提供對資料庫的訪問的數據管理系統、方法和安全性結構的製作方法

2023-04-24 19:55:56

專利名稱：提供對資料庫的訪問的數據管理系統、方法和安全性結構的製作方法
技術領域：
本發明涉及數據管理系統、為機構提供對作為該系統組成部分的公共資料庫的訪問的方法以及實現該系統和方法的安全性結構。
背景技術：
在單個機構的計算機系統內，常見的是提供可供該機構成員訪問的例如伺服器上的中央資料庫。眾所周知，採用安全性結構來控制成員對該資料庫內各種數據文件的訪問。具體地說，這些數據文件可能歸各個成員所有，給予這些成員對數據文件的特定訪問權。同樣，可以針對各數據文件來授予許可權，以允許就那些許可權定義的成員執行那些許可權中定義的功能，例如讀、寫、編輯等。其它功能，例如控制用戶ID和用戶密碼可以僅限於具有管理權的特定成員。這些成員可以完全自由地訪問或更改資料庫的任何部分。
從WO 01/77863中已知，提供一種可被許多不同機構訪問的多媒體素材的外部資料庫。任何經授權可使用該資料庫的機構可以查看所有的多媒體素材，根據內置於系統中的程序規則獲取經授權的所請求多媒體素材的拷貝。

發明內容
本發明基於這樣的認識需要提供外部資料庫以用於存儲例如多媒體素材，以便不同各方可使用以及處理同一數據。本發明還認識到在同一資料庫上提供不同機構擁有的數據的問題。具體來說，一些機構可能不希望其它機構查看其數據或者甚至是知道其數據在該資料庫上或者知道他們使用該資料庫。應當明白，先前在內部供各機構使用的系統並不適合，因為即使不允許一些成員觀看某些文件，這些成員仍會知道存在這些文件。實際上，更嚴格地說，擁有管理權的成員始終可以查看任何文件。
本發明的目的在於避免或至少減少這些問題。
根據本發明，提供一種數據管理系統、如媒體管理系統，它包括用於存儲多個資料庫存的資料庫；以及用於控制資料庫的資料庫存中數據的存儲以及允許多個外部機構對數據訪問的接口，每個機構包括一個或多個各自的成員；其中所述接口包括控制機構成員對數據的訪問的安全性結構。
根據本發明，還提供一種向多個外部機構提供對包含多個資料庫存的公共資料庫的訪問的方法，每個機構包括一個或多個各自的成員，所述方法包括用於控制機構成員對資料庫存的訪問的安全性結構的步驟。
根據本發明，還提供一種安全性結構，供存儲多個資料庫存的資料庫使用，所述安全性結構實現不同外部機構與資料庫存的數據之間的接口，每個機構具有一個或多個各自的成員，所述安全性結構控制不同機構的成員對資料庫存的數據的訪問。
這樣，無論各個機構內的各種成員的權限如何，安全性結構允許多個不同的外部機構使用同一資料庫，但是控制所有成員的訪問。通過以此方式提供安全性結構，可以提供一種公共資料庫，允許不同的機構及其成員共同使用特定數據文件的數據，而其它機構可能沒有充分的訪問權來知道存在那些數據文件或知道上述機構在使用該資料庫。即使一個以上機構的成員擁有對同一數據的訪問權，利用安全性結構，就可以只允許一些成員進行比其他成員級別低的操作，例如只能查看。
應當指出，通常這些機構將操作相應的數據存儲/通信系統，並且包括到該資料庫的外部連接。
因此，安全性結構實現不同機構的系統與公共資料庫之間的接口。資料庫中的數據在安全性結構的控制下，可以被多個不同機構的系統訪問和處理。
數據存儲/通信系統可以包括對各系統的相應管理員權限。
利用安全性結構，所有機構的每個成員的訪問權的確定與各個數據存儲/通信系統無關。因此，一個機構的成員無需具有對其它機構擁有的資料庫存的數據的任何權限。
最好是成員對數據的訪問至少包括讀、寫和編輯數據。
因此，對於每個成員，安全性結構可以控制從特定資料庫存讀、寫和編輯數據。對於安全性結構來說，還可以控制其它的訪問特徵，包括不直接涉及資料庫存中數據的處理的功能。
最好是資料庫存具有不同的相應所屬權。
安全性結構可以根據查找的數據所在的資料庫存的所屬權來控制成員對數據的訪問。
一個或多個資料庫存可以歸不同的各個機構所有。
因此，每個機構可以擁有其自己的存儲大量不同數據文件的資料庫存。擁有特定資料庫存的機構的成員可以擁有對該資料庫存的完全訪問權，而安全性結構可以阻止其他機構的成員對該資料庫存的數據執行特定功能。具體地說，安全性結構可以阻止其它機構成員被授予刪除該資料庫存的文件的許可權。
最好是，安全性結構允許成員請求有關該資料庫的功能操作，這些功能包括對數據的訪問。
由此，成員可以請求寫、讀或編輯特定數據。成員還可以請求其它功能，比如更改資料庫的密碼。
最好是，當這些機構之一的成員請求一項功能時，安全性結構要求該成員的ID通過驗證。
這樣，當嘗試訪問該資料庫時，除非訪問者是ID可通過驗證的成員，否則安全性結構拒絕此訪問。
最好是，安全性結構包括這些機構的各個成員可用功能的列表，當這些機構之一的成員請求一種功能時，安全性結構要求確定所請求的功能是否可供該成員使用。
這樣，可以在該系統上給不同的成員授予不同級別的功能。具體地說，此安全性結構可能只允許特定成員讀數據，這樣，不論可能向該成員授予對特定數據什麼許可權，該成員仍是只可以讀取該數據。這樣，一個機構的成員不能向另一個機構的成員授予超越根據對該機構的這個成員或多個成員所允許的預定範圍的許可權。
最好是，安全性結構包括關於每個機構的一個或多個角色，每個角色涉及一個或多個功能，並且定義有資格操作該角色的一個或多個功能的機構成員。
這樣，定義了可供成員使用的功能。當一個成員被定義為角色的一部分時，它就有資格(通常至少)操作為該角色定義的功能。
這提供了一種為特定成員定義各種功能的相對直接的方法。它還允許安全性結構以相對直接和方便的方式來操作。具體地說，不是針對個別成員定義隨意選擇的不同功能(這樣難以跟蹤什麼功能可供哪些成員使用)，預定角色定義一個完整的功能集，通過作為各個角色的一部分而賦予這些成員一個或多個功能集。
最好是，安全性結構包括一個或多個模板，每個模板提供一個或多個功能的列表，角色具有指向這些模板的指針，以便指示為該角色定義的成員可使用的一個或多個功能。
鑑於角色可能與各個機構有關，可以建立模板以供任何機構使用。這樣，不同的機構可能擁有同名角色，但是指向不同的模板。因此，例如擁有資料庫存所有權的機構可能包括稱為「用戶」且指向提供完全讀、寫和編輯功能的模板的角色，而相關的機構可能具有也稱為「用戶」而指向只具有讀和複製功能的模板的角色。
最好是，安全性結構包括關於每個相應機構的、所有可見到所述相應機構的其它機構的指示，當這些機構之一的成員請求一項功能時，安全性結構需要確定該功能未要求訪問該機構成員不可見的機構所擁有的資料庫存的數據。
這樣，使用資料庫的機構就只對已經在安全性結構中專門如此記錄的其它機構是可見的。因此，無論擁有任何其它權力，機構的成員都無法訪問、查看或使用對其不可見的機構所擁有的任何數據。實際上，在此方面，一個機構的各成員不知道正在使用該資料庫的另一個機構的存在，除非允許可見性的其它機構專門將它們列出。
最好是，安全性結構規定每個功能的目標具有與之相關的一個或多個許可權，這些許可權允許定義的功能被定義的成員執行，當機構之一的成員請求一項功能時，安全性結構需要確定該功能目標的許可權中包括所請求的功能和成員。
這樣，無論發出請求的成員擁有什麼權限，安全性結構都提供一種機制來確保功能本身對於該成員是允許的。因此，如果相關成員或擁有適當機構的管理權的成員發出更改該成員密碼的請求，該請求只由安全性結構許可。對於擁有另一機構的管理權的另一機構的成員，不一定會許可。
最好是，安全性結構規定每個功能允許多個目標。此功能的最終授權將取決於對可以與每個功能相關聯的可選商業邏輯(為了授權)的評估。這使系統能夠對(可能)涉及多個機構的多個目標執行複雜的操作。
最好是，資料庫存的數據文件具有相關許可權，這些許可權允許定義的成員對相應數據文件執行定義的功能，當機構之一的成員請求對數據文件執行一項功能時，安全性結構要求確定該數據文件的許可權中包括所請求的功能和該成員。
這樣，即使特定成員確實有權執行特定功能、例如刪除，除非該數據文件本身包括對該成員執行該功能的許可權，否則安全性結構也不允許執行此功能。
根據本發明，還提供一種電腦程式，它包括當該程序運行於計算機上時執行安全性結構的所有步驟的程序代碼裝置。
根據本發明，還提供一種電腦程式產品，它包括存儲在計算機可讀媒體上、在該程序產品運行於計算機上時執行安全性結構的步驟的程序代碼裝置。


參考附圖，通過下文僅以舉例的方式給出的說明，可以更加清楚地理解本發明。
圖1說明實施本發明的配置；圖2說明用戶/應用伺服器的交互作用；圖3至6說明安全性結構的目錄結構；圖7說明組、用戶/成員、角色和模板之間的關係；圖8至10說明安全性結構檢查流程；圖11說明系統的參與者；圖12說明安全性結構的概況；以及圖13說明用戶更改密碼的流程圖。
具體實施例方式
本申請提出一種媒體管理系統(MMS)，它被設計為允許多個公司或機構在數字媒體的管理和工作流程中進行合作。例如，MMS可讓兩個公司就同一個廣告宣傳活動進行合作，共享和處理該數字媒體(例如視頻和圖像)。MMS採用公共資料庫，其中數據被劃分到各資料庫存中，以便將資料庫劃分為各個不同部分。通常，至少一部分採用MMS的機構對相應的資料庫存擁有所有權。
如圖1所示，設置資料庫2用於存儲數據。該數據被安排在資料庫存4中，資料庫存又可再劃分成數據文件6。多個機構8可以通過外部網絡10、諸如網際網路或全球資訊網訪問資料庫2。每個機構可以包括一個或多個成員12，它們本身可以通過屬於各機構自有內部系統的網絡連結。
外部機構8通過安全性結構14與資料庫2實現接口。正如下文將要闡述的，安全性結構14包括存儲有關機構8、成員12、資料庫存4和數據文件6的信息，並管理哪些成員允許什麼訪問。當成員12請求有關資料庫2的任何功能時，它還實現對可允許訪問執行校驗的過程。
安全性結構14可以構成物理接口或資料庫的集成部分。但是，建議它以軟體實現，並用於控制常規硬體。
MMS範圍內的安全性可以認為包括兩個主要部分。這兩個部分是系統安全性和應用安全性。
系統安全性是與構成MMS體系結構的組件以及作為個體和整體時如何保證其安全性有關的系統方面的描述。系統安全性定義各個組件的如下事項-訪問各組件(如數據文件6)的路徑，即在系統內如何訪問該組件。對於資料庫伺服器，這會描述哪些組件可以連接到伺服器並執行SQL操作。為了理解(在常規操作下)可用來達到組件的網絡路徑，這是很重要的。
-訪問該組件的實體(如成員12)的標識。對於全球資訊網應用的情況，應用伺服器充當系統內後端組件的代理。這意味著，後端組件除知道它正在被該應用伺服器訪問外，不太可能知道其它任何事，不知道用戶身份。這對應用伺服器內運行的應用程式提出更高的要求，以便確保它只執行允許用戶進行的操作。
-在MMS系統範圍內傳遞驗證憑證的方法。這包括如何獲得系統的用戶(即機構8的成員12)的用戶ID/密碼，以及移動和存儲應用伺服器所要求的憑證，以便它可以訪問後端服務。
-系統內各組件的備份和恢復過程。為使組件在受損的情況下可以可靠地恢復到先前的有效狀態，這是需要的。
-系統安全性的最後一個要點是理解測試和驗證為每個組件編寫的策略的機制。
需要為之定義系統安全性的組件有目錄伺服器、全球資訊網伺服器、資料庫、UNIX系統、FTP伺服器、應用伺服器以及資產貯存器和網絡。
應用安全性解決應用如何在其內部實施安全性。這在n-層系統(尤其是基於全球資訊網的系統)中尤其重要，因為全球資訊網伺服器/應用伺服器在用戶和後端資源(如圖2所示)之間充當代理。
只要涉及到用戶或成員，用戶與應用程式的唯一交互是通過應用伺服器。任何進一步的交互由應用伺服器上運行的應用程式傳遞到要求的資源。從確保用戶只能看到一個系統(實際有許多)的角度來看，這是一個優點。問題是後端資源不是直接知道用戶的。它們只能完全相信應用程式所告知它們的。在常規布署方案中，應用伺服器擁有一個用戶和用於連接到諸如資料庫之類的東西的密碼。此ID擁有資料庫內足夠的許可權，可以執行所有用戶的動作。這意味著，應用伺服器是一個可對系統中其它組件實施攻擊的潛在弱點。此問題可以被描述為「困惑的代理」問題，因為可以存在這種可能性將數據發送到應用伺服器，並讓它執行用戶或許不能做的動作。其結果是應用伺服器內的代碼在處理任何動作時都需要知道如下三件事1.誰在執行動作；2.他們執行的是什麼動作；3.他們對什麼執行該動作。
本發明特別考慮到系統安全性。
為了實現安全性結構14，採用特定結構來完成目錄伺服器和LDAP(輕載目錄訪問協議)的工作。LDAP是一種作為用於訪問在分層目錄內組織的信息的機制而開發的協議。此結構樹內的任何項目均可以通過識別其鑑別名(DN)來查找。該結構樹在初始後綴下面組織。DN的組元列出其在層次結構中的位置。
圖3表示其中擁有三個條目的樹。該樹的後綴DN為o＝mms。對應於存儲在MMS中的各機構的其它條目及其DN分別為o＝SonyMarcomms，o＝mms和o＝Design Agency，o＝mms。值得注意的是，DN是新屬性值對與其父葉的DN的組合。因此，如果需要在o＝SonyMarcomms，o＝mms下添加新的機構單元people，則DN可以為ou＝People，o＝Sony Marcomms，o＝mms。對應於樹中的每個DN存儲數據，可以表示的欄位由目錄方案來管理。
LDAP協議本身非常簡單，其設計目的在於高效地訪問條目，而非能夠為之提供表示和功能查詢接口。LDAP包括7種操作ADD、MODIFY、DELETE、MODRDN、BIND、UNBIND和REBIND。
存儲在MMS的目錄伺服器中的層次結構是理解數據如何進行組織以及如何才能實現定義安全性所要求的映射的關鍵。在MMS目錄伺服器內，所有用戶信息的基後綴均為o＝mms。此下的層次結構則被設計為反映應用的需要。
第一層分組屬於預訂MMS的機構。這些機構和相關角色、組和成員(將在下文中說明)彼此分開，這需要在樹結構中予以反映。圖3的實例顯示其中擁有二個機構的樹。在DIT(目錄信息樹)中，關於這些機構的條目附於該機構之下。機構還包括可見到此機構的其它機構的列表。機構的可見性是一個重要特徵，將在下文予以說明。
機構8中擁有一定數量(0至多個)用戶/成員12。這些用戶/成員被分組歸到機構的成員分支下，並按uid屬性(用戶ID)存儲。如圖4所示。
機構8還包括一定數量的組，為了管理用這些組將用戶/成員12集合在一起，機構8還包括一些資產的訪問許可權。這些組按cn屬性(公共名)存儲在機構的組分支之下。如圖5所示。這些組本身由本身就可以是組的各成員構成。每個成員是指向用戶或另一個組的鑑別名。
機構8還包括一定數量的角色，這些角色用於確定機構8內用戶/成員的功能許可權。每個角色包括一個成員列表以及它所引用的角色全局(global of role)。MMS的角色信息以全局方式存儲在DIT的模板部分。模板部分包括多個模板，各個模板定義特定的功能集，諸如讀、寫、編輯等。也可以規定模板只定義一個相應的功能。
為機構8創建的角色引用DIT模板部分內的單個模板。進而可以引用模板區內的其它模板。機構的角色在DIT中角色分支下查找，如圖6所示。
為了使角色在系統內發揮作用，需要有一個不同機構所引用的角色全局主列表。該信息存儲在DIT的ou＝Roles，cn＝Globals，o＝mms部分下。模板信息包括機構的預設信息和在整個樹中被引用的角色。
圖7中表示組與角色之間在誰與誰相關方面的關係。
為了概述圖7，一個組20包括零個或零個以上成員12以及零個或零個以上組20，一個角色22包括零個或零個以上成員12並引用一個和一個模板24，一個模板由零個或零個以上角色22引用並且引用零個或零個以上模板24。隱含意義是，成員12可以是零個或零個以上組20和角色22的成員。
給定目錄伺服器的結構和所存儲的數據，定義獲取用戶的組關係可採用的過程是非常必要的。此過程需要滿足DIT靈活性的要求，還要允許將來進行優化的可能性。這種優化必須通過將結果高速緩存來實現。此過程按如下所述進行。
-獲取用戶DN需要有用戶或成員12的鑑別名才能開始此操作。可以採用以下LDAP過濾器利用用戶的uid屬性(因為它在該目錄內是唯一的)來獲取。
(uid＝用戶ID)-列出用戶直接所屬的組利用你要查找其成員資格的用戶12的DN，使用以下LDAP過濾器獲取該用戶12直接所屬的組20的列表。
((objectclass＝mmsGroup)(|(uniquemember＝userDN)(mmsAdministrator＝userDN)(mmsOwner＝userDN)))-遍歷這些組以找出完整列表對於每個組20，通過組20內的uniquemember欄位內的dn引用獲取它所屬的組20(此操作是遞歸性的)。組20的用戶12的當前列表是需要存儲在一個集合內以便檢查循環引用的成員。利用以下LDAP過濾器檢查組20所屬的那些組20((objectclass＝mmsGroup)(uniquemember＝groupDN))。
下文描述獲取用戶12能夠執行的角色22的列表的過程。在高吞吐量環境中，此過程需要通過對結果進行高速緩存來優化。此過程按如下所述進行。
獲取用戶DN-需要有用戶或成員12的鑑別名才能開始此操作。這可採用以下LDAP過濾器利用用戶的uid屬性(它是唯一的)來獲取(uid＝用戶ID)列出用戶所屬的角色-下一個階段是列出機構8內為用戶12分配的角色22。這通過以下LDAP過濾器來完成。
((objectclass＝mmsRole)(uniqumember＝userDN))遍歷這些模板角色以創建最終列表-一旦已知機構8內的角色22的列表，就需要將各個角色(通過模板信息)映射到許可角色22和通過引用模板24定義的功能的最終列表。對於機構8的每個檢索的角色22，必須進行查找以獲取併入其中的子角色。這是一個遍歷角色層次結構的遞歸操作，可以通過裝入每個角色22的屬性並利用uniquemember屬性查找子角色來完成。
媒體管理系統提供一個可從外部機構8訪問的資料庫2，每個機構8具有一個或多個成員12。因此，成員12是本系統的用戶12。
當用戶12首先嘗試在系統上執行一項功能時，安全性結構14嘗試對用戶12進行驗證。
為了滿足驗證的要求，安全性結構支持如下兩項1.驗證一組憑證的能力對於要驗證的用戶12，它們必須向系統提供一組憑證。這些憑證之一始終是用戶身份(對應於它們的用戶ID)。第二個要求是用戶還要提供可以被確認的令牌、如密碼。然後，MMS可以提取這些憑證，並將它們與集中存儲在目錄伺服器中的那些進行比較，以判斷是否證實用戶12有效。
2.在任何給定時間知道當前憑證的能力一旦用戶通過驗證，系統在執行過程中任何時候調用該信息。這意味著在應用控制流程中的給定點處，可以獲取當前通過驗證的用戶12的身份。
一旦用戶12在系統內通過驗證，授權的三個要求之一被滿足，因為應用程式就已知動作或功能的始發者。它還意味著，安全性結構14還可利用此信息，從而能夠核查誰在MMS系統內執行了動作。
根據安全性結構的決策流程，給出圖8所示作業鏈的第一步。
功能訪問要求定義MMS內限定對系統內功能的訪問權的要求。MMS內限定對功能的訪問權的方法是通過角色22來實現的。如上所述，角色22定義可以在MMS內執行的功能。在其最簡單級別，角色22是功能對所允許用戶12的映射。因此，角色22涉及所有允許使用它的用戶12。此外，還要求可以對角色22進行組合，以構成功能塊(更類似於組中有組的形式)。
在MMS的範圍內，提供兩條信息，以便能夠授權用戶12執行動作。用戶12必須通過MMS驗證(如上所述)，用戶12必須是他們嘗試執行的角色22的成員。角色22本身是由MMS根據系統要求固定設置的(不可能定義新的角色)。需要有一個用於定義角色22和角色22的組的中心源。機構8可以根據它們的需要從其中提取。這可使不同機構在可以於MMS內使用的功能方面受到限制。這還意味著可以通過更改集中引用容易地對MMS添加功能和從中刪除功能。
在用戶交互方面，角色關係模型賦予開發者根據用戶12擁有許可權來執行的功能向用戶12呈現界面的能力，例如只有錄入員看到錄入標籤。
遵循流程圖，其中詳細說明了為了判斷用戶是否被允許執行動作而需要進行的決策流程，給出圖9所示的更新圖。
圖9表示檢查操作或功能是否可允許的前兩個步驟。功能本身不一定很重要(其目標才是重要的)。為了能夠使用此方法，要點是給系統的最終用戶12呈現可供管理角色22的分配和委託的界面。表示此功能的最佳方式視使用情況和參與者定義而定。此處的使用情況稍微與為資產管理定義的情況重疊，但這是在系統內分配角色22的最初源。
執行操作/角色此動作在用戶12嘗試在MMS內執行動作的情況下進行。這是適用於MMS內任何類型動作的通用使用情況。對此的授權是基於用戶12是否是相應角色22的成員，同時也基於該動作所操作的數據是否屬於他們擁有許可權的數據。下文參考圖10進行說明。
創建角色此動作是在創建新角色22的情況下進行。這是管理功能。此動作所需的信息是要創建的角色的角色詳情。角色22在機構8的範圍之外創建，並被用作那些能夠使用此角色的機構的模板。
刪除角色此動作是在刪除現有角色22的情況下進行。刪除角色22連同MMS內對它的所有引用。這高效刪除每個人的角色。這是管理功能。
賦予角色此動作為機構8內用戶12賦予角色22的成員資格。此動作的必需信息是對用戶8的引用以及將要為之授予他們許可權的角色22。此賦予可採取簡單成員資格的形式，也可採取角色管理員的形式。對此動作的授權基於用戶是否是用戶管理員或機構管理員。
對角色添加角色此動作用於在角色22內對角色22組合。這可將一個角色22添加到另一個角色中。這可以創建角色包來對功能組合，更易於管理應用安全性。此動作要輸入的是對正在添加的角色的引用，以及要添加到其中的角色的引用。這是管理操作。
從角色中刪除角色此動作用於將角色22與另一個角色脫離組合。此動作是上一個動作的逆功能。此動作要輸入的是對要刪除的角色的引用以及對要從其中刪除的角色的引用。這是應用環境外的管理操作。
撤銷角色此動作從角色中刪除用戶的許可權。它可用於刪除角色成員資格和角色管理員特權。此動作要輸入的是對角色的引用以及對要從其中刪除的用戶的引用。此動作只可供作為用戶管理員和機構管理員的用戶使用。
將角色分配給機構此動作用於將角色22(或角色集)分配給機構8。使用此動作，使不同的機構8可被賦予不同的功能。此動作要輸入的是對要分配的角色的引用以及對要分配到的機構的引用。這是管理動作。
從機構撤銷角色此動作用於將角色22(或角色集)從機構8刪除。此動作要輸入的是對要刪除的角色的引用以及對要從其中刪除該角色的機構的引用。此動作是管理操作。
如上所述，安全性結構14所執行的安全性流程的建立是從對要驗證用戶8的初始要求直到確定他們是否擁有在MMS內執行功能或角色的許可權。安全性結構14為了可以授予對特定動作或功能的訪問權還需要理解該動作目標指向的資源。採取這個要求得出安全性結構的最終決策流程，如圖10所示。
作為此步驟的一部分，安全性結構14判斷就相關目標是否列出擁有執行所請求功能的許可權的用戶12。在對數據文件6本身執行動作或功能的情況中，數據文件6已將其本身與用戶12的詳情以及他們被允許執行什麼功能(諸如讀、寫、編輯等)相關聯。同樣，在目標是有關用戶12的數據時，只有用戶12對他/她自己的數據進行動作或用戶12擁有機構8的相應管理權時才允許該動作。圖13說明用戶嘗試更改密碼的流程圖。
安全性結構包括用於存儲針對數據和文件夾的許可權的機制。這些許可權基於用戶12本身或用戶12是否是已經分配有這些許可權的組20的成員。
還可以在資產元數據級指定許可權。
建議提供一種許可權層次結構，這將允許用戶12授予其他用戶12許可權以執行編輯。下表通過指定在LDAP中授予/撤銷的許可權的平直列表來說明可能配置的方案

授予在撤銷之前執行以確保一致性。例如，授予刪除和撤銷查看按確保兩個動作互相抵消的順序執行。
在用戶交互方面，許可權模型為用戶界面的開發者賦予根據資產和元數據許可權向用戶呈現界面的能力。例如，如果用戶沒有對資產的編輯許可權，在都柏林核心元數據(Dublin Core metadata)屏幕上可以禁用輸入欄位和按鈕。
資產具有所屬的機構8和擁有者。擁有者可能是創建該資產/文件夾的用戶，雖然此所有權關係可能隨時間而改變(例如最初的擁有者離開公司)。所屬機構可能是擁有者的機構，但是可能代表另一個機構創建資產。
代理資產與其主機具有同一機構。在如下情況時執行此規則-代理被錄入-在主機上改變所屬機構同樣，「新版本」資產與它們的「前一版本」具有同一機構。在如下情況時執行此規則-版本被錄入理解資產控制要求的最佳方式是查看與MMS內資產相關的使用情況，以及與資產和資產管理相關的角色種類。
使用情況是與文件夾和MMS內資產的管理相關的可執行動作。
創建根文件夾此動作的功能是創建用戶或組文件夾。
創建子文件夾此動作的功能是在文件夾內創建文件夾。
編輯文件夾此動作的功能是編輯文件夾，例如更改有效日期。
設置文件夾擁有者此動作的功能是更改文件夾擁有者或所屬機構。
刪除文件夾此動作的功能是刪除文件夾和它參與的任何包含關係(作為父文件夾和/或子文件夾)。軟刪除或硬刪除均可供使用(可使用LDAP來配置)。軟刪除結束日期以使文件夾不再有效，而硬刪除刪除記錄。
查看文件夾的訪問權此動作的功能是查看文件夾的訪問許可權。
授予文件夾的訪問權此動作的功能是授予對文件夾的訪問權。
撤銷文件夾的訪問權此動作的功能是撤銷對文件夾的訪問權。
編輯文件夾都柏林核心元數據此動作的功能是編輯文件夾的都柏林核心元數據。
添加文件夾的用戶定義的元數據此動作的功能是向文件夾添加用戶定義的元數據。
編輯文件夾的用戶定義的元數據此動作的功能是編輯文件夾的用戶定義的元數據。
刪除文件夾的用戶定義的元數據此動作的功能是刪除文件夾的用戶定義的元數據。
查看對文件夾用戶定義的元數據的訪問權此動作的功能是查看對文件夾用戶定義的元數據的訪問許可權。
授予對文件夾用戶定義的元數據的訪問權此動作的功能是授予對文件夾的用戶定義的元數據的訪問權。
撤銷對文件夾用戶定義的元數據的訪問權此動作的功能是撤銷對文件夾的用戶定義的元數據的訪問權。
創建連結此動作的功能是創建文件夾與其它文件夾/資產之間的包含關係。
刪除連結此動作的功能是刪除文件夾與其它文件夾/資產之間的包含關係。軟刪除或硬刪除均可供使用(可使用LDAP來配置)。軟刪除結束日期以使連結不再有效，而硬刪除刪除記錄。
錄入資產此動作的功能是錄入/創建資產。
錄入代理此動作的功能是錄入/創建作為另一個資產的代理的資產。代理應該為只讀的，即不允許對代理的編輯許可權。如果用戶授予編輯許可權，則MMS系統將會在業務層中出故障且不返回信息。
錄入版本此動作的功能是錄入/創建作為現有資產的新版本的資產。現有資產日期結束，從而不再有效。新版本被放置於現有資產所在的文件夾中。
編輯資產此動作的功能是編輯資產，例如更改有效日期。
設置資產擁有者此動作的功能是更改資產的擁有者或所屬機構。
刪除資產此動作的功能是刪除資產和它所參與的任何關係。軟刪除或硬刪除均可供使用(可使用LDAP來配置)。軟刪除讓資產結束日期以使之不再有效，而硬刪除刪除記錄。
查看對資產的訪問權此動作的功能是查看資產的訪問許可權。
授予對資產的訪問權此動作的功能是授予對資產的訪問權。
撤銷對資產的訪問權此動作的功能是撤銷對資產的訪問權。
編輯資產的都柏林核心元數據此動作的功能是編輯資產的都柏林核心元數據。
編輯資產格式元數據此動作的功能是編輯資產的格式元數據。此動作僅會在再次提取資產的格式元數據時執行，例如新格式元數據提取器被設為可用時。
添加資產的用戶定義的元數據此動作的功能是向資產添加用戶定義的元數據。
編輯資產的用戶定義的元數據此動作的功能是編輯資產的用戶定義的元數據。
刪除資產的用戶定義的元數據此動作的功能是刪除資產的用戶定義的元數據。
查看對資產用戶定義的元數據的訪問權此動作的功能是查看對資產用戶定義的元數據的訪問許可權。
授予對資產用戶定義的元數據的訪問權此動作的功能是授予對資產的用戶定義的元數據的訪問權。
撤銷對資產用戶定義的元數據的訪問權此動作的功能是撤銷對資產的用戶定義的元數據的訪問權。
創建代理關係此動作的功能是創建兩個資產之間的代理關係。代理應該為只讀的，因此所有對代理的編輯許可權都將被取消。
刪除代理關係此動作的功能是刪除兩個資產之間的代理關係。
創建組任何驗證的用戶具有在MMS內創建組的功能。此組創建在他們的機構的範圍內，用戶被自動安裝為該組的擁有者。然後就可以使用組來保存其它組和用戶的集合，並且可用於限定對MMS內資產的許可權。此動作要輸入的是要創建的組的名稱。
刪除組刪除組是將其從系統中刪除。它刪除該組以及從其它位置對該組的任何引用(注意，如果存在對該組的引用，則應該顯示警告消息)。此動作要輸入的是對該組的引用。對此動作的授權是根據用戶是否是組的擁有者、機構管理員或MMS管理員而定的。
授予組的成員資格這是用戶授予另一實體(用戶或組)某個組內成員資格的動作。此動作要輸入的是要授予的成員資格所屬的組和對要添加到該組的用戶/組的引用。對此動作的授權是根據用戶是否是組的擁有者、機構管理員、域管理員或MMS管理員而定的。
從組中撤銷成員資格這是從某個組刪除一個實體(用戶或組)的動作。此動作所要輸入的是對該組的引用和對要從其中刪除的實體的引用。對此動作的授權是根據用戶是否是組的擁有者、機構管理員、域管理員或MMS管理員而定的。不能對組的擁有者撤銷成員資格。
本部分定義文檔中用到的術語。原因是在ASP(應用服務提供商)環境中提供基於角色的安全性體系結構是一個複雜的操作。
記住，現在安全性結構14要求能夠理解給定動作所操作的目標，下一階段定義表示MMS內目標的方法。參考圖3到圖6進行上述討論。表示需要的方法足夠通用，使得安全性管理器只需知道到哪裡查詢請求是否被允許，而無需知道所有可能的目標。這相當於知道如何轉換角色的規則即可，而無需知道所有現存的角色。因此，框架對於所考慮的資源是中立的，它提供用於訪問資料庫內諸如資產和文件夾等的基礎，同時還能夠處理對目錄伺服器內的角色22、用戶12和機構8的查詢。
圖10所示的目標定位的最後一個方面是MMS內的資源和信息所具有的可見性。任何機構8需要能夠指定它們準備與之合作的機構8。這種關係需要明確。這需要是在流程的「動作目標是否允許」部分中的第一檢查之一。因此，諸如資料庫存4或數據文件6的任何資源都需要為某個機構8所有，並且任何訪問都需要由所屬機構的機構優選來作為中介。
在運行MMS時，允許各個操作員或參與者根據他們屬於MMS的職責擁有不同級別的控制權。圖11說明參與MMS的各種參與者。
用戶12是MMS內的基本單元。用戶12能夠在系統內執行除錄入新資產以外的大多數動作。用戶可以修改他們自己的數據和他們擁有訪問權的數據、創建和控制組20以及搜索/下載資產。用戶12對系統擁有的訪問權取決於他們所屬的機構8和組20。
用戶管理員30被允許執行用戶12可以執行的任何動作，並且另外還擁有關於在MMS內創建和管理用戶12的功能。用戶管理員30可以在與它們自己相同的機構8內控制角色22、密碼和用戶12的個人詳細信息。他們還可以在他們的機構內創建新用戶12。
允許文件夾管理員32執行用戶12可以執行的任何動作，以及另外還擁有關於文件夾(即數據文件6的集合)管理的功能。文件夾管理員32可以管理他們機構8範圍內的任何文件夾。這包括創建、刪除和許可。
允許組管理員34執行用戶12可以執行的任何動作以及另外還擁有關於組管理的功能。組管理員34可以管理他們自己機構8範圍內現有的任何組。
允許資產管理員36執行用戶12可以執行的任何動作以及另外還擁有涉及資產的職責和功能。資產管理員擁有對他們機構所有的任何資產的管理特權以及錄入新資產的功能。
機構管理員38擁有對屬於他們自己機構8範圍內的任何對象的管理特權。
錄入員40是一個特殊角色，供可以將新資產引入系統但不能搜索和查看現有資產的人使用。此職責應該被指派給負責批量錄入新資產的人，或者此職責可以添加給用戶12，以賦予他們錄入文件的附加特權。
MMS還可以包括核查功能。
就安全性而言，有兩種使用術語核查的方式。它們是核查應用或系統的安全性的功能以及核查應用內發生什麼的功能。這兩個功能都很重要。要理解這些要求，重要的是理解在MMS環境中如何控制安全性。
如圖12所示，通過應用內的安全性結構14的基本流程，動作才會被執行。如上所述，安全性結構根據嘗試執行該動作的用戶12的許可權、他們的角色以及嘗試執行動作所針對的對象作出關於是否執行該動作的決策。在這一點，該結構記錄所嘗試的動作以及該動作是被允許還是被拒絕。然後，就可以嘗試執行該動作，並向調用者返回任何響應或告知調用者他們沒有足夠許可權執行所請求的動作。
在發行應用程式之前會測試其安全性。全球資訊網應用程式在此方向上提出引起關注的難題，因為HTTP協議是無狀態的。因此，可能請求一個頁面，但是不一定訪問過緊鄰的前一個頁面。一旦用戶12進行授權的會話，他們可(在理論上)觸發系統內的任何動作。因此，需要一個徹底審查和測試過程，以便確保安全性結構14在限定應用程式內的訪問權時正常發揮作用。從這個角度來看，極重要的是該結構擁有儘可能少的入口點(在本例中為一個)，這樣就只有一個為執行此檢查而需要實施的接口。
一旦應用程式運行，用戶12就可以訪問具有不同級別許可權的功能。可以記錄誰在系統內何時做過什麼是非常重要的，這樣可以追蹤系統內的潛在問題。應用程式內的所有動作按動作粒度被記錄，這是重要的。可以使用軟體來分析全球資訊網伺服器記錄並且達到非常接近此功能。此處的問題是，請求該動作的用戶12不一定會被捕捉到，而且也可能未捕捉到該動作的參數和詳細信息。因此，該系統內進行的所有動作都會被記錄。能夠實現這一點就允許如下事項支持桌面任何技術支持功能都將(在某個階段)需要知道用戶12一直在嘗試什麼動作，以便幫助他們處理問題。從幫助桌面的觀點來看，最好有關於用戶正在做什麼的兩個角度，使得它們可以從用戶那裡獲取用戶認為他們正在做什麼的信息，以及從系統獲取系統認為他們正在做什麼的信息。這還可在系統的用戶界面內提供到不一致性區域的極好反饋路徑。
可計量性如果核查資料庫中出現某個情況，則可能是用戶執行(或嘗試)了該動作。這在機構與技術支持交談時申明應用程式出錯以便蓋住用戶錯誤的支持情況中非常有幫助。在ASP環境中，各公司可能彼此共享資產，在法律角度上來說，這對於MMS供應商也是重要的。在此情況下，兩個競爭對手公司不希望對方具有其資產/公司架構的可視性。在可能授予此訪問權的情況下，能夠證明此訪問權不是因為應用程式出錯而授予的，這對於MMS供應商來說非常重要。在允許訪問權的用戶ID洩密時，仍允許MMS供應商能夠說明違反安全性的發生是因為特定帳戶洩密。
驗證安全性受損理論上，黑客可能獲取進入運行MMS的系統的入口，在應用環境外對一些東西進行更改。核查跟蹤提供一些東西來對照比較，以便可以判斷此類更改的性質和範圍。
識別可能的非法入侵嘗試核查資料庫也記錄對用戶無訪問權的東西進行訪問的嘗試。如果用戶界面完善，就應該不會發生這種情況。實際上，這種情況會出現，只是應該不會經常出現。若能看到失敗執行動作的次數，就可以初步確認可能的入侵嘗試和所嘗試的安全性侵犯。例如，用戶帳戶可能被洩密，黑客利用它來操縱HTTP請求以嘗試觸發其它動作。此類活動會在日誌記錄的分析時顯示，這可供MMS的管理員決定是否需要監控或鎖定用戶帳戶。
為了完整，下文給出上文所用的一些術語的定義。
ASP(應用服務供應商)ASP是多個機構的應用供應商。這表明此類應用供應商為個人組成的多個集體提供服務。從應用的角度來說，意味著對每個機構提供一個功能塊，且這些功能塊不一定相同。另外，應用需要同時知道用戶身份及其所屬機構，以便理解其安全性要求(這也會影響數據的可見性)。
組在此文檔中，組是為了組織涉及資產訪問的用戶的集合而使用的實體。組可以跨機構，即單個組可以包含多個機構的成員。組還可以分層設置，這樣可以在MMS框架內組中有組。
角色角色是用於在MMS內定義職責和可用功能的機制。角色是用於對用戶的操作功能進行分組的機制。它們存在於單個機構的範圍內，而不能跨多個機構。原因是為了保持角色與組之間非常明確的區分。角色以對於整個MMS來說全局的方式存儲，然後根據各個機構的需求被引用，這樣不同的機構就可以被賦予不同的功能。全局角色可以包含所包括的角色列表，這樣可以將角色組合到角色包中。這種分組不在機構級進行。
驗證驗證是從MMS的最終用戶提取一組憑證並對照中央保存儲存內容來驗證它的過程。最終結果可以說具有合理的可信度，被驗證的用戶是他們所聲稱的身份。
授權授權是選擇通過驗證的用戶並決定允許他們在MMS內執行動作或操作。授權只能對通過驗證的用戶進行。
用戶用戶是使用MMS應用的個體。用戶屬於單個機構。用戶還可以屬於零個或零個以上組，並被指派零個或零個以上角色。
機構機構是使用MMS來管理它們的數字資產的實體。一個機構由許多用戶、組和角色組成。
資產資產是存儲在MMS內的數字媒體。
目錄伺服器目錄伺服器是MMS系統內的組件，它存儲MMS內所有用戶、組、機構和角色的目錄。這是完成關於安全性判斷的決策的中央庫。
應用伺服器應用伺服器是MMS應用所在的平臺。它提供創建應用所基於的基礎設施(例如/J2EE全球資訊網和豆容器)。
動作動作是用戶在MMS系統內執行的功能/操作。它也可以稱為操作。
文件夾文件夾是MMS內對項目分組的方式。MMS實質上可以視為媒體資產的虛擬文件系統。在此上下文中，文件夾是一系列資產或其它文件夾的容器。
可見性理解ASP環境中的可見性的概念是很重要的。通常，機構都不具有對ASP內其他機構的任何可見性。在MMS的情況中，機構之間彼此許可對方的可見性，為了在機構之間對媒體協同工作和共享媒體，這確實是必要的。預設情況下，機構(及其所有相關資源)對於MMS內的任何其他機構是不可見的。可以更改此可見性來允許完成機構間協同工作(但其關係是明確的而非暗含的)。
權利要求
1.一種數據管理系統，它包括用於存儲多個資料庫存的資料庫；以及用於控制在所述資料庫的資料庫存中數據的存儲以及允許多個外部機構訪問所述數據的接口，每個機構包括一個或多個各自的成員；其中所述接口包括控制所述機構的成員對所述數據的訪問的安全性結構。
2.一種為多個外部機構提供對包含多個資料庫存的公共資料庫的訪問的方法，每個機構包括一個或多個各自的成員，所述方法包括用於控制所述機構的成員對所述數據的訪問的安全性結構的各步驟。
3.一種供存儲多個資料庫存的資料庫使用的安全性結構，所述安全性結構實現不同外部機構與所述資料庫存的數據之間的接口，每個機構擁有一個或多個各自的成員，而且所述安全性結構控制不同機構的成員對所述資料庫存的數據的訪問。
4.如權利要求1、2或3所述的系統、方法或結構，其特徵在於，所述機構操作各個數據存儲/通信系統並且包括至所述資料庫的外部連接。
5.如權利要求4所述的系統、方法或結構，其特徵在於，所述數據存儲/通信系統包括用於相應系統的各種管理員權限。
6.如前述任一權利要求所述的系統、方法或結構，其特徵在於，所述成員對數據的訪問至少包括讀、寫和編輯所述數據。
7.如前述任一權利要求所述的系統、方法或結構，其特徵在於，所述資料庫存具有不同的相應所有權關係。
8.如前述任一權利要求所述的系統、方法或結構，其特徵在於，一個或多個所述資料庫存為相應的機構所有。
9.如前述任一權利要求所述的系統、方法或結構，其特徵在於，所述安全性結構允許所述成員請求有關所述資料庫的功能的操作，所述功能包括對數據的訪問。
10.如權利要求9所述的系統、方法或結構，其特徵在於，所述機構之一的成員請求功能時，安全性結構要求所述成員的ID通過驗證。
11.如權利要求9或10所述的系統、方法或結構，其特徵在於，所述安全性結構包括可供所述機構的相應成員使用的功能列表，當所述機構之一的成員請求功能時，所述安全性結構要求判斷所請求的功能是否可供所述成員使用。
12.如權利要求11所述的系統、方法或結構，其特徵在於，所述安全性結構包括關於每個機構的一個或多個角色，每個角色與一個或多個功能相關並且定義有資格操作所述角色的所述一個或多個功能的機構的成員。
13.如權利要求12所述的系統、方法或結構，其特徵在於，所述安全性結構包括一個或多個模板，每個模板提供一個或多個功能的列表，以及所述角色具有指向所述模板的指針，以便指示所述一個或多個功能可供為所述角色定義的成員使用。
14.如權利要求9至13中任一個所述的系統、方法或結構，其特徵在於，所述安全性結構包括關於每個相應機構的、可見到所述相應機構的所有其他機構的指示，當所述機構之一的成員請求功能時，所述安全性結構要求確定所述功能未要求訪問對於所述成員的機構不可見的機構所擁有的資料庫存的數據。
15.如權利要求9至14中任一項所述的系統、方法或結構，其特徵在於，所述安全性結構規定功能的每個目標具有與之相關的一個或多個許可權，所述許可權允許定義的成員執行定義的功能，以及當所述機構之一的成員請求功能時，所述安全性結構要求確定所述請求的功能和所述成員包含在所述功能的目標的所述許可權中。
16.如權利要求9至15中任一個所述的系統、方法或結構，其特徵在於，所述安全性結構規定每個功能允許多個目標。
17.一種系統、方法或結構，其中所述資料庫存的數據文件具有相關的許可權，所述許可權允許定義的成員對相應數據文件執行定義的功能，以及當所述機構之一的成員請求對數據文件執行的功能時，所述安全性結構要求確定所請求的功能和所述成員包含在所述數據文件的所述許可權之中。
18.一種電腦程式，它包括用於在計算機運行所述程序時、執行前述權利要求中任一個的所有步驟的程序代碼裝置。
19.一種電腦程式產品，它包括存儲在計算機可讀媒體中、用於在計算機上運行所述程序產品時執行權利要求1至17中任一個的所有步驟的程序代碼裝置。
全文摘要
一種數據管理系統，它包括用於存儲多個資料庫存的資料庫；以及用於控制在所述資料庫的資料庫存中數據的存儲並允許多個外部機構訪問所述數據的接口，每個機構包括一個或多個各自的成員，其中所述接口包括控制機構成員對數據的訪問的安全性結構。
文檔編號G06F21/62GK1495638SQ0315797
公開日2004年5月12日 申請日期2003年9月2日 優先權日2002年9月2日
發明者J·W·赫斯, J W 赫斯, A·瓦爾克 申請人:索尼英國有限公司