【正文】 定義可向用戶授權(quán)數(shù)據(jù)庫特定部分的用戶視圖。 ?保護(hù)機(jī)密數(shù)據(jù)： 使用加密技術(shù)保護(hù)機(jī)密數(shù)據(jù)。數(shù)據(jù)庫安全的一部分是控制物理訪問，另一主要部分是通過 DBMS控制訪問。 2/2/2023 DBMS的安全機(jī)制 S Q L 語 法 分 析 * 語 義 檢 查D A C 檢 查M A C 檢 查繼 續(xù)安 全 檢 查2/2/2023 采用該方法以若干種指派模式授予各個(gè)用戶訪問特定數(shù)據(jù)項(xiàng)的權(quán)限或權(quán)力。 在授予或撤消訪問權(quán)限時(shí)，主要有 兩種級(jí)別 ： 數(shù)據(jù)庫對(duì)象： 數(shù)據(jù)項(xiàng)或數(shù)據(jù)元素，一般是基表或視圖； 用戶： 可以用一些授權(quán)標(biāo)識(shí)符識(shí)別的單個(gè)用戶或用戶組。 ?任意控制（ DAC） 2/2/2023 DBMS提供了功能強(qiáng)大的授權(quán)機(jī)制，它可以給用戶授予各種不同對(duì)象（表、視圖、存儲(chǔ)過程等）的不同使用權(quán)限（如 Select、 update、 insert、 delete等）。 在數(shù)據(jù)庫對(duì)象級(jí)別，可將上述訪問權(quán)限應(yīng)用于數(shù)據(jù)庫、基本表、視圖和列等。這項(xiàng)任務(wù)不但耗時(shí)，而且容易出錯(cuò)。數(shù)據(jù)庫角色是被命名的一組與數(shù)據(jù)庫操作相關(guān)的權(quán)限，即一組相關(guān)權(quán)限的集合。使用角色來管理數(shù)據(jù)庫權(quán)限可以簡(jiǎn)化授權(quán)的過程。另外，由于用戶對(duì)數(shù)據(jù)的存取權(quán)限是“自主”的，用戶可以自由地決定將數(shù)據(jù)的存取權(quán)限授予何人、決定是否也將“授權(quán)”的權(quán)限授予別人。 2/2/2023 強(qiáng)制訪問控制克服了任意訪問控制的缺點(diǎn)。強(qiáng)制訪問控制方法是指系統(tǒng)為了保證更高程度的安全性，按照 TDI/TCSEC標(biāo)準(zhǔn)中安全策略的要求所采取的強(qiáng)制訪問檢查手段，它不是用戶能直接感知或進(jìn)行控制的。 2/2/2023 強(qiáng)制訪問控制模型基于與每個(gè)數(shù)據(jù)項(xiàng)和每個(gè)用戶關(guān)聯(lián)的安全性標(biāo)識(shí) (Security Label)。數(shù)據(jù)的標(biāo)識(shí)稱為 密級(jí) (Security Classification)，用戶的標(biāo)識(shí)稱為 許可級(jí)別證 (Security Clearance)。 (2) 當(dāng)且僅當(dāng)用戶的許可證級(jí)別小于或等于數(shù)據(jù)的密級(jí)時(shí)，該用戶才能對(duì)該數(shù)據(jù)進(jìn)行寫操作。視圖不同于基本表，它不存儲(chǔ)實(shí)際數(shù)據(jù)。當(dāng)用戶通過視圖訪問數(shù)據(jù)時(shí)，是從基本表獲得數(shù)據(jù)。在授予用戶對(duì)特定視圖的訪問權(quán)限時(shí)，該權(quán)限只用于在該視圖中定義的數(shù)據(jù)項(xiàng)，而未用于完整基本表本身。審計(jì)記錄可以告訴你正在使用哪些系統(tǒng)權(quán)限，使用頻率是多少，多少用戶正在登錄，會(huì)話平均持續(xù)多長(zhǎng)時(shí)間，正在特殊表上使用哪些命令，以及許多其他有關(guān)事實(shí)。審計(jì)日志一般包括下列內(nèi)容： (1) 操作類型（如修改、查詢等）。 (3) 操作日期和時(shí)間。 (5) 數(shù)據(jù)修改前后的值。 用戶級(jí)審計(jì) 是任何用戶可設(shè)臵的審計(jì)，主要是針對(duì)自己創(chuàng)建的數(shù)據(jù)庫或視圖進(jìn)行審計(jì)，記錄所有用戶對(duì)這些表或視圖的一切成功和（或）不成功的訪問要求以及各種類型的 SQL操作。 2/2/2023 ? 統(tǒng)計(jì)數(shù)據(jù)庫安全性 ? 統(tǒng)計(jì)數(shù)據(jù)庫的 特點(diǎn) – 允許用戶查詢聚集類型的信息（例如合計(jì)、平均值等） – 不允許查詢單個(gè)記錄信息 示例：允許查詢“程序員的平均工資是多少” 不允許查詢“程序員張勇的工資” 2/2/2023 ? 統(tǒng)計(jì)數(shù)據(jù)庫中特殊的 安全性問題 – 隱蔽的信息通道 – 從合法的查詢中推導(dǎo)出不合法的信息 2/2/2023 例 1：下面兩個(gè)查詢都是合法的 ◆ 本公司共有多少女高級(jí)程序員？ ◆ 本公司女高級(jí)程序員的工資總額是多少 ？ 如果第一個(gè)查詢的結(jié)果是“ 1”，那么第二個(gè)查詢的結(jié) 果顯然就是這個(gè)程序員的工資數(shù)。 2/2/2023 例 2：用戶 A發(fā)出下面兩個(gè)合法查詢： ◆ 用戶 A和其他 N個(gè)程序員的工資總額是多少？ ◆ 用戶 B和其他 N個(gè)程序員的工資總額是多少？ 若第一個(gè)查詢的結(jié)果是 X，第二個(gè)查詢的結(jié)果是 Y，由于 用戶 A知道自己的工資是 Z，那么他可以計(jì)算出用戶 B的工 資 =Y(XZ)。 規(guī)則 2：任意兩個(gè)查詢的相交數(shù)據(jù)項(xiàng)不能超過 M個(gè)。 規(guī)則 3：任一用戶的查詢次數(shù)不能超過 1+(N2)/M 。 2/2/2023 數(shù)據(jù)庫安全機(jī)制的 設(shè)計(jì)目標(biāo) ： 試圖破壞安全的人所花費(fèi)的代價(jià) 得到的利益 2/2/2023 第 4章 數(shù)據(jù)庫安全性 ? 數(shù)據(jù)庫安全性概述 ? 訪問控制 ? 數(shù)據(jù)庫加密技術(shù) ? SQL Server的安全機(jī)制 ? Oracle的安全機(jī)制 ? 小結(jié) 2/2/2023 如果入侵者繞過系統(tǒng)訪問數(shù)據(jù)庫的信息內(nèi)容，如果入侵者通過物理移除磁盤或備份磁盤盜走數(shù)據(jù)庫、如果入侵者接入載有真實(shí)用戶數(shù)據(jù)的通信鏈路、如果聰明的入侵者通過運(yùn)行程序突破操作系統(tǒng)防線來檢索數(shù)據(jù)，情況會(huì)如何呢？ 在這些情況下，數(shù)據(jù)庫系統(tǒng)的各種授權(quán)規(guī)則或許不能提供充分的保護(hù)。加密技術(shù)提供了附加保護(hù)，數(shù)據(jù)庫中的數(shù)據(jù)是可以被加密 （ encrypt）的 ， 加密數(shù)據(jù)是不可能被讀出的。 2/2/2023 加密 是一種編碼數(shù)據(jù)的方法，使入侵者難以理解數(shù)據(jù)內(nèi)容，在授權(quán)用戶使用時(shí)，解碼數(shù)據(jù)，使其返回原始格式。當(dāng)前，加密技術(shù)廣泛應(yīng)用于諸如電子資金劃撥（ electronic fund transfers, EFT）和電子商務(wù)等應(yīng)用程序中。 ? 編碼數(shù)據(jù)（稱為明文）的加密密鑰 ? 將明文更改為編碼文本（稱為密文）的加密算法 ? 解碼密文的解碼密鑰 ? 將密文轉(zhuǎn)換回原始明文的解密算法 2/2/2023 加 密 元 素 明 文明 文發(fā) 送 者接 收 者加 密 密 鑰 加 密 算 法 解 密 算 法解 密 密 鑰密 文密 文2/2/2023 ? 編碼 最簡(jiǎn)單、最方便的方法。例如，不存儲(chǔ)銀行分支的名稱，而是存儲(chǔ)代碼來表示。 ? 轉(zhuǎn)臵 使用特殊算法重新排列明文中的字符。不過，未使用加密密鑰的技術(shù)無法提供充分保護(hù)。如果單純使用替代和轉(zhuǎn)臵，若入侵者分析足夠多的編碼文本，可能解密文本。密鑰必須保密，以防范潛在入侵者。若密鑰確實(shí)安全，則要將密鑰作為消息本身的一部分。數(shù)據(jù)加密標(biāo)準(zhǔn) (Data Encryption standard, DES)是該技術(shù)的一個(gè)例子。一種是公開的公鑰，另一種是只有授權(quán)用戶知道的私鑰。公鑰加密（ RSA）是一種非對(duì)稱加密方法。從那時(shí)起，各種行業(yè)機(jī)構(gòu)開始采用 DES。密鑰必須保持秘密，以防范潛在入侵者。該算法由字符替代和轉(zhuǎn)臵（或臵換）構(gòu)成。用 64位密鑰來加密各個(gè)塊。即使 56位密鑰，也可能有 256種可能的不同密鑰。 按下列順序執(zhí)行加密： ? 使用密鑰為各個(gè)塊應(yīng)用初始臵換。 ? 最后應(yīng)用另一種臵換算法，與初始臵換相反。 2/2/2023 ?公鑰加密 公鑰加密技術(shù)由 Rivest、 Shamir和 Adleman提出，該技術(shù)得到廣泛應(yīng)用。 RSA模型基于以下概念： ? 使用兩個(gè)加密密鑰，一個(gè)是公鑰，另一個(gè)是私鑰。 ? 公鑰向所有人發(fā)布，是公開的。 ? 只有個(gè)體用戶知道自己的私鑰。 2/2/2023 公鑰加密技術(shù) 明 文明 文發(fā) 送 者接 收 者 公 共 算 法密 文密 文私 鑰 : 3 9私 鑰 : 2 7公 鑰發(fā) 送 者 1 9接 收 者 1 32/2/2023 RSA的一個(gè)非常重要的應(yīng)用就是實(shí)現(xiàn) 數(shù)字簽名（ digital signature）， 數(shù)字簽名是指附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)所作的密碼變換，這種數(shù)據(jù)變換能使數(shù)據(jù)接收者確認(rèn)數(shù)據(jù)的來源、完整性并保護(hù)數(shù)據(jù)。和公鑰加密法一樣，這一概念是在 [Diffie and Hellman 1976]中首次采用的，但是和公鑰系統(tǒng)一樣，絕大多數(shù)數(shù)字簽名系統(tǒng)也是建立在 RSA算法 [River et ]或者是特別為簽名而開發(fā)的其他算法的基礎(chǔ)上的。數(shù)據(jù)庫數(shù)據(jù)的使用方法決定了它不可能以整個(gè)數(shù)據(jù)庫文件為單位進(jìn)行加密。然而該記錄是數(shù)據(jù)庫文件中隨機(jī)的一段，無法從中間開始解密，除非從頭到尾進(jìn)行一次解密，然后再去查找相應(yīng)的這個(gè)記錄，顯然這是不合適的。 2/2/2023 數(shù)據(jù)庫加密通過對(duì)明文進(jìn)行復(fù)雜的加密操作，以達(dá)到無法發(fā)現(xiàn)明文和密文之間、密文和密鑰之間的內(nèi)在關(guān)系，也就是說經(jīng)過加密的數(shù)據(jù)庫經(jīng)得起來自操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)（ DBMS）的攻擊。 2/2/2023 ? 基于文件的加密 把數(shù)據(jù)庫文件作為整體，用加密算法對(duì)整個(gè)數(shù)據(jù)庫文件加密來保證信息的真實(shí)性和完整性。 這一方法的實(shí)際應(yīng)用受到多方面的限制： （ 1）數(shù)據(jù)修改的工作將變得十分困難，需要進(jìn)行解密、修改、復(fù)制和加密四個(gè)操作，極大地增加了系統(tǒng)的時(shí)空開銷； （ 2）即使用戶只是需要查看某一條記錄，也必須將整個(gè)數(shù)據(jù)庫文件解密，這樣無法實(shí)現(xiàn)對(duì)文件中不需要讓用戶知道的信息的控制。字段加密的原理是將重要的字段內(nèi)容進(jìn)行加密，當(dāng)使用查詢語句獲取結(jié)果集后，再將這些重要的字段內(nèi)容進(jìn)行解密。字段加密具有較高的安全性，但是由于對(duì)一個(gè)記錄進(jìn)行存取時(shí)需要多次的加 /解密處理，這可能對(duì)數(shù)據(jù)庫的訪問速度有所影響。所以，在實(shí)際應(yīng)用中，一般不會(huì)對(duì)所有記錄都進(jìn)行加密處理，而是對(duì)部分安全性要求高的字段進(jìn)行加密處理。 2/2/2023 ?記錄加密 字段加密具有最高的安全性，但是字段加密頻繁地加 /解密過程會(huì)嚴(yán)重影響應(yīng)用程序訪問數(shù)據(jù)庫數(shù)據(jù)的效率。記錄加密時(shí)可以使用單個(gè)密鑰或多個(gè)密鑰。兩者所用的密鑰是不同的，加