2020—2021—1学期20202418于宗源《网络空间安全导论》第十三周学习总结
6.1 应用安全概述
在各类应用服务系统中,身份认证是保障应用安全的基础,其不仅仅包括传统的人的身份认证,设备、软件等网络实
体都需要身份认证和可信管理。不同场景、不同约束条件下需要采用多种多样的身份认证方式。
6.2 身份认证与信任管理
6.2.1 身份认证的主要方法
1.用户名/口令
2.动态口令/一次性口令
是变化的密码,源于产生密码的运算因子是变化的
基于时间同步
基于事件同步
短信验证码
3.挑战应答认证
4.基于生物特征和物性特征
5.图灵测试
6.多因子认证
6.2.2 公钥基础设施
公钥基础设施是支撑公钥应用的一系列安全服务的集合。
任何一个使用证书的第三方验证证书有效性的时候,要执行以下验证操作:
证书颁发机构是否是其信任的机构
证书是否在有效期内
证书是否在证书撤销列表中
证书的数字签名是否有效
6.2.3身份认证的主流标准
1.RADIUS
用户向NAS发起PPP认证协议
NAS提示用户输入用户名和口令(如果使用口令认证协议PPP)或者挑战(如果使用挑战握手认证协议CHAP)
用户回复
RADIUS客户端向RADIUS服务端发送用户名和加密的口令
RADIUS返回Accept、Reject或者Challenge
RADIUS客户端按照Accept、Reject附带的业务和业务参数执行相关的操作
2.在线快速身份认证
(1)简介
(2)通用身份认证框架
(3)通用第二因子认证协议
3.联盟身份管理
如果要向第三方应用提供受限制资源的访问,资源所有者必须和第三方共享其身份证明,这会带来一些问题:
第三方应用需要存储资源所有者的身份证明,比较典型的是口令的明文
服务器要支持口令认证,即使我们已经知道口令存在内在的脆弱性
第三方应用获得了过多的受保护资源的访问权限,而资源所有者没有任何能力限制其只在有限时间内访问部分资源
资源所有者如果不撤销所有第三方的访问就不能撤销单个第三方的访问,而且必须通过修改第三方的口令来实现
6.2.4 访问控制模型
1.自主访问控制和强制访问控制
2.基于角色的访问控制
6.2.5 零信任模型
核心:网络边界内外的任何东西,在未认证前都不允以信任。
6.3 隐私保护
6.3.1 隐私的定义
本书将隐私界定为:隐私是指个体的敏感信息,群体或组织的敏感信息可以表示为个体的公共敏感信息。因此可以将
信息分为公开信息、秘密信息、隐私信息三类。对组织而言,信息包括公开信息和秘密信息。对个人而言,信息包括公
开信息和隐私信息。
隐私保护采用的方法主要可以分为两类即基于数据扰乱的方法和基于密码的方法。
数据扰乱是当前最常用的隐私保护技术之一。
6.3.2 k匿名
6.3.3 差分隐私
差分隐私是一种基于统计学的技术,主要应用于对一个数据集计算统计量的时候,保护用户隐私。其目的当对数据进
行统计查询计算时,不能通过多次不同的查询方式推断出数据集中是否包含一 个特定个体的数据。从数学上说,从
数据集中去掉(或替换)任何一个个体的数据之后得到一个 相邻数据集,差分隐私保护算法使得对这两个数据集计算
统计量得到相同结果的概率几乎是一样的。
6.3.4 隐私计算
隐私计算是面向隐私信息全生命周期保护的计算理论和方法。具体是指在处理视频、音频、图像图形、文字数值泛在网
络行为信息流等信息时.,对所涉及的随私信息进行场述度量、评价和融合等操作形成套符号化 公式化目具有吡化评
价标准的隐私计算理论、算法及应用技术,支持多系统融合的隐私信息保护。
隐私计算涵盖了信息所有者信息转发者信息接收者在信息采集存储 .处理 发布(含交换)、销毁等全生命周期过程的
所有计算操作.是隐私信息的所有权管理权和使用权分离时隐私信息描述度量、保护、效果评估、延伸控制、隐私泄露
收益损失比隐私分析复杂性等方面的可计算模型。其核心内容包括:隐私计算框架隐私计算形式化定义、算法设计准
则、隐私保护效果评估和隐私计算语言等内容。
6.3.5 隐私保护的法律法规
HIPAA、Regulation P、FACT、PCI DSS、GDPR、《网络安全法》
6.4 云计算及其安全
6.4.1 什么是云计算
云计算是一种基于网络和共享使用的,已按需分配和自服务置备等方式对可伸缩、弹性的共享物理和虚拟资源池等计
算资源供应和管理的模式。
6.4.2 云计算安全
虚拟化带来威胁:虚拟机逃逸、边信道攻、网络隔离、镜像和快照安全。
云计算架构对基础设施安全的正面影响:高度的管理集中化和自动化带来的安全增益、网络虚拟化和SDN带来的安全
增益、对业务连续性的增益
6.5 区块链及其安全
6.5.1 比特币与区块链
比特币是一个无中心电子现金系统,区块链就是其基础支撑技术。
各个区块以时间先后顺序排列,一个完整的区块包括区块头和区块体两部分。
6.5.2 共识机制
在区块链系统中,共识机制可保障在网络中存在故障或不可信节点的情况下,区块链网络中的交易按照预期的正确的
方式执行,为网络中的各个参与节点提供确认交易的机制、确保各个节点最终结果的-致性,避免某些节点的数据与
最终账本的数据不-样的情况发生。比较常用的共识机制有POW、POS、PBFT等。
6.5.3 智能合约
智能合约具有如下优点:
去中心化
较低的人为干预风险
可观察性与可验证性
高效性与时效性
低成本
面对区块链应用的智能合约构建以及执行的步骤如下:
合约生成
合约发布
合约执行
6.5.4 区块链的主要类型
1.公有链
2.联盟链
3.私有链
6.5.5 区块链的安全
1.51%算力攻击
2.攻击交易所
3.软件漏洞
4.隐私泄露
6.6 人工智能及其安全
6.6.1 人工智能的主要技术领域
1.自然语言处理
2.计算机视觉
3.深度学习
4.数据挖掘
6.6.2 人工智能自身的安全问题
1.对抗样本
2.模型萃取
3.投毒攻击
4.训练数据窃取
6.6.3 人工智能对网络空间安全的影响
1.人工智能技术及其应用的复杂性带来的安全挑战
2.利用人工智能进行的网络犯罪
3.人工智能的不确定性引发的安全风险
4.人工智能对隐私保护造成的安全挑战
5.基于人工智能的网络攻防愈加激烈