在大数据时代，如何保证数据和API安全？

发布时间: 2020-12-15

       数据时代的到来正推动着社会各个领域的转型升级，但是在加速发展的过程中数据泄露问题也日益突出，对企业和个人信息的安全性构成了极大的威胁。 在2018年，据报道发生了6500起数据泄露事件，暴露了数十亿潜在的数据滥用记录。在当今的数字连接世界中，安全几乎始终是企业确保其记录安全的优先事项。对于组织来说，实现API安全最佳实践对于将集成保持在紧密锁定状态下以在系统之间传输数据非常重要。

       许多企业和技术提供商通过采用多种身份和访问管理机制（例如Mulesoft）来确保数据和API安全。这是确保只有授权用户才能访问某些数据集，系统，API等的过程。消息完整性与访问管理同样重要。消息完整性表示消息已确认是从“已知”应用程序发送的，并且在传输到API的过程中没有受到损害。这样可以保证不会看到邮件的私人详细信息。

       在这里，我们简要介绍几种更常见和重要的数据和API安全保护机制：

1.多因素认证

       访问管理的一种类型是多因素身份验证（MFA）。多因素身份验证是指在对用户的凭据进行身份验证之后，向用户请求一次性使用令牌的应用程序。某些应用程序可以通过向用户发送消息或让用户创建应用程序可以验证的数字密钥来执行此操作。只有在应用程序以两种或多种方式对用户进行身份验证之后，用户才能访问它。

       此方法可以弥补仅使用用户名和密码作为凭据的缺点，这可以大大提高安全性，同时提供良好的用户体验。

       体验多种保护：精通安全性并希望对敏感资源或事务具有最高安全性级别的用户选择多因素身份验证，因为进入壁垒最严格。用户必须提供一些信息，然后才能访问其账户。

       保证的高保证交易：对于某些交易，使用强大的单因素身份验证可以提供足够的安全性。但是，对于高保证交易（例如开出或进行高价值交易），可能需要对用户进行更强的身份验证。

       确保强大的合规性：受监管行业的组织需要满足严格的合规性要求，例如HIPAA。使用满足最高保证级别的多因素身份验证方法，以确保授权访问。

2.基于令牌

       保护应用程序和数据访问的另一种方法是通过基于令牌的凭据。用户首次使用其用户名/密码凭据访问身份提供者时，会发出令牌。令牌使他们无需使用用户名和密码即可访问特定资源。从那时起，该应用程序仅需要发送令牌，而无需让用户通过网络共享其凭据（这可能会带来安全风险）。

       换句话说：添加一个间接身份验证级别-无需为每个受保护资源使用用户名和密码进行身份验证，用户只需要以这种方式进行一次身份验证（在会话持续时间内），然后获取一个限时令牌并将其用于会话期间的进一步认证。

       这有很多好处。例如，用户获得令牌后，便可以将其传递给其他一些自动化系统。他们愿意在有限的时间和有限的资源范围内信任这些系统，但是他们不愿意使用其用户名和密码来信任这些系统，因此他们可以访问任何资源（至少在更改密码之前）。并且大多数令牌具有可以撤销的有效期。因为令牌是唯一地颁发给每个应用程序的，所以即使某个应用程序的令牌被吊销或过期，也可以单独访问所有应用程序。

3.数字签名

       数字签名是一种数学方案，用于验证数字文档或消息的真实性/完整性。在确定真实性和避免篡改（例如在金融交易中）时使用它们。数字签名可分为三个部分：密钥生成算法，签名算法和签名验证算法。密钥生成算法从一组可能性中选择一个随机私钥，并将私钥与相关的公钥一起发送。签名算法根据消息和私钥生成签名。最后，签名验证算法在提供消息，签名和公共密钥时接受或拒绝消息的真实性。

       数字签名通常用于实现加密的电子签名。这些安全措施同时考虑了身份验证和不可否认性（签名者在声称自己的私钥未受到损害之前不能拒绝对文档签名）。

       您可以签名任何东西（无论是民间的，法律的还是个人的），并且签名用于记录交易的真实性。这个概念也已经数字化。在这种情况下，应用程序使用算法和密码创建签名。高效的API使用相同的算法和新密码来生成自己的签名，并将其与传入的签名进行比较。收到匹配的消息后，API将验证该消息是由已知应用程序发送的，并在传输过程中保持其完整性。这是因为与第三方篡改签名不同，只有已知的应用程序会生成相同的签名并进行维护。

       数字签名是最先进和安全的在线签名类型。您可以使用它们来满足最严格的法律和法规要求，因为它们为每个签名者的身份和签名文档的真实性提供了最高级别的保证。

4.公钥加密

       确保消息完整性的另一种古老方法是加密。公钥密码术或非对称密码术是一种加密方案，它使用两个数学上相关但不同的密钥-公钥和私钥。与依靠一个密钥进行加密和解密的对称密钥算法不同，每个密钥执行唯一的功能。公钥用于加密，私钥用于解密。即，如果没有相应的密钥，几乎不可能对消息进行解码。

       基于公钥计算私钥在计算上是不可行的。因此，公钥可以自由共享，这使用户可以轻松便捷地加密内容并验证数字签名，而私钥可以保密，从而确保只有私钥的所有者才能解密内容并创建数字。签名。

       因为需要共享公用密钥，但是由于它们太大而无法记住，因此将它们存储在数字证书中以进行安全的传输和共享。由于不共享私钥，因此它们仅存储在您使用的软件或操作系统中，或者存储在硬件（例如USB令牌，硬件安全模块）中，其中包含与您的软件或操作系统驱动程序一起使用的许可。

       我们知道加密有两种形式：对称和非对称。对称性意味着客户端和服务器共享相同的密钥来加密和解密消息。优点是计算量小，加密解密速度较快，适合加密较大的数据。缺点是密钥的传输容易泄漏，用户需要与密钥相对应，并且服务器管理密钥更加麻烦。非对称意味着服务器将公共密钥发送给客户端，从而允许其对消息进行加密，但保留可以解密消息的私有密钥。本质上，一条消息用于锁定消息，另一条消息用于解锁。优点是可以使用不同的密钥进行加密和解密，并且可以传输公共密钥。数据传输是安全的。缺点是计算量大，加解密速度慢。

5.数字证书

       公钥加密使用SSL（安全套接字层）来加密客户端计算机和电子商务网站之间的所有数据。使用站点的公共密钥以加密形式将信息发送到站点。收到信息后，站点将使用其私钥对信息解密。这称为密钥对。可能在途中捕获数据的入侵者会发现它不可读。问题在于，任何人都可以使用自己的名字创建网站和密钥对。这就是数字证书的来源。数字证书是一种受信任的电子ID，该ID对网站的公共密钥进行加密并将其绑定到其身份以获取公共信任。

       数字证书包含实体的名称，地址，序列号，公钥，有效期和数字签名以及其他信息。这是一种促进客户端和服务器之间通过网络进行安全传输级通信的方法，以便服务器可以与客户端进行通信。身份验证。发生这种情况是因为证书将有关服务器的信息与有关拥有该服务器的企业的信息绑定在一起。

       数字证书由独立的，公认的和受信任的第三方颁发，以确保网站按其声称的那样运行。此第三方称为证书颁发机构（CA）。没有数字证书，公众几乎无法保证任何特定网站的合法性。

       在大数据时代，企业面临越来越严重的网络安全问题，特别是当需要在企业内部和企业之间集成不同的应用程序时，尽管开发人员可以通过API轻松快速地实现它们。但是，如果不采用适当的API，它将使整个企业面临各种风险和威胁。因此，在开发和实施之前，我们需要评估数据和API安全机制，以改善企业的整体安全状况。此外，企业自身也应制定相应的安全保护体系。

本文内容转载自：百家号 baijiahao.baidu.com

原文作者：码源网

原文地址：https://baijiahao.baidu.com/s?id=1655309146016697045&wfr=spider&for=pc

作者: 码源网