移动商务中的加密研究.doc

《移动商务中的加密研究.doc》由会员分享，可在线阅读，更多相关《移动商务中的加密研究.doc（5页珍藏版）》请在三一办公上搜索。

1、精品论文移动商务中的加密研究孟庆斌 北京邮电大学信息工程学院，北京（100876） E-mail：tangdynasty14摘要：本文首先概括了移动电子商务的发展现状，而正是由于移动电子商务蓬勃发展，人 们利用无线互联网平台进行越来越多的交易。由于无线传输信道环境的特殊性，使得整个过 程中的安全性受到越来越广泛的关注，这就牵扯到了文本加密方面的话题。之后文章介绍了 两种常用的文本加密技术，即对称加密技术和非对称加密技术。本文重点讨论了这两种加密 技术各自的原理与特点，以及在实际应用过程中的优缺点，并且提出了一个两者相结合的加 密解决方案。之后又分析了两种无线数据传输的方案，Web 形式的数据传

2、输和利用 Socket 进行数据传输的技术，并且分别分析了每个传输方案的条件下加密实现方法以及特点，在总 结了各自优缺点的基础上，确定了最终的方案并实现出来。 关键词：移动商务；加密技术；Web；SSL；Symbian1.引言移动电子商务，是指通过移动电话、PDA 、智能手机或者掌上电脑等移动终端，依托 无线互联网进行的电子商务活动。移动电子商务的概念衍生自传统电子商务，但移动电子商 务具有更广阔的发展空间，因为它能利用最新的移动通信技术派生出更有价值的商业模型。 传统电子商务是围绕个人计算机展开的，往往是接入固定网络获得服务，安全性相对容易得 到保障。但是移动电子商务因其快捷方便、无所不在的

3、特点，已经成为电子商务发展的新方 向。因为只有移动电子商务才能在任何地方、任何时间，真正解决做生意的问题。电信趋势 国际公司预测，全球移动商务至 2008 年将吸引 17 亿用户, 使用手机进行的交易额预计将突 破 5540 亿美元。据市场权威预测, 2009 年全球移动商务收入将突破 880 亿美元1。与移动商务为我们带来巨大便捷和变革的同时，也有一些新的问题出现，成为了我们新 的挑战。移动电子商务是基于移动通信系统的无线数据通信技术的。无线通信网络是通过一个开放的信道进行通信，无法像有线网络那样依靠信道的安全来保护信息，这就使得它在给 无线用户带来通信自由和灵活性的同时，也带来了诸多不安全

4、因素。这对于使用无线网络的用户信息安全、个人安全等都构成了潜在的威胁。因此，研究无线传出过程中的加密问题是很有意义的。2.常用加密算法加密是信息保护的一种必不可少的手段。通过加密可使机密信息不被窃取，即使被窃取 也难以被识别，即使被识别也难以被篡改,这是加密技术要达到的目的。数据加密技术是对 信息进行重新编码, 从而达到隐藏信息内容, 使非法用户无法获得信息真实内容的一种技术 手段。在加密技术中，密码技术是实现所有安全服务的重要基础。在密码技术中，人们将可懂的文本称为明文；将明文变换成的不可懂的形式的文本称为 密文；把明文变换成密文的过程叫加密；其逆过程，即把密文变换成明文的过程叫解密。密 钥

5、是用于加解密的一些特殊信息, 它是控制明文与密文之间变换的关键，它可以是数字、词 汇或语句。密钥分为加密密钥和解密密钥。完成加密和解密的算法称为密码体制。在应用中， 明文是没有受到保护的，而密文可在不可信的环境中传送。传统的密码体制所用的加密密钥和解密密钥相同，形成了对称式密钥加密技术；在一些 新体制中，加密密钥和解密密钥不同，形成非对称式密码加密技术2。- 5 -2.1 对称加密技术在对称加密系统中，加密和解密采用相同的密钥。因为加解密密钥相同，需要通信的双 方必须选择和保存他们共同的密钥，各方必须信任对方不会将密钥泄密出去，故也称其为私 钥密码体制。DES、DEA 算法是其中的重要代表。1

6、973 年美国国家标准局 (NBS) 发布了一个公开请求，寻找一个加密算法使之成为国家标准。IBM 在 1974 年提出了一个算法叫 LUCIFER，NBS 后来将该算法提交给国家安全代 理机构，它们重新审阅并对算法做了一些修改，提出来了一个版本，就是最初的数据加密标 准 (DES) 算法。1975 年公开了 DES，即可以自由地使用它，并于 1977 年将它作为政府数 据加密标准。DES 广泛地使用在电子商务中，它具有快速和安全的优点。DES 持续了相当 长的时间才过时。DES 的一组密文由 64 位组成，密钥是 56 位，但它是用 64 位的字串表示 的。第 8 位，每 16 位，第 24

7、 位是奇偶位，这样的安排是为了使每 8 位一组中都有一个奇数1，这是出于错误检测的目的，加密的输出是 64 位的密文。在 DES 算法中初始用 64 位的明 文 m 表示，主要有三步：1)M的各位置通过初始变换改变其排列顺序得到 m0 = IP(m) ，记为 m0 = L0 R0 , L0是 m0 的前32位， R0 是 m0 的后32位。2)对1 i 16 ，执行如下操作：Li = Ri 1 ；Ri = Li 1 f (Ri 1 , K i ) ，K i是来自于密钥 K ，称为“轮密钥”，它是56比特输入密钥的一个48比特的子串。 f 是函数， 称为“S盒函数”，是一个代换数码。这一步是代换

8、密码和换位密码的结合，目的是获得很大程度的“信息扩散”。13)左右交换得到 L16 R16 ，然后执行初始变换的逆变换，得到密文 c = IP3(R16 L16 ) 。解密过程与加密过程完全相同，只是按密钥 K1 ,L K16 相反的顺序而已 。DES 的核心部分是在“S 盒函数”里，在这里 DES 实现了明文消息在密文消息空间上的 随机非线性分布。2.2 非对称加密技术非对称密码体制也叫公钥加密技术。在公钥加密系统中。加密和解密是相对独立的。加 密和解密会使用两把不同的密钥。加密密钥即公钥向公众公开，谁都可以使用，解密密钥即 私钥只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密

9、密钥，故其可称 为公钥密码体制。如果一个人选择并公布了他的公钥，另外任何人都可以用这一公钥来加密 传送给那个人的消息。与对称密钥密码体制相比，公开密钥密码体制具有以下几个特点：密 钥分发简单、每个用户秘密保存的密钥量减少、能够满足互不相识的用户之间进行保密通信 的要求、能够完成数字签名。在公钥密码系统中每个实体都有自己的公钥和相应的私钥。在 安全系统中已知公钥推算出私钥在计算上是困难的。非对称密码体制的典型代表有 RSA、 Rabin 等。RSA 是基于大整数分解的公开密钥密码体制，大整数分解是计算上困难的问题，目前 还不存在一般有效解决算法。简单描述一下 RSA 的工作原理 ：每个实体有自己

10、的公钥 (n, e) 及私钥 p, q, d 其中 p, q 是两个大素数， n = p q ， e d 1mod (n) 显然 e 应该满足 gcd(e, (n) = 1。实体 B 加密消息 m ，将密文在公开信道上传送给实体 A。实体 A 接到密文后对其解密4。实体 B 的加密算法操作：1)得到实体A的真实公钥 (n, e) ；2)把消息表示成整数 m ,0 m n 1 ；3)使用平方乘积算法，计算 c = Ek (m) = me mod n ；4)将密文 c 发送给实体A。实体 A 的解 密 算法操 作 ：实体 A 接收 到密文 c ， 使用自 己 的私钥 d 计算 m = Dk (c)

11、 = cd mod n, m Z n5。2.3 总结虽然公钥密码体制具有私钥密码体制不可比拟的优点，但因其运算量太大，加解密迅速 远远落后于私钥密码体制。鉴于这个原因，在实际应用中将两种加密技术相结合，即结合使 用 DES/DEA 和 RSA，对于传输的数据用 DES 或 DEA 加密，而加密用的密钥则用 RSA 加 密传送。发信者使用 DES/DEA 算法用对称钥将明文原信息加密获得密文，然后使用接收者 的 RSA 公开钥将对称钥加密获得加密的 DES 或 DEA 密钥，将密文和加密的密钥一起传送 给接收者。接收方接收到密文信息后，首先用自己的密钥解密而获得 DES 或 DEA 密钥，再 用

12、这个密钥将密文解密而最后获得明文原信息。此方法既保证了数据安全又提高了加密和解 密的速度。著名的 PGP 软件就是使用 RSA 和 DEA 相结合进行数据加密。3.移动商务应用实例在该实例中，实现了一个基于 Symbian OS 智能手机的电子商务应用软件，它实现了机 票、酒店的查询和预定，以及天气预报和新闻咨询的查询。使用过程中，移动终端用户是通过互联网连接到服务器上，并与服务器交互信息。这些 信息包括两个方面，一个是数据的获取，包括航班信息，天气预报信息，新闻资讯等等，这 部分内容不涉及用户隐私，用普通传输就可以了。可是另有一部分内容，例如登录服务器需 要的一些身份认证，购买机票的时候需要

13、提交的用户个人资料和信用卡信息，是高度隐私和 机密的，如果这部分信息泄露，会给用户造成巨大的安全隐患。因此必须要进行加密处理。根据终端和服务器交互方式的不通，可以分成两个方面来讨论数据传输中的加密问题， 一种是 Web 形式的交互方式，另一种是 Socket 套接字交互。3.1 Web 交互下的加密传输传统基于 Web 的数据传输主要使用的是 HTTP 协议，然而后来由于安全性的需要，传 输过程中加入了加密模块，因此诞生了 HTTPs 的形式，而其中使用的关键技术就是 SSL(Secure Socket Layer) 协议。SSL 的工作流程如下：1.服务器认证阶段：1)客户端向服务器发送一个

14、开始信息“Hello”以便开始一个新的会话连接；2)服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响 应客户的“Hello”信息时将包含生成主密钥所需的信息；3)客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；4)服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户 认证服务器。2.用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客 户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的 提问和其公开密钥，从而向服务器提供认证。由于 SSL 已经广泛的到应用，所以如果在这个应用里使用这种方法

15、无疑是最方便的。 但是由于是商务应用软件，要考虑到流量成本，如果使用中要造成巨大的流量，用户是难以 忍受的，而 Web 交互的方式正是这种情况。有的时候传输的数据只有几个字节，可是一次 数据传输过程的 HTTP 的字节开销可以大大超过有用数据，造成了巨大的浪费。3.2 Socket 套接字传输的加密应用层通过传输层进行数据通信时，TCP 和 UDP 会遇到同时为多个应用程序进程提供 并发服务的问题。多个 TCP 连接或多个应用程序进程可能需要通过同一个 TCP 协议端口传 输数据。为了区别不同的应用程序进程和连接，许多计算机操作系统为应用程序与 TCPIP 协议交互提供了称为套接字 (Sock

16、et)的接口，区分不同应用程序进程间的网络通信和连接。 在本实例中，与服务器的交互使用的是 TCP 连接，因此套接字的参数为 IP 地址和 TCP 的端 口号。Socket 直接发送数据的优点是有效性高，避免了一些无用字节的传递。因此在数据传送之前，先进行一个加密过程，然后在通过 Socket 进行传输。加密过程 是通过相应的模块完成的，模块的结构如下图所示：明文DES 或 DEA 加密密文DES 或 DEA 密钥合成RSA 公钥RSA 加密加密的 DES 或DEA 的密钥传输文件加密的密 钥密文传输图 1 DES/DEA 与 RSA 结合的加密技术示意图4.总结随着移动通信技术的不断成熟，移

17、动电子商务以其技术领先性与市场适应性体现出明显 的竞争实力。更个性化的移动客户服务、更精确的移动营销方法、更高效的移动办公系统、 更快速的移动信息采集与管理、更安全方便的移动支付手段以及更丰富的行业应用将为企业 创造更高的商业效率。只有完善移动电子商务的安全技术问题，才能推动移动电子商务的飞 速发展。参考文献1唐晓东电子商务中的信息安全 M 北京交通大学出版社，2006. 2倪源增强的无线局域网安全技术分析J 中兴通讯技术，2003：26-29. 3汪红松移动电子商务的安全问题研究J 电子商务，2006：53-55. 4林柏钢. 网络与信息安全教程M. 机械工业出版社. 2004：115-16

18、4.5池瑞楠移动电子商务系统及其安全解决方案应用研究J 电脑编程技巧与维护，2007：9.Encryption Research on Mobile-commerceMeng QingbinDepartment of Information Engineering, Beijing University of Posts And Telecommunications, Beijing (100876)AbstractThe paper first outlined the development of mobile-commerce, and just because of the fastd

19、evelopment of the mobile-commerce, people today use wireless Internet platform for a growing number of transactions. Meanwhile it asked for more attention to the security of the whole transaction process as the wireless transmission environment is rather special, and this led to considering about en

20、cryption. Then the article introduced two widely used encryption technology, symmetric encryption and asymmetric encryption technology. The article focused on their principles and their own characteristics, as well as the advantages and disadvantages in the practical applications. The author brought

21、 up a program which combined these two. After brief analysis of two types of wireless data transfer program, the way to encryption and its characteristics were analyzed for each program. Summing up the advantages and disadvantages, the author finally figured out a program for the problem.Keywords: Mobile-commerce; Encryption technology; Web; SSL; Symbian作者简介：孟庆斌，男，1983 年生，硕士研究生，主要研究方向是通信网络和移动通信软 件研究。