金融信息安全-应用安全协议.ppt

应用安全协议,lgc,网络应用系统,一个典型的网络交易通常包括从客户端到服务器端的过程，其间可能包括多种应用数据的收集、打包、解包和处理过程。客户机功能：与最终用户接口，确定所要进行的操作；准备服务请求的内容；发起服务请求；处理应答；向最终用户报告结果。通信类型终端与应用服务器可以通过专线或拨号电话进行连接，通信协议可采用TCP/IP、异步通信或同步通信等通信类型。,通信类型,会话：客户在建立了与服务的连接后，可以多次发送或接收数据，同时存储信息的上下文。会话是半双工的。只有会话的控制方可以发送消息。在会话过程中，双方记忆会话点或状态，这样长操作，如报告和文件传递可以支持。在一个典型的会话中，客户连接服务器，要求一大批账户的数据。由于应答数据大，服务器发送一部分数据，同时指示数据传递没有完成。客户接收并处理接收到的数据，同时指示准备接收更多的数据。这样一直持续到客户接收到所有的数据。会话服务器在需要时可自动复制，因而可随时接收请求。,通信类型,广播：由服务进程向客户进程发出的未经客户请求的广播或通知消息。用户进程可事先向系统订阅一些它所感兴趣的系统事件或用户自定义的应用程序事件，当系统或应用程序发生这些事件时，通知用户进程这些事件的发生，用户方可采取相应的动作。例如，当取款超过一定限度时发送一个事件通知，说明何时何种事件发生，客户端使用事件通知中的内容组成系统命令并执行。,服务器处理,服务函数首先分析解码后的缓冲区的内容。为此，所有的服务例程都具有相同的一个参数：structtpsvcinfocharname32;/*servicenameinvoked*/longflags;/*describesserviceattributes*/char*data;/*pointertodata*/longlen;/*requestdatalength*/intcd;/*connectiondescriptor*/longappkey;/*applicationauthenticationkey*/CLIENTIDcltid;/*clientidentifier*/;,服务器处理进程服务器是资源接触点。例如，数据库服务器需要“打开”，即在其启动时所使用的数据库管理系统中进行注册。服务器公布服务集合给整个系统，因而客户进程可知道将服务请求送到哪里。服务器进入循环：接收请求需要从服务请求中取走一个请求消息。处理请求要求检查缓冲区内容，基于请求信息执行动作，返回一个包含关于服务执行结果所有必要信息的应答缓冲区。当系统管理员关闭服务时，服务器接到需要关闭的“元消息”，取消发布的服务，关闭相关的资源，并且终止。,处理过程,服务器处理模式,队列模型TUXEDO提供一种可靠性的队列机制/Q，将客户发出的请求用tpenqueue()存储在可靠的队列中，由TUXEDO/Q从队列中将请求取出进行处理，完成各个队列中的服务请求。请求的入队和出队是异步的，并且具有事务特性。请求的出队次序可由用户设置为FIFO(先入先出)，LIFO(后入先出)，优先级，或定时执行。转发在需要的情况下，服务进程把处理过的结果进一步转发给后续的其他服务进程，由其他服务进程接着处理，自己继续完成另外的服务请求，被转发的服务请求的结果由后续服务进程直接返回给客户进程。,OSI应用协议模型,OSI（开放系统互联）模型参考模型分为七层，由低到高依次为：物理层、数据链路层、网络层、会话层、表示层和应用层。应用层协议标准描述了应用于某一特定应用或一类应用的通信功能。例如，域名服务、文件传输、电子邮件、远程终端等表示层为上层用户提供数据或信息语法的表示转换。从应用层的角度看，表示连接相当于一个应用关联。在OSI体系结构中，应用层协议的模块化设计采用了许多内部结构。ISO/IEC9545定义了应用层的结构概念和术语。考虑两个OSI终端系统通过一条表示连接进行通信的模型。应用层协议的描述里包括各个具体模块（X，Y，Z）和控制部件（CF）的描述，它说明各个模块怎样协同工作，怎样向上层用户提供连贯一致的服务，怎样使用表示层的服务接口。,OSI应用协议模型,这些模块称为应用服务元素（ASE）或应用服务对象（ASO），二者的区别在于ASE包含一个模块描述，而ASO本身是一个结构，它把控制部件CF和一组底层模块（ASE，ASO等）组合到一起。ASE用于定义应用层PDU和它们的使用规则。控制部件规定了进一步的规则，限定了来自不同的ASE的PDU之间，及它们与表示层服务之间相互关联的方式。每个系统中至少有一个用于关联控制的ASE，称为ACSE，以便在建立（终止）表示连接的同时，建立（终止）应用关联具体包括地址信息的传送、终端认证等。的标准是、，它定义了一组应用，在建立终止表示连接的同时建立终止应用关联。,应用协议结构,应用关联表示连接,控制部件F,模块X,模块Y,模块Z,系统A应用层实体,控制部件F,模块X,模块Y,模块Z,系统B应用层实体,表示层操作,OSI模型中，应用层和表示层之间的交互可以用两个概念来描述：抽象语法：表示数据值：一个抽象语法并不只有一个对应的传输语法。例如，一个传输金融交易的抽象语法可能把借贷请求定义为：帐号（整数），账户名（字符串），借贷标志（布尔值），金额（实数），对每个字段可能采用不同的传输语法，例如不同的字符集，不同的整数编码。,表示层操作,之所以需要解决消息格式是因为金融数据可以看成二进制数据或字符数据。如果看成二进制数据，那么很容易确定源比特串，但如果看成是字符数据，应该提供下列选项：允许对整个消息或消息的某些字段进行完整性保护，这就要求能够识别出标准的消息格式；在计算MAC值之前，应允许按制定的规则对消息进行编辑。这一步用来消除消息的各种变体（由大小写、格式化字符、控制字符引起）。由于网络或终端设备可能会删去或修改某些字符，所以这种编辑是必要的。这样，就把字符编码为8位组，把最高位置成0，低7位按ASCII编码。,传输语法,传输语法也可以有标识符，标识符指明怎样从给定的抽象语法派生出特定的传输语法。表示上下文通过表示协议，可以建立表示上下文并为它分配有一个整数标识符。附带在表示数据值之后，以向目标系统指明所用的抽象语法和传输语法。这样，一个表示层协议数据可以传递多个具有相同或不同抽象语法的表示数据值，每个表示数据值的表示上下文预先确认好，表示上下文标识符随每个编码比特流出现。这就允许将多个表示数据值连接到一起以实现传输目的。另外，也可以不使用表示上下文，而是把抽象语法和传输语法的标识符附在编码后的比特流之后。这种方法的缺点是增加了传输负载，但适合于在多端点系统中转发，适合分布式应用的要求。,表示数据值的嵌入和连接,连接,头部,上下文标识符,上下文标识符,表示数据值（抽象语法A）,表示数据值（抽象语法）,表示数据值（抽象语法C）,表示协议数据PDU,嵌入,高层安全模型,OSI高层安全模型（ISO/IEC10745）是高层安全协议的通用构建工具和协议组件的模型。该模型的主要贡献是引入了下列概念：系统安全组件和安全通信组件，这有利于标准的结构化和实现的结构化；安全交换和安全变换，它们有助于设计安全通信的通用构建工具和协议组件；安全关联，指系统之间对安全状态和属性信息的共享。通用高层安全标准（）标准广泛地使用这些概念来定义通用安全协议构建工具（）。,安全组件,实现网络安全的组件可以分成以下两类：系统安全组件：与安全有关的处理，如加密解密，数据签名的生成验证，或认证令牌的生成验证；安全通信组件：负责与安全相关的信息在系统间的传输。区别着两类很有意义。首先，它区分了两类不同的标准。系统安全组件属安全机制或安全技术标准，它是通用的，不限于哪一个通信协议或哪一层，在通信以外的领域也有用。而安全通信组件则相反，它是特定通信协议的一部分，但不限于采用哪种安全机制或技术。其次，它区分了安全功能和通信功能，这有利于协议的实现。一组系统安全组件可以实现成一个安全模块，例如可信软件子系统、防窜扰硬件模块，它们可以应用于各种通信和其他环境。因此，可以从系统安全组件和安全通信组件之间的区分着手实现标准的安全应用程序接口（）。,安全交换和安全变换,安全交换和安全变换为安全协议构建工具和协议组件的设计铺平了道路。这两个概念反映了安全协议所需的两类不同的行为。安全交换是在安全机制的直接支持下，系统间交换的协议数据项的生成和处理，也即协议构造方法。安全变换的概念是指用户数据在通信之前，要先进行一些变换，如加解密，填充/验证签名等。这类行为更多的是对应用的数据进行生成或处理而不是发送信息。两类安全组件都用到安全交换和安全变换。在安全交换的情况下，系统安全组件是协议信息的源方和收方；在安全变换的情况下，系统安全组件不是信息的源方和接方，而是对数据进行处理，如加密解密。,安全交换和安全变换,安全机制协议数据项,安全机制协议数据项,通信组件,系统组件,通信组件,系统组件,安全机制协议数据项,安全机制协议数据项,通信组件,系统组件,通信组件,系统组件,待保护的用户数据协议项,待保护的用户数据协议项,安全关联,安全关联如果两个（或多个）系统之间共同维护着一些规则、状态信息（实体，选用的算法、密钥、其他参数）等属性，就称它们之间有安全关联。安全关联使得能对一系列的数据传输提供连贯一致的保护。安全关联可用于通过一个应用关联直接互联的情况不直接互联的情况，例如通过应用层转发系统互联的情况。,建立关联时的认证,关联控制服务元素（ACSE）的标准是ISO/IEC8649和ISO/IEC8650在建立/终止表示连接的同时建立终止应用关联关联建立规程（A-ASSOCIATE请求和响应）可以交换一次或两次认证信息，为应用关联两端的应用实体提供相互认证。关联控制服务元素的抽象语法是安全交换服务元素的一种特殊形式。关联建立包括以下字段：认证机制名称：认证机制的标识符，应由某个组织登记和指定；认证值：属于某个类型；认证机制名称字段决定了认证机制，而认证机制决定了认证值的类型。,安全交换,安全交换是两个系统间传输的一系列与安全相关的信息。假设把这两个系统称为A和B，A先向B发出初始信息，后面可能跟着一系列信息项，直到一个交换结束标志出现。通常，一次安全交换包括两个方向上的信息传输，但这没有严格的限制。安全交换的例子包括：三次认证交换，如X.509的三向交换或认证Diffie-Hellman交换简单的一次传输，用于传输访问证书，其后跟随一个访问控制请求，例如,管理命令或数据库访问。访问请求嵌入到访问证书中应用上下文限制安全交换重叠现象的出现，在一个安全交换过程中禁止传输其他信息。,安全交换实例,A,安全交换头部访问控制证书,A,安全交换头部第一项,安全交换头部第二项,安全交换头部第三项,访问控制请求,A,安全交换头部访问控制证书,访问控制请求,（a）,（b）,（c）,B,B,B,安全交换,一个安全交换规范由安全机制设计者来形成。最理想的情况是，规范应适用于不同应用和各种网络环境。一个安全交换规范应包括：1、说明要交换的信息项的数据类型；2、说明进行到交换的哪个阶段，在哪个方向，应该传输什么信息；3、说明在什么情况下可认定发生了错误，发生错误是向对方发出的错误指示是什么类型。4、该类型的安全交换的全局唯一标识符，以标明协议中使用了该类型的安全交换5、安全交换的目的和结果的含义。对、，可以用描述工具来实现支持安全交换的通信协议的自动生成。要完成整个规范，还必须描述和，但这无法由标准化的工具来完成。,安全交换,安全交换服务元素安全交换服务元素（SESE）是ISO/IEC11568的一部分，它定义了安全交换中传输的协议数据项的抽象语法的一般形式，包括用于传递SE数据项和错误指示的PDU。为了在关联建立时进行单向或双向信息交换，可以用ACSE的认证选项或SESE，不过SESE更常见，它不限制认证的次数，也可以不在关联建立的时候进行。精确的抽象语法定义由该一般性定义和特定协议支持的具体安全交换的定义组合来完成。如果具体安全交换采用上述的标准信息对象类的定义，那么组合过程就可以自动完成。,安全交换,在应用上下文中的使用生成的PDU可以和其他ASE的PDU组合到一起。应用上下文规范说明了怎样进行这些组合，以及SESE的PDU怎样映射成其他服务，即直接转成表示服务或嵌入到其他ASE的PDU。例如，某应用上下文使用SESE来实现双向认证交换，并规定这两次传输应嵌入到A-ASSOCIATE的请求和响应PDU（ACSE的一部分），在建立应用关联的时候完成。更复杂的情况下，建立安全关联时要完成三向或四向认证交换，这时，应用上下文可以规定头两次传输嵌入到A-ASSOCIATE的请求和响应PDU；后面的传输直接映射成表示层服务，并且在认证交换完成前，无需传输其他信息。,安全变换,填充、加密、签名、完整性交验值和完整性序列号等的各种变体和组合，产生了各种安全变换。在编码系统里要把信息项编成比特流，而在解码系统中要从比特流中把信息恢复出来，安全变换是这些处理过程的一部分。安全变换不局限于通信环境，它同样可以用来保护存储的数据。在理想情况下，它应该适用于各种应用和各种通信存储环境。保护性传输语法表示信息的比特流称为传输语法。当用了安全变换时，传输语法称为保护性传输语法。生成和解释保护性传输语法的完整过程如下图所示：,保护数据项的存储或传输,ASN.1数据项值,使用初始编码规则将未保护ASN.1值编成比特流,未保护数据项,安全变换的编码过程,使用最终编码规则编码（外层ASN.1结构的编码）,ASN.1数据项值,使用初始解码规则，解码未保护的ASN.1值,输出,安全变换的解码过程,使用最终编码规则解码（外层ASN.1结构的解码）,存储、传输,(a),(b),(c),(f),(e),(d),安全变换,安全关联的作用对逻辑相关的一系列数据，可能需要进行相同的数据保护。这时有必要对整个序列保留一些属性值（例如密钥、算法）和动态状态信息（例如完整性序列号等）。如果两个（或多个）系统之间共同维护着一些规则、状态信息（实体，选用的算法、密钥、其他参数）等属性，就称它们之间有安全关联。安全关联使得能对一系列的数据传输提供连贯一致的保护。安全关联可用于通过一个应用关联直接互联的情况，也可以用于不直接互联的情况，例如通过应用层转发系统互联的情况。安全关联的类型外部安全关联：在其他外部过程建立的安全关联显式（单项）安全关联：描述编码/解码过程的信息显式地随编码后的表示数据值一同传输显式（表示上下文）安全关联：一一对应于协商好的表示上下文。描述编码/解码过程的信息显式地随第一个编码后的表示数据值一同传输。,安全变换,变换参数静态参数：在安全关联内的第一个表示数据值被传输之前，或同时确定，在整个安全关联内保持不变，如算法标识符、系统身份等。动态参数：在安全管理内可能改变，例如密钥标识符。某些参数的传输需要机密性和完整性保护。通用保护性传输语法GULS标准提出一个框架，它和具体安全变换的规范描述组合起来，就得到支持该安全变换的保护性传输语法的完整规范。GULS标准提供下列信息项的标准表示方法：变换后数据项、受保护的安全变换参数、未保护的安全变换参数、引用或建立安全关联的信息。保护性传输语法定义了表示协议携带的比特流的格式。根据安全关联的类型和是否使用表示上下文，这种格式有多种变体。,发方构造保护性传输语法的过程,未保护数据项,初始编码处理#,安全变换的编码过程,构造并编码保护性传输语法ASN.1值,ASN.1值,参数编码过程#,受保护参数*,不受保护参数*变换ID*安全关联ID*,*如果有#过程合并,传输比特流,安全变换,安全变换的规范由机制设计者定义安全变换的描述包括：说明安全变换所使用的编解码过程；列出编解码过程所需要的输入、输出的数据类型；说明解码过程中错误发生的条件；说明需要传输的所有静态动态参数的数据类型和语义；该类安全变换的全局唯一的标识符；在很多情况下，需要将两段协议数据安全地捆绑在一起例如，访问请求和访问控制证书或令牌的捆绑、用户数据和安全标签的捆绑。通过安全变换，加上表示数据值的嵌入，可实现这个目的。,表示数据值（抽象语法A）,表示数据值（抽象语法B）,嵌入,选择字段保护,应用协议设计者应该有办法指出哪些协议字段需要什么保护，如机密性、完整性、不可否认性。这些需求应在抽象语法说明中指出。本身不能用来说明安全需求，但它所提供的基本工具可以用来设计这样的标准安全表示法。目录认证服务框架表示法和通用安全表示法是两个有关安全表示法的标准。目录认证服务框架中有三个重要的结构：ENCRYPTED，SIGNED和SIGNATURE。结构的参数是待处理的值的ASN.1类型。它本身没有说明怎么具体处理，也不包括参数信息。使用它的抽象语法必须另外提供这些信息。ENCRYPTEDToBeEnciphered:=BITSTRING(CONSTRAINEDBY-mustbetheresultofapplyinganenciphermentproceduretotheBER-encodedoctetsofavalueofToBeEnciphered),ENCRYPTED结构,ENCRYPTED结构用于指出底层的ASN.1类型的值需要加密。例如，某抽象语法需要说明PDU里的某字段是PrintableString类型的，如它需要加密，则使用ENCRYPTEDPrintableString类型。,ToBeEnciphered类型的编码,应用ASN.1基本编码规则,加密,类型长度值,类型长度值,ToBeEnciphered类型的值,BITSTRING类型的编码,SIGNATURE结构,SIGNATUREOfSignature:=SEQUENCEAlgorithmIdentifier,ENCRYPTEDHASHEDOfSignature,类型长度值,OfSignature类型的编码,应用ASN.1可区分编码规则,Hash,类型长度值,类型长度值,OfSignature类型的值,OCTETSTRING类型的编码,加密,类型长度值,类型长度值,算法标识符的编码,BITSTRING类型的编码,SEQUENCE类型的编码,SIGNATURE结构用于生成其他ASN.1类型的值的数字签名，它首先进行Hash变换，再进行加密，并附上数字签名所用的算法标识符。SIGNED结构类似于SIGNATURE结构，差别在于SIGNED结构内部有要签名的消息本身。SIGNEDToBeSigned:=SEQUENCEToBeSigned,AlgorithmIdentifier,ENCRYPTEDHASHEDToBeSignedSIGNATURE结构和SIGNED结构存在潜在的弱点：当有多个签名算法供选择时，算法标识符和签名一起传输，而它却不受签名过程的保护。所以可有这样的攻击：把消息的明文替换掉，把算法标识符换成另外的算法，用这个算法可以生成同样的签名值。为抵抗这种攻击，可以把算法标识符和值一同签名。,通用高层安全表示法,作为通用安全变换概念的补充，GULS标准提出了新的表示法来制定选择的字段，它能充分利用安全变换和相关的说明工具的通用性。使用参数表示法，和目录标准不同的是，它没有限定具体的安全变换。GULS使用PROTECTED作为通用安全结构，它有两个参数：一个是基本类型（未保护），一个是保护标志。例如：PROTECTEDPrintableString,confidentiality第一个参数指出要保护的数据是PrintableString类型的，比如口令；第二个参数说明需要对它进行何种保护。保护措施的具体选择可以是多样的。,通用高层安全表示法,PROTECTED的参数表示法使它能适用于所有的这些场合。它可以替代目录标准中的ENCRYPTED等结构，产生等价的编码。PROTECTEDBaseType，encrypted和ENCRYPTEDBaseTypePROTECTED表示法还有一种变体，它允许调用它的传输语法传递一个限定参数（如算法标识符）给被调用的安全变换：PROTECTED-QBaseType，protectmapping,qualifierGULS标准了一些常用的保护映射，使用者既可以使用这些现成的映射，也可以开发新的保护映射。选择字段保护表示法可以组合使用，并可以相互嵌套。,应用协议的模块化设计,给定一个通用的协议处理模型,为设计出适用于为某个特定应用领域内中的系统，通常需要对模型进行向下推导。基于协议结构的特点，推导过程通常也需要在两个不同层次上进行。一个是消息级推导对消息域进行替换或附加处理，如加密或消息顺序的移动等，消除重复的消息域等。另一个是协议级推导增加某些协议组件，包括额外的某些协议流程和相关的消息、协议消息产生和验证等附加操作，并将这些组件与原协议进行合成。通过添加细节对软件行为作出显式的约束。消息级推导和协议级推导是相互关联的，为了实现某个安全性质，经常需要将这两种推导模式结合起来。,公平交换协议,电子商务交易具有传统商业交易的特征：等价交换；参与交换的主体之间互相不信任；交易同样有法律效力但，电子商务不可能以传统的“一手交钱，一手交货”的模式进行。公平交换协议，是以密码学为基础的应用层消息交换协议，其目的是在网络环境中提供电子商务所需的各种安全服务。安全、可靠、公平的电子支付协议是电子交易的基础。公平交换协议中，协议本身并没有对立面，主要考虑内部欺骗者安全目标，例如公平性（原子性）、可追究性、隐私性等。主要包括电子支付协议、签订合同协议和挂号信协议等,第三方,当协议出现异常时，如果一个交易方确信在这一时刻，另一方可能已经或可以通过第三方得到优势，则它向第三方发起子协议以确保自己的利益，消除自己可能处于的不利地位。第三方的参与度INLINEONLINEOFFLINE第三方角色交付仲裁支撑性角色认证、时戳,TTP,A,B,一般信道,可信信道,安全协议分析,安全协议本身相对较小且应用范围单一，但它们也可能存在复杂和可利用的缺陷。这一问题产生的根源在于：(1)安全目标本身的微妙性。(2)协议运行环境的复杂性。(3)攻击者模型的复杂性。(4)安全协议本身具有“高并发性”的特点。(5)公平交换协议的特殊性给定一个电子支付协议的流程，由于参与方和信道的自由决策，导致协议执行，尤其是多方交换协议的执行具有高度的不确定性。协议分析是评价一个协议是否满足所要求的安全需求的过程。评估一个协议的正确性可以从以下两个层面进行：（1）协议中的消息；（2）协议的通信过程。,ASW可转发数据项协议,协议包括一个正常情况下执行的包含四条消息的主协议、一个可执行的取消协议、两个恢复子协议。主协议的模式包括4个消息。在前两个消息中，O和R互相交换同意进行本次交换的承诺，在后两个消息进行实际的交换。如果某一方得不到所需要的消息，则终止主协议，并根据协议执行位置确定是否发起或发起哪一个子协议。在恢复子协议中，发起者将协议前两个消息的内容发送给TTP，TTP据此判断协议已正式开始，可通过发送所需要交换项的一个替代物使协议结果是成功的。异步网络环境不限制消息的延迟、响应速度、时钟偏移，更加符合实际情况。,ASW可转发数据项协议主协议,ASW可转发数据项协议恢复协议,认证性和机密性,认证性为了使协议免于外部非法用户的侵袭，并且可以抵抗重放攻击和会话交叉，信道必须具有认证性。机密性一个合法交易方也有可能通过观察和另一方通信时的信息得到所现有的交换项，并且随后中止交换协议。为了防止外部窃听，加密消息也是必要的，所以，最好所有的消息都要在加密信道上传输。现在，应用系统使用一个插件框架，为网络应用提供公钥加密、数字签名和第三方安全产品支持，确保符合现有的企业安全标准。,安全需求,有效性功能性需求：如果系统是可靠的且交易各方都是诚实的，交换各方都能得到预期的交换项。公平性即使上述条件不成立，对一个诚实交易方来说，如果有交易方得到了交换项，则他也可以得到。交易原子性：未接到物品不能进行支付，反过来一样现金的原子性：在传输过程中现金不能产生或损毁确保得到的物品与期望的一致。,公平性实现原则,任何一个交换项都有一个能够接收到它的正常路径理性在没有接收到设计所规定的所有消息之前，不能合成交换项非泄漏性协议消息设计不能使得不按规范执行协议者得到任何优势。一致性发消息的欺骗情况与信道的正常失败在逻辑上是不可分的，协议应保证这种情况下的公平性单调性交换程度越高，越接近成功目标可信赖性规定第三方是否响应及如何响应，记录欺骗者,公平性实现方法,公平交换中的承诺在进行实际的交换过程前，交易各方首先进行要互相交换和验证对方的承诺，承诺唯一、无二义性地表达了同意交换给对方的项，它被看作是数据项的拥有者保证其数据项能够被发送的保证。描述函数使用这一承诺作为证据，当某种异常出现时，第三方可以代替另一方使一个交易方达到功能性目标。公平性依赖于第三方的可信性，第三方必须有能力和相应的策略在合理时间内为交易方提供所需要的功能服务。即使第三方不能颁发与原始期望完全相符的交换项，第三方仍可对提起方颁发对后续实施具有相同价值的电子数据项。因此交换项可能不止一种形式。根据应用上下文等选择最适合的公平实现方式。,公平性实现方法,撤销：支付系统只能由获得相关授权的第三方进行，并且需要留下审计记录。替代物令牌：适于具有后续处理动作的“后支付”协议、合同实施等；预先留存：在交换开始前向第三方预先留存其交换品。在需要时，通过发起子协议可得到留存的交换品。转发重复发送交换物是无害的,时效性,电子商务交易的时间敏感性随着时间推移，电子数据项会有不同程度的贬值双方对交换项的敏感程度可能会不一样。$HOME/etc/Trsctbl：提供各个交易码所对应的后台服务程序名和超时时间时效性在协议任意时刻，诚实交易一方都可在一个已知的合理时限内通过发起子协议完成协议并确信它所得到的结果是公平的，即可以单边结束协议。时效性实现如果该交易方是诚实的，为保证时效性，第三方应能无需求助于任意的其他交易方就现有状态对它发起的请求进行应答。,时效性,通信模型的选择同步通信模型要求做出关于交易方信道质量的强假定条件，保证具有最小计算能力的实体能在所设定的时间间隔内完成一轮协议。时间限制参数很难正确选择。如果时间限制太短，发起者可能没有足够时间启动求助子协议，对发起者而言，就会破坏公平性，即便发起者是诚实的。类似的，如果时间限制太长，响应者可能不得不在不知情的情况下等待。更糟的是，如果响应者恰好在此时崩溃，以后它可能无法证明自己的行为正确。由于不同节点间存在着时钟偏移等问题，保持一个全局统一的同步时钟困难较大。在异步通信模型中，不必对时间参数选择（比如对消息延迟的限制），或者局部时钟之间的偏离做出假设。,可追究性,为了解决可能出现的争议或达到强公平性，协议需要达到可追究性目标。可追究性目标通常由非否认服务实现。非否认服务的目的是为某一特定事件的参与方提供证据，使他们对自己的行为负责。否认是电子交易中最主要的威胁之一，它包括：（1）否认拥有某个消息；（2）否认发送过某个消息；（3）否认接收到某个消息；（4）否认递交过某个消息；（5）否认在规定的时间内收到或发送消息，等等。因此，非否认服务应能提供相应的机制以对抗冒名、重放和会话交叉等相关的攻击。,可追究性,在电子支付协议上下文中，将可追究性需求归结为：1起源方非否认性需求交换项中的每个组件的起源是唯一的，无法由其他主体产生。交换物必须是具有某种熵意定的接受方不能通过猜测和有效计算自己产生该交换物。这样，起源方不能拒绝承认交换物中的某些瑕疵或错误或者声称它们是由别人添加上的。2抗重放攻击对于同一个这样的一种交换物，交易方可以与交易方或以外的其他交易方进行多次交换。由于交换物具有商品的属性，即有价性，而数字商品极易复制，因而应有防止复制的手段。例如，当银行进行电子转帐时，只进行数据认证是不够的，必须确保它不是以前转帐消息的重放。为此，需要增加一种新鲜性的概念，保证这一数据绑定于当前协议回合而不是重放的旧消息。,可追究性实现,时戳在开放式环境中，维护一个可信时钟源是困难的。如果在某一应用上下文中只要求时戳能够对时序性，即“某个串产生于之前”进行陈述，则可使用各个证据的时间排序属性来检验一个时戳是否合理。基于链接的时间测量方法可以用来实现上述相对时戳。其基本思想是使用随机数方法代替时钟源，使用哈西链和哈西函数的不可逆性，TA签名可以具有特殊的结构，使得TA签发的证据之间具有“同步”关系，即根据这些证据本身，可以唯一地确定它们产生的先后次序。Ansper等提出了容错链的新概念以提高协议的健壮性，降低基于链接的协议易于出错的主要弱点。证据产生后，证据要被传递到最终需要使用的一方或己方，和/或被第三方储存作为将来的参考。最后的阶段就是纠纷解决，它可能发生在与支付相同的