数据库第四章ppt课件

数据库原理 万涛华东交通大学信息工程学院E mail wantao217 Telq 471387802 数据库原理 万涛 2 2020 3 4 问题的提出数据库的一大特点是数据可以共享但数据共享必然带来数据库的安全性问题数据库系统中的数据共享不能是无条件的共享数据库中数据的共享是在DBMS统一的严格的控制之下的共享 即只允许有合法使用权限的用户访问允许他存取的数据数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一 数据库原理 万涛 3 2020 3 4 数据库的安全性是指保护数据库 防止因用户非法使用数据库造成数据泄露 更改或破坏 数据库安全性控制的常用方法 用户标识和鉴别存取控制视图机制审计数据加密 数据库原理 万涛 4 2020 3 4 数据库原理 万涛 5 2020 3 4 1 用户标识与鉴别 Identification Authentication 系统提供的最外层安全保护措施基本方法系统提供一定的方式让用户标识自己的名字或身份系统内部记录着所有合法用户的标识每次用户要求进入系统时 由系统核对用户提供的身份标识通过鉴定后才提供机器使用权用户标识和鉴别可以重复多次 数据库原理 万涛 6 2020 3 4 用户标识和鉴别的方法有多种 为了获得更强的安全性 往往是多种方法并举 常用的方法有以下几种 1 用一个用户名或用户标识符来标明用户的身份 系统以此来鉴别用户的合法性 如果正确 则可进入下一步的核实 否则不能使用计算机 2 用户标识符是用户公开的标识 它不足以成为鉴别用户身份的凭证 为了进一步核实用户身份 常采用用户名与口令 Password 相结合的方法 系统通过核对口令判别用户身份的真伪 数据库原理 万涛 7 2020 3 4 3 通过用户名和口令来鉴别用户的方法简单易行 但其产生和使用较简单易被窃取 因此可采用更复杂的方法 例如 每个用户都预先约定好一个过程或者函数 鉴别用户身份时 系统提供一个随机数 用户根据自己预先约定的计算过程或者函数进行计算 系统根据计算结果辨别用户身份的合法性 如让用户记住一个表达式T X 2Y 系统告诉用户X 1 Y 2 若用户回答T 5 则证实该用户的身份 当然在实际使用中 还可以设计复杂的表达式 使安全性更好 数据库原理 万涛 8 2020 3 4 2 存取控制用户存取权限指的是不同的用户对于不同的数据对象允许执行的操作权限 在数据库系统中每个用户只能访问有权存取的数据并执行有权使用的操作 因此须预先定义用户的存取权限 对于合法的用户 系统根据其存取权限的定义对其各种操作请求进行合法权限检查 确保合法操作 用户权限的定义和合法权检查机制一起组成DBMS的安全子系统 数据库原理 万涛 9 2020 3 4 常用存取控制方法 自主存取控制 DiscretionaryAccessControl 同一用户对于不同的数据对象有不同的存取权限不同的用户对同一对象也有不同的权限用户还可将其拥有的存取权限转授给其他用户强制存取控制 MandatoryAccessControl 每一个数据对象被标以一定的密级每一个用户也被授予某一个级别的许可证对于任意一个对象 只有具有合法许可证的用户才可以存取 数据库原理 万涛 10 2020 3 4 用户存取权限由两个要素组成 数据对象和操作类型 定义一个用户的存取权限就是要定义这个用户可以在哪些数据对象上进行哪些类型的操作 数据库原理 万涛 11 2020 3 4 在数据库系统中 定义存取权限称为授权 SQL语言使用GRANT语句和REVOKE语句实现存取权限的定义 GRANT语句向用户授予权限 REVOKE语句收回授予的权限 数据库原理 万涛 12 2020 3 4 一 GRANTGRANT语句的一般格式 GRANT ON TO WITHGRANTOPTION GRANT的功能 将对指定操作对象的指定操作权限授予指定的用户 数据库原理 万涛 13 2020 3 4 发起GRANT语句的权限 DBA或该数据对象创建者或拥有该权限的用户接受权限的用户 一个或多个具体用户PUBLIC 全体用户 WITHGRANTOPTION子句指定了该子句则获得某种权限的用户还可以把这种权限再授予别的用户 没有指定该子句则获得某种权限的用户只能使用该权限 不能传播该权限 数据库原理 万涛 14 2020 3 4 例1 把查询Student表权限授给用户U1GRANTSELECTONStudentTOU1例2 把对Student表和Course表的全部权限授予用户U2和U3GRANTALLPRIVILEGESONStudentTOU2 U3 GRANTALLPRIVILEGESONCourseTOU2 U3 数据库原理 万涛 15 2020 3 4 例3 把对表SC的查询权限授予所有用户GRANTSELECTONSCTOPUBLIC例4 把查询Student表和修改学生学号的权限授给用户U4GRANTUPDATE Sno SELECTONStudentTOU4 数据库原理 万涛 16 2020 3 4 例5 把对表SC的INSERT权限授予U5用户 并允许他再将此权限授予其他用户GRANTINSERTONSCTOU5WITHGRANTOPTION 数据库原理 万涛 17 2020 3 4 执行例5后 U5不仅拥有了对表SC的INSERT权限 还可以传播此权限 GRANTINSERTONSCTOU6WITHGRANTOPTION同样 U6还可以将此权限授予U7 GRANTINSERTONSCTOU7但U7不能再传播此权限 U5 U6 U7 数据库原理 万涛 18 2020 3 4 二 REVOKEREVOKE语句的一般格式 REVOKE ON FROM CASCADE REVOKE的功能 从指定用户那里收回对指定对象的指定权限 数据库原理 万涛 19 2020 3 4 例6 把用户U4修改学生学号的权限收回REVOKEUPDATE Sno ONStudentFROMU4例7 收回所有用户对表SC的查询权限REVOKESELECTONSCFROMPUBLIC 数据库原理 万涛 20 2020 3 4 例8 把用户U5对SC表的INSERT权限收回REVOKEINSERTONSCFROMU5CASCADE系统将收回直接或间接从U5处获得的对SC表的INSERT权限 U5 U6 U7收回U5 U6 U7获得的对SC表的INSERT权限 U5 U6 U7 数据库原理 万涛 21 2020 3 4 小结DBA拥有对数据库中所有对象的