數(shù)據(jù)庫完整性和安全性

第9章數(shù)據(jù)庫完整性和安全性9.1引言9.2數(shù)據(jù)庫的完整性9.3計算機系統(tǒng)安全性概述*9.4數(shù)據(jù)庫的安全性9.1引言數(shù)據(jù)庫是長期保存在計算機內(nèi)的有組織的可共享數(shù)據(jù)集合在投入運行后，一方面需要利用數(shù)據(jù)庫系統(tǒng)統(tǒng)一管理和共享數(shù)據(jù)另一方面需要提供必要的措施保證其中數(shù)據(jù)的完整性和安全性9.1引言數(shù)據(jù)庫中發(fā)生數(shù)據(jù)錯誤，歸納起來主要有以下四個方面的原因：系統(tǒng)發(fā)生軟、硬件故障，數(shù)據(jù)遭到破壞事務(wù)并發(fā)執(zhí)行引起數(shù)據(jù)的不一致性數(shù)據(jù)庫的更新操作有誤，如輸入本身是錯誤的數(shù)據(jù)、不正確的操作或程序產(chǎn)生的不一致數(shù)據(jù)等。自然的或人為的破壞，例如意外事故（失火、失竊等）、惡意的攻擊篡改數(shù)據(jù)等等9.1引言針對這四種情況，DBMS必須提供以下幾項數(shù)據(jù)控制功能：數(shù)據(jù)庫恢復(fù)：將數(shù)據(jù)庫從錯誤狀態(tài)恢復(fù)到某一已知的一致狀態(tài)的功能并發(fā)控制：協(xié)調(diào)并發(fā)事務(wù)的執(zhí)行，并維護數(shù)據(jù)的一致性保持完整性：數(shù)據(jù)庫中數(shù)據(jù)始終保證是正確的和一致的保證安全性：防止非法使用數(shù)據(jù)庫，造成數(shù)據(jù)泄露、篡改和破壞9.2數(shù)據(jù)庫完整性數(shù)據(jù)庫的完整性是指數(shù)據(jù)的正確性、有效性和相容性數(shù)據(jù)庫是否具備完整性關(guān)系到數(shù)據(jù)庫系統(tǒng)能否真實地反映現(xiàn)實世界，因此維護數(shù)據(jù)庫的完整性是非常重要的為維護數(shù)據(jù)庫的完整性，DBMS必須提供一種機制來檢查數(shù)據(jù)庫中的數(shù)據(jù)，看其是否滿足語義規(guī)定的條件完整性約束條件完整性檢查是圍繞完整性約束條件進行的，因此，完整性約束條件是完整性控制機制的核心我們將加在數(shù)據(jù)庫之上的語義約束條件稱為數(shù)據(jù)庫完整性約束條件，它們作為模式的一部分存入數(shù)據(jù)庫中而DBMS中檢查數(shù)據(jù)是否滿足完整性條件的機制稱為完整性檢查完整性約束條件完整性約束條件作用的對象可以是關(guān)系、元組、列三種其中列約束主要是列的類型、取值范圍、精度、排序等約束條件元組的約束是元組中各個字段間的聯(lián)系的約束關(guān)系的約束是若干元組間、關(guān)系集合上以及關(guān)系之間的聯(lián)系的約束完整性約束條件完整性約束條件涉及的這三類對象，其狀態(tài)可以是靜態(tài)的，也可以是動態(tài)的所謂靜態(tài)約束是指數(shù)據(jù)庫每一確定狀態(tài)時的數(shù)據(jù)對象所應(yīng)滿足的約束條件，它是反映數(shù)據(jù)庫狀態(tài)合理性的約束，這是最重要的一類完整性約束動態(tài)約束是指數(shù)據(jù)庫從一種狀態(tài)轉(zhuǎn)變?yōu)榱硪环N狀態(tài)時新、舊值之間所應(yīng)滿足的約束條件，它是反映數(shù)據(jù)庫狀態(tài)變遷的約束綜合上述兩個方面，我們可以將完整性約束條件分為6類完整性約束條件靜態(tài)列級約束：是對一個列的取值域的說明，這是最常用也最容易實現(xiàn)的一類完整性約束，包括以下幾方面：對數(shù)據(jù)類型的約束，包括數(shù)據(jù)的類型、長度、單位、精度等；對數(shù)據(jù)格式的約束；對取值范圍或取值集合的約束；對空值(NULL)的約束;其他約束完整性約束條件靜態(tài)元組約束：一個元組是由若干個列值組成的，靜態(tài)元組約束就是規(guī)定元組的各個列之間的約束關(guān)系完整性約束條件靜態(tài)關(guān)系約束:在一個關(guān)系的各個元組之間或者若干關(guān)系之間常常存在各種聯(lián)系或約束。常見的靜態(tài)關(guān)系約束有：實體完整性約束；參照完整性約束；

實體完整性約束和參照完整性約束是關(guān)系模型的兩個極其重要的約束，稱為關(guān)系的兩個不變性。函數(shù)依賴約束。大部分函數(shù)依賴約束都在關(guān)系模式中定義。統(tǒng)計約束。即字段值與關(guān)系中多個元組的統(tǒng)計值之間的約束關(guān)系。完整性約束條件動態(tài)列級約束：是修改列定義或列值時應(yīng)滿足的約束條件，包括下面兩方面：修改列定義時的約束

例如，將允許空值的列改為不允許空值時，如果該列目前已存在空值，則拒絕這種修改修改列值時的約束

修改列值有時需要參照其舊值，并且新舊值之間需要滿足某種約束條件。例如，職工工資調(diào)整不得低于其原來工資，學(xué)生年齡只能增長等等完整性約束條件動態(tài)元組約束：動態(tài)元組約束是指修改元組的值時元組中各個字段間需要滿足某種約束條件。例如職工工資調(diào)整時新工資不得低于原工資+工齡*1.5，等等。動態(tài)關(guān)系約束：動態(tài)關(guān)系約束是加在關(guān)系變化前后狀態(tài)上的限制條件，例如事務(wù)一致性、原子性等約束條件完整性控制DBMS的完整性控制機制應(yīng)具有三個方面的功能：定義功能，提供定義完整性約束條件的機制檢查功能，檢查用戶發(fā)出的操作請求是否違背了完整性約束條件如果發(fā)現(xiàn)用戶的操作請求使數(shù)據(jù)違背了完整性約束條件，則采取一定的動作來保證數(shù)據(jù)的完整性

完整性控制完整性約束條件包括有6類，約束條件可能非常簡單，也可能極為復(fù)雜一個完善的完整性控制機制應(yīng)該允許用戶定義所有這六類完整性約束條件完整性控制檢查是否違背完整性約束的時機通常是在一條語句執(zhí)行完后立即檢查，我們稱這類約束為立即執(zhí)行約束（Immediateconstraints）有時完整性檢查需要延遲到整個事務(wù)執(zhí)行結(jié)束后再進行，檢查正確方可提交，我們稱這類約束為延遲執(zhí)行約束（Deferredconstraints）在關(guān)系系統(tǒng)中，最重要的完整性約束是實體完整性和參照完整性，其他完整性約束條件可以歸入用戶定義的完整性下面詳細討論實現(xiàn)參照完整性要考慮的幾個問題完整性控制外碼能否接受空值問題在實現(xiàn)參照完整性時，系統(tǒng)除了應(yīng)該提供定義外碼的機制，還應(yīng)提供定義外碼列是否允許空值的機制。在被參照關(guān)系中刪除元組的問題一般地，當(dāng)刪除被參照關(guān)系的某個元組，而參照關(guān)系存在若干元組，其外碼值與被參照關(guān)系刪除元組的主碼值相同，這時可有三種不同的策略：

(1)級聯(lián)刪除（CASCADES）

(2)受限刪除（RESTRICTED）僅當(dāng)參照關(guān)系中沒有任何元組的外碼值與被參照關(guān)系中要刪除元組的主碼值相同時，系統(tǒng)才執(zhí)行刪除操作，否則拒絕此刪除操作。

(3)置空值刪除（NULLIFIES）刪除被參照關(guān)系的元組，并將參照關(guān)系中相應(yīng)元組的外碼值置空值。完整性控制在參照關(guān)系中插入元組時的問題一般地，當(dāng)參照關(guān)系插入某個元組，而被參照關(guān)系不存在相應(yīng)的元組，其主碼值與參照關(guān)系插入元組的外碼值相同，這時可有以下策略：

（1）受限插入

（2）遞歸插入完整性控制修改關(guān)系中主碼的問題不允許修改主碼允許修改主碼在有些RDBMS中，允許修改關(guān)系主碼，但必須保證主碼的唯一性和非空，否則拒絕修改從上面的討論我們看到DBMS在實現(xiàn)參照完整性時，除了要提供定義主碼、外碼的機制外，還需要提供不同的策略供用戶選擇。選擇哪種策略，都要根據(jù)應(yīng)用環(huán)境的要求確定完整性約束的說明

完整性約束的說明一般分為隱含約束和顯式約束兩類隱含約束的說明可用于實現(xiàn)域完整性約束、實體完整性約束以及參照完整性約束等，如定義主關(guān)鍵字、外關(guān)鍵字；在設(shè)計關(guān)系數(shù)據(jù)模式時，還可定義屬性的類型、長度、單位、精度等完整性約束的說明

DBMS根據(jù)這些定義對數(shù)據(jù)庫的更新操作自動檢查，維護數(shù)據(jù)的完整性，這是數(shù)據(jù)庫中最基本、最普遍的約束完整性約束的說明

顯式約束的說明可實現(xiàn)一些隱含約束無法表達的約束，這些約束依賴于數(shù)據(jù)的語義和應(yīng)用，本身比較復(fù)雜用戶根據(jù)不同DBMS的支持程度，一般選擇使用4種可能的方法完整性約束的說明

1．CHECK子句在基表定義中，加入一個CHECK子句，利用此子句說明各列的值應(yīng)滿足的約束條件這種約束是對單個關(guān)系的元組值進行約束，條件中也可以涉及本關(guān)系的其它元組或其它關(guān)系的元組此時，CHECK子句只對定義它的關(guān)系起約束作用，對于條件中提到的其它關(guān)系沒有約束作用完整性約束的說明

2．?dāng)嘌悦總€斷言就是一個謂詞，指定了數(shù)據(jù)庫狀態(tài)必須滿足的邏輯條件利用斷言表達數(shù)據(jù)庫完整性約束，形成一系列斷言的集合DBMS對每個更新事務(wù)，用集合中的斷言對它進行檢查。只有不破壞斷言的更新操作才允許，否則，就撤銷事務(wù)完整性約束的說明

2．?dāng)嘌許QL中定義斷言用CREATE語句，形式如下：CREATEASSERTION<斷言名>CHECK<邏輯條件>;這里<邏輯條件>和SQL中查詢語句的查詢條件一樣撤銷斷言用DROP語句，形式如下：DROPASSERTION<斷言名>;完整性約束的說明

2．?dāng)嘌岳涸诋a(chǎn)品定單(Order)中，可以通過下面的斷言限定其銷售價格(sale_price)不得小于相關(guān)產(chǎn)品報價(list_price)的80%：CREATEASSERTIONprice-constraintCHECK(NOTEXISTS(SELECT*FROMOrderOWHEREsale_price<(SELECT0.8*list_price

FROMProductPWHEREO.PNO=P.PNO));完整性約束的說明

2．?dāng)嘌詳嘌缘囊霚p少了編程的麻煩，本身也比較容易維護但是如果斷言較復(fù)雜，則給創(chuàng)建和檢查會帶來相當(dāng)大的開銷，同時降低了數(shù)據(jù)庫更新操作的性能因此，對于斷言的使用應(yīng)該權(quán)衡考慮完整性約束的說明

3．存儲過程存儲過程是指將常用的訪問數(shù)據(jù)庫的程序，作為一個過程進行編譯，然后存儲在數(shù)據(jù)庫中，供用戶調(diào)用這樣做既改善性能，又方便用戶，還擴充了功能將存儲過程應(yīng)用到完整性約束，就是在應(yīng)用程序中插入一些存儲過程說明完整性約束，在更新數(shù)據(jù)庫時執(zhí)行，完成數(shù)據(jù)庫完整性的檢查如果違反給定的約束，則撤銷事務(wù)，或者修改數(shù)據(jù)使數(shù)據(jù)庫保持完整性

完整性約束的說明

4．觸發(fā)器觸發(fā)器是一條在對數(shù)據(jù)庫執(zhí)行更新操作時系統(tǒng)自動執(zhí)行的語句，又稱主動規(guī)則或ECA（事件－條件－動作）規(guī)則即當(dāng)發(fā)生某一事件時，如果滿足給定的條件，則執(zhí)行相應(yīng)的動作利用觸發(fā)器可以表示約束，以某種更新數(shù)據(jù)庫的操作作為事件，以違反約束作為條件，以違反約束的處理作為動作

完整性約束的說明

4．觸發(fā)器在插入、刪除、修改等更新操作發(fā)生時，觸發(fā)器開始工作先檢查完整性約束條件是否滿足，如果不滿足就執(zhí)行相應(yīng)的動作動作可以有很多形式，如撤銷事務(wù)，或傳遞一個消息給用戶，或完成某些對數(shù)據(jù)庫的操作，以保持數(shù)據(jù)庫的完整性觸發(fā)器的用途不止這一點，它還可以用在監(jiān)視數(shù)據(jù)庫的狀態(tài)等完整性約束的說明

觸發(fā)器例：在產(chǎn)品定單(Order)中，也可以通過下面的觸發(fā)器限定其銷售價格(sale_price)不得小于相關(guān)產(chǎn)品報價(list_price)的80%：CREATETRIGGERprice-constraintBEFOREINSERTONOrderREFERENCINGNEWASNFOREACHROWWHEN(N.sale_price<(SELECT0.8*list_price

FROMProductPWHEREN.PNO=P.PNO){Output(“jkkikkk”);ROLLBACK;}完整性約束的說明

4．觸發(fā)器例：在產(chǎn)品定單(Order)中，也可以通過下面的觸發(fā)器限定其銷售價格(sale_price)不得小于相關(guān)產(chǎn)品報價(list_price)的80%：CREATETRIGGERprice-constraintBEFOREUPDATEONOrderFORsale_priceREFERENCINGNEWASNFOREACHROWWHEN(N.sale_price<(SELECT0.8*list_price

FROMProductPWHEREN.PNO=P.PNO){Output(“jkkikkk”);ROLLBACK;}9.3數(shù)據(jù)庫系統(tǒng)安全性計算機系統(tǒng)安全性概述用戶標識和鑒別數(shù)據(jù)庫系統(tǒng)的存取控制機制自主存取控制強制存取控制視圖機制數(shù)據(jù)加密計算機系統(tǒng)安全性概述計算機系統(tǒng)安全性是指為保護計算機系統(tǒng)中的硬件、軟件及數(shù)據(jù)，防止其因偶然或惡意的原因遭到破壞、篡改或泄露等，而采取的措施；計算機安全不僅涉及到計算機系統(tǒng)本身的技術(shù)問題，還涉及管理學(xué)、法學(xué)、犯罪學(xué)、心理學(xué)的問題等方面其內(nèi)容包括計算機安全理論與策略；計算機安全技術(shù)、安全管理、安全評價、安全產(chǎn)品以及計算機犯罪與偵察、計算機安全法律、安全監(jiān)察等等概括起來，計算機系統(tǒng)的安全性問題可分為三大類，即：技術(shù)安全類、管理安全類和政策法律類計算機系統(tǒng)安全性概述技術(shù)安全性指計算機系統(tǒng)中采用具有一定安全性的硬件、軟件來實現(xiàn)對計算機系統(tǒng)及其所存數(shù)據(jù)的安全保護當(dāng)計算機系統(tǒng)受到無意或惡意的攻擊時仍能保證系統(tǒng)正常運行，保證系統(tǒng)內(nèi)的數(shù)據(jù)不增加、不丟失、不泄露管理安全性技術(shù)安全之外的，諸如軟硬件意外故障、場地的意外事故、管理不善導(dǎo)致的計算機設(shè)備和數(shù)據(jù)介質(zhì)的物理破壞、丟失等安全問題，視為管理安全政策法規(guī)則指政府部門建立的有關(guān)計算機犯罪、數(shù)據(jù)安全保密的法律道德準則和政策法規(guī)、法令等本課程只討論技術(shù)安全類計算機系統(tǒng)安全性概述在一般計算機系統(tǒng)中，安全措施是一級一級層層設(shè)置的因此可以有如下的模型：用戶標識和鑒別用戶標識和鑒別是系統(tǒng)提供的最外層安全保護措施其方法是由系統(tǒng)提供一定的方式讓用戶標識自己的名字或身份每次用戶要求進入系統(tǒng)時，由系統(tǒng)進行核對，通過鑒定后才提供機器使用權(quán)例如，使用用戶名和口令數(shù)據(jù)庫系統(tǒng)的存取控制機制數(shù)據(jù)庫安全性所關(guān)心的主要是DBMS的存取控制機制數(shù)據(jù)庫安全最重要的一點就是確保只授權(quán)給有資格的用戶訪問數(shù)據(jù)庫的權(quán)限，同時保證所有未被授權(quán)的人員無法接近數(shù)據(jù)，這主要通過數(shù)據(jù)庫系統(tǒng)的存取控制機制實現(xiàn)數(shù)據(jù)庫系統(tǒng)的存取控制機制存取控制機制主要包括兩部分：定義用戶權(quán)限，并將用戶權(quán)限登記到數(shù)據(jù)字典中合法權(quán)限檢查，每當(dāng)用戶發(fā)出存取數(shù)據(jù)庫的操作請求后（請求一般應(yīng)包括操作類型、操作對象和操作用戶等信息），DBMS查找數(shù)據(jù)字典，根據(jù)安全規(guī)則進行合法權(quán)限檢查，若用戶的操作請求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作用戶權(quán)限定義和合法權(quán)檢查機制一起組成了DBMS的安全子系統(tǒng)數(shù)據(jù)庫系統(tǒng)的存取控制機制當(dāng)前大型的DBMS一般都支持自主存取控制（DAC）有些DBMS同時還支持強制存取控制(MAC)在強制存取控制中，每一個數(shù)據(jù)對象被標以一定的“密級”，每一個用戶也被授予某一個級別的“許可證”對于任意一個對象，只有具有合法許可證的用戶才可以存取因此，強制存取控制相對自主存取控制更加嚴格自主存取控制大型數(shù)據(jù)庫管理系統(tǒng)幾乎都支持自主存取控制，目前的SQL標準也對自主存取控制提供支持，這主要通過SQL的GRANT語句和REVOKE語句來實現(xiàn)用戶權(quán)限是由兩個要素組成的：數(shù)據(jù)對象和操作類型定義一個用戶的存取權(quán)限就是要定義這個用戶可以在哪些數(shù)據(jù)對象上進行哪些類型的操作自主存取控制在數(shù)據(jù)庫系統(tǒng)中，定義存取權(quán)限稱為授權(quán)(Authorization)用戶權(quán)限定義中數(shù)據(jù)對象范圍越小授權(quán)子系統(tǒng)就越靈活。例如，上面的授權(quán)定義可精細到字段級，而有的系統(tǒng)只能對關(guān)系授權(quán)。授權(quán)粒度越細，授權(quán)子系統(tǒng)就越靈活，但系統(tǒng)定義與檢查權(quán)限的開銷也會相應(yīng)地增大自主存取控制衡量授權(quán)子系統(tǒng)精巧程度的另一個尺度是能否提供與數(shù)據(jù)值有關(guān)的授權(quán)如上面的授權(quán)定義是獨立于數(shù)據(jù)值的，即用戶能否對某類數(shù)據(jù)對象執(zhí)行的操作與數(shù)據(jù)值無關(guān)，完全由數(shù)據(jù)名決定反之，若授權(quán)依賴于數(shù)據(jù)對象的內(nèi)容，則稱為是與數(shù)據(jù)值有關(guān)的授權(quán)。自主存取控制另外，還可以在存取謂詞中引用系統(tǒng)變量,如終端設(shè)備號，系統(tǒng)時鐘等，這就是與時間地點有關(guān)的存取權(quán)限，這樣用戶只能在某段時間內(nèi)，某臺終端上存取有關(guān)數(shù)據(jù)自主存取控制能夠通過授權(quán)機制有效地控制其他用戶對敏感數(shù)據(jù)的存取但是由于用戶對數(shù)據(jù)的存取權(quán)限是“自主”的，用戶可以自由地決定將數(shù)據(jù)的存取權(quán)限授予何人、決定是否也將“授權(quán)”的權(quán)限授予別人在這種授權(quán)機制下，仍可能存在數(shù)據(jù)的“無意泄露”強制存取控制（11/5軟）所謂強制存取控制是指系統(tǒng)為保證更高程度的安全性，按照TDI/TCSEC標準中安全策略的要求，所采取的強制存取檢查手段強制存取控制不是用戶能直接感知或進行控制的強制存取控制適用于那些對數(shù)據(jù)有嚴格而固定密級分類的部門，例如軍事部門或政府部門在強制存取控制中，DBMS所管理的全部實體被分為主體和客體兩大類強制存取控制主體是系統(tǒng)中的活動實體，既包括DBMS所管理的實際用戶，也包括代表用戶的各進程客體是系統(tǒng)中的被動實體，是受主體操縱的，包括文件、基表、索引、視圖等等對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標記（Label）強制存取控制敏感度標記被分成若干級別，例如絕密(TopSecret)、機密(Secret)、可信(Confidential)、公開(Public)等主體的敏感度標記稱為許可證級別(ClearanceLevel)，客體的敏感度標記稱為密級（ClassificationLevel）MAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體強制存取控制當(dāng)某一用戶（或一主體）以標記label注冊入系統(tǒng)時，系統(tǒng)要求他對任何客體的存取必須遵循如下規(guī)則：

僅當(dāng)主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應(yīng)的客體僅當(dāng)主體的許可證級別等于客體的密級時，該主體才能寫相應(yīng)的客體強制存取控制規(guī)則(1)的意義是明顯的而規(guī)則(2)需要解釋一下在某些系統(tǒng)中，第(2)條規(guī)則與這里的規(guī)則有些差別。這些系統(tǒng)規(guī)定：僅當(dāng)主體的許可證級別小于或等于客體的密級時，該主體才能寫相應(yīng)的客體，即用戶可以為寫入的數(shù)據(jù)對象賦予高于自己的許可證級別的密級這樣一旦數(shù)據(jù)被寫入，該用戶自己也不能再讀該數(shù)據(jù)對象了這兩種規(guī)則的共同點在于它們均禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象，從而防止了敏感數(shù)據(jù)的泄漏強制存取控制強制存取控制(MAC)是對數(shù)據(jù)本身進行密級標記，無論數(shù)據(jù)如何復(fù)制，標記與數(shù)據(jù)是一個不可分的整體，只有符合密級標記要求的用戶才可以操縱數(shù)據(jù)，從而提供了更高級別的安全性較高安全性級別提供的安全保護要包含較低級別的所有保護，因此在實現(xiàn)MAC時要首先實現(xiàn)DAC，即DAC與MAC共同構(gòu)成DBMS的安全機制系統(tǒng)首先進行DAC檢查,對通過DAC檢查的允許存取的數(shù)據(jù)對象再由系統(tǒng)自動進行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取視圖機制進行存取權(quán)限控制時我們可以為不同的用戶定義不同的視圖，把數(shù)據(jù)對象限制在一定的范