Android应用内第三方支付协议的形式化分析
应用内第三方支付具有便捷实用的特点, 使得众多的移动应用选择嵌入第三方支付功能, 但其安全性缺乏系统全面的分析, 导致支付安全难以保证.为此, 对基于Android平台的五种第三方支付协议的协议流程、安全假设和安全目标进行形式化建模, 并采用ProVerif对协议进行分析, 分析结果表明, 协议在Android平台上的实现难以抵御订单篡改、订单替换和通知伪造等攻击; 其次, 在测试了210个采用应用内第三方支付的App后, 发现近13.8%的App均能被成功攻击; 最后, 为抵御上述攻击, 对第三方支付协议的实现提出了具体的建议....
Gespeichert in:
| Veröffentlicht in: | Journal of Cryptologic Research 2022-03, Vol.9 (1), p.113-125 |
|---|---|
| Hauptverfasser: | , , , , , , , |
| Format: | Artikel |
| Sprache: | chi |
| Schlagworte: | |
| Online-Zugang: | Volltext |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| container_end_page | 125 |
|---|---|
| container_issue | 1 |
| container_start_page | 113 |
| container_title | Journal of Cryptologic Research |
| container_volume | 9 |
| creator | LI, Hui Li-Yan, FAN Xue-Song, PAN Hao-Nan, FENG 李晖 范立岩 潘雪松 冯皓楠 |
| description | 应用内第三方支付具有便捷实用的特点, 使得众多的移动应用选择嵌入第三方支付功能, 但其安全性缺乏系统全面的分析, 导致支付安全难以保证.为此, 对基于Android平台的五种第三方支付协议的协议流程、安全假设和安全目标进行形式化建模, 并采用ProVerif对协议进行分析, 分析结果表明, 协议在Android平台上的实现难以抵御订单篡改、订单替换和通知伪造等攻击; 其次, 在测试了210个采用应用内第三方支付的App后, 发现近13.8%的App均能被成功攻击; 最后, 为抵御上述攻击, 对第三方支付协议的实现提出了具体的建议. |
| doi_str_mv | 10.13868/j.cnki.jcr.000507 |
| format | Article |
| fullrecord | <record><control><sourceid>wanfang_jour_proqu</sourceid><recordid>TN_cdi_proquest_journals_2900198498</recordid><sourceformat>XML</sourceformat><sourcesystem>PC</sourcesystem><wanfj_id>mmxb202201008</wanfj_id><sourcerecordid>mmxb202201008</sourcerecordid><originalsourceid>FETCH-LOGICAL-p1288-e15110cbd79eab7ea9ebe2c7c439a33a2ceeedde94f4064333b0b45723cf6d3</originalsourceid><addsrcrecordid>eNpFzbtKA0EYhuEpFAwxN2Arlrv-c9idmTIETxCw0D7MzM5KotmNuwa9AA0KSiyWIBYWVhYhth7vJpP1MgxEsPqah-9FaA2Dj6kIxWbHN8lx2--YzAeAAPgSqhCQ3GMYhyuoludtDUEQUkEYriBeT6IsbUfuoyiLFze4Ksfj6dvNbPQ-K16nnw_ubvgzmZSPl-772X0N3e3IXQ9mT_eraDlWJ7mt_W0VHWxvHTZ2veb-zl6j3vR6mAjhWRxgDEZHXFqluVXSaksMN4xKRakixlobRVaymEHIKKUaNAs4oSYOI1pFG4vXc5XEKjlqddJ-lsx7rW73QhMgBDCAmLv1hetl6Wnf5mf_kEgALAWTgv4ClmFljg</addsrcrecordid><sourcetype>Aggregation Database</sourcetype><iscdi>true</iscdi><recordtype>article</recordtype><pqid>2900198498</pqid></control><display><type>article</type><title>Android应用内第三方支付协议的形式化分析</title><source>ProQuest One Community College</source><source>ProQuest Central UK/Ireland</source><source>ProQuest Central</source><creator>LI, Hui ; Li-Yan, FAN ; Xue-Song, PAN ; Hao-Nan, FENG ; 李晖 ; 范立岩 ; 潘雪松 ; 冯皓楠</creator><creatorcontrib>LI, Hui ; Li-Yan, FAN ; Xue-Song, PAN ; Hao-Nan, FENG ; 李晖 ; 范立岩 ; 潘雪松 ; 冯皓楠</creatorcontrib><description>应用内第三方支付具有便捷实用的特点, 使得众多的移动应用选择嵌入第三方支付功能, 但其安全性缺乏系统全面的分析, 导致支付安全难以保证.为此, 对基于Android平台的五种第三方支付协议的协议流程、安全假设和安全目标进行形式化建模, 并采用ProVerif对协议进行分析, 分析结果表明, 协议在Android平台上的实现难以抵御订单篡改、订单替换和通知伪造等攻击; 其次, 在测试了210个采用应用内第三方支付的App后, 发现近13.8%的App均能被成功攻击; 最后, 为抵御上述攻击, 对第三方支付协议的实现提出了具体的建议.</description><identifier>ISSN: 2097-4116</identifier><identifier>ISSN: 2095-7025</identifier><identifier>DOI: 10.13868/j.cnki.jcr.000507</identifier><language>chi</language><publisher>Beijing: Chinese Association for Cryptologic Research, Journal of Cryptologic Research</publisher><subject>Applications programs ; Cybersecurity ; Mobile computing ; Protocol ; Third party</subject><ispartof>Journal of Cryptologic Research, 2022-03, Vol.9 (1), p.113-125</ispartof><rights>2022. This work is published under http://www.jcr.cacrnet.org.cn/EN/column/column4.shtml Notwithstanding the ProQuest Terms and Conditions, you may use this content in accordance with the terms of the License.</rights><rights>Copyright © Wanfang Data Co. Ltd. All Rights Reserved.</rights><woscitedreferencessubscribed>false</woscitedreferencessubscribed></display><links><openurl>$$Topenurl_article</openurl><openurlfulltext>$$Topenurlfull_article</openurlfulltext><thumbnail>$$Uhttp://www.wanfangdata.com.cn/images/PeriodicalImages/mmxb/mmxb.jpg</thumbnail><link.rule.ids>314,780,784,27924,27925,33744,64385,73129</link.rule.ids></links><search><creatorcontrib>LI, Hui</creatorcontrib><creatorcontrib>Li-Yan, FAN</creatorcontrib><creatorcontrib>Xue-Song, PAN</creatorcontrib><creatorcontrib>Hao-Nan, FENG</creatorcontrib><creatorcontrib>李晖</creatorcontrib><creatorcontrib>范立岩</creatorcontrib><creatorcontrib>潘雪松</creatorcontrib><creatorcontrib>冯皓楠</creatorcontrib><title>Android应用内第三方支付协议的形式化分析</title><title>Journal of Cryptologic Research</title><description>应用内第三方支付具有便捷实用的特点, 使得众多的移动应用选择嵌入第三方支付功能, 但其安全性缺乏系统全面的分析, 导致支付安全难以保证.为此, 对基于Android平台的五种第三方支付协议的协议流程、安全假设和安全目标进行形式化建模, 并采用ProVerif对协议进行分析, 分析结果表明, 协议在Android平台上的实现难以抵御订单篡改、订单替换和通知伪造等攻击; 其次, 在测试了210个采用应用内第三方支付的App后, 发现近13.8%的App均能被成功攻击; 最后, 为抵御上述攻击, 对第三方支付协议的实现提出了具体的建议.</description><subject>Applications programs</subject><subject>Cybersecurity</subject><subject>Mobile computing</subject><subject>Protocol</subject><subject>Third party</subject><issn>2097-4116</issn><issn>2095-7025</issn><fulltext>true</fulltext><rsrctype>article</rsrctype><creationdate>2022</creationdate><recordtype>article</recordtype><recordid>eNpFzbtKA0EYhuEpFAwxN2Arlrv-c9idmTIETxCw0D7MzM5KotmNuwa9AA0KSiyWIBYWVhYhth7vJpP1MgxEsPqah-9FaA2Dj6kIxWbHN8lx2--YzAeAAPgSqhCQ3GMYhyuoludtDUEQUkEYriBeT6IsbUfuoyiLFze4Ksfj6dvNbPQ-K16nnw_ubvgzmZSPl-772X0N3e3IXQ9mT_eraDlWJ7mt_W0VHWxvHTZ2veb-zl6j3vR6mAjhWRxgDEZHXFqluVXSaksMN4xKRakixlobRVaymEHIKKUaNAs4oSYOI1pFG4vXc5XEKjlqddJ-lsx7rW73QhMgBDCAmLv1hetl6Wnf5mf_kEgALAWTgv4ClmFljg</recordid><startdate>20220301</startdate><enddate>20220301</enddate><creator>LI, Hui</creator><creator>Li-Yan, FAN</creator><creator>Xue-Song, PAN</creator><creator>Hao-Nan, FENG</creator><creator>李晖</creator><creator>范立岩</creator><creator>潘雪松</creator><creator>冯皓楠</creator><general>Chinese Association for Cryptologic Research, Journal of Cryptologic Research</general><general>北京邮电大学 网络空间安全学院, 北京 100876</general><scope>JQ2</scope><scope>2B.</scope><scope>4A8</scope><scope>92I</scope><scope>93N</scope><scope>PSX</scope><scope>TCJ</scope></search><sort><creationdate>20220301</creationdate><title>Android应用内第三方支付协议的形式化分析</title><author>LI, Hui ; Li-Yan, FAN ; Xue-Song, PAN ; Hao-Nan, FENG ; 李晖 ; 范立岩 ; 潘雪松 ; 冯皓楠</author></sort><facets><frbrtype>5</frbrtype><frbrgroupid>cdi_FETCH-LOGICAL-p1288-e15110cbd79eab7ea9ebe2c7c439a33a2ceeedde94f4064333b0b45723cf6d3</frbrgroupid><rsrctype>articles</rsrctype><prefilter>articles</prefilter><language>chi</language><creationdate>2022</creationdate><topic>Applications programs</topic><topic>Cybersecurity</topic><topic>Mobile computing</topic><topic>Protocol</topic><topic>Third party</topic><toplevel>online_resources</toplevel><creatorcontrib>LI, Hui</creatorcontrib><creatorcontrib>Li-Yan, FAN</creatorcontrib><creatorcontrib>Xue-Song, PAN</creatorcontrib><creatorcontrib>Hao-Nan, FENG</creatorcontrib><creatorcontrib>李晖</creatorcontrib><creatorcontrib>范立岩</creatorcontrib><creatorcontrib>潘雪松</creatorcontrib><creatorcontrib>冯皓楠</creatorcontrib><collection>ProQuest Computer Science Collection</collection><collection>Wanfang Data Journals - Hong Kong</collection><collection>WANFANG Data Centre</collection><collection>Wanfang Data Journals</collection><collection>万方数据期刊 - 香港版</collection><collection>China Online Journals (COJ)</collection><collection>China Online Journals (COJ)</collection><jtitle>Journal of Cryptologic Research</jtitle></facets><delivery><delcategory>Remote Search Resource</delcategory><fulltext>fulltext</fulltext></delivery><addata><au>LI, Hui</au><au>Li-Yan, FAN</au><au>Xue-Song, PAN</au><au>Hao-Nan, FENG</au><au>李晖</au><au>范立岩</au><au>潘雪松</au><au>冯皓楠</au><format>journal</format><genre>article</genre><ristype>JOUR</ristype><atitle>Android应用内第三方支付协议的形式化分析</atitle><jtitle>Journal of Cryptologic Research</jtitle><date>2022-03-01</date><risdate>2022</risdate><volume>9</volume><issue>1</issue><spage>113</spage><epage>125</epage><pages>113-125</pages><issn>2097-4116</issn><issn>2095-7025</issn><abstract>应用内第三方支付具有便捷实用的特点, 使得众多的移动应用选择嵌入第三方支付功能, 但其安全性缺乏系统全面的分析, 导致支付安全难以保证.为此, 对基于Android平台的五种第三方支付协议的协议流程、安全假设和安全目标进行形式化建模, 并采用ProVerif对协议进行分析, 分析结果表明, 协议在Android平台上的实现难以抵御订单篡改、订单替换和通知伪造等攻击; 其次, 在测试了210个采用应用内第三方支付的App后, 发现近13.8%的App均能被成功攻击; 最后, 为抵御上述攻击, 对第三方支付协议的实现提出了具体的建议.</abstract><cop>Beijing</cop><pub>Chinese Association for Cryptologic Research, Journal of Cryptologic Research</pub><doi>10.13868/j.cnki.jcr.000507</doi><tpages>13</tpages></addata></record> |
| fulltext | fulltext |
| identifier | ISSN: 2097-4116 |
| ispartof | Journal of Cryptologic Research, 2022-03, Vol.9 (1), p.113-125 |
| issn | 2097-4116 2095-7025 |
| language | chi |
| recordid | cdi_proquest_journals_2900198498 |
| source | ProQuest One Community College; ProQuest Central UK/Ireland; ProQuest Central |
| subjects | Applications programs Cybersecurity Mobile computing Protocol Third party |
| title | Android应用内第三方支付协议的形式化分析 |
| url | https://sfx.bib-bvb.de/sfx_tum?ctx_ver=Z39.88-2004&ctx_enc=info:ofi/enc:UTF-8&ctx_tim=2025-01-02T02%3A27%3A17IST&url_ver=Z39.88-2004&url_ctx_fmt=infofi/fmt:kev:mtx:ctx&rfr_id=info:sid/primo.exlibrisgroup.com:primo3-Article-wanfang_jour_proqu&rft_val_fmt=info:ofi/fmt:kev:mtx:journal&rft.genre=article&rft.atitle=Android%E5%BA%94%E7%94%A8%E5%86%85%E7%AC%AC%E4%B8%89%E6%96%B9%E6%94%AF%E4%BB%98%E5%8D%8F%E8%AE%AE%E7%9A%84%E5%BD%A2%E5%BC%8F%E5%8C%96%E5%88%86%E6%9E%90&rft.jtitle=Journal%20of%20Cryptologic%20Research&rft.au=LI,%20Hui&rft.date=2022-03-01&rft.volume=9&rft.issue=1&rft.spage=113&rft.epage=125&rft.pages=113-125&rft.issn=2097-4116&rft_id=info:doi/10.13868/j.cnki.jcr.000507&rft_dat=%3Cwanfang_jour_proqu%3Emmxb202201008%3C/wanfang_jour_proqu%3E%3Curl%3E%3C/url%3E&disable_directlink=true&sfx.directlink=off&sfx.report_link=0&rft_id=info:oai/&rft_pqid=2900198498&rft_id=info:pmid/&rft_wanfj_id=mmxb202201008&rfr_iscdi=true |