购物车(0) 期刊中心 科普订阅 SCI杂志 范文中心 投稿指导
在线咨询7X16小时在线
公务员期刊网 精选范文 电子合同的安全性范文

电子合同的安全性精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的电子合同的安全性主题范文,仅供参考,欢迎阅读并收藏。

电子合同的安全性

第1篇:电子合同的安全性范文

【关键词】PKI;SIM卡;CA认证;OTA;电子合同

一、引言

随着电子商务的发展,B2B商务活动逐渐成为一种主流商务活动。在电子商务活动中,最为重要的部分为签订合同的过程。确保签订的合同安全有效是所有电子商务商户所共同追求的目标。为保证网上信息的安全传输,目前广泛采用的是公钥基础设施(Public Key Infrastructure,PKI)技术。PKI技术采用证书管理公钥,通过第三方的可信任的认证中心(Certificate Au

thority,CA),将用户公钥和用户的其它标识信息捆绑在一起,在互联网上验证用户的身份。

本文所设计的电子合同系统,就是利用SIM卡在移动通信网络上建立起相应的PKI架构,利用SIM卡的可识别性来实现身份认证服务,确保了交易信息的安全性、完整性和不可抵赖性。

二、PKI技术简介

PKI(Public Key Infrastructure )即“公开密钥体系”,PKI是一种基于公开密钥体制的密钥管理平台,通过采用认证技术确保电子合同的完整性和抗抵赖性,通过对信息进行加密确保信息在传输过程中的保密性。同时,通过采用基于PKI/CA结构及用户口令,可有效地对系统中的用户进行身份认证,防止系统中出现非法用户和伪造信息。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。其中CA是PKI的核心执行机构,是PKI的主要组成部分,业界人士通常称它为认证中心。它是保证电子商务、电子政务、网上银行、网上证券等交易的权威性、可信任性和公正性的第三方机构。

三、PKI-SIM卡

PKI-SIM卡通过SIM卡内部提供PKI 相关功能,结合空中下载(Over the air,OTA)远程管理,从而在移动网络上建立完整的移动身份认证服务系统。PKI-SIM 卡作为 PKI 体系中的用户私有密钥的载体,提供了硬件级别的私有密钥的数据保密性,并且在卡上实现各种安全算法,有足够的安全措施保证密钥的完整性。

PKI-SIM卡代替了传统的USB key等其它外持的独立设备作为认证终端,利用通讯网络对PKI-SIM卡中的CA认证进行更新和管理。合同双方能够通过存放于SIM卡中的用户私钥来对合同签名确认,接收后能够通过数字签名技术核实对方签名的有效性,双方确认后不能抵赖对合同的签名。在数据传输过程中,即使用户数据(密文)被窃取,由于没有存在SIM卡中的私钥,无法还原为正确的明文,从而保证了数据的安全性。

四、基于PKI-SIM的电子合同系统

1.电子合同系统结构模型。电子合同系统由服务提供商,电子商务运营平台,认证中心,移动终端和用户等部分组成。服务提供商提供服务,并将服务的说明信息到电子商务运营平台;电子商务运营平台存储各种服务信息,并且提供服务检索、合同创建与维护、合同证据的保全等功能;认证中心用来审核CA证书,为移动终端提供经过数据签名的CA证书下载和审核;用户通过移动终端的信息确认,登陆到运营平台检索服务,签订电子合同获得自己需要的服务。电子合同系统的结构模型如图1所示:

图1 电子合同结构模型

通讯终端和认证中心的无线方式交换数据信息,运营商主要负责移动身份认证平台和PKI-SIM移动终端之间的联系,为他们之间通信提供了一条通道。其结构如下图2:

图2 电子合同系统无线传输结构模型

2.电子合同的签订流程。合同是交易双方用来保证各自利益的法律依据,所以电子合同系统的签订是系统最为关键部分。在签署合同过程中,需要保证合同的机密性、完整性和抗抵赖性。本系统具体流程如下:

用户在使用本合同系统之前,需要在运营商处申请数字证书。申请成功后,用户通过PKI-SIM卡端执行加密,将加密信息上传到身份认证平台 RA系统,同时下载CA证书。

合同提供方(甲方)向电子商务平台的电子合同系统提交意向合同,系统将合同传送接收方(乙方),乙方根据合同条款决定是否签订。如果乙方有异议,返回协商信息给甲方,甲方根据乙方意见调整合同后再次提交给电子合同系统;如果乙方同意,返回同意签订信息给电子合同系统,双方通过移动通信服务确定合同双方的身份,如果双方身份验证成功,即可签订合同。具体流程如图3所示。

图3 电子合同系统签订流程示意图

五、结论

随着电子商务蓬勃发展,网上订单和网络交易越来越频繁,人们对电子合同的安全性提出了更高的要求。PKI-SIM技术在电子商务平台上的应用有效的保证了网络商业交易的安全性,降低了交易风险。基于PKI-SIM技术的网络电子合同平台,可对系统中的交易双方进行有效身份认证,保证电子合同的机密性、完整性和抗抵赖性。保证了电子合同的法律效力,消除了人们对网络商业安全性的疑虑。用户在移动终端上进行操作即简单、安全,又方便、快捷,具有巨大的实用价值。

参 考 文 献

[1]MESSAOUD B.Introduction to the Public Key Infrastructure for the Internet[M].2003

[2]中广瑞波公司.PKI-SIM安全认证卡系统简要说明

第2篇:电子合同的安全性范文

    论文关键词 承诺 电子商务合同 edi

    20世纪末至今,伴随着计算机网络的普及发展,人类生活方式发生了深刻变革,企业的国际贸易模式也随之优化进步,利用计算机和网络技术实现市场交换的全过程已成为现实。电子商务作为国际贸易不断深化与科学技术飞速发展相结合的产物,随着全球贸易竞争的日趋激烈,在国际贸易中所具有的重要地位将愈趋明显。同时,电子商务的应用也为国际贸易中法律规制提出挑战,电子数据交换(edi)利用计算机网络进行自动、及时的信息交流、数据交换和处理,开创了“无纸贸易”的新时代,使传统理论中要约承诺的形式、生效时间地点、安全性、能否撤销等规定受到质疑,值得探究。

    一、传统承诺理论的规定

    承诺是指受要约人按照要约人所指定的方式,对要约的内容表示同意的一种意思表示,在国际贸易中,也称“接受”或“收盘”。被要约人一旦表示承诺,则表明要约人、被要约人之间以达成协议,合同即宣告成立。《联合国货物买卖合同公约》第18条第2款规定:“接受发价于表示同意的通知送达发价人时生效。如果表示同意的通知在发价人所规定的时间内,如未规定时间,在一段合理的时间内,未曾送达发价人,接受就成为无效,但须当适地考虑到交易的情况,包括发价人所使用的通讯方法的迅速程度。对口头发价必须立即接受,但情况有别者不在此限。”传统理论中,关于承诺生效的时间,存在投邮主义和到达主义两种不同理论。

    英美法系采用投邮主义,即在以书信、电报作出承诺时,承诺的通知一经交付邮局投邮立即生效,合同即告成立。即使是由于邮局的疏忽致使承诺的通知在作践耽搁或丢失,风险仍由要约人承担,而与受要约人无关,且不影响合同的成立。英美法系采用“投邮主义”的目的在于缩短要约人能够撤销要约的时间,从而改善受要约人在交易中的被动地位。但在要约人收不到受要约人承诺时,以“投邮主义”而强加给要约人的合同成立其不合理性也是显而易见的。

    与之不同,大陆法系采用到达主义,如《德国民法典》第130条规定:“对于相对人所做的意思表示,于意思表示到达相对人发生效力。”我国亦采用到达主义,即遵循《合同法》第26条规定:“承诺通知到达要约人时生效。承诺不需要通知的,根据交易习惯或者要约的要求作出承诺的行为时生效。”

    关于承诺的撤回,除当面表示承诺和采用投邮主义立法的国家不存在外,采用到达主义的国家规定了承诺撤回问题。根据《联合国国际货物买卖合同公约》第22条,“接受得予撤回,如果撤回通知于接受原应生效之前或同时,送达发价人。”我国《合同法》规定与之相同。

    二、e时代国际贸易的新形势及问题

    e时代,最初用来指电子(electronic)时代,电脑网络出现后email以其快速、简便、多功能等在很短的时间内颠覆了传统的手写邮寄信件。电子商务合同,是指以数据电文形式订立的合同,当事人通过数据输入进行要约、承诺,以网络传输进行送达。

    传统的书面合同要求双方当事人在合同原件上手书签名、盖章或按指纹,以表明当事人对该书面合同内容正确性的确认。而在edi合同中,手书签章被电子签名所代替,即由符号及代码组成,经由键盘输入并存储于计算机磁盘中。

    在电子商务合同的签订过程中,要约与承诺的意思表示由当事人通过计算机互联网以电子方式实现瞬间传递的,因而由其所依赖的技术和其运作方式的独特性,产生许多新问题。

    如:数字形式的电子签名很容易被他人模仿、破译或篡改,服务器故障导致延迟而产生生效时间争议及撤销争议等问题,这些新形势下的新问题亟待解决。

    三、新形势下“承诺”的法律问题探究

    (一)“承诺”表达新形式问题

    在电子商务中,虽然采用edi取代了传统口头或书面的意思表示形式,但承诺仍具有在电子商务合同当事人间意思传递的重任,因而电子意思表示在形态上仍然可表现为要约、要约邀请或承诺。在edi环境下的承诺,因法律并未具体规定表达方式,又是当事人约定的结果,故以数据电文新形式表达的承诺也当具有法律效力。联合国贸易和发展会议制定的《电子贸易示范法》第11条规定:“除非当事人另有协议,合同要约及承诺均可通过数据电文手段表示,并不得仅仅以使用了数据电文为理由否认该合同的有效性和可执行性。”

    (二)“承诺”的撤回与撤销问题

    承诺的撤回,是指承诺人阻止承诺发生法律效力的一种意思表示。采取投邮主义作为承诺生效原则的英美法系国家,不承认承诺可以撤回,但大陆法系国家对承诺生效采取的是到达主义原则,认为承诺可以撤回。e时代随着计算机网络的应用,承诺开始以电子形式表达。从法律规定上,撤回需要在承诺尚未送达要约人之前追回并终止其效力,然而计算机一旦发出承诺,几乎不可能再找到一种方式,将撤回的通知先于或同时于承诺送达。因而,此种意义上承诺撤回是不可能的。

    承诺的撤销在传统合同中并不多见,因为要约一经承诺,就标志着合同的成立。承诺的撤销即意味着对已经成立的合同的撤销,因此进入到违约制度规范的范畴。但是,鉴于网络交易的快捷和特殊性,法律可以采用约定或法定宽限期限的办法对电子承诺给与特殊的待遇:承诺到达相对人时暂不生效,在经过双方约定的宽限期后承诺始生效。在双方没有约定的情况下,也可以由法律直接规定一个合理宽限期限。

    (三)“承诺”生效的时间、地点问题

    传统意义上承诺的生效时间,英美法采取投邮生效原则,但需要的是,根据英美法学者的解释,投邮主义的承诺只适用于邮寄承诺及以电报承诺两种方式。倘双方以电话、传真等即时同步传递要约或承诺时,则承诺人之承诺必须清楚地传到要约人的手中,否则不生承诺之效。 大陆法系对承诺的生效采用的是“到达主义”,承诺的通知必须于其到达相对人时才生效,合同亦于此时才成立。因而综合两种学派观点,最为科学的电子承诺生效的时间点,应以“到达主义”为主。

    电子商务合同的订立是在不同地点的计算机系统内完成的,但由于电子数据可在任何地点发出,如果采用英美法系的“邮箱规则”,会使合同成立的地点具有很大的不确定性,不利于发生诉讼时管辖法院与法律的选择。大陆法系的“到达主义”则可以在很大程度上避免这一缺陷。

    (四)电子商务合同的缔约过失责任问题

    随着计算机网络的普及应用,商务合同的缔约过失责任也出现了新问题。传统理论中规定了缔约过失责任的损害赔偿问题,如我国《合同法》第42、43条规定:“当事人在订立合同过程中有下列情形之一,给对方造成损失的,应当承担损害赔偿责任:(一)假借订立合同,恶意进行磋商;(二)故意隐瞒与订立合同有关的重要事实或者提供虚假情况;(三)有其他违背诚实信用原则的行为。当事人在订立合同过程中知悉的商业秘密,无论合同是否成立,不得泄露或者不正当地使用。泄露或者不正当地使用该商业秘密给对方造成损失的,应当承担损害赔偿责任。”

    但电子商务活动中的缔约责任有其特殊性。这种特殊性表现在:一是由于合同订立过程必须由第三人(网络经营者)的介入,二是网络安全与商业秘密的泄露问题。故合同缔约无效或不成立,可能由当事人违背诚实信用原则、通讯失误或网络安全等问题造成。

    此外,在电子数据的传输过程中,当事人的有关信息也可能被窃取、泄露或者删除、篡改等。但由于这些原因造成的合同无效或撤销,尚无专门的网络安全立法规定,故在加强技术手段保障的同时,也应当弥补这一领域的立法缺陷。

    四、相关立法比较及应对建议

    对于承诺的生效时间,我国采纳的是大陆法系的做法。由于利用edi的方式仍然有一定间隔,如到达文件箱后的保存需要一定时间,因此必须设定“到达主义”的例外。 如韩国《贸易处理促进法》第15条第2项规定,受要约方的信息在服务提供者的电脑文件箱里记录后,“度过通常运行时所需的时间后”,被推定已到达。此即规定在到达服务提供者的电脑文件箱并记录之前的危险,均由信息发送人负担。

    对于承诺撤销的规定,建议通过立法规定,在意思自治的基础上,当事人约定对电子承诺给予特别期限的宽恕,或这直接由法律规定合理的宽限期限,但应注意此期限应当比较短暂,有利于保障交易的安全性。

    对于承诺表达新形式下的安全性问题,可赋予电子签名与手书签名同等的法律效力。如新加坡《电子交易法》规定:“如果一项法律规则要求签名,或者规定某一文件未经签名会产生特定的法律后果,则采用电子签名的形式满足该法律规则。”同时,也可借助指纹、声纹、dna比对辨认等技术,加强电子签名的安全性,确认当事人的身份。

    对于电子商务合同缔结过程中数据泄漏、删除、篡改等问题,一方面可采取技术措施,如防火墙保护、口令输入、生物码指纹输入技术等进行监管,另一方面从法律角度,可借鉴国际商会制订的《电传交换贸易数据统一行为守则》的规定:“传送电文的中介人保证,对中转传递的电文不得作未经授权的改动,并保证不得将其内容透露给未经授权的任何人。”

第3篇:电子合同的安全性范文

[关键词]电子商务安全网络安全商务安全

2003年对中国来说是个多事之秋,先是SARS肆虐后接高温威胁。但对电子商务来说,却未必不是好事:更多的企业、个人及其他各种组织,甚至包括政府都在积极地推动电子商务的发展,越来越多的人投入到电子商务中去。电子商务是指发生在开放网络上的商务活动,现在主要是指在Internet上完成的电子商务。

Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面,而应该是利用Web技术使Web站点与公司的后端数据库系统相连接,向客户提供有关产品的库存、发货情况以及账款状况的实时信息,从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接,使小到本企业的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此,安全性始终是电子商务的核心和关键问题。

电子商务的安全问题,总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。

一、网络安全问题

一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。

二、计算机网络安全体系

一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。

在实施网络安全防范措施时,首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施。

对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。

网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础,支持不同类型的安全硬件产品,屏蔽安全硬件以变化对上层应用的影响,实现多种网络安全协议,并在此之上提供各种安全的计算机网络应用。

互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来的几年中成为重点,如身份认证,授权检查,数据安全,通信安全等将对电子商务安全产生决定性影响。

三、商务安全要求

作为一个成功的电子商务系统,首先要消除客户对交易过程中安全问题的担心才能够吸引用户通过WEB购买产品和服务。使用者担心在网络上传输的信用卡及个人资料被截取,或者是不幸遇到“黑店”,信用卡资料被不正当运用;而特约商店也担心收到的是被盗用的信用卡号码,或是交易不认账,还有可能因网络不稳定或是应用软件设计不良导致被黑客侵入所引发的损失。由于在消费者、特约商店甚至与金融单位之间,权责关系还未彻底理清,以及每一家电子商场或商店的支付系统所使用的安全控管都不尽相同,于是造成使用者有无所适从的感觉,因担忧而犹豫不前。因些,电子商务顺利开展的核心和关键问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点。

用户对于安全的需求主要包括以下几下方面:

1.信息的保密性。交易中的商务信息均有保密的要求。如信用卡的账号和用户被人知悉,就可能被盗用;定货和付款信息被竞争对手获悉,就可能丧失商机。因此在电子商务中的信息一般都有加密的要求。

2.交易者身份的确定性。网上交易的双方很可能素昧平生,相隔千里。因此,要使交易能够成功,首先要想办法确认对方的身份。对商家而言,要考虑客户端是否是骗子,而客户也会担心网上的商店是否是黑店。因此,能方便而可靠地确认对方身份是交易的前提。

3.交易的不可否认性。交易一旦达成,是不能被否认的,否则必然会损害一方的利益。因此电子交易过程中通信的各个环节都必须是不可否认的。主要包括:源点不可否认:信息发送者事后无法否认其发送了信息。接收不可否认:信息接收方无法否认其收到了信息。回执不可否认:发送责任回执的各个环节均无法推脱其应负的责任。

4.交易内容的完整性。交易的文件是不可以被修改的,否则必然会损害交易的严肃性和公平性。

5.访问控制。不同访问用户在一个交易系统中的身份和职能是不同的,任何合法用户只能访问系统中授权和指定的资源,非法用户将拒绝访问系统资源。

四、电子商务安全交易标准

近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。主要的协议标准有:

1.安全超文本传输协议(S—HTTP):依靠对密钥的加密,保障Web站点间的交易信息传输的安全性。

2.安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE浏览器,以完成需要的安全交易操作。

3.安全交易技术协议(STT,SecureTransactionTechnology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在InternetExplorer中采用这一技术。

4.安全电子交易协议(SET,SecureElectronicTransaction):1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET公告,并于1997年5月底了SETSpecificationVersion1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET2.0预计今年,它增加了一些附加的交易要求。这个版本是向后兼容的,符合SET1.0的软件并不必要跟着升级,除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。

所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet电子商务市场。

五、商务安全的关键CA认证

怎样解决电子商务安全问题呢?国际通行的做法是采用CA安全认证系统。CA是CertificateAuthority的缩写,是证书授权的意思。在电子商务系统中,所有实体的证书都是由证书授权中心即CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA机构应包括两大部门:一是审核授权部门,它负责对证书申请者进行资格审查,决定是否同意给该申请者发放证书,并承担因审核错误引起的一切后果,因此它应由能够承担这些责任的机构担任;另一个是证书操作部门,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任。

CA体系主要解决几大问题:1.解决网络身份证的认证以保证交易各方身份是真实的;2.解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改;3.解决交易的不可抵赖性以保证对方在网上说的话是真实的。

需要注意的是,CA认证中心并不是安全机构,而是一个发放”身份证”的机构,相当于身份的”公证处”。因此,企业开展电子商务不仅要依托于CA认证机构,还需要一个专业机构作为外援来解决配置什么安全产品、怎样设置安全策略等问题。外援的最合适人选当然非那些提供信息安全软硬件产品的厂商莫属了。好的IT厂商,会让用户在部署安全策略时少走许多弯路。在选择外援时,用户为了节省成本,避免损失,应该把握几个基本原则:1.要知道自己究竟需要什么;2.要了解厂商的信誉;3.要了解厂商推荐的安全产品;4.用户要有一双”火眼金睛”,对项目的实施效果能够正确加以评估。有了这些基本的安全思路,用户可以少走许多弯路。

六、相应法律法规

电子商务要健康有序地发展,就像传统商务一样,也必须有相应的法律法规作后盾。商务过程中不可避免地会产生一些矛盾,电子商务也一样。在电子商务中,合同的意义和作用没有发生改变,但其形式却发生了极大的变化,1.订立合同的双方或多方是互不见面的。所有的买方和卖方在虚拟市场上运作,其信用依靠密码的辨认或认证机构的认证。2.传统合同的口头形式在贸易上常常表现为店堂交易,并将商家所开具的发票作为合同的依据。而在电子商务中标的额较小、关系简单的交易没有具体的合同形式,表现为直接通过网络订购、付款,例如利用网络直接购买软件。3.表示合同生效的传统签字盖章方式被数字签名所代替。

电子商务合同形式的变化,对于世界各国都带来了一系列法律新问题。电子商务作为一种新的贸易形式,与现存的合同法发生矛盾是非常容易理解的事情。但对于法律法规来说,就有一个怎样修改并发展现存合同法,以适应新的贸易形式的问题。

小结

在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,应该还具备以下特点:强大的加密保证;使用者和数据的识别和鉴别;存储和加密数据的保密;连网交易和支付的可靠;方便的密钥管理;数据的完整、防止抵赖。电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。

参考文献:

[1]《电子商务基础》尚建成主编高等教育出版社出版2000.9

第4篇:电子合同的安全性范文

关键词:电子商务 安全 网上交易

中图分类号:F626.5 文献标志码:A文章编号:1673-291X(2011)26-0279-06

一、电子商务安全的基本理论

(一)电子商务的概念

电子商务出现于20世纪90年代,发展的时间并不长,但与传统商务相比,电子商务具有惊人的发展速度。CNN公布的资料表明,1999年度全球电子商务销售额突破1 400亿美元。但是,究竟什么是电子商务呢?实际上,迄今为止,电子商务还没有一个被广泛接受的概念。

世界贸易组织(WTO)给电子商务下的定义为:电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。

经济合作发展组织(OECD)认为:电子商务是指商业交易,它包括组织与个人在基于文字、声音、可视化图像等在内的数字化数据传输与处理方面的商业活动。

世界各国对电子商务的理解也不尽相同。尽管电子商务的定义在内容上各有侧重,但是我认为电子商务的内涵一般应至少包括下列三方面内容:

(1)使用电子工具,借助互联网传输信息。

(2)在公开环境下交易。

(3)依靠一定的技术规范和技术标准,利用数据化的信息来进行交易。

电子商务使用的网络类型主要有三种形式:EDI网络、INTRANET网络和INTERNET网络。由于EDI是专线网络,而INTRANET是企业内部网,其安全性较好,对传统法律规范体系的冲击相对于INTERNET要小的多,因而本文主要讨论的电子商务主要是指借助于INTERNET网络的电子商务。

(二)电子商务的安全的内容及要求

电子商务作为一种新的经济交易方式,它只是在表现形式上与传统商业不同,但是这并没有改变其商业属性,这就要求电子商务的运作必须遵循商业活动的一般规律,否则,电子商务是无法发展的。

安全与效率,是一切经济交易必须考虑的两个问题。电子商务的存在与发展也必须满足这两个要求。对于电子商务而言,其高效性已经得到了人们充分的认可。但是,安全性呢?电子商务作为一种新生事物,世界各国都尚未形成成熟的安全运营模式。如何在网络环境下,构建与传统法律价值接近的规则体系,已经越来越为人们所关注。

从传统商业与电子商务的不同特点来看,要满足电子商务的安全性要求,至少要有下面几个问题需要解决。

1.交易前交易双方身份的认证问题。电子商务是建立在互联网络平台上的虚拟空间中的商务活动,交易的当事人可能处在不同的国家,他们并不直接见面,双方只能通过数据、符号、信号等进行判断、选择,具体的商业行为也依靠电子信号和数据的交流,交易的当事人再也无法用传统商务中的方法来保障交易的安全。

2.交易中电子合同的法律效力问题以及完整性保密性问题。在传统国际贸易法中,合同形式要求为书面,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。

3.交易后电子记录的证据力问题。在英美法系,传闻证据规则限制了电子记录的证据力。在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至也没有将其单列出来作为证据的一种。

上述这些问题,已经对传统法律制度造成了冲击,也是实现电子商务安全所必须解决的问题。笔者将针对这些问题,从技术安全、组织安全、法律安全三个角度,对电子商务的安全运营问题进行解析。

二、电子商务安全性的现状及存在的问题

(一)电子商务安全的现状

1.基础技术相对薄弱

国外有关电子商务的安全技术,其结构或加密算法等都不错,但由于受到本国密码政策的限制,公开的算法对于他们来说几乎不能保密了,潜在安全隐患极大。比较遗憾的是我国至今还没有自己研发成功的较为成熟的算法。

2.体系结构不完整

电子商务安全以前大都担当着“救火队”的角色,头痛医头,脚痛医脚。这种“治标不治本”的做法下,问题总是层出不穷。近年来,人们已经开始着手从体系结构来解决问题,应当说在理论上已取得了明显的进展,但到实践运用还需要更大的努力。

3.支持产品不过硬

目前,市场上有关电子商务安全的产品数量不少,但真正通过认证的相当少。主要是因为不少安全措施是从网上“移植”来的。另外,不少电子商务安全技术的厂商对网络技术很熟悉,但对安全技术普遍了解得不多,很难开发出真正实用的、足够的安全技术和产品。目前,构成我国信息基础设施的网络、硬件、软件等产品几乎完全建立在以美国为首的少数几个发达国家的核心信息技术之上。

4.多种“威胁”纷杂交织、频频发生

电子商务面临的安全威胁主要来源于三个方面:一是非人为、自然力造成的数据丢失、设备失效、线路阻断;二是人为但属于操作人员无意的失误造成的数据丢失;三是来自外部和内部人员的恶意攻击和侵入。最后一种是当前电子商务所面临的最大威胁,极大地影响了电子商务的顺利发展。因此,它是电子商务安全对策最需要解决的问题。

“黑客”攻击电子商务系统的手段可以大致归纳为以下5种:

(1)中断:采取破坏硬件、线路或文件系统等,攻击系统的可用性。

(2)窃取:采取搭线、电磁窃取和分析业务流量等获取有用情报,攻击系统的机密性。

(3)篡改:结合其他手段修改秘密文件或核心内容,攻击内容完整性。

(4)伪造:采取伪造假身份注入系统、假冒合法人接入系统、破坏消息的接受和发送,攻击系统的真实性。

(5)轰炸:采取施放电子邮件炸弹等,攻击系统的健壮性。

(二)电子商务安全的问题

1.网络的安全性问题

(1)利用IP欺骗进行攻击

黑客伪造LAN主机的IP地址,并根据这个伪造的地址进行不正当的存取。他先使被信任的主机丧失工作能力,同时采用目标主机发出的TCP序列号,猜测出他的数据序列号,然后伪装成被信任的主机,同时建立起与目标主机基于地址经验的应用连接。如果成功,黑客可以进行非授权操作,偷盗、篡改信息。

(2)捕获用户的姓名和口令

黑客通过软件程序跟踪检测软件,可检测到用户的登录名、密码,在获得用户账户的读写权之后,可以对其内容胡乱加以修改,毁坏数据,甚至输入病毒,使整个数据库陷于瘫痪。

(3)使用“拒绝服务”

黑客发送大量的“请求服务”指令,使得WEB服务器或路由器过载而停止服务,使网络处于瘫痪的状态。

(4)非法窃听

黑客通过搭线窃听,截收线路上传输的信息,或者彩电磁窃听,截收无线电传输的信息,以进行敲诈等非法活动。

(5)网络协议安全性问题

2.交易中电子合同的法律效力问题以及完整性保密问题

在传统国际贸易法中,合同形式要求为书面形式,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。

3.交易中的安全性问题

(1)网上诈骗

网上诈骗是世界上第二种最为常见的的投资诈骗形式,它有以下几种形式:

①亲和团体诈骗。利用团体内部成员对宗教、种族及专业性团体进行诈骗。

②不正当销售行为诈骗。向不适宜的投资者推销、欺骗性报价及市场操纵。

③电话推销行为诈骗。利用“电话交易所”,强行兜售非法或欺骗性的投资产品。

④高技术产品服务诈骗。利用不合法的优惠条件来误导高技术投资者,许诺高额利润,对高技术产品的风险轻描淡写。

⑤提供投资拍电影或其他娱乐产品行骗,欺骗投资者,对投资者隐瞒风险。

(2)冒名顶替

这是指盗用他人身份来谋取钱财。他们大多会使用一个假身份来向用户贩卖实际上并不存在的商品,借机获得用户的信用卡等信息,然后设法将用户的钱取光。

(3)抵赖

在进行网上交易时,交易双方不见面,互不知道对方的年龄、性别、住址、公司状况,当交易的一方不守信用时,他可能对已经实施的操作进行抵赖,或诬陷对方实施了其实没有实施的操作,这种抵赖往往都是恶意的。如“卖股票500股被改成5 000股,请赔偿损失”,其实,对方可能没改动任何数字。

三、改善电子商务安全性问题的技术措施及建议

(一)利用电子商务安全技术改善电子商务安全

1.采用包过滤路由器

使用包过滤路由器(Router)除了可以完成不同网段间的寻址外,还可以滤除不受欢迎的一些主机的地址和服务。因为INTERNET/INTRANET的基础协议是TCP/IP协议。网络中的每台机器都有一个唯一的IP地址,通过该地址可以访问网络中的任何一台机器。除此之外,通信双方必须有一致的协议(如FTP、HTTP、Gopher、Telnet等)才能彼此理解所传送的数据包,这些协议是用机器的端口来标识的,而相应的服务也用端口来表示(如Gopher的端口为70、WWW的端口为80、FTP的端口为20或21),这样,包过滤路由器就通过IP地址和端口地址以及允许、禁止两种状态来控制网络对某个特定主机或服务的访问。

2.防火墙技术

防火墙是近年来发展的最重要的安全技术,所谓防火墙就是在内部网与外部网之间的界面上构造一个保护层并强制所有的连接都必须进过此保护层在进行检查和连接。只有被授权的通信才能通过此保护层从而保护内部网资源免遭非法入侵。它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络即被保护网络。电子商务中的防火墙主要是为了防止黑客利用不安全的服务对传输数据和信息进行攻击,阻止未授权的用户对信息资源的非法访问,甚至是对网络实施检查,决定网络之间的通信权限,监视网络的进行状态。

防火墙作为最成熟、最早产品化的网络安全机制,其最初的设计就是防范外部攻击,改进的防火墙技术更可有效地控制内部和病毒的破坏。在设计防火墙时必须考虑防火墙的姿态、机构的整体安全策略、费用、基本构件和拓扑结构以及维护和管理方案。所有的防火墙设计都要遵照两条基本原则:未被允许的必须禁止,未被禁止的均允许。另外,在选择防火墙的使用时,也要考虑诸多原则,包括网络结构、业务应用系统需求、用户及通信流量规模方面的需求以及可靠性、可用性和易用性等方面的需求。

3.采用防火墙体系

该技术运行于OSI的应用层,因此具有应用层的全部信息。由于防火墙的地位十分重要,所以一般采用两级的安全机制,即第一级由包过滤路由器承担,第二级由防火墙承担。带有两级防线的防火墙主要有以下几种形式:

(1)单堡垒主机、单路由器、一层网络的隔离形式

这种配置的特点是堡垒主机配两个网络接口,外部网络接口接受来自包过滤路由器的数据,数据必须经过包过滤路由器的过滤规则才能转发给堡垒主机,由于堡垒主机与包过滤路由器之间还有一个网络,外界对堡垒主机的非法侵入将更加困难。

(2)分级管理的双堡垒主机形式

所谓分级管理,是指在第一个堡垒主机与包过滤路由器之间的网络中接入一部分机器,将常用的不需保密的低保密级的数据放在此层,而把保密级较高的数据放在第二级堡垒主机之后,这种配置除具有原单层主机的包过滤及时和堡垒主机的优势外,当包过滤机制和第一级堡垒主机均被攻破时,由于第二层堡垒主机采用不同的安全策略,不会造成对堡垒主机的连续突破,从而保证了内部网络的安全。目前,这种方案是较高级别的安全方案。

4.采用虚拟专用网(VPN)技术

VPN是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的隧道。在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这就可以使用复杂的专用加密和认证技术,只要通信的双方默认即可。拨号VPN使用隧道技术使远程访问服务器把用户数据打包到IP信息包中,这些信息通过电信服务商的网络进行传递,在Internet中要穿过不同的网络,最后到达隧道终点。然后拆数据包,转换成最初的形式。隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接路由地址,这代替了电话交换网络使用的电话号码连接,允许授权移动用户或已授权的用户在任何时间任何地点访问内企业网络。

(二)网上交易中安全问题的解决方法

1.数字认证

数字认证是一种新兴的安全性解决方法。随着现代网络技术的发展,基础设施的改善,多媒体技术运用的进一步普及,数字认证方法正被越来越多地用于网络信息的安全传输中。在发送文件时,或在交易信息处理的过程中,通过把影响、声音等各种证明发送者身份的数据传送给接收端,可大大加强信息的可靠性,这包括电子数字签名、电子信封、电子证书、以数字方式签署和电子付款表格等,这种接收方能确认发送者的真实身份和确保交易信息不被篡改。

2.数据加密技术

数据加密技术是电子商务的最基本安全措施。目前技术条件下,通常加密技术分为对称加密和非对称加密两大类。

(1)对称密钥加密(Private Key)

采用相同的加密算法,并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的交易各方能够确保专用密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密信息,及随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。

(2)非对称密钥加密

不同于对称加密,非对称加密的密钥被分解为:公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的者,私有密钥则保存在密钥方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的者,而者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法是有RSA算法。

3.病毒防范技术

电子商务系统一方面提高交易效率,另一方面也为计算机病毒的传播创造了条件。病毒对网络交易的顺利进行和交易数据的妥善保存造成极大的威胁。计算机病毒是指隐藏在计算机数据源中,利用系统数据源进行繁殖并生成影响计算机正常运行且能通过系统数据共享途径进行传染的一组计算机指令或程序代码,主要通过软盘、硬盘、优盘和网络渠道传播,可能导致系统瘫痪甚至完全崩溃的严重后果。从事网上交易的企业和个人都应当注重病毒防范技术,排除病毒的干扰。因此,防范计算机病毒,避免计算机系统遭受病毒的侵袭,及时清除计算机病毒将病毒危害降低到最低程度是反病毒技术刻不容缓的任务。一般我们要给自己的计算机安装防病毒软件,认真执行病毒定期清理制度,并设置控制权限,通过建立系统保护机制,来预防、检测和消除病毒,谨慎打开陌生地址的电子邮件,还要高度警惕网络陷阱。

(三)电子商务安全技术的实现

1.IDEA数据加密算法

IDEA数据加密算法是由中国学者来学嘉博士和著名的密码专家James L. Massey于1990年联合提出的。它的明文和密文都是64比特,但密钥成为128比特。IDEA是作为迭代的分组密码实现的,使用128位的密钥和8个循环。这比DES提供了更多的安全性,但是在选择用于IDEA的密钥时,应该排除哪些称为“弱密钥”的密钥。DES只有四个弱密钥和12个次弱密钥,而IDEA中的弱密钥数相当可观,有2的51次方个。但是,如果密钥的总数非常大,达到2的128次方个,那么仍有2的77次方个密钥可供选择。IDEA被认为是极为安全的。使用128位的密钥,蛮力攻击中需要进行的测试次数与DES相比会明显增大,甚至允许对弱密钥测试。而且,它本身也显示了它尤其能抵抗专业形式的分析性攻击。

2.用OPEN SSL实现CA认证

(1)SSL(Secure Socket Layer)协议及其主要技术

1996年由美国Netscape公司开发和倡导的SSL协议,它是目前安全电子商务交易中使用最多的协议之一,它被许多世界知名厂商的Intranet和Internet网络产品所支持。

SSL应用在Client和Server间安全的WebHTTP通信,UEL以开始替代http,并使用443端口进行通信。它主要使用加密机制、数字签名、数字摘要、身份认证、CA技术提供Client和Server之间的秘密性、完整性、认证性三种基本的安全服务。

(2)用Open SSL工具实现安全认证

目前,国外主流的电子商务安全协议在核心密码上都有出口限制,只允许40位或56位的RC4和512位的RSA算法出口等。这样的算法强度引进后无法满足我国电子商务实际应用当中的安全需求。但是,完全自主定义和开发一套安全标准体系不是一蹴而就的事情,需要人、财、物的长期投入。

在SSL未提供源代码的情况下,由澳大利亚软件工程师Eric Young与Tim Hudson联合开发的OPENSSL恰好解决了这一难题。它不仅能实现SSL的所有功能,支持目前所有基于SSL V2/V3和TSL V1的应用软件,而且由于源代码公开和提供了各种加密算法,完全可以满足国外安全协议引进后的本地化改造需求。

下面就用OPENSSL提供的强大功能在FreeBSD平台下进行手工签署证书的过程。

①先建立一个CA的证书,首先为CA创建一个RSA私用密钥:

# OpenSLL genrsa -des3 -out ca.key 1024

该指令中genrsa表示生成RSA私有密钥文件。

-des3表示用DES3加密该文件。

-out ca.key表示生成文件ca.key。

1024是我们的RSA key的长度。

生成server.key的时候会要你输入一个密码,这个密钥用来保护你的ca.key文件,这样即使人家偷走你的ca.key文件,也打不开。拿不到你的私有密钥。

运行该指令后系统提示输入PEM pass phrase,也就是ca.key文件的加密密码,我们设为12345678。

②用下列命令查看它的内容:

# OpenSSL.rsa -nout -text -in ca.key

该指令中rsa表示对RSA私有密钥的处理。

-nout表示不打印出key的编码版本信息。

-text表示打印出私有密钥的各个组成部分。

-in ca.key表示对ca.key文件的处理。

对RSA算法进行分析可以知道,RSA的私有密钥其实就是三个字,其中两个是质数prime numbers。产生RSA私有密钥的关键就是产生这两个质数。还有一些其他的参数,引导着整个私有密钥产生的过程。

③利用CA的RSA密钥创建一个自签署的CA证书

# OpenSSL req -new -x509 -days 365 -key ca.key -out ca.crt

该指令中req用来创建和处理CA证书,它还能够建立自签名证书,做Root CA。

-new产生一个新的CSR,他会要输入创建证书请求CSR的一些必须的信息。

-x509将产生自签名的证书,一般用来做测试用,或者自己做个Root CA用。

-days 365制定我们自己的CA给人家签证书的有效期为365天。

-key ca.key指明我们的私有密钥文件名为ca.key。

-out ca.crt指出输出的文件名为ca.省略f

Enter PEM pass phrase:12345678

You are about to be asked to enter information that will be incorporated

Into your certificate request.

What you are about to enter is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank.

For some fields there will be a default value,

If you enter ,the field will be left blank.

……

Country Name (2 letter code) [AU]:CN (两个字母的国家代号)

State or Province Name(full name)[Some-State]:JIANG SU (省份名称)

Locality Name(eg,city)[]:ZHANGJIAGANG (城市名称)

Organization Name(eg,company)[Internet Widgits Pry Ltd]:FAMILY NETWORK(公司名称)

0rganizational Unit Name(eg,section)[]:HOME (部门名称)

Common Name(eg,YOUR name)[]:TJL (你的姓名)

Email Address [ ]:TJL@WX88.NET (Email地址)

④用下列命令查看生成证书的内容:

# OpenSSL x509 -noout -text -in ca.crt

该指令中x509表示证书处理工具。

-noout表示不打印毫key的编码版本信息。

-text表示以文本方式显示内容。

-in Ca.crt表示对ca.crt文件进行处理

系统显示证书内容为:

Certificate:

Data:

Version:3(Ox2)

Serial Number:0(OxO)

Signature Algorithm:md5WithRSAEncryption

Issuer:C=CN, ST=JIANG SU,L=ZHANGJIAGANG,O=FAMILY NETWORK,OU=HOME,CN=TJL/Emai1=TJL@WX88.NE

Validity

Not Before:Feb 24 14:49:27 2003 GMT

Not After:Feb 2l 14:49:27 2013 GMI

Subject:C=CN,ST=JIANG SU,L=ZHANGJIAGANG,O=FAMILY NETWORK,OU=HOME,CN=TJL/Email=

Subject Public Key Info:

Public Key Algorithm:rsaEncryption

RSA Public Key:(1024 bit)

ModulUS(1024 bit):

00:da:20:09:11:19:lf:12:fO:98:Oc:fc:9l:ac:3e:

......

22:el:ea:04:Of:dc:e9:bd:9f

Exponent:65537(Oxt0001)

X509v3 extensions:

X509v3 Subject Key Identifier:

03:BO:14:8C:5D:C6:F8:F4:BO:96:AO:CC:7C:8F:9B:00:BB:78:E6:A6

X509v3 Authority Key Identifier:

keyid:03:BO:14:8C:5D:C6:F8:F4:BO:96:AO:CC:7C:8F:9B:00:BB:78:E6:A6

DirName:/C=CN/ST=JIANG SU/L=ZHANGJIAGANG/0=FAMTLY

NETWORK/0U=HOME/CN=TJL/email=TJL@WX88.NET

serial:00

X509v3 Basic Constraints:

CA:TRUE

Signature Algorithm:md5WithRSAEncryption

8d:e8:46:82:40:b4:18:a2:12:9f:7a:66:e5:fc:Oc:3f:77:5a:

......

04:13

从上面的输出内容可以看出这个证书基本包含了X.509数字证书的内容,从发行者Issuer和接受者Subject的信息也可以看出是个自签署的证书。

下面创建服务器证书签署请求(使用指令和系统显示信息基本和以上类似):

⑤首先为Apache创建一个RSA私用密钥:

# OpenSSL genrsa -des3 -out server.key 1024

这里也要设定口令pass phrase,生成server.key文件。

⑥用下列命令查看它昀内容:

# OpenSSL rsa -noout -text -in server.key

⑦用server.key生成证书签署请求CSR:

# OpenSSL req -new -key server.Key -out server.Csr

这里也要输入一些请求证书的信息,和上面的内容类似。

⑧生成证书请求后,下面可以签署证书了,需要用到Open SSL源代码中的一个脚本sign.sh,签署后就可以得到数字证书server.crt。

# sign.sh server.csr

⑨启动安全Web服务

最后在apache服务器中进行ca认证没置,拷贝server.crt和server.key到/usr/local/apache/conf

修改httpd.conf将下面的参数改为:

SSLCertificateFILE/usr/local/apache/conf/server.crt

SSLCertificateKeyFile/usr/local/apache/conf/server.key

可以启动带安全连接的Apache试一下了。

#/usr/local/apache/bin/apachectl startssl

提示输入pass phrase(就是前面为服务器设置的口令)

⑩进行安全连接

通过另一台电脑(IP地址为192.168.0.1)的IE浏览器与这台Apache服务器(IP地址为192.168.0.2)连接并且选择https协议,即:https://192.168.0.2:443。出现安全连接警告窗口,因为我的服务器证书是自己手工签署的,不是经过真正的CA颁发的证书,是个无效证书,所以按确定后如现安全证书无效的警告窗口。按“是” 继续,注意这里浏览器地址栏内输入的是https而不是http,另外此时在状态栏内出现了一把小锁,这说明SSL协议超作用了,服务器和浏览器之间建立了一个安全连接,这样我们使用开放源代码的工具Open SSL来完成了电子商务的CA认证过程,同时这也只是使用现成的工具来完成的,在实际使用中还要分析它的源代码,修改源代码,来达到自己的安全需要。

(四)通过政府的效力加强我国电子商务的安全系数

1.对电子商务进行专门立法

电子商务是一个新生事物,很多方面不同于传统商务,与传统的法律规范体系也存在着诸多不相容之处,而且,传统的法律规范体系中还有许多电子商务方面的空白。这一情况已经在实践中引起了不少的问题。

我国的电子商务是近年才发展起来的,目前规范电子商务相关的法律法规极为有限。在法律的层次上只有1997年《中华人民共和国刑法》和1999年《中华人民共和国合同法》对相关问题作了简单规定。例如,我国1997年修订的《刑法》中增加了关于计算机犯罪的条文,1999年通过的《合同法》对电子合同的书面形式、生效时间地点等作了规定。但是,这种规定太过简单,远远不能满足电子商务发展的需要。例如,对于电子认证的效力、虚假电子认证等重要的问题,我国法律还没有规定,这已经成为阻碍我国电子商务发展的重要问题。

因此,我国应大力加强电子商务法制化建设,制定专门的《电子商务法》,对电子商务当事人的权利义务、电子合同法律关系、电子签名、电子认证、网上知识产权的保护、电子支付等问题进行专门规定,使之适应电子商务发展的需要。在刑法中,对电子商务领域的犯罪进行规定。从而在法律上,为电子商务提供一个良好的发展环境。

2.建设我国的电子商务认证机构体系

电子商务认证机构是电子商务中的重要部门,其担负着维护电子交易安全的责任。因此,要完善我国的电子商务安全运营,必须建立我国的电子商务认证体系。

在目前存在的三种电子商务认证机构模式中,当事人自由约定的电子商务认证体系不适合我国的实际情况。我国电子商务刚刚发展起来,不完善的地方很多,很多普通的消费者对电子商务还不很了解,根本无法在自由约定时,提出对自己有利的条件。而且,在交易双方的力量对比悬殊的情况下,弱势一方很难通过谈判来取得公平的结果。再进一步说,这种模式的认证结果通用性很差,不适合我国刚起步的电子商务的发展。

近年来,我国的电子商务认证机构的发展很快。1999年3月19日,中国人民银行组织12家商业银行共建金融认证中心系统;1999年8月,我国首套拥有自主知识产权的电子商务安全认证系统通过了国家密码管理委员会和信息产业部组织的技术鉴定。但另一方面,我国的电子商务认证系统还远不成熟,仍有许多需要完善的地方。我们必须对此给予充分的重视,以便为电子商务的安全发展提供组织保障。

3.大力推进电子签名等技术的发展,从技术上为电子商务提供安全保障

电子商务的产生、发展是科技发展的结果,其安全运营也要依靠技术给予的保障。因此,为加强电子商务的安全性,我们必须大力推进科技的发展,使技术满足电子商务的安全运营要求。在电子商务中广泛使用的电子签名,就涉及许多复杂的技术问题。为使电子签名具有与传统签名相同的法律效力,我们必须使电子签名具有像手写签名那样的独特性。这一问题的解决,需要技术发展才能实现。

目前,解决电子签名效力的途径主要有:

(1)修改法律或者进行法律解释,使签名涵盖电子签名。但对于何种电子签名才具有法律效力,立法要兼顾技术中立、开放与安全,使之适应技术发展的需要。

(2)电子商务的当事人在合同中约定电子签名方法及效力。

(3)依靠技术进步,这是最根本的方法。技术安全、成本低廉的电子签名方式是电子商务安全的有力保障。

收稿日期:2011-07-05

作者简介:路桥(1974-),男,辽宁新民人,硕士,讲师,从事计算机应用与网络经济研究。

参考文献:

[1] 张小兵.我国电子商务发展现状及存在问题与对策[J].商业研究,2004,(2).

[2] 徐伟.电子商务网上支付的安全保障问题[D].合肥:合肥联合大学,2008,3.

[3] 高媛,欧阳志明,石晓军.电子商务[M].北京:企业管理出版社,2005.

[4] 包晓闻,张海堂.电子商务――21世纪世界商务发展的潮流[M].北京:经济科学出版社,2008.

[5] 韩宝明.电子商务安全与支付[M].北京:人民邮电出版社,2009.

[6] 闫心丽.浅析电子商务安全[J].内蒙古电大学刊,2005,(5).

[7] 祁明.电子商务安全与保密[M].北京:高等教育出版社,2005.

Study on the electronic commerce safety

LU Qiao

(North-east finance and economy university,Dalian116023,China)

第5篇:电子合同的安全性范文

1996年6月,联合国国际贸易法委员会(UnitedNationsCommissionInternationalTradeLaw,UNCITRAL)通过了电子商务示范法。该法律支持在电子商务方面国际商业合同的使用,其模型建立了批准和承认以电子手段形成合同的规则和标准,为电子合同实施的合同格式和管理设置了查错规则,定义了有效的电子书写和原始文件的特征,为了立法和商业目的提供了电子签名的可接受性,支持在法庭和仲裁过程中提供了计算机证据,为电子商务的发展奠定了法律基础。

UNCITRAL制定了一些原则用来指导管理全球电子商务合同的起草,如:

1.参与方应自由地在他们认为适合时签订他们之间的合同关系;

2.规则在技术上应保持中立(如:规则既不应要求也不应采用特殊技术),并且规则应着眼于未来发展(如:规则不应阻碍未来技术的使用或开发);

3.作为必要的或实际的要求现存的规则应被修改,而新的规则应被采纳以支持电子技术的使用;

4.过程应包括高技术商业部门以及还未在网上运作的业务。

支付标准

支付是电子商务活动的核心,国际通行的网上支付工具和支付方式主要有银行卡支付、电子现金、电子支票以及电子资金转账、微支付等。

1.智能卡支付标准(SET)

1996年2月1日MasterCard与Visa两大国际信用卡组织与技术合作伙伴GTE、Netscape、IBM、TerisaSystems、Verisign、Microsoft、SAIC等一批跨国公司共同开发了安全电子交易规范(SecureElectronicTransaction,简称SET)。SET是一种应用于开放网络环境下,以信用卡为基础的安全电子支付系统的协议,它给出了一套电子交易的过程规范。通过SET这一套完备的安全电子交易协议可以实现电子商务交易中的加密、认证机制、密钥管理机制等,保证在开放网络上使用信用卡进行在线购物的安全。由于SET提供商家和收单银行的认证,确保了交易数据的安全、完整可靠和交易的不可抵赖性,特别是具有保护消费者信用卡号不暴露给商家等优点,因此它成为目前公认的信用卡/借记卡的网上交易的国际标准。

SET协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。其重点是如何确保商家和消费者的身份和行为的认证和不可抵赖性,其理论基础是著名的非否认协议(Non-repudiation),其采用的核心技术包括X。509电子证书标准与数字签名技术(DigitalSignature)、报文摘要、数字信封、双重签名等技术。如使用数字证书对交易各方的合法性进行验证;使用数字签名技术确保数据完整性和不可否认;使用双重签名技术对SET交易过程中消费者的支付信息和定单信息分别签名,使得商家看不到支付信息,只能对用户的订单信息解密,而金融机构只能对支付和账户信息解密,充分保证消费者的账户和定货信息的安全性。SET通过制定标准和采用各种技术手段,解决了一直困扰电子商务发展的安全问题,包括购物与支付信息的保密性、交易支付完整性、身份认证和不可抵赖性,在电子交易环节上提供了更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。

虽然早在1997年就推出了SET1.0版,但它的推广应用较缓慢,主要原因是由于昂贵、互操作性差和难以实施,它提供了多层次的安全保障,复杂程度显著增加;另一个原因是由于SSL的广泛应用。此外,银行的支付业务不光是卡支付业务,而SET支付方式适应于卡支付,对其他支付方式是有所限制的。而且,SET协议用以支持"BtoC"(businesstoconsumer)类型的电子商务模式,即消费者持卡在网上购物与交易的模式,而不能支持BtoB模式。

尽管有诸多缺陷,但SET已获得IETF的认可,成为电子商务中最重要的协议。

典型的智能卡系统有CyberCash和FirstVirtualHolding等。SET协议可更好地保证智能卡在INTERNET环境下进行网络直接交付。

2.电子现金支付协议

电子现金(e-cash或digitalcurrency)是以数字化形式存在的现金货币,具有多用途、灵活使用、匿名性、快速简便的特点,无需直接与银行连接便可使用,适用于小额交易。其主要好处是可以提高效率,方便用户使用。目前电子现金一些只需要软件,而另一些则需要新硬件--主要是智能卡,即主要有智能卡形式的支付卡或数字方式的现金文件。也可采用现金转卡或采用Mondex卡转卡的方式。其安全使用是一个重要的问题,包括限于合法人使用、避免重复使用等。不同类型的数字货币都有其自己的协议,用于消费者、销售商和发行者之间交换金融申请。每个协议由后端服务器软件--电子现金支付系统,和客户端的"钱包"软件执行。

电子现金支付已经有三种典型的实用系统开始使用,分别是:Mondex,Netcash,Digicash。

Mondex:欧洲使用的、以智能卡为电子钱包的电子现金支付系统,应用于多种用途,具有信息存储、电子钱包、安全密码锁等功能,安全可靠。

Netcash:可记录的匿名电子现金支付系统。主要特点是设置分级货币服务器来验证和管理电子现金,其中电子交易的安全性得到保证。

DigiCash:无条件匿名电子现金支付系统。主要特点是通过数字记录现金,集中控制和管理现金,是一种足够安全的电子交易系统。

3.电子支票

电子支票(e-check或e-cheque)支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输,从而控制安全性。这种方式已经较为完善。电子支票支付现在发展的主要问题是今后将逐步过渡到公共互联网络上进行传输。电子资金转账(ElectronicFundTransfer,简称EFT)或网上银行服务(InternetBanking)方式,是将传统的银行转账应用到公共网络上进行的资金转账。一般在专用网络上应用具有成熟的模式(例如SWIFT系统);公共网络上的电子资金转账仍在实验之中。目前大约80%的电子商务仍属于贸易上的转账业务。

电子支票支付遵循金融服务技术联盟(FSTC,FinancialServicesTechnologyConsortium)提的BIP(BankInternetPayment)标准(草案)。典型的电子支票系统有E-check、NetBill、NetCheque等。

4.微支付

"微支付"(micropayments)的特征是能够处理任意小量的钱,适合于因特网上"不可触摸(non-tangible)商品"的销售。一方面,微支付要求商品的发送与支付要几乎同时发生在因特网上;另一方面,商品销售、处理与运输的"瓶颈"为保持成本低廉设置了障碍。为保持每个交易的发送速度与低成本,目前有很多厂商在致力于发展别的协议以支持SET和SSL所不能支持的微支付方式,其中之一是微支付传输协议(MicroPaymentTransportProtocol,简称MPTP),该协议是由IETF制定的工作草案。

"微支付"的一个重要方面是其定义随着对象而变化,有许多系统声明其是"微支付",允许支付小于现有货币面额的数额。如IBM开发的"MicroPayments"、Compaq与Digital开发的"Millicent"、CyberCoin开发的"CyberCash"等。

联合电子支付联盟JEPI(JointElectronicPaymentInitiative):是由WorldWideWeb协会和CommerceNet领导的一个联盟,目的是对支付协商过程进行标准化。在买主一方(客户方),JEPI是WEB浏览器和wallet使用不同协议的接口,在卖主一方(服务器方),JEPI在网络和传输层之间,将下层来的事务送给适当的传输和支付协议。

智能卡标准

智能卡是一种内部嵌入了集成电路的、信用卡大小的电子卡,具有储存信息量大、数据保密性好、抗干扰能力强、储存可靠、读写设备简单、使用灵活、操作速度快、脱机工作能力强易于携带等特点。

智能卡大致分接触式、非接触式2种。它们又分别有存储式、带CPU式两种。智能存储器型卡中有硬件的逻辑保护,以密码加密形式来保护其存储内容不被非法更改;较先进些的存储卡里面有读写的安全模块做算法的加密认证等;CPU卡因运算速度和存储容量的不同而不同;有的CPU卡里带FPU,能加快数学算法的运行,如公开密钥的运算等.非接触式的同样分为存储式的和带CPU式的,它主要应用于容量或认证比较快捷方便的地方,如公交、门禁控制等。

智能卡提供了一种简便的方法,可用来存储和解释私人密钥和证书,并且非常容易携带。智能卡可以配合SET或SSL使用。SET非常好地解决了智能卡与电子商务的结合,智能卡上存放的证书使持卡人的身份得到认证,并直接在每一次网上购物时签上客户的数字签名。

1997年全球智能卡发行量达13亿张;1998年达到16亿张,增长率为23%;到2000年,发卡量预计将增至30亿张。推动智能卡发展的主要领域是银行金融界、电信业、交通业以及医疗保健和身份认证系统。其中,金融业的增长将尤为迅速,电子支付将使智能卡的发展推到一个新的高度。欧洲是智能卡最大的市场,但亚洲和美洲市场具有非常广阔的前景。据不完全统计,至1998年,我国已发行IC卡约8000多万张。据有关部门预测,至2000年,我国IC卡发卡量将在2亿张以上。智能卡已在电信、交通、医疗、商业、旅游、公用事业等众多领域中得到广泛的应用,并将在电子商务领域得到更大的发展。

1.智能卡国际标准

(1)全球PC/SC计算机与智能卡联盟

Bull、HP、IBM、Microsoft、Simens、Nixdof、Sun、Toshiba、Verifone和Gemplus组成了计算机与智能卡联盟,制定计算机和智能卡连用标准.以达到通过一张智能卡,插入异地网络计算机,即可通过因特网查询本地资料或进行电子商务活动。

(2)EMV集成电路卡规范(EUROPAY-MASTERCARD-VISAIntegratedCircuitCardSpecifications)

该规范是基于ISO标准的规范,最早由VISA于1992年着手研制,此后VISA联合EUROPAYT和MASTERCARD共同完成了该规范。1996年6月,EMV出版了EMV集成电路卡规范第三版,1998年5月对该版做了更新,该规范用附加的数据类型和编码规则为金融服务企业扩展了ISO7816标准。。

第6篇:电子合同的安全性范文

作者:张静 王淑敏 单位:许昌职业技术学院

由于银行与这些单位之间可能存在某些不信任因素,因此,它们之间的互联,为银行网络系统带来了许多外单位的安全威胁,成为煤矿销售电子支付安全的隐患。以上3方面安全威胁可能引发的结果有:恶意破坏数据、非法使用资源、数据篡改或窃取等。从技术层面讲,煤矿销售网上支付的安全性主要表现在对交易信息和支付信息的安全认证,加密保存、传送,防止否认以及完整性控制等方面。煤矿销售电子支付的安全风险限制了电子商务的发展,使得煤矿企业电子商务活动在过去相当长的一段时期内保持“网上订购,网下交易”的状态,停滞不前。虽然目前的煤矿销售电子支付安全性有所保障,但是问题依然存在,依然是制约煤矿企业电子商务发展的主要障碍之一。

完善管理机制网络安全并非单单靠技术手段来实现,管理安全才是它得以维系的保证。另外,煤矿企业电子商务交易系统需要人机的高度综合。故对管理人员的管理是其中非常重要的环节。而管理安全包括国家法律法规的宣传、银行系统安全制度的制定和企业人员整体的网络安全意识的提高。在这管理机制中必须有一套完整的制度来培养管理人员的敬业爱岗精神,这个培养宗旨贯穿在系统管理权限的分配与监督、管理人员的业务与道德水平的培养以及考核中。加强道德规范煤矿企业电子商务的交易非面对面的直接交易行为,比传统交易更容易出现欺诈行为,道德的缺失严重影响着电子商务的安全。故要想煤矿企业电子商务得到健康长久的发展,就必须加强建立与完善社会道德规范,充分发挥道德的指引与约束作用。提供法律保障煤矿企业电子商务的安全单靠道德的规范是不够的,还必须有法律的强制指引与规范。电子商务活动也属于商品交易的一种,因此合法的电子商务活动的安全问题亦应当受法律保护,以保障数字签名与电子合同之法律地位、判定电子合同是否可以修改和承认、保障电子合同的可实施性。提高防护技术(1)加强网络安全强煤矿企业电子商网络安全的加强可以通过加强访问控制、网络结构安全、网络安全评估和安全检测等途径来实施。(2)增强信息鉴别能力数据的完整与真实也是煤矿企业网络销售系统的安全的重要部分,故必须增强信息鉴别能力,分辨数据是否完整、真实。数据在传输时有时会被非法篡改甚至窃取等,要保证数据完整、真实,就要采用信息鉴别技术,如安装VPN设备、数据源身份认证等。当原始数据包输入VPN设备时,它可先加密数据,再用HASH函数对其进行运算,并将产生的信息摘要同加密数据同时发到目的方的VPN加密设备。目的方的VPN加密设备又先解密已加密的数据包,再用HASH函数运算解密后的数据,然后将所产生信息摘要同所收到的信息摘要对比,若2个信息摘要完全相同,则表明所解密的数据的完整性没有被破坏,是原始数据,否则就表明该数据已被非法篡改甚至窃取。另外,数据源身份认证也可以增强信息的鉴别能力。数据源身份认证主要通过数字签名技术来实现。数字签名是发送方用个人私钥加密(签名)信息再发给对方,对方要用发送方的公钥对收到的信息进行解密,若能顺利解密,则表明信息来源可信,否则不可信,此方法亦可防止抵赖。(3)安全认证煤矿企业网络电子支付系统的安全肯定要依赖加密系统,加密就需要密钥,而密钥的产生、管理和颁发均存在安全隐患。发放密钥往往是以证书的方式来实现,故就要解决证书的发送方同接收方怎样确认对方的证书的真实性问题,引入第三方来发放此证书恰好能因应之。各银行联合构建一权威认证机构(CA认证中心),建立银行系统的CA系统,借以实现此系统内证书的发交和煤矿销售的安全交易。

开放的互联网使得电子商务充满风险,煤矿销售电子支付系统的安全受到巨大威胁,不仅有来自互联网的风险,还有来自银行内部以银行以外的企业和事业单位的风险。因此,提出了完善管理机制、加强道德规范、提供法律保障和提高防护技术等切实可行的措施,以确保电子商务活动的安全、顺利地进行,促进煤矿企业电子商务行业的健康发展。

第7篇:电子合同的安全性范文

关键词:农业机械;农副产品;加工信息;电子商务平台

1电子商务在农业领域应用现状分析

从当前农业信息网络发展能够看出,现代化技术对农业生产的影响较大,然而由于农村地区经济发展缓慢,缺乏互联网基础设施,在一定程度上影响了电子商务的应用。农民无法更多地接触互联网,阻碍了电子商务平台的发展。现阶段,我国电子商务平台缺乏完整体系,因此,极易出现不良事件,导致电子商务平台存在安全隐患。立足于我国经济发展现状可知,农业机械属于高投入交易活动,当存在网络违法行为时,将极易影响电子商务的安全性,相应影响农业领域的发展。

2农业加工信息电子商务平台的基本结构和功能

2.1系统结构体系

从该电子商务平台框架能够看出,核心数据服务器具有重要应用价值,并且会覆盖整个平台系统的网络购物模块和安全管理模块。以上模块能够支持企业物流应用模式的发展。在应用物流系统期间,其配送模式主要为第三方物流公司,并且采用与邮政企业合作方式,确保该企业能够在物流系统中发挥作用。

2.2平台关键技术

在应用电子商务模式时,核心技术包括信息安全技术、数据挖掘技术、XML技术、JAVA技术等。JAVA技术属于最核心技术,在加工信息电子商品平台中应用该项技术,能够展示出平台短租性能扩展的功能。在需要对现有服务进行扩展时,优化应用服务器功能时,通过应用JAVA技术能够提升平台系统的扩展性和安全性。XML技术能够通过搜素能力,全面优化电子商务平台系统。在实际应用该商务平台时,支付安全问题是存在的最大应用难题,当农业机械或者农副产品交易活动中存在支付安全隐患时,将会使农民承受较大的经济损失。因此,为了维护平台支付安全性,需要应用电子证书和数据签名等方式。数据挖掘技术能够对客户浏览行为进行分析,准确定位商品销售市场,对市场发展动态进行预测。信息安全技术能够有效确保用户电子支付的安全性,通过平台中的支付功能模块和安全集成认证模块,能够全面促进电子商务平台的运行。当前,在电子商务平台中,电子证书、数字时间戳和数据签名属于最常应用的信息安全方式。用户在获取认证授权证书之后,才能够开展支付与交易活动。

2.3系统功能分析

通过该商务平台能够设备资源信息、市场交易信息等,确保其在农业机械和农副产品加工中的重要作用。还能够促进地区与国际之间的交流,使我国农业机械和农产品逐渐走向国际。

2.3.1信息数据服务功能

应用该平台的目的在于交流新技术和实用性技术。因此需要将农业机械和农产品加工作为数据库核心,随时关于农业方面的最新技术,商品信息和企业产品数据等。

2.3.2商品管理功能

该项功能能够对商品流通进行管理,确保商品信息查询的智能化。在数据库建设过程中,通过挖掘和分析数据,可以查询和分析商品信息,对市场发展动态进行预测。

2.3.3在线交易功能

电子商务平台的核心在于在线交易,能够加强合同管理、业务商讨和交易行为等。通过视、音频等技术的组合应用,促进商务洽谈的便捷性。

2.3.4支付系统

该平台能够确保认证体系的安全性和可靠性,通过客户报表管理,支付结算和账务管理等方式,能够建立安全的商务环境。

2.3.5物流配送

电子商务平台所具备的物流配送系统主要包括第三方物流公司配送、直接运送商品和邮政网络配送等方式。在实际应用期间优化组合不同配送方式,以此确保物流配送系统的个性化和智能化。

3加工信息电子商务平台的实际应用

3.1促进农业信息资源共享

通过该平台的应用现状能够看出,其能够大范围推广农业新技术和智慧农业,使农民能够共享农业信息资源。电子商务平台作用的发挥离不开系统功能的作用,从实际应用效果能够看出,该平台可以促进农业新技术的交流,充分发挥出加工数据库在商务平台中的作用。为了更好地实现以上目标,农业主管部门在推广和宣传该商务平台时,应当不断优化和完善相关政策法规、信息功能以及政策查询功能等,以便农民在农业生产活动中,可深入了解和掌握农村市场商品信息和优惠政策,由此促进农业信息资源共享机制的发展。

3.2结合电子商务和传统销售模式

通过应用电子商务平台,能够有效结合电子商务和传统销售模式,因此在建设加工信息电子商务平台时,应当充分展现出在线交易功能。在处理交易事宜和合同管理问题时,可通过在线交易功能中的音视频技术实现,以此促进业务交流与沟通的便捷性。优化完善平台支付系统,加强账户管理力度,不断改进和完善老客户报表管理,以此结合和组合方式,促进电子商务和传统销售模式的共同进步发展。

3.3促进政府对农业的宏观调控

电子商务平台有助于政府部门对农业生产进行宏观调控,通过信息数据功能和商品管理功能,可以充分发挥出电子商务平台的作用。由于农副产品和农业机械会对电子商务平台的作用发挥产生影响,且数据库技术支撑商品管理功能的实现,因此,电子商务平台能够对农业市场发展动态进行预测。通过此种预测功能,能够准确把握农业市场的实际需求,还能够确保政府部门掌握和控制农业行业的发展动态。所以,在农业机械和农副产品中应用加工信息电子商务平台,能够为政府宏观调控提供重要技术支撑。

3.4促进农业信息化发展

建立电子商务平台能够促进农业信息化发展,优化和改进农业装备市场的发展。从农业机械产业的发展现状能够看出,传统农业市场的经营模式主要为集市场模式,在建立电子商务平台之后,可以通过信息管理模块,促进农业机械市场的信息化发展。在应用信息化技术时,通过该商务平台,能够确保农业机械生产人员掌握农村地区对于机械设备的需求度,向不同地区农民销售不同的农业机械。

第8篇:电子合同的安全性范文

关键词:网上仲裁 电子签名

当前,仲裁已成为解决一切国际经济贸易争议的一种主要方式,仲裁这种方式能适应世界经济增长的要求。随着电子商务在全球化市场中的发展,必定会出现消费者与商家在产品质量或服务质量等方面的争端与纠纷。如何公正、有效、迅速、低成本地解决此类电子商务争端,增加消费者进行网上消费的信心,已成为当前电子商务发展中的重大课题。在多样化的争端解决方式中,ADR(Alternative Dispute Resolution,替代性纠纷解决办法)以其独特的优势受到普遍的重视,而网络技术与ADR结合衍生出的ODR(Online Dispute Resolution)这一电子商务争端解决新机制更是适应了现代商务了网络要求。网上仲裁(Online Arbitration)正是ODR的主要方式之一。

在美国和其他主要的欧盟国家,互联网上的诉讼外争端解决机制早已成为经济组织体系的一部分,并迅速延及电子商务领域,出现了一批在线争端解决系统。网上仲裁由于其经济性和实用性,越来越受到经济组织和学者们的青睐,这一新型的仲裁形式正在实践中得到迅速的推广。网上仲裁形式是对传统仲裁形式的一次重大革新。网上仲裁(Online Arbitration,又称在线仲裁),它是指仲裁程序的全部或主要环节,包括仲裁协议的提交、开庭审理、提供证据、作出仲裁裁决等,在互联网上进行的国际商事仲裁。

网上仲裁它是通过网络这一虚拟的空间范围进行的仲裁,所以与传统的仲裁有着许多方面的差别,网上仲裁,需要解决一些突破传统仲裁概念的重要问题,主要有书面形式、电子证据、电子签名、仲裁地空缺等,本文主要探讨关于网上仲裁电子签名的法律问题。

各国电子签名立法的现状

在传统的交易过程中,为了保证交易安全,交易中的文件一般都要由当事人签字或盖章,以便能够确认签名人的身份,并保证签字或者盖章人认可文件的内容。当交易通过电子的形式进行时,传统的手写签字和盖章无法进行,必须依靠技术手段替代。这种在电子文件中识别交易人身份,保证交易安全的电子技术手段,就是电子签名。随着电子商务和电子政务的迅猛发展,电子签名的应用范围愈加广泛。为了规范电子签名活动,消除电子商务和电子政务发展过程中的法律障碍,有关国际组织、许多国家和地区相继制定了电子签名法或电子商务法。联合国国际贸易法委员会也分别于1996年和2001年制定了《电子商务示范法》和《电子签名示范法》,为各国的电子签名立法提供指导。

电子签名的定义

广义的电子签名

广义的电子签名,是指包括各种电子手段的电子签名。这种定义规定只要符合一定的条件,电子签名就具有与传统签名同等的法律效力,而不限制达到规定条件的电子签名应该采用的技术。典型的广义电子签名概念如《联合国国际贸易法委员会电子签名示范法》中所作的定义。采用广义概念的还有美国《统一电子交易法》,澳大利亚《电子交易草案》和新西兰等国的电子签名法。广义电子签名是以对传统签名的功能分析与承认为基础的,它外延广阔为新技术的发展留下了宽阔的空间,但是由于其标准与形式多种多样,容易导致技术上的混乱。更重要的是许多签名手段缺乏安全保障,从而使其实用性不强。

狭义的电子签名

狭义的电子签名,是以一定的电子签名技术为特定手段的签名,通常指数字签名,它是以非对称加密方法产生的数字签名。该定义只明确采用某种特定技术的电子签名的法律效力,对采用其他技术的电子签名的法律效力未做规定。其特点是只有信息发送者才能生成,别人无法伪造,生成的该数字串同时也是对发送者发送的信息的真实性的证明。联合国国际贸易法委员会《电子签名统一规则草案》采用这种定义。狭义的电子签名以特定的技术作为有效签名手段,以保障签名的安全性,这种方法采用统一的技术与标准,容易规范商务活动中的签名。它所使用的技术要比广义电子签名所使用的技术更确定、更加趋于成熟,其适用范围要比广义电子签名广泛一些。

折衷式的电子签名

折衷式的电子签名即强化电子签名(Enhanced Electronic Signature),又称安全电子签名或者增强电子签名,是指经过一定的安全应用程序,能够达到传统签名的等价功能的电子签名方式,其具体形式是开放型的,任何能够达到同一效果的技术方式,都可以囊括在内。该概念着重强调电子签名的效果,而在其具体实现方式上尽量泛化,以包括各种技术手段,从而在数字签名之外为其它能够达到同一功能的技术方式留下了空间。这种定义承认所有安全电子签名都具有与手写签名同等效力,同时以目前国际上比较公认的成熟技术为基础,推荐一定的安全条件和标准。在时间方面,折衷式电子签名概念出现得最晚,是随着科技的发展而最新发展起来的签名方式。

从外延上来比较,广义电子签名概念是包括折衷式电子签名的,而折衷式电子签名概念是把狭义电子签名概念容纳之中的。折衷式电子签名概念在广义电子签名概念的基础上增加了对电子签名安全性的要求,而狭义电子签名与折衷式电子签名的区别在于所肯定的技术范围不同:狭义电子签名以列举式的方法指定某种技术为有效电子签名手段;而折衷式的电子签名则概括地提出安全签名的基本标准。

电子签名的立法模式

各国仲裁法除了书面要求之外,还伴有签字的要求。《纽约公约》规定仲裁协议需有双方当事人的签字,网上仲裁双方当事人的电子签名是否符合《纽约公约》中的要求呢?

这个问题的实质是关于电子签名的法律效力问题。在对法律应该承认什么样的电子签名具有法律效力的问题上,联合国示范法和各国电子签名法采用了不同的立法模式,主要有以下几种:

技术中立模式

这种模式以联合国电子商务示范法为代表,即规定只要符合一定的条件,电子签名就具有与传统签名同等的法律效力,而不限制达到规定条件的电子签名应该采用的技术。美国、澳大利亚、新西兰等国的电子签名法也采用了这种技术中立的立法模式。

技术特定模式

即法律只明确采用其某种特定技术的电子签名的法律效力,对采用其他技术的电子签名的法律效力未作规定。如韩国电子署名法只承认数字签名为合法的电子签名。此外德国、丹麦、马来西亚、印度以及我国香港地区等的电子签名法也都采用狭义定义的立法模式。

技术中立与技术特定的折衷模式

这种模式承认所有安全电子签名都具有与手写签名同等效力,同时以目前国际上公认的成熟技术为基础,推荐一定的安全条件和标准。联合国电子签名示范法、菲律宾电子商务法、新加坡、我国台湾地区的电子签章法等也都采用了这种折衷式的立法模式。

我国电子签名立法和相关法律规范

我国积极进行电子签名的立法工作,《中华人民共和国电子签名法》于2005年4月1日起施行。这是被称为“中国首部真正意义上的有关电子商务的法律”,它的实施,很大程度上消除了网络信用危机,加强了电子商务的安全性,还可以降低成本,提高效率。

我国的《电子签名法》采用了广义的电子签名概念。该法第2条规定:“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”本条对电子签名的概念作了与联合国电子签名示范法相类似的规定。根据本条的规定,电子签名的概念包含以下内容:电子签名是以电子形式出现的数据;电子签名是附着于数据电文的。电子签名可以是数据电文的一个组成部分,也可以是数据电文的附属,与数据电文具有某种逻辑关系、能够使数据电文与电子签名相联系;电子签名必须能够识别签名人身份并表明签名人认可与电子签名相联系的数据电文的内容。

根据本条的规定,电子签名具有多种形式,如附着于电子文件的手写签名的数字化图像,包括采用生物笔迹辨别法所形成的图像;向收件人发出证实发送人身份的密码、计算机口令;采用特定生物技术识别工具,如指纹或是眼虹膜透视辨别法等。无论采用什么样技术手段,只要符合本条规定的要件,就是本法所称的电子签名。

我国的《电子签名法》在电子签名的法律效力问题上则采取了折衷式的立法模式:规定当事人约定使用电子签名的文书,不得因其采用电子签名而否定其法律效力;规定可靠的电子签名具有与手写签名或者盖章具有同等的法律效力;规定当事人可以选择使用符合其约定的可靠条件的电子签名;以目前国际上比较公认的成熟技术为基础,推荐一定的安全条件和标准,作为可靠的电子签名的标准。按照本法的规定,一个电子签名如果符合法定或者当事人约定的可靠的电子签名的条件,就具有与手写签名或者盖章同等的法律效力。

在我国《合同法》中的第32条规定:“当事人采用合同书形式订立合同的,自双方当事人签字或盖章时合同成立。”这里的“签字”是指一般意义上的签字,即当事人的亲笔签名,至于电子合同是否必须经当事人签字或者盖章才能成立,《合同法》并未规定,从而使电子签名问题成为当事人的内部问题。《合同法》第33条还规定:“当事人采用信件、数据电文等形式订立合同的,可以在合同成立之前签订确认书,签订确认书时合同成立。”因此,对于合同书形式,签字或者盖章是合同成立的法定形式要求,对于信件、数据电文等其他书面形式,《合同法》则未作这种强制性要求(不排除其他法律有这方面的要求),当事人可以约定将签名作为合同成立的形式要件。可见,我国《合同法》对电子签名的法律效力未作规定。

值得注意的是,在认定通过函电方式达成的网上仲裁协议的书面性质时,这种书面形式无需以双方当事人签名为条件。在信函中,存在有关当事人的亲笔签名,但在电报、电传、传真或电子邮件等电子通讯方式中,由当事人亲笔签名是不现实的,而只能以其他方式确认。以互换或往来函电的方式达成的商事仲裁协议,通常是当事人对自己的具体仲裁意见告知对方,如果双方意见一致,互换或往来的函电本身即构成双方当事人对仲裁的意思表示一致,证明当事人之间的共同认可或一方接受另一方的意见。有的学者认为,不论电子签名采用的是何种技术手段,只要在特定情况下能够保证数据电文的生成和传送达到适当和可靠的程度,该电子签名的效力就应当得到法律的认可。我国实施的《电子签名法》也从立法的角度承认了电子签名的法律效力。

所以,在网上仲裁这一运用电子信息技术而形成的新型仲裁方式中,争议双方通过电子邮件把争议提交给仲裁机构,这些电子邮件本身就代表了争议双方对仲裁的意思表示一致。但是,电子邮件有着易被伪造、篡改的缺陷,争议双方的电子签名是增强网络安全的有效手段。

参考文献:

第9篇:电子合同的安全性范文

[关键词] 电子商务 法律问题 电子商务合同 知识产权 网络隐私权

电子商务是以网络为运作平台的,其交易场所虚拟化、表现形式多样化、交易范围国际化,由于网络平台、市场准入、法律冲突、发展中国家的电子商务发展状况等因素的制约,需要解决的法律问题十分庞大。电子商务的法律问题主要涉及在电子商务活动中出现的各方当事人之间的法律关系,即电子商务合同、电子支付、电子交易安全、知识产权、消费者权益特别是隐私权保护等方面所引起的法律问题。

一、电子商务合同问题

电子商务合同主要是双方通过电子形式 (email;传真;电话;或者网络电子表格等等)来签订的。电子商务进行的是无纸贸易,其在形式上和法律效果上与传统合同相比有了很大变化,这涉及数字签名、电子发票、电子合同的法律地位和效力问题,必然产生很多问题:首先,电子商务合同双方当事人基本属于不见面,双方都通过网络虚拟平台进行运作,其信用仅仅依靠密码的辨认或认证机构的认证,密码认证的虚拟性和认证机构认证的多样性导致合同的信用体系存在较大疑问,对大额和长期的商务合作开展不利。其次,电子发票在我国只是存在理论上的构想,很多电子商务合同特别是小额交易没有发票,这种合同一旦产生问题,纠纷的解决就是个难题。第三,数字签字代替了传统合同生效的签字盖章方式。数字签名本身的效力产生就存在疑问,并且其存在宜复制性和仿照性,不易辨别性,一旦被复制和仿用,产生的合同纠纷解决就十分复杂。第四,电子合同和网络虚拟商家的普及,如何界定好生效的地点,这是合同纠纷的约定管辖的重要依据。第五,自动订单合同的效力问题。依照商家或者客户自动设置的订单系统产生的订单合同到底是否必然生效,由此一方无法供货产生的违约责任由谁来承担等,这些都是现实中存在的。最后,因计算机或者网络发生故障产生的合同的法律效力如何认定。如果因为计算机或网络系统发生故障导致当事人一方的意思表示有瑕疵或者错误,该意思表示的效力如何呢?由此而发生合同关系,该合同的效力如何,最终产生违约责任由谁来承担?

二、电子商务支付问题

电子商务的优势在于能够实现零距离收付、零距离购销,如果没有安全有效的电子商务金融渠道,尤其是电子支付手段,是做不到“零距离”的。而我国现在的金融支付手段不完善,各大商业银行的电子支付程序比较繁琐,并且还没达到数据的交互,没有形成统一的支付系统。当电子交易中的当事人采用不同的支付方式且这些支付方式又互不兼容时,双方就不可能通过电子支付的手段来完成款项支付,从而也就不能实现因特网上的交易。另外,现存的支付宝手段虽然在电子商务活动中起到了很好的作用,但这只是电子支付中的过渡产品,其在解决电子支付的安全性和资金流动的实时性上存在明显缺陷,不能完全满足金融电子化的要求。

三、电子商务交易安全问题

电子商务交易安全的法律问题,涉及到下面三个方面。第一,电子商务网站的安全管理存在很大隐患,普遍容易受到黑客攻击,国内安全技术结构和加密技术强度普遍不够;第二,电子商务交易售后安全也是真空地带,出现问题后客户往往不知道去找谁负责,有人开玩笑说“电子商务目前是个‘三无’行业:无法可依、无安全可言、无规可循”;第三,电子商务交易安全缺乏足够法律制度体系支持。我国现今对电子商务交易的保护主要分散于计算机网络技术相关法律法规及民商法,没有相关的专门法律体系,制度建设上也存在混乱,加上网络技术发展速度过快,法治远远滞后。

四、电子商务知识产权保护问题

知识产权与有形财产存在明显不同的特点,如垄断性、地域性、时间性、无形性、政府确认性等等。其中,又以垄断性(专有性)和地域性更为特别。如果知识产权不能保证权利人的专有,则知识产权制度就不能发挥出应有的作用,其权利也就成了一种摆设。如果地域性被彻底打破,权利就有可能成为世界通行的“全球权利”或者产生世界性统一的制度。电子商务活动建立在互联网上,网络的传输表现出“公开”的开放性和“无国界”的全球性特点及状态。“公开”为“公知”提供了前提,也为“公用”提供了方便;“无国界”又使得地域性的知识产权受到了严峻的挑战。在知识产权保护国际化趋向之状况下,是否因电子商务的发展而导致知识产权保护的真正本质意义上的国际化?

电子商务中的知识产权问题主要是由现有的网络技术给版权、专利权和商标权等制度带来的问题。在其上的知识产权法律冲突呈现复杂性和难以根除性,有些问题在现有的法律制度中还很难以找到有效解决的方法。

五、电子商务隐私权保护问题

网络隐私权是指公民在网络中享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵犯、知悉、搜集、复制、利用和公开的一种人格权;也指禁止在网上泄露某些,与个人相关的敏感信息,这些信息的范围包括事实,图像(例如,照片,录象带),以及毁谤的意见等。目前电子商务隐私权保护领域遇到的三大问题:个人信息数据保护、个人数据二次开发利用和个人数据交易。网络侵权行为的泛滥会使电子商务交易的诚信基础更为削弱,不利于电子商务交易的长久发展。

虽然现阶段在中国还存在着阻碍电子商务发展的著多问题,但是电子商务有着许多独特的优势,随着中国网络技术的发展,上网用户的急剧上升,上网速度的加快,网上支付手段的改善,网络交易安全体系的建立,中国电子商务必定会得到飞速的发展。

参考文献:

相关热门标签
相关文章阅读
相关期刊推荐
精选范文推荐