Summary of Mobile Payment Security Technology

Abstract

Abstract: The popularization of mobile payment has brought convenience yet risks to users information and wealth. In recent years, more and more security technologies in this field have been proposed and applied with the deepening of research. In this article, we introduce PDRR model namely a theory of protection, detection, response and recovery, involving patching of hardware and software, active sniffing of latent threat and proper management toward sudden attack and disasters, which supports the security of mobile payment and gives instruction across the board. Besides, we also review major achievements and research directions in this field including security chip, application security, identity authentication with hardware and biological features, magnet secure transmission as a state of art technology and wireless public key infrastructure, etc. Finally，we also talk about big data and block chain which may add to security in the future. As for the technology of big data, it can be applied for net flow analysis which can be used to defend against advanced persistent threat, while block chain is considered to be a brand framework of mobile payment in the future.

Key words: mobile payment, PDRR model, terminal device, software security, intrusion detection

摘要： 移动支付的普及增加了人们交易的便利性，却同时给用户的信息和财产带来更多风险.近年来随着研究的深入，该领域越来越多的安全技术被提出和应用，介绍了支撑移动支付安全的PDRR模型，包括保护、检测、响应、恢复4个流程，涉及对软硬件的漏洞防护、对威胁的主动嗅探、对攻击和灾害的处理和恢复等方面，为移动支付安全带来全面的策略性指导.除此之外，梳理了几年来主要的安全技术研究成果和研究方向，包括终端设备的安全芯片、应用程序安全、硬件身份认证技术、生物身份认证技术、磁信号传输技术、无线公钥基础设施等.最后讨论了大数据技术在网络流分析、应对高级持续威胁方面的应用，以及区块链作为未来移动支付新体系的前景.

关键词: 移动支付, PDRR模型, 终端设备, 软件安全, 入侵检测

夏航宇薛聪郭晓博穆楠. 移动支付安全技术研究综述[J]. 信息安全研究, 2019, 5(10): 944-952.

References

[1] 宋星. 移动支付全球排名：微信支付有6亿用户排第一，支付宝第二[EB/OL]. http://www.techweb.com.cn/world/2018-11-28/2714370.shtml, [2018-11-28] [2] 田希颖. 我国移动支付安全模式研究[D]. 武汉：华中科技大学，2015 [3] 赵云辉，张慧琳，佟秋利. 国内外主流移动支付技术特性及应用场景研究[J]. 网络空间安全，2018，9（3）：47-52 [4] 刘磊. 安全技术在移动支付中的应用[J]. 硅谷，2012，8：15-16 [5] 焦汉明. 移动支付需要安全的支付生态环境[J]. 信息与电脑,，2014，5：73-75 [6] 戚奇平. 电子商务环境下移动支付问题与优化策略探析[J]. 电子技术与软件工程，2016，6：234 [7] 袁琦. 移动支付技术方案与标准进展[J]. 信息通信技术，2012，12：34-39 [8] Tomi D , Jie G , Jan O. A critical review of mobile payment research[J]. Electronic Commerce Research and Applications, 2015, 14:265–284. [9] Wang Yong, Christen H , Kruttika S. Mobile payment security, threats, and challenges[C]//Second International Conference on Mobile and Secure Services. Gainesville, FL, USA,2016. [10] 廖愉平. 我国互联网金融发展及其风险监管研究——以 P2P 平台、余额宝、第三方支付为例[J]. 经济与管理,2015,29(2):51-57 [11] 梁庆伟. 移动支付安全策略及技术研究[J]. 信息通信, 2015,149:247 [12] 曹步荣. 移动支付安全威胁分析及解决办法[J]. 金融科技时代, 2015, 12:48-49 [13] 杨沛儒. 移动支付安全保障技术体系研究[J]. 数字通信世界, 2017,12:132 [14] 王刚. 移动支付安全性分析及技术保障[J]. 电子技术与软件工程, 2017,10:202 [15] 王丽娜，谈诚，陈栋, 等. Adroid系统移动支付保护方案与实现[J]. 武汉大学学报, 2016, 49(3):452-457 [16] Ghada A, Jean-François L, Jacques T, et al. A practical set-membership proof for privacy-preserving NFC mobile ticketing[EB/OL].https://arxiv.org/pdf/1505.03048.pdf[2015-05-12]. [17] Amal S, Sugata S. Review of considerations for mobile device based secure access to financial services and risk handling strategy for CIOs, CISOs and CTOs.[EB/OL] https://arxiv.org/abs/1502.00724[2015-02-03] [18] 黄淇欣. 拉响POS机病毒新警报[J]. 金融科技时代, 2015,8:43-44 [19] Nour-El M, Guy P. Security enhancements in EMV protocol for NFC mobile payment[C]. 2016 IEEE TrustCom-BigDataSE-ISPA.Tianjin, China,2016 [20] 赵杰. 多维度构建移动支付安全体系[J]. 通化师范学院学报, 2018, 39(6):60-64 [21] Amal S, Sugata S. Applicability of DUKPT key management scheme to cloud wallet and other mobile payments. [EB/OL]. https://arxiv.org/abs/1412.2463[2014-12-08] [22] Dea-Saka-Kurnia P, Mohamad-Ali S, Susila W. S-Mbank: Secure Mobile Banking Authentication Scheme Using Signcryption, Pair Based Text Authentication, and Contactless Smartcard[EB/OL]. https://arxiv.org/abs/1809.05238[2018-09-14] [23] 百度百科. PDRR [EB/OL]. https://baike.baidu.com/item/pdrr/ 10030031?fr=aladdin[2019-01-01] [24] 李尧. 从 PDR 模型的发展过程看信息安全管理[J]. 电子产品可靠性与环境试验, 2012, 30(4):35-37 [25] 王小敏. 网络安全模型及其优化[J]. 软件导刊, 2015, 14(11):162-164 [26] 李宏达.移动支付技术风险[D].上海：上海交通大学，2013 [27] 赵建平. PDR模型在银行信息系统安全中的应用[J].华北金融, 2004,9:44-46 [28] 赵杰. 多维度构建移动支付安全体系[J]. 通化师范学院学报, 2018, 39(6):60-64 [29] 唐志. 网友一夜之间“一无所有” 支付宝回应：先补偿损失资金[EB/OL]. http://news.mydrivers.com/1/589/589410.html[2018-08-04] [30] 冯登国，秦宇，汪丹，等. 可信计算技术研究[J]. 计算机研究与发展, 2011,48(4) :1332-1349 [31] 佚名. 恩智浦 NFC 与安全芯片支持联想 Z5 Pro实现移动安全支付[J]. 电源世界, 2018,11:4-5 [32] 杨羽琛. 面向移动支付的安全单元访问规则方法的研究与实现[D].成都：电子科技大学，2015 [33] 周小军，王凌强，郭玉霞，等. 基于生物特征识别的身份认证及相关安全问题研究[J].工业仪表与自动化装置, 2018,4:16-20 [34] Sankalp Bagaria. Aadhaar-based unified payment solution.[EB/OL] https://arxiv.org/abs/1511.04158[2015-11-13] [35] 崔文涛，唐宾徽. 银行网银U盾的安全调查[J]. 计算机产品与流通, 2018,7:250 [36] 张明，张力，廖丹. 基于支付标记化技术的移动支付安全方案[J]. 中国新通信, 2018,11:127-128 [37] 韩景灵，张秀英. 基于 WPKI 技术的安全移动支付系统研究[J]. 计算机技术与发展, 2014,24(6):156-165 [38] 张永，杨学. 大数据环境下复杂网络入侵数据智能检测平台设计[EB/OL].http://kns.cnki.net/kcms/detail/61.1224.tn.20190220.1719.074.html [39] 王月领. 基于大数据和人工智能的企业内网安全检测方法分析[J]. 信息技术与信息化, 2018, 8:112-114 [40] 沈宸宇，殷美. 基于人工智能的人脸识别技术在支付场景下的应用及隐患思考[J]. 科技创新导报, 2018, 2:155-156. [41] 周之顺. 基于BP神经网络的移动支付风险评价研究[J]. 电子世界, 2019, 2:28-29 [42] 佚名. 关于区块链技术改变移动支付的八种方式[J]. 金卡工程, 2016, 4:50-57 [43] Hu Yuning, Ahsan M, Parinya E, et al. A delay-tolerant payment scheme based on the Ethereum blockchain[EB/OL]. https://arxiv.org/abs/1801.10295[2018-01-01] [44] 佚名. 英特尔承认:近年来所售PC芯片几乎全部存在安全缺陷[J]. 世界电子元器件, 2017, 11: 4-5 [45] 武传坤. 三网融合下的信息安全问题[J]. 中国科学院院刊, 2011,26(3): 316 – 322.