数据库原理第四章数据库安全性.pptVIP

* * (2) WITH GRANT OPTION子句 指定了WITH GRANT OPTION子句: 获得某种权限的用户还可以把这种权限再授予别的用户。 没有指定WITH GRANT OPTION子句: 获得某种权限的用户只能使用该权限，不能传播该权限。 不允许循环授权。 例题 例1 把查询Student表权限授给用户U1 GRANT SELECT ON TABLE Student TO U1; 例题（续） 例2 把对Student表和Course表的全部权限授予用户U2和U3 GRANT ALL PRIVILIGES ON TABLE Student, Course TO U2, U3; 例4 例题（续） 例3 把对表SC的查询权限授予所有用户 GRANT SELECT ON TABLE SC TO PUBLIC; 例题（续） 例4 把查询Student表和修改学生学号的权限授给用户U4 　 GRANT UPDATE(Sno), SELECT ON TABLE Student TO U4; 例题（续） 例5 把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户 GRANT INSERT ON TABLE SC TO U5 WITH GRANT OPTION; 传播权限 执行例5后，U5不仅拥有了对表SC的INSERT权限， 还可以传播此权限： 例6 GRANT INSERT ON TABLE SC TO U6 WITH GRANT OPTION; 同样，U6还可以将此权限授予U7： 例7 GRANT INSERT ON TABLE SC TO U7; 但U7不能再传播此权限。 U5-- U6-- U7 例题（续） 例6 DBA把在数据库S_C中建立表的权限授予用户U8 GRANT CREATETAB ON DATABASE S_C TO U8; 二 收回权限(REVOKE) REVOKE语句的一般格式为： REVOKE 权限[,权限]... [ON 对象类型 对象名] FROM 用户[,用户]...; 功能：从指定用户那里收回对指定对象的指定权限 例题 例8 把用户U4修改学生学号的权限收回 REVOKE UPDATE(Sno) ON TABLE Student FROM U4; 例题（续） 例9 收回所有用户对表SC的查询权限 REVOKE SELECT ON TABLE SC FROM PUBLIC; 例题（续） 例10 把用户U5对SC表的INSERT权限收回 REVOKE INSERT ON TABLE SC FROM U5; 权限的级联回收 系统将收回直接或间接从U5处获得的对SC 表的INSERT权限: --U5-- U6-- U7 收回U5、U6、U7获得的对SC表的INSERT 权限: --U5-- U6-- U7 三 创建数据库模式的权限 对数据库模式的授权由DBA在创建用户时授权 CREATE USER格式 CREATE USER USERNAME [WITH][DBA|RESOURCE|CONNECT] 4.2.5数据库角色 数据库角色是被命名的一组与数据库操作相关的权限,是权限的集合 角色的创建 CREATE ROLE 角色名 给角色授权 将一个角色授予其他的角色或用户 角色权限的回收 4.2.6 强制存取控制方法 强制存取控制的特点 MAC是对数据本身进行密级标记 无论数据如何复制，标记与数据是一个不可分的整体 只有符合密级标记要求的用户才可以操纵数据 从而提供了更高级别的安全性 MAC与DAC DAC与MAC共同构成DBMS的安全机制 原因：较高安全性级别提供的安全保护要包含较低级别的所有保护 先进行DAC检查，通过DAC检查的数据对象再由系统进行MAC检查，只有通过MAC检查的数据对象方可存取。 强制存取控制方法（续） DAC + MAC安全检查示意图 ? SQL语法分析 语义检查 ? DAC 检 查 安全检查 MAC 检 查