目前,業務系統的安全已越來越重要,並有標準的安全協議,例如安全套接層(secure sockets layer)協議,基於數字證書來認證伺服器端,防釣魚**,保護客戶端向伺服器端的安全通訊,不被竊取篡改。而在客戶端,通常也相應的數字證書完成雙向認證,如ukey個人證書。
基於安全協議的業務系統設計,是在最底層通訊的安全設計,粗細粒度無法針對某一具體業務,在做定製化的使用者認證加解密需求上,仍需要乙個能與客戶端相對應能完成自定義的安全設計介面,於是便有了應用閘道器。應用閘道器基於安全裝置和業務系統層中間,業務系統無需要再直接跟安全裝置打交道,使業務系統可以和客戶端搭建一座安全橋梁。應用閘道器提供了相關加解密介面,此外應用閘道器還可以提供資料證書業務的介面。應用閘道器設計的業務系統安全通訊的整體流程如下圖。
建立會話
建立會話好比就是見面握手,首先需要相互信任認證,採用一致的金鑰演算法,產生會話金鑰,保護整個會話過程安全。首先,客戶端和伺服器端出示各自證書,作為相互認可憑證,客戶端證書一般在客戶系統金鑰儲存區或以ukey載體儲存,伺服器端證書通過應用閘道器獲取。伺服器端作為會話主方,負責生成會話金鑰,同時生成客戶會話金鑰回傳給客戶端。客戶端和伺服器端儲存各自會話金鑰,只有雙方才能解開。應用閘道器這裡需要為業務系統伺服器提供證書驗證、簽名認證、生成隨機金鑰、加密會話金鑰介面。
安全通訊
建立會話後,之後就是客戶端和應用系統伺服器進行安全通訊了。客戶端準備好要傳送到伺服器的明文訊息,在客戶端先用自己私鑰解密會話金鑰,然後再用金鑰加密明文得到密文(重要資料再簽名),伺服器端收到密文後,先解密會話金鑰,然後再用金鑰解密密文得到明文(有簽名的需先驗證簽名),之後應用業務系統再做相應的處理。伺服器返回給客戶端訊息過程,反之亦然。應用閘道器這裡需要為業務系統伺服器提供資料加解密、簽名驗證介面。
應用閘道器為業務系統提供了統一跨平台的安全介面,可以與不同型別的業務系統的進行系統整合。再配合客戶端ukey裝置,保護整個通訊過程的安全。
系統安全及應用
一 基本安全措施 1 系統賬號清理 1 將非登入使用者的 shell 設為 sbin nologin 2 鎖定長期不使用的賬號 3 刪除無用的賬號 4 鎖定賬號檔案 etc passwd etc shadow 2 密碼安全控制 方法一 設定密碼有效期 設定今後新增使用者時的預設密碼有效期 要求使用者...
mysql安全保密設計 系統安全設計
1.1 標識與確認 任何使用者訪問系統資源,必須得到系統的身份認證以及身份標識,如使用者的資料證書 使用者號碼 密碼。當使用者資訊與確認資訊一致時,才能獲准訪問系統。在本系統中,對作業系統,資料庫系統和應用系統都有相應的使用者和許可權的設定。1.2 授權 對系統資源,包括程式 資料檔案 資料庫等,根...
系統安全性設計
系統安全性設計可以劃分為如下幾個層次 程式設計安全性 程式部署及作業系統安全性 資料庫安全性 網路安全性 物理安全性 就程設計的安全性,針對現在大多系統的分布式結構,因為同時要面向不同地理位置,不同網路位址,不同級別,不同許可權的使用者提供服務,稍不留神就可能產生潛在的安全隱患,如下是最常見的由設計...