K6 Transaktionsverwaltung, Integritätssicherung und Zugriffskontrolle

Question 1

TA-Konzept: Gefährdung der DB-Konsistenz

Answer 1

Question 2

TA-Konzept: Ablaufkontrollstruktur - Transaktion (TA)

Answer 2

Eine Transaktion ist eine ununterbrechbare Folge von DML-Befehlen, die die Datenbank von einem logisch konsistenten in einen (neuen) logisch konsistenten Zustand überführt.

“Transaktionen fassen mehrere Operationen zu einer Einheit zusammen; werden immer ganz oder gar nicht ausgeführt.”

haben ACID-Eigenschaften

Question 3

TA-Konzept: Ablaufkontrollstruktur - ACID-Eigenschaften von Transaktionen

Answer 3

Atomicity (Atomarität)

• TA ist kleinste, nicht mehr weiter zerlegbare Einheit
• Entweder werden alle Änderungen der TA festgeschrieben oder gar keine („alles-oder-nichts“-Prinzip)

Consistency

• TA hinterlässt einen konsistenten DB-Zustand, sonst wird sie komplett (siehe Atomarität) zurückgesetzt
• Zwischenzustände während der TA-Bearbeitung dürfen inkonsistent sein
• Endzustand muss alle definierten Integritätsbedingungen erfüllen

Isolation

• Nebenläufig (parallel, gleichzeitig) ausgeführte TA dürfen sich nicht gegenseitig beeinflussen
• Parallele TA bzw. deren Effekte sind nicht sichtbar (logischer Einbenutzerbetrieb)

Durability (Dauerhaftigkeit)

• Wirkung erfolgreich abgeschlossener TA bleibt dauerhaft in der DB
• TA-Verwaltung muss sicherstellen, das dies auch nach einem Systemfehler (HW- oder System-SW) gewährleistet ist
• Wirkung einer erfolgreich abgeschlossenen TA kann nur durch eine sog. kompensierende TA aufgehoben werden

Question 4

TA-Verwaltung: Wesentliche Abstraktionen (aus Sicht der DB-Anwendung) zur Gewährleistung einer ‚fehlerfreien Sicht‘ auf die Datenbank im logischen Einbenutzerbetrieb

Answer 4

• Alle Auswirkungen auftretender Fehler bleiben der Anwendung verborgen (failure transparency)
• Es sind keine anwendungsseitigen Vorkehrungen zu treffen, um Effekte der Nebenläufigkeit beim DB-Zugriff auszuschließen (concurrency transparency)

Question 5

TA-Verwaltung

Answer 5

• koordiniert alle DBS-seitigen Maßnahmen, um ACID zu garantieren
• besitzt zwei wesentliche Komponenten
  
  • Synchronisation
  • Logging und Recovery
• kann zentralisiert oder verteilt (z.B. bei VDBS) realisiert sein
• soll Transaktionsschutz für heterogene Komponenten bieten

Question 6

TA-Verwaltung: Abstraktes Architekturmodell (für das Read/Write-Modell auf Seitenbasis)

Answer 6

Question 7

TA-Verwaltung: Komponenten

Answer 7

Transaktionsverwalter

• Verteilung der DB-Operationen in VDBS und Weiterreichen an den Scheduler
• zeitweise Deaktivierung von TA (bei Überlast)
• Koordination der Abort- und Commit-Behandlung

Scheduler ( Synchronisation)

• kontrolliert die Abwicklung der um DB-Daten konkurrierenden TA

Recovery-Komponente

• sorgt für die Rücksetzbarkeit/Wiederholbarkeit der Effekte von TA

DB-Pufferverwalter

• stellt DB-Seiten bereit und gewährleistet persistente Seitenänderungen

Question 8

TA-Verwaltung: Transaktionsablauf und mögliche Ausgänge einer Transaktion

Answer 8

Question 9

DB-Recovery

Answer 9

• Automatische Behandlung aller ‚erwarteten‘ Fehler durch das DBVS
• Voraussetzung: Sammeln redundanter Information während des normalen Betriebs (Logging)
• Fehlermodell von zentralisierten DBVS
  
  • Transaktionsfehler
  • Systemfehler
  • Gerätefehler
  • Katastrophe
• TA-Paradigma verlangt:
  
  • Alles-oder-Nichts-Eigenschaft von TAs
  • Dauerhaftigkeit erfolgreicher Änderungen
• Zielzustand nach erfolgreicher Recovery: jüngster transaktionskonsistenter DB-Zustand
  
  • Durch die Recovery ist der jüngste Zustand vor Erkennen des Fehlers wiederherzustellen, der allen semantischen Integritätsbedingungen entspricht, der also ein möglichst aktuelles, exaktes Bild der Miniwelt darstellt

Question 10

DB-Recovery: Recovery-Arten

Answer 10

1. Transaktions-Recovery

• Zurücksetzen einzelner (noch nicht abgeschlossener) Transaktionen im laufenden Betrieb (Transaktionsfehler, Deadlock)
• Arten:
  
  • Vollständiges Zurücksetzen auf Transaktionsbeginn (TA-UNDO)
  • Partielles Zurücksetzen auf Rücksetzpunkt (Savepoint) innerhalb der Transaktion

2. Crash-Recovery nach Systemfehler

• Wiederherstellen des jüngsten transaktionskonsistenten DB-Zustands
• Notwendige Aktionen:
  
  • (partielles) REDO für erfolgreiche Transaktionen (Wiederholung verlorengegangener Änderungen)
  • UNDO aller durch Ausfall unterbrochenen Transaktionen (Entfernen der Änderungen aus der permanenten DB)

3. Medien-Recovery nach Gerätefehler

• Spiegelplatten bzw.
• Vollständiges Wiederholen (REDO) aller Änderungen (erfolgreich abgeschlossener Transaktionen) auf einer Archivkopie

4. Katastrophen-Recovery

• Nutzung einer aktuellen DB-Kopie in einem ‚entfernten‘ System oder
• Stark verzögerte Fortsetzung der DB-Verarbeitung mit repariertem/neuem System auf der Basis gesicherter Archivkopien (Datenverlust)

Question 11

Synchronisation: Einbenutzer-/Mehrbenutzerbetrieb

Answer 11

Question 12

Synchronisation: Anomalien im unkontrollierten Mehrbenutzerbetrieb

Answer 12

1. Abhängigkeit von nicht-freigegebenen Änderungen (Dirty-Read)
2. Verlorengegangene Änderung (Lost Update)
3. Inkonsistente Analyse (Non-repeatable Read)
4. Phantom-Problem

Question 13

Synchronisation: Anomalien im unkontrollierten Mehrbenutzerbetrieb - Abhängigkeit von nicht-freigegebenen Änderungen (Dirty-Read)

Answer 13

Geänderte, aber noch nicht freigegebene Daten werden als „schmutzig“ bezeichnet (dirty data), da die TA ihre Änderungen bis Commit (einseitig) zurücknehmen kann

Schmutzige Daten dürfen von anderen TAs nicht in „kritischen” Operationen benutzt werden

Question 14

Synchronisation: Anomalien im unkontrollierten Mehrbenutzerbetrieb - Verlorengegangene Änderung (Lost Update)

Answer 14

ist in jedem Fall auszuschließen

Question 15

Synchronisation: Anomalien im unkontrollierten Mehrbenutzerbetrieb - Inkonsistente Analyse (Non-repeatable Read)

Answer 15

Question 16

Synchronisation: Anomalien im unkontrollierten Mehrbenutzerbetrieb - Phantom-Problem

Answer 16

Question 17

Synchronisation: Korrektheit – Vorüberlegungen

Answer 17

einzelne TA T

• wenn T allein auf einer konsistenten DB ausgeführt wird, dann terminiert T (irgendwann) und hinterlässt die DB in einem konsistenten Zustand
• während der TA-Verarbeitung gibt es keine Konsistenzgarantien!

mehrere TAs

• wenn Transaktionen seriell ausgeführt werden, dann bleibt die Konsistenz der DB erhalten
• Ziel der Synchronisation: logischer Einbenutzerbetrieb, d.h. Vermeidung aller Mehrbenutzeranomalien

Question 18

Synchronisation: Serialisierbarkeit

Answer 18

Formales Korrektheitskriterium: Serialisierbarkeit

Die parallele Ausführung einer Menge von TA ist serialisierbar, wenn es eine serielle Ausführung derselben TA-Menge gibt, die den gleichen DB-Zustand und die gleichen Ausgabewerte wie die ursprüngliche Ausführung erzielt.

Hintergrund:

• Serielle Ablaufpläne sind korrekt
• Jeder Ablaufplan, der denselben Effekt wie ein serieller erzielt, ist akzeptierbar

Question 19

Synchronisation:

• Einbettung des DB-Schedulers
• Zur Realisierung der Synchronisation gibt es viele Verfahren
• Sperrbasierte (pessimistische) Verfahren

Answer 19

Einbettung des DB-Schedulers

• als Komponente der Transaktionsverwaltung zuständig für I von ACID
• kontrolliert die beim TA-Ablauf auftretenden Konfliktoperationen (Read/Write, Write/Read, Write/Write) und garantiert insbesondere, dass nur „serialisierbare“ TA erfolgreich beendet werden
• „nicht serialisierbare“ TAs müssen verhindert werden; dazu ist Kooperation mit der Recovery-Komponente erforderlich (Rücksetzen von TA).

Zur Realisierung der Synchronisation gibt es viele Verfahren

• Pessimistisch
• Optimistisch
• Versionsverfahren
• Zeitmarkenverfahren
• etc.

Sperrbasierte (pessimistische) Verfahren

• bei einer Konfliktoperation blockieren sie den Zugriff auf das Objekt
• universell einsetzbar
• es gibt viele Varianten

Question 20

Synchronisation: Historische Entwicklung von Synchronisationsverfahren

Answer 20

Question 21

Synchronisation: RX-Sperrverfahren - Sperrmodi und Kompatibilitätsmatrix

Answer 21

Sperrmodi

• Sperrmodus des Objektes: NL (no lock), R (read), X (exclusive)
• Sperranforderung einer Transaktion: R, X

Question 22

Synchronisation: RX-Sperrverfahren: Die Einhaltung welcher Regeln gewährleistet Serialisierbarkeit?

Answer 22

1. Vor jedem Objektzugriff muss Sperre mit ausreichendem Modus angefordert werden
2. Gesetzte Sperren anderer TA sind zu beachten
3. Eine TA darf nicht mehrere Sperren für ein Objekt anfordern
4. Zweiphasigkeit:
   
   • Anfordern von Sperren erfolgt in einer Wachstumsphase
   • Freigabe der Sperren in Schrumpfungsphase
   • Sperrfreigabe kann erst beginnen, wenn alle benötigten Sperren gehalten werden
5. Spätestens bei Commit sind alle Sperren freizugeben

Question 23

Synchronisation: RX-Sperrverfahren - Formen der Zweiphasigkeit

Answer 23

Question 24

Synchronisation: RX-Sperrverfahren - Deadlocks/Verklemmungen

Answer 24

Möglichkeit von Verklemmungen ist inhärent bei pessimistischen Methoden (blockierende Verfahren)

Question 25

Synchronisation: RX-Sperrverfahren - Allgemeine Forderungen

Answer 25

• Wahl des gemäß der Operation schwächst möglichen Sperrmodus
• Möglichkeit der Sperrkonversion (upgrading), falls stärkerer Sperrmodus erforderlich
• Anwendung: viele Objekte sind zu lesen, aber nur wenige zu aktualisieren

Question 26

Synchronisation: Erweiterung: RUX

Answer 26

• Ziel: Verhinderung von Konversions-Deadlocks
• U-Sperre für Lesen mit Änderungsabsicht (Prüfmodus)
• bei Änderung Konversion U → X, andernfalls U → R (downgrading)

Question 27

Synchronisation: Konsistenzebenen - Motivation

Answer 27

Serialisierbare Abläufe

• gewährleisten „automatisch“ Korrektheit des Mehrbenutzerbetriebs
• erzwingen u. U. lange Blockierungszeiten paralleler Transaktionen

„Schwächere“ Konsistenzebene

• bei der Synchronisation von Leseoperationen
• erlaubt höhere Parallelitätsgrade und Reduktion von Blockierungen, erfordert aber Programmierdisziplin!
• Inkaufnahme von Anomalien reduziert die TA-Behinderungen

Question 28

Synchronisation: Konsistenzebenen – in SQL

Answer 28

• SQL erlaubt Wahl zwischen vier Konsistenzebenen (Isolation Level)
• Konsistenzebenen sind durch die Anomalien bestimmt, die jeweils in Kauf genommen werden
• Abgeschwächte Konsistenzanforderungen betreffen nur Leseoperationen!
• Lost Update muss generell vermieden werden, d. h., Write/Write-Abhängigkeiten müssen stets beachtet werden

Question 29

Semantische IBs: Klassifikation - Unterscheidung nach…

Answer 29

• Reichweite (Attribut, Relation, mehrere Relationen)
• Zeitpunkt der Überprüfbarkeit (sofort, erst nach mehreren Operationen)
• Art der Überprüfbarkeit (Zustand, Übergang)
• Anlass für Überprüfung (Datenänderung, Zeitpunkt)

Question 30

Sematische IBs: Konsistenz der Transaktionsverarbeitung

Answer 30

• Bei COMMIT müssen alle semantischen Integritätsbedingungen erfüllt sein.
• Zentrale Spezifikation/Überwachung im DBS: „ system enforced integrity “

Question 31

Semantische IBs: Reichweite

Answer 31

Art und Anzahl der von einer Integritätsbedingung (genauer: des die Bedingung ausdrückenden Prädikats) betroffenen Objekte

• ein Attribut (Bsp.: PNR vierstellige Zahl, NAME nur Buchstaben und Leerzeichen)
• mehrere Attribute eines Tupels (Bsp.: GEHALTS-SUMME einer Abteilung muss kleiner sein als JAHRES-ETAT)
• mehrere Tupel derselben Relation (Bsp.: kein GEHALT mehr als 20 % über dem Gehaltsdurchschnitt aller Angestellten derselben Abteilung, PNR ist Primärschlüssel)
• mehrere Tupel aus verschiedenen Relationen (Bsp.: GEHALTSSUMME einer Abteilung muss gleich der Summe der Attributwerte in GEHALT der zugeordneten Angestellten sein)

geringere Reichweite = einfachere Überprüfung

Question 32

Semantische IBs: Zeitpunkt der Überprüfbarkeit

Answer 32

Unverzögerte Bedingungen

• müssen immer erfüllt sein
• können sofort nach Auftauchen des Objektes überprüft werden (typisch: solche, die sich auf ein Attribut beziehen)

Verzögerte Bedingungen

• z.B. zyklische Fremdschlüsselbedingungen
• lassen sich nur durch eine Folge von Änderungen erfüllen (typisch: mehrere Tupel, mehrere Relationen)
• benötigen Transaktionsschutz (als zusammengehörige Änderungssequenzen)

Question 33

Semantische IBs: Art der Überprüfbarkeit

Answer 33

Zustandsbedingungen

• betreffen den zu einem bestimmten Zeitpunkt in der DB abgebildeten Objektzustand

Übergangsbedingungen

• Einschränkungen der Art und Richtung von Wertänderungen einzelner oder mehrerer Attribute
• Beispiele: GEHALT eines Angestellten darf niemals sinken, FAM-STAND darf nicht von „ledig“ nach „geschieden“ oder von „verheiratet“ nach „ledig“ geändert werden
• sind am Zustand nicht prüfbar - entweder sofort bei Änderung oder später durch Vergleich von altem und neuem Wert (Versionen)

Question 34

Semantische IBs: Anlass für Überprüfung

Answer 34

• Änderungsvorgang in der DB
  
  • alle bisherigen Beispiele implizieren Überprüfung innerhalb der TA
• „Verspätete” Überprüfung: Änderung zunächst nur in (mobiler) Client-DB
• Ablauf der äußeren Zeit
  
  • z. B. Daten über produzierte und zugelassene Fahrzeuge – Fahrzeug muss spätestens ein Jahr nach Herstellung angemeldet sein
  • nicht trivial: was ist zu tun bei Verletzung? kann an der Realität liegen – abstrakte Konsistenzbedingung erfüllen oder (inkonsistente) Realität getreu abbilden?

Question 35

Semantische IBs: Integritätsbedingungen in SQL

Answer 35

Question 36

Aktives Verhalten

Answer 36

Bisher

• Integritätsbedingungen beschreiben, was innerhalb der DB gültig und zulässig ist.

Neue Idee

• Spezifikation und Durchführung von Reaktionen auf bestimmte Situationen oder Ereignisse in der DB
• „Zusammenhangsregel“ (kausale, logische oder „beliebige“ Verknüpfung) statt statischem Prädikat
• Je mehr Semantik des modellierten Systems explizit repräsentiert ist, umso mehr kann das DBS „aktiv“ werden!

Oft synonyme Nutzung der Begriffe Produktionsregel, Regel, Aktive Regel, Trigger, Alerter

Question 37

Trigger: Konzept nach SQL:1999

Answer 37

Wann soll ein Trigger ausgelöst werden?

• Zeitpunkte: BEFORE / AFTER
• auslösende Operation: INSERT / DELETE / UPDATE

Wie spezifiziert man (bei Übergangsbedingungen) Aktionen?

• Bezug auf verschiedene DB-Zustände erforderlich
• OLD/NEW erlaubt Referenz von alten/neuen Werten

Ist die Trigger-Ausführung vom DB-Zustand abhängig?

• WHEN-Bedingung optional

Was soll wie verändert werden?

• pro Tupel oder pro DB-Operation (Trigger-Granulat)
• mit einer SQL-Anweisung oder mit einer Prozedur aus PSM-Anweisungen (persistent stored module, stored procedure)

Existiert das Problem der Terminierung und der Auswertungsreihenfolge?

• mehrere Trigger-Definitionen pro Relation (Tabelle) sowie
• mehrere Trigger-Auslösungen pro Ereignis möglich

Hat man alle notwendigen Fälle abgedeckt?

• Eine Bedingung kann durch unterschiedliche Operationen auf verschiedenen Relationen verletzt werden

Question 38

Trigger: Syntax nach SQL:1999

Answer 38

Question 39

Trigger: Übergangstabellen und -variablen

Answer 39

• sie vermerken Einfügungen (bei INSERT), Löschungen (bei DELETE) und die alten und neuen Zustände (bei UPDATE).
• Übergangstabellen (transition tables) beziehen sich auf mengenorientierte Änderungen
• Übergangsvariablen (transition variables) beziehen sich auf tupel-weise Änderungen

Question 40

Trigger-Granulat

Answer 40

Question 41

Trigger: Einsatzbeispiel

• Gehaltsumme in Abt soll bei Änderungen in Pers, die „Gehälter“ betreffen, automatisch aktualisiert werden
• es sind Trigger für INSERT/DELETE/UPDATE erforderlich; sie werden bei Auftreten der spezifizierten Änderungsoperationen sofort ausgeführt

Answer 41

Question 42

Zugriffskontrolle - Allgemeines: Zugriffskontrolle: technische Maßnahme des Datenschutzes

Answer 42

Kernfrage: Wie kann ich erreichen, dass Benutzer mit unterschiedlichen Rechten gemeinsam auf Daten zugreifen können?

• Frage nach der Zugriffskontrolle (bei Daten)

Zugriffskontrolle (Autorisierung)

• Vergabe von Zugriffsrechten (Lesen, Schreiben, . . .) auf DB-Objekten, Programmen usw.
• Ziele:
  
  • Verhinderung von zufälligen oder böswilligen Änderungen
  • möglichst weitgehende Isolation von Programmfehlern
  • Verhinderung von unberechtigtem Lesen/Kopieren

Question 43

Zugriffskontrolle - Allgemeines: Autorisierungsmodell

Answer 43

Explizite Autorisierung:

• Dieses Modell wird im Englischen als Discretionary Access Control (DAC) bezeichnet. Wegen seiner Einfachheit ist DAC weit verbreitet („discretionary“ bedeutet in etwa „nach dem Ermessen des Subjekts“).
• Der Zugriff auf ein Objekt o kann nur erfolgen, wenn für den Benutzer (Subjekt s) ein Zugriffsrecht (Privileg p) vorliegt
• Autorisierungsregel (o, s, p)

Schutzinformation als Zugriffsmatrix

• Subjekte: Benutzer, Programme, Terminals
• Objekte: Programme (Anwendungs-, Dienstprogramme), DB-Objekte (Relationen, Sichten, Attribute)
• Zugriffsrechte: Lesen, Ändern, Ausführen, Erzeugen, Weitergabe von Zugriffsrechten usw., ggf. abhängig von Terminal, Uhrzeit usw.

Autorisierung

• zentrale Vergabe der Zugriffsrechte (DBA)
• dezentrale Vergabe der Zugriffsrechte durch Eigentümer der Objekte

Objektgranulat

• wertunabhängige oder
• wertabhängige Objektfestlegung (Sichtkonzept)

Wirksamkeit der Zugriffskontrolle beruht auf drei Annahmen:

• fehlerfreie Benutzer-Identifikation/-Authentisierung
• erfolgreiche Abwehr von (unerwarteten) Eindringlingen (vor allem strikte Isolation der Benutzer- und DBS-Prozesse sowie Übermittlungskontrolle)
• Schutzinformation ist hochgradig geschützt!

Question 44

Zugriffskontrolle in SQL- WICHTIG

Answer 44

WICHTIG: Sicht-Konzept erlaubt wertabhängigen Zugriffsschutz

Question 45

Zugriffskontrolle in SQL: Vergabe von Rechten

Answer 45

Objekte (accessible-object)

• Relationen bzw. Sichten
• aber auch: Domänen, Datentypen, Routinen usw.

Zugriffsrechte (privileges)

• SELECT, INSERT, UPDATE, DELETE, REFERENCES, USAGE, EXECUTE, . . .
• Attributeinschränkung bei INSERT, UPDATE und REFERENCES möglich
• Erzeugung einer „abhängigen“ Relation erfordert REFERENCES-Recht auf von Fremdschlüsseln referenzierten Relationen.
• USAGE erlaubt Nutzung spezieller Wertebereiche (character sets).
• dynamische Weitergabe von Zugriffsrechten: WITH GRANT OPTION (GO: dezentrale Autorisierung)

Empfänger (grantee)

• Liste von Benutzern bzw. PUBLIC
• Liste von Rollennamen

Question 46

Zugriffskontrolle in SQL: Rücknahme von Zugriffsrechten

Answer 46

Question 47

Zusammenfassung: Transaktionsparadigma

Answer 47

Transaktionsparadigma (ACID)

Verarbeitungsklammer für die Einhaltung von semantischen Integritätsbedingungen

Verdeckung von (erwarteten) Fehlerfällen (failure isolation)

• Logging/Recovery

Verdeckung der Nebenläufigkeit (concurrency isolation)

• Synchronisation

im SQL-Standard

• Operationen: COMMIT WORK, ROLLBACK WORK
• Beginn einer Transaktion implizit

Question 48

Zusammenfassung: Logging/Recovery und Synchronisation

Answer 48

Logging/Recovery

• Transaktions-Recovery
• Crash-Recovery
• Medien-Recovery
• Katastrophen-Recovery

Synchronisation

• Korrektheitskriterium Serialisierbarkeit
• Sperrverfahren
• Konsistenzebenen

Question 49

Zusammenfassung: Semantische Integritätskontrolle und Aktives DB-Verhalten zur…

Answer 49

Semantische Integritätskontrolle

• Relationale Invarianten, referentielle Integrität und Aktionen
• Benutzerdefinierte Integritätsbedingungen (assertions)
• zentrale Spezifikation/Überwachung im DBS wird immer wichtiger

Aktives DB-Verhalten zur

• Integritätssicherung
• Wartung abgeleiteter Daten
• Durchführung allgemeiner Aufgaben (Regeln, Alerter, Trigger)

Question 50

Zusammenfassung: Zugriffskontrolle in DBS

Answer 50

• wertabhängige Festlegung der Objekte (Sichtkonzept)
• Vielfalt an Rechten erwünscht
• zentrale vs. dezentrale Rechtevergabe
• Rollenkonzept: vereinfachte Verwaltung komplexer Mengen von Zugriffsrechten