《2022年社交网络安全模型的构建 .pdf》由会员分享,可在线阅读,更多相关《2022年社交网络安全模型的构建 .pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Construction of Social Network Security Model Shi Jiaoli1Hu Hui21) College of Computer Science and Technology, Jiujiang University, Jiujiang, Jiangxi, China() 2) College of Computer Science and Technology, Jiujiang University, Jiujiang, Jiangxi, China() Abstract There were many security threats in s
2、ocial network such as privacy breaches and spam mails etc. In allusion to the trust between users, the mechanism of fine granularity trust management was able to protect the privacy of users personal profiles;In order to realize the trust safeguard of background database, public key infrastructure (
3、PKI) shaped the trust chain and dynamic password technology clarified the responsibilities of interior administrators. On top of it, a new model of social network security is built based on the mechanism of fine granularity trust management, dynamic password technology and public key infrastructure.
4、 After the analysis of the mode, it is proved that it ensures the efficient management and healthy development of social network. Keywords Social network; Fine granularity trust manage mechanism; Security model社交网络安全模型的构建史姣丽1胡慧21)九江学院信息科学与技术学院,九江,江西,中国2)九江学院信息科学与技术学院,九江,江西,中国摘要:社交网络存在隐私泄露、垃圾邮件等多种安全威
5、胁。针对用户之间的信任问题,可以用细粒度信任管理机制实现用户个人资料信息的隐私保护;为实现后台数据库的信任保护,用公钥基础设施PKI 体系形成信任链,用动态口令技术澄清内部管理人员的责任。在此基础上,构建了一个新的基于细粒度信任管理机制、公钥基础设施 PKI 体系、 动态口令技术等的社交网络安全模型。经过对社交网络安全模型的分析证明,该模型能保证社交网络有效管理和健康发展。关键词:社交网络;细粒度信任管理机制;安全模型1引言随着企业、政务等信息化工程的开展,社交网络在与传统的、封闭的业务网络进行融合或连接时,不仅能够方便用户与好友之间交流,方便企业员工开拓业务;而且社交网络逐渐移动化,能够提供
6、基于位置的信息服务。同时,社交网络发展仍不成熟,无法为用户个人资料信息提供应用的保护,据报道,个人资料信息在社交网络中被利用者进行收集、积累、整理、复制、转让,甚至被恶意者获取。伦敦 IT 安全组织Nebulas Solution Group做过一份市场调查,结果表明,Facebook 等社交网站是网页攻击的主要目标。具体数字表明,五分之一的网页攻击针对于社交网络【1】。2009 年,RSA(EMC 信息安全事业部)在对网上4539名 18-65 岁分布在美国、欧洲、非洲等地的网民进行调查时,结果表明,网民关注个人资料信息的泄露,并希望得到保护。三分之二的网民不愿意在社交网络上分享个人资料信息
7、【3】。2社交网络安全现状分析从研究论文发表方面、攻击技术、攻击行为、安全风险等方面进行阐述。文献【 2】 ,文章作者认为,社交网络的安全问题远多于已经披露的,归咎于这些站点关键特性之一 开放,用户安全意识与他们的实际行为产生冲突,因此成为隐私悖论。社交网站滥用归咎于用户不负责任的行为。文献【 1】 中,网页黑客事故数据库的报告表示,Web2.0版本应用程序被攻击的频率更高。文献【4】中,RSA 报道了一例社交网络安全攻击,攻击银行的特洛伊使用社交网络作为命令控制服务器。2010 ETP/IITA 2010 International Conference on Management Scie
8、nce and Engineering 978-988-18242-7-1/10/$25.00 ?2010 ETP MSE2010 65名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 4 页 - - - - - - - - - 文献【 6】 ,总结社交网络攻击行为主要有七大类:身份假冒及针对性的个人信息攻击、制造垃圾邮件和僵尸网络、被改造的社交网络应用程序、个人信息与专业信息的交叉混杂、跨站脚本攻击或跨站请求伪造、身份窃取、公司间谍。文献【 7】 ,瑞星公司总结了社交网站
9、存在的风险在于,网站鼓励网民填写真实的姓名、家庭住址、 手机号码、MSN 、QQ 等个人信息,但是网站提供的安全保护却存在很多问题;网站鼓励网民将网站账户与手机绑定,完全以“方便”为立足点,漠视用户的“安全风险”;网站为了实现游戏等功能,使用大量Ajax 技术,很容易产生XSS 和 CSRF 攻击,使用户电脑中毒,网银账户失窃等。瑞星公司、新浪网专家提出了规避社交网络安全的措施:在社交网站填写任何个人资料之前,都要了解到其中蕴含的风险,要酌情输入出生日期以及其他敏感信息;不要轻易加 MSN 好友、 QQ 好友、社交网站好友;在使用社交网站时,要充分利用其安全机制;对于每个账号,使用复杂唯一的密
10、码,并经常进行更换;不要对任何人透露密码;不要在电脑上自动保存密码。相应的应该是设置更强大的密码,并通过记忆管理密码或将密码记录在可信赖的密码管理程序中。通过以上资料的汇总和分析,得出如下结论:多数专家的观点倾向于让用户自己规避社交网络安全的义务、承担社交网络安全带来的后果。本文认为,社交网络安全防范不能由用户全权承担,作为社交网络的建设者和管理者,有义务和责任对社交网络的数据进行安全保护。3.社交网络安全模型社交网络安全涉及外部环境、基础设施、加密技术、认证技术、数据隐藏技术等。本文通过分析社交网络安全的特有信任问题,设计用户之间的信任机制和后台数据库的信任机制,并以此为基础构建社交网络安全
11、模型。3.1 社交网络安全的设计社交网络的安全问题集中在以下几个方面,一是网站用户信息发布与隐私保护存在矛盾;二是在未告知用户的情况下,存储于后台数据库的个人资料数据被网络管理人员泄露;三是来自于网络黑客对后台个人资料数据实施攻击;四是来自然灾害对社交网络个人资料数据可用性的破坏。社交网站与其他网站相比所特有的安全问题集中在第一、二两个问题上。1、用户之间的信任机制设计针对用户信息发布与隐私存在矛盾,本文基于限制发布数据隐藏技术提出了细粒度信任管理机制,以方便用户能够智能管理个人资料信息。细粒度信任管理机制的设计要点有三:(1)直接信任的设计:用户在社交网站上注册后,用户 A 和用户 B 之间
12、如果完全信任,则可由用户相互给予信任值为 1 的良好评价;如果用户A 和用户B 素不相识,则可由用户相互给予信任值为0 的中性评价;如果用户A 给予用户 B 一个介于0 和 1 之间的信任值,则此值的大小就是用户 A 对用户 B 的信任程度; 用户 A 也可以因为之前的交往,给予用户B 以信任值为 -1 的恶评。(2)间接信任的设计:尽管用户A 对用户B 的信任值为 x (-1x1 ) , 且用户 B 对用户 C的信任值为y ( -1y1 ) ,但,用户 A 对用户 C 的信任值与x、y 无关。(3)限制发布的设计:与用户之间细粒度信任度赋值相对应,用户在管理个人资料信息时,可对自己的姓名、年
13、龄、家庭住址、电话号码等信息分别赋介于0 和 1 之间的门限值。 当用户B 的信任值大于用户A 对年龄所赋的年龄门限值时,用户B 就可以看到用户A 的年龄信息;当用户 B 的信任值小于用户A 的家庭住址门限值时,用户 B 就看不到用户A 的家庭住址信息。这部分功能的底层实现由限制发布隐私保护技术实现。考虑到成本,使用离散值表示用户之间的信任度,使用 eBay 系统中的信任模型(Trust Model in eBay System,TMBS )为基本模型。细粒度信任管理机制是一个集中式的体系结构,存储和管理评价信息均在中心服务器完成。2、后台数据库的信任机制设计后台数据库存储了整个社交网站的用户
14、资料信息和社交活动信息,后台数据库管理人员的可信活动是信任机制设计的关键。 PKI 体系、动态口令为信任机制设计的基础。PKI 体系( Public Key Infrastructure,公钥基础设施)是指在分布式计 算环境中,使用公钥加密技术和证书的安全服务集合。 PKI 公钥基 础设施 采用了证书管理公钥, 通过第 三方的 可信任机构认证中心,把用 户的公钥和用户的其他标识信息捆 绑在一起,在 Internet上验证用户的身份。通过 自动管理密钥和证书,为用 户建立起一个安全的网络运行环境, 使 用户可 以在多种应用环境下方便地使用加密和数字 签名技术, 从而保证网上数据的机密性、完整性、
15、有效性 。动态口令(One-Time-Password,简写 OTP ) 是根据时间、事件等因 素即时产生的随 机密码。动态密码的需要通过一个手持设备产生,该设备每次 生成 的密 码随66名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 4 页 - - - - - - - - - 时间变化, 每 次的密 码都不相同。 以此 防范网络管理人员盗用他人口令,以他 人身份在社交网 站后台数据库非授权复制用户个人资料信息。由省数字证书中心或者国家数字证书中心颁发证书给社交网站的法人
16、代表,社交网站法人代表在自己的CA 服务器上再为社交网站管理人员颁发证书,同时社交网站服务器分发动态口令给每一个网站管理人员。以此,省/国家数字证书中心、社交网站法人、社交网站管理人员之间形成信任链,而社交网站管理人员通过动态口令技术可以澄清内部责任。3.2 社交网络安全模型的构建为综合解决以上问题,借鉴P2DR、PPDRR 、IATF 等安全模型,针对社交网络特殊的安全需求,提出了社交网站安全模型(图1) 。图 1 社交网络安全模型社交网络外环境指的是除了技术以外的法律法规、政策激励等,良好的外环境是社交网站良性发展的前提。社交网络基础设施的安全是安全模型的基础,即社交网站的基础设施保护要满
17、足防盗、防水、防火、防磁等功能。操作系统要定期扫描漏洞并及时打上补丁。PKI体系管理证书,保证数据发布时不被篡改,保证数据存储前的验证。动态口令技术产生动态密码,使得社交网站管理人员之间不能假冒身份。基于角色的访问控制在保证“一次登录,资源享尽”的同时,方便在单一平台上对不同角色拥有不同权限进行细粒度的管理。隐私保护技术是不破坏数据统计特性,在保证数据挖掘等工作能够顺利进行的前提下,对数据进行加密、扰动或者限制发布。防火墙是指设置在可信任的企业内部网和不可信的公共网和不可信任的其他部门之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运
18、行状况,以此来实现网络的安全保护。入侵检测通过监控、分析用户和系统活动,发现入侵企图或者异常现象,记录并作出报警等响应,审计系统的配置及弱点,评估关键系统及数据文件的完整性。细粒度信任管理机制针对用户之间个人资料信息泄露问题提出来的解决方案。4.社交网络安全的两点建议4.1 推进社交网站安全相关的立法工作社交网络安全需要对数据隐私的保护给予相当的重视,立法可以给数据隐私侵害行为最直接打击。目前,世界各国都加强了数据隐私保护的立法工作,欧盟制定并通过了个人数据保护法指令、 电子通讯数据保护指令 、 私有数据保密法、 互联网上个人隐私权保护的一般原则 、 关于互联网上软件、硬件进行的不可见的和自动
19、化的个人数据处理的建议、 信息公路上个人数据收集、 处理过程中个人权利保护指南等相关法律法规。美国颁布了一系列保护隐私权的法律法规隐私权法 、 金融隐私权法 、 家庭教育权和隐私权法案、 联邦电子通讯隐私权保护法案、 网上儿童隐私保护法、全球电子商务发展框架; 英国制定了 数据保护法【8】。我国目前还没有制定专门的保护隐私权方面的法律,只在宪法 、 计算机信息网络国际联网安全保护管理办法 、 计算机信息网络国际联网管理暂行规定实施办法等法律法规中间接作了规定。但是些法规比较分散,而且较简单。我国企业在欧盟、北美等地区已遭遇到了被禁止收集客户信息的局面,缺乏隐私权立法已使我国的企业处于“不平等竞
20、争”的地位。4.2 购置VDMA标准数据保险柜,保证社交网站基础设施安全为了预防火灾、房屋倒塌、高磁场等自然灾害,提倡将数据存储设备置于VDMA标准保险柜。 目前世界上最权威的此种产品测试机构是德国VDMA 。VDMA 标准保险柜可以在外界温度高达一千度以上两个小时的情况下依然保持内部温度不超过50 摄氏度。 VDMA标准保险柜能有效防止数据媒体在长期存放时被磁化。数据保险柜还有防潮防盗功能。5总结面对网络技术普及对社交网站及其用户带来的安全威胁,应该借鉴国内外网络及信息安全方面的经验,制定适合我国社交网站的安全法律、法规、标准,建立完善的社交网站安全体系,既要有适应时下社交网站实际情况的管理
21、规章制度、法律法规,又要有先进实用的安全技术、专门人才,同时还要加以有效的监管。社交网络外环境安全的社交网络基础设施安全的操作系统(漏洞扫描)细粒度信任管理机制隐私保护防火墙 /入侵检测 /病毒防范 /应急响应 /容灾恢复 /风险评估PKI 体系 /动态口令 /基于角色的访问控制67名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 4 页 - - - - - - - - - References 1 Nebulas Solutions Group, “Hackers tur
22、n attention to social networks ”, Computer Business Review, http:/ August 2009. 2 Jan Nagy and Peter Pecho, “Social Networks Security,” Emerging Security Information, Systems, and Technologies, vol.0, Athens/Glyfada, Greece, June 2009, pp. 321-325. 3 RSA, “RSA Global Survey Reveals Confidence in Soc
23、ial Networking Security Shaken as Online Crime Rises ”, RSA, http:/ January 2010. 4 RSA, “Banking trojan uses social network as command and control server” , RSA, http:/ , July 2010. 5 Neil Roiter, “Social network security is risky business ”, Panel discussions at RSA focus on a more social attack v
24、ector, http:/ March 2010. 6 Website master, “ seven attacks action using social network” , BaiLuo Information Technology Co., Ltd., http:/ March 2009. 7 Rising, “ seven risks in social network ”, Computer Security,no.4, pp. 99-100, March 2009. 8 Li LiuY ing, “ construction of the Content security Architecture flor Web Information Resources Based on Classified Security protection” , Journal of Intelligence , vol.28, no.8, Xi an, China, Auguest 2009, pp.163-166. 68名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 4 页 - - - - - - - - -