1、電子與信息工程學院電子與信息工程學院電子與信息工程學院電子與信息工程學院4.2.1 用戶標識與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權與回收4.2.5 數據庫角色4.2.6 強制存取控制方法電子與信息工程學院電子與信息工程學院一、一、GRANTl GRANT語句的一般格式： GRANT ,. ON TO ,. WITH GRANT OPTION;l語義：將對指定操作對象的指定操作權限授予指定的用戶 電子與信息工程學院電子與信息工程學院l發出GRANT：DBA數據庫對象創建者（即屬主Owner）擁有該權限的用戶l按受權限的用戶 一個或多個具體用戶PUBLIC（全體用戶

2、） 電子與信息工程學院電子與信息工程學院lWITH GRANT OPTION子句:指定：可以再授予沒有指定：不能傳播l不允許循環授權電子與信息工程學院電子與信息工程學院 例1 把查詢Student表權限授給用戶U1 GRANT SELECT ON TABLE Student TO U1;例2 把對Student表和Course表的全部權限授予用 戶U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3;電子與信息工程學院電子與信息工程學院例3 把對表SC的查詢權限授予所有用戶 GRANT SELECT ON TABLE SC

3、TO PUBLIC;例4 把查詢Student表和修改學生學號的權限授給用戶U4 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4;l對屬性列的授權時必須明確指出相應屬性列名電子與信息工程學院電子與信息工程學院 例5 把對表SC的INSERT權限授予U5用戶，并允 許他再將此權限授予其他用戶 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION;執行例5后，U5不僅擁有了對表SC的INSERT權限，還可以傳播此權限。電子與信息工程學院電子與信息工程學院 例6 GRANT INSERT ON TABLE

4、SC TO U6 WITH GRANT OPTION; 同樣，U6還可以將此權限授予U7： 例7 GRANT INSERT ON TABLE SC TO U7; 但U7不能再傳播此權限。 電子與信息工程學院電子與信息工程學院 下表是執行了例例1 1到例例7 7的語句后，學生-課程數據庫中的用戶權限定義表 授權用戶名被授權用戶名數據庫對象名允許的操作類型能否轉授權DBAU1關系StudentSELECT不能DBAU2關系StudentALL不能DBAU2關系CourseALL不能DBAU3關系StudentALL不能DBAU3關系CourseALL不能DBAPUBLIC關系SCSELECT不能D

5、BAU4關系StudentSELECT不能DBAU4屬性Student.SnoUPDATE不能DBAU5關系SCINSERT能U5U6關系SCINSERT能U6U7關系SCINSERT不能電子與信息工程學院電子與信息工程學院二、二、REVOKEREVOKEl授予的權限可以由DBA或其他授權者用REVOKE語句收回lREVOKE語句的一般格式為： REVOKE ,. ON FROM ,.;電子與信息工程學院電子與信息工程學院例8 把用戶U4修改學生學號的權限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4;例9 收回所有用戶對表SC的查詢權限 REVO

6、KE SELECT ON TABLE SC FROM PUBLIC;電子與信息工程學院電子與信息工程學院例10 把用戶U5對SC表的INSERT權限收回 REVOKE INSERT ON TABLE SC FROM U5 CASCADE ;將用戶U5的INSERT權限收回的時候必須級聯（CASCADE）收回 系統只收回直接或間接從U5處獲得的權限 電子與信息工程學院電子與信息工程學院 執行例8到例10的語句后，學生-課程數據庫中的用戶權限定義表授權用戶名被授權用戶名數據庫對象名允許的操作類型能否轉授權DBAU1關系StudentSELECT不能DBAU2關系StudentALL不能DBAU2關

7、系CourseALL不能DBAU3關系StudentALL不能DBAU3關系CourseALL不能DBAU4關系StudentSELECT不能電子與信息工程學院電子與信息工程學院lDBA：擁有所有對象的所有權限不同的權限授予不同的用戶l用戶：擁有自己建立的對象的全部操作權限GRANT：授予其他用戶l被授權的用戶“繼續授權”許可：再授予l所有授予出去的權力在必要時又都可用REVOKE語句收回電子與信息工程學院電子與信息工程學院三、創建數據庫模式的權限 lDBA在創建用戶時實現lCREATE USER語句格式 CREATE USER WITHDBA | RESOURCE | CONNECT電子與信

8、息工程學院電子與信息工程學院擁有的擁有的權限權限可否執行的操作可否執行的操作CREATE USERCREATE SCHEMACREATE TABLE登錄數據庫登錄數據庫 執行數執行數據查詢和操縱據查詢和操縱DBA可以可以可以可以可以可以可以可以RESOURCE不可以不可以不可以不可以可以可以可以可以CONNECT不可以不可以不可以不可以不可以不可以可以，但必須擁有相可以，但必須擁有相應權限應權限權限與可執行的操作對照表權限與可執行的操作對照表 電子與信息工程學院電子與信息工程學院4.2.1 用戶標識與鑒別4.2.2 存取控制4.2.3 自主存取控制方法4.2.4 授權與回收4.2.5 數據庫角

9、色4.2.6 強制存取控制方法電子與信息工程學院電子與信息工程學院l數據庫角色：被命名的一組與數據庫操作相關的權限角色是權限的集合 可以為一組具有相同權限的用戶創建一個角色簡化授權的過程電子與信息工程學院電子與信息工程學院l一、角色的創建 CREATE ROLE l二、給角色授權 GRANT ， ON 對象名 TO ，電子與信息工程學院電子與信息工程學院l三、將一個角色授予其他的角色或用戶GRANT ，TO ， WITH ADMIN OPTION l四、角色權限的收回 REVOKE ，ON FROM ，電子與信息工程學院電子與信息工程學院例11通過角色來實現將一組權限授予一個用戶。步驟如下：

10、1. 首先創建一個角色 R1 CREATE ROLE R1； 2. 然后使用GRANT語句，使角色R1擁有Student表的 SELECT、UPDATE、INSERT權限 GRANT SELECT，UPDATE，INSERT ON TABLE Student TO R1；電子與信息工程學院電子與信息工程學院3. 將這個角色授予王平，張明，趙玲。使他們具有角色R1所包含的全部權限 GRANT R1 TO 王平，張明，趙玲；4. 可以一次性通過R1來回收王平的這3個權限 REVOKE R1 FROM 王平；電子與信息工程學院電子與信息工程學院例12角色的權限修改 GRANT DELETE ON T

11、ABLE Student TO R1電子與信息工程學院電子與信息工程學院例13 REVOKE SELECT ON TABLE Student FROM R1； 電子與信息工程學院電子與信息工程學院DBARole用戶用戶用戶用戶授權授權授權管理授權管理電子與信息工程學院電子與信息工程學院4.2.1 4.2.1 用戶標識與鑒別用戶標識與鑒別4.2.2 4.2.2 存取控制存取控制4.2.3 4.2.3 自主存取控制方法自主存取控制方法4.2.4 4.2.4 授權與回收授權與回收4.2.5 4.2.5 數據庫角色數據庫角色4.2.6 4.2.6 強制存取控制方法強制存取控制方法電子與信息工程學院電子

12、與信息工程學院l可能存在數據的“無意泄露”。l原因：這種機制僅僅通過對數據的存取權限來進行安全控制，而數據本身并無安全性標記。l解決：對系統控制下的所有主客體實施強制存取控制策略 。電子與信息工程學院電子與信息工程學院l強制存取控制強制存取控制（MAC)指系統為保證更高程度的安全性，按照TDI/TCSEC標準中安全策略的要求，所采取的強制存取檢查手段MAC不是用戶能直接感知或進行控制的MAC適用于對數據有嚴格而固定密級分類的部門軍事部門， 政府部門電子與信息工程學院電子與信息工程學院l在MAC中，DBMS所管理的全部實體被分為主體和客體兩大類l主體是系統中的活動實體 DBMS所管理的實際用戶應

13、用程序、進程以及線程等客體是系統中的被動實體，是受主體操縱的 文件、基表、索引、視圖電子與信息工程學院電子與信息工程學院l對于主體和客體，DBMS為它們每個實例（值）指派一個敏感度標記l敏感度標記（Label）：絕密、機密、可信、公開l主體的敏感度標記稱為許可證級別，客體的敏感度標記稱為密級。lMAC機制就是通過對比主體的Label和客體的Label，最終確定主體是否能夠存取客體電子與信息工程學院電子與信息工程學院l當某一用戶（或某一主體）以標記label注冊入系統時，系統要求他對任何客體的存取必須遵循下面兩條規則： (1)僅當主體的許可證級別大于或等于客體的密級 時，該主體才能讀取相應的客體

14、。(2)僅當主體的許可證級別等于客體的密級時，該 主體才能寫相應的客體。電子與信息工程學院電子與信息工程學院l修正規則主體的許可證級別 得到的利益電子與信息工程學院電子與信息工程學院4.1 計算機安全性概述4.2 數據庫安全性控制4.3 視圖機制4.4 審計（Audit） 4.5 數據加密4.6 統計數據庫安全性4.7 小結電子與信息工程學院電子與信息工程學院l隨著計算機網絡的發展，數據的共享日益加強，數據的安全保密越來越重要。lDBMS是管理數據的核心，因而其自身必須具有一整套完整而有效的安全性機制。電子與信息工程學院電子與信息工程學院l可信計算機系統評測標準TCSEC/TDI是目前各國所引用或制定的一系列安全標準中最重要的一個。 lTCSEC/TDI從安全策略、責任、保證和文檔四個方面描述了安全性級別的指標電子與信息工程學院電子與信息工程學院l實現數據庫系統