17、开发可证明安全的移动商务应用

开发可证明安全的移动商务应用

1. 系统状态存储与协议 ASM

在开发移动商务应用时，所有代理的字段内容需使用动态函数进行存储，这是抽象状态机（ASM）中常见的做法。不同角色和设备的状态存储内容各有不同：
- 攻击者和用户 ：状态由文档集组成，这些文档包含可用于生成新文档的数据。每个用户知晓用于互联网订单的个人登录密码，攻击者初始知识为空，且在最坏情况下所有攻击者会共享知识。
- 移动电话 ：状态由三个文档列表构成，分别为存储在手机上的票务列表（tickets）、传递给其他手机的票务列表（passedOn）以及该手机完成的预订列表（booked）。
- 电影院 ：状态包含一个已发行票务列表（issued），以及在检票口出示的随机数列表（presented）、被拒绝的列表（rejected）和被接受的列表（accepted）。为表达特定安全属性，还会存储持票者被准许入场的信息（accepted - with - presenter）。
- 个人电脑 ：将发送给电影院的所有票务订单存储在预订列表（booked）中。

协议 ASM 是一种以模块化方式构建的非确定性机器。顶层 ASM 会非确定性地选择应执行下一个协议步骤的代理，以确保能构建应用的所有可能轨迹。在代理层面，针对应用中存在的每种代理类型都有相应规则。选择代理后，协议 ASM 会分支到描述其行为的 ASM 规则。这些规则由一个 case 语句组成，用于测试为该代理指定的所有协议步骤的适用条件，直到找到在当前状态下成立的第一个条件，然后执行该条件对应的协议步骤