中南大学数据库系统安全课程设计报告.doc

中南大学 数据库系统安全 课程设计报告 学生姓名 郁博文 学 院 信息科学与工程学院 指导老师 李祖德 专业班级 信息安全1302班 完成时间 2015年12月30日 目录 第一章 问题描述及设计目标………………………………1 第二章 系统需求分析………………………………………2 2.1 需求描述…………………………………………………2 2.2 系统功能结构……………………………………………3 2.3 数据流图…………………………………………………3 第三章 数据库设计…………………………………………4 3.1 全局E-R图………………………………………………4 3.2 数据字典…………………………………………………4 3.3 数据库内关系表定义 ……………………………………6 3.4权限表设计 ……………………………………7 第四章 数据库实现 …………………………………………8 4.1 数据库创建SQL代码………………………………………8 4.2存储过程的创建SQL代码………………………9 第五章 RBAC应用场境描述…………………………………18 5.1 场境1描述………………………………………………12 5.2 场境2描述………………………………………………13 5.3 场境3描述………………………………………………14 第一章 问题描述及设计目标 1.1 问题描述 随着学校规模的不断扩大，专业、班级、学生的数量急剧增加，有关学生选课的各种信息量也成倍增长，而目前许多高校的学生成绩管理仍停留在复杂的人工操作上，重复工作较多，工作量大，效率低。除此之外，虽然大量数据库实现了基于角色的访问控制功能，却没有对其特征集达成一致。缺乏广为接受的模型，导致了对基于角色的访问控制作用和含义理解的不规范性和不确定性。基于以上情况，有必要设计一个成绩管理系统，为了加强系统的安全性，引入了基于角色的访问控制模型（RBAC），应用该模型可以使不同用户登陆后得到不同的访问权限，不具有某个权限的用户将不能操作该权限，从数据库层进行权限控制有利于提高系统易用性，可扩展性，健壮性以及安全性。本次课程设计就是要设计一个基于RBAC的成绩管理系统，要从底层对用户权限进行控制，而不是在应用层。 1.2 设计总目标 （1）掌握如何在真实数据库系统中实现基于角色访问控制（RBAC）模型。 （1）掌握如何在特定软件系统中基于RBAC模型访问和操控数据库。 1.3 设计总要求 在真实数据库系统中实现RBAC模型 开发应用演示界面，演示如何基于RBAC访问某数据库 演示界面最好是可实际操作的可视化界面，要能演示。 如果未可视化，必须演示代码运行过程及结果。 数据库依据应用系统的需求而定，应用系统从如下列表中选择。 1.4 RBAC简介 基于角色访问控制（RBAC）是当前主流的数据库访问控制技术。RBAC的一般模型如下： 第二章 系统需求分析 2.1 需求描述 2.1.1 学生成绩管理 负责对学生成绩的录入、删除、更改、查询以及其他功能的管理。 (1)管理员负责学生表、教师表、课程表等基本表的基本数据的录入、删除和更改，并且可修改成绩表的选课情况。 (2)教师、学生分别可以查询及更改教师表、学生表中属于自己的相应数据。 (3)教师可以查询及更改成绩表中所教学生的成绩，学生只能查询成绩表中属于自己的成绩。 (4)学生可以选课,老师无权修改学生选课结果，可以查看多少学生选了课 2.1.2 用户和权限管理 实现对系统用户以及不同角色的权限的管理 （1）管理员可以创建、删除系统用户 （2）用户可以在登录系统后修改自己的相应资料? （3）每个用户在创建时须赋于相应角色 （4）每个角色在被创建时可以赋于相应权限，其所具有的权限可以修改 （5）角色创建后可以修改、删除 （6）默认的系统角色：管理员 教师 学生? 2.2 系统功能结构 数据库系统结构图 2.3 数据流图 第三章 数据库设计 3.1 全局E-R图 全局E-R图如下： 3.2 数据字典 3.2.1 表单信息 数据库表名 说明 userinfo 用户表 role 角色表 user_role 用户角色映射表 pe