第三章数据库及其应用系统的安全语义

《第三章数据库及其应用系统的安全语义》由会员分享，可在线阅读，更多相关《第三章数据库及其应用系统的安全语义（124页珍藏版）》请在装配图网上搜索。

1、返回返回1 第 三 章数据库及其应用系统的安全语义返回返回2 安全的基本体系安全的基本体系系统安全基本原则系统安全基本原则威胁模型威胁模型3.4 3.4 攻击树攻击树返回返回3v机密性：机密性：是防止信息泄漏给非授权个人、实是防止信息泄漏给非授权个人、实体或过程，只允许授权用户访问的特性。体或过程，只允许授权用户访问的特性。v完整性：完整性：完整性是信息在未经合法授权时不完整性是信息在未经合法授权时不能被改变的特性，也就是数据在生成、存储能被改变的特性，也就是数据在生成、存储或传输过程中保证不被偶然或蓄意地删除、或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序、插入等破坏和丢失的特修改、

2、伪造、乱序、插入等破坏和丢失的特性。完整性要求保持数据的原样，即信息的性。完整性要求保持数据的原样，即信息的正确生成、存储和传输。正确生成、存储和传输。返回返回4v可用性：可用性：可用性是数据库系统中，在需要时可用性是数据库系统中，在需要时允许授权用户或实体使用的特性；或者是不允许授权用户或实体使用的特性；或者是不正常情况下能自我恢复及状态保护，为授权正常情况下能自我恢复及状态保护，为授权用户提供有效服务的特性。用户提供有效服务的特性。v非抵赖性：非抵赖性：非抵赖性也称作不可否认性，即非抵赖性也称作不可否认性，即在数据库系统的信息交互过程中所有参与者在数据库系统的信息交互过程中所有参与者都不可

3、能否认或抵赖曾经完成的操作的特性。都不可能否认或抵赖曾经完成的操作的特性。v可控性：可控性：在授权范围内控制信息流向和行为在授权范围内控制信息流向和行为方式，对信息的传播和信息的内容具有控制方式，对信息的传播和信息的内容具有控制能力。能力。机密性、完整性和可用性是信息安全的核心三机密性、完整性和可用性是信息安全的核心三要素，也是数据库安全的三要素。要素，也是数据库安全的三要素。返回返回5v鉴别服务鉴别服务：提供对通信中对等实体和数据来提供对通信中对等实体和数据来源的鉴别。也称为认证服务。源的鉴别。也称为认证服务。v访问控制服务访问控制服务：访问控制业务的目标是防止访问控制业务的目标是防止对任何

4、资源的非法访问。所谓非法访问是指对任何资源的非法访问。所谓非法访问是指未经授权的使用、泄露、销毁以及发布等。未经授权的使用、泄露、销毁以及发布等。包括合法授权用户的非法访问。包括合法授权用户的非法访问。返回返回6v机密性服务机密性服务：是防止信息泄漏给非授权个人、是防止信息泄漏给非授权个人、实体或过程，只允许授权用户访问的特性。实体或过程，只允许授权用户访问的特性。v完整性服务：完整性服务：数据完整性业务前面已经给予简数据完整性业务前面已经给予简述，该业务主要是防止数据被非法增删、修改述，该业务主要是防止数据被非法增删、修改或替代，从而改变数据的价值或存在。或替代，从而改变数据的价值或存在。v

5、抗抵赖服务抗抵赖服务：限制合法授权用户的安全责任，限制合法授权用户的安全责任，为安全行为纠纷提供可以取证的凭据。为安全行为纠纷提供可以取证的凭据。返回返回7主要安全服务主要安全服务全称全称认证（认证（AUAU）对等实体认证对等实体认证数据起源认证数据起源认证访问控制（访问控制（ACAC）自主访问控制自主访问控制强制访问控制强制访问控制机密性（机密性（COCO）连接机密性连接机密性无连接机密性无连接机密性选择字段机密性选择字段机密性业务流机密性业务流机密性完整性（完整性（ININ）可恢复的连接完整性可恢复的连接完整性不可恢复的连接完整性不可恢复的连接完整性选择字段的连接完整性选择字段的连接完整性

6、无连接完整性无连接完整性选择字段的无连接完整性选择字段的无连接完整性非否认（非否认（NDND）数据起源的非否认数据起源的非否认传递过程的非否认传递过程的非否认返回返回8系统安全的八大机制系统安全的八大机制数据加密机制数据加密机制访问控制机制访问控制机制数据完整性机制数据完整性机制数字签名机制数字签名机制鉴别交换机制鉴别交换机制业务填充机制业务填充机制路由控制机制路由控制机制公证机制公证机制返回返回9需要加密层选择、加密算法选择和密钥管理。需要加密层选择、加密算法选择和密钥管理。加密算法划分为对称密码体制和非对称密码加密算法划分为对称密码体制和非对称密码体制。体制。密码管理包括密钥的产生、密钥分

7、配、销毁、密码管理包括密钥的产生、密钥分配、销毁、更新更新返回返回10访问控制的目的是防止对信息资源的非授权访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对访问和非授权使用信息资源。它允许用户对其常用的信息库进行适当权限的访问，限制其常用的信息库进行适当权限的访问，限制他随意删除、修改或拷贝信息文件。访问控他随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络制技术还可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝中的活动，及时发现并拒绝“黑客黑客”的入侵。的入侵。返回返回11访问控制采用最小特权原则：即在给用户分访问控制采用最小特权原则

8、：即在给用户分配权限时，根据每个用户的任务特点使其获配权限时，根据每个用户的任务特点使其获得完成自身任务的最低权限，不给用户赋予得完成自身任务的最低权限，不给用户赋予其工作范围之外的任何权力。其工作范围之外的任何权力。自主访问控制（自主访问控制（DACDAC）、强制访问控制（）、强制访问控制（MACMAC）和基于角色的访问控制（和基于角色的访问控制（RBACRBAC）使用的技术是访问控制矩阵、权限、安全标使用的技术是访问控制矩阵、权限、安全标记、访问时间等。记、访问时间等。返回返回12是保护数据，以免未授权的数据乱序、丢失、是保护数据，以免未授权的数据乱序、丢失、重放、插入和纂改。重放、插入和

9、纂改。数据完整性机制的两个方面数据完整性机制的两个方面单个数据单元或字段的完整性（不能防止单单个数据单元或字段的完整性（不能防止单个数据单元的重放）个数据单元的重放）数据单元串或字段串的完整性数据单元串或字段串的完整性发送方发送方接收方接收方附加一个量附加一个量比较这个量比较这个量还要加上顺序号、时间标记和密码链还要加上顺序号、时间标记和密码链返回返回13对数据单元进行签名和校验。防止数据单元对数据单元进行签名和校验。防止数据单元的伪造、假冒、篡改和否认。的伪造、假冒、篡改和否认。传统签名的基本特点传统签名的基本特点:v能与被签的文件在物理上不可分割能与被签的文件在物理上不可分割v签名者不能否

10、认自己的签名签名者不能否认自己的签名v签名不能被伪造签名不能被伪造v容易被验证容易被验证传传数字签名是传统签名的数字化，基本要求数字签名是传统签名的数字化，基本要求:v能与所签文件能与所签文件“绑定绑定”v签名者不能否认自己的签名签名者不能否认自己的签名v签名不能被伪造签名不能被伪造v容易被自动验证容易被自动验证返回返回14交换鉴别机制通过互相交换信息的方式来确定彼交换鉴别机制通过互相交换信息的方式来确定彼此的身份。用于交换鉴别的技术有：此的身份。用于交换鉴别的技术有：用于认证交换的技术用于认证交换的技术v认证信息，如口令认证信息，如口令v密码技术密码技术v好被认证实体的特征好被认证实体的特征

11、为防止重放攻击，常与以下技术结合使用为防止重放攻击，常与以下技术结合使用v时间戳时间戳v两次或三次握手两次或三次握手v数字签名数字签名返回返回15路由控制机制可使信息发送者选择特殊的路由，路由控制机制可使信息发送者选择特殊的路由，以保证连接、传输的安全。其基本功能为：以保证连接、传输的安全。其基本功能为：v 路由选择路由选择 路由可以动态选择，也可以预定义，以路由可以动态选择，也可以预定义，以便只用物理上安全的子网、中继或链路进行便只用物理上安全的子网、中继或链路进行连接和连接和/或传输；或传输；v 路由连接路由连接 在监测到持续的操作攻击时，端系统可在监测到持续的操作攻击时，端系统可能同网络

12、服务提供者另选路由，建立连接；能同网络服务提供者另选路由，建立连接；返回返回16v安全策略安全策略 携带某些安全标签的数据可能被安全携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继或路。连接策略禁止通过某些子网、中继或路。连接的发起者可以提出有关路由选择的警告，的发起者可以提出有关路由选择的警告，要求回避某些特定的子网、中继或链路进要求回避某些特定的子网、中继或链路进行连接和行连接和/或传输。或传输。返回返回17流量填充机制提供针对流量分析的保护。流量填充机制提供针对流量分析的保护。所谓的业务填充即使在业务闲时发送无用所谓的业务填充即使在业务闲时发送无用的随机数据，制造假的通信、产生

13、欺骗性数据的随机数据，制造假的通信、产生欺骗性数据单元的安全机制。该机制可用于提供对各种等单元的安全机制。该机制可用于提供对各种等级的保护，用来防止对业务进行分析，同时也级的保护，用来防止对业务进行分析，同时也增加了密码通讯的破译难度。发送的随机数据增加了密码通讯的破译难度。发送的随机数据应具有良好的模拟性能，能够以假乱真。该机应具有良好的模拟性能，能够以假乱真。该机制只有在业务填充受到保密性服务时才有效。制只有在业务填充受到保密性服务时才有效。可利用该机制不断地在网络中发送伪随机序列可利用该机制不断地在网络中发送伪随机序列,使非法者无法区分有用信息和无用信息。使非法者无法区分有用信息和无用信

14、息。例：某公司出售股票。例：某公司出售股票。返回返回18有关在两个或多个实体之间通信的数据的性质有关在两个或多个实体之间通信的数据的性质,如完整性、原发、时间和目的地等能够借助公如完整性、原发、时间和目的地等能够借助公证机制而得到确保。证机制而得到确保。这种保证是由第三方公证人提供的。公证人为这种保证是由第三方公证人提供的。公证人为通信实体所信任通信实体所信任,并掌握必要信息以一种可证并掌握必要信息以一种可证实方式提供所需的保证。实方式提供所需的保证。每个通信实例可使用数字签名、加密和完整性每个通信实例可使用数字签名、加密和完整性机制以适应公证人提供的服务。当这种公证机机制以适应公证人提供的服

15、务。当这种公证机制被用到时制被用到时,数据便在参与通信的实体之间经数据便在参与通信的实体之间经由受保护的通信和公证方进行通信。由受保护的通信和公证方进行通信。返回返回19安全服务与安全机制的关系安全服务与安全机制的关系安全服务是由安全机制来实现的安全服务是由安全机制来实现的一种安全机制可以实现一种或者多种安全服务一种安全机制可以实现一种或者多种安全服务一种安全服务可以由一种或者多种安全机制来一种安全服务可以由一种或者多种安全机制来实现实现 返回返回20 机制服务机制服务加加密密数字数字签名签名访问访问控制控制数据完数据完整性整性认证认证交换交换业务流业务流填充填充路由路由控制控制公公证证认认证

16、证对等实体认证对等实体认证数据起源认证数据起源认证访问访问控制控制自主访问控制自主访问控制强制访问控制强制访问控制机机 密密 性性连接机密性连接机密性无连接机密性无连接机密性选择字段机密性选择字段机密性业务流机密性业务流机密性完完整整性性可恢复的连接完整性可恢复的连接完整性不可恢复的连接完整性不可恢复的连接完整性选择字段的连接完整性选择字段的连接完整性无连接完整性无连接完整性选择字段的无连接完整性选择字段的无连接完整性非否非否认认数据起源的非否认数据起源的非否认传递过程的非否认传递过程的非否认安全服务与安全机制的关系安全服务与安全机制的关系返回返回21返回返回22Web ServicesWeb

17、 Services是用于建构是用于建构Web ServiceWeb Service的技术框架，的技术框架，Web ServiceWeb Service是使用是使用Web Web ServicesServices技术而创建的应用实例。技术而创建的应用实例。目的：目的：Web ServiceWeb Service主要是为了使原来主要是为了使原来各孤立的站点之间的信息能够相互通信、各孤立的站点之间的信息能够相互通信、共享而提出的一种接口。共享而提出的一种接口。这有助于大这有助于大量异构程序和平台之间的互操作性，从量异构程序和平台之间的互操作性，从而使存在的应用程序能够被广泛的用户而使存在的应用程序能

18、够被广泛的用户访问。访问。返回返回23返回返回24高度可集成能力：高度可集成能力：由于由于WebWeb服务采取简单的、易理解的标准，服务采取简单的、易理解的标准，WebWeb协议作为组件界面描协议作为组件界面描述和协同描述规范，完全屏蔽了不同软件平台的差异，无论是述和协同描述规范，完全屏蔽了不同软件平台的差异，无论是CORBACORBA、DCOMDCOM还是还是EJBEJB，都可以通过这一种标准的协议进行互操作，实现了在当前环境下最高的可集成性。都可以通过这一种标准的协议进行互操作，实现了在当前环境下最高的可集成性。可可以使用任何语言以使用任何语言(如如C、C+、VB、VC等等)来编写来编写W

19、eb服务，开发者无需更改他们的开服务，开发者无需更改他们的开发环境就可以生产和使用发环境就可以生产和使用Web服务。服务。Web服务技术不仅易于理解，并且服务技术不仅易于理解，并且IBM、微软等、微软等大的供应商所提供的开发工具能够让开发者快速创建、部署大的供应商所提供的开发工具能够让开发者快速创建、部署Web 服务，已有的服务，已有的COM(Component Object Model 组件对象模型组件对象模型)组件、组件、Java Bean 等也可方便地转化等也可方便地转化为为Web 服务。服务。使用协议的规范性：使用协议的规范性：这一特征从对象而来，但相比一般对象，其界面更加规范化和易这

20、一特征从对象而来，但相比一般对象，其界面更加规范化和易于机器理解。于机器理解。这种良好的安全开放性使得以这种良好的安全开放性使得以Web Service 构建电子商务独立安全系统成为发展的新构建电子商务独立安全系统成为发展的新趋势。为实现不同商业企业间的应用系统提供动态安全集成，体现电子商务的真正价趋势。为实现不同商业企业间的应用系统提供动态安全集成，体现电子商务的真正价值。值。返回返回25Web ServicesWeb Services体系架构中的角色包括如下三种：体系架构中的角色包括如下三种：v服务提供者：服务提供者：提供服务，它在服务代理处注提供服务，它在服务代理处注册以配置和发布服务，

21、等待服务可用。册以配置和发布服务，等待服务可用。v服务请求者：服务请求者：WebWeb服务请求者就是服务请求者就是WebWeb功能的功能的使用者，它使用查找操作来从服务代理者检使用者，它使用查找操作来从服务代理者检索服务描述，然后与服务提供者绑定并调用索服务描述，然后与服务提供者绑定并调用WebWeb服务或同它交互。服务请求者角色可以由服务或同它交互。服务请求者角色可以由浏览器来担当，由人或无用户界面的程序浏览器来担当，由人或无用户界面的程序(例例如，另外一个如，另外一个WebWeb服务服务)来控制它。来控制它。返回返回26v服务注册中心（服务代理）：服务注册中心（服务代理）：服务服务交换所，

22、服务提供者和服务请求者交换所，服务提供者和服务请求者之间的媒体将二者联系在一起，该之间的媒体将二者联系在一起，该角色可选。角色可选。返回返回27返回返回28Web服务的应用程序三个操作：服务的应用程序三个操作：v发布：发布：为了使服务可访问，需要发布服务描述为了使服务可访问，需要发布服务描述以使服务请求者可以查找它。还可以撤销发布。以使服务请求者可以查找它。还可以撤销发布。v查找查找 ：服务请求者直接检索服务描述或在服服务请求者直接检索服务描述或在服务注册中心中查询所要求的服务类型。运行时务注册中心中查询所要求的服务类型。运行时为了调用而检索服务的绑定和位置描述。为了调用而检索服务的绑定和位置

23、描述。v绑定：绑定：最后需要调用服务。在绑定操作中，服最后需要调用服务。在绑定操作中，服务请求者使用服务描述中的绑定细节来定位、务请求者使用服务描述中的绑定细节来定位、联系和调用服务，从而在运行时调用或启动与联系和调用服务，从而在运行时调用或启动与服务的交互。服务的交互。例例：学生身份验证模块的共享实现。：学生身份验证模块的共享实现。返回返回29返回返回30 确保确保XMLXML文档内的内容没有发生改变，文档内的内容没有发生改变，以保证数据完整性。以保证数据完整性。XML XML 加密的特点：加密的特点：vXML SignatureXML Signature可以对任何能够以可以对任何能够以UR

24、IURI形式形式定位的资源做签名。既包括与签名同在一定位的资源做签名。既包括与签名同在一个个XMLXML文件中的元素，也包括其他文件中的元素，也包括其他XMLXML文件文件中的元素，甚至可以是非中的元素，甚至可以是非XMLXML形式的资源形式的资源(比如一个图形文件比如一个图形文件)，只要能被，只要能被URIURI定位定位到的资源都可以应用到的资源都可以应用XML Signature.XML Signature.这这也代表了也代表了XMLXML签名的对象可以是动态变化签名的对象可以是动态变化的。的。返回返回31v可以对可以对XMLXML文件中的任一元素做签名，也可文件中的任一元素做签名，也可以

25、对整个文件做签名。以对整个文件做签名。v实现对同一份实现对同一份 XML XML 文档的不同部分使用多文档的不同部分使用多于一种的数字签名。于一种的数字签名。v不仅仅在文档传送和通信的时候使用签名，不仅仅在文档传送和通信的时候使用签名，还要使签名能够持久保留。还要使签名能够持久保留。v既可以用非对称密钥做签名，也可以用对既可以用非对称密钥做签名，也可以用对称密钥做签名。称密钥做签名。返回返回32包括包括 XML XML 文档。文档。XML XML 加密的特点：加密的特点：v支持对任意数字内容的加密，包括支持对任意数字内容的加密，包括 XML XML 文文档。档。v确保经过加密的数据不管是在传输

26、过程中还确保经过加密的数据不管是在传输过程中还是在存储时，都不能被未经授权的人员访问是在存储时，都不能被未经授权的人员访问到。到。返回返回33 即还原某一个加即还原某一个加密的钥匙，以和另一个人进行安全通信。密的钥匙，以和另一个人进行安全通信。用来发布或重新发布，或废除用来发布或重新发布，或废除钥匙。钥匙。返回返回34XKMSXKMS有如下好处。有如下好处。v减少应用程序的复杂性减少应用程序的复杂性v容易编码容易编码v方便新方便新PKIPKI技术的部署技术的部署返回返回35SAMLSAML是安全性断言标记语言（是安全性断言标记语言（Security Security Assertion Mar

27、kup LanguageAssertion Markup Language，SAMLSAML）是用来）是用来以以 XML XML 消息传输认证和授权信息的协议。它消息传输认证和授权信息的协议。它可以用来提供单点登录可以用来提供单点登录 Web Web 服务、认证和授服务、认证和授权。权。返回返回36SAMLSAML三个基本组件：三个基本组件：v断言：都是关于用户（人或计算机）的一个或断言：都是关于用户（人或计算机）的一个或多个事实的声明。多个事实的声明。v协议：这个协议定义了协议：这个协议定义了 SAML SAML 请求和接收断言请求和接收断言的方式。例如，的方式。例如，SAML SAML 目

28、前支持目前支持 HTTP HTTP 上的上的 SOAPSOAP。v绑定：详细描述了绑定：详细描述了 SAML SAML 请求应如何映射到请求应如何映射到HTTP HTTP 上的上的 SOAP SOAP 消息交换的传输协议。消息交换的传输协议。SAMLSAML 三种断言类型：三种断言类型：v认证断言：验证用户的身份。认证断言：验证用户的身份。v属性断言：用户的特殊信息，如他的信用额度。属性断言：用户的特殊信息，如他的信用额度。v授权断言：标识了用户具有哪些合法权限。授权断言：标识了用户具有哪些合法权限。返回返回37 返回返回38 返回返回39 单点登录通常是指：单点登录通常是指：用户只需要在网用

29、户只需要在网络中主动地进行一次身份认证，随后便络中主动地进行一次身份认证，随后便可以访问其被授权的所有网络资源而不可以访问其被授权的所有网络资源而不需要再主动参与其他的身份认证过程。需要再主动参与其他的身份认证过程。返回返回40单点登陆的原理：单点登陆的原理：v浏览器请求中心认证服务器，将用户名和密浏览器请求中心认证服务器，将用户名和密码传递给中心认证服务器。码传递给中心认证服务器。v中心认证服务器验证成功之后，查找数据库中心认证服务器验证成功之后，查找数据库里此用户名和密码对应的信息，根据这些信里此用户名和密码对应的信息，根据这些信息生成一个令牌返回给浏览器。息生成一个令牌返回给浏览器。v浏

30、览器再用浏览器再用tokentoken访问应用系统。访问应用系统。v应用系统收到应用系统收到tokentoken之后，再用收到的之后，再用收到的tokentoken访问中心认证服务器，中心认证服务器通过访问中心认证服务器，中心认证服务器通过这个这个tokentoken查找数据库，从而能够找到对应查找数据库，从而能够找到对应应用系统的用户名和密码，然后将这个用户应用系统的用户名和密码，然后将这个用户名和密码返回给应用系统。名和密码返回给应用系统。v应用系统再收到的用户名和密码进行登录。应用系统再收到的用户名和密码进行登录。返回返回41五、五、XACMLXACML机制机制可扩展访问控制标记语言可扩

31、展访问控制标记语言XACMLXACML（Extensible Extensible Access Control Markup LanguageAccess Control Markup Language）由由OASIS 2003OASIS 2003年年2 2月批准了一种新的标记语月批准了一种新的标记语言，言，XACML XACML定义了一种通用的用于保护资源的策定义了一种通用的用于保护资源的策略语言和一种访问决策语言。略语言和一种访问决策语言。XACMLXACML提供一套语提供一套语法（使用法（使用XMLXML定义）来管理对系统资源的访问。定义）来管理对系统资源的访问。XACMLXACML的

32、功能：的功能：用用XACMLXACML来编写访问策略来编写访问策略，管理，管理访问策略并根据策略访问策略并根据策略 确定是否允许对某资源的确定是否允许对某资源的访问。访问。返回返回42 XACMLXACML定义了定义了4 4个主要实体：个主要实体：vPAPPAP策略管理点（策略管理点（Policy Policy Administration PointAdministration Point）基本上是一个基本上是一个存放策略的仓库。存放策略的仓库。vPIPPIP策略信息点（策略信息点（Policy Information Policy Information PointPoint）目录或者其他

33、身份证明目录或者其他身份证明（identityidentity）的供应者。）的供应者。PIPPIP可提供被访问可提供被访问的资源的属性，以及试图访问该资源的实体的资源的属性，以及试图访问该资源的实体（身份证明）。（身份证明）。返回返回43vPDPPDP策略决策点（策略决策点（Policy Decision Policy Decision PointPoint）这个组件负责对访问授权的决策。这个组件负责对访问授权的决策。PDPPDP使用从使用从PAPPAP获得的策略以及从获得的策略以及从PIPPIP获得的附获得的附加信息来进行决策。加信息来进行决策。vPEPPEP策略实施点（策略实施点（Poli

34、cy Enforcement Policy Enforcement PointPoint）这个组件负责接收对授权的请求。这个组件负责接收对授权的请求。PEPPEP向向PDPPDP发送发送XAXMLXAXML请求，然后根据请求，然后根据PDPPDP的决策的决策来行动。来行动。返回返回44 XACMLXACML的工作原理：的工作原理：某主体想对某个资源如文某主体想对某个资源如文件系统或者件系统或者WebWeb服务器采取某种操作。服务器采取某种操作。v该主体向该实体提交查询，该实体名为策略执该主体向该实体提交查询，该实体名为策略执行点行点(PEP)(PEP)。vPEPPEP使用使用XACMLXACM

35、L请求语言生成请求。请求语言生成请求。PEPPEP把该请把该请求发送到策略决策点求发送到策略决策点(PDP)(PDP)，vPDPPDP会检查请求、检索适用于该请求的策略再会检查请求、检索适用于该请求的策略再根据评估策略的根据评估策略的XACMLXACML规则，确定要不要授予规则，确定要不要授予访问权。这个响应返回给访问权。这个响应返回给PEPPEP，vPEPPEP允许或者拒绝请求方的访问。允许或者拒绝请求方的访问。一旦按照策一旦按照策略完成了评估，就会返回一个是真或者是假的略完成了评估，就会返回一个是真或者是假的逻辑值表示是否允许接入，这个认证决定声明逻辑值表示是否允许接入，这个认证决定声明返

36、回后，就会执行相应的操作。返回后，就会执行相应的操作。返回返回45 XACML的工作原理的工作原理返回返回46XACML优点：优点：vXACMLXACML是标准是标准。标准通过了大量专家和使用者。标准通过了大量专家和使用者审查，开发者越是能轻松的通过标准语言来审查，开发者越是能轻松的通过标准语言来与其它应用系统协作交互。与其它应用系统协作交互。vXACMLXACML是通用的是通用的。这意味着可以在大多数环境。这意味着可以在大多数环境中使用，而不只是在一些特殊的环境中或对中使用，而不只是在一些特殊的环境中或对特殊的资源可以使用。一个访问控制策略编特殊的资源可以使用。一个访问控制策略编写后，可以被

37、很多不同类型的应用程序使用。写后，可以被很多不同类型的应用程序使用。vXACMLXACML是分布式的是分布式的。这意味着一个访问控制策。这意味着一个访问控制策略可以被编写为引用其它任意位置的其它策略可以被编写为引用其它任意位置的其它策略。策略既可以分散管理又可以由略。策略既可以分散管理又可以由XACMLXACML来处来处理如何正确的合并不同的子策略判断结果，理如何正确的合并不同的子策略判断结果，并作出统一的访问控制。并作出统一的访问控制。返回返回47六、六、WSS 安全机制安全机制Web服务安全服务安全WSS（Web Services Security）标准由结构化信息标准促进组织（标准由结构

38、化信息标准促进组织（OASIS）开发，开发，WSS标准为确保在基于标准为确保在基于Web服务标准服务标准的应用之间传递信息的安全提供了一个框架。的应用之间传递信息的安全提供了一个框架。WSS规定了如何保护在网络上传送的规定了如何保护在网络上传送的SOAP消息，包括验证、完整性保护和机密性。消息，包括验证、完整性保护和机密性。返回返回48WSSWSS的操作方式：的操作方式：v将将WSSWSS定义的名为定义的名为securitysecurity的安全元素，插入的安全元素，插入到到SOAPSOAP头里面。头里面。SOAPSOAP头包含了运用于该消息的头包含了运用于该消息的验证、数字签名和加密方面的所

39、有信息。包括验证、数字签名和加密方面的所有信息。包括哪些数据被签名，哪些数据被加密以及执行这哪些数据被签名，哪些数据被加密以及执行这些操作的次序和使用的密钥。些操作的次序和使用的密钥。v通过通过WSSWSS，发送方可以规定安全信息的创建和，发送方可以规定安全信息的创建和失效日期。通过安全元素，发送方告诉接收方失效日期。通过安全元素，发送方告诉接收方各种信息，它为接收方提供了对消息进行解密各种信息，它为接收方提供了对消息进行解密及验证所必不可少的信息，每个接收消息的节及验证所必不可少的信息，每个接收消息的节点可以包含一个安全元素。点可以包含一个安全元素。v有时候客户提供的有时候客户提供的IDID

40、证明格式和许可认证格式证明格式和许可认证格式不一致。如果采用不一致。如果采用WSSWSS，可使连接多个网络的，可使连接多个网络的用户用户IDID一次性通过认证，或者可在两个应用软一次性通过认证，或者可在两个应用软件之间安全交换数据。件之间安全交换数据。返回返回49WSSWSS的的 主要概念之一是令牌，令牌是一种数据主要概念之一是令牌，令牌是一种数据结构，新标准提供了一个把安全令牌同信息内结构，新标准提供了一个把安全令牌同信息内容联系在一起的通用机制，而且可以扩展到支容联系在一起的通用机制，而且可以扩展到支持多种安全令牌格式。持多种安全令牌格式。WSSWSS使使WebWeb服务利用不同服务利用不

41、同系统系统通过令牌分发密钥和其他认证信息成为可通过令牌分发密钥和其他认证信息成为可能。能。X.509X.509证书和证书和KerberosKerberos规范以二进制令牌规范以二进制令牌传送，而传送，而SAMLSAML机制和机制和XrMLXrML许可证则是许可证则是XMLXML令牌。令牌。WSSWSS还定义了用户名令牌，使用户名令牌可以还定义了用户名令牌，使用户名令牌可以与口令一起使用。当令牌在一条消息中被使用与口令一起使用。当令牌在一条消息中被使用一次以上时，一次以上时，WSSWSS还提供一个安全令牌证书，还提供一个安全令牌证书，指向用于不同环境的令牌。指向用于不同环境的令牌。WSSWSS允

42、许有选择地允许有选择地使用加密。譬如说，它允许应用防火墙检查未使用加密。譬如说，它允许应用防火墙检查未经加密的消息。经加密的消息。返回返回50隔离原则隔离原则最小特权原则最小特权原则纵深防御原则纵深防御原则用户输入不信任原则用户输入不信任原则关卡检察原则关卡检察原则失效保护原则失效保护原则最弱连接安全化原则最弱连接安全化原则建立默认原则建立默认原则减少攻击面原则减少攻击面原则返回返回51隔离原则：隔离原则：分解并减少攻击面。分解并减少攻击面。采取措施：采取措施：防火墙、最小特权账户、最小特权防火墙、最小特权账户、最小特权 代码。代码。返回返回52返回返回53纵深防御原则：纵深防御原则：采取多种

43、有效防御措施促使攻采取多种有效防御措施促使攻击搁浅。击搁浅。思想：思想：使用多重防御策略来管理风险，以便在使用多重防御策略来管理风险，以便在一层防御不够时，在理想情况下，另一层防御一层防御不够时，在理想情况下，另一层防御将会阻止完全的破坏。将会阻止完全的破坏。返回返回54失效保护原则：失效保护原则：系统失效时，保护敏感数据防系统失效时，保护敏感数据防止被任意访问。止被任意访问。返回返回55最弱连接安全化原则：最弱连接安全化原则：强化系统最薄弱环节的强化系统最薄弱环节的安全监测和缓解措施。意识到系统弱点，保护安全监测和缓解措施。意识到系统弱点，保护整个系统安全。整个系统安全。返回返回56用户输入

44、不信任原则：用户输入不信任原则：用户输入是对目标用户输入是对目标系统攻击的主要武器。应用程序应该彻底系统攻击的主要武器。应用程序应该彻底验证所有用户输入，然后再根据用户输入验证所有用户输入，然后再根据用户输入执行操作。执行操作。返回返回57使用默认安全原则：使用默认安全原则：需要为系统安全提供默认需要为系统安全提供默认配置。如：默认账号、权限、策略。是简化系配置。如：默认账号、权限、策略。是简化系统的重要方式。创建安全的默认值。统的重要方式。创建安全的默认值。返回返回58关卡检查原则：关卡检查原则：及早实施认证与授权。将攻击及早实施认证与授权。将攻击阻止在第一道门槛之外。阻止在第一道门槛之外。

45、返回返回59减少攻击面原则：减少攻击面原则：禁用应用程序不需要的模禁用应用程序不需要的模块和组件、协议和服务。减少攻击可利用的块和组件、协议和服务。减少攻击可利用的漏洞。漏洞。返回返回603.3 3.3 威胁模型威胁模型3.3.1 3.3.1 常见威胁与对策常见威胁与对策这一节我们从攻击者的角度去考虑威胁，并了这一节我们从攻击者的角度去考虑威胁，并了解他们可能采取的策略及攻击的最终结果。以解他们可能采取的策略及攻击的最终结果。以便便在系统的设计和在系统的设计和 实施阶段构建适当的手段实施阶段构建适当的手段，更加有效防御攻击。首先使用更加有效防御攻击。首先使用 STRIDE STRIDE 方法将

46、方法将这些威胁分类。然后介绍了可能危及网络、主这些威胁分类。然后介绍了可能危及网络、主机基础结构和应用程序安全的最大威胁。有关机基础结构和应用程序安全的最大威胁。有关这些威胁的知识和相应的对策为威胁建模过程这些威胁的知识和相应的对策为威胁建模过程会提供必要的信息。会提供必要的信息。返回返回61一、一、STRIDE威胁类型分类：威胁类型分类：应用程序所面临的威胁可根据攻击的目标和目应用程序所面临的威胁可根据攻击的目标和目的进行分类。熟知这些威胁的类别有助于您组的进行分类。熟知这些威胁的类别有助于您组织安全策略，从而对威胁作出规划的响应。织安全策略，从而对威胁作出规划的响应。STRIDE STRI

47、DE 是是 Microsoft Microsoft 对不同威胁类型进行分对不同威胁类型进行分类所使用的首字母缩略语。可以使用类所使用的首字母缩略语。可以使用 STRIDE STRIDE 进行威胁建模。进行威胁建模。STRIDESTRIDE是六种威胁的字母缩是六种威胁的字母缩略词。略词。假冒：假冒：SpoofingSpoofing 篡改：篡改：TamperingTampering 否认：否认：RepudiationRepudiation 信息泄漏：信息泄漏：Information DisclosureInformation Disclosure 拒绝服务：拒绝服务：Denial of Servi

48、ceDenial of Service 提升权限：提升权限：Elevation of PrivilegeElevation of Privilege返回返回62v假冒：假冒：未授权的用户冒充应用程序的合法用户。未授权的用户冒充应用程序的合法用户。可以使用偷取的用户凭证或假的可以使用偷取的用户凭证或假的 IP IP 地址来实地址来实现。现。属认证范畴。属认证范畴。v窜改：窜改：攻击者非法更改或毁坏数据。窜改数据攻击者非法更改或毁坏数据。窜改数据是改变数据，不是信息揭露。是改变数据，不是信息揭露。属完整性范畴。属完整性范畴。v否认：否认：用户否认执行了操作的能力。就攻击者用户否认执行了操作的能力。

49、就攻击者的观点，否认就是隐匿踪迹，让某件行为无法的观点，否认就是隐匿踪迹，让某件行为无法被追踪，无法归咎于肇事者。被追踪，无法归咎于肇事者。属不可抵赖范畴。属不可抵赖范畴。返回返回63v信息泄露信息泄露 ：敏感数据被泄露给本应无权访问敏感数据被泄露给本应无权访问的人或位置。允许未授权的人取用敏感信息，的人或位置。允许未授权的人取用敏感信息，像是信用卡号码、密码等。像是信用卡号码、密码等。属机密性范畴。属机密性范畴。v 服务阻断（拒绝服务）：服务阻断（拒绝服务）：导致系统或用户无导致系统或用户无法使用应用程序的破坏行为。让某种资源耗竭，法使用应用程序的破坏行为。让某种资源耗竭，例如网络带宽、处理

50、器运算能力、磁盘空间。例如网络带宽、处理器运算能力、磁盘空间。属可用性范畴。属可用性范畴。v 特权提升：特权提升：将帐号的合法权限非法增加。比将帐号的合法权限非法增加。比如尝试用管理员的权限去做事情，就是属于这如尝试用管理员的权限去做事情，就是属于这种。种。属授权范畴。属授权范畴。返回返回64二、二、STRIDE STRIDE 危险和对策危险和对策假冒：假冒：用户身份使用增强的身份验证。用户身份使用增强的身份验证。强制执行强大的口令政策。也就是说，口令要强制执行强大的口令政策。也就是说，口令要定期变换，口令长度最少为定期变换，口令长度最少为1010位数并且包含字位数并且包含字母和符号。不要以纯

51、文本形式存储机密，口令母和符号。不要以纯文本形式存储机密，口令加密。不用通过网络传递纯文本形式的凭证。加密。不用通过网络传递纯文本形式的凭证。使用安全套接字层使用安全套接字层 (SSL)(SSL)保护身份验证保护身份验证 CookieCookie。窜改数据：窜改数据：使用数据哈希和签名。使用数据哈希和签名。使用数字签名。使用增强的身份验证。使用数字签名。使用增强的身份验证。在通讯链接中使用反篡改协议。在通讯链接中使用反篡改协议。使用提供消息完整性的协议来确保通讯链接的使用提供消息完整性的协议来确保通讯链接的安全。安全。返回返回65否认：否认：创建安全的审核记录。使用数字签名。创建安全的审核记录

52、。使用数字签名。信息泄露信息泄露 ：强认证、强加密、机密性协议、强认证、强加密、机密性协议、杜绝明文传递安全凭证类信息。杜绝明文传递安全凭证类信息。服务阻断：服务阻断：使用资源和带宽调节技术。使用资源和带宽调节技术。验证并筛选输入。验证并筛选输入。特权提升：特权提升：遵循最低特权的原则，使用最低遵循最低特权的原则，使用最低特权服务帐户来运行进程和访问资源。特权服务帐户来运行进程和访问资源。返回返回66三、攻击方法的基本步骤三、攻击方法的基本步骤调查和评估调查和评估利用和渗透利用和渗透提升特权提升特权保留访问权保留访问权拒绝服务拒绝服务返回返回67调查和评估调查和评估:先后对潜在目标进行调查和评

53、估。先后对潜在目标进行调查和评估。以识别和评估其特征。这些特征可能包括它所以识别和评估其特征。这些特征可能包括它所支持的服务和协议，以及潜在漏洞和入口点。支持的服务和协议，以及潜在漏洞和入口点。攻击者使用在调查和评估阶段所收集的信息来攻击者使用在调查和评估阶段所收集的信息来规划最初的攻击。规划最初的攻击。例如：攻击者可以通过测试检测跨站点脚本例如：攻击者可以通过测试检测跨站点脚本 (XSS)(XSS)的漏洞，以查看网页中的控件是否会返的漏洞，以查看网页中的控件是否会返回输出。回输出。利用和渗透利用和渗透:对潜在目标进行调查后，下一步对潜在目标进行调查后，下一步是利用和渗透。如果网络和主机是完全

54、安全的，是利用和渗透。如果网络和主机是完全安全的，则您的应用程序（前门）将成为攻击的下一渠则您的应用程序（前门）将成为攻击的下一渠道。对于攻击者而言，进入应用程序最简便的道。对于攻击者而言，进入应用程序最简便的方法是通过合法用户使用的同一入口。方法是通过合法用户使用的同一入口。例如：通过应用程序的登录页面或不需要身份例如：通过应用程序的登录页面或不需要身份验证的页面。验证的页面。返回返回68提升特权：提升特权：攻击者在通过向应用程序插入代码攻击者在通过向应用程序插入代码或创建与或创建与 Microsoft Windows 2000 Microsoft Windows 2000 操作系操作系统进

55、行的已验证身份的会话来设法危及应用程统进行的已验证身份的会话来设法危及应用程序或网络的安全后，他们立即尝试提升特权。序或网络的安全后，他们立即尝试提升特权。特别是，他们想得到特别是，他们想得到 Administrators Administrators 组成员组成员帐户提供的管理特权。他们也寻求本地系统帐帐户提供的管理特权。他们也寻求本地系统帐户所提供的高级别特权。户所提供的高级别特权。在整个应用程序中使用特权最低的服务帐在整个应用程序中使用特权最低的服务帐户是针对特权提升攻击的主要防御措施。而且，户是针对特权提升攻击的主要防御措施。而且，许多网络级别的特权提升攻击要求交互式的登许多网络级别的

56、特权提升攻击要求交互式的登录会话。录会话。返回返回69保留访问权：保留访问权：获得系统的访问权后，攻击者采获得系统的访问权后，攻击者采取措施使以后的访问更加容易，并且掩盖其踪取措施使以后的访问更加容易，并且掩盖其踪迹。包括插入后门程序，或使用现有的缺少强迹。包括插入后门程序，或使用现有的缺少强大保护的帐户。掩盖踪迹通常包括清除日志和大保护的帐户。掩盖踪迹通常包括清除日志和隐藏工具。因此，审核日志是攻击者的主要目隐藏工具。因此，审核日志是攻击者的主要目标。应该确保日志文件的安全，而且应该对其标。应该确保日志文件的安全，而且应该对其进行定期分析。日志文件分析通常会揭露尝试进行定期分析。日志文件分析

57、通常会揭露尝试的入侵在进行破坏之前的早期迹象。的入侵在进行破坏之前的早期迹象。拒绝服务：拒绝服务：无法获得访问权的攻击者通常装入无法获得访问权的攻击者通常装入拒绝服务的攻击，以防止其他攻击者使用此应拒绝服务的攻击，以防止其他攻击者使用此应用程序。对于其他攻击者而言，拒绝服务选项用程序。对于其他攻击者而言，拒绝服务选项是他们最初的目标。例如是他们最初的目标。例如 SYN SYN 大量攻击，其大量攻击，其中攻击者使用程序发送大量中攻击者使用程序发送大量 TCP SYN TCP SYN 请求，请求，来填充服务器上的挂起连接队列。这样便阻止来填充服务器上的挂起连接队列。这样便阻止了其他用户建立网络连接

58、。了其他用户建立网络连接。返回返回70数据库系统的安全除依赖自身内部的安全机制数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员外，还与外部网络环境、应用环境、从业人员素质等因素息息相关，因此，从广义上讲，数素质等因素息息相关，因此，从广义上讲，数据库系统的安全框架可以划分为三个层次：据库系统的安全框架可以划分为三个层次：网络系统层次；网络系统层次；宿主操作系统层次；宿主操作系统层次；数据库管理系统层次。数据库管理系统层次。这三个层次构筑成数据库系统的安全体系，与这三个层次构筑成数据库系统的安全体系，与数据安全的关系是逐步紧密的，防范的重要性数据安全的关系是逐步紧

59、密的，防范的重要性也逐层加强，从外到内、由表及里保证数据的也逐层加强，从外到内、由表及里保证数据的安全。下面就安全框架的三个层次展开论述。安全。下面就安全框架的三个层次展开论述。返回返回71四、网络系统威胁和对策四、网络系统威胁和对策从广义上讲，数据库的安全首先依赖于网络系从广义上讲，数据库的安全首先依赖于网络系统。随着统。随着InternetInternet的发展和普及，越来越多的的发展和普及，越来越多的公司将其核心业务向互联网转移，各种基于网公司将其核心业务向互联网转移，各种基于网络的数据库应用系统如雨后春笋般涌现出来，络的数据库应用系统如雨后春笋般涌现出来，面向网络用户提供各种信息服务。

60、可以说网络面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础，数据库系统是数据库应用的外部环境和基础，数据库系统要发挥其强大作用离不开网络系统的支持，系统要发挥其强大作用离不开网络系统的支持，数据库系统的用户（如异地用户、分布式用户）数据库系统的用户（如异地用户、分布式用户）也要通过网络才能访问数据库的数据。网络系也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障，外部入统的安全是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。侵首先就是从入侵网络系统开始的。返回返回72网络入侵试图破坏信息系统的完整性、机密性网络入侵试图破坏信息系统的

61、完整性、机密性或可信任的任何网络活动的集合，具有以下或可信任的任何网络活动的集合，具有以下特特点：点：v没有地域和时间的限制，跨越国界的攻击就没有地域和时间的限制，跨越国界的攻击就如同在现场一样方便。如同在现场一样方便。v通过网络的攻击往往混杂在大量正常的网络通过网络的攻击往往混杂在大量正常的网络活动之中，隐蔽性强。活动之中，隐蔽性强。v入侵手段更加隐蔽和复杂。入侵手段更加隐蔽和复杂。返回返回73组成网络基础结构的主要组件是路由器、防火组成网络基础结构的主要组件是路由器、防火墙和交换机。它们保护服务器和应用程序免受墙和交换机。它们保护服务器和应用程序免受攻击和入侵。最危险的网络级别威胁包括：攻

62、击和入侵。最危险的网络级别威胁包括：信息搜集信息搜集 侦听侦听 哄骗哄骗 会话劫持会话劫持 拒绝服务拒绝服务返回返回74信息收集：信息收集：网络设备和其他类型的系统一样可网络设备和其他类型的系统一样可以被发现和分析。攻击者通常从端口扫描开始。以被发现和分析。攻击者通常从端口扫描开始。他们在识别开放端口后，使用标志攫取和枚举他们在识别开放端口后，使用标志攫取和枚举来检测设备类型和确定操作系统及应用程序版来检测设备类型和确定操作系统及应用程序版本。具备了这些信息后，攻击者可以攻击那些本。具备了这些信息后，攻击者可以攻击那些可能未使用安全修补程序更新的已知漏洞。可能未使用安全修补程序更新的已知漏洞。

63、防止收集信息的对策包括：防止收集信息的对策包括：v配置路由器以限制它们对于跟踪足迹请求的响配置路由器以限制它们对于跟踪足迹请求的响应。应。v配置网络软件（如软件防火墙）所驻留的操作配置网络软件（如软件防火墙）所驻留的操作系统，通过禁用不使用的协议和不需要的端口系统，通过禁用不使用的协议和不需要的端口来防止跟踪足迹。来防止跟踪足迹。返回返回75侦听：侦听：侦听或偷听是指监视网络传输以获取纯侦听或偷听是指监视网络传输以获取纯文本形式的密码或配置信息的行为。采用简单文本形式的密码或配置信息的行为。采用简单的数据包侦听器，攻击者可以轻易读取所有纯的数据包侦听器，攻击者可以轻易读取所有纯文本通信。而且，

64、攻击者可以解开采用轻量级文本通信。而且，攻击者可以解开采用轻量级哈希算法加密的数据包，并可以破译您认为安哈希算法加密的数据包，并可以破译您认为安全的有效负荷。侦听数据包要求在服务器全的有效负荷。侦听数据包要求在服务器/客客户端通讯路径中有一个数据包侦听器。户端通讯路径中有一个数据包侦听器。有助于防止侦听的对策包括：有助于防止侦听的对策包括：v使用增强的物理安全和合适的网络分段。这是使用增强的物理安全和合适的网络分段。这是防止从本地收集通信的第一步。防止从本地收集通信的第一步。v将通讯完全加密，包括身份验证凭证。这样即将通讯完全加密，包括身份验证凭证。这样即可防止攻击者使用侦听的数据包。可防止攻

65、击者使用侦听的数据包。SSL SSL 和和 IPSecIPSec（Internet Internet 协议安全）是加密解决方案协议安全）是加密解决方案的示例。的示例。返回返回76哄骗：哄骗：哄骗是在网络上隐藏真实身份的方法。哄骗是在网络上隐藏真实身份的方法。为创建哄骗身份，攻击者使用并不代表数据包为创建哄骗身份，攻击者使用并不代表数据包真实地址的假的源地址。哄骗可用来隐藏攻击真实地址的假的源地址。哄骗可用来隐藏攻击者的原始来源，或者规避网络访问控制列表者的原始来源，或者规避网络访问控制列表 (ACL)(ACL)，该列表用以限制基于源地址规则的主，该列表用以限制基于源地址规则的主机访问。机访问。

66、尽管从来也无法追踪到精心设计的哄骗数尽管从来也无法追踪到精心设计的哄骗数据包的发信人，但组合使用各种筛选规则可以据包的发信人，但组合使用各种筛选规则可以防止在您的网络上生成哄骗数据包，从而使您防止在您的网络上生成哄骗数据包，从而使您可以显著地阻止哄骗数据包。可以显著地阻止哄骗数据包。防止哄骗的对策包括：防止哄骗的对策包括：v筛选从您的外围的内部筛选从您的外围的内部IPIP地址进入的数据包。地址进入的数据包。v筛选从无效的本地筛选从无效的本地 IP IP 地址传出的数据包。地址传出的数据包。返回返回77会话劫持：会话劫持：会话劫持也称为会话劫持也称为 man in the man in the middlemiddle，它欺骗服务器或客户端接受上游主机，它欺骗服务器或客户端接受上游主机为实际的合法主机。不是上游主机而是攻击者为实际的合法主机。不是上游主机而是攻击者主机操纵网络，从而攻击者的主机似乎成为期主机操纵网络，从而攻击者的主机似乎成为期望的目标。望的目标。有助于防止会话劫持的对策包括：有助于防止会话劫持的对策包括：v使用加密的会话协商。使用加密的会话协商。v使用加密的通讯通道。使用