前言:中文期刊网精心挑选了电子合同的安全性范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
电子合同的安全性范文1
电子商务作为一种新的经济交易方式,随着互联网的发展也在各种企业中蓬勃发展。它对传统企业经济的影响正逐步显现着。电子商务是以互联网为平台,以信息交换为手段的交易方式,它的兴起与繁荣,给传统交易方式带来了冲击,同时也是对传统交易方式的一种补充。在电子商务情况下,传统经济中的一些基本要素内容也受到了影响。合同这种企业经济生活中不可或缺的要素不可避免地也受到影响。同样,作为合同一种的电子商务合同也应运而生。
电子商务合同作为信息时代的产物和电子商务活动的重要工具,其应用和发展对传统合同造成极大冲击。一方面它以快速、方便的特点给合同的签署带来了方便,也便于合同双方对合同的管理、分类;另一方面它也带来了一些新问题,如信用、安全问题。因此,探讨和研究电子商务合同这一新型的合同形式,对于更有效地进行电子商务活动具有十分重要的意义。
一、电子商务合同的特点
电子商务合同作为一种新形式的合同,它与传统的合同在内容上无本质区别。在订立电子合同过程中,合同所起的意义和作用并没有发生改变。但其签订过程和载体却是以不同于传统意义上的合同出现的。通过比较,电子商务合同具有如下特征:
(一)电子商务合同是以互联网为平台,以交换数据电文方式传输订立的。传统的合同是以面对面地协商、谈判以及信函、电传等方式签署订立的。而电子商务合同不需要双方的直接对话协商和谈判,它以网络电子为媒介进行谈判内容的协商和处理。它主要是以合同一方――互联网――合同另一方这一过程进行合同的协商和签署的。
(二)电子合同交易的主体不同。传统的合同交易主体是人,而电子商务合同的交易主体是以互联网为中介的任何自然人、法人或其他组织。一个合同方可以同时与几个主体进行合同的协商和签署。
(三)电子合同生效的时间地点和方式与传统合同也有所不同。传统合同一般以当事人签字或者盖章的方式表示合同生效,而在电子合同中,表示合同生效的传统签字、盖章方式被电子签名所代替。
二、企业签订电子商务合同存在的问题
由于电子合同具有不同于传统合同的特征,所以企业在签订电子合同过程中显现出与传统合同签订的不同,也出现了新的需要解决的问题。
(一)与签订传统合同相比,企业存在更大的风险。首先,在订立传统合同时,各方当事人一般通过面对面的谈判或以其他诸如信件、电报、电传、传真等方式进行协商,并最终当面签订合同。而在电子合同的谈判、协商和签订时,各方当事人可能互不谋面。交易双方可以是任何人,当事人的身份需要依靠认证才能确定,而这种确定的过程具有风险性。从这两方面看,在签署电子合同过程中,存在着比签订传统合同更大的风险。然而,电子合同以其迅速、快捷和便于管理的特点又极大地吸引着商务活动者去使用它。
(二)信用问题进一步凸显。签署电子合同的风险不仅限于签署一般合同所面临的风险,它对各方当事人的信用度、文件传输的安全性,以及文件在法律上的有效性提出了更高的要求。由于当事人各方在签署电子合同时可能素未谋面,这就需要各方必须以更高的信用作为基础去进行谈判和签署合同。而在签署合同前,各方必须相互对对方的信用程度做出必要的评估,这就需要建立一种信用制度,以使各方在事前就能够比较全面地了解对方。只有相互信任,才能使各方有达成一致意见的基础,否则即使达成协议,在执行过程中也会出现信用危机,甚至对簿公堂。可是,由于我国在建立信用制度方面还不够完善,所以一些企业为了规避较大的信用风险,如果使用电子合同,一般也仅限于那些交往多年深为熟知的客户。企业这样做,虽然加强了合同的安全性,但同时也限制了企业与其他更广泛客户的交流,甚至会因为相互不信任而失去拓展市场的机会。
(三)合同传输过程需要更高的安全性。安全问题一直是电子商务活动的瓶颈,尤其是在文件传输过程中,文件内容有可能被截取、修改,甚至丢失。所以,与传统的互传文书的形式相比,签订电子商务合同的安全性较差。面对面的交换意见、协商和签订文件总比通过虚拟网络来得实在可靠。由于网络的安全问题并未得到彻底的解决,大部分企业对采用电子合同持谨慎态度,这也限制了电子合同乃至总体电子商务的发展。
三、如何规避电子商务合同中的风险
从电子合同的特点和存在的问题可知,如何规避或减少安全风险成为普及电子合同的关键问题。本文认为应从以下几个方面入手:
(一)提高电子传输过程的安全性。就目前看,电子数据交换和电子邮件是电子合同订立的主要方式。前者安全性较高,但费用也高,它主要为大企业所采用。而中小企业更愿意采用相对灵活且成本低廉的电子邮件方式。从使用的广度来说,如果电子邮件的安全性问题得到彻底解决,那么对于电子商务活动的意义更大。目前,解决这一问题的一种方法是在进行文件传输过程中使用电子签名。这大大提高了安全性,但这种方法并未得到普及。另一种为广大中小企业普遍采用的方法是:与传统的工具相结合来签订电子合同。借助传统工具如传真,既起到确认合同内容的准确性,又可作为签署合同的法律依据。在合同协商过程中,各方可先通过电话达成合作意向,然后通过电子邮件将各自的要求条件传给对方,在各方修改后,再相互通过电子邮件交换,这样反复,最终达成共识。达成共识后,通过传真确定合同内容的准确性,然后,再通过邮件或以传统书面形式真正签订合同。这种形式相对完全传统的形式来说,减少了中间环节的时间消耗,提高了效率,同时又提高了单独采用电子方式的安全性,但它只是一种过渡形式。
(二)建立企业信用机制,提高企业的信用程度。在电子安全性得到满意解决的情况下,签订电子合同的风险将主要来自签订各方的信用程度。传统合同的签订虽然存在信用问题,但因为签订各方是通过直接面对面的协商和谈判,所以降低了各方的信用风险,一旦发现事情有所变化,可以及时采取补救措施。而电子合同中,减少了直接面对面的交流,这就增加了信用风险。一旦有一方存在欺骗――这种欺骗更隐秘、更不容易被察觉,那么可能给被骗方带来更大的损失。因此,建立企业的信用机制尤其必要,这需要政府、企业以及相关各方的共同努力。
电子合同的安全性范文2
近年来,随着电子技术的发展,“电子商务”、“电子合同”等这类的词随处可见。的确,电子技术给我们的生活带来了很大的变化。我们现在可以实现网上购物;公司企业越来越重视网上销售和网上订货。这种新的交易方式的快速、便捷、高效率,满足了现代商业对交易效率的要求,使我们有理由相信,它还将继续深入我们的生活。
但是,这种新的交易方式同时带给我们的,还有它与传统法律之间的种种不协调。在保证电子商务的高效率的同时,如何保障它的安全性,已经引起了人们的广泛关注。本文仅就电子商务的安全运营问题,从法律的角度进行一些初步的探索。
一、电子商务概说
(一)电子商务的概念
电子商务出现于20世纪90年代,发展的时间并不长,但与传统商务相比,电子商务具有惊人的发展速度。据CNN公布的资料表明:1999年度全球电子商务销售额突破1400亿美元。[1]
但是,究竟什么是电子商务呢?
实际上,迄今为止,电子商务还没有一个被广泛接受的概念。[2]
世界贸易组织(WTO)给电子商务下的定义为:电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。[3]
经济合作发展组织(OECD)认为:电子商务是指商业交易,它包括组织与个人在基于文本、声音、可视化图象等在内的数字化数据传输与处理方面的商业活动。[4]
世界各国对电子商务的理解也不尽相同。
尽管电子商务的定义在内容上各有侧重,但是笔者认为对于电子商务的内涵,一般应至少包括下列三方面的内容:(1)使用电子工具,借助互联网传输信息;(2)在公开环境下交易;(3)依靠一定的技术规范和技术标准,利用数据化的信息来进行交易。
电子商务使用的网络类型主要有三种形式:EDI网络,INTRANET网络和INTERNET网络。由于EDI是专线网络,而INTRANET是企业内部网,其安全性较好,对传统法律规范体系的冲击相对于INTERNET要小得多,因而本文讨论的电子商务主要是指借助于INTERNET网络的电子商务。
(二)电子商务的特点
与传统商务相比,电子商务具有许多特点:
其一,电子商务是在公开环境下进行的交易,其可以在全球范围内进行交易。
由于借助互联网,这就使得经济交易突破了空间的限制;公开环境下的信息公开,使所有的企业可以平等地参与市场竞争。
其二,在电子商务中,电子数据的传递、编制、发送、接收都由精密的电脑程序完成,更加精确、可靠。
其三,电子商务是一种快速、便捷、高效的交易方式。在电子商务中,信息的传递通过网络完成,速度很快,可以节省宝贵的交易时间。
上述特点,是电子商务独有的,传统商务无法实现。
(三)电子商务的安全性要求
电子商务,作为一种新的经济交易方式,它只是在表现形式上与传统商业不同,但是这并没有改变其商业属性,这就要求电子商务的运作必须遵循商业活动的一般规律[5] ,否则,电子商务是无法发展的。
安全与效率,是一切经济交易必须考虑的两个问题。电子商务的存在与发展也必须满足这两个要求。对于电子商务而言,其高效性已经得到了人们充分的认可。但是,安全性呢?电子商务作为一种新生事物,世界各国都尚未形成成熟的安全运营模式。如何在网络环境下,构建与传统法律价值接近的规则体系,已经越来越为人们所关注。
从传统商业与电子商务的不同特点来看,要满足电子商务的安全性要求,至少要有下面几个问题需要解决:
1、交易前交易双方身份的认证问题。电子商务是建立在互联网络平台上的虚拟空间中的商务活动,交易的当事人可能处在不同的国家,他们并不直接见面,双方只能通过数据、符号、信号等进行判断、选择,具体的商业行为也依靠电子信号和数据的交流,交易的当事人再也无法用传统商务中的方法来保障交易的安全。
2、交易中电子合同的法律效力问题以及完整性保密性问题。在传统国际贸易法中,合同形式要求为书面,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。
3、交易后电子记录的证据力问题。在英美法系,传闻证据规则限制了电子记录的证据力。在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至也没有将其单列出来作为证据的一种。
上述这些问题,已经对传统法律制度造成了冲击,也是实现电子商务安全所必须解决的问题。笔者将针对这些问题,从技术安全、组织安全、法律安全三个角度,对电子商务的安全运营问题进行解析。
二、电子商务的技术安全-信息加密及电子签名问题
电子商务的发展是计算机技术发展的结果,其安全保障归根到底要依赖于技术的进步。特别是信息的完整性保密性方面,更需要技术层面的支持,即信息加密技术和电子签名问题。
(一)信息加密技术
由于电子商务是借助INTERNET平台运作的,而INTERNET网络本身具有开放性的特点,因而安全性方面存在先天不足[6] .而交易双方在交易过程中,都希望信息不会被他人篡改和截取。信息加密技术正是针对这个问题的技术解决方案。
简单的说,信息加密技术,就是把要传递的信息在传递时按照一定的规则将其转变为错乱的内容(即加密),在对方接收时,再通过解密程序将乱码清除,即可得到原来的完整的信息,这一过程就是解密。这样,第三方即使截取了信息,也无法获悉其中的内容。
(二)电子签名问题
1、传统签名及其作用
在传统商务中,大多数国家都要求合同的当事人在书面上签名或者盖章。这种签名或盖章主要有以下三个作用:一为表明文件的来源;二为表明签字者已确认文件所载之内容;三为构成证明签字者对文件内容之正确性和完整性而负责任的证据。[7] 在传统商务中,由于这种手写签名的独特性,所以我国和大多数国家都把它作为使书面合同有效的一个必要条件 [8].
2、电子签名及其方法
在电子商务中,交易的平台是互联网,传统的签名已经无法实现其作用。尽管我国《合同法》第三十三条规定了一个补救的方法-“当事人采用信件、数据电文等形式订立合同的,可以在合同成立之前要求签定确认书”,但实际上,这一做法将大大降低电子商务的效率,因而不足取。真正把传统签名的作用与电子商务的互联网运作平台结合起来的,是电子签名。
电子签名,是指在一个数据信息中或附在其后或逻辑上与其有联系的电子形式的签名[9] .其在形式上,与传统签名差别很大,但在功能上,两者却很接近,都是用来鉴别合同的当事人并表明其同意该数据信息的内容。
与传统签名相比,电子签名是一个更复杂的问题,它涉及大量的技术问题。到目前为止,电子签名已经有对称密码、不对称密码、笔迹、生物特征密码等方式。目前,采用较多的是不对称密码。在不对称密码的方式下,加密和解密的钥匙不同,一旦信息被加密,加密钥匙不能解密该信息,只能用解密钥匙才能解密。这样人们就可以广泛分发公开钥匙,而只需保留那么秘密钥匙即可。[10]
但是,这种做法并不是绝对安全的,因为秘密钥匙是可能被人破译的,而且我们相信,随着技术的进步,这种方法将会越来越不安全。
生物特征密码、笔迹密码是相对安全的方法,但是这种辨别技术的成本很高,目前还无法推广普及。
三、电子商务的组织安全-电子认证问题
在电子商务中,交易平台是互联网,交易的双方只能通过数据信息来了解对方,而不能像传统商务中交易的当事人可以通过面对面的接触来了解对方。这样,交易双方的信任很难建立起来。这就需要有专门的组织机构来为交易的当事人进行信任保证,以帮助双方建立信任,促成交易。电子认证机构就是这样的机构,它为电子商务的发展提供了组织安全。
(一)电子认证及其功能
认证,按美国国际贸易文件国家委员会所下的定义,即为“在某法令、记录或其他书面文件的经核准的文本上赋以法律证明,以便将其作为法律可采纳的证据来提供的某种行为或方式”。[11]
电子认证,是以特定的机构,对电子签名及其签署者的真实性,进行验证的具有法律意义的服务。[12]
与电子签名一样,电子认证也是电子商务中的安全保障机制。但两者的具体功能是不同的。电子签名侧重于解决身份辨别与文件归属问题,使数据信息不被否认或者篡改,主要是技术手段上的保证;而电子认证,则侧重解决的是交易人的交易人的可信度问题,主要应用于交易关系的信用安全方面,是一种组织制度上的保证。
电子认证,从根本上说,是一种服务,其通过对交易各方的身份、资信进行认定,对外,防范交易当事人以外的人故意入侵而造成风险,从而防止欺诈的发生;对内防止当事人的否认,以避免当事人之间的误解或抵赖,从而减少交易风险,维护电子交易的安全,保障电子商务活动顺利进行。
(二)电子认证机构及其职责
电子认证是通过特定机构来完成的,这个特定机构就是认证机构。它是电子商务中对用户的电子签名颁发数字证书的机构,它已经成为开放性电子商务活动中不可缺少的信用服务机构。[13]
作为在电子交易中提供信用服务的机构,认证机构必须具有独立性,应是一个独立的法律实体,并具有中立性、可靠性,因此其人员组成、资金设备等都应符合一定的要求,以便能够为商业交易提供一个公正的交易环境。
在电子商务中,电子认证机构要承担下列职责:“(1)监督登记者按照规定办理登记、变更、注销手续;(2)监督登记者按照电子商务的有关法律、法规合法从事经营活动;(3)制止和查处登记者的违法交易活动,保护交易人的合法权益。”[14]
鉴于其在电子商务中的作用,电子认证机构必须忠实地履行其职责,中立地进行工作,对电子交易秩序和交易安全负责。
(三)电子商务认证系统的几种模式
目前,在认证机构的管理与选任上,大致有几种作法:
1、政府主导的电子商务认证体系
该体系是由政府出面对认证机构进行管理,规定认证机构必须具备的条件和应承担的责任,并且在法律上推定经认证机构核实的电子签名具有证据力。
2、行业协会主导的电子商务认证体系
该体系是由认证机构协会负责制订认证机构必须遵守的行业规范,并由其负责对各认证机构进行监督。这种作法强调的是行业自律,但是在具体实施过程中,行业协会如何产生,以及经认证机构协会批准的认证机构核实的电子签名证据力如何,还有待于相关法律的规定。
3、当事人自由约定的电子商务认证体系
该体系没有规定认证机构的行业规则,在实践中,当事人可以自由约定采用何种方式的电子签名,也可约定选用哪个认证机构,具体的权利义务完全由当事人双方自由商定。这种作法给了当事人最大的自主性,适应了技术发展的灵活性,但是势力弱小的消费者,很难在风险责任分担中起作用,而且各认证机构规则不统一,认证结果通用性差。
在我国目前国情下,商家的商业信誉不够,完全采用当事人自由约定的电子商务认证体系是不合适的。[15]
四、电子商务的法律安全-电子合同的法律效力
要保证电子商务的安全运营,法律的保障是不容忽略的。而且,技术支持和组织保障最后都需要由法律来规定其效力。
合同是商业交易的内容,随着电子商务的发展,许多国家都运用法律手段来确定电子合同的效力。美国、欧盟等有关电子商务的法律文件都对电子合同进行了规范,我国《合同法》[16]也顺应时展的潮流,对电子合同这种新型合同形式也作了一些简单的规定。笔者将围绕电子合同问题,对电子商务的法律安全进行阐述。
(一)电子合同的形式及法律效力
我国《合同法》第十条规定:当事人订立合同,有书面形式、口头形式和其他形式。第十一条规定:书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。这说明我国已经承认了电子合同的法律效力,并规定电子合同形式为书面形式。这种规定虽很简单,但对于我国电子商务的发展却是意义深远。
联合国国际贸易法委员会在96年12月通过的《电子商业示范法》第6条中写明:“如果法律要求信息须采用书面形式,则假若一项数据电文所包含信息可以调取以备日后查用,即满足了该项要求。”并且在第11条中规定:“就合同的订立而言,除非当事各方另有协议,一项要约以及对要约的承诺均可通过数据电文的手段表示。如使用了一项数据电文来订立合同,则不得仅仅以使用了数据电文为理由而否定该合同的有效性或可执行性。” [17]
美国的《统一电子交易法》中也有类似的规定。[18]
以上这些法律文件实际上已经承认了电子合同,并且赋予其与传统合同形式相同的法律效力。
(二)电子合同的生效问题-生效时间及地点
在电子商务中,经营者可以通过网页向公众提供有关商品或服务的信息,这种行为属于要约邀请,用户通过电子邮件等方式向经营者发出要约[19] ,经营者可以回复作出承诺 [20].这样一个电子合同就形成了。
1、 要约与承诺生效时间
我国《合同法》第十六条规定:要约到达受要约人时生效。采用数据电文形式订立合同,收件人指定特定系统接收数据电文的,该数据电文进入该特定系统的时间,视为到达时间;未指定特定系统的,该数据电文进入收件人的任何系统的首次时间,视为到达时间。“第六条第二款规定:”采用数据电文形式订立合同的,承诺到达的时间适用本法第十六条第二款的规定。“这一规定有利于明确要约与承诺的生效时间,便于交易双方明确权责。
2、 合同生效地点
我国《合同法》第三十四条第二款规定:“采用数据电文形式订立合同的,收件人的主营业地为合同成立的地点;没有主营业地的,其经常居住地为合同成立的地点。当事人另有约定的,按照其约定。”
这一规定明确了合同成立地,在发生合同纠纷时,利于确定法院的管辖。
《电子商业示范法》中也有类似的规定。
法律文件的这些规定,实际上便是对电子通讯记录的法律效力的确认。
但是,在电子商务环境下,许多传统商务中的问题更加突出。例如,在合同生效时间问题上,英美法系采用发送主义,而大陆法系采用到达主义。在电子商务环境下,交易全球化趋势更加明显,这类问题也就越发突出了。如何解决此类问题,还需要国际社会的共同努力。
(三)电子签名的法律效力
在电子合同中,合同的完整性和保密性主要是通过电子签名来实现的。很多国家在法律上都承认了电子签名的效力。美国的《统一电子交易法》中规定:(a)一个记录或签名的效力或可执行性不得仅因其为电子形式而被否认;(b)一个合同的效力或可执行性不得仅因合同的成立中用了电子记录而被否认;(c)如果某一法律要求记录为书面形式,则电子记录即满足了该法的要求;(d)如果某一法律要求有签名,则电子签名即满足了该法律的要求。[21]
上述规定从法律上承认了电子签名的效力,有利于加强电子商务的安全和促进电子商务的发展。
(四)电子记录的证据力问题
与传统合同不同,电子合同的证据是电子化的,容易被伪造和篡改,而且很难发现改动的痕迹。因此,电子合同的证据力在传统证据规则中,是受到限制的。
针对这个情况,联合国国际贸易法委员会在《电子商业示范法》第9条中规定:对于以数据电文为形式的信息,应给予应有的证据力。在评估一项数据电文的证据力时,应考虑到生成、储存或传递该数据电文的办法的可靠性,保持信息完整性的办法的可靠性,用以鉴别发端人的办法,以及任何其他相关因素。[22]
这一规定既考虑到了电子记录自身的特点,又赋予了其应有的证据力,是对传统证据规则的突破,有利于电子商务的安全运营。
五、加强我国电子商务安全的思考
资源共享、快速、便捷是电子商务迅速发展的原因;而这种开放性也带来了电子商务最大的问题,资源共享的开放性使电子商务在安全方面先天不足。
而安全和保密恰恰是电子商务发展的一项基本要求。目前,一些国际组织已先后制订了一些规定,来保障电子商务的安全性,美国等发达国家也制订了一些这方面的规则。[23]
但是,我国目前还没有这方面的专门规定。
另外,我国商家的商业信誉远远不够,在电子商务的环境中,人们对安全性更是普遍存有疑虑。这已经成为阻碍我国电子商务发展的一个重要因素。
如何保障我国的电子商务安全运营,已经成为关系到我国未来经济发展的一个重要问题。对此,笔者认为应努力做到以下几点:
1,对电子商务进行专门立法。
电子商务是一个新生事物,很多方面不同于传统商务,与传统的法律规范体系也存在着诸多的不相容之处,而且,传统的法律规范体系中还有许多电子商务方面的空白。这一情况已经在实践中引起了不少的问题。台湾就有这方面的案例[24].
我国的电子商务是近年才发展起来的,目前规范电子商务的相关的法律法规极为有限。在法律的层次上,只有1997年《中华人民共和国刑法》和1999年《中华人民共和国合同法》对相关问题作了简单规定。例如,我国1997年修订的《刑法》中增加了关于计算机犯罪的条文,1999年通过的《合同法》对电子合同的书面形式、生效时间地点等作了规定。但是,这种规定太过简单,远远不能满足电子商务发展的需要。例如,对于电子认证的效力、虚假电子认证等重要的问题,我国法律还没有规定,这已经成为阻碍我国电子商务发展的重要问题。
因此,我国应大力加强电子商务法制化建设,制订专门的《电子商务法》,对电子商务当事人的权利义务、电子合同法律关系、电子签名、电子认证、网上知识产权的保护、电子支付等问题进行专门规定,使之适应电子商务发展的需要。在刑法中,对电子商务领域的犯罪进行规定。从而在法律上,为电子商务提供一个良好的发展环境。
2,建设我国的电子商务认证机构体系。
电子商务认证机构是电子商务中的重要部门,其担负着维护电子交易安全的责任。因此,要完善我国的电子商务安全运营,必须建立我国的电子商务认证体系。
在目前存在的三种电子商务认证机构模式中,当事人自由约定的电子商务认证体系不适合我国的实际情况。我国,电子商务刚刚发展起来,不完善的地方很多,很多普通的消费者对电子商务还不很了解,根本无法在自由约定时,提出对自己有利的条件。而且,在交易双方的力量对比悬殊的情况下,弱势一方很难通过谈判来取得公平的结果。再进一步说,这种模式的认证结果通用性很差,不适合我国刚起步的电子商务的发展。
政府主导的电子商务认证体系,政府可以对认证中的许多问题作出详细规定,并且认证结果通用性强。但是,这种方式行政色彩过浓,不利于电子商务按照商业规律自主发展。
电子合同的安全性范文3
[关键词]电子商务安全网络安全商务安全
2003年对中国来说是个多事之秋,先是SARS肆虐后接高温威胁。但对电子商务来说,却未必不是好事:更多的企业、个人及其他各种组织,甚至包括政府都在积极地推动电子商务的发展,越来越多的人投入到电子商务中去。电子商务是指发生在开放网络上的商务活动,现在主要是指在Internet上完成的电子商务。
Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面,而应该是利用Web技术使Web站点与公司的后端数据库系统相连接,向客户提供有关产品的库存、发货情况以及账款状况的实时信息,从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接,使小到本企业的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此,安全性始终是电子商务的核心和关键问题。
电子商务的安全问题,总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。
一、网络安全问题
一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。
二、计算机网络安全体系
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
在实施网络安全防范措施时,首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施。
对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础,支持不同类型的安全硬件产品,屏蔽安全硬件以变化对上层应用的影响,实现多种网络安全协议,并在此之上提供各种安全的计算机网络应用。
互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来的几年中成为重点,如身份认证,授权检查,数据安全,通信安全等将对电子商务安全产生决定性影响。
三、商务安全要求
作为一个成功的电子商务系统,首先要消除客户对交易过程中安全问题的担心才能够吸引用户通过WEB购买产品和服务。使用者担心在网络上传输的信用卡及个人资料被截取,或者是不幸遇到“黑店”,信用卡资料被不正当运用;而特约商店也担心收到的是被盗用的信用卡号码,或是交易不认账,还有可能因网络不稳定或是应用软件设计不良导致被黑客侵入所引发的损失。由于在消费者、特约商店甚至与金融单位之间,权责关系还未彻底理清,以及每一家电子商场或商店的支付系统所使用的安全控管都不尽相同,于是造成使用者有无所适从的感觉,因担忧而犹豫不前。因些,电子商务顺利开展的核心和关键问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点。
用户对于安全的需求主要包括以下几下方面:
1.信息的保密性。交易中的商务信息均有保密的要求。如信用卡的账号和用户被人知悉,就可能被盗用;定货和付款信息被竞争对手获悉,就可能丧失商机。因此在电子商务中的信息一般都有加密的要求。
2.交易者身份的确定性。网上交易的双方很可能素昧平生,相隔千里。因此,要使交易能够成功,首先要想办法确认对方的身份。对商家而言,要考虑客户端是否是骗子,而客户也会担心网上的商店是否是黑店。因此,能方便而可靠地确认对方身份是交易的前提。
3.交易的不可否认性。交易一旦达成,是不能被否认的,否则必然会损害一方的利益。因此电子交易过程中通信的各个环节都必须是不可否认的。主要包括:源点不可否认:信息发送者事后无法否认其发送了信息。接收不可否认:信息接收方无法否认其收到了信息。回执不可否认:发送责任回执的各个环节均无法推脱其应负的责任。
4.交易内容的完整性。交易的文件是不可以被修改的,否则必然会损害交易的严肃性和公平性。
5.访问控制。不同访问用户在一个交易系统中的身份和职能是不同的,任何合法用户只能访问系统中授权和指定的资源,非法用户将拒绝访问系统资源。
四、电子商务安全交易标准
近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。主要的协议标准有:
1.安全超文本传输协议(S—HTTP):依靠对密钥的加密,保障Web站点间的交易信息传输的安全性。
2.安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE浏览器,以完成需要的安全交易操作。
3.安全交易技术协议(STT,SecureTransactionTechnology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在InternetExplorer中采用这一技术。
4.安全电子交易协议(SET,SecureElectronicTransaction):1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET公告,并于1997年5月底了SETSpecificationVersion1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET2.0预计今年,它增加了一些附加的交易要求。这个版本是向后兼容的,符合SET1.0的软件并不必要跟着升级,除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。
所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet电子商务市场。
五、商务安全的关键CA认证
怎样解决电子商务安全问题呢?国际通行的做法是采用CA安全认证系统。CA是CertificateAuthority的缩写,是证书授权的意思。在电子商务系统中,所有实体的证书都是由证书授权中心即CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA机构应包括两大部门:一是审核授权部门,它负责对证书申请者进行资格审查,决定是否同意给该申请者发放证书,并承担因审核错误引起的一切后果,因此它应由能够承担这些责任的机构担任;另一个是证书操作部门,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任。
CA体系主要解决几大问题:1.解决网络身份证的认证以保证交易各方身份是真实的;2.解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改;3.解决交易的不可抵赖性以保证对方在网上说的话是真实的。
需要注意的是,CA认证中心并不是安全机构,而是一个发放”身份证”的机构,相当于身份的”公证处”。因此,企业开展电子商务不仅要依托于CA认证机构,还需要一个专业机构作为外援来解决配置什么安全产品、怎样设置安全策略等问题。外援的最合适人选当然非那些提供信息安全软硬件产品的厂商莫属了。好的IT厂商,会让用户在部署安全策略时少走许多弯路。在选择外援时,用户为了节省成本,避免损失,应该把握几个基本原则:1.要知道自己究竟需要什么;2.要了解厂商的信誉;3.要了解厂商推荐的安全产品;4.用户要有一双”火眼金睛”,对项目的实施效果能够正确加以评估。有了这些基本的安全思路,用户可以少走许多弯路。
六、相应法律法规
电子商务要健康有序地发展,就像传统商务一样,也必须有相应的法律法规作后盾。商务过程中不可避免地会产生一些矛盾,电子商务也一样。在电子商务中,合同的意义和作用没有发生改变,但其形式却发生了极大的变化,1.订立合同的双方或多方是互不见面的。所有的买方和卖方在虚拟市场上运作,其信用依靠密码的辨认或认证机构的认证。2.传统合同的口头形式在贸易上常常表现为店堂交易,并将商家所开具的发票作为合同的依据。而在电子商务中标的额较小、关系简单的交易没有具体的合同形式,表现为直接通过网络订购、付款,例如利用网络直接购买软件。3.表示合同生效的传统签字盖章方式被数字签名所代替。
电子商务合同形式的变化,对于世界各国都带来了一系列法律新问题。电子商务作为一种新的贸易形式,与现存的合同法发生矛盾是非常容易理解的事情。但对于法律法规来说,就有一个怎样修改并发展现存合同法,以适应新的贸易形式的问题。
小结
在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,应该还具备以下特点:强大的加密保证;使用者和数据的识别和鉴别;存储和加密数据的保密;连网交易和支付的可靠;方便的密钥管理;数据的完整、防止抵赖。电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。
参考文献:
[1]《电子商务基础》尚建成主编高等教育出版社出版2000.9
电子合同的安全性范文4
[关键词] 电子商务 电子签名 数字签名 安全
一、电子商务的安全问题
随着信息技术的发展,架构于互联网网络的商务活动即电子商务得以普及,使经济全球化呈加速发展之势,而经济全球化又刺激着电子商务加速发展。其涉及的领域从银行、外贸、证券市场到贴近我们每个人的日常购物,一场生活和技术的重大变革正在发生。电子商务在提高商务效率、降低商务交易成本的同时,本身安全性也随之而至,成为制约其进一步发展的重要瓶颈。而 电子签名技术的应用为电子商务安全运行提供了重要保障。
二、电子签名含义
电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗地说,电子签名就是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化,它其实是一种电子代码,利用它,收件人便能在网上轻松验证发件人的身份和签名。它还能验证出文件的原文在传输过程中有无变动。它类似于手写签名或印章,也可以说它就是电子印章。
三、电子签名的法律地位
电子交易的安全依赖于技术上采用适当的安全措施,如电子签名技术,以确认使用人的身份,确保信息保密及完整无缺,和保障已进行的交易不被。但是,电子签名技术在法律上的地位却不明确。如果电子签名法律问题不解决,交易安全就最终得不到保障,实际上电子商务就不具有实际意义。
因此,电子签名就需要人们对其的“签名”功能赋予合法的法律地位。联合国《电子商务示范法》对电子记录的法律问题提出了一揽子解决方案,分别就数据电文的法律承认、书面性、签名、原件、证据性、留存等做出了原则性的规定。该法还提出了许多有先见性的法律原则,例如,不歧视原则、功能等同原则、当事人自治原则等,使人们能够接受电子签名与传统的手书签名具有同样的合法性。
四、电子签名与数字签名的关系
基于PKI的电子签名被称作“数字签名”。有人称“电子签名”就是“数字签名”是错误的。数字签名只是电子签名的一种特定形式。因为电子签名虽然获得了技术中立性,但也带来使用的不便,法律上又对电子签名作了进一步规定,如《电子签名法》中就规定了“可靠电子签名”和“高级电子签名”。实际上就是规定了数字签名的功能,这种规定使数字签名获得了更好的应用安全性和可操作性。目前,具有实际意义的电子签名只有公钥密码理论。所以,目前国内外普遍使用的、技术成熟的、可实际使用的还是基于PKI的数字签名技术。作为公钥基础设施PKI可提供多种网上安全服务,如认证、数据保密性、数据完整性和不可否认性,其中都用到了数字签名技术。
五、电子签名在电子商务中的应用
电子签名应用领域包括电子商务,企业信息系统,网上政府采购,金融、财会、保险行业,食品、医药,教育,科学研究以及文件管理等方面。但最主要的还是表现在电子商务方面,在网上将买方、卖方以及服务于他们的中间商(如金融机构)之间的信息交换和交易行为集成到一起的电子运作方式,如签定合同、订购、付费等。其主要表现在以下几个方面:
首先是对我国电子商务有很大的促进和有力发展的作用。电子签名法制定的宗旨就是为了保障电子商务的安全,维护有关各方的合法利益,促进电子商务的发展而制定本法。有了《电子签名法》就可以解决电子商务参与方的不可否认性,提高电子商务交易的安全;可以实现网上自动在线支付,解决目前我国电子商务的瓶颈问题。
其次是对金融界的应用,金融行业是电子签名应用最活跃、最广泛的领域。银行审核网银用户身份的真实性,用户的身份必须是真实可靠的,签名才有实际意义,这是使用数字签名的基础。交易额大、安全性要求高的交易必须使用数字签名。
再次是对《票据法》的改革,有了《电子签名法》作母法,我国的票据法要以《电子签名法》作依据,制定和完善整套的银行新法规。这样银行就可以节省大量的纸张印刷,减少费用,提高效益。还有网上证券的交易、网上税务等等一方面是缺乏好的的安全支付协议,更主要就是没有数字签名的法律保障;技术是基础,法律是保证,这些都是“电子签名”应用更大的领域。
最后就是对《合同法》的修改,合同也可以以电子文件形式出现。有了电子签名作保证,网上招标、网上采购都可以根据电子合同作为依据。为了适应传统业务经营需要,还可以将电子签名与传统的手工签名或印章做成“电子签名”可视化,即在验证了电子签名真伪的同时,可调用打印经图形化处理过的手书签名或图章,这样即可适应传统习惯认证方法,又将签名向先进电子技术领域推进一步。
无庸质疑,随着《电子签名法》的实施进一步细化和在实践中应用与推广,电子签名将带来金融、商务、税务网上交易和处理的一次深刻革命,它将大大推动我国电子商务的发展。
参考文献:
[1]郑绮萍:电子签名技术在电子商务中的应用[J].中国西部科技,2005.6下
电子合同的安全性范文5
[关键词] 移动电子商务 信息交换 安全性分析
一、引言
移动电子商务简单的说就是指通过手机、个人数字助理(PDA)和掌上电脑等手持移动终端设备与无线上网技术结合所构成的一个电子商务体系。因特网、移动通信技术和其他技术的完善组合创造了移动电子商务。移动电子商务可高效地与用户接触,在整个商务体系中用户可以在任何地方、任何时间进行电子商务活动。移动电子商务由于其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。移动电子商务的模式目前主要有两种:SMS模式(Short Message Service)即短消息模式,WAP模式(Wireless Application Protocol无线应用协议)是在数字移动电话、因特网及其他个人数字助理(PDA)、计算机应用之间进行通信的开放式全球标准,它是开展移动电子商务应用的核心技术之一。如何有效的保证信息交换的安全性和正确性,防御黑客对交换信息的截取和攻击,以及确认交易数据的可靠性,就成为了移动电子商务发展中迫切需要解决的问题。
二、移动电子商务信息交换的安全性要求
相对于传统的电子商务模式,移动电子商务的安全性更加薄弱,传输承载的交换信息更易受到窃取和攻击。移动电子商务信息交换的安全性要求主要表现在以下几个方面:
1.信息的保密性
保密性就是要保证双方电子商务交易有效信息的不被窃取、非法储存和使用,保证整个交易通道的严密性。
2.身份的认证性
指交易双方都能正确鉴别对方的身份,能防止他人的假冒行为。身份认证可以鉴别通信中一方或双方的身份,从而确保只有授权的用户才能访问网络的资源与服务。
3.信息的正确性
指电子商务的交易数据和双方认证数据没有丢失或被篡改。
4.交易数据的可靠性
指交易双方对交易的内容包括合同、单据等在事后都能进行有效的确认。进行交易的双方都要能够在事后确认进行过的交易,即对交易本身及交易合同、契约、或交易的单据等文件的抗抵赖性。
三、信息交换过程安全性分析
移动电子平台的安全性,是决定整个商业运营整体性能的一个重要因素,如果没有一个行之有效的安全机制,移动电子商务网中的各种商业活动将无法顺利进行。目前所面临的各种安全威胁如下:
1.信息交换过程中的不安全性因素
移动电子商务信息交换涉及到移动终端、信息中心和内容服务器之间的通信和数据传输。这一过程存在的不安全因素就有移动无线接口、移动网络和移动客户端3方面的不安全性因素。
(1)无线接口中的不安全因素。在移动通信网络中,移动站与固定网络端之间的所有通信都是通过无线接口来传输的。而无线接口是开放的,任何具有适当无线设备的人均可以通过窃听无线信道而获得其中传输的消息,甚至可以修改、插入、删除或重传无线接口中传输的消息,以达到假冒移动用户身份欺骗网络端的目的。(2)网络端的不安全因素。网络端主要是指无线传输线路、网关部分、Internet有线传输线路。在有些移动通信网络中,基站系统与移动服务交换中心之间的通信媒质就不尽相同,相互之间的信息转换就有可能导致移动用户的身份、位置及身份确认信息的泄漏。(3)移动端的不安全因素。移动端包括移动终端和内容服务器。移动终端的不安全因素主要表现在用户身份、账户信息和认证密钥等方面。例如不法分子取得用户的移动终端,并从中读出移动用户的资料信息、账户密码等就可以假冒用户身份来进行一些非法的活动。
2.信息交换过程中的安全威胁
通过对以上各种方面的不安全因素的分析,可知对于移动电子商务信息交换的安全威胁可以分为多种可能,需要采取不同的安全策略。目前存在的安全威胁主要有以下几种:
(1)信息的截取和窃听。如果没有采取加密的措施或加密的强度不够,攻击者就可能通过截获装置截取数据、获取信息,经过分析,获得有用的信息,如银行账号、用户密码等。(2)信息的篡改。当攻击者熟悉了过程的网络信息格式后,会通过各种技术方法和手段对网络传输的信息进行中途的修改,再发往目的地,从而破坏信息的完整性,如肆意篡改购买商品的货号、价格等,或删除、插入错误信息。(3)非授权方的非法访问。访问者未经授权,即可读取主机的敏感商业数据,使用系统得资源,享受为被授予的权利等。(4)信息的假冒。攻击者掌握了传输数据的规律或解密了商务信息后,就可假冒合法的用户或假冒商家来欺骗服务主机,从而获得用户或商家的机密信息。(5)交易的抵赖。交易双方中的一方在交易完成后否认其参与了此交易。比如用户在选购了商品后否认选择了某些商品而拒绝付费,商家卖出的商品因为价格差的原因而不承认原有的交易或收到货款后拒绝交付商品等。(6)拒绝服务的威胁。此种威胁以网络瘫痪为目标的攻击破坏性很大,造成危害的范围很广,而攻击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪。攻击者可以通过删除某一网络上传送的所有数据包的方法,使网络拒绝为用户服务;还可以通过邮件炸弹的方法使系统性能降低或崩溃,从而达到拒绝服务的目的。
3.安全移动商务解决方案实现目标
要达到一个安全实用的移动电子商务解决方案,必须解决以上的种种问题,竭力满足如下几方面的要求和目的:具有身份认证功能、能够识别信息的完整性、能够监测出重传攻击、可以保留交易证据、保证信息的机密性、)较低的通信费用、较好的端到端信息传输的保密和较高的容错能力。
四、移动电子商务信息交换安全性设计
1.移动电子商务交易模型安全性解决措施
针对以上电子商务系统在安全上所面临的种种问题,为了实现移动电子商务所提供的服务,同时保证其上信息交换的安全性,结合现有的移动电子商务安全技术,现将就各安全要素及其可能的安全威胁提出如下安全性解决措施:
(1)信息的截取和窃听。其关系到的安全要素是交易数据的保密性原则。现有的移动电子商务的安全措施可以采用交易信息加密的方式来进行处理。(2)信息的篡改。信息的篡改牵涉到的安全要素是信息的完整性原则。基于现有的安全技术可以采用报文摘要的方法来解决此种的安全威胁。(3)非授权方的非法访问。访问未经授权而可以获取重要的商务信息所关系到的安全要素是信息的授权性原则。要解决此种安全威胁,所采用的安全技术就包括防火墙、动态密码等。(4)信息的假冒。其关系到的安全要素是移动电子商务信息的可验证性。针对这种威胁所采取的解决措施有数字证书技术。(5)交易的抵赖。其与安全要素信息的认可性相关。数字签名技术就是用来解决商务交易中的抵赖性问题。数字签名技术可以有效地判断出信息的发送方,因为它是通过发送方私钥进行加密的,因而可以解决交易抵赖的安全威胁。
2.移动电子商务的安全模型
针对移动商务交易安全性解决措施,将其应用到移动电子商务,可总结出一种基于签名和加密方法的安全移动电子商务信息交换的模型。模型主要是针对移动电子商务中的商务信息交换。其对照安全交易体系主要是实现信息传输安全和安全信息认证的功能。模型的具体执行流程如下:
(1)移动终端向内容服务器发送注册要求;(2)信息中心对用户身份进行验证;(3)信息中心的认证机构生成用户证书发送到移动终端,并将用户证书按移动终端标识保存到数据库中;(4)内容服务器为移动终端产生公私密钥,并将私钥按用户标识发送给移动终端,用户标识和私钥保存到数据库中;(5)用户通过移动终端选择相应的商品,并对交易进行签名,随后将用户标识、交易信息、摘要信息、数字签名和证书一起发送给内容服务器;(6)内容服务器依据移动终端发送过来的标识号,先和数据库保存的用户标识进行比较,如果一致,则向信息中心的认证机构请求用户证书,否则拒绝服务;(7)信息中心的认证机构根据标识号将用户证书发送给内容服务器,用户证书由信息中心来进行产生、存储和验证;(8)内容服务器使用用户证书鉴别移动终端发送过来的交易信息是否可信;(9)核实后,内容服务器用公钥将用户的交易订单进行解密工作,判断摘要是否正确,以确保给移动终端。
五、移动电子商务安全技术的展望
伴随着移动计算和信息访问需求的日益增加,移动安全必将成为一个热点问题。下一代移动电子商务的安全技术必将与无线和有线通讯网络实现无缝、高质量的集成,支持任何WAP兼容的手机的访问,有效解决WAP网络端到端的安全性问题,为用户的交互提供简单、透明的操作方法,以有利于内容开发者为无线因特网提供更多的服务。
参考文献:
[1]黄刘生:电子商务安全问题[M].北京理工大学出版社,2005
[2]沈郁:基于WPKI的WAP移动电子商务安全研究.湖南大学学报,2003,6:30-33
电子合同的安全性范文6
关键词:电子商务在线支付安全性安全套接层协议安全电子交易协议
1引言
Internet给整个社会带来了巨大的变革,成为驱动所有产业发展的动力。电子商务是在Internet开放环境下的一种新型的商业运营模式,是网络技术应用的全新发展方向。在此首先对电子商务中存在的问题及其安全性技术加以分析,然后对中国电子商务未来的发展提出了一些建议,以使更多的人士关注电子商务技术,尽快解决现存的问题,推动电子商务的发展。
2电子商务及其存在的问题
电子商务是指利用简单快捷低成本的电子通讯方式,使买卖双方进行各种商贸活动的新型贸易形式。它改变了传统贸易形式,不仅改变了企业本身的生产、经营、管理活动,而且将导致人类经济、社会和文化的一次新的革命。但目前电子商务的发展中还存在许多问题:
1)安全协议问题:对安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。
2)安全管理问题:在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
3)电子商务没有真正深入商务领域而仅仅局限于信息领域。
4)技术人才短缺问题:电子商务是在近几年才得到了迅猛发展,许多地方都缺乏足够的技术人才来处理所遇到的各种问题。不少电子商务的开发商对网络技术很熟悉,但是对安全技术了解得偏少,因而难以开发出真正实用的、安全性的产品。
5)法律问题:电子交易衍生了一系列法律问题,例如网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。
6)税收问题:电子商务的发展在促进贸易增加税收的同时又对税收制度及其管理手段提出了新要求。
3电子商务中的安全性技术
安全性技术是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的问题。虽然Internet的开放式的信息交换使之在安全方面存在脆弱性,但现在几乎网络的各个层次都制订了安全协议和具备了相应的安全技术,以保证电子商务的安全性。
3.1安全的网络平台
安全可靠的网络是实现电子商务的基础,常用的方法是在网络中采用防火墙技术,虚拟专用网(VPN)技术,防病毒保护等。防火墙技术是通过IP过滤和服务器软件方法保护企业内部网(Intranet)中数据,只有授权用户才能获准进入企业内部网的系统。虚拟专用网(VPN)技术通过IP隧道等方法来保证企业协作网(Extranet)中企业间数据和企业内部网的远程分支机构和外出职工对中央系统的远程访问数据的安全传递。单纯依靠这些方法保护网络的安全性是不够的,还必须与其它安全措施综合使用才能为为用户提供更为可靠的电子商务基石,例如现在的加密技术、数字签名技术、电子认证技术等。
3.2在线支付的安全技术
电子商务的另一个关键问题是要保证在线支付的安全,它是网上购物的重要保证。目前采用的在线支付协议有两种:安全套接层SSL(SecureSocketsLayer)协议和安全电子交易SET(SecureElectronicTransaction)协议。
3.2.1SSL协议
SSL协议是Netscape公司在网络传输层与应用层之间提供的一种基于RSA和保密密钥的用于浏览器与Web服务器之间的安全连接技术。SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构(CertificateAuthority,CA)获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。
SSL协议握手流程由两个阶段组成:服务器认证和用户认证。
1)服务器认证
客户端向服务器发送一个“Hello”信息,以便开始一个新的会话连接;服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。
2)用户认证
经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。
SSL协议支持各种加密算法,实现简单,独立于应用层协议,且被大部分浏览器和Web服务器内置,便于在电子交易中应用。但SSL是一个面向连接的协议,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议不能协调各方面的安全传输和信任关系,为此,Mastercard和Visa共同在网络应用层开发了SET协议。
3.2.2SET协议
SET协议是一个能保证通过开放网络进行安全资金支付的技术标准。它采用的技术包括,对称密钥加密、公共密钥加密、哈希算法、数字签名技术以及公共密钥授权机制等。
SET使订单信息和信用卡信息的隔离。在把包含信用卡号码信息的订单送到商家时,商家只能看到订单信息,却看不到信用卡号码信息,并且需要持卡人和商家相互认证,确定通信双方身份,一般由认证中心为双方提供信用担保。
整个电子支付的过程包括:浏览、购买、付款合法性验证以及获取付款等过程。信用卡持卡客户通过浏览器从商家的商品目录寻找所需商品,他拥有支付网关交换密钥的私人密钥,可以发送初始化请求给商家;商家收到客户的初始化请求后,为请求报文分配一个唯一的交易标识号,并用商家的私人密钥进行数字签名,然后将初始化响应报文与商家和支付网关的证书一起传给客户;客户收到该初始化响应后,验证商家和支付网关的证书,确认商家和支付网关的身份,再根据商家的公开密钥确认初始化响应中的商家签名;然后,客户产生订单信息(OrderingInformation)和支付命令(PaymentInstruction),用私人密钥对订单信息和支付命令进行双重签名;并产生一个随机的对称密钥,用它对双重签名后的支付命令加密,然后再用支付网关交换密钥的公开密钥(publickey-exchangekey)对客户帐号和对称密钥加密;客户将加密后的订单信息和支付命令发给商家;商家确认客户证书,用客户的公开密钥对订单信息上的双重签名解密,以确保订单在传输过程中无误,并且其中的签名是客户的;然后,商家处理订单信息请求,将支付命令传给支付网关并请求授权,同时还产生一个包括商家的签名证书和指明客户的订单已被接收等信息的购买响应报文,并对该报文数字签名后发给客户;客户用商家的公开密钥来证实购买响应上的签名是商家的,并保存收到的购买响应。如果交易被授权,商家将执行订单上规定的送货等服务。商家使用订货单,要求支付网关付款。
SET定义了一个完备的电子交易流程,较好地解决了电子交易中各方间复杂的信任关系和安全连接,确保了电子交易中信息的真实性、保密性、防抵赖性和不可更改性。但由于SET协议庞大而又复杂,银行、商家和客户均需改造才能实现互操作,使得SET协议被普遍使用还需有一个过程。在我国,大多尚处在对SSL协议的应用上,要完全实现SET协议安全支付还要有一个过程。
3.3其它安全问题
对于电子商务的安全性来讲,有了防火墙与安全协议和规范还不够,一方面,网络本身的物理差错是难以避免的;另一方面,Internet主干网和DNS服务器的可靠性,拨号连接质量与速度还不能满足人们的需求;另外,恶意代码对网络系统的威胁,单纯依敕技术是很难解决的,从某种意义上讲,依靠管理加强内部人员的安全防范意识等比安全技术更为重要。因此,要加强电子商务的安全性应从多方面入手。
4对我国电子商务的发展的几点建议
1)提高服务的安全性。电子商务飞快的发展速度,致使其安全技术和安全管理都跟不上,这已成为越来越突出的问题,但不能因为安全问题而制约了电子商务的发展,使安全成为发展的瓶颈,发展是首位的,没有发展安全就无从谈起。
2)加快网络基础设施建设和网络普及程度。发展电子商务的目的在于降低交易成本,提高交易效率,因此应积极发展高速宽带通信信道,重点建设光缆和卫星通信,同时积极利用现有通信线路发展ISDN和ADSL接入,利用有线电视线路,试验发展HFC接入网。
3)尽快完善有关网络安全等方面的法律。我国政府在《中华人民共和国合同法》中规定了以电子媒体为载体的合同具有法律约束力,对推广电子商务有很大的促进作用,但是在诸多方面还需顺应网络技术的发展而不断完善。
4)加快银行、税务以及邮政等物流环节的信息化建设步伐,建立企业到企业(BtoB)、企业到客户(BtoC)的商务沟通,实现网上资金流动,解决目前有形商品交易环节中的流通因难。
5)转变人们面对面交易的消费习惯。
