導語：如何才能寫好一篇驗證電子合同的有效方法，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞:電子營業執照;誠信監管;電子商務

中圖法分類號:TP31文獻標識碼:A 文章編號:1009-3044(2009)33-9166-02

Research of Electronic Business Platform Based on Electronic Trade License

LIU Jun-wei

(Wuxi Professional College of Science and Technology, Wuxi 214028, China)

Abstract: For B2B electronic business, how to supervisor is a key for development of the electronic business. This paper researches on an electronic business credit platform based on the electronic trade license, focuses on the essence of the electronic trade license and the form of the credit platform. Furthermore, this paper also analyzes and outlooks the applications of the credit platform.

Key words: electronic trade license; credit supervisor; electronic business

隨著電子商務的發展,誠信問題越來越重要。網絡欺詐、商品質量瑕疵、售后服務質量低下、顧客個人信息泄露等問題正在阻礙電子商務的發展。電子商務經濟作為現代市場經濟的重要組成部分, 社會誠信的發展和規范程度決定了電子商務經濟的發展速度、質量和效益, 關系到電子商務經濟的前途和未來。因此, 解決社會誠信缺失問題應當是我國發展電子商務的首要任務。

B2C平臺因交易的金額普遍較少,普遍采用信用評價、第三方支付等方法解決誠信交易的問題。而對于B2B電子商務,交易金額普遍較大,如何鑒別對方的身份、如何保證商品質量等問題一直困擾著商家。很多商家不得不借助與傳統的貿易模式,進行面對面的紙質合同的簽訂,浪費了大量的人力、物力,與電子商的方式,便捷、無紙化的特征相違背。

對電子商務的誠信問題,第三方監管的呼聲越來越高,其中以電子營業執照為載體的監管模式處于試驗、推廣階段。本文研究一種基于電子營業執照的電子商務誠信平臺,著重討論電子營業執照的本質、誠信平臺的構成,并對誠信平臺的應用做了展望。

1 電子營業執照

電子執照是指各類經濟組織的營業執照副本(網絡版),是根據《中華人民共和國公司法》等有關登記注冊法律、法規,以PKI技術為基礎,由工商行政管理部門制作、核發、載有企業注冊登記信息的電子信息證書。

電子執照作為企業在工商信息系統中的唯一身份標識,它是由數字證書,企業基本信息,企業公章及擴展信息等組成。對于企業用戶其物理載體為Ekey。另外,在工商局信息中心,關于企業電子執照的信息都有備案。

企業電子執照一旦生成,就具有一定的法律效力,只有擁有電子執照的單位才能夠在工商信息系統中辦理業務。對于電子執照的基本信息,只有通過變更業務,才能進行修改。

電子執照作為企業在可信安全平臺中的唯一電子憑證,起著至關重要的重用,在可信平臺中,系統依靠電子執照來識別企業的身份及基本信息。

電子執照的主要作用有:

1) 電子身份認證:電子執照是企業在互聯網上合法有效的身份表示,利用PKI數字證書技術的身份認證系統是電子執照安全、權威、合法的保障。

2) 網絡企業認證:通過電子執照的應用,企業可在網上“亮照經營”,表示企業的合法經身份,并實現網上企業經營監管的目的,保障企業與消費者的合法權益。

3) 電子商務交易認證:電子執照是電子商務支撐體系建設的基本信息來源,電子執照可用作識別和確認參與電子商務的各方主體的合法和有效的身份。

2 電子商務誠信平臺的構成

電子商務誠信平臺主要由電子執照發放系統、應用系統運行維護系統組成,其業務功能包括基于數字證書的電子執照受理系統、數據交換系統、制證系統以及企業年檢、企業變更、電子執照變更、電子執照延期、電子執照注銷、企業信用監管、電子合同監管、電子簽章等管理模式。電子商務誠信平臺整體模塊構架如圖2所示。

在電子執照管理系統中,數字證書和數字簽名技術與水印技術結合在一起,得到了很好的應用。在實際應用中,為了驗證信息的數字簽名,用戶首先必須獲取信息發送者的公鑰證書,以及一些額外需要的證書(如CA證書等,用于驗證發送者證書的有效性)。

在系統中,證書的持有者可以是個人用戶、企事業單位、商家、銀行等。無論是哪一方,在使用證書驗證數據時,都遵循同樣的驗證流程。一個完整的驗證過程有以下幾步:

1) 將客戶端發來的數據解密(如解開數字信封)。

2) 將解密后的數據分解成原始數據,簽名數據和客戶證書三部分。

3) 用CA根證書驗證客戶證書的簽名完整性。

4) 檢查客戶證書是否有效(當前時間在證書結構中的所定義的有效期內)。

5) 檢查客戶證書是否作廢(OCSP方式或CRL方式)。

6) 驗證客戶證書結構中的證書用途。

7) 客戶證書驗證原始數據的簽名完整性。

如果以上各項均驗證通過,則接受該數據。

3 誠信平臺的應用舉例

1) 企業信用監管:企業信用監管是指工商部門以電子化和計算機網絡為技術支撐,以企業登記注冊的信息和電子執照為基礎,改善行政監管效能,提高企業信用水平的監管工作系統。主要包括企業注冊登記企業年檢企業信息變更登記。

2) 電子合同監管:合同監管是工商部門對企業信用監管的重要手段。工商部門根據《合同法》對企業訂立的合同進行審查,監督企業履行合同。主要包括合同交易雙方身份認證、電子合同網上備案、電子合同簽約流程加密和電子合同簽約條款監管。

3) 電子工作證:電子工作證是企業員工的電子身份證。電子工作證具有身份識別、數據加密、電子簽章三項基本功能,可用于構建內部的信息安全管理基礎平臺,也可與傳統的工作證結合,嵌入考勤、飯卡等功能,實現真正的電子化人事管理。

4 結論

該文基于電子營業執照,給出了電子商務誠信平臺的體系架構,尤其關注平臺的安全性,并對誠信平臺的應用做了分析和展望。

參考文獻:

[1] 國家發展改革委.電子商務發展“十一五”規劃[EB/OL].2007. /zcfb/zcfbtz/2007tongzhi/W020070620595393012331.pdf.

篇2

當今信息高速公路已經鋪展開來，隨著計算機網絡的發展，招投標工作向數字化、信息化和網絡化行進。由于互聯網廣闊的覆蓋范圍和廉價的運營成本，在互聯網上招投標有效克服了傳統方式程序復雜、速度緩慢的弊端，通過全面覆蓋的網絡將招投標信息傳送至所需各行業。因此企業增加網絡招投標的使用率就勢在必行了。

【關鍵詞】電子招投標 現代信息技術 系統開發

隨著信息高速公路時代的來臨，招投標工作明顯向著信息化、網絡化和數字化發展。在國家的電子政務也處速發展的時期，招投標的數字化管理極大地提高了政府的采購效率和行政監管能力。本文分析了現代電子招投標管理中所運用的信息技術，同時也展望了其未來的發展前景。

1 我國電子招投標的發展現狀

1.1 在招投標管理中遇到的技術問題

（1）電子招投標系統缺乏對其運行進行約束的系統的規章制度，同時，也缺少數據標準接口，這使得互聯網上的招投標互相之間沒有交流互動，相互排斥。

（2）電子評標軟件也沒有綜合、全面的評價機制和評標方法，不能在最大程度上體現出電子招投標系統的優勢，人為因素可能對招投標工作的公平合理性產生消極的影響。

（3）不能有效的保障電子招投標系統信息的安全性，使招投雙方的互信度大大降低，同時電子文件的法律效力也被雙方所質疑，很大程度上影響了電子招投標的推廣和普及。

1.2 我國電子招投標現狀及問題

我國目前的招投標數字化運作已成逐漸成熟，電子招投標在政府的推動之下高速發展，各大招標機構紛紛以此來提升自己的競爭實力。國家建設部業已頒布相關法律法規綜合系統的調整改革了工程計價方法，全力對工程量清單計價的方式進行推廣，這有利于建立由市場形成工程造價體系。但網絡招標作為新鮮事物，在具有便利、高效的特點的同時，也具有一些弊端。由于采用電子操作，因而很可能在對身份信息、數據傳送和數據存儲等方面進行操作時產生失誤或是因為系統問題造成數據錯誤。而且，需要通過電子方式在網上進行要約邀請和要約響應，那么，在法律上對這樣的電子方式有沒有明確的要求；書面訂立的合同受法律保護，那么，在網上簽訂的電子合同有沒有同樣的法律效力；電子邀請的方式能不能被法律承認；電子版的招投標資料和文件以及數字化的招投標方式又能否被現行法律法規所接受。另外，互聯網不僅給人類的生產生活提供了方便，同時也產生了一些不安全的影響。網絡的另一面是不是我們真正想要溝通的人，網絡上信息的交換和傳遞安不安全，這些問題都可能會嚴重損害整個企業甚至是國家的利益。所以，各個企業及相關部門必須關注和重視網上招投標系統的安全工作。

2 電子商務的發展

信息產業的興起，帶動了采用數字技術的電子商務的發展，電子商務把網絡作為基本的溝通方式，確定企業的價值方向和價值產業鏈，不斷對機構配置進行優化。所以，電子商務的核心環節和最終目標依然是業務，“電子”在全過程中只是作為一種溝通方法來優化核心環節，但是也不能小看這個“電子”，因為它是整體經濟效益和創新、合理的業務模式的根源所在。隨著市場產品競爭日益激烈，傳統企業產品同質、品牌無差異現象越來越嚴重，要想更大程度的吸引消費者、提供有個性的產品以及提高服務品質，都需要采用全新的技術手段和創新的經營模式。采用互聯網和電子商務技術來對整個業務流程進行優化，勢必能夠有效提高社會生產效率，促進社會經濟發展，是傳統企業的絕佳選擇。

電子商務已經成為新時代經濟發展的核心部分，需要人們以嚴謹的態度，解決電子商務發展中的各種疑難問題。因特網自身擁有的一些優勢，如全球化、信息流通性、大范圍覆蓋性等，也都成為電子商務的內在特征。

3 電子招投標系統的信息安全技術

（1）數據存儲加密技術。對數據庫服務器中存儲的資料和文件進行加密處理，能夠對文件的保密工作提供保障，同時也為管理提供了方便。而且，由用戶上傳的、存儲在數據庫服務器中的文件，必須由持有特定數字證書的用戶在規定時間和規定網站中進行下載，而包括數據庫管理者在內的其他用戶沒有查閱文件的權限，這也就進一步保證了電子招投標系統的科學合理性。

（2）CA認證。CA和電子招投標系統是相互獨立的系統，但招投標系統選用CA系統的用戶數據庫。要想部署和進行網上招投標系統，必須建立相應的CA認證的權威機構，給每位用戶辦理發放一張用于身份驗證的個人數字證書。數字證書中包含用戶姓名、所屬公司等基本信息，這些信息是用戶登錄系統后進行身份驗證和權限控制的憑證，用戶持有有效數字證書能夠看到與自己證書權限項對應的內容并可以進行相關的操作。CA作為證書的簽發機構，是PKI的核心。大家都知道，怎樣實現密鑰管理是構建密碼服務系統的核心部分。

（3）數字時間戳技術。在招投標系統中，證明文件有效性的重要內容包括時間和數碼簽名等。數字時間戳能夠證明電子數據文件的收發具體時間。用戶將需要加時間戳的文件經加密后形成文檔，再將摘要發送到專業機構，完成數字時間戳服務，該機構對文件加上時間后，進行數字簽名，用私鑰加密，并返回給用戶。數字時間戳有效地證明了文件的發表時間。

（4）數字證書技術。采用PIG公開密鑰基礎架構技術的數字證書，是用一對互相匹配的密鑰進行加密和解密操作。要完成解密和簽名，需要每個用戶有一把特定的僅為本人所知的私有密鑰（私鑰）；與此同時，還要有一把公共密鑰（公鑰），需要公開、分享給一組用戶，用來進行加密和驗證簽名。它作為網絡上的身份證，在電子商務、網上銀行等應用中發揮出了極大的便利性。數字證書+SSL協議能夠使信息傳輸的加密任務有效的完成。假如采用數字證書進行數字簽名，那么數字證書的持有者不能對網絡上的操作抵賴，有效地保證了這種操作的全面性和不可頂替性，這為事后調查、責任追究和矛盾解決提供了有利的依據。

參考文獻

[1]陳定力，陳福生.電子招標系統的加密方案設計與實現[J].計算機應用與軟件，2011（24）.

[2]陸偉琦.淺議電子評標在建設工程招標中的運用[J].山西建筑，2012（34）.

[3]孫詠梅.電子招投標在建設工程招投標中的應用[J].中國西部科技，2011.

篇3

[關鍵詞]數字簽名電子商務交易安全

以網絡技術為基礎的電子商務作為一種全新的商務活動模式，已經成為經濟增長的動力，推動著經濟的迅猛發展。但互聯網所固有的開放性與資源共享性使電子商務成為一把雙刃劍，它在給人類帶來了經濟、便捷、高效的交易方式的同時，也引發了新的社會問題，電子商務的安全交易問題已成為全球電子商務活動的焦點問題，如何保證網上交易的有效性、機密性、完整性、可靠性和不可否認性是電子商務可持續發展的關鍵。

電子商務交易中，鑒別交易伙伴身份、確定合同、契約和單據的可靠性是十分關鍵的問題。在傳統貿易中，交易雙方通過在合同、貿易單據等書面文件上手寫簽名或蓋章來鑒別對方的身份，確定貿易合同、契約、單據的可靠性并預防抵賴行為的發生，其具有較高的可靠性。而在無紙化的電子商務中，人們希望通過數字通信網絡迅速傳遞合同、契約和單據，這就出現了數據真實性認證的問題，數字簽名技術就應運而生了。

數字簽名是用來保證信息傳輸過程中信息的完整性、私有性和不可抵賴性，其是實現網上交易安全的核心技術之一。

一、數字簽名技術的概念

數字簽名技術就是利用數據加解密技術、數據變換技術，根據某種協議來產生一個反映被簽署文件和簽署人特性的數字化簽名。數字簽名涉及被簽署文件和簽署人兩個主體，密碼技術是數字簽名的技術基礎，其核心是采用加密技術的加、解密算法體制來實現對數據的數字簽名。

1.公開密鑰加密技術

公開密鑰加密又稱為非對稱密鑰加密，其特點是每個用戶有兩個不同的密鑰：公有密鑰和私有密鑰，分別用于加密和解密，如果用公有密鑰對數據進行加密，只有用對應的私有密鑰才能進行解密；如果用私有密鑰對數據進行加密，則只有用對應的公有密鑰才能解密。其中公有密鑰是公開的，而私有密鑰是保密的。

公開密鑰加密的關鍵在于公有密鑰和私有密鑰是數學相關的，但不能從公鑰推導出私鑰，也不能從私鑰推導出公鑰。

公開密鑰加密的優點是便于密鑰的管理和分發，便于通信加密和數字簽字。但公開密鑰加密的算法相對復雜，加密數據速度較慢。

2.hash算法

hash算法又稱為散列算法或報文摘要，hash算法并不是加密算法，但卻能產生信息的數字“指紋”，主要用途是為了確保數據沒有被篡改或發生變化，以維護數據的完整性。Hash算法有三個特點:(1)能處理任意大小的信息，并生成固定長度(160bit)的信息摘要。(2)具有不可預見性。信息摘要的大小與原信息的大小沒有任何聯系。原信息內容的任何一個微小變化都會對信息摘要產生很大的影響。(3)具有不可逆性。沒有辦法通過信息摘要直接恢復原文信息。

3.數字簽名

數字簽名是指使用密碼算法對要傳輸的數據進行加密處理，生成一段信息，附著在原文上一起發送，這段信息類似現實中的簽名或印章，接收方對其進行驗證，判斷原文真偽，其目的是提供數據的完整性保護和抗否認功能。

實現數字簽名的方法很多，目前使用較多的是比較容易實現的公開密鑰加密技術。其是先將要發送的信息通過hash算法形成信息摘要，然后用發送方的私鑰加密，再將生成的結果附加到原信息上去，就形成了原信息的數字簽名。接收方收到數字簽名和原信息后，用發送方的公鑰將信息摘要解密，將原信息通過hash算法生成新的信息摘要。將兩個信息摘要進行對比，若相同則表明這份數字簽名和文件是正確的，否則文件就是偽造的或已被篡改。

二、數字簽名技術在電子商務中的應用

將數字簽名技術應用于電子商務中，可以解決數據的否認、偽造、篡改及冒充等問題，其主要用途有三個方面：

1.驗證數據的完整性

這個功能能保證信息自簽發后到收到為止沒有做任何修改。因為當兩條信息摘要完全相同時，可以確信這兩條信息的內容完全一樣。因此，可以通過將信息發送前生成的信息摘要與接收后生成的信息摘要進行對比，來判斷信息在傳輸過程中是否被篡改或改變。由于信息摘要在發送之前，發送方使用私鑰進行加密，其他人要生成相同加密的信息摘要幾乎不可能，于是，接受方收到信息后，可以使用相同的函數變換，重新生成—個新的信息摘要，將接收到的信息摘要解密，然后進行對比，從而驗證信息的完整性。

2.驗證簽名者的身份

此功能證明信息是由簽名者發送的。因為數字簽名中，是使用公開密鑰加密算法，信息發送方是使用自己的私鑰對發送的信息進行加密的，只有持有私鑰的人才能對數據進行簽名，所以只要密鑰沒有被竊取，就可以肯定該數據是用戶簽發的。信息接收方可以使用發送方的公鑰對接受到的信息進行解密，因而，接收方一旦解密成功，就完全可以確認信息是由發送方發送的，同時也證實了信息發送方的身份。

3.防止交易中的抵賴行為

當交易中出現抵賴行為時，信息接收方可以將加了數字簽名的信息提供給認證方，由于帶有數字簽名的信息是由發送方的私鑰加密生成的，其他任何人不可能產生這種信息，而發送方的公鑰是公開的，任何人都可以獲得他的公鑰對信息解密．這樣認證方可以使用公鑰對接收方提供的信息解密，從而可以判斷發送方是否出現抵賴行為。

篇4

關鍵詞：電子合同、電子簽名、電子認證、電子合同監管

一、電子合同

隨著電子技術的發展，電子合同得以出現，其雖然也通過電子脈沖來傳遞信息，但是卻不在以一張紙為原始的憑據，而只是一組電子信息。電子合同，又稱電子商務合同，根據聯合國國際貿易法委員會《電子商務示范法》以及世界各國頒布的電子交易法，同時結合我國《合同法》的有關規定，筆者認為電子合同可以界定為：電子合同是雙方或多方當事人之間通過電子信息網絡以電子的形式達成的設立、變更、終止財產性民事權利義務關系的協議。通過上述定義可以看出電子合同是以電子的方式訂立的合同，其主要是指在網絡條件下當事人為了實現一定的目的，通過數據電文、電子郵件等形式簽訂的明確雙方權利義務關系的一種電子協議[1].電子合同的特征主要表現在以下幾個方面：

1、電子合同是一種民事法律行為。電子合同這種民事法律行為是雙方或者是多方民事主體的法律行為，當事人之間以電子的方式設立、變更、終止財產性民事權利義務為目的，當事人之間簽訂的這種合同是合同的電子化，是合同的新形式。根據《電子商務示范法》中有關規定，電子合同是以財產性為目的協議，該示范法列舉了大量商業性質的關系。[2]

2、電子合同交易主體的虛擬化和廣泛化。電子合同訂立的整個過程所采用的是電子形式，通過電子郵件、EDI等方式進行電子合同的談判、簽訂及履行等。這種合同方式大大的節約了交易成本，提高了經濟效益。電子合同的交易主體可以是地球村的任何自然人和法人及其相關組織，這種交易方式當然需要提供一系列的配套措施，如建立信用制度，讓交易的相對人在交易前知道對方的資信狀況[3]，在世界經濟全球化的今天，信用權益必將成為一種無形的財產。

3、電子合同具有技術化、標準化的特點。電子合同是通過計算機網絡進行的，他有別與傳統的合同訂立方式，電子合同的整個交易過程都需要一系列的國際國內技術標準予以規范，如：電子簽名、電子認證等。這些具體的標準是電子合同存在的基礎，如果沒有相關的技術與標準電子合同是無法實現和存在的。

4、電子合同訂立的電子化。我國《合同法》規定合同的訂立需要有要約和承諾這兩個過程，電子合同同樣也需要具備這些要件。傳統的合同的要約和承諾采用的方式不同于電子合同，電子合同中的要約和承諾均可以用電子的形式完成，它主要輸入相關的信息符合預先設定的程序，計算機就可以自動做出相應的意思表示。

5、電子合同中的意思表示電子化。意思表示的電子化，是指在合同訂立的過程中通過相關的電子方式表達自己的意愿的一種行為，這種行為的表現方式是通過電子化形式實現的。《電子商務示范法》中將電子化的意思表示稱之為“數據電文”。

二、電子合同訂立與成立

電子合同的訂立，是指締約人做出意思表示并達成合意的行為和過程。任何一個合同的簽訂都需要當事人雙方進行一次或者是多次的協商、談判，并最終達成一致意見，合同即可成立。電子合同的成立是指當事人之間就合同的主要條款達成一致的意見。電子合同作為合同中的一種特殊形式，其成立與傳統的合同一樣，同樣需要具備相關的要素和條件。世界各國的合同法對合同的成立大都減少不必要的限制，這種做法是適應和鼓勵交易行為，增進社會財富的需要，所以說在電子合同的成立上，只要當事人之間就合同的主要條款達成一致的意見即可成立。關于合同中的主要條款，現行的立法是很寬泛的，我國的《合同法》第12條做了列舉性的規定，但是該列舉性規定是指一般條款。筆者認為，就合同的主要本質而言，在合同主要條款方面如果當事人有約定，要以雙方約定為主要條款，如果沒有約定的可以根據合同的性質的予以確定合同主要條款。

合同的成立與合同的訂立是兩個不同的概念，兩者既有聯系又有區別。電子合同的成立需要具備相應的要件。首先，訂約人的主體是雙方或者是多方當事人，合同的主體是合同關系的當事人，他們實際享受合同權利并承擔合同義務的人。[4]其次，訂約當事人對主要條款達成合意，合同成立的根本標志在于合同當事人就合同的主要條款達成合意。最后，合同的成立應該具備要約和承諾兩個階段，《合同法》第13條規定：“當事人訂立合同，采取要約、承諾方式。”

（一）要約和要約邀請

要約是指締約一方以締結合同為目的而向對方當事人作出的意思表示。關于要約的形式，聯合國的《電子商務示范法》第11條規定：除非當事人另有協議，合同要約及承諾均可以通過電子意思表示的手段來表示，并不得僅僅以使用電子意思表示為理由否認該合同的有效性或者是可執行性。要約的形式，即可以是明示的，也可以是默示的。要約通常都具有特定的形式和內容，一項要約要發生法律效力，則必須具備特定的有效要件：1、要約是由具有訂約能力的特定人做出的意思表示。2、要約必須具有訂立合同的意圖。3、要約必須向要約人希望與之締結合同的受要約人發出。4、要約的內容必須明確具體和完整。5、要約必須送達受要約人。[5]

要約邀請是指希望他人向自己發出要約的意思表示。在電子商務活動中，從事電子交易的商家在互聯網上廣告的行為到底應該視為要約還是要約邀請？[6]在該問題上學界有不同的觀點，一種觀點認為是要約邀請，他們認為這些廣告是針對不特定的多數人發出的。另一種觀點認為是要約，因為這些廣告所包含的內容是具體確定的，其包括了價格、規格、數量等完整的交易信息。筆者認為，雖然電子商務是新型的商業活動形式，但是其與傳統商業活動的區別只是使用的中介媒介不同，其法律特征應當是相同的。因此，就該問體的區分仞然要回到《合同法》中去解決。根據法律的規定，判斷網絡廣告是否屬于要約邀請的標準是：1、意思表示的內容是否具體確定，2、其發出人是否有受該意思表示約束的意圖。

要約一旦做出就不能隨意撤銷或者是撤回，否則要約人必須承擔違約責任。我國《合同法》第18條規定：“要約到達受要約人時生效”。由于電子交易均采取電子方式進行，要約的內容均表現為數字信息在網絡上傳播，往往要約在自己的計算機上按下確認鍵的同時對方計算機幾乎同步收到要約的內容，這種技術改變了傳統交易中的時間和地點觀念，為了明確電子交易中何謂要約的到達標準，《合同法》第16條第2款規定：“采用數據電文形式訂立合同，收件人指定特定系統接收數據電文的，該數據電文進入該特定系統的時間，視為到達時間，未指定特定系統的，該數據電文進入收件人的任何系統的首次時間，視為到達時間。”[7]

（二）承諾

承諾，又稱之為接盤或接受，是指受要約人做出的，對要約的內容表示同意并愿意與要約人締結合同的意思表示。我國的《合同法》第21條規定：“承諾是受要約人同意要約的意思表示”。意思表示是否構成承諾需具備以下幾個要件：1、承諾必須由受要約人向要約人做出。2、承諾必須是對要約明確表示同意的意思表示。3、承諾的內容不能對要約的內容做出實質性的變更。4、承諾應在要約有效期間內做出。要約沒有規定承諾期限的，若要約以對話方式做出的，承諾應當即時做出，要約以非對話方式做出的，承諾應當在合理期間內承諾，雙方當事人另有約定的從其約定。

承諾的撤回，是指受要約人在發出承諾通知以后，在承諾正式生效之前撤回承諾。根據《合同法》第27條的規定：“承諾可以撤回。撤回承諾的通知應當在承諾通知達到要約人之前或者是承諾通知同時達到要約人。”因此，承諾的撤回通知必須在承諾生效之前達到要約人，或者是與承諾通知同時到達要約人，撤回才能生效。如果承諾通知已經生效，合同已經成立，受要約人當然不能在撤回承諾。對承諾的撤回問題學界有不同的觀點，反對者認為電子商務具有傳遞速度快，自動化程度高的特點，要約或者承諾生效后，可能自動引發計算機做出相關的指令，這樣會導致一系列的后果。贊同承諾撤回的學者則認為不管電子傳輸速度有多快，總是有時間間隔的，而且也存在網絡故障、信箱擁擠、計算機病毒等突發性事件的存在，似的要約、承諾不可能及時到達。筆者認為，撤回承諾同要約的撤銷同樣重要，這種民事權利不能剝奪，否則會破壞我國《合同法》的體系與精神。

三、電子合同成立時間與地點

電子合同成立時間，是指電子合同開始對當事人產生法律約束力的時間。在一般情況下電子合同的成立時間就是電子合同的生效時間，合同成立的時間是對雙方當事人產生法律效力的時間。一般認為收件人收到數據電文的時間即為到達生效的時間。聯合國《電子商務示范法》第15條和我國的《合同法》第16條的規定基本相同。[8]如收件人為接收數據電文而指定了某一信息系統，該數據系統進入該特定系統的時間，視為收到時間。如收件人沒有指定某一特定信息系統的，則數據電文進入收件人的任一信息系統的時間為收到時間。對于什么是“進入”，筆者認為，一項數據電文進入某一信息系統，其時間應是在該信息系統內可投入處理的時間，而不管收件人是否檢查或者是否閱讀傳送的信息內容。

認定發送和接收電子合同的時間對于判斷交易成立和生效具有重要的意義。我國的《合同法》對此只是做了原則性的規定。根據《合同法》和民事法律關系基本原理和電子合同的實際情況，認定發送和接收電子通訊時間的默認規則為，在雙方沒有相反約定的情況下，某個電子信息進入某個輸送人無法控制的信息系統就視為該信息已經被發送，如果信息先后進入了多個信息系統，則信息發送的時間以最先進入其網絡服務提供者的服務器，在發送到接收人的計算機系統，那么該信息被發送的時間就是先進入網絡服務提供者的服務器的時間。[9]在判斷信息接收時間方面，如果電子信息的接收人指定了一個信息接收系統，則電子信息進入該系統的時間即為信息接收的時間。

電子合同的成立地點，是指電子合同成立的地方。確定電子合同成立的地點涉及到發生合同糾紛后由那地、那級法院管轄及其適用法律問題。我國《合同法》第34條規定，承諾生效的地點為合同成立的地點，采用電子意思表示形式訂立合同的收件人的主要營業地為合同成立的地點，沒有主要營業地的，其經常居住地為合同成立的地點，當事人另有約定的從其約定。我國立法對電子意思表示采取的是“到達主義”，所以規定以收到地點為合同成立的地點，其原因是考慮到當事人意思自治原則和特殊性問題。我國《合同法》第34條之所以這樣規定，主要是因為電子交易中收件人接收或者檢索數據電文的信息系統經常與收件人不在同一管轄區內，上述規定確保了收件人與視為收件地點的所在地有著某種合理的聯系，可以說我國《合同法》這一規定充分考慮了電子商務不同于普遍交易的特殊性。

四、電子簽名與電子認證

電子合同成立是雙方當事人意思一致的結果，在傳統的合同訂立過程中，國際上通行的做法是用雙方當事人的簽字來確定雙方的意思表示。我國的《合同法》第32條規定：“當事人采用合同形式訂立合同，自雙方當事人在合同書上簽名或者加蓋公章時合同成立。”當事人的簽字或者蓋章，意味著自然人或者法人在合同書上簽名或者是加蓋公章合同才發生法律效力。在電子商務合同中，要在這種合同書上簽字或者蓋章是很困難的。所以，在實踐中用何種技術來解決簽名和蓋章問題是電子合同成立與生效的關鍵。

美國是世界上最先授權使用數字簽名的國家，他規定了用密碼組成的數字與傳統的簽字具有同等的效力[10].從技術的角度而言，電子簽名主要是指通過一種特定的技術方案來賦予當事人一個特定的電子密碼，確保該密碼能夠證明當事人身份的作用，而同時確保發件人發出的資料內容不被篡改的安全保障措施。電子簽名的主要目的是利用技術的手段對數據電文的發件人身份做出確認及保證傳送的文件內容沒有被篡改，以及解決事后發件人否認已經發送或者是收到資料等問題。[11]因此，驗證解密得到的結果與經過計算后的結果必然不同，從而保證了電子信息的真實性與完整性[12].

電子認證與電子簽名一樣都是電子商務中的安全保障機制，是由特定的機構提供的，對電子簽名及其簽署者的真實性進行驗證的服務。電子認證，是指由特定的第三方機構通過一定的方法對簽名及其所做的電子簽名的真實性進行驗證的一種活動。電子認證主要應用于電子交易的信用安全方面，保障開放性網絡環境中交易人的真實與可靠。電子認證是確定某個人的身份信息或者是特定的信息在傳輸過程中未被修改或者替換。[13]電子認證即可以在當事人相互之間進行，也可以由第三方來做出鑒別。電子商務活動常常是跨國境的，各個參與方就需要有不同的國家的認證機構對各自的身份進行認證，并向電子商務活動的相對方發放認證證書，這在實踐中就需各國相互承認對方國家認證機構發放的電子認證證書的效力。

在認證機構的設立上，必須強調認證機構是一個獨立的法律實體，能夠以自己的名義從事數字服務，并且能夠以自己的財產提供擔保，能在法律規定的范圍內自己承擔相應的民事責任。他必須是保持中立，并具有可靠性、真實性和公正性。電子認證機構一般不得直接和客戶進行商業交易，也不能在當事人之間的交易活動中代表任何一方的利益，而只能通過公正的交易信息促成當事人之間的交易。它必須能被當事人接受，也就是說，它應當在社會具有相當的影響力和可信度，并足以使人們在網絡交易中愿意接受其認證服務。當事人對電子認證機構的接受可能是明示的，也可能是在網絡交易中默示承認或者是基于成文法律的要求。另外，電子認證機構不能以盈利為目的，認證機構應當是一種類似于承擔社會服務功能的公用事業，其營業的宗旨應該是提供公正、安全的交易的環境，保護第三人的合法權益，促進電子合同交易，加快電子商務的發展。

五、電子合同生效

電子合同的成立只是意味著當事人之間已經就合同內容達成了意思表示一致，但合同能否產生法律效力，是否受法律保護還需要看他是否符合法律的要求，即合同是否符合法定的生效要件。電子合同的成立并不等于電子合同的生效，電子合同的生效，是指已經成立的合同符合法律規定的生效要件。雖然我國的《合同法》沒有對合同的生效做出具體的規定，但是電子合同是一種典型的民事法律關系。我國的《民法通則》第55條規定：“民事法律行為應當具備以下幾個要件：1、行為人具有相應的行為能力。2、意思表示真實。3、不違反法律或社會公共利益。”這些條件是合同生效的一般要件，有的電子合同還需具備特殊要件，如有些特殊的電子合同還需到有關部門辦理批準登記手續后才能生效。電子合同的生效需具備以下幾個法定要件：

（一）行為人具有相應的民事行為能力。行為人具有相應的民事行為能力的要件在學理上又被稱為有行為能力原則或主體合格原則。[14]行為人必須具備正確理解自己行為性質和后果，獨立地表達自己的意思的能力。

（二）電子意思表示真實。是指利用資訊處理系統或者電腦而為真實意思表示的情形。電子意思表的形式是多種多樣的，包括但不限與電話、電報、電傳、傳真、電郵、EDI、因特網數據等，具體通過封閉型的EDI網絡，局域網與因特網連接開放型的因特網或傳統的電信進行電子交易信息的傳輸。

（三）不違反法律和社會公共利益。不違反法律和社會公共利益，是指電子合同的內容合法。合同有效不僅要符合法律的規定，而且在合同的內容上不得違公共利益。在我在我國，凡屬于嚴重違反公共道德和善良風俗的合同，應當認定其無效。

（四）合同必須具備法律所要求的形式。我國現行的法律規定無法確認電子合同的形式屬于那一種類型，盡管電子合同與傳統上面合同有著許多差別，但是在形式要件方面不能阻擋新科技轉化為生產力的步伐，立法已經在形式方面為合同的無紙化打開了綠燈。法律對數據電文合同應給予書面合同的地位，無論意思表示方式是采用電子的，光學的還是未來可能出現的其他新方式，一旦滿足了功能上的要求，就應等同與法律上的“書面合同”文件，承認其效力。[15]

六、電子合同監管

網上廣告、網上購物、網上合同、網上支付等新型網絡交易活動給工商行政管理機關提出了新的要求。工商行政管理機關是國家主管市場監督管理和有關行政執法的職能部門，工商行政管理部門監管的市場是社會主義市場經濟下的大市場，工商行政管理機關對電子合同進行監督管理責無旁貸，該項職能是由法律所賦予的。[16]工商部門對電子合同監管能促進網絡市場交易的公平性、安全性、經濟性，能有效的保護消費者和經營者的合法權益，能減少合同爭議和違法合同，提高合同的履約率，維護市場交易安全，促進經濟的發展。

我國現階段的電子合同監管主要存在著以下幾個方面的問題：一是電子合同的實體法和監管的程序法等立法不能適應現階段的要求。對電子合同的監管是一個技術性很強的工作，沒有相關的規章制度是無法開展的。二是相關的技術與配套工程沒有確立，從而無法保證電子合同的監督與管理工作。電子合同交易的開展需要一系列的配套措施，是一個系統的工程，如市場主體制度的認證，電子合同效力、電子合同交易的安全性與真實性問題，電子證據、電子合同爭議的管轄權等等。目前的立法嚴重滯后，嚴重影響電子合同的交易和監管力度。三是現有的工商登記制度無法對網絡交易主體進行監管，沒有統一的認證機構。四是工商行政管理機關執法人員的水平和能力有限，執法的手段單一。目前，我國基層工商機關自動化辦公水平有待提高，計算機知識、網絡技術有待加強。執法人員對網絡交易行為不了解，不能快速的對網絡市場信息進行有效的收集、分析和整理，從而影響了電子合同監管的力度。

工商行政管理機關對電子合同的監管是對電子合同交易的整個過程的監管，從電子合同要約，電子合同的訂立、電子合同的交付、電子合同的簽證、電子合同爭議的處理等。[17]筆者認為根據等同法則電子合同具有書面合同的形式與性質，現階段我們不能用原有的方法來對電子合同進行監管。電子合同的監管是對簽約前、簽約過程以及簽約后電子合同的履行等監管。電子合同簽約前的階段主要是對買賣信息的檢索，對整個交易行為做充分的準備工作，這就需要政府和只能部門提供一系列的配套措施。作為政府職能部門的工商行政管理機關，就應該對網絡市場予以規范和管理，為電子合同的廣泛使用提供良好的網絡環境，保障網絡交易的安全性、公正性，促進網絡交易行為，提高履約率。[18]

筆者認為工商部門對電子合同的監管應注重以下幾個方面：一是建立電子合同監管平臺。工商行政管理機關應該按照所轄區域設立電子合同監管平臺，各級工商行政管理機關應該對所轄區域的經濟主體經濟情況對公眾公開，以備市場相對人進行查詢和了解。這種信息包括對企業的信用、資金、企業產品質量，有無違規經營等一切公眾資料，涉及企業商業秘密的沒經權利人同意的不能公開。二、對電子合同的監管應該是對電子合同是否違反法律、法規、規章進行審查。糾正電子合同中違法行為，查處利用電子合同進行違法交易的行為，以及違約的處罰。三是完善我國物流配送體系，加強電子合同依法履行的監管工作，促進電子合同交易的成功率。四是建立電子合同簽證網。電子合同簽證是對合同簽證的延伸，電子合同簽證網的建立能有效的彌補書面簽證的缺陷，減少人力、物力和才力方面的支出，提高工作效率。五是建立網上電子合同監管投訴中心，及時反映合同監管中的問題，保護消費者的合法權益。六是加強電子合同的法律法規的研究制定工作，建立有效的網絡監管體制，維護市場經濟的安全。七是加強執法人員的培訓工作，提高執法人員的水平。電子合同監管是一項技術性很強的工作，他涉及的知識面廣泛，需要不斷的學習和更新知識結構。八是加強對工商部門職能的宣傳工作，特別是要加強對電子合同監管的必要性和可行性的宣傳力度。面對新的挑戰，工商行政管理機關要認真的研習新《合同法》的基本原理和精神，熟悉電子信息技術，切實有效的對電子合同實施監管，維護市場經濟秩序的健康發展。

OnTheBasicTheoryofElectronicContractTrade

Abstract：E-commerceistheinevitabledirectionofthecommercialdevelopmentinthefuture.Withitsdistinctwayofbeingmade，e-contractchallengesthetransitiononpapertermsoflaw，technology，supervisionandsoon.E-contractisthefoundationandhardcoreofe-commerce.Thelegalproblemsine-contractconstrainthedevelopmentandtheprocessofe-transition.So，itisnecessaryforourcountrytoacceleratethestepoflawmakingone-commerce，makeupthemechanisticofe-contractsupervision，andcompletethelegalsystemofe-contracttransition.Inthearticle，theauthorhasmaderesearchingandstatementonthelegalandtechnologicalproblemsofthee-contract，andalsohasmadeaproposalonthelawmakingandsupervisionofe-contract.

Keywords：electroniccontract；electronicsignature；electronicattesting；electroniccontractsupervision

注釋：

1、齊愛民、萬暄、張素華著：《電子合同的民法原理》，武漢大學出版社2002年版，第9頁。

2、齊愛民、萬暄、張素華著：《電子合同的民法原理》，武漢大學出版社2002年版，第17頁。

3、吳漢東：《論信用權》，《法學》2001年第1期。

4、王利明、崔建遠著：《合同法新論。總則》，中國政法大學出版社2000年版，第123頁。

5、王利明、崔建遠著：《合同法新論。總則》，中國政法大學出版社2000年版，第130—135頁

6、張楚著：《電子商務法初論》，中國政法大學出版社2000年版，第273頁。

7、蔣坡：《論我國電子商務法律體系和基本架構》，《科技與法律》2002年第2期。

8、于靜：《電子合同若干法律問題初探》，《政法論壇》1999年第6期。

9、鄭成思、薛虹：《我國電子商務立法的核心法律問題》，《知識產權》2000年第5期。

10、邱永紅、魏麗：《國際貿易中應用EDI的法律問題新探》，《國際經濟貿易研究》1998年第2期

11、蔣坡：《論我國電子商務法律體系和基本架構》，《科技與法律》2002年第2期。

12、唐春林、王穎、郭敏之著：《電子商務基礎》，科學出版社2000年版，第37頁。

13、劉滿達：《數字簽名的法律思考》，《法學》2000年第12期。

14、王利明、崔建遠著：《合同法新論。總則》，中國政法大學出版社2000年版，第240頁。

15、蔣坡：《論我國電子商務法律體系和基本架構》，《科技與法律》2002年第2期。

16、吳懷福、張士茂：《電子商務中電子合同監管問題初探》，《中國工商管理研究》2003年第2期。

篇5

一、電子商務的安全需求

由于電子商務是一種利用互聯網資源進行的商業交易活動,因此在交易安全方面與互聯網的安全性密切相關。在交易過程中，主要涉及信息的安全傳輸、在線支付的安全認證等問題。

1.數據保密性需求。在電子商務中，無論是企業自己的數據,如計劃書、圖紙、生產銷售數據等，還是企業間交換的契約、合同或者用戶的訂單、支付等都是十分重要和敏感的數據，這些數據都要使用良好的加密措施，保證其在存儲和傳輸中的安全性。

2.數據完整性需求。由于在交易過程中必須保證信息的完整性和有效性,即要保證信息從交易一方送達另一方時,數據是準確的、有效的,且發送方不可否認此次交易的存在性和真實性，這需要對傳送的數據進行簽名和驗證。

3.身份確認需求。由于交易是在網上進行的，所以在進行交易前，必須確認對方的身份，防止交易雙方的身份被假冒，因此需為參與交易的各方提供可靠的標識，通過驗證被認證對象標識的有效性，來證實被認證對象身份是否有效。

4.商務活動的不可抵賴性。為了保證商務活動的各參與方對自己的行動負責，一方面，電子商務系統會讓參與者留下參與活動的證據；另一方面，政府通過相應的法律條文保障參與方履行其申明的責任。為滿足電子商務的安全需要，實現安全的、有效的在線交易，需要在Internet上建立可信的安全的通信基礎設施，通過強認證機制和加密機制來保證安全性。

二、PKI技術

1.PKI的組成。PKI技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。一個完整的PKI系統由策略管理、軟硬件系統、認證機構(CA)、注冊機構(RA)、證書管理系統和PKI應用接口等部分組成。

(1)策略管理：它建立和定義了一個組織信息安全方面的指導方針，同時也定義了密碼系統使用的處理方法和原則。(2)CA 是可信的第三方機構，負責頒發證書、驗證用戶身份的真實性。(3)RA 提供用戶和CA 之間的一個接口,它收集和確認用戶身份,接受用戶的注冊申請,向CA 提出證書請求。（4)證書管理系統用來管理數字證書庫，包括證書、實時查詢證書和證書撤銷信息等。

2.PKI技術實現的主要功能

(1)用戶注冊:收集用戶信息,該功能在CA完成或由獨立的RA完成。(2)發行證書:響應用戶的請求創建證書，由CA完成。(3)廢止證書:創建和廢止證書列表(CRI，Certificate Revocation List)，由與CA相關的管理軟件完成。(4)存儲和檢索證書和CRI:使具有授權的用戶可以方便地使用證書和CRI，證書及CRI通常存儲在一個可通過LDAP協議訪問的安全的、備份的目錄。(5)證書路徑確認:在證書確認鏈中加入一個基于規則的約束，只有在約束全部滿足時證書才被確認，由CA完成。(6)時間戳:為每個證書打上時間標記，規定證書的有效時限，由CA或者是專用的時間服務器(TimeServer)完成。(7)密鑰生命期管理：進行密鑰的更新、存檔、恢復等工作，由軟件自動完成或手工完成。

3.PKI安全性分析

PKI是以公鑰加密為基礎的，為網絡安全提供安全保障的基礎設施。從理論上來講，是目前比較完善和有效的實現身份認證和保證數據完整性、有效性的手段，但在實際的實施中，仍有一些需要注意的問題。與PKI安全相關的最主要的問題是私有密鑰的存儲安全性。由于私有密鑰保存的責任是由持有者承擔的,而非PKI系統的責任。私鑰保存丟失,會導致PKI的整個驗證過程沒有意義。另一個問題是廢止證書時間與廢止證書的聲明出現在公共可訪問列表的時間之間會有一段延遲,這會使無效證書這一段時間內被使用。另外，Internet使得獲得個人身份信息很容易,如身份證號等,一個人可以利用別人的這些信息獲得數字證書,而使申請看起來像來自別人。同時,PKI系統的安全很大程度上依賴于運行CA 的服務器、軟件等,如果黑客非法侵入一個不安全的CA服務器,就可能危害整個PKI系統。因此,從私鑰的保存到PKI系統本身的安全方面還要加強防范。在這幾方面都有比較好的安全性的前提下,PKI不失為一個保證網絡安全的一個非常合理和有效的解決方案。

三、結論

由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸，因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術。它能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的、易用的、靈活的和經濟的。

參考文獻:

[1]Robert C Elsenpeter,Toby J Velte.電子商務技術指南[M].前導工作室譯.北京:機械工業出版社,2001

[2]李金庫張德運張勇:身份認證機制及其安全性分析.計算機應用研究.2007

[3]吳曉平:PKI／CA在專用信息系統中的建設及應用研究[D]．四川大學，2006

篇6

關鍵詞：電子簽章； PKI技術；數字簽名技術

1、系統概述

本電子簽章系統（以下簡稱本系統）基于B/S結構，應用自主創新的DBPacket通訊協議包技術，實現簽章服務器集中地對客戶端的簽章發放、吊銷、安全檢測、日志監控等綜合管理；并支持分布式部署和分級管理，滿足大規模客戶端管理需求。客戶端不僅支持插件技術，直接嵌入Word、Excel、HTML、PDF、WPS等系統應用；同時支持任意可輸出打印的文件轉化成自主開發的GDF版式文件，經簽名和蓋章后，將簽章信息與文件綁定，通過簽章驗證、數字證書、二維條碼、數字水印、打印控制等技術確保文檔防偽造、防篡改、防抵賴，安全可靠。其在技術實現途徑和安全應用上具有創新性，在國內同類產品處于領先水平。

數字簽名過程

2、系統技術簡析

2.1體系結構

本系統由硬件和軟件兩部分構成。

1）硬件部分

硬件部分是自帶存儲器和加密處理機制的智能密碼設備。用于存放用戶數字證書、用戶所屬標識、單位印章或個人簽名信息；設備體積小、重量輕、安全性高、使用方便。

2）軟件部分

軟件部分由簽章客戶端軟件和簽章服務器軟件構成。

2.1.1簽章客戶端軟件

實現在文檔上進行簽章，檢測文檔的真實性、有效性、鑒別簽章人的身份；

簽章客戶端軟件作為嵌入到Office中運行的軟件，必須符合Office軟件對第三方軟件的支持標準，否則無法在Office中正常運行，成熟的方式是采用ActiveX/COM技術，該技術為互連互通提供了標準軟件接口。簽章客戶端結合DBPacket?安全通訊協議包技術，實現和服務器端數據的安全、快速交換，確保簽章過程中及時檢測客戶端密鑰盤的合法性、有效性，并形成完整的電子簽章日志，以便日后查詢、統計。

簽章客戶端軟件實現在Office（WORD/EXCEL）文檔等文件上進行手寫簽名和加蓋印章；并可將簽章和文件信息綁定在一起，通過簽名驗證確保文檔防偽造、防篡改、防抵賴，安全可靠。

2.1.2簽章服務器軟件

實現對簽章鑰匙盤的啟用、吊銷、掛失等管理功能；同時實現對簽章的日志管理，包括查詢、統計等。

在實際使用過程中，可能會出現密鑰盤遺失的情況，這就要求系統具備掛失、吊銷等功能，否則，丟失的密鑰盤可能被他人非法使用。因此，鑰匙盤的有效性必須集中管理，必須由服務器軟件提供鑰匙盤的管理功能，僅由客戶端單方面軟件是無法實現的，缺乏服務器對鑰匙盤的管理功能，將給系統帶來嚴重的安全隱患。

2.2功能結構

1）簽章服務器功能：密鑰盤管理、制章管理、日志審記、系統管理。

2）簽章軟件功能：文件簽章功能、簽章會簽功能、簽章驗證功能、身份認證功能、證書查看功能、撤消簽章功能、文件鎖定功能、文件解鎖功能、撤消原則定義、移動簽章功能、禁止移動簽章、讀取服務器時間。

2.3技術路線

2.3.1建立電子簽章信息的鑒別與管理系統

電子簽章信息是本系統的核心內容，本系統通過嚴格的加密和簽名等措施，確保電子簽章信息的真實有效性，確保來源可靠，內容不可篡改，使用必須授權，提供使用日志等方法進行管理，采取了如下技術方法：

(1)接受電子簽章圖片格式文件，根據特定算法，形成印章標記，并生成全球唯一序列編碼。

(2)使用高強度加密算法或國密算法，對印章進行加密；對印章標記本身進行密碼保護。

(3)為印章標記產生公私鑰對，可對印章標記和印章文件進行簽名驗證。

(4)印章標記制作完成后，保存在電子智能密碼鑰匙盤上，確保印章信息的唯一性，不可復制性，僅供授權人使用。

(5)對印章進行嚴格管理，包括印章制作、印章發放、印章掛失、印章吊銷，印章備份等。

2.3.2采用PKI身份認證體系，實現簽章文件的有效性及簽章人身份的認證

PKI身份認證體系是通過使用公開密鑰技術和數字證書來確保系統信息安全并負責驗證數字證書持有者身份的一種體系。PKI體系結構采用證書管理公鑰，通過第三方的可信機構CA ，把用戶的公鑰和用戶的其他標識信息（如名稱、單位、身份證號等）捆綁在一起，可以進行遠程用戶身份驗證，PKI 體系結構把公鑰密碼和對稱密碼結合起來，實現密鑰的自動管理，保證數據的機密性、完整性。

本系統采用PKI體系的主要目的是通過自動管理密鑰和證書，為用戶建立起一個安全可信的運行環境，使用戶在進行手寫簽名或加蓋印章時自動的使用數字簽名技術，對簽章文件進行電子簽名，從而保證數據的機密性、完整性、有效性，保證數據在傳輸過程中，不能被非授權者偷看，保證數據在傳輸過程中不能被非法篡改，保證數據不能被否認、抗抵賴，實現簽章文件的有效性及簽章人身份的認證。

2.3.3采用電子智能密碼鑰匙盤為印章和證書信息存儲載體

電子簽章系統涉及到兩個重要的數據信息，一是數字證書，二是印章信息；

在電子簽名法中對可靠的電子簽名提出了四點要求如下：

    (1)電子簽名制作數據用于電子簽名時，屬于電子簽名人專有；

(2)簽署時電子簽名制作數據僅由電子簽名人控制；

(3)簽署后對電子簽名的任何改動能夠被發現；

(4)簽署后對數據電文內容和形式的任何改動能夠被發現其中第一條和第二條，涉及到數字證書和印章信息僅由電子簽名人控制，不能夠被復制，否則，將帶來嚴重的安全隱患。

本系統嚴格遵循電子簽名法要求，采用eKey電子智能密碼鑰匙盤作為印章和證書信息存儲載體；eKey是通過了國家商業密碼管理委員會的商用密碼產品技術鑒定的硬件設備，自帶快速存儲器和加密處理機制，用于存放數字證書、印章或簽名信息。該設備通過USB接口和計算機連接，具有高安全性、通用性和易用性。可以為本系統提供強身份認證和數據存儲的多重功能，是高端應 用領域的安全終端設備。

2.3.4針對不同應用軟件需求，提供二次開發接口

電子簽章系統作為一種紙質文件數字化產品，所提供的文件安全性，防抵賴性及身份可認證性，必將應用到各種領域，為各種形式的軟件提供服務，因此，從系統的靈活性和應用的廣泛性要求出發，必須提供豐富的二次開發接口，才能被其他應用系統所支持。本系統采用COM接口技術，提供豐富的以XML為數據參數標準的接口功能。

3、系統關鍵技術

本系統主要是通過ActiveX技術，將軟件插入到文檔如Word、Excel、WPS、等各種數據中，結合PKI信息安全認證體系，應用電子簽名技術和電子簽章技術，解決電子政務中電子公文和電子商務中電子合同的真實性，有效性，完整性，合法性，解決簽章人的身份可追溯性及防篡改，防偽造，防抵賴等問題，真正達到實現“無紙化”的目標。

3.1關鍵技術

1）解決版式文件上的簽名蓋章問題；即電子簽章技術。

2）解決簽章文件防篡改，防偽造，防抵賴等問題；即電子簽名技術。

3）解決簽章文檔管理問題；即權限分配，打印控制等技術。

4）解決簽章文檔傳輸問題；即網絡傳輸安全，加密解密及壓縮等技術。

5）解決電子簽章系統與其他軟件接口問題；即提供二開發接口技術。

6）解決電子簽章系統在電子政務和電子商務領域的應用集成問題。

3.2實現的依據

通過對文件進行簽章操作，配合硬件設備提供的數字證書和印章信息，結合電子簽名技術，實現對文件的簽章。被簽章文件通過安全傳輸系統和管理控制系統實現遠程訪問和打印等操作。

硬件采用通過USB接口和計算機相連的智能密碼鑰匙盤，用于存放數字證書、印章簽名信息。   

4、系統創新

本系統的創新性主要表現在實現了電子簽章技術、電子簽名技術、打印控制技術、網絡傳輸安全，加密解密及壓縮技術、提供二開發接口以及解決電子簽章系統在電子政務和電子商務領域的應用集成問題。

4.1應用創新

1）軟件與硬件相結合

系統采用軟件與硬件相結合的方式，實現電子簽章應用，軟件部分實現電子簽章的功能，硬件部分保存數字證書和簽章信息，從而實現關鍵數據不可復制，只屬于簽名人所擁有的規定。（該規定屬于電子簽名法要求的內容）

2）PKI應用創新

本系統完美的將PKI（Public?Key?Infrastructure 即“公開密鑰體系”）體系應用到電子簽章領域，很好的解決了電子政務和電子商務中的簽字蓋章問題，確保文檔來源真實、可信，達到了文檔防偽造、防篡改、防抵賴，文檔安全可靠。項目支持所有CA認證中心提供的符合X.509 V3國際標準的證書，符合國家公安部GA216.1-1999 完整性驗證標準。

4.2技術創新

1）防篡改技術

    經過本系統蓋章后的文件，在文檔偽造、篡改、抵賴時，簽章系統通過智能識別技術，在簽章上自動顯示兩條橫線，表示無效的簽章，同時HTML格式提供可強制痕跡保留功能，查看被修改的內容項。

2）手寫批注技術

在簽章同時，也能對文檔內容進行手寫批注或文字批注，通過批注表現自己的想法，文字批注提供自定義常用詞功能。

3）脫密簽章技術

提供WORD/EXCEL/GDF文檔簽章脫密保護功能，允許用戶將文檔中簽章脫密保存，脫密成功后簽章生成為黑色，而非正式紅色簽章，該操作為不可逆，簽章將不具備有合法保護。方便用戶分發已經簽章的文檔給第三方，保護簽章安全可靠。?

篇7

[關鍵詞]數字簽名PKI公鑰私鑰數字摘要Hash函數

一、引言

電子商務是伴隨著網絡信息技術的發展和計算機應用的普及而產生的一種新型的商務交易形式。這種新型的國際貿易方式以其特有的優勢（成本低、易于參與、對需求反映迅速等），已被愈來愈多的國家及不同行業所接受和使用。然而，在電子商務中一個最重要問題就是確保交易安全，為了確保數據傳輸安全及交易安全，不得不采取一系列的的安全技術，如加密技術、數字簽名、身份認證、密鑰管理、防火墻、安全協議等。本文就數字簽名技術作了較深刻探討，并給出了該技術的實現方法。

數字簽名是電子商務安全系統的核心技術，在信息安全，包括身份認證、數據完整性、不可否認性以及匿名性等方面有重要應用，特別是在大型網絡安全通信中的密鑰分配、認證以及電子商務系統中具有重要作用。

二、數字簽名的概念

所謂數字簽名就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進行技術驗證，其驗證的準確度是一般手工簽名和圖章驗證無法比擬的。數字簽名是目前電子商務、電子政務中應用最普遍、技術最成熟的、可操作性最強的一種電子簽名方法。它采用了規范化的程序和科學化的方法，用于鑒定簽名人身份以及對一項電子數據內容的認可。它還能驗證出文件的原文在傳輸過程中有無變動，確保傳輸電子文件的完整性、真實性、和不可抵賴性。

數字簽名在ISO7498-2標準中定義為“附加在數據單元上的一些數據，或是對數據單元所作的密碼變換，這種數據和變換允許數據單元的接收者用以確認數據單元來源和數據單元的完整性，并保護數據，防止被進行偽造。美國電子簽名標準對數字簽名作了如下解釋：利用一套規則和一個參數對數據進行計算得到結果，用此結果能夠確認簽名者的身份和數據的完整性。按上述定義PKI（PublicKeyInfrastruction公鑰基礎設施）可以提供數據單元的密碼變換，并能使接收者判斷數據來源及對數據進行驗證。

三、數字簽名的原理

該技術在具體工作時，首先發送方對信息施以數學變換，所得的信息與原信息唯一對應；在接收方進行逆變換，得到原始信息。只要數學變換方法優良，變換后的信息在傳輸中就具有很強的安全性，很難被破譯、篡改。這一過程稱為加密，對應的反變換過程稱為解密。

現在有兩類不同的加密技術，一類是對稱加密，雙方具有共享的密鑰，只有在雙方都知道密鑰的情況下才能使用，通常應用于孤立的環境之中，比如在使用自動取款機（ATM）時，用戶需要輸入用戶識別碼（PIN），銀行確認這個號碼后，雙方在獲得密碼的基礎上進行交易，如果用戶數目過多，超過了可以管理的范圍時，這種機制并不可靠。

另一類是非對稱加密，也稱為公開密鑰加密，密鑰是由公開密鑰和私有密鑰組成的密鑰對，用私有密鑰進行加密，利用公開密鑰可以進行解密，但是由于公開密鑰無法推算出私有密鑰，所以公開的密鑰并不會損害私有密鑰的安全，公開密鑰無需保密，可以公開傳播，而私有密鑰必須保密，丟失時需要報告鑒定中心。

四、公鑰密碼技術原理

目前的數字簽名技術采用的就是這種公鑰密碼技術。即利用兩個足夠大的質數與被加密原文相乘產生的積來加/解密。這兩個質數無論是用哪一個與被加密的原文相乘（模乘），即對原文件加密，均可由另一個質數再相乘來進行解密。但是，若想用這個乘積來求出另一個質數，就要對大數進行質因子分解，分解一個大數的質因子是十分困難的，若選用的質數足夠大，這種求解幾乎是不可能的。因此，將這兩個質數稱為密鑰對，其中一個采用私密的安全介質保密存儲起來，應不對任何外人泄露，簡稱為“私鑰”；另一個密鑰可以公開發表，用數字證書的方式在稱之為“網上黃頁”的目錄服務器上，用LDAP協議進行查詢，也可在網上請對方發送信息時主動將該公鑰證書傳送給對方，這個密鑰稱之為“公鑰”。

公鑰密碼體制下的數字簽名技術實際上是通過一個單向Hash函數來實現的。信息的發送方從信息文本中生成一個128位的散列值（或消息摘要）。發送方用自己的私人密鑰對這個散列值進行加密形成發送方的數字簽名。然后，這個數字簽名將作為信息的附件和信息一起發送給信息的接收方。信息的接收方首先從接收到的原始信息中計算出128位的散列值（消息摘要），接著再用發送方的公用密鑰來對信息附加的數字簽名進行解密。如果兩個散列值相同，那么接收方就能確認該數字簽名是發送方的。

五、數字簽名技術的實現方法

建立在公鑰密碼基礎上的數字簽名方法有很多，RSA簽名、DSS簽名及Hash簽名等。其中Hash簽名是目前電子商務安全中最主要的數字簽名方法。下面我們就Hash簽名的詳細過程進行分析。

Hash簽名也稱之為數字摘要法（DigitalDigest）或數字指紋法（DigitalFingerPrint）。該數字簽名方法是將數字簽名與要發送的信息緊密聯系在一起，它更適合于電子商務活動。將一個商務合同的個體內容與簽名結合在一起，比合同和簽名分開傳遞，更增加了可信度和安全性。數字摘要加密方法亦稱安全Hash編碼法（SHA：SecureHashAlgorithm）或MD5（MDStandardForMessageDigest），由RonRivest所設計。該編碼法采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數字指紋（FingerPrint），它有固定的長度，且不同的明文摘要必定一致。這樣這串摘要使可成為驗證明文是否是“真身”的“指紋”了。

只有加入數字簽名及驗證才能真正實現在公開網絡上的安全傳輸。加入數字簽名和驗證的文件傳輸過程如下：

1.方首先用哈希函數從原文得到數字簽名，然后采用公開密鑰體系用發達方的私有密鑰對數字簽名進行加密，并把加密后的數字簽名附加在要發送的原文后面。

2.發送方選擇一個密鑰對文件進行加密,并把加密后的文件通過網絡傳輸到接收方。

3.發送方用接收方的公開密鑰對密秘密鑰進行加密,并通過網絡把加密后的秘密密鑰傳輸到接收方。

4.接受方使用自己的私有密鑰對密鑰信息進行解密，得到秘密密鑰的明文。

5.接收方用秘密密鑰對文件進行解密，得到經過加密的數字簽名。

6.接收方用發送方的公開密鑰對數字簽名進行解密，得到數字簽名的明文。

7.接收方用得到的明文和哈希函數重新計算數字簽名，并與解密后的數字簽名進行對比。如果兩個數字簽名是相同的，說明文件在傳輸過程中沒有被破壞。

數字簽名的實現過程如下：

如果第三方冒充發送方發出了一個文件，因為接收方在對數字簽名進行解密時使用的是發送方的公開密鑰，只要第三方不知道發送方的私有密鑰，解密出來的數字簽名和經過計算的數字簽名必然是不相同的。這就提供了一個安全的確認發送方身份的方法。

安全的數字簽名使接收方可以得到保證：文件確實來自聲稱的發送方。鑒于簽名私鑰只有發送方自己保存，他人無法做一樣的數字簽名，因此他不能否認他參與了交易。

數字簽名的加密解密過程和私有密鑰的加密解密過程雖然都使用公開密鑰體系，但實現的過程正好相反，使用的密鑰對也不同。數字簽名使用的是發送方的密鑰對，發送方用自己的私有密鑰進行加密，接收方用發送方的公開密鑰進行解密。這是一個一對多的關系：任何擁有發送方公開密鑰的人都可以驗證數字簽名的正確性，而私有密鑰的加密解密則使用的是接收方的密鑰對，這是多對一的關系：任何知道接收方公開密鑰的人都可以向接收方發送加密信息，只有唯一擁有接收方私有密鑰的人才能對信息解密。在實用過程中，通常一個用戶擁有兩個密鑰對，一個密鑰對用來對數字簽名進行加密解密，一個密鑰對用來對私有密鑰進行加密解密。這種方式提供了更高的安全性。

六、結束語

數字簽名在電子商務活動中有效解決否認、偽造、篡改及冒充等問題。然而，我國數字簽名技術的研究和應用剛剛起步，與國際先進水平有一定差距。在數字簽名的引入過程中不可避免地會帶來一些問題，需要進一步加以解決，數字簽名需要相關法律條文的支持。如需要立法機構對數字簽名技術有足夠的重視，并且在立法上加快腳步，制定有關法律，以充分實現數字簽名具有的特殊鑒別作用，有力推動電子商務以及其他網上事務的發展。

隨著電子商務的蓬勃發展，數字簽名技術也將不斷成熟，為商務活動和人們的生活提供可靠、便利的服務。

參考文獻：

[1]劉亞松:電子商務概論.機械工業出版社,2005.9

篇8

一、電子認證及其含義

在了解電子認證之前，必須先了解什么是“公共密鑰”及“數字簽名”。

當你在公共網絡如Internet上進行信息傳送時，別人很有可能把你的信息竊取。為了保證信息的安全，你就必須進行加密傳輸。公共密鑰加密是一種利用成對密鑰加解密的方法：一個公共密鑰（任何人都可以知道的）和一個私有密鑰（只限擁有者知道）。用公共密鑰加密的數據只能由相應的私有密鑰進行解密。例如，如果你要給某人發送一則加密的信息，你就可以先用那個人的公共密鑰對這則信息進行加密，然后再送出去。這樣，這則信息就只有掌握著相對應的私有密鑰的接受人才能讀取。為了證明你的確是某則信息的發送人，而非他人冒名頂替，那么你可以用你的私有密鑰先對這則信息加密再發送。別人就可以用你的公共密鑰解密以證明這則信息的確是你發出來的。

數字簽名可以證明某則信息的確是由某個人發出來的，并且可以保證該信息在傳送過程中沒有受到修改。在進行數字簽名時，先由一個hash算法從要發送的信息中得到一個定長的字符串，稱為“信息摘要”（Message Digest），然后對這個“摘要”用私有密鑰進行加密以作為數字簽名同時發送，從而保證信息是來自該發送者的。

什么是電子認證？由于在數字簽名的過程中，我們是用公共密鑰來驗證的，這樣公共密鑰屬主的認定工作就顯得非常重要。你必須能判斷出某個公共密鑰的確來自于他所聲稱的擁有者，而不是由其他冒名頂替者提供的。電子認證就是一個隨公共密鑰附帶的，用于表明該公共密鑰對應的私有密鑰的確屬于某個組織或個人的證明文件。電子認證是由能夠保證這種擁有性的權威機構提供的，這種權威機構就稱為“認證機構”，而電子認證一般又稱之為CA認證（Certificate Authority），認證的標準在ITU-T Recommendation X.509中有定義。

在傳統的書面合同或者其他法律行為中，我們可以通過當事人各方在書面文件上簽字(蓋章)以證明其真實性，防止當事人事后否認。在電子交易過程中，同樣需要一個具有權威公信力的第三者作為安全認證機構(CA)對公開密鑰行使辨別及認證等管理職能，以防止發件人抵賴以及減少因密鑰丟失、被偷竊或被解密等風險。有了此種第三方認證機構的認證，將數字簽名與電子認證機構的認證相互結合，就能夠解決前述數字簽名技術自身無法解決的行為主體違反信用、導致行為主體無法確認的問題。

二、電子認證需解決的法律問題

電子認證需解決電子商務的信任與安全問題，如果從交易流程的三個環節來分析，主要表現在以下幾個方面：

（一）主體身份的問題

網絡是一個虛擬的世界，基于開放的網絡交易環境，傳統交易通常所要求的驗證營業執照、法人資格等都已無法做到，網上身份與現實身份二者的聯系有了間隙和分離。如何確認網絡環境中電子商務一方當事人的真實身份成為電子商務開展的前提，如果交易對象的真實身份尚且都不敢確定，又怎能奢談合約內容及判斷履約能力呢？

（二）交易內容的證據

基于網絡中信息傳遞與記載數據電文的虛擬性，電子商務交易雙方經邀約、承諾達成的電子合同這一系列的過程都在網絡中實現，傳統交易要求的“書面”及“簽名”都已無法做到。一旦產生糾紛，各方據理力爭明斷是非所依賴的就是這樣的“電子證據”。眾所周知，電子信息非常脆弱，在傳輸保存的過程中也極易被截獲竊取，更為重要的是究竟按照誰的電腦里記載的信息作為證據呢？

（三）電子合同的支付

傳統交易中的信用環境下，支付雙方尚且憂心忡忡，往往還會借助公證制度中的提存服務，何況是信用更為惡劣的網絡環境呢。

三、電子認證制度的目的

電子認證制度應當達到三個目的：一是確認信息發送人的身份，即防止有其他人盜用或者冒用身份。二是保證信息發送人的意思表示真實，即該信息發出后不能被自己和他人非法否認、修改或替換。三是信用公示，表明信息發送人的交易水平和信用水平。

（一）身份確認，即在交易前，對交易者身份真實性、合法性予以確認。在開放型電子商務環境下，每個企業、個人都可以自由地信息，使參加交易各方對相對方的資金實力、生產能力、履約能力和誠信水平都難以了解，如何識別、判斷參與交易各方的主體資格，確認商務交易者身份的真實性，防止欺詐，是開展電子商務活動的前提。對于參加交易的各方來說，保證交易成功比損失以后獲得賠償更為重要。如果交易各方的真實身份和信譽度沒有權威機構進行認證，商務安全就無從談起。

（二）確認交易者的意思表示真實無誤。在傳統法律規定下的商務活動，合同的形式、成立、生效條件等問題均有明確的法律規定，但在網絡環境下，因技術或者環境的改變，會產生信息被誤傳、篡改或信息發送人否認意思表示的情況。經驗交易者意思表示的真實性會受到這樣一些風險的干擾：（1）否認風險。是指數據電文發送人否認已發送電文，或接收人否認已接收電文的行為。（2）內容異議風險。是指數據電文發送人或接收人對相對人發送或收到電文的內容提出異議，認為其內容與自己所發、所收到的原件內容不符。（3）舉證風險。這是由于電文只能以數據形式儲存于計算機內，很難確定其通過輸出設備打印出來的哪一份是“原件”，也很難證明其打印件與原始數據相符而未經改動，也就是說打印件無法作為證明其內容的直接證據。一方面，網絡故障和各種交易風險等常會造成用戶郵件丟失，一旦在訴訟之前發生郵件丟失或毀損，當事人如何證明其郵件內容就成為一個難題；另一方面，即使郵件仍儲存于計算機中，由于相對人可以隨時刪除郵件或篡改郵件內容，舉證人提供給法庭的郵件打印件從證據角度來說很難被法官采信，顯然這種打印件需要權威機構認證真偽后方能作為證據使用。

（三）信用公示，即交易方的能力與交易相匹配的資金實力、生產能力、合同履行能力和信用水平等。與一般的認證不同，電子商務中的認證，特別是身份認證和與之相關的延伸認證，還應當公示參與交易各方的信用水平。如果說電子認證要滿足的否認風險、內容異議風險功能主要依靠技術手段的話，那么信用公示則必須依靠法律或制度手段，靠合理確定認證機構，依法規范認證機構的權利和義務來保證。

因此，設立電子認證機構，除了要考慮其是否具備必要的技術水平，是否具備隨電子交易發展不斷更新認證技術的能力之外，更要進一步考慮其是否具備如下幾個方面的能力：第一，確認交易主體身份真實性的能力；第二，認證證書能否作為直接證據被普遍采用的能力；第三，認證機構的中立性、公正性和權威性。

四、電子認證中公證的應用價值

網絡公證則是迎合網絡時代和電子商務發展的迫切需要，是網絡公證機構利用電子技術在網絡中對具有法律意義的事件、法律行為、文書進行證明并賦予其法定效力的活動，是傳統的公證職能和國家司法證明權在網絡上的延伸和發展，是傳統公證與現代網絡的契合。例如對網絡中的當事人身份及行為的確認、侵權事實、內容及取證、電子合同的成立、變更與解除、電子合同條款、網上招標投標及數據信息的保密、完整等進行公證并加以固定和控制。在當前的網絡技術條件下，網絡公證能夠控制電子商務所帶來的特殊風險，促使當事人更廣泛地訂立電子合同，證明侵權事實和程度，成為維護網絡中當事人合法權益的守護神。

其一，從我國企業的信用來看，網絡公證將對電子商務的全面發展具有不可替代的推動作用。電子商務認證解決的是交易當事人之間的信用問題。有哪些實體來擔任認證機構，則是每個國家和地區在發展電子商務時所必須做出選擇的問題。多年來，我國企業（主要指國營企業）的信用，往往需要政府予以補充，實際上就是以國庫的財產來擔保。盡管經濟體制改革之后，上述情況有所改觀，但是要讓企業在無形的電子商務市場上充當交易信用的中介人，確實還要有一個市場接受的過程。而公證機構憑借其專職進行法律事實證明的位置和經驗，以及為大眾所接受的優勢，開展網絡公證業務，對我國電子商務的普遍推廣而言，具有一般企業提供的認證服務所不可替代的積極作用。

其二，從利益關系上看，公證機構作為中立第三方，有明顯的優越性。銀行、電信系統或網絡公司，本身是服務性盈利企業，并且自身在電子商務交易中是服務提供者，是廣義的電子商務交易人，具有與其他電子商務交易人相沖突的利益。由他們擔任電子商務認證機構，很難處于中立地位。加之多年來我國銀行、電信處于壟斷經營的地位，其服務經常是價高而質次，消費者對之早已是意見紛紛，雖說這些機構近年來轉變機制，面向市場經營，但它們在社會大眾中的印象尚未徹底改變。公證機構專門以法律事實的證明為己任，并不向電子商務交易人提供其他的商業，不僅處于無直接利害關系的第三方，而且從情感上也容易被網絡交易當事人所接受。公證機構是自主開展業務、獨立承擔責任、按市場規律和自律機制運行的公益性、非營利性的中介組織，符合聯合國《電子商務示范法》規定的認證機構必須具備的條件。中立，才能有效地為客戶提供服務而不失信譽；獨立和非贏利，沒有利害關系，才能真正獲得交易雙方的信任。

其三，從職能上看，公證機構介入電子商務認證機構，有利于緩解我國現行法規與電子商務發展相沖突的狀況。目前，我國的電子商務的立法較為滯后，調整電子商務合同的專項法律法規尚未出臺，因而對于電子商務的推廣，仍有許多的法律障礙，如果公證機構開展網絡公證業務，則可能在一定程度上克服這些困難。我國的公證業務與美英國家的不同，即我國實行的是實質性公證審查，不但要對事實的真實性做出證明，還負有對行為合法性的審查，要求比較高，這表現在公證程序的完備和對從業人員的素質要求等方面。通常由我國國家公證機構做出的證明，法院都直接作為有效證據采用，除非有相反的證據予以。公證有著其自身的嚴謹程序，依法進行相關證明活動。公證作為一項法律制度延伸到網絡之中解決電子商務的安全信用問題，構建電子商務的信用平臺，從制度層面解決電子商務的發展“瓶頸”。

其四，從證明手段上看，公證優于其他證明手段。 公證是一種預防性的法律證明制度，依法對法律行為、有法律意義的事實和文書的真實性、合法性予以證明。其證明內容的廣泛性，證明形式的多樣性，能夠滿足電子商務所需的認證多種多樣的要求。公證文書不受人員、語言、地域、行政隸屬關系的左右，是經濟交往和國際交往的重要媒介，是國際通行的法律文書。在現有網絡技術條件下，建立以公證為主體的電子商務認證機構，無疑是控制電子商務特殊風險，促使電子商務發展的有效法律手段。

五、公證系統的網絡構筑

公證系統計算機網絡化智能公證辦證系統可采用公證處內部以以太網建設，而公證處與公證管理部門之間以ATM網建設。公證辦證系統是計算機網絡化智能辦證系統的重要組成部分。實現智能辦證就是利用先進的技術和設備來提高辦公室效率和辦公質量，改善辦公條件，減輕勞動強度，實現管理和決策的科學化，防止和減少人為的差錯和失誤，它是多層次的技術、設備和系統的綜合。一個完整的智能化辦證系統應該包括信息的生成與輸入、信息的加工與處理、信息的存儲與檢索、信息的復制、信息的傳輸與交流以及信息的安全管理等功能。

網絡公證從技術運作上講，在網上操作非常快捷。當事人雙方確定對數據電文內容予以公證，只需在自己的電腦中下達一些指令，該數據電文內容就會被加密傳送到網絡公證中心。網絡公證員對雙方的數據核實無誤后，加入自己的數字公證，并留存一份，對一份數據電文的公證也就完成了，省時、省力且準確性也高。當然，網絡公證要真正投入實踐仍需要規則和技術兩個方面的完善，比如，CA認證中公證離線審查業務、審查環節、審查細則；電子商務合同中數據證明的具體實現方式；相關網絡公證軟件的開發、技術標準、操作規則和流程等，都需要進一步從理論和實踐上進行探討。

篇9

一、手機銀行常見法律風險

（一）犯罪分子未經客戶授權手機銀行交易的法律風險

手機銀行交易流程如下：客戶輸入客戶號、登錄密碼及附加碼，銀行收到上述信息后按與客戶約定對上述電子簽名信息進行核實無誤，識別客戶身份后，按客戶指令進行交易。因此，手機銀行中的身份識別是首要的問題，如果不解決身份識別問題，手機銀行的安全和信用都無法建立。但在實務中，客戶的密碼或電子簽名經常被冒用，出現這一問題主要有以下三方面原因：一是客戶保管密碼和電子簽名不善，導致密碼和電子簽名丟失被他人冒用；二是犯罪分子通過黑客軟件盜取客戶密碼和電子簽名后冒用；三是客戶被犯罪分子欺騙，把密碼和電子簽名泄露給了犯罪分子而被冒用。客戶密碼和電子簽名被冒用后客戶資金損失，出現民事糾紛。對這一類型民事糾紛責任劃分，我國的法律、規章規定存在矛盾。《中華人民共和國電子簽名法》、人民銀行《電子支付指引》規定銀行只要按“發件人認可的方法對數據電文進行驗證后結果相符的”，視為發件人發送，銀行就沒有過錯，不承擔違約責任。而銀監會《電子銀行業務管理辦法》規定“：金融機構在提供電子銀行服務時，因電子銀行系統存在安全隱患、金融機構內部違規操作和其他非客戶原因等造成損失的，金融機構應當承擔相應責任。因客戶有意泄漏交易密碼，或者未按照服務協議盡到應盡的安全防范與保密義務造成損失的，金融機構可以根據服務協議的約定免于承擔相應責任，但法律法規另有規定的除外。”也就是說，只有銀行能證明客戶存在有意泄漏交易密碼，或者未按照服務協議盡到應盡的安全防范與保密義務時才推定銀行沒有過錯，不承擔責任，否則，推定銀行有過錯，應承擔責任。筆者認為，因法律的效力大于規章，應適用《中華人民共和國電子簽名法》的規定劃分客戶與銀行責任，即銀行有過錯才有承擔責任，銀行無過錯，不承擔責任。但實務中，法院常以客戶為弱者，應加強銀行責任為由，適用銀監會《電子銀行業務管理辦法》的規定劃分客戶與責任，加大了銀行的風險。

（二）不適當執行手機銀行指令的法律風險

不適當執行手機銀行指令，指客戶通過電子簽名驗證后發出了正確的交易指令，但銀行由于系統或通訊故障等原因，對指令給予了不適當的執行；或指令是客戶發出的，但其發出的指令是無權指令，銀行仍予以執行。實務中，不適當執行手機銀行指令主要包括以下四種情況：

1.未執行手機銀行指令

客戶發出手機銀行交易指令后，銀行因系統或通訊故障的原因未執行客戶指令，出現這種情況，銀行須根據《合同法》的規定承擔違約責任。銀行承擔的第一個責任是繼續履行，對此，人民銀行《電子支付指引》亦有明文規定“接收行由于自身系統或內控制度等原因對電子支付指令未執行、未適當執行或遲延執行致使客戶款項未準確入賬的，應及時糾正”；在繼續履行后，如果未執行客戶指令給客戶造成損失的，銀行應賠償客戶的損失，賠償損失的范圍包括直接損失和間接損失，但間接損失不超過銀行與客戶訂立合同時預見到或者應當預見到的因違反合同可能造成的損失。

2.執行指令不符合約定

客戶發出手機銀行交易指令后，銀行因系統或通訊故障的原因錯誤執行了客戶的指令。常見錯誤執行了客戶的指令情形如下：一是出現長款或短款，交易金額不符合客戶指令；二是轉賬對象不符合客戶指令，把錢轉給了客戶指定之外的第三人。出現錯誤執行客戶指令的情況，銀行應根據《合同法》的規定采取補救措施；采取補救措施后還應承擔繼續履行合同的義務，即按客戶正確的指令繼續履行合同；錯誤執行客戶指令給客戶造成損失的，應賠償客戶的損失。

3.遲延執行指令

客戶發出手機銀行交易指令后，銀行因系統或通訊故障的原因遲延執行了客戶的指令。遲延執行指令應根據《合同法》的規定繼續履行合同，如果遲延履行客戶指令給客戶造成損失的，銀行應賠償客戶的損失，賠償損失的范圍包括直接損失和間接損失，但間接損失不超過銀行與客戶訂立合同時預見到或者應當預見到的因違反合同可能造成的損失。

4.客戶無權撤銷指令，銀行越權回轉交易資金

因客戶的原因下達了錯誤的指令，通過電子簽名驗證后銀行據此予以執行，執行完畢后客戶以其指令錯誤，要求銀行撤銷，銀行越權給予撤銷。這種情形實務中常見有以下二種情形，一是下達了錯誤的轉賬金額指令，比如，客戶實際想轉1000元，但通過手機銀行下達了轉賬10000元的指令；二是下達了錯誤的轉賬對象指令，例如，客戶想轉賬給張三，但通過手機銀行下達了轉賬給李四的指令。出現上述情形，客戶的第一反應是要求銀行撤銷手機銀行交易。由于錢已轉到第三人賬戶，根據支付結算交易“誰的錢，進誰的賬，由誰支配”原則，此時錢已經由第三人支配，客戶發出的撤銷指令是無效的，如果銀行儲蓄網點據此執行，則侵犯了第三人的所有權，應對第三人承擔賠償責任。

(三)風險提示不充分的法律風險

手機銀行常見的一個詐騙手法是：犯罪分子采取承諾貸款、合伙做生意等誘惑，利用客戶對手機銀行業務不熟悉的情況，欺騙客戶在開立銀行卡的同時開立使用犯罪分子手機號的手機銀行，在客戶銀行卡存入資金后，即時通過手機銀行轉走銀行卡資金，形成客戶和銀行民事糾紛。出現糾紛，客戶常以銀行沒有充分向其介紹手機銀行業務，特別是揭示手機銀行的風險，要求銀行承擔其資金損失的賠償責任。銀行則以手機銀行是客戶自己開的，密碼也是其自愿給犯罪分子的為由，主張資金損失應由客戶自行承擔。對此爭議，一種觀點認為：客戶應對其自行開通的手機銀行及密碼保管不善自行承擔責任；另一種觀點認為：對于資金的損失，客戶存在重大過錯，但銀行作為手機銀行的服務提供者，應該讓客戶充分了解手機銀行服務的內容及其特點，特別是其風險，銀行在客戶沒充分了解手機銀行功能特點情況下，給客戶開通手機銀行，因此應對資金損失承擔一定比例的責任。

二、防范手機銀行法律風險的意見建議

基于當前手機銀行法律風險存在的現實情況，筆者建議從以下方面做好手機銀行法律風險的防范化解工作。

（一）建立統一的手機銀行風險控制平臺

銀行建立統一的手機銀行風險控制平臺，風險控制平臺收集客戶交易行為數據庫、客戶不良交易記錄等，對手機銀行交易進行實時監控，發現可疑交易及時阻斷，對可疑交易進行事中干預、事后核實、事后提醒，減少手機銀行交易的法律風險。

（二）進一步完善手機銀行合同文本，防范法律風險

完善手機銀行合同文本，明確出現手機銀行法律風險時區分銀行與客戶責任的原則。在合同中約定出現手機銀行法律風險時，銀行承擔責任的原則是過錯責任原則而不是過錯推定責任原則，即銀行存在過錯才承擔責任，不存在過錯出現法律風險的由客戶自行承擔。除此之外，要特別強調客戶妥善保管密碼責任及違反上述義務時的責任，通過明確客戶責任提高客戶防范手機銀行法律風險的積極性。

（三）加強手機銀行業務全流程管理，真正做到“賣者有責”

銀行要改革激勵考核制度，加強全流程管理，切實改變手機銀行的發展模式。一是規范手機銀行開立。要向客戶全面、準確、沒有誤導地披露信息，充分揭示手機銀行風險，并向手機銀行客戶持續宣傳安全用知識以及手機銀行犯罪新手段、新動向，提高手機銀行客戶風險防范意識和能力。二是加強手機銀行規章制度的執行和操作風險管理。要求銀行員工嚴格執行有關手機銀行的規章制度，不能為了拓展客戶降低手機銀行風險管理的要求。三是建立媒體輿情監測制度，加強投訴管理的規范化建設。建立有效的受理客戶投訴和糾紛處理機制，建立專門的渠道與制度為手機銀行客戶提供針對性幫助，提高對手機銀行客戶的服務響應速度，積極阻止損失進一步擴大。同時，要注意避免矛盾激化造成聲譽損失。

篇10

關鍵字密碼中間件;電子商務;交易模型;信息安全;CAPICOM

隨著Internet的不斷普及，人們的消費觀念和商務模式也發生了巨大了變化，人們更希望通過網絡的便利來進行網絡采購和交易，從而導致了（ElectronicCommerce）電子商務的出現，并在世界范圍內掀起了一股熱潮。但是，美國密執安大學一個調查機構通過對23000名因特網用戶的調查顯示[1]，超過60%的人由于擔心電子商務的安全問題而不愿進行網上購物。因此，研究和分析電子商務的信息安全問題，特別是針對我國國情，充分借鑒國外的先進技術和經驗，開發和研究出具有獨立知識產權的電子商務信息安全產品，成為目前我國電子商務的熱點。

電子商務中的安全隱患可分為如下幾類[2]，1.信息截獲和竊取。如果沒有采用加密措施或加密強度不夠，攻擊者可能通過因特網、電話網、電磁波輻射域內安裝截收裝置或在網關和路由器上截獲數據等方式，竊取機密信息，或通過對信息流量和流向、通信頻度和長度等參數的分析，導出有用信息，如銀行帳號、密碼等；2.信息篡改。如果攻擊者熟悉了網絡信息格式，可對網絡傳輸的信息進行中途修改，并發往目的地，從而破壞信息完整性。如篡改信息流的次序，更改信息內容；3.信息假冒。當攻擊者掌握了網絡信息數據規律或解密了商務信息以后，可以假冒合法用戶來欺騙其他用戶，例如偽造電子郵件，虛開網站和商店，發送電子郵件，收定貨單；偽造大量用戶窮盡商家資源，使合法用戶不能正常訪問網絡資源，使有嚴格時間要求的服務不能及時得到響應等；4.交易抵賴。交易抵賴包括多個方面，如發信者事后否認曾經發送過某條信息或內容，收信者事后否認曾經收到過某條消息或內容，購買者做了定貨單不承認，商家賣出的商品因價格差而不承認原有的交易。

電子商務面臨的威脅直接導致了電子商務對于信息安全的需求，也就是實現一個安全電子商務系統務必具備的信息安全品質，主要包括機密性、完整性、認證性和不可抵賴性。1.秘密性（Confidentiality），電子商務作為貿易的一種手段，其信息直接代表著個人、企業或國家的商業機密。傳統紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的如Internet，維護商業機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。2.完整性（DataIntegrity），電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。此外，數據傳輸過程中信息丟失、信息重復或信息傳送的次序差異也會導致混亂。因此，要預防對信息的隨意生成、修改和刪除，同時要防止數據傳送過程中信息的丟失和重復并保證信息傳送次序的統一。3.認證性（VerificationofIdentity），網絡電子商務交易系統的特殊性，企業或個人的交易通常都是在虛擬的網絡環境中進行，所以對個人或企業實體進行身份性確認成了電子商務中得很重要的一環。對人或實體的身份進行鑒別，為身份的真實性提供保證，即交易雙方能夠在相互不見面的情況下確認對方的身份。這意味著當某人或實體聲稱具有某個特定的身份時，鑒別服務將提供一種方法來驗證其聲明的正確性。4.不可抵賴性（Non-repudiationofDisputedCharges）。電子商務可能直接關系到貿易雙方的商業交易，如何確定要進行交易的貿易方的確是進行交易所期望的貿易方這一問題則是保證電子商務順利進行的關鍵。在傳統紙面貿易中，雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴，確定合同、契約、單據的可靠性并預防抵賴行為的發生。這也就是人們常說的"白紙黑字"。在無紙化的電子商務方式下，通過手寫簽名和印章進行貿易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識[3]。

中間件是獨立的系統軟件或服務程序,它屏蔽了操作系統和網絡協議的差異,并提供相應的平臺以滿足不同領域的需要。它成功地解決了網絡計算和分布計算環境下資源的通信，共享，管理，控制等問題[3]。其技術本身很復雜，技術標準多，產品多。在Windows技術體系下，應用最為廣泛的是DEC/RPC標準下的COM/DCOM，和DNA標準下的COM+。在諸多行業應用中，信息安全特性已成為軟件的一個重要品質，密碼服務也成為一個重要的構件支撐，基于中間件技術來構造密碼中間件成為當前的主流技術路線，涌現出相當成功的產品，如微軟的CAPICOM，SUN的CryptoJava。

Windows操作系統采用分層的加密體系模型CSP密碼服務提供者（CryptographicServiceProvider）架設系統安全。CSP提供了齊全的具有密碼功能的Win32API函數供程序員調用，稱為CryptoAPI。然而，調用CryptAPI完成密碼操作仍然相當復雜。[5]使用COM，開發人員可以把注意力集中在解決用戶所需要的問題上．而不用關心網絡協議等底層結構的細節。[4]微軟提供了CAPICOM組件，它以COM對象的形式封裝了上述的復雜操作，使用它獲取密碼服務更方便。因為在不同的開發環境中，往往先要對API函數進行某種封裝或轉換，這增加了使用難度，CAPICOM以中間件的形式提供了一個標準的密碼應用層接口，是介于應用與CSP之間的中間層，使得應用與CSP具有邏輯獨立性。

在工作時，CAPICOM按一定順序列檢索CSP。首先檢查缺省CSP是否支持用戶指定的算法及密鑰長度，如果失敗，則搜索系統提供的CSP，并判斷其是否支持指定的算法和密鑰長度，直至遍歷完所有CSP。兩者關系如圖1所示。

安全電子商務交易模型從組成來講一般有以下幾個組件[6]：（1）電子商店作為電子經濟中買賣發生的場所，它從傳統的市場渠道中取得價值。（2）信息中介是內容、信息、知識及經驗的商，能夠成為某一特定電子商務領域增加價值。（3）信用中介是在買賣雙方建立信用的機構。（4）電子商務實施者為其他電子商店或信息中介提供組件、功能及相關服務，使得電子商務得以進行或者進行得更好。（5）基礎設施供應商作為由跨越不同領域機構，如NII（國家信息化設施），PKI（公鑰基礎設施）等，它們來提供網絡應用平臺和安全交易全環境。

從電子商務系統的架構上來分類[6]，主要有B2B和B2C。B2B模式下參與的雙方都是企業，特點是定單數量大，平均在75000美元，需要商業洽談，按照固定合同條款和商業規則進行交易。信用開始是依托信用卡，爾后需要更復雜的銀行信用管理系統，基礎設施包括局域網、定制的目錄和流程規則；B2C模式下是顧客直接與商家接觸，特點是定單數量小，平均在75美元，主要是按價目表或者固定價格，屬于沖動購買或者偶爾購買，所以廣告的作用很大。信用依靠消費者信用卡，基礎設施主要是互聯網的鏈接。

僅就交易工作流而言，它有很多業務需求如：客戶管理，商品瀏覽，身份認證，訂單管理，配送和轉賬等，本文當中，重點討論在密碼服務和安全性上的需求，通過實施安全性措施，確保在交易的生命周期當中，在交易信息的運動過程中，敏感信息不會喪失信息安全性。

在交易流程中，證書的操作主要有：證書庫的打開，證書檢索，證書驗證，證書加密數據和數字簽名CryptoAPI只提供了基本的密碼函數，對于數字證書很少涉及，而CAPICOM組件對這些高層應用服務提供了方便的接口。

圖2十六進制形式密文和解密結果

圖3簽名過程

圖4十六進制形式密文和解密結果

WINDOWS平臺中，證書存于證書庫CertStore的結構中，使用時必檢索證書庫，取得證書句柄，獲得證書的基本信息如：有效期，公鑰等，同時，還要對證書的有效性進行驗證。私鑰存于密鑰容器中（KeyContainer）,有對應私鑰的證書，還存有私鑰容器的句柄。[4]默認的證書庫有4個：Trust,My,CA,Root，其中My存放了個人的證書，其中還有私鑰容器句柄，Trust存放了通信群體中其它人的證書，僅公鑰。證書的管理必須用到CAPICOM的幾個接口：IStorePtr指向證書庫，ICertificates2Ptr指向證書集合，ICertificatePtr指向證書，三個接口形成操作證書的三級索引。

圖5驗證過程

證書加密實際是用接收方證書的公鑰加密，過程有兩步：用公鑰加密對稱密鑰，用對稱密鑰加密數據如支付的信息：客戶帳號和PIN碼等。CAPICOM定義的對象IenvelopedDataPtr對兩步進行了包裝，對于編程人員是透明的。

⑴定義數據信封

IEnvelopedDataPtrpEncryptIEnvelopedData(__uuidof

(EnvelopedData));

IEnvelopedDataPtrpDecryptIEnvelopedData(__uuidof

(EnvelopedData));

⑵設定算法參數和對稱密鑰長度

CAPICOM對密碼算法的標識標準和密鑰長度進行了定義，以常量形式給出。這里以RC4為例。

pEncryptIEnvelopedData->Algorithm->Name=CAPICOM_ENCRYPTION_ALGORITHM_RC4;

pEncryptIEnvelopedData->Algorithm->KeyLength=CAPICOM_ENCRYPTION_KEY_LENGTH_40_BITS;

⑶加密

bstrtemp=SysAllocStringByteLen("HelloCapicom!",14);

_bstr_ta.Assign(bstrtemp);

pEncryptIEnvelopedData->Content=_bstr_ta;bstrciphertext

=pEncryptIEnvelopedData->Encrypt(

CAPICOM_ENCODE_BINARY);

⑷取出密文

bstrtemp是BSTR指針，指向雙字節的字符串，即以兩個Bytes來存一個ASCII字符，_bstr_t類型對雙字節字符串進行了對象裝箱，字節數是字符數據量的兩倍。加密"HelloCapicom!"后，以字符形式看密文則呈亂碼形式。二進制形式則如圖2所示。

PCHARpCiphertext=NULL;pCiphertext

=(PCHAR)bstrciphertext;printf("密文字符流：\n");

PVOIDpchartemp=malloc(24);

for(intk=0;k<bstrciphertext.length()*2;k++)

{if(k%24==0){memcpy((PVOID)pchartemp,pCiphertext,24);

}pCiphertext++;}

⑸解密

pDecryptIEnvelopedData->Decrypt(bstrciphertext);printf("解密后:%s\n",

(PCHAR)pDecryptIEnvelopedData->Content.copy());結果如圖4所示。

簽名是對消息哈希值進行簽名，先算出數據的哈希值，再用簽名者的私鑰對哈希值簽名，通過這個過程來保證訂單信息如商品數量，品名等的完整性和非抵賴性。此步驟中，會檢索MY證書庫的證書，找證書公鑰對應的私鑰的容器句柄，再找到私鑰，這對于程序員是透明的。簽名和數據可以“依附”發送也可“獨立”發送，接收者收到數據和簽名后，重算數據的哈希值，將哈希值和數據的簽名送進驗證運算將會得出驗證結果。CAPICOM組件，用接口ISignedDataPtr和IHashedDataPtr來封裝此功能。

⑴定義哈希對象和設定哈希算法

IHashedDataPtrpIHashedDataPtr(__uuidof(HashedData));

pIHashedDataPtr->Algorithm=

CAPICOM_HASH_ALGORITHM_SHA1。

⑵哈希和取哈希值

哈希對象的哈希值是字符串形式的以十六進制的格式返回，SHA-1算法的哈希值為160位，即20字節，表示成HEX格式一個字節表示為兩個字符，共40個ASCII字符，再用雙字節字符表示。則為40個寬字符，80字節，所以哈希值的字節長度變成了80字節。如圖3所示。

bstrtemp=SysAllocStringByteLen("HelloCapicom!",14);_bstr

_ta.Assign(bstrtemp);

PCHARpchar=NULL;pIHashedDataPtr->Hash(_bstr_ta);

bstrHashValue=pIHashedDataPtr->Value;

⑶簽名

簽名加入時間戳和簽名者信息，還要編碼成一定的格式，有時還加入了簽名者的證書，故簽名消息的長度取決于多個因素。而不只取決簽名者的公鑰長度。如以二進制編碼為格式則為898字節，如圖5所示。

ISignedDataPtrpISignedDataPtr(__uuidof(SignedData));pISignedDataPtr->Content=pIHashedDataPtr->Value;

bstrSignature=pISignedDataPtr->Sign(0,TRUE,CAPICOM

_ENCODE_BINARY);

⑷驗證

pISignedDataPtr->Content=pIHashedDataPtr->Value;

pISignedDataPtr->Verify(bstrSignature,TRUE,

CAPICOM_VERIFY_SIGNATURE_ONLY);

如果驗證不通過則會拋出異常，驗證失敗。如圖3所示。

信息安全如果涉及到國家利益和經濟利益，密碼算法往往需要本地化，而算法模塊CSP的變動會對直接調用CSP的商務應用產生藕合變動，這是開發者所不愿見到的。有了CAPICOM中間件，[7]可以通過本地化CSP，實現本地化的密碼算法，將其設定為默認的CSP，只要其遵照CSP的規范，可以和CAPICOM無縫掛接，而對上層的電子商務交易模型不要做任何修改。做到密碼服務消費和密碼服務生產的分隔與獨立，從而實現CSP的零開銷本地化。文章創新性地將CAPICOM密碼中間件技術和電子商務交易模型相結合，很好地滿足了電子商務的信息安全保密需求，解決應用層安全需求和底層密碼服務模塊本地化之間的藕合矛盾。

參考文獻

1張碩陽等.電子商務交易中的風險來源與風險認知[A].廣東:中山大學出版社,2002:187～196

2張楚等.電子商務與交易安全[A].北京:中國法制出版社289～296

3/library/default.asp?url=/library/en-us/seccrypto/security/setting_the_computer_default_csp.asp

4微計算機信息(高世偉等,基于DCOM技術實現的控制系統,2005,21,1-2,23)