【文章內(nèi)容簡(jiǎn)介】 （ DAC）方法 用戶標(biāo)識(shí)與鑒別 存取控制 自主存取控制（ DAC）方法 授權(quán)（ Authorization）與回收（ Revoke） 數(shù)據(jù)庫(kù)角色 強(qiáng)制存取控制（ MAC）方法 * An Introduction to Database System 52 自主存取控制 （ DAC） 方法 ?同一用戶 對(duì)于不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限 ?不同的用戶 對(duì)同一對(duì)象也有不同的權(quán)限 ?用戶還可將其擁有的存取權(quán)限 轉(zhuǎn)授 給其他用戶 * An Introduction to Database System 53 自主存取控制 （ DAC） 方法 ?定義存取權(quán)限 –存取權(quán)限 ? 存取權(quán)限由兩個(gè)要素組成 –數(shù)據(jù)對(duì)象 –操作類型 * An Introduction to Database System 54 自主存取控制 （ DAC） 方法（續(xù)） – 關(guān)系系統(tǒng)中的存取權(quán)限 ?類型 數(shù)據(jù)對(duì)象 操作類型 模 式 模 式 建立、修改、刪除、檢索 外模式 建立、修改、刪除、檢索 內(nèi)模式 建立、刪除、檢索 數(shù) 據(jù) 表 查找、插入、修改、刪除 屬性列 查找、插入、修改、刪除 * An Introduction to Database System 55 自主存取控制 （ DAC） 方法（續(xù)） – 關(guān)系系統(tǒng)中的存取權(quán)限 (續(xù) ) ?定義方法 – GRANT/REVOKE * An Introduction to Database System 56 自主存取控制 （ DAC） 方法（續(xù)） – 關(guān)系系統(tǒng)中的存取權(quán)限 (續(xù) ) ?例 : 一張授權(quán)表 用戶名 數(shù)據(jù)對(duì)象名 允許的操作類型 王 平 關(guān)系 Student SELECT 張明霞 關(guān)系 Student UPDATE 張明霞 關(guān)系 Course ALL 張明霞 SC. Grade UPDATE 張明霞 SC. Sno SELECT 張明霞 SC. Cno SELECT * An Introduction to Database System 57 自主存取控制 （ DAC） 方法（續(xù)） ?檢查存取權(quán)限 – 對(duì)于獲得上機(jī)權(quán)后又進(jìn)一步發(fā)出存取數(shù)據(jù)庫(kù)操作的用戶 ?DBMS查找數(shù)據(jù)字典，根據(jù)其存取權(quán)限對(duì)操作的合法性進(jìn)行檢查 ?若用戶的操作請(qǐng)求超出了定義的權(quán)限，系統(tǒng)將拒絕執(zhí)行此操作 * An Introduction to Database System 58 自主存取控制 （ DAC） 方法（續(xù)） ? 授權(quán) 粒度 – 授權(quán)粒度是指可以定義的數(shù)據(jù) 對(duì)象的范圍 ?它是衡量授權(quán)機(jī)制 是否靈活 的一個(gè)重要指標(biāo)。 ?授權(quán)定義中數(shù)據(jù)對(duì)象的粒度 越細(xì) ，即可以定義的數(shù)據(jù)對(duì)象的 范圍越小 ，授權(quán)子系統(tǒng)就 越靈活 。 * An Introduction to Database System 59 自主存取控制 （ DAC） 方法（續(xù)） – 關(guān)系數(shù)據(jù)庫(kù)中授權(quán)的數(shù)據(jù)對(duì)象粒度 ? 數(shù)據(jù)庫(kù) ? 表 ? 屬性列 ? 行 – 能否提供與數(shù)據(jù)值有關(guān)的授權(quán)反映了 授權(quán)子系統(tǒng)精巧程度 * An Introduction to Database System 60 自主存取控制 （ DAC） 方法（續(xù)） ?實(shí)現(xiàn)與數(shù)據(jù)值有關(guān)的授權(quán) – 利用存取謂詞 ?存取謂詞可以很復(fù)雜 – 可以引用系統(tǒng)變量，如終端設(shè)備號(hào)，系統(tǒng)時(shí)鐘等，實(shí)現(xiàn)與時(shí)間地點(diǎn)有關(guān)的存取權(quán)限，這樣用戶只能在某段時(shí)間內(nèi)，某臺(tái)終端上存取有關(guān)數(shù)據(jù) 例：規(guī)定“教師只能在每年 1月份和 7月份星期一至星期五上午 8點(diǎn)到下午 5點(diǎn)處理學(xué)生成績(jī)數(shù)據(jù)”。 * An Introduction to Database System 61 自主存取控制 （ DAC） 方法（續(xù)） 例：擴(kuò)充后的授權(quán)表 用戶名 數(shù)據(jù)對(duì)象名 允許的操作類型 存取謂詞 王平 關(guān)系 Student SELECT Sdept=?CS? 張明霞 關(guān)系 Student UPDATE Sname=?張明霞張明霞 關(guān)系 Course ALL 空 * An Introduction to Database System 62 自主存取控制 （ DAC） 方法（續(xù)） ?自主存取控制小結(jié) – 定義存取權(quán)限 ?用戶 – 檢查存取權(quán)限 ?DBMS * An Introduction to Database System 63 自主存取控制 （ DAC） 方法（續(xù)） ?自主存取控制小結(jié) (續(xù) ) – 授權(quán)粒度 ?數(shù)據(jù)對(duì)象粒度：數(shù)據(jù)庫(kù)、表、屬性列、行 – 數(shù)據(jù)值粒度：存取謂詞 ?授權(quán)粒度越細(xì)，授權(quán)子系統(tǒng)就越靈活，能夠提供的安全性就越完善。但另一方面，因數(shù)據(jù)字典變大變復(fù)雜，系統(tǒng)定義與檢查權(quán)限的開(kāi)銷也會(huì)相應(yīng)地增大。 * An Introduction to Database System 64 自主存取控制 （ DAC） 方法（續(xù)） ?自主存取控制小結(jié) (續(xù) ) – 優(yōu)點(diǎn) ?能夠通過(guò)授權(quán)機(jī)制有效地控制其他用戶對(duì)敏感數(shù)據(jù)的存取 * An Introduction to Database System 65 自主存取控制 （ DAC） 方法（續(xù)） ?自主存取控制小結(jié) (續(xù) ) – 缺點(diǎn) ?可能存在數(shù)據(jù)的“無(wú)意泄露” ?原因：這種機(jī)制僅僅通過(guò)對(duì)數(shù)據(jù)的存取權(quán)限來(lái)進(jìn)行安全控制，而數(shù)據(jù)本身并無(wú)安全性標(biāo)記。 ?解決：對(duì)系統(tǒng)控制下的所有主客體實(shí)施強(qiáng)制存取控制策略 * An Introduction to Database System 66 授權(quán)與回收 用戶標(biāo)識(shí)與鑒別 存取控制 自主存取控制（ DAC）方法 授權(quán)（ Authorization）與回收（ Revoke） 數(shù)據(jù)庫(kù)角色 強(qiáng)制存取控制（ MAC）方法 * An Introduction to Database System 67 授權(quán)與回收 ?某個(gè)用戶對(duì)某類數(shù)據(jù)庫(kù)對(duì)象具有何種操作權(quán)力是個(gè) 政策問(wèn)題而不是技術(shù)問(wèn)題 。 ?DBMS的功能是保證這些決定的執(zhí)行。 * An Introduction to Database System 68 授權(quán)與回收 ?GRANT語(yǔ)句的一般格式： GRANT 權(quán)限 [,權(quán)限 ]... [ON 對(duì)象類型 對(duì)象名 ] TO 用戶 [,用戶 ]... [WITH GRANT OPTION]。 ?誰(shuí)定義 ？ DBA和表的建立者 （ 即表的屬主 ） ? REVOKE功能：將對(duì)指定操作對(duì)象的指定操作權(quán)限授予指定的用戶 。 * An Introduction to Database System 69 (1) 操作權(quán)限 對(duì)象 對(duì)象類型 操 作 權(quán) 限 屬性列 TABLE SELECT,INSERT,UPDATE DELETE,ALL PRIVILEGES 視圖 TABLE SELECT,INSERT,UPDATE DELETE,ALL PRIVILEGES 基本表 TABLE SELECT,INSERT,UPDATE DELETE ALTER, INDEX, ALL PRIVILEGES 數(shù)據(jù)庫(kù) DATABASE CREATETAB * An Introduction to Database System 70 (2) 用戶的權(quán)限 ?建表 （ CREATETAB） 的權(quán)限 :屬于 DBA ?DBA授予 普通用戶 ?基本表或視圖的屬主擁有對(duì)該表或視圖的一切操作權(quán)限 ?接受權(quán)限的用戶 : 一個(gè)或多個(gè)具體用戶 PUBLIC（全體用戶） * An Introduction to Database System 71 (4) WITH GRANT OPTION子句 ?指定了 WITH GRANT OPTION子句 : 獲得某種權(quán)限的用戶還可以把這種權(quán)限再授予 別的用戶。 ?沒(méi)有指定 WITH GRANT OPTION子句 : 獲得某種權(quán)限的用戶只能使用該權(quán)限，不能傳播 該權(quán)限 * An Introduction to Database System 72 例題 例 1 把查詢 Student表權(quán)限授給用戶 U1 GRANT SELECT ON TABLE Student TO U1。 * An Introduction to Database System 73 例題（續(xù)） 例 2 把對(duì) Student表和 Course表的全部權(quán)限授予用戶 U2和 U3 GRANT ALL PRIVILEGES ON TABLE Student, Course TO U2, U3。 * An Introduction to Database System 74 例題（續(xù)） 例 3 把對(duì)表 SC的查詢權(quán)限授予所有用戶 GRANT SELECT ON TABLE SC TO PUBLIC。 * An Introduction to Database System 75 例題（續(xù)） 例 4 把查詢 Student表和修改學(xué)生學(xué)號(hào)的權(quán)限授給用戶 U4