電子合同的安全性精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的電子合同的安全性主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:電子合同的安全性范文
一、引言
隨著電子商務的發展,B2B商務活動逐漸成為一種主流商務活動。在電子商務活動中,最為重要的部分為簽訂合同的過程。確保簽訂的合同安全有效是所有電子商務商戶所共同追求的目標。為保證網上信息的安全傳輸,目前廣泛采用的是公鑰基礎設施(Public Key Infrastructure,PKI)技術。PKI技術采用證書管理公鑰,通過第三方的可信任的認證中心(Certificate Au
thority,CA),將用戶公鑰和用戶的其它標識信息捆綁在一起,在互聯網上驗證用戶的身份。
本文所設計的電子合同系統,就是利用SIM卡在移動通信網絡上建立起相應的PKI架構,利用SIM卡的可識別性來實現身份認證服務,確保了交易信息的安全性、完整性和不可抵賴性。
二、PKI技術簡介
PKI(Public Key Infrastructure )即“公開密鑰體系”,PKI是一種基于公開密鑰體制的密鑰管理平臺,通過采用認證技術確保電子合同的完整性和抗抵賴性,通過對信息進行加密確保信息在傳輸過程中的保密性。同時,通過采用基于PKI/CA結構及用戶口令,可有效地對系統中的用戶進行身份認證,防止系統中出現非法用戶和偽造信息。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。其中CA是PKI的核心執行機構,是PKI的主要組成部分,業界人士通常稱它為認證中心。它是保證電子商務、電子政務、網上銀行、網上證券等交易的權威性、可信任性和公正性的第三方機構。
三、PKI-SIM卡
PKI-SIM卡通過SIM卡內部提供PKI 相關功能,結合空中下載(Over the air,OTA)遠程管理,從而在移動網絡上建立完整的移動身份認證服務系統。PKI-SIM 卡作為 PKI 體系中的用戶私有密鑰的載體,提供了硬件級別的私有密鑰的數據保密性,并且在卡上實現各種安全算法,有足夠的安全措施保證密鑰的完整性。
PKI-SIM卡代替了傳統的USB key等其它外持的獨立設備作為認證終端,利用通訊網絡對PKI-SIM卡中的CA認證進行更新和管理。合同雙方能夠通過存放于SIM卡中的用戶私鑰來對合同簽名確認,接收后能夠通過數字簽名技術核實對方簽名的有效性,雙方確認后不能抵賴對合同的簽名。在數據傳輸過程中,即使用戶數據(密文)被竊取,由于沒有存在SIM卡中的私鑰,無法還原為正確的明文,從而保證了數據的安全性。
四、基于PKI-SIM的電子合同系統
1.電子合同系統結構模型。電子合同系統由服務提供商,電子商務運營平臺,認證中心,移動終端和用戶等部分組成。服務提供商提供服務,并將服務的說明信息到電子商務運營平臺;電子商務運營平臺存儲各種服務信息,并且提供服務檢索、合同創建與維護、合同證據的保全等功能;認證中心用來審核CA證書,為移動終端提供經過數據簽名的CA證書下載和審核;用戶通過移動終端的信息確認,登陸到運營平臺檢索服務,簽訂電子合同獲得自己需要的服務。電子合同系統的結構模型如圖1所示:
圖1 電子合同結構模型
通訊終端和認證中心的無線方式交換數據信息,運營商主要負責移動身份認證平臺和PKI-SIM移動終端之間的聯系,為他們之間通信提供了一條通道。其結構如下圖2:
圖2 電子合同系統無線傳輸結構模型
2.電子合同的簽訂流程。合同是交易雙方用來保證各自利益的法律依據,所以電子合同系統的簽訂是系統最為關鍵部分。在簽署合同過程中,需要保證合同的機密性、完整性和抗抵賴性。本系統具體流程如下:
用戶在使用本合同系統之前,需要在運營商處申請數字證書。申請成功后,用戶通過PKI-SIM卡端執行加密,將加密信息上傳到身份認證平臺 RA系統,同時下載CA證書。
合同提供方(甲方)向電子商務平臺的電子合同系統提交意向合同,系統將合同傳送接收方(乙方),乙方根據合同條款決定是否簽訂。如果乙方有異議,返回協商信息給甲方,甲方根據乙方意見調整合同后再次提交給電子合同系統;如果乙方同意,返回同意簽訂信息給電子合同系統,雙方通過移動通信服務確定合同雙方的身份,如果雙方身份驗證成功,即可簽訂合同。具體流程如圖3所示。
圖3 電子合同系統簽訂流程示意圖
五、結論
隨著電子商務蓬勃發展,網上訂單和網絡交易越來越頻繁,人們對電子合同的安全性提出了更高的要求。PKI-SIM技術在電子商務平臺上的應用有效的保證了網絡商業交易的安全性,降低了交易風險。基于PKI-SIM技術的網絡電子合同平臺,可對系統中的交易雙方進行有效身份認證,保證電子合同的機密性、完整性和抗抵賴性。保證了電子合同的法律效力,消除了人們對網絡商業安全性的疑慮。用戶在移動終端上進行操作即簡單、安全,又方便、快捷,具有巨大的實用價值。
參 考 文 獻
[1]MESSAOUD B.Introduction to the Public Key Infrastructure for the Internet[M].2003
[2]中廣瑞波公司.PKI-SIM安全認證卡系統簡要說明
第2篇:電子合同的安全性范文
論文關鍵詞 承諾 電子商務合同 edi
20世紀末至今,伴隨著計算機網絡的普及發展,人類生活方式發生了深刻變革,企業的國際貿易模式也隨之優化進步,利用計算機和網絡技術實現市場交換的全過程已成為現實。電子商務作為國際貿易不斷深化與科學技術飛速發展相結合的產物,隨著全球貿易競爭的日趨激烈,在國際貿易中所具有的重要地位將愈趨明顯。同時,電子商務的應用也為國際貿易中法律規制提出挑戰,電子數據交換(edi)利用計算機網絡進行自動、及時的信息交流、數據交換和處理,開創了“無紙貿易”的新時代,使傳統理論中要約承諾的形式、生效時間地點、安全性、能否撤銷等規定受到質疑,值得探究。
一、傳統承諾理論的規定
承諾是指受要約人按照要約人所指定的方式,對要約的內容表示同意的一種意思表示,在國際貿易中,也稱“接受”或“收盤”。被要約人一旦表示承諾,則表明要約人、被要約人之間以達成協議,合同即宣告成立。《聯合國貨物買賣合同公約》第18條第2款規定:“接受發價于表示同意的通知送達發價人時生效。如果表示同意的通知在發價人所規定的時間內,如未規定時間,在一段合理的時間內,未曾送達發價人,接受就成為無效,但須當適地考慮到交易的情況,包括發價人所使用的通訊方法的迅速程度。對口頭發價必須立即接受,但情況有別者不在此限。”傳統理論中,關于承諾生效的時間,存在投郵主義和到達主義兩種不同理論。
英美法系采用投郵主義,即在以書信、電報作出承諾時,承諾的通知一經交付郵局投郵立即生效,合同即告成立。即使是由于郵局的疏忽致使承諾的通知在作踐耽擱或丟失,風險仍由要約人承擔,而與受要約人無關,且不影響合同的成立。英美法系采用“投郵主義”的目的在于縮短要約人能夠撤銷要約的時間,從而改善受要約人在交易中的被動地位。但在要約人收不到受要約人承諾時,以“投郵主義”而強加給要約人的合同成立其不合理性也是顯而易見的。
與之不同,大陸法系采用到達主義,如《德國民法典》第130條規定:“對于相對人所做的意思表示,于意思表示到達相對人發生效力。”我國亦采用到達主義,即遵循《合同法》第26條規定:“承諾通知到達要約人時生效。承諾不需要通知的,根據交易習慣或者要約的要求作出承諾的行為時生效。”
關于承諾的撤回,除當面表示承諾和采用投郵主義立法的國家不存在外,采用到達主義的國家規定了承諾撤回問題。根據《聯合國國際貨物買賣合同公約》第22條,“接受得予撤回,如果撤回通知于接受原應生效之前或同時,送達發價人。”我國《合同法》規定與之相同。
二、e時代國際貿易的新形勢及問題
e時代,最初用來指電子(electronic)時代,電腦網絡出現后email以其快速、簡便、多功能等在很短的時間內顛覆了傳統的手寫郵寄信件。電子商務合同,是指以數據電文形式訂立的合同,當事人通過數據輸入進行要約、承諾,以網絡傳輸進行送達。
傳統的書面合同要求雙方當事人在合同原件上手書簽名、蓋章或按指紋,以表明當事人對該書面合同內容正確性的確認。而在edi合同中,手書簽章被電子簽名所代替,即由符號及代碼組成,經由鍵盤輸入并存儲于計算機磁盤中。
在電子商務合同的簽訂過程中,要約與承諾的意思表示由當事人通過計算機互聯網以電子方式實現瞬間傳遞的,因而由其所依賴的技術和其運作方式的獨特性,產生許多新問題。
如:數字形式的電子簽名很容易被他人模仿、破譯或篡改,服務器故障導致延遲而產生生效時間爭議及撤銷爭議等問題,這些新形勢下的新問題亟待解決。
三、新形勢下“承諾”的法律問題探究
(一)“承諾”表達新形式問題
在電子商務中,雖然采用edi取代了傳統口頭或書面的意思表示形式,但承諾仍具有在電子商務合同當事人間意思傳遞的重任,因而電子意思表示在形態上仍然可表現為要約、要約邀請或承諾。在edi環境下的承諾,因法律并未具體規定表達方式,又是當事人約定的結果,故以數據電文新形式表達的承諾也當具有法律效力。聯合國貿易和發展會議制定的《電子貿易示范法》第11條規定:“除非當事人另有協議,合同要約及承諾均可通過數據電文手段表示,并不得僅僅以使用了數據電文為理由否認該合同的有效性和可執行性。”
(二)“承諾”的撤回與撤銷問題
承諾的撤回,是指承諾人阻止承諾發生法律效力的一種意思表示。采取投郵主義作為承諾生效原則的英美法系國家,不承認承諾可以撤回,但大陸法系國家對承諾生效采取的是到達主義原則,認為承諾可以撤回。e時代隨著計算機網絡的應用,承諾開始以電子形式表達。從法律規定上,撤回需要在承諾尚未送達要約人之前追回并終止其效力,然而計算機一旦發出承諾,幾乎不可能再找到一種方式,將撤回的通知先于或同時于承諾送達。因而,此種意義上承諾撤回是不可能的。
承諾的撤銷在傳統合同中并不多見,因為要約一經承諾,就標志著合同的成立。承諾的撤銷即意味著對已經成立的合同的撤銷,因此進入到違約制度規范的范疇。但是,鑒于網絡交易的快捷和特殊性,法律可以采用約定或法定寬限期限的辦法對電子承諾給與特殊的待遇:承諾到達相對人時暫不生效,在經過雙方約定的寬限期后承諾始生效。在雙方沒有約定的情況下,也可以由法律直接規定一個合理寬限期限。
(三)“承諾”生效的時間、地點問題
傳統意義上承諾的生效時間,英美法采取投郵生效原則,但需要的是,根據英美法學者的解釋,投郵主義的承諾只適用于郵寄承諾及以電報承諾兩種方式。倘雙方以電話、傳真等即時同步傳遞要約或承諾時,則承諾人之承諾必須清楚地傳到要約人的手中,否則不生承諾之效。 大陸法系對承諾的生效采用的是“到達主義”,承諾的通知必須于其到達相對人時才生效,合同亦于此時才成立。因而綜合兩種學派觀點,最為科學的電子承諾生效的時間點,應以“到達主義”為主。
電子商務合同的訂立是在不同地點的計算機系統內完成的,但由于電子數據可在任何地點發出,如果采用英美法系的“郵箱規則”,會使合同成立的地點具有很大的不確定性,不利于發生訴訟時管轄法院與法律的選擇。大陸法系的“到達主義”則可以在很大程度上避免這一缺陷。
(四)電子商務合同的締約過失責任問題
隨著計算機網絡的普及應用,商務合同的締約過失責任也出現了新問題。傳統理論中規定了締約過失責任的損害賠償問題,如我國《合同法》第42、43條規定:“當事人在訂立合同過程中有下列情形之一,給對方造成損失的,應當承擔損害賠償責任:(一)假借訂立合同,惡意進行磋商;(二)故意隱瞞與訂立合同有關的重要事實或者提供虛假情況;(三)有其他違背誠實信用原則的行為。當事人在訂立合同過程中知悉的商業秘密,無論合同是否成立,不得泄露或者不正當地使用。泄露或者不正當地使用該商業秘密給對方造成損失的,應當承擔損害賠償責任。”
但電子商務活動中的締約責任有其特殊性。這種特殊性表現在:一是由于合同訂立過程必須由第三人(網絡經營者)的介入,二是網絡安全與商業秘密的泄露問題。故合同締約無效或不成立,可能由當事人違背誠實信用原則、通訊失誤或網絡安全等問題造成。
此外,在電子數據的傳輸過程中,當事人的有關信息也可能被竊取、泄露或者刪除、篡改等。但由于這些原因造成的合同無效或撤銷,尚無專門的網絡安全立法規定,故在加強技術手段保障的同時,也應當彌補這一領域的立法缺陷。
四、相關立法比較及應對建議
對于承諾的生效時間,我國采納的是大陸法系的做法。由于利用edi的方式仍然有一定間隔,如到達文件箱后的保存需要一定時間,因此必須設定“到達主義”的例外。 如韓國《貿易處理促進法》第15條第2項規定,受要約方的信息在服務提供者的電腦文件箱里記錄后,“度過通常運行時所需的時間后”,被推定已到達。此即規定在到達服務提供者的電腦文件箱并記錄之前的危險,均由信息發送人負擔。
對于承諾撤銷的規定,建議通過立法規定,在意思自治的基礎上,當事人約定對電子承諾給予特別期限的寬恕,或這直接由法律規定合理的寬限期限,但應注意此期限應當比較短暫,有利于保障交易的安全性。
對于承諾表達新形式下的安全性問題,可賦予電子簽名與手書簽名同等的法律效力。如新加坡《電子交易法》規定:“如果一項法律規則要求簽名,或者規定某一文件未經簽名會產生特定的法律后果,則采用電子簽名的形式滿足該法律規則。”同時,也可借助指紋、聲紋、dna比對辨認等技術,加強電子簽名的安全性,確認當事人的身份。
對于電子商務合同締結過程中數據泄漏、刪除、篡改等問題,一方面可采取技術措施,如防火墻保護、口令輸入、生物碼指紋輸入技術等進行監管,另一方面從法律角度,可借鑒國際商會制訂的《電傳交換貿易數據統一行為守則》的規定:“傳送電文的中介人保證,對中轉傳遞的電文不得作未經授權的改動,并保證不得將其內容透露給未經授權的任何人。”
第3篇:電子合同的安全性范文
[關鍵詞]電子商務安全網絡安全商務安全
2003年對中國來說是個多事之秋,先是SARS肆虐后接高溫威脅。但對電子商務來說,卻未必不是好事:更多的企業、個人及其他各種組織,甚至包括政府都在積極地推動電子商務的發展,越來越多的人投入到電子商務中去。電子商務是指發生在開放網絡上的商務活動,現在主要是指在Internet上完成的電子商務。
Intenet所具有的開放性是電子商務方便快捷、廣泛傳播的基礎,而開放性本身又會使網上交易面臨種種危險。一個真正的電子商務系統并非單純意味著一個商家和用戶之間開展交易的界面,而應該是利用Web技術使Web站點與公司的后端數據庫系統相連接,向客戶提供有關產品的庫存、發貨情況以及賬款狀況的實時信息,從而實現在電子時空中完成現實生活中的交易活動。這種新的完整的電子商務系統可以將內部網與Internet連接,使小到本企業的商業機密、商務活動的正常運轉,大至國家的政治、經濟機密都將面臨網上黑客與病毒的嚴峻考驗。因此,安全性始終是電子商務的核心和關鍵問題。
電子商務的安全問題,總的來說分為二部分:一是網絡安全,二是商務安全。計算機網絡安全的內容包括:計算機網絡設備安全,計算機網絡系統安全,數據庫安全,工作人員和環境等。其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡自身的安全性為目標。商務安全則緊緊圍繞傳統商務在Internet上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性,完整性,可鑒別性,不可偽造性和不可依賴性。
一、網絡安全問題
一般來說,計算機網絡安全問題是計算機系統本身存在的漏洞和其他人為因素構成了計算機網絡的潛在威脅。一方面,計算機系統硬件和通信設施極易遭受自然環境的影響(如溫度、濕度、電磁場等)以及自然災害和人為(包括故意破壞和非故意破壞)的物理破壞;另一方面計算機內的軟件資源和數據易受到非法的竊取、復制、篡改和毀壞等攻擊;同時計算機系統的硬件、軟件的自然損耗等同樣會影響系統的正常工作,造成計算機網絡系統內信息的損壞、丟失和安全事故。
二、計算機網絡安全體系
一個全方位的計算機網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,并增加了審核信息的數量,利用這些審核信息可以跟蹤入侵者。
在實施網絡安全防范措施時,首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;其次要用各種系統漏洞檢測軟件定期對網絡系統進行掃描分析,找出可能存在的安全隱患,并及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火墻,加強授權管理和認證;利用RAID5等數據存儲技術加強數據備份和恢復措施。
對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網絡上傳輸的敏感信息要進行強度的數據加密;安裝防病毒軟件,加強內部網的整體防病毒措施;建立詳細的安全審計日志,以便檢測并跟蹤入侵攻擊等。
網絡安全技術是伴隨著網絡的誕生而出現的,但直到80年代末才引起關注,90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起了各國計算機安全界的高度重視,計算機網絡安全技術也因此出現了日新月異的變化。安全核心系統、VPN安全隧道、身份認證、網絡底層數據加密和網絡入侵主動監測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網絡的整體安全性。安全核心系統在實現一個完整或較完整的安全體系的同時也能與傳統網絡協議保持一致。它以密碼核心系統為基礎,支持不同類型的安全硬件產品,屏蔽安全硬件以變化對上層應用的影響,實現多種網絡安全協議,并在此之上提供各種安全的計算機網絡應用。
互聯網已經日漸融入到人類社會的各個方面中,網絡防護與網絡攻擊之間的斗爭也將更加激烈。這就對網絡安全技術提出了更高的要求。未來的網絡安全技術將會涉及到計算機網絡的各個層次中,但圍繞電子商務安全的防護技術將在未來的幾年中成為重點,如身份認證,授權檢查,數據安全,通信安全等將對電子商務安全產生決定性影響。
三、商務安全要求
作為一個成功的電子商務系統,首先要消除客戶對交易過程中安全問題的擔心才能夠吸引用戶通過WEB購買產品和服務。使用者擔心在網絡上傳輸的信用卡及個人資料被截取,或者是不幸遇到“黑店”,信用卡資料被不正當運用;而特約商店也擔心收到的是被盜用的信用卡號碼,或是交易不認賬,還有可能因網絡不穩定或是應用軟件設計不良導致被黑客侵入所引發的損失。由于在消費者、特約商店甚至與金融單位之間,權責關系還未徹底理清,以及每一家電子商場或商店的支付系統所使用的安全控管都不盡相同,于是造成使用者有無所適從的感覺,因擔憂而猶豫不前。因些,電子商務順利開展的核心和關鍵問題是保證交易的安全性,這是網上交易的基礎,也是電子商務技術的難點。
用戶對于安全的需求主要包括以下幾下方面:
1.信息的保密性。交易中的商務信息均有保密的要求。如信用卡的賬號和用戶被人知悉,就可能被盜用;定貨和付款信息被競爭對手獲悉,就可能喪失商機。因此在電子商務中的信息一般都有加密的要求。
2.交易者身份的確定性。網上交易的雙方很可能素昧平生,相隔千里。因此,要使交易能夠成功,首先要想辦法確認對方的身份。對商家而言,要考慮客戶端是否是騙子,而客戶也會擔心網上的商店是否是黑店。因此,能方便而可靠地確認對方身份是交易的前提。
3.交易的不可否認性。交易一旦達成,是不能被否認的,否則必然會損害一方的利益。因此電子交易過程中通信的各個環節都必須是不可否認的。主要包括:源點不可否認:信息發送者事后無法否認其發送了信息。接收不可否認:信息接收方無法否認其收到了信息。回執不可否認:發送責任回執的各個環節均無法推脫其應負的責任。
4.交易內容的完整性。交易的文件是不可以被修改的,否則必然會損害交易的嚴肅性和公平性。
5.訪問控制。不同訪問用戶在一個交易系統中的身份和職能是不同的,任何合法用戶只能訪問系統中授權和指定的資源,非法用戶將拒絕訪問系統資源。
四、電子商務安全交易標準
近年來,針對電子交易安全的要求,IT業界與金融行業一起,推出不少有效的安全交易標準和技術。主要的協議標準有:
1.安全超文本傳輸協議(S—HTTP):依靠對密鑰的加密,保障Web站點間的交易信息傳輸的安全性。
2.安全套接層協議(SSL):由Netscape公司提出的安全交易協議,提供加密、認證服務和報文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器,以完成需要的安全交易操作。
3.安全交易技術協議(STT,SecureTransactionTechnology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft在InternetExplorer中采用這一技術。
4.安全電子交易協議(SET,SecureElectronicTransaction):1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標準SET公告,并于1997年5月底了SETSpecificationVersion1.0,它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。SET2.0預計今年,它增加了一些附加的交易要求。這個版本是向后兼容的,符合SET1.0的軟件并不必要跟著升級,除非它需要新的交易要求。SET規范明確的主要目標是保障付款安全,確定應用之互通性,并使全球市場接受。
所有這些安全交易標準中,SET標準以推廣利用信用卡支付網上交易,而廣受各界矚目,它將成為網上交易安全通信協議的工業標準,有望進一步推動Internet電子商務市場。
五、商務安全的關鍵CA認證
怎樣解決電子商務安全問題呢?國際通行的做法是采用CA安全認證系統。CA是CertificateAuthority的縮寫,是證書授權的意思。在電子商務系統中,所有實體的證書都是由證書授權中心即CA中心分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA機構應包括兩大部門:一是審核授權部門,它負責對證書申請者進行資格審查,決定是否同意給該申請者發放證書,并承擔因審核錯誤引起的一切后果,因此它應由能夠承擔這些責任的機構擔任;另一個是證書操作部門,負責為已授權的申請者制作、發放和管理證書,并承擔因操作運營所產生的一切后果,包括失密和為沒有獲得授權者發放證書等,它可以由審核授權部門自己擔任,也可委托給第三方擔任。
CA體系主要解決幾大問題:1.解決網絡身份證的認證以保證交易各方身份是真實的;2.解決數據傳輸的安全性以保證在網絡中流動的數據沒有受到破壞或篡改;3.解決交易的不可抵賴性以保證對方在網上說的話是真實的。
需要注意的是,CA認證中心并不是安全機構,而是一個發放”身份證”的機構,相當于身份的”公證處”。因此,企業開展電子商務不僅要依托于CA認證機構,還需要一個專業機構作為外援來解決配置什么安全產品、怎樣設置安全策略等問題。外援的最合適人選當然非那些提供信息安全軟硬件產品的廠商莫屬了。好的IT廠商,會讓用戶在部署安全策略時少走許多彎路。在選擇外援時,用戶為了節省成本,避免損失,應該把握幾個基本原則:1.要知道自己究竟需要什么;2.要了解廠商的信譽;3.要了解廠商推薦的安全產品;4.用戶要有一雙”火眼金睛”,對項目的實施效果能夠正確加以評估。有了這些基本的安全思路,用戶可以少走許多彎路。
六、相應法律法規
電子商務要健康有序地發展,就像傳統商務一樣,也必須有相應的法律法規作后盾。商務過程中不可避免地會產生一些矛盾,電子商務也一樣。在電子商務中,合同的意義和作用沒有發生改變,但其形式卻發生了極大的變化,1.訂立合同的雙方或多方是互不見面的。所有的買方和賣方在虛擬市場上運作,其信用依靠密碼的辨認或認證機構的認證。2.傳統合同的口頭形式在貿易上常常表現為店堂交易,并將商家所開具的發票作為合同的依據。而在電子商務中標的額較小、關系簡單的交易沒有具體的合同形式,表現為直接通過網絡訂購、付款,例如利用網絡直接購買軟件。3.表示合同生效的傳統簽字蓋章方式被數字簽名所代替。
電子商務合同形式的變化,對于世界各國都帶來了一系列法律新問題。電子商務作為一種新的貿易形式,與現存的合同法發生矛盾是非常容易理解的事情。但對于法律法規來說,就有一個怎樣修改并發展現存合同法,以適應新的貿易形式的問題。
小結
在計算機互聯網絡上實現的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統在保證其計算機網絡硬件平臺和系統軟件平臺安全的基礎上,應該還具備以下特點:強大的加密保證;使用者和數據的識別和鑒別;存儲和加密數據的保密;連網交易和支付的可靠;方便的密鑰管理;數據的完整、防止抵賴。電子商務對計算機網絡安全與商務安全的雙重要求,使電子商務安全的復雜程度比大多數計算機網絡更高,因此電子商務安全應作為安全工程,而不是解決方案來實施。
參考文獻:
[1]《電子商務基礎》尚建成主編高等教育出版社出版2000.9
第4篇:電子合同的安全性范文
關鍵詞:電子商務 安全 網上交易
中圖分類號:F626.5 文獻標志碼:A文章編號:1673-291X(2011)26-0279-06
一、電子商務安全的基本理論
(一)電子商務的概念
電子商務出現于20世紀90年代,發展的時間并不長,但與傳統商務相比,電子商務具有驚人的發展速度。CNN公布的資料表明,1999年度全球電子商務銷售額突破1 400億美元。但是,究竟什么是電子商務呢?實際上,迄今為止,電子商務還沒有一個被廣泛接受的概念。
世界貿易組織(WTO)給電子商務下的定義為:電子商務是指以電子方式進行的商品和服務之生產、分配、市場營銷、銷售或交付。
經濟合作發展組織(OECD)認為:電子商務是指商業交易,它包括組織與個人在基于文字、聲音、可視化圖像等在內的數字化數據傳輸與處理方面的商業活動。
世界各國對電子商務的理解也不盡相同。盡管電子商務的定義在內容上各有側重,但是我認為電子商務的內涵一般應至少包括下列三方面內容:
(1)使用電子工具,借助互聯網傳輸信息。
(2)在公開環境下交易。
(3)依靠一定的技術規范和技術標準,利用數據化的信息來進行交易。
電子商務使用的網絡類型主要有三種形式:EDI網絡、INTRANET網絡和INTERNET網絡。由于EDI是專線網絡,而INTRANET是企業內部網,其安全性較好,對傳統法律規范體系的沖擊相對于INTERNET要小的多,因而本文主要討論的電子商務主要是指借助于INTERNET網絡的電子商務。
(二)電子商務的安全的內容及要求
電子商務作為一種新的經濟交易方式,它只是在表現形式上與傳統商業不同,但是這并沒有改變其商業屬性,這就要求電子商務的運作必須遵循商業活動的一般規律,否則,電子商務是無法發展的。
安全與效率,是一切經濟交易必須考慮的兩個問題。電子商務的存在與發展也必須滿足這兩個要求。對于電子商務而言,其高效性已經得到了人們充分的認可。但是,安全性呢?電子商務作為一種新生事物,世界各國都尚未形成成熟的安全運營模式。如何在網絡環境下,構建與傳統法律價值接近的規則體系,已經越來越為人們所關注。
從傳統商業與電子商務的不同特點來看,要滿足電子商務的安全性要求,至少要有下面幾個問題需要解決。
1.交易前交易雙方身份的認證問題。電子商務是建立在互聯網絡平臺上的虛擬空間中的商務活動,交易的當事人可能處在不同的國家,他們并不直接見面,雙方只能通過數據、符號、信號等進行判斷、選擇,具體的商業行為也依靠電子信號和數據的交流,交易的當事人再也無法用傳統商務中的方法來保障交易的安全。
2.交易中電子合同的法律效力問題以及完整性保密性問題。在傳統國際貿易法中,合同形式要求為書面,而電子商務中的合同是電子合同,與傳統的書面形式存在很大的不同,其法律效力如何取決于法律的有關規定。而且,由于電子商務所依賴的互聯網平臺本身具有開放性的特點,交易雙方的數據如何避免被他人截取和篡改,以保證其完整性和保密性,這都是電子商務發展必須面對和解決的問題。
3.交易后電子記錄的證據力問題。在英美法系,傳聞證據規則限制了電子記錄的證據力。在我國,訴訟法中并未對電子記錄的證據力作出明確規定,甚至也沒有將其單列出來作為證據的一種。
上述這些問題,已經對傳統法律制度造成了沖擊,也是實現電子商務安全所必須解決的問題。筆者將針對這些問題,從技術安全、組織安全、法律安全三個角度,對電子商務的安全運營問題進行解析。
二、電子商務安全性的現狀及存在的問題
(一)電子商務安全的現狀
1.基礎技術相對薄弱
國外有關電子商務的安全技術,其結構或加密算法等都不錯,但由于受到本國密碼政策的限制,公開的算法對于他們來說幾乎不能保密了,潛在安全隱患極大。比較遺憾的是我國至今還沒有自己研發成功的較為成熟的算法。
2.體系結構不完整
電子商務安全以前大都擔當著“救火隊”的角色,頭痛醫頭,腳痛醫腳。這種“治標不治本”的做法下,問題總是層出不窮。近年來,人們已經開始著手從體系結構來解決問題,應當說在理論上已取得了明顯的進展,但到實踐運用還需要更大的努力。
3.支持產品不過硬
目前,市場上有關電子商務安全的產品數量不少,但真正通過認證的相當少。主要是因為不少安全措施是從網上“移植”來的。另外,不少電子商務安全技術的廠商對網絡技術很熟悉,但對安全技術普遍了解得不多,很難開發出真正實用的、足夠的安全技術和產品。目前,構成我國信息基礎設施的網絡、硬件、軟件等產品幾乎完全建立在以美國為首的少數幾個發達國家的核心信息技術之上。
4.多種“威脅”紛雜交織、頻頻發生
電子商務面臨的安全威脅主要來源于三個方面:一是非人為、自然力造成的數據丟失、設備失效、線路阻斷;二是人為但屬于操作人員無意的失誤造成的數據丟失;三是來自外部和內部人員的惡意攻擊和侵入。最后一種是當前電子商務所面臨的最大威脅,極大地影響了電子商務的順利發展。因此,它是電子商務安全對策最需要解決的問題。
“黑客”攻擊電子商務系統的手段可以大致歸納為以下5種:
(1)中斷:采取破壞硬件、線路或文件系統等,攻擊系統的可用性。
(2)竊取:采取搭線、電磁竊取和分析業務流量等獲取有用情報,攻擊系統的機密性。
(3)篡改:結合其他手段修改秘密文件或核心內容,攻擊內容完整性。
(4)偽造:采取偽造假身份注入系統、假冒合法人接入系統、破壞消息的接受和發送,攻擊系統的真實性。
(5)轟炸:采取施放電子郵件炸彈等,攻擊系統的健壯性。
(二)電子商務安全的問題
1.網絡的安全性問題
(1)利用IP欺騙進行攻擊
黑客偽造LAN主機的IP地址,并根據這個偽造的地址進行不正當的存取。他先使被信任的主機喪失工作能力,同時采用目標主機發出的TCP序列號,猜測出他的數據序列號,然后偽裝成被信任的主機,同時建立起與目標主機基于地址經驗的應用連接。如果成功,黑客可以進行非授權操作,偷盜、篡改信息。
(2)捕獲用戶的姓名和口令
黑客通過軟件程序跟蹤檢測軟件,可檢測到用戶的登錄名、密碼,在獲得用戶賬戶的讀寫權之后,可以對其內容胡亂加以修改,毀壞數據,甚至輸入病毒,使整個數據庫陷于癱瘓。
(3)使用“拒絕服務”
黑客發送大量的“請求服務”指令,使得WEB服務器或路由器過載而停止服務,使網絡處于癱瘓的狀態。
(4)非法竊聽
黑客通過搭線竊聽,截收線路上傳輸的信息,或者彩電磁竊聽,截收無線電傳輸的信息,以進行敲詐等非法活動。
(5)網絡協議安全性問題
2.交易中電子合同的法律效力問題以及完整性保密問題
在傳統國際貿易法中,合同形式要求為書面形式,而電子商務中的合同是電子合同,與傳統的書面形式存在很大的不同,其法律效力如何取決于法律的有關規定。而且,由于電子商務所依賴的互聯網平臺本身具有開放性的特點,交易雙方的數據如何避免被他人截取和篡改,以保證其完整性和保密性,這都是電子商務發展必須面對和解決的問題。
3.交易中的安全性問題
(1)網上詐騙
網上詐騙是世界上第二種最為常見的的投資詐騙形式,它有以下幾種形式:
①親和團體詐騙。利用團體內部成員對宗教、種族及專業性團體進行詐騙。
②不正當銷售行為詐騙。向不適宜的投資者推銷、欺騙性報價及市場操縱。
③電話推銷行為詐騙。利用“電話交易所”,強行兜售非法或欺騙性的投資產品。
④高技術產品服務詐騙。利用不合法的優惠條件來誤導高技術投資者,許諾高額利潤,對高技術產品的風險輕描淡寫。
⑤提供投資拍電影或其他娛樂產品行騙,欺騙投資者,對投資者隱瞞風險。
(2)冒名頂替
這是指盜用他人身份來謀取錢財。他們大多會使用一個假身份來向用戶販賣實際上并不存在的商品,借機獲得用戶的信用卡等信息,然后設法將用戶的錢取光。
(3)抵賴
在進行網上交易時,交易雙方不見面,互不知道對方的年齡、性別、住址、公司狀況,當交易的一方不守信用時,他可能對已經實施的操作進行抵賴,或誣陷對方實施了其實沒有實施的操作,這種抵賴往往都是惡意的。如“賣股票500股被改成5 000股,請賠償損失”,其實,對方可能沒改動任何數字。
三、改善電子商務安全性問題的技術措施及建議
(一)利用電子商務安全技術改善電子商務安全
1.采用包過濾路由器
使用包過濾路由器(Router)除了可以完成不同網段間的尋址外,還可以濾除不受歡迎的一些主機的地址和服務。因為INTERNET/INTRANET的基礎協議是TCP/IP協議。網絡中的每臺機器都有一個唯一的IP地址,通過該地址可以訪問網絡中的任何一臺機器。除此之外,通信雙方必須有一致的協議(如FTP、HTTP、Gopher、Telnet等)才能彼此理解所傳送的數據包,這些協議是用機器的端口來標識的,而相應的服務也用端口來表示(如Gopher的端口為70、WWW的端口為80、FTP的端口為20或21),這樣,包過濾路由器就通過IP地址和端口地址以及允許、禁止兩種狀態來控制網絡對某個特定主機或服務的訪問。
2.防火墻技術
防火墻是近年來發展的最重要的安全技術,所謂防火墻就是在內部網與外部網之間的界面上構造一個保護層并強制所有的連接都必須進過此保護層在進行檢查和連接。只有被授權的通信才能通過此保護層從而保護內部網資源免遭非法入侵。它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡即被保護網絡。電子商務中的防火墻主要是為了防止黑客利用不安全的服務對傳輸數據和信息進行攻擊,阻止未授權的用戶對信息資源的非法訪問,甚至是對網絡實施檢查,決定網絡之間的通信權限,監視網絡的進行狀態。
防火墻作為最成熟、最早產品化的網絡安全機制,其最初的設計就是防范外部攻擊,改進的防火墻技術更可有效地控制內部和病毒的破壞。在設計防火墻時必須考慮防火墻的姿態、機構的整體安全策略、費用、基本構件和拓撲結構以及維護和管理方案。所有的防火墻設計都要遵照兩條基本原則:未被允許的必須禁止,未被禁止的均允許。另外,在選擇防火墻的使用時,也要考慮諸多原則,包括網絡結構、業務應用系統需求、用戶及通信流量規模方面的需求以及可靠性、可用性和易用性等方面的需求。
3.采用防火墻體系
該技術運行于OSI的應用層,因此具有應用層的全部信息。由于防火墻的地位十分重要,所以一般采用兩級的安全機制,即第一級由包過濾路由器承擔,第二級由防火墻承擔。帶有兩級防線的防火墻主要有以下幾種形式:
(1)單堡壘主機、單路由器、一層網絡的隔離形式
這種配置的特點是堡壘主機配兩個網絡接口,外部網絡接口接受來自包過濾路由器的數據,數據必須經過包過濾路由器的過濾規則才能轉發給堡壘主機,由于堡壘主機與包過濾路由器之間還有一個網絡,外界對堡壘主機的非法侵入將更加困難。
(2)分級管理的雙堡壘主機形式
所謂分級管理,是指在第一個堡壘主機與包過濾路由器之間的網絡中接入一部分機器,將常用的不需保密的低保密級的數據放在此層,而把保密級較高的數據放在第二級堡壘主機之后,這種配置除具有原單層主機的包過濾及時和堡壘主機的優勢外,當包過濾機制和第一級堡壘主機均被攻破時,由于第二層堡壘主機采用不同的安全策略,不會造成對堡壘主機的連續突破,從而保證了內部網絡的安全。目前,這種方案是較高級別的安全方案。
4.采用虛擬專用網(VPN)技術
VPN是用于Internet交易的一種專用網絡,它可以在兩個系統之間建立安全的隧道。在VPN中,雙方的數據通信量要大得多,而且通信的雙方彼此都很熟悉。這就可以使用復雜的專用加密和認證技術,只要通信的雙方默認即可。撥號VPN使用隧道技術使遠程訪問服務器把用戶數據打包到IP信息包中,這些信息通過電信服務商的網絡進行傳遞,在Internet中要穿過不同的網絡,最后到達隧道終點。然后拆數據包,轉換成最初的形式。隧道技術使用點對點通信協議代替了交換連接,通過路由網絡來連接路由地址,這代替了電話交換網絡使用的電話號碼連接,允許授權移動用戶或已授權的用戶在任何時間任何地點訪問內企業網絡。
(二)網上交易中安全問題的解決方法
1.數字認證
數字認證是一種新興的安全性解決方法。隨著現代網絡技術的發展,基礎設施的改善,多媒體技術運用的進一步普及,數字認證方法正被越來越多地用于網絡信息的安全傳輸中。在發送文件時,或在交易信息處理的過程中,通過把影響、聲音等各種證明發送者身份的數據傳送給接收端,可大大加強信息的可靠性,這包括電子數字簽名、電子信封、電子證書、以數字方式簽署和電子付款表格等,這種接收方能確認發送者的真實身份和確保交易信息不被篡改。
2.數據加密技術
數據加密技術是電子商務的最基本安全措施。目前技術條件下,通常加密技術分為對稱加密和非對稱加密兩大類。
(1)對稱密鑰加密(Private Key)
采用相同的加密算法,并只交換共享的專用密鑰(加密和解密都使用相同的密鑰)。如果進行通信的交易各方能夠確保專用密鑰交換階段未曾發生泄露,則可以通過對稱加密方法加密信息,及隨報文發送報文摘要和報文散列值,來保證報文的機密性和完整性。密鑰安全交換是關系到對稱加密有效性的核心環節。
(2)非對稱密鑰加密
不同于對稱加密,非對稱加密的密鑰被分解為:公開密鑰和私有密鑰。密鑰對生成后,公開密鑰以非保密方式對外公開,只對應于生成該密鑰的者,私有密鑰則保存在密鑰方手里。任何得到公開密鑰的用戶都可以使用該密鑰加密信息發送給該公開密鑰的者,而者得到加密信息后,使用與公開密鑰相應對的私有密鑰進行解密。目前,常用的非對稱加密算法是有RSA算法。
3.病毒防范技術
電子商務系統一方面提高交易效率,另一方面也為計算機病毒的傳播創造了條件。病毒對網絡交易的順利進行和交易數據的妥善保存造成極大的威脅。計算機病毒是指隱藏在計算機數據源中,利用系統數據源進行繁殖并生成影響計算機正常運行且能通過系統數據共享途徑進行傳染的一組計算機指令或程序代碼,主要通過軟盤、硬盤、優盤和網絡渠道傳播,可能導致系統癱瘓甚至完全崩潰的嚴重后果。從事網上交易的企業和個人都應當注重病毒防范技術,排除病毒的干擾。因此,防范計算機病毒,避免計算機系統遭受病毒的侵襲,及時清除計算機病毒將病毒危害降低到最低程度是反病毒技術刻不容緩的任務。一般我們要給自己的計算機安裝防病毒軟件,認真執行病毒定期清理制度,并設置控制權限,通過建立系統保護機制,來預防、檢測和消除病毒,謹慎打開陌生地址的電子郵件,還要高度警惕網絡陷阱。
(三)電子商務安全技術的實現
1.IDEA數據加密算法
IDEA數據加密算法是由中國學者來學嘉博士和著名的密碼專家James L. Massey于1990年聯合提出的。它的明文和密文都是64比特,但密鑰成為128比特。IDEA是作為迭代的分組密碼實現的,使用128位的密鑰和8個循環。這比DES提供了更多的安全性,但是在選擇用于IDEA的密鑰時,應該排除哪些稱為“弱密鑰”的密鑰。DES只有四個弱密鑰和12個次弱密鑰,而IDEA中的弱密鑰數相當可觀,有2的51次方個。但是,如果密鑰的總數非常大,達到2的128次方個,那么仍有2的77次方個密鑰可供選擇。IDEA被認為是極為安全的。使用128位的密鑰,蠻力攻擊中需要進行的測試次數與DES相比會明顯增大,甚至允許對弱密鑰測試。而且,它本身也顯示了它尤其能抵抗專業形式的分析性攻擊。
2.用OPEN SSL實現CA認證
(1)SSL(Secure Socket Layer)協議及其主要技術
1996年由美國Netscape公司開發和倡導的SSL協議,它是目前安全電子商務交易中使用最多的協議之一,它被許多世界知名廠商的Intranet和Internet網絡產品所支持。
SSL應用在Client和Server間安全的WebHTTP通信,UEL以開始替代http,并使用443端口進行通信。它主要使用加密機制、數字簽名、數字摘要、身份認證、CA技術提供Client和Server之間的秘密性、完整性、認證性三種基本的安全服務。
(2)用Open SSL工具實現安全認證
目前,國外主流的電子商務安全協議在核心密碼上都有出口限制,只允許40位或56位的RC4和512位的RSA算法出口等。這樣的算法強度引進后無法滿足我國電子商務實際應用當中的安全需求。但是,完全自主定義和開發一套安全標準體系不是一蹴而就的事情,需要人、財、物的長期投入。
在SSL未提供源代碼的情況下,由澳大利亞軟件工程師Eric Young與Tim Hudson聯合開發的OPENSSL恰好解決了這一難題。它不僅能實現SSL的所有功能,支持目前所有基于SSL V2/V3和TSL V1的應用軟件,而且由于源代碼公開和提供了各種加密算法,完全可以滿足國外安全協議引進后的本地化改造需求。
下面就用OPENSSL提供的強大功能在FreeBSD平臺下進行手工簽署證書的過程。
①先建立一個CA的證書,首先為CA創建一個RSA私用密鑰:
# OpenSLL genrsa -des3 -out ca.key 1024
該指令中genrsa表示生成RSA私有密鑰文件。
-des3表示用DES3加密該文件。
-out ca.key表示生成文件ca.key。
1024是我們的RSA key的長度。
生成server.key的時候會要你輸入一個密碼,這個密鑰用來保護你的ca.key文件,這樣即使人家偷走你的ca.key文件,也打不開。拿不到你的私有密鑰。
運行該指令后系統提示輸入PEM pass phrase,也就是ca.key文件的加密密碼,我們設為12345678。
②用下列命令查看它的內容:
# OpenSSL.rsa -nout -text -in ca.key
該指令中rsa表示對RSA私有密鑰的處理。
-nout表示不打印出key的編碼版本信息。
-text表示打印出私有密鑰的各個組成部分。
-in ca.key表示對ca.key文件的處理。
對RSA算法進行分析可以知道,RSA的私有密鑰其實就是三個字,其中兩個是質數prime numbers。產生RSA私有密鑰的關鍵就是產生這兩個質數。還有一些其他的參數,引導著整個私有密鑰產生的過程。
③利用CA的RSA密鑰創建一個自簽署的CA證書
# OpenSSL req -new -x509 -days 365 -key ca.key -out ca.crt
該指令中req用來創建和處理CA證書,它還能夠建立自簽名證書,做Root CA。
-new產生一個新的CSR,他會要輸入創建證書請求CSR的一些必須的信息。
-x509將產生自簽名的證書,一般用來做測試用,或者自己做個Root CA用。
-days 365制定我們自己的CA給人家簽證書的有效期為365天。
-key ca.key指明我們的私有密鑰文件名為ca.key。
-out ca.crt指出輸出的文件名為ca.省略f
Enter PEM pass phrase:12345678
You are about to be asked to enter information that will be incorporated
Into your certificate request.
What you are about to enter is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank.
For some fields there will be a default value,
If you enter ,the field will be left blank.
……
Country Name (2 letter code) [AU]:CN (兩個字母的國家代號)
State or Province Name(full name)[Some-State]:JIANG SU (省份名稱)
Locality Name(eg,city)[]:ZHANGJIAGANG (城市名稱)
Organization Name(eg,company)[Internet Widgits Pry Ltd]:FAMILY NETWORK(公司名稱)
0rganizational Unit Name(eg,section)[]:HOME (部門名稱)
Common Name(eg,YOUR name)[]:TJL (你的姓名)
Email Address [ ]:TJL@WX88.NET (Email地址)
④用下列命令查看生成證書的內容:
# OpenSSL x509 -noout -text -in ca.crt
該指令中x509表示證書處理工具。
-noout表示不打印毫key的編碼版本信息。
-text表示以文本方式顯示內容。
-in Ca.crt表示對ca.crt文件進行處理
系統顯示證書內容為:
Certificate:
Data:
Version:3(Ox2)
Serial Number:0(OxO)
Signature Algorithm:md5WithRSAEncryption
Issuer:C=CN, ST=JIANG SU,L=ZHANGJIAGANG,O=FAMILY NETWORK,OU=HOME,CN=TJL/Emai1=TJL@WX88.NE
Validity
Not Before:Feb 24 14:49:27 2003 GMT
Not After:Feb 2l 14:49:27 2013 GMI
Subject:C=CN,ST=JIANG SU,L=ZHANGJIAGANG,O=FAMILY NETWORK,OU=HOME,CN=TJL/Email=
Subject Public Key Info:
Public Key Algorithm:rsaEncryption
RSA Public Key:(1024 bit)
ModulUS(1024 bit):
00:da:20:09:11:19:lf:12:fO:98:Oc:fc:9l:ac:3e:
......
22:el:ea:04:Of:dc:e9:bd:9f
Exponent:65537(Oxt0001)
X509v3 extensions:
X509v3 Subject Key Identifier:
03:BO:14:8C:5D:C6:F8:F4:BO:96:AO:CC:7C:8F:9B:00:BB:78:E6:A6
X509v3 Authority Key Identifier:
keyid:03:BO:14:8C:5D:C6:F8:F4:BO:96:AO:CC:7C:8F:9B:00:BB:78:E6:A6
DirName:/C=CN/ST=JIANG SU/L=ZHANGJIAGANG/0=FAMTLY
NETWORK/0U=HOME/CN=TJL/email=TJL@WX88.NET
serial:00
X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm:md5WithRSAEncryption
8d:e8:46:82:40:b4:18:a2:12:9f:7a:66:e5:fc:Oc:3f:77:5a:
......
04:13
從上面的輸出內容可以看出這個證書基本包含了X.509數字證書的內容,從發行者Issuer和接受者Subject的信息也可以看出是個自簽署的證書。
下面創建服務器證書簽署請求(使用指令和系統顯示信息基本和以上類似):
⑤首先為Apache創建一個RSA私用密鑰:
# OpenSSL genrsa -des3 -out server.key 1024
這里也要設定口令pass phrase,生成server.key文件。
⑥用下列命令查看它昀內容:
# OpenSSL rsa -noout -text -in server.key
⑦用server.key生成證書簽署請求CSR:
# OpenSSL req -new -key server.Key -out server.Csr
這里也要輸入一些請求證書的信息,和上面的內容類似。
⑧生成證書請求后,下面可以簽署證書了,需要用到Open SSL源代碼中的一個腳本sign.sh,簽署后就可以得到數字證書server.crt。
# sign.sh server.csr
⑨啟動安全Web服務
最后在apache服務器中進行ca認證沒置,拷貝server.crt和server.key到/usr/local/apache/conf
修改httpd.conf將下面的參數改為:
SSLCertificateFILE/usr/local/apache/conf/server.crt
SSLCertificateKeyFile/usr/local/apache/conf/server.key
可以啟動帶安全連接的Apache試一下了。
#/usr/local/apache/bin/apachectl startssl
提示輸入pass phrase(就是前面為服務器設置的口令)
⑩進行安全連接
通過另一臺電腦(IP地址為192.168.0.1)的IE瀏覽器與這臺Apache服務器(IP地址為192.168.0.2)連接并且選擇https協議,即:https://192.168.0.2:443。出現安全連接警告窗口,因為我的服務器證書是自己手工簽署的,不是經過真正的CA頒發的證書,是個無效證書,所以按確定后如現安全證書無效的警告窗口。按“是” 繼續,注意這里瀏覽器地址欄內輸入的是https而不是http,另外此時在狀態欄內出現了一把小鎖,這說明SSL協議超作用了,服務器和瀏覽器之間建立了一個安全連接,這樣我們使用開放源代碼的工具Open SSL來完成了電子商務的CA認證過程,同時這也只是使用現成的工具來完成的,在實際使用中還要分析它的源代碼,修改源代碼,來達到自己的安全需要。
(四)通過政府的效力加強我國電子商務的安全系數
1.對電子商務進行專門立法
電子商務是一個新生事物,很多方面不同于傳統商務,與傳統的法律規范體系也存在著諸多不相容之處,而且,傳統的法律規范體系中還有許多電子商務方面的空白。這一情況已經在實踐中引起了不少的問題。
我國的電子商務是近年才發展起來的,目前規范電子商務相關的法律法規極為有限。在法律的層次上只有1997年《中華人民共和國刑法》和1999年《中華人民共和國合同法》對相關問題作了簡單規定。例如,我國1997年修訂的《刑法》中增加了關于計算機犯罪的條文,1999年通過的《合同法》對電子合同的書面形式、生效時間地點等作了規定。但是,這種規定太過簡單,遠遠不能滿足電子商務發展的需要。例如,對于電子認證的效力、虛假電子認證等重要的問題,我國法律還沒有規定,這已經成為阻礙我國電子商務發展的重要問題。
因此,我國應大力加強電子商務法制化建設,制定專門的《電子商務法》,對電子商務當事人的權利義務、電子合同法律關系、電子簽名、電子認證、網上知識產權的保護、電子支付等問題進行專門規定,使之適應電子商務發展的需要。在刑法中,對電子商務領域的犯罪進行規定。從而在法律上,為電子商務提供一個良好的發展環境。
2.建設我國的電子商務認證機構體系
電子商務認證機構是電子商務中的重要部門,其擔負著維護電子交易安全的責任。因此,要完善我國的電子商務安全運營,必須建立我國的電子商務認證體系。
在目前存在的三種電子商務認證機構模式中,當事人自由約定的電子商務認證體系不適合我國的實際情況。我國電子商務剛剛發展起來,不完善的地方很多,很多普通的消費者對電子商務還不很了解,根本無法在自由約定時,提出對自己有利的條件。而且,在交易雙方的力量對比懸殊的情況下,弱勢一方很難通過談判來取得公平的結果。再進一步說,這種模式的認證結果通用性很差,不適合我國剛起步的電子商務的發展。
近年來,我國的電子商務認證機構的發展很快。1999年3月19日,中國人民銀行組織12家商業銀行共建金融認證中心系統;1999年8月,我國首套擁有自主知識產權的電子商務安全認證系統通過了國家密碼管理委員會和信息產業部組織的技術鑒定。但另一方面,我國的電子商務認證系統還遠不成熟,仍有許多需要完善的地方。我們必須對此給予充分的重視,以便為電子商務的安全發展提供組織保障。
3.大力推進電子簽名等技術的發展,從技術上為電子商務提供安全保障
電子商務的產生、發展是科技發展的結果,其安全運營也要依靠技術給予的保障。因此,為加強電子商務的安全性,我們必須大力推進科技的發展,使技術滿足電子商務的安全運營要求。在電子商務中廣泛使用的電子簽名,就涉及許多復雜的技術問題。為使電子簽名具有與傳統簽名相同的法律效力,我們必須使電子簽名具有像手寫簽名那樣的獨特性。這一問題的解決,需要技術發展才能實現。
目前,解決電子簽名效力的途徑主要有:
(1)修改法律或者進行法律解釋,使簽名涵蓋電子簽名。但對于何種電子簽名才具有法律效力,立法要兼顧技術中立、開放與安全,使之適應技術發展的需要。
(2)電子商務的當事人在合同中約定電子簽名方法及效力。
(3)依靠技術進步,這是最根本的方法。技術安全、成本低廉的電子簽名方式是電子商務安全的有力保障。
收稿日期:2011-07-05
作者簡介:路橋(1974-),男,遼寧新民人,碩士,講師,從事計算機應用與網絡經濟研究。
參考文獻:
[1] 張小兵.我國電子商務發展現狀及存在問題與對策[J].商業研究,2004,(2).
[2] 徐偉.電子商務網上支付的安全保障問題[D].合肥:合肥聯合大學,2008,3.
[3] 高媛,歐陽志明,石曉軍.電子商務[M].北京:企業管理出版社,2005.
[4] 包曉聞,張海堂.電子商務――21世紀世界商務發展的潮流[M].北京:經濟科學出版社,2008.
[5] 韓寶明.電子商務安全與支付[M].北京:人民郵電出版社,2009.
[6] 閆心麗.淺析電子商務安全[J].內蒙古電大學刊,2005,(5).
[7] 祁明.電子商務安全與保密[M].北京:高等教育出版社,2005.
Study on the electronic commerce safety
LU Qiao
(North-east finance and economy university,Dalian116023,China)
第5篇:電子合同的安全性范文
1996年6月,聯合國國際貿易法委員會(UnitedNationsCommissionInternationalTradeLaw,UNCITRAL)通過了電子商務示范法。該法律支持在電子商務方面國際商業合同的使用,其模型建立了批準和承認以電子手段形成合同的規則和標準,為電子合同實施的合同格式和管理設置了查錯規則,定義了有效的電子書寫和原始文件的特征,為了立法和商業目的提供了電子簽名的可接受性,支持在法庭和仲裁過程中提供了計算機證據,為電子商務的發展奠定了法律基礎。
UNCITRAL制定了一些原則用來指導管理全球電子商務合同的起草,如:
1.參與方應自由地在他們認為適合時簽訂他們之間的合同關系;
2.規則在技術上應保持中立(如:規則既不應要求也不應采用特殊技術),并且規則應著眼于未來發展(如:規則不應阻礙未來技術的使用或開發);
3.作為必要的或實際的要求現存的規則應被修改,而新的規則應被采納以支持電子技術的使用;
4.過程應包括高技術商業部門以及還未在網上運作的業務。
支付標準
支付是電子商務活動的核心,國際通行的網上支付工具和支付方式主要有銀行卡支付、電子現金、電子支票以及電子資金轉賬、微支付等。
1.智能卡支付標準(SET)
1996年2月1日MasterCard與Visa兩大國際信用卡組織與技術合作伙伴GTE、Netscape、IBM、TerisaSystems、Verisign、Microsoft、SAIC等一批跨國公司共同開發了安全電子交易規范(SecureElectronicTransaction,簡稱SET)。SET是一種應用于開放網絡環境下,以信用卡為基礎的安全電子支付系統的協議,它給出了一套電子交易的過程規范。通過SET這一套完備的安全電子交易協議可以實現電子商務交易中的加密、認證機制、密鑰管理機制等,保證在開放網絡上使用信用卡進行在線購物的安全。由于SET提供商家和收單銀行的認證,確保了交易數據的安全、完整可靠和交易的不可抵賴性,特別是具有保護消費者信用卡號不暴露給商家等優點,因此它成為目前公認的信用卡/借記卡的網上交易的國際標準。
SET協議采用了對稱密鑰和非對稱密鑰體制,把對稱密鑰的快速、低成本和非對稱密鑰的有效性結合在一起,以保護在開放網絡上傳輸的個人信息,保證交易信息的隱蔽性。其重點是如何確保商家和消費者的身份和行為的認證和不可抵賴性,其理論基礎是著名的非否認協議(Non-repudiation),其采用的核心技術包括X。509電子證書標準與數字簽名技術(DigitalSignature)、報文摘要、數字信封、雙重簽名等技術。如使用數字證書對交易各方的合法性進行驗證;使用數字簽名技術確保數據完整性和不可否認;使用雙重簽名技術對SET交易過程中消費者的支付信息和定單信息分別簽名,使得商家看不到支付信息,只能對用戶的訂單信息解密,而金融機構只能對支付和賬戶信息解密,充分保證消費者的賬戶和定貨信息的安全性。SET通過制定標準和采用各種技術手段,解決了一直困擾電子商務發展的安全問題,包括購物與支付信息的保密性、交易支付完整性、身份認證和不可抵賴性,在電子交易環節上提供了更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。
雖然早在1997年就推出了SET1.0版,但它的推廣應用較緩慢,主要原因是由于昂貴、互操作性差和難以實施,它提供了多層次的安全保障,復雜程度顯著增加;另一個原因是由于SSL的廣泛應用。此外,銀行的支付業務不光是卡支付業務,而SET支付方式適應于卡支付,對其他支付方式是有所限制的。而且,SET協議用以支持"BtoC"(businesstoconsumer)類型的電子商務模式,即消費者持卡在網上購物與交易的模式,而不能支持BtoB模式。
盡管有諸多缺陷,但SET已獲得IETF的認可,成為電子商務中最重要的協議。
典型的智能卡系統有CyberCash和FirstVirtualHolding等。SET協議可更好地保證智能卡在INTERNET環境下進行網絡直接交付。
2.電子現金支付協議
電子現金(e-cash或digitalcurrency)是以數字化形式存在的現金貨幣,具有多用途、靈活使用、匿名性、快速簡便的特點,無需直接與銀行連接便可使用,適用于小額交易。其主要好處是可以提高效率,方便用戶使用。目前電子現金一些只需要軟件,而另一些則需要新硬件--主要是智能卡,即主要有智能卡形式的支付卡或數字方式的現金文件。也可采用現金轉卡或采用Mondex卡轉卡的方式。其安全使用是一個重要的問題,包括限于合法人使用、避免重復使用等。不同類型的數字貨幣都有其自己的協議,用于消費者、銷售商和發行者之間交換金融申請。每個協議由后端服務器軟件--電子現金支付系統,和客戶端的"錢包"軟件執行。
電子現金支付已經有三種典型的實用系統開始使用,分別是:Mondex,Netcash,Digicash。
Mondex:歐洲使用的、以智能卡為電子錢包的電子現金支付系統,應用于多種用途,具有信息存儲、電子錢包、安全密碼鎖等功能,安全可靠。
Netcash:可記錄的匿名電子現金支付系統。主要特點是設置分級貨幣服務器來驗證和管理電子現金,其中電子交易的安全性得到保證。
DigiCash:無條件匿名電子現金支付系統。主要特點是通過數字記錄現金,集中控制和管理現金,是一種足夠安全的電子交易系統。
3.電子支票
電子支票(e-check或e-cheque)支付目前一般是通過專用網絡、設備、軟件及一套完整的用戶識別、標準報文、數據驗證等規范化協議完成數據傳輸,從而控制安全性。這種方式已經較為完善。電子支票支付現在發展的主要問題是今后將逐步過渡到公共互聯網絡上進行傳輸。電子資金轉賬(ElectronicFundTransfer,簡稱EFT)或網上銀行服務(InternetBanking)方式,是將傳統的銀行轉賬應用到公共網絡上進行的資金轉賬。一般在專用網絡上應用具有成熟的模式(例如SWIFT系統);公共網絡上的電子資金轉賬仍在實驗之中。目前大約80%的電子商務仍屬于貿易上的轉賬業務。
電子支票支付遵循金融服務技術聯盟(FSTC,FinancialServicesTechnologyConsortium)提的BIP(BankInternetPayment)標準(草案)。典型的電子支票系統有E-check、NetBill、NetCheque等。
4.微支付
"微支付"(micropayments)的特征是能夠處理任意小量的錢,適合于因特網上"不可觸摸(non-tangible)商品"的銷售。一方面,微支付要求商品的發送與支付要幾乎同時發生在因特網上;另一方面,商品銷售、處理與運輸的"瓶頸"為保持成本低廉設置了障礙。為保持每個交易的發送速度與低成本,目前有很多廠商在致力于發展別的協議以支持SET和SSL所不能支持的微支付方式,其中之一是微支付傳輸協議(MicroPaymentTransportProtocol,簡稱MPTP),該協議是由IETF制定的工作草案。
"微支付"的一個重要方面是其定義隨著對象而變化,有許多系統聲明其是"微支付",允許支付小于現有貨幣面額的數額。如IBM開發的"MicroPayments"、Compaq與Digital開發的"Millicent"、CyberCoin開發的"CyberCash"等。
聯合電子支付聯盟JEPI(JointElectronicPaymentInitiative):是由WorldWideWeb協會和CommerceNet領導的一個聯盟,目的是對支付協商過程進行標準化。在買主一方(客戶方),JEPI是WEB瀏覽器和wallet使用不同協議的接口,在賣主一方(服務器方),JEPI在網絡和傳輸層之間,將下層來的事務送給適當的傳輸和支付協議。
智能卡標準
智能卡是一種內部嵌入了集成電路的、信用卡大小的電子卡,具有儲存信息量大、數據保密性好、抗干擾能力強、儲存可靠、讀寫設備簡單、使用靈活、操作速度快、脫機工作能力強易于攜帶等特點。
智能卡大致分接觸式、非接觸式2種。它們又分別有存儲式、帶CPU式兩種。智能存儲器型卡中有硬件的邏輯保護,以密碼加密形式來保護其存儲內容不被非法更改;較先進些的存儲卡里面有讀寫的安全模塊做算法的加密認證等;CPU卡因運算速度和存儲容量的不同而不同;有的CPU卡里帶FPU,能加快數學算法的運行,如公開密鑰的運算等.非接觸式的同樣分為存儲式的和帶CPU式的,它主要應用于容量或認證比較快捷方便的地方,如公交、門禁控制等。
智能卡提供了一種簡便的方法,可用來存儲和解釋私人密鑰和證書,并且非常容易攜帶。智能卡可以配合SET或SSL使用。SET非常好地解決了智能卡與電子商務的結合,智能卡上存放的證書使持卡人的身份得到認證,并直接在每一次網上購物時簽上客戶的數字簽名。
1997年全球智能卡發行量達13億張;1998年達到16億張,增長率為23%;到2000年,發卡量預計將增至30億張。推動智能卡發展的主要領域是銀行金融界、電信業、交通業以及醫療保健和身份認證系統。其中,金融業的增長將尤為迅速,電子支付將使智能卡的發展推到一個新的高度。歐洲是智能卡最大的市場,但亞洲和美洲市場具有非常廣闊的前景。據不完全統計,至1998年,我國已發行IC卡約8000多萬張。據有關部門預測,至2000年,我國IC卡發卡量將在2億張以上。智能卡已在電信、交通、醫療、商業、旅游、公用事業等眾多領域中得到廣泛的應用,并將在電子商務領域得到更大的發展。
1.智能卡國際標準
(1)全球PC/SC計算機與智能卡聯盟
Bull、HP、IBM、Microsoft、Simens、Nixdof、Sun、Toshiba、Verifone和Gemplus組成了計算機與智能卡聯盟,制定計算機和智能卡連用標準.以達到通過一張智能卡,插入異地網絡計算機,即可通過因特網查詢本地資料或進行電子商務活動。
(2)EMV集成電路卡規范(EUROPAY-MASTERCARD-VISAIntegratedCircuitCardSpecifications)
該規范是基于ISO標準的規范,最早由VISA于1992年著手研制,此后VISA聯合EUROPAYT和MASTERCARD共同完成了該規范。1996年6月,EMV出版了EMV集成電路卡規范第三版,1998年5月對該版做了更新,該規范用附加的數據類型和編碼規則為金融服務企業擴展了ISO7816標準。。
第6篇:電子合同的安全性范文
作者:張靜 王淑敏 單位:許昌職業技術學院
由于銀行與這些單位之間可能存在某些不信任因素,因此,它們之間的互聯,為銀行網絡系統帶來了許多外單位的安全威脅,成為煤礦銷售電子支付安全的隱患。以上3方面安全威脅可能引發的結果有:惡意破壞數據、非法使用資源、數據篡改或竊取等。從技術層面講,煤礦銷售網上支付的安全性主要表現在對交易信息和支付信息的安全認證,加密保存、傳送,防止否認以及完整性控制等方面。煤礦銷售電子支付的安全風險限制了電子商務的發展,使得煤礦企業電子商務活動在過去相當長的一段時期內保持“網上訂購,網下交易”的狀態,停滯不前。雖然目前的煤礦銷售電子支付安全性有所保障,但是問題依然存在,依然是制約煤礦企業電子商務發展的主要障礙之一。
完善管理機制網絡安全并非單單靠技術手段來實現,管理安全才是它得以維系的保證。另外,煤礦企業電子商務交易系統需要人機的高度綜合。故對管理人員的管理是其中非常重要的環節。而管理安全包括國家法律法規的宣傳、銀行系統安全制度的制定和企業人員整體的網絡安全意識的提高。在這管理機制中必須有一套完整的制度來培養管理人員的敬業愛崗精神,這個培養宗旨貫穿在系統管理權限的分配與監督、管理人員的業務與道德水平的培養以及考核中。加強道德規范煤礦企業電子商務的交易非面對面的直接交易行為,比傳統交易更容易出現欺詐行為,道德的缺失嚴重影響著電子商務的安全。故要想煤礦企業電子商務得到健康長久的發展,就必須加強建立與完善社會道德規范,充分發揮道德的指引與約束作用。提供法律保障煤礦企業電子商務的安全單靠道德的規范是不夠的,還必須有法律的強制指引與規范。電子商務活動也屬于商品交易的一種,因此合法的電子商務活動的安全問題亦應當受法律保護,以保障數字簽名與電子合同之法律地位、判定電子合同是否可以修改和承認、保障電子合同的可實施性。提高防護技術(1)加強網絡安全強煤礦企業電子商網絡安全的加強可以通過加強訪問控制、網絡結構安全、網絡安全評估和安全檢測等途徑來實施。(2)增強信息鑒別能力數據的完整與真實也是煤礦企業網絡銷售系統的安全的重要部分,故必須增強信息鑒別能力,分辨數據是否完整、真實。數據在傳輸時有時會被非法篡改甚至竊取等,要保證數據完整、真實,就要采用信息鑒別技術,如安裝VPN設備、數據源身份認證等。當原始數據包輸入VPN設備時,它可先加密數據,再用HASH函數對其進行運算,并將產生的信息摘要同加密數據同時發到目的方的VPN加密設備。目的方的VPN加密設備又先解密已加密的數據包,再用HASH函數運算解密后的數據,然后將所產生信息摘要同所收到的信息摘要對比,若2個信息摘要完全相同,則表明所解密的數據的完整性沒有被破壞,是原始數據,否則就表明該數據已被非法篡改甚至竊取。另外,數據源身份認證也可以增強信息的鑒別能力。數據源身份認證主要通過數字簽名技術來實現。數字簽名是發送方用個人私鑰加密(簽名)信息再發給對方,對方要用發送方的公鑰對收到的信息進行解密,若能順利解密,則表明信息來源可信,否則不可信,此方法亦可防止抵賴。(3)安全認證煤礦企業網絡電子支付系統的安全肯定要依賴加密系統,加密就需要密鑰,而密鑰的產生、管理和頒發均存在安全隱患。發放密鑰往往是以證書的方式來實現,故就要解決證書的發送方同接收方怎樣確認對方的證書的真實性問題,引入第三方來發放此證書恰好能因應之。各銀行聯合構建一權威認證機構(CA認證中心),建立銀行系統的CA系統,借以實現此系統內證書的發交和煤礦銷售的安全交易。
開放的互聯網使得電子商務充滿風險,煤礦銷售電子支付系統的安全受到巨大威脅,不僅有來自互聯網的風險,還有來自銀行內部以銀行以外的企業和事業單位的風險。因此,提出了完善管理機制、加強道德規范、提供法律保障和提高防護技術等切實可行的措施,以確保電子商務活動的安全、順利地進行,促進煤礦企業電子商務行業的健康發展。
第7篇:電子合同的安全性范文
關鍵詞:農業機械;農副產品;加工信息;電子商務平臺
1電子商務在農業領域應用現狀分析
從當前農業信息網絡發展能夠看出,現代化技術對農業生產的影響較大,然而由于農村地區經濟發展緩慢,缺乏互聯網基礎設施,在一定程度上影響了電子商務的應用。農民無法更多地接觸互聯網,阻礙了電子商務平臺的發展。現階段,我國電子商務平臺缺乏完整體系,因此,極易出現不良事件,導致電子商務平臺存在安全隱患。立足于我國經濟發展現狀可知,農業機械屬于高投入交易活動,當存在網絡違法行為時,將極易影響電子商務的安全性,相應影響農業領域的發展。
2農業加工信息電子商務平臺的基本結構和功能
2.1系統結構體系
從該電子商務平臺框架能夠看出,核心數據服務器具有重要應用價值,并且會覆蓋整個平臺系統的網絡購物模塊和安全管理模塊。以上模塊能夠支持企業物流應用模式的發展。在應用物流系統期間,其配送模式主要為第三方物流公司,并且采用與郵政企業合作方式,確保該企業能夠在物流系統中發揮作用。
2.2平臺關鍵技術
在應用電子商務模式時,核心技術包括信息安全技術、數據挖掘技術、XML技術、JAVA技術等。JAVA技術屬于最核心技術,在加工信息電子商品平臺中應用該項技術,能夠展示出平臺短租性能擴展的功能。在需要對現有服務進行擴展時,優化應用服務器功能時,通過應用JAVA技術能夠提升平臺系統的擴展性和安全性。XML技術能夠通過搜素能力,全面優化電子商務平臺系統。在實際應用該商務平臺時,支付安全問題是存在的最大應用難題,當農業機械或者農副產品交易活動中存在支付安全隱患時,將會使農民承受較大的經濟損失。因此,為了維護平臺支付安全性,需要應用電子證書和數據簽名等方式。數據挖掘技術能夠對客戶瀏覽行為進行分析,準確定位商品銷售市場,對市場發展動態進行預測。信息安全技術能夠有效確保用戶電子支付的安全性,通過平臺中的支付功能模塊和安全集成認證模塊,能夠全面促進電子商務平臺的運行。當前,在電子商務平臺中,電子證書、數字時間戳和數據簽名屬于最常應用的信息安全方式。用戶在獲取認證授權證書之后,才能夠開展支付與交易活動。
2.3系統功能分析
通過該商務平臺能夠設備資源信息、市場交易信息等,確保其在農業機械和農副產品加工中的重要作用。還能夠促進地區與國際之間的交流,使我國農業機械和農產品逐漸走向國際。
2.3.1信息數據服務功能
應用該平臺的目的在于交流新技術和實用性技術。因此需要將農業機械和農產品加工作為數據庫核心,隨時關于農業方面的最新技術,商品信息和企業產品數據等。
2.3.2商品管理功能
該項功能能夠對商品流通進行管理,確保商品信息查詢的智能化。在數據庫建設過程中,通過挖掘和分析數據,可以查詢和分析商品信息,對市場發展動態進行預測。
2.3.3在線交易功能
電子商務平臺的核心在于在線交易,能夠加強合同管理、業務商討和交易行為等。通過視、音頻等技術的組合應用,促進商務洽談的便捷性。
2.3.4支付系統
該平臺能夠確保認證體系的安全性和可靠性,通過客戶報表管理,支付結算和賬務管理等方式,能夠建立安全的商務環境。
2.3.5物流配送
電子商務平臺所具備的物流配送系統主要包括第三方物流公司配送、直接運送商品和郵政網絡配送等方式。在實際應用期間優化組合不同配送方式,以此確保物流配送系統的個性化和智能化。
3加工信息電子商務平臺的實際應用
3.1促進農業信息資源共享
通過該平臺的應用現狀能夠看出,其能夠大范圍推廣農業新技術和智慧農業,使農民能夠共享農業信息資源。電子商務平臺作用的發揮離不開系統功能的作用,從實際應用效果能夠看出,該平臺可以促進農業新技術的交流,充分發揮出加工數據庫在商務平臺中的作用。為了更好地實現以上目標,農業主管部門在推廣和宣傳該商務平臺時,應當不斷優化和完善相關政策法規、信息功能以及政策查詢功能等,以便農民在農業生產活動中,可深入了解和掌握農村市場商品信息和優惠政策,由此促進農業信息資源共享機制的發展。
3.2結合電子商務和傳統銷售模式
通過應用電子商務平臺,能夠有效結合電子商務和傳統銷售模式,因此在建設加工信息電子商務平臺時,應當充分展現出在線交易功能。在處理交易事宜和合同管理問題時,可通過在線交易功能中的音視頻技術實現,以此促進業務交流與溝通的便捷性。優化完善平臺支付系統,加強賬戶管理力度,不斷改進和完善老客戶報表管理,以此結合和組合方式,促進電子商務和傳統銷售模式的共同進步發展。
3.3促進政府對農業的宏觀調控
電子商務平臺有助于政府部門對農業生產進行宏觀調控,通過信息數據功能和商品管理功能,可以充分發揮出電子商務平臺的作用。由于農副產品和農業機械會對電子商務平臺的作用發揮產生影響,且數據庫技術支撐商品管理功能的實現,因此,電子商務平臺能夠對農業市場發展動態進行預測。通過此種預測功能,能夠準確把握農業市場的實際需求,還能夠確保政府部門掌握和控制農業行業的發展動態。所以,在農業機械和農副產品中應用加工信息電子商務平臺,能夠為政府宏觀調控提供重要技術支撐。
3.4促進農業信息化發展
建立電子商務平臺能夠促進農業信息化發展,優化和改進農業裝備市場的發展。從農業機械產業的發展現狀能夠看出,傳統農業市場的經營模式主要為集市場模式,在建立電子商務平臺之后,可以通過信息管理模塊,促進農業機械市場的信息化發展。在應用信息化技術時,通過該商務平臺,能夠確保農業機械生產人員掌握農村地區對于機械設備的需求度,向不同地區農民銷售不同的農業機械。
第8篇:電子合同的安全性范文
關鍵詞:網上仲裁 電子簽名
當前,仲裁已成為解決一切國際經濟貿易爭議的一種主要方式,仲裁這種方式能適應世界經濟增長的要求。隨著電子商務在全球化市場中的發展,必定會出現消費者與商家在產品質量或服務質量等方面的爭端與糾紛。如何公正、有效、迅速、低成本地解決此類電子商務爭端,增加消費者進行網上消費的信心,已成為當前電子商務發展中的重大課題。在多樣化的爭端解決方式中,ADR(Alternative Dispute Resolution,替代性糾紛解決辦法)以其獨特的優勢受到普遍的重視,而網絡技術與ADR結合衍生出的ODR(Online Dispute Resolution)這一電子商務爭端解決新機制更是適應了現代商務了網絡要求。網上仲裁(Online Arbitration)正是ODR的主要方式之一。
在美國和其他主要的歐盟國家,互聯網上的訴訟外爭端解決機制早已成為經濟組織體系的一部分,并迅速延及電子商務領域,出現了一批在線爭端解決系統。網上仲裁由于其經濟性和實用性,越來越受到經濟組織和學者們的青睞,這一新型的仲裁形式正在實踐中得到迅速的推廣。網上仲裁形式是對傳統仲裁形式的一次重大革新。網上仲裁(Online Arbitration,又稱在線仲裁),它是指仲裁程序的全部或主要環節,包括仲裁協議的提交、開庭審理、提供證據、作出仲裁裁決等,在互聯網上進行的國際商事仲裁。
網上仲裁它是通過網絡這一虛擬的空間范圍進行的仲裁,所以與傳統的仲裁有著許多方面的差別,網上仲裁,需要解決一些突破傳統仲裁概念的重要問題,主要有書面形式、電子證據、電子簽名、仲裁地空缺等,本文主要探討關于網上仲裁電子簽名的法律問題。
各國電子簽名立法的現狀
在傳統的交易過程中,為了保證交易安全,交易中的文件一般都要由當事人簽字或蓋章,以便能夠確認簽名人的身份,并保證簽字或者蓋章人認可文件的內容。當交易通過電子的形式進行時,傳統的手寫簽字和蓋章無法進行,必須依靠技術手段替代。這種在電子文件中識別交易人身份,保證交易安全的電子技術手段,就是電子簽名。隨著電子商務和電子政務的迅猛發展,電子簽名的應用范圍愈加廣泛。為了規范電子簽名活動,消除電子商務和電子政務發展過程中的法律障礙,有關國際組織、許多國家和地區相繼制定了電子簽名法或電子商務法。聯合國國際貿易法委員會也分別于1996年和2001年制定了《電子商務示范法》和《電子簽名示范法》,為各國的電子簽名立法提供指導。
電子簽名的定義
廣義的電子簽名
廣義的電子簽名,是指包括各種電子手段的電子簽名。這種定義規定只要符合一定的條件,電子簽名就具有與傳統簽名同等的法律效力,而不限制達到規定條件的電子簽名應該采用的技術。典型的廣義電子簽名概念如《聯合國國際貿易法委員會電子簽名示范法》中所作的定義。采用廣義概念的還有美國《統一電子交易法》,澳大利亞《電子交易草案》和新西蘭等國的電子簽名法。廣義電子簽名是以對傳統簽名的功能分析與承認為基礎的,它外延廣闊為新技術的發展留下了寬闊的空間,但是由于其標準與形式多種多樣,容易導致技術上的混亂。更重要的是許多簽名手段缺乏安全保障,從而使其實用性不強。
狹義的電子簽名
狹義的電子簽名,是以一定的電子簽名技術為特定手段的簽名,通常指數字簽名,它是以非對稱加密方法產生的數字簽名。該定義只明確采用某種特定技術的電子簽名的法律效力,對采用其他技術的電子簽名的法律效力未做規定。其特點是只有信息發送者才能生成,別人無法偽造,生成的該數字串同時也是對發送者發送的信息的真實性的證明。聯合國國際貿易法委員會《電子簽名統一規則草案》采用這種定義。狹義的電子簽名以特定的技術作為有效簽名手段,以保障簽名的安全性,這種方法采用統一的技術與標準,容易規范商務活動中的簽名。它所使用的技術要比廣義電子簽名所使用的技術更確定、更加趨于成熟,其適用范圍要比廣義電子簽名廣泛一些。
折衷式的電子簽名
折衷式的電子簽名即強化電子簽名(Enhanced Electronic Signature),又稱安全電子簽名或者增強電子簽名,是指經過一定的安全應用程序,能夠達到傳統簽名的等價功能的電子簽名方式,其具體形式是開放型的,任何能夠達到同一效果的技術方式,都可以囊括在內。該概念著重強調電子簽名的效果,而在其具體實現方式上盡量泛化,以包括各種技術手段,從而在數字簽名之外為其它能夠達到同一功能的技術方式留下了空間。這種定義承認所有安全電子簽名都具有與手寫簽名同等效力,同時以目前國際上比較公認的成熟技術為基礎,推薦一定的安全條件和標準。在時間方面,折衷式電子簽名概念出現得最晚,是隨著科技的發展而最新發展起來的簽名方式。
從外延上來比較,廣義電子簽名概念是包括折衷式電子簽名的,而折衷式電子簽名概念是把狹義電子簽名概念容納之中的。折衷式電子簽名概念在廣義電子簽名概念的基礎上增加了對電子簽名安全性的要求,而狹義電子簽名與折衷式電子簽名的區別在于所肯定的技術范圍不同:狹義電子簽名以列舉式的方法指定某種技術為有效電子簽名手段;而折衷式的電子簽名則概括地提出安全簽名的基本標準。
電子簽名的立法模式
各國仲裁法除了書面要求之外,還伴有簽字的要求。《紐約公約》規定仲裁協議需有雙方當事人的簽字,網上仲裁雙方當事人的電子簽名是否符合《紐約公約》中的要求呢?
這個問題的實質是關于電子簽名的法律效力問題。在對法律應該承認什么樣的電子簽名具有法律效力的問題上,聯合國示范法和各國電子簽名法采用了不同的立法模式,主要有以下幾種:
技術中立模式
這種模式以聯合國電子商務示范法為代表,即規定只要符合一定的條件,電子簽名就具有與傳統簽名同等的法律效力,而不限制達到規定條件的電子簽名應該采用的技術。美國、澳大利亞、新西蘭等國的電子簽名法也采用了這種技術中立的立法模式。
技術特定模式
即法律只明確采用其某種特定技術的電子簽名的法律效力,對采用其他技術的電子簽名的法律效力未作規定。如韓國電子署名法只承認數字簽名為合法的電子簽名。此外德國、丹麥、馬來西亞、印度以及我國香港地區等的電子簽名法也都采用狹義定義的立法模式。
技術中立與技術特定的折衷模式
這種模式承認所有安全電子簽名都具有與手寫簽名同等效力,同時以目前國際上公認的成熟技術為基礎,推薦一定的安全條件和標準。聯合國電子簽名示范法、菲律賓電子商務法、新加坡、我國臺灣地區的電子簽章法等也都采用了這種折衷式的立法模式。
我國電子簽名立法和相關法律規范
我國積極進行電子簽名的立法工作,《中華人民共和國電子簽名法》于2005年4月1日起施行。這是被稱為“中國首部真正意義上的有關電子商務的法律”,它的實施,很大程度上消除了網絡信用危機,加強了電子商務的安全性,還可以降低成本,提高效率。
我國的《電子簽名法》采用了廣義的電子簽名概念。該法第2條規定:“本法所稱電子簽名,是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。本法所稱數據電文,是指以電子、光學、磁或者類似手段生成、發送、接收或者儲存的信息。”本條對電子簽名的概念作了與聯合國電子簽名示范法相類似的規定。根據本條的規定,電子簽名的概念包含以下內容:電子簽名是以電子形式出現的數據;電子簽名是附著于數據電文的。電子簽名可以是數據電文的一個組成部分,也可以是數據電文的附屬,與數據電文具有某種邏輯關系、能夠使數據電文與電子簽名相聯系;電子簽名必須能夠識別簽名人身份并表明簽名人認可與電子簽名相聯系的數據電文的內容。
根據本條的規定,電子簽名具有多種形式,如附著于電子文件的手寫簽名的數字化圖像,包括采用生物筆跡辨別法所形成的圖像;向收件人發出證實發送人身份的密碼、計算機口令;采用特定生物技術識別工具,如指紋或是眼虹膜透視辨別法等。無論采用什么樣技術手段,只要符合本條規定的要件,就是本法所稱的電子簽名。
我國的《電子簽名法》在電子簽名的法律效力問題上則采取了折衷式的立法模式:規定當事人約定使用電子簽名的文書,不得因其采用電子簽名而否定其法律效力;規定可靠的電子簽名具有與手寫簽名或者蓋章具有同等的法律效力;規定當事人可以選擇使用符合其約定的可靠條件的電子簽名;以目前國際上比較公認的成熟技術為基礎,推薦一定的安全條件和標準,作為可靠的電子簽名的標準。按照本法的規定,一個電子簽名如果符合法定或者當事人約定的可靠的電子簽名的條件,就具有與手寫簽名或者蓋章同等的法律效力。
在我國《合同法》中的第32條規定:“當事人采用合同書形式訂立合同的,自雙方當事人簽字或蓋章時合同成立。”這里的“簽字”是指一般意義上的簽字,即當事人的親筆簽名,至于電子合同是否必須經當事人簽字或者蓋章才能成立,《合同法》并未規定,從而使電子簽名問題成為當事人的內部問題。《合同法》第33條還規定:“當事人采用信件、數據電文等形式訂立合同的,可以在合同成立之前簽訂確認書,簽訂確認書時合同成立。”因此,對于合同書形式,簽字或者蓋章是合同成立的法定形式要求,對于信件、數據電文等其他書面形式,《合同法》則未作這種強制性要求(不排除其他法律有這方面的要求),當事人可以約定將簽名作為合同成立的形式要件。可見,我國《合同法》對電子簽名的法律效力未作規定。
值得注意的是,在認定通過函電方式達成的網上仲裁協議的書面性質時,這種書面形式無需以雙方當事人簽名為條件。在信函中,存在有關當事人的親筆簽名,但在電報、電傳、傳真或電子郵件等電子通訊方式中,由當事人親筆簽名是不現實的,而只能以其他方式確認。以互換或往來函電的方式達成的商事仲裁協議,通常是當事人對自己的具體仲裁意見告知對方,如果雙方意見一致,互換或往來的函電本身即構成雙方當事人對仲裁的意思表示一致,證明當事人之間的共同認可或一方接受另一方的意見。有的學者認為,不論電子簽名采用的是何種技術手段,只要在特定情況下能夠保證數據電文的生成和傳送達到適當和可靠的程度,該電子簽名的效力就應當得到法律的認可。我國實施的《電子簽名法》也從立法的角度承認了電子簽名的法律效力。
所以,在網上仲裁這一運用電子信息技術而形成的新型仲裁方式中,爭議雙方通過電子郵件把爭議提交給仲裁機構,這些電子郵件本身就代表了爭議雙方對仲裁的意思表示一致。但是,電子郵件有著易被偽造、篡改的缺陷,爭議雙方的電子簽名是增強網絡安全的有效手段。
參考文獻:
第9篇:電子合同的安全性范文
[關鍵詞] 電子商務 法律問題 電子商務合同 知識產權 網絡隱私權
電子商務是以網絡為運作平臺的,其交易場所虛擬化、表現形式多樣化、交易范圍國際化,由于網絡平臺、市場準入、法律沖突、發展中國家的電子商務發展狀況等因素的制約,需要解決的法律問題十分龐大。電子商務的法律問題主要涉及在電子商務活動中出現的各方當事人之間的法律關系,即電子商務合同、電子支付、電子交易安全、知識產權、消費者權益特別是隱私權保護等方面所引起的法律問題。
一、電子商務合同問題
電子商務合同主要是雙方通過電子形式 (email;傳真;電話;或者網絡電子表格等等)來簽訂的。電子商務進行的是無紙貿易,其在形式上和法律效果上與傳統合同相比有了很大變化,這涉及數字簽名、電子發票、電子合同的法律地位和效力問題,必然產生很多問題:首先,電子商務合同雙方當事人基本屬于不見面,雙方都通過網絡虛擬平臺進行運作,其信用僅僅依靠密碼的辨認或認證機構的認證,密碼認證的虛擬性和認證機構認證的多樣性導致合同的信用體系存在較大疑問,對大額和長期的商務合作開展不利。其次,電子發票在我國只是存在理論上的構想,很多電子商務合同特別是小額交易沒有發票,這種合同一旦產生問題,糾紛的解決就是個難題。第三,數字簽字代替了傳統合同生效的簽字蓋章方式。數字簽名本身的效力產生就存在疑問,并且其存在宜復制性和仿照性,不易辨別性,一旦被復制和仿用,產生的合同糾紛解決就十分復雜。第四,電子合同和網絡虛擬商家的普及,如何界定好生效的地點,這是合同糾紛的約定管轄的重要依據。第五,自動訂單合同的效力問題。依照商家或者客戶自動設置的訂單系統產生的訂單合同到底是否必然生效,由此一方無法供貨產生的違約責任由誰來承擔等,這些都是現實中存在的。最后,因計算機或者網絡發生故障產生的合同的法律效力如何認定。如果因為計算機或網絡系統發生故障導致當事人一方的意思表示有瑕疵或者錯誤,該意思表示的效力如何呢?由此而發生合同關系,該合同的效力如何,最終產生違約責任由誰來承擔?
二、電子商務支付問題
電子商務的優勢在于能夠實現零距離收付、零距離購銷,如果沒有安全有效的電子商務金融渠道,尤其是電子支付手段,是做不到“零距離”的。而我國現在的金融支付手段不完善,各大商業銀行的電子支付程序比較繁瑣,并且還沒達到數據的交互,沒有形成統一的支付系統。當電子交易中的當事人采用不同的支付方式且這些支付方式又互不兼容時,雙方就不可能通過電子支付的手段來完成款項支付,從而也就不能實現因特網上的交易。另外,現存的支付寶手段雖然在電子商務活動中起到了很好的作用,但這只是電子支付中的過渡產品,其在解決電子支付的安全性和資金流動的實時性上存在明顯缺陷,不能完全滿足金融電子化的要求。
三、電子商務交易安全問題
電子商務交易安全的法律問題,涉及到下面三個方面。第一,電子商務網站的安全管理存在很大隱患,普遍容易受到黑客攻擊,國內安全技術結構和加密技術強度普遍不夠;第二,電子商務交易售后安全也是真空地帶,出現問題后客戶往往不知道去找誰負責,有人開玩笑說“電子商務目前是個‘三無’行業:無法可依、無安全可言、無規可循”;第三,電子商務交易安全缺乏足夠法律制度體系支持。我國現今對電子商務交易的保護主要分散于計算機網絡技術相關法律法規及民商法,沒有相關的專門法律體系,制度建設上也存在混亂,加上網絡技術發展速度過快,法治遠遠滯后。
四、電子商務知識產權保護問題
知識產權與有形財產存在明顯不同的特點,如壟斷性、地域性、時間性、無形性、政府確認性等等。其中,又以壟斷性(專有性)和地域性更為特別。如果知識產權不能保證權利人的專有,則知識產權制度就不能發揮出應有的作用,其權利也就成了一種擺設。如果地域性被徹底打破,權利就有可能成為世界通行的“全球權利”或者產生世界性統一的制度。電子商務活動建立在互聯網上,網絡的傳輸表現出“公開”的開放性和“無國界”的全球性特點及狀態。“公開”為“公知”提供了前提,也為“公用”提供了方便;“無國界”又使得地域性的知識產權受到了嚴峻的挑戰。在知識產權保護國際化趨向之狀況下,是否因電子商務的發展而導致知識產權保護的真正本質意義上的國際化?
電子商務中的知識產權問題主要是由現有的網絡技術給版權、專利權和商標權等制度帶來的問題。在其上的知識產權法律沖突呈現復雜性和難以根除性,有些問題在現有的法律制度中還很難以找到有效解決的方法。
五、電子商務隱私權保護問題
網絡隱私權是指公民在網絡中享有的私人生活安寧與私人信息依法受到保護,不被他人非法侵犯、知悉、搜集、復制、利用和公開的一種人格權;也指禁止在網上泄露某些,與個人相關的敏感信息,這些信息的范圍包括事實,圖像(例如,照片,錄象帶),以及毀謗的意見等。目前電子商務隱私權保護領域遇到的三大問題:個人信息數據保護、個人數據二次開發利用和個人數據交易。網絡侵權行為的泛濫會使電子商務交易的誠信基礎更為削弱,不利于電子商務交易的長久發展。
雖然現階段在中國還存在著阻礙電子商務發展的著多問題,但是電子商務有著許多獨特的優勢,隨著中國網絡技術的發展,上網用戶的急劇上升,上網速度的加快,網上支付手段的改善,網絡交易安全體系的建立,中國電子商務必定會得到飛速的發展。
參考文獻:
