第章数据库安全性.ppt

第4章 数据库安全保护 4.1 数据库的安全性概述 一、数据库安全性的含义 数据库的安全性是指保护数据库，以防止非法使用所造成数据的泄露、更改或破坏。 数据库的安全性包括许多方面，其中包括： （1）法律、社会和伦理方面。例如请求查询信息的人是否有合法的权力。 （2）物理控制方面。例如计算机机房或终端是否应该加锁或用其它方法加以保护。 （3）政策方面。例如确定存取原则，分配用户使用数据的权限。 （4）运行方面。例如如何使所使用的口令保持秘密。 （5）硬件控制方面。例如CPU是否提供有关安全性方面的功能，诸如存储保护键或特权工作方式等。 （6）操作系统安全性方面。例如当主存储器和数据文件用过以后，操作系统是否把它们的内容清除掉 （7）数据库系统本身安全性方面。我们这里所讨论的是数据库本身的安全性问题，即主要考虑数据库的安全保护策略，尤其是控制访问的策略。 二、安全性控制的的一般模型 安全性控制是指要尽可能地杜绝所有可能的数据库非法访问。 用户非法使用数据库的情况可能有很多种，例如编写合法的程序绕过DBMS的授权机制，通过操作系统直接存取、修改或备份有关数据。用户非法访问数据，无论它们是有意的还是无意的,都应该加以严格控制。 因为数据的流动可能使无权访问的用户获得访问权利，因此系统还要考虑数据信息的流动问题并加以控制，否则有隐蔽的危险性。例如甲用户可以访问文件F1，但无权访问文件F2，如果乙用户把文件F2移至文件F1中之后，则由于乙用户的操作，使甲用户获得了对文件F2的访问权。此外用户可以多次利用允许的访问结果，经过逻辑推理得到他无权访问的数据。为防止这一点，访问的许可权还要结合过去访问的情况而定。 可见安全性的实施是要花费一定代价的，安全保护策略就是要以最小的代价来防止对数据的非法访问。 我们知道，安全性问题并不是数据库系统所独有的，所有计算机系统中都存在这个问题。在一般的计算机系统中，安全措施是层层设置的。计算机系统的安全控制模型如下图所示。 根据上述安全控制模型，当用户进入计算机系统时，系统首先根据输入的用户标识进行身份的鉴定，只有合法的用户才准许进入系统。 对已进入系统的用户，DBMS还要进行存取控制，只允许用户进行合法的操作。 DBMS是建立在操作系统之上的，安全的操作系统是数据库安全的前提。 操作系统应能保证数据库中的数据必须经由DBMS访问，而不允许用户越过DBMS，直接通过操作系统进行访问。 数据最后还可以以密码的形式存储到数据库中。 4.2 数据库的安全控制技术 下面我们按照计算机系统的安全控制模型来分别讨论由与数据库有关的安全控制技术。 4.2.1 用户标识和鉴定 （Identification and Authentication） 数据库系统是不允许任何未经授权的用户实施对数据库的操作的。 用户标识和鉴定是计算机系统提供的最外层的安全保护措施。其方法是由系统提供一定的方式让用户标识自己的名字或身份；在系统内部记录了所有合法用户的标识；当用户每次要求进入系统时，由系统进行核实，通过鉴定后才提供机器的使用权。 实现用户标识和鉴定的方法有很多种，为了获得较强的安全性，往往是将多种方法结合起来使用。常用的方法有以下几种： 1．用一个用户名或用户标识符来标明用户的身份，系统以此来鉴别用户的合法性。如果正确，则可进入下一步的核实，否则，不能使用计算机。 2．用户标识符是用户公开的标识，它不足以成为鉴别用户身份的凭证。为了进一步核实用户身份，常采用用户名与口令（Password）相结合的方法,系统通过核对口令判别用户身份的真伪。其处理思想为： 系统有一张用户口令表，为每个用户保持一个记录，其中包括用户名和口令两部分数据。 用户先输入用户名，然后系统要求用户输入口令。 为了保密，用户在终端上输入的口令不显示在屏幕上。 系统核对口令以鉴别用户身份。 3．通过用户名和口令来鉴定用户的方法简单易行，但该方法在使用时，由于用户名和口令的产生和使用比较简单，也容易被窃取，因此还可采用更复杂的方法。 例如事先为每个用户都约定好一个过程或者函数，当需要鉴别用户身份时，系统提供一个随机数，用户根据自己预先约定的计算过程或者函数进行计算，这样系统就可根据计算结果辨别用户身份的合法性。 例如为用户事先约定好表达式如T=X+2Y,当系统告诉用户X=1、Y=2时,若用户回答T=5，则证实了该用户的身份。 当然这是一个简单的例子，在实际使用中，还可以设计出更为复杂的表达式，以使安全性更好。虽然系统每次所提供的不同X、Y值，可能被其他人，但很难推算出确切的变换公式T。 4.2.2 用户存取权限控制 用户存取权限是指允许不同用户对不同数据对象所进行的操作权限。在数据库系统中，每个用户只能访问他有权存取的数据并执行有权