电子商务安全协议的逻辑验证

作者在以前所做的工作中,已对电子商务安全(secure electronic transactions,简称SET)中抽取的片段进行了证明,也对SET中可能存在的问题进行了初步探讨.该文在此基础上,对SET的整个业务流程进行了严格的逻辑验证,通过形式化逻辑方法的验证,发现了SET协议中存在的一些问题,并对如何解决这些问题进行了初步的探讨.     

安全协议的验证逻辑

该文提出一种论证安全协议之安全性质的非单调动态逻辑.针对信息安全的特定需要,给出了一组与加密、解密、签名、认证和密钥分配等密码学操作有关的公理和推理规则,举例说明了这一逻辑框架在验证安全协议方面的应用,并讨论了需要进一步解决的问题.     

一个面向安全协议分析的非单调逻辑

本文提出一种对安全协议进行分析的非单调逻辑。使用知识集描述已知的断言,使用信念描述安全协议系统的默认判断,通过推理和非单调的信念维护,可以验证安全协议的安全性。     

安全协议的扩展Horn逻辑模型及其验证方法

分析了Bruno Blanchet和Martin Abadi提出的基于Horn逻辑的安全协议模型及其验证方法,针对它们构造不满足安全性质的安全协议反例的不足,提出了安全协议的扩展Horn逻辑模型和修改版本的安全协议验证方法,使得能够从安全协议的扩展Horn逻辑模型和修改版本的安全协议验证过程中自动构造不满足安全性质的安全协议反例．在基于函数式编程语言Objective Carol开发的安全协议验证工具SPVT中,实现了上述算法,验证了算法的正确性．     

电子商务支付协议认证性的SVO逻辑验证

与证伪法（如模型检测）相比,采用证真法（如定理证明和逻辑推理）能验证协议在任意会话中的正确性,但分析难度较高,验证过程较为复杂。使用SVO逻辑方法,以Netbill微支付协议为例,对电子商务支付协议的认证性进行形式化分析。扩展了SVO逻辑的公理集;在不影响Netbill协议安全性的前提下,为其建立了简化模型;针对协议特点,修正和补充了其验证目标;给出了比之前更合理的协议假设,展示了具体的推理过程,分析了验证结果。结果表明,Netbill协议基本满足认证性。最后对相关研究工作进行了比较。     

一种新的安全协议形式化验证方法

形式化方法能有效检验安全协议的安全性,BAN类逻辑的发展极大地促进了这一领域的研究,但是现有的BAN类逻辑仍然存在许多问题．在分析现有BAN类逻辑的基础上,提出一种新的安全协议形式化验证方法,实现现有BAN类逻辑的验证功能,并使安全协议验证工作简单可行,便于实现机器自动验证．为安全协议形式化验证提供了一种新的途径．     

电子商务中安全协议的验证方法

该文简述了电子商务中的安全协议验证技术,对目前的一些重要的研究方法进行了分析和比较,重点针对形式化的方法在电子商务中的安全协议验证中的优势和不足,结合实际,提出了一些可能的发展趋势。     

一个安全、原子的电子商务协议及其形式化验证

电子商务的普及与接受主要取决于下述属性的解决：安全、原子、隐私与匿名,形式化描述和分析是描述电子商务协议并验证它各性的有效方法,面向物理商品交易的电子商务协议需要具备３个属性：安全、原子和隐私,介绍了一个安全、可靠的电子商务协议ＢＥＡＲＣＡＴ及其形式化描述,并龙有人侵者的情况下,通过用ＢＡＮ类型的逻辑证明所期望的属性的方式对协议的强度和正确性作形式化分析。     

基于Horn逻辑扩展模型的时间敏感安全协议验证

分析了Bruno Blanchet和Martin Abadi提出的基于Horn逻辑的安全协议模型及其验证方法,针对它们在验证时间敏感安全协议时的不足,提出了带时间约束的安全协议的Horn逻辑扩展模型和修改版本的安全协议验证方法,并给出了相应的定义和定理,使得带时间约束的安全协议的Horn逻辑扩展模型和修改版本的安全协议验证能够分析依赖时间的安全协议的安全性质.通过在验证中加入时间约束条件,得到了大嘴青蛙协议的攻击序列,并可从约束条件中导出避免攻击的条件.     

电子商务的安全和原子：模型、协议和验证

电子商务的流行与接受主要取决于下述属性：安全、原子、隐私与匿名．对于需要安全、原子和隐私等3个属性的物理商品的电子交易还没有合适的电子商务协议．基于此,提出了一个称为ELC的电子商务模型,ELC模型模拟了国际贸易中的电子信用证．然后提出了一个安全、原子的电子商务协议．最后,在有一个入侵者的情况下,通过使用BAN风格的逻辑证明所期望的属性分析了协议的强度和正确性     

电子商务中的安全支付技术的研究

电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。该文针对电子商务中存在的安全问题,分析了电子商务中信息安全基本原理,介绍了应用于电子商务中的安全认证技术及目前电子商务中广泛使用的安全认证协议。     

电子商务中的安全支付技术的研究

电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。该文针对电子商务中存在的安全问题,分析了电子商务中信息安全基本原理,介绍了应用于电子商务中的安全认证技术及目前电子商务中广泛使用的安全认证协议。     

基于第三方的安全电子支付模型的研究

探讨了电子商务支付系统的安全问题,分析了SET协议的基本结构和交易流程,根据电子商务的实际情况,对SET协议的流程做出适当的改进,提出了基于第三方支付中心的在线安全支付系统的解决方案。它将支付功能从商家系统剥离出来,作为独立的第三方支付中心,为各商家提供在线支付的支持。它优化了SET协议的模型结构,完善了交易流程,增强了交易的安全性。     

电子商务的安全问题

在简要地介绍了电子商务的基本知识之后,对电子商务的安全因素、安全威胁、安全体系结构和核心的安全技术进行了系统的分析和讨论,最后,还提出了一些需要解决的有关问题。     

Verifying the SET Purchase Protocols

SET (Secure Electronic Transaction) is a suite of protocols proposed by a consortium of credit card companies and software corporations to secure e-commerce transactions. The Purchase part of the suite is intended to guarantee the integrity and authenticity of the payment transaction while keeping the Cardholder's account details secret from the Merchant and his choice of goods secret from the Bank. This paper details the first verification results for the complete Purchase protocols of SET. Using Isabelle and the inductive method, we show that their primary goal is indeed met. However, a lack of explicitness in the dual signature makes some agreement properties fail: it is impossible to prove that the Cardholder meant to send his credit card details to the very payment gateway that receives them. A major effort in the verification went into digesting the SET documentation to produce a realistic model. The protocol's complexity and size make verification difficult, compared with other protocols. However, our effort has yielded significant insights.     

移动支付安全性问题研究

移动支付是允许移动用户利用无线通信技术,使用其移动终端对所消费的商品或服务进行账务支付的一种服务方式。在移动电子商务迅速抢占市场的同时,作为移动电子商务重要组成部分的移动支付近年来发展如火如荼。本文通过对移动支付相关概念的介绍,分析了目前移动支付存在的安全问题,提出了一些解决办法。     

移动支付安全性问题研究

移动支付是允许移动用户利用无线通信技术,使用其移动终端对所消费的商品或服务进行账务支付的一种服务方式。在移动电子商务迅速抢占市场的同时,作为移动电子商务重要组成部分的移动支付近年来发展如火如荼。本文通过对移动支付相关概念的介绍,分析了目前移动支付存在的安全问题,提出了一些解决办法。