CN102696040A - 中继装置及文件共享方法 - Google Patents
中继装置及文件共享方法 Download PDFInfo
- Publication number
- CN102696040A CN102696040A CN2011800052477A CN201180005247A CN102696040A CN 102696040 A CN102696040 A CN 102696040A CN 2011800052477 A CN2011800052477 A CN 2011800052477A CN 201180005247 A CN201180005247 A CN 201180005247A CN 102696040 A CN102696040 A CN 102696040A
- Authority
- CN
- China
- Prior art keywords
- file
- access rights
- catalogue
- communication terminal
- under
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Abstract
无需将中继装置所连接的外部存储装置中构筑的文件系统转换为其它文件系统,并且无需使用用于访问限制的专用装置,就可以对外部存储装置中存储的文件设定访问权限,并且实现具有基于该访问权限的访问限制功能的文件共享。在路由器(30)上连接外部存储装置(40),该外部存储装置(40)具有将文件分层存储的目录结构的文件系统。在从下辖的通信终端(22)接收到对存储于该外部存储装置中的文件等设定访问权限的指示的情况下,路由器(30)将规定其访问权限的访问权限文件写入与作为访问权限设定对象的文件相同或者更上级的目录中,然后,按照该访问权限文件的内容确定是否可以对该文件进行访问。
Description
技术领域
本发明涉及一种路由器或交换机等中继装置,特别涉及一种利用中继装置实现文件共享的技术。
背景技术
在企业等中,通常将在分公司等各网点中架设的LAN(LocalArea Network:以下称为网点内LAN)与互联网等普通广域网连接,从而构筑整个公司的信息系统。在将网点内LAN向普通广域网连接时,使用称为路由器的中继装置。通常,路由器是进行OSI参考模型的第1层(物理层)至第3层(网络层)为止的连接,对按照IP(Internet Protocol)等网络层的通信协议发送来的数据进行中继的中继装置。
作为用于在这种信息系统中可以使业务顺畅地进行的技术的一种,可以举出文件共享。文件共享是指,例如在网点内LAN中连接称为文件服务器的计算机装置,对于存储在该文件服务器中的各种数据文件和程序的可执行文件(以下简称为“文件”),可以从该网点内LAN所连接的通信终端和普通广域网所连接的通信终端进行访问。在此,对文件进行访问是指,如果该文件是数据文件,则为读取其内容(或者改写其内容),如果该文件是程序的可执行文件,则为在读取其内容的基础上,基于该可执行文件使CPU(CentralProcessing Unit)进行动作。
但是,在进行上述所示的文件共享时,为了防止机密信息泄漏或信息篡改等,希望对每个文件设定访问权限,进行基于该访问权限的访问限制。但是,文件服务器所具有的文件系统并不一定总是支持访问权限的设定,如果是如FAT(File Allocation Table)32这种不支持访问权限的设定的文件系统,则无法实现访问限制。另外,FAT32是Windows(注册商标)9x系列的OS(Operating System)中通常采用的文件系统。因此,提出了各种用于解决这种问题的技术,作为其中的一个例子,可以举出专利文献1~4所公开的方案。专利文献1~3所公开的技术通过在文件服务器之外单独设置仅负责访问控制的专用装置,从而解决上述问题,专利文献4所公开的技术为通过利用符号链接构筑与访问权限对应的虚拟文件系统,从而解决上述问题。
专利文献1:日本特开平11-212849号公报
专利文献2:日本特开2002-342144号公报
专利文献3:日本特开2004-303023号公报
专利文献4:日本专利4342242号
发明内容
但是,近年来,提出了使路由器等中继装置承担文件服务器功能的方案。具体而言,将存储了各种文件的外部存储装置(例如USB(Universal Serial Buss)存储器等)与中继装置连接,将存储于该外部存储装置中的各种文件向该中继装置下辖的通信终端(连接在利用该中继装置与普通广域网连接的网点内LAN上、且将该中继装置作为默认网关的通信终端)及连接在普通广域网中的通信终端进行共享。这样,无需另行引入文件服务器,可以降低系统构筑成本。
但是,在此,成为问题的是,在USB存储器等外部存储装置中,大多采用FAT32等不支持访问权限的设定的文件系统,无法实现访问权限的设定、以及具有基于该访问权限的访问限制功能的文件共享。即使在使中继装置承担文件服务器功能而实现文件共享的方式中,当然也可以利用专利文献1~4所公开的技术实现访问权限的设定等。但是,对于如专利文献1~3所公开的那样另行设置仅负责访问限制的专用装置的方案,不符合使中继装置承担文件服务器功能而实现系统构筑成本降低这一初衷。此外,中继装置的OS并不一定支持符号链接,不一定总是可以应用专利文献4所公开的技术。当然,通过将外部存储装置的文件系统转换为支持访问权限设定的其他文件系统(例如NTFS(NT File System)或exet2(second extendedfilesystem)等),可以消除上述问题点,但产生这种文件系统转换需要大量时间的问题。例如,将具有500GB存储容量的FAT32格式的文件系统转换为NTFS需要3~4小时左右的时间。
本发明就是鉴于上述课题而提出的,其目的在于提供一种下述技术,即,无需将与中继装置连接的外部存储装置中所构筑的文件系统转换为其他文件系统或者使用用于访问限制的专用装置,就可以对存储在该外部存储装置中的文件设定访问权限,实现具有基于该访问权限的访问限制功能的文件共享。
为了解决上述课题,本发明提供一种中继装置,其具有:数据包转送控制单元,其在接收到从下辖的通信终端发送来的数据包的情况下,将该数据包向发送目标转送,在接收到以下辖的通信终端为目标发送来的数据包的情况下,将该数据包向作为发送目标的通信终端转送;外部设备连接单元,其用于连接外部存储装置,该外部存储装置具有将文件分层地存储的目录结构的文件系统;以及文件共享服务提供单元,其用于执行访问权限设定处理和访问控制处理,该访问权限设定处理是在从通信终端接收到对所述外部设备连接单元所连接的外部存储装置中存储的文件或目录设定访问权限的指示的情况下,生成对该文件或目录的所有者和其他用户分别规定访问权限的访问权限文件,并存储在存储有该文件或者目录的上级目录中,该访问控制处理是在从通信终端接收到对所述外部存储装置中存储的文件或目录发出的访问请求的情况下,参阅在存储有该文件或目录的所述上级目录、或与所述上级目录相比更上级的目录中存储的访问权限文件,确定是否可以对所述文件或目录进行访问。
优选所述文件共享服务提供单元在所述访问权限设定处理中,将所述访问权限文件生成为隐藏文件。
优选所述文件共享服务提供单元在所述访问权限设定处理中,对生成的访问权限文件实施加密而存储于所述外部存储装置中,在由所述访问控制处理参阅所述访问权限文件时,对所述加密的访问权限文件进行解密。
优选将经由该中继装置进行通信的通信终端分组为允许共享存储于所述外部存储装置中的文件或目录的通信终端所属的第1组、和不允许共享的通信终端所属的第2组而进行设定,所述文件共享服务提供单元只有在从从属于所述第1组的通信终端接收到所述设定指示的情况下,执行所述访问权限设定处理,只有在从从属于所述第1组的通信终端接收到所述访问请求的情况下,执行所述访问控制处理。
优选所述外部设备连接单元连接有多个外部存储装置,并且针对每一个外部存储装置,设定允许共享存储于该外部存储装置中的文件或目录的通信终端所属的组。
优选所述文件共享服务提供单元进行镜像处理,该镜像处理将所述外部设备连接单元所连接的多个外部存储装置中的至少2个外部存储装置的包含所述访问权限文件在内的存储内容、或者经由网络连接的外部存储装置和所述外部设备连接单元所连接的外部存储装置的包含所述访问权限文件在内的存储内容变得相同。
附图说明
图1是表示包含本发明的一个实施方式的路由器30在内的通信系统的构成例的图。
图2是表示与该路由器30连接的外部存储装置40具有的目录结构的一个例子的图。
图3是表示该路由器30的构成例的框图。
图4(A)是表示存储在该外部存储装置40中的访问权限文件的文件格式的图,(B)是表示访问权限信息的一个例子的图。
图5是用于说明路由器30的控制部310执行的访问权限设定处理的图。
图6(A)、(B)是表示在进行访问权限的设定时显示在通信终端22的显示部上的画面的一个例子的图。
图7(A)、(B)是用于说明与文件的删除或移动相伴的访问权限文件的更新的图。
标号的说明
10…普通广域网、20…网点内LAN、22、22A、22B、22C…通信终端、30…路由器、310…控制部、320…第1通信I/F部、330…第2通信I/F部、340…外部设备I/F部、350…存储部、352…易失性存储部、354…非易失性存储部、360…总线、40…外部存储装置
具体实施方式
下面,参照附图对本发明的实施方式进行说明。
(A:结构)
图1是表示包含作为本发明的中继装置的一个实施方式的路由器30在内的通信系统的构成例的图。该通信系统例如是将在企业的网点中架设的网点内LAN 20经由路由器30与普通广域网10连接而构成的。在图1中,虽然仅例示了一个网点内LAN,但也可以是多个网点内LAN分别经由单独的路由器与普通广域网10连接。普通广域网10例如是互联网等IP网络(对基于IP的数据通信进行中继的通信网络),由非特定多人共同利用。在网点内LAN 20中连接有各用户(上述企业的员工)使用的通信终端22A、22B以及22C。当然也存在由多个用户共用这些通信终端的情况,但是在本实施方式中,为了避免说明变得复杂,针对各个通信终端预先设为一位用户。下面,将通信终端22A的用户称为“用户A”、通信终端22B的用户称为“用户B”、通信终端22C的用户称为“用户C”。将这些用户与其所属部门等对应而预先分为多个组。例如,在本实施方式中,以用户A属于“组1”、用户B和用户C属于“组2”的方式对用户进行分组。
图1的各个通信终端22A、22B以及22C都是个人计算机,可以与其它通信装置(普通广域网10所连接的WWW服务器或网点内LAN 20所连接的其他通信终端)之间进行基于规定协议的数据通信。下面,在不需要区分各个通信终端22A、22B以及22C的情况下,表述为“通信终端22”。在通信终端22中,预先存储有唯一识别本装置的用户的识别符(以下称为用户识别符)和唯一识别该用户所属的组的识别符(以下称为组识别符)。另外,在图1中例示了3台通信终端连接在网点内LAN 20上的情况,但也可以是大于或等于4台通信终端连接在网点内LAN 20上,此外,也可以是1台或2台通信终端连接在网点内LAN 20上。
路由器30是相对于通信终端22实现默认网关的作用的通信装置。因此,在通信终端22中,作为代表默认网关的数据而存储有路由器30的通信地址(例如IP地址或MAC(Media Access Control)地址)。如图1所示,在路由器30上连接了外部存储装置40。外部存储装置40例如是USB存储器。在该外部存储装置40中构筑了具有分层存储文件的目录构造(参照图2(A))的文件系统,分层地存储有多个文件。具体而言为下述情况,即,如图2(A)所示,在上述文件系统的根目录“¥”中存储目录“A”、目录“B”及文件fileC,在目录“A”中存储有文件fileA1和文件fileA2,在目录“B”中存储有文件fileB。这些文件fileA1、fileA2、fileB以及fileC是文本文件或程序的可执行文件。另外,在本实施方式中,作为上述文件系统采用FAT32。此外,在本实施方式中,针对外部存储装置40是USB存储器的情况进行了说明,但也可以是通过USB连接的硬盘或通过SCSI(Small Computer System Interface)连接的硬盘,此外,当然也可以是SD存储卡等闪存卡。只要是具有可以分层地存储文件等的文件系统的存储装置即可,可以是经由任意接口从外部连接在路由器30上的存储装置。另外,假定在称为文件的情况下,包含目录这一概念。
而且,本实施方式的路由器30具有实现上述文件共享的功能(以下称为文件共享服务提供功能),可以将存储于路由器30所连接的外部存储装置40中的文件等向路由器30下辖的通信终端(将路由器30作为默认网关的通信终端,即通信终端22)的用户共享。如上所述,虽然FAT32不支持访问权限的设定,但是在本实施方式中,通过在路由器30中进行明显表示出本实施方式的特征的处理,从而实现对上述文件等的访问权限的设定、以及具有基于该访问权限的访问限制功能的文件共享。以下,以明显表示出本实施方式的特征的路由器30为中心进行说明。
图3是表示路由器30的构成例的框图。如图3所示,路由器30包括控制部310、第1通信接口(以下称为I/F)部320、第2通信I/F部330、外部设备I/F部340、存储部350以及对上述结构要素间的数据发送/接收进行中继的总线360。
控制部310例如是CPU。该控制部310通过执行存储在存储部350(更准确地说为非易失性存储部354)中的各种程序,从而作为对路由器30的各部分进行动作控制的控制中枢起作用。控制部310基于各种程序所执行的处理的详细内容在后面详细记述。
第1通信I/F部320和第2通信I/F部330都是NIC(NetworkInterface Card),分别与不同的通信网络连接。具体而言,第1通信I/F部320与普通广域网10连接,第2通信I/F部330与网点内LAN20连接。第1通信I/F部320和第2通信I/F部330将从作为各自的连接目标的通信网络接收到的数据包(将通信消息以预先确定的数据尺寸进行分割,并对该分割后的各个通信消息添加规定的数据头而得到的数据块)向控制部310传递,并且将从控制部310传递来的数据包向作为各自的连接目标的通信网络发送。
外部设备I/F部340是与USB存储器或串行控制台等外部设备之间按照规定协议(USB或RS-232C)进行数据的发送/接收的接口的集合体。例如在作为外部设备而使用USB存储器或通过USB连接的硬盘的情况下,只要使外部设备I/F部340中含有USB接口即可。同样,在作为外部设备而使用SD存储卡的情况下,只要使外部设备I/F部340中含有SD存储卡读取器即可,在作为外部设备而使用通过SCSI连接的硬盘的情况下,只要在外部设备I/F部340中含有SCSI接口卡等即可。此外,在作为外部设备而使用串行控制台的情况下,只要在外部设备I/F部340中含有RS-232C接口等串行接口即可。在本实施方式中,由于路由器30上连接有外部存储装置40,因此在外部设备I/F部340中含有USB接口。
存储部350含有易失性存储部352和非易失性存储部354。易失性存储部352例如是RAM(Random Access Memory)等易失性存储器,用作为控制部310执行各种程序时的工作区。非易失性存储部354例如是EPROM(Erasable Programmable Read OnlyMemory)等非易失性存储器,在该非易失性存储部354中预先存储有各种数据和程序。作为存储于非易失性存储部354中的数据的一个例子,可以举出所谓路由表等在执行数据包转送控制时所需的数据(在图2中省略图示)。由于对于上述在执行数据包转送控制时所需的数据,与通常的路由器所具有的功能相比没有特别地改变,因此省略详细说明。
作为预先存储于非易失性存储部354中的程序,可以举出数据包转送控制程序和文件共享服务提供程序。控制部310如果检测到路由器30的电源(省略图示)接通,则将这2个程序从非易失性存储部354中读出至易失性存储部352中,并开始执行。数据包转送控制程序是使控制部310执行对经由第1通信I/F部320(或者第2通信I/F部330)接收到的数据包的转送控制(基于数据包的发送目标IP地址进行的转送控制)的程序。对于按照该数据包转送控制程序而由控制部310执行的数据包转送处理,与通常的路由器所执行的处理相比没有特别地改变,因此省略详细说明。
另一方面,文件共享服务提供程序是使控制部310实现图3的访问权限设定处理以及访问控制处理的程序。对于上述各处理的详细内容,为了避免重复而在动作例中进行详细记述,其概要如下所示。
访问权限设定处理是与来自通信终端22的指示对应,执行针对存储于外部设备I/F部340所连接的外部存储装置40中的文件等进行访问权限的设定的处理。更详细而言,控制部310如果从通信终端22接收到指示对文件等设定访问权限这一内容的通信消息(以下称为设定指示消息),则生成与该消息内容对应的访问权限文件,并且在存储有作为访问权限的设定对象的文件等的目录中作为隐藏文件进行存储。在此,隐藏文件是指,例如在Windows(注册商标)系列OS或UNIX(注册商标)系列OS中,具有以“.”开始的文件名的文件,在没有对文件管理器(如果是Windows(注册商标)则为资源管理器)进行特别设定时,不会显示与该隐藏文件对应的图标等的文件。在本实施方式中,与Windows(注册商标)系列OS及UNIX(注册商标)系列OS中的情况相同地,将具有以“.”开始的文件名的文件作为隐藏文件进行处理。对于如上所述使上述访问权限文件成为隐藏文件的理由,在后面详细记述。
在本实施方式中,在从通信终端22发送来的设定指示消息中,写入有示出作为访问权限的设定对象的文件等的信息、该文件等的所有者的用户识别符、该所有者所属组的组识别符以及示出访问权限的内容的访问权限信息。详细内容将在后文叙述,控制部310基于在从通信终端22接收到的设定指示消息中所写入的上述用户识别符等,生成访问权限文件,赋予“.ACL”这一文件名并存储在存储有该作为设定对象的文件等的目录中。
图4(A)是表示访问权限文件的文件格式的一个例子的图。如图4(A)所示,该访问权限文件是由根据该访问权限文件规定访问权限的文件等的名称、该文件等的所有者的用户识别符、该所有者所属组的组识别符、以及表示该访问权限的访问权限信息构成的记录的集合体。作为该访问权限文件的具体实现方法,可以是作为CSV(Comma-Separated Values)格式等通过规定字符对上述各种数据进行分隔而记述的文本文件进行实现的方式,也可以是作为关系数据库等的表格进行实现的方式。在该访问权限文件中写入的访问权限信息是表示文件等的所有者的访问权限、与该所有者属于同一组的其他用户的访问权限以及除此之外的用户的访问权限的信息,在本实施方式中,用“755”及“777”、“640”等3位数字表示这3种访问权限。上述3位数的意思如下所述。
如图4(B)所示,上述3位数字的最高位(例如“640”中的“6”)表示文件等的所有者的访问权限,中间位(例如“640”中的“4”)表示与所有者属于同一组的其他用户的访问权限,并且,最低位表示除此之外的用户(并非所有者、也并非与所有者属于同一组的其他用户的用户)的访问权限。各位的数值是0~7范围的值,可以以3位2进制数表示。例如“6”表示为“110”,“4”表示为“100”。上述3位2进制数的最高位表示是否允许对文件等进行读出(“1”是“允许”,“0”是“不允许”)。同理,上述3位2进制数的中间位表示是否允许向文件等写入,该最低位表示是否允许对文件等进行执行。即,如果文件等的访问权限信息是“640”,则该访问权限信息表示“对于所有者,允许对该文件等进行读取以及对该文件等写入,对于与该所有者属于同一组的其他用户,仅允许对该文件等读出,以及对于除此之外的用户,不允许进行读出、写入以及执行”。另外,在上述文件等为目录的情况下,“读出”是指“参阅存储于该目录中的文件等的名称的一览”,“写入”是指“对存储于该目录中的文件等进行删除,或者新建文件等”,“执行”是指“对该目录进行访问(例如,通过cd命令等使该目录成为当前目录)”。另外,在本实施方式中,虽然用上述0~7范围的数值表示了对文件等的访问权限,但也可以与UNIX(注册商标)系列OS中的情况相同地,利用“r”、“w”、“x”以及“-”的组合表示访问权限。具体而言,只要替代“755”这种数字字符串而使用“rwxr-xr-x”这种字符串即可。
另外,在存储有作为访问权限的设定对象的文件等的目录中已经存储有访问权限文件的情况下,控制部310将与上述设定指示消息的内容对应的记录追加记入该访问权限文件中(或者用该记录覆盖已有的记录)。此外,在应覆盖已有记录的情况下,在本实施方式的访问权限设定处理中,仅在该已有的记录中含有的用户识别符和上述设定指示消息中含有的用户识别符一致的情况下,进行该覆盖,在两个用户识别符不一致的情况下,返回错误消息。即,在本实施方式中,只有文件等的所有者可以变更该文件等的访问权限。在本实施方式中,虽然只有文件等的所有者可以变更该文件等的访问权限,但也可以是无论在已有记录中含有的用户识别符和在设定指示消息中含有的用户识别符是否一致,都进行覆盖的方式。如果为这种方式,则除了可以变更文件等的访问权限之外,还可以变更文件等的所有者。
访问控制处理为,在从下辖的通信终端22接收到对存储于外部设备I/F部340所连接的外部存储装置40中的文件等进行访问的请求的情况下,根据存储有该作为访问对象的文件等的目录中所存储的访问权限文件、或者存储于更上级的目录中的访问权限文件,确定可否进行该访问。例如如图2(B)所示,在根目录“¥”和目录“A”中存储有访问权限文件的状况中,接收到对文件fileC(或者fileA1或fileA2)进行访问的请求的情况下,控制部310根据存储有该作为访问对象的文件的目录(即根目录“¥”或目录“A”)中存储的访问权限文件,确定可否进行该访问。与此相对,在接收到对图2(B)的文件fileB进行访问的请求的情况下,由于在存储有该作为访问对象的文件的目录中没有存储访问权限文件,因此,控制部310根据在上一级目录即根目录“¥”中所存储的访问权限文件,确定可否进行该访问。另外,在发出对文件fileB进行访问的请求的情况下,如果在根目录“¥”中也没有存储访问权限文件,则控制部310可以无条件地允许该访问,也可以相反地无条件拒绝该访问。
以上为路由器30的结构。
(B:动作)
(B-1:访问权限设定处理中的动作)
以下,将从如图2(A)所示完全没有进行访问权限设定的状态开始,用户A及用户B分别对目录“A”及目录“B”各自顺序设定访问权限的情况作为例子,说明路由器30所执行的动作。
首先,说明用户A设定针对目录“A”的访问权限的情况。用户A操作通信终端22A的操作部(省略图示),发出对用于示出外部存储装置40内的目录的层次关系(以下称为目录树)的图像进行显示的指示。例如为下述情况,即,如果通信终端22A的OS为Windows(注册商标)系列,则用户A首先点击“我的网络”图标,使通信终端显示“我的网络”窗口,对在该“我的网络”窗口中显示的“路由器”图标(即对应于路由器30的图标)进行点击。接收到上述指示的通信终端22A的控制部生成内容为请求发送目录信息的通信消息(以下称为目录信息发送请求消息),并以作为默认网关的路由器30为目标发送,其中,该目录信息示出外部存储装置40内的目录树。路由器30的控制部310如果经由第2通信I/F部330接收到上述目录信息发送请求消息,则从外部存储装置40读出目录信息,并将该目录信息向通信终端22A回送。通信终端22A的控制部如果接收到该目录信息,则根据该目录信息,在显示部中显示示出外部存储装置40内的目录树的图像(参照图6(A))。
如上所述,观察确认了外部存储装置40内所构筑的目录的层次关系的用户A,选择希望设定访问权限的文件等,对该文件等进行设定访问权限的操作。具体情况如下,即,右键点击(用设置于鼠标中的右键进行点击)与希望设定访问权限的文件等对应的图标。如果进行了上述操作,则通信终端22A的控制部310向路由器30发送内容为请求发送作为访问权限的设定对象而指定的文件等的访问权限信息的通信消息。在该通信消息中写入有示出作为访问权限的设定对象而被指定的文件等的识别符。
路由器30的控制部310如果接收到该通信消息,则判定是否存在访问权限文件(存储在与该识别符所示的文件同一层中的访问权限文件),其中,该访问权限文件存储有写入在该通信消息中的识别符所示的文件等的访问权限信息。并且,如果存在相应的访问权限文件且在该访问权限文件中写入有相应的访问权限信息的情况下,控制部310从该访问权限文件读出该访问权限信息、用户识别符以及组识别符,并回送至通信终端22A。相反,在没有相应的访问权限文件,或者虽然存在相应的访问权限文件但没有写入相应的访问权限信息的情况下,控制部310将没有相应的访问权限信息这一内容的响应消息向通信终端22A回送。在本动作例中,由于在外部存储装置40的任意目录中都没有存储访问权限文件,因此从路由器30将没有相应的访问权限信息这一内容的响应消息回送至通信终端22A。
如果接收到没有相应的访问权限信息这一内容的响应消息或者访问权限信息等,则通信终端22A的控制部使显示部显示图6(B)所示的属性画面。该属性画面是用于设定访问权限信息等的用户界面,例如如图6(B)所示,设有:显示作为访问权限的设定对象的文件等的名称的显示区域;用于输入该文件的所有者的用户识别符及该所有者所属的组的组识别符的输入区域(图6(B):输入区域IN1及IN2);以及用于输入访问权限的复选框CB。另外,图6(B)的属性画面是用于设定访问权限信息等的用户界面的一个例子,实际上是经由对应于通信终端22A的OS的画面(例如,如果是Windows(注册商标)系列的OS,则通过点击文件属性画面中的安全标签而显示的画面)进行访问权限信息等的设定。
例如,在接收到访问权限信息等的情况下,通信终端22A的控制部将与该访问权限信息同时接收到的用户识别符以及组识别符分别设置在输入区域IN1以及IN2中,并且,在复选框CB中设置基于该访问权限信息的选择标记,然后显示属性画面(参照图6(B))。与此相对,在接收到没有相应的访问权限信息这一内容的响应消息的情况下,通信终端22A的控制部将存储在本装置中的用户识别符以及组识别符分别设置在输入区域IN1及IN2中,然后显示属性画面。在本动作例中,由于回送来没有相应的访问权限信息这一内容的响应消息,因此,通信终端22A的控制部在后者的状态下显示属性画面。观察确认了该属性画面的用户A对复选框CB进行输入操作之后,点击更新按钮B1,从而可以向通信终端22A发送将自身作为目录“A”的所有者的访问权限的设定指示。另外,在本实施方式中,对于通信终端22A预先设定1位用户(即用户A),在通信终端22A中预先存储有该用户的用户识别符和组识别符,但是也存在通信装置22A由多位用户共用,在通信终端22A中存储有该多位用户各自的用户识别符和组识别符的情况。在上述通信装置22A由多位用户共用的情况下,只要在接收到上述响应消息的时刻,使通信终端22A执行将正在使用通信终端22A的用户(例如当前登录的用户)的用户识别符以及组识别符分别设置在输入区域IN1及IN2中并显示属性画面的处理即可。
通信终端22A的控制部如果如上所述接收到访问权限的设定指示,则生成对应于该指示内容的设定指示消息,并以路由器30为目标发送。例如,在目录“A”的属性画面中,作为所有者的用户识别符而输入用户A的用户识别符,作为该所有者所属的组的组识别符而输入组1的组识别符,并且对复选框CB进行了下述操作,即,针对所有者允许该目录“A”的读出、写入以及执行,对于与所有者属于同一组的其他用户和除此之外的用户允许读出以及执行,在此状态下,如果按下更新按钮B 1,则通信终端22A的控制部以如下方法生成设定指示消息,并向路由器30发送。即,通信终端22A的控制部生成作为示出访问权限设定对象文件等的识别符而写入了目录“A”的名称、作为所有者的用户识别符而写入了用户A的用户识别符、作为该所有者所属的组的组识别符而写入了组1的组识别符、而且作为访问权限信息而写入了“755”的设定指示消息,并以路由器30为目标进行发送。
路由器30的控制部310如果经由第2通信I/F部330接收到从通信终端22A发送来的设定指示消息,则生成与设定指示消息的内容对应的记录(参照图4(A):记录Rec1)。在本动作例中,由于在存储有由上述设定指示消息指示了进行访问权限设定的文件等的目录(即根目录“¥”)中没有存储访问权限文件,因此控制部310将写入了上述记录的访问限制文件写入该目录。由此,完成对目录“A”的访问权限的设定。
接下来,说明用户B设定针对目录“B”的访问权限的情况。如果用户B操作通信终端22B的操作部(省略图示),发出对用于示出外部存储装置40内的目录树的图像进行显示的指示,则通信终端22B以及路由器30进行与上述动作例相同的动作,在通信终端22B的显示部中显示表示上述目录树的图像(图6(A))。在此,应注意的点在于,虽然在外部存储装置40内的根目录“¥”中存储有表示由用户A设定的访问权限的访问权限文件,但在上述目录树中并不包含与该访问权限文件相对应的图标。这是因为,将访问权限文件设为隐藏文件,在目录树等的显示中排除在显示对象之外。如上所述,在本实施方式中,由于将访问权限文件作为隐藏文件而从目录树等的显示对象中排除,因此防止错误删除访问权限文件等误操作、或者使用编辑器等改写(即篡改)其内容。为了防止上述误操作或篡改而将访问权限文件设为隐藏文件。
如上述所示,观察确认了外部存储装置40内所构筑的目录的层次关系的用户B,使目录“B”的属性画面进行显示,在该属性画面中,针对所有者、与所有者属于同一组的其他用户以及除此之外的用户进行了允许对该目录读出、写入以及执行的复选框CB的操作后,按下更新按钮B1。然后,通信终端22B进行与前述通信终端22A相同的动作,生成作为示出访问权限设定对象文件等的识别符而写入了目录“B”的名称、作为所有者的用户识别符而写入了用户B的用户识别符、作为该所有者所属的组的组识别符而写入了组2的组识别符、而且作为访问权限信息而写入了“777”的设定指示消息,并以路由器30为目标进行发送。
路由器30的控制部310如果经由第2通信I/F部330接收到从通信终端22B发送来的设定指示消息,则首先生成与设定指示消息的内容对应的记录(参照图4(A):记录Rec2)。在本动作例中,由于在存储有由上述设定指示消息指示了进行访问权限设定的文件等的目录中已经存储有访问权限文件,因此在该访问权限文件中追加记入上述记录。以上就是针对目录“B”的访问权限的设定动作。另外,在本实施方式中,说明了用户B针对目录“B”进行访问权限的设定的情况,如前述所示,在用户B想要对已经由用户A设定了访问权限的目录“A”设定访问权限的情况下,回送错误消息,不进行该设定(覆盖)。这是因为在含有针对目录“A”的访问权限信息的记录(图4(A):记录Rec1)中所含有的用户识别符是用户A的用户识别符,与从通信终端22B发送来的设定指示消息中含有的用户识别符(即用户B的用户识别符)不一致。
(B-2:访问控制处理中的动作)
下面,说明在外部存储装置40的根目录“¥”中存储有图4(A)所示的存储了3个记录的访问权限文件的状况下,在从通信终端22接收到内容为请求对存储于该外部存储装置40中的文件等进行访问的访问请求消息的情况下,控制部310执行的动作。
如果产生了内容为指示对外部存储装置40中存储的文件等进行访问的操作,则通信终端22的控制部(省略图示)生成与该操作内容对应的访问请求消息,并以路由器30为目标进行发送。在该访问请求消息中写入有该作为发送源的通信终端22的用户的用户识别符、该用户所属的组的组识别符、示出作为访问对象的文件等的访问目标识别符(例如文件名称或文件路径等)、以及示出其访问内容(读出、写入、执行等)的命令。
路由器30的控制部310如果经由第2通信I/F部330接收到上述访问请求消息,则判定在存储有作为访问对象的文件等(即在该访问请求消息中写入的访问目标识别符示出的文件等)的目录中是否存储有访问权限文件。而且,控制部310在存储有访问权限文件的情况下,根据该访问权限文件判定是否可以进行该访问,在没有相应的访问权限文件的情况下,根据存储在上级目录中的访问权限文件,判定是否可以进行该访问。例如,如果作为访问对象的文件等是文件fileC,则控制部310根据存储于外部存储装置40的根目录“¥”中的访问权限文件,确定是否可以访问。同样,如果作为访问对象的文件等是文件fileA1(或者fileA2),则控制部310根据存储于外部存储装置40的目录“A”中的访问权限文件,确定是否可以进行该访问。与此相对,在作为访问对象的文件等是文件fileB的情况下,由于在外部存储装置40的目录B中没有存储访问权限文件,因此控制部310根据存储于上一级目录即根目录“¥”中的访问权限文件(即,根据针对目录B的访问权限),确定是否可以进行该访问。
例如,在上述访问请求消息的发送源为用户A所操作的通信终端22A(在各通信终端由多位用户共用的情况下,为用户A登录且由该用户A操作的通信终端22A:以下对于通信终端22B以及22C也相同),作为访问对象的文件等是文件fileC的情况下,该访问内容无论是读出该作为访问对象的文件、向作为访问对象的文件写入、或者是执行作为访问对象的文件,控制部310都拒绝该访问(并不执行在访问请求消息中写入的命令,回送拒绝响应)。其理由如下所示。在上述访问请求消息中,作为示出访问的请求源的信息写入有用户A的用户识别符和组1的组识别符。另一方面,根据存储于外部存储装置40的根目录“¥”中的访问权限文件,文件fileC的所有者是用户C,该用户C属于组2(参照图4(A):Rec3)。用户A不是fileC的所有者,并且是属于与该所有者不同的组的用户,因此与文件fileC的关系符合“除此之外的用户”。如图4(A)所示,针对文件fileC,对“除此之外的用户”不允许读出、写入以及执行的任何一种。由此,对应于上述访问请求消息回送拒绝响应。
与此相对,在内容为请求对文件fileC进行访问的访问请求消息的发送源是用户B所操作的通信终端22B的情况下,如果该访问内容是读出该作为访问对象的文件,则控制部310允许该访问(即,执行在访问请求消息中写入的命令,并且回送该执行结果),但是如果上述访问内容是向该文件写入或者执行该文件,则拒绝该访问。这是由于,用户B是与用户C属于同一组的其他用户,对这种用户仅允许读出文件(参照图4(A):记录Rec3)。而且,在上述访问请求消息的发送源是用户C所操作的通信终端22C的情况下,如果该访问的内容是读出或者写入,则允许该访问请求。这是由于,如图4(A)所示,文件fileC的所有者是用户C,允许对该文件fileC进行读取以及写入。
此外,如图7(A)所示,在从通信终端22发送来内容为指示进行文件等的删除的通信消息的情况下,控制部310执行如下处理,即,除了进行该文件等的删除之外,还从存储有该文件等的目录中所存储的访问权限文件中删除针对该文件等的记录。而且,如图7(B)所示,在从通信终端22发送来内容为指示进行文件等的移动的通信消息的情况下,控制部310执行如下处理,即,除了进行该文件等的移动之外,还从在移动前存储有该文件等的目录中所存储的访问权限文件中删除针对该文件等的记录,在移动后的目录中所存储的访问权限文件中追加记入表示针对该文件等的访问权限的记录。
如以上说明所示,根据本实施方式,可以对与路由器30连接的外部存储装置40中所存储的文件等设定访问权限,以及提供具有基于该访问权限的访问限制功能的文件共享服务。在此,应注意的点在于:虽然外部存储装置40中所构筑的文件系统(FAT32)本身不支持访问权限的设定,但无需转换为支持访问权限设定的其他文件系统(例如NTFS或ext2等),就可以进行访问权限的设定、提供具有基于该访问权限的访问限制功能的文件共享服务;以及没有使用用于访问限制的专用装置。
即,根据本实施方式,无需转换外部存储装置40所构筑的文件系统,并且无需设置用于访问限制的专用装置,就可以实现对与路由器30连接的外部存储装置40中所存储的文件等设定访问权限,并且进行具有基于该访问权限的访问限制功能的文件共享。另外,在上述实施方式中,作为外部存储装置40的文件系统而采用了FAT32,但也可以是例如FAT16等不支持访问权限设定的其它文件系统,当然也可以采用NTFS等支持访问权限设定的文件系统。
(C:变形)
以上说明了本发明的一个实施方式,但当然也可以施加下述变形。(1)在上述实施方式中,使存储在与路由器30连接的外部存储装置40中的文件等对该路由器30下辖的通信终端的用户进行共享,但当然也可以向连接在普通广域网10中的通信终端的用户共享上述文件等。
(2)在上述实施方式中,在存储有被请求进行访问的文件等的目录中存储有访问权限文件的情况下,根据该访问权限文件的内容判定是否可以访问,在该目录中没有存储访问权限文件的情况下,参照存储在更上级目录中的访问权限文件,确定是否可以进行该访问。但是,也可以进行下述判定,即,即使在存储有被请求进行访问的文件等的目录中存储有访问权限文件的情况下,如果在更上级的目录中存储有示出更严格的访问限制的访问权限文件,则根据后者的访问权限文件判定是否可以进行该访问。例如可以是,如图4(A)所示,在对目录“A”设定有访问权限“755”的情况下,虽然在目录“A”中所存储的访问权限文件中,对文件fileA1设定了访问权限“777”,但是要根据前者的访问权限(即“755”)判定是否可以对文件fileA1访问。
(3)在上述实施方式中,将各用户分类为文件等的所有者、与所有者属于同一组的其他用户以及除此之外的用户而设定了访问权限。但是,也可以不用组的概念,而是划分为文件等的所有者和除了该所有者以外的用户而设定访问权限。
(4)在上述实施方式中,为了防止由于误操作而删除访问权限文件、或者篡改访问权限文件,而将访问权限文件设为隐藏文件,但也可以使得在访问控制处理中对直接访问访问权限文件的访问请求全部拒绝。具体而言,只要使控制部310执行将在访问目标识别符中包含“.ACL”的访问请求消息无条件地进行废弃的处理即可。此外,为了防止执行如对路由器30进行telnet连接而直接编辑访问权限文件这样的操作,也可以对访问权限文件实施加密而写入外部存储装置,以接收到访问请求消息为契机而进行解密。
(5)在上述实施方式中,在路由器中应用了本发明,但是也可以在交换机中应用本发明。另外,交换机是指通常在处于网络层的下一级的协议层即数据链路层中进行数据中继的中继装置。交换机具有分别连接有其他通信装置(路由器或通信终端、其他交换机等)的多个端口。因此,也可以将上述多个端口分组为连接有允许文件共享的通信终端的端口的组、和连接有不允许文件共享的通信终端的端口的组,只对属于前一组的端口的连接目标通信终端的用户进行访问权限的设定以及文件共享。具体而言,只要进行下述处理即可,即,将存储有对连接有允许文件共享的通信终端的端口分别进行识别的端口识别符(例如端口编号)的管理表预先存储在上述交换机中,只有在接收到用于传输设定指示消息或访问请求消息的帧(数据链路层中的数据的发送/接收单位)的端口的端口识别符是登录在上述管理表中的端口识别符的情况下,使该交换机的控制部执行对应于这些消息的处理。
(6)在上述实施方式中,路由器30只连接了1个外部存储装置40,当然也可以连接多个外部存储装置。在上述连接多个外部存储装置的方式中,也可以通过与VLAN进行组合,从而针对各个VLAN确定成为文件共享对象的外部存储装置。例如,可以在路由器30上连接外部存储装置40A以及40B这两个外部存储装置,将该路由器30下辖的通信终端分为下述3个组:从属于用第1VLAN标签作为识别符的第1VLAN的通信终端、从属于用与第1VLAN标签不同的第2VLAN标签作为识别符的第2VLAN的通信终端、以及从属于用与第1VLAN标签和第2VLAN标签都不同的第3VLAN标签作为识别符的第3VLAN的通信终端,在此情况下,以下述方法将存储于各外部存储装置中的文件等进行共享。
即,具有下述形态:对属于第1VLAN的通信终端的用户,只允许共享存储于外部存储装置40A中的文件等;对属于第2VLAN的通信终端的用户,只允许共享存储于外部存储装置40B中的文件等;对属于第3VLAN的通信终端的用户,允许共享存储于外部存储装置40A以及40B中的文件等。上述情况是如下所述实现的,即,在路由器30中预先存储有将识别各外部存储装置的信息和允许共享存储于该外部存储装置中的文件等的组的VLAN标签相关联的管理表,仅在用于传输设定指示消息或访问请求消息的数据包中添加的VLAN标签和通过与这些消息对应的处理进行访问的外部存储装置的组合是登录在上述管理表中的记录的情况下,使控制部310执行对应于这些消息的处理。此外,在交换机中应用本发明,该交换机上连接多个外部存储装置的形态的情况下,也可以对各个端口分别规定允许共享存储于哪个外部存储装置中的文件等。具体而言,只要如下所述处理即可,即,将各自用于唯一识别与交换机连接的多个外部存储装置的识别符、和对允许共享存储于该外部存储装置中的文件等的通信终端进行连接的端口的端口识别符相关联而写入该交换机的管理表中,仅在接收到用于传输设定指示消息或访问请求消息的帧的端口的端口识别符是登录在上述管理表中的端口识别符,并且与存储有由该设定指示消息指示了访问权限的设定的文件等或者作为访问对象的文件等的外部存储装置的识别符相关联而登录在管理表中的端口识别符的任意一个和上述接收端口的端口识别符一致的情况下,使该交换机的控制部执行对应于这些消息的处理。
此外,在外部设备I/F部340连接有多个外部存储装置的情况下,也可以以使得上述多个存储装置中的至少2个的存储内容相同的方式进行镜像。这是由于,如果为这种进行镜像的形态,则即使作为镜像对象的外部存储装置的任意一个发生故障,也可以继续提供文件共享服务。另外,在进行镜像的情况下,当然也可以并非在外部设备I/F部340所连接的外部存储装置之间进行镜像,而是在外部设备I/F部340所连接的外部存储装置和其他路由器所连接的外部存储装置之间进行镜像。
(7)在上述实施方式中,以路由器30的电源接通作为契机,使控制部310开始执行数据包转送控制程序以及文件共享服务提供程序。但是,开始执行文件共享服务提供程序的时机并不限定于路由器30的电源接通的时刻。例如,也可以在路由器30的电源接通后,以检测到外部存储装置40与外部设备I/F部340连接作为契机,使控制部310开始执行文件共享服务提供程序。这是由于,如果没有连接外部存储装置40,则无法提供文件共享服务。另外,即使是以检测到外部存储装置40与外部设备I/F部340连接作为契机开始执行文件共享服务提供程序的形态下,在路由器30的电源接通的时刻检测到外部存储装置40与外部设备I/F部340连接的情况(例如,在外部设备I/F部340已经连接了外部存储装置40的状态下路由器30的电源接通的情况等)下,当然也可以立即开始执行文件共享服务提供程序。
(8)在上述实施方式中,用程序实现了访问权限设定处理以及访问控制处理。但是,在路由器30具有脚本执行功能的情况下,也可以用脚本实现上述各处理。具体而言,在非易失性存储部354中预先存储用规定的脚本语言记述了用于使控制部310执行访问权限设定处理的命令行的文本文件即访问权限设定处理脚本、和用同一脚本语言记述了用于使控制部310执行访问控制处理的命令行的文本文件即访问控制处理脚本,以路由器30的电源接通(或者检测到外部存储装置40与外部设备I/F部340连接)作为契机,使控制部310开始对上述各脚本进行解释以及执行。另外,作为上述脚本记述语言,可以考虑使用各种语言,但优选使用Lua。其原因在于,Lua与perl等其它脚本语言相比,脚本文件的解释及执行所需的存储器量等较少,适于组装在电子设备中。
(9)在上述实施方式中,用于使路由器30的控制部310执行明显表示出本发明的特征的处理的文件共享服务提供程序预先存储于该路由器30的存储部350中。但是,也可以在例如CD-ROM(Compact Disk-Read Only Memory)等计算机装置可读取的存储介质中写入上述文件共享服务提供程序并进行分发,另外,也可以通过经由互联网等电子通信线路进行下载而分发上述文件共享服务提供程序。这是由于,通过将如上所述分发的文件共享服务提供程序存储在通常的中继装置中,然后使该中继装置的控制部按照该程序进行动作,从而可以对现有的中继装置添加与路由器30相同的功能。
此外,在上述实施方式中,用于使控制部310执行数据包转送控制的数据包转送控制程序和用于使控制部310实现文件共享服务的文件共享服务提供程序各自独立地形成,但是也可以在1个程序中实现这2个处理。具体而言,只要用包含实现数据包转送控制的子程序和实现文件共享服务的子程序在内的固件(Firmware)替换上述2个程序并存储于存储部350中即可。此外,可以将这种固件写入计算机装置可读取的存储介质中并进行分发,也可以通过利用电子通信线路进行下载而分发。
以下总结本发明的概念。
本发明提供一种中继装置,其特征在于,具有:数据包转送控制单元,其在接收到从下辖的通信终端发送来的数据包的情况下,将该数据包向发送目标转送,在接收到以下辖的通信终端为目标发送来的数据包的情况下,将该数据包向作为发送目标的通信终端转送;外部设备连接单元,其用于连接外部存储装置,该外部存储装置具有将文件分层地存储的目录结构的文件系统;以及文件共享服务提供单元,其用于执行访问权限设定处理和访问控制处理,该访问权限设定处理是在从通信终端接收到对所述外部设备连接单元所连接的外部存储装置中存储的文件或目录设定访问权限的指示的情况下,生成对该文件或目录的所有者和其他用户分别规定访问权限的访问权限文件,并存储在存储有该文件或者目录的目录中,该访问控制处理是在从通信终端接收到对所述外部设备连接单元所连接的外部存储装置中存储的文件或目录发出的访问请求的情况下,参阅在存储有该文件或目录的目录、或更上级目录中存储的访问权限文件,确定是否可以进行该访问。
根据上述中继装置,基于存储有作为访问对象的文件或目录(以下,有时将文件和目录这两者总称为“文件等”)的目录中存储的访问权限文件(以下是指与作为访问对象的文件等存储在同一目录中的访问权限文件)或存储在更上级目录中的访问权限文件,确定是否可以对该文件等进行访问。因此,即使外部存储装置中构筑的文件系统是FAT32这种不支持访问权限设定的系统,也无需将该文件系统转换为其他文件系统,就可以实现对这些文件设定访问权限,并进行具有基于该访问权限的访问限制功能的文件共享。另外,作为本发明的其他实施方式,也存在在计算机装置中搭载执行上述访问权限设定处理以及访问控制处理的程序的方式。
优选上述中继装置的文件共享服务提供单元在所述访问权限设定处理中,将所述访问权限文件生成为隐藏文件。通常,对于隐藏文件,如果没有对文件管理器(在Windows(注册商标)中是资源管理器)进行显示隐藏文件这一内容的特殊设定,就不会显示该隐藏文件所对应的图标等。因此,如果将访问权限文件设为隐藏文件,就可以防止该访问权限文件被误删除、或者使用编辑器等篡改该访问权限文件的内容。此外,作为用于防止篡改的其他方式,也可以是在所述访问权限设定处理中,对生成的访问权限文件实施加密而存储于所述外部存储装置中,在由所述访问控制处理进行参阅时,对所述被加密的访问权限文件进行解密。
优选将经由该中继装置进行通信的通信终端分组为允许共享存储于所述外部存储装置中的文件或目录的组、和不允许共享的组,所述文件共享服务提供单元只有在从从属于前一组的通信终端接收到所述设定指示的情况下,执行所述访问权限设定处理,只有在从从属于该组的通信终端接收到所述访问请求的情况下,执行所述访问控制处理。
在更优选的方式中,所述外部设备连接单元连接有多个外部存储装置,并且针对每一个外部存储装置,确定允许共享存储于该外部存储装置中的文件或目录的通信终端的组。
根据上述方式,可以实现更精细的访问限制。在此,对于通信终端的分组方法,根据与中继装置的种类之间的关系而具有各种方式。例如,在上述中继装置是交换机的情况下,可以针对各个与通信终端或其他交换机、路由器等其他通信装置进行连接的端口分别确定是否可以共享文件(或者共享存储于哪个外部存储装置中的文件等)而进行分组,在上述中继装置是具有与第2层交换机(交换机)相同功能的路由器的情况下,可以利用VLAN(Virtual LAN)标签进行分组。另外,交换机是指在处于网络层的下一级的协议层即数据链路层中进行数据中继的中继装置。
本发明基于2010年3月29日申请的日本专利申请(特愿2010-075254),在这里,作为参照而引用其内容。
工业实用性
对于本发明的中继装置,无需将该中继装置所连接的外部存储装置中构筑的文件系统转换为其它文件系统,并且无需使用用于访问限制的专用装置,就可以对该外部存储装置中存储的文件设定访问权限,并且实现具有基于该访问权限的访问限制功能的文件共享。
Claims (10)
1.一种中继装置,其具有:
数据包转送控制单元,其在接收到从下辖的通信终端发送来的数据包的情况下,将该数据包向发送目标转送,在接收到以下辖的通信终端为目标发送来的数据包的情况下,将该数据包向作为发送目标的通信终端转送;
外部设备连接单元,其用于连接外部存储装置,该外部存储装置具有将文件分层地存储的目录结构的文件系统;以及
文件共享服务提供单元,其用于执行访问权限设定处理和访问控制处理,该访问权限设定处理是在从通信终端接收到对所述外部设备连接单元所连接的外部存储装置中存储的文件或目录设定访问权限的指示的情况下,生成对该文件或目录的所有者和其他用户分别规定访问权限的访问权限文件,并存储在存储有该文件或者目录的上级目录中,该访问控制处理是在从通信终端接收到对所述外部存储装置中存储的文件或目录发出的访问请求的情况下,参阅在存储有该文件或目录的所述上级目录、或与所述上级目录相比更上级的目录中存储的访问权限文件,确定是否可以对所述文件或目录进行访问。
2.根据权利要求1所述的中继装置,其中,
所述文件共享服务提供单元在所述访问权限设定处理中,将所述访问权限文件生成为隐藏文件。
3.根据权利要求1或2所述的中继装置,其中,
所述文件共享服务提供单元在所述访问权限设定处理中,对生成的访问权限文件实施加密而存储于所述外部存储装置中,在由所述访问控制处理参阅所述访问权限文件时,对所述加密的访问权限文件进行解密。
4.根据权利要求1至3中任意1项所述的中继装置,其中,
将经由该中继装置进行通信的通信终端分组为允许共享存储于所述外部存储装置中的文件或目录的通信终端所属的第1组、和不允许共享的通信终端所属的第2组而进行设定,所述文件共享服务提供单元只有在从从属于所述第1组的通信终端接收到所述设定指示的情况下,执行所述访问权限设定处理,只有在从从属于所述第1组的通信终端接收到所述访问请求的情况下,执行所述访问控制处理。
5.根据权利要求4所述的中继装置,其中,
所述外部设备连接单元连接有多个外部存储装置,并且针对每一个外部存储装置,设定允许共享存储于该外部存储装置中的文件或目录的通信终端所属的组。
6.根据权利要求1至5中任意1项所述的中继装置,其中,
所述文件共享服务提供单元进行镜像处理,该镜像处理将所述外部设备连接单元所连接的多个外部存储装置中的至少2个外部存储装置的包含所述访问权限文件在内的存储内容、或者经由网络连接的外部存储装置和所述外部设备连接单元所连接的外部存储装置的包含所述访问权限文件在内的存储内容变得相同。
7.一种文件共享方法,其是连接有外部存储装置的中继装置的文件共享方法,该中继装置在接收到从下辖的通信终端发送来的数据包的情况下,将该数据包向发送目标转送,在接收到以下辖的通信终端为目标发送来的数据包的情况下,将该数据包向作为发送目标的通信终端转送,该外部存储装置具有将文件分层地存储的目录结构的文件系统,
在该文件共享方法中,具有下述步骤:
访问权限设定步骤,在该步骤中,在从通信终端接收到对所述外部存储装置中存储的文件或目录设定访问权限的指示的情况下,生成对该文件或目录的所有者和其他用户分别规定访问权限的访问权限文件,并存储在存储有该文件或者目录的上级目录中;以及
访问控制步骤,在该步骤中,在从通信终端接收到对所述外部存储装置中存储的文件或目录发出的访问请求的情况下,参阅在存储有该文件或目录的所述上级目录、或与所述上级目录相比更上级的目录中存储的访问权限文件,确定是否可以对所述文件或目录进行访问。
8.根据权利要求7所述的文件共享方法,其中,
还具有将经由所述中继装置进行通信的通信终端分组为允许共享存储于所述外部存储装置中的文件或目录的通信终端所属的第1组、和不允许共享的通信终端所属的第2组而进行设定的步骤,
只有在从从属于所述第1组的通信终端接收到所述设定指示的情况下,执行所述访问权限设定步骤,只有在从从属于所述第1组的通信终端接收到所述访问请求的情况下,执行所述访问控制步骤。
9.根据权利要求7或者8所述的文件共享方法,其中,
所述中继装置连接有多个外部存储装置,
文件共享方法还具有设定步骤,在该步骤中,针对每一个所述外部存储装置,设定允许共享存储于该外部存储装置中的文件或目录的通信终端所属的组。
10.根据权利要求7至9中任意1项所述的文件共享方法,其中,
还具有镜像步骤,在该步骤中,进行镜像处理,以使得所述中继装置所连接的多个外部存储装置中的至少2个外部存储装置的包含所述访问权限文件在内的存储内容、或者经由网络与所述中继装置连接的外部存储装置和所述中继装置所连接的外部存储装置的包含所述访问权限文件在内的存储内容变得相同。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010-075254 | 2010-03-29 | ||
JP2010075254A JP5614073B2 (ja) | 2010-03-29 | 2010-03-29 | 中継装置 |
PCT/JP2011/057692 WO2011122580A1 (ja) | 2010-03-29 | 2011-03-28 | 中継装置及びファイル共有方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102696040A true CN102696040A (zh) | 2012-09-26 |
CN102696040B CN102696040B (zh) | 2015-11-25 |
Family
ID=44712275
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180005247.7A Active CN102696040B (zh) | 2010-03-29 | 2011-03-28 | 中继装置及文件共享方法 |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP5614073B2 (zh) |
CN (1) | CN102696040B (zh) |
WO (1) | WO2011122580A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014101786A1 (zh) * | 2012-12-29 | 2014-07-03 | 四川长虹电器股份有限公司 | 一种实现设备访问的方法、装置及系统 |
WO2018094962A1 (zh) * | 2016-11-25 | 2018-05-31 | 华为技术有限公司 | 一种迁移文件权限的方法、装置以及系统 |
CN108241796A (zh) * | 2017-12-26 | 2018-07-03 | 上海电气风电集团有限公司 | 一种用于用户操作的监控方法及装置 |
CN109756527A (zh) * | 2017-11-01 | 2019-05-14 | 阿里巴巴集团控股有限公司 | 数据共享方法、装置及系统 |
CN110740157A (zh) * | 2018-07-19 | 2020-01-31 | 广达电脑股份有限公司 | 存储系统及远程存取方法 |
CN114257472A (zh) * | 2021-12-07 | 2022-03-29 | 中信银行股份有限公司 | 一种网络拓扑监控方法、装置、设备及可读存储介质 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014170407A (ja) * | 2013-03-04 | 2014-09-18 | Toshiba Tec Corp | 情報処理装置及びプログラム |
JP6652160B2 (ja) * | 2018-07-13 | 2020-02-19 | ヤマハ株式会社 | 中継装置 |
JP7150110B1 (ja) | 2021-08-06 | 2022-10-07 | サイボウズ株式会社 | アプリ移動システム、アプリ移動方法、及びプログラム |
JP7249461B2 (ja) * | 2021-08-06 | 2023-03-30 | サイボウズ株式会社 | アプリ移動システム、アプリ移動方法、及びプログラム |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08335183A (ja) * | 1995-06-08 | 1996-12-17 | Fujitsu Ltd | 分散型情報提供システム |
JP2004272800A (ja) * | 2003-03-11 | 2004-09-30 | Sony Corp | ネットワーク機器の中継装置,リムーバブル記憶装置の書き込み方法,およびリムーバブル記憶装置の挿抜検知方法 |
JP2005071362A (ja) * | 2003-08-21 | 2005-03-17 | Microsoft Corp | ネットワークを介したscsiデバイスアクセスの提供 |
CN1605992A (zh) * | 2003-10-10 | 2005-04-13 | 鸿富锦精密工业(深圳)有限公司 | 访问控制列表中用户权限快取生成系统及方法 |
JP2007079864A (ja) * | 2005-09-13 | 2007-03-29 | Fuji Xerox Co Ltd | コンテンツ管理システム、コンテンツ管理システムの制御方法及びコンテンツ管理システムの制御プログラム |
US20080244738A1 (en) * | 2007-03-28 | 2008-10-02 | Fujitsu Limited | Access control |
WO2009054056A1 (ja) * | 2007-10-25 | 2009-04-30 | Fujitsu Limited | 情報提供方法、中継方法、情報保持装置、中継器 |
JP2009521020A (ja) * | 2005-12-07 | 2009-05-28 | アロン アール. スワーツ, | 高リスクアプリケーション用の実用的プラットフォーム |
CN101452454A (zh) * | 2007-11-30 | 2009-06-10 | 华为技术有限公司 | 文件集共享方法及装置 |
JP2009169868A (ja) * | 2008-01-18 | 2009-07-30 | Ntt Docomo Inc | 記憶領域アクセス装置及び記憶領域のアクセス方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000148565A (ja) * | 1998-11-13 | 2000-05-30 | Hitachi Ltd | 異種オペレーティングシステムファイル共用方法およびファイル共用システム |
JP4152099B2 (ja) * | 2001-12-11 | 2008-09-17 | 株式会社リコー | アクセス制御履歴保証方法 |
US20070271472A1 (en) * | 2006-05-21 | 2007-11-22 | Amiram Grynberg | Secure Portable File Storage Device |
-
2010
- 2010-03-29 JP JP2010075254A patent/JP5614073B2/ja active Active
-
2011
- 2011-03-28 CN CN201180005247.7A patent/CN102696040B/zh active Active
- 2011-03-28 WO PCT/JP2011/057692 patent/WO2011122580A1/ja active Application Filing
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH08335183A (ja) * | 1995-06-08 | 1996-12-17 | Fujitsu Ltd | 分散型情報提供システム |
JP2004272800A (ja) * | 2003-03-11 | 2004-09-30 | Sony Corp | ネットワーク機器の中継装置,リムーバブル記憶装置の書き込み方法,およびリムーバブル記憶装置の挿抜検知方法 |
JP2005071362A (ja) * | 2003-08-21 | 2005-03-17 | Microsoft Corp | ネットワークを介したscsiデバイスアクセスの提供 |
CN1605992A (zh) * | 2003-10-10 | 2005-04-13 | 鸿富锦精密工业(深圳)有限公司 | 访问控制列表中用户权限快取生成系统及方法 |
JP2007079864A (ja) * | 2005-09-13 | 2007-03-29 | Fuji Xerox Co Ltd | コンテンツ管理システム、コンテンツ管理システムの制御方法及びコンテンツ管理システムの制御プログラム |
JP2009521020A (ja) * | 2005-12-07 | 2009-05-28 | アロン アール. スワーツ, | 高リスクアプリケーション用の実用的プラットフォーム |
US20080244738A1 (en) * | 2007-03-28 | 2008-10-02 | Fujitsu Limited | Access control |
WO2009054056A1 (ja) * | 2007-10-25 | 2009-04-30 | Fujitsu Limited | 情報提供方法、中継方法、情報保持装置、中継器 |
CN101452454A (zh) * | 2007-11-30 | 2009-06-10 | 华为技术有限公司 | 文件集共享方法及装置 |
JP2009169868A (ja) * | 2008-01-18 | 2009-07-30 | Ntt Docomo Inc | 記憶領域アクセス装置及び記憶領域のアクセス方法 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014101786A1 (zh) * | 2012-12-29 | 2014-07-03 | 四川长虹电器股份有限公司 | 一种实现设备访问的方法、装置及系统 |
WO2018094962A1 (zh) * | 2016-11-25 | 2018-05-31 | 华为技术有限公司 | 一种迁移文件权限的方法、装置以及系统 |
CN109756527A (zh) * | 2017-11-01 | 2019-05-14 | 阿里巴巴集团控股有限公司 | 数据共享方法、装置及系统 |
CN109756527B (zh) * | 2017-11-01 | 2022-01-21 | 阿里巴巴集团控股有限公司 | 数据共享方法、装置及系统 |
CN108241796A (zh) * | 2017-12-26 | 2018-07-03 | 上海电气风电集团有限公司 | 一种用于用户操作的监控方法及装置 |
CN110740157A (zh) * | 2018-07-19 | 2020-01-31 | 广达电脑股份有限公司 | 存储系统及远程存取方法 |
CN110740157B (zh) * | 2018-07-19 | 2022-05-27 | 广达电脑股份有限公司 | 存储系统及远程存取方法 |
CN114257472A (zh) * | 2021-12-07 | 2022-03-29 | 中信银行股份有限公司 | 一种网络拓扑监控方法、装置、设备及可读存储介质 |
CN114257472B (zh) * | 2021-12-07 | 2023-05-05 | 中信银行股份有限公司 | 一种网络拓扑监控方法、装置、设备及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
JP2011209868A (ja) | 2011-10-20 |
WO2011122580A1 (ja) | 2011-10-06 |
CN102696040B (zh) | 2015-11-25 |
JP5614073B2 (ja) | 2014-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102696040B (zh) | 中继装置及文件共享方法 | |
CN101359278B (zh) | 在后端连接的存储系统 | |
US5764911A (en) | Management system for updating network managed by physical manager to match changed relation between logical objects in conformity with changed content notified by logical manager | |
US8387044B2 (en) | Storage system and virtual interface management method using physical interface identifiers and virtual interface identifiers to facilitate setting of assignments between a host computer and a storage apparatus | |
CN101359277B (zh) | 转移系统信息要素的存储系统 | |
CN103765372B (zh) | 配置用于输入/输出操作的对象存储系统 | |
EP1701280B1 (en) | File server and method for translating user identifier | |
JP5807142B2 (ja) | 表示システム及び管理装置 | |
US8683046B2 (en) | Unified interface for configuring multiple networking technologies | |
CN105719329B (zh) | 记账凭证生成方法和系统 | |
GB2369213A (en) | Internet data management system | |
US8615570B2 (en) | Unified storage for configuring multiple networking technologies | |
JP2007095037A (ja) | ストレージネットワークにおける安全性の管理 | |
US8751612B2 (en) | Creating cross-technology configuration settings | |
CN108197260A (zh) | 一种文档管理系统 | |
WO1991004532A1 (fr) | Systeme a centre temporaire dans un systeme a base de donnees decentralisee | |
CN107633053A (zh) | 一种文件管理方法、装置及系统 | |
US20060173755A1 (en) | Catalog management apparatus, catalog generation method and catalog retrieval method | |
JP2007102633A (ja) | 計算機システム、管理計算機及び管理計算機のボリューム割当変更方法 | |
JP2011081579A (ja) | Itシステム仮想化における仮想リソースのシステム運用管理方法およびシステム | |
JPWO2017188417A1 (ja) | データ転送システム、データ転送装置、データ転送方法、及びプログラム | |
WO2018212456A1 (ko) | 데이터 분산형 통합 관리시스템 | |
JP7150551B2 (ja) | 制御装置、ネットワーク構築システム、ネットワーク構築方法、及びプログラム | |
JP6072049B2 (ja) | スイッチ装置、制御プログラム及びゾーニング設定方法 | |
KR20110070767A (ko) | 네트워크 기반 원격 포렌식 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |