《数据库保护》课件.ppt

第六讲数据库保护 本讲将讨论数据库的安全性 完整性 并发控制及数据库的恢复问题 本讲的重点是介绍事务概念 并在此基础上讨论并发控制和恢复问题 数据库的安全性 数据库中的数据是重要的资源 它需要被共享 但同时需要进行保护 数据库的安全性是指对数据库进行保护 防止非法用户的使用而造成的数据泄漏 更改或破坏 安全性控制的一般方法 用户标识和鉴定存取控制密码存储 安全性控制的一般方法 用户标识和鉴定 用户名 SA 口令 有各种口令确定方法 安全性控制的一般方法 存取控制对用户授权存取权限的两个要素 数据对象 操作类型 关系系统中的存取权限 GRANTSELECTONstudentTOhuang 安全性控制的一般方法 其他方法 密码存储定义视图审计 ORACLE的安全性措施 系统权限角色CONNECTRESOURCEDBA数据库对象权限表级行级 通过视图实现 列级 通过视图实现 审计其他触发器 数据库的完整性 数据库的完整性是指数据的正确性和相容性 用于防止合法用户向数据库中加入不合语义的数据 通过在数据库的数据上规定完整性约束条件来实现 完整性约束条件的分类 按作用的对象分列级元组级关系级按发挥作用的时机分静态动态组合起来共有六类 完整性约束条件的分类 含义 静态列级约束列的定义 类型 格式 值域 空值 静态元组级约束元组各个列值之间应该满足的条件 如 发货量不得高于订货量 静态关系级约束实体完整性约束 参照完整性约束 函数依赖约束 统计约束 如 经理的工资不得高于职工平均工资的5倍 动态列级约束修改列定义时的约束 原来允许空值 想改成不允许空值 但 修改列值时的约束 如 只许比原来高 不许比原来低 动态元组级约束元组新旧值之间应满足的约束条件 新工资 原工资 1 5 工龄 动态关系级约束关系变化前后应满足的约束条件 如事务一致性 原子性 数据库完整性控制机制 提供定义功能如 提供定义关系主码的功能提供自动检查功能如 插入 修改时 DBMS自动对主码的值进行检查提供保证措施如 拒绝插入主码属性为空的元组 SQLServer中的完整性控制机制 上机查看HELP 事务 Transaction 事务是为完成一次任务所执行的一个操作序列 事务通常从BEGINTRANSACTION开始 以COMMIT或ROLLBACK终止 以COMMIT结束 事务执行成功 又称事务提交或事务交托 它对数据库的所有改变从此永远存在 并对所有用户来说也都是可见 以ROLLBACK结束 事务执行不成功 在这种情况下 事务中所执行过的那些操作都被撤销 数据库恢复到事务开始执行之前的状态 事务是执行并发控制的基本单位 事务的特点 事务的ACID性质 原子性 Atomicity 原子性要求事务的所有操作要么都被执行 要么都不执行 一致性 Consistency 事务将数据库由一个一致状态变为另一个一致状态 一致性允许数据库在执行一个事务的期间存在不一致状态 但必须保证在事务结束时是一致的 隔离性 Isolation 并发事务要求相互隔离 即当不同事务并发访问数据库时 不应产生相互影响 持久性 Duralility 成功执行的事务结果要被永久保留 即使是在数据库系统遇到各种硬件错误 如磁头损坏 的情形下也要如此 事务的原子性 考查转账事务 首先要执行资金提取操作 然后则是资金存入操作 这样才能将钱从一个账户转移到另一个账户 如果只有资金提取操作而没有资金存入操作 那就会破坏一致性 因为所有账户下的资金总数被改变了 即钱丢失了 为了避免这种事情发生 事务处理要求提取操作和存入操作要么都执行 要么都不执行 这个属性称为原子性 另外 某些更新操作也可能会破坏数据库一致性 如机票订购系统中 如果在某次航班已经没有空位的情况下执行定票操作 就将导致数据库状态的不一致性 这种对数据库的更新操作必须能使数据库从一个一致性状态转换到另一个一致性状态的性质被称为一致性保护 并发事务引起的不一致性 更新丢失 两个事务T1和T2 读入同一数据进行修改 一个事务的修改结果破坏了另一个事务的修改结果 订票 并发事务引起的不一致性 脏读 事务T1修改某一数据 事务T2读取该数据 由于事务T1的撤销使得事务T2读到的数据是错误的数据 设x 库存量 初值为100 T2读到的X 并发事务引起的不一致性 不能重复读 事务T1读取某一数据 由于事务T2 对该数据进行了修改 导致事务T1第二次读该数据时与第一次读出的结果不一致 设x初值为100 T1第二次读时 X 并发事务引起的不一致性 不能重复读 事务T1按一定条件读取某些数据记录后 由于事务T2插入或删除了一些记录 导致事务T1再按同样的条件读取数据时 发现多了一些纪录或者原来的某些记录神秘消失 这种现象也称为幻行 phantomrow 开始时查出10条记录 再查一次变成了11条记录 一致性的三个级别 一级一致性 保证不会发生更新丢失 更新丢失是严重错误 二级一致性 保证不会发生脏读 三级一致性 保证可重复读 并发控制 封锁机制并发控制的主要方法是采用封锁机制 封锁机制是指1 任何想访问某数据库对象的事务 无论这种访问是读还是写 都必须向系统申请一个锁 只有当获得锁后 才能访问这个对象 在此其间 其它想访问该对象的事务必须等到持有锁的事务终止之后 才能获得该对象的锁 2 一个事务结束时 才释放它的锁 锁模式 锁的两种基本类型排它锁 Exclusivelock 事务T对数据加排它锁后 其他事务不能再对该数据加任何锁 一般对数据更新时采用排它锁 共享锁 Sharelock 事务T对数据加共享锁后 其他事务仍可以再对该数据加共享锁 如果仅仅是读取数据 则采用共享锁 锁的相容性 运用三级封锁协议实现三各级别的一致性 立即是指操作后立即释放锁 结束指事务结束后才释放锁 封锁协议举例 一级封锁协议保证一级一致性 防止更新丢失 设x 库存量 初值为100 T1 T2结束后 X 封锁协议举例 二级封锁协议保证二级一致性 防止脏读 设x 库存量 初值为100 T2读取的X 封锁协议举例 三级封锁协议保证三级一致性 保证可重复读 设x 库存量 初值为100 T2读取的X 思考题 举例说明为什么二级封锁协议不能保证三级一致性 两阶段封锁协议 如果规定在一个事务中所有解锁操作必须在任何加锁操作之后 则这种封锁策略称为两阶段封锁协议 两阶段封锁协议将事务分为加锁和解锁两个阶段 并且这两个阶段不能交错进行 也就是说 执行完解锁操作后事务就结束了 不遵守两阶段封锁协议可能会引起脏读和不可重复读 这是因为 在这种情况下事务中释放某个对象上的锁 而这个事务又最终夭折的话 可能导致在解锁和事务夭折之间 其它事务读到该对象上的数据是脏数据 为了防止这种错误发生 大多数商用数据库管理系统都采用了严格的两阶段封锁协议 两阶段封锁协议 锁的数量 时间 事务开始 事务结束 活锁 活锁 事务T1封锁了数据R 事务T2请求封锁数据R T2等待 T3 T4 T5 也请求封锁R T1释放了数据R上的锁后 系统调度批准T3的请求 有可能造成T2永久等待 形成活锁 避免活锁的方法 采用先来先服务的调度策略 死锁 Deadlock 死锁 多个事务封锁了对方所需的数据 同时请求已被对方封锁的数据 从而造成循环等待关系 导致没有一个事务可以被执行 这就是所谓的死锁 避免或解决死锁的方法 可采取以下方法之一来避免发生死锁 或在死锁发生后解除死锁 1 要求事务一次性将所要使用的数据全部加锁 不成功就不执行 2 预先规定一个封锁顺序 要求所有事务按相同的次序对数据进行封锁 3 系统不采取任何避免死锁的措施 而是采取某种方法检测系统中是否发生死锁 在死锁发生时 从形成循环锁的事务中选择一个事务并终止它 从而释放该事务的锁 使得其他事务得以执行 根据事务的原子性 被选中的事务必须回滚 可串行化 串行调度 使事务一个接一个 没有交叉地执行 这种事务调度方法称为串行调度 串行调度的事务执行结果是正确的 但串行调度的并发程度为0 公理 几个事务并行执行的结果是正确的 当且仅当其结果与某一串行调度的执行结果相同 定义 若某组事务的交叉调度产生的结果与这些事务的某一串行调度的结果相同 则这个交叉调度是可串行化的 锁的粒度与并发程度 锁的粒度 granularity 被封锁的对象的大小称为锁的粒度 按由大到小的顺序 可分为 数据库 关系 元组 属性 如果一个数据库系统允许多种粒度的锁 则称该数据库系统是多粒度锁的系统 多粒度锁的应用可以提高系统的并发程度 锁的粒度与并发程度的关系锁的粒度越大 数据库可封锁的数据单元数越少 并发程度越低 封锁机构越简单 为完成封锁的开销越小 反之 封锁的粒度越小 则可封锁的数据单元数越多 并发程度越高 同时封锁机构也越复杂 为完成封锁的开销也越大 多粒度锁的锁模式 除共享锁和排它锁之外 还引入了意向锁 Intentionlock 意向锁的引入旨在降低实现封锁所需要的系统开销 基于关系和元组粒度的多粒度锁模式 多粒度锁的相容矩阵 多粒度锁模式下事务调度的可串行性 在多粒度锁模式下要保证事务调度的可串行性 必须在遵守二阶段协议和上述相容矩阵的前提下 再遵守以下规则 若想获得小粒度层次上的S锁 则相应大粒度层次必须先被锁定在IS模式下 若想获得小粒度层次上的X锁 则相应大粒度层次必须先被锁定在IX或SIX模式下 加锁次序是从大粒度到小粒度 解锁次序相反 在支持继承层次的系统中 加锁也具有继承性 多粒度锁模式下的封锁机制举例 无需等待 并发执行 若不采用多粒度锁呢 采用封锁机制进行并发控制的代价 基于封锁的并发控制策略造成额外的系统开销 维护锁的开销 即使只有只读事务也必须维护锁 事务要经常性地等待其它事务的终止 死锁检测过程所花费的新的系统开销 在死锁情况下 回滚 夭折 某个事务的开销也不可忽视 乐观的并发控制策略 乐观的并发控制策略 不对数据进行封锁 允许所有的事务运行 直到事务想提交对数据库的改变时 系统启动一个证实过程来检测是否可能发生冲突 如果检测到冲突 则回滚该事务 乐观并发控制的事务阶段读阶段证实阶段写阶段 读阶段 将事务访问的所有数据库对象拷贝到事务的私有空间 所有更新操作均在私有空间进行 因而不必加锁 系统为事务保持两个集合 读集合 事务读出的所有数据库对象 和写集合 事务更新的所有数据库对象 读阶段完成后 加入一个时间戳 事务结束读 写阶段的时刻 进入验证阶段 读阶段实际上是事务的本地化执行阶段 证实阶段 验证事务与其他事务 早期事务 有无冲突 若无冲突 则可提交事务 进入写阶段 否则 回滚事务 验证阶段根据下述三个准则来判断有无冲突 只要符合其中一个 即可保证事务是可串行化的 即 没有冲突 将事务T的早期事务记为T 由事务的时间戳确定 准则一 在T开始读阶段之前 T 都结束了写阶段准则二 T 的写集合不能与T的读集合相交 并且 在T开始写阶段之前 T 结束其写阶段 准则三 T 的写集合不能与T的读集合或写集合相交 写阶段 将事务的本地更新 提交给数据库 数据库的恢复 由于各种原因 事务的ACID特性会被破坏 从而引起数据库的错误 此时需要将数据库恢复到正确的状态 回滚Rollback是一种特殊的恢复 造成回滚的原因是事务的失败 或称事务故障 造成数据库错误的其他原因 软件故障 如操作系统错误 数据库系统错误硬件故障 如硬盘故障 自然灾害 恢复的基本原理 冗余 建立冗余的两种方式 数据库备份或转储 定期将数据库复制到其他存储设备上保存起来的过程 保存的数据库数据叫作备份 备份或转储按备份时是否要停止对数据库的操作可分为静态备份和动态备份 静态备份可保证备份数据的一致性 而动态备份由于备份时可以对数据库进行更新 所以不能保证备份数据的一致性 需要通