基于UCON的網(wǎng)絡(luò)銀行在線支付訪問(wèn)控制模型及其安全性,金融學(xué)論文網(wǎng)絡(luò)銀行是基于因特網(wǎng)或其他電子通信網(wǎng)絡(luò)手段提供各種金融服務(wù)的銀行機(jī)構(gòu)或虛擬網(wǎng)站[1]。網(wǎng)絡(luò)銀行的在線支付功能牽涉客戶端、服務(wù)器端、通信及內(nèi)部網(wǎng)絡(luò)等安全問(wèn)題，關(guān)鍵技術(shù)包括加密技術(shù)、認(rèn)證手段及安全應(yīng)用協(xié)議。常用的認(rèn)證方式方法包括隨機(jī)密碼、隨機(jī)密碼+SSL傳輸、PIN短密碼、GridCard、短信〔SMS〕接收動(dòng)態(tài)密碼、token和公鑰基礎(chǔ)設(shè)施〔PublicKeyInfrastructure，PKI〕[2-3]等。當(dāng)前對(duì)于怎樣保衛(wèi)用戶、商家及銀行三方利益的業(yè)務(wù)流程和安全技術(shù)、支付體系和支付協(xié)議，已有充分的研究和關(guān)注[4-7]。這些研究多牽涉認(rèn)證方式方法或傳統(tǒng)訪問(wèn)控制策略，其優(yōu)點(diǎn)是能夠有效保衛(wèi)信息安全性和完好性，受權(quán)管理相對(duì)靈敏，缺乏之處在于缺乏客戶端的使用控制和對(duì)支付權(quán)限的經(jīng)過(guò)控制。UCON〔UsageControl〕使用控制具有持續(xù)訪問(wèn)控制特征，易于描繪敘述動(dòng)態(tài)屬性變化，被廣泛用于數(shù)字版權(quán)管理、資源分發(fā)和信任管理等系統(tǒng)中，具有可應(yīng)用性[8]。例如在數(shù)字版權(quán)管理系統(tǒng)中，數(shù)字內(nèi)容的使用牽涉許可證更新、分發(fā)控制、權(quán)限管理及客戶端軟件完好性，利用UCON能夠進(jìn)行實(shí)時(shí)決策判定和檢驗(yàn)，施行動(dòng)態(tài)受權(quán)，通過(guò)觸發(fā)性規(guī)則和動(dòng)態(tài)持續(xù)控制進(jìn)行版權(quán)保衛(wèi)[9-10]。在線支付同樣牽涉權(quán)限控制、屬性更新、身份認(rèn)證和隱私保衛(wèi)，在已有的使用控制UCON在線支付研究中，主要進(jìn)行協(xié)議分析、模型建立和流程控制，研究方式方法包括結(jié)合傳統(tǒng)訪問(wèn)控制、基于歷史約束[11]、基于活動(dòng)特征及基于信任管理等。通過(guò)施行細(xì)粒度控制策略如激活決策、屬性更新、分配動(dòng)態(tài)角色、判定權(quán)限類別，實(shí)現(xiàn)信任受權(quán)、觸發(fā)性受權(quán)等動(dòng)態(tài)受權(quán)，進(jìn)而彌補(bǔ)傳統(tǒng)訪問(wèn)控制策略的缺乏。本課題組通過(guò)對(duì)四大國(guó)有銀行和部分商業(yè)銀行網(wǎng)上支付的調(diào)研，發(fā)如今現(xiàn)有的支付行為中存在如下問(wèn)題：〔1〕支付策略判定的動(dòng)態(tài)性。在線支付經(jīng)過(guò)中主要面臨木馬病毒、中間人攻擊的威脅，但針對(duì)不同安全級(jí)別的各種安全需求時(shí)，缺乏相應(yīng)的觸發(fā)保衛(wèi)機(jī)制；進(jìn)行身份認(rèn)證時(shí)非受權(quán)用戶容易通過(guò)猜口令、字典攻擊和釣魚網(wǎng)站等方式盜取用戶信息。〔2〕受權(quán)管理的完善性。在支付經(jīng)過(guò)中授予用戶最小權(quán)限，能較好地對(duì)支付行為進(jìn)行保衛(wèi)。但對(duì)惡意操作行為的控制只限于當(dāng)下支付，缺乏后續(xù)防護(hù)能力。針對(duì)上述問(wèn)題，本文提出基于UCON的支付模型和策略，利用身份認(rèn)證信息和支付活動(dòng)信息決策因子，有效控制受權(quán)用戶的支付行為，同時(shí)防備非受權(quán)支付，提高支付經(jīng)過(guò)的可控性。2UCON模型傳統(tǒng)訪問(wèn)控制包括自主訪問(wèn)控制〔DAC〕和強(qiáng)迫訪問(wèn)控制〔MAC〕。DAC基于訪問(wèn)者身份進(jìn)行訪問(wèn)權(quán)限限制，受權(quán)靈敏但安全可靠性低；MAC基于安全級(jí)別決定主體能否能夠訪問(wèn)客體，安全性較高但安全級(jí)別難以劃分、靈活性差。隨后產(chǎn)生的基于角色的訪問(wèn)控制〔RBAC〕根據(jù)用戶角色類型授予相應(yīng)權(quán)限，具有靈敏性但缺乏動(dòng)態(tài)性。這些訪問(wèn)控制屬于靜態(tài)受權(quán)，受權(quán)后無(wú)法在訪問(wèn)經(jīng)過(guò)中控制用戶行為，且不考慮訪問(wèn)行為對(duì)權(quán)限的影響。與之不同，UCON綜合受權(quán)、責(zé)任、條件和主、客體屬性作出使用決策判定，具有連續(xù)性和可變性的新特性。連續(xù)性即對(duì)訪問(wèn)請(qǐng)求進(jìn)行實(shí)時(shí)監(jiān)控，貫穿整個(gè)訪問(wèn)經(jīng)過(guò)；可變性指主、客體屬性值隨著訪問(wèn)行為的改變而更新。使用控制模型UCON[12]由JaehongPark和RaviSandu提出，它集合了傳統(tǒng)訪問(wèn)控制技術(shù)、信任管理和數(shù)字版權(quán)保衛(wèi)三大領(lǐng)域，能同時(shí)保衛(wèi)服務(wù)器端和客戶端的數(shù)字資源[13]，知足當(dāng)代訪問(wèn)控制的要求，被稱作下一代訪問(wèn)控制技術(shù)[14]，由XinwenZhang和RaviSandu完成了UCON時(shí)序邏輯形式化描繪敘述[15]。UCON模型是使用控制的核心模型，包括主體(S)、主體屬性(ATT(S))、客體(O)、客體屬性(ATT(O))、權(quán)利(R)、受權(quán)〔Authorizations〕、責(zé)任〔Obligations〕和條件〔Conditions〕八部分。如此圖1所示。【1】主體屬性和客體屬性是對(duì)主、客體性質(zhì)的描繪敘述，這些性質(zhì)用于使用決策的判定；權(quán)利并非獨(dú)立于主體行為，只要當(dāng)主體訪問(wèn)客體時(shí)權(quán)利才確定并存在；受權(quán)、責(zé)任和條件是使用決策函數(shù)的三大決定因素。根據(jù)受權(quán)特點(diǎn)，決策模型分為預(yù)先受權(quán)和經(jīng)過(guò)受權(quán)兩種決策模型。預(yù)先決策模型中，知足受權(quán)規(guī)則、完成各個(gè)責(zé)任和知足條件集合時(shí)允許主體S對(duì)客體O行使權(quán)利r；經(jīng)過(guò)決策模型中，根據(jù)使用經(jīng)過(guò)中受權(quán)規(guī)則能否知足、指定義務(wù)能否完成、條件能否符合來(lái)判定主體S能否繼續(xù)擁有訪問(wèn)客體O的權(quán)利。3基于UCON的網(wǎng)絡(luò)銀行在線支付訪問(wèn)控制模型現(xiàn)有網(wǎng)絡(luò)銀行在線支付根據(jù)用戶提出的支付申請(qǐng)，對(duì)身份信息進(jìn)行認(rèn)證，利用組合認(rèn)證方式方法或認(rèn)證實(shí)體，授予權(quán)限，并完成支付操作。一旦用戶獲得相應(yīng)權(quán)限，那么訪問(wèn)控制無(wú)法對(duì)支付經(jīng)過(guò)中的用戶行為施行有效受權(quán)控制，同時(shí)用戶支付活動(dòng)不受當(dāng)下支付行為約束，因而存在受權(quán)或非受權(quán)用戶的惡意支付。而傳統(tǒng)訪問(wèn)控制策略通?；谟脩舻纳矸蒡?yàn)證進(jìn)行受權(quán)，具有動(dòng)態(tài)性但仍缺乏經(jīng)過(guò)控制。3.1基于UCON的在線支付策略基于UCON的在線支付策略與現(xiàn)有在線支付策略的區(qū)別在于：使用控制決策的執(zhí)行和受權(quán)信息的管理控制。通過(guò)用戶身份認(rèn)證信息和支付活動(dòng)信息兩大決策因子，施行受權(quán)控制。在使用控制經(jīng)過(guò)中采用的模型主要牽涉身份認(rèn)證服務(wù)器、受權(quán)服務(wù)器和支付系統(tǒng)，如此圖2所示。華而不實(shí)，身份認(rèn)證根據(jù)用戶認(rèn)證信息頒發(fā)令牌；支付策略根據(jù)令牌和活動(dòng)特征進(jìn)行受權(quán)、義務(wù)和條件使用控制決策判定，并實(shí)時(shí)對(duì)活動(dòng)特征更新；銀行系統(tǒng)根據(jù)受權(quán)服務(wù)器返回信息決定能否允許用戶繼續(xù)進(jìn)行支付；相關(guān)權(quán)限信息入庫(kù)，作為再次支付請(qǐng)求時(shí)認(rèn)證影響因子。支付流程如此圖3所示?！?】執(zhí)行支付策略時(shí)檢查策略決策點(diǎn)能否知足，即根據(jù)受權(quán)規(guī)則、相應(yīng)責(zé)任和系統(tǒng)條件和觸發(fā)后額外義務(wù)或條件能否知足決定權(quán)限的授予與收回，當(dāng)下活動(dòng)成功完成后，相應(yīng)權(quán)限才被授予用戶，用戶能夠進(jìn)行新的權(quán)限申請(qǐng)，實(shí)現(xiàn)權(quán)責(zé)分離；用戶獲得新的權(quán)限后，系統(tǒng)對(duì)已有的權(quán)限收回，用戶不能進(jìn)行權(quán)限復(fù)制和轉(zhuǎn)發(fā)，防止非受權(quán)用戶盜用權(quán)限和受權(quán)用戶濫用權(quán)限；用戶獲得新的權(quán)限授予后，在使用當(dāng)下權(quán)限的經(jīng)過(guò)中不能夠重復(fù)申請(qǐng)權(quán)限。在執(zhí)行支付策略時(shí)，根據(jù)用戶當(dāng)下支付行為，如個(gè)人信息、登錄次數(shù)、支付金額等識(shí)別用戶能否為受權(quán)用戶，能否需要完成觸發(fā)義務(wù)或條件完成支付行為[16]。支付行為中主要牽涉身份認(rèn)證和活動(dòng)信息判定，支付流程詳細(xì)描繪敘述為：步驟1客戶端首先向認(rèn)證服務(wù)器發(fā)出請(qǐng)求，服務(wù)器通過(guò)信息庫(kù)對(duì)請(qǐng)求作出回應(yīng)。認(rèn)證不成功則拒絕請(qǐng)求，否則客戶端根據(jù)所獲得的信息構(gòu)成認(rèn)證標(biāo)識(shí)發(fā)送至受權(quán)服務(wù)器。步驟2受權(quán)服務(wù)器接收標(biāo)識(shí)信息，根據(jù)當(dāng)下/歷史活動(dòng)信息〔如用戶類型，安全系數(shù)，活動(dòng)狀態(tài)〕等，判定能否需要進(jìn)行屬性更新和觸發(fā)新的支付策略。步驟3實(shí)時(shí)檢查標(biāo)識(shí)信息和活動(dòng)信息，假如發(fā)生支付異常則返回步驟2，否則繼續(xù)進(jìn)行。步驟4執(zhí)行支付策略，訪問(wèn)控制決策點(diǎn)進(jìn)行受權(quán)、條件和責(zé)任判定。若通過(guò)許可，則獲得受權(quán)；否則，拒執(zhí)行支付策略時(shí)檢查策略決策點(diǎn)能否知足，即根據(jù)受權(quán)規(guī)則、相應(yīng)責(zé)任和系統(tǒng)條件和觸發(fā)后額外義務(wù)或條件能否知足決定權(quán)限的授予與收回，當(dāng)下活動(dòng)成功完成后，相應(yīng)權(quán)限才被授予用戶，用戶能夠進(jìn)行新的權(quán)限申請(qǐng)，實(shí)現(xiàn)權(quán)責(zé)分離；用戶獲得新的權(quán)限后，系統(tǒng)對(duì)已有的權(quán)限收回，用戶不能進(jìn)行權(quán)限復(fù)制和轉(zhuǎn)發(fā)，防止非受權(quán)用戶盜用權(quán)限和受權(quán)用戶濫用權(quán)限；用戶獲得新的權(quán)限授予后，在使用當(dāng)下權(quán)限的經(jīng)過(guò)中不能夠重復(fù)申請(qǐng)權(quán)限。在執(zhí)行支付策略時(shí)，根據(jù)用戶當(dāng)下支付行為，如個(gè)人信息、登錄次數(shù)、支付金額等識(shí)別用戶能否為受權(quán)用戶，能否需要完成觸發(fā)義務(wù)或條件完成支付行為[16]。支付行為中主要牽涉身份認(rèn)證和活動(dòng)信息判定，支付流程詳細(xì)描繪敘述為：步驟1客戶端首先向認(rèn)證服務(wù)器發(fā)出請(qǐng)求，服務(wù)器通過(guò)信息庫(kù)對(duì)請(qǐng)求作出回應(yīng)。認(rèn)證不成功則拒絕請(qǐng)求，否則客戶端根據(jù)所獲得的信息構(gòu)成認(rèn)證標(biāo)識(shí)發(fā)送至受權(quán)服務(wù)器。步驟2受權(quán)服務(wù)器接收標(biāo)識(shí)信息，根據(jù)當(dāng)下/歷史活動(dòng)信息〔如用戶類型，安全系數(shù)，活動(dòng)狀態(tài)〕等，判定能否需要進(jìn)行屬性更新和觸發(fā)新的支付策略。步驟3實(shí)時(shí)檢查標(biāo)識(shí)信息和活動(dòng)信息，假如發(fā)生支付異常則返回步驟2，否則繼續(xù)進(jìn)行。步驟4執(zhí)行支付策略，訪問(wèn)控制決策點(diǎn)進(jìn)行受權(quán)、條件和責(zé)任判定。若通過(guò)許可，則獲得受權(quán)；否則，拒絕支付活動(dòng)繼續(xù)進(jìn)行，返回訪問(wèn)結(jié)果。步驟5根據(jù)步驟4中的訪問(wèn)結(jié)果，假如拒絕訪問(wèn)，則記錄詳細(xì)活動(dòng)信息〔如活動(dòng)長(zhǎng)時(shí)間掛起，惡意屢次操作〕等，作為再次支付的約束條件；假如訪問(wèn)允許，那么用戶繼續(xù)擁有支付權(quán)限，并可根據(jù)實(shí)際需求進(jìn)行持續(xù)訪問(wèn)。持續(xù)訪問(wèn)經(jīng)過(guò)中不需進(jìn)行認(rèn)證標(biāo)識(shí)的重新申請(qǐng)，支付按流程繼續(xù)進(jìn)行。在支付經(jīng)過(guò)中，對(duì)既定義務(wù)和條件、待定義務(wù)和條件進(jìn)行經(jīng)過(guò)中判定，用戶嚴(yán)格根據(jù)支付流程進(jìn)行受權(quán)訪問(wèn)。支付行為根據(jù)認(rèn)證信息和活動(dòng)信息特征判定義務(wù)或條件能否激活，非受權(quán)用戶冒充受權(quán)用戶時(shí)，如發(fā)生身份冒充或進(jìn)行釣魚網(wǎng)站欺騙時(shí)，會(huì)激活額外義務(wù)或條件，因而難以進(jìn)行持續(xù)支付和資源訪問(wèn)，保障了受權(quán)用戶的權(quán)益。同時(shí)受權(quán)用戶在進(jìn)行支付行為的經(jīng)過(guò)中能夠方便、安全地進(jìn)行操作。若出現(xiàn)不當(dāng)操作，如復(fù)制權(quán)限、延時(shí)支付或惡意篡改數(shù)據(jù)等，將影響賬戶當(dāng)下及以后的支付行為。3.2支付策略邏輯描繪敘述根據(jù)支付策略流程的分析和使用控制經(jīng)過(guò)控制特點(diǎn)，采用UCON狀態(tài)轉(zhuǎn)換如此圖4所示?！?】華而不實(shí)ongoingCheck狀態(tài)是由ongoingRequest觸發(fā)accessing狀態(tài)進(jìn)入的另一個(gè)訪問(wèn)狀態(tài)，系統(tǒng)根據(jù)該狀態(tài)下新的屬性作出決策判定。假如決策判定允許繼續(xù)訪問(wèn)，ongoingPermit將狀態(tài)轉(zhuǎn)換為accessing，否則access-ing狀態(tài)直接轉(zhuǎn)向revoked狀態(tài)，具體參考文[17-18]。結(jié)合該系統(tǒng)轉(zhuǎn)換圖，作出關(guān)于時(shí)序邏輯行為〔TemporalLogicofActions，TLA〕的相關(guān)描繪敘述包括：〔1〕請(qǐng)求支付服務(wù)時(shí)進(jìn)行權(quán)限信息初始化，檢查客戶端標(biāo)識(shí)信息，判定信息完好性能否遭到毀壞。permitAccess(sor)(initialRequest(sor)checktruth(cookiefile))〔2〕根據(jù)當(dāng)下/歷史活動(dòng)特征，判定能否需要更新安全屬性，當(dāng)用戶安全強(qiáng)度需求提高時(shí)，必須激活并知足相應(yīng)的責(zé)任或條件，構(gòu)成相應(yīng)的軟件令牌；判定用戶能否擁有訪問(wèn)權(quán)限：permitAccess(sor)(initialRequest(sor)(check(usersecurity)checktruth(token)(AccessID(s)o.serverACL))〔3〕實(shí)時(shí)檢查標(biāo)識(shí)信息和進(jìn)行認(rèn)證令牌掃描，當(dāng)發(fā)生信息篡改或者令牌不存在時(shí)，支付無(wú)法正常進(jìn)行；當(dāng)標(biāo)識(shí)信息及令牌掃描信息正常時(shí)，進(jìn)行支付受權(quán)判定：permitAccess(sor)checktruth(tokencookiefile)((usersecurity0)(nRighto.usageNum)(state=accessing)ongoingRequest(sor)(((RightTimeo.maxidletime)(token=TRUE))(state=accessing)revokeaccess(sor)ongoingRequest(sor)onUpdate(nRight)onUpdate(nRight):nRight=nRight+1revokeaccess(sor)postUpdate(token)postUpdate(tokenExist):token=FALSE〔4〕當(dāng)支付驗(yàn)證失敗時(shí)，拒絕支付完成，更新屬性信息；假如支付驗(yàn)證成功，可進(jìn)行再次支付驗(yàn)證，返回步驟〔2〕，并同〔3〕進(jìn)行標(biāo)識(shí)信息和軟件令牌實(shí)時(shí)檢查?；赨CON的在線支付策略以身份認(rèn)證和活動(dòng)信息作為支付策略判定因素，具有身份驗(yàn)證主動(dòng)識(shí)別和支付策略觸發(fā)靈敏性，改善了現(xiàn)有網(wǎng)絡(luò)銀行安全機(jī)制在身份認(rèn)證和支付策略方面的缺乏，與已有的相關(guān)研究[19-21]不同，它加強(qiáng)了支付信息在當(dāng)下支付和再次支付行為中的邏輯作用。與現(xiàn)有在線支付策略相比擬，主要具有下面特點(diǎn)：〔1〕根據(jù)主客體屬性、責(zé)任和系統(tǒng)環(huán)境施行動(dòng)態(tài)受權(quán)，并且受權(quán)與詳細(xì)支付活動(dòng)相對(duì)應(yīng)，在支付經(jīng)過(guò)中實(shí)行權(quán)限的受權(quán)與收回?！?〕利用主體活動(dòng)的特征進(jìn)行支付判定，辨別用戶能否為受權(quán)用戶，判定認(rèn)證信息異常時(shí)，并不阻止用戶繼續(xù)進(jìn)行支付服務(wù)，但進(jìn)一步申請(qǐng)支付時(shí)，相應(yīng)的額外義務(wù)使非受權(quán)用戶難以對(duì)受權(quán)用戶的賬戶進(jìn)行惡意操作，加強(qiáng)了支付行為的可靠性和安全性?！?〕當(dāng)用戶支付金額超出額定值或異常時(shí)，現(xiàn)有支付策略能夠在最高額的限制下由用戶手動(dòng)更改在線支付的支付額，或是進(jìn)行屢次支付到達(dá)支付金額，具備一定的安全性和方便性。但在身份信息泄露，發(fā)生身份冒充的前提下，也為非受權(quán)用戶提供了方便性和進(jìn)行惡意操作的可能性。本文提出的支付策略則要求必須履行額外義務(wù)或知足額外條件，策略具有靈敏性，義務(wù)和條件具有伸縮性，一定程度上減輕服務(wù)器管理負(fù)擔(dān)?！?〕權(quán)限根據(jù)支付流程的變化而進(jìn)行授予和收回，具有嚴(yán)格的激活機(jī)制和順序性，當(dāng)用戶完成相應(yīng)責(zé)任后授予權(quán)限，當(dāng)下活動(dòng)完成后進(jìn)行權(quán)限收回，用戶無(wú)法同時(shí)擁有所有權(quán)限，即具有最小權(quán)限，防止權(quán)限濫用和泄露?！?〕對(duì)用戶當(dāng)下支付行為產(chǎn)生日志并進(jìn)行審計(jì)追蹤，記錄用戶支付歷史記錄并在進(jìn)行身份認(rèn)證時(shí)作為判定因素，因而當(dāng)下支付信息會(huì)影響以后支付行為，有效防止受權(quán)用戶進(jìn)行惡意操作。4安全性分析網(wǎng)絡(luò)銀行訪問(wèn)控制策略和受權(quán)管理機(jī)制，具備靈敏性和可控性，下面從客戶端認(rèn)證和支付策略選擇的角度，分析得出在線支付牽涉的安全性需求主要包括：〔1〕客戶端受權(quán)控制信息篡改。客戶端信息中包含用戶敏感信息及相應(yīng)的保衛(wèi)機(jī)制，當(dāng)發(fā)生篡改時(shí)，失去保衛(wèi)作用。〔2〕軟件令牌安全。支付經(jīng)過(guò)中根據(jù)詳細(xì)活動(dòng)信息構(gòu)成軟件令牌，因而存在軟件令牌的構(gòu)成及安全問(wèn)題?！?〕權(quán)限信息管理。用戶獲得權(quán)限后在使用權(quán)限經(jīng)過(guò)中牽涉標(biāo)識(shí)信息、活動(dòng)信息、受權(quán)、條件和責(zé)任等相關(guān)屬性信息，存在信息泄漏和受權(quán)管理能否系統(tǒng)和完善的問(wèn)題?！?〕安全認(rèn)證方式方法〔如一次密〕的使用控制。在支付經(jīng)過(guò)中依靠硬件令牌如USBKey，口令卡等，一旦非受權(quán)用戶把握用戶信息，將無(wú)法阻止惡意支付。針對(duì)上述安全性問(wèn)題，采用NuSMV檢測(cè)工具模擬支付異常時(shí)的支付策略選擇，并返回相應(yīng)的驗(yàn)證結(jié)果。限于篇幅，現(xiàn)針對(duì)描繪敘述〔2〕進(jìn)行驗(yàn)證：當(dāng)客戶端軟件軟件令牌未構(gòu)成時(shí)，無(wú)法進(jìn)入支付狀態(tài)，即：G(access_check=Token-(X(access_state!=accessingaccess_state!=ongoingCheck)U(access_state=revoked|access_state=denied|access_