基于數字簽名的移動電子商務研究

劉可詮

（上海市政工程設計研究總院，上海 200092）

基于數字簽名的移動電子商務研究

劉可詮

（上海市政工程設計研究總院，上海 200092）

本文針對移動電子商務的安全問題，研究數字簽名技術和應用，設計移動終端數字簽名方案，依據移動電子商務安全體系框架，通過使用加密、數字證書、數字簽名等安全技術，保證電子商務信息的保密性、可靠性、和完整性。

移動通信；電子商務；數字簽名；信息安全

移動電子商務（M-Commerce）的概念是從電子商務衍生出來的。主要是指移動終端進行商品買賣和交易的過程，通過移動設備和移動上網技術相結合的商務體系。它包括手機銀行、手機電郵、移動支付、移動股市、移動搜索和移動辦公等。相比于傳統電子商務，移動電子商務擁有時間和空間上的優勢。隨著移動設備的海量增加，移動電子商務擁有廣闊的市場前景，移動電子商務可以說是現代科技與傳統商務的結合，使得用戶個性化、定制的商務服務觸手可及。然而，移動電子商務是在無線通信的網絡基礎上實施，其安全性較差。因此，研究移動電子商務的安全性問題具有重要的理論和現實意義。數字簽名技術就是一門可以有效的解決移動電子商務中存在的安全問題的技術。將數字簽名技術應用到移動電子商務中顯得尤為必要。

1 數字簽名技術

數字簽名（Digital Signatures）是一種確保數據完整性和原始性的方法，它實現了完整性和認可性這兩項重要的安全功能，這是實施電子商務的基本要求[1]。數字簽名是基于公鑰加密的基礎上，在數字信息上附加的數據，數字簽名由發送者產生。消息接收者可以通過數字簽名來確定信源的完整性、可靠性和不可否認性。

數字簽名是一個典型的不對稱加密算法應用[2]。消息發送者用自己的私鑰對發送的消息進行加密形成合法的數字簽名，在形成數字簽名之前，利用哈希函數形成消息摘要，數字簽名技術就是將摘要信息用發送者私鑰加密，將加密后的摘要和明文一并通過網絡發送給接收方[3～4]。數字簽名過程如圖1所示。

圖1 數字簽名過程

在數字簽名應用中，發送者的公鑰是很容易得到的，但是私鑰是必須嚴格保密的。而哈希函數的單向性、唯一性、共開性、輸出固定長度和雪崩行，保證了消息的完整性，防止消息在傳遞的過程中被不法分子篡改。

數字簽名是個加密的過程，而數字簽名驗證是一個解密的過程[5]，如圖2所示。

圖2 數字簽名驗證過程

2 移動電子商務

隨著無線通信技術的迅猛發展，網絡應用從有線擴展到無線，移動電子商務得到很大程度上的重視。圖3表示移動電子商務的基本組成結構。通過移動終端可以實現Internet訪問、網上支付、證券交易、移動政務等。無線技術不限時間不限地點的傳輸特性，使得解決無線安全問題成為十分重要的事情[6]。特別是與銀行、游戲、商務等相關的敏感數據傳輸。

圖3 移動電子商務基本組成

移動電子商務中的安全問題包括：交易可靠性、數據傳輸機密性以及交易不可否認性和數據完整性[7]。由于移動網絡終端具有以下局限性：CPU功率較小、內存容量不大、屏幕較小以及電源限制等[8]；同時，無線網絡的通信也受到限制，包括帶寬較低、滯后時間長、網絡連接不穩定等；這一系列的因素都給解決移動電子商務的安全帶來麻煩。另外，移動網絡最終也是要接入有線Internet的，在連接縫隙處及協議之間有特殊的安全問題：如 PDA 與計算機的連接處、WAP 縫隙處及WTLS 與 TLS 連接處等是移動網絡非常易受攻擊之處。

3 移動終端的數字簽名設計

本文通過使用數字簽名的方式，以用戶登錄為例來說明移動電子商務的數字簽名過程，保證在移動電子商務活動中信息的安全、完整。移動終端的數字簽名主要實現功能如下：

（1）用戶登錄：用戶向服務器端發送用戶名及密碼，服務器端接受數據請求并進行驗證，完成登錄操作。

（2）數據傳輸：保證數據傳輸的安全性和完整性。

（3）數字簽名及驗證：對密碼等敏感數據文本信息進行摘要生成操作。

（4）數據加密解密：用MD5算法對DES算法的密鑰加密，將要傳輸的明文、摘要和摘要類型進行加密操作，保證信息安全。

密文生成過程如圖4所示。

圖4 密文生成過程

采用數字簽名的技術以保護移動終端重要信息傳輸的機密性、完整性以及不可否認性。數字簽名是強制性的，即一旦用戶需要傳輸重要信息就一定要對信息作數字簽名操作，簽名過程如下：

用戶首先選擇對信息生成文本摘要的類型（本文采用SHA-1散列算法摘要類型，保證數據的完整性[9]），然后再用64 bit DES 密鑰種子以生成DES 密鑰，用DES加密算法對信息文本的摘要和摘要類型進行加密。同時采用MD5算法對DES的密鑰進行加密，并將DES 加密后的密文發送給接收方。服務端用約定好的散列算法對密文進行解密，獲取DES的密鑰。用對應的DES算法的密鑰密文進行解密，得到信息文本摘要和摘要類型，然后用摘要類型對比信息生成相應類型的文本摘要。最后對比DES 密文解密得到的文本摘要與對信息再次生成的文本摘要。若對比相同，則說明信息在傳輸過程中，沒有遭到第三方的破壞、篡改；若不同，則說明信息在傳輸過程中，遭到了第三方的破壞、篡改，導致信息不完整。

通過數字簽名可以驗證數據的完整性、數據來源的真實性從而保證電子商務交易安全的不可抵賴性。數字簽名機制的本質特征是簽名僅能通過簽名者的私有信息才能產生，當雙方發生爭執的時候，第三方機構可以根據消息上的數字簽名來進行仲裁。

4 移動電子商務安全體系框架

在安全級別上不同用戶對安全方案有不同層次的要求，一般的個人用戶往往只要求在自己的移動終端或要訪問的目標服務器上設置用戶名密碼；企業級用戶則需要有很高的安全保密性，通常采用數字簽名加解密認證、生物特征識別（手紋識別，虹膜掃描）等。安全移動電子商務平臺是一個開放的平臺，它支持多形式的訪問服務，使不同移動終端可以訪問應用服務器。移動終端通過網絡與應用服務器相連，應用服務器根據用戶身份進行數字簽名檢查，然后驗證授權設備，這樣，移動終端就可以訪問商務數據庫。移動電子商務數據傳輸步驟為：

（1）用戶從移動終端上輸入應用服務器所需的數據，并對其進行加密、簽名；

（2）經過加密和簽名的數據通過移動網絡轉發至安全移動電子商務平臺，數據轉發到相應的應用服務器；

（3）應用安全服務器對加密并簽名的數據進行解密及驗證；

（4）后臺服務器將處理后的結果進行加密處理，形成加密數據包，通過移動網絡發送到移動終端；

（5）移動終端接收到加密后的數據包，對加密數據進行解密，將結果顯示給用戶。

這是一種端到端電子商務安全框架，加密數據的傳輸到服務器端，服務器端作為執行端僅進行解密操作[10]。端到端的電子商務安全框架在數據通道上是不存在安全間隙的，數據通道建立在移動終端和服務器之間，數據在通道上傳送過程中處于加密狀態。數據在服務器端解密后直接在服務器操作，實現了端到端的安全。

5 結束語

本文在數字簽名的基礎之上研究移動店址商務的安全問題，詳細敘述了數字簽名在移動終端上的實現和移動電子商務安全框架研究。通過使用數字簽名技術，保證了在移動電子商務的過程中，實現信息的安全、完整和保密性。同時，數字簽名在移動終端中也保證安全交易的不可抵賴性。但是由于網絡在不斷變化、交易要求頻繁更改，手機病毒等入侵和破壞手段更加豐富，因此，數字簽名技術還需要不斷改進提高，相關法律還需要更加健全，從而與時俱進有效的解決移動電子商務交易中不斷產生的新的安全問題。

[1]王春東，李 琦. 數字簽名在移動電子商務中的應用[J].信息安全與技術，2010（7）：101-104.

[2]王鳳英. 網絡與信息安全[M]. 北京：中國鐵道工業出版社，2010.

[3]Jonathan Katz. 數字簽名[M]. 北京：國防工業出版社，2012.

[4]NIST. Digital Signature Standard[S/ OL]. 2008. http:/ / csrc. nist. gov/ publications/ drafts/ fi ps_186-3/ Draft_FIPS-186-3%20_November2008. pdf.

[5]呂皖麗，鐘 城．數字簽名方案分析[J]．廣東科學院學報，2002，18（14）：161-165．

[6]王 達. 網管第1課—計算機與網絡安全[M]. 北京：電子工業出版社，2008.

[7]管有慶，王曉軍．電子商務安全技術[M]．北京：電子工業出版社，2005．

[8]孟 偉，張 璟，李軍懷，等. Web 服務安全模型研究與實現[J]. 計算機工程與應用，2006（26）：134-136.

[9]邢翠芳，李 瑛，趙海冰，杜 晶. 一種移動web服務安全性技術方案[J].計算機技術與發展，2013，23（4）：122-125.

[10]蓋建華. 端到端的移動電子商務安全框架[J]. 現代管理科學，2009（4）：44-46.

責任編輯 徐侃春

Mobile electronic commerce based on digital signatures

LIU Kequan
( Shanghai Municipal Engineering Design Institute, Shanghai 200092, China )

Against the security issue of mobile electronic commerce, it discussed digital signature technology and application, gave a design proposal of signatures for mobile terminal. According to the safe system frame of mobile electronic commerce, it was used some security technologies such as cipher, digital certif i cation and digital signature to conf i rm the electronic commerce application’s security.

mobile communication; electronic commerce; digital signatures; information security

U285.2∶TP39

：A

1005-8451（2014）06-0021-03

2013-12-13

劉可詮，工程師。