浅谈完整性保护

最新推荐文章于 2024-05-01 21:42:07 发布
最新推荐文章于 2024-05-01 21:42:07 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: 基础 文章标签: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44535758/article/details/128117401
版权

一、如何数据完整性

1、什么是数据完整性

书面语言:数据没有遭受以非授权方式所作的改变的性质,直白点说就是防止/验证非授权篡改。

2、保护思路

①拒绝篡改,没有相应权限,没办法修改信息,具有权限,修改后有对应的审批流程,审批流程通过后,才能修改成功。
②识别非法篡改操作,进行报警,并具备数据回溯功能,可回溯到被篡改之前。

3、 保护指南

基于密码的完整性保护技术包括但不限于基于杂凑的完整性保护、 基于消息鉴别码的完整性保护和基于数字签名的完整性保护。

二、信息系统中涉及的完整性保护

1、访问控制信息完整性保护

访问控制信息包括:访问控制策略与规则、用户角色/权限信息、授权凭证等,访问控制信息需要保证完整性, 以确保身份鉴别后, 实体可以被正确授权以获取相应的信息系统资源

因为访问控制信息也是存储的信息,也可以当作数据存储过程中完整性保护,具体保护方法不展开,参考下面的

2、数据传输过程中完整性保护
a)基于消息鉴别码的传输完整性保护,其设计时满足以下技术要求:
  • 消息鉴别码机制建议遵循 GB/T 15852 系列标准, 其使用的密码算法建议遵循 GB/T 32905或 GB/T 32907;
  • 接受方在对接收到的被保护数据进行处理前, 校验其传输完整性; 若发现被保护数据的传输完整性被破坏, 应进行告警;
  • 采用经商用密码认证机构认证合格的密码产品作为存储介质来存储密钥数据, 并使用其进行密码运算; 可选用的密码产品类型包括智能密码钥匙类、 PCI-E/PCI 密码卡类、 SSL VPN产品/安全网关类、 服务器密码机类产品等。
b)基于数字签名的传输完整性保护,其设计时满足以下技术要求
  • 使用获得国家密码管理主管部门许可的密码服务机构颁发的签名证书, 或使用自建证书认证系统颁发的签名证书, 自建证书认证系统建议遵循 GB/T 25056;
  • 接收方在对收到的被保护数据进行处理前, 验证发送方的签名证书; 验证通过后, 校验被保护数据的传输完整性; 若发现被保护数据的传输完整性被破坏, 应进行告警;
  • 采用经商用密码认证机构认证合格的密码产品作为存储介质来存储密钥数据, 并使用其进行密码运算; 可选用的密码产品类型包括智能密码钥匙类、 PCI-E/PCI 密码卡类、 SSL VPN产品/安全网关类、签名验签服务器类、 服务器密码机类产品等。
3、数据存储过程中完整性保护

存储的完整性, 保护数据存储的完整性, 防止非授权篡改。

a)基于消息鉴别码的存储完整性保护, 其设计时满足以下技术要求:
  • 消息鉴别码机制遵循 GB/T 15852 系列标准, 其使用的密码算法遵循 GB/T 32905 或 GB/T 32907;
  • 具备主动校验被保护数据完整性的功能; 可根据需求, 提供定期校验被保护数据完整性的功能;
  • 若发现被保护数据的存储完整性被破坏, 应进行告警;
  • 采用经商用密码认证机构认证合格的密码产品作为存储介质来存储密钥数据, 并使用其进行密码运算; 可选用的密码产品类型包括智能密码钥匙类、 PCI-E/PCI 密码卡类、 服务器密码机类产品等。
b)基于数字签名的存储完整性保护, 其设计时应满足以下技术要求:
  • 使用获得国家密码管理主管部门许可的密码服务机构颁发的签名证书, 或使用自建证书认证系统颁发的签名证书, 自建证书认证系统应遵循 GB/T 25056;
  • 具备主动校验被保护数据完整性的功能; 可根据需求, 提供定期校验被保护数据完整性的功能;
  • 若发现被保护数据的存储完整性被破坏, 应进行告警;
  • 采用经商用密码认证机构认证合格的密码产品作为存储介质来存储数字签名私钥, 并其使用其进行密码运算; 可选用的密码产品类型包括智能密码钥匙类、 PCI-E/PCI 密码卡类、签名验签服务器类、 服务器密码机类产品等。
c)基于杂凑算法的存储完整性保护, 其设计时应满足以下技术要求:
  • 使用的杂凑算法应遵循 GB/T 32905;
  • 被保护数据应与杂凑值不在同一存储介质中保存;
  • 具备主动校验被保护数据完整性的功能; 可根据需求, 提供定期校验被保护数据完整性的功能;
  • 若发现被保护数据的完整性被破坏, 应进行告警;
  • 采用经商用密码认证机构认证合格的密码产品进行密码运算; 可选用的密码产品类型包括智能密码钥匙类、 安全芯片类、 PCI-E/PCI 密码卡类、 服务器密码机类产品等。
d)基于可信计算的存储完整性保护, 其设计时应满足以下技术要求:
  • 使用的杂凑算法应遵循 GB/T 32905, 使用的可信密码模块应遵循 GM/T 0012;
  • 系统启动前, 应基于杂凑算法建立从引导程序、 操作系统到应用程序的信任链;
  • 若发现被保护数据的完整性被破坏, 应进行告警;
  • 采用经商用密码认证机构认证合格的可信密码模块; 可选用的密码产品类型包括可信计算密码支撑平台类产品。
walle2.2
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
保护篇-文件完整性检查
08-25 8291
在软件保护中,增加对自身的完整性检查,以防止解密者修改程序达到破解的目的。完整性检查又包括磁盘文件检查和内存映像的检查。完整性检查的实现原理是用散列函数计算文件的散列值,并将该值放在某处,以后文件每次运行时,重新计算文件的散列值,并与原散列值比较,以判断文件是否被修改。 1.磁
数据完整性保护
木鱼青的专栏
04-18 2760
 一、数据完整性的类型  关系模型的三类完整性是实体完整性、参照完整性和用户完整性。  实体完整性和参照完整性是关系模型必须满足的完整性约束条件,应由关系系统自动支持。1、实体完整性 (entity integrity)  实体完整性是基于主码的,一个主码由一个或多个属性组成。实体完整性要求主码中的任一属性(列)不能为空。之所以要保证实体完整性主要是因为:在关系中,每一个元组的
传输层安全性(TLS):保护互联网通信的隐私和完整性
最新发布
JAZJD的博客
05-01 969
TLS(传输层安全性)是一种广泛采用的安全协议,用于保障互联网通信的私密性和数据完整性。它的主要目的是加密网络通信,确保数据在传输过程中不会被窃取、篡改或伪造。TLS主要用于保护Web应用程序和服务器之间的通信,使得敏感信息如用户登录凭据、信用卡信息等在传输过程中得到保护。此外,TLS还可以用于加密其他类型的通信,包括电子邮件、消息传递和IP语音(VoIP)等。TLS实现了加密、身份验证和完整性三大功能。在TLS握手过程中,通信双方协商TLS版本、密码套件,并进行身份验证,最终生成会话密钥用于加密通信。
(四)数据完整性保护
weixin_30838921的博客
05-21 1583
4.1 信息摘录技术 对数据完整性保护的最基本思路是在综合相关因素的基础上为每个需要保护的信息M生成一个唯一的附加信息,称为信息摘录。使用hash函数来计算信息摘录。 摘录的唯一性不能保证,因此在计算摘录时,需要在信息中添加唯一性特征,这种添加唯一性特征后计算出来的信息摘录称为数据完整码MIC。 4.1.2 MD5 4.1.3 SHS 安全散列标准所使用的哈希函数称为SHA sha的实...
计算机网络中的数据完整性保护与数字签名详解
m0_72410588的博客
08-26 899
数字签名是计算机网络中保护数据完整性和进行身份验证的重要方法。它通过使用发送方的私钥对数据进行加密生成签名,并使用发送方的公钥对签名进行解密和验证。数字签名广泛应用于数据完整性保护、身份验证和文件认证等场景。然而,在使用数字签名时需要注意私钥的安全性和防止中间人攻击的问题。
金仓数据库KingbaseES安全指南--5.2. 数据完整性保护
arthemis_14的博客
07-27 554
金仓数据库KingbaseES安全指南--5.2. 数据完整性保护
PROFINET IO通信的实时性
01-19
作为一项战略性的技术创新,PROFINET为自动化通信领域提供了一个完整的网络解决方案,囊括了诸如实时以太网、运动控制、分布式自动化、故障安全以及网络安全等当前自动化领域的热点话题,并且,作为跨供应商的技术,...
信息化成功要素及风险.doc
11-13
7. 数据治理与安全:确保数据的质量、完整性和安全性,防止信息泄露,建立完善的数据保护机制。 【企业信息化的风险及规避策略】 1. 技术风险:选择不成熟的技术可能导致项目失败,企业应评估技术的成熟度和供应商...
智能本的ESD保护和防雷击保护设计指引
08-19
同时,元件的选择还应考虑到其对电源效率和信号完整性的影响。 总的来说,智能本的ESD保护和防雷击保护设计是一项综合性的工程,涉及到元件选择、布局优化、性能指标的严格控制等多个方面。设计师需要平衡成本、...
通信与网络中的PROFINET IO通信的实时性
10-22
作为一项战略性的技术创新,PROFINET为自动化通信领域提供了一个完整的网络解决方案,囊括了诸如实时以太网、运动控制、分布式自动化、故障安全以及网络安全等当前自动化领域的热点话题,并且,作为跨供应商的技术,...
矿区电力系统继电保护管理.pdf
08-31
【文章标题】矿区电力系统继电保护管理 【文章摘要】文章主要探讨了矿区电力系统中继电保护管理的重要性及其存在的问题,并提出相应措施和对策。继电保护是电力系统安全稳定运行的关键,能自动隔离故障,维持...
【2018hit计算机学院系统安全】实验三:完整性访问控制系统设计与实现
01-24
【2018hit计算机学院系统安全】实验三:完整性访问控制系统设计与实现
移动通信网中的密码算法演进之完整性保护
yimenren的博客
07-14 4062
转自:https://www.sohu.com/a/217061921_722211 移动研究院出品,必属精品 我们之前介绍过移动通信网用于保护空口机密性的算法演进,本篇主要介绍完整性保护算法的演进。完整性是确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现的必要技术手段。 由于在通信系统演进的过程中,空口的完整性保护算法与机密性保护算法相同但参数与计算流程不同,因此本篇主要介绍移动通信...
数据采集与安全:保护隐私与数据完整性
禅与计算机程序设计艺术
12-23 1656
1.背景介绍 随着互联网和大数据技术的发展,数据采集成为了企业和组织中不可或缺的一部分。数据采集的目的是为了收集和分析大量的数据,以便于提取有价值的信息和洞察。然而,随着数据采集的扩大,隐私和数据完整性问题也逐渐成为了关注的焦点。 数据隐私和数据完整性是数据采集和分析的关键问题之一。隐私问题涉及到个人信息的保护,而数据完整性则涉及到数据的准确性和可靠性。在大数据时代,如何在保护隐私和数据完整性...
走进GBase 8s之安全功能(四)数据完整性
gbase_a_s_c_d的博客
03-11 147
GBase 8s提供一系列强有力的方法来确保数据库的完整性。 物理存储完整性保护 GBase 8s的数据文件按照页方式进行存储,每个页为16KB,数据文件存储的示意图如下: 每一个页数据的存储结构如下: Page Trailer存储了本页的校验码信息,当向页中写入数据时将页的校验码信息写到Page Trailer中;当从页中读取数据时,首先重新计算该页的校验码信息,然后和Page Trailer的校验码信息进行对比,如果不相等,说明此页的完整性信息被破坏了,如果相等,说明该页的数据.
@Intercepts为基础实现数据完整性保护
zh_chong的博客
02-14 1203
plugin 方法是拦截器用于封装目标对象的,通过该方法我们可以返回目标对象本身,也可以返回一个它的代理。当返回的是代理的时候我们可以对其中的方法进行拦截来调用 intercept 方法,当然也可以调用其他方法,本文以@Intercepts为基础,通过拦截器的方式拦截数据库操作包括query、insert、update、delete操作对数据的完整性保护。@Intercepts的配置是一个@Signature数组,@Signature用于声明要拦截的接口、方法和参数。2、 intercept 方法。
如何理解数据的保密性、完整性、可用性?如何保证数据的保密性、完整性、可用性?
热门推荐
N2O_666的博客
03-23 2万+
如何理解数据的保密性与完整性?如何做到数据的保密性与完整性? 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录如何理解数据的保密性与完整性?如何做到数据的保密性与完整性?前言一、数据二、OSI七层网络模型&TCP/IP四层模型2.1 数据封装与解封2.1 应用层2.2 传输层2.3 网络层2.4 数据链路层2.5 物理层2.6 总结数据的保密性与
商用密码应用测评之完整性保护
weixin_44479940的博客
03-05 2397
数据完整性保护的目的在于保护信息面授非授权实体的篡改或替代。数据完整性的破坏包括有意或者无意的损坏。 数据完整性保护有两种基本方法: (1) 访问控制:限制非授权实体修改被保护的数据。 (2) 损坏—检测:无法避免数据损坏,但能确保这些损坏能被检测,并能够被纠正或报警。 在测评应用指标中,与完整性保护有关的要求有以下这些: 注意: (1) 在数据库中查看数字签名时可以先看位数。SM2签名值是128位,RSA-1024的签名值是256位,RSA-2048签名值是512位,可以大体上判断是否使用SM2进行
HTTP + 加密 + 认证 + 完整性保护 = HTTPS
weixin_43686867的博客
02-08 674
引入 在HTTP协议通信过程中使用未经加密的明文,比如在Web页面中输入信用卡号,如果这条通信线路遭到窃听,那么信用卡号就暴露了。另外,对于HTTP来说,服务器也好,客户端也好,都是没有办法确认通信方的。因为很有可能并不是和原本预想的通信方在实际通信。并且还需要考虑到接收到的报文在通信途中已经遭到篡改这一可能性。为了统一解决上述这些问题,需要在HTTP上再加入加密处理和认证等机制。我们把添加了加密及认证机制的HTTP称为HTTPS(HTTP Secure)。 HTTPS HTTPS并非是应用层的一种新协议。
springboot
04-29
Spring Boot是一种基于Spring框架的快速开发应用程序的工具,它可以极大地简化Spring应用程序的配置和部署过程。Spring Boot利用“约定优于配置”的原则,来减少开发人员的工作量,使开发人员可以更加专注于业务逻辑的实现,而不是过多关注框架的配置和集成问题。 Spring Boot集成了大量的开箱即用的功能,例如自动配置、内嵌Web服务器、健康检查、批处理、安全认证、缓存等等,这些功能可以让开发者轻松地构建一个高效、稳定、可靠的应用程序。同时,Spring Boot也支持多种开发方式,例如Maven、Gradle、Eclipse、IntelliJ IDEA等等,可以让开发者按照自己的喜好选择不同的开发工具。 总之,Spring Boot是一个非常优秀的开发框架,它可以让开发者更加专注于业务逻辑的实现,提高开发效率和应用程序的稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值