基于数字签名的移动电子商务研究

刘可诠

（上海市政工程设计研究总院，上海 200092）

基于数字签名的移动电子商务研究

刘可诠

（上海市政工程设计研究总院，上海 200092）

本文针对移动电子商务的安全问题，研究数字签名技术和应用，设计移动终端数字签名方案，依据移动电子商务安全体系框架，通过使用加密、数字证书、数字签名等安全技术，保证电子商务信息的保密性、可靠性、和完整性。

移动通信；电子商务；数字签名；信息安全

移动电子商务（M-Commerce）的概念是从电子商务衍生出来的。主要是指移动终端进行商品买卖和交易的过程，通过移动设备和移动上网技术相结合的商务体系。它包括手机银行、手机电邮、移动支付、移动股市、移动搜索和移动办公等。相比于传统电子商务，移动电子商务拥有时间和空间上的优势。随着移动设备的海量增加，移动电子商务拥有广阔的市场前景，移动电子商务可以说是现代科技与传统商务的结合，使得用户个性化、定制的商务服务触手可及。然而，移动电子商务是在无线通信的网络基础上实施，其安全性较差。因此，研究移动电子商务的安全性问题具有重要的理论和现实意义。数字签名技术就是一门可以有效的解决移动电子商务中存在的安全问题的技术。将数字签名技术应用到移动电子商务中显得尤为必要。

1 数字签名技术

数字签名（Digital Signatures）是一种确保数据完整性和原始性的方法，它实现了完整性和认可性这两项重要的安全功能，这是实施电子商务的基本要求[1]。数字签名是基于公钥加密的基础上，在数字信息上附加的数据，数字签名由发送者产生。消息接收者可以通过数字签名来确定信源的完整性、可靠性和不可否认性。

数字签名是一个典型的不对称加密算法应用[2]。消息发送者用自己的私钥对发送的消息进行加密形成合法的数字签名，在形成数字签名之前，利用哈希函数形成消息摘要，数字签名技术就是将摘要信息用发送者私钥加密，将加密后的摘要和明文一并通过网络发送给接收方[3～4]。数字签名过程如图1所示。

图1 数字签名过程

在数字签名应用中，发送者的公钥是很容易得到的，但是私钥是必须严格保密的。而哈希函数的单向性、唯一性、共开性、输出固定长度和雪崩行，保证了消息的完整性，防止消息在传递的过程中被不法分子篡改。

数字签名是个加密的过程，而数字签名验证是一个解密的过程[5]，如图2所示。

图2 数字签名验证过程

2 移动电子商务

随着无线通信技术的迅猛发展，网络应用从有线扩展到无线，移动电子商务得到很大程度上的重视。图3表示移动电子商务的基本组成结构。通过移动终端可以实现Internet访问、网上支付、证券交易、移动政务等。无线技术不限时间不限地点的传输特性，使得解决无线安全问题成为十分重要的事情[6]。特别是与银行、游戏、商务等相关的敏感数据传输。

图3 移动电子商务基本组成

移动电子商务中的安全问题包括：交易可靠性、数据传输机密性以及交易不可否认性和数据完整性[7]。由于移动网络终端具有以下局限性：CPU功率较小、内存容量不大、屏幕较小以及电源限制等[8]；同时，无线网络的通信也受到限制，包括带宽较低、滞后时间长、网络连接不稳定等；这一系列的因素都给解决移动电子商务的安全带来麻烦。另外，移动网络最终也是要接入有线Internet的，在连接缝隙处及协议之间有特殊的安全问题：如 PDA 与计算机的连接处、WAP 缝隙处及WTLS 与 TLS 连接处等是移动网络非常易受攻击之处。

3 移动终端的数字签名设计

本文通过使用数字签名的方式，以用户登录为例来说明移动电子商务的数字签名过程，保证在移动电子商务活动中信息的安全、完整。移动终端的数字签名主要实现功能如下：

（1）用户登录：用户向服务器端发送用户名及密码，服务器端接受数据请求并进行验证，完成登录操作。

（2）数据传输：保证数据传输的安全性和完整性。

（3）数字签名及验证：对密码等敏感数据文本信息进行摘要生成操作。

（4）数据加密解密：用MD5算法对DES算法的密钥加密，将要传输的明文、摘要和摘要类型进行加密操作，保证信息安全。

密文生成过程如图4所示。

图4 密文生成过程

采用数字签名的技术以保护移动终端重要信息传输的机密性、完整性以及不可否认性。数字签名是强制性的，即一旦用户需要传输重要信息就一定要对信息作数字签名操作，签名过程如下：

用户首先选择对信息生成文本摘要的类型（本文采用SHA-1散列算法摘要类型，保证数据的完整性[9]），然后再用64 bit DES 密钥种子以生成DES 密钥，用DES加密算法对信息文本的摘要和摘要类型进行加密。同时采用MD5算法对DES的密钥进行加密，并将DES 加密后的密文发送给接收方。服务端用约定好的散列算法对密文进行解密，获取DES的密钥。用对应的DES算法的密钥密文进行解密，得到信息文本摘要和摘要类型，然后用摘要类型对比信息生成相应类型的文本摘要。最后对比DES 密文解密得到的文本摘要与对信息再次生成的文本摘要。若对比相同，则说明信息在传输过程中，没有遭到第三方的破坏、篡改；若不同，则说明信息在传输过程中，遭到了第三方的破坏、篡改，导致信息不完整。

通过数字签名可以验证数据的完整性、数据来源的真实性从而保证电子商务交易安全的不可抵赖性。数字签名机制的本质特征是签名仅能通过签名者的私有信息才能产生，当双方发生争执的时候，第三方机构可以根据消息上的数字签名来进行仲裁。

4 移动电子商务安全体系框架

在安全级别上不同用户对安全方案有不同层次的要求，一般的个人用户往往只要求在自己的移动终端或要访问的目标服务器上设置用户名密码；企业级用户则需要有很高的安全保密性，通常采用数字签名加解密认证、生物特征识别（手纹识别，虹膜扫描）等。安全移动电子商务平台是一个开放的平台，它支持多形式的访问服务，使不同移动终端可以访问应用服务器。移动终端通过网络与应用服务器相连，应用服务器根据用户身份进行数字签名检查，然后验证授权设备，这样，移动终端就可以访问商务数据库。移动电子商务数据传输步骤为：

（1）用户从移动终端上输入应用服务器所需的数据，并对其进行加密、签名；

（2）经过加密和签名的数据通过移动网络转发至安全移动电子商务平台，数据转发到相应的应用服务器；

（3）应用安全服务器对加密并签名的数据进行解密及验证；

（4）后台服务器将处理后的结果进行加密处理，形成加密数据包，通过移动网络发送到移动终端；

（5）移动终端接收到加密后的数据包，对加密数据进行解密，将结果显示给用户。

这是一种端到端电子商务安全框架，加密数据的传输到服务器端，服务器端作为执行端仅进行解密操作[10]。端到端的电子商务安全框架在数据通道上是不存在安全间隙的，数据通道建立在移动终端和服务器之间，数据在通道上传送过程中处于加密状态。数据在服务器端解密后直接在服务器操作，实现了端到端的安全。

5 结束语

本文在数字签名的基础之上研究移动店址商务的安全问题，详细叙述了数字签名在移动终端上的实现和移动电子商务安全框架研究。通过使用数字签名技术，保证了在移动电子商务的过程中，实现信息的安全、完整和保密性。同时，数字签名在移动终端中也保证安全交易的不可抵赖性。但是由于网络在不断变化、交易要求频繁更改，手机病毒等入侵和破坏手段更加丰富，因此，数字签名技术还需要不断改进提高，相关法律还需要更加健全，从而与时俱进有效的解决移动电子商务交易中不断产生的新的安全问题。

[1]王春东，李 琦. 数字签名在移动电子商务中的应用[J].信息安全与技术，2010（7）：101-104.

[2]王凤英. 网络与信息安全[M]. 北京：中国铁道工业出版社，2010.

[3]Jonathan Katz. 数字签名[M]. 北京：国防工业出版社，2012.

[4]NIST. Digital Signature Standard[S/ OL]. 2008. http:/ / csrc. nist. gov/ publications/ drafts/ fi ps_186-3/ Draft_FIPS-186-3%20_November2008. pdf.

[5]吕皖丽，钟 城．数字签名方案分析[J]．广东科学院学报，2002，18（14）：161-165．

[6]王 达. 网管第1课—计算机与网络安全[M]. 北京：电子工业出版社，2008.

[7]管有庆，王晓军．电子商务安全技术[M]．北京：电子工业出版社，2005．

[8]孟 伟，张 璟，李军怀，等. Web 服务安全模型研究与实现[J]. 计算机工程与应用，2006（26）：134-136.

[9]邢翠芳，李 瑛，赵海冰，杜 晶. 一种移动web服务安全性技术方案[J].计算机技术与发展，2013，23（4）：122-125.

[10]盖建华. 端到端的移动电子商务安全框架[J]. 现代管理科学，2009（4）：44-46.

责任编辑 徐侃春

Mobile electronic commerce based on digital signatures

LIU Kequan
( Shanghai Municipal Engineering Design Institute, Shanghai 200092, China )

Against the security issue of mobile electronic commerce, it discussed digital signature technology and application, gave a design proposal of signatures for mobile terminal. According to the safe system frame of mobile electronic commerce, it was used some security technologies such as cipher, digital certif i cation and digital signature to conf i rm the electronic commerce application’s security.

mobile communication; electronic commerce; digital signatures; information security

U285.2∶TP39

：A

1005-8451（2014）06-0021-03

2013-12-13

刘可诠，工程师。