Multimedia-Sci Forschen

全文

研究文章
使用政策規範框架來確保移動商務的安全

Jan Loschner維巴爾迪尼Ioannis Kounelis裏卡多·奈塞河

歐洲委員會,聯合研究中心,意大利Ispra

*通訊作者:Gianmarco Baldini,歐盟委員會聯合研究中心(JRC), Ispra,意大利,E-mail: gianmarco.baldini@jrc.ec.europa.eu

摘要

移動通信技術的發展促進了新的移動多媒體應用在各個領域的發展。其中最重要的應用之一是移動商務(移動商務),它對公民生活的影響越來越大,可能是促成物聯網(IoT)市場成功的眾多應用之一。安全和隱私問題在移動商務和物聯網中非常重要,以保護公民的財務和個人數據。如何在不同安全框架的分布式環境中保證移動商務交易所需信息的安全是移動商務麵臨的主要問題之一。我們必須考慮到,保護移動商務交易也必須保護客戶的隱私。此外,在分布式移動商務應用程序中,移動商務交易的信息可能分散在不同的文件中,這可能會破壞交易的完整性(另一個安全目標)。在這篇文章中,我們描述了一個移動商務框架的設計,在這個框架中,這些問題通過基於策略的方法來解決,在這個框架中,對移動商務事務的訪問由策略來規範。通過在FP7 iCore項目中定義的虛擬對象(VO)概念解決了碎片和完整性風險。策略與VOs相關聯,並分布在移動商務應用程序中。本文描述了VO的主要概念和基於策略的框架,並展示了如何將這些概念應用於不同場景下的移動商務,以評估其可行性。 We apply and demonstrate the benefits of the proposed design to specific multimedia use cases of m-commerce where different domains are involved. Such as m-commerce system can be seen a basic underlying payment system for a wide variety of multimedia applications.

關鍵字

移動商務;安全;隱私;物聯網;執法

簡介

移動通信技術的發展促進了各個領域新的移動應用程序的發展。其中最重要的應用之一是移動商務(移動商務),這是電子商務(電子商務)的一個子集,對公民的生活產生了越來越大的影響,並被企業視為提高市場有效性的強大推動力。早在2000年,Varshney et al.[1]就認識到移動商務的重要性,並定義了一些移動應用程序,這些應用程序近年來從商業角度來看已經取得了成功。這些應用包括移動支付、移動娛樂服務、移動下載視頻或音樂、移動采購產品和服務。在這篇特定的文章中,我們將重點介紹移動應用程序和移動支付的相關用例,以及產品和服務的移動采購。

最近的文獻綜述也提供了移動商務,其中確定了主要的研究領域有待進一步研究。作者特別指出,目前建築方案的碎片化和缺乏研究,這些研究係統地描述了主要建築方案的技術組成,並比較了每種方案的主要優點和局限性。另一個方麵強調了保證安全和隱私的必要性,以及與可用性之間的潛在權衡:複雜的安全或隱私解決方案可能難以在市場上實現,可能會阻止客戶采用它,從而破壞業務案例。下麵的“相關工作”部分提供了與本文討論的主題相關的背景工作的更多細節。

本文所要解決的問題陳述中,包含了不同的元素,具體描述如下:

  1. 安全和隱私問題在移動商務中非常重要,許多關於移動支付和虛擬貨幣的問題已經被提出。例如,優惠券可能需要移動商務應用程序的消費者的個人數據。有必要設計解決方案,既不妨礙移動商務的有效性,也能夠保護用戶的隱私。
  2. 由於在移動商務場景中交互的應用程序、服務和係統的異構性,有必要提出一個通用框架,該框架可用於抽象和表示要搜索和獲取的資產(例如產品)、用戶和參與移動商務場景的實際對象(例如移動終端或銷售點)。
  3. 移動商務場景的組織和技術碎片化可能會在係統中產生安全漏洞,因為與移動商務交易相關的敏感內容可以分布在具有不同信任級別的移動商務場景的各個組件中。例如,[3]的作者展示了現有電子商務係統的潛在漏洞,這些係統通過第三方收銀員接受支付。

為了解決這些問題,本文提出了一個基於通過虛擬對象(VO)、複合虛擬對象(CVO)和服務封裝數字信息概念的框架,其中信息的安全訪問和分發基於粘性策略方法。該框架已在FP7 iCORE項目[4]中定義。在本文中,我們將描述一個安全和隱私支持的移動商務係統的體係結構。我們提出了一個框架,在VOs/CVOs中構建一個具有語義搜索功能的移動商務係統,並對係統資源和交易進行高效安全的處理。移動商務中使用的對象(產品、用戶數據、憑證、票據、支付信息)表示為帶有相關屬性列表(例如,產品類型、商家標識符)的VOs。

此外,移動終端本身可以表示為VO,其特征(例如,處理能力、帶寬、攝像機的存在)或動態信息(例如,位置)可以表示為VO的屬性,信息的收集和分發可以根據移動終端的特征進行定製。

該框架基於[5]提出的粘性策略方法,其中策略可以附加或“粘貼”到數據上,以定義跨多方或域或移動終端傳輸時允許的訪問權利和義務,使用戶能夠更好地控製其個人信息。在我們的提案中,該框架將粘性策略的概念與VO/CVO的概念相結合,它們與相關的策略和訪問權限一起創建和管理,以確保數據保護和隱私。我們通過基於憑證的用例的工作流的實現和描述來驗證所提議的框架。雖然安全性包括各種功能:可用性、保密性、完整性、真實性、不可抵免性等等,但在本文中,我們將隻關注在移動商務應用程序中分發的數據的保密性,以及它與用戶訪問資源的授權之間的關係。

本文的主要目的是展示如何集成眾所周知的概念(例如,粘性策略、麵向對象的數據封裝、語義搜索)來減輕移動商務場景中異構應用程序和數據的挑戰,以及如何在框架中表示主要參與者。

文章的結構如下:相關工作部分概述了相關工作。移動商務部分介紹了移動商務的運行場景、相關的移動商務對象和需求。iCore框架部分描述了iCore框架的體係結構以及如何應用粘性策略的概念。憑證用例和工作流部分以及電子票用例和工作流部分描述了與憑證和電子票相關的兩個用例。與其他安全移動商務框架的比較部分描述了iCORE框架和憑證用例和工作流中描述的用例的建議框架的實現。最後,結論和未來發展部分對文章進行了總結,並描述了未來的發展。

相關工作

本節的目的是提供移動商務現有研究的概述,這些研究解決了相同或類似的問題,這些問題在前一節中已經確定。

在移動商務中,信任的重要性已經被強調了[6],它確定了建立客戶信任的必要性,但也強調了從技術和商業角度來看這一過程的複雜性。由於數據交易是在無線環境中進行的,並且由於分布式環境的特性,消費者訪問和使用移動商務應用程序麵臨著更高的安全和隱私風險。[6]中提出的方法是基於多標準決策(MCDM)方法中的分析網絡過程(ANP)和人工智能(AI)中的模糊邏輯。通過考慮信任因素之間的相互關係,采用ANP方法來選擇適合移動商務的網站。另一篇論文,將模糊邏輯應用於移動商務[3]。

[7]中提出了移動商務中主要信任指標的識別:(1)第三方隱私印章,(2)隱私聲明,(3)第三方安全印章,(4)安全特征。可以通過功能、加密設備、數字簽名授權等多種方法來提高消費者在無線通信和移動商務中的安全性。所提出的方法[7]與本文中所提出的方法相似,即使技術不同,因為我們的框架除了安全方麵之外還試圖解決移動商務交易的碎片化問題。

用戶檔案的定製化和個性化是移動商務的另一個重要因素,本文提出的策略框架也可以解決這一問題。如[8]中所述,自定義是指移動網站或門戶網站能夠自行修改或由用戶自定義,從而使其符合自己的需求和願望。關於用戶移動設置的信息能夠自動適應移動界麵和客戶可能感興趣的潛在內容(例如,產品)。定製可以過濾掉不必要的信息,減少信息負載,從而減輕有限的視覺顯示的約束。本文中提出的基於策略的框架也可以用於支持定製,因為一組策略可以與單個客戶的概要文件相關聯。雖然我們論文的重點更多的是對安全和隱私的支持,但定製是一個未來的發展,這將由作者在未來的論文中解決。

最近一篇關於移動商務的論文是[9],它研究了金融服務中支付部門的演變,特別是與移動商務的移動支付(m-payments)有關。分析和討論了移動商務的主要構建模塊(即技術組件、基於技術的服務和技術支持的基礎設施)。[9]的作者指出,缺乏安全性是阻礙移動商務應用程序開發和部署的一個重要因素。單一技術(例如,令牌)可能不足以解決移動商務的所有安全問題,或者某些技術(例如,基於QR碼的技術)在移動商務中可能存在局限性。如前所述,這是本文討論的主要問題。

移動商務

圖1描述了具有相關參與者和域(包括iCore框架)的移動商務(移動商務)場景。移動商務場景涉及通過ICT基礎設施和移動設備采購和支付產品。該場景由不同的涉眾構成。

商人是生產商品(如酒瓶)的人,也可以是代表商品生產者的經銷商。商家通過iCore門戶網站(即框架的一部分)插入銷售商品的信息或更新現有信息。信息以VO/CVOs的形式存儲在iCore存儲庫中,具有由商家或其他因素指定的訪問權限(參見政府參與者的描述)。

消費者是對使用iCore框架以獲取移動商務對象(在[10]中定義的m-objects)感興趣的人。這樣的移動商務對象可以是代金券、優惠券、促銷活動、電子票、禮品卡等。消費者從他/她的移動設備通過iCore移動應用程序訪問iCore VO/ CVOs。例如,消費者可以獲得一瓶葡萄酒的代金券。在本條中,憑證代表對商品或服務的認領權,它可以使用一次或預定義的使用次數。它通常與商品的折扣有關。

零售商是一個實體,它向消費者提供iCore框架中可用的產品。消費者可以去他/她選擇的零售商,用實際商品兌換代金券。在某些情況下,零售商並不是擁有人員的實際商店,而是一種服務,例如自動售貨機。

圖1:移動商務的應用程序。

除了係統的直接用戶之外,還有第三方通過iCore框架直接與消費者交互,或者直接或間接地幹擾內部策略。該實體是處理所有付款的第三方金融方。當消費者需要支付以購買憑證時,iCore框架將委托財務方處理這筆付款。因此,消費者將選擇向他已經信任的一方付款,iCore將不會處理敏感信息,如信用卡。

另一個外部方是政府或監管機構,對iCore政策有直接影響。這實際上是指適用於每個國家的法律。例如,當消費者想購買一瓶葡萄酒的代金券時,必須執行有關酒精消費年齡限製的地區法律。iCore框架可以通過基於VO屬性的訪問權限自動實現這種強製。例如,如果一瓶酒的酒精含量高於一定數量,那麼隻有超過一定年齡的成年人才可以使用酒瓶。

最後,iCore管理員域包括管理員功能。在這種情況下,我們可以確定兩個主要角色。域管理器負責在iCore框架中插入特定於域的信息,也可以開發針對場景的應用程序和邏輯。例如,域管理器指定與用戶角色相關的訪問級別(例如,成人)。假設每個域都有不同的域管理器。另一個參與者是iCore管理員,負責iCore框架的治理。

在這個場景中,每個參與者可能處於不同的領域和不同的ICT基礎設施中,但他們都可以訪問相同的iCore框架和相關庫。例如,商家在為商家創建的ICT基礎設施中引入信息,而消費者可以訪問憑證提供商開發的ICT應用程序。因此,支持信息的安全分發非常重要。

在這方麵,我們確定了以下所需的功能和機製:

  • 保密在移動商務係統中創建、分布和存儲的信息中,這些信息可以由不同的領域和技術組成。在某些情況下,從保密的角度來看,技術和網絡不能完全信任。因此,即使數據在不可信的係統或網絡上傳輸,建議的框架也必須保護數據。

  • 真實性移動商務客體的真實性是指用戶對所購買的移動商務客體的原創性進行驗證的能力。

  • 隱私用戶為完成移動商務交易而提供的信息不得泄露給任何未授權方。

  • 訪問權限該框架應能夠根據用戶的特點對存儲在移動商務係統中的信息的訪問進行規範。
iCore框架
iCore體係結構和組件

我們所遵循的設計方法來自FP7 iCore項目[11]。iCore項目正在處理物聯網,其目標是緩解不同對象和技術之間的異構問題,同時最大限度地利用和提供物聯網對象。iCore的原理是,任何現實世界的對象和任何可用、可訪問、可觀察或可控的數字對象都可以有一個虛擬表示,稱為虛擬對象。VO主要針對相關現實世界對象(例如傳感器)的技術異構的抽象,並包括功能的語義描述。iCore項目提出了一個框架,其中VOs可以聚合在Composite Virtual Objects中,根據應用程序需求提供增強的、更有彈性的服務,從而支持服務級別。iCore框架的結構基於三個層次(VO、CVO和服務),如圖2所示。

iCore框架可以被不同級別和不同類型的用戶訪問。iCore級別是在層次結構中使用/創建的,這意味著每個覆蓋級別使用底層級別提供的服務,但iCore還為每個級別的外部業務參與者提供了開放接口,以便直接訪問下麵解釋的信息。

主要分為三個層次:

  1. 服務級別,用戶可以訪問iCore框架提供的服務。服務可以是通用的,也可以是特定於某個域的。可以組合和編排服務以提供更高的服務。例如,一項服務可以是在家中對老年患者進行健康監測。

  2. CVO級別,用戶可以搜索和檢索特定CVO的信息。CVO由vo和附加的所謂服務邏輯組成。例如,保險公司可以檢索一輛汽車的數據。

  3. VO級別,用戶可以搜索和檢索特定VO的信息,該VO可以是數字對象,也可以是現實世界對象的代理。

圖2:iCore架構框架。

每個級別都使用類似的組件進行語義搜索、身份驗證、授權和對VO/CVO和服務的訪問。這些功能可以在iCore框架中作為內部服務或係統服務實現:

  • 注冊表是負責持有對vo / cvo和iCore框架中可用服務的引用的實體。注冊表提供語義搜索功能,用戶和應用程序可以使用該功能根據類別和屬性來識別所需的VOs/ CVOs/服務。iCore注冊表基於與[12]中描述的OWL-S類似的概念,但它也擴展到VOs和CVOs。

  • 認證與授權圖中的塊包括身份驗證服務和授權服務。特定身份驗證服務的設計超出了iCore框架的範圍,任何身份驗證機製(例如,登錄)都可以使用,但經過身份驗證的用戶的身份必須在iCore框架中注冊。注意,用戶可以是人,也可以是應用程序。授權服務鏈接到使用控製功能,因為用戶必須被授權執行特定的操作,這些操作可以用訪問控製機製定義。

  • 使用控製功能對VOs、cvo和業務的訪問進行了規範。根據用戶的訪問級別,訪問控製功能可以允許或拒絕iCore框架中的交易(例如,移動商務交易)。訪問控製功能的作用是存儲角色和訪問權限之間的映射,向VOs/CVOs和服務授予訪問權限,並維護粘性策略模型中使用的鍵(請參閱下一節)與訪問權限之間的關聯。
策略執行

在iCore中,我們采用基於事件的使用控製模型來使用強製機製管理授權和義務。執行機製遵循事件-條件-行動(ECA)結構。當觀察到機製的event部分中指定的事件,並且Condition部分計算為true時,執行Action部分。

事件由分布在iCore框架多層的策略實施點(pep)發出信號。每當在框架中執行或即將執行與使用控製相關的活動時,pep就會發出事件信號。因此,我們支持兩種類型的事件:實際事件和暫定事件。這兩種事件類型的目標是允許檢測和預防機製的規範。檢測機製是ECA規範,它隻對實際事件作出反應,並執行附加操作以響應這些事件。預防機製在係統中執行使用控製敏感活動之前對暫定事件作出反應,並可能允許、禁止、修改或延遲此活動[13]。

機製的條件部分可能包含組合了命題、時間和基數運算符的複雜表達式。我們還支持引用在運行時獲得的標識屬性和上下文信息,以允許動態的上下文感知策略決策。

iCore框架中的機製使用與粘性策略[5]類似的概念與虛擬對象一起指定和通信。其思想是,在創建VO時,以加密格式將一組使用控製機製附加到該對象上,以規範該對象在其生命周期內的未來權利和義務。iCore框架中的使用控製功能能夠解密附加的機製,並在運行時評估這些機製,以確保使用控製策略得到尊重。

“使用控製”功能用於規範VOs、cvo和服務的訪問權限和義務。根據用戶的訪問級別,使用控製功能可以允許、拒絕、修改或延遲iCore框架中活動[4]的執行(例如,移動商務事務)。除了控製活動的執行之外,使用控製功能還可以觸發其他操作的執行,以便執行職責並規範框架對來自執法問題和法規的安全需求的遵從性。使用控製功能的作用是管理通過控製VOs/ cvo和服務使用的強製機製指定的策略。使用控製功能還負責管理用於保護實施機製的加密密鑰,其方式與粘性策略類似。在圖2中可以看到iCore框架內的策略實施,以及基本的iCore組件和相關的iCore參與者。

憑證用例和工作流
憑證用例的描述

在這個用例中,商家在iCore框架上提供了一些優惠券,用於以特殊價格購買葡萄酒。商家正在使用他/她的商業計算機上的門戶通過Internet訪問iCore框架。一旦注冊了代金券,使用移動設備上的iCore應用程序的iCore用戶就會搜索代金券,最終購買葡萄酒代金券。最後,購買代金券的用戶前往提供該產品的零售商,並使用他/她的代金券來獲得他/她已經付款的那瓶葡萄酒。之所以選擇憑證的用例,是因為它涉及移動商務領域中不同類型的實體。

憑證場景:憑證VO的創建

該場景的工作流程如圖3所示。希望在iCore框架上提供大量葡萄酒的商家使用專用的web門戶通過iCore框架進行身份驗證。身份驗證本身不在本文討論範圍內,因此我們認為它是一個正常的安全身份驗證過程。在進行身份驗證的同時,商家還會根據他/她的角色獲得適當的授權。

驗證後,商家請求創建葡萄酒憑證並指出憑證的屬性。這些屬性是代金券的時間壽命(即,VO的有效期多長)、特定條件下可用的葡萄酒瓶數(即,可用的VO數量)、葡萄酒瓶的價格、消費者可以在哪個商店收集葡萄酒、葡萄酒的描述等等。

在商家指定了憑證所需的屬性之後,VO創建者函數將與訪問控製函數聯係,以便請求綁定到已指定屬性的策略。除了商家施加的訪問權限之外,iCore框架還可以根據政府或監管機構要求的政策應用額外的訪問權限。在這種特殊情況下,代金券是一瓶葡萄酒,將執行一項政策,隻允許18歲以上的人購買這種代金券。

這些策略是通過使用對應於特定訪問級別的密鑰對VO進行加密來定義和執行的。然後,VO存儲在iCore存儲庫中。存儲VO之後,注冊表將被更新。因此,注冊表包含對VO的實際位置的引用,同時顯示其所有屬性。最後,商家收到了積極的反饋,程序是成功的,整個交易被終止。

圖3:VO憑證的創建

憑證場景:由消費者訪問憑證VO

該場景的工作流程如圖4所示。消費者有興趣在特定地區(例如,一個城鎮)購買一瓶葡萄酒。消費者使用移動電話並運行iCore移動應用程序,該應用程序通過互聯網連接到iCore框架。消費者使用他/她的iCore憑證進行身份驗證,然後作為用戶登錄到係統中。

執行移動商務事務的邏輯在特定的移動商務服務中實現,該服務由域管理器實現。一旦連接到iCore,消費者就會根據所需的標準搜索優惠券,當找到優惠券時,消費者就會繼續購買。

移動商務服務將特定VO的請求轉發到iCore框架內的訪問服務器,以確保允許該特定用戶訪問該VO。一旦授予訪問權限,就會從VO注冊中心檢索所選憑證的屬性。然後檢查這些屬性的一致性。例如,必須檢查憑證是否仍然有效,是否沒有過期,是否有足夠的商品可供購買,以及在這種情況下,是否有代表消費者的特定身份驗證需求。

一旦滿足所有屬性,就需要執行支付。付款由第三方獨立處理,如銀行。訪問功能將在第三方啟動支付程序,並提供所有必要的信息。然後用戶將被提示以首選的方式支付。一旦支付成功,就滿足了所有必要的屬性,從而可以完成憑證的獲取。

此時,移動商務服務可以請求訪問VO並為消費者檢索所需的數據。移動商務服務在執行環境中創建事務包裝器,並通過訪問函數為其提供與訪問級別相關的密鑰。在這個移動商務服務和事務包裝器的特定實現中,存儲庫中創建了一個新的VO(即VO憑證),其中包含條形碼、消費者ID和所有可能的零售商ID,消費者可以從其中兌換他/她的憑證。在收到確認之後,注冊中心還會收到關於新VO的通知。

此時,事務包裝器將葡萄酒VO的條形碼和所有零售商id發送回移動商務服務。移動商務服務將這些信息轉發給消費者,消費者現在擁有了條形碼,為消費者完成的交易就完成了。有了所有零售商的信息,消費者現在可以選擇在哪裏兌換代金券。在iCore框架中,移動商務服務在iCore知識庫和注冊表中更新葡萄酒VO的屬性。這些變化表明,代金券現在已經出售,不再可供購買。係統中的最後一個步驟是銷毀事務包裝器,然後終止事務。

憑證場景:在零售商處檢索實物

最後一個階段描述了在零售商處檢索實體商品(例如,一瓶酒)的工作流程(圖5)。擁有條形碼的消費者前往其中一個可用的零售商(在購買期間已經發送給消費者),並希望兌換憑單並獲得一瓶酒。

零售商原則上已經通過iCore框架的身份驗證,並被賦予相應的角色。消費者隻需在他/她的設備上顯示條形碼,就可以向零售商展示條形碼。然後零售商掃描條形碼並將其發送到移動商務服務。移動商務服務在這種情況下的作用與消費者的情況完全相同;它是零售商訪問iCore框架的接口。

在此階段,將檢查條形碼的有效性。注冊中心搜索VO產品(每個VO都有清晰的iCore id,即使VO本身是加密的),並確認消費者請求的原創性和有效性。

圖4:消費者對VO憑證的訪問。

圖5:憑證場景:在零售商處檢索實物。

一旦零售商收到確認,他就可以進行交易,並將一瓶葡萄酒交給消費者。然後零售商需要將成功的交互通知iCore框架。iCore存儲庫必須使用新的VO屬性進行更新,這表明VO現在已被消費者贖回。在更新存儲庫之後,注冊中心也必須相應地更新。最後整個事務將終止。VO產品可以被刪除或標記為成功的移動商務交易。

這種場景也可以通過非人類零售商實現。例如,可能有一個自動售貨機,它有一個條形碼閱讀器,然後,在收到條形碼後,按照上麵描述的執行相同的任務。

在本例中,[4]中描述的iCore執行環境中的iCore VO容器用於連接自動售貨機,既作為傳感器功能讀取消費者的條形碼和駕駛執照,也作為執行器提供酒瓶。在需要特定的認證屬性時,使用類似身份證的駕駛執照來識別客戶。

在此用例的另一種變體中,消費者可以將VO產品本身作為加密對象存儲在移動設備上(例如,智能手機)。然後,消費者隻需向自動售貨機提供VO產品就可以完成交易。

在所有這些用例中,消費者、零售商和商家都可以使用iCore框架提供的不同ICT基礎設施和領域。VO注冊中心完全分布在不同的實例之間,但是VO可以安全地跨不受信任的域或連接移動或複製,因為它們是加密的。圖6更詳細地描述了零售商和消費者域之間的域間事務。該圖片也是基於[5]中描述的粘性策略概念,帶有iCore訪問控製功能,其中包括信任機構[5]的功能。

以VO注冊表為代表的iCore係統功能和訪問控製功能跨域分布,並通過可信通道連接。VO可以通過不受信任的通信通道傳輸,也可以存儲在不受信任的域中,比如沒有配備iCore接口的移動電話。一旦用戶(例如,自動售貨機)接收到VO, VO注冊中心將提供對VO的訪問級別,並為訪問控製函數提供相應的密鑰,以便通過事務包裝器訪問VO數據。

最後需要指出的是,麵向用戶的最後一步(交付產品、確認創建或接收條形碼)隻有在iCore係統相應更新之後才會發生。為了避免出現惡意用戶利用邏輯缺陷欺騙係統的情況,這個過程是必要的。

電子機票用例和工作流程

為了說明iCore框架在策略實施方麵的工作流和內部操作,我們描述了另一個使用m-ticket的案例。我們使用複雜但真實的場景,以演示如何應對不同的挑戰,如何使用假名,CVOs如何工作,如何從一個用戶委托給另一個用戶,如何執行政策執行,以及最終執法部門如何在保護公民隱私的同時搜索非法活動

電子票證用例的描述

一個iCore用戶想從他/她的移動設備上購買一張足球比賽的門票。此外,他/她想同時安排前往體育場的行程,因此,他/她將體育場門票和火車票結合在一起。最後,用戶還可以購買啤酒代金券,他/她可以在體育場的酒吧領取。門票和代金券是不同的VOs,合並在一個CVO中。

圖6:粘性策略和分布式域。

在我們的場景中,用戶將無法觀看足球比賽,因此他/她決定將體育場門票、火車票和啤酒代金券送給朋友。在iCore中,此交易被視為從一個用戶委托給另一個用戶,以使用他/她已經購買的CVO。為了執行委托,兩個用戶都需要連接到iCore框架,以便更新注冊表中的CVOs詳細信息。然而,用戶之間CVO的實際傳輸可以直接從一個移動設備到另一個移動設備,例如使用藍牙。

質檢員也是iCore用戶,具有不同的訪問權限。當給出一個VO時,他通過在iCore注冊表中搜索並查看VO的狀態來驗證唯一代碼。經過正確的驗證後,VO在iCore注冊中心和用戶移動設備中的狀態都發生了變化。

為了讓用戶使用iCore框架,他必須先注冊。因此,所有以同一身份進行的交易和購買都可能導致用戶被記錄,他/她的隱私受到損害。為了避免這種情況並實現基於設計的隱私保護,我們引入了假名[11]的使用,其中用戶每個上下文有一個假名,這使得跨服務上下文鏈接不同的標識符變得困難。

假名是用戶真實身份的一個子集,它隻揭示完成交易所需的絕對必要的信息。此外,被認為是個人的或敏感的屬性,如年齡,隻部分地顯示出來,如項目ABC4Trust[14]所示,並與真實身份分離。在我們的例子中,筆名隻顯示用戶是成年人,而沒有給出他/她的真實年齡。最後,第三方無法將假名鏈接回真實用戶,即使在出現安全漏洞的情況下,也難以訪問用戶的身份。

上述用例的一個假名示例是購買音樂會或一般活動門票時使用的假名。在這種情況下,假名身份還會顯示用戶是成年人,以便能夠繼續購買啤酒。這個假名可以擁有的其他屬性,包括在場館的座位偏好、特殊門票類別(例如,學生、殘疾人)、付款方式等。

內部工作流程分析

為了在觸發事件和執行特定策略時更好地演示iCore框架內的工作流,我們創建了兩個UML圖(圖7)。必須指出的是,這些圖不包括iCore框架組件之間的所有事務和交互,而隻包括與描述策略執行部分相關且必要的事務和交互。

自動執行預定義策略

圖7中的第一個圖展示了事件觸發預定義策略的情況,然後自動執行該策略。特別是CVO的委托,如前一小節所述,由於消費者b的年齡限製,不能完全完成。為了讓用戶購買啤酒,他(s)應該超過國家允許的年齡限製。該策略不僅在購買啤酒優惠券期間執行,而且在從一個用戶轉移到另一個用戶時也執行。因此,如果第二個用戶不符合年齡要求,他仍然可以收到其他兩個VO(體育場和火車票),但與啤酒相關的VO將保留給原始用戶。

工作流程如下:

  • 兩個用戶都需要連接到iCore框架。這種連接是通過相應的接口實現的,這裏稱之為移動商務服務。

  • 用戶A連接成功後,委托用戶B使用CVO。委托是使用藍牙連接執行的,不使用iCore框架。但是,在本地委托之後,兩個用戶都會聯係iCore框架以確認並注冊它。

  • 移動商務服務接收這兩個請求,並繼續更改CVO所有者。第一步是將用戶更改通知注冊中心(特別是CVO注冊中心)。

  • PEP由此事件(所有者變更)觸發,並在需要強製執行特定策略的情況下執行檢查。檢查在每個VO中獨立執行。

  • 當檢查到達啤酒憑證時,年齡政策需要強製執行。結果,PEP將此活動通知PDP。然後,PDP將與注冊中心檢查用戶B是否滿足所需的年齡限製。

  • 注冊中心響應PDP說用戶不符合年齡要求,結果PDP拒絕將特定的VO委托給用戶b。這個VO不會改變狀態,用戶a將成為所有者。

  • 注冊表執行所有修改並通知移動商務服務。前者通知兩個用戶委托狀態,因此他們也可以在移動設備上本地看到VOs的表示。
檢測可疑事件

iCore框架能夠監控交易,搜索可能導致犯罪活動的各種搜索模式。例如,在我們的場景中,當局可能有興趣觀察那些在比賽開始前幾小時或幾分鍾才決定將預期的足球比賽的門票委托給他人的用戶,因為這可能是一種黑市交易行為。但是,必須指出的是,對事務的監視是在不知道用戶身份的情況下完成的,並且由執行用戶角色支持。後者隻能在發出法院命令的情況下披露,因此iCore管理員必須遵守這種命令。

圖7:CVO委派的工作流程,執行年齡政策。

這種情況下的工作流程如下(圖8):

  • 在獨立檢查每個VO之前的程序與前一小節中所描述的完全相同。

  • 當PEP檢測到潛在的不當行為時(正如策略數據庫中已經由執法部門定義的那樣),它通知移動商務服務。在這個用例中,在比賽開始前幾分鍾交換了體育場門票VO的委托,從而觸發了該事件。因此,當局可能不得不處理一起黑市購買的案件。

  • 移動商務服務作為iCore框架的接口,會立即通知執法人員。本通知包括所有相關資料。這些信息包括用戶的假名、門票的價值(活動、座位、價格等)、隨行的VOs等。

  • 由於行為本身(委托)沒有被任何政策直接禁止,iCore內部的程序按計劃進行。與此同時,執法人員掌握了調查此案所需的所有資料。如果案件被證明是非法的,並發布了法院命令,執法部門可以正式要求提供交易的全部細節。
與其他安全移動商務框架的比較。

所提出的框架能夠減輕Wang等人在[15]中確定的一些安全性。特別是,iCore框架可以支持[15]中描述的支付完成不變量,其中一個Item的支付信息必須在移動商務場景中的參與方(Merchant、Shopper和收銀員)之間保存。參考[15]中描述的挑戰,建議的框架能夠減輕:

  • 對手角色的多樣性,商家、購物者和收銀員可以相互模仿對方的角色。iCore框架為所有經過身份驗證和授權的各方明確指定了角色,並且在與VO關聯的sticky策略中明確定義了讀取、修改和刪除數據(即VO)的訪問權限。

  • 協調混亂,商家、購物者和收銀員隻能看到整個交易的部分情況。正如移動商務一節所述,iCore框架規範了VOs的創建和訪問,整個交易由iCore框架控製。

此外,iCore框架還能夠保護用戶的隱私,因為用戶配置文件也存儲在VO中,具有自己的粘性策略。

在[16]中,作者描述了一個特別關注安全需求的移動商務框架。該框架基於信用模型,解決了基於移動代理的電子交易的安全問題。針對惡意代理的保護是使用信用評估模型來實現的,該模型主要評估想要執行移動商務交易的代理的聲譽。在本文中,信用評估模型基本上是通過策略實施部分中描述的認證和使用控製機製實現的,而[16]不涉及移動商務交易數據的保護或用戶向另一個用戶的權利授權(本文將對此進行描述)。

[17]中的作者以類似於本文的方式描述了訪問控製模型在移動商務上下文中的應用。兩篇論文都有一個共同的目標,那就是為移動商務提供設計解決方案。在移動商務中,分散的組織和個人想要一起工作並共享他們的信息,但他們也需要保護他們的隱私和敏感信息,並為訪問和共享活動建立適當的協議。[17]的作者提出了基於角色、基於組、基於任務的訪問控製(rgt訪問控製)的組合,以滿足用戶的不同需求。基於rgt的訪問控製由身份驗證和授權功能補充,它集成在一個整體的移動商務分層框架中,類似於本文的5 A憑證用例和工作流部分中介紹的框架,即使沒有介紹VO/CVO的概念。雖然兩篇論文中提出的模型非常相似(基於訪問控製),但本文相對於[17]引入了以下概念:

圖8:iCore框架以及在可疑事件時與執法人員的互動。

  • [17]中沒有給出VO中數據的封裝,即使給出了可以實施訪問控製的虛擬環境的概念。


  • 除訪問控製規則外,還可以使用策略實施機製來實施策略。

  • 本文還介紹了訪問控製委托的案例。

在[18]中介紹了RBAC在電子商務上下文中的應用,其中還引入了麵向對象的方法,這與iCore框架非常相似,因為VO/CVO基本上存儲為對象。本文介紹了比[18]中使用的RBAC模型更複雜的使用控製框架。

[19]中還介紹了一個基於帶策略的RBAC框架,其中使用RBAC的擴展來定義電子商務應用程序的用戶組角色(User Group Role, UGR)。該框架是使用XACML策略語言結合RBAC實現的。建議的體係結構與本文中介紹的框架非常相似,因為還使用了PEP和PDP組件。[19]中提出的模型不支持本文中討論的委托,也不使用麵向對象的模型,但是可以很容易地進行擴展。與隻支持屬性和命題操作符的XACML策略語言相比,我們在框架中采用的語言具有更強的表達性,並支持時間、基數和事件操作符。可以用我們的語言表示的簡單策略,如“3次登錄失敗後阻止和帳戶”,不能用XACML表示。

結論及未來發展

在本文中,我們通過基於策略的框架解決了移動商務中與客戶缺乏安全和隱私相關的重要問題。此外,我們通過虛擬對象(VO)的概念解決了移動商務技術的異構性和移動商務交易的碎片化問題,虛擬對象可以封裝所有的移動商務交易數據。這些概念在以前的移動商務研究中並沒有被提出或有限地使用。我們在涉及不同領域的實際場景中評估了所提出的概念和框架,以驗證其可行性。

未來的工作將集中於使用標準語言和工具(如XACML)實現的建模和仿真方法以及原型來驗證和確認所提議的體係結構。此外,我們將研究將基於策略的框架應用於客戶定製和分析的可能性,以提高移動商務的效率和安全性。[20]提供了該概念在物聯網環境中的應用實例。

鳴謝

這項工作由歐盟通過FP7項目iCore(287708)[11]資助。

參考文獻
  1. Varshney U, Vetter RJ, Kalakota R(2000)移動商務:一個新的前沿。計算機33:32-38。[Ref。
  2. Dahlberg T, Mallat N, Ondrus J, Zmijewska A(2008)移動支付研究的過去、現在和未來:文獻綜述。電子商務研究與應用7:165-181。[Ref。
  3. 林hf(2013)確定手機銀行質量因素的相對重要性。計算機標準與接口35:195-204。[Ref。
  4. Vlacheas P, Giaffreda R, Stavroulaki V, Kelaidonis D, Foteinos V等(2013)通過物聯網的認知管理框架實現智能城市。IEEE通訊雜誌51:102-111。[Ref。
  5. Pearson S, Casassa-Mont M(2011)粘性政策:跨多方管理隱私的方法。計算機44:60-68。[Ref。
  6. Nilashi M, Ibrahim O, Mirabi VR, Ebrahimi L, Zare M(2015)移動商務中安全、設計和內容因素對客戶信任的作用。零售與消費者服務雜誌26:57-69。[Ref。
  7. Belanger F, Hiller JS, Smith WJ(2002)電子商務中的可信度:隱私、安全和站點屬性的作用。J戰略Inf係統11:245-270。[Ref。
  8. Rayport J, Jaworski B(2001)電子商務導論。McGrawHill,紐約。[Ref。
  9. 劉傑,Kauffman RJ, Ma D(2015)競爭、合作與監管:理解移動支付技術生態係統的演變。電子商務研究與應用“,”[Ref。
  10. Kounelis I, Baldini G, Muftic S, Loschner J(2013)安全移動商務應用架構。第19屆控製係統與計算機科學國際會議(CSCS) 519-525。[Ref。
  11. iCore (2011) FP7集成項目。iCore FP7。之下[Ref。
  12. Srinivasan N, Paolucci M, Sycara K (2006) OWL-S IDE中的語義Web服務發現。第39屆夏威夷係統科學國際會議論文集(HICSS) 6: 109b。[Ref。
  13. Neisse R, Pretschner A, Di Giacomo V(2011)一個可信任的使用控製強製框架。第六屆國際可用性、可靠性和安全性會議(ARES) 230-235。[Ref。
  14. ABC4Trust(2012)基於屬性的信任憑證。[Ref。
  15. 王睿,陳森,王旭,Qadeer S(2011)如何在網上免費購物——基於收銀員即服務的網絡商店的安全性分析。2011年IEEE安全和隱私研討會論文集465-480。[Ref。
  16. 魏東,魏軍(2010)一種改進電子商務模型的安全性研究。國際電子商務和電子政府會議(ICEE) 2534-2537。[Ref。
  17. Kim S, Zhu J, Smari WW, McQuay WK(2006)以人為中心的協同商業係統的安全與訪問控製。協作技術與係統國際研討會。[Ref。
  18. L洪鑫,G可慶,W玉剛(2010)RBAC模型在電子商務係統中的應用。電氣與控製工程國際會議(ICECE) 3059-3062[Ref。
  19. 邵玲,秦安,鄭旭,張傑(2012)RBAC訪問控製模型的改進與實現。電子商務和電子政府管理國際會議(ICMeCG) 110-115。[Ref。
  20. Kounelis I, Baldini G, Neisse R, Steri G, Tallacchini M, Guimaraes Pereira A(2014)在人與物聯網關係中建立信任。IEEE技術與社會雜誌33:73-80。[Ref。

下載臨時PDF

PDF

條信息

文章類型:研究文章

引用:Löschner J, Baldini G, Kounelis I, Neisse R(2015)使用政策監管框架來確保移動商務的安全。Int J Multimed 1(1): doi: http://dx.doi.org/10.16966/ijm.101

版權:©2015 Löschner J等。這是一篇開放獲取的文章,根據創作共用署名許可的條款發布,允許在任何媒介上不受限製地使用、分發和複製,前提是要注明原作者和來源

出版的曆史:

  • 收到日期:2015年5月29日

  • 接受日期:2015年7月13日

  • 發表日期:7月17日