基于小系统理论的简化SET协议

基于Lu & Smolka的SET协议支付过程简化模型,在小系统理论的基础上,运用Promela语言对协议进行形式化建模,采用线性时态逻辑LTL公式对协议的认证性进行形式化描述。在网络环境被入侵者控制的假设下,运用SPIN发现攻击;采用atomic和Bit-state hashing等优化策略,降低模型检测的复杂性,提高验证效率;最后针对协议存在的漏洞提出协议改进方案。     

安全协议Andrew RPC的SPIN模型检测

本文运用模型检测技术,以Dolev-Yao模型为基础,提出了使用Promela语言和模型检测工具SPIN对Andrew RPC协议进行建模和分析的方法,发现了该协议存在重放攻击漏洞,该方法具有一定通用性和很好的参考价值。     

基于Spin的安全协议形式化验证技术

针对安全协议的形式化验证问题,运用模型检测方法,以一种改进的入侵者Promela语义模型,对双方密钥分配中心协议进行Spin模型检测,验证发现其不满足线性时序逻辑（ LTL）公式描述的安全性,得到了原协议的安全漏洞。针对该漏洞,提出了一种协议改进方案,并针对改进后的协议,给出新的Promela语义模型的建模方法。改进的入侵者模型建模方法比起原方法：模型检测过程中的存储状态数减少,使模型复杂度降低约40';迁移状态数减少,使验证效率提升约44'。     

小额交易中SET协议的优化及SPIN验证的研究

作为电子商务的重要组成部分,基于Internet的电子交易受到了广泛的关注。SET交易过程十分复杂,在完成一次SET协议交易过程中,需验证电子证书9次,验证数字签名6次,传递证书7次,进行签名5次,4次对称加密和非对称加密。本文选取SET协议的核心部分：购买请求、支付认证和获得付款3个子协议过程作为研究分析对象,针对不同数额的交易进行分级,针对小额的交易过程进行协议的优化,对SET进行SPIN模型检测,并根据分析模拟与验证的结果对SET进行改进。     

IKEv2协议的SPIN模型检测

基于模型检测技术，使用SPIN对IKEv2协议进行了建模和分析。应用Promela语言描述了协议模型，并用LTL规约了该协议需要满足的认证性和秘密性，最后对检测结果进行了分析。     

基于IC卡的电子支付模型研究

电子支付技术是电子商务中的核心技术,也是目前制约电子商务发展的一个根本性问题。文章就电子商务中的电子支付技术进行了探讨,以SET协议为基础,提出了三种参考模型,并对这三种电子支付模型进行了对比分析,给出了这三种电子支付模型的优缺点和共同点。     

电子商务中SET协议的分析与研究

本文通过对电子商务安全性和电子商务安全协议进行分析,以及对SET协议体系进行分析和研究,针对SET协议存在的问题,提出了改进的方法,增强了其使用性,提高了安全性。     

IEEE802.11中WEP认证协议的SPIN模型检测

用SPIN工具对WEP认证协议进行模型检测,不仅可以从状态空间上搜索出协议的漏洞,还可以各个角度分析WEP协议的运行逻辑.模型检测的方法先通过建立WEP认证协议的模型,转换成SPIN的输入语言Promela,然后通过建立WEP协议的性质转化成LTL语言,最后利用SPIN工具分析WEP认证协议.实验的结果说明WEP认证协议存在漏洞.     

SET协议形式化分析与模型检测

随着移动网络技术的快速发展,电子商务的大量普及,电子商务不在单单只是局限于有线网络,商家们开始将商机延续到移动网络。移动网络用户群体中手机移动上网用户占绝大部分,在这样的商机驱动下,移动电子商务得到快速发展。移动电子商务中最为核心的技术是移动电子支付协议SET,它直接决定了移动电子商务的安全性、高效性。本文就在这样的背景下采用AVISPA工具研究SET协议,通过形式化分析与模型检测,发现了SET协议的支付密钥的不安全性,并给出了攻击路径。     

椭圆曲线密码体制在SET协议中的应用

分析了电子商务中SET协议的运作方式,针对SET交易每个阶段要用加密和数字签名保证其安全进行的要求,设计了一套椭圆曲线密码体制在SET协议中的应用方案,其中包括ECC的密钥生成、数字签名和数字信封的实现算法。给出了一个SET交易的安全实现模型,它保证了交易的有效性、机密性、完整性和不可抵赖性。     

基于模型检测的不可靠环境下电子商务协议分析

随着网络的大规模应用,电子商务协议的运行环境越来越不可靠。本文用模型检测的方法分析了不可靠环境下电子商务协议的安全性质。结果表明：安全的电子商务协议在不 可靠环境下运行时有可能不再保持安全性质。当安全性质违背时,借助由自动验证工具UPPAAL生成的消息序列查找原因并对协议进行修改。经验证,修改后的协议在不可靠的环
境下保持安全性质。     

电子商务的安全协议分析

本文对目前用于保障电子商务安全的一些典型协议进行了简要介绍,重点介绍了SSL协议和SET协议,对它们的作用,解决的关键问题及安全性等进行了描述.并对SSL协议和SET协议进行了简要的比较.     

A flaw in the electronic commerce protocol SET

The Secure Electronic Transaction (SET) protocol has been developed by the major credit card companies in association with some of the top software corporations to secure e-commerce transactions. This paper recalls the basics of the SET protocol and presents a new flaw: a dishonest client may purchase goods from an honest merchant (with the help of another merchant) for which he does not pay. Fortunately, by checking his balance sheet, the merchant may trace with the help of his bank the client and his accomplice. We also propose a modification to fix the flaw.     

Verifying the SET Purchase Protocols

SET (Secure Electronic Transaction) is a suite of protocols proposed by a consortium of credit card companies and software corporations to secure e-commerce transactions. The Purchase part of the suite is intended to guarantee the integrity and authenticity of the payment transaction while keeping the Cardholder's account details secret from the Merchant and his choice of goods secret from the Bank. This paper details the first verification results for the complete Purchase protocols of SET. Using Isabelle and the inductive method, we show that their primary goal is indeed met. However, a lack of explicitness in the dual signature makes some agreement properties fail: it is impossible to prove that the Cardholder meant to send his credit card details to the very payment gateway that receives them. A major effort in the verification went into digesting the SET documentation to produce a realistic model. The protocol's complexity and size make verification difficult, compared with other protocols. However, our effort has yielded significant insights.     

SET协议认证机制的形式化分析

移动支付是移动电子商务的重要组成部分,而安全性成为移动支付的发展瓶颈,因此电子商务协议的安全性成为此问题的核心。为了解决上述问题,使用串空间模型的测试理论,对SET协议中用户和商家、商家和支付网关之间的认证性进行形式化分析,分析结果表明商家与支付网关之间的认证是安全的;用户和商家的认证性不满足安全需求,在支付交易流程中双方易受到攻击。     

改进椭圆曲线密码体制在SET协议中的应用

在电子商务中,安全电子交易（SET）协议作为目前安全性较高的协议之一,解决了一定的安全问题.然而,由于SET加解密方案安全强度不足,其安全性逐渐受到人们的怀疑.由此,提出一种改进的椭圆曲线密码体制用于替代原有私钥加密算法,提高协议的速度、性能及安全性.针对ECC加解密过程中点乘法运算耗时较多而影响数据加解密速度的问题,通过对几种改进的数乘算法进行比较,提出一种改进的NAF算法.比较可得出改进算法相对于现有算法拥有更好的时间复杂度并使用更少的计算资源.同时融合使用MD5哈希生成算法进一步提高了现有椭圆曲线密码体制的安全性.     

基于SPIN的网络认证协议高效模型检测

为了有效地提高网络认证协议建模和验证的效率,基于模型检测方法提出一个通用的网络认证协议模型描述方法,结合模型检测工具SPIN可以方便地进行性质验证。通过一些模型的简化策略,不仅可以对不同协议进行高效建模,而且减小了模型的状态空间。与现有的文献相比,自动化程度较高,模型验证的效率较好。基于该方法,对PKM认证协议进行了模型检测,实验证明该模型分析验证方法的有效性,可用于其他网络认证协议的分析验证。     

SET协议模型的改进与SMV分析

在以Lu&Smolka对SET协议支付过程的简化模型为研究对象的情况下,进行形式化建模和有限状态机模型。同时应用CTL对相应的安全性质进行形式描述,并在网络环境被入侵者控制的假设下,利用SMV分析了协议的认证性、保密性和完整性,发现攻击并对该攻击所产生的影响进行了讨论。最后修改其协议模型对改进后的协议进行分析和检验,说明了SET协议独具特色的双重签名在整个协议运行中至关重要。     

移动支付协议PCMS的形式化分析和验证

移动电子商务协议的形式化分析和验证是近年来移动电子商务协议的一个重要研究热点。以一个支付网关为中心的匿名的移动电子商务支付协议PCMS为研究对象,建立了PCMS协议的时间自动机模型,并用计算树逻辑CTL公式描述PCMS协议的部分性质,最后利用模型检测工具UPPAAL对PCMS协议的无死锁、时效性、有效性和钱原子性进行检测验证。验证结果表明,以支付网关为中心的匿名的安全支付协议PCMS满足无死锁、时效性、有效性和钱原子性。