2020-2021-1學期 20202423陳馭骐《網絡空間安全專業導論》第十三周學習總結

第6章 應用安全基礎

6.1 應用安全概述

在各類應用服務系統中身份認證是保障應用安全的基礎，其不僅僅包括傳統的人的身份認證，裝置、軟體等網絡實體都需要身份認證和可信管理。不同場景、不同限制條件下需要采用多種多樣的身份認證方式。

6.2 身份認證與信任管理

6.2.1 身份認證的主要方法

（1）使用者名/密碼

（2）動态密碼/一次性密碼

（3）挑戰應答認證

（4）基于生物特征和實體特征

（5）圖靈測試

（6）多因子認證

6.2.2 公鑰基礎設施

公鑰基礎設施是支撐公鑰應用的一系列安全服務的集合。

數字證書的管理标準主要有PKI和X.509。

6.2.3 身份認證的主流标準

（1）RADIUS

（2）線上快速身份認證

（3）聯盟身份管理

6.2.4 通路控制模型

1.自主通路控制和強通路控制

DAC：使用者自理，靈活通路，缺少安全性

MAC：集中管理，效率偏低，安全性高

2.基于角色的通路控制

RBAC：角色的引入實作了使用者與權限之間的分離，簡化了授權管理。（在調整時隻需調整與使用者相關練的角色權限，即可實作所有使用者權限的調整）

6.2.5 零信任模型

核心思想：網絡邊界内外的任何東西，在未驗證之前都不予以信任。

谷歌的BeyondCorp體系由以下特點：

（1）内網應用程式和服務不再對公網可見

（2）企業内網的邊界消失

（3）基于身份、裝置、環境認證的精準通路控制

（4）提供網絡通信的端到端加密

6.3 隐私保護

6.3.1 隐私的定義

隐私是指個體的敏感資訊，群體或組織的敏感資訊可以表示為個體的公共敏感資訊。

隐私保護主要采用基于資料擾亂的方法和基于密碼的方法。

6.3.2 k匿名

如果每個個體的特定敏感值在一個大群體中都是一樣的，那麼在這個大的群體中從這些敏感值就區分不出特定的個體，這就是k匿名的原理。

K匿名的使用必須滿足以下條件：

（1）敏感列不能洩露出被泛化列的資訊

（2）如果一個共享準辨別符、包含k條記錄集合的敏感值相同，這個資料對于同質化攻擊任然是脆弱的。

（3）釋出資料的維數要足夠低

6.3.3 拆分隐私

拆分隐私是一種基于統計學的技術，主要應用于對一個資料集計算統計量的時候，保護使用者隐私。、

6.3.4 隐私計算

隐私計算是面向隐私資訊全生命周期保護的計算理論和方法，具體是指在處理視訊、音頻、圖像、圖形、文字、數值、泛在網絡行為資訊流等資訊時，對所涉及的隐私資訊進行描述、度量、評價和融合等操作，形成一套符号化、公式化且具有量化評價标準的隐私計算理論、算法及應用技術，支援多系統融合的隐私資訊保護。

6.3.5 隐私保護的法律法規

（1）HIPAA

（2）Regulation P

（3）FACT

（4）PCI DSS

（5）GDPR

（6）《網絡安全法》

6.4 雲計算及其安全

6.4.1 什麼是雲計算

1.雲計算：是一種基于網絡通路和共享使用的，以按需配置設定和自服務置備等方式對可伸縮、彈性的共享實體和虛拟資源池等計算資源供應和管理的模式。

2.虛拟化技術：是雲計算的基礎，其快速發展主要得益于硬體日益增長的計算能力和不斷降低的成本。

6.4.2 雲計算安全

雲基礎設施安全

1.虛拟化帶來的安全威脅

（1）虛拟機逃逸

（2）邊信道攻擊

（3）網絡隔離

（4）鏡像和快照的安全

2.雲計算架構對基礎設施安全的正面影響

（1）高度的管理集中化和自動化帶來的安全增益

（2）網絡虛拟化和SDN帶來的安全增益

（3）對業務連續性的增益

雲資料安全

1.雲存儲資料安全

（1）雲加密資料庫

（2）密文搜尋

（3）密文資料可信删除

2.雲計算資料安全

3.雲共享資料安全

6.5 區塊鍊及其安全

6.5.1 比特币于區塊鍊

通俗地講，區塊鍊是采用了密碼技術的去中心化的分布式資料庫，在區塊鍊網絡中沒有中心節點，所有節點地位相同。每個節點都監聽一個實踐段内區塊鍊網絡中的所有交易，并将交易資料以區塊方式打包。同時通過共識機制競争将其區塊加入到區塊鍊當中的記賬權。

6.5.2 共識機制

（1）POW

（2）POS

（3）DPOS

（4）PBFT

6.5.3 智能合約

智能合約的總體目标是為了滿足抵押、支付、保密等合約條件，最小化意外或惡意情況的發生并最小化信任中介的智能。利用智能合約可以降低仲裁以及強制執行的成本，并降低違約帶來的損失等。

智能合約的優點：去中心化，較低的人為幹預風險，可觀察性與可驗證性，高效性與實時性，低成本。

6.5.4 區塊鍊的主要類型

1.公有鍊

2.聯盟鍊

3.私有鍊

6.5.5 區塊鍊的安全

區塊鍊面臨的安全問題：

1.51%算力攻擊

2.攻擊交易所

3.軟體漏洞

4.隐私洩露

6.6 人工智能及其安全

6.6.1 人工智能的主要技術領域

1.自然語言處理

2.計算機視覺

3.深度學習

4.資料挖掘

6.6.2 人工智能自身的安全問題

1.對抗樣本

2.模型萃取

3.投毒攻擊

4.訓練資料竊取

6.6.3 人工智能對網絡空間安全的影響

1.人工智能技術及其應用的複雜性帶來的安全挑戰

2.利用人工智能的網絡犯罪

3.人工智能的不确定性引發的安全風險

4.人工智能對隐私保護造成的安全挑戰

5.基于人工智能的網絡功放愈加激烈