数据库及其应用系统的安全语义.ppt

第3章 数据库及其应用系统的安全语义 数据库及其应用系统的安全语义 3.1 安全的基本体系 通常认为信息安全具备五个基本特征(即五个主要属性要 素)，分别是机密性、完整性、可用性、非抵赖性、可控 性。 其中，机密性、完整性和可用性是信息安全的核心 三要素。 随着信息安全的扩展，又提出了一些属性要素：鉴别 性、实用性、占有性、可审计性、可存活性、免疫性 等。 3.1 安全的基本体系 GB/T9387.2定义了五大类安全服务，也称为安全防护措施， 分别是： 鉴别服务 访问控制服务 机密性服务 完整性服务 抗抵赖服务 3.1 安全的基本体系 对于端端通信，Web Services定义了如下服务： 鉴别服务 授权服务 数据机密和完整性服务 事务及通信完整性服务 抗抵赖服务 端端完整及消息机密性服务 审计跟踪服务 安全策略分布式强制服务 跨域身份服务 分布式策略服务 信任策略服务 安全发现服务 信任及发现服务 安全消息服务 3.1 安全的基本体系 OMG(Object Management Group)是对象规范标准化组织授权服务。 OMG安全服务包括主体身份和认证服务、授权与访问控制服务、安全审计服务、代理服务、安全通信服务、抗抵赖服务、域服务、安全信息管理服务。 OMG主体身份与认证服务分为三种：基于无代理身份策略、基于可控代理身份及权限策略、基于无限制代理身份策略。 3.1 安全的基本体系 ISO 7498-2提出了八类安全机制，用于实现五种基本服务： 加密机制 数字签名机制 访问控制机制 数据完整性机制 鉴别交换机制 通信业务填充机制 路由控制机制 公证机制 3.1 安全的基本体系 为了支持系统安全需求、支持不同安全等级，ISO 7498-2还提出 了五类安全机制，分别是： 可信功能 安全标记 事件检测 安全审计跟踪 安全恢复 3.1 安全的基本体系 作为主流集成技术，Web Services的安全机制构筑在 现有安全机制之上，包括： XML签名 XML加密 WSS安全机制 XML密钥管理机制 SAML安全机制 XACML安全机制 联邦身份机制 3.1 安全的基本体系 通用安全服务应用程序接口的全称是Generic Security Service Application Program Interface，缩写为GSS- API ，可用于在调用者和被调用者之间以受保护的通信协 议形式提供通信认证性、机密性和完整性服务。 GSS-API的典型数据流程见课本52页。 3.1 安全的基本体系 GSS-API 的主要子构件包括凭证、令牌、安全上下文、命名及信道绑定。 GSS-API具有的主要特征是状态报告、服务选择、每消息安全服务可用性、每消息重放检测与排序、质量保护、匿名支持、自初始化、上下文建立过程中每消息保护、健壮性、代理性、进程间的上下文传递。 3.1 安全的基本体系 以上各中安全语义在实际应用中具有不同的针对性和适用性： 安全特性对数据库及其应用系统的总体安全特征给予清晰刻画，规定了系统需要着重处理的安全问题特征。 Web Services安全服务、OMG安全服务为数据库及其应用系统的集成提供了良好的框架和公共交互协议，相关服务的定义分别偏重于考虑整个系统的组织与关联、对象之间的协同与关联。 安全基本服务则从模块化和功能角度出发分解和定义如何解决安全问题，提供了以他解决安全问题的一套规范化功能模块。 基本安全机制是实现各种安全服务的底层参考模型，与一些通用的安全范式和安全算法直接相关。 Web Services安全机制重点考虑如何灵活规范的使用XML表示和封装安全范式及安全算法中的各种组成要素， 通用安全服务应用程序接口GSS-API则从程序开发角度为代码的重用、集成、互换提供了一套基本过程与函数定义。 3.2 系统安全基本原则 数据库及其应用系统是特殊的应用系统，需要遵守系统安全的一些 基本原则。 隔离原则 最小特权原则 纵深防御原则 用户输入不信任原则 关卡检查原则 失效保护原则 最弱连接安全化原则 建立默认安全原则 减少攻击面原则 3.3 威胁模型 威胁模型从潜在的破坏角度出发，为确保数据库及其应用系统安全提供了参考，可以用来发现数据库及其应用系统的安全漏洞。 1995年D.B.Parker描述的威胁模型认为可用性和实用性的主要威胁包括破坏、损害、污染、否认、拖延、迟滞。完整性和鉴别性的主要威胁包括进入/使用/生产错误数据、修改、替换、重排序、篡改、拒绝、滥用。机密性和占有性的主要威胁是访问、泄露、监控、拷贝、盗窃。 3.3 威胁模型 以上威胁状态称为暴露于威胁，可以描述为六个损失场 景： 第一个场景主要针对可用性 第二个场景主要针对实用性 第三个场景主要针对完整性 第四个场景主要针对鉴别性 第五个场景主要针对机密