1 引言

網絡銀行是基于因特網或其他電子通信網絡手段提供各種金融服務的銀行機構或虛擬網站[1]。網絡銀行的在線支付功能涉及客戶端、服務器端、通信及內部網絡等安全問題，關鍵技術包括加密技術、認證手段及安全應用協議。常用的認證方法包括隨機密碼、隨機密碼+SSL 傳輸、PIN 短密碼、Grid Card、短信（SMS）接收動態密碼、token和公鑰基礎設施（Public Key Infrastructure，PKI）[2-3]等。目前對于如何保護用戶、商家及銀行三方利益的業務流程和安全技術、支付體系和支付協議，已有充分的研究和關注[4-7]。這些研究多涉及認證方法或傳統訪問控制策略，其優點是能夠有效保護信息安全性和完整性，授權管理相對靈活，不足之處在于缺乏客戶端的使用控制和對支付權限的過程控制。UCON（UsageControl）使用控制具有持續訪問控制特征，易于描述動態屬性變化，被廣泛用于數字版權管理、資源分發和信任管理等系統中，具有可應用性[8]。例如在數字版權管理系統中，數字內容的使用涉及許可證更新、分發控制、權限管理及客戶端軟件完整性，利用UCON可以進行實時決策判斷和檢驗，實施動態授權，通過觸發性規則和動態持續控制進行版權保護[9-10]。在線支付同樣涉及權限控制、屬性更新、身份認證和隱私保護，在已有的使用控制 UCON在線支付研究中，主要進行協議分析、模型建立和流程控制，研究方法包括結合傳統訪問控制、基于歷史約束[11]、基于活動特征及基于信任管理等。通過實施細粒度控制策略如激活決策、屬性更新、分配動態角色、判斷權限類別，實現信任授權、觸發性授權等動態授權，從而彌補傳統訪問控制策略的不足。本課題組通過對四大國有銀行和部分商業銀行網上支付的調研，發現在現有的支付行為中存在如下問題：

（1）支付策略判斷的動態性。在線支付過程中主要面臨木馬病毒、中間人攻擊的威脅，但針對不同安全級別的各種安全需求時，缺乏相應的觸發保護機制；進行身份認證時非授權用戶容易通過猜口令、字典攻擊和釣魚網站等方式盜取用戶信息。

（2）授權管理的完善性。在支付過程中授予用戶最小權限，能較好地對支付行為進行保護。但對惡意操作行為的控制只限于當前支付，缺乏后續防護能力。

針對上述問題，本文提出基于UCON的支付模型和策略，利用身份認證信息和支付活動信息決策因子，有效控制授權用戶的支付行為，同時防范非授權支付，提高支付過程的可控性。

2 UCON 模型

傳統訪問控制包括自主訪問控制（DAC）和強制訪問控制（MAC）。DAC基于訪問者身份進行訪問權限限制，授權靈活但安全可靠性低；MAC基于安全級別決定主體是否可以訪問客體，安全性較高但安全級別難以劃分 、靈 活 性 差 。 隨 后 產 生 的 基 于 角 色 的 訪 問 控 制（RBAC）根據用戶角色類型授予相應權限，具有靈活性但缺乏動態性。這些訪問控制屬于靜態授權，授權后無法在訪問過程中控制用戶行為，且不考慮訪問行為對權限的影響。

與之不同，UCON綜合授權、責任、條件和主、客體屬性作出使用決策判斷，具有連續性和可變性的新特性?！斑B續性”即對訪問請求進行實時監控，貫穿整個訪問過程；“可變性”指主、客體屬性值隨著訪問行為的改變而更新。

使用控制模型UCON[12]由Jaehong Park和Ravi Sandu提出，它集合了傳統訪問控制技術、信任管理和數字版權保護三大領域，能同時保護服務器端和客戶端的數字資源[13]，滿足現代訪問控制的要求，被稱作下一代訪問控制技術[14]，由 Xinwen Zhang 和 Ravi Sandu 完成了 UCON時序邏輯形式化描述[15]。UCON 模型是使用控制的核心模型，包括主體 \\(S\\)、主體屬性 \\(ATT\\(S\\)\\)、客體 \\(O\\)、客體屬性 \\(ATT\\(O\\)\\)、權利 \\(R\\)、授權（Authorizations）、責任（Obligations）和條件（Conditions）八部分。如圖1所示?！?】

主體屬性和客體屬性是對主、客體性質的描述，這些性質用于使用決策的判斷；權利并非獨立于主體行為，只有當主體訪問客體時權利才確定并存在；授權、責任和條件是使用決策函數的三大決定因素。

根據授權特點，決策模型分為預先授權和過程授權兩種決策模型。預先決策模型中，滿足授權規則、完成各個責任和滿足條件集合時允許主體 S對客體 O 行使權利r；過程決策模型中，根據使用過程中授權規則是否滿足、指定義務是否完成、條件是否符合來判斷主體 S是否繼續擁有訪問客體O的權利。

3 基于 UCON 的網絡銀行在線支付訪問控制模型

現有網絡銀行在線支付根據用戶提出的支付申請，對身份信息進行認證，利用組合認證方法或認證實體，授予權限，并完成支付操作。一旦用戶獲得相應權限，那么訪問控制無法對支付過程中的用戶行為實施有效授權控制，同時用戶支付活動不受當前支付行為約束，因此存在授權或非授權用戶的惡意支付。而傳統訪問控制策略通?；谟脩舻纳矸蒡炞C進行授權，具有動態性但仍缺乏過程控制。

3.1 基于 UCON 的在線支付策略

基于 UCON的在線支付策略與現有在線支付策略的區別在于：使用控制決策的執行和授權信息的管理控制。通過用戶身份認證信息和支付活動信息兩大決策因子，實施授權控制。在使用控制過程中采用的模型主要涉及身份認證服務器、授權服務器和支付系統，如圖2所示。其中，身份認證根據用戶認證信息頒發令牌；支付策略根據令牌和活動特征進行授權、義務和條件使用控制決策判斷，并實時對活動特征更新；銀行系統根據授權服務器返回信息決定是否允許用戶繼續進行支付；相關權限信息入庫，作為再次支付請求時認證影響因子。支付流程如圖3所示?！?】

執行支付策略時檢查策略決策點是否滿足，即根據授權規則、相應責任和系統條件和觸發后額外義務或條件是否滿足決定權限的授予與收回，當前活動成功完成后，相應權限才被授予用戶，用戶可以進行新的權限申請，實現權責分離；用戶獲得新的權限后，系統對已有的權限收回，用戶不能進行權限復制和轉發，防止非授權用戶盜用權限和授權用戶濫用權限；用戶獲得新的權限授予后，在使用當前權限的過程中不可以重復申請權限。

在執行支付策略時，根據用戶當前支付行為，如個人信息、登錄次數、支付金額等辨別用戶是否為授權用戶，是否需要完成觸發義務或條件完成支付行為[16]。支付行為中主要涉及身份認證和活動信息判斷，支付流程具體描述為：

步驟1 客戶端首先向認證服務器發出請求，服務器通過信息庫對請求作出回應。認證不成功則拒絕請求，否則客戶端根據所獲得的信息形成認證標識發送至授權服務器。

步驟 2 授權服務器接收標識信息，根據當前/歷史活動信息（如用戶類型，安全系數，活動狀態）等，判斷是否需要進行屬性更新和觸發新的支付策略。

步驟3 實時檢查標識信息和活動信息，如果發生支付異常則返回步驟2，否則繼續進行。

步驟4 執行支付策略，訪問控制決策點進行授權、條件和責任判斷。若通過許可，則獲得授權；否則，拒執行支付策略時檢查策略決策點是否滿足，即根據授權規則、相應責任和系統條件和觸發后額外義務或條件是否滿足決定權限的授予與收回，當前活動成功完成后，相應權限才被授予用戶，用戶可以進行新的權限申請，實現權責分離；用戶獲得新的權限后，系統對已有的權限收回，用戶不能進行權限復制和轉發，防止非授權用戶盜用權限和授權用戶濫用權限；用戶獲得新的權限授予后，在使用當前權限的過程中不可以重復申請權限。

在執行支付策略時，根據用戶當前支付行為，如個人信息、登錄次數、支付金額等辨別用戶是否為授權用戶，是否需要完成觸發義務或條件完成支付行為[16]。支付行為中主要涉及身份認證和活動信息判斷，支付流程具體描述為：

步驟1 客戶端首先向認證服務器發出請求，服務器通過信息庫對請求作出回應。認證不成功則拒絕請求，否則客戶端根據所獲得的信息形成認證標識發送至授權服務器。

步驟 2 授權服務器接收標識信息，根據當前/歷史活動信息（如用戶類型，安全系數，活動狀態）等，判斷是否需要進行屬性更新和觸發新的支付策略。

步驟3 實時檢查標識信息和活動信息，如果發生支付異常則返回步驟2，否則繼續進行。

步驟4 執行支付策略，訪問控制決策點進行授權、條件和責任判斷。若通過許可，則獲得授權；否則，拒絕支付活動繼續進行，返回訪問結果。

步驟 5 根據步驟 4中的訪問結果，如果拒絕訪問，則記錄具體活動信息（如活動長時間掛起，惡意多次操作）等，作為再次支付的約束條件；如果訪問允許，那么用戶繼續擁有支付權限，并可根據實際需求進行持續訪問。持續訪問過程中不需進行認證標識的重新申請，支付按流程繼續進行。

在支付過程中，對既定義務和條件、待定義務和條件進行過程中判斷，用戶嚴格按照支付流程進行授權訪問。支付行為根據認證信息和活動信息特征判斷義務或條件是否激活，非授權用戶冒充授權用戶時，如發生身份冒充或進行釣魚網站欺騙時，會激活額外義務或條件，因此難以進行持續支付和資源訪問，保障了授權用戶的權益。同時授權用戶在進行支付行為的過程中能夠方便、安全地進行操作。若出現不當操作，如復制權限、延時支付或惡意篡改數據等，將影響賬戶當前及以后的支付行為。

3.2 支付策略邏輯描述

根據支付策略流程的分析和使用控制過程控制特點，采用UCON狀態轉換如圖4所示?！?】

其中 ongoingCheck 狀態是由 ongoingRequest 觸發accessing 狀態進入的另一個訪問狀態，系統根據該狀態下新的屬性作出決策判斷。如果決策判斷允許繼續訪問，ongoingPermit將狀態轉換為 accessing，否則 access-ing 狀態直接轉向 revoked 狀態，詳細參考文[17-18]。結合該系統轉換圖，作出關于時序邏輯行為（TemporalLogic of Actions，TLA）的相關描述包括：

（1）請求支付服務時進行權限信息初始化，檢查客戶端標識信息，判斷信息完整性是否受到破壞。permitAccess\\(s\ue0a8o\ue0a8r\\) \\(\ue042initialRequest\\(s\ue0a8o\ue0a8r\\) checktruth\\(cookiefile\\)\\)（2）根據當前/歷史活動特征，判斷是否需要更新安全屬性，當用戶安全強度需求提高時，必須激活并滿足相應的責任或條件，形成相應的軟件令牌；判斷用戶是否擁有訪問權限：permitAccess\\(s\ue0a8o\ue0a8r\\) \\(initialRequest\\(s\ue0a8o\ue0a8r\\) \\(check\\(usersecurity\\) checktruth\\(token\\) \\(AccessID\\(s\\) o.serverACL\\)\\)（3）實時檢查標識信息和進行認證令牌掃描，當發生信息篡改或者令牌不存在時，支付無法正常進行；當標識信息及令牌掃描信息正常時，進行支付授權判斷：permitAccess\\(s\ue0a8o\ue0a8r\\) \ue042checktruth\\(token\ue0a8cookiefile\\)\ue034\\(\\(usersecurity> 0\\)\\(nRight< o.usageNum\\)\\(state=accessing\\) ongoingRequest\\(s\ue0a8o\ue0a8r\\)\ue034\\(\\(\\(RightTime< o.maxidletime\\)\\(token= TRUE\\)\\)\\(state = accessing\\) revokeaccess\\(s\ue0a8o\ue0a8r\\)ongoingRequest\\(s\ue0a8o\ue0a8r\\) \ue041onUpdate\\(nRight\\)onUpdate\\(nRight\\):nRight = nRight + 1revokeaccess\\(s\ue0a8o\ue0a8r\\) \ue041postUpdate\\(token\\)postUpdate\\(tokenExist\\):token = FALSE（4）當支付驗證失敗時，拒絕支付完成，更新屬性信息；如果支付驗證成功，可進行再次支付驗證，返回步驟（2），并同（3）進行標識信息和軟件令牌實時檢查。

基于 UCON的在線支付策略以身份認證和活動信息作為支付策略判斷因素，具有身份驗證主動辨別和支付策略觸發靈活性，改善了現有網絡銀行安全機制在身份認證和支付策略方面的不足，與已有的相關研究[19-21]不同，它增強了支付信息在當前支付和再次支付行為中的邏輯作用。與現有在線支付策略相比較，主要具有以下特點：

（1）根據主客體屬性、責任和系統環境實施動態授權，并且授權與具體支付活動相對應，在支付過程中實行權限的授權與收回。

（2）利用主體活動的特征進行支付判斷，識別用戶是否為授權用戶，判斷認證信息異常時，并不阻止用戶繼續進行支付服務，但進一步申請支付時，相應的額外義務使非授權用戶難以對授權用戶的賬戶進行惡意操作，增強了支付行為的可靠性和安全性。

（3）當用戶支付金額超出額定值或異常時，現有支付策略可以在最高額的限制下由用戶手動更改在線支付的支付額，或是進行多次支付達到支付金額，具備一定的安全性和方便性。但在身份信息泄露，發生身份冒充的前提下，也為非授權用戶提供了方便性和進行惡意操作的可能性。本文提出的支付策略則要求必須履行額外義務或滿足額外條件，策略具有靈活性，義務和條件具有伸縮性，一定程度上減輕服務器管理負擔。

（4）權限根據支付流程的變化而進行授予和收回，具有嚴格的激活機制和順序性，當用戶完成相應責任后授予權限，當前活動完成后進行權限收回，用戶無法同時擁有所有權限，即具有最小權限，防止權限濫用和泄露。

（5）對用戶當前支付行為產生日志并進行審計追蹤，記錄用戶支付歷史記錄并在進行身份認證時作為判斷因素，因此當前支付信息會影響以后支付行為，有效防止授權用戶進行惡意操作。

4 安全性分析

網絡銀行訪問控制策略和授權管理機制，具備靈活性和可控性，下面從客戶端認證和支付策略選擇的角度，分析得出在線支付涉及的安全性需求主要包括：

（1）客戶端授權控制信息篡改?？蛻舳诵畔⒅邪脩裘舾行畔⒓跋鄳谋Ｗo機制，當發生篡改時，失去保護作用。

（2）軟件令牌安全。支付過程中依據具體活動信息形成軟件令牌，因此存在軟件令牌的形成及安全問題。

（3）權限信息管理。用戶獲得權限后在使用權限過程中涉及標識信息、活動信息、授權、條件和責任等相關屬性信息，存在信息泄漏和授權管理是否系統和完善的問題。

（4）安全認證方法（如一次密）的使用控制。在支付過程中依賴硬件令牌如 USBKey，口令卡等，一旦非授權用戶掌握用戶信息，將無法阻止惡意支付。

針對上述安全性問題，采用 NuSMV檢測工具模擬支付異常時的支付策略選擇，并返回相應的驗證結果。

限于篇幅，現針對描述（2）進行驗證：當客戶端軟件軟件令牌未形成時，無法進入支付狀態，即：G\\(access_check = Token - > \\(X\\(access_state! = accessingaccess_state! = ongoingCheck\\)U\\(access_state = revoked|access_state = denied|access_state = end\\)\\)\\)檢測結果如圖5所示?！?】

通過安全性分析表明，基于UCON的在線支付策略能有效防范非授權用戶利用認證信息進行支付行為；同時相應的觸發保護機制，滿足授權用戶在支付行為中安全性和方便性需求；采用后續支付約束有效防止用戶惡意操作。與現有網絡銀行的支付系統相比，主要特點見表1?！?】

5 結束語

本文根據在線支付中存在的不足提出基于 UCON的訪問控制策略。在支付過程中依據用戶及活動信息進行決策判斷，能夠對具體的支付行為實施動態授權訪問，具有靈活性，增強了支付過程的可控性。所提出的策略建立在現有網絡銀行在線支付的支付體系和安全認證技術基礎上，但對于支付過程中訪問控制策略和授權管理機制的進一步完善及與實際應用環境更好地結合，將是下一步需要研究并解決的問題。

參考文獻：

[1] 孫森.網絡銀行[M].2 版.北京：中國金融出版社，2010：19-29.
[2] 譚彬，薛質，王軼俊.網絡支付體系的安全性分析與研究[J].信息安全與通信保密，2007：61-65.
[3] Hanacek P，Malinka K，Schafer J.E-banking security—acomparative study[J].IEEE A&E Systems Magazine，2010：29-34.
[4] 趙福通，郭衛斌.基于動態密碼和入侵容忍的身份認證方案[J].華東理工大學學報：自然科學版，2009，35（4）：596-599.
[5] 程宇賢.網上銀行身份認證系統的安全性研究[D].上海：上海交通大學，2009.