CN103620616B - 一种访问控制权限管理方法和装置 - Google Patents

一种访问控制权限管理方法和装置 Download PDF

Info

Publication number
CN103620616B
CN103620616B CN201380000902.9A CN201380000902A CN103620616B CN 103620616 B CN103620616 B CN 103620616B CN 201380000902 A CN201380000902 A CN 201380000902A CN 103620616 B CN103620616 B CN 103620616B
Authority
CN
China
Prior art keywords
list item
authority
access control
authority list
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201380000902.9A
Other languages
English (en)
Other versions
CN103620616A (zh
Inventor
罗庆超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN103620616A publication Critical patent/CN103620616A/zh
Application granted granted Critical
Publication of CN103620616B publication Critical patent/CN103620616B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/14Details of searching files based on file metadata
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/182Distributed file systems
    • G06F16/1824Distributed file systems implemented using Network-attached Storage [NAS] architecture
    • G06F16/1827Management specifically adapted to NAS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Library & Information Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明的实施例公开一种访问控制权限管理方法和装置。涉及计算机领域,便于对大量的访问控制权限信息的管理,提升系统运行效率。一种对访问控制权限进行管理的方法:当接收到用户对目标文件的控制指令时,获取索引表中的索引表项;在获取的索引表项中获取目标权限表项索引号;根据目标权限表项索引号从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项;判断所述控制指令是否符合所述目标权限表项中记录的访问控制权限,当符合时,执行所述控制指令。本发明主要应用于计算机权限管理中。

Description

一种访问控制权限管理方法和装置
技术领域
本发明涉及计算机领域,特别涉及一种访问控制权限管理方法和装置。
背景技术
在网络存储技术(NAS,NetworkStorageTechnologies)等基于文件的存储技术中,存储数据是指存储在NAS中的数据,存储数据的一种权限管理方式是,在存储数据的元数据中记录存储数据的访问权限。
元数据是用来记录存储数据属性的数据,比如数据所占存储空间、数据名称等。使用该方式记录存储数据访问权限的具体实现方法是,单独创建权限文件,将管理员对该存储数据设置的管理权限记录在单独创建的权限文件中,然后在元数据中记录该权限文件的地址,通过该地址可以访问该权限文件。这样,设置有相同访问权限的存储数据的元数据就可以对应同一个访问权限文件。但更改存储数据的访问权限时,需要重新开辟存储空间,创建新的权限文件,以及在元数据中记录新权限文件的地址。
现有技术中至少存在以下技术问题:创建的权限文件的数量较大,不利于对权限文件的管理;并且,由于更改存储数据的访问权限时需要重新开辟存储空间并创建新的权限文件,大量权限文件的增加会导致对权限文件的管理难度进一步提升,甚至影响系统的运行速度。
发明内容
本发明的实施例提供一种访问控制权限管理方法和装置,便于对大量的访问控制权限信息的管理,提升系统运行效率。
为达到上述目的,本发明实施例采用如下技术方案:
一方面,提供一种对访问控制权限进行管理的方法,在存储器中存储有索引表和权限表,所述索引表中每一条索引表项记录有至少一个权限表项索引号,同一条索引表项中不同的权限表项索引号映射到所述权限表中不同的权限表项,其中,每个文件的元数据中包含有表项标识,所述表项标识指向与所述文件对应的索引表项;
每条权限表项中记录有权限表项索引号、权限表项对应的文件的访问控制权限、以及具有所述访问控制权限的用户标识,且同一条索引表项中不同的权限表项索引号映射的不同权限表项中记录有同一文件的访问控制权限,
所述方法包括:
接收用户标识、目标文件标识以及用户对目标文件的控制指令;
获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项;
在所述获取的索引表项中获取目标权限表项索引号;所述目标权限表项索引号指向的权限表项中记录有所述目标文件的访问控制权限;
根据所述目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项;
判断所述控制指令是否符合所述目标权限表项中记录的访问控制权限,当符合时,执行所述控制指令。
结合第一方面,在在第一方面的第一种可能的实现方式中,当所述控制指令不符合所述目标权限表项中记录的访问控制权限时,终止所述控制指令。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述控制指令包括:读指令、写指令和运行指令。
结合第一方面的第一种可能的实现方式,在第一方面的第三种可能的实现方式中,所述方法还包括:接收所述用户对所述目标文件的访问控制权限修改指令;
获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从所述存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项;
在所述获取的索引表项中获取所述目标权限表项索引号;
根据所述目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项;
根据所述访问控制权限修改指令,对所述目标权限表项记录的目标文件的访问控制权限进行修改。
结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,对所述目标权限表项记录的目标文件的访问控制权限进行修改,具体包括:
删除所述用户对所述目标文件的访问控制权限;或
添加所述用户对所述目标文件的访问控制权限;
所述访问控制权限包括:只读权限、只写权限、读写权限和运行权限。
结合第一方面的第三种可能的实现方式或第一方面的第四可能的实现方式中,在第一方面的第五种可能的实现方式中,所述存储器存在于网络附属存储NAS设备或文件共享服务器上,并且所述用户通过第一操作系统发送所述访问控制权限修改指令,其中,所述第一操作系统对应的索引表和权限表分别为第一索引表和第一权限表,所述第一索引表中每一条第一索引表项记录有至少一个第一权限表项索引号,其中每个所述文件的元数据中包含第一表项标识,所述第一表项标识在所述第一操作系统中指向与文件对应的第一索引表项,同一条第一索引表项中不同的第一权限表项索引号映射到所述第一权限表中不同的第一权限表项;并且,每条第一权限表项中记录有第一权限表项索引号、第一权限表项对应的文件的第一访问控制权限、以及具有所述第一访问控制权限的用户标识,且同一条第一索引表项中不同的第一权限表项索引号映射的不同第一权限表项中记录有同一文件的第一访问控制权限,
所述获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项,具体包括:
根据所述第一操作系统的类型,获取与所述第一操作系统的类型匹配的第一索引表,并获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的第一表项标识,进而从所述第一索引表中获取所述元数据中的第一表项标识指向的第一索引表项;
所述在所述获取的索引表项中获取所述目标权限表项索引号,具体包括:
在所述第一索引表项中获取第一目标权限表项索引号;所述第一目标权限表项索引号指向的第一权限表项中记录有所述目标文件的第一访问控制权限;
所述根据所述目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项,具体包括:
根据所述第一目标权限表项索引号,从第一权限表中获取记录有所述目标文件的第一访问控制权限的第一权限表项,从获取的第一权限表项中选择记录有所述用户标识的第一目标权限表项;
所述根据所述访问控制权限修改指令,对所述目标权限表项记录的目标文件的访问控制权限进行修改,具体包括:
根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改。
结合第一方面的第五种可能的实现方式,在第一方面的第六种可能的实现方式中,当用户通过所述第一操作系统和第二操作系统这两个操作系统对所述文件进行访问时,其特征在于,所述第二操作系统对应的索引表和权限表分别为第二索引表和第二权限表,所述第二索引表中每一条第二索引表项记录有至少一个第二权限表项索引号,其中每个所述文件的元数据中包含第二表项标识,所述第二表项标识在所述第二操作系统中指向与所述文件对应的第二索引表项,同一条第二索引表项中不同的第二权限表项索引号映射到所述第二权限表中不同的第二权限表项;并且,每条第二权限表项中记录有第二权限表项索引号、第二权限表项对应的文件的第二访问控制权限、以及具有所述第二访问控制权限的用户第二标识,且同一条第二索引表项中不同的第二权限表项索引号映射的不同第二权限表项中记录有同一文件的第二访问控制权限,
所述根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改之后,还包括:
获取与第二操作系统的类型匹配的第二索引表,获得所述目标文件的元数据中的第二表项标识,进而从所述第二索引表中获取所述元数据中的第二表项标识指向的第二索引表项;
从预设的用户标识转换表中,获取与所述用户标识对应的第二操作系统的所述用户第二标识;所述用户标识转换表中记录有同一个用户在不同类型操作系统下的不同的用户标识;
在所述第二索引表项中获取第二目标权限表项索引号;所述第二目标权限表项索引号指向的第二权限表项中记录有所述目标文件的第二访问控制权限;
根据所述第二目标权限表项索引号,从第二权限表中获取记录有所述目标文件的第二访问控制权限的第二权限表项,从获取的第二权限表项中选择记录有所述用户第二标识的第二目标权限表项;
根据所述访问控制权限修改指令,对所述第二目标权限表项记录的目标文件的第二访问控制权限进行修改,以使得修改后的所述第二访问控制权限与修改后的所述第一访问控制权限相同。
结合第一方面,在第一方面的第七种可能的实现方式中,在计算机中新增子文件时,所述子文件继承其父文件具有的父文件表项标识,所述父文件表项标识指向父文件索引表项,以便所述子文件继承所述父文件的访问控制权限,
所述方法还包括:
接收计算机管理员发出的针对所述子文件的新用户权限添加指令以及新用户标识;所述新用户权限添加指令中包含所述新用户对所述子文件的访问控制权限;
当接收到所述新用户权限添加指令时,在所述权限表中,添加新增权限表项,所述新增权限表项中包括:新增权限表项索引号,所述新用户对所述子文件的访问控制权限,以及所述新用户标识;
根据所述父文件表项标识,获取所述父文件索引表项;
在所述索引表建立新增索引表项,在所述新增索引表项中记录入新增表项标识、所述新增权限表项索引号以及所述父文件索引表项中记录的全部权限表项索引号;
将所述新增表项标识更新入所述子文件和所述父文件的元数据中,以便根据所述新增表项标识找到所述新增索引表项。
第二方面,提供一种访问控制权限管理装置,在存储器中存储有索引表和权限表,所述索引表中每一条索引表项记录有至少一个权限表项索引号,同一条索引表项中不同的权限表项索引号映射到所述权限表中不同的权限表项,其中,每个文件的元数据中包含有表项标识,所述表项标识指向与所述文件对应的索引表项;
每条权限表项中记录有权限表项索引号、权限表项对应的文件的访问控制权限、以及具有所述访问控制权限的用户标识,且同一条索引表项中不同的权限表项索引号映射的不同权限表项中记录有同一文件的访问控制权限,
所述装置包括:
接收单元,用于接收用户标识、目标文件标识以及用户对目标文件的控制指令;
索引表项获取单元,用于获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项;
权限表项索引号获取单元,用于在所述索引表项获取单元获取的索引表项中获取目标权限表项索引号;所述目标权限表项索引号指向的权限表项中记录有所述目标文件的访问控制权限;
权限表项获取单元,用于根据所述权限表项索引号获取单元获取的目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项;
判断单元,用于判断所述控制指令是否符合所述权限表项获取单元获取的目标权限表项中记录的访问控制权限;
执行单元,用于当所述判断单元判断所述控制指令符合所述目标权限表项中记录的访问控制权限时,执行所述控制指令。
结合第二方面,在第一方面的第一种可能的实现方式中,所述执行单元还用于当所述控制指令不符合所述目标权限表项中记录的访问控制权限时,终止所述控制指令。
结合第二方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述控制指令包括:读指令、写指令和运行指令。
结合第二方面的第一种可能的实现方式,在第二方面的第三种可能的实现方式中,所述接收单元还用于,接收所述用户对所述目标文件的访问控制权限修改指令;
所述装置还包括:
控制权限修改单元,用于根据所述访问控制权限修改指令,对所述目标权限表项记录的目标文件的访问控制权限进行修改。
结合第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,所述控制权限修改单元,具体用于:
删除所述用户对所述目标文件的访问控制权限;或
添加所述用户对所述目标文件的访问控制权限;
所述访问控制权限包括:只读权限、只写权限、读写权限和运行权限。
结合第二方面的第三种可能的实现方式或第二方面的第四种可能的实现方式,在第二方面的第五种可能的实现方式中,所述存储器存在于网络附属存储NAS设备或文件共享服务器上,并且所述用户通过第一操作系统发送所述访问控制权限修改指令,其中,所述第一操作系统对应的索引表和权限表分别为第一索引表和第一权限表,所述第一索引表中每一条第一索引表项记录有至少一个第一权限表项索引号,其中每个所述文件的元数据中包含第一表项标识,所述第一表项标识在所述第一操作系统中指向与文件对应的第一索引表项,同一条第一索引表项中不同的第一权限表项索引号映射到所述第一权限表中不同的第一权限表项;并且,每条第一权限表项中记录有第一权限表项索引号、第一权限表项对应的文件的第一访问控制权限、以及具有所述第一访问控制权限的用户标识,且同一条第一索引表项中不同的第一权限表项索引号映射的不同第一权限表项中记录有同一文件的第一访问控制权限,
所述索引表项获取单元,具体用于根据所述第一操作系统的类型,获取与所述第一操作系统的类型匹配的第一索引表,并获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的第一表项标识,进而从所述第一索引表中获取所述元数据中的第一表项标识指向的第一索引表项;
所述权限表项索引号获取单元,具体用于在所述第一索引表项中获取第一目标权限表项索引号;所述第一目标权限表项索引号指向的第一权限表项中记录有所述目标文件的第一访问控制权限;
所述权限表项获取单元,具体用于根据所述第一目标权限表项索引号,从第一权限表中获取记录有所述目标文件的第一访问控制权限的第一权限表项,从获取的第一权限表项中选择记录有所述用户标识的第一目标权限表项;
所述控制权限修改单元,具体用于根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改。
结合第二方面的第五种可能的实现方式,在第二方面的第六种可能的实现方式中,当用户通过所述第一操作系统和第二操作系统这两个操作系统对所述文件进行访问时,所述第二操作系统对应的索引表和权限表分别为第二索引表和第二权限表,所述第二索引表中每一条第二索引表项记录有至少一个第二权限表项索引号,其中每个所述文件的元数据中包含第二表项标识,所述第二表项标识在所述第二操作系统中指向与所述文件对应的第二索引表项,同一条第二索引表项中不同的第二权限表项索引号映射到所述第二权限表中不同的第二权限表项;并且,每条第二权限表项中记录有第二权限表项索引号、第二权限表项对应的文件的第二访问控制权限、以及具有所述第二访问控制权限的用户第二标识,且同一条第二索引表项中不同的第二权限表项索引号映射的不同第二权限表项中记录有同一文件的第二访问控制权限,
所述装置还包括:
第二索引表项获取单元,用于所述控制权限修改单元根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改之后,获取与第二操作系统的类型匹配的第二索引表,获得所述目标文件的元数据中的第二表项标识,进而从所述第二索引表中获取所述元数据中的第二表项标识指向的第二索引表项;
第二标识获取单元,用于从预设的用户标识转换表中,获取与所述用户标识对应的第二操作系统的所述用户第二标识;所述用户标识转换表中记录有同一个用户在不同类型操作系统下的不同的用户标识;
第二权限表项索引号获取单元,用于在所述第二索引表项中获取第二目标权限表项索引号;所述第二目标权限表项索引号指向的第二权限表项中记录有所述目标文件的第二访问控制权限;
第二权限表项获取单元,用于根据所述第二目标权限表项索引号,从第二权限表中获取记录有所述目标文件的第二访问控制权限的第二权限表项,从获取的第二权限表项中选择记录有所述用户第二标识的第二目标权限表项;
第二控制权限修改单元,用于根据所述访问控制权限修改指令,对所述第二目标权限表项记录的目标文件的第二访问控制权限进行修改,以使得修改后的所述第二访问控制权限与修改后的所述第一访问控制权限相同。
结合第二方面,在第二方面的第七种可能的实现方式中,在计算机中新增子文件时,所述子文件继承其父文件具有的父文件表项标识,所述父文件表项标识指向父文件索引表项,以便所述子文件继承所述父文件的访问控制权限,
所述接收单元还用于接收计算机管理员发出的针对所述子文件的新用户权限添加指令以及新用户标识;所述新用户权限添加指令中包含所述新用户对所述子文件的访问控制权限;
所述装置还包括:
权限表项添加单元,用于当接收到所述新用户权限添加指令时,在所述权限表中,添加新增权限表项,所述新增权限表项中包括:新增权限表项索引号,所述新用户对所述子文件的访问控制权限,以及所述新用户标识;
所述索引表项获取单元,还用于根据所述父文件表项标识,获取所述父文件索引表项;
所述装置还包括索引表项添加单元,用于在所述索引表建立新增索引表项,在所述新增索引表项中记录入新增表项标识、所述新增权限表项索引号以及所述父文件索引表项中记录的全部权限表项索引号;
元数据更新单元,用于将所述新增表项标识更新入所述子文件和所述父文件的元数据中,以便根据所述新增表项标识找到所述新增索引表项。
第三方面,提供一种访问控制权限管理设备,包括:
通信端口,用于接收用户标识、目标文件标识以及用户对目标文件的控制指令;
存储器,用于存储索引表,权限表及处理器执行操作时所需的代码;所述索引表中每一条索引表项记录有至少一个权限表项索引号,同一条索引表项中不同的权限表项索引号映射到所述权限表中不同的权限表项,其中,每个文件的元数据中包含有表项标识,所述表项标识指向与所述文件对应的索引表项;
每条权限表项中记录有权限表项索引号、权限表项对应的文件的访问控制权限、以及具有所述访问控制权限的用户标识,且同一条索引表项中不同的权限表项索引号映射的不同权限表项中记录有同一文件的访问控制权限;
处理器,用于获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项;
所述处理器还用于在所述获取的索引表项中获取目标权限表项索引号;所述目标权限表项索引号指向的权限表项中记录有所述目标文件的访问控制权限;根据所述目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项;判断所述控制指令是否符合所述目标权限表项中记录的访问控制权限,当符合时,执行所述控制指令。
结合第三方面,在第三方面的第一种可能的实现方式,所述处理器还用于当所述控制指令不符合所述目标权限表项中记录的访问控制权限时,终止所述控制指令。
结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式,所述控制指令包括:读指令、写指令和运行指令。
结合第三方面的第一种可能的实现方式,在第三方面的第三种可能的实现方式,所述通信端口还用于接收所述用户对所述目标文件的访问控制权限修改指令;
所述处理器还用于:
当所述通信端口接收到所述访问控制权限修改指令时,获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从所述存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项;
在所述获取的索引表项中获取所述目标权限表项索引号;
根据所述目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项;
根据所述访问控制权限修改指令,对所述目标权限表项记录的目标文件的访问控制权限进行修改。
结合第三方面的第三种可能的实现方式,在第三方面的第四种可能的实现方式中,所述处理器对对所述目标权限表项记录的目标文件的访问控制权限进行修改,具体包括:
删除所述用户对所述目标文件的访问控制权限;或
添加所述用户对所述目标文件的访问控制权限;
所述访问控制权限包括:只读权限、只写权限、读写权限和运行权限。
结合第三方面的第三种可能的实现方式或第三方面的第四种可能的实现方式,在第三方面的第五种可能的实现方式中,所述存储器存在于网络附属存储NAS设备或文件共享服务器上,并且所述用户通过第一操作系统发送所述访问控制权限修改指令,其中,所述第一操作系统对应的索引表和权限表分别为第一索引表和第一权限表,所述第一索引表中每一条第一索引表项记录有至少一个第一权限表项索引号,其中每个所述文件的元数据中包含第一表项标识,所述第一表项标识在所述第一操作系统中指向与文件对应的第一索引表项,同一条第一索引表项中不同的第一权限表项索引号映射到所述第一权限表中不同的第一权限表项;并且,每条第一权限表项中记录有第一权限表项索引号、第一权限表项对应的文件的第一访问控制权限、以及具有所述第一访问控制权限的用户标识,且同一条第一索引表项中不同的第一权限表项索引号映射的不同第一权限表项中记录有同一文件的第一访问控制权限,
所述处理器还用于根据所述第一操作系统的类型,获取与所述第一操作系统的类型匹配的第一索引表,并获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的第一表项标识,进而从所述第一索引表中获取所述元数据中的第一表项标识指向的第一索引表项;
所述处理器还用于在所述第一索引表项中获取第一目标权限表项索引号;所述第一目标权限表项索引号指向的第一权限表项中记录有所述目标文件的第一访问控制权限;
所述处理器还用于根据所述第一目标权限表项索引号,从第一权限表中获取记录有所述目标文件的第一访问控制权限的第一权限表项,从获取的第一权限表项中选择记录有所述用户标识的第一目标权限表项;
所述处理器还用于根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改。
结合第三方面的第五种可能的实现方式,在第三方面的第六种可能的实现方式中,当用户通过所述第一操作系统和第二操作系统这两个操作系统对所述文件进行访问时,所述第二操作系统对应的索引表和权限表分别为第二索引表和第二权限表,所述第二索引表中每一条第二索引表项记录有至少一个第二权限表项索引号,其中每个所述文件的元数据中包含第二表项标识,所述第二表项标识在所述第二操作系统中指向与所述文件对应的第二索引表项,同一条第二索引表项中不同的第二权限表项索引号映射到所述第二权限表中不同的第二权限表项;并且,每条第二权限表项中记录有第二权限表项索引号、第二权限表项对应的文件的第二访问控制权限、以及具有所述第二访问控制权限的用户第二标识,且同一条第二索引表项中不同的第二权限表项索引号映射的不同第二权限表项中记录有同一文件的第二访问控制权限,
所述处理器在根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改之后,还用于获取与第二操作系统的类型匹配的第二索引表,获得所述目标文件的元数据中的第二表项标识,进而从所述第二索引表中获取所述元数据中的第二表项标识指向的第二索引表项;
所述处理器还用于从预设的用户标识转换表中,获取与所述用户标识对应的第二操作系统的所述用户第二标识;所述用户标识转换表中记录有同一个用户在不同类型操作系统下的不同的用户标识;
所述处理器还用于在所述第二索引表项中获取第二目标权限表项索引号;所述第二目标权限表项索引号指向的第二权限表项中记录有所述目标文件的第二访问控制权限;
所述处理器还用于根据所述第二目标权限表项索引号,从第二权限表中获取记录有所述目标文件的第二访问控制权限的第二权限表项,从获取的第二权限表项中选择记录有所述用户第二标识的第二目标权限表项;
所述处理器还用于根据所述访问控制权限修改指令,对所述第二目标权限表项记录的目标文件的第二访问控制权限进行修改,以使得修改后的所述第二访问控制权限与修改后的所述第一访问控制权限相同。
结合第三方面,在第三方面的第七种可能的实现方式中,在计算机中新增子文件时,所述子文件继承其父文件具有的父文件表项标识,所述父文件表项标识指向父文件索引表项,以便所述子文件继承所述父文件的访问控制权限,
所述通信端口还用于接收计算机管理员发出的针对所述子文件的新用户权限添加指令以及新用户标识;所述新用户权限添加指令中包含所述新用户对所述子文件的访问控制权限;
所述处理器还用于当通信端口接收到所述新用户权限添加指令时,在所述权限表中,添加新增权限表项,所述新增权限表项中包括:新增权限表项索引号,所述新用户对所述子文件的访问控制权限,以及所述新用户标识;
所述处理器还用于根据所述父文件表项标识,获取所述父文件索引表项;
所述处理器还用于在所述索引表建立新增索引表项,在所述新增索引表项中记录入新增表项标识、所述新增权限表项索引号以及所述父文件索引表项中记录的全部权限表项索引号;
所述处理器还用于将所述新增表项标识更新入所述子文件和所述父文件的元数据中,以便根据所述新增表项标识找到所述新增索引表项。
本发明的实施例提供一种访问控制权限管理方法和装置,首先计算机接收用户标识、目标文件标识以及用户对目标文件的控制指令,然后从存储器中获取所述索引表中与所述目标文件标识对应的表项标识指向的索引表项;之后,在目标文件标识对应的表项标识指向的索引表项中获取目标权限表项索引号并根据所述目标权限表项索引号,从权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项,当判断所述控制指令符合所述目标权限表项中记录的访问控制权限时,执行所述控制指令。通过上述方案,采用索引表和权限表对访问控制权限的信息进行管理,减少管理存储器内的访问控制权限信息的复杂度,提高系统运行速率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在这些附图的基础上,还可以根据这些附图获得其他的附图。
图1a为本发明实施例1中一种访问控制权限管理方法的流程图;
图1b为本发明实施例2中一种访问控制权限管理方法的流程图;
图2为本发明实施例2中一种访问控制权限管理方法的流程图;
图3为本发明实施例2中一种访问控制权限管理方法的流程图;
图4为本发明实施例2中一种访问控制权限管理方法的流程图;
图5为本发明实施例3中一种访问控制权限管理装置的框图;
图6为本发明实施例3中一种访问控制权限管理装置的框图;
图7为本发明实施例3中一种访问控制权限管理装置的框图;
图8为本发明实施例3中一种访问控制权限管理装置的框图;
图9为本发明实施例3中一种访问控制权限管理设备的示意图;
图10为本发明实施例1中对索引表和权限表进行说明的内部结构示意图;
图11为本发明实施例2中修改访问控制权限的示意图;
图12为本发明实施例2中用户标识转换表的示意图;
图13为本发明实施例2中针对第一操作系统和第二操作系统进行访问控制权限修改的结构示意图;
图14为本发明实施例2中针对父文件和子文件进行访问控制权限修改的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
在用户与计算机的人机交互过程中,用户向计算机输入指令,这些指令指示计算机的操作系统执行相应的动作。比如,如果用户输入数据读取指令,则操作系统从存储器中读出数据并返回给用户;如果用户输入数据写入指令,则操作系统在存储器中进行数据写入并保存,写入的位置可以是计算机缺省设置或由用户指定。以下本发明实施例描述的对访问控制权限进行管理的方法,应用在计算机设备中。这里所指的计算机设备应包含用户接口和处理器,可选的还可以集成存储器,这样用户接口、处理器核存储器通过总线能够进行连接通信;当然,实际应用中存储器可以设置为与计算机设备在物理上相互独立的设备。
实施例1:
本发明的一个实施例提供一种访问控制权限管理方法,为实现该方法,在计算机系统的存储器中,存储有索引表和权限表,这个存储器可以和存储文件的存储器是同一个存储器,也可以不是同一个存储器。
索引表由多条索引表项组成,每一条索引表项记录有表项标识、至少一个权限表项索引号。每一个权限表项索引号映射权限表中的一个权限表项。由于映射关系是一一对应的,因此通过一个权限表项索引号就可以读取到对应相应的权限表项。
其中,对于计算机中每个新生成的文件,文件的元数据中缺省的生成上述表项标识,所述表项标识指向与文件对应的索引表项。比如说,文件A的元数据中有一个表项标识a,在权限表项中的一个索引表项B中记录有表项标识b,当表项标识a和表项标识b相同时,与文件A对应的索引表项为索引表项B。可见,上述“表项标识指向与文件对应的索引表项”是指:表项标识a指向了与文件A具有相同的表项标识的索引表项B。
也就是说,文件的元数据中有表项标识,权限表的各个权限表项中也有表项标识,因此通过文件元数据中的表项标识,可以找到具有相同表项标识的权限表项,从而形成元数据中的表项标识和权限表项的对应关系,因为元数据和文件是唯一对应的,所以这个权限表项就是这个元数据所代表的文件的权限表项。这种对应关系可以表示为:文件--文件元数据--文件元数据中的表项标识--索引表项中的表项标识--索引表项,在这5个元素中的任意两者之间都存在一一对应的关系。
需要特别说明的是,在本实施例及其他实施例中,文件的元数据中有表项索引,这个表项索引指向索引表中的索引表项,并且被指向的索引表项中记录有这个文件的权限表项索引号。表项索引指向索引表项的方式可以有多种,例如可以指向记录有相同表项索引的索引表项,也可以通过地址、指针等方式指向表项。
另外,当同一条索引表项中有不止一个权限表项索引号时,不同的权限表项索引号映射到所述权限表中不同的权限表项。
并且,在权限表中,每条权限表项中记录有权限表项索引号、权限表项对应的文件的访问控制权限、以及具有所述访问控制权限的用户标识,且同一条索引表项中不同的权限表项索引号映射的不同权限表项中记录有同一文件的访问控制权限。
具体方法如图1a所示,该方法包括如下步骤:
101a、接收用户标识、目标文件标识以及用户对目标文件的控制指令。
本发明实施例提出的访问控制权限管理方法用于计算机设备中。一种情况下,该计算机设备可以集成存储器(如硬盘);另一种情况下,该计算机设备与独立的存储器互联。无论以上哪种情况,在整个计算机系统投入运行之前,都需要预先在存储器中构建索引表和权限表。
当计算机收到用户对目标文件的控制指令时,可以通过对索引表以及权限表的访问,查找到目标文件的访问控制权限,进而确定是否允许执行用户的控制指令。
具体的,参照图10进行说明。1001为目标文件,当文件1001在计算机中建立时,同时会生成的元数据1002,元数据中可以具体包括文件的建立时间、文件的物理存储位置等信息。在本发明实施例中,该元数据1002中缺省的生成了一个具体数据a1,a1作为表项标识指向索引表项1004。
另外,图10中的1003为索引表,1005为权限表。计算机的每个文件在所述索引表中对应唯一的一条索引表项,每一条索引表项包含表项标识,以及权限表项索引号。参考图10中的索引表项1004,该索引表项中以元数据1002中生成的数据a1作为表项标识。由于a1既在文件的元数据1002中有记录,又是表项标识,因此可以建立文件1001与索引表项1004的映射关系。b11和b12为权限表项索引号。由于b11和b12位于同一个索引表项1004中,而索引表项1004的表项标识是元数据1002提供的,因此b11和b12指向了同一个元数据1002,也指向同一个文件1001。另外,在权限表1005中,权限表项1006的索引号为b11,权限表项1007的索引号为b12,并且在权限表项中规定了读写权限。
通过以上描述可知,在确定目标文件的情况下,可以通过索引表和权限表,逐级找到目标文件的读写权限。例如A用户对目标文件1001的权限是只读,B用户对目标文件1001的权限是读写。
102a、获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项。
在步骤102a中,首先根据目标文件标识可以确定目标文件,进而获得目标文件的元数据中的表项标识,之后可以从索引表中获取表项标识所指向的索引表项。
结合本发明实施例的上述步骤101a,当计算机接收到用户对目标文件的控制指令时,计算机同时接收了用户标识和目标文件标识这两个信息,首先计算机根据目标文件标识确定目标文件,进而获得目标文件的元数据,获取元数据中的表项标识,之后可以从索引表中获取表项标识所指向的索引表项。
存储器可以存在于网络附属存储NAS设备或文件共享服务器。
103a、在获取的索引表项中获取权限表项索引号,也就是获取目标权限表项索引号。
104a、根据目标权限表项索引号,从权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录用户标识的目标权限表项。
对步骤104进行具体解释:首先根据目标权限表项索引号,从权限表中获取权限表项,这个权限表项记录有目标文件的访问控制权限。然后从获取的权限表项中选择记录有步骤101a中用户标识的权限表项,作为目标权限表项。
参考图10,根据索引表项1004中的b11和b12,查找到权限表1005中的权限表项1006和1007。权限表项1006中记录的用户“A”,具有“只读”权限,权限表项1007中记录的用户“B”,具有“读写”权限,根据步骤101a中接收的用户标识,可选出与101a中接收到用户标识匹配的目标权限表项。
由于实际场景中,每个用户可以对不同文件具有不同的读写权限,因此通过索引表1003,可以筛选出不同用户针对同一个文件的权限表项。如图10,索引表1003中还有索引表项1009,其表项标识为a4,a4是另一个文件1010的元数据1011中生成的。通过权限表项索引号b31可知,用户“A”对文件1010的读写权限记录在权限表项1008中。当用户“A”希望对文件1001进行权限修改时,通过权限表项1003的筛选,计算机会找到权限表项1006,而非1008。
105a、判断控制指令是否符合目标权限表项中记录的访问控制权限,当符合时,执行控制指令。
例如当控制指令是读指令时,当访问控制权限包含了读权限时,允许执行控制指令,否则不允许。包含了读权限的访问控制权限包括:只读、读写。
从具体控制动作上来看,控制指令包括但不限于:读指令、写指令和运行指令。
权限表项中可以存储的访问控制权限为:只写、读与写以及管理员设置的其它权限。当权限表项中存储的访问控制权限为只读时,则计算机的操作系统——在控制指令符合要求的情况下,能对目标文件进行读操作。
例1,举例说明步骤101a至105a。如图10所示,1001为目标文件。1002为目标文件的元数据,1001建立时,元数据1002也被建立,并且在1002中缺省的生成了a1,a1作为表项标识被记录入索引表项1004。
当计算机接收了一条控制指令(并接收了发出该控制指令的用户的用户标识B以及目标文件标识)时,首先根据目标文件标识确定该目标文件的元数据,并从元数据中获得表项标识a1。然后将a1与索引表1003中的各索引表项的表项标识进行匹配,查找到表项标识为a1的索引表项1004,获取到该索引表项1004中的权限表项索引号b11,b12。根据权限表项索引号b11,b12在权限表1005中确定与b11,b12对应的权限表项1006和权限表项1007。由于用户标识为B,所以确定,不包含用户标识B的权限表项1006不是目标文件1001对应的权限表项,包含用户标识B的1007是目标文件1001对应的权限表项。获取权限表项1007中的访问控制权限为读写,故控制指令能够对目标文件1001执行读写操作,也就是说用户B对目标文件有读写权限,携带有用户标识B的读请求或者写请求都可以被执行。
在实际应用中,存储器中的目标文件会被不同操作系统发出的控制指令访问,由于同一个用户在不同的操作系统有不同的用户标识,因此为了能够控制目标文件的访问控制权限,不同的操作系统需要有各自对应的索引表和权限表。当系统接收到控制指令时,首先获取发出该控制指令的操作系统的类型,然后找到该操作系统对应的索引表和权限表,最后获取控制指令对应的访问控制权限。本发明实施例中的操作系统包括但不限于Windows操作系统,Linux操作系统和Unix操作系统。
本发明的实施例提供一种访问控制权限管理方法,首先计算机接收用户标识、目标文件标识以及用户对目标文件的控制指令,获取具有目标文件标识的目标文件,获得目标文件的元数据中的表项标识,并进而从索引表中获取表项标识指向的索引表项;之后,在获取到的索引表项中获取目标权限表项索引号并根据所述目标权限表项索引号,从权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项,当判断所述控制指令符合所述目标权限表项中记录的访问控制权限时,执行所述控制指令。通过上述方案,采用索引表和权限表对访问控制权限的信息进行管理,在存储器中存在大量的访问控制权限信息的情况下,减少管理存储器内的访问控制权限信息的复杂度,提高系统运行速率。
实施例2:
本发明的一个实施例提供一种对访问控制权限进行管理的方法,如图1b所示,该方法包括如下步骤:
101b、计算机接收用户标识、目标文件标识以及用户对目标文件的控制指令。
102b、获取具有目标文件标识的目标文件,获得目标文件的元数据中的表项标识,并进而从存储器的索引表中获取元数据中的表项标识指向的索引表项。
103b、在获取的索引表项中获取目标权限表项索引号。
104b、根据目标权限表项索引号,从权限表中获取记录有目标文件的访问控制权限的权限表项。
105b、从获取的权限表项中选择记录所述用户标识的目标权限表项。
106b、判断控制指令是否符合目标权限表项中记录的访问控制权限。
从具体控制动作上来看,控制指令包括但不限于:读指令、写指令和运行指令。此时判断控制指令与目标权限表项纪录的访问控制权限适合符合,如果符合,执行步骤107b,否则执行步骤108b。
107b、当所述控制指令符合所述目标权限表项中记录的访问控制权限时,执行控制指令。
举例来说,如果用户A针对文件A发出的控制指令为读指令,而目标权限表项记录的用户A对文件A的访问控制权限为读权限时,由于控制指令要求的访问控制权限与目标权限表项记录的访问控制权限一致,则允许用户A读取A文件;另一种情况,如果用户A针对文件A发出的控制指令为读指令,而目标权限表项纪录的用户A对文件A的访问控制权限为读写权限时,读写权限包含了读权限,此时同样允许用户A读取A文件。
108b、当所述控制指令不符合所述目标权限表项中记录的访问控制权限时,终止所述控制指令。步骤107b和108b只执行一个,不会一起执行。
进一步,如图2所示,本发明实施例中,在计算机接收用户标识、目标文件标识以及用户对目标文件的控制指令后,还包括以下步骤:
201、接收用户对目标文件的访问控制权限修改指令。
访问控制权限修改指令指示对目标文件的访问控制权限进行更改。
202、当接收到访问控制权限修改指令后,从存储器的索引表中获取元数据中的表项标识指向的索引表项。
计算机通过目标文件标识可以访问到目标文件,进而找到目标文件的元数据,并根据元数据中存储的表项标识在索引表中获取表项标识指向的索引表项。
203、在表项标识指向的索引表项中获取所述目标权限表项索引号。
204、根据所述目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项。
下面对上述步骤做简要说明。参考图10,假设访问控制权限修改指令针对的目标文件为文件1001,并且针对的用户为用户“A”,当根据表项标识a1找到索引表项1004时,可知该索引表项中记录有权限表项索引号b11和索引号b12,由此可知权限表1005中b11和b12对应权限表项1006和权限表项1007,又由于已经获知用户标识为“A”,因此计算机可以确定权限表项1006为访问控制权限修改指令需要修改的权限表项。
205、根据访问控制权限修改指令,对目标权限表项记录的目标文件的访问控制权限进行修改。
步骤205中所述的修改,可以是将只读的访问控制权限修改成只写的访问控制权限,也可是删除所述用户对所述目标文件的访问控制权限,或者添加所述用户对所述目标文件的访问控制权限。所述访问控制权限包括:只读权限、只写权限、读写权限和运行权限,还可以是管理员设置的其他权限,本发明实施例在此不做赘述。
修改访问控制权限的具体方式可以是直接在目标权限表项中对访问控制权限进行修改,也可以通过下面的方式进行修改。
确定了目标权限表项后,删除该目标权限表项;然后添加一条权限表项,新增的权限表项的访问控制权限设置为访问控制权限修改指令指示的访问控制权限,这样便将原访问控制权限修改成新的访问控制权限;最后将具有新的访问控制权限的用户标识和新的权限表项索引号存储于新的权限表项中,在索引表中,将目标文件对应的索引表项中的权限表项索引号修改成新的权限表项索引号。例如,如图11所示,访问控制权限修改指令指示将用户标识为A的用户对目标文件201a的访问控制权限由只读权限修改为读写权限。首先,由元数据202a中记录的表项标识a1,查找到索引表203a中的索引表项204a;然后在权限表205a中查找到记录有b11和b12的权限表项;之后,将用户A对应的权限表项206a删除,在权限表205a中新增权限表项207a,并将权限表项的访问控制权限设置为读写权限,用户标识设置为A,权限表项索引号设置为b22。最后,在索引表203a中将索引表项204a中的权限表项索引号由原来的b11修改为b22。
在一种应用场景中,存储器可以存在于NAS设备或文件共享服务器上,并且用户可以使用不同操作系统的计算机来访问存储器上的文件。此时,用户通过第一操作系统将存储器中的目标文件的访问控制权限进行修改后,需要将这些修改同步到除第一操作系统之外的其他操作系统上,否则,用户通过第一操作系统对目标文件的访问控制权限的修改结果不能在其他操作系统中产生作用。在此基础上,本发明实施例还提供一种访问控制权限管理方法,如图3所示,该方法包括:
301、计算机接收用户通过第一操作系统发送的访问控制权限修改指令。
302、根据所述第一操作系统的类型,获取与所述第一操作系统的类型匹配的第一索引表,并获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的第一表项标识,进而从所述第一索引表中获取所述元数据中的第一表项标识指向的第一索引表项。
存储器存在于NAS设备或文件共享服务器上,并且用户通过第一操作系统发送所述访问控制权限修改指令。其中,不同的操作系统具有不同的访问控制权限的格式,因此每个操作系统都对应一张索引表和权限表。这里以第一操作系统为例,第一操作系统对应的索引表和权限表分别为:第一索引表和第一权限表。
第一索引表由多条第一索引表项组成,其中每一条第一索引表项记录有第一表项标识、至少一个第一权限表项索引号,其中每个新生成的文件的元数据中缺省的生成第一表项标识,以便根据所述第一表项标识在所述第一操作系统中指向与文件对应的第一索引表项,同一条第一索引表项中不同的第一权限表项索引号映射到所述第一权限表中不同的第一权限表项。
此外,每条第一权限表项中记录有第一权限表项索引号、第一权限表项对应的文件的第一访问控制权限、以及具有所述第一访问控制权限的用户标识,且同一条第一索引表项中不同的第一权限表项索引号映射的不同第一权限表项中记录有同一文件的第一访问控制权限。
可见,第一索引表的组成结构与本发明实施例1和2中的索引表的构成方式一致。第一权限表的组成结构与本发明实施例1和实施例2中的权限表的组成结构一致。
303、在所述第一索引表项中获取第一目标权限表项索引号。
第一目标权限表项索引号指向的第一权限表项中记录有所述目标文件的第一访问控制权限。
304、根据第一目标权限表项索引号,从第一权限表中获取记录有所述目标文件的第一访问控制权限的第一权限表项,从获取的第一权限表项中选择记录有所述用户标识的第一目标权限表项。
其中,第一权限表中记录有第一权限表项索引号。下面对步骤302至304做简要说明。参考图10,假设图10中索引表1003是匹配第一操作系统的第一索引表,权限表1005是匹配第一操作系统的第一权限表。当获取到第一索引表项为索引表项1004时,可知该索引表项中记录有第一目标权限表项索引号b11和索引号b12,由此可知第一权限表1005中索引号b11和索引号b12对应的第一权限表项分别为权限表项1006和权限表项1007,又由于已经获知用户标识为“A”,因此计算机可以确定第一权限表项1006为第一目标权限表项。根据以上描述,计算机根据所述第一目标权限表项索引号以及用户标识,可以精确查找到第一目标权限表项。
305、根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改。
步骤302至305完成了对第一操作系统对应的第一访问控制权限的修改。
306、获取与第二操作系统的类型匹配的第二索引表,并获得目标文件的元数据中的第二表项标识,进而从第二索引表中获取元数据中的第二表项标识指向的第二索引表项。。
第二操作系统对应的索引表和权限表分别为第二索引表和第二权限表。
第二索引表由多条第二索引表项组成,其中每一条第二索引表项记录有所述第二表项标识、至少一个第二权限表项索引号,其中每个新生成的文件的元数据中缺省的生成所述第二表项标识,以便根据所述第二表项标识在所述第二操作系统中指向与文件对应的第二索引表项,同一条第二索引表项中不同的第二权限表项索引号映射到所述第二权限表中不同的第二权限表项。
此外,每条第二权限表项中记录有第二权限表项索引号、第二权限表项对应的文件的第二访问控制权限、以及具有所述第二访问控制权限的用户第二标识,且同一条第二索引表项中不同的第二权限表项索引号映射的不同第二权限表项中记录有同一文件的第二访问控制权限。
目标文件的元数据中可以生成针对不同操作系统的表项标识,根据该表项标识可以确定不同操作系统对应的索引表。例如,目标文件创建时,其元数据中缺省的生成针对第一操作系统的表项标识和针对第二操作系统的表项标识。当用户在第一操作系统下修改目标文件的访问控制权限时,通过针对第一操作系统的表项标识找到相应的第一索引表项,进而找到第一目标权限表项,从而可以修改第一访问控制权限。修改了第一访问控制权限之后,还需要修改针对第二操作系统的第二访问控制权限,以保证同一用户在不同的操作系统下访问同一目标文件时,目标文件的访问控制权限具有一致性。
307、从预设的用户标识转换表中,获取与所述用户标识对应的第二操作系统的所述用户第二标识。
所述用户标识转换表中记录有同一个用户在不同类型操作系统下的不同的用户标识。
如图12所示,用户标识转换表301a由若干表项302a组成,表项302a中记录有第一操作系统的用户标识及与其对应的第二操作系统的用户第二标识。由图可见,在表项302a中,第一操作系统的用户标识为A,对应的第二操作系统的用户第二标识为α。
308、根据所述第二目标权限表项索引号,从第二权限表中获取记录有所述目标文件的第二访问控制权限的第二权限表项,从获取的第二权限表项中选择记录有所述用户第二标识的第二目标权限表项。
309、根据访问控制权限修改指令,对第二目标权限表项记录的目标文件的第二访问控制权限进行修改,以使得修改后的所述第二访问控制权限与修改后的所述第一访问控制权限相同。
不同的操作系统对应不同的索引表和权限表。第一操作系统对应第一索引表和第一权限表;第二操作系统对应第二索引表和第二权限表。当计算机接收到用户对目标文件的控制指令后,首先获取用户的操作系统的类型,然后根据操作系统的类型查找到存储于权限表中的访问控制权限。当修改访问控制权限时,需要对第一操作系统对应第一权限表、第二操作系统对应第二权限表进行修改。
现举例说明,如图13所示,文件301b的元数据302b中,缺省的生成两个数值:第一表项标识a1和第二表项标识c1。其中表项标识a1指向第一索引表304b的第一索引表项305b,表项标识c1作为第二表项标识指向第二索引表309b的第二索引表项310b。计算机接收到用户由第一操作系统发出的访问控制权限修改指令,该命令指示将目标文件301b的访问控制权限由只读修改为读写,同时计算机接收到用户在第一操作系统下的用户标识A。首先,计算机获取与所述第一操作系统的操作系统类型匹配的第一索引表304b,从目标文件的元数据302b中生成的第一表项标识303b中获取304b与目标文件对应的第一索引表项305b,找到第一索引表项305b中的第一目标权限表项索引号为b11和第一目标权限表项索引号b12,然后在第一权限表306b中的两个权限表项307b和权限表项314b中,确定记录有用户标识A的第一目标权限表项307b,将第一目标权限表项307b中存储的只读权限修改为读写权限。
修改完毕后,系统通过目标文件的元数据302b中的第二表项标识308b获取第二索引表309b中与的第二索引表项310b。第二索引表项310b中携带有第二目标权限表项索引号d11和第二目标权限表项索引号d12,分别对应的第二权限表项312b和第二权限表项313b;在用户标识转换表中查找到第一操作系统下的用户标识A对应的第二操作系统下的用户标识α之后,从第二权限表项312b和第二权限表项313b中,确定第二权限表项312b为第二目标权限表项,将第二权限表项312b中存储的只读权限修改为读写权限。这样第一目标权限表项307b和第二权限表项312b中的访问控制权限完全一样,保证同一个用户在第一操作系统和第二操作系统中对文件301b具有相同的访问控制权限。
在实际应用中,操作系统可以是Windows操作系统,Linux操作系统,Unix操作系统,或者其它的操作系统,每个操作系统都对应一张索引表和权限表,同一个用户在每个操作系统下都有相应的用户标识,所有的用户标识都记录在用户标识转换表。当访问控制权限修改指令指示修改目标文件的访问控制权限时,必须要对每个系统下的每张权限表进行修改,以确保同一用户在不同操作系统下登陆后对于同一目标文件具有相同的权限。当对一个操作系统下的权限表进行修改后,可以通过遍历元数据的方式,对其它的操作系统下的权限表进行修改。
以上仅以第一操作系统和第二操作系统为例,对两个不同操作系统的情况进行说明,实际应用中,本发明实施例可以应用在三个以上的不同操作系统中。
进一步的,通常情况下在计算机中新增文件时,如果新增文件位于已有文件的目录下,则已有文件为新增文件的父文件,新增文件为已有文件的子文件。子文件可以自动继承其父文件的访问控制权限。在本发明实施例中,在父文件名下建立子文件时,子文件继承其父文件具有的父文件表项标识。该父文件表项标识指向父文件索引表项。这样,子文件和父文件通过同一个父文件表项标识指向父文件索引表项,由此子文件可以继承父文件的访问控制权限。在这种场景下,为实现对子文件的访问控制权限的管理,本发明实施例还提供一种访问控制权限管理方法,如图4所示,该方法包括:
401、计算机管理员向计算机发出针对子文件的新用户权限添加指令以及新用户标识。
当管理员希望对子文件添加新用户的访问控制权限时,发出新用户权限添加指令。所述新用户权限添加指令中包含新用户对子文件的访问控制权限。
402、当计算机接收到所述新用户权限添加指令时,在所述权限表中,添加新增权限表项。
所述新增权限表项中包括:新增权限表项索引号,所述新用户对所述子文件的访问控制权限,以及所述新用户标识。
403、根据父文件表项标识,获取父文件索引表项。
404、在索引表中建立新增索引表项,在所述新增索引表项中记录入新增表项标识、所述新增权限表项索引号以及所述父文件索引表项中记录的全部权限表项索引号。
405、将新增表项标识更新入子文件和父文件的元数据中,以便根据所述新增表项标识找到所述新增索引表项。
举例来说明上述401至405,如图14所示,402a为在文件401a名下建立的子文件。402a建立时继承了401a的访问控制权限。具体的,402a的父文件401a建立时,在其元数据403a中生成一个数值a1,a1作为表项标识指向索引表404a中的索引表项408a。当子文件402a建立时,将403a中的a1存入元数据411a中,这样子文件402a对应的索引表项也是索引表项408a,由此子文件402a继承了父文件401a的访问控制权限。根据索引表项408a中的记录的b11和b12,可以在权限表405a中获取权限表项409a和410a。
假设管理员发出的新用户权限添加指令针对子文件402a,新用户标识为“D”,且新用户权限添加指令的访问控制权限为“读写”权限,则计算机会在权限表405a中添加一条新增索引表项406a,并在权限表项406a中记录入新用户标识“D”、访问控制权限“读写”、以及新增权限表项索引号b22。其中新增权限表项索引号b22由计算机在建立406a时分配,且该新增权限表项索引号不与已有的权限表项索引号相同。
在406a中记录入“D”、“读写”和“b22”后,在索引表404a中建立新增索引表项407a,在新增索引表项407a中记录入新增表项标识a3、新增权限表项索引号b22,并根据父文件401a的表项标识a1找到索引表项408a,将索引表项408a中的b11和b12复制到新增索引表项407a中。这样,新增索引表项407a中同时记录了b11、b12和b22。需要说明的是,新增表项标识a3由计算机在建立407a时生成,且a3的数值不能与已有的其他表项标识的数值相同。
最后,新增表项标识a3更新到子文件和父文件的元数据中,替换原来的a1。这样,虽然子文件402a不再与父文件401a具有继承关系(用户D对父文件401a无任何权限,但对子文件402a具有读写权限),但不同用户对父文件401a和子文件402a的访问控制权限都可以通过索引表项407a来找到。
本发明的实施例提供一种访问控制权限管理方法,首先当接收到用户对目标文件的控制指令时,从索引表中获取表项标识指向的索引表项,并进一步的从权限表中获取记录有所述目标文件的访问控制权限的目标权限表项,最后根据目标权限表项中的访问控制权限,判断是否允许所述控制指令的执行。通过上述方案,采用索引表和权限表对访问控制权限的信息进行管理,在存储器中存在大量的访问控制权限信息的情况下,减少管理存储器内的访问控制权限信息的复杂度,提高系统运行速率。
此外,在接收到访问控制权限修改指令时,从索引表中获取表项标识指向的索引表项,进而在权限表中找到目标权限表项中的访问控制权限进行修改,通过索引表和权限表来进行访问控制权限修改,减少在修改存储器内的访问控制权限信息时的操作复杂度。另外,当用户可以通过不同操作系统访问存储器的文件的场景下,在修改目标文件的权限表项权限时,对不同系统的所有权限表进行修改,从而保证同一用户在不同的操作系统下访问同一目标文件时,目标文件的访问控制权限具有一致性。
进一步的,当修改对子文件添加新用户的访问控制权限时,在权限表中添加新增权限表项,在索引表中添加新增索引表项,并更改表项标识从而使子文件和父文件都指向新增索引表项,通过这种修改方式,在子文件与父文件不再具有继承关系的情况下,仍可通过新增索引表项找到各自用户的访问控制权限,在添加用户管理权限信息的过程中降低了操作复杂度,提高系统运行速率。
实施例3
本发明的一个实施例提供一种对访问控制权限进行管理的装置,如图5所示,包括:
接收单元51,用于接收用户标识、目标文件标识以及用户对目标文件的控制指令。
索引表项获取单元52,用于获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项。
权限表项索引号获取单元53,用于在所述索引表项获取单元52获取的索引表项中获取目标权限表项索引号;所述目标权限表项索引号指向的权限表项中记录有所述目标文件的访问控制权限。
权限表项获取单元54,用于根据所述权限表项索引号获取单元53获取的目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项。
判断单元55,用于判断所述控制指令是否符合所述权限表项获取单元54获取的目标权限表项中记录的访问控制权限。
执行单元56,用于当所述判断单元55判断所述控制指令符合所述目标权限表项中记录的访问控制权限时,执行所述控制指令。
其中,在存储器中存储有索引表和权限表,所述索引表由多个索引表项组成,其中每一条索引表项记录有表项标识、至少一个权限表项索引号,其中每个新生成的文件的元数据中缺省的生成所述表项标识,以便根据所述表项标识指向与文件对应的索引表项,同一条索引表项中不同的权限表项索引号映射到所述权限表中不同的权限表项;并且,每条权限表项中记录有权限表项索引号、权限表项对应的文件的访问控制权限、以及具有所述访问控制权限的用户标识,且同一条索引表项中不同的权限表项索引号映射的不同权限表项中记录有同一文件的访问控制权限。
关于索引表和权限表的详细说明,可参考本发明实施例1和实施例2中,此处不再赘述。
从具体控制动作上来看,控制指令包括但不限于:读指令、写指令和运行指令。
进一步的,执行单元56还用于当所述控制指令不符合所述目标权限表项中记录的访问控制权限时,终止所述控制指令。
进一步的,接收单元51还用于,在接收用户标识、目标文件标识以及用户对目标文件的控制指令后,接收所述用户对所述目标文件的访问控制权限修改指令。
如图6所示,所述装置还包括:
控制权限修改单元57,用于根据所述访问控制权限修改指令,对所述目标权限表项记录的目标文件的访问控制权限进行修改。
所述控制权限修改单元57,具体用于:
删除所述用户对所述目标文件的访问控制权限;或添加所述用户对所述目标文件的访问控制权限;当需要变更已有的访问控制权限时,控制权限修改单元57先执行删除访问控制权限的动作,然后在删除的原位置添加新的访问控制权限,从而实现已有的访问控制权限的变更。
所述访问控制权限包括:只读权限、只写权限、读写权限和运行权限。
在一种应用场景中,存储器可以存在于NAS设备或文件共享服务器上,并且用户可以使用不同操作系统的计算机来访问存储器上的文件。此时,用户通过第一操作系统将存储器中的目标文件的访问控制权限进行修改后,需要将这些修改同步到除第一操作系统之外的其他操作系统上,否则,用户通过第一操作系统对目标文件的访问控制权限的修改结果不能在其他操作系统中产生作用。在此基础上,
索引表项获取单元52,具体用于根据所述第一操作系统的类型,获取与所述第一操作系统的类型匹配的第一索引表,并获取具有目标文件标识的目标文件,以及获得所述目标文件的元数据中的第一表项标识,进而从所述第一索引表中获取所述元数据中的第一表项标识指向的第一索引表项。
权限表项索引号获取单元53,具体用于在所述第一索引表项中获取第一目标权限表项索引号;所述第一目标权限表项索引号指向的第一权限表项中记录有所述目标文件的第一访问控制权限。
权限表项获取单元54,具体用于根据所述第一目标权限表项索引号,从第一权限表中获取记录有所述目标文件的第一访问控制权限的第一权限表项,从获取的第一权限表项中选择记录有所述用户标识的第一目标权限表项。
控制权限修改单元57,具体用于根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改。
进一步的,在图6基础上,如图7所示,所述装置还包括:
第二索引表项获取单元58,用于所述控制权限修改单元57根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改之后,获取与第二操作系统的类型匹配的第二索引表,获得所述目标文件的元数据中的第二表项标识,进而从所述第二索引表中获取所述元数据中的第二表项标识指向的第二索引表项。
第二标识获取单元59,用于从预设的用户标识转换表中,获取与所述用户标识对应的第二操作系统的所述用户第二标识;所述用户标识转换表中记录有同一个用户在不同类型操作系统下的不同的用户标识;
第二权限表项索引号获取单元510,用于在所述第二索引表项中获取第二目标权限表项索引号;所述第二目标权限表项索引号指向的第二权限表项中记录有所述目标文件的第二访问控制权限;
第二权限表项获取单元511,用于根据所述第二目标权限表项索引号,从第二权限表中获取记录有所述目标文件的第二访问控制权限的第二权限表项,从获取的第二权限表项中选择记录有所述用户第二标识的第二目标权限表项。
第二控制权限修改单元512,用于根据所述访问控制权限修改指令,对所述第二目标权限表项记录的目标文件的第二访问控制权限进行修改,以使得修改后的所述第二访问控制权限与修改后的所述第一访问控制权限相同。
其中,关于第一索引表、第一权限表、第二索引表以及第二权限表的组成结构描述,可参考本发明实施例2,此处不再赘述。
进一步的,通常情况下在计算机中新增文件时,如果新增文件位于已有文件的目录下,则已有文件为新增文件的父文件,新增文件为已有文件的子文件,子文件会自动继承其父文件的访问控制权限。在本发明实施例中,在父文件名下建立子文件时,子文件继承其父文件具有的父文件表项标识。该父文件表项标识指向父文件索引表项。这样,子文件和父文件通过同一个父文件表项标识指向父文件索引表项,由此子文件可以继承父文件的访问控制权限。
在这种场景下,为实现对子文件的访问控制权限的管理,所述接收单元51还用于接收计算机管理员发出的针对所述子文件的新用户权限添加指令以及新用户标识;所述新用户权限添加指令中包含所述新用户对所述子文件的访问控制权限。
并且,如图8所示,所述装置还包括权限表项添加单元513,用于当接收到所述新用户权限添加指令时,在所述权限表中,添加新增权限表项,所述新增权限表项中包括:新增权限表项索引号,所述新用户对所述子文件的访问控制权限,以及所述新用户标识。
所述索引表项获取单元52,还用于根据所述父文件表项标识,获取所述父文件索引表项。
所述装置还包括索引表项添加单元514,用于在所述索引表建立新增索引表项,在所述新增索引表项中记录入新增表项标识、所述新增权限表项索引号以及所述父文件索引表项中记录的全部权限表项索引号。
所述装置还包括元数据更新单元515,用于将所述新增表项标识更新入所述子文件和所述父文件的元数据中,以便根据所述新增表项标识找到所述新增索引表项。
本发明的实施例提供一种访问控制权限管理装置,首先当接收到用户对目标文件的控制指令时,从索引表中获取表项标识指向的索引表项,并进一步的从权限表中获取记录有所述目标文件的访问控制权限的目标权限表项,最后根据目标权限表项中的访问控制权限,判断是否允许所述控制指令的执行。通过上述方案,采用索引表和权限表对访问控制权限的信息进行管理,在存储器中存在大量的访问控制权限信息的情况下,减少管理存储器内的访问控制权限信息的复杂度,提高系统运行速率。
此外,在接收到访问控制权限修改指令时,从索引表中获取表项标识指向的索引表项,进而在权限表中找到目标权限表项中的访问控制权限进行修改,通过索引表和权限表来进行访问控制权限修改,减少在修改存储器内的访问控制权限信息时的操作复杂度。另外,当用户可以通过不同操作系统访问存储器的文件的场景下,在修改目标文件的权限表项权限时,对不同系统的所有权限表进行修改,从而保证同一用户在不同的操作系统下访问同一目标文件时,目标文件的访问控制权限具有一致性。
进一步的,当修改对子文件添加新用户的访问控制权限时,在权限表中添加新增权限表项,在索引表中添加新增索引表项,并更改表项标识从而使子文件和父文件都指向新增索引表项,通过这种修改方式,在子文件与父文件不再具有继承关系的情况下,仍可通过新增索引表项找到各自用户的访问控制权限,在添加用户管理权限信息的过程中降低了操作复杂度,提高系统运行速率。
实施例4
本发明的一个实施例提供一种访问控制权限管理设备,如图9所示,包括:
通信端口61,用于接收用户标识、目标文件标识以及用户对目标文件的控制指令;
存储器62,用于存储索引表,权限表及处理器执行操作时所需的代码;所述索引表中每一条索引表项记录有表项标识、至少一个权限表项索引号,其中每个新生成的文件的元数据中缺省的生成所述表项标识,以便根据所述表项标识指向与文件对应的索引表项,同一条索引表项中不同的权限表项索引号映射到所述权限表中不同的权限表项;并且,每条权限表项中记录有权限表项索引号、权限表项对应的文件的访问控制权限、以及具有所述访问控制权限的用户标识,且同一条索引表项中不同的权限表项索引号映射的不同权限表项中记录有同一文件的访问控制权限。
处理器63,用于获取具有目标文件标识的目标文件,获得所述目标文件的元数据中的表项标识,并进而从存储器62的索引表中获取所述元数据中的表项标识指向的索引表项。
所述处理器63还用于在表项标识指向的索引表项中获取目标权限表项索引号;所述目标权限表项索引号指向的权限表项中记录有所述目标文件的访问控制权限;根据所述目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项;判断所述控制指令是否符合所述目标权限表项中记录的访问控制权限,当符合时,执行所述控制指令。
处理器63还用于当所述控制指令不符合所述目标权限表项中记录的访问控制权限时,终止所述控制指令。
控制指令包括但并不限于:读指令、写指令和运行指令。
进一步的,通信端口61还用于在接收用户标识、目标文件标识以及用户对目标文件的控制指令后,接收所述用户对所述目标文件的访问控制权限修改指令。
处理器63还用于:当通信端口61接收到所述访问控制权限修改指令时,获取具有目标文件标识的所述目标文件,获得目标文件的元数据中的表项标识,并进而从所述存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项;然后在表项标识指向的索引表项中获取所述目标权限表项索引号,并根据所述目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项;处理器63还用于根据所述访问控制权限修改指令,对所述目标权限表项记录的目标文件的访问控制权限进行修改。
其中,所述处理器对对所述目标权限表项记录的目标文件的访问控制权限进行修改,具体包括:
删除所述用户对所述目标文件的访问控制权限;或添加所述用户对所述目标文件的访问控制权限;当需要变更已有的访问控制权限时,先执行删除访问控制权限的动作,然后在删除的原位置添加新的访问控制权限,从而实现已有的访问控制权限的变更。
进一步的,在一种应用场景中,存储器可以存在于NAS设备或文件共享服务器上,并且用户可以使用不同操作系统的计算机来访问存储器上的文件。此时,用户通过第一操作系统将存储器中的目标文件的访问控制权限进行修改后,需要将这些修改同步到除第一操作系统之外的其他操作系统上,否则,用户通过第一操作系统对目标文件的访问控制权限的修改结果不能在其他操作系统中产生作用。在此基础上,
处理器63还用于根据所述第一操作系统的类型,获取与所述第一操作系统的类型匹配的第一索引表,并获取具有目标文件标识的所述目标文件,获得所述目标文件的元数据中的第一表项标识,进而从所述第一索引表中获取所述元数据中的第一表项标识指向的第一索引表项。
处理器63还用于在所述第一索引表项中获取第一目标权限表项索引号;所述第一目标权限表项索引号指向的第一权限表项中记录有所述目标文件的第一访问控制权限。
处理器63还用于根据所述第一目标权限表项索引号,从第一权限表中获取记录有所述目标文件的第一访问控制权限的第一权限表项,从获取的第一权限表项中选择记录有所述用户标识的第一目标权限表项。
处理器63还用于根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改。
进一步的,处理器63在根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改之后,还用于获取与第二操作系统的类型匹配的第二索引表,获得所述目标文件的元数据中的第二表项标识,进而从所述第二索引表中获取所述元数据中的第二表项标识指向的第二表。
处理器63还用于从预设的用户标识转换表中,获取与所述用户标识对应的第二操作系统的所述用户第二标识;所述用户标识转换表中记录有同一个用户在不同类型操作系统下的不同的用户标识.
处理器63还用于在所述第二索引表项中获取第二目标权限表项索引号;所述第二目标权限表项索引号指向的第二权限表项中记录有所述目标文件的第二访问控制权限。
处理器63还用于根据所述第二目标权限表项索引号,从第二权限表中获取记录有所述目标文件的第二访问控制权限的第二权限表项,从获取的第二权限表项中选择记录有所述用户第二标识的第二目标权限表项。
处理器63还用于根据所述访问控制权限修改指令,对所述第二目标权限表项记录的目标文件的第二访问控制权限进行修改,以使得修改后的所述第二访问控制权限与修改后的所述第一访问控制权限相同。
其中,关于第一索引表、第一权限表、第二索引表以及第二权限表的组成结构描述,可参考本发明实施例2,此处不再赘述。
进一步的,通常情况下在计算机中新增文件时,如果新增文件位于已有文件的目录下,则已有文件为新增文件的父文件,新增文件为已有文件的子文件,子文件会自动继承其父文件的访问控制权限。在本发明实施例中,在父文件名下建立子文件时,子文件继承其父文件具有的父文件表项标识。该父文件表项标识指向父文件索引表项。这样,子文件和父文件通过同一个父文件表项标识指向父文件索引表项,由此子文件可以继承父文件的访问控制权限。
在这种场景下,为实现对子文件的访问控制权限的管理,通信端口61还用于接收计算机管理员发出的针对所述子文件的新用户权限添加指令以及新用户标识。所述新用户权限添加指令中包含所述新用户对所述子文件的访问控制权限。
处理器63还用于当通信端口61接收到所述新用户权限添加指令时,在所述权限表中,添加新增权限表项,所述新增权限表项中包括:新增权限表项索引号,所述新用户对所述子文件的访问控制权限,以及所述新用户标识。
处理器63还用于根据所述父文件表项标识,获取所述父文件索引表项。
处理器63还用于在所述索引表建立新增索引表项,在所述新增索引表项中记录入新增表项标识、所述新增权限表项索引号以及所述父文件索引表项中记录的全部权限表项索引号。
处理器63还用于将所述新增表项标识更新入所述子文件和所述父文件的元数据中,以便根据所述新增表项标识找到所述新增索引表项。
进一步的,通信端口61,存储器62,处理器63,通过总线64连接。
本发明的实施例提供一种访问控制权限管理设备,首先当接收到用户对目标文件的控制指令时,找到控制指令针对的目标文件,从目标文件的元数据中获得表项标识,然后获取索引表中表项标识指向的索引表项,并进一步的从权限表中获取记录有所述目标文件的访问控制权限的目标权限表项,最后根据目标权限表项中的访问控制权限,判断是否允许所述控制指令的执行。通过上述方案,采用索引表和权限表对访问控制权限的信息进行管理,在存储器中存在大量的访问控制权限信息的情况下,减少管理存储器内的访问控制权限信息的复杂度,提高系统运行速率。
此外,在接收到访问控制权限修改指令时,找到访问控制权限修改指令针对的目标文件,并从目标文件的元数据中获得表项标识,然后根据表项标识找到索引表中对应的索引表项,进而在权限表中找到目标权限表项中的访问控制权限进行修改,通过索引表和权限表来进行访问控制权限修改,减少在修改存储器内的访问控制权限信息时的操作复杂度。另外,当用户可以通过不同操作系统访问存储器的文件的场景下,在修改目标文件的权限表项权限时,对不同系统的所有权限表进行修改,从而保证同一用户在不同的操作系统下访问同一目标文件时,目标文件的访问控制权限具有一致性。
进一步的,当修改对子文件添加新用户的访问控制权限时,在权限表中添加新增权限表项,在索引表中添加新增索引表项,并更改表项标识从而使子文件和父文件都指向新增索引表项,通过这种修改方式,在子文件与父文件不再具有继承关系的情况下,仍可通过新增索引表项找到各自用户的访问控制权限,在添加用户管理权限信息的过程中降低了操作复杂度,提高系统运行速率。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储器中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (24)

1.一种访问控制权限管理方法,其特征在于,
在存储器中存储有索引表和权限表,所述索引表中每一条索引表项记录有至少一个权限表项索引号,同一条索引表项中不同的权限表项索引号映射到所述权限表中不同的权限表项,其中,每个文件的元数据中包含有表项标识,所述表项标识指向与所述文件对应的索引表项;
每条权限表项中记录有权限表项索引号、权限表项对应的文件的访问控制权限、以及具有所述访问控制权限的用户标识,且同一条索引表项中不同的权限表项索引号映射的不同权限表项中记录有同一文件的访问控制权限,
所述方法包括:
接收用户标识、目标文件标识以及用户对目标文件的控制指令;
获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项;
在所述获取的索引表项中获取目标权限表项索引号;所述目标权限表项索引号指向的权限表项中记录有所述目标文件的访问控制权限;
根据所述目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项;
判断所述控制指令是否符合所述目标权限表项中记录的访问控制权限,当符合时,执行所述控制指令。
2.根据权利要求1所述的方法,其特征在于,还包括:
当所述控制指令不符合所述目标权限表项中记录的访问控制权限时,终止所述控制指令。
3.根据权利要求2所述的方法,其特征在于,所述控制指令包括:读指令、写指令和运行指令。
4.根据权利要求2所述的方法,其特征在于,在所述方法之后,还包括:
接收所述用户对所述目标文件的访问控制权限修改指令;
获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从所述存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项;
在所述获取的索引表项中获取所述目标权限表项索引号;
根据所述目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项;
根据所述访问控制权限修改指令,对所述目标权限表项记录的目标文件的访问控制权限进行修改。
5.根据权利要求4所述的方法,其特征在于,对所述目标权限表项记录的目标文件的访问控制权限进行修改,具体包括:
删除所述用户对所述目标文件的访问控制权限;或
添加所述用户对所述目标文件的访问控制权限;
所述访问控制权限包括:只读权限、只写权限、读写权限和运行权限。
6.根据权利要求4或5所述的方法,其特征在于,所述存储器存在于网络附属存储NAS设备或文件共享服务器上,并且所述用户通过第一操作系统发送所述访问控制权限修改指令,其中,所述第一操作系统对应的索引表和权限表分别为第一索引表和第一权限表,所述第一索引表中每一条第一索引表项记录有至少一个第一权限表项索引号,其中每个所述文件的元数据中包含第一表项标识,所述第一表项标识在所述第一操作系统中指向与文件对应的第一索引表项,同一条第一索引表项中不同的第一权限表项索引号映射到所述第一权限表中不同的第一权限表项;并且,每条第一权限表项中记录有第一权限表项索引号、第一权限表项对应的文件的第一访问控制权限、以及具有所述第一访问控制权限的用户标识,且同一条第一索引表项中不同的第一权限表项索引号映射的不同第一权限表项中记录有同一文件的第一访问控制权限,
所述获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项,具体包括:
根据所述第一操作系统的类型,获取与所述第一操作系统的类型匹配的第一索引表,并获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的第一表项标识,进而从所述第一索引表中获取所述元数据中的第一表项标识指向的第一索引表项;
所述在所述获取的索引表项中获取所述目标权限表项索引号,具体包括:
在所述第一索引表项中获取第一目标权限表项索引号;所述第一目标权限表项索引号指向的第一权限表项中记录有所述目标文件的第一访问控制权限;
所述根据所述目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项,具体包括:
根据所述第一目标权限表项索引号,从第一权限表中获取记录有所述目标文件的第一访问控制权限的第一权限表项,从获取的第一权限表项中选择记录有所述用户标识的第一目标权限表项;
所述根据所述访问控制权限修改指令,对所述目标权限表项记录的目标文件的访问控制权限进行修改,具体包括:
根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改。
7.根据权利要求6所述的方法,当用户通过所述第一操作系统和第二操作系统这两个操作系统对所述文件进行访问时,其特征在于,所述第二操作系统对应的索引表和权限表分别为第二索引表和第二权限表,所述第二索引表中每一条第二索引表项记录有至少一个第二权限表项索引号,其中每个所述文件的元数据中包含第二表项标识,所述第二表项标识在所述第二操作系统中指向与所述文件对应的第二索引表项,同一条第二索引表项中不同的第二权限表项索引号映射到所述第二权限表中不同的第二权限表项;并且,每条第二权限表项中记录有第二权限表项索引号、第二权限表项对应的文件的第二访问控制权限、以及具有所述第二访问控制权限的用户第二标识,且同一条第二索引表项中不同的第二权限表项索引号映射的不同第二权限表项中记录有同一文件的第二访问控制权限,
所述根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改之后,还包括:
获取与第二操作系统的类型匹配的第二索引表,获得所述目标文件的元数据中的第二表项标识,进而从所述第二索引表中获取所述元数据中的第二表项标识指向的第二索引表项;
从预设的用户标识转换表中,获取与所述用户标识对应的第二操作系统的所述用户第二标识;所述用户标识转换表中记录有同一个用户在不同类型操作系统下的不同的用户标识;
在所述第二索引表项中获取第二目标权限表项索引号;所述第二目标权限表项索引号指向的第二权限表项中记录有所述目标文件的第二访问控制权限;
根据所述第二目标权限表项索引号,从第二权限表中获取记录有所述目标文件的第二访问控制权限的第二权限表项,从获取的第二权限表项中选择记录有所述用户第二标识的第二目标权限表项;
根据所述访问控制权限修改指令,对所述第二目标权限表项记录的目标文件的第二访问控制权限进行修改,以使得修改后的所述第二访问控制权限与修改后的所述第一访问控制权限相同。
8.根据权利要求1所述的方法,其特征在于,在计算机中新增子文件时,所述子文件继承其父文件具有的父文件表项标识,所述父文件表项标识指向父文件索引表项,以便所述子文件继承所述父文件的访问控制权限,
所述方法还包括:
接收计算机管理员发出的针对所述子文件的新用户权限添加指令以及新用户标识;所述新用户权限添加指令中包含所述新用户对所述子文件的访问控制权限;
当接收到所述新用户权限添加指令时,在所述权限表中,添加新增权限表项,所述新增权限表项中包括:新增权限表项索引号,所述新用户对所述子文件的访问控制权限,以及所述新用户标识;
根据所述父文件表项标识,获取所述父文件索引表项;
在所述索引表建立新增索引表项,在所述新增索引表项中记录入新增表项标识、所述新增权限表项索引号以及所述父文件索引表项中记录的全部权限表项索引号;
将所述新增表项标识更新入所述子文件和所述父文件的元数据中,以便根据所述新增表项标识找到所述新增索引表项。
9.一种访问控制权限管理装置,其特征在于,在存储器中存储有索引表和权限表,所述索引表中每一条索引表项记录有至少一个权限表项索引号,同一条索引表项中不同的权限表项索引号映射到所述权限表中不同的权限表项,其中,每个文件的元数据中包含有表项标识,所述表项标识指向与所述文件对应的索引表项;
每条权限表项中记录有权限表项索引号、权限表项对应的文件的访问控制权限、以及具有所述访问控制权限的用户标识,且同一条索引表项中不同的权限表项索引号映射的不同权限表项中记录有同一文件的访问控制权限,
所述装置包括:
接收单元,用于接收用户标识、目标文件标识以及用户对目标文件的控制指令;
索引表项获取单元,用于获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项;
权限表项索引号获取单元,用于在所述索引表项获取单元获取的索引表项中获取目标权限表项索引号;所述目标权限表项索引号指向的权限表项中记录有所述目标文件的访问控制权限;
权限表项获取单元,用于根据所述权限表项索引号获取单元获取的目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项;
判断单元,用于判断所述控制指令是否符合所述权限表项获取单元获取的目标权限表项中记录的访问控制权限;
执行单元,用于当所述判断单元判断所述控制指令符合所述目标权限表项中记录的访问控制权限时,执行所述控制指令。
10.根据权利要求9所述的装置,其特征在于,所述执行单元还用于当所述控制指令不符合所述目标权限表项中记录的访问控制权限时,终止所述控制指令。
11.根据权利要求10所述的装置,其特征在于,所述控制指令包括:读指令、写指令和运行指令。
12.根据权利要求10所述的装置,其特征在于,所述接收单元还用于,接收所述用户对所述目标文件的访问控制权限修改指令;
所述装置还包括:
控制权限修改单元,用于根据所述访问控制权限修改指令,对所述目标权限表项记录的目标文件的访问控制权限进行修改。
13.根据权利要求12所述的装置,其特征在于,所述控制权限修改单元,具体用于:
删除所述用户对所述目标文件的访问控制权限;或
添加所述用户对所述目标文件的访问控制权限;
所述访问控制权限包括:只读权限、只写权限、读写权限和运行权限。
14.根据权利要求12或13所述的装置,其特征在于,所述存储器存在于网络附属存储NAS设备或文件共享服务器上,并且所述用户通过第一操作系统发送所述访问控制权限修改指令,其中,所述第一操作系统对应的索引表和权限表分别为第一索引表和第一权限表,所述第一索引表中每一条第一索引表项记录有至少一个第一权限表项索引号,其中每个所述文件的元数据中包含第一表项标识,所述第一表项标识在所述第一操作系统中指向与文件对应的第一索引表项,同一条第一索引表项中不同的第一权限表项索引号映射到所述第一权限表中不同的第一权限表项;并且,每条第一权限表项中记录有第一权限表项索引号、第一权限表项对应的文件的第一访问控制权限、以及具有所述第一访问控制权限的用户标识,且同一条第一索引表项中不同的第一权限表项索引号映射的不同第一权限表项中记录有同一文件的第一访问控制权限,
所述索引表项获取单元,具体用于根据所述第一操作系统的类型,获取与所述第一操作系统的类型匹配的第一索引表,并获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的第一表项标识,进而从所述第一索引表中获取所述元数据中的第一表项标识指向的第一索引表项;
所述权限表项索引号获取单元,具体用于在所述第一索引表项中获取第一目标权限表项索引号;所述第一目标权限表项索引号指向的第一权限表项中记录有所述目标文件的第一访问控制权限;
所述权限表项获取单元,具体用于根据所述第一目标权限表项索引号,从第一权限表中获取记录有所述目标文件的第一访问控制权限的第一权限表项,从获取的第一权限表项中选择记录有所述用户标识的第一目标权限表项;
所述控制权限修改单元,具体用于根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改。
15.根据权利要求14所述的装置,当用户通过所述第一操作系统和第二操作系统这两个操作系统对所述文件进行访问时,其特征在于,所述第二操作系统对应的索引表和权限表分别为第二索引表和第二权限表,所述第二索引表中每一条第二索引表项记录有至少一个第二权限表项索引号,其中每个所述文件的元数据中包含第二表项标识,所述第二表项标识在所述第二操作系统中指向与所述文件对应的第二索引表项,同一条第二索引表项中不同的第二权限表项索引号映射到所述第二权限表中不同的第二权限表项;并且,每条第二权限表项中记录有第二权限表项索引号、第二权限表项对应的文件的第二访问控制权限、以及具有所述第二访问控制权限的用户第二标识,且同一条第二索引表项中不同的第二权限表项索引号映射的不同第二权限表项中记录有同一文件的第二访问控制权限,
所述装置还包括:
第二索引表项获取单元,用于所述控制权限修改单元根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改之后,获取与第二操作系统的类型匹配的第二索引表,获得所述目标文件的元数据中的第二表项标识,进而从所述第二索引表中获取所述元数据中的第二表项标识指向的第二索引表项;
第二标识获取单元,用于从预设的用户标识转换表中,获取与所述用户标识对应的第二操作系统的所述用户第二标识;所述用户标识转换表中记录有同一个用户在不同类型操作系统下的不同的用户标识;
第二权限表项索引号获取单元,用于在所述第二索引表项中获取第二目标权限表项索引号;所述第二目标权限表项索引号指向的第二权限表项中记录有所述目标文件的第二访问控制权限;
第二权限表项获取单元,用于根据所述第二目标权限表项索引号,从第二权限表中获取记录有所述目标文件的第二访问控制权限的第二权限表项,从获取的第二权限表项中选择记录有所述用户第二标识的第二目标权限表项;
第二控制权限修改单元,用于根据所述访问控制权限修改指令,对所述第二目标权限表项记录的目标文件的第二访问控制权限进行修改,以使得修改后的所述第二访问控制权限与修改后的所述第一访问控制权限相同。
16.根据权利要求9所述的装置,其特征在于,在计算机中新增子文件时,所述子文件继承其父文件具有的父文件表项标识,所述父文件表项标识指向父文件索引表项,以便所述子文件继承所述父文件的访问控制权限,
所述接收单元还用于接收计算机管理员发出的针对所述子文件的新用户权限添加指令以及新用户标识;所述新用户权限添加指令中包含所述新用户对所述子文件的访问控制权限;
所述装置还包括:
权限表项添加单元,用于当接收到所述新用户权限添加指令时,在所述权限表中,添加新增权限表项,所述新增权限表项中包括:新增权限表项索引号,所述新用户对所述子文件的访问控制权限,以及所述新用户标识;
所述索引表项获取单元,还用于根据所述父文件表项标识,获取所述父文件索引表项;
所述装置还包括索引表项添加单元,用于在所述索引表建立新增索引表项,在所述新增索引表项中记录入新增表项标识、所述新增权限表项索引号以及所述父文件索引表项中记录的全部权限表项索引号;
元数据更新单元,用于将所述新增表项标识更新入所述子文件和所述父文件的元数据中,以便根据所述新增表项标识找到所述新增索引表项。
17.一种访问控制权限管理设备,其特征在于,包括:
通信端口,用于接收用户标识、目标文件标识以及用户对目标文件的控制指令;
存储器,用于存储索引表,权限表及处理器执行操作时所需的代码;所述索引表中每一条索引表项记录有至少一个权限表项索引号,同一条索引表项中不同的权限表项索引号映射到所述权限表中不同的权限表项,其中,每个文件的元数据中包含有表项标识,所述表项标识指向与所述文件对应的索引表项
每条权限表项中记录有权限表项索引号、权限表项对应的文件的访问控制权限、以及具有所述访问控制权限的用户标识,且同一条索引表项中不同的权限表项索引号映射的不同权限表项中记录有同一文件的访问控制权限;
处理器,用于获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项;
所述处理器还用于在所述获取的索引表项中获取目标权限表项索引号;所述目标权限表项索引号指向的权限表项中记录有所述目标文件的访问控制权限;根据所述目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项;判断所述控制指令是否符合所述目标权限表项中记录的访问控制权限,当符合时,执行所述控制指令。
18.根据权利要求17所述的设备,其特征在于,所述处理器还用于当所述控制指令不符合所述目标权限表项中记录的访问控制权限时,终止所述控制指令。
19.根据权利要求18所述的设备,其特征在于,所述控制指令包括:读指令、写指令和运行指令。
20.根据权利要求18所述的设备,其特征在于,所述通信端口还用于接收所述用户对所述目标文件的访问控制权限修改指令;
所述处理器还用于:
当所述通信端口接收到所述访问控制权限修改指令时,获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的表项标识,并进而从所述存储器的所述索引表中获取所述元数据中的表项标识指向的索引表项;
在所述获取的索引表项中获取所述目标权限表项索引号;
根据所述目标权限表项索引号,从所述权限表中获取记录有所述目标文件的访问控制权限的权限表项,从获取的权限表项中选择记录所述用户标识的目标权限表项;
根据所述访问控制权限修改指令,对所述目标权限表项记录的目标文件的访问控制权限进行修改。
21.根据权利要求20所述的设备,其特征在于,所述处理器对对所述目标权限表项记录的目标文件的访问控制权限进行修改,具体包括:
删除所述用户对所述目标文件的访问控制权限;或
添加所述用户对所述目标文件的访问控制权限;
所述访问控制权限包括:只读权限、只写权限、读写权限和运行权限。
22.根据权利要求20或21所述的设备,其特征在于,所述存储器存在于网络附属存储NAS设备或文件共享服务器上,并且所述用户通过第一操作系统发送所述访问控制权限修改指令,其中,所述第一操作系统对应的索引表和权限表分别为第一索引表和第一权限表,所述第一索引表中每一条第一索引表项记录有至少一个第一权限表项索引号,其中每个所述文件的元数据中包含第一表项标识,所述第一表项标识在所述第一操作系统中指向与文件对应的第一索引表项,同一条第一索引表项中不同的第一权限表项索引号映射到所述第一权限表中不同的第一权限表项;并且,每条第一权限表项中记录有第一权限表项索引号、第一权限表项对应的文件的第一访问控制权限、以及具有所述第一访问控制权限的用户标识,且同一条第一索引表项中不同的第一权限表项索引号映射的不同第一权限表项中记录有同一文件的第一访问控制权限,
所述处理器还用于根据所述第一操作系统的类型,获取与所述第一操作系统的类型匹配的第一索引表,并获取具有所述目标文件标识的所述目标文件,获得所述目标文件的元数据中的第一表项标识,进而从所述第一索引表中获取所述元数据中的第一表项标识指向的第一索引表项;
所述处理器还用于在所述第一索引表项中获取第一目标权限表项索引号;所述第一目标权限表项索引号指向的第一权限表项中记录有所述目标文件的第一访问控制权限;
所述处理器还用于根据所述第一目标权限表项索引号,从第一权限表中获取记录有所述目标文件的第一访问控制权限的第一权限表项,从获取的第一权限表项中选择记录有所述用户标识的第一目标权限表项;
所述处理器还用于根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改。
23.根据权利要求22所述的设备,当用户通过所述第一操作系统和第二操作系统这两个操作系统对所述文件进行访问时,其特征在于,所述第二操作系统对应的索引表和权限表分别为第二索引表和第二权限表,所述第二索引表中每一条第二索引表项记录有至少一个第二权限表项索引号,其中每个所述文件的元数据中包含第二表项标识,所述第二表项标识在所述第二操作系统中指向与所述文件对应的第二索引表项,同一条第二索引表项中不同的第二权限表项索引号映射到所述第二权限表中不同的第二权限表项;并且,每条第二权限表项中记录有第二权限表项索引号、第二权限表项对应的文件的第二访问控制权限、以及具有所述第二访问控制权限的用户第二标识,且同一条第二索引表项中不同的第二权限表项索引号映射的不同第二权限表项中记录有同一文件的第二访问控制权限,
所述处理器在根据所述访问控制权限修改指令,对所述第一目标权限表项记录的目标文件的第一访问控制权限进行修改之后,还用于获取与第二操作系统的类型匹配的第二索引表,获得所述目标文件的元数据中的第二表项标识,进而从所述第二索引表中获取所述元数据中的第二表项标识指向的第二索引表项;
所述处理器还用于从预设的用户标识转换表中,获取与所述用户标识对应的第二操作系统的所述用户第二标识;所述用户标识转换表中记录有同一个用户在不同类型操作系统下的不同的用户标识;
所述处理器还用于在所述第二索引表项中获取第二目标权限表项索引号;所述第二目标权限表项索引号指向的第二权限表项中记录有所述目标文件的第二访问控制权限;
所述处理器还用于根据所述第二目标权限表项索引号,从第二权限表中获取记录有所述目标文件的第二访问控制权限的第二权限表项,从获取的第二权限表项中选择记录有所述用户第二标识的第二目标权限表项;
所述处理器还用于根据所述访问控制权限修改指令,对所述第二目标权限表项记录的目标文件的第二访问控制权限进行修改,以使得修改后的所述第二访问控制权限与修改后的所述第一访问控制权限相同。
24.根据权利要求17所述的设备,其特征在于,在计算机中新增子文件时,所述子文件继承其父文件具有的父文件表项标识,所述父文件表项标识指向父文件索引表项,以便所述子文件继承所述父文件的访问控制权限,
所述通信端口还用于接收计算机管理员发出的针对所述子文件的新用户权限添加指令以及新用户标识;所述新用户权限添加指令中包含所述新用户对所述子文件的访问控制权限;
所述处理器还用于当通信端口接收到所述新用户权限添加指令时,在所述权限表中,添加新增权限表项,所述新增权限表项中包括:新增权限表项索引号,所述新用户对所述子文件的访问控制权限,以及所述新用户标识;
所述处理器还用于根据所述父文件表项标识,获取所述父文件索引表项;
所述处理器还用于在所述索引表建立新增索引表项,在所述新增索引表项中记录入新增表项标识、所述新增权限表项索引号以及所述父文件索引表项中记录的全部权限表项索引号;
所述处理器还用于将所述新增表项标识更新入所述子文件和所述父文件的元数据中,以便根据所述新增表项标识找到所述新增索引表项。
CN201380000902.9A 2013-03-28 2013-03-28 一种访问控制权限管理方法和装置 Active CN103620616B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2013/073383 WO2014153759A1 (zh) 2013-03-28 2013-03-28 一种访问控制权限管理方法和装置

Publications (2)

Publication Number Publication Date
CN103620616A CN103620616A (zh) 2014-03-05
CN103620616B true CN103620616B (zh) 2016-03-09

Family

ID=50169871

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380000902.9A Active CN103620616B (zh) 2013-03-28 2013-03-28 一种访问控制权限管理方法和装置

Country Status (3)

Country Link
US (1) US20150006581A1 (zh)
CN (1) CN103620616B (zh)
WO (1) WO2014153759A1 (zh)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104754560B (zh) 2013-12-30 2018-11-30 华为终端(东莞)有限公司 一种位置隐私保护方法、装置及系统
CN103942260A (zh) * 2014-03-21 2014-07-23 深圳海联讯科技股份有限公司 一种结构化数据的权限数据索引技术
EP3503479B1 (en) 2014-04-16 2020-09-23 Huawei Technologies Co., Ltd. Flow entry management method and device
EP3182888A1 (en) * 2014-08-22 2017-06-28 Koninklijke Philips N.V. Method and apparatus for measuring blood pressure using an acoustic signal
US9934538B2 (en) * 2014-09-24 2018-04-03 Deere & Company Recalling crop-specific performance targets for controlling a mobile machine
CN104504028A (zh) * 2014-12-15 2015-04-08 浪潮通用软件有限公司 一种指标值的计算方法、装置及系统
US9998472B2 (en) * 2015-05-28 2018-06-12 Google Llc Search personalization and an enterprise knowledge graph
US10326768B2 (en) 2015-05-28 2019-06-18 Google Llc Access control for enterprise knowledge
US10733162B2 (en) * 2015-07-30 2020-08-04 Workday, Inc. Indexing structured data with security information
CN105183315B (zh) * 2015-08-31 2019-03-29 联想(北京)有限公司 一种控制方法及电子设备
CN105429972B (zh) * 2015-11-10 2019-05-24 华为技术有限公司 资源访问控制方法及设备
CN105516320A (zh) * 2015-12-15 2016-04-20 上海贝锐信息科技有限公司 控制权限共享方法及系统
CN105446901A (zh) * 2015-12-28 2016-03-30 青岛海信移动通信技术股份有限公司 多用户终端数据处理方法和装置
CN105718539B (zh) * 2016-01-18 2019-02-19 浪潮通用软件有限公司 一种数据库应用方法及装置
US10250433B1 (en) * 2016-03-25 2019-04-02 WatchGuard, Inc. Method and system for peer-to-peer operation of multiple recording devices
CN106055968B (zh) * 2016-05-31 2019-09-17 北京金山安全软件有限公司 一种权限设置方法、装置及电子设备
CN106355107A (zh) * 2016-08-31 2017-01-25 天津南大通用数据技术股份有限公司 支持快速预判权限的集群数据加载工具及方法
CN106503579A (zh) * 2016-09-29 2017-03-15 维沃移动通信有限公司 一种访问目标文件的方法及装置
WO2018068868A1 (en) * 2016-10-14 2018-04-19 Huawei Technologies Co., Ltd. Apparatus and method for tracking access permissions over multiple execution environments
CN108885671B (zh) 2016-11-16 2021-06-22 华为技术有限公司 一种目录删除方法、装置和存储服务器
CN106921738A (zh) * 2017-03-01 2017-07-04 深圳春沐源农业科技有限公司 一种设备控制方法及装置
US10387681B2 (en) * 2017-03-20 2019-08-20 Huawei Technologies Co., Ltd. Methods and apparatus for controlling access to secure computing resources
CN107220558A (zh) * 2017-05-24 2017-09-29 郑州云海信息技术有限公司 一种权限管理的方法、装置及系统
CN107451486B (zh) 2017-06-30 2021-05-18 华为技术有限公司 一种文件系统的权限设置方法及装置
SG10201706106QA (en) * 2017-07-26 2019-02-27 Huawei Int Pte Ltd Searchable Encryption with Hybrid Index
CN107609027B (zh) * 2017-08-08 2020-06-02 捷开通讯(深圳)有限公司 设置文件防删除标志位和防止误删除文件的方法及装置
CN107612763B (zh) * 2017-11-08 2020-10-02 浪潮通用软件有限公司 元数据管理方法、应用服务器、业务系统、介质及控制器
CN108280367B (zh) * 2018-01-22 2023-12-15 腾讯科技(深圳)有限公司 数据操作权限的管理方法、装置、计算设备及存储介质
CN109145621B (zh) * 2018-08-14 2021-09-14 创新先进技术有限公司 文档管理方法及装置
CN109284617A (zh) * 2018-09-06 2019-01-29 郑州云海信息技术有限公司 控制多进程访问磁盘文件的方法、装置及存储介质
CN109669718A (zh) * 2018-09-26 2019-04-23 深圳壹账通智能科技有限公司 系统权限配置方法、装置、设备及存储介质
CN109711188A (zh) * 2018-12-18 2019-05-03 成都四方伟业软件股份有限公司 数据权限处理方法、装置、设备及存储介质
CN110032840B (zh) * 2019-04-16 2022-12-02 广东欧谱曼迪科技有限公司 一种对外接存储设备的医疗器械访问权限控制的方法
CN112784283B (zh) * 2019-11-08 2024-07-05 华为技术有限公司 能力的管理方法和计算机设备
CN111581156B (zh) * 2020-04-27 2024-03-29 上海鸿翼软件技术股份有限公司 一种文件权限控制方法、装置、设备及介质
WO2022056740A1 (zh) * 2020-09-16 2022-03-24 华为技术有限公司 电子控制单元及其数据访问方法与装置
CN113378119B (zh) * 2021-06-25 2023-04-07 成都卫士通信息产业股份有限公司 一种软件授权方法、装置、设备及存储介质
CN113518089A (zh) * 2021-07-15 2021-10-19 杭州华橙软件技术有限公司 访问设备的管理方法及装置、存储介质、电子装置
JP7075689B1 (ja) * 2021-07-19 2022-05-26 株式会社BoostDraft 変更履歴統合プログラム、及び変更履歴統合システム
US20230074216A1 (en) * 2021-09-08 2023-03-09 EMC IP Holding Company LLC System and method for preserving access control lists in storage devices

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1848022A (zh) * 2005-04-13 2006-10-18 华为技术有限公司 一种基于访问控制列表的权限控制方法
CN101616126A (zh) * 2008-06-23 2009-12-30 华为技术有限公司 实现数据访问权限控制的方法、装置及系统
CN101714172A (zh) * 2009-11-13 2010-05-26 华中科技大学 一种支持访问控制的索引结构及其检索方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004164555A (ja) * 2002-09-17 2004-06-10 Fuji Xerox Co Ltd 検索装置および方法ならびにそのインデクス構築装置および方法
US7917474B2 (en) * 2005-10-21 2011-03-29 Isilon Systems, Inc. Systems and methods for accessing and updating distributed data
US9483491B2 (en) * 2011-11-29 2016-11-01 Egnyte, Inc. Flexible permission management framework for cloud attached file systems

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1848022A (zh) * 2005-04-13 2006-10-18 华为技术有限公司 一种基于访问控制列表的权限控制方法
CN101616126A (zh) * 2008-06-23 2009-12-30 华为技术有限公司 实现数据访问权限控制的方法、装置及系统
CN101714172A (zh) * 2009-11-13 2010-05-26 华中科技大学 一种支持访问控制的索引结构及其检索方法

Also Published As

Publication number Publication date
WO2014153759A1 (zh) 2014-10-02
US20150006581A1 (en) 2015-01-01
CN103620616A (zh) 2014-03-05

Similar Documents

Publication Publication Date Title
CN103620616B (zh) 一种访问控制权限管理方法和装置
US8612488B1 (en) Efficient method for relocating shared memory
US7783737B2 (en) System and method for managing supply of digital content
US20080034438A1 (en) Multiple hierarchy access control method
US8364683B2 (en) Importing and reconciling resources from disjoint name spaces to a common namespace
US11443054B2 (en) Referenced access control list
KR20210075845A (ko) 네이티브 키-밸류 분산 스토리지 시스템
US11811839B2 (en) Managed distribution of data stream contents
US10509766B2 (en) Storing and retrieving restricted datasets to and from a cloud network with non-restricted datasets
CN109656889B (zh) 基于区块链的文件系统实现方法、装置、设备和存储介质
CN104145468A (zh) 一种文件访问权限控制方法及装置
US20220103565A1 (en) Team member transfer tool
CN105635311A (zh) 一种云管理平台中资源池信息同步的方法
US20100011408A1 (en) Implementing Organization-Specific Policy During Establishment of an Autonomous Connection Between Computer Resources
EP2680146B1 (en) Co-authoring for a document management system
CN109656886B (zh) 基于键值对的文件系统实现方法、装置、设备和存储介质
US8380806B2 (en) System and method for absolute path discovery by a storage virtualization system
WO2015103982A1 (en) Method and apparatus for processing request
CN108073352A (zh) 虚拟磁盘处理方法及装置
US9590839B2 (en) Controlling access to a shared storage system
CN104199926B (zh) 文件归档实现方法和装置以及文件访问方法和装置
CN111274004A (zh) 进程实例管理方法、装置及计算机存储介质
US9111114B1 (en) Method of transforming database system privileges to object privileges
CN112785248B (zh) 人力资源数据跨组织交互方法、装置、设备和存储介质
DE112018005283T5 (de) Deduplizierung für dateien in einem cloud-computing-speicher und in datenübertragungswerkzeugen

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant