電子商務(wù)法律與安全課件

電子商務(wù)法律與安全環(huán)境

第一節(jié)電子商務(wù)的法律環(huán)境一、電子商務(wù)的法律關(guān)系

二、電子合同和交易安全

三、知識(shí)產(chǎn)權(quán)保護(hù)四、建立和完善法律環(huán)境

五、全球電子商務(wù)立法狀況

第二節(jié)電子商務(wù)的安全環(huán)境一、電子商務(wù)安全問題二、電子商務(wù)安全的基本要求三、建立電子商務(wù)安全體系

第三節(jié)電子商務(wù)安全協(xié)議一、SSL安全技術(shù)協(xié)議

二、SET安全技術(shù)協(xié)議

三、其他安全協(xié)議(略)第四節(jié)電子商務(wù)安全技術(shù)一、數(shù)字加密技術(shù)

二、數(shù)字簽名和數(shù)字指紋

三、數(shù)字證書

一、電子商務(wù)的法律關(guān)系（一）電子商務(wù)主體法律關(guān)系電子商務(wù)的法律主體1、法人電子商務(wù)經(jīng)營(yíng)者隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，各種機(jī)關(guān)、企事業(yè)單位、社會(huì)團(tuán)體法人實(shí)體開始利用網(wǎng)絡(luò)這一先進(jìn)的技術(shù)開展活動(dòng)。這是發(fā)展電子商務(wù)的必要基礎(chǔ)。2、自然人電子商務(wù)經(jīng)營(yíng)者電子商務(wù)主體法律關(guān)系在電子商務(wù)交易過程中，買賣雙方之間，買賣雙方與銀行之間，買賣雙方、銀行與認(rèn)證機(jī)構(gòu)之間都彼此發(fā)生法律關(guān)系。

電子商務(wù)盡管快捷，但其交易過程實(shí)際上很復(fù)雜，涉及的參加人較多，主要包括網(wǎng)絡(luò)服務(wù)商、買賣雙方、認(rèn)證機(jī)構(gòu)、金融服務(wù)提供者等。（二）電子商務(wù)法律問題電子商務(wù)法律涉及兩個(gè)方面的問題：信息技術(shù)方面問題和商務(wù)應(yīng)用方面問題從信息技術(shù)角度的法律問題是兩個(gè)：一個(gè)是包括交易安全和支付安全的問題，另一個(gè)是個(gè)人信息的安全問題。從商務(wù)應(yīng)用角度來說也是兩個(gè)：一個(gè)是商業(yè)欺詐與商務(wù)侵權(quán)問題，另一個(gè)是商品和服務(wù)的質(zhì)量問題。二、電子合同和交易安全（1/2）

（一）電子合同概念和特征

電子合同，又稱電子商務(wù)合同。根據(jù)聯(lián)合國(guó)國(guó)際貿(mào)易法委員會(huì)《電子商務(wù)示范法》，新加坡、澳大利亞等國(guó)頒布的電子交易法以及我國(guó)《合同法》等成文立法的規(guī)定，我們可以對(duì)電子合同作如下廣義理解：電子合同，是當(dāng)事人之間通過信息網(wǎng)絡(luò)平臺(tái)以電子形式達(dá)成的設(shè)立、變更、終止財(cái)產(chǎn)性民事權(quán)利義務(wù)關(guān)系的協(xié)議。二、電子合同和交易安全（2/2）（二）電子合同交易安全當(dāng)許多傳統(tǒng)的商務(wù)方式應(yīng)用在Internet上時(shí)，便會(huì)帶來許多源于安全方面的問題，如傳統(tǒng)的貸款和借款卡支付/保證方案及數(shù)據(jù)保護(hù)方法、電子數(shù)據(jù)交換系統(tǒng)、對(duì)日常信息安全的管理等。電子商務(wù)的大規(guī)模使用雖然只有幾年時(shí)間，但不少公司都已經(jīng)推出了相應(yīng)的軟、硬件產(chǎn)品。由于電子商務(wù)的形式多種多樣，涉及的安全問題各不相同，但在Internet上的電子商務(wù)交易過程中，最核心和最關(guān)鍵的問題就是交易的安全性。關(guān)于交易的安全性問題，我們將在“電子商務(wù)安全”中討論。

三、知識(shí)產(chǎn)權(quán)保護(hù)知識(shí)產(chǎn)權(quán)：公民或法人等主體依據(jù)法律的規(guī)定，對(duì)其從事智力創(chuàng)作或創(chuàng)新活動(dòng)所產(chǎn)生的知識(shí)產(chǎn)品所享有的專有權(quán)利，又稱為“智力成果權(quán)”、“無形財(cái)產(chǎn)權(quán)”。主要包括發(fā)明（專利）、商標(biāo)（商號(hào)）、版權(quán)（著作權(quán)）。如何在以互聯(lián)網(wǎng)為基礎(chǔ)的電子商務(wù)時(shí)代保護(hù)知識(shí)產(chǎn)權(quán)是世界各國(guó)面臨的重大問題。國(guó)際社會(huì)一方面通過制定新的公約加以協(xié)調(diào)，另一方面要求各國(guó)知識(shí)產(chǎn)權(quán)法作出相應(yīng)的調(diào)整，以適應(yīng)全球電子商務(wù)發(fā)展的需要。這里我們討論以下三個(gè)問題：

（一）電子商務(wù)中的商標(biāo)侵權(quán)

（二）域名搶注問題及商標(biāo)與域名沖突問題

（三）電子商務(wù)中的隱私與版權(quán)保護(hù)問題（一）電子商務(wù)中的商標(biāo)侵權(quán)電子商務(wù)中的商標(biāo)侵權(quán)比較集中地表現(xiàn)為兩個(gè)方面：一是“鏈”上的商標(biāo)之爭(zhēng)；二是搜索引擎引起的“隱形”商標(biāo)侵權(quán)糾紛。在互聯(lián)網(wǎng)上，處于不同服務(wù)器上的文件可以通過超文本標(biāo)記語言（HTML）鏈接起來。網(wǎng)頁設(shè)計(jì)者往往在網(wǎng)頁上設(shè)計(jì)某個(gè)藍(lán)色或者綠色的字符或圖形，用戶只要在這些字符或圖形上一點(diǎn)，另一個(gè)網(wǎng)頁或者網(wǎng)頁的另一部分內(nèi)容就呈現(xiàn)在用戶的計(jì)算機(jī)屏幕上。這些字符或圖形被稱之為“錨”，而網(wǎng)上文件轉(zhuǎn)換和跳躍的過程就是“鏈接”。用戶輕輕點(diǎn)擊“錨”就能實(shí)現(xiàn)網(wǎng)絡(luò)文件之間的跳躍和轉(zhuǎn)換，是因?yàn)椤板^”上嵌著被鏈文件的網(wǎng)上地址，能讓用戶的瀏覽器按照這些地址找到被鏈的文件。這種超文本鏈接使互聯(lián)網(wǎng)成為一個(gè)龐大的信息集合體。直接用被鏈文件的網(wǎng)上地址作為錨的情況是很少的，通常情況下，文字、標(biāo)題或標(biāo)志被用作錨的外表，這種表里不一的情況引發(fā)了許多問題和糾紛。網(wǎng)絡(luò)中商標(biāo)侵權(quán)糾紛的另一個(gè)熱點(diǎn)是由網(wǎng)上搜索引擎引起的“隱形”商標(biāo)侵權(quán)糾紛。隱形商標(biāo)侵權(quán)糾紛實(shí)際上與“元標(biāo)記”設(shè)計(jì)和網(wǎng)上搜索引擎的發(fā)展有關(guān)。隱形使用他人商標(biāo)，靠他人的商業(yè)信譽(yù)把用戶吸引到自己的網(wǎng)頁，雖沒有直接在自己的商品上或商品廣告中使用他人的注冊(cè)商標(biāo)，但至少淡化、貶低了他人的商標(biāo)，構(gòu)成新型的商標(biāo)侵權(quán)。這可適用于我國(guó)《商標(biāo)法》。

（二）域名搶注問題及商標(biāo)與域名沖突域名是連接到因特網(wǎng)上的計(jì)算機(jī)的地址，設(shè)計(jì)域名的初衷是便于計(jì)算機(jī)聯(lián)網(wǎng)和網(wǎng)上通訊聯(lián)系，然而，因其易記便用，被廣泛用作一種商業(yè)標(biāo)示符號(hào)。域名系統(tǒng)的技術(shù)特征決定了域名的唯一性，即只要某人注冊(cè)了某個(gè)域名，他人就不能再注冊(cè)與之完全相同的域名。因此，有些別有用心的人就想出了將他人的知名商標(biāo)、商號(hào)或其他標(biāo)志（例如上市公司簡(jiǎn)稱）注冊(cè)為域名，再以高價(jià)將這些域名賣給其知識(shí)產(chǎn)權(quán)的所有人，這屬于“惡意搶注”?！坝蛎币褜?shí)際上成為商譽(yù)、乃至商號(hào)的一部分受到了保護(hù)，并作為無形資產(chǎn)被交易著。目前國(guó)際上的一些條約中，也僅僅規(guī)定“國(guó)際知名的商標(biāo)”所有人，有權(quán)禁止他人以自己的商標(biāo)搶注域名；而非馳名商標(biāo)及商號(hào)與“域名”矛盾的焦點(diǎn)之一則是在權(quán)利產(chǎn)生的程序上。這是因?yàn)?，商?biāo)權(quán)多是經(jīng)官方行政批準(zhǔn)注冊(cè)產(chǎn)生；商號(hào)權(quán)卻是依實(shí)際使用產(chǎn)生；而域名專用權(quán)則多經(jīng)非官方組織登記產(chǎn)生。中國(guó)為探尋符合國(guó)際標(biāo)準(zhǔn)和適合中國(guó)國(guó)情的域名制度，于1997年5月30日，國(guó)務(wù)院信息辦印發(fā)了《中國(guó)互聯(lián)網(wǎng)絡(luò)域名注冊(cè)暫行管理辦法》（簡(jiǎn)稱《域名管理辦法》），其中只規(guī)定了“不得使用不屬于自己的已注冊(cè)商標(biāo)申請(qǐng)域名注冊(cè)”；并沒有禁止以他人的商標(biāo)和商號(hào)搶注域名。中文域名搶注案例上海有人搶注16個(gè)相關(guān)域名，要價(jià)333萬

據(jù)北京媒體報(bào)道，“團(tuán)團(tuán)”“圓圓”一經(jīng)公布，便在網(wǎng)絡(luò)域名搶注領(lǐng)域引起軒然大波，“團(tuán)團(tuán)”“圓圓”的中文和英文重要域名全部被有心人搶注。據(jù)上海的彭先生介紹，2006年春節(jié)晚會(huì)上“團(tuán)團(tuán)”、“圓圓”這兩個(gè)名字公布后的幾秒鐘內(nèi)，他就已經(jīng)把與兩只大熊貓有關(guān)的16個(gè)域名全部注冊(cè)到了自己名下，他共搶注了16個(gè)相關(guān)域名，并拋出了333萬元出售的天價(jià)。16個(gè)域名分別為“團(tuán)團(tuán)．com”、“圓圓．com”等，每一個(gè)的最低拍賣價(jià)都在10萬元人民幣以上，而最貴的要88萬元。熱門域名被搶注愈演愈烈

近來國(guó)內(nèi)一些著名品牌域名被搶注的消息不時(shí)見諸報(bào)端，中文域名搶注愈演愈烈。2006年11月11日奧運(yùn)吉祥物“五福娃”揭曉當(dāng)晚，“五福娃”．cn和．com域名就已經(jīng)被搶注。部分域名隨后在淘寶、易趣等網(wǎng)上熱賣，一度被拍到5萬元的天價(jià)。賣家們這樣解釋它的昂貴：“此名稱在未來三年內(nèi)絕對(duì)升值潛力無限?！?/p>

在“神六”發(fā)射前，“shen6”域名已被搶先注冊(cè)，并被轉(zhuǎn)讓，最高報(bào)價(jià)達(dá)13萬元。

我國(guó)的私人域名這兩年增加迅猛，已從2002年的12萬個(gè)增加到2005年底的109萬個(gè)。（三）電子商務(wù)中的版權(quán)與隱私保護(hù)問題

電子商務(wù)中出現(xiàn)的版權(quán)新問題集中表現(xiàn)：商務(wù)信息的版權(quán)、向公眾傳播權(quán)、復(fù)制權(quán)以及因特網(wǎng)上的數(shù)據(jù)庫(kù)保護(hù)等幾個(gè)方面。國(guó)際社會(huì)主要通過TRIPS協(xié)議、WIPO（世界知識(shí)產(chǎn)權(quán)組織）的兩個(gè)“因特網(wǎng)條約”——WCT（WIPO版權(quán)條約）和WPPT（WIPO表演者與錄音制品條約）來解決，盡管這些條約并不是僅僅針對(duì)電子商務(wù)而規(guī)定的，但都有與因特網(wǎng)上版權(quán)保護(hù)相關(guān)的內(nèi)容。我國(guó)《著作權(quán)法》對(duì)其也有相關(guān)內(nèi)容。案例:湯加麗版權(quán)事件導(dǎo)航網(wǎng)站模仿相互攻擊“個(gè)人信息保護(hù)法”呼之欲出。湯加麗版權(quán)事件四、建立和完善電子商務(wù)法律環(huán)境

（一）建立、完善電子商務(wù)交易的信用制度

（二）完善電子合同訂立的法律保護(hù)

（三）加強(qiáng)電子商務(wù)交易中的消費(fèi)者保護(hù)

（四）電子商務(wù)中的知識(shí)產(chǎn)權(quán)保護(hù)

（五）完善電子商務(wù)的稅收管理

（一）建立、完善電子商務(wù)交易的信用制度電子商務(wù)交易首先是一種商品交易，雖然其交易的形式產(chǎn)生了變化，但是電子商務(wù)的目的仍然是商業(yè)活動(dòng)的有效，而貿(mào)易活動(dòng)的進(jìn)行則必須遵循市場(chǎng)規(guī)范。市場(chǎng)經(jīng)濟(jì)是法制經(jīng)濟(jì)，也是信用經(jīng)濟(jì)，在交易主體無需面對(duì)面洽談的電子商務(wù)交易中，信用保證顯得尤為重要。我國(guó)加入WTO以后，在與世界經(jīng)濟(jì)并軌的過程中，建立與國(guó)際信用環(huán)境相適應(yīng)的信用制度與社會(huì)信用體系正是我國(guó)完善市場(chǎng)法律環(huán)境的現(xiàn)實(shí)問題，也是大力發(fā)展網(wǎng)絡(luò)經(jīng)濟(jì)亟待解決的問題。構(gòu)建電子商務(wù)的良好市場(chǎng)環(huán)境應(yīng)從信用開始，信用制度是發(fā)展電子商務(wù)的必要保證。

（二）完善電子合同訂立的法律保護(hù)在電子商務(wù)中，合同的意義和作用沒有發(fā)生改變，但與傳統(tǒng)合同有所不同的是：第一，電子合同雙方當(dāng)事人可能自始至終都不見面，所有的當(dāng)事人都在虛擬市場(chǎng)上運(yùn)作，當(dāng)事人的信用依靠密碼的辨認(rèn)或認(rèn)證機(jī)構(gòu)的認(rèn)證；其次，在傳統(tǒng)合同里表示合同生效的簽字蓋章在電子合同中被數(shù)字簽名所代替；第三，傳統(tǒng)合同的生效地點(diǎn)一般為合同的成立地點(diǎn)，而電子合同的生效地點(diǎn)是以接收人的主營(yíng)業(yè)地或經(jīng)常居住地為合同成立地點(diǎn)。以數(shù)據(jù)電文方式訂立的電子合同是對(duì)傳統(tǒng)合同法的一種挑戰(zhàn)。這種挑戰(zhàn)對(duì)合同訂立的要約與承諾、合同的書面形式要求，以及簽字生效、糾紛舉證等方面都提出了新的問題。（三）加強(qiáng)電子商務(wù)交易中的消費(fèi)者保護(hù)首先，關(guān)注信息安全問題。信息安全問題是電子商務(wù)中的首要問題，消費(fèi)者在電子商務(wù)交易過程中，個(gè)人的信用卡密碼和其他一些屬于隱私的個(gè)人資料將會(huì)暴露無遺，如果這些資料數(shù)據(jù)被泄露、偽造、篡改都會(huì)使進(jìn)行電子商務(wù)交易的消費(fèi)者受到難以預(yù)料的損失，也會(huì)導(dǎo)致對(duì)電子商務(wù)本身的嚴(yán)重?fù)p害。其次，嚴(yán)懲廣告欺詐與廣告誤導(dǎo)問題。信息交易是電子商務(wù)的重要內(nèi)容，如果信息的發(fā)布者利用信息進(jìn)行欺詐或以虛假不實(shí)的廣告誤導(dǎo)消費(fèi)者，都會(huì)使消費(fèi)者合法權(quán)益受到損害。因?yàn)?，廣告是消費(fèi)者網(wǎng)上購(gòu)物的主要依據(jù)，消費(fèi)者在網(wǎng)上購(gòu)物是根據(jù)廣告文字和圖象所提供的信息進(jìn)行選擇判斷作出決定的，而不是像傳統(tǒng)交易那樣可以當(dāng)面挑選，所以在電子商務(wù)中虛假?gòu)V告更具有危害性。第三、明確責(zé)任界定與追究問題。在電子商務(wù)交易中，一件商品在最終送到消費(fèi)者手中時(shí)，可能需要經(jīng)過生產(chǎn)者、銷售者、儲(chǔ)運(yùn)者等多個(gè)主體，經(jīng)過商品信息的溝通、貨物配送、貨款支付等多個(gè)環(huán)節(jié)，在這諸多環(huán)節(jié)中，任何一個(gè)環(huán)節(jié)出現(xiàn)問題，都將損害消費(fèi)者的合法權(quán)益。而由于環(huán)節(jié)諸多，對(duì)可能出現(xiàn)的諸如產(chǎn)品質(zhì)量問題，消費(fèi)者理解異議問題，商品損壞問題和假冒偽劣問題等等都會(huì)產(chǎn)生責(zé)任難于界定，難于追究。這必將影響到消費(fèi)者的權(quán)益。

（四）電子商務(wù)中的知識(shí)產(chǎn)權(quán)保護(hù)在虛擬的電子商務(wù)世界中，傳統(tǒng)的知識(shí)產(chǎn)權(quán)制度受到由電子商務(wù)活動(dòng)而引發(fā)的法律問題的挑戰(zhàn)和沖擊。如域名與商標(biāo)的沖突，域名的搶注，網(wǎng)上著作權(quán)及其鄰接權(quán)的侵權(quán)等，都面臨著法律保護(hù)問題。隨著因特網(wǎng)的進(jìn)一步發(fā)展，以因特網(wǎng)為基礎(chǔ)的電子商務(wù)將在世界經(jīng)濟(jì)活動(dòng)中占據(jù)越來越重要的地位，隨著全球經(jīng)濟(jì)一體化的進(jìn)程，電子商務(wù)中的知識(shí)產(chǎn)權(quán)保護(hù)將日益成為世界各國(guó)積極面對(duì)的問題。雖然用傳統(tǒng)的《商標(biāo)法》、《著作權(quán)法》等知識(shí)產(chǎn)權(quán)法律也能對(duì)其進(jìn)行一定程度上的約束，但這種約束的力量已經(jīng)顯得滯后和無力，需要盡快加強(qiáng)這方面的立法。

（五）完善電子商務(wù)的稅收管理

稅收是實(shí)現(xiàn)國(guó)家職能的物質(zhì)基礎(chǔ)，是國(guó)家財(cái)政收入的主要來源。電子商務(wù)的發(fā)展給稅收征管帶來了新的機(jī)遇，也提出了新的挑戰(zhàn)。一是，自因因特網(wǎng)商業(yè)化以來，網(wǎng)上貿(mào)易得到了空前的發(fā)展，虛擬商場(chǎng)、網(wǎng)上勞務(wù)貿(mào)易、網(wǎng)上結(jié)算都呈快速增長(zhǎng)的趨勢(shì)，網(wǎng)上交易的營(yíng)業(yè)額已由十幾億美元增長(zhǎng)至上千億美元。二是，由于電子商務(wù)以全新的交易形式代替了傳統(tǒng)的貿(mào)易方式，傳統(tǒng)商業(yè)流通形式、勞務(wù)提供方式、財(cái)務(wù)管理方式等都因此發(fā)生了重大的變化。三是，由于電子商務(wù)代替?zhèn)鹘y(tǒng)的貿(mào)易方式，納稅環(huán)節(jié)、納稅地點(diǎn)、納稅方式、國(guó)際稅收管轄權(quán)等都遇到了新的問題。以傳統(tǒng)的稅收理論和稅收原則建立起來的稅收制度如何適應(yīng)電子商務(wù)，是稅收管理面臨的電子商務(wù)時(shí)代的挑戰(zhàn)。

五、全球電子商務(wù)立法狀況

（一）電子商務(wù)立法概要

（二）國(guó)際電子商務(wù)立法內(nèi)容

（三）我國(guó)電子商務(wù)立法工作已經(jīng)啟動(dòng)

（一）電子商務(wù)立法概要聯(lián)合國(guó)國(guó)際貿(mào)易法委員會(huì)遂在EDI規(guī)則研究與發(fā)展的基礎(chǔ)上，于1996年6月通過了聯(lián)合國(guó)國(guó)際貿(mào)易法委員會(huì)《電子商務(wù)示范法》。示范法的頒布為逐步解決電子商務(wù)的法律問題奠定了基礎(chǔ)，為各國(guó)制定本國(guó)電子商務(wù)法規(guī)提供了框架和示范文本。自1996年以來，在《電子商務(wù)示范法》制定之后，一些國(guó)際組織與國(guó)家紛紛合作，制定各種法律規(guī)范，形成了國(guó)際電子商務(wù)立法的高速發(fā)展期，其成果主要體現(xiàn)在三個(gè)方面。1、WTO的三大突破性協(xié)議2、國(guó)際商會(huì)加快制定電子商務(wù)指導(dǎo)性交易規(guī)則3、一些地區(qū)性組織和國(guó)家積極指定各項(xiàng)電子商務(wù)的政策

（二）國(guó)際電子商務(wù)立法內(nèi)容

當(dāng)前的國(guó)際電子商務(wù)立法主要設(shè)計(jì)以下幾方面的內(nèi)容：1、市場(chǎng)準(zhǔn)入；2、稅收；3、電子商務(wù)合同的成立；4、安全與保密；5、知識(shí)產(chǎn)權(quán)；6、隱私權(quán)保護(hù)；7、電子支付

一、電子商務(wù)安全問題

電子商務(wù)安全性歸納起來，可以概括為以下四個(gè)方面:信息傳輸?shù)谋Ｃ苄越灰孜募耐暾越灰撞豢傻仲囆裕ú豢煞穸ㄐ裕┙灰渍呱矸莸拇_定性二、電子商務(wù)安全的基本要求

電子商務(wù)安全系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)的完整及電子商務(wù)的準(zhǔn)確和可控。

完整性:

1)數(shù)據(jù)傳輸?shù)耐暾?/p>

2)數(shù)據(jù)存儲(chǔ)的完整性

3)完整性檢查準(zhǔn)確性

準(zhǔn)確性:

文件發(fā)送和接收的準(zhǔn)確。可靠性和可控性

可靠性、不可抵賴性和可控性:可靠性指保證合法用戶對(duì)信息和資源的使用不會(huì)遭不正當(dāng)?shù)木芙^；不可抵賴性指建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可控性指的是控制使用資源的人或?qū)嶓w的使用方式。

三、建立電子商務(wù)安全體系

電子商務(wù)的大量問題（控制通信路由選擇、追蹤和監(jiān)控通信過程、控制和封閉信息流通、保證通信的可靠性和敏感信息的安全、提供源和目標(biāo)方的認(rèn)證、實(shí)施法律意義上的公證和仲裁等）都涉及到安全方面，要認(rèn)真研究，作出解決方案。除了加強(qiáng)制度、法規(guī)等管理措施外，還要強(qiáng)化信息系統(tǒng)本身的安全能力。

電子商務(wù)安全體系的關(guān)鍵:很多電子商務(wù)安全專家都是從內(nèi)部網(wǎng)出發(fā)來考慮電子商務(wù)的安全問題。最根本做法是要發(fā)展商家和政府部門的內(nèi)部網(wǎng),并保證它們的安全性。

電子商務(wù)安全體系的構(gòu)成:由于電子商務(wù)系統(tǒng)是把商家、客戶和銀行三方通過Internet連接起來以實(shí)現(xiàn)具體的商務(wù)操作，因此電子商務(wù)安全系統(tǒng)可由三個(gè)安全代理服務(wù)器及CA認(rèn)證系統(tǒng)構(gòu)成，它們遵循相同的協(xié)議，協(xié)調(diào)發(fā)揮交易數(shù)據(jù)的完整性、保密性、不可否認(rèn)性等安全功能。

一、SSL安全技術(shù)協(xié)議

SSL的產(chǎn)生因特網(wǎng)所使用的網(wǎng)絡(luò)協(xié)議為TCP/IP(傳輸控制/網(wǎng)間)協(xié)議，它能為用戶提供可靠的信息傳輸。但由于歷史原因，TCP/IP協(xié)議制定的過程中并沒有考慮安全因素，Internet上的用戶可能出現(xiàn)信息丟失或者得到錯(cuò)誤的、被人更改過的信息。常見的在Internet上進(jìn)行欺騙的行為模式：采用假的服務(wù)器來欺騙用戶的終端；采用假的用戶欺騙服務(wù)器；在信息傳輸過程中截取信息；在Web服務(wù)器及Web用戶之間進(jìn)行雙方欺騙，等等。這些欺騙模式之所以能得逞，在于傳輸層協(xié)議上沒有相應(yīng)的安全措施。SSL在這種情況下應(yīng)況下應(yīng)運(yùn)而生，由Netscape研制并實(shí)現(xiàn)，SSL（SecureSocketsLayer）的中文譯名叫“安全套接層協(xié)議”。

（一）SSL協(xié)議提供的最基本目標(biāo)與主要安全功能

（二）SSL協(xié)議的特點(diǎn)（一）SSL協(xié)議的基本目標(biāo)與主要安全功能

SSL協(xié)議的最基本目標(biāo)SSL協(xié)議的最基本目標(biāo)是進(jìn)行服務(wù)器/客戶端方式進(jìn)行通迅的兩個(gè)應(yīng)用程序之間保證其文件傳輸?shù)谋Ｃ苄院蛿?shù)據(jù)的完整性。SSL的功能1、認(rèn)證用戶和服務(wù)器，以便確信數(shù)據(jù)能發(fā)往正確的客戶機(jī)和服務(wù)器；2、對(duì)被發(fā)送的數(shù)據(jù)實(shí)施加密處理，以便保證數(shù)據(jù)的保密性；3、對(duì)傳送的數(shù)據(jù)進(jìn)行完整性檢驗(yàn)，以便保證數(shù)據(jù)在傳送過程中沒有被改變（二）SSL協(xié)議的特點(diǎn)

SSL協(xié)議層包括兩個(gè)協(xié)議子層：SSL記錄協(xié)議與SSL握手協(xié)議。

1、SSL記錄協(xié)議基本特點(diǎn)：連接安全性（1）連接是專用的。對(duì)數(shù)據(jù)進(jìn)行對(duì)稱加密，加密的算法有DES等，每次連接所使用的密鑰是不同的，密鑰的產(chǎn)生與協(xié)商由另一個(gè)協(xié)議（SSL握手協(xié)議來完成）。SSL記錄協(xié)議也可以在不加密時(shí)使用。（2）連接是可靠的。信息的傳輸包括檢查其數(shù)據(jù)完整性的字段，通過Hash函數(shù)來進(jìn)行計(jì)算:對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行分塊、壓縮、加密等程序，接收到信息是的程序正好相反，以確保信息的傳輸可靠。當(dāng)通信的雙方都應(yīng)用SSL記錄協(xié)議來進(jìn)行協(xié)商時(shí)，能為安全參數(shù)的協(xié)商提供一個(gè)很好的傳輸器。2、SSL握手協(xié)議基本特點(diǎn)

SSL握手協(xié)議基本特點(diǎn)是能對(duì)通信雙方的身份認(rèn)證，因而協(xié)商是可靠的。進(jìn)行協(xié)商的雙方秘密是安全的。SSL安全技術(shù)在Internet服務(wù)器和客戶機(jī)間提供了安全的TCP/IP通道。SSL可用于加密任何基于TCP/IP的應(yīng)用，如HTTP、Telnet(遠(yuǎn)程登錄協(xié)議)、FTP(文件傳輸協(xié)議)等。

在美國(guó)和加拿大，SSL產(chǎn)品普遍使用128位RSA算法。

二、SET安全協(xié)議

為了確保網(wǎng)上交易的安全可靠，國(guó)際信用卡集團(tuán)VISA和MasterCard聯(lián)合發(fā)起并推動(dòng)了“安全電子交易”（SecureElectronicTransaction，SET）協(xié)議的制定、測(cè)試和實(shí)施，于1997年6月正式發(fā)布，是目前國(guó)際通用的網(wǎng)上支付標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)采用RSA（因發(fā)明者的姓名為Rivest、Shemir、Adelman而得名“RSA”）公開密鑰體制對(duì)通信雙方進(jìn)行認(rèn)證，采用DES、BC4等對(duì)稱加密體制加密要傳輸?shù)男畔?，并用Hash算法來簽別消息的真?zhèn)魏陀袩o被篡改。SET協(xié)議是一種支付協(xié)議。

（一）SET協(xié)議的目標(biāo)（二）SET協(xié)議的作用（三）SET的特點(diǎn)（一）SET協(xié)議的目標(biāo)

SET協(xié)議的目標(biāo)：

1、保證信息在Internet上的安全傳輸，防止數(shù)據(jù)被黑客和內(nèi)部人員竊取。2、保證電子商務(wù)參與者信息的相互隔離，使商家不能看到客戶的賬戶和密碼。3、完成多方認(rèn)證，不僅對(duì)客戶的信用卡認(rèn)證，而且要對(duì)在線商家認(rèn)證，實(shí)現(xiàn)客戶、商家和銀行間的相互認(rèn)證。4、保證網(wǎng)上交易的實(shí)時(shí)性，實(shí)施在線支付的過程。5、規(guī)范協(xié)議和消息格式，促進(jìn)不同廠家開發(fā)的軟件具有兼容性和互操作性，且可運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。（二）SET協(xié)議的作用

第一，信息能在網(wǎng)上安全傳輸

信息可在Internet上安全地傳輸，以保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被黑客竊取。第二，個(gè)人賬號(hào)信息與訂單信息的隔離

在將包括持卡人賬號(hào)信息的定單送到商家時(shí)，商家只能看到定貨信息，而看不到持卡人的賬戶信息。第三，對(duì)交易者的身份進(jìn)行確認(rèn)和擔(dān)保

持卡人、商家和銀行等交易者通過第三方權(quán)威機(jī)構(gòu)身份認(rèn)證服務(wù)，確定通信各方的身份。如果需要的話，第三方機(jī)構(gòu)還提供在線通信各方的信用擔(dān)保。第四，統(tǒng)一協(xié)議和報(bào)文的格式

SET安全技術(shù)要求應(yīng)用軟件遵循相同的協(xié)議和報(bào)文格式，使不同廠家開發(fā)的軟件能相互兼容，并且可以運(yùn)行在不同的硬件和操作平臺(tái)上。

SET是一個(gè)非常復(fù)雜的協(xié)議，它非常詳細(xì)而準(zhǔn)確地反映了卡交易各方之間存在的各種關(guān)系。SET定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規(guī)則。SET遠(yuǎn)不止是一個(gè)技術(shù)方面的協(xié)議，它還說明了每一方所持有的數(shù)字證書的含義：希望得到數(shù)字證書以及響應(yīng)信息的各方應(yīng)有的動(dòng)作，以及與一筆交易緊密相關(guān)的責(zé)任分擔(dān)。

（三）SET的特點(diǎn)

SET主要有以下特點(diǎn)：

SET為商家提供了保護(hù)的手段，同時(shí)保護(hù)了用戶的信用卡信息。SET對(duì)于參與交易的各方定義了互操作接口，一個(gè)系統(tǒng)可以由不同廠商的產(chǎn)品構(gòu)筑。SET的另外一個(gè)優(yōu)點(diǎn)在于：它可以用在系統(tǒng)的一部分或者全部。例如，一些商家正在考慮在與銀行連接中使用SET，而與顧客連接時(shí)仍然使用SSL。這種方案既回避了在顧客機(jī)器上安裝錢夾軟件，同時(shí)又獲得了SET提供的很多優(yōu)點(diǎn)。絕大多數(shù)SET軟件提供商在其產(chǎn)品中都提供靈活構(gòu)筑系統(tǒng)的手段。無論是SSL還是SET安全技術(shù)，兩者都用了數(shù)字加密技術(shù)。一、數(shù)字加密技術(shù)

加密的含義：為了保證信息在網(wǎng)上傳輸過程中不被篡改，對(duì)所發(fā)送的信息加以保密。加密后的數(shù)據(jù)稱為密文，所以，即使您所發(fā)的密文被人竊取，但由于它沒有密鑰而無法將其還原成明文（未加密數(shù)據(jù)），從而保證了信息在傳輸過程中不被篡改。目前常用的加密方法主要有兩種：

對(duì)稱密鑰密碼體系

非對(duì)稱密鑰密碼體系

原文（明文）密文密文原文（明文）發(fā)送解密加密發(fā)送方接收方（一）對(duì)稱密鑰密碼體系

對(duì)稱密鑰密碼體系（SymmetricCryptography）又稱對(duì)稱密鑰技術(shù)，它對(duì)加密密鑰與解密密鑰使用相同的算法，即加密、解密使用同一密鑰。

n個(gè)用戶之間進(jìn)行加密通訊需n（n-1）/2對(duì)密鑰。

目前用的較多的對(duì)稱密鑰算法有DES（DataEncryptionStandard），該算法1972年由IBM公司提出，后被ISO（國(guó)際標(biāo)準(zhǔn)化組織）所接受，并作為數(shù)據(jù)加密標(biāo)準(zhǔn)。對(duì)稱密鑰密碼體系的優(yōu)點(diǎn)：是加密、解密速度很快。對(duì)稱密鑰密碼體系的缺點(diǎn)：密鑰難于共享，需太多密。

（二）非對(duì)稱密鑰密碼體系

針對(duì)對(duì)稱密鑰密碼體系的缺點(diǎn)，人們于1976年提出了非對(duì)稱密鑰密碼體系（AsymmetricCryptography），也稱公開密鑰技術(shù)，它最重要的特點(diǎn)是加密和解密使用不同的密鑰，每個(gè)用戶保存著兩個(gè)密鑰：一個(gè)公開密鑰PK（PublicKey），簡(jiǎn)稱公鑰，一個(gè)私人密鑰IK（IndividualKey），簡(jiǎn)稱私鑰?，F(xiàn)在用的最多、最有名的非對(duì)稱密鑰算法是RSA。RSA的數(shù)學(xué)原理：將一個(gè)大數(shù)分解成兩個(gè)質(zhì)數(shù)的乘積，加密和解密用的是兩個(gè)不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導(dǎo)出解密密鑰（私密密鑰）在計(jì)算上是不可能的。按現(xiàn)在的計(jì)算機(jī)水平，要破解目前采用的1024位RSA密鑰，需要上千年的計(jì)算時(shí)間。公開密鑰技術(shù)解決了密鑰發(fā)布的管理問題，商戶可以公開地傳送至商戶，然后由商戶用自己的私有密鑰進(jìn)行解密。

非對(duì)稱密鑰體系中，在一個(gè)有Ｎ個(gè)通迅方參與的系統(tǒng)內(nèi)，密鑰總數(shù)僅為２Ｎ個(gè)，大大小于對(duì)稱密鑰系統(tǒng)的n（n-1）/2,這在Internet的環(huán)境下有著特別重要意義。非對(duì)稱密鑰技術(shù)的優(yōu)點(diǎn)：易于實(shí)現(xiàn)，使用靈活，密鑰較少。非對(duì)稱密鑰技術(shù)的弱點(diǎn)：要取得較好的加密效果和強(qiáng)度，必須使用較長(zhǎng)的密鑰，這樣會(huì)加重系統(tǒng)的負(fù)擔(dān)和減慢系統(tǒng)的吞吐速度，所以非對(duì)稱密鑰技術(shù)不適合對(duì)數(shù)量較大的報(bào)文進(jìn)行加密。實(shí)踐中結(jié)合使用上述兩種加密技術(shù)的優(yōu)點(diǎn)，以獲得足夠安全性和靈活性。這就是下面要敘述的“數(shù)字信封”技術(shù)。

（三）數(shù)字信封

“數(shù)字信封”（也稱電子信封）技術(shù)結(jié)合了上面兩種加密技術(shù)是優(yōu)點(diǎn)，使用兩個(gè)層次的加密來獲得非對(duì)稱密鑰技術(shù)的靈活性和對(duì)稱密鑰技術(shù)的高效性。具體操作：1、發(fā)信方發(fā)送信息時(shí)生成一個(gè)對(duì)稱密鑰，用這個(gè)對(duì)稱密鑰加密所需發(fā)送的原文2、發(fā)信方用收信方的公開密鑰加密這個(gè)對(duì)稱密鑰，連同加密了的原文一同傳輸?shù)绞招欧?、收信方首先使用自己的私有密鑰解密被加密的對(duì)稱密鑰4、收信方用該對(duì)稱密鑰解密出真正的原文。發(fā)送方（A方）明文對(duì)稱密鑰4發(fā)送網(wǎng)絡(luò)明文7.解密1.生成密文3.PKB加密5接收密文對(duì)稱密鑰6.IKB解密對(duì)稱密鑰接收方(B方)2.加密二、數(shù)字簽名和數(shù)字指紋采用數(shù)字加密技術(shù)及電子信封技術(shù)，信息傳輸?shù)谋Ｃ苄缘靡越鉀Q。那么交易文件的完整性和不可抵賴性問題應(yīng)如何解決。日常生活中的書信或文件是根據(jù)親筆簽名或印章來證明真實(shí)性的，但在網(wǎng)絡(luò)傳送的交易文件又如何簽名蓋章呢？這就是數(shù)字簽名要解決的問題。采用數(shù)字簽名意義有兩點(diǎn)：1、保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)。2、保證信息是自簽發(fā)后到收到未作任何改動(dòng)，簽發(fā)的文件是真實(shí)文件。

非對(duì)稱密碼體系實(shí)現(xiàn)數(shù)字簽名

數(shù)字指紋

數(shù)字簽名（一）非對(duì)稱密碼體系實(shí)現(xiàn)數(shù)字簽名

實(shí)現(xiàn)數(shù)字簽名的方法有多種，但用非對(duì)稱密鑰要比用其它方法更容易實(shí)現(xiàn)。下面我們介紹使用非對(duì)稱密鑰密碼體系的數(shù)字簽名過程。數(shù)字簽名原理：發(fā)送者A用其私人密鑰IKA對(duì)報(bào)文X進(jìn)行運(yùn)算，將運(yùn)算結(jié)果Y傳送給接收者B。接收者B用已知A的公開解密密鑰PKA進(jìn)行解密運(yùn)算得出X，從而證實(shí)報(bào)文X只可能是A發(fā)送的。（注意：因?yàn)槌鼳外沒有別人能具有A的解密密鑰IKA，所以除A外沒有別人能產(chǎn)生密文Y。這樣，報(bào)文X就被A簽名）。如果A要抵賴曾發(fā)送報(bào)文給B。B可將X及Y出示給第三者，第三者很容易用PKA去證實(shí)A確實(shí)發(fā)送報(bào)文X給B。反之，如果是B將X偽造成S，則B不能在第三者面前出示S，這樣就證明B偽造了報(bào)文?？梢钥闯觯瑢?shí)現(xiàn)數(shù)字簽名也同時(shí)實(shí)現(xiàn)了對(duì)報(bào)文來源的鑒別和防止接收方偽造報(bào)文。

上述過程只是對(duì)報(bào)文進(jìn)行了簽名。對(duì)傳送的報(bào)文X本身卻未保密。因?yàn)榻氐降拿芪腨,并知道發(fā)送者身份的任何人，都可以非常容易地獲得發(fā)送者的公開密鑰PKA，并用PKA對(duì)Y進(jìn)行運(yùn)算，便可獲得報(bào)文X。A希望對(duì)報(bào)X加密，可使用B的公鑰進(jìn)行加密。從理論上說，A在向B發(fā)送報(bào)文時(shí)，可以使用PKB和IKA分別完成對(duì)報(bào)文的加密和數(shù)字簽名。B在接到A發(fā)送的報(bào)文后，可以使用IKB和PKA分別完成對(duì)報(bào)文的解密和對(duì)數(shù)字簽名的確認(rèn)。網(wǎng)絡(luò)原文(X)2發(fā)送密文(Y)1.IKA加密發(fā)送方(A方)3接收密文(Y)4.PKA解密接收方(B方)原文(X)網(wǎng)絡(luò)原文3發(fā)送密文1.IKA簽名發(fā)送方(A方)4接收密文5.IKB解密接收方(B方)原文簽名文件2.PKB加密簽名文件6.PKA簽名確認(rèn)（二）數(shù)字指紋

由于技術(shù)上的原因，非對(duì)稱密鑰密碼體系不適合對(duì)數(shù)據(jù)量較大的報(bào)文加密（例如，RSA要求報(bào)文的長(zhǎng)度必須小于密鑰的長(zhǎng)度），所以，目前報(bào)文的加密大量使用的仍然是對(duì)稱密鑰密碼體系。為了用非對(duì)稱密鑰密碼體系對(duì)報(bào)文進(jìn)行數(shù)字簽名，人們采用了數(shù)字指紋加密技術(shù)。這一加密方法也稱安全Ｈash編碼法：采用單向Hash函數(shù)運(yùn)算得到一串128位的數(shù)據(jù)串（密文），這128位的密文就是所謂的數(shù)字指紋，又稱信息鑒別碼（MAC，MessageAuthenticatorCode）,

它有固定的長(zhǎng)度。數(shù)字指紋的作用：不同的明文摘要成的密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便成為驗(yàn)證明文是否是“真身”的指紋。數(shù)字指紋的應(yīng)用使交易文件的完整性（不可修改性）得以保證。注：法國(guó)從2008年11月1日起，實(shí)行生理護(hù)照，原由護(hù)照使用至有效期結(jié)束為止。（三）數(shù)字簽名

數(shù)字簽名技術(shù)：把理論上的非對(duì)稱密碼體系實(shí)現(xiàn)數(shù)字簽名和數(shù)字指紋結(jié)合起來，形成了實(shí)用的數(shù)字簽名。實(shí)現(xiàn)實(shí)用數(shù)字簽名的過程：發(fā)送方對(duì)被發(fā)送的原文用Hash算法加密產(chǎn)生128的數(shù)字摘要，形成數(shù)字指紋。（在數(shù)學(xué)上保證，只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符，這樣就保證了報(bào)文的不可更改性。）發(fā)送方用自己的私鑰對(duì)摘要再加密，形成了數(shù)字簽名。發(fā)送方將原報(bào)文和加密的摘要同時(shí)發(fā)送給接收方。接收方用發(fā)送方的公鑰對(duì)摘要解密，同時(shí)對(duì)收到的原文用Hash算法加密產(chǎn)生又一摘要。接收方將解密后的摘要和收到的原文與接收方重新加密產(chǎn)生的摘要相互對(duì)比。（如果兩者一致，則說明報(bào)文確實(shí)來自所稱的發(fā)送者，并且在傳送過程中信息沒有被破壞或修改過。）網(wǎng)絡(luò)1.Hash運(yùn)算(加密)發(fā)送方（A方）原文(明文)3發(fā)送摘要(指紋)2.IKA加密(簽名)新摘要(指紋)6.Hash運(yùn)算(解密)7.比對(duì)4接收原文(密文)摘要(指紋)5.PKA解密（）確認(rèn)簽名）摘要(指紋)接收方(B方)三、數(shù)字證書

交易者身份的確定性問題在網(wǎng)上隨時(shí)可能發(fā)生冒名頂替的問題。如何防止冒名頂替呢？關(guān)鍵是要確認(rèn)信息的接收方掌握的發(fā)送方的公開密鑰確實(shí)是屬于發(fā)送方的。這樣就需要有一個(gè)公認(rèn)的第三方來簽發(fā)和管理公鑰，在必要時(shí)，向接收方保證其掌握的公鑰確實(shí)屬于發(fā)送方的。這樣的第三方就是我們稱之為“認(rèn)證中心”（簡(jiǎn)稱CA中心，CertificateAuthority）的機(jī)構(gòu)。由認(rèn)證中心對(duì)申請(qǐng)者所提供的信息進(jìn)行驗(yàn)證，并簽發(fā)數(shù)字證書，這一數(shù)字證書正是用來證明用戶和商家的真實(shí)身份的有效手段。

數(shù)字證書的概念

數(shù)字證書的類型

數(shù)字證書原理簡(jiǎn)介

認(rèn)證中心的作用（一）數(shù)字證書的概念

數(shù)字證書：網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)。提供了一種在Internet上驗(yàn)證身份的方式，它是由一個(gè)權(quán)威機(jī)構(gòu)（認(rèn)證中心）又稱為證書授權(quán)中心發(fā)行的。數(shù)字證書作用：類似于司機(jī)的駕駛職照或日常生活中的身份證，人們可以在交往中用它來識(shí)別對(duì)方的身份。數(shù)字證書的內(nèi)容：數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡(jiǎn)單的證書包含一個(gè)公開密鑰、名稱能及證書授權(quán)中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)（證書授權(quán)中心）的名稱，該證書的序列號(hào)等信息證書的格式：遵循ITUTX.509國(guó)際標(biāo)準(zhǔn)。

（二）數(shù)字證書的三種類型

1、個(gè)人數(shù)字證書

僅為某一個(gè)用戶提供數(shù)字證書，以幫助其個(gè)人在網(wǎng)上進(jìn)行安全交易操作。個(gè)人身份的數(shù)字證書通常是安裝在客戶端的瀏覽器內(nèi)，并通過安全的電子郵件來進(jìn)行交易操作。2、企業(yè)（服務(wù)器）數(shù)字證書

通常為因特網(wǎng)上的某個(gè)Web服務(wù)器提供數(shù)字證書，擁有Web服務(wù)器的企業(yè)就可以用具有數(shù)字證書的萬維網(wǎng)站點(diǎn)來進(jìn)行安全電子交易。有數(shù)字證書的Web服務(wù)器會(huì)自動(dòng)地將其與客戶端Web瀏覽器通信的信息加密。3、軟件（開發(fā)者）數(shù)字證書

通常為因特網(wǎng)中被下載的軟件提供數(shù)字證書，該證書用于和微軟公司技術(shù)結(jié)合的軟件，以使用戶在下載軟件時(shí)能獲得所需的信息。個(gè)人數(shù)字證書企業(yè)（服務(wù)器）數(shù)字證書軟件（開發(fā)者）數(shù)字證書（三）數(shù)字證書原理簡(jiǎn)介

數(shù)字證書采用非對(duì)稱密鑰密碼體系。基本應(yīng)用原理：每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。發(fā)送保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達(dá)目的地了。

（四）認(rèn)證中心的作用

1、證書的頒發(fā)。認(rèn)證中心（CA）接收、驗(yàn)證用戶（包括下級(jí)認(rèn)證中心和最終用戶）的數(shù)字證書的申請(qǐng)，將申請(qǐng)的內(nèi)容進(jìn)行備案，并根據(jù)申請(qǐng)的內(nèi)容確定是否受理該數(shù)字證書申請(qǐng)。如果中心接受該數(shù)字證書申請(qǐng)，則進(jìn)一步確定給用戶頒發(fā)何種類型的證書。新證書用認(rèn)證中心的私鑰簽名以后，發(fā)送到目錄服務(wù)器用戶下載和查詢。為了保證消息的完整性，返回給用戶的所有應(yīng)答信息都要使用認(rèn)證中心的簽名。2、證書的更新。認(rèn)證中心可以定期更新所有用戶的證書，或者根據(jù)用戶的請(qǐng)求來更新用戶的證書。3、證書的查詢。證書的查詢可以分為兩類，其一是證書申請(qǐng)的查詢，認(rèn)證中心根據(jù)用戶的查詢請(qǐng)求返回當(dāng)前用戶證書申請(qǐng)的處理過程；其二是用戶證書的查詢，這類查詢由目錄服務(wù)器來完成，目錄服務(wù)器根據(jù)用戶的請(qǐng)求返回適當(dāng)?shù)淖C書。

4、證書的作廢。當(dāng)用戶的私鑰由于泄密等原因造成用戶證書需要申請(qǐng)作廢時(shí)，用戶需要向認(rèn)證中心提出證書作廢的請(qǐng)求，認(rèn)證中心根據(jù)用戶的請(qǐng)求確定是否將該證書作廢。另外一種證書作廢的情況是證書已經(jīng)過了有效期，認(rèn)證中心自動(dòng)將該證書作廢。認(rèn)證中心通過維護(hù)證書作廢列表CRL（CertificateRevocationList）來完成上述功能。5、證書的歸檔。證書具有一定的有效期，證書過了有效期后就將作廢，但是我們不能將作廢的證書簡(jiǎn)單地丟棄，因?yàn)橛袝r(shí)我們可能需要驗(yàn)證以前的某個(gè)交易過程中產(chǎn)生的數(shù)字簽名，這時(shí)我們就需要查詢作廢的證書?；诖祟惪紤]，認(rèn)證中心還應(yīng)當(dāng)具備管理作廢證書和作廢私鑰的功能?？偟恼f來，基于認(rèn)證中心的安全方案應(yīng)該很好地解決網(wǎng)上用戶身份認(rèn)證和信息安全傳輸問題?？傊?，認(rèn)證中心的建立是實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)安全解決方案的關(guān)鍵和基礎(chǔ)，它的建立對(duì)Internet上電子商務(wù)與政府上網(wǎng)應(yīng)用具有非常重要的意義。認(rèn)證中心，又稱證書授權(quán)(CertificateAuthority)中心——CA中心，它是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)，作為電子商務(wù)交易中受信任的第三方，承擔(dān)非對(duì)稱密鑰密碼體系中公鑰的合法性檢驗(yàn)的責(zé)任。CA的作用如下：數(shù)字證書認(rèn)證中心附件1：買賣雙方的權(quán)利和義務(wù)買賣雙方的權(quán)利和義務(wù)：買賣雙方的權(quán)利和義務(wù)是對(duì)等的，賣方的義務(wù)就是買方的權(quán)利，反之亦然。在電子商務(wù)條件下，賣方應(yīng)當(dāng)承擔(dān)四項(xiàng)義務(wù)：一是按照合同的規(guī)定提供服務(wù)或提交標(biāo)的物及單據(jù)，二是對(duì)標(biāo)的物的權(quán)利承擔(dān)擔(dān)保義務(wù)，三是對(duì)標(biāo)的物的質(zhì)量承擔(dān)擔(dān)保義務(wù)四是對(duì)消費(fèi)者個(gè)人資料承擔(dān)保密義務(wù)。在電子商務(wù)條件下，買方應(yīng)當(dāng)承擔(dān)三項(xiàng)義務(wù)：一是按照電子商務(wù)交易規(guī)定方式支付價(jià)款的義務(wù)，二是按照合同規(guī)定的時(shí)間、地點(diǎn)和方式接受標(biāo)的物的義務(wù)，三是對(duì)標(biāo)的物驗(yàn)收的義務(wù)。附件2：虛擬銀行虛擬銀行：電子商務(wù)交易客戶與相關(guān)虛擬銀行關(guān)系變得十分密切，大多數(shù)交易要通過虛擬銀行的電子資金劃撥來完成。虛擬銀行同時(shí)扮演發(fā)送銀行和接收銀行的角色。虛擬銀行提供的服務(wù)包括:發(fā)行并流通電子貨幣、根據(jù)用戶要求進(jìn)行電子結(jié)算等。在實(shí)踐中，電子資金劃撥中常常出現(xiàn)因過失或欺詐致使資金劃撥失誤或延遲的現(xiàn)象。如系過失，自然使用過錯(cuò)歸責(zé)原則，由虛擬銀行承擔(dān)責(zé)任；如系欺詐所致，且虛擬銀行安全程序在電子商務(wù)中是合理可靠的，則名義發(fā)送人需對(duì)支付命令承擔(dān)責(zé)任。附件3：認(rèn)證機(jī)構(gòu)認(rèn)證機(jī)構(gòu)：

在整個(gè)電子商務(wù)交易過程中，包括在電子支付過程中，認(rèn)證機(jī)構(gòu)都起著不可替代的地位和作用。在電子商務(wù)交易撮合過程中，認(rèn)證機(jī)構(gòu)是提供身份驗(yàn)證的第三方機(jī)構(gòu)，它不僅要對(duì)進(jìn)行電子商務(wù)交易的買賣雙方負(fù)責(zé)，還要對(duì)整個(gè)電子商務(wù)交易秩序負(fù)責(zé)。認(rèn)證機(jī)構(gòu)提供的服務(wù)包括創(chuàng)立、發(fā)放、管理密鑰對(duì)，制作、發(fā)放、管理認(rèn)證證書，以及目錄服務(wù)、終端實(shí)體啟動(dòng)服務(wù)、個(gè)人符記管理服務(wù)、用戶端界面服務(wù)與時(shí)戳服務(wù)等。認(rèn)證機(jī)構(gòu)的義務(wù)包括保證認(rèn)證證書的真實(shí)有效性、維護(hù)在線數(shù)據(jù)庫(kù)、對(duì)用戶保密等。上海市于1998年12月31日經(jīng)國(guó)家批準(zhǔn)成立了全國(guó)第一家CA認(rèn)證中心，即“上海市電子商務(wù)安全證書管理中心有限公司”（簡(jiǎn)稱CA中心或SHECA）。注：瀏覽

http://

http://

附件4：我國(guó)第一份電子合同我國(guó)第一份電子合同:

2004年9月23日，我國(guó)第一份電子合同誕生了。北京順天府超市宣布與供貨商簽署我國(guó)第一份電子合同。從此，我國(guó)的電子合同應(yīng)用開始拉開序幕，曾經(jīng)被很多人不理解的數(shù)字紙張技術(shù)應(yīng)用，也進(jìn)入了一個(gè)更廣泛的應(yīng)用領(lǐng)域。同時(shí)，這意味著電子合同已經(jīng)不再是紙上談兵，并開始進(jìn)入了實(shí)質(zhì)性的應(yīng)用階段。附件5：電子合同特征電子合同特征表現(xiàn)：1、計(jì)算機(jī)的應(yīng)用系統(tǒng)，使要約和承諾并非當(dāng)事人的直接意思表示。與傳統(tǒng)合同的要約和承諾一般采取“面對(duì)面”（Ft0F）相比，電子合同的要約和承諾是通過計(jì)算機(jī)網(wǎng)絡(luò)完成的，只要輸入的信息符合預(yù)定程序，計(jì)算機(jī)就自動(dòng)作出意思表示。2、電子合同的訂立中EDI報(bào)文的國(guó)際標(biāo)準(zhǔn)性特征。3、電子合同中意思表示的電子化特征。

我國(guó)《合同法》對(duì)“電子意思表示”范圍的規(guī)定與《電子商務(wù)示范法》是一致的，也將電子意思表示界定為“包括電報(bào)、電傳、傳真、電子數(shù)據(jù)交換和電子郵件”。4、電子合同有特殊的訂立方式。

傳統(tǒng)的書面合同或口頭合同的訂立一般是以要約和承諾的方式，在電子合同中，由于EDI技術(shù)的應(yīng)用，一方面以電子交叉要約方式訂立合同的情況變得較為普遍；另一方面，“點(diǎn)擊合同”開始出現(xiàn)。5、功能等同原則（functional-equivalent）應(yīng)用。

傳統(tǒng)合同法采用紙面文本的形式，原件在法律上有重大的意義。電子合同中，按照功能等同原則，采用電子簽名的形式，書面和原件均被賦予適合電子意思表示的嶄新的內(nèi)容。6、到達(dá)主義使兩大法系在關(guān)于電子合同成立的時(shí)間和地點(diǎn)的法理基礎(chǔ)上趨于融合。傳統(tǒng)合同法中，大陸法系采用到達(dá)主義，而英美法系采用投遞主義。在電子合同中，由于要約和承諾的電子化傳遞方式，使投遞主義喪失了確定合同成立時(shí)間和地點(diǎn)的意義，兩大法系均主張到達(dá)主義。7、電子合同的超文本特性。

在電子合同中，合同以“超文本”的形式出現(xiàn)，合同的很多內(nèi)容并沒有完整的記載在合同的電子文本中，而是在電子文本中以HTML文件設(shè)置成關(guān)鍵詞或圖形、聲音的形式存在，這些被設(shè)置成HTML文件的全部?jī)?nèi)容必須通過“鏈接”才能得到。附件6：國(guó)際電子商務(wù)立法內(nèi)容

1、市場(chǎng)準(zhǔn)入

市場(chǎng)準(zhǔn)入是電子商務(wù)跨國(guó)界發(fā)展的必要條件。WTO通過的有關(guān)電信及信息技術(shù)的各項(xiàng)協(xié)議均貫穿著貿(mào)易自由化的要求。例如，《全球基礎(chǔ)電信協(xié)議》要求成員國(guó)開放電信市場(chǎng)，《信息技術(shù)協(xié)議》要求參加方在2000年以前涉及的絕大部分產(chǎn)品實(shí)現(xiàn)貿(mào)易自由化。尤其值得重視的是，電子商務(wù)設(shè)計(jì)的市場(chǎng)準(zhǔn)入問題將列入1999年于西雅圖開始的新一輪貿(mào)易談判。2、稅收

由于電子商務(wù)交易方式的特點(diǎn)，給稅收管轄權(quán)的確定帶來困難，因而引起了改革傳統(tǒng)稅收法律制度、維護(hù)國(guó)家財(cái)政稅收利益的課題。1997年的美國(guó)《全球電子商務(wù)綱要》主張對(duì)網(wǎng)上交易免征一切關(guān)稅和新稅種，即建立一個(gè)網(wǎng)上自由貿(mào)易區(qū)。1998年5月20日，WTO第二屆部長(zhǎng)會(huì)議通過的《關(guān)于全球電子商務(wù)的宣言》，規(guī)定至少一年內(nèi)免征因特網(wǎng)上所有貿(mào)易活動(dòng)關(guān)稅，并就全球電子商務(wù)問題建立一個(gè)專門工作組。網(wǎng)絡(luò)貿(mào)易稅收問題將成為新一輪貿(mào)易談判的重點(diǎn)之一。3、電子商務(wù)合同的成立

電子商務(wù)方式是由買賣雙方通過電子數(shù)據(jù)傳遞實(shí)現(xiàn)的，其合同的訂立與傳統(tǒng)商務(wù)合同的訂立有許多不同之處，因而需要對(duì)電子商務(wù)合同的成立作出相應(yīng)的法律調(diào)整。聯(lián)合國(guó)國(guó)際貿(mào)易法委員會(huì)1996年通過的《電子商務(wù)示范法》對(duì)設(shè)計(jì)電子商務(wù)合同的成立作了規(guī)定。示范法承認(rèn)自動(dòng)訂立的合同中要約和承諾的效力，肯定數(shù)據(jù)電文的可接受性和證據(jù)力，對(duì)數(shù)據(jù)電文的發(fā)生和收到的時(shí)間及數(shù)據(jù)電文的收發(fā)地點(diǎn)等一系列問題均作了示范規(guī)定，為電子商務(wù)的正常進(jìn)行提供了法律依據(jù)。國(guó)際商會(huì)正在制訂的《電子貿(mào)易和結(jié)算規(guī)則》則以《電子商務(wù)示范法》為基礎(chǔ)作了進(jìn)一步的規(guī)定。4、安全與保密

在電子數(shù)據(jù)傳輸?shù)倪^程中，安全和保密是電子商務(wù)發(fā)展的一項(xiàng)基本要求。目前，一些