2021-2022 第一学期20212323《网络空间安全专业导论》第十二周学习总结

第6章 应用安全基础

6.1 应用安全概述

6.2 身份认证与信任管理

6.2.1 身份认证的主要方法

  1. 用户名/口令
  2. 动态口令/一次性口令(One time password,OTP)
  3. 挑战应答认证
  4. 基于生物特征和物性特征
  5. 图灵测试
  6. 多因子认证

6.2.2公钥基础设施

是支撑公钥应用的一系列安全服务的集合。
数字证书

6.2.3 身份认证的主流标准

  1. RADIUS
    远程认证拨入业务协议
  • 用户向NAS发起PPP认证协议
  • NAS提示用户输入用户名和口令或者挑战
  • 用户回复
  • RADIUS客户端向RADIUS服务器发送用户名和加密的口令
  • DADIUS返回Accept、Reject或者Challenge
  • RADIUS客户端按照Accept、Reject附带的业务和业务参数执行相应的操作
  1. 在线快速身份认证(FIDO)
    (1)简介
    (2)通用身份认证框架(UAF)

(3)通用第二因子认证协议(U2F)

3. 联盟身份管理(FIM)

6.2.4 访问控制模型

  1. 自主访问控制和强制访问控制
  2. 基于角色的访问控制
    RBAC模型

6.2.5 零信任模型

(1)内网应用程序和服务不再对公网可见
(2)企业内网的边界消失
(3)基于身份、设备、环境认证的精准访问控制
(4)提供网络通信的端到端加密

6.3 隐私保护

6.3.1 隐私的定义

指个体的敏感信息,群体或组织的敏感信息可以表示为个体的公共敏感信息。
信息可分为公开信息、私密信息和隐私信息三类。
隐私保护:基于数据扰乱的方法和基于密码的方法。

6.3.2 k匿名

6.3.3 差分隐私

6.3.4 隐私计算

6.3.5 隐私保护的法律法规

  1. HIPAA
  2. Regulation P
  3. FACT
  4. PCI DSS
  5. GDPR
  6. 《网络安全法》

6.4 云计算及安全

6.4.1 什么是云计算

  1. 云计算
    是一种基于网络访问和共享使用的,以按需分配和自服务配置等方式对可伸缩、弹性的共享物理和虚拟资源池等计算资源供应和管理的模式。
    云部署的模型分为社区云、混合云、私有云和公有云。
    NIST定义了云计算的三种服务模型:基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。
  2. 虚拟化技术
    (1)虚拟机
    完全虚拟化(软件辅助的全虚拟化、硬件辅助的全虚拟化)、半虚拟化。
    虚拟化架构:寄居架构、裸金属架构(独立型、混合型、组合型)、容器架构。
    (2)容器
    容器运行在操作系统之上,创建一个独立的虚拟化实例,指向底层的托管操作系统,也被称为操作系统虚拟化。

6.4.2 云计算安全

  1. 云基础设施安全
    云基础设施:汇集在一起用来构建云的基础软硬件资源、在IaaS下由云用户管理的虚拟/抽象基础设施。
    (1)虚拟化带来的安全威胁
    ①虚拟机逃逸
    ②边信道攻击
    ③网络隔离
    ④镜像和快照的安全
    (2)云计算架构对基础设施安全的正面影响
    ①高度的管理集中化和自动化带来的安全增益
    ②网络虚拟化和SDN带来的安全增益
    ③对业务连续性的增益
  2. 云数据安全
    (1)云存储数据安全
    ①云加密数据库
    ②密文搜索
    ③密文数据可信删除
    (2)云计算数据安全
    保密计算
    (3)云共享数据安全

6.5 区块链及其安全

6.5.1 比特币与区块链

6.5.2 共识机制

  1. POW(工作量证明)
  2. POS(权益证明)
  3. DPOS(股份授权证明)
  4. PBET(实用拜占庭容错)

6.5.3 智能合约

优点:

  • 去中心化
  • 较低的人为干预风险
  • 可观察性与可验证性
  • 高效性与实时性
  • 低成本
    构建及执行步骤:
  • 合约生成
  • 合约发布
  • 合约执行

6.5.4 区块链的主要类型

  1. 公有链
  2. 联盟链
  3. 私有链

6.5.5 区块链的安全

区块链有不可篡改性、不可伪造性和可验证性。
面临的安全问题:

  1. 51%算力攻击
  2. 攻击交易所
  3. 软件漏洞
  4. 隐私泄露

6.6 人工智能及其安全

6.6.1 人工智能的主要技术领域

  1. 自然语言处理
  2. 计算机视觉
  3. 深度学习
  4. 数据挖掘

6.6.2 人工智能自身的安全问题

  1. 对抗样本
  2. 模型萃取
  3. 投毒攻击
  4. 训练数据窃取

6.6.3 人工智能对网络空间安全的影响

  1. 人工智能技术及其应用的复杂性带来的安全挑战
  2. 利用人工智能的网络犯罪
  3. 人工智能的不确定性引发的安全风险
  4. 人工智能对隐私保护造成的安全挑战
  5. 基于人工智能的网络攻防愈加激烈
posted @   20212323  阅读(111)  评论(0编辑  收藏  举报
编辑推荐:
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
阅读排行:
· 分享4款.NET开源、免费、实用的商城系统
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· 上周热点回顾(2.24-3.2)
点击右上角即可分享
微信分享提示