多媒体资源管理系统数据访问解决方案

多媒体资源管理系统数据访问解决方案智勇*柏宏权**南京师范大学教育技术系E-mail：*zhiyongnj@163.com**baihongquan@263.net本文是笔者在实际开发多媒体信息资源管理系统平台过程中，为解决多媒体数据访问与使用时的安全管理问题，采用了目前管理信息系统软件中较为常用的基于角色权限管理的数据访问机制，并结合多媒体资源管理平台的实际应用的特点，提出相应解决方案，以供探讨与参考。关键词：角色RBAC权限1引言现代管理信息系统是建立在对人类社会活动的事件与过程的高度抽象的基础上，结合先进的管理理论、思想，并利用高效的计算机技术、网络技术以及数据库技术来帮助人们完成对信息的收集、存储、加工及获取。随着技术的飞速发展，管理思想与理念的更新，专业化、网络化、巨型化、人性化成为计算机管理信息系统发展的必然趋势。与以往小型的数据库管理系统所不同的是，设计与开发大型的专业数据库管理信息系统不仅要考虑对实体数据的管理，而且由于其应用的复杂性，不同用户对数据会有不同的需求。因此，对于用户获取与使用数据的权限的管理也与以往桌面型的数据库系统有着本质的区别。在社会信息化程度日益高涨的今天，教育领域对于传统教学资源的开发、应用、组织与更新都提出了新的要求。数字化无疑是优化教学资源，实现教学改革的趋势。因此，现在许多技术条件比较好的高校、研究所与公司纷纷开始研制与建立自己的素材资源库系统，这无疑是一个很好的开端。在这其中应该注意的是，硬件环境的建设固然重要，对于软件管理系统的设计与开发，更是与今后的数据安全、资源的合理应用密切相关。所以，应该在管理平台软件的设计阶段就确立相应的系统安全机制，对于不同类型用户应该具有不同的访问数据的权限，每个使用者只能接触到与其角色需求相应的数据内容，而严格控制与防止用户接触与其身份角色不相关的数据信息，从而有效的保证数据的安全性。从这种客观的需求分析我们可以看出，在这一用户系统管理模块的设计与开发中，首先选择与建立正确的数据模型是有效完成任务的关键环节。下面我们就开始设计数据访问的权限的方法与模型。2基于角色的权限管理模型访问权限模型的建立决定了一个用户或程序模块是否有权对某一特定的数据资源执行某种操作。传统的访问控制方法主要分为自主型访问控制（DAC）和强制型访问控制（MAC）两种。随着网络数据库应用系统的普及，用户可访问的数据资源的结构日益复杂，规模日益增大，使用这两种传统的访问控制方式对数据的存取权限进行管理就显得十分复杂和不安全。因此，产生了基于角色的访问控制（Role-BasedAccessControl），简称RBAC.目前对RBAC模型的研究尚不完善，其中较为深入的为美国GeorgeMason大学的RBAC96模型和ARBAC97模型。虽然还未形成规范，RBAC的部分概念已在许多软件产品中体现出来。在商用数据库管理系统中组角色划分和授权，在的信息资源访问管理系统中，在一些网络应用软件安全管理系统中，都可以看到越来越多的RBAC的特征。例如，微软公司的SQLServer数据库管理系统，中国同学录网站（）就成功的利用了这一管理模型。首先，简单介绍一下基于角色访问控制的基本思想。RBAC的基本模型及概念结构对应关系如图1所示。RBAC包含了3个实体：用户（User），角色（Role）和权限（Permission）。图1上半部分是RBAC的基本模型，用虚线划分的下半部分是RBAC的抽象实体与客观世界中的具体事物进行的对照，这样便于理解与说明。用户是对数据对象进行操作的主体，可以是人，机器人和计算机等。反应在软件中的是一个账户名称；权限是对某一数据对象的可操作权利。一般所讲的数据对象，对于关系型数据库系统而言，可以是表、视图、字段，甚至是一条记录。相应的操作有读、写、删除和修改等。一项权限就是可以对某一个特定数据对象进行某一种特定操作的权利。角色的概念可以与实际工作中的职务的概念来对比的加以理解。不同于具体的人员，职务只是一个称谓，他规定了拥有这个称谓的所有人员所能做的事情与所不能做哪些事情，即代表了在日常工作中处理某些事务的权利。例如，实际工作中的“秘书”、“经理”、“班长”不是特指具体的哪一个人，而只是一种概念上的称谓，这些称谓所对应的权利与责任，间接的决定了所拥有这一称谓的特定人员处理事物的权利与责任。把这个概念引入授权管理中，则角色作为中间桥梁把用户和权限联系起来。一个角色与权限关联可以看作是该角色拥有的一组权限的集合，与用户关联又可以看作是若干具有相同身份的用户的集合。一个用户可以被赋予若干角色，一个角色也可以被赋予给若干个具体用户，用户和角色之间是多对多的关系。同样，一个角色可以具有多项权限，一项权限也可被赋予给多个不同的角色，角色和权限之间也是多对多的关系。一个登录于某系统的用户，可以通过他所具有的角色的权限来判断其可访问的系统资源和对系统资源可以进行的操作。这就是RBAC最基本的工作原理。图1RBAC的基本模型及概念结构对应关系3设计访问多媒体资源管理系统的安全体系接下来，根据在设计与开发多媒体资源库管理系统时的实际情况，来分析与建立相应的的安全体系模型。首先，从实际使用的对象来讲，有教师、数据库管理人员、行政管理人员、以及学生。不同的人依据具体的情况使用不同的数据集合，有的教师仅需要查找与使用文本与数字视频类型的资源，有的教师需要使用各种类型的资源，还有的教师不仅仅是使用者，还有帮助数据库管理人员添加、修改与维护数据库资源的任务。从管理系统软件各个模块的设计上来讲，根据不同资源类型的自身特有的技术特征分别组建相应的管理模块，在管理员登录系统时应首先选择管理的资源类（当然也可以在进入系统后再改变），在每个模块中又分别针对不同的数据资源集合包括有一般的分类、查询、删除、修改与删除等子功能模块。从上述的实际需求分析可以看出，在建立基于角色的数据访问控制模型时，必须综合考虑用户、角色、各功能模块与具体数据集合等对象间的关系来建立模型。见图2所出示。一目了然，从整体安全层次上讲，系统角色与软件的功能模块在客观上制约着系统用户能够访问数据资源的能力，通过这种制约机制，实现了对众多用户统一的分类管理，通过对系统角色的拥有，用户继承了对数据资源的访问能力，间接地拥有了操作权限。在用户账户管理方面，可以采用电子邮件申请与网上在线注册相结合的方式，对于提出申请账户要求的校内教师、学生，在接到申请后，进行资格评估与审核。对于符合申请标准的，为其开设专用账户，通过在线通知或电子信件的方式予以确认。在角色方面，根据实际情况，逻辑上将系统的用户划分为不同的角色组（这里只列举出了部分），例如资源总管角色在系统中权利最大，可以访问任何资源，包括资源管理与用户管理两个部分，拥有这一角色的用户数量不能太多，一到两人左右，一般由具有丰富数据库系统使用经验，并了解教育教学结构与流程的教育技术人员承担。用户管理员这一角色不能访问多媒体数据资源，他的责任是对整个系统的用户进行统一的组织与管理，例如增加与删除用户，授予与撤消用户的资源访问权限。在实际使用时，拥有这一角色的用户一般是学校单位的行政管理人员。还可以根据实际需要，自行定义角色，分配权限，当然能完成定义角色这一任务的用户自身必须具有足够的权限才行，比如拥有用户管理员这一角色。用户（User）角色（Role）权限（Permission）人员职务权利与责任图2系统访问权限模型图在管理平台软件功能模块方面，资源管理模块又根据多媒体资源的表现类型分成了文本、音频、视频、图形动画等几个子功能模块，每个子功能模块的内部又根据用户对资源的访问权限与不同资源类型的技术特征划分成更小的功能单元。将相应的数据资源集合封装在一个尽可能合理的小范围内，根据与其对应的权限进行访问，实现有效的层级化管理。4应用实例笔者使用了C++Builder5开发工具结合MicrosoftSQLServer7数据库实现了基于角色的对资源的访问控制，图3展示了多媒体资源库管理平台软件中用户管理系统模块的界面，图三所示例子为添加一个名为sysadmin的普通管理员，并明确指定可以访问的资源类型为视频与图像资源库，并相应指定每个库中的管理权限。在顺利完成对用户账户添加的任务后，该用户便可通过管理平台软件进行登录，但只能访问与其权限相符的数据资源和使用软件的功能模块，即视频资源库与图像资源库，而严格控制对未授权模块的非法访问，该用户如果试图使用文本资源库的数据或功能模块的话，管理平台系统会弹出一个要求再一次输入用户名与密码的对话框，以检查其是否具有访问权限，如果输入无效用户名或密码，那么当前用户会继续停留在现有功能模块上，不发生任何变化。5结论安全性机制是如今大型网络数据库管理系统开发中不可忽视的一个重要环节，除了要在管理制度与条例上作好工作外，应用当今数据库与网络等信息技术的先进机制，可以高效率、低成本的帮助我们解决安全管理的问题。其一般步骤是分析实际应用需求，选择管理方案与设计、建立相应模型，最后使用编程工具实现其思想。功能模块文本资源音频资源视频资源用户数据库User_AUser_N系统用户操作权限数据查询数据定义数据更新用户管理资源总管系统角色一般教师级用户管理员一般学生级自定义该角色拥有的权限该用户具有的角色该用户能操作的资源图3多媒体资源库管理平台软件中用户管理模块基于角色的访问控制（RBAC）是当今开发大型分布式管理系统中一种占主流地位的安全解决方案。笔者就实际开发与应用中的经验，建立了基于这种理论模型指导下的应用实例。当然，一个完美的设计方案在现实中几乎是不存在的，这其中还需要更多系统开发人员的共同交流、合作与探讨，共同努力完善教学资源数字化的理念，进而构建我国教育事业信息化的宏伟蓝图。参考文献[1]欧阳星明.大型网络MIS系统中基于角色的权限管理.计算机工程与应用.2000（4）.[2]胡劲波.MIS系统开发中系统安全经验谈.计算机与现代化.1999.[3]宋擒豹，沈钧毅.管理信息系统通用查询工具的设计与实现.计算机工程与应用.2000.（5）.[4]熊忠阳，张玉芳.吴中福.三层结构中的数据库访问技术.计算机科学.2000（4）.[5]夏骄雄，陆菊康，施振夏.Intranet与管理信息系统.计算机工程与应用.2000（3）.[6]朱世平.Internet/Intranet上多媒体数据库的建立与检索技术研究.计算机工程与应用.2000（3）.IntheprocessofactualdevelopingMulti-MediaInformationResourceManagementPlatform，inordertosolvetheproblemofsecurityforusingandaccessingtoMulti-Mediadata，thepenmanadoptedasortofRole-BasedAccessControlmechanismwhichwascurrentlyusedinthedesigningmanagementinformationsystemsoftware.Also，Consideringthepracticecharacteristicoftheplatform，thepenmanputforwardcorrespondingsolutionforreferenceanddiscussion.Keywords:RoleRole-BasedAccessControlPermission