多媒体资源管理系统数据访问解决方案.pdf

多媒体资源管理系统数据访问解决方案 本文是笔者在实际开发多媒体信息资源管理系统平台过程中，为解决多媒体数据访问与使用时的 安全管理问题，采用了目前管理信息系统软件中较为常用的基于角色权限管理的数据访问机制， 并结合多媒体资源管理平台的实际应用的特点，提出相应解决方案，以供探讨与参考。 关键词：角色 RBAC 权限 1 引言 现代管理信息系统是建立在对人类社会活动的事件与过程的高度抽象的基础上，结合先进的管理理 论、思想，并利用高效的计算机技术、网络技术以及数据库技术来帮助人们完成对信息的收集、存储、 加工及获取。随着技术的飞速发展，管理思想与理念的更新，专业化、网络化、巨型化、人性化成为计 算机管理信息系统发展的必然趋势。与以往小型的数据库管理系统所不同的是，设计与开发大型的专业 数据库管理信息系统不仅要考虑对实体数据的管理，而且由于其应用的复杂性，不同用户对数据会有不 同的需求。因此，对于用户获取与使用数据的权限的管理也与以往桌面型的数据库系统有着本质的区别。 在社会信息化程度日益高涨的今天，教育领域对于传统教学资源的开发、应用、组织与更新都提出 了新的要求。数字化无疑是优化教学资源，实现教学改革的趋势。因此，现在许多技术条件比较好的高 校、研究所与公司纷纷开始研制与建立自己的素材资源库系统，这无疑是一个很好的开端。在这其中应 该注意的是，硬件环境的建设固然重要，对于软件管理系统的设计与开发，更是与今后的数据安全、资 源的合理应用密切相关。所以，应该在管理平台软件的设计阶段就确立相应的系统安全机制，对于不同 类型用户应该具有不同的访问数据的权限，每个使用者只能接触到与其角色需求相应的数据内容，而严 格控制与防止用户接触与其身份角色不相关的数据信息，从而有效的保证数据的安全性。从这种客观的 需求分析我们可以看出，在这一用户系统管理模块的设计与开发中，首先选择与建立正确的数据模型是 有效完成任务的关键环节。下面我们就开始设计数据访问的权限的方法与模型。 2 基于角色的权限管理模型 访问权限模型的建立决定了一个用户或程序模块是否有权对某一特定的数据资源执行某种操作。传 统的访问控制方法主要分为自主型访问控制（DAC ）和强制型访问控制（MAC ）两种。随着网络数据库 应用系统的普及，用户可访问的数据资源的结构日益复杂，规模日益增大，使用这两种传统的访问控制 方式对数据的存取权限进行管理就显得十分复杂和不安全。因此，产生了基于角色的访问控制（Role-Based Access Control ），简称RBAC. 目前对 RBAC 模型的研究尚不完善，其中较为深入的为美国George Mason 大学的RBAC96模型和 ARBAC97模型。虽然还未形成规范， RBAC 的部分概念已在许多软件产品中体 现出来。在商用数据库管理系统中组角色划分和授权 ，在WWW 的信息资源访问管理系统中，在一些网 络应用软件安全管理系统中，都可以看到越来越多的RBAC 的特征。例如，微软公司的SQL Server数据库 管理系统，中国同学录网站（ ）就成功的利用了这一管理模型。 首先，简单介绍一下基于角色访问控制的基本思想。RBAC 的基本模型及概念结构对应关系如图1所 示。RBAC包含了3个实体：用户（User ），角色（Role ）和权限（Permission ）。 图1上半部分是RBAC 的基本模型，用虚线划分的下半部分是RBAC 的抽象实体与客观世界中的具体事 物进行的对照，这样便于理解与说明。用户是对数据对象进行操作的主体，可以是人，机器人和计算机 2 等。反应在软件中的是一个账户名称；权限是对某一数据对象的可操作权利。一般所讲的数据对象，对 于关系型数据库系统而言，可以是表、视图、字段，甚至是一条记录。相应的操作有读、写、删除和修 改等。一项权限就是可以对某一个特定数据对象进行某一种特定操作的权利。角色的概念可以与实际工 作中的职务的概念来对比的加以理解。不同于具体的人员，职务只是一个称谓，他规定了拥有这个称谓 的所有人员所能做的事情与所不能做哪些事情，即代表了在日常工作中处理某些事务的权利。例如，实 际工作中的“秘书”、“经理”、“班长”不是特指具体的哪一个人，而只是一种概念上的称谓，这些 称谓所对应的权利与责任，间接的决定了所拥有这一称谓的特定人员处理事物的权利与责任。把这个概 念引入授权管理中，则角色作为