基于UCON的网络银行在线支付及其安全性分析Security analysis of E-bank online-payment based on UCON
王昌达;董雪刚;周从华;
摘要(Abstract):
通过分析现有网络银行在线支付特点及安全保护机制,发现其支付过程仍存在身份冒充、权限泄露和支付不灵活等问题。针对这些问题,提出使用控制模型UCON的网络银行在线支付模型,制定动态的授权规则和灵活的支付策略,并对提出的策略进行详细描述。通过使用模型检测工具NuSMV进行安全性分析,证明该策略符合网络银行访问控制的安全性和方便性需求,且能够弥补现有系统在身份认证机制和支付行为使用控制方面的不足。
关键词(KeyWords): 网络银行;访问控制;支付安全;使用控制;模型检测
基金项目(Foundation): 国家自然科学基金(No.61003288);; 江苏省自然科学基金(No.BK2010192);; 教育部博士点基金(No.20093227110005);; 江苏省六大人才高峰项目(No.1631170006);; 江苏省高校自然科学研究计划(No.07KJB520016);; 江苏大学高级人才项目(No.07JDG053)
作者(Author): 王昌达;董雪刚;周从华;
Email:
DOI:
参考文献(References):
- [1]孙森.网络银行[M].2版.北京:中国金融出版社,2010:19-29.
- [2]谭彬,薛质,王轶俊.网络支付体系的安全性分析与研究[J].信息安全与通信保密,2007:61-65.
- [3]Hanacek P,Malinka K,Schafer J.E-banking security——a comparative study[J].IEEE A&E Systems Magazine,2010:29-34.
- [4]赵福通,郭卫斌.基于动态密码和入侵容忍的身份认证方案[J].华东理工大学学报:自然科学版,2009,35(4):596-599.
- [5]程宇贤.网上银行身份认证系统的安全性研究[D].上海:上海交通大学,2009.
- [6]Fang Zhihe,He Hongjun,Luo Li,et al.Application of UCON in SSL VPN system[C]//Progress in Informatics and Computing.[S.l.]:IEEE,2010:618-621.
- [7]Martino A S,Perramon X.A model for securing E-banking authentication process:antiphishing approach[C]//IEEE Computer Society,2008:251-254.
- [8]Pretschner A,Hilty M,Schütz F,et al.Usage control enforcement:present and future[J].IEEE Security&Privacy,2008,6(4):44-53.
- [9]钟勇,郭伟刚,林冬梅,等.应用于数字内容使用控制的支付模型研究[J].计算机工程与应用,2009,45(17):73-79.
- [10]张志勇,牛丹梅.数字版权管理中数字权利使用控制研究进展[J].计算机科学,2011,38(4):48-52.
- [11]Lu Jianfeng,Xu Dewu.History-based constraints for dynamic separation-of-duty policies in usage control[C]//IEEE International Conference on Computer Science and Network Technology,2011:2438-2441.
- [12]Park J,Sandhu R.The UCONABCcontrol usage control model[J].ACM Transaction on Information and System Security,2004,7(1):128-174.
- [13]王凤英.访问控制原理与实践[M].北京:北京邮电大学出版社,2010:112-127.
- [14]Sandhu R,Park J.Usage control:a vision for next generation access control[C]//Proc of the Second International Workshop on Mathematical Methods,Models and Architectures for Computer Networks Security,2003:17-31.
- [15]Zhang Xinwen,Parisi-Presicce F,Park J,et al.Formal model and policy specification of usage control[J].ACM Transaction on Information and System Security,2005,8(4):352-384.
- [16]石伟丞,谭良,周明天.具有特征判断能力的使用控制模型研究[J].计算机科学,2010,37(6):86-90.
- [17]丁颖超,徐宁,李立新.一种扩展的使用控制模型及其实施模型[J].计算机应用研究,2009,26(8):3044-3048.
- [18]Katt B,Zhang Xinwen,Breu R.A general obligation model and continuity-enhanced policy enforcement engine for usage control[C]//Proc of 13th ACM Symposium on Access Control Models and Technologies,2008:123-132.
- [19]龚文涛,郎颖莹.基于UCON的访问控制模型在银行中的应用[J].信息技术,2011(10):200-202.
- [20]Banerjee S,Karforma S.A prototype design for DRM based credit card transaction in E-commerce[J].ACM Ubiquity,2008,9(18).
- [21]Wen Haoyu,Ji Dongxing.E-business workflow security architecture based on UCON[C]//16th IEEE International Conference Industrial Engineering and Engineering Management IE&EM’09,2009:338-340.