《数据库及其应用系统的安全语义》由会员分享,可在线阅读,更多相关《数据库及其应用系统的安全语义(124页珍藏版)》请在金锄头文库上搜索。
1、1,第 三 章 数据库及其应用系统 的安全语义,2,本 章 概 要,3.1 安全的基本体系 3.2 系统安全基本原则 3.3 威胁模型 3.4 攻击树,3,3.1 安全的基本体系,3.1.1 安全的特征 安全的五个基本特征: 机密性:是防止信息泄漏给非授权个人、实体或过程,只允许授权用户访问的特性。 完整性:完整性是信息在未经合法授权时不能被改变的特性,也就是数据在生成、存储或传输过程中保证不被偶然或蓄意地删除、修改、伪造、乱序、插入等破坏和丢失的特性。完整性要求保持数据的原样,即信息的正确生成、存储和传输。,4,可用性:可用性是数据库系统中,在需要时允许授权用户或实体使用的特性;或者是不正常
2、情况下能自我恢复及状态保护,为授权用户提供有效服务的特性。 非抵赖性:非抵赖性也称作不可否认性,即在数据库系统的信息交互过程中所有参与者都不可能否认或抵赖曾经完成的操作的特性。 可控性:在授权范围内控制信息流向和行为方式,对信息的传播和信息的内容具有控制能力。 机密性、完整性和可用性是信息安全的核心三要素,也是数据库安全的三要素。,5,3.1.2 基本安全服务,安全服务的种类: 鉴别服务:提供对通信中对等实体和数据来源的鉴别。也称为认证服务。 访问控制服务:访问控制业务的目标是防止对任何资源的非法访问。所谓非法访问是指未经授权的使用、泄露、销毁以及发布等。包括合法授权用户的非法访问。,6,机密
3、服务:是防止信息泄漏给非授权个人、实体或过程,只允许授权用户访问的特性。 完整服务:数据完整性业务前面已经给予简述,该业务主要是防止数据被非法增删、修改或替代,从而改变数据的价值或存在。 抗抵赖服务:限制合法授权用户的安全责任,为安全行为纠纷提供可以取证的凭据。,7,8,3.1.3 系统安全的八大机制,数据加密机制 访问控制机制 数据完整性机制 数字签名机制 鉴别交换机制 业务填充机制 路由控制机制 公证机制,9,一、数据加密机制,需要加密层选择、加密算法选择和密钥管理。 加密算法划分为对称密码体制和非对称密码体制。 密码管理包括密钥的产生、密钥分配、销毁、更新,10,二、访问控制机制,访问控
4、制的目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对其常用的信息库进行适当权限的访问,限制他随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵。,11,访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获得完成自身任务的最低权限,不给用户赋予其工作范围之外的任何权力。 自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC) 使用的技术是访问控制矩阵、权限、安全标记、访问时间等。,12,三、数据完整性机制,是保护数据,以免未授权的数据乱序、丢失、重放、插入和纂改。 数据
5、完整性机制的两个方面 单个数据单元或字段的完整性(不能防止单个数据单元的重放) 数据单元串或字段串的完整性,还要加上顺序号、时间标记和密码链,13,对数据单元进行签名和校验。防止数据单元 的伪造、假冒、篡改和否认。 传统签名的基本特点: 能与被签的文件在物理上不可分割 签名者不能否认自己的签名 签名不能被伪造 容易被验证 传数字签名是传统签名的数字化,基本要求: 能与所签文件“绑定” 签名者不能否认自己的签名 签名不能被伪造 容易被自动验证,四、数字签名机制,14,五、鉴别交换机制,交换鉴别机制通过互相交换信息的方式来确定彼此的身份。用于交换鉴别的技术有: 用于认证交换的技术 认证信息,如口令
6、 密码技术 好被认证实体的特征 为防止重放攻击,常与以下技术结合使用 时间戳 两次或三次握手 数字签名,15,六、路由控制机制,路由控制机制可使信息发送者选择特殊的路由,以保证连接、传输的安全。其基本功能为: 路由选择 路由可以动态选择,也可以预定义,以便只用物理上安全的子网、中继或链路进行连接和/或传输; 路由连接 在监测到持续的操作攻击时,端系统可能同网络服务提供者另选路由,建立连接;,16,安全策略 携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继或路。连接的发起者可以提出有关路由选择的警告,要求回避某些特定的子网、中继或链路进行连接和/或传输。,17,七、业务填充机制,流量填
7、充机制提供针对流量分析的保护。 所谓的业务填充即使在业务闲时发送无用的随机数据,制造假的通信、产生欺骗性数据单元的安全机制。该机制可用于提供对各种等级的保护,用来防止对业务进行分析,同时也增加了密码通讯的破译难度。发送的随机数据应具有良好的模拟性能,能够以假乱真。该机制只有在业务填充受到保密服务时才有效。 可利用该机制不断地在网络中发送伪随机序列, 使非法者无法区分有用信息和无用信息。 例:某公司出售股票。,18,八、公证机制,有关在两个或多个实体之间通信的数据的性质, 如完整性、原发、时间和目的地等能够借助公证机制而得到确保。 这种保证是由第三方公证人提供的。公证人为通信实体所信任, 并掌握
8、必要信息以一种可证实方式提供所需的保证。 每个通信实例可使用数字签名、加密和完整性机制以适应公证人提供的服务。当这种公证机制被用到时, 数据便在参与通信的实体之间经由受保护的通信和公证方进行通信。,19,安全服务与安全机制的关系,安全服务是由安全机制来实现的 一种安全机制可以实现一种或者多种安全服务 一种安全服务可以由一种或者多种安全机制来实现,20,安全服务与安全机制的关系,21,3.1.4 Web Services安全服务 一、Web Services概念 Web Services定义:Web Services是自包含的、模块化的应用程序,它可以在网络(通常为Web)中被描述、发布、查找以
9、及调用。 所谓Web服务,它是指由企业发布的完成其特别商务需求的在线应用服务,其他公司或应用软件能够通过Internet来访问并使用这项应用服务。,22,Web Services与Web Service的区别: Web Services是用于建构Web Service的技术框架, Web Service是使用Web Services技术而创建的应用实例。 目的:Web Service主要是为了使原来各孤立的站点之间的信息能够相互通信、共享而提出的一种接口。 这有助于大量异构程序和平台之间的互操作性,从而使存在的应用程序能够被广泛的用户访问。,23,完好的封装性: Web Services具备对
10、象的良好封装性,使用者能且仅能看到该对象提供的功能列表。 也可认为是存在于Web服务器上的一组程序,这组程序被封装成一个暗箱,对外提供一个能通过Web进行调用的API接口,可用编程来调用它,其执行结果被回传到客户端。 Web Services 对外封装成由WSDL描述的服务,屏蔽了业务逻辑的复杂性、实现技术的多样性和开发平台的异构性。 松散耦合:当一个Web服务的实现发生变更的时候,调用者是不会感到这一点的,对于调用者来说,只要Web服务的调用界面不变,Web服务的实现任何变更对他们来说都是透明的,用户都可以对此一无所知。,二、 Web Services特征,24,高度可集成能力:由于Web服
11、务采取简单的、易理解的标准,Web协议作为组件界面描述和协同描述规范,完全屏蔽了不同软件平台的差异,无论是CORBA、DCOM还是EJB,都可以通过这一种标准的协议进行互操作,实现了在当前环境下最高的可集成性。可以使用任何语言(如C、C+、VB、VC等)来编写Web服务,开发者无需更改他们的开发环境就可以生产和使用Web服务。Web服务技术不仅易于理解,并且IBM、微软等大的供应商所提供的开发工具能够让开发者快速创建、部署Web 服务,已有的COM(Component Object Model 组件对象模型) 组件、Java Bean 等也可方便地转化为Web 服务。 使用协议的规范性:这一特
12、征从对象而来,但相比一般对象,其界面更加规范化和易于机器理解。 这种良好的安全开放性使得以Web Service 构建电子商务独立安全系统成为发展的新趋势。为实现不同商业企业间的应用系统提供动态安全集成,体现电子商务的真正价值。,25,Web Services体系架构中的角色包括如下三种: 服务提供者:提供服务,它在服务代理处注册以配置和发布服务,等待服务可用。 服务请求者:Web服务请求者就是Web功能的使用者,它使用查找操作来从服务代理者检索服务描述,然后与服务提供者绑定并调用Web服务或同它交互。服务请求者角色可以由浏览器来担当,由人或无用户界面的程序(例如,另外一个Web服务)来控制它
13、。,三、 Web Services的体系架构,26,服务注册中心(服务代理):服务交换所,服务提供者和服务请求者之间的媒体将二者联系在一起,该角色可选。,27,28,Web服务的应用程序三个操作: 发布:为了使服务可访问,需要发布服务描述以使服务请求者可以查找它。还可以撤销发布。 查找 :服务请求者直接检索服务描述或在服务注册中心中查询所要求的服务类型。运行时为了调用而检索服务的绑定和位置描述。 绑定:最后需要调用服务。在绑定操作中,服务请求者使用服务描述中的绑定细节来定位、联系和调用服务,从而在运行时调用或启动与服务的交互。 例:学生身份验证模块的共享实现。,29,3.1.5 Web Ser
14、vices安全机制 Web Services的安全机制构筑在现有安全机制上。包括下面七种安全机制:,30,一、XML数字签名: XML数字签名:以便接收方可以证明消息发送方的身份,从而保证你的消息是来自特定方并确保XML文档内的内容没有发生改变,以保证数据完整性。 XML 加密的特点: XML Signature可以对任何能够以URI形式定位的资源做签名。既包括与签名同在一个XML文件中的元素,也包括其他XML文件中的元素,甚至可以是非XML形式的资源(比如一个图形文件),只要能被URI定位到的资源都可以应用XML Signature. 这也代表了XML签名的对象可以是动态变化的。,31,可以
15、对XML文件中的任一元素做签名,也可以对整个文件做签名。 实现对同一份 XML 文档的不同部分使用多于一种的数字签名。 不仅仅在文档传送和通信的时候使用签名,还要使签名能够持久保留。 既可以用非对称密钥做签名,也可以用对称密钥做签名。,32,二、XML加密 XML加密:规定了数据加密并使用XML表示结果的过程。加密可以作用于任何地方。包括 XML 文档。 XML 加密的特点: W3C制定的新规范可以对某个文档选定的部分进行加密。 支持对任意数字内容的加密,包括 XML 文档。 确保经过加密的数据不管是在传输过程中还是在存储时,都不能被未经授权的人员访问到。,33,三、XML密钥管理 XML密钥
16、管理(XKMS):分发及管理在端点之间进行安全通信所需的密钥。对互联网信息进行加密、解密、签名和验证。 XKMS由两种服务组成: 公钥的定位和查询等服务:即还原某一个加密的钥匙,以和另一个人进行安全通信。 公钥的注册:用来发布或重新发布,或废除钥匙。 XKMS一般用于与公钥基础设施(Public Key Infrastructure,PKI)技术结合,以简化公钥的注册、管理和查询服务,减少客户端应用程序设置的复杂性,降低与PKI建立信任关系的复杂度。,34,XKMS有如下好处。 减少应用程序的复杂性 容易编码 方便新PKI技术的部署,35,四、 SAML安全机制 SAML是安全性断言标记语言(Security Assertion Markup Language,SAML)是用来以 XML 消息传输认证和授权信息的协议。它可以用来提供单点登录 Web 服务、认证和授权。允许不同安全系统产生的信息进行交换。,36,SAML三个基本组件: 断言:都是关于用户(人或计算机)的一个或多个事实的声明。 协议:这个协议定义了 SAML 请求和接收断
