电子商务(Electronic Commerce)是20世纪90年代初期在西方发达国家首先兴起的一种利用国际互联网进行企业经营的方式,它是通过网络技术的应用,快速而有效地进行各种商务活动的全新方法。在电子商务活动中,最核心与关键的是交易的安全问题。由于Internet本身的开放性,使网上交易面临诸多危险,如交易的一方要担心在网络上传输信用卡及个人资料会被截取或是遭遇“黑店”,而另一方也担心收到的会是被盗用的信用卡号码或是交易不认帐等。此外,各行各业与各经营实体的电子支付系统所使用的安全控管手段都不尽相同,也给交易者造成了无所适从之感。为此,电子商务的安全首先应当保证交易者身份的确定性、交易信息的保密性、交易过程的不可否认性和交易报文的不可修改性;同时,还应具有法律上的保护性。为此,通过对相关技术与秩序的创设和不断完善,现有的电子商务技术及法律规范已基本上能满足网上交易的安全要求。
一、CA确认交易主体身份的合法性
在现实生活中人们要证实自己的身份,最常用的是通过出示身份证来表明。在电子商务中也需要有一种“身份证”来证明交易各方身份的合法性,只不过这种身份证是数字形式的,被称为“数字证书”。数字证书是实现电子商务的必备条件,是参与网上电子商务的通行证,因此该证书本身的可靠性与可信任度就显得更加重要。为满足网上交易的这一要求,就需要建立一个参与电子商务各方都可信任的权威机构,专门负责数字证书的发放和管理工作,以保证数字证书的真实可靠,这个机构就是数字证书认证中心(Certificate Authority, 简称为CA)。CA的主要职责包括:数字证书的颁发、更新、废除,证书的公布、证书状态的在线查询、证书认证等。CA所颁发的数字证书通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。
目前我国已经建立不少CA认证机构。商家只要向相关机构提交认证申请,该机构即会对申请者的合法性进行调查。对被审查合法的商家,就由CA颁发能够识别其身份的数字证书。此外,其他欲上网交易的主体也可以向CA申请颁发数字证书。
二、SSL护卫交易信息的保密性
网上交易最令人担心的是信用卡号被盗用,当用户输入信用卡号时,说不定在网络的某处就有不轨之徒正在窥视,这就要求在网上交易的各方能建立起一条加密通道,专用于传递交易中的保密信息,SSL就提供了这样一条护卫网上交易的安全通道。
SSL(Secure Socket Layer,安全套接层)是网景(Netscape)公司建议的一种建构在传输层TCP协议之上的保密措施通信协议和Internet通信的安全标准,目前已成为一种利用公开密钥技术的工业标准,并广泛应用于Intranet和Internet网络。它的规范运行过程(以商家与消费者为例)是这样的:
1、商家的服务器出示数字证书给某消费者的浏览器,这个数字证书包含了商家的一把公开钥匙,它可以打开商家服务器用私有钥匙加密的任何信息。
2、某消费者的浏览器自动传递一条用商家的公用钥匙加密的一段信息,要求商家证明该信息确实可以用它的私有钥匙解密。
3、商家的服务器用它的私有钥匙解密出源信息。
4、某消费者的浏览器认可商家是证书的持有人,SSL安全通道建立完成。
5、这时消费用户可以输入信用卡号等保密信息,这些信息被浏览器用商家的公用钥匙加密后传递到商家的服务器。
6、商家的服务器进行解密,得到了消费用户的信用卡号等保密信息,进而就可以继续完成交易的其它程序。
从以上过程可以看出,只要建立起SSL安全通道,即使有人截获到消费者方的保密信息,由于他没有商家的私有钥匙,所以也解不开加密后的信息,这样保密信息就得到了有效保护。
三、“报文摘要”维护信息传输的正确性
“报文摘要”(Message Digest)又被形象地称为“数字指纹”(DigitalFingerprint),它是为把电子商务中千差万别的报文与交易主体的数字签名不可分割地结合在一起,而从报文中提取一种确定格式的、符号性的摘要并加以“签名”的一种信息。“报文摘要”是通过一类特殊的散列函数(Hash函数)生成的,这些函数的输入可以是任意大小的信息,而输出是一个固定长度的摘要。这些摘要有这样一个性质,如果改变了输入信息中的任何内容,甚至只变动了一位,输出的摘要也将会发生不可预测的改变,即输入信息的每一位都要影响输出的摘要。这类Hash函数的特点是从报文能方便算出摘要,但它只能由该报文算出该指定的摘要,而难以对指定的摘要再生成一个报文,也很难生成两个不同的报文具有相同的摘要。通过这样的验证方法,就可有效地维护交易信息在传输过程中的真实和完整,避免被篡改、冒充或抵赖的可能性。
四、国际与国内的相关法律保障电子合同的有效性
《电子商业示范法》(UNCITRAL Model Law on Electronic Commerce)是联合国国际贸易法委员会于1996年制定的第一个世界范围内的电子商务的统一法规,其目的是向各国提供一套国际公认的法律规则,以供各国法律部门在制定本国电子商务法律规范时参考。该法将以电子方式进行的贸易称作“电子商业”,将各种通过电子方式传达信息的手段称作“数据电文”,涵指“经由电子手段、光学手段或类似手段生成、储存或传递的信息,这些手段包括但不限于电子数据交换(EDI)、电子邮件、电报、电传或传真”;同时还明文确认电子合同的有效性,确定电子合同符合法律对书面、签字、原件的要求以及电子合同的证据效力。2001年联合国还通过了贸法会起草的《电子签章示范法》,它也成为国际上关于电子签章的最重要的立法文件。
我国虽是尚未进行系统电子商务立法的国家,但面对电子商业的发展趋势,特别是目前已有接近1亿的网民、有数十亿次网上交易活动的现实,已很务实地着手对现行有关法律的调整,以使传统的商务法律能与新型的电子商务活动相协调。如1999年10月1日起施行的《中华人民共和国合同法》,根据现实生活中出现的新情况,增添了一部分新的内容。其中第十一条明确规定:“书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。”此外,合同法还对数据电文发出、收到的时间与地点以及确认收讫等问题,都做出了相应的规定。最近已经全国人大常委会两次审议、有望在今年年底前颁布的《中华人民共和国电子签名法》,将赋予电子签章和数据电文以法律效力,并将设立电子认证服务市场的准入制度,明确由政府对认证机构实行资质管理。这些规定从法律上认定了以电子媒介为载体的交易合同的有效性和约束力,从而有力地保障在网络上实施民事行为的安全可靠性,促进了信息社会经济秩序的稳定及其可持续发展。