第六章数据库安全性和完整性

1、第六章第六章 数据库安全性和完整性数据库安全性和完整性z安全性、完整性安全性、完整性 protect 数据库数据库 from 非法使用非法使用v非法用户非法用户 （安全性）（安全性）w（黑客等）未授权的用户，进入了数据库系统。（黑客等）未授权的用户，进入了数据库系统。v非法操作非法操作 （安全性）（安全性）w已授权的用户，执行了超出其允许范围的操作。已授权的用户，执行了超出其允许范围的操作。v非法数据非法数据 （完整性）（完整性）w合法用户的合法操作，也可能产生错误的数据，例如负合法用户的合法操作，也可能产生错误的数据，例如负的分数。的分数。目录目录z6.1 数据库安全性保护数据库安全性保护

2、6.1.1 安全性问题的提出安全性问题的提出 6.1.2 安全性保护范围安全性保护范围 6.1.3 安全性保护技术安全性保护技术z6.2 SQL 授权机制授权机制z6.3 数据库完整性数据库完整性z6.4 SQL完整性约束机制完整性约束机制安全性问题的提出安全性问题的提出z数据库安全问题的必要性数据库安全问题的必要性v国家安全国家安全v企业安全企业安全v金融安全金融安全多层次的安全性保护多层次的安全性保护z外部环境外部环境z操作系统操作系统z网络网络z数据库系统数据库系统安全性保护技术安全性保护技术z 基于视图技术基于视图技术v 为不同需求的用户，打造不同的视图为不同需求的用户，打造不同的视图

3、 = 用户需要的数据用户需要的数据z 基于访问控制技术基于访问控制技术v 控制每一个用户对数据库的访问，都在事先允许的范围内。控制每一个用户对数据库的访问，都在事先允许的范围内。v 实现：实现： 用户身份鉴别用户身份鉴别 (口令、磁卡、指纹等口令、磁卡、指纹等) 用户权限管理用户权限管理 (SQL，本章，本章6.2) 用户权限验证用户权限验证 (数据库运行时，安全性子系统完成数据库运行时，安全性子系统完成)z 审计追踪技术审计追踪技术v 记录用户访问数据库全过程（什么用户什么时间什么操作？），记录用户访问数据库全过程（什么用户什么时间什么操作？），以便回溯以便回溯v like 监控摄像监控摄像

4、安全性保护技术安全性保护技术z其它安全技术其它安全技术v统计数据库统计数据库v数据加密数据加密目录目录z6.1 数据库安全性保护数据库安全性保护z6.2 SQL 授权机制授权机制z6.3 数据库完整性数据库完整性z6.4 SQL完整性约束机制完整性约束机制授予权限授予权限z命令格式（命令格式（ORACLE语法）语法）grant 权限权限, n on 对象类型对象类型 对象名对象名 to 用户用户, n | public with grant option vpublic：代表所有用户。：代表所有用户。vwith grant option ：有此选项：有此选项, 用户可把获得的权限转用户可把获得

5、的权限转授给其它用户。否则授给其它用户。否则, 用户只能使用不能转授该权限。用户只能使用不能转授该权限。v注：注：SQL SERVER的语法，请去掉对象类型的语法，请去掉对象类型授予权限授予权限v权限类型权限类型(1) CREATE : (2) SELECT : (3) INSERT : (4) UPDATE :(5) DELETE : 以上都是执行同名以上都是执行同名SQL语句的权限语句的权限(6) REFERENCE: 针对表，表示可以引用该表的主键针对表，表示可以引用该表的主键 来定义（其它表的）外部键。来定义（其它表的）外部键。(7) ALL : 对象上的所有权限对象上的所有权限v数据

6、对象类型数据对象类型(1) SCHEMA: 数据库模式数据库模式(2) TABLE : 基本表基本表(3) VIEW : 视图视图(4) ATTRIBUTE: 属性属性授予权限授予权限z DBA执行语句如下执行语句如下grant select, update on TABLE 选修表选修表 to 教务员王教务员王 with grant option 则则教务员王教务员王 （从谁那里？）获得选修表的（从谁那里？）获得选修表的select, update权限，权限，并且还可以把这个权限转授给其它用户并且还可以把这个权限转授给其它用户z 用户用户教务员王教务员王执行了如下语句执行了如下语句grant

7、 select (姓名姓名, 课程课程), update (分数分数) on TABLE 选修表选修表 to 辅导员李辅导员李 则则教务员王教务员王把对选修表上某些列的权限赋给用户把对选修表上某些列的权限赋给用户辅导员李辅导员李 ，但后者不可以把这个权限再转授给其它用户。但后者不可以把这个权限再转授给其它用户。回收权限回收权限z命令格式命令格式revoke 权限权限, n on 对象类型对象类型 对象名对象名 from 用户用户, n | public CASCADE|RESTRICTvCASCADE : 级联式收回权限（若该用户已将权限转级联式收回权限（若该用户已将权限转 授给其它用户，则一

8、并收回）授给其它用户，则一并收回）vRESTRICT: 不存在级联时收回权限成功，存在级联时不存在级联时收回权限成功，存在级联时 （用户已把权限转授出去）则命令失败。（用户已把权限转授出去）则命令失败。回收权限回收权限zDBA执行以下语句执行以下语句revoke update on Table 选修表选修表 from 教务员王教务员王 cascade 则则DBA回收用户回收用户教务员王教务员王的对选修表的更新权限，的对选修表的更新权限，此前此前教务员王教务员王转授给转授给辅导员李辅导员李的对选修表某的对选修表某些列的更新权限也要一并收回。些列的更新权限也要一并收回。v思考：如果以上命令中的思考

9、：如果以上命令中的cascade改成改成restrict？禁止权限禁止权限z 对比对比grant to 用户用户 w授与正权限：使用户可以做相应的操作授与正权限：使用户可以做相应的操作w特殊情况：特殊情况：A，B授予同一个用户同一个权限授予同一个用户同一个权限X，即该用户的，即该用户的权限有两个来源。权限有两个来源。deny to 用户用户w禁用（授予负）权限：使用户以后绝对不可以做相应操作禁用（授予负）权限：使用户以后绝对不可以做相应操作w继续上个例子，继续上个例子，C禁止该用户的禁止该用户的X权限（权限（X），那么用户无），那么用户无法再做此权限的操作，即使之前法再做此权限的操作，即使之前

10、A, B授予了授予了“正权限正权限” 。revoke from 用户用户w收回，相当于取消以前授予的（正、负）权限。注意，禁止权收回，相当于取消以前授予的（正、负）权限。注意，禁止权限后，取消禁止也是限后，取消禁止也是revoke。w思考：如果思考：如果B收回授予用户的正权限收回授予用户的正权限X，有什么效果？接下来，有什么效果？接下来，C取消他的授予负权限（禁止权限）呢？取消他的授予负权限（禁止权限）呢？角色机制角色机制zWhy 角色角色?v如果有一组用户，他们的权限相同或非常相近。那么如果有一组用户，他们的权限相同或非常相近。那么设置一个角色代表这组用户，统一给角色授权，可以设置一个角色代

11、表这组用户，统一给角色授权，可以大大减少工作量。大大减少工作量。zWhat 角色角色?v=用户集合用户集合v另一个角度，另一个角度，=权限集合权限集合角色机制角色机制zhow 角色角色?v例子例子w辅导员小王，小李，辅导员小王，小李，想访问数据库里的学生表。但只想访问数据库里的学生表。但只允许他们能查询，和更新某些字段比如年龄、宿舍？允许他们能查询，和更新某些字段比如年龄、宿舍？vCreate Role 角色名角色名w创建角色创建角色vgrant 角色角色 to 用户用户 with grant option w把此用户拉入这个用户集合（他也可以继续拉人？）把此用户拉入这个用户集合（他也可以继续

12、拉人？）w思考：如果要把用户拉出这个集合？思考：如果要把用户拉出这个集合？vgrant 权限权限 to 角色角色 with grant optionw集合中的每个用户，以及以后的新用户，都具有该权限集合中的每个用户，以及以后的新用户，都具有该权限（他们可以转授权限？）（他们可以转授权限？）数据库级别的权限数据库级别的权限grant 数据库级权限数据库级权限 to 用户用户v数据库级权限包括：数据库级权限包括：connect ：允许用户连接到此数据库：允许用户连接到此数据库resource：connect权限权限+建新表、删除表及索引等权利建新表、删除表及索引等权利dba ：resource权限

13、权限 + 授予或撤消其他用户的授予或撤消其他用户的 connect、resource、dba权限权限v=用户类型授权用户类型授权 （教材（教材6.2.1）目录目录z6.1 数据库安全性保护数据库安全性保护z6.2 SQL 授权机制授权机制z6.3 数据库完整性数据库完整性z6.4 SQL完整性约束机制完整性约束机制完整性概念完整性概念z完整性完整性v指数据的正确性、有效性和相容性指数据的正确性、有效性和相容性z完整性规则完整性规则v是为保证完整性，数据所必须满足的约束条件。是为保证完整性，数据所必须满足的约束条件。v又称完整性约束、完整性约束条件。又称完整性约束、完整性约束条件。v可以分为两类

14、可以分为两类w静态约束：数据取值的条件。静态约束：数据取值的条件。例如：年龄例如：年龄0w动态约束：数据变化动态约束：数据变化/修改数据的条件（新旧值比较）修改数据的条件（新旧值比较）例如：工资例如：工资.新值新值 工资工资.旧值旧值*1.2完整性概念完整性概念z完整性控制完整性控制v在数据库系统中，保障数据的完整性。在数据库系统中，保障数据的完整性。 这一工作由这一工作由DBMS的完整性子系统的完整性子系统完成。完成。v围绕完整性规则进行，包括两方面：围绕完整性规则进行，包括两方面：w定义完整性规则定义完整性规则 （SQL, 本章本章6.4）w检查完整性规则，并做处理检查完整性规则，并做处理

15、具体地说，在用户发出操作（具体地说，在用户发出操作（insert, update, delete等），等），修改了数据后，检查是否仍满足完整性规则。如果不满足，修改了数据后，检查是否仍满足完整性规则。如果不满足，则进行处理则进行处理: 报警报警/拒绝拒绝/调整其它数据等。调整其它数据等。关系模型的三种完整性规则关系模型的三种完整性规则z关系模型的三要素关系模型的三要素v关系关系v关系操作关系操作v关系完整性关系完整性w实体完整性（规则）实体完整性（规则）w参照完整性（规则）参照完整性（规则）w用户定义完整性（规则）用户定义完整性（规则）关系模型的三种完整性规则关系模型的三种完整性规则z实体完整

16、性实体完整性v规则：关系中，元组主键取值唯一，且不能取空值规则：关系中，元组主键取值唯一，且不能取空值w主键由多个属性构成时，每一个属性都不能取空值主键由多个属性构成时，每一个属性都不能取空值v意义：现实世界的实体可以相互区分。实体映射为意义：现实世界的实体可以相互区分。实体映射为 元组后，通过主键来相互区分。元组后，通过主键来相互区分。学号学号课程号课程号 成绩成绩NULL NULL65S1C165S2C378S2C290S3C192选修选修学号学号课程号课程号 成绩成绩NULLC165S1C165S2C378S2C290S3C192选修选修关系模型的三种完整性规则关系模型的三种完整性规则z

17、参照完整性参照完整性v规则：外部键要么取空值，要么取一个存在的对应规则：外部键要么取空值，要么取一个存在的对应 主键值。主键值。v意义：外部键反映联系。取空值，表示没有联系。取意义：外部键反映联系。取空值，表示没有联系。取 一个存在的主键值，表示一个存在的主键值，表示(外部键所在元组外部键所在元组/实体实体 )和这个主键值所在的元组和这个主键值所在的元组/实体联系。实体联系。外部键外部键对应主键对应主键职工表职工表职工号职工号姓名姓名年龄年龄 工资工资部门号部门号E01张美田张美田355000B01E02刘顺刘顺406000B02E03沈坚沈坚null3200B05E04许法天许法天43Nul

18、lNull部门部门部门号部门号部门名称部门名称经理经理B01人事人事张涛张涛B02销售销售李兰秋李兰秋B03财务财务吴天吴天关系模型的三种完整性规则关系模型的三种完整性规则z思考：思考：v创建表时，出现在外部键中的属性应设为什么数据类创建表时，出现在外部键中的属性应设为什么数据类型型?关系模型的三种完整性规则关系模型的三种完整性规则z用户定义完整性规则用户定义完整性规则v规则：用户根据具体的应用环境定义。规则：用户根据具体的应用环境定义。w例如例如分数的取值范围从分数的取值范围从0到到100，性别只能是，性别只能是男男或或女女或或NULL（上海）（上海） A股股东账号是股股东账号是“A+9位数

19、字位数字”v意义：意义：w反映现实世界的真实属性取值反映现实世界的真实属性取值w反映了程序编制的要求反映了程序编制的要求目录目录z6.1 数据库安全性保护数据库安全性保护z6.2 SQL 授权机制授权机制z6.3 数据库完整性数据库完整性z6.4 SQL完整性约束机制完整性约束机制主键约束主键约束z主键约束（对应主键约束（对应what?）v规则：主键值不允许空，也不允许出现重复规则：主键值不允许空，也不允许出现重复v定义：创建定义：创建/修改表的语句中，用修改表的语句中，用PRIMARY KEY关键关键 字声明主键的同时，即定义了一个主键约束字声明主键的同时，即定义了一个主键约束Create

20、Table 借阅表借阅表( 书号书号 VARCHAR (10), 读者编号读者编号 VARCHAR (10), 借阅日期借阅日期 dateprimary key (书号书号, 读者编号读者编号, 借阅日期借阅日期)外部键约束外部键约束z外部键约束（对应外部键约束（对应what?）v规则：外部键要么取空值，要么取对应的某个主键值规则：外部键要么取空值，要么取对应的某个主键值v定义：创建定义：创建/修改表的语句中，用修改表的语句中，用FOREIGN KEY关键关键 字声明外部键的同时，即定义一个外部键约束字声明外部键的同时，即定义一个外部键约束Create Table 表名表名 ( , forei

21、gn key (外键属性外键属性 , n) references 被参照表名被参照表名 (主键属性主键属性 ,n) on delete on update )外部键约束外部键约束z 参照动作参照动作v 说明当（被参照关系的）某个主键值被删除说明当（被参照关系的）某个主键值被删除/更新时，如何处理自更新时，如何处理自己表中对应的外部键值己表中对应的外部键值v RESTRICT方式（方式（SQL SERVER：NO ACTION )w仅当没有任何对应的外部键值时，才可以删除仅当没有任何对应的外部键值时，才可以删除/更新这个更新这个主键值，否则系统拒绝执行此操作主键值，否则系统拒绝执行此操作v CA

22、SCADE 方式方式w连带将所有对应的外部键值一起删除连带将所有对应的外部键值一起删除/更新更新v SET NULL 方式方式w将所有对应的外部键值设为空值将所有对应的外部键值设为空值v SET DEAFAULT 方式方式w将所有对应的外部键值设为默认值将所有对应的外部键值设为默认值外部键约束外部键约束nCASCADE方式示例：当主键值被删除方式示例：当主键值被删除/更新时，连带更新时，连带删除删除/更新对应的外部键值更新对应的外部键值更新主键值更新主键值连带更新连带更新外部键值外部键值删除主键值删除主键值连带删除连带删除外部键值外部键值部门部门部门号部门号名称名称B02销售销售职工职工部门号

23、部门号姓姓 名名B02袁志鹏袁志鹏B02陆大勇陆大勇部门部门部门号部门号名称名称D02销售销售职工职工部门号部门号姓姓 名名D02袁志鹏袁志鹏D02陆大勇陆大勇部门部门部门号部门号名称名称职工职工部门号部门号姓姓 名名外部键约束外部键约束nRESTRICT / NO ACTION方式示例：仅当没有任何对方式示例：仅当没有任何对应的外部键值时，才可以删除应的外部键值时，才可以删除/更新主键值，否则系统更新主键值，否则系统拒绝执行此操作拒绝执行此操作更新主键值更新主键值删除主键值删除主键值部门部门部门号部门号名称名称B02销售销售职工职工部门号部门号姓姓 名名B02袁志鹏袁志鹏B02陆大勇陆大勇部

24、门部门部门号部门号名称名称D02销售销售部门部门部门号部门号名称名称外部键约束外部键约束nSET NULL方式示例：主键值被删除方式示例：主键值被删除/更新时，将对应更新时，将对应的外部键值设为空值的外部键值设为空值更新主键值更新主键值删除主键值删除主键值部门部门部门号部门号名称名称B02销售销售职工职工部门号部门号姓姓 名名B02袁志鹏袁志鹏B02陆大勇陆大勇部门部门部门号部门号名称名称D02销售销售职工职工部门号部门号姓姓 名名NULL袁志鹏袁志鹏NULL陆大勇陆大勇部门部门部门号部门号名称名称职工职工部门号部门号姓姓 名名NULL袁志鹏袁志鹏NULL陆大勇陆大勇外部键值外部键值设为空值设

25、为空值外部键值外部键值设为空值设为空值外部键约束外部键约束nSET DEFAULT方式示例：主键值被删除方式示例：主键值被删除/更新时，将更新时，将对应的外部键值设为默认值对应的外部键值设为默认值更新主键值更新主键值删除主键值删除主键值部门部门部门号部门号名称名称B02销售销售职工职工部门号部门号姓姓 名名B02袁志鹏袁志鹏B02陆大勇陆大勇部门部门部门号部门号名称名称D02销售销售职工职工部门号部门号姓姓 名名默认值默认值 袁志鹏袁志鹏默认值默认值 陆大勇陆大勇部门部门部门号部门号名称名称职工职工部门号部门号姓姓 名名默认值默认值 袁志鹏袁志鹏默认值默认值 陆大勇陆大勇外部键值外部键值设为空

26、值设为空值外部键值外部键值设为空值设为空值外部键约束外部键约束z例例Create Table 借阅表借阅表( 书号书号 VARCHAR (10), 读者编号读者编号 VARCHAR (10), 借阅日期借阅日期 dateprimary key (), foreign key (书号书号) references 图书表图书表(书号书号) on update cascade, on delete restrict)Create Table 图书表图书表( 书号书号 VARCHAR (10), 书名书名 VARCHAR(100), primary key (书号书号)外部键约束外部键约束更新主键值更

27、新主键值删除主键值删除主键值图书表图书表书号书号书名书名B102西游记西游记借阅表借阅表书号书号读者编号读者编号B102R056B102R056外部键值外部键值连带更新连带更新图书表图书表书号书号书名书名B1102 西游记西游记图书表图书表书号书号书名书名借阅表借阅表书号书号读者编号读者编号B1102R056B1102R056非空约束非空约束z非空约束非空约束v规则：属性值不允许取空值规则：属性值不允许取空值v定义：创建定义：创建/修改表的语句中，声明某个属性修改表的语句中，声明某个属性NOT NULLCreate Table 读者表读者表( 读者编号读者编号 VARCHAR (10), 姓名

28、姓名 VARCHAR(100) not null, primary key (读者编号读者编号)意味着（像在意味着（像在网页上经常看网页上经常看到的）必填到的）必填*默认值约束默认值约束z默认值约束默认值约束v规则：插入记录时，没有指定数据的属性取默认值规则：插入记录时，没有指定数据的属性取默认值v定义：创建定义：创建/修改表的语句中，声明某个属性时在修改表的语句中，声明某个属性时在 DEFAULT关键字后面说明其默认值关键字后面说明其默认值Create Table 读者表读者表( 读者编号读者编号 VARCHAR (10), 姓名姓名 VARCHAR(100) not null, 地址地址

29、VARCHAR(100) DEFAULT 这家伙很懒，什么也没这家伙很懒，什么也没写写, primary key (读者编号读者编号) )唯一约束唯一约束z唯一约束唯一约束v规则：指定的属性或属性组，不能取重复值规则：指定的属性或属性组，不能取重复值v定义：创建定义：创建/修改表的语句中，用修改表的语句中，用Unique关键字声明关键字声明Create Table 读者表读者表( 读者编号读者编号 VARCHAR (10), 姓名姓名 VARCHAR(100) not null, 电话电话 CHAR(11) -其实考虑到固话，其实考虑到固话，varchar(11)更合适更合适 unique (

30、姓名姓名, 电话电话) )检查约束检查约束z检查约束检查约束v规则：每个元组内部的一或多个属性值，必须满足用规则：每个元组内部的一或多个属性值，必须满足用 户指定的条件户指定的条件v定义：创建定义：创建/修改表的语句中，修改表的语句中，check关键字后说明条件关键字后说明条件Create Table 读者表读者表( 读者编号读者编号 VARCHAR (10), 姓名姓名 VARCHAR(100) not null, 性别性别 CHAR(2) not null check (性别性别=男男 or 性别性别=女女 or 性别性别 is null) )域约束域约束z域约束域约束v规则：域（数据类型

31、）中的值要满足用户指定的条件规则：域（数据类型）中的值要满足用户指定的条件v目的：间接地约束属性。因为如果把某个属性声明为目的：间接地约束属性。因为如果把某个属性声明为 这个域（数据类型），则该属性的取值也连带这个域（数据类型），则该属性的取值也连带 要满足这一条件。要满足这一条件。z定义：在创建域的语句中，在定义：在创建域的语句中，在constraint关键字后关键字后面说面说 明约束的名称和条件。明约束的名称和条件。create domain 用户域名用户域名 系统预定义域系统预定义域 constraint 约束名约束名 check (条件条件) 域约束域约束create domain S

32、EX char(2) check (value in (男男, 女女, Null)Create Table 读者表读者表( 读者编号读者编号 VARCHAR (10), 姓名姓名 VARCHAR(100) not null, 性别性别 SEX primary key (读者编号读者编号)断言断言z断言约束断言约束v断言就是一个谓词（条件），施加在较大范围，例如断言就是一个谓词（条件），施加在较大范围，例如整个数据库的所有数据整个数据库的所有数据w主键约束、检查约束等作用范围较小主键约束、检查约束等作用范围较小 （一个元组或属性（一个元组或属性内部），可以看作是内部），可以看作是“小断言小断言”

33、w如果作用范围比较大，例如要求几个关系之间必须满足如果作用范围比较大，例如要求几个关系之间必须满足什么约束条件，就要什么约束条件，就要“大断言大断言”真正的断言约束真正的断言约束断言断言v创建断言创建断言create assertion 断言名断言名 check (条件条件)w断言创建以后，系统要对每个可能违反该断言条件的修断言创建以后，系统要对每个可能违反该断言条件的修改操作进行检查，这种检查会带来巨大的系统负载，因改操作进行检查，这种检查会带来巨大的系统负载，因此应该谨慎使用断言。此应该谨慎使用断言。w所以实际上很少数据库软件支持断言，而倾向用其它的所以实际上很少数据库软件支持断言，而倾向

34、用其它的等价方法，比如触发器。等价方法，比如触发器。断言断言z例例1v不能出现不能出现“一书两借一书两借”。v思考：哪些表的哪些操作会破坏此断言？思考：哪些表的哪些操作会破坏此断言？读者表读者表(读者编号读者编号, 姓名姓名, 单位单位) 借阅表借阅表(书号书号, 读者编号读者编号, 借阅日期借阅日期, 归还日期归还日期) 图书表图书表(书号书号, 书名书名, 作者作者) create assertion notwice check ( not exist (select * from 借阅表借阅表, 借阅表借阅表借阅表借阅表2 where 借阅表借阅表.书号书号=借阅表借阅表2.书号书号 a

35、nd 借阅表借阅表.归还日期归还日期 is null and 借阅表借阅表.归还日期归还日期 is null )断言断言z例例2v规定计算机系的读者借出不能多于规定计算机系的读者借出不能多于10本书。（练习）本书。（练习）借阅表借阅表(书号书号, 读者编号读者编号, 借阅日期借阅日期, 归还日期归还日期) 图书表图书表(书号书号, 书名书名, 作者作者) 读者表读者表(读者编号读者编号, 姓名姓名, 单位单位) 触发器触发器z触发器触发器v概念：概念：“自动自动”执行的过程。执行的过程。w传统过程是用户调用才传统过程是用户调用才“手动手动”执行执行 ，否则永不执行。，否则永不执行。w在系统检测到某些事件发生（例如：增删改记录）时，在系统检