大河之犬的博客

SIM 卡加密密钥是移动通信的重要组成部分，是保障通信安全的基础之一。该密钥在生产过程中由 SIM 卡制造商刻入 SIM 卡，并提供给网络运营商有了目标手机的加密密钥，攻击者将更容易实现伪基站与目标手机的认证连接，特别是在安全性更高的 3G、4G 网络中。拥有了加密密钥将更容易破解通信加密，还原出明文通信内容。

清分是根据交易的终态结果，对商户、用户和支付通道进行手续费计算、账单和到账款项金额的核对。结算是根据清分的数据，用与商户、用户、支付通道等约定的结算方式、结算周期进行资金的划拨。清分与结算合称清结算。

重试服务是指对于支付交易失败，分析并返回失败原因，根据返回原因重新组织支付要素，上送给交易通道的处理机制1、问题一：通道限额问题假设招商银行信用卡这个支付品牌有A、B两个通道可用，其中较优的通道是A通道上面提到某公司行政人员使用招商银行信用卡进行支付，该卡在银行未设置限额。该用户在A通道发起支付，触发单日限额，交易失败，原本应告知用户更换银行卡进行支付。但是在A通道单日限额超限，并不代表在B通道单日限额超限。

支付路由系统是支付核心系统，对商户支付页面进行管理与输出、根据商户需求及通道特性基础对交易进行处理，并在此基础上对支付中的异常情况进行支付灾备处理路由系统在满足用户支付交易需求的前提下，从下单到支付，进行了多处细节及系统处理，是一种以提升用户需求体验满意度、支付成功率、收益率指标和支付安全度为目的，实现效益最大化的收益管理机制路由系统的机制主要通过引导路由和交易路由运作。引导路由用来决定用户看得到的，每个商户展示哪些支付品牌以及这些支付品牌的排序；交易路由用来决定用户看不到的，每笔交易走什么支付通道。

支付业务许可证》的业务类型包括互联网支付收单、移动电话支付收单、预付卡发行与受理收单、银行卡收单、固定电话支付收单、数字电视支付等。国内外都涌现了很多优秀的第三方支付公司，国外有PayPal、Adyen，国内有支付宝、连连支付、钱海等。汇入行与客户之间进行资金处理和费用受理、客户信息和反洗钱信息提交，与汇率转换机构进行换汇，包括协助客户与汇入行进行转账交易的查询和争议处理。客户与汇出行之间进行的事项有资金处理和费用受理、验证客户信息和反洗钱信息提交、与汇率转换机构进行换汇，以及交易查询和争议处理。

支付能力既包括交易类型，比如同样一张卡有消费、预授权、代扣、代付、鉴权等不同的交易能力，又包括产品特性，比如有的卡不需要CVV，不需要银行发短信验证码，可以免密或免Token进行支付，有的则不能免密。如果信息不正确，则扣款失败。支付方式有信用卡支付、借记卡支付、网银支付、账户支付等，这些方式可以归为两类：卡基和账基；要特别注意支付方式与支付产品的区别，比如信用卡支付这样的支付方式，由于通道特性不一样，有了信用卡非免密支付产品和信用卡免密支付产品，两者虽然支持的支付方式都是信用卡，但却是两个不同的支付产品。

有卡基支付，比如银行卡、预付卡；当然，分类还有很多其他维度，比如根据物理载体分为纸质的和电子的，根据发起方分为收款工具和出款工具，根据距离和介质分为非移动支付和移动支付，等等，目前最为广泛的支付方式就是。就像老王和老李之间做生意，老王卖了老李6000元钱的货，老李卖了老王5000元钱的货，两人一算，6000减去5000等于1000，老李直接给老王1000元就行。人力的增长赶不上业务的增长，系统从最初的手工拉取账单变成系统自动生成系统，从每月对账变成每日对账，开始有了各种各样的系统来处理账单，比如。

加密还需要对许多不同类型的数据进行操作，包括用户生成的数据和机器生成的数据。数据存储控制可以使用签名消息摘要为每个数字文件或记录提供加密标识符，也可使用称为安全不受信任数据存储库的技术检测恶意服务器代理进行的未经授权的文件修改。在训练阶段，对数据进行审查和清洗，排除恶意注入或不良数据的影响。设立合适的访问控制措施，限制对大语言模型的访问权限，只允许经过授权的用户或系统访问、修改或使用模型。引入透明度和可解释性技术，使模型的预测和决策过程更加可理解和可审查，有助于检测潜在的安全问题。

这类攻击对目标模型和数据的威胁较大，因为攻击者不需要训练目标模型所需的金钱、时间、脑力劳动的开销，却能够得到一个原本花费了大量的时间、金钱、人力、算力才能得到的模型。但是攻击者可能会窃取其某一部分的能力，例如窃取的模型在关于某个垂直行业领域的知识上能够与大语言模型的能力相一致，就可以免费使用大语言模型的能力。恶意样本可能经过预处理后，改变数据分布，使模型在之后的训练中偏向错误的特征或类别，即便是看似“正常”的数据，攻击者通过微小的调整，也能使模型的特征空间发生偏移，从而导致模型的行为偏差。

对抗攻击通过对输入数据增加一些不易受到人类感知的扰动，使得模型在输入数据上产生错误的输出结果，从而干扰或破坏模型的性能和可靠性。数据投毒等攻击手段需要攻击者控制训练集等，而对抗攻击仅需针对模型生成特定扰动对抗攻击的核心思想是通过对输入数据进行微小的扰动，使其几乎无法被人眼察觉，但会对模型的预测结果产生显著影响。这些微小的扰动包括添加、删除或修改输入数据中的一些特征。例如，在图像分类任务中，对抗攻击者可以通过微调像素值或添加噪声，使图像看起来与原始图像几乎没有差异，但却能使模型将其错误分类。

为了保证模型的完整性，我们需要采取一系列防御措施，比如引入对抗样本来提高模型的鲁棒性（即对抗训练），引入模型监测和审计机制来及时发现并应对模型中的潜在安全问题。在构建大语言模型的过程中，需要大量的数据用于训练和优化模型，然而，这些数据可能包含用户的个人信息、商业机密等敏感数据。在应对可能的伦理挑战，如偏见、隐私侵犯和社会分裂时，我们应该采取什么样的措施？当前，人工智能利用服务过程中的用户数据进行优化训练的情况较为普遍，但可能涉及在用户不知情的情况下收集个人信息、个人隐私、商业秘密等，安全风险较为突出。

黑产别的App上低价充值（比如1元）换取苹果真实凭证，再在目标App上下单高价（648元）商品，传入该凭证，如果目标App服务端苹果凭证校验接口存在漏洞，只校验了凭证中商品和订单信息，未校验凭证中App来源（bundleID），则会验证通过，进而发货对黑产来说，黑产实际只支付了1元，就能买到目标App的648元商品；对于目标App来说，他连这1元都没得到（因为是在别的App上充的），完全被白嫖648元商品。可谓伤害极大。

防篡改与防抵赖一般也称为数据的完整性和真实性验证问题，通常使用签名验签技术解决签名：发送者将数据通过特定算法和密钥转换成一串唯一的密文串，也称之为数字签名，和报文信息一起发给接收方。验签：接收者根据接收的数据、数字签名进行验证，确认数据的完整性，以证明数据未被篡改，且确实来自声称的发送方。如果验签成功，就可以确信数据是完好且合法的。身份验证：确认支付信息是由真正的发送方发出，防止冒名顶替完整性校验：确认支付信息在传输过程中未被篡改，每一笔交易都是完整、准确的。

用户在刷卡前后，保证卡片不离开自己的视线，当发现自己的卡片被收款人员异常操作时，立即停止刷卡。刷完卡后，保证卡片会立即归还给自己，防止卡落入攻击者手中。

物理攻击、网络攻击和社会工程学攻击物理攻击是指通过物理接触方式对感知设备本身进行攻击（例如 IC 卡、射频卡等），包括但不限于卡号篡改、卡号覆盖、卡号复制、扇区密码破解、扇区数据未加密等。对于日常生活中常见的交易支付卡片主要有两种，低频 ID 卡和高频IC 卡，它们按照各自特性分别应用在我们日常生活中的方方面面。例如我们日常使用的水卡、电卡、饭卡、银行卡、燃气卡等等。对 ID 卡主要攻击方式为卡复制，对 IC 卡的攻击方式主要有卡数据嗅探、卡数据重放、卡复制、卡数据破解与篡改。

电子支付通用支付流程一般涉及四个主体：消费者、商家、金融机构以及移动运营商。电子支付的具体原理根据不同的支付方式有所不同，电子支付一般可以分为线下支付与线上支付。线下支付主要使用的通信技术有 RFID、NFC、蓝牙。线上支付一般通过短信、邮件、移动网络等完成。

以目前应用最为广泛的线上电子支付技术为例，用户完成支付之前，需要借助 PKI（全称：Public Key Infrastructure，公钥基础设施）来和金融机构的服务接口建立一个经过 CA（全称：Certificate Authority,权威证书签发机构）认证身份的安全连接。但由于缺少实体卡的认证保护，付款者必须输入信用卡安全信息来证明自己持卡人的身份。针对身份认证问题，Mastercard，Visa 等卡组织推出了 3D Secure 协议，而第三方支付平台则会使用自己的身份认证协议。

正则表达式拒绝服务（ReDoS）是指利用正则表达式在处理特定恶意输入时所表现出来的极端性能问题，导致系统长时间挂起或无法响应。这种攻击的核心问题在于某些复杂或不当设计的正则表达式，会在处理大量输入数据时，尤其是当输入匹配失败时，消耗大量的处理时间和计算资源NFA与确定性有限自动机 (DFA) 都用于识别特定语言中的字符串，但 NFA 允许在每个状态下进行多条可能的路径选择，逐一尝试所有可能的路径（如果需要），直到找到匹配项，而 DFA 每个状态只能有唯一的下一步^(a+)+$

短网址服务可以提供一个非常短小的URL以代替原来的可能较长的URL，将长的URL地址缩短。用户访问缩短后的URL时，通常将会重定向到原来的URL。短网址服务主要起源于一些具有字数限制的微博客服务，但是现在广泛用于短信、邮件等。短网址服务的基本流程：用户将长网址提交到短网址服务中，之后短网址服务经过URL处理之后，利用转换算法对长网址进行转换，最后分别将长网址和短网址存储到数据库之中。部分短网址服务为了防止出现对短地址进行连续转化或者提供一些展示长网址TITLE的功能，所以会对长网址进行访问。