数据库安全性与完整性

第九章

数据库安全性与完整性9.1计算机安全性概论9.2数据库安全性控制9.3实体的完整性9.4参照完整性9.5用户定义的完整性9.6完整性约束命名子句数据库的一大特点是数据可以共享，但数据共享必然带来数据库的安全性问题；数据库系统中的数据共享不能是无条件的共享；例：军事秘密、国家机密、新产品实验数据、

市场需求分析、市场营销策略、销售计划、

客户档案、医疗档案、银行储蓄数据数据库中数据的共享是在DBMS统一的严格的控制之下的共享，即只允许有合法使用权限的用户访问允许他存取的数据；数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一。问题的提出什么是数据库的安全性什么是数据的保密数据库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改或破坏。数据保密是指用户合法地访问到机密数据后能否对这些数据保密。通过制订法律道德准则和政策法规来保证。9.1计算机安全性概论9.1.1计算机系统的三类安全性问题

三类计算机系统安全性问题

技术安全类管理安全类政策法律类指计算机系统中采用具有一定安全性的硬件、软件来实现对计算机系统及其所存数据的安全保护，当计算机系统受到无意或恶意的攻击时仍能保证系统正常运行，保证系统内的数据不增加、不丢失、不泄露。软硬件意外故障、场地的意外事故、管理不善导致的计算机设备和数据介质的物理破坏、丢失等安全问题政府部门建立的有关计算机犯罪、数据安全保密的法律道德准则和政策法规、法令数据库安全性控制（续）数据库安全性控制的常用方法用户标识和鉴定存取控制视图审计密码存储存取控制数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限，同时令所有未授权的人员无法接近数据。这主要是通过DBMS提供的存取控制机制实现的。在数据库系统中，为了保证用户只能访问他有权存取的数据，必须预先对每个用户定义存取权限。这些定义放在数据字典中，被称为安全规则或授权规则。对于通过鉴定获得上机权的用户（即合法用户），系统根据他的存取权限定义对他的各种操作请求进行控制，确保他只执行合法操作用户权限定义和合法权检查机制一起组成了DBMS的安全子系统存取控制机制主要包括两部分：

定义存取权限

合法权限检查常用存取控制方法自主存取控制（简称DAC）灵活强制存取控制（简称

MAC）严格同一用户对于不同的数据对象有不同的存取权限不同的用户对同一对象也有不同的权限用户还可将其拥有的存取权限转授给其他用户每一个数据对象被标以一定的密级每一个用户也被授予某一个级别的许可证对于任意一个对象，只有具有合法许可证的用户才可以存取自主存取控制方法通过

SQL的GRANT

语句和

REVOKE

语句实现用户权限组成数据对象操作类型定义用户存取权限：定义用户可以在哪些数据库对象上进行哪些类型的操作定义存取权限称为授权

对象类型对象操作类型数据库模式CREATESCHEMA基本表CREATETABLE，ALTERTABLE模式视图CREATEVIEW索引CREATEINDEX数据基本表和视图SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALLPRIVILEGES属性列SELECT，INSERT，UPDATE，REFERENCES，ALLPRIVILEGES表9.3关系数据库系统中的存取权限授权与回收一、GRANTGRANT语句的一般格式：GRANT<权限>[,<权限>]...

ON<对象类型><对象名>[,<对象类型><对象名>]TO<用户>[,<用户>]...[WITHGRANTOPTION];语义：将对指定操作对象的指定操作权限授予指定的用户

GRANT（续）发出GRANT：DBA数据库对象创建者（即属主Owner）拥有该权限的用户按受权限的用户

一个或多个具体用户PUBLIC（全体用户）WITHGRANTOPTION子句WITHGRANTOPTION子句:指定：可以再授予没有指定：不能传播不允许循环授权[例1]把查询Student表权限授给用户U1GRANTSELECTONTABLEStudentTOU1;[例2]把对Student表和Course表的全部权限授予用户U2和U3GRANTALLPRIVILIGES

ONTABLEStudent,CourseTOU2,U3;[例3]把对表SC的查询权限授予所有用户GRANTSELECTONTABLESC TOPUBLIC;[例4]把查询Student表和修改学生学号的权限授给用户U4 GRANTUPDATE(Sno),SELECT ONTABLEStudent TOU4;[例5]把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户GRANTINSERTONTABLESCTOU5

WITHGRANTOPTION;执行例5后，U5不仅拥有了对表SC的INSERT权限，

还可以传播此权限：[例6]GRANTINSERTONTABLESCTOU6

WITHGRANTOPTION;

同样，U6还可以将此权限授予U7：[例7]GRANTINSERTONTABLESCTOU7;

但U7不能再传播此权限。U5-->U6-->U7用户权限定义表授权用户名被授权用户名数据库对象名允许的操作类型能否转授权DBAU1关系StudentSELECT不能DBAU2关系StudentALL不能DBAU2关系CourseALL不能DBAU3关系StudentALL不能DBAU3关系CourseALL不能DBAPUBLIC关系SCSELECT不能DBAU4关系StudentSELECT不能DBAU4属性列Student.SnoUPDATE不能DBAU5关系SCINSERT能U5U6关系SCINSERT能U6U7关系SCINSERT不能二、收回权限

REVOKE一般格式：REVOKE<权限>[,<权限>]...ON<对象类型><对象名>[,<对象类型><对象名>]FROM<用户>[,<用户>]...[CASCADE|RESTRICT];功能：从指定用户那里收回对指定对象的指定权限[例8]把用户U4修改学生学号的权限收回 REVOKEUPDATE(Sno) ONTABLEStudent FROMU4;[例9]收回所有用户对表SC的查询权限 REVOKESELECT ONTABLESC FROMPUBLIC;[例10]把用户U5对SC表的INSERT权限收回 REVOKEINSERT ONTABLESC FROMU5CASCADE;权限的级联回收系统将收回直接或间接从U5处获得的对SC表的INSERT权限:-->U5-->U6-->U7收回U5、U6、U7获得的对SC表的INSERT权限:<--U5<--U6<--U7小结:SQL灵活的授权机制DBA：拥有所有对象的所有权限不同的权限授予不同的用户用户：拥有自己建立的对象的全部的操作权限GRANT：授予其他用户被授权的用户“继续授权”许可：再授予所有授予出去的权力在必要时又都可用REVOKE语句收回用户权限定义表

执行［例8］到［例10］的语句后，学生-课程数据库中的用户权限定义表授权用户名被授权用户名数据库对象名允许的操作类型能否转授权DBAU1关系StudentSELECT不能DBAU2关系StudentALL不能DBAU2关系CourseALL不能DBAU3关系StudentALL不能DBAU3关系CourseALL不能DBAU4关系StudentSELECT不能3.创建数据库模式的权限对数据库模式的授权由DBA在创建用户时实现

创建用户语句一般格式如下：

CREATEUSER<username>[WITH][DBA︱RESOURCE︱CONNECT];创建数据库模式的权限（续）只有系统的超级用户才有权创建一个新的数据库用户新创建的数据库用户有三种权限：CONNECT、RESOURCE和DBA命令中若没有指定创建的新用户的权限，默认该用户拥有CONNECT权限。拥有CONNECT权限的用户不能创建新用户，不能创建模式，也不能创建基本表，只能登录数据库。拥有RESOURCE权限的用户能创建基本表和视图，成为所创建对象的属主，但不能创建模式，不能创建新的用户。拥有DBA权限的用户是系统中的超级用户，可以创建新的用户、创建模式、创建基本表和视图等；拥有对所有数据库对象的存取权限，还可以把这些权限授予一般用户。数据库角色数据库角色是被命名的一组与数据库相关的权限，角色是权限的集合。因此可以为一组具有相同权限的用户创建一个角色，使用角色来管理数据库权限可以简化授权的过程。一、角色的创建GREATEROLE<角色名>；二、给角色授权GRANT<权限>[,<权限>]...ON<对象类型><对象名>]TO<角色>[,<角色>]...;三、将一个角色授予其他角色或用户GRANT<角色1>[,<角色2>]...TO<角色3>[,<用户1>]...[WITHADMINOPTION]；四、角色权限的收回REVOKE<权限>[,<权限>]...ON<对象类型><对象名>FROM<角色>[,<角色>]...;数据库角色（续）[例11]通过角色来实现将一组权限授予一个用户。步骤如下：1.首先创建一个角色

R1CREATEROLER1；2.然后使用GRANT语句，使角色R1拥有Student表的SELECT、UPDATE、INSERT权限GRANTSELECT，UPDATE，INSERTONTABLEStudentTOR1；数据库角色（续）3.将这个角色授予王平，张明，赵玲。使他们具有角色R1所包含的全部权限GRANTR1TO王平，张明，赵玲；4.可以一次性通过R1来回收王平的这3个权限REVOKER1FROM王平；自主存取控制缺点可能存在数据的“无意泄露”原因：这种机制仅仅通过对数据的存取权限来进行安全控制，而数据本身并无安全性标记解决：对系统控制下的所有主客体实施强制存取控制策略

强制存取（MAC）控制方法在MAC中，DBMS所管理的全部实体被分为主体和客体两大类。主体是系统中的活动实体。

DBMS所管理的实际用户；

代表用户的各进程。客体是系统中的被动实体，是受主体操纵的。

文件

基表

索引

视图敏感度标记对于主体和客体，DBMS为它们每个实例（值）指派一个敏感度标记（Label）。敏感度标记分成若干级别：

绝密（TopSecret）

机密（Secret）

可信（Confidential）

公开（Public）主体的敏感度标记称为许可证级别（ClearanceLevel）；客体的敏感度标记称为密级（ClassificationLevel）；MAC机制就是通过对比主体的Label和客体的Label，最终确定主体是否能够存取客体。强制存取控制规则当某一用户（或某一主体）以标记label注册入系统时，系统要求他对任何客体的存取必须遵循下面两条规则：（1）仅当主体的许可证级别大于或等于客体的密级时，该主体才能读取相应的客体；（2）仅当主体的许可证级别等于客体的密级时，该主体才能写相应的客体。修正规则主体的许可证级别

<=客体的密级

主体能写客体用户可为写入的数据对象赋予高于自己的许可证级别的密级一旦数据被写入，该用户自己也不能再读该数据对象了。规则的共同点：禁止了拥有高许可证级别的主体更新低密级的数据对象强制存取控制的特点MAC是对数据本身进行密级标记无论数据如何复制，标记与数据是一个不可分的整体只有符合密级标记要求的用户才可以操纵数据从而提供了更高级别的安全性DAC与MACDAC与MAC共同构成DBMS的安全机制原因：较高安全性级别提供的安全保护要包含较低级别的所有保护先进行DAC检查，通过DAC检查的数据对象再由系统进行MAC检查，只有通过MAC检查的数据对象方可存取。数据的正确性和相容性防止不合语义的数据进入数据库。例:学生的年龄必须是整数，取值范围为14--29；

学生的性别只能是男或女；

学生的学号一定是唯一的；

学生所在的系必须是学校开设的系；完整性：真实地反映现实世界数据库的完整性DBMS的完整性控制机制1.定义功能一个完善的完整性控制机制应该允许用户定义各类完整性约束条件。例：银行数据库中“借贷总金额应平衡”的约束就应该是延迟执行的约束3.违约反应检查用户发出的操作请求是否违背了完整性约束条件如果发现用户的操作请求使数据违背了完整性约束条件，则采取一定的动作来保证数据的完整性。立即执行的约束(Immediateconstraints)语句执行完后立即检查是否违背完整性约束

延迟执行的约束(Deferred

constrainsts)完整性检查延迟到整个事务执行结束后进行2.检查功能拒绝该操作其他处理方法实体完整性定义关系模型的实体完整性CREATETABLE中用PRIMARYKEY定义单属性构成的码有两种说明方法

定义为列级约束条件定义为表级约束条件对多个属性构成的码只有一种说明方法定义为表级约束条件实体完整性定义(续)(1)在列级定义主码CREATETABLEStudent(SnoCHAR(9)PRIMARYKEY，

SnameCHAR(20)NOTNULL，

SsexCHAR(2)，SageSMALLINT，

SdeptCHAR(20));(2)在表级定义主码CREATETABLEStudent(SnoCHAR(9)，

SnameCHAR(20)NOTNULL，

SsexCHAR(2)，SageSMALLINT，

SdeptCHAR(20)，

PRIMARYKEY(Sno));实体完整性定义(续)CREATETABLESC(SnoCHAR(9)NOTNULL，

CnoCHAR(4)NOTNULL，GradeSMALLINT，PRIMARYKEY(Sno，Cno)/*只能在表级定义主码*/);实体完整性检查和违约处理插入或对主码列进行更新操作时，RDBMS按照实体完整性规则自动进行检查。包括：1.检查主码值是否唯一，如果不唯一则拒绝插入或修改2.检查主码的各个属性是否为空，只要有一个为空就拒绝插入或修改实体完整性检查和违约处理(续)检查记录中主码值是否唯一的方法全表扫描索引参照完整性定义例如，关系SC中一个元组表示一个学生选修的某门课程的成绩，（Sno，Cno）是主码。Sno，Cno分别参照引用Student表的主码和Course表的主码

CREATETABLESC(SnoCHAR(9)NOTNULL，

CnoCHAR(4)NOTNULL，GradeSMALLINT，PRIMARYKEY(Sno，Cno)，/*在表级定义实体完整性*/FOREIGNKEY(Sno)REFERENCESStudent(Sno)，/*在表级定义参照完整性*/FOREIGNKEY(Cno)REFERENCESCourse(Cno)/*在表级定义参照完整性*/);参照完整性检查和违约处理可能破坏参照完整性的情况及违约处理被参照表（例如Student）参照表（例如SC）违约处理可能破坏参照完整性

插入元组拒绝可能破坏参照完整性

修改外码值拒绝删除元组

可能破坏参照完整性拒绝/级连删除/设置为空值修改主码值

可能破坏参照完整性拒绝/级连修改/设置为空值违约处理(续)显式说明参照完整性的违约处理示例CREATETABLESC(SnoCHAR(9)NOTNULL，

CnoCHAR(4)NOTNULL，GradeSMALLINT，PRIMARYKEY（Sno，Cno）， FOREIGNKEY(Sno)REFERENCESStudent(Sno) ONDELETECASCADE/*级联删除SC表中相应的元组*/

ONUPDATECASCADE，/*级联更新SC表中相应的元组*/

FOREIGNKEY(Cno)REFERENCESCourse(Cno)

ONDELETENOACTION

/*当删除course

表中的元组造成了与SC表不一致时拒绝删除*/

ONUPDATECASCADE

/*当更新course表中的cno时，级联更新SC表中相应的元组*/

)；用户定义的完整性用户定义的完整性就是针对某一具体应用的数据必须满足的语义要求

RDBMS提供，而不必由应用程序承担属性上的约束条件的定义CREATETABLE时定义列值非空（NOTNULL）列值唯一（UNIQUE）检查列值是否满足一个布尔表达式（CHECK）属性上的约束条件的定义(续)Student表的Ssex只允许取“男”或“女”。CREATETABLEStudent(SnoCHAR(9)PRIMARYKEY，

SnameCHAR(8)NOTNULL，

SsexCHAR(2)CHECK(SsexIN(‘男’，‘女’))

，/*性别属性Ssex只允许取'男'或'女'*/SageSMALLINT，

SdeptCHAR(20));属性上的约束条件检查和违约处理插入元组或修改属性的值时，RDBMS检查属性上的约束条件是否被满足如果不满足则操作被拒绝执行

元组上的约束条件的定义在CREATETABLE时可以用CHECK短语定义元组上的约束条件，即元组级的限制同属性值限制相比，元组级的限制可以设置不同属性之间的取值的相互约束条件

元组上的约束条件的定义(续)当学生的性别是男时，其名字不能以Ms.打头。

CREATETABLEStudent(SnoCHAR(9)，

SnameCHAR(8)NOTNULL，

SsexCHAR(2)，SageSMALLINT，

SdeptCHAR(20)，PRIMARYKEY(Sno)，

CHECK(Ssex='女'ORSnameNOTLIKE'Ms.%')/*定义了元组中Sname和

Ssex两个属性值之间的约束条件*/)；性别是女性的元组都能通过该项检查，因为Ssex=‘女’成立；当性别是男性时，要通过检查则名字一定不能以Ms.打头元组上的约束条件检查和违约处理插入元组或修改属性的值时，RDBMS检查元组上的约束条件是否被满足如果不满足则操作被拒绝执行

完整性约束命名子句CONSTRAINT