第6章 应用安全基础
6.1 应用安全概述
在各类应用服务系统中身份认证是保障应用安全的基础,其不仅仅包括传统的人的身份认证,设备、软件等网络实体都需要身份认证和可信管理。不同场景、不同约束条件下需要采用多种多样的身份认证方式。
6.2 身份认证与信任管理
6.2.1 身份认证的主要方法
(1)用户名/口令
(2)动态口令/一次性口令
(3)挑战应答认证
(4)基于生物特征和物理特征
(5)图灵测试
(6)多因子认证
6.2.2 公钥基础设施
公钥基础设施是支撑公钥应用的一系列安全服务的集合。
数字证书的管理标准主要有PKI和X.509。
6.2.3 身份认证的主流标准
(1)RADIUS
(2)在线快速身份认证
(3)联盟身份管理
6.2.4 访问控制模型
1.自主访问控制和强访问控制
DAC:用户自理,灵活访问,缺少安全性
MAC:集中管理,效率偏低,安全性高
2.基于角色的访问控制
RBAC:角色的引入实现了用户与权限之间的分离,简化了授权管理。(在调整时只需调整与用户相关练的角色权限,即可实现所有用户权限的调整)
6.2.5 零信任模型
核心思想:网络边界内外的任何东西,在未验证之前都不予以信任。
谷歌的BeyondCorp体系由以下特点:
(1)内网应用程序和服务不再对公网可见
(2)企业内网的边界消失
(3)基于身份、设备、环境认证的精准访问控制
(4)提供网络通信的端到端加密
6.3 隐私保护
6.3.1 隐私的定义
隐私是指个体的敏感信息,群体或组织的敏感信息可以表示为个体的公共敏感信息。
隐私保护主要采用基于数据扰乱的方法和基于密码的方法。
6.3.2 k匿名
如果每个个体的特定敏感值在一个大群体中都是一样的,那么在这个大的群体中从这些敏感值就区分不出特定的个体,这就是k匿名的原理。
K匿名的使用必须满足以下条件:
(1)敏感列不能泄露出被泛化列的信息
(2)如果一个共享准标识符、包含k条记录集合的敏感值相同,这个数据对于同质化攻击任然是脆弱的。
(3)发布数据的维数要足够低
6.3.3 拆分隐私
拆分隐私是一种基于统计学的技术,主要应用于对一个数据集计算统计量的时候,保护用户隐私。、
6.3.4 隐私计算
隐私计算是面向隐私信息全生命周期保护的计算理论和方法,具体是指在处理视频、音频、图像、图形、文字、数值、泛在网络行为信息流等信息时,对所涉及的隐私信息进行描述、度量、评价和融合等操作,形成一套符号化、公式化且具有量化评价标准的隐私计算理论、算法及应用技术,支持多系统融合的隐私信息保护。
6.3.5 隐私保护的法律法规
(1)HIPAA
(2)Regulation P
(3)FACT
(4)PCI DSS
(5)GDPR
(6)《网络安全法》
6.4 云计算及其安全
6.4.1 什么是云计算
1.云计算:是一种基于网络访问和共享使用的,以按需分配和自服务置备等方式对可伸缩、弹性的共享物理和虚拟资源池等计算资源供应和管理的模式。
2.虚拟化技术:是云计算的基础,其快速发展主要得益于硬件日益增长的计算能力和不断降低的成本。
6.4.2 云计算安全
云基础设施安全
1.虚拟化带来的安全威胁
(1)虚拟机逃逸
(2)边信道攻击
(3)网络隔离
(4)镜像和快照的安全
2.云计算架构对基础设施安全的正面影响
(1)高度的管理集中化和自动化带来的安全增益
(2)网络虚拟化和SDN带来的安全增益
(3)对业务连续性的增益
云数据安全
1.云存储数据安全
(1)云加密数据库
(2)密文搜索
(3)密文数据可信删除
2.云计算数据安全
3.云共享数据安全
6.5 区块链及其安全
6.5.1 比特币于区块链
通俗地讲,区块链是采用了密码技术的去中心化的分布式数据库,在区块链网络中没有中心节点,所有节点地位相同。每个节点都监听一个实践段内区块链网络中的所有交易,并将交易数据以区块方式打包。同时通过共识机制竞争将其区块加入到区块链当中的记账权。
6.5.2 共识机制
(1)POW
(2)POS
(3)DPOS
(4)PBFT
6.5.3 智能合约
智能合约的总体目标是为了满足抵押、支付、保密等合约条件,最小化意外或恶意情况的发生并最小化信任中介的智能。利用智能合约可以降低仲裁以及强制执行的成本,并降低违约带来的损失等。
智能合约的优点:去中心化,较低的人为干预风险,可观察性与可验证性,高效性与实时性,低成本。
6.5.4 区块链的主要类型
1.公有链
2.联盟链
3.私有链
6.5.5 区块链的安全
区块链面临的安全问题:
1.51%算力攻击
2.攻击交易所
3.软件漏洞
4.隐私泄露
6.6 人工智能及其安全
6.6.1 人工智能的主要技术领域
1.自然语言处理
2.计算机视觉
3.深度学习
4.数据挖掘
6.6.2 人工智能自身的安全问题
1.对抗样本
2.模型萃取
3.投毒攻击
4.训练数据窃取
6.6.3 人工智能对网络空间安全的影响
1.人工智能技术及其应用的复杂性带来的安全挑战
2.利用人工智能的网络犯罪
3.人工智能的不确定性引发的安全风险
4.人工智能对隐私保护造成的安全挑战
5.基于人工智能的网络功放愈加激烈