多媒体资源系统数据访问解决方案.doc

PAGE 多媒体资源管理系统数据访问解决方案 智 勇* 柏宏权** 南京师范大学教育技术系 E-mail：*zhiyongnj@163.com **baihongquan@263.net 本文是笔者在实际开发多媒体信息资源管理系统平台过程中，为解决多媒体数据访问与使用时的安全管理问题，采用了目前管理信息系统软件中较为常用的基于角色权限管理的数据访问机制，并结合多媒体资源管理平台的实际应用的特点，提出相应解决方案，以供探讨与参考。 关键词：角色 RBAC 权限 1 引言 现代管理信息系统是建立在对人类社会活动的事件与过程的高度抽象的基础上，结合先进的管理理论、思想，并利用高效的计算机技术、网络技术以及数据库技术来帮助人们完成对信息的收集、存储、加工及获取。随着技术的飞速发展，管理思想与理念的更新，专业化、网络化、巨型化、人性化成为计算机管理信息系统发展的必然趋势。与以往小型的数据库管理系统所不同的是，设计与开发大型的专业数据库管理信息系统不仅要考虑对实体数据的管理，而且由于其应用的复杂性，不同用户对数据会有不同的需求。因此，对于用户获取与使用数据的权限的管理也与以往桌面型的数据库系统有着本质的区别。 在社会信息化程度日益高涨的今天，教育领域对于传统教学资源的开发、应用、组织与更新都提出了新的要求。数字化无疑是优化教学资源，实现教学改革的趋势。因此，现在许多技术条件比较好的高校、研究所与公司纷纷开始研制与建立自己的素材资源库系统，这无疑是一个很好的开端。在这其中应该注意的是，硬件环境的建设固然重要，对于软件管理系统的设计与开发，更是与今后的数据安全、资源的合理应用密切相关。所以，应该在管理平台软件的设计阶段就确立相应的系统安全机制，对于不同类型用户应该具有不同的访问数据的权限，每个使用者只能接触到与其角色需求相应的数据内容，而严格控制与防止用户接触与其身份角色不相关的数据信息，从而有效的保证数据的安全性。从这种客观的需求分析我们可以看出，在这一用户系统管理模块的设计与开发中，首先选择与建立正确的数据模型是有效完成任务的关键环节。下面我们就开始设计数据访问的权限的方法与模型。 2 基于角色的权限管理模型 访问权限模型的建立决定了一个用户或程序模块是否有权对某一特定的数据资源执行某种操作。传统的访问控制方法主要分为自主型访问控制（DAC）和强制型访问控制（MAC）两种。随着网络数据库应用系统的普及，用户可访问的数据资源的结构日益复杂，规模日益增大，使用这两种传统的访问控制方式对数据的存取权限进行管理就显得十分复杂和不安全。因此，产生了基于角色的访问控制（Role-Based Access Control），简称RBAC.目前对 RBAC 模型的研究尚不完善，其中较为深入的为美国George Mason 大学的RBAC96模型和 ARBAC97模型。虽然还未形成规范， RBAC的部分概念已在许多软件产品中体现出来。在商用数据库管理系统中组角色划分和授权 ，在WWW的信息资源访问管理系统中，在一些网络应用软件安全管理系统中，都可以看到越来越多的RBAC的特征。例如，微软公司的SQL Server数据库管理系统，中国同学录网站（）就成功的利用了这一管理模型。 首先，简单介绍一下基于角色访问控制的基本思想。RBAC的基本模型及概念结构对应关系如图1所示。RBAC包含了3个实体：用户（User），角色（Role）和权限（Permission）。 图1上半部分是RBAC的基本模型，用虚线划分的下半部分是RBAC的抽象实体与客观世界中的具体事物进行的对照，这样便于理解与说明。用户是对数据对象进行操作的主体，可以是人，机器人和计算机等。反应在软件中的是一个账户名称；权限是对某一数据对象的可操作权利。一般所讲的数据对象，对于关系型数据库系统而言，可以是表、视图、字段，甚至是一条记录。相应的操作有读、写、删除和修改等。一项权限就是可以对某一个特定数据对象进行某一种特定操作的权利。角色的概念可以与实际工作中的职务的概念来对比的加以理解。不同于具体的人员，职务只是一个称谓，他规定了拥有这个称谓的所有人员所能做的事情与所不能做哪些事情，即代表了在日常工作中处理某些事务的权利。例如，实际工作中的“秘书”、“经理”、“班长”不是特指具体的哪一个人，而只是一种概念上的称谓，这些称谓所对应的权利与责任，间接的决定了所拥有这一称谓的特定人员处理事物的权利与责任。把这个概念引入授权管理中，则角色作为中间桥梁把用户和权限联系起来。一个角色与权限关联可以看作是该角色拥有的一组权限的集合，与用户关联又可以看作是若干具有相同身份的用户的集合。一个用户可以被赋予若干角色，一个角色也可以被赋予给若干个具体用户，用户和角色之间是多对多的关系。同样，一个角色可以