在分布式系統中,對於資料的隱私的保證性,完整性和可用性顯得至關的重要。安全攻擊的手段可以去竊取,篡改使用者的資訊。正是因為如此種種的情況發生了,才有了後面一系列的安全的相關防禦方法。
1、這些安全的機理本質上就是以一種預想的方式對資源進行一層包裝。這種包裝隔離的手段可以是物理上的隔離,比如對於公司內的資源,只允許內網中的人使用,外面的人是無法訪問的,當然也可以是網路層次上的隔離。
2、與安全緊密關聯的詞是密碼學,大部分的安全策略的實現離不開他的作用。密碼學的飛速發展,誕生了許多優先的加解密演算法。
3、目前的安全的攻擊手段有:1、資訊的洩露,被沒有認證過的人接收到了。2、資訊的篡改。3、資訊的故意毀壞。4、還有類似於拒絕服務攻擊類似的方式。5、還有移動**的攻擊,比如xss跨站指令碼攻擊。
5、一些可能會有安全問題的使用場景:1email的資訊收發。2、電子商務的商品購買。3、銀行金融行業的交易。4、微商務,類似於發布-訂閱模式,提供者提供了資訊,對應於一堆的消費者。
6、正是因為上述種種的危害存在,所以需要有乙個系統安全的設計,往往要以最壞的情況最假設而設計,同時在設計系統的同時要考慮其中的用於安全的開銷,與正常的系統允許相比,至少不能影響到系統的正常運轉。
隨著安全技術領域的快速發展,已經衍生出了許多的相關技術,下面是一些具體的分類。
1、密碼學相關技術。主要包括裡面涉及到的許許多多的加密演算法。
2、證書認證技術。有的時候認證需要第三方服務的參與,這個技術算安全性比較高的。
3、數字簽名技術,模擬了傳統的對於資料文件的簽名方式。
4、訪問控制的手段。這個在各大作業系統中已經被採用了,裡面的2個小小的分類是乙個叫protection domain保護域,還有乙個叫acl訪問控制列表,二者的概念其實非常相像。
5、授權的概念,在系統中許多的資源訪問需要對使用者進行授權才能被訪問到,但是授權容易,撤銷權利就比較難了,一旦權利授權了惡意的使用者,後果不堪設想。
6、防火牆。防火牆作為計算機內部與外部連線通訊的一道屏障,會對於外部發來的資訊進行攔截,並且對於可疑的資料報進行防護,攔截。
這裡提到的加密演算法主要分為2類,對稱加密演算法和非對稱加密演算法。
1、第一類為對稱加密演算法啊,為什麼叫做對稱加密演算法呢?因為在加密和解密的過程中用的是同乙個key,這個key是私密的,只有接收方自己知道的。但是有的時候,這個key的位數太短,可能會被暴力攻擊的手段破解。比較典型的對稱加密演算法為des加密演算法。
2、第二類為非對稱加密演算法。在這個演算法中維護了一對金鑰,為公鑰和私鑰。公鑰對外界是公開的,而私鑰則是歸個人所有。如果誰想要發訊息的就用公鑰進行加密,如果誰想要收到訊息的,就用私鑰去解密。
4、在對稱加密演算法中,比較典型的是des,後來又了安全性更高的aes演算法,而在非對稱加密演算法中,名聲最大,用的最廣的是rsa演算法,他是3個人的名字的開頭首字母構成的。
數字簽名作為一種安全的實現方式,他將資訊與資訊的所有者的標識進行繫結。
1、在數字簽名中會有用到對於資料內容的資訊摘要的計算,如果檔案內容發生變化,訊息摘要的值也會變,所以可以根據資訊摘要做資料的完整性校驗。
2、訊息摘要的計算的演算法有很多,比如md5演算法,還有安全雜湊函式sha演算法。
密碼學的推廣和發展在政策上遇到了一些障礙。比如有些演算法在對外開放給使用者使用的時候,對於位數進行了限制,密碼加密的長度不能按照原先演算法指定的那樣,可能他們會怕他們在使用的時候,他們自己都破解不了。
1、認證協議最早是由needhan和schroeder他們倆發布的。
2、kerberos認證最早是用在mit的大學校網內的。裡面的認證流程大體可以為1.客戶端想as認證服務請許可票據,2.然後客戶端向tgs票據授權服務請求服務票據,3.組後通過服務票據向最終伺服器請求服務。在這期間的每一次會話,都會有乙個session key的參與。hadoop裡用的就是kerberos認證。
3、tls/ssl。前者是最為後者的乙個版本的擴充套件。這2個協議已經被用到了許多涉及電子商務的操作中,用於構建乙個安全的通道。tls的協議棧分為2層,第一層叫做tls handshake protocol,用於資訊第一次進行通訊時,進行加密演算法的協商。第二層為tls record protocol,第二層才是用來進行安全傳輸的通道。tls的用處在於可以對於不同裝置,不同地域的連線進行協商,最後通過握手達成一致的加密演算法,於是進行後面的加密通訊。,在協商的過程中,2邊都會列出所支援的加密演算法啊。
4、802.11wifi代表的是wireless lans,無線區域網。在無線區域網內,也會存在不同於有線網的一些安全問題,比如他的使用者接入問題,連線乙個無線網路,乙個使用者只要通過他的乙個key的連線就ok了,顯然這顯得太過輕鬆了。第二點,使用者在使用的無線網的過程中,往往不會開啟wep的保護模式,因為在無線網中,他們根本不知道他們的資料是完全暴露的。所以這裡發展出來了乙個安全協議叫wifi protected access (wpa),未來還是需要去完善這個協議。
參考文獻:<>原版第五版,author:george coulouris,jean dollimore, tim kindberg,gordon blair
分布式系統閱讀筆記(十一) 安全
在分布式系統中,對於資料的隱私的保證性,完整性和可用性顯得至關的重要。安全攻擊的手段可以去竊取,篡改使用者的資訊。正是因為如此種種的情況發生了,才有了後面一系列的安全的相關防禦方法。1 這些安全的機理本質上就是以一種預想的方式對資源進行一層包裝。這種包裝隔離的手段可以是物理上的隔離,比如對於公司內的...
分布式系統閱讀筆記(十一) 安全
在分布式系統中,對於資料的隱私的保證性,完整性和可用性顯得至關的重要。安全攻擊的手段可以去竊取,篡改使用者的資訊。正是因為如此種種的情況發生了,才有了後面一系列的安全的相關防禦方法。1 這些安全的機理本質上就是以一種預想的方式對資源進行一層包裝。這種包裝隔離的手段可以是物理上的隔離,比如對於公司內的...
分布式系統閱讀筆記(十二) 分布式檔案系統
乙個分布式系統本質上就是一段程式能夠儲存和訪問遠端檔案就像訪問本地檔案類似,能夠允許任何連上網路上的使用者都可以訪問。在後面的記錄中,主要是對2大檔案系統nfs和afs做詳細的介紹和分析。1 檔案系統在最初的設計時往往是按照中心結點服務的方式構建,在中心節點伺服器中保持著大量的檔案資源。2 對於檔案...