电子商务的安全和原子：模型、协议和验证

电子商务的流行与接受主要取决于下述属性：安全、原子、隐私与匿名．对于需要安全、原子和隐私等3个属性的物理商品的电子交易还没有合适的电子商务协议．基于此,提出了一个称为ELC的电子商务模型,ELC模型模拟了国际贸易中的电子信用证．然后提出了一个安全、原子的电子商务协议．最后,在有一个入侵者的情况下,通过使用BAN风格的逻辑证明所期望的属性分析了协议的强度和正确性     

基于四方的安全电子商务支付协议研究

随着电子商务的迅速发展和普及,电子商务安全支付显得越来越重要,成为影响电子商务发展的关键技术。以国际电子商务支付协议标准SE」协议为研究对象,针对其无法确保商品原子性和确认发送原子性的缺陷,进行了一些改进;建立了一个基于四方的、能够自动存取关键电子证据、确保商品原子性和确认发送原子性、仲裁处理交易纠纷的安全电子商务支付协议;给出了协议的形式化描述;最后对基于四方的电子商务支付协议的安全性进行了分析。     

合同原子性及ACAP协议的实现

针对Tygar提出的电子商务协议3级原子性：钱原子性、商品原子性及确认发送原子性,首次提出了一个更高层次的合同原子性概念,并引进了合同自动执行和自动仲裁概念,同时对合同的形式化描述问题及合同原子性协议的实现模型做了初步探讨,最后给出了一个满足合同原子性的电子商务协议ACAP及其实现方案,并对ACAP的匿名性、安全性、原子性做了分析。     

统一的安全属性形式化描述方法的研究

安全属性的基于特定分析方法和限于特定属性的形式化描述严重影响了安全协议形式化分析方法的有效性和适用性.为解决这个问题,本文提出了一种统一的形式化描述方法,即通过属性动作之间的匹配关系来表达协议的安全属性.用这种方法详细分析了认证属性、保密属性以及公平性属性的形式化表达.通过比较分析,该方法与其他方法相比,具有准确、简洁和扩展性强的特点,在总体上优于其他方法.     

一种电子商务协议原子性的模型检验分析方法

提出了一个分析电子商务协议的形式化模型,介绍了基于该模型的电子商务协议原子性的描述方法。同其他模型相比,该模型能较好地分析具有多个实例并发运行时电子商务协议的原子性。最后基于该模型,用符号模型检验工具(SMV)分析了Digicash协议和Netbill协议。     

Netbill协议原子性的符号模型检验分析

电子商务协议的安全性和原子性是电子商务研究者和使用者广泛关心的问题,采取一定的方法对协议进行分析检验是协议开发过程中一个必要环节。论文在对Netbill协议及其原子性进行形式化描述的基础上,基于符号模型检验器(SMV)从钱原子性和商品原子性两个角度对Netbill协议进行了分析和检验,从而表明了用SMV对电子商务协议分析和验证的可行性。     

移动支付协议PCMS的形式化分析和验证

移动电子商务协议的形式化分析和验证是近年来移动电子商务协议的一个重要研究热点。以一个支付网关为中心的匿名的移动电子商务支付协议PCMS为研究对象,建立了PCMS协议的时间自动机模型,并用计算树逻辑CTL公式描述PCMS协议的部分性质,最后利用模型检测工具UPPAAL对PCMS协议的无死锁、时效性、有效性和钱原子性进行检测验证。验证结果表明,以支付网关为中心的匿名的安全支付协议PCMS满足无死锁、时效性、有效性和钱原子性。     

Digicash协议原子性的符号模型分析

电子商务协议的安全性和原子性是电子商务研究者和使用者广泛关心的问题,在协议设计完成之后,采取一定的方法对协议进行分析检验以确认协议,是否满足协议是否符合协议设计要求是十分必要的。提出了可以用符号模型检验器(SMV)对电子商务协议进行分析,在对Digicash协议及电子商务原子性进行形式化描述的基础上,用SMV从钱原子性和商品原子性这两个角度对Digicash协议的原子性进行了分析和检验,指出了Digicash协议的缺陷,从而表明了用SMV对电子商务协议分析和验证的可行性。     

Kaman协议的形式化验证

Kaman协议是移动Ad Hoc网络安全认证机制,然而,协议设计者未对该协议的安全性作严格的形式化分析。协议复合逻辑PCL是验证协议安全属性的形式化方法,PCL逻辑能够简化协议安全分析过程。本文在协议复合逻辑PCL中描述Kaman协议并分析Kaman协议的安全属性,证明Kaman协议能够实现其安全目标。     

一种分析电子商务安全协议的新逻辑

针对典型电子商务安全协议逻辑分析方法存在的问题,如安全属性分析存在局限性、缺乏形式化语义、对混合密码原语的处理能力不强等,提出了一种新的逻辑分析方法。新逻辑能够分析电子商务安全协议的认证性、密钥保密性、非否认性、可追究性、公平性及原子性。以匿名电子现金支付协议ISI作为分析实例,证明了新逻辑方法的有效性。分析找出了该协议的安全漏洞和缺陷:不满足商家的非否认性、密钥保密性、可追究性、公平性以及原子性,客户面临商家恶意欺骗的潜在威胁。     

电子商务协议研究综述

电子商务协议是电子商务实施的技术基础.对电子商务协议研究进行综述,包括电子商务协议设计的原则(如安全性、匿名性、原子性、不可否认性和交易规模)以及对若干著名电子商务协议的描述和分析.     

基于电子钱包的公平交易协议研究

分析了基于信用透支的电子交易协议存在的不满足发送原子性和客户可恶意透支这两个不足,提出了一种基于电子钱包的乐观公平交易协议.该协议首先利用交叉验证理论,通过RSA加密算法的交叉验证保证顾客在支付之前可以判断他是否收到所期望的商品,从而实现了协议的发送原子性.同时引入了电子钱包作为安全控制端,通过限制顾客产生的电子现金数额,避免客户的恶意透支.详细描述了协议的执行过程,并非形式化的证明了协议的原子性和安全性.     

改进的电子商务协议逻辑分析方法

在卿-周逻辑(软件学报,2001年第9期)的基础上提出一种改进的逻辑分析方法,用于分析电子商务协议的安全性,如可追究性、公平性和原子性。该方法通过引入消息新鲜性机制,使被重放的消息可以被识别,重新定义可追究性的实现条件,使得在发生重放攻击时能正确分析各方的责任性,给出原子性目标并增加对原子性分析的方法,以实现对协议原子性的分析。     

基于电子钱包的乐观公平交易协议

本文在分析了基于信用透支的电子交易协议的基础上，提出了一种基于电子钱包的乐观公平交易协议。通过应用加密算法的交叉验证，实现了协议的原子性，同时引入了电子钱包作为安全控制端，避免了客户的恶意透支。本文详细描述了协议的执行过程，并非形式化地证明了协议的原子性和安全性。     

Reputation management and signature delegation: A distributed approach

In this paper, we present a novel protocol, called Distributed Signcryption with Verifiable Partial Signature (DiSigncryption) protocol, to allow an agent owner to securely distribute his signing capability among a set of trusted third party hosts (TTP-hosts) via a mobile agent. The protocol incorporates three schemes: a novel Distributed Reputation Management scheme, a modified version of the Distributed Signcryption method proposed in [23], and an extended version of the Agent-based Threshold Proxy Signcryption (ATPS) protocol proposed in [2]. The security properties of the proposed protocol are analyzed, and the protocol is compared with the most related work. Omaima Bamasak received her Ph.D. degree from the University of Manchester, UK, in 2006. Her research interests are in designing protocols using cryptography for the provision of security in distributed systems, mobile agent security, electronic/mobile commerce, reputation management, and non-repudiation and fairness protocols. Ning Zhang received her Ph.D. degree from the University of Kent at Canterbury in 1994, and is now a lecturer in the School of Computer Science at the University of Manchester. Her research interests are in computer security and applied cryptography, e.g., security and privacy in distributed systems, ubiquitous computing, and electronic commerce, with a focus on security protocol design, access control, and trust management.     

保护个人的利益——电子商务协议新属性的自动验证

电子商务的快速发展加强了电子商务协议的新类型的需求,尤其对各种复杂协议的需求,这使得协议本身安全性的证明变得更为困难。为了证明电子商务协议的可靠性,研究人员已设计了各种方法。为了更加清楚地描述需要证明的电子商务协议的安全目标,研究者们已经提出了几种标志性属性,其中之一是较著名的原子性犤8犦,但这并不能完全描述电子商务协议的全部安全性定义。在犤1犦里,研究员对一项有研究价值的新属性进行了研究,称为“保护个人的利益”,并且提出一个手工验证的模型。该模型虽然有效,但是实用性较差。文章提出了一个基于模型检验这种技术的自动验证方法。