数字签名在移动电子商务中的应用
数字签名在移动电子商务中的应用
随着网络技术、通信技术的迅猛发展和相互融合,移动电子商务已显示出巨大的市场潜力,。移动电子商务作为一种全新的商务和服务方式,在给全球用户带来低成本和便利的同时,也带了大量的安全问题。安全性是移动电子商务能否取得成功的关键,由于移动网络设备所具有的局限性给解决问题带来了许多麻烦。此外在连接缝隙处及连接通信
两端的协议之间还存在一些特殊的安全问题。解决以上问题的手段有很多,数字签名是比较常用且非常有效的一种方法。利用数字签名可以确认消息来源以及确保消息的完整性、真实性和不可否认性。以保证移动电子商务中的安全性要求。
1、数字签名技术
(1)数字签名的概念
数字签名(Digital Signatures)是一种附加在消息后的一些数据,它基于公钥加密基础,用于鉴别数字信息。一套数字签名通常定义了两种运算,一个用于签名, 另一个用于验证。数字签名只有发送者才能产生,别人不能伪造这一段数字串。由于签名与消息之间存在着可靠的联系,接收者可以利用数字签名确认消息来源以及确保消息的完整性、真实性和不可否认性。
1)数据完整性
由于签名本身与要传递的消息之间是有关联的,消息的任何改动都将引起签名的变化,消息的接收方在接收到消息和签名之后经过对比就可以确定消息在传输的过程中是否被修改,如果被修改过则签名失效。这也显示出了签名是不能够通过简单的拷贝从一个消息应用到另一个消息上。
2)真实性
由于与接收方的公钥相对应的私钥只有发送方有,从而使得接收方或第三方可以证实发送者的身份。如果接收方的公钥能够解密签名,则说明消息确实是发送方发送的。
3)不可否认性
签名方日后不能否认自己曾经对消息进行的签名,因为私钥被用在了签名产生的过程中,而私钥只有发送者才拥有,因此只要用相应的公钥解密了签名,则可以确定该签名一定是发送者产生的。但是,如果使用对称性密钥进行加密,不可否认性是不被保证的。
(2)数字签名的作用
1)防冒充
其他人不能伪造对消息的签名,因为私有密钥只有签名者自己知道,所以其他人不可能构造出正确的签名数据。显然要求各方保存好自己的私有密钥,好象保存自己家门的钥匙一样。
2)可鉴别身份
由于传统的手工签字一般是双方直接见面的,身份自可一清二楚;在网络环境中,接收方必须能够鉴别发送方所宣称的身份,即接收者使用发送者的公开密钥对签名报文进行解密运算,如结果为明文,则签名有效,证明对方身份是真实的。
3)防篡改(防破坏信息的完整性)
签名数据和原有文件已形成了一个混合的整体数据,不可能篡改,从而保证了数据的完整性。
4)防抵赖
数字签名可以鉴别身份,不可能冒充伪造,那么,只要保存好签名的报文,就好象保存好了手工签署的合同文本,也就是保留了证据,签名者就无法抵赖。
(3)数字签名的签名过程
在形成数字签名之前,首先要利用Hash 函数形成一个固定长的消息摘要H(M)。在形成消息摘要以后,发送者将采用哈希运算从明文中得到的定长的消息摘要,利用其私钥进行加密,最后将加密后的摘要连同明文一同通过Internet 传送给接受者。在传出加密摘要的时候,同时传输的还有一个区块,指明了计算最初的摘要所使用的是哪种哈希算法。这就是数字签名的签名过程。
由于哈希函数的唯一性、单向性、公开性、输出长度固定、雪崩性,尤其是雪崩性,使得哈希函数对于保证数据完整性、避免信息在传递过程中被篡改或遭人删除时起着重要的作用。
(4)数字签名的验证过程
接收者在收到消息以后,会通过软件把明文文件和加密摘要分开,并从目录中找到和发送者的私钥相匹配的公钥,并利用发送者的公钥对摘要进行解密,恢复出最初的明文摘要。在传输加密摘要的时候,同时还传递了一个信息块,这个信息块指明了计算最
初的摘要用的是哪种哈希算法。接收者将得到的明文消息用同样的哈希算法计算消息摘要,并与恢复出的明文摘要相比较,如果两个版本匹配,则接收者可以确定:该报文的作者是指定的发送者,消息在传送的过程中没有被修改。
(5)数字签名算法与安全性
1)数字签名算法
常用的数字签名方法主要有三种,分别是RSA 签名,DES 签名和Hash 签名。这三种算法可单独使用,也可综合在一起使用。数字签名是通过密码算法对数据进行加、解密变换实现的,用DES 算法、RSA 算法都可实现数字签名。RSA 公钥密码系统最合适数字签名。
2)安全性
分别考虑下面几种情形:
1. 有人试图在传输过程中伪造签名
2. 接收端替换掉信息并伪造签名
3. 发送端不承认自己签过名的信息是自己发送的
如果这三种情况都不可能发生,那么数字签名就完全达到了它的目的。而这三种情况是等效的,实现的方法都是攻击者或者接收端有能力伪造签名,而试图伪造签名的唯一方法就是通过公钥去计算私钥。
假设,已知pq = 14 和 m = 5,找到满足 rm = 5r = 1 mod (p-1)(q-1)的私钥r 当然是可能的。因为公钥是两个素数的乘积,那么就有唯一的因数分解,很容易可以知道14=2×7是正确的分解结果。找到 5r =1 mod 6 很简单,比如r = 5,11 „„,使用满足条件的任何一个r 都可以伪造签名。
很显然数字签名的安全性是基于数论中大整数分解的困难性。这是RSA 公钥密码体制建立的基础。只要 p 和 q 足够大,用计算机进行穷举,一般在信息的有效期内无法找出 p 或 q 。比如 p 和 q 的长度为 100 位,若用一台 1 秒钟能进行 1 亿次因子分解的高速计算机来做分解,其所需时间约为14.8年。这个时间远远大于数据需要保密的时间,所以认为其是安全的。
2、移动电子商务
(1)什么是移动电子商务
移动电子商务就是利用手机、PDA 及掌上电脑等无线终端进行的B2B 、B2C 或C2C 的电子商务。它将因特网、移动通信技术、短距离通信技术及其它技术完善的结合,使人们可以在任何时间、任何地点进行各种商贸活动,实现随时随地的线上线下购物与交易、在线电子支付以及各种交易活动、商务活动、金融活动和相关的综合服务活动等。相对于传统的电子商务,移动电子商务增加了移动性和终端的多样性,无线系统允许用户访问移动网络覆盖范围内任何地方的服务,通过对话交谈和文本文件直接沟通。由于移动电子电话手持设备的广泛使用。使其将比个人计算机具有更广泛的用户基础。移动电子商务具有移动性、个性化和方便性等特点。
(2)移动电子商务的主要功能
因特网、移动通信技术和其它技术的完善组合创造了移动电子商务,使之能够根据客户的位置和个性提供多样、快捷的服务,并能频繁地与客户互通信息,从而加强与客户的联系,并降低服务成本。通过个人移动设备来进行可靠的电子商务交易的能力被视为移动因特网业务的一个重要方面。但真正推动市场发展的却是多样的服务,目前,移动电子商务主要提供以下服务:
1)购物
借助移动电子商务,用户能够通过移动通信设备进行网上购物,如订购鲜花、礼物、食品或快餐等。传统购物也可通过移动电子商务得到改进,例如用户可以使用无线电子钱包等具有安全支付功能的移动设备,在商店里或自动售货机上购物。
2)移动银行业务
移动银行也称手机银行,是利用移动电话办理有关银行业务的简称。它可以认为是金融机构借助移动通信运营商的新技术平台开展的一种“便民业务”。使用这种业务的银行用户可以使用其移动终端办理多种金融业务,使用户能随时随地在网上安全地进行个人财务管理,实现账户信息查询、存款账户间转账、银证转账、证券买卖、个人实盘外汇买卖、代缴费、金融信息查询等功能。
3)交易
移动电子商务具有即时性,一般都传递一些实时变化的动态信息,如股票指数、事件通知。因此非常适合股票交易等应用。移动设备可用于接收实时财务新闻和信息,也
可确认订单并安全地在线管理股票交易。
(3)移动电子商务的发展前景
移动电子商务因其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。超过传统电子商务的能力,具有一些无可匹敌的优势。美国冠群电脑公司移动电子商务产品管理总监谢涛玲认为:“只有移动电子商务能在任何地方、任何时间,真正解决做生意的问题”。
随着全球化的信息技术革命,移动电话成为中国电信服务中来势最迅猛、发展最活跃的新秀,移动通信能力进一步加强,中国已成为世界移动电话第三大国。所以中国的移动电子商务具有非常大的市场前景。
3、数字签名在移动电子商务中的应用
(1)验证数据的完整性
由于签名本身与要传递的消息之间是有关联的,消息的任何改动都将引起签名的变化,消息的接收方在接收到消息和签名之后经过对比就可以确定消息在传输的过程中是否被修改,如果被修改过则签名失效。
数字签名的确认是一个参照原信息和给定的公共密码来查验数字签名的过程,进而决定为同一信息使用私人密码创建的数字签名与被参照的公共密码是否保持一致。通过使用与创建数字签名相同的哈希函数功能来计算出原信息新的哈希函数结果,以达到对数据签名的确认。接着,使用公共密码和新的哈希函数计算结果,确认者可以检查数字签名是否是使用相应的私人密码签署的,新计算出来的哈希函数结果是否与在签名过程中被转化为数字签名的原哈希函数结果值相匹配。如果匹配,则数据是完整的。 确认软件将认同数字签名为" 已被确认" ,假如:
1) 签名者的私人密码是用来对信息进行数据签名的,而公共密码是用来确认数字签名的。因为,公共密码将只确认签名者使用私人密码签署数字签名。而事实上,公共密码已经确认了签名是由私人密码作出的。
2) 信息未曾被改变,在确认过程中,这一点可以通过将确认者计算出来的哈希函数结果与从数字签名中的哈希函数结果相对比得出结论来。
(2)验证数据来源的真实性
该功能能证实电子文件确实是由签名者的发送方所发出的,电子文件来源于该发送者,因为数字签名中,是使用公开密钥加密算法,信息发送方是使用自己的私钥对发送的信息进行加密的,只有持有私钥的人才能对数据进行签名,所以只要密钥没有被窃取,就可以肯定该数据是用户签发的。例如:B 公司收到了一份来自A 公司的订单。如果没有经过签名的话,B 公司是无法确定这份订单确实是A 公司发送的,因为也有可能是C 公司用A 公司的名义伪造的。如果用上数字签名的话;B 公司收到信息后,首先用A 公司的公钥解密,然后对比摘要信息,就可以确定,订单确实是由A 公司发送的,因为能用A 公司的公钥解密的信息只能是由A 的私钥加密的,其他人是无法伪造的。
(3)防止交易中的抵赖
1)电子商务交易安全的不可抵赖性的分析
发送信息方的不可抵赖(身份认证) 可以用数字签名技术来实现,签名机制的本质特征是该签名只有通过签名者的私有信息才能产生, 也就是说, 一个签名者的签名只能唯一的由他自己产生,当收发双方产生争议时,第三方就能够根据消息上的数字签名来裁定这条信息是否确实由发送方发出, 从而实现发送信息方的不可抵赖(身份认证) 数字签名技术以加密技术为基础。其核心是采用加密技术来实现对报文的数字签名数字签名最重要的一个功能就是:收方能够证实发方的真实身份,即身份验证。发方事后不能否认所发送过的报文,即不可否认(抵赖) 性,在实际应用中,数字签名是通过散列函数和公钥加密算法实现的。数字签名的过程如下: 对欲传送的文件利用散列函数生成一个固定长度(128 位) 的散列值(也称为消息摘要) ,然后发送者用自己的私钥对这个散列值加密即形成了发送者的数字签名, 最后, 此数字签名作为文件的附件和文件一起发送给报文的接收方。
信息的接收方的不可抵赖性的实现是基于可信任的第三方的基础之上的。信息的接收方的不可抵赖性可以通过FNP(FairNon-Repudiation Protocol) 或CMP(Certified Electronic MailProtocol)来实现。这两个协议能同时实现不可抵赖性的两个方面,也就是说,既可以实现发送方的身份认证,又能实现接收方的不可抵赖 。
2)不可抵赖性的实际应用
不可抵赖性是企业对企业模式的电子商务B2B 应用中相当重要的一个要求,对不
可抵赖性的需求因恶意发送方而引起,不可抵赖性保证了恶意发送方无法在事后抵赖其创建并发送特定消息的事实, 这就意味着不可抵赖性保证了消息的发送方与消息的创建者为同一人。例如,甲企业创建并发送了一个购买订单给乙企业,当乙企业处理了订单并开出了汇票以后,甲企业应该无法抵赖发送购买订单这一事实。为了满足不可抵赖性的要求,会同时需要消息身份验证和发送方身份验证,接收方身份验证与不可抵赖性无关,使用数字签名的消息身份验证还不能满足不可抵赖性的条件,因为仅仅有数字签名并无法保证发送方就是他们自己所声称的人,消息的传输很容易遭受恶意第三方诸如再现攻击等技术的袭击。例如,假设甲企业将一个带有数字签名的购买订单发送到乙企业,另外,假设另有一个恶意的丙企业通过某种途径获取了一个订单的副本。如果丙企业将该订单重复发送给乙企业,那么乙企业就会将其当作另一个来自甲企业的订单, 来自丙企业的再现攻击。同样,恶意的甲企业也可以抵赖第二份订单,并声称这第二份订单是恶意的丙企业再现攻击的结果,尽管事实上它是甲企业发送的订单。当然,用 MAC 进行的消息身份验证对不可抵赖性来说没有用,因为正如上文所提到的那样,没有人能确定该消息究竟是由发送方创建的还是由接收方创建的。与此类似的是,发送方身份验证也无法满足不可抵赖性的条件。由于无法保证消息在途中未被修改,恶意的发送方可以声称接收方收到的消息在途中已被修改,尽管该消息是由恶意的发送方所创建的。总的来说,为了满足不可抵赖性的要求,有必要在用数字签名满足消息身份验证的要求的同时满足发送方身份验证的要求。
3)提高电子商务不可抵赖性的对策
首先,保证网络本身的安全。
其次,保证电子交易各个环节的不可抵赖性。原则上,不可抵赖性主要由数字签名和身份认证技术实现, SET 协议应用数字签名技术能有效地解决网上购物交易信息的不可抵赖性等安全问题,建议电子商务系统使用 但是多次签名以及灵活的代理签名技术也是实际中常遇到的问题,近年来 数字签名技术在电子商务安全应用中出现了诸多新的协议,如改进的不可否认协议,多方不可否认协议,代理盲签名体制及其改进等研究结果。这些都将有效地解决电子商务交易活动的不可抵赖性问题,但由于网络在变化、交易要求的不断变化、入侵和破坏的手段也在变化。技术还需要不断改进,相关的法律法规还需不断健全。
4、总结
在信息技术日益发展的今天,移动电子商务作为一种全新的商务和服务方式,给全球用户带来低成本和便利的服务。同时,由于网络环境的不安全性,即信息在网络传输的过程中可能被截获、窃听、篡改、伪造,可能给人们带来严重的经济损失。这些不安全因素阻碍着移动电子商务的发展。数字签名技术是信息安全领域的一项重要技术,是实现信息安全传输的重要手段之一,可以确保数据的可靠性、保密性、完整性和不可否认性。把数字签名技术应用到移动电子商务中可以有效的解决信息在传输中的安全问题。
数字签名在移动电子商务中的应用
数字签名在移动电子商务中的应用
随着网络技术、通信技术的迅猛发展和相互融合,移动电子商务已显示出巨大的市场潜力,。移动电子商务作为一种全新的商务和服务方式,在给全球用户带来低成本和便利的同时,也带了大量的安全问题。安全性是移动电子商务能否取得成功的关键,由于移动网络设备所具有的局限性给解决问题带来了许多麻烦。此外在连接缝隙处及连接通信
两端的协议之间还存在一些特殊的安全问题。解决以上问题的手段有很多,数字签名是比较常用且非常有效的一种方法。利用数字签名可以确认消息来源以及确保消息的完整性、真实性和不可否认性。以保证移动电子商务中的安全性要求。
1、数字签名技术
(1)数字签名的概念
数字签名(Digital Signatures)是一种附加在消息后的一些数据,它基于公钥加密基础,用于鉴别数字信息。一套数字签名通常定义了两种运算,一个用于签名, 另一个用于验证。数字签名只有发送者才能产生,别人不能伪造这一段数字串。由于签名与消息之间存在着可靠的联系,接收者可以利用数字签名确认消息来源以及确保消息的完整性、真实性和不可否认性。
1)数据完整性
由于签名本身与要传递的消息之间是有关联的,消息的任何改动都将引起签名的变化,消息的接收方在接收到消息和签名之后经过对比就可以确定消息在传输的过程中是否被修改,如果被修改过则签名失效。这也显示出了签名是不能够通过简单的拷贝从一个消息应用到另一个消息上。
2)真实性
由于与接收方的公钥相对应的私钥只有发送方有,从而使得接收方或第三方可以证实发送者的身份。如果接收方的公钥能够解密签名,则说明消息确实是发送方发送的。
3)不可否认性
签名方日后不能否认自己曾经对消息进行的签名,因为私钥被用在了签名产生的过程中,而私钥只有发送者才拥有,因此只要用相应的公钥解密了签名,则可以确定该签名一定是发送者产生的。但是,如果使用对称性密钥进行加密,不可否认性是不被保证的。
(2)数字签名的作用
1)防冒充
其他人不能伪造对消息的签名,因为私有密钥只有签名者自己知道,所以其他人不可能构造出正确的签名数据。显然要求各方保存好自己的私有密钥,好象保存自己家门的钥匙一样。
2)可鉴别身份
由于传统的手工签字一般是双方直接见面的,身份自可一清二楚;在网络环境中,接收方必须能够鉴别发送方所宣称的身份,即接收者使用发送者的公开密钥对签名报文进行解密运算,如结果为明文,则签名有效,证明对方身份是真实的。
3)防篡改(防破坏信息的完整性)
签名数据和原有文件已形成了一个混合的整体数据,不可能篡改,从而保证了数据的完整性。
4)防抵赖
数字签名可以鉴别身份,不可能冒充伪造,那么,只要保存好签名的报文,就好象保存好了手工签署的合同文本,也就是保留了证据,签名者就无法抵赖。
(3)数字签名的签名过程
在形成数字签名之前,首先要利用Hash 函数形成一个固定长的消息摘要H(M)。在形成消息摘要以后,发送者将采用哈希运算从明文中得到的定长的消息摘要,利用其私钥进行加密,最后将加密后的摘要连同明文一同通过Internet 传送给接受者。在传出加密摘要的时候,同时传输的还有一个区块,指明了计算最初的摘要所使用的是哪种哈希算法。这就是数字签名的签名过程。
由于哈希函数的唯一性、单向性、公开性、输出长度固定、雪崩性,尤其是雪崩性,使得哈希函数对于保证数据完整性、避免信息在传递过程中被篡改或遭人删除时起着重要的作用。
(4)数字签名的验证过程
接收者在收到消息以后,会通过软件把明文文件和加密摘要分开,并从目录中找到和发送者的私钥相匹配的公钥,并利用发送者的公钥对摘要进行解密,恢复出最初的明文摘要。在传输加密摘要的时候,同时还传递了一个信息块,这个信息块指明了计算最
初的摘要用的是哪种哈希算法。接收者将得到的明文消息用同样的哈希算法计算消息摘要,并与恢复出的明文摘要相比较,如果两个版本匹配,则接收者可以确定:该报文的作者是指定的发送者,消息在传送的过程中没有被修改。
(5)数字签名算法与安全性
1)数字签名算法
常用的数字签名方法主要有三种,分别是RSA 签名,DES 签名和Hash 签名。这三种算法可单独使用,也可综合在一起使用。数字签名是通过密码算法对数据进行加、解密变换实现的,用DES 算法、RSA 算法都可实现数字签名。RSA 公钥密码系统最合适数字签名。
2)安全性
分别考虑下面几种情形:
1. 有人试图在传输过程中伪造签名
2. 接收端替换掉信息并伪造签名
3. 发送端不承认自己签过名的信息是自己发送的
如果这三种情况都不可能发生,那么数字签名就完全达到了它的目的。而这三种情况是等效的,实现的方法都是攻击者或者接收端有能力伪造签名,而试图伪造签名的唯一方法就是通过公钥去计算私钥。
假设,已知pq = 14 和 m = 5,找到满足 rm = 5r = 1 mod (p-1)(q-1)的私钥r 当然是可能的。因为公钥是两个素数的乘积,那么就有唯一的因数分解,很容易可以知道14=2×7是正确的分解结果。找到 5r =1 mod 6 很简单,比如r = 5,11 „„,使用满足条件的任何一个r 都可以伪造签名。
很显然数字签名的安全性是基于数论中大整数分解的困难性。这是RSA 公钥密码体制建立的基础。只要 p 和 q 足够大,用计算机进行穷举,一般在信息的有效期内无法找出 p 或 q 。比如 p 和 q 的长度为 100 位,若用一台 1 秒钟能进行 1 亿次因子分解的高速计算机来做分解,其所需时间约为14.8年。这个时间远远大于数据需要保密的时间,所以认为其是安全的。
2、移动电子商务
(1)什么是移动电子商务
移动电子商务就是利用手机、PDA 及掌上电脑等无线终端进行的B2B 、B2C 或C2C 的电子商务。它将因特网、移动通信技术、短距离通信技术及其它技术完善的结合,使人们可以在任何时间、任何地点进行各种商贸活动,实现随时随地的线上线下购物与交易、在线电子支付以及各种交易活动、商务活动、金融活动和相关的综合服务活动等。相对于传统的电子商务,移动电子商务增加了移动性和终端的多样性,无线系统允许用户访问移动网络覆盖范围内任何地方的服务,通过对话交谈和文本文件直接沟通。由于移动电子电话手持设备的广泛使用。使其将比个人计算机具有更广泛的用户基础。移动电子商务具有移动性、个性化和方便性等特点。
(2)移动电子商务的主要功能
因特网、移动通信技术和其它技术的完善组合创造了移动电子商务,使之能够根据客户的位置和个性提供多样、快捷的服务,并能频繁地与客户互通信息,从而加强与客户的联系,并降低服务成本。通过个人移动设备来进行可靠的电子商务交易的能力被视为移动因特网业务的一个重要方面。但真正推动市场发展的却是多样的服务,目前,移动电子商务主要提供以下服务:
1)购物
借助移动电子商务,用户能够通过移动通信设备进行网上购物,如订购鲜花、礼物、食品或快餐等。传统购物也可通过移动电子商务得到改进,例如用户可以使用无线电子钱包等具有安全支付功能的移动设备,在商店里或自动售货机上购物。
2)移动银行业务
移动银行也称手机银行,是利用移动电话办理有关银行业务的简称。它可以认为是金融机构借助移动通信运营商的新技术平台开展的一种“便民业务”。使用这种业务的银行用户可以使用其移动终端办理多种金融业务,使用户能随时随地在网上安全地进行个人财务管理,实现账户信息查询、存款账户间转账、银证转账、证券买卖、个人实盘外汇买卖、代缴费、金融信息查询等功能。
3)交易
移动电子商务具有即时性,一般都传递一些实时变化的动态信息,如股票指数、事件通知。因此非常适合股票交易等应用。移动设备可用于接收实时财务新闻和信息,也
可确认订单并安全地在线管理股票交易。
(3)移动电子商务的发展前景
移动电子商务因其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。超过传统电子商务的能力,具有一些无可匹敌的优势。美国冠群电脑公司移动电子商务产品管理总监谢涛玲认为:“只有移动电子商务能在任何地方、任何时间,真正解决做生意的问题”。
随着全球化的信息技术革命,移动电话成为中国电信服务中来势最迅猛、发展最活跃的新秀,移动通信能力进一步加强,中国已成为世界移动电话第三大国。所以中国的移动电子商务具有非常大的市场前景。
3、数字签名在移动电子商务中的应用
(1)验证数据的完整性
由于签名本身与要传递的消息之间是有关联的,消息的任何改动都将引起签名的变化,消息的接收方在接收到消息和签名之后经过对比就可以确定消息在传输的过程中是否被修改,如果被修改过则签名失效。
数字签名的确认是一个参照原信息和给定的公共密码来查验数字签名的过程,进而决定为同一信息使用私人密码创建的数字签名与被参照的公共密码是否保持一致。通过使用与创建数字签名相同的哈希函数功能来计算出原信息新的哈希函数结果,以达到对数据签名的确认。接着,使用公共密码和新的哈希函数计算结果,确认者可以检查数字签名是否是使用相应的私人密码签署的,新计算出来的哈希函数结果是否与在签名过程中被转化为数字签名的原哈希函数结果值相匹配。如果匹配,则数据是完整的。 确认软件将认同数字签名为" 已被确认" ,假如:
1) 签名者的私人密码是用来对信息进行数据签名的,而公共密码是用来确认数字签名的。因为,公共密码将只确认签名者使用私人密码签署数字签名。而事实上,公共密码已经确认了签名是由私人密码作出的。
2) 信息未曾被改变,在确认过程中,这一点可以通过将确认者计算出来的哈希函数结果与从数字签名中的哈希函数结果相对比得出结论来。
(2)验证数据来源的真实性
该功能能证实电子文件确实是由签名者的发送方所发出的,电子文件来源于该发送者,因为数字签名中,是使用公开密钥加密算法,信息发送方是使用自己的私钥对发送的信息进行加密的,只有持有私钥的人才能对数据进行签名,所以只要密钥没有被窃取,就可以肯定该数据是用户签发的。例如:B 公司收到了一份来自A 公司的订单。如果没有经过签名的话,B 公司是无法确定这份订单确实是A 公司发送的,因为也有可能是C 公司用A 公司的名义伪造的。如果用上数字签名的话;B 公司收到信息后,首先用A 公司的公钥解密,然后对比摘要信息,就可以确定,订单确实是由A 公司发送的,因为能用A 公司的公钥解密的信息只能是由A 的私钥加密的,其他人是无法伪造的。
(3)防止交易中的抵赖
1)电子商务交易安全的不可抵赖性的分析
发送信息方的不可抵赖(身份认证) 可以用数字签名技术来实现,签名机制的本质特征是该签名只有通过签名者的私有信息才能产生, 也就是说, 一个签名者的签名只能唯一的由他自己产生,当收发双方产生争议时,第三方就能够根据消息上的数字签名来裁定这条信息是否确实由发送方发出, 从而实现发送信息方的不可抵赖(身份认证) 数字签名技术以加密技术为基础。其核心是采用加密技术来实现对报文的数字签名数字签名最重要的一个功能就是:收方能够证实发方的真实身份,即身份验证。发方事后不能否认所发送过的报文,即不可否认(抵赖) 性,在实际应用中,数字签名是通过散列函数和公钥加密算法实现的。数字签名的过程如下: 对欲传送的文件利用散列函数生成一个固定长度(128 位) 的散列值(也称为消息摘要) ,然后发送者用自己的私钥对这个散列值加密即形成了发送者的数字签名, 最后, 此数字签名作为文件的附件和文件一起发送给报文的接收方。
信息的接收方的不可抵赖性的实现是基于可信任的第三方的基础之上的。信息的接收方的不可抵赖性可以通过FNP(FairNon-Repudiation Protocol) 或CMP(Certified Electronic MailProtocol)来实现。这两个协议能同时实现不可抵赖性的两个方面,也就是说,既可以实现发送方的身份认证,又能实现接收方的不可抵赖 。
2)不可抵赖性的实际应用
不可抵赖性是企业对企业模式的电子商务B2B 应用中相当重要的一个要求,对不
可抵赖性的需求因恶意发送方而引起,不可抵赖性保证了恶意发送方无法在事后抵赖其创建并发送特定消息的事实, 这就意味着不可抵赖性保证了消息的发送方与消息的创建者为同一人。例如,甲企业创建并发送了一个购买订单给乙企业,当乙企业处理了订单并开出了汇票以后,甲企业应该无法抵赖发送购买订单这一事实。为了满足不可抵赖性的要求,会同时需要消息身份验证和发送方身份验证,接收方身份验证与不可抵赖性无关,使用数字签名的消息身份验证还不能满足不可抵赖性的条件,因为仅仅有数字签名并无法保证发送方就是他们自己所声称的人,消息的传输很容易遭受恶意第三方诸如再现攻击等技术的袭击。例如,假设甲企业将一个带有数字签名的购买订单发送到乙企业,另外,假设另有一个恶意的丙企业通过某种途径获取了一个订单的副本。如果丙企业将该订单重复发送给乙企业,那么乙企业就会将其当作另一个来自甲企业的订单, 来自丙企业的再现攻击。同样,恶意的甲企业也可以抵赖第二份订单,并声称这第二份订单是恶意的丙企业再现攻击的结果,尽管事实上它是甲企业发送的订单。当然,用 MAC 进行的消息身份验证对不可抵赖性来说没有用,因为正如上文所提到的那样,没有人能确定该消息究竟是由发送方创建的还是由接收方创建的。与此类似的是,发送方身份验证也无法满足不可抵赖性的条件。由于无法保证消息在途中未被修改,恶意的发送方可以声称接收方收到的消息在途中已被修改,尽管该消息是由恶意的发送方所创建的。总的来说,为了满足不可抵赖性的要求,有必要在用数字签名满足消息身份验证的要求的同时满足发送方身份验证的要求。
3)提高电子商务不可抵赖性的对策
首先,保证网络本身的安全。
其次,保证电子交易各个环节的不可抵赖性。原则上,不可抵赖性主要由数字签名和身份认证技术实现, SET 协议应用数字签名技术能有效地解决网上购物交易信息的不可抵赖性等安全问题,建议电子商务系统使用 但是多次签名以及灵活的代理签名技术也是实际中常遇到的问题,近年来 数字签名技术在电子商务安全应用中出现了诸多新的协议,如改进的不可否认协议,多方不可否认协议,代理盲签名体制及其改进等研究结果。这些都将有效地解决电子商务交易活动的不可抵赖性问题,但由于网络在变化、交易要求的不断变化、入侵和破坏的手段也在变化。技术还需要不断改进,相关的法律法规还需不断健全。
4、总结
在信息技术日益发展的今天,移动电子商务作为一种全新的商务和服务方式,给全球用户带来低成本和便利的服务。同时,由于网络环境的不安全性,即信息在网络传输的过程中可能被截获、窃听、篡改、伪造,可能给人们带来严重的经济损失。这些不安全因素阻碍着移动电子商务的发展。数字签名技术是信息安全领域的一项重要技术,是实现信息安全传输的重要手段之一,可以确保数据的可靠性、保密性、完整性和不可否认性。把数字签名技术应用到移动电子商务中可以有效的解决信息在传输中的安全问题。