购物车(0) 期刊中心 科普订阅 SCI杂志 范文中心 投稿指导
在线咨询7X16小时在线
公务员期刊网 精选范文 验证电子合同的有效方法范文

验证电子合同的有效方法精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的验证电子合同的有效方法主题范文,仅供参考,欢迎阅读并收藏。

验证电子合同的有效方法

第1篇:验证电子合同的有效方法范文

摘要:电子签名不同于传统的签名,表现为特殊的形式,它从内部保证了电子合同的效力安全;电子认证及认证机构则是从外部来确保合同关系的存在。为了保护交易安全,应对电子合同的签名和认证予以法律规制。

一、电子合间引发的签名及认证的新问题

随着信息高速公路和因特网技术的迅速普及,电子邮件、电子数据交换等现代通讯手段在商务交易中的广泛应用,合同以一种新的形式即电子合同的形式出现,并迅速发展成为电子商务活动的一种重要工具和载体。电子合同利用信息技术改变了传统的贸易观念和方式,同时也引发了一系列新的法律问题,在此就与安全有关的电子签名和电子认证问题做些讨论。

第一,电子签名与合同安全。众所周知,电子合同是通过网络中的数据交换来传递信息的,其赖以存在的介质是电脑硬盘或软盘的磁性介质,它不同于传统的书面合同是将信息记载或附着于一定的物质载体(纸)_L。由于电子合同的“无纸性”,对其进行传统意义上的亲笔签字即在文件上写上当事人的名字或盖章显然是不可能的。因此我国《合同法》第33条规定,电子合同的成立应以在确认书上签章为要件。但如果在现实中每签订一份电子合同都要事先签订一份确认书且在确认书上进行签章,那么将无法发挥电子合同快捷、低成本的优点,电子合同就失去了存在的意义和价值。而另一方面,签名在法律上的意义就在于证明及确认某项意思表示或法律文件之成立、生效以及内容的确实性。川为了保证交易安全,确认当事人的身份及合同内容,签名对于电子合同来说又是必不可少的一个重要环节。现实对传统的签名提出了挑战。

第二,电子认证与合同安全。由于网络具有虚拟性的特点,使得电子合同虽有与传统合同相同的法律效果,却始终是不同于传统合同的。交易双方甚至往往是相互陌生的,互相不确定真实身份及真实意图,即使交易双方是在一定的信任基础上进行交易,网络中的交易信息在传输存储交换过程中被删改、窃取、拦截等情况也会发生,不能通过有效途径或有关无利害关系的第三方通过认证,保证信息的可靠性、可用性、完整性、保密性、不可抵赖性,就会导致当事人责任不明,阻碍交易的进行或不利于纠纷的解决,电子交易就会处于相当脆弱的境地,其发展的余地可想而知。安全是电子合同的生命之所在,没有安全,就不可能有电子合同的存在与广泛应用,而电子合同的安全性主要体现在签名和认证上。因此,有必要对电子合同的签名及认证问题进行研究,找到一种切实可行的办法来解决由电子合同引发的安全间题。

二、电子签名在我国法律上的确认

关于电子签名(electronicsi,ature),国外及国际组织或是从签名形式的角度,或是从法律意义的角度阐述了电子签名的含义。笔者认为,电子签名简言之就是指以电子形式存在,依附于电子文件,并与其逻辑相关,可用来辨识电子文件签署者身份及表示签署者同意电子文件内容者。

电子签名本身是一种电子数据,储存在计算机硬盘或软盘中,极易被修改或破坏,且不会留下痕迹,而书面签章可以向法庭提交初始文件,因而电子签名的证明力不如书面签章;在电子交易中,当事人一方可能同时拥有多个电子签名,可能在不同的系统中使用不同的电子签名,不如书面签名那样具有唯一性。尽管电子签名在这些方面逊色于传统的签名,但它满足了电子合同快捷的要求,其存在的价值在现代交易中得以体现。因此,不妨先认可电子签名的可应用性,然后找到一种依赖于高新技术的安全可靠的方式以及完善的制度设计来增加对电子签名的信任度和安全感。

纵观各国立法或条例,其中都涉及到了电子签名的概念、效力问题。我国香港、台湾地区对此也有相关的规定。反观我国大陆,无论立法,还是司法解释,都未涉及电子签名,我国《合同法》显出了它的滞后性。笔者建议在《合同法》或司法解释中对电子签名的概念、种类、效力等基本问题作出规定,使之更有利于指导实践。具体应涉及以下几个方面:

第一,电子签名的概念。适用一个新的概念之前,首先应清楚其具体含义。电子签名主要包含了三层惫思:(l)电子签名是以电子形式存在的;(2)电子签名能确认电子合同的内容:(3)当事人通过电子签名表明其身份,并表明接受合同项下的权利义务,继之表明愿意承担可能产生的合同责任。

第二,电子签名的种类。目前电子签名的主要方式是以非对称密钥体系为荃础建立起来的数字签名,但不可否认还有其它签名形式的存在,如PIN码等,以及今后可能会出现的更先进的签名方式。在法律中不能只规定流行的做法,应考虑到在现实基础上的技术的多样性及可能性。电子签名离不开技术的支持,而技术由于人类认识世界和改造世界的能力的不断提高也是不断进步和完善的。从某种意义上来说,后出现的技术优于先出现的技术,也包括攻击破坏技术。如果法律只规定现今广泛应用的技术,则不能适应新环境下对安全性的要求)为此,法律必须不断修改以适应新的需求,如此必将牺牲法律的稳定性和权威性。另外,法律的单一性规定可能会妨碍其他技术的应用,导致垄断、歧视。因此,法律需要在电子签名的种类问题上保持中立我国应采取折衷的方法,一方面规定电子签名的一般效力,允许运用以任何技术为基础的电子签名,保持技术的中立性;另一方面.又对所谓的“安全电子签名”(即数字签名)作出特别规定,并建立配套的认证机制,与国际接轨。

第三,电子签名的效力。有学者认为,根据“功能等同原则”,电子签名具有与传统签名同等的法律效力。然而,电子签名的法律效力并不是由原则来赋予的,要使电子签名具有与传统签名同等的效力,只能通过立法的形式。就电子签名的内涵而言,它与传统签名别无二致,只是表现形式不同而已。在电子交易中,只要能使用一种方法来鉴别电子意思表示的发端人并证实发端人认可了该电子意思表示的内容,即可达到签字的基本法律功能。国外电子商务的相关立法或正在提交审议的草案中均承认了电子签名的效力。为了便于国际领域的商务活动,法律应该承认电子签名的效力。

三、电子认证制度在我国的建立

通过电子签名,从实体法角度来讲,确保了合同的有效成立,确定了合同的内容以及当事人的身份和愿受合同约束的意思表示;从诉讼法角度来讲,保证了合同因签名而具有的证明当事人交易关系的能力。然而,电子签名只是从内部为当事人提供了数据信息安全性的保障。如果有人盗用电子签名进行交易以达到其诈骗的目的,如果交易一方否认合同义务而不予履行,那么合同另一方当事人仍是处于危险之中的,交易信用安全仍然岌岌可危。因而,从外部对当事人合同关系进行切实有效的保护以及对电子签名、当事人身份、合同内容等信息的真实性进行证明显得尤为重要。此种外部保护就是由不涉及合同利益的第三方公平地对交易信息的真实性主要是当事人电子签名真实性进行证明,它依赖于电子认证以及认证机构。

电子认证是指电子商务认证机构(CertifieationAuthority,简称CA)对电子签名及其签署者的真实性进行验证的过程。我国信息产业部《电子商务认证机构管理办法》征求意见稿将CA定义为:为在电子商务活动中的有关各方提供数字身份证书服务的独立法人单位。电子认证包括站点认证、数据信息认证、当事人身份认证等。CA能提供比较易于使用的手段,使依赖证书的当事人得以证实:信息认证人的身份;用以鉴定签名持有人身份的方法;对使用签名目的方面的任何限制;签名是否有效以及是否已失密。

电子合同有效运作离不开认证及CA,没有CA的认证,电子合同交易的安全性就无从得到保障,当事人对交易对方的信任也无法建立,整个电子商务活动就会因为得不到人们的信任而无法进行下去。要使整个认证体系及认证活动受人信赖,使通过认证程序颁发的电子签名证书被广泛应用于电子合同交易中,CA的建立与完善问题首当其冲。这就涉及到CA的功能与机构设置问题。

第一,功能方面。目前,在世界范围内CA的主要功能都是接收注册请求,处理、批准或拒绝请求,颁发证书,以此达到对内防止否认,对外防止欺诈。J3]在认证体系中,CA应该是一个受单个或多个用户信任的,提供电子签名及用户身份验证的第三方机构。CA应该具备这样的特征:(1)它是独立的法律实体,以全部财产对外承担责任;(2)它具有中立性,提供的是一种信用服务;(3)它的运作是为了建立或保证一个公正的交易环境。在具体的电子合同场合,CA扮演着一个买卖双方签约、履约的监督管理以及合同关系证明的角色。

在功能方面的建立及完善措施主要是规定CA的义务,明确CA的责任。从义务的角度来看,主要是明确CA的信息披露、数据保护、安全保密、歇业安排等的基本义务。比如,CA有义务确保自己作出的所有重大陈述,就其所知悉和所相信的最大程度而言是准确无误与完整的。另外,所有的CA都必须强制取得许可证,非许可的CA将丧失电子签名在证据法上的推定和相当优惠的责任限制。从责任的角度来看,证书是电子交易的基础,需要稳定性和准确性,认证人对自己因疏忽或告知不实而导致的用户损失与第三人损失,都应当负赔偿责任。通过义务及责任体系的建立及完善,将使CA的功能得到极大限度的发挥,也有利于电子交易活动中对电子签名的信任感的建立。

第二,机构设置方面。CA的建设机制可分为树形验证结构与邦联结构。日队我国当前实际考察,宜采用树形结构,建立一个独立于所有行业、所有交易的全国性的权威认证机构,由这样一个机构制定认证行业的统一运作规则,包括认证机构的人员、组织形式、营运章程等,并向下级CA发放根证书。目前,由人行牵头、组织12家商业银行联合共建的中国金融认证中心(CFCA)建设已取得重大进展,认证体系一期工程建设已宣告结束,相继向全国的商业银行、商业用户和个人发放证书。毫无疑问,在CFCA建设运营的基础上发展国家根CA是可行的,国家根CA将来为全国其他所有的CA(包括金融CA与第三方CA)发放根证书,并对全国的认证机构进行监管。它的中立性、权威性将保证电子商务的深人发展,也将有利于保障电子合同的安全。

总之,从某种意义上来说,电子签名主要是用于数据电讯本身的安全,使之不被否认或篡改,是一种技术手段上的保证;而电子认证,则主要应用于交易关系的信用安全方面,保证交易人的真实与可靠,是一种组织制度上的保证,不管从哪方面来说,都有利于电子合同的安全。电子签名和认证的价值也得到了体现。因而,在立法中对它们作出相关的规定势在必行。

参考文献:

曾更莹.网际网路上运用电子签名所步及法律问题研究[J]·中国台湾:万国法律,1997(4).

蒋建平,杨毅.电子合同的效力问题[J].律师世界,l999(11).

梅绍祖·电子商务法律规范[M]北京:清华大学出版社,2000,68.

第2篇:验证电子合同的有效方法范文

关键词:电子商务;身份认证;防火墙

中图分类号:TP3 文献标识码:A文章编号:1009-3044(2008)30-0559-02

A Brief Analysis on the Security Strategy of E-business

WANG Gai-xiang

(Shanxi Professional College of Finance,Taiyuan 030008,China)

Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.

Key words:E-business; identity authentication; firewall

1 引言

电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。

2 电子商务的主要安全要素

目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现,电子商务交易双方(销售者和消费者)都面临安全威胁,电子商务的安全要素主要体现在以下几个方面:

2.1 信息真实性、有效性

电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.2 信息机密性

电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

3.3 信息完整性

电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

3.4 信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。

在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。

3 电子商务安全系统

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。

所以就整个电子商务安全系统而言,安全性可以划分为四个层次,

1) 网络节点的安全

2) 通讯的安全性

3) 应用程序的安全性

4) 用户的认证管理

其中2、3、4是通过操作系统和Web服务器软件实现,而网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。

3.1 网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。

防火墙是在连接Internet和Intranet保证安全最为有效的方法 ,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。 应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。

3.2 通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。 目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。 为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

3.3 应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运 行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。 访问控制系统中没有什么可以检测到这些问题 。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。

3.4 用户的认证管理

1) 身份认证

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。

2) CA证书

要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

3) 安全套接层SSL协议

安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

第3篇:验证电子合同的有效方法范文

摘要:随着互联网的全面普及,基于Internet 开展的电子商务已逐渐成为人们进行商务活动的新模式,越来越多的企业和个人通过Internet 进行商务活动,电子商务的发展前景十分诱人,而商业信息的安全是电子商务的首要问题。

关键词:电子商务;身份认证;防火墙

一、引言

电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。

二、电子商务的主要安全要素

目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,主要体现在以下几个方面:

1.信息真实性、有效性

电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.信息机密性

电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

3.信息完整性

电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。

4.信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。

三、电子商务安全系统

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。

1.网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。

2.通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128 位。为在浏览器和服务器之间建立安全机制,SSL 首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL 链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL 链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。

3.应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

四、安全管理

为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户账号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户账号和密码。

五、结束语

安全实际上就是一种风险管理。任何技术手段都不能保证1OO%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。

参考文献:

[1] 吴洋.电子商务安全方法研究[D].天津大学.2006

[2] 李艳.电子商务信息安全策略研究[J].甘肃科技.2005.06

第4篇:验证电子合同的有效方法范文

要理解什么是电子签名,需要从传统手工签名或盖印章谈起。在传统商务活动中,为了保证交易的安全与真实,一份书面合同或公文要由当事人或其负责人签字、盖章,以便让交易双方识别是谁签的合同,保证签字或盖章的人认可合同的内容,在法律上才能承认这份合同是有效的。而随着互联网应用的越来越成熟,在电子文件上,传统的手写签名和盖章是无法进行的,这就必须依靠IT技术手段来替代。

电子认证与电子签名

从法律上讲,签名有两个功能: 即标识签名人和表示签名人对文件内容的认可。联合国贸发会的《电子签名示范法》中对电子签名做如下定义: “指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息”; 在欧盟的《电子签名共同框架指令》中就规定: “以电子形式所附或在逻辑上与其他电子数据相关的数据,作为一种判别的方法”称为电子签名。而我国《电子签名法》对电子签名的定义: “是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。根据这一定义,能识别签名人身份的电子签名方法可能有很多种,比如: ID/口令、指纹识别、虹膜/网膜识别和形态识别等等。但是,用这样一些电子签名手段,只能进行人的身份识别,即《电子签名法》中定义的电子认证。但不能做到在《电子签名法》中对电子签名的全面要求: 即在识别签名人身份的同时,还要做到签名人认可其中的内容。

从广义上讲,实现电子签名的技术手段有很多种,但目前比较成熟的,世界先进国家普遍使用的电子签名技术还是“数字签名”技术。由于保持技术中立性是制订法律的一个基本原则,因此,目前还不能说明公钥密码理论是制作签名的惟一技术,因此有必要规定一个更一般化的概念以适应今后技术的发展。但是,目前电子签名法中提到的签名,一般指的就是“数字签名”。所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证无法比拟的。

电子签名的一般实现方法

目前,实现电子签名的方法有好多种技术手段,前提是在确认了签署者的确切身份即经过电子认证之后,电子签名承认人们可以用多种不同的方法签署一份电子记录。

1. 手写签名或图章的模式识别

即将手写签名或印章作为图像,用光扫描经光电转换后在数据库中加以存储,当验证此人的手写签名或盖印时,也用光扫描输入,并将原数据库中的对应图像调出,用模式识别的数学计算方法,进行二者比对,以确认该签名或印章的真伪。这种方法曾经在银行会计柜台使用过,但由于需要大容量的数据库存储和每次手写签名和盖印的差异性,证明了它的不实用性,这种方法也不适用于互联网上传输,是较原始和落后的方法。

2. 生物识别技术

生物识别技术是利用人体生物特征进行身份认证的一种技术,生物特征是一个人与他人不同的惟一表征,它是可以测量、自动识别和验证的。生物识别系统对生物特征进行取样,提取其惟一的特征进行数字化处理,转换成数字代码,并进一步将这些代码组成特征模板存于数据库中,人们同识别系统交互进行身份认证时,识别系统获取其特征并与数据库中的特征模板进行比对,以确定是否匹配,从而决定确定或否认此人。生物识别技术主要有以下几种:

(1)指纹识别技术。每个人的指纹皮肤纹路是惟一的,并且终身不变,依靠这种惟一性和稳定性,就可以把一个人同他的指纹对应起来,通过将他的指纹和预先保存在数据库中的指纹采用指纹识别算法进行比对,便可验证他的真实身份。在身份识别后的前提下,可以将一份纸质公文或数据电文按手印签名或放于IC卡中签名。但这种签名需要有大容量的数据库支持,适用于本地面对面的处理,不适宜网上传输,目前指纹签名还做不到与数据电文内容相关联。

(2)视网膜、虹膜识别技术。视网膜识别技术是利用激光照射眼球的背面,扫描摄取几百个视网膜的特征点,代码摸板存储,经数字化处理后形成记忆模板存储于数据库中,供以后的比对验证。视网膜是一种极其稳定的生物特征,作为身份认证是精确度较高的识别技术。但使用困难,不适用于直接数字签名和网络传输,只能做到身份识别,还做不到与数据电文内容相绑定。虹膜识别技术: 红外照射,取样制作代码摸板存储,用时进行比对。这种签名也只能是进行身份识别。

(3)声音识别技术。声音识别技术是一种行为识别技术,用声音录入设备反复不断地测量、记录声音的波形和变化,并进行频谱分析,经数字化处理之后作成声音模板加以存储。使用时将现场采集到的声音同登记过的声音模板进行精确的匹配,以识别该人的身份。这种技术精确度较差,使用困难,不适用于直接数字签名和网络传输。

以上这种身份识别的方法解决的都是“你是什么?”,“你是谁?”,适用于面对面的场合,不适用远程网络认证,不适合大规模人群认证。

3. 密码、口令和个人识别码。

这里是指用一种传统的对称密钥加/解密的身份识别和签名方法。甲方需要乙方签名一份电子文件,甲方可产生一个随机码传送给乙方,乙方用事先双方约定好的对称密钥加密该随机码和电子文件回送给甲方,甲方用同样对称密钥解密后得到电文并核对随机码,如随机码核对正确,甲方即可认为该电文来自乙方。这种方法解决的是“你知道什么?”。适于远程网络传输,但不适合大规模人群认证,因为对称密钥管理困难。但是,对加密的数据电文签名人做不到认可。

在对称密钥加/解密认证中,在实际应用方面经常采用的是ID+PIN(身份惟一标识+口令)。即发方直接将ID和PIN发给收方,收方与后台已存放的ID和口令进行比对,达到认证的目的。人们在日常生活中使用的银行卡就是用的这种认证方法。这种方法解决的是“你有什么?”和“你知道什么?”。适用远程网络传输,但不安全,易被黑客窃取,只能简单的身份识别,不适用于电子签名。

4. 基于PKI的电子签名

基于公钥基础设施PKI(Public Key Infrastructure)的电子签名被称做“数字签名”。有人称“电子签名”就是“数字签名”,这种说法是错误的。数字签名是电子签名的一种主要形式。因为电子签名具有技术中立性,但也带来使用的不便,法律上又对电子签名做了进一步规定,如联合国贸发会的《电子签名示范法》和欧盟的《电子签名共同框架指令》中就规定了“可靠电子签名”和“高级电子签名”,其目的就是规定了数字签名的具体功能,这种规定使数字签名获得了更好的应用安全性和可操作性。目前,具有实际意义的电子签名只有公钥密码理论。所以,目前国内外普遍使用的、技术成熟的、可实际使用的还是基于PKI的数字签名技术。作为公钥基础设施PKI可提供多种网上安全服务,如认证、数据保密性、数据完整性和不可否认性,其中都用到了数字签名技术。

数字签名的技术保障

1. 什么是数字签名

数字签名在ISO7498-2标准中定义为: “附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。美国电子签名标准(DSS,FIPS186-2)对数字签名做了如下解释: “利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性”。按上述定义PKI可以提供数据单元的密码变换,并能使接收者判断数据来源及对数据进行验证,是数字签名的技术保障。

PKI的核心执行机构是《电子签名法》中所定义的电子认证服务提供者,即通称为认证机构CA(Certificate Authority),PKI签名的核心元素是由CA签发的数字证书。数字证书所提供的PKI服务就是认证、数据完整性、数据保密性和不可否认性。它的作法就是利用证书公钥和与之对应的私钥进行加/解密,并产生对数字电文的签名及验证签名。数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名,来代替书写签名和印章。这种电子式的签名还可进行技术验证,其验证的准确度是在物理世界中对手工签名和图章的验证是无法比拟的。这种签名方法可在很大的可信PKI域人群中进行认证,或在多个可信的PKI域中进行交叉认证,它特别适用于互联网和广域网上的安全认证和传输。

关振胜

中国建设银行科技部副总工程师,高级工程师。现受聘中国金融认证中心(CFCA)技术顾问、中国人民银行“网上银行发展与监管工作组” 专家、亚洲PKI论坛(中国)委员、中国电子商务协会专家委员会专家、电子协会电子签名专家委员会常委。主持领导设计、开发多个银行大型应用系统。著作有“公钥基础设施PKI与认证机构CA”、“中国金融认证中心建设”、 “第四代语言INFORMIX 4GL”等。曾获得科技进步奖一等、二等、三等奖。(如右图)

2. 公钥密码技术原理

公开密钥密码理论是1976年美国发表的RSA算法,它是以三个发明人的名字而命名的,后来又有椭圆算法ECC,但常用的、成熟的公钥算法是RSA。它与传统的对称密钥算法有本质的区别,对称密钥算法常用的是DES算法,它具有一个密钥,加/解密时用的是同一个密钥。而公钥算法利用的是非对称密钥,即利用两个足够大的质数与被加密原文相乘生产的积来加/解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘),即对原文件加密,均可由另一个质数再相乘来进行解密。但是,若想用这个乘积来求出另一个质数,就要进行对大数分解质因子,分解一个大数的质因子是十分困难的,若选用的质数足够大,这种求解几乎是不可能的。因此,将这两个质数称为密钥对,其中一个采用私密的安全介质保密存储起来,不对任何外人泄露,所以简称为“私钥”; 另一个密钥可以公开发表,用数字证书的方式在称之为“网上黄页”的目录服务器上,用LDAP协议进行查询,也可在网上请对方发送信息时主动将该公钥证书传送给对方,这个密钥称之为“公钥”。

公/私密钥对的用法是,当发方向收方通信时发方用收方的公钥对原文进行加密,收方收到发方的密文后,用自己的私钥进行解密,其中他人是无法解密的,因为他人不拥有自己的私钥,这就是用公钥加密,私钥解密用于通信; 而用私钥加密文件公钥解密则是用于签名,即发方向收方签发文件时,发方用自己的私钥加密文件传送给收方,收方用发方的公钥进行解密。

但是,在实际应用操作中发出的文件签名并非是对原文本身进行加密,而是要对原文进行所谓的“哈希”(Hash)运算,即对原文作数字摘要。该密码算法也称单向散列运算,其运算结果称为哈希值,或称数字摘要,也有人将其称为“数字指纹”。哈希值有固定的长度,运算是不可逆的,不同的明文其哈希值是不同的,而同样的明文其哈希值是相同并且惟一,原文的任何改动,其哈希值就要发生变化。数字签名是用私钥对数字摘要进行加密,用公钥进行解密和验证。

公钥证书和私钥是用加密文件存放在证书介质中,证书是由认证服务机构CA所签发的权威电子文档,CA与数字证书等是公钥基础设施PKI的主要组成机构和元素。

3. 认证机构CA

认证机构CA是PKI的核心执行机构,是PKI的主要组成部分,一般简称为CA,在业界通常把它称为认证中心。CA认证机构在《电子签名法》中被称做“电子认证服务提供者”。

根据《电子签名法》中规定,国务院信息产业部据本法制定了《电子认证服务管理办法》(中华人民共和国信息产业部令 第35号),并与2005年2月8日颁布。在该管理办法中第五条第七项有关人员、技术、设备、密码、安全和资金等,详细规定了电子认证机构(CA)应具备的市场准入条件。

4. 数字证书

数字证书或称电子证书简称为证书,它是PKI的核心元素,由认证机构服务者所签发,它是数字签名的技术基础保障; 它符合X・509标准,是网上实体身份的证明,证明某一实体的身份以及其公钥的合法性,证明该实体与公钥二者之间的匹配关系,证书是公钥的载体,证书上的公钥惟一与实体身份相绑定,并与其私钥相对应。国家标准规定作为第三方提供电子认证服务的CA,其签发证书机制一般应为双证书机制,即一个实体应具有两个证书,两个密钥对,一个是加密证书,一个是签名证书,加密证书原则上是不能用于签名的。用加密证书的公钥加密,对应的私钥解密,用于通信; 采用签名证书的私钥加密,对应的公钥解密用于签名。

证书在公钥体制中是密钥管理的媒介,不同的实体可以通过证书来互相传递公钥,证书是由权威性、可信任性和公正性的第三方机构所签发。因此,它是权威性电子文档。

证书的内容主要用于身份认证、签名的验证和有效期的检查。CA签发证书时,要对证书内容进行签名,以示对所签发证书内容的完整性、准确性负责并证明该证书的合法性和有效性,将网上身份与该证书绑定。

链接:什么是PKI?

工程学家对PKI是这样定义的: “PKI是一个用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设施。换句话说,PKI是一个利用非对称密码算法(即公开密钥算法)原理和技术实现的并提供网络安全服务的具有通用性的安全基础设施”。它是一种遵循标准的利用公钥加密技术为电子商务、电子政务、网上银行和网上证券业,提供一整套安全保证的基础平台。用户利用PKI基础平台所提供的安全服务,能在网上实现安全地通信。PKI这种遵循标准的密钥管理平台,能够为所有网上应用,透明地提供加解密和数字签名等安全服务所需要的密钥和证书管理。

第5篇:验证电子合同的有效方法范文

电子商务可以增加销售额并降低成本的优势,使得政府与企业都十分重视并推动电子商务的建设和发展。电子商务发展到今天,主要问题在于时空的分离导致了安全问题的出现,信息的安全性是当前发展电子商务最迫切需要解决的问题之一。研究和分析电子商务的安全性问题,特别是针对企业自身情况,充分借鉴以往电子商务系统开发的先进技术和经验,开发出符合企业特殊的电子商务系统,已经成为目前发展电子商务的关键,而安全体系的构建显得尤为重要。

2电子商务的主要安全要素

目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。时空的分离导致了安全问题的出现,电子商务交易双方(销售者和消费者)都面临安全威胁,电子商务的安全要素主要体现在以下几个方面:

2.1信息真实性、有效性

电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。

2.2信息机密性

电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。

3.3信息完整性

电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。

3.4信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。

在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的,电子商务系统应充分保证原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。

3电子商务安全系统

网络安全是电子商务的基础。为了保证电子商务交易能顺利进行,要求电子商务平台要稳定可靠,能不中断地提供服务。任何系统的中断,如硬件、软件错误,网络故障、病毒等都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。

所以就整个电子商务安全系统而言,安全性可以划分为四个层次,

1)网络节点的安全

2)通讯的安全性

3)应用程序的安全性

4)用户的认证管理

其中2、3、4是通过操作系统和Web服务器软件实现,而网络节点的安全性依靠防火墙保证,我们应该首先保证网络节点的安全性。

3.1网络节点的安全

防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供个相对更安全的平台。

防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而作出允许/拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的Intranet系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。

3.2通讯的安全

在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务器证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。

3.3应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。

3.4用户的认证管理

1)身份认证

电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。

2)CA证书

要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。

3)安全套接层SSL协议

安全套接层SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。

SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CA,CertificateAuthority)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。

SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如Http、Ftp、Telnet等)以保证应用层数据传输的安全性。

SSL协议握手流程由两个阶段组成:服务器认证和用户认证。

①服务器认证

客户端向服务器发送一个“Hello”信息,以便开始一个新的会话连接;服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。

②用户认证

经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。SSL协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web服务器内置,便于在电子交易中应用。但SSL是一个面向连接的协议,起初并不是为了支持电子商务而设计的,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议不能协调各方面的安全传输和信任关系。为此,开发出了在网络应用层中专为电子商务而设计的SET协议。

4安全管理

为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。

建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。

对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。

第6篇:验证电子合同的有效方法范文

企业档案信息资产必须要确保其安全。一方面,要做好历史档案信息资源的数字化工作;另一方面,也要做好新入库电子文件的数字化工作。对于历史档案信息资源,要与专门的扫描单位签订协议,进行批量扫描。在扫描过程中,会涉及到信息安全风险的问题。对于新入库电子文件,则要保障电子文件与纸质文件的绝对一致性,由员工个人原因造成电子与纸质文件的不一致性,会给实际工作带来安全隐患。针对如上问题:第一,对参与扫描工作人员的权限进行严格控制:签订保密协议、设置电脑权限;对企业参与图像和信息验收的员工:配备专门电脑和存储空间、设置电脑权限和密码、屏蔽USB和光盘接口、屏蔽删除键;第二,在接收档案信息资源入库时,由档案部门先接收电子文件,并检查电子文件的标准化,然后再将电子文件打印成纸质文件,这样避免了设计人员先归纸质文件,再改电子文件而带来的不一致性。

档案信息的信息化技术中的安全保障

几乎所有的档案管理都会经历手工管理、信息化管理、知识化管理这三个阶段,这是档案信息在网络时代体现利用价值的内在需求。从手工管理过渡到信息化管理和知识化管理,使档案信息价值得到了全方位的体现,但是同时针对档案信息安全所带来的法律风险也会越来越多,所以要确保档案信息系统的运行安全,加强对提供利用载体的管理,加强对档案信息的拷贝与利用管理,对不同层级的信息使用者有所区别,通过技术手段防止拷贝资料再复制,措施如下:第一,利用企业自主开发或引进的加密软件对档案信息进行加密,只有在企业办公环境及企业配备的电脑上才能正常打开使用,一旦脱离企业环境,对档案信息的操作要提前进行申请,申请通过后,方可由技术人员解密;第二,所有对企业外部提供的档案信息都必须是经过转化的PDF或者TIFF格式的文件,原始的DWG文件不能直接提供,以保证档案信息的不可更改性。提供给内部设计参考的档案信息可以是DWG的,但是必须加密,统一在企业环境中使用,防止外泄。

人员管理中多级别权限和密码管理的安全保障

为了保证档案信息系统的安全,有必要加强对系统使用者的管理,加强对系统使用者使用权限的审核,并采用现代网络技术对其网络操作进行跟踪与记录。加强对使用过程中各种保密措施的管理,采用多级别权限和密码管理,防止黑客或他人对档案信息管理系统带来的安全隐患:第一,支持档案信息系统的电子文件在线阅览功能,但是阅览范围和下载权限受限,要经过文件产生部门和档案管理部门的审批才能解限;第二,对企业高尖端技术类别的档案信息,必须要经过企业专门的保密委员会进行风险评估,审批同意后方可利用,并实行责任人负责制;第三,实行用户登录验证制度,登录档案管理系统时,员工需要输入自己的密码进行验证,验证通过后才能进行事先设定好的权限范围内的相关操作;第四,控制台超时注销,控制台访问用户超过一段时间没有对系统进行交互操作,设备将自动注销本次操作台配置任务,并切断连接;第五,离职、退休人员离开工作岗位时,要进行档案资料和使用设备交接手续,相关部门和责任人确认档案资料交接完成、使用设备上交后,方可同意该人员离开;第六,所有淘汰电脑,必须经过格式化,确保电脑内资料不可复原后,才可回收利用。

以管理为重点,建立档案信息安全保障体系,加强法律风险的防控

在企业的管理上,档案信息安全保障体系建立的重要意义是对法律风险隐患的“防”与法律风险发生后的及时“控”。

1.建立法律风险防控体系,从部门设置上确保档案信息安全保障体系的牢固企业必须建立法律风险防控体系,即:成立专门的法律风险防控归口管理部门,引进专门的法律专业人才,负责法律事务的评审和咨询服务,定期提供企业范围内的法律知识培训和专题讲座。聘请法律界资深律师作为专门的法律顾问,随时参与和控制突发的重大法律问题;各部门配备兼职法律风险管理员,负责代表部门向法律归口部门进行法律事务传送。

2.突出管理重点,加强对合同法律风险的防控针对合同法律风险,在建立档案信息安全保障体系时,以管理为重点,应采取以下措施:第一,收缴散落在各部门的合同印章,由法律归口管理部门统一管理,法律归口管理部门配备专门的人员负责合同印章的使用和安全;第二,建立规范的合同印章使用流程,企业上下必须严格按照此流程申请使用合同印章;第三,建立合同印章使用台账,每一个流程结束、合同印章使用完成后,当事合同必须完整归档一份合同原件,合同原件最终由法律归口管理部门向档案部门统一移交;第四,法律归口管理部门以年度为单位,各种类合同的标准格式,并在企业范围内统一使用,因特殊情况不能使用格式合同的,法律部门要对非标准格式合同进行评审;第五,不同类型的合同,确定由不同的评审部门参与评审,实行责任人责任制。

3.管理手段与时俱进,注重前端控制和过程管理档案信息系统、企业协同办公(OA)及门户系统、ERP系统等信息化知识管理方式的引进,使企业的文件形态不断从纸质向电子转化,文件数量与日俱增、文件保存形式呈现立体多样化的发展趋势。在此背景下,档案前端控制管理理论和实践操作应运而生。前端控制管理提出将档案的控制环节提前到文件生命周期的最初阶段形成阶段,并贯穿于文件生命周期的整个过程,这十分有利于减少企业合同电子文件信息和载体的安全隐患,对企业合同法律风险起到很好的防止和控制功能。

4.以人为本,加强员工的安全意识、法律意识、安全技能的培训对员工的安全意识、法律意识、安全技能的培训十分关键。人员的安全意识是与其所掌握的安全技能有关,而安全技能又与其所接受安全技能培训有关。因此,人员的安全意识是通过培训,以及技能的积累才能逐步提高。第一,定期开展企业信息安全、保密管理的相关培训,加强管理人员的安全保密意识;第二,适时进行法律知识的宣传和普及工作,例如:针对日益兴起的海外合同,举行《海外合同签订的注意事项和合同文本资料的保存》讲座,促使员工形成良好的法律意识和收集保管资料的良好工作习惯;第三,进行相关的计算机网络知识培训,定期预报病毒信息和预防措施,定期企业IT运营周报,分析存在的问题和解决方法。

以法规标准为依托,建立档案信息安全保障体系,加强法律风险的防控

首先,根据《GB/T22240-2008信息系统安全等级保护定级指南》和《GB/T22239-2008信息系统安全等级保护基本要求》,结合档案信息系统的重要程度,确定档案信息系统安全等级和安全需求,采取相应的安全技术和安全管理措施;同时依据《GB/T20984-2007信息安全风险评估规范》在档案信息系统生命周期的不同阶段进行过程风险评估,全面实现动态防御。其次,建立完善的档案管理制度。从企业级制度和标准、QHSE管理体系、项目管理体系、部门内部详细作业指导这5个方面建立起档案管理制度保障体系。再次,从法律角度上,必须建立完善合同管理体制,从制度上对企业合同法律风险进行防控。制定相关的《合同印章管理规定》、《合同评审管理办法》、《合同管理规定》等。

档案信息安全保障体系建设存在的问题

虽然我国企业的档案信息安全保障体系建设在技术、管理、和规范标准上已经取得明显的成效,但还存在以下问题:1.档案信息安全保障体系建设意识没有得到全面重视。一方面,档案信息安全保障体系建设比较明显的体现在现代企业总部,对企业下属的分子公司等控制力度不够。2.目前档案信息安全保障体系构建主要依赖于信息安全技术,且缺乏有效的安全管理和安全监督机制,档案信息系统随时存在安全风险,只有通过科学、有效的管理和规范才能构建真正的档案信息安全保障体系。

结语

第7篇:验证电子合同的有效方法范文

以往专业而复杂的操作,比如卫星定位、无线通话、收发邮件、照相摄影等,现在只需要一部不到千元的手机就可以简单而快速地完成。虽然我们仍然痴迷于透着墨香的书本、晶莹剔透的玉器,以及种种富有质感的美妙事物,但我们必须有所意识:这是个快速变化的世界,随着互联网和电子设备的广泛运用,人们在享受其带来的极大便利的同时,也时常受困于应运而生的各种新“麻烦”。缺乏法律规定的电子信息常常在法律案件中使法官们陷入两难,而普通大众更是茫然无措,以至于我们身边因电子信息引发的法律纠纷越来越多。

身边的事件

以下是一个真实案例,但为了方便,隐去了公司真实名字。2008年1月,位于上海的普逊公司与珠海的顿成公司签订合同,约定由顿成公司按照普逊公司提供的图纸及技术参数生产电子产品。合同履行过程中,当普逊公司需要产品时,便先电话通知顿成公司,然后邮寄书面订单。

经过一段时间的合作后,为了避免订单邮寄在途时间被浪费,普逊公司在邮寄订单前便先行将订单的电子版本电邮至顿成公司,让顿成公司有充分的时间作好准备工作。对此,双方均感到合作十分默契。

2008年9月,顿成公司又接到普逊公司电话,随后即收到电子订单,遂按电子订单的要求生产产品,并如期发货至普逊公司指定港口,然而这次却被告知暂时拒绝收货。顿成公司自然不服,于是持电子订单与普逊公司理论,普逊公司解释说该批货物销售计划尚未商定,因此未向顿成公司邮寄书面订单,如今后有新的销售计划,则可接受该批货物。

此后由于市场变化,普逊公司终未接受顿成公司的该批货物,顿成公司于是至法院,要求普逊公司接收货物,支付货款,并承担仓储等费用。

在法院的审理中,顿成公司向法院提交了附送该电子订单的邮件打印件,以期证明订单的真实性。对此,普逊公司予以否认,并提出质疑:虽然目前该邮件显示的收件人地址确系该公司所有,但由于该邮件已被下载至Outlook,而非保存于原邮件系统中,所以该邮件系顿成公司篡改伪造的订单。

法院经评议认为:顿成公司所举示邮件及其附件的真实性无法确认,书面合同中也未约定以电子邮件方式下订单,因此无法认定普逊公司向顿成公司下达该订单的事实。据此,对顿成公司的诉讼请求予以驳回。

在这样一个常见的货款纠纷中,电子邮件成为了决定案件胜败的关键。那么电子邮件这样的电子信息需要达到什么样的标准才能为法院所采信呢?

电子信息的法律地位

出于对法官和随意判案的担心,我国在当初制定三大诉讼法(刑事、民事、行政诉讼法)时带有强烈的形式主义色彩,根据当时的生活和法律经验,把可以当作证据使用事物严格划分为七类:书证、物证、视听资料、证人证言、当事人(被害被告人)的陈述、鉴定结论、勘验笔录。而无法纳入前述七类形式的,不得作为证据采用。这等于给证据设定了一个“户口”制度,没有“户口”的事物就不能在法庭上作为证据出现。

然而逻辑常常受到生活的挑战,正如没有户口的小孩同样是人,缺乏法律界定的电子邮件等电子信息其实同样可以证明案件事实。这个矛盾使法官们一度陷入了两难:如果不承认电子邮件可以证明案件事实,无疑是自欺欺人;但直接引用电子邮件所反映的事实,又不符合诉讼法的规定。

很快专家们就为电子邮件这样的电子信息找了第一个户口――书证。所谓书证,是指以文字、符号、图案等内容和含义来证明案件事实的证据形式,而电子邮件也是以其中的文字或图案来证明事实,似乎符合书证的特点。

但是这种分类方法很快遭到了大多数人的反对,理由有两点:一是因为邮件虽然可以在电脑上阅读,但邮件本身并不是电脑的一部分,和电脑并非一个整体;任何一台电脑都不只可以显示一封邮件,对这台电脑而言,其所能显示的内容具有不确定性;二是邮件的本质是电子信号,不能被直接阅读,必须通过专门设备(如电脑或手机)以及程序(内置软件)加以翻译才能为人所知,如果没有特定设备,或者软件错误,邮件是不可阅读的,或者是会被错误阅读的。

于是专家们的眼光又在剩余的六种证据形式中仔细搜索,终于为电子信息找到了第二个户口――视听资料。而理由则是这类证据都需要通过专门设备和程序编译才能以其内容证明案件事实。除电子邮件外,被纳入“视听资料”范畴的电子信息还包括:手机短信、BBS、电子文档、聊天记录、数据库等。

不过,若电子邮件因可以借助电脑屏幕显示文字图案而勉强被称为视听资料的话,那么一些其他形式的电子信息则与传统的“视听”概念相去甚远了。

曾经有这样一个案例:某客户向证券公司主张其为某资金账户的所有人,最后法院审查的焦点集中在该客户是否拥有账户密码这个问题上。于是该客户向法院提交了自己的密码,并申请法院调查证券公司计算机系统中该资金账户预留的密码,如果两个密码一致,那么该客户即为账户所有人。

但当法院就此进行深入调查时却发现,证券公司系统中的客户密码根本不能显示,只能通过输入密码的方式进行验证。因此,虽然法院在随后的验证中发现该客户提供的密码正确,但法院却自始至终也无法直观地查明证券公司系统中预留密码的具体信息。

在这起案件中,证券公司计算机系统中的客户密码信息显然既不能看,更听不出所以然,但仍被纳入视听资料范畴,其唯一目的就是为了解决电子信息的身份问题。在这样的背景下,法学界一边呼吁尽快制定法律确立电子信息的独立证据地位,一边也不得不面对现实。因此司法机关在证据形式认定上的曲线救国,实属情有可原。

有了上述背景,目前几乎所有法院都不再对电子信息的身份问题伤脑筋,但新的问题又出来了――根据我国法律的规定,书证可以直接单独作为定案的依据,而视听资料即使没有疑点,也必须结合其他证据才能作为认定案件事实的依据。

这样的规定是什么意思呢?举个例子可以说明:甲乙两人做生意签合同,如果以纸质材料签字盖章,形成的合同文本可以直接证明双方具有合同关系;但如果双方以电子方式签订(如邮件、短信方式等),即使这样形成的合同未经篡改、编辑,也没有其他任何疑点,仍然不能单独证明双方具有合同关系。

因此尽管我们早已习惯享受电子时代给生活和工作带来的便利,但在依赖电子手段之前,还不得不做些准备。

电子信息证据的约定使用

我们对电子手段的依赖,有时候是基于效率的考虑:如果发个短信就能通知开会,又何必用EMS呢?另外一些情况下,电子手段则可以节省大量的费用,例如银行发送账单,开发商通知接房等。

要让这些电子手段能够在需要的时候产生证据的效力,我们可以考虑对电子手段的法律地位在书面合作协议中进行约定,避免双方就此发生争议。比如我们可以在合同中约定手机号码、邮箱地址、聊天工具号码等。这样既可以解决电子信息证据需要与其他证据配合使用的法律硬性要求,也同时避免因电子手段未进行实名制登记带来的举证负担。

以上文中顿成公司的遭遇为例,假如双方事先在书面合同中约定以电子邮件方式下达订单,同时约定双方的电邮地址,甚至约定在将电子邮件作为法庭证据使用时使用方无须证明其未经修改,而由质疑方承担证明该邮件被篡改的举证责任。那么届时电子邮件就可以很轻松的与书面合同配合使用,用以证明案件事实。当然,我们在处理个人私务时通常不会事先办理这么麻烦的手续,不过如果是处理公务,类似的约定还是很有必要。

我们还可以在书面合同中进一步约定电子信息的使用规则,例如在使用电子邮件的情形,发出后由于某种原因电子邮件有可能并未查收,对此我们可以约定:“电子邮件在发出后24小时后视为对方已经收到并阅读该邮件及附件”;考虑到手机或者邮箱有时可能被其他人使用,我们还可以约定“合作期间,双方应保证约定的手机号码由本人使用,任何以该手机发出的短信都将被视为本人的真实意思表示并对本人产生约束力”……

当然还有更为有效的使用方式,例如电子商务有偿服务,通过与专门经营电子商务的服务平台进行合作,让借助电子手段进行的合作过程被双方认可的服务平台记载,作为还原合作过程的客观依据。

电子信息证据的固定和取得

虽然我们可以通过事前的约定赋予电子信息更多更强的法律效力,但纠纷往往以令人意想不到的方式让人猝不及防。就像上文中的顿成公司,根本没有预料到普逊公司会否认下订的事实,这种情况下,就需要及时固定和取得电子信息证据。

与传统的证据相比较,电子信息证据具有两个非常显著的特点,一是容易被篡改,二是容易流失。这两个特点共同成为了电子信息证据进入法庭的最大障碍。但有一些习惯和方法,可以增加证据的可信性:

1.原始状态的证据。

所谓原始状态,是指不改变电子信息的保存位置和方式。譬如重要的电子邮件应当保存在邮件系统中,不要在下载或者阅读后删除。已经习惯使用Outlook、Foxmail等邮件管理工具的朋友需要特别注意,此类工具很可能在将邮件下载到您电脑的同时,就已将系统中的邮件删除。

原始状态的电子信息,可以大大提高证据的真实性,而被改变保存位置和方式的证据,则很可能遭到“被篡改”的质疑。

2.服务器备份。

某些电子通讯方式提供了上传备份的服务,服务器上的记载可以作为第三方较为客观中立的信息。

对于较为重要的电子信息证据,如果及时上传至服务器保存,必要时再由服务商证明每次上传至服务器的具体内容,其真实性较保存于自己电脑中的记录会大大增强。

3.多种平台的混合使用。

以电子邮件为例,邮箱平台可以是自己公司的,也可以是第三方的公众平台,两者各有利弊。第三方的公众平台因难以被客户修改,因此真实性强,但缺点在于难以证明对方身份;而公司平台则较为容易证明身份问题。

因此不妨混合使用两个平台,使用公司平台收发邮件,同时抄送给自己所有的第三方平台上的邮箱,这样既可证实对方身份,又可以在纠纷发生时从第三方平台调取信息,证明事实。

4.适时进行公证。

公证是指由公证机构依法对相关事实的真实性进行证明,并出具公证书的行为。公证书具有极高的法律效力,最高法院甚至认为:跟春去秋来这种自然规律一样,公证书证明的事实无须证明。

5.司法保全

并非所有单位和个人都会对公证机构进行配合,所以公证虽然高效而且专业,但缺乏强制力。情势危急时,可以考虑司法保全,包括民事诉讼中的诉前保全、诉讼中保全,以及刑事侦查机关通过侦查活动对证据的固定。

上述方法中,公证及保全都会涉及十分专业的技术问题,通常有两个问题值得注意:一是不可在自己所有的计算机上取证,自己的计算机难以排除伪证的可能性。基于避嫌的考虑,公证机构很多时候甚至连他们自己的计算机也不愿意使用,而是在公共场所(如公共网吧)临时选择计算机上网取证;二是保证取证过程的连贯性。在这个问题上,可以考虑使用视频截屏软件录制上网取证的全部过程。

可以说电子信息证据诸多的先天不足,让我们在将其作为证据具体使用时必须慎重考虑方式方法。因而在实践中我们或许可以考虑将电子信息证据以“鉴定结论”的名义进行使用。

三大诉讼法中,均规定“鉴定结论”为法定的证据形式,而且具有几乎无可辩驳的证据效力。鉴于电子信息证据技术性强的特点,我们在需要使用电子信息证据时,可以聘请专业机构对电子信息证据的客观性、真实性、原始性进行鉴定,并出具正式的书面结论,然后我们可以使用该鉴定结论。

第8篇:验证电子合同的有效方法范文

关键词:电子签名;数字签名;PKI

一、电子签名的含义

凡是能在电子通讯中,起到证明当事人的身份、证明当事人对文件内容的认可的电子技术手段,都可被称为电子签名,电子签名即现代认证技术的一般性概念,它是信息安全的重要保障手段,电子签名与手写签名或印章具有同等法律效力。目前,可以通过多种技术手段实现电子签名,在确认了签署者的确切身份后,电子签名承认人们可以用多种不同的方法签署一份电子记录。

二、电子签名与数字签名的关系

数字签名在ISO7498-2标准中定义为:“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。美国电子签名标准(DSS,FIPS186-2)对数字签名作了如下解释:“利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性”。按上述定义,PKI可以提供数据单元的密码变换,并能使接收者判断数据来源及对数据进行验证。基于PKI的电子签名被称作“数字签名”。有人称“电子签名”就是“数字签名”是错误的。数字签名只是电子签名的一种特定形式。因为电子签名虽然获得了技术中立性,但也带来使用的不便,法律上又对电子签名作了进一步规定,如《电子签名法》中就规定了“可靠电子签名”和“高级电子签名”。实际上就是规定了数字签名的功能,这种规定使数字签名获得了更好的应用安全性和可操作性。目前,具有实际意义的电子签名只有公钥密码理论。所以,目前国内外普遍使用的、技术成熟的、可实际使用的还是基于PKI的数字签名技术。作为公钥基础设施PKI可提供多种网上安全服务,如认证、数据保密性、数据完整性和不可否认性,其中都用到了数字签名技术。

三、PKI技术的含义

1.什么是PKI?

PKI是Public Key Infrastructure的首字母缩写,翻译过来就是公钥基础设施;PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

工程学家对PKI是这样定义的:“PKI是一个用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设施。换句话说,PKI是一个利用非对称密码算法(即公开密钥算法)原理和技术实现的并提供网络安全服务的具有通用性的安全基础设施”。它遵循标准的公钥加密技术,为电子商务、电子政务、网上银行和网上证券业,提供一整套安全保证的基础平台。用户利用PKI基础平台所提供的安全服务,能在网上实现安全地通信。PKI这种遵循标准的密钥管理平台,能够为所有网上应用,透明地提供加解密和数字签名等安全服务所需要的密钥和证书管理。PKI是创建、颁发、管理和撤消公钥证书所涉及到的所有软件、硬件系统,以及所涉及到的整个过程安全策略规范、法律法规以及人员的集合。安全地、正确地运营这些系统和规范就能提供一整套的网上安全服务。PKI的核心执行机构是认证机构CA(Certificate Authority),其核心元素是数字证书。公钥证书和私钥是用加密文件存放在证书介质中,证书是由认证服务机构CA所签发的权威电子文档,CA与数字证书等是公钥基础设施PKI的主要组成机构和元素。CA认证机构在《电子签名法》中被称作“电子认证服务提供者”。

2.数字证书。

数字证书简称证书,是PKI的核心元素,由认证机构服务者签发,它是数字签名的技术基础保障;符合X.509标准,是网上实体身份的证明,证明某一实体的身份以及其公钥的合法性,及该实体与公钥二者之间的匹配关系,证书是公钥的载体,证书上的公钥唯一与实体身份相绑定。现行的PKI机制一般为双证书机制,即一个实体应具有两个证书,两个密钥对,一个是加密证书,一个是签名证书,加密证书原则上是不能用于签名的。

证书在公钥体制中是密钥管理的媒介,不同的实体可通过证书来互相传递公钥,证书由权威性、可信任性和公正性的第三方机构CA签发。是权威性电子文档。证书的主要内容,按X.509标准规定其逻辑表达式为:

CA《A》=CAxV,SN,AI,CA,UCA,A,UA,Ap,Tay

其中:CA《A》---认证机构CA为用户A颁发的证书

CAx, , ,y---认证机构CA对花括弧内证书内容进行的数字签名

V---证书版本号

SN---证书序列号

AI---用于对证书进行签名的算法标识

CA---签发证书的CA机构的名字

UCA---签发证书的CA的惟一标识符

A---用户A的名字 UA---用户A的惟一标识

Ap---用户A的公钥 Ta---证书的有效期

从V到Ta是证书在标准域中的主要内容。

证书的这些内容主要用于身份认证、签名的验证和有效期的检查。CA签发证书时,要对上述内容进行签名,以示对所签发证书内容的完整性、准确性负责并证明该证书的合法性和有效性,将网上身份与证书绑定。

CA颁发的上述证书与对应的私钥存放在一个保密文件里,最好的办法是存放在IC卡和USBKey介质中,可以保证私钥不出卡,证书不能被拷贝、安全性高、携带方便、便于管理。这就是《电子签名法》中所说的“电子签名生成数据,属于电子签名人所有并由电子签名人控制。”的具体作法。

四、PKI技术的发展现状及趋势

PKI的应用涉及电子商务、电子政务、电子事物等诸多领域,PKI具有非常广阔的市场应用前景,具体表现为如下几个方面:

1.对我国电子商务有很大的促进和有力发展的作用。《电子签名法》制定的宗旨就是为了保障电子商务的安全,维护有关各方的合法利益,促进电子商务的发展,而制定本法。有了《电子签名法》就可以解决电子商务参与方的不可否认性,提高电子商务交易的安全;可以实现网上自动在线支付,解决目前我国电子商务的瓶颈问题。

2.对金融界的应用,金融行业是PKI技术应用最活跃、最广泛的领域。银行审核网银用户身份的真实性,用户的身份必须是真实可靠的,签名才有实际意义,这是使用数字签名的基础。交易额大、安全性要求高的交易必须使用数字签名。由于数字签名是一种相对复杂的计算方式,签名的过程要耗费一定的系统资源,一般是在交易金额大、安全性要求高的网银业务中使用数字签名。作为金融行业统一的第三方安全认证机构,在保障网上交易安全,提供公正、可信的认证服务方面发挥了重要的作用。上面是电子签名在网银中的应用特点;从应用的范围和广度讲,目前国内的网上银行业务中基本上都采用了数字签名技术。

3.对《票据法》的改革,有了《电子签名法》作母法,我国的票据法要以《电子签名法》作依据,制定和完善整套的银行新法规。这样银行就可以节省大量的纸张印刷,减少费用,提高效益。还有网上证券的交易、网上税务等等一方面是缺乏好的的安全支付协议,更主要就是没有数字签名的法律保障;技术是基础,法律是保证,这些都是“电子签名”应用更大的领域。

4.对《合同法》的修改,合同也可以以电子文件形式出现。有了PKI技术作保证,网上招标、网上采购都可以根据电子合同作为依据。为了适应传统业务经营需要,还可以将电子签名与传统的手工签名或印章做成“电子签名”可视化,即在验证了电子签名真伪的同时,可调用打印经图形化处理过的手书签名或图章,这样即可适应传统习惯认证方法,又将签名向先进电子技术领域推进一步。

自21世纪以来,PKI技术作为信息安全的关键技术逐步得到许多国家的政府和企业的广泛重视,PKI技术理论研究进入到了商业化应用阶段,如今PKI技术发展已经日趋成熟,许多新技术还在不断涌现,CA之间的信任模型,使用的加密算法、密钥管理方案也在不断的变化中。随着“互联网+”时代的来临,信息化技术不断地影响着人们的思维,改进了我们的工作、生活方式,随着《电子签名法》的修正,电子签名技术将给我们的“互联网+”时代的工作和生活带来积极正面的影响。

参考文献:

[1] 樊迎光,冯俊丽,王永. 电子商务安全中的数字签名技术. 福建电脑.2009第2期.

[2] 祝洪杰,邹玉妮,侯瑞莲 陶洋.数字签名技术在电子商务系统中的应用. 山东轻工业学院学报.2007年第4期.

第9篇:验证电子合同的有效方法范文

早在2010年笔者曾撰文《数字签名在注册会计师行业的应用》,对审计报告的电子化进行过理论探讨。如今,随着电子政务的发展,电子签名技术的应用日益广泛,财务审计报告的电子化已经进入了实践领域。

(一)北京市社会团体无纸化年检方案介绍。为推进无纸化办公,优化年检服务,提高年检效率,节约办事成本,北京市民政局决定,从2015年起,通过改造年检系统,推行法人单位数字证书,利用电子签章实现申报材料电子化,取消文本材料报送。社会组织登记管理机关、业务主管单位和社会组织等年检事务参与方,使用数字证书登录系统进行身份识别,并利用电子签章实现电子版年检申报材料报送。

电子财务审计报告是年检申报材料的重要组成部分,会计师事务所出具社会组织电子审计报告流程为:首先由会计师事务所出具社会组织财务审计报告电子版;其次使用数字证书签章工具,加盖单位电子签章和个人电子签章;最后向社会组织提供加盖单位和个人电子签章的电子版审计报告。《中华人民共和国电子签名法》第三条明确规定:“民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。”因此,采用电子签名方式的电子版财务审计报告,具备了合规性、合法性。

(二)运行效果。北京市社会组织年检无纸化工作分两期进行,首期在2015年6月前完成市级社会组织和试点区县推广任务;第二期将总结试点经验,逐步将成果扩大到全市社会组织范围。首批参加无纸化年检的社会组织包括市级社会团体、民办非企业单位、基金??;顺义区试点社会团体、民办非企业单位。目前该项改革工作扎实推进,利用数字签章功能实现了年检申报材料电子化、年检审查程序网络化、审核行为即时化、年检档案数字化。相关企业的财务审计报告实现了真正意义上的电子化,很多地方值得借鉴,建议在注册会计师行业大力推广。

二、推行电子财务审计报告的积极意义

(一)提高服务效率,便于信息共享。审计报告的电子化最直接的影响是可以取消文本资料的报送和传输,节约纸张,真正实现无纸化办公,更加环保。纸质审计报告的传输需要邮寄或专人送达,会消耗诸如交通费、快递费等相应的成本,并且在传递过程中会花费一定的时间,最快也要几小时,如果一份审计报告需要提交给不同的部门需要多次邮寄或传送,花费大量的人力物力。

审计报告实现电子化以后,报告通过网络能够快速传达,可以为会计师事务所和被审计单位节约成本,提高办事效率。在建设支撑系统时,还可以选择将电子版的财务审计报告在注册会计师协会系统中备份,来实现备案。这样,工商、税务、银行等部门经过授权后也可以很方便地通过注册会计师协会的网站查询到相关企业的电子审计报告,实现信息共享。

(二)打击不法中介,保护注册会计师合法权益。目前社会上存在不法中介伪造、变造注册会计师审计报告等情况,极大地损害了注册会计师行业的声誉以及注册会计师的合法权益。审计报告实现电子化以后,只有具备出具电子审计报告条件的会计师事务所,即:办理过单位数字证书和个人数字证书的事务所才能在审计报告上加盖电子签名,电子审计报告才能是合法的。现代密码技术保证了用户的数字证书和密钥是不可伪造的,所以,不法中介如果伪造、变造审计报告,他们没有合法的电子签名,无法通过验证。

(三)遏制多套账行为,解决信息不对称问题。有些企业出于不同目的,会存在多套账的行为,如为了申请某种资质、办理银行贷款,往往会虚增资产和利润,而为了避税目的又会隐瞒收入减少利润,然后聘请不同的会计师事务所对不同目的的多套账分别出具审计报告。纸质审计报告的环境下,由于信息传输不方便,会计师事务所、政府部门、银行等很难发现这一问题。于是,会计师事务所面临极高的执业风险,同时也会导致国家税款流失,银行的资金安全也受到威胁。审计报告实现电子化以后,能很方便地实时传输,每一份审计报告可以很方便地查询真伪,从而能够遏制多套账行为,解决信息不对称问题。

(四)有利于注册会计协会的行业监管。目前各省注册会计师协会都建立了会计师事务所业务报备制度,对于加强行业监管起到了一定的作用。但目前多数省级注册会计师协会规定的业务报备,都是对被审计单位名称、收费标准、审计意见类型、签字注册会计师等基本信息进行备案,至于完整的审计报告情况注协是看不到的。在手工签名加盖章的情况下,要实现每一份纸质审计报告都在注协备案显然也不可行。这样事务所就可以有选择地进行业务报备,对于某些有问题的业务完全可以略去不报,注协是难以发现的。审计报告实现电子化以后,可以很方便地实现审计报告在注册会计师协会的备案,这样注册会计师协会可以随时了解各个事务所的业务动态,加强对会计师事务所执业质量的监管。

三、财务报告电子化实施的保障

(一)建立财务审计报告电子化的支撑系统。要实现财务审计报告的电子化,首要的保障措施就是建立审计报告电子化所需的支撑系统,包括相应的软件、硬件、人员和相应的策略、操作规程和制度。注册会计师和事务所使用这些系统制作电子版审计报告,而其他相关方要能够接受和验证这些报告的完整性和合规性。如果需要考虑审计报告备案存储,系统还需要具有安全存储、检索等功能。

(二)数字证书的申请、发放和吊销。要实现财务审计报告的电子化,另一个首要的保障措施就是数字证书的管理。根据《中华人民共和国电子签名法》的规定,“电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。” 这就是说,如果签名需要第三方认证,签名人必须事先获取一个由权威机构签发的数字证书,以保证文件接收者能够验证他的身份。

具体到注册会计师行业,就应当是全国和地方的注册会计师协会通过CA中心(Certificate Authority,电子认证服务机构)进行数字证书的签发、吊销等管理。数字证书代表了某个注册会计师的身份,注协通过为其签发数字证书(USBKey),表明审核通过了注册会计师的入会申请,授予其签发审计报告的资格。注册会计师具备执业资格后,就可以使用该证书对经审核的审计报告进行数字签名来完成业务(会计师事务所数字证书的获取过程与此相同)。

(三)人员培训。一旦推行财务审计报告的电子化,就要分期分批地对注册会计师进行相关培训。由各省市注册会计师协会牵头,结合注册会计师后续教育,开展专题培训,详细介绍和现场演示数字证书的使用方法、电子审计报告的签发流程以及网络运行环境的要求等,并且要在培训中让广大注册会计师明确电子签名的法律效力,做到数字证书专人专用,避免法律纠纷。同时,数字证书的制作单位应该提供技术支持和电话咨询服务。

(四)数字证书的日常管理。依据《中华人民共和国电子签名法》的规定,颁发给会计师事务所和注册会计师的数字证书,用于表明其合法的身份,在电子财务审计报告上签名时,与实体印章具有同等法律效力。注册会计师协会应该要求各事务所建立相应的数字证书使用管理制度,加强证书介质和证书私钥的管理,做到专人使用,确保电子签章的使用与保管与本单位实体印章的使用与保管规定一致。

(五)审计报告的实时验证。当会计师事务所将审计报告发送给被审计单位或其他审计报告使用者时,要使用数字证书进行签章,而电子签名的结果就是以注册会计师私有密钥和原始审计报告作为已知数据运算和生成的一段新的数据,没有这两者中的任何一个,都无法制作出电子签名。

审计报告接收者会使用数字证书(公共密钥)对收到的审计报告进行验证,验证该数字证书是否由其声明的CA中心颁发,并会验证其数字证书是否在有效期内,是否已被吊销。如果这些审核项都通过,就表明被审计单位成功核实了电子签名,证明该报告是?特定的具备资质的注册会计师和会计师事务审核,并且该审计报告签名以后未经改动。如果在注册会计师签名完成后,审计报告再有任何改动,都会造成签名验证失败,所以,对已签名报告的任何改动都是无效的。验证数字签名的有效性比起纸质办公条件下验证印章和签名的真伪会更容易和直观。

(六)电子审计报告的检索服务。财务审计报告的电子化为不同部门实现信息共享提供了可能性,与此同时也面临一个新的问题就是电子财务审计报告允许哪些人员或机构来查阅,因为财务信息是企业重要的商业机密。注册会计师协议可以提供电子财务审计报告的存储系统和查询系统,向相关方提供查询功能。

相关文章阅读
相关期刊推荐
精选范文推荐