CN104145468B - 一种文件访问权限控制方法及装置 - Google Patents
一种文件访问权限控制方法及装置 Download PDFInfo
- Publication number
- CN104145468B CN104145468B CN201480000306.5A CN201480000306A CN104145468B CN 104145468 B CN104145468 B CN 104145468B CN 201480000306 A CN201480000306 A CN 201480000306A CN 104145468 B CN104145468 B CN 104145468B
- Authority
- CN
- China
- Prior art keywords
- ace
- acl
- flag
- file
- caching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例提供一种文件访问权限控制方法及装置,涉及通信领域,能够提升访问控制列表ACL鉴权的效率,降低系统的整体开销。该方法包括:读取初始访问控制列表ACL中的访问控制项ACE,所述ACE至少包括用户标识、以及与所述用户标识对应的成员变量;判断所述ACE中是否包含有只继承IO标志位;将不包含有IO标志位的ACE保存至缓存ACL中;将所述缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL,所述改进ACL用于对文件进行ACL鉴权。
Description
技术领域
本发明涉及通信领域,尤其涉及一种文件访问权限控制方法及装置。
背景技术
在文件系统的服务器中,访问控制列表(ACL,Access Control List)用于控制用户或群组成员对文件夹或文件的访问权限,即文件系统的服务器根据ACL来控制用户或群组成员对文件夹或文件的访问权限。在文件系统中,每一个目录或文件都会对应有一个ACL,在文件的创建、删除、读写数据以及设置属性等多个操作中都会根据ACL对用户的操作权限进行限制,这样也提高了文件系统的安全性。
在现有技术中,对文件进行访问权限鉴权时,即对文件进行ACL鉴权时,文件系统的服务器将需要的ACL从扩展属性中读取出来,然后遍历ACL中所有的访问控制项(ACE,Access Control Entry),找出和当前用户相关联的所有ACE,并对该ACE逐一进行比较判断。
然而,由于文件系统中的ACL有可能包含上千条ACE,遍历所有的ACE并判断用户或群组是否有权限访问文件或者文件夹,过程繁琐,时间消耗大,效率低。
发明内容
本发明的实施例提供一种文件访问权限控制方法及装置,解决了文件系统的服务器对文件进行访问控制列表ACL鉴权时,遍历所有访问控制项ACE而导致的时间浪费、低效率问题,本发明能够提升ACL鉴权的效率,降低系统的整体开销。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明实施例提供一种文件访问权限控制方法,该方法包括:
读取初始访问控制列表ACL中的访问控制项ACE,所述ACE至少包括用户标识、以及与所述用户标识对应的成员变量;
判断所述初始ACE中是否包含有只继承IO标志位;
将不包含有IO标志位的ACE保存至缓存ACL中;
将所述缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL,所述改进ACL用于对文件进行ACL鉴权。
在第一方面的第一种可能的实现方式中,所述用户标识包括用户标示符或群组标示符;所述与各个用户标识对应的成员变量至少包括类型Type、权限Permission和标识Flag;其中,所述Flag中包括IO标志位、子文件夹继承CI标志位和子文件继承OI标志位中的至少一个。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,将所述改进ACL存储至系统的特定扩展属性中,所述特定扩展属性为文件系统内部根据预设关键字约定设置的。
结合前述的第一方面或第一方面的第一种可能的实现方式至第二种可能的实现方式,在第三种可能的实现方式中,所述判断所述ACE中是否包含有只继承IO标志位之后,所述将不包含有IO标志位的ACE保存至缓存ACL中之前,所述方法还包括:
统计所述初始ACL中包含有IO标志位的ACE的数量。
结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,若所述包含有IO标志位的ACE的数量大于预设门限值,则执行所述将不包含有IO标志位的ACE保存至缓存ACL中。
第二方面,本发明实施例提供一种服务器,包括:
获取单元,用于读取初始访问控制列表ACL中的访问控制项ACE,所述ACE至少包括用户标识、以及与所述用户标识对应的成员变量;
判断单元,用于判断所述获取单元获取到的所述ACE中是否包含有只继承IO标志位;
预存储单元,用于将所述判断单元确定的不包含有IO标志位的ACE保存至缓存ACL中;
处理单元,用于将预存储单元存储的所述缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL,所述改进ACL用于对文件进行ACL鉴权。
在第二方面的第一种可能的实现方式中,所述用户标识包括用户标示符或群组标示符;所述与各个用户标识对应的成员变量至少包括类型Type、权限Permission和标识Flag;其中,所述Flag中包括IO标志位、子文件夹继承CI标志位和子文件继承OI标志位中的至少一个。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述服务器还包括存储单元,
所述存储单元,用于在所述处理单元将所述缓存ACL中有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL之后,将所述改进ACL存储至系统的文件中,所述特定扩展属性为系统内部根据预设关键字约定设置的。
结合前述的第二方面或第二方面的第一种可能的实现方式至第二种可能的实现方式,在第三种可能的实现方式中,所述服务器还包括统计单元,
所述统计单元,用于在所述判断单元判断所述ACE中是否包含有只继承IO标志位之后,所述预存储单元将不包含有IO标志位的ACE保存至缓存ACL中之前,统计所述初始ACL中包含有IO标志位的ACE的数量。
结合第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,若所述包含有IO标志位的ACE的数量大于预设门限值,则执行所述将不包含有IO标志位的ACE保存至缓存ACL中。
第三方面,本发明实施例还提供一种服务器,包括:
处理器,用于读取初始访问控制列表ACL中的访问控制项ACE,所述ACE至少包括用户标识、以及与所述用户标识对应的成员变量,以及用于判断所述ACE中是否包含有只继承IO标志位,以及用于将所述缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL,所述改进ACL用于对文件进行ACL鉴权;
存储器,用于将所述不包含有IO标志位的ACE保存至缓存ACL中。
在第三方面的第一种可能的实现方式中,所述用户标识包括用户标示符或群组标示符;所述与各个用户标识对应的成员变量至少包括类型Type、权限Permission和标识Flag;其中,所述Flag中包括IO标志位、子文件夹继承CI标志位和子文件继承OI标志位中的至少一个。
结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述存储器,还用于在所述处理器将所述缓存ACL中有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL之后,将所述改进ACL存储至系统的文件中,所述特定扩展属性为系统内部根据预设关键字约定设置的。
结合前述的第三方面或第三方面的第一种可能的实现方式至第二种可能的实现方式,在第三种可能的实现方式中,所述服务器还包括计数器,
所述计数器,用于在所述处理器判断所述ACE中是否包含有只继承IO标志位之后,所述存储器将不包含有IO标志位的ACE保存至缓存ACL中之前,统计所述初始ACL中包含有IO标志位的ACE的数量。
结合第三方面的第三种可能的实现方式,在第三方面的第四种可能的实现方式中,所述存储器,具体用于若所述计数器统计所述包含有IO标志位的ACE的数量大于预设门限值,则执行所述将不包含有IO标志位的ACE保存至缓存ACL中。
本发明实施例提供一种文件访问权限控制方法及装置,服务器读取初始访问控制列表ACL中的访问控制项ACE,判断初始ACL的ACE中是否包含有只继承IO标志位,并将不包含有只继承IO标志位的ACE保存至缓存ACL中,将缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL,以便于对文件进行ACL鉴权时,直接获取改进ACL进行鉴权。通过该方案,本发明只在服务器端对文件系统内部进行改进,因此改进ACL的生成不会影响到客户端的既有流程。而且,改进ACL中的ACE只包含有影响文件系统的服务器对文件进行ACL鉴权的标志位,从而对文件进行ACL鉴权时,服务器可以直接获取改进ACL进行鉴权,不需要遍历所有初始ACL中所有的ACE,提升访问控制列表ACL鉴权的效率,降低系统的整体开销。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种典型的NAS文件系统的系统框架示意图;
图2为本发明实施例的文件访问权限控制方法流程示意图一;
图3为本发明实施例的缓存ACL中有相同用户标识的ACE合并的流程示意图;
图4为本发明实施例的文件访问权限控制方法流程示意图二;
图5为本发明实施例的服务器结构示意图一;
图6为本发明实施例的服务器结构示意图二;
图7为本发明实施例的服务器结构示意图三;
图8为本发明实施例的服务器结构示意图四。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
在文件系统的服务器中,由于多用户共享文件系统中的文件,为了保证文件的安全性,通常需要针对不同的用户或用户群组的读、写或修改等操作进行权限控制。
为了便于控制权限,文件系统的服务器中的每一个文件夹或文件都对应一个访问控制列表(ACL,Access Control List),且该ACL存储在文件系统的服务器中。ACL用来存储文件系统的服务器中文件和文件夹的访问权限。它是由许多ACE(Access Control Entry,访问控制项)组成的列表,每个访问控制项定义一个用户或群组及其对应的访问权限,即用户对文件的创建、读、写、属性设置等操作是否被允许。ACL具有继承性和叠加性等特点。
其中,继承性是指在默认情况下授予父文件夹的权限将被该父文件夹下的子文件夹或文件所继承,也可以说文件或文件夹默认继承分区或父文件夹的权限,并且继承来的权限不能被直接修改。叠加性是指如一个组Group1中有两个用户User1、User2,用户User1、User2同时对某文件或文件夹的访问权限分别为“读取”和“写入”,那么组Group1对该文件或文件夹的访问权限就为User1和User2的访问权限之和,即“读取”+“写入”=“写入”。又如一个用户User1同属于组Group1和Group2,Group1对某一文件或目录的访问权限为“只读”型的,而Group2对这一文件或文件夹的访问权限为“完全控制”型的,则用户User1对该文件或文件夹的访问权限为两个组权限累加所得,即:“只读”+“完全控制”=“完全控制”。
NAS(Network Attached Storage,网络附加存储)是一种采用直接与网络介质相连的特殊设备实现数据存储的机制。由于这些设备都分配有IP地址,所以客户端通过充当数据网关的服务器可以对其进行访问。NAS设备在数据必须长距离传送的环境中可以很好地发挥作用。NAS应用于高效的文件共享任务中,例如UNIX操作系统中的NFS(Network FileSystem,网络文件系统)和Windows NT(Windows New Technology,微软新技术)中的CIFS(Common Internet File System,通用互联网文件系统)。
DAS(Direct Attached Storage,直连式存储)依赖服务器主机操作系统进行数据的I/O(Input/Output,输入/输出)读写和存储维护管理,数据备份和恢复要求占用服务器主机资源,数据流需要回流主机再到服务器连接着的数据库。DAS本身是硬件的堆叠,不带有任何存储操作系统。其中,存储设备是通过电缆直接到服务器的,I/O(输入/输出)请求直接发送到存储设备。
SAS(Serial Attached Small Computer System Interface,串行连接小型计算机系统接口)存储系统采用串行技术以获得更高的传输速度,并通过缩短连接线改善内部空间等。SAS的接口技术可以向下兼容SATA(Serial Advanced Technology Attachment,串行高级技术附件)。SAS系统的背板既可以连接具有双端口、高性能的SAS驱动器,也可以连接高容量、低成本的SATA驱动器。由于SAS系统的兼容性,IT人员能够运用不同接口的硬盘来满足各类应用在容量上或效能上的需求,因此在扩充存储系统时拥有更多的弹性,让存储设备发挥最大的投资效益。
目前大部分文件系统都支持通过ACL来实现对文件的权限控制,文件系统中不同的客户端可以使用不同的ACL机制。例如,如图1所示,是一个典型的NAS文件系统的系统架构图,三个支持不同ACL机制的客户端分别连接至文件系统的服务器,客户端分别为:支持NT ACL(New Technology Access Control List,新技术访问控制列表)的Windows客户端、支持NT ACL的MAC(Macintosh,麦金塔)系统客户端和支持NFSv4(Network File Systemversion4,网络文件系统版本4)ACL的LINUX/UNIX客户端。其中,NT ACL中包含用户对文件的读、写、可执行、设置属性等访问操作的权限,NFSv4ACL中包含用户对文件的读、写和可执行三种访问操作的权限。
现有技术中,NT ACL或NFSv4ACL会被直接保存到文件系统元数据的扩展属性中。每当用户发起对文件的操作,文件系统的服务器就需要进行访问权限鉴权,即文件系统的服务器就需要对文件进行ACL鉴权。文件系统的服务器会将ACL从扩展属性中读取出来,然后遍历所有的ACE,找出和当前访问用户相关联的ACE,并对该ACE逐一进行比较判断,这样文件系统的服务器进行ACL鉴权的时间消耗大,效率低。
本发明实施例提供一种文件访问权限控制方法及装置,解决了文件系统的服务器进行ACL鉴权时,遍历访问控制列表ACL中所有访问控制项ACE而导致的时间浪费、低效率问题,本发明能够提升ACL鉴权的效率,降低系统的整体开销。
本发明实施例中描述的实现方法适合于网络附加存储NAS系统、直连式存储DAS系统、串行连接小型计算机系统接口SAS存储系统等文件系统中。
实施例一
本发明实施例提供一种文件访问权限控制方法,如图2所示,该方法包括:
S101、服务器读取初始ACL中的ACE。
每当用户发起对文件的操作请求,文件系统的服务器就需要对文件进行ACL鉴权。服务器将ACL从服务器元数据的扩展属性中读取出来。然后遍历ACL中的所有ACE,找出和当前访问用户相关联的ACE。
其中,ACL存储有文件系统中文件夹和文件的访问权限,ACL中包含有许多访问控制项ACE,每个访问控制项记录一个用户或群组及其对应的访问权限。ACE至少包括用户标识(例如:用户标示符或群组标示符)、以及与用户标识对应的成员变量(例如:能否访问的类型Type、权限Permission和标识Flag)。
具体的,每条ACE中的成员变量的标识Flag用于记录该ACE的继承标志位,ACE的继承标志位包括IO(Inherit Only,只继承)标志位、CI(Container Inherit,子文件夹继承)标志位和OI(Object Inherit,子文件继承)标志位中的至少一个。IO标志位表示该IO标志位所在的ACE不应用于当前文件夹或当前文件,即当用户访问的文件夹的ACL中该用户对应的ACE中包含有IO标志位,ACE中的访问权限对所述用户的访问没有影响,也就是说不对用户访问该文件夹进行权限限制。CI标志位表示该CI标志位所在的ACE由当前文件夹的子文件夹继承,OI标志位表示该OI标志位所在的ACE由当前文件夹的子文件继承。
示例性的,若ACL为NT ACL,且该NT ACL中包含2条访问控制项ACE,每条ACE包含用户标识ID、该用户能否访问文件的类型Type、权限Permission和标识Flag,NT ACL的结构如表1所示。
表1
其中,该NT ACL中包含NT ACE0和NT ACE1,NT ACE0中包含用户ID:UserA(用户A),用户A能否访问文件的类型type为:allow(允许),用户A对文件的权限permission为list_directory(列出文件夹),这条ACE携带的标识Flag有标志位OI和CI,其中,列出文件夹代表用户A可以读取文件夹。NT ACE1中包含用户ID:UserA(用户A),用户A能否访问文件的类型type为:allow(允许),用户A对文件的权限permission为add_file(创建文件夹),这条ACE携带的标识Flag有标志位OI和IO。
可选的,本发明实施例中描述的初始访问控制列表ACL可以是NTACL,也可以是NFSv4ACL,ACL的类型对于本发明实施例中描述的方法的实现没有影响。
需要说明的是,该初始ACL可以是文件系统的服务器自带的ACL,也可以是文件系统中ACL继承父文件夹后生成的ACL,还可以是客户端手动设置生成的ACL。
例如,若初始ACL为NAS系统中的NT ACL,NT ACL由零条或多条ACE构成,则NAS系统的服务器在对文件进行ACL鉴权时,NAS系统的服务器先读取该NT ACL中的所有ACE。
S102、服务器判断初始ACL的ACE中是否包含有IO标志位。
ACL是由许多访问控制项ACE组成的列表,每个访问控制项ACE记录一个用户或群组及其对应的访问权限,ACE中至少包括用户标识、以及与用户标识对应的成员变量。
其中,ACE成员变量中有一成员变量标识Flag记录有IO标志位、CI标志位和OI标志位中的至少一个。
具体的,IO标志位表示该IO标志位所在的ACE不影响当前文件夹本身的鉴权,即包含有IO标志位的ACE不影响父文件夹的鉴权,它依赖于CI标志位和/或OI标志位的存在,不能单独存在。CI标志位和/或OI标志位会影响子文件夹和/或子文件的鉴权。在新建子文件夹或者子文件时,可以根据父文件夹对应的ACE中的这些标志位获知如何将父文件夹对应的ACE传播到子文件夹和/或子文件对应的ACE中。
由于,IO标志位不影响对应的父文件夹本身的鉴权,所以,在文件系统的服务器对文件夹或文件进行ACL鉴权时,需判断ACL中的对应的ACE中是否包含有IO标志位,如果包含IO标志位,则说明该条ACE不影响当前文件夹或文件的鉴权,若不包含IO标志位,则说明该条ACE影响当前文件夹或文件的鉴权。
例如,若初始ACL为NAS系统中的NFSv4ACL,该NFSv4ACL由零条或多条ACE构成,NAS系统在对文件进行ACL鉴权时,NAS系统的服务器读取该NFSv4ACL中的所有ACE,通过ACE的信息,判断ACE中是否包含有IO标志位,从而判断哪条ACE会影响对文件进行ACL鉴权。
S103、服务器将不包含有IO标志位的ACE保存至缓存ACL中。
具体的,在服务器读取初始ACL中的ACE后,服务器确定不包含IO标志位的ACE,并将该不包含IO标志位的ACE保存至缓存ACL中。
进一步地,由于IO标志位表示包含IO标志位的ACE不影响父文件夹本身的鉴权,而缓存ACL是由不包含IO标志位的ACE构成的,因此缓存ACL中的所有ACE都会影响父文件夹的鉴权。
S104、服务器将缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL。
缓存ACL中只有不包含IO标志位的ACE,每条ACE中包含用户标识以及与用户标识对应的成员。文件系统的服务器读取该缓存ACL中的ACE后,获得每条ACE的用户标识,然后将包含有相同用户标识的ACE合并,进而得到改进ACL。
具体的,文件系统的服务器将包含有相同用户标识且携带有相同的用户能否访问文件的类型的ACE进行合并,其中,包含有相同用户标识且携带有相同的用户能否访问文件的类型的ACE中的权利位取并集。
需要说明的是,由于ACE中的成员变量的标识Flag用于记录该ACE的继承标志位,且包含有IO标志位的ACE不影响父文件夹的鉴权,只影响父文件夹的继承,CI标志位和/或OI标志位会影响子文件夹和/或子文件的鉴权,而缓存ACL中只有不包含IO标志位的ACE,即缓存ACL中的继承标志位中的标志位只会影响子文件夹和/或子文件的鉴权,不会影响子文件夹和/或子文件的的继承。因此,服务器将缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL后,用于记录ACE的继承标志位的标识Flag中的标志位只会影响子文件夹和/或子文件的鉴权,不会影响子文件夹和/或子文件的的继承,即改进ACL的ACE中的标识Flag的存在没有意义,也就是说,改进ACL的ACE中的标识Flag不存在。
由于,改进ACL中不存在IO标志位,因此,文件系统的服务器对文件进行ACL鉴权时,可直接获取该改进ACL,通过读取改进ACL中的ACE来进行ACL鉴权。
进一步地,若文件系统的服务器中已经存在改进ACL,则当文件系统的服务器中的初始ACL更新时,改进ACL也进行相应的更新。文件系统的服务器采用本发明实施例提供的方法对改进ACL进行更新,即文件系统的服务器读取更新后的初始ACL中的每条ACE,根据ACE中的继承标志位,将会影响ACL鉴权的ACE提取出来,然后针对相同用户或组的ACE进行合并,得到更新后的改进ACL。此时,文件系统的服务器会将存储的旧的改进ACL舍弃,用新生成的改进ACL代替。
可选的,改进ACL可以是改进NT ACL,也可以是改进NFSv4ACL。
示例性的,如图3所示,Temp ACL为缓存ACL,若缓存ACL中的ACE数量为二百条,其中ACE0和ACE1中的用户信息都为用户A,且ACE0和ACE1中的用户能否访问文件的类型均为allow(允许),ACE0中的权限为list_directory,ACE1中的权限为add_file,文件系统的服务器则将ACE0和ACE1进行合并,其中,ACE0和ACE1的权利位permission取并集,因此服务器将缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到Access ACL(改进ACL),改进ACL中包含用户A的ACE的权限为:list_directory和add_file。
需要说明的是,在本发明实施例生成改进ACL的过程由服务器在文件系统内部进行改进,改进ACL的生成不会影响到客户端的既有流程。
本发明实施例提供一种文件访问权限控制方法,服务器读取初始访问控制列表ACL中的访问控制项ACE,其中,ACE至少包括用户标识、以及与用户标识对应的成员变量。然后,判断ACE中是否包含有只继承IO标志位,并将不包含有IO标志位的ACE保存至缓存ACL中。最后,将缓存ACL中有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL;其中,改进ACL用于对文件进行ACL鉴权。通过该方案,由于本发明只由服务器在文件系统内部进行改进,因此改进ACL的生成不会影响到客户端的既有流程,而且,改进ACL中的ACE只包含有影响文件系统的服务器对文件进行ACL鉴权的标志位,从而对文件进行ACL鉴权时,服务器可以直接获取改进ACL进行鉴权,不需要遍历所有初始ACL中所有的ACE,提升访问控制列表ACL鉴权的效率,降低系统的整体开销。
实施例二
本发明实施例提供一种文件访问权限控制方法,如图4所示,该方法包括:
S201、服务器读取初始ACL中的ACE。
当文件系统的服务器对文件进行ACL鉴权时,服务器将ACL从扩展属性中读取出来,然后遍历所有ACE,找出和当前访问用户相关联的ACE。
具体的,文件系统的服务器对文件进行ACL鉴权时,首先读取初始访问控制列表ACL中的访问控制项ACE。
其中,ACE至少包括用户标识、以及与各个用户标识对应的成员变量。用户标识包括用户标示符或群组标示符。与各个用户标识对应的成员变量至少包括用户能否访问文件的类型Type、权限Permission和标识Flag。
具体的,每条ACE中的成员变量标识Flag记录有该ACE的继承标志位,ACE的继承标志位包括IO(Inherit Only,只继承)、CI(Container Inherit,子文件夹继承)和OI(ObjectInherit,子文件继承)中的至少一个。IO标志位表示该IO标志位所在的ACE不应用于当前文件夹或当前文件,即对包含有IO标志位的ACE进行鉴权是不起作用的,CI标志位表示子文件夹将继承该CI标志位所在的ACE,OI标志位表示子文件将继承该OI标志位所在的ACE。
可选的,初始访问控制列表ACL可以是NT ACL,也可以是NFSv4ACL。
需要说明的是,该初始ACL可以是文件系统的服务器自带的ACL,也可以是文件系统的服务器中ACL继承父文件夹后生成的ACL,还可以是客户端手动设置生成的ACL。
例如,若初始ACL为NAS系统中的NT ACL,NT ACL由零条或多条ACE构成,则NAS系统的服务器在对文件进行ACL鉴权时,NAS系统的服务器先读取该NT ACL中的所有ACE。
S202、服务器判断初始ACL的ACE中是否包含有IO标志位。
其中,IO标志位记录在ACE中的成员变量Flag中。
ACL是由许多访问控制项ACE组成的列表,每个访问控制项ACE定义一个用户或群组及其权限,ACE中至少包括用户标识、以及与各个用户标识对应的成员变量。
其中,ACE成员变量中有一成员变量标识Flag记录相对应用户的只继承IO标志位、子文件夹继承CI标志位和子文件继承OI标志位中的至少一个。
进一步地,IO标志位不影响父文件夹本身的鉴权,即包含有IO标志位的ACE不影响父文件夹的鉴权,它依赖于CI标志位和/或OI标志位的存在,CI标志位和/或OI标志位会影响子文件夹和/或子文件的鉴权。在新建子文件夹或者子文件时,可以根据父文件夹ACE中的这些标志位获知如何将ACE传播到子文件夹和/或子文件的ACE中。
示例性的,ACE中的IO标志位和/或CI标志位和/或OI标志位的传播结果如表2所示:
表2
其中,目标文件夹代表父文件夹本身。
由表2可知,包含有IO标志位的ACE不影响父文件夹本身的鉴权。
进一步地,由于IO标志位不影响父文件夹本身的鉴权,在文件系统的服务器对文件夹或文件进行ACL鉴权时,需判断ACE中是否包含有IO标志位,如果包含IO标志位,则说明该条ACE不影响鉴权,若不包含,则说明该条ACE影响鉴权。
例如,若初始ACL为NAS系统中的NFSv4ACL,该NFSv4ACL由零条或多条ACE构成,NAS系统的服务器在对文件进行ACL鉴权时,先读取该NFSv4ACL中的所有ACE,通过ACE的信息,判断ACE中是否包含有IO标志位,从而判断哪条ACE会影响对文件的ACL鉴权。
S203、服务器统计初始ACL中包含有IO标志位的ACE的数量。
文件系统的服务器在读取初始ACL中的ACE时,会自动获取初始ACL中ACE的数量。服务器在判断初始ACL的ACE中是否包含有IO标志位后,统计该初始ACL中不影响鉴权的ACE的数量,即统计初始ACL中包含有IO标志位的ACE的数量,进而判断初始ACL中包含有IO标志位的ACE的数量是否大于预设门限值,以便于决定是否需要筛选出会影响鉴权的ACE。
例如,若初始ACL为NAS系统中的NT ACL,该NT ACL由三千条ACE构成,其中有二百条ACE包含IO标志位,则NAS系统在读取该NT ACL中的所有ACE信息后,统计该NT ACL中包含IO标志位的ACE的数量为二百条。
S204、若包含有IO标志位的ACE的数量大于预设门限值,服务器则将不包含有IO标志位的ACE保存至缓存ACL中。
具体的,在文件系统的服务器读取初始ACL中的ACE,并统计了该初始ACL中包含有IO标志位的ACE的数量后,文件系统的服务器根据预设门限值,判断初始ACL中包含有IO标志位的ACE的数量是否大于预设门限值。
进一步地,若包含有IO标志位的ACE的数量大于预设门限值,则文件系统的服务器将不包含有IO标志位的ACE保存至缓存ACL中,由于IO标志位不影响父文件夹本身的鉴权,且缓存ACL中只包含有除IO标志位以外的标志位,因此缓存ACL中的所有ACE都会影响文件的鉴权。
例如,若NAS系统中的NT ACL包含有两千条ACE,其中有三百条ACE包含有IO标志位,当包含有IO标志位的ACE的数量大于预设门限值二百条时,NAS系统的服务器将一千七百条不包含有IO标志位的ACE保存至缓存ACL中。
S205、服务器将缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL。
具体的,缓存ACL中只有不包含IO标志位的ACE,每条ACE中包含有自身的用户标识信息,文件系统的服务器读取该缓存ACL中的所有ACE后,获得缓存ACL中的每条ACE的用户标识信息,该用户标识信息中有相同的用户标识存在,文件系统的服务器将缓存ACL中包含有相同用户标识的ACE合并。
其中,文件系统的服务器将缓存ACL中包含有相同用户标识且携带有相同的用户能否访问文件的类型的ACE中的权利位取并集。进而,得到改进ACL,这样,针对同一用户标识,改进ACL中只包含有一ACE,在文件系统的服务器对文件进行ACL鉴权时,时间消耗较少。
需要说明的是,由于ACE中的成员变量的标识Flag用于记录该ACE的继承标志位,且包含有IO标志位的ACE不影响父文件夹的鉴权,只影响父文件夹的继承,CI标志位和/或OI标志位会影响子文件夹和/或子文件的鉴权,而缓存ACL中只有不包含IO标志位的ACE,即缓存ACL中的继承标志位中的标志位只会影响子文件夹和/或子文件的鉴权,不会影响子文件夹和/或子文件的的继承。因此,服务器将缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL后,用于记录ACE的继承标志位的标识Flag中的标志位只会影响子文件夹和/或子文件的鉴权,不会影响子文件夹和/或子文件的的继承,即改进ACL的ACE中的标识Flag的存在没有意义,也就是说,改进ACL的ACE中的标识Flag不存在。
进一步地,若文件系统的服务器中已经存在改进ACL,则当文件系统的服务器中的初始ACL更新时,改进ACL也进行更新。文件系统的服务器采用本发明实施例提供的方法对改进ACL进行同步更新,即文件系统的服务器读取更新后的初始ACL中的每条ACE,根据ACE中的继承标志位,将会影响ACL鉴权的ACE提取出来,然后针对相同用户或组的ACE进行合并,得到更新后的改进ACL。此时,文件系统的服务器会将存储的旧的改进ACL舍弃,用新生成的改进ACL代替。
可选的,改进ACL可以是改进NT ACL,也可以是改进NFSv4ACL。
例如,缓存ACL中的ACE数量为二百条,该ACE中的用户信息有用户A、用户C和群组B,则将用户标识信息为用户A的ACE、用户标识信息为用户C的ACE和用户标识信息为群组B的ACE分别合并,各个用户ACE的权限位取并集,即得到改进ACL。
S206、服务器将改进ACL存储至系统的特定扩展属性中。
一般情况下,ACL会被直接保存到文件系统元数据的扩展属性中。该扩展属性是文件系统内部约定好的,文件系统通过关键字可查找的属性。
具体的,在生成改进ACL后,文件系统将其存储至文件系统的特定扩展属性中。该特定扩展属性也是文件系统内部根据预设关键字约定设置的。
需要注意的是,改进ACL存储的特定扩展属性与初始ACL存储的扩展属性是不同的,二者关键字不同,关键字的具体内容,本发明实施例不做限定。
本发明实施例提供一种文件访问权限控制方法,服务器读取初始访问控制列表ACL中的访问控制项ACE,其中,ACE至少包括用户标识、以及与各个用户标识对应的成员变量,然后,判断ACE中是否包含有只继承IO标志位,并将不包含有IO标志位的ACE保存至缓存ACL中,最后,将缓存ACL中有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL,其中,改进ACL用于对文件进行ACL鉴权。通过该方案,由于本发明由服务器在文件系统内部进行改进,因此改进ACL的生成不会影响到客户端的既有流程。而且,改进ACL中的ACE只包含有影响文件系统的服务器对文件进行ACL鉴权的标志位,从而对文件进行ACL鉴权时,服务器可以直接获取改进ACL进行鉴权,不需要遍历所有初始ACL中所有的ACE,提升访问控制列表ACL鉴权的效率,降低系统的整体开销。
实施例三
本发明实施例提供一种服务器1,如图5所示,包括:
获取单元10,用于读取初始访问控制列表ACL中的访问控制项ACE,所述ACE至少包括用户标识、以及与所述用户标识对应的成员变量;
判断单元11,用于判断所述获取单元10获取到的所述ACE中是否包含有只继承IO标志位;
预存储单元12,用于将所述判断单元11确定的不包含有IO标志位的ACE保存至缓存ACL中;
处理单元13,用于将预存储单元12存储的所述缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL,所述改进ACL用于对文件进行ACL鉴权。
进一步地,所述用户标识包括用户标示符或群组标示符;
所述与各个用户标识对应的成员变量至少包括用户能否访问文件的类型Type、权限Permission和标识Flag;
其中,所述Flag中包括IO标志位、子文件夹继承CI标志位和子文件继承OI标志位中的至少一个。
进一步地,如图6所示,所述服务器还包括存储单元15,
所述存储单元15,用于在所述处理单元13将所述缓存ACL中有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL之后,将所述改进ACL存储至系统的文件中,所述特定扩展属性为系统内部根据预设关键字约定设置的。
进一步地,如图6所示,所述服务器还包括统计单元14,
所述统计单元14,用于在所述判断单元11判断所述ACE中是否包含有只继承IO标志位之后,所述预存储单元12将不包含有IO标志位的ACE保存至缓存ACL中之前,统计所述初始ACL中包含有IO标志位的ACE的数量。
进一步地,所述预存储单元12,具体用于若所述统计单元14统计所述包含有IO标志位的ACE的数量大于预设门限值,则将不包含有IO标志位的ACE保存至缓存ACL中。
本发明实施例提供一种服务器,主要包括获取单元、判断单元、预存储单元和处理单元。获取单元读取初始访问控制列表ACL中的访问控制项ACE,其中,ACE至少包括用户标识、以及与用户标识对应的成员变量,然后,判断单元判断ACE中是否包含有只继承IO标志位,预存储单元将不包含有IO标志位的ACE保存至缓存ACL中,最后,处理单元将缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL,其中,改进ACL用于对文件进行ACL鉴权。通过该方案,由于本发明由服务器在文件系统内部进行改进,因此改进ACL的生成不会影响到客户端的既有流程。而且,改进ACL中的ACE只包含有影响文件系统的服务器对文件进行ACL鉴权的标志位,从而对文件进行ACL鉴权时,服务器可以直接获取改进ACL进行鉴权,不需要遍历所有初始ACL中所有的ACE,提升访问控制列表ACL鉴权的效率,降低系统的整体开销。
实施例四
本发明实施例提供一种服务器2,如图7所示,包括:
处理器20,用于读取初始访问控制列表ACL中的访问控制项ACE,所述ACE至少包括用户标识、以及与所述用户标识对应的成员变量,以及用于判断所述ACE中是否包含有只继承IO标志位,以及用于将所述缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL,所述改进ACL用于对文件进行ACL鉴权;
存储器21,用于将所述不包含有IO标志位的ACE保存至缓存ACL中。
进一步地,所述用户标识包括用户标示符或群组标示符;
所述与各个用户标识对应的成员变量至少包括类型Type、权限Permission和标识Flag;
其中,所述Flag中包括IO标志位、子文件夹继承CI标志位和子文件继承OI标志位中的至少一个。
进一步地,所述存储器21,具体用于若所述计数器22统计所述包含有IO标志位的ACE的数量大于预设门限值,则将不包含有IO标志位的ACE保存至缓存ACL中。
进一步地,如图8所示,所述服务器还包括计数器,
所述计数器22,用于在所述处理器20判断所述ACE中是否包含有只继承IO标志位之后,所述存储器21将不包含有IO标志位的ACE保存至缓存ACL中之前,统计所述初始ACL中包含有IO标志位的ACE的数量。
进一步地,所述存储器21,还用于在所述处理器20将所述缓存ACL中有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL之后,将所述改进ACL存储至系统的文件中,所述特定扩展属性为系统内部根据预设关键字约定设置的。
本发明实施例提供一种服务器,主要包括处理器和存储器。处理器读取初始访问控制列表ACL中的访问控制项ACE,其中,ACE至少包括用户标识、以及与用户标识对应的成员变量,然后,判断ACE中是否包含有只继承IO标志位,存储器将不包含有IO标志位的ACE保存至缓存ACL中,最后,处理器将缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并,得到改进ACL,其中,改进ACL用于对文件进行ACL鉴权。通过该方案,由于本发明由服务器在文件系统内部进行改进,因此改进ACL的生成不会影响到客户端的既有流程。而且,改进ACL中的ACE只包含有影响文件系统的服务器对文件进行ACL鉴权的标志位,从而对文件进行ACL鉴权时,服务器可以直接获取改进ACL进行鉴权,不需要遍历所有初始ACL中所有的ACE,提升访问控制列表ACL鉴权的效率,降低系统的整体开销。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (15)
1.一种文件访问权限控制方法,其特征在于,包括:
读取初始访问控制列表ACL中的至少一个访问控制项ACE,所述至少一个ACE中的每个ACE至少包括用户标识、以及与所述用户标识对应的成员变量;
判断所述每个ACE中是否包含有只继承IO标志位,以获取所述至少一个ACE中的目标ACE,所述目标ACE是指不包含有所述IO标志位的ACE,所述IO标志位用于表示所述ACE不应用于当前文件夹或当前文件;
将所述目标ACE保存至缓存ACL中,所述缓存ACL包括已缓存ACE,所述已缓存ACE是指已缓存的且不包含有所述IO标志位的ACE;
当所述已缓存ACE中的用户标识与所述目标ACE中的用户标识相同时,将所述已缓存ACE和所述目标ACE合并,得到改进ACL,所述改进ACL用于对文件进行ACL鉴权。
2.根据权利要求1所述的控制方法,其特征在于,
所述用户标识包括用户标示符或群组标示符;
所述与所述用户标识对应的成员变量至少包括类型Type、权限Permission和标识Flag;
其中,所述Flag中包括IO标志位、子文件夹继承CI标志位和子文件继承OI标志位中的至少一个。
3.根据权利要求2所述的控制方法,其特征在于,所述方法还包括:
将所述改进ACL存储至系统的特定扩展属性中,所述特定扩展属性为文件系统内部根据预设关键字约定设置的。
4.根据权利要求1至3中任意一项所述的文件访问权限控制方法,其特征在于,所述判断所述每个ACE中是否包含有只继承IO标志位之后,所述将所述目标ACE保存至缓存ACL中之前,所述方法还包括:
统计所述初始ACL中包含有所述IO标志位的ACE的数量。
5.根据权利要求4所述的文件访问权限控制方法,其特征在于,
若所述包含有所述IO标志位的ACE的数量大于预设门限值,则将所述目标ACE保存至缓存ACL中。
6.一种服务器,其特征在于,包括:
获取单元,用于读取初始访问控制列表ACL中的至少一个访问控制项ACE,所述至少一个ACE中的每个ACE至少包括用户标识、以及与所述用户标识对应的成员变量;
判断单元,用于判断所述获取单元获取到的所述每个ACE中是否包含有只继承IO标志位,以获取所述至少一个ACE中的目标ACE,所述目标ACE是指不包含有所述IO标志位的ACE,所述IO标志位用于表示所述ACE不应用于当前文件夹或当前文件;
预存储单元,用于将所述判断单元确定的所述目标ACE保存至缓存ACL中,所述缓存ACL包括已缓存ACE,所述已缓存ACE是指已缓存的且不包含有所述IO标志位的ACE;
处理单元,用于当所述已缓存ACE中的用户标识与所述目标ACE中的用户标识相同时,将所述已缓存ACE和所述目标ACE合并,得到改进ACL,所述改进ACL用于对文件进行ACL鉴权。
7.根据权利要求6所述的服务器,其特征在于,
所述用户标识包括用户标示符或群组标示符;
所述与各个用户标识对应的成员变量至少包括类型Type、权限Permission和标识Flag;
其中,所述Flag中包括IO标志位、子文件夹继承CI标志位和子文件继承OI标志位中的至少一个。
8.根据权利要求7所述的服务器,其特征在于,所述服务器还包括存储单元,
所述存储单元,用于在所述处理单元将所述已缓存ACE和所述目标ACE合并,得到改进ACL之后,将所述改进ACL存储至系统的特定扩展属性中,所述特定扩展属性为系统内部根据预设关键字约定设置的。
9.根据权利要求6至8中任意一项所述的服务器,其特征在于,所述服务器还包括统计单元,
所述统计单元,用于在所述判断单元判断所述每个ACE中是否包含有只继承IO标志位之后,所述预存储单元将所述目标ACE保存至缓存ACL中之前,统计所述初始ACL中包含有所述IO标志位的ACE的数量。
10.根据权利要求9所述的服务器,其特征在于,
所述预存储单元,具体用于若所述统计单元统计所述包含有所述IO标志位的ACE的数量大于预设门限值,则将所述目标ACE保存至缓存ACL中。
11.一种服务器,其特点在于,包括:
处理器,用于读取初始访问控制列表ACL中的至少一个访问控制项ACE,所述至少一个ACE中的每个ACE至少包括用户标识、以及与所述用户标识对应的成员变量,以及用于判断所述每个ACE中是否包含有只继承IO标志位,以获取所述至少一个ACE中的目标ACE,所述目标ACE是指不包含有所述IO标志位的ACE,所述IO标志位用于表示所述ACE不应用于当前文件夹或当前文件;
存储器,用于将所述目标ACE保存至缓存ACL中,所述缓存ACL包括已缓存ACE,所述已缓存ACE是指已缓存的且不包含有所述IO标志位的ACE;
所述处理器,还用于当所述已缓存ACE中的用户标识与所述目标ACE中的用户标识相同时,将所述已缓存ACE和所述目标ACE合并,得到改进ACL,所述改进ACL用于对文件进行ACL鉴权。
12.根据权利要求11所述的服务器,其特征在于,
所述用户标识包括用户标示符或群组标示符;
所述与各个用户标识对应的成员变量至少包括类型Type、权限Permission和标识Flag;
其中,所述Flag中包括IO标志位、子文件夹继承CI标志位和子文件继承OI标志位中的至少一个。
13.根据权利要求12所述的服务器,其特征在于,
所述存储器,还用于在所述处理器将所述已缓存ACE和所述目标ACE合并,得到改进ACL之后,将所述改进ACL存储至系统的特定扩展属性中,所述特定扩展属性为系统内部根据预设关键字约定设置的。
14.根据权利要求11至13中任意一项所述的服务器,其特征在于,所述服务器还包括计数器,
所述计数器,用于在所述处理器判断所述每个ACE中是否包含有只继承IO标志位之后,所述存储器将所述目标ACE保存至缓存ACL中之前,统计所述初始ACL中包含有所述IO标志位的ACE的数量。
15.根据权利要求14所述的服务器,其特征在于,
所述存储器,具体用于若所述计数器统计所述包含有所述IO标志位的ACE的数量大于预设门限值,则将所述目标ACE保存至缓存ACL中。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2014/070549 WO2015103794A1 (zh) | 2014-01-13 | 2014-01-13 | 一种文件访问权限控制方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104145468A CN104145468A (zh) | 2014-11-12 |
CN104145468B true CN104145468B (zh) | 2017-02-22 |
Family
ID=51853643
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480000306.5A Active CN104145468B (zh) | 2014-01-13 | 2014-01-13 | 一种文件访问权限控制方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN104145468B (zh) |
WO (1) | WO2015103794A1 (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721175A (zh) * | 2016-01-21 | 2016-06-29 | 阿里巴巴集团控股有限公司 | 群组处理方法、群组文件处理方法及装置 |
CN106302530A (zh) * | 2016-09-30 | 2017-01-04 | 苏州迈科网络安全技术股份有限公司 | 基于指令的报文过滤方法及系统 |
CN107301352A (zh) * | 2017-06-22 | 2017-10-27 | 郑州云海信息技术有限公司 | 一种权限设置的方法及装置 |
CN107403105B (zh) * | 2017-06-30 | 2020-09-04 | 华为技术有限公司 | 一种文件系统的权限设置方法及装置 |
CN107480551B (zh) * | 2017-07-06 | 2020-11-20 | 网易(杭州)网络有限公司 | 一种文件管理方法及装置 |
CN110413215B (zh) * | 2018-04-28 | 2023-11-07 | 伊姆西Ip控股有限责任公司 | 用于获取访问权限的方法、设备和计算机程序产品 |
CN108804936A (zh) * | 2018-06-06 | 2018-11-13 | 郑州云海信息技术有限公司 | 一种基于分布式存储系统acl的权限管理方法及系统 |
CN108959955B (zh) * | 2018-06-06 | 2022-06-07 | Oppo广东移动通信有限公司 | 文件处理方法及装置 |
CN110807003B (zh) * | 2018-07-18 | 2023-03-24 | 成都华为技术有限公司 | 修改访问控制列表的引用计数的方法和装置 |
CN109033429A (zh) * | 2018-08-10 | 2018-12-18 | 北京小米移动软件有限公司 | 文件的访问方法、装置及访问接口 |
CN109446825B (zh) * | 2018-10-22 | 2021-08-31 | 郑州云海信息技术有限公司 | 一种访问控制权限的扩展方法及装置 |
CN110704868B (zh) * | 2019-09-06 | 2021-08-10 | 苏州浪潮智能科技有限公司 | NFSv4的访问控制列表修正方法、装置、设备及介质 |
CN111680318B (zh) * | 2020-04-28 | 2024-04-16 | 深圳赛安特技术服务有限公司 | Web文件夹权限继承方法、装置及计算机设备 |
CN113626835B (zh) * | 2021-06-25 | 2022-06-17 | 荣耀终端有限公司 | 一种数据访问方法及电子设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040193546A1 (en) * | 2003-03-31 | 2004-09-30 | Fujitsu Limited | Confidential contents management method |
CN1848022A (zh) * | 2005-04-13 | 2006-10-18 | 华为技术有限公司 | 一种基于访问控制列表的权限控制方法 |
US20070136578A1 (en) * | 2005-12-13 | 2007-06-14 | Microsoft Corporation | Access control list inheritance thru object(s) |
CN102473229A (zh) * | 2009-08-28 | 2012-05-23 | 国际商业机器公司 | 访问控制列表的修改 |
CN103067400A (zh) * | 2013-01-10 | 2013-04-24 | 华为技术有限公司 | 一种权限控制方法和服务器 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070039045A1 (en) * | 2005-08-11 | 2007-02-15 | Microsoft Corporation | Dual layered access control list |
CN102129539A (zh) * | 2011-03-11 | 2011-07-20 | 清华大学 | 基于访问控制列表的数据资源权限管理方法 |
-
2014
- 2014-01-13 CN CN201480000306.5A patent/CN104145468B/zh active Active
- 2014-01-13 WO PCT/CN2014/070549 patent/WO2015103794A1/zh active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040193546A1 (en) * | 2003-03-31 | 2004-09-30 | Fujitsu Limited | Confidential contents management method |
CN1848022A (zh) * | 2005-04-13 | 2006-10-18 | 华为技术有限公司 | 一种基于访问控制列表的权限控制方法 |
US20070136578A1 (en) * | 2005-12-13 | 2007-06-14 | Microsoft Corporation | Access control list inheritance thru object(s) |
CN102473229A (zh) * | 2009-08-28 | 2012-05-23 | 国际商业机器公司 | 访问控制列表的修改 |
CN103067400A (zh) * | 2013-01-10 | 2013-04-24 | 华为技术有限公司 | 一种权限控制方法和服务器 |
Also Published As
Publication number | Publication date |
---|---|
WO2015103794A1 (zh) | 2015-07-16 |
CN104145468A (zh) | 2014-11-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104145468B (zh) | 一种文件访问权限控制方法及装置 | |
US9792344B2 (en) | Asynchronous namespace maintenance | |
US20180288057A1 (en) | Multi-protocol access control lists | |
US8266306B2 (en) | Systems and methods for delegating access to online accounts | |
US9525735B2 (en) | Lock elevation in a distributed file storage system | |
CN105072184B (zh) | 一种适用于中小企业的文件共享系统 | |
EP1938560B1 (en) | High performance file fragment cache | |
CN104580395B (zh) | 一种基于现存云存储平台的多云协同存储中间件系统 | |
US10204109B2 (en) | Mechanism for automatic creation and access to favorite personal cloud data | |
CN103744618B (zh) | 实现团队共享存储的方法及系统 | |
US20200081867A1 (en) | Independent evictions from datastore accelerator fleet nodes | |
US9313270B2 (en) | Adaptive asynchronous data replication in a data storage system | |
BR112012033016B1 (pt) | método e sistema de controle de acesso ao serviço online utilizando recursos de diretório | |
CN102394894A (zh) | 一种基于云计算的网络虚拟磁盘文件安全管理方法 | |
CN104268484A (zh) | 一种基于虚拟隔离机制的云环境下数据防泄漏方法 | |
CN103209189A (zh) | 一种基于分布式文件系统的移动云存储安全访问控制方法 | |
US20240111738A1 (en) | Object management system for efficient content item management | |
CN108804936A (zh) | 一种基于分布式存储系统acl的权限管理方法及系统 | |
CN103019964B (zh) | 一种缓存数据访问方法及数据缓存系统 | |
US20120109987A1 (en) | Remote file sharing based on content filtering | |
US8560692B1 (en) | User-specific cache for URL filtering | |
US9959245B2 (en) | Access frequency approximation for remote direct memory access | |
US11176057B2 (en) | Integration of application indicated minimum time to cache for a two-tiered cache management mechanism | |
US11520818B2 (en) | Method, apparatus and computer program product for managing metadata of storage object | |
US20180322187A1 (en) | Dynamic alternate keys for use in file systems utilizing a keyed index |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |