武汉大学信息管理考研数据库清华版-第5章数据库安全

null第5章 数据库安全第5章 数据库安全5.1 安全性 5.2 完整性 5.3 并发控制 5.4 恢复 5.5 数据库复制与数据库镜像第5章 数据库安全第5章 数据库安全5.1 安全性 5.2 完整性 5.3 并发控制 5.4 恢复 5.5 数据库复制与数据库镜像5.1 安全性5.1 安全性 问题的提出 数据库的一大特点是数据可以共享 但数据共享必然带来数据库的安全性问题 数据库系统中的数据共享不能是无条件的共享 例：军事秘密、 国家机密、 新产品实验数据、 市场需求分析、市场营销策略、销售计划、 客户档案、 医疗档案、 银行储蓄数据安全性（续）安全性（续）数据库中数据的共享是在DBMS统一的严格的控制之下的共享，即只允许有合法使用权限的用户访问允许他存取的数据 数据库系统的安全保护措施是否有效是数据库系统主要的性能指标之一安全性（续）安全性（续）什么是数据库的安全性 数据库的安全性是指保护数据库，防止因用户非法使用数据库造成数据泄露、更改或破坏。 什么是数据的保密 数据保密是指用户合法地访问到机密数据后能否对这些数据保密。 通过制订法律道德准则和政策法规来保证。5.1 安全性5.1 安全性5.1.1 安全性控制的一般方法 5.1.2 Oracle数据库的安全性措施 5.1 安全性5.1 安全性5.1.1 安全性控制的一般方法 5.1.2 Oracle数据库的安全性措施 5.1.1 安全性控制的一般方法5.1.1 安全性控制的一般方法非法使用数据库的情况 用户编写一段合法的程序绕过DBMS及其授权机制，通过操作系统直接存取、修改或备份数据库中的数据； 直接或编写应用程序执行非授权操作； 数据库安全性控制概述（续）数据库安全性控制概述（续）通过多次合法查询数据库从中推导出一些保密数据 例：某数据库应用系统禁止查询单个人的工资，但允许查任意一组人的平均工资。用户甲想了解张三的工资，于是他： 首先查询包括张三在内的一组人的平均工资 然后查用自己替换张三后这组人的平均工资 从而推导出张三的工资 破坏安全性的行为可能是无意的，故意的，恶意的。数据库安全性控制概述（续）数据库安全性控制概述（续）计算机系统中的安全模型 方法： 用户标识 和鉴定 存取控制 审计 视图 操作系统 安全保护 密码存储数据库安全性控制概述（续）数据库安全性控制概述（续）数据库安全性控制的常用方法 用户标识和鉴定 存取控制 视图 审计 密码存储1. 用户标识与鉴定1. 用户标识与鉴定用户标识与鉴别（Identification & Authentication） 系统提供的最外层安全保护措施用户标识与鉴定（续）用户标识与鉴定（续）基本方法 系统提供一定的方式让用户标识自己的名字或身份； 系统内部记录着所有合法用户的标识； 每次用户要求进入系统时，由系统核对用户提供的身份标识； 通过鉴定后才提供机器使用权。 用户标识和鉴定可以重复多次用户标识与鉴定（续）用户标识与鉴定（续）让用户标识自己的名字或身份的方法 用户名/口令 简单易行，容易被人窃取 每个用户预先约定好一个计算过程或者函数 系统提供一个随机数 用户根据自己预先约定的计算过程或者函数进行计算 系统根据用户计算结果是否正确鉴定用户身份2. 存取控制2. 存取控制存取控制机制的功能 存取控制机制的组成 定义存取权限 检查存取权限 用户权限定义和合法权检查机制一起组成了DBMS的安全子系统存取控制（续）存取控制（续）定义存取权限 在数据库系统中，为了保证用户只能访问他有权存取的数据，必须预先对每个用户定义存取权限。 检查存取权限 对于通过鉴定获得上机权的用户（即合法用户），系统根据他的存取权限定义对他的各种操作请求进行控制，确保他只执行合法操作。存取控制（续）存取控制（续）定义存取权限 存取权限 存取权限由两个要素组成 数据对象 操作类型 存取控制（续）存取控制（续）定义存取权限 定义一个用户可以在哪些数据对象上进行哪些类型的操作 在数据库系统中，定义存取权限称为授权（Authorization） 授权定义经过编译后存放在数据字典中 存取控制（续）存取控制（续）关系系统中的存取权限 类型  数据对象 操作类型 模 式 模 式 建立、修改、删除 外模式 建立、删除 内模式 建立、删除 数 据 表 查找、插入、修改、删除 属性列 查找、插入、修改、删除存取控制（续）存取控制（续）关系系统中的存取权限(续) 定义方法 GRANT/REVOKE自主存取控制方法（续）自主存取控制方法（续）关系系统中的存取权限(续) 例: 一张授权表 用户名 数据对象名 允许的操作类型 王平 关系Student SELECT 李青 关系Student UPDATE 李青 关系Course ALL 李青 关系SC UPDATE 李青 关系SC SELECT 李青 关系SC SELECT存取控制（续）存取控制（续）检查存取权限 对于获得上机权后又进一步发出存取数据库操作的用户 DBMS查找数据字典，根据其存取权限对操作的合法性进行检查 若用户的操作请求超出了定义的权限，系统将拒绝执行此操作存取控制（续）存取控制（续） 授权粒度 授权粒度是指可以定义的数据对象的范围 它是衡量授权机制是否灵活的一个重要指标。 授权定义中数据对象的粒度越细，即可以定义的数据对象的范围越小，授权子系统就越灵活。存取控制（续）存取控制（续）关系数据库中授权的数据对象粒度 数据库 表 属性列 行 能否提供与数据值有关的授权反映了授权子系统精巧程度 存取控制（续）存取控制（续）实现与数据值有关的授权 利用存取谓词 存取谓词可以很复杂 可以引用系统变量，如终端设备号，系统时钟等，实现与时间地点有关的存取权限，这样用户只能在某段时间内，某台终端上存取有关数据 例：规定“教师只能在每年1月份和7月份星期一至星期五上午8点到下午5点处理学生成绩数据”。存取控制（续）存取控制（续）例：扩充后的授权表 用户名 数据对象名 允许的操作类型 存取谓词 王平 关系Student SELECT Sdept=CS 张明霞 关系Student UPDATE Sname=张明霞 张明霞 关系 Course ALL 空3. 定义视图3. 定义视图视图机制把要保密的数据对无权存取这些数据的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。 视图机制更主要的功能在于提供数据独立性，其安全保护功能太不精细，往往远不能达到应用系统的要求。定义视图（续）定义视图（续）在实际应用中通常是视图机制与授权机制配合使用，首先用视图机制屏蔽掉一部分保密数据，然后在视图上面再进一步定义存取权限。 这时视图机制实际上间接实现了支持存取谓词的用户权限定义定义视图（续）定义视图（续）例：王平只能检索计算机系学生的信息 先建立计算机系学生的视图CS_Student CREATE VIEW CS_Student AS SELECT FROM Student WHERE Sdept='CS'；定义视图（续）定义视图（续）在视图上进一步定义存取权限 GRANT SELECT ON CS_Student TO 王平 ；4. 审计4. 审计什么是审计 审计功能启用一个专用的审计日志（Audit Log），系统自动将用户对数据库的所有操作记录在上面 DBA可以利用审计日志中的追踪信息，重现导致数据库现有状况的一系列事件，以找出非法存取数据的人 C2以上安全级别的DBMS必须具有审计功能审计（续）审计（续）审计功能的可选性 审计很费时间和空间，所以DBMS往往都将其作为可选特征 DBA可以根据应用对安全性的要求，灵活地打开或关闭审计功能。审计（续）审计（续）用户识别和鉴定、存取控制、视图等安全性措施均为强制性机制，将用户操作限制在规定的安全范围内。审计技术是预防手段，监测可能的不合法行为。审计（续）审计（续）由于任何系统的安全性措施都不可能是完美无缺的，蓄意盗窃、破坏数据的人总是想方设法打破控制。所以，当数据相当敏感，或者对数据的处理极为重要时，就必须使用审计技术。5. 数据加密5. 数据加密数据加密 防止数据库中数据在存储和传输中失密的有效手段 加密的基本思想 根据一定的算法将原始数据（术语为明文，Plain text）变换为不可直接识别的格式（术语为密文，Cipher text） 不知道解密算法的人无法获知数据的 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 数据加密（续）数据加密（续）加密方法 替换方法 使用密钥（Encryption Key）将明文中的每一个字符转换为密文中的一个字符 置换方法 将明文的字符按不同的顺序重新排列 这两种方法结合能提供相当高的安全程度 例：美国1977年制定的官方加密 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ：数据加密标准（Data Encryption Standard，简称DES）数据加密（续）数据加密（续）DBMS中的数据加密 有些数据库产品提供了数据加密例行程序 有些数据库产品本身未提供加密程序，但提供了接口 数据加密（续）数据加密（续）数据加密功能通常也作为可选特征，允许用户自由选择 数据加密与解密是比较费时的操作 数据加密与解密程序会占用大量系统资源 应该只对高度机密的数据加密5.1 安全性5.1 安全性5.1.1 安全性控制的一般方法 5.1.2 Oracle数据库的安全性措施 5.1.2 Oracle数据库的安全性措施5.1.2 Oracle数据库的安全性措施ORACLE的安全措施: 用户标识和鉴定 授权和检查机制 审计技术 用户通过触发器灵活定义自己的安全性措施一、ORACLE的用户标识和鉴定一、ORACLE的用户标识和鉴定ORACLE允许用户重复标识三次 如果三次仍未通过，系统自动退出二、ORACLE的授权与检查机制二、ORACLE的授权与检查机制ORACLE授权和检查机制的特色 ORACLE的权限包括系统权限和数据库对象的权限 采用非集中式的授权机制 每个用户授予与回收自己创建的数据库对象的权限 DBA负责授予与回收系统权限，也可以授予与回收所有数据库对象的权限 允许重复授权，即可将某一权限多次授予同一用户，系统不会出错 允许无效回收，即用户不具有某权限，但回收此权限的操作仍是成功的。ORACLE的授权与检查机制（续）ORACLE的授权与检查机制（续）ORACLE的权限 系统权限 数据库对象的权限1.系统权限1.系统权限80多种系统权限 创建会话 创建表 创建视图 创建用户系统权限（续）系统权限（续）DBA在创建一个用户时需要将其中的一些权限授予该用户 角色 ORACLE支持角色的概念。 角色就是一组系统权限的集合，目的在于减化权限管理。 ORACLE允许DBA定义角色 ORACLE提供的预定义角色 CONNECT RESOURCE DBA系统权限（续）系统权限（续）CONNECT角色 允许用户登录数据库并执行数据查询和操纵 ALTER TABLE CREATE VIEW / INDEX DROP TABLE / VIEW / INDEX GRANT, REVOKE INSERT, UPDATE, DELETE SELETE AUDIT / NOAUDIT系统权限（续）系统权限（续）RESOURCE角色 允许用户建表，即执行CREATE TABLE操作 由于创建表的用户将拥有该表，因此他具有对该表的任何权限系统权限（续）系统权限（续）DBA角色 允许用户执行授权命令，建表，对任何表的数据进行操纵。 DBA角色涵盖了前两种角色，此外还可以执行一些管理操作。 DBA角色拥有最高级别的权限。系统权限（续）系统权限（续）例：DBA建立一用户U12后，欲将ALTER TABLE、CREATE VIEW、CREATE INDEX、DROP TABLE、DROP VIEW、DROP INDEX, GRANT,REVOKE、INSERT 、SELETE、UPDATE、DELETE、AUDIT、NOAUDIT等系统权限授予U12，则可以只简单地将CONNECT角色授予U12即可： 　　 GRANT CONNECT TO U12; 这样就可以省略十几条GRANT语句。2.数据库对象的权限2.数据库对象的权限ORACLE可以授权的数据库对象 基本表 视图 序列 同义词 存储过程 函数数据库对象的权限（续）数据库对象的权限（续）基本表的安全性级别 表级 行级 列级数据库对象的权限（续）数据库对象的权限（续）表级安全性 表的创建者或DBA可以把对表的权限授予其他用户数据库对象的权限（续）数据库对象的权限（续）表级权限 ALTER： 修改表定义 DELETE：删除表记录 INDEX： 在表上建索引 INSERT： 向表中插入数据记录 SELECT：查找表中记录 UPDATE：修改表中的数据 ALL： 上述所有权限数据库对象的权限（续）数据库对象的权限（续） 表级授权使用GRANT／REVOKE语句 例： GRANT SELECT ON SC TO U12; 数据库对象的权限（续）数据库对象的权限（续）行级安全性 ORACLE行级安全性由视图间接实现 数据库对象的权限（续）数据库对象的权限（续）例：用户U1只允许用户U12查看自己创建的Student表中有关信息系学生的信息，则首先创建视图信息系学生视图S_IS： CREATE VIEW S_IS AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept='IS'; 然后将关于该视图的SELECT权限授予U12用户： GRANT SELECT ON S_IS TO U12;数据库对象的权限（续）数据库对象的权限（续）列级安全性 实现方法 由视图间接实现 直接在基本表上定义 数据库对象的权限（续）数据库对象的权限（续）列级安全性(续) 借助视图实现列级安全性 CREATE VIEW S_V AS SELECT Sno,Sname FROM Student； GRANT SELECT ON S_V TO U12;数据库对象的权限（续）数据库对象的权限（续）列级安全性(续) 直接在基本表上定义列级安全性 例：GRANT UPDATE(Sno,Cno) ON SC TO U12;数据库对象的权限（续）数据库对象的权限（续）三级对象的层次结构 表、行、列三级对象自上而下构成一个层次结构 上一级对象的权限制约下一级对象的权限 例：当一个用户拥有了对某个表的UPDATE权 限，即相当于在表的所有列了都拥有了 UPDATE 权限。数据库对象的权限（续）数据库对象的权限（续）ORACLE对数据库对象的权限采用分散控制方式 允许具有WITH GRANT OPTION的用户把相应权限或其子集传递授予其他用户 ORACLE不允许循环授权，即授权者不能把权限再授予其授权者或祖先 　　 U1 ───→ U2 ───→ U3 ───→ U4 ↑ │ └───────×─────────┘ORACLE的授权与检查机制（续）ORACLE的授权与检查机制（续）ORACLE的权限检查机制 ORACLE把所有权限信息记录在数据字典中 当用户进行数据库操作时，ORACLE首先根据数据字典中的权限信息，检查操作的合法性。 在ORACLE中，安全性检查是任何数据库操作的第一步。三、ORACLE的审计技术三、ORACLE的审计技术审计分类 审计分类 用户级审计 系统级审计三、ORACLE的审计技术三、ORACLE的审计技术审计分类(续) 用户级审计 设置者 任何ORACLE用户 审计对象 用户针对自己创建的数据库表或视图进行审计 审计内容 所有用户对这些表或视图的一切成功和／或不成功的访问要求 所有用户对这些表或视图的各类SQL操作ORACLE的审计技术(续)ORACLE的审计技术(续)审计分类(续) 系统级审计 设置者 DBA 审计对象和内容 成功或失败的登录要求 GRANT和REVOKE操作 其他数据库级权限下的操作ORACLE的审计技术（续）ORACLE的审计技术（续） 审计设置 可以自由设置 是否使用审计 对哪些表进行审计 对哪些操作进行审计ORACLE的审计技术（续）ORACLE的审计技术（续） 审计设置(续) 设置方法 AUDIT：设置审计功能 例： AUDIT ALTER,UPDATE ON SC; NOAUDIT：取消审计功能 例： NOAUDIT ALL ON SC;ORACLE的审计技术（续）ORACLE的审计技术（续）与审计功能有关的数据字典表 SYS.TABLES：审计设置 SYS.AUDIT_TRAIL：审计内容四、用户定义的安全性措施四、用户定义的安全性措施用数据库级触发器定义用户级安全性 例：规定只能在工作时间内更新Student表 可以定义如下触发器： 用户定义的安全性措施（续）用户定义的安全性措施（续）CREATE OR REPLACE TRIGGER secure_student BEFORE INSERT OR UPDATE OR DELETE ON Student BEGIN IF (TO_CHAR(sysdate,'DY') IN ('SAT','SUN')) OR (TO_NUMBER(sysdate,'HH24') NOT BETWEEN 8 AND 17) THEN RAISE_APPLICATION_ERROR(-20506, 'You may only change data during normal business hours.') END IF; END; 用户定义的安全性措施（续）用户定义的安全性措施（续）触发器一经定义后，将存放在数据字典中 用户每次对Student表执行INSERT、UPDATE或DELETE操作时都会自动触发该触发器，由系统检查当时的系统时间，如果是周六或周日，或者不是8点至17点，系统会拒绝执行用户的更新操作，并提示出错信息。用户定义的安全性措施（续）用户定义的安全性措施（续）利用触发器进一步细化审计规则，使审计操作的粒度更细第5章 数据库安全第5章 数据库安全5.1 安全性 5.2 完整性 5.3 并发控制 5.4 恢复 5.5 数据库复制与数据库镜像5.2 完整性5.2 完整性什么是数据库的完整性 数据库的完整性是指数据的正确性和相容性，防止不合语义的数据进入数据库。 例: 学生的年龄必须是整数，取值范围为14--29； 学生的性别只能是男或女； 学生的学号一定是唯一的； 学生所在的系必须是学校开设的系； 数据库是否具备完整性关系到数据库系统能否真实地反映现实世界，因此维护数据库的完整性是非常重要的。完整性（续）完整性（续）完整性控制机制 1.完整性约束条件定义机制 2.完整性检查机制 3.违约反应 完整性（续）完整性（续）完整性控制机制(续) 1.完整性约束条件定义机制 完整性约束条件是数据模型的一个重要组成部分,它约束了数据库中数据的语义。 DBMS应提供手段让用户根据现实世界的语义定义数据库的完整性约束条件，并把它们作为模式的一部分存入数据库中。 完整性（续）完整性（续）完整性控制机制(续) 2.完整性检查机制 检查用户发出的操作请求是否违背了完整性约束条件。 完整性（续）完整性（续）完整性控制机制(续) 3.违约反应 如果发现用户的操作请求使数据违背了完整性约束条件，则采取一定的动作来保证数据的完整性。 5.2 完整性5.2 完整性5.2.1 完整性约束条件 5.2.2 完整性控制 5.2.3 Oracle的完整性5.2 完整性5.2 完整性5.2.1 完整性约束条件 5.2.2 完整性控制 5.2.3 Oracle的完整性5.2.1 完整性约束条件5.2.1 完整性约束条件整个完整性控制都是围绕完整性约束条件进行的，从这个角度说，完整性约束条件是完整性控制机制的核心。 完整性约束条件（续）完整性约束条件（续）完整性约束条件作用的对象 对象 列 对属性的取值类型、范围、精度等的约束条件 元组 对元组中各个属性列间的联系的约束 关系 对若干元组间、关系集合上以及关系之间的联系的约束完整性约束条件（续）完整性约束条件（续）完整性约束条件作用的对象(续) 对象的状态 静态 对静态对象的约束是反映数据库状态合理性的约束 这是最重要的一类完整性约束 动态 对动态对象的约束是反映数据库状态变迁的约束完整性约束条件（续）完整性约束条件（续）完整性约束条件分类 六类完整性约束条件 静态列级约束 静态元组约束 静态关系约束 动态列级约束 动态元组约束 动态关系约束完整性约束条件（续）完整性约束条件（续） 对象状态 动态列级约束 动态元组约束 动态关系约束 动态 ④ ⑤ ⑥ 静态列级约束 静态元组约束 静态关系约束 静态 ① ② ③   列 元组 关系 对象粒度 完整性约束条件（续）完整性约束条件（续）1. 静态列级约束 静态列级约束是对一个列的取值域的说明，这是最常见最简单同时也最容易实现的一类完整性约束完整性约束条件（续）完整性约束条件（续）五类静态列级约束 1) 对数据类型的约束，包括数据的类型、长度、单位、精度等 例：规定学生姓名的数据类型应为字符型，长度为8。 2) 对数据格式的约束 例：规定学号的格式为前两位表示入学年份，后四位为顺序编号。出生日期的格式为YY.MM.DD。完整性约束条件（续）完整性约束条件（续）3) 对取值范围或取值集合的约束 例：规定成绩的取值范围为0-100，年龄的取值范围为14-29，性别的取值集合为[男,女]。 4) 对空值的约束 空值表示未定义或未知的值，它与零值和空格不同。有的列允许空值，有的则不允许。例如规定成绩可以为空值。 5) 其他约束 例：关于列的排序说明，组合列等。完整性约束条件（续）完整性约束条件（续）2. 静态元组约束 静态元组约束就是规定组成一个元组的各个列之间的约束关系。 例：订货关系中包含发货量、订货量等列， 发货量不得超过订货量 教师关系中包含职称、工资等列， 教授的工资不得低于700元 静态元组约束只局限在单个元组上 完整性约束条件（续）完整性约束条件（续）3. 静态关系约束 在一个关系的各个元组之间或者若干关系之间常常存在各种联系或约束 常见静态关系约束 1) 实体完整性约束 2) 参照完整性约束 3) 函数依赖约束 4) 统计约束完整性约束条件（续）完整性约束条件（续）函数依赖约束 大部分函数依赖约束都是隐含在关系模式结构中的，特别是规范化程度较高的关系模式（例如3NF或BCNF），都由模式来保持函数依赖。 但是在实际应用中，为了不使信息过于分离，常常不过分地追求规范化。完整性约束条件（续）完整性约束条件（续）函数依赖约束(续) 这样在关系的字段间就可以存在一些函数依赖需要显式地表示出来。 例：在学生－课程－教师关系SJT(S,J,T)中存在如下的函数依赖((S,J）→T, T→J)，将(S,J)作为主码，还需要显式地表示T→J这个函数依赖。完整性约束条件（续）完整性约束条件（续）统计约束 定义某个字段值与一个关系多个元组的统计值之间的约束关系 例：规定部门经理的工资不得高于本部门职工平均工资的5倍，不得低于本部门职工平均工资的2倍。本部门职工的平均工资值是一个统计计算值。完整性约束条件（续）完整性约束条件（续）4. 动态列级约束 动态列级约束是修改列定义或列值时应满足的约束条件 完整性约束条件（续）完整性约束条件（续）常见动态列级约束 1) 修改列定义时的约束 例：规定将原来允许空值的列改为不允许空值时，如果该列目前已存在空值，则拒绝这种修改。 2) 修改列值时的约束 修改列值有时需要参照其旧值，并且新旧值之间需要满足某种约束条件。 例：职工工资调整不得低于其原来工资，学生年龄只能增长完整性约束条件（续）完整性约束条件（续）5. 动态元组约束 动态元组约束是指修改某个元组的值时需要参照其旧值，并且新旧值之间需要满足某种约束条件。 例: 职工工资调整不得低于其原来工资+工龄*1.5完整性约束条件（续）完整性约束条件（续）6. 动态关系约束 动态关系约束是加在关系变化前后状态上的限制条件 例：事务一致性、原子性等约束条件完整性约束条件（续）完整性约束条件（续）完整性约束条件小结5.2 完整性5.2 完整性5.2.1 完整性约束条件 5.2.2 完整性控制 5.2.3 Oracle的完整性5.2.2 完整性控制5.2.2 完整性控制一、DBMS的完整性控制机制 二、关系系统三类完整性的实现 三、参照完整性的实现一、DBMS的完整性控制机制一、DBMS的完整性控制机制DBMS的完整性控制机制的主要功能 1. 定义功能 2. 检查功能 3. 违约反应DBMS的完整性控制机制（续）DBMS的完整性控制机制（续）1. 定义功能 一个完善的完整性控制机制应该允许用户定义各类完整性约束条件。 DBMS的完整性控制机制（续）DBMS的完整性控制机制（续）2. 检查功能 立即执行的约束(Immediate constraints) 检查是否违背完整性约束的时机通常是在一条语句执行完后立即检查，我们称这类约束为立即执行的约束 延迟执行的约束(Deferred constrainsts) 在某些情况下，完整性检查需要延迟到整个事务执行结束后再进行，我们称这类约束为延迟执行的约束DBMS的完整性控制机制（续）DBMS的完整性控制机制（续）例：银行数据库中“借贷总金额应平衡”的约束 就应该是延迟执行的约束 从账号A转一笔钱到账号B为一个事务，从账号A转出去钱后账就不平了，必须等转入账号B后账才能重新平衡，这时才能进行完整性检查。DBMS的完整性控制机制（续）DBMS的完整性控制机制（续）3. 违约反应 拒绝该操作 其他处理方法DBMS的完整性控制机制（续）DBMS的完整性控制机制（续）完整性规则的形式化表述 一条完整性规则可以用一个五元组表示: (D，O，A，C，P) D（Data） 约束作用的数据对象； O（Operation） 触发完整性检查的数据库操作，即当用户发出什么操作请求时需要检查该完整性规则，是立即检查还是延迟检查； A（Assertion） 数据对象必须满足的断言或语义约束，这是规则的主体； C（Condition） 选择A作用的数据对象值的谓词； P（Procedure） 违反完整性规则时触发的过程。DBMS的完整性控制机制（续）DBMS的完整性控制机制（续）例1：在“学号不能为空”的约束中 D 约束作用的对象为Sno属性 O 插入或修改Student 元组时 A Sno不能为空 C 无（A可作用于所有记录的Sno属性） P 拒绝执行该操作DBMS的完整性控制机制（续）DBMS的完整性控制机制（续）例2：在“教授工资不得低于1000元”的约束中 D 约束作用的对象为工资Sal属性 O 插入或修改职工元组时 A Sal不能小于1000 C 职称=′教授′(A仅作用于职称=‘教授’的记录) P 拒绝执行该操作二、关系系统三类完整性的实现二、关系系统三类完整性的实现目前许多关系数据库系统都提供了定义和检查实体完整性、参照完整性和用户定义的完整性的功能。 对于违反实体完整性规则和用户定义的完整性规则的操作一般都是采用拒绝执行的方式进行处理。 而对于违反参照完整性的操作，并不都是简单地拒绝执行，有时还需要采取另一种方法，即接受这个操作，同时执行一些附加的操作，以保证数据库的状态仍然是正确的。三、参照完整性的实现三、参照完整性的实现例:职工－部门数据库包含职工表EMP和部门表DEPT DEPT关系的主码为部门号Deptno EMP关系的主码为职工号Empno, 外码为部门号Deptno 该Deptno与DEPT关系中Deptno相对应 称DEPT为被参照关系或目标关系，EMP为参照关系 RDBMS实现参照完整性时需要考虑以下4方面： 参照完整性的实现（续）参照完整性的实现（续）1. 外码是否可以接受空值的问题 外码是否能够取空值是依赖于应用环境的语义的。 在实现参照完整性时，系统除了应该提供定义外码的机制，还应提供定义外码列是否允许空值的机制。 参照完整性的实现（续）参照完整性的实现（续）例1：在职工－部门数据库中，EMP关系包含有外码Deptno，某一元组的这一列若为空值，表示这个职工尚未分配到任何具体的部门工作。这和应用环境的语义是相符的，因此EMP的Deptno列应允许空值。 参照完整性的实现（续）参照完整性的实现（续）例2：在学生－选课数据库中， Student关系为被参照关系，其主码为Sno。 SC为参照关系，外码为Sno。 若SC的Sno为空值，则表明尚不存在的某个学生，或者某个不知学号的学生，选修了某门课程，其成绩记录在Grade列中。这与学校的应用环境是不相符的，因此SC的Sno列不能取空值。参照完整性的实现（续）参照完整性的实现（续）2. 删除被参照关系的元组时的问题 出现违约操作的情形 需要删除被参照关系的某个元组，而参照关系有若干元组的外码值与被删除的被参照关系的主码值相对应参照完整性的实现（续）参照完整性的实现（续）2. 在被参照关系中删除元组时的问题(续) 违约反应：可有三种策略 级联删除（CASCADES） 受限删除（RESTRICTED） 置空值删除（NULLIFIES） 这三种处理方法，哪一种是正确的，要依应用环境的语义来定。参照完整性的实现（续）参照完整性的实现（续）级联删除 将参照关系中所有外码值与被参照关系中要删除元组主码值相对应的元组一起删除。 受限删除 只有当参照关系中没有任何元组的外码值与要删除的被参照关系的元组的主码值相对应时，系统才执行删除操作，否则拒绝此删除操作。参照完整性的实现（续）参照完整性的实现（续）置空值删除 删除被参照关系的元组，并将参照关系中所有与被参照关系中被删除元组主码值相等的外码值置为空值。参照完整性的实现（续）参照完整性的实现（续）例：要删除Student关系中Sno=950001的元组， 而SC关系中有4个元组的Sno都等于950001。 级联删除：将SC关系中所有4个Sno=950001的元组一起删除。如果参照关系同时又是另一个关系的被参照关系，则这种删除操作会继续级联下去。 受限删除：系统将拒绝执行此删除操作。参照完整性的实现（续）参照完整性的实现（续）置空值删除：将SC关系中所有Sno=950001的元组的Sno值置为空值。 在学生选课数据库中，显然第一种方法和第二种方法都是对的。第三种方法不符合应用环境语义。参照完整性的实现（续）参照完整性的实现（续）3. 修改被参照关系中主码的问题 两种策略 (1)不允许修改主码 (2)允许修改主码 参照完整性的实现（续）参照完整性的实现（续）允许修改主码策略 违约操作 要修改被参照关系中某些元组的主码值，而参照关系中有些元组的外码值正好等于被参照关系要修改的主码值 要修改参照关系中某些元组的主码值，而被参照关系中没有任何元组的外码值等于被参照关系修改后的主码值 参照完整性的实现（续）参照完整性的实现（续）允许修改主码策略(续) 违约反应(1) 修改的关系是被参照关系：与删除类似 级联修改 受限修改 置空值修改参照完整性的实现（续）参照完整性的实现（续）级联修改 修改被参照关系中主码值同时，用相同的方法修改参照关系中相应的外码值。 受限修改 拒绝此修改操作。只当参照关系中没有任何元组的外码值等于被参照关系中某个元组的主码值时，这个元组的主码值才能被修改。 置空值修改 修改被参照关系中主码值，同时将参照关系中相应的外码值置为空值。参照完整性的实现（续）参照完整性的实现（续） 例：学生950001休学一年后复学，这时需要将Student关系中Sno=950001的元组中Sno值改为960123。而SC关系中有4个元组的Sno=950001 级联修改：将SC关系中4个Sno=950001元组中的Sno值也改为960123。如果参照关系同时又是另一个关系的被参照关系，则这种修改操作会继续级联下去。参照完整性的实现（续）参照完整性的实现（续）受限修改：只有SC中没有任何元组的Sno=950001时，才能修改Student表中Sno=950001的元组的Sno值改为960123。 置空值修改：将Student表中Sno=950001的元组的Sno值改为960123。而将S表中所有Sno=950001的元组的Sno值置为空值。 在学生选课数据库中只有第一种方法是正确的。参照完整性的实现（续）参照完整性的实现（续）允许修改主码策略(续) 违约反应(2) 修改的关系是参照关系：与插入类似 受限修改 递归修改参照完整性的实现（续）参照完整性的实现（续）结论 RDBMS在实现参照完整性时，除了需要向用户提供定义主码、外码的机制外，还需要向用户提供按照自己的应用要求选择处理依赖关系中对应的元组的方法。 5.2 完整性5.2 完整性5.2.1 完整性约束条件 5.2.2 完整性控制 5.2.3 Oracle的完整性5.2.3 Oracle的完整性5.2.3 Oracle的完整性一、Oracle中的实体完整性 二、Oracle中的参照完整性 三、Oracle中用户定义的完整性一、ORACLE中的实体完整性一、ORACLE中的实体完整性ORACLE在CREATE TABLE语句中提供了PRIMARY KEY子句，供用户在建表时指定关系的主码列。 在列级使用PRIMARY KEY子句 在表级使用PRIMARY KEY子句 ORACLE中的实体完整性（续）ORACLE中的实体完整性（续）例1：在学生选课数据库中，要定义Student表的Sno属性为主码 CREATE TABLE Student (Sno NUMBER(8), Sname VARCHAR(20), Sage NUMBER(20), CONSTRAINT PK_SNO PRIMARY KEY (Sno)); 或: CREATE TABLE Student (Sno NUMBER(8) PRIMARY KEY , Sname VARCHAR(20), Sage NUMBER(20));ORACLE中的实体完整性（续）ORACLE中的实体完整性（续）例2：要在SC表中定义(Sno, Cno)为主码 CREATE TABLE SC (Sno NUMBER(8), Cno NUMBER(2), Grade NUMBER(2), CONSTRAINT PK_SC PRIMARY KEY (Sno, Cno));ORACLE中的实体完整性（续）ORACLE中的实体完整性（续）在用PRIMARY KEY语句定义了关系的主码后，每当用户程序对主码列进行更新操作时，系统自动进行完整性检查 违约操作 使主属性值为空值的操作 使主码值在表中不唯一的操作 违约反应 系统拒绝此操作，从而保证了实体完整性二、ORACLE中的参照完整性二、ORACLE中的参照完整性ORACLE的CREATE TABLE语句允许用户定义参照完整性 用FOREIGN KEY子句定义哪些列为外码列 用REFERENCES子句指明这些外码相应于哪个表的主码 用ON DELETE CASCADE短语指明在删除被参照关系的元组时，同时删除参照关系中外码值等于被删除的被参照关系的元组中主码值的元组ORACLE中的参照完整性（续）ORACLE中的参照完整性（续）例1：建立表EMP表 CREATE TABLE EMP (Empno NUMBER(4), Ename VARCHAR(10), Job VERCHAR2(9), Mgr NUMBER(4), Sal NUMBER(7,2), Deptno NUMBER(2), CONSTRAINT FK_DEPTNO FOREIGN KEY (Deptno) REFERENCES DEPT(Deptno) ON DELETE CASCADE);ORACLE中的参照完整性（续）ORACLE中的参照完整性（续）或： CREATE TABLE EMP (Empno NUMBER(4), Ename VARCHAR(10), Job VERCHAR2(9), Mgr NUMBER(4), Sal NUMBER(7,2), Deptno NUMBER(2) CONSTRAINT FK_DEPTNO FOREIGN KEY REFERENCES DEPT(Deptno) ON DELETE CASCADE);ORACLE中的参照完整性（续）ORACLE中的参照完整性（续）这时EMP表中外码为Deptno，它相应于DEPT表中的主码Deptno。 当要修改DEPT表中的DEPTNO值时，先要检查EMP表中有无元组的Deptno值与之对应 若没有，系统接受这个修改操作 否则，系统拒绝此操作 ORACLE中的参照完整性（续）ORACLE中的参照完整性（续）当要删除DEPT表中某个元组时，系统要检查EMP表，若找到相应元组即将其随之删除。 当要插入EMP表中某个元组时，系统要检查DEPT表，先要检查DEPT表中有无元组的Deptno值与之对应 若没有，系统拒绝此插入操作 否则，系统接受此操作三、ORACLE中的用户定义的完整性三、ORACLE中的用户定义的完整性ORACLE中定义用户完整性的两类方法 用CREATE TABLE语句在建表时定义用户完整性约束 通过触发器来定义用户的完整性规则ORACLE中的用户定义的完整性（续）ORACLE中的用户定义的完整性（续）1. 用CREATE TABLE语句在建表时定义用户完整性约束 可定义三类完整性约束 列值非空（NOT NULL短语） 列值唯一（UNIQUE短语） 检查列值是否满足一个布尔表达式（CHECK短语）ORACLE中的用户定义的完整性（续）ORACLE中的用户定义的完整性（续）例1：建立部门表DEPT，要求部门名称Dname列 取值唯一，部门编号Deptno列为主码 CREATE TABLE DEPT (Deptno NUMBER, Dname VARCHAR(9) CONSTRAINT U1 UNIQUE, Loc VARCHAR(10), CONSTRAINT PK_DEPT PRIMARY KEY (Deptno)); 其中 CONSTRAINT U1 UNIQUE 表示约束名为U1， 该约束要求Dname列值唯一。ORACLE中的用户定义的完整性（续）ORACLE中的用户定义的完整性（续）例2： 建立学生登记表Student，要求学号在 900000至999999之间，年龄<29，性别 只能是‘男’或‘女’，姓名非空 CREATE TABLE Student (Sno NUMBER(5) CONSTRAINT C1 CHECK (Sno BETWEEN 10000 AND 99999), Sname VARCHAR(20) CONSTRAINT C2 NOT NULL, Sage NUMBER(3) CONSTRAINT C3 CHECK (Sage < 29), Ssex VARCHAR(2) CONSTRAINT C4 CHECK (Ssex IN ('男', '女'));ORACLE中的用户定义的完整性（续）ORACLE中的用户定义的完整性（续）例3 ：建立职工表EMP，要求每个职工的应发工资不得超过3000元。 应发工资实际上就是实发工资列Sal与扣除项Deduct之和。 CREATE TABLE EMP (Eno NUMBER(4) Ename VARCHAR(10), Job VARCHAR(8), Sal NUMBER(7,2), Deduct NUMBER(7,2) Deptno NUMBER(2), CONSTRAINTS C1 CHECK (Sal + Deduct <=3000));ORACLE中的用户定义的完整性（续）ORACLE中的用户定义的完整性（续）2. 通过触发器来定义用户的完整性规则 定义其它的完整性约束时，需要用数据库触发器（Trigger）来实现。 数据库触发器是一类靠事件驱动的特殊过程，一旦由某个用户定义，任何用户对该数据的增、删、改操作均由服务器自动激活相应的触发子，在核心层进行集中的完整性控制。 定义数据库触发器的语句 CREATE [OR REPLACE] TRIGGERORACLE中的用户定义的完整性（续）ORACLE中的用户定义的完整性（续）例4： 为教师表Teacher定义完整性规则“教授的工资不得低于800元，如果低于800元，自动改为800元” ORACLE中的用户定义的完整性（续）ORACLE中的用户定义的完整性（续）CREATE TRIGGER UPDATE_SAL BEFORE INSERT OR UPDATE OF Sal, Pos ON Teacher FOR EACH ROW WHEN (:new.Pos='教授') BEGIN IF :new.sal<800 THEN :new.Sal:=800; END IF; END;第5章 数据库安全第5章 数据库安全5.1 安全性 5.2 完整性 5.3 并发控制 5.4 恢复 5.5 数据库复制与数据库镜像5.3 并发控制5.3 并发控制多事务执行方式(1) 事务串行执行 每个时刻只有一个事务运行，其他事务必须等到这个事务结束以后方能运行 不能充分利用系统资源，发挥数据库共享资源的特点并发控制（续）并发控制（续）多事务执行方式(2) 交叉并发方式（interleaved concurrency） 事务的并行执行是这些并行事务的并行操作轮流交叉运行 是单处理机系统中的并发方式，能够减少处理机的空闲时间，提高系统的效率并发控制（续）并发控制（续）多事务执行方式(3) 同时并发方式（simultaneous concurrency） 多处理机系统中，每个处理机可以运行一个事务，多个处理机可以同时运行多个事务，实现多个事务真正的并行运行 最理想的并发方式，但受制于硬件环境并发控制（续）并发控制（续）事务并发执行带来的问题 对多用户并发存取同一数据的操作不加控制可能会存取和存储不正确的数据，破坏事务的隔离性和数据库的一致性 DBMS必须提供并发控制机制 并发控制机制是衡量一个DBMS性能的重要标志之一5.3 并发控制5.3 并发控制5.3.1 并发控制概述 5.3.2 并发操作的调度 5.3.3 封锁 5.3.4 死锁和活锁 5.3.5 Oracle的并发控制5.3 并发控制5.3 并发控制5.3.1 并发控制概述 5.3.2 并发操作的调度 5.3.3 封锁 5.3.4 死锁和活锁 5.3.5 Oracle的并发控制5.3.1 并发控制概述5.3.1 并发控制概述1. 并发控制的单位——事务 2. 并发操作与数据的不一致性 一、事务一、事务事务(Transaction)是用户定义的一个数据库操作序列，这些操作要么全做，要么全不做，是一个不可分割的工作单位。 事务和程序是两个概念 在关系数据库中，一个事务可以是一条SQL语句，一组SQL语句或整个程序 一个应用程序通常包含多个事务 事务是恢复和并发控