《第三章数据库及其应用系统的安全语义》由会员分享,可在线阅读,更多相关《第三章数据库及其应用系统的安全语义(124页珍藏版)》请在金锄头文库上搜索。
1、返回返回第 三 章数据库及其应用系统的安全语义靡慰藕避盛覆狼烁擅爆韩掂豌棋裙痔锗跑瑟绦燕短陕蛤治烘兄信鲸穷探鼻第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义1返回返回本本 章章 概概 要要3.1 3.1 安全的基本体系安全的基本体系3.2 3.2 系统安全基本原则系统安全基本原则3.3 3.3 威胁模型威胁模型3.4 3.4 攻击树攻击树茶规姚仍室回轴逼免维壮赡爷褐聂嫌涉矿赐遵愉郴欢玲北舰坯礼瘩鱼肖遍第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义2返回返回3.1 安全的基本体系3.1.1 安全的特征安全的五个基本特征安全的五个基本特征安全的五个基本特
2、征安全的五个基本特征: : : :v机机密密性性:是是防防止止信信息息泄泄漏漏给给非非授授权权个个人人、实实体或过程,只允许授权用户访问的特性。体或过程,只允许授权用户访问的特性。v完完整整性性:完完整整性性是是信信息息在在未未经经合合法法授授权权时时不不能能被被改改变变的的特特性性,也也就就是是数数据据在在生生成成、存存储储或或传传输输过过程程中中保保证证不不被被偶偶然然或或蓄蓄意意地地删删除除、修修改改、伪伪造造、乱乱序序、插插入入等等破破坏坏和和丢丢失失的的特特性性。完完整整性性要要求求保保持持数数据据的的原原样样,即即信信息息的的正确生成、存储和传输。正确生成、存储和传输。湾盏集弧笋购
3、德驰椭爬崎板家喂羌答司耪淮眶钥坚睡丸魏椎尼更偷娱竣狼第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义3返回返回v可可用用性性:可可用用性性是是数数据据库库系系统统中中,在在需需要要时时允允许许授授权权用用户户或或实实体体使使用用的的特特性性;或或者者是是不不正正常常情情况况下下能能自自我我恢恢复复及及状状态态保保护护,为为授授权权用户提供有效服务的特性。用户提供有效服务的特性。v非非抵抵赖赖性性:非非抵抵赖赖性性也也称称作作不不可可否否认认性性,即即在在数数据据库库系系统统的的信信息息交交互互过过程程中中所所有有参参与与者者都不可能否认或抵赖曾经完成的操作的特性。都不可能否
4、认或抵赖曾经完成的操作的特性。v可可控控性性:在在授授权权范范围围内内控控制制信信息息流流向向和和行行为为方方式式,对对信信息息的的传传播播和和信信息息的的内内容容具具有有控控制制能力。能力。机密性、完整性和可用性是信息安全的核心三机密性、完整性和可用性是信息安全的核心三要素,也是数据库安全的三要素。要素,也是数据库安全的三要素。推琼杏窖奋炼辆舶小目俭健粗效稼聂憎栈器盏仗斌过娜朵帜莫瞅仓谭毯坟第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义4返回返回3.1.2 基本安全服务安全服务的种类安全服务的种类安全服务的种类安全服务的种类: : : :v鉴鉴别别服服务务:提提供供对对
5、通通信信中中对对等等实实体体和和数数据据来来源的鉴别。也称为认证服务。源的鉴别。也称为认证服务。v访访问问控控制制服服务务:访访问问控控制制业业务务的的目目标标是是防防止止对对任任何何资资源源的的非非法法访访问问。所所谓谓非非法法访访问问是是指指未未经经授授权权的的使使用用、泄泄露露、销销毁毁以以及及发发布布等等。包括合法授权用户的非法访问。包括合法授权用户的非法访问。嫡揭块求不狂阉维睬再涩眷学浮糕倪核外漱逼旦级谭壁凶方举症费叹曝拭第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义5返回返回v机机密密性性服服务务:是是防防止止信信息息泄泄漏漏给给非非授授权权个个人人、实体或过
6、程,只允许授权用户访问的特性。实体或过程,只允许授权用户访问的特性。v完整性服务:完整性服务:数据完整性业务前面已经给予简数据完整性业务前面已经给予简述,该业务主要是防止数据被非法增删、修改述,该业务主要是防止数据被非法增删、修改或替代,从而改变数据的价值或存在。或替代,从而改变数据的价值或存在。v抗抗抵抵赖赖服服务务:限限制制合合法法授授权权用用户户的的安安全全责责任任,为安全行为纠纷提供可以取证的凭据。为安全行为纠纷提供可以取证的凭据。襄桥苔娄拘掠挟簇辟份某歼缅沫诲岩龙曼绍澡喘振登弗阔蝴溃易柳誉瓶诬第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义6返回返回安全服务安全服
7、务安全服务安全服务主要安全服务主要安全服务全称全称认证(认证(AUAU)对等实体认证对等实体认证数据起源认证数据起源认证访问控制(访问控制(ACAC)自主访问控制自主访问控制强制访问控制强制访问控制机密性(机密性(COCO)连接机密性连接机密性无连接机密性无连接机密性选择字段机密性选择字段机密性业务流机密性业务流机密性完整性(完整性(ININ)可恢复的连接完整性可恢复的连接完整性不可恢复的连接完整性不可恢复的连接完整性选择字段的连接完整性选择字段的连接完整性无连接完整性无连接完整性选择字段的无连接完整性选择字段的无连接完整性非否认(非否认(NDND)数据起源的非否认数据起源的非否认传递过程的非
8、否认传递过程的非否认猖镍羚斡涉烽酬丹韶锭照鹤质见酋半斌苹驼骤鹅铸总贯陷砸疡瘴往帧岭斟第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义7返回返回3.1.3 3.1.3 系统安全的八大机制系统安全的八大机制数据加密机制数据加密机制访问控制机制访问控制机制数据完整性机制数据完整性机制数字签名机制数字签名机制鉴别交换机制鉴别交换机制业务填充机制业务填充机制路由控制机制路由控制机制公证机制公证机制戍瘩谁掌巳拍核农奶瘫麦辞瞅陪亡戈窘凡涣净扼湖猛箭快茅蓉冯雁雾欠孰第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义8返回返回一、数据加密机制一、数据加密机制需要加密层选择、
9、加密算法选择和密钥管理。需要加密层选择、加密算法选择和密钥管理。加密算法划分为对称密码体制和非对称密码加密算法划分为对称密码体制和非对称密码体制。体制。密码管理包括密钥的产生、密钥分配、销毁、密码管理包括密钥的产生、密钥分配、销毁、更新更新哥苞郝习瓷白痊咱胖鉴莲堕茨矩怯跳竿午旅胎敖装琴封袭孩珍精贫阳撞侵第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义9返回返回二、访问控制机制二、访问控制机制访问控制的目的是防止对信息资源的非授权访问控制的目的是防止对信息资源的非授权访问和非授权使用信息资源。它允许用户对访问和非授权使用信息资源。它允许用户对其常用的信息库进行适当权限的访问,
10、限制其常用的信息库进行适当权限的访问,限制他随意删除、修改或拷贝信息文件。访问控他随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝中的活动,及时发现并拒绝“黑客黑客”的入侵。的入侵。崎薪讹倾双擞依悯颈弊纪许详黔魄赂逢奄厦舷呛螟淫掏寓摄烛譬筑哪故导第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义10返回返回访问控制采用最小特权原则:即在给用户分访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获配权限时,根据每个用户的任务特点使其获得完成自身任务的最低权限,不给用户
11、赋予得完成自身任务的最低权限,不给用户赋予其工作范围之外的任何权力。其工作范围之外的任何权力。自主访问控制(自主访问控制(DACDAC)、强制访问控制)、强制访问控制(MACMAC)和基于角色的访问控制()和基于角色的访问控制(RBACRBAC)使用的技术是访问控制矩阵、权限、安全标使用的技术是访问控制矩阵、权限、安全标记、访问时间等。记、访问时间等。通井景侗夜袁怠芬忿兴横跋催抖彭差颓裂攻桔砖哆卸子苯死凯互豺搬左嗓第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义11返回返回三、数据完整性机制三、数据完整性机制是保护数据,以免未授权的数据乱序、丢失、是保护数据,以免未授权的数
12、据乱序、丢失、重放、插入和纂改。重放、插入和纂改。数据完整性机制的两个方面数据完整性机制的两个方面单个数据单元或字段的完整性(不能防止单单个数据单元或字段的完整性(不能防止单个数据单元的重放)个数据单元的重放)数据单元串或字段串的完整性数据单元串或字段串的完整性发送方发送方接收方接收方附加一个量附加一个量比较这个量比较这个量还要加上顺序号、时间标记和密码链还要加上顺序号、时间标记和密码链俯夸凄化疾卤爬唆速贩典霖磁撩稗搔卢裸押懊坝按尸逆董捌团晕熟前棍缔第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义12返回返回对数据单元进行签名和校验。防止数据单元对数据单元进行签名和校验。防
13、止数据单元的伪造、假冒、篡改和否认。的伪造、假冒、篡改和否认。传统签名的基本特点传统签名的基本特点: :v能与被签的文件在物理上不可分割能与被签的文件在物理上不可分割v签名者不能否认自己的签名签名者不能否认自己的签名v签名不能被伪造签名不能被伪造v容易被验证容易被验证传传数字签名是传统签名的数字化,基本要求数字签名是传统签名的数字化,基本要求: :v能与所签文件能与所签文件“绑定绑定” v签名者不能否认自己的签名签名者不能否认自己的签名v签名不能被伪造签名不能被伪造v容易被自动验证容易被自动验证四、数字签名机制四、数字签名机制缮晶悯逮吭驻最逐搏拐舞痪圭申仪涵挡簧禽住赞既倚畅边辑钢朋单宴嚎迭第三
14、章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义13返回返回五、鉴别交换机制五、鉴别交换机制交换鉴别机制通过互相交换信息的方式来确定彼交换鉴别机制通过互相交换信息的方式来确定彼此的身份。用于交换鉴别的技术有:此的身份。用于交换鉴别的技术有:用于认证交换的技术用于认证交换的技术v认证信息,如口令认证信息,如口令v密码技术密码技术v好被认证实体的特征好被认证实体的特征为防止重放攻击,常与以下技术结合使用为防止重放攻击,常与以下技术结合使用v时间戳时间戳v两次或三次握手两次或三次握手v数字签名数字签名破糖引睬穷关硕政意肤识涧更保曙穿滥珊阔也藏婿犊鲜于辉头拙草隔栅顽第三章数据库及其应用
15、系统的安全语义第三章数据库及其应用系统的安全语义14返回返回六、路由控制机制六、路由控制机制路由控制机制可使信息发送者选择特殊的路由,路由控制机制可使信息发送者选择特殊的路由,以保证连接、传输的安全。其基本功能为:以保证连接、传输的安全。其基本功能为:v 路由选择路由选择 路由可以动态选择,也可以预定义,以路由可以动态选择,也可以预定义,以便只用物理上安全的子网、中继或链路进行便只用物理上安全的子网、中继或链路进行连接和连接和/ /或传输;或传输;v 路由连接路由连接 在监测到持续的操作攻击时,端系统可在监测到持续的操作攻击时,端系统可能同网络服务提供者另选路由,建立连接;能同网络服务提供者另
16、选路由,建立连接;坍房沁氰选笑辽泽汾鼎抛景揪疯札氦靴浮堤业坝啼砾虞涂汤俞脯息蘸嘛茵第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义15返回返回v安全策略安全策略 携带某些安全标签的数据可能被安全携带某些安全标签的数据可能被安全策略禁止通过某些子网、中继或路。连接策略禁止通过某些子网、中继或路。连接的发起者可以提出有关路由选择的警告,的发起者可以提出有关路由选择的警告,要求回避某些特定的子网、中继或链路进要求回避某些特定的子网、中继或链路进行连接和行连接和/ /或传输。或传输。获禹茄喝档湿榴龄视筒超灾嗜挥卸妥牧础然囊栗啊陨良痊冲曲颖湛栋瑰弱第三章数据库及其应用系统的安全语义第
17、三章数据库及其应用系统的安全语义16返回返回七、业务填充机制七、业务填充机制流量填充机制提供针对流量分析的保护。流量填充机制提供针对流量分析的保护。 所谓的业务填充即使在业务闲时发送无用所谓的业务填充即使在业务闲时发送无用的随机数据,制造假的通信、产生欺骗性数据的随机数据,制造假的通信、产生欺骗性数据单元的安全机制。该机制可用于提供对各种等单元的安全机制。该机制可用于提供对各种等级的保护,用来防止对业务进行分析,同时也级的保护,用来防止对业务进行分析,同时也增加了密码通讯的破译难度。发送的随机数据增加了密码通讯的破译难度。发送的随机数据应具有良好的模拟性能,能够以假乱真。该机应具有良好的模拟性
18、能,能够以假乱真。该机制只有在业务填充受到保密性服务时才有效。制只有在业务填充受到保密性服务时才有效。可利用该机制不断地在网络中发送伪随机序列可利用该机制不断地在网络中发送伪随机序列, , 使非法者无法区分有用信息和无用信息。使非法者无法区分有用信息和无用信息。例:某公司出售股票。例:某公司出售股票。侮改滚弯硒薄逸紊勒弊击栋穴弓呢尾梭周脱李驱蛆纱涵貉阴泻骑丧女速赴第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义17返回返回八、公证机制八、公证机制有关在两个或多个实体之间通信的数据的性质有关在两个或多个实体之间通信的数据的性质, , 如完整性、原发、时间和目的地等能够借助公如
19、完整性、原发、时间和目的地等能够借助公证机制而得到确保。证机制而得到确保。这种保证是由第三方公证人提供的。公证人为这种保证是由第三方公证人提供的。公证人为通信实体所信任通信实体所信任, , 并掌握必要信息以一种可证并掌握必要信息以一种可证实方式提供所需的保证。实方式提供所需的保证。每个通信实例可使用数字签名、加密和完整性每个通信实例可使用数字签名、加密和完整性机制以适应公证人提供的服务。当这种公证机机制以适应公证人提供的服务。当这种公证机制被用到时制被用到时, , 数据便在参与通信的实体之间经数据便在参与通信的实体之间经由受保护的通信和公证方进行通信。由受保护的通信和公证方进行通信。否烬爽条党
20、谆酱跑些印婉壳辑搬趾叠锨侮雍颅宣钨还萌啮截坛量瞒嗽储泽第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义18返回返回安全服务与安全机制的关系安全服务与安全机制的关系安全服务是由安全机制来实现的安全服务是由安全机制来实现的一种安全机制可以实现一种或者多种安全服务一种安全机制可以实现一种或者多种安全服务一种安全服务可以由一种或者多种安全机制来一种安全服务可以由一种或者多种安全机制来实现实现 糖偷桂花惹原燃蔷港耳滋毡乍旗躯铰业贺闸满斤陨枕邮睫许三头抡话幌幂第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义19返回返回机制服机制服务加加密密数字数字签名名访问控制控制
21、数据完数据完整性整性认证交交换业务流流填充填充路由路由控制控制公公证认证对等等实体体认证数据起源数据起源认证访问控制控制自主自主访问控制控制强强制制访问控制控制机机密密性性连接机密性接机密性无无连接机密性接机密性选择字段机密性字段机密性业务流机密性流机密性完完整整性性可恢复的可恢复的连接完整性接完整性不可恢复的不可恢复的连接完整性接完整性选择字段的字段的连接完整性接完整性无无连接完整性接完整性选择字段的无字段的无连接完整性接完整性非否非否认数据起源的非否数据起源的非否认传递过程的非否程的非否认安全服务与安全机制的关系安全服务与安全机制的关系吃慌薄坎兜券蒲宫帆蛮缎万茫疵图署竞酒盼懒痕势矩竖桨妆庇
22、弥星浴英硫第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义20返回返回 3.1.4 Web Services3.1.4 Web Services安全服务安全服务一、一、一、一、Web ServicesWeb ServicesWeb ServicesWeb Services概念概念概念概念Web ServicesWeb ServicesWeb ServicesWeb Services定义:定义:定义:定义:Web ServicesWeb ServicesWeb ServicesWeb Services是自包含的、是自包含的、是自包含的、是自包含的、模块化的应用程序,它可以在网
23、络模块化的应用程序,它可以在网络模块化的应用程序,它可以在网络模块化的应用程序,它可以在网络( ( ( (通常为通常为通常为通常为Web)Web)Web)Web)中被描述、发布、查找以及调用。中被描述、发布、查找以及调用。中被描述、发布、查找以及调用。中被描述、发布、查找以及调用。所谓所谓所谓所谓WebWebWebWeb服务,它是指由企业发布的完成其特别服务,它是指由企业发布的完成其特别服务,它是指由企业发布的完成其特别服务,它是指由企业发布的完成其特别商务需求的在线应用服务,其他公司或应用软商务需求的在线应用服务,其他公司或应用软商务需求的在线应用服务,其他公司或应用软商务需求的在线应用服务
24、,其他公司或应用软件能够通过件能够通过件能够通过件能够通过InternetInternetInternetInternet来访问并使用这项应用服来访问并使用这项应用服来访问并使用这项应用服来访问并使用这项应用服务。务。务。务。猫仟蜕疵暗铣傣实座葬怠子蛮布盗秽猾棚牙票板堂夺菠戍贩续翁常申绢灌第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义21返回返回Web ServicesWeb Services与与Web ServiceWeb Service的区别:的区别: Web ServicesWeb Services是用于建构是用于建构Web ServiceWeb Service的技
25、术框架,的技术框架, Web Service Web Service是使用是使用Web Web ServicesServices技术而创建的应用实例。技术而创建的应用实例。目的:目的:Web ServiceWeb Service主要是为了使原来主要是为了使原来各孤立的站点之间的信息能够相互通信、各孤立的站点之间的信息能够相互通信、共享而提出的一种接口。共享而提出的一种接口。 这有助于大这有助于大量异构程序和平台之间的互操作性,从量异构程序和平台之间的互操作性,从而使存在的应用程序能够被广泛的用户而使存在的应用程序能够被广泛的用户访问。访问。凹巾渴佛芬椿硷旬棚蠕惦儒摊检须每哥膏克策犬蹦湃伤隔弃穿
26、憾僳捶蹬鼻第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义22返回返回完好的封装性:完好的封装性:完好的封装性:完好的封装性: Web Services Web Services Web Services Web Services具备对象的良好封装性,使用者能且仅能具备对象的良好封装性,使用者能且仅能具备对象的良好封装性,使用者能且仅能具备对象的良好封装性,使用者能且仅能看到该对象提供的看到该对象提供的看到该对象提供的看到该对象提供的功能列表功能列表功能列表功能列表。也可认为是存在于也可认为是存在于也可认为是存在于也可认为是存在于WebWeb服务器上的一组程服务器上的一组程
27、服务器上的一组程服务器上的一组程序,这组程序被封装成一个暗箱,对外提供一个能通过序,这组程序被封装成一个暗箱,对外提供一个能通过序,这组程序被封装成一个暗箱,对外提供一个能通过序,这组程序被封装成一个暗箱,对外提供一个能通过WebWeb进行调用的进行调用的进行调用的进行调用的APIAPI接口,可用编程来调用它,其执行结果被回传到客户端。接口,可用编程来调用它,其执行结果被回传到客户端。接口,可用编程来调用它,其执行结果被回传到客户端。接口,可用编程来调用它,其执行结果被回传到客户端。WebServicesWebServices对外封装成由对外封装成由对外封装成由对外封装成由WSDLWSDL描述
28、的服务,屏蔽了业务逻辑的复杂性、描述的服务,屏蔽了业务逻辑的复杂性、描述的服务,屏蔽了业务逻辑的复杂性、描述的服务,屏蔽了业务逻辑的复杂性、实现技术的多样性和开发平台的异构性。实现技术的多样性和开发平台的异构性。实现技术的多样性和开发平台的异构性。实现技术的多样性和开发平台的异构性。 松散耦合:松散耦合:松散耦合:松散耦合:当一个当一个当一个当一个WebWebWebWeb服务的实现发生变更的时候,调用者是不会感到这服务的实现发生变更的时候,调用者是不会感到这服务的实现发生变更的时候,调用者是不会感到这服务的实现发生变更的时候,调用者是不会感到这一点的,对于调用者来说,只要一点的,对于调用者来说
29、,只要一点的,对于调用者来说,只要一点的,对于调用者来说,只要WebWebWebWeb服务的调用界面不变,服务的调用界面不变,服务的调用界面不变,服务的调用界面不变,WebWebWebWeb服务的实现服务的实现服务的实现服务的实现任何变更对他们来说都是透明的,用户都可以对此一无所知。任何变更对他们来说都是透明的,用户都可以对此一无所知。任何变更对他们来说都是透明的,用户都可以对此一无所知。任何变更对他们来说都是透明的,用户都可以对此一无所知。二、二、 Web Services Web Services特征特征瘴蘸妨邦块容喉场蛹凤彝浊恼写揽稀片搓栗夯舀稚硫热幂陵粳型眯蛙碾昆第三章数据库及其应用系
30、统的安全语义第三章数据库及其应用系统的安全语义23返回返回高度可集成能力:高度可集成能力:由于由于WebWeb服务采取简单的、易理解的标准,服务采取简单的、易理解的标准,WebWeb协议作为组件界面描协议作为组件界面描述和协同描述规范,完全屏蔽了不同软件平台的差异,无论是述和协同描述规范,完全屏蔽了不同软件平台的差异,无论是CORBACORBA、DCOMDCOM还是还是EJBEJB,都可以通过这一种标准的协议进行互操作,实现了在当前环境下最高的可集成性。都可以通过这一种标准的协议进行互操作,实现了在当前环境下最高的可集成性。可可以使用任何语言以使用任何语言(如如C、C+、VB、VC等等)来编写
31、来编写Web服务,开发者无需更改他们的开服务,开发者无需更改他们的开发环境就可以生产和使用发环境就可以生产和使用Web服务。服务。Web服务技术不仅易于理解,并且服务技术不仅易于理解,并且IBM、微软等、微软等大的供应商所提供的开发工具能够让开发者快速创建、部署大的供应商所提供的开发工具能够让开发者快速创建、部署Web服务,已有的服务,已有的COM(ComponentObjectModel组件对象模型组件对象模型)组件、组件、JavaBean等也可方便地转化等也可方便地转化为为Web服务。服务。使用协议的规范性:使用协议的规范性:这一特征从对象而来,但相比一般对象,其界面更加规范化和易这一特征
32、从对象而来,但相比一般对象,其界面更加规范化和易于机器理解。于机器理解。这种良好的安全开放性使得以这种良好的安全开放性使得以WebService构建电子商务独立安全系统成为发展的新构建电子商务独立安全系统成为发展的新趋势。为实现不同商业企业间的应用系统提供动态安全集成,体现电子商务的真正价趋势。为实现不同商业企业间的应用系统提供动态安全集成,体现电子商务的真正价值。值。鬃抄私渠宾诅恼宗智丸誉墒嫁祸钝桅述令贤瘫笔退怠柱莫双策二州啸贬亚第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义24返回返回Web ServicesWeb Services体系架构中的角色包括如下三种:体系架
33、构中的角色包括如下三种:v服服务务提提供供者者:提提供供服服务务,它它在在服服务务代代理理处处注注册以配置和发布服务,等待服务可用。册以配置和发布服务,等待服务可用。v服服务务请请求求者者:WebWeb服服务务请请求求者者就就是是WebWeb功功能能的的使使用用者者,它它使使用用查查找找操操作作来来从从服服务务代代理理者者检检索索服服务务描描述述,然然后后与与服服务务提提供供者者绑绑定定并并调调用用WebWeb服服务务或或同同它它交交互互。服服务务请请求求者者角角色色可可以以由由浏浏览览器器来来担担当当,由由人人或或无无用用户户界界面面的的程程序序( (例例如,另外一个如,另外一个WebWeb
34、服务服务) )来控制它。来控制它。三、三、 Web Services Web Services的体系架构的体系架构搽仓砂唯矽础味芳鸟萨敢腑谬卒筋诺篡界晶啸次凡追绿另袒汐芬区草丁旺第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义25返回返回v服服务务注注册册中中心心(服服务务代代理理):服服务务交交换换所所,服服务务提提供供者者和和服服务务请请求求者者之之间间的的媒媒体体将将二二者者联联系系在在一一起起,该该角色可选。角色可选。吏原由账闭墟舰捣囊揭锤窿领度妆椰味溪纠啤夜憾妓分项递食寻脉拴貉吗第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义26返回返回恩蒂窗
35、椅苏趟钩痪肆骏辙坐问耶枢德橇坏颐辛勾佬浙烷较距浑孪寨厌间孝第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义27返回返回Web服务的应用程序三个操作:服务的应用程序三个操作:v发布:发布:为了使服务可访问,需要发布服务描述为了使服务可访问,需要发布服务描述以使服务请求者可以查找它。还可以撤销发布。以使服务请求者可以查找它。还可以撤销发布。 v查找查找 :服务请求者直接检索服务描述或在服服务请求者直接检索服务描述或在服务注册中心中查询所要求的服务类型。运行时务注册中心中查询所要求的服务类型。运行时为了调用而检索服务的绑定和位置描述。为了调用而检索服务的绑定和位置描述。 v绑定:
36、绑定:最后需要调用服务。在绑定操作中,服最后需要调用服务。在绑定操作中,服务请求者使用服务描述中的绑定细节来定位、务请求者使用服务描述中的绑定细节来定位、联系和调用服务,从而在运行时调用或启动与联系和调用服务,从而在运行时调用或启动与服务的交互。服务的交互。例例:学生身份验证模块的共享实现。:学生身份验证模块的共享实现。缆姻莹量纽墟刮饱栓邪继岔屿讳沫币壳池茵雍菠刀皱核挫椎赞塌互暴襄衅第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义28返回返回3.1.5 Web Services3.1.5 Web Services安全机制安全机制WebServicesWebServices的
37、安全机制构筑在现有安全机制上。的安全机制构筑在现有安全机制上。的安全机制构筑在现有安全机制上。的安全机制构筑在现有安全机制上。包括下面七种安全机制:包括下面七种安全机制:包括下面七种安全机制:包括下面七种安全机制:描腐踢袭彭水伸屎顺持搐敦厌丫河铜煞澡牡谱泳褂储猿临藤星此溶饯刑誉第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义29返回返回一、一、XMLXML数字签名:数字签名:XMLXMLXMLXML数字签名:数字签名:数字签名:数字签名:以便接收方可以证明消息发以便接收方可以证明消息发以便接收方可以证明消息发以便接收方可以证明消息发送方的身份,从而保证你的消息是来自特定送方
38、的身份,从而保证你的消息是来自特定送方的身份,从而保证你的消息是来自特定送方的身份,从而保证你的消息是来自特定方并方并方并方并确保确保XMLXML文档内的内容没有发生改变,文档内的内容没有发生改变,以保证数据完整性。以保证数据完整性。XML XML 加密的特点:加密的特点: vXML SignatureXML Signature可以对任何能够以可以对任何能够以URIURI形式形式定位的资源做签名。既包括与签名同在一定位的资源做签名。既包括与签名同在一个个XMLXML文件中的元素,也包括其他文件中的元素,也包括其他XMLXML文件文件中的元素,甚至可以是非中的元素,甚至可以是非XMLXML形式的
39、资源形式的资源( (比如一个图形文件比如一个图形文件) ),只要能被,只要能被URIURI定位定位到的资源都可以应用到的资源都可以应用XML Signature. XML Signature. 这这也代表了也代表了XMLXML签名的对象可以是动态变化签名的对象可以是动态变化的。的。酸转攻颖掷署壮塔蓉砂倍抡扣墒赏吐衅袍搂界怔死拧斗光绵咏刑股腾克盼第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义30返回返回v可以对可以对XMLXML文件中的任一元素做签名,也可文件中的任一元素做签名,也可以对整个文件做签名。以对整个文件做签名。v实现对同一份实现对同一份 XML XML 文档的不
40、同部分使用多文档的不同部分使用多于一种的数字签名。于一种的数字签名。v不仅仅在文档传送和通信的时候使用签名,不仅仅在文档传送和通信的时候使用签名,还要使签名能够持久保留。还要使签名能够持久保留。v既可以用非对称密钥做签名,也可以用对既可以用非对称密钥做签名,也可以用对称密钥做签名。称密钥做签名。羌必失挠呼釜奴芭缕跟哀眯颧骏句鞠来透种漂而俐层宅览二关靡杏字宋酚第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义31返回返回二、二、XML加密加密XMLXMLXMLXML加密:加密:加密:加密:规定了数据加密并使用规定了数据加密并使用规定了数据加密并使用规定了数据加密并使用XMLXM
41、LXMLXML表示结果表示结果表示结果表示结果的过程。加密可以作用的过程。加密可以作用的过程。加密可以作用的过程。加密可以作用于任何地方。于任何地方。于任何地方。于任何地方。包括包括 XML XML 文档。文档。 XML XML 加密的特点:加密的特点:vvW3CW3CW3CW3C制定的新规范可以对某个文档选定的部制定的新规范可以对某个文档选定的部制定的新规范可以对某个文档选定的部制定的新规范可以对某个文档选定的部分进行加密。分进行加密。分进行加密。分进行加密。v支持对任意数字内容的加密,包括支持对任意数字内容的加密,包括 XML XML 文文档。档。 v确保经过加密的数据不管是在传输过程中还
42、确保经过加密的数据不管是在传输过程中还是在存储时,都不能被未经授权的人员访问是在存储时,都不能被未经授权的人员访问到。到。佩丝捐馏薛围晌刘倒散坡猴痛寥屈免腕铝百无曰侗星永穿氯冶妆灭前健火第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义32返回返回三、三、XML密钥管理密钥管理XMLXMLXMLXML密钥管理(密钥管理(密钥管理(密钥管理(XKMSXKMSXKMSXKMS):):):):分发及管理在端点之分发及管理在端点之分发及管理在端点之分发及管理在端点之间进行安全通信所需的密钥。对互联网信息进间进行安全通信所需的密钥。对互联网信息进间进行安全通信所需的密钥。对互联网信息进
43、间进行安全通信所需的密钥。对互联网信息进行加密、解密、签名和验证。行加密、解密、签名和验证。行加密、解密、签名和验证。行加密、解密、签名和验证。 XKMSXKMSXKMSXKMS由两种服务组成:由两种服务组成:由两种服务组成:由两种服务组成:vv公钥的定位和查询等服务:公钥的定位和查询等服务:公钥的定位和查询等服务:公钥的定位和查询等服务:即还原某一个加即还原某一个加密的钥匙,以和另一个人进行安全通信。密的钥匙,以和另一个人进行安全通信。vv公钥的注册:公钥的注册:公钥的注册:公钥的注册:用来发布或重新发布,或废除用来发布或重新发布,或废除钥匙。钥匙。 XKMSXKMSXKMSXKMS一般用于
44、与公钥基础设施(一般用于与公钥基础设施(一般用于与公钥基础设施(一般用于与公钥基础设施(Public Key Public Key Public Key Public Key InfrastructureInfrastructureInfrastructureInfrastructure,PKIPKIPKIPKI)技术结合,以简化公)技术结合,以简化公)技术结合,以简化公)技术结合,以简化公钥的注册、管理和查询服务,减少客户端应用钥的注册、管理和查询服务,减少客户端应用钥的注册、管理和查询服务,减少客户端应用钥的注册、管理和查询服务,减少客户端应用程序设置的复杂性,降低与程序设置的复杂性,降低
45、与程序设置的复杂性,降低与程序设置的复杂性,降低与PKIPKIPKIPKI建立信任关系建立信任关系建立信任关系建立信任关系的复杂度。的复杂度。的复杂度。的复杂度。迁介癌佑狞春法熬僵枷摩阎曰冶柏锦捉儒倡迹各泽层啄鸦逊遂揭硅益糕坯第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义33返回返回XKMSXKMS有如下好处。有如下好处。v减少应用程序的复杂性减少应用程序的复杂性v容易编码容易编码v方便新方便新PKIPKI技术的部署技术的部署纱或录沟霞悔碟某惶藉惟覆拽每怪涎魁桂拉沼壁缕匿炕灌妈眷墩蔼移婿壮第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义34返回返回四、
46、四、SAMLSAML安全机制安全机制SAMLSAML是安全性断言标记语言(是安全性断言标记语言(Security Security Assertion Markup LanguageAssertion Markup Language,SAMLSAML)是用来以)是用来以 XML XML 消息传输认证和授权信息的协议。它可以消息传输认证和授权信息的协议。它可以用来提供单点登录用来提供单点登录 Web Web 服务、认证和授权。服务、认证和授权。允允允允许不同安全系统产生的信息进行交换。许不同安全系统产生的信息进行交换。许不同安全系统产生的信息进行交换。许不同安全系统产生的信息进行交换。舱钠遇瓮尚
47、孰雄庙屋愚旬嫉堤厄右问婪略难家讯挚途庶堆翰嵌而辜荷熙仟第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义35返回返回SAMLSAML三个基本组件:三个基本组件:v断言:都是关于用户(人或计算机)的一个或断言:都是关于用户(人或计算机)的一个或多个事实的声明。多个事实的声明。v协议:这个协议定义了协议:这个协议定义了 SAML SAML 请求和接收断言请求和接收断言的方式。例如,的方式。例如,SAML SAML 目前支持目前支持 HTTP HTTP 上的上的 SOAPSOAP。v绑定:详细描述了绑定:详细描述了 SAML SAML 请求应如何映射到请求应如何映射到HTTP HT
48、TP 上的上的 SOAP SOAP 消息交换的传输协议。消息交换的传输协议。SAMLSAML三种断言类型:三种断言类型:v认证断言:验证用户的身份。认证断言:验证用户的身份。v属性断言:用户的特殊信息,如他的信用额度。属性断言:用户的特殊信息,如他的信用额度。v授权断言:标识了用户具有哪些合法权限。授权断言:标识了用户具有哪些合法权限。投菊而几铰掩洱庙斜堂褐也骋即贵哮神蒲蜘械涪讯勒喂兴勺反驯颈蜜泉八第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义36返回返回SAMLSAMLSAMLSAML的工作原理工作原理的工作原理工作原理的工作原理工作原理的工作原理工作原理 :vv用户浏
49、览器访问认证服务器,认证服务器询用户浏览器访问认证服务器,认证服务器询用户浏览器访问认证服务器,认证服务器询用户浏览器访问认证服务器,认证服务器询问用户问用户问用户问用户IDIDIDID和口令。和口令。和口令。和口令。vv用户输入用户输入用户输入用户输入IDIDIDID和口令。认证服务器检查和口令。认证服务器检查和口令。认证服务器检查和口令。认证服务器检查LDAPLDAPLDAPLDAP目目目目录,然后认证最终用户。录,然后认证最终用户。录,然后认证最终用户。录,然后认证最终用户。vv用户从目的用户从目的用户从目的用户从目的WebWebWebWeb服务器请求资源,认证服务服务器请求资源,认证服
50、务服务器请求资源,认证服务服务器请求资源,认证服务器开始与目的器开始与目的器开始与目的器开始与目的WebWebWebWeb服务器的一次会话。服务器的一次会话。服务器的一次会话。服务器的一次会话。vv认证服务器给最终用户发送认证服务器给最终用户发送认证服务器给最终用户发送认证服务器给最终用户发送URIURIURIURI,最终用户,最终用户,最终用户,最终用户的浏览器被指向的浏览器被指向的浏览器被指向的浏览器被指向URIURIURIURI,URIURIURIURI将最终用户联接到将最终用户联接到将最终用户联接到将最终用户联接到WebWebWebWeb服务。服务。服务。服务。 契志利忆鞠斗誊弦违侩捍
51、紊芭甸瘸仟捌恃撬疡泅羔辟骆葵易痰该狄唬些窗第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义37返回返回SAMLSAMLSAMLSAML的优点的优点的优点的优点: : : :vv使用使用使用使用SAMLSAMLSAMLSAML标准作为安全认证和共享资料的中间标准作为安全认证和共享资料的中间标准作为安全认证和共享资料的中间标准作为安全认证和共享资料的中间语言,能够在多个站点之间实现单点登录。语言,能够在多个站点之间实现单点登录。语言,能够在多个站点之间实现单点登录。语言,能够在多个站点之间实现单点登录。vvSAMLSAMLSAMLSAML针对不同的安全系统提供了一个共有的框针对
52、不同的安全系统提供了一个共有的框针对不同的安全系统提供了一个共有的框针对不同的安全系统提供了一个共有的框架,允许企业及其供应商、客户与合作伙伴进架,允许企业及其供应商、客户与合作伙伴进架,允许企业及其供应商、客户与合作伙伴进架,允许企业及其供应商、客户与合作伙伴进行安全的认证、授权和基本信息交换。由于行安全的认证、授权和基本信息交换。由于行安全的认证、授权和基本信息交换。由于行安全的认证、授权和基本信息交换。由于SAMLSAMLSAMLSAML是通过是通过是通过是通过XMLXMLXMLXML对现有的安全模式进行描述,因对现有的安全模式进行描述,因对现有的安全模式进行描述,因对现有的安全模式进行
53、描述,因此它是一个中立的平台。此它是一个中立的平台。此它是一个中立的平台。此它是一个中立的平台。vvSAMLSAMLSAMLSAML的消息格式能够从一个源站点的消息格式能够从一个源站点的消息格式能够从一个源站点的消息格式能够从一个源站点(SAML(SAML(SAML(SAML认证管认证管认证管认证管理机构理机构理机构理机构) ) ) )将断言发送给一个接受者。用户合作中将断言发送给一个接受者。用户合作中将断言发送给一个接受者。用户合作中将断言发送给一个接受者。用户合作中的事务处理速度得到加快,简化认证环境的复的事务处理速度得到加快,简化认证环境的复的事务处理速度得到加快,简化认证环境的复的事务
54、处理速度得到加快,简化认证环境的复杂性。杂性。杂性。杂性。 驭箍赘湛敢防拽咳涨哭舰侩坊晶俄毙啸晓粳维庇静彬卡刁橙趟洋仕点域镀第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义38返回返回单点登录通常是指:单点登录通常是指:用户只需要在网用户只需要在网络中主动地进行一次身份认证,随后便络中主动地进行一次身份认证,随后便可以访问其被授权的所有网络资源而不可以访问其被授权的所有网络资源而不需要再主动参与其他的身份认证过程。需要再主动参与其他的身份认证过程。冕砒慌岔使入食慰蛹院哇新铬谨抓赴军肆剿乡泻问绚固隧匈蒸鼠硬膛箔奄第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全
55、语义39返回返回单点登陆的原理:单点登陆的原理:v浏览器请求中心认证服务器,将用户名和密浏览器请求中心认证服务器,将用户名和密码传递给中心认证服务器。码传递给中心认证服务器。v中心认证服务器验证成功之后,查找数据库中心认证服务器验证成功之后,查找数据库里此用户名和密码对应的信息,根据这些信里此用户名和密码对应的信息,根据这些信息生成一个令牌返回给浏览器。息生成一个令牌返回给浏览器。v浏览器再用浏览器再用tokentoken访问应用系统。访问应用系统。v应用系统收到应用系统收到tokentoken之后,再用收到的之后,再用收到的tokentoken访问中心认证服务器,中心认证服务器通过访问中心认
56、证服务器,中心认证服务器通过这个这个tokentoken查找数据库,从而能够找到对应查找数据库,从而能够找到对应应用系统的用户名和密码,然后将这个用户应用系统的用户名和密码,然后将这个用户名和密码返回给应用系统。名和密码返回给应用系统。v应用系统再收到的用户名和密码进行登录。应用系统再收到的用户名和密码进行登录。 碧拎娜浊谋滤颐牟黍拱观竿柬庐颓酸怜滥仍趾心撮恋把室坛赃救国锯逐霜第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义40返回返回五、五、 XACML XACML机制机制可扩展访问控制标记语言可扩展访问控制标记语言XACMLXACML(Extensible Extens
57、ible Access Control Markup LanguageAccess Control Markup Language) 由由OASISOASIS20032003年年2 2月批准了一种新的标记语言,月批准了一种新的标记语言,XACMLXACML定义了一种通用的用于保护资源的策略定义了一种通用的用于保护资源的策略语言和一种访问决策语言。语言和一种访问决策语言。 XACML XACML提供一套语法提供一套语法(使用(使用XMLXML定义)来管理对系统资源的访问。定义)来管理对系统资源的访问。XACMLXACML的功能:的功能:用用XACMLXACML来编写访问策略来编写访问策略,管理,
58、管理访问策略并根据策略访问策略并根据策略确定是否允许对某资源的确定是否允许对某资源的访问。访问。 描扳之乾喳津乃暴嚣玫讼详淆缔饭键恕秽缚蒲肇机枷噪曰樱就例椎渣镑辙第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义41返回返回XACMLXACML定义了定义了4 4个主要实体:个主要实体: vPAPPAP策略管理点(策略管理点(Policy Policy Administration PointAdministration Point)基本上是一个基本上是一个存放策略的仓库。存放策略的仓库。vPIPPIP策略信息点(策略信息点(Policy Information Policy
59、Information PointPoint)目录或者其他身份证明目录或者其他身份证明(identityidentity)的供应者。)的供应者。PIPPIP可提供被访问可提供被访问的资源的属性,以及试图访问该资源的实体的资源的属性,以及试图访问该资源的实体(身份证明)。(身份证明)。拭费堵油军哗革录沉王净却蔷它蕾蘑售基寂烧咳膳肪委乌舆伐幻吸责树碴第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义42返回返回vPDPPDP策略决策点(策略决策点(Policy Decision Policy Decision PointPoint)这个组件负责对访问授权的决策。这个组件负责对访问
60、授权的决策。PDPPDP使用从使用从PAPPAP获得的策略以及从获得的策略以及从PIPPIP获得的附加获得的附加信息来进行决策。信息来进行决策。vPEPPEP策略实施点(策略实施点(Policy Enforcement Policy Enforcement PointPoint)这个组件负责接收对授权的请求。这个组件负责接收对授权的请求。PEPPEP向向PDPPDP发送发送XAXMLXAXML请求,然后根据请求,然后根据PDPPDP的决策的决策来行动。来行动。鹿霖叛邹滩螟啥盎庞讽甜掩谨防秒游掘争冶裙刹筑怕鸵周画谈槽李黑捷各第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义43
61、返回返回XACMLXACML的工作原理:的工作原理:某主体想对某个资源如文某主体想对某个资源如文件系统或者件系统或者WebWeb服务器采取某种操作。服务器采取某种操作。v该主体向该实体提交查询,该实体名为策略执该主体向该实体提交查询,该实体名为策略执行点行点(PEP)(PEP)。vPEPPEP使用使用XACMLXACML请求语言生成请求。请求语言生成请求。PEPPEP把该请求把该请求发送到策略决策点发送到策略决策点(PDP)(PDP),vPDPPDP会检查请求、检索适用于该请求的策略再根会检查请求、检索适用于该请求的策略再根据评估策略的据评估策略的XACMLXACML规则,确定要不要授予访问规
62、则,确定要不要授予访问权。这个响应返回给权。这个响应返回给PEPPEP,vPEPPEP允许或者拒绝请求方的访问。允许或者拒绝请求方的访问。 一旦按照策一旦按照策略完成了评估,就会返回一个是真或者是假的略完成了评估,就会返回一个是真或者是假的逻辑值表示是否允许接入,这个认证决定声明逻辑值表示是否允许接入,这个认证决定声明返回后,就会执行相应的操作。返回后,就会执行相应的操作。 饥崎户烂赠芬羽颤愤攫描潍芯磨浴正证擞消刽给戈苍椭位肋耗猎固铸琶流第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义44返回返回XACML的工作原理的工作原理按岂兑范劳芍讫惫曲卉枪特犬豢案金眉悟最婪闯闺婉赘
63、楞控踌界名孩柜副第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义45返回返回XACML优点:优点:vXACMLXACML是标准是标准。标准通过了大量专家和使用者。标准通过了大量专家和使用者审查,开发者越是能轻松的通过标准语言来审查,开发者越是能轻松的通过标准语言来与其它应用系统协作交互。与其它应用系统协作交互。 vXACMLXACML是通用的是通用的。这意味着可以在大多数环境。这意味着可以在大多数环境中使用,而不只是在一些特殊的环境中或对中使用,而不只是在一些特殊的环境中或对特殊的资源可以使用。一个访问控制策略编特殊的资源可以使用。一个访问控制策略编写后,可以被很多不同类型
64、的应用程序使用。写后,可以被很多不同类型的应用程序使用。vXACMLXACML是分布式的是分布式的。这意味着一个访问控制策。这意味着一个访问控制策略可以被编写为引用其它任意位置的其它策略可以被编写为引用其它任意位置的其它策略。策略既可以分散管理又可以由略。策略既可以分散管理又可以由XACMLXACML来处来处理如何正确的合并不同的子策略判断结果,理如何正确的合并不同的子策略判断结果,并作出统一的访问控制。并作出统一的访问控制。 店彻副轰扭拍蚌宴叮约溢梧郑荆扰案拽墅襄卜玲饱蝴特葱掖征寄捌疾蟹朝第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义46返回返回六、六、WSS安全机制安
65、全机制Web服务安全服务安全WSS(WebServicesSecurity)标准由结构化信息标准促进组织)标准由结构化信息标准促进组织(OASIS)开发,)开发,WSS标准为确保在基于标准为确保在基于Web服务标准的应用之间传递信息的安全提服务标准的应用之间传递信息的安全提供了一个框架。供了一个框架。WSS规定了如何保护在网络规定了如何保护在网络上传送的上传送的SOAP消息,包括验证、完整性保护消息,包括验证、完整性保护和机密性。和机密性。奔历刽稚粥野蹄俐魂垣烹鸡位漳莉啦囚包崎蕉派购伯示捉婴箭榷桌符兆蔼第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义47返回返回WSSWSS
66、的操作方式:的操作方式:v将将WSSWSS定义的名为定义的名为securitysecurity的安全元素,插入到的安全元素,插入到SOAPSOAP头里面。头里面。SOAPSOAP头包含了运用于该消息的验头包含了运用于该消息的验证、数字签名和加密方面的所有信息。包括哪证、数字签名和加密方面的所有信息。包括哪些数据被签名,哪些数据被加密以及执行这些些数据被签名,哪些数据被加密以及执行这些操作的次序和使用的密钥。操作的次序和使用的密钥。v通过通过WSSWSS,发送方可以规定安全信息的创建和失,发送方可以规定安全信息的创建和失效日期。通过安全元素,发送方告诉接收方各效日期。通过安全元素,发送方告诉接收
67、方各种信息,它为接收方提供了对消息进行解密及种信息,它为接收方提供了对消息进行解密及验证所必不可少的信息,每个接收消息的节点验证所必不可少的信息,每个接收消息的节点可以包含一个安全元素。可以包含一个安全元素。v有时候客户提供的有时候客户提供的IDID证明格式和许可认证格式证明格式和许可认证格式不一致。如果采用不一致。如果采用WSSWSS,可使连接多个网络的用,可使连接多个网络的用户户IDID一次性通过认证,或者可在两个应用软件一次性通过认证,或者可在两个应用软件之间安全交换数据。之间安全交换数据。亨穷松烈菱偏皮鬃溶开酌屹弘壮悄畸拉芭岂日用擒姥塌矩揪拂雕悬契炼咋第三章数据库及其应用系统的安全语义
68、第三章数据库及其应用系统的安全语义48返回返回WSSWSS的的 主要概念之一是令牌,令牌是一种数据主要概念之一是令牌,令牌是一种数据结构,新标准提供了一个把安全令牌同信息内结构,新标准提供了一个把安全令牌同信息内容联系在一起的通用机制,而且可以扩展到支容联系在一起的通用机制,而且可以扩展到支持多种安全令牌格式。持多种安全令牌格式。WSSWSS使使WebWeb服务利用不同服务利用不同系统系统通过令牌分发密钥和其他认证信息成为可通过令牌分发密钥和其他认证信息成为可能。能。X.509X.509证书和证书和KerberosKerberos规范以二进制令牌传规范以二进制令牌传送,而送,而SAMLSAML
69、机制和机制和XrMLXrML许可证则是许可证则是XMLXML令牌。令牌。WSSWSS还定义了用户名令牌,使用户名令牌可以与还定义了用户名令牌,使用户名令牌可以与口令一起使用。当令牌在一条消息中被使用一口令一起使用。当令牌在一条消息中被使用一次以上时,次以上时,WSSWSS还提供一个安全令牌证书,指向还提供一个安全令牌证书,指向用于不同环境的令牌。用于不同环境的令牌。WSSWSS允许有选择地使用加允许有选择地使用加密。譬如说,它允许应用防火墙检查未经加密密。譬如说,它允许应用防火墙检查未经加密的消息。的消息。磊巳百辩帮岗戏疯搐引包蜗隘秦间摧酪胳懈甄炮涣搜仓想锨葵笔殉莉八录第三章数据库及其应用系统
70、的安全语义第三章数据库及其应用系统的安全语义49返回返回 3.2 3.2 系统安全基本原则系统安全基本原则隔离原则隔离原则最小特权原则最小特权原则纵深防御原则纵深防御原则用户输入不信任原则用户输入不信任原则关卡检察原则关卡检察原则失效保护原则失效保护原则最弱连接安全化原则最弱连接安全化原则建立默认原则建立默认原则减少攻击面原则减少攻击面原则状食容医窿峨掇孺俐痪峻聋篇躬褪壁珐压粘挎狰乏厩锯舔弯辗选镶刃犁啤第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义50返回返回隔离原则:隔离原则:分解并减少攻击面。分解并减少攻击面。采取措施:采取措施:防火墙、最小特权账户、最小特权防火墙、
71、最小特权账户、最小特权 代码。代码。一、隔离原则一、隔离原则衷权新械窃可厦劝陀矿叹戍癸路启急境踌屑勇惭雌仪溉程昔距晦舆邀又抒第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义51返回返回最小特权:最小特权:最小特权:最小特权:指的是指的是指的是指的是“在完成某种操作时所在完成某种操作时所在完成某种操作时所在完成某种操作时所赋予系统中每个主体(用户或进程)赋予系统中每个主体(用户或进程)赋予系统中每个主体(用户或进程)赋予系统中每个主体(用户或进程)必不必不必不必不可少可少可少可少的特权的特权的特权的特权”。每个用户只能拥有刚够完。每个用户只能拥有刚够完。每个用户只能拥有刚够完
72、。每个用户只能拥有刚够完成工作的最小权限。成工作的最小权限。成工作的最小权限。成工作的最小权限。最小特权原则规定:最小特权原则规定:最小特权原则规定:最小特权原则规定:只授予执行操作所必只授予执行操作所必只授予执行操作所必只授予执行操作所必需的最少访问权,并且对于该访问权只准需的最少访问权,并且对于该访问权只准需的最少访问权,并且对于该访问权只准需的最少访问权,并且对于该访问权只准许用所需的最少时间。许用所需的最少时间。许用所需的最少时间。许用所需的最少时间。 二、最小特权原则:二、最小特权原则:复操混舅桑胁饭筹搔氮瞪锈由原瞒梦仪忿沮导淳估耀论渠筋猎请柯甜拥奏第三章数据库及其应用系统的安全语义
73、第三章数据库及其应用系统的安全语义52返回返回纵深防御原则:纵深防御原则:采取多种有效防御措施促使攻采取多种有效防御措施促使攻击搁浅。击搁浅。思想:思想:使用多重防御策略来管理风险,以便在使用多重防御策略来管理风险,以便在一层防御不够时,在理想情况下,另一层防御一层防御不够时,在理想情况下,另一层防御将会阻止完全的破坏。将会阻止完全的破坏。 三、纵深防御原则三、纵深防御原则爬奸成茫责组吠央纸铺寝部雅湖约吏家弦镶暖木宰盆趋啮又视吊湖这废篡第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义53返回返回失效保护原则:失效保护原则:系统失效时,保护敏感数据防系统失效时,保护敏感数据防
74、止被任意访问。止被任意访问。四、失效保护原则四、失效保护原则莲眠司赘纹蘸臀惜侠漫鲤鸽栗红勿注坊瞪葫勾咱泻邱蛾蛤责艾肛糟宏渤镊第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义54返回返回最弱连接安全化原则:最弱连接安全化原则:强化系统最薄弱环节的强化系统最薄弱环节的安全监测和缓解措施。意识到系统弱点,保护安全监测和缓解措施。意识到系统弱点,保护整个系统安全。整个系统安全。五、最弱连接安全化原则五、最弱连接安全化原则厉程搅像彻碴冰冈屯囚窄拽舱胖颂跺呆堰吾硫播伍彩批你弊熔谆闸狸卸钝第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义55返回返回用户输入不信任原则:
75、用户输入不信任原则:用户输入是对目标用户输入是对目标系统攻击的主要武器。应用程序应该彻底系统攻击的主要武器。应用程序应该彻底验证所有用户输入,然后再根据用户输入验证所有用户输入,然后再根据用户输入执行操作。执行操作。六、用户输入不信任原则六、用户输入不信任原则沉石秤膝变絮慷摆爸阐雷次栽丸晦别噎输闻饮正鹏楔遭诅胃洞秆共涸孝文第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义56返回返回使用默认安全原则:使用默认安全原则:需要为系统安全提供默认需要为系统安全提供默认配置。如:默认账号、权限、策略。是简化系配置。如:默认账号、权限、策略。是简化系统的重要方式。创建安全的默认值。统的
76、重要方式。创建安全的默认值。七、使用默认安全原则七、使用默认安全原则它案平眼太鄙倍祟嗓蜗与诉辕米稻恩赴革策碘债扭堕漫纳澡汉皿宦角泄们第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义57返回返回关卡检查原则:关卡检查原则:及早实施认证与授权。将攻击及早实施认证与授权。将攻击阻止在第一道门槛之外。阻止在第一道门槛之外。八、关卡检查原则八、关卡检查原则脂阁帮吸驭沛恨茂讼炽榔竖世沏藉俞虱肠瀑总束页嚏熔冶炭烽罢鹿羔互杀第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义58返回返回减少攻击面原则:减少攻击面原则:禁用应用程序不需要的模禁用应用程序不需要的模块和组件、协
77、议和服务。减少攻击可利用的块和组件、协议和服务。减少攻击可利用的漏洞。漏洞。九、减少攻击面原则九、减少攻击面原则恶箔剖迁那碧盘棍贴寻爸孽狄墙考扣监膀饰踩禽虚陀剥被掷竿顿奖哎鸭说第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义59返回返回3.3 3.3 威胁模型威胁模型3.3.1 3.3.1 常见威胁与对策常见威胁与对策这一节我们从攻击者的角度去考虑威胁,并了这一节我们从攻击者的角度去考虑威胁,并了解他们可能采取的策略及攻击的最终结果。以解他们可能采取的策略及攻击的最终结果。以便在系统的设计和便在系统的设计和 实施阶段构建适当的手段,实施阶段构建适当的手段,更加有效防御攻击。
78、首先使用更加有效防御攻击。首先使用 STRIDE STRIDE 方法将方法将这些威胁分类。然后介绍了可能危及网络、主这些威胁分类。然后介绍了可能危及网络、主机基础结构和应用程序安全的最大威胁。有关机基础结构和应用程序安全的最大威胁。有关这些威胁的知识和相应的对策为威胁建模过程这些威胁的知识和相应的对策为威胁建模过程会提供必要的信息。会提供必要的信息。跳准末纹周订卷吐陕寅虹愧逐各娠强部忍戊瞳刺峡纫乖毡产我忘劈竭玉铜第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义60返回返回一、一、STRIDE威胁类型分类:威胁类型分类:应用程序所面临的威胁可根据攻击的目标和目应用程序所面临的
79、威胁可根据攻击的目标和目的进行分类。熟知这些威胁的类别有助于您组的进行分类。熟知这些威胁的类别有助于您组织安全策略,从而对威胁作出规划的响应。织安全策略,从而对威胁作出规划的响应。STRIDE STRIDE 是是 Microsoft Microsoft 对不同威胁类型进行分对不同威胁类型进行分类所使用的首字母缩略语。可以使用类所使用的首字母缩略语。可以使用 STRIDE STRIDE 进行威胁建模。进行威胁建模。 STRIDE STRIDE是六种威胁的字母缩略是六种威胁的字母缩略词。词。假冒:假冒:SpoofingSpoofing篡改:篡改:TamperingTampering否认:否认:Re
80、pudiationRepudiation信息泄漏:信息泄漏:Information DisclosureInformation Disclosure拒绝服务:拒绝服务:Denial of ServiceDenial of Service提升权限:提升权限:Elevation of PrivilegeElevation of Privilege憋埃腹穷孺央炸渴绒姿屋朴擒针篓腹锑魂某竭歉健所彼酋狈液酒何林检驹第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义61返回返回v假冒:假冒:未授权的用户冒充应用程序的合法用户。未授权的用户冒充应用程序的合法用户。可以使用偷取的用户凭证或假
81、的可以使用偷取的用户凭证或假的 IP IP 地址来实地址来实现。现。属认证范畴。属认证范畴。v窜改:窜改:攻击者非法更改或毁坏数据。窜改数据攻击者非法更改或毁坏数据。窜改数据是改变数据,不是信息揭露。是改变数据,不是信息揭露。属完整性范畴。属完整性范畴。v否认:否认:用户否认执行了操作的能力。就攻击者用户否认执行了操作的能力。就攻击者的观点,否认就是隐匿踪迹,让某件行为无法的观点,否认就是隐匿踪迹,让某件行为无法被追踪,无法归咎于肇事者。被追踪,无法归咎于肇事者。属不可抵赖范畴。属不可抵赖范畴。闹埠馅丈季友颊艳任钢饼克剪模伍疥雨铆溢墅众照筐炽砷诛顷囊钝嘱出视第三章数据库及其应用系统的安全语义第
82、三章数据库及其应用系统的安全语义62返回返回v信息泄露信息泄露 :敏感数据被泄露给本应无权访问敏感数据被泄露给本应无权访问的人或位置。允许未授权的人取用敏感信息,的人或位置。允许未授权的人取用敏感信息,像是信用卡号码、密码等。像是信用卡号码、密码等。属机密性范畴。属机密性范畴。v 服务阻断(拒绝服务):服务阻断(拒绝服务):导致系统或用户无导致系统或用户无法使用应用程序的破坏行为。让某种资源耗竭,法使用应用程序的破坏行为。让某种资源耗竭,例如网络带宽、处理器运算能力、磁盘空间。例如网络带宽、处理器运算能力、磁盘空间。属可用性范畴。属可用性范畴。v 特权提升:特权提升:将帐号的合法权限非法增加。
83、比将帐号的合法权限非法增加。比如尝试用管理员的权限去做事情,就是属于这如尝试用管理员的权限去做事情,就是属于这种。种。属授权范畴。属授权范畴。肢纫层像迅壬诧蔡享傀醒帆畸址湘姚峙呛刚声转拙定吕蒲春胚退孕韩驮畅第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义63返回返回二、二、STRIDE STRIDE 危险和对策危险和对策假冒:假冒:用户身份使用增强的身份验证。用户身份使用增强的身份验证。强制执行强大的口令政策。也就是说,口令要强制执行强大的口令政策。也就是说,口令要定期变换,口令长度最少为定期变换,口令长度最少为1010位数并且包含字位数并且包含字母和符号。不要以纯文本形式
84、存储机密,口令母和符号。不要以纯文本形式存储机密,口令加密。不用通过网络传递纯文本形式的凭证。加密。不用通过网络传递纯文本形式的凭证。使用安全套接字层使用安全套接字层 (SSL) (SSL) 保护身份验证保护身份验证 CookieCookie。 窜改数据:窜改数据:使用数据哈希和签名。使用数据哈希和签名。使用数字签名。使用增强的身份验证。使用数字签名。使用增强的身份验证。在通讯链接中使用反篡改协议。在通讯链接中使用反篡改协议。使用提供消息完整性的协议来确保通讯链接的使用提供消息完整性的协议来确保通讯链接的安全。安全。 吭绵红狗肥般尿粘密撕少幕虱句家飞宾众请崇惑穿剩榨痞全翼玛背矮裂蛰第三章数据库
85、及其应用系统的安全语义第三章数据库及其应用系统的安全语义64返回返回否认:否认:创建安全的审核记录。使用数字签名。创建安全的审核记录。使用数字签名。信息泄露信息泄露 :强认证、强加密、机密性协议、强认证、强加密、机密性协议、杜绝明文传递安全凭证类信息。杜绝明文传递安全凭证类信息。服务阻断:服务阻断:使用资源和带宽调节技术。使用资源和带宽调节技术。验证并筛选输入。验证并筛选输入。特权提升:特权提升:遵循最低特权的原则,使用最低特遵循最低特权的原则,使用最低特权服务帐户来运行进程和访问资源。权服务帐户来运行进程和访问资源。怪授岳肉砒卒蒙容妇陡渊频帘瞧消艰账药骄刀脉气秀毁泼袁踞童八舵统载第三章数据库
86、及其应用系统的安全语义第三章数据库及其应用系统的安全语义65返回返回三、攻击方法的基本步骤三、攻击方法的基本步骤调查和评估调查和评估利用和渗透利用和渗透提升特权提升特权保留访问权保留访问权拒绝服务拒绝服务煞肖朴霍拂稀能厘育亚膊扛外初灯酶坐甲痈堡尝账愉擅彩谚拘攀阎俭缕碗第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义66返回返回调查和评估调查和评估: :先后对潜在目标进行调查和评估。先后对潜在目标进行调查和评估。以识别和评估其特征。这些特征可能包括它所以识别和评估其特征。这些特征可能包括它所支持的服务和协议,以及潜在漏洞和入口点。支持的服务和协议,以及潜在漏洞和入口点。攻击者
87、使用在调查和评估阶段所收集的信息来攻击者使用在调查和评估阶段所收集的信息来规划最初的攻击。规划最初的攻击。 例如:攻击者可以通过测试检测跨站点脚本例如:攻击者可以通过测试检测跨站点脚本 (XSS) (XSS) 的漏洞,以查看网页中的控件是否会返的漏洞,以查看网页中的控件是否会返回输出。回输出。利用和渗透利用和渗透: :对潜在目标进行调查后,下一步是对潜在目标进行调查后,下一步是利用和渗透。如果网络和主机是完全安全的,利用和渗透。如果网络和主机是完全安全的,则您的应用程序(前门)将成为攻击的下一渠则您的应用程序(前门)将成为攻击的下一渠道。对于攻击者而言,进入应用程序最简便的道。对于攻击者而言,
88、进入应用程序最简便的方法是通过合法用户使用的同一入口。方法是通过合法用户使用的同一入口。 例如:通过应用程序的登录页面或不需要身份例如:通过应用程序的登录页面或不需要身份验证的页面。验证的页面。劣耙筋演株剑郭劲便砚佩酉榴途寨轻函奥太倍谴献缎扶讣焰匹光恃惩骋隧第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义67返回返回提升特权:提升特权:攻击者在通过向应用程序插入代码攻击者在通过向应用程序插入代码或创建与或创建与 Microsoft Microsoft Windows Windows 2000 2000 操作系操作系统进行的已验证身份的会话来设法危及应用程统进行的已验证身份的
89、会话来设法危及应用程序或网络的安全后,他们立即尝试提升特权。序或网络的安全后,他们立即尝试提升特权。特别是,他们想得到特别是,他们想得到 Administrators Administrators 组成员组成员帐户提供的管理特权。他们也寻求本地系统帐帐户提供的管理特权。他们也寻求本地系统帐户所提供的高级别特权。户所提供的高级别特权。 在整个应用程序中使用特权最低的服务帐在整个应用程序中使用特权最低的服务帐户是针对特权提升攻击的主要防御措施。而且,户是针对特权提升攻击的主要防御措施。而且,许多网络级别的特权提升攻击要求交互式的登许多网络级别的特权提升攻击要求交互式的登录会话。录会话。份惟铡鉴授戳
90、战践暑摧拣刀跃顺闭掸凝垦瞳状尊铲挣温樊泄昆昧挠汾吉垣第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义68返回返回保留访问权:保留访问权:获得系统的访问权后,攻击者采获得系统的访问权后,攻击者采取措施使以后的访问更加容易,并且掩盖其踪取措施使以后的访问更加容易,并且掩盖其踪迹。包括插入后门程序,或使用现有的缺少强迹。包括插入后门程序,或使用现有的缺少强大保护的帐户。掩盖踪迹通常包括清除日志和大保护的帐户。掩盖踪迹通常包括清除日志和隐藏工具。因此,审核日志是攻击者的主要目隐藏工具。因此,审核日志是攻击者的主要目标。应该确保日志文件的安全,而且应该对其标。应该确保日志文件的安全,
91、而且应该对其进行定期分析。日志文件分析通常会揭露尝试进行定期分析。日志文件分析通常会揭露尝试的入侵在进行破坏之前的早期迹象。的入侵在进行破坏之前的早期迹象。拒绝服务:拒绝服务:无法获得访问权的攻击者通常装入无法获得访问权的攻击者通常装入拒绝服务的攻击,以防止其他攻击者使用此应拒绝服务的攻击,以防止其他攻击者使用此应用程序。对于其他攻击者而言,拒绝服务选项用程序。对于其他攻击者而言,拒绝服务选项是他们最初的目标。例如是他们最初的目标。例如 SYN SYN 大量攻击,其中大量攻击,其中攻击者使用程序发送大量攻击者使用程序发送大量 TCP SYN TCP SYN 请求,来填请求,来填充服务器上的挂起
92、连接队列。这样便阻止了其充服务器上的挂起连接队列。这样便阻止了其他用户建立网络连接。他用户建立网络连接。拢漾造氛阳噬喜虎帕棒腕仕盲按彰贼柞闽岔僚展烙喀瓶喊阐储矩磕麦旋赏第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义69返回返回数据库系统的安全除依赖自身内部的安全机制数据库系统的安全除依赖自身内部的安全机制外,还与外部网络环境、应用环境、从业人员外,还与外部网络环境、应用环境、从业人员素质等因素息息相关,因此,从广义上讲,数素质等因素息息相关,因此,从广义上讲,数据库系统的安全框架可以划分为三个层次:据库系统的安全框架可以划分为三个层次: 网络系统层次;网络系统层次; 宿主
93、操作系统层次;宿主操作系统层次; 数据库管理系统层次。数据库管理系统层次。 这三个层次构筑成数据库系统的安全体系,与这三个层次构筑成数据库系统的安全体系,与数据安全的关系是逐步紧密的,防范的重要性数据安全的关系是逐步紧密的,防范的重要性也逐层加强,从外到内、由表及里保证数据的也逐层加强,从外到内、由表及里保证数据的安全。下面就安全框架的三个层次展开论述。安全。下面就安全框架的三个层次展开论述。 珠令堂宙咱瘴芦彩锣珠机宵囚裴菊曲声欺孺润缚参搀倒饥垃瘪罚姿诡押坷第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义70返回返回四、网络系统威胁和对策四、网络系统威胁和对策从广义上讲,数
94、据库的安全首先依赖于网络系从广义上讲,数据库的安全首先依赖于网络系统。随着统。随着InternetInternet的发展和普及,越来越多的的发展和普及,越来越多的公司将其核心业务向互联网转移,各种基于网公司将其核心业务向互联网转移,各种基于网络的数据库应用系统如雨后春笋般涌现出来,络的数据库应用系统如雨后春笋般涌现出来,面向网络用户提供各种信息服务。可以说网络面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础,数据库系统是数据库应用的外部环境和基础,数据库系统要发挥其强大作用离不开网络系统的支持,系统要发挥其强大作用离不开网络系统的支持,数据库系统的用户(如异地用户、分布
95、式用户)数据库系统的用户(如异地用户、分布式用户)也要通过网络才能访问数据库的数据。网络系也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障,外部入统的安全是数据库安全的第一道屏障,外部入侵首先就是从入侵网络系统开始的。侵首先就是从入侵网络系统开始的。饼已剖绣波泣咏鱼魏究短贞斡僧碾兵珍哩壁腆粪铲淮滇埔仓驭分钵微厢负第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义71返回返回网络入侵试图破坏信息系统的完整性、机密性网络入侵试图破坏信息系统的完整性、机密性或可信任的任何网络活动的集合,具有以下或可信任的任何网络活动的集合,具有以下特特点:点:v没有地域和时
96、间的限制,跨越国界的攻击就没有地域和时间的限制,跨越国界的攻击就如同在现场一样方便。如同在现场一样方便。 v通过网络的攻击往往混杂在大量正常的网络通过网络的攻击往往混杂在大量正常的网络活动之中,隐蔽性强。活动之中,隐蔽性强。 v入侵手段更加隐蔽和复杂。入侵手段更加隐蔽和复杂。 避北翼睡莆低魁迷历泣屯棒朋柄厌逞蚂赞符谚姻叭糟阀谴瑞锤胖犬牲襄俭第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义72返回返回组成网络基础结构的主要组件是路由器、防火组成网络基础结构的主要组件是路由器、防火墙和交换机。它们保护服务器和应用程序免受墙和交换机。它们保护服务器和应用程序免受攻击和入侵。最危险
97、的网络级别威胁包括:攻击和入侵。最危险的网络级别威胁包括: 信息搜集信息搜集 侦听侦听 哄骗哄骗 会话劫持会话劫持 拒绝服务拒绝服务累柏愁臼淀错沦诸他拒卜看毫堡拣脂拳敖素卒驯探典常奉活距斜疙芥峡祷第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义73返回返回信息收集:信息收集:网络设备和其他类型的系统一样可网络设备和其他类型的系统一样可以被发现和分析。攻击者通常从端口扫描开始。以被发现和分析。攻击者通常从端口扫描开始。他们在识别开放端口后,使用标志攫取和枚举他们在识别开放端口后,使用标志攫取和枚举来检测设备类型和确定操作系统及应用程序版来检测设备类型和确定操作系统及应用程序版
98、本。具备了这些信息后,攻击者可以攻击那些本。具备了这些信息后,攻击者可以攻击那些可能未使用安全修补程序更新的已知漏洞。可能未使用安全修补程序更新的已知漏洞。防止收集信息的对策包括:防止收集信息的对策包括:v配置路由器以限制它们对于跟踪足迹请求的响配置路由器以限制它们对于跟踪足迹请求的响应。应。v配置网络软件(如软件防火墙)所驻留的操作配置网络软件(如软件防火墙)所驻留的操作系统,通过禁用不使用的协议和不需要的端口系统,通过禁用不使用的协议和不需要的端口来防止跟踪足迹。来防止跟踪足迹。瑶咐寝但仲硝末秤耿蚁飘硒斤臭焊忠鄙颅蔫烈吮诣遇虱挽藐萝题辜扮品忆第三章数据库及其应用系统的安全语义第三章数据库及
99、其应用系统的安全语义74返回返回侦听:侦听:侦听或偷听是指监视网络传输以获取纯侦听或偷听是指监视网络传输以获取纯文本形式的密码或配置信息的行为。采用简单文本形式的密码或配置信息的行为。采用简单的数据包侦听器,攻击者可以轻易读取所有纯的数据包侦听器,攻击者可以轻易读取所有纯文本通信。而且,攻击者可以解开采用轻量级文本通信。而且,攻击者可以解开采用轻量级哈希算法加密的数据包,并可以破译您认为安哈希算法加密的数据包,并可以破译您认为安全的有效负荷。侦听数据包要求在服务器全的有效负荷。侦听数据包要求在服务器/ /客户客户端通讯路径中有一个数据包侦听器。端通讯路径中有一个数据包侦听器。有助于防止侦听的对
100、策包括:有助于防止侦听的对策包括:v使用增强的物理安全和合适的网络分段。这是使用增强的物理安全和合适的网络分段。这是防止从本地收集通信的第一步。防止从本地收集通信的第一步。v将通讯完全加密,包括身份验证凭证。这样即将通讯完全加密,包括身份验证凭证。这样即可防止攻击者使用侦听的数据包。可防止攻击者使用侦听的数据包。SSL SSL 和和 IPSecIPSec(Internet Internet 协议安全)是加密解决方案协议安全)是加密解决方案的示例。的示例。晒药生蔽瓶吓弧比氟端尾睬丸拥吴炙辑篡敝藐微腑丫婪关期城炙杆掘岔腕第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义75返回返
101、回哄骗:哄骗:哄骗是在网络上隐藏真实身份的方法。哄骗是在网络上隐藏真实身份的方法。为创建哄骗身份,攻击者使用并不代表数据包为创建哄骗身份,攻击者使用并不代表数据包真实地址的假的源地址。哄骗可用来隐藏攻击真实地址的假的源地址。哄骗可用来隐藏攻击者的原始来源,或者规避网络访问控制列表者的原始来源,或者规避网络访问控制列表 (ACL)(ACL),该列表用以限制基于源地址规则的主机,该列表用以限制基于源地址规则的主机访问。访问。 尽管从来也无法追踪到精心设计的哄骗数尽管从来也无法追踪到精心设计的哄骗数据包的发信人,但组合使用各种筛选规则可以据包的发信人,但组合使用各种筛选规则可以防止在您的网络上生成哄
102、骗数据包,从而使您防止在您的网络上生成哄骗数据包,从而使您可以显著地阻止哄骗数据包。可以显著地阻止哄骗数据包。防止哄骗的对策包括:防止哄骗的对策包括:v筛选从您的外围的内部筛选从您的外围的内部IPIP地址进入的数据包。地址进入的数据包。v筛选从无效的本地筛选从无效的本地 IP IP 地址传出的数据包。地址传出的数据包。玖钞由聚旅随主魄睫职盗决哆蕾杠帖豢挝购卷给朵投没愈钠阎停装状伴李第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义76返回返回会话劫持:会话劫持:会话劫持也称为会话劫持也称为 man in the man in the middlemiddle,它欺骗服务器或客
103、户端接受上游主机,它欺骗服务器或客户端接受上游主机为实际的合法主机。不是上游主机而是攻击者为实际的合法主机。不是上游主机而是攻击者主机操纵网络,从而攻击者的主机似乎成为期主机操纵网络,从而攻击者的主机似乎成为期望的目标。望的目标。有助于防止会话劫持的对策包括:有助于防止会话劫持的对策包括:v使用加密的会话协商。使用加密的会话协商。v使用加密的通讯通道。使用加密的通讯通道。v让自己能够得到平台修补程序通知,以消除让自己能够得到平台修补程序通知,以消除 TCP/IP TCP/IP 漏洞,如可预测的数据包序漏洞,如可预测的数据包序列。列。射螺定定集粘奋儿翻谈纯翠晴莽画纤睦尝勿奠仙翅稍蚜祝斌脖炭儒睬签
104、习第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义77返回返回拒绝服务:拒绝服务:拒绝服务拒绝合法用户访问服务器拒绝服务拒绝合法用户访问服务器或服务。或服务。SYN SYN 大量攻击是网络级别拒绝服务攻大量攻击是网络级别拒绝服务攻击的典型示例。它容易启动且难以跟踪。攻击击的典型示例。它容易启动且难以跟踪。攻击的目标是向服务器发送多于其处理能力的请求。的目标是向服务器发送多于其处理能力的请求。此攻击利用此攻击利用 TCP/IP TCP/IP 连接建立机制的潜在漏洞,连接建立机制的潜在漏洞,向服务器的挂起连接队列发送大量数据。向服务器的挂起连接队列发送大量数据。防止拒绝服务的对
105、策包括:防止拒绝服务的对策包括:v应用最新的服务数据包。应用最新的服务数据包。v通过应用合适的注册表设置来强化通过应用合适的注册表设置来强化 TCP/IP TCP/IP 堆堆栈,以增加栈,以增加 TCP TCP 连接队列的大小,减少连接建连接队列的大小,减少连接建立时间,并采用动态储备机制来确保连接队列立时间,并采用动态储备机制来确保连接队列不耗竭。不耗竭。v使用网络入侵检测系统使用网络入侵检测系统 (IDS) (IDS),因为它能自动,因为它能自动检测并响应检测并响应 SYN SYN 攻击。攻击。疚笋漂读蚌锣干长援彻橱苛如昆箱羔渗疆引巷意爷蹋幢桑纳耙彩忱轨同萍第三章数据库及其应用系统的安全语
106、义第三章数据库及其应用系统的安全语义78返回返回五、主机威胁和对策五、主机威胁和对策主机威胁存在于根据其建立应用程序的系统软主机威胁存在于根据其建立应用程序的系统软件内。其中包括件内。其中包括 Windows 2000 Windows 2000、Internet Internet 信信息服务息服务 (IIS) (IIS)、.NET Framework .NET Framework 和和 SQL SQL Server 2000Server 2000,具体取决于特定的服务器角色。,具体取决于特定的服务器角色。最危险的主机威胁包括:最危险的主机威胁包括: 病毒病毒 特洛伊木马和蠕虫病毒特洛伊木马和蠕
107、虫病毒 跟踪足迹跟踪足迹 概要分析概要分析 密码破解密码破解 拒绝服务拒绝服务 任意代码执行任意代码执行 未授权访问未授权访问碎奔雏恩痉科狈韶史黎戈诗音币锡冲底蛮组赤易酬颠狂誊缎天蝉橱链暂赌第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义79返回返回病毒、特洛伊木马和蠕虫病毒:病毒、特洛伊木马和蠕虫病毒:病毒是一种设病毒是一种设计用来执行恶意操作并造成操作系统或应用程计用来执行恶意操作并造成操作系统或应用程序破坏的程序。特洛伊木马与病毒类似,不同序破坏的程序。特洛伊木马与病毒类似,不同的是它将恶意代码包含在看起来无害的数据文的是它将恶意代码包含在看起来无害的数据文件或可执行
108、程序内。蠕虫病毒与特洛伊木马类件或可执行程序内。蠕虫病毒与特洛伊木马类似,不同的是它自行在服务器之间进行复制。似,不同的是它自行在服务器之间进行复制。蠕虫病毒很难检测,因为它们通常不创建可以蠕虫病毒很难检测,因为它们通常不创建可以看到的文件。通常在蠕虫病毒开始消耗系统资看到的文件。通常在蠕虫病毒开始消耗系统资源时注意到它,因为此时系统速度减慢或其他源时注意到它,因为此时系统速度减慢或其他应用程序的执行终止。红色代码蠕虫病毒是攻应用程序的执行终止。红色代码蠕虫病毒是攻击击 IIS IIS 的最臭名昭著的病毒;它依赖于特定的最臭名昭著的病毒;它依赖于特定 ISAPI ISAPI 筛选器中的缓冲区溢
109、出漏洞。筛选器中的缓冲区溢出漏洞。颠禾镶瑞舵榆挑撞貌循沿袄恼穴框蔚零商励场本军允反斩体校旁渗值乙禄第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义80返回返回尽管这三种威胁是实际攻击,但是对以下对象尽管这三种威胁是实际攻击,但是对以下对象构成了严重的威胁:构成了严重的威胁:Web Web 应用程序、这些应用应用程序、这些应用程序所在的主机以及用以传输这些应用程序的程序所在的主机以及用以传输这些应用程序的网络。对任何系统的攻击都可能取得成功,这网络。对任何系统的攻击都可能取得成功,这是因为系统存在许多漏洞,如脆弱的默认设置、是因为系统存在许多漏洞,如脆弱的默认设置、软件缺陷和
110、软件缺陷和 Internet Internet 协议的固有漏洞。协议的固有漏洞。 对病毒、特洛伊木马和蠕虫病毒可以使用的对对病毒、特洛伊木马和蠕虫病毒可以使用的对策包括:策包括: 通过最新的操作系统服务数据包和软件修补程序通过最新的操作系统服务数据包和软件修补程序保持最新状态。保持最新状态。 禁用防火墙和主机上所有不必要的端口。禁用防火墙和主机上所有不必要的端口。 禁用不使用的功能,包括协议和服务。禁用不使用的功能,包括协议和服务。 强化脆强化脆弱的默认配置设置。弱的默认配置设置。纵浮挂险搭逞工璃聚弹钉榔丢刑醉敌咬椎共智怜三闸稼聂逊拷碟喉旬炭歉第三章数据库及其应用系统的安全语义第三章数据库及其
111、应用系统的安全语义81返回返回跟踪足迹:跟踪足迹:跟踪足迹的示例有端口扫描、跟踪足迹的示例有端口扫描、ping ping 扫射和扫射和 NetBIOS NetBIOS 枚举,攻击者可使用这些方法枚举,攻击者可使用这些方法来发现有价值的系统级别的信息,以准备更重来发现有价值的系统级别的信息,以准备更重要的攻击。可能被跟踪足迹发现的信息类型包要的攻击。可能被跟踪足迹发现的信息类型包括帐户详细信息、操作系统和其他软件版本、括帐户详细信息、操作系统和其他软件版本、服务器名称和数据库方案的详细信息。服务器名称和数据库方案的详细信息。有助于防止跟踪足迹的对策包括:有助于防止跟踪足迹的对策包括: 禁用不必要
112、的协议。禁用不必要的协议。 采用相应的防火墙配置来锁定端口。采用相应的防火墙配置来锁定端口。 使用使用 TCP/IP TCP/IP 和和 IPSec IPSec 筛选器以进行深度防筛选器以进行深度防 配置配置 IIS IIS 以防止通过标志攫取泄漏信息。以防止通过标志攫取泄漏信息。 使用可配置的使用可配置的 IDS IDS 来识别跟踪足迹模式并拒绝来识别跟踪足迹模式并拒绝可疑通信。可疑通信。素时背巡舒獭廊庐洗蜘磅翟榨秩筋太泼焕经凭鞭禽乾硼解拘鞠龟卢哈谷绎第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义82返回返回密码破解:密码破解:如果攻击者无法与服务器建立匿名如果攻击者无
113、法与服务器建立匿名连接,他或她将尝试建立经过身份验证的连接。连接,他或她将尝试建立经过身份验证的连接。因此,攻击者必须知道一个有效的用户名和密因此,攻击者必须知道一个有效的用户名和密码组合。如果您使用默认帐户名,则为攻击者码组合。如果您使用默认帐户名,则为攻击者创造了开始的机会。然后,攻击者只需破解帐创造了开始的机会。然后,攻击者只需破解帐户的密码。使用空密码或弱密码会使攻击者的户的密码。使用空密码或弱密码会使攻击者的工作变得更加容易。工作变得更加容易。有助于防止密码破解的对策包括:有助于防止密码破解的对策包括: 对所有帐户类型使用强密码。对所有帐户类型使用强密码。 对于最终用户帐户使用锁定策
114、略,以限制可用来对于最终用户帐户使用锁定策略,以限制可用来猜密码的重试次数。猜密码的重试次数。 不要使用默认帐户名,并且重命名标准帐户,如不要使用默认帐户名,并且重命名标准帐户,如管理员帐户和许多管理员帐户和许多 Web Web 应用程序所使用的匿名应用程序所使用的匿名 Internet Internet 用户帐户。用户帐户。 审核失败登录是否属于劫持密码尝试模式。审核失败登录是否属于劫持密码尝试模式。必力喘限奢泵嘉疹墨耻鲁围笛叶又槽墟取送檀遭忆买曼啡颅降撅涯在赫围第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义83返回返回拒绝服务:拒绝服务:以基础结构内的几个目标为目的的
115、以基础结构内的几个目标为目的的许多方法都可以实现拒绝服务。在主机上,攻许多方法都可以实现拒绝服务。在主机上,攻击者可以通过强力攻击应用程序来中断服务,击者可以通过强力攻击应用程序来中断服务,或者攻击者知道您的应用程序所在的服务中或或者攻击者知道您的应用程序所在的服务中或运行服务器的操作系统中所存在的漏洞。运行服务器的操作系统中所存在的漏洞。有助于防止拒绝服务的对策包括:有助于防止拒绝服务的对策包括: 以防止拒绝服务为目标,配置您的应用程序、服以防止拒绝服务为目标,配置您的应用程序、服务和操作系统。务和操作系统。 通过修补程序和安全更新保持最新状态。通过修补程序和安全更新保持最新状态。 针对拒绝
116、服务,强化针对拒绝服务,强化 TCP/IP TCP/IP 堆栈。堆栈。 确保您的帐户锁定策略不能用来锁定众所周知的确保您的帐户锁定策略不能用来锁定众所周知的服务帐户。服务帐户。 确保您的应用程序能够处理大容量通信,且设置确保您的应用程序能够处理大容量通信,且设置了阈值以处理反常的高负载。了阈值以处理反常的高负载。 检查您的应用程序的故障转移功能。检查您的应用程序的故障转移功能。 使用使用 IDS IDS 可检测潜在的拒绝服务攻击。可检测潜在的拒绝服务攻击。侨谱御单矿涕饯裙蝉参躇回娟都偏章针丹俭撤荷吞觅庙无泼幕州迭釜橡煤第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义84返回
117、返回任意代码执行:任意代码执行:如果攻击者可以在您的服务器如果攻击者可以在您的服务器上执行恶意代码,则攻击者或者危及服务器资上执行恶意代码,则攻击者或者危及服务器资源的安全,或者继续攻击下游系统。如果攻击源的安全,或者继续攻击下游系统。如果攻击者代码运行所在的服务器进程越权,则任意代者代码运行所在的服务器进程越权,则任意代码执行所造成的危险更大。常见漏洞包括弱码执行所造成的危险更大。常见漏洞包括弱 IID IID 配置和无修补程序的服务器,这将允许路配置和无修补程序的服务器,这将允许路径遍历和缓冲区溢出攻击,都可能导致任意代径遍历和缓冲区溢出攻击,都可能导致任意代码执行。码执行。有助于防止任意
118、代码执行的对策包括:有助于防止任意代码执行的对策包括: 将将 IIS IIS 配置为拒绝带有配置为拒绝带有“././” 的的 URL URL,以防,以防止路径遍历。止路径遍历。 锁定具有受限制的锁定具有受限制的 ACL ACL 的系统命令和实用程序。的系统命令和实用程序。 通过修补程序和更新保持最新状态,以确保快速通过修补程序和更新保持最新状态,以确保快速修补新近发现的缓冲区溢出。修补新近发现的缓冲区溢出。彰颜幼职项膏奉抽涣捧浦肄邢岳塔氯胀努硒猿伺凄步辆由猩钾堂牟推受渺第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义85返回返回未授权访问:未授权访问:不充分的访问控制会允许
119、未授权不充分的访问控制会允许未授权用户访问受限制的信息或执行受限制的操作。用户访问受限制的信息或执行受限制的操作。常见漏洞包括弱常见漏洞包括弱 IIS Web IIS Web 访问控制,其中包含访问控制,其中包含 Web Web 权限和弱权限和弱 NTFS NTFS 权限。权限。有助于防止未授权访问的对策包括:有助于防止未授权访问的对策包括: 配置安全的配置安全的 Web Web 权限。权限。 锁定具有受限制的锁定具有受限制的 NTFS NTFS 权限的文件和文件夹。权限的文件和文件夹。 在在 ASP.NET ASP.NET 应用程序内使用应用程序内使用 .NET Framework .NET
120、 Framework 访问控制机制,包括访问控制机制,包括 URL URL 授权和主要权限要求。授权和主要权限要求。倦弯稽奥晾赴装茄操路罚戳委戎费魔娱蓟棋蚌浪坐空纠鹊涧犯攘似之臼恩第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义86返回返回六、应用程序威胁和对策六、应用程序威胁和对策类别威胁输入验证缓冲区溢出;跨站点脚本;类别威胁输入验证缓冲区溢出;跨站点脚本;SQL SQL 插入;插入;标准化身份验证网络偷听;强力攻击;字典攻击;标准化身份验证网络偷听;强力攻击;字典攻击;Cookie Cookie 重播;凭证偷窃授权特权提升;机密数据泄漏;重播;凭证偷窃授权特权提升;机
121、密数据泄漏;数据篡改;诱惑攻击配置管理未授权访问管理界面;未数据篡改;诱惑攻击配置管理未授权访问管理界面;未授权访问配置存储区;检索明文配置数据;缺少各自的授权访问配置存储区;检索明文配置数据;缺少各自的可说明性;越权进程和服务帐户敏感数据访问存储区中可说明性;越权进程和服务帐户敏感数据访问存储区中的敏感数据;网络偷听;数据篡改会话管理会话劫持;的敏感数据;网络偷听;数据篡改会话管理会话劫持;会话重播;会话重播;man in the middle man in the middle 攻击加密不完善的密钥攻击加密不完善的密钥生成或密钥管理;弱加密或自定义加密参数操纵查询字生成或密钥管理;弱加密或
122、自定义加密参数操纵查询字符串操纵:表格字段操纵;符串操纵:表格字段操纵;Cookie Cookie 操纵;操纵;HTTP HTTP 头操纵头操纵异常管理信息泄漏;拒绝服务审核和记录用户拒绝执行异常管理信息泄漏;拒绝服务审核和记录用户拒绝执行操作;攻击者利用应用程序而不留踪迹;攻击者掩盖其操作;攻击者利用应用程序而不留踪迹;攻击者掩盖其踪迹踪迹分析应用程序级别威胁的较好方法是将其按照应用程序分析应用程序级别威胁的较好方法是将其按照应用程序漏洞类别来组织。漏洞类别来组织。挟憾壹志窃焰爆殖虾贮端愚饵劝悟琵花陡划每海密荔颊凌京貌吐黑掺岁配第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全
123、语义87返回返回输入验证输入验证如果攻击者发现您的应用程序对输入数据的类如果攻击者发现您的应用程序对输入数据的类型、长度、格式或范围进行了无理由的假设,型、长度、格式或范围进行了无理由的假设,则输入验证是一个安全问题。攻击者然后便可则输入验证是一个安全问题。攻击者然后便可提供精心设计的输入,从而危及您的应用程序提供精心设计的输入,从而危及您的应用程序的安全。的安全。当网络和主机级别入口点完全安全时,您的应当网络和主机级别入口点完全安全时,您的应用程序所暴露的公共接口则成为攻击的唯一来用程序所暴露的公共接口则成为攻击的唯一来源。对您的应用程序进行输入既是测试系统的源。对您的应用程序进行输入既是测
124、试系统的方法,也是执行对于攻击者有益的代码的方法。方法,也是执行对于攻击者有益的代码的方法。您的应用程序会盲目信任输入吗?如果是这样,您的应用程序会盲目信任输入吗?如果是这样,则您的应用程序可能容易受下列情况的影响:则您的应用程序可能容易受下列情况的影响: 缓冲区溢出缓冲区溢出 跨站点脚本跨站点脚本 SQL SQL 插入插入 标准化下标准化下一部分将详细说明这些漏洞,包括使其成为可一部分将详细说明这些漏洞,包括使其成为可能的原因。能的原因。嘴龙帚攒宪坍指够圣廷奶锚届纵池晌瞄勺谅擎彦火秘俊筷馆惨酚嚼券潭糯第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义88返回返回3.3.2
125、3.3.2 威胁建模威胁建模威胁建模:威胁建模:威胁建模是一种系统性的方法,寻威胁建模是一种系统性的方法,寻找威胁与弱点,对现存的威胁进行识别和评找威胁与弱点,对现存的威胁进行识别和评估。从代表最强大风险的威胁开始,按照逻估。从代表最强大风险的威胁开始,按照逻辑顺序使用相应的对策破除攻击。辑顺序使用相应的对策破除攻击。椭泛澳振椽燎巳邢场闲浙核藐周薛酮丁痊茧魄银换妮吻亏息戍劲兼隙澜哎第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义89返回返回资产:资产:具有价值的资源,如数据库中或文件系统具有价值的资源,如数据库中或文件系统上的数据,或者是系统资源。上的数据,或者是系统资源。
126、威胁:威胁:可能危害资产的潜在发生(恶意或非恶意)可能危害资产的潜在发生(恶意或非恶意)漏洞:漏洞:使威胁成为可能的弱点。使威胁成为可能的弱点。攻击:攻击:所执行的危害资产的操作。所执行的危害资产的操作。对策:对策:用以解除威胁并减轻危险的安全措施。用以解除威胁并减轻危险的安全措施。一、威胁建模组成要素一、威胁建模组成要素玖亨朽都屡绳俐震闭棍汇链少阎翱滓苑员咯茹蜗乒荒染轩格勃线婴背屹滑第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义90返回返回威胁建模在系统设计的早期阶段启动、威胁建模在系统设计的早期阶段启动、贯穿于整个应用程序生命周期的一个迭贯穿于整个应用程序生命周期的一
127、个迭代过程。代过程。微软威胁建模步骤:微软威胁建模步骤:(共(共6 6步)步)一、微软威胁建模过程一、微软威胁建模过程开潮宠蛮找蛾挡怨把唯串庙路涣鼻爷甘页簧攻霉杂政匿搓防殉案群甜毛右第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义91返回返回威胁模型的流程威胁模型的流程威胁模型的流程威胁模型的流程1.1.识别资产识别资产2. 2. 建立体系结构概述建立体系结构概述3. 3. 分解应用分解应用4. 4. 识别威胁识别威胁5. 5. 将威胁存档将威胁存档6. 6. 评估威胁评估威胁结构化的方法结构化的方法:辨别威胁找出对策 省沏间种讳邱郭彝驼腹敢饥邻牵团泼灸御漓科熊爆犬班慷戴榆
128、籍苏汇跌氧第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义92返回返回威胁建模过程概述威胁建模过程概述 v识别资产:识别资产:识别系统必须进行保护的有价值识别系统必须进行保护的有价值的资产。的资产。v创建体系结构概述:创建体系结构概述:使用简单的图表可以将使用简单的图表可以将应用程序的体系结构记录在文档中,包括子应用程序的体系结构记录在文档中,包括子系统、信任边界和数据流。系统、信任边界和数据流。v分解应用程序:分解应用程序:分解应用程序的体系结构分解应用程序的体系结构(包括基础网络和主机构造设计),以创建(包括基础网络和主机构造设计),以创建应用程序的安全配置文件。安全配
129、置文件旨应用程序的安全配置文件。安全配置文件旨在发现应用程序的设计、实现或部署配置中在发现应用程序的设计、实现或部署配置中的安全漏洞。的安全漏洞。刀民缠缠额霖么兰泅尚狠面叉厚尼呼袭置拾忍侗桅峰释谍炊焕尚顽峡食牢第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义93返回返回v识别威胁:识别威胁:始终记住攻击者的目标、了解应始终记住攻击者的目标、了解应用程序的体系结构和潜在的安全漏洞、识别用程序的体系结构和潜在的安全漏洞、识别可能影响应用程序的威胁。可能影响应用程序的威胁。v用文档记录威胁:用文档记录威胁:使用定义了一组核心属性使用定义了一组核心属性以捕获每个威胁的常用威胁模板,
130、将每个威以捕获每个威胁的常用威胁模板,将每个威胁记录在文档中。胁记录在文档中。v评估威胁:评估威胁:对威胁进行评估,以便对威胁进对威胁进行评估,以便对威胁进行优先级排列,并首先致力于解决最明显的行优先级排列,并首先致力于解决最明显的威胁。这些威胁代表最强大的风险。评估过威胁。这些威胁代表最强大的风险。评估过程对威胁的可能性进行评估,以防止发生攻程对威胁的可能性进行评估,以防止发生攻击而带来的损害。击而带来的损害。圃侠攻扇及僵尤帕酬逃皮撬奶弱炕宵魏妮湛躬解原坝煽甘呼抿匝至嘘梨保第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义94返回返回威胁建模过程详解:威胁建模过程详解:v识
131、别资产识别资产识别需要保护的资产。一般范围包括后台识别需要保护的资产。一般范围包括后台数据库、中间商务逻辑与服务协同、前端数据库、中间商务逻辑与服务协同、前端应用程序接口。例如,在后台数据库中,应用程序接口。例如,在后台数据库中,客户订单、订单数据、资金帐户数据等资客户订单、订单数据、资金帐户数据等资产。在中间商务逻辑与服务协同中,资金产。在中间商务逻辑与服务协同中,资金流通事务中,资金流通事务、货物流通事流通事务中,资金流通事务、货物流通事务、商务中介事务、法律委托事务等资产。务、商务中介事务、法律委托事务等资产。在前端应用接口中,网页、在前端应用接口中,网页、GUIGUI客户端及其客户端及
132、其配置。配置。久假怎犁袍夫刺曼鸭所磅闽峻俗乃速属诬涪澜毙今圣肯羽宅豹巴仪棍革供第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义95返回返回创建体系结构概述创建体系结构概述v此步骤的目标是介绍应用程序的功能、应用此步骤的目标是介绍应用程序的功能、应用程序的体系结构、物理部署配置以及构成解程序的体系结构、物理部署配置以及构成解决方案的技术。您应当在应用程序的设计或决方案的技术。您应当在应用程序的设计或实现中不断查找潜在的安全漏洞。实现中不断查找潜在的安全漏洞。在该步骤中,需要执行以下任务:在该步骤中,需要执行以下任务:识别应用程序的功能。识别应用程序的功能。创建体系结构图表。创
133、建体系结构图表。识别技术。识别技术。肇付隧雾优匝栖咕浅诉脑浦蛹戊舷吵焊渊爷熄钞恨肺苑辐饥底瞧避角产蹦第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义96返回返回识别应用程序的功能识别应用程序的功能v识别应用程序的功能以及应用程序如何使用识别应用程序的功能以及应用程序如何使用并访问资产。文档使用案例来帮助您和其他并访问资产。文档使用案例来帮助您和其他人理解如何使用应用程序,还可以帮助您避人理解如何使用应用程序,还可以帮助您避免应用程序被错误地使用。使用案例可以将免应用程序被错误地使用。使用案例可以将应用程序的功能放在具体环境中考虑。应用程序的功能放在具体环境中考虑。例:某自助
134、员工人力资源应用程序的一些例:某自助员工人力资源应用程序的一些样例使用案例。样例使用案例。员工将查看财务数据。员工将查看财务数据。员工将更新个人数据。员工将更新个人数据。经理将查看员工详细资料。经理将查看员工详细资料。汇航摊率扣泼祸科垦娠阀册恃钡信爱大疚冠蘑皿梢暗倡胡庇匠付芍沙捶伞第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义97返回返回创建体系结构图表创建体系结构图表v创建高水平的体系结构图表,用于说明应用创建高水平的体系结构图表,用于说明应用程序的物理部署特性和应用程序及其子系统程序的物理部署特性和应用程序及其子系统的组成和结构。根据系统的复杂性,您可能的组成和结构。
135、根据系统的复杂性,您可能需要创建附加图表,以着重说明不同部分。需要创建附加图表,以着重说明不同部分。例如,一个图表用于构造中级应用程序服务例如,一个图表用于构造中级应用程序服务器的体系结构模型,另一个图表用于构造与器的体系结构模型,另一个图表用于构造与外部系统交互作用的模型。外部系统交互作用的模型。巧喝契堕字炯劣耸励竹疚婿尸堰挚远观罩粥坡瞎配仰汐映媳婚色嚷问残朽第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义98返回返回v首先绘制一张草图,用于说明系统及其子首先绘制一张草图,用于说明系统及其子系统的组成和结构以及系统特性。然后,系统的组成和结构以及系统特性。然后,通过添加有
136、关通过添加有关信任边界信任边界、验证和验证机制验证和验证机制的详细信息来完善此图,并注明何时需要的详细信息来完善此图,并注明何时需要这些信息。这些信息。谁鳖痊苗抠唱蜘宠戒祥沛滞组召垣缓埋扁饮描蹋相擞兑箕戳踏碟分央遏押第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义99返回返回应用程序体系结构图应用程序体系结构图 检嫂材阅袱惭蘸鲜嗜谨苞迫抬幕淬穷芬倔缨迈充瘁棕磅掀佃器郝苟傀亿貉第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义100返回返回识别技术识别技术v识别是用于实现应用程序的特定技术。识别是用于实现应用程序的特定技术。将抽象的威胁映射为与技术细节相关的
137、将抽象的威胁映射为与技术细节相关的威胁,助于形成正确和最适合的缓解方威胁,助于形成正确和最适合的缓解方案。当前,数据库应用的常规技术包括案。当前,数据库应用的常规技术包括ASP.NetASP.Net、Web Web 服务、企业服务、服务、企业服务、MicrosoftMicrosoft远程远程. Net . Net 和和 ADO. Net ADO. Net、JavaJava、JSP/PHPJSP/PHP等。另外,识别技术容等。另外,识别技术容易忽略的因素是应用程序将调用对不安易忽略的因素是应用程序将调用对不安全代码的调用。全代码的调用。炼饺怎咆丈鸭洋联槽娩祁汉孩蛇送蓖沦圭毁罪以协滁琶匣辗从舟枝遏
138、后酝第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义101返回返回实现技术技术技术/ /平台平台实现详细信息实现详细信息Microsoft Windows Microsoft Windows Advanced Server Advanced Server 2000 2000 上的上的 Microsoft Microsoft SQL ServerSQL Server包括登录、数据库用包括登录、数据库用户、用户定义的数据户、用户定义的数据库功能、表、存储的库功能、表、存储的过程、视图、约束和过程、视图、约束和触发器。触发器。Microsoft .NET Microsoft .N
139、ET FrameworkFramework用于表单身份验证。用于表单身份验证。安全的安全的 Sockets Sockets Layer (SSL)Layer (SSL)用于加密用于加密 HTTP HTTP 通信。通信。柯械舍兴融尧碍坊煤仪澎绝哨戏莲三衫湾毒太峦刃戍蕊因俐拔肇磅皮灾把第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义102返回返回分解应用程序分解应用程序v在此步骤中,您将应用程序分解,以便基于在此步骤中,您将应用程序分解,以便基于安全漏洞的传统领域,创建应用程序的安全安全漏洞的传统领域,创建应用程序的安全配置文件。您还将产生识别配置文件。您还将产生识别信任边界、
140、数据信任边界、数据流、入口点和特权代码流、入口点和特权代码。对应用程序了解得。对应用程序了解得越深入,就越容易发现威胁。越深入,就越容易发现威胁。罪踞刻蛋畦咋否恒谤局疼庄慨凸歪个陋年趋燎头练朋喇沈胞肥心源桓腕莉第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义103返回返回 应用程序分解的目标应用程序分解的目标 皮签轿穿柠烟风纫妥润史挞滑夷刹笋兄恃壕携网碌嚷钒氰寞涸缚甲系如驴第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义104返回返回在该步骤中,需要执行以下任务:在该步骤中,需要执行以下任务:v识别信任边界。识别信任边界。v识别数据流。识别数据流。v识别
141、入口点。识别入口点。v识别特权代码。识别特权代码。v说明安全配置文件。说明安全配置文件。积哨博荷贤靛舷励浙象室呛玖糕淖毗颅折套诚抹娟牢蓬夫货重书棵哄诱猿第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义105返回返回识别信任边界识别信任边界v识别包含应用程序的每个有形资产的边界。识别包含应用程序的每个有形资产的边界。对于每个子系统,请考虑是否信任上游数据对于每个子系统,请考虑是否信任上游数据流或用户输入,如果不信任,请考虑如何对流或用户输入,如果不信任,请考虑如何对数据流和输入进行验证并授权。还要考虑是数据流和输入进行验证并授权。还要考虑是否信任函数调用,如果不信任,请考虑如
142、何否信任函数调用,如果不信任,请考虑如何对函数调用进行验证并授权。您必须能够确对函数调用进行验证并授权。您必须能够确保相应的安全措施可以将所有入口点保护在保相应的安全措施可以将所有入口点保护在特定的信任边界内,并确保所有入口点可以特定的信任边界内,并确保所有入口点可以充分验证通过信任边界的所有数据的有效性。充分验证通过信任边界的所有数据的有效性。债狠脐噶然矩俄殷夏霓惠斌冒沽铰腮侗夜铬号生亨抚戎门昭备曰磁镀朋昂第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义106返回返回识别数据流识别数据流v简单的方法是从最高级别开始,然后通过分简单的方法是从最高级别开始,然后通过分析各个子
143、系统之间的数据流来反复分解应用析各个子系统之间的数据流来反复分解应用程序。越过信任边界的数据流是至关重要的,程序。越过信任边界的数据流是至关重要的,因为越过了自己的信任边界的代码应当假定因为越过了自己的信任边界的代码应当假定数据是恶意的并执行数据有效性的完全验证。数据是恶意的并执行数据有效性的完全验证。v注意:数据流图表注意:数据流图表 (DFD) (DFD) 和顺序图表有助和顺序图表有助于对系统进行正式的分解。于对系统进行正式的分解。巳例众术船袄柯是七淫联憎鹤额婉议铡诅受若停亏棺早丸洋哀炎南棠骂豆第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义107返回返回识别入口点识别
144、入口点v应用程序的入口点同时提供了攻击的入口点。应用程序的入口点同时提供了攻击的入口点。入口点可能包括用于侦听入口点可能包括用于侦听 HTTP HTTP 请求的前端请求的前端 Web Web 应用程序。此入口点本来是要暴露给客应用程序。此入口点本来是要暴露给客户端。其他入口点(例如,由跨越应用程序户端。其他入口点(例如,由跨越应用程序各个层的子组件所暴露的内部入口点)的存各个层的子组件所暴露的内部入口点)的存在仅用于支持与其他组件之间的内部通信。在仅用于支持与其他组件之间的内部通信。但是,您应知道这些入口点的位置,以及它但是,您应知道这些入口点的位置,以及它们接收的输入的类型,以防止攻击者试图
145、绕们接收的输入的类型,以防止攻击者试图绕过应用程序的前门而直接攻击内部的入口点。过应用程序的前门而直接攻击内部的入口点。焊滥抉析阐钙听肃势袋包婉度化远刘椰升芬框佐笑沂矣肖胎统杭挠根琴组第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义108返回返回v对于每个入口点,您应当能够确定提对于每个入口点,您应当能够确定提供授权和验证级别的安全措施的类型。供授权和验证级别的安全措施的类型。v逻辑应用程序入口点包括网页提供的逻辑应用程序入口点包括网页提供的用户界面、用户界面、Web Web 服务提供的服务界面、服务提供的服务界面、服务组件和服务组件和 .NET .NET 远程组件以及提供
146、异远程组件以及提供异步入口点的消息队列。物理或平台入口步入口点的消息队列。物理或平台入口点包括端口和点包括端口和 Sockets Sockets。趴抛解漠岸专夺颁沛倔哪掇伊密妓慌铡挠约斧胖毕副淀畔筐含化刁听蛤姓第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义109返回返回识别特权代码识别特权代码v特权代码可以访问特殊安全资源,并特权代码可以访问特殊安全资源,并执行其他特权操作的代码。常见的安全执行其他特权操作的代码。常见的安全资源类型包括资源类型包括 DNS DNS 服务器、目录服务服务器、目录服务器、环境变量、事件日志、文件系统、器、环境变量、事件日志、文件系统、消息队列
147、、性能计数器、打印机、注册消息队列、性能计数器、打印机、注册表、表、Sockets Sockets 和和 Web Web 服务。安全操作服务。安全操作包括无人管理的代码呼叫、映像、序列包括无人管理的代码呼叫、映像、序列化、代码访问安全权限和代码访问安全化、代码访问安全权限和代码访问安全策略的处理(包括证据)。策略的处理(包括证据)。肇诞短泄欧晋洁零膏愁采淀堂浚嵌脏臀栖炳骚水饥侠型痢嫌牺男量领酬私第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义110返回返回代码访问安全策略必须授予特权代码相应的代代码访问安全策略必须授予特权代码相应的代码访问安全权限。特权代码必须确保其包含的
148、码访问安全权限。特权代码必须确保其包含的资源和操作不会暴露给不受信任的和潜在的恶资源和操作不会暴露给不受信任的和潜在的恶意的代码。意的代码。.NET .NET 框架代码访问安全性通过执行框架代码访问安全性通过执行堆栈通道来验证授予给呼叫代码的权限。但是,堆栈通道来验证授予给呼叫代码的权限。但是,有时有必要覆盖此操作,不执行完全的堆栈过有时有必要覆盖此操作,不执行完全的堆栈过程。例如,当您想限制特权代码或隔离特权代程。例如,当您想限制特权代码或隔离特权代码时。这样操作将开放您的代码以引诱攻击,码时。这样操作将开放您的代码以引诱攻击,在攻击中,恶意的代码将通过受信任的中间代在攻击中,恶意的代码将通
149、过受信任的中间代码来呼叫您的代码。码来呼叫您的代码。无论何时您覆盖由代码访问安全提供的缺省的无论何时您覆盖由代码访问安全提供的缺省的安全操作时,请谨慎,并采取相应的安全措施。安全操作时,请谨慎,并采取相应的安全措施。竭蛤措蚀保调船泵砌侵撩枣驻封起遵拢爽代巨街逆邑靠户贡帆饮瓮莹赛什第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义111返回返回说明安全配置文件(安全剖面)说明安全配置文件(安全剖面)v识别用于输入有效性、验证、授权、配置管识别用于输入有效性、验证、授权、配置管理的设计和实现方法,以及应用程序最容易理的设计和实现方法,以及应用程序最容易受安全漏洞影响的其他领域。通
150、过识别,您受安全漏洞影响的其他领域。通过识别,您将为应用程序创建一个安全配置文件。将为应用程序创建一个安全配置文件。v安全配置文档化。通过某种形式说明如何解安全配置文档化。通过某种形式说明如何解决系统面临的各种威胁。决系统面临的各种威胁。v下表显示了对应用程序的设计和实现的每个下表显示了对应用程序的设计和实现的每个方面进行分析时要询问的问题的种类。方面进行分析时要询问的问题的种类。狈漏瘤冠气刽野优沈牢阮搪朵巨埠甭钥僳到优眼裙饮簇窍伶票频弄凿咆苹第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义112返回返回类别考虑输入有效性所有输入数据是否均有效?攻击者是否可以向应用程序植入
151、命令或恶意的数据?数据越过独立的信任边界时是否验证数据的有效性?是否信任数据库中的数据?验证通过网络传送证书是否安全?是否使用了严格的账户策略?是否强制使用严格的密码?是否使用证书?是否为用户密码启用密码验证器?授权在应用程序的入口点使用何种安全措施?如何在数据库中强制授权?是否采用了深度防范策略?是否拒绝安全验证并仅允许基于成功的证书确认后的访问?配置管理应用程序支持何种管理界面?怎样对其进行保护?怎样对远程管理进行保护?使用何种配置存储以及如何保护其安全?敏感数据应用程序处理何种敏感数据?如何在网络和持久存储中保护其安全?使用了何种加密类型以及如何保护加密密钥的安全?会话管理会话 cook
152、ies 是如何生成的?如何保护会话的安全以防止会话拦截?如何保护持久会话状态的安全?会话通过网络时如何保护会话状态的安全?应用程序如何与会话存储进行验证?证书是否通过有线传输以及是否由应用程序维护?如果是,如何保护它们的安全?密码系统使用何种运算法则和密码技术?加密密钥包含多少字符以及如何保护其安全?应用程序如何对自身实现加密?密钥的循环周期如何?参数处理应用程序是否检测受干扰的参数?是否对格式字段、查看状态、cookie 数据和 HTTP 标题中的参数进行验证?异常处理应用程序如何处理出现的错误?是否允许异常向后继承至客户端?是否使用不包含可非法利用的信息的一般错误消息?审核与日志应用程序是
153、否在所有服务器上对各个级别的活动均进行审核?如何保护日志文件的安全?芋钟鹿毫注数杆么汝仓呀湘挝常勘讯怖峻子纯供握呢皑蠕抽琵霖扯晓斗朱第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义113返回返回步骤步骤 4 4:识别威胁:识别威胁v用威胁分类列表法:首先将通用的威胁按照用威胁分类列表法:首先将通用的威胁按照网络、主机和应用分类列出,然后将这些威网络、主机和应用分类列出,然后将这些威胁列表应用到攻击过程和以前发现的脆弱性胁列表应用到攻击过程和以前发现的脆弱性中。利用这种方法可以很快排除一些威胁,中。利用这种方法可以很快排除一些威胁,因为这些威胁不能应用到当前场景。因为这些威胁
154、不能应用到当前场景。v在威胁标识过程中要标识网络威胁、主机威在威胁标识过程中要标识网络威胁、主机威胁和应用威胁。开研讨会,集思广益胁和应用威胁。开研讨会,集思广益度则诚甫叔界哦拱拢肋厂拴娱予犀二蝶咯水赚膜挫舍豺佰女鸭酮晚志鞘河第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义114返回返回证明威胁(威胁文档化)证明威胁(威胁文档化)v要证明应用程序的威胁,请使用显示类似于要证明应用程序的威胁,请使用显示类似于以下属性的若干威胁属性的模板。威胁描述以下属性的若干威胁属性的模板。威胁描述和威胁目标是最基本的属性。此阶段不进行和威胁目标是最基本的属性。此阶段不进行危险评估。如果对已
155、识别的威胁列表进行了危险评估。如果对已识别的威胁列表进行了优先级排序,此步骤将用于威胁建模过程的优先级排序,此步骤将用于威胁建模过程的最后阶段。您可能想要包括的其他属性有:最后阶段。您可能想要包括的其他属性有:攻击技术(该技术也可以暴露被非法利用的攻击技术(该技术也可以暴露被非法利用的安全漏洞)和解决威胁所需的对策。安全漏洞)和解决威胁所需的对策。坡戎旬镁焙丹瞩麓蹋伟牵讹够掘丰脓沃辜参彬荡粗碘碉捐钦双沼逢皆馅盗第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义115返回返回威胁文档化威胁文档化威胁描述威胁描述SQL SQL 命令的植入命令的植入威胁目标威胁目标数据访问组件数据
156、访问组件风险风险攻击技术攻击技术攻击者在用户名上捆绑了攻击者在用户名上捆绑了 SQL SQL 命令,该命令用于形成命令,该命令用于形成 SQL SQL 查询查询对策对策使用常规表达以验证用户名使用常规表达以验证用户名的有效性,使用通过参数访的有效性,使用通过参数访问数据库的存储的步骤。问数据库的存储的步骤。通号拾刀遵芭载擞狄那除哭赦臣滴骋茶学犁冻赡脐痴融踌栏村虹僳嘻仇逞第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义116返回返回步骤步骤 6 6:评估威胁:评估威胁v在此步骤中,您拥有将应用到特定应用程序在此步骤中,您拥有将应用到特定应用程序脚本中的威胁列表。在最后的步骤中
157、,您要脚本中的威胁列表。在最后的步骤中,您要基于威胁造成的风险进行威胁评估。这使您基于威胁造成的风险进行威胁评估。这使您能够最先解决代表最大风险的威胁,然后解能够最先解决代表最大风险的威胁,然后解决其他威胁。实际上,从经济方面考虑,描决其他威胁。实际上,从经济方面考虑,描述出所有已识别的威胁可能并不可行。您可述出所有已识别的威胁可能并不可行。您可能要忽略某些威胁,因为它们发生的几率很能要忽略某些威胁,因为它们发生的几率很小并且如果发生所造成的损害微乎其微。小并且如果发生所造成的损害微乎其微。风险风险 = = 可能性可能性 * * 潜在的损害潜在的损害邢集哇雌窘香磊僻惩妨筹懒茅快壮搓护仲雇椅恕屿
158、赵绩测淤舒笼滁兽咕喇第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义117返回返回威胁建模过程的输出包括应用程序体系结构安威胁建模过程的输出包括应用程序体系结构安全性方面的文档以及已评估的威胁列表。它使全性方面的文档以及已评估的威胁列表。它使这些成员可以清楚地理解需要解决的威胁问题这些成员可以清楚地理解需要解决的威胁问题以及如何解决威胁问题。威胁模型有助于集中以及如何解决威胁问题。威胁模型有助于集中开发团队成员的力量,并集中解决最大的威胁。开发团队成员的力量,并集中解决最大的威胁。服滥生汹茹狮遮窥渭图窖嫡驱呕械鼓擎鳃爹莲液佐趁碧沏御黔羞荫限涝掀第三章数据库及其应用系统的安全
159、语义第三章数据库及其应用系统的安全语义118返回返回3.4 3.4 攻击树攻击树攻击树和攻击模式作用:攻击树和攻击模式作用:识别出除常规威胁以外的其他潜在威胁。识别出除常规威胁以外的其他潜在威胁。一、攻击树一、攻击树攻击树:攻击树:是一种以结构化与层次化的方式收集是一种以结构化与层次化的方式收集和记录系统上潜在的攻击的方法。和记录系统上潜在的攻击的方法。潞么兹蓄役昆挪路枝酞郊纤扎澈蛾丝秘马翼矛应雏涕掂吭搪厌膊盲护居失第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义119返回返回攻击树结构攻击树结构建立攻击树方法建立攻击树方法v用一个分级的图来表示攻击树。根节点标识用一个分级
160、的图来表示攻击树。根节点标识攻击的目标;然后添加叶节点,叶节点表示攻击的目标;然后添加叶节点,叶节点表示每种攻击的攻击方法。每种攻击的攻击方法。节点之间的关系节点之间的关系v与与- -分解:一系列子目标中,所有子目标表分解:一系列子目标中,所有子目标表示的攻击均成功实施后该节点才有效。示的攻击均成功实施后该节点才有效。v或或- -分解:一系列子目标中,任意子目标表分解:一系列子目标中,任意子目标表示的攻击均成功实施后该节点即有效。示的攻击均成功实施后该节点即有效。冤气剔经亲负割彤衅于忱秒呕筋氖温浚臂复皱分瞎秒综籍裹圣渍情郎皆犬第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义
161、120返回返回攻击树的两种表示方法攻击树的两种表示方法G0G2G1 GnG0G2G1 Gn与与-分解分解或或-分解分解GoalG0ANDG1G2GnGoalG0ORG1G2Gn图形图形图形图形方法方法方法方法文本文本文本文本方法方法方法方法疡颖汐遮怜裂品兼监拍戈死彼鄙弦儡周鳞造也粉判韧懊锣缔胺榨对悼逞婿第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义121返回返回二、攻击模式二、攻击模式攻击模式:攻击模式:是一种捕捉系统攻击信息的形式化是一种捕捉系统攻击信息的形式化方法。方法。攻击模式包括:攻击模式包括:攻击的总体目标攻击的总体目标一组先验条件一组先验条件攻击步骤与技巧攻击
162、步骤与技巧攻击效果攻击效果例如,代码植入攻击模式就是攻击模式。例如,代码植入攻击模式就是攻击模式。戊气秀研辛坟钩驼吝脂挎蠕四侣视赤雄戊冤歧眼亦擦悬凶由裴摹否股刮压第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义122返回返回代码植入的一种攻击模式攻击模式攻击模式代码植入攻击代码植入攻击攻击目标攻击目标执行植入命令或代码执行植入命令或代码所需条件所需条件来自攻击的简单输入验证代码在来自攻击的简单输入验证代码在服务器上具有足够的权限。服务器上具有足够的权限。攻击步骤与技巧攻击步骤与技巧1.1.使用输入验证漏洞在目标系使用输入验证漏洞在目标系 统上识别程序。统上识别程序。2. 2
163、. 创建要植入和运行的代码,创建要植入和运行的代码,并通过目标应用程序的安全并通过目标应用程序的安全环境来运行此代码。环境来运行此代码。3. 3. 构造输入值将代码插入目标构造输入值将代码插入目标应用程序的地址空间,应用程序的地址空间,攻击结果攻击结果执行植入命令或代码,产生恶意执行植入命令或代码,产生恶意破坏。破坏。瓜羡流世吹婚御柿莆浓蛇惮存去椰穆县林票捧哉伎跨锤孵诣珠茸巨赔假摸第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义123返回返回3.5 数据库安全的发展一、萌芽阶段二、初始时期三、标准化时期四、多样化时期张P1斋浴款哭羚是卉狸樱炔鼎伊睛晚碎胁茫力桅署埔夕毫短锐岳甫尿怪士舱诌第三章数据库及其应用系统的安全语义第三章数据库及其应用系统的安全语义124
