探秘移动安全系列文章其三：加密技术

编者按：移动支付在刚刚过去的春节掀起了2016中国互联网第一阵风潮，随之而来的是安全圈的一片质疑声。首先我们需要强调的是产品体验与安全机制是两个层面的问题。春节前夕，笔者发起了关于移动安全话题的讨论，从企业安全和用安全角度，移动设备本身带来的便捷性就是一把双刃剑，如果说移动设备和移动应用提供给开发者无数的机遇，那么也正意味着有更多的诸如后门之类的可乘之机开放给了攻击者。

探秘移动安全系列文章其三：移动支付

安全本身是一个悖论，针对移动安全笔者针对传统IT企业、互联网安全公司以及专业安全企业进行了采访。业内专家各抒己见，从不同层面阐释了移动安全的本质。飞天诚信从移动支付领域解读了加密技术与金融行业的耦合。

艾瑞咨询数据显示，2008-2012年，移动支付用户规模从0.86亿户增长到2.86亿 户，年均复合增长率达35.04%;移动支付交易规模从275亿元增长到1511亿元，年均复合增长率达到53.10%。预计到2017年，中国移动支付市场交易规模将突破2万亿元。

统计显示，用户在使用移动支付时，对资金安全问题的关注程度极高。高达56.8%的手机银行用户希望有更多的安全措施，对资金安全的担忧也导致移动支付进一步推广的阻力较大。然而，移动支付系统分类方式繁杂，技术手段迥异，对于分析移动支付系统的安全需求造成了障碍。因此，有必要建立统一的适用于移动支付的安全模型，并在此基础上对移动支付业务系统的安全要求进行分析。

与基于封闭专用网络的核心业务系统不同，电子银行必须抵御开放网络带来的病毒侵袭、黑客入侵、信息泄漏……等等各种安全风险。然而，开放网络等并不在银行控制范围之内，银行难以主动部署防控措施，也很难保证采取措施的效能，更难控制由此带来的风险及危害。基于这样的实际情况，从架构上将电子银行系统分为前端、通信网络、后端三部分。不同的前端、通信网络以及后端的组合形成了多种多样的电子银行业务渠道。典型的电子银行渠道包括网上银行渠道、手机银行渠道、电话银行渠道、自助终端渠道等等。在渠道架构中，前端部署和实施安全保障措施，后端进行校验鉴别，通信网络只负责传递数据，由此可规避开放网络带来的潜在风险以及控制风险的难度。除此之外，渠道之间相对独立，渠道与核心业务系统通过后端隔离开来。如果某个渠道发生安全事件关闭对应的后端，即可将该渠道从系统中“切除”，避免危及核心系统，同时不至于影响其他渠道。

金融IC 卡内置CPU芯片，可存储用户指纹、照片、身份证、密码等多种信息，具有独立运算、加解密和存储能力。金融行业标准JR/T 0025《中国金融集成电路(IC)卡规范》(以下简称《规范》)规定了金融IC卡与终端的接口、借记/贷记等金融业务应用的交易流程以及金融业务应用初始化等方面的要求。金融IC卡能够独立完成《规范》在报文及指令中融入的完整性校验、信源认证等安全措施所需的密码运算，并且为密钥、PIN码、运算过程等敏感信息和敏感行为提供足够的安全防护。因此，金融IC卡有条件承担除用户交互之外的支付前端子系统的行为。与此同时，可以将支付中心看作核心支付子系统，而将金融IC卡通过移动终端、支付设备进而与支付中心之间的通信作为通信网络处理。这意味着除了人机交互部分之外，可以不在移动终端部署额外的安全防护措施，金融IC卡基本能够保证近场支付的安全性。

具备交互功能、支持移动终端应用的智能密码钥匙，是保障远程移动支付系统安全性的重要组成部分。根据密码行业技术指南GM/Z 0001-2013《密码术语》的定义，智能密码钥匙是“实现密码运算、密钥管理功能，提供密码服务的终端密码设备，一般使用USB接口形态”。在远程移动支付系统中，移动设备承担了支付前端子系统的角色，负责根据与用户交互的结果生成支付指令。这与手机银行客户端的功能十分相似(在实际应用中，远程移动支付往往是通过手机银行完成的)。可以比照现有较为成熟的网上银行来评估其安全需求。金融行业标准JR/T 0068-2012《网上银行系统信息安全通用规范》规定“USB Key应能防劫持，具有屏幕显示或语音提示以及按键确认等确认功能，可对交易指令完整性进行校验、对交易指令合法性进行鉴别、对关键交易数据进行输入、确认和保护”。因此，远程移动支付系统也应当使用防劫持的智能密码钥匙来保障系统的安全。

本文转自d1net（转载）

密码学技术在网络信息安全中的应用与发展探析 伴随我国网络技术的大众化和社会化普及，计算机中的网络安全已经成为了能够影响网络效能的重点性问题，并且这代表在一定程度上为计算机网络的安全问题提出了更深层次的要求。网络中的安全信息系统应当充分保证在网络中传输的实际信息完整性与保密性，并且当前我国的信息发展过程中能够保证通信与网络安全的相关技术有很多种类型，其中对网络信息数据的加密技术就是能够保证网络信息安全的最核心技术措施，并且对网络信息的加密操作同时也是现代密码学的重要组成部分。在当前数据加密技术的发展过程中，存在两种加密体制，分别是传统密钥加密体制和公开密钥加密体制，其中后者对数据加密与数据签名两个发展方面应用广泛。
探秘身份认证利器——声纹识别！ 本届挑战赛的最大亮点之一就是声纹身份验证攻防。参赛者可以尝试用声音攻击一套声纹验证系统，通过设计攻击用的音频骗过声纹验证系统，让系统验证成功。
工程师的灵魂拷问：你的密钥安全吗？ 密钥管理是密码学应用的核心问题之一。任何涉及加密/签名的应用，无论算法本身机制多么安全，最终都会受到灵魂拷问：你密钥存在哪儿？本文实现了一种安全的密钥管理方案，基于安全多方计算技术，避免了客户端、服务器端内存中的密钥泄露风险，并已经在阿里集团内的密钥管理系统上线。
看见“信任”，可信计算史上最全解析 等保2.0将可信提升到一个新的强度。在等保一到四级都有可信的要求，主要在三个领域：计算环境可信、网络可信、接入可信。
干货！区块链入门、进阶、行业专家观点！1000篇好文帮你破解区块链密码！（中篇） 互联网时代已经深入整个世界，区块链问世时，人们感受到的是另一个全新时代脚步正在靠近，春节期间引发社区热点的“三点钟无眠区块链”给了2018年开场红，区块链正要迎来它的新元年。云栖社区特整理出1000篇关于区块链的文章分享给大家，从技术原理到应用实践，应有尽有。