1、數據庫原理實驗指導實驗7 數據的安全性一、實驗目的 本實驗的目的是通過實驗使學生加深對數據安全性的理解，并掌握SQL Server中有關用戶，角色及操作權限的管理方法。 相關知識介紹： SQL Server提供以下四種防線：（1）Windows NT操作系統的安全防線 Windows NT的網絡管理員負責建立用戶組，設置帳號并注冊，同時決定不同的用戶對不同的系統資源的訪問級別。用戶只有擁有了一個有效的Windows NT登錄帳號，才能對網絡資源進行訪問。（2）SQL Server的運行安全防線 SQL Server 通過另外一種帳號設置來創建附加安全層。SQL Server具有標準登錄和集成登

2、錄兩種用戶登錄方式，用戶只有登錄成功，才能與SQL Server建立一次連接。（3）SQL Server數據庫的安全防線 SQL Server的特定數據庫都有自己的用戶和角色（用戶組），該數據庫只能由它的用戶或角色訪問，其他用戶無權訪問其數據，數據庫系統可以通過創建和管理特定的數據庫的用戶和角色來保證數據庫不被非法用戶訪問。（4）SQL Server數據庫對象的安全防線 SQL Server可以對權限進行管理，SQL的DCL功能保證合法用戶即使登陸了數據庫也不能進行超越權限的數據操作，即合法用戶必須在自己的權限范圍內進行數據操作。二、實驗內容(1) 在SQL Server Management

3、 Studio中設置SQL Server的安全認證模式。(2) 通過圖形界面，實現對SQL Server的用戶和角色管理。(3) 分別通過SQL Server圖形界面和SQL的數據控制功能，設置和管理數據操作權限。三、實驗步驟1在SQL Server Management Studio中為所屬的SQL服務器設置為SQL Server和Windows NT混合安全認證模式。其步驟如下：（1）在對象資源管理器中，用鼠標右擊需要設置的SQL服務器，在彈出的菜單中選擇“屬性”項，則出現服務器對話框。如圖61所示，在“選擇頁”中選擇“安全性”。（2）在“服務器身份驗證”中選擇“SQL Server和Wi

4、ndows身份驗證模式”單選項。圖6-1 服務器屬性對話框2在SQL Server Management Studio中為自己建立一個服務器用戶、數據庫用戶和數據庫角色。（1）在對象資源管理器中展開服務器，用鼠標單擊“安全性”文件夾右側的+，再用鼠標右擊“登錄名”，在彈出的菜單中選擇“新建登錄名”選項，則出現新建登錄名對話框。（2）如圖6-2所示，選擇“選擇頁”中的“常規”選項，輸入登錄名（本例為U1），選擇SQL Server身份驗證，并輸入用戶口令。指定此登錄名可以訪問的數據庫（本例選中Test數據庫）。圖6-2 新建登錄名對話框常規選項（3）如圖6-3所示，選擇“選擇頁”中的“服務器角色

5、”選項，需要確定用戶所屬的服務器角色，在本例中采用缺省值public即可。圖6-3 新建登錄名對話框服務器角色（4）如圖6-4所示，選擇“選擇頁”中的“用戶映射”選項，需要確定映射到此登錄名的用戶，在本例中勾選Test。數據庫角色成員身份選擇public。圖6-4 新建登錄名對話框用戶映射（5）單擊“確定”按鈕，即完成了創建登錄用戶的工作。 （6）按照上述方法創建登錄用戶U2、U3。 3登錄新建用戶。（1）重新登錄SQL Server Management Studio，如圖6-5所示，選擇“SQL Server身份驗證”，用戶名為U1，輸入用戶口令，連接到SQL Server。圖6-5 新建

6、用戶登錄（2）新建查詢，選擇Test數據庫，在查詢編輯窗口中鍵入SQL查詢命令“SELECT * FROM Student”。運行后，在運行結果窗口得到消息“拒絕了對對象 'Student'（數據庫 'Test'，所有者 'dbo'）的 SELECT 權限。”，可見用戶U1沒有對Student表的SELECT權限。4要將Test數據庫的部分操作權限賦予數據庫用戶U1，有兩種方法。方法一：通過圖形界面方式（1）以sa身份進入SQL Server Management Studio，展開服務器，用鼠標單擊“數據庫”文件夾右側的+，用鼠標單擊Test數

7、據庫文件夾右側的+，用鼠標右擊“用戶”。在屏幕右側的“用戶”窗口中選擇“U1”項，用鼠標右擊，在彈出的菜單中選擇“屬性”項，則出現數據庫用戶屬性對話框，選擇“安全對象”選項，如圖6-6所示。圖6-6 數據庫用戶U1對話框安全對象選項（2）點擊“搜索”按鈕，出現“添加對象”對話框，選擇“特定對象”，點擊“確定”按鈕，如圖6-7所示。圖6-7 添加權限對象對話框（3）如圖6-8所示，在“選擇對象”對話框中點擊“對象類型”按鈕。圖6-8 選擇權限對象對話框（4）如圖6-9所示，在“選擇對象類型”對話框中勾選“表”，然后點擊“確定”按鈕，返回到“選擇對象”對話框。圖6-9 選擇權限對象類型 （5）如圖

8、6-10所示，在“選擇對象”對話框中，點擊“瀏覽”按鈕，進入“查找對象”對話框。圖6-10 選擇權限對象（6）如圖6-11所示，在“查找對象”對話框中勾選表Student，然后點擊“確定”按鈕，再次返回到“選擇對象”對話框。圖6-11 查找權限對象（7）如圖6-12所示，點擊“確定”按鈕，返回到安全對象設置對話框。圖6-12 選擇權限對象對話框（8）在安全對象設置對話框中，通過勾選dbo.Student對應的權限給用戶U1授權。如圖6-13所示，勾選“選擇”權限對應的授權框，再點擊“確定”按鈕，使得用戶U1獲得Student表的查詢權限。圖6-13 授權（9）驗證用戶U1對Student表的操

9、作權限。以用戶U1的身份登錄，在SQL Server Management Studio中新建查詢，并在查詢編輯區中使用SQL語句查詢到Student表中的數據。但是如果以用戶U1的身份查詢其他基本表，依然無法查看表中數據。方法二：通過SQL的數據控制功能對用戶U1授權，必須是數據庫對象擁有者以上用戶授予。我們可以以系統管理員或sa用戶登錄。選擇“Test”數據庫，在查詢編輯區中輸入授權語句“GRANT SELECT ON SC TO U1；”，然后執行即可。5使用角色來管理數據庫權限。創建角色，使該角色擁有一組權限，然后將角色授予一個指定的用戶。方法一：通過圖形界面創建角色R1，使該角色擁S

10、C表的插入、更新權限，然后將角色R1授予指定的用戶U1。（1）在“對象資源管理器”中展開服務器，用鼠標單擊“數據庫”文件夾右側的+，用鼠標單擊Test數據庫文件夾右側的+，展開數據庫文件夾，然后依次展開“安全性”、“角色”。鼠標右擊“數據庫角色”，在彈出的菜單中選擇“新建數據庫角色”項（如圖6-14所示），則出現數據庫角色屬性對話框。圖6-14 新建數據庫角色（2）在“選擇頁”中選擇“常規”選項，并在“角色名稱”一欄輸入R1，如圖6-15所示。圖6-15 數據庫角色對話框常規選項（3）賦予角色權限的方法與賦予“數據庫用戶權限”的方法類似。在“選擇頁”中選擇“安全對象”選項，如圖6-16所示。圖

11、6-16 數據庫角色對話框安全對象選項（4）點擊“搜索”按鈕，出現“添加對象”對話框，選擇“特定對象”，點擊“確定”按鈕，如圖6-17所示。圖6-17 添加權限對象對話框（5）如圖6-18所示，在“選擇對象”對話框中點擊“對象類型”按鈕。圖6-18 選擇權限對象對話框（6）如圖6-19所示，在“選擇對象類型”對話框中勾選“表”，然后點擊“確定”按鈕，返回到“選擇對象”對話框。圖6-19 選擇權限對象類型對話框 （7）如圖6-20所示，在“選擇對象”對話框中，點擊“瀏覽”按鈕，進入“查找對象”對話框。圖6-20 選擇權限對象對話框（8）如圖6-21所示，在“查找對象”對話框中勾選表SC，然后點擊

12、“確定”按鈕，再次返回到“選擇對象”對話框。圖6-21 查找權限對象對話框（9）如圖6-22所示，點擊“確定”按鈕，返回到安全對象設置對話框。圖6-22 選擇權限對象對話框（10）在安全對象設置對話框中，通過勾選dbo.SC對應的權限給角色R1授權。如圖6-23所示，勾選“選擇”權限對應的授權框，點擊“確定”按鈕，使得角色R1獲得SC表的插入和修改權限。圖6-23 角色授權（11）如圖6-24所示，在“選擇頁”中選擇“常規”選項，點擊“添加”按鈕，實現將角色R1授予用戶。圖6-24 角色賦予用戶（12）如圖6-25所示，在“選擇數據庫用戶或角色”對話框中，點擊“瀏覽”按鈕，進入“查找對象”對話

13、框。圖6-25 選擇數據庫用戶或角色對話框 （13）如圖6-26所示，在“查找對象”對話框中勾選U1，點擊“確定”按鈕返回。圖6-26 選擇被授權用戶對話框（14）如圖6-27所示，點擊“確定”按鈕完成授權，實現把角色R1授予用戶U1。圖6-27 完成角色授權（15）驗證用戶U1的操作權限。以用戶U1的身份登錄，在SQL Server Management Studio中新建查詢，并在查詢編輯區中使用SQL語句，驗證用戶U1的操作權限。方法二：通過SQL的數據控制功能對角色授權，必須是數據庫對象擁有者以上用戶授予。我們可以以系統管理員或sa用戶登錄SQL Server Management S

14、tudio。創建角色R2，使該角色擁Student表的SELECT、INSERT權限，然后將角色R2授予指定的用戶U2和U3。1）在平臺中使用語句sp_addrole rolename='角色名'創建角色R2；2）用GRANT語句為角色R2賦予Student表的SELECT、INSERT權限；3）在查詢分析器中使用語句sp_addrolemember '角色名','用戶名'將角色授予指定的用戶。 6分別以用戶U1，U2，U3的身份進入數據庫，實現權限內的操作和權限外的操作，看看會得到什么結果？附錄：實驗7 數據庫安全性基本權限表1、角色R1對象SELECTIN