本文探讨了侧信道攻击如何在加密的Web应用中导致敏感信息泄露,即使使用了HTTPS和高级加密算法。侧信道攻击通过收集数据传输的边缘信息,如时间、功率和电磁辐射,来推断加密数据的内容。以在线医疗系统为例,展示了攻击者如何通过分析数据包大小推断用户输入,从而获取敏感的医疗隐私数据。文章提出了填充数据包的防范方法,但也指出完全避免侧信道攻击需要针对具体应用采取更精细的防御策略。
1 背景简介
随着互联网的迅速发展与普及,互联网带给网民的服务也越来越方便、快捷,尤其是Web2.0的产生与发展,使得用户在Web应用使用过程中的交互体验越来越完善。而在应用的范围来看,不再仅仅是最初的看新闻、发邮件的简单应用,Web的应用已经渗透到了现代人生活的方方面面:利用搜索引擎查找资料,建立在线健康档案,在线财务咨询管理等等。互联网已经成为大多数社会人存在的重要的空间之一,因此网络安全的防护也变得越来越重要,尤其是使用最广泛的Web应用安全,也越来越受到人们的重视。
2 安全威胁与传统防护措施
在互联网与人们生活紧密结合的同时,各类网络攻击事件也不断地发生挑动着人们的神经。RFC2828将网络攻击分为了主动攻击与被动攻击两类,主动攻击是指攻击者对网络活动造成一定影响进而也会影响系统的结果,而被动攻击通常是一种隐秘的行为,其目的不是影响网络而是对敏感数据进行窃取。对于被动攻击,最直接有效的手段就是加密,使得信息的随机不定性增加,最常用的如3DES、AES、RSA等高级加密算法。通过这些算法的使用,攻击者就很难再从捕获的网络数据中解读到敏感的用户信息。
在Web应用方面,超文本传输协议(Hypertext Transfer Protocol,HTTP)是最主要的应用层协议。但RFC2068对HTTP/1.1的规定是采用明文传输数据,虽然这个规定可以方便信息的传输,但是可以想象的到,明文传输数据造成的安全威胁:窃听者很容易捕获到其他用户的信息。因此,超文本传输安全协议(Hypertext Transfer Protocol Secure,HTTPS)出现并弥补这个安全缺陷。HTTPS协议本身是HTTP协
最低0.47元/天 解锁文章
262
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
