前言:中文期刊網精心挑選了電子合同的安全性范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
電子合同的安全性范文1
電子商務作為一種新的經濟交易方式,隨著互聯網的發展也在各種企業中蓬勃發展。它對傳統企業經濟的影響正逐步顯現著。電子商務是以互聯網為平臺,以信息交換為手段的交易方式,它的興起與繁榮,給傳統交易方式帶來了沖擊,同時也是對傳統交易方式的一種補充。在電子商務情況下,傳統經濟中的一些基本要素內容也受到了影響。合同這種企業經濟生活中不可或缺的要素不可避免地也受到影響。同樣,作為合同一種的電子商務合同也應運而生。
電子商務合同作為信息時代的產物和電子商務活動的重要工具,其應用和發展對傳統合同造成極大沖擊。一方面它以快速、方便的特點給合同的簽署帶來了方便,也便于合同雙方對合同的管理、分類;另一方面它也帶來了一些新問題,如信用、安全問題。因此,探討和研究電子商務合同這一新型的合同形式,對于更有效地進行電子商務活動具有十分重要的意義。
一、電子商務合同的特點
電子商務合同作為一種新形式的合同,它與傳統的合同在內容上無本質區別。在訂立電子合同過程中,合同所起的意義和作用并沒有發生改變。但其簽訂過程和載體卻是以不同于傳統意義上的合同出現的。通過比較,電子商務合同具有如下特征:
(一)電子商務合同是以互聯網為平臺,以交換數據電文方式傳輸訂立的。傳統的合同是以面對面地協商、談判以及信函、電傳等方式簽署訂立的。而電子商務合同不需要雙方的直接對話協商和談判,它以網絡電子為媒介進行談判內容的協商和處理。它主要是以合同一方――互聯網――合同另一方這一過程進行合同的協商和簽署的。
(二)電子合同交易的主體不同。傳統的合同交易主體是人,而電子商務合同的交易主體是以互聯網為中介的任何自然人、法人或其他組織。一個合同方可以同時與幾個主體進行合同的協商和簽署。
(三)電子合同生效的時間地點和方式與傳統合同也有所不同。傳統合同一般以當事人簽字或者蓋章的方式表示合同生效,而在電子合同中,表示合同生效的傳統簽字、蓋章方式被電子簽名所代替。
二、企業簽訂電子商務合同存在的問題
由于電子合同具有不同于傳統合同的特征,所以企業在簽訂電子合同過程中顯現出與傳統合同簽訂的不同,也出現了新的需要解決的問題。
(一)與簽訂傳統合同相比,企業存在更大的風險。首先,在訂立傳統合同時,各方當事人一般通過面對面的談判或以其他諸如信件、電報、電傳、傳真等方式進行協商,并最終當面簽訂合同。而在電子合同的談判、協商和簽訂時,各方當事人可能互不謀面。交易雙方可以是任何人,當事人的身份需要依靠認證才能確定,而這種確定的過程具有風險性。從這兩方面看,在簽署電子合同過程中,存在著比簽訂傳統合同更大的風險。然而,電子合同以其迅速、快捷和便于管理的特點又極大地吸引著商務活動者去使用它。
(二)信用問題進一步凸顯。簽署電子合同的風險不僅限于簽署一般合同所面臨的風險,它對各方當事人的信用度、文件傳輸的安全性,以及文件在法律上的有效性提出了更高的要求。由于當事人各方在簽署電子合同時可能素未謀面,這就需要各方必須以更高的信用作為基礎去進行談判和簽署合同。而在簽署合同前,各方必須相互對對方的信用程度做出必要的評估,這就需要建立一種信用制度,以使各方在事前就能夠比較全面地了解對方。只有相互信任,才能使各方有達成一致意見的基礎,否則即使達成協議,在執行過程中也會出現信用危機,甚至對簿公堂。可是,由于我國在建立信用制度方面還不夠完善,所以一些企業為了規避較大的信用風險,如果使用電子合同,一般也僅限于那些交往多年深為熟知的客戶。企業這樣做,雖然加強了合同的安全性,但同時也限制了企業與其他更廣泛客戶的交流,甚至會因為相互不信任而失去拓展市場的機會。
(三)合同傳輸過程需要更高的安全性。安全問題一直是電子商務活動的瓶頸,尤其是在文件傳輸過程中,文件內容有可能被截取、修改,甚至丟失。所以,與傳統的互傳文書的形式相比,簽訂電子商務合同的安全性較差。面對面的交換意見、協商和簽訂文件總比通過虛擬網絡來得實在可靠。由于網絡的安全問題并未得到徹底的解決,大部分企業對采用電子合同持謹慎態度,這也限制了電子合同乃至總體電子商務的發展。
三、如何規避電子商務合同中的風險
從電子合同的特點和存在的問題可知,如何規避或減少安全風險成為普及電子合同的關鍵問題。本文認為應從以下幾個方面入手:
(一)提高電子傳輸過程的安全性。就目前看,電子數據交換和電子郵件是電子合同訂立的主要方式。前者安全性較高,但費用也高,它主要為大企業所采用。而中小企業更愿意采用相對靈活且成本低廉的電子郵件方式。從使用的廣度來說,如果電子郵件的安全性問題得到徹底解決,那么對于電子商務活動的意義更大。目前,解決這一問題的一種方法是在進行文件傳輸過程中使用電子簽名。這大大提高了安全性,但這種方法并未得到普及。另一種為廣大中小企業普遍采用的方法是:與傳統的工具相結合來簽訂電子合同。借助傳統工具如傳真,既起到確認合同內容的準確性,又可作為簽署合同的法律依據。在合同協商過程中,各方可先通過電話達成合作意向,然后通過電子郵件將各自的要求條件傳給對方,在各方修改后,再相互通過電子郵件交換,這樣反復,最終達成共識。達成共識后,通過傳真確定合同內容的準確性,然后,再通過郵件或以傳統書面形式真正簽訂合同。這種形式相對完全傳統的形式來說,減少了中間環節的時間消耗,提高了效率,同時又提高了單獨采用電子方式的安全性,但它只是一種過渡形式。
(二)建立企業信用機制,提高企業的信用程度。在電子安全性得到滿意解決的情況下,簽訂電子合同的風險將主要來自簽訂各方的信用程度。傳統合同的簽訂雖然存在信用問題,但因為簽訂各方是通過直接面對面的協商和談判,所以降低了各方的信用風險,一旦發現事情有所變化,可以及時采取補救措施。而電子合同中,減少了直接面對面的交流,這就增加了信用風險。一旦有一方存在欺騙――這種欺騙更隱秘、更不容易被察覺,那么可能給被騙方帶來更大的損失。因此,建立企業的信用機制尤其必要,這需要政府、企業以及相關各方的共同努力。
電子合同的安全性范文2
近年來,隨著電子技術的發展,“電子商務”、“電子合同”等這類的詞隨處可見。的確,電子技術給我們的生活帶來了很大的變化。我們現在可以實現網上購物;公司企業越來越重視網上銷售和網上訂貨。這種新的交易方式的快速、便捷、高效率,滿足了現代商業對交易效率的要求,使我們有理由相信,它還將繼續深入我們的生活。
但是,這種新的交易方式同時帶給我們的,還有它與傳統法律之間的種種不協調。在保證電子商務的高效率的同時,如何保障它的安全性,已經引起了人們的廣泛關注。本文僅就電子商務的安全運營問題,從法律的角度進行一些初步的探索。
一、電子商務概說
(一)電子商務的概念
電子商務出現于20世紀90年代,發展的時間并不長,但與傳統商務相比,電子商務具有驚人的發展速度。據CNN公布的資料表明:1999年度全球電子商務銷售額突破1400億美元。[1]
但是,究竟什么是電子商務呢?
實際上,迄今為止,電子商務還沒有一個被廣泛接受的概念。[2]
世界貿易組織(WTO)給電子商務下的定義為:電子商務是指以電子方式進行的商品和服務之生產、分配、市場營銷、銷售或交付。[3]
經濟合作發展組織(OECD)認為:電子商務是指商業交易,它包括組織與個人在基于文本、聲音、可視化圖象等在內的數字化數據傳輸與處理方面的商業活動。[4]
世界各國對電子商務的理解也不盡相同。
盡管電子商務的定義在內容上各有側重,但是筆者認為對于電子商務的內涵,一般應至少包括下列三方面的內容:(1)使用電子工具,借助互聯網傳輸信息;(2)在公開環境下交易;(3)依靠一定的技術規范和技術標準,利用數據化的信息來進行交易。
電子商務使用的網絡類型主要有三種形式:EDI網絡,INTRANET網絡和INTERNET網絡。由于EDI是專線網絡,而INTRANET是企業內部網,其安全性較好,對傳統法律規范體系的沖擊相對于INTERNET要小得多,因而本文討論的電子商務主要是指借助于INTERNET網絡的電子商務。
(二)電子商務的特點
與傳統商務相比,電子商務具有許多特點:
其一,電子商務是在公開環境下進行的交易,其可以在全球范圍內進行交易。
由于借助互聯網,這就使得經濟交易突破了空間的限制;公開環境下的信息公開,使所有的企業可以平等地參與市場競爭。
其二,在電子商務中,電子數據的傳遞、編制、發送、接收都由精密的電腦程序完成,更加精確、可靠。
其三,電子商務是一種快速、便捷、高效的交易方式。在電子商務中,信息的傳遞通過網絡完成,速度很快,可以節省寶貴的交易時間。
上述特點,是電子商務獨有的,傳統商務無法實現。
(三)電子商務的安全性要求
電子商務,作為一種新的經濟交易方式,它只是在表現形式上與傳統商業不同,但是這并沒有改變其商業屬性,這就要求電子商務的運作必須遵循商業活動的一般規律[5] ,否則,電子商務是無法發展的。
安全與效率,是一切經濟交易必須考慮的兩個問題。電子商務的存在與發展也必須滿足這兩個要求。對于電子商務而言,其高效性已經得到了人們充分的認可。但是,安全性呢?電子商務作為一種新生事物,世界各國都尚未形成成熟的安全運營模式。如何在網絡環境下,構建與傳統法律價值接近的規則體系,已經越來越為人們所關注。
從傳統商業與電子商務的不同特點來看,要滿足電子商務的安全性要求,至少要有下面幾個問題需要解決:
1、交易前交易雙方身份的認證問題。電子商務是建立在互聯網絡平臺上的虛擬空間中的商務活動,交易的當事人可能處在不同的國家,他們并不直接見面,雙方只能通過數據、符號、信號等進行判斷、選擇,具體的商業行為也依靠電子信號和數據的交流,交易的當事人再也無法用傳統商務中的方法來保障交易的安全。
2、交易中電子合同的法律效力問題以及完整性保密性問題。在傳統國際貿易法中,合同形式要求為書面,而電子商務中的合同是電子合同,與傳統的書面形式存在很大的不同,其法律效力如何取決于法律的有關規定。而且,由于電子商務所依賴的互聯網平臺本身具有開放性的特點,交易雙方的數據如何避免被他人截取和篡改,以保證其完整性和保密性,這都是電子商務發展必須面對和解決的問題。
3、交易后電子記錄的證據力問題。在英美法系,傳聞證據規則限制了電子記錄的證據力。在我國,訴訟法中并未對電子記錄的證據力作出明確規定,甚至也沒有將其單列出來作為證據的一種。
上述這些問題,已經對傳統法律制度造成了沖擊,也是實現電子商務安全所必須解決的問題。筆者將針對這些問題,從技術安全、組織安全、法律安全三個角度,對電子商務的安全運營問題進行解析。
二、電子商務的技術安全-信息加密及電子簽名問題
電子商務的發展是計算機技術發展的結果,其安全保障歸根到底要依賴于技術的進步。特別是信息的完整性保密性方面,更需要技術層面的支持,即信息加密技術和電子簽名問題。
(一)信息加密技術
由于電子商務是借助INTERNET平臺運作的,而INTERNET網絡本身具有開放性的特點,因而安全性方面存在先天不足[6] .而交易雙方在交易過程中,都希望信息不會被他人篡改和截取。信息加密技術正是針對這個問題的技術解決方案。
簡單的說,信息加密技術,就是把要傳遞的信息在傳遞時按照一定的規則將其轉變為錯亂的內容(即加密),在對方接收時,再通過解密程序將亂碼清除,即可得到原來的完整的信息,這一過程就是解密。這樣,第三方即使截取了信息,也無法獲悉其中的內容。
(二)電子簽名問題
1、傳統簽名及其作用
在傳統商務中,大多數國家都要求合同的當事人在書面上簽名或者蓋章。這種簽名或蓋章主要有以下三個作用:一為表明文件的來源;二為表明簽字者已確認文件所載之內容;三為構成證明簽字者對文件內容之正確性和完整性而負責任的證據。[7] 在傳統商務中,由于這種手寫簽名的獨特性,所以我國和大多數國家都把它作為使書面合同有效的一個必要條件 [8].
2、電子簽名及其方法
在電子商務中,交易的平臺是互聯網,傳統的簽名已經無法實現其作用。盡管我國《合同法》第三十三條規定了一個補救的方法-“當事人采用信件、數據電文等形式訂立合同的,可以在合同成立之前要求簽定確認書”,但實際上,這一做法將大大降低電子商務的效率,因而不足取。真正把傳統簽名的作用與電子商務的互聯網運作平臺結合起來的,是電子簽名。
電子簽名,是指在一個數據信息中或附在其后或邏輯上與其有聯系的電子形式的簽名[9] .其在形式上,與傳統簽名差別很大,但在功能上,兩者卻很接近,都是用來鑒別合同的當事人并表明其同意該數據信息的內容。
與傳統簽名相比,電子簽名是一個更復雜的問題,它涉及大量的技術問題。到目前為止,電子簽名已經有對稱密碼、不對稱密碼、筆跡、生物特征密碼等方式。目前,采用較多的是不對稱密碼。在不對稱密碼的方式下,加密和解密的鑰匙不同,一旦信息被加密,加密鑰匙不能解密該信息,只能用解密鑰匙才能解密。這樣人們就可以廣泛分發公開鑰匙,而只需保留那么秘密鑰匙即可。[10]
但是,這種做法并不是絕對安全的,因為秘密鑰匙是可能被人破譯的,而且我們相信,隨著技術的進步,這種方法將會越來越不安全。
生物特征密碼、筆跡密碼是相對安全的方法,但是這種辨別技術的成本很高,目前還無法推廣普及。
三、電子商務的組織安全-電子認證問題
在電子商務中,交易平臺是互聯網,交易的雙方只能通過數據信息來了解對方,而不能像傳統商務中交易的當事人可以通過面對面的接觸來了解對方。這樣,交易雙方的信任很難建立起來。這就需要有專門的組織機構來為交易的當事人進行信任保證,以幫助雙方建立信任,促成交易。電子認證機構就是這樣的機構,它為電子商務的發展提供了組織安全。
(一)電子認證及其功能
認證,按美國國際貿易文件國家委員會所下的定義,即為“在某法令、記錄或其他書面文件的經核準的文本上賦以法律證明,以便將其作為法律可采納的證據來提供的某種行為或方式”。[11]
電子認證,是以特定的機構,對電子簽名及其簽署者的真實性,進行驗證的具有法律意義的服務。[12]
與電子簽名一樣,電子認證也是電子商務中的安全保障機制。但兩者的具體功能是不同的。電子簽名側重于解決身份辨別與文件歸屬問題,使數據信息不被否認或者篡改,主要是技術手段上的保證;而電子認證,則側重解決的是交易人的交易人的可信度問題,主要應用于交易關系的信用安全方面,是一種組織制度上的保證。
電子認證,從根本上說,是一種服務,其通過對交易各方的身份、資信進行認定,對外,防范交易當事人以外的人故意入侵而造成風險,從而防止欺詐的發生;對內防止當事人的否認,以避免當事人之間的誤解或抵賴,從而減少交易風險,維護電子交易的安全,保障電子商務活動順利進行。
(二)電子認證機構及其職責
電子認證是通過特定機構來完成的,這個特定機構就是認證機構。它是電子商務中對用戶的電子簽名頒發數字證書的機構,它已經成為開放性電子商務活動中不可缺少的信用服務機構。[13]
作為在電子交易中提供信用服務的機構,認證機構必須具有獨立性,應是一個獨立的法律實體,并具有中立性、可靠性,因此其人員組成、資金設備等都應符合一定的要求,以便能夠為商業交易提供一個公正的交易環境。
在電子商務中,電子認證機構要承擔下列職責:“(1)監督登記者按照規定辦理登記、變更、注銷手續;(2)監督登記者按照電子商務的有關法律、法規合法從事經營活動;(3)制止和查處登記者的違法交易活動,保護交易人的合法權益。”[14]
鑒于其在電子商務中的作用,電子認證機構必須忠實地履行其職責,中立地進行工作,對電子交易秩序和交易安全負責。
(三)電子商務認證系統的幾種模式
目前,在認證機構的管理與選任上,大致有幾種作法:
1、政府主導的電子商務認證體系
該體系是由政府出面對認證機構進行管理,規定認證機構必須具備的條件和應承擔的責任,并且在法律上推定經認證機構核實的電子簽名具有證據力。
2、行業協會主導的電子商務認證體系
該體系是由認證機構協會負責制訂認證機構必須遵守的行業規范,并由其負責對各認證機構進行監督。這種作法強調的是行業自律,但是在具體實施過程中,行業協會如何產生,以及經認證機構協會批準的認證機構核實的電子簽名證據力如何,還有待于相關法律的規定。
3、當事人自由約定的電子商務認證體系
該體系沒有規定認證機構的行業規則,在實踐中,當事人可以自由約定采用何種方式的電子簽名,也可約定選用哪個認證機構,具體的權利義務完全由當事人雙方自由商定。這種作法給了當事人最大的自主性,適應了技術發展的靈活性,但是勢力弱小的消費者,很難在風險責任分擔中起作用,而且各認證機構規則不統一,認證結果通用性差。
在我國目前國情下,商家的商業信譽不夠,完全采用當事人自由約定的電子商務認證體系是不合適的。[15]
四、電子商務的法律安全-電子合同的法律效力
要保證電子商務的安全運營,法律的保障是不容忽略的。而且,技術支持和組織保障最后都需要由法律來規定其效力。
合同是商業交易的內容,隨著電子商務的發展,許多國家都運用法律手段來確定電子合同的效力。美國、歐盟等有關電子商務的法律文件都對電子合同進行了規范,我國《合同法》[16]也順應時展的潮流,對電子合同這種新型合同形式也作了一些簡單的規定。筆者將圍繞電子合同問題,對電子商務的法律安全進行闡述。
(一)電子合同的形式及法律效力
我國《合同法》第十條規定:當事人訂立合同,有書面形式、口頭形式和其他形式。第十一條規定:書面形式是指合同書、信件和數據電文(包括電報、電傳、傳真、電子數據交換和電子郵件)等可以有形地表現所載內容的形式。這說明我國已經承認了電子合同的法律效力,并規定電子合同形式為書面形式。這種規定雖很簡單,但對于我國電子商務的發展卻是意義深遠。
聯合國國際貿易法委員會在96年12月通過的《電子商業示范法》第6條中寫明:“如果法律要求信息須采用書面形式,則假若一項數據電文所包含信息可以調取以備日后查用,即滿足了該項要求。”并且在第11條中規定:“就合同的訂立而言,除非當事各方另有協議,一項要約以及對要約的承諾均可通過數據電文的手段表示。如使用了一項數據電文來訂立合同,則不得僅僅以使用了數據電文為理由而否定該合同的有效性或可執行性。” [17]
美國的《統一電子交易法》中也有類似的規定。[18]
以上這些法律文件實際上已經承認了電子合同,并且賦予其與傳統合同形式相同的法律效力。
(二)電子合同的生效問題-生效時間及地點
在電子商務中,經營者可以通過網頁向公眾提供有關商品或服務的信息,這種行為屬于要約邀請,用戶通過電子郵件等方式向經營者發出要約[19] ,經營者可以回復作出承諾 [20].這樣一個電子合同就形成了。
1、 要約與承諾生效時間
我國《合同法》第十六條規定:要約到達受要約人時生效。采用數據電文形式訂立合同,收件人指定特定系統接收數據電文的,該數據電文進入該特定系統的時間,視為到達時間;未指定特定系統的,該數據電文進入收件人的任何系統的首次時間,視為到達時間。“第六條第二款規定:”采用數據電文形式訂立合同的,承諾到達的時間適用本法第十六條第二款的規定。“這一規定有利于明確要約與承諾的生效時間,便于交易雙方明確權責。
2、 合同生效地點
我國《合同法》第三十四條第二款規定:“采用數據電文形式訂立合同的,收件人的主營業地為合同成立的地點;沒有主營業地的,其經常居住地為合同成立的地點。當事人另有約定的,按照其約定。”
這一規定明確了合同成立地,在發生合同糾紛時,利于確定法院的管轄。
《電子商業示范法》中也有類似的規定。
法律文件的這些規定,實際上便是對電子通訊記錄的法律效力的確認。
但是,在電子商務環境下,許多傳統商務中的問題更加突出。例如,在合同生效時間問題上,英美法系采用發送主義,而大陸法系采用到達主義。在電子商務環境下,交易全球化趨勢更加明顯,這類問題也就越發突出了。如何解決此類問題,還需要國際社會的共同努力。
(三)電子簽名的法律效力
在電子合同中,合同的完整性和保密性主要是通過電子簽名來實現的。很多國家在法律上都承認了電子簽名的效力。美國的《統一電子交易法》中規定:(a)一個記錄或簽名的效力或可執行性不得僅因其為電子形式而被否認;(b)一個合同的效力或可執行性不得僅因合同的成立中用了電子記錄而被否認;(c)如果某一法律要求記錄為書面形式,則電子記錄即滿足了該法的要求;(d)如果某一法律要求有簽名,則電子簽名即滿足了該法律的要求。[21]
上述規定從法律上承認了電子簽名的效力,有利于加強電子商務的安全和促進電子商務的發展。
(四)電子記錄的證據力問題
與傳統合同不同,電子合同的證據是電子化的,容易被偽造和篡改,而且很難發現改動的痕跡。因此,電子合同的證據力在傳統證據規則中,是受到限制的。
針對這個情況,聯合國國際貿易法委員會在《電子商業示范法》第9條中規定:對于以數據電文為形式的信息,應給予應有的證據力。在評估一項數據電文的證據力時,應考慮到生成、儲存或傳遞該數據電文的辦法的可靠性,保持信息完整性的辦法的可靠性,用以鑒別發端人的辦法,以及任何其他相關因素。[22]
這一規定既考慮到了電子記錄自身的特點,又賦予了其應有的證據力,是對傳統證據規則的突破,有利于電子商務的安全運營。
五、加強我國電子商務安全的思考
資源共享、快速、便捷是電子商務迅速發展的原因;而這種開放性也帶來了電子商務最大的問題,資源共享的開放性使電子商務在安全方面先天不足。
而安全和保密恰恰是電子商務發展的一項基本要求。目前,一些國際組織已先后制訂了一些規定,來保障電子商務的安全性,美國等發達國家也制訂了一些這方面的規則。[23]
但是,我國目前還沒有這方面的專門規定。
另外,我國商家的商業信譽遠遠不夠,在電子商務的環境中,人們對安全性更是普遍存有疑慮。這已經成為阻礙我國電子商務發展的一個重要因素。
如何保障我國的電子商務安全運營,已經成為關系到我國未來經濟發展的一個重要問題。對此,筆者認為應努力做到以下幾點:
1,對電子商務進行專門立法。
電子商務是一個新生事物,很多方面不同于傳統商務,與傳統的法律規范體系也存在著諸多的不相容之處,而且,傳統的法律規范體系中還有許多電子商務方面的空白。這一情況已經在實踐中引起了不少的問題。臺灣就有這方面的案例[24].
我國的電子商務是近年才發展起來的,目前規范電子商務的相關的法律法規極為有限。在法律的層次上,只有1997年《中華人民共和國刑法》和1999年《中華人民共和國合同法》對相關問題作了簡單規定。例如,我國1997年修訂的《刑法》中增加了關于計算機犯罪的條文,1999年通過的《合同法》對電子合同的書面形式、生效時間地點等作了規定。但是,這種規定太過簡單,遠遠不能滿足電子商務發展的需要。例如,對于電子認證的效力、虛假電子認證等重要的問題,我國法律還沒有規定,這已經成為阻礙我國電子商務發展的重要問題。
因此,我國應大力加強電子商務法制化建設,制訂專門的《電子商務法》,對電子商務當事人的權利義務、電子合同法律關系、電子簽名、電子認證、網上知識產權的保護、電子支付等問題進行專門規定,使之適應電子商務發展的需要。在刑法中,對電子商務領域的犯罪進行規定。從而在法律上,為電子商務提供一個良好的發展環境。
2,建設我國的電子商務認證機構體系。
電子商務認證機構是電子商務中的重要部門,其擔負著維護電子交易安全的責任。因此,要完善我國的電子商務安全運營,必須建立我國的電子商務認證體系。
在目前存在的三種電子商務認證機構模式中,當事人自由約定的電子商務認證體系不適合我國的實際情況。我國,電子商務剛剛發展起來,不完善的地方很多,很多普通的消費者對電子商務還不很了解,根本無法在自由約定時,提出對自己有利的條件。而且,在交易雙方的力量對比懸殊的情況下,弱勢一方很難通過談判來取得公平的結果。再進一步說,這種模式的認證結果通用性很差,不適合我國剛起步的電子商務的發展。
政府主導的電子商務認證體系,政府可以對認證中的許多問題作出詳細規定,并且認證結果通用性強。但是,這種方式行政色彩過濃,不利于電子商務按照商業規律自主發展。
電子合同的安全性范文3
[關鍵詞]電子商務安全網絡安全商務安全
2003年對中國來說是個多事之秋,先是SARS肆虐后接高溫威脅。但對電子商務來說,卻未必不是好事:更多的企業、個人及其他各種組織,甚至包括政府都在積極地推動電子商務的發展,越來越多的人投入到電子商務中去。電子商務是指發生在開放網絡上的商務活動,現在主要是指在Internet上完成的電子商務。
Intenet所具有的開放性是電子商務方便快捷、廣泛傳播的基礎,而開放性本身又會使網上交易面臨種種危險。一個真正的電子商務系統并非單純意味著一個商家和用戶之間開展交易的界面,而應該是利用Web技術使Web站點與公司的后端數據庫系統相連接,向客戶提供有關產品的庫存、發貨情況以及賬款狀況的實時信息,從而實現在電子時空中完成現實生活中的交易活動。這種新的完整的電子商務系統可以將內部網與Internet連接,使小到本企業的商業機密、商務活動的正常運轉,大至國家的政治、經濟機密都將面臨網上黑客與病毒的嚴峻考驗。因此,安全性始終是電子商務的核心和關鍵問題。
電子商務的安全問題,總的來說分為二部分:一是網絡安全,二是商務安全。計算機網絡安全的內容包括:計算機網絡設備安全,計算機網絡系統安全,數據庫安全,工作人員和環境等。其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡自身的安全性為目標。商務安全則緊緊圍繞傳統商務在Internet上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性,完整性,可鑒別性,不可偽造性和不可依賴性。
一、網絡安全問題
一般來說,計算機網絡安全問題是計算機系統本身存在的漏洞和其他人為因素構成了計算機網絡的潛在威脅。一方面,計算機系統硬件和通信設施極易遭受自然環境的影響(如溫度、濕度、電磁場等)以及自然災害和人為(包括故意破壞和非故意破壞)的物理破壞;另一方面計算機內的軟件資源和數據易受到非法的竊取、復制、篡改和毀壞等攻擊;同時計算機系統的硬件、軟件的自然損耗等同樣會影響系統的正常工作,造成計算機網絡系統內信息的損壞、丟失和安全事故。
二、計算機網絡安全體系
一個全方位的計算機網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,并增加了審核信息的數量,利用這些審核信息可以跟蹤入侵者。
在實施網絡安全防范措施時,首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;其次要用各種系統漏洞檢測軟件定期對網絡系統進行掃描分析,找出可能存在的安全隱患,并及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火墻,加強授權管理和認證;利用RAID5等數據存儲技術加強數據備份和恢復措施。
對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網絡上傳輸的敏感信息要進行強度的數據加密;安裝防病毒軟件,加強內部網的整體防病毒措施;建立詳細的安全審計日志,以便檢測并跟蹤入侵攻擊等。
網絡安全技術是伴隨著網絡的誕生而出現的,但直到80年代末才引起關注,90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起了各國計算機安全界的高度重視,計算機網絡安全技術也因此出現了日新月異的變化。安全核心系統、VPN安全隧道、身份認證、網絡底層數據加密和網絡入侵主動監測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網絡的整體安全性。安全核心系統在實現一個完整或較完整的安全體系的同時也能與傳統網絡協議保持一致。它以密碼核心系統為基礎,支持不同類型的安全硬件產品,屏蔽安全硬件以變化對上層應用的影響,實現多種網絡安全協議,并在此之上提供各種安全的計算機網絡應用。
互聯網已經日漸融入到人類社會的各個方面中,網絡防護與網絡攻擊之間的斗爭也將更加激烈。這就對網絡安全技術提出了更高的要求。未來的網絡安全技術將會涉及到計算機網絡的各個層次中,但圍繞電子商務安全的防護技術將在未來的幾年中成為重點,如身份認證,授權檢查,數據安全,通信安全等將對電子商務安全產生決定性影響。
三、商務安全要求
作為一個成功的電子商務系統,首先要消除客戶對交易過程中安全問題的擔心才能夠吸引用戶通過WEB購買產品和服務。使用者擔心在網絡上傳輸的信用卡及個人資料被截取,或者是不幸遇到“黑店”,信用卡資料被不正當運用;而特約商店也擔心收到的是被盜用的信用卡號碼,或是交易不認賬,還有可能因網絡不穩定或是應用軟件設計不良導致被黑客侵入所引發的損失。由于在消費者、特約商店甚至與金融單位之間,權責關系還未徹底理清,以及每一家電子商場或商店的支付系統所使用的安全控管都不盡相同,于是造成使用者有無所適從的感覺,因擔憂而猶豫不前。因些,電子商務順利開展的核心和關鍵問題是保證交易的安全性,這是網上交易的基礎,也是電子商務技術的難點。
用戶對于安全的需求主要包括以下幾下方面:
1.信息的保密性。交易中的商務信息均有保密的要求。如信用卡的賬號和用戶被人知悉,就可能被盜用;定貨和付款信息被競爭對手獲悉,就可能喪失商機。因此在電子商務中的信息一般都有加密的要求。
2.交易者身份的確定性。網上交易的雙方很可能素昧平生,相隔千里。因此,要使交易能夠成功,首先要想辦法確認對方的身份。對商家而言,要考慮客戶端是否是騙子,而客戶也會擔心網上的商店是否是黑店。因此,能方便而可靠地確認對方身份是交易的前提。
3.交易的不可否認性。交易一旦達成,是不能被否認的,否則必然會損害一方的利益。因此電子交易過程中通信的各個環節都必須是不可否認的。主要包括:源點不可否認:信息發送者事后無法否認其發送了信息。接收不可否認:信息接收方無法否認其收到了信息。回執不可否認:發送責任回執的各個環節均無法推脫其應負的責任。
4.交易內容的完整性。交易的文件是不可以被修改的,否則必然會損害交易的嚴肅性和公平性。
5.訪問控制。不同訪問用戶在一個交易系統中的身份和職能是不同的,任何合法用戶只能訪問系統中授權和指定的資源,非法用戶將拒絕訪問系統資源。
四、電子商務安全交易標準
近年來,針對電子交易安全的要求,IT業界與金融行業一起,推出不少有效的安全交易標準和技術。主要的協議標準有:
1.安全超文本傳輸協議(S—HTTP):依靠對密鑰的加密,保障Web站點間的交易信息傳輸的安全性。
2.安全套接層協議(SSL):由Netscape公司提出的安全交易協議,提供加密、認證服務和報文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器,以完成需要的安全交易操作。
3.安全交易技術協議(STT,SecureTransactionTechnology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft在InternetExplorer中采用這一技術。
4.安全電子交易協議(SET,SecureElectronicTransaction):1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標準SET公告,并于1997年5月底了SETSpecificationVersion1.0,它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。SET2.0預計今年,它增加了一些附加的交易要求。這個版本是向后兼容的,符合SET1.0的軟件并不必要跟著升級,除非它需要新的交易要求。SET規范明確的主要目標是保障付款安全,確定應用之互通性,并使全球市場接受。
所有這些安全交易標準中,SET標準以推廣利用信用卡支付網上交易,而廣受各界矚目,它將成為網上交易安全通信協議的工業標準,有望進一步推動Internet電子商務市場。
五、商務安全的關鍵CA認證
怎樣解決電子商務安全問題呢?國際通行的做法是采用CA安全認證系統。CA是CertificateAuthority的縮寫,是證書授權的意思。在電子商務系統中,所有實體的證書都是由證書授權中心即CA中心分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA機構應包括兩大部門:一是審核授權部門,它負責對證書申請者進行資格審查,決定是否同意給該申請者發放證書,并承擔因審核錯誤引起的一切后果,因此它應由能夠承擔這些責任的機構擔任;另一個是證書操作部門,負責為已授權的申請者制作、發放和管理證書,并承擔因操作運營所產生的一切后果,包括失密和為沒有獲得授權者發放證書等,它可以由審核授權部門自己擔任,也可委托給第三方擔任。
CA體系主要解決幾大問題:1.解決網絡身份證的認證以保證交易各方身份是真實的;2.解決數據傳輸的安全性以保證在網絡中流動的數據沒有受到破壞或篡改;3.解決交易的不可抵賴性以保證對方在網上說的話是真實的。
需要注意的是,CA認證中心并不是安全機構,而是一個發放”身份證”的機構,相當于身份的”公證處”。因此,企業開展電子商務不僅要依托于CA認證機構,還需要一個專業機構作為外援來解決配置什么安全產品、怎樣設置安全策略等問題。外援的最合適人選當然非那些提供信息安全軟硬件產品的廠商莫屬了。好的IT廠商,會讓用戶在部署安全策略時少走許多彎路。在選擇外援時,用戶為了節省成本,避免損失,應該把握幾個基本原則:1.要知道自己究竟需要什么;2.要了解廠商的信譽;3.要了解廠商推薦的安全產品;4.用戶要有一雙”火眼金睛”,對項目的實施效果能夠正確加以評估。有了這些基本的安全思路,用戶可以少走許多彎路。
六、相應法律法規
電子商務要健康有序地發展,就像傳統商務一樣,也必須有相應的法律法規作后盾。商務過程中不可避免地會產生一些矛盾,電子商務也一樣。在電子商務中,合同的意義和作用沒有發生改變,但其形式卻發生了極大的變化,1.訂立合同的雙方或多方是互不見面的。所有的買方和賣方在虛擬市場上運作,其信用依靠密碼的辨認或認證機構的認證。2.傳統合同的口頭形式在貿易上常常表現為店堂交易,并將商家所開具的發票作為合同的依據。而在電子商務中標的額較小、關系簡單的交易沒有具體的合同形式,表現為直接通過網絡訂購、付款,例如利用網絡直接購買軟件。3.表示合同生效的傳統簽字蓋章方式被數字簽名所代替。
電子商務合同形式的變化,對于世界各國都帶來了一系列法律新問題。電子商務作為一種新的貿易形式,與現存的合同法發生矛盾是非常容易理解的事情。但對于法律法規來說,就有一個怎樣修改并發展現存合同法,以適應新的貿易形式的問題。
小結
在計算機互聯網絡上實現的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統在保證其計算機網絡硬件平臺和系統軟件平臺安全的基礎上,應該還具備以下特點:強大的加密保證;使用者和數據的識別和鑒別;存儲和加密數據的保密;連網交易和支付的可靠;方便的密鑰管理;數據的完整、防止抵賴。電子商務對計算機網絡安全與商務安全的雙重要求,使電子商務安全的復雜程度比大多數計算機網絡更高,因此電子商務安全應作為安全工程,而不是解決方案來實施。
參考文獻:
[1]《電子商務基礎》尚建成主編高等教育出版社出版2000.9
電子合同的安全性范文4
[關鍵詞] 電子商務 電子簽名 數字簽名 安全
一、電子商務的安全問題
隨著信息技術的發展,架構于互聯網網絡的商務活動即電子商務得以普及,使經濟全球化呈加速發展之勢,而經濟全球化又刺激著電子商務加速發展。其涉及的領域從銀行、外貿、證券市場到貼近我們每個人的日常購物,一場生活和技術的重大變革正在發生。電子商務在提高商務效率、降低商務交易成本的同時,本身安全性也隨之而至,成為制約其進一步發展的重要瓶頸。而 電子簽名技術的應用為電子商務安全運行提供了重要保障。
二、電子簽名含義
電子簽名是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。通俗地說,電子簽名就是通過密碼技術對電子文檔的電子形式的簽名,并非是書面簽名的數字圖像化,它其實是一種電子代碼,利用它,收件人便能在網上輕松驗證發件人的身份和簽名。它還能驗證出文件的原文在傳輸過程中有無變動。它類似于手寫簽名或印章,也可以說它就是電子印章。
三、電子簽名的法律地位
電子交易的安全依賴于技術上采用適當的安全措施,如電子簽名技術,以確認使用人的身份,確保信息保密及完整無缺,和保障已進行的交易不被。但是,電子簽名技術在法律上的地位卻不明確。如果電子簽名法律問題不解決,交易安全就最終得不到保障,實際上電子商務就不具有實際意義。
因此,電子簽名就需要人們對其的“簽名”功能賦予合法的法律地位。聯合國《電子商務示范法》對電子記錄的法律問題提出了一攬子解決方案,分別就數據電文的法律承認、書面性、簽名、原件、證據性、留存等做出了原則性的規定。該法還提出了許多有先見性的法律原則,例如,不歧視原則、功能等同原則、當事人自治原則等,使人們能夠接受電子簽名與傳統的手書簽名具有同樣的合法性。
四、電子簽名與數字簽名的關系
基于PKI的電子簽名被稱作“數字簽名”。有人稱“電子簽名”就是“數字簽名”是錯誤的。數字簽名只是電子簽名的一種特定形式。因為電子簽名雖然獲得了技術中立性,但也帶來使用的不便,法律上又對電子簽名作了進一步規定,如《電子簽名法》中就規定了“可靠電子簽名”和“高級電子簽名”。實際上就是規定了數字簽名的功能,這種規定使數字簽名獲得了更好的應用安全性和可操作性。目前,具有實際意義的電子簽名只有公鑰密碼理論。所以,目前國內外普遍使用的、技術成熟的、可實際使用的還是基于PKI的數字簽名技術。作為公鑰基礎設施PKI可提供多種網上安全服務,如認證、數據保密性、數據完整性和不可否認性,其中都用到了數字簽名技術。
五、電子簽名在電子商務中的應用
電子簽名應用領域包括電子商務,企業信息系統,網上政府采購,金融、財會、保險行業,食品、醫藥,教育,科學研究以及文件管理等方面。但最主要的還是表現在電子商務方面,在網上將買方、賣方以及服務于他們的中間商(如金融機構)之間的信息交換和交易行為集成到一起的電子運作方式,如簽定合同、訂購、付費等。其主要表現在以下幾個方面:
首先是對我國電子商務有很大的促進和有力發展的作用。電子簽名法制定的宗旨就是為了保障電子商務的安全,維護有關各方的合法利益,促進電子商務的發展而制定本法。有了《電子簽名法》就可以解決電子商務參與方的不可否認性,提高電子商務交易的安全;可以實現網上自動在線支付,解決目前我國電子商務的瓶頸問題。
其次是對金融界的應用,金融行業是電子簽名應用最活躍、最廣泛的領域。銀行審核網銀用戶身份的真實性,用戶的身份必須是真實可靠的,簽名才有實際意義,這是使用數字簽名的基礎。交易額大、安全性要求高的交易必須使用數字簽名。
再次是對《票據法》的改革,有了《電子簽名法》作母法,我國的票據法要以《電子簽名法》作依據,制定和完善整套的銀行新法規。這樣銀行就可以節省大量的紙張印刷,減少費用,提高效益。還有網上證券的交易、網上稅務等等一方面是缺乏好的的安全支付協議,更主要就是沒有數字簽名的法律保障;技術是基礎,法律是保證,這些都是“電子簽名”應用更大的領域。
最后就是對《合同法》的修改,合同也可以以電子文件形式出現。有了電子簽名作保證,網上招標、網上采購都可以根據電子合同作為依據。為了適應傳統業務經營需要,還可以將電子簽名與傳統的手工簽名或印章做成“電子簽名”可視化,即在驗證了電子簽名真偽的同時,可調用打印經圖形化處理過的手書簽名或圖章,這樣即可適應傳統習慣認證方法,又將簽名向先進電子技術領域推進一步。
無庸質疑,隨著《電子簽名法》的實施進一步細化和在實踐中應用與推廣,電子簽名將帶來金融、商務、稅務網上交易和處理的一次深刻革命,它將大大推動我國電子商務的發展。
參考文獻:
[1]鄭綺萍:電子簽名技術在電子商務中的應用[J].中國西部科技,2005.6下
電子合同的安全性范文5
[關鍵詞] 移動電子商務 信息交換 安全性分析
一、引言
移動電子商務簡單的說就是指通過手機、個人數字助理(PDA)和掌上電腦等手持移動終端設備與無線上網技術結合所構成的一個電子商務體系。因特網、移動通信技術和其他技術的完善組合創造了移動電子商務。移動電子商務可高效地與用戶接觸,在整個商務體系中用戶可以在任何地方、任何時間進行電子商務活動。移動電子商務由于其快捷方便、無所不在的特點,已經成為電子商務發展的新方向。移動電子商務的模式目前主要有兩種:SMS模式(Short Message Service)即短消息模式,WAP模式(Wireless Application Protocol無線應用協議)是在數字移動電話、因特網及其他個人數字助理(PDA)、計算機應用之間進行通信的開放式全球標準,它是開展移動電子商務應用的核心技術之一。如何有效的保證信息交換的安全性和正確性,防御黑客對交換信息的截取和攻擊,以及確認交易數據的可靠性,就成為了移動電子商務發展中迫切需要解決的問題。
二、移動電子商務信息交換的安全性要求
相對于傳統的電子商務模式,移動電子商務的安全性更加薄弱,傳輸承載的交換信息更易受到竊取和攻擊。移動電子商務信息交換的安全性要求主要表現在以下幾個方面:
1.信息的保密性
保密性就是要保證雙方電子商務交易有效信息的不被竊取、非法儲存和使用,保證整個交易通道的嚴密性。
2.身份的認證性
指交易雙方都能正確鑒別對方的身份,能防止他人的假冒行為。身份認證可以鑒別通信中一方或雙方的身份,從而確保只有授權的用戶才能訪問網絡的資源與服務。
3.信息的正確性
指電子商務的交易數據和雙方認證數據沒有丟失或被篡改。
4.交易數據的可靠性
指交易雙方對交易的內容包括合同、單據等在事后都能進行有效的確認。進行交易的雙方都要能夠在事后確認進行過的交易,即對交易本身及交易合同、契約、或交易的單據等文件的抗抵賴性。
三、信息交換過程安全性分析
移動電子平臺的安全性,是決定整個商業運營整體性能的一個重要因素,如果沒有一個行之有效的安全機制,移動電子商務網中的各種商業活動將無法順利進行。目前所面臨的各種安全威脅如下:
1.信息交換過程中的不安全性因素
移動電子商務信息交換涉及到移動終端、信息中心和內容服務器之間的通信和數據傳輸。這一過程存在的不安全因素就有移動無線接口、移動網絡和移動客戶端3方面的不安全性因素。
(1)無線接口中的不安全因素。在移動通信網絡中,移動站與固定網絡端之間的所有通信都是通過無線接口來傳輸的。而無線接口是開放的,任何具有適當無線設備的人均可以通過竊聽無線信道而獲得其中傳輸的消息,甚至可以修改、插入、刪除或重傳無線接口中傳輸的消息,以達到假冒移動用戶身份欺騙網絡端的目的。(2)網絡端的不安全因素。網絡端主要是指無線傳輸線路、網關部分、Internet有線傳輸線路。在有些移動通信網絡中,基站系統與移動服務交換中心之間的通信媒質就不盡相同,相互之間的信息轉換就有可能導致移動用戶的身份、位置及身份確認信息的泄漏。(3)移動端的不安全因素。移動端包括移動終端和內容服務器。移動終端的不安全因素主要表現在用戶身份、賬戶信息和認證密鑰等方面。例如不法分子取得用戶的移動終端,并從中讀出移動用戶的資料信息、賬戶密碼等就可以假冒用戶身份來進行一些非法的活動。
2.信息交換過程中的安全威脅
通過對以上各種方面的不安全因素的分析,可知對于移動電子商務信息交換的安全威脅可以分為多種可能,需要采取不同的安全策略。目前存在的安全威脅主要有以下幾種:
(1)信息的截取和竊聽。如果沒有采取加密的措施或加密的強度不夠,攻擊者就可能通過截獲裝置截取數據、獲取信息,經過分析,獲得有用的信息,如銀行賬號、用戶密碼等。(2)信息的篡改。當攻擊者熟悉了過程的網絡信息格式后,會通過各種技術方法和手段對網絡傳輸的信息進行中途的修改,再發往目的地,從而破壞信息的完整性,如肆意篡改購買商品的貨號、價格等,或刪除、插入錯誤信息。(3)非授權方的非法訪問。訪問者未經授權,即可讀取主機的敏感商業數據,使用系統得資源,享受為被授予的權利等。(4)信息的假冒。攻擊者掌握了傳輸數據的規律或解密了商務信息后,就可假冒合法的用戶或假冒商家來欺騙服務主機,從而獲得用戶或商家的機密信息。(5)交易的抵賴。交易雙方中的一方在交易完成后否認其參與了此交易。比如用戶在選購了商品后否認選擇了某些商品而拒絕付費,商家賣出的商品因為價格差的原因而不承認原有的交易或收到貨款后拒絕交付商品等。(6)拒絕服務的威脅。此種威脅以網絡癱瘓為目標的攻擊破壞性很大,造成危害的范圍很廣,而攻擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤。攻擊者可以通過刪除某一網絡上傳送的所有數據包的方法,使網絡拒絕為用戶服務;還可以通過郵件炸彈的方法使系統性能降低或崩潰,從而達到拒絕服務的目的。
3.安全移動商務解決方案實現目標
要達到一個安全實用的移動電子商務解決方案,必須解決以上的種種問題,竭力滿足如下幾方面的要求和目的:具有身份認證功能、能夠識別信息的完整性、能夠監測出重傳攻擊、可以保留交易證據、保證信息的機密性、)較低的通信費用、較好的端到端信息傳輸的保密和較高的容錯能力。
四、移動電子商務信息交換安全性設計
1.移動電子商務交易模型安全性解決措施
針對以上電子商務系統在安全上所面臨的種種問題,為了實現移動電子商務所提供的服務,同時保證其上信息交換的安全性,結合現有的移動電子商務安全技術,現將就各安全要素及其可能的安全威脅提出如下安全性解決措施:
(1)信息的截取和竊聽。其關系到的安全要素是交易數據的保密性原則。現有的移動電子商務的安全措施可以采用交易信息加密的方式來進行處理。(2)信息的篡改。信息的篡改牽涉到的安全要素是信息的完整性原則。基于現有的安全技術可以采用報文摘要的方法來解決此種的安全威脅。(3)非授權方的非法訪問。訪問未經授權而可以獲取重要的商務信息所關系到的安全要素是信息的授權性原則。要解決此種安全威脅,所采用的安全技術就包括防火墻、動態密碼等。(4)信息的假冒。其關系到的安全要素是移動電子商務信息的可驗證性。針對這種威脅所采取的解決措施有數字證書技術。(5)交易的抵賴。其與安全要素信息的認可性相關。數字簽名技術就是用來解決商務交易中的抵賴性問題。數字簽名技術可以有效地判斷出信息的發送方,因為它是通過發送方私鑰進行加密的,因而可以解決交易抵賴的安全威脅。
2.移動電子商務的安全模型
針對移動商務交易安全性解決措施,將其應用到移動電子商務,可總結出一種基于簽名和加密方法的安全移動電子商務信息交換的模型。模型主要是針對移動電子商務中的商務信息交換。其對照安全交易體系主要是實現信息傳輸安全和安全信息認證的功能。模型的具體執行流程如下:
(1)移動終端向內容服務器發送注冊要求;(2)信息中心對用戶身份進行驗證;(3)信息中心的認證機構生成用戶證書發送到移動終端,并將用戶證書按移動終端標識保存到數據庫中;(4)內容服務器為移動終端產生公私密鑰,并將私鑰按用戶標識發送給移動終端,用戶標識和私鑰保存到數據庫中;(5)用戶通過移動終端選擇相應的商品,并對交易進行簽名,隨后將用戶標識、交易信息、摘要信息、數字簽名和證書一起發送給內容服務器;(6)內容服務器依據移動終端發送過來的標識號,先和數據庫保存的用戶標識進行比較,如果一致,則向信息中心的認證機構請求用戶證書,否則拒絕服務;(7)信息中心的認證機構根據標識號將用戶證書發送給內容服務器,用戶證書由信息中心來進行產生、存儲和驗證;(8)內容服務器使用用戶證書鑒別移動終端發送過來的交易信息是否可信;(9)核實后,內容服務器用公鑰將用戶的交易訂單進行解密工作,判斷摘要是否正確,以確保給移動終端。
五、移動電子商務安全技術的展望
伴隨著移動計算和信息訪問需求的日益增加,移動安全必將成為一個熱點問題。下一代移動電子商務的安全技術必將與無線和有線通訊網絡實現無縫、高質量的集成,支持任何WAP兼容的手機的訪問,有效解決WAP網絡端到端的安全性問題,為用戶的交互提供簡單、透明的操作方法,以有利于內容開發者為無線因特網提供更多的服務。
參考文獻:
[1]黃劉生:電子商務安全問題[M].北京理工大學出版社,2005
[2]沈郁:基于WPKI的WAP移動電子商務安全研究.湖南大學學報,2003,6:30-33
電子合同的安全性范文6
關鍵詞:電子商務在線支付安全性安全套接層協議安全電子交易協議
1引言
Internet給整個社會帶來了巨大的變革,成為驅動所有產業發展的動力。電子商務是在Internet開放環境下的一種新型的商業運營模式,是網絡技術應用的全新發展方向。在此首先對電子商務中存在的問題及其安全性技術加以分析,然后對中國電子商務未來的發展提出了一些建議,以使更多的人士關注電子商務技術,盡快解決現存的問題,推動電子商務的發展。
2電子商務及其存在的問題
電子商務是指利用簡單快捷低成本的電子通訊方式,使買賣雙方進行各種商貿活動的新型貿易形式。它改變了傳統貿易形式,不僅改變了企業本身的生產、經營、管理活動,而且將導致人類經濟、社會和文化的一次新的革命。但目前電子商務的發展中還存在許多問題:
1)安全協議問題:對安全協議還沒有全球性的標準和規范,相對制約了國際性的商務活動。
2)安全管理問題:在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
3)電子商務沒有真正深入商務領域而僅僅局限于信息領域。
4)技術人才短缺問題:電子商務是在近幾年才得到了迅猛發展,許多地方都缺乏足夠的技術人才來處理所遇到的各種問題。不少電子商務的開發商對網絡技術很熟悉,但是對安全技術了解得偏少,因而難以開發出真正實用的、安全性的產品。
5)法律問題:電子交易衍生了一系列法律問題,例如網絡交易糾紛的仲裁、網絡交易契約等問題,急需為電子商務提供法律保障。
6)稅收問題:電子商務的發展在促進貿易增加稅收的同時又對稅收制度及其管理手段提出了新要求。
3電子商務中的安全性技術
安全性技術是保證電子商務健康有序發展的關鍵因素,也是目前大家十分關注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性,但現在幾乎網絡的各個層次都制訂了安全協議和具備了相應的安全技術,以保證電子商務的安全性。
3.1安全的網絡平臺
安全可靠的網絡是實現電子商務的基礎,常用的方法是在網絡中采用防火墻技術,虛擬專用網(VPN)技術,防病毒保護等。防火墻技術是通過IP過濾和服務器軟件方法保護企業內部網(Intranet)中數據,只有授權用戶才能獲準進入企業內部網的系統。虛擬專用網(VPN)技術通過IP隧道等方法來保證企業協作網(Extranet)中企業間數據和企業內部網的遠程分支機構和外出職工對中央系統的遠程訪問數據的安全傳遞。單純依靠這些方法保護網絡的安全性是不夠的,還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務基石,例如現在的加密技術、數字簽名技術、電子認證技術等。
3.2在線支付的安全技術
電子商務的另一個關鍵問題是要保證在線支付的安全,它是網上購物的重要保證。目前采用的在線支付協議有兩種:安全套接層SSL(SecureSocketsLayer)協議和安全電子交易SET(SecureElectronicTransaction)協議。
3.2.1SSL協議
SSL協議是Netscape公司在網絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。SSL通過數字簽名和數字證書來實行身份驗證,數字證書是從認證機構(CertificateAuthority,CA)獲得的,通常包含有唯一標識證書所有者的名稱、唯一標識證書者的名稱、證書所有者的公開密鑰、證書者的數字簽名、證書的有效期及證書的序列號等。在用數字證書對雙方的身份驗證后,雙方就可以用保密密鑰進行安全的會話了。
SSL協議在應用層收發數據前,協商加密算法、連接密鑰并認證通信雙方,從而為應用層提供了安全的傳輸通道;在該通道上可透明加載任何高層應用協議(如HTTP、FTP、TELNET等)以保證應用層數據傳輸的安全性。
SSL協議握手流程由兩個階段組成:服務器認證和用戶認證。
1)服務器認證
客戶端向服務器發送一個“Hello”信息,以便開始一個新的會話連接;服務器根據客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;客戶根據收到的服務器響應信息,產生一個主密鑰,并用服務器的公開密鑰加密后傳給服務器;服務器恢復該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。這樣通過主密鑰引出的密鑰對一系列數據進行加密來認證服務器,從而建立安全的通信通道。
2)用戶認證
經認證的服務器發送一個提問給客戶,客戶則返回數字簽名后的提問和其公開密鑰,從而向服務器提供認證。
SSL協議支持各種加密算法,實現簡單,獨立于應用層協議,且被大部分瀏覽器和Web服務器內置,便于在電子交易中應用。但SSL是一個面向連接的協議,只能提供交易中客戶與服務器間的雙方認證,在涉及多方的電子交易中,SSL協議不能協調各方面的安全傳輸和信任關系,為此,Mastercard和Visa共同在網絡應用層開發了SET協議。
3.2.2SET協議
SET協議是一個能保證通過開放網絡進行安全資金支付的技術標準。它采用的技術包括,對稱密鑰加密、公共密鑰加密、哈希算法、數字簽名技術以及公共密鑰授權機制等。
SET使訂單信息和信用卡信息的隔離。在把包含信用卡號碼信息的訂單送到商家時,商家只能看到訂單信息,卻看不到信用卡號碼信息,并且需要持卡人和商家相互認證,確定通信雙方身份,一般由認證中心為雙方提供信用擔保。
整個電子支付的過程包括:瀏覽、購買、付款合法性驗證以及獲取付款等過程。信用卡持卡客戶通過瀏覽器從商家的商品目錄尋找所需商品,他擁有支付網關交換密鑰的私人密鑰,可以發送初始化請求給商家;商家收到客戶的初始化請求后,為請求報文分配一個唯一的交易標識號,并用商家的私人密鑰進行數字簽名,然后將初始化響應報文與商家和支付網關的證書一起傳給客戶;客戶收到該初始化響應后,驗證商家和支付網關的證書,確認商家和支付網關的身份,再根據商家的公開密鑰確認初始化響應中的商家簽名;然后,客戶產生訂單信息(OrderingInformation)和支付命令(PaymentInstruction),用私人密鑰對訂單信息和支付命令進行雙重簽名;并產生一個隨機的對稱密鑰,用它對雙重簽名后的支付命令加密,然后再用支付網關交換密鑰的公開密鑰(publickey-exchangekey)對客戶帳號和對稱密鑰加密;客戶將加密后的訂單信息和支付命令發給商家;商家確認客戶證書,用客戶的公開密鑰對訂單信息上的雙重簽名解密,以確保訂單在傳輸過程中無誤,并且其中的簽名是客戶的;然后,商家處理訂單信息請求,將支付命令傳給支付網關并請求授權,同時還產生一個包括商家的簽名證書和指明客戶的訂單已被接收等信息的購買響應報文,并對該報文數字簽名后發給客戶;客戶用商家的公開密鑰來證實購買響應上的簽名是商家的,并保存收到的購買響應。如果交易被授權,商家將執行訂單上規定的送貨等服務。商家使用訂貨單,要求支付網關付款。
SET定義了一個完備的電子交易流程,較好地解決了電子交易中各方間復雜的信任關系和安全連接,確保了電子交易中信息的真實性、保密性、防抵賴性和不可更改性。但由于SET協議龐大而又復雜,銀行、商家和客戶均需改造才能實現互操作,使得SET協議被普遍使用還需有一個過程。在我國,大多尚處在對SSL協議的應用上,要完全實現SET協議安全支付還要有一個過程。
3.3其它安全問題
對于電子商務的安全性來講,有了防火墻與安全協議和規范還不夠,一方面,網絡本身的物理差錯是難以避免的;另一方面,Internet主干網和DNS服務器的可靠性,撥號連接質量與速度還不能滿足人們的需求;另外,惡意代碼對網絡系統的威脅,單純依敕技術是很難解決的,從某種意義上講,依靠管理加強內部人員的安全防范意識等比安全技術更為重要。因此,要加強電子商務的安全性應從多方面入手。
4對我國電子商務的發展的幾點建議
1)提高服務的安全性。電子商務飛快的發展速度,致使其安全技術和安全管理都跟不上,這已成為越來越突出的問題,但不能因為安全問題而制約了電子商務的發展,使安全成為發展的瓶頸,發展是首位的,沒有發展安全就無從談起。
2)加快網絡基礎設施建設和網絡普及程度。發展電子商務的目的在于降低交易成本,提高交易效率,因此應積極發展高速寬帶通信信道,重點建設光纜和衛星通信,同時積極利用現有通信線路發展ISDN和ADSL接入,利用有線電視線路,試驗發展HFC接入網。
3)盡快完善有關網絡安全等方面的法律。我國政府在《中華人民共和國合同法》中規定了以電子媒體為載體的合同具有法律約束力,對推廣電子商務有很大的促進作用,但是在諸多方面還需順應網絡技術的發展而不斷完善。
4)加快銀行、稅務以及郵政等物流環節的信息化建設步伐,建立企業到企業(BtoB)、企業到客戶(BtoC)的商務溝通,實現網上資金流動,解決目前有形商品交易環節中的流通因難。
5)轉變人們面對面交易的消費習慣。
