CN103067400B - 一种权限控制方法和服务器 - Google Patents
一种权限控制方法和服务器 Download PDFInfo
- Publication number
- CN103067400B CN103067400B CN201310009144.9A CN201310009144A CN103067400B CN 103067400 B CN103067400 B CN 103067400B CN 201310009144 A CN201310009144 A CN 201310009144A CN 103067400 B CN103067400 B CN 103067400B
- Authority
- CN
- China
- Prior art keywords
- acl
- authority
- control
- client
- extended
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种权限控制方法和服务器,涉及电子信息领域,可以防止来自不同类型客户端的权限控制信息在设置过程中的丢弃和失效,对文件系统服务器中的文件实现有效保护。本发明的方法主要包括:接收客户端发送的访问控制列表ACL,其中所述客户端发送的ACL包含所述客户端支持的权限控制信息;将所述客户端发送的ACL转换成扩展ACL;其中所述扩展ACL包含所述客户端发送的ACL中的权限控制信息以及其他客户端发送的ACL中的权限控制信息;存储所述扩展ACL。本发明的实施例主要用于文件系统的权限控制过程中。
Description
技术领域
本发明涉及电子信息领域,尤其涉及一种权限控制方法和服务器。
背景技术
在通用互联网文件系统(CommonInternetFileSystem,CIFS)中,由于多用户共享文件系统中的文件,为了保证文件的安全性,通常需要针对不同的用户或用户群组的读、写或执行等操作进行权限控制。
为了便于权限控制,客户端可以为每一个目录或文件都对应设置一个访问控制列表(AccessControlList,ACL),存储到服务器的文件系统中,在ACL中设定不同用户对文件的创建、读、写、属性设置等操作是否被允许。但是,由于连接到服务器的客户端的配置不同,不同客户端支持的权限控制信息和ACL的格式也不同,例如客户端发送的ACL可以为可移植操作系统接口(PortableOperatingSystemInterfaceofUnix,POSIX)ACL、WindowsACL和第四版网络文件系统(NetworkFileSystemversion4,NFSv4)ACL等。
具体的,一个客户端发送给服务器的可以是权限控制粒度较细的WindowsACL,在WindowsACL中会包含较多不同操作的权限控制信息;而另一个客户端发送给服务器的可以是对权限的控制粒度较为粗略的POSIXACL,在POSIXACL中则仅包含少数几种操作的权限控制信息;服务器接收到不同格式的ACL后,由于服务器可以支持记录的权限控制信息的限制,不能兼顾不同客户端系统发送的不同格式的ACL,而是仅保存服务器所支持的权限信息,将接收到的ACL中其他权限信息舍弃,因此会导致不同格式的ACL中的权限控制信息部分丢失,当客户端对文件发起操作时不能进行有效的鉴权,从而不能有效保护文件系统服务器中的文件。
发明内容
本发明的实施例提供一种权限控制方法和服务器,可以防止来自不同类型客户端的权限控制信息在设置过程中的丢弃和失效,对文件系统中的文件实现有效保护。
本发明的第一方面,提供一种权限控制方法,包括:
接收客户端发送的访问控制列表ACL,其中所述客户端发送的ACL包含所述客户端支持的权限控制信息;
将所述客户端发送的ACL转换成扩展ACL;其中所述扩展ACL包含所述客户端发送的ACL中的权限控制信息以及其他客户端发送的ACL中的权限控制信息;
存储所述扩展ACL。
结合本发明的第一方面,在第一种可能的实现方式中,所述扩展ACL中包含至少一个访问控制项ACE;所述ACE中包含多个变量;其中,所述ACE中的变量用于描述进行权限控制的用户对象以及对所述用户对象的权限控制信息。
结合本发明的第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述变量包含允许权限和拒绝权限;所述将所述客户端发送的ACL转换成扩展ACL,包括:
将所述客户端发送的ACL中的允许权限和拒绝权限分别映射到扩展ACL中的允许权限标志位和拒绝权限标志位。
结合本发明的第一方面的第一种可能的实现方式或第二种可能的实现方式,在第三种可能的实现方式中,所述客户端发送的ACL中包含安全标示符SID,所述变量包含用户标示符UID或群组标示符GID;所述将所述客户端发送的ACL转换成扩展ACL,还包括:
将所述客户端发送的ACL中的SID映射为UID或GID。
结合本发明的第一方面、第一种可能的实现方式、第二种可能的实现方式或第三种可能的实现方式,在第四种可能的实现方式中,所述方法还包括:
接收到客户端发送的用户操作请求时,确定发起所述用户操作请求的用户相关的扩展ACL;
查询所述扩展ACL中所述用户操作请求对应的权限标志位,以根据所述权限标志位允许或拒绝所述用户操作请求。
结合本发明的第一方面的第四种可能的实现方式,在第五种可能的实现方式中,当所述用户操作请求为ACL查询请求,并且所述ACL查询请求的查询ACL操作被允许时,所述方法还包括:
将所述ACL查询请求所查询的扩展ACL中的权限控制信息转换为所述客户端支持的权限控制信息;
将所述客户端支持的权限控制信息发送给所述客户端。
本发明的第二方面,提供一种服务器,包括:
接收单元,用于接收客户端发送的访问控制列表ACL,其中所述客户端发送的ACL包含所述客户端支持的权限控制信息;
转换单元,用于将所述接收单元接收的所述客户端发送的ACL转换成扩展ACL,其中所述扩展ACL包含所述客户端发送的ACL中的全部权限控制信息以及其他客户端发送的ACL中的权限控制信息;
存储单元,用于存储所述转换单元转换得到的所述扩展ACL。
结合本发明的第二方面,在第一种可能的实现方式中,所述扩展ACL中包含至少一个访问控制项ACE;所述ACE中包含多个变量;其中,所述ACE中的变量用于描述进行权限控制的用户对象以及对所述用户对象的权限控制信息。
结合本发明的第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述变量包含允许权限和拒绝权限;所述转换单元具体用于:
将所述接收单元接收的所述客户端发送的ACL中的允许权限和拒绝权限分别映射到扩展ACL中的允许权限标志位和拒绝权限标志位。
结合本发明的第二方面的第一种或第二种可能的实现方式,在第三种可能的实现方式中,所述客户端发送的ACL中包含安全标示符SID,所述变量包含用户标示符UID或群组标示符GID;所述转换单元具体还用于:
将所述接收单元接收的客户端发送的ACL中的SID映射为UID或GID。
结合本发明的第二方面、第一种可能的实现方式、第二种可能的实现方式或第三种可能的实现方式,在第四种可能的实现方式中,所述服务器还包括:
确定单元,用于当所述接收单元接收到客户端发送的用户操作请求时,确定发起所述用户操作请求的用户相关的扩展ACL;
执行单元,用于查询所述确定单元确定的扩展ACL中所述用户操作请求对应的权限标志位,以根据所述权限标志位允许或拒绝所述用户操作请求。
结合本发明的第二方面的第四中可能的实现方式,在第五种可能的实现方式中,该服务器还包括:
还原单元,用于当所述接收单元接收的用户操作请求为ACL查询请求,并且所述执行单元确定ACL查询请求的查询ACL操作被允许时,将所述ACL查询请求所查询的扩展ACL中的权限控制信息转换为所述客户端支持的权限控制信息;
发送单元,用于将所述还原单元还原得到的所述客户端支持的权限控制信息发送给所述客户端。
本发明实施例提供的权限控制方法和服务器,通过将不同客户端发送的包含不同权限控制信息的ACL转换成为可以包含客户端的全部控制信息的扩展ACL,与现有技术中将客户端发送的ACL中部分权限信息舍弃的方法相比,可以防止来自不同类型客户端的权限控制信息在设置过程中的丢弃和失效,将不同客户端发送的全部权限控制信息都对应保存,从而防止权限控制信息的丢失,对文件系统中的文件实现有效保护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种文件系统的系统架构示意图;
图2为本发明一实施例中的一种权限控制方法流程图;
图3为本发明另一实施例中的一种权限控制方法流程图;
图4为一种权限控制设备组成示意图;
图5为本发明另一实施例中的一种权限控制设备组成示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,是一个典型的文件系统的系统架构图,三个支持不同ACL的客户端分别连接至文件系统的服务器,客户端分别为:支持WindowsACL的CIFS客户端、支持POSIXACL的LINUX/UNIX客户端和支持NFSv4ACL的LINUX/UNIX客户端。其中,不同客户端发送的ACL中包含的权限控制信息不同,例如,WindowsACL中包含用户对文件的读、写、可执行、设置属性等访问操作的权限,POSIXACL中包含用户对文件的读、写和可执行三种访问操作的权限。
本发明一实施例提供一种权限控制方法,如图2所示,该方法可以包括:
101、接收客户端发送的访问控制列表ACL,其中所述客户端发送的ACL包含所述客户端支持的权限控制信息。
其中,由于不同客户端支持的权限控制信息的内容和种类存在差异,服务器接收到的ACL的格式和内容也会不同。例如,服务器接收到的ACL的格式可以包括POSIXACL、WindowsACL和NFSv4ACL等。
102、将所述客户端发送的ACL转换成扩展ACL;其中所述扩展ACL包含所述客户端发送的ACL中的权限控制信息以及其他客户端发送的ACL中的权限控制信息。
其中,所述扩展ACL中包含至少一个访问控制项ACE;所述ACE中包含多个变量;其中,所述ACE中的变量用于描述进行权限控制的用户对象以及对所述用户对象的权限控制信息。将所述客户端发送的ACL转换成扩展ACL包括:将所述客户端发送的ACL中的允许权限和拒绝权限分别映射到扩展ACL中的允许权限标志位和拒绝权限标志位。进一步的,如果客户端(例如Windows客户端)发送的ACL中包含的是安全标识符(SecurityIdentifier,SID),也可以通过预先配置的ID映射表(IDmap)将SID映射为用户标识符(UserIdentifier,UID)或群组标识符(GroupIdentifier,GID),以便后续用户访问服务器时可以根据用户标识获取该用户相关的扩展ACL。
103、存储所述扩展ACL。
其中,存储所述扩展ACL,以便后续用户访问服务器时对用户的访问操作进行权限控制。具体的,接收到客户端发送的用户操作请求时,确定发起所述用户操作请求的用户相关的扩展ACL;查询所述扩展ACL中所述用户操作请求对应的权限标志位,以根据所述权限标志位允许或拒绝所述用户操作请求。
特殊的,当所述用户操作请求为ACL查询请求,并且所述ACL查询请求的查询ACL操作被允许时,可以将所述ACL查询请求所查询的扩展ACL中的权限控制信息转换为所述客户端支持的权限控制信息;将所述客户端支持的权限控制信息发送给所述客户端。
本发明实施例提供的权限控制方法,通过将不同客户端发送的包含不同权限控制信息的ACL转换成为可以包含客户端的全部控制信息的扩展ACL,与现有技术中将客户端发送的ACL中部分权限信息舍弃的方法相比,可以防止来自不同类型客户端的权限控制信息在设置过程中的丢弃和失效,将客户端发送的全部权限控制信息都对应保存,从而防止权限控制信息的丢失,对文件系统中的文件实现有效保护。
本发明另一实施例提供一种权限控制方法,如图3所示,该方法可以包括:
201、接收客户端发送的访问控制列表ACL,其中所述客户端发送的ACL包含所述客户端支持的权限控制信息。
其中,由于连接到文件系统的服务器的客户端可以分别安装不同的操作系统,或者同一操作系统可以采用不同的具体权限控制方式,因此客户端发送的ACL中包含的权限控制信息的项目数量以及每个项目控制的内容都有可能会不同。
202、将所述客户端发送的ACL中的允许权限和拒绝权限分别映射到扩展ACL中的允许权限标志位和拒绝权限标志位。
在本实施例中,扩展ACL可以有六种访问控制项(AccessControlEntry,ACE),包括:拥有者ACE(OwnerACE)、指定用户ACE(NamedUserACE)、拥有者所属组ACE(OwningGroupACE)、指定组ACE(NamedGroupACE)、掩码ACE(MaskACE)和其他用户ACE(OthersACE)。每个ACE可以对不同的用户对象或多个用户对象组成的集合进行权限控制。
其中,一个ACE中可以包含多个变量,扩展ACL中对于任一个ACE可以通过所述变量设置该ACE对应的用户对象的权限控制信息,在一个ACE中可以包含五个变量,分别为:ACE类型、允许权限标志位、拒绝权限标志位、用户ID值以及继承标志位。其中,允许权限标志位和拒绝权限标志位可以都是32位,例如在POSIXACE中的读、写和可执行(rwx)权限基础上扩展得到的权限标志位,用以存储来自WindowsACE或NFSv4ACE中的十几种甚至几十种权限控制信息。具体的,允许权限标志位和拒绝权限标志位中不同的标志位代表不同的访问操作是被允许的还是被拒绝的。继承标志位用于标识该扩展ACL是否继承父目录的ACL中的权限控制信息。
203、将所述客户端发送的ACL中的安全标识符SID映射为用户标识符UID或群组标识符GID。
其中,步骤203是可选步骤,客户端发送的ACL中可以包含SID,转换得到的扩展ACL中可以包含UID或GID。为了便于后续根据扩展ACL对用户操作进行鉴权,当ACL中包含的标识符为SID时,可以根据标识符映射表(IDmap)来实现SID到UID或GID的映射。所述IDmap可以预先配置在服务器中,所述IDmap中可以包含SID与UID或GID之间的映射关系。在ACL中保存有用户ID值,这样当用户发起访问操作时,可以根据用户ID值确定与所述用户相关的扩展ACL,从而以根据所述权限标志位确定该用户的访问操作是否被允许。
204、存储所述扩展ACL。
其中,每个文件或者每个文件夹都可以对应一个扩展ACL,当用户通过客户端访问任一文件或文件夹时可以根据被访问的文件对应的ACL对用户的访问操作进行鉴权。
需要说明的是,通过步骤201-204便实现了扩展ACL的设置,一般具有较高权限的用户或管理员用户可以具有设置扩展ACL的权限。另外,还可以对扩展ACL进行删除操作。当然,在设置或删除扩展ACL之前,也可以先判断当前发起设置或删除扩展ACL请求的用户的设置或删除操作是否被允许,在允许情况下才执行该用户的设置和删除操作。
进一步的,在设置完成扩展ACL后,可以通过已存储的扩展ACL对客户端发送的用户操作请求进行鉴权,具体如下:
205、接收到客户端发送的用户操作请求时,确定发起所述用户操作请求的用户相关的扩展ACL。
其中,客户端发送的用户操作请求可以是对文件或文件夹的读取请求、修改请求、创建请求或删除请求等,或者也可以是对扩展ACL的查询、设置或删除请求等。具体的,当采用用户ID登陆到客户端后,客户端向服务器发送的用户操作请求中可以包含该用户的用户ID值,根据用户操作请求中的用户ID值查询以保存的扩展ACL,获取与该用户ID值相关的扩展ACL。
另外,若服务器中存储的扩展ACL中有发起用户操作请求的用户的ACL,也有该用户所属的多个用户群组的ACL,则可以采用预先约定的优先级或叠加关系确定该用户操作请求的操作是否被允许。例如,可以预先约定拒绝权限大于允许权限,当获取到用户所属的群组1对应的ACL中读取操作是允许操作,而用户所属的群组2对应的ACL中读取操作是拒绝操作时,通过预先约定的叠加关系可以确定当前用户发起的读取操作是被拒绝的。
206、查询所述扩展ACL中所述用户操作请求对应的权限标志位,以根据所述权限标志位允许或拒绝所述用户操作请求。
其中,扩展ACL中可以记录32位的允许权限标志位和32位的拒绝权限标志位,根据实际需要还可以调整允许权限和拒绝权限的标志位位数。当用户发起用户操作请求时,可以校验扩展ACL中用户操作请求所请求的操作对应的权限标志位,若该权限标志位标识该操作是允许权限则允许执行该用户操作请求所请求的操作。否则,拒绝该用户操作请求对应的操作。
进一步的,由于当用户需要查询服务器保存的扩展ACL时,由于客户端所支持的ACL的项目数量和各项目的内容不同,可以对扩展ACL反向映射为客户端支持的ACL,具体如下:
207、当所述用户操作请求为ACL查询请求,并且所述ACL查询请求的查询ACL操作被允许时,将所述ACL查询请求所查询的扩展ACL中的权限控制信息转换为所述客户端支持的权限控制信息。
其中,当客户端向服务器发送不同格式的ACL或ACL查询请求时,会采用不同的命令字进行发送,服务器解析ACL查询请求中的命令字便可确定该用户端所支持的ACL格式,从而确定该客户端支持的权限控制信息,将客户端所请求的扩展ACL还原成该客户端支持的ACL。
其中,客户端支持的权限控制信息的项目个数以及每个项目的内容不同,可以将扩展ACL中的允许权限和拒绝权限的标志位对应的还原为客户端支持的权限控制信息,得到客户端支持的ACL。
208、将所述客户端支持的权限控制信息发送给所述客户端。
其中,将客户端支持的ACL发送给客户端后,客户端可以将ACL中的权限控制信息对应地呈现给用户。
本发明实施例提供的权限控制方法,通过将不同客户端发送的包含不同权限控制信息的ACL转换成为可以包含客户端的全部控制信息的扩展ACL,与现有技术中将客户端发送的ACL中部分权限信息舍弃的方法相比,可以防止来自不同类型客户端的权限控制信息在设置过程中的丢弃和失效,将客户端发送的全部权限控制信息都对应保存,从而防止权限控制信息的丢失,对文件系统中的文件实现有效保护。
本发明另一实施例还提供一种权限控制设备,如图4所示,该设备包括:接收单元31、转换单元32、存储单元33。
接收单元31,用于接收客户端发送的访问控制列表ACL,其中所述客户端发送的ACL包含所述客户端支持的权限控制信息;
转换单元32,用于将所述接收单元31接收的所述客户端发送的ACL转换成扩展ACL,其中所述扩展ACL包含所述客户端发送的ACL中的全部权限控制信息以及其他客户端发送的ACL中的权限控制信息;
存储单元33,用于存储所述转换单元32转换得到的所述扩展ACL。
进一步的,所述扩展ACL中包含至少一个访问控制项ACE;所述ACE中包含多个变量;其中,所述ACE中的变量用于描述进行权限控制的用户对象以及对所述用户对象的权限控制信息。
进一步的,所述变量包含允许权限和拒绝权限;所述转换单元33具体用于:将所述接收单元31接收的所述客户端发送的ACL中的允许权限和拒绝权限分别映射到扩展ACL中的允许权限标志位和拒绝权限标志位。
进一步的,所述客户端发送的ACL中包含安全标示符SID,所述变量包含用户标示符UID或群组标示符GID;所述转换单元33具体还用于:将所述接收单元31接收的客户端发送的ACL中的SID映射为UID或GID。
进一步的,该服务器还包括:确定单元34、执行单元35。
确定单元34,用于当所述接收单元31接收到客户端发送的用户操作请求时,从存储单元33中确定发起所述用户操作请求的用户相关的扩展ACL;
执行单元35,用于查询所述确定单元34确定的扩展ACL中所述用户操作请求对应的权限标志位,以根据所述权限标志位允许或拒绝所述用户操作请求。
进一步的,该服务器还包括:还原单元36、发送单元37。
还原单元36,用于当所述接收单元31接收的用户操作请求为ACL查询请求,并且所述执行单元确定ACL查询请求的查询ACL操作被允许时,将所述ACL查询请求所查询的扩展ACL中的权限控制信息转换为所述客户端支持的权限控制信息;
发送单元37,用于将所述还原单元36还原得到的所述客户端支持的权限控制信息发送给所述客户端。
本发明实施例提供的权限控制设备,通过将不同客户端发送的包含不同权限控制信息的ACL转换成为可以包含客户端的全部控制信息的扩展ACL,与现有技术中将客户端发送的ACL中部分权限信息舍弃的方法相比,可以防止来自不同类型客户端的权限控制信息在设置过程中的丢弃和失效,将客户端发送的全部权限控制信息都对应保存,从而防止权限控制信息的丢失,对文件系统中的文件实现有效保护。
本发明另一实施例还提供一种权限控制设备,如图5所示,该设备包括:收发器41、处理器42和存储器43。
所述收发器41,用于接收客户端发送的访问控制列表ACL,其中所述客户端发送的ACL包含所述客户端支持的权限控制信息;
所述处理器42,用于将所述收发器41接收的所述客户端发送的ACL转换成扩展ACL;其中所述扩展ACL包含所述客户端发送的ACL中的权限控制信息以及其他客户端发送的ACL中的权限控制信息;
所述存储器43,用于存储所述处理器42转换得到的所述扩展ACL。
进一步的,所述扩展ACL中包含至少一个访问控制项ACE;所述ACE中包含多个变量;其中,所述ACE中的变量用于描述进行权限控制的用户对象以及对所述用户对象的权限控制信息。
进一步的,所述变量包含允许权限和拒绝权限;所述处理器42具体用于:
将所述收发器41接收的所述客户端发送的ACL中的允许权限和拒绝权限分别映射到扩展ACL中的允许权限标志位和拒绝权限标志位。
进一步可选的,所述客户端发送的ACL中包含安全标示符SID,所述变量包含用户标示符UID或群组标示符GID;所述处理器42还用于:将所述收发器41接收的所述客户端发送的ACL中的SID映射为UID或GID。
进一步的,所述处理器42还用于:当所述收发器41接收到客户端发送的用户操作请求时,确定发起所述用户操作请求的用户相关的扩展ACL;查询所述扩展ACL中所述用户操作请求对应的权限标志位,以根据所述权限标志位允许或拒绝所述用户操作请求。
进一步的,所述处理器42还用于:当所述用户操作请求为ACL查询请求,并且所述ACL查询请求的查询ACL操作被允许时,将所述ACL查询请求所查询的扩展ACL中的权限控制信息转换为所述客户端支持的权限控制信息;
所述收发器41,还用于将所述处理器42转换得到的所述客户端支持的权限控制信息发送给所述客户端。
本发明实施例提供的权限控制设备,通过将不同客户端发送的包含不同权限控制信息的ACL转换成为可以包含客户端的全部控制信息的扩展ACL,与现有技术中将客户端发送的ACL中部分权限信息舍弃的方法相比,可以防止来自不同类型客户端的权限控制信息在设置过程中的丢弃和失效,将客户端发送的全部权限控制信息都对应保存,从而防止权限控制信息的丢失,对文件系统中的文件实现有效保护。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (8)
1.一种权限控制方法,其特征在于,包括:
接收客户端发送的访问控制列表ACL,其中所述客户端发送的ACL包含所述客户端支持的权限控制信息;
将所述客户端发送的ACL转换成扩展ACL;其中所述扩展ACL包含所述客户端发送的ACL中的权限控制信息以及其他客户端发送的ACL中的权限控制信息;
存储所述扩展ACL;
所述扩展ACL中包含至少一个访问控制项ACE;所述ACE中包含多个变量;其中,所述ACE中的变量用于描述进行权限控制的用户对象以及对所述用户对象的权限控制信息;所述变量包含允许权限和拒绝权限;所述将所述客户端发送的ACL转换成扩展ACL,包括:
将所述客户端发送的ACL中的允许权限和拒绝权限分别映射到扩展ACL中的允许权限标志位和拒绝权限标志位。
2.根据权利要求1所述的权限控制方法,其特征在于,所述客户端发送的ACL中包含安全标示符SID,所述变量包含用户标示符UID或群组标示符GID;所述将所述客户端发送的ACL转换成扩展ACL,还包括:
将所述客户端发送的ACL中的SID映射为UID或GID。
3.根据权利要求1或2所述的权限控制方法,其特征在于,所述方法还包括:
接收到客户端发送的用户操作请求时,确定发起所述用户操作请求的用户相关的扩展ACL;
查询所述扩展ACL中所述用户操作请求对应的权限标志位,以根据所述权限标志位允许或拒绝所述用户操作请求。
4.根据权利要求3所述的权限控制方法,其特征在于,当所述用户操作请求为ACL查询请求,并且所述ACL查询请求的查询ACL操作被允许时,所述方法还包括:
将所述ACL查询请求所查询的扩展ACL中的权限控制信息转换为所述客户端支持的权限控制信息;
将所述客户端支持的权限控制信息发送给所述客户端。
5.一种服务器,其特征在于,包括:
接收单元,用于接收客户端发送的访问控制列表ACL,其中所述客户端发送的ACL包含所述客户端支持的权限控制信息;
转换单元,用于将所述接收单元接收的所述客户端发送的ACL转换成扩展ACL,其中所述扩展ACL包含所述客户端发送的ACL中的全部权限控制信息以及其他客户端发送的ACL中的权限控制信息;
存储单元,用于存储所述转换单元转换得到的所述扩展ACL;
所述扩展ACL中包含至少一个访问控制项ACE;所述ACE中包含多个变量;其中,所述ACE中的变量用于描述进行权限控制的用户对象以及对所述用户对象的权限控制信息;
所述变量包含允许权限和拒绝权限;所述转换单元具体用于:
将所述接收单元接收的所述客户端发送的ACL中的允许权限和拒绝权限分别映射到扩展ACL中的允许权限标志位和拒绝权限标志位。
6.根据权利要求5所述的服务器,其特征在于,所述客户端发送的ACL中包含安全标示符SID,所述变量包含用户标示符UID或群组标示符GID;所述转换单元具体还用于:
将所述接收单元接收的客户端发送的ACL中的SID映射为UID或GID。
7.根据权利要求5或6所述的服务器,其特征在于,还包括:
确定单元,用于当所述接收单元接收到客户端发送的用户操作请求时,确定发起所述用户操作请求的用户相关的扩展ACL;
执行单元,用于查询所述确定单元确定的扩展ACL中所述用户操作请求对应的权限标志位,以根据所述权限标志位允许或拒绝所述用户操作请求。
8.根据权利要求7所述的服务器,其特征在于,还包括:
还原单元,用于当所述接收单元接收的用户操作请求为ACL查询请求,并且所述执行单元确定ACL查询请求的查询ACL操作被允许时,将所述ACL查询请求所查询的扩展ACL中的权限控制信息转换为所述客户端支持的权限控制信息;
发送单元,用于将所述还原单元还原得到的所述客户端支持的权限控制信息发送给所述客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310009144.9A CN103067400B (zh) | 2013-01-10 | 2013-01-10 | 一种权限控制方法和服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310009144.9A CN103067400B (zh) | 2013-01-10 | 2013-01-10 | 一种权限控制方法和服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103067400A CN103067400A (zh) | 2013-04-24 |
CN103067400B true CN103067400B (zh) | 2015-12-02 |
Family
ID=48109861
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310009144.9A Active CN103067400B (zh) | 2013-01-10 | 2013-01-10 | 一种权限控制方法和服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103067400B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104145468B (zh) * | 2014-01-13 | 2017-02-22 | 华为技术有限公司 | 一种文件访问权限控制方法及装置 |
FR3031272A1 (fr) * | 2014-12-24 | 2016-07-01 | Orange | Procede d'obtention de droits mis en oeuvre par un objet communicant |
CN105871813A (zh) * | 2016-03-18 | 2016-08-17 | 合网络技术(北京)有限公司 | 业务管理系统、用户权限控制方法及系统 |
CN107403105B (zh) * | 2017-06-30 | 2020-09-04 | 华为技术有限公司 | 一种文件系统的权限设置方法及装置 |
CN107688753A (zh) * | 2017-09-01 | 2018-02-13 | 郑州云海信息技术有限公司 | 一种acl权限控制的方法与装置 |
CN107748849A (zh) * | 2017-10-25 | 2018-03-02 | 郑州云海信息技术有限公司 | 一种基于网络文件系统的权限控制方法及系统 |
CN107783872A (zh) * | 2017-10-27 | 2018-03-09 | 郑州云海信息技术有限公司 | 分布式存储产品acl的快速响应特性的测试方法及装置 |
CN108804936A (zh) * | 2018-06-06 | 2018-11-13 | 郑州云海信息技术有限公司 | 一种基于分布式存储系统acl的权限管理方法及系统 |
CN108989329B (zh) * | 2018-08-08 | 2021-06-08 | 海南新软软件有限公司 | 一种限制用户操作的方法、装置及系统 |
CN109446825B (zh) * | 2018-10-22 | 2021-08-31 | 郑州云海信息技术有限公司 | 一种访问控制权限的扩展方法及装置 |
CN112541176A (zh) * | 2019-09-20 | 2021-03-23 | 珠海金山办公软件有限公司 | 一种文件关联的锁定方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1299477A (zh) * | 1998-03-03 | 2001-06-13 | 网络装置公司 | 多协议文件服务器中的文件访问控制 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8214641B2 (en) * | 2007-08-23 | 2012-07-03 | Microsoft Corporation | File access in multi-protocol environment |
-
2013
- 2013-01-10 CN CN201310009144.9A patent/CN103067400B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1299477A (zh) * | 1998-03-03 | 2001-06-13 | 网络装置公司 | 多协议文件服务器中的文件访问控制 |
Also Published As
Publication number | Publication date |
---|---|
CN103067400A (zh) | 2013-04-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103067400B (zh) | 一种权限控制方法和服务器 | |
JP4758920B2 (ja) | ストレージ装置、ストレージシステム、並びに、その制御方法および制御プログラム | |
CN107451486B (zh) | 一种文件系统的权限设置方法及装置 | |
CN102917346B (zh) | 一种基于Android的应用程序运行时安全策略管理系统及方法 | |
US9430664B2 (en) | Data protection for organizations on computing devices | |
US10454944B2 (en) | Geofencing of data in a cloud-based environment | |
KR101270663B1 (ko) | 데이터 베이스에서 정보를 캡슐화하는 방법, 통신시스템에서 사용하기 위한 캡슐화된 데이터 베이스, 그리고시스템에서 데이터 베이스가 즉석 메시지를 전달하는 방법 | |
US8370910B2 (en) | File server for translating user identifier | |
CN102682080B (zh) | cookie信息共享方法及系统 | |
KR101329916B1 (ko) | 데이터 백업 시스템 | |
US10476878B2 (en) | Access permissions management system and method | |
US20130054611A1 (en) | Apparatus and method for processing partitioned data for securing content | |
CN109756915B (zh) | 一种无线网络管理方法及系统 | |
CN109033857B (zh) | 一种访问数据的方法、装置、设备及可读存储介质 | |
CN108108633B (zh) | 一种数据文件及其访问方法、装置及设备 | |
CN106878084B (zh) | 一种权限控制方法和装置 | |
CN104145468A (zh) | 一种文件访问权限控制方法及装置 | |
US20140122867A1 (en) | Encryption and decryption of user data across tiered self-encrypting storage devices | |
US8380806B2 (en) | System and method for absolute path discovery by a storage virtualization system | |
JP2008046860A (ja) | ファイル管理システム及びファイル管理方法 | |
CN109446825B (zh) | 一种访问控制权限的扩展方法及装置 | |
KR20140104796A (ko) | 스토리지 서비스 이용에 따른 사용자 부인방지 및 데이터 무결성 검증 방법 | |
CN105468999A (zh) | 数据保密方法和移动硬盘 | |
JP4342242B2 (ja) | セキュアファイル共有方法および装置 | |
CN113010904A (zh) | 数据处理方法和装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |