驗(yàn)證電子合同的有效方法范文

時(shí)間:2024-01-08 17:40:52

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇驗(yàn)證電子合同的有效方法,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

驗(yàn)證電子合同的有效方法

篇1

關(guān)鍵詞:電子營(yíng)業(yè)執(zhí)照;誠(chéng)信監(jiān)管;電子商務(wù)

中圖法分類號(hào):TP31文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2009)33-9166-02

Research of Electronic Business Platform Based on Electronic Trade License

LIU Jun-wei

(Wuxi Professional College of Science and Technology, Wuxi 214028, China)

Abstract: For B2B electronic business, how to supervisor is a key for development of the electronic business. This paper researches on an electronic business credit platform based on the electronic trade license, focuses on the essence of the electronic trade license and the form of the credit platform. Furthermore, this paper also analyzes and outlooks the applications of the credit platform.

Key words: electronic trade license; credit supervisor; electronic business

隨著電子商務(wù)的發(fā)展,誠(chéng)信問(wèn)題越來(lái)越重要。網(wǎng)絡(luò)欺詐、商品質(zhì)量瑕疵、售后服務(wù)質(zhì)量低下、顧客個(gè)人信息泄露等問(wèn)題正在阻礙電子商務(wù)的發(fā)展。電子商務(wù)經(jīng)濟(jì)作為現(xiàn)代市場(chǎng)經(jīng)濟(jì)的重要組成部分, 社會(huì)誠(chéng)信的發(fā)展和規(guī)范程度決定了電子商務(wù)經(jīng)濟(jì)的發(fā)展速度、質(zhì)量和效益, 關(guān)系到電子商務(wù)經(jīng)濟(jì)的前途和未來(lái)。因此, 解決社會(huì)誠(chéng)信缺失問(wèn)題應(yīng)當(dāng)是我國(guó)發(fā)展電子商務(wù)的首要任務(wù)。

B2C平臺(tái)因交易的金額普遍較少,普遍采用信用評(píng)價(jià)、第三方支付等方法解決誠(chéng)信交易的問(wèn)題。而對(duì)于B2B電子商務(wù),交易金額普遍較大,如何鑒別對(duì)方的身份、如何保證商品質(zhì)量等問(wèn)題一直困擾著商家。很多商家不得不借助與傳統(tǒng)的貿(mào)易模式,進(jìn)行面對(duì)面的紙質(zhì)合同的簽訂,浪費(fèi)了大量的人力、物力,與電子商的方式,便捷、無(wú)紙化的特征相違背。

對(duì)電子商務(wù)的誠(chéng)信問(wèn)題,第三方監(jiān)管的呼聲越來(lái)越高,其中以電子營(yíng)業(yè)執(zhí)照為載體的監(jiān)管模式處于試驗(yàn)、推廣階段。本文研究一種基于電子營(yíng)業(yè)執(zhí)照的電子商務(wù)誠(chéng)信平臺(tái),著重討論電子營(yíng)業(yè)執(zhí)照的本質(zhì)、誠(chéng)信平臺(tái)的構(gòu)成,并對(duì)誠(chéng)信平臺(tái)的應(yīng)用做了展望。

1 電子營(yíng)業(yè)執(zhí)照

電子執(zhí)照是指各類經(jīng)濟(jì)組織的營(yíng)業(yè)執(zhí)照副本(網(wǎng)絡(luò)版),是根據(jù)《中華人民共和國(guó)公司法》等有關(guān)登記注冊(cè)法律、法規(guī),以PKI技術(shù)為基礎(chǔ),由工商行政管理部門(mén)制作、核發(fā)、載有企業(yè)注冊(cè)登記信息的電子信息證書(shū)。

電子執(zhí)照作為企業(yè)在工商信息系統(tǒng)中的唯一身份標(biāo)識(shí),它是由數(shù)字證書(shū),企業(yè)基本信息,企業(yè)公章及擴(kuò)展信息等組成。對(duì)于企業(yè)用戶其物理載體為Ekey。另外,在工商局信息中心,關(guān)于企業(yè)電子執(zhí)照的信息都有備案。

企業(yè)電子執(zhí)照一旦生成,就具有一定的法律效力,只有擁有電子執(zhí)照的單位才能夠在工商信息系統(tǒng)中辦理業(yè)務(wù)。對(duì)于電子執(zhí)照的基本信息,只有通過(guò)變更業(yè)務(wù),才能進(jìn)行修改。

電子執(zhí)照作為企業(yè)在可信安全平臺(tái)中的唯一電子憑證,起著至關(guān)重要的重用,在可信平臺(tái)中,系統(tǒng)依靠電子執(zhí)照來(lái)識(shí)別企業(yè)的身份及基本信息。

電子執(zhí)照的主要作用有:

1) 電子身份認(rèn)證:電子執(zhí)照是企業(yè)在互聯(lián)網(wǎng)上合法有效的身份表示,利用PKI數(shù)字證書(shū)技術(shù)的身份認(rèn)證系統(tǒng)是電子執(zhí)照安全、權(quán)威、合法的保障。

2) 網(wǎng)絡(luò)企業(yè)認(rèn)證:通過(guò)電子執(zhí)照的應(yīng)用,企業(yè)可在網(wǎng)上“亮照經(jīng)營(yíng)”,表示企業(yè)的合法經(jīng)身份,并實(shí)現(xiàn)網(wǎng)上企業(yè)經(jīng)營(yíng)監(jiān)管的目的,保障企業(yè)與消費(fèi)者的合法權(quán)益。

3) 電子商務(wù)交易認(rèn)證:電子執(zhí)照是電子商務(wù)支撐體系建設(shè)的基本信息來(lái)源,電子執(zhí)照可用作識(shí)別和確認(rèn)參與電子商務(wù)的各方主體的合法和有效的身份。

2 電子商務(wù)誠(chéng)信平臺(tái)的構(gòu)成

電子商務(wù)誠(chéng)信平臺(tái)主要由電子執(zhí)照發(fā)放系統(tǒng)、應(yīng)用系統(tǒng)運(yùn)行維護(hù)系統(tǒng)組成,其業(yè)務(wù)功能包括基于數(shù)字證書(shū)的電子執(zhí)照受理系統(tǒng)、數(shù)據(jù)交換系統(tǒng)、制證系統(tǒng)以及企業(yè)年檢、企業(yè)變更、電子執(zhí)照變更、電子執(zhí)照延期、電子執(zhí)照注銷、企業(yè)信用監(jiān)管、電子合同監(jiān)管、電子簽章等管理模式。電子商務(wù)誠(chéng)信平臺(tái)整體模塊構(gòu)架如圖2所示。

在電子執(zhí)照管理系統(tǒng)中,數(shù)字證書(shū)和數(shù)字簽名技術(shù)與水印技術(shù)結(jié)合在一起,得到了很好的應(yīng)用。在實(shí)際應(yīng)用中,為了驗(yàn)證信息的數(shù)字簽名,用戶首先必須獲取信息發(fā)送者的公鑰證書(shū),以及一些額外需要的證書(shū)(如CA證書(shū)等,用于驗(yàn)證發(fā)送者證書(shū)的有效性)。

在系統(tǒng)中,證書(shū)的持有者可以是個(gè)人用戶、企事業(yè)單位、商家、銀行等。無(wú)論是哪一方,在使用證書(shū)驗(yàn)證數(shù)據(jù)時(shí),都遵循同樣的驗(yàn)證流程。一個(gè)完整的驗(yàn)證過(guò)程有以下幾步:

1) 將客戶端發(fā)來(lái)的數(shù)據(jù)解密(如解開(kāi)數(shù)字信封)。

2) 將解密后的數(shù)據(jù)分解成原始數(shù)據(jù),簽名數(shù)據(jù)和客戶證書(shū)三部分。

3) 用CA根證書(shū)驗(yàn)證客戶證書(shū)的簽名完整性。

4) 檢查客戶證書(shū)是否有效(當(dāng)前時(shí)間在證書(shū)結(jié)構(gòu)中的所定義的有效期內(nèi))。

5) 檢查客戶證書(shū)是否作廢(OCSP方式或CRL方式)。

6) 驗(yàn)證客戶證書(shū)結(jié)構(gòu)中的證書(shū)用途。

7) 客戶證書(shū)驗(yàn)證原始數(shù)據(jù)的簽名完整性。

如果以上各項(xiàng)均驗(yàn)證通過(guò),則接受該數(shù)據(jù)。

3 誠(chéng)信平臺(tái)的應(yīng)用舉例

1) 企業(yè)信用監(jiān)管:企業(yè)信用監(jiān)管是指工商部門(mén)以電子化和計(jì)算機(jī)網(wǎng)絡(luò)為技術(shù)支撐,以企業(yè)登記注冊(cè)的信息和電子執(zhí)照為基礎(chǔ),改善行政監(jiān)管效能,提高企業(yè)信用水平的監(jiān)管工作系統(tǒng)。主要包括企業(yè)注冊(cè)登記企業(yè)年檢企業(yè)信息變更登記。

2) 電子合同監(jiān)管:合同監(jiān)管是工商部門(mén)對(duì)企業(yè)信用監(jiān)管的重要手段。工商部門(mén)根據(jù)《合同法》對(duì)企業(yè)訂立的合同進(jìn)行審查,監(jiān)督企業(yè)履行合同。主要包括合同交易雙方身份認(rèn)證、電子合同網(wǎng)上備案、電子合同簽約流程加密和電子合同簽約條款監(jiān)管。

3) 電子工作證:電子工作證是企業(yè)員工的電子身份證。電子工作證具有身份識(shí)別、數(shù)據(jù)加密、電子簽章三項(xiàng)基本功能,可用于構(gòu)建內(nèi)部的信息安全管理基礎(chǔ)平臺(tái),也可與傳統(tǒng)的工作證結(jié)合,嵌入考勤、飯卡等功能,實(shí)現(xiàn)真正的電子化人事管理。

4 結(jié)論

該文基于電子營(yíng)業(yè)執(zhí)照,給出了電子商務(wù)誠(chéng)信平臺(tái)的體系架構(gòu),尤其關(guān)注平臺(tái)的安全性,并對(duì)誠(chéng)信平臺(tái)的應(yīng)用做了分析和展望。

參考文獻(xiàn):

[1] 國(guó)家發(fā)展改革委.電子商務(wù)發(fā)展“十一五”規(guī)劃[EB/OL].2007. /zcfb/zcfbtz/2007tongzhi/W020070620595393012331.pdf.

篇2

當(dāng)今信息高速公路已經(jīng)鋪展開(kāi)來(lái),隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,招投標(biāo)工作向數(shù)字化、信息化和網(wǎng)絡(luò)化行進(jìn)。由于互聯(lián)網(wǎng)廣闊的覆蓋范圍和廉價(jià)的運(yùn)營(yíng)成本,在互聯(lián)網(wǎng)上招投標(biāo)有效克服了傳統(tǒng)方式程序復(fù)雜、速度緩慢的弊端,通過(guò)全面覆蓋的網(wǎng)絡(luò)將招投標(biāo)信息傳送至所需各行業(yè)。因此企業(yè)增加網(wǎng)絡(luò)招投標(biāo)的使用率就勢(shì)在必行了。

【關(guān)鍵詞】電子招投標(biāo) 現(xiàn)代信息技術(shù) 系統(tǒng)開(kāi)發(fā)

隨著信息高速公路時(shí)代的來(lái)臨,招投標(biāo)工作明顯向著信息化、網(wǎng)絡(luò)化和數(shù)字化發(fā)展。在國(guó)家的電子政務(wù)也處速發(fā)展的時(shí)期,招投標(biāo)的數(shù)字化管理極大地提高了政府的采購(gòu)效率和行政監(jiān)管能力。本文分析了現(xiàn)代電子招投標(biāo)管理中所運(yùn)用的信息技術(shù),同時(shí)也展望了其未來(lái)的發(fā)展前景。

1 我國(guó)電子招投標(biāo)的發(fā)展現(xiàn)狀

1.1 在招投標(biāo)管理中遇到的技術(shù)問(wèn)題

(1)電子招投標(biāo)系統(tǒng)缺乏對(duì)其運(yùn)行進(jìn)行約束的系統(tǒng)的規(guī)章制度,同時(shí),也缺少數(shù)據(jù)標(biāo)準(zhǔn)接口,這使得互聯(lián)網(wǎng)上的招投標(biāo)互相之間沒(méi)有交流互動(dòng),相互排斥。

(2)電子評(píng)標(biāo)軟件也沒(méi)有綜合、全面的評(píng)價(jià)機(jī)制和評(píng)標(biāo)方法,不能在最大程度上體現(xiàn)出電子招投標(biāo)系統(tǒng)的優(yōu)勢(shì),人為因素可能對(duì)招投標(biāo)工作的公平合理性產(chǎn)生消極的影響。

(3)不能有效的保障電子招投標(biāo)系統(tǒng)信息的安全性,使招投雙方的互信度大大降低,同時(shí)電子文件的法律效力也被雙方所質(zhì)疑,很大程度上影響了電子招投標(biāo)的推廣和普及。

1.2 我國(guó)電子招投標(biāo)現(xiàn)狀及問(wèn)題

我國(guó)目前的招投標(biāo)數(shù)字化運(yùn)作已成逐漸成熟,電子招投標(biāo)在政府的推動(dòng)之下高速發(fā)展,各大招標(biāo)機(jī)構(gòu)紛紛以此來(lái)提升自己的競(jìng)爭(zhēng)實(shí)力。國(guó)家建設(shè)部業(yè)已頒布相關(guān)法律法規(guī)綜合系統(tǒng)的調(diào)整改革了工程計(jì)價(jià)方法,全力對(duì)工程量清單計(jì)價(jià)的方式進(jìn)行推廣,這有利于建立由市場(chǎng)形成工程造價(jià)體系。但網(wǎng)絡(luò)招標(biāo)作為新鮮事物,在具有便利、高效的特點(diǎn)的同時(shí),也具有一些弊端。由于采用電子操作,因而很可能在對(duì)身份信息、數(shù)據(jù)傳送和數(shù)據(jù)存儲(chǔ)等方面進(jìn)行操作時(shí)產(chǎn)生失誤或是因?yàn)橄到y(tǒng)問(wèn)題造成數(shù)據(jù)錯(cuò)誤。而且,需要通過(guò)電子方式在網(wǎng)上進(jìn)行要約邀請(qǐng)和要約響應(yīng),那么,在法律上對(duì)這樣的電子方式有沒(méi)有明確的要求;書(shū)面訂立的合同受法律保護(hù),那么,在網(wǎng)上簽訂的電子合同有沒(méi)有同樣的法律效力;電子邀請(qǐng)的方式能不能被法律承認(rèn);電子版的招投標(biāo)資料和文件以及數(shù)字化的招投標(biāo)方式又能否被現(xiàn)行法律法規(guī)所接受。另外,互聯(lián)網(wǎng)不僅給人類的生產(chǎn)生活提供了方便,同時(shí)也產(chǎn)生了一些不安全的影響。網(wǎng)絡(luò)的另一面是不是我們真正想要溝通的人,網(wǎng)絡(luò)上信息的交換和傳遞安不安全,這些問(wèn)題都可能會(huì)嚴(yán)重?fù)p害整個(gè)企業(yè)甚至是國(guó)家的利益。所以,各個(gè)企業(yè)及相關(guān)部門(mén)必須關(guān)注和重視網(wǎng)上招投標(biāo)系統(tǒng)的安全工作。

2 電子商務(wù)的發(fā)展

信息產(chǎn)業(yè)的興起,帶動(dòng)了采用數(shù)字技術(shù)的電子商務(wù)的發(fā)展,電子商務(wù)把網(wǎng)絡(luò)作為基本的溝通方式,確定企業(yè)的價(jià)值方向和價(jià)值產(chǎn)業(yè)鏈,不斷對(duì)機(jī)構(gòu)配置進(jìn)行優(yōu)化。所以,電子商務(wù)的核心環(huán)節(jié)和最終目標(biāo)依然是業(yè)務(wù),“電子”在全過(guò)程中只是作為一種溝通方法來(lái)優(yōu)化核心環(huán)節(jié),但是也不能小看這個(gè)“電子”,因?yàn)樗钦w經(jīng)濟(jì)效益和創(chuàng)新、合理的業(yè)務(wù)模式的根源所在。隨著市場(chǎng)產(chǎn)品競(jìng)爭(zhēng)日益激烈,傳統(tǒng)企業(yè)產(chǎn)品同質(zhì)、品牌無(wú)差異現(xiàn)象越來(lái)越嚴(yán)重,要想更大程度的吸引消費(fèi)者、提供有個(gè)性的產(chǎn)品以及提高服務(wù)品質(zhì),都需要采用全新的技術(shù)手段和創(chuàng)新的經(jīng)營(yíng)模式。采用互聯(lián)網(wǎng)和電子商務(wù)技術(shù)來(lái)對(duì)整個(gè)業(yè)務(wù)流程進(jìn)行優(yōu)化,勢(shì)必能夠有效提高社會(huì)生產(chǎn)效率,促進(jìn)社會(huì)經(jīng)濟(jì)發(fā)展,是傳統(tǒng)企業(yè)的絕佳選擇。

電子商務(wù)已經(jīng)成為新時(shí)代經(jīng)濟(jì)發(fā)展的核心部分,需要人們以嚴(yán)謹(jǐn)?shù)膽B(tài)度,解決電子商務(wù)發(fā)展中的各種疑難問(wèn)題。因特網(wǎng)自身?yè)碛械囊恍﹥?yōu)勢(shì),如全球化、信息流通性、大范圍覆蓋性等,也都成為電子商務(wù)的內(nèi)在特征。

3 電子招投標(biāo)系統(tǒng)的信息安全技術(shù)

(1)數(shù)據(jù)存儲(chǔ)加密技術(shù)。對(duì)數(shù)據(jù)庫(kù)服務(wù)器中存儲(chǔ)的資料和文件進(jìn)行加密處理,能夠?qū)ξ募谋C芄ぷ魈峁┍U希瑫r(shí)也為管理提供了方便。而且,由用戶上傳的、存儲(chǔ)在數(shù)據(jù)庫(kù)服務(wù)器中的文件,必須由持有特定數(shù)字證書(shū)的用戶在規(guī)定時(shí)間和規(guī)定網(wǎng)站中進(jìn)行下載,而包括數(shù)據(jù)庫(kù)管理者在內(nèi)的其他用戶沒(méi)有查閱文件的權(quán)限,這也就進(jìn)一步保證了電子招投標(biāo)系統(tǒng)的科學(xué)合理性。

(2)CA認(rèn)證。CA和電子招投標(biāo)系統(tǒng)是相互獨(dú)立的系統(tǒng),但招投標(biāo)系統(tǒng)選用CA系統(tǒng)的用戶數(shù)據(jù)庫(kù)。要想部署和進(jìn)行網(wǎng)上招投標(biāo)系統(tǒng),必須建立相應(yīng)的CA認(rèn)證的權(quán)威機(jī)構(gòu),給每位用戶辦理發(fā)放一張用于身份驗(yàn)證的個(gè)人數(shù)字證書(shū)。數(shù)字證書(shū)中包含用戶姓名、所屬公司等基本信息,這些信息是用戶登錄系統(tǒng)后進(jìn)行身份驗(yàn)證和權(quán)限控制的憑證,用戶持有有效數(shù)字證書(shū)能夠看到與自己證書(shū)權(quán)限項(xiàng)對(duì)應(yīng)的內(nèi)容并可以進(jìn)行相關(guān)的操作。CA作為證書(shū)的簽發(fā)機(jī)構(gòu),是PKI的核心。大家都知道,怎樣實(shí)現(xiàn)密鑰管理是構(gòu)建密碼服務(wù)系統(tǒng)的核心部分。

(3)數(shù)字時(shí)間戳技術(shù)。在招投標(biāo)系統(tǒng)中,證明文件有效性的重要內(nèi)容包括時(shí)間和數(shù)碼簽名等。數(shù)字時(shí)間戳能夠證明電子數(shù)據(jù)文件的收發(fā)具體時(shí)間。用戶將需要加時(shí)間戳的文件經(jīng)加密后形成文檔,再將摘要發(fā)送到專業(yè)機(jī)構(gòu),完成數(shù)字時(shí)間戳服務(wù),該機(jī)構(gòu)對(duì)文件加上時(shí)間后,進(jìn)行數(shù)字簽名,用私鑰加密,并返回給用戶。數(shù)字時(shí)間戳有效地證明了文件的發(fā)表時(shí)間。

(4)數(shù)字證書(shū)技術(shù)。采用PIG公開(kāi)密鑰基礎(chǔ)架構(gòu)技術(shù)的數(shù)字證書(shū),是用一對(duì)互相匹配的密鑰進(jìn)行加密和解密操作。要完成解密和簽名,需要每個(gè)用戶有一把特定的僅為本人所知的私有密鑰(私鑰);與此同時(shí),還要有一把公共密鑰(公鑰),需要公開(kāi)、分享給一組用戶,用來(lái)進(jìn)行加密和驗(yàn)證簽名。它作為網(wǎng)絡(luò)上的身份證,在電子商務(wù)、網(wǎng)上銀行等應(yīng)用中發(fā)揮出了極大的便利性。數(shù)字證書(shū)+SSL協(xié)議能夠使信息傳輸?shù)募用苋蝿?wù)有效的完成。假如采用數(shù)字證書(shū)進(jìn)行數(shù)字簽名,那么數(shù)字證書(shū)的持有者不能對(duì)網(wǎng)絡(luò)上的操作抵賴,有效地保證了這種操作的全面性和不可頂替性,這為事后調(diào)查、責(zé)任追究和矛盾解決提供了有利的依據(jù)。

參考文獻(xiàn)

[1]陳定力,陳福生.電子招標(biāo)系統(tǒng)的加密方案設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件,2011(24).

[2]陸偉琦.淺議電子評(píng)標(biāo)在建設(shè)工程招標(biāo)中的運(yùn)用[J].山西建筑,2012(34).

[3]孫詠梅.電子招投標(biāo)在建設(shè)工程招投標(biāo)中的應(yīng)用[J].中國(guó)西部科技,2011.

篇3

[關(guān)鍵詞]數(shù)字簽名電子商務(wù)交易安全

以網(wǎng)絡(luò)技術(shù)為基礎(chǔ)的電子商務(wù)作為一種全新的商務(wù)活動(dòng)模式,已經(jīng)成為經(jīng)濟(jì)增長(zhǎng)的動(dòng)力,推動(dòng)著經(jīng)濟(jì)的迅猛發(fā)展。但互聯(lián)網(wǎng)所固有的開(kāi)放性與資源共享性使電子商務(wù)成為一把雙刃劍,它在給人類帶來(lái)了經(jīng)濟(jì)、便捷、高效的交易方式的同時(shí),也引發(fā)了新的社會(huì)問(wèn)題,電子商務(wù)的安全交易問(wèn)題已成為全球電子商務(wù)活動(dòng)的焦點(diǎn)問(wèn)題,如何保證網(wǎng)上交易的有效性、機(jī)密性、完整性、可靠性和不可否認(rèn)性是電子商務(wù)可持續(xù)發(fā)展的關(guān)鍵。

電子商務(wù)交易中,鑒別交易伙伴身份、確定合同、契約和單據(jù)的可靠性是十分關(guān)鍵的問(wèn)題。在傳統(tǒng)貿(mào)易中,交易雙方通過(guò)在合同、貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或蓋章來(lái)鑒別對(duì)方的身份,確定貿(mào)易合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生,其具有較高的可靠性。而在無(wú)紙化的電子商務(wù)中,人們希望通過(guò)數(shù)字通信網(wǎng)絡(luò)迅速傳遞合同、契約和單據(jù),這就出現(xiàn)了數(shù)據(jù)真實(shí)性認(rèn)證的問(wèn)題,數(shù)字簽名技術(shù)就應(yīng)運(yùn)而生了。

數(shù)字簽名是用來(lái)保證信息傳輸過(guò)程中信息的完整性、私有性和不可抵賴性,其是實(shí)現(xiàn)網(wǎng)上交易安全的核心技術(shù)之一。

一、數(shù)字簽名技術(shù)的概念

數(shù)字簽名技術(shù)就是利用數(shù)據(jù)加解密技術(shù)、數(shù)據(jù)變換技術(shù),根據(jù)某種協(xié)議來(lái)產(chǎn)生一個(gè)反映被簽署文件和簽署人特性的數(shù)字化簽名。數(shù)字簽名涉及被簽署文件和簽署人兩個(gè)主體,密碼技術(shù)是數(shù)字簽名的技術(shù)基礎(chǔ),其核心是采用加密技術(shù)的加、解密算法體制來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)的數(shù)字簽名。

1.公開(kāi)密鑰加密技術(shù)

公開(kāi)密鑰加密又稱為非對(duì)稱密鑰加密,其特點(diǎn)是每個(gè)用戶有兩個(gè)不同的密鑰:公有密鑰和私有密鑰,分別用于加密和解密,如果用公有密鑰對(duì)數(shù)據(jù)進(jìn)行加密,只有用對(duì)應(yīng)的私有密鑰才能進(jìn)行解密;如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密,則只有用對(duì)應(yīng)的公有密鑰才能解密。其中公有密鑰是公開(kāi)的,而私有密鑰是保密的。

公開(kāi)密鑰加密的關(guān)鍵在于公有密鑰和私有密鑰是數(shù)學(xué)相關(guān)的,但不能從公鑰推導(dǎo)出私鑰,也不能從私鑰推導(dǎo)出公鑰。

公開(kāi)密鑰加密的優(yōu)點(diǎn)是便于密鑰的管理和分發(fā),便于通信加密和數(shù)字簽字。但公開(kāi)密鑰加密的算法相對(duì)復(fù)雜,加密數(shù)據(jù)速度較慢。

2.hash算法

hash算法又稱為散列算法或報(bào)文摘要,hash算法并不是加密算法,但卻能產(chǎn)生信息的數(shù)字“指紋”,主要用途是為了確保數(shù)據(jù)沒(méi)有被篡改或發(fā)生變化,以維護(hù)數(shù)據(jù)的完整性。Hash算法有三個(gè)特點(diǎn):(1)能處理任意大小的信息,并生成固定長(zhǎng)度(160bit)的信息摘要。(2)具有不可預(yù)見(jiàn)性。信息摘要的大小與原信息的大小沒(méi)有任何聯(lián)系。原信息內(nèi)容的任何一個(gè)微小變化都會(huì)對(duì)信息摘要產(chǎn)生很大的影響。(3)具有不可逆性。沒(méi)有辦法通過(guò)信息摘要直接恢復(fù)原文信息。

3.數(shù)字簽名

數(shù)字簽名是指使用密碼算法對(duì)要傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理,生成一段信息,附著在原文上一起發(fā)送,這段信息類似現(xiàn)實(shí)中的簽名或印章,接收方對(duì)其進(jìn)行驗(yàn)證,判斷原文真?zhèn)?,其目的是提供?shù)據(jù)的完整性保護(hù)和抗否認(rèn)功能。

實(shí)現(xiàn)數(shù)字簽名的方法很多,目前使用較多的是比較容易實(shí)現(xiàn)的公開(kāi)密鑰加密技術(shù)。其是先將要發(fā)送的信息通過(guò)hash算法形成信息摘要,然后用發(fā)送方的私鑰加密,再將生成的結(jié)果附加到原信息上去,就形成了原信息的數(shù)字簽名。接收方收到數(shù)字簽名和原信息后,用發(fā)送方的公鑰將信息摘要解密,將原信息通過(guò)hash算法生成新的信息摘要。將兩個(gè)信息摘要進(jìn)行對(duì)比,若相同則表明這份數(shù)字簽名和文件是正確的,否則文件就是偽造的或已被篡改。

二、數(shù)字簽名技術(shù)在電子商務(wù)中的應(yīng)用

將數(shù)字簽名技術(shù)應(yīng)用于電子商務(wù)中,可以解決數(shù)據(jù)的否認(rèn)、偽造、篡改及冒充等問(wèn)題,其主要用途有三個(gè)方面:

1.驗(yàn)證數(shù)據(jù)的完整性

這個(gè)功能能保證信息自簽發(fā)后到收到為止沒(méi)有做任何修改。因?yàn)楫?dāng)兩條信息摘要完全相同時(shí),可以確信這兩條信息的內(nèi)容完全一樣。因此,可以通過(guò)將信息發(fā)送前生成的信息摘要與接收后生成的信息摘要進(jìn)行對(duì)比,來(lái)判斷信息在傳輸過(guò)程中是否被篡改或改變。由于信息摘要在發(fā)送之前,發(fā)送方使用私鑰進(jìn)行加密,其他人要生成相同加密的信息摘要幾乎不可能,于是,接受方收到信息后,可以使用相同的函數(shù)變換,重新生成—個(gè)新的信息摘要,將接收到的信息摘要解密,然后進(jìn)行對(duì)比,從而驗(yàn)證信息的完整性。

2.驗(yàn)證簽名者的身份

此功能證明信息是由簽名者發(fā)送的。因?yàn)閿?shù)字簽名中,是使用公開(kāi)密鑰加密算法,信息發(fā)送方是使用自己的私鑰對(duì)發(fā)送的信息進(jìn)行加密的,只有持有私鑰的人才能對(duì)數(shù)據(jù)進(jìn)行簽名,所以只要密鑰沒(méi)有被竊取,就可以肯定該數(shù)據(jù)是用戶簽發(fā)的。信息接收方可以使用發(fā)送方的公鑰對(duì)接受到的信息進(jìn)行解密,因而,接收方一旦解密成功,就完全可以確認(rèn)信息是由發(fā)送方發(fā)送的,同時(shí)也證實(shí)了信息發(fā)送方的身份。

3.防止交易中的抵賴行為

當(dāng)交易中出現(xiàn)抵賴行為時(shí),信息接收方可以將加了數(shù)字簽名的信息提供給認(rèn)證方,由于帶有數(shù)字簽名的信息是由發(fā)送方的私鑰加密生成的,其他任何人不可能產(chǎn)生這種信息,而發(fā)送方的公鑰是公開(kāi)的,任何人都可以獲得他的公鑰對(duì)信息解密.這樣認(rèn)證方可以使用公鑰對(duì)接收方提供的信息解密,從而可以判斷發(fā)送方是否出現(xiàn)抵賴行為。

篇4

關(guān)鍵詞:電子合同、電子簽名、電子認(rèn)證、電子合同監(jiān)管

一、電子合同

隨著電子技術(shù)的發(fā)展,電子合同得以出現(xiàn),其雖然也通過(guò)電子脈沖來(lái)傳遞信息,但是卻不在以一張紙為原始的憑據(jù),而只是一組電子信息。電子合同,又稱電子商務(wù)合同,根據(jù)聯(lián)合國(guó)國(guó)際貿(mào)易法委員會(huì)《電子商務(wù)示范法》以及世界各國(guó)頒布的電子交易法,同時(shí)結(jié)合我國(guó)《合同法》的有關(guān)規(guī)定,筆者認(rèn)為電子合同可以界定為:電子合同是雙方或多方當(dāng)事人之間通過(guò)電子信息網(wǎng)絡(luò)以電子的形式達(dá)成的設(shè)立、變更、終止財(cái)產(chǎn)性民事權(quán)利義務(wù)關(guān)系的協(xié)議。通過(guò)上述定義可以看出電子合同是以電子的方式訂立的合同,其主要是指在網(wǎng)絡(luò)條件下當(dāng)事人為了實(shí)現(xiàn)一定的目的,通過(guò)數(shù)據(jù)電文、電子郵件等形式簽訂的明確雙方權(quán)利義務(wù)關(guān)系的一種電子協(xié)議[1].電子合同的特征主要表現(xiàn)在以下幾個(gè)方面:

1、電子合同是一種民事法律行為。電子合同這種民事法律行為是雙方或者是多方民事主體的法律行為,當(dāng)事人之間以電子的方式設(shè)立、變更、終止財(cái)產(chǎn)性民事權(quán)利義務(wù)為目的,當(dāng)事人之間簽訂的這種合同是合同的電子化,是合同的新形式。根據(jù)《電子商務(wù)示范法》中有關(guān)規(guī)定,電子合同是以財(cái)產(chǎn)性為目的協(xié)議,該示范法列舉了大量商業(yè)性質(zhì)的關(guān)系。[2]

2、電子合同交易主體的虛擬化和廣泛化。電子合同訂立的整個(gè)過(guò)程所采用的是電子形式,通過(guò)電子郵件、EDI等方式進(jìn)行電子合同的談判、簽訂及履行等。這種合同方式大大的節(jié)約了交易成本,提高了經(jīng)濟(jì)效益。電子合同的交易主體可以是地球村的任何自然人和法人及其相關(guān)組織,這種交易方式當(dāng)然需要提供一系列的配套措施,如建立信用制度,讓交易的相對(duì)人在交易前知道對(duì)方的資信狀況[3],在世界經(jīng)濟(jì)全球化的今天,信用權(quán)益必將成為一種無(wú)形的財(cái)產(chǎn)。

3、電子合同具有技術(shù)化、標(biāo)準(zhǔn)化的特點(diǎn)。電子合同是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行的,他有別與傳統(tǒng)的合同訂立方式,電子合同的整個(gè)交易過(guò)程都需要一系列的國(guó)際國(guó)內(nèi)技術(shù)標(biāo)準(zhǔn)予以規(guī)范,如:電子簽名、電子認(rèn)證等。這些具體的標(biāo)準(zhǔn)是電子合同存在的基礎(chǔ),如果沒(méi)有相關(guān)的技術(shù)與標(biāo)準(zhǔn)電子合同是無(wú)法實(shí)現(xiàn)和存在的。

4、電子合同訂立的電子化。我國(guó)《合同法》規(guī)定合同的訂立需要有要約和承諾這兩個(gè)過(guò)程,電子合同同樣也需要具備這些要件。傳統(tǒng)的合同的要約和承諾采用的方式不同于電子合同,電子合同中的要約和承諾均可以用電子的形式完成,它主要輸入相關(guān)的信息符合預(yù)先設(shè)定的程序,計(jì)算機(jī)就可以自動(dòng)做出相應(yīng)的意思表示。

5、電子合同中的意思表示電子化。意思表示的電子化,是指在合同訂立的過(guò)程中通過(guò)相關(guān)的電子方式表達(dá)自己的意愿的一種行為,這種行為的表現(xiàn)方式是通過(guò)電子化形式實(shí)現(xiàn)的。《電子商務(wù)示范法》中將電子化的意思表示稱之為“數(shù)據(jù)電文”。

二、電子合同訂立與成立

電子合同的訂立,是指締約人做出意思表示并達(dá)成合意的行為和過(guò)程。任何一個(gè)合同的簽訂都需要當(dāng)事人雙方進(jìn)行一次或者是多次的協(xié)商、談判,并最終達(dá)成一致意見(jiàn),合同即可成立。電子合同的成立是指當(dāng)事人之間就合同的主要條款達(dá)成一致的意見(jiàn)。電子合同作為合同中的一種特殊形式,其成立與傳統(tǒng)的合同一樣,同樣需要具備相關(guān)的要素和條件。世界各國(guó)的合同法對(duì)合同的成立大都減少不必要的限制,這種做法是適應(yīng)和鼓勵(lì)交易行為,增進(jìn)社會(huì)財(cái)富的需要,所以說(shuō)在電子合同的成立上,只要當(dāng)事人之間就合同的主要條款達(dá)成一致的意見(jiàn)即可成立。關(guān)于合同中的主要條款,現(xiàn)行的立法是很寬泛的,我國(guó)的《合同法》第12條做了列舉性的規(guī)定,但是該列舉性規(guī)定是指一般條款。筆者認(rèn)為,就合同的主要本質(zhì)而言,在合同主要條款方面如果當(dāng)事人有約定,要以雙方約定為主要條款,如果沒(méi)有約定的可以根據(jù)合同的性質(zhì)的予以確定合同主要條款。

合同的成立與合同的訂立是兩個(gè)不同的概念,兩者既有聯(lián)系又有區(qū)別。電子合同的成立需要具備相應(yīng)的要件。首先,訂約人的主體是雙方或者是多方當(dāng)事人,合同的主體是合同關(guān)系的當(dāng)事人,他們實(shí)際享受合同權(quán)利并承擔(dān)合同義務(wù)的人。[4]其次,訂約當(dāng)事人對(duì)主要條款達(dá)成合意,合同成立的根本標(biāo)志在于合同當(dāng)事人就合同的主要條款達(dá)成合意。最后,合同的成立應(yīng)該具備要約和承諾兩個(gè)階段,《合同法》第13條規(guī)定:“當(dāng)事人訂立合同,采取要約、承諾方式?!?/p>

(一)要約和要約邀請(qǐng)

要約是指締約一方以締結(jié)合同為目的而向?qū)Ψ疆?dāng)事人作出的意思表示。關(guān)于要約的形式,聯(lián)合國(guó)的《電子商務(wù)示范法》第11條規(guī)定:除非當(dāng)事人另有協(xié)議,合同要約及承諾均可以通過(guò)電子意思表示的手段來(lái)表示,并不得僅僅以使用電子意思表示為理由否認(rèn)該合同的有效性或者是可執(zhí)行性。要約的形式,即可以是明示的,也可以是默示的。要約通常都具有特定的形式和內(nèi)容,一項(xiàng)要約要發(fā)生法律效力,則必須具備特定的有效要件:1、要約是由具有訂約能力的特定人做出的意思表示。2、要約必須具有訂立合同的意圖。3、要約必須向要約人希望與之締結(jié)合同的受要約人發(fā)出。4、要約的內(nèi)容必須明確具體和完整。5、要約必須送達(dá)受要約人。[5]

要約邀請(qǐng)是指希望他人向自己發(fā)出要約的意思表示。在電子商務(wù)活動(dòng)中,從事電子交易的商家在互聯(lián)網(wǎng)上廣告的行為到底應(yīng)該視為要約還是要約邀請(qǐng)?[6]在該問(wèn)題上學(xué)界有不同的觀點(diǎn),一種觀點(diǎn)認(rèn)為是要約邀請(qǐng),他們認(rèn)為這些廣告是針對(duì)不特定的多數(shù)人發(fā)出的。另一種觀點(diǎn)認(rèn)為是要約,因?yàn)檫@些廣告所包含的內(nèi)容是具體確定的,其包括了價(jià)格、規(guī)格、數(shù)量等完整的交易信息。筆者認(rèn)為,雖然電子商務(wù)是新型的商業(yè)活動(dòng)形式,但是其與傳統(tǒng)商業(yè)活動(dòng)的區(qū)別只是使用的中介媒介不同,其法律特征應(yīng)當(dāng)是相同的。因此,就該問(wèn)體的區(qū)分仞然要回到《合同法》中去解決。根據(jù)法律的規(guī)定,判斷網(wǎng)絡(luò)廣告是否屬于要約邀請(qǐng)的標(biāo)準(zhǔn)是:1、意思表示的內(nèi)容是否具體確定,2、其發(fā)出人是否有受該意思表示約束的意圖。

要約一旦做出就不能隨意撤銷或者是撤回,否則要約人必須承擔(dān)違約責(zé)任。我國(guó)《合同法》第18條規(guī)定:“要約到達(dá)受要約人時(shí)生效”。由于電子交易均采取電子方式進(jìn)行,要約的內(nèi)容均表現(xiàn)為數(shù)字信息在網(wǎng)絡(luò)上傳播,往往要約在自己的計(jì)算機(jī)上按下確認(rèn)鍵的同時(shí)對(duì)方計(jì)算機(jī)幾乎同步收到要約的內(nèi)容,這種技術(shù)改變了傳統(tǒng)交易中的時(shí)間和地點(diǎn)觀念,為了明確電子交易中何謂要約的到達(dá)標(biāo)準(zhǔn),《合同法》第16條第2款規(guī)定:“采用數(shù)據(jù)電文形式訂立合同,收件人指定特定系統(tǒng)接收數(shù)據(jù)電文的,該數(shù)據(jù)電文進(jìn)入該特定系統(tǒng)的時(shí)間,視為到達(dá)時(shí)間,未指定特定系統(tǒng)的,該數(shù)據(jù)電文進(jìn)入收件人的任何系統(tǒng)的首次時(shí)間,視為到達(dá)時(shí)間。”[7]

(二)承諾

承諾,又稱之為接盤(pán)或接受,是指受要約人做出的,對(duì)要約的內(nèi)容表示同意并愿意與要約人締結(jié)合同的意思表示。我國(guó)的《合同法》第21條規(guī)定:“承諾是受要約人同意要約的意思表示”。意思表示是否構(gòu)成承諾需具備以下幾個(gè)要件:1、承諾必須由受要約人向要約人做出。2、承諾必須是對(duì)要約明確表示同意的意思表示。3、承諾的內(nèi)容不能對(duì)要約的內(nèi)容做出實(shí)質(zhì)性的變更。4、承諾應(yīng)在要約有效期間內(nèi)做出。要約沒(méi)有規(guī)定承諾期限的,若要約以對(duì)話方式做出的,承諾應(yīng)當(dāng)即時(shí)做出,要約以非對(duì)話方式做出的,承諾應(yīng)當(dāng)在合理期間內(nèi)承諾,雙方當(dāng)事人另有約定的從其約定。

承諾的撤回,是指受要約人在發(fā)出承諾通知以后,在承諾正式生效之前撤回承諾。根據(jù)《合同法》第27條的規(guī)定:“承諾可以撤回。撤回承諾的通知應(yīng)當(dāng)在承諾通知達(dá)到要約人之前或者是承諾通知同時(shí)達(dá)到要約人?!币虼耍兄Z的撤回通知必須在承諾生效之前達(dá)到要約人,或者是與承諾通知同時(shí)到達(dá)要約人,撤回才能生效。如果承諾通知已經(jīng)生效,合同已經(jīng)成立,受要約人當(dāng)然不能在撤回承諾。對(duì)承諾的撤回問(wèn)題學(xué)界有不同的觀點(diǎn),反對(duì)者認(rèn)為電子商務(wù)具有傳遞速度快,自動(dòng)化程度高的特點(diǎn),要約或者承諾生效后,可能自動(dòng)引發(fā)計(jì)算機(jī)做出相關(guān)的指令,這樣會(huì)導(dǎo)致一系列的后果。贊同承諾撤回的學(xué)者則認(rèn)為不管電子傳輸速度有多快,總是有時(shí)間間隔的,而且也存在網(wǎng)絡(luò)故障、信箱擁擠、計(jì)算機(jī)病毒等突發(fā)性事件的存在,似的要約、承諾不可能及時(shí)到達(dá)。筆者認(rèn)為,撤回承諾同要約的撤銷同樣重要,這種民事權(quán)利不能剝奪,否則會(huì)破壞我國(guó)《合同法》的體系與精神。

三、電子合同成立時(shí)間與地點(diǎn)

電子合同成立時(shí)間,是指電子合同開(kāi)始對(duì)當(dāng)事人產(chǎn)生法律約束力的時(shí)間。在一般情況下電子合同的成立時(shí)間就是電子合同的生效時(shí)間,合同成立的時(shí)間是對(duì)雙方當(dāng)事人產(chǎn)生法律效力的時(shí)間。一般認(rèn)為收件人收到數(shù)據(jù)電文的時(shí)間即為到達(dá)生效的時(shí)間。聯(lián)合國(guó)《電子商務(wù)示范法》第15條和我國(guó)的《合同法》第16條的規(guī)定基本相同。[8]如收件人為接收數(shù)據(jù)電文而指定了某一信息系統(tǒng),該數(shù)據(jù)系統(tǒng)進(jìn)入該特定系統(tǒng)的時(shí)間,視為收到時(shí)間。如收件人沒(méi)有指定某一特定信息系統(tǒng)的,則數(shù)據(jù)電文進(jìn)入收件人的任一信息系統(tǒng)的時(shí)間為收到時(shí)間。對(duì)于什么是“進(jìn)入”,筆者認(rèn)為,一項(xiàng)數(shù)據(jù)電文進(jìn)入某一信息系統(tǒng),其時(shí)間應(yīng)是在該信息系統(tǒng)內(nèi)可投入處理的時(shí)間,而不管收件人是否檢查或者是否閱讀傳送的信息內(nèi)容。

認(rèn)定發(fā)送和接收電子合同的時(shí)間對(duì)于判斷交易成立和生效具有重要的意義。我國(guó)的《合同法》對(duì)此只是做了原則性的規(guī)定。根據(jù)《合同法》和民事法律關(guān)系基本原理和電子合同的實(shí)際情況,認(rèn)定發(fā)送和接收電子通訊時(shí)間的默認(rèn)規(guī)則為,在雙方?jīng)]有相反約定的情況下,某個(gè)電子信息進(jìn)入某個(gè)輸送人無(wú)法控制的信息系統(tǒng)就視為該信息已經(jīng)被發(fā)送,如果信息先后進(jìn)入了多個(gè)信息系統(tǒng),則信息發(fā)送的時(shí)間以最先進(jìn)入其網(wǎng)絡(luò)服務(wù)提供者的服務(wù)器,在發(fā)送到接收人的計(jì)算機(jī)系統(tǒng),那么該信息被發(fā)送的時(shí)間就是先進(jìn)入網(wǎng)絡(luò)服務(wù)提供者的服務(wù)器的時(shí)間。[9]在判斷信息接收時(shí)間方面,如果電子信息的接收人指定了一個(gè)信息接收系統(tǒng),則電子信息進(jìn)入該系統(tǒng)的時(shí)間即為信息接收的時(shí)間。

電子合同的成立地點(diǎn),是指電子合同成立的地方。確定電子合同成立的地點(diǎn)涉及到發(fā)生合同糾紛后由那地、那級(jí)法院管轄及其適用法律問(wèn)題。我國(guó)《合同法》第34條規(guī)定,承諾生效的地點(diǎn)為合同成立的地點(diǎn),采用電子意思表示形式訂立合同的收件人的主要營(yíng)業(yè)地為合同成立的地點(diǎn),沒(méi)有主要營(yíng)業(yè)地的,其經(jīng)常居住地為合同成立的地點(diǎn),當(dāng)事人另有約定的從其約定。我國(guó)立法對(duì)電子意思表示采取的是“到達(dá)主義”,所以規(guī)定以收到地點(diǎn)為合同成立的地點(diǎn),其原因是考慮到當(dāng)事人意思自治原則和特殊性問(wèn)題。我國(guó)《合同法》第34條之所以這樣規(guī)定,主要是因?yàn)殡娮咏灰字惺占私邮栈蛘邫z索數(shù)據(jù)電文的信息系統(tǒng)經(jīng)常與收件人不在同一管轄區(qū)內(nèi),上述規(guī)定確保了收件人與視為收件地點(diǎn)的所在地有著某種合理的聯(lián)系,可以說(shuō)我國(guó)《合同法》這一規(guī)定充分考慮了電子商務(wù)不同于普遍交易的特殊性。

四、電子簽名與電子認(rèn)證

電子合同成立是雙方當(dāng)事人意思一致的結(jié)果,在傳統(tǒng)的合同訂立過(guò)程中,國(guó)際上通行的做法是用雙方當(dāng)事人的簽字來(lái)確定雙方的意思表示。我國(guó)的《合同法》第32條規(guī)定:“當(dāng)事人采用合同形式訂立合同,自雙方當(dāng)事人在合同書(shū)上簽名或者加蓋公章時(shí)合同成立?!碑?dāng)事人的簽字或者蓋章,意味著自然人或者法人在合同書(shū)上簽名或者是加蓋公章合同才發(fā)生法律效力。在電子商務(wù)合同中,要在這種合同書(shū)上簽字或者蓋章是很困難的。所以,在實(shí)踐中用何種技術(shù)來(lái)解決簽名和蓋章問(wèn)題是電子合同成立與生效的關(guān)鍵。

美國(guó)是世界上最先授權(quán)使用數(shù)字簽名的國(guó)家,他規(guī)定了用密碼組成的數(shù)字與傳統(tǒng)的簽字具有同等的效力[10].從技術(shù)的角度而言,電子簽名主要是指通過(guò)一種特定的技術(shù)方案來(lái)賦予當(dāng)事人一個(gè)特定的電子密碼,確保該密碼能夠證明當(dāng)事人身份的作用,而同時(shí)確保發(fā)件人發(fā)出的資料內(nèi)容不被篡改的安全保障措施。電子簽名的主要目的是利用技術(shù)的手段對(duì)數(shù)據(jù)電文的發(fā)件人身份做出確認(rèn)及保證傳送的文件內(nèi)容沒(méi)有被篡改,以及解決事后發(fā)件人否認(rèn)已經(jīng)發(fā)送或者是收到資料等問(wèn)題。[11]因此,驗(yàn)證解密得到的結(jié)果與經(jīng)過(guò)計(jì)算后的結(jié)果必然不同,從而保證了電子信息的真實(shí)性與完整性[12].

電子認(rèn)證與電子簽名一樣都是電子商務(wù)中的安全保障機(jī)制,是由特定的機(jī)構(gòu)提供的,對(duì)電子簽名及其簽署者的真實(shí)性進(jìn)行驗(yàn)證的服務(wù)。電子認(rèn)證,是指由特定的第三方機(jī)構(gòu)通過(guò)一定的方法對(duì)簽名及其所做的電子簽名的真實(shí)性進(jìn)行驗(yàn)證的一種活動(dòng)。電子認(rèn)證主要應(yīng)用于電子交易的信用安全方面,保障開(kāi)放性網(wǎng)絡(luò)環(huán)境中交易人的真實(shí)與可靠。電子認(rèn)證是確定某個(gè)人的身份信息或者是特定的信息在傳輸過(guò)程中未被修改或者替換。[13]電子認(rèn)證即可以在當(dāng)事人相互之間進(jìn)行,也可以由第三方來(lái)做出鑒別。電子商務(wù)活動(dòng)常常是跨國(guó)境的,各個(gè)參與方就需要有不同的國(guó)家的認(rèn)證機(jī)構(gòu)對(duì)各自的身份進(jìn)行認(rèn)證,并向電子商務(wù)活動(dòng)的相對(duì)方發(fā)放認(rèn)證證書(shū),這在實(shí)踐中就需各國(guó)相互承認(rèn)對(duì)方國(guó)家認(rèn)證機(jī)構(gòu)發(fā)放的電子認(rèn)證證書(shū)的效力。

在認(rèn)證機(jī)構(gòu)的設(shè)立上,必須強(qiáng)調(diào)認(rèn)證機(jī)構(gòu)是一個(gè)獨(dú)立的法律實(shí)體,能夠以自己的名義從事數(shù)字服務(wù),并且能夠以自己的財(cái)產(chǎn)提供擔(dān)保,能在法律規(guī)定的范圍內(nèi)自己承擔(dān)相應(yīng)的民事責(zé)任。他必須是保持中立,并具有可靠性、真實(shí)性和公正性。電子認(rèn)證機(jī)構(gòu)一般不得直接和客戶進(jìn)行商業(yè)交易,也不能在當(dāng)事人之間的交易活動(dòng)中代表任何一方的利益,而只能通過(guò)公正的交易信息促成當(dāng)事人之間的交易。它必須能被當(dāng)事人接受,也就是說(shuō),它應(yīng)當(dāng)在社會(huì)具有相當(dāng)?shù)挠绊懥涂尚哦龋⒆阋允谷藗冊(cè)诰W(wǎng)絡(luò)交易中愿意接受其認(rèn)證服務(wù)。當(dāng)事人對(duì)電子認(rèn)證機(jī)構(gòu)的接受可能是明示的,也可能是在網(wǎng)絡(luò)交易中默示承認(rèn)或者是基于成文法律的要求。另外,電子認(rèn)證機(jī)構(gòu)不能以盈利為目的,認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)是一種類似于承擔(dān)社會(huì)服務(wù)功能的公用事業(yè),其營(yíng)業(yè)的宗旨應(yīng)該是提供公正、安全的交易的環(huán)境,保護(hù)第三人的合法權(quán)益,促進(jìn)電子合同交易,加快電子商務(wù)的發(fā)展。

五、電子合同生效

電子合同的成立只是意味著當(dāng)事人之間已經(jīng)就合同內(nèi)容達(dá)成了意思表示一致,但合同能否產(chǎn)生法律效力,是否受法律保護(hù)還需要看他是否符合法律的要求,即合同是否符合法定的生效要件。電子合同的成立并不等于電子合同的生效,電子合同的生效,是指已經(jīng)成立的合同符合法律規(guī)定的生效要件。雖然我國(guó)的《合同法》沒(méi)有對(duì)合同的生效做出具體的規(guī)定,但是電子合同是一種典型的民事法律關(guān)系。我國(guó)的《民法通則》第55條規(guī)定:“民事法律行為應(yīng)當(dāng)具備以下幾個(gè)要件:1、行為人具有相應(yīng)的行為能力。2、意思表示真實(shí)。3、不違反法律或社會(huì)公共利益?!边@些條件是合同生效的一般要件,有的電子合同還需具備特殊要件,如有些特殊的電子合同還需到有關(guān)部門(mén)辦理批準(zhǔn)登記手續(xù)后才能生效。電子合同的生效需具備以下幾個(gè)法定要件:

(一)行為人具有相應(yīng)的民事行為能力。行為人具有相應(yīng)的民事行為能力的要件在學(xué)理上又被稱為有行為能力原則或主體合格原則。[14]行為人必須具備正確理解自己行為性質(zhì)和后果,獨(dú)立地表達(dá)自己的意思的能力。

(二)電子意思表示真實(shí)。是指利用資訊處理系統(tǒng)或者電腦而為真實(shí)意思表示的情形。電子意思表的形式是多種多樣的,包括但不限與電話、電報(bào)、電傳、傳真、電郵、EDI、因特網(wǎng)數(shù)據(jù)等,具體通過(guò)封閉型的EDI網(wǎng)絡(luò),局域網(wǎng)與因特網(wǎng)連接開(kāi)放型的因特網(wǎng)或傳統(tǒng)的電信進(jìn)行電子交易信息的傳輸。

(三)不違反法律和社會(huì)公共利益。不違反法律和社會(huì)公共利益,是指電子合同的內(nèi)容合法。合同有效不僅要符合法律的規(guī)定,而且在合同的內(nèi)容上不得違公共利益。在我在我國(guó),凡屬于嚴(yán)重違反公共道德和善良風(fēng)俗的合同,應(yīng)當(dāng)認(rèn)定其無(wú)效。

(四)合同必須具備法律所要求的形式。我國(guó)現(xiàn)行的法律規(guī)定無(wú)法確認(rèn)電子合同的形式屬于那一種類型,盡管電子合同與傳統(tǒng)上面合同有著許多差別,但是在形式要件方面不能阻擋新科技轉(zhuǎn)化為生產(chǎn)力的步伐,立法已經(jīng)在形式方面為合同的無(wú)紙化打開(kāi)了綠燈。法律對(duì)數(shù)據(jù)電文合同應(yīng)給予書(shū)面合同的地位,無(wú)論意思表示方式是采用電子的,光學(xué)的還是未來(lái)可能出現(xiàn)的其他新方式,一旦滿足了功能上的要求,就應(yīng)等同與法律上的“書(shū)面合同”文件,承認(rèn)其效力。[15]

六、電子合同監(jiān)管

網(wǎng)上廣告、網(wǎng)上購(gòu)物、網(wǎng)上合同、網(wǎng)上支付等新型網(wǎng)絡(luò)交易活動(dòng)給工商行政管理機(jī)關(guān)提出了新的要求。工商行政管理機(jī)關(guān)是國(guó)家主管市場(chǎng)監(jiān)督管理和有關(guān)行政執(zhí)法的職能部門(mén),工商行政管理部門(mén)監(jiān)管的市場(chǎng)是社會(huì)主義市場(chǎng)經(jīng)濟(jì)下的大市場(chǎng),工商行政管理機(jī)關(guān)對(duì)電子合同進(jìn)行監(jiān)督管理責(zé)無(wú)旁貸,該項(xiàng)職能是由法律所賦予的。[16]工商部門(mén)對(duì)電子合同監(jiān)管能促進(jìn)網(wǎng)絡(luò)市場(chǎng)交易的公平性、安全性、經(jīng)濟(jì)性,能有效的保護(hù)消費(fèi)者和經(jīng)營(yíng)者的合法權(quán)益,能減少合同爭(zhēng)議和違法合同,提高合同的履約率,維護(hù)市場(chǎng)交易安全,促進(jìn)經(jīng)濟(jì)的發(fā)展。

我國(guó)現(xiàn)階段的電子合同監(jiān)管主要存在著以下幾個(gè)方面的問(wèn)題:一是電子合同的實(shí)體法和監(jiān)管的程序法等立法不能適應(yīng)現(xiàn)階段的要求。對(duì)電子合同的監(jiān)管是一個(gè)技術(shù)性很強(qiáng)的工作,沒(méi)有相關(guān)的規(guī)章制度是無(wú)法開(kāi)展的。二是相關(guān)的技術(shù)與配套工程沒(méi)有確立,從而無(wú)法保證電子合同的監(jiān)督與管理工作。電子合同交易的開(kāi)展需要一系列的配套措施,是一個(gè)系統(tǒng)的工程,如市場(chǎng)主體制度的認(rèn)證,電子合同效力、電子合同交易的安全性與真實(shí)性問(wèn)題,電子證據(jù)、電子合同爭(zhēng)議的管轄權(quán)等等。目前的立法嚴(yán)重滯后,嚴(yán)重影響電子合同的交易和監(jiān)管力度。三是現(xiàn)有的工商登記制度無(wú)法對(duì)網(wǎng)絡(luò)交易主體進(jìn)行監(jiān)管,沒(méi)有統(tǒng)一的認(rèn)證機(jī)構(gòu)。四是工商行政管理機(jī)關(guān)執(zhí)法人員的水平和能力有限,執(zhí)法的手段單一。目前,我國(guó)基層工商機(jī)關(guān)自動(dòng)化辦公水平有待提高,計(jì)算機(jī)知識(shí)、網(wǎng)絡(luò)技術(shù)有待加強(qiáng)。執(zhí)法人員對(duì)網(wǎng)絡(luò)交易行為不了解,不能快速的對(duì)網(wǎng)絡(luò)市場(chǎng)信息進(jìn)行有效的收集、分析和整理,從而影響了電子合同監(jiān)管的力度。

工商行政管理機(jī)關(guān)對(duì)電子合同的監(jiān)管是對(duì)電子合同交易的整個(gè)過(guò)程的監(jiān)管,從電子合同要約,電子合同的訂立、電子合同的交付、電子合同的簽證、電子合同爭(zhēng)議的處理等。[17]筆者認(rèn)為根據(jù)等同法則電子合同具有書(shū)面合同的形式與性質(zhì),現(xiàn)階段我們不能用原有的方法來(lái)對(duì)電子合同進(jìn)行監(jiān)管。電子合同的監(jiān)管是對(duì)簽約前、簽約過(guò)程以及簽約后電子合同的履行等監(jiān)管。電子合同簽約前的階段主要是對(duì)買(mǎi)賣信息的檢索,對(duì)整個(gè)交易行為做充分的準(zhǔn)備工作,這就需要政府和只能部門(mén)提供一系列的配套措施。作為政府職能部門(mén)的工商行政管理機(jī)關(guān),就應(yīng)該對(duì)網(wǎng)絡(luò)市場(chǎng)予以規(guī)范和管理,為電子合同的廣泛使用提供良好的網(wǎng)絡(luò)環(huán)境,保障網(wǎng)絡(luò)交易的安全性、公正性,促進(jìn)網(wǎng)絡(luò)交易行為,提高履約率。[18]

筆者認(rèn)為工商部門(mén)對(duì)電子合同的監(jiān)管應(yīng)注重以下幾個(gè)方面:一是建立電子合同監(jiān)管平臺(tái)。工商行政管理機(jī)關(guān)應(yīng)該按照所轄區(qū)域設(shè)立電子合同監(jiān)管平臺(tái),各級(jí)工商行政管理機(jī)關(guān)應(yīng)該對(duì)所轄區(qū)域的經(jīng)濟(jì)主體經(jīng)濟(jì)情況對(duì)公眾公開(kāi),以備市場(chǎng)相對(duì)人進(jìn)行查詢和了解。這種信息包括對(duì)企業(yè)的信用、資金、企業(yè)產(chǎn)品質(zhì)量,有無(wú)違規(guī)經(jīng)營(yíng)等一切公眾資料,涉及企業(yè)商業(yè)秘密的沒(méi)經(jīng)權(quán)利人同意的不能公開(kāi)。二、對(duì)電子合同的監(jiān)管應(yīng)該是對(duì)電子合同是否違反法律、法規(guī)、規(guī)章進(jìn)行審查。糾正電子合同中違法行為,查處利用電子合同進(jìn)行違法交易的行為,以及違約的處罰。三是完善我國(guó)物流配送體系,加強(qiáng)電子合同依法履行的監(jiān)管工作,促進(jìn)電子合同交易的成功率。四是建立電子合同簽證網(wǎng)。電子合同簽證是對(duì)合同簽證的延伸,電子合同簽證網(wǎng)的建立能有效的彌補(bǔ)書(shū)面簽證的缺陷,減少人力、物力和才力方面的支出,提高工作效率。五是建立網(wǎng)上電子合同監(jiān)管投訴中心,及時(shí)反映合同監(jiān)管中的問(wèn)題,保護(hù)消費(fèi)者的合法權(quán)益。六是加強(qiáng)電子合同的法律法規(guī)的研究制定工作,建立有效的網(wǎng)絡(luò)監(jiān)管體制,維護(hù)市場(chǎng)經(jīng)濟(jì)的安全。七是加強(qiáng)執(zhí)法人員的培訓(xùn)工作,提高執(zhí)法人員的水平。電子合同監(jiān)管是一項(xiàng)技術(shù)性很強(qiáng)的工作,他涉及的知識(shí)面廣泛,需要不斷的學(xué)習(xí)和更新知識(shí)結(jié)構(gòu)。八是加強(qiáng)對(duì)工商部門(mén)職能的宣傳工作,特別是要加強(qiáng)對(duì)電子合同監(jiān)管的必要性和可行性的宣傳力度。面對(duì)新的挑戰(zhàn),工商行政管理機(jī)關(guān)要認(rèn)真的研習(xí)新《合同法》的基本原理和精神,熟悉電子信息技術(shù),切實(shí)有效的對(duì)電子合同實(shí)施監(jiān)管,維護(hù)市場(chǎng)經(jīng)濟(jì)秩序的健康發(fā)展。

OnTheBasicTheoryofElectronicContractTrade

Abstract:E-commerceistheinevitabledirectionofthecommercialdevelopmentinthefuture.Withitsdistinctwayofbeingmade,e-contractchallengesthetransitiononpapertermsoflaw,technology,supervisionandsoon.E-contractisthefoundationandhardcoreofe-commerce.Thelegalproblemsine-contractconstrainthedevelopmentandtheprocessofe-transition.So,itisnecessaryforourcountrytoacceleratethestepoflawmakingone-commerce,makeupthemechanisticofe-contractsupervision,andcompletethelegalsystemofe-contracttransition.Inthearticle,theauthorhasmaderesearchingandstatementonthelegalandtechnologicalproblemsofthee-contract,andalsohasmadeaproposalonthelawmakingandsupervisionofe-contract.

Keywords:electroniccontract;electronicsignature;electronicattesting;electroniccontractsupervision

注釋:

1、齊愛(ài)民、萬(wàn)暄、張素華著:《電子合同的民法原理》,武漢大學(xué)出版社2002年版,第9頁(yè)。

2、齊愛(ài)民、萬(wàn)暄、張素華著:《電子合同的民法原理》,武漢大學(xué)出版社2002年版,第17頁(yè)。

3、吳漢東:《論信用權(quán)》,《法學(xué)》2001年第1期。

4、王利明、崔建遠(yuǎn)著:《合同法新論??倓t》,中國(guó)政法大學(xué)出版社2000年版,第123頁(yè)。

5、王利明、崔建遠(yuǎn)著:《合同法新論??倓t》,中國(guó)政法大學(xué)出版社2000年版,第130—135頁(yè)

6、張楚著:《電子商務(wù)法初論》,中國(guó)政法大學(xué)出版社2000年版,第273頁(yè)。

7、蔣坡:《論我國(guó)電子商務(wù)法律體系和基本架構(gòu)》,《科技與法律》2002年第2期。

8、于靜:《電子合同若干法律問(wèn)題初探》,《政法論壇》1999年第6期。

9、鄭成思、薛虹:《我國(guó)電子商務(wù)立法的核心法律問(wèn)題》,《知識(shí)產(chǎn)權(quán)》2000年第5期。

10、邱永紅、魏麗:《國(guó)際貿(mào)易中應(yīng)用EDI的法律問(wèn)題新探》,《國(guó)際經(jīng)濟(jì)貿(mào)易研究》1998年第2期

11、蔣坡:《論我國(guó)電子商務(wù)法律體系和基本架構(gòu)》,《科技與法律》2002年第2期。

12、唐春林、王穎、郭敏之著:《電子商務(wù)基礎(chǔ)》,科學(xué)出版社2000年版,第37頁(yè)。

13、劉滿達(dá):《數(shù)字簽名的法律思考》,《法學(xué)》2000年第12期。

14、王利明、崔建遠(yuǎn)著:《合同法新論??倓t》,中國(guó)政法大學(xué)出版社2000年版,第240頁(yè)。

15、蔣坡:《論我國(guó)電子商務(wù)法律體系和基本架構(gòu)》,《科技與法律》2002年第2期。

16、吳懷福、張士茂:《電子商務(wù)中電子合同監(jiān)管問(wèn)題初探》,《中國(guó)工商管理研究》2003年第2期。

篇5

一、電子商務(wù)的安全需求

由于電子商務(wù)是一種利用互聯(lián)網(wǎng)資源進(jìn)行的商業(yè)交易活動(dòng),因此在交易安全方面與互聯(lián)網(wǎng)的安全性密切相關(guān)。在交易過(guò)程中,主要涉及信息的安全傳輸、在線支付的安全認(rèn)證等問(wèn)題。

1.數(shù)據(jù)保密性需求。在電子商務(wù)中,無(wú)論是企業(yè)自己的數(shù)據(jù),如計(jì)劃書(shū)、圖紙、生產(chǎn)銷售數(shù)據(jù)等,還是企業(yè)間交換的契約、合同或者用戶的訂單、支付等都是十分重要和敏感的數(shù)據(jù),這些數(shù)據(jù)都要使用良好的加密措施,保證其在存儲(chǔ)和傳輸中的安全性。

2.數(shù)據(jù)完整性需求。由于在交易過(guò)程中必須保證信息的完整性和有效性,即要保證信息從交易一方送達(dá)另一方時(shí),數(shù)據(jù)是準(zhǔn)確的、有效的,且發(fā)送方不可否認(rèn)此次交易的存在性和真實(shí)性,這需要對(duì)傳送的數(shù)據(jù)進(jìn)行簽名和驗(yàn)證。

3.身份確認(rèn)需求。由于交易是在網(wǎng)上進(jìn)行的,所以在進(jìn)行交易前,必須確認(rèn)對(duì)方的身份,防止交易雙方的身份被假冒,因此需為參與交易的各方提供可靠的標(biāo)識(shí),通過(guò)驗(yàn)證被認(rèn)證對(duì)象標(biāo)識(shí)的有效性,來(lái)證實(shí)被認(rèn)證對(duì)象身份是否有效。

4.商務(wù)活動(dòng)的不可抵賴性。為了保證商務(wù)活動(dòng)的各參與方對(duì)自己的行動(dòng)負(fù)責(zé),一方面,電子商務(wù)系統(tǒng)會(huì)讓參與者留下參與活動(dòng)的證據(jù);另一方面,政府通過(guò)相應(yīng)的法律條文保障參與方履行其申明的責(zé)任。為滿足電子商務(wù)的安全需要,實(shí)現(xiàn)安全的、有效的在線交易,需要在Internet上建立可信的安全的通信基礎(chǔ)設(shè)施,通過(guò)強(qiáng)認(rèn)證機(jī)制和加密機(jī)制來(lái)保證安全性。

二、PKI技術(shù)

1.PKI的組成。PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。一個(gè)完整的PKI系統(tǒng)由策略管理、軟硬件系統(tǒng)、認(rèn)證機(jī)構(gòu)(CA)、注冊(cè)機(jī)構(gòu)(RA)、證書(shū)管理系統(tǒng)和PKI應(yīng)用接口等部分組成。

(1)策略管理:它建立和定義了一個(gè)組織信息安全方面的指導(dǎo)方針,同時(shí)也定義了密碼系統(tǒng)使用的處理方法和原則。(2)CA 是可信的第三方機(jī)構(gòu),負(fù)責(zé)頒發(fā)證書(shū)、驗(yàn)證用戶身份的真實(shí)性。(3)RA 提供用戶和CA 之間的一個(gè)接口,它收集和確認(rèn)用戶身份,接受用戶的注冊(cè)申請(qǐng),向CA 提出證書(shū)請(qǐng)求。(4)證書(shū)管理系統(tǒng)用來(lái)管理數(shù)字證書(shū)庫(kù),包括證書(shū)、實(shí)時(shí)查詢證書(shū)和證書(shū)撤銷信息等。

2.PKI技術(shù)實(shí)現(xiàn)的主要功能

(1)用戶注冊(cè):收集用戶信息,該功能在CA完成或由獨(dú)立的RA完成。(2)發(fā)行證書(shū):響應(yīng)用戶的請(qǐng)求創(chuàng)建證書(shū),由CA完成。(3)廢止證書(shū):創(chuàng)建和廢止證書(shū)列表(CRI,Certificate Revocation List),由與CA相關(guān)的管理軟件完成。(4)存儲(chǔ)和檢索證書(shū)和CRI:使具有授權(quán)的用戶可以方便地使用證書(shū)和CRI,證書(shū)及CRI通常存儲(chǔ)在一個(gè)可通過(guò)LDAP協(xié)議訪問(wèn)的安全的、備份的目錄。(5)證書(shū)路徑確認(rèn):在證書(shū)確認(rèn)鏈中加入一個(gè)基于規(guī)則的約束,只有在約束全部滿足時(shí)證書(shū)才被確認(rèn),由CA完成。(6)時(shí)間戳:為每個(gè)證書(shū)打上時(shí)間標(biāo)記,規(guī)定證書(shū)的有效時(shí)限,由CA或者是專用的時(shí)間服務(wù)器(TimeServer)完成。(7)密鑰生命期管理:進(jìn)行密鑰的更新、存檔、恢復(fù)等工作,由軟件自動(dòng)完成或手工完成。

3.PKI安全性分析

PKI是以公鑰加密為基礎(chǔ)的,為網(wǎng)絡(luò)安全提供安全保障的基礎(chǔ)設(shè)施。從理論上來(lái)講,是目前比較完善和有效的實(shí)現(xiàn)身份認(rèn)證和保證數(shù)據(jù)完整性、有效性的手段,但在實(shí)際的實(shí)施中,仍有一些需要注意的問(wèn)題。與PKI安全相關(guān)的最主要的問(wèn)題是私有密鑰的存儲(chǔ)安全性。由于私有密鑰保存的責(zé)任是由持有者承擔(dān)的,而非PKI系統(tǒng)的責(zé)任。私鑰保存丟失,會(huì)導(dǎo)致PKI的整個(gè)驗(yàn)證過(guò)程沒(méi)有意義。另一個(gè)問(wèn)題是廢止證書(shū)時(shí)間與廢止證書(shū)的聲明出現(xiàn)在公共可訪問(wèn)列表的時(shí)間之間會(huì)有一段延遲,這會(huì)使無(wú)效證書(shū)這一段時(shí)間內(nèi)被使用。另外,Internet使得獲得個(gè)人身份信息很容易,如身份證號(hào)等,一個(gè)人可以利用別人的這些信息獲得數(shù)字證書(shū),而使申請(qǐng)看起來(lái)像來(lái)自別人。同時(shí),PKI系統(tǒng)的安全很大程度上依賴于運(yùn)行CA 的服務(wù)器、軟件等,如果黑客非法侵入一個(gè)不安全的CA服務(wù)器,就可能危害整個(gè)PKI系統(tǒng)。因此,從私鑰的保存到PKI系統(tǒng)本身的安全方面還要加強(qiáng)防范。在這幾方面都有比較好的安全性的前提下,PKI不失為一個(gè)保證網(wǎng)絡(luò)安全的一個(gè)非常合理和有效的解決方案。

三、結(jié)論

由于通過(guò)網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動(dòng)缺少物理接觸,因此使得用電子方式驗(yàn)證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)。它能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全問(wèn)題。一個(gè)實(shí)用的PKI體系應(yīng)該是安全的、易用的、靈活的和經(jīng)濟(jì)的。

參考文獻(xiàn):

[1]Robert C Elsenpeter,Toby J Velte.電子商務(wù)技術(shù)指南[M].前導(dǎo)工作室譯.北京:機(jī)械工業(yè)出版社,2001

[2]李金庫(kù)張德運(yùn)張勇:身份認(rèn)證機(jī)制及其安全性分析.計(jì)算機(jī)應(yīng)用研究.2007

[3]吳曉平:PKI/CA在專用信息系統(tǒng)中的建設(shè)及應(yīng)用研究[D].四川大學(xué),2006

篇6

關(guān)鍵詞:電子簽章; PKI技術(shù);數(shù)字簽名技術(shù)

1、系統(tǒng)概述

本電子簽章系統(tǒng)(以下簡(jiǎn)稱本系統(tǒng))基于B/S結(jié)構(gòu),應(yīng)用自主創(chuàng)新的DBPacket通訊協(xié)議包技術(shù),實(shí)現(xiàn)簽章服務(wù)器集中地對(duì)客戶端的簽章發(fā)放、吊銷、安全檢測(cè)、日志監(jiān)控等綜合管理;并支持分布式部署和分級(jí)管理,滿足大規(guī)??蛻舳斯芾硇枨蟆?蛻舳瞬粌H支持插件技術(shù),直接嵌入Word、Excel、HTML、PDF、WPS等系統(tǒng)應(yīng)用;同時(shí)支持任意可輸出打印的文件轉(zhuǎn)化成自主開(kāi)發(fā)的GDF版式文件,經(jīng)簽名和蓋章后,將簽章信息與文件綁定,通過(guò)簽章驗(yàn)證、數(shù)字證書(shū)、二維條碼、數(shù)字水印、打印控制等技術(shù)確保文檔防偽造、防篡改、防抵賴,安全可靠。其在技術(shù)實(shí)現(xiàn)途徑和安全應(yīng)用上具有創(chuàng)新性,在國(guó)內(nèi)同類產(chǎn)品處于領(lǐng)先水平。

數(shù)字簽名過(guò)程

2、系統(tǒng)技術(shù)簡(jiǎn)析

2.1體系結(jié)構(gòu)

本系統(tǒng)由硬件和軟件兩部分構(gòu)成。

1)硬件部分

硬件部分是自帶存儲(chǔ)器和加密處理機(jī)制的智能密碼設(shè)備。用于存放用戶數(shù)字證書(shū)、用戶所屬標(biāo)識(shí)、單位印章或個(gè)人簽名信息;設(shè)備體積小、重量輕、安全性高、使用方便。

2)軟件部分

軟件部分由簽章客戶端軟件和簽章服務(wù)器軟件構(gòu)成。

2.1.1簽章客戶端軟件

實(shí)現(xiàn)在文檔上進(jìn)行簽章,檢測(cè)文檔的真實(shí)性、有效性、鑒別簽章人的身份;

簽章客戶端軟件作為嵌入到Office中運(yùn)行的軟件,必須符合Office軟件對(duì)第三方軟件的支持標(biāo)準(zhǔn),否則無(wú)法在Office中正常運(yùn)行,成熟的方式是采用ActiveX/COM技術(shù),該技術(shù)為互連互通提供了標(biāo)準(zhǔn)軟件接口。簽章客戶端結(jié)合DBPacket?安全通訊協(xié)議包技術(shù),實(shí)現(xiàn)和服務(wù)器端數(shù)據(jù)的安全、快速交換,確保簽章過(guò)程中及時(shí)檢測(cè)客戶端密鑰盤(pán)的合法性、有效性,并形成完整的電子簽章日志,以便日后查詢、統(tǒng)計(jì)。

簽章客戶端軟件實(shí)現(xiàn)在Office(WORD/EXCEL)文檔等文件上進(jìn)行手寫(xiě)簽名和加蓋印章;并可將簽章和文件信息綁定在一起,通過(guò)簽名驗(yàn)證確保文檔防偽造、防篡改、防抵賴,安全可靠。

2.1.2簽章服務(wù)器軟件

實(shí)現(xiàn)對(duì)簽章鑰匙盤(pán)的啟用、吊銷、掛失等管理功能;同時(shí)實(shí)現(xiàn)對(duì)簽章的日志管理,包括查詢、統(tǒng)計(jì)等。

在實(shí)際使用過(guò)程中,可能會(huì)出現(xiàn)密鑰盤(pán)遺失的情況,這就要求系統(tǒng)具備掛失、吊銷等功能,否則,丟失的密鑰盤(pán)可能被他人非法使用。因此,鑰匙盤(pán)的有效性必須集中管理,必須由服務(wù)器軟件提供鑰匙盤(pán)的管理功能,僅由客戶端單方面軟件是無(wú)法實(shí)現(xiàn)的,缺乏服務(wù)器對(duì)鑰匙盤(pán)的管理功能,將給系統(tǒng)帶來(lái)嚴(yán)重的安全隱患。

2.2功能結(jié)構(gòu)

1)簽章服務(wù)器功能:密鑰盤(pán)管理、制章管理、日志審記、系統(tǒng)管理。

2)簽章軟件功能:文件簽章功能、簽章會(huì)簽功能、簽章驗(yàn)證功能、身份認(rèn)證功能、證書(shū)查看功能、撤消簽章功能、文件鎖定功能、文件解鎖功能、撤消原則定義、移動(dòng)簽章功能、禁止移動(dòng)簽章、讀取服務(wù)器時(shí)間。

2.3技術(shù)路線

2.3.1建立電子簽章信息的鑒別與管理系統(tǒng)

電子簽章信息是本系統(tǒng)的核心內(nèi)容,本系統(tǒng)通過(guò)嚴(yán)格的加密和簽名等措施,確保電子簽章信息的真實(shí)有效性,確保來(lái)源可靠,內(nèi)容不可篡改,使用必須授權(quán),提供使用日志等方法進(jìn)行管理,采取了如下技術(shù)方法:

(1)接受電子簽章圖片格式文件,根據(jù)特定算法,形成印章標(biāo)記,并生成全球唯一序列編碼。

(2)使用高強(qiáng)度加密算法或國(guó)密算法,對(duì)印章進(jìn)行加密;對(duì)印章標(biāo)記本身進(jìn)行密碼保護(hù)。

(3)為印章標(biāo)記產(chǎn)生公私鑰對(duì),可對(duì)印章標(biāo)記和印章文件進(jìn)行簽名驗(yàn)證。

(4)印章標(biāo)記制作完成后,保存在電子智能密碼鑰匙盤(pán)上,確保印章信息的唯一性,不可復(fù)制性,僅供授權(quán)人使用。

(5)對(duì)印章進(jìn)行嚴(yán)格管理,包括印章制作、印章發(fā)放、印章掛失、印章吊銷,印章備份等。

2.3.2采用PKI身份認(rèn)證體系,實(shí)現(xiàn)簽章文件的有效性及簽章人身份的認(rèn)證

PKI身份認(rèn)證體系是通過(guò)使用公開(kāi)密鑰技術(shù)和數(shù)字證書(shū)來(lái)確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書(shū)持有者身份的一種體系。PKI體系結(jié)構(gòu)采用證書(shū)管理公鑰,通過(guò)第三方的可信機(jī)構(gòu)CA ,把用戶的公鑰和用戶的其他標(biāo)識(shí)信息(如名稱、單位、身份證號(hào)等)捆綁在一起,可以進(jìn)行遠(yuǎn)程用戶身份驗(yàn)證,PKI 體系結(jié)構(gòu)把公鑰密碼和對(duì)稱密碼結(jié)合起來(lái),實(shí)現(xiàn)密鑰的自動(dòng)管理,保證數(shù)據(jù)的機(jī)密性、完整性。

本系統(tǒng)采用PKI體系的主要目的是通過(guò)自動(dòng)管理密鑰和證書(shū),為用戶建立起一個(gè)安全可信的運(yùn)行環(huán)境,使用戶在進(jìn)行手寫(xiě)簽名或加蓋印章時(shí)自動(dòng)的使用數(shù)字簽名技術(shù),對(duì)簽章文件進(jìn)行電子簽名,從而保證數(shù)據(jù)的機(jī)密性、完整性、有效性,保證數(shù)據(jù)在傳輸過(guò)程中,不能被非授權(quán)者偷看,保證數(shù)據(jù)在傳輸過(guò)程中不能被非法篡改,保證數(shù)據(jù)不能被否認(rèn)、抗抵賴,實(shí)現(xiàn)簽章文件的有效性及簽章人身份的認(rèn)證。

2.3.3采用電子智能密碼鑰匙盤(pán)為印章和證書(shū)信息存儲(chǔ)載體

電子簽章系統(tǒng)涉及到兩個(gè)重要的數(shù)據(jù)信息,一是數(shù)字證書(shū),二是印章信息;

在電子簽名法中對(duì)可靠的電子簽名提出了四點(diǎn)要求如下:

    (1)電子簽名制作數(shù)據(jù)用于電子簽名時(shí),屬于電子簽名人專有;

(2)簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制;

(3)簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn);

(4)簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)其中第一條和第二條,涉及到數(shù)字證書(shū)和印章信息僅由電子簽名人控制,不能夠被復(fù)制,否則,將帶來(lái)嚴(yán)重的安全隱患。

本系統(tǒng)嚴(yán)格遵循電子簽名法要求,采用eKey電子智能密碼鑰匙盤(pán)作為印章和證書(shū)信息存儲(chǔ)載體;eKey是通過(guò)了國(guó)家商業(yè)密碼管理委員會(huì)的商用密碼產(chǎn)品技術(shù)鑒定的硬件設(shè)備,自帶快速存儲(chǔ)器和加密處理機(jī)制,用于存放數(shù)字證書(shū)、印章或簽名信息。該設(shè)備通過(guò)USB接口和計(jì)算機(jī)連接,具有高安全性、通用性和易用性。可以為本系統(tǒng)提供強(qiáng)身份認(rèn)證和數(shù)據(jù)存儲(chǔ)的多重功能,是高端應(yīng) 用領(lǐng)域的安全終端設(shè)備。

2.3.4針對(duì)不同應(yīng)用軟件需求,提供二次開(kāi)發(fā)接口

電子簽章系統(tǒng)作為一種紙質(zhì)文件數(shù)字化產(chǎn)品,所提供的文件安全性,防抵賴性及身份可認(rèn)證性,必將應(yīng)用到各種領(lǐng)域,為各種形式的軟件提供服務(wù),因此,從系統(tǒng)的靈活性和應(yīng)用的廣泛性要求出發(fā),必須提供豐富的二次開(kāi)發(fā)接口,才能被其他應(yīng)用系統(tǒng)所支持。本系統(tǒng)采用COM接口技術(shù),提供豐富的以XML為數(shù)據(jù)參數(shù)標(biāo)準(zhǔn)的接口功能。

3、系統(tǒng)關(guān)鍵技術(shù)

本系統(tǒng)主要是通過(guò)ActiveX技術(shù),將軟件插入到文檔如Word、Excel、WPS、等各種數(shù)據(jù)中,結(jié)合PKI信息安全認(rèn)證體系,應(yīng)用電子簽名技術(shù)和電子簽章技術(shù),解決電子政務(wù)中電子公文和電子商務(wù)中電子合同的真實(shí)性,有效性,完整性,合法性,解決簽章人的身份可追溯性及防篡改,防偽造,防抵賴等問(wèn)題,真正達(dá)到實(shí)現(xiàn)“無(wú)紙化”的目標(biāo)。

3.1關(guān)鍵技術(shù)

1)解決版式文件上的簽名蓋章問(wèn)題;即電子簽章技術(shù)。

2)解決簽章文件防篡改,防偽造,防抵賴等問(wèn)題;即電子簽名技術(shù)。

3)解決簽章文檔管理問(wèn)題;即權(quán)限分配,打印控制等技術(shù)。

4)解決簽章文檔傳輸問(wèn)題;即網(wǎng)絡(luò)傳輸安全,加密解密及壓縮等技術(shù)。

5)解決電子簽章系統(tǒng)與其他軟件接口問(wèn)題;即提供二開(kāi)發(fā)接口技術(shù)。

6)解決電子簽章系統(tǒng)在電子政務(wù)和電子商務(wù)領(lǐng)域的應(yīng)用集成問(wèn)題。

3.2實(shí)現(xiàn)的依據(jù)

通過(guò)對(duì)文件進(jìn)行簽章操作,配合硬件設(shè)備提供的數(shù)字證書(shū)和印章信息,結(jié)合電子簽名技術(shù),實(shí)現(xiàn)對(duì)文件的簽章。被簽章文件通過(guò)安全傳輸系統(tǒng)和管理控制系統(tǒng)實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)和打印等操作。

硬件采用通過(guò)USB接口和計(jì)算機(jī)相連的智能密碼鑰匙盤(pán),用于存放數(shù)字證書(shū)、印章簽名信息。   

4、系統(tǒng)創(chuàng)新

本系統(tǒng)的創(chuàng)新性主要表現(xiàn)在實(shí)現(xiàn)了電子簽章技術(shù)、電子簽名技術(shù)、打印控制技術(shù)、網(wǎng)絡(luò)傳輸安全,加密解密及壓縮技術(shù)、提供二開(kāi)發(fā)接口以及解決電子簽章系統(tǒng)在電子政務(wù)和電子商務(wù)領(lǐng)域的應(yīng)用集成問(wèn)題。

4.1應(yīng)用創(chuàng)新

1)軟件與硬件相結(jié)合

系統(tǒng)采用軟件與硬件相結(jié)合的方式,實(shí)現(xiàn)電子簽章應(yīng)用,軟件部分實(shí)現(xiàn)電子簽章的功能,硬件部分保存數(shù)字證書(shū)和簽章信息,從而實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)不可復(fù)制,只屬于簽名人所擁有的規(guī)定。(該規(guī)定屬于電子簽名法要求的內(nèi)容)

2)PKI應(yīng)用創(chuàng)新

本系統(tǒng)完美的將PKI(Public?Key?Infrastructure 即“公開(kāi)密鑰體系”)體系應(yīng)用到電子簽章領(lǐng)域,很好的解決了電子政務(wù)和電子商務(wù)中的簽字蓋章問(wèn)題,確保文檔來(lái)源真實(shí)、可信,達(dá)到了文檔防偽造、防篡改、防抵賴,文檔安全可靠。項(xiàng)目支持所有CA認(rèn)證中心提供的符合X.509 V3國(guó)際標(biāo)準(zhǔn)的證書(shū),符合國(guó)家公安部GA216.1-1999 完整性驗(yàn)證標(biāo)準(zhǔn)。

4.2技術(shù)創(chuàng)新

1)防篡改技術(shù)

    經(jīng)過(guò)本系統(tǒng)蓋章后的文件,在文檔偽造、篡改、抵賴時(shí),簽章系統(tǒng)通過(guò)智能識(shí)別技術(shù),在簽章上自動(dòng)顯示兩條橫線,表示無(wú)效的簽章,同時(shí)HTML格式提供可強(qiáng)制痕跡保留功能,查看被修改的內(nèi)容項(xiàng)。

2)手寫(xiě)批注技術(shù)

在簽章同時(shí),也能對(duì)文檔內(nèi)容進(jìn)行手寫(xiě)批注或文字批注,通過(guò)批注表現(xiàn)自己的想法,文字批注提供自定義常用詞功能。

3)脫密簽章技術(shù)

提供WORD/EXCEL/GDF文檔簽章脫密保護(hù)功能,允許用戶將文檔中簽章脫密保存,脫密成功后簽章生成為黑色,而非正式紅色簽章,該操作為不可逆,簽章將不具備有合法保護(hù)。方便用戶分發(fā)已經(jīng)簽章的文檔給第三方,保護(hù)簽章安全可靠。?

篇7

[關(guān)鍵詞]數(shù)字簽名PKI公鑰私鑰數(shù)字摘要Hash函數(shù)

一、引言

電子商務(wù)是伴隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展和計(jì)算機(jī)應(yīng)用的普及而產(chǎn)生的一種新型的商務(wù)交易形式。這種新型的國(guó)際貿(mào)易方式以其特有的優(yōu)勢(shì)(成本低、易于參與、對(duì)需求反映迅速等),已被愈來(lái)愈多的國(guó)家及不同行業(yè)所接受和使用。然而,在電子商務(wù)中一個(gè)最重要問(wèn)題就是確保交易安全,為了確保數(shù)據(jù)傳輸安全及交易安全,不得不采取一系列的的安全技術(shù),如加密技術(shù)、數(shù)字簽名、身份認(rèn)證、密鑰管理、防火墻、安全協(xié)議等。本文就數(shù)字簽名技術(shù)作了較深刻探討,并給出了該技術(shù)的實(shí)現(xiàn)方法。

數(shù)字簽名是電子商務(wù)安全系統(tǒng)的核心技術(shù),在信息安全,包括身份認(rèn)證、數(shù)據(jù)完整性、不可否認(rèn)性以及匿名性等方面有重要應(yīng)用,特別是在大型網(wǎng)絡(luò)安全通信中的密鑰分配、認(rèn)證以及電子商務(wù)系統(tǒng)中具有重要作用。

二、數(shù)字簽名的概念

所謂數(shù)字簽名就是通過(guò)某種密碼運(yùn)算生成一系列符號(hào)及代碼組成電子密碼進(jìn)行簽名,來(lái)代替書(shū)寫(xiě)簽名或印章,對(duì)于這種電子式的簽名還可進(jìn)行技術(shù)驗(yàn)證,其驗(yàn)證的準(zhǔn)確度是一般手工簽名和圖章驗(yàn)證無(wú)法比擬的。數(shù)字簽名是目前電子商務(wù)、電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟的、可操作性最強(qiáng)的一種電子簽名方法。它采用了規(guī)范化的程序和科學(xué)化的方法,用于鑒定簽名人身份以及對(duì)一項(xiàng)電子數(shù)據(jù)內(nèi)容的認(rèn)可。它還能驗(yàn)證出文件的原文在傳輸過(guò)程中有無(wú)變動(dòng),確保傳輸電子文件的完整性、真實(shí)性、和不可抵賴性。

數(shù)字簽名在ISO7498-2標(biāo)準(zhǔn)中定義為“附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對(duì)數(shù)據(jù)單元所作的密碼變換,這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來(lái)源和數(shù)據(jù)單元的完整性,并保護(hù)數(shù)據(jù),防止被進(jìn)行偽造。美國(guó)電子簽名標(biāo)準(zhǔn)對(duì)數(shù)字簽名作了如下解釋:利用一套規(guī)則和一個(gè)參數(shù)對(duì)數(shù)據(jù)進(jìn)行計(jì)算得到結(jié)果,用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性。按上述定義PKI(PublicKeyInfrastruction公鑰基礎(chǔ)設(shè)施)可以提供數(shù)據(jù)單元的密碼變換,并能使接收者判斷數(shù)據(jù)來(lái)源及對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證。

三、數(shù)字簽名的原理

該技術(shù)在具體工作時(shí),首先發(fā)送方對(duì)信息施以數(shù)學(xué)變換,所得的信息與原信息唯一對(duì)應(yīng);在接收方進(jìn)行逆變換,得到原始信息。只要數(shù)學(xué)變換方法優(yōu)良,變換后的信息在傳輸中就具有很強(qiáng)的安全性,很難被破譯、篡改。這一過(guò)程稱為加密,對(duì)應(yīng)的反變換過(guò)程稱為解密。

現(xiàn)在有兩類不同的加密技術(shù),一類是對(duì)稱加密,雙方具有共享的密鑰,只有在雙方都知道密鑰的情況下才能使用,通常應(yīng)用于孤立的環(huán)境之中,比如在使用自動(dòng)取款機(jī)(ATM)時(shí),用戶需要輸入用戶識(shí)別碼(PIN),銀行確認(rèn)這個(gè)號(hào)碼后,雙方在獲得密碼的基礎(chǔ)上進(jìn)行交易,如果用戶數(shù)目過(guò)多,超過(guò)了可以管理的范圍時(shí),這種機(jī)制并不可靠。

另一類是非對(duì)稱加密,也稱為公開(kāi)密鑰加密,密鑰是由公開(kāi)密鑰和私有密鑰組成的密鑰對(duì),用私有密鑰進(jìn)行加密,利用公開(kāi)密鑰可以進(jìn)行解密,但是由于公開(kāi)密鑰無(wú)法推算出私有密鑰,所以公開(kāi)的密鑰并不會(huì)損害私有密鑰的安全,公開(kāi)密鑰無(wú)需保密,可以公開(kāi)傳播,而私有密鑰必須保密,丟失時(shí)需要報(bào)告鑒定中心。

四、公鑰密碼技術(shù)原理

目前的數(shù)字簽名技術(shù)采用的就是這種公鑰密碼技術(shù)。即利用兩個(gè)足夠大的質(zhì)數(shù)與被加密原文相乘產(chǎn)生的積來(lái)加/解密。這兩個(gè)質(zhì)數(shù)無(wú)論是用哪一個(gè)與被加密的原文相乘(模乘),即對(duì)原文件加密,均可由另一個(gè)質(zhì)數(shù)再相乘來(lái)進(jìn)行解密。但是,若想用這個(gè)乘積來(lái)求出另一個(gè)質(zhì)數(shù),就要對(duì)大數(shù)進(jìn)行質(zhì)因子分解,分解一個(gè)大數(shù)的質(zhì)因子是十分困難的,若選用的質(zhì)數(shù)足夠大,這種求解幾乎是不可能的。因此,將這兩個(gè)質(zhì)數(shù)稱為密鑰對(duì),其中一個(gè)采用私密的安全介質(zhì)保密存儲(chǔ)起來(lái),應(yīng)不對(duì)任何外人泄露,簡(jiǎn)稱為“私鑰”;另一個(gè)密鑰可以公開(kāi)發(fā)表,用數(shù)字證書(shū)的方式在稱之為“網(wǎng)上黃頁(yè)”的目錄服務(wù)器上,用LDAP協(xié)議進(jìn)行查詢,也可在網(wǎng)上請(qǐng)對(duì)方發(fā)送信息時(shí)主動(dòng)將該公鑰證書(shū)傳送給對(duì)方,這個(gè)密鑰稱之為“公鑰”。

公鑰密碼體制下的數(shù)字簽名技術(shù)實(shí)際上是通過(guò)一個(gè)單向Hash函數(shù)來(lái)實(shí)現(xiàn)的。信息的發(fā)送方從信息文本中生成一個(gè)128位的散列值(或消息摘要)。發(fā)送方用自己的私人密鑰對(duì)這個(gè)散列值進(jìn)行加密形成發(fā)送方的數(shù)字簽名。然后,這個(gè)數(shù)字簽名將作為信息的附件和信息一起發(fā)送給信息的接收方。信息的接收方首先從接收到的原始信息中計(jì)算出128位的散列值(消息摘要),接著再用發(fā)送方的公用密鑰來(lái)對(duì)信息附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同,那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。

五、數(shù)字簽名技術(shù)的實(shí)現(xiàn)方法

建立在公鑰密碼基礎(chǔ)上的數(shù)字簽名方法有很多,RSA簽名、DSS簽名及Hash簽名等。其中Hash簽名是目前電子商務(wù)安全中最主要的數(shù)字簽名方法。下面我們就Hash簽名的詳細(xì)過(guò)程進(jìn)行分析。

Hash簽名也稱之為數(shù)字摘要法(DigitalDigest)或數(shù)字指紋法(DigitalFingerPrint)。該數(shù)字簽名方法是將數(shù)字簽名與要發(fā)送的信息緊密聯(lián)系在一起,它更適合于電子商務(wù)活動(dòng)。將一個(gè)商務(wù)合同的個(gè)體內(nèi)容與簽名結(jié)合在一起,比合同和簽名分開(kāi)傳遞,更增加了可信度和安全性。數(shù)字摘要加密方法亦稱安全Hash編碼法(SHA:SecureHashAlgorithm)或MD5(MDStandardForMessageDigest),由RonRivest所設(shè)計(jì)。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文,這一串密文亦稱為數(shù)字指紋(FingerPrint),它有固定的長(zhǎng)度,且不同的明文摘要必定一致。這樣這串摘要使可成為驗(yàn)證明文是否是“真身”的“指紋”了。

只有加入數(shù)字簽名及驗(yàn)證才能真正實(shí)現(xiàn)在公開(kāi)網(wǎng)絡(luò)上的安全傳輸。加入數(shù)字簽名和驗(yàn)證的文件傳輸過(guò)程如下:

1.方首先用哈希函數(shù)從原文得到數(shù)字簽名,然后采用公開(kāi)密鑰體系用發(fā)達(dá)方的私有密鑰對(duì)數(shù)字簽名進(jìn)行加密,并把加密后的數(shù)字簽名附加在要發(fā)送的原文后面。

2.發(fā)送方選擇一個(gè)密鑰對(duì)文件進(jìn)行加密,并把加密后的文件通過(guò)網(wǎng)絡(luò)傳輸?shù)浇邮辗健?/p>

3.發(fā)送方用接收方的公開(kāi)密鑰對(duì)密秘密鑰進(jìn)行加密,并通過(guò)網(wǎng)絡(luò)把加密后的秘密密鑰傳輸?shù)浇邮辗健?/p>

4.接受方使用自己的私有密鑰對(duì)密鑰信息進(jìn)行解密,得到秘密密鑰的明文。

5.接收方用秘密密鑰對(duì)文件進(jìn)行解密,得到經(jīng)過(guò)加密的數(shù)字簽名。

6.接收方用發(fā)送方的公開(kāi)密鑰對(duì)數(shù)字簽名進(jìn)行解密,得到數(shù)字簽名的明文。

7.接收方用得到的明文和哈希函數(shù)重新計(jì)算數(shù)字簽名,并與解密后的數(shù)字簽名進(jìn)行對(duì)比。如果兩個(gè)數(shù)字簽名是相同的,說(shuō)明文件在傳輸過(guò)程中沒(méi)有被破壞。

數(shù)字簽名的實(shí)現(xiàn)過(guò)程如下:

如果第三方冒充發(fā)送方發(fā)出了一個(gè)文件,因?yàn)榻邮辗皆趯?duì)數(shù)字簽名進(jìn)行解密時(shí)使用的是發(fā)送方的公開(kāi)密鑰,只要第三方不知道發(fā)送方的私有密鑰,解密出來(lái)的數(shù)字簽名和經(jīng)過(guò)計(jì)算的數(shù)字簽名必然是不相同的。這就提供了一個(gè)安全的確認(rèn)發(fā)送方身份的方法。

安全的數(shù)字簽名使接收方可以得到保證:文件確實(shí)來(lái)自聲稱的發(fā)送方。鑒于簽名私鑰只有發(fā)送方自己保存,他人無(wú)法做一樣的數(shù)字簽名,因此他不能否認(rèn)他參與了交易。

數(shù)字簽名的加密解密過(guò)程和私有密鑰的加密解密過(guò)程雖然都使用公開(kāi)密鑰體系,但實(shí)現(xiàn)的過(guò)程正好相反,使用的密鑰對(duì)也不同。數(shù)字簽名使用的是發(fā)送方的密鑰對(duì),發(fā)送方用自己的私有密鑰進(jìn)行加密,接收方用發(fā)送方的公開(kāi)密鑰進(jìn)行解密。這是一個(gè)一對(duì)多的關(guān)系:任何擁有發(fā)送方公開(kāi)密鑰的人都可以驗(yàn)證數(shù)字簽名的正確性,而私有密鑰的加密解密則使用的是接收方的密鑰對(duì),這是多對(duì)一的關(guān)系:任何知道接收方公開(kāi)密鑰的人都可以向接收方發(fā)送加密信息,只有唯一擁有接收方私有密鑰的人才能對(duì)信息解密。在實(shí)用過(guò)程中,通常一個(gè)用戶擁有兩個(gè)密鑰對(duì),一個(gè)密鑰對(duì)用來(lái)對(duì)數(shù)字簽名進(jìn)行加密解密,一個(gè)密鑰對(duì)用來(lái)對(duì)私有密鑰進(jìn)行加密解密。這種方式提供了更高的安全性。

六、結(jié)束語(yǔ)

數(shù)字簽名在電子商務(wù)活動(dòng)中有效解決否認(rèn)、偽造、篡改及冒充等問(wèn)題。然而,我國(guó)數(shù)字簽名技術(shù)的研究和應(yīng)用剛剛起步,與國(guó)際先進(jìn)水平有一定差距。在數(shù)字簽名的引入過(guò)程中不可避免地會(huì)帶來(lái)一些問(wèn)題,需要進(jìn)一步加以解決,數(shù)字簽名需要相關(guān)法律條文的支持。如需要立法機(jī)構(gòu)對(duì)數(shù)字簽名技術(shù)有足夠的重視,并且在立法上加快腳步,制定有關(guān)法律,以充分實(shí)現(xiàn)數(shù)字簽名具有的特殊鑒別作用,有力推動(dòng)電子商務(wù)以及其他網(wǎng)上事務(wù)的發(fā)展。

隨著電子商務(wù)的蓬勃發(fā)展,數(shù)字簽名技術(shù)也將不斷成熟,為商務(wù)活動(dòng)和人們的生活提供可靠、便利的服務(wù)。

參考文獻(xiàn):

[1]劉亞松:電子商務(wù)概論.機(jī)械工業(yè)出版社,2005.9

篇8

一、電子認(rèn)證及其含義

在了解電子認(rèn)證之前,必須先了解什么是“公共密鑰”及“數(shù)字簽名”。

當(dāng)你在公共網(wǎng)絡(luò)如Internet上進(jìn)行信息傳送時(shí),別人很有可能把你的信息竊取。為了保證信息的安全,你就必須進(jìn)行加密傳輸。公共密鑰加密是一種利用成對(duì)密鑰加解密的方法:一個(gè)公共密鑰(任何人都可以知道的)和一個(gè)私有密鑰(只限擁有者知道)。用公共密鑰加密的數(shù)據(jù)只能由相應(yīng)的私有密鑰進(jìn)行解密。例如,如果你要給某人發(fā)送一則加密的信息,你就可以先用那個(gè)人的公共密鑰對(duì)這則信息進(jìn)行加密,然后再送出去。這樣,這則信息就只有掌握著相對(duì)應(yīng)的私有密鑰的接受人才能讀取。為了證明你的確是某則信息的發(fā)送人,而非他人冒名頂替,那么你可以用你的私有密鑰先對(duì)這則信息加密再發(fā)送。別人就可以用你的公共密鑰解密以證明這則信息的確是你發(fā)出來(lái)的。

數(shù)字簽名可以證明某則信息的確是由某個(gè)人發(fā)出來(lái)的,并且可以保證該信息在傳送過(guò)程中沒(méi)有受到修改。在進(jìn)行數(shù)字簽名時(shí),先由一個(gè)hash算法從要發(fā)送的信息中得到一個(gè)定長(zhǎng)的字符串,稱為“信息摘要”(Message Digest),然后對(duì)這個(gè)“摘要”用私有密鑰進(jìn)行加密以作為數(shù)字簽名同時(shí)發(fā)送,從而保證信息是來(lái)自該發(fā)送者的。

什么是電子認(rèn)證?由于在數(shù)字簽名的過(guò)程中,我們是用公共密鑰來(lái)驗(yàn)證的,這樣公共密鑰屬主的認(rèn)定工作就顯得非常重要。你必須能判斷出某個(gè)公共密鑰的確來(lái)自于他所聲稱的擁有者,而不是由其他冒名頂替者提供的。電子認(rèn)證就是一個(gè)隨公共密鑰附帶的,用于表明該公共密鑰對(duì)應(yīng)的私有密鑰的確屬于某個(gè)組織或個(gè)人的證明文件。電子認(rèn)證是由能夠保證這種擁有性的權(quán)威機(jī)構(gòu)提供的,這種權(quán)威機(jī)構(gòu)就稱為“認(rèn)證機(jī)構(gòu)”,而電子認(rèn)證一般又稱之為CA認(rèn)證(Certificate Authority),認(rèn)證的標(biāo)準(zhǔn)在ITU-T Recommendation X.509中有定義。

在傳統(tǒng)的書(shū)面合同或者其他法律行為中,我們可以通過(guò)當(dāng)事人各方在書(shū)面文件上簽字(蓋章)以證明其真實(shí)性,防止當(dāng)事人事后否認(rèn)。在電子交易過(guò)程中,同樣需要一個(gè)具有權(quán)威公信力的第三者作為安全認(rèn)證機(jī)構(gòu)(CA)對(duì)公開(kāi)密鑰行使辨別及認(rèn)證等管理職能,以防止發(fā)件人抵賴以及減少因密鑰丟失、被偷竊或被解密等風(fēng)險(xiǎn)。有了此種第三方認(rèn)證機(jī)構(gòu)的認(rèn)證,將數(shù)字簽名與電子認(rèn)證機(jī)構(gòu)的認(rèn)證相互結(jié)合,就能夠解決前述數(shù)字簽名技術(shù)自身無(wú)法解決的行為主體違反信用、導(dǎo)致行為主體無(wú)法確認(rèn)的問(wèn)題。

二、電子認(rèn)證需解決的法律問(wèn)題

電子認(rèn)證需解決電子商務(wù)的信任與安全問(wèn)題,如果從交易流程的三個(gè)環(huán)節(jié)來(lái)分析,主要表現(xiàn)在以下幾個(gè)方面:

(一)主體身份的問(wèn)題

網(wǎng)絡(luò)是一個(gè)虛擬的世界,基于開(kāi)放的網(wǎng)絡(luò)交易環(huán)境,傳統(tǒng)交易通常所要求的驗(yàn)證營(yíng)業(yè)執(zhí)照、法人資格等都已無(wú)法做到,網(wǎng)上身份與現(xiàn)實(shí)身份二者的聯(lián)系有了間隙和分離。如何確認(rèn)網(wǎng)絡(luò)環(huán)境中電子商務(wù)一方當(dāng)事人的真實(shí)身份成為電子商務(wù)開(kāi)展的前提,如果交易對(duì)象的真實(shí)身份尚且都不敢確定,又怎能奢談合約內(nèi)容及判斷履約能力呢?

(二)交易內(nèi)容的證據(jù)

基于網(wǎng)絡(luò)中信息傳遞與記載數(shù)據(jù)電文的虛擬性,電子商務(wù)交易雙方經(jīng)邀約、承諾達(dá)成的電子合同這一系列的過(guò)程都在網(wǎng)絡(luò)中實(shí)現(xiàn),傳統(tǒng)交易要求的“書(shū)面”及“簽名”都已無(wú)法做到。一旦產(chǎn)生糾紛,各方據(jù)理力爭(zhēng)明斷是非所依賴的就是這樣的“電子證據(jù)”。眾所周知,電子信息非常脆弱,在傳輸保存的過(guò)程中也極易被截獲竊取,更為重要的是究竟按照誰(shuí)的電腦里記載的信息作為證據(jù)呢?

(三)電子合同的支付

傳統(tǒng)交易中的信用環(huán)境下,支付雙方尚且憂心忡忡,往往還會(huì)借助公證制度中的提存服務(wù),何況是信用更為惡劣的網(wǎng)絡(luò)環(huán)境呢。

三、電子認(rèn)證制度的目的

電子認(rèn)證制度應(yīng)當(dāng)達(dá)到三個(gè)目的:一是確認(rèn)信息發(fā)送人的身份,即防止有其他人盜用或者冒用身份。二是保證信息發(fā)送人的意思表示真實(shí),即該信息發(fā)出后不能被自己和他人非法否認(rèn)、修改或替換。三是信用公示,表明信息發(fā)送人的交易水平和信用水平。

(一)身份確認(rèn),即在交易前,對(duì)交易者身份真實(shí)性、合法性予以確認(rèn)。在開(kāi)放型電子商務(wù)環(huán)境下,每個(gè)企業(yè)、個(gè)人都可以自由地信息,使參加交易各方對(duì)相對(duì)方的資金實(shí)力、生產(chǎn)能力、履約能力和誠(chéng)信水平都難以了解,如何識(shí)別、判斷參與交易各方的主體資格,確認(rèn)商務(wù)交易者身份的真實(shí)性,防止欺詐,是開(kāi)展電子商務(wù)活動(dòng)的前提。對(duì)于參加交易的各方來(lái)說(shuō),保證交易成功比損失以后獲得賠償更為重要。如果交易各方的真實(shí)身份和信譽(yù)度沒(méi)有權(quán)威機(jī)構(gòu)進(jìn)行認(rèn)證,商務(wù)安全就無(wú)從談起。

(二)確認(rèn)交易者的意思表示真實(shí)無(wú)誤。在傳統(tǒng)法律規(guī)定下的商務(wù)活動(dòng),合同的形式、成立、生效條件等問(wèn)題均有明確的法律規(guī)定,但在網(wǎng)絡(luò)環(huán)境下,因技術(shù)或者環(huán)境的改變,會(huì)產(chǎn)生信息被誤傳、篡改或信息發(fā)送人否認(rèn)意思表示的情況。經(jīng)驗(yàn)交易者意思表示的真實(shí)性會(huì)受到這樣一些風(fēng)險(xiǎn)的干擾:(1)否認(rèn)風(fēng)險(xiǎn)。是指數(shù)據(jù)電文發(fā)送人否認(rèn)已發(fā)送電文,或接收人否認(rèn)已接收電文的行為。(2)內(nèi)容異議風(fēng)險(xiǎn)。是指數(shù)據(jù)電文發(fā)送人或接收人對(duì)相對(duì)人發(fā)送或收到電文的內(nèi)容提出異議,認(rèn)為其內(nèi)容與自己所發(fā)、所收到的原件內(nèi)容不符。(3)舉證風(fēng)險(xiǎn)。這是由于電文只能以數(shù)據(jù)形式儲(chǔ)存于計(jì)算機(jī)內(nèi),很難確定其通過(guò)輸出設(shè)備打印出來(lái)的哪一份是“原件”,也很難證明其打印件與原始數(shù)據(jù)相符而未經(jīng)改動(dòng),也就是說(shuō)打印件無(wú)法作為證明其內(nèi)容的直接證據(jù)。一方面,網(wǎng)絡(luò)故障和各種交易風(fēng)險(xiǎn)等常會(huì)造成用戶郵件丟失,一旦在訴訟之前發(fā)生郵件丟失或毀損,當(dāng)事人如何證明其郵件內(nèi)容就成為一個(gè)難題;另一方面,即使郵件仍儲(chǔ)存于計(jì)算機(jī)中,由于相對(duì)人可以隨時(shí)刪除郵件或篡改郵件內(nèi)容,舉證人提供給法庭的郵件打印件從證據(jù)角度來(lái)說(shuō)很難被法官采信,顯然這種打印件需要權(quán)威機(jī)構(gòu)認(rèn)證真?zhèn)魏蠓侥茏鳛樽C據(jù)使用。

(三)信用公示,即交易方的能力與交易相匹配的資金實(shí)力、生產(chǎn)能力、合同履行能力和信用水平等。與一般的認(rèn)證不同,電子商務(wù)中的認(rèn)證,特別是身份認(rèn)證和與之相關(guān)的延伸認(rèn)證,還應(yīng)當(dāng)公示參與交易各方的信用水平。如果說(shuō)電子認(rèn)證要滿足的否認(rèn)風(fēng)險(xiǎn)、內(nèi)容異議風(fēng)險(xiǎn)功能主要依靠技術(shù)手段的話,那么信用公示則必須依靠法律或制度手段,靠合理確定認(rèn)證機(jī)構(gòu),依法規(guī)范認(rèn)證機(jī)構(gòu)的權(quán)利和義務(wù)來(lái)保證。

因此,設(shè)立電子認(rèn)證機(jī)構(gòu),除了要考慮其是否具備必要的技術(shù)水平,是否具備隨電子交易發(fā)展不斷更新認(rèn)證技術(shù)的能力之外,更要進(jìn)一步考慮其是否具備如下幾個(gè)方面的能力:第一,確認(rèn)交易主體身份真實(shí)性的能力;第二,認(rèn)證證書(shū)能否作為直接證據(jù)被普遍采用的能力;第三,認(rèn)證機(jī)構(gòu)的中立性、公正性和權(quán)威性。

四、電子認(rèn)證中公證的應(yīng)用價(jià)值

網(wǎng)絡(luò)公證則是迎合網(wǎng)絡(luò)時(shí)代和電子商務(wù)發(fā)展的迫切需要,是網(wǎng)絡(luò)公證機(jī)構(gòu)利用電子技術(shù)在網(wǎng)絡(luò)中對(duì)具有法律意義的事件、法律行為、文書(shū)進(jìn)行證明并賦予其法定效力的活動(dòng),是傳統(tǒng)的公證職能和國(guó)家司法證明權(quán)在網(wǎng)絡(luò)上的延伸和發(fā)展,是傳統(tǒng)公證與現(xiàn)代網(wǎng)絡(luò)的契合。例如對(duì)網(wǎng)絡(luò)中的當(dāng)事人身份及行為的確認(rèn)、侵權(quán)事實(shí)、內(nèi)容及取證、電子合同的成立、變更與解除、電子合同條款、網(wǎng)上招標(biāo)投標(biāo)及數(shù)據(jù)信息的保密、完整等進(jìn)行公證并加以固定和控制。在當(dāng)前的網(wǎng)絡(luò)技術(shù)條件下,網(wǎng)絡(luò)公證能夠控制電子商務(wù)所帶來(lái)的特殊風(fēng)險(xiǎn),促使當(dāng)事人更廣泛地訂立電子合同,證明侵權(quán)事實(shí)和程度,成為維護(hù)網(wǎng)絡(luò)中當(dāng)事人合法權(quán)益的守護(hù)神。

其一,從我國(guó)企業(yè)的信用來(lái)看,網(wǎng)絡(luò)公證將對(duì)電子商務(wù)的全面發(fā)展具有不可替代的推動(dòng)作用。電子商務(wù)認(rèn)證解決的是交易當(dāng)事人之間的信用問(wèn)題。有哪些實(shí)體來(lái)?yè)?dān)任認(rèn)證機(jī)構(gòu),則是每個(gè)國(guó)家和地區(qū)在發(fā)展電子商務(wù)時(shí)所必須做出選擇的問(wèn)題。多年來(lái),我國(guó)企業(yè)(主要指國(guó)營(yíng)企業(yè))的信用,往往需要政府予以補(bǔ)充,實(shí)際上就是以國(guó)庫(kù)的財(cái)產(chǎn)來(lái)?yè)?dān)保。盡管經(jīng)濟(jì)體制改革之后,上述情況有所改觀,但是要讓企業(yè)在無(wú)形的電子商務(wù)市場(chǎng)上充當(dāng)交易信用的中介人,確實(shí)還要有一個(gè)市場(chǎng)接受的過(guò)程。而公證機(jī)構(gòu)憑借其專職進(jìn)行法律事實(shí)證明的位置和經(jīng)驗(yàn),以及為大眾所接受的優(yōu)勢(shì),開(kāi)展網(wǎng)絡(luò)公證業(yè)務(wù),對(duì)我國(guó)電子商務(wù)的普遍推廣而言,具有一般企業(yè)提供的認(rèn)證服務(wù)所不可替代的積極作用。

其二,從利益關(guān)系上看,公證機(jī)構(gòu)作為中立第三方,有明顯的優(yōu)越性。銀行、電信系統(tǒng)或網(wǎng)絡(luò)公司,本身是服務(wù)性盈利企業(yè),并且自身在電子商務(wù)交易中是服務(wù)提供者,是廣義的電子商務(wù)交易人,具有與其他電子商務(wù)交易人相沖突的利益。由他們擔(dān)任電子商務(wù)認(rèn)證機(jī)構(gòu),很難處于中立地位。加之多年來(lái)我國(guó)銀行、電信處于壟斷經(jīng)營(yíng)的地位,其服務(wù)經(jīng)常是價(jià)高而質(zhì)次,消費(fèi)者對(duì)之早已是意見(jiàn)紛紛,雖說(shuō)這些機(jī)構(gòu)近年來(lái)轉(zhuǎn)變機(jī)制,面向市場(chǎng)經(jīng)營(yíng),但它們?cè)谏鐣?huì)大眾中的印象尚未徹底改變。公證機(jī)構(gòu)專門(mén)以法律事實(shí)的證明為己任,并不向電子商務(wù)交易人提供其他的商業(yè),不僅處于無(wú)直接利害關(guān)系的第三方,而且從情感上也容易被網(wǎng)絡(luò)交易當(dāng)事人所接受。公證機(jī)構(gòu)是自主開(kāi)展業(yè)務(wù)、獨(dú)立承擔(dān)責(zé)任、按市場(chǎng)規(guī)律和自律機(jī)制運(yùn)行的公益性、非營(yíng)利性的中介組織,符合聯(lián)合國(guó)《電子商務(wù)示范法》規(guī)定的認(rèn)證機(jī)構(gòu)必須具備的條件。中立,才能有效地為客戶提供服務(wù)而不失信譽(yù);獨(dú)立和非贏利,沒(méi)有利害關(guān)系,才能真正獲得交易雙方的信任。

其三,從職能上看,公證機(jī)構(gòu)介入電子商務(wù)認(rèn)證機(jī)構(gòu),有利于緩解我國(guó)現(xiàn)行法規(guī)與電子商務(wù)發(fā)展相沖突的狀況。目前,我國(guó)的電子商務(wù)的立法較為滯后,調(diào)整電子商務(wù)合同的專項(xiàng)法律法規(guī)尚未出臺(tái),因而對(duì)于電子商務(wù)的推廣,仍有許多的法律障礙,如果公證機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)公證業(yè)務(wù),則可能在一定程度上克服這些困難。我國(guó)的公證業(yè)務(wù)與美英國(guó)家的不同,即我國(guó)實(shí)行的是實(shí)質(zhì)性公證審查,不但要對(duì)事實(shí)的真實(shí)性做出證明,還負(fù)有對(duì)行為合法性的審查,要求比較高,這表現(xiàn)在公證程序的完備和對(duì)從業(yè)人員的素質(zhì)要求等方面。通常由我國(guó)國(guó)家公證機(jī)構(gòu)做出的證明,法院都直接作為有效證據(jù)采用,除非有相反的證據(jù)予以。公證有著其自身的嚴(yán)謹(jǐn)程序,依法進(jìn)行相關(guān)證明活動(dòng)。公證作為一項(xiàng)法律制度延伸到網(wǎng)絡(luò)之中解決電子商務(wù)的安全信用問(wèn)題,構(gòu)建電子商務(wù)的信用平臺(tái),從制度層面解決電子商務(wù)的發(fā)展“瓶頸”。

其四,從證明手段上看,公證優(yōu)于其他證明手段。 公證是一種預(yù)防性的法律證明制度,依法對(duì)法律行為、有法律意義的事實(shí)和文書(shū)的真實(shí)性、合法性予以證明。其證明內(nèi)容的廣泛性,證明形式的多樣性,能夠滿足電子商務(wù)所需的認(rèn)證多種多樣的要求。公證文書(shū)不受人員、語(yǔ)言、地域、行政隸屬關(guān)系的左右,是經(jīng)濟(jì)交往和國(guó)際交往的重要媒介,是國(guó)際通行的法律文書(shū)。在現(xiàn)有網(wǎng)絡(luò)技術(shù)條件下,建立以公證為主體的電子商務(wù)認(rèn)證機(jī)構(gòu),無(wú)疑是控制電子商務(wù)特殊風(fēng)險(xiǎn),促使電子商務(wù)發(fā)展的有效法律手段。

五、公證系統(tǒng)的網(wǎng)絡(luò)構(gòu)筑

公證系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)化智能公證辦證系統(tǒng)可采用公證處內(nèi)部以以太網(wǎng)建設(shè),而公證處與公證管理部門(mén)之間以ATM網(wǎng)建設(shè)。公證辦證系統(tǒng)是計(jì)算機(jī)網(wǎng)絡(luò)化智能辦證系統(tǒng)的重要組成部分。實(shí)現(xiàn)智能辦證就是利用先進(jìn)的技術(shù)和設(shè)備來(lái)提高辦公室效率和辦公質(zhì)量,改善辦公條件,減輕勞動(dòng)強(qiáng)度,實(shí)現(xiàn)管理和決策的科學(xué)化,防止和減少人為的差錯(cuò)和失誤,它是多層次的技術(shù)、設(shè)備和系統(tǒng)的綜合。一個(gè)完整的智能化辦證系統(tǒng)應(yīng)該包括信息的生成與輸入、信息的加工與處理、信息的存儲(chǔ)與檢索、信息的復(fù)制、信息的傳輸與交流以及信息的安全管理等功能。

網(wǎng)絡(luò)公證從技術(shù)運(yùn)作上講,在網(wǎng)上操作非常快捷。當(dāng)事人雙方確定對(duì)數(shù)據(jù)電文內(nèi)容予以公證,只需在自己的電腦中下達(dá)一些指令,該數(shù)據(jù)電文內(nèi)容就會(huì)被加密傳送到網(wǎng)絡(luò)公證中心。網(wǎng)絡(luò)公證員對(duì)雙方的數(shù)據(jù)核實(shí)無(wú)誤后,加入自己的數(shù)字公證,并留存一份,對(duì)一份數(shù)據(jù)電文的公證也就完成了,省時(shí)、省力且準(zhǔn)確性也高。當(dāng)然,網(wǎng)絡(luò)公證要真正投入實(shí)踐仍需要規(guī)則和技術(shù)兩個(gè)方面的完善,比如,CA認(rèn)證中公證離線審查業(yè)務(wù)、審查環(huán)節(jié)、審查細(xì)則;電子商務(wù)合同中數(shù)據(jù)證明的具體實(shí)現(xiàn)方式;相關(guān)網(wǎng)絡(luò)公證軟件的開(kāi)發(fā)、技術(shù)標(biāo)準(zhǔn)、操作規(guī)則和流程等,都需要進(jìn)一步從理論和實(shí)踐上進(jìn)行探討。

篇9

一、手機(jī)銀行常見(jiàn)法律風(fēng)險(xiǎn)

(一)犯罪分子未經(jīng)客戶授權(quán)手機(jī)銀行交易的法律風(fēng)險(xiǎn)

手機(jī)銀行交易流程如下:客戶輸入客戶號(hào)、登錄密碼及附加碼,銀行收到上述信息后按與客戶約定對(duì)上述電子簽名信息進(jìn)行核實(shí)無(wú)誤,識(shí)別客戶身份后,按客戶指令進(jìn)行交易。因此,手機(jī)銀行中的身份識(shí)別是首要的問(wèn)題,如果不解決身份識(shí)別問(wèn)題,手機(jī)銀行的安全和信用都無(wú)法建立。但在實(shí)務(wù)中,客戶的密碼或電子簽名經(jīng)常被冒用,出現(xiàn)這一問(wèn)題主要有以下三方面原因:一是客戶保管密碼和電子簽名不善,導(dǎo)致密碼和電子簽名丟失被他人冒用;二是犯罪分子通過(guò)黑客軟件盜取客戶密碼和電子簽名后冒用;三是客戶被犯罪分子欺騙,把密碼和電子簽名泄露給了犯罪分子而被冒用??蛻裘艽a和電子簽名被冒用后客戶資金損失,出現(xiàn)民事糾紛。對(duì)這一類型民事糾紛責(zé)任劃分,我國(guó)的法律、規(guī)章規(guī)定存在矛盾?!吨腥A人民共和國(guó)電子簽名法》、人民銀行《電子支付指引》規(guī)定銀行只要按“發(fā)件人認(rèn)可的方法對(duì)數(shù)據(jù)電文進(jìn)行驗(yàn)證后結(jié)果相符的”,視為發(fā)件人發(fā)送,銀行就沒(méi)有過(guò)錯(cuò),不承擔(dān)違約責(zé)任。而銀監(jiān)會(huì)《電子銀行業(yè)務(wù)管理辦法》規(guī)定“:金融機(jī)構(gòu)在提供電子銀行服務(wù)時(shí),因電子銀行系統(tǒng)存在安全隱患、金融機(jī)構(gòu)內(nèi)部違規(guī)操作和其他非客戶原因等造成損失的,金融機(jī)構(gòu)應(yīng)當(dāng)承擔(dān)相應(yīng)責(zé)任。因客戶有意泄漏交易密碼,或者未按照服務(wù)協(xié)議盡到應(yīng)盡的安全防范與保密義務(wù)造成損失的,金融機(jī)構(gòu)可以根據(jù)服務(wù)協(xié)議的約定免于承擔(dān)相應(yīng)責(zé)任,但法律法規(guī)另有規(guī)定的除外?!币簿褪钦f(shuō),只有銀行能證明客戶存在有意泄漏交易密碼,或者未按照服務(wù)協(xié)議盡到應(yīng)盡的安全防范與保密義務(wù)時(shí)才推定銀行沒(méi)有過(guò)錯(cuò),不承擔(dān)責(zé)任,否則,推定銀行有過(guò)錯(cuò),應(yīng)承擔(dān)責(zé)任。筆者認(rèn)為,因法律的效力大于規(guī)章,應(yīng)適用《中華人民共和國(guó)電子簽名法》的規(guī)定劃分客戶與銀行責(zé)任,即銀行有過(guò)錯(cuò)才有承擔(dān)責(zé)任,銀行無(wú)過(guò)錯(cuò),不承擔(dān)責(zé)任。但實(shí)務(wù)中,法院常以客戶為弱者,應(yīng)加強(qiáng)銀行責(zé)任為由,適用銀監(jiān)會(huì)《電子銀行業(yè)務(wù)管理辦法》的規(guī)定劃分客戶與責(zé)任,加大了銀行的風(fēng)險(xiǎn)。

(二)不適當(dāng)執(zhí)行手機(jī)銀行指令的法律風(fēng)險(xiǎn)

不適當(dāng)執(zhí)行手機(jī)銀行指令,指客戶通過(guò)電子簽名驗(yàn)證后發(fā)出了正確的交易指令,但銀行由于系統(tǒng)或通訊故障等原因,對(duì)指令給予了不適當(dāng)?shù)膱?zhí)行;或指令是客戶發(fā)出的,但其發(fā)出的指令是無(wú)權(quán)指令,銀行仍予以執(zhí)行。實(shí)務(wù)中,不適當(dāng)執(zhí)行手機(jī)銀行指令主要包括以下四種情況:

1.未執(zhí)行手機(jī)銀行指令

客戶發(fā)出手機(jī)銀行交易指令后,銀行因系統(tǒng)或通訊故障的原因未執(zhí)行客戶指令,出現(xiàn)這種情況,銀行須根據(jù)《合同法》的規(guī)定承擔(dān)違約責(zé)任。銀行承擔(dān)的第一個(gè)責(zé)任是繼續(xù)履行,對(duì)此,人民銀行《電子支付指引》亦有明文規(guī)定“接收行由于自身系統(tǒng)或內(nèi)控制度等原因?qū)﹄娮又Ц吨噶钗磮?zhí)行、未適當(dāng)執(zhí)行或遲延執(zhí)行致使客戶款項(xiàng)未準(zhǔn)確入賬的,應(yīng)及時(shí)糾正”;在繼續(xù)履行后,如果未執(zhí)行客戶指令給客戶造成損失的,銀行應(yīng)賠償客戶的損失,賠償損失的范圍包括直接損失和間接損失,但間接損失不超過(guò)銀行與客戶訂立合同時(shí)預(yù)見(jiàn)到或者應(yīng)當(dāng)預(yù)見(jiàn)到的因違反合同可能造成的損失。

2.執(zhí)行指令不符合約定

客戶發(fā)出手機(jī)銀行交易指令后,銀行因系統(tǒng)或通訊故障的原因錯(cuò)誤執(zhí)行了客戶的指令。常見(jiàn)錯(cuò)誤執(zhí)行了客戶的指令情形如下:一是出現(xiàn)長(zhǎng)款或短款,交易金額不符合客戶指令;二是轉(zhuǎn)賬對(duì)象不符合客戶指令,把錢(qián)轉(zhuǎn)給了客戶指定之外的第三人。出現(xiàn)錯(cuò)誤執(zhí)行客戶指令的情況,銀行應(yīng)根據(jù)《合同法》的規(guī)定采取補(bǔ)救措施;采取補(bǔ)救措施后還應(yīng)承擔(dān)繼續(xù)履行合同的義務(wù),即按客戶正確的指令繼續(xù)履行合同;錯(cuò)誤執(zhí)行客戶指令給客戶造成損失的,應(yīng)賠償客戶的損失。

3.遲延執(zhí)行指令

客戶發(fā)出手機(jī)銀行交易指令后,銀行因系統(tǒng)或通訊故障的原因遲延執(zhí)行了客戶的指令。遲延執(zhí)行指令應(yīng)根據(jù)《合同法》的規(guī)定繼續(xù)履行合同,如果遲延履行客戶指令給客戶造成損失的,銀行應(yīng)賠償客戶的損失,賠償損失的范圍包括直接損失和間接損失,但間接損失不超過(guò)銀行與客戶訂立合同時(shí)預(yù)見(jiàn)到或者應(yīng)當(dāng)預(yù)見(jiàn)到的因違反合同可能造成的損失。

4.客戶無(wú)權(quán)撤銷指令,銀行越權(quán)回轉(zhuǎn)交易資金

因客戶的原因下達(dá)了錯(cuò)誤的指令,通過(guò)電子簽名驗(yàn)證后銀行據(jù)此予以執(zhí)行,執(zhí)行完畢后客戶以其指令錯(cuò)誤,要求銀行撤銷,銀行越權(quán)給予撤銷。這種情形實(shí)務(wù)中常見(jiàn)有以下二種情形,一是下達(dá)了錯(cuò)誤的轉(zhuǎn)賬金額指令,比如,客戶實(shí)際想轉(zhuǎn)1000元,但通過(guò)手機(jī)銀行下達(dá)了轉(zhuǎn)賬10000元的指令;二是下達(dá)了錯(cuò)誤的轉(zhuǎn)賬對(duì)象指令,例如,客戶想轉(zhuǎn)賬給張三,但通過(guò)手機(jī)銀行下達(dá)了轉(zhuǎn)賬給李四的指令。出現(xiàn)上述情形,客戶的第一反應(yīng)是要求銀行撤銷手機(jī)銀行交易。由于錢(qián)已轉(zhuǎn)到第三人賬戶,根據(jù)支付結(jié)算交易“誰(shuí)的錢(qián),進(jìn)誰(shuí)的賬,由誰(shuí)支配”原則,此時(shí)錢(qián)已經(jīng)由第三人支配,客戶發(fā)出的撤銷指令是無(wú)效的,如果銀行儲(chǔ)蓄網(wǎng)點(diǎn)據(jù)此執(zhí)行,則侵犯了第三人的所有權(quán),應(yīng)對(duì)第三人承擔(dān)賠償責(zé)任。

(三)風(fēng)險(xiǎn)提示不充分的法律風(fēng)險(xiǎn)

手機(jī)銀行常見(jiàn)的一個(gè)詐騙手法是:犯罪分子采取承諾貸款、合伙做生意等誘惑,利用客戶對(duì)手機(jī)銀行業(yè)務(wù)不熟悉的情況,欺騙客戶在開(kāi)立銀行卡的同時(shí)開(kāi)立使用犯罪分子手機(jī)號(hào)的手機(jī)銀行,在客戶銀行卡存入資金后,即時(shí)通過(guò)手機(jī)銀行轉(zhuǎn)走銀行卡資金,形成客戶和銀行民事糾紛。出現(xiàn)糾紛,客戶常以銀行沒(méi)有充分向其介紹手機(jī)銀行業(yè)務(wù),特別是揭示手機(jī)銀行的風(fēng)險(xiǎn),要求銀行承擔(dān)其資金損失的賠償責(zé)任。銀行則以手機(jī)銀行是客戶自己開(kāi)的,密碼也是其自愿給犯罪分子的為由,主張資金損失應(yīng)由客戶自行承擔(dān)。對(duì)此爭(zhēng)議,一種觀點(diǎn)認(rèn)為:客戶應(yīng)對(duì)其自行開(kāi)通的手機(jī)銀行及密碼保管不善自行承擔(dān)責(zé)任;另一種觀點(diǎn)認(rèn)為:對(duì)于資金的損失,客戶存在重大過(guò)錯(cuò),但銀行作為手機(jī)銀行的服務(wù)提供者,應(yīng)該讓客戶充分了解手機(jī)銀行服務(wù)的內(nèi)容及其特點(diǎn),特別是其風(fēng)險(xiǎn),銀行在客戶沒(méi)充分了解手機(jī)銀行功能特點(diǎn)情況下,給客戶開(kāi)通手機(jī)銀行,因此應(yīng)對(duì)資金損失承擔(dān)一定比例的責(zé)任。

二、防范手機(jī)銀行法律風(fēng)險(xiǎn)的意見(jiàn)建議

基于當(dāng)前手機(jī)銀行法律風(fēng)險(xiǎn)存在的現(xiàn)實(shí)情況,筆者建議從以下方面做好手機(jī)銀行法律風(fēng)險(xiǎn)的防范化解工作。

(一)建立統(tǒng)一的手機(jī)銀行風(fēng)險(xiǎn)控制平臺(tái)

銀行建立統(tǒng)一的手機(jī)銀行風(fēng)險(xiǎn)控制平臺(tái),風(fēng)險(xiǎn)控制平臺(tái)收集客戶交易行為數(shù)據(jù)庫(kù)、客戶不良交易記錄等,對(duì)手機(jī)銀行交易進(jìn)行實(shí)時(shí)監(jiān)控,發(fā)現(xiàn)可疑交易及時(shí)阻斷,對(duì)可疑交易進(jìn)行事中干預(yù)、事后核實(shí)、事后提醒,減少手機(jī)銀行交易的法律風(fēng)險(xiǎn)。

(二)進(jìn)一步完善手機(jī)銀行合同文本,防范法律風(fēng)險(xiǎn)

完善手機(jī)銀行合同文本,明確出現(xiàn)手機(jī)銀行法律風(fēng)險(xiǎn)時(shí)區(qū)分銀行與客戶責(zé)任的原則。在合同中約定出現(xiàn)手機(jī)銀行法律風(fēng)險(xiǎn)時(shí),銀行承擔(dān)責(zé)任的原則是過(guò)錯(cuò)責(zé)任原則而不是過(guò)錯(cuò)推定責(zé)任原則,即銀行存在過(guò)錯(cuò)才承擔(dān)責(zé)任,不存在過(guò)錯(cuò)出現(xiàn)法律風(fēng)險(xiǎn)的由客戶自行承擔(dān)。除此之外,要特別強(qiáng)調(diào)客戶妥善保管密碼責(zé)任及違反上述義務(wù)時(shí)的責(zé)任,通過(guò)明確客戶責(zé)任提高客戶防范手機(jī)銀行法律風(fēng)險(xiǎn)的積極性。

(三)加強(qiáng)手機(jī)銀行業(yè)務(wù)全流程管理,真正做到“賣者有責(zé)”

銀行要改革激勵(lì)考核制度,加強(qiáng)全流程管理,切實(shí)改變手機(jī)銀行的發(fā)展模式。一是規(guī)范手機(jī)銀行開(kāi)立。要向客戶全面、準(zhǔn)確、沒(méi)有誤導(dǎo)地披露信息,充分揭示手機(jī)銀行風(fēng)險(xiǎn),并向手機(jī)銀行客戶持續(xù)宣傳安全用知識(shí)以及手機(jī)銀行犯罪新手段、新動(dòng)向,提高手機(jī)銀行客戶風(fēng)險(xiǎn)防范意識(shí)和能力。二是加強(qiáng)手機(jī)銀行規(guī)章制度的執(zhí)行和操作風(fēng)險(xiǎn)管理。要求銀行員工嚴(yán)格執(zhí)行有關(guān)手機(jī)銀行的規(guī)章制度,不能為了拓展客戶降低手機(jī)銀行風(fēng)險(xiǎn)管理的要求。三是建立媒體輿情監(jiān)測(cè)制度,加強(qiáng)投訴管理的規(guī)范化建設(shè)。建立有效的受理客戶投訴和糾紛處理機(jī)制,建立專門(mén)的渠道與制度為手機(jī)銀行客戶提供針對(duì)性幫助,提高對(duì)手機(jī)銀行客戶的服務(wù)響應(yīng)速度,積極阻止損失進(jìn)一步擴(kuò)大。同時(shí),要注意避免矛盾激化造成聲譽(yù)損失。

篇10

關(guān)鍵字密碼中間件;電子商務(wù);交易模型;信息安全;CAPICOM

隨著Internet的不斷普及,人們的消費(fèi)觀念和商務(wù)模式也發(fā)生了巨大了變化,人們更希望通過(guò)網(wǎng)絡(luò)的便利來(lái)進(jìn)行網(wǎng)絡(luò)采購(gòu)和交易,從而導(dǎo)致了(ElectronicCommerce)電子商務(wù)的出現(xiàn),并在世界范圍內(nèi)掀起了一股熱潮。但是,美國(guó)密執(zhí)安大學(xué)一個(gè)調(diào)查機(jī)構(gòu)通過(guò)對(duì)23000名因特網(wǎng)用戶的調(diào)查顯示[1],超過(guò)60%的人由于擔(dān)心電子商務(wù)的安全問(wèn)題而不愿進(jìn)行網(wǎng)上購(gòu)物。因此,研究和分析電子商務(wù)的信息安全問(wèn)題,特別是針對(duì)我國(guó)國(guó)情,充分借鑒國(guó)外的先進(jìn)技術(shù)和經(jīng)驗(yàn),開(kāi)發(fā)和研究出具有獨(dú)立知識(shí)產(chǎn)權(quán)的電子商務(wù)信息安全產(chǎn)品,成為目前我國(guó)電子商務(wù)的熱點(diǎn)。

電子商務(wù)中的安全隱患可分為如下幾類[2],1.信息截獲和竊取。如果沒(méi)有采用加密措施或加密強(qiáng)度不夠,攻擊者可能通過(guò)因特網(wǎng)、電話網(wǎng)、電磁波輻射域內(nèi)安裝截收裝置或在網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)等方式,竊取機(jī)密信息,或通過(guò)對(duì)信息流量和流向、通信頻度和長(zhǎng)度等參數(shù)的分析,導(dǎo)出有用信息,如銀行帳號(hào)、密碼等;2.信息篡改。如果攻擊者熟悉了網(wǎng)絡(luò)信息格式,可對(duì)網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途修改,并發(fā)往目的地,從而破壞信息完整性。如篡改信息流的次序,更改信息內(nèi)容;3.信息假冒。當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息以后,可以假冒合法用戶來(lái)欺騙其他用戶,例如偽造電子郵件,虛開(kāi)網(wǎng)站和商店,發(fā)送電子郵件,收定貨單;偽造大量用戶窮盡商家資源,使合法用戶不能正常訪問(wèn)網(wǎng)絡(luò)資源,使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)等;4.交易抵賴。交易抵賴包括多個(gè)方面,如發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息或內(nèi)容,收信者事后否認(rèn)曾經(jīng)收到過(guò)某條消息或內(nèi)容,購(gòu)買(mǎi)者做了定貨單不承認(rèn),商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易。

電子商務(wù)面臨的威脅直接導(dǎo)致了電子商務(wù)對(duì)于信息安全的需求,也就是實(shí)現(xiàn)一個(gè)安全電子商務(wù)系統(tǒng)務(wù)必具備的信息安全品質(zhì),主要包括機(jī)密性、完整性、認(rèn)證性和不可抵賴性。1.秘密性(Confidentiality),電子商務(wù)作為貿(mào)易的一種手段,其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的如Internet,維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。2.完整性(DataIntegrity),電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程,減少了人為的干預(yù),同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為,可能導(dǎo)致貿(mào)易各方信息的差異。此外,數(shù)據(jù)傳輸過(guò)程中信息丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致混亂。因此,要預(yù)防對(duì)信息的隨意生成、修改和刪除,同時(shí)要防止數(shù)據(jù)傳送過(guò)程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。3.認(rèn)證性(VerificationofIdentity),網(wǎng)絡(luò)電子商務(wù)交易系統(tǒng)的特殊性,企業(yè)或個(gè)人的交易通常都是在虛擬的網(wǎng)絡(luò)環(huán)境中進(jìn)行,所以對(duì)個(gè)人或企業(yè)實(shí)體進(jìn)行身份性確認(rèn)成了電子商務(wù)中得很重要的一環(huán)。對(duì)人或?qū)嶓w的身份進(jìn)行鑒別,為身份的真實(shí)性提供保證,即交易雙方能夠在相互不見(jiàn)面的情況下確認(rèn)對(duì)方的身份。這意味著當(dāng)某人或?qū)嶓w聲稱具有某個(gè)特定的身份時(shí),鑒別服務(wù)將提供一種方法來(lái)驗(yàn)證其聲明的正確性。4.不可抵賴性(Non-repudiationofDisputedCharges)。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方的確是進(jìn)行交易所期望的貿(mào)易方這一問(wèn)題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在傳統(tǒng)紙面貿(mào)易中,雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書(shū)面文件上手寫(xiě)簽名或印章來(lái)鑒別貿(mào)易伙伴,確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。這也就是人們常說(shuō)的"白紙黑字"。在無(wú)紙化的電子商務(wù)方式下,通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此,要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)[3]。

中間件是獨(dú)立的系統(tǒng)軟件或服務(wù)程序,它屏蔽了操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議的差異,并提供相應(yīng)的平臺(tái)以滿足不同領(lǐng)域的需要。它成功地解決了網(wǎng)絡(luò)計(jì)算和分布計(jì)算環(huán)境下資源的通信,共享,管理,控制等問(wèn)題[3]。其技術(shù)本身很復(fù)雜,技術(shù)標(biāo)準(zhǔn)多,產(chǎn)品多。在Windows技術(shù)體系下,應(yīng)用最為廣泛的是DEC/RPC標(biāo)準(zhǔn)下的COM/DCOM,和DNA標(biāo)準(zhǔn)下的COM+。在諸多行業(yè)應(yīng)用中,信息安全特性已成為軟件的一個(gè)重要品質(zhì),密碼服務(wù)也成為一個(gè)重要的構(gòu)件支撐,基于中間件技術(shù)來(lái)構(gòu)造密碼中間件成為當(dāng)前的主流技術(shù)路線,涌現(xiàn)出相當(dāng)成功的產(chǎn)品,如微軟的CAPICOM,SUN的CryptoJava。

Windows操作系統(tǒng)采用分層的加密體系模型CSP密碼服務(wù)提供者(CryptographicServiceProvider)架設(shè)系統(tǒng)安全。CSP提供了齊全的具有密碼功能的Win32API函數(shù)供程序員調(diào)用,稱為CryptoAPI。然而,調(diào)用CryptAPI完成密碼操作仍然相當(dāng)復(fù)雜。[5]使用COM,開(kāi)發(fā)人員可以把注意力集中在解決用戶所需要的問(wèn)題上.而不用關(guān)心網(wǎng)絡(luò)協(xié)議等底層結(jié)構(gòu)的細(xì)節(jié)。[4]微軟提供了CAPICOM組件,它以COM對(duì)象的形式封裝了上述的復(fù)雜操作,使用它獲取密碼服務(wù)更方便。因?yàn)樵诓煌拈_(kāi)發(fā)環(huán)境中,往往先要對(duì)API函數(shù)進(jìn)行某種封裝或轉(zhuǎn)換,這增加了使用難度,CAPICOM以中間件的形式提供了一個(gè)標(biāo)準(zhǔn)的密碼應(yīng)用層接口,是介于應(yīng)用與CSP之間的中間層,使得應(yīng)用與CSP具有邏輯獨(dú)立性。

在工作時(shí),CAPICOM按一定順序列檢索CSP。首先檢查缺省CSP是否支持用戶指定的算法及密鑰長(zhǎng)度,如果失敗,則搜索系統(tǒng)提供的CSP,并判斷其是否支持指定的算法和密鑰長(zhǎng)度,直至遍歷完所有CSP。兩者關(guān)系如圖1所示。

安全電子商務(wù)交易模型從組成來(lái)講一般有以下幾個(gè)組件[6]:(1)電子商店作為電子經(jīng)濟(jì)中買(mǎi)賣發(fā)生的場(chǎng)所,它從傳統(tǒng)的市場(chǎng)渠道中取得價(jià)值。(2)信息中介是內(nèi)容、信息、知識(shí)及經(jīng)驗(yàn)的商,能夠成為某一特定電子商務(wù)領(lǐng)域增加價(jià)值。(3)信用中介是在買(mǎi)賣雙方建立信用的機(jī)構(gòu)。(4)電子商務(wù)實(shí)施者為其他電子商店或信息中介提供組件、功能及相關(guān)服務(wù),使得電子商務(wù)得以進(jìn)行或者進(jìn)行得更好。(5)基礎(chǔ)設(shè)施供應(yīng)商作為由跨越不同領(lǐng)域機(jī)構(gòu),如NII(國(guó)家信息化設(shè)施),PKI(公鑰基礎(chǔ)設(shè)施)等,它們來(lái)提供網(wǎng)絡(luò)應(yīng)用平臺(tái)和安全交易全環(huán)境。

從電子商務(wù)系統(tǒng)的架構(gòu)上來(lái)分類[6],主要有B2B和B2C。B2B模式下參與的雙方都是企業(yè),特點(diǎn)是定單數(shù)量大,平均在75000美元,需要商業(yè)洽談,按照固定合同條款和商業(yè)規(guī)則進(jìn)行交易。信用開(kāi)始是依托信用卡,爾后需要更復(fù)雜的銀行信用管理系統(tǒng),基礎(chǔ)設(shè)施包括局域網(wǎng)、定制的目錄和流程規(guī)則;B2C模式下是顧客直接與商家接觸,特點(diǎn)是定單數(shù)量小,平均在75美元,主要是按價(jià)目表或者固定價(jià)格,屬于沖動(dòng)購(gòu)買(mǎi)或者偶爾購(gòu)買(mǎi),所以廣告的作用很大。信用依靠消費(fèi)者信用卡,基礎(chǔ)設(shè)施主要是互聯(lián)網(wǎng)的鏈接。

僅就交易工作流而言,它有很多業(yè)務(wù)需求如:客戶管理,商品瀏覽,身份認(rèn)證,訂單管理,配送和轉(zhuǎn)賬等,本文當(dāng)中,重點(diǎn)討論在密碼服務(wù)和安全性上的需求,通過(guò)實(shí)施安全性措施,確保在交易的生命周期當(dāng)中,在交易信息的運(yùn)動(dòng)過(guò)程中,敏感信息不會(huì)喪失信息安全性。

在交易流程中,證書(shū)的操作主要有:證書(shū)庫(kù)的打開(kāi),證書(shū)檢索,證書(shū)驗(yàn)證,證書(shū)加密數(shù)據(jù)和數(shù)字簽名CryptoAPI只提供了基本的密碼函數(shù),對(duì)于數(shù)字證書(shū)很少涉及,而CAPICOM組件對(duì)這些高層應(yīng)用服務(wù)提供了方便的接口。

圖2十六進(jìn)制形式密文和解密結(jié)果

圖3簽名過(guò)程

圖4十六進(jìn)制形式密文和解密結(jié)果

WINDOWS平臺(tái)中,證書(shū)存于證書(shū)庫(kù)CertStore的結(jié)構(gòu)中,使用時(shí)必檢索證書(shū)庫(kù),取得證書(shū)句柄,獲得證書(shū)的基本信息如:有效期,公鑰等,同時(shí),還要對(duì)證書(shū)的有效性進(jìn)行驗(yàn)證。私鑰存于密鑰容器中(KeyContainer),有對(duì)應(yīng)私鑰的證書(shū),還存有私鑰容器的句柄。[4]默認(rèn)的證書(shū)庫(kù)有4個(gè):Trust,My,CA,Root,其中My存放了個(gè)人的證書(shū),其中還有私鑰容器句柄,Trust存放了通信群體中其它人的證書(shū),僅公鑰。證書(shū)的管理必須用到CAPICOM的幾個(gè)接口:IStorePtr指向證書(shū)庫(kù),ICertificates2Ptr指向證書(shū)集合,ICertificatePtr指向證書(shū),三個(gè)接口形成操作證書(shū)的三級(jí)索引。

圖5驗(yàn)證過(guò)程

證書(shū)加密實(shí)際是用接收方證書(shū)的公鑰加密,過(guò)程有兩步:用公鑰加密對(duì)稱密鑰,用對(duì)稱密鑰加密數(shù)據(jù)如支付的信息:客戶帳號(hào)和PIN碼等。CAPICOM定義的對(duì)象IenvelopedDataPtr對(duì)兩步進(jìn)行了包裝,對(duì)于編程人員是透明的。

⑴定義數(shù)據(jù)信封

IEnvelopedDataPtrpEncryptIEnvelopedData(__uuidof

(EnvelopedData));

IEnvelopedDataPtrpDecryptIEnvelopedData(__uuidof

(EnvelopedData));

⑵設(shè)定算法參數(shù)和對(duì)稱密鑰長(zhǎng)度

CAPICOM對(duì)密碼算法的標(biāo)識(shí)標(biāo)準(zhǔn)和密鑰長(zhǎng)度進(jìn)行了定義,以常量形式給出。這里以RC4為例。

pEncryptIEnvelopedData->Algorithm->Name=CAPICOM_ENCRYPTION_ALGORITHM_RC4;

pEncryptIEnvelopedData->Algorithm->KeyLength=CAPICOM_ENCRYPTION_KEY_LENGTH_40_BITS;

⑶加密

bstrtemp=SysAllocStringByteLen("HelloCapicom!",14);

_bstr_ta.Assign(bstrtemp);

pEncryptIEnvelopedData->Content=_bstr_ta;bstrciphertext

=pEncryptIEnvelopedData->Encrypt(

CAPICOM_ENCODE_BINARY);

⑷取出密文

bstrtemp是BSTR指針,指向雙字節(jié)的字符串,即以兩個(gè)Bytes來(lái)存一個(gè)ASCII字符,_bstr_t類型對(duì)雙字節(jié)字符串進(jìn)行了對(duì)象裝箱,字節(jié)數(shù)是字符數(shù)據(jù)量的兩倍。加密"HelloCapicom!"后,以字符形式看密文則呈亂碼形式。二進(jìn)制形式則如圖2所示。

PCHARpCiphertext=NULL;pCiphertext

=(PCHAR)bstrciphertext;printf("密文字符流:\n");

PVOIDpchartemp=malloc(24);

for(intk=0;k<bstrciphertext.length()*2;k++)

{if(k%24==0){memcpy((PVOID)pchartemp,pCiphertext,24);

}pCiphertext++;}

⑸解密

pDecryptIEnvelopedData->Decrypt(bstrciphertext);printf("解密后:%s\n",

(PCHAR)pDecryptIEnvelopedData->Content.copy());結(jié)果如圖4所示。

簽名是對(duì)消息哈希值進(jìn)行簽名,先算出數(shù)據(jù)的哈希值,再用簽名者的私鑰對(duì)哈希值簽名,通過(guò)這個(gè)過(guò)程來(lái)保證訂單信息如商品數(shù)量,品名等的完整性和非抵賴性。此步驟中,會(huì)檢索MY證書(shū)庫(kù)的證書(shū),找證書(shū)公鑰對(duì)應(yīng)的私鑰的容器句柄,再找到私鑰,這對(duì)于程序員是透明的。簽名和數(shù)據(jù)可以“依附”發(fā)送也可“獨(dú)立”發(fā)送,接收者收到數(shù)據(jù)和簽名后,重算數(shù)據(jù)的哈希值,將哈希值和數(shù)據(jù)的簽名送進(jìn)驗(yàn)證運(yùn)算將會(huì)得出驗(yàn)證結(jié)果。CAPICOM組件,用接口ISignedDataPtr和IHashedDataPtr來(lái)封裝此功能。

⑴定義哈希對(duì)象和設(shè)定哈希算法

IHashedDataPtrpIHashedDataPtr(__uuidof(HashedData));

pIHashedDataPtr->Algorithm=

CAPICOM_HASH_ALGORITHM_SHA1。

⑵哈希和取哈希值

哈希對(duì)象的哈希值是字符串形式的以十六進(jìn)制的格式返回,SHA-1算法的哈希值為160位,即20字節(jié),表示成HEX格式一個(gè)字節(jié)表示為兩個(gè)字符,共40個(gè)ASCII字符,再用雙字節(jié)字符表示。則為40個(gè)寬字符,80字節(jié),所以哈希值的字節(jié)長(zhǎng)度變成了80字節(jié)。如圖3所示。

bstrtemp=SysAllocStringByteLen("HelloCapicom!",14);_bstr

_ta.Assign(bstrtemp);

PCHARpchar=NULL;pIHashedDataPtr->Hash(_bstr_ta);

bstrHashValue=pIHashedDataPtr->Value;

⑶簽名

簽名加入時(shí)間戳和簽名者信息,還要編碼成一定的格式,有時(shí)還加入了簽名者的證書(shū),故簽名消息的長(zhǎng)度取決于多個(gè)因素。而不只取決簽名者的公鑰長(zhǎng)度。如以二進(jìn)制編碼為格式則為898字節(jié),如圖5所示。

ISignedDataPtrpISignedDataPtr(__uuidof(SignedData));pISignedDataPtr->Content=pIHashedDataPtr->Value;

bstrSignature=pISignedDataPtr->Sign(0,TRUE,CAPICOM

_ENCODE_BINARY);

⑷驗(yàn)證

pISignedDataPtr->Content=pIHashedDataPtr->Value;

pISignedDataPtr->Verify(bstrSignature,TRUE,

CAPICOM_VERIFY_SIGNATURE_ONLY);

如果驗(yàn)證不通過(guò)則會(huì)拋出異常,驗(yàn)證失敗。如圖3所示。

信息安全如果涉及到國(guó)家利益和經(jīng)濟(jì)利益,密碼算法往往需要本地化,而算法模塊CSP的變動(dòng)會(huì)對(duì)直接調(diào)用CSP的商務(wù)應(yīng)用產(chǎn)生藕合變動(dòng),這是開(kāi)發(fā)者所不愿見(jiàn)到的。有了CAPICOM中間件,[7]可以通過(guò)本地化CSP,實(shí)現(xiàn)本地化的密碼算法,將其設(shè)定為默認(rèn)的CSP,只要其遵照CSP的規(guī)范,可以和CAPICOM無(wú)縫掛接,而對(duì)上層的電子商務(wù)交易模型不要做任何修改。做到密碼服務(wù)消費(fèi)和密碼服務(wù)生產(chǎn)的分隔與獨(dú)立,從而實(shí)現(xiàn)CSP的零開(kāi)銷本地化。文章創(chuàng)新性地將CAPICOM密碼中間件技術(shù)和電子商務(wù)交易模型相結(jié)合,很好地滿足了電子商務(wù)的信息安全保密需求,解決應(yīng)用層安全需求和底層密碼服務(wù)模塊本地化之間的藕合矛盾。

參考文獻(xiàn)

1張碩陽(yáng)等.電子商務(wù)交易中的風(fēng)險(xiǎn)來(lái)源與風(fēng)險(xiǎn)認(rèn)知[A].廣東:中山大學(xué)出版社,2002:187~196

2張楚等.電子商務(wù)與交易安全[A].北京:中國(guó)法制出版社289~296

3/library/default.asp?url=/library/en-us/seccrypto/security/setting_the_computer_default_csp.asp

4微計(jì)算機(jī)信息(高世偉等,基于DCOM技術(shù)實(shí)現(xiàn)的控制系統(tǒng),2005,21,1-2,23)