网络安全导论 实验 第14章 安全计算 实验汇报

1Blockchain百万富翁协议与区块链仿真DoNotTrack基于DNT协议的个性化广告推送安全计算安全计算，中文全称为安全多方计算，英文全称为SecureMulti-partyComputation，缩写为SMC，指的是在保护数据安全的前提下实现多方计算。安全计算的作用就是让人们在保护数据隐私完成计算任务。Securecomputing百万富翁协议与区块链仿真A在经典的百万富翁协议中,一方在得到最后的财富比较结果后,没有动机将结果告诉另一方,或者告诉另一方一个错误的结果。结合博弈论和密码算法,提出一种百万富翁协议。在此协议中,参与者背离协议的收益小于遵守协议的收益,遵守协议是参与者的最优策略,任何百万富翁的欺骗行为都能被鉴别和发现,因此理性的参与者有动机发送正确的数据。最后每个参与者都能公平地得到最后的财富比较结果。百万富翁协议百万富翁协议与区块链仿真A区块链中的交易是以Merkle树的形式组织在一个个区块中的，Merkle树是通过递归哈希节点对来构造的，直到只有一个哈希。这个最终地hash称为Merkle根，Merkle树可以仅用log2(N)的时间复杂度检查任何一个交易是否包含在树中。区块链仿真百万富翁协议与区块链仿真A1、参考本章百万富翁协议，把下述python代码改成java代码python代码：java代码：实验结果：百万富翁协议与区块链仿真A2、将交易的数据abcde放入到List中,进行测试：要求代码：java代码：实验结果：百万富翁协议与区块链仿真A3、对实验2，如果再增加一个链表，把每个区块链起来，应该怎么做？百万富翁协议与区块链仿真A4、如何验证一个交易已经被写入区块链只需要得到通过该交易求出的Merkleroot的hash值与该区块的Merkleroothash值⼀样即可证明该交易是存在该区块中的。⼀个节点只需要计log~2~(N)个32字节的哈希值，形成⼀条从特定交易到树根的认证路径或者Merkle路径即可。这使得⽐特币节点能够⾼效地产⽣⼀条10或者12个哈希值（320~384字节）的路径，来证明了在⼀个巨量字节⼤⼩的区块中上千交易中的某笔交易的存在。基于DNT协议的个性化广告推送B1．通过实验回答下列问题（1）什么是DNT协议？（2）第5步中的javascript代码有什么作用？（1）什么是DNT协议？DoNotTrack（DNT）实际是一个涉及隐私保护的协议，它是用户和网站之间的一个“君子协定”，通过此协定，用户可以允许也可以禁止网站搜集自己在网上的隐私踪迹，比如常去哪个网站，有什么购物习惯，经常搜索哪些关键词等。在用支持DNT功能的浏览器上网时，浏览器会将用户设定的DNT信息随HTTP请求一起发送给网站处理。（2）第5步中的javascript代码有什么作用？向加入一张空白图片，并设计好图片的各项数据.基于DNT协议的个性化广告推送B2．在个性化广告推送中用户的电脑都被当成了广告机，请简述这一概念。广告机是一种智能设备,它可以过终端软件控制、网络信息传输和多媒体终端显示构成一个完整的广告播控系统,进行广告宣传,除此之外,广告机还具备一定的,可以与顾客互动,从而吸引顾客主动浏览广告。在大数据时代，每个人的喜好通过数据被收集到网络上，根据机器学习计算出用户的喜欢的内容或者产品。当用户打开软件或者开启系统时，广告方将通过远程终端运输到用户的电脑上，这样用户的电脑就会被当做广告机。基于DNT协议的个性化广告推送B3、如果在Cookie技术被禁用后，如何解决个性化广告推送的问题零方数据（Zero-partyData)，是目前第三方Cookie的替代方案之一。零方数据是用户自曝的数据，也是品牌难以推断或购买的信息，换句话说，就是用户自愿分享给媒体或品牌的信息。Forrester在2021年的报告《技术：零方数据解决方案》中是这么定义的：零方数据是用户有意识并且主动和品牌共享的信息。日常生活中，允许某个平台使用其社交媒体数据，对平台推送的内容选择了“不感兴趣”等行为，都是品牌方可以获取的零方数据。Cookie替代方案什么是cookieCookie，有时也用其复数形式Cookies。本意为甜饼，在互联网中，其含义不同，Cookie类型为“小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息CookieCookie，”小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息。Cookie与零信任系统PHONEMOCKUPCookie指某些网站为了辨别用户身份而储存在用户本地客户端上的数据。因为HTTP协议是不保存用户状态的，这使得用户在交互式的web应用中体验非常差。而Cookie就由此产生。

在一个网上购物的场景中，用户向购物车添加了一些商品，最后结账时，由于HTTP的无状态性，不通过额外参数，服务器并不知道哪位用户购买了哪些商品。在这种场景下，服务端可通过设置或读取Cookie中包含的信息，维护用户的会话状态。CookieCookie的前世今生由Cookie延伸出的漏洞跨站脚本攻击跨站脚本攻击（XSS）是最常见的web漏洞之一，攻击者通常会利用XSS来窃取Cookie，但Cookie也可能会成为攻击者payload中的一部分。越权漏洞越权漏洞顾名思义，就是绕过普通用户的权限，可以访问或修改其它用户的数据，甚至有可能是管理员用户数据的漏洞。在Cookie中如果用户的特征过于明显，例如user_id=1,那么攻击者就会尝试修改Cookie中的id探测是否存在越权漏洞。零信任系统的兴起零信任代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，用一句通俗的话来概括，就是“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则，可以保障办公系统的三个“安全”：终端安全、链路安全和访问控制安全。随着云计算、大数据、物联网等新兴技术的不断兴起，企业IT架构正在从“有边界”向“无边界”转变，传统的安全边界逐渐瓦解。随着以5G、工业互联网为代表的新基建的不断推进，还会进一步加速“无边界”的进化过程。与此同时，零信任安全逐渐进入人们的视野，成为解决新时代网络安全问题的新理念、新架构。零信任系统如何防御对于参数污染和敏感信息存储漏洞等，零信任平台可以通过威胁感知、数据防泄漏等安全能力，对返回数据中已有的敏感数据做脱敏处理，同时也可以在平台进行告警，由IT/安全人员评估后告知研发人员是否存在风险及如何处理风险。零信任网关在攻击者访问到对应资源前，就要求每位用户主动认证。所以像SQL注入、反序列化漏洞、文件包含等漏洞，如果想要在零信任防御体系下完成常规web漏洞的利用，门槛较高而近些年兴起的零信任系统也是可以防御一定的Cookie方面的漏洞网络安全无论是远程代码执行还是权限绕过漏洞，其根本原因都是开发者在处理数据时，认为用户“不可能”修改，因此过分相信用户的输入并使用了该数据。网络