導(dǎo)語：如何才能寫好一篇驗證電子合同的有效方法，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞:電子營業(yè)執(zhí)照;誠信監(jiān)管;電子商務(wù)

中圖法分類號:TP31文獻標(biāo)識碼:A 文章編號:1009-3044(2009)33-9166-02

Research of Electronic Business Platform Based on Electronic Trade License

LIU Jun-wei

(Wuxi Professional College of Science and Technology, Wuxi 214028, China)

Abstract: For B2B electronic business, how to supervisor is a key for development of the electronic business. This paper researches on an electronic business credit platform based on the electronic trade license, focuses on the essence of the electronic trade license and the form of the credit platform. Furthermore, this paper also analyzes and outlooks the applications of the credit platform.

Key words: electronic trade license; credit supervisor; electronic business

隨著電子商務(wù)的發(fā)展,誠信問題越來越重要。網(wǎng)絡(luò)欺詐、商品質(zhì)量瑕疵、售后服務(wù)質(zhì)量低下、顧客個人信息泄露等問題正在阻礙電子商務(wù)的發(fā)展。電子商務(wù)經(jīng)濟作為現(xiàn)代市場經(jīng)濟的重要組成部分, 社會誠信的發(fā)展和規(guī)范程度決定了電子商務(wù)經(jīng)濟的發(fā)展速度、質(zhì)量和效益, 關(guān)系到電子商務(wù)經(jīng)濟的前途和未來。因此, 解決社會誠信缺失問題應(yīng)當(dāng)是我國發(fā)展電子商務(wù)的首要任務(wù)。

B2C平臺因交易的金額普遍較少,普遍采用信用評價、第三方支付等方法解決誠信交易的問題。而對于B2B電子商務(wù),交易金額普遍較大,如何鑒別對方的身份、如何保證商品質(zhì)量等問題一直困擾著商家。很多商家不得不借助與傳統(tǒng)的貿(mào)易模式,進行面對面的紙質(zhì)合同的簽訂,浪費了大量的人力、物力,與電子商的方式,便捷、無紙化的特征相違背。

對電子商務(wù)的誠信問題,第三方監(jiān)管的呼聲越來越高,其中以電子營業(yè)執(zhí)照為載體的監(jiān)管模式處于試驗、推廣階段。本文研究一種基于電子營業(yè)執(zhí)照的電子商務(wù)誠信平臺,著重討論電子營業(yè)執(zhí)照的本質(zhì)、誠信平臺的構(gòu)成,并對誠信平臺的應(yīng)用做了展望。

1 電子營業(yè)執(zhí)照

電子執(zhí)照是指各類經(jīng)濟組織的營業(yè)執(zhí)照副本(網(wǎng)絡(luò)版),是根據(jù)《中華人民共和國公司法》等有關(guān)登記注冊法律、法規(guī),以PKI技術(shù)為基礎(chǔ),由工商行政管理部門制作、核發(fā)、載有企業(yè)注冊登記信息的電子信息證書。

電子執(zhí)照作為企業(yè)在工商信息系統(tǒng)中的唯一身份標(biāo)識,它是由數(shù)字證書,企業(yè)基本信息,企業(yè)公章及擴展信息等組成。對于企業(yè)用戶其物理載體為Ekey。另外,在工商局信息中心,關(guān)于企業(yè)電子執(zhí)照的信息都有備案。

企業(yè)電子執(zhí)照一旦生成,就具有一定的法律效力,只有擁有電子執(zhí)照的單位才能夠在工商信息系統(tǒng)中辦理業(yè)務(wù)。對于電子執(zhí)照的基本信息,只有通過變更業(yè)務(wù),才能進行修改。

電子執(zhí)照作為企業(yè)在可信安全平臺中的唯一電子憑證,起著至關(guān)重要的重用,在可信平臺中,系統(tǒng)依靠電子執(zhí)照來識別企業(yè)的身份及基本信息。

電子執(zhí)照的主要作用有:

1) 電子身份認證:電子執(zhí)照是企業(yè)在互聯(lián)網(wǎng)上合法有效的身份表示,利用PKI數(shù)字證書技術(shù)的身份認證系統(tǒng)是電子執(zhí)照安全、權(quán)威、合法的保障。

2) 網(wǎng)絡(luò)企業(yè)認證:通過電子執(zhí)照的應(yīng)用,企業(yè)可在網(wǎng)上“亮照經(jīng)營”,表示企業(yè)的合法經(jīng)身份,并實現(xiàn)網(wǎng)上企業(yè)經(jīng)營監(jiān)管的目的,保障企業(yè)與消費者的合法權(quán)益。

3) 電子商務(wù)交易認證:電子執(zhí)照是電子商務(wù)支撐體系建設(shè)的基本信息來源,電子執(zhí)照可用作識別和確認參與電子商務(wù)的各方主體的合法和有效的身份。

2 電子商務(wù)誠信平臺的構(gòu)成

電子商務(wù)誠信平臺主要由電子執(zhí)照發(fā)放系統(tǒng)、應(yīng)用系統(tǒng)運行維護系統(tǒng)組成,其業(yè)務(wù)功能包括基于數(shù)字證書的電子執(zhí)照受理系統(tǒng)、數(shù)據(jù)交換系統(tǒng)、制證系統(tǒng)以及企業(yè)年檢、企業(yè)變更、電子執(zhí)照變更、電子執(zhí)照延期、電子執(zhí)照注銷、企業(yè)信用監(jiān)管、電子合同監(jiān)管、電子簽章等管理模式。電子商務(wù)誠信平臺整體模塊構(gòu)架如圖2所示。

在電子執(zhí)照管理系統(tǒng)中,數(shù)字證書和數(shù)字簽名技術(shù)與水印技術(shù)結(jié)合在一起,得到了很好的應(yīng)用。在實際應(yīng)用中,為了驗證信息的數(shù)字簽名,用戶首先必須獲取信息發(fā)送者的公鑰證書,以及一些額外需要的證書(如CA證書等,用于驗證發(fā)送者證書的有效性)。

在系統(tǒng)中,證書的持有者可以是個人用戶、企事業(yè)單位、商家、銀行等。無論是哪一方,在使用證書驗證數(shù)據(jù)時,都遵循同樣的驗證流程。一個完整的驗證過程有以下幾步:

1) 將客戶端發(fā)來的數(shù)據(jù)解密(如解開數(shù)字信封)。

2) 將解密后的數(shù)據(jù)分解成原始數(shù)據(jù),簽名數(shù)據(jù)和客戶證書三部分。

3) 用CA根證書驗證客戶證書的簽名完整性。

4) 檢查客戶證書是否有效(當(dāng)前時間在證書結(jié)構(gòu)中的所定義的有效期內(nèi))。

5) 檢查客戶證書是否作廢(OCSP方式或CRL方式)。

6) 驗證客戶證書結(jié)構(gòu)中的證書用途。

7) 客戶證書驗證原始數(shù)據(jù)的簽名完整性。

如果以上各項均驗證通過,則接受該數(shù)據(jù)。

3 誠信平臺的應(yīng)用舉例

1) 企業(yè)信用監(jiān)管:企業(yè)信用監(jiān)管是指工商部門以電子化和計算機網(wǎng)絡(luò)為技術(shù)支撐,以企業(yè)登記注冊的信息和電子執(zhí)照為基礎(chǔ),改善行政監(jiān)管效能,提高企業(yè)信用水平的監(jiān)管工作系統(tǒng)。主要包括企業(yè)注冊登記企業(yè)年檢企業(yè)信息變更登記。

2) 電子合同監(jiān)管:合同監(jiān)管是工商部門對企業(yè)信用監(jiān)管的重要手段。工商部門根據(jù)《合同法》對企業(yè)訂立的合同進行審查,監(jiān)督企業(yè)履行合同。主要包括合同交易雙方身份認證、電子合同網(wǎng)上備案、電子合同簽約流程加密和電子合同簽約條款監(jiān)管。

3) 電子工作證:電子工作證是企業(yè)員工的電子身份證。電子工作證具有身份識別、數(shù)據(jù)加密、電子簽章三項基本功能,可用于構(gòu)建內(nèi)部的信息安全管理基礎(chǔ)平臺,也可與傳統(tǒng)的工作證結(jié)合,嵌入考勤、飯卡等功能,實現(xiàn)真正的電子化人事管理。

4 結(jié)論

該文基于電子營業(yè)執(zhí)照,給出了電子商務(wù)誠信平臺的體系架構(gòu),尤其關(guān)注平臺的安全性,并對誠信平臺的應(yīng)用做了分析和展望。

參考文獻:

[1] 國家發(fā)展改革委.電子商務(wù)發(fā)展“十一五”規(guī)劃[EB/OL].2007. /zcfb/zcfbtz/2007tongzhi/W020070620595393012331.pdf.

篇2

當(dāng)今信息高速公路已經(jīng)鋪展開來，隨著計算機網(wǎng)絡(luò)的發(fā)展，招投標(biāo)工作向數(shù)字化、信息化和網(wǎng)絡(luò)化行進。由于互聯(lián)網(wǎng)廣闊的覆蓋范圍和廉價的運營成本，在互聯(lián)網(wǎng)上招投標(biāo)有效克服了傳統(tǒng)方式程序復(fù)雜、速度緩慢的弊端，通過全面覆蓋的網(wǎng)絡(luò)將招投標(biāo)信息傳送至所需各行業(yè)。因此企業(yè)增加網(wǎng)絡(luò)招投標(biāo)的使用率就勢在必行了。

【關(guān)鍵詞】電子招投標(biāo) 現(xiàn)代信息技術(shù) 系統(tǒng)開發(fā)

隨著信息高速公路時代的來臨，招投標(biāo)工作明顯向著信息化、網(wǎng)絡(luò)化和數(shù)字化發(fā)展。在國家的電子政務(wù)也處速發(fā)展的時期，招投標(biāo)的數(shù)字化管理極大地提高了政府的采購效率和行政監(jiān)管能力。本文分析了現(xiàn)代電子招投標(biāo)管理中所運用的信息技術(shù)，同時也展望了其未來的發(fā)展前景。

1 我國電子招投標(biāo)的發(fā)展現(xiàn)狀

1.1 在招投標(biāo)管理中遇到的技術(shù)問題

（1）電子招投標(biāo)系統(tǒng)缺乏對其運行進行約束的系統(tǒng)的規(guī)章制度，同時，也缺少數(shù)據(jù)標(biāo)準(zhǔn)接口，這使得互聯(lián)網(wǎng)上的招投標(biāo)互相之間沒有交流互動，相互排斥。

（2）電子評標(biāo)軟件也沒有綜合、全面的評價機制和評標(biāo)方法，不能在最大程度上體現(xiàn)出電子招投標(biāo)系統(tǒng)的優(yōu)勢，人為因素可能對招投標(biāo)工作的公平合理性產(chǎn)生消極的影響。

（3）不能有效的保障電子招投標(biāo)系統(tǒng)信息的安全性，使招投雙方的互信度大大降低，同時電子文件的法律效力也被雙方所質(zhì)疑，很大程度上影響了電子招投標(biāo)的推廣和普及。

1.2 我國電子招投標(biāo)現(xiàn)狀及問題

我國目前的招投標(biāo)數(shù)字化運作已成逐漸成熟，電子招投標(biāo)在政府的推動之下高速發(fā)展，各大招標(biāo)機構(gòu)紛紛以此來提升自己的競爭實力。國家建設(shè)部業(yè)已頒布相關(guān)法律法規(guī)綜合系統(tǒng)的調(diào)整改革了工程計價方法，全力對工程量清單計價的方式進行推廣，這有利于建立由市場形成工程造價體系。但網(wǎng)絡(luò)招標(biāo)作為新鮮事物，在具有便利、高效的特點的同時，也具有一些弊端。由于采用電子操作，因而很可能在對身份信息、數(shù)據(jù)傳送和數(shù)據(jù)存儲等方面進行操作時產(chǎn)生失誤或是因為系統(tǒng)問題造成數(shù)據(jù)錯誤。而且，需要通過電子方式在網(wǎng)上進行要約邀請和要約響應(yīng)，那么，在法律上對這樣的電子方式有沒有明確的要求；書面訂立的合同受法律保護，那么，在網(wǎng)上簽訂的電子合同有沒有同樣的法律效力；電子邀請的方式能不能被法律承認；電子版的招投標(biāo)資料和文件以及數(shù)字化的招投標(biāo)方式又能否被現(xiàn)行法律法規(guī)所接受。另外，互聯(lián)網(wǎng)不僅給人類的生產(chǎn)生活提供了方便，同時也產(chǎn)生了一些不安全的影響。網(wǎng)絡(luò)的另一面是不是我們真正想要溝通的人，網(wǎng)絡(luò)上信息的交換和傳遞安不安全，這些問題都可能會嚴(yán)重損害整個企業(yè)甚至是國家的利益。所以，各個企業(yè)及相關(guān)部門必須關(guān)注和重視網(wǎng)上招投標(biāo)系統(tǒng)的安全工作。

2 電子商務(wù)的發(fā)展

信息產(chǎn)業(yè)的興起，帶動了采用數(shù)字技術(shù)的電子商務(wù)的發(fā)展，電子商務(wù)把網(wǎng)絡(luò)作為基本的溝通方式，確定企業(yè)的價值方向和價值產(chǎn)業(yè)鏈，不斷對機構(gòu)配置進行優(yōu)化。所以，電子商務(wù)的核心環(huán)節(jié)和最終目標(biāo)依然是業(yè)務(wù)，“電子”在全過程中只是作為一種溝通方法來優(yōu)化核心環(huán)節(jié)，但是也不能小看這個“電子”，因為它是整體經(jīng)濟效益和創(chuàng)新、合理的業(yè)務(wù)模式的根源所在。隨著市場產(chǎn)品競爭日益激烈，傳統(tǒng)企業(yè)產(chǎn)品同質(zhì)、品牌無差異現(xiàn)象越來越嚴(yán)重，要想更大程度的吸引消費者、提供有個性的產(chǎn)品以及提高服務(wù)品質(zhì)，都需要采用全新的技術(shù)手段和創(chuàng)新的經(jīng)營模式。采用互聯(lián)網(wǎng)和電子商務(wù)技術(shù)來對整個業(yè)務(wù)流程進行優(yōu)化，勢必能夠有效提高社會生產(chǎn)效率，促進社會經(jīng)濟發(fā)展，是傳統(tǒng)企業(yè)的絕佳選擇。

電子商務(wù)已經(jīng)成為新時代經(jīng)濟發(fā)展的核心部分，需要人們以嚴(yán)謹?shù)膽B(tài)度，解決電子商務(wù)發(fā)展中的各種疑難問題。因特網(wǎng)自身擁有的一些優(yōu)勢，如全球化、信息流通性、大范圍覆蓋性等，也都成為電子商務(wù)的內(nèi)在特征。

3 電子招投標(biāo)系統(tǒng)的信息安全技術(shù)

（1）數(shù)據(jù)存儲加密技術(shù)。對數(shù)據(jù)庫服務(wù)器中存儲的資料和文件進行加密處理，能夠?qū)ξ募谋Ｃ芄ぷ魈峁┍Ｕ?，同時也為管理提供了方便。而且，由用戶上傳的、存儲在數(shù)據(jù)庫服務(wù)器中的文件，必須由持有特定數(shù)字證書的用戶在規(guī)定時間和規(guī)定網(wǎng)站中進行下載，而包括數(shù)據(jù)庫管理者在內(nèi)的其他用戶沒有查閱文件的權(quán)限，這也就進一步保證了電子招投標(biāo)系統(tǒng)的科學(xué)合理性。

（2）CA認證。CA和電子招投標(biāo)系統(tǒng)是相互獨立的系統(tǒng)，但招投標(biāo)系統(tǒng)選用CA系統(tǒng)的用戶數(shù)據(jù)庫。要想部署和進行網(wǎng)上招投標(biāo)系統(tǒng)，必須建立相應(yīng)的CA認證的權(quán)威機構(gòu)，給每位用戶辦理發(fā)放一張用于身份驗證的個人數(shù)字證書。數(shù)字證書中包含用戶姓名、所屬公司等基本信息，這些信息是用戶登錄系統(tǒng)后進行身份驗證和權(quán)限控制的憑證，用戶持有有效數(shù)字證書能夠看到與自己證書權(quán)限項對應(yīng)的內(nèi)容并可以進行相關(guān)的操作。CA作為證書的簽發(fā)機構(gòu)，是PKI的核心。大家都知道，怎樣實現(xiàn)密鑰管理是構(gòu)建密碼服務(wù)系統(tǒng)的核心部分。

（3）數(shù)字時間戳技術(shù)。在招投標(biāo)系統(tǒng)中，證明文件有效性的重要內(nèi)容包括時間和數(shù)碼簽名等。數(shù)字時間戳能夠證明電子數(shù)據(jù)文件的收發(fā)具體時間。用戶將需要加時間戳的文件經(jīng)加密后形成文檔，再將摘要發(fā)送到專業(yè)機構(gòu)，完成數(shù)字時間戳服務(wù)，該機構(gòu)對文件加上時間后，進行數(shù)字簽名，用私鑰加密，并返回給用戶。數(shù)字時間戳有效地證明了文件的發(fā)表時間。

（4）數(shù)字證書技術(shù)。采用PIG公開密鑰基礎(chǔ)架構(gòu)技術(shù)的數(shù)字證書，是用一對互相匹配的密鑰進行加密和解密操作。要完成解密和簽名，需要每個用戶有一把特定的僅為本人所知的私有密鑰（私鑰）；與此同時，還要有一把公共密鑰（公鑰），需要公開、分享給一組用戶，用來進行加密和驗證簽名。它作為網(wǎng)絡(luò)上的身份證，在電子商務(wù)、網(wǎng)上銀行等應(yīng)用中發(fā)揮出了極大的便利性。數(shù)字證書+SSL協(xié)議能夠使信息傳輸?shù)募用苋蝿?wù)有效的完成。假如采用數(shù)字證書進行數(shù)字簽名，那么數(shù)字證書的持有者不能對網(wǎng)絡(luò)上的操作抵賴，有效地保證了這種操作的全面性和不可頂替性，這為事后調(diào)查、責(zé)任追究和矛盾解決提供了有利的依據(jù)。

參考文獻

[1]陳定力，陳福生.電子招標(biāo)系統(tǒng)的加密方案設(shè)計與實現(xiàn)[J].計算機應(yīng)用與軟件，2011（24）.

[2]陸偉琦.淺議電子評標(biāo)在建設(shè)工程招標(biāo)中的運用[J].山西建筑，2012（34）.

[3]孫詠梅.電子招投標(biāo)在建設(shè)工程招投標(biāo)中的應(yīng)用[J].中國西部科技，2011.

篇3

[關(guān)鍵詞]數(shù)字簽名電子商務(wù)交易安全

以網(wǎng)絡(luò)技術(shù)為基礎(chǔ)的電子商務(wù)作為一種全新的商務(wù)活動模式，已經(jīng)成為經(jīng)濟增長的動力，推動著經(jīng)濟的迅猛發(fā)展。但互聯(lián)網(wǎng)所固有的開放性與資源共享性使電子商務(wù)成為一把雙刃劍，它在給人類帶來了經(jīng)濟、便捷、高效的交易方式的同時，也引發(fā)了新的社會問題，電子商務(wù)的安全交易問題已成為全球電子商務(wù)活動的焦點問題，如何保證網(wǎng)上交易的有效性、機密性、完整性、可靠性和不可否認性是電子商務(wù)可持續(xù)發(fā)展的關(guān)鍵。

電子商務(wù)交易中，鑒別交易伙伴身份、確定合同、契約和單據(jù)的可靠性是十分關(guān)鍵的問題。在傳統(tǒng)貿(mào)易中，交易雙方通過在合同、貿(mào)易單據(jù)等書面文件上手寫簽名或蓋章來鑒別對方的身份，確定貿(mào)易合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生，其具有較高的可靠性。而在無紙化的電子商務(wù)中，人們希望通過數(shù)字通信網(wǎng)絡(luò)迅速傳遞合同、契約和單據(jù)，這就出現(xiàn)了數(shù)據(jù)真實性認證的問題，數(shù)字簽名技術(shù)就應(yīng)運而生了。

數(shù)字簽名是用來保證信息傳輸過程中信息的完整性、私有性和不可抵賴性，其是實現(xiàn)網(wǎng)上交易安全的核心技術(shù)之一。

一、數(shù)字簽名技術(shù)的概念

數(shù)字簽名技術(shù)就是利用數(shù)據(jù)加解密技術(shù)、數(shù)據(jù)變換技術(shù)，根據(jù)某種協(xié)議來產(chǎn)生一個反映被簽署文件和簽署人特性的數(shù)字化簽名。數(shù)字簽名涉及被簽署文件和簽署人兩個主體，密碼技術(shù)是數(shù)字簽名的技術(shù)基礎(chǔ)，其核心是采用加密技術(shù)的加、解密算法體制來實現(xiàn)對數(shù)據(jù)的數(shù)字簽名。

1.公開密鑰加密技術(shù)

公開密鑰加密又稱為非對稱密鑰加密，其特點是每個用戶有兩個不同的密鑰：公有密鑰和私有密鑰，分別用于加密和解密，如果用公有密鑰對數(shù)據(jù)進行加密，只有用對應(yīng)的私有密鑰才能進行解密；如果用私有密鑰對數(shù)據(jù)進行加密，則只有用對應(yīng)的公有密鑰才能解密。其中公有密鑰是公開的，而私有密鑰是保密的。

公開密鑰加密的關(guān)鍵在于公有密鑰和私有密鑰是數(shù)學(xué)相關(guān)的，但不能從公鑰推導(dǎo)出私鑰，也不能從私鑰推導(dǎo)出公鑰。

公開密鑰加密的優(yōu)點是便于密鑰的管理和分發(fā)，便于通信加密和數(shù)字簽字。但公開密鑰加密的算法相對復(fù)雜，加密數(shù)據(jù)速度較慢。

2.hash算法

hash算法又稱為散列算法或報文摘要，hash算法并不是加密算法，但卻能產(chǎn)生信息的數(shù)字“指紋”，主要用途是為了確保數(shù)據(jù)沒有被篡改或發(fā)生變化，以維護數(shù)據(jù)的完整性。Hash算法有三個特點:(1)能處理任意大小的信息，并生成固定長度(160bit)的信息摘要。(2)具有不可預(yù)見性。信息摘要的大小與原信息的大小沒有任何聯(lián)系。原信息內(nèi)容的任何一個微小變化都會對信息摘要產(chǎn)生很大的影響。(3)具有不可逆性。沒有辦法通過信息摘要直接恢復(fù)原文信息。

3.數(shù)字簽名

數(shù)字簽名是指使用密碼算法對要傳輸?shù)臄?shù)據(jù)進行加密處理，生成一段信息，附著在原文上一起發(fā)送，這段信息類似現(xiàn)實中的簽名或印章，接收方對其進行驗證，判斷原文真?zhèn)?，其目的是提供?shù)據(jù)的完整性保護和抗否認功能。

實現(xiàn)數(shù)字簽名的方法很多，目前使用較多的是比較容易實現(xiàn)的公開密鑰加密技術(shù)。其是先將要發(fā)送的信息通過hash算法形成信息摘要，然后用發(fā)送方的私鑰加密，再將生成的結(jié)果附加到原信息上去，就形成了原信息的數(shù)字簽名。接收方收到數(shù)字簽名和原信息后，用發(fā)送方的公鑰將信息摘要解密，將原信息通過hash算法生成新的信息摘要。將兩個信息摘要進行對比，若相同則表明這份數(shù)字簽名和文件是正確的，否則文件就是偽造的或已被篡改。

二、數(shù)字簽名技術(shù)在電子商務(wù)中的應(yīng)用

將數(shù)字簽名技術(shù)應(yīng)用于電子商務(wù)中，可以解決數(shù)據(jù)的否認、偽造、篡改及冒充等問題，其主要用途有三個方面：

1.驗證數(shù)據(jù)的完整性

這個功能能保證信息自簽發(fā)后到收到為止沒有做任何修改。因為當(dāng)兩條信息摘要完全相同時，可以確信這兩條信息的內(nèi)容完全一樣。因此，可以通過將信息發(fā)送前生成的信息摘要與接收后生成的信息摘要進行對比，來判斷信息在傳輸過程中是否被篡改或改變。由于信息摘要在發(fā)送之前，發(fā)送方使用私鑰進行加密，其他人要生成相同加密的信息摘要幾乎不可能，于是，接受方收到信息后，可以使用相同的函數(shù)變換，重新生成—個新的信息摘要，將接收到的信息摘要解密，然后進行對比，從而驗證信息的完整性。

2.驗證簽名者的身份

此功能證明信息是由簽名者發(fā)送的。因為數(shù)字簽名中，是使用公開密鑰加密算法，信息發(fā)送方是使用自己的私鑰對發(fā)送的信息進行加密的，只有持有私鑰的人才能對數(shù)據(jù)進行簽名，所以只要密鑰沒有被竊取，就可以肯定該數(shù)據(jù)是用戶簽發(fā)的。信息接收方可以使用發(fā)送方的公鑰對接受到的信息進行解密，因而，接收方一旦解密成功，就完全可以確認信息是由發(fā)送方發(fā)送的，同時也證實了信息發(fā)送方的身份。

3.防止交易中的抵賴行為

當(dāng)交易中出現(xiàn)抵賴行為時，信息接收方可以將加了數(shù)字簽名的信息提供給認證方，由于帶有數(shù)字簽名的信息是由發(fā)送方的私鑰加密生成的，其他任何人不可能產(chǎn)生這種信息，而發(fā)送方的公鑰是公開的，任何人都可以獲得他的公鑰對信息解密．這樣認證方可以使用公鑰對接收方提供的信息解密，從而可以判斷發(fā)送方是否出現(xiàn)抵賴行為。

篇4

關(guān)鍵詞：電子合同、電子簽名、電子認證、電子合同監(jiān)管

一、電子合同

隨著電子技術(shù)的發(fā)展，電子合同得以出現(xiàn)，其雖然也通過電子脈沖來傳遞信息，但是卻不在以一張紙為原始的憑據(jù)，而只是一組電子信息。電子合同，又稱電子商務(wù)合同，根據(jù)聯(lián)合國國際貿(mào)易法委員會《電子商務(wù)示范法》以及世界各國頒布的電子交易法，同時結(jié)合我國《合同法》的有關(guān)規(guī)定，筆者認為電子合同可以界定為：電子合同是雙方或多方當(dāng)事人之間通過電子信息網(wǎng)絡(luò)以電子的形式達成的設(shè)立、變更、終止財產(chǎn)性民事權(quán)利義務(wù)關(guān)系的協(xié)議。通過上述定義可以看出電子合同是以電子的方式訂立的合同，其主要是指在網(wǎng)絡(luò)條件下當(dāng)事人為了實現(xiàn)一定的目的，通過數(shù)據(jù)電文、電子郵件等形式簽訂的明確雙方權(quán)利義務(wù)關(guān)系的一種電子協(xié)議[1].電子合同的特征主要表現(xiàn)在以下幾個方面：

1、電子合同是一種民事法律行為。電子合同這種民事法律行為是雙方或者是多方民事主體的法律行為，當(dāng)事人之間以電子的方式設(shè)立、變更、終止財產(chǎn)性民事權(quán)利義務(wù)為目的，當(dāng)事人之間簽訂的這種合同是合同的電子化，是合同的新形式。根據(jù)《電子商務(wù)示范法》中有關(guān)規(guī)定，電子合同是以財產(chǎn)性為目的協(xié)議，該示范法列舉了大量商業(yè)性質(zhì)的關(guān)系。[2]

2、電子合同交易主體的虛擬化和廣泛化。電子合同訂立的整個過程所采用的是電子形式，通過電子郵件、EDI等方式進行電子合同的談判、簽訂及履行等。這種合同方式大大的節(jié)約了交易成本，提高了經(jīng)濟效益。電子合同的交易主體可以是地球村的任何自然人和法人及其相關(guān)組織，這種交易方式當(dāng)然需要提供一系列的配套措施，如建立信用制度，讓交易的相對人在交易前知道對方的資信狀況[3]，在世界經(jīng)濟全球化的今天，信用權(quán)益必將成為一種無形的財產(chǎn)。

3、電子合同具有技術(shù)化、標(biāo)準(zhǔn)化的特點。電子合同是通過計算機網(wǎng)絡(luò)進行的，他有別與傳統(tǒng)的合同訂立方式，電子合同的整個交易過程都需要一系列的國際國內(nèi)技術(shù)標(biāo)準(zhǔn)予以規(guī)范，如：電子簽名、電子認證等。這些具體的標(biāo)準(zhǔn)是電子合同存在的基礎(chǔ)，如果沒有相關(guān)的技術(shù)與標(biāo)準(zhǔn)電子合同是無法實現(xiàn)和存在的。

4、電子合同訂立的電子化。我國《合同法》規(guī)定合同的訂立需要有要約和承諾這兩個過程，電子合同同樣也需要具備這些要件。傳統(tǒng)的合同的要約和承諾采用的方式不同于電子合同，電子合同中的要約和承諾均可以用電子的形式完成，它主要輸入相關(guān)的信息符合預(yù)先設(shè)定的程序，計算機就可以自動做出相應(yīng)的意思表示。

5、電子合同中的意思表示電子化。意思表示的電子化，是指在合同訂立的過程中通過相關(guān)的電子方式表達自己的意愿的一種行為，這種行為的表現(xiàn)方式是通過電子化形式實現(xiàn)的?！峨娮由虅?wù)示范法》中將電子化的意思表示稱之為“數(shù)據(jù)電文”。

二、電子合同訂立與成立

電子合同的訂立，是指締約人做出意思表示并達成合意的行為和過程。任何一個合同的簽訂都需要當(dāng)事人雙方進行一次或者是多次的協(xié)商、談判，并最終達成一致意見，合同即可成立。電子合同的成立是指當(dāng)事人之間就合同的主要條款達成一致的意見。電子合同作為合同中的一種特殊形式，其成立與傳統(tǒng)的合同一樣，同樣需要具備相關(guān)的要素和條件。世界各國的合同法對合同的成立大都減少不必要的限制，這種做法是適應(yīng)和鼓勵交易行為，增進社會財富的需要，所以說在電子合同的成立上，只要當(dāng)事人之間就合同的主要條款達成一致的意見即可成立。關(guān)于合同中的主要條款，現(xiàn)行的立法是很寬泛的，我國的《合同法》第12條做了列舉性的規(guī)定，但是該列舉性規(guī)定是指一般條款。筆者認為，就合同的主要本質(zhì)而言，在合同主要條款方面如果當(dāng)事人有約定，要以雙方約定為主要條款，如果沒有約定的可以根據(jù)合同的性質(zhì)的予以確定合同主要條款。

合同的成立與合同的訂立是兩個不同的概念，兩者既有聯(lián)系又有區(qū)別。電子合同的成立需要具備相應(yīng)的要件。首先，訂約人的主體是雙方或者是多方當(dāng)事人，合同的主體是合同關(guān)系的當(dāng)事人，他們實際享受合同權(quán)利并承擔(dān)合同義務(wù)的人。[4]其次，訂約當(dāng)事人對主要條款達成合意，合同成立的根本標(biāo)志在于合同當(dāng)事人就合同的主要條款達成合意。最后，合同的成立應(yīng)該具備要約和承諾兩個階段，《合同法》第13條規(guī)定：“當(dāng)事人訂立合同，采取要約、承諾方式?！?/p>

（一）要約和要約邀請

要約是指締約一方以締結(jié)合同為目的而向?qū)Ψ疆?dāng)事人作出的意思表示。關(guān)于要約的形式，聯(lián)合國的《電子商務(wù)示范法》第11條規(guī)定：除非當(dāng)事人另有協(xié)議，合同要約及承諾均可以通過電子意思表示的手段來表示，并不得僅僅以使用電子意思表示為理由否認該合同的有效性或者是可執(zhí)行性。要約的形式，即可以是明示的，也可以是默示的。要約通常都具有特定的形式和內(nèi)容，一項要約要發(fā)生法律效力，則必須具備特定的有效要件：1、要約是由具有訂約能力的特定人做出的意思表示。2、要約必須具有訂立合同的意圖。3、要約必須向要約人希望與之締結(jié)合同的受要約人發(fā)出。4、要約的內(nèi)容必須明確具體和完整。5、要約必須送達受要約人。[5]

要約邀請是指希望他人向自己發(fā)出要約的意思表示。在電子商務(wù)活動中，從事電子交易的商家在互聯(lián)網(wǎng)上廣告的行為到底應(yīng)該視為要約還是要約邀請？[6]在該問題上學(xué)界有不同的觀點，一種觀點認為是要約邀請，他們認為這些廣告是針對不特定的多數(shù)人發(fā)出的。另一種觀點認為是要約，因為這些廣告所包含的內(nèi)容是具體確定的，其包括了價格、規(guī)格、數(shù)量等完整的交易信息。筆者認為，雖然電子商務(wù)是新型的商業(yè)活動形式，但是其與傳統(tǒng)商業(yè)活動的區(qū)別只是使用的中介媒介不同，其法律特征應(yīng)當(dāng)是相同的。因此，就該問體的區(qū)分仞然要回到《合同法》中去解決。根據(jù)法律的規(guī)定，判斷網(wǎng)絡(luò)廣告是否屬于要約邀請的標(biāo)準(zhǔn)是：1、意思表示的內(nèi)容是否具體確定，2、其發(fā)出人是否有受該意思表示約束的意圖。

要約一旦做出就不能隨意撤銷或者是撤回，否則要約人必須承擔(dān)違約責(zé)任。我國《合同法》第18條規(guī)定：“要約到達受要約人時生效”。由于電子交易均采取電子方式進行，要約的內(nèi)容均表現(xiàn)為數(shù)字信息在網(wǎng)絡(luò)上傳播，往往要約在自己的計算機上按下確認鍵的同時對方計算機幾乎同步收到要約的內(nèi)容，這種技術(shù)改變了傳統(tǒng)交易中的時間和地點觀念，為了明確電子交易中何謂要約的到達標(biāo)準(zhǔn)，《合同法》第16條第2款規(guī)定：“采用數(shù)據(jù)電文形式訂立合同，收件人指定特定系統(tǒng)接收數(shù)據(jù)電文的，該數(shù)據(jù)電文進入該特定系統(tǒng)的時間，視為到達時間，未指定特定系統(tǒng)的，該數(shù)據(jù)電文進入收件人的任何系統(tǒng)的首次時間，視為到達時間。”[7]

（二）承諾

承諾，又稱之為接盤或接受，是指受要約人做出的，對要約的內(nèi)容表示同意并愿意與要約人締結(jié)合同的意思表示。我國的《合同法》第21條規(guī)定：“承諾是受要約人同意要約的意思表示”。意思表示是否構(gòu)成承諾需具備以下幾個要件：1、承諾必須由受要約人向要約人做出。2、承諾必須是對要約明確表示同意的意思表示。3、承諾的內(nèi)容不能對要約的內(nèi)容做出實質(zhì)性的變更。4、承諾應(yīng)在要約有效期間內(nèi)做出。要約沒有規(guī)定承諾期限的，若要約以對話方式做出的，承諾應(yīng)當(dāng)即時做出，要約以非對話方式做出的，承諾應(yīng)當(dāng)在合理期間內(nèi)承諾，雙方當(dāng)事人另有約定的從其約定。

承諾的撤回，是指受要約人在發(fā)出承諾通知以后，在承諾正式生效之前撤回承諾。根據(jù)《合同法》第27條的規(guī)定：“承諾可以撤回。撤回承諾的通知應(yīng)當(dāng)在承諾通知達到要約人之前或者是承諾通知同時達到要約人?！币虼?，承諾的撤回通知必須在承諾生效之前達到要約人，或者是與承諾通知同時到達要約人，撤回才能生效。如果承諾通知已經(jīng)生效，合同已經(jīng)成立，受要約人當(dāng)然不能在撤回承諾。對承諾的撤回問題學(xué)界有不同的觀點，反對者認為電子商務(wù)具有傳遞速度快，自動化程度高的特點，要約或者承諾生效后，可能自動引發(fā)計算機做出相關(guān)的指令，這樣會導(dǎo)致一系列的后果。贊同承諾撤回的學(xué)者則認為不管電子傳輸速度有多快，總是有時間間隔的，而且也存在網(wǎng)絡(luò)故障、信箱擁擠、計算機病毒等突發(fā)性事件的存在，似的要約、承諾不可能及時到達。筆者認為，撤回承諾同要約的撤銷同樣重要，這種民事權(quán)利不能剝奪，否則會破壞我國《合同法》的體系與精神。

三、電子合同成立時間與地點

電子合同成立時間，是指電子合同開始對當(dāng)事人產(chǎn)生法律約束力的時間。在一般情況下電子合同的成立時間就是電子合同的生效時間，合同成立的時間是對雙方當(dāng)事人產(chǎn)生法律效力的時間。一般認為收件人收到數(shù)據(jù)電文的時間即為到達生效的時間。聯(lián)合國《電子商務(wù)示范法》第15條和我國的《合同法》第16條的規(guī)定基本相同。[8]如收件人為接收數(shù)據(jù)電文而指定了某一信息系統(tǒng)，該數(shù)據(jù)系統(tǒng)進入該特定系統(tǒng)的時間，視為收到時間。如收件人沒有指定某一特定信息系統(tǒng)的，則數(shù)據(jù)電文進入收件人的任一信息系統(tǒng)的時間為收到時間。對于什么是“進入”，筆者認為，一項數(shù)據(jù)電文進入某一信息系統(tǒng)，其時間應(yīng)是在該信息系統(tǒng)內(nèi)可投入處理的時間，而不管收件人是否檢查或者是否閱讀傳送的信息內(nèi)容。

認定發(fā)送和接收電子合同的時間對于判斷交易成立和生效具有重要的意義。我國的《合同法》對此只是做了原則性的規(guī)定。根據(jù)《合同法》和民事法律關(guān)系基本原理和電子合同的實際情況，認定發(fā)送和接收電子通訊時間的默認規(guī)則為，在雙方?jīng)]有相反約定的情況下，某個電子信息進入某個輸送人無法控制的信息系統(tǒng)就視為該信息已經(jīng)被發(fā)送，如果信息先后進入了多個信息系統(tǒng)，則信息發(fā)送的時間以最先進入其網(wǎng)絡(luò)服務(wù)提供者的服務(wù)器，在發(fā)送到接收人的計算機系統(tǒng)，那么該信息被發(fā)送的時間就是先進入網(wǎng)絡(luò)服務(wù)提供者的服務(wù)器的時間。[9]在判斷信息接收時間方面，如果電子信息的接收人指定了一個信息接收系統(tǒng)，則電子信息進入該系統(tǒng)的時間即為信息接收的時間。

電子合同的成立地點，是指電子合同成立的地方。確定電子合同成立的地點涉及到發(fā)生合同糾紛后由那地、那級法院管轄及其適用法律問題。我國《合同法》第34條規(guī)定，承諾生效的地點為合同成立的地點，采用電子意思表示形式訂立合同的收件人的主要營業(yè)地為合同成立的地點，沒有主要營業(yè)地的，其經(jīng)常居住地為合同成立的地點，當(dāng)事人另有約定的從其約定。我國立法對電子意思表示采取的是“到達主義”，所以規(guī)定以收到地點為合同成立的地點，其原因是考慮到當(dāng)事人意思自治原則和特殊性問題。我國《合同法》第34條之所以這樣規(guī)定，主要是因為電子交易中收件人接收或者檢索數(shù)據(jù)電文的信息系統(tǒng)經(jīng)常與收件人不在同一管轄區(qū)內(nèi)，上述規(guī)定確保了收件人與視為收件地點的所在地有著某種合理的聯(lián)系，可以說我國《合同法》這一規(guī)定充分考慮了電子商務(wù)不同于普遍交易的特殊性。

四、電子簽名與電子認證

電子合同成立是雙方當(dāng)事人意思一致的結(jié)果，在傳統(tǒng)的合同訂立過程中，國際上通行的做法是用雙方當(dāng)事人的簽字來確定雙方的意思表示。我國的《合同法》第32條規(guī)定：“當(dāng)事人采用合同形式訂立合同，自雙方當(dāng)事人在合同書上簽名或者加蓋公章時合同成立?！碑?dāng)事人的簽字或者蓋章，意味著自然人或者法人在合同書上簽名或者是加蓋公章合同才發(fā)生法律效力。在電子商務(wù)合同中，要在這種合同書上簽字或者蓋章是很困難的。所以，在實踐中用何種技術(shù)來解決簽名和蓋章問題是電子合同成立與生效的關(guān)鍵。

美國是世界上最先授權(quán)使用數(shù)字簽名的國家，他規(guī)定了用密碼組成的數(shù)字與傳統(tǒng)的簽字具有同等的效力[10].從技術(shù)的角度而言，電子簽名主要是指通過一種特定的技術(shù)方案來賦予當(dāng)事人一個特定的電子密碼，確保該密碼能夠證明當(dāng)事人身份的作用，而同時確保發(fā)件人發(fā)出的資料內(nèi)容不被篡改的安全保障措施。電子簽名的主要目的是利用技術(shù)的手段對數(shù)據(jù)電文的發(fā)件人身份做出確認及保證傳送的文件內(nèi)容沒有被篡改，以及解決事后發(fā)件人否認已經(jīng)發(fā)送或者是收到資料等問題。[11]因此，驗證解密得到的結(jié)果與經(jīng)過計算后的結(jié)果必然不同，從而保證了電子信息的真實性與完整性[12].

電子認證與電子簽名一樣都是電子商務(wù)中的安全保障機制，是由特定的機構(gòu)提供的，對電子簽名及其簽署者的真實性進行驗證的服務(wù)。電子認證，是指由特定的第三方機構(gòu)通過一定的方法對簽名及其所做的電子簽名的真實性進行驗證的一種活動。電子認證主要應(yīng)用于電子交易的信用安全方面，保障開放性網(wǎng)絡(luò)環(huán)境中交易人的真實與可靠。電子認證是確定某個人的身份信息或者是特定的信息在傳輸過程中未被修改或者替換。[13]電子認證即可以在當(dāng)事人相互之間進行，也可以由第三方來做出鑒別。電子商務(wù)活動常常是跨國境的，各個參與方就需要有不同的國家的認證機構(gòu)對各自的身份進行認證，并向電子商務(wù)活動的相對方發(fā)放認證證書，這在實踐中就需各國相互承認對方國家認證機構(gòu)發(fā)放的電子認證證書的效力。

在認證機構(gòu)的設(shè)立上，必須強調(diào)認證機構(gòu)是一個獨立的法律實體，能夠以自己的名義從事數(shù)字服務(wù)，并且能夠以自己的財產(chǎn)提供擔(dān)保，能在法律規(guī)定的范圍內(nèi)自己承擔(dān)相應(yīng)的民事責(zé)任。他必須是保持中立，并具有可靠性、真實性和公正性。電子認證機構(gòu)一般不得直接和客戶進行商業(yè)交易，也不能在當(dāng)事人之間的交易活動中代表任何一方的利益，而只能通過公正的交易信息促成當(dāng)事人之間的交易。它必須能被當(dāng)事人接受，也就是說，它應(yīng)當(dāng)在社會具有相當(dāng)?shù)挠绊懥涂尚哦?，并足以使人們在網(wǎng)絡(luò)交易中愿意接受其認證服務(wù)。當(dāng)事人對電子認證機構(gòu)的接受可能是明示的，也可能是在網(wǎng)絡(luò)交易中默示承認或者是基于成文法律的要求。另外，電子認證機構(gòu)不能以盈利為目的，認證機構(gòu)應(yīng)當(dāng)是一種類似于承擔(dān)社會服務(wù)功能的公用事業(yè)，其營業(yè)的宗旨應(yīng)該是提供公正、安全的交易的環(huán)境，保護第三人的合法權(quán)益，促進電子合同交易，加快電子商務(wù)的發(fā)展。

五、電子合同生效

電子合同的成立只是意味著當(dāng)事人之間已經(jīng)就合同內(nèi)容達成了意思表示一致，但合同能否產(chǎn)生法律效力，是否受法律保護還需要看他是否符合法律的要求，即合同是否符合法定的生效要件。電子合同的成立并不等于電子合同的生效，電子合同的生效，是指已經(jīng)成立的合同符合法律規(guī)定的生效要件。雖然我國的《合同法》沒有對合同的生效做出具體的規(guī)定，但是電子合同是一種典型的民事法律關(guān)系。我國的《民法通則》第55條規(guī)定：“民事法律行為應(yīng)當(dāng)具備以下幾個要件：1、行為人具有相應(yīng)的行為能力。2、意思表示真實。3、不違反法律或社會公共利益?！边@些條件是合同生效的一般要件，有的電子合同還需具備特殊要件，如有些特殊的電子合同還需到有關(guān)部門辦理批準(zhǔn)登記手續(xù)后才能生效。電子合同的生效需具備以下幾個法定要件：

（一）行為人具有相應(yīng)的民事行為能力。行為人具有相應(yīng)的民事行為能力的要件在學(xué)理上又被稱為有行為能力原則或主體合格原則。[14]行為人必須具備正確理解自己行為性質(zhì)和后果，獨立地表達自己的意思的能力。

（二）電子意思表示真實。是指利用資訊處理系統(tǒng)或者電腦而為真實意思表示的情形。電子意思表的形式是多種多樣的，包括但不限與電話、電報、電傳、傳真、電郵、EDI、因特網(wǎng)數(shù)據(jù)等，具體通過封閉型的EDI網(wǎng)絡(luò)，局域網(wǎng)與因特網(wǎng)連接開放型的因特網(wǎng)或傳統(tǒng)的電信進行電子交易信息的傳輸。

（三）不違反法律和社會公共利益。不違反法律和社會公共利益，是指電子合同的內(nèi)容合法。合同有效不僅要符合法律的規(guī)定，而且在合同的內(nèi)容上不得違公共利益。在我在我國，凡屬于嚴(yán)重違反公共道德和善良風(fēng)俗的合同，應(yīng)當(dāng)認定其無效。

（四）合同必須具備法律所要求的形式。我國現(xiàn)行的法律規(guī)定無法確認電子合同的形式屬于那一種類型，盡管電子合同與傳統(tǒng)上面合同有著許多差別，但是在形式要件方面不能阻擋新科技轉(zhuǎn)化為生產(chǎn)力的步伐，立法已經(jīng)在形式方面為合同的無紙化打開了綠燈。法律對數(shù)據(jù)電文合同應(yīng)給予書面合同的地位，無論意思表示方式是采用電子的，光學(xué)的還是未來可能出現(xiàn)的其他新方式，一旦滿足了功能上的要求，就應(yīng)等同與法律上的“書面合同”文件，承認其效力。[15]

六、電子合同監(jiān)管

網(wǎng)上廣告、網(wǎng)上購物、網(wǎng)上合同、網(wǎng)上支付等新型網(wǎng)絡(luò)交易活動給工商行政管理機關(guān)提出了新的要求。工商行政管理機關(guān)是國家主管市場監(jiān)督管理和有關(guān)行政執(zhí)法的職能部門，工商行政管理部門監(jiān)管的市場是社會主義市場經(jīng)濟下的大市場，工商行政管理機關(guān)對電子合同進行監(jiān)督管理責(zé)無旁貸，該項職能是由法律所賦予的。[16]工商部門對電子合同監(jiān)管能促進網(wǎng)絡(luò)市場交易的公平性、安全性、經(jīng)濟性，能有效的保護消費者和經(jīng)營者的合法權(quán)益，能減少合同爭議和違法合同，提高合同的履約率，維護市場交易安全，促進經(jīng)濟的發(fā)展。

我國現(xiàn)階段的電子合同監(jiān)管主要存在著以下幾個方面的問題：一是電子合同的實體法和監(jiān)管的程序法等立法不能適應(yīng)現(xiàn)階段的要求。對電子合同的監(jiān)管是一個技術(shù)性很強的工作，沒有相關(guān)的規(guī)章制度是無法開展的。二是相關(guān)的技術(shù)與配套工程沒有確立，從而無法保證電子合同的監(jiān)督與管理工作。電子合同交易的開展需要一系列的配套措施，是一個系統(tǒng)的工程，如市場主體制度的認證，電子合同效力、電子合同交易的安全性與真實性問題，電子證據(jù)、電子合同爭議的管轄權(quán)等等。目前的立法嚴(yán)重滯后，嚴(yán)重影響電子合同的交易和監(jiān)管力度。三是現(xiàn)有的工商登記制度無法對網(wǎng)絡(luò)交易主體進行監(jiān)管，沒有統(tǒng)一的認證機構(gòu)。四是工商行政管理機關(guān)執(zhí)法人員的水平和能力有限，執(zhí)法的手段單一。目前，我國基層工商機關(guān)自動化辦公水平有待提高，計算機知識、網(wǎng)絡(luò)技術(shù)有待加強。執(zhí)法人員對網(wǎng)絡(luò)交易行為不了解，不能快速的對網(wǎng)絡(luò)市場信息進行有效的收集、分析和整理，從而影響了電子合同監(jiān)管的力度。

工商行政管理機關(guān)對電子合同的監(jiān)管是對電子合同交易的整個過程的監(jiān)管，從電子合同要約，電子合同的訂立、電子合同的交付、電子合同的簽證、電子合同爭議的處理等。[17]筆者認為根據(jù)等同法則電子合同具有書面合同的形式與性質(zhì)，現(xiàn)階段我們不能用原有的方法來對電子合同進行監(jiān)管。電子合同的監(jiān)管是對簽約前、簽約過程以及簽約后電子合同的履行等監(jiān)管。電子合同簽約前的階段主要是對買賣信息的檢索，對整個交易行為做充分的準(zhǔn)備工作，這就需要政府和只能部門提供一系列的配套措施。作為政府職能部門的工商行政管理機關(guān)，就應(yīng)該對網(wǎng)絡(luò)市場予以規(guī)范和管理，為電子合同的廣泛使用提供良好的網(wǎng)絡(luò)環(huán)境，保障網(wǎng)絡(luò)交易的安全性、公正性，促進網(wǎng)絡(luò)交易行為，提高履約率。[18]

筆者認為工商部門對電子合同的監(jiān)管應(yīng)注重以下幾個方面：一是建立電子合同監(jiān)管平臺。工商行政管理機關(guān)應(yīng)該按照所轄區(qū)域設(shè)立電子合同監(jiān)管平臺，各級工商行政管理機關(guān)應(yīng)該對所轄區(qū)域的經(jīng)濟主體經(jīng)濟情況對公眾公開，以備市場相對人進行查詢和了解。這種信息包括對企業(yè)的信用、資金、企業(yè)產(chǎn)品質(zhì)量，有無違規(guī)經(jīng)營等一切公眾資料，涉及企業(yè)商業(yè)秘密的沒經(jīng)權(quán)利人同意的不能公開。二、對電子合同的監(jiān)管應(yīng)該是對電子合同是否違反法律、法規(guī)、規(guī)章進行審查。糾正電子合同中違法行為，查處利用電子合同進行違法交易的行為，以及違約的處罰。三是完善我國物流配送體系，加強電子合同依法履行的監(jiān)管工作，促進電子合同交易的成功率。四是建立電子合同簽證網(wǎng)。電子合同簽證是對合同簽證的延伸，電子合同簽證網(wǎng)的建立能有效的彌補書面簽證的缺陷，減少人力、物力和才力方面的支出，提高工作效率。五是建立網(wǎng)上電子合同監(jiān)管投訴中心，及時反映合同監(jiān)管中的問題，保護消費者的合法權(quán)益。六是加強電子合同的法律法規(guī)的研究制定工作，建立有效的網(wǎng)絡(luò)監(jiān)管體制，維護市場經(jīng)濟的安全。七是加強執(zhí)法人員的培訓(xùn)工作，提高執(zhí)法人員的水平。電子合同監(jiān)管是一項技術(shù)性很強的工作，他涉及的知識面廣泛，需要不斷的學(xué)習(xí)和更新知識結(jié)構(gòu)。八是加強對工商部門職能的宣傳工作，特別是要加強對電子合同監(jiān)管的必要性和可行性的宣傳力度。面對新的挑戰(zhàn)，工商行政管理機關(guān)要認真的研習(xí)新《合同法》的基本原理和精神，熟悉電子信息技術(shù)，切實有效的對電子合同實施監(jiān)管，維護市場經(jīng)濟秩序的健康發(fā)展。

OnTheBasicTheoryofElectronicContractTrade

Abstract：E-commerceistheinevitabledirectionofthecommercialdevelopmentinthefuture.Withitsdistinctwayofbeingmade，e-contractchallengesthetransitiononpapertermsoflaw，technology，supervisionandsoon.E-contractisthefoundationandhardcoreofe-commerce.Thelegalproblemsine-contractconstrainthedevelopmentandtheprocessofe-transition.So，itisnecessaryforourcountrytoacceleratethestepoflawmakingone-commerce，makeupthemechanisticofe-contractsupervision，andcompletethelegalsystemofe-contracttransition.Inthearticle，theauthorhasmaderesearchingandstatementonthelegalandtechnologicalproblemsofthee-contract，andalsohasmadeaproposalonthelawmakingandsupervisionofe-contract.

Keywords：electroniccontract；electronicsignature；electronicattesting；electroniccontractsupervision

注釋：

1、齊愛民、萬暄、張素華著：《電子合同的民法原理》，武漢大學(xué)出版社2002年版，第9頁。

2、齊愛民、萬暄、張素華著：《電子合同的民法原理》，武漢大學(xué)出版社2002年版，第17頁。

3、吳漢東：《論信用權(quán)》，《法學(xué)》2001年第1期。

4、王利明、崔建遠著：《合同法新論?？倓t》，中國政法大學(xué)出版社2000年版，第123頁。

5、王利明、崔建遠著：《合同法新論?？倓t》，中國政法大學(xué)出版社2000年版，第130—135頁

6、張楚著：《電子商務(wù)法初論》，中國政法大學(xué)出版社2000年版，第273頁。

7、蔣坡：《論我國電子商務(wù)法律體系和基本架構(gòu)》，《科技與法律》2002年第2期。

8、于靜：《電子合同若干法律問題初探》，《政法論壇》1999年第6期。

9、鄭成思、薛虹：《我國電子商務(wù)立法的核心法律問題》，《知識產(chǎn)權(quán)》2000年第5期。

10、邱永紅、魏麗：《國際貿(mào)易中應(yīng)用EDI的法律問題新探》，《國際經(jīng)濟貿(mào)易研究》1998年第2期

11、蔣坡：《論我國電子商務(wù)法律體系和基本架構(gòu)》，《科技與法律》2002年第2期。

12、唐春林、王穎、郭敏之著：《電子商務(wù)基礎(chǔ)》，科學(xué)出版社2000年版，第37頁。

13、劉滿達：《數(shù)字簽名的法律思考》，《法學(xué)》2000年第12期。

14、王利明、崔建遠著：《合同法新論?？倓t》，中國政法大學(xué)出版社2000年版，第240頁。

15、蔣坡：《論我國電子商務(wù)法律體系和基本架構(gòu)》，《科技與法律》2002年第2期。

16、吳懷福、張士茂：《電子商務(wù)中電子合同監(jiān)管問題初探》，《中國工商管理研究》2003年第2期。

篇5

一、電子商務(wù)的安全需求

由于電子商務(wù)是一種利用互聯(lián)網(wǎng)資源進行的商業(yè)交易活動,因此在交易安全方面與互聯(lián)網(wǎng)的安全性密切相關(guān)。在交易過程中，主要涉及信息的安全傳輸、在線支付的安全認證等問題。

1.數(shù)據(jù)保密性需求。在電子商務(wù)中，無論是企業(yè)自己的數(shù)據(jù),如計劃書、圖紙、生產(chǎn)銷售數(shù)據(jù)等，還是企業(yè)間交換的契約、合同或者用戶的訂單、支付等都是十分重要和敏感的數(shù)據(jù)，這些數(shù)據(jù)都要使用良好的加密措施，保證其在存儲和傳輸中的安全性。

2.數(shù)據(jù)完整性需求。由于在交易過程中必須保證信息的完整性和有效性,即要保證信息從交易一方送達另一方時,數(shù)據(jù)是準(zhǔn)確的、有效的,且發(fā)送方不可否認此次交易的存在性和真實性，這需要對傳送的數(shù)據(jù)進行簽名和驗證。

3.身份確認需求。由于交易是在網(wǎng)上進行的，所以在進行交易前，必須確認對方的身份，防止交易雙方的身份被假冒，因此需為參與交易的各方提供可靠的標(biāo)識，通過驗證被認證對象標(biāo)識的有效性，來證實被認證對象身份是否有效。

4.商務(wù)活動的不可抵賴性。為了保證商務(wù)活動的各參與方對自己的行動負責(zé)，一方面，電子商務(wù)系統(tǒng)會讓參與者留下參與活動的證據(jù)；另一方面，政府通過相應(yīng)的法律條文保障參與方履行其申明的責(zé)任。為滿足電子商務(wù)的安全需要，實現(xiàn)安全的、有效的在線交易，需要在Internet上建立可信的安全的通信基礎(chǔ)設(shè)施，通過強認證機制和加密機制來保證安全性。

二、PKI技術(shù)

1.PKI的組成。PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。一個完整的PKI系統(tǒng)由策略管理、軟硬件系統(tǒng)、認證機構(gòu)(CA)、注冊機構(gòu)(RA)、證書管理系統(tǒng)和PKI應(yīng)用接口等部分組成。

(1)策略管理：它建立和定義了一個組織信息安全方面的指導(dǎo)方針，同時也定義了密碼系統(tǒng)使用的處理方法和原則。(2)CA 是可信的第三方機構(gòu)，負責(zé)頒發(fā)證書、驗證用戶身份的真實性。(3)RA 提供用戶和CA 之間的一個接口,它收集和確認用戶身份,接受用戶的注冊申請,向CA 提出證書請求。（4)證書管理系統(tǒng)用來管理數(shù)字證書庫，包括證書、實時查詢證書和證書撤銷信息等。

2.PKI技術(shù)實現(xiàn)的主要功能

(1)用戶注冊:收集用戶信息,該功能在CA完成或由獨立的RA完成。(2)發(fā)行證書:響應(yīng)用戶的請求創(chuàng)建證書，由CA完成。(3)廢止證書:創(chuàng)建和廢止證書列表(CRI，Certificate Revocation List)，由與CA相關(guān)的管理軟件完成。(4)存儲和檢索證書和CRI:使具有授權(quán)的用戶可以方便地使用證書和CRI，證書及CRI通常存儲在一個可通過LDAP協(xié)議訪問的安全的、備份的目錄。(5)證書路徑確認:在證書確認鏈中加入一個基于規(guī)則的約束，只有在約束全部滿足時證書才被確認，由CA完成。(6)時間戳:為每個證書打上時間標(biāo)記，規(guī)定證書的有效時限，由CA或者是專用的時間服務(wù)器(TimeServer)完成。(7)密鑰生命期管理：進行密鑰的更新、存檔、恢復(fù)等工作，由軟件自動完成或手工完成。

3.PKI安全性分析

PKI是以公鑰加密為基礎(chǔ)的，為網(wǎng)絡(luò)安全提供安全保障的基礎(chǔ)設(shè)施。從理論上來講，是目前比較完善和有效的實現(xiàn)身份認證和保證數(shù)據(jù)完整性、有效性的手段，但在實際的實施中，仍有一些需要注意的問題。與PKI安全相關(guān)的最主要的問題是私有密鑰的存儲安全性。由于私有密鑰保存的責(zé)任是由持有者承擔(dān)的,而非PKI系統(tǒng)的責(zé)任。私鑰保存丟失,會導(dǎo)致PKI的整個驗證過程沒有意義。另一個問題是廢止證書時間與廢止證書的聲明出現(xiàn)在公共可訪問列表的時間之間會有一段延遲,這會使無效證書這一段時間內(nèi)被使用。另外，Internet使得獲得個人身份信息很容易,如身份證號等,一個人可以利用別人的這些信息獲得數(shù)字證書,而使申請看起來像來自別人。同時,PKI系統(tǒng)的安全很大程度上依賴于運行CA 的服務(wù)器、軟件等,如果黑客非法侵入一個不安全的CA服務(wù)器,就可能危害整個PKI系統(tǒng)。因此,從私鑰的保存到PKI系統(tǒng)本身的安全方面還要加強防范。在這幾方面都有比較好的安全性的前提下,PKI不失為一個保證網(wǎng)絡(luò)安全的一個非常合理和有效的解決方案。

三、結(jié)論

由于通過網(wǎng)絡(luò)進行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動缺少物理接觸，因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)。它能夠有效地解決電子商務(wù)應(yīng)用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應(yīng)該是安全的、易用的、靈活的和經(jīng)濟的。

參考文獻:

[1]Robert C Elsenpeter,Toby J Velte.電子商務(wù)技術(shù)指南[M].前導(dǎo)工作室譯.北京:機械工業(yè)出版社,2001

[2]李金庫張德運張勇:身份認證機制及其安全性分析.計算機應(yīng)用研究.2007

[3]吳曉平:PKI／CA在專用信息系統(tǒng)中的建設(shè)及應(yīng)用研究[D]．四川大學(xué)，2006

篇6

關(guān)鍵詞：電子簽章； PKI技術(shù)；數(shù)字簽名技術(shù)

1、系統(tǒng)概述

本電子簽章系統(tǒng)（以下簡稱本系統(tǒng)）基于B/S結(jié)構(gòu)，應(yīng)用自主創(chuàng)新的DBPacket通訊協(xié)議包技術(shù)，實現(xiàn)簽章服務(wù)器集中地對客戶端的簽章發(fā)放、吊銷、安全檢測、日志監(jiān)控等綜合管理；并支持分布式部署和分級管理，滿足大規(guī)?？蛻舳斯芾硇枨??？蛻舳瞬粌H支持插件技術(shù)，直接嵌入Word、Excel、HTML、PDF、WPS等系統(tǒng)應(yīng)用；同時支持任意可輸出打印的文件轉(zhuǎn)化成自主開發(fā)的GDF版式文件，經(jīng)簽名和蓋章后，將簽章信息與文件綁定，通過簽章驗證、數(shù)字證書、二維條碼、數(shù)字水印、打印控制等技術(shù)確保文檔防偽造、防篡改、防抵賴，安全可靠。其在技術(shù)實現(xiàn)途徑和安全應(yīng)用上具有創(chuàng)新性，在國內(nèi)同類產(chǎn)品處于領(lǐng)先水平。

數(shù)字簽名過程

2、系統(tǒng)技術(shù)簡析

2.1體系結(jié)構(gòu)

本系統(tǒng)由硬件和軟件兩部分構(gòu)成。

1）硬件部分

硬件部分是自帶存儲器和加密處理機制的智能密碼設(shè)備。用于存放用戶數(shù)字證書、用戶所屬標(biāo)識、單位印章或個人簽名信息；設(shè)備體積小、重量輕、安全性高、使用方便。

2）軟件部分

軟件部分由簽章客戶端軟件和簽章服務(wù)器軟件構(gòu)成。

2.1.1簽章客戶端軟件

實現(xiàn)在文檔上進行簽章，檢測文檔的真實性、有效性、鑒別簽章人的身份；

簽章客戶端軟件作為嵌入到Office中運行的軟件，必須符合Office軟件對第三方軟件的支持標(biāo)準(zhǔn)，否則無法在Office中正常運行，成熟的方式是采用ActiveX/COM技術(shù)，該技術(shù)為互連互通提供了標(biāo)準(zhǔn)軟件接口。簽章客戶端結(jié)合DBPacket?安全通訊協(xié)議包技術(shù)，實現(xiàn)和服務(wù)器端數(shù)據(jù)的安全、快速交換，確保簽章過程中及時檢測客戶端密鑰盤的合法性、有效性，并形成完整的電子簽章日志，以便日后查詢、統(tǒng)計。

簽章客戶端軟件實現(xiàn)在Office（WORD/EXCEL）文檔等文件上進行手寫簽名和加蓋印章；并可將簽章和文件信息綁定在一起，通過簽名驗證確保文檔防偽造、防篡改、防抵賴，安全可靠。

2.1.2簽章服務(wù)器軟件

實現(xiàn)對簽章鑰匙盤的啟用、吊銷、掛失等管理功能；同時實現(xiàn)對簽章的日志管理，包括查詢、統(tǒng)計等。

在實際使用過程中，可能會出現(xiàn)密鑰盤遺失的情況，這就要求系統(tǒng)具備掛失、吊銷等功能，否則，丟失的密鑰盤可能被他人非法使用。因此，鑰匙盤的有效性必須集中管理，必須由服務(wù)器軟件提供鑰匙盤的管理功能，僅由客戶端單方面軟件是無法實現(xiàn)的，缺乏服務(wù)器對鑰匙盤的管理功能，將給系統(tǒng)帶來嚴(yán)重的安全隱患。

2.2功能結(jié)構(gòu)

1）簽章服務(wù)器功能：密鑰盤管理、制章管理、日志審記、系統(tǒng)管理。

2）簽章軟件功能：文件簽章功能、簽章會簽功能、簽章驗證功能、身份認證功能、證書查看功能、撤消簽章功能、文件鎖定功能、文件解鎖功能、撤消原則定義、移動簽章功能、禁止移動簽章、讀取服務(wù)器時間。

2.3技術(shù)路線

2.3.1建立電子簽章信息的鑒別與管理系統(tǒng)

電子簽章信息是本系統(tǒng)的核心內(nèi)容，本系統(tǒng)通過嚴(yán)格的加密和簽名等措施，確保電子簽章信息的真實有效性，確保來源可靠，內(nèi)容不可篡改，使用必須授權(quán)，提供使用日志等方法進行管理，采取了如下技術(shù)方法：

(1)接受電子簽章圖片格式文件，根據(jù)特定算法，形成印章標(biāo)記，并生成全球唯一序列編碼。

(2)使用高強度加密算法或國密算法，對印章進行加密；對印章標(biāo)記本身進行密碼保護。

(3)為印章標(biāo)記產(chǎn)生公私鑰對，可對印章標(biāo)記和印章文件進行簽名驗證。

(4)印章標(biāo)記制作完成后，保存在電子智能密碼鑰匙盤上，確保印章信息的唯一性，不可復(fù)制性，僅供授權(quán)人使用。

(5)對印章進行嚴(yán)格管理，包括印章制作、印章發(fā)放、印章掛失、印章吊銷，印章備份等。

2.3.2采用PKI身份認證體系，實現(xiàn)簽章文件的有效性及簽章人身份的認證

PKI身份認證體系是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負責(zé)驗證數(shù)字證書持有者身份的一種體系。PKI體系結(jié)構(gòu)采用證書管理公鑰，通過第三方的可信機構(gòu)CA ，把用戶的公鑰和用戶的其他標(biāo)識信息（如名稱、單位、身份證號等）捆綁在一起，可以進行遠程用戶身份驗證，PKI 體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來，實現(xiàn)密鑰的自動管理，保證數(shù)據(jù)的機密性、完整性。

本系統(tǒng)采用PKI體系的主要目的是通過自動管理密鑰和證書，為用戶建立起一個安全可信的運行環(huán)境，使用戶在進行手寫簽名或加蓋印章時自動的使用數(shù)字簽名技術(shù)，對簽章文件進行電子簽名，從而保證數(shù)據(jù)的機密性、完整性、有效性，保證數(shù)據(jù)在傳輸過程中，不能被非授權(quán)者偷看，保證數(shù)據(jù)在傳輸過程中不能被非法篡改，保證數(shù)據(jù)不能被否認、抗抵賴，實現(xiàn)簽章文件的有效性及簽章人身份的認證。

2.3.3采用電子智能密碼鑰匙盤為印章和證書信息存儲載體

電子簽章系統(tǒng)涉及到兩個重要的數(shù)據(jù)信息，一是數(shù)字證書，二是印章信息；

在電子簽名法中對可靠的電子簽名提出了四點要求如下：

    (1)電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；

(2)簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；

(3)簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；

(4)簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)其中第一條和第二條，涉及到數(shù)字證書和印章信息僅由電子簽名人控制，不能夠被復(fù)制，否則，將帶來嚴(yán)重的安全隱患。

本系統(tǒng)嚴(yán)格遵循電子簽名法要求，采用eKey電子智能密碼鑰匙盤作為印章和證書信息存儲載體；eKey是通過了國家商業(yè)密碼管理委員會的商用密碼產(chǎn)品技術(shù)鑒定的硬件設(shè)備，自帶快速存儲器和加密處理機制，用于存放數(shù)字證書、印章或簽名信息。該設(shè)備通過USB接口和計算機連接，具有高安全性、通用性和易用性?？梢詾楸鞠到y(tǒng)提供強身份認證和數(shù)據(jù)存儲的多重功能，是高端應(yīng) 用領(lǐng)域的安全終端設(shè)備。

2.3.4針對不同應(yīng)用軟件需求，提供二次開發(fā)接口

電子簽章系統(tǒng)作為一種紙質(zhì)文件數(shù)字化產(chǎn)品，所提供的文件安全性，防抵賴性及身份可認證性，必將應(yīng)用到各種領(lǐng)域，為各種形式的軟件提供服務(wù)，因此，從系統(tǒng)的靈活性和應(yīng)用的廣泛性要求出發(fā)，必須提供豐富的二次開發(fā)接口，才能被其他應(yīng)用系統(tǒng)所支持。本系統(tǒng)采用COM接口技術(shù)，提供豐富的以XML為數(shù)據(jù)參數(shù)標(biāo)準(zhǔn)的接口功能。

3、系統(tǒng)關(guān)鍵技術(shù)

本系統(tǒng)主要是通過ActiveX技術(shù)，將軟件插入到文檔如Word、Excel、WPS、等各種數(shù)據(jù)中，結(jié)合PKI信息安全認證體系，應(yīng)用電子簽名技術(shù)和電子簽章技術(shù)，解決電子政務(wù)中電子公文和電子商務(wù)中電子合同的真實性，有效性，完整性，合法性，解決簽章人的身份可追溯性及防篡改，防偽造，防抵賴等問題，真正達到實現(xiàn)“無紙化”的目標(biāo)。

3.1關(guān)鍵技術(shù)

1）解決版式文件上的簽名蓋章問題；即電子簽章技術(shù)。

2）解決簽章文件防篡改，防偽造，防抵賴等問題；即電子簽名技術(shù)。

3）解決簽章文檔管理問題；即權(quán)限分配，打印控制等技術(shù)。

4）解決簽章文檔傳輸問題；即網(wǎng)絡(luò)傳輸安全，加密解密及壓縮等技術(shù)。

5）解決電子簽章系統(tǒng)與其他軟件接口問題；即提供二開發(fā)接口技術(shù)。

6）解決電子簽章系統(tǒng)在電子政務(wù)和電子商務(wù)領(lǐng)域的應(yīng)用集成問題。

3.2實現(xiàn)的依據(jù)

通過對文件進行簽章操作，配合硬件設(shè)備提供的數(shù)字證書和印章信息，結(jié)合電子簽名技術(shù)，實現(xiàn)對文件的簽章。被簽章文件通過安全傳輸系統(tǒng)和管理控制系統(tǒng)實現(xiàn)遠程訪問和打印等操作。

硬件采用通過USB接口和計算機相連的智能密碼鑰匙盤，用于存放數(shù)字證書、印章簽名信息。   

4、系統(tǒng)創(chuàng)新

本系統(tǒng)的創(chuàng)新性主要表現(xiàn)在實現(xiàn)了電子簽章技術(shù)、電子簽名技術(shù)、打印控制技術(shù)、網(wǎng)絡(luò)傳輸安全，加密解密及壓縮技術(shù)、提供二開發(fā)接口以及解決電子簽章系統(tǒng)在電子政務(wù)和電子商務(wù)領(lǐng)域的應(yīng)用集成問題。

4.1應(yīng)用創(chuàng)新

1）軟件與硬件相結(jié)合

系統(tǒng)采用軟件與硬件相結(jié)合的方式，實現(xiàn)電子簽章應(yīng)用，軟件部分實現(xiàn)電子簽章的功能，硬件部分保存數(shù)字證書和簽章信息，從而實現(xiàn)關(guān)鍵數(shù)據(jù)不可復(fù)制，只屬于簽名人所擁有的規(guī)定。（該規(guī)定屬于電子簽名法要求的內(nèi)容）

2）PKI應(yīng)用創(chuàng)新

本系統(tǒng)完美的將PKI（Public?Key?Infrastructure 即“公開密鑰體系”）體系應(yīng)用到電子簽章領(lǐng)域，很好的解決了電子政務(wù)和電子商務(wù)中的簽字蓋章問題，確保文檔來源真實、可信，達到了文檔防偽造、防篡改、防抵賴，文檔安全可靠。項目支持所有CA認證中心提供的符合X.509 V3國際標(biāo)準(zhǔn)的證書，符合國家公安部GA216.1-1999 完整性驗證標(biāo)準(zhǔn)。

4.2技術(shù)創(chuàng)新

1）防篡改技術(shù)

    經(jīng)過本系統(tǒng)蓋章后的文件，在文檔偽造、篡改、抵賴時，簽章系統(tǒng)通過智能識別技術(shù)，在簽章上自動顯示兩條橫線，表示無效的簽章，同時HTML格式提供可強制痕跡保留功能，查看被修改的內(nèi)容項。

2）手寫批注技術(shù)

在簽章同時，也能對文檔內(nèi)容進行手寫批注或文字批注，通過批注表現(xiàn)自己的想法，文字批注提供自定義常用詞功能。

3）脫密簽章技術(shù)

提供WORD/EXCEL/GDF文檔簽章脫密保護功能，允許用戶將文檔中簽章脫密保存，脫密成功后簽章生成為黑色，而非正式紅色簽章，該操作為不可逆，簽章將不具備有合法保護。方便用戶分發(fā)已經(jīng)簽章的文檔給第三方，保護簽章安全可靠。?

篇7

[關(guān)鍵詞]數(shù)字簽名PKI公鑰私鑰數(shù)字摘要Hash函數(shù)

一、引言

電子商務(wù)是伴隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展和計算機應(yīng)用的普及而產(chǎn)生的一種新型的商務(wù)交易形式。這種新型的國際貿(mào)易方式以其特有的優(yōu)勢（成本低、易于參與、對需求反映迅速等），已被愈來愈多的國家及不同行業(yè)所接受和使用。然而，在電子商務(wù)中一個最重要問題就是確保交易安全，為了確保數(shù)據(jù)傳輸安全及交易安全，不得不采取一系列的的安全技術(shù)，如加密技術(shù)、數(shù)字簽名、身份認證、密鑰管理、防火墻、安全協(xié)議等。本文就數(shù)字簽名技術(shù)作了較深刻探討，并給出了該技術(shù)的實現(xiàn)方法。

數(shù)字簽名是電子商務(wù)安全系統(tǒng)的核心技術(shù)，在信息安全，包括身份認證、數(shù)據(jù)完整性、不可否認性以及匿名性等方面有重要應(yīng)用，特別是在大型網(wǎng)絡(luò)安全通信中的密鑰分配、認證以及電子商務(wù)系統(tǒng)中具有重要作用。

二、數(shù)字簽名的概念

所謂數(shù)字簽名就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進行技術(shù)驗證，其驗證的準(zhǔn)確度是一般手工簽名和圖章驗證無法比擬的。數(shù)字簽名是目前電子商務(wù)、電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟的、可操作性最強的一種電子簽名方法。它采用了規(guī)范化的程序和科學(xué)化的方法，用于鑒定簽名人身份以及對一項電子數(shù)據(jù)內(nèi)容的認可。它還能驗證出文件的原文在傳輸過程中有無變動，確保傳輸電子文件的完整性、真實性、和不可抵賴性。

數(shù)字簽名在ISO7498-2標(biāo)準(zhǔn)中定義為“附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被進行偽造。美國電子簽名標(biāo)準(zhǔn)對數(shù)字簽名作了如下解釋：利用一套規(guī)則和一個參數(shù)對數(shù)據(jù)進行計算得到結(jié)果，用此結(jié)果能夠確認簽名者的身份和數(shù)據(jù)的完整性。按上述定義PKI（PublicKeyInfrastruction公鑰基礎(chǔ)設(shè)施）可以提供數(shù)據(jù)單元的密碼變換，并能使接收者判斷數(shù)據(jù)來源及對數(shù)據(jù)進行驗證。

三、數(shù)字簽名的原理

該技術(shù)在具體工作時，首先發(fā)送方對信息施以數(shù)學(xué)變換，所得的信息與原信息唯一對應(yīng)；在接收方進行逆變換，得到原始信息。只要數(shù)學(xué)變換方法優(yōu)良，變換后的信息在傳輸中就具有很強的安全性，很難被破譯、篡改。這一過程稱為加密，對應(yīng)的反變換過程稱為解密。

現(xiàn)在有兩類不同的加密技術(shù)，一類是對稱加密，雙方具有共享的密鑰，只有在雙方都知道密鑰的情況下才能使用，通常應(yīng)用于孤立的環(huán)境之中，比如在使用自動取款機（ATM）時，用戶需要輸入用戶識別碼（PIN），銀行確認這個號碼后，雙方在獲得密碼的基礎(chǔ)上進行交易，如果用戶數(shù)目過多，超過了可以管理的范圍時，這種機制并不可靠。

另一類是非對稱加密，也稱為公開密鑰加密，密鑰是由公開密鑰和私有密鑰組成的密鑰對，用私有密鑰進行加密，利用公開密鑰可以進行解密，但是由于公開密鑰無法推算出私有密鑰，所以公開的密鑰并不會損害私有密鑰的安全，公開密鑰無需保密，可以公開傳播，而私有密鑰必須保密，丟失時需要報告鑒定中心。

四、公鑰密碼技術(shù)原理

目前的數(shù)字簽名技術(shù)采用的就是這種公鑰密碼技術(shù)。即利用兩個足夠大的質(zhì)數(shù)與被加密原文相乘產(chǎn)生的積來加/解密。這兩個質(zhì)數(shù)無論是用哪一個與被加密的原文相乘（模乘），即對原文件加密，均可由另一個質(zhì)數(shù)再相乘來進行解密。但是，若想用這個乘積來求出另一個質(zhì)數(shù)，就要對大數(shù)進行質(zhì)因子分解，分解一個大數(shù)的質(zhì)因子是十分困難的，若選用的質(zhì)數(shù)足夠大，這種求解幾乎是不可能的。因此，將這兩個質(zhì)數(shù)稱為密鑰對，其中一個采用私密的安全介質(zhì)保密存儲起來，應(yīng)不對任何外人泄露，簡稱為“私鑰”；另一個密鑰可以公開發(fā)表，用數(shù)字證書的方式在稱之為“網(wǎng)上黃頁”的目錄服務(wù)器上，用LDAP協(xié)議進行查詢，也可在網(wǎng)上請對方發(fā)送信息時主動將該公鑰證書傳送給對方，這個密鑰稱之為“公鑰”。

公鑰密碼體制下的數(shù)字簽名技術(shù)實際上是通過一個單向Hash函數(shù)來實現(xiàn)的。信息的發(fā)送方從信息文本中生成一個128位的散列值（或消息摘要）。發(fā)送方用自己的私人密鑰對這個散列值進行加密形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為信息的附件和信息一起發(fā)送給信息的接收方。信息的接收方首先從接收到的原始信息中計算出128位的散列值（消息摘要），接著再用發(fā)送方的公用密鑰來對信息附加的數(shù)字簽名進行解密。如果兩個散列值相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的。

五、數(shù)字簽名技術(shù)的實現(xiàn)方法

建立在公鑰密碼基礎(chǔ)上的數(shù)字簽名方法有很多，RSA簽名、DSS簽名及Hash簽名等。其中Hash簽名是目前電子商務(wù)安全中最主要的數(shù)字簽名方法。下面我們就Hash簽名的詳細過程進行分析。

Hash簽名也稱之為數(shù)字摘要法（DigitalDigest）或數(shù)字指紋法（DigitalFingerPrint）。該數(shù)字簽名方法是將數(shù)字簽名與要發(fā)送的信息緊密聯(lián)系在一起，它更適合于電子商務(wù)活動。將一個商務(wù)合同的個體內(nèi)容與簽名結(jié)合在一起，比合同和簽名分開傳遞，更增加了可信度和安全性。數(shù)字摘要加密方法亦稱安全Hash編碼法（SHA：SecureHashAlgorithm）或MD5（MDStandardForMessageDigest），由RonRivest所設(shè)計。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋（FingerPrint），它有固定的長度，且不同的明文摘要必定一致。這樣這串摘要使可成為驗證明文是否是“真身”的“指紋”了。

只有加入數(shù)字簽名及驗證才能真正實現(xiàn)在公開網(wǎng)絡(luò)上的安全傳輸。加入數(shù)字簽名和驗證的文件傳輸過程如下：

1.方首先用哈希函數(shù)從原文得到數(shù)字簽名，然后采用公開密鑰體系用發(fā)達方的私有密鑰對數(shù)字簽名進行加密，并把加密后的數(shù)字簽名附加在要發(fā)送的原文后面。

2.發(fā)送方選擇一個密鑰對文件進行加密,并把加密后的文件通過網(wǎng)絡(luò)傳輸?shù)浇邮辗健?/p>

3.發(fā)送方用接收方的公開密鑰對密秘密鑰進行加密,并通過網(wǎng)絡(luò)把加密后的秘密密鑰傳輸?shù)浇邮辗健?/p>

4.接受方使用自己的私有密鑰對密鑰信息進行解密，得到秘密密鑰的明文。

5.接收方用秘密密鑰對文件進行解密，得到經(jīng)過加密的數(shù)字簽名。

6.接收方用發(fā)送方的公開密鑰對數(shù)字簽名進行解密，得到數(shù)字簽名的明文。

7.接收方用得到的明文和哈希函數(shù)重新計算數(shù)字簽名，并與解密后的數(shù)字簽名進行對比。如果兩個數(shù)字簽名是相同的，說明文件在傳輸過程中沒有被破壞。

數(shù)字簽名的實現(xiàn)過程如下：

如果第三方冒充發(fā)送方發(fā)出了一個文件，因為接收方在對數(shù)字簽名進行解密時使用的是發(fā)送方的公開密鑰，只要第三方不知道發(fā)送方的私有密鑰，解密出來的數(shù)字簽名和經(jīng)過計算的數(shù)字簽名必然是不相同的。這就提供了一個安全的確認發(fā)送方身份的方法。

安全的數(shù)字簽名使接收方可以得到保證：文件確實來自聲稱的發(fā)送方。鑒于簽名私鑰只有發(fā)送方自己保存，他人無法做一樣的數(shù)字簽名，因此他不能否認他參與了交易。

數(shù)字簽名的加密解密過程和私有密鑰的加密解密過程雖然都使用公開密鑰體系，但實現(xiàn)的過程正好相反，使用的密鑰對也不同。數(shù)字簽名使用的是發(fā)送方的密鑰對，發(fā)送方用自己的私有密鑰進行加密，接收方用發(fā)送方的公開密鑰進行解密。這是一個一對多的關(guān)系：任何擁有發(fā)送方公開密鑰的人都可以驗證數(shù)字簽名的正確性，而私有密鑰的加密解密則使用的是接收方的密鑰對，這是多對一的關(guān)系：任何知道接收方公開密鑰的人都可以向接收方發(fā)送加密信息，只有唯一擁有接收方私有密鑰的人才能對信息解密。在實用過程中，通常一個用戶擁有兩個密鑰對，一個密鑰對用來對數(shù)字簽名進行加密解密，一個密鑰對用來對私有密鑰進行加密解密。這種方式提供了更高的安全性。

六、結(jié)束語

數(shù)字簽名在電子商務(wù)活動中有效解決否認、偽造、篡改及冒充等問題。然而，我國數(shù)字簽名技術(shù)的研究和應(yīng)用剛剛起步，與國際先進水平有一定差距。在數(shù)字簽名的引入過程中不可避免地會帶來一些問題，需要進一步加以解決，數(shù)字簽名需要相關(guān)法律條文的支持。如需要立法機構(gòu)對數(shù)字簽名技術(shù)有足夠的重視，并且在立法上加快腳步，制定有關(guān)法律，以充分實現(xiàn)數(shù)字簽名具有的特殊鑒別作用，有力推動電子商務(wù)以及其他網(wǎng)上事務(wù)的發(fā)展。

隨著電子商務(wù)的蓬勃發(fā)展，數(shù)字簽名技術(shù)也將不斷成熟，為商務(wù)活動和人們的生活提供可靠、便利的服務(wù)。

參考文獻：

[1]劉亞松:電子商務(wù)概論.機械工業(yè)出版社,2005.9

篇8

一、電子認證及其含義

在了解電子認證之前，必須先了解什么是“公共密鑰”及“數(shù)字簽名”。

當(dāng)你在公共網(wǎng)絡(luò)如Internet上進行信息傳送時，別人很有可能把你的信息竊取。為了保證信息的安全，你就必須進行加密傳輸。公共密鑰加密是一種利用成對密鑰加解密的方法：一個公共密鑰（任何人都可以知道的）和一個私有密鑰（只限擁有者知道）。用公共密鑰加密的數(shù)據(jù)只能由相應(yīng)的私有密鑰進行解密。例如，如果你要給某人發(fā)送一則加密的信息，你就可以先用那個人的公共密鑰對這則信息進行加密，然后再送出去。這樣，這則信息就只有掌握著相對應(yīng)的私有密鑰的接受人才能讀取。為了證明你的確是某則信息的發(fā)送人，而非他人冒名頂替，那么你可以用你的私有密鑰先對這則信息加密再發(fā)送。別人就可以用你的公共密鑰解密以證明這則信息的確是你發(fā)出來的。

數(shù)字簽名可以證明某則信息的確是由某個人發(fā)出來的，并且可以保證該信息在傳送過程中沒有受到修改。在進行數(shù)字簽名時，先由一個hash算法從要發(fā)送的信息中得到一個定長的字符串，稱為“信息摘要”（Message Digest），然后對這個“摘要”用私有密鑰進行加密以作為數(shù)字簽名同時發(fā)送，從而保證信息是來自該發(fā)送者的。

什么是電子認證？由于在數(shù)字簽名的過程中，我們是用公共密鑰來驗證的，這樣公共密鑰屬主的認定工作就顯得非常重要。你必須能判斷出某個公共密鑰的確來自于他所聲稱的擁有者，而不是由其他冒名頂替者提供的。電子認證就是一個隨公共密鑰附帶的，用于表明該公共密鑰對應(yīng)的私有密鑰的確屬于某個組織或個人的證明文件。電子認證是由能夠保證這種擁有性的權(quán)威機構(gòu)提供的，這種權(quán)威機構(gòu)就稱為“認證機構(gòu)”，而電子認證一般又稱之為CA認證（Certificate Authority），認證的標(biāo)準(zhǔn)在ITU-T Recommendation X.509中有定義。

在傳統(tǒng)的書面合同或者其他法律行為中，我們可以通過當(dāng)事人各方在書面文件上簽字(蓋章)以證明其真實性，防止當(dāng)事人事后否認。在電子交易過程中，同樣需要一個具有權(quán)威公信力的第三者作為安全認證機構(gòu)(CA)對公開密鑰行使辨別及認證等管理職能，以防止發(fā)件人抵賴以及減少因密鑰丟失、被偷竊或被解密等風(fēng)險。有了此種第三方認證機構(gòu)的認證，將數(shù)字簽名與電子認證機構(gòu)的認證相互結(jié)合，就能夠解決前述數(shù)字簽名技術(shù)自身無法解決的行為主體違反信用、導(dǎo)致行為主體無法確認的問題。

二、電子認證需解決的法律問題

電子認證需解決電子商務(wù)的信任與安全問題，如果從交易流程的三個環(huán)節(jié)來分析，主要表現(xiàn)在以下幾個方面：

（一）主體身份的問題

網(wǎng)絡(luò)是一個虛擬的世界，基于開放的網(wǎng)絡(luò)交易環(huán)境，傳統(tǒng)交易通常所要求的驗證營業(yè)執(zhí)照、法人資格等都已無法做到，網(wǎng)上身份與現(xiàn)實身份二者的聯(lián)系有了間隙和分離。如何確認網(wǎng)絡(luò)環(huán)境中電子商務(wù)一方當(dāng)事人的真實身份成為電子商務(wù)開展的前提，如果交易對象的真實身份尚且都不敢確定，又怎能奢談合約內(nèi)容及判斷履約能力呢？

（二）交易內(nèi)容的證據(jù)

基于網(wǎng)絡(luò)中信息傳遞與記載數(shù)據(jù)電文的虛擬性，電子商務(wù)交易雙方經(jīng)邀約、承諾達成的電子合同這一系列的過程都在網(wǎng)絡(luò)中實現(xiàn)，傳統(tǒng)交易要求的“書面”及“簽名”都已無法做到。一旦產(chǎn)生糾紛，各方據(jù)理力爭明斷是非所依賴的就是這樣的“電子證據(jù)”。眾所周知，電子信息非常脆弱，在傳輸保存的過程中也極易被截獲竊取，更為重要的是究竟按照誰的電腦里記載的信息作為證據(jù)呢？

（三）電子合同的支付

傳統(tǒng)交易中的信用環(huán)境下，支付雙方尚且憂心忡忡，往往還會借助公證制度中的提存服務(wù)，何況是信用更為惡劣的網(wǎng)絡(luò)環(huán)境呢。

三、電子認證制度的目的

電子認證制度應(yīng)當(dāng)達到三個目的：一是確認信息發(fā)送人的身份，即防止有其他人盜用或者冒用身份。二是保證信息發(fā)送人的意思表示真實，即該信息發(fā)出后不能被自己和他人非法否認、修改或替換。三是信用公示，表明信息發(fā)送人的交易水平和信用水平。

（一）身份確認，即在交易前，對交易者身份真實性、合法性予以確認。在開放型電子商務(wù)環(huán)境下，每個企業(yè)、個人都可以自由地信息，使參加交易各方對相對方的資金實力、生產(chǎn)能力、履約能力和誠信水平都難以了解，如何識別、判斷參與交易各方的主體資格，確認商務(wù)交易者身份的真實性，防止欺詐，是開展電子商務(wù)活動的前提。對于參加交易的各方來說，保證交易成功比損失以后獲得賠償更為重要。如果交易各方的真實身份和信譽度沒有權(quán)威機構(gòu)進行認證，商務(wù)安全就無從談起。

（二）確認交易者的意思表示真實無誤。在傳統(tǒng)法律規(guī)定下的商務(wù)活動，合同的形式、成立、生效條件等問題均有明確的法律規(guī)定，但在網(wǎng)絡(luò)環(huán)境下，因技術(shù)或者環(huán)境的改變，會產(chǎn)生信息被誤傳、篡改或信息發(fā)送人否認意思表示的情況。經(jīng)驗交易者意思表示的真實性會受到這樣一些風(fēng)險的干擾：（1）否認風(fēng)險。是指數(shù)據(jù)電文發(fā)送人否認已發(fā)送電文，或接收人否認已接收電文的行為。（2）內(nèi)容異議風(fēng)險。是指數(shù)據(jù)電文發(fā)送人或接收人對相對人發(fā)送或收到電文的內(nèi)容提出異議，認為其內(nèi)容與自己所發(fā)、所收到的原件內(nèi)容不符。（3）舉證風(fēng)險。這是由于電文只能以數(shù)據(jù)形式儲存于計算機內(nèi)，很難確定其通過輸出設(shè)備打印出來的哪一份是“原件”，也很難證明其打印件與原始數(shù)據(jù)相符而未經(jīng)改動，也就是說打印件無法作為證明其內(nèi)容的直接證據(jù)。一方面，網(wǎng)絡(luò)故障和各種交易風(fēng)險等常會造成用戶郵件丟失，一旦在訴訟之前發(fā)生郵件丟失或毀損，當(dāng)事人如何證明其郵件內(nèi)容就成為一個難題；另一方面，即使郵件仍儲存于計算機中，由于相對人可以隨時刪除郵件或篡改郵件內(nèi)容，舉證人提供給法庭的郵件打印件從證據(jù)角度來說很難被法官采信，顯然這種打印件需要權(quán)威機構(gòu)認證真?zhèn)魏蠓侥茏鳛樽C據(jù)使用。

（三）信用公示，即交易方的能力與交易相匹配的資金實力、生產(chǎn)能力、合同履行能力和信用水平等。與一般的認證不同，電子商務(wù)中的認證，特別是身份認證和與之相關(guān)的延伸認證，還應(yīng)當(dāng)公示參與交易各方的信用水平。如果說電子認證要滿足的否認風(fēng)險、內(nèi)容異議風(fēng)險功能主要依靠技術(shù)手段的話，那么信用公示則必須依靠法律或制度手段，靠合理確定認證機構(gòu)，依法規(guī)范認證機構(gòu)的權(quán)利和義務(wù)來保證。

因此，設(shè)立電子認證機構(gòu)，除了要考慮其是否具備必要的技術(shù)水平，是否具備隨電子交易發(fā)展不斷更新認證技術(shù)的能力之外，更要進一步考慮其是否具備如下幾個方面的能力：第一，確認交易主體身份真實性的能力；第二，認證證書能否作為直接證據(jù)被普遍采用的能力；第三，認證機構(gòu)的中立性、公正性和權(quán)威性。

四、電子認證中公證的應(yīng)用價值

網(wǎng)絡(luò)公證則是迎合網(wǎng)絡(luò)時代和電子商務(wù)發(fā)展的迫切需要，是網(wǎng)絡(luò)公證機構(gòu)利用電子技術(shù)在網(wǎng)絡(luò)中對具有法律意義的事件、法律行為、文書進行證明并賦予其法定效力的活動，是傳統(tǒng)的公證職能和國家司法證明權(quán)在網(wǎng)絡(luò)上的延伸和發(fā)展，是傳統(tǒng)公證與現(xiàn)代網(wǎng)絡(luò)的契合。例如對網(wǎng)絡(luò)中的當(dāng)事人身份及行為的確認、侵權(quán)事實、內(nèi)容及取證、電子合同的成立、變更與解除、電子合同條款、網(wǎng)上招標(biāo)投標(biāo)及數(shù)據(jù)信息的保密、完整等進行公證并加以固定和控制。在當(dāng)前的網(wǎng)絡(luò)技術(shù)條件下，網(wǎng)絡(luò)公證能夠控制電子商務(wù)所帶來的特殊風(fēng)險，促使當(dāng)事人更廣泛地訂立電子合同，證明侵權(quán)事實和程度，成為維護網(wǎng)絡(luò)中當(dāng)事人合法權(quán)益的守護神。

其一，從我國企業(yè)的信用來看，網(wǎng)絡(luò)公證將對電子商務(wù)的全面發(fā)展具有不可替代的推動作用。電子商務(wù)認證解決的是交易當(dāng)事人之間的信用問題。有哪些實體來擔(dān)任認證機構(gòu)，則是每個國家和地區(qū)在發(fā)展電子商務(wù)時所必須做出選擇的問題。多年來，我國企業(yè)（主要指國營企業(yè)）的信用，往往需要政府予以補充，實際上就是以國庫的財產(chǎn)來擔(dān)保。盡管經(jīng)濟體制改革之后，上述情況有所改觀，但是要讓企業(yè)在無形的電子商務(wù)市場上充當(dāng)交易信用的中介人，確實還要有一個市場接受的過程。而公證機構(gòu)憑借其專職進行法律事實證明的位置和經(jīng)驗，以及為大眾所接受的優(yōu)勢，開展網(wǎng)絡(luò)公證業(yè)務(wù)，對我國電子商務(wù)的普遍推廣而言，具有一般企業(yè)提供的認證服務(wù)所不可替代的積極作用。

其二，從利益關(guān)系上看，公證機構(gòu)作為中立第三方，有明顯的優(yōu)越性。銀行、電信系統(tǒng)或網(wǎng)絡(luò)公司，本身是服務(wù)性盈利企業(yè)，并且自身在電子商務(wù)交易中是服務(wù)提供者，是廣義的電子商務(wù)交易人，具有與其他電子商務(wù)交易人相沖突的利益。由他們擔(dān)任電子商務(wù)認證機構(gòu)，很難處于中立地位。加之多年來我國銀行、電信處于壟斷經(jīng)營的地位，其服務(wù)經(jīng)常是價高而質(zhì)次，消費者對之早已是意見紛紛，雖說這些機構(gòu)近年來轉(zhuǎn)變機制，面向市場經(jīng)營，但它們在社會大眾中的印象尚未徹底改變。公證機構(gòu)專門以法律事實的證明為己任，并不向電子商務(wù)交易人提供其他的商業(yè)，不僅處于無直接利害關(guān)系的第三方，而且從情感上也容易被網(wǎng)絡(luò)交易當(dāng)事人所接受。公證機構(gòu)是自主開展業(yè)務(wù)、獨立承擔(dān)責(zé)任、按市場規(guī)律和自律機制運行的公益性、非營利性的中介組織，符合聯(lián)合國《電子商務(wù)示范法》規(guī)定的認證機構(gòu)必須具備的條件。中立，才能有效地為客戶提供服務(wù)而不失信譽；獨立和非贏利，沒有利害關(guān)系，才能真正獲得交易雙方的信任。

其三，從職能上看，公證機構(gòu)介入電子商務(wù)認證機構(gòu)，有利于緩解我國現(xiàn)行法規(guī)與電子商務(wù)發(fā)展相沖突的狀況。目前，我國的電子商務(wù)的立法較為滯后，調(diào)整電子商務(wù)合同的專項法律法規(guī)尚未出臺，因而對于電子商務(wù)的推廣，仍有許多的法律障礙，如果公證機構(gòu)開展網(wǎng)絡(luò)公證業(yè)務(wù)，則可能在一定程度上克服這些困難。我國的公證業(yè)務(wù)與美英國家的不同，即我國實行的是實質(zhì)性公證審查，不但要對事實的真實性做出證明，還負有對行為合法性的審查，要求比較高，這表現(xiàn)在公證程序的完備和對從業(yè)人員的素質(zhì)要求等方面。通常由我國國家公證機構(gòu)做出的證明，法院都直接作為有效證據(jù)采用，除非有相反的證據(jù)予以。公證有著其自身的嚴(yán)謹程序，依法進行相關(guān)證明活動。公證作為一項法律制度延伸到網(wǎng)絡(luò)之中解決電子商務(wù)的安全信用問題，構(gòu)建電子商務(wù)的信用平臺，從制度層面解決電子商務(wù)的發(fā)展“瓶頸”。

其四，從證明手段上看，公證優(yōu)于其他證明手段。 公證是一種預(yù)防性的法律證明制度，依法對法律行為、有法律意義的事實和文書的真實性、合法性予以證明。其證明內(nèi)容的廣泛性，證明形式的多樣性，能夠滿足電子商務(wù)所需的認證多種多樣的要求。公證文書不受人員、語言、地域、行政隸屬關(guān)系的左右，是經(jīng)濟交往和國際交往的重要媒介，是國際通行的法律文書。在現(xiàn)有網(wǎng)絡(luò)技術(shù)條件下，建立以公證為主體的電子商務(wù)認證機構(gòu)，無疑是控制電子商務(wù)特殊風(fēng)險，促使電子商務(wù)發(fā)展的有效法律手段。

五、公證系統(tǒng)的網(wǎng)絡(luò)構(gòu)筑

公證系統(tǒng)計算機網(wǎng)絡(luò)化智能公證辦證系統(tǒng)可采用公證處內(nèi)部以以太網(wǎng)建設(shè)，而公證處與公證管理部門之間以ATM網(wǎng)建設(shè)。公證辦證系統(tǒng)是計算機網(wǎng)絡(luò)化智能辦證系統(tǒng)的重要組成部分。實現(xiàn)智能辦證就是利用先進的技術(shù)和設(shè)備來提高辦公室效率和辦公質(zhì)量，改善辦公條件，減輕勞動強度，實現(xiàn)管理和決策的科學(xué)化，防止和減少人為的差錯和失誤，它是多層次的技術(shù)、設(shè)備和系統(tǒng)的綜合。一個完整的智能化辦證系統(tǒng)應(yīng)該包括信息的生成與輸入、信息的加工與處理、信息的存儲與檢索、信息的復(fù)制、信息的傳輸與交流以及信息的安全管理等功能。

網(wǎng)絡(luò)公證從技術(shù)運作上講，在網(wǎng)上操作非?？旖荨．?dāng)事人雙方確定對數(shù)據(jù)電文內(nèi)容予以公證，只需在自己的電腦中下達一些指令，該數(shù)據(jù)電文內(nèi)容就會被加密傳送到網(wǎng)絡(luò)公證中心。網(wǎng)絡(luò)公證員對雙方的數(shù)據(jù)核實無誤后，加入自己的數(shù)字公證，并留存一份，對一份數(shù)據(jù)電文的公證也就完成了，省時、省力且準(zhǔn)確性也高。當(dāng)然，網(wǎng)絡(luò)公證要真正投入實踐仍需要規(guī)則和技術(shù)兩個方面的完善，比如，CA認證中公證離線審查業(yè)務(wù)、審查環(huán)節(jié)、審查細則；電子商務(wù)合同中數(shù)據(jù)證明的具體實現(xiàn)方式；相關(guān)網(wǎng)絡(luò)公證軟件的開發(fā)、技術(shù)標(biāo)準(zhǔn)、操作規(guī)則和流程等，都需要進一步從理論和實踐上進行探討。

篇9

一、手機銀行常見法律風(fēng)險

（一）犯罪分子未經(jīng)客戶授權(quán)手機銀行交易的法律風(fēng)險

手機銀行交易流程如下：客戶輸入客戶號、登錄密碼及附加碼，銀行收到上述信息后按與客戶約定對上述電子簽名信息進行核實無誤，識別客戶身份后，按客戶指令進行交易。因此，手機銀行中的身份識別是首要的問題，如果不解決身份識別問題，手機銀行的安全和信用都無法建立。但在實務(wù)中，客戶的密碼或電子簽名經(jīng)常被冒用，出現(xiàn)這一問題主要有以下三方面原因：一是客戶保管密碼和電子簽名不善，導(dǎo)致密碼和電子簽名丟失被他人冒用；二是犯罪分子通過黑客軟件盜取客戶密碼和電子簽名后冒用；三是客戶被犯罪分子欺騙，把密碼和電子簽名泄露給了犯罪分子而被冒用?？蛻裘艽a和電子簽名被冒用后客戶資金損失，出現(xiàn)民事糾紛。對這一類型民事糾紛責(zé)任劃分，我國的法律、規(guī)章規(guī)定存在矛盾?！吨腥A人民共和國電子簽名法》、人民銀行《電子支付指引》規(guī)定銀行只要按“發(fā)件人認可的方法對數(shù)據(jù)電文進行驗證后結(jié)果相符的”，視為發(fā)件人發(fā)送，銀行就沒有過錯，不承擔(dān)違約責(zé)任。而銀監(jiān)會《電子銀行業(yè)務(wù)管理辦法》規(guī)定“：金融機構(gòu)在提供電子銀行服務(wù)時，因電子銀行系統(tǒng)存在安全隱患、金融機構(gòu)內(nèi)部違規(guī)操作和其他非客戶原因等造成損失的，金融機構(gòu)應(yīng)當(dāng)承擔(dān)相應(yīng)責(zé)任。因客戶有意泄漏交易密碼，或者未按照服務(wù)協(xié)議盡到應(yīng)盡的安全防范與保密義務(wù)造成損失的，金融機構(gòu)可以根據(jù)服務(wù)協(xié)議的約定免于承擔(dān)相應(yīng)責(zé)任，但法律法規(guī)另有規(guī)定的除外?！币簿褪钦f，只有銀行能證明客戶存在有意泄漏交易密碼，或者未按照服務(wù)協(xié)議盡到應(yīng)盡的安全防范與保密義務(wù)時才推定銀行沒有過錯，不承擔(dān)責(zé)任，否則，推定銀行有過錯，應(yīng)承擔(dān)責(zé)任。筆者認為，因法律的效力大于規(guī)章，應(yīng)適用《中華人民共和國電子簽名法》的規(guī)定劃分客戶與銀行責(zé)任，即銀行有過錯才有承擔(dān)責(zé)任，銀行無過錯，不承擔(dān)責(zé)任。但實務(wù)中，法院常以客戶為弱者，應(yīng)加強銀行責(zé)任為由，適用銀監(jiān)會《電子銀行業(yè)務(wù)管理辦法》的規(guī)定劃分客戶與責(zé)任，加大了銀行的風(fēng)險。

（二）不適當(dāng)執(zhí)行手機銀行指令的法律風(fēng)險

不適當(dāng)執(zhí)行手機銀行指令，指客戶通過電子簽名驗證后發(fā)出了正確的交易指令，但銀行由于系統(tǒng)或通訊故障等原因，對指令給予了不適當(dāng)?shù)膱?zhí)行；或指令是客戶發(fā)出的，但其發(fā)出的指令是無權(quán)指令，銀行仍予以執(zhí)行。實務(wù)中，不適當(dāng)執(zhí)行手機銀行指令主要包括以下四種情況：

1.未執(zhí)行手機銀行指令

客戶發(fā)出手機銀行交易指令后，銀行因系統(tǒng)或通訊故障的原因未執(zhí)行客戶指令，出現(xiàn)這種情況，銀行須根據(jù)《合同法》的規(guī)定承擔(dān)違約責(zé)任。銀行承擔(dān)的第一個責(zé)任是繼續(xù)履行，對此，人民銀行《電子支付指引》亦有明文規(guī)定“接收行由于自身系統(tǒng)或內(nèi)控制度等原因?qū)﹄娮又Ц吨噶钗磮?zhí)行、未適當(dāng)執(zhí)行或遲延執(zhí)行致使客戶款項未準(zhǔn)確入賬的，應(yīng)及時糾正”；在繼續(xù)履行后，如果未執(zhí)行客戶指令給客戶造成損失的，銀行應(yīng)賠償客戶的損失，賠償損失的范圍包括直接損失和間接損失，但間接損失不超過銀行與客戶訂立合同時預(yù)見到或者應(yīng)當(dāng)預(yù)見到的因違反合同可能造成的損失。

2.執(zhí)行指令不符合約定

客戶發(fā)出手機銀行交易指令后，銀行因系統(tǒng)或通訊故障的原因錯誤執(zhí)行了客戶的指令。常見錯誤執(zhí)行了客戶的指令情形如下：一是出現(xiàn)長款或短款，交易金額不符合客戶指令；二是轉(zhuǎn)賬對象不符合客戶指令，把錢轉(zhuǎn)給了客戶指定之外的第三人。出現(xiàn)錯誤執(zhí)行客戶指令的情況，銀行應(yīng)根據(jù)《合同法》的規(guī)定采取補救措施；采取補救措施后還應(yīng)承擔(dān)繼續(xù)履行合同的義務(wù)，即按客戶正確的指令繼續(xù)履行合同；錯誤執(zhí)行客戶指令給客戶造成損失的，應(yīng)賠償客戶的損失。

3.遲延執(zhí)行指令

客戶發(fā)出手機銀行交易指令后，銀行因系統(tǒng)或通訊故障的原因遲延執(zhí)行了客戶的指令。遲延執(zhí)行指令應(yīng)根據(jù)《合同法》的規(guī)定繼續(xù)履行合同，如果遲延履行客戶指令給客戶造成損失的，銀行應(yīng)賠償客戶的損失，賠償損失的范圍包括直接損失和間接損失，但間接損失不超過銀行與客戶訂立合同時預(yù)見到或者應(yīng)當(dāng)預(yù)見到的因違反合同可能造成的損失。

4.客戶無權(quán)撤銷指令，銀行越權(quán)回轉(zhuǎn)交易資金

因客戶的原因下達了錯誤的指令，通過電子簽名驗證后銀行據(jù)此予以執(zhí)行，執(zhí)行完畢后客戶以其指令錯誤，要求銀行撤銷，銀行越權(quán)給予撤銷。這種情形實務(wù)中常見有以下二種情形，一是下達了錯誤的轉(zhuǎn)賬金額指令，比如，客戶實際想轉(zhuǎn)1000元，但通過手機銀行下達了轉(zhuǎn)賬10000元的指令；二是下達了錯誤的轉(zhuǎn)賬對象指令，例如，客戶想轉(zhuǎn)賬給張三，但通過手機銀行下達了轉(zhuǎn)賬給李四的指令。出現(xiàn)上述情形，客戶的第一反應(yīng)是要求銀行撤銷手機銀行交易。由于錢已轉(zhuǎn)到第三人賬戶，根據(jù)支付結(jié)算交易“誰的錢，進誰的賬，由誰支配”原則，此時錢已經(jīng)由第三人支配，客戶發(fā)出的撤銷指令是無效的，如果銀行儲蓄網(wǎng)點據(jù)此執(zhí)行，則侵犯了第三人的所有權(quán)，應(yīng)對第三人承擔(dān)賠償責(zé)任。

(三)風(fēng)險提示不充分的法律風(fēng)險

手機銀行常見的一個詐騙手法是：犯罪分子采取承諾貸款、合伙做生意等誘惑，利用客戶對手機銀行業(yè)務(wù)不熟悉的情況，欺騙客戶在開立銀行卡的同時開立使用犯罪分子手機號的手機銀行，在客戶銀行卡存入資金后，即時通過手機銀行轉(zhuǎn)走銀行卡資金，形成客戶和銀行民事糾紛。出現(xiàn)糾紛，客戶常以銀行沒有充分向其介紹手機銀行業(yè)務(wù)，特別是揭示手機銀行的風(fēng)險，要求銀行承擔(dān)其資金損失的賠償責(zé)任。銀行則以手機銀行是客戶自己開的，密碼也是其自愿給犯罪分子的為由，主張資金損失應(yīng)由客戶自行承擔(dān)。對此爭議，一種觀點認為：客戶應(yīng)對其自行開通的手機銀行及密碼保管不善自行承擔(dān)責(zé)任；另一種觀點認為：對于資金的損失，客戶存在重大過錯，但銀行作為手機銀行的服務(wù)提供者，應(yīng)該讓客戶充分了解手機銀行服務(wù)的內(nèi)容及其特點，特別是其風(fēng)險，銀行在客戶沒充分了解手機銀行功能特點情況下，給客戶開通手機銀行，因此應(yīng)對資金損失承擔(dān)一定比例的責(zé)任。

二、防范手機銀行法律風(fēng)險的意見建議

基于當(dāng)前手機銀行法律風(fēng)險存在的現(xiàn)實情況，筆者建議從以下方面做好手機銀行法律風(fēng)險的防范化解工作。

（一）建立統(tǒng)一的手機銀行風(fēng)險控制平臺

銀行建立統(tǒng)一的手機銀行風(fēng)險控制平臺，風(fēng)險控制平臺收集客戶交易行為數(shù)據(jù)庫、客戶不良交易記錄等，對手機銀行交易進行實時監(jiān)控，發(fā)現(xiàn)可疑交易及時阻斷，對可疑交易進行事中干預(yù)、事后核實、事后提醒，減少手機銀行交易的法律風(fēng)險。

（二）進一步完善手機銀行合同文本，防范法律風(fēng)險

完善手機銀行合同文本，明確出現(xiàn)手機銀行法律風(fēng)險時區(qū)分銀行與客戶責(zé)任的原則。在合同中約定出現(xiàn)手機銀行法律風(fēng)險時，銀行承擔(dān)責(zé)任的原則是過錯責(zé)任原則而不是過錯推定責(zé)任原則，即銀行存在過錯才承擔(dān)責(zé)任，不存在過錯出現(xiàn)法律風(fēng)險的由客戶自行承擔(dān)。除此之外，要特別強調(diào)客戶妥善保管密碼責(zé)任及違反上述義務(wù)時的責(zé)任，通過明確客戶責(zé)任提高客戶防范手機銀行法律風(fēng)險的積極性。

（三）加強手機銀行業(yè)務(wù)全流程管理，真正做到“賣者有責(zé)”

銀行要改革激勵考核制度，加強全流程管理，切實改變手機銀行的發(fā)展模式。一是規(guī)范手機銀行開立。要向客戶全面、準(zhǔn)確、沒有誤導(dǎo)地披露信息，充分揭示手機銀行風(fēng)險，并向手機銀行客戶持續(xù)宣傳安全用知識以及手機銀行犯罪新手段、新動向，提高手機銀行客戶風(fēng)險防范意識和能力。二是加強手機銀行規(guī)章制度的執(zhí)行和操作風(fēng)險管理。要求銀行員工嚴(yán)格執(zhí)行有關(guān)手機銀行的規(guī)章制度，不能為了拓展客戶降低手機銀行風(fēng)險管理的要求。三是建立媒體輿情監(jiān)測制度，加強投訴管理的規(guī)范化建設(shè)。建立有效的受理客戶投訴和糾紛處理機制，建立專門的渠道與制度為手機銀行客戶提供針對性幫助，提高對手機銀行客戶的服務(wù)響應(yīng)速度，積極阻止損失進一步擴大。同時，要注意避免矛盾激化造成聲譽損失。

篇10

關(guān)鍵字密碼中間件;電子商務(wù);交易模型;信息安全;CAPICOM

隨著Internet的不斷普及，人們的消費觀念和商務(wù)模式也發(fā)生了巨大了變化，人們更希望通過網(wǎng)絡(luò)的便利來進行網(wǎng)絡(luò)采購和交易，從而導(dǎo)致了（ElectronicCommerce）電子商務(wù)的出現(xiàn)，并在世界范圍內(nèi)掀起了一股熱潮。但是，美國密執(zhí)安大學(xué)一個調(diào)查機構(gòu)通過對23000名因特網(wǎng)用戶的調(diào)查顯示[1]，超過60%的人由于擔(dān)心電子商務(wù)的安全問題而不愿進行網(wǎng)上購物。因此，研究和分析電子商務(wù)的信息安全問題，特別是針對我國國情，充分借鑒國外的先進技術(shù)和經(jīng)驗，開發(fā)和研究出具有獨立知識產(chǎn)權(quán)的電子商務(wù)信息安全產(chǎn)品，成為目前我國電子商務(wù)的熱點。

電子商務(wù)中的安全隱患可分為如下幾類[2]，1.信息截獲和竊取。如果沒有采用加密措施或加密強度不夠，攻擊者可能通過因特網(wǎng)、電話網(wǎng)、電磁波輻射域內(nèi)安裝截收裝置或在網(wǎng)關(guān)和路由器上截獲數(shù)據(jù)等方式，竊取機密信息，或通過對信息流量和流向、通信頻度和長度等參數(shù)的分析，導(dǎo)出有用信息，如銀行帳號、密碼等；2.信息篡改。如果攻擊者熟悉了網(wǎng)絡(luò)信息格式，可對網(wǎng)絡(luò)傳輸?shù)男畔⑦M行中途修改，并發(fā)往目的地，從而破壞信息完整性。如篡改信息流的次序，更改信息內(nèi)容；3.信息假冒。當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息以后，可以假冒合法用戶來欺騙其他用戶，例如偽造電子郵件，虛開網(wǎng)站和商店，發(fā)送電子郵件，收定貨單；偽造大量用戶窮盡商家資源，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，使有嚴(yán)格時間要求的服務(wù)不能及時得到響應(yīng)等；4.交易抵賴。交易抵賴包括多個方面，如發(fā)信者事后否認曾經(jīng)發(fā)送過某條信息或內(nèi)容，收信者事后否認曾經(jīng)收到過某條消息或內(nèi)容，購買者做了定貨單不承認，商家賣出的商品因價格差而不承認原有的交易。

電子商務(wù)面臨的威脅直接導(dǎo)致了電子商務(wù)對于信息安全的需求，也就是實現(xiàn)一個安全電子商務(wù)系統(tǒng)務(wù)必具備的信息安全品質(zhì)，主要包括機密性、完整性、認證性和不可抵賴性。1.秘密性（Confidentiality），電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的如Internet，維護商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。2.完整性（DataIntegrity），電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致混亂。因此，要預(yù)防對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。3.認證性（VerificationofIdentity），網(wǎng)絡(luò)電子商務(wù)交易系統(tǒng)的特殊性，企業(yè)或個人的交易通常都是在虛擬的網(wǎng)絡(luò)環(huán)境中進行，所以對個人或企業(yè)實體進行身份性確認成了電子商務(wù)中得很重要的一環(huán)。對人或?qū)嶓w的身份進行鑒別，為身份的真實性提供保證，即交易雙方能夠在相互不見面的情況下確認對方的身份。這意味著當(dāng)某人或?qū)嶓w聲稱具有某個特定的身份時，鑒別服務(wù)將提供一種方法來驗證其聲明的正確性。4.不可抵賴性（Non-repudiationofDisputedCharges）。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進行交易的貿(mào)易方的確是進行交易所期望的貿(mào)易方這一問題則是保證電子商務(wù)順利進行的關(guān)鍵。在傳統(tǒng)紙面貿(mào)易中，雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。這也就是人們常說的"白紙黑字"。在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識[3]。

中間件是獨立的系統(tǒng)軟件或服務(wù)程序,它屏蔽了操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議的差異,并提供相應(yīng)的平臺以滿足不同領(lǐng)域的需要。它成功地解決了網(wǎng)絡(luò)計算和分布計算環(huán)境下資源的通信，共享，管理，控制等問題[3]。其技術(shù)本身很復(fù)雜，技術(shù)標(biāo)準(zhǔn)多，產(chǎn)品多。在Windows技術(shù)體系下，應(yīng)用最為廣泛的是DEC/RPC標(biāo)準(zhǔn)下的COM/DCOM，和DNA標(biāo)準(zhǔn)下的COM+。在諸多行業(yè)應(yīng)用中，信息安全特性已成為軟件的一個重要品質(zhì)，密碼服務(wù)也成為一個重要的構(gòu)件支撐，基于中間件技術(shù)來構(gòu)造密碼中間件成為當(dāng)前的主流技術(shù)路線，涌現(xiàn)出相當(dāng)成功的產(chǎn)品，如微軟的CAPICOM，SUN的CryptoJava。

Windows操作系統(tǒng)采用分層的加密體系模型CSP密碼服務(wù)提供者（CryptographicServiceProvider）架設(shè)系統(tǒng)安全。CSP提供了齊全的具有密碼功能的Win32API函數(shù)供程序員調(diào)用，稱為CryptoAPI。然而，調(diào)用CryptAPI完成密碼操作仍然相當(dāng)復(fù)雜。[5]使用COM，開發(fā)人員可以把注意力集中在解決用戶所需要的問題上．而不用關(guān)心網(wǎng)絡(luò)協(xié)議等底層結(jié)構(gòu)的細節(jié)。[4]微軟提供了CAPICOM組件，它以COM對象的形式封裝了上述的復(fù)雜操作，使用它獲取密碼服務(wù)更方便。因為在不同的開發(fā)環(huán)境中，往往先要對API函數(shù)進行某種封裝或轉(zhuǎn)換，這增加了使用難度，CAPICOM以中間件的形式提供了一個標(biāo)準(zhǔn)的密碼應(yīng)用層接口，是介于應(yīng)用與CSP之間的中間層，使得應(yīng)用與CSP具有邏輯獨立性。

在工作時，CAPICOM按一定順序列檢索CSP。首先檢查缺省CSP是否支持用戶指定的算法及密鑰長度，如果失敗，則搜索系統(tǒng)提供的CSP，并判斷其是否支持指定的算法和密鑰長度，直至遍歷完所有CSP。兩者關(guān)系如圖1所示。

安全電子商務(wù)交易模型從組成來講一般有以下幾個組件[6]：（1）電子商店作為電子經(jīng)濟中買賣發(fā)生的場所，它從傳統(tǒng)的市場渠道中取得價值。（2）信息中介是內(nèi)容、信息、知識及經(jīng)驗的商，能夠成為某一特定電子商務(wù)領(lǐng)域增加價值。（3）信用中介是在買賣雙方建立信用的機構(gòu)。（4）電子商務(wù)實施者為其他電子商店或信息中介提供組件、功能及相關(guān)服務(wù)，使得電子商務(wù)得以進行或者進行得更好。（5）基礎(chǔ)設(shè)施供應(yīng)商作為由跨越不同領(lǐng)域機構(gòu)，如NII（國家信息化設(shè)施），PKI（公鑰基礎(chǔ)設(shè)施）等，它們來提供網(wǎng)絡(luò)應(yīng)用平臺和安全交易全環(huán)境。

從電子商務(wù)系統(tǒng)的架構(gòu)上來分類[6]，主要有B2B和B2C。B2B模式下參與的雙方都是企業(yè)，特點是定單數(shù)量大，平均在75000美元，需要商業(yè)洽談，按照固定合同條款和商業(yè)規(guī)則進行交易。信用開始是依托信用卡，爾后需要更復(fù)雜的銀行信用管理系統(tǒng)，基礎(chǔ)設(shè)施包括局域網(wǎng)、定制的目錄和流程規(guī)則；B2C模式下是顧客直接與商家接觸，特點是定單數(shù)量小，平均在75美元，主要是按價目表或者固定價格，屬于沖動購買或者偶爾購買，所以廣告的作用很大。信用依靠消費者信用卡，基礎(chǔ)設(shè)施主要是互聯(lián)網(wǎng)的鏈接。

僅就交易工作流而言，它有很多業(yè)務(wù)需求如：客戶管理，商品瀏覽，身份認證，訂單管理，配送和轉(zhuǎn)賬等，本文當(dāng)中，重點討論在密碼服務(wù)和安全性上的需求，通過實施安全性措施，確保在交易的生命周期當(dāng)中，在交易信息的運動過程中，敏感信息不會喪失信息安全性。

在交易流程中，證書的操作主要有：證書庫的打開，證書檢索，證書驗證，證書加密數(shù)據(jù)和數(shù)字簽名CryptoAPI只提供了基本的密碼函數(shù)，對于數(shù)字證書很少涉及，而CAPICOM組件對這些高層應(yīng)用服務(wù)提供了方便的接口。

圖2十六進制形式密文和解密結(jié)果

圖3簽名過程

圖4十六進制形式密文和解密結(jié)果

WINDOWS平臺中，證書存于證書庫CertStore的結(jié)構(gòu)中，使用時必檢索證書庫，取得證書句柄，獲得證書的基本信息如：有效期，公鑰等，同時，還要對證書的有效性進行驗證。私鑰存于密鑰容器中（KeyContainer）,有對應(yīng)私鑰的證書，還存有私鑰容器的句柄。[4]默認的證書庫有4個：Trust,My,CA,Root，其中My存放了個人的證書，其中還有私鑰容器句柄，Trust存放了通信群體中其它人的證書，僅公鑰。證書的管理必須用到CAPICOM的幾個接口：IStorePtr指向證書庫，ICertificates2Ptr指向證書集合，ICertificatePtr指向證書，三個接口形成操作證書的三級索引。

圖5驗證過程

證書加密實際是用接收方證書的公鑰加密，過程有兩步：用公鑰加密對稱密鑰，用對稱密鑰加密數(shù)據(jù)如支付的信息：客戶帳號和PIN碼等。CAPICOM定義的對象IenvelopedDataPtr對兩步進行了包裝，對于編程人員是透明的。

⑴定義數(shù)據(jù)信封

IEnvelopedDataPtrpEncryptIEnvelopedData(__uuidof

(EnvelopedData));

IEnvelopedDataPtrpDecryptIEnvelopedData(__uuidof

(EnvelopedData));

⑵設(shè)定算法參數(shù)和對稱密鑰長度

CAPICOM對密碼算法的標(biāo)識標(biāo)準(zhǔn)和密鑰長度進行了定義，以常量形式給出。這里以RC4為例。

pEncryptIEnvelopedData->Algorithm->Name=CAPICOM_ENCRYPTION_ALGORITHM_RC4;

pEncryptIEnvelopedData->Algorithm->KeyLength=CAPICOM_ENCRYPTION_KEY_LENGTH_40_BITS;

⑶加密

bstrtemp=SysAllocStringByteLen("HelloCapicom!",14);

_bstr_ta.Assign(bstrtemp);

pEncryptIEnvelopedData->Content=_bstr_ta;bstrciphertext

=pEncryptIEnvelopedData->Encrypt(

CAPICOM_ENCODE_BINARY);

⑷取出密文

bstrtemp是BSTR指針，指向雙字節(jié)的字符串，即以兩個Bytes來存一個ASCII字符，_bstr_t類型對雙字節(jié)字符串進行了對象裝箱，字節(jié)數(shù)是字符數(shù)據(jù)量的兩倍。加密"HelloCapicom!"后，以字符形式看密文則呈亂碼形式。二進制形式則如圖2所示。

PCHARpCiphertext=NULL;pCiphertext

=(PCHAR)bstrciphertext;printf("密文字符流：\n");

PVOIDpchartemp=malloc(24);

for(intk=0;k<bstrciphertext.length()*2;k++)

{if(k%24==0){memcpy((PVOID)pchartemp,pCiphertext,24);

}pCiphertext++;}

⑸解密

pDecryptIEnvelopedData->Decrypt(bstrciphertext);printf("解密后:%s\n",

(PCHAR)pDecryptIEnvelopedData->Content.copy());結(jié)果如圖4所示。

簽名是對消息哈希值進行簽名，先算出數(shù)據(jù)的哈希值，再用簽名者的私鑰對哈希值簽名，通過這個過程來保證訂單信息如商品數(shù)量，品名等的完整性和非抵賴性。此步驟中，會檢索MY證書庫的證書，找證書公鑰對應(yīng)的私鑰的容器句柄，再找到私鑰，這對于程序員是透明的。簽名和數(shù)據(jù)可以“依附”發(fā)送也可“獨立”發(fā)送，接收者收到數(shù)據(jù)和簽名后，重算數(shù)據(jù)的哈希值，將哈希值和數(shù)據(jù)的簽名送進驗證運算將會得出驗證結(jié)果。CAPICOM組件，用接口ISignedDataPtr和IHashedDataPtr來封裝此功能。

⑴定義哈希對象和設(shè)定哈希算法

IHashedDataPtrpIHashedDataPtr(__uuidof(HashedData));

pIHashedDataPtr->Algorithm=

CAPICOM_HASH_ALGORITHM_SHA1。

⑵哈希和取哈希值

哈希對象的哈希值是字符串形式的以十六進制的格式返回，SHA-1算法的哈希值為160位，即20字節(jié)，表示成HEX格式一個字節(jié)表示為兩個字符，共40個ASCII字符，再用雙字節(jié)字符表示。則為40個寬字符，80字節(jié)，所以哈希值的字節(jié)長度變成了80字節(jié)。如圖3所示。

bstrtemp=SysAllocStringByteLen("HelloCapicom!",14);_bstr

_ta.Assign(bstrtemp);

PCHARpchar=NULL;pIHashedDataPtr->Hash(_bstr_ta);

bstrHashValue=pIHashedDataPtr->Value;

⑶簽名

簽名加入時間戳和簽名者信息，還要編碼成一定的格式，有時還加入了簽名者的證書，故簽名消息的長度取決于多個因素。而不只取決簽名者的公鑰長度。如以二進制編碼為格式則為898字節(jié)，如圖5所示。

ISignedDataPtrpISignedDataPtr(__uuidof(SignedData));pISignedDataPtr->Content=pIHashedDataPtr->Value;

bstrSignature=pISignedDataPtr->Sign(0,TRUE,CAPICOM

_ENCODE_BINARY);

⑷驗證

pISignedDataPtr->Content=pIHashedDataPtr->Value;

pISignedDataPtr->Verify(bstrSignature,TRUE,

CAPICOM_VERIFY_SIGNATURE_ONLY);

如果驗證不通過則會拋出異常，驗證失敗。如圖3所示。

信息安全如果涉及到國家利益和經(jīng)濟利益，密碼算法往往需要本地化，而算法模塊CSP的變動會對直接調(diào)用CSP的商務(wù)應(yīng)用產(chǎn)生藕合變動，這是開發(fā)者所不愿見到的。有了CAPICOM中間件，[7]可以通過本地化CSP，實現(xiàn)本地化的密碼算法，將其設(shè)定為默認的CSP，只要其遵照CSP的規(guī)范，可以和CAPICOM無縫掛接，而對上層的電子商務(wù)交易模型不要做任何修改。做到密碼服務(wù)消費和密碼服務(wù)生產(chǎn)的分隔與獨立，從而實現(xiàn)CSP的零開銷本地化。文章創(chuàng)新性地將CAPICOM密碼中間件技術(shù)和電子商務(wù)交易模型相結(jié)合，很好地滿足了電子商務(wù)的信息安全保密需求，解決應(yīng)用層安全需求和底層密碼服務(wù)模塊本地化之間的藕合矛盾。

參考文獻

1張碩陽等.電子商務(wù)交易中的風(fēng)險來源與風(fēng)險認知[A].廣東:中山大學(xué)出版社,2002:187～196

2張楚等.電子商務(wù)與交易安全[A].北京:中國法制出版社289～296

3/library/default.asp?url=/library/en-us/seccrypto/security/setting_the_computer_default_csp.asp

4微計算機信息(高世偉等,基于DCOM技術(shù)實現(xiàn)的控制系統(tǒng),2005,21,1-2,23)