您现在的位置是:首页 > 恋爱课程恋爱课程

社交网络平台认证 社交网络安全

2021-06-04 13:04:35恋爱课程人已围观

简介社交网络平台认证 社交网络安全一、社交网络安全现状社交网络是人类在互联网上传递信息、进行社交对话的一个平台。提供了以社交网络为基础的在线娱乐平台。社交网络中,用户在移动设备上安装第三方社交软件,并通过社交软件在第三方服务器注册和认证,第三方服务器获取该用户在社交网络中的身份标识,根据用户发出的请求在社交网络中获取相应的服务或数据并提供给用户。基于此身份认证模式,用户的身份数据在社交网络存在安全隐患。

泡学网

社交网络平台认证 社交网络安全

一、社交网络安全现状

社交网络是人类在互联网上传递信息和进行社交对话的平台。近年来,随着社交网络的飞速发展,网民之间的信息交流方式也发生了巨大的变化,社交网络在人们的日常生活中发挥着越来越重要的作用。人们可以在新浪微博上关注朋友和名人的最新动态,或者通过在微信朋友圈中分享信息来获得其他人的关注。社交网络为用户提供以下主要功能:

(1)在一定范围内创建和分享公开或半公开的用户信息;

(2)提供可联系的用户列表,为用户提供交流平台;

(3)网络聊天、交友、视频分享、博客、在线社区、音乐分享、添加评论等;

(4)提供应用插件开发等开放接口

社交网络发展的第一阶段是从1997年到2001年,出现了多种在线社交工具,比如早期的BBS,已经具备了社交网络的基本特征。 2001年,以创建瑞兹为标志,出现了一个商业社交网络平台。随后,QQ的出现,使现实世界中的人们能够在互联网上进行交流,用户数量迅速增加到300万。 2003年,My提供了一个基于社交网络的在线娱乐平台。 2004年的诞生,标志着社交网络的飞速发展。 2012年,随着月活跃用户数突破10亿,加上+、新浪微博、微信等的上线,社交网络进入成熟期。

目前,广告和游戏仍是当前社交网络的主要盈利模式。如何在植入广告、推广游戏的过程中保护用户隐私,成为值得研究和关注的社交网络安全问题。如今,社交网络已经脱离了纯粹的互联网概念。用户与网络之间的互动和参与,加速了社会行为向网络行为、真实社会关系向网络社会关系、社会信息向网络信息的转变。越来越多的用户迅速聚集,新信息量呈几何级增长。近年来,社交网络发展迅速。从“互联网+”的角度来看,社交网络和“互联网+社交”是社会化行为的互联网化。在一定程度上反映了线下真实的人类社会结构。社交网络通过各种兴趣将各种线下圈子转移到线上。陌生人社交可以让不擅长线下交流的人通过网络文字和图片来表达自己的情绪和悲伤。

与此同时,社交网络也面临着日益严重的安全威胁,成为互联网攻击的重点目标。为了达到交流的目的,人们愿意在各种社交网站上发布自己的信息。如果没有隐私保护意识和相应的技术防范,社交网站的安全使用将得不到保障。加之相关安全技术、法律法规的缺失,安全隐患逐渐凸显。我们必须高度重视社交网络的安全。

二、社交网络安全有问题

国家有关部门统计和国际社会网络安全问题研究表明,作为计算机网络应用的一种形式,社会网络中的各种安全问题与传统的计算机网络安全问题有许多相似之处。但是,由于社交网络的开放性,社交网络除了面临病毒、漏洞、木马等各种传统网络信息安全威胁外,还需要面对诸多针对自身特点的攻击。主要可分为3类:相关安全风险引起的用户隐私和数据泄露、安全风险引起的垃圾邮件泛滥和网络攻击、安全风险引起的网络谣言和网络舆论安全威胁等。

1、用户隐私和数据泄露导致相关安全风险

由用户信息泄露引发的网络犯罪已成为社交网络上最明显、最普遍的重要安全问题。对于社交网站来说,用户填写的个人信息越详细,其商业价值就越大。因此,几乎所有的社交网站都鼓励用户填写真实信息,但提供的安全保护不够,容易造成个人隐私泄露。社交网络定位为真正的朋友、校友、同学、同事等的网络交流平台,用户之间存在信任关系。攻击者往往利用这种信任关系来吸引用户对攻击者发送的恶意链接进行操作,从而产生多种网络攻击方式,危害极大。

由于社交网络的存在,钓鱼者利用窃取的真实信息进行伪装,然后利用好友之间的信任关系,沿社交网络大规模传播钓鱼攻击,使安全威胁日益严重。

2、Spam 泛滥和网络攻击带来的安全风险

社交网络的快速扩张和网络覆盖范围的逐渐扩大,导致各种垃圾邮件泛滥,网络攻击频发。以发送宣传广告信息为营销手段的垃圾邮件,不仅使用户淹没在海量信息中,也对用户的信息安全构成极大威胁。社交网络的垃圾邮件主要是垃圾邮件。这种垃圾邮件包含广告和恶意代码程序。通过用户的好友列表传播后,垃圾邮件的数量呈指数级增长。这些恶意程序显着增加了网络负载,同时导致用户之间缺乏信任。一些不法分子利用虚假身份制造大量虚假用户,伪造用户信息。当信息量过载时,会超过网络本身的承载能力社交网络平台认证,降低网络性能。严重的可能导致网络系统瘫痪,造成不可估量的损失。

同时,由于社交网络是基于相互信任的网络社交工具,犯罪分子可以在受害者不知情的情况下获取个人数据,并基于这些数据使用社会工程方法。对目标进行有针对性的攻击,使其感染病毒或木马。与以往的钓鱼邮件类似,犯罪分子可以利用社交网站上的特殊事件或新闻,在充分了解目标的基础上,吸引受害者点击他们提供的链接,造成严重后果。

3、网络谣言和重大负面舆论带来的安全风险

除了通过技术层面直接侵犯的网络安全问题外,社交网络还从意识形态、文化、言论内容层面渗透,包括网络谣言、知识产权危机、人际异化等文化安全问题,和意识形态的分裂。近年来,随着微博、微信等新兴社交平台的兴起,网络谣言也急剧增加。

社交网络对于网络舆论的形成具有天然的平台优势。一些特殊目的的网络谣言被煽动和炒作,对整个社会环境产生负面影响,引起社会动荡,甚至颠覆国家政权。网络谣言和重大负面舆论对社会稳定的影响已成为社交网络带来的最大安全问题。

三、社交网络安全技术解决方案

社交网站的安全解决方案可以通过适当的技术手段和管理措施来实施,单独的技术或管理对安全保护的影响是非常有限的。技术方法如下。

1、身份认证方案

为了保护社交网络中用户交互信息的安全,防止他人随意读取,应针对用户隐私信息设计一套安全的信息转发方案。安全的消息转发应满足以下两个基本要求。

(1):在信息转发过程中,对消息接收方进行验证,确保消息接收方为消息发送方指定的目标用户,有效避免仿冒攻击。

(2):在信息传输过程中,所有用户都需要进行身份验证,确保敏感信息只对经过身份验证的用户开放。建立合理的访问控制机制社交网络平台认证,避免攻击者非法访问。

在传统的公钥基础设施(PKI,Key)加密和 ID- 中,使用唯一的用户名或电子邮件地址作为用户身份标识符,但这种身份认证方案有两个缺陷:一方面,目前,很多社交网络是由服务商独立运营的,密钥生成中心是由服务商建立的,而不是可信的第三方。在这种情况下,社交网络系统的管理员是潜在的攻击者。如果直接采用ID-,则无法保证密钥生成过程的可靠性;另一方面,大多数社交网络用户使用昵称或化名,其唯一性和真实性无法得到保证。而且,在社交网络、电子邮件地址等中,信息本身就是一种私人信息,将其用作用户身份标识符是不安全的。

后面的Sec方案根据用户ID为用户生成私钥,直接使用用户ID作为用户的公钥。在大多数社交网络中社交网络平台认证,头像是一种公开信息,不仅易于获取,而且可以直观地表明用户的身份。因此,Sec方案使用这样的图片作为用户的身份标识。

2、社交网络身份加密方案

在社交网络中,用户在其移动设备上安装第三方社交软件,并通过社交软件向第三方服务器进行注册和认证。第三方服务器在社交网络中获取用户的身份,并根据用户的请求从社交网络中获取相应的服务或数据并提供给用户。基于这种身份认证模式,用户的身份数据在社交网络中存在潜在的安全风险。首先,由于无线数据链路的开放性,如果第三方服务器直接使用社交网络中的身份进行身份认证并获取或提供数据,则用户在社交网络中的身份很容易被盗取;第二,无法保护用户信息的隐私。如果攻击者窃取了部分用户信息,就可以找出该信息对应的具体用户。

为了解决社交网络用户在交流过程中的身份安全问题,一些文献提出了-K方案。原理简述如下。

当用户 A 和 B 在社交网络中进行通信时,如果用户想要获取其他用户的身份数据,则必须与身份服务器进行如下通信:

(1)A向B发送访问请求,B首先通过身份服务器获取一个随机匿名ID,身份服务器将B的匿名ID与B的真实ID关联起来;

(2)B 向身份服务器注册他当前的位置信息。如果攻击者在网络上的另一个位置重放数据包,身份服务器可以发现它以防止虫洞攻击;

(3)B 将他的匿名 ID 发送给 A;

(4)A向身份服务器发送B的匿名ID和查询请求,身份服务器根据(1))中的对应关系通过B的匿名ID获取B的社交网络ID,然后获取B的社交网络ID社交网络数据并转发给A,查询成功后,身份服务器本次分配给B的匿名ID失效。

-K方案中,社交网络中的用户完全使用匿名ID,每个匿名ID只能使用一次,确保即使被拦截,攻击者也无法进行攻击。

3、数据安全管理

目前,几乎所有的社交网络运营商都会将用户信息存储在一个中央服务器上,这很容易引发大规模的信息泄露事件。该模型是针对该问题的基于P2P(Peer-to-Peer)基础网络的非中心社交网络架构。目的是防止在中央服务器的控制下大规模泄露用户数据。该模型提供了有效的信任关系管理,改善了合法节点之间的协作特性。每个节点代表一个参与实体,通过化名或节点标识符唯一标识,逻辑上将朋友视为邻居节点,并使用分布式哈希表(DHT,Hash)算法设计基于邻居的信息存储、转发和搜索方案节点代理,保证匿名性和搜索效率,使用PKI作为基本加密方案。

信任关系图是一种逻辑关系图,将一些具有信任关系的节点组织在一起,分布在一组同心圆上。每个用户进入系统后,都会建立并维护这样一个以自己为中心节点的关系图。中心节点外的一级节点与中心节点相互信任。一级节点对中心节点的用户数据进行加密存储,因此称为镜像节点。一级节点的可信节点全部分布在二级,外层受内层节点信任。如果用户想要向中心节点发送消息,他们必须从信任关系图的最外层节点开始,逐层向内传递。这样,消息的传递发生在两个可信节点之间,但路径上的节点不一定是目标节点的可信节点,每个节点的关系列表作为私有信息,其他节点无法知道比自己。这样,外部节点就无法猜测数据传输的真实路径。作为受信任的第三方,每个进入网络的用户都必须通过受信任的身份服务器获得许可。服务器为用户生成两种信息的唯一假名、唯一节点标识符和真实性证书。

该模型具有许多安全优势。

(1)新用户建立在对注册用户的信任基础上,需要向可信身份服务器提供身份证明才能获得认证和授权,可以有效防止假冒攻击。

(2)该模型的严格信任关系管理方案要求数据只能在可信链路上传输,身份信息只能在可信节点之间共享,采用两级公钥加密方案实现数据访问在严格的权限控制下,每一跳信息都经过加密传输,确保数据的完整性、隐私性和访问控制。

(3)该模型加强了节点间协作的特性,可以有效防止不受信任节点的恶意行为。入口节点的位置(即节点的IP地址)可以通过DHT协议查询到防止黑洞、错误路由等。攻击提高了系统的可用性。

4、组数据访问控制

随着越来越多的人使用社交网络,产生的用户数据量也在增加,需要对用户数据进行有效的群组管理。群组管理是指根据用户指定或自由组合将联系人分成不同的群组。每个群组中的消息和数据只能由用户和群组成员访问。这种分组管理方式在采用现有的对称加密方式进行加密时,使用的密钥管理更加复杂,会大大增加数据的存储冗余,同时也无法防止串通攻击。

为了克服现有对称加密的缺点,将现有的公钥加密和基于属性的加密(ABE)相结合,设计了一种自动化的密钥管理方案,即该方案。本方案实现的无中心系统的核心是用户确定访问策略,并允许用户将个人数据加密存储在中间介质上。

该解决方案首先为系统的每个用户生成一个 ABE 公钥(APK,ABE Key)和一个 ABE 主密钥(AMSK,ABE Key)。并为用户的每个联系人分配一个ABE私钥(ASK,ABE Key),其中ASK对应联系人所属组的属性。

这个方案主要有两个优点:一是因为不同的群组使用不同的访问策略,所以在同一个群组内的联系人之间以及用户和联系人之间进行通信时不需要获取详细的属性。列表,可以控制信息的访问权限;其次,群组的创建更加灵活,可以由用户自己创建,也可以由联系人创建。

5、其他安全的社交网络解决方案

上一节介绍了几种社交网络安全解决方案,从身份认证、身份加密、数据安全管理、数据分组等方面进行了研究,此外还有很多其他研究社交网络的成果从其他方面。安全应用保护方案。

比如社交网站在应用过程中存在“非对称设置”的问题,即用户设置了自己的隐私信息权限,使得其他用户除了指定的联系人无法访问,但是这些指定的联系人却没有不做相应回应,这样一来,用户的隐私信息就会通过联系人的个人页面泄露出去。为此,可以建立对称的隐私保护方案;用户所在位置与其在社交网络中发布的内容之间的关系可能带来的安全隐患,提出新环境下的安全解决方案;通过会话控制、策略控制、属性控制和关系控制,根据需要提供高效、可用、多变的访问控制解决方案,提出可扩展、以用户行为为中心的访问控制框架;基于不同个人、群体、数据处理单位、组织和基于社交网络的网站之间的信息交换和关系映射,提出了多方合作的社交网络隐私保护方案。

四、提供社交网络安全管理措施

社会网络安全管理措施的建设包括以下几个方面。

1、加强网站安全建设

总的来说,社交网站的建设与其他网站没有什么不同。但是,为了满足一些特殊的需求,社交网络经常使用相同的软件。因此,我们必须对跨站脚本攻击等网络风险给予足够的重视。要定期对社交网站进行安全维护和测试,建立完善的网站管理体系。例如,基于社交网络的特点,网站建设者应严格排查用户输入内容,对输入框进行代码测试,使用专业的测试设备进行漏洞检测,对流经网站的信息进行实时监控以应对一些带有参数的网页链接隐含的安全隐患。

2、 加强用户数据保护意识

为了应对中央服务器可能发生的大规模用户信息泄露,可以采用相对严格的访问控制机制,根据信息的重要性建立信息安全等级,并采取相应的保护措施。用户的私人信息。同时,用户自身也需要树立安全防护意识,加大风险防范。在社交网站上注册时,不要随意透露其收入、婚姻、银行账户等隐私信息;使用社交网站时不要轻易添加微信和QQ好友。您在使用本网站时必须注意安全注意事项,使用后及时清理信息或修改密码,防止账户信息被黑客获取。

3、加强第三方监管

社交网站与第三方的合作是用户隐私泄露的另一个重要途径,也是保护用户隐私、降低隐私泄露风险需要关注的问题。在当前的网络环境下,第三方网站或第三方程序一般需要用户申请授权,即同意该网站或程序获取用户信息。因此,需要在保证第三方程序实现其功能的前提下,严格监控信息流向。同时,要加强对第三方应用的审计,及时清除存在安全隐患的应用,为用户提供安全保障。

4、加强法律监管

当前,网络犯罪呈上升趋势,与用户隐私相关的网络犯罪形式多种多样。一方面,法律的不完善阻碍了对窃取用户隐私的违法行为的有效制裁,降低了违法成本;另一方面,由于维权成本高昂,当出现信息泄露等侵权行为时,网民往往会选择吞吞吐吐。 在社交网络应用日益广泛的今天,更需要从法律层面对社交网络进行监管。

Tags:社交网络平台认证

相关文章

站点信息

  • 文章统计12929篇文章
  • 浏览统计16816470次浏览
  • 评论统计0个评论
  • 标签管理标签云
  • 统计数据:统计代码
  • 微信:扫描二维码,关注我们