APP开发关于移动端移动签名技术解析。
APP开发公司认为相较传统互联网而言,移动互联网中移动终端种类繁多、涉及的业务更加复杂的特点,使得针对传统互联网的安全保障机制无法完全满足移动互联网的安全需求。在这种情况下,移动签名技术应运而生。移动终端中采用移动签名技术,不受终端种类的限制,各种类型终端及不同种类的业务均适用,并且实现起来较为便捷,可行性强,能够为移动互联网提供较好的安全保障。
APP开发关于移动签名技术的原理
APP开发特别是电商平台要想保证电子商务交易活动的有序进行,需要一种可靠的用户确认机制,该机制要能对用户身份进行识别,并表明用户对正在参与的交易行为是认可的,同时,交易双方均无法否认已发生的交易。电子交易过程中,已有的3种用户确认方式分别是:点击确认方式、短信确认方式以及电子签名方式。点击确认方式:指用户使用业务时通过点击确认按钮完成确认的方式,部分WAP业务便是采用了该方式。点击确认方式的缺点在于,安全强度不够,容易受到黑客攻击。
APP开发关于签名技术短信确认方式:指用户在交易过程中,通过回复短信对交易行为进行确认,回复的内容一般为字母或者数字,例如,手机钱包业务便是采用这种方式实现确认。该方式能够对用户的身份进行认证,但缺点是交易参与方可能否认已发生的交易,没有不可否认的依据,出现问题无法仲裁。
APP开发电子签名方式:在交易过程中,用户利用自己的私钥对交易内容进行数字签名后,由业务服务器对用户签名的有效性进行验证。该方式在网上支付中被广泛使用,不仅能够对交易参与方的身份进行认证,也能提供不可否认性服务。
可以看出,电子签名方式为最安全的确认方式,但由于该方式实现时的一份数字证书仅适用于一项应用,不具备普遍适用性,一定程度上阻碍了电子签名技术的发展。相比之下,移动签名的使用较好地解决了适用性的问题,能够“一证多用”。同时,普通签名技术的实现需依靠业务终端,要签名的数据信息在传送至签名服务器前必须先传给业务终端,之后由业务终端转发给签名服务器。该方式无法满足不同种类移动终端的业务需求,因为签名服务器无法实现和业务终端较好地适配,故传统数字签名技术仅针对部分设备适用。移动签名技术针对上述问题转换思路,总体实现思路是:私钥存储于移动终端的SIM卡中,业务系统先将需要签名的交易数据信息发送至移动签名平台,再由移动签名平台将数据信息发送至用户的移动终端,之后,用户将移动终端显示的数据信息和业务终端上的数据信息进行比对,若二者一致,则在移动终端上进行确认,利用私钥对数据信息进行签名。签名后的内容经移动签名平台传送到业务系统,业务系统对签名的有效性进行验证,若验证通过,表明用户对本次交易信息认可,可进行后续操作。总体而言,移动签名本质上是数字签名技术的应用,数字签名功能具体由移动设备完成[。移动签名技术原理如图3-8所示。
具体来看,用户需要使用移动终端先在业务系统上注册。注册时,移动终端利用用户的支付请求生成公私钥密钥对。为了保证私钥的安全性,用户可以设置针对私钥的使用密码,密码长度由用户决定。之后,公钥由移动终端发送到业务系统,私钥存储于终端的SIM卡中。业务系统把用户的基本信息和移动终端生成的公钥发送到CA。
用户完成注册后,需要进行移动支付时,业务系统会将支付信息的“消息摘要”通过数据短信发送到用户的移动终端中,终端应用程序将短信内容解码后显示出交易商品、金额等信息,交给用户对当前的交易进行确定。若用户确定本次交易无误,则使用自己的私钥加密消息摘要生成数字签名,经移动签名平台传送到业务系统,业务系统依据手机号码向CA申请获取相应的公钥,利用公钥对数字签名进行验证,把验证结果传送到商品或服务提供者以及银行。好了,
深圳APP开发公司本文关于“APP开发关于移动端千名技术规范解析”知识就分享到这里,谢谢关注,博纳网络编辑整理。