第三章数据访问控制刘晓梅1内容目录访问控制基本概念访问控制步骤与应用访问控制模型访问控制技术访问控制层次控制的分类访问控制的管理访问控制实践访问控制的威胁2访问控制介绍访问控制是可以帮助系统管理员直接或者间接可控地对系统行为、使用和内容实施控制的机制的集合。管理员可以根据访问控制定义用户可以访问哪些资源,可以进行哪些操作。通常,访问控制批准或者限制任何对资源的访问,监控和记录访问企图,识别访问用户,并且确定其访问是否得到授权的硬件/软件/策略。3访问控制概念访问控制:针对越权使用资源的防御措施目标:防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问,从而使资源在授权范围内使用,决定用户能做什么,也决定代表一定用户利益的程序能做什么。未授权访问:包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户对系统资源的使用合法用户对系统资源的非法使用作用:机密性、完整性、和可用性4访问控制概念访问是存在主体和客体之间的信息流访问控制是可以帮助系统管理员直接或者间接可控地对系统行为、使用和内容实施控制的机制的集合。主体:访问者(用户、程序、进程、文件、计算机)客体:访问对象(程序、进程、文件、计算机、数据库、打印机、存储介质)操作:控制主体对客体的访问权限(read,write,excute)和访问方式5访问控制概念信息分级定义评估组织的信息资产的风险等级,保障信息资产确实得到适当的安全保护。原因对所有的信息资产实施同一级别的安全保护不但可能会导致资源的浪费,而且会导致某些资产过保护而某些资产则保护力度不足。信息分级的好处极大提升组织的安全意识;关键信息被识别出来,同时得到更好的保护;对敏感信息的处理有了更清晰的指导;建立了资产的所有关系以及管理员和用户的关系;减少非敏感信息存储的开销。6访问控制概念信息分级价值(value)价值是最通常的数据分类标准,如果信息对一个组织或者其竞争对手有价值,就需要分类。寿命(age)随着时间的推移,信息价值会降低,其分类也会降低。例如,政府部门,某些分类档案会在预定的时间期限过后自动解除分类。使用期(usefullife)如果由于新信息的替代、公司发生的真实变化或者其他原因,信息过时了,可以对其解除分类。人员关联(personnelassociation)如果信息与特定个人相关,或者法律(如隐私法)、规章和责任要求中指出的,需要分类。例如,如果调查信息揭示了调查者的名字,就需要保留分类。7访问控制概念信息分级所有者(owner)通常是管理层的一员,对信息的保护和使用负有最终的责任;负有“适度关注(duecare)”责任,保障信息得到合适的安全控制;决定信息的安全级别;指派管理员数据日常保护以及维护的职责。管理者(custodian)负责数据的日常保护和维护;通常由IT人员担当;负有“适度勤勉(duediligence)”责任;日产工作包括周期的备份、恢复以及验证数据的完整性。用户(user)在相关工作中使用数据的任何人。8内容目录访问控制基本概念访问控制步骤与应用访问控制模型访问控制技术访问控制层次控制的分类访问控制的管理访问控制实践访问控制的威胁9访问控制的步骤1、Identification:宣称用户的身份确定用户:确定用户是管理资源的第一步;标示谁有访问权限;访问权限与用户的需要和信任的级别。2、Authentication:验证用户的身份确定资源:资源可是信息、应用、服务、打印机、存储处理以及任何信息资产;确定资源的CIA。3、Authorization:指定使用确定用户的级别或者是控制级别;确定用户许可的操作。4、Accountability:可追溯性/责任确定员工对其行为应该承担的责任,记录了用户所做的以及时间。10身份识别唯一身份(uniqueidentity)的宣称;应用访问控制关键的第一步;是可追溯性(accountability)的前提;有关身份的三个最佳安全实践:唯一性:在一个控制环境中的独一无二的身份;非描述性的:身份标识应当不暴露用户的工作角色;发布:发布身份信息的过程必须是安全和存档的;身份标识的一般形式UserNameUserIDAccountNumberPersonalIdentificationNumber(PIN)11身份管理身份管理概述(identitymanagement)在管理不同用户和技术的环境中,提高效率的一系列技术的集合;在企业中,身份管理涉及员工身份(identity)、验证(authentication)、授权(authorization)、保护(protection)和管理(manegement);身份管理面临的挑战(challenges)一致性(consistent):输入不同系统的用户数据应当保持一致;效率(efficiency):更好的选择是一个用户名可以访问多个系统;可用性(usability):对用户而言,多个系统、多个用户名和多密码可能是个较大的负担;可靠性(Reliability):用户个人数据必须是可靠的;12身份管理身份管理技术目录(directories)包含分层的对象,存储了有关用户(user)、组(group)、系统、服务器、打印机等相关信息;Web访问管理典型的方式是在web服务器前端使用插件;密码管理(passwordmanagement)遗留的单点登录(legacysinglesignon)提供一个用户身份的集中存储,用户登录通过一次验证,然后可以访问其他系统而不需要反复验证;账号管理(accountmanagement)用户账号的创建(creation)、更改(change)、以及撤销(decommission);账户管理是访问控制最需要投入财力和时间的且有很大潜在风险的一个环节。Profileupdate:用户身份信息更新13身份管理目录技术目录服务目录服务就是按照树状信息组织模式,实现信息管理和服务接口的一种方法。目录服务系统一般由两部分组成。第一部分是数据库,一种分布式的数据库,且拥有一个描述数据的规划;第二部分则是访问和处理数据库有关的详细的访问协议。典型的方式是在web服务器前端使用插件;目录服务与关系数据库的区别目录不支持批量更新所需要的事务处理功能,目录一般只执行简单的更新操作,适合于进行大量的数据的检索;目录具有广泛复制信息的能力,从而在缩短响应时间的同时,提高了可用性和可靠性。14身份管理Web协议(即HTTP)是一个无状态的协议浏览器和服务器之间有约定:通过使用cookie技术来维护应用的状态Web-SSO完全可以利用Cookie结束来完成用户登录信息的保存,将浏览器中的Cookie和上文中的Ticket结合起来,完成SSO的功能浏览器Webserver申请页面1返回页面1申请页面2返回页面2浏览器Webserver申请页面1返回页面1,并设置cookie申请页面2,并带上cookie返回页面215鉴别验证(validate)用户宣称其身份有效的过程(process);验证的类型消息验证——一个人所知道的(whatoneknows);所有关系验证——一个人所拥有的(whatonehas);生物特征验证——一个人是什么或者做了什么(whatoneisordoes).双因素验证(twofactorsauthentication)以上任何两种因素结合;如:ATMCard+PIN,token,Creditcard+signature三因素验证(threefactorsauthentication)Includingallthreefactors16鉴别密码最常用的验证方式也是最脆弱的方式;类型:静态密码动态密码(dynamicpwd):周期变更,one-time-password;Passphrase:比密码更长,通常是个虚拟密码;认知密码:基于个人事实,兴趣以及个人相关的其他方面;密码验证存在的问题容易攻击:字典攻击(dictionaryattack)是可行攻击方式;不便利:组织通常给用户发布计算机产生的密码,往往这些密码难以记忆;可否认性(repudiable):不像一个手写的签名,如果一个交易的完成仅仅是依靠一个密码,那么没有任何实际的证据表明是某个用户完成的。17鉴别生物技术什么是生物技术Biometricsisthescienceofmeasuringandanalyzingbiologicalinformation.生物技术是度量(measures)和分析生物信息的科学。为什么使用生物技术唯一性(Unique)高级别的安全Moreadvantages:remember(whatoneknows);carriage(whatonehas);with(whatoneis)如何工作的注册(enrollment)例行工作(routinework)18鉴别生物技术身份标识(identification)使用个人可度量的生物特征(measurablephysicalcharacteristics)来证明他的身份;在许多可能的主体中标识出一个特定的主体;完成一个是一对多(onetomany)的匹配。验证(authentication)鉴别身份是生物技术最主要的应用;通过人的生物特征(biometricstraits)来验证;完成一个一对一(onetoone)的匹配。阻止欺诈(Fraudprevetion)是生物技术的另一个运用19鉴别生物技术遗传特性面部识别DNA匹配手型声音辨认Randotypictraits指纹眼睛扫描血脉模式行为特征签名分析击键动作20鉴别生物技术度量对生物系统的准确性(accuracy)或敏感度(sensitivity)的调整将导致两类错误:第一类错误(假阳性,falsepositive)当精确度提高后,一些合法用户将错误的拒绝;错误拒绝率,错误拒绝率越低,生物鉴别系统越好。第二类错误(假阴性,falsenegative)当精确性降低时,那么一些非法的用户将可能会被错误接受;错误接受率,错误接受率越低,生物鉴别系统越好。生物系统的度量错误交叉率(CER,crossequalrate),相当错误率(EER,equalerrorrate)错误交叉率越低,那么生物系统的性能越好FARFRRSensitivity%CER21鉴别生物技术度量优化生物技术(optimalCER)其他方面的考虑对伪造的抵制数据存储需求用户可接受度可用性和精确性22鉴别令牌令牌设备是常见的一次性密码(One-TimePassword,OTP)实现机制,为用户生成向身份验证服务器提交的一次性密码。令牌设备与用户访问的计算机分离,它与身份验证服务器以某种方式同步,从而对用户进行身份验证。同步模式基于时间同步基于计数器同步异步模式23鉴别令牌操作模式基于时间同步模式图1图224鉴别令牌操作模式异步模式挑战/响应(1)工作站上显示挑战值(2)用户将挑战值输入令牌设备(3)令牌设备向用户提供一个不同的值(4)用户将新值和PIN输入工作站(5)新值发送至服务器上的身份验证服务(6)身份验证服务期望特定值(7)用户通过身份验证并被允许访问工作站1.2.3.4.5.25应用单点登录(singlesignon)一旦验证通过就可以访问其他网络资源;Kerberos一种网络验证协议(networkauthenticationprotocol),由MIT的雅典娜项目开发;SESAMESecureEuropeanSystemforApplicationsinaMulti-VendorsEnvironment;解决Kerboros的一