第6章应用安全基础

应用安全是为保障各种应用系统在信息的获取、存储、传输和处理各个环节的安全所涉及的相关技术的总称。密码技术是应用安全的核心支撑技术，系统安全技术与网络安全技术则是应用安全技术的基础和关键技术。应用安全涉及如何防止身份或资源的假冒、未经授权的访问、数据的泄露、数据完整性的破坏、系统可用性的破坏等。

6.1 应用安全概述

（1）在各类应用服务系统中，身份认证是保障应用安全的基础，其不仅仅包括传统的人的身份认证，设备、软件等网络实体都需要身份认证和可信管理。不同场景、不同约束条件下需要采用多种多样的身份认证方式。
（2）访问控制是应用系统信息安全必不可少的组成部分。
（3）从移动应用服务商层面，一是利用收集的数据对用户进行精准画像，提供定制化个性服务；二是对数据进行分析加工，改进自身系统的功能和性能；三是为获取进一步的收益，会将用户信息在自身不同信息系统之间共享、在生态圈友商系统间共享。

6.2 身份认证与信任管理

6.2.1 身份认证的主要方法

身份认证一般分为验证方和证明方，证明方通过向验证方证明其拥有和其身份对应的某个秘密，来证明其身份。

1. 用户名/口令

（1）每个证明方被分配一个唯一的口令，验证方保存有证明方的口令或者口令的变换值。
（2）用户名口令认证是目前最为常见的认证方法，其简单易用，不需要用户拥有任何硬件设备，只要牢记他的口令就可以。为了口令安全，口令应该尽可能地长一些，且不具有规律性。

2. 动态口令/一次性口令(One time password,OTP)

（1）动态口令或者动态令牌实际上是ISO/IEC 9798-2-2008标准规定的一轮认证协议。Alice 和 Bob 双方已经有共享密钥K,一轮认证协议如图所示
（2）OTP 机制是另一种常见的动态口令认证机制。

3. 挑战应答认证

动态口令认证可以只需要从用户到系统传递一轮消息。为了防止重用，要求双方时间同步或者序列号同步。挑战-应答认证方法是通过一轮应答实现验证者对证明者对认证，利用一次性随机数实现防止重放攻击。其实现方式如图所示。

4. 基于生物特征和物性特征

认证本质上是基于属于被认证者独一无二的特征的。
人的生物特征正好满足这样的要求，因此选择具有足够区分度的生物特征作为认证手段成为近年来的热点，并得到越来越多的广泛应用。常见的生物特征认证包括指纹、人脸、虹膜、声纹等。选择的生物特征应该易采集，区分度高。生物特征认证的优点是方便，用户不用携带额外的认证设备，缺点是生物特征不可替换，不可更新。

5.图灵测试

在登录系统不仅要输入口令，还要输入图形验证码。

6.多因子认证

单一的认证方法不足以保证身份认证的安全性。因此在实际应用当中，多采取多种认证方式结合，构成所谓的多因子认证方式。常见的包括静态口令+短信验证码，静态口令 +USBKEY,口令+生物特征，生物特征+公钥认证等。

6.2.2 公钥基础设施

（1）X.509标准采用树型的信任体系，如图6-11所示。根 CA 使用自身的私钥为自己签发证书，是整个信任体系的锚点。根CA 为下级CA 颁发证书，直到为用户颁发证书。用户Alice 和 Bob 都信任其上级CA,直到根CA。虽然 Alice 和 Bob 的证书是由不同 CA颁发的，他们沿着信任路径可以到达相同的证书节点，那么他们就可以建立信任关系，这类似于我们现实生活中的身份证，Alice 和 Bob的身份证假如分别由北京和陕西公安部门发放，但是他们均信任公安部，因此可以建立信任关系。
（2）任何一个使用证书的第三方在验证证书有效性的时候，要执行以下验证操作：①证书颁发机构是否是其信任的机构。
②证书是否在有效期内。
③证书是否在证书撤销列表当中。
④证书的数字签名是否有效。
所有上述验证通过以后，用户就可以从证书获得证书持有人的公钥，并信任这个公钥。

6.2.3 身份认证的主流标准

1.RADIUS

用户通过拨号连入网络接入服务器，网络接入服务器和 Internet 认证服务器(IAS) 之间采用 RADIUS 协议通信。
①用户向NAS 发起 PPP 认证协议。
②NAS 提示用户输入用户名和口令(如果使用口令认证协议 PAP) 或者挑战(如果使用挑战握手认证协议CHAP)。
③用户回复。
④RADIUS 客户端向RADIUS 服务器发送用户名和加密的口令。 ⑤ RADIUS 返回 Accept 、Reject 或者 Challenge。
⑥RADIUS 客户端按照 Accept 、Reject 附带的业务和业务参数执行相应的操作。

2. 在线快速身份认证(Fast Identity Online,FIDO)

(1)简介：据统计，80%数据泄露的根源是使用不安全的口令认证，因为每个用户有90个账号，其中51%的口令是重复使用的。FIDO 联盟意图解决在线认证中基于口令认证难题，提供更简单、更安全的在线认证方案。
(2)通用身份认证框架(Universal Authentication Framework,UAF)
(3)通用第二因子认证协议(Universal 2nd Factor,U2F)

3. 联盟身份管理(Federated Identity Management,FIM)

（1）OAuth 2.0 的工作流程如图6-18所示。
(A）客户向资源所有者请求授权，授权请求可以直接向资源所有者提出，也可以通过授权服务器间接提出。
(B）客户收到授权许可，具体形式可以参看标准定义。
(C）客户请求授权服务器的认证，向授权服务器出示授权许可以请求访问令牌。
(D）授权服务器认证客户，并且验证授权许可的有效性，颁发访问令牌。
(E）客户向资源服务器出示访问令牌以请求受保护的资源。
(F）资源服务器验证访问令牌的有效性，如果有效，请求进行服务。

6.2.4 访问控制模型

1. 自主访问控制和强制访问控制

20世纪70年代至90年代，研究人员针对共享数据的访问权限管理提出了自主访问控制模型 DAC 和强制访问控制模型 MAC。

2. 基于角色的访问控制

RBAC 中通过角色对访问控制策略进行描述，系统中的用户和权限均对应于某些特定的角色。角色的引入实现了用户与权限之间的分离，简化了授权管理。图6-19展示了用户角色关系模型。

6.2.5 零信任模型

1、“零信任模型”(Zero Trust Model)放弃“边界防护”的思路，在“零信任”的发展过程中，国内外各厂商纷纷提出自己的解决方案，其中比较有影响的是谷歌 BeyondCorp 体系，具体包括以下特点。
(1)内网应用程序和服务不再对公网可见；
(2)企业内网的边界消失；
(3)基于身份、设备、环境认证的精准访问控制；
(4)提供网络通信的端到端加密。

6.3 隐私保护

6.3.1 隐私的定义

（1）隐私保护采用的方法主要可以分为两类，即基于数据扰乱的方法和基于密码的方法。

6.3.2 k匿名

（1）k-匿名(k-anonymity)最早由 Sweeney 提出。个人信息数据库被共享时，需要采用隐私保护技术。

6.3.3 差分隐私

差分隐私(Differential Privacy,DP)是一种基于统计学的技术，主要应用于对一个数据集计算统计量的时候，保护用户隐私。

6.3.4 隐私计算

随着信息技术的快速发展和个性化服务的不断演进，大型互联网公司在服务用户过程中积累了海量数据。此外，数据的频繁跨境、跨系统、跨生态圈交互已成为常态，加剧了隐私信息在不同信息系统中的有意/无意留存，但随之而来的隐私信息保护短板效应、隐私侵犯追踪溯源难等问题越来越严重，致使现有的隐私保护方案不能提供体系化的保护。

6.3.5 隐私保护的法律法规

1.HIPAA

HIPAA 是美国健康保险信息隐私保护的法规，全名为 Health Insurance Portability and Accountability Act。

2.Regulation P

Regulation P 是美国联邦储备银行订立的法规，全名是 Privacy of Consumer Financial Information,用于保护金融行业用户的隐私信息。

3.FACT

FACT 是美国国会2003年对信用卡个人隐私保护所立的法案，全名是 Fair and Accurate Credit Transaction Act 2003。

4.PCI DSS

PCI DSS是美国支付行业的信息管理标准，全名是 Payment Card Industry Data Security Standard。

5.GDPR

GDPR 是欧盟关于隐私保护的法律，全名是General Data Protection Reform。目标是把个人信息的控制权交还给个人和公民，简化国际商务的合规环境。

6. 《网络安全法》

2017年6月1日《中华人民共和国网络安全法》正式生效，其明确规定：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；网络运营者不得泄露、篡改、毁损其收集的个人信息；任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

6.4 云计算及其安全

6.4.1 什么是云计算

1. 云计算

（1）云计算是一种基于网络访问和共享使用的，以按需分配和自服务置备等方式对可伸缩、弹性的共享物理和虚拟资源池等计算资源供应和管理的模式。
（2）NIST 定义了云计算的3种服务模型，分别为基础设施即服务(infrastructure as a service,laaS)、平台即服务(platform as a service,PaaS)和软件即服务(software as a service,SaaS)。

2. 虚拟化技术

虚拟化技术是云计算的基础，其快速发展主要得益于硬件日益增长的计算能力和不断降低的成本。虚拟化技术分为两类：虚拟机和容器。前者能够实现在一台物理机上运行多台虚拟机，在每台虚拟机中分别运行不同的操作系统和应用程序，并且虚拟机之间具有良好的隔离性。后者则消除了应用对虚拟机中操作系统的依赖，相比虚拟机技术，容器技术虚拟化的是操作系统，因此无须为每个虚拟机平台安装完整的操作系统，从而达到简化部署，减轻负载的目的。
(1)虚拟机
虚拟化架构主要可以分为三类，即寄居架构(Hosted Architecture)、裸金属架构 (Bare Metal Architecture)和容器架构，如图6-22所示。

①寄居架构：在 Windows 、Linux 等操作系统之上安装和运行虚拟机，依赖主机操作系统对设备的驱动和物理资源的管理。
②裸金属架构：直接在硬件上安装虚拟化监控器 Hypervisor,然后再在其上安装操作系统和应用，依靠Hypervisor对硬件设备进行管理。
(2)容器

6.4.2 云计算安全

1. 云基础设施安全

基于云计算构建的信息系统，底层基础设施由云服务商提供，而上层的业务和数据则由云租户建设并维护。
云基础设施有两大层面：一是汇集在一起用来构建云的基础软硬件资源，如服务器、网络设备、存储设备、虚拟化软件、管理系统等；二是在laaS 下由云用户管理的虚拟/抽象基础设施，是从资源池中分配的计算、网络和存储资产。
(1)虚拟化带来的安全威胁：①虚拟机逃逸。
②边信道攻击。
③网络隔离。
④镜像和快照的安全。
(2)云计算架构对基础设施安全的正面影响：
①高度的管理集中化和自动化带来的安全增益。
②网络虚拟化和 SDN 带来的安全增益。
③对业务连续性的增益。

2.云数据安全

通常我们会认为云服务提供商是“好奇但诚实”的，即云服务提供商会正确地执行用户委托的操作，但是会希望得到用户的数据。在这种情况下，需要保证用户数据的安全。
(1)云存储数据安全
①云加密数据库。
②密文搜索。

③密文数据可信删除。
(2)云计算数据安全
(3)云共享数据安全

6.5 区块链及其安全

6.5.1 比特币与区块链

（1）各个区块以时间先后顺序排列，一个完整的区块包括区块头(block head)和区块体 (block body)两部分，如图6-31所示。
区块头的内容如表6-3所示。

（2）早期，比特币每10分钟产生一个区块；随机数(nonce) 就是一个目标 Hash值，要求解的难题就是找这个Hash 值的原像。求解难题的过程就是俗称“挖矿” ,参与挖矿的节点就是“矿工”。

6.5.2 共识机制

在区块链系统中，共识机制可保障在网络中存在故障或不可信节点的情况下，区块链网络中的交易按照预期的正确的方式执行，为网络中的各个参与节点提供确认交易的机制，确保各个节点最终结果的一致性，避免某些节点的数据与最终账本的数据不一样的情况发生。

1.POW(工作量证明)

POW 是应用于比特币系统的共识机制

2.POS (权益证明)

POS(Proof Of Stake)试图解决 POW 机制中大量资源被浪费的缺点，根据节点持有代币的比例以及占有代币的时间来降低挖矿难度，进而提高寻找随机数的效率。

3.DPOS (股份授权证明)

DPOS(Delegated Proof Of Stake)算法是由 Bitshares 为防止大矿池垄断全网算力而设计提出的。

4.PBFT (实用拜占庭容错)

PBFT(Practical Byzantine Fault Tolerance)由 Castro 与 Liskov 在论文Practical Byzatine Fault Tolerance 中首次提出。

6.5.3 智能合约

智能合约早在1995年被 Nick Szabo 提出，他将智能合约定义为“一种无须中介、部署即可自动执行与验证的计算机协议。

6.5.4 区块链的主要类型

区块链根据准入机制主要分为3种类型。

1. 公有链

公有链完全去中心化，任何个体和团体都可发送交易，公有链是最早的区块链，也是应用最广泛的区块链。

2. 联盟链

公有链是部分中心化，由某个群体内部指定多个预选的节点为记账人，每个块的生成

3. 私有链

私有链仅仅使用区块链的总账技术进行记账，可以是一个公司或个人独享该区块链的写入权限。由于参与节点是有限和可控的，因此私有链具备极快的交易速度、更好的隐私保护、更低的交易成本、不容易被恶意攻击等特点。

6.5.5 区块链的安全

(1)区块链具有不可篡改性。
(2)区块链具有不可伪造性和可验证性。

6.6 人工智能及其安全

6.6.1 人工智能的主要技术领域

人工智能作为计算机科学的一个分支，主要研究如何让机器能像人类一样去思考行动，探索智能的本质，并创造出一种能模拟人类思维过程、产生媲美人类智能反应的系统，最终目标让其服务于人类，将人类从劳动中解放出来。

1. 自然语言处理

自然语言处理是将人工智能技术应用到语言研究领域，通过计算机对自然语言的分析，对词法、句法、语法和语义进行理解分析，实现人机信息交流。

2.计算机视觉

计算机视觉是利用计算机及相关设备对生物视觉进行模拟的过程.

3. 深度学习

深度学习是目前人工智能领域研究的热点，它起源于机器学习中的模型，通过建立模拟人脑进行分析学习的神经网络，模仿人脑机制来对数据进行解释。

4. 数据挖掘

随着互联网、物联网等网络技术的发展，产生了大量数据，如何有效地对数据进行利用，从中提取出具有潜在价值的信息和知识就是数据挖掘技术研究的重点。

6.6.2 人工智能自身的安全问题

人工智能受到了学术界和工业界大量的关注和深入的研究，而机器学习作为人工智能的核心，近年来也得到了长足的发展，其应用遍布人工智能的各个领域。

6.6.3 人工智能对网络空间安全的影响

一方面，人工智能可以将安全研究人员从海量的威胁数据分析中解放出来，通过监测威胁可以迅速发现、分析和响应新攻击和新漏洞，自动化实时共享威胁情报，实现系统自动防御修复，从而大大提升抵御安全威胁的能力，目前，全球越来越多的安全公司正在尝试将人工智能、机器学习等集成到产品之中，智能化(Intelligence) 、自动化(Automatic)成为2018年美国 RSA 大会上的热词；但另一方面，人工智能也带来了新的网络安全威胁。