第四章 数据库安全性演示课件.ppt

数据库角色 一、角色的创建 CREATE ROLE 角色名 二、给角色授权 GRANT 权限［，权限］… ON 对象类型对象名 TO 角色［，角色］… 精选编制 数据库角色 三、将一个角色授予其他的角色或用户 GRANT 角色1［，角色2］… TO 角色3［，用户1］… ［WITH ADMIN OPTION］ 四、角色权限的收回 REVOKE 权限［，权限］… ON 对象类型 对象名 FROM 角色［，角色］… 精选编制 数据库角色（续） [例11]　通过角色来实现将一组权限授予一个用户。 步骤如下： 1. 首先创建一个角色 R1 CREATE ROLE R1； 2. 然后使用GRANT语句，使角色R1拥有Student表的SELECT、UPDATE、INSERT权限 GRANT SELECT，UPDATE，INSERT ON TABLE Student TO R1； 精选编制 数据库角色（续） 3. 将这个角色授予王平，张明，赵玲。使他们具有角色R1所包含的全部权限 GRANT R1 TO 王平，张明，赵玲； 4. 可以一次性通过R1来回收王平的这3个权限 REVOKE R1 FROM 王平； 精选编制 数据库角色（续） [例12]　角色的权限修改 GRANT DELETE ON TABLE Student TO R1 在角色R1中增加对基本表Student的DELETE权限 精选编制 数据库角色（续） [例13]　 REVOKE SELECT ON TABLE Student FROM R1； 精选编制 4.2 数据库安全性控制 4.2.1 用户标识与鉴别 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授权与回收 4.2.5 数据库角色 4.2.6 强制存取控制方法 精选编制 用户标识与鉴别（续） 用户名和口令易被窃取 每个用户预先约定好一个计算过程或者函数 系统提供一个随机数 用户根据自己预先约定的计算过程或者函数进行计算 系统根据用户计算结果是否正确鉴定用户身份 精选编制 4.2 数据库安全性控制 4.2.1 用户标识与鉴别 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授权与回收 4.2.5 数据库角色 4.2.6 强制存取控制方法 精选编制 4.2.2 存取控制 存取控制机制组成 定义用户权限 合法权限检查 用户权限定义和合法权检查机制一起组成了 DBMS的安全子系统 精选编制 存取控制（续） 定义用户权限 在数据库系统中，为了保证用户只能访问他有权存取的数据，必须预先对每个用户定义存取权限 合法权限检查 对于通过鉴定获得上机权的用户（即合法用户），系统根据他的存取权限定义对他的各种操作请求进行控制，确保他只执行合法操作 精选编制 存取控制（续） 常用存取控制方法 自主存取控制（Discretionary Access Control ，简称DAC） C2级 灵活 强制存取控制（Mandatory Access Control，简称 MAC） B1级 严格 精选编制 4.2 数据库安全性控制 4.2.1 用户标识与鉴别 4.2.2 存取控制 4.2.3 自主存取控制方法 4.2.4 授权与回收 4.2.5 数据库角色 4.2.6 强制存取控制方法 精选编制 4.2.3 自主存取控制方法 通过 SQL 的 GRANT 语句和 REVOKE 语句实现 用户权限组成 数据对象 操作类型 定义用户存取权限：定义用户可以在哪些数据库对象上进行哪些类型的操作 定义存取权限称为授权 精选编制 自主存取控制方法（续） 关系数据库系统中存取控制对象 对象类型 对象 操 作 类 型 数据库 模式 CREATE SCHEMA 基本表 CREATE TABLE，ALTER TABLE 模式 视图 CREATE VIEW 索引 CREATE INDEX 数据 基本表和视图 SELECT，INSERT，UPDATE，DELETE，REFERENCES， ALL PRIVILEGES 数据 属性列 SELECT，INSERT，UPDATE， REFERENCES ALL PRIVILEGES 关系数据库系统中的存取权限 精选编制 自主存取控制方法（续） 检查存取权限 对于获得上机权后又进一步发出存取数据库操作的用户 DBMS查找数据字典，根据其存取权限对操作的合法性进行检查 若用户的操作请求超出了定义的权限，系统将拒绝执行此操作 精选编制 自主存取控制方法（续） 自主存取控