數(shù)據(jù)庫安全性與完整性

第九章

數(shù)據(jù)庫安全性與完整性9.1計算機安全性概論9.2數(shù)據(jù)庫安全性控制9.3實體的完整性9.4參照完整性9.5用戶定義的完整性9.6完整性約束命名子句數(shù)據(jù)庫的一大特點是數(shù)據(jù)可以共享，但數(shù)據(jù)共享必然帶來數(shù)據(jù)庫的安全性問題；數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)共享不能是無條件的共享；例：軍事秘密、國家機密、新產(chǎn)品實驗數(shù)據(jù)、

市場需求分析、市場營銷策略、銷售計劃、

客戶檔案、醫(yī)療檔案、銀行儲蓄數(shù)據(jù)數(shù)據(jù)庫中數(shù)據(jù)的共享是在DBMS統(tǒng)一的嚴格的控制之下的共享，即只允許有合法使用權(quán)限的用戶訪問允許他存取的數(shù)據(jù)；數(shù)據(jù)庫系統(tǒng)的安全保護措施是否有效是數(shù)據(jù)庫系統(tǒng)主要的性能指標(biāo)之一。問題的提出什么是數(shù)據(jù)庫的安全性什么是數(shù)據(jù)的保密數(shù)據(jù)庫的安全性是指保護數(shù)據(jù)庫，防止因用戶非法使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞。數(shù)據(jù)保密是指用戶合法地訪問到機密數(shù)據(jù)后能否對這些數(shù)據(jù)保密。通過制訂法律道德準(zhǔn)則和政策法規(guī)來保證。9.1計算機安全性概論9.1.1計算機系統(tǒng)的三類安全性問題

三類計算機系統(tǒng)安全性問題

技術(shù)安全類管理安全類政策法律類指計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護，當(dāng)計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露。軟硬件意外故障、場地的意外事故、管理不善導(dǎo)致的計算機設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題政府部門建立的有關(guān)計算機犯罪、數(shù)據(jù)安全保密的法律道德準(zhǔn)則和政策法規(guī)、法令數(shù)據(jù)庫安全性控制（續(xù)）數(shù)據(jù)庫安全性控制的常用方法用戶標(biāo)識和鑒定存取控制視圖審計密碼存儲存取控制數(shù)據(jù)庫安全最重要的一點就是確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限，同時令所有未授權(quán)的人員無法接近數(shù)據(jù)。這主要是通過DBMS提供的存取控制機制實現(xiàn)的。在數(shù)據(jù)庫系統(tǒng)中，為了保證用戶只能訪問他有權(quán)存取的數(shù)據(jù)，必須預(yù)先對每個用戶定義存取權(quán)限。這些定義放在數(shù)據(jù)字典中，被稱為安全規(guī)則或授權(quán)規(guī)則。對于通過鑒定獲得上機權(quán)的用戶（即合法用戶），系統(tǒng)根據(jù)他的存取權(quán)限定義對他的各種操作請求進行控制，確保他只執(zhí)行合法操作用戶權(quán)限定義和合法權(quán)檢查機制一起組成了DBMS的安全子系統(tǒng)存取控制機制主要包括兩部分：

定義存取權(quán)限

合法權(quán)限檢查常用存取控制方法自主存取控制（簡稱DAC）靈活強制存取控制（簡稱

MAC）嚴格同一用戶對于不同的數(shù)據(jù)對象有不同的存取權(quán)限不同的用戶對同一對象也有不同的權(quán)限用戶還可將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶每一個數(shù)據(jù)對象被標(biāo)以一定的密級每一個用戶也被授予某一個級別的許可證對于任意一個對象，只有具有合法許可證的用戶才可以存取自主存取控制方法通過

SQL的GRANT

語句和

REVOKE

語句實現(xiàn)用戶權(quán)限組成數(shù)據(jù)對象操作類型定義用戶存取權(quán)限：定義用戶可以在哪些數(shù)據(jù)庫對象上進行哪些類型的操作定義存取權(quán)限稱為授權(quán)

對象類型對象操作類型數(shù)據(jù)庫模式CREATESCHEMA基本表CREATETABLE，ALTERTABLE模式視圖CREATEVIEW索引CREATEINDEX數(shù)據(jù)基本表和視圖SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALLPRIVILEGES屬性列SELECT，INSERT，UPDATE，REFERENCES，ALLPRIVILEGES表9.3關(guān)系數(shù)據(jù)庫系統(tǒng)中的存取權(quán)限授權(quán)與回收一、GRANTGRANT語句的一般格式：GRANT<權(quán)限>[,<權(quán)限>]...

ON<對象類型><對象名>[,<對象類型><對象名>]TO<用戶>[,<用戶>]...[WITHGRANTOPTION];語義：將對指定操作對象的指定操作權(quán)限授予指定的用戶

GRANT（續(xù)）發(fā)出GRANT：DBA數(shù)據(jù)庫對象創(chuàng)建者（即屬主Owner）擁有該權(quán)限的用戶按受權(quán)限的用戶

一個或多個具體用戶PUBLIC（全體用戶）WITHGRANTOPTION子句WITHGRANTOPTION子句:指定：可以再授予沒有指定：不能傳播不允許循環(huán)授權(quán)[例1]把查詢Student表權(quán)限授給用戶U1GRANTSELECTONTABLEStudentTOU1;[例2]把對Student表和Course表的全部權(quán)限授予用戶U2和U3GRANTALLPRIVILIGES

ONTABLEStudent,CourseTOU2,U3;[例3]把對表SC的查詢權(quán)限授予所有用戶GRANTSELECTONTABLESC TOPUBLIC;[例4]把查詢Student表和修改學(xué)生學(xué)號的權(quán)限授給用戶U4 GRANTUPDATE(Sno),SELECT ONTABLEStudent TOU4;[例5]把對表SC的INSERT權(quán)限授予U5用戶，并允許他再將此權(quán)限授予其他用戶GRANTINSERTONTABLESCTOU5

WITHGRANTOPTION;執(zhí)行例5后，U5不僅擁有了對表SC的INSERT權(quán)限，

還可以傳播此權(quán)限：[例6]GRANTINSERTONTABLESCTOU6

WITHGRANTOPTION;

同樣，U6還可以將此權(quán)限授予U7：[例7]GRANTINSERTONTABLESCTOU7;

但U7不能再傳播此權(quán)限。U5-->U6-->U7用戶權(quán)限定義表授權(quán)用戶名被授權(quán)用戶名數(shù)據(jù)庫對象名允許的操作類型能否轉(zhuǎn)授權(quán)DBAU1關(guān)系StudentSELECT不能DBAU2關(guān)系StudentALL不能DBAU2關(guān)系CourseALL不能DBAU3關(guān)系StudentALL不能DBAU3關(guān)系CourseALL不能DBAPUBLIC關(guān)系SCSELECT不能DBAU4關(guān)系StudentSELECT不能DBAU4屬性列Student.SnoUPDATE不能DBAU5關(guān)系SCINSERT能U5U6關(guān)系SCINSERT能U6U7關(guān)系SCINSERT不能二、收回權(quán)限

REVOKE一般格式：REVOKE<權(quán)限>[,<權(quán)限>]...ON<對象類型><對象名>[,<對象類型><對象名>]FROM<用戶>[,<用戶>]...[CASCADE|RESTRICT];功能：從指定用戶那里收回對指定對象的指定權(quán)限[例8]把用戶U4修改學(xué)生學(xué)號的權(quán)限收回 REVOKEUPDATE(Sno) ONTABLEStudent FROMU4;[例9]收回所有用戶對表SC的查詢權(quán)限 REVOKESELECT ONTABLESC FROMPUBLIC;[例10]把用戶U5對SC表的INSERT權(quán)限收回 REVOKEINSERT ONTABLESC FROMU5CASCADE;權(quán)限的級聯(lián)回收系統(tǒng)將收回直接或間接從U5處獲得的對SC表的INSERT權(quán)限:-->U5-->U6-->U7收回U5、U6、U7獲得的對SC表的INSERT權(quán)限:<--U5<--U6<--U7小結(jié):SQL靈活的授權(quán)機制DBA：擁有所有對象的所有權(quán)限不同的權(quán)限授予不同的用戶用戶：擁有自己建立的對象的全部的操作權(quán)限GRANT：授予其他用戶被授權(quán)的用戶“繼續(xù)授權(quán)”許可：再授予所有授予出去的權(quán)力在必要時又都可用REVOKE語句收回用戶權(quán)限定義表

執(zhí)行［例8］到［例10］的語句后，學(xué)生-課程數(shù)據(jù)庫中的用戶權(quán)限定義表授權(quán)用戶名被授權(quán)用戶名數(shù)據(jù)庫對象名允許的操作類型能否轉(zhuǎn)授權(quán)DBAU1關(guān)系StudentSELECT不能DBAU2關(guān)系StudentALL不能DBAU2關(guān)系CourseALL不能DBAU3關(guān)系StudentALL不能DBAU3關(guān)系CourseALL不能DBAU4關(guān)系StudentSELECT不能3.創(chuàng)建數(shù)據(jù)庫模式的權(quán)限對數(shù)據(jù)庫模式的授權(quán)由DBA在創(chuàng)建用戶時實現(xiàn)

創(chuàng)建用戶語句一般格式如下：

CREATEUSER<username>[WITH][DBA︱RESOURCE︱CONNECT];創(chuàng)建數(shù)據(jù)庫模式的權(quán)限（續(xù)）只有系統(tǒng)的超級用戶才有權(quán)創(chuàng)建一個新的數(shù)據(jù)庫用戶新創(chuàng)建的數(shù)據(jù)庫用戶有三種權(quán)限：CONNECT、RESOURCE和DBA命令中若沒有指定創(chuàng)建的新用戶的權(quán)限，默認該用戶擁有CONNECT權(quán)限。擁有CONNECT權(quán)限的用戶不能創(chuàng)建新用戶，不能創(chuàng)建模式，也不能創(chuàng)建基本表，只能登錄數(shù)據(jù)庫。擁有RESOURCE權(quán)限的用戶能創(chuàng)建基本表和視圖，成為所創(chuàng)建對象的屬主，但不能創(chuàng)建模式，不能創(chuàng)建新的用戶。擁有DBA權(quán)限的用戶是系統(tǒng)中的超級用戶，可以創(chuàng)建新的用戶、創(chuàng)建模式、創(chuàng)建基本表和視圖等；擁有對所有數(shù)據(jù)庫對象的存取權(quán)限，還可以把這些權(quán)限授予一般用戶。數(shù)據(jù)庫角色數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫相關(guān)的權(quán)限，角色是權(quán)限的集合。因此可以為一組具有相同權(quán)限的用戶創(chuàng)建一個角色，使用角色來管理數(shù)據(jù)庫權(quán)限可以簡化授權(quán)的過程。一、角色的創(chuàng)建GREATEROLE<角色名>；二、給角色授權(quán)GRANT<權(quán)限>[,<權(quán)限>]...ON<對象類型><對象名>]TO<角色>[,<角色>]...;三、將一個角色授予其他角色或用戶GRANT<角色1>[,<角色2>]...TO<角色3>[,<用戶1>]...[WITHADMINOPTION]；四、角色權(quán)限的收回REVOKE<權(quán)限>[,<權(quán)限>]...ON<對象類型><對象名>FROM<角色>[,<角色>]...;數(shù)據(jù)庫角色（續(xù)）[例11]通過角色來實現(xiàn)將一組權(quán)限授予一個用戶。步驟如下：1.首先創(chuàng)建一個角色

R1CREATEROLER1；2.然后使用GRANT語句，使角色R1擁有Student表的SELECT、UPDATE、INSERT權(quán)限GRANTSELECT，UPDATE，INSERTONTABLEStudentTOR1；數(shù)據(jù)庫角色（續(xù)）3.將這個角色授予王平，張明，趙玲。使他們具有角色R1所包含的全部權(quán)限GRANTR1TO王平，張明，趙玲；4.可以一次性通過R1來回收王平的這3個權(quán)限REVOKER1FROM王平；自主存取控制缺點可能存在數(shù)據(jù)的“無意泄露”原因：這種機制僅僅通過對數(shù)據(jù)的存取權(quán)限來進行安全控制，而數(shù)據(jù)本身并無安全性標(biāo)記解決：對系統(tǒng)控制下的所有主客體實施強制存取控制策略

強制存?。∕AC）控制方法在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類。主體是系統(tǒng)中的活動實體。

DBMS所管理的實際用戶；

代表用戶的各進程。客體是系統(tǒng)中的被動實體，是受主體操縱的。

文件

基表

索引

視圖敏感度標(biāo)記對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標(biāo)記（Label）。敏感度標(biāo)記分成若干級別：

絕密（TopSecret）

機密（Secret）

可信（Confidential）

公開（Public）主體的敏感度標(biāo)記稱為許可證級別（ClearanceLevel）；客體的敏感度標(biāo)記稱為密級（ClassificationLevel）；MAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體。強制存取控制規(guī)則當(dāng)某一用戶（或某一主體）以標(biāo)記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則：（1）僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體；（2）僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體。修正規(guī)則主體的許可證級別

<=客體的密級

主體能寫客體用戶可為寫入的數(shù)據(jù)對象賦予高于自己的許可證級別的密級一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對象了。規(guī)則的共同點：禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象強制存取控制的特點MAC是對數(shù)據(jù)本身進行密級標(biāo)記無論數(shù)據(jù)如何復(fù)制，標(biāo)記與數(shù)據(jù)是一個不可分的整體只有符合密級標(biāo)記要求的用戶才可以操縱數(shù)據(jù)從而提供了更高級別的安全性DAC與MACDAC與MAC共同構(gòu)成DBMS的安全機制原因：較高安全性級別提供的安全保護要包含較低級別的所有保護先進行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。數(shù)據(jù)的正確性和相容性防止不合語義的數(shù)據(jù)進入數(shù)據(jù)庫。例:學(xué)生的年齡必須是整數(shù)，取值范圍為14--29；

學(xué)生的性別只能是男或女；

學(xué)生的學(xué)號一定是唯一的；

學(xué)生所在的系必須是學(xué)校開設(shè)的系；完整性：真實地反映現(xiàn)實世界數(shù)據(jù)庫的完整性DBMS的完整性控制機制1.定義功能一個完善的完整性控制機制應(yīng)該允許用戶定義各類完整性約束條件。例：銀行數(shù)據(jù)庫中“借貸總金額應(yīng)平衡”的約束就應(yīng)該是延遲執(zhí)行的約束3.違約反應(yīng)檢查用戶發(fā)出的操作請求是否違背了完整性約束條件如果發(fā)現(xiàn)用戶的操作請求使數(shù)據(jù)違背了完整性約束條件，則采取一定的動作來保證數(shù)據(jù)的完整性。立即執(zhí)行的約束(Immediateconstraints)語句執(zhí)行完后立即檢查是否違背完整性約束

延遲執(zhí)行的約束(Deferred

constrainsts)完整性檢查延遲到整個事務(wù)執(zhí)行結(jié)束后進行2.檢查功能拒絕該操作其他處理方法實體完整性定義關(guān)系模型的實體完整性CREATETABLE中用PRIMARYKEY定義單屬性構(gòu)成的碼有兩種說明方法

定義為列級約束條件定義為表級約束條件對多個屬性構(gòu)成的碼只有一種說明方法定義為表級約束條件實體完整性定義(續(xù))(1)在列級定義主碼CREATETABLEStudent(SnoCHAR(9)PRIMARYKEY，

SnameCHAR(20)NOTNULL，

SsexCHAR(2)，SageSMALLINT，

SdeptCHAR(20));(2)在表級定義主碼CREATETABLEStudent(SnoCHAR(9)，

SnameCHAR(20)NOTNULL，

SsexCHAR(2)，SageSMALLINT，

SdeptCHAR(20)，

PRIMARYKEY(Sno));實體完整性定義(續(xù))CREATETABLESC(SnoCHAR(9)NOTNULL，

CnoCHAR(4)NOTNULL，GradeSMALLINT，PRIMARYKEY(Sno，Cno)/*只能在表級定義主碼*/);實體完整性檢查和違約處理插入或?qū)χ鞔a列進行更新操作時，RDBMS按照實體完整性規(guī)則自動進行檢查。包括：1.檢查主碼值是否唯一，如果不唯一則拒絕插入或修改2.檢查主碼的各個屬性是否為空，只要有一個為空就拒絕插入或修改實體完整性檢查和違約處理(續(xù))檢查記錄中主碼值是否唯一的方法全表掃描索引參照完整性定義例如，關(guān)系SC中一個元組表示一個學(xué)生選修的某門課程的成績，（Sno，Cno）是主碼。Sno，Cno分別參照引用Student表的主碼和Course表的主碼

CREATETABLESC(SnoCHAR(9)NOTNULL，

CnoCHAR(4)NOTNULL，GradeSMALLINT，PRIMARYKEY(Sno，Cno)，/*在表級定義實體完整性*/FOREIGNKEY(Sno)REFERENCESStudent(Sno)，/*在表級定義參照完整性*/FOREIGNKEY(Cno)REFERENCESCourse(Cno)/*在表級定義參照完整性*/);參照完整性檢查和違約處理可能破壞參照完整性的情況及違約處理被參照表（例如Student）參照表（例如SC）違約處理可能破壞參照完整性

插入元組拒絕可能破壞參照完整性

修改外碼值拒絕刪除元組

可能破壞參照完整性拒絕/級連刪除/設(shè)置為空值修改主碼值

可能破壞參照完整性拒絕/級連修改/設(shè)置為空值違約處理(續(xù))顯式說明參照完整性的違約處理示例CREATETABLESC(SnoCHAR(9)NOTNULL，

CnoCHAR(4)NOTNULL，GradeSMALLINT，PRIMARYKEY（Sno，Cno）， FOREIGNKEY(Sno)REFERENCESStudent(Sno) ONDELETECASCADE/*級聯(lián)刪除SC表中相應(yīng)的元組*/

ONUPDATECASCADE，/*級聯(lián)更新SC表中相應(yīng)的元組*/

FOREIGNKEY(Cno)REFERENCESCourse(Cno)

ONDELETENOACTION

/*當(dāng)刪除course

表中的元組造成了與SC表不一致時拒絕刪除*/

ONUPDATECASCADE

/*當(dāng)更新course表中的cno時，級聯(lián)更新SC表中相應(yīng)的元組*/

)；用戶定義的完整性用戶定義的完整性就是針對某一具體應(yīng)用的數(shù)據(jù)必須滿足的語義要求

RDBMS提供，而不必由應(yīng)用程序承擔(dān)屬性上的約束條件的定義CREATETABLE時定義列值非空（NOTNULL）列值唯一（UNIQUE）檢查列值是否滿足一個布爾表達式（CHECK）屬性上的約束條件的定義(續(xù))Student表的Ssex只允許取“男”或“女”。CREATETABLEStudent(SnoCHAR(9)PRIMARYKEY，

SnameCHAR(8)NOTNULL，

SsexCHAR(2)CHECK(SsexIN(‘男’，‘女’))

，/*性別屬性Ssex只允許取'男'或'女'*/SageSMALLINT，

SdeptCHAR(20));屬性上的約束條件檢查和違約處理插入元組或修改屬性的值時，RDBMS檢查屬性上的約束條件是否被滿足如果不滿足則操作被拒絕執(zhí)行

元組上的約束條件的定義在CREATETABLE時可以用CHECK短語定義元組上的約束條件，即元組級的限制同屬性值限制相比，元組級的限制可以設(shè)置不同屬性之間的取值的相互約束條件

元組上的約束條件的定義(續(xù))當(dāng)學(xué)生的性別是男時，其名字不能以Ms.打頭。

CREATETABLEStudent(SnoCHAR(9)，

SnameCHAR(8)NOTNULL，

SsexCHAR(2)，SageSMALLINT，

SdeptCHAR(20)，PRIMARYKEY(Sno)，

CHECK(Ssex='女'ORSnameNOTLIKE'Ms.%')/*定義了元組中Sname和

Ssex兩個屬性值之間的約束條件*/)；性別是女性的元組都能通過該項檢查，因為Ssex=‘女’成立；當(dāng)性別是男性時，要通過檢查則名字一定不能以Ms.打頭元組上的約束條件檢查和違約處理插入元組或修改屬性的值時，RDBMS檢查元組上的約束條件是否被滿足如果不滿足則操作被拒絕執(zhí)行

完整性約束命名子句CONSTRAINT