CN103488755B - 一种文件系统访问方法及设备 - Google Patents

一种文件系统访问方法及设备 Download PDF

Info

Publication number
CN103488755B
CN103488755B CN201310440133.6A CN201310440133A CN103488755B CN 103488755 B CN103488755 B CN 103488755B CN 201310440133 A CN201310440133 A CN 201310440133A CN 103488755 B CN103488755 B CN 103488755B
Authority
CN
China
Prior art keywords
file
metadata
user
collection
presented
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310440133.6A
Other languages
English (en)
Other versions
CN103488755A (zh
Inventor
文海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201310440133.6A priority Critical patent/CN103488755B/zh
Publication of CN103488755A publication Critical patent/CN103488755A/zh
Application granted granted Critical
Publication of CN103488755B publication Critical patent/CN103488755B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种文件系统访问方法及设备,所述方法包括:接收用户发起的文件系统访问请求,若根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户,则将由系统中的各文件的第一文件元数据组成的第一元数据集合呈现给所述用户,若确定所述用户为具备文件内容访问权限的用户,则将由系统中的各文件的第二文件元数据组成的第二元数据集合呈现给所述用户,其中,所述第一文件元数据与系统中的文件的内容无关,所述第二文件元数据与系统中的文件的内容相关,从而避免了现有技术中存在的文件信息在系统管理人员等非文件所有者面前毫无安全性的问题,提高了文件系统中的文件信息的安全性。

Description

一种文件系统访问方法及设备
技术领域
本发明涉及计算机技术领域,尤其涉及一种文件系统访问方法及设备。
背景技术
文件系统是一套用于实现计算机操作系统中各文件的存储、分级组织、访问和获取等操作的抽象数据类型,其是计算机操作系统的重要组成部分,通过所述文件系统,可大大提高访问和查找计算机操作系统中各文件的速率和简易性。
具体地,文件系统通常可使用文件和树形目录的抽象逻辑概念来代替硬盘或光盘等物理存储设备所使用的数据块的概念。也就是说,用户在利用文件系统来保存计算机操作系统中的各文件时,不必得知各文件实际保存在了物理存储设备的哪个数据块上,而仅需记住各文件所属的目录和文件名。再有,在向文件系统写入新的文件数据时,由于物理存储设备的存储空间管理,如存储空间的分配和释放等操作均由文件系统自动完成,因此,用户也无需得知物理存储设备中的哪些数据块未被使用,而仅需记住所述新的文件数据所被写入的目录和所述新的文件数据的文件名。
但是,针对目前常用的文件系统,计算机系统管理人员以及计算机文件所有者等不同的用户在对所述文件系统进行访问时,所能够访问到的文件的目录名、文件名等文件元数据以及文件内容均是相同的,导致文件所有者的所有文件信息在系统管理人员等非文件所有者面前毫无安全性可言,大大降低了文件系统中的文件信息的安全性。
发明内容
本发明实施例提供了一种文件系统访问方法及设备,可以解决现有技术中存在的文件系统的文件信息安全性较低的问题。
第一方面,提供了一种文件系统访问方法,包括:
接收用户发起的文件系统访问请求;
若根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户,则将文件系统中的第一元数据集合呈现给所述用户;
若根据所述访问请求,确定所述用户为具备文件内容访问权限的用户,则将文件系统中的第二元数据集合呈现给所述用户;
其中,所述第一元数据集合由系统中的各文件的第一文件元数据组成,所述第二元数据集合由系统中的各文件的第二文件元数据组成,所述第一文件元数据与系统中的文件的内容无关,所述第二文件元数据与系统中的文件的内容相关。
结合第一方面,在第一方面的第一种可能的实现方式中,在根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户,且将文件系统中的第一元数据集合呈现给所述用户之后,还包括:
将文件系统中的各文件进行加密,并将加密后的各文件呈现给所述用户。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,将文件系统中的各文件进行加密,包括:
通过网络服务器或网络客户端对文件系统中的各文件进行加密。
结合第一方面、第一方面的第一种或第二种可能的实现方式,在第一方面的第三种可能的实现方式中,针对系统中的任一文件,所述文件的第一文件元数据生成后不可更改,所述文件的第二文件元数据生成后可更改。
结合第一方面、第一方面的第一种或第二种可能的实现方式,在第一方面的第四种可能的实现方式中,所述文件系统中的第一元数据集合中的各第一文件元数据相互之间、以及第二元数据集合中的各第二文件元数据相互之间分别呈树形结构排列。
第二方面,提供了一种文件系统访问设备,包括:
请求接收模块,用于接收用户发起的文件系统访问请求;
元数据呈现模块,用于在根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户时,将文件系统中的第一元数据集合呈现给所述用户,以及,在根据所述访问请求,确定所述用户为具备文件内容访问权限的用户时,将文件系统中的第二元数据集合呈现给所述用户;
其中,所述第一元数据集合由系统中的各文件的第一文件元数据组成,所述第二元数据集合由系统中的各文件的第二文件元数据组成,所述第一文件元数据与系统中的文件的内容无关,所述第二文件元数据与系统中的文件的内容相关。
结合第二方面,在第二方面的第一种可能的实现方式中,所述文件系统访问设备还包括文件加密模块以及文件呈现模块:
所述文件加密模块,用于在根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户,且将文件系统中的第一元数据集合呈现给所述用户之后,对文件系统中的各文件进行加密;
所述文件呈现模块,用于将所述文件加密模块加密后的各文件呈现给所述用户。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述文件加密模块,具体用于通过网络服务器或网络客户端对文件系统中的各文件进行加密。
结合第二方面、第二方面的第一种或第二种可能的实现方式,在第二方面的第三种可能的实现方式中,针对系统中的任一文件,所述文件的第一文件元数据生成后不可更改,所述文件的第二文件元数据生成后可更改。
结合第二方面、第二方面的第一种或第二种可能的实现方式,在第二方面的第四种可能的实现方式中,所述文件系统中的第一元数据集合中的各第一文件元数据相互之间、以及第二元数据集合中的各第二文件元数据相互之间分别呈树形结构排列。
根据第一方面提供的文件系统访问方法或第二方面提供的文件系统访问设备,针对包括由与文件内容无关的文件元数据组成的第一元数据集合、以及由与文件内容相关的文件元数据组成的第二元数据集合的文件系统,在接收到来自用户的文件系统访问请求,且根据所述访问请求,确定所述用户为系统管理员等具备系统专业管理权限且不具备文件内容访问权限的用户时,可将文件系统中的与文件内容无关的元数据集合呈现给所述用户,从而避免了现有技术中存在的文件信息在系统管理人员等非文件所有者面前毫无安全性的问题,提高了文件系统中的文件信息的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示为本发明实施例一中所述文件系统访问方法的流程示意图;
图2(a)所示为本发明实施例一中所述第一元数据集合的结构示意图;
图2(b)所示为本发明实施例一中所述第二元数据集合的结构示意图;
图3所示为本发明实施例一中所述文件系统访问方法的流程示意图二;
图4所示为本发明实施例二中所述文件系统访问设备的结构示意图;
图5所示为本发明实施例三中所述文件系统访问设备的结构示意图。
具体实施方式
为了解决目前常用的文件系统的文件信息安全性较低的问题,本发明实施例提出了一种将原有文件系统中的一套文件元数据更改为两套具备不同安全等级的文件元数据的新思路,并进而提供了一种文件系统的访问方法及设备。
具体地,所更改后的文件系统可包括第一元数据集合以及第二元数据集合两套文件元数据,其中,所述第一元数据集合由系统中的各文件的第一文件元数据组成,所述第一文件元数据与系统中的文件的内容无关;所述第二元数据集合由系统中的各文件的第二文件元数据组成,所述第二文件元数据与系统中的文件的内容相关,从而在接收到来自用户的文件系统访问请求,且根据所述访问请求,确定所述用户为系统管理员等具备系统专业管理权限且不具备文件内容访问权限的用户时,可将文件系统中的与文件内容无关的第一元数据集合呈现给所述用户,从而避免了现有技术中存在的文件信息在系统管理人员等非文件所有者面前毫无安全性的问题,提高了文件系统中的文件信息的安全性。
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一:
如图1所示,其为本发明实施例一中所述文件系统访问方法的流程示意图,所述文件系统访问方法可包括以下步骤:
步骤101:接收用户发起的文件系统访问请求。
具体地,在本发明所述实施例中,各步骤的执行主体可以为具备文件系统的计算机或服务器等设备,本发明实施例对此不作任何限定。
进一步地,在接收用户发起的文件系统访问请求之前,需启动并加载相应的文件系统;具体地,可通过读取文件系统的超级块,并加载所述超级块的方式来加载所述文件系统,本发明实施例对此不作赘述。
需要说明的是,为了解决目前常用的文件系统的文件信息安全性较低的问题,本发明实施例提出了一种将原有文件系统中的一套文件元数据更改为两套具备不同安全等级的文件元数据的方案。具体地,本发明实施例中所述的文件系统即为更改后的可包括第一元数据集合以及第二元数据集合两套文件元数据的文件系统,其中,所述第一元数据集合由系统中的各文件的第一文件元数据组成,所述第二元数据集合由系统中的各文件的第二文件元数据组成,所述第一文件元数据与系统中的文件的内容无关(安全性较高、适于公开),所述第二文件元数据与系统中的文件的内容相关(安全性较低、仅适用于文件所有者等具备相应访问权限的用户),以便在接收到来自用户的文件系统访问请求时,根据所述用户的访问权限等级,选择相应安全等级的文件元数据返回给所述用户,从而避免了现有技术中存在的文件信息在系统管理人员等非文件所有者面前毫无安全性的问题,提高了文件系统中的文件信息的安全性。
进一步地,针对系统中的任一文件,所述文件的第一文件元数据通常可由系统自动生成且生成后不可更改,所述文件的第二文件元数据通常可由文件所有者按照设定的规则生成且生成后可更改。
进一步地,针对系统中的任一文件,所述文件的第一文件元数据可由系统通过对其进行任意编码来生成,或者,也可由系统通过对所述文件的第二文件元数据进行加密来生成,这样,所得到的第一文件元数据将以无任何实际意义的乱码形式存在,可达到增强文件系统文件信息安全性的效果。
需要说明的是,与目前常用的文件系统类似,所述第一元数据以及所述第二元数据至少可以包括以下信息中的一种或多种:文件所在目录名、文件名、文件创建时间以及文件大小等,本发明实施例对此不作任何限定。
但是需要说明的是,与目前常用的文件系统相比,由于本发明实施例中所述的文件系统具备两套文件元数据,因此,其对应的文件数据以及文件元数据等存储方式也发生了相应变化。例如,针对任一文件,用于保存该文件相应数据的数据库中均具备两套与该文件相对应的文件元数据,一套为系统自动生成,一套为文件所有者按照标准规范生成,本发明实施例对此不作赘述。
再有需要说明的是,与目前常用的文件系统类似,在本发明所述实施例中,所述文件系统中的第一元数据集合中的各第一文件元数据相互之间、以及第二元数据集合中的各第二文件元数据相互之间可分别呈树形结构排列,具体可分别如图2(a)、图2(b)所示(其中,图2(a)为所述第一元数据集合的结构示意图,图2(b)为所述第二元数据集合的结构示意图),以便于用户查看,本发明实施例对此不作赘述。
步骤102:若根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户,则将文件系统中的第一元数据集合呈现给所述用户;若根据所述访问请求,确定所述用户为具备文件内容访问权限的用户,则将文件系统中的第二元数据集合呈现给所述用户。
其中,所述具备系统专业管理权限且不具备文件内容访问权限的用户通常可指系统管理人员,所述具备文件内容访问权限的用户通常可指文件所有者或由文件所有者授权后的其他用户。
也就是说,在本发明所述实施例中,在接收到各用户发起的文件系统访问请求时,可根据用户的不同向其呈现不同的元数据集合,具体可如图3所示(图3为本发明实施例一中所述文件系统访问方法的流程示意图二):
在图3中,可根据所述访问请求中携带的用户权限信息,确定所述用户是否为具备系统专业管理权限且不具备文件内容访问权限的用户,并在确定结果为是时,将文件系统中的具备较高安全等级的、与用户文件内容无关的第一元数据集合呈现给所述用户,由所述用户根据所述第一元数据集合对系统中的各文件进行备份、归档、数据灾难恢复等专业IT操作。
需要说明的是,由于所述第一元数据集合为与文件内容无关的元数据集合,因此,所述具备系统专业管理权限且不具备文件内容访问权限的用户根据所述第一元数据集合无法得知各文件的真实目录名以及真实文件名等与文件内容相关的元数据信息,因而可在不影响所述用户对各文件进行专业IT操作的基础上,达到提高文件系统文件信息的安全性的目的。
另外,由于所述第一元数据集合由系统自动生成后通常无法进行修改,即系统管理人员等具备系统专业管理权限且不具备文件内容访问权限的用户在根据所述第一元数据集合进行相应的专业IT操作时,无法对所述第一元数据集合进行修改、删除等操作,因而还可达到进一步提高文件系统文件信息的安全性的目的。
进一步地,在图3中,当根据所述访问请求中携带的用户权限信息,确定所述用户为具备文件内容访问权限的用户时,可将文件系统中的具备较低安全等级的、与用户文件内容相关的第二元数据集合呈现给所述用户。
此时,由于所述第二元数据集合为与文件内容相关的元数据集合,因此,所述具备文件内容访问权限的用户可根据所述第二元数据集合得知各文件的真实目录名以及真实文件名等与文件内容相关的元数据信息,进而可通过现有技术中常用的POSIX(PortableOperating System Interface,可移植操作系统接口)文件访问接口,访问各种基于POSIX接口的应用等,本发明实施例对此不作赘述。
另外需要说明的是,在本发明所述实施例中,由于所述第二元数据集合生成后可更改,即具备文件内容访问权限的用户,如文件所有者本身,可根据实际情况,对所述第二元数据集合中的各数据进行修改,从而提高了文件元数据生成的灵活性;并且,在本发明所述实施例中,为了进一步提高文件系统文件信息的安全性,所述具备文件内容访问权限的用户还可根据实际需要对所述第二元数据等数据进行加密操作,本发明实施例对此不作任何限定。
进一步地,在本发明所述实施例中,在根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户,且将文件系统中的第一元数据集合呈现给所述用户之后,所述方法还可以包括:
将文件系统中的各文件(即文件本身数据)进行加密,并将加密后的各文件呈现给所述用户。
具体地,由于用户可通过设置于计算机或服务器内的客户端软件或位于网络侧的网络客户端、位于网络侧的网络服务器等设备访问所述计算机或服务器中的文件系统,因此,为了使得系统中仅需具备一套文件数据即可实现根据用户的不同向其呈现具备不同安全等级的文件数据的目的,在本发明所述实施例中,可通过设置于计算机或服务器内的客户端软件或位于网络侧的网络客户端、位于网络侧的网络服务器等设备对文件系统中的各文件进行加密,以便在不改变系统中各文件的文件数据的情况下,实现数据的加密操作,提高文件数据加密的灵活性。
当然,需要说明的是,所述文件系统中还可以设置有两套具备不同安全等级的文件数据,一套与第一元数据集合相对应(为加密后的文件数据),一套与第二元数据集合相对应(为未加密的文件数据),以便实现根据用户的不同向其呈现加密或非加密的文件数据的目的,本发明实施例对此不作任何限定。
类似地,在本发明所述实施例中,在根据所述访问请求,确定所述用户为具备文件内容访问权限的用户,且将文件系统中的第二元数据集合呈现给所述用户之后,所述方法还可以包括:
将文件系统中的各文件呈现给所述用户。
需要说明的是,当文件系统中的第二元数据集合或文件系统中的各文件为加密后的数据集合或文件时,在将文件系统中的第二元数据集合或文件系统中的各文件呈现给所述用户之前,需要对加密后的数据集合或文件进行解密操作。具体地,可通过设置于计算机或服务器内的客户端软件或位于网络侧的网络客户端、位于服务器侧的网络服务器等设备对文件系统中的各文件进行解密,以便在不改变系统中各文件的文件数据的情况下,实现数据的解密操作。
也就是说,在本发明所述实施例中,在根据用户的不同向其呈现不同的元数据集合的之后或同时,还可根据用户的不同向其呈现加密或非加密的文件数据,本发明实施例对此不再赘述。
本发明实施例一提供了一种文件系统访问方法,所述方法包括:接收用户发起的文件系统访问请求,若根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户,则将由系统中的各文件的第一文件元数据组成的第一元数据集合呈现给所述用户,若确定所述用户为具备文件内容访问权限的用户,则将由系统中的各文件的第二文件元数据组成的第二元数据集合呈现给所述用户,其中,所述第一文件元数据与系统中的文件的内容无关,所述第二文件元数据与系统中的文件的内容相关,从而避免了现有技术中存在的文件信息在系统管理人员等非文件所有者面前毫无安全性的问题,提高了文件系统中的文件信息的安全性。
实施例二:
本发明实施例二提供了一种可用于实现本发明实施例一所示方法的文件系统访问设备,如图4所示,其为本发明实施例二中所述文件系统访问设备的结构示意图,其中,所述文件系统访问设备可为具备文件系统的计算机或服务器等设备,本发明实施例对此不作任何限定。
具体地,所述文件系统访问设备可以包括请求接收模块11以及元数据呈现模块12,其中:
所述请求接收模块11可用于接收用户发起的文件系统访问请求;具体地,所述请求接收模块11所接收到的文件系统访问请求可以为各用户通过设置于所述文件系统访问设备内的客户端软件、或位于网络侧的网络客户端、或位于网络侧的网络服务器等发起的文件系统访问请求,本发明实施例对此不作任何限定。
所述元数据呈现模块12可用于在根据所述请求接收模块11接收到的访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户时,将文件系统中的第一元数据集合呈现给所述用户,以及,在根据所述访问请求,确定所述用户为具备文件内容访问权限的用户时,将文件系统中的第二元数据集合呈现给所述用户。
其中,所述第一元数据集合由系统中的各文件的第一文件元数据组成,所述第二元数据集合由系统中的各文件的第二文件元数据组成,所述第一文件元数据与系统中的文件的内容无关,所述第二文件元数据与系统中的文件的内容相关。
进一步地,针对系统中的任一文件,所述文件的第一文件元数据通常可由系统自动生成且生成后不可更改,所述文件的第二文件元数据通常可由文件所有者按照设定的规则生成且生成后可更改。
进一步地,与目前常用的文件系统类似,在本发明所述实施例中,所述文件系统中的第一元数据集合中的各第一文件元数据相互之间、以及第二元数据集合中的各第二文件元数据相互之间可分别呈树形结构排列,以便于用户查看,本发明实施例对此不作赘述。
进一步地,所述元数据呈现模块12具体可用于根据所述访问请求中携带的用户权限信息,确定所述用户是否为具备系统专业管理权限且不具备文件内容访问权限的用户,并在确定结果为是时,将文件系统中的具备较高安全等级的、与用户文件内容无关的第一元数据集合呈现给所述用户,由所述用户根据所述第一元数据集合对系统中的各文件进行备份、归档、数据灾难恢复等专业IT操作。
需要说明的是,由于所述第一元数据集合为与文件内容无关的元数据集合,因此,所述具备系统专业管理权限且不具备文件内容访问权限的用户根据所述第一元数据集合无法得知各文件的真实目录名以及真实文件名等与文件内容相关的元数据信息,因而可在不影响所述用户对各文件进行专业IT操作的基础上,达到提高文件系统文件信息的安全性的目的。
另外,由于所述第一元数据集合通常可由系统自动生成且生成后无法进行修改,即系统管理人员等具备系统专业管理权限且不具备文件内容访问权限的用户在根据所述第一元数据集合进行相应的专业IT操作时,无法对所述第一元数据集合进行修改、删除等操作,因而还可达到进一步提高文件系统文件信息的安全性的目的。
进一步地,所述文件系统访问设备还可以包括文件加密模块13以及文件呈现模块14,其中:
所述文件加密模块13可用于在根据所述请求接收模块11接收到的访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户,且将文件系统中的第一元数据集合呈现给所述用户之后,对文件系统中的各文件进行加密。
具体地,为了使得系统中仅需具备一套文件数据即可实现根据用户的不同向其呈现具备不同安全等级的文件数据的目的,在本发明所述实施例中,所述文件加密模块13可用于通过网络服务器或网络客户端等对文件系统中的各文件进行加密,以便在不改变系统中各文件的文件数据的情况下,实现数据的加密操作,提高文件数据加密的灵活性。
进一步地,所述文件呈现模块14具体可用于将所述文件加密模块13加密后的各文件呈现给所述具备系统专业管理权限且不具件内容访问权限的用户用户。
进一步地,所述文件呈现模块14还可用于在根据所述访问请求,确定所述用户为具备文件内容访问权限的用户,且将文件系统中的第二元数据集合呈现给所述用户之后,将文件系统中的各文件呈现给所述用户。
需要说明的是,所述文件系统访问设备还可以包括文件解密模块15,其中:
所述文件解密模块15可用于当文件系统中的第二元数据集合或文件系统中的各文件为加密后的数据集合或文件时,在将文件系统中的第二元数据集合或文件系统中的各文件呈现给所述用户之前,对加密后的数据集合或文件进行解密操作。
具体地,所述文件解密模块15可用于通过设置于计算机或服务器内的客户端软件或位于网络侧的网络客户端、位于服务器侧的网络服务器等设备对文件系统中的各文件进行解密,以便在不改变系统中各文件的文件数据的情况下,实现数据的解密操作。
本发明实施例二提供了一种文件系统访问设备,针对包括由与文件内容无关的文件元数据组成的第一元数据集合、以及由与文件内容相关的文件元数据组成的第二元数据集合的文件系统,在接收到来自用户的文件系统访问请求,且根据所述访问请求,确定所述用户为系统管理员等具备系统专业管理权限且不具备文件内容访问权限的用户时,可将文件系统中的与文件内容无关的元数据集合呈现给所述用户,从而避免了现有技术中存在的文件信息在系统管理人员等非文件所有者面前毫无安全性的问题,提高了文件系统中的文件信息的安全性。
实施例三:
本发明实施例三提供了一种可用于实现本发明实施例一所示方法的文件系统访问设备,如图5所示,其为本发明实施例三中所述文件系统访问设备的结构示意图,为了便于说明,仅示出了与本发明实施例三相关的部分,具体技术细节未揭示的,请参照图1或图3所示的本发明实施例。
具体地,所述文件系统访问设备可为具备文件系统的计算机或服务器等设备,本发明实施例对此不作任何限定。具体地,本发明实施例三以所述文件系统访问设备为服务器为例进行说明,图5示出的是与本发明实施例三相关的服务器20的部分结构的框图。
如图5所示,所述服务器20可以包括:接收器21以及处理器22等部件。本领域技术人员可以理解,图5中示出的服务器20的结构并不构成对服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置,本发明实施例对此不作任何限定。
下面结合图5对所述服务器20的各个构成部件进行具体的介绍:
所述接收器21可用于接收用户发起的文件系统访问请求。具体地,所述接收器21所接收到的文件系统访问请求可以为各用户通过设置于所述文件系统访问设备内的客户端软件、或位于网络侧的网络客户端、或位于网络侧的网络服务器等发起的文件系统访问请求,本发明实施例对此不作任何限定。
所述处理器22可用于在根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户时,将文件系统中的第一元数据集合呈现给所述用户,以及,在根据所述访问请求,确定所述用户为具备文件内容访问权限的用户时,将文件系统中的第二元数据集合呈现给所述用户。
其中,所述第一元数据集合由系统中的各文件的第一文件元数据组成,所述第二元数据集合由系统中的各文件的第二文件元数据组成,所述第一文件元数据与系统中的文件的内容无关,所述第二文件元数据与系统中的文件的内容相关。
进一步地,针对系统中的任一文件,所述文件的第一文件元数据通常可由系统自动生成且生成后不可更改,所述文件的第二文件元数据通常可由文件所有者按照设定的规则生成且生成后可更改。
进一步地,与目前常用的文件系统类似,在本发明所述实施例中,所述文件系统中的第一元数据集合中的各第一文件元数据相互之间、以及第二元数据集合中的各第二文件元数据相互之间可分别呈树形结构排列,以便于用户查看,本发明实施例对此不作赘述。
具体地,在本发明所述实施例中,所述处理器22具体可用于根据所述访问请求中携带的用户权限信息,确定所述用户是否为具备系统专业管理权限且不具备文件内容访问权限的用户,并在确定结果为是时,将文件系统中的具备较高安全等级的、与用户文件内容无关的第一元数据集合呈现给所述用户,由所述用户根据所述第一元数据集合对系统中的各文件进行备份、归档、数据灾难恢复等专业IT操作。
需要说明的是,由于所述第一元数据集合为与文件内容无关的元数据集合,因此,所述具备系统专业管理权限且不具备文件内容访问权限的用户根据所述第一元数据集合无法得知各文件的真实目录名以及真实文件名等与文件内容相关的元数据信息,因而可在不影响所述用户对各文件进行专业IT操作的基础上,达到提高文件系统文件信息的安全性的目的。
另外,由于所述第一元数据集合通常可由系统自动生成且生成后无法进行修改,即系统管理人员等具备系统专业管理权限且不具备文件内容访问权限的用户在根据所述第一元数据集合进行相应的专业IT操作时,无法对所述第一元数据集合进行修改、删除等操作,因而还可达到进一步提高文件系统文件信息的安全性的目的。
进一步地,所述处理器22还可用于在根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户,且将文件系统中的第一元数据集合呈现给所述用户之后,对文件系统中的各文件进行加密,并将所述加密后的各文件呈现给所述用户。
具体地,为了使得系统中仅需具备一套文件数据即可实现根据用户的不同向其呈现具备不同安全等级的文件数据的目的,在本发明所述实施例中,所述处理器22可用于通过网络服务器或网络客户端等对文件系统中的各文件进行加密,以便在不改变系统中各文件的文件数据的情况下,实现数据的加密操作,提高文件数据加密的灵活性。
进一步地,所述处理器22还可用于在根据所述访问请求,确定所述用户为具备文件内容访问权限的用户,且将文件系统中的第二元数据集合呈现给所述用户之后,将文件系统中的各文件呈现给所述用户。
需要说明的是,当文件系统中的第二元数据集合或文件系统中的各文件为加密后的数据集合或文件时,所述处理器22具体可用于在将文件系统中的第二元数据集合或文件系统中的各文件呈现给所述用户之前,对加密后的数据集合或文件进行解密操作。
具体地,所述处理器22可用于通过设置于计算机或服务器内的客户端软件或位于网络侧的网络客户端、位于服务器侧的网络服务器等设备对文件系统中的各文件进行解密,以便在不改变系统中各文件的文件数据的情况下,实现数据的解密操作。
本发明实施例三提供了一种文件系统访问设备,针对包括由与文件内容无关的文件元数据组成的第一元数据集合、以及由与文件内容相关的文件元数据组成的第二元数据集合的文件系统,在接收到来自用户的文件系统访问请求,且根据所述访问请求,确定所述用户为系统管理员等具备系统专业管理权限且不具备文件内容访问权限的用户时,可将文件系统中的与文件内容无关的元数据集合呈现给所述用户,从而避免了现有技术中存在的文件信息在系统管理人员等非文件所有者面前毫无安全性的问题,提高了文件系统中的文件信息的安全性。
本领域技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种文件系统访问方法,其特征在于,包括:
接收用户发起的文件系统访问请求;
若根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户,则将文件系统中的第一元数据集合呈现给所述用户;
若根据所述访问请求,确定所述用户为具备文件内容访问权限的用户,则将文件系统中的第二元数据集合呈现给所述用户;
其中,所述第一元数据集合由系统中的各文件的第一文件元数据组成,针对任一第一文件元数据,所述任一第一文件元数据与系统中的所述任一第一文件元数据所对应的文件的内容无关;所述第二元数据集合由系统中的各文件的第二文件元数据组成,针对任一第二文件元数据,所述任一第二文件元数据与系统中的所述任一第二文件元数据所对应的文件的内容相关。
2.如权利要求1所述的文件系统访问方法,其特征在于,在根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户,且将文件系统中的第一元数据集合呈现给所述用户之后,所述方法还包括:
将文件系统中的各文件进行加密,并将加密后的各文件呈现给所述用户。
3.如权利要求2所述的文件系统访问方法,其特征在于,将文件系统中的各文件进行加密,包括:
通过网络服务器或网络客户端对文件系统中的各文件进行加密。
4.如权利要求1~3任一所述的文件系统访问方法,其特征在于,
针对系统中的任一文件,所述文件的第一文件元数据生成后不可更改,所述文件的第二文件元数据生成后可更改。
5.如权利要求1~3任一所述的文件系统访问方法,其特征在于,
所述文件系统中的第一元数据集合中的各第一文件元数据相互之间、以及第二元数据集合中的各第二文件元数据相互之间分别呈树形结构排列。
6.一种文件系统访问设备,其特征在于,包括:
请求接收模块,用于接收用户发起的文件系统访问请求;
元数据呈现模块,用于在根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户时,将文件系统中的第一元数据集合呈现给所述用户,以及,在根据所述访问请求,确定所述用户为具备文件内容访问权限的用户时,将文件系统中的第二元数据集合呈现给所述用户;
其中,所述第一元数据集合由系统中的各文件的第一文件元数据组成,针对任一第一文件元数据,所述任一第一文件元数据与系统中的所述任一第一文件元数据所对应的文件的内容无关;所述第二元数据集合由系统中的各文件的第二文件元数据组成,针对任一第二文件元数据,所述任一第二文件元数据与系统中的所述任一第二文件元数据所对应的文件的内容相关。
7.如权利要求6所述的文件系统访问设备,其特征在于,所述文件系统访问设备还包括文件加密模块以及文件呈现模块:
所述文件加密模块,用于在根据所述访问请求,确定所述用户为具备系统专业管理权限且不具备文件内容访问权限的用户,且将文件系统中的第一元数据集合呈现给所述用户之后,对文件系统中的各文件进行加密;
所述文件呈现模块,用于将所述文件加密模块加密后的各文件呈现给所述用户。
8.如权利要求7所述的文件系统访问设备,其特征在于,
所述文件加密模块,具体用于通过网络服务器或网络客户端对文件系统中的各文件进行加密。
9.如权利要求6~8任一所述的文件系统访问设备,其特征在于,
针对系统中的任一文件,所述文件的第一文件元数据生成后不可更改,所述文件的第二文件元数据生成后可更改。
10.如权利要求6~8任一所述的文件系统访问设备,其特征在于,
所述文件系统中的第一元数据集合中的各第一文件元数据相互之间、以及第二元数据集合中的各第二文件元数据相互之间分别呈树形结构排列。
CN201310440133.6A 2013-09-24 2013-09-24 一种文件系统访问方法及设备 Active CN103488755B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310440133.6A CN103488755B (zh) 2013-09-24 2013-09-24 一种文件系统访问方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310440133.6A CN103488755B (zh) 2013-09-24 2013-09-24 一种文件系统访问方法及设备

Publications (2)

Publication Number Publication Date
CN103488755A CN103488755A (zh) 2014-01-01
CN103488755B true CN103488755B (zh) 2017-06-09

Family

ID=49828981

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310440133.6A Active CN103488755B (zh) 2013-09-24 2013-09-24 一种文件系统访问方法及设备

Country Status (1)

Country Link
CN (1) CN103488755B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106411826B (zh) * 2015-08-03 2019-06-18 阿里巴巴集团控股有限公司 一种数据访问的方法及设备
CN106778325B (zh) * 2016-11-24 2019-06-11 杭州领点科技有限公司 一种信息保密系统及其操作方法
CN112511627B (zh) * 2018-01-25 2022-09-23 华为技术有限公司 迁移元数据的方法和装置
CN110619236A (zh) * 2019-08-15 2019-12-27 中国人民银行数字货币研究所 一种基于文件凭证信息的文件授权访问方法、装置及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101226573B (zh) * 2007-01-16 2011-01-12 北京书生国际信息技术有限公司 一种控制电子文档的访问权限的方法
US8166067B2 (en) * 2008-12-26 2012-04-24 Sandisk Il Ltd. Method and apparatus for providing access to files based on user identity
CN103268455B (zh) * 2013-05-09 2015-12-02 华为技术有限公司 数据的访问方法及装置

Also Published As

Publication number Publication date
CN103488755A (zh) 2014-01-01

Similar Documents

Publication Publication Date Title
CN106127075B (zh) 一种云存储环境下基于隐私保护的可搜索加密方法
US9245137B2 (en) Management of digital information
CN105357201B (zh) 一种对象云存储访问控制方法和系统
CN105450636B (zh) 一种云计算管理系统
CN101587479B (zh) 面向数据库管理系统内核的数据加解密系统及其方法
CN103763313B (zh) 一种文档保护方法和系统
CN107370604B (zh) 一种大数据环境下的多粒度访问控制方法
US20210297236A1 (en) Data processing permits system with keys
CN103488755B (zh) 一种文件系统访问方法及设备
CN102034036A (zh) 权限管理的方法及设备
CN113742764B (zh) 基于区块链的可信数据安全存储方法、检索方法及设备
JP6410932B2 (ja) 組み込み可能なクラウド分析
CN104992124A (zh) 一种用于云存储环境的文档安全存取方法
CN107040520A (zh) 一种云计算数据共享系统及方法
JP2009003549A (ja) データ管理装置およびデータ管理方法、データ管理プログラム、データ管理プログラム記憶媒体
CN106991314A (zh) 一种数据存储方法及装置
CN106250453A (zh) 基于云存储的数值型数据的密文检索方法及装置
CN107294766B (zh) 一种集中管控的方法及系统
CN103902919B (zh) 一种恢复登录信息的方法及装置
KR20140088962A (ko) 클라우드 환경에서의 데이터 저장 시스템 및 방법
Kusumawardhani et al. Security and Privacy of Cloud Storage as Personal Digital Archive Storage Media
CN106878293A (zh) 基于云存储平台的数据存储方法和装置
CN111682934A (zh) 一种综合能源计量数据的存储、访问、共享方法及系统
CN111199049A (zh) 文件权限管理方法及装置
CN114254373B (zh) 一种加密传输方法、装置和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant