چکیده
رشد و توسعه سریع تجارت الکترونیک در سرتاسر جهان به این معنا است که فرآیندهای کسب و کار تجارت الکترونیک ساختارهای دارای چندین مشارکت کننده را بیشتر و بیشتر می پذیرند؛ این ساختارها شامل خریدار، مشتریان، بازرگانان و پلتفورم های پرداخت شخص ثالث (TPP)، بانک ها و غیره است. این پلتفورم ها سیستمی توزیع شده و پیچیده هستند که ارتباطات در بین مشارکت کنندگان به خدمات تحت وب (وب سرویس ها) و رابط های برنامه نویسی برنامه (API) همانند صندوقدار به عنوان یک سرویس (CaaS) تکیه دارد. این مساله چالش های امنیتی جدیدی را به دلیل تعاملات پیچیده در بین مشارکت کنندگان متعدد ایجاد می کند و وجود هرگونه نقص در طراحی ساختارهای روالی می تواند منجر به مسائل جدی امنیتی شود. ما مسائل ساختاری امنیتی مبتنی بر شبکه های پتری را مورد مطالعه قرار می دهیم و چارچوبی را به منظور تجزیه و تحلیل امنیت ساختاری در فرآیند کسب و کار تجارت الکترونیک پیشنهاد می دهیم. مدل سازی مبتنی بر شبکه های پتری و روش های تحلیل نیز در این مقاله ارائه شده است. با توجه به مشخصات فرآیندهای کسب و کار تجارت الکترونیک، روش های پیشنهادی می توانند به طراحان در تحلیل مسائل امنیت ساختاری یک فرآیند کسب و کار تجارت الکترونیک کمک کنند. کلید واژه ها: شبکه پتری ، تجارت الکترونیک ، فرآیند کسب و کار ، امنیت ساختاری
1. مقدمه
تجارت الکترونیک رشد قابل توجهی در سال های اخیر داشته است و کسب و کارهای بیشتر و بیشتری بر بستر اینترنت راه اندازی شده است. حجم روزانه فعالیت های تجارت الکترونیک در حال تغییر است و با سرعت زیادی رشد می کند. بسیاری از پلتفورم های تجارت الکترونیک برای شتاب بخشی به این صنعت توسعه می یابند [1,2]. سیستم های تجارت الکترونیک همراه با مشارکت کنندگان متعدد از جمله پلتفورم های پرداخت شخص ثالث (TPP)، سیستم های تجارت الکترونیک، بانک ها، مشتریان و دیگر برنامه ها به مرز جدیدی برای راه اندازی کسب و کار تبدیل شده اند. فرآیندهای کسب و کار تجارت الکترونیک به عنوان یک برنامه توزیع شده بر روی وب پیچیده تر است و ارتباط آزادتری دارد. مشارکت کنندگان از طریق وب سرویس ها و APIها همانند صندوقدار به عنوان یک سرویس (CaaS) با یکدیگر ارتباط برقرار می کنند [3,4]. فرآیندهای کسب و کار مربوط به مشارکت کنندگان مختلف کل سختار فرآیند را ایجاد می کنند. این یکپارچگی چالش های جدید امنیتی را به دلیل تعاملات پیچیده در بین APIهای مربوط به مشارکت کنندگان متعدد تعاملی معرفی می کند. این چالش ها متفاوت از مسائل متداول امنیتی هستند و چالش های جدید امنیتی به ویروس ها، تروجان ها یا پروتکل های امنیتی اشاره نمی کنند [5,6]. پیوند ساختاری پیچیده مربوط به نقص کنترل و داده ها در سیستم های تجارت الکترونیک می تواند مشکلات بسیاری جدی را ایجاد کند که نمونه آن نقش ویژگی های تراکنش و از دست رفتن منابع مالی کاربر است. این مسائل به عنوان امنیت ساختار تعریف می شوند. در طی سال های اخیر موارد بسیاری در زمینه امنیت ساختاری پدید آمده است. این موارد شامل آسیب پذیری ایجاد شده توسط ترکیبی از سیستم های متن باز خرید آنلاین و TPP، رخداد "دروازه یک یوآن " مربوط به Taobao در سال 2011 [7] و برامه های وب مبتنی بر دیتابیس MongoDB [8] است.
7. نتیجه گیری ها
توسعه سریع تجارت الکترونیک منجر به بروز مسائل امنیت ساختاری در فرآیندهای کسب و کار شده است. این مقاله براساس EBPN درباره مفهوم امنیت ساختاری بحث می کند و یک روش مدل سازی پیشنهاد می دهد که ساختارهای کنترل و داده را با یکدیگر ترکیب می کند. ما دو روش تحلیلی را برای تعیین امنیت ساختاری فرآیند کسب و کار تجارت الکترونیک تعیین می کنیم. با این حال، روش های تحلیلی بسیاری در این حوزه همچنان باز است. حتی با وجود اجرای بسیاری از این روش های پیشنهادی، همچنان فرصت های متعددی برای اجرای تحقیقات بیشتر با استفاده از روش های تحلیلی در امنیت ساختاری وجود درد. در آینده ما بر روش های تحلیلی موثرتر تمرکز می کنیم و فناوری های بیشتری را براساس شبکه های اصلی پتری اجرا می کنیم.
Abstract
The rapid development of e-commerce worldwide, means more e-commerce business processes adopting the structure of multiple participants; these include shopper clients, merchant and third-party payment platforms (TPPs), banks, and so on. It is a distributed and complex system, where communications among these participants rely on the web services and Application Programming Interfaces (APIs) such as Cashier-as-a-Service or CaaS. This introduces new security challenges due to complex interactions among multiple participants, and any design flaws in procedure structures may result in serious security issues. We study the structural security issues based on Petri nets, and a framework for analyzing structural security in e-commerce business process is proposed. Petri net-based modeling and analysis methods are also provided. Given the specifications of e-commerce business processes, the proposed methods can help designers analyze structural security issues of an e-commerce business process.
1. Introduction
E-commerce has significantly developed in recent years, and more and more business is conducted over the Internet. The daily volume of e-commerce is sizable and continues to grow at a rapid pace. Many e-commerce platforms spring up to accelerate this new industry [1,2]. E-commerce systems with multiple participants, including third-party payment platforms (TPPs), e-commerce systems, banks, clients, and other applications, have become the new frontier for conducting business. As a distributed application on the web, e-commerce business processes are more complex and loosely coupled. The participants communicate with each other through web services and APIs such as Cashier-as-a-Service or CaaS [3,4]. The business processes of different participants construct the entire process structure. This integration introduces new security challenges due to complex interactions among the APIs of multiple interactive participants. These differ from traditional security issues, and the new security challenges do not refer to virus, Trojans or security protocols [5,6]. The complex structural linkage of control and data flows in e-commerce systems may produce very serious problems including the violation of the transaction properties, and losses of user funds. These issues can be defined as structural security. There are many structural security cases that have appeared over recent years. These include the vulnerability caused by a combination of open source online shopping system and TPP [3], ‘‘one yuan gate’’ event of Taobao in 2011 [7], and mongodb-based web applications [8].
7. Conclusions
The rapid development of e-commerce has led to arise structural security issues in business processes. Based on EBPN, this paper discusses the concept of structural security and proposed a modeling method that fuses control and data structures. We propose two analyzing methods to determine the structural security of e-commerce business processes. However, plenty of analyzing methods in this area is still largely open. Even with the deployment of the proposed methods, there is still ample opportunity to conduct further research using additional analytical methods in structural security. In the future, we will focus on more efficient analytical methods and deploy more technologies based on the original Petri nets.
نکات مهم
چکیده
1. مقدمه
2. مثال انگیزشی
3. مفاهیم مرتبط
4. امنیت ساختاری
5. روش های مدل سازی
6. تحلیل امنیت ساختاری
6-1 روش دنباله رفتاری
6-2 روش تحلیل حالت
7. نتیجه گیری ها
Highlights
Abstract
1. Introduction
2. Motivation example
3. Related concepts
4. Structural security
5. Modeling methods
6. Analyzing structural security
6.1. Behavioral sequence method
6.2. State analyzing method
7. Conclusions