Arch - 架构安全性_保密(Confidentiality)

最新推荐文章于 2024-09-29 07:15:00 发布
最新推荐文章于 2024-09-29 07:15:00 发布
阅读量686 收藏 7
点赞数 23
分类专栏: 【凤凰架构】 文章标签: 架构 保密 Confidentiality
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangshangwei/article/details/142617048
版权

文章目录


在这里插入图片描述

OverView

即使只限定在“软件架构设计”这个语境下,系统安全仍然是一个很大的话题。

接下来我们将对系统安全架构的各个方面进行详细分析,包括认证、授权、凭证、保密、传输安全和验证,结合案例实践,展示如何应用这些安全原则和技术,讨论具体解决方案和行业标准 ,并提供与业界标准相一致的解决方案。

计划:

  1. 认证(Authentication)

    • 介绍认证的基本概念及其在软件架构中的作用。
    • 讨论常见的认证方法(如用户名/密码、双因素认证、生物识别)及其实现方式。
    • 探讨行业标准和最佳实践(如 OAuth、OpenID Connect)。

  2. 授权(Authorization)

    • 定义授权的概念及其重要性。
    • 讲解不同的授权模型(如基于角色的访问控制RBAC、基于属性的访问控制ABAC)。
    • 介绍如何在架构中实现这些模型以及如何处理权限管理。

  3. 凭证(Credential)

    • 阐明凭证的作用及其管理方式。
    • 讨论如何确保证书和凭证的真实性、完整性和不可抵赖性。
    • 介绍现有的凭证管理方案和技术(如 PKI、公钥基础设施)。

  4. 保密(Confidentiality)

    • 解释数据保密的基本概念及其在系统中的应用。
    • 讨论数据加密的技术和策略(如对称加密、非对称加密)。
    • 介绍如何确保保密性,包括数据存储和处理中的加密措施。

  5. 传输(Transport Security)

    • 定义传输安全及其对系统安全的影响。
    • 讲解如何实现传输层安全(如 TLS/SSL)的具体方法。
    • 讨论如何保护网络通信免受中间人攻击和数据篡改。

  6. 验证(Verification)

    • 介绍数据验证的必要性及其对系统稳定性的影响。
    • 讨论常见的验证技术(如输入验证、数据完整性检查)。
    • 讲解如何在系统中实现数据验证机制以保证数据一致性和正确性。

导图

在这里插入图片描述

保密

保密(Confidentiality)是通过加密和解密算法保护敏感数据,确保未授权人员无法访问其真实内容。可分为以下几类:

保密强度与成本

  • 简单哈希:如 MD5,可以防止明文泄露,但对抗彩虹表攻击能力弱。
  • 加盐哈希:使用静态或动态盐值增强保护。动态盐值能防止重复攻击,但复杂性增加。
  • 慢哈希函数:如 BCrypt,通过增加计算时间来抵御暴力破解。

客户端加密

客户端加密在用户登录或注册时进行,目的是防止服务端存储明文密码。这减少了被拖库的风险,确保即使服务端被攻破,密码也不会以明文形式泄露。

密码存储与验证

  • 用户注册
    • 用户输入明文密码,客户端进行哈希处理(例如,SHA-256)。
    • 添加静态或伪动态盐值,再次哈希,生成中间结果。
    • 将结果与动态盐值结合,发送到服务端。
  • 服务端存储
    • 服务端接收加密结果和盐值,存储到数据库。
  • 用户登录
    • 客户端发送输入的明文密码,重复相同的哈希过程。
    • 服务端提取存储的盐值,计算哈希,并与数据库中的哈希值进行比较。

Code

  1. 注册示例

    明文密码 = "123456"
客户端哈希 = SHA256("123456")
盐值 = 随机生成 (如:"somesalt")
最终哈希 = SHA256(SHA256("123456") + 盐值)
存储 (最终哈希, 盐值) 到数据库

  2. 登录示例

    用户输入密码 = "123456"
客户端哈希 = SHA256("123456")
从数据库中获取 盐值
比较结果 = SHA256(客户端哈希 + 盐值)
如果 比较结果 == 存储的哈希,则验证成功

在这里插入图片描述

总结

保密机制需根据实际应用需求设计,确保敏感数据在各个环节的安全,特别是在客户端和服务端之间传输时。

在这里插入图片描述

小小工匠
关注
专栏目录
linux_arm_arch,ARM_ARCH之基本架构
weixin_33548183的博客
05-13 1662
ARM_ARCH之基本架构之前也学过一点点ARM体系架构的知识,但是没有深入学习过,好像也有大半年了,也忘得差不多了,现在有机会和时间重新补习一下这方面的知识了,嘿嘿!我参考的资料放在liaoye163@sina.com密码123456这是我和群友共同维护的。ARM BASEDSYSTEMARMBASED SOCAPBadvanced peripheral bus外围总线,挂在一些低速外围设备;A...
Linux驱动--of_match_ptr 宏定义
中华田园巨龙
02-19 3592
在查看设备驱动时,经常看到如下结构。 为什么会有一个of_match_ptr呢? 查看源代码,在include/linux/of.h里面。 #ifdef CONFIG_OF ... #define of_match_ptr(_ptr) (_ptr) ... #else /* CONFIG_OF */ ... #define of_match_ptr(_ptr) NULL ... #endif /* CONFIG_OF */ 查看arch/arm64/KCONFIG,可以知道CONFIG_OF默认是打开的
Arch - 架构安全性_传输(Transport Security)
小工匠
09-28 645
在当今数字化世界中,网络安全已经成为一个重要的议题。传输层安全(TLS)是网络通信中确保数据安全和隐私的核心协议。传输层安全(TLS)是一个加密协议,主要用于在计算机网络中提供数据加密和身份验证。TLS的设计初衷是为了确保数据的机密性、完整性和身份验证。
Arch - 架构安全性_凭证(Credentials)
小工匠
09-09 2055
OAuth2 中的访问令牌(Access Token)是授权服务器(Authorization Server)颁发给客户端应用(Client)的凭证,用于访问资源服务器(Resource Server)上的受保护资源。: 这是一种自包含的令牌,通常包含三部分:头部(Header)、负载(Payload)、签名(Signature)。JWT 是一种基于 JSON 的轻量级数据交换格式,它可以被签名和加密,确保数据的真实性和完整性。
Arch - 架构安全性_授权(Authorization)
小工匠
09-08 1889
授权是信息安全中至关重要的概念,它决定了用户能够访问的资源及其操作的范围。授权通常与认证(Authentication)、审计(Audit)、和账户管理(Account)一起组成AAAA安全框架。在复杂的安全环境中,授权的管理更加复杂,尤其是当涉及多个系统或第三方应用时。确保授权的过程可靠:对于单一系统来说,授权的过程是比较容易做到可控的,以前很多语境上提到授权,实质上讲的都是访问控制,理论上两者是应该分开的。
Arch - 架构安全性_验证(Verification)
最新发布
小工匠
09-29 655
数据验证不仅是确保用户输入正确性的手段,也是维护系统稳定性、数据一致性和安全性的重要措施。当内置注解无法满足业务需求时,可以自定义校验注解。例如,在用户注册中,需要确保用户名的唯一性。与业务相关的校验往往才是最复杂的校验,将简单的校验交给 Bean Validation,而把复杂的校验留给自己,这简直是买椟还珠故事的程序员版本。其实以 Bean Validation 的标准方式来做业务校验是非常优雅的/*** 创建新的用户*/@POST/*** 更新用户信息*/@PUT。
Arch - 架构安全性_认证(Authentication)的标准和实现
小工匠
09-08 3001
WebAuthn 采用非对称加密的公钥、私钥替代传统的密码,这是非常理想的认证方案,私钥是保密的,只有验证器需要知道它,连用户本人都不需要知道,也就没有人为泄漏的可能;更值得夸赞的是 WebAuthn 为登录过程带来极大的便捷性,不仅注册和验证的用户体验十分优秀,而且彻底避免了用户在一个网站上泄漏密码,所有使用相同密码的网站都受到攻击的问题,这个优点使得用户无须再为每个网站想不同的密码。虽然认证通常首先让人联想到用户登录,但实际上,认证对象不仅可以是人,还可以是外部的代码或服务。
A002-185-2530-吴伟滨
JamesOldLU的博客
01-04 2289
第一次作业 1,Requirements baseline【需求基线】 定义 需求基线(Requirements baseline)是团队成员已经承诺将在某特定产品版本中实现的功能性和非功能性需求的一组集合。需求基线就是把固定的需求都划一根"线",说明这些需求已经确定下来,添加新的需求或修改原有的需求都必须通过需求变更流程来操作。已经通过正式评审和批准的规格说明或产品,可作为进一步开发的基础,而且只有通过正式的变更控制过程才能修改它。 查找链接 [https://www.jamasoftware.com/
linux学习第七周总结
weixin_34162629的博客
04-21 231
linux学习第七周总结 本周起,开始学习综合型的各种服务,不再是一条一条的单个命令,对于我这种小白来说难度加大了许多,综合性试验各种配置,都需要良好的理解和执行,这个时间也是提升最快的时间,所以,继续坚持,保持良好的的学习生活习惯,坚持下去。本周内容 加密和安全 网络时间服务和chrony 运维自动化之系统安装 一、加密和安全 1.安全机制 信息安全防护的目标 保密Confide...
图解__arch_copy_from_user函数
01-08
图解__arch_copy_from_user函数,可以很清楚的数据的拷贝过程。
[RK3399][Android7.1] 调试笔记 --- CPU_B_SLEEP引脚改动引起系统无法开机
Kris Fei's blog
07-25 2201
Platform: RK3399 OS: Android 7.1 Kernel: v4.4.83 朋友按照参考设计和firefly的板子做的硬件,无法开机。 一开始只能进入maskrom,能下载,但是串口完全没有log。测量电压如下: PMUIO2_VDDPST(pin N23)=1.5V, PMUIO2_VDD( pin P23)=3.0V PMUIO4_VDDPST(pin AC8)=...
20240925软考架构-------软考196-200答案解析
weixin_42678822的博客
09-25 312
解析:Lambda架构将批处理层和速度层分为两层,分别进行离线数据处理和实时数据处理,以便在不同的技术条件下处理不同类型的数据。解析:Lambda架构通过使用满足幺半群性质的数据View模型,将批处理层和速度层的输出进行统一管理,从而实现实时性。解析:Lambda架构需要开发并维护两套系统,一套负责批处理计算,另一套负责流处理计算,这样的开发维护成本相对较高。200、在开发和维护成本上,Lambda架构和Kappa架构的主要区别是( )。196、在选择架构时,更适合选择Kappa架构的情况是( )。
Kubernetes整体架构与核心组件
辅导自学转行
09-25 440
一个 Kubernetes 集群的机器节点有两种角色—— Master 和 Node,都可由一个或多个节点组成,且同一个节点可以既是 Master 也是 Node。Node 节点为工作机器,负责运行容器化应用。云控制器管理器(Cloud Controller Manager)允许你将你的集群连接到云提供商的 API 之上, 并将与该云平台交互的组件同与你的集群交互的组件分离开来。kube-scheduler 负责监视新创建的、未指定运行节点(node)的 Pods, 并选择节点来让 Pod 在上面运行。
系统架构师-面向服务架构(SOA)全解
qq_35119405的博客
09-24 996
按教材的分发,ESB是企业服务总线模式,而UDDI就是服务注册表模式,至于通信及通信格式这些问题,可以采用SOPA+WSDL的方案,这些都不是必须的,都可以根据实际情况调整。顾名思义,它首先是一门语言,这个语言就是用来描述web服务和通信,其实就是很常见的get/post等等方法,http或者https,端口号是多少。交换信息的简单的协议,是一个基于XML的协议。看图说故事,右边的微服务架构,第一眼就看到少了ESB,SOA把系统分为服务,微服务把系统分为微服务,所以微服务=SOA?3. 微服务更倾向于。
Cortex-A7和Cortex-M7架构处理器取中断向量全流程分析
kevin1499的博客
09-25 794
Cortex-A7和Cortex-M结构处理器取中断向量全流程分析。
Google BigTable架构详解
wendao76的专栏
09-25 1026
Bigtable的元数据也是按Tablet方式分片、分级存储的。在Chubby中只记录顶级元数据的Tablet位置或文件名,然后通过级联二级元数据的Tablet,最终可以定位到用户数据的Tablet。Bigtable的数据模型是一个稀疏的、分布式的、持久化的多维有序映射表。通过分布式架构、面向列的数据模型、稀疏性设计以及元数据管理等机制,Bigtable能够高效地处理大规模数据集,满足各种复杂的应用需求。Bigtable是Google开发的一个高性能、可扩展的分布式存储系统,用于管理大规模的结构化数据。
面试真题 | 小红书-C++引擎架构
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
09-25 1423
在C++中,多态性是一种重要的特性,它允许通过基类指针或引用来调用派生类中的函数。多态性主要分为两种:编译时多态(主要通过函数重载和模板实现)和运行时多态(主要通过虚函数实现)。关于您提到的“C++多态,如何实现的,虚表、虚表指针存储位置”,以下是详细解释和可能的面试官追问。B树(B-Tree)B树是一种自平衡的多路搜索树,主要用于数据库和文件系统的索引结构。节点结构:B树的每个节点可以包含多个关键字(键值)和子节点指针。节点中的关键字按升序排列,且每个关键字对应一个子树的范围。平衡性。
基于HTML和Java的2021年NBA球星信息管理系统设计源码
09-28
本项目是一款基于HTML和Java开发的NBA球星信息管理系统源码,共包含84个文件,涵盖23个Java源文件、23个JPG图片文件、10个ICO图标文件、9个HTML页面文件、5个属性文件、4个PNG图片文件、2个XML配置文件、2个SQL数据库文件、1个Git忽略文件和1个JAR库文件。该系统专注于管理2021年NBA球星的相关信息,旨在提供高效的信息管理解决方案。
--arch=x86_32
05-31
您的问题是关于架构选项的吗?--arch=x86_32是一个编译选项,它指定了编译器所使用的目标架构为32位x86架构。在编译程序时,如果您想要将程序编译成32位x86架构的二进制文件,那么您可以使用这个选项来指定目标架构。需要注意的是,使用不同的架构选项可能会对程序的性能、可移植性和兼容性产生影响,需要根据实际需求进行选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小小工匠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值