通城做网站公司,万博法务网站建设项目,地方门户网站源码下载,广州版单一窗口文章目录 #x1f4da;概述⭐️#x1f407;大数据的定义、来源、特点#x1f407;大数据安全的含义#x1f407;大数据安全威胁#x1f407;保障大数据安全#x1f407;采集、存储、挖掘环节的安全技术#x1f407;大数据用于安全#x1f407;隐私的定义、属性、分类、… 文章目录 概述⭐️大数据的定义、来源、特点大数据安全的含义大数据安全威胁保障大数据安全采集、存储、挖掘环节的安全技术大数据用于安全隐私的定义、属性、分类、保护、面临威胁安全基本概念安全需求及对应的安全事件 古典密码学里程碑事件扩散和混淆的概念攻击的分类模运算移位加密仿射加密维吉尼亚密码 DES混淆与扩散Feistel加密DES密钥生成DES流程 数论欧几里得算法拓展欧几里得算法欧拉函数有限域运算 AES密钥扩展算法字节替换轮密钥加行变换列混淆 RSADHElGamal公钥密码椭圆曲线公钥密码体制ECCZp上的椭圆曲线 概述⭐️
大数据的定义、来源、特点
定义无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。来源从对象分为人、机、物等几大类从领域分为互联网、物联网、生物医学。特点规模大、变化快、种类多、价值密度低。
大数据安全的含义
保障大数据安全是指保障大数据采集过程、计算过程、数据形态、应用价值的处理技术大数据用于安全利用大数据技术提升信息系统安全效能和能力的方法设计如何解决信息系统安全问题。
大数据安全威胁
大数据基础设施具有虚拟化和分布式特点容易受到非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、网络病毒传播大数据应用的生命周期中数据存储是一个关键环节尤其是非关系数据库带来如下安全挑战模式成熟度不够、系统成熟度不够、服务器软件没有内置的足够的安全机制、数据冗余和分散性问题。网络安全是大数据安全防护的重要内容安全问题随着网络节点数量的增加呈指数级上升安全数据规模巨大安全事件难以发现安全的整体状况无法描述安全态势难以感知等等。网络化社会使大数据易成为攻击目标在网络化社会中信息的价值要超过基础设施的价值大数据蕴涵着人与人之间的关系和联系使得黑客成功攻击一次就能获得更多数据。大数据滥用的风险一方面大数据本身的安全防护存在漏洞安全控制力度不够。另一方面攻击者利用大数据技术进行攻击最大限度地收集更多用户敏感信息。大数据误用风险大数据的准确性和数据质量不高对其进行分析和使用可能产生无效的结果从而导致错误的决策。
保障大数据安全
围绕大数据全生命周期即数据的产生、采集、传输、存储、处理、分析、发布、展示和应用、产生新数据等阶段进行安全防护。对大数据全生命周期阶段合并与精简大数据应用过程可划分为4个环节采集、存储、挖掘和发布。大数据保障技术可以从物理安全、系统安全、网络安全、存储安全、访问安全、审计安全、运营安全等角度进行考虑。保障大数据安全的目标最大程度地保护具有流动性和开放性特征的大数据自身安全防止数据泄露、越权访问、数据篡改、数据丢失、密钥泄露、侵犯用户隐私等问题的发生。
采集、存储、挖掘环节的安全技术
采集 采集环节的安全威胁数据损坏、丢失、泄露、窃取。采集环节的安全机制身份认证、数据加密、完整性保护、抗重放攻击、端到端的数据安全传输采用SSL VPN安全套接层虚拟专用网有Web浏览器模式、客户端模式、Lan到Lan模式。 存储 存储环节的安全威胁数据被窃取、丢失、破坏、隐私或机密数据的泄露。存储环节的安全机制隐私保护数据脱敏、变换、匿名化数据加密静态数据是指不需要参与计算的数据要先加密再存储动态数据是指需要检索或参与计算的数据要动态加密备份与恢复异地备份、RAID、数据镜像 挖掘 挖掘环节的安全威胁第三方在数据挖掘的过程中植入恶意程序、窃取系统数据。挖掘环节的安全机制身份认证基于秘密信息 / 信物 / 生物特征、访问控制自主访问控制DAC、强制访问控制MAC、基于角色的访问控制RBAC。 发布 发布环节的安全威胁泄密、泄露隐私、不合规范。发布环节的安全机制安全审计基于日志/网络监听/网关/代理的、数据溯源对应用周期的各个环节的操作进行标记和定位溯源方法标注法、反向查询法、数字水印。
大数据用于安全
安全监测与大数据的融合技术利用大数据技术实时监控海量、多样、快速和复杂的数据有效提高安全监测的效果和能力。大数据技术将极大扩展安全分析的深度和广度把传统的数据安全分析的被动的事后分析变成主动地事前防御能够更好地感知网络安全态势。
隐私的定义、属性、分类、保护、面临威胁
定义隐私是与个人相关的、具有不被他人搜集、保留和处分的权利的信息资料集合并且它能够按照所有者的意愿在特定时间、以特定方式、在特定程度上被公开。基本属性保密性、个人相关、能够被所有者处分分类个人隐私任何可以确定特定个人或与可确定的个人相关但个人不愿意暴露的信息譬如就诊记录、共同隐私不仅包含个人隐私还包含所有个人共同表现出但不愿意被暴露的信息譬如平均薪资保护 个人属性的隐私权譬如姓名、身份、肖像、声音等直接涉及个人领域的第一层次是保护的首要对象。个人资料的隐私权譬如消费习惯、病历、犯罪前科等记录若其涉及的客体为一个人则这种资料含有高度的个人特性而常能辨识该个人的本体即“间接”的个人属性也应以隐私权加以保护。通信内容的隐私权通信内容包含个人的思想与情感原本存于内心别人不可能知道因而应以隐私权保护以保护个人人格的完整发展。匿名的隐私权匿名权利的适度许可可以鼓励个人的参与感并保护其自由创造力空间真知直谏推动社会的整体进步。 面临大数据的威胁 大数据时代带来信息存储和管理的集中化一切皆可量化。大数据通常包含了大量的用户身份信息、属性信息、行为信息极易造成用户隐私泄露。大数据的多源性使得来自各个渠道的数据可以用来进行交叉检验导致隐私泄露。数据存储过程大数据环境下用户无法知道数据确切的存放位置用户对其个人数据的采集、存储、使用、分享无法有效控制。数据传输过程大数据环境下数据传输将更为开放和多元化传统物理区域隔离的方法无法有效保证远距离传输的安全性电磁泄漏和窃听将成为更加突出的安全威胁。数据处理过程大数据环境下部署大量的虚拟技术资源动态共享增加了访问控制和身份认证的管理难度基础设施的脆弱性和加密措施的失效可能产生新的安全风险。
安全基本概念
脆弱性系统在设计、实现、操作或管理中的缺陷或弱点可被攻击者利用以至于给系统造成损失或危害。比如软硬件漏洞访问权限设置缺陷等。威胁存在于环境、能力、行动或事件中可能会破坏安全并造成伤害的安全隐患也就是说威胁可能利用脆弱性并造成损失。比如勒索软件、蠕虫等恶意程序为有意威胁地震、洪涝灾害为自然威胁误操作为无意威胁等。攻击蓄意试图规避目标系统的安全服务并违反其安全策略的智能行为。以震网病毒事件为例通过震网病毒利用PLC脆弱性的行为就是攻击。风险一种损失预期表示为某一特定威胁利用某一特定脆弱性产生特定有害结果的可能。以震网病毒事件为例其中震网病毒为威胁可编程控制单元PLC中的代码存在被篡改的脆弱性此系统的风险是当震网病毒作用于PLC之后造成铀浓缩离心机受损的可能。
安全需求及对应的安全事件
保密性 保证信息 / 数据不会被泄露给未经授权的个体防御方法加密解密算法例子要知道安全事件对应的安全需求 智能家居中若智能电表的用电数据没有良好加密则不法分子可利用这些用电数据推断用户的习惯从而猜测用户当前是否在家。弱口令攻击。 完整性 保证信息 / 数据不会被未经授权的个体修改防御方法Hash 函数纠错码消息认证码例子 智能安防系统的系统完整性是指它能在发生非法入侵等情况时及时报警这是它的预期功能。 若安防系统功能出现问题其后果可能是金钱损失甚至威胁用户人身安全。2016年5月7日一辆启用半自动驾驶Autopilot功能的特斯拉电动汽车与一辆大型卡车相撞司机在事故中丧生。这是与自动驾驶相关并造成人员伤亡的第一起交通事故。这次事件的原因是Autopilot没有检测到卡车的白色侧面。2019年Carnegie Mellon University的研究人员通过在摄像机镜头上放置贴纸使得分类器误分类例如STOP标志识别成成限速标志。 可用性 保证信息 / 数据能够被已授权的个体访问破坏可用性的攻击Denial of Service (Dos), Distributed Dos (DDoS)。例子 在智能家居的业务中首要的是整个智能家居系统是可用的。若照明、安防、多媒体等系统不能工作将给用户带来极大的困扰。2017年5月 WannaCry勒索病毒感染了西班牙电信等公司其利用 “永恒之蓝”EternalBlue漏洞加密系统数据从而勒索用户。该事件是典型的传统互联网数据可用性被破坏的例子。在该事件中用户计算机的所有数据都被加密无法获取。2016年10月大半个美国遭遇了集体“断网” 各大网站无法访问包括Twitter、Spotify、Netflix、Github、Airbnb等。原因是美国最主要的DNS服务商Dyn遭遇了大规模DDoS攻击。DDoS攻击是通过大量的垃圾请求阻塞服务器使正常用户的请求得不到响应。最终破坏互联网业务可用性。Stuxnet蠕虫是第一个被发现专门用于定向攻击基础能源设施的蠕虫病毒国家电网、核电站、水坝水利设施等都是该病毒的攻击目标。目前全球已有约4.5万个网络被感染其中60%主机位于伊朗境内 。伊朗政府已经确认核电站遭到攻击导致铀浓缩离心机受损。2015年12月23日乌克兰电力部门遭受到恶意代码攻击导致了八万用户数小时的停电事故。 真实性 保证信息 / 数据确实来自其所生成的消息源即可确定数据来源防御工具密码方案数字签名Hash函数消息认证码质询-响应协议。 不可抵赖性 保证信息 / 数据交互的所有参与者均不能否认曾经发送过的消息和数据防御方法数字签名。
古典密码学
里程碑事件 1883年科克霍夫第一次提出密码编码原则。科克霍夫假设密码分析者知道双方使用的密码系统包括明文的统计特性、加密解密体质等唯一不知道的是密钥。 1949年香农发表The communication theory of serect systems 1971-1973年IBM Waston实验室的Horst Feistel等人发表了几篇对称加密的技术报告 1974年IBM提交了LUCIFER后来成为DES 1976年diffie和hellman的文章new directions in cryptography提出了公钥密码的概念 1977年RivestShmirAdleman提出了RSA公钥算法
扩散和混淆的概念
香农的贡献定义了理论安全性提出扩散和混淆原则奠定了密码学的理论基础。扩散将每一位明文尽可能地散布到多个输出密文中去以更隐蔽明文数字的统计特性。混淆使密文的统计特性与明文密钥之间的关系尽量复杂化使攻击者无法获得密钥。
攻击的分类
唯密文攻击Cipher-only attack: 攻击者有一个或多个密文攻击需要统计分析已知明文攻击Known-plaintext attack: 攻击者有一份密文和对应的明文进行算法和密钥推导选择明文攻击Chosen-plaintext attack: 攻击者有机会使用加密机因此可以选择任何明文并产生对应的密文攻击概率更大选择密文攻击Chosen-cipher attack: 攻击者有机会使用解密机因此可以选择一些密文并产生对应的明文。攻击难度由下到上逐渐增加。
模运算
同余若 a mod n b mod n 则 a 和 b 是模 n 的同余即 a ≡ b (mod n)同余性质若n整除|a-b则 a ≡ b (mod n)模算术运算的性质 [(a mod n) (b mod n)]mod n (a b)mod n[(a mod n) – (b mod n)]mod n (a - b)mod n[(a mod n) x (b mod n)]mod n (a x b)mod n 132图里的123错了
移位加密
加密过程y x k (mod 26)解密过程x y - k (mod 26)其中k就是加密密钥。
仿射加密
加密过程给定密钥(α,β) (mod 26)解密过程x1/α(y−β) (mod 26)1/α不是α的倒数而是乘法逆元。若 a * x ≡ 1 (mod) b, a, b 互质则称 x 为 a (模b)的逆元。#令b13
alpha [1, 3, 5, 7, 9, 11, 15, 17, 19, 21, 23, 25]
alpha_inverse [1, 9, 21, 15, 3, 19, 7, 23, 11, 5, 17, 25]维吉尼亚密码
列出明文并按照密钥长度分组用密钥对每个组内字母进行移位加密
DES
梳理流程了解大体过程DES实验
混淆与扩散 扩散为了隐藏明文统计属性而将一个明文符号的影响扩散到多个密文符号的加密操作直接影响是修改明文中的1位会导致平均一半的输出位发生变化常用于DES可通过位置换实现。混淆使密钥与密文之间的关系尽可能模糊的加密操作在DES和AES中都有使用可通过替换技术实现。
Feistel加密
总共16轮每轮做如下操作
DES密钥生成 DES流程 3DES由三个连续的DES加密组成也称之为三重DES。 数论
欧几里得算法
欧几里德算法又称辗转相除法用于计算两个整数ab的最大公约数。其计算原理依赖于下面的定理gcd(a,b) gcd(b,a mod b)
拓展欧几里得算法
拓展欧几里得算法对于给定整数a,b拓展的欧几里得算法不仅可以计算出最大公因子d, 而且可以得到两个整数x,y并满足ax by d gcd (a, b)。如果a,b 互素b 有模a的乘法逆元1/b y
欧拉函数 给定正整数m所有整数按照模m是否同余分为两两不相干的集合每一个集合称为模m的剩余类在剩余类的所有整数中通常用最小非负整数表示这个剩余类。 剩余类互素/互质定义在模m的一个剩余类当中如果有一个数与m互素则该剩余类中所有的数均与m互素这时称该剩余类与m互素。欧拉函数定义与m互素的剩余类的个数称为欧拉函数记为φ(m)。() 等于 Z_m当中与m互素 的数的个数。对于任意一个素数mφ(m)m-1。 有限域运算
元素个数有限的域称为有限域元素的个数是该有限域的阶。反之称为无限域。阶为 p n p^n pn的有限域可记为GF( p n p^n pn)有p个元素的有限域记为GF§。给定一个素数p有限域GF§被定义为整数 {0, 1, …, p-1}的集合Z_p其运算是模p的算术运算。性质GF§中任意元素w存在其逆元 w − 1 z w^{−1}z w−1z使得 w × z ≡ 1 m o d p w×z≡1 mod p w×z≡1modp。 普通多项式运算 系数在 z p z_p zp中的多项式运算系数在 z p z_p zp中的多项式运算要求在计算每个系数的值时需要做模计算。 不可约多项式在域F上若一个多项式不能写成两个多项式的乘积则被称为不可约多项式或素多项式。最大公因式 最大公因式c(x)gcd(a(x), b(x))服从下列条件多项式c(x)能同时整除a(x)和b(x)a(x)和b(x)的任何公因式都是c(x)的因式。性质 gcd(a(x), b(x))gcd(a(x) mod b(x), b(x)) 在有限域GF( 2 n 2^n 2n)上的多项式模运算GF( p n p^n pn) 给定一个素数p元素个数为 P n P^n Pn的有限域被定义为整数{0,1,…, P n − 1 P^{n-1} Pn−1}的集合 Z p Z_p Zp即p是域n是多项式的阶最高n-1 有限域GF( 2 n 2^n 2n)中的逆元也使用扩展的欧几里得算法求得。 生成元 G F ( P ) GF(P) GF(P) G F ( 2 n ) GF(2^n) GF(2n)系数需要mod P系数mod 2指数上如果乘法运算的结果是次数大于n−1的多项式那么必须将其除以某个次数为n的既约多项式m(x)并取余
AES
S-AES加密实验2000年10月2日NIST宣布Rijndael作为新的AES 密钥扩展算法 字节替换 轮密钥加 行变换 列混淆 RSA DH
DH实验安全性基于有限域上计算离散对数只能用于两个用户之间交换密钥不能进行加解密。 ElGamal公钥密码
ElGamal公钥密码实验p的位数要在1024以上。这是基于离散对数的数学困难问题。 椭圆曲线公钥密码体制ECC
只关注有限域P阶 2 n 2^n 2n先不管安全性基础椭圆曲线群上的离散对数问题。目前最好的解法仍然是指数时间。在密码学中可将椭圆曲线方程限制在如下形式 y 2 x 3 a x b , a , b ∈ F y^2x^3axb, a,b∈F y2x3axb,a,b∈F
Zp上的椭圆曲线
