电子商务法律与安全课件

电子商务法律与安全环境

第一节电子商务的法律环境一、电子商务的法律关系

二、电子合同和交易安全

三、知识产权保护四、建立和完善法律环境

五、全球电子商务立法状况

第二节电子商务的安全环境一、电子商务安全问题二、电子商务安全的基本要求三、建立电子商务安全体系

第三节电子商务安全协议一、SSL安全技术协议

二、SET安全技术协议

三、其他安全协议(略)第四节电子商务安全技术一、数字加密技术

二、数字签名和数字指纹

三、数字证书

一、电子商务的法律关系（一）电子商务主体法律关系电子商务的法律主体1、法人电子商务经营者随着网络经济的发展，各种机关、企事业单位、社会团体法人实体开始利用网络这一先进的技术开展活动。这是发展电子商务的必要基础。2、自然人电子商务经营者电子商务主体法律关系在电子商务交易过程中，买卖双方之间，买卖双方与银行之间，买卖双方、银行与认证机构之间都彼此发生法律关系。

电子商务尽管快捷，但其交易过程实际上很复杂，涉及的参加人较多，主要包括网络服务商、买卖双方、认证机构、金融服务提供者等。（二）电子商务法律问题电子商务法律涉及两个方面的问题：信息技术方面问题和商务应用方面问题从信息技术角度的法律问题是两个：一个是包括交易安全和支付安全的问题，另一个是个人信息的安全问题。从商务应用角度来说也是两个：一个是商业欺诈与商务侵权问题，另一个是商品和服务的质量问题。二、电子合同和交易安全（1/2）

（一）电子合同概念和特征

电子合同，又称电子商务合同。根据联合国国际贸易法委员会《电子商务示范法》，新加坡、澳大利亚等国颁布的电子交易法以及我国《合同法》等成文立法的规定，我们可以对电子合同作如下广义理解：电子合同，是当事人之间通过信息网络平台以电子形式达成的设立、变更、终止财产性民事权利义务关系的协议。二、电子合同和交易安全（2/2）（二）电子合同交易安全当许多传统的商务方式应用在Internet上时，便会带来许多源于安全方面的问题，如传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。电子商务的大规模使用虽然只有几年时间，但不少公司都已经推出了相应的软、硬件产品。由于电子商务的形式多种多样，涉及的安全问题各不相同，但在Internet上的电子商务交易过程中，最核心和最关键的问题就是交易的安全性。关于交易的安全性问题，我们将在“电子商务安全”中讨论。

三、知识产权保护知识产权：公民或法人等主体依据法律的规定，对其从事智力创作或创新活动所产生的知识产品所享有的专有权利，又称为“智力成果权”、“无形财产权”。主要包括发明（专利）、商标（商号）、版权（著作权）。如何在以互联网为基础的电子商务时代保护知识产权是世界各国面临的重大问题。国际社会一方面通过制定新的公约加以协调，另一方面要求各国知识产权法作出相应的调整，以适应全球电子商务发展的需要。这里我们讨论以下三个问题：

（一）电子商务中的商标侵权

（二）域名抢注问题及商标与域名冲突问题

（三）电子商务中的隐私与版权保护问题（一）电子商务中的商标侵权电子商务中的商标侵权比较集中地表现为两个方面：一是“链”上的商标之争；二是搜索引擎引起的“隐形”商标侵权纠纷。在互联网上，处于不同服务器上的文件可以通过超文本标记语言（HTML）链接起来。网页设计者往往在网页上设计某个蓝色或者绿色的字符或图形，用户只要在这些字符或图形上一点，另一个网页或者网页的另一部分内容就呈现在用户的计算机屏幕上。这些字符或图形被称之为“锚”，而网上文件转换和跳跃的过程就是“链接”。用户轻轻点击“锚”就能实现网络文件之间的跳跃和转换，是因为“锚”上嵌着被链文件的网上地址，能让用户的浏览器按照这些地址找到被链的文件。这种超文本链接使互联网成为一个庞大的信息集合体。直接用被链文件的网上地址作为锚的情况是很少的，通常情况下，文字、标题或标志被用作锚的外表，这种表里不一的情况引发了许多问题和纠纷。网络中商标侵权纠纷的另一个热点是由网上搜索引擎引起的“隐形”商标侵权纠纷。隐形商标侵权纠纷实际上与“元标记”设计和网上搜索引擎的发展有关。隐形使用他人商标，靠他人的商业信誉把用户吸引到自己的网页，虽没有直接在自己的商品上或商品广告中使用他人的注册商标，但至少淡化、贬低了他人的商标，构成新型的商标侵权。这可适用于我国《商标法》。

（二）域名抢注问题及商标与域名冲突域名是连接到因特网上的计算机的地址，设计域名的初衷是便于计算机联网和网上通讯联系，然而，因其易记便用，被广泛用作一种商业标示符号。域名系统的技术特征决定了域名的唯一性，即只要某人注册了某个域名，他人就不能再注册与之完全相同的域名。因此，有些别有用心的人就想出了将他人的知名商标、商号或其他标志（例如上市公司简称）注册为域名，再以高价将这些域名卖给其知识产权的所有人，这属于“恶意抢注”。“域名”已实际上成为商誉、乃至商号的一部分受到了保护，并作为无形资产被交易着。目前国际上的一些条约中，也仅仅规定“国际知名的商标”所有人，有权禁止他人以自己的商标抢注域名；而非驰名商标及商号与“域名”矛盾的焦点之一则是在权利产生的程序上。这是因为，商标权多是经官方行政批准注册产生；商号权却是依实际使用产生；而域名专用权则多经非官方组织登记产生。中国为探寻符合国际标准和适合中国国情的域名制度，于1997年5月30日，国务院信息办印发了《中国互联网络域名注册暂行管理办法》（简称《域名管理办法》），其中只规定了“不得使用不属于自己的已注册商标申请域名注册”；并没有禁止以他人的商标和商号抢注域名。中文域名抢注案例上海有人抢注16个相关域名，要价333万

据北京媒体报道，“团团”“圆圆”一经公布，便在网络域名抢注领域引起轩然大波，“团团”“圆圆”的中文和英文重要域名全部被有心人抢注。据上海的彭先生介绍，2006年春节晚会上“团团”、“圆圆”这两个名字公布后的几秒钟内，他就已经把与两只大熊猫有关的16个域名全部注册到了自己名下，他共抢注了16个相关域名，并抛出了333万元出售的天价。16个域名分别为“团团．com”、“圆圆．com”等，每一个的最低拍卖价都在10万元人民币以上，而最贵的要88万元。热门域名被抢注愈演愈烈

近来国内一些著名品牌域名被抢注的消息不时见诸报端，中文域名抢注愈演愈烈。2006年11月11日奥运吉祥物“五福娃”揭晓当晚，“五福娃”．cn和．com域名就已经被抢注。部分域名随后在淘宝、易趣等网上热卖，一度被拍到5万元的天价。卖家们这样解释它的昂贵：“此名称在未来三年内绝对升值潜力无限。”

在“神六”发射前，“shen6”域名已被抢先注册，并被转让，最高报价达13万元。

我国的私人域名这两年增加迅猛，已从2002年的12万个增加到2005年底的109万个。（三）电子商务中的版权与隐私保护问题

电子商务中出现的版权新问题集中表现：商务信息的版权、向公众传播权、复制权以及因特网上的数据库保护等几个方面。国际社会主要通过TRIPS协议、WIPO（世界知识产权组织）的两个“因特网条约”——WCT（WIPO版权条约）和WPPT（WIPO表演者与录音制品条约）来解决，尽管这些条约并不是仅仅针对电子商务而规定的，但都有与因特网上版权保护相关的内容。我国《著作权法》对其也有相关内容。案例:汤加丽版权事件导航网站模仿相互攻击“个人信息保护法”呼之欲出。汤加丽版权事件四、建立和完善电子商务法律环境

（一）建立、完善电子商务交易的信用制度

（二）完善电子合同订立的法律保护

（三）加强电子商务交易中的消费者保护

（四）电子商务中的知识产权保护

（五）完善电子商务的税收管理

（一）建立、完善电子商务交易的信用制度电子商务交易首先是一种商品交易，虽然其交易的形式产生了变化，但是电子商务的目的仍然是商业活动的有效，而贸易活动的进行则必须遵循市场规范。市场经济是法制经济，也是信用经济，在交易主体无需面对面洽谈的电子商务交易中，信用保证显得尤为重要。我国加入WTO以后，在与世界经济并轨的过程中，建立与国际信用环境相适应的信用制度与社会信用体系正是我国完善市场法律环境的现实问题，也是大力发展网络经济亟待解决的问题。构建电子商务的良好市场环境应从信用开始，信用制度是发展电子商务的必要保证。

（二）完善电子合同订立的法律保护在电子商务中，合同的意义和作用没有发生改变，但与传统合同有所不同的是：第一，电子合同双方当事人可能自始至终都不见面，所有的当事人都在虚拟市场上运作，当事人的信用依靠密码的辨认或认证机构的认证；其次，在传统合同里表示合同生效的签字盖章在电子合同中被数字签名所代替；第三，传统合同的生效地点一般为合同的成立地点，而电子合同的生效地点是以接收人的主营业地或经常居住地为合同成立地点。以数据电文方式订立的电子合同是对传统合同法的一种挑战。这种挑战对合同订立的要约与承诺、合同的书面形式要求，以及签字生效、纠纷举证等方面都提出了新的问题。（三）加强电子商务交易中的消费者保护首先，关注信息安全问题。信息安全问题是电子商务中的首要问题，消费者在电子商务交易过程中，个人的信用卡密码和其他一些属于隐私的个人资料将会暴露无遗，如果这些资料数据被泄露、伪造、篡改都会使进行电子商务交易的消费者受到难以预料的损失，也会导致对电子商务本身的严重损害。其次，严惩广告欺诈与广告误导问题。信息交易是电子商务的重要内容，如果信息的发布者利用信息进行欺诈或以虚假不实的广告误导消费者，都会使消费者合法权益受到损害。因为，广告是消费者网上购物的主要依据，消费者在网上购物是根据广告文字和图象所提供的信息进行选择判断作出决定的，而不是像传统交易那样可以当面挑选，所以在电子商务中虚假广告更具有危害性。第三、明确责任界定与追究问题。在电子商务交易中，一件商品在最终送到消费者手中时，可能需要经过生产者、销售者、储运者等多个主体，经过商品信息的沟通、货物配送、货款支付等多个环节，在这诸多环节中，任何一个环节出现问题，都将损害消费者的合法权益。而由于环节诸多，对可能出现的诸如产品质量问题，消费者理解异议问题，商品损坏问题和假冒伪劣问题等等都会产生责任难于界定，难于追究。这必将影响到消费者的权益。

（四）电子商务中的知识产权保护在虚拟的电子商务世界中，传统的知识产权制度受到由电子商务活动而引发的法律问题的挑战和冲击。如域名与商标的冲突，域名的抢注，网上著作权及其邻接权的侵权等，都面临着法律保护问题。随着因特网的进一步发展，以因特网为基础的电子商务将在世界经济活动中占据越来越重要的地位，随着全球经济一体化的进程，电子商务中的知识产权保护将日益成为世界各国积极面对的问题。虽然用传统的《商标法》、《著作权法》等知识产权法律也能对其进行一定程度上的约束，但这种约束的力量已经显得滞后和无力，需要尽快加强这方面的立法。

（五）完善电子商务的税收管理

税收是实现国家职能的物质基础，是国家财政收入的主要来源。电子商务的发展给税收征管带来了新的机遇，也提出了新的挑战。一是，自因因特网商业化以来，网上贸易得到了空前的发展，虚拟商场、网上劳务贸易、网上结算都呈快速增长的趋势，网上交易的营业额已由十几亿美元增长至上千亿美元。二是，由于电子商务以全新的交易形式代替了传统的贸易方式，传统商业流通形式、劳务提供方式、财务管理方式等都因此发生了重大的变化。三是，由于电子商务代替传统的贸易方式，纳税环节、纳税地点、纳税方式、国际税收管辖权等都遇到了新的问题。以传统的税收理论和税收原则建立起来的税收制度如何适应电子商务，是税收管理面临的电子商务时代的挑战。

五、全球电子商务立法状况

（一）电子商务立法概要

（二）国际电子商务立法内容

（三）我国电子商务立法工作已经启动

（一）电子商务立法概要联合国国际贸易法委员会遂在EDI规则研究与发展的基础上，于1996年6月通过了联合国国际贸易法委员会《电子商务示范法》。示范法的颁布为逐步解决电子商务的法律问题奠定了基础，为各国制定本国电子商务法规提供了框架和示范文本。自1996年以来，在《电子商务示范法》制定之后，一些国际组织与国家纷纷合作，制定各种法律规范，形成了国际电子商务立法的高速发展期，其成果主要体现在三个方面。1、WTO的三大突破性协议2、国际商会加快制定电子商务指导性交易规则3、一些地区性组织和国家积极指定各项电子商务的政策

（二）国际电子商务立法内容

当前的国际电子商务立法主要设计以下几方面的内容：1、市场准入；2、税收；3、电子商务合同的成立；4、安全与保密；5、知识产权；6、隐私权保护；7、电子支付

一、电子商务安全问题

电子商务安全性归纳起来，可以概括为以下四个方面:信息传输的保密性交易文件的完整性交易不可抵赖性（不可否定性）交易者身份的确定性二、电子商务安全的基本要求

电子商务安全系统应充分保证数据传输、存储的完整及电子商务的准确和可控。

完整性:

1)数据传输的完整性

2)数据存储的完整性

3)完整性检查准确性

准确性:

文件发送和接收的准确。可靠性和可控性

可靠性、不可抵赖性和可控性:可靠性指保证合法用户对信息和资源的使用不会遭不正当的拒绝；不可抵赖性指建立有效的责任机制，防止实体否认其行为；可控性指的是控制使用资源的人或实体的使用方式。

三、建立电子商务安全体系

电子商务的大量问题（控制通信路由选择、追踪和监控通信过程、控制和封闭信息流通、保证通信的可靠性和敏感信息的安全、提供源和目标方的认证、实施法律意义上的公证和仲裁等）都涉及到安全方面，要认真研究，作出解决方案。除了加强制度、法规等管理措施外，还要强化信息系统本身的安全能力。

电子商务安全体系的关键:很多电子商务安全专家都是从内部网出发来考虑电子商务的安全问题。最根本做法是要发展商家和政府部门的内部网,并保证它们的安全性。

电子商务安全体系的构成:由于电子商务系统是把商家、客户和银行三方通过Internet连接起来以实现具体的商务操作，因此电子商务安全系统可由三个安全代理服务器及CA认证系统构成，它们遵循相同的协议，协调发挥交易数据的完整性、保密性、不可否认性等安全功能。

一、SSL安全技术协议

SSL的产生因特网所使用的网络协议为TCP/IP(传输控制/网间)协议，它能为用户提供可靠的信息传输。但由于历史原因，TCP/IP协议制定的过程中并没有考虑安全因素，Internet上的用户可能出现信息丢失或者得到错误的、被人更改过的信息。常见的在Internet上进行欺骗的行为模式：采用假的服务器来欺骗用户的终端；采用假的用户欺骗服务器；在信息传输过程中截取信息；在Web服务器及Web用户之间进行双方欺骗，等等。这些欺骗模式之所以能得逞，在于传输层协议上没有相应的安全措施。SSL在这种情况下应况下应运而生，由Netscape研制并实现，SSL（SecureSocketsLayer）的中文译名叫“安全套接层协议”。

（一）SSL协议提供的最基本目标与主要安全功能

（二）SSL协议的特点（一）SSL协议的基本目标与主要安全功能

SSL协议的最基本目标SSL协议的最基本目标是进行服务器/客户端方式进行通迅的两个应用程序之间保证其文件传输的保密性和数据的完整性。SSL的功能1、认证用户和服务器，以便确信数据能发往正确的客户机和服务器；2、对被发送的数据实施加密处理，以便保证数据的保密性；3、对传送的数据进行完整性检验，以便保证数据在传送过程中没有被改变（二）SSL协议的特点

SSL协议层包括两个协议子层：SSL记录协议与SSL握手协议。

1、SSL记录协议基本特点：连接安全性（1）连接是专用的。对数据进行对称加密，加密的算法有DES等，每次连接所使用的密钥是不同的，密钥的产生与协商由另一个协议（SSL握手协议来完成）。SSL记录协议也可以在不加密时使用。（2）连接是可靠的。信息的传输包括检查其数据完整性的字段，通过Hash函数来进行计算:对传输的数据进行分块、压缩、加密等程序，接收到信息是的程序正好相反，以确保信息的传输可靠。当通信的双方都应用SSL记录协议来进行协商时，能为安全参数的协商提供一个很好的传输器。2、SSL握手协议基本特点

SSL握手协议基本特点是能对通信双方的身份认证，因而协商是可靠的。进行协商的双方秘密是安全的。SSL安全技术在Internet服务器和客户机间提供了安全的TCP/IP通道。SSL可用于加密任何基于TCP/IP的应用，如HTTP、Telnet(远程登录协议)、FTP(文件传输协议)等。

在美国和加拿大，SSL产品普遍使用128位RSA算法。

二、SET安全协议

为了确保网上交易的安全可靠，国际信用卡集团VISA和MasterCard联合发起并推动了“安全电子交易”（SecureElectronicTransaction，SET）协议的制定、测试和实施，于1997年6月正式发布，是目前国际通用的网上支付标准。该标准采用RSA（因发明者的姓名为Rivest、Shemir、Adelman而得名“RSA”）公开密钥体制对通信双方进行认证，采用DES、BC4等对称加密体制加密要传输的信息，并用Hash算法来签别消息的真伪和有无被篡改。SET协议是一种支付协议。

（一）SET协议的目标（二）SET协议的作用（三）SET的特点（一）SET协议的目标

SET协议的目标：

1、保证信息在Internet上的安全传输，防止数据被黑客和内部人员窃取。2、保证电子商务参与者信息的相互隔离，使商家不能看到客户的账户和密码。3、完成多方认证，不仅对客户的信用卡认证，而且要对在线商家认证，实现客户、商家和银行间的相互认证。4、保证网上交易的实时性，实施在线支付的过程。5、规范协议和消息格式，促进不同厂家开发的软件具有兼容性和互操作性，且可运行在不同的硬件和操作系统平台上。（二）SET协议的作用

第一，信息能在网上安全传输

信息可在Internet上安全地传输，以保证网上传输的数据不被黑客窃取。第二，个人账号信息与订单信息的隔离

在将包括持卡人账号信息的定单送到商家时，商家只能看到定货信息，而看不到持卡人的账户信息。第三，对交易者的身份进行确认和担保

持卡人、商家和银行等交易者通过第三方权威机构身份认证服务，确定通信各方的身份。如果需要的话，第三方机构还提供在线通信各方的信用担保。第四，统一协议和报文的格式

SET安全技术要求应用软件遵循相同的协议和报文格式，使不同厂家开发的软件能相互兼容，并且可以运行在不同的硬件和操作平台上。

SET是一个非常复杂的协议，它非常详细而准确地反映了卡交易各方之间存在的各种关系。SET定义了加密信息的格式和完成一笔卡支付交易过程中各方传输信息的规则。SET远不止是一个技术方面的协议，它还说明了每一方所持有的数字证书的含义：希望得到数字证书以及响应信息的各方应有的动作，以及与一笔交易紧密相关的责任分担。

（三）SET的特点

SET主要有以下特点：

SET为商家提供了保护的手段，同时保护了用户的信用卡信息。SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。SET的另外一个优点在于：它可以用在系统的一部分或者全部。例如，一些商家正在考虑在与银行连接中使用SET，而与顾客连接时仍然使用SSL。这种方案既回避了在顾客机器上安装钱夹软件，同时又获得了SET提供的很多优点。绝大多数SET软件提供商在其产品中都提供灵活构筑系统的手段。无论是SSL还是SET安全技术，两者都用了数字加密技术。一、数字加密技术

加密的含义：为了保证信息在网上传输过程中不被篡改，对所发送的信息加以保密。加密后的数据称为密文，所以，即使您所发的密文被人窃取，但由于它没有密钥而无法将其还原成明文（未加密数据），从而保证了信息在传输过程中不被篡改。目前常用的加密方法主要有两种：

对称密钥密码体系

非对称密钥密码体系

原文（明文）密文密文原文（明文）发送解密加密发送方接收方（一）对称密钥密码体系

对称密钥密码体系（SymmetricCryptography）又称对称密钥技术，它对加密密钥与解密密钥使用相同的算法，即加密、解密使用同一密钥。

n个用户之间进行加密通讯需n（n-1）/2对密钥。

目前用的较多的对称密钥算法有DES（DataEncryptionStandard），该算法1972年由IBM公司提出，后被ISO（国际标准化组织）所接受，并作为数据加密标准。对称密钥密码体系的优点：是加密、解密速度很快。对称密钥密码体系的缺点：密钥难于共享，需太多密。

（二）非对称密钥密码体系

针对对称密钥密码体系的缺点，人们于1976年提出了非对称密钥密码体系（AsymmetricCryptography），也称公开密钥技术，它最重要的特点是加密和解密使用不同的密钥，每个用户保存着两个密钥：一个公开密钥PK（PublicKey），简称公钥，一个私人密钥IK（IndividualKey），简称私钥。现在用的最多、最有名的非对称密钥算法是RSA。RSA的数学原理：将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥）在计算上是不可能的。按现在的计算机水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开地传送至商户，然后由商户用自己的私有密钥进行解密。

非对称密钥体系中，在一个有Ｎ个通迅方参与的系统内，密钥总数仅为２Ｎ个，大大小于对称密钥系统的n（n-1）/2,这在Internet的环境下有着特别重要意义。非对称密钥技术的优点：易于实现，使用灵活，密钥较少。非对称密钥技术的弱点：要取得较好的加密效果和强度，必须使用较长的密钥，这样会加重系统的负担和减慢系统的吞吐速度，所以非对称密钥技术不适合对数量较大的报文进行加密。实践中结合使用上述两种加密技术的优点，以获得足够安全性和灵活性。这就是下面要叙述的“数字信封”技术。

（三）数字信封

“数字信封”（也称电子信封）技术结合了上面两种加密技术是优点，使用两个层次的加密来获得非对称密钥技术的灵活性和对称密钥技术的高效性。具体操作：1、发信方发送信息时生成一个对称密钥，用这个对称密钥加密所需发送的原文2、发信方用收信方的公开密钥加密这个对称密钥，连同加密了的原文一同传输到收信方3、收信方首先使用自己的私有密钥解密被加密的对称密钥4、收信方用该对称密钥解密出真正的原文。发送方（A方）明文对称密钥4发送网络明文7.解密1.生成密文3.PKB加密5接收密文对称密钥6.IKB解密对称密钥接收方(B方)2.加密二、数字签名和数字指纹采用数字加密技术及电子信封技术，信息传输的保密性得以解决。那么交易文件的完整性和不可抵赖性问题应如何解决。日常生活中的书信或文件是根据亲笔签名或印章来证明真实性的，但在网络传送的交易文件又如何签名盖章呢？这就是数字签名要解决的问题。采用数字签名意义有两点：1、保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。2、保证信息是自签发后到收到未作任何改动，签发的文件是真实文件。

非对称密码体系实现数字签名

数字指纹

数字签名（一）非对称密码体系实现数字签名

实现数字签名的方法有多种，但用非对称密钥要比用其它方法更容易实现。下面我们介绍使用非对称密钥密码体系的数字签名过程。数字签名原理：发送者A用其私人密钥IKA对报文X进行运算，将运算结果Y传送给接收者B。接收者B用已知A的公开解密密钥PKA进行解密运算得出X，从而证实报文X只可能是A发送的。（注意：因为除A外没有别人能具有A的解密密钥IKA，所以除A外没有别人能产生密文Y。这样，报文X就被A签名）。如果A要抵赖曾发送报文给B。B可将X及Y出示给第三者，第三者很容易用PKA去证实A确实发送报文X给B。反之，如果是B将X伪造成S，则B不能在第三者面前出示S，这样就证明B伪造了报文。可以看出，实现数字签名也同时实现了对报文来源的鉴别和防止接收方伪造报文。

上述过程只是对报文进行了签名。对传送的报文X本身却未保密。因为截到的密文Y,并知道发送者身份的任何人，都可以非常容易地获得发送者的公开密钥PKA，并用PKA对Y进行运算，便可获得报文X。A希望对报X加密，可使用B的公钥进行加密。从理论上说，A在向B发送报文时，可以使用PKB和IKA分别完成对报文的加密和数字签名。B在接到A发送的报文后，可以使用IKB和PKA分别完成对报文的解密和对数字签名的确认。网络原文(X)2发送密文(Y)1.IKA加密发送方(A方)3接收密文(Y)4.PKA解密接收方(B方)原文(X)网络原文3发送密文1.IKA签名发送方(A方)4接收密文5.IKB解密接收方(B方)原文签名文件2.PKB加密签名文件6.PKA签名确认（二）数字指纹

由于技术上的原因，非对称密钥密码体系不适合对数据量较大的报文加密（例如，RSA要求报文的长度必须小于密钥的长度），所以，目前报文的加密大量使用的仍然是对称密钥密码体系。为了用非对称密钥密码体系对报文进行数字签名，人们采用了数字指纹加密技术。这一加密方法也称安全Ｈash编码法：采用单向Hash函数运算得到一串128位的数据串（密文），这128位的密文就是所谓的数字指纹，又称信息鉴别码（MAC，MessageAuthenticatorCode）,

它有固定的长度。数字指纹的作用：不同的明文摘要成的密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这串摘要便成为验证明文是否是“真身”的指纹。数字指纹的应用使交易文件的完整性（不可修改性）得以保证。注：法国从2008年11月1日起，实行生理护照，原由护照使用至有效期结束为止。（三）数字签名

数字签名技术：把理论上的非对称密码体系实现数字签名和数字指纹结合起来，形成了实用的数字签名。实现实用数字签名的过程：发送方对被发送的原文用Hash算法加密产生128的数字摘要，形成数字指纹。（在数学上保证，只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符，这样就保证了报文的不可更改性。）发送方用自己的私钥对摘要再加密，形成了数字签名。发送方将原报文和加密的摘要同时发送给接收方。接收方用发送方的公钥对摘要解密，同时对收到的原文用Hash算法加密产生又一摘要。接收方将解密后的摘要和收到的原文与接收方重新加密产生的摘要相互对比。（如果两者一致，则说明报文确实来自所称的发送者，并且在传送过程中信息没有被破坏或修改过。）网络1.Hash运算(加密)发送方（A方）原文(明文)3发送摘要(指纹)2.IKA加密(签名)新摘要(指纹)6.Hash运算(解密)7.比对4接收原文(密文)摘要(指纹)5.PKA解密（）确认签名）摘要(指纹)接收方(B方)三、数字证书

交易者身份的确定性问题在网上随时可能发生冒名顶替的问题。如何防止冒名顶替呢？关键是要确认信息的接收方掌握的发送方的公开密钥确实是属于发送方的。这样就需要有一个公认的第三方来签发和管理公钥，在必要时，向接收方保证其掌握的公钥确实属于发送方的。这样的第三方就是我们称之为“认证中心”（简称CA中心，CertificateAuthority）的机构。由认证中心对申请者所提供的信息进行验证，并签发数字证书，这一数字证书正是用来证明用户和商家的真实身份的有效手段。

数字证书的概念

数字证书的类型

数字证书原理简介

认证中心的作用（一）数字证书的概念

数字证书：网络通信中标志通信各方身份信息的一系列数据。提供了一种在Internet上验证身份的方式，它是由一个权威机构（认证中心）又称为证书授权中心发行的。数字证书作用：类似于司机的驾驶职照或日常生活中的身份证，人们可以在交往中用它来识别对方的身份。数字证书的内容：数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称能及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信息证书的格式：遵循ITUTX.509国际标准。

（二）数字证书的三种类型

1、个人数字证书

仅为某一个用户提供数字证书，以帮助其个人在网上进行安全交易操作。个人身份的数字证书通常是安装在客户端的浏览器内，并通过安全的电子邮件来进行交易操作。2、企业（服务器）数字证书

通常为因特网上的某个Web服务器提供数字证书，拥有Web服务器的企业就可以用具有数字证书的万维网站点来进行安全电子交易。有数字证书的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。3、软件（开发者）数字证书

通常为因特网中被下载的软件提供数字证书，该证书用于和微软公司技术结合的软件，以使用户在下载软件时能获得所需的信息。个人数字证书企业（服务器）数字证书软件（开发者）数字证书（三）数字证书原理简介

数字证书采用非对称密钥密码体系。基本应用原理：每个用户自己设定一把特定的仅为本人所知的私有密钥，用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。发送保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。

（四）认证中心的作用

1、证书的颁发。认证中心（CA）接收、验证用户（包括下级认证中心和最终用户）的数字证书的申请，将申请的内容进行备案，并根据申请的内容确定是否受理该数字证书申请。如果中心接受该数字证书申请，则进一步确定给用户颁发何种类型的证书。新证书用认证中心的私钥签名以后，发送到目录服务器用户下载和查询。为了保证消息的完整性，返回给用户的所有应答信息都要使用认证中心的签名。2、证书的更新。认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书。3、证书的查询。证书的查询可以分为两类，其一是证书申请的查询，认证中心根据用户的查询请求返回当前用户证书申请的处理过程；其二是用户证书的查询，这类查询由目录服务器来完成，目录服务器根据用户的请求返回适当的证书。

4、证书的作废。当用户的私钥由于泄密等原因造成用户证书需要申请作废时，用户需要向认证中心提出证书作废的请求，认证中心根据用户的请求确定是否将该证书作废。另外一种证书作废的情况是证书已经过了有效期，认证中心自动将该证书作废。认证中心通过维护证书作废列表CRL（CertificateRevocationList）来完成上述功能。5、证书的归档。证书具有一定的有效期，证书过了有效期后就将作废，但是我们不能将作废的证书简单地丢弃，因为有时我们可能需要验证以前的某个交易过程中产生的数字签名，这时我们就需要查询作废的证书。基于此类考虑，认证中心还应当具备管理作废证书和作废私钥的功能。总的说来，基于认证中心的安全方案应该很好地解决网上用户身份认证和信息安全传输问题。总之，认证中心的建立是实现整个网络安全解决方案的关键和基础，它的建立对Internet上电子商务与政府上网应用具有非常重要的意义。认证中心，又称证书授权(CertificateAuthority)中心——CA中心，它是一个负责发放和管理数字证书的权威机构，作为电子商务交易中受信任的第三方，承担非对称密钥密码体系中公钥的合法性检验的责任。CA的作用如下：数字证书认证中心附件1：买卖双方的权利和义务买卖双方的权利和义务：买卖双方的权利和义务是对等的，卖方的义务就是买方的权利，反之亦然。在电子商务条件下，卖方应当承担四项义务：一是按照合同的规定提供服务或提交标的物及单据，二是对标的物的权利承担担保义务，三是对标的物的质量承担担保义务四是对消费者个人资料承担保密义务。在电子商务条件下，买方应当承担三项义务：一是按照电子商务交易规定方式支付价款的义务，二是按照合同规定的时间、地点和方式接受标的物的义务，三是对标的物验收的义务。附件2：虚拟银行虚拟银行：电子商务交易客户与相关虚拟银行关系变得十分密切，大多数交易要通过虚拟银行的电子资金划拨来完成。虚拟银行同时扮演发送银行和接收银行的角色。虚拟银行提供的服务包括:发行并流通电子货币、根据用户要求进行电子结算等。在实践中，电子资金划拨中常常出现因过失或欺诈致使资金划拨失误或延迟的现象。如系过失，自然使用过错归责原则，由虚拟银行承担责任；如系欺诈所致，且虚拟银行安全程序在电子商务中是合理可靠的，则名义发送人需对支付命令承担责任。附件3：认证机构认证机构：

在整个电子商务交易过程中，包括在电子支付过程中，认证机构都起着不可替代的地位和作用。在电子商务交易撮合过程中，认证机构是提供身份验证的第三方机构，它不仅要对进行电子商务交易的买卖双方负责，还要对整个电子商务交易秩序负责。认证机构提供的服务包括创立、发放、管理密钥对，制作、发放、管理认证证书，以及目录服务、终端实体启动服务、个人符记管理服务、用户端界面服务与时戳服务等。认证机构的义务包括保证认证证书的真实有效性、维护在线数据库、对用户保密等。上海市于1998年12月31日经国家批准成立了全国第一家CA认证中心，即“上海市电子商务安全证书管理中心有限公司”（简称CA中心或SHECA）。注：浏览

http://

http://

附件4：我国第一份电子合同我国第一份电子合同:

2004年9月23日，我国第一份电子合同诞生了。北京顺天府超市宣布与供货商签署我国第一份电子合同。从此，我国的电子合同应用开始拉开序幕，曾经被很多人不理解的数字纸张技术应用，也进入了一个更广泛的应用领域。同时，这意味着电子合同已经不再是纸上谈兵，并开始进入了实质性的应用阶段。附件5：电子合同特征电子合同特征表现：1、计算机的应用系统，使要约和承诺并非当事人的直接意思表示。与传统合同的要约和承诺一般采取“面对面”（Ft0F）相比，电子合同的要约和承诺是通过计算机网络完成的，只要输入的信息符合预定程序，计算机就自动作出意思表示。2、电子合同的订立中EDI报文的国际标准性特征。3、电子合同中意思表示的电子化特征。

我国《合同法》对“电子意思表示”范围的规定与《电子商务示范法》是一致的，也将电子意思表示界定为“包括电报、电传、传真、电子数据交换和电子邮件”。4、电子合同有特殊的订立方式。

传统的书面合同或口头合同的订立一般是以要约和承诺的方式，在电子合同中，由于EDI技术的应用，一方面以电子交叉要约方式订立合同的情况变得较为普遍；另一方面，“点击合同”开始出现。5、功能等同原则（functional-equivalent）应用。

传统合同法采用纸面文本的形式，原件在法律上有重大的意义。电子合同中，按照功能等同原则，采用电子签名的形式，书面和原件均被赋予适合电子意思表示的崭新的内容。6、到达主义使两大法系在关于电子合同成立的时间和地点的法理基础上趋于融合。传统合同法中，大陆法系采用到达主义，而英美法系采用投递主义。在电子合同中，由于要约和承诺的电子化传递方式，使投递主义丧失了确定合同成立时间和地点的意义，两大法系均主张到达主义。7、电子合同的超文本特性。

在电子合同中，合同以“超文本”的形式出现，合同的很多内容并没有完整的记载在合同的电子文本中，而是在电子文本中以HTML文件设置成关键词或图形、声音的形式存在，这些被设置成HTML文件的全部内容必须通过“链接”才能得到。附件6：国际电子商务立法内容

1、市场准入

市场准入是电子商务跨国界发展的必要条件。WTO通过的有关电信及信息技术的各项协议均贯穿着贸易自由化的要求。例如，《全球基础电信协议》要求成员国开放电信市场，《信息技术协议》要求参加方在2000年以前涉及的绝大部分产品实现贸易自由化。尤其值得重视的是，电子商务设计的市场准入问题将列入1999年于西雅图开始的新一轮贸易谈判。2、税收

由于电子商务交易方式的特点，给税收管辖权的确定带来困难，因而引起了改革传统税收法律制度、维护国家财政税收利益的课题。1997年的美国《全球电子商务纲要》主张对网上交易免征一切关税和新税种，即建立一个网上自由贸易区。1998年5月20日，WTO第二届部长会议通过的《关于全球电子商务的宣言》，规定至少一年内免征因特网上所有贸易活动关税，并就全球电子商务问题建立一个专门工作组。网络贸易税收问题将成为新一轮贸易谈判的重点之一。3、电子商务合同的成立

电子商务方式是由买卖双方通过电子数据传递实现的，其合同的订立与传统商务合同的订立有许多不同之处，因而需要对电子商务合同的成立作出相应的法律调整。联合国国际贸易法委员会1996年通过的《电子商务示范法》对设计电子商务合同的成立作了规定。示范法承认自动订立的合同中要约和承诺的效力，肯定数据电文的可接受性和证据力，对数据电文的发生和收到的时间及数据电文的收发地点等一系列问题均作了示范规定，为电子商务的正常进行提供了法律依据。国际商会正在制订的《电子贸易和结算规则》则以《电子商务示范法》为基础作了进一步的规定。4、安全与保密

在电子数据传输的过程中，安全和保密是电子商务发展的一项基本要求。目前，一些