網(wǎng)絡(luò)安全導(dǎo)論 實(shí)驗(yàn) 第14章 安全計(jì)算 實(shí)驗(yàn)匯報(bào)

1Blockchain百萬富翁協(xié)議與區(qū)塊鏈仿真DoNotTrack基于DNT協(xié)議的個(gè)性化廣告推送安全計(jì)算安全計(jì)算，中文全稱為安全多方計(jì)算，英文全稱為SecureMulti-partyComputation，縮寫為SMC，指的是在保護(hù)數(shù)據(jù)安全的前提下實(shí)現(xiàn)多方計(jì)算。安全計(jì)算的作用就是讓人們?cè)诒Ｗo(hù)數(shù)據(jù)隱私完成計(jì)算任務(wù)。Securecomputing百萬富翁協(xié)議與區(qū)塊鏈仿真A在經(jīng)典的百萬富翁協(xié)議中,一方在得到最后的財(cái)富比較結(jié)果后,沒有動(dòng)機(jī)將結(jié)果告訴另一方,或者告訴另一方一個(gè)錯(cuò)誤的結(jié)果。結(jié)合博弈論和密碼算法,提出一種百萬富翁協(xié)議。在此協(xié)議中,參與者背離協(xié)議的收益小于遵守協(xié)議的收益,遵守協(xié)議是參與者的最優(yōu)策略,任何百萬富翁的欺騙行為都能被鑒別和發(fā)現(xiàn),因此理性的參與者有動(dòng)機(jī)發(fā)送正確的數(shù)據(jù)。最后每個(gè)參與者都能公平地得到最后的財(cái)富比較結(jié)果。百萬富翁協(xié)議百萬富翁協(xié)議與區(qū)塊鏈仿真A區(qū)塊鏈中的交易是以Merkle樹的形式組織在一個(gè)個(gè)區(qū)塊中的，Merkle樹是通過遞歸哈希節(jié)點(diǎn)對(duì)來構(gòu)造的，直到只有一個(gè)哈希。這個(gè)最終地hash稱為Merkle根，Merkle樹可以僅用log2(N)的時(shí)間復(fù)雜度檢查任何一個(gè)交易是否包含在樹中。區(qū)塊鏈仿真百萬富翁協(xié)議與區(qū)塊鏈仿真A1、參考本章百萬富翁協(xié)議，把下述python代碼改成java代碼python代碼：java代碼：實(shí)驗(yàn)結(jié)果：百萬富翁協(xié)議與區(qū)塊鏈仿真A2、將交易的數(shù)據(jù)abcde放入到List中,進(jìn)行測(cè)試：要求代碼：java代碼：實(shí)驗(yàn)結(jié)果：百萬富翁協(xié)議與區(qū)塊鏈仿真A3、對(duì)實(shí)驗(yàn)2，如果再增加一個(gè)鏈表，把每個(gè)區(qū)塊鏈起來，應(yīng)該怎么做？百萬富翁協(xié)議與區(qū)塊鏈仿真A4、如何驗(yàn)證一個(gè)交易已經(jīng)被寫入?yún)^(qū)塊鏈只需要得到通過該交易求出的Merkleroot的hash值與該區(qū)塊的Merkleroothash值?樣即可證明該交易是存在該區(qū)塊中的。?個(gè)節(jié)點(diǎn)只需要計(jì)log~2~(N)個(gè)32字節(jié)的哈希值，形成?條從特定交易到樹根的認(rèn)證路徑或者M(jìn)erkle路徑即可。這使得?特幣節(jié)點(diǎn)能夠?效地產(chǎn)??條10或者12個(gè)哈希值（320~384字節(jié)）的路徑，來證明了在?個(gè)巨量字節(jié)??的區(qū)塊中上千交易中的某筆交易的存在。基于DNT協(xié)議的個(gè)性化廣告推送B1．通過實(shí)驗(yàn)回答下列問題（1）什么是DNT協(xié)議？（2）第5步中的javascript代碼有什么作用？（1）什么是DNT協(xié)議？DoNotTrack（DNT）實(shí)際是一個(gè)涉及隱私保護(hù)的協(xié)議，它是用戶和網(wǎng)站之間的一個(gè)“君子協(xié)定”，通過此協(xié)定，用戶可以允許也可以禁止網(wǎng)站搜集自己在網(wǎng)上的隱私蹤跡，比如常去哪個(gè)網(wǎng)站，有什么購(gòu)物習(xí)慣，經(jīng)常搜索哪些關(guān)鍵詞等。在用支持DNT功能的瀏覽器上網(wǎng)時(shí)，瀏覽器會(huì)將用戶設(shè)定的DNT信息隨HTTP請(qǐng)求一起發(fā)送給網(wǎng)站處理。（2）第5步中的javascript代碼有什么作用？向加入一張空白圖片，并設(shè)計(jì)好圖片的各項(xiàng)數(shù)據(jù).基于DNT協(xié)議的個(gè)性化廣告推送B2．在個(gè)性化廣告推送中用戶的電腦都被當(dāng)成了廣告機(jī)，請(qǐng)簡(jiǎn)述這一概念。廣告機(jī)是一種智能設(shè)備,它可以過終端軟件控制、網(wǎng)絡(luò)信息傳輸和多媒體終端顯示構(gòu)成一個(gè)完整的廣告播控系統(tǒng),進(jìn)行廣告宣傳,除此之外,廣告機(jī)還具備一定的,可以與顧客互動(dòng),從而吸引顧客主動(dòng)瀏覽廣告。在大數(shù)據(jù)時(shí)代，每個(gè)人的喜好通過數(shù)據(jù)被收集到網(wǎng)絡(luò)上，根據(jù)機(jī)器學(xué)習(xí)計(jì)算出用戶的喜歡的內(nèi)容或者產(chǎn)品。當(dāng)用戶打開軟件或者開啟系統(tǒng)時(shí)，廣告方將通過遠(yuǎn)程終端運(yùn)輸?shù)接脩舻碾娔X上，這樣用戶的電腦就會(huì)被當(dāng)做廣告機(jī)。基于DNT協(xié)議的個(gè)性化廣告推送B3、如果在Cookie技術(shù)被禁用后，如何解決個(gè)性化廣告推送的問題零方數(shù)據(jù)（Zero-partyData)，是目前第三方Cookie的替代方案之一。零方數(shù)據(jù)是用戶自曝的數(shù)據(jù)，也是品牌難以推斷或購(gòu)買的信息，換句話說，就是用戶自愿分享給媒體或品牌的信息。Forrester在2021年的報(bào)告《技術(shù)：零方數(shù)據(jù)解決方案》中是這么定義的：零方數(shù)據(jù)是用戶有意識(shí)并且主動(dòng)和品牌共享的信息。日常生活中，允許某個(gè)平臺(tái)使用其社交媒體數(shù)據(jù)，對(duì)平臺(tái)推送的內(nèi)容選擇了“不感興趣”等行為，都是品牌方可以獲取的零方數(shù)據(jù)。Cookie替代方案什么是cookieCookie，有時(shí)也用其復(fù)數(shù)形式Cookies。本意為甜餅，在互聯(lián)網(wǎng)中，其含義不同，Cookie類型為“小型文本文件”，是某些網(wǎng)站為了辨別用戶身份，進(jìn)行Session跟蹤而儲(chǔ)存在用戶本地終端上的數(shù)據(jù)（通常經(jīng)過加密），由用戶客戶端計(jì)算機(jī)暫時(shí)或永久保存的信息CookieCookie，”小型文本文件”，是某些網(wǎng)站為了辨別用戶身份，進(jìn)行Session跟蹤而儲(chǔ)存在用戶本地終端上的數(shù)據(jù)（通常經(jīng)過加密），由用戶客戶端計(jì)算機(jī)暫時(shí)或永久保存的信息。Cookie與零信任系統(tǒng)PHONEMOCKUPCookie指某些網(wǎng)站為了辨別用戶身份而儲(chǔ)存在用戶本地客戶端上的數(shù)據(jù)。因?yàn)镠TTP協(xié)議是不保存用戶狀態(tài)的，這使得用戶在交互式的web應(yīng)用中體驗(yàn)非常差。而Cookie就由此產(chǎn)生。

在一個(gè)網(wǎng)上購(gòu)物的場(chǎng)景中，用戶向購(gòu)物車添加了一些商品，最后結(jié)賬時(shí)，由于HTTP的無狀態(tài)性，不通過額外參數(shù)，服務(wù)器并不知道哪位用戶購(gòu)買了哪些商品。在這種場(chǎng)景下，服務(wù)端可通過設(shè)置或讀取Cookie中包含的信息，維護(hù)用戶的會(huì)話狀態(tài)。CookieCookie的前世今生由Cookie延伸出的漏洞跨站腳本攻擊跨站腳本攻擊（XSS）是最常見的web漏洞之一，攻擊者通常會(huì)利用XSS來竊取Cookie，但Cookie也可能會(huì)成為攻擊者payload中的一部分。越權(quán)漏洞越權(quán)漏洞顧名思義，就是繞過普通用戶的權(quán)限，可以訪問或修改其它用戶的數(shù)據(jù)，甚至有可能是管理員用戶數(shù)據(jù)的漏洞。在Cookie中如果用戶的特征過于明顯，例如user_id=1,那么攻擊者就會(huì)嘗試修改Cookie中的id探測(cè)是否存在越權(quán)漏洞。零信任系統(tǒng)的興起零信任代表了新一代的網(wǎng)絡(luò)安全防護(hù)理念，它的關(guān)鍵在于打破默認(rèn)的“信任”，用一句通俗的話來概括，就是“持續(xù)驗(yàn)證，永不信任”。默認(rèn)不信任企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，基于身份認(rèn)證和授權(quán)重新構(gòu)建訪問控制的信任基礎(chǔ)，從而確保身份可信、設(shè)備可信、應(yīng)用可信和鏈路可信?；诹阈湃卧瓌t，可以保障辦公系統(tǒng)的三個(gè)“安全”：終端安全、鏈路安全和訪問控制安全。隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)的不斷興起，企業(yè)IT架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變，傳統(tǒng)的安全邊界逐漸瓦解。隨著以5G、工業(yè)互聯(lián)網(wǎng)為代表的新基建的不斷推進(jìn)，還會(huì)進(jìn)一步加速“無邊界”的進(jìn)化過程。與此同時(shí)，零信任安全逐漸進(jìn)入人們的視野，成為解決新時(shí)代網(wǎng)絡(luò)安全問題的新理念、新架構(gòu)。零信任系統(tǒng)如何防御對(duì)于參數(shù)污染和敏感信息存儲(chǔ)漏洞等，零信任平臺(tái)可以通過威脅感知、數(shù)據(jù)防泄漏等安全能力，對(duì)返回?cái)?shù)據(jù)中已有的敏感數(shù)據(jù)做脫敏處理，同時(shí)也可以在平臺(tái)進(jìn)行告警，由IT/安全人員評(píng)估后告知研發(fā)人員是否存在風(fēng)險(xiǎn)及如何處理風(fēng)險(xiǎn)。零信任網(wǎng)關(guān)在攻擊者訪問到對(duì)應(yīng)資源前，就要求每位用戶主動(dòng)認(rèn)證。所以像SQL注入、反序列化漏洞、文件包含等漏洞，如果想要在零信任防御體系下完成常規(guī)web漏洞的利用，門檻較高而近些年興起的零信任系統(tǒng)也是可以防御一定的Cookie方面的漏洞網(wǎng)絡(luò)安全無論是遠(yuǎn)程代碼執(zhí)行還是權(quán)限繞過漏洞，其根本原因都是開發(fā)者在處理數(shù)據(jù)時(shí)，認(rèn)為用戶“不可能”修改，因此過分相信用戶的輸入并使用了該數(shù)據(jù)。網(wǎng)絡(luò)