電子合同的安全性
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇電子合同的安全性范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
電子合同的安全性范文第1篇
關鍵詞:110kV;自動化變電站;安全管理
1110kV自動化變電站的特點
1.1安全的自動化調整
變電站負荷調整、電壓調節及電量報表等工作都由調度直接完成,改變了過去那種調度下令后變電運行人員接令執行操作的繁瑣環節,降低了變電運行誤操作事故的發生。
1.2經濟可靠
分布式結構,每一間隔的一次設備與其對應二次設備的連接電纜是一一對應的。這樣,每一間隔間除了通訊媒介的聯系,沒有其他的連接,間隔間互不影響,局部故障不會影響系統的運行,系統可靠性提高。由于采集系統分布合理,縮短了傳輸距離和傳輸密度,同時節省、簡化了二次電纜。
1.3人機界面友好
計算機化、網絡化,是自動化的特點,所有微機裝置及自動化裝置都裝有良好的計算機接口,便于調試和維護。
1.4便捷的信號采集功能
自動化系統與常規變電站相比,取消了常規的控制、信號、測量及運動模式,由自動化系統完成全所的監控、管理和運動功能,包括控制、同期、防誤閉鎖、設備狀態信號監視、信號報警、SOE測量、計量等功能。
1.5相對獨立的繼電保護功能
自動化變電站系統繼電保護按被保護的電力設備單元獨立設置,獨立運行,直接由相關的PT,CT輸入電氣量,動作后通過輸出接點作用于跳閘線圈。保護裝置設有通訊接口,接入站內通訊網,保證了保護信息與監控系統的有效暢通,而保護功能與監控系統、通訊網無關。
2110kV自動化變電站運行中存在的幾個問題分析
2.1運行管理模式落后
自動化變電站投運后,有些變電站仍保持常規變電站值班方式,沒有體現減人增效。有的采用“無人值班”的模式替代常規變電管理,在安全運行中出現一些失控情況。
2.2遙控信號誤動
自動化變電站通信控制器通過串口與MODEM相連,MODEM與通道相連,送至主站。由于保護規約比較多,復雜,在主站對保護規約進行了擴展,做好了接口的運行過程中會經常發現遙控信號誤動,這可能是規約沒處理好,也有可能是測控單元裝置運行不穩,具體很難查找。
2.3實時數據突然變為零
監控后臺機在平時的運行中有時會發現實時數據突然變為零,觀察電壓曲線、電流曲線,發現隔一段時間突然變為零,沒有規律性,這可能是測控單元裝置有問題。另外,查歷史事項時,事項查詢的分類給事項查詢時的對比帶來不方便。
2.4雙機系統切換存在問題
自動化變電站的雙機以串口通信為主以太網為副的相互監視主備狀態,理論上可以絕對保證主備狀態的正確。但有時在切換過程中會出現兩臺通信控制器全部為備用值班機,導致通信控制器死機,數據不刷新,遙控失效。
2.5繼電保護與監控系統通訊時有中斷
保護裝置本身功能滿足要求,但由于時有誤發信號,造成保護管理機死機,發信不正確,以致信號中斷。
3對提高110kV自動化變電站安全運行的幾個建議
3.1 110kV自動化變電站的設計
110kV自動化變電站的設計應按原電力部農電司提出的“小容量、密布點、短半徑”的建設原則,堅持“戶外式、小型化、造價低、安全可靠、技術先進”的發展方向。二次設計必須使變電站現場對主變溫度、母線電壓、電流等主要運行參數的顯示簡單、直觀,便于值班人員監控。保留常規變電站預告信號和事故信號功能,有利于變電值班人員發現設備異常,及時處理事故。
3.2常規變電站的自動化改造
常規變電站的改造應立足一次設備,可靠的一次設備是變電站實行自動化的基礎。對一次設備進行無油化改造,二次部分按自動化要求設計,電磁式繼電器改為“四遙”集成模塊保護,變電站各種信號通過RTU柜傳送調度中心,變電站現場電壓、電流、溫升等主要參數顯示要求簡單、直觀,為值班監控提供方便。如果變電站是近年新建的,設備質量較好,進行“四遙”改造時,二次部分也可利用原來電磁繼電器的保護觸點進行控制。同時,增加遠方操作轉換功能、遠方復歸信號繼電器、小電流系統接地選線裝置。
3.3變電站建設
從目前綜合自動化變電站運行中暴露出的問題看來,許多問題都同產品質量和工程安裝質量直接有關,因此,在建自動化變電站中,要重視產品質量、安裝質量和售后服務質量。
3.4自動化變電站的運行管理模式
目前自動化變電站運行管理模式基本是少人值班和無人值班兩種。少人值班比常規變電站人員減少一半。無人值班即“無人值班,有人看守”模式,另要成立操作班、監控班來替代常規變電站管理。現在看來,大家對變電站的運行管理模式認識不統一,普遍把自動化變電所叫“無人值班變電站”,這并不恰當,實際上采用“少人值班”的運行管理模式更為可行。下面從變電站安全、可靠、經濟運行方面談一點看法:
(1)變電站是保證城鄉供電,創造企業效益的基層班組,變電值班崗位擔負著時刻保證供電設備安全運行的重任,因此,變電值班崗位任何時候只能加強,不能削弱。
(2)變電站的位置一般分布在遠離城市的偏僻地方,人員稀少,交通不便。如果采用“無人值班,有人值守”的模式,存在許多不安全因素。首先長期一個人留守,值守人員就存在人身安全問題。再說操作班遠離變電站,設備有了故障也難做到及時處理,同時車輛的頻繁來往也是一個不安全因素。但是,如果采用“少人值班”的模式,這些問題都將得到妥善解決。
(3)常規變電站值班一般5~7人,自動化變電站采用“少人值班”模式,人員可減一半。但“無人值班,有人值守”的模式用操作班、監控班替代常規變電管理,實際人員也難減少,如果自動化變電站數量少,“無人值班”模式用人將會更多。
(4)綜合自動化變電站的設備是現代化高新技術,對值班人員的素質要求比常規變電站高,應配備責任心強、業務熟悉的人員來管理。總之,自動化變電站管理應選用“少人值班”運行管理模式為宜,變電站定員一般2~3人,輪流值崗。值班員的職能同常規變電站不一樣,工作性質由被動性轉為主動性。因此,對值班員的素質要求更高了,應選派責任心強、對業務管理熟悉的人員擔任。值班職責:主要負責變電所的日常保衛及環境衛生、綠化工作;監控變電設備運行及變電設備檢修操作和臨時性操作等工作。
電子合同的安全性范文第2篇
一、電子商務面臨的法律問題
1.安全性與便捷性的問題
安全性與便捷性,二者的關系是辨證關系,需要妥善處理。真正實現電子商務,關鍵在于安全性。但片面強調安全性會影響電子商務的推廣,因為技術上的多層保障,必然增加操作環節,也增加交易成本。解決這一矛盾,主要有兩種辦法,一是區分交易的安全級別,采用不同的安全措施;二是健全法律法規,加強法制教育,從一開始就使電子商務在良好的法律環境下運行。
2.電子合同的法律問題
電子商務活動能否順利進行,離不開電子合同。而如何使電子合同與傳統的合同具有同等的法律效力,以實現對當事人利益和義務的保護及監督,也是一個十分突出的問題。為了適應新的環境,各國紛紛立法或調整現有的法律規范。我國的新《合同法》和《電子簽名法》在法律上確認了電子合同的合法性,但還只是粗線條的,缺少其他有關電子合同的法律配套規定。要真正給電子商務立法,需要世界各國共同研究和制定通用的法律原則,明確相關的法律責任,以解決此類電子合同問題。
3.電子商務認證機構的設立問題
數據資訊的商業化應用,使得認證機構的服務成為電子商務的必需。認證機構的核心職能是發放和管理用戶的數字證書,它提出的是經過核實的、交易雙方都關心的基本信息和信用證明,通常包括交易人是誰、在何處、以何種方式電子簽名、其信用狀況如何等。盡管不少地區、部門甚至企業都建立起認證中心,但存在不少的隱患。目前,司法公證應介入電子商務,充當認證機構的角色,以避免電子商務法未出臺前發生認證機構的法律糾紛。
4.知識產權的保護問題
隨著網絡信息傳播和電子商貿交易方式及途徑成為主流,電子商務活動中的知識產權保護問題也開始顯現,域名搶注和商標侵權成為某些商人謀取不正當利益的方式;網上大量無授權軟件下載,使用未經授權的他人作品、鏈接他人網站網頁、網絡原創作品下載和轉載等侵權行為與糾紛大量存在。電子商務立法當務之急是強化全社會網絡知識產權保護的法律意識,建立和完善電子商務中的知識產權法律體系,促進互聯網的健康發展。
5.個人隱私、個人信息的保護問題
據報道,美國加利福尼亞州一位女士提出訴訟,控告網絡廣告公司Double Click非法取得并販賣她的私人信息。這種問題許多上網的人可能都遇到過,為了避免麻煩,許多Intemet用戶都不太愿意在訪問網站時提供自己的個人信息,他們擔心無法控制自己個人信息的傳播和利用,這在某種程度上也限制了電子商務的發展,同時也會引發許多糾紛、訴訟。因此,在個人隱私問題上,各國政府應相互配合,在法律層次上和技術層次上進行廣泛合作,尋找出現尊重個人隱私,又允許個人自由,同時也允許政府以恰當方式進行管理的最佳方式。
電子商務所面臨的法律問題除上述以外,還有很多,例如我們還需要制定有關的電子支付制度,電子商務操作規范與商務規約,電子商務進出口關稅的法律制度,電子商務的金融監管細則、電子商務投機活動的制裁原則等。只有給電子商務活動提供有法可依的健康的法律環境,基于網絡的電子貿易才能規范、順利地開展。
二、國外電子商務基本政策法規評析及我國的相應對策
既然電子商務存在著如上所述的諸多問題,政府機構不建立健全相關法律法規是絕對不行的。世界很多國家,尤其是發達國家,幾年前便開始了電子商務的立法,這些國家基本上都是從一個戰略發展的角度來規范和建立電子商務立法規則的。這其中,美國的電子商務基本政策和原則框架已趨向成熟,并在事實上成為世界各國發展電子商務的先導。美國有關Internet通信和電子商務的立法,在很大程度上是鼓勵電子商務的發展,確立聯邦管轄權,同時平衡利益關系和優化資源配置;但我們要清醒地認識到,美國這樣做是在注重全球戰略的前提下,借助Internet的領先技術使美國利益最大化。
其他國家應當根據自己的具體國情,實施相應的電子商務政策和制定合適的法律法規。為此,我國為電子商務的發展制定了一個總體框架,它指出了我國今后電子商務的發展原則:政府在發展電子商務中的作用是宏觀規劃和指導;重視企業在電子商務發展過程中的主體作用;采取積極、穩妥的措施推動電子商務的發展,從建立示范工程入手,逐步進行引導,同時要遵守國家現有法律法規及安全管理方面的規定;加強國際間的電子商務合作,借鑒國外先進的發展經驗,以推動我國電子商務的健康發展。
電子合同的安全性范文第3篇
[摘要]Intenet所具有的開放性是電子商務方便快捷、廣泛傳播的基礎,而開放性本身又會使網上交易面臨種種危險。安全問題始終是電子商務的核心和關鍵問題。
[關鍵詞]電子商務安全網絡安全商務安全
2003年對中國來說是個多事之秋,先是SARS肆虐后接高溫威脅。但對電子商務來說,卻未必不是好事:更多的企業、個人及其他各種組織,甚至包括政府都在積極地推動電子商務的發展,越來越多的人投入到電子商務中去。電子商務是指發生在開放網絡上的商務活動,現在主要是指在Internet上完成的電子商務。
Intenet所具有的開放性是電子商務方便快捷、廣泛傳播的基礎,而開放性本身又會使網上交易面臨種種危險。一個真正的電子商務系統并非單純意味著一個商家和用戶之間開展交易的界面,而應該是利用Web技術使Web站點與公司的后端數據庫系統相連接,向客戶提供有關產品的庫存、發貨情況以及賬款狀況的實時信息,從而實現在電子時空中完成現實生活中的交易活動。這種新的完整的電子商務系統可以將內部網與Internet連接,使小到本企業的商業機密、商務活動的正常運轉,大至國家的政治、經濟機密都將面臨網上黑客與病毒的嚴峻考驗。因此,安全性始終是電子商務的核心和關鍵問題。
電子商務的安全問題,總的來說分為二部分:一是網絡安全,二是商務安全。計算機網絡安全的內容包括:計算機網絡設備安全,計算機網絡系統安全,數據庫安全,工作人員和環境等。其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡自身的安全性為目標。商務安全則緊緊圍繞傳統商務在Internet上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性,完整性,可鑒別性,不可偽造性和不可依賴性。
一、網絡安全問題
一般來說,計算機網絡安全問題是計算機系統本身存在的漏洞和其他人為因素構成了計算機網絡的潛在威脅。一方面,計算機系統硬件和通信設施極易遭受自然環境的影響(如溫度、濕度、電磁場等)以及自然災害和人為(包括故意破壞和非故意破壞)的物理破壞;另一方面計算機內的軟件資源和數據易受到非法的竊取、復制、篡改和毀壞等攻擊;同時計算機系統的硬件、軟件的自然損耗等同樣會影響系統的正常工作,造成計算機網絡系統內信息的損壞、丟失和安全事故。
二、計算機網絡安全體系
一個全方位的計算機網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,并增加了審核信息的數量,利用這些審核信息可以跟蹤入侵者。
在實施網絡安全防范措施時,首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;其次要用各種系統漏洞檢測軟件定期對網絡系統進行掃描分析,找出可能存在的安全隱患,并及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火墻,加強授權管理和認證;利用RAID5等數據存儲技術加強數據備份和恢復措施。
對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網絡上傳輸的敏感信息要進行強度的數據加密;安裝防病毒軟件,加強內部網的整體防病毒措施;建立詳細的安全審計日志,以便檢測并跟蹤入侵攻擊等。
網絡安全技術是伴隨著網絡的誕生而出現的,但直到80年代末才引起關注,90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起了各國計算機安全界的高度重視,計算機網絡安全技術也因此出現了日新月異的變化。安全核心系統、VPN安全隧道、身份認證、網絡底層數據加密和網絡入侵主動監測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網絡的整體安全性。安全核心系統在實現一個完整或較完整的安全體系的同時也能與傳統網絡協議保持一致。它以密碼核心系統為基礎,支持不同類型的安全硬件產品,屏蔽安全硬件以變化對上層應用的影響,實現多種網絡安全協議,并在此之上提供各種安全的計算機網絡應用。
互聯網已經日漸融入到人類社會的各個方面中,網絡防護與網絡攻擊之間的斗爭也將更加激烈。這就對網絡安全技術提出了更高的要求。未來的網絡安全技術將會涉及到計算機網絡的各個層次中,但圍繞電子商務安全的防護技術將在未來的幾年中成為重點,如身份認證,授權檢查,數據安全,通信安全等將對電子商務安全產生決定性影響。
三、商務安全要求
作為一個成功的電子商務系統,首先要消除客戶對交易過程中安全問題的擔心才能夠吸引用戶通過WEB購買產品和服務。使用者擔心在網絡上傳輸的信用卡及個人資料被截取,或者是不幸遇到“黑店”,信用卡資料被不正當運用;而特約商店也擔心收到的是被盜用的信用卡號碼,或是交易不認賬,還有可能因網絡不穩定或是應用軟件設計不良導致被黑客侵入所引發的損失。由于在消費者、特約商店甚至與金融單位之間,權責關系還未徹底理清,以及每一家電子商場或商店的支付系統所使用的安全控管都不盡相同,于是造成使用者有無所適從的感覺,因擔憂而猶豫不前。因些,電子商務順利開展的核心和關鍵問題是保證交易的安全性,這是網上交易的基礎,也是電子商務技術的難點。
用戶對于安全的需求主要包括以下幾下方面:
1.信息的保密性。交易中的商務信息均有保密的要求。如信用卡的賬號和用戶被人知悉,就可能被盜用;定貨和付款信息被競爭對手獲悉,就可能喪失商機。因此在電子商務中的信息一般都有加密的要求。
2.交易者身份的確定性。網上交易的雙方很可能素昧平生,相隔千里。因此,要使交易能夠成功,首先要想辦法確認對方的身份。對商家而言,要考慮客戶端是否是騙子,而客戶也會擔心網上的商店是否是黑店。因此,能方便而可靠地確認對方身份是交易的前提。
3.交易的不可否認性。交易一旦達成,是不能被否認的,否則必然會損害一方的利益。因此電子交易過程中通信的各個環節都必須是不可否認的。主要包括:源點不可否認:信息發送者事后無法否認其發送了信息。接收不可否認:信息接收方無法否認其收到了信息。回執不可否認:發送責任回執的各個環節均無法推脫其應負的責任。
4.交易內容的完整性。交易的文件是不可以被修改的,否則必然會損害交易的嚴肅性和公平性。
5.訪問控制。不同訪問用戶在一個交易系統中的身份和職能是不同的,任何合法用戶只能訪問系統中授權和指定的資源,非法用戶將拒絕訪問系統資源。
四、電子商務安全交易標準
近年來,針對電子交易安全的要求,IT業界與金融行業一起,推出不少有效的安全交易標準和技術。主要的協議標準有:
1.安全超文本傳輸協議(S—HTTP):依靠對密鑰的加密,保障Web站點間的交易信息傳輸的安全性。
2.安全套接層協議(SSL):由Netscape公司提出的安全交易協議,提供加密、認證服務和報文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器,以完成需要的安全交易操作。
3.安全交易技術協議(STT,SecureTransactionTechnology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft在InternetExplorer中采用這一技術。
4.安全電子交易協議(SET,SecureElectronicTransaction):1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標準SET公告,并于1997年5月底了SETSpecificationVersion1.0,它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。SET2.0預計今年,它增加了一些附加的交易要求。這個版本是向后兼容的,符合SET1.0的軟件并不必要跟著升級,除非它需要新的交易要求。SET規范明確的主要目標是保障付款安全,確定應用之互通性,并使全球市場接受。
所有這些安全交易標準中,SET標準以推廣利用信用卡支付網上交易,而廣受各界矚目,它將成為網上交易安全通信協議的工業標準,有望進一步推動Internet電子商務市場。
五、商務安全的關鍵CA認證
怎樣解決電子商務安全問題呢?國際通行的做法是采用CA安全認證系統。CA是CertificateAuthority的縮寫,是證書授權的意思。在電子商務系統中,所有實體的證書都是由證書授權中心即CA中心分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA機構應包括兩大部門:一是審核授權部門,它負責對證書申請者進行資格審查,決定是否同意給該申請者發放證書,并承擔因審核錯誤引起的一切后果,因此它應由能夠承擔這些責任的機構擔任;另一個是證書操作部門,負責為已授權的申請者制作、發放和管理證書,并承擔因操作運營所產生的一切后果,包括失密和為沒有獲得授權者發放證書等,它可以由審核授權部門自己擔任,也可委托給第三方擔任。
CA體系主要解決幾大問題:1.解決網絡身份證的認證以保證交易各方身份是真實的;2.解決數據傳輸的安全性以保證在網絡中流動的數據沒有受到破壞或篡改;3.解決交易的不可抵賴性以保證對方在網上說的話是真實的。
需要注意的是,CA認證中心并不是安全機構,而是一個發放”身份證”的機構,相當于身份的”公證處”。因此,企業開展電子商務不僅要依托于CA認證機構,還需要一個專業機構作為外援來解決配置什么安全產品、怎樣設置安全策略等問題。外援的最合適人選當然非那些提供信息安全軟硬件產品的廠商莫屬了。好的IT廠商,會讓用戶在部署安全策略時少走許多彎路。在選擇外援時,用戶為了節省成本,避免損失,應該把握幾個基本原則:1.要知道自己究竟需要什么;2.要了解廠商的信譽;3.要了解廠商推薦的安全產品;4.用戶要有一雙”火眼金睛”,對項目的實施效果能夠正確加以評估。有了這些基本的安全思路,用戶可以少走許多彎路。
六、相應法律法規
電子商務要健康有序地發展,就像傳統商務一樣,也必須有相應的法律法規作后盾。商務過程中不可避免地會產生一些矛盾,電子商務也一樣。在電子商務中,合同的意義和作用沒有發生改變,但其形式卻發生了極大的變化,1.訂立合同的雙方或多方是互不見面的。所有的買方和賣方在虛擬市場上運作,其信用依靠密碼的辨認或認證機構的認證。2.傳統合同的口頭形式在貿易上常常表現為店堂交易,并將商家所開具的發票作為合同的依據。而在電子商務中標的額較小、關系簡單的交易沒有具體的合同形式,表現為直接通過網絡訂購、付款,例如利用網絡直接購買軟件。3.表示合同生效的傳統簽字蓋章方式被數字簽名所代替。
電子商務合同形式的變化,對于世界各國都帶來了一系列法律新問題。電子商務作為一種新的貿易形式,與現存的合同法發生矛盾是非常容易理解的事情。但對于法律法規來說,就有一個怎樣修改并發展現存合同法,以適應新的貿易形式的問題。
七、小結
在計算機互聯網絡上實現的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統在保證其計算機網絡硬件平臺和系統軟件平臺安全的基礎上,應該還具備以下特點:強大的加密保證;使用者和數據的識別和鑒別;存儲和加密數據的保密;連網交易和支付的可靠;方便的密鑰管理;數據的完整、防止抵賴。電子商務對計算機網絡安全與商務安全的雙重要求,使電子商務安全的復雜程度比大多數計算機網絡更高,因此電子商務安全應作為安全工程,而不是解決方案來實施。
參考文獻:
[1]《電子商務基礎》尚建成主編高等教育出版社出版2000.9
電子合同的安全性范文第4篇
關鍵詞:電子商務 PKI CA 網絡公證
引 言
電子商務逐漸成為21世紀經濟生活的新領域,它可以大幅度地降低交易成本,增加貿易機會,簡化貿易流程,改善物流系統,提高貿易效率,推動企業和國民經濟結構的改革。實現電子商務的關鍵是要保證商務活動過程中系統的安全性,即應保證在基于Internet的電子交易過程中與傳統交易方式一樣地安全、可靠。從安全和信任的角度來看,傳統交易方式的買賣雙方是面對面的,因此較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中,買賣雙方是通過網絡來聯系,由于距離的限制,建立交易雙方的安全和信任關系相當困難。如何解決電子商務中的信用及網絡傳輸中的安全問題,如何判別網上交易對方的真實身份,如何固化并保存網上的交易內容并使之成為有效的法律證據,如何履行網絡合同中最敏感的資金支付等一系列問題已構成了電子商務發展的障礙,建立完善的電子認證體系已成為電子商務發展的關鍵。
為解決Internet的信息安全,世界各國對其進行了多年的研究,初步形成了一套完整的解決方案,即目前被廣泛采用的PKI(Public Key Infrastructure)技術,PKI技術采用證書管理公鑰,通過第三方的可信任機構即認證中心CA(Certificate Authority),把用戶的公鑰和用戶的其他標識信息如名稱、身份證號等捆綁在一起,在Internet網上驗證用戶的身份。目前,通用的辦法是采用建立在PKI基礎之上的數字證書,通過把要傳輸的數字信息進行加密和簽名,保證信息傳輸的機密性、真實性、完整性和不可否認性,從而保證信息在網絡上的安全傳輸。
完整的PKI應包括認證政策的制定、遵循的認證規則技術標準、運作制度的制定、所涉及的各方法律關系以及技術的實現。筆者就網絡電子認證體系采用網絡公證從法律制度與安全技術相結合的角度做了探索性研究,并嘗試對網絡公證以解決網絡中的信用安全給出了一整套解決方案。
國內CA的現狀
互聯網的開放性大大降低了網絡環境的可信性。電子商務中的交易信任問題成為信息安全的主要問題和關鍵問題,而信任是交易的基礎。為保證網上數字信息的傳輸安全,除了在通信傳輸中采用更強的加密算法等措施之外,還必須建立一種信任及信任驗證機制,即參加電子商務的各方必須有一個可以被驗證的標識,這就是數字證書。數字證書是各實體在網上信息交流及商務交易活動中的身份證明,該數字證書具有唯一性。它將實體的公開密鑰同實體本身聯系在一起,為實現這一目的,必須使數字證書符合國際標準,同時數字證書的來源必須是可靠的。這就意味著應有一個網上各方都信任的機構,專門負責數字證書的發放和管理,確保網上信息的安全,這個機構就是CA認證機構。各級CA認證機構的存在組成了整個電子商務的信任鏈。如果CA機構不安全或發放的數字證書不具有權威性、公正性和可信賴性,電子商務就根本無從談起。
電子商務對網絡安全的要求,不僅推動著Internet上交易秩序和交易環節,同時也帶來了巨大的商業機會。自1998年國內第一家以實體形式運營的上海CA中心成立以來,全國各地、各行業紛紛上馬建成了幾十家不同類型的CA認證機構。如果從CA中心建設的背景來分,國內的CA中心大致可以分為三類:行業建立的CA,如CFCA,CTCA等;政府授權建立的CA,如上海CA,北京CA等;商業性CA。不難看出,行業性CA不但是數字認證的服務商,也是其他商品交易的服務商,他們不可避免的要在不同程度上參與交易過程,這與CA中心本身要求的“第三方”性質又有很大的不同。就應用的范圍而言,行業性CA更傾向于在自己熟悉的領域內開展服務。例如,外經貿部的國富安CA認證中心適當完善之后將首先應用于外貿企業的進出口業務。政府授權建立的第三方認證系統屬于地區性CA,除具有地域優勢外,在推廣應用和總體協調方面具有明顯的優勢,不過需要指出地區性CA離不開與銀行、郵電等行業的合作。
國內CA存在的問題
在電子商務系統中,CA安全認證中心負責所有實體證書的簽名和分發。CA安全認證體系由證書審批部門和證書操作部門組成。就目前的情況而言,CA的概念已經深入到電子商務的各個層面,但就其應用而言,還遠遠不夠,都還存在一些問題。在技術層面上,由于受到美國出口限制的影響,國內的CA認證技術完全靠自己研發,由于參與部門很多,導致了標準不統一,既有國際上的通行標準,又有自主研發的標準,即便是同樣的標準,其核心內容也有所偏差,這必將導致交叉認證過程中出現“公說公有理,婆說婆有理”的局面。在應用層面上,一些CA認證機構對證書的發放和審核不夠嚴謹。目前國內相關的CA中心在頒發CA證書前雖然也竭力進行真實身份的審核,但由于進行相關審核的人員往往是CA中心自己的工作人員或其委托的其他人員,從法理上講這些審核人員不具備法律上所要求的審核證明人資格,也無法承擔相應的法律責任;另一方面現在的CA中心本身往往也是交易或合同的一方,難免存在不公正性。為了搶占市場,在沒有進行嚴格的身分確認和驗證就隨意發放證書,難以確保認證的權威性和公證性。在分布格局上,很多CA認證機構還存在明顯的地域性和行業性,無法滿足充當面向全社會的第三方權威認證機構的基本要求,而就互聯網而言,不應該也不可能存在地域限制。
電子商務認證的解決方案
在傳統的商務貿易中,公證機構作為國家的證明機構,以交易信用的第三方中介行使國家證明權,其權威性與統一性歷來為法律所確認。公證證明屬國際慣例,中國加入WTO后,在與國際法律制度的接軌中,公證機構的證明效力日益顯現出來。正因如此,將權威的國家證明權引入虛擬的網絡世界,實行網絡公證能夠徹底填補網絡世界的法律真空,解決目前國內CA認證的弊端,使現實世界的真實性向網絡世界延伸。
網絡公證方案首先從網絡身份的真實性證明入手,在確認網絡主體的真實身份的基礎上,對網絡交易內容以公正的第三方的角度加以證據保全,對交易履約中的資金支付采用公證行業特有的第三方安全支付加以解決,因此,筆者認為網絡公證方案是電子商務安全與信用的一個整體解決方案。
網絡中真實身份審核的解決
一個安全、完整的電子商務系統必須建立一個完整、合理的CA安全認證體系。以PKI技術為核心的CA證書能解決網絡數據傳輸中的簽名問題,日益顯現出其確認網絡主體身份的優越性。但是,在實際運作中,網絡CA電子身份證書仍然為大家所懷疑。究其原因,關鍵在于網絡中的CA證書持有人與現實世界中的真實身份是否一致并未得到徹底解決。如不解決這個前提,則用CA證書所做的任何簽字將不產生任何法律效力,因為沒有一個現實世界的主體與之相對應,并承擔網上義務,而法庭更是無從受理。
縱觀諸多國家的電子交易,數字證書的發放都不是依靠交易雙方自己來完成,而是由一個具有權威性和公正性的第三方來完成,該第三方中介機構以提供公正交易環境為目的,應具有中立性。因此,銀行所辦的CA中心以及其他純商業性的CA中心是不符合國際慣例的。
一個身份認證必須滿足兩種鑒別需要:當面鑒別和網上鑒別。當面鑒別以生物特征為主,網上鑒別則以邏輯特征為主。在CA證書的發放中,最關鍵的環節是RA(Registration Authority)證書離線面對面審核,交易當事人最關心的基本信息,如網上的對方究竟是誰,真實的身份與信用狀況如何等。然而,目前相當多的CA公司在實際操作中或多或少地存在隨意性,并未建立起嚴格的審核要求與流程。申請數字證書的用戶只要在網上將相關的表格隨意填寫后,即可從CA公司那里獲得個人CA證書。異地申請的企業只要將相關資料蓋上公章郵寄過去,并交足相關費用即可獲得CA證書。造成這種狀況的一個重要原因是:要在全國建立幾千個面對面的審核點具有很大的難度。因而建立嚴格的審核流程是十分困難的。然而網絡公證可以徹底解決這一困惑。網絡公證可以將傳統的公證證明應用到 CA證書的身份審核上。其具體解決辦法是:將遍布全國的數千家公證機構通過因特網聯成一個統一中國公證網絡,以實現將社會公眾、公證客戶、公證機構與公證相聯結。也就是說,通過中國公證網,將遍布全國各地的公證機構有機地聯在一起,徹底解決了異地審核的難度,并確保了網絡身份的真實性。當用戶需要申請CA證書時,即可到所在地的公證機構進行離線的面對面審核,也即RA審核。該審核嚴格按照公證機構的審核要求與流程進行,公證機構自然地對所審核的內容承擔相應的法律責任,經過RA審核后的資料統一進入公證機構的中心數據庫中進行安全存放。這樣,經網絡公證RA審核后所頒發的CA證書就自然地與其真實身份相對應,以后在電子商務交易中的網上簽名行為即為其真實持有人所為。進行RA審核的人員不是普通公民,而是現行法律體系中承擔法定審核工作的公證員,他們負有審核身份的法律責任,行使的是國家的證明權。由此可見,網絡公證所構建的網絡真實身份審核體系,可以與CA中心以及其他公司相配合,為其發放CA證書提供審核環節的服務,以解決其審核布點困難以及審核者身份不合法的問題。
就技術而言,CA在現階段的應用已趨成熟,PKI公鑰管理體系也很實用。它通過給個人、企事業單位及政府機構簽發公用密鑰與私人密鑰組成的數字證書,來確認電子商務活動中交易各方的身份,并通過加解密方法來實現網絡信息傳輸中的簽名問題,以確保交易安全性。
保存網絡中的數據,使之成為有效的法律證據
在確定網絡身份后,交易雙方就進入了實質談判,以達成雙方認可的條款。在傳統交易中,協議的合同化過程是在書面合同上簽字蓋章,一旦交易雙方日后在履約中出現爭議,就可以以當初所簽署的書面合同作為證據來解決存在的爭議。與此對應,在虛擬的網絡交易中,也必須能讓虛擬的交易數據得以固化并在日后可能發生的糾紛中作為證據為法院所采證。網絡公證方案可以采用的解決方法是提供第三方數據保管服務。當交易雙方在網上達成協議后,各自用CA證書對合同進行加密簽名,并將合同的電文數據內容提交到網絡公證的數據保存中心。由于進行了加密簽名,數據保存中心也無法打開并知悉當初的交易合同,這就真正確保了其安全性。事實上,由于第三方公正方的參與,使得電子商務交易得以在制度層面得到安全保障。交易雙方一旦出現糾紛,通過解密打開的合同將由公證機構出具其保存的公證書證據。而公證文書在法庭上是可以作為證據直接被采納的。
網上合同履行的提存服務
電子商務交易的信任危機除了主體身份確認危機、交易數據的證據危機外,網絡交易履行中的支付信任更是阻礙網絡交易發展的阻力。雙方達成交易意向后,買家擔心的是能否準確、及時地收到貨物;賣家擔心的是交了貨后能否準確、快捷地收到貨款。也就是說,網絡交易雙方共同關心著網絡合同履行中的信用安全問題。網絡公證可以依照傳統的提存公證思路,結合網絡技術展開網絡提存業務。在網絡電子商務交易中,買方不必將貨款直接交付賣方,而是將貨款提存到網絡公證提存中心,在其收到貨物并簽署完相關單據后,提存中心再將貨款支付給賣方。這樣,網絡公證提供的第三方提存服務徹底解決了網絡交易雙方對網上合同履行的困惑,尤其是支付的擔憂。法律制度和傳統貿易中早已有的公證提存方式對網絡世界中的交易尤為適用。
可以預見,隨著信息安全領域的標準化、法制化建設的日益完善,網絡公證依托中國公證網絡,運用公證的國家證明力所構建的第三方信用與安全服務以及網上合同履行的提存服務,徹底解決了網絡交易主體對電子商務的信用問題,也必將極大地推動我國電子商務的發展。
參考資料:
電子合同的安全性范文第5篇
1996年6月,聯合國國際貿易法委員會(United Nations Commission International Trade Law,UNCITRAL)通過了電子商務示范法。該法律支持在電子商務方面國際商業合同的使用,其模型建立了批準和承認以電子手段形成合同的規則和標準,為電子合同實施的合同格式和管理設置了查錯規則,定義了有效的電子書寫和原始文件的特征,為了立法和商業目的提供了電子簽名的可接受性,支持在法庭和仲裁過程中提供了計算機證據,為電子商務的發展奠定了法律基礎。
UNCITRAL制定了一些原則用來指導管理全球電子商務合同的起草,如:
1. 參與方應自由地在他們認為適合時簽訂他們之間的合同關系;
2. 規則在技術上應保持中立(如:規則既不應要求也不應采用特殊技術),并且規則應著眼于未來發展(如:規則不應阻礙未來技術的使用或開發);
3. 作為必要的或實際的要求現存的規則應被修改,而新的規則應被采納以支持電子技術的使用;
4. 過程應包括高技術商業部門以及還未在網上運作的業務。
支付標準
支付是電子商務活動的核心,國際通行的網上支付工具和支付方式主要有銀行卡支付、電子現金、電子支票以及電子資金轉賬、微支付等。
1. 智能卡支付標準(SET)
1996年2月1日MasterCard 與Visa兩大國際信用卡組織與技術合作伙伴GTE、Netscape、IBM、Terisa Systems、Verisign、Microsoft、SAIC等一批跨國公司共同開發了安全電子交易規范(Secure Electronic Transaction,簡稱SET)。SET是一種應用于開放網絡環境下,以信用卡為基礎的安全電子支付系統的協議,它給出了一套電子交易的過程規范。通過SET這一套完備的安全電子交易協議可以實現電子商務交易中的加密、認證機制、密鑰管理機制等,保證在開放網絡上使用信用卡進行在線購物的安全。由于SET提供商家和收單銀行的認證,確保了交易數據的安全、完整可靠和交易的不可抵賴性,特別是具有保護消費者信用卡號不暴露給商家等優點,因此它成為目前公認的信用卡/借記卡的網上交易的國際標準。
SET協議采用了對稱密鑰和非對稱密鑰體制,把對稱密鑰的快速、低成本和非對稱密鑰的有效性結合在一起,以保護在開放網絡上傳輸的個人信息,保證交易信息的隱蔽性。其重點是如何確保商家和消費者的身份和行為的認證和不可抵賴性,其理論基礎是著名的非否認協議 (Non-repudiation),其采用的核心技術包括X。509電子證書標準與數字簽名技術(Digital Signature)、報文摘要、數字信封、雙重簽名等技術。如使用數字證書對交易各方的合法性進行驗證;使用數字簽名技術確保數據完整性和不可否認;使用雙重簽名技術對SET交易過程中消費者的支付信息和定單信息分別簽名,使得商家看不到支付信息,只能對用戶的訂單信息解密,而金融機構只能對支付和賬戶信息解密,充分保證消費者的賬戶和定貨信息的安全性。 SET通過制定標準和采用各種技術手段,解決了一直困擾電子商務發展的安全問題,包括購物與支付信息的保密性、交易支付完整性、身份認證和不可抵賴性,在電子交易環節上提供了更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。
雖然早在1997年就推出了SET1.0版,但它的推廣應用較緩慢,主要原因是由于昂貴、互操作性差和難以實施,它提供了多層次的安全保障,復雜程度顯著增加;另一個原因是由于SSL的廣泛應用。此外,銀行的支付業務不光是卡支付業務,而SET支付方式適應于卡支付,對其他支付方式是有所限制的。而且,SET協議用以支持"B to C" (business to consumer)類型的電子商務模式,即消費者持卡在網上購物與交易的模式,而不能支持B to B模式。
盡管有諸多缺陷,但SET已獲得IETF的認可,成為電子商務中最重要的協議。
典型的智能卡系統有CyberCash和First Virtual Holding等。SET協議可更好地保證智能卡在INTERNET環境下進行網絡直接交付。
2. 電子現金支付協議
電子現金(e-cash或digital currency)是以數字化形式存在的現金貨幣,具有多用途、靈活使用、匿名性、快速簡便的特點,無需直接與銀行連接便可使用,適用于小額交易。其主要好處是可以提高效率,方便用戶使用。目前電子現金一些只需要軟件,而另一些則需要新硬件--主要是智能卡,即主要有智能卡形式的支付卡或數字方式的現金文件。也可采用現金轉卡或采用Mondex卡轉卡的方式。其安全使用是一個重要的問題,包括限于合法人使用、避免重復使用等。不同類型的數字貨幣都有其自己的協議,用于消費者、銷售商和發行者之間交換金融申請。每個協議由后端服務器軟件--電子現金支付系統,和客戶端的"錢包"軟件執行。
電子現金支付已經有三種典型的實用系統開始使用,分別是:Mondex, Netcash, Digicash。
Mondex:歐洲使用的、以智能卡為電子錢包的電子現金支付系統,應用于多種用途,具有信息存儲、電子錢包、安全密碼鎖等功能,安全可靠。
Netcash:可記錄的匿名電子現金支付系統。主要特點是設置分級貨幣服務器來驗證和管理電子現金,其中電子交易的安全性得到保證。
DigiCash:無條件匿名電子現金支付系統。主要特點是通過數字記錄現金,集中控制和管理現金,是一種足夠安全的電子交易系統。
3. 電子支票
電子支票(e-check或e-cheque)支付目前一般是通過專用網絡、設備、軟件及一套完整的用戶識別、標準報文、數據驗證等規范化協議完成數據傳輸,從而控制安全性。這種方式已經較為完善。電子支票支付現在發展的主要問題是今后將逐步過渡到公共互聯網絡上進行傳輸。電子資金轉賬(Electronic Fund Transfer ,簡稱EFT)或網上銀行服務(Internet Banking)方式,是將傳統的銀行轉賬應用到公共網絡上進行的資金轉賬。一般在專用網絡上應用具有成熟的模式(例如SWIFT系統);公共網絡上的電子資金轉賬仍在實驗之中。目前大約80%的電子商務仍屬于貿易上的轉賬業務。
電子支票支付遵循金融服務技術聯盟(FSTC,Financial Services Technology Consortium) 提的BIP(Bank Internet Payment)標準(草案)。典型的電子支票系統有E-check、NetBill、NetCheque等。
4. 微支付
"微支付"(micropayments)的特征是能夠處理任意小量的錢,適合于因特網上"不可觸摸(non-tangible)商品"的銷售。一方面,微支付要求商品的發送與支付要幾乎同時發生在因特網上;另一方面,商品銷售、處理與運輸的"瓶頸"為保持成本低廉設置了障礙。為保持每個交易的發送速度與低成本,目前有很多廠商在致力于發展別的協議以支持SET和SSL所不能支持的微支付方式,其中之一是微支付傳輸協議 (Micro Payment Transport Protocol, 簡稱MPTP),該協議是由IETF制定的工作草案。
"微支付"的一個重要方面是其定義隨著對象而變化,有許多系統聲明其是"微支付",允許支付小于現有貨幣面額的數額。如IBM開發的"Micro Payments"、Compaq 與Digital開發的"Millicent"、CyberCoin開發的"CyberCash"等。
聯合電子支付聯盟JEPI(Joint Electronic Payment Initiative):是由World Wide Web協會和CommerceNet領導的一個聯盟,目的是對支付協商過程進行標準化。在買主一方(客戶方),JEPI是WEB瀏覽器和wallet使用不同協議的接口,在賣主一方(服務器方),JEPI在網絡和傳輸層之間,將下層來的事務送給適當的傳輸和支付協議。
智能卡標準
智能卡是一種內部嵌入了集成電路的、信用卡大小的電子卡,具有儲存信息量大、數據保密性好、抗干擾能力強、儲存可靠、讀寫設備簡單、使用靈活、操作速度快、脫機工作能力強易于攜帶等特點。
智能卡大致分接觸式、非接觸式2種。它們又分別有存儲式、帶CPU式兩種。智能存儲器型卡中有硬件的邏輯保護,以密碼加密形式來保護其存儲內容不被非法更改;較先進些的存儲卡里面有讀寫的安全模塊做算法的加密認證等;CPU卡因運算速度和存儲容量的不同而不同;有的CPU卡里帶FPU,能加快數學算法的運行,如公開密鑰的運算等.非接觸式的同樣分為存儲式的和帶CPU式的,它主要應用于容量或認證比較快捷方便的地方,如公交、門禁控制等。
智能卡提供了一種簡便的方法,可用來存儲和解釋私人密鑰和證書,并且非常容易攜帶。智能卡可以配合SET或SSL使用。SET非常好地解決了智能卡與電子商務的結合,智能卡上存放的證書使持卡人的身份得到認證,并直接在每一次網上購物時簽上客戶的數字簽名。
1997年全球智能卡發行量達13億張;1998年達到16億張,增長率為23%;到2000年,發卡量預計將增至30億張。推動智能卡發展的主要領域是銀行金融界、電信業、交通業以及醫療保健和身份認證系統。其中,金融業的增長將尤為迅速,電子支付將使智能卡的發展推到一個新的高度。歐洲是智能卡最大的市場,但亞洲和美洲市場具有非常廣闊的前景。據不完全統計,至1998年,我國已發行IC卡約8000多萬張。據有關部門預測,至2000年,我國IC卡發卡量將在2億張以上。智能卡已在電信、交通、醫療、商業、旅游、公用事業等眾多領域中得到廣泛的應用,并將在電子商務領域得到更大的發展。
1. 智能卡國際標準
(1)全球PC/SC計算機與智能卡聯盟
Bull、HP、IBM、Microsoft、Simens、Nixdof、Sun、Toshiba、Verifone和Gemplus組成了計算機與智能卡聯盟,制定計算機和智能卡連用標準.以達到通過一張智能卡,插入異地網絡計算機,即可通過因特網查詢本地資料或進行電子商務活動。
(2)EMV集成電路卡規范(EUROPAY- MASTERCARD- VISA Integrated Circuit Card Specifications )
該規范是基于ISO標準的規范,最早由VISA于1992年著手研制,此后VISA聯合EUROPAYT和MASTERCARD共同完成了該規范。1996年6月,EMV出版了EMV集成電路卡規范第三版,1998年5月對該版做了更新,該規范用附加的數據類型和編碼規則為金融服務企業擴展了ISO 7816標準。。
