数据访问控制

第三章数据访问控制刘晓梅1内容目录访问控制基本概念访问控制步骤与应用访问控制模型访问控制技术访问控制层次控制的分类访问控制的管理访问控制实践访问控制的威胁2访问控制介绍

访问控制是可以帮助系统管理员直接或者间接可控地对系统行为、使用和内容实施控制的机制的集合。管理员可以根据访问控制定义用户可以访问哪些资源，可以进行哪些操作。通常，访问控制批准或者限制任何对资源的访问，监控和记录访问企图，识别访问用户，并且确定其访问是否得到授权的硬件/软件/策略。3访问控制概念访问控制：针对越权使用资源的防御措施目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问，从而使资源在授权范围内使用，决定用户能做什么，也决定代表一定用户利益的程序能做什么。未授权访问：包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户对系统资源的使用合法用户对系统资源的非法使用作用：机密性、完整性、和可用性4访问控制概念访问是存在主体和客体之间的信息流访问控制是可以帮助系统管理员直接或者间接可控地对系统行为、使用和内容实施控制的机制的集合。主体：访问者（用户、程序、进程、文件、计算机）客体：访问对象（程序、进程、文件、计算机、数据库、打印机、存储介质）操作：控制主体对客体的访问权限（read,write,excute）和访问方式5访问控制概念信息分级定义评估组织的信息资产的风险等级，保障信息资产确实得到适当的安全保护。原因对所有的信息资产实施同一级别的安全保护不但可能会导致资源的浪费，而且会导致某些资产过保护而某些资产则保护力度不足。信息分级的好处极大提升组织的安全意识；关键信息被识别出来，同时得到更好的保护；对敏感信息的处理有了更清晰的指导；建立了资产的所有关系以及管理员和用户的关系；减少非敏感信息存储的开销。6访问控制概念信息分级价值（value）价值是最通常的数据分类标准，如果信息对一个组织或者其竞争对手有价值，就需要分类。寿命（age）随着时间的推移，信息价值会降低，其分类也会降低。例如，政府部门，某些分类档案会在预定的时间期限过后自动解除分类。使用期（usefullife）如果由于新信息的替代、公司发生的真实变化或者其他原因，信息过时了，可以对其解除分类。人员关联（personnelassociation）如果信息与特定个人相关，或者法律（如隐私法）、规章和责任要求中指出的，需要分类。例如，如果调查信息揭示了调查者的名字，就需要保留分类。7访问控制概念信息分级所有者（owner）通常是管理层的一员，对信息的保护和使用负有最终的责任；负有“适度关注（duecare）”责任，保障信息得到合适的安全控制；决定信息的安全级别；指派管理员数据日常保护以及维护的职责。管理者（custodian）负责数据的日常保护和维护；通常由IT人员担当；负有“适度勤勉（duediligence）”责任；日产工作包括周期的备份、恢复以及验证数据的完整性。用户（user）在相关工作中使用数据的任何人。8内容目录访问控制基本概念访问控制步骤与应用访问控制模型访问控制技术访问控制层次控制的分类访问控制的管理访问控制实践访问控制的威胁9访问控制的步骤1、Identification：宣称用户的身份确定用户：确定用户是管理资源的第一步；标示谁有访问权限；访问权限与用户的需要和信任的级别。2、Authentication：验证用户的身份确定资源：资源可是信息、应用、服务、打印机、存储处理以及任何信息资产；确定资源的CIA。3、Authorization：指定使用确定用户的级别或者是控制级别；确定用户许可的操作。4、Accountability：可追溯性/责任确定员工对其行为应该承担的责任，记录了用户所做的以及时间。10身份识别唯一身份（uniqueidentity）的宣称；应用访问控制关键的第一步；是可追溯性（accountability）的前提；有关身份的三个最佳安全实践：唯一性：在一个控制环境中的独一无二的身份；非描述性的：身份标识应当不暴露用户的工作角色；发布：发布身份信息的过程必须是安全和存档的；身份标识的一般形式UserNameUserIDAccountNumberPersonalIdentificationNumber(PIN)11身份管理身份管理概述（identitymanagement）在管理不同用户和技术的环境中，提高效率的一系列技术的集合；在企业中，身份管理涉及员工身份（identity）、验证（authentication）、授权（authorization）、保护（protection）和管理（manegement）;身份管理面临的挑战（challenges）一致性（consistent）:输入不同系统的用户数据应当保持一致；效率（efficiency）:更好的选择是一个用户名可以访问多个系统；可用性（usability）：对用户而言，多个系统、多个用户名和多密码可能是个较大的负担；可靠性（Reliability）:用户个人数据必须是可靠的；12身份管理身份管理技术目录（directories）包含分层的对象，存储了有关用户（user）、组（group）、系统、服务器、打印机等相关信息；Web访问管理典型的方式是在web服务器前端使用插件；密码管理（passwordmanagement）遗留的单点登录（legacysinglesignon）提供一个用户身份的集中存储，用户登录通过一次验证，然后可以访问其他系统而不需要反复验证；账号管理（accountmanagement）用户账号的创建（creation）、更改（change）、以及撤销（decommission）；账户管理是访问控制最需要投入财力和时间的且有很大潜在风险的一个环节。Profileupdate:用户身份信息更新13身份管理目录技术目录服务目录服务就是按照树状信息组织模式，实现信息管理和服务接口的一种方法。目录服务系统一般由两部分组成。第一部分是数据库，一种分布式的数据库，且拥有一个描述数据的规划；第二部分则是访问和处理数据库有关的详细的访问协议。典型的方式是在web服务器前端使用插件；目录服务与关系数据库的区别目录不支持批量更新所需要的事务处理功能，目录一般只执行简单的更新操作，适合于进行大量的数据的检索；目录具有广泛复制信息的能力，从而在缩短响应时间的同时，提高了可用性和可靠性。14身份管理Web协议（即HTTP）是一个无状态的协议浏览器和服务器之间有约定：通过使用cookie技术来维护应用的状态Web-SSO完全可以利用Cookie结束来完成用户登录信息的保存，将浏览器中的Cookie和上文中的Ticket结合起来，完成SSO的功能浏览器Webserver申请页面1返回页面1申请页面2返回页面2浏览器Webserver申请页面1返回页面1，并设置cookie申请页面2，并带上cookie返回页面215鉴别验证（validate）用户宣称其身份有效的过程（process）；验证的类型消息验证——一个人所知道的（whatoneknows）;所有关系验证——一个人所拥有的（whatonehas）;生物特征验证——一个人是什么或者做了什么（whatoneisordoes）.双因素验证（twofactorsauthentication）以上任何两种因素结合；如：ATMCard+PIN，token,Creditcard+signature三因素验证（threefactorsauthentication）Includingallthreefactors16鉴别密码最常用的验证方式也是最脆弱的方式；类型：静态密码动态密码（dynamicpwd）：周期变更，one-time-password;Passphrase：比密码更长，通常是个虚拟密码；认知密码：基于个人事实，兴趣以及个人相关的其他方面；密码验证存在的问题容易攻击：字典攻击（dictionaryattack）是可行攻击方式；不便利：组织通常给用户发布计算机产生的密码，往往这些密码难以记忆；可否认性（repudiable）:不像一个手写的签名，如果一个交易的完成仅仅是依靠一个密码，那么没有任何实际的证据表明是某个用户完成的。17鉴别生物技术什么是生物技术Biometricsisthescienceofmeasuringandanalyzingbiologicalinformation.生物技术是度量（measures）和分析生物信息的科学。为什么使用生物技术唯一性(Unique)高级别的安全Moreadvantages:remember(whatoneknows);carriage(whatonehas);with(whatoneis)如何工作的注册（enrollment）例行工作（routinework）18鉴别生物技术身份标识（identification）使用个人可度量的生物特征（measurablephysicalcharacteristics）来证明他的身份；在许多可能的主体中标识出一个特定的主体；完成一个是一对多（onetomany）的匹配。验证（authentication）鉴别身份是生物技术最主要的应用；通过人的生物特征（biometricstraits）来验证；完成一个一对一（onetoone）的匹配。阻止欺诈（Fraudprevetion）是生物技术的另一个运用19鉴别生物技术遗传特性面部识别DNA匹配手型声音辨认Randotypictraits指纹眼睛扫描血脉模式行为特征签名分析击键动作20鉴别生物技术度量对生物系统的准确性（accuracy）或敏感度（sensitivity）的调整将导致两类错误：第一类错误（假阳性，falsepositive）当精确度提高后，一些合法用户将错误的拒绝；错误拒绝率，错误拒绝率越低，生物鉴别系统越好。第二类错误（假阴性，falsenegative）当精确性降低时，那么一些非法的用户将

可能会被错误接受；错误接受率，错误接受率越低，生物鉴别

系统越好。生物系统的度量错误交叉率（CER，crossequalrate），相

当错误率（EER,equalerrorrate）错误交叉率越低，那么生物系统的性能越好FARFRRSensitivity%CER21鉴别生物技术度量优化生物技术（optimalCER）其他方面的考虑对伪造的抵制数据存储需求用户可接受度可用性和精确性22鉴别令牌令牌设备是常见的一次性密码（One-TimePassword,OTP）实现机制，为用户生成向身份验证服务器提交的一次性密码。令牌设备与用户访问的计算机分离，它与身份验证服务器以某种方式同步，从而对用户进行身份验证。同步模式基于时间同步基于计数器同步异步模式23鉴别令牌操作模式基于时间同步模式图1图224鉴别令牌操作模式异步模式挑战/响应

(1)工作站上显示挑战值

（2）用户将挑战值输入令牌设备

（3）令牌设备向用户提供一个不同的值

（4）用户将新值和PIN输入工作站

（5）新值发送至服务器上的身份验证服务

（6）身份验证服务期望特定值

（7）用户通过身份验证并被允许访问工作站

.5.25应用单点登录（singlesignon）一旦验证通过就可以访问其他网络资源；Kerberos一种网络验证协议（networkauthenticationprotocol）,由MIT的雅典娜项目开发；SESAMESecureEuropeanSystemforApplicationsinaMulti-VendorsEnvironment;解决Kerboros的一些缺点；安全域（securitydomain）在共享统一的安全策略和管理的领域（realm）之间建立信任；访问主客体以及相关操作事先定义好的；26应用单点登录（singlesignon）单点登录技术使用户输入一次凭证就能够访问指定域内的所有预授权资源。实施更健壮的密码策略27应用单点登录实现LoginScripts登陆脚本脚本里面包含用户名、口令、环境参数、登录命令的批处理文件或者脚本KerberosSESAME(SecureEuropeanSystemforApplicationsinaMulti-VendorsEnvironment)瘦客户机目录服务，如LDAP、DNS、ActiveDirectory28应用KerberosKerberos鉴别系统MIT设计，Athena工程的一部分，名字来源于希腊神话，一只名叫Kerberos的三头狗，是地狱的门卫，Currentlyinversion5鉴别和密钥分发两个目的对主机上的多种服务提供不可伪造的证书，以识别单个用户每个用户和每个服务都与Kerberos密钥分发中心共享一个密钥，这些密钥作为分发会话密钥的主密钥，也作为KDC的证据，保证包含在报文中的信息的正确性能够解决的问题身份认证（Authentication），数据完整性（Integrity），保密性（Confidentiality）在使用Kerberos之前，必须和服务器互换秘密密钥（secretkey）,当你连接到系统，告诉服务器你的用户ID，服务器会返回一个经过加密的票据（ticket）。如果你的身份无误，你自然知道密钥并解密票据，最终你会取得信息的访问权，否则你的访问请求会遭到拒绝。29应用Kerberos组成KDC（KeyDistributionCenter）保存所有用户及服务的key，提供认证服务和key交换功能，client和service信任KDC，这种信任是Kerberos安全的基础。AS（AuthenticationService）是KDC的一部分，负责认证PrincipalTGS（TicketGrantingService）也是KDC的一部分，负责生成ticket并处理之（授权）Ticket一个记录，客户可以用它来向服务器证明自己的身份，其中包括客户的标识、会话密钥、时间戳，以及其他一些信息。Ticket中的大多数信息都被加密。Principal主体，由KDC提供安全服务的实体，可能是用户、应用程序或services30应用Kerberos组成两种票据票据许可票据（Ticketgrantingticket）客户访问TGS服务器需要提供的票据，目的是为了申请某一个应用服务器的“服务许可票据”；票据许可票据由AS发放；服务许可票据（Servicegrantingticket）是客户时需要提供的票据；31应用Kerberos通信过程（1）用户向AS进行身份验证（2）AS向用户发送初始票证TGT（3）用户请求访问文件服务器（4）TGS使用会话密钥创建新的票证，两个实例（5）用户提取一个会话密钥，并将票证发送至文件服务器用户委托人KDCASTGS（1）（2）（3）（4）文件服务器委托人（5）32应用Kerberos总结在KDC上用户必须有一个账号KDC必须是一个受信任的服务器KDC与每一个用户共享DES密钥当用户访问主机或者应用时，必须向KDC申请票据用户向应用提供票据和身份验证33应用Kerberos弱点KDC可以是一个单一故障点KDC必须能够实时处理接受到的大量请求Kerberos要求客户端和服务器的时钟同步秘密密钥、会话密钥存放在用户工作站中，容易受到攻击（DES）34内容目录访问控制基本概念访问控制步骤与应用访问控制模型访问控制技术访问控制层次控制的分类访问控制的管理访问控制实践访问控制的威胁35访问控制模型介绍自主访问控制（DAC,DiscretionaryAccessControl）访问是基于用户的授权对象的属主创建或授予其他用户访问的权利主要应用是把保护数据同非授权用户分离依靠对象属主（owner）来控制访问桔皮书：C-levelUsedbyUnix,NT,NetWare,Linux,VINES等DAC类型：Identity-base：基于用户和资源标识User-directed：直接面向用户进行限制36访问控制模型介绍Identity-baseAC身份型访问控制基于对象标识标识既可以是用户又可以是组成员数据所有者可以选择允许Bob（用户）和Accounting组（组成员）访问他的文件37访问控制模型介绍强制访问控制（MAC，Mandatory

access

control）一般来说，比DAC更安全指定每个客体的敏感标签，同时只允许那些不低于客体标签等级的用户访问只有管理员才能更改客体级别，而不是客体的属主桔皮书：B-level使用在安全要求比较高的场所，如军队里强制访问控制难以配置和实施38访问控制模型介绍强制访问控制MACSecurityPolicy:Public:仅能访问PublicLevelOfficers:能访问Officers和PublicLevelExecutive：能访问Public、fficers和ExecutiveLevelUser：JohnSubjectLevel：OfficersUser：AmySubjectLevel：PublicUser：MarySubjectLevel：ExecutiveReports.docSensitivityLevel：Officers39访问控制模型介绍基于角色访问控制（RBAC，Role-BasedAccessControl）使用集中（central）的访问控制来决定主体和客体之间的交互；允许对资源的访问是建立在用户所持的角色的基础上的；管理员给用户分配较色同时给角色赋予一定权限，比如访问控制是以工作职责为基础的；控制机制：用户具有某个角色、赋予角色某些权限40访问控制模型介绍基于角色访问控制（RBAC）职责分离（separateofduty）主要目的是防止欺诈和错误；对于某一特定操作在多个用户细分工作任务和相关的权限；建立检查-平衡机制（check-balancemechanism）,相互监督工作轮换，双重控制(dualcontrol)，双人操作(two-mancontrol)，强制休假(mandatoryvacation)最小特权(leastprivilege)要求用户或进程被给予不超过其工作需要的额外的操作权限识别用户的工作职责，以及完成该工作所需的最小权限集Need-to-know41访问控制模型介绍基于角色访问控制（RBAC）静态和动态静态职责分离相对简单，是由单个的工作角色以及指派给用户的一些特定的角色的元素来决定；动态职责分离比较复杂，在系统的操作过程中决定。适用性必须考虑两大不同因素：职能的敏感性和工作处理流程的分发特性评估指定处理的重要性以及同企业安全风险、操作和信息资产的关系；分发元素识别元素，重要性和严重程度可操作性用户技能和可用性42访问控制模型介绍核心RBAC用户、角色、权限应根据安全策略进行定义和对应用户和角色是一对多的关系用户可以属于多个组，并拥有每个组所享有的各种特权43访问控制模型介绍层次化RBAC该模型对应特定环境中的组织机构和功能描述。各种业务已经建立在一个人员层次化结构中，所以该组件非常有用。行政管理系统中的位置越高，所拥有的访问权限就越多。44访问控制模型介绍访问控制模型总结：DAC：数据所有者决定谁能访问资源，ACL用于实施安全策略MAC：操作系统通过使用安全标签来实施系统的安全策略RBAC：访问决策基于主体的角色或功能位置45内容目录访问控制基本概念访问控制步骤与应用访问控制模型访问控制技术访问控制层次控制的分类访问控制的管理访问控制实践访问控制的威胁46访问控制技术介绍基于规则的访问控制使用特定规则来规定主体和客体之间可以做什么，不可以做什么系统管理员为用户创建规则指定权限基于以下规则：IfXthenY创建一套规则，用户在访问系统前都要先检测规则是一种强制型控制，规则由管理员制定，用户不能更改典型应用：路由器、包过滤防火墙、代理47访问控制技术介绍限制接口例：menusandshells、databaseviews、physicallyconstrainedinterfaces基于内容的访问控制对客体的访问基于客体的内容基于上下文的访问控制基于一组信息的上下文做出访问决策48访问控制技术介绍访问控制矩阵(AccessControlMatrix)访问能力表(CapabilityTables)访问控制列表（AccessControlLists）目标用户目标x目标y目标z用户aR、W、OwnR、W、Own用户bR、W、Own用户cRR、W用户dRR、W49内容目录访问控制基本概念访问控制步骤与应用访问控制模型访问控制技术访问控制层次控制的分类访问控制的管理访问控制实践访问控制的威胁50访问控制层次访问控制列表需要用户名和密码进行身份验证入侵检测系统周边安全51内容目录访问控制基本概念访问控制步骤与应用访问控制模型访问控制技术访问控制层次控制的分类访问控制的管理访问控制实践访问控制的威胁52控制分类介绍管理性的（administrative）描述了控制系统所有的行为、策略和管理；定义了管理控制环境的角色、责任、策略以及管理职能。技术的（technical）落实安全策略的应用在所有基础设施和系统上的各种机制；在控制被应用以及验证的控制环境中的电子控制手段。物理的（physical）非技术性的环境，涉及广泛的控制范围，从门禁、环境控制窗口、建设标准以及门卫等。53控制分类介绍预防性的（preventative）阻止未授权行为，预防安全事件的发生；例：栅栏、安全策略、安全意识（securityawareness）、反病毒、身份识别、鉴别；威慑性的（deterrent）阻碍安全事件发生；例：潜在的处罚、身份识别、监视和审计（monitoringandauditing）;检测性的（detective）识别正在发生的安全事件（securityevents）例：门卫（guard）、事件调查（incidentsinbestigation）、入侵检测（IDS）纠正性的（corrective）改善环境/减少损失和恢复控制；恢复性的（recovery）恢复到正常的状态补偿性的（compensating）54内容目录访问控制基本概念访问控制步骤与应用访问控制模型访问控制技术访问控制层次控制的分类访问控制的管理访问控制实践访问控制的威胁55访问控制集中管理访问控制集中管理集中式访问控制所有的授权和校验工作集中在单一实体或位置上优点严格控制，统一访问，高效方便缺点中心负载，单点故障例子RADIUS（RemoteAuthenticationDial-inUserService）-centralizedserverforsinglepointofnetworkauthenticationTACACS(TerminalAccessControllerAccessControlSystem)-centralizeddatabasewithaccountsthatauthorizesdatarequests56访问控制集中管理RADIUS远程拨入用户认证服务认证服务器/动态密码提供密码管理功能可以实现认证、授权、日志57访问控制集中管理TACACSTerminalAccessControllerAccessControlSystem与RADIUS一样，包含集中数据库，在服务器端验证用户使网络设备能够根据用户名和静态密码认证用户实现3A，认证、授权和审计三个版本TACACS:网络设备查询服务器验证密码ExtendedTACACS（XTACACS）TACACS+增加了（动态密码）通过安全令牌实现双因素认证

58访问控制集中管理TACACS59访问控制集中管理RADIUSTACACS+数据包传输UDPTCP数据包加密仅加密在RADIUS客户端与RADIUS服务器之间传送的认证信息加密客户端与服务器之间的所有流量AAA支持组合身份验证和授权服务使用AAA体系结构，分离身份验证、授权和审计多协议支持在PPP连接上工作支持其他协议，如AppleTalk、NetBIOS和IPX响应在对某位用户进行身份验证时使用挑战/响应；它适用于所有AAA活动对每个AAA进程都使用多挑战响应；每个AAA活动都必须进行身份验证60

访问控制分散管理

访问控制分散管理分散的访问控制资源所有者决定访问控制优点：根据用户授权，不存在单点缺点：缺乏一致性61内容目录访问控制基本概念访问控制步骤与应用访问控制模型访问控制技术访问控制层次控制的分类访问控制的管理访问控制实践访问控制的威胁62访问控制实践拒绝未知用户或匿名账户对系统的访问限制和监控管理员以及其他高级账户的使用在登陆尝试失败次数达到特定值后挂起或延迟访问功能用户一离开公司，就立刻删除他的账户实施“知其所需”和最小特权原则禁止不必要的系统功能、服务和端口更换为账户设置的默认密码限制和监控全局访问规则确保登录ID不是对工作职能的描述从资源访问列表中删除多余的用户ID、账户和角色型账户实现密码需求（长度、内容、生命期、分发、存储和传输）。63内容目录访问控制基本概念访问控制步骤与应用访问控制模型访问控制技术访问控制层次控制的分类访问控制的管理访问控制实践访问控制的威胁64访问控制的威胁针对访问控制的攻击Bruteforce暴力攻击应对措施：增加登陆时间间隔，锁定用户，限制登陆失败IP等字典攻击应对措施：使用一次性密码令牌、使用非常难以猜测的密码、频繁更换密码、使用字典破译工具来查找用户选定的弱密码、在密码内使用特殊的字符、数字以及大小写字母等拒绝服务攻