào)告實(shí)現(xiàn)了真正意義上的電子化,很多地方值得借鑒,建議在注冊(cè)會(huì)計(jì)師行業(yè)大力推廣。

二、推行電子財(cái)務(wù)審計(jì)報(bào)告的積極意義

(一)提高服務(wù)效率,便于信息共享。審計(jì)報(bào)告的電子化最直接的影響是可以取消文本資料的報(bào)送和傳輸,節(jié)約紙張,真正實(shí)現(xiàn)無(wú)紙化辦公,更加環(huán)保。紙質(zhì)審計(jì)報(bào)告的傳輸需要郵寄或?qū)H怂瓦_(dá),會(huì)消耗諸如交通費(fèi)、快遞費(fèi)等相應(yīng)的成本,并且在傳遞過(guò)程中會(huì)花費(fèi)一定的時(shí)間,最快也要幾小時(shí),如果一份審計(jì)報(bào)告需要提交給不同的部門需要多次郵寄或傳送,花費(fèi)大量的人力物力。

審計(jì)報(bào)告實(shí)現(xiàn)電子化以后,報(bào)告通過(guò)網(wǎng)絡(luò)能夠快速傳達(dá),可以為會(huì)計(jì)師事務(wù)所和被審計(jì)單位節(jié)約成本,提高辦事效率。在建設(shè)支撐系統(tǒng)時(shí),還可以選擇將電子版的財(cái)務(wù)審計(jì)報(bào)告在注冊(cè)會(huì)計(jì)師協(xié)會(huì)系統(tǒng)中備份,來(lái)實(shí)現(xiàn)備案。這樣,工商、稅務(wù)、銀行等部門經(jīng)過(guò)授權(quán)后也可以很方便地通過(guò)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的網(wǎng)站查詢到相關(guān)企業(yè)的電子審計(jì)報(bào)告,實(shí)現(xiàn)信息共享。

(二)打擊不法中介,保護(hù)注冊(cè)會(huì)計(jì)師合法權(quán)益。目前社會(huì)上存在不法中介偽造、變?cè)熳?cè)會(huì)計(jì)師審計(jì)報(bào)告等情況,極大地?fù)p害了注冊(cè)會(huì)計(jì)師行業(yè)的聲譽(yù)以及注冊(cè)會(huì)計(jì)師的合法權(quán)益。審計(jì)報(bào)告實(shí)現(xiàn)電子化以后,只有具備出具電子審計(jì)報(bào)告條件的會(huì)計(jì)師事務(wù)所,即:辦理過(guò)單位數(shù)字證書和個(gè)人數(shù)字證書的事務(wù)所才能在審計(jì)報(bào)告上加蓋電子簽名,電子審計(jì)報(bào)告才能是合法的?,F(xiàn)代密碼技術(shù)保證了用戶的數(shù)字證書和密鑰是不可偽造的,所以,不法中介如果偽造、變?cè)鞂徲?jì)報(bào)告,他們沒(méi)有合法的電子簽名,無(wú)法通過(guò)驗(yàn)證。

(三)遏制多套賬行為,解決信息不對(duì)稱問(wèn)題。有些企業(yè)出于不同目的,會(huì)存在多套賬的行為,如為了申請(qǐng)某種資質(zhì)、辦理銀行貸款,往往會(huì)虛增資產(chǎn)和利潤(rùn),而為了避稅目的又會(huì)隱瞞收入減少利潤(rùn),然后聘請(qǐng)不同的會(huì)計(jì)師事務(wù)所對(duì)不同目的的多套賬分別出具審計(jì)報(bào)告。紙質(zhì)審計(jì)報(bào)告的環(huán)境下,由于信息傳輸不方便,會(huì)計(jì)師事務(wù)所、政府部門、銀行等很難發(fā)現(xiàn)這一問(wèn)題。于是,會(huì)計(jì)師事務(wù)所面臨極高的執(zhí)業(yè)風(fēng)險(xiǎn),同時(shí)也會(huì)導(dǎo)致國(guó)家稅款流失,銀行的資金安全也受到威脅。審計(jì)報(bào)告實(shí)現(xiàn)電子化以后,能很方便地實(shí)時(shí)傳輸,每一份審計(jì)報(bào)告可以很方便地查詢真?zhèn)?,從而能夠遏制多套賬行為,解決信息不對(duì)稱問(wèn)題。

(四)有利于注冊(cè)會(huì)計(jì)協(xié)會(huì)的行業(yè)監(jiān)管。目前各省注冊(cè)會(huì)計(jì)師協(xié)會(huì)都建立了會(huì)計(jì)師事務(wù)所業(yè)務(wù)報(bào)備制度,對(duì)于加強(qiáng)行業(yè)監(jiān)管起到了一定的作用。但目前多數(shù)省級(jí)注冊(cè)會(huì)計(jì)師協(xié)會(huì)規(guī)定的業(yè)務(wù)報(bào)備,都是對(duì)被審計(jì)單位名稱、收費(fèi)標(biāo)準(zhǔn)、審計(jì)意見(jiàn)類型、簽字注冊(cè)會(huì)計(jì)師等基本信息進(jìn)行備案,至于完整的審計(jì)報(bào)告情況注協(xié)是看不到的。在手工簽名加蓋章的情況下,要實(shí)現(xiàn)每一份紙質(zhì)審計(jì)報(bào)告都在注協(xié)備案顯然也不可行。這樣事務(wù)所就可以有選擇地進(jìn)行業(yè)務(wù)報(bào)備,對(duì)于某些有問(wèn)題的業(yè)務(wù)完全可以略去不報(bào),注協(xié)是難以發(fā)現(xiàn)的。審計(jì)報(bào)告實(shí)現(xiàn)電子化以后,可以很方便地實(shí)現(xiàn)審計(jì)報(bào)告在注冊(cè)會(huì)計(jì)師協(xié)會(huì)的備案,這樣注冊(cè)會(huì)計(jì)師協(xié)會(huì)可以隨時(shí)了解各個(gè)事務(wù)所的業(yè)務(wù)動(dòng)態(tài),加強(qiáng)對(duì)會(huì)計(jì)師事務(wù)所執(zhí)業(yè)質(zhì)量的監(jiān)管。

三、財(cái)務(wù)報(bào)告電子化實(shí)施的保障

(一)建立財(cái)務(wù)審計(jì)報(bào)告電子化的支撐系統(tǒng)。要實(shí)現(xiàn)財(cái)務(wù)審計(jì)報(bào)告的電子化,首要的保障措施就是建立審計(jì)報(bào)告電子化所需的支撐系統(tǒng),包括相應(yīng)的軟件、硬件、人員和相應(yīng)的策略、操作規(guī)程和制度。注冊(cè)會(huì)計(jì)師和事務(wù)所使用這些系統(tǒng)制作電子版審計(jì)報(bào)告,而其他相關(guān)方要能夠接受和驗(yàn)證這些報(bào)告的完整性和合規(guī)性。如果需要考慮審計(jì)報(bào)告?zhèn)浒复鎯?chǔ),系統(tǒng)還需要具有安全存儲(chǔ)、檢索等功能。

(二)數(shù)字證書的申請(qǐng)、發(fā)放和吊銷。要實(shí)現(xiàn)財(cái)務(wù)審計(jì)報(bào)告的電子化,另一個(gè)首要的保障措施就是數(shù)字證書的管理。根據(jù)《中華人民共和國(guó)電子簽名法》的規(guī)定,“電子簽名需要第三方認(rèn)證的,由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)?!?這就是說(shuō),如果簽名需要第三方認(rèn)證,簽名人必須事先獲取一個(gè)由權(quán)威機(jī)構(gòu)簽發(fā)的數(shù)字證書,以保證文件接收者能夠驗(yàn)證他的身份。

具體到注冊(cè)會(huì)計(jì)師行業(yè),就應(yīng)當(dāng)是全國(guó)和地方的注冊(cè)會(huì)計(jì)師協(xié)會(huì)通過(guò)CA中心(Certificate Authority,電子認(rèn)證服務(wù)機(jī)構(gòu))進(jìn)行數(shù)字證書的簽發(fā)、吊銷等管理。數(shù)字證書代表了某個(gè)注冊(cè)會(huì)計(jì)師的身份,注協(xié)通過(guò)為其簽發(fā)數(shù)字證書(USBKey),表明審核通過(guò)了注冊(cè)會(huì)計(jì)師的入會(huì)申請(qǐng),授予其簽發(fā)審計(jì)報(bào)告的資格。注冊(cè)會(huì)計(jì)師具備執(zhí)業(yè)資格后,就可以使用該證書對(duì)經(jīng)審核的審計(jì)報(bào)告進(jìn)行數(shù)字簽名來(lái)完成業(yè)務(wù)(會(huì)計(jì)師事務(wù)所數(shù)字證書的獲取過(guò)程與此相同)。

(三)人員培訓(xùn)。一旦推行財(cái)務(wù)審計(jì)報(bào)告的電子化,就要分期分批地對(duì)注冊(cè)會(huì)計(jì)師進(jìn)行相關(guān)培訓(xùn)。由各省市注冊(cè)會(huì)計(jì)師協(xié)會(huì)牽頭,結(jié)合注冊(cè)會(huì)計(jì)師后續(xù)教育,開(kāi)展專題培訓(xùn),詳細(xì)介紹和現(xiàn)場(chǎng)演示數(shù)字證書的使用方法、電子審計(jì)報(bào)告的簽發(fā)流程以及網(wǎng)絡(luò)運(yùn)行環(huán)境的要求等,并且要在培訓(xùn)中讓廣大注冊(cè)會(huì)計(jì)師明確電子簽名的法律效力,做到數(shù)字證書專人專用,避免法律糾紛。同時(shí),數(shù)字證書的制作單位應(yīng)該提供技術(shù)支持和電話咨詢服務(wù)。

(四)數(shù)字證書的日常管理。依據(jù)《中華人民共和國(guó)電子簽名法》的規(guī)定,頒發(fā)給會(huì)計(jì)師事務(wù)所和注冊(cè)會(huì)計(jì)師的數(shù)字證書,用于表明其合法的身份,在電子財(cái)務(wù)審計(jì)報(bào)告上簽名時(shí),與實(shí)體印章具有同等法律效力。注冊(cè)會(huì)計(jì)師協(xié)會(huì)應(yīng)該要求各事務(wù)所建立相應(yīng)的數(shù)字證書使用管理制度,加強(qiáng)證書介質(zhì)和證書私鑰的管理,做到專人使用,確保電子簽章的使用與保管與本單位實(shí)體印章的使用與保管規(guī)定一致。

(五)審計(jì)報(bào)告的實(shí)時(shí)驗(yàn)證。當(dāng)會(huì)計(jì)師事務(wù)所將審計(jì)報(bào)告發(fā)送給被審計(jì)單位或其他審計(jì)報(bào)告使用者時(shí),要使用數(shù)字證書進(jìn)行簽章,而電子簽名的結(jié)果就是以注冊(cè)會(huì)計(jì)師私有密鑰和原始審計(jì)報(bào)告作為已知數(shù)據(jù)運(yùn)算和生成的一段新的數(shù)據(jù),沒(méi)有這兩者中的任何一個(gè),都無(wú)法制作出電子簽名。

審計(jì)報(bào)告接收者會(huì)使用數(shù)字證書(公共密鑰)對(duì)收到的審計(jì)報(bào)告進(jìn)行驗(yàn)證,驗(yàn)證該數(shù)字證書是否由其聲明的CA中心頒發(fā),并會(huì)驗(yàn)證其數(shù)字證書是否在有效期內(nèi),是否已被吊銷。如果這些審核項(xiàng)都通過(guò),就表明被審計(jì)單位成功核實(shí)了電子簽名,證明該報(bào)告是?特定的具備資質(zhì)的注冊(cè)會(huì)計(jì)師和會(huì)計(jì)師事務(wù)審核,并且該審計(jì)報(bào)告簽名以后未經(jīng)改動(dòng)。如果在注冊(cè)會(huì)計(jì)師簽名完成后,審計(jì)報(bào)告再有任何改動(dòng),都會(huì)造成簽名驗(yàn)證失敗,所以,對(duì)已簽名報(bào)告的任何改動(dòng)都是無(wú)效的。驗(yàn)證數(shù)字簽名的有效性比起紙質(zhì)辦公條件下驗(yàn)證印章和簽名的真?zhèn)螘?huì)更容易和直觀。

(六)電子審計(jì)報(bào)告的檢索服務(wù)。財(cái)務(wù)審計(jì)報(bào)告的電子化為不同部門實(shí)現(xiàn)信息共享提供了可能性,與此同時(shí)也面臨一個(gè)新的問(wèn)題就是電子財(cái)務(wù)審計(jì)報(bào)告允許哪些人員或機(jī)構(gòu)來(lái)查閱,因?yàn)樨?cái)務(wù)信息是企業(yè)重要的商業(yè)機(jī)密。注冊(cè)會(huì)計(jì)師協(xié)議可以提供電子財(cái)務(wù)審計(jì)報(bào)告的存儲(chǔ)系統(tǒng)和查詢系統(tǒng),向相關(guān)方提供查詢功能。