移动网络安全

1名词解释

撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

或信用卡详细信息）的一种攻击方式。

密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的数据。密钥分为两种：对称密钥与非对称密钥

对称密码算法有时又叫传统密码算法，就是加密密钥能够从解密密钥中推算出来，反过来也成立。在大多数对称算法中，加密解密密钥是相同的。这些算法也叫秘密密钥算法或单密钥算法

非对称密钥算法是指一个加密算法的加密密钥和解密密钥是不一样的，或者说不能由其中一个密钥推导出另一个密钥

如果用其中一个密钥加密数据，则只有对应的那个密钥才可以解密。

如果用其中一个密钥可以进行解密数据，则该数据必然是对应的那个密钥进行的加密。

加密中的情况：一般来说公钥是用来加密的~私钥是用来解密的

（身份认证中的情况一般私钥进行加密，公钥进行解密，确认身份的真实性）私钥是保密的,就是用在服务器端~而公钥则是公开的，一般在客户端。

（公钥在客户端，私钥在服务器端）

一般来说，算法是公开的，而密钥是不公开的

密码是你在进入系统前需要输入的一个安全码，即你自己设置的密码。密钥，是产品的内嵌的一种认证码。比如安装系统的时候需要序列号，只有输入正确的序列号（密钥）才能安装。

密码机是一种在密钥作用下，实现明-密变换或者密-明变换的装置。

私钥一般情况都是由证书持有者在自己本地生成的，由证书持有者自己负责保管。

HEC支付（HEC云支付）

“云闪付”以智能手机为基础，是基于NFC的HCE和Token技术的一种支付方式。目前，首批发布“云闪付”的商业银行已超过20家，包括工商银行、农业银行、中国银行、建设银行、交通银行、邮储银行、招商银行等（HCE云支付的流程1、线上绑定：在手机银行里将云支付产品与银行卡绑定；

2、线下消费：只需要打开手机NFC功能点亮手机屏幕，将手机靠近POS机（带有银联闪付QuickPass）轻轻一挥，“嘀”的一声即可完成支付。

只需一部具备NFC功能的手机、操作系统为安卓4.4.2以上版本，持卡人就可直接在手机银行APP中生成一张银联卡的“替身卡”，即“云闪付卡”，可在线下具有银联“闪付”标识的联机POS机上刷手机付款。最后，在超市、商场收银台具有银联“闪付”标识的pos机前，收银员输入支付额度后，消费者只需点亮手机并轻轻放置在POS机附近，在“滴”的一声后输入密码，就完成了整个支付过程。) HCE(Host-based Card Emulation)，即基于主机的卡模拟

在一部配备NFC功能的手机实现卡模拟，目前有两种方式：一种是基于硬件的，称为虚拟卡模式(Virtual Card Mode);一种是基于软件的，被称为主机卡模式(Host Card Mode[1] )。

在虚拟卡模式下，需要提供安全模块SE(Secure Elemen)，SE提供对敏感信息的安全存储和对交易事务提供一个安全的执行环境。NFC芯片作为非接触通讯前端，将从外部读写器接收到的命令转发到SE，然后由SE处理，并通过NFC 控制器回复。

在主机卡模式下，不需要提供SE，而是由在手机中运行的一个应用或云端的服务器完成SE的功能，此时NFC芯片接收到的数据由操作系统或发送至手机中的应用，或通过移动网络发送至云端的服务器来完成交互。两种方式的特点都是绕过了手机内置的SE的限制。这一标准的妙处在于，它不需要整个行业为了控制安全元件而争斗。

使用基于主机的卡模拟时(HCE)，NFC 控制器从外部读写终端接收到的数据将直接被发送到主机系统上，而不是安全模块。

Root是针对安卓系统的，越狱是针对IOS系统而言的，相当于安卓系统下的root

IMIS是SIM卡背面的号码是SIM卡的电子串号，也叫IMSI号码，这个号码是全球唯一的，是国际电联分配给每个运营商的，电话号码和IMSI没有任何关系，当开通服务时电话号码和IMSI号码在交换机上做绑定，这样你的SIM卡就可以用了。

TMSI：临时移动用户识别码，它是IMSI的临时“代表”，出于IMSI的安全考虑，为尽量避免在空中接口传递IMSI，由VLR给用户分配的，TMSI在当前VLR中是唯一的。

VLR（Visitor Location Register），中文含义为拜访位置寄存器，它是一个动态数据库，存储所管辖区域中MS（统称拜访客户）的来话、去话呼叫所需检索的信息以及用户签约业务和附加业务的信息，例如客户的号码，所处位置区域的识别，向客户提供的服务等参数。

IMEI(International Mobile Equipment Identity)是国际移动设备身份码的缩写，国际移动装备辨识码，是由15位数字组成的"电子串号"，它与每台手机一一对应，而且该码是全世界唯一的。每一只手机在组装完成后都将被赋予一个全球唯一的一组号码，这个号码从生产到交付使用都将被制造生产的厂商所记录。

CA是电子商务认证授权机构

PKI（Public Key Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台

一个典型、完整、有效的PKI 应用系统至少应具有以下五个部分：

权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）

数字签名（又叫公钥数字签名）保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

身份认证有：数字证书认证、令牌认证、短信认证、生物特征认证

密码的组成：算法、密钥和协议。

现行的密码算法主要包括序列密码、分组密码、公钥密码、散列函数等，用于保证信息的安全，提供鉴别、完整性、抗抵赖等服务。

O2O即Online To Offline（在线离线/线上到线下），是指将线下的商务机会与互联网结合，让互联网成为线下交易的平台。

SCP保护机制是安全插件自身的保护机制。（SCP是一种协议，Session Control Protocol -- 会话控制协议）

多因素中的验证码是SOTP认证系统服务器端返回的挑战值。

”拖库“是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为

在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这通常也被称作“洗库”

黑客将得到的数据在其它网站上进行尝试登陆，叫做”撞库“，因为很多用户喜欢使用统一的用户名密码，”撞库“也可以使黑客收获颇丰。

“伪基站”即假基站，设备一般由主机和笔记本电脑组成，通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息，通过伪装成运营商的基站，冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

Token技术在计算机身份认证中是令牌（临时）的意思

sToken即卡号标识化技术。