&

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的驗(yàn)證電子合同的有效方法主題范文，僅供參考，歡迎閱讀并收藏。

驗(yàn)證電子合同的有效方法

第1篇：驗(yàn)證電子合同的有效方法范文

摘要：電子簽名不同于傳統(tǒng)的簽名，表現(xiàn)為特殊的形式，它從內(nèi)部保證了電子合同的效力安全；電子認(rèn)證及認(rèn)證機(jī)構(gòu)則是從外部來確保合同關(guān)系的存在。為了保護(hù)交易安全，應(yīng)對電子合同的簽名和認(rèn)證予以法律規(guī)制。

一、電子合間引發(fā)的簽名及認(rèn)證的新問題

隨著信息高速公路和因特網(wǎng)技術(shù)的迅速普及，電子郵件、電子數(shù)據(jù)交換等現(xiàn)代通訊手段在商務(wù)交易中的廣泛應(yīng)用，合同以一種新的形式即電子合同的形式出現(xiàn)，并迅速發(fā)展成為電子商務(wù)活動的一種重要工具和載體。電子合同利用信息技術(shù)改變了傳統(tǒng)的貿(mào)易觀念和方式，同時也引發(fā)了一系列新的法律問題，在此就與安全有關(guān)的電子簽名和電子認(rèn)證問題做些討論。

第一，電子簽名與合同安全。眾所周知，電子合同是通過網(wǎng)絡(luò)中的數(shù)據(jù)交換來傳遞信息的，其賴以存在的介質(zhì)是電腦硬盤或軟盤的磁性介質(zhì)，它不同于傳統(tǒng)的書面合同是將信息記載或附著于一定的物質(zhì)載體(紙)_L。由于電子合同的“無紙性”，對其進(jìn)行傳統(tǒng)意義上的親筆簽字即在文件上寫上當(dāng)事人的名字或蓋章顯然是不可能的。因此我國《合同法》第33條規(guī)定，電子合同的成立應(yīng)以在確認(rèn)書上簽章為要件。但如果在現(xiàn)實(shí)中每簽訂一份電子合同都要事先簽訂一份確認(rèn)書且在確認(rèn)書上進(jìn)行簽章，那么將無法發(fā)揮電子合同快捷、低成本的優(yōu)點(diǎn)，電子合同就失去了存在的意義和價值。而另一方面，簽名在法律上的意義就在于證明及確認(rèn)某項(xiàng)意思表示或法律文件之成立、生效以及內(nèi)容的確實(shí)性。川為了保證交易安全，確認(rèn)當(dāng)事人的身份及合同內(nèi)容，簽名對于電子合同來說又是必不可少的一個重要環(huán)節(jié)。現(xiàn)實(shí)對傳統(tǒng)的簽名提出了挑戰(zhàn)。

第二，電子認(rèn)證與合同安全。由于網(wǎng)絡(luò)具有虛擬性的特點(diǎn)，使得電子合同雖有與傳統(tǒng)合同相同的法律效果，卻始終是不同于傳統(tǒng)合同的。交易雙方甚至往往是相互陌生的，互相不確定真實(shí)身份及真實(shí)意圖，即使交易雙方是在一定的信任基礎(chǔ)上進(jìn)行交易，網(wǎng)絡(luò)中的交易信息在傳輸存儲交換過程中被刪改、竊取、攔截等情況也會發(fā)生，不能通過有效途徑或有關(guān)無利害關(guān)系的第三方通過認(rèn)證，保證信息的可靠性、可用性、完整性、保密性、不可抵賴性，就會導(dǎo)致當(dāng)事人責(zé)任不明，阻礙交易的進(jìn)行或不利于糾紛的解決，電子交易就會處于相當(dāng)脆弱的境地，其發(fā)展的余地可想而知。安全是電子合同的生命之所在，沒有安全，就不可能有電子合同的存在與廣泛應(yīng)用，而電子合同的安全性主要體現(xiàn)在簽名和認(rèn)證上。因此，有必要對電子合同的簽名及認(rèn)證問題進(jìn)行研究，找到一種切實(shí)可行的辦法來解決由電子合同引發(fā)的安全間題。

二、電子簽名在我國法律上的確認(rèn)

關(guān)于電子簽名(electronicsi，ature)，國外及國際組織或是從簽名形式的角度，或是從法律意義的角度闡述了電子簽名的含義。筆者認(rèn)為，電子簽名簡言之就是指以電子形式存在，依附于電子文件，并與其邏輯相關(guān)，可用來辨識電子文件簽署者身份及表示簽署者同意電子文件內(nèi)容者。

電子簽名本身是一種電子數(shù)據(jù)，儲存在計(jì)算機(jī)硬盤或軟盤中，極易被修改或破壞，且不會留下痕跡，而書面簽章可以向法庭提交初始文件，因而電子簽名的證明力不如書面簽章；在電子交易中，當(dāng)事人一方可能同時擁有多個電子簽名，可能在不同的系統(tǒng)中使用不同的電子簽名，不如書面簽名那樣具有唯一性。盡管電子簽名在這些方面遜色于傳統(tǒng)的簽名，但它滿足了電子合同快捷的要求，其存在的價值在現(xiàn)代交易中得以體現(xiàn)。因此，不妨先認(rèn)可電子簽名的可應(yīng)用性，然后找到一種依賴于高新技術(shù)的安全可靠的方式以及完善的制度設(shè)計(jì)來增加對電子簽名的信任度和安全感。

縱觀各國立法或條例，其中都涉及到了電子簽名的概念、效力問題。我國香港、臺灣地區(qū)對此也有相關(guān)的規(guī)定。反觀我國大陸，無論立法，還是司法解釋，都未涉及電子簽名，我國《合同法》顯出了它的滯后性。筆者建議在《合同法》或司法解釋中對電子簽名的概念、種類、效力等基本問題作出規(guī)定，使之更有利于指導(dǎo)實(shí)踐。具體應(yīng)涉及以下幾個方面：

第一，電子簽名的概念。適用一個新的概念之前，首先應(yīng)清楚其具體含義。電子簽名主要包含了三層憊思：(l)電子簽名是以電子形式存在的；(2)電子簽名能確認(rèn)電子合同的內(nèi)容：(3)當(dāng)事人通過電子簽名表明其身份，并表明接受合同項(xiàng)下的權(quán)利義務(wù)，繼之表明愿意承擔(dān)可能產(chǎn)生的合同責(zé)任。

第二，電子簽名的種類。目前電子簽名的主要方式是以非對稱密鑰體系為荃礎(chǔ)建立起來的數(shù)字簽名，但不可否認(rèn)還有其它簽名形式的存在，如PIN碼等，以及今后可能會出現(xiàn)的更先進(jìn)的簽名方式。在法律中不能只規(guī)定流行的做法，應(yīng)考慮到在現(xiàn)實(shí)基礎(chǔ)上的技術(shù)的多樣性及可能性。電子簽名離不開技術(shù)的支持，而技術(shù)由于人類認(rèn)識世界和改造世界的能力的不斷提高也是不斷進(jìn)步和完善的。從某種意義上來說，后出現(xiàn)的技術(shù)優(yōu)于先出現(xiàn)的技術(shù)，也包括攻擊破壞技術(shù)。如果法律只規(guī)定現(xiàn)今廣泛應(yīng)用的技術(shù)，則不能適應(yīng)新環(huán)境下對安全性的要求)為此，法律必須不斷修改以適應(yīng)新的需求，如此必將犧牲法律的穩(wěn)定性和權(quán)威性。另外，法律的單一性規(guī)定可能會妨礙其他技術(shù)的應(yīng)用，導(dǎo)致壟斷、歧視。因此，法律需要在電子簽名的種類問題上保持中立我國應(yīng)采取折衷的方法，一方面規(guī)定電子簽名的一般效力，允許運(yùn)用以任何技術(shù)為基礎(chǔ)的電子簽名，保持技術(shù)的中立性；另一方面.又對所謂的“安全電子簽名”(即數(shù)字簽名)作出特別規(guī)定，并建立配套的認(rèn)證機(jī)制，與國際接軌。

第三，電子簽名的效力。有學(xué)者認(rèn)為，根據(jù)“功能等同原則”，電子簽名具有與傳統(tǒng)簽名同等的法律效力。然而，電子簽名的法律效力并不是由原則來賦予的，要使電子簽名具有與傳統(tǒng)簽名同等的效力，只能通過立法的形式。就電子簽名的內(nèi)涵而言，它與傳統(tǒng)簽名別無二致，只是表現(xiàn)形式不同而已。在電子交易中，只要能使用一種方法來鑒別電子意思表示的發(fā)端人并證實(shí)發(fā)端人認(rèn)可了該電子意思表示的內(nèi)容，即可達(dá)到簽字的基本法律功能。國外電子商務(wù)的相關(guān)立法或正在提交審議的草案中均承認(rèn)了電子簽名的效力。為了便于國際領(lǐng)域的商務(wù)活動，法律應(yīng)該承認(rèn)電子簽名的效力。

三、電子認(rèn)證制度在我國的建立

通過電子簽名，從實(shí)體法角度來講，確保了合同的有效成立，確定了合同的內(nèi)容以及當(dāng)事人的身份和愿受合同約束的意思表示；從訴訟法角度來講，保證了合同因簽名而具有的證明當(dāng)事人交易關(guān)系的能力。然而，電子簽名只是從內(nèi)部為當(dāng)事人提供了數(shù)據(jù)信息安全性的保障。如果有人盜用電子簽名進(jìn)行交易以達(dá)到其詐騙的目的，如果交易一方否認(rèn)合同義務(wù)而不予履行，那么合同另一方當(dāng)事人仍是處于危險(xiǎn)之中的，交易信用安全仍然岌岌可危。因而，從外部對當(dāng)事人合同關(guān)系進(jìn)行切實(shí)有效的保護(hù)以及對電子簽名、當(dāng)事人身份、合同內(nèi)容等信息的真實(shí)性進(jìn)行證明顯得尤為重要。此種外部保護(hù)就是由不涉及合同利益的第三方公平地對交易信息的真實(shí)性主要是當(dāng)事人電子簽名真實(shí)性進(jìn)行證明，它依賴于電子認(rèn)證以及認(rèn)證機(jī)構(gòu)。

電子認(rèn)證是指電子商務(wù)認(rèn)證機(jī)構(gòu)(CertifieationAuthority，簡稱CA)對電子簽名及其簽署者的真實(shí)性進(jìn)行驗(yàn)證的過程。我國信息產(chǎn)業(yè)部《電子商務(wù)認(rèn)證機(jī)構(gòu)管理辦法》征求意見稿將CA定義為：為在電子商務(wù)活動中的有關(guān)各方提供數(shù)字身份證書服務(wù)的獨(dú)立法人單位。電子認(rèn)證包括站點(diǎn)認(rèn)證、數(shù)據(jù)信息認(rèn)證、當(dāng)事人身份認(rèn)證等。CA能提供比較易于使用的手段，使依賴證書的當(dāng)事人得以證實(shí)：信息認(rèn)證人的身份；用以鑒定簽名持有人身份的方法；對使用簽名目的方面的任何限制；簽名是否有效以及是否已失密。

電子合同的有效運(yùn)作離不開認(rèn)證及CA，沒有CA的認(rèn)證，電子合同交易的安全性就無從得到保障，當(dāng)事人對交易對方的信任也無法建立，整個電子商務(wù)活動就會因?yàn)榈貌坏饺藗兊男湃味鵁o法進(jìn)行下去。要使整個認(rèn)證體系及認(rèn)證活動受人信賴，使通過認(rèn)證程序頒發(fā)的電子簽名證書被廣泛應(yīng)用于電子合同交易中，CA的建立與完善問題首當(dāng)其沖。這就涉及到CA的功能與機(jī)構(gòu)設(shè)置問題。

第一，功能方面。目前，在世界范圍內(nèi)CA的主要功能都是接收注冊請求，處理、批準(zhǔn)或拒絕請求，頒發(fā)證書，以此達(dá)到對內(nèi)防止否認(rèn)，對外防止欺詐。J3]在認(rèn)證體系中，CA應(yīng)該是一個受單個或多個用戶信任的，提供電子簽名及用戶身份驗(yàn)證的第三方機(jī)構(gòu)。CA應(yīng)該具備這樣的特征：(1)它是獨(dú)立的法律實(shí)體，以全部財(cái)產(chǎn)對外承擔(dān)責(zé)任；(2)它具有中立性，提供的是一種信用服務(wù)；(3)它的運(yùn)作是為了建立或保證一個公正的交易環(huán)境。在具體的電子合同場合，CA扮演著一個買賣雙方簽約、履約的監(jiān)督管理以及合同關(guān)系證明的角色。

在功能方面的建立及完善措施主要是規(guī)定CA的義務(wù)，明確CA的責(zé)任。從義務(wù)的角度來看，主要是明確CA的信息披露、數(shù)據(jù)保護(hù)、安全保密、歇業(yè)安排等的基本義務(wù)。比如，CA有義務(wù)確保自己作出的所有重大陳述，就其所知悉和所相信的最大程度而言是準(zhǔn)確無誤與完整的。另外，所有的CA都必須強(qiáng)制取得許可證，非許可的CA將喪失電子簽名在證據(jù)法上的推定和相當(dāng)優(yōu)惠的責(zé)任限制。從責(zé)任的角度來看，證書是電子交易的基礎(chǔ)，需要穩(wěn)定性和準(zhǔn)確性，認(rèn)證人對自己因疏忽或告知不實(shí)而導(dǎo)致的用戶損失與第三人損失，都應(yīng)當(dāng)負(fù)賠償責(zé)任。通過義務(wù)及責(zé)任體系的建立及完善，將使CA的功能得到極大限度的發(fā)揮，也有利于電子交易活動中對電子簽名的信任感的建立。

第二，機(jī)構(gòu)設(shè)置方面。CA的建設(shè)機(jī)制可分為樹形驗(yàn)證結(jié)構(gòu)與邦聯(lián)結(jié)構(gòu)。日隊(duì)我國當(dāng)前實(shí)際考察，宜采用樹形結(jié)構(gòu)，建立一個獨(dú)立于所有行業(yè)、所有交易的全國性的權(quán)威認(rèn)證機(jī)構(gòu)，由這樣一個機(jī)構(gòu)制定認(rèn)證行業(yè)的統(tǒng)一運(yùn)作規(guī)則，包括認(rèn)證機(jī)構(gòu)的人員、組織形式、營運(yùn)章程等，并向下級CA發(fā)放根證書。目前，由人行牽頭、組織12家商業(yè)銀行聯(lián)合共建的中國金融認(rèn)證中心(CFCA)建設(shè)已取得重大進(jìn)展，認(rèn)證體系一期工程建設(shè)已宣告結(jié)束，相繼向全國的商業(yè)銀行、商業(yè)用戶和個人發(fā)放證書。毫無疑問，在CFCA建設(shè)運(yùn)營的基礎(chǔ)上發(fā)展國家根CA是可行的，國家根CA將來為全國其他所有的CA(包括金融CA與第三方CA)發(fā)放根證書，并對全國的認(rèn)證機(jī)構(gòu)進(jìn)行監(jiān)管。它的中立性、權(quán)威性將保證電子商務(wù)的深人發(fā)展，也將有利于保障電子合同的安全。

總之，從某種意義上來說，電子簽名主要是用于數(shù)據(jù)電訊本身的安全，使之不被否認(rèn)或篡改，是一種技術(shù)手段上的保證；而電子認(rèn)證，則主要應(yīng)用于交易關(guān)系的信用安全方面，保證交易人的真實(shí)與可靠，是一種組織制度上的保證,不管從哪方面來說，都有利于電子合同的安全。電子簽名和認(rèn)證的價值也得到了體現(xiàn)。因而，在立法中對它們作出相關(guān)的規(guī)定勢在必行。

參考文獻(xiàn)：

曾更瑩.網(wǎng)際網(wǎng)路上運(yùn)用電子簽名所步及法律問題研究[J]·中國臺灣：萬國法律，1997(4).

蔣建平，楊毅.電子合同的效力問題[J].律師世界，l999(11).

梅紹祖·電子商務(wù)法律規(guī)范[M]北京：清華大學(xué)出版社，2000，68.

第2篇：驗(yàn)證電子合同的有效方法范文

關(guān)鍵詞：電子商務(wù)；身份認(rèn)證；防火墻

中圖分類號：TP3 文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)30-0559-02

A Brief Analysis on the Security Strategy of E-business

WANG Gai-xiang

(Shanxi Professional College of Finance,Taiyuan 030008,China)

Abstract: With the rapid development of Internet applications, E-business based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of E-businessis becoming more and more attracting,But the Chief Problem of E-business is the safety of Commerce information. For realizing an E-business basic frame of security, various kinds of safe practices in e-commerce are analysed in order to develop a kind of effective , safe realization E-business.

Key words:E-business; identity authentication; firewall

1 引言

電子商務(wù)可以增加銷售額并降低成本的優(yōu)勢，使得政府與企業(yè)都十分重視并推動電子商務(wù)的建設(shè)和發(fā)展。電子商務(wù)發(fā)展到今天,主要問題在于時空的分離導(dǎo)致了安全問題的出現(xiàn),信息的安全性是當(dāng)前發(fā)展電子商務(wù)最迫切需要解決的問題之一。研究和分析電子商務(wù)的安全性問題,特別是針對企業(yè)自身情況,充分借鑒以往電子商務(wù)系統(tǒng)開發(fā)的先進(jìn)技術(shù)和經(jīng)驗(yàn),開發(fā)出符合企業(yè)特殊的電子商務(wù)系統(tǒng),已經(jīng)成為目前發(fā)展電子商務(wù)的關(guān)鍵，而安全體系的構(gòu)建顯得尤為重要。

2 電子商務(wù)的主要安全要素

目前電子商務(wù)工程正在全國迅速發(fā)展。實(shí)現(xiàn)電子商務(wù)的關(guān)鍵是要保證商務(wù)活動過程中系統(tǒng)的安全性，即應(yīng)保證在基于Internet的電子交易轉(zhuǎn)變的過程中與傳統(tǒng)交易的方式一樣安全可靠。從安全和信任的角度來看，傳統(tǒng)的買賣雙方是面對面的，因此較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，買賣雙方是通過網(wǎng)絡(luò)來聯(lián)系，由于距離的限制，因而建立交易雙方的安全和信任關(guān)系相當(dāng)困難。時空的分離導(dǎo)致了安全問題的出現(xiàn)，電子商務(wù)交易雙方（銷售者和消費(fèi)者）都面臨安全威脅，電子商務(wù)的安全要素主要體現(xiàn)在以下幾個方面：

2.1 信息真實(shí)性、有效性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。

2.2 信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個人、企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.3 信息完整性

電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護(hù)商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會導(dǎo)致貿(mào)易各方信息的不同。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲及電子商務(wù)完整性檢查的正確和可靠。

3.4 信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^；不可否認(rèn)要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過程中為參與交易的個人、企業(yè)或國家提供可靠的標(biāo)識。在1nternet上每個人都是匿名的，電子商務(wù)系統(tǒng)應(yīng)充分保證原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴；接收方在接收數(shù)據(jù)后也不能抵賴。

3 電子商務(wù)安全系統(tǒng)

網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易能順利進(jìn)行，要求電子商務(wù)平臺要穩(wěn)定可靠，能不中斷地提供服務(wù)。任何系統(tǒng)的中斷，如硬件、軟件錯誤，網(wǎng)絡(luò)故障、病毒等都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作，而使貿(mào)易數(shù)據(jù)在確定的時刻和地點(diǎn)的有效性得不到保證，往往會造成巨大的經(jīng)濟(jì)損失。

所以就整個電子商務(wù)安全系統(tǒng)而言，安全性可以劃分為四個層次，

1) 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2) 通訊的安全性

3) 應(yīng)用程序的安全性

4) 用戶的認(rèn)證管理

其中2、3、4是通過操作系統(tǒng)和Web服務(wù)器軟件實(shí)現(xiàn)，而網(wǎng)絡(luò)節(jié)點(diǎn)的安全性依靠防火墻保證，我們應(yīng)該首先保證網(wǎng)絡(luò)節(jié)點(diǎn)的安全性。

3.1 網(wǎng)絡(luò)節(jié)點(diǎn)的安全

防火墻是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，它其實(shí)就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，為電子商務(wù)的施展提供個相對更安全的平臺。

防火墻是在連接Internet和Intranet保證安全最為有效的方法，防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息，并記憶通信狀態(tài)，從而作出允許/拒絕等正確的判斷。通過靈活有效地運(yùn)用這些功能，制定正確的安全策略，將能提供一個安全、高效的Intranet系統(tǒng)。應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個部分。安全策略建立了全方位的防御體系來保護(hù)機(jī)構(gòu)的信息資源，這種安全策略應(yīng)包括：規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施，以及管理制度等。所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。

3.2 通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度，也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機(jī)構(gòu)（CA中心）簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實(shí)際上不驗(yàn)證客戶的個人證書情況是很多的。驗(yàn)證個人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點(diǎn)的服務(wù)器證書（下載可以在訪問之前或訪問時）。驗(yàn)證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法（RSA）與服務(wù)器協(xié)商一個對稱算法及密鑰，然后用此對稱算法加密傳輸?shù)拿魑摹４藭r瀏覽器也會出進(jìn)入安全狀態(tài)的提示。

3.3 應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的，因?yàn)榫幊体e誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運(yùn)行，而不是只有有限的指令子集在特權(quán)模式下運(yùn) 行，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設(shè)置訪問控制（最少許可），程序員認(rèn)為這個缺省的許可是正確的。

這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。不正確地輸入?yún)?shù)被用來騙特權(quán)程序做一些它本來不應(yīng)該做的事情。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個過長的字符串來實(shí)現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令，特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙?。例如，緩沖溢出攻擊可以向系統(tǒng)中增加一個用戶并賦予這個用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為，才能發(fā)現(xiàn)象這些問題一樣的錯誤。

3.4 用戶的認(rèn)證管理

1) 身份認(rèn)證

電子商務(wù)企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA證書與IC卡相結(jié)合實(shí)現(xiàn)的。CA證書用來認(rèn)證服務(wù)器的身份，IC卡用來認(rèn)證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能，所以只采用ID號和密碼口令的身份確認(rèn)機(jī)制。

2) CA證書

要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性，需要一份數(shù)字證書進(jìn)行驗(yàn)證，這份數(shù)字證書就是CA證書，它由認(rèn)證授權(quán)中心（CA中心）發(fā)行。認(rèn)證中心（CA）就是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。CA中心一般是社會公認(rèn)的可靠組織，它對個人、組織進(jìn)行審核后，為其發(fā)放數(shù)字證書，證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書，實(shí)際上不驗(yàn)證客戶的個人證書情況是很多的。驗(yàn)證個人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點(diǎn)的服務(wù)器證書（下載可以在訪問之前或訪問時進(jìn)行）。

3) 安全套接層SSL協(xié)議

安全套接層SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。

第3篇：驗(yàn)證電子合同的有效方法范文

摘要：隨著互聯(lián)網(wǎng)的全面普及，基于Internet 開展的電子商務(wù)已逐漸成為人們進(jìn)行商務(wù)活動的新模式,越來越多的企業(yè)和個人通過Internet 進(jìn)行商務(wù)活動，電子商務(wù)的發(fā)展前景十分誘人，而商業(yè)信息的安全是電子商務(wù)的首要問題。

關(guān)鍵詞：電子商務(wù)；身份認(rèn)證；防火墻

一、引言

二、電子商務(wù)的主要安全要素

1.信息真實(shí)性、有效性

2.信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個人、企業(yè)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文來達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.信息完整性

電子商務(wù)簡化了貿(mào)易過程，減少了人為的干預(yù)，同時也帶來維護(hù)商業(yè)信息的完整、統(tǒng)一的問題。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。

4.信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^；不可要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可控性要求即是能控制使用資源的人或?qū)嶓w的使用方式。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。

三、電子商務(wù)安全系統(tǒng)

1.網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2.通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度，也可以考慮將加密強(qiáng)度增加到128 位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL 首先要求服務(wù)器向?yàn)g覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機(jī)構(gòu)（CA中心）簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL 鏈接不需要一定有個人證書，實(shí)際上不驗(yàn)證客戶的個人證書情況是很多的。驗(yàn)證個人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立SSL 鏈接時客戶只需用戶下載該站點(diǎn)的服務(wù)器證書（下載可以在訪問之前或訪問時）。

3.應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的，因?yàn)榫幊体e誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運(yùn)行，而不是只有有限的指令子集在特權(quán)模式下運(yùn)行，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設(shè)置訪問控制（最少許可），程序員認(rèn)為這個缺省的許可是正確的。

四、安全管理

為了確保系統(tǒng)的安全性，除了采用上述技術(shù)手段外，還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。對于所有接觸系統(tǒng)的人員，按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限。按照分級管理原則，嚴(yán)格管理內(nèi)部用戶賬號和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶賬號和密碼。

五、結(jié)束語

安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證1OO％的安全。但是，安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。電子商務(wù)的安全運(yùn)行必須從多方面入手，僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的。安全只是相對的，而不是絕對的。因此，為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展，必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問題，使電子商務(wù)系統(tǒng)相對更安全。

參考文獻(xiàn):

[1] 吳洋.電子商務(wù)安全方法研究[D].天津大學(xué).2006

[2] 李艷.電子商務(wù)信息安全策略研究[J].甘肅科技.2005.06

第4篇：驗(yàn)證電子合同的有效方法范文

要理解什么是電子簽名，需要從傳統(tǒng)手工簽名或蓋印章談起。在傳統(tǒng)商務(wù)活動中，為了保證交易的安全與真實(shí)，一份書面合同或公文要由當(dāng)事人或其負(fù)責(zé)人簽字、蓋章，以便讓交易雙方識別是誰簽的合同，保證簽字或蓋章的人認(rèn)可合同的內(nèi)容，在法律上才能承認(rèn)這份合同是有效的。而隨著互聯(lián)網(wǎng)應(yīng)用的越來越成熟，在電子文件上，傳統(tǒng)的手寫簽名和蓋章是無法進(jìn)行的，這就必須依靠IT技術(shù)手段來替代。

電子認(rèn)證與電子簽名

從法律上講，簽名有兩個功能: 即標(biāo)識簽名人和表示簽名人對文件內(nèi)容的認(rèn)可。聯(lián)合國貿(mào)發(fā)會的《電子簽名示范法》中對電子簽名做如下定義: “指在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽名人和表明簽名人認(rèn)可數(shù)據(jù)電文所含信息”; 在歐盟的《電子簽名共同框架指令》中就規(guī)定: “以電子形式所附或在邏輯上與其他電子數(shù)據(jù)相關(guān)的數(shù)據(jù)，作為一種判別的方法”稱為電子簽名。而我國《電子簽名法》對電子簽名的定義: “是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。根據(jù)這一定義，能識別簽名人身份的電子簽名方法可能有很多種，比如: ID/口令、指紋識別、虹膜/網(wǎng)膜識別和形態(tài)識別等等。但是，用這樣一些電子簽名手段，只能進(jìn)行人的身份識別，即《電子簽名法》中定義的電子認(rèn)證。但不能做到在《電子簽名法》中對電子簽名的全面要求: 即在識別簽名人身份的同時，還要做到簽名人認(rèn)可其中的內(nèi)容。

從廣義上講，實(shí)現(xiàn)電子簽名的技術(shù)手段有很多種，但目前比較成熟的，世界先進(jìn)國家普遍使用的電子簽名技術(shù)還是“數(shù)字簽名”技術(shù)。由于保持技術(shù)中立性是制訂法律的一個基本原則，因此，目前還不能說明公鑰密碼理論是制作簽名的惟一技術(shù)，因此有必要規(guī)定一個更一般化的概念以適應(yīng)今后技術(shù)的發(fā)展。但是，目前電子簽名法中提到的簽名，一般指的就是“數(shù)字簽名”。所謂“數(shù)字簽名”就是通過某種密碼運(yùn)算生成一系列符號及代碼組成電子密碼進(jìn)行簽名，來代替書寫簽名或印章，對于這種電子式的簽名還可進(jìn)行技術(shù)驗(yàn)證，其驗(yàn)證的準(zhǔn)確度是一般手工簽名和圖章的驗(yàn)證無法比擬的。

電子簽名的一般實(shí)現(xiàn)方法

目前，實(shí)現(xiàn)電子簽名的方法有好多種技術(shù)手段，前提是在確認(rèn)了簽署者的確切身份即經(jīng)過電子認(rèn)證之后，電子簽名承認(rèn)人們可以用多種不同的方法簽署一份電子記錄。

1. 手寫簽名或圖章的模式識別

即將手寫簽名或印章作為圖像，用光掃描經(jīng)光電轉(zhuǎn)換后在數(shù)據(jù)庫中加以存儲，當(dāng)驗(yàn)證此人的手寫簽名或蓋印時，也用光掃描輸入，并將原數(shù)據(jù)庫中的對應(yīng)圖像調(diào)出，用模式識別的數(shù)學(xué)計(jì)算方法，進(jìn)行二者比對，以確認(rèn)該簽名或印章的真?zhèn)巍＿@種方法曾經(jīng)在銀行會計(jì)柜臺使用過，但由于需要大容量的數(shù)據(jù)庫存儲和每次手寫簽名和蓋印的差異性，證明了它的不實(shí)用性，這種方法也不適用于互聯(lián)網(wǎng)上傳輸，是較原始和落后的方法。

2. 生物識別技術(shù)

生物識別技術(shù)是利用人體生物特征進(jìn)行身份認(rèn)證的一種技術(shù)，生物特征是一個人與他人不同的惟一表征，它是可以測量、自動識別和驗(yàn)證的。生物識別系統(tǒng)對生物特征進(jìn)行取樣，提取其惟一的特征進(jìn)行數(shù)字化處理，轉(zhuǎn)換成數(shù)字代碼，并進(jìn)一步將這些代碼組成特征模板存于數(shù)據(jù)庫中，人們同識別系統(tǒng)交互進(jìn)行身份認(rèn)證時，識別系統(tǒng)獲取其特征并與數(shù)據(jù)庫中的特征模板進(jìn)行比對，以確定是否匹配，從而決定確定或否認(rèn)此人。生物識別技術(shù)主要有以下幾種:

（1）指紋識別技術(shù)。每個人的指紋皮膚紋路是惟一的，并且終身不變，依靠這種惟一性和穩(wěn)定性，就可以把一個人同他的指紋對應(yīng)起來，通過將他的指紋和預(yù)先保存在數(shù)據(jù)庫中的指紋采用指紋識別算法進(jìn)行比對，便可驗(yàn)證他的真實(shí)身份。在身份識別后的前提下，可以將一份紙質(zhì)公文或數(shù)據(jù)電文按手印簽名或放于IC卡中簽名。但這種簽名需要有大容量的數(shù)據(jù)庫支持，適用于本地面對面的處理，不適宜網(wǎng)上傳輸，目前指紋簽名還做不到與數(shù)據(jù)電文內(nèi)容相關(guān)聯(lián)。

（2）視網(wǎng)膜、虹膜識別技術(shù)。視網(wǎng)膜識別技術(shù)是利用激光照射眼球的背面，掃描攝取幾百個視網(wǎng)膜的特征點(diǎn)，代碼摸板存儲，經(jīng)數(shù)字化處理后形成記憶模板存儲于數(shù)據(jù)庫中，供以后的比對驗(yàn)證。視網(wǎng)膜是一種極其穩(wěn)定的生物特征，作為身份認(rèn)證是精確度較高的識別技術(shù)。但使用困難，不適用于直接數(shù)字簽名和網(wǎng)絡(luò)傳輸，只能做到身份識別，還做不到與數(shù)據(jù)電文內(nèi)容相綁定。虹膜識別技術(shù): 紅外照射，取樣制作代碼摸板存儲，用時進(jìn)行比對。這種簽名也只能是進(jìn)行身份識別。

（3）聲音識別技術(shù)。聲音識別技術(shù)是一種行為識別技術(shù),用聲音錄入設(shè)備反復(fù)不斷地測量、記錄聲音的波形和變化，并進(jìn)行頻譜分析，經(jīng)數(shù)字化處理之后作成聲音模板加以存儲。使用時將現(xiàn)場采集到的聲音同登記過的聲音模板進(jìn)行精確的匹配，以識別該人的身份。這種技術(shù)精確度較差，使用困難，不適用于直接數(shù)字簽名和網(wǎng)絡(luò)傳輸。

以上這種身份識別的方法解決的都是“你是什么？”，“你是誰？”，適用于面對面的場合，不適用遠(yuǎn)程網(wǎng)絡(luò)認(rèn)證，不適合大規(guī)模人群認(rèn)證。

3. 密碼、口令和個人識別碼。

這里是指用一種傳統(tǒng)的對稱密鑰加/解密的身份識別和簽名方法。甲方需要乙方簽名一份電子文件，甲方可產(chǎn)生一個隨機(jī)碼傳送給乙方，乙方用事先雙方約定好的對稱密鑰加密該隨機(jī)碼和電子文件回送給甲方，甲方用同樣對稱密鑰解密后得到電文并核對隨機(jī)碼，如隨機(jī)碼核對正確，甲方即可認(rèn)為該電文來自乙方。這種方法解決的是“你知道什么？”。適于遠(yuǎn)程網(wǎng)絡(luò)傳輸，但不適合大規(guī)模人群認(rèn)證，因?yàn)閷ΨQ密鑰管理困難。但是，對加密的數(shù)據(jù)電文簽名人做不到認(rèn)可。

在對稱密鑰加/解密認(rèn)證中，在實(shí)際應(yīng)用方面經(jīng)常采用的是ID+PIN（身份惟一標(biāo)識+口令）。即發(fā)方直接將ID和PIN發(fā)給收方，收方與后臺已存放的ID和口令進(jìn)行比對，達(dá)到認(rèn)證的目的。人們在日常生活中使用的銀行卡就是用的這種認(rèn)證方法。這種方法解決的是“你有什么？”和“你知道什么？”。適用遠(yuǎn)程網(wǎng)絡(luò)傳輸，但不安全，易被黑客竊取，只能簡單的身份識別，不適用于電子簽名。

4. 基于PKI的電子簽名

基于公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure）的電子簽名被稱做“數(shù)字簽名”。有人稱“電子簽名”就是“數(shù)字簽名”，這種說法是錯誤的。數(shù)字簽名是電子簽名的一種主要形式。因?yàn)殡娮雍灻哂屑夹g(shù)中立性，但也帶來使用的不便，法律上又對電子簽名做了進(jìn)一步規(guī)定，如聯(lián)合國貿(mào)發(fā)會的《電子簽名示范法》和歐盟的《電子簽名共同框架指令》中就規(guī)定了“可靠電子簽名”和“高級電子簽名”，其目的就是規(guī)定了數(shù)字簽名的具體功能，這種規(guī)定使數(shù)字簽名獲得了更好的應(yīng)用安全性和可操作性。目前，具有實(shí)際意義的電子簽名只有公鑰密碼理論。所以，目前國內(nèi)外普遍使用的、技術(shù)成熟的、可實(shí)際使用的還是基于PKI的數(shù)字簽名技術(shù)。作為公鑰基礎(chǔ)設(shè)施PKI可提供多種網(wǎng)上安全服務(wù)，如認(rèn)證、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認(rèn)性，其中都用到了數(shù)字簽名技術(shù)。

數(shù)字簽名的技術(shù)保障

1. 什么是數(shù)字簽名

數(shù)字簽名在ISO7498-2標(biāo)準(zhǔn)中定義為: “附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護(hù)數(shù)據(jù)，防止被人（例如接收者）進(jìn)行偽造”。美國電子簽名標(biāo)準(zhǔn)（DSS，F(xiàn)IPS186-2）對數(shù)字簽名做了如下解釋: “利用一套規(guī)則和一個參數(shù)對數(shù)據(jù)計(jì)算所得的結(jié)果，用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性”。按上述定義PKI可以提供數(shù)據(jù)單元的密碼變換，并能使接收者判斷數(shù)據(jù)來源及對數(shù)據(jù)進(jìn)行驗(yàn)證，是數(shù)字簽名的技術(shù)保障。

PKI的核心執(zhí)行機(jī)構(gòu)是《電子簽名法》中所定義的電子認(rèn)證服務(wù)提供者，即通稱為認(rèn)證機(jī)構(gòu)CA（Certificate Authority），PKI簽名的核心元素是由CA簽發(fā)的數(shù)字證書。數(shù)字證書所提供的PKI服務(wù)就是認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性和不可否認(rèn)性。它的作法就是利用證書公鑰和與之對應(yīng)的私鑰進(jìn)行加/解密，并產(chǎn)生對數(shù)字電文的簽名及驗(yàn)證簽名。數(shù)字簽名是利用公鑰密碼技術(shù)和其他密碼算法生成一系列符號及代碼組成電子密碼進(jìn)行簽名，來代替書寫簽名和印章。這種電子式的簽名還可進(jìn)行技術(shù)驗(yàn)證，其驗(yàn)證的準(zhǔn)確度是在物理世界中對手工簽名和圖章的驗(yàn)證是無法比擬的。這種簽名方法可在很大的可信PKI域人群中進(jìn)行認(rèn)證，或在多個可信的PKI域中進(jìn)行交叉認(rèn)證，它特別適用于互聯(lián)網(wǎng)和廣域網(wǎng)上的安全認(rèn)證和傳輸。

關(guān)振勝

中國建設(shè)銀行科技部副總工程師，高級工程師?，F(xiàn)受聘中國金融認(rèn)證中心（CFCA）技術(shù)顧問、中國人民銀行“網(wǎng)上銀行發(fā)展與監(jiān)管工作組” 專家、亞洲PKI論壇（中國）委員、中國電子商務(wù)協(xié)會專家委員會專家、電子協(xié)會電子簽名專家委員會常委。主持領(lǐng)導(dǎo)設(shè)計(jì)、開發(fā)多個銀行大型應(yīng)用系統(tǒng)。著作有“公鑰基礎(chǔ)設(shè)施PKI與認(rèn)證機(jī)構(gòu)CA”、“中國金融認(rèn)證中心建設(shè)”、 “第四代語言INFORMIX 4GL”等。曾獲得科技進(jìn)步獎一等、二等、三等獎。(如右圖)

2. 公鑰密碼技術(shù)原理

公開密鑰密碼理論是1976年美國發(fā)表的RSA算法，它是以三個發(fā)明人的名字而命名的，后來又有橢圓算法ECC，但常用的、成熟的公鑰算法是RSA。它與傳統(tǒng)的對稱密鑰算法有本質(zhì)的區(qū)別，對稱密鑰算法常用的是DES算法，它具有一個密鑰，加/解密時用的是同一個密鑰。而公鑰算法利用的是非對稱密鑰，即利用兩個足夠大的質(zhì)數(shù)與被加密原文相乘生產(chǎn)的積來加/解密。這兩個質(zhì)數(shù)無論是用哪一個與被加密的原文相乘（模乘），即對原文件加密，均可由另一個質(zhì)數(shù)再相乘來進(jìn)行解密。但是，若想用這個乘積來求出另一個質(zhì)數(shù)，就要進(jìn)行對大數(shù)分解質(zhì)因子，分解一個大數(shù)的質(zhì)因子是十分困難的，若選用的質(zhì)數(shù)足夠大，這種求解幾乎是不可能的。因此，將這兩個質(zhì)數(shù)稱為密鑰對，其中一個采用私密的安全介質(zhì)保密存儲起來，不對任何外人泄露，所以簡稱為“私鑰”; 另一個密鑰可以公開發(fā)表，用數(shù)字證書的方式在稱之為“網(wǎng)上黃頁”的目錄服務(wù)器上，用LDAP協(xié)議進(jìn)行查詢，也可在網(wǎng)上請對方發(fā)送信息時主動將該公鑰證書傳送給對方，這個密鑰稱之為“公鑰”。

公/私密鑰對的用法是，當(dāng)發(fā)方向收方通信時發(fā)方用收方的公鑰對原文進(jìn)行加密，收方收到發(fā)方的密文后，用自己的私鑰進(jìn)行解密，其中他人是無法解密的，因?yàn)樗瞬粨碛凶约旱乃借€，這就是用公鑰加密，私鑰解密用于通信; 而用私鑰加密文件公鑰解密則是用于簽名，即發(fā)方向收方簽發(fā)文件時，發(fā)方用自己的私鑰加密文件傳送給收方，收方用發(fā)方的公鑰進(jìn)行解密。

但是，在實(shí)際應(yīng)用操作中發(fā)出的文件簽名并非是對原文本身進(jìn)行加密，而是要對原文進(jìn)行所謂的“哈?！保℉ash）運(yùn)算，即對原文作數(shù)字摘要。該密碼算法也稱單向散列運(yùn)算，其運(yùn)算結(jié)果稱為哈希值，或稱數(shù)字摘要，也有人將其稱為“數(shù)字指紋”。哈希值有固定的長度，運(yùn)算是不可逆的，不同的明文其哈希值是不同的，而同樣的明文其哈希值是相同并且惟一，原文的任何改動，其哈希值就要發(fā)生變化。數(shù)字簽名是用私鑰對數(shù)字摘要進(jìn)行加密，用公鑰進(jìn)行解密和驗(yàn)證。

公鑰證書和私鑰是用加密文件存放在證書介質(zhì)中，證書是由認(rèn)證服務(wù)機(jī)構(gòu)CA所簽發(fā)的權(quán)威電子文檔，CA與數(shù)字證書等是公鑰基礎(chǔ)設(shè)施PKI的主要組成機(jī)構(gòu)和元素。

3. 認(rèn)證機(jī)構(gòu)CA

認(rèn)證機(jī)構(gòu)CA是PKI的核心執(zhí)行機(jī)構(gòu)，是PKI的主要組成部分，一般簡稱為CA，在業(yè)界通常把它稱為認(rèn)證中心。CA認(rèn)證機(jī)構(gòu)在《電子簽名法》中被稱做“電子認(rèn)證服務(wù)提供者”。

根據(jù)《電子簽名法》中規(guī)定，國務(wù)院信息產(chǎn)業(yè)部據(jù)本法制定了《電子認(rèn)證服務(wù)管理辦法》（中華人民共和國信息產(chǎn)業(yè)部令第35號），并與2005年2月8日頒布。在該管理辦法中第五條第七項(xiàng)有關(guān)人員、技術(shù)、設(shè)備、密碼、安全和資金等，詳細(xì)規(guī)定了電子認(rèn)證機(jī)構(gòu)（CA）應(yīng)具備的市場準(zhǔn)入條件。

4. 數(shù)字證書

數(shù)字證書或稱電子證書簡稱為證書，它是PKI的核心元素，由認(rèn)證機(jī)構(gòu)服務(wù)者所簽發(fā)，它是數(shù)字簽名的技術(shù)基礎(chǔ)保障; 它符合X?509標(biāo)準(zhǔn)，是網(wǎng)上實(shí)體身份的證明，證明某一實(shí)體的身份以及其公鑰的合法性，證明該實(shí)體與公鑰二者之間的匹配關(guān)系，證書是公鑰的載體，證書上的公鑰惟一與實(shí)體身份相綁定，并與其私鑰相對應(yīng)。國家標(biāo)準(zhǔn)規(guī)定作為第三方提供電子認(rèn)證服務(wù)的CA，其簽發(fā)證書機(jī)制一般應(yīng)為雙證書機(jī)制，即一個實(shí)體應(yīng)具有兩個證書，兩個密鑰對，一個是加密證書，一個是簽名證書，加密證書原則上是不能用于簽名的。用加密證書的公鑰加密，對應(yīng)的私鑰解密，用于通信; 采用簽名證書的私鑰加密，對應(yīng)的公鑰解密用于簽名。

證書在公鑰體制中是密鑰管理的媒介，不同的實(shí)體可以通過證書來互相傳遞公鑰，證書是由權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)所簽發(fā)。因此，它是權(quán)威性電子文檔。

證書的內(nèi)容主要用于身份認(rèn)證、簽名的驗(yàn)證和有效期的檢查。CA簽發(fā)證書時，要對證書內(nèi)容進(jìn)行簽名，以示對所簽發(fā)證書內(nèi)容的完整性、準(zhǔn)確性負(fù)責(zé)并證明該證書的合法性和有效性，將網(wǎng)上身份與該證書綁定。

鏈接:什么是PKI？

工程學(xué)家對PKI是這樣定義的: “PKI是一個用公鑰概念與技術(shù)來實(shí)施和提供安全服務(wù)的普遍適用的安全基礎(chǔ)設(shè)施。換句話說，PKI是一個利用非對稱密碼算法（即公開密鑰算法）原理和技術(shù)實(shí)現(xiàn)的并提供網(wǎng)絡(luò)安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施”。它是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)、電子政務(wù)、網(wǎng)上銀行和網(wǎng)上證券業(yè)，提供一整套安全保證的基礎(chǔ)平臺。用戶利用PKI基礎(chǔ)平臺所提供的安全服務(wù)，能在網(wǎng)上實(shí)現(xiàn)安全地通信。PKI這種遵循標(biāo)準(zhǔn)的密鑰管理平臺，能夠?yàn)樗芯W(wǎng)上應(yīng)用，透明地提供加解密和數(shù)字簽名等安全服務(wù)所需要的密鑰和證書管理。

第5篇：驗(yàn)證電子合同的有效方法范文

2電子商務(wù)的主要安全要素

2.1信息真實(shí)性、有效性

2.2信息機(jī)密性

3.3信息完整性

3.4信息可靠性、不可抵賴性和可鑒別性

3電子商務(wù)安全系統(tǒng)

所以就整個電子商務(wù)安全系統(tǒng)而言，安全性可以劃分為四個層次，

1)網(wǎng)絡(luò)節(jié)點(diǎn)的安全

2)通訊的安全性

3)應(yīng)用程序的安全性

4)用戶的認(rèn)證管理

3.1網(wǎng)絡(luò)節(jié)點(diǎn)的安全

3.2通訊的安全

在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接，所傳遞的重要信息都是經(jīng)過加密的，這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度，也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制，SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書，證書包括一個公鑰，由一家可信證書授權(quán)機(jī)構(gòu)（CA中心）簽發(fā)。瀏覽器要驗(yàn)征服務(wù)器證書的正確性，必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰（PKI）。建立SSL鏈接不需要一定有個人證書，實(shí)際上不驗(yàn)證客戶的個人證書情況是很多的。驗(yàn)證個人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點(diǎn)的服務(wù)器證書（下載可以在訪問之前或訪問時）。驗(yàn)證此證書是合法的服務(wù)器證書通過后利用該證書對稱加密算法（RSA）與服務(wù)器協(xié)商一個對稱算法及密鑰，然后用此對稱算法加密傳輸?shù)拿魑?。此時瀏覽器也會出進(jìn)入安全狀態(tài)的提示。

3.3應(yīng)用程序的安全性

即使正確地配置了訪問控制規(guī)則，要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的，因?yàn)榫幊体e誤也可能引致攻擊。程序錯誤有以下幾種形式：程序員忘記檢查傳送到程序的入口參數(shù)；程序員忘記檢查邊界條件，特別是處理字符串的內(nèi)存緩沖時；程序員忘記最小特權(quán)的基本原則。整個程序都是在特權(quán)模式下運(yùn)行，而不是只有有限的指令子集在特權(quán)模式下運(yùn)行，其他的部分只有縮小的許可；程序員從這個特權(quán)程序使用范圍內(nèi)建立一個資源，如一個文件和目錄。不是顯式地設(shè)置訪問控制（最少許可），程序員認(rèn)為這個缺省的許可是正確的。

3.4用戶的認(rèn)證管理

1)身份認(rèn)證

2)CA證書

3)安全套接層SSL協(xié)議

SSL通過數(shù)字簽名和數(shù)字證書來實(shí)行身份驗(yàn)證，數(shù)字證書是從認(rèn)證機(jī)構(gòu)（CA，CertificateAuthority）獲得的，通常包含有唯一標(biāo)識證書所有者的名稱、唯一標(biāo)識證書者的名稱、證書所有者的公開密鑰、證書者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會話了。

SSL協(xié)議在應(yīng)用層收發(fā)數(shù)據(jù)前，協(xié)商加密算法、連接密鑰并認(rèn)證通信雙方，從而為應(yīng)用層提供了安全的傳輸通道；在該通道上可透明加載任何高層應(yīng)用協(xié)議（如Http、Ftp、Telnet等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩浴?/p>

SSL協(xié)議握手流程由兩個階段組成：服務(wù)器認(rèn)證和用戶認(rèn)證。

①服務(wù)器認(rèn)證

客戶端向服務(wù)器發(fā)送一個“Hello”信息，以便開始一個新的會話連接；服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務(wù)器在響應(yīng)客戶的“Hello”信息時將包含生成主密鑰所需的信息；客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。這樣通過主密鑰引出的密鑰對一系列數(shù)據(jù)進(jìn)行加密來認(rèn)證服務(wù)器，從而建立安全的通信通道。

②用戶認(rèn)證

經(jīng)認(rèn)證的服務(wù)器發(fā)送一個提問給客戶，客戶則返回?cái)?shù)字簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。SSL協(xié)議支持各種加密算法，實(shí)現(xiàn)簡單，獨(dú)立于應(yīng)用層協(xié)議，且被大部分瀏覽器和Web服務(wù)器內(nèi)置，便于在電子交易中應(yīng)用。但SSL是一個面向連接的協(xié)議，起初并不是為了支持電子商務(wù)而設(shè)計(jì)的，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，在涉及多方的電子交易中，SSL協(xié)議不能協(xié)調(diào)各方面的安全傳輸和信任關(guān)系。為此，開發(fā)出了在網(wǎng)絡(luò)應(yīng)用層中專為電子商務(wù)而設(shè)計(jì)的SET協(xié)議。

4安全管理

為了確保系統(tǒng)的安全性，除了采用上述技術(shù)手段外，還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。對于所有接觸系統(tǒng)的人員，按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限。按照分級管理原則，嚴(yán)格管理內(nèi)部用戶帳號和密碼，進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn)，防止非法占用、冒用合法用戶帳號和密碼。

建立網(wǎng)絡(luò)安全維護(hù)日志，記錄與安全性相關(guān)的信息及事件，有情況出現(xiàn)時便于跟蹤查詢。定期檢查日志，以便及時發(fā)現(xiàn)潛在的安全威脅。

對于重要數(shù)據(jù)要及時進(jìn)行備份，且對數(shù)據(jù)庫中存放的數(shù)據(jù)，數(shù)據(jù)庫系統(tǒng)應(yīng)視其重要性提供不同級別的數(shù)據(jù)加密。

第6篇：驗(yàn)證電子合同的有效方法范文

企業(yè)檔案信息資產(chǎn)必須要確保其安全。一方面，要做好歷史檔案信息資源的數(shù)字化工作；另一方面，也要做好新入庫電子文件的數(shù)字化工作。對于歷史檔案信息資源，要與專門的掃描單位簽訂協(xié)議，進(jìn)行批量掃描。在掃描過程中，會涉及到信息安全風(fēng)險(xiǎn)的問題。對于新入庫電子文件，則要保障電子文件與紙質(zhì)文件的絕對一致性，由員工個人原因造成電子與紙質(zhì)文件的不一致性，會給實(shí)際工作帶來安全隱患。針對如上問題：第一，對參與掃描工作人員的權(quán)限進(jìn)行嚴(yán)格控制：簽訂保密協(xié)議、設(shè)置電腦權(quán)限；對企業(yè)參與圖像和信息驗(yàn)收的員工：配備專門電腦和存儲空間、設(shè)置電腦權(quán)限和密碼、屏蔽USB和光盤接口、屏蔽刪除鍵；第二，在接收檔案信息資源入庫時，由檔案部門先接收電子文件，并檢查電子文件的標(biāo)準(zhǔn)化，然后再將電子文件打印成紙質(zhì)文件，這樣避免了設(shè)計(jì)人員先歸紙質(zhì)文件，再改電子文件而帶來的不一致性。

檔案信息的信息化技術(shù)中的安全保障

幾乎所有的檔案管理都會經(jīng)歷手工管理、信息化管理、知識化管理這三個階段，這是檔案信息在網(wǎng)絡(luò)時代體現(xiàn)利用價值的內(nèi)在需求。從手工管理過渡到信息化管理和知識化管理，使檔案信息價值得到了全方位的體現(xiàn)，但是同時針對檔案信息安全所帶來的法律風(fēng)險(xiǎn)也會越來越多，所以要確保檔案信息系統(tǒng)的運(yùn)行安全，加強(qiáng)對提供利用載體的管理，加強(qiáng)對檔案信息的拷貝與利用管理，對不同層級的信息使用者有所區(qū)別，通過技術(shù)手段防止拷貝資料再復(fù)制，措施如下：第一，利用企業(yè)自主開發(fā)或引進(jìn)的加密軟件對檔案信息進(jìn)行加密，只有在企業(yè)辦公環(huán)境及企業(yè)配備的電腦上才能正常打開使用，一旦脫離企業(yè)環(huán)境，對檔案信息的操作要提前進(jìn)行申請，申請通過后，方可由技術(shù)人員解密；第二，所有對企業(yè)外部提供的檔案信息都必須是經(jīng)過轉(zhuǎn)化的PDF或者TIFF格式的文件，原始的DWG文件不能直接提供，以保證檔案信息的不可更改性。提供給內(nèi)部設(shè)計(jì)參考的檔案信息可以是DWG的，但是必須加密，統(tǒng)一在企業(yè)環(huán)境中使用，防止外泄。

人員管理中多級別權(quán)限和密碼管理的安全保障

為了保證檔案信息系統(tǒng)的安全，有必要加強(qiáng)對系統(tǒng)使用者的管理，加強(qiáng)對系統(tǒng)使用者使用權(quán)限的審核，并采用現(xiàn)代網(wǎng)絡(luò)技術(shù)對其網(wǎng)絡(luò)操作進(jìn)行跟蹤與記錄。加強(qiáng)對使用過程中各種保密措施的管理，采用多級別權(quán)限和密碼管理，防止黑客或他人對檔案信息管理系統(tǒng)帶來的安全隱患：第一，支持檔案信息系統(tǒng)的電子文件在線閱覽功能，但是閱覽范圍和下載權(quán)限受限，要經(jīng)過文件產(chǎn)生部門和檔案管理部門的審批才能解限；第二，對企業(yè)高尖端技術(shù)類別的檔案信息，必須要經(jīng)過企業(yè)專門的保密委員會進(jìn)行風(fēng)險(xiǎn)評估，審批同意后方可利用，并實(shí)行責(zé)任人負(fù)責(zé)制；第三，實(shí)行用戶登錄驗(yàn)證制度，登錄檔案管理系統(tǒng)時，員工需要輸入自己的密碼進(jìn)行驗(yàn)證，驗(yàn)證通過后才能進(jìn)行事先設(shè)定好的權(quán)限范圍內(nèi)的相關(guān)操作；第四，控制臺超時注銷，控制臺訪問用戶超過一段時間沒有對系統(tǒng)進(jìn)行交互操作，設(shè)備將自動注銷本次操作臺配置任務(wù)，并切斷連接；第五，離職、退休人員離開工作崗位時，要進(jìn)行檔案資料和使用設(shè)備交接手續(xù)，相關(guān)部門和責(zé)任人確認(rèn)檔案資料交接完成、使用設(shè)備上交后，方可同意該人員離開；第六，所有淘汰電腦，必須經(jīng)過格式化，確保電腦內(nèi)資料不可復(fù)原后，才可回收利用。

以管理為重點(diǎn)，建立檔案信息安全保障體系，加強(qiáng)法律風(fēng)險(xiǎn)的防控

在企業(yè)的管理上，檔案信息安全保障體系建立的重要意義是對法律風(fēng)險(xiǎn)隱患的“防”與法律風(fēng)險(xiǎn)發(fā)生后的及時“控”。

1.建立法律風(fēng)險(xiǎn)防控體系，從部門設(shè)置上確保檔案信息安全保障體系的牢固企業(yè)必須建立法律風(fēng)險(xiǎn)防控體系，即：成立專門的法律風(fēng)險(xiǎn)防控歸口管理部門，引進(jìn)專門的法律專業(yè)人才，負(fù)責(zé)法律事務(wù)的評審和咨詢服務(wù)，定期提供企業(yè)范圍內(nèi)的法律知識培訓(xùn)和專題講座。聘請法律界資深律師作為專門的法律顧問，隨時參與和控制突發(fā)的重大法律問題；各部門配備兼職法律風(fēng)險(xiǎn)管理員，負(fù)責(zé)代表部門向法律歸口部門進(jìn)行法律事務(wù)傳送。

2.突出管理重點(diǎn)，加強(qiáng)對合同法律風(fēng)險(xiǎn)的防控針對合同法律風(fēng)險(xiǎn)，在建立檔案信息安全保障體系時，以管理為重點(diǎn)，應(yīng)采取以下措施：第一，收繳散落在各部門的合同印章，由法律歸口管理部門統(tǒng)一管理，法律歸口管理部門配備專門的人員負(fù)責(zé)合同印章的使用和安全；第二，建立規(guī)范的合同印章使用流程，企業(yè)上下必須嚴(yán)格按照此流程申請使用合同印章；第三，建立合同印章使用臺賬，每一個流程結(jié)束、合同印章使用完成后，當(dāng)事合同必須完整歸檔一份合同原件，合同原件最終由法律歸口管理部門向檔案部門統(tǒng)一移交；第四，法律歸口管理部門以年度為單位，各種類合同的標(biāo)準(zhǔn)格式，并在企業(yè)范圍內(nèi)統(tǒng)一使用，因特殊情況不能使用格式合同的，法律部門要對非標(biāo)準(zhǔn)格式合同進(jìn)行評審；第五，不同類型的合同，確定由不同的評審部門參與評審，實(shí)行責(zé)任人責(zé)任制。

3.管理手段與時俱進(jìn)，注重前端控制和過程管理檔案信息系統(tǒng)、企業(yè)協(xié)同辦公（OA）及門戶系統(tǒng)、ERP系統(tǒng)等信息化知識管理方式的引進(jìn)，使企業(yè)的文件形態(tài)不斷從紙質(zhì)向電子轉(zhuǎn)化，文件數(shù)量與日俱增、文件保存形式呈現(xiàn)立體多樣化的發(fā)展趨勢。在此背景下，檔案前端控制管理理論和實(shí)踐操作應(yīng)運(yùn)而生。前端控制管理提出將檔案的控制環(huán)節(jié)提前到文件生命周期的最初階段形成階段，并貫穿于文件生命周期的整個過程，這十分有利于減少企業(yè)合同電子文件信息和載體的安全隱患，對企業(yè)合同法律風(fēng)險(xiǎn)起到很好的防止和控制功能。

4.以人為本，加強(qiáng)員工的安全意識、法律意識、安全技能的培訓(xùn)對員工的安全意識、法律意識、安全技能的培訓(xùn)十分關(guān)鍵。人員的安全意識是與其所掌握的安全技能有關(guān)，而安全技能又與其所接受安全技能培訓(xùn)有關(guān)。因此，人員的安全意識是通過培訓(xùn)，以及技能的積累才能逐步提高。第一，定期開展企業(yè)信息安全、保密管理的相關(guān)培訓(xùn)，加強(qiáng)管理人員的安全保密意識；第二，適時進(jìn)行法律知識的宣傳和普及工作，例如：針對日益興起的海外合同，舉行《海外合同簽訂的注意事項(xiàng)和合同文本資料的保存》講座，促使員工形成良好的法律意識和收集保管資料的良好工作習(xí)慣；第三，進(jìn)行相關(guān)的計(jì)算機(jī)網(wǎng)絡(luò)知識培訓(xùn)，定期預(yù)報(bào)病毒信息和預(yù)防措施，定期企業(yè)IT運(yùn)營周報(bào)，分析存在的問題和解決方法。

以法規(guī)標(biāo)準(zhǔn)為依托，建立檔案信息安全保障體系，加強(qiáng)法律風(fēng)險(xiǎn)的防控

首先，根據(jù)《GB/T22240-2008信息系統(tǒng)安全等級保護(hù)定級指南》和《GB/T22239-2008信息系統(tǒng)安全等級保護(hù)基本要求》，結(jié)合檔案信息系統(tǒng)的重要程度，確定檔案信息系統(tǒng)安全等級和安全需求，采取相應(yīng)的安全技術(shù)和安全管理措施；同時依據(jù)《GB/T20984-2007信息安全風(fēng)險(xiǎn)評估規(guī)范》在檔案信息系統(tǒng)生命周期的不同階段進(jìn)行過程風(fēng)險(xiǎn)評估，全面實(shí)現(xiàn)動態(tài)防御。其次，建立完善的檔案管理制度。從企業(yè)級制度和標(biāo)準(zhǔn)、QHSE管理體系、項(xiàng)目管理體系、部門內(nèi)部詳細(xì)作業(yè)指導(dǎo)這5個方面建立起檔案管理制度保障體系。再次，從法律角度上，必須建立完善合同管理體制，從制度上對企業(yè)合同法律風(fēng)險(xiǎn)進(jìn)行防控。制定相關(guān)的《合同印章管理規(guī)定》、《合同評審管理辦法》、《合同管理規(guī)定》等。

檔案信息安全保障體系建設(shè)存在的問題

雖然我國企業(yè)的檔案信息安全保障體系建設(shè)在技術(shù)、管理、和規(guī)范標(biāo)準(zhǔn)上已經(jīng)取得明顯的成效，但還存在以下問題：1.檔案信息安全保障體系建設(shè)意識沒有得到全面重視。一方面，檔案信息安全保障體系建設(shè)比較明顯的體現(xiàn)在現(xiàn)代企業(yè)總部，對企業(yè)下屬的分子公司等控制力度不夠。2.目前檔案信息安全保障體系構(gòu)建主要依賴于信息安全技術(shù)，且缺乏有效的安全管理和安全監(jiān)督機(jī)制，檔案信息系統(tǒng)隨時存在安全風(fēng)險(xiǎn)，只有通過科學(xué)、有效的管理和規(guī)范才能構(gòu)建真正的檔案信息安全保障體系。

結(jié)語

第7篇：驗(yàn)證電子合同的有效方法范文

以往專業(yè)而復(fù)雜的操作,比如衛(wèi)星定位、無線通話、收發(fā)郵件、照相攝影等,現(xiàn)在只需要一部不到千元的手機(jī)就可以簡單而快速地完成。雖然我們?nèi)匀话V迷于透著墨香的書本、晶瑩剔透的玉器,以及種種富有質(zhì)感的美妙事物,但我們必須有所意識:這是個快速變化的世界,隨著互聯(lián)網(wǎng)和電子設(shè)備的廣泛運(yùn)用,人們在享受其帶來的極大便利的同時,也時常受困于應(yīng)運(yùn)而生的各種新“麻煩”。缺乏法律規(guī)定的電子信息常常在法律案件中使法官們陷入兩難,而普通大眾更是茫然無措,以至于我們身邊因電子信息引發(fā)的法律糾紛越來越多。

身邊的事件

以下是一個真實(shí)案例,但為了方便,隱去了公司真實(shí)名字。2008年1月,位于上海的普遜公司與珠海的頓成公司簽訂合同,約定由頓成公司按照普遜公司提供的圖紙及技術(shù)參數(shù)生產(chǎn)電子產(chǎn)品。合同履行過程中,當(dāng)普遜公司需要產(chǎn)品時,便先電話通知頓成公司,然后郵寄書面訂單。

經(jīng)過一段時間的合作后,為了避免訂單郵寄在途時間被浪費(fèi),普遜公司在郵寄訂單前便先行將訂單的電子版本電郵至頓成公司,讓頓成公司有充分的時間作好準(zhǔn)備工作。對此,雙方均感到合作十分默契。

2008年9月,頓成公司又接到普遜公司電話,隨后即收到電子訂單,遂按電子訂單的要求生產(chǎn)產(chǎn)品,并如期發(fā)貨至普遜公司指定港口,然而這次卻被告知暫時拒絕收貨。頓成公司自然不服,于是持電子訂單與普遜公司理論,普遜公司解釋說該批貨物銷售計(jì)劃尚未商定,因此未向頓成公司郵寄書面訂單,如今后有新的銷售計(jì)劃,則可接受該批貨物。

此后由于市場變化,普遜公司終未接受頓成公司的該批貨物,頓成公司于是至法院,要求普遜公司接收貨物,支付貨款,并承擔(dān)倉儲等費(fèi)用。

在法院的審理中,頓成公司向法院提交了附送該電子訂單的郵件打印件,以期證明訂單的真實(shí)性。對此,普遜公司予以否認(rèn),并提出質(zhì)疑:雖然目前該郵件顯示的收件人地址確系該公司所有,但由于該郵件已被下載至Outlook,而非保存于原郵件系統(tǒng)中,所以該郵件系頓成公司篡改偽造的訂單。

法院經(jīng)評議認(rèn)為:頓成公司所舉示郵件及其附件的真實(shí)性無法確認(rèn),書面合同中也未約定以電子郵件方式下訂單,因此無法認(rèn)定普遜公司向頓成公司下達(dá)該訂單的事實(shí)。據(jù)此,對頓成公司的訴訟請求予以駁回。

在這樣一個常見的貨款糾紛中,電子郵件成為了決定案件勝敗的關(guān)鍵。那么電子郵件這樣的電子信息需要達(dá)到什么樣的標(biāo)準(zhǔn)才能為法院所采信呢?

電子信息的法律地位

出于對法官和隨意判案的擔(dān)心,我國在當(dāng)初制定三大訴訟法(刑事、民事、行政訴訟法)時帶有強(qiáng)烈的形式主義色彩,根據(jù)當(dāng)時的生活和法律經(jīng)驗(yàn),把可以當(dāng)作證據(jù)使用事物嚴(yán)格劃分為七類:書證、物證、視聽資料、證人證言、當(dāng)事人(被害被告人)的陳述、鑒定結(jié)論、勘驗(yàn)筆錄。而無法納入前述七類形式的,不得作為證據(jù)采用。這等于給證據(jù)設(shè)定了一個“戶口”制度,沒有“戶口”的事物就不能在法庭上作為證據(jù)出現(xiàn)。

然而邏輯常常受到生活的挑戰(zhàn),正如沒有戶口的小孩同樣是人,缺乏法律界定的電子郵件等電子信息其實(shí)同樣可以證明案件事實(shí)。這個矛盾使法官們一度陷入了兩難:如果不承認(rèn)電子郵件可以證明案件事實(shí),無疑是自欺欺人;但直接引用電子郵件所反映的事實(shí),又不符合訴訟法的規(guī)定。

很快專家們就為電子郵件這樣的電子信息找了第一個戶口――書證。所謂書證,是指以文字、符號、圖案等內(nèi)容和含義來證明案件事實(shí)的證據(jù)形式,而電子郵件也是以其中的文字或圖案來證明事實(shí),似乎符合書證的特點(diǎn)。

但是這種分類方法很快遭到了大多數(shù)人的反對,理由有兩點(diǎn):一是因?yàn)猷]件雖然可以在電腦上閱讀,但郵件本身并不是電腦的一部分,和電腦并非一個整體;任何一臺電腦都不只可以顯示一封郵件,對這臺電腦而言,其所能顯示的內(nèi)容具有不確定性;二是郵件的本質(zhì)是電子信號,不能被直接閱讀,必須通過專門設(shè)備(如電腦或手機(jī))以及程序(內(nèi)置軟件)加以翻譯才能為人所知,如果沒有特定設(shè)備,或者軟件錯誤,郵件是不可閱讀的,或者是會被錯誤閱讀的。

于是專家們的眼光又在剩余的六種證據(jù)形式中仔細(xì)搜索,終于為電子信息找到了第二個戶口――視聽資料。而理由則是這類證據(jù)都需要通過專門設(shè)備和程序編譯才能以其內(nèi)容證明案件事實(shí)。除電子郵件外,被納入“視聽資料”范疇的電子信息還包括:手機(jī)短信、BBS、電子文檔、聊天記錄、數(shù)據(jù)庫等。

不過,若電子郵件因可以借助電腦屏幕顯示文字圖案而勉強(qiáng)被稱為視聽資料的話,那么一些其他形式的電子信息則與傳統(tǒng)的“視聽”概念相去甚遠(yuǎn)了。

曾經(jīng)有這樣一個案例:某客戶向證券公司主張其為某資金賬戶的所有人,最后法院審查的焦點(diǎn)集中在該客戶是否擁有賬戶密碼這個問題上。于是該客戶向法院提交了自己的密碼,并申請法院調(diào)查證券公司計(jì)算機(jī)系統(tǒng)中該資金賬戶預(yù)留的密碼,如果兩個密碼一致,那么該客戶即為賬戶所有人。

但當(dāng)法院就此進(jìn)行深入調(diào)查時卻發(fā)現(xiàn),證券公司系統(tǒng)中的客戶密碼根本不能顯示,只能通過輸入密碼的方式進(jìn)行驗(yàn)證。因此,雖然法院在隨后的驗(yàn)證中發(fā)現(xiàn)該客戶提供的密碼正確,但法院卻自始至終也無法直觀地查明證券公司系統(tǒng)中預(yù)留密碼的具體信息。

在這起案件中,證券公司計(jì)算機(jī)系統(tǒng)中的客戶密碼信息顯然既不能看,更聽不出所以然,但仍被納入視聽資料范疇,其唯一目的就是為了解決電子信息的身份問題。在這樣的背景下,法學(xué)界一邊呼吁盡快制定法律確立電子信息的獨(dú)立證據(jù)地位,一邊也不得不面對現(xiàn)實(shí)。因此司法機(jī)關(guān)在證據(jù)形式認(rèn)定上的曲線救國,實(shí)屬情有可原。

有了上述背景,目前幾乎所有法院都不再對電子信息的身份問題傷腦筋,但新的問題又出來了――根據(jù)我國法律的規(guī)定,書證可以直接單獨(dú)作為定案的依據(jù),而視聽資料即使沒有疑點(diǎn),也必須結(jié)合其他證據(jù)才能作為認(rèn)定案件事實(shí)的依據(jù)。

這樣的規(guī)定是什么意思呢?舉個例子可以說明:甲乙兩人做生意簽合同,如果以紙質(zhì)材料簽字蓋章,形成的合同文本可以直接證明雙方具有合同關(guān)系;但如果雙方以電子方式簽訂(如郵件、短信方式等),即使這樣形成的合同未經(jīng)篡改、編輯,也沒有其他任何疑點(diǎn),仍然不能單獨(dú)證明雙方具有合同關(guān)系。

因此盡管我們早已習(xí)慣享受電子時代給生活和工作帶來的便利,但在依賴電子手段之前,還不得不做些準(zhǔn)備。

電子信息證據(jù)的約定使用

我們對電子手段的依賴,有時候是基于效率的考慮:如果發(fā)個短信就能通知開會,又何必用EMS呢?另外一些情況下,電子手段則可以節(jié)省大量的費(fèi)用,例如銀行發(fā)送賬單,開發(fā)商通知接房等。

要讓這些電子手段能夠在需要的時候產(chǎn)生證據(jù)的效力,我們可以考慮對電子手段的法律地位在書面合作協(xié)議中進(jìn)行約定,避免雙方就此發(fā)生爭議。比如我們可以在合同中約定手機(jī)號碼、郵箱地址、聊天工具號碼等。這樣既可以解決電子信息證據(jù)需要與其他證據(jù)配合使用的法律硬性要求,也同時避免因電子手段未進(jìn)行實(shí)名制登記帶來的舉證負(fù)擔(dān)。

以上文中頓成公司的遭遇為例,假如雙方事先在書面合同中約定以電子郵件方式下達(dá)訂單,同時約定雙方的電郵地址,甚至約定在將電子郵件作為法庭證據(jù)使用時使用方無須證明其未經(jīng)修改,而由質(zhì)疑方承擔(dān)證明該郵件被篡改的舉證責(zé)任。那么屆時電子郵件就可以很輕松的與書面合同配合使用,用以證明案件事實(shí)。當(dāng)然,我們在處理個人私務(wù)時通常不會事先辦理這么麻煩的手續(xù),不過如果是處理公務(wù),類似的約定還是很有必要。

我們還可以在書面合同中進(jìn)一步約定電子信息的使用規(guī)則,例如在使用電子郵件的情形,發(fā)出后由于某種原因電子郵件有可能并未查收,對此我們可以約定:“電子郵件在發(fā)出后24小時后視為對方已經(jīng)收到并閱讀該郵件及附件”;考慮到手機(jī)或者郵箱有時可能被其他人使用,我們還可以約定“合作期間,雙方應(yīng)保證約定的手機(jī)號碼由本人使用,任何以該手機(jī)發(fā)出的短信都將被視為本人的真實(shí)意思表示并對本人產(chǎn)生約束力”……

當(dāng)然還有更為有效的使用方式,例如電子商務(wù)有償服務(wù),通過與專門經(jīng)營電子商務(wù)的服務(wù)平臺進(jìn)行合作,讓借助電子手段進(jìn)行的合作過程被雙方認(rèn)可的服務(wù)平臺記載,作為還原合作過程的客觀依據(jù)。

電子信息證據(jù)的固定和取得

雖然我們可以通過事前的約定賦予電子信息更多更強(qiáng)的法律效力,但糾紛往往以令人意想不到的方式讓人猝不及防。就像上文中的頓成公司,根本沒有預(yù)料到普遜公司會否認(rèn)下訂的事實(shí),這種情況下,就需要及時固定和取得電子信息證據(jù)。

與傳統(tǒng)的證據(jù)相比較,電子信息證據(jù)具有兩個非常顯著的特點(diǎn),一是容易被篡改,二是容易流失。這兩個特點(diǎn)共同成為了電子信息證據(jù)進(jìn)入法庭的最大障礙。但有一些習(xí)慣和方法,可以增加證據(jù)的可信性:

1.原始狀態(tài)的證據(jù)。

所謂原始狀態(tài),是指不改變電子信息的保存位置和方式。譬如重要的電子郵件應(yīng)當(dāng)保存在郵件系統(tǒng)中,不要在下載或者閱讀后刪除。已經(jīng)習(xí)慣使用Outlook、Foxmail等郵件管理工具的朋友需要特別注意,此類工具很可能在將郵件下載到您電腦的同時,就已將系統(tǒng)中的郵件刪除。

原始狀態(tài)的電子信息,可以大大提高證據(jù)的真實(shí)性,而被改變保存位置和方式的證據(jù),則很可能遭到“被篡改”的質(zhì)疑。

2.服務(wù)器備份。

某些電子通訊方式提供了上傳備份的服務(wù),服務(wù)器上的記載可以作為第三方較為客觀中立的信息。

對于較為重要的電子信息證據(jù),如果及時上傳至服務(wù)器保存,必要時再由服務(wù)商證明每次上傳至服務(wù)器的具體內(nèi)容,其真實(shí)性較保存于自己電腦中的記錄會大大增強(qiáng)。

3.多種平臺的混合使用。

以電子郵件為例,郵箱平臺可以是自己公司的,也可以是第三方的公眾平臺,兩者各有利弊。第三方的公眾平臺因難以被客戶修改,因此真實(shí)性強(qiáng),但缺點(diǎn)在于難以證明對方身份;而公司平臺則較為容易證明身份問題。

因此不妨混合使用兩個平臺,使用公司平臺收發(fā)郵件,同時抄送給自己所有的第三方平臺上的郵箱,這樣既可證實(shí)對方身份,又可以在糾紛發(fā)生時從第三方平臺調(diào)取信息,證明事實(shí)。

4.適時進(jìn)行公證。

公證是指由公證機(jī)構(gòu)依法對相關(guān)事實(shí)的真實(shí)性進(jìn)行證明,并出具公證書的行為。公證書具有極高的法律效力,最高法院甚至認(rèn)為:跟春去秋來這種自然規(guī)律一樣,公證書證明的事實(shí)無須證明。

5.司法保全

并非所有單位和個人都會對公證機(jī)構(gòu)進(jìn)行配合,所以公證雖然高效而且專業(yè),但缺乏強(qiáng)制力。情勢危急時,可以考慮司法保全,包括民事訴訟中的訴前保全、訴訟中保全,以及刑事偵查機(jī)關(guān)通過偵查活動對證據(jù)的固定。

上述方法中,公證及保全都會涉及十分專業(yè)的技術(shù)問題,通常有兩個問題值得注意:一是不可在自己所有的計(jì)算機(jī)上取證,自己的計(jì)算機(jī)難以排除偽證的可能性?；诒芟拥目紤],公證機(jī)構(gòu)很多時候甚至連他們自己的計(jì)算機(jī)也不愿意使用,而是在公共場所(如公共網(wǎng)吧)臨時選擇計(jì)算機(jī)上網(wǎng)取證;二是保證取證過程的連貫性。在這個問題上,可以考慮使用視頻截屏軟件錄制上網(wǎng)取證的全部過程。

可以說電子信息證據(jù)諸多的先天不足,讓我們在將其作為證據(jù)具體使用時必須慎重考慮方式方法。因而在實(shí)踐中我們或許可以考慮將電子信息證據(jù)以“鑒定結(jié)論”的名義進(jìn)行使用。

三大訴訟法中,均規(guī)定“鑒定結(jié)論”為法定的證據(jù)形式,而且具有幾乎無可辯駁的證據(jù)效力。鑒于電子信息證據(jù)技術(shù)性強(qiáng)的特點(diǎn),我們在需要使用電子信息證據(jù)時,可以聘請專業(yè)機(jī)構(gòu)對電子信息證據(jù)的客觀性、真實(shí)性、原始性進(jìn)行鑒定,并出具正式的書面結(jié)論,然后我們可以使用該鑒定結(jié)論。

第8篇：驗(yàn)證電子合同的有效方法范文

關(guān)鍵詞：電子簽名;數(shù)字簽名;PKI

一、電子簽名的含義

凡是能在電子通訊中，起到證明當(dāng)事人的身份、證明當(dāng)事人對文件內(nèi)容的認(rèn)可的電子技術(shù)手段，都可被稱為電子簽名，電子簽名即現(xiàn)代認(rèn)證技術(shù)的一般性概念，它是信息安全的重要保障手段，電子簽名與手寫簽名或印章具有同等法律效力。目前，可以通過多種技術(shù)手段實(shí)現(xiàn)電子簽名，在確認(rèn)了簽署者的確切身份后，電子簽名承認(rèn)人們可以用多種不同的方法簽署一份電子記錄。

二、電子簽名與數(shù)字簽名的關(guān)系

數(shù)字簽名在ISO7498-2標(biāo)準(zhǔn)中定義為：“附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護(hù)數(shù)據(jù)，防止被人（例如接收者）進(jìn)行偽造”。美國電子簽名標(biāo)準(zhǔn)（DSS，F(xiàn)IPS186-2）對數(shù)字簽名作了如下解釋：“利用一套規(guī)則和一個參數(shù)對數(shù)據(jù)計(jì)算所得的結(jié)果，用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性”。按上述定義，PKI可以提供數(shù)據(jù)單元的密碼變換，并能使接收者判斷數(shù)據(jù)來源及對數(shù)據(jù)進(jìn)行驗(yàn)證?；赑KI的電子簽名被稱作“數(shù)字簽名”。有人稱“電子簽名”就是“數(shù)字簽名”是錯誤的。數(shù)字簽名只是電子簽名的一種特定形式。因?yàn)殡娮雍灻m然獲得了技術(shù)中立性，但也帶來使用的不便，法律上又對電子簽名作了進(jìn)一步規(guī)定，如《電子簽名法》中就規(guī)定了“可靠電子簽名”和“高級電子簽名”。實(shí)際上就是規(guī)定了數(shù)字簽名的功能，這種規(guī)定使數(shù)字簽名獲得了更好的應(yīng)用安全性和可操作性。目前，具有實(shí)際意義的電子簽名只有公鑰密碼理論。所以，目前國內(nèi)外普遍使用的、技術(shù)成熟的、可實(shí)際使用的還是基于PKI的數(shù)字簽名技術(shù)。作為公鑰基礎(chǔ)設(shè)施PKI可提供多種網(wǎng)上安全服務(wù)，如認(rèn)證、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認(rèn)性，其中都用到了數(shù)字簽名技術(shù)。

三、PKI技術(shù)的含義

1.什么是PKI？

PKI是Public Key Infrastructure的首字母縮寫，翻譯過來就是公鑰基礎(chǔ)設(shè)施;PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。

工程學(xué)家對PKI是這樣定義的：“PKI是一個用公鑰概念與技術(shù)來實(shí)施和提供安全服務(wù)的普遍適用的安全基礎(chǔ)設(shè)施。換句話說，PKI是一個利用非對稱密碼算法（即公開密鑰算法）原理和技術(shù)實(shí)現(xiàn)的并提供網(wǎng)絡(luò)安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施”。它遵循標(biāo)準(zhǔn)的公鑰加密技術(shù)，為電子商務(wù)、電子政務(wù)、網(wǎng)上銀行和網(wǎng)上證券業(yè)，提供一整套安全保證的基礎(chǔ)平臺。用戶利用PKI基礎(chǔ)平臺所提供的安全服務(wù)，能在網(wǎng)上實(shí)現(xiàn)安全地通信。PKI這種遵循標(biāo)準(zhǔn)的密鑰管理平臺，能夠?yàn)樗芯W(wǎng)上應(yīng)用，透明地提供加解密和數(shù)字簽名等安全服務(wù)所需要的密鑰和證書管理。PKI是創(chuàng)建、頒發(fā)、管理和撤消公鑰證書所涉及到的所有軟件、硬件系統(tǒng)，以及所涉及到的整個過程安全策略規(guī)范、法律法規(guī)以及人員的集合。安全地、正確地運(yùn)營這些系統(tǒng)和規(guī)范就能提供一整套的網(wǎng)上安全服務(wù)。PKI的核心執(zhí)行機(jī)構(gòu)是認(rèn)證機(jī)構(gòu)CA（Certificate Authority），其核心元素是數(shù)字證書。公鑰證書和私鑰是用加密文件存放在證書介質(zhì)中，證書是由認(rèn)證服務(wù)機(jī)構(gòu)CA所簽發(fā)的權(quán)威電子文檔，CA與數(shù)字證書等是公鑰基礎(chǔ)設(shè)施PKI的主要組成機(jī)構(gòu)和元素。CA認(rèn)證機(jī)構(gòu)在《電子簽名法》中被稱作“電子認(rèn)證服務(wù)提供者”。

2.數(shù)字證書。

數(shù)字證書簡稱證書，是PKI的核心元素，由認(rèn)證機(jī)構(gòu)服務(wù)者簽發(fā)，它是數(shù)字簽名的技術(shù)基礎(chǔ)保障;符合X.509標(biāo)準(zhǔn)，是網(wǎng)上實(shí)體身份的證明，證明某一實(shí)體的身份以及其公鑰的合法性，及該實(shí)體與公鑰二者之間的匹配關(guān)系，證書是公鑰的載體，證書上的公鑰唯一與實(shí)體身份相綁定?，F(xiàn)行的PKI機(jī)制一般為雙證書機(jī)制，即一個實(shí)體應(yīng)具有兩個證書，兩個密鑰對，一個是加密證書，一個是簽名證書，加密證書原則上是不能用于簽名的。

證書在公鑰體制中是密鑰管理的媒介，不同的實(shí)體可通過證書來互相傳遞公鑰，證書由權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)CA簽發(fā)。是權(quán)威性電子文檔。證書的主要內(nèi)容，按X.509標(biāo)準(zhǔn)規(guī)定其邏輯表達(dá)式為：

CA《A》=CAxV，SN，AI，CA，UCA，A，UA，Ap，Tay

其中：CA《A》---認(rèn)證機(jī)構(gòu)CA為用戶A頒發(fā)的證書

CAx，，，y---認(rèn)證機(jī)構(gòu)CA對花括弧內(nèi)證書內(nèi)容進(jìn)行的數(shù)字簽名

V---證書版本號

SN---證書序列號

AI---用于對證書進(jìn)行簽名的算法標(biāo)識

CA---簽發(fā)證書的CA機(jī)構(gòu)的名字

UCA---簽發(fā)證書的CA的惟一標(biāo)識符

A---用戶A的名字 UA---用戶A的惟一標(biāo)識

Ap---用戶A的公鑰 Ta---證書的有效期

從V到Ta是證書在標(biāo)準(zhǔn)域中的主要內(nèi)容。

證書的這些內(nèi)容主要用于身份認(rèn)證、簽名的驗(yàn)證和有效期的檢查。CA簽發(fā)證書時，要對上述內(nèi)容進(jìn)行簽名，以示對所簽發(fā)證書內(nèi)容的完整性、準(zhǔn)確性負(fù)責(zé)并證明該證書的合法性和有效性，將網(wǎng)上身份與證書綁定。

CA頒發(fā)的上述證書與對應(yīng)的私鑰存放在一個保密文件里，最好的辦法是存放在IC卡和USBKey介質(zhì)中，可以保證私鑰不出卡，證書不能被拷貝、安全性高、攜帶方便、便于管理。這就是《電子簽名法》中所說的“電子簽名生成數(shù)據(jù)，屬于電子簽名人所有并由電子簽名人控制。”的具體作法。

四、PKI技術(shù)的發(fā)展現(xiàn)狀及趨勢

PKI的應(yīng)用涉及電子商務(wù)、電子政務(wù)、電子事物等諸多領(lǐng)域，PKI具有非常廣闊的市場應(yīng)用前景，具體表現(xiàn)為如下幾個方面：

1.對我國電子商務(wù)有很大的促進(jìn)和有力發(fā)展的作用。《電子簽名法》制定的宗旨就是為了保障電子商務(wù)的安全，維護(hù)有關(guān)各方的合法利益，促進(jìn)電子商務(wù)的發(fā)展，而制定本法。有了《電子簽名法》就可以解決電子商務(wù)參與方的不可否認(rèn)性，提高電子商務(wù)交易的安全;可以實(shí)現(xiàn)網(wǎng)上自動在線支付，解決目前我國電子商務(wù)的瓶頸問題。

2.對金融界的應(yīng)用，金融行業(yè)是PKI技術(shù)應(yīng)用最活躍、最廣泛的領(lǐng)域。銀行審核網(wǎng)銀用戶身份的真實(shí)性，用戶的身份必須是真實(shí)可靠的，簽名才有實(shí)際意義，這是使用數(shù)字簽名的基礎(chǔ)。交易額大、安全性要求高的交易必須使用數(shù)字簽名。由于數(shù)字簽名是一種相對復(fù)雜的計(jì)算方式，簽名的過程要耗費(fèi)一定的系統(tǒng)資源，一般是在交易金額大、安全性要求高的網(wǎng)銀業(yè)務(wù)中使用數(shù)字簽名。作為金融行業(yè)統(tǒng)一的第三方安全認(rèn)證機(jī)構(gòu)，在保障網(wǎng)上交易安全，提供公正、可信的認(rèn)證服務(wù)方面發(fā)揮了重要的作用。上面是電子簽名在網(wǎng)銀中的應(yīng)用特點(diǎn);從應(yīng)用的范圍和廣度講，目前國內(nèi)的網(wǎng)上銀行業(yè)務(wù)中基本上都采用了數(shù)字簽名技術(shù)。

3.對《票據(jù)法》的改革，有了《電子簽名法》作母法，我國的票據(jù)法要以《電子簽名法》作依據(jù)，制定和完善整套的銀行新法規(guī)。這樣銀行就可以節(jié)省大量的紙張印刷，減少費(fèi)用，提高效益。還有網(wǎng)上證券的交易、網(wǎng)上稅務(wù)等等一方面是缺乏好的的安全支付協(xié)議，更主要就是沒有數(shù)字簽名的法律保障;技術(shù)是基礎(chǔ)，法律是保證，這些都是“電子簽名”應(yīng)用更大的領(lǐng)域。

4.對《合同法》的修改，合同也可以以電子文件形式出現(xiàn)。有了PKI技術(shù)作保證，網(wǎng)上招標(biāo)、網(wǎng)上采購都可以根據(jù)電子合同作為依據(jù)。為了適應(yīng)傳統(tǒng)業(yè)務(wù)經(jīng)營需要，還可以將電子簽名與傳統(tǒng)的手工簽名或印章做成“電子簽名”可視化，即在驗(yàn)證了電子簽名真?zhèn)蔚耐瑫r，可調(diào)用打印經(jīng)圖形化處理過的手書簽名或圖章，這樣即可適應(yīng)傳統(tǒng)習(xí)慣認(rèn)證方法，又將簽名向先進(jìn)電子技術(shù)領(lǐng)域推進(jìn)一步。

自21世紀(jì)以來，PKI技術(shù)作為信息安全的關(guān)鍵技術(shù)逐步得到許多國家的政府和企業(yè)的廣泛重視，PKI技術(shù)理論研究進(jìn)入到了商業(yè)化應(yīng)用階段，如今PKI技術(shù)發(fā)展已經(jīng)日趨成熟，許多新技術(shù)還在不斷涌現(xiàn)，CA之間的信任模型，使用的加密算法、密鑰管理方案也在不斷的變化中。隨著“互聯(lián)網(wǎng)+”時代的來臨，信息化技術(shù)不斷地影響著人們的思維，改進(jìn)了我們的工作、生活方式，隨著《電子簽名法》的修正，電子簽名技術(shù)將給我們的“互聯(lián)網(wǎng)+”時代的工作和生活帶來積極正面的影響。

參考文獻(xiàn)：

[1] 樊迎光，馮俊麗，王永. 電子商務(wù)安全中的數(shù)字簽名技術(shù). 福建電腦.2009第2期.

[2] 祝洪杰，鄒玉妮，侯瑞蓮陶洋.數(shù)字簽名技術(shù)在電子商務(wù)系統(tǒng)中的應(yīng)用. 山東輕工業(yè)學(xué)院學(xué)報(bào).2007年第4期.

第9篇：驗(yàn)證電子合同的有效方法范文

早在2010年筆者曾撰文《數(shù)字簽名在注冊會計(jì)師行業(yè)的應(yīng)用》，對審計(jì)報(bào)告的電子化進(jìn)行過理論探討。如今，隨著電子政務(wù)的發(fā)展，電子簽名技術(shù)的應(yīng)用日益廣泛，財(cái)務(wù)審計(jì)報(bào)告的電子化已經(jīng)進(jìn)入了實(shí)踐領(lǐng)域。

（一）北京市社會團(tuán)體無紙化年檢方案介紹。為推進(jìn)無紙化辦公，優(yōu)化年檢服務(wù)，提高年檢效率，節(jié)約辦事成本，北京市民政局決定，從2015年起，通過改造年檢系統(tǒng)，推行法人單位數(shù)字證書，利用電子簽章實(shí)現(xiàn)申報(bào)材料電子化，取消文本材料報(bào)送。社會組織登記管理機(jī)關(guān)、業(yè)務(wù)主管單位和社會組織等年檢事務(wù)參與方，使用數(shù)字證書登錄系統(tǒng)進(jìn)行身份識別，并利用電子簽章實(shí)現(xiàn)電子版年檢申報(bào)材料報(bào)送。

電子財(cái)務(wù)審計(jì)報(bào)告是年檢申報(bào)材料的重要組成部分，會計(jì)師事務(wù)所出具社會組織電子審計(jì)報(bào)告流程為：首先由會計(jì)師事務(wù)所出具社會組織財(cái)務(wù)審計(jì)報(bào)告電子版；其次使用數(shù)字證書簽章工具，加蓋單位電子簽章和個人電子簽章；最后向社會組織提供加蓋單位和個人電子簽章的電子版審計(jì)報(bào)告。《中華人民共和國電子簽名法》第三條明確規(guī)定：“民事活動中的合同或者其他文件、單證等文書，當(dāng)事人可以約定使用或者不使用電子簽名、數(shù)據(jù)電文。當(dāng)事人約定使用電子簽名、數(shù)據(jù)電文的文書，不得僅因?yàn)槠洳捎秒娮雍灻?、?shù)據(jù)電文的形式而否定其法律效力?！币虼?，采用電子簽名方式的電子版財(cái)務(wù)審計(jì)報(bào)告，具備了合規(guī)性、合法性。

（二）運(yùn)行效果。北京市社會組織年檢無紙化工作分兩期進(jìn)行，首期在2015年6月前完成市級社會組織和試點(diǎn)區(qū)縣推廣任務(wù)；第二期將總結(jié)試點(diǎn)經(jīng)驗(yàn)，逐步將成果擴(kuò)大到全市社會組織范圍。首批參加無紙化年檢的社會組織包括市級社會團(tuán)體、民辦非企業(yè)單位、基金??；順義區(qū)試點(diǎn)社會團(tuán)體、民辦非企業(yè)單位。目前該項(xiàng)改革工作扎實(shí)推進(jìn)，利用數(shù)字簽章功能實(shí)現(xiàn)了年檢申報(bào)材料電子化、年檢審查程序網(wǎng)絡(luò)化、審核行為即時化、年檢檔案數(shù)字化。相關(guān)企業(yè)的財(cái)務(wù)審計(jì)報(bào)告實(shí)現(xiàn)了真正意義上的電子化，很多地方值得借鑒，建議在注冊會計(jì)師行業(yè)大力推廣。

二、推行電子財(cái)務(wù)審計(jì)報(bào)告的積極意義

（一）提高服務(wù)效率，便于信息共享。審計(jì)報(bào)告的電子化最直接的影響是可以取消文本資料的報(bào)送和傳輸，節(jié)約紙張，真正實(shí)現(xiàn)無紙化辦公，更加環(huán)保。紙質(zhì)審計(jì)報(bào)告的傳輸需要郵寄或?qū)Ｈ怂瓦_(dá)，會消耗諸如交通費(fèi)、快遞費(fèi)等相應(yīng)的成本，并且在傳遞過程中會花費(fèi)一定的時間，最快也要幾小時，如果一份審計(jì)報(bào)告需要提交給不同的部門需要多次郵寄或傳送，花費(fèi)大量的人力物力。

審計(jì)報(bào)告實(shí)現(xiàn)電子化以后，報(bào)告通過網(wǎng)絡(luò)能夠快速傳達(dá)，可以為會計(jì)師事務(wù)所和被審計(jì)單位節(jié)約成本，提高辦事效率。在建設(shè)支撐系統(tǒng)時，還可以選擇將電子版的財(cái)務(wù)審計(jì)報(bào)告在注冊會計(jì)師協(xié)會系統(tǒng)中備份，來實(shí)現(xiàn)備案。這樣，工商、稅務(wù)、銀行等部門經(jīng)過授權(quán)后也可以很方便地通過注冊會計(jì)師協(xié)會的網(wǎng)站查詢到相關(guān)企業(yè)的電子審計(jì)報(bào)告，實(shí)現(xiàn)信息共享。

（二）打擊不法中介，保護(hù)注冊會計(jì)師合法權(quán)益。目前社會上存在不法中介偽造、變造注冊會計(jì)師審計(jì)報(bào)告等情況，極大地?fù)p害了注冊會計(jì)師行業(yè)的聲譽(yù)以及注冊會計(jì)師的合法權(quán)益。審計(jì)報(bào)告實(shí)現(xiàn)電子化以后，只有具備出具電子審計(jì)報(bào)告條件的會計(jì)師事務(wù)所，即：辦理過單位數(shù)字證書和個人數(shù)字證書的事務(wù)所才能在審計(jì)報(bào)告上加蓋電子簽名，電子審計(jì)報(bào)告才能是合法的?，F(xiàn)代密碼技術(shù)保證了用戶的數(shù)字證書和密鑰是不可偽造的，所以，不法中介如果偽造、變造審計(jì)報(bào)告，他們沒有合法的電子簽名，無法通過驗(yàn)證。

（三）遏制多套賬行為，解決信息不對稱問題。有些企業(yè)出于不同目的，會存在多套賬的行為，如為了申請某種資質(zhì)、辦理銀行貸款，往往會虛增資產(chǎn)和利潤，而為了避稅目的又會隱瞞收入減少利潤，然后聘請不同的會計(jì)師事務(wù)所對不同目的的多套賬分別出具審計(jì)報(bào)告。紙質(zhì)審計(jì)報(bào)告的環(huán)境下，由于信息傳輸不方便，會計(jì)師事務(wù)所、政府部門、銀行等很難發(fā)現(xiàn)這一問題。于是，會計(jì)師事務(wù)所面臨極高的執(zhí)業(yè)風(fēng)險(xiǎn)，同時也會導(dǎo)致國家稅款流失，銀行的資金安全也受到威脅。審計(jì)報(bào)告實(shí)現(xiàn)電子化以后，能很方便地實(shí)時傳輸，每一份審計(jì)報(bào)告可以很方便地查詢真?zhèn)?，從而能夠遏制多套賬行為，解決信息不對稱問題。

（四）有利于注冊會計(jì)協(xié)會的行業(yè)監(jiān)管。目前各省注冊會計(jì)師協(xié)會都建立了會計(jì)師事務(wù)所業(yè)務(wù)報(bào)備制度，對于加強(qiáng)行業(yè)監(jiān)管起到了一定的作用。但目前多數(shù)省級注冊會計(jì)師協(xié)會規(guī)定的業(yè)務(wù)報(bào)備，都是對被審計(jì)單位名稱、收費(fèi)標(biāo)準(zhǔn)、審計(jì)意見類型、簽字注冊會計(jì)師等基本信息進(jìn)行備案，至于完整的審計(jì)報(bào)告情況注協(xié)是看不到的。在手工簽名加蓋章的情況下，要實(shí)現(xiàn)每一份紙質(zhì)審計(jì)報(bào)告都在注協(xié)備案顯然也不可行。這樣事務(wù)所就可以有選擇地進(jìn)行業(yè)務(wù)報(bào)備，對于某些有問題的業(yè)務(wù)完全可以略去不報(bào)，注協(xié)是難以發(fā)現(xiàn)的。審計(jì)報(bào)告實(shí)現(xiàn)電子化以后，可以很方便地實(shí)現(xiàn)審計(jì)報(bào)告在注冊會計(jì)師協(xié)會的備案，這樣注冊會計(jì)師協(xié)會可以隨時了解各個事務(wù)所的業(yè)務(wù)動態(tài)，加強(qiáng)對會計(jì)師事務(wù)所執(zhí)業(yè)質(zhì)量的監(jiān)管。

三、財(cái)務(wù)報(bào)告電子化實(shí)施的保障

（一）建立財(cái)務(wù)審計(jì)報(bào)告電子化的支撐系統(tǒng)。要實(shí)現(xiàn)財(cái)務(wù)審計(jì)報(bào)告的電子化，首要的保障措施就是建立審計(jì)報(bào)告電子化所需的支撐系統(tǒng)，包括相應(yīng)的軟件、硬件、人員和相應(yīng)的策略、操作規(guī)程和制度。注冊會計(jì)師和事務(wù)所使用這些系統(tǒng)制作電子版審計(jì)報(bào)告，而其他相關(guān)方要能夠接受和驗(yàn)證這些報(bào)告的完整性和合規(guī)性。如果需要考慮審計(jì)報(bào)告?zhèn)浒复鎯?，系統(tǒng)還需要具有安全存儲、檢索等功能。

（二）數(shù)字證書的申請、發(fā)放和吊銷。要實(shí)現(xiàn)財(cái)務(wù)審計(jì)報(bào)告的電子化，另一個首要的保障措施就是數(shù)字證書的管理。根據(jù)《中華人民共和國電子簽名法》的規(guī)定，“電子簽名需要第三方認(rèn)證的，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)。” 這就是說，如果簽名需要第三方認(rèn)證，簽名人必須事先獲取一個由權(quán)威機(jī)構(gòu)簽發(fā)的數(shù)字證書，以保證文件接收者能夠驗(yàn)證他的身份。

具體到注冊會計(jì)師行業(yè)，就應(yīng)當(dāng)是全國和地方的注冊會計(jì)師協(xié)會通過CA中心（Certificate Authority，電子認(rèn)證服務(wù)機(jī)構(gòu)）進(jìn)行數(shù)字證書的簽發(fā)、吊銷等管理。數(shù)字證書代表了某個注冊會計(jì)師的身份，注協(xié)通過為其簽發(fā)數(shù)字證書（USBKey），表明審核通過了注冊會計(jì)師的入會申請，授予其簽發(fā)審計(jì)報(bào)告的資格。注冊會計(jì)師具備執(zhí)業(yè)資格后，就可以使用該證書對經(jīng)審核的審計(jì)報(bào)告進(jìn)行數(shù)字簽名來完成業(yè)務(wù)（會計(jì)師事務(wù)所數(shù)字證書的獲取過程與此相同）。

（三）人員培訓(xùn)。一旦推行財(cái)務(wù)審計(jì)報(bào)告的電子化，就要分期分批地對注冊會計(jì)師進(jìn)行相關(guān)培訓(xùn)。由各省市注冊會計(jì)師協(xié)會牽頭，結(jié)合注冊會計(jì)師后續(xù)教育，開展專題培訓(xùn)，詳細(xì)介紹和現(xiàn)場演示數(shù)字證書的使用方法、電子審計(jì)報(bào)告的簽發(fā)流程以及網(wǎng)絡(luò)運(yùn)行環(huán)境的要求等，并且要在培訓(xùn)中讓廣大注冊會計(jì)師明確電子簽名的法律效力，做到數(shù)字證書專人專用，避免法律糾紛。同時，數(shù)字證書的制作單位應(yīng)該提供技術(shù)支持和電話咨詢服務(wù)。

（四）數(shù)字證書的日常管理。依據(jù)《中華人民共和國電子簽名法》的規(guī)定，頒發(fā)給會計(jì)師事務(wù)所和注冊會計(jì)師的數(shù)字證書，用于表明其合法的身份，在電子財(cái)務(wù)審計(jì)報(bào)告上簽名時，與實(shí)體印章具有同等法律效力。注冊會計(jì)師協(xié)會應(yīng)該要求各事務(wù)所建立相應(yīng)的數(shù)字證書使用管理制度，加強(qiáng)證書介質(zhì)和證書私鑰的管理，做到專人使用，確保電子簽章的使用與保管與本單位實(shí)體印章的使用與保管規(guī)定一致。

（五）審計(jì)報(bào)告的實(shí)時驗(yàn)證。當(dāng)會計(jì)師事務(wù)所將審計(jì)報(bào)告發(fā)送給被審計(jì)單位或其他審計(jì)報(bào)告使用者時，要使用數(shù)字證書進(jìn)行簽章，而電子簽名的結(jié)果就是以注冊會計(jì)師私有密鑰和原始審計(jì)報(bào)告作為已知數(shù)據(jù)運(yùn)算和生成的一段新的數(shù)據(jù)，沒有這兩者中的任何一個，都無法制作出電子簽名。

審計(jì)報(bào)告接收者會使用數(shù)字證書（公共密鑰）對收到的審計(jì)報(bào)告進(jìn)行驗(yàn)證，驗(yàn)證該數(shù)字證書是否由其聲明的CA中心頒發(fā)，并會驗(yàn)證其數(shù)字證書是否在有效期內(nèi)，是否已被吊銷。如果這些審核項(xiàng)都通過，就表明被審計(jì)單位成功核實(shí)了電子簽名，證明該報(bào)告是?特定的具備資質(zhì)的注冊會計(jì)師和會計(jì)師事務(wù)審核，并且該審計(jì)報(bào)告簽名以后未經(jīng)改動。如果在注冊會計(jì)師簽名完成后，審計(jì)報(bào)告再有任何改動，都會造成簽名驗(yàn)證失敗，所以，對已簽名報(bào)告的任何改動都是無效的。驗(yàn)證數(shù)字簽名的有效性比起紙質(zhì)辦公條件下驗(yàn)證印章和簽名的真?zhèn)螘菀缀椭庇^。

（六）電子審計(jì)報(bào)告的檢索服務(wù)。財(cái)務(wù)審計(jì)報(bào)告的電子化為不同部門實(shí)現(xiàn)信息共享提供了可能性，與此同時也面臨一個新的問題就是電子財(cái)務(wù)審計(jì)報(bào)告允許哪些人員或機(jī)構(gòu)來查閱，因?yàn)樨?cái)務(wù)信息是企業(yè)重要的商業(yè)機(jī)密。注冊會計(jì)師協(xié)議可以提供電子財(cái)務(wù)審計(jì)報(bào)告的存儲系統(tǒng)和查詢系統(tǒng)，向相關(guān)方提供查詢功能。

驗(yàn)證電子合同的有效方法精選(九篇)

第1篇：驗(yàn)證電子合同的有效方法范文

第2篇：驗(yàn)證電子合同的有效方法范文

第3篇：驗(yàn)證電子合同的有效方法范文

第4篇：驗(yàn)證電子合同的有效方法范文

第5篇：驗(yàn)證電子合同的有效方法范文

第6篇：驗(yàn)證電子合同的有效方法范文

第7篇：驗(yàn)證電子合同的有效方法范文

第8篇：驗(yàn)證電子合同的有效方法范文

第9篇：驗(yàn)證電子合同的有效方法范文

相關(guān)文章閱讀

相關(guān)期刊推薦

中國新藥與臨床

社會創(chuàng)新研究

流體力學(xué)實(shí)驗(yàn)與測量

反壟斷研究

認(rèn)知詩學(xué)

精選范文推薦