数据安全传输基础设施平台项目(数据传输平台)-v1.0.5--黑马.doc
- 文档编号:1971178
- 上传时间:2023-05-02
- 格式:DOC
- 页数:88
- 大小:10.36MB
数据安全传输基础设施平台项目(数据传输平台)-v1.0.5--黑马.doc
《数据安全传输基础设施平台项目(数据传输平台)-v1.0.5--黑马.doc》由会员分享,可在线阅读,更多相关《数据安全传输基础设施平台项目(数据传输平台)-v1.0.5--黑马.doc(88页珍藏版)》请在冰点文库上搜索。
数据安全传输基础设施平台
1引言
1.1项目简介
数据安全传输基础设置平台项目(简称,数据传输平台),是一款基础设施类项目,为集团、企业信息系统的提供统一、标准的信息安全服务;解决企业和企业之间,集团内部信息数据的传输安全、消息安全、身份鉴别和认证;成功解决了传统的安全产品部署分散、效率低下、系统脆弱等关键问题。
是当前新政策“逻辑大集中”、“业务大集中”下的新需求。
数据传输平台解决方案不仅可面向具有高安全性和高性能需求的电子商务、电子政务领域应用,提高整体系统的稳健性、高效性和成熟性;而且可应用于各种"云"中心、"云"节点,解决数据的本地存储、网络传输、身份认证、数据完整性等安全问题。
典型应用场景
1.2项目需求
专业术语:
应用,应用结点;网点;接入;
一般性需求
网点相关
完成点与点之间数据加密、消息加密解密
点与点之间的理论模型1:
N或N:
N,级联
每一个节点都需要进行管理(网点生命周期的管理)
总行要验证分行的身份身份鉴别
密钥相关
适时更换密钥,支持手动更新(密钥的生命周期管理)
密钥更换异常处理
密钥管理实时分发、下载、校验、服务
易用性(第三方信息系统和安全传输平台解耦合)
保证修改的最少(第三方信息系统应该和我们的平台有效的解耦合)
不同行业的特殊性需求
加密强度(加密实时性)
对加密层进行抽象软件方式加密硬件方式加密集群方式加密
部署简单,部署灵活,能够满足各种各样的社会需求
其他需求
审计管理系统,统计加密过程
报表管理
1.3安全相关基础知识
1)加密三要素:
a)明文、密文;b)算法;c)密钥
Y=ax+b
2)加密的分类
对称加密(加密的密钥和解密的密钥一样)和非对称加密(加密的密钥和解密的不一样)
3)对称加密特点
加密速度快,用来加密文件;
特点:
加密密钥和解密密钥一样,密钥分发困难。
4)非对称加密特点
加密速度慢,但强度高;
优点:
加密密钥和解密密钥不一样,公钥和私钥;公钥可以公开,密钥的分发容易。
5)钱是老百姓的命根子,密钥是金融系统的命根子
6)数字证书和网银KEY
数字证书是用户的网络身份证,里面含有用户信息、用户的公钥;
网银EKY是用户的密钥载体介质,里面存储用户的私钥
7)签名和验证签名。
签名:
非对称加密体系中,用私钥签名;相当于盖章!
具有法律效力。
电子签名法。
验证签名:
用对端的数字证书中的公钥解密。
对解密数据进行比对。
8)Hash算法:
对一批数据,进行指纹运算。
9)经典案例:
案例1:
客户端A和服务器B双向身份认证
1)客户端A和客户端B都有自己的密钥对;
2)服务器B识别客户端A的身份流程为:
A发送明文信息、对明文的签名信息、自己的公钥,将信息打包后,发送给B;B接受信息后,用A的公钥解密签名信息,得到明文2,校验明文是否一致。
就可以验证A的身份
3)同理:
客户端A也可以验证服务器的身份。
案例2:
思考非对称加密时,为什么用对方的公钥加密数据。
2项目的要求
2.1项目课训练什么
1)项目的需求提炼
2)项目的子系统划分,每个子系统的模块分解
3)项目的开发经历、经验积累
1)后台服务框架搭建和后台业务流调试、开发
2)前台界面框架和业务流调试、开发
3)子系统的对接联合调试
4)项目开发的经历是人生的一笔财富!
课堂上我会尽力展现给大家真实的项目开发环境。
4)项目开发财富库的积累
5)设计文档的阅读和编写能力
科技论文、方案
2.2项目课学员注意
1)部分学员,太关注自己不会的、看不懂的源码;
正确的做法:
学员重视业务流、软件开发思维的训练;有些代码是你看不懂的。
2)部分学员,为实现某一个功能,把相关的知识体系,全复习、学习一遍;效率低下。
正确的做法:
用到什么,学什么;不随意扩充。
3)部分学员,总想一下子把功能做的十分完美
正确的做法:
迭代开发,先出来一个模型,再说!
4)培养职业的工作习惯
完成领导分配的任务是第一要务;衡量初级、中级程序员的标准就是能不能干活,能不能给公司创造价值;而不是你读了多少书!
——能快速的做出东西的程序员,是企业中的高手!
(快速适用环境、快速的学习(向老员工请教工作经验、自己突破技术盲点))
5)有问题,先问“度娘”!
很多公司不愿意要培训出来的学员,他们认为培训出来的学员缺乏动手能力和独立完成任务的能力(钻研、技术攻坚能力)!
——是一个适合做开发的人!
3项目开发管理流程
参考《公司常用项目管理实施流程.pdf》。
参考常见项目开发文档。
1)项目启动之前,可行性研究已搞定
2)项目启动会议,项目经理需求和方案
3)项目讨论会,概要设计(子系统、模块,数据库脚本、重要的流程图)和详细设计(伪代码、详细的流程图)====》压力最大
4)编码阶段,程序员累
5)测试(单元测试、对接)
4安全传输平台需求分析
4.1需求转化方案的思考
1)用户的核心需求是什么
2)完成需求需要几个子系统
a)方案有几个子系统组成
b)每个子系统有几个模块组成
3)子系统之间的关系
4)子系统之间的业务流有哪些
5)区分通用组件和业务子系统之间区别
完成需求,需要几个子系统、子系统之间的关系、每个子系统模块有哪些;系统的业务流有哪些;业务子系统和通用组件的合理分层。
程序员心态:
需求转化成方案是项目组压力最大的时候;概要设计和详细设计阶段是最累的时候
4.2项目需求分析
专业术语:
应用,应用结点;网点;接入;
一般性需求
网点相关
完成点与点之间数据加密、消息加密解密
每一个节点都需要进行管理(网点生命周期的管理)
总行要验证分行的身份身份鉴别
密钥相关
适时更换密钥(密钥的生命周期管理)
密钥更换异常处理
密钥管理实时分发、下载、校验、服务
易用性(第三方信息系统和安全传输平台解耦合)
保证修改的最少(第三方信息系统应该和我们的平台有效的解耦合)
不同行业的特殊性需求
加密强度(加密实时性)
对加密层进行抽象软件方式加密硬件方式加密集群方式加密
部署简单,部署灵活,能够满足各种各样的社会需求
密钥集群
最核心:
完成两个应用之间数据的安全传输;第三方应用改动最小;部署激动灵活;满足社会的各种需求。
4.3方案功能分解
每一个子系统的功能分解
4.4方案演示
演示基础组件:
报文编码解码组件、安全通信组件、数据库统一接口组件
演示linux后台:
secmngserver和secmngclient
演示windows:
secmngclient
演示第三方应用:
外联接口
5安全传输平台总体设计
5.1方案特点
n规范化:
严格遵循各种相关规范设计。
n独立性:
系统各子系统间互相独立,在保持系统间接口的前提下,各系统间的升级互不干扰。
n最小耦合性:
各子系统进行严格功能分解,每个子系统负责单纯的功能,互不干扰。
n开放性:
系统遵循开放的业界标准。
n兼容性:
兼容各种硬件平台、软件平台、密码设备。
n灵活性:
充分考虑未来业务、技术上的需求,在业务和技术变化时,可平滑升级。
5.2方案架构
5.2.1方案原理
1)第三方应用app,通过外联接口加密、解密数据。
2)外联接口通过共享内存查找网点密钥。
3)密钥协商服务器和密钥协商客户端协商密钥,写共享内存。
密钥协商客户端可以是linux平台应用程序、也可以是win平台应用程序。
4)密钥协商服务器配置终端(SecMngAdmin)管理接入的网点应用,完成网点生命周期管理;密钥协商服务器配置终端(SecMngAdmin)可以进行历史密钥管理、审计管理等等。
5)每一个网点都进行编号。
5.2.2方案部署效果图
5.2.3方案模块关系
5.3方案子系统
5.3.1方案子系统
编号
子系统
软件平台
主要技术点
备注
01
统一数据库访问组件libicdbapi
Linux
1封装proc访问oracle数据库
2基于数据库连接池
3linux下线程互斥和同步
接口的封装和设计
02
统一通讯SocketApi组件
Linux、Win
1封装Linux和Win下基本SocketApi
2基于socket连接池
3win下和linux下的线程互斥和同步
4win下和linux下异构通讯
接口的封装和设计
03
统一报文编解码组件
Libmessagereal
Linux、win
1接口的封装和设计
2win和linux源码的移植
3win和linux平台下动态库的设计与实现xmljsonhtmlDER
接口的封装和设计
04
统一共享内存读写组件
Linux、win
1接口的封装和设计
2win和linux进程间通信机制IPC(共享内存、消息队列)
接口的封装和设计
05
密钥协商服务程序SecMngServer
Linux
1linux服务器框架编写
2各种动态库的集成
3linux业务流的编写和调试
Linux服务程序系统开发
06
密钥协商客户端程序SecMngClient
Linux、win
1linux客户端编写
2Win客户端编写
3各种动态库的集成
4linux和win业务流的编写和调试
Linux信息系统开发
Win信息系统开发
07
密钥协商服务配置管理终端SecMngServerAdmin
Win
1MFC框架、视图切分和切换
2各种win动态库的集成
3win和linux的对接和调试
4win下odbc驱动连接数据库
Win信息系统开发
08
外联接口AppInterface
Linux、win
1接口的封装和设计
接口设计与实现
09
对称密钥加解密接口
Linux、win
1安全基础知识
使用第三方接口
10
安全传输平台数据库脚本
Oracle
1sql脚本
2oracle数据库的安装、启动、关闭基本管理
3安全传输平台sql脚本的实施
信息系统数据库解决方案
5.3.2总体流程
1)安装数据库,部署安全传输平台sql脚本方案
2)密钥协商服务器器配置终端SecMngServerAdmin,添加网点信息,配置后台服务器启动参数
3)启动密钥协商服务器(SecMngServer)后台服务程序
4)启动密钥协商客户端程序(SecMngClinet),发起协商密钥
5)第三方信息系统,通过外联接口(AppInterface),加解密
5.3.3学员分组
1)通用组件1人
2)后台框架和业务流1人
3)后台配置管理(MFC)1人
4)前台框架和业务流(MFC)1人
5)外联接口1人
4人+1人;项目经理协调!
5.3.4学员产品成果
编号名称平台描述其他
编号
软件名称
软件平台
产品名称
其他
01
Commdbapi(linux)(Linux)
CommMsgEncodeDecode(linuxwin)
Mysql(limux)
Socket(winlinux)
共享内存(winlinux)
Linux
02
Secmngserver(linux)
Secmngclient(linux)
03
SecmngserverAdmin
04
Secmngclient(win)
05
AppInterface(win、linux)
6安全传输平台实现
6.1报文编解码组件设计与实现
6.1.1常见报文类型
超文本传输协议
超文本传输协议(HTTP,HyperTextTransferProtocol)是互联网上应用最为广泛的一种网络协议。
所有的WWW文件都必须遵守这个标准。
设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。
1960年美国人TedNelson构思了一种通过计算机处理文本信息的方法,并称之为超文本(hypertext),这成为了HTTP超文本传输协议标准架构的发展根基。
TedNelson组织协调万维网协会(WorldWideWebConsortium)和互联网工程工作小组(InternetEngineeringTaskForce)共同合作研究,最终发布了一系列的RFC,其中著名的RFC2616定义了HTTP1.1。
1.Request和Response的格式
Request格式:
HTTP请求行
(请求)头
空行
可选的消息体
注:
请求行和标题必须以
空行内必须只有
在HTTP/1.1协议中,所有的请求头,除Host外,都是可选的。
实例:
GET/HTTP/1.1
Host:
User-Agent:
Mozilla/5.0(Windows;U;WindowsNT6.0;en-US;rv:
1.9.0.10)Gecko/2009042316Firefox/3.0.10
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language:
en-us,en;q=0.5
Accept-Encoding:
gzip,deflate
Accept-Charset:
ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive:
300
Connection:
keep-alive
If-Modified-Since:
Mon,25May200903:
19:
18GMT
Response格式:
HTTP状态行
(应答)头
空行
可选的消息体
实例:
HTTP/1.1200OK
Cache-Control:
private,max-age=30
Content-Type:
text/html;charset=utf-8
Content-Encoding:
gzip
Expires:
Mon,25May200903:
20:
33GMT
Last-Modified:
Mon,25May200903:
20:
03GMT
Vary:
Accept-Encoding
Server:
Microsoft-IIS/7.0
X-AspNet-Version:
2.0.50727
X-Powered-By:
ASP.NET
Date:
Mon,25May200903:
20:
02GMT
Content-Length:
12173
消息体的内容(略)
HTML
文本标记语言,即HTML(HypertextMarkupLanguage),是用于描述网页文档的一种标记语言。
一个网页对应于一个HTML文件,HTML文件以.htm或.html为扩展名。
可以使用任何能够生成TXT类型源文件的文本编辑来产生HTML文件。
超文本标记语言标准的HTML文件都具有一个基本的整体结构,即HTML文件的开头与结尾标志和HTML的头部与实体2大部分。
有3个双标记符用于页面整体结构的确认。
Visibletextgoeshere404filenotfound
alt="AlternateText"> webmaster@">Sende-mailAnamedanchor: HTML文本标记语言,即HTML(HypertextMarkupLanguage),是用于描述网页文档的一种标记语言。 HTML是一种规范,一种标准,它通过标记符号来标记要显示的网页中的各个部分。 http超文本传输协议(HTTP,HyperTextTransferProtocol)是互联网上应用最为广泛的一种网络协议。 所有的WWW文件都必须遵守这个标准。 设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。 1960年美国人TedNelson构思了一种通过计算机处理文本信息的方法,并称之为超文本(hypertext),这成为了HTTP超文本传输协议标准架构的发展根基。 TedNelson组织协调万维网协会(WorldWideWebConsortium)和互联网工程工作小组(InternetEngineeringTaskForce)共同合作研究,最终发布了一系列的RFC,其中著名的RFC2616定义了HTTP1.1。 总结: HTML是超文本标记语言,HTTP是协议,HTML在HTTP协议上运行的;通过HTTP协议也可以传输声音、图像、数据。 等等。 XML报文 XML为ExtensibleMarkupLanguage的缩写,即可扩充标注语言。 它是由SGML所精简而来的一种通用标注语言,主要是要简化SGML烦杂的结构,强化HTML过于简单而不够严谨的语法。 微软是XML技术的推动者之一,它希望能够建立一个可以为WWW广泛使用语言环境,推动程序的兼容与协同,从而降低成本,刺激增长。 虽然XML创立之初只是被当作一项基础技术,但其发展早已超出设计者原先的构想。 不论是学术界还是商业界都将其视为下一代网络的基石。 XML现在已经成为一股不可抵挡的技术潮流。 现有的XML主要应用在四个方面: 一是应用于具有不同复杂格式的不同数据源间的交互;二是应用于大量运算负荷分布在客户端的情况,用户可以根据自己的需求选择和制作不同的应用程序以处理数据,而服务器只需发出同一个XML文件;三是应用于将同一数据以不同的形式表现出来;四是应用于网络代理对所取得的信息进行编辑、增减以适应个人用户的需要,形成具有个人特色的数据文件。 事实上,XML技术的潜能还远未被充分挖掘。 据一份最新的研究指出,以XML为基础的内容生命周期产品,将在今后5年以10倍的速度快速成长,在2008年达到116亿美元的营业规模。 以XML和Web服务为主的研究公司ZapThink在研究报告中也指出,这些以XML为基础并包括Web服务的工具,是将旧有系统再度激活的新希望。 “XML最大的影响在于XML软件大量兴起: XML剖析器、XML程序语言库、XSLT处理器、XSLFO处理器、数据库接受XML——不只如此,还有网络浏览器也接受XML。 ”XML工作小组创始会员C.M.Sperberg-McQueen如是认为。 也正因为如此,IBM、微软、SUN、惠普、Oracle等大公司纷纷进入这个市场。 而在XML最大应用之一的数据格式转换领域,Adobe、微软、Core都在各自相关的软件产品中充分利用了XML技术。 以程序关联为特色的Office2003更是将XML的格式转换特性发挥到了极致,以至于这个软件套装几乎成为了一个独立的数据系统。 DOCTYPEproject[ ENTITYCommonSYSTEM"common.xml"> %Common; ]> -- BouncyCastleBuildConfiguration(midp) ThisistheJDK1.1specificbuildfile. $RCSfile: jdk11.xml,v$ $Author: bouncy$ $Date: 2005/07/0613: 02: 52$ $Revision: 1.1.1.1$ --> --Publiccallabletargets--> --includecommontargets,properties--> &Common; --**Privateproperties-->
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 安全 传输 基础设施 平台 项目 数据传输 v1 0.5 黑马