【正文】 據(jù)的能力可以簡化系統(tǒng)的使用 ? 可以與授權結合 ， 限制用戶只能訪問所需要的數(shù)據(jù) ， 實現(xiàn)一定程度的安全保護 ? 利用視圖實現(xiàn)安全保護的基本思想是： ? 首先通過定義視圖，屏蔽掉一部分需要對某些用戶保密的數(shù)據(jù) ? 然后，在視圖上定義存取權限，將對視圖的訪問權授予這些用戶，而不允許他們直接訪問定義視圖的關系（基本表） 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 82 自主存取控制 (續(xù) ) ? 由于視圖是用查詢定義的 ， 而查詢是求滿足某個謂詞 （ 查詢條件 ） 的元組集 ， 因此視圖與授權配合使用實際上間接實現(xiàn)了使用謂詞定義用戶的存取權限 ? 需要說明的是 ? 創(chuàng)建視圖的用戶不一定能夠獲得該視圖上的所有權限 ? 為了有效地阻止用戶透過視圖越權訪問數(shù)據(jù)庫，創(chuàng)建視圖的用戶在視圖上所獲得的權限不能超過他在定義視圖的基本表上所擁有的權限 ? 例如，假設用戶 U對基本表 T1擁有修改權（ UPDATE），對基本表T2擁有讀取數(shù)據(jù)權（ SELECT），用戶 U基于基本表 T1和 T2創(chuàng)建了一個視圖 V，則用戶 U只能查詢視圖 V 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 83 強制存取控制 ? 在自主存取控制中 ， 系統(tǒng)根據(jù)用戶對數(shù)據(jù)庫對象的存取權限來進行安全控制 ， 而不考慮數(shù)據(jù)庫對象本身的安全等級 ? 這樣 ， 自主存取控制不能阻止副本的非授權傳播 ? 例如 ， 甲將自己權限內的數(shù)據(jù)存取權授予乙 ， 本來只是允許乙本人操縱這些數(shù)據(jù) 。 但是 ， 乙可以復制這些數(shù)據(jù) ， 制造副本 ， 并在未征得甲同意的情況下傳播副本 ? 強制存取控制 （ MAC） 是系統(tǒng)為保證更高程度的安全性 ， 按照 《 可信計算機系統(tǒng)評估準則關于可信數(shù)據(jù)庫系統(tǒng)的解釋 》 （ TCSEC/TDI） 安全策略的要求所采取的強制存取檢查手段 ? MAC不是用戶能直接感知或進行控制的，適用于對數(shù)據(jù)有嚴格而固定密級分類的部門，如軍事部門、政府部門等 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 84 強制存取控制 (續(xù) ) ? MAC機制就是通過對比主體和客體的敏感度標記，確定主體是否能夠存取客體。 ? 1. 主體與客體 ? 在 MAC 中 ， DBMS 管理的全部實體分為主體和客體兩大類： ? 主體 是系統(tǒng)中的活動實體 ? 主體可以是 DBMS管理的實際用戶 、 代表用戶的各進程 ? 客體 是系統(tǒng)中的被動實體 ， 是受主體操縱的 ? 如文件 、 基本表 、 索引 、 視圖等 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 85 強制存取控制 (續(xù) ) ? 2. 敏感度標記 ? 對于主體和客體 ， DBMS為它們的每個實例 （ 值 ） 指派一個敏感度標記（ Label） ? 敏感度標記分成若干級別 ， 如絕密 （ Top Secret） 、 機密 （ Secret） 、秘密 （ Confidential） 、 公開 （ Public） ? 主體的敏感度標記稱為 許可證級別 （ Clearance Level） 。 ? 客體的敏感度標記稱為 密級 （ Classification Level） 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 86 強制存取控制 (續(xù) ) ? 強制存取控制規(guī)則 ? 當某一用戶（或主體）注冊時，系統(tǒng)要求他對任何客體的存取必須遵循下面兩條規(guī)則 ? 1. 僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應的客體 ? 2. 僅當主體的許可證級別等于客體的密級時，該主體才能寫相應的客體 ? 某些系統(tǒng)修正了第 2條規(guī)則： ? 2’. 僅當主體的許可證級別小于或等于客體的密級時，該主體才能寫相應的客體； 即用戶可以為寫入的數(shù)據(jù)對象賦予高于自己的許可證級別的密級 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 87 強制存取控制 (續(xù) ) ? 這樣一旦數(shù)據(jù)被寫入 ， 該用戶自己也不能再讀該數(shù)據(jù)對象 。 ? 修正前后的規(guī)則的共同點：均禁止擁有高許可證級別的主體更新低密級的數(shù)據(jù)對象 ， 從而防止了敏感數(shù)據(jù)的泄漏 ? MAC是對數(shù)據(jù)本身進行密級標記，無論數(shù)據(jù)如何復制，標記與數(shù)據(jù)是一個不可分的整體。只有符合密級標記要求的用戶才可以操縱數(shù)據(jù)，從而提供了更高級別的安全性 ? MAC與 DAC比較 ? MAC比 DAC具有更高的保護級別 ， 因此支持 MAC的系統(tǒng)必須支持DAC， 由 DAC與 MAC共同構成 DBMS的安全機制 ? 同時提供 DAC和 MAC保護的系統(tǒng)稱為多級安全系統(tǒng) ? 在多級安全系統(tǒng)中，系統(tǒng)首先進行 DAC檢查，對通過 DAC檢查的允許存取的數(shù)據(jù)對象再由系統(tǒng)自動進行 MAC檢查，只有通過 MAC檢查的訪問才是允許的 SQL的授權 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 89 SQL的授權與回收 ? SQL支持自主存取控制，提供了相當強大定義授權機制 ? 1. 授權語句 ? 授予權限語句 GRANT語句的形式如下： GRANT 權限列表 ON 對象名 TO 用戶 /角色列表 [WITH GRANT OPTION] ? 該語句功能：將 對象名 所標識的對象上的一種或多種存取權限賦予一個或多個用戶或角色 ? 存取權限由 權限列表 指定，用戶或角色由 用戶 /角色列表 指定 ? 包含可選短語 WITH GRANT OPTION時，獲得授權的用戶還可以把獲得權限授予其他用戶；缺省時，獲得權限的用戶不能傳播權限 ? 授權者必須是 DBA或執(zhí)行授權語句的用戶 ? 執(zhí)行授權語句的用戶必須是數(shù)據(jù)庫對象的創(chuàng)建者或擁有并可以傳播相應權限的用戶 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 90 SQL的授權與回收 (續(xù) ) ? 權限列表 可以是 ? ALL PRIVILEGES（ 所有權限 ） ? SELECT：查詢 ? DELETE：刪除元組 ? INSERT [(屬性列 , … , 屬性列 )]：插入 ? 包含屬性列表時 ， 只能在指定的屬性列上為新元組提供值；否則允許插入整個元組 ? UPDATE [(屬性列 , … , 屬性列 )]：修改 ? 包含屬性列表時 ， 只能修改元組在指定屬性列上的值；否則允許修改整個元組 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 91 SQL的授權與回收 (續(xù) ) ? REFERENCES [(屬性列 , … , 屬性列 )]：賦予用戶創(chuàng)建關系時定義外碼的能力 ? 如果用戶在創(chuàng)建的關系中包含參照其他關系的屬性的外碼 ，那么用戶必須在這些屬性上具有 REFERENCES權限 ? 對象名 可以是基本表或視圖名 . ? 當對象名為基本表名時 ， 表名前可以使用保留字 TABLE（ 可以省略 ） ? 用戶 /角色列表 可以是 PUBLIC（ 所有用戶 ） 或指定的用戶或角色的列表 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 92 SQL的授權與回收 (續(xù) ) ? 例 把查詢 Students表權限授予所有用戶可使用： GRANT SELECT ON Students TO PUBLIC。 ? 將對 Students和 Courses表的所有權限授予用戶 U1和 U2 GRANT ALL PRIVILIGES ON Students, Courses TO U1, U2。 ? 說 明 : U1和 U2都不能傳播他們獲得的權限 。 ? 如果允許他們傳播得到的權限 ， 可以用： GRANT ALL PRIVILIGES ON Students, Courses TO U1, U2 WITH GRANT OPTION。 ? 把對表 SC的插入元組權限和修改成績 （ Grade） 的權限授予用戶 U3，可以用： GRANT INSERT, UPDATE (Grade) ON TABLE SC TO U3。 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 93 SQL的授權與回收 (續(xù) ) ? 2. 基于視圖的授權 ? SQL支持基于視圖的授權，允許定義視圖，并將視圖上的存取權授予其他用戶 ? 適當?shù)囟x視圖，使用視圖上的授權可以進一步將用戶對數(shù)據(jù)庫的訪問限制在關系的某些元組和 /或某些屬性上 ? 例 假設 LangYuqing是信息工程學院（ IE）的教務員。我們只允許她對信息工程學院的學生的選課關系 SC進行訪問（查詢、插入、刪除和修改）。我們可以定義一個視圖 IE_SC，它僅包含信息工程學院學生的選課紀錄 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 94 SQL的授權與回收 (續(xù) ) CREATE VIEW IE_SC AS SELECT Sno, Cno, Grade FROM SC WHERE Sno IN (SELECT Sno FROM Students WHERE Dno=‘IE’)； ? 將視圖 IE_SC上的所有存取權都授予 LangYuqing：而不允許她訪問 SC GRANT ALL PRIVILIGES ON IE_SC TO LangYuqing。 ? 這樣 ， LangYuqing就獲得了對信息工程學院學生成績的處理權 ， 同時可以阻止她對其他院系學生的選課記錄進行操作 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 95 SQL的授權與回收 (續(xù) ) ? 例 假設我們允許輔導員 SongYaoju查詢信息工程學院學生的成績 ，顯示學號 、 姓名 、 課程名和成績 ? 先創(chuàng)建一個視圖 IEGrades： CREATE VIEW IEGrades (Sno, Sname, Cname, Grade) AS SELECT , Sname, Cname, Grade FROM Students S, SC, Courses C WHERE = AND = AND IN (SELECT Sno FROM Students WHERE Dno=‘IE’)。 ? 用授權語句將查詢視圖 IEGrades的權限授予 SongYaoju： GRANT SELECT ON IEGrades TO SongYaoju。 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 96 SQL的授權與回收 (續(xù) ) ? 3. 收回授權 ? 收回授權使用 REVOKE語句 ， 格式如下 ： REVOKE 權限列表 ON 對象名 FROM 用戶 /角色列表 {CASCADE | RESTRICT} ? 該語句將 對象名 所標識的對象上的一種或多種存取權限從一個或多個用戶或角色收回 ? 權限列表 指定存取權限 ， 與授權語句相同 ? 用戶 /角色列表 指定用戶或角色與授權語句相同 ? CASCADE或 RESTRICT分別表示回收是級聯(lián)或受限的 ? 當數(shù)據(jù)對象 O上的權限 P從用戶 U回收時 ， 級聯(lián)回收導致其它用戶從 U獲得的數(shù)據(jù)對象 O上的權限 P也被回收 ? 對于受限回收 ， 僅當其他用戶都不持有用戶 U授予的數(shù)據(jù)對象 O上的權限 P時 ， 才能從用戶 U收回數(shù)據(jù)對象 O上的權限 P。 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 97 SQL的授權與回收 (續(xù) ) ? 例 假設在 Students上的 UPDATE授權傳播如圖 ? DBA執(zhí)行 REVOKE UPDATE ON Students FROM U2 RESTRICT。 ? 將返回一個錯誤信息 ， 而不會收回用戶 U2在 Students上的 UPDATE權限 ， 因為用戶 U4和 U5還持有 U2授予的 Students上的 UPDATE權限 。 ? DBA執(zhí)行 REVOKE UPDATE ON Students FROM U2 CASCADE。 ? 將收回用戶 U2在 Students上的 UPDATE權限，同時級聯(lián)地收回 U2授予 U4和 U5的 Students上的 UPDATE權限 ? 注意： U1授予 U4的 Students上的 UPDATE權限并未收回。 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 98 SQL對角色的支持 ? SQL99支持角色 ? 使用角色進行授權必須先創(chuàng)建角色，將數(shù)據(jù)庫對象上的存取權限授予角色，才能將角色授予用戶，使得用戶擁有角色所具有的所有存取權限 ? SQL99允許收回賦予角色的存取權，收回授予用戶的角色 ? 1. 創(chuàng)建角色和角色授權 ? 創(chuàng)建角色使用如下形式的語句： CREATE ROLE 角色名 ? 該語句創(chuàng)建一個角色 ， 用 角色名 命名 ? 可以像對用戶授權那樣 ， 使用授權語句對角色進行授權 2021年 11月 10日星期三 數(shù)據(jù)庫系統(tǒng)原理 99 SQL對角色的支持 (續(xù) ) ? 例 語句 CREATE ROLE Teller。 ? 創(chuàng)建一個名為 Teller的角色 ?