驗證電子合同的有效方法精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的驗證電子合同的有效方法主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：驗證電子合同的有效方法范文

摘要：電子簽名不同于傳統(tǒng)的簽名，表現(xiàn)為特殊的形式，它從內(nèi)部保證了電子合同的效力安全；電子認(rèn)證及認(rèn)證機構(gòu)則是從外部來確保合同關(guān)系的存在。為了保護交易安全，應(yīng)對電子合同的簽名和認(rèn)證予以法律規(guī)制。

一、電子合間引發(fā)的簽名及認(rèn)證的新問題

隨著信息高速公路和因特網(wǎng)技術(shù)的迅速普及，電子郵件、電子數(shù)據(jù)交換等現(xiàn)代通訊手段在商務(wù)交易中的廣泛應(yīng)用，合同以一種新的形式即電子合同的形式出現(xiàn)，并迅速發(fā)展成為電子商務(wù)活動的一種重要工具和載體。電子合同利用信息技術(shù)改變了傳統(tǒng)的貿(mào)易觀念和方式，同時也引發(fā)了一系列新的法律問題，在此就與安全有關(guān)的電子簽名和電子認(rèn)證問題做些討論。

第一，電子簽名與合同安全。眾所周知，電子合同是通過網(wǎng)絡(luò)中的數(shù)據(jù)交換來傳遞信息的，其賴以存在的介質(zhì)是電腦硬盤或軟盤的磁性介質(zhì)，它不同于傳統(tǒng)的書面合同是將信息記載或附著于一定的物質(zhì)載體(紙)_L。由于電子合同的“無紙性”，對其進行傳統(tǒng)意義上的親筆簽字即在文件上寫上當(dāng)事人的名字或蓋章顯然是不可能的。因此我國《合同法》第33條規(guī)定，電子合同的成立應(yīng)以在確認(rèn)書上簽章為要件。但如果在現(xiàn)實中每簽訂一份電子合同都要事先簽訂一份確認(rèn)書且在確認(rèn)書上進行簽章，那么將無法發(fā)揮電子合同快捷、低成本的優(yōu)點，電子合同就失去了存在的意義和價值。而另一方面，簽名在法律上的意義就在于證明及確認(rèn)某項意思表示或法律文件之成立、生效以及內(nèi)容的確實性。川為了保證交易安全，確認(rèn)當(dāng)事人的身份及合同內(nèi)容，簽名對于電子合同來說又是必不可少的一個重要環(huán)節(jié)?，F(xiàn)實對傳統(tǒng)的簽名提出了挑戰(zhàn)。

第二，電子認(rèn)證與合同安全。由于網(wǎng)絡(luò)具有虛擬性的特點，使得電子合同雖有與傳統(tǒng)合同相同的法律效果，卻始終是不同于傳統(tǒng)合同的。交易雙方甚至往往是相互陌生的，互相不確定真實身份及真實意圖，即使交易雙方是在一定的信任基礎(chǔ)上進行交易，網(wǎng)絡(luò)中的交易信息在傳輸存儲交換過程中被刪改、竊取、攔截等情況也會發(fā)生，不能通過有效途徑或有關(guān)無利害關(guān)系的第三方通過認(rèn)證，保證信息的可靠性、可用性、完整性、保密性、不可抵賴性，就會導(dǎo)致當(dāng)事人責(zé)任不明，阻礙交易的進行或不利于糾紛的解決，電子交易就會處于相當(dāng)脆弱的境地，其發(fā)展的余地可想而知。安全是電子合同的生命之所在，沒有安全，就不可能有電子合同的存在與廣泛應(yīng)用，而電子合同的安全性主要體現(xiàn)在簽名和認(rèn)證上。因此，有必要對電子合同的簽名及認(rèn)證問題進行研究，找到一種切實可行的辦法來解決由電子合同引發(fā)的安全間題。

二、電子簽名在我國法律上的確認(rèn)

關(guān)于電子簽名(electronicsi，ature)，國外及國際組織或是從簽名形式的角度，或是從法律意義的角度闡述了電子簽名的含義。筆者認(rèn)為，電子簽名簡言之就是指以電子形式存在，依附于電子文件，并與其邏輯相關(guān)，可用來辨識電子文件簽署者身份及表示簽署者同意電子文件內(nèi)容者。

電子簽名本身是一種電子數(shù)據(jù)，儲存在計算機硬盤或軟盤中，極易被修改或破壞，且不會留下痕跡，而書面簽章可以向法庭提交初始文件，因而電子簽名的證明力不如書面簽章；在電子交易中，當(dāng)事人一方可能同時擁有多個電子簽名，可能在不同的系統(tǒng)中使用不同的電子簽名，不如書面簽名那樣具有唯一性。盡管電子簽名在這些方面遜色于傳統(tǒng)的簽名，但它滿足了電子合同快捷的要求，其存在的價值在現(xiàn)代交易中得以體現(xiàn)。因此，不妨先認(rèn)可電子簽名的可應(yīng)用性，然后找到一種依賴于高新技術(shù)的安全可靠的方式以及完善的制度設(shè)計來增加對電子簽名的信任度和安全感。

縱觀各國立法或條例，其中都涉及到了電子簽名的概念、效力問題。我國香港、臺灣地區(qū)對此也有相關(guān)的規(guī)定。反觀我國大陸，無論立法，還是司法解釋，都未涉及電子簽名，我國《合同法》顯出了它的滯后性。筆者建議在《合同法》或司法解釋中對電子簽名的概念、種類、效力等基本問題作出規(guī)定，使之更有利于指導(dǎo)實踐。具體應(yīng)涉及以下幾個方面：

第一，電子簽名的概念。適用一個新的概念之前，首先應(yīng)清楚其具體含義。電子簽名主要包含了三層憊思：(l)電子簽名是以電子形式存在的；(2)電子簽名能確認(rèn)電子合同的內(nèi)容：(3)當(dāng)事人通過電子簽名表明其身份，并表明接受合同項下的權(quán)利義務(wù)，繼之表明愿意承擔(dān)可能產(chǎn)生的合同責(zé)任。

第二，電子簽名的種類。目前電子簽名的主要方式是以非對稱密鑰體系為荃礎(chǔ)建立起來的數(shù)字簽名，但不可否認(rèn)還有其它簽名形式的存在，如PIN碼等，以及今后可能會出現(xiàn)的更先進的簽名方式。在法律中不能只規(guī)定流行的做法，應(yīng)考慮到在現(xiàn)實基礎(chǔ)上的技術(shù)的多樣性及可能性。電子簽名離不開技術(shù)的支持，而技術(shù)由于人類認(rèn)識世界和改造世界的能力的不斷提高也是不斷進步和完善的。從某種意義上來說，后出現(xiàn)的技術(shù)優(yōu)于先出現(xiàn)的技術(shù)，也包括攻擊破壞技術(shù)。如果法律只規(guī)定現(xiàn)今廣泛應(yīng)用的技術(shù)，則不能適應(yīng)新環(huán)境下對安全性的要求)為此，法律必須不斷修改以適應(yīng)新的需求，如此必將犧牲法律的穩(wěn)定性和權(quán)威性。另外，法律的單一性規(guī)定可能會妨礙其他技術(shù)的應(yīng)用，導(dǎo)致壟斷、歧視。因此，法律需要在電子簽名的種類問題上保持中立我國應(yīng)采取折衷的方法，一方面規(guī)定電子簽名的一般效力，允許運用以任何技術(shù)為基礎(chǔ)的電子簽名，保持技術(shù)的中立性；另一方面.又對所謂的“安全電子簽名”(即數(shù)字簽名)作出特別規(guī)定，并建立配套的認(rèn)證機制，與國際接軌。

第三，電子簽名的效力。有學(xué)者認(rèn)為，根據(jù)“功能等同原則”，電子簽名具有與傳統(tǒng)簽名同等的法律效力。然而，電子簽名的法律效力并不是由原則來賦予的，要使電子簽名具有與傳統(tǒng)簽名同等的效力，只能通過立法的形式。就電子簽名的內(nèi)涵而言，它與傳統(tǒng)簽名別無二致，只是表現(xiàn)形式不同而已。在電子交易中，只要能使用一種方法來鑒別電子意思表示的發(fā)端人并證實發(fā)端人認(rèn)可了該電子意思表示的內(nèi)容，即可達到簽字的基本法律功能。國外電子商務(wù)的相關(guān)立法或正在提交審議的草案中均承認(rèn)了電子簽名的效力。為了便于國際領(lǐng)域的商務(wù)活動，法律應(yīng)該承認(rèn)電子簽名的效力。

三、電子認(rèn)證制度在我國的建立

通過電子簽名，從實體法角度來講，確保了合同的有效成立，確定了合同的內(nèi)容以及當(dāng)事人的身份和愿受合同約束的意思表示；從訴訟法角度來講，保證了合同因簽名而具有的證明當(dāng)事人交易關(guān)系的能力。然而，電子簽名只是從內(nèi)部為當(dāng)事人提供了數(shù)據(jù)信息安全性的保障。如果有人盜用電子簽名進行交易以達到其詐騙的目的，如果交易一方否認(rèn)合同義務(wù)而不予履行，那么合同另一方當(dāng)事人仍是處于危險之中的，交易信用安全仍然岌岌可危。因而，從外部對當(dāng)事人合同關(guān)系進行切實有效的保護以及對電子簽名、當(dāng)事人身份、合同內(nèi)容等信息的真實性進行證明顯得尤為重要。此種外部保護就是由不涉及合同利益的第三方公平地對交易信息的真實性主要是當(dāng)事人電子簽名真實性進行證明，它依賴于電子認(rèn)證以及認(rèn)證機構(gòu)。

電子認(rèn)證是指電子商務(wù)認(rèn)證機構(gòu)(CertifieationAuthority，簡稱CA)對電子簽名及其簽署者的真實性進行驗證的過程。我國信息產(chǎn)業(yè)部《電子商務(wù)認(rèn)證機構(gòu)管理辦法》征求意見稿將CA定義為：為在電子商務(wù)活動中的有關(guān)各方提供數(shù)字身份證書服務(wù)的獨立法人單位。電子認(rèn)證包括站點認(rèn)證、數(shù)據(jù)信息認(rèn)證、當(dāng)事人身份認(rèn)證等。CA能提供比較易于使用的手段，使依賴證書的當(dāng)事人得以證實：信息認(rèn)證人的身份；用以鑒定簽名持有人身份的方法；對使用簽名目的方面的任何限制；簽名是否有效以及是否已失密。

電子合同的有效運作離不開認(rèn)證及CA，沒有CA的認(rèn)證，電子合同交易的安全性就無從得到保障，當(dāng)事人對交易對方的信任也無法建立，整個電子商務(wù)活動就會因為得不到人們的信任而無法進行下去。要使整個認(rèn)證體系及認(rèn)證活動受人信賴，使通過認(rèn)證程序頒發(fā)的電子簽名證書被廣泛應(yīng)用于電子合同交易中，CA的建立與完善問題首當(dāng)其沖。這就涉及到CA的功能與機構(gòu)設(shè)置問題。

第一，功能方面。目前，在世界范圍內(nèi)CA的主要功能都是接收注冊請求，處理、批準(zhǔn)或拒絕請求，頒發(fā)證書，以此達到對內(nèi)防止否認(rèn)，對外防止欺詐。J3]在認(rèn)證體系中，CA應(yīng)該是一個受單個或多個用戶信任的，提供電子簽名及用戶身份驗證的第三方機構(gòu)。CA應(yīng)該具備這樣的特征：(1)它是獨立的法律實體，以全部財產(chǎn)對外承擔(dān)責(zé)任；(2)它具有中立性，提供的是一種信用服務(wù)；(3)它的運作是為了建立或保證一個公正的交易環(huán)境。在具體的電子合同場合，CA扮演著一個買賣雙方簽約、履約的監(jiān)督管理以及合同關(guān)系證明的角色。

在功能方面的建立及完善措施主要是規(guī)定CA的義務(wù)，明確CA的責(zé)任。從義務(wù)的角度來看，主要是明確CA的信息披露、數(shù)據(jù)保護、安全保密、歇業(yè)安排等的基本義務(wù)。比如，CA有義務(wù)確保自己作出的所有重大陳述，就其所知悉和所相信的最大程度而言是準(zhǔn)確無誤與完整的。另外，所有的CA都必須強制取得許可證，非許可的CA將喪失電子簽名在證據(jù)法上的推定和相當(dāng)優(yōu)惠的責(zé)任限制。從責(zé)任的角度來看，證書是電子交易的基礎(chǔ)，需要穩(wěn)定性和準(zhǔn)確性，認(rèn)證人對自己因疏忽或告知不實而導(dǎo)致的用戶損失與第三人損失，都應(yīng)當(dāng)負(fù)賠償責(zé)任。通過義務(wù)及責(zé)任體系的建立及完善，將使CA的功能得到極大限度的發(fā)揮，也有利于電子交易活動中對電子簽名的信任感的建立。

第二，機構(gòu)設(shè)置方面。CA的建設(shè)機制可分為樹形驗證結(jié)構(gòu)與邦聯(lián)結(jié)構(gòu)。日隊我國當(dāng)前實際考察，宜采用樹形結(jié)構(gòu)，建立一個獨立于所有行業(yè)、所有交易的全國性的權(quán)威認(rèn)證機構(gòu)，由這樣一個機構(gòu)制定認(rèn)證行業(yè)的統(tǒng)一運作規(guī)則，包括認(rèn)證機構(gòu)的人員、組織形式、營運章程等，并向下級CA發(fā)放根證書。目前，由人行牽頭、組織12家商業(yè)銀行聯(lián)合共建的中國金融認(rèn)證中心(CFCA)建設(shè)已取得重大進展，認(rèn)證體系一期工程建設(shè)已宣告結(jié)束，相繼向全國的商業(yè)銀行、商業(yè)用戶和個人發(fā)放證書。毫無疑問，在CFCA建設(shè)運營的基礎(chǔ)上發(fā)展國家根CA是可行的，國家根CA將來為全國其他所有的CA(包括金融CA與第三方CA)發(fā)放根證書，并對全國的認(rèn)證機構(gòu)進行監(jiān)管。它的中立性、權(quán)威性將保證電子商務(wù)的深人發(fā)展，也將有利于保障電子合同的安全。

總之，從某種意義上來說，電子簽名主要是用于數(shù)據(jù)電訊本身的安全，使之不被否認(rèn)或篡改，是一種技術(shù)手段上的保證；而電子認(rèn)證，則主要應(yīng)用于交易關(guān)系的信用安全方面，保證交易人的真實與可靠，是一種組織制度上的保證,不管從哪方面來說，都有利于電子合同的安全。電子簽名和認(rèn)證的價值也得到了體現(xiàn)。因而，在立法中對它們作出相關(guān)的規(guī)定勢在必行。

參考文獻：

曾更瑩.網(wǎng)際網(wǎng)路上運用電子簽名所步及法律問題研究[J]·中國臺灣：萬國法律，1997(4).

蔣建平，楊毅.電子合同的效力問題[J].律師世界，l999(11).

梅紹祖·電子商務(wù)法律規(guī)范[M]北京：清華大學(xué)出版社，2000，68.

第2篇：驗證電子合同的有效方法范文

關(guān)鍵詞：電子商務(wù)；身份認(rèn)證；防火墻

中圖分類號：TP3 文獻標(biāo)識碼：A文章編號：1009-3044(2008)30-0559-02

A Brief Analysis on the Security Strategy of E-business

WANG Gai-xiang

(Shanxi Professional College of Finance,Taiyuan 030008,China)

Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.

Key words:E-business; identity authentication; firewall

1 引言

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢，使得政府與企業(yè)都十分重視并推動電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問題在于時空的分離導(dǎo)致了安全問題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問題之一。研究和分析電子商務(wù)的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開發(fā)的先進技術(shù)和經(jīng)驗,開發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

2 電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國迅速發(fā)展。實現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看，傳統(tǒng)的買賣雙方是面對面的，因此較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時空的分離導(dǎo)致了安全問題的出現(xiàn)，電子商務(wù)交易雙方（銷售者和消費者）都面臨安全威脅，電子商務(wù)的安全要素主要體現(xiàn)在以下幾個方面：

2.1 信息真實性、有效性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。

2.2 信息機密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3 信息完整性

電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲及電子商務(wù)完整性檢查的正確和可靠。

3.4 信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^；不可否認(rèn)要求即是能建立有效的責(zé)任機制，防止實體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識。在1nternet上每個人都是匿名的，電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3 電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進行，要求電子商務(wù)平臺要穩(wěn)定可靠，能不中斷地提供服務(wù)。任何系統(tǒng)的中斷，如硬件、軟件錯誤，網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經(jīng)濟損失。

所以就整個電子商務(wù)安全系統(tǒng)而言，安全性可以劃分為四個層次，

1) 網(wǎng)絡(luò)節(jié)點的安全

2) 通訊的安全性

3) 應(yīng)用程序的安全性

4) 用戶的認(rèn)證管理

其中2、3、4是通過操作系統(tǒng)和Web服務(wù)器軟件實現(xiàn)，而網(wǎng)絡(luò)節(jié)點的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點的安全性。

3.1 網(wǎng)絡(luò)節(jié)點的安全

防火墻是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，為電子商務(wù)的施展提供個相對更安全的平臺。

防火墻是在連接Internet和Intranet保證安全最為有效的方法 ，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統(tǒng)。 應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。

3.2 通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。 目前采用的是瀏覽器缺省的40位加密強度，也可以考慮將加密強度增加到128位。 為在瀏覽器和服務(wù)器之間建立安全機制，SSL首先要求服務(wù)器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機構(gòu)（CA中心）簽發(fā)。瀏覽器要驗征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法（RSA）與服務(wù)器協(xié)商一個對稱算法及密鑰，然后用此對稱算法加密傳輸?shù)拿魑?。此時瀏覽器也會出進入安全狀態(tài)的提示。

3.3 應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計算機系統(tǒng)的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行，而不是只有有限的指令子集在特權(quán)模式下運 行，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設(shè)置訪問控制（最少許可），程序員認(rèn)為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例如，緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。 訪問控制系統(tǒng)中沒有什么可以檢測到這些問題 。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問題一樣的錯誤。

3.4 用戶的認(rèn)證管理

1) 身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA證書與IC卡相結(jié)合實現(xiàn)的。CA證書用來認(rèn)證服務(wù)器的身份，IC卡用來認(rèn)證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認(rèn)機制。

2) CA證書

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書進行驗證，這份數(shù)字證書就是CA證書，它由認(rèn)證授權(quán)中心（CA中心）發(fā)行。認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機構(gòu)，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認(rèn)的可靠組織，它對個人、組織進行審核后，為其發(fā)放數(shù)字證書，證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書（下載可以在訪問之前或訪問時進行）。

3) 安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

第3篇：驗證電子合同的有效方法范文

摘要：隨著互聯(lián)網(wǎng)的全面普及，基于Internet 開展的電子商務(wù)已逐漸成為人們進行商務(wù)活動的新模式,越來越多的企業(yè)和個人通過Internet 進行商務(wù)活動，電子商務(wù)的發(fā)展前景十分誘人，而商業(yè)信息的安全是電子商務(wù)的首要問題。

關(guān)鍵詞：電子商務(wù)；身份認(rèn)證；防火墻

一、引言

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢，使得政府與企業(yè)都十分重視并推動電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問題在于時空的分離導(dǎo)致了安全問題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問題之一。研究和分析電子商務(wù)的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開發(fā)的先進技術(shù)和經(jīng)驗,開發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

二、電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國迅速發(fā)展。實現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看，主要體現(xiàn)在以下幾個方面：

1.信息真實性、有效性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。

2.信息機密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.信息完整性

電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。

4.信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^；不可要求即是能建立有效的責(zé)任機制，防止實體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

三、電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進行，要求電子商務(wù)平臺要穩(wěn)定可靠，能不中斷地提供服務(wù)。任何系統(tǒng)的中斷，如硬件、軟件錯誤，網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經(jīng)濟損失。

1.網(wǎng)絡(luò)節(jié)點的安全

防火墻是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，為電子商務(wù)的施展提供個相對更安全的平臺。

2.通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度，也可以考慮將加密強度增加到128 位。為在瀏覽器和服務(wù)器之間建立安全機制，SSL 首先要求服務(wù)器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機構(gòu)（CA中心）簽發(fā)。瀏覽器要驗征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL 鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL 鏈接時客戶只需用戶下載該站點的服務(wù)器證書（下載可以在訪問之前或訪問時）。

3.應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計算機系統(tǒng)的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行，而不是只有有限的指令子集在特權(quán)模式下運行，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設(shè)置訪問控制（最少許可），程序員認(rèn)為這個缺省的許可是正確的。

四、安全管理

為了確保系統(tǒng)的安全性，除了采用上述技術(shù)手段外，還必須建立嚴(yán)格的內(nèi)部安全機制。對于所有接觸系統(tǒng)的人員，按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限。按照分級管理原則，嚴(yán)格管理內(nèi)部用戶賬號和密碼，進入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶賬號和密碼。

五、結(jié)束語

安全實際上就是一種風(fēng)險管理。任何技術(shù)手段都不能保證1OO％的安全。但是，安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運行必須從多方面入手，僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的。安全只是相對的，而不是絕對的。因此，為進一步促進電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展，必須在實際運用中解決電子商務(wù)中出現(xiàn)的各類問題，使電子商務(wù)系統(tǒng)相對更安全。

參考文獻:

[1] 吳洋.電子商務(wù)安全方法研究[D].天津大學(xué).2006

[2] 李艷.電子商務(wù)信息安全策略研究[J].甘肅科技.2005.06

第4篇：驗證電子合同的有效方法范文

要理解什么是電子簽名，需要從傳統(tǒng)手工簽名或蓋印章談起。在傳統(tǒng)商務(wù)活動中，為了保證交易的安全與真實，一份書面合同或公文要由當(dāng)事人或其負(fù)責(zé)人簽字、蓋章，以便讓交易雙方識別是誰簽的合同，保證簽字或蓋章的人認(rèn)可合同的內(nèi)容，在法律上才能承認(rèn)這份合同是有效的。而隨著互聯(lián)網(wǎng)應(yīng)用的越來越成熟，在電子文件上，傳統(tǒng)的手寫簽名和蓋章是無法進行的，這就必須依靠IT技術(shù)手段來替代。

電子認(rèn)證與電子簽名

從法律上講，簽名有兩個功能: 即標(biāo)識簽名人和表示簽名人對文件內(nèi)容的認(rèn)可。聯(lián)合國貿(mào)發(fā)會的《電子簽名示范法》中對電子簽名做如下定義: “指在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽名人和表明簽名人認(rèn)可數(shù)據(jù)電文所含信息”; 在歐盟的《電子簽名共同框架指令》中就規(guī)定: “以電子形式所附或在邏輯上與其他電子數(shù)據(jù)相關(guān)的數(shù)據(jù)，作為一種判別的方法”稱為電子簽名。而我國《電子簽名法》對電子簽名的定義: “是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。根據(jù)這一定義，能識別簽名人身份的電子簽名方法可能有很多種，比如: ID/口令、指紋識別、虹膜/網(wǎng)膜識別和形態(tài)識別等等。但是，用這樣一些電子簽名手段，只能進行人的身份識別，即《電子簽名法》中定義的電子認(rèn)證。但不能做到在《電子簽名法》中對電子簽名的全面要求: 即在識別簽名人身份的同時，還要做到簽名人認(rèn)可其中的內(nèi)容。

從廣義上講，實現(xiàn)電子簽名的技術(shù)手段有很多種，但目前比較成熟的，世界先進國家普遍使用的電子簽名技術(shù)還是“數(shù)字簽名”技術(shù)。由于保持技術(shù)中立性是制訂法律的一個基本原則，因此，目前還不能說明公鑰密碼理論是制作簽名的惟一技術(shù)，因此有必要規(guī)定一個更一般化的概念以適應(yīng)今后技術(shù)的發(fā)展。但是，目前電子簽名法中提到的簽名，一般指的就是“數(shù)字簽名”。所謂“數(shù)字簽名”就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進行技術(shù)驗證，其驗證的準(zhǔn)確度是一般手工簽名和圖章的驗證無法比擬的。

電子簽名的一般實現(xiàn)方法

目前，實現(xiàn)電子簽名的方法有好多種技術(shù)手段，前提是在確認(rèn)了簽署者的確切身份即經(jīng)過電子認(rèn)證之后，電子簽名承認(rèn)人們可以用多種不同的方法簽署一份電子記錄。

1. 手寫簽名或圖章的模式識別

即將手寫簽名或印章作為圖像，用光掃描經(jīng)光電轉(zhuǎn)換后在數(shù)據(jù)庫中加以存儲，當(dāng)驗證此人的手寫簽名或蓋印時，也用光掃描輸入，并將原數(shù)據(jù)庫中的對應(yīng)圖像調(diào)出，用模式識別的數(shù)學(xué)計算方法，進行二者比對，以確認(rèn)該簽名或印章的真?zhèn)?。這種方法曾經(jīng)在銀行會計柜臺使用過，但由于需要大容量的數(shù)據(jù)庫存儲和每次手寫簽名和蓋印的差異性，證明了它的不實用性，這種方法也不適用于互聯(lián)網(wǎng)上傳輸，是較原始和落后的方法。

2. 生物識別技術(shù)

生物識別技術(shù)是利用人體生物特征進行身份認(rèn)證的一種技術(shù)，生物特征是一個人與他人不同的惟一表征，它是可以測量、自動識別和驗證的。生物識別系統(tǒng)對生物特征進行取樣，提取其惟一的特征進行數(shù)字化處理，轉(zhuǎn)換成數(shù)字代碼，并進一步將這些代碼組成特征模板存于數(shù)據(jù)庫中，人們同識別系統(tǒng)交互進行身份認(rèn)證時，識別系統(tǒng)獲取其特征并與數(shù)據(jù)庫中的特征模板進行比對，以確定是否匹配，從而決定確定或否認(rèn)此人。生物識別技術(shù)主要有以下幾種:

（1）指紋識別技術(shù)。每個人的指紋皮膚紋路是惟一的，并且終身不變，依靠這種惟一性和穩(wěn)定性，就可以把一個人同他的指紋對應(yīng)起來，通過將他的指紋和預(yù)先保存在數(shù)據(jù)庫中的指紋采用指紋識別算法進行比對，便可驗證他的真實身份。在身份識別后的前提下，可以將一份紙質(zhì)公文或數(shù)據(jù)電文按手印簽名或放于IC卡中簽名。但這種簽名需要有大容量的數(shù)據(jù)庫支持，適用于本地面對面的處理，不適宜網(wǎng)上傳輸，目前指紋簽名還做不到與數(shù)據(jù)電文內(nèi)容相關(guān)聯(lián)。

（2）視網(wǎng)膜、虹膜識別技術(shù)。視網(wǎng)膜識別技術(shù)是利用激光照射眼球的背面，掃描攝取幾百個視網(wǎng)膜的特征點，代碼摸板存儲，經(jīng)數(shù)字化處理后形成記憶模板存儲于數(shù)據(jù)庫中，供以后的比對驗證。視網(wǎng)膜是一種極其穩(wěn)定的生物特征，作為身份認(rèn)證是精確度較高的識別技術(shù)。但使用困難，不適用于直接數(shù)字簽名和網(wǎng)絡(luò)傳輸，只能做到身份識別，還做不到與數(shù)據(jù)電文內(nèi)容相綁定。虹膜識別技術(shù): 紅外照射，取樣制作代碼摸板存儲，用時進行比對。這種簽名也只能是進行身份識別。

（3）聲音識別技術(shù)。聲音識別技術(shù)是一種行為識別技術(shù),用聲音錄入設(shè)備反復(fù)不斷地測量、記錄聲音的波形和變化，并進行頻譜分析，經(jīng)數(shù)字化處理之后作成聲音模板加以存儲。使用時將現(xiàn)場采集到的聲音同登記過的聲音模板進行精確的匹配，以識別該人的身份。這種技術(shù)精確度較差，使用困難，不適用于直接數(shù)字簽名和網(wǎng)絡(luò)傳輸。

以上這種身份識別的方法解決的都是“你是什么？”，“你是誰？”，適用于面對面的場合，不適用遠(yuǎn)程網(wǎng)絡(luò)認(rèn)證，不適合大規(guī)模人群認(rèn)證。

3. 密碼、口令和個人識別碼。

這里是指用一種傳統(tǒng)的對稱密鑰加/解密的身份識別和簽名方法。甲方需要乙方簽名一份電子文件，甲方可產(chǎn)生一個隨機碼傳送給乙方，乙方用事先雙方約定好的對稱密鑰加密該隨機碼和電子文件回送給甲方，甲方用同樣對稱密鑰解密后得到電文并核對隨機碼，如隨機碼核對正確，甲方即可認(rèn)為該電文來自乙方。這種方法解決的是“你知道什么？”。適于遠(yuǎn)程網(wǎng)絡(luò)傳輸，但不適合大規(guī)模人群認(rèn)證，因為對稱密鑰管理困難。但是，對加密的數(shù)據(jù)電文簽名人做不到認(rèn)可。

在對稱密鑰加/解密認(rèn)證中，在實際應(yīng)用方面經(jīng)常采用的是ID+PIN（身份惟一標(biāo)識+口令）。即發(fā)方直接將ID和PIN發(fā)給收方，收方與后臺已存放的ID和口令進行比對，達到認(rèn)證的目的。人們在日常生活中使用的銀行卡就是用的這種認(rèn)證方法。這種方法解決的是“你有什么？”和“你知道什么？”。適用遠(yuǎn)程網(wǎng)絡(luò)傳輸，但不安全，易被黑客竊取，只能簡單的身份識別，不適用于電子簽名。

4. 基于PKI的電子簽名

基于公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure）的電子簽名被稱做“數(shù)字簽名”。有人稱“電子簽名”就是“數(shù)字簽名”，這種說法是錯誤的。數(shù)字簽名是電子簽名的一種主要形式。因為電子簽名具有技術(shù)中立性，但也帶來使用的不便，法律上又對電子簽名做了進一步規(guī)定，如聯(lián)合國貿(mào)發(fā)會的《電子簽名示范法》和歐盟的《電子簽名共同框架指令》中就規(guī)定了“可靠電子簽名”和“高級電子簽名”，其目的就是規(guī)定了數(shù)字簽名的具體功能，這種規(guī)定使數(shù)字簽名獲得了更好的應(yīng)用安全性和可操作性。目前，具有實際意義的電子簽名只有公鑰密碼理論。所以，目前國內(nèi)外普遍使用的、技術(shù)成熟的、可實際使用的還是基于PKI的數(shù)字簽名技術(shù)。作為公鑰基礎(chǔ)設(shè)施PKI可提供多種網(wǎng)上安全服務(wù)，如認(rèn)證、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認(rèn)性，其中都用到了數(shù)字簽名技術(shù)。

數(shù)字簽名的技術(shù)保障

1. 什么是數(shù)字簽名

數(shù)字簽名在ISO7498-2標(biāo)準(zhǔn)中定義為: “附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被人（例如接收者）進行偽造”。美國電子簽名標(biāo)準(zhǔn)（DSS，F(xiàn)IPS186-2）對數(shù)字簽名做了如下解釋: “利用一套規(guī)則和一個參數(shù)對數(shù)據(jù)計算所得的結(jié)果，用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性”。按上述定義PKI可以提供數(shù)據(jù)單元的密碼變換，并能使接收者判斷數(shù)據(jù)來源及對數(shù)據(jù)進行驗證，是數(shù)字簽名的技術(shù)保障。

PKI的核心執(zhí)行機構(gòu)是《電子簽名法》中所定義的電子認(rèn)證服務(wù)提供者，即通稱為認(rèn)證機構(gòu)CA（Certificate Authority），PKI簽名的核心元素是由CA簽發(fā)的數(shù)字證書。數(shù)字證書所提供的PKI服務(wù)就是認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性和不可否認(rèn)性。它的作法就是利用證書公鑰和與之對應(yīng)的私鑰進行加/解密，并產(chǎn)生對數(shù)字電文的簽名及驗證簽名。數(shù)字簽名是利用公鑰密碼技術(shù)和其他密碼算法生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名和印章。這種電子式的簽名還可進行技術(shù)驗證，其驗證的準(zhǔn)確度是在物理世界中對手工簽名和圖章的驗證是無法比擬的。這種簽名方法可在很大的可信PKI域人群中進行認(rèn)證，或在多個可信的PKI域中進行交叉認(rèn)證，它特別適用于互聯(lián)網(wǎng)和廣域網(wǎng)上的安全認(rèn)證和傳輸。

關(guān)振勝

中國建設(shè)銀行科技部副總工程師，高級工程師?，F(xiàn)受聘中國金融認(rèn)證中心（CFCA）技術(shù)顧問、中國人民銀行“網(wǎng)上銀行發(fā)展與監(jiān)管工作組” 專家、亞洲PKI論壇（中國）委員、中國電子商務(wù)協(xié)會專家委員會專家、電子協(xié)會電子簽名專家委員會常委。主持領(lǐng)導(dǎo)設(shè)計、開發(fā)多個銀行大型應(yīng)用系統(tǒng)。著作有“公鑰基礎(chǔ)設(shè)施PKI與認(rèn)證機構(gòu)CA”、“中國金融認(rèn)證中心建設(shè)”、 “第四代語言INFORMIX 4GL”等。曾獲得科技進步獎一等、二等、三等獎。(如右圖)

2. 公鑰密碼技術(shù)原理

公開密鑰密碼理論是1976年美國發(fā)表的RSA算法，它是以三個發(fā)明人的名字而命名的，后來又有橢圓算法ECC，但常用的、成熟的公鑰算法是RSA。它與傳統(tǒng)的對稱密鑰算法有本質(zhì)的區(qū)別，對稱密鑰算法常用的是DES算法，它具有一個密鑰，加/解密時用的是同一個密鑰。而公鑰算法利用的是非對稱密鑰，即利用兩個足夠大的質(zhì)數(shù)與被加密原文相乘生產(chǎn)的積來加/解密。這兩個質(zhì)數(shù)無論是用哪一個與被加密的原文相乘（模乘），即對原文件加密，均可由另一個質(zhì)數(shù)再相乘來進行解密。但是，若想用這個乘積來求出另一個質(zhì)數(shù)，就要進行對大數(shù)分解質(zhì)因子，分解一個大數(shù)的質(zhì)因子是十分困難的，若選用的質(zhì)數(shù)足夠大，這種求解幾乎是不可能的。因此，將這兩個質(zhì)數(shù)稱為密鑰對，其中一個采用私密的安全介質(zhì)保密存儲起來，不對任何外人泄露，所以簡稱為“私鑰”; 另一個密鑰可以公開發(fā)表，用數(shù)字證書的方式在稱之為“網(wǎng)上黃頁”的目錄服務(wù)器上，用LDAP協(xié)議進行查詢，也可在網(wǎng)上請對方發(fā)送信息時主動將該公鑰證書傳送給對方，這個密鑰稱之為“公鑰”。

公/私密鑰對的用法是，當(dāng)發(fā)方向收方通信時發(fā)方用收方的公鑰對原文進行加密，收方收到發(fā)方的密文后，用自己的私鑰進行解密，其中他人是無法解密的，因為他人不擁有自己的私鑰，這就是用公鑰加密，私鑰解密用于通信; 而用私鑰加密文件公鑰解密則是用于簽名，即發(fā)方向收方簽發(fā)文件時，發(fā)方用自己的私鑰加密文件傳送給收方，收方用發(fā)方的公鑰進行解密。

但是，在實際應(yīng)用操作中發(fā)出的文件簽名并非是對原文本身進行加密，而是要對原文進行所謂的“哈?！保℉ash）運算，即對原文作數(shù)字摘要。該密碼算法也稱單向散列運算，其運算結(jié)果稱為哈希值，或稱數(shù)字摘要，也有人將其稱為“數(shù)字指紋”。哈希值有固定的長度，運算是不可逆的，不同的明文其哈希值是不同的，而同樣的明文其哈希值是相同并且惟一，原文的任何改動，其哈希值就要發(fā)生變化。數(shù)字簽名是用私鑰對數(shù)字摘要進行加密，用公鑰進行解密和驗證。

公鑰證書和私鑰是用加密文件存放在證書介質(zhì)中，證書是由認(rèn)證服務(wù)機構(gòu)CA所簽發(fā)的權(quán)威電子文檔，CA與數(shù)字證書等是公鑰基礎(chǔ)設(shè)施PKI的主要組成機構(gòu)和元素。

3. 認(rèn)證機構(gòu)CA

認(rèn)證機構(gòu)CA是PKI的核心執(zhí)行機構(gòu)，是PKI的主要組成部分，一般簡稱為CA，在業(yè)界通常把它稱為認(rèn)證中心。CA認(rèn)證機構(gòu)在《電子簽名法》中被稱做“電子認(rèn)證服務(wù)提供者”。

根據(jù)《電子簽名法》中規(guī)定，國務(wù)院信息產(chǎn)業(yè)部據(jù)本法制定了《電子認(rèn)證服務(wù)管理辦法》（中華人民共和國信息產(chǎn)業(yè)部令 第35號），并與2005年2月8日頒布。在該管理辦法中第五條第七項有關(guān)人員、技術(shù)、設(shè)備、密碼、安全和資金等，詳細(xì)規(guī)定了電子認(rèn)證機構(gòu)（CA）應(yīng)具備的市場準(zhǔn)入條件。

4. 數(shù)字證書

數(shù)字證書或稱電子證書簡稱為證書，它是PKI的核心元素，由認(rèn)證機構(gòu)服務(wù)者所簽發(fā)，它是數(shù)字簽名的技術(shù)基礎(chǔ)保障; 它符合X?509標(biāo)準(zhǔn)，是網(wǎng)上實體身份的證明，證明某一實體的身份以及其公鑰的合法性，證明該實體與公鑰二者之間的匹配關(guān)系，證書是公鑰的載體，證書上的公鑰惟一與實體身份相綁定，并與其私鑰相對應(yīng)。國家標(biāo)準(zhǔn)規(guī)定作為第三方提供電子認(rèn)證服務(wù)的CA，其簽發(fā)證書機制一般應(yīng)為雙證書機制，即一個實體應(yīng)具有兩個證書，兩個密鑰對，一個是加密證書，一個是簽名證書，加密證書原則上是不能用于簽名的。用加密證書的公鑰加密，對應(yīng)的私鑰解密，用于通信; 采用簽名證書的私鑰加密，對應(yīng)的公鑰解密用于簽名。

證書在公鑰體制中是密鑰管理的媒介，不同的實體可以通過證書來互相傳遞公鑰，證書是由權(quán)威性、可信任性和公正性的第三方機構(gòu)所簽發(fā)。因此，它是權(quán)威性電子文檔。

證書的內(nèi)容主要用于身份認(rèn)證、簽名的驗證和有效期的檢查。CA簽發(fā)證書時，要對證書內(nèi)容進行簽名，以示對所簽發(fā)證書內(nèi)容的完整性、準(zhǔn)確性負(fù)責(zé)并證明該證書的合法性和有效性，將網(wǎng)上身份與該證書綁定。

鏈接:什么是PKI？

工程學(xué)家對PKI是這樣定義的: “PKI是一個用公鑰概念與技術(shù)來實施和提供安全服務(wù)的普遍適用的安全基礎(chǔ)設(shè)施。換句話說，PKI是一個利用非對稱密碼算法（即公開密鑰算法）原理和技術(shù)實現(xiàn)的并提供網(wǎng)絡(luò)安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施”。它是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)、電子政務(wù)、網(wǎng)上銀行和網(wǎng)上證券業(yè)，提供一整套安全保證的基礎(chǔ)平臺。用戶利用PKI基礎(chǔ)平臺所提供的安全服務(wù)，能在網(wǎng)上實現(xiàn)安全地通信。PKI這種遵循標(biāo)準(zhǔn)的密鑰管理平臺，能夠為所有網(wǎng)上應(yīng)用，透明地提供加解密和數(shù)字簽名等安全服務(wù)所需要的密鑰和證書管理。

第5篇：驗證電子合同的有效方法范文

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢，使得政府與企業(yè)都十分重視并推動電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問題在于時空的分離導(dǎo)致了安全問題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問題之一。研究和分析電子商務(wù)的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開發(fā)的先進技術(shù)和經(jīng)驗,開發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

2電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國迅速發(fā)展。實現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看，傳統(tǒng)的買賣雙方是面對面的，因此較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時空的分離導(dǎo)致了安全問題的出現(xiàn)，電子商務(wù)交易雙方（銷售者和消費者）都面臨安全威脅，電子商務(wù)的安全要素主要體現(xiàn)在以下幾個方面：

2.1信息真實性、有效性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟利益和聲譽。

2.2信息機密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報文來達到保守機密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3信息完整性

電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲及電子商務(wù)完整性檢查的正確和可靠。

3.4信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^；不可否認(rèn)要求即是能建立有效的責(zé)任機制，防止實體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識。在1nternet上每個人都是匿名的，電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進行，要求電子商務(wù)平臺要穩(wěn)定可靠，能不中斷地提供服務(wù)。任何系統(tǒng)的中斷，如硬件、軟件錯誤，網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時刻和地點的有效性得不到保證，往往會造成巨大的經(jīng)濟損失。

所以就整個電子商務(wù)安全系統(tǒng)而言，安全性可以劃分為四個層次，

1)網(wǎng)絡(luò)節(jié)點的安全

2)通訊的安全性

3)應(yīng)用程序的安全性

4)用戶的認(rèn)證管理

其中2、3、4是通過操作系統(tǒng)和Web服務(wù)器軟件實現(xiàn)，而網(wǎng)絡(luò)節(jié)點的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點的安全性。

3.1網(wǎng)絡(luò)節(jié)點的安全

防火墻是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，它其實就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，為電子商務(wù)的施展提供個相對更安全的平臺。

防火墻是在連接Internet和Intranet保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統(tǒng)。應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。

3.2通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度，也可以考慮將加密強度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機制，SSL首先要求服務(wù)器向瀏覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機構(gòu)（CA中心）簽發(fā)。瀏覽器要驗征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書（下載可以在訪問之前或訪問時）。驗證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法（RSA）與服務(wù)器協(xié)商一個對稱算法及密鑰，然后用此對稱算法加密傳輸?shù)拿魑?。此時瀏覽器也會出進入安全狀態(tài)的提示。

3.3應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計算機系統(tǒng)的安全性也是不充分的，因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運行，而不是只有有限的指令子集在特權(quán)模式下運行，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設(shè)置訪問控制（最少許可），程序員認(rèn)為這個缺省的許可是正確的。

這些缺點都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹＠?，緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問題一樣的錯誤。

3.4用戶的認(rèn)證管理

1)身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA證書與IC卡相結(jié)合實現(xiàn)的。CA證書用來認(rèn)證服務(wù)器的身份，IC卡用來認(rèn)證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認(rèn)機制。

2)CA證書

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書進行驗證，這份數(shù)字證書就是CA證書，它由認(rèn)證授權(quán)中心（CA中心）發(fā)行。認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機構(gòu)，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認(rèn)的可靠組織，它對個人、組織進行審核后，為其發(fā)放數(shù)字證書，證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書（下載可以在訪問之前或訪問時進行）。

3)安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證，數(shù)字證書是從認(rèn)證機構(gòu)（CA，CertificateAuthority）獲得的，通常包含有唯一標(biāo)識證書所有者的名稱、唯一標(biāo)識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后，雙方就可以用保密密鑰進行安全的會話了。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如Http、Ftp、Telnet等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個階段組成：服務(wù)器認(rèn)證和用戶認(rèn)證。

①服務(wù)器認(rèn)證

客戶端向服務(wù)器發(fā)送一個“Hello”信息，以便開始一個新的會話連接；服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務(wù)器在響應(yīng)客戶的“Hello”信息時將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。這樣通過主密鑰引出的密鑰對一系列數(shù)據(jù)進行加密來認(rèn)證服務(wù)器，從而建立安全的通信通道。

②用戶認(rèn)證

經(jīng)認(rèn)證的服務(wù)器發(fā)送一個提問給客戶，客戶則返回數(shù)字簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。SSL協(xié)議支持各種加密算法，實現(xiàn)簡單，獨立于應(yīng)用層協(xié)議，且被大部分瀏覽器和Web服務(wù)器內(nèi)置，便于在電子交易中應(yīng)用。但SSL是一個面向連接的協(xié)議，起初并不是為了支持電子商務(wù)而設(shè)計的，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，在涉及多方的電子交易中，SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系。為此，開發(fā)出了在網(wǎng)絡(luò)應(yīng)用層中專為電子商務(wù)而設(shè)計的SET協(xié)議。

4安全管理

為了確保系統(tǒng)的安全性，除了采用上述技術(shù)手段外，還必須建立嚴(yán)格的內(nèi)部安全機制。對于所有接觸系統(tǒng)的人員，按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限。按照分級管理原則，嚴(yán)格管理內(nèi)部用戶帳號和密碼，進入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶帳號和密碼。

建立網(wǎng)絡(luò)安全維護日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時便于跟蹤查詢。定期檢查日志，以便及時發(fā)現(xiàn)潛在的安全威脅。

對于重要數(shù)據(jù)要及時進行備份，且對數(shù)據(jù)庫中存放的數(shù)據(jù)，數(shù)據(jù)庫系統(tǒng)應(yīng)視其重要性提供不同級別的數(shù)據(jù)加密。

第6篇：驗證電子合同的有效方法范文

企業(yè)檔案信息資產(chǎn)必須要確保其安全。一方面，要做好歷史檔案信息資源的數(shù)字化工作；另一方面，也要做好新入庫電子文件的數(shù)字化工作。對于歷史檔案信息資源，要與專門的掃描單位簽訂協(xié)議，進行批量掃描。在掃描過程中，會涉及到信息安全風(fēng)險的問題。對于新入庫電子文件，則要保障電子文件與紙質(zhì)文件的絕對一致性，由員工個人原因造成電子與紙質(zhì)文件的不一致性，會給實際工作帶來安全隱患。針對如上問題：第一，對參與掃描工作人員的權(quán)限進行嚴(yán)格控制：簽訂保密協(xié)議、設(shè)置電腦權(quán)限；對企業(yè)參與圖像和信息驗收的員工：配備專門電腦和存儲空間、設(shè)置電腦權(quán)限和密碼、屏蔽USB和光盤接口、屏蔽刪除鍵；第二，在接收檔案信息資源入庫時，由檔案部門先接收電子文件，并檢查電子文件的標(biāo)準(zhǔn)化，然后再將電子文件打印成紙質(zhì)文件，這樣避免了設(shè)計人員先歸紙質(zhì)文件，再改電子文件而帶來的不一致性。

檔案信息的信息化技術(shù)中的安全保障

幾乎所有的檔案管理都會經(jīng)歷手工管理、信息化管理、知識化管理這三個階段，這是檔案信息在網(wǎng)絡(luò)時代體現(xiàn)利用價值的內(nèi)在需求。從手工管理過渡到信息化管理和知識化管理，使檔案信息價值得到了全方位的體現(xiàn)，但是同時針對檔案信息安全所帶來的法律風(fēng)險也會越來越多，所以要確保檔案信息系統(tǒng)的運行安全，加強對提供利用載體的管理，加強對檔案信息的拷貝與利用管理，對不同層級的信息使用者有所區(qū)別，通過技術(shù)手段防止拷貝資料再復(fù)制，措施如下：第一，利用企業(yè)自主開發(fā)或引進的加密軟件對檔案信息進行加密，只有在企業(yè)辦公環(huán)境及企業(yè)配備的電腦上才能正常打開使用，一旦脫離企業(yè)環(huán)境，對檔案信息的操作要提前進行申請，申請通過后，方可由技術(shù)人員解密；第二，所有對企業(yè)外部提供的檔案信息都必須是經(jīng)過轉(zhuǎn)化的PDF或者TIFF格式的文件，原始的DWG文件不能直接提供，以保證檔案信息的不可更改性。提供給內(nèi)部設(shè)計參考的檔案信息可以是DWG的，但是必須加密，統(tǒng)一在企業(yè)環(huán)境中使用，防止外泄。

人員管理中多級別權(quán)限和密碼管理的安全保障

為了保證檔案信息系統(tǒng)的安全，有必要加強對系統(tǒng)使用者的管理，加強對系統(tǒng)使用者使用權(quán)限的審核，并采用現(xiàn)代網(wǎng)絡(luò)技術(shù)對其網(wǎng)絡(luò)操作進行跟蹤與記錄。加強對使用過程中各種保密措施的管理，采用多級別權(quán)限和密碼管理，防止黑客或他人對檔案信息管理系統(tǒng)帶來的安全隱患：第一，支持檔案信息系統(tǒng)的電子文件在線閱覽功能，但是閱覽范圍和下載權(quán)限受限，要經(jīng)過文件產(chǎn)生部門和檔案管理部門的審批才能解限；第二，對企業(yè)高尖端技術(shù)類別的檔案信息，必須要經(jīng)過企業(yè)專門的保密委員會進行風(fēng)險評估，審批同意后方可利用，并實行責(zé)任人負(fù)責(zé)制；第三，實行用戶登錄驗證制度，登錄檔案管理系統(tǒng)時，員工需要輸入自己的密碼進行驗證，驗證通過后才能進行事先設(shè)定好的權(quán)限范圍內(nèi)的相關(guān)操作；第四，控制臺超時注銷，控制臺訪問用戶超過一段時間沒有對系統(tǒng)進行交互操作，設(shè)備將自動注銷本次操作臺配置任務(wù)，并切斷連接；第五，離職、退休人員離開工作崗位時，要進行檔案資料和使用設(shè)備交接手續(xù)，相關(guān)部門和責(zé)任人確認(rèn)檔案資料交接完成、使用設(shè)備上交后，方可同意該人員離開；第六，所有淘汰電腦，必須經(jīng)過格式化，確保電腦內(nèi)資料不可復(fù)原后，才可回收利用。

以管理為重點，建立檔案信息安全保障體系，加強法律風(fēng)險的防控

在企業(yè)的管理上，檔案信息安全保障體系建立的重要意義是對法律風(fēng)險隱患的“防”與法律風(fēng)險發(fā)生后的及時“控”。

1.建立法律風(fēng)險防控體系，從部門設(shè)置上確保檔案信息安全保障體系的牢固企業(yè)必須建立法律風(fēng)險防控體系，即：成立專門的法律風(fēng)險防控歸口管理部門，引進專門的法律專業(yè)人才，負(fù)責(zé)法律事務(wù)的評審和咨詢服務(wù)，定期提供企業(yè)范圍內(nèi)的法律知識培訓(xùn)和專題講座。聘請法律界資深律師作為專門的法律顧問，隨時參與和控制突發(fā)的重大法律問題；各部門配備兼職法律風(fēng)險管理員，負(fù)責(zé)代表部門向法律歸口部門進行法律事務(wù)傳送。

2.突出管理重點，加強對合同法律風(fēng)險的防控針對合同法律風(fēng)險，在建立檔案信息安全保障體系時，以管理為重點，應(yīng)采取以下措施：第一，收繳散落在各部門的合同印章，由法律歸口管理部門統(tǒng)一管理，法律歸口管理部門配備專門的人員負(fù)責(zé)合同印章的使用和安全；第二，建立規(guī)范的合同印章使用流程，企業(yè)上下必須嚴(yán)格按照此流程申請使用合同印章；第三，建立合同印章使用臺賬，每一個流程結(jié)束、合同印章使用完成后，當(dāng)事合同必須完整歸檔一份合同原件，合同原件最終由法律歸口管理部門向檔案部門統(tǒng)一移交；第四，法律歸口管理部門以年度為單位，各種類合同的標(biāo)準(zhǔn)格式，并在企業(yè)范圍內(nèi)統(tǒng)一使用，因特殊情況不能使用格式合同的，法律部門要對非標(biāo)準(zhǔn)格式合同進行評審；第五，不同類型的合同，確定由不同的評審部門參與評審，實行責(zé)任人責(zé)任制。

3.管理手段與時俱進，注重前端控制和過程管理檔案信息系統(tǒng)、企業(yè)協(xié)同辦公（OA）及門戶系統(tǒng)、ERP系統(tǒng)等信息化知識管理方式的引進，使企業(yè)的文件形態(tài)不斷從紙質(zhì)向電子轉(zhuǎn)化，文件數(shù)量與日俱增、文件保存形式呈現(xiàn)立體多樣化的發(fā)展趨勢。在此背景下，檔案前端控制管理理論和實踐操作應(yīng)運而生。前端控制管理提出將檔案的控制環(huán)節(jié)提前到文件生命周期的最初階段形成階段，并貫穿于文件生命周期的整個過程，這十分有利于減少企業(yè)合同電子文件信息和載體的安全隱患，對企業(yè)合同法律風(fēng)險起到很好的防止和控制功能。

4.以人為本，加強員工的安全意識、法律意識、安全技能的培訓(xùn)對員工的安全意識、法律意識、安全技能的培訓(xùn)十分關(guān)鍵。人員的安全意識是與其所掌握的安全技能有關(guān)，而安全技能又與其所接受安全技能培訓(xùn)有關(guān)。因此，人員的安全意識是通過培訓(xùn)，以及技能的積累才能逐步提高。第一，定期開展企業(yè)信息安全、保密管理的相關(guān)培訓(xùn)，加強管理人員的安全保密意識；第二，適時進行法律知識的宣傳和普及工作，例如：針對日益興起的海外合同，舉行《海外合同簽訂的注意事項和合同文本資料的保存》講座，促使員工形成良好的法律意識和收集保管資料的良好工作習(xí)慣；第三，進行相關(guān)的計算機網(wǎng)絡(luò)知識培訓(xùn)，定期預(yù)報病毒信息和預(yù)防措施，定期企業(yè)IT運營周報，分析存在的問題和解決方法。

以法規(guī)標(biāo)準(zhǔn)為依托，建立檔案信息安全保障體系，加強法律風(fēng)險的防控

首先，根據(jù)《GB/T22240-2008信息系統(tǒng)安全等級保護定級指南》和《GB/T22239-2008信息系統(tǒng)安全等級保護基本要求》，結(jié)合檔案信息系統(tǒng)的重要程度，確定檔案信息系統(tǒng)安全等級和安全需求，采取相應(yīng)的安全技術(shù)和安全管理措施；同時依據(jù)《GB/T20984-2007信息安全風(fēng)險評估規(guī)范》在檔案信息系統(tǒng)生命周期的不同階段進行過程風(fēng)險評估，全面實現(xiàn)動態(tài)防御。其次，建立完善的檔案管理制度。從企業(yè)級制度和標(biāo)準(zhǔn)、QHSE管理體系、項目管理體系、部門內(nèi)部詳細(xì)作業(yè)指導(dǎo)這5個方面建立起檔案管理制度保障體系。再次，從法律角度上，必須建立完善合同管理體制，從制度上對企業(yè)合同法律風(fēng)險進行防控。制定相關(guān)的《合同印章管理規(guī)定》、《合同評審管理辦法》、《合同管理規(guī)定》等。

檔案信息安全保障體系建設(shè)存在的問題

雖然我國企業(yè)的檔案信息安全保障體系建設(shè)在技術(shù)、管理、和規(guī)范標(biāo)準(zhǔn)上已經(jīng)取得明顯的成效，但還存在以下問題：1.檔案信息安全保障體系建設(shè)意識沒有得到全面重視。一方面，檔案信息安全保障體系建設(shè)比較明顯的體現(xiàn)在現(xiàn)代企業(yè)總部，對企業(yè)下屬的分子公司等控制力度不夠。2.目前檔案信息安全保障體系構(gòu)建主要依賴于信息安全技術(shù)，且缺乏有效的安全管理和安全監(jiān)督機制，檔案信息系統(tǒng)隨時存在安全風(fēng)險，只有通過科學(xué)、有效的管理和規(guī)范才能構(gòu)建真正的檔案信息安全保障體系。

結(jié)語

第7篇：驗證電子合同的有效方法范文

以往專業(yè)而復(fù)雜的操作,比如衛(wèi)星定位、無線通話、收發(fā)郵件、照相攝影等,現(xiàn)在只需要一部不到千元的手機就可以簡單而快速地完成。雖然我們?nèi)匀话V迷于透著墨香的書本、晶瑩剔透的玉器,以及種種富有質(zhì)感的美妙事物,但我們必須有所意識:這是個快速變化的世界,隨著互聯(lián)網(wǎng)和電子設(shè)備的廣泛運用,人們在享受其帶來的極大便利的同時,也時常受困于應(yīng)運而生的各種新“麻煩”。缺乏法律規(guī)定的電子信息常常在法律案件中使法官們陷入兩難,而普通大眾更是茫然無措,以至于我們身邊因電子信息引發(fā)的法律糾紛越來越多。

身邊的事件

以下是一個真實案例,但為了方便,隱去了公司真實名字。2008年1月,位于上海的普遜公司與珠海的頓成公司簽訂合同,約定由頓成公司按照普遜公司提供的圖紙及技術(shù)參數(shù)生產(chǎn)電子產(chǎn)品。合同履行過程中,當(dāng)普遜公司需要產(chǎn)品時,便先電話通知頓成公司,然后郵寄書面訂單。

經(jīng)過一段時間的合作后,為了避免訂單郵寄在途時間被浪費,普遜公司在郵寄訂單前便先行將訂單的電子版本電郵至頓成公司,讓頓成公司有充分的時間作好準(zhǔn)備工作。對此,雙方均感到合作十分默契。

2008年9月,頓成公司又接到普遜公司電話,隨后即收到電子訂單,遂按電子訂單的要求生產(chǎn)產(chǎn)品,并如期發(fā)貨至普遜公司指定港口,然而這次卻被告知暫時拒絕收貨。頓成公司自然不服,于是持電子訂單與普遜公司理論,普遜公司解釋說該批貨物銷售計劃尚未商定,因此未向頓成公司郵寄書面訂單,如今后有新的銷售計劃,則可接受該批貨物。

此后由于市場變化,普遜公司終未接受頓成公司的該批貨物,頓成公司于是至法院,要求普遜公司接收貨物,支付貨款,并承擔(dān)倉儲等費用。

在法院的審理中,頓成公司向法院提交了附送該電子訂單的郵件打印件,以期證明訂單的真實性。對此,普遜公司予以否認(rèn),并提出質(zhì)疑:雖然目前該郵件顯示的收件人地址確系該公司所有,但由于該郵件已被下載至Outlook,而非保存于原郵件系統(tǒng)中,所以該郵件系頓成公司篡改偽造的訂單。

法院經(jīng)評議認(rèn)為:頓成公司所舉示郵件及其附件的真實性無法確認(rèn),書面合同中也未約定以電子郵件方式下訂單,因此無法認(rèn)定普遜公司向頓成公司下達該訂單的事實。據(jù)此,對頓成公司的訴訟請求予以駁回。

在這樣一個常見的貨款糾紛中,電子郵件成為了決定案件勝敗的關(guān)鍵。那么電子郵件這樣的電子信息需要達到什么樣的標(biāo)準(zhǔn)才能為法院所采信呢?

電子信息的法律地位

出于對法官和隨意判案的擔(dān)心,我國在當(dāng)初制定三大訴訟法(刑事、民事、行政訴訟法)時帶有強烈的形式主義色彩,根據(jù)當(dāng)時的生活和法律經(jīng)驗,把可以當(dāng)作證據(jù)使用事物嚴(yán)格劃分為七類:書證、物證、視聽資料、證人證言、當(dāng)事人(被害被告人)的陳述、鑒定結(jié)論、勘驗筆錄。而無法納入前述七類形式的,不得作為證據(jù)采用。這等于給證據(jù)設(shè)定了一個“戶口”制度,沒有“戶口”的事物就不能在法庭上作為證據(jù)出現(xiàn)。

然而邏輯常常受到生活的挑戰(zhàn),正如沒有戶口的小孩同樣是人,缺乏法律界定的電子郵件等電子信息其實同樣可以證明案件事實。這個矛盾使法官們一度陷入了兩難:如果不承認(rèn)電子郵件可以證明案件事實,無疑是自欺欺人;但直接引用電子郵件所反映的事實,又不符合訴訟法的規(guī)定。

很快專家們就為電子郵件這樣的電子信息找了第一個戶口――書證。所謂書證,是指以文字、符號、圖案等內(nèi)容和含義來證明案件事實的證據(jù)形式,而電子郵件也是以其中的文字或圖案來證明事實,似乎符合書證的特點。

但是這種分類方法很快遭到了大多數(shù)人的反對,理由有兩點:一是因為郵件雖然可以在電腦上閱讀,但郵件本身并不是電腦的一部分,和電腦并非一個整體;任何一臺電腦都不只可以顯示一封郵件,對這臺電腦而言,其所能顯示的內(nèi)容具有不確定性;二是郵件的本質(zhì)是電子信號,不能被直接閱讀,必須通過專門設(shè)備(如電腦或手機)以及程序(內(nèi)置軟件)加以翻譯才能為人所知,如果沒有特定設(shè)備,或者軟件錯誤,郵件是不可閱讀的,或者是會被錯誤閱讀的。

于是專家們的眼光又在剩余的六種證據(jù)形式中仔細(xì)搜索,終于為電子信息找到了第二個戶口――視聽資料。而理由則是這類證據(jù)都需要通過專門設(shè)備和程序編譯才能以其內(nèi)容證明案件事實。除電子郵件外,被納入“視聽資料”范疇的電子信息還包括:手機短信、BBS、電子文檔、聊天記錄、數(shù)據(jù)庫等。

不過,若電子郵件因可以借助電腦屏幕顯示文字圖案而勉強被稱為視聽資料的話,那么一些其他形式的電子信息則與傳統(tǒng)的“視聽”概念相去甚遠(yuǎn)了。

曾經(jīng)有這樣一個案例:某客戶向證券公司主張其為某資金賬戶的所有人,最后法院審查的焦點集中在該客戶是否擁有賬戶密碼這個問題上。于是該客戶向法院提交了自己的密碼,并申請法院調(diào)查證券公司計算機系統(tǒng)中該資金賬戶預(yù)留的密碼,如果兩個密碼一致,那么該客戶即為賬戶所有人。

但當(dāng)法院就此進行深入調(diào)查時卻發(fā)現(xiàn),證券公司系統(tǒng)中的客戶密碼根本不能顯示,只能通過輸入密碼的方式進行驗證。因此,雖然法院在隨后的驗證中發(fā)現(xiàn)該客戶提供的密碼正確,但法院卻自始至終也無法直觀地查明證券公司系統(tǒng)中預(yù)留密碼的具體信息。

在這起案件中,證券公司計算機系統(tǒng)中的客戶密碼信息顯然既不能看,更聽不出所以然,但仍被納入視聽資料范疇,其唯一目的就是為了解決電子信息的身份問題。在這樣的背景下,法學(xué)界一邊呼吁盡快制定法律確立電子信息的獨立證據(jù)地位,一邊也不得不面對現(xiàn)實。因此司法機關(guān)在證據(jù)形式認(rèn)定上的曲線救國,實屬情有可原。

有了上述背景,目前幾乎所有法院都不再對電子信息的身份問題傷腦筋,但新的問題又出來了――根據(jù)我國法律的規(guī)定,書證可以直接單獨作為定案的依據(jù),而視聽資料即使沒有疑點,也必須結(jié)合其他證據(jù)才能作為認(rèn)定案件事實的依據(jù)。

這樣的規(guī)定是什么意思呢?舉個例子可以說明:甲乙兩人做生意簽合同,如果以紙質(zhì)材料簽字蓋章,形成的合同文本可以直接證明雙方具有合同關(guān)系;但如果雙方以電子方式簽訂(如郵件、短信方式等),即使這樣形成的合同未經(jīng)篡改、編輯,也沒有其他任何疑點,仍然不能單獨證明雙方具有合同關(guān)系。

因此盡管我們早已習(xí)慣享受電子時代給生活和工作帶來的便利,但在依賴電子手段之前,還不得不做些準(zhǔn)備。

電子信息證據(jù)的約定使用

我們對電子手段的依賴,有時候是基于效率的考慮:如果發(fā)個短信就能通知開會,又何必用EMS呢?另外一些情況下,電子手段則可以節(jié)省大量的費用,例如銀行發(fā)送賬單,開發(fā)商通知接房等。

要讓這些電子手段能夠在需要的時候產(chǎn)生證據(jù)的效力,我們可以考慮對電子手段的法律地位在書面合作協(xié)議中進行約定,避免雙方就此發(fā)生爭議。比如我們可以在合同中約定手機號碼、郵箱地址、聊天工具號碼等。這樣既可以解決電子信息證據(jù)需要與其他證據(jù)配合使用的法律硬性要求,也同時避免因電子手段未進行實名制登記帶來的舉證負(fù)擔(dān)。

以上文中頓成公司的遭遇為例,假如雙方事先在書面合同中約定以電子郵件方式下達訂單,同時約定雙方的電郵地址,甚至約定在將電子郵件作為法庭證據(jù)使用時使用方無須證明其未經(jīng)修改,而由質(zhì)疑方承擔(dān)證明該郵件被篡改的舉證責(zé)任。那么屆時電子郵件就可以很輕松的與書面合同配合使用,用以證明案件事實。當(dāng)然,我們在處理個人私務(wù)時通常不會事先辦理這么麻煩的手續(xù),不過如果是處理公務(wù),類似的約定還是很有必要。

我們還可以在書面合同中進一步約定電子信息的使用規(guī)則,例如在使用電子郵件的情形,發(fā)出后由于某種原因電子郵件有可能并未查收,對此我們可以約定:“電子郵件在發(fā)出后24小時后視為對方已經(jīng)收到并閱讀該郵件及附件”;考慮到手機或者郵箱有時可能被其他人使用,我們還可以約定“合作期間,雙方應(yīng)保證約定的手機號碼由本人使用,任何以該手機發(fā)出的短信都將被視為本人的真實意思表示并對本人產(chǎn)生約束力”……

當(dāng)然還有更為有效的使用方式,例如電子商務(wù)有償服務(wù),通過與專門經(jīng)營電子商務(wù)的服務(wù)平臺進行合作,讓借助電子手段進行的合作過程被雙方認(rèn)可的服務(wù)平臺記載,作為還原合作過程的客觀依據(jù)。

電子信息證據(jù)的固定和取得

雖然我們可以通過事前的約定賦予電子信息更多更強的法律效力,但糾紛往往以令人意想不到的方式讓人猝不及防。就像上文中的頓成公司,根本沒有預(yù)料到普遜公司會否認(rèn)下訂的事實,這種情況下,就需要及時固定和取得電子信息證據(jù)。

與傳統(tǒng)的證據(jù)相比較,電子信息證據(jù)具有兩個非常顯著的特點,一是容易被篡改,二是容易流失。這兩個特點共同成為了電子信息證據(jù)進入法庭的最大障礙。但有一些習(xí)慣和方法,可以增加證據(jù)的可信性:

1.原始狀態(tài)的證據(jù)。

所謂原始狀態(tài),是指不改變電子信息的保存位置和方式。譬如重要的電子郵件應(yīng)當(dāng)保存在郵件系統(tǒng)中,不要在下載或者閱讀后刪除。已經(jīng)習(xí)慣使用Outlook、Foxmail等郵件管理工具的朋友需要特別注意,此類工具很可能在將郵件下載到您電腦的同時,就已將系統(tǒng)中的郵件刪除。

原始狀態(tài)的電子信息,可以大大提高證據(jù)的真實性,而被改變保存位置和方式的證據(jù),則很可能遭到“被篡改”的質(zhì)疑。

2.服務(wù)器備份。

某些電子通訊方式提供了上傳備份的服務(wù),服務(wù)器上的記載可以作為第三方較為客觀中立的信息。

對于較為重要的電子信息證據(jù),如果及時上傳至服務(wù)器保存,必要時再由服務(wù)商證明每次上傳至服務(wù)器的具體內(nèi)容,其真實性較保存于自己電腦中的記錄會大大增強。

3.多種平臺的混合使用。

以電子郵件為例,郵箱平臺可以是自己公司的,也可以是第三方的公眾平臺,兩者各有利弊。第三方的公眾平臺因難以被客戶修改,因此真實性強,但缺點在于難以證明對方身份;而公司平臺則較為容易證明身份問題。

因此不妨混合使用兩個平臺,使用公司平臺收發(fā)郵件,同時抄送給自己所有的第三方平臺上的郵箱,這樣既可證實對方身份,又可以在糾紛發(fā)生時從第三方平臺調(diào)取信息,證明事實。

4.適時進行公證。

公證是指由公證機構(gòu)依法對相關(guān)事實的真實性進行證明,并出具公證書的行為。公證書具有極高的法律效力,最高法院甚至認(rèn)為:跟春去秋來這種自然規(guī)律一樣,公證書證明的事實無須證明。

5.司法保全

并非所有單位和個人都會對公證機構(gòu)進行配合,所以公證雖然高效而且專業(yè),但缺乏強制力。情勢危急時,可以考慮司法保全,包括民事訴訟中的訴前保全、訴訟中保全,以及刑事偵查機關(guān)通過偵查活動對證據(jù)的固定。

上述方法中,公證及保全都會涉及十分專業(yè)的技術(shù)問題,通常有兩個問題值得注意:一是不可在自己所有的計算機上取證,自己的計算機難以排除偽證的可能性?；诒芟拥目紤],公證機構(gòu)很多時候甚至連他們自己的計算機也不愿意使用,而是在公共場所(如公共網(wǎng)吧)臨時選擇計算機上網(wǎng)取證;二是保證取證過程的連貫性。在這個問題上,可以考慮使用視頻截屏軟件錄制上網(wǎng)取證的全部過程。

可以說電子信息證據(jù)諸多的先天不足,讓我們在將其作為證據(jù)具體使用時必須慎重考慮方式方法。因而在實踐中我們或許可以考慮將電子信息證據(jù)以“鑒定結(jié)論”的名義進行使用。

三大訴訟法中,均規(guī)定“鑒定結(jié)論”為法定的證據(jù)形式,而且具有幾乎無可辯駁的證據(jù)效力。鑒于電子信息證據(jù)技術(shù)性強的特點,我們在需要使用電子信息證據(jù)時,可以聘請專業(yè)機構(gòu)對電子信息證據(jù)的客觀性、真實性、原始性進行鑒定,并出具正式的書面結(jié)論,然后我們可以使用該鑒定結(jié)論。

第8篇：驗證電子合同的有效方法范文

關(guān)鍵詞：電子簽名;數(shù)字簽名;PKI

一、電子簽名的含義

凡是能在電子通訊中，起到證明當(dāng)事人的身份、證明當(dāng)事人對文件內(nèi)容的認(rèn)可的電子技術(shù)手段，都可被稱為電子簽名，電子簽名即現(xiàn)代認(rèn)證技術(shù)的一般性概念，它是信息安全的重要保障手段，電子簽名與手寫簽名或印章具有同等法律效力。目前，可以通過多種技術(shù)手段實現(xiàn)電子簽名，在確認(rèn)了簽署者的確切身份后，電子簽名承認(rèn)人們可以用多種不同的方法簽署一份電子記錄。

二、電子簽名與數(shù)字簽名的關(guān)系

數(shù)字簽名在ISO7498-2標(biāo)準(zhǔn)中定義為：“附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被人（例如接收者）進行偽造”。美國電子簽名標(biāo)準(zhǔn)（DSS，F(xiàn)IPS186-2）對數(shù)字簽名作了如下解釋：“利用一套規(guī)則和一個參數(shù)對數(shù)據(jù)計算所得的結(jié)果，用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性”。按上述定義，PKI可以提供數(shù)據(jù)單元的密碼變換，并能使接收者判斷數(shù)據(jù)來源及對數(shù)據(jù)進行驗證?；赑KI的電子簽名被稱作“數(shù)字簽名”。有人稱“電子簽名”就是“數(shù)字簽名”是錯誤的。數(shù)字簽名只是電子簽名的一種特定形式。因為電子簽名雖然獲得了技術(shù)中立性，但也帶來使用的不便，法律上又對電子簽名作了進一步規(guī)定，如《電子簽名法》中就規(guī)定了“可靠電子簽名”和“高級電子簽名”。實際上就是規(guī)定了數(shù)字簽名的功能，這種規(guī)定使數(shù)字簽名獲得了更好的應(yīng)用安全性和可操作性。目前，具有實際意義的電子簽名只有公鑰密碼理論。所以，目前國內(nèi)外普遍使用的、技術(shù)成熟的、可實際使用的還是基于PKI的數(shù)字簽名技術(shù)。作為公鑰基礎(chǔ)設(shè)施PKI可提供多種網(wǎng)上安全服務(wù)，如認(rèn)證、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認(rèn)性，其中都用到了數(shù)字簽名技術(shù)。

三、PKI技術(shù)的含義

1.什么是PKI？

PKI是Public Key Infrastructure的首字母縮寫，翻譯過來就是公鑰基礎(chǔ)設(shè)施;PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等。

工程學(xué)家對PKI是這樣定義的：“PKI是一個用公鑰概念與技術(shù)來實施和提供安全服務(wù)的普遍適用的安全基礎(chǔ)設(shè)施。換句話說，PKI是一個利用非對稱密碼算法（即公開密鑰算法）原理和技術(shù)實現(xiàn)的并提供網(wǎng)絡(luò)安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施”。它遵循標(biāo)準(zhǔn)的公鑰加密技術(shù)，為電子商務(wù)、電子政務(wù)、網(wǎng)上銀行和網(wǎng)上證券業(yè)，提供一整套安全保證的基礎(chǔ)平臺。用戶利用PKI基礎(chǔ)平臺所提供的安全服務(wù)，能在網(wǎng)上實現(xiàn)安全地通信。PKI這種遵循標(biāo)準(zhǔn)的密鑰管理平臺，能夠為所有網(wǎng)上應(yīng)用，透明地提供加解密和數(shù)字簽名等安全服務(wù)所需要的密鑰和證書管理。PKI是創(chuàng)建、頒發(fā)、管理和撤消公鑰證書所涉及到的所有軟件、硬件系統(tǒng)，以及所涉及到的整個過程安全策略規(guī)范、法律法規(guī)以及人員的集合。安全地、正確地運營這些系統(tǒng)和規(guī)范就能提供一整套的網(wǎng)上安全服務(wù)。PKI的核心執(zhí)行機構(gòu)是認(rèn)證機構(gòu)CA（Certificate Authority），其核心元素是數(shù)字證書。公鑰證書和私鑰是用加密文件存放在證書介質(zhì)中，證書是由認(rèn)證服務(wù)機構(gòu)CA所簽發(fā)的權(quán)威電子文檔，CA與數(shù)字證書等是公鑰基礎(chǔ)設(shè)施PKI的主要組成機構(gòu)和元素。CA認(rèn)證機構(gòu)在《電子簽名法》中被稱作“電子認(rèn)證服務(wù)提供者”。

2.數(shù)字證書。

數(shù)字證書簡稱證書，是PKI的核心元素，由認(rèn)證機構(gòu)服務(wù)者簽發(fā)，它是數(shù)字簽名的技術(shù)基礎(chǔ)保障;符合X.509標(biāo)準(zhǔn)，是網(wǎng)上實體身份的證明，證明某一實體的身份以及其公鑰的合法性，及該實體與公鑰二者之間的匹配關(guān)系，證書是公鑰的載體，證書上的公鑰唯一與實體身份相綁定?，F(xiàn)行的PKI機制一般為雙證書機制，即一個實體應(yīng)具有兩個證書，兩個密鑰對，一個是加密證書，一個是簽名證書，加密證書原則上是不能用于簽名的。

證書在公鑰體制中是密鑰管理的媒介，不同的實體可通過證書來互相傳遞公鑰，證書由權(quán)威性、可信任性和公正性的第三方機構(gòu)CA簽發(fā)。是權(quán)威性電子文檔。證書的主要內(nèi)容，按X.509標(biāo)準(zhǔn)規(guī)定其邏輯表達式為：

CA《A》=CAxV，SN，AI，CA，UCA，A，UA，Ap，Tay

其中：CA《A》---認(rèn)證機構(gòu)CA為用戶A頒發(fā)的證書

CAx， ， ，y---認(rèn)證機構(gòu)CA對花括弧內(nèi)證書內(nèi)容進行的數(shù)字簽名

V---證書版本號

SN---證書序列號

AI---用于對證書進行簽名的算法標(biāo)識

CA---簽發(fā)證書的CA機構(gòu)的名字

UCA---簽發(fā)證書的CA的惟一標(biāo)識符

A---用戶A的名字 UA---用戶A的惟一標(biāo)識

Ap---用戶A的公鑰 Ta---證書的有效期

從V到Ta是證書在標(biāo)準(zhǔn)域中的主要內(nèi)容。

證書的這些內(nèi)容主要用于身份認(rèn)證、簽名的驗證和有效期的檢查。CA簽發(fā)證書時，要對上述內(nèi)容進行簽名，以示對所簽發(fā)證書內(nèi)容的完整性、準(zhǔn)確性負(fù)責(zé)并證明該證書的合法性和有效性，將網(wǎng)上身份與證書綁定。

CA頒發(fā)的上述證書與對應(yīng)的私鑰存放在一個保密文件里，最好的辦法是存放在IC卡和USBKey介質(zhì)中，可以保證私鑰不出卡，證書不能被拷貝、安全性高、攜帶方便、便于管理。這就是《電子簽名法》中所說的“電子簽名生成數(shù)據(jù)，屬于電子簽名人所有并由電子簽名人控制?！钡木唧w作法。

四、PKI技術(shù)的發(fā)展現(xiàn)狀及趨勢

PKI的應(yīng)用涉及電子商務(wù)、電子政務(wù)、電子事物等諸多領(lǐng)域，PKI具有非常廣闊的市場應(yīng)用前景，具體表現(xiàn)為如下幾個方面：

1.對我國電子商務(wù)有很大的促進和有力發(fā)展的作用。《電子簽名法》制定的宗旨就是為了保障電子商務(wù)的安全，維護有關(guān)各方的合法利益，促進電子商務(wù)的發(fā)展，而制定本法。有了《電子簽名法》就可以解決電子商務(wù)參與方的不可否認(rèn)性，提高電子商務(wù)交易的安全;可以實現(xiàn)網(wǎng)上自動在線支付，解決目前我國電子商務(wù)的瓶頸問題。

2.對金融界的應(yīng)用，金融行業(yè)是PKI技術(shù)應(yīng)用最活躍、最廣泛的領(lǐng)域。銀行審核網(wǎng)銀用戶身份的真實性，用戶的身份必須是真實可靠的，簽名才有實際意義，這是使用數(shù)字簽名的基礎(chǔ)。交易額大、安全性要求高的交易必須使用數(shù)字簽名。由于數(shù)字簽名是一種相對復(fù)雜的計算方式，簽名的過程要耗費一定的系統(tǒng)資源，一般是在交易金額大、安全性要求高的網(wǎng)銀業(yè)務(wù)中使用數(shù)字簽名。作為金融行業(yè)統(tǒng)一的第三方安全認(rèn)證機構(gòu)，在保障網(wǎng)上交易安全，提供公正、可信的認(rèn)證服務(wù)方面發(fā)揮了重要的作用。上面是電子簽名在網(wǎng)銀中的應(yīng)用特點;從應(yīng)用的范圍和廣度講，目前國內(nèi)的網(wǎng)上銀行業(yè)務(wù)中基本上都采用了數(shù)字簽名技術(shù)。

3.對《票據(jù)法》的改革，有了《電子簽名法》作母法，我國的票據(jù)法要以《電子簽名法》作依據(jù)，制定和完善整套的銀行新法規(guī)。這樣銀行就可以節(jié)省大量的紙張印刷，減少費用，提高效益。還有網(wǎng)上證券的交易、網(wǎng)上稅務(wù)等等一方面是缺乏好的的安全支付協(xié)議，更主要就是沒有數(shù)字簽名的法律保障;技術(shù)是基礎(chǔ)，法律是保證，這些都是“電子簽名”應(yīng)用更大的領(lǐng)域。

4.對《合同法》的修改，合同也可以以電子文件形式出現(xiàn)。有了PKI技術(shù)作保證，網(wǎng)上招標(biāo)、網(wǎng)上采購都可以根據(jù)電子合同作為依據(jù)。為了適應(yīng)傳統(tǒng)業(yè)務(wù)經(jīng)營需要，還可以將電子簽名與傳統(tǒng)的手工簽名或印章做成“電子簽名”可視化，即在驗證了電子簽名真?zhèn)蔚耐瑫r，可調(diào)用打印經(jīng)圖形化處理過的手書簽名或圖章，這樣即可適應(yīng)傳統(tǒng)習(xí)慣認(rèn)證方法，又將簽名向先進電子技術(shù)領(lǐng)域推進一步。

自21世紀(jì)以來，PKI技術(shù)作為信息安全的關(guān)鍵技術(shù)逐步得到許多國家的政府和企業(yè)的廣泛重視，PKI技術(shù)理論研究進入到了商業(yè)化應(yīng)用階段，如今PKI技術(shù)發(fā)展已經(jīng)日趨成熟，許多新技術(shù)還在不斷涌現(xiàn)，CA之間的信任模型，使用的加密算法、密鑰管理方案也在不斷的變化中。隨著“互聯(lián)網(wǎng)+”時代的來臨，信息化技術(shù)不斷地影響著人們的思維，改進了我們的工作、生活方式，隨著《電子簽名法》的修正，電子簽名技術(shù)將給我們的“互聯(lián)網(wǎng)+”時代的工作和生活帶來積極正面的影響。

參考文獻：

[1] 樊迎光，馮俊麗，王永. 電子商務(wù)安全中的數(shù)字簽名技術(shù). 福建電腦.2009第2期.

[2] 祝洪杰，鄒玉妮，侯瑞蓮 陶洋.數(shù)字簽名技術(shù)在電子商務(wù)系統(tǒng)中的應(yīng)用. 山東輕工業(yè)學(xué)院學(xué)報.2007年第4期.

第9篇：驗證電子合同的有效方法范文

早在2010年筆者曾撰文《數(shù)字簽名在注冊會計師行業(yè)的應(yīng)用》，對審計報告的電子化進行過理論探討。如今，隨著電子政務(wù)的發(fā)展，電子簽名技術(shù)的應(yīng)用日益廣泛，財務(wù)審計報告的電子化已經(jīng)進入了實踐領(lǐng)域。

（一）北京市社會團體無紙化年檢方案介紹。為推進無紙化辦公，優(yōu)化年檢服務(wù)，提高年檢效率，節(jié)約辦事成本，北京市民政局決定，從2015年起，通過改造年檢系統(tǒng)，推行法人單位數(shù)字證書，利用電子簽章實現(xiàn)申報材料電子化，取消文本材料報送。社會組織登記管理機關(guān)、業(yè)務(wù)主管單位和社會組織等年檢事務(wù)參與方，使用數(shù)字證書登錄系統(tǒng)進行身份識別，并利用電子簽章實現(xiàn)電子版年檢申報材料報送。

電子財務(wù)審計報告是年檢申報材料的重要組成部分，會計師事務(wù)所出具社會組織電子審計報告流程為：首先由會計師事務(wù)所出具社會組織財務(wù)審計報告電子版；其次使用數(shù)字證書簽章工具，加蓋單位電子簽章和個人電子簽章；最后向社會組織提供加蓋單位和個人電子簽章的電子版審計報告?！吨腥A人民共和國電子簽名法》第三條明確規(guī)定：“民事活動中的合同或者其他文件、單證等文書，當(dāng)事人可以約定使用或者不使用電子簽名、數(shù)據(jù)電文。當(dāng)事人約定使用電子簽名、數(shù)據(jù)電文的文書，不得僅因為其采用電子簽名、數(shù)據(jù)電文的形式而否定其法律效力。”因此，采用電子簽名方式的電子版財務(wù)審計報告，具備了合規(guī)性、合法性。

（二）運行效果。北京市社會組織年檢無紙化工作分兩期進行，首期在2015年6月前完成市級社會組織和試點區(qū)縣推廣任務(wù)；第二期將總結(jié)試點經(jīng)驗，逐步將成果擴大到全市社會組織范圍。首批參加無紙化年檢的社會組織包括市級社會團體、民辦非企業(yè)單位、基金??；順義區(qū)試點社會團體、民辦非企業(yè)單位。目前該項改革工作扎實推進，利用數(shù)字簽章功能實現(xiàn)了年檢申報材料電子化、年檢審查程序網(wǎng)絡(luò)化、審核行為即時化、年檢檔案數(shù)字化。相關(guān)企業(yè)的財務(wù)審計報告實現(xiàn)了真正意義上的電子化，很多地方值得借鑒，建議在注冊會計師行業(yè)大力推廣。

二、推行電子財務(wù)審計報告的積極意義

（一）提高服務(wù)效率，便于信息共享。審計報告的電子化最直接的影響是可以取消文本資料的報送和傳輸，節(jié)約紙張，真正實現(xiàn)無紙化辦公，更加環(huán)保。紙質(zhì)審計報告的傳輸需要郵寄或?qū)Ｈ怂瓦_，會消耗諸如交通費、快遞費等相應(yīng)的成本，并且在傳遞過程中會花費一定的時間，最快也要幾小時，如果一份審計報告需要提交給不同的部門需要多次郵寄或傳送，花費大量的人力物力。

審計報告實現(xiàn)電子化以后，報告通過網(wǎng)絡(luò)能夠快速傳達，可以為會計師事務(wù)所和被審計單位節(jié)約成本，提高辦事效率。在建設(shè)支撐系統(tǒng)時，還可以選擇將電子版的財務(wù)審計報告在注冊會計師協(xié)會系統(tǒng)中備份，來實現(xiàn)備案。這樣，工商、稅務(wù)、銀行等部門經(jīng)過授權(quán)后也可以很方便地通過注冊會計師協(xié)會的網(wǎng)站查詢到相關(guān)企業(yè)的電子審計報告，實現(xiàn)信息共享。

（二）打擊不法中介，保護注冊會計師合法權(quán)益。目前社會上存在不法中介偽造、變造注冊會計師審計報告等情況，極大地?fù)p害了注冊會計師行業(yè)的聲譽以及注冊會計師的合法權(quán)益。審計報告實現(xiàn)電子化以后，只有具備出具電子審計報告條件的會計師事務(wù)所，即：辦理過單位數(shù)字證書和個人數(shù)字證書的事務(wù)所才能在審計報告上加蓋電子簽名，電子審計報告才能是合法的?，F(xiàn)代密碼技術(shù)保證了用戶的數(shù)字證書和密鑰是不可偽造的，所以，不法中介如果偽造、變造審計報告，他們沒有合法的電子簽名，無法通過驗證。

（三）遏制多套賬行為，解決信息不對稱問題。有些企業(yè)出于不同目的，會存在多套賬的行為，如為了申請某種資質(zhì)、辦理銀行貸款，往往會虛增資產(chǎn)和利潤，而為了避稅目的又會隱瞞收入減少利潤，然后聘請不同的會計師事務(wù)所對不同目的的多套賬分別出具審計報告。紙質(zhì)審計報告的環(huán)境下，由于信息傳輸不方便，會計師事務(wù)所、政府部門、銀行等很難發(fā)現(xiàn)這一問題。于是，會計師事務(wù)所面臨極高的執(zhí)業(yè)風(fēng)險，同時也會導(dǎo)致國家稅款流失，銀行的資金安全也受到威脅。審計報告實現(xiàn)電子化以后，能很方便地實時傳輸，每一份審計報告可以很方便地查詢真?zhèn)?，從而能夠遏制多套賬行為，解決信息不對稱問題。

（四）有利于注冊會計協(xié)會的行業(yè)監(jiān)管。目前各省注冊會計師協(xié)會都建立了會計師事務(wù)所業(yè)務(wù)報備制度，對于加強行業(yè)監(jiān)管起到了一定的作用。但目前多數(shù)省級注冊會計師協(xié)會規(guī)定的業(yè)務(wù)報備，都是對被審計單位名稱、收費標(biāo)準(zhǔn)、審計意見類型、簽字注冊會計師等基本信息進行備案，至于完整的審計報告情況注協(xié)是看不到的。在手工簽名加蓋章的情況下，要實現(xiàn)每一份紙質(zhì)審計報告都在注協(xié)備案顯然也不可行。這樣事務(wù)所就可以有選擇地進行業(yè)務(wù)報備，對于某些有問題的業(yè)務(wù)完全可以略去不報，注協(xié)是難以發(fā)現(xiàn)的。審計報告實現(xiàn)電子化以后，可以很方便地實現(xiàn)審計報告在注冊會計師協(xié)會的備案，這樣注冊會計師協(xié)會可以隨時了解各個事務(wù)所的業(yè)務(wù)動態(tài)，加強對會計師事務(wù)所執(zhí)業(yè)質(zhì)量的監(jiān)管。

三、財務(wù)報告電子化實施的保障

（一）建立財務(wù)審計報告電子化的支撐系統(tǒng)。要實現(xiàn)財務(wù)審計報告的電子化，首要的保障措施就是建立審計報告電子化所需的支撐系統(tǒng)，包括相應(yīng)的軟件、硬件、人員和相應(yīng)的策略、操作規(guī)程和制度。注冊會計師和事務(wù)所使用這些系統(tǒng)制作電子版審計報告，而其他相關(guān)方要能夠接受和驗證這些報告的完整性和合規(guī)性。如果需要考慮審計報告?zhèn)浒复鎯Γ到y(tǒng)還需要具有安全存儲、檢索等功能。

（二）數(shù)字證書的申請、發(fā)放和吊銷。要實現(xiàn)財務(wù)審計報告的電子化，另一個首要的保障措施就是數(shù)字證書的管理。根據(jù)《中華人民共和國電子簽名法》的規(guī)定，“電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)?！?這就是說，如果簽名需要第三方認(rèn)證，簽名人必須事先獲取一個由權(quán)威機構(gòu)簽發(fā)的數(shù)字證書，以保證文件接收者能夠驗證他的身份。

具體到注冊會計師行業(yè)，就應(yīng)當(dāng)是全國和地方的注冊會計師協(xié)會通過CA中心（Certificate Authority，電子認(rèn)證服務(wù)機構(gòu)）進行數(shù)字證書的簽發(fā)、吊銷等管理。數(shù)字證書代表了某個注冊會計師的身份，注協(xié)通過為其簽發(fā)數(shù)字證書（USBKey），表明審核通過了注冊會計師的入會申請，授予其簽發(fā)審計報告的資格。注冊會計師具備執(zhí)業(yè)資格后，就可以使用該證書對經(jīng)審核的審計報告進行數(shù)字簽名來完成業(yè)務(wù)（會計師事務(wù)所數(shù)字證書的獲取過程與此相同）。

（三）人員培訓(xùn)。一旦推行財務(wù)審計報告的電子化，就要分期分批地對注冊會計師進行相關(guān)培訓(xùn)。由各省市注冊會計師協(xié)會牽頭，結(jié)合注冊會計師后續(xù)教育，開展專題培訓(xùn)，詳細(xì)介紹和現(xiàn)場演示數(shù)字證書的使用方法、電子審計報告的簽發(fā)流程以及網(wǎng)絡(luò)運行環(huán)境的要求等，并且要在培訓(xùn)中讓廣大注冊會計師明確電子簽名的法律效力，做到數(shù)字證書專人專用，避免法律糾紛。同時，數(shù)字證書的制作單位應(yīng)該提供技術(shù)支持和電話咨詢服務(wù)。

（四）數(shù)字證書的日常管理。依據(jù)《中華人民共和國電子簽名法》的規(guī)定，頒發(fā)給會計師事務(wù)所和注冊會計師的數(shù)字證書，用于表明其合法的身份，在電子財務(wù)審計報告上簽名時，與實體印章具有同等法律效力。注冊會計師協(xié)會應(yīng)該要求各事務(wù)所建立相應(yīng)的數(shù)字證書使用管理制度，加強證書介質(zhì)和證書私鑰的管理，做到專人使用，確保電子簽章的使用與保管與本單位實體印章的使用與保管規(guī)定一致。

（五）審計報告的實時驗證。當(dāng)會計師事務(wù)所將審計報告發(fā)送給被審計單位或其他審計報告使用者時，要使用數(shù)字證書進行簽章，而電子簽名的結(jié)果就是以注冊會計師私有密鑰和原始審計報告作為已知數(shù)據(jù)運算和生成的一段新的數(shù)據(jù)，沒有這兩者中的任何一個，都無法制作出電子簽名。

審計報告接收者會使用數(shù)字證書（公共密鑰）對收到的審計報告進行驗證，驗證該數(shù)字證書是否由其聲明的CA中心頒發(fā)，并會驗證其數(shù)字證書是否在有效期內(nèi)，是否已被吊銷。如果這些審核項都通過，就表明被審計單位成功核實了電子簽名，證明該報告是?特定的具備資質(zhì)的注冊會計師和會計師事務(wù)審核，并且該審計報告簽名以后未經(jīng)改動。如果在注冊會計師簽名完成后，審計報告再有任何改動，都會造成簽名驗證失敗，所以，對已簽名報告的任何改動都是無效的。驗證數(shù)字簽名的有效性比起紙質(zhì)辦公條件下驗證印章和簽名的真?zhèn)螘菀缀椭庇^。

（六）電子審計報告的檢索服務(wù)。財務(wù)審計報告的電子化為不同部門實現(xiàn)信息共享提供了可能性，與此同時也面臨一個新的問題就是電子財務(wù)審計報告允許哪些人員或機構(gòu)來查閱，因為財務(wù)信息是企業(yè)重要的商業(yè)機密。注冊會計師協(xié)議可以提供電子財務(wù)審計報告的存儲系統(tǒng)和查詢系統(tǒng)，向相關(guān)方提供查詢功能。