第8章數據庫保護技術

數據庫系統(tǒng)原理及應用機械工業(yè)出版社

第8章數據庫保護技術第8章

數據庫保護技術

8.1數據庫的安全性及SQLServer的安全管理

8.2數據庫完整性及SQLServer的完整性控制

8.3數據庫并發(fā)控制及SQLServer并發(fā)控制機制

8.4數據庫恢復技術與SQLServer數據恢復機制8.1數據庫安全性及SQLServer的安全管理

數據庫的安全性是指保護數據庫，以防止不合法的使用造成的數據泄密、更改或破壞。

8.1.1數據庫安全性控制的一般方法用戶DBMSOSDB

用戶標識和鑒別存取控制操作系統(tǒng)安全保護密碼存儲1.用戶標識與鑒別(1)用輸入用戶名（用戶標識號）來標明用戶身份。

系統(tǒng)內部記錄著所有合法用戶的標識。系統(tǒng)對輸入的用戶名與合法用戶名對照，鑒別此用戶是否為合法用戶。

(2)通過回答口令標識用戶身份。

系統(tǒng)常常要求用戶輸入口令，只有口令正確才能進入系統(tǒng)。為保密起見，口令由用戶自己定義并可以隨時變更。為防止口令被人竊取，用戶在終端上輸入口令時，不把口令的內容顯示在屏幕上，而用字符“*”替代其內容。

(3)通過回答對隨機數的運算結果表明用戶身份。

系統(tǒng)提供一個隨機數，用戶根據預先約定的計算過程或計算函數進行計算，并將計算結果輸給到計算機。系統(tǒng)根據用戶計算結果判定用戶是否合法。2.存取控制(1)存取機制的構成。

1)定義用戶權限，并將用戶權限登記到數據字典中。

2)當用戶提出操作請求時，系統(tǒng)進行權限檢查，拒絕用戶的非法操作。

(2)存取機制的類別。

1)自主存取控制（DAC）。用戶對于不同的對象有不同的存取權限；不同的用戶對同一對象的存取權限也各不相同；用戶可將自己擁有的存取權限轉授給其他用戶。

2)強制存取控制（MAC）。每一個數據對象被標以一定的密級；每一個用戶也被授予某一個級別的許可證；對于任意一個對象，只有具有合法許可證的用戶才可以存取。3.自主存取控制方法(1)關系中的用戶權限。用戶權限主要包括數據對象和操作類型兩個要素。定義用戶的存取權限稱為授權，通過授權規(guī)定用戶可以對哪些數據進行什么樣的操作。(2)SQL的數據控制功能。(GRANT語句（授權）和REVOKE語句（收權）)。

1)數據對象的創(chuàng)建者自動獲得對于該數據對象的所有操作權限。

2)獲得數據操作權的用戶可以通過GRANT語句把權限轉授給其他用戶。(3)授權機制的性能。

1)權限定義中數據對象范圍越小授權系統(tǒng)就越靈活。授權粒度越細，授權子系統(tǒng)就越靈活，但系統(tǒng)定義與檢查權限的開銷也會增大。

2)權限定義中能夠謂詞的授權系統(tǒng)比較靈活。

3)權限定義中能夠謂詞、且存取謂詞中能夠引用系統(tǒng)變量的授權系統(tǒng)更加靈活。(4)自主存取控制的不足之處。系統(tǒng)對權限的授予狀況無法進行有效的控制可能造成數據的無意泄露。4.強制存取控制方法

(1)主體、客體及敏感度標記。主體是系統(tǒng)中的活動實體，它包括用戶和進程;客體是系統(tǒng)中的被動實體，包括基表、視圖等;DBMS為主體和客體的每個實例都設置一個敏感度標記，如絕密、機密、可信、公開；主體的敏感度標記稱為許可證級別，客體的敏感度標記稱為密級。(2)主體對客體的存取規(guī)則。

1)僅當主體的許可證級別大于或等于客體的密級時，該主體才能讀取相應的客體。

2)僅當主體的許可證級別等于客體的密級時，該主體才能寫相應的客體。

(3)由DAC和MAC共同構成的安全機制。系統(tǒng)在安全檢察時，首先進行自主存取控制檢察，然后進行強制存取控制檢察，兩者都通過后，用戶才能執(zhí)行其數據存取操作。

5.視圖、審計和數據加密機制

為不同的用戶定義不同的視圖，通過視圖把數據對象限制在一定范圍內，把要保密的數據對無權存取的用戶隱藏起來，從而自動地對數據提供一定程度的安全保護。

審計功能就是把用戶對數據庫的所有操作自動記錄下來放入審計日志中，一旦發(fā)生數據被非法存取，DBA可以利用審計跟蹤的信息，重現(xiàn)導致數據庫現(xiàn)有狀況的一系列事件，找出非法存取數據的人、時間和內容等。

加密是根據一定的算法將原始數據（明文，Plaintext）變換為不可直接識別的格式（密文，Ciphertext），從而使得不知道解密算法的人無法獲得數據的內容。

加密方法主要有兩種：

1)替換方法。使用密鑰將明文中的每一個字符轉換為密文中的字符。

2)置換方法。僅將明文的字符按不同的順序重新排列。

8.1.2SQLServer的安全體系結構

1.SQLServer的安全體系結構

(1)WindowsNT操作系統(tǒng)的安全防線:網絡管理員負責建立用戶組，設置帳號并注冊，同時決定不同的用戶對不同系統(tǒng)資源的訪問級別。

(2)SQLServer的運行安全防線:通過另一種帳號設置來創(chuàng)建附加安全層。

(3)SQLServer數據庫的安全防線:特定數據庫都有自己的用戶和角色，該數據庫只能由它的用戶或角色訪問，其他用戶無權訪問其數據。

(4)SQLServer數據庫對象的安全防線:對權限進行管理，TSQL的DCL功能保證合法用戶既使進入了數據庫也不能有超越權限的數據存取操作，即合法用戶必須在自己的權限范圍內進行數據操作。2.SQLServer的安全認證模式(1)Windows（S）安全認證模式

通過使用Windows網絡用戶的安全性來控制用戶對SQL服務器的登錄訪問。它允許一個網絡用戶登錄到一個SQL服務器上時不必再提供一個單獨的登錄帳號及口令。(2)混合安全認證模式

如果用戶網絡協(xié)議支持可信任連接，則可使用Windows（S）安全模式；如果用戶網絡協(xié)議不支持可信任連接，則在Windows（S）安全認證模式下會登錄失敗，SQLServer安全認證模式將有效。SQLServer安全認證模式要求用戶必須輸入有效的SQLServer登錄帳號及口令。3.設置SQLServer的安全認證模式1)在企業(yè)管理器中擴展開SQL服務器組，用鼠標右鍵擊需要設置的SQL服務器，在彈出的菜單中選擇“屬性”項.

2)在彈出的SQL服務器屬性對話框中，選擇“安全性”選項卡。

3)在安全性選項卡中的安全性欄選擇安全認證模式。8.1.3SQLServer的用戶和角色管理1.登錄的管理

登錄（亦稱Login用戶）通過帳號和口令訪問SQLServer的數據庫。

(1)查看安全性文件夾的內容

進入企業(yè)管理器，打開指定的SQL服務器組和SQL服務器，并選擇安全性文件夾的系列操作后，就會出現(xiàn)安全性文件夾。(2)創(chuàng)建一個登錄用戶1)用右鍵擊登錄文件夾，在彈出單中選擇“新建登錄”，出現(xiàn)登錄屬性對話框。2)選擇常規(guī)選項卡，輸入用戶的一般特征。3)選擇服務器角色選項卡，確定用戶所屬服務器角色。4)選擇數據庫訪問選項卡，確定用戶能訪問的數據庫和所屬的數據庫角色。2.數據庫用戶的管理(1)dbo用戶

dbo用戶即數據庫擁有者或數據庫創(chuàng)建者，dbo在其所擁有的數據庫中擁有所有的操作權限。dbo的身份可被重新分配給另一個用戶，系統(tǒng)管理員Sa可以作為他所管理系統(tǒng)的任何數據庫的dbo用戶。(2)guest用戶

如果guest用戶在數據庫存在，則允許任意一個登錄用戶作為guest用戶訪問數據庫，其中包括那些不是數據庫用戶的SQL服務器用戶。除系統(tǒng)數據庫master和臨時數據庫tempdb的guest用戶不能被刪除外，其他數據庫都可以將自己guest用戶刪除，以防止非數據庫用戶的登錄用戶對數據庫進行訪問。

(3)創(chuàng)建新的數據庫用戶1)在企業(yè)管理器中用右擊用戶文件夾，在彈出單中選擇“新建數據庫用戶”。2)在對話框的登錄名欄中選擇SQL服務器登錄用戶名，在用戶名欄中輸入數據庫用戶名。在數據庫角色欄中選擇該數據庫用戶參加的角色。3.數據庫角色的管理

(1)在數據庫角色中增加或移去用戶1)展開一個SQL服務器、數據庫文件夾，選中角色文件夾。2)用選中要加入的角色，右擊它，在彈出單中選擇“屬性”。3)單擊“添加”按鈕后，出現(xiàn)選擇該數據庫用戶的對話框，選擇要加入角色的用戶，單擊“確定”。4)要移走一個用戶，在用戶欄中選中它，后單擊“刪除”。(2)創(chuàng)建新的數據庫角色1)打開SQL服務器組、服務器、數據庫文件夾和特定的數據庫文件夾。2)選中角色子文件夾，右擊任意角色，在彈出單中選擇“新建數據庫角色”。3)輸入新角色名；在用戶欄增加或移去角色的用戶；確定數據庫角色的類型。8.1.4SQLServer的權限管理

1.SQLServer權限種類：對象權限和語句權限

Transact-SQL數據庫對象SELECT（查詢）表、視圖、表和視圖中的列UPDATE（修改）表、視圖、表的列INSERT（插入）表、視圖DELETE（刪除）表、視圖EXECUTE（調用過程）存儲過程DRI（聲明參照完整性）表、表中的列Transact-SQL語句權限說明CREATEDATABASE創(chuàng)建數據庫，由SA授予SQL服務器用戶或角色CREATEDEFAULT創(chuàng)建缺省CREATEPROCEDURE創(chuàng)建存儲過程CREATERULE創(chuàng)建規(guī)則CREATETABLE創(chuàng)建表CREATEVIEW創(chuàng)建視圖BACKUPDATABASE備份數據庫BACKUPLOG備份日志文件2.對象權限的管理1)選中一個數據庫對象。擊鼠標右鍵，使之出現(xiàn)彈出菜單。

2)選擇“全部任務”中的“管理權限”項。隨后就會出現(xiàn)對象權限對話框。

3)選擇“列出全部用戶/用戶定義的數據庫角色”項，或選擇“僅列出對此對象具有權限的用戶/用戶定義的數據庫角色”項。

4)在權限表中對各用戶或角色的各種對象操作權授予或撤消。3.語句權限的管理1)用鼠標右鍵擊指定的數據庫文件夾。出現(xiàn)數據庫屬性對話框。

2)選擇“權限”選項卡，單擊表中的各復選小方塊可分別對各用戶或角色授予、撤消和廢除數據庫的語句操作權限。8.2.1完整性約束條件及完整性控制數據完整性約束可以分為：表級約束，若干元組間、關系中以及關系之間聯(lián)系的約束；元組級約束，元組中的字段組和字段間聯(lián)系的約束；屬性級約束，針對列的類型、取值范圍、精度、排序等而制定的約束條件。完整性約束分為：靜態(tài)約束，數據庫每一確定狀態(tài)時的數據對象所應滿足的約束條件；動態(tài)約束，數據庫從一種狀態(tài)轉變?yōu)榱硪环N狀態(tài)時，新、舊值之間所應滿足的約束條件8.2數據庫完整性及SQLServer的完整性控制1.完整性控制機制的功能及執(zhí)行約束(1)完整性控制機制應具有的功能。

1)定義完整性功能，提供定義完整性約束條件的機制。

2)檢查完整性功能，檢查用戶發(fā)出的操作請求，看其是否違背了完整性約束條件。

3)控制完整性功能，監(jiān)視數據操作的整個過程，如果發(fā)現(xiàn)有違背了完整性約束條件的情況，則采取一定的動作來保證數據的完整性。(2)立即執(zhí)行約束和延遲執(zhí)行約束。

有關數據操作語句執(zhí)行完后立即進行完整性檢查為立即執(zhí)行約束；在整個事務執(zhí)行結束后再進行完整性檢查為延遲執(zhí)行約束。

2.實現(xiàn)參照完整性要考慮的幾個問題(1)外碼能夠接受空值的問題。(2)在被參照關系中刪除元組的問題。

1)級聯(lián)刪除（CASCADES）。將參照關系中所有外碼值與被參照關系中要刪除的元組主碼值相同的元組一起刪除。如果參照關系同時又是另一個關系的被參照關系，則這種刪除操作會繼續(xù)級聯(lián)下去。

2)受限刪除（RESTRICTED）。僅當參照關系中沒有任何元組的外碼值與被參照關系中要刪除元組的主碼值相同時，系統(tǒng)才執(zhí)行刪除操作，否則拒絕此刪除操作。

3)置空值刪除（NULLIFIES）。刪除被參照關系的元組，并將參照關系中相應元組的外碼值置空值。

(3)在參照關系中插入元組時的問題。1)受限插入。僅當被參照關系存在相應的元組，其主碼值與參照關系插入元組的外碼值相同時，系統(tǒng)才執(zhí)行插入操作，否則拒絕此操作。2)遞歸插入。該策略首先在被參照關系中插入相應的元組，其主碼值等于參照關系插入元組的外碼值，然后向參照關系插入元組。(4)修改關系的主碼問題。1)不允許修改主碼。如果需要修改主碼值，只能先刪除該元組，然后再把具有新主碼值的元組插入到關系中。2)允許修改主碼。允許修改關系主碼，但必須保證主碼的惟一性和非空，否則拒絕修改。(5)修改表是被參照關系的問題。1)級聯(lián)修改。如果要修改被參照關系中的某個元組的主碼值，則參照關系中相應的外碼值也作相應的修改。2)拒絕修改。如果參照關系中，有外碼值與被參照關系中要修改的主碼值相同的元組，則拒絕修改。

3)置空值修改。修改被參照關系的元組，并將參照關系中相應元組的外碼值置空值。

8.2.2SQLServer的數據庫完整性及實現(xiàn)方法1.SQLServer的數據完整性的種類(1)域完整性。域完整性為列級和元組級完整性。它為列或列組指定一個有效的數據集，并確定該列是否允許為空。(2)實體完整性。實體完整性為表級完整性，它要求表中所有的元組都應該有一個惟一的標識符，這個標識符就是平常所說的主碼。(3)參照完整性。參照完整性是表級完整性，它維護參照表中的外碼與被參照表中主碼的相容關系。如果在被參照表中某一元組被外碼參照，那么這一行既不能被刪除，也不能更改其主碼。2.SQLServer數據完整性的兩種方式(1)聲明數據完整性。

聲明數據完整性通過在對象定義中定義、系統(tǒng)本身自動強制來實現(xiàn)。聲明數據完整性包括各種約束、缺省和規(guī)則。(2)過程數據完整性。

過程數據完整性通過使用腳本語言。完整性類型約束類型完整性功能描述域完整性DEFAULT插入數據時，如果沒有明確提供列值，則用缺省值作為該列的值CHECK指定某個列或列組可以接受值的范圍，或指定數據應滿足的條件實體完整性PRIMARYKEY指定主碼，確保主碼值不重復，并不允許主碼為空值UNIQUE指出數據應具有惟一值，防止出現(xiàn)冗余參照完整性FOREIGNKEY定義外碼、被參照表和其主碼SQLServer2000數據完整性約束包括：(1)主鍵完整性約束(primary)：保證列值的惟一性，且不允許為NULL。(2)惟一完整性約束(unique)：保證列值的惟一性。(3)外鍵完整性約束(foreign)：保證列值只能取參照表主鍵或惟一鍵的值或NULL。(4)非空完整性約束(notnull)：保證列的值非NULL。(5)缺省完整性約束(default)：指定列的默認值。(6)檢查完整性約束(check)：指定列取值的范圍。

例創(chuàng)建表S、C、SC腳本：

例創(chuàng)建“零件供應”表（p110習題四14題）

腳本：8.3數據庫并發(fā)控制及SQLServer的并發(fā)控制機制

數據庫的并發(fā)控制就是控制數據庫，防止多用戶并發(fā)使用數據庫時造成數據錯誤和程序運行錯誤，保證數據的完整性。

8.3.1事務及并發(fā)控制的基本概念

1.事務的概念

事務是用戶定義的一個數據庫操作序列，這些操作要么全做要么全不做，是一個不可分割的工作單位。

在SQL語言中，定義事務的語句有三條：

BEGINTRANSACTION；

COMMIT；

ROLLBACK；1.原子性

如果事務成功，SQLServer2000確保在事務中，所有的數據修改做為一個整體。如果事務沒有成功，就不會有任何修改發(fā)生。也就是說，SQLServer2000能確保事務的原子性。事務要想取得成功，事務中的每一個操作（語句）都必須成功。如果其中的任何一個操作失敗了，則整個事務就會失敗，而且自事務開始所作的任何修改都會被撤銷。

2.一致性

SQLServer2000能保證事務的一致性。一致性意味著全部數據都保持在一致的狀態(tài)。在一個事務開始之前，數據庫處于一致的狀態(tài)。當事務結束后，不管它是成功還是失敗的，數據庫還應該處于一致的狀態(tài)。3.隔離性

如果有兩個或者多個事務，這些事務必須按照一定的順序先后執(zhí)行，而不能在執(zhí)行一個事務的同時，又穿插執(zhí)行另外的一個事務，也就是說，多事務并發(fā)執(zhí)行時，應保證執(zhí)行的結果是正確的，如同單用戶環(huán)境一樣。這可以通過鎖來實現(xiàn)。4.永久性

事務一旦完成，它對數據庫所進行的修改，將被永久保存，即使以后系統(tǒng)發(fā)生故障，也應該保留這個事務執(zhí)行的痕跡。

2.事務并發(fā)操作可能產生的數據不一致問題T1T2T1T2T1T21)讀A=20

1)讀A=50

讀B=100求和=150

1)讀C=100C←C*2寫回C

2)讀A=203)A←A-1寫回A=19

2)

讀B=100B←B*2寫回B=2002)

讀C=2004)A←A-1寫回A=19(A少減一次)3)讀A=50

讀B=200

和=250(驗算不對)

3)ROLLBACKC恢復為100(錯誤的C值已讀出)(a)丟失數據(b)不可重復讀(c)讀“臟”數據8.3.2封鎖及封鎖協(xié)議

封鎖是使事務對它要操作的數據有一定的控制能力。封鎖具有3個環(huán)節(jié)：一個環(huán)節(jié)是申請加鎖，即事務在操作前要對它將使用的數據提出加鎖請求；第二個環(huán)節(jié)是獲得鎖，即當條件成熟時，系統(tǒng)允許事務對數據加鎖，從而事務獲得數據的控制權；第三個環(huán)節(jié)是釋放鎖，即完成操作后事務放棄數據的控制權。

1.鎖的類型(1)排它鎖（ExclusiveLocks，簡稱X鎖）。

排它鎖也稱為獨占鎖或寫鎖。一旦事務T對數據對象A加上排它鎖（X鎖），則只允許T讀取和修改A，其他任何事務既不能讀取和修改A，也不能再對A加任何類型的鎖，直到T釋放A上的鎖為止。(2)共享鎖（ShareLocks，簡稱S鎖）。

共享鎖又稱讀鎖。如果事務T對數據對象A加上共享鎖（S鎖），其他事務只能再對A加S鎖，不能加X鎖，直到事務T釋放A上的S鎖為止。

鎖的相容矩陣Y=Yes，相容的請求N=No，不相容的請求

T1T2XS-XNNYSNYY-YYY2.封鎖協(xié)議(1)一級封鎖協(xié)議。

一級封鎖協(xié)議是事務T在修改數據之前必須先對其加X鎖，直到事務結束才釋放。

(2)二級封鎖協(xié)議。

二級封鎖協(xié)議是：事務T對要修改數據必須先加X鎖，直到事務結束才釋放X鎖；對要讀取的數據必須先加S鎖，讀完后即可釋放S鎖。

(3)三級封鎖協(xié)議。

三級封鎖協(xié)議是事務T在讀取數據之前必須先對其加S鎖，在要修改數據之前必須先對其加X鎖，直到事務結束后才釋放所有鎖。T1T2T1T2T1T21)XlockA獲得

1)SlockASlockB

讀A=50讀B=100A＋B=150

1)XlockC

讀C=100C←C*2寫回C=200

2)讀A=20

XlockA等待3)A←A-1

寫回A=19CommitUnlockA等待等待等待

2)

XlockB等待等待2)

SlockC等待等待3)讀A=50

讀B=100A＋B=150CommitUnlockAUnlockB等待

3)ROLLBACK(C恢復為100)UnlockC

等待等待

4)

獲得XlockA讀A=19A←A-1寫回A=18CommitUnlock

4)

獲得Xlock讀B=100B←B*2寫回B=200CommitUnlockB4)

獲得SlockC讀C=100CommitCUnlockC(a)沒有丟失修改(b)可重復讀(c)不讀“臟”數據用封鎖機制解決三種數據不一致性的例子

X鎖S鎖一致性保證

操作結束釋放事務結束釋放操作結束釋放事務結束釋放不丟失修改不讀“臟”數據可重復讀一級協(xié)議

√

√

二級協(xié)議

√√

√√

三級協(xié)議

√

√√√√8.3.3封鎖出現(xiàn)的問題及解決方法1.活鎖和死鎖

(1)活鎖。

在多個事務請求對同一數據封鎖時，總是使某一用戶等待的情況稱為活鎖。解決活鎖的方法是采用先來先服務的方法，即對要求封鎖數據的事務排隊，使前面的事務先獲得數據的封鎖權。

(2)死鎖。

多事務交錯等待的僵持局面稱為死鎖。解決死鎖有兩類方法：一是采用一定措施來預防死鎖的發(fā)生；二是采用一定手段定期診斷系統(tǒng)中有無死鎖，若有則解除之。防死鎖通常有兩種方法：

1)一次封鎖法：要求每個事務必須一次將所有要使用的數據全部加鎖，否則該事務不能繼續(xù)執(zhí)行。

2)順序封鎖法：預先對數據對象規(guī)定一個封鎖順序，所有事務都按這個順序實行封鎖。2.并發(fā)調度的可串行性和3.兩段鎖協(xié)議

多個事務并發(fā)執(zhí)行的結果與按串行執(zhí)行的結果相同，這種調度策略稱為可串行化（Serializable）的調度，反之稱為不可串行化調度。兩段鎖協(xié)議

1)在對任何數據進行讀、寫操作之前，首先要申請并獲得對該數據的封鎖。

2)在釋放一個封鎖之后，事務不再申請并獲得對該數據的封鎖。8.4數據庫恢復技術與SQLServer的數據恢復機制

8.4.1故障的種類

1.事務內部的故障

事務內部的故障有的是可以通過事務程序本身發(fā)現(xiàn)的，但是更多的則是非預期的，它們不能由事務處理程序處理。例如運算溢出、并發(fā)事務發(fā)生死鎖而被選中撤消該事務、違反了某些完整性限制等。

2.系統(tǒng)故障

系統(tǒng)故障是指造成系統(tǒng)停止運轉的任何事件，從而使得系統(tǒng)必須重新啟動。

3.介質故障

介質故障指外存故障，例如磁盤損壞、磁頭碰撞，瞬時磁場干擾等。

4.計算機病毒

計算機病毒是一種人為的故障或破壞。

5.用戶操作錯誤

由于用戶有意或無意的操作也可能刪除數據庫中的有用的數據或加入錯誤的數據，這同樣會造成一些潛在的故障。8.4.2數據恢復的實現(xiàn)技術1.數據轉儲

(1)靜態(tài)轉儲和動態(tài)轉儲。

(2)海量轉儲和增量轉儲。2.登記日志文件（Logging）

(1)日志文件的格式和內容。

日志文件是用來記錄對數據庫的更新操作的文件。

(2)日志文件的作用。

日志文件的主要用于數據庫恢復。當數據庫文件毀壞后，可重新裝入后援副本把數據庫恢復到轉儲結束時刻的正確狀態(tài)，再利用日志文件，把已完成的事務進行重做處理。8.4.3SQLServer的數據備份和恢復機制1.SQLServer的備份形式和操作方式

(1)三種備份形式。

1)完全備份：海量備份，將數據庫完全復制到備份文件中。

2)