验证电子合同的有效方法范例6篇

前言:中文期刊网精心挑选了验证电子合同的有效方法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。

验证电子合同的有效方法

验证电子合同的有效方法范文1

关键词:电子签章;物资合同

1企业业务现状

目前,不少国有大型企业已经开展了电子商务业务,电子商务对企业来说真正体现了平等竞争、高效率、低成本、高质量的优势,能让企业在激烈的市场竞争中把握商机、占据主动并脱颖而出。特别是电力、电信等服务型企业都已通过应用电子商务和“供应商服务中心”模式,由省、市级的物资分公司通过“供应商服务中心”代表公司与供应商集中签订各类物资采购合同。此外,随着大型企业的物力集约化不断推进,合同签订的数量急剧增加,业务不断增多,工作量不断加大,但是合同签订人员有限,不能满足业务增长需求。这就造成供应商中标后,在签订纸质合同时,需要经常前往供应商服务中心现场办理业务,导致旅行成本高,合同签订周期延长且工作效率低下,供应商满意度不断降低。因此,合同签订双方迫切需要寻找一种高效、快捷、安全的合同签订新模式。2005年4月1日国家颁布实施了《中华人民共和国电子签名法》(见图1),该法是为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益而专门制定的法律。其中第十四条明确指出“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”这就为企业指明了方向,即使用电子签章签订合同。图1电子签名法电子签章作为电子商务的一部分,将世界上先进的数字认证技术应用于印章管理中,强化对电子签章的制作和应用各个环节的管理,确保电子签章持有者身份真实、可靠、安全。使用电子签章后可使得相隔很远的供应商与采购单位在网络上完成合同签订工作,供应商不必再与采购方当面签订纸质合同,免去奔波之苦,同时大幅节约签约成本,压缩合同签订周期,提高物资供应速度。

2电子签章技术

电子签章是将传统的物理合同章的印记通过技术进行加密,以数字认证存储介质方式,加盖于电子文本的新型的电子版印章。(见图2)电子签章系统基于PKI(PublicKeyInfrastructure的缩写,即“公钥基础设施”)技术框架。PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。通过运用数字签名技术,电子签章内嵌了对所签文档的数字签名信息,因而保证了合同的真实性、唯一性、来源确认性和印章本身的不可复制性,完全区别于仅在文档中插入一个印章图片的老旧应用模式。签章系统采用多层次全方位的签章验证机制,确保文件安全及印章来源可靠,采用电子钥匙存储印章数据,确保签章的安全和权威,并通过把要传输的数字信息进行加密,保证信息传输的保密性、完整性。目前,应用于大型企业的电子签章系统通常基于Windows平台采用.COM组件及ActiveX技术开发的应用软件,只有合法拥有印章钥匙盘并且有密码权限的用户才能在文件上加盖电子签章。电子签章将用户的合同章存储在一个类似U盘的介质里(USB-KEY),基于PKI公钥基础设施,对签章者进行身份识别,利用非对称的公钥算法对电子文档进行加密电子签名,并根据传统习惯用印章或签名的图形方式加以表现。通过秘钥盘实现在MicrosoftWord文件上加盖电子印章,并将该签章和文件通过数字签名技术绑定在一起,且一旦被绑定的文件内容发生改变,如非法篡改或传输错误,签章将立即失效。

3电子签章技术的特点

(1)采用PKI体系的数字签名技术保证了文件的真实性、完整性以及不可抵赖性,并且以有形的印章图片来实现签章业务的数字化。(2)采用USB-KEY作为签章权限,只有当USB-KEY和与之对应的PIN码相符合,且被授权人密码正确时才可以加盖电子签章。(3)印章验证更加高效,一旦发生文档被篡改或文本变动,电子签章上都回会出现特殊标记,并且可以查看文档篡改的时间和历史痕迹。(4)严格的身份鉴别,确保了签章人身份的真实、可靠,且可以通过电子签名获得签章人的身份信息以及签章时间。(5)支持多人审批和多个印章,并且可以对签约文档进行锁定、防止篡改、限定打印份数等管理。(6)为了保证打印出来的文档签章的真实有效性,电子签章图片采用了防伪水印技术,防止他人私自仿造和篡改。(7)数字证书由权威公正的CA中心签发,可以实现安全的身份认证。此外,电子签章使用由1024位乱码组成的密钥,运算复杂且破解难度极高,这些都保障了通过网络传送信息的真实性、完整性、保密性和不可否认性。(8)电子签章可以克服空间障碍,签约时间和方法也更加灵活高效。电子签章时,采购方与供应商登录系统选择拟要签订的合同模版,分别通过电子秘钥登陆即可在合同指定区域完成电子签章。

4电子签章的业务规范

目前,电子签章广泛采用USB-KEY硬件作为电子签章载体,通过在电脑上安装CFCA证书控件、在线签章工具及MicrosoftOffice签章工具、电子钥匙驱动等软件,在验证Pin码通过后,即可在企业电子商务平台实现电子签章操作。

5未来前景

电子签章具有技术先进、安全性高、操作简便等优点,目前在国有大型企业的物资管理中被广泛应用于物资采购合同的签订工作,并将逐渐扩展到超市化采购、服务类采购、战略性采购等采购模式中,以取代现有依靠大量人力的合同签订方式,进而进一步降低企业运营成本,提升企业电子商务和电子签章的应用水平,提升公司的整体竞争力。

作者:李巍 单位:国网河北省电力公司物资分公司

参考文献:

验证电子合同的有效方法范文2

网络环境中的电子商务需要大量的信息,包括商品生产和供应信息(商品的产地、价格、产量、质量、规格、品种等)、商品需求信息(消费群体、购买力水平、消费水平和消费结构、购买倾向等)、商品竞争信息(新产品开发、销售渠道、价格策略、竞购和竞销能力、促销策略等)、财务信息(价格撮合、支付方式、收支款项等)、市场环境信息(政治状况、经济状况、自然条件等)、客户个人信息(姓名、家庭地址、联系方式、银行帐号等)。这些信息通过合同、定单、文件、财务核算、凭证、标准、条例等形式在交易双方及参与交易的其他各方之间不断传递。为了保证交易过程的顺利完成,必须保证上述信息在传递过程中的安全性。任何成功的电子商务必须提供足够的安全性、可靠性、可用性,才能赢得客户的信赖和欢迎。

一、电子商务中的信息安全因素

一个安全的电子商务系统主要包括信息的机密性、完整性、不可抵赖性、有效性和认证性。1.机密性预防信息在传输过程中被非法窃取。机密性一般通过密码技术对传输的信息进行加密处理实现。2完整性预防对信息的随意生成、修改。完整性一般通过提取信息的数字摘要以及数字签名方式来实现。3.不可抵赖性对参与电子商务交易的个人和实体进行真实身份标识,防止其对传输的信息进行抵赖。不可抵赖性通过对发送的信息进行数字签名来实现。4.有效性以保证贸易数据在确定的时刻、确定的地点是有效的。有效性可以用数字时间戳来实现。5.认证性数字签名、数字时间戳本身不能证明提供者的真实身份。对个人或实体的身份进行鉴别,为身份的真实性提供保证,这意味着当某人或某实体声称具有某个特定的身份时,鉴别服务将提供一种方法来验证其声明的正确性。认证性一般通过证书机构CA和数字证书来实现。

二、数字证书与认证机构CA

数字证书简称证书,是由认证机构CA(Cer-tifieateAuthority)签发的一份电子文件,证明证书主体(“证书申请者”拥有证书后即为“证书主体”)与证书中所包含的公钥的惟一对应关系。它是数字签名的技术基础保障。数字证书采用公开密钥密码体制技术,证书上的公钥惟一与实体身份绑定,是网上实体身份的身份证,证明某一实体的身份以及其公钥的合法性。证书的主要内容及格式遵循X.509国际标准,一个标准的X.509数字证书包含以下一些内容(参见图1):(l)证书的版本信息;(2)证书的序列号,每个证书都有一个惟一的证书序列号;(3)证书所使用的签名算法;(4)证书的发行机构名称,命名规则一般采用X.509格式;(5)证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950一2049,证书的有效期为一年;(6)证书所有人的名称,命名规则一般采用X.509格式;(7)证书所有人的公开密钥;(8)证书发行者对证书的数字签名。

三、非对称加密技术(公开密钥密码体制)

公开密钥密码体制是美国在1976年制定的。最有名的公开密码体制技术是RSA算法,它是以三个发明人的名字命名的(凡vest,Shahar,Adellnan)。它与传统的对称密钥算法有本质的区别,对称密钥算法常用的是DES(L胜taEnc卿tionStandard)算法,加/解密时用的是同一个密钥。而公钥算法采用的是非对称的密钥(一对密钥),每对密钥由一个公钥和一个私钥组成。密钥对中的每个密钥都可用于加密和解密,但只能成对使用,即用公钥加密的密文只能用对应的私钥解密,反之亦然。RSA算法的基本原理是,利用两个足够大的质数与被加密原文相乘生产的积来加密/解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘),即对原文件加密,均可由另一个质数再相乘来进行解密。但是,若想用这个乘积来求出另一个质数,就要进行对大数分解质因子,分解一个大数的质因子是十分困难的,若选用的质数足够大,这种求解几乎是不可能的(根据目前计算机的计算能力,破解RSA算法的密钥大概需要1016年)。因此,将这两个质数作为密钥对,其中一个采用私密的安全介质保密存储起来,不对任何外人泄露,简称为“私钥”;另一个密钥可以公开发表,这个密钥称之为“公钥”。公/私密钥对的用途,①公钥加密私钥解密主要用于发信,当发方向收方通信时,发方用收方的公钥对原文进行加密,收方收到发方的密文后,用自己的私钥进行解密,其他人是无法解密的;②私钥加密公钥解密主要用于签名,当发方向收方签发文件时,发方用自己的私钥加密文件传送给收方,收方用发方的公钥进行解密,可确保信息来源于发方。因此,私钥可保证信息来源的不可抵赖性,公钥可保证信息的机密性。密钥对的产生可由认证机构的密钥管理中心负责提供,也可由用户离线产生。密钥对一经产生便自动将其销毁或者为了以后密钥的恢复的需要而将其存人离线的安全黑库里,以上这此工作都由程序自动完成。在密钥对产主以后,公钥通过签证中心CA以证书的形式向用户发放,私钥经加密后用PIN卡(或IC卡)等形式携带分发至用户。

四、数字签名技术

数字签名用于电子文档,就像亲笔签名用于印刷文档。数字签名是一条不能伪造的信息,表示一个具名人写了或同意该附带签名的文档。数字签名信息的接收者可以验证该信息源于签名的人以及该信息在签名后未被有意或无意的更改过。换句话说,数字签名支持数字信息的“鉴定”,向数字信息的接收者保证发送者的身份和该信息的完整性。数字签名在1507498一2标准中定义为:“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。实际应用时,数字签名是通过一个单向函数(称为哈希算法、HASH算法)对要传送的电子文件进行处理得到数字摘要(也称为报文摘要或信息摘要),再用私钥对摘要加密得到数字签名。数字签名的具体做法是:首先,将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证:只要改动报文中任何一位,重新计算出的报文摘其次,将该报文摘要值用发方的私人密钥加密,然后连同原报文一起发送给收件人,而加密后的报文摘要即为数字签名。最后,收件人收到报文后,用同样的HASH算法对报文计算摘要,然后与用发件人的公钥进行解密得到的报文摘要相比较。如两者相等则说明报文确实来自发件人。采用数字签名,能够确认以下两点:第一,保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;第二,保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。因此,数字签名技术可以解决信息传输过程中的否认、伪造、篡改及冒充等问题。#p#分页标题#e#

五、信息安全的验证

在网上传输一个电子文件,其技术过程大致为:首先是发件方对电子文件进行签名后发送,然后是收件方对发件方签名的验证,最后是收件方对发件方身份的认证。下面举例说明。甲发送一个电子文件给乙。操作及认证过程如下:第一步:发送信息首先,甲对电子文件创建一个报文摘要;其次,甲用自己的私钥加密该报文摘要,加密后的报文摘要就是该电子文件的数字签名;然后,甲将电子文件、数字签名、数字证书一并封装,形成数字签名结果;最后,甲用乙的公钥对签名结果加密(数字信封)后发送给乙。第二步:验证该信息首先,乙用私钥对收到的电子文件解密(解开电子信封),得到甲所发送的电子文件原文,并按事先与甲约定的HASH算法创建一份报文摘要;然后,乙用甲的公钥解开甲的数字签名,得到甲所创建的原始报文摘要;最后,将两份报文摘要进行比较,如果它们完全一致,乙就可以确信此电子文件确实是来自甲,并且在传输过程中未有任何改动,更不可能被冒充。第三步:验证数字证书的合法性其一是合法性验证,乙获得甲的证书后,用CA根证书的公钥对证书上的数字签名(发证机构的签名)进行解密,一经验证通过,该证书就被认为是CA中心颁发的。其二是有效性验证,乙利用解码工具查看甲证书是否在有效期内,是否上了黑名单,即有效性检查。如果上述认证全部成功,足可以证明以下四个实质性的问题:第一、发件人的身份是真实可信的;,因为其证书合法有效。第二、该电子文件确实是由签名者所发出的,电子文件来源于该发送者,具有不可抵赖性。因为,签名所用私钥由签名人自己所控制。第三、收件方收到的电子文件在传输中没有被篡改,保证了信息的完整性。因为,签名后对电子文件的任何改动都能够被发现。第四、收件方收到的电子文件在传输中没有泄露,也没有被冒充,保证了信息的机密性。因为收件方的私钥能且只能解开其相对应的公钥加密的密文。

六、数字时间戳

数字时间戳技术(又称数字时间印鉴)是数字签名的一种变种应用。在电子商务交易文件中,时间是十分重要的信息。在签署电子合同时,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容,是法律意义上合同生效的证据,特别是在合同签名人的证书过期或其他原因作废之后,时间戳能提供不可抵赖性证据。数字时间戳服务(DTS:digitaltimestampservice)是网上电子商务安全服务项目之一,能提供电子文件的日期和时间信息的安全保护,由专门的机构提供。数字时间戳(timestamp)是一个经加密后形成的凭证文档,它包括三个部分:(l)需加时间戳的文件的摘要(digest);(z)DTS收到文件摘要的日期和时间;(s)DTS的数字签名。一般来说,时间戳产生的过程为:用户首先将需要加时间戳的文件经HASH运算形成摘要,然后将该摘要发送到DTS,DTS在加人了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。用户通过验证时间戳上的DTS签名及摘要,即可验证时间戳的合法性及与文件的关联性。为了安全可靠,时间戳一定不能伪造。提供时间戳的DTS机构必须做到:(l)DTS本身的密钥必须长期有效,保证时间戳在数十年内可靠;(2)DTS的私钥必须被非常安全的存储,如在保险箱中;(3旧期和时间必须来自一个时钟(也在保险箱中),此时钟不能重置而且几年甚至几十年都必须准确;不使用保险箱中的设备,创建时间戳一定是不可能的。

验证电子合同的有效方法范文3

[关键词] 电子商务 协议 原子性

目前,电子商务的发展已经具备了一定的规模,其进一步的发展有赖于交易安全性的提高,因为安全性能的提高是电子商务实现安全交易的关键所在。影响电子商务交易安全的因素很多,如:基础设施、社会、行政管理等环境方面的安全性,通信网络的安全性,信息资源的安全性以及商务的安全等,在众多的安全安全因素中,商务安全中的支付安全是重要的一个方面。随着电子商务在全球范围的广泛应用,电子商务的纠纷也越来越多。在众多的电子商务纠纷中,相当一部分是由于电子支付协议本身的缺陷引起的,因而电子支付协议成了电子商务发展的瓶颈。本文以下仅就支付协议的安全性要求进行讨论。

一、电子商务支付协议的安全性要求

电子支付是指以商用电子化工具和各类电子货币为媒介,以计算机技术和通信技术为手段,来完成商品交易的物品与金钱的交换过程。信息技术是实现电子商务的基础,电子商务实施的前提是信息的安全保障,因此,电子商务支付协议首先是一种安全协议,它需要满足安全协议的安全属性,还需要满足电子支付所要求的特殊属性。

1.机密性:支付过程的消息应该收到加密保护;

2.数据完整性:各交易主体间传送的消息不能被丢失、破坏或者篡改;

3.身份认证:交易各方的能确定其它的交易参与方是真实的、合法的个人或者组织;

4.不可否认性:通信主体可以通过提供对方参与协议交换的证据来保证其合法利益不受侵害,即协议主体必须对自己的合法行为负责,不能也无法事后否认。

5.可追究性:电子商务交易发生纠纷时,可通过历史信息获取交易当时的情况,从而获得解决交易纠纷的能力。

6.原子性:在任何情况下,交易完成正确额金额,交换正确的商品,或者当交易取消后就不存在金额与商品的交换。

以上安全属性中的机密性、数据完整性、身份认证性都是普通安全协议必须满足的,而不可否认性、可追究性和原子性则是电子商务协议所特有的。

二、支付协议中的原子性及扩展

J.D.Tygar提出电子支付协议中的三级原子性的目的是用来规范电子交易中的资金流、信息流和物流。

1.钱原子性。钱原子性是指电子商务交易发生前后资金守恒。资金在电子支付过程中既不会创生也不会消失,客户的钱的减少等于商家钱的增加。满足钱原子性是电子支付协议最基本的性质。是协议其它原子性的基础,一个电子支付协议如果不满足钱原子性,别的原子性就无从谈起。在目前一些著名的电子商务协议中,除了Digcash协议不满足钱原子性外,其它的都满足钱原子性。

2.商品原子性。商品原子性协议首先满足钱原子性,商品原子性是要保证付了款必须收到货物,收到了货物必须付了款,绝对不会发生付了款而收不到货物,或收到了货物而未付款。保证客户收到商品当且仅当对应商家支付的商品。商品的原子性是以钱原子性为基础。商品的原子性对信息商品尤其重要。凡是在互联网上进行文件传输时有过中断经历的人都会明白,商品的原子性的重要性,因为信息商品也是以文件的形式进行传输的。

3.可确认发送原子性。满足可确认发送原子性协议一定满足钱原子性和商品原子性;其次,需要对客户从商家购得的商品和商家付给客户的商品分别进行确认,保证客户得到他所订购的商品(包括品质)。如果有争议,拥有仲裁依据来证实到底何种商品被传送。当商家或客户不诚实时,可确认发送协议是很有帮助的。在当今浩如烟海的互联网中,目前还没有一种有效的方法来鉴别商家和庞大的用户群的信用。考虑到J.D.Tygar的三种原子性没有涵盖电子合同的范畴,为了进一步规范电子合同的签署,刘义春等人提出了合同原子性的概念。

4.合同原子性:合同签署结束后,合同中的双方要么都得到了有效签署的合同,要么都未得到有效签署的合同,不存在一方得到有效签署的合同而另一方不能得到有效签署的合同的情况发生。在现有的零售小额电子商务过程中,由于零售额度小、交易频繁以及涉众面广,交易的过程通常没有合同的签署,取而代之的是交易双方的简单协定,这种协定也是可以作为纠纷的仲裁依据的,如淘宝网中的阿里旺旺聊天记录。因此,为了从协议层面规范这种协定,我们提出协定原子性的概念。

5.协定原子性:协定成功后,要么双方都能得到协议的最终结果,要么双方都不能得到协议的最终结果。

三、原子性协议的设计原则

在复杂交易系统中,为确保协议的原子性,语义上将支付流程分为3个阶段:支付阶段:信息从买方流向卖方,卖方必须提供商品发送的担保,而买方必须为交易的最后阶段背书;商品发送阶段:有条件的商品发送保证信息沿交易树从卖方上溯至买方,每一级都有对应的TTP作为担保者。商品发送阶段结束时,子交易被局部提交,在顶级交易的所有子交易已局部提交后,客户可决定最终提交整个交易,进入最终提交阶段。最终提交阶段:所有子交易被从根结点到叶结点最终提交,对每一个操作,相关TTP把支付保证或商品发送保证转变为实际支付或商品发送。

电子支付协议设计是一个细致而困难的工作,协议必须满足原子性是基本条件之一,且原子性在不同的应用场合有具体的要求,因此,设计并验证一个具体应用的电子商务协议将是我们的下一步工作。

参考文献:

[1]Tygar J D. Atomicity in Electronic Commerce.In:Proc.Of the 15th Annual ACM Symposium on Principles of Distributed-Computing,May 1996,8~26

验证电子合同的有效方法范文4

关键词:电子合同;电子签名;交易原理;电子认证;电子合同监管

Content abstract: Electronic commerce will be a future commerce development inevitable trend, the electronic contract its unique works out the way to propose aspect and so on law, technology and supervision to the existing paper surface transaction challenges. The electronic contract was the electronic commerce foundation and the core, in the electronic contract legal matter has restricted the electronic transaction development, has hindered transaction advance. Our country should speed up the electronic commerce legislation work, establishes the electronic contract supervision system, perfect electronic contract transaction legal regime. Author's has carried on the discussion and the elaboration on electronic contract in law and the technical question, and proposes the related countermeasure and the suggestion to the electronic contract legislation and the electronic contract supervision.

key word: Electronic contract; Electronic signature; Transaction principle; Electronic authentication; Electronic contract supervision

一、电子合同

随着电子技术的发展,电子合同得以出现,其虽然也通过电子脉冲来传递信息,但是却不在以一张纸为原始的凭据,而只是一组电子信息。电子合同,又称电子商务合同,根据联合国国际贸易法委员会《电子商务示范法》以及世界各国颁布的电子交易法,同时结合我国《合同法》的有关规定,笔者认为电子合同可以界定为:电子合同是双方或多方当事人之间通过电子信息网络以电子的形式达成的设立、变更、终止财产性民事权利义务关系的协议。通过上述定义可以看出电子合同是以电子的方式订立的合同,其主要是指在网络条件下当事人为了实现一定的目的,通过数据电文、电子邮件等形式签订的明确双方权利义务关系的一种电子协议[1].电子合同的特征主要表现在以下几个方面:

1、电子合同是一种民事法律行为。电子合同这种民事法律行为是双方或者是多方民事主体的法律行为,当事人之间以电子的方式设立、变更、终止财产性民事权利义务为目的,当事人之间签订的这种合同是合同的电子化,是合同的新形式。根据《电子商务示范法》中有关规定,电子合同是以财产性为目的协议,该示范法列举了大量商业性质的关系。[2]

2、电子合同交易主体的虚拟化和广泛化。电子合同订立的整个过程所采用的是电子形式,通过电子邮件、EDI等方式进行电子合同的谈判、签订及履行等。这种合同方式大大的节约了交易成本,提高了经济效益。电子合同的交易主体可以是地球村的任何自然人和法人及其相关组织,这种交易方式当然需要提供一系列的配套措施,如建立信用制度,让交易的相对人在交易前知道对方的资信状况[3],在世界经济全球化的今天,信用权益必将成为一种无形的财产。

3、电子合同订立的电子化。我国《合同法》规定合同的订立需要有要约和承诺这两个过程,电子合同同样也需要具备这些要件。传统的合同的要约和承诺采用的方式不同于电子合同,电子合同中的要约和承诺均可以用电子的形式完成,它主要输入相关的信息符合预先设定的程序,计算机就可以自动做出相应的意思表示。

4、电子合同具有技术化、标准化的特点。电子合同是通过计算机网络进行的,他有别与传统的合同订立方式,电子合同的整个交易过程都需要一系列的国际国内技术标准予以规范,如:电子签名、电子认证等。这些具体的标准是电子合同存在的基础,如果没有相关的技术与标准电子合同是无法实现和存在的。

5、电子合同中的意思表示电子化。意思表示的电子化,是指在合同订立的过程中通过相关的电子方式表达自己的意愿的一种行为,这种行为的表现方式是通过电子化形式实现的。《电子商务示范法》中将电子化的意思表示称之为“数据电文”。

二、电子合同成立时间与地点

电子合同成立时间,是指电子合同开始对当事人产生法律约束力的时间。在一般情况下电子合同的成立时间就是电子合同的生效时间,合同成立的时间是对双方当事人产生法律效力的时间。一般认为收件人收到数据电文的时间即为到达生效的时间。联合国《电子商务示范法》第15条和我国的《合同法》第16条的规定基本相同。[8]如收件人为接收数据电文而指定了某一信息系统,该数据系统进入该特定系统的时间,视为收到时间。如收件人没有指定某一特定信息系统的,则数据电文进入收件人的任一信息系统的时间为收到时间。对于什么是“进入”,笔者认为,一项数据电文进入某一信息系统,其时间应是在该信息系统内可投入处理的时间,而不管收件人是否检查或者是否阅读传送的信息内容。

认定发送和接收电子合同的时间对于判断交易成立和生效具有重要的意义。我国的《合同法》对此只是做了原则性的规定。根据《合同法》和民事法律关系基本原理和电子合同的实际情况,认定发送和接收电子通讯时间的默认规则为,在双方没有相反约定的情况下,某个电子信息进入某个输送人无法控制的信息系统就视为该信息已经被发送,如果信息先后进入了多个信息系统,则信息发送的时间以最先进入其网络服务提供者的服务器,在发送到接收人的计算机系统,那么该信息被发送的时间就是先进入网络服务提供者的服务器的时间。[9]在判断信息接收时间方面,如果电子信息的接收人指定了一个信息接收系统,则电子信息进入该系统的时间即为信息接收的时间。

电子合同的成立地点,是指电子合同成立的地方。确定电子合同成立的地点涉及到发生合同纠纷后由那地、那级法院管辖及其适用法律问题。我国《合同法》第34条规定,承诺生效的地点为合同成立的地点,采用电子意思表示形式订立合同的收件人的主要营业地为合同成立的地点,没有主要营业地的,其经常居住地为合同成立的地点,当事人另有约定的从其约定。我国立法对电子意思表示采取的是“到达主义”,所以规定以收到地点为合同成立的地点,其原因是考虑到当事人意思自治原则和特殊性问题。我国《合同法》第34条之所以这样规定,主要是因为电子交易中收件人接收或者检索数据电文的信息系统经常与收件人不在同一管辖区内,上述规定确保了收件人与视为收件地点的所在地有着某种合理的联系,可以说我国《合同法》这一规定充分考虑了电子商务不同于普遍交易的特殊性。

三、电子合同订立与成立

电子合同的订立,是指缔约人做出意思表示并达成合意的行为和过程。任何一个合同的签订都需要当事人双方进行一次或者是多次的协商、谈判,并最终达成一致意见,合同即可成立。电子合同的成立是指当事人之间就合同的主要条款达成一致的意见。电子合同作为合同中的一种特殊形式,其成立与传统的合同一样,同样需要具备相关的要素和条件。世界各国的合同法对合同的成立大都减少不必要的限制,这种做法是适应和鼓励交易行为,增进社会财富的需要,所以说在电子合同的成立上,只要当事人之间就合同的主要条款达成一致的意见即可成立。关于合同中的主要条款,现行的立法是很宽泛的,我国的《合同法》第12条做了列举性的规定,但是该列举性规定是指一般条款。笔者认为,就合同的主要本质而言,在合同主要条款方面如果当事人有约定,要以双方约定为主要条款,如果没有约定的可以根据合同的性质的予以确定合同主要条款。

合同的成立与合同的订立是两个不同的概念,两者既有联系又有区别。电子合同的成立需要具备相应的要件。首先,订约人的主体是双方或者是多方当事人,合同的主体是合同关系的当事人,他们实际享受合同权利并承担合同义务的人。[4]其次,订约当事人对主要条款达成合意,合同成立的根本标志在于合同当事人就合同的主要条款达成合意。最后,合同的成立应该具备要约和承诺两个阶段,《合同法》第13条规定:“当事人订立合同,采取要约、承诺方式。”

(一)要约和要约邀请

要约是指缔约一方以缔结合同为目的而向对方当事人作出的意思表示。关于要约的形式,联合国的《电子商务示范法》第11条规定:除非当事人另有协议,合同要约及承诺均可以通过电子意思表示的手段来表示,并不得仅仅以使用电子意思表示为理由否认该合同的有效性或者是可执行性。要约的形式,即可以是明示的,也可以是默示的。要约通常都具有特定的形式和内容,一项要约要发生法律效力,则必须具备特定的有效要件:1、要约是由具有订约能力的特定人做出的意思表示。2、要约必须具有订立合同的意图。3、要约必须向要约人希望与之缔结合同的受要约人发出。4、要约的内容必须明确具体和完整。5、要约必须送达受要约人。[5]

要约邀请是指希望他人向自己发出要约的意思表示。在电子商务活动中,从事电子交易的商家在互联网上广告的行为到底应该视为要约还是要约邀请?[6]在该问题上学界有不同的观点,一种观点认为是要约邀请,他们认为这些广告是针对不特定的多数人发出的。另一种观点认为是要约,因为这些广告所包含的内容是具体确定的,其包括了价格、规格、数量等完整的交易信息。笔者认为,虽然电子商务是新型的商业活动形式,但是其与传统商业活动的区别只是使用的中介媒介不同,其法律特征应当是相同的。因此,就该问体的区分仞然要回到《合同法》中去解决。根据法律的规定,判断网络广告是否属于要约邀请的标准是:1、意思表示的内容是否具体确定,2、其发出人是否有受该意思表示约束的意图。

要约一旦做出就不能随意撤销或者是撤回,否则要约人必须承担违约责任。我国《合同法》第18条规定:“要约到达受要约人时生效”。由于电子交易均采取电子方式进行,要约的内容均表现为数字信息在网络上传播,往往要约在自己的计算机上按下确认键的同时对方计算机几乎同步收到要约的内容,这种技术改变了传统交易中的时间和地点观念,为了明确电子交易中何谓要约的到达标准,《合同法》第16条第2款规定:“采用数据电文形式订立合同,收件人指定特定系统接收数据电文的,该数据电文进入该特定系统的时间,视为到达时间,未指定特定系统的,该数据电文进入收件人的任何系统的首次时间,视为到达时间。”[7]

(二)承诺

承诺,又称之为接盘或接受,是指受要约人做出的,对要约的内容表示同意并愿意与要约人缔结合同的意思表示。我国的《合同法》第21条规定:“承诺是受要约人同意要约的意思表示”。意思表示是否构成承诺需具备以下几个要件:1、承诺必须由受要约人向要约人做出。2、承诺必须是对要约明确表示同意的意思表示。3、承诺的内容不能对要约的内容做出实质性的变更。4、承诺应在要约有效期间内做出。要约没有规定承诺期限的,若要约以对话方式做出的,承诺应当即时做出,要约以非对话方式做出的,承诺应当在合理期间内承诺,双方当事人另有约定的从其约定。

承诺的撤回,是指受要约人在发出承诺通知以后,在承诺正式生效之前撤回承诺。根据《合同法》第27条的规定:“承诺可以撤回。撤回承诺的通知应当在承诺通知达到要约人之前或者是承诺通知同时达到要约人。”因此,承诺的撤回通知必须在承诺生效之前达到要约人,或者是与承诺通知同时到达要约人,撤回才能生效。如果承诺通知已经生效,合同已经成立,受要约人当然不能在撤回承诺。对承诺的撤回问题学界有不同的观点,反对者认为电子商务具有传递速度快,自动化程度高的特点,要约或者承诺生效后,可能自动引发计算机做出相关的指令,这样会导致一系列的后果。赞同承诺撤回的学者则认为不管电子传输速度有多快,总是有时间间隔的,而且也存在网络故障、信箱拥挤、计算机病毒等突发性事件的存在,似的要约、承诺不可能及时到达。笔者认为,撤回承诺同要约的撤销同样重要,这种民事权利不能剥夺,否则会破坏我国《合同法》的体系与精神。

四、电子签名与电子认证

转贴于 电子合同成立是双方当事人意思一致的结果,在传统的合同订立过程中,国际上通行的做法是用双方当事人的签字来确定双方的意思表示。我国的《合同法》第32条规定:“当事人采用合同形式订立合同,自双方当事人在合同书上签名或者加盖公章时合同成立。”当事人的签字或者盖章,意味着自然人或者法人在合同书上签名或者是加盖公章合同才发生法律效力。在电子商务合同中,要在这种合同书上签字或者盖章是很困难的。所以,在实践中用何种技术来解决签名和盖章问题是电子合同成立与生效的关键。

美国是世界上最先授权使用数字签名的国家,他规定了用密码组成的数字与传统的签字具有同等的效力[10].从技术的角度而言,电子签名主要是指通过一种特定的技术方案来赋予当事人一个特定的电子密码,确保该密码能够证明当事人身份的作用,而同时确保发件人发出的资料内容不被篡改的安全保障措施。电子签名的主要目的是利用技术的手段对数据电文的发件人身份做出确认及保证传送的文件内容没有被篡改,以及解决事后发件人否认已经发送或者是收到资料等问题。[11]因此,验证解密得到的结果与经过计算后的结果必然不同,从而保证了电子信息的真实性与完整性[12].

电子认证与电子签名一样都是电子商务中的安全保障机制,是由特定的机构提供的,对电子签名及其签署者的真实性进行验证的服务。电子认证,是指由特定的第三方机构通过一定的方法对签名及其所做的电子签名的真实性进行验证的一种活动。电子认证主要应用于电子交易的信用安全方面,保障开放性网络环境中交易人的真实与可靠。电子认证是确定某个人的身份信息或者是特定的信息在传输过程中未被修改或者替换。[13]电子认证即可以在当事人相互之间进行,也可以由第三方来做出鉴别。电子商务活动常常是跨国境的,各个参与方就需要有不同的国家的认证机构对各自的身份进行认证,并向电子商务活动的相对方发放认证证书,这在实践中就需各国相互承认对方国家认证机构发放的电子认证证书的效力。

在认证机构的设立上,必须强调认证机构是一个独立的法律实体,能够以自己的名义从事数字服务,并且能够以自己的财产提供担保,能在法律规定的范围内自己承担相应的民事责任。他必须是保持中立,并具有可靠性、真实性和公正性。电子认证机构一般不得直接和客户进行商业交易,也不能在当事人之间的交易活动中代表任何一方的利益,而只能通过公正的交易信息促成当事人之间的交易。它必须能被当事人接受,也就是说,它应当在社会具有相当的影响力和可信度,并足以使人们在网络交易中愿意接受其认证服务。当事人对电子认证机构的接受可能是明示的,也可能是在网络交易中默示承认或者是基于成文法律的要求。另外,电子认证机构不能以盈利为目的,认证机构应当是一种类似于承担社会服务功能的公用事业,其营业的宗旨应该是提供公正、安全的交易的环境,保护第三人的合法权益,促进电子合同交易,加快电子商务的发展。

五、电子合同生效

电子合同的成立只是意味着当事人之间已经就合同内容达成了意思表示一致,但合同能否产生法律效力,是否受法律保护还需要看他是否符合法律的要求,即合同是否符合法定的生效要件。电子合同的成立并不等于电子合同的生效,电子合同的生效,是指已经成立的合同符合法律规定的生效要件。虽然我国的《合同法》没有对合同的生效做出具体的规定,但是电子合同是一种典型的民事法律关系。我国的《民法通则》第55条规定:“民事法律行为应当具备以下几个要件:1、行为人具有相应的行为能力。2、意思表示真实。3、不违反法律或社会公共利益。”这些条件是合同生效的一般要件,有的电子合同还需具备特殊要件,如有些特殊的电子合同还需到有关部门办理批准登记手续后才能生效。电子合同的生效需具备以下几个法定要件:

(一)行为人具有相应的民事行为能力。行为人具有相应的民事行为能力的要件在学理上又被称为有行为能力原则或主体合格原则。[14]行为人必须具备正确理解自己行为性质和后果,独立地表达自己的意思的能力。

(二)不违反法律和社会公共利益。不违反法律和社会公共利益,是指电子合同的内容合法。合同有效不仅要符合法律的规定,而且在合同的内容上不得违反社会公共利益。在我在我国,凡属于严重违反公共道德和善良风俗的合同,应当认定其无效。

(三)电子意思表示真实。是指利用资讯处理系统或者电脑而为真实意思表示的情形。电子意思表的形式是多种多样的,包括但不限与电话、电报、电传、传真、电邮、EDI、因特网数据等,具体通过封闭型的EDI网络,局域网与因特网连接开放型的因特网或传统的电信进行电子交易信息的传输。

(四)合同必须具备法律所要求的形式。我国现行的法律规定无法确认电子合同的形式属于那一种类型,尽管电子合同与传统上面合同有着许多差别,但是在形式要件方面不能阻挡新科技转化为生产力的步伐,立法已经在形式方面为合同的无纸化打开了绿灯。法律对数据电文合同应给予书面合同的地位,无论意思表示方式是采用电子的,光学的还是未来可能出现的其他新方式,一旦满足了功能上的要求,就应等同与法律上的“书面合同”文件,承认其效力。[15]

六、电子合同监管

网上广告、网上购物、网上合同、网上支付等新型网络交易活动给工商行政管理机关提出了新的要求。工商行政管理机关是国家主管市场监督管理和有关行政执法的职能部门,工商行政管理部门监管的市场是社会主义市场经济下的大市场,工商行政管理机关对电子合同进行监督管理责无旁贷,该项职能是由法律所赋予的。[16]工商部门对电子合同监管能促进网络市场交易的公平性、安全性、经济性,能有效的保护消费者和经营者的合法权益,能减少合同争议和违法合同,提高合同的履约率,维护市场交易安全,促进经济的发展。

我国现阶段的电子合同监管主要存在着以下几个方面的问题:一是电子合同的实体法和监管的程序法等立法不能适应现阶段的要求。对电子合同的监管是一个技术性很强的工作,没有相关的规章制度是无法开展的。二是相关的技术与配套工程没有确立,从而无法保证电子合同的监督与管理工作。电子合同交易的开展需要一系列的配套措施,是一个系统的工程,如市场主体制度的认证,电子合同效力、电子合同交易的安全性与真实性问题,电子证据、电子合同争议的管辖权等等。目前的立法严重滞后,严重影响电子合同的交易和监管力度。三是现有的工商登记制度无法对网络交易主体进行监管,没有统一的认证机构。四是工商行政管理机关执法人员的水平和能力有限,执法的手段单一。目前,我国基层工商机关自动化办公水平有待提高,计算机知识、网络技术有待加强。执法人员对网络交易行为不了解,不能快速的对网络市场信息进行有效的收集、分析和整理,从而影响了电子合同监管的力度。

工商行政管理机关对电子合同的监管是对电子合同交易的整个过程的监管,从电子合同要约,电子合同的订立、电子合同的交付、电子合同的签证、电子合同争议的处理等。[17]笔者认为根据等同法则电子合同具有书面合同的形式与性质,现阶段我们不能用原有的方法来对电子合同进行监管。电子合同的监管是对签约前、签约过程以及签约后电子合同的履行等监管。电子合同签约前的阶段主要是对买卖信息的检索,对整个交易行为做充分的准备工作,这就需要政府和只能部门提供一系列的配套措施。作为政府职能部门的工商行政管理机关,就应该对网络市场予以规范和管理,为电子合同的广泛使用提供良好的网络环境,保障网络交易的安全性、公正性,促进网络交易行为,提高履约率。[18]

笔者认为工商部门对电子合同的监管应注重以下几个方面:一是建立电子合同监管平台。工商行政管理机关应该按照所辖区域设立电子合同监管平台,各级工商行政管理机关应该对所辖区域的经济主体经济情况对公众公开,以备市场相对人进行查询和了解。这种信息包括对企业的信用、资金、企业产品质量,有无违规经营等一切公众资料,涉及企业商业秘密的没经权利人同意的不能公开。二、对电子合同的监管应该是对电子合同是否违反法律、法规、规章进行审查。纠正电子合同中违法行为,查处利用电子合同进行违法交易的行为,以及违约的处罚。三是完善我国物流配送体系,加强电子合同依法履行的监管工作,促进电子合同交易的成功率。四是建立电子合同签证网。电子合同签证是对合同签证的延伸,电子合同签证网的建立能有效的弥补书面签证的缺陷,减少人力、物力和才力方面的支出,提高工作效率。五是建立网上电子合同监管投诉中心,及时反映合同监管中的问题,保护消费者的合法权益。六是加强电子合同的法律法规的研究制定工作,建立有效的网络监管体制,维护市场经济的安全。七是加强执法人员的培训工作,提高执法人员的水平。电子合同监管是一项技术性很强的工作,他涉及的知识面广泛,需要不断的学习和更新知识结构。八是加强对工商部门职能的宣传工作,特别是要加强对电子合同监管的必要性和可行性的宣传力度。面对新的挑战,工商行政管理机关要认真的研习新《合同法》的基本原理和精神,熟悉电子信息技术,切实有效的对电子合同实施监管,维护市场经济秩序的健康发展。

注 释:

1、齐爱民、万暄、张素华著:《电子合同的民法原理》,武汉大学出版社2002年版,第9页。

2、齐爱民、万暄、张素华著:《电子合同的民法原理》,武汉大学出版社2002年版,第17页。

3、吴汉东:《论信用权》,《法学》2001年第1期。

4、王利明、崔建远著:《合同法新论。总则》,中国政法大学出版社2000年版,第123页。

5、王利明、崔建远著:《合同法新论。总则》,中国政法大学出版社2000年版,第130—135页

6、张楚著:《电子商务法初论》,中国政法大学出版社2000年版,第273页。

7、蒋坡:《论我国电子商务法律体系和基本架构》,《科技与法律》2002年第2期。

8、于静:《电子合同若干法律问题初探》,《政法论坛》1999年第6期。

9、郑成思、薛虹:《我国电子商务立法的核心法律问题》,《知识产权》2000年第5期。

10、邱永红、魏丽:《国际贸易中应用EDI的法律问题新探》,《国际经济贸易研究》1998年第2期

11、蒋坡:《论我国电子商务法律体系和基本架构》,《科技与法律》2002年第2期。

12、唐春林、王颖、郭敏之著:《电子商务基础》,科学出版社2000年版,第37页。

13、刘满达:《数字签名的法律思考》,《法学》2000年第12期。

14、王利明、崔建远著:《合同法新论。总则》,中国政法大学出版社2000年版,第240页。

15、蒋坡:《论我国电子商务法律体系和基本架构》,《科技与法律》2002年第2期。

验证电子合同的有效方法范文5

关键词:签名 认证 法律规制

 

一、电子合间引发的签名及认证的新问题

随着信息高速公路和因特网技术的迅速普及,电子邮件、电子数据交换等现代通讯手段在商务交易中的广泛应用,合同以一种新的形式即电子合同的形式出现,并迅速发展成为电子商务活动的一种重要工具和载体。电子合同利用信息技术改变了传统的贸易观念和方式,同时也引发了一系列新的法律问题,在此就与安全有关的电子签名和电子认证问题做些讨论。

第一,电子签名与合同安全。众所周知,电子合同是通过网络中的数据交换来传递信息的,其赖以存在的介质是电脑硬盘或软盘的磁性介质,它不同于传统的书面合同是将信息记载或附着于一定的物质载体(纸)_L。由于电子合同的“无纸性”,对其进行传统意义上的亲笔签字即在文件上写上当事人的名字或盖章显然是不可能的。因此我国《合同法》第33条规定,电子合同的成立应以在确认书上签章为要件。但如果在现实中每签订一份电子合同都要事先签订一份确认书且在确认书上进行签章,那么将无法发挥电子合同快捷、低成本的优点,电子合同就失去了存在的意义和价值。而另一方面,签名在法律上的意义就在于证明及确认某项意思表示或法律文件之成立、生效以及内容的确实性。川为了保证交易安全,确认当事人的身份及合同内容,签名对于电子合同来说又是必不可少的一个重要环节。现实对传统的签名提出了挑战。

第二,电子认证与合同安全。由于网络具有虚拟性的特点,使得电子合同虽有与传统合同相同的法律效果,却始终是不同于传统合同的。交易双方甚至往往是相互陌生的,互相不确定真实身份及真实意图,即使交易双方是在一定的信任基础上进行交易,网络中的交易信息在传输存储交换过程中被删改、窃取、拦截等情况也会发生,不能通过有效途径或有关无利害关系的第三方通过认证,保证信息的可靠性、可用性、完整性、保密性、不可抵赖性,就会导致当事人责任不明,阻碍交易的进行或不利于纠纷的解决,电子交易就会处于相当脆弱的境地,其发展的余地可想而知。安全是电子合同的生命之所在,没有安全,就不可能有电子合同的存在与广泛应用,而电子合同的安全性主要体现在签名和认证上。因此,有必要对电子合同的签名及认证问题进行研究,找到一种切实可行的办法来解决由电子合同引发的安全间题。

二、电子签名在我国法律上的确认

关于电子签名(electronicsi,ature),国外及国际组织或是从签名形式的角度,或是从法律意义的角度阐述了电子签名的含义。笔者认为,电子签名简言之就是指以电子形式存在,依附于电子文件,并与其逻辑相关,可用来辨识电子文件签署者身份及表示签署者同意电子文件内容者。

电子签名本身是一种电子数据,储存在计算机硬盘或软盘中,极易被修改或破坏,且不会留下痕迹,而书面签章可以向法庭提交初始文件,因而电子签名的证明力不如书面签章;在电子交易中,当事人一方可能同时拥有多个电子签名,可能在不同的系统中使用不同的电子签名,不如书面签名那样具有唯一性。尽管电子签名在这些方面逊色于传统的签名,但它满足了电子合同快捷的要求,其存在的价值在现代交易中得以体现。因此,不妨先认可电子签名的可应用性,然后找到一种依赖于高新技术的安全可靠的方式以及完善的制度设计来增加对电子签名的信任度和安全感。

纵观各国立法或条例,其中都涉及到了电子签名的概念、效力问题。我国香港、台湾地区对此也有相关的规定。反观我国大陆,无论立法,还是司法解释,都未涉及电子签名,我国《合同法》显出了它的滞后性。笔者建议在《合同法》或司法解释中对电子签名的概念、种类、效力等基本问题作出规定,使之更有利于指导实践。具体应涉及以下几个方面:

第一,电子签名的概念。适用一个新的概念之前,首先应清楚其具体含义。电子签名主要包含了三层惫思:(l)电子签名是以电子形式存在的;(2)电子签名能确认电子合同的内容:(3)当事人通过电子签名表明其身份,并表明接受合同项下的权利义务,继之表明愿意承担可能产生的合同责任。

第二,电子签名的种类。目前电子签名的主要方式是以非对称密钥体系为荃础建立起来的数字签名,但不可否认还有其它签名形式的存在,如PIN码等,以及今后可能会出现的更先进的签名方式。在法律中不能只规定流行的做法,应考虑到在现实基础上的技术的多样性及可能性。电子签名离不开技术的支持,而技术由于人类认识世界和改造世界的能力的不断提高也是不断进步和完善的。从某种意义上来说,后出现的技术优于先出现的技术,也包括攻击破坏技术。如果法律只规定现今广泛应用的技术,则不能适应新环境下对安全性的要求)为此,法律必须不断修改以适应新的需求,如此必将牺牲法律的稳定性和权威性。另外,法律的单一性规定可能会妨碍其他技术的应用,导致垄断、歧视。因此,法律需要在电子签名的种类问题上保持中立我国应采取折衷的方法,一方面规定电子签名的一般效力,允许运用以任何技术为基础的电子签名,保持技术的中立性;另一方面.又对所谓的“安全电子签名”(即数字签名)作出特别规定,并建立配套的认证机制,与国际接轨。 

第三,电子签名的效力。有学者认为,根据“功能等同原则”,电子签名具有与传统签名同等的法律效力。然而,电子签名的法律效力并不是由原则来赋予的,要使电子签名具有与传统签名同等的效力,只能通过立法的形式。就电子签名的内涵而言,它与传统签名别无二致,只是表现形式不同而已。在电子交易中,只要能使用一种方法来鉴别电子意思表示的发端人并证实发端人认可了该电子意思表示的内容,即可达到签字的基本法律功能。国外电子商务的相关立法或正在提交审议的草案中均承认了电子签名的效力。为了便于国际领域的商务活动,法律应该承认电子签名的效力。

三、电子认证制度在我国的建立

验证电子合同的有效方法范文6

一、信息安全防护策略

安全防护策略的实施包含安全过程、安全功能、安全服务、安全管理等环节;对于各种应用系统必须从一开始就进行系统的安全性设计,安全功能应集成在系统设计中,安全过程不是静态的,应该是个有效的闭环过程,包含进行安全评估,制定安全防护策略,进行安全防护实施,安全培训,安全监视等。信息安全是指信息在产生、传输、使用、存储过程中不被泄露或者破坏,确保信息的“保密性、完整性、可用性和不可否认性”,信息的保密性就是防止非法访问;信息的完整性就是防止非法修改或窃取信息;信息的可用性就是防止服务拒绝,确保经授权的访问;信息的不可否认性就是抗抵赖,信息给出的事件是确定的;要确保信息系统能够有效隔离各种威胁和攻击就必须建立起高效的安全防护体系。针对信息的“保密性、完整性、可用性和不可否认性”采取可靠的安全防护措施。如下图所示:

二、信息安全技术

电力系统的信息安全防护主要考虑的安全环境有:变电站内部,变电站之间,控制中心到变电站,用户到变电站;而在对等通信模式下的信息安全存在着诸多隐患:人员的疏忽造成密码的泄露;密码的定义级别或者没有采取认证;系统的升级或者过载、认证过期等造成的系统的拒执行;网关服务器或者终端用户的过于复杂造成的访问被窃取或者被阻断、修改等;因此必须针对电力系统的运行特征制定信息的安全防护,主要从物理安全性及软件安全性两方面着手。

1、物理安全性方面

一种方法是采用虚拟网技术(VLAN),使每个VLAN都包含一组有着相同需求的计算机工作站。这样就可以实现电网的运行数据以及各种调度信息存储于不同的节点,降低了人为破坏或者自然灾害的风险。因此在数字化变电站建设过程中,更合理的解决方案就是在IED内部具有足够的信息处理能力,这样就能将数据调用功能设置为VLAN1,实际保护跳闸和远方跳闸命令功能设置VLAN2,用于SCADA系统信息的功能设置为VLAN3。因此基于规约的VLAN技术可以在逻辑层划分不同的应用,而不需要分别的物理端口就可以有效地实现信息的安全隔离。另一种方法是采用多智能体技术。多智能体是分布人工智能DAI研究的前沿领域,是由多个智能体组成的系统。这种方法的基础与上一措施相同,都是分布式网络。不同的是,多智能体技术赋予每一个受监控点一定的决策及协调能力,这样就比单纯的分布式网络更为灵活,并且安全系数更高,通过策略库可以应对出现的比较复杂的情况。

2、软件安全性方面

第一种方法是采用数字签名技术。

数字签名是基于保密算法的程序式安全措施,其安全程度取决于算法的复杂和精准程度。数字化变电站主要考虑对变电站运行信息(遥控信息、遥调信息、保护装置和其他安全自动装置的整定信息等)应用数字签名。

所谓数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证无法比拟的。数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。

目前的数字签名是建立在公共密钥体制基础上,它是公用密钥加密技术的另一类应用。它的主要方式是,报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的私人密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公用密钥来对报文附加的数字签名进行解密。如果两个散列值相同、那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别。

应用广泛的数字签名方法主要有三种,即:RSA签名、DSS签名和Hash签名。这三种方法可单独使用,也可综合在一起使用。数字签名是通过密码算法对数据进行加、解密变换实现的,用DES算法、RSA算法都可实现数字签名。但三种技术或多或少都有缺陷,或者没有成熟的标准。

用RSA或其它公开密钥密码算法的最大方便是没有密钥分配问题(网络越复杂、网络用户越多,其优点越明显)。因为公开密钥加密使用两个不同的密钥,其中有一个是公开的,另一个是保密的。RSA算法中数字签名技术实际上是通过一个哈希函数来实现的。数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一个最简单的哈希函数是把文件的二进制码相累加,取最后的若干位。哈希函数对发送数据的双方都是公开的。

DSS数字签名是由美国国家标准化研究院和国家安全局共同开发的。由于它是由美国政府颁布实施的,主要用于与美国政府做生意的公司,其他公司则较少使用,它只是一个签名系统,而且美国政府不提倡使用任何削弱政府窃听能力的加密软件,认为这才符合美国的国家利益。

Hash签名是最主要的数字签名方法,也称之为数字摘要法或数字指纹法。它与RSA数字签名是单独的签名不同,该数字签名方法是将数字签名与要发送的信息紧密联系在一起,它更适合于电子商务活动。将一个商务合同的个体内容与签名结合在一起,比合同和签名分开传递,更增加了可信度和安全性。数字摘要加密方法亦称安全Hash编码法或MD5,由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹,它有固定的长度,且不同的明文摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了。

第二种方法是采用防火墙技术。

它广泛应用于互联网,可以在有数据沟通的终端之间,通过TCP/IP协议完成对数据流的安全保护。并且这种措施可以根据实际情况应用不同的安全等级策略,方便、灵活。

传统意义上的防火墙技术分为三大类,“包过滤”、“应用”和“状态监视”,无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。

(1)包过滤技术

包过滤是最早使用的一种防火墙技术,它的第一代模型是“静态包过滤”,使用包过滤技术的防火墙通常工作在OSI模型中的网络层上,后来发展更新的“动态包过滤”增加了传输层。包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道,它把这两层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃。适当的设置过滤规则可以让防火墙工作得更安全有效,但是这种技术只能根据预设的过滤规则进行判断,一旦出现一个没有在设计人员意料之中的有害数据包请求,整个防火墙的保护就相当于摆设了。包过滤技术的防火墙,其缺点是很显著的:它得以进行正常工作的一切依据都在于过滤规则的实施,但是偏又不能满足建立精细规则的要求(规则数量和防火墙性能成反比),而且它只能工作于网络层和传输层,并不能判断高级协议里的数据是否有害。

(2)应用技术

防火墙采取机制进行工作,内外部网络之间的通信都需先经过服务器审核,通过后再由服务器连接,根本没有给分隔在内外部网络两边的计算机直接对话的机会,可以避免入侵者使用“数据驱动”攻击方式(一种能通过包过滤技术防火墙规则的数据报文,但是当它进入计算机处理后,却变成能够修改系统设置和用户数据的恶意代码)渗透内部网络,可以说,“应用”是比包过滤技术更完善的防火墙技术。型防火墙的结构特征偏偏正是它的最大缺点,由于它是基于技术的,通过防火墙的每个连接都必须建立在为之创建的程序进程上,而进程自身是要消耗一定时间的,更何况进程里还有一套复杂的协议分析机制在同时工作,于是数据在通过防火墙时就不可避免的发生数据迟滞现象。

(3)状态监视技术