東華大學(xué)數(shù)據(jù)庫與軟件工程08

第8章數(shù)據(jù)庫保護(hù)技術(shù)數(shù)據(jù)庫管理系統(tǒng)必須提供統(tǒng)一的數(shù)據(jù)保護(hù)功能，以保證數(shù)據(jù)庫中數(shù)據(jù)的安全可靠和正確性。8.1數(shù)據(jù)庫安全性及SQLServer的安全管理8.2數(shù)據(jù)庫完整性及SQLServer的完整性控制8.3數(shù)據(jù)庫并發(fā)控制及SQLServer并發(fā)控制機(jī)制8.4數(shù)據(jù)庫恢復(fù)技術(shù)與SQLServer數(shù)據(jù)恢復(fù)機(jī)制8.1數(shù)據(jù)庫安全性及SQLServer的安全管理數(shù)據(jù)庫的安全性是指保護(hù)數(shù)據(jù)庫，以防止不合法的使用造成的數(shù)據(jù)泄密、更改或破壞。

8.1.1數(shù)據(jù)庫安全性控制的一般方法第8章數(shù)據(jù)庫保護(hù)技術(shù)1.用戶標(biāo)識與鑒別Identification&Authentication(1)用輸入用戶名（用戶標(biāo)識號）來標(biāo)明用戶身份。(2)通過回答口令標(biāo)識用戶身份。(3)通過回答對隨機(jī)數(shù)的運(yùn)算結(jié)果表明用戶身份。

第8章數(shù)據(jù)庫保護(hù)技術(shù)第8章數(shù)據(jù)庫保護(hù)技術(shù)2.存取控制AccessControl(1)存取機(jī)制的構(gòu)成。

1)定義用戶權(quán)限，并將用戶權(quán)限登記到數(shù)據(jù)字典中。

2)當(dāng)用戶提出操作請求時(shí)，系統(tǒng)進(jìn)行權(quán)限檢查，拒絕用戶的非法操作。

第8章數(shù)據(jù)庫保護(hù)技術(shù)(2)存取機(jī)制的類別1)自主存取控制（DiscretionaryAC）用戶對于不同的對象有不同的存取權(quán)限；不同的用戶對同一對象的存取權(quán)限也各不相同；用戶可將自己擁有的存取權(quán)限轉(zhuǎn)授給其他用戶。

2)強(qiáng)制存取控制（MandatoryAC）每一個(gè)數(shù)據(jù)對象被標(biāo)以一定的密級；每一個(gè)用戶也被授予某一個(gè)級別的許可證；對于任意一個(gè)對象，只有具有合法許可證的用戶才可以存取。第8章數(shù)據(jù)庫保護(hù)技術(shù)3.

自主存取控制方法關(guān)系中的用戶權(quán)限SQL的數(shù)據(jù)控制功能授權(quán)機(jī)制的性能自主存取控制的不足之處第8章數(shù)據(jù)庫保護(hù)技術(shù)4.強(qiáng)制存取控制方法主體、客體及敏感度標(biāo)記

主體是系統(tǒng)中的活動實(shí)體

DBMS所管理的實(shí)際用戶代表用戶的各進(jìn)程客體是系統(tǒng)中的被動實(shí)體，是受主體操縱的文件基表索引視圖第8章數(shù)據(jù)庫保護(hù)技術(shù)敏感度標(biāo)記（Label）絕密（TopSecret）機(jī)密（Secret）可信（Confidential）公開（Public）主體的敏感度標(biāo)記稱為許可證級別（ClearanceLevel）客體的敏感度標(biāo)記稱為密級（ClassificationLevel）第8章數(shù)據(jù)庫保護(hù)技術(shù)(2)主體對客體的存取規(guī)則1)僅當(dāng)主體的許可證級別大于或等于客體的密級時(shí)，該主體才能讀取相應(yīng)的客體。2)僅當(dāng)主體的許可證級別等于客體的密級時(shí)，該主體才能寫相應(yīng)的客體。第8章數(shù)據(jù)庫保護(hù)技術(shù)禁止了擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象。第8章數(shù)據(jù)庫保護(hù)技術(shù)（3）由DAC和MAC共同構(gòu)成的安全機(jī)制

SQL語法分析&語義檢查

DAC檢查安全檢查MAC檢查

繼續(xù)先進(jìn)行DAC檢查，通過DAC檢查的數(shù)據(jù)對象再由系統(tǒng)進(jìn)行MAC檢查，只有通過MAC檢查的數(shù)據(jù)對象方可存取。第8章數(shù)據(jù)庫保護(hù)技術(shù)5.視圖為不同的用戶定義不同的視圖，通過視圖把數(shù)據(jù)對象限制在一定范圍內(nèi)，把要保密的數(shù)據(jù)對無權(quán)存取的用戶隱藏起來，從而自動地對數(shù)據(jù)提供一定程度的安全保護(hù)。

第8章數(shù)據(jù)庫保護(hù)技術(shù)6.審計(jì)審計(jì)功能就是把用戶對數(shù)據(jù)庫的所有操作自動記錄下來放入審計(jì)日志中，一旦發(fā)生數(shù)據(jù)被非法存取，DBA可以利用審計(jì)跟蹤的信息，重現(xiàn)導(dǎo)致數(shù)據(jù)庫現(xiàn)有狀況的一系列事件，找出非法存取數(shù)據(jù)的人、時(shí)間和內(nèi)容等。

第8章數(shù)據(jù)庫保護(hù)技術(shù)7.數(shù)據(jù)加密機(jī)制加密是根據(jù)一定的算法將原始數(shù)據(jù)（明文，Plaintext）變換為不可直接識別的格式（密文，Ciphertext），從而使得不知道解密算法的人無法獲得數(shù)據(jù)的內(nèi)容。第8章數(shù)據(jù)庫保護(hù)技術(shù)8.1.2SQLServer的安全體系結(jié)構(gòu)1.SQLServer的安全體系結(jié)構(gòu)(1)WindowsNT操作系統(tǒng)的安全防線

(2)SQLServer的運(yùn)行安全防線(3)SQLServer數(shù)據(jù)庫的安全防線(4)SQLServer數(shù)據(jù)庫對象的安全防線第8章數(shù)據(jù)庫保護(hù)技術(shù)2.SQLServer的安全認(rèn)證模式(1)Windows（S）安全認(rèn)證模式

通過使用Windows網(wǎng)絡(luò)用戶的安全性來控制用戶對SQL服務(wù)器的登錄訪問。它允許一個(gè)網(wǎng)絡(luò)用戶登錄到一個(gè)SQL服務(wù)器上時(shí)不必再提供一個(gè)單獨(dú)的登錄帳號及口令。(2)混合安全認(rèn)證模式

如果用戶網(wǎng)絡(luò)協(xié)議不支持可信任連接，則在Windows（S）安全認(rèn)證模式下會登錄失敗，SQLServer安全認(rèn)證模式將有效。SQLServer安全認(rèn)證模式要求用戶必須輸入有效的SQLServer登錄帳號及口令。第8章數(shù)據(jù)庫保護(hù)技術(shù)3.設(shè)置SQLServer的安全認(rèn)證模式第8章數(shù)據(jù)庫保護(hù)技術(shù)8.1.3SQLServer的用戶和角色管理1.登錄的管理（亦稱Login用戶）通過賬號和口令訪問SQLServer的數(shù)據(jù)庫。(1)查看安全性文件夾的內(nèi)容第8章數(shù)據(jù)庫保護(hù)技術(shù)(2)創(chuàng)建一個(gè)登錄用戶第8章數(shù)據(jù)庫保護(hù)技術(shù)第8章數(shù)據(jù)庫保護(hù)技術(shù)2.數(shù)據(jù)庫用戶的管理(1)dbo用戶

dbo用戶即數(shù)據(jù)庫擁有者或數(shù)據(jù)庫創(chuàng)建者，dbo在其所擁有的數(shù)據(jù)庫中擁有所有的操作權(quán)限。dbo的身份可被重新分配給另一個(gè)用戶，系統(tǒng)管理員Sa可以作為他所管理系統(tǒng)的任何數(shù)據(jù)庫的dbo用戶。(2)guest用戶

如果guest用戶在數(shù)據(jù)庫存在，則允許任意一個(gè)登錄用戶作為guest用戶訪問數(shù)據(jù)庫，其中包括那些不是數(shù)據(jù)庫用戶的SQL服務(wù)器用戶。除系統(tǒng)數(shù)據(jù)庫master和臨時(shí)數(shù)據(jù)庫tempdb的guest用戶不能被刪除外，其他數(shù)據(jù)庫都可以將自己guest用戶刪除，以防止非數(shù)據(jù)庫用戶的登錄用戶對數(shù)據(jù)庫進(jìn)行訪問。第8章數(shù)據(jù)庫保護(hù)技術(shù)(3)創(chuàng)建新的數(shù)據(jù)庫用戶第8章數(shù)據(jù)庫保護(hù)技術(shù)3.數(shù)據(jù)庫角色的管理

(1)在數(shù)據(jù)庫角色中增加或移去用戶第8章數(shù)據(jù)庫保護(hù)技術(shù)(2)創(chuàng)建新的數(shù)據(jù)庫角色第7章關(guān)系數(shù)據(jù)庫理論8.1.4SQLServer的權(quán)限管理

1.SQLServer權(quán)限種類：對象權(quán)限和語句權(quán)限Transact-SQL數(shù)據(jù)庫對象SELECT（查詢）表、視圖、表和視圖中的列UPDATE（修改）表、視圖、表的列INSERT（插入）表、視圖DELETE（刪除）表、視圖EXECUTE（調(diào)用過程）存儲過程DRI（聲明參照完整性）表、表中的列Transact-SQL語句權(quán)限說明CREATEDATABASE創(chuàng)建數(shù)據(jù)庫，由SA授予SQL服務(wù)器用戶或角色CREATEDEFAULT創(chuàng)建缺省CREATEPROCEDURE創(chuàng)建存儲過程CREATERULE創(chuàng)建規(guī)則CREATETABLE創(chuàng)建表CREATEVIEW創(chuàng)建視圖BACKUPDATABASE備份數(shù)據(jù)庫BACKUPLOG備份日志文件第8章數(shù)據(jù)庫保護(hù)技術(shù)2.對象權(quán)限的管理第8章數(shù)據(jù)庫保護(hù)技術(shù)3.語句權(quán)限的管理第8章數(shù)據(jù)庫保護(hù)技術(shù)8.2數(shù)據(jù)庫完整性及SQLServer的完整性控制8.2.1完整性約束條件及完整性控制數(shù)據(jù)完整性約束可以分為：表級約束，若干元組間、關(guān)系中以及關(guān)系之間聯(lián)系的約束；元組級約束，元組中的字段組和字段間聯(lián)系的約束；屬性級約束，針對列的類型、取值范圍、精度、排序等而制定的約束條件。第8章數(shù)據(jù)庫保護(hù)技術(shù)完整性約束分為：靜態(tài)約束，數(shù)據(jù)庫每一確定狀態(tài)時(shí)的數(shù)據(jù)對象所應(yīng)滿足的約束條件；動態(tài)約束，數(shù)據(jù)庫從一種狀態(tài)轉(zhuǎn)變?yōu)榱硪环N狀態(tài)時(shí)，新、舊值之間所應(yīng)滿足的約束條件。第8章數(shù)據(jù)庫保護(hù)技術(shù)完整性控制機(jī)制的功能及執(zhí)行約束(1)完整性控制機(jī)制應(yīng)具有的功能。

1)定義完整性功能，提供定義完整性約束條件的機(jī)制。

2)檢查完整性功能，檢查用戶發(fā)出的操作請求，看其是否違背了完整性約束條件。

3)控制完整性功能，監(jiān)視數(shù)據(jù)操作的整個(gè)過程，如果發(fā)現(xiàn)有違背了完整性約束條件的情況，則采取一定的動作來保證數(shù)據(jù)的完整性。第8章數(shù)據(jù)庫保護(hù)技術(shù)(2)立即執(zhí)行約束和延遲執(zhí)行約束。

有關(guān)數(shù)據(jù)操作語句執(zhí)行完后立即進(jìn)行完整性檢查為立即執(zhí)行約束；在整個(gè)事務(wù)執(zhí)行結(jié)束后再進(jìn)行完整性檢查為延遲執(zhí)行約束。

第8章數(shù)據(jù)庫保護(hù)技術(shù)實(shí)現(xiàn)參照完整性要考慮的幾個(gè)問題(1)外碼能夠接受空值的問題。(2)在被參照關(guān)系中刪除元組的問題。

1)級聯(lián)刪除（CASCADES）。將參照關(guān)系中所有外碼值與被參照關(guān)系中要?jiǎng)h除的元組主碼值相同的元組一起刪除。如果參照關(guān)系同時(shí)又是另一個(gè)關(guān)系的被參照關(guān)系，則這種刪除操作會繼續(xù)級聯(lián)下去。

第8章數(shù)據(jù)庫保護(hù)技術(shù)

2)受限刪除（RESTRICTED）。僅當(dāng)參照關(guān)系中沒有任何元組的外碼值與被參照關(guān)系中要?jiǎng)h除元組的主碼值相同時(shí)，系統(tǒng)才執(zhí)行刪除操作，否則拒絕此刪除操作。

3)置空值刪除（NULLIFIES）。刪除被參照關(guān)系的元組，并將參照關(guān)系中相應(yīng)元組的外碼值置空值。第8章數(shù)據(jù)庫保護(hù)技術(shù)(3)在參照關(guān)系中插入元組時(shí)的問題。1)受限插入。僅當(dāng)被參照關(guān)系存在相應(yīng)的元組，其主碼值與參照關(guān)系插入元組的外碼值相同時(shí)，系統(tǒng)才執(zhí)行插入操作，否則拒絕此操作。2)遞歸插入。該策略首先在被參照關(guān)系中插入相應(yīng)的元組，其主碼值等于參照關(guān)系插入元組的外碼值，然后向參照關(guān)系插入元組。第8章數(shù)據(jù)庫保護(hù)技術(shù)(4)修改關(guān)系的主碼問題。1)不允許修改主碼。如果需要修改主碼值，只能先刪除該元組，然后再把具有新主碼值的元組插入到關(guān)系中。2)允許修改主碼。允許修改關(guān)系主碼，但必須保證主碼的惟一性和非空，否則拒絕修改。第8章數(shù)據(jù)庫保護(hù)技術(shù)(5)修改表是被參照關(guān)系的問題。1)級聯(lián)修改。如果要修改被參照關(guān)系中的某個(gè)元組的主碼值，則參照關(guān)系中相應(yīng)的外碼值也作相應(yīng)的修改。2)拒絕修改。如果參照關(guān)系中，有外碼值與被參照關(guān)系中要修改的主碼值相同的元組，則拒絕修改。3)置空值修改。修改被參照關(guān)系的元組，并將參照關(guān)系中相應(yīng)元組的外碼值置空值。

第8章數(shù)據(jù)庫保護(hù)技術(shù)8.2.2SQLServer的數(shù)據(jù)庫完整性及實(shí)現(xiàn)方法1.SQLServer的數(shù)據(jù)完整性的種類(1)域完整性(2)實(shí)體完整性(3)參照完整性第8章數(shù)據(jù)庫保護(hù)技術(shù)2.SQLServer數(shù)據(jù)完整性的兩種方式(1)聲明數(shù)據(jù)完整性聲明數(shù)據(jù)完整性通過在對象定義中定義、系統(tǒng)本身自動強(qiáng)制來實(shí)現(xiàn)。聲明數(shù)據(jù)完整性包括各種約束、缺省和規(guī)則。(2)過程數(shù)據(jù)完整性

過程數(shù)據(jù)完整性通過使用腳本語言。第8章數(shù)據(jù)庫保護(hù)技術(shù)3.SQLServer實(shí)現(xiàn)數(shù)據(jù)完整性的具體方法(1)SQLServer2000約束的類型DEFAULTCHECKPRIMARYKEYUNIQUEFOREIGNKEY第8章數(shù)據(jù)庫保護(hù)技術(shù)(2)聲明數(shù)據(jù)完整性約束的定義CREATETABLEALTERTABLE(3)默認(rèn)和規(guī)則(4)觸發(fā)器第8章數(shù)據(jù)庫保護(hù)技術(shù)8.3數(shù)據(jù)庫并發(fā)控制及SQLServer的并發(fā)控制機(jī)制數(shù)據(jù)庫的并發(fā)控制就是控制數(shù)據(jù)庫，防止多用戶并發(fā)使用數(shù)據(jù)庫時(shí)造成數(shù)據(jù)錯(cuò)誤和程序運(yùn)行錯(cuò)誤，保證數(shù)據(jù)的完整性。

第8章數(shù)據(jù)庫保護(hù)技術(shù)8.3.1事務(wù)及并發(fā)控制的基本概念

1.事務(wù)的概念

事務(wù)是用戶定義的一個(gè)數(shù)據(jù)庫操作序列，這些操作要么全做要么全不做，是一個(gè)不可分割的工作單位。

在SQL語言中，定義事務(wù)的語句有三條：

BEGINTRANSACTION；

COMMIT；

ROLLBACK；第8章數(shù)據(jù)庫保護(hù)技術(shù)事務(wù)的特性：ACID原子性Atomicity一致性Consistency隔離性Isolation持續(xù)性Durability2.事務(wù)并發(fā)操作可能產(chǎn)生的數(shù)據(jù)不一致問題T2T1T2T1T21)讀A=20

1)讀A=50讀B=100求和=150

1)讀C=100C←C*2寫回C

2)

讀A=203)A←A-1寫回A=19

2)

讀B=100B←B*2寫回B=2002)

讀C=2004)A←A-1寫回A=19(A少減一次)3)讀A=50讀B=200和=250(驗(yàn)算不對)

3)ROLLBACKC恢復(fù)為100(錯(cuò)誤的C值已讀出)

(a)丟失數(shù)據(jù)

(b)不可重復(fù)讀(c)讀“臟”數(shù)據(jù)

T1第8章數(shù)據(jù)庫保護(hù)技術(shù)8.3.2封鎖及封鎖協(xié)議封鎖是使事務(wù)對它要操作的數(shù)據(jù)有一定的控制能力。封鎖具有3個(gè)環(huán)節(jié)：一個(gè)環(huán)節(jié)是申請加鎖，即事務(wù)在操作前要對它將使用的數(shù)據(jù)提出加鎖請求；第二個(gè)環(huán)節(jié)是獲得鎖，即當(dāng)條件成熟時(shí)，系統(tǒng)允許事務(wù)對數(shù)據(jù)加鎖，從而事務(wù)獲得數(shù)據(jù)的控制權(quán)；第三個(gè)環(huán)節(jié)是釋放鎖，即完成操作后事務(wù)放棄數(shù)據(jù)的控制權(quán)。第8章數(shù)據(jù)庫保護(hù)技術(shù)1.鎖的類型排它鎖（ExclusiveLocks，簡稱X鎖），也稱為獨(dú)占鎖或?qū)戞i。一旦事務(wù)T對數(shù)據(jù)對象A加上排它鎖（X鎖），則只允許T讀取和修改A，其他任何事務(wù)既不能讀取和修改A，也不能再對A加任何類型的鎖，直到T釋放A上的鎖為止。共享鎖（ShareLocks，簡稱S鎖），又稱讀鎖。如果事務(wù)T對數(shù)據(jù)對象A加上共享鎖（S鎖），其他事務(wù)只能再對A加S鎖，不能加X鎖，直到事務(wù)T釋放A上的S鎖為止。

第8章數(shù)據(jù)庫保護(hù)技術(shù)2.封鎖協(xié)議(1)一級封鎖協(xié)議：事務(wù)T在修改數(shù)據(jù)之前必須先對其加X鎖，直到事務(wù)結(jié)束才釋放。

一級封鎖協(xié)議可以有效地防止丟失修改，并能夠保證事務(wù)T的可恢復(fù)性。第8章數(shù)據(jù)庫保護(hù)技術(shù)(2)二級封鎖協(xié)議是：事務(wù)T對要修改數(shù)據(jù)必須先加X鎖，直到事務(wù)結(jié)束才釋放X鎖；對要讀取的數(shù)據(jù)必須先加S鎖，讀完后即可釋放S鎖。二級封鎖協(xié)議不但能夠防止丟失修改，還可以進(jìn)一步防止讀“臟”數(shù)據(jù)。第8章數(shù)據(jù)庫保護(hù)技術(shù)(3)三級封鎖協(xié)議：事務(wù)T在讀取數(shù)據(jù)之前必須先對其加S鎖，在要修改數(shù)據(jù)之前必須先對其加X鎖，直到事務(wù)結(jié)束后才釋放所有鎖。由于三級封鎖協(xié)議強(qiáng)調(diào)即使事務(wù)讀完數(shù)據(jù)A之后也不釋放S鎖，從而使得別的事務(wù)無法更改數(shù)據(jù)A。三級封鎖協(xié)議不但防止了丟失修改和讀“臟”數(shù)據(jù)，而且防止了不可重復(fù)讀。T1T2T1T2T1T21)XlockA獲得

1)SlockA

Slock

B讀A=50讀B=100A＋B=150

1)XlockC讀C=100C←C*2寫回C=200

2)讀A=20

Xlock

A等待3)A←A-1寫回A=19CommitUnlockA等待等待等待

2)

XlockB等待等待2)

Slock

C等待等待3)讀A=50

讀B=100A＋B=150

CommitUnlockAUnlockB等待

3)ROLLBACK(C恢復(fù)為100)UnlockC

等待等待

4)

獲得XlockA讀A=19A←A-1寫回A=18CommitUnlock

4)

獲得Xlock讀B=100B←B*2寫回B=200CommitUnlockB4)

獲得SlockC讀C=100CommitCUnlock

C(a)沒有丟失修改(b)可重復(fù)讀(c)不讀“臟”數(shù)據(jù)

第8章數(shù)據(jù)庫保護(hù)技術(shù)8.4數(shù)據(jù)庫恢復(fù)技術(shù)與SQLServer的數(shù)據(jù)恢復(fù)機(jī)制

8.4.1故障的種類事務(wù)內(nèi)部的故障系統(tǒng)故障介質(zhì)故障計(jì)算機(jī)病毒用戶操作錯(cuò)誤

第8章數(shù)據(jù)庫保護(hù)技術(shù)8.4.2數(shù)據(jù)恢復(fù)的實(shí)現(xiàn)技術(shù)1.數(shù)據(jù)轉(zhuǎn)儲

(1)靜態(tài)轉(zhuǎn)儲