第七章-数据库的安全性和完整性

数据库原理计算中心：杨和敏邮箱：第六章数据库的安全性和完整性5.1数据库的安全性5.2数据库的完整性5.3小结2

数据库安全性

问题的提出数据库的一大特点是数据可以共享数据共享必然带来数据库的安全性问题数据库系统中的数据共享不能是无条件的共享例：军事秘密、国家机密、新产品实验数据、市场需求分析、市场营销策略、销售计划、客户档案、医疗档案、银行储蓄数据数据库安全性3数据库安全性5.1数据库的安全性5.1.1计算机安全性概述5.1.2数据库安全性控制5.1.3视图机制5.1.4审计（Audit）4计算机安全性概述

计算机系统安全性为计算机系统建立和采取的各种安全保护措施，以保护计算机系统中的硬件、软件及数据，防止其因偶然或恶意的原因使系统遭到破坏，数据遭到更改或泄露等。三类计算机系统安全性问题技术安全类：采用一定安全性的硬件、软件来实现对计算机系统以及所存数据的安全保护管理安全类：管理不善导致的计算机设备和数据截止的物理破坏、丢失等软硬件意外故障、场地的意外事故等安全问题政策法律类：政府部门建立的有关计算机犯罪、数据安全保密的法律道德准则和政策法规、法令5数据库安全性5.1数据库的安全性5.1.1计算机安全性概述5.1.2数据库安全性控制5.1.3视图机制5.1.4审计（Audit）6数据库安全性控制非法使用数据库的情况编写合法程序绕过DBMS及其授权机制直接或编写应用程序执行非授权操作通过多次合法查询数据库从中推导出一些保密数据7数据库安全性控制（续）计算机系统中，安全措施是一级一级层层设置

计算机系统的安全模型

8数据库安全性控制概述（续）数据库安全性控制的常用方法用户标识和鉴别存取控制视图审计密码存储95.1.2数据库安全性控制用户标识与鉴别存取控制自主存取控制方法授权与回收数据库角色10用户标识与鉴别用户标识与鉴别（Identification&Authentication）系统提供的最外层安全保护措施用户标识口令系统核对口令以鉴别用户身份用户名和口令易被窃取每个用户预先约定好一个计算过程或者函数115.1.2数据库安全性控制用户标识与鉴别存取控制自主存取控制方法授权与回收数据库角色12存取控制存取控制机制组成定义用户权限合法权限检查用户权限定义和合法权检查机制一起组成了DBMS的安全子系统13存取控制（续）自主存取控制（DiscretionaryAccessControl，简称DAC）灵活强制存取控制（MandatoryAccessControl，简称MAC）严格常用存取控制方法145.1.2数据库安全性控制用户标识与鉴别存取控制自主存取控制方法授权与回收数据库角色15自主存取控制方法通过SQL的GRANT

语句和REVOKE

语句实现用户权限组成数据对象操作类型定义用户存取权限：定义用户可以在哪些数据库对象上进行哪些类型的操作定义存取权限称为授权

16自主存取控制方法（续）关系数据库系统中存取控制对象对象类型对象操作类型数据库模式模式CREATESCHEMA基本表CREATETABLE，ALTERTABLE视图CREATEVIEW索引CREATEINDEX数据基本表和视图SELECT，INSERT，UPDATE，DELETE，REFERENCES，ALLPRIVILEGES属性列SELECT，INSERT，UPDATE，REFERENCESALLPRIVILEGES5.1.2数据库安全性控制用户标识与鉴别存取控制自主存取控制方法授权与回收数据库角色18授权与回收一、GRANTGRANT语句的一般格式：

GRANT<权限>[,<权限>]...[ON<对象类型><对象名>]TO<用户>[,<用户>]...[WITHGRANTOPTION];语义：将对指定操作对象的指定操作权限授予指定的用户

19GRANT（续）发出GRANT：DBA数据库对象创建者（即属主Owner）拥有该权限的用户按受权限的用户

一个或多个具体用户PUBLIC（全体用户）20WITHGRANTOPTION子句WITHGRANTOPTION子句:指定：可以再授予没有指定：不能传播不允许循环授权21例题[例1]

把查询Student表权限授给用户U1GRANTSELECTONTABLEStudentTOU1;[例2]把对Student表和Course表的全部权限授予用户U2和U3GRANTALLPRIVILIGES

ONTABLEStudent,CourseTOU2,U3;22例题（续）[例3]把对表SC的查询权限授予所有用户

GRANTSELECTONTABLESC

TOPUBLIC;[例4]把查询Student表和修改学生学号的权限授给用户U4

GRANTUPDATE(Sno),SELECT ONTABLEStudent TOU4;对属性列的授权时必须明确指出相应属性列名23例题（续）

[例5]把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户

GRANTINSERTONTABLESCTOU5

WITHGRANTOPTION;24传播权限执行例5后，U5不仅拥有了对表SC的INSERT权限，还可以传播此权限：

[例6]GRANTINSERTONTABLESCTOU6

WITHGRANTOPTION;同样，U6还可以将此权限授予U7：

[例7]GRANTINSERTONTABLESCTOU7;

但U7不能再传播此权限。

25传播权限（续）

下表是执行了［例1］到［例7］的语句后，学生-课程数据库中的用户权限定义表授权用户名被授权用户名数据库对象名允许的操作类型能否转授权DBAU1关系StudentDBAU2关系StudentDBAU2关系CourseDBAU3关系StudentDBAU3关系CourseDBAPUBLIC关系SCDBAU4关系StudentDBAU4属性列Student.SnoDBAU5关系SCU5U6关系SCU6U7关系SC授权与回收（续）二、REVOKEREVOKE语句的一般格式为：

REVOKE<权限>[,<权限>]...

[ON<对象类型><对象名>]

FROM<用户>[,<用户>]...;授予的权限可以由DBA或其他授权者用REVOKE语句收回27REVOKE（续）[例8]把用户U4修改学生学号的权限收回

REVOKEUPDATE(Sno) ONTABLEStudent FROMU4;[例9]收回所有用户对表SC的查询权限

REVOKESELECT ONTABLESC FROMPUBLIC;28REVOKE（续）[例10]把用户U5对SC表的INSERT权限收回

REVOKEINSERT ONTABLESC FROMU5CASCADE;将用户U5的INSERT权限收回的时候必须级联（CASCADE）收回系统只收回直接或间接从U5处获得的权限

29树倒猢狲散REVOKE（续）

执行［例8］到［例10］的语句后，学生-课程数据库中的用户权限定义表授权用户名被授权用户名数据库对象名允许的操作类型能否转授权DBAU1关系StudentDBAU2关系StudentDBAU2关系CourseDBAU3关系StudentDBAU3关系CourseDBAU4关系StudentDBA：拥有所有对象的所有权限不同的权限授予不同的用户用户：拥有自己建立的对象的全部的操作权限GRANT：授予其他用户被授权的用户“继续授权”许可：再授予所有授予出去的权力在必要时又都可用REVOKE语句收回31授权与回收（续）三、创建数据库模式的权限DBA在创建用户时实现CREATEUSER语句格式

CREATEUSER<username>

［WITH］［DBA|RESOURCE|CONNECT］授权与回收（续）拥有的权限可否执行的操作CREATEUSERCREATESCHEMACREATETABLE登录数据库执行数据查询和操纵DBA可以可以可以可以RESOURCE不可以不可以可以可以CONNECT不可以不可以不可以可以，但必须拥有相应权限权限与可执行的操作对照表

5.1.2数据库安全性控制用户标识与鉴别存取控制自主存取控制方法授权与回收数据库角色34数据库角色数据库角色：被命名的一组与数据库操作相关的权限角色是权限的集合可以为一组具有相同权限的用户创建一个角色简化授权的过程35数据库角色一、角色的创建CREATEROLE<角色名>二、给角色授权

GRANT<权限>［，<权限>］…ON<对象类型>对象名

TO<角色>［，<角色>］…36数据库角色三、将一个角色授予其他的角色或用户GRANT<角色1>［，<角色2>］…TO<角色3>［，<用户1>］…［WITHADMINOPTION］四、角色权限的收回REVOKE<权限>［，<权限>］…ON<对象类型><对象名>FROM<角色>［，<角色>］…37数据库角色（续）[例11]通过角色来实现将一组权限授予一个用户。步骤如下：1.首先创建一个角色R1CREATEROLER1；2.然后使用GRANT语句，使角色R1拥有Student表的SELECT、UPDATE、INSERT权限

GRANTSELECT，UPDATE，INSERTONTABLEStudentTOR1；38数据库角色（续）3.将这个角色授予王平，张明，赵玲。使他们具有角色R1所包含的全部权限

GRANTR1TO王平，张明，赵玲；4.可以一次性通过R1来回收王平的这3个权限

REVOKER1FROM王平；39数据库角色（续）[例12]角色的权限修改

GRANTDELETEONTABLEStudentTOR1[例13]

REVOKESELECTONTABLEStudentFROMR1；40数据库安全性5.1数据库的安全性5.1.1计算机安全性概述5.1.2数据库安全性控制5.1.3视图机制5.1.4审计（Audit）41视图机制把要保密的数据对无权存取这些数据的用户隐藏起来，对数据提供一定程度的安全保护

主要功能是提供数据独立性，无法完全满足要求间接实现了支持存取谓词的用户权限定义42视图机制（续）[例14]建立计算机系学生的视图，把对该视图的SELECT权限授于王平，把该视图上的所有操作权限授于张明先建立计算机系学生的视图CS_Student

CREATEVIEWCS_StudentASSELECT*FROMStudentWHERESdept='CS'；43视图机制（续）在视图上进一步定义存取权限

GRANTSELECTONCS_StudentTO王平；GRANTALLPRIVILIGESONCS_StudentTO张明；44数据库安全性5.1数据库的安全性5.1.1计算机安全性概述5.1.2数据库安全性控制5.1.3视图机制5.1.4审计（Audit）45审计什么是审计审计日志（AuditLog）将用户对数据库的所有操作记录在上面DBA利用审计日志找出非法存取数据的人、时间和内容46审计（续）审计分为用户级审计针对自己创建的数据库表或视图进行审计记录所有用户对这些表或视图的一切成功和（或）不成功的访问要求以及各种类型的SQL操作系统级审计DBA设置监测成功或失败的登录要求监测GRANT和REVOKE操作以及其他数据库级权限下的操作47审计（续）AUDIT语句：设置审计功能NOAUDIT语句：取消审计功能48审计（续）［例15］对修改SC表结构或修改SC表数据的操作进行审计

AUDITALTER，UPDATEONSC；［例16］取消对SC表的一切审计

NOAUDITALTER，UPDATEONSC；49数据库安全性5.1数据库的安全性5.1.1计算机安全性概述5.1.2数据库安全性控制5.1.3视图机制5.1.4审计（Audit）50练习数据库的安全性是指保护数据库以防止不合法的使用所造成的____________和____一起组成了DBMS的安全子系统计算机系统有三类安全性问题，即____、____和______。一个DBA用户可以拥有____、____和______权限，一个RESOURCE用户可以拥有_____权限。审计一般可以分为____审计和_____审计。51第五章数据库的安全性和完整性5.1数据库的安全性5.2数据库的完整性5.3小结52数据库完整性数据库的完整性数据的正确性和相容性数据的完整性和安全性是两个不同概念数据的完整性防止数据库中存在不符合语义的数据，也就是防止数据库中存在不正确的数据防范对象：不合语义的、不正确的数据数据的安全性保护数据库防止恶意的破坏和非法的存取防范对象：非法用户和非法操作53数据库完整性(续)为维护数据库的完整性，DBMS必须：提供定义完整性约束条件的机制提供完整性检查的方法违约处理54数据库完整性5.2.1实体完整性5.2.2参照完整性5.2.3用户定义的完整性5.2.4完整性约束命名子句5.2.5域中的完整性限制55实体完整性定义关系模型的实体完整性CREATETABLE中用PRIMARYKEY定义单属性构成的码有两种说明方法定义为列级约束条件定义为表级约束条件对多个属性构成的码只有一种说明方法定义为表级约束条件

56实体完整性定义(续)

(1)在列级定义主码

CREATETABLEStudent(SnoCHAR(9)PRIMARYKEY，

SnameCHAR(20)NOTNULL，

SsexCHAR(2)，

SageSMALLINT，

SdeptCHAR(20));［例1］将Student表中的Sno属性定义为码57实体完整性定义(续)(2)在表级定义主码

CREATETABLEStudent(SnoCHAR(9)，

SnameCHAR(20)NOTNULL，

SsexCHAR(2)，

SageSMALLINT，

SdeptCHAR(20)，

PRIMARYKEY(Sno));58实体完整性定义(续)CREATETABLESC

(SnoCHAR(9)NOTNULL，

CnoCHAR(4)NOTNULL，

GradeSMALLINT，

PRIMARYKEY(Sno，Cno)/*只能在表级定义主码*/);［例2］将SC表中的Sno，Cno属性组定义为码59实体完整性检查和违约处理插入或对主码列进行更新操作时，RDBMS按照实体完整性规则自动进行检查。包括：检查主码值是否唯一，如果不唯一则拒绝插入或修改检查主码的各个属性是否为空，只要有一个为空就拒绝插入或修改60实体完整性检查和违约处理(续)检查记录中主码值是否唯一的一种方法是进行全表扫描61实体完整性检查和违约处理(续)另一个是索引

62数据库完整性5.2.1实体完整性5.2.2参照完整性5.2.3用户定义的完整性5.2.4完整性约束命名子句5.2.5域中的完整性限制63参照完整性定义关系模型的参照完整性定义在CREATETABLE中用FOREIGNKEY短语定义哪些列为外码用REFERENCES短语指明这些外码参照哪些表的主码64参照完整性定义(续)［例3］定义SC中的参照完整性

CREATETABLESC(SnoCHAR(9)NOTNULL，

CnoCHAR(4)NOTNULL，

GradeSMALLINT，

PRIMARYKEY(Sno，Cno)，/*在表级定义实体完整性*/

FOREIGNKEY(Sno)REFERENCESStudent(Sno)，

/*在表级定义参照完整性*/

FOREIGNKEY(Cno)REFERENCESCourse(Cno)

/*在表级定义参照完整性*/);例如，关系SC中一个元组表示一个学生选修的某门课程的成绩，（Sno，Cno）是主码。Sno，Cno分别参照引用Student表的主码和Course表的主码65参照完整性检查和违约处理可能破坏参照完整性的情况及违约处理被参照表（例如Student）参照表（例如SC）违约处理可能破坏参照完整性

插入元组可能破坏参照完整性

可能破坏参照完整性

可能破坏参照完整性66违约处理参照完整性违约处理拒绝(NOACTION)执行默认策略级联(CASCADE)操作设置为空值（SET-NULL）对于参照完整性，除了应该定义外码，还应定义外码列是否允许空值67违约处理(续)CREATETABLESC(SnoCHAR(9)NOTNULL，

CnoCHAR(4)NOTNULL，

GradeSMALLINT，

PRIMARYKEY（Sno，Cno），

FOREIGNKEY(Sno)REFERENCESStudent(Sno) ONDELETECASCADE/*级联删除SC表中相应的元组*/ONUPDATECASCADE，/*级联更新SC表中相应的元组*/FOREIGNKEY(Cno)REFERENCESCourse(Cno) ONDELETENOACTION /*当删除course表中的元组造成了与SC表不一致时拒绝删除*/ONUPDATECASCADE /*当更新course表中的cno时，级联更新SC表中相应的元组*/)；［例4］显式说明参照完整性的违约处理示例68数据库完整性5.2.1实体完整性5.2.2参照完整性5.2.3用户定义的完整性5.2.4完整性约束命名子句5.2.5域中的完整性限制69用户定义的完整性用户定义的完整性就是针对某一具体应用的数据必须满足的语义要求RDBMS提供，而不必由应用程序承担70用户定义的完整性属性上的约束条件的定义属性上的约束条件检查和违约处理元组上的约束条件的定义元组上的约束条件检查和违约处理71属性上的约束条件的定义CREATETABLE时定义列值非空（NOTNULL）列值唯一（UNIQUE）检查列值是否满足一个布尔表达式（CHECK）72属性上的约束条件的定义(续)不允许取空值

［例5］在定义SC表时，说明Sno、Cno、Grade属性不允许取空值。

CREATETABLESC

（SnoCHAR(9)NOTNULL，

CnoCHAR(4)NOTNULL，

GradeSMALLINTNOTNULL，

PRIMARYKEY(Sno，Cno)，

/*如果在表级定义实体完整性，隐含了Sno，Cno不允许取空值，则在列级不允许取空值的定义就不必写了*/

）；73属性上的约束条件的定义(续)列值唯一［例6］建立部门表DEPT，要求部门名称Dname列取值唯一，部门编号Deptno列为主码

CREATETABLEDEPT(DeptnoNUMERIC(2)，

DnameCHAR(9)UNIQUE，/*要求Dname列值唯一*/LocationCHAR(10)，

PRIMARYKEY(Deptno))；74属性上的约束条件的定义(续)

用CHECK短语指定列值应该满足的条件［例7］Student表的Ssex只允许取“男”或“女”。

CREATETABLEStudent(SnoCHAR(9)PRIMARYKEY，

SnameCHAR(8)NOTNULL，

SsexCHAR(2)CHECK(SsexIN(‘男’，‘女’))

，

/*性别属性Ssex只允许取'男'或'女'*/SageSMALLINT，

SdeptCHAR(20));75用户定义的完整性属性上的约束条件的定义属性上的约束条件检查和违约处理元组上的约束条件的定义元组上的约束条件检查和违约处理76属性上的约束条件检查和违约处理插入元组或修改属性的值时，RDBMS检查属性上的约束条件是否被满足如果不满足则操作被拒绝执行77用户定义的完整性属性上的约束条件的定义属性上的约束条件检查和违约处理元组上的约束条件的定义元组上的约束条件检查和违约处理78元组上的约束条件的定义在CREATETABLE时可以用CHECK短语定义元组上的约束条件，即元组级的限制同属性值限制相比，元组级的限制可以设置不同属性之间的取值的相互约束条件

79元组上的约束条件的定义(续)CREATETABLEStudent

(SnoCHAR(9)，

SnameCHAR(8)NOTNULL，

SsexCHAR(2)，

SageSMALLINT，

SdeptCHAR(20)，

PRIMARYKEY(Sno)，

CHECK(Ssex='女'ORSnameNOTLIKE'Ms.%')/*定义了元组中Sname和Ssex两个属性值之间的约束条件*/)；性别是女性的元组都能通过该项检查，因为Ssex=‘女’成立；当性别是男性时，要通过检查则名字一定不能以Ms.打头［例9］当学生的性别是男时，其名字不能以Ms.打头。80用户定义的完整性属性上的约束条件的定义属性上的约束条件检查和违约处理元组上的约束条件的定义元组上的约束条件检查和违约处理81元组上的约束条件检查和违约处理插入元组或修改属性的值时，RDBMS检查元组上的约束条件是否被满足如果不满足则操作被拒绝执行

82数据库完整性5.2.1实体完整性5.2.2参照完整性5.2.3用户定义的完整性5.2.4完整性约束命名子句5.2.5域中的完整性限制83完整性约束命名子句CONSTRAINT约束CONSTRAINT<完整性约束条件名>［PRIMARYKEY短语|FOREIGNKEY短语|CHECK短语］84完整性约束命名子句(续)CREATETABLEStudent

(SnoNUMERIC(6)

CONSTRAINTC1CHECK(SnoBETWEEN90000AND99999)，

SnameCHAR(20)

CONSTRAINTC2NOTNULL，

SageNUMERIC(3)

CONSTRAINTC3CHECK(Sage<30)，

SsexCHAR(2)

CONSTRAINTC4CHECK(SsexIN('男'，'女'))，

CONSTRAINTStudentKeyPRIMARYKEY(Sno))；在Student表上建立了5