【技术实现步骤摘要】
设计阶段网络交易业务交互过程的逻辑漏洞分析方法
本公开属于网络交易安全
,具体涉及一种设计阶段网络交易业务交互过程的逻辑漏洞分析方法。
技术介绍
现如今,网络交易业务流程依赖于多主体在网络应用程序之间的并发交互,其中多主体主要包括客户、商家、第三方支付平台和银行系统等。参与主体经常使用网络应用程序编程接口(API:ApplicationProgrammingInterfaces)来合并业务服务功能,这种复杂的业务交互产生了新的安全挑战——逻辑漏洞。逻辑漏洞存在于应用程序级的业务流程中,在关键应用中,即使是一个很小的逻辑漏洞也会导致严重的影响。在这样的混合分布式系统中,以一种安全的方式协调相关主体的状态是非常具有挑战性的。当用户违背开发人员的期望,滥用合法的应用程序特定行为时,通常会存在逻辑漏洞;开发人员常常不清楚如何对接收到的请求参数实现足够的服务器端授权检查。因此,易受攻击的服务器会暴露给恶意用户,这些用户可以通过并发交互替换控制流和数据流,实现恶意攻击目的。网络交易业务流程在开放的互联网中是一个典型...
【技术保护点】
1.一种设计阶段网络交易业务交互过程的逻辑漏洞分析方法具体包括如下步骤:/nS100:利用颜色petri网对网络交易业务交互过程进行建模,构建交互业务流程融合网络IBPF;/nS200:提出所述网络交易业务交互过程中的交易逻辑一致性和交易处理完成状态两个基本安全属性;/nS300:基于用于发现网络交易业务交互过程中逻辑漏洞的算法,结合交互业务流程融合网络IBPF和所述两个基本安全属性,对设计阶段网络交易业务交互过程进行漏洞分析和验证。/n
【技术特征摘要】
1.一种设计阶段网络交易业务交互过程的逻辑漏洞分析方法具体包括如下步骤:
S100:利用颜色petri网对网络交易业务交互过程进行建模,构建交互业务流程融合网络IBPF;
S200:提出所述网络交易业务交互过程中的交易逻辑一致性和交易处理完成状态两个基本安全属性;
S300:基于用于发现网络交易业务交互过程中逻辑漏洞的算法,结合交互业务流程融合网络IBPF和所述两个基本安全属性,对设计阶段网络交易业务交互过程进行漏洞分析和验证。
2.根据权利要求1所述的方法,所述S100步骤中的颜色petri网具体定义为:颜色Petri网是一个九元组CPN=(P,T,A,∑,V,C,G,E,I),其中,优选的:
1)P是一组有限的库所集,用圆圈来表示;
2)T是一组有限的变迁集T,使得用矩形来表示;
3)是一组有向弧集,用有向弧来表示;
4)∑是一组有限的非空颜色集;
5)V是一组有限的类型变量,使得Type[v]∈∑对所有变量v∈V;
6)C:P→∑是一个为每个库所指定颜色集的函数;
7)G:T→EXPRV是一种判定函数,它为每个变迁t指定一个布尔表达式,使Type[G(t)]=Bool;
8)E:A→EXPRV是一个弧表达式函数,它将弧表达式赋给每个弧a,使得Type[E(a)]=C(p)MS,其中p是连接到弧a的库所,MS表示多重集;
9)I:是一个标识初始化函数,使Type[I(p)]=C(p)MS,其中MS表示多重集。
3.根据权利要求1所述的方法,所述S100步骤中的交互业务流程融合网络IBPF描述了基于颜色petri网的分布式、多主体和多会话的网络交易业务交互过程,其具体定义为:
逻辑业务流程LBP=(P,T,A,∑,V,C,G,E,I),其中:LBP有三个特殊的库所α,β和γ,其中α∈P称为初始库所,β∈P称为终止库所,γ∈P称为存储库所,
一个具有通道的逻辑业务流程LBPC=(P∪PIN∪PO,T,A∪AIN∪AO,∑,V,C′,G,E′,I′),LBPC是从LBP扩展而来的,它集成了一些交互库所(通道),用来描述不同主体之间交易参数的通信通道,其中:
1)PIN是一组输入通道库所,PO是一组输出通道库所,
2)
3)
4)C′:(PIN∪PO)→∑,如果p∈P,那么C′(p)=C(p);
5)E′:(AIN∪AO)→EXPRV,如果a∈A,那么E′(a)=E(a);
6)I′:(PIN...
【专利技术属性】
技术研发人员:于汪洋,贾萌韩,王小明,张立臣,卢俊岭,庞光垚,
申请(专利权)人:陕西师范大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。