7、服务安全与管理模式解析

服务安全与管理模式解析

1. 安全基础设施模式可缓解的威胁类别

在系统安全中，安全基础设施模式能有效缓解多种威胁。以下是具体的威胁类别及应对措施：
| 威胁 | 行动 |
| — | — |
| 欺骗（Spoofing） | 使用发送者的公钥验证签名以防止假冒；为消息添加时间戳或实现幂等消息以应对重播攻击 |
| 篡改（Tampering） | 加密消息，使其在不破坏消息的情况下无法被更改 |
| 抵赖（Repudiation） | 为消息添加时间戳并要求签名，防止发送者声称未发送消息 |
| 信息泄露（Information disclosure） | 加密重要信息（或整个消息），防止他人读取敏感数据 |

2. 服务防火墙模式

2.1 问题提出

在之前的模式中，消息在“无人区”传输。即便使用安全消息或安全基础设施模式保护消息传输，但如果发送者是恶意的，问题仍然存在。恶意发送者可能会发起多种攻击，如 XML 拒绝服务（XDoS）攻击和 XPath 注入或 SQL 注入攻击。

XDoS 攻击中，恶意发送者会在消息中附加大量数字签名，未针对此类攻击优化的解析器会检查每个签名，导致服务因负载过重而变慢。而注入攻击则是消息中传递的参数具有恶意，旨在泄露信息或对服务内的数据执行有害操作。此外，还需确保传出消息不会泄露私有或机密信息。

2.2 解决方案

为保护服务免受恶意传入消息的侵害并防止传出消息的信息泄露，有以下几种选择：
- 应用安全基础设施模式并要求客户端证书 ：此方法仅适用于服务仅对有