主頁 > 軟體設計 > 從系統架構分析安全問題及應對措施

從系統架構分析安全問題及應對措施

2022-09-15 08:03:02 軟體設計

在日常生產生活中,我們常說,“安全第一”、“安全無小事”,圍繞著安全問題,在各行各業都有對各類常見安全問題的解決方案和突發安全問題的應急預案,在互聯網、軟體開發領域,我們日常作業中對各類常見的安全問題又有哪些常見的解決方案呢?在此,結合經典架構圖做一個梳理,

經典架構圖


下面,結合上述的經典架構圖,對資料存盤、微服務介面、外網資料傳輸及APP層可能出現的安全問題進行分析,并給出一些常見的應對措施,

1 資料存盤

為了保證資料存盤的安全,對于敏感資料在進行存盤時,需要進行加密存盤,同時,敏感資料建議在全公司進行收口管理,便于統一管理,對敏感資料進行加密存盤時,常見的加密方式有可逆加密和不可逆加密,分別適用于不同的敏感資料,

1.1 可逆加密或對稱加密

可逆加密,即通過對密文進行解密后,能把密文解密還原出明文,對稱加密演算法加密和解密用到的密鑰是相同的,這種加密方式加密速度非常快,適合經常發送資料的場合,缺點是密鑰的傳輸比較麻煩,比如:網路購物的識訓地址、姓名、手機號等就適合用該加密方式,常用的對稱加密演算法有DES、AES,下面以AES為例說明對稱加密的程序,

 

在該加解密中,對于秘鑰K的生成需要加解密雙方共同制定并妥善保管,通常,我們會把該秘鑰K存盤在需要使用加解密程式的行程內,便于在程式使用時直接進行使用,

1.2 不可逆加密

不可逆加密,即不需要解密出明文,如:用戶的密碼,不可逆加密常用的演算法有RES、MD5等,在此以MD5為例進行說明,但大家都知道,MD5演算法是存在碰撞的,即不同的明文通過MD5加密后,存在相同的密文,因此,直接使用MD5對密碼進行加密在生產上是不嚴謹的,通常還需要配合鹽(salt)進行使用,對于鹽的使用,也有一定的技巧,一種鹽值是固定的,即所有的明文在進行加密時都使用相同的鹽進行加密;另一種是結合具體的業務場景,用可變鹽值,比如:就密碼加密而言,可以把用戶名的部分或全部作為鹽值,和密碼進行一起加密后存盤,

 

2 微服務介面

微服務的安全,需要從請求鑒權和請求容量限制這2個方面來考慮,對于請求鑒權,可以設定請求IP黑名單的方式,對該IP的所有請求或全部放行或全部拒絕,該方式的粒度較粗,而如果要做得較細粒度一些,可以針對具體的API進行token鑒權,相比粗粒度該方式會控制得比較精準;

 

<jsf:consumer id="setmentService" interface="com.jd.lfsp.jsf.service.SetmentService"
                  protocol="jsf" alias="${jsf.consumer.alias}" timeout="${jsf.consumer.timeout}" retries="0">
        <jsf:parameter key="token" value=https://www.cnblogs.com/Jcloud/p/"${jsf.consumer.token}" hide="true" />
</jsf:consumer>
 

除了對請求鑒權外,在實際的生產中,還可以對請求容量進行限制,對請求容量進行限制時,可以按QPS進行限制,也可以對每天的最大請求次數進行限制,在jsf平臺管理端,可以對具體的方法進行請求的QPS限流,

 

3 資料傳輸

資料傳輸主要分為資料通過前端APP的請求,進入到服務網關前和進入服務網關后這倆部分,對于資料已經進入服務網關后,這屬于機房內的資料傳輸,通常這類加密意義不大,對這類的資料傳輸的安全需要建立相應的內部安全機制及流程規范,通過制度措施來保證,而資料在進入服務網關前,對資料的安全傳輸有哪些可做的,在資料請求進入服務網關前,通常我們有基于SSL協議的傳輸加密以及現在普遍通用的HTTPS加密,

 

HTTPS也是HTTP和SSL協議的結合體,所以在資料傳輸中,SSL協議扮演了至關重要的角色,那SSL協議的作業程序是怎么樣的,他是怎么保證資料傳輸程序中的安全的呢?下面為大家決議一下SSL協議的作業程序,

 

SSL客戶端與SSL服務端驗證的程序如下:

  1. SSL客戶端向SSL服務端發送隨機訊息ClientHello的同時把自己支持的SSL版本、加密演算法、秘鑰交換演算法、MAC演算法等資訊一并發送;
  2. SSL服務端收到SSL客戶端的請求后,確定本次通信采用的SSL版本及加密組件和MAC演算法,并通過ServerHello發送給SSL客戶端;
  3. SSL服務端將攜帶自己公鑰資訊的數字證書通過Certificate發送給SSL客戶端;
  4. SSL服務端通過ServerHelloDone訊息通知SSL客戶端版本和加密組件協商結束,開始進行秘鑰交換;
  5. SSL客戶端驗證SSL服務端發送的證書合法后,利用證書中的公鑰加密亂數生成ClientKeyExchange發送給SSL服務端;
  6. SSL客戶端發送ChangeCipherSpec訊息,通知SSL服務端后續將用協商好的秘鑰及加密組件和MAC值;
  7. SSL客戶端計算已互動的握手訊息的hash值,利用協商好的秘鑰和加密組件加密hash值,并通過Finished訊息發送給SSL服務端,SSL服務端用相同的方法計算已互動的hash值,并與Finished訊息進行對比,二者相同且MAC值相同,則秘鑰和加密組件協商成功;
  8. 同樣地,SSL服務端也通過ChangeCipherSpec訊息通知客戶端后續報文將采用協商好的秘鑰及加密組件和MAC演算法;
  9. SSL服務端端計算已互動的握手訊息的hash值,利用協商好的秘鑰和加密組件加密hash值,并通過Finished訊息發送給SSL客戶,SSL客戶端用相同的方法計算已互動的hash值,并與Finished訊息進行對比,二者相同且MAC值相同,則秘鑰和加密組件協商成功;

通過上面的這個互動程序,我們可以看出,在使用SSL的程序中,除了客戶端(瀏覽器)跟服務器之間的通訊外,其他的任何第三方想要獲取到協商的秘鑰是比較困難的,即使有比較厲害的人獲取到了,基于目前用戶在某個網站上的時效性,會影響我們對應秘鑰的時效性,因此,造成的破壞性也比較有限,

4 APP

在APP層的安全問題,需要結合服務端一并來解決,在這主要介紹驗證碼這種形式,驗證碼作為一種人機識別手段,其主要作用是區分正常人操作還是機器的操作,攔截惡意行為,當前互聯網中,大多數系統為了更好地提供服務,通常都需要用戶進行注冊,注冊后,用戶每次在使用系統時需要進行登錄,登錄程序中,為了防止系統非法使用,通常都需要用戶進行登錄操作,登錄程序中,常用的驗證方式主要通過驗證碼進行驗證,當前比較常用的驗證碼有以下幾種型別,

4.1 短信驗證碼

目前用得比較廣泛的一種驗證碼形式,輸入有效的手機號后,系統給手機號發送相應的短信驗證碼完成驗證,

 

4.2 語音驗證碼

通過輸入有效的手機號,系統給手機號撥打電話后,用語音播報的方式完成驗證碼的驗證,

 

4.3 圖片驗證碼

較傳統的驗證碼驗證方式,由系統給出驗證碼在頁面顯示,在進行頁面提交時,驗證碼一并提交到系統后臺驗證,

 

4.4 語意驗證碼

比較新穎的一種驗證碼形式,但是該種方式相比較而言對用戶不是特別友好,需要慎用,

 

除了上述的幾種目前常用的驗證碼外,還有文本驗證碼、拼圖驗證碼、問題類驗證碼等,在此就不再一一列舉,大家如果感興趣可以自己去搜索、學習,

這主要從系統的架構上,分析了日常作業中我們所接觸到的比較常見的一些安全問題及其應對措施,在實際作業的安全問題遠不止這里提到的內容,希望在日常作業中,我們大家都繃緊安全的神經,時刻關注自己作業中的各類潛在的安全問題,爭取把安全問題消滅在系統發布前,

5 參考文獻

SSL是如何加密傳輸的資料的:
[技術每日說] - SSL是如何加密傳輸的資料的!

名詞解釋:

  • SSL:(Secure Socket Layer,安全套接字層),位于可靠的面向連接的網路層協議和應用層協議之間的一種協議層,SSL通過互相認證、使用數字簽名確保完整性、使用加密確保私密性,從而實作客戶端和服務器之間的安全通訊,該協議由兩層組成:SSL記錄協議和SSL握手協議,
  • HTTPS:(全稱:Hypertext Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版(HTTP+SSL),即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL,

作者:廖宗雄

轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/508126.html

標籤:架構設計

上一篇:當我使用重繪時Firebase停止保存

下一篇:微服務設計(一)---微服務架構基礎

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 面試突擊第一季,第二季,第三季

    第一季必考 https://www.bilibili.com/video/BV1FE411y79Y?from=search&seid=15921726601957489746 第二季分布式 https://www.bilibili.com/video/BV13f4y127ee/?spm_id_fro ......

    uj5u.com 2020-09-10 05:35:24 more
  • 第三單元作業總結

    1.前言 這應該是本學期最后一次寫作業總結了吧。總體來說,對作業的節奏也差不多掌握了,作業做起來的效率也更高了。雖然和之前的作業一樣,作業中都要用到新的知識,但是相比之前,更加懂得了如何利用工具以及資料。雖然之間卡過殼,但總體而言,這幾次作業還算完成的比較好。 2.作業程序總結 相比前兩個單元,此單 ......

    uj5u.com 2020-09-10 05:35:41 more
  • 北航OO(2020)第四單元博客作業暨課程總結博客

    北航OO(2020)第四單元博客作業暨課程總結博客 本單元作業的架構設計 在本單元中,由于UML圖具有比較清晰的樹形結構,因此我對其中需要進行查詢操作的元素進行了包裝,在樹的父節點中存盤所有孩子的參考。考慮到性能問題,我采用了快取機制,一次查詢后盡可能快取已經遍歷過的資訊,以減少遍歷次數。 本單元我 ......

    uj5u.com 2020-09-10 05:35:48 more
  • BUAA_OO_第四單元

    一、UML決議器設計 ? 先看下題目:第四單元實作一個基于JDK 8帶有效性檢查的UML(Unified Modeling Language)類圖,順序圖,狀態圖分析器 MyUmlInteraction,實際上我們要建立一個有向圖模型,UML中的物件(元素)可能與同級元素連接,也可與低級元素相連形成 ......

    uj5u.com 2020-09-10 05:35:54 more
  • 6.1邏輯運算子

    邏輯運算子 1. && 短路與 運算式1 && 運算式2 01.運算式1為true并且運算式2也為true 整體回傳為true 02.運算式1為false,將不會執行運算式2 整體回傳為false 03.只要有一個運算式為false 整體回傳為false 2. || 短路或 運算式1 || 運算式2 ......

    uj5u.com 2020-09-10 05:35:56 more
  • BUAAOO 第四單元 & 課程總結

    1. 第四單元:StarUml檔案決議 本單元采用了圖模型決議UML。 UML檔案可以抽象為圖、子圖、邊的邏輯結構。 在實作中,圖的節點包括類、介面、屬性,子圖包括狀態圖、順序圖等。 采用了三次遍歷UML元素的方法建圖,第一遍遍歷建點,第二、三次遍歷設定屬性、連邊,實作圖物件的初始化。這里借鑒了一些 ......

    uj5u.com 2020-09-10 05:36:06 more
  • 談談我對C# 多型的理解

    面向物件三要素:封裝、繼承、多型。 封裝和繼承,這兩個比較好理解,但要理解多型的話,可就稍微有點難度了。今天,我們就來講講多型的理解。 我們應該經常會看到面試題目:請談談對多型的理解。 其實呢,多型非常簡單,就一句話:呼叫同一種方法產生了不同的結果。 具體實作方式有三種。 一、多載 多載很簡單。 p ......

    uj5u.com 2020-09-10 05:36:09 more
  • Python 資料驅動工具:DDT

    背景 python 的unittest 沒有自帶資料驅動功能。 所以如果使用unittest,同時又想使用資料驅動,那么就可以使用DDT來完成。 DDT是 “Data-Driven Tests”的縮寫。 資料:http://ddt.readthedocs.io/en/latest/ 使用方法 dd. ......

    uj5u.com 2020-09-10 05:36:13 more
  • Python里面的xlrd模塊詳解

    那我就一下面積個問題對xlrd模塊進行學習一下: 1.什么是xlrd模塊? 2.為什么使用xlrd模塊? 3.怎樣使用xlrd模塊? 1.什么是xlrd模塊? ?python操作excel主要用到xlrd和xlwt這兩個庫,即xlrd是讀excel,xlwt是寫excel的庫。 今天就先來說一下xl ......

    uj5u.com 2020-09-10 05:36:28 more
  • 當我們創建HashMap時,底層到底做了什么?

    jdk1.7中的底層實作程序(底層基于陣列+鏈表) 在我們new HashMap()時,底層創建了默認長度為16的一維陣列Entry[ ] table。當我們呼叫map.put(key1,value1)方法向HashMap里添加資料的時候: 首先,呼叫key1所在類的hashCode()計算key1 ......

    uj5u.com 2020-09-10 05:36:38 more
最新发布
  • 【中介者設計模式詳解】C/Java/JS/Go/Python/TS不同語言實作

    * 中介者模式是一種行為型設計模式,它可以用來減少類之間的直接依賴關系,
    * 將物件之間的通信封裝到一個中介者物件中,從而使得各個物件之間的關系更加松散。
    * 在中介者模式中,物件之間不再直接相互互動,而是通過中介者來中轉訊息。 ......

    uj5u.com 2023-04-20 08:20:47 more
  • 露天煤礦現場調研和交流案例分享

    他們集團的資訊化公司及研究院在一個礦區正在做智能礦山的統一平臺的 試點,專案投資大概1億,包括了礦山的各方面的內容,顯示得我們這次交流有點多余。他們2年前開始做智能礦山的規劃,有很多煤礦行業專家的加持,他們的描述是非常完美,但是去年底應該上線的平臺,現在還沒有看到影子。他們確實有很多場景需求,但是被... ......

    uj5u.com 2023-04-20 08:20:25 more
  • 《社區人員管理》實戰案例設計&個人案例分享

    設計是一個讓人夢想成真程序,開始編碼、測驗、除錯之前進行需求分析和架構設計,才能保證關鍵方面都做正確 ......

    uj5u.com 2023-04-20 08:20:17 more
  • 軟體架構生態化-多角色交付的探索實踐

    作為一個技術架構師,不僅僅要緊跟行業技術趨勢,還要結合研發團隊現狀及痛點,探索新的交付方案。在日常中,你是否遇到如下問題 “ 業務需求排期長研發是瓶頸;非研發角色感受不到研發技改提效的變化;引入ISV 團隊又擔心質量和安全,培訓周期長“等等,基于此我們探索了一種新的技術體系及交付方案來解決如上問題。 ......

    uj5u.com 2023-04-20 08:20:10 more
  • 【中介者設計模式詳解】C/Java/JS/Go/Python/TS不同語言實作

    * 中介者模式是一種行為型設計模式,它可以用來減少類之間的直接依賴關系,
    * 將物件之間的通信封裝到一個中介者物件中,從而使得各個物件之間的關系更加松散。
    * 在中介者模式中,物件之間不再直接相互互動,而是通過中介者來中轉訊息。 ......

    uj5u.com 2023-04-20 08:19:44 more
  • 露天煤礦現場調研和交流案例分享

    他們集團的資訊化公司及研究院在一個礦區正在做智能礦山的統一平臺的 試點,專案投資大概1億,包括了礦山的各方面的內容,顯示得我們這次交流有點多余。他們2年前開始做智能礦山的規劃,有很多煤礦行業專家的加持,他們的描述是非常完美,但是去年底應該上線的平臺,現在還沒有看到影子。他們確實有很多場景需求,但是被... ......

    uj5u.com 2023-04-20 08:19:07 more
  • 《社區人員管理》實戰案例設計&個人案例分享

    設計是一個讓人夢想成真程序,開始編碼、測驗、除錯之前進行需求分析和架構設計,才能保證關鍵方面都做正確 ......

    uj5u.com 2023-04-20 08:18:57 more
  • 軟體架構生態化-多角色交付的探索實踐

    作為一個技術架構師,不僅僅要緊跟行業技術趨勢,還要結合研發團隊現狀及痛點,探索新的交付方案。在日常中,你是否遇到如下問題 “ 業務需求排期長研發是瓶頸;非研發角色感受不到研發技改提效的變化;引入ISV 團隊又擔心質量和安全,培訓周期長“等等,基于此我們探索了一種新的技術體系及交付方案來解決如上問題。 ......

    uj5u.com 2023-04-20 08:18:49 more
  • 05單件模式

    #經典的單件模式 public class Singleton { private static Singleton uniqueInstance; //一個靜態變數持有Singleton類的唯一實體。 // 其他有用的實體變數寫在這里 //構造器宣告為私有,只有Singleton可以實體化這個類! ......

    uj5u.com 2023-04-19 08:42:51 more
  • 【架構與設計】常見微服務分層架構的區別和落地實踐

    軟體工程的方方面面都遵循一個最基本的道理:沒有銀彈,架構分層模型更是如此,每一種都有各自優缺點,所以請根據不同的業務場景,并遵循簡單、可演進這兩個重要的架構原則選擇合適的架構分層模型即可。 ......

    uj5u.com 2023-04-19 08:42:41 more