小论文
大数据安全与隐私保护
关键词: 数据安全 隐私保护 密码学
摘要:
本篇论文讲述了上课所学习到的大数据的机遇和网络安全的挑战、大数据带来的网络安全和用户隐私问题以及大数据带来的网络安全和用户隐私问题的对策。另外,课程还讲到了一些关于密码学的知识,我就参考了上课笔记和网上的知识进行了总结。
概述:
本篇论文第一部分第一节讲述了大数据分析挖掘的价值与机遇,同时提及了大数据安全的现状与挑战。另外在第二节讲述了大数据的特点及形成的网络安全和用户隐私问题。第三节列举了基于大数据的各类方法,及对于大数据今后发展的所做出的对策。在第二部分,讲诉了密码学的基本概念和基本要求。第二部分第二节讲诉了古典密码学的发展和特点,另外也讲诉了现代密码学的代表事件和方向。第三节讲诉了四类密码分析攻击和论述了密码算法安全和攻击复杂的标准。最后一部分,重点讲诉了DH密钥交换协议和RSA算法。
第一部分
第一节
大数据分析挖掘的价值在于可以利用概率论中提及到的大数定理对未知实践进行预测和分析。随着科技的快速发展,数据急速非线性增长,同时给大数据带来了发展战略机遇。其中,2015为大数据发展高峰期,国家宣布了大数据开发的行为战略。因为大数据代表了先进生产力方向,已经成为了不可阻挡的趋势。但目前大数据的安全现状并不是很好,有不少黑客通过各种手段获得政府,企业和个人的隐私数据,近年来有许多或大或小的隐私泄露问题。
随着移动互联网、云服务的发展,网络边界已经消亡,传统的防御型,检测型的安全防护措施已经力不从心,大数据安全迎来了挑战。目前主要难点在于,难以用有效的方式向用户申请访问权限和难以检测和控制开发者的行为。
第二节
本章节介绍大数据带来的网络安全和用户隐私问题。 ①由于大数据依托的非关系型数据库缺少数据安全机制,数据分散存在的状态使企业很难定位和保护所有机密数据。 ②不法分子利用社会工程学进行欺诈行为。社会工程学攻击主要是通过心理弱点,本能反映好奇心,信任和贪婪等人性特点,设计陷阱对受害者进行欺骗,伤害,信息窃取,利益谋取。该技术没有技术性、成本低、效率高。它的主要方法步骤为:
1)黑客注入恶意URL
2)用户访问信誉比较好的网站
3)用户被重新定位到恶意网站
4)恶意的网站通过用户系统和浏览器的漏洞进行恶意软件的注入
5)恶意软件自动被下载和安装
6)恶意软件向黑客发送受害者的隐私信息
③软件可能存在制作过程时预留的监听后门。软件后门是大数据安全的软肋,软件需要有自主可控的信息安全检测方案,才能察觉软件预留的监听后门。④文件安全也是大数据安全很重要的一部分。文件是数据处理和运行的核心,它往往包含了很多部门或个人的敏感信息。但是,由于现代操作系统过于庞大,不可避免存在安全漏洞,其本身的安全性都难以保证,更不要说操作系统里面的隐私文件了。 ⑤大数据的存储安全问题。因为数据的非线性增长和多种应用的并发运行已经频繁无序的使用状况,数据类别可能会被分类错误,这就造成了数据存储管理混乱,因而导致了信息安全管理的不合规范。 ⑥大数据安全搜索挑战和问题。其中,包括泛在尺寸不可见物联网实体搜索安全和隐私包保护、倒排表索引数据隐私安全、私有数据的访问控制安全、远程数据库安全搜索协议。 ⑦基于大数据的威胁发现技术的挑战。发现技术主要通过收集数据信息来发现潜在的危险局势,但是因为大数据的收集很难做到全面且因大数据分析能力的不足,会影响分析的结果的准确性。 ⑧难以处理大数据带来的高级的可持续的攻击挑战。因为大数据的价值低密度性,黑客可以将攻击隐藏在大数据中,这对安全服务提供商的分析制造很大的困难。 ⑨因为应用和数据库都部署在非完全可信的第三方的服务运营商端,云环境中用户数据安全与隐私保护难以实现。 ⑩大数据分析预测带来了隐私的挑战,因为大数据的分析及预测无疑对人的隐私造成了一定程度上的侵害。 ○11安全,隐私和便利之间不可能百分百和谐发展,要绝对的安全和隐私就不可能会出现更加的便利。 ○12大数据共享时的安全问题保障,能否保证在共享的通道上隐私安全不受侵害? ○13大数据访问权限难题使预设角色增加难度,这样就不能很好地对未知的大量数据和用户,进行场景角色代入,使大数据分析增加困难。 ○14大数据的可信性难以得到保证,例如网络伪造的数据,传感器收集到的数据。 ○15大数据溯源技术的安全应用挑战等等。
第三节
本章节介绍大数据带来的网络安全和用户隐私问题的对策。
目前基于大数据比较火的几个应用有基于大数据的威胁发现技术、基于大数据的认证技术、基于大数据的数据真实性分析。其中,基于大数据的威胁发现技术要求有:
①分析内容的范围更大 ②分析内容的时间跨度更长
③对攻击威胁具有预测性 ④对未知威胁的检测
而基于大数据的认证技术的特点有:
①攻击者很难模拟用户行为特征来通过认证,因此更加的安全
②减小了用户的负担,用户行为和设备行为特征数据的采集,存储和分析都由认证系统完成
③可以更好地支持各系统认证机制的统一,可以给整个网络空间采用
最后,基于大数据的数据真实性分析被广泛认为是最有效的数据分析方法。因为
① 引入大数据分析可以获得更高的识别准确率②可以发现更多新特征的垃圾信息
但是该技术仍面临一些困难,如虚假信息的定义和分析模型的构建。
对于未来大数据安全与隐私保护的一些对策:
① 研究大数据基础设施安全能力的评估以及加强大数据框架下的安全技术
② 推动信息安全的自主可控,提倡“可信计算”,即以白名单来代替黑名单进行控制
③ 围绕大数据突出的安全和隐私问题,构建数据全生命周期的安全管理体系
④ 风险自适应的访问控制
⑤ 在大数据环境,发展基于密码认证、防功、风险控制、安全集成电路设计等信息安全技术
⑥ 立法保障大数据
第二部分
第一节
先介绍密码学基本概念:发送者,接收者,消息,加密,明文和密文等。发送者和接收者可以看为寄信者和收信者,信封内容即为消息,而信封则叫加密,明文消息加密后变为密文消息。密码算法也称密码,即用于加密和解密的数学函数,密码系统由算法以及所有可能的明文、密文和密钥组成。现代信息安全的基本要求有:
① 信息的保密性 Confidentiality:防止信息泄漏给未经授权的人
② 信息的完整性 Integrity:防止信息被未经授权的篡改
③ 认证性 Authentication:保证信息来自正确的发送者
④ 不可否认性 Non-repudiation:保证发送者不能否认他们已发送的消息
第二节
古典密码学有置换密码(顺序打乱)和代换密码(替换),之后还出现了为了防止破解的方法:多名或同音代替密码(映射为一对多)、多字母代替密码(每次对N个字母进行代换,隐藏或均匀化字母的自然频率,用于抵抗频率分析)、多表代替密码(将明文分成多份,代换表有很多个,根据序列依次更换代换序列)。
古典密码学的特点:
1)计算强度小
2)出现在DES(数字加密标准,被广泛应用的私钥系统)之前
3)数据的安全基于算法保密
4)以字母表为主要加密对象
5)使用置换和替换技术
6)密码分析方法基于字母与字母组合的频率特性以及明文的可读性
现代密码学三个代表事件:①1976年Diffie和Hellman提出了公钥密码学体制的思想
② 1977年美国国家标准局颁布数据加密标准DES ③1978年第一个公钥算法RSA算法
现代密码学主要有三个方向:私钥密码(对称密码)、公钥密码(非对称密码)、安全协议。
对称算法是加密密钥能够从解密密钥中推算出来,反之亦可。对称算法可分为两类:序列(单个位对应)算法和分组算法(一组位对应)。非对称算法(公开密钥):用作加密的密钥不同于用作解密的密钥。其中,加密密钥称为公钥,解密密钥称为私钥。安全协议有零知识证明协议和多方共同解决协议。
第三节
本节讨论密码分析学。密码分析学是在不知道密钥的情况下,恢复明文的科学。
密码分析攻击可以分为四类(明文,密文,密钥,威胁)(假设每一类密码分析者都能知道全部的加密算法知识):
一)
①唯密文攻击:知道密文反推明文和密钥。
②选择密文攻击:选择不同的被加密的密文,并可以的道对应的解密的明文。
二)
①已知明文攻击:知道密文和一些明文,可以推导出加密算法,对任何用该算法的密文进行解密。
②选择明文攻击:知道一些消息的密文和相同的明文,还可以选择被加密的明文,可以推导出算法和密钥。
③自适应选择明文攻击:选择明文攻击的特殊情况,可以基于以前加密的结果修正这个选择。
三)选择密钥攻击:密码分析者具有不同密钥之间关系的有关知识。
四)软磨硬泡攻击:通过威胁、勒索、折磨某人而得到密钥。
密码算法安全性的等级标准:
1)全部破译:密码分析者找到密钥
2)全盘推导:密码分析者找到一个替代算法,在不知道密钥情况能推出密文与明文的关系
3)实例推导:密码分析者从截获密文中找出明文
4)信息推导:密码分析者获得一些有关密钥和明文的信息
衡量攻击方法的复杂性的标准:
1)数据复杂性:用于攻击输入所需要的数据量
2)处理复杂性:完成攻击所需要的时间
3)存储需求:进行攻击所需要的存储量
第三部分
主要介绍DH密钥交换协议和RSA算法。
DH密钥交换协议主要解决的是密钥分发的问题,是公钥密码学的开端,它的安全性是基于计算Diffie-Hellman问题的难解性(给定元组(g,g的a次方,g的b次方),计算g的ab次方困难)。
RSA算法是第一个公钥密码算法,也是第一个数字签名算法,具有乘法同态性。
结语
通过这门课程,我对大数据安全与隐私保护的现状和方法有了一定的认识,也粗略地了解到了密码学的一些皮毛知识,学会了DH密钥交换协议和RSA算法。
