王昌達(dá)，董雪剛，周從華

1.江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院，江蘇鎮(zhèn)江 212013

2.常州江蘇大學(xué)工程技術(shù)研究院，江蘇常州 213164

基于UCON的網(wǎng)絡(luò)銀行在線支付及其安全性分析

王昌達(dá)1，2，董雪剛1，周從華1，2

1.江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院，江蘇鎮(zhèn)江 212013

2.常州江蘇大學(xué)工程技術(shù)研究院，江蘇常州 213164

通過分析現(xiàn)有網(wǎng)絡(luò)銀行在線支付特點(diǎn)及安全保護(hù)機(jī)制，發(fā)現(xiàn)其支付過程仍存在身份冒充、權(quán)限泄露和支付不靈活等問題。針對(duì)這些問題，提出使用控制模型UCON的網(wǎng)絡(luò)銀行在線支付模型，制定動(dòng)態(tài)的授權(quán)規(guī)則和靈活的支付策略，并對(duì)提出的策略進(jìn)行詳細(xì)描述。通過使用模型檢測(cè)工具NuSMV進(jìn)行安全性分析，證明該策略符合網(wǎng)絡(luò)銀行訪問控制的安全性和方便性需求，且能夠彌補(bǔ)現(xiàn)有系統(tǒng)在身份認(rèn)證機(jī)制和支付行為使用控制方面的不足。

網(wǎng)絡(luò)銀行；訪問控制；支付安全；使用控制；模型檢測(cè)

1 引言

網(wǎng)絡(luò)銀行是基于因特網(wǎng)或其他電子通信網(wǎng)絡(luò)手段提供各種金融服務(wù)的銀行機(jī)構(gòu)或虛擬網(wǎng)站[1]。網(wǎng)絡(luò)銀行的在線支付功能涉及客戶端、服務(wù)器端、通信及內(nèi)部網(wǎng)絡(luò)等安全問題，關(guān)鍵技術(shù)包括加密技術(shù)、認(rèn)證手段及安全應(yīng)用協(xié)議。常用的認(rèn)證方法包括隨機(jī)密碼、隨機(jī)密碼+ SSL傳輸、PIN短密碼、Grid Card、短信（SMS）接收動(dòng)態(tài)密碼、token和公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）[2-3]等。目前對(duì)于如何保護(hù)用戶、商家及銀行三方利益的業(yè)務(wù)流程和安全技術(shù)、支付體系和支付協(xié)議，已有充分的研究和關(guān)注[4-7]。這些研究多涉及認(rèn)證方法或傳統(tǒng)訪問控制策略，其優(yōu)點(diǎn)是能夠有效保護(hù)信息安全性和完整性，授權(quán)管理相對(duì)靈活，不足之處在于缺乏客戶端的使用控制和對(duì)支付權(quán)限的過程控制。UCON（Usage Control）使用控制具有持續(xù)訪問控制特征，易于描述動(dòng)態(tài)屬性變化，被廣泛用于數(shù)字版權(quán)管理、資源分發(fā)和信任管理等系統(tǒng)中，具有可應(yīng)用性[8]。例如在數(shù)字版權(quán)管理系統(tǒng)中，數(shù)字內(nèi)容的使用涉及許可證更新、分發(fā)控制、權(quán)限管理及客戶端軟件完整性，利用UCON可以進(jìn)行實(shí)時(shí)決策判斷和檢驗(yàn)，實(shí)施動(dòng)態(tài)授權(quán)，通過觸發(fā)性規(guī)則和動(dòng)態(tài)持續(xù)控制進(jìn)行版權(quán)保護(hù)[9-10]。在線支付同樣涉及權(quán)限控制、屬性更新、身份認(rèn)證和隱私保護(hù)，在已有的使用控制UCON在線支付研究中，主要進(jìn)行協(xié)議分析、模型建立和流程控制，研究方法包括結(jié)合傳統(tǒng)訪問控制、基于歷史約束[11]、基于活動(dòng)特征及基于信任管理等。通過實(shí)施細(xì)粒度控制策略如激活決策、屬性更新、分配動(dòng)態(tài)角色、判斷權(quán)限類別，實(shí)現(xiàn)信任授權(quán)、觸發(fā)性授權(quán)等動(dòng)態(tài)授權(quán)，從而彌補(bǔ)傳統(tǒng)訪問控制策略的不足。本課題組通過對(duì)四大國(guó)有銀行和部分商業(yè)銀行網(wǎng)上支付的調(diào)研，發(fā)現(xiàn)在現(xiàn)有的支付行為中存在如下問題：

（1）支付策略判斷的動(dòng)態(tài)性。在線支付過程中主要面臨木馬病毒、中間人攻擊的威脅，但針對(duì)不同安全級(jí)別的各種安全需求時(shí)，缺乏相應(yīng)的觸發(fā)保護(hù)機(jī)制；進(jìn)行身份認(rèn)證時(shí)非授權(quán)用戶容易通過猜口令、字典攻擊和釣魚網(wǎng)站等方式盜取用戶信息。

（2）授權(quán)管理的完善性。在支付過程中授予用戶最小權(quán)限，能較好地對(duì)支付行為進(jìn)行保護(hù)。但對(duì)惡意操作行為的控制只限于當(dāng)前支付，缺乏后續(xù)防護(hù)能力。

針對(duì)上述問題，本文提出基于UCON的支付模型和策略，利用身份認(rèn)證信息和支付活動(dòng)信息決策因子，有效控制授權(quán)用戶的支付行為，同時(shí)防范非授權(quán)支付，提高支付過程的可控性。

2 UCON模型

傳統(tǒng)訪問控制包括自主訪問控制（DAC）和強(qiáng)制訪問控制（MAC）。DAC基于訪問者身份進(jìn)行訪問權(quán)限限制，授權(quán)靈活但安全可靠性低；MAC基于安全級(jí)別決定主體是否可以訪問客體，安全性較高但安全級(jí)別難以劃分、靈活性差。隨后產(chǎn)生的基于角色的訪問控制（RBAC）根據(jù)用戶角色類型授予相應(yīng)權(quán)限，具有靈活性但缺乏動(dòng)態(tài)性。這些訪問控制屬于靜態(tài)授權(quán)，授權(quán)后無(wú)法在訪問過程中控制用戶行為，且不考慮訪問行為對(duì)權(quán)限的影響。

與之不同，UCON綜合授權(quán)、責(zé)任、條件和主、客體屬性作出使用決策判斷，具有連續(xù)性和可變性的新特性?！斑B續(xù)性”即對(duì)訪問請(qǐng)求進(jìn)行實(shí)時(shí)監(jiān)控，貫穿整個(gè)訪問過程；“可變性”指主、客體屬性值隨著訪問行為的改變而更新。

使用控制模型UCON[12]由Jaehong Park和Ravi Sandu提出，它集合了傳統(tǒng)訪問控制技術(shù)、信任管理和數(shù)字版權(quán)保護(hù)三大領(lǐng)域，能同時(shí)保護(hù)服務(wù)器端和客戶端的數(shù)字資源[13]，滿足現(xiàn)代訪問控制的要求，被稱作下一代訪問控制技術(shù)[14]，由Xinwen Zhang和Ravi Sandu完成了UCON時(shí)序邏輯形式化描述[15]。UCON模型是使用控制的核心模型，包括主體(S)、主體屬性(ATT(S))、客體(O)、客體屬性(ATT(O))、權(quán)利(R)、授權(quán)（Authorizations）、責(zé)任（Obligations）和條件（Conditions）八部分。如圖1所示。

圖1 UCON核心模型

主體屬性和客體屬性是對(duì)主、客體性質(zhì)的描述，這些性質(zhì)用于使用決策的判斷；權(quán)利并非獨(dú)立于主體行為，只有當(dāng)主體訪問客體時(shí)權(quán)利才確定并存在；授權(quán)、責(zé)任和條件是使用決策函數(shù)的三大決定因素。

根據(jù)授權(quán)特點(diǎn)，決策模型分為預(yù)先授權(quán)和過程授權(quán)兩種決策模型。預(yù)先決策模型中，滿足授權(quán)規(guī)則、完成各個(gè)責(zé)任和滿足條件集合時(shí)允許主體S對(duì)客體O行使權(quán)利r；過程決策模型中，根據(jù)使用過程中授權(quán)規(guī)則是否滿足、指定義務(wù)是否完成、條件是否符合來判斷主體S是否繼續(xù)擁有訪問客體O的權(quán)利。

3 基于UCON的網(wǎng)絡(luò)銀行在線支付訪問控制模型

現(xiàn)有網(wǎng)絡(luò)銀行在線支付根據(jù)用戶提出的支付申請(qǐng)，對(duì)身份信息進(jìn)行認(rèn)證，利用組合認(rèn)證方法或認(rèn)證實(shí)體，授予權(quán)限，并完成支付操作。一旦用戶獲得相應(yīng)權(quán)限，那么訪問控制無(wú)法對(duì)支付過程中的用戶行為實(shí)施有效授權(quán)控制，同時(shí)用戶支付活動(dòng)不受當(dāng)前支付行為約束，因此存在授權(quán)或非授權(quán)用戶的惡意支付。而傳統(tǒng)訪問控制策略通?；谟脩舻纳矸蒡?yàn)證進(jìn)行授權(quán)，具有動(dòng)態(tài)性但仍缺乏過程控制。

3.1 基于UCON的在線支付策略

基于UCON的在線支付策略與現(xiàn)有在線支付策略的區(qū)別在于：使用控制決策的執(zhí)行和授權(quán)信息的管理控制。通過用戶身份認(rèn)證信息和支付活動(dòng)信息兩大決策因子，實(shí)施授權(quán)控制。在使用控制過程中采用的模型主要涉及身份認(rèn)證服務(wù)器、授權(quán)服務(wù)器和支付系統(tǒng)，如圖2所示。其中，身份認(rèn)證根據(jù)用戶認(rèn)證信息頒發(fā)令牌；支付策略根據(jù)令牌和活動(dòng)特征進(jìn)行授權(quán)、義務(wù)和條件使用控制決策判斷，并實(shí)時(shí)對(duì)活動(dòng)特征更新；銀行系統(tǒng)根據(jù)授權(quán)服務(wù)器返回信息決定是否允許用戶繼續(xù)進(jìn)行支付；相關(guān)權(quán)限信息入庫(kù)，作為再次支付請(qǐng)求時(shí)認(rèn)證影響因子。支付流程如圖3所示。

圖2 基于UCON的網(wǎng)絡(luò)銀行支付模型

圖3 支付流程圖

執(zhí)行支付策略時(shí)檢查策略決策點(diǎn)是否滿足，即根據(jù)授權(quán)規(guī)則、相應(yīng)責(zé)任和系統(tǒng)條件和觸發(fā)后額外義務(wù)或條件是否滿足決定權(quán)限的授予與收回，當(dāng)前活動(dòng)成功完成后，相應(yīng)權(quán)限才被授予用戶，用戶可以進(jìn)行新的權(quán)限申請(qǐng)，實(shí)現(xiàn)權(quán)責(zé)分離；用戶獲得新的權(quán)限后，系統(tǒng)對(duì)已有的權(quán)限收回，用戶不能進(jìn)行權(quán)限復(fù)制和轉(zhuǎn)發(fā)，防止非授權(quán)用戶盜用權(quán)限和授權(quán)用戶濫用權(quán)限；用戶獲得新的權(quán)限授予后，在使用當(dāng)前權(quán)限的過程中不可以重復(fù)申請(qǐng)權(quán)限。

在執(zhí)行支付策略時(shí)，根據(jù)用戶當(dāng)前支付行為，如個(gè)人信息、登錄次數(shù)、支付金額等辨別用戶是否為授權(quán)用戶，是否需要完成觸發(fā)義務(wù)或條件完成支付行為[16]。支付行為中主要涉及身份認(rèn)證和活動(dòng)信息判斷，支付流程具體描述為：

步驟1客戶端首先向認(rèn)證服務(wù)器發(fā)出請(qǐng)求，服務(wù)器通過信息庫(kù)對(duì)請(qǐng)求作出回應(yīng)。認(rèn)證不成功則拒絕請(qǐng)求，否則客戶端根據(jù)所獲得的信息形成認(rèn)證標(biāo)識(shí)發(fā)送至授權(quán)服務(wù)器。

步驟2授權(quán)服務(wù)器接收標(biāo)識(shí)信息，根據(jù)當(dāng)前/歷史活動(dòng)信息（如用戶類型，安全系數(shù)，活動(dòng)狀態(tài)）等，判斷是否需要進(jìn)行屬性更新和觸發(fā)新的支付策略。

步驟3實(shí)時(shí)檢查標(biāo)識(shí)信息和活動(dòng)信息，如果發(fā)生支付異常則返回步驟2，否則繼續(xù)進(jìn)行。

步驟4執(zhí)行支付策略，訪問控制決策點(diǎn)進(jìn)行授權(quán)、條件和責(zé)任判斷。若通過許可，則獲得授權(quán)；否則，拒絕支付活動(dòng)繼續(xù)進(jìn)行，返回訪問結(jié)果。

步驟5根據(jù)步驟4中的訪問結(jié)果，如果拒絕訪問，則記錄具體活動(dòng)信息（如活動(dòng)長(zhǎng)時(shí)間掛起，惡意多次操作）等，作為再次支付的約束條件；如果訪問允許，那么用戶繼續(xù)擁有支付權(quán)限，并可根據(jù)實(shí)際需求進(jìn)行持續(xù)訪問。持續(xù)訪問過程中不需進(jìn)行認(rèn)證標(biāo)識(shí)的重新申請(qǐng)，支付按流程繼續(xù)進(jìn)行。

在支付過程中，對(duì)既定義務(wù)和條件、待定義務(wù)和條件進(jìn)行過程中判斷，用戶嚴(yán)格按照支付流程進(jìn)行授權(quán)訪問。支付行為根據(jù)認(rèn)證信息和活動(dòng)信息特征判斷義務(wù)或條件是否激活，非授權(quán)用戶冒充授權(quán)用戶時(shí)，如發(fā)生身份冒充或進(jìn)行釣魚網(wǎng)站欺騙時(shí)，會(huì)激活額外義務(wù)或條件，因此難以進(jìn)行持續(xù)支付和資源訪問，保障了授權(quán)用戶的權(quán)益。同時(shí)授權(quán)用戶在進(jìn)行支付行為的過程中能夠方便、安全地進(jìn)行操作。若出現(xiàn)不當(dāng)操作，如復(fù)制權(quán)限、延時(shí)支付或惡意篡改數(shù)據(jù)等，將影響賬戶當(dāng)前及以后的支付行為。

3.2 支付策略邏輯描述

根據(jù)支付策略流程的分析和使用控制過程控制特點(diǎn)，采用UCON狀態(tài)轉(zhuǎn)換如圖4所示。

圖4 系統(tǒng)狀態(tài)轉(zhuǎn)換

其中ongoingCheck狀態(tài)是由ongoingRequest觸發(fā)accessing狀態(tài)進(jìn)入的另一個(gè)訪問狀態(tài)，系統(tǒng)根據(jù)該狀態(tài)下新的屬性作出決策判斷。如果決策判斷允許繼續(xù)訪問，ongoingPerm it將狀態(tài)轉(zhuǎn)換為accessing，否則accessing狀態(tài)直接轉(zhuǎn)向revoked狀態(tài)，詳細(xì)參考文[17-18]。結(jié)合該系統(tǒng)轉(zhuǎn)換圖，作出關(guān)于時(shí)序邏輯行為（Temporal Logic of Actions，TLA）的相關(guān)描述包括：

（1）請(qǐng)求支付服務(wù)時(shí)進(jìn)行權(quán)限信息初始化，檢查客戶端標(biāo)識(shí)信息，判斷信息完整性是否受到破壞。

（2）根據(jù)當(dāng)前/歷史活動(dòng)特征，判斷是否需要更新安全屬性，當(dāng)用戶安全強(qiáng)度需求提高時(shí)，必須激活并滿足相應(yīng)的責(zé)任或條件，形成相應(yīng)的軟件令牌；判斷用戶是否擁有訪問權(quán)限：

（3）實(shí)時(shí)檢查標(biāo)識(shí)信息和進(jìn)行認(rèn)證令牌掃描，當(dāng)發(fā)生信息篡改或者令牌不存在時(shí)，支付無(wú)法正常進(jìn)行；當(dāng)標(biāo)識(shí)信息及令牌掃描信息正常時(shí)，進(jìn)行支付授權(quán)判斷：

（4）當(dāng)支付驗(yàn)證失敗時(shí)，拒絕支付完成，更新屬性信息；如果支付驗(yàn)證成功，可進(jìn)行再次支付驗(yàn)證，返回步驟（2），并同（3）進(jìn)行標(biāo)識(shí)信息和軟件令牌實(shí)時(shí)檢查。

基于UCON的在線支付策略以身份認(rèn)證和活動(dòng)信息作為支付策略判斷因素，具有身份驗(yàn)證主動(dòng)辨別和支付策略觸發(fā)靈活性，改善了現(xiàn)有網(wǎng)絡(luò)銀行安全機(jī)制在身份認(rèn)證和支付策略方面的不足，與已有的相關(guān)研究[19-21]不同，它增強(qiáng)了支付信息在當(dāng)前支付和再次支付行為中的邏輯作用。與現(xiàn)有在線支付策略相比較，主要具有以下特點(diǎn)：

（1）根據(jù)主客體屬性、責(zé)任和系統(tǒng)環(huán)境實(shí)施動(dòng)態(tài)授權(quán)，并且授權(quán)與具體支付活動(dòng)相對(duì)應(yīng)，在支付過程中實(shí)行權(quán)限的授權(quán)與收回。

（2）利用主體活動(dòng)的特征進(jìn)行支付判斷，識(shí)別用戶是否為授權(quán)用戶，判斷認(rèn)證信息異常時(shí)，并不阻止用戶繼續(xù)進(jìn)行支付服務(wù)，但進(jìn)一步申請(qǐng)支付時(shí)，相應(yīng)的額外義務(wù)使非授權(quán)用戶難以對(duì)授權(quán)用戶的賬戶進(jìn)行惡意操作，增強(qiáng)了支付行為的可靠性和安全性。

（3）當(dāng)用戶支付金額超出額定值或異常時(shí)，現(xiàn)有支付策略可以在最高額的限制下由用戶手動(dòng)更改在線支付的支付額，或是進(jìn)行多次支付達(dá)到支付金額，具備一定的安全性和方便性。但在身份信息泄露，發(fā)生身份冒充的前提下，也為非授權(quán)用戶提供了方便性和進(jìn)行惡意操作的可能性。本文提出的支付策略則要求必須履行額外義務(wù)或滿足額外條件，策略具有靈活性，義務(wù)和條件具有伸縮性，一定程度上減輕服務(wù)器管理負(fù)擔(dān)。

（4）權(quán)限根據(jù)支付流程的變化而進(jìn)行授予和收回，具有嚴(yán)格的激活機(jī)制和順序性，當(dāng)用戶完成相應(yīng)責(zé)任后授予權(quán)限，當(dāng)前活動(dòng)完成后進(jìn)行權(quán)限收回，用戶無(wú)法同時(shí)擁有所有權(quán)限，即具有最小權(quán)限，防止權(quán)限濫用和泄露。

（5）對(duì)用戶當(dāng)前支付行為產(chǎn)生日志并進(jìn)行審計(jì)追蹤，記錄用戶支付歷史記錄并在進(jìn)行身份認(rèn)證時(shí)作為判斷因素，因此當(dāng)前支付信息會(huì)影響以后支付行為，有效防止授權(quán)用戶進(jìn)行惡意操作。

4 安全性分析

網(wǎng)絡(luò)銀行訪問控制策略和授權(quán)管理機(jī)制，具備靈活性和可控性，下面從客戶端認(rèn)證和支付策略選擇的角度，分析得出在線支付涉及的安全性需求主要包括：

（1）客戶端授權(quán)控制信息篡改?？蛻舳诵畔⒅邪脩裘舾行畔⒓跋鄳?yīng)的保護(hù)機(jī)制，當(dāng)發(fā)生篡改時(shí)，失去保護(hù)作用。

（2）軟件令牌安全。支付過程中依據(jù)具體活動(dòng)信息形成軟件令牌，因此存在軟件令牌的形成及安全問題。

（3）權(quán)限信息管理。用戶獲得權(quán)限后在使用權(quán)限過程中涉及標(biāo)識(shí)信息、活動(dòng)信息、授權(quán)、條件和責(zé)任等相關(guān)屬性信息，存在信息泄漏和授權(quán)管理是否系統(tǒng)和完善的問題。

（4）安全認(rèn)證方法（如一次密）的使用控制。在支付過程中依賴硬件令牌如USBKey，口令卡等，一旦非授權(quán)用戶掌握用戶信息，將無(wú)法阻止惡意支付。

針對(duì)上述安全性問題，采用NuSMV檢測(cè)工具模擬支付異常時(shí)的支付策略選擇，并返回相應(yīng)的驗(yàn)證結(jié)果。限于篇幅，現(xiàn)針對(duì)描述（2）進(jìn)行驗(yàn)證：當(dāng)客戶端軟件軟件令牌未形成時(shí)，無(wú)法進(jìn)入支付狀態(tài)，即：

檢測(cè)結(jié)果如圖5所示。

圖5 NuSMV檢測(cè)

通過安全性分析表明，基于UCON的在線支付策略能有效防范非授權(quán)用戶利用認(rèn)證信息進(jìn)行支付行為；同時(shí)相應(yīng)的觸發(fā)保護(hù)機(jī)制，滿足授權(quán)用戶在支付行為中安全性和方便性需求；采用后續(xù)支付約束有效防止用戶惡意操作。與現(xiàn)有網(wǎng)絡(luò)銀行的支付系統(tǒng)相比，主要特點(diǎn)見表1。

5 結(jié)束語(yǔ)

表1 兩種支付系統(tǒng)特點(diǎn)比較

本文根據(jù)在線支付中存在的不足提出基于UCON的訪問控制策略。在支付過程中依據(jù)用戶及活動(dòng)信息進(jìn)行決策判斷，能夠?qū)唧w的支付行為實(shí)施動(dòng)態(tài)授權(quán)訪問，具有靈活性，增強(qiáng)了支付過程的可控性。所提出的策略建立在現(xiàn)有網(wǎng)絡(luò)銀行在線支付的支付體系和安全認(rèn)證技術(shù)基礎(chǔ)上，但對(duì)于支付過程中訪問控制策略和授權(quán)管理機(jī)制的進(jìn)一步完善及與實(shí)際應(yīng)用環(huán)境更好地結(jié)合，將是下一步需要研究并解決的問題。

[1]孫森.網(wǎng)絡(luò)銀行[M].2版.北京：中國(guó)金融出版社，2010：19-29.

[2]譚彬，薛質(zhì)，王軼俊.網(wǎng)絡(luò)支付體系的安全性分析與研究[J].信息安全與通信保密，2007：61-65.

[3]Hanacek P，Malinka K，Schafer J.E-banking security—a comparative study[J].IEEE A&E Systems Magazine，2010：29-34.

[4]趙福通，郭衛(wèi)斌.基于動(dòng)態(tài)密碼和入侵容忍的身份認(rèn)證方案[J].華東理工大學(xué)學(xué)報(bào)：自然科學(xué)版，2009，35（4）：596-599.

[5]程宇賢.網(wǎng)上銀行身份認(rèn)證系統(tǒng)的安全性研究[D].上海：上海交通大學(xué)，2009.

[6]Fang Zhihe，He Hongjun，Luo Li，et al.Application of UCON in SSL VPN system[C]//Progress in Informatics and Computing.[S.l.]：IEEE，2010：618-621.

[7]Martino A S，Perramon X.A model for securing E-banking authentication process：antiphishing approach[C]//IEEE Computer Society，2008：251-254.

[8]Pretschner A，Hilty M，Schütz F，et al.Usage control enforcement:present and future[J].IEEE Security&Privacy，2008，6（4）：44-53.

[9]鐘勇，郭偉剛，林冬梅，等.應(yīng)用于數(shù)字內(nèi)容使用控制的支付模型研究[J].計(jì)算機(jī)工程與應(yīng)用，2009，45（17）：73-79.

[10]張志勇，牛丹梅.數(shù)字版權(quán)管理中數(shù)字權(quán)利使用控制研究進(jìn)展[J].計(jì)算機(jī)科學(xué)，2011，38（4）：48-52.

[11]Lu Jianfeng，Xu Dew u.History-based constraints for dynam ic separation-of-duty policies in usage control[C]// IEEE International Conference on Computer Science and Network Technology，2011：2438-2441.

[12]Park J，Sandhu R.The UCONABCcontrol usage control model[J].ACM Transaction on Information and System Security，2004，7（1）：128-174.

[13]王鳳英.訪問控制原理與實(shí)踐[M].北京：北京郵電大學(xué)出版社，2010：112-127.

[14]Sandhu R，Park J.Usage control：a vision for next generation access control[C]//Proc of the Second International Workshop on Mathematical Methods，Models and Architectures for Computer Networks Security，2003：17-31.

[15]Zhang Xinwen，Parisi-Presicce F，Park J，et al.Formal model and policy specification of usage control[J]. ACM Transaction on Information and System Security，2005，8（4）：352-384.

[16]石偉丞，譚良，周明天.具有特征判斷能力的使用控制模型研究[J].計(jì)算機(jī)科學(xué)，2010，37（6）：86-90.

[17]丁穎超，徐寧，李立新.一種擴(kuò)展的使用控制模型及其實(shí)施模型[J].計(jì)算機(jī)應(yīng)用研究，2009，26（8）：3044-3048.

[18]Katt B，Zhang Xinwen，Breu R.A general obligation model and continuity-enhanced policy enforcement engine for usage control[C]//Proc of 13th ACM Symposium on Access Control Models and Technologies，2008：123-132.

[19]龔文濤，郎穎瑩.基于UCON的訪問控制模型在銀行中的應(yīng)用[J].信息技術(shù)，2011（10）：200-202.

[20]Banerjee S，Karforma S.A prototype design for DRM based credit card transaction in E-commerce[J].ACM Ubiquity，2008，9（18）.

[21]Wen Haoyu，Ji Dongxing.E-business workflow security architecture based on UCON[C]//16th IEEE International Conference Industrial Engineering and Engineering Management IE&EM’09，2009：338-340.

WANG Changda1，2,DONG Xuegang1,ZHOU Conghua1，2

1.School of Computer Science and Telecommunication Engineering,Jiangsu University,Zhenjiang,Jiangsu 212003,China
2.Institute of Engineering Technology,Jiangsu University,Changzhou,Jiangsu 213164,China

By the analysis about current e-bank online-payment features and its security mechanism s,the problems of identity imitation,privileges disclosure and transaction unfriendly are still be found in the payment process.To solve these problem s,access control model is proposed based on usage control（UCON）,dynamic authorization rules and flexible payment strategies are also developed and described in detail.The safety analysis by using of NuSMV model checking tool proved that the given strategies achieve the access control requirements of e-banking in security and convenience, and fill the lack of existing system in authentication mechanism and usage control of payment behavior.

e-bank;access control;security payment;usage control;model checking

A

TP309

10.3778/j.issn.1002-8331.1209-0233

WANG Changda,DONG Xuegang,ZHOU Conghua.Security analysis of E-bank on line-payment based on UCON. Computer Engineering and Applications,2014,50（16）：90-94.

國(guó)家自然科學(xué)基金（No.61003288）；江蘇省自然科學(xué)基金（No.BK 2010192）；教育部博士點(diǎn)基金（No.20093227110005）；江蘇省六大人才高峰項(xiàng)目（No.1631170006）；江蘇省高校自然科學(xué)研究計(jì)劃（No.07KJB520016）；江蘇大學(xué)高級(jí)人才項(xiàng)目（No.07JDG053）。

王昌達(dá)（1971—），男，博士，副教授，主要研究領(lǐng)域?yàn)樾畔踩夹g(shù)；董雪剛（1988—），女，碩士研究生，主要研究領(lǐng)域?yàn)樾畔踩夹g(shù)；周從華（1978—），男，副教授，從事信息安全技術(shù)研究。E-mail：changda@ujs.edu.cn

2012-09-21

2012-11-28

1002-8331（2014）16-0090-05

CNKI網(wǎng)絡(luò)優(yōu)先出版：2012-12-18,http://www.cnki.net/kcms/detail/11.2127.TP.20121218.1528.021.htm l