数据访问控制..

确定用户：确定用户是管理资源的第一步；标示谁有访问权限；访问
权限与用户的需要和信任的级别。
2、Authentication：验证用户的身份

确定资源：资源可是信息、应用、服务、打印机、存储处理以及任何
信息资产；确定资源的CIA。
3、Authorization：指定使用

确定用户的级别或者是控制级别；确定用户许可的操作。
12
身份管理
身份管理技术
目录（directories）

包含分层的对象，存储了有关用户（user）、组（group）、系统、服务器、打印机等相 关信息；
Web访问管理

典型的方式是在web服务器前端使用插件；
密码管理（password management） 遗留的单点登录（legacy single sign on）
3
访问控制概念
访问控制：针对越权使用资源的防御措施
目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未
授权的访问，从而使资源在授权范围内使用，决定用户能做什么，也 决定代表一定用户利益的程序能做什么。
未授权访问：包括未经授权的使用、泄露、修改、销毁信息以及颁发
指令等。

非法用户对系统资源的使用 合法用户对系统资源的非法使用


验证（authentication）

鉴别身份是生物技术最主要的应用； 通过人的生物特征（biometrics traits）来验证； 完成一个一对一（one to one）的匹配。


阻止欺诈（Fraud prevetion）是生物技术的另一个运用
19
鉴别
生物技术 遗传特性

面部识别 DNA匹配 手型 声音辨认

作用：机密性、完整性、和可用性
4
访问控制概念
访问是存在主体和客体之间的信息流
访问控制是可以帮助系统管理员直接或者间接可控地对系统行为、使
用和内容实施控制的机制的集合。

主体：访问者（用户、程序、进程、文件、计算机） 客体：访问对象（程序、进程、文件、计算机、数据库、打印机、存储介质） 操作：控制主体对客体的访问权限（read,write,excute）和访问方式


5
访问控制概念
信息分级
定义

评估组织的信息资产的风险等级，保障信息资产确实得到适当的安全保护。
原因

对所有的信息资产实施同一级别的安全保护不但可能会导致资源的浪费，而且会 导致某些资产过保护而某些资产则保护力度不足。
信息分级的好处

极大提升组织的安全意识； 关键信息被识别出来，同时得到更好的保护； 对敏感信息的处理有了更清晰的指导； 建立了资产的所有关系以及管理员和用户的关系；


发布：发布身份信息的过程必须是安全和存档的；
身份标识的一般形式

UserName

User ID
Account Number Personal Identification Number(PIN)
11


身份管理
身份管理概述（identity management）

在管理不同用户和技术的环境中，提高效率的一系列技术的集合； 在企业中，身份管理涉及员工身份（identity）、验证（authentication）、授权 （authorization）、保护（protection）和管理（manegement）;
容易攻击：字典攻击（dictionary attack）是可行攻击方式；

不便利：组织通常给用户发布计算机产生的密码，往往这些密码难以记忆；
可否认性（repudiable）:不像一个手写的签名，如果一个交易的完成仅仅是依靠一个密 码，那么没有任何实际的证据表明是某个用户完成的。

17
鉴别
生物技术 什么是生物技术

当精确性降低时，那么一些非法的用户将
可能会被错误接受； 错误接受率，错误接受率越低，生物鉴别 系统越好。
% FAR FRR
生物系统的度量

CER Sensitivity
错误交叉率（CER ，cross equal rate），相 当错误率（EER ,equal error rate） 错误交叉率越低，那么生物系统的性能越好


双因素验证（two factors authentication）

以上任何两种因素结合； 如：ATM Card+PIN，token, Credit card+signature

三因素验证（three factors authentication）

Including all three factors
15
鉴别
验证（validate）用户宣称其身份有效的过程（process）； 验证的类型

消息验证——一个人所知道的（what one knows）; 所有关系验证——一个人所拥有的（what one has）; 生物特征验证——一个人是什么或者做了什么（what one is or does）.



Randotypic traits

指纹 眼睛扫描


血脉模式
行为特征

签名分析 击键动作
20

鉴别
生物技术度量 对生物系统的准确性（accuracy）或敏感度（sensitivity）的调整将导致 两类错误：

第一类错误（假阳性，false positive）
当精确度提高后，一些合法用户将错误的拒绝； 错误拒绝率，错误拒绝率越低，生物鉴别系统越好。 第二类错误（假阴性，false negative）



用户（user）

在相关工作中使用数据的任何人。
8
内容目录
访问控制基本概念 访问控制步骤与应用 访问控制模型 访问控制技术
访问控制层次
控制的分类 访问控制的管理 访问控制实践 访问控制的威胁
9
访问控制的步骤
1、Identification：宣称用户的身份

身份管理面临的挑战（challenges）

一致性（consistent）:输入不同系统的用户数据应当保持一致；
效率（efficiency）:更好的选择是一个用户名可以访问多个系统； 可用性（usability）：对用户而言，多个系统、多个用户名和多密码可能是个较大的 负担；



可靠性（Reliability）:用户个人数据必须是可靠的；
13
Profile update:用户身份信息更新
身份管理
目录技术 目录服务

目录服务就是按照树状信息组织模式，实现信息管理和服务接口的一种方法。目录服务系 统一般由两部分组成。第一部分是数据库，一种分布式的数据库，且拥有一个描述数据的 规划；第二部分则是访问和处理数据库有关的详细的访问协议。
从而对用户进行身份验证。
同步模式

基于时间同步 基于计数器同步
异பைடு நூலகம்模式
23
鉴别
令牌操作模式 基于时间同步模式
图1
图2
24
鉴别
令牌操作模式 异步模式 挑战/响应
1.
5.
4. 2. (1)工作站上显示挑战值 3. （2）用户将挑战值输入令牌设备 （3）令牌设备向用户提供一个不同的值 （4）用户将新值和PIN输入工作站 （5）新值发送至服务器上的身份验证服务 （6）身份验证服务期望特定值 （7）用户通过身份验证并被允许访问工作站 25
申请页面1 浏览器 返回页面1 申请页面2 Web server
返回页面2
浏览器和服务器之间有约定：通过使用cookie技术来维护应用的状态
申请页面1 浏览器 返回页面1，并设置cookie 申请页面2，并带上cookie 返回页面2 Web server
Web-SSO完全可以利用Cookie结束来完成用户登录信息的保存，将浏览器中 的Cookie和上文中的Ticket结合起来，完成SSO的功能

Biometrics is the science of measuring and analyzing biological information. 生物技术是度量（measures）和分析生物信息的科学。

为什么使用生物技术

唯一性(Unique) 高级别的安全 More advantages:remember(what one knows);carriage(what one has);with(what one is)
第三章 数据访问控制
刘晓梅
1
内容目录
访问控制基本概念 访问控制步骤与应用 访问控制模型 访问控制技术 访问控制层次
控制的分类
访问控制的管理 访问控制实践 访问控制的威胁
2
访问控制介绍
访问控制是可以帮助系统管理员直接或者间接可控地 对系统行为、使用和内容实施控制的机制的集合。 管理员可以根据访问控制定义用户可以访问哪些资源， 可以进行哪些操作。 通常，访问控制批准或者限制任何对资源的访问，监 控和记录访问企图，识别访问用户，并且确定其访问是否 得到授权的硬件/软件/策略。

如果由于新信息的替代、公司发生的真实变化或者其他原因，信息过时了， 可以对其解除分类。
人员关联（personnel association）

如果信息与特定个人相关，或者法律（如隐私法）、规章和责任要求中指出
的，需要分类。例如，如果调查信息揭示了调查者的名字，就需要保留分类。 7
访问控制概念

提供一个用户身份的集中存储，用户登录通过一次验证，然后可以访问其他系统而不需要
反复验证；
账号管理（account management）

用户账号的创建（creation）、更改（change）、以及撤销（decommission）； 账户管理是访问控制最需要投入财力和时间的且有很大潜在风险的一个环节。


如何工作的

注册（enrollment） 例行工作（routine work）

18
鉴别
生物技术 身份标识（identification）

使用个人可度量的生物特征（measurable physical characteristics）来证明他的身份； 在许多可能的主体中标识出一个特定的主体； 完成一个是一对多（one to many）的匹配。
4、Accountability：可追溯性/责任

确定员工对其行为应该承担的责任，记录了用户所做的以及时间。
10
身份识别
唯一身份（unique identity）的宣称；
应用访问控制关键的第一步； 是可追溯性（accountability）的前提； 有关身份的三个最佳安全实践：

唯一性：在一个控制环境中的独一无二的身份； 非描述性的：身份标识应当不暴露用户的工作角色；
21

鉴别
生物技术度量 优化生物技术（optimal CER） 其他方面的考虑

对伪造的抵制 数据存储需求 用户可接受度 可用性和精确性



22
鉴别
令牌
令牌设备是常见的一次性密码（One-Time Password,OTP）实现机制，为用 户生成向身份验证服务器提交的一次性密码。 令牌设备与用户访问的计算机分离，它与身份验证服务器以某种方式同步，

典型的方式是在web服务器前端使用插件；
目录服务与关系数据库的区别

目录不支持批量更新所需要的事务处理功能，目录一般只执行简单的更新操作，适合于进
行大量的数据的检索；

目录具有广泛复制信息的能力，从而在缩短响应时间的同时，提高了可用性和可靠性。
14
身份管理
Web协议（即HTTP）是一个无状态的协议




减少非敏感信息存储的开销。
6
访问控制概念
信息分级
价值（value）

价值是最通常的数据分类标准，如果信息对一个组织或者其竞争对手有价值， 就需要分类。
寿命（age）

随着时间的推移，信息价值会降低，其分类也会降低。例如，政府部门，某 些分类档案会在预定的时间期限过后自动解除分类。
使用期（useful life）
信息分级
所有者（owner）

通常是管理层的一员，对信息的保护和使用负有最终的责任； 负有“适度关注（due care）”责任，保障信息得到合适的安全控制； 决定信息的安全级别； 指派管理员数据日常保护以及维护的职责。



管理者（custodian）

负责数据的日常保护和维护； 通常由IT人员担当； 负有“适度勤勉（due diligence）”责任； 日产工作包括周期的备份、恢复以及验证数据的完整性。
16
鉴别
密码 最常用的验证方式也是最脆弱的方式； 类型：

静态密码 动态密码（dynamic pwd）：周期变更，one-time-password; Pass phrase：比密码更长，通常是个虚拟密码； 认知密码：基于个人事实，兴趣以及个人相关的其他方面；



密码验证存在的问题