CN104767761B - 一种云存储平台访问控制方法及装置 - Google Patents
一种云存储平台访问控制方法及装置 Download PDFInfo
- Publication number
- CN104767761B CN104767761B CN201510197276.8A CN201510197276A CN104767761B CN 104767761 B CN104767761 B CN 104767761B CN 201510197276 A CN201510197276 A CN 201510197276A CN 104767761 B CN104767761 B CN 104767761B
- Authority
- CN
- China
- Prior art keywords
- attribute
- cloud storage
- storage platform
- institutional framework
- organization structure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供的一种云存储平台访问控制方法及装置,涉及云存储技术领域,应用于云存储系统,云存储系统包括云存储平台以及用户终端,云存储平台访问控制装置包括设置于云存储平台的服务器,云存储平台保存有主体的主体属性信息、客体以及客体组织结构属性。主体组织结构属性描述了用户在组织中的身份等级,包括描述用户在组织中所处于的身份等级的一个或多个元素,客体组织结构属性包括描述对该客体有访问权限的主体的身份等级的一个或多个元素,以主体组织结构属性和客体组织结构属性是否匹配作为用户获得访问权限的条件,实现对用户访问数据权限的控制,通过改变客体属性实现资源共享,保证资源不被没有授权的用户非法访问。
Description
技术领域
本发明涉及云存储技术领域,具体而言,涉及一种云存储平台访问控制方法及装置。
背景技术
云存储是指通过集群应用、网格技术或分布式文件系统等,将网络中大量各种不同类型的存储设备通过应用软件集合起来,共同对外提供数据存储和业务访问功能的一个系统。目前许多组织(如企业)将其内部数据存储到“云”端服务器中,以降低企业的数据维护成本。
在组织内部,通常有多个身份等级,比如,在企业内,设置有公司总经理、分公司经理、部门主管等。目前企业在使用云存储平台时,采用的是基于角色的访问控制方法,即根据用户的身份等级对其使用的账户设置不同的权限,在用户访问云存储平台时,根据用户的身份等级来判断其是否有权限访问数据。但是在实际运用中,经常出现需要对属于同一个身份等级的用户设置不同权限的情况,基于角色的访问控制方法不能很好的满足这一需求。
基于以上分析可见,如何更灵活地控制云存储平台的数据访问权限,是一个当前亟待解决的问题。
发明内容
本发明的目的在于提供一种云存储平台访问控制方法及装置,以目前的云存储平台的数据访问权限的控制不够灵活的问题得到改善。
为了实现上述目的,本发明实施例采用的技术方案如下:
第一方面,本发明实施例提供了一种云存储平台访问控制方法,应用于云存储系统,所述云存储系统包括云存储平台以及用户终端,所述云存储平台保存有主体的主体属性信息,所述主体为使用该云存储平台的组织的用户,所述主体属性信息包括主体组织结构属性,所述主体组织结构属性描述了用户在组织中的身份等级,所述主体组织结构属性包括描述用户在组织中所处于的身份等级的一个或多个元素,所述云存储平台还保存有客体以及客体组织结构属性,所述客体为保存于云存储平台的数据,所述客体组织结构属性包括描述对该客体有访问权限的主体的身份等级的一个或多个元素,所述方法包括:
所述云存储平台接收所述用户终端发送的操作指令,所述操作指令包括操作动作信息、发送所述操作指令的主体以及所述操作指令所对应的客体;
所述云存储平台根据所述操作指令,将所述主体所对应的主体组织结构属性与所述客体所对应的客体组织结构属性进行对比验证;
如果验证成功,执行所述操作指令,如果验证失败,返回没有操作权限的提示信息。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述操作动作信息包括读操作、写操作、删除操作或者下载操作中的任意一个,所述客体组织结构属性对应多种操作动作分为相互独立的多组,所述云存储平台根据所述操作指令,将所述主体所对应的主体组织结构属性与所述客体所对应的客体组织结构属性进行对比验证的步骤,包括:
所述云存储平台根据所述操作动作信息,查找对应组的客体组织结构属性;
将所述主体组织结构属性与查找到的对应组的客体组织结构属性进行对比验证。
结合第一方面或第一方面的第一种可能的实施方式,本发明实施例提供了第一方面的第二种可能的实施方式,其中,将主体组织结构属性与客体组织结构属性进行对比验证的方法包括:
所述云存储平台对比所述主体组织结构属性包括的元素的个数与所述客体组织结构属性包括的元素的个数是否相同;
如果相同,将所述主体组织结构属性包括的元素与所述客体组织结构属性包括的每一个元素按顺序依次进行对比,如果相同位置所述客体组织结构属性包括的元素与所述主体组织结构属性包括的元素相同,或者相同位置所述客体组织结构属性包括的元素包含有所述主体组织结构属性包括的元素,则判定对比验证成功,
每一个元素为一个字符串、包括多个字符串的集合或者表示任意字符串的字符。
结合第一方面的第二种可能的实施方式,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述方法还包括:
所述云存储平台接收所述用户终端发送的共享操作指令,所述共享操作指令包括共享操作动作、被共享的客体以及作为共享对象的主体,所述共享操作动作包括读共享操作、写共享操作、删除共享操作或者下载共享操作中的任意一个,
所述云存储平台根据所述共享操作指令,执行对所述被共享的客体执行共享操作;
所述执行共享操作包括:
所述云存储平台根据所述共享操作动作,查找对应组的客体组织结构属性;
将所述主体的主体组织结构属性包括的元素添加到查找到的所述客体主体组织结构属性包括的元素中;或者
将查找到的所述客体主体组织结构属性包括的一个或多个元素修改为所述表示任意字符串的字符。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述主体属性信息还包括主体的用户名和密码,在所述云存储平台接收所述用户终端发送的操作指令的步骤之前,所述方法还包括:
所述云存储平台接收所述用户终端发送的待验证的用户名和密码;
所述云存储平台根据所述主体的用户名和密码对所述待验证的用户名和密码进行匹配验证。
第二方面,本发明实施例还提供了一种云存储平台访问控制装置,应用于云存储系统,所述云存储系统包括云存储平台以及用户终端,所述云存储平台访问控制装置包括设置于所述云存储平台的服务器,所述云存储平台保存有主体的主体属性信息,所述主体为使用该云存储平台的组织的用户,所述主体属性信息包括主体组织结构属性,所述主体组织结构属性描述了用户在组织中的身份等级,所述主体组织结构属性包括描述用户在组织中所处于的身份等级的一个或多个元素,所述云存储平台还保存有客体以及客体组织结构属性,所述客体为保存于云存储平台的数据,所述客体组织结构属性包括描述对该客体有访问权限的主体的身份等级的一个或多个元素,所述云存储平台访问控制装置包括:
操作指令接收单元,用于接收所述用户终端发送的操作指令,所述操作指令包括操作动作信息、发送所述操作指令的主体以及所述操作指令所对应的客体;
访问权限验证单元,用于根据所述操作指令,将所述主体所对应的主体组织结构属性与所述客体所对应的客体组织结构属性进行对比验证;
执行单元,用于如果验证成功,执行所述操作指令;
提示单元,用于如果验证失败,返回没有操作权限的提示信息。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,所述操作动作信息包括读操作、写操作、删除操作或者下载操作中的任意一个,所述客体组织结构属性对应多种操作动作分为相互独立的多组,所述访问权限验证单元具体包括:
第一查找子单元,用于根据所述操作动作信息,查找对应组的客体组织结构属性;
对比验证子单元,用于将查找到的对应组的客体组织结构属性与所述主体组织结构属性进行对比验证。
结合第二方面或第二方面的第一种可能的实施方式,本发明实施例提供了第二方面的第二种可能的实施方式,其中,当用于将主体组织结构属性与客体组织结构属性进行对比验证的单元为访问权限验证单元时,所述访问权限验证单元包括:
元素个数对比子单元,用于对比所述主体组织结构属性包括的元素的个数与所述客体组织结构属性包括的元素的个数是否相同;
元素内容对比子单元,用于将所述主体组织结构属性包括的元素与所述客体组织结构属性包括的每一个元素按顺序依次进行对比,如果相同位置所述客体组织结构属性包括的元素与所述主体组织结构属性包括的元素相同,或者相同位置所述客体组织结构属性包括的元素包含有所述主体组织结构属性包括的元素,则判定对比验证成功,
当用于将主体组织结构属性与客体组织结构属性进行对比验证的单元为对比验证子单元时,所述对比验证子单元包括:
元素个数对比子单元,用于对比所述主体组织结构属性包括的元素的个数与所述客体组织结构属性包括的元素的个数是否相同;
元素内容对比子单元,用于将所述主体组织结构属性包括的元素与所述客体组织结构属性包括的每一个元素按顺序依次进行对比,如果相同位置所述客体组织结构属性包括的元素与所述主体组织结构属性包括的元素相同,或者相同位置所述客体组织结构属性包括的元素包含有所述主体组织结构属性包括的元素,则判定对比验证成功,
每一个元素为一个字符串、包括多个字符串的集合或者表示任意字符串的字符。
结合第二方面的第二种可能的实施方式,本发明实施例提供了第二方面的第三种可能的实施方式,其中,所述云存储平台访问控制装置还包括:
共享操作指令接收单元,用于接收所述用户终端发送的共享操作指令,所述共享操作指令包括共享操作动作、被共享的客体以及作为共享对象的主体,所述共享操作动作包括读共享操作、写共享操作、删除共享操作或者下载共享操作中的任意一个,
共享操作执行单元,用于根据所述共享操作指令,执行对所述被共享的客体执行共享操作;
所述共享操作执行单元包括:
第二查找子单元,用于根据所述共享操作动作信息,查找对应组的客体组织结构属性;
共享操作执行子单元,用于将所述主体的主体组织结构属性包括的元素添加到查找到的所述客体主体组织结构属性包括的元素中;或者将查找到的所述客体主体组织结构属性包括的一个或多个元素修改为所述表示任意字符串的字符。
结合第二方面,本发明实施例提供了第二方面的第四种可能的实施方式,其中,所述主体属性信息还包括主体的用户名和密码,所述云存储平台访问控制装置还包括:
用户名和密码接收单元,用于接收所述用户终端发送的待验证的用户名和密码,
用户名和密码验证单元,用于根据所述主体的用户名和密码对所述待验证的用户名和密码进行匹配验证。
本发明提供的云存储平台访问控制方法及装置,对云存储平台保存的数据添加客体组织结构属性,对使用云存储平台添加主体组织结构属性,所述主体组织结构属性描述了用户在组织中的身份等级,所述主体组织结构属性包括描述用户在组织中所处于的身份等级的一个或多个元素,所述客体组织结构属性包括描述对该客体有访问权限的主体的身份等级的一个或多个元素,以主体组织结构属性和客体组织结构属性是否匹配作为用户获得访问权限的条件,实现对用户访问数据权限的控制,通过改变客体属性实现资源共享,保证资源不被没有授权的用户非法访问。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。通过附图所示,本发明的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本发明的主旨。
图1示出了本发明实施例提供的一种云存储系统的结构框图;
图2示出了本发明实施例提供的一种云存储平台访问控制方法的流程图;
图3示出了本发明实施例提供的另一种云存储平台访问控制方法的流程图;
图4示出了本发明实施例提供的一种云存储平台访问控制装置的结构框图;
图5示出了本发明实施例提供的另一种云存储平台访问控制装置的结构框图;
图6示出了本发明实施例提供的另一种云存储平台访问控制装置的结构框图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
云存储是指通过集群应用、网格技术或分布式文件系统等,将网络中大量各种不同类型的存储设备通过应用软件集合起来,共同对外提供数据存储和业务访问功能的一个系统。目前许多组织(如企业)将其内部数据存储到“云”端服务器中,以降低企业的数据维护成本。
在组织内部,通常有多个身份等级,比如,在企业内,设置有公司总经理、分公司经理、部门主管等。目前企业在使用云存储平台时,采用的是基于角色的访问控制方法,即根据用户的身份等级对其使用的账户设置不同的权限,在用户访问云存储平台时,根据用户的身份等级来判断其是否有权限访问数据。发明人经过长期观察和研究发现,在实际运用中,经常出现需要对属于同一个身份等级的用户设置不同权限的情况,基于角色的访问控制方法不能很好的满足这一需求。
本发明采用的是与基于角色的访问控制方法完全不同的思路,通过对云存储平台保存的数据添加客体组织结构属性,对使用云存储平台添加主体组织结构属性,所述主体组织结构属性描述了用户在组织中的身份等级,所述主体组织结构属性包括描述用户在组织中所处于的身份等级的一个或多个元素,所述客体组织结构属性包括描述对该客体有访问权限的主体的身份等级的一个或多个元素,以主体组织结构属性和客体组织结构属性是否匹配作为用户获得访问权限的条件,实现对用户访问数据权限的控制。
参阅图1,本发明实施例提供的一种云存储系统,所述云存储系统包括云存储平台100以及用户终端200,所述云存储平台访问控制装置包括设置于所述云存储平台的服务器,所述云存储平台保存有主体的主体属性信息,所述主体为使用该云存储平台100的组织的用户,所述主体属性信息包括主体组织结构属性,所述主体组织结构属性描述了用户在组织中的身份等级,所述主体组织结构属性包括描述用户在组织中所处于的身份等级的一个或多个元素,所述云存储平台100还保存有客体以及客体组织结构属性,所述客体为保存于云存储平台100的数据,所述客体组织结构属性包括描述对该客体有访问权限的主体的身份等级的一个或多个元素。
参阅图2,本发明实施例提供的一种云存储平台访问控制方法,应用于云存储系统,所述方法包括:
步骤101,所述云存储平台接收所述用户终端发送的操作指令,所述操作指令包括操作动作信息、发送所述操作指令的主体以及所述操作指令所对应的客体;
使用云存储平台的用户,通过用户终端访问云存储平台,并向云存储平台发送操作指令。
步骤102,所述云存储平台根据所述操作指令,将所述主体所对应的主体组织结构属性与所述客体所对应的客体组织结构属性进行对比验证;
云存储平台以对比主体组织结构属性与所述客体所对应的客体组织结构属性的方式判断用户,即主体,对客体的访问权限。
在本发明实施例提供的云存储平台访问控制方法中,用户访问云存储平台资源的权限并不是通过用户的身份等级来进行判断的,而是根据客体的客体组织结构属性进行判断,通过调整客体组织结构属性,就能方便的控制主体访问该客体的权限。
步骤103,如果验证成功,所述云存储平台执行所述操作指令;
步骤104,如果验证失败,所述云存储平台返回没有操作权限的提示信息;
根据验证的结果,执行对应的操作。
例如:发出操作指令的主体的主体组织结构属性为:{华西集团,建筑三公司,营销部,设备销售};他想访问的客体的客体组织结构属性如果也是{华西集团,建筑三公司,营销部,设备销售},则认为验证成功,他就具有对该客体执行操作的权限,进而对该执行对应的操作。
本实施例提供的云存储平台访问控制方法,对云存储平台保存的数据添加客体组织结构属性,对使用云存储平台添加主体组织结构属性,所述主体组织结构属性描述了用户在组织中的身份等级,所述主体组织结构属性包括描述用户在组织中所处于的身份等级的一个或多个元素,所述客体组织结构属性包括描述对该客体有访问权限的主体的身份等级的一个或多个元素,以主体组织结构属性和客体组织结构属性是否匹配作为用户获得访问权限的条件,实现对用户访问数据权限的控制,通过改变客体属性实现资源共享,保证资源不被没有授权的用户非法访问。
参阅图3,本发明实施例提供的另一种云存储平台访问控制方法,应用于云存储系统,所述方法包括:
步骤201,所述云存储平台接收所述用户终端发送的待验证的用户名和密码,用户通过所述用户终端登录所述云存储平台。
步骤202,所述云存储平台根据所述主体的用户名和密码对所述待验证的用户名和密码进行匹配验证。用户名和密码验证通过后,就能确定通过该用户终端登录的主体以及该主体的主体组织结构属性。
验证通过后,可以对客体进行访问,或者修改客体共享的对象。
如果是对客体进行访问,用户通过终端登录发送操作指令后,
云存储平台执行步骤203,所述云存储平台接收所述用户终端发送的操作指令,所述操作指令包括操作动作信息、发送所述操作指令的主体以及所述操作指令所对应的客体;
所述操作动作信息包括读操作、写操作、删除操作或者下载操作中的任意一个,所述客体组织结构属性对应多种操作动作分为相互独立的多组。
对于客体,同一个主体对应不同的操作也可能会有不同的权限,比如只能进行读操作,但是不能进行写操作。因此需要根据操作动作信息对客体组织结构属性进行区分。
例如:客体A,其客体组织结构属性对应读操作的一组为{华西集团,建筑三公司,营销部,设备销售},对应写操作的一组为{华西集团,建筑三公司,营销部,销售主管}。
步骤204,所述云存储平台根据所述操作动作信息,查找对应组的客体组织结构属性。如果操作指令包括的操作动作信息为读操作,那么首先就需要查找到对应读操作的一组客体组织结构属性,将所述主体组织结构属性与查找到的对应组的客体组织结构属性进行对比验证。
例如:发送操作指令的主体的主体组织结构属性为{华西集团,建筑三公司,营销部,设备销售},如果其对客体A执行读操作是,需要对比的客体组织结构属性为{华西集团,建筑三公司,营销部,设备销售};如果其对客体A执行写操作,需要对比的客体组织结构属性为{华西集团,建筑三公司,营销部,销售主管};
其中将主体组织结构属性与客体组织结构属性进行对比验证的方法为:
步骤205,所述云存储平台对比所述主体组织结构属性包括的元素的个数与所述客体组织结构属性包括的元素的个数是否相同。
主体组织结构属性和客体组织结构属性都可能包括一个或多个元素,首先进行元素个数的对比,提高对比验证的效率。
步骤206,如果包括的元素的个数相同,所述云存储平台将所述主体组织结构属性包括的元素与所述客体组织结构属性包括的每一个元素按顺序依次进行对比。
如果相同位置所述客体组织结构属性包括的元素与所述主体组织结构属性包括的元素相同,或者相同位置所述客体组织结构属性包括的元素包含有所述主体组织结构属性包括的元素,则判定对比验证成功。
客体组织结构属性包括的元素描述的是对该客体有访问权限的主体的身份等级,因为如果多个主体都拥有对该客体的访问权限时,客体组织结构属性包括的元素中,一个元素就包括有多个字符串,以表示这多个主体,如果该客体对于某一个身份等级的所有用户都是共享的,那么客体组织结构属性中对应的元素就为表示任意字符串的字符,如果该客体对于某一个身份等级的所有用户都不共享,那么客体组织结构属性中对应的元素就为表示空集的字符。
例如,客体A读操作的共享对象为华西集团、建筑三公司、营销部的设备销售,则它对应读操作的一组客体组织结构属性是{华西集团,建筑三公司,营销部,设备销售};如果客体A读操作的共享对象为华西集团、建筑三公司、营销部的设备销售和销售主管,则它对应读操作的一组客体组织结构属性是{华西集团,建筑三公司,营销部,[设备销售,销售主管]};如果客体A读操作的共享对象为华西集团、建筑三公司、营销部的所有人,则它对应读操作的一组客体组织结构属性是{华西集团,建筑三公司,营销部,*},其中*就是表示任意字符串的字符;如果客体A读操作的共享对象不包括华西集团、建筑三公司、营销部的任何一个人,则它对应读操作的一组客体组织结构属性是{华西集团,建筑三公司,营销部,},其中就是表示空集的字符。
如果主体组织结构属性与客体组织结构属性的元素个数相同,元素内容也能匹配,则执行步骤207。
步骤207,判定对比验证成功,所述云存储平台执行所述操作指令。
如果主体组织结构属性与客体组织结构属性的元素个数不相同,或者元素个数相同,但是元素内容不能匹配,判定为验证失败,则执行步骤208。
步骤208,所述云存储平台返回没有操作权限的提示信息。主体组织结构属性与客体组织结构属性的对比验证没有通过,说明主体对客体没有访问的权限,无法执行对应的操作。
在用户通过用户终端登录成功之后,还可以修改客体共享的范围,及对更多的主体增加访问该客体的权限。
在步骤202之后,执行步骤209。
步骤209,所述云存储平台接收所述用户终端发送的共享操作指令,所述共享操作指令包括共享操作动作、被共享的客体以及作为共享对象的主体,所述共享操作动作包括读共享操作、写共享操作、删除共享操作或者下载共享操作中的任意一个。
步骤210,所述云存储平台根据所述共享操作动作,查找对应组的客体组织结构属性。
由于对于客体,同一个主体对应不同的操作也可能会有不同的权限,在共享客体时,对应的需要明确是对具体哪一种操作的权限共享。
步骤211,对查找到的客体组织结构属性执行共享操作。
如果对该客体的共享操作是将其对组织的某个身份等级的一个或多个主体进行共享,需要在对应的客体组织结构属性的元素中添加共享对象主体的主体组织结构属性的元素;
如果对该客体的共享操作是将其对组织的某个身份等级的所有主体共享,需要将对应的客体组织结构属性的元素修改为表示任意字符串的字符。
本实施例提供的云存储平台访问控制方法,对云存储平台保存的数据添加客体组织结构属性,对使用云存储平台添加主体组织结构属性,所述主体组织结构属性描述了用户在组织中的身份等级,所述主体组织结构属性包括描述用户在组织中所处于的身份等级的一个或多个元素,所述客体组织结构属性包括描述对该客体有访问权限的主体的身份等级的一个或多个元素,以主体组织结构属性和客体组织结构属性是否匹配作为用户获得访问权限的条件,实现对用户访问数据权限的控制,通过改变客体属性实现资源共享,保证资源不被没有授权的用户非法访问。
参阅图4,本发明实施例提供的一种云存储平台访问控制装置,应用于云存储系统,所述云存储系统包括云存储平台以及用户终端,所述云存储平台访问控制装置包括设置于所述云存储平台的服务器,所述云存储平台访问控制装置包括:
操作指令接收单元301,用于接收所述用户终端发送的操作指令,所述操作指令包括操作动作信息、发送所述操作指令的主体以及所述操作指令所对应的客体;
访问权限验证单元302,用于根据所述操作指令,将所述主体所对应的主体组织结构属性与所述客体所对应的客体组织结构属性进行对比验证;
执行单元303,用于如果验证成功,执行所述操作指令;
提示单元304,用于如果验证失败,返回没有操作权限的提示信息。
本实施例所提供的数据读取装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
参阅图5,本发明实施例提供的另一种云存储平台访问控制装置,应用于云存储系统,所述云存储系统包括云存储平台以及用户终端,所述云存储平台访问控制装置包括设置于所述云存储平台的服务器,所述云存储平台访问控制装置包括:
用户名和密码接收单元401,用于接收所述用户终端发送的待验证的用户名和密码;
用户名和密码验证单元402,用于根据所述主体的用户名和密码对所述待验证的用户名和密码进行匹配验证。
操作指令接收单元403,用于接收所述用户终端发送的操作指令,所述操作指令包括操作动作信息、发送所述操作指令的主体以及所述操作指令所对应的客体;所述操作动作信息包括读操作、写操作、删除操作或者下载操作中的任意一个,所述客体组织结构属性对应多种操作动作分为相互独立的多组。
第一查找子单元404,用于根据所述操作动作信息,查找对应组的客体组织结构属性;
元素个数对比子单元405,用于对比所述主体组织结构属性包括的元素的个数与所述客体组织结构属性包括的元素的个数是否相同;
元素内容对比子单元406,用于将所述主体组织结构属性包括的元素与所述客体组织结构属性包括的每一个元素按顺序依次进行对比,如果相同位置所述客体组织结构属性包括的元素与所述主体组织结构属性包括的元素相同,或者相同位置所述客体组织结构属性包括的元素包含有所述主体组织结构属性包括的元素,则判定对比验证成功;
执行单元,用于如果验证成功407,执行所述操作指令;
提示单元,用于如果验证失败408,返回没有操作权限的提示信息。
共享操作指令接收单元409,用于接收所述用户终端发送的共享操作指令,所述共享操作指令包括共享操作动作、被共享的客体以及作为共享对象的主体,所述共享操作动作包括读共享操作、写共享操作、删除共享操作或者下载共享操作中的任意一个;
第二查找子单元410,用于根据所述共享操作动作信息,查找对应组的客体组织结构属性;
共享操作执行子单元411,用于将所述主体的主体组织结构属性包括的元素添加到查找到的所述客体主体组织结构属性包括的元素中;或者将查找到的所述客体主体组织结构属性包括的一个或多个元素修改为所述表示任意字符串的字符。
本发明实施例所提供的数据读取装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
参阅图6,本发明实施例提供的另一种云存储平台访问控制装置600,包括:处理器500,存储器501,总线502和通信接口503,所述处理器500、通信接口503和存储器501通过总线502连接;处理器500用于执行存储器501中存储的可执行模块,例如计算机程序。
其中,存储器501可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口503(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线502可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器501用于存储程序,所述处理器500在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流程定义的装置所执行的方法可以应用于处理器500中,或者由处理器500实现。
处理器500可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器500中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器500可以是通用处理器,包括中央处理器(Central Processing Unit,简称数据请求端)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器501,处理器500读取存储器501中的信息,结合其硬件完成上述方法的步骤。
另外,附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本发明实施例所提供的进行一种云存储平台访问控制装置的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
Claims (8)
1.一种云存储平台访问控制方法,其特征在于,应用于云存储系统,所述云存储系统包括云存储平台以及用户终端,所述云存储平台保存有主体的主体属性信息,所述主体为使用该云存储平台的组织的用户,所述主体属性信息包括主体组织结构属性,所述主体组织结构属性描述了用户在组织中的身份等级,所述主体组织结构属性包括描述用户在组织中所处于的身份等级的一个或多个元素,所述云存储平台还保存有客体以及客体组织结构属性,所述客体为保存于云存储平台的数据,所述客体组织结构属性包括描述对该客体有访问权限的主体的身份等级的一个或多个元素,所述方法包括:
所述云存储平台接收所述用户终端发送的操作指令,所述操作指令包括操作动作信息、发送所述操作指令的主体以及所述操作指令所对应的客体,其中所述操作动作信息包括读操作、写操作、删除操作或者下载操作中的任意一个;
所述云存储平台根据所述操作指令,将所述主体所对应的主体组织结构属性与所述客体所对应的客体组织结构属性进行对比验证,其中所述客体组织结构属性对应多种操作动作分为相互独立的多组;
如果验证成功,执行所述操作指令,如果验证失败,返回没有操作权限的提示信息;
其中,所述云存储平台根据所述操作指令,将所述主体所对应的主体组织结构属性与所述客体所对应的客体组织结构属性进行对比验证的步骤,包括:
所述云存储平台根据所述操作动作信息,查找对应组的客体组织结构属性;
将所述主体组织结构属性与查找到的对应组的客体组织结构属性进行对比验证。
2.根据权利要求1所述的云存储平台访问控制方法,其特征在于,将主体组织结构属性与客体组织结构属性进行对比验证的方法包括:
所述云存储平台对比所述主体组织结构属性包括的元素的个数与所述客体组织结构属性包括的元素的个数是否相同;
如果相同,将所述主体组织结构属性包括的元素与所述客体组织结构属性包括的每一个元素按顺序依次进行对比,如果相同位置所述客体组织结构属性包括的元素与所述主体组织结构属性包括的元素相同,或者相同位置所述客体组织结构属性包括的元素包含有所述主体组织结构属性包括的元素,则判定对比验证成功,
每一个元素为一个字符串、包括多个字符串的集合或者表示任意字符串的字符。
3.根据权利要求2所述的云存储平台访问控制方法,其特征在于,所述方法还包括:
所述云存储平台接收所述用户终端发送的共享操作指令,所述共享操作指令包括共享操作动作、被共享的客体以及作为共享对象的主体,所述共享操作动作包括读共享操作、写共享操作、删除共享操作或者下载共享操作中的任意一个,
所述云存储平台根据所述共享操作指令,执行对所述被共享的客体执行共享操作;
所述执行共享操作包括:
所述云存储平台根据所述共享操作动作,查找对应组的客体组织结构属性;
将所述主体的主体组织结构属性包括的元素添加到查找到的所述客体主体组织结构属性包括的元素中;或者
将查找到的所述客体主体组织结构属性包括的一个或多个元素修改为所述表示任意字符串的字符。
4.根据权利要求1所述的云存储平台访问控制方法,其特征在于,所述主体属性信息还包括主体的用户名和密码,在所述云存储平台接收所述用户终端发送的操作指令的步骤之前,所述方法还包括:
所述云存储平台接收所述用户终端发送的待验证的用户名和密码;
所述云存储平台根据所述主体的用户名和密码对所述待验证的用户名和密码进行匹配验证。
5.一种云存储平台访问控制装置,其特征在于,应用于云存储系统,所述云存储系统包括云存储平台以及用户终端,所述云存储平台访问控制装置包括设置于所述云存储平台的服务器,所述云存储平台保存有主体的主体属性信息,所述主体为使用该云存储平台的组织的用户,所述主体属性信息包括主体组织结构属性,所述主体组织结构属性描述了用户在组织中的身份等级,所述主体组织结构属性包括描述用户在组织中所处于的身份等级的一个或多个元素,所述云存储平台还保存有客体以及客体组织结构属性,所述客体为保存于云存储平台的数据,所述客体组织结构属性包括描述对该客体有访问权限的主体的身份等级的一个或多个元素,所述云存储平台访问控制装置包括:
操作指令接收单元,用于接收所述用户终端发送的操作指令,所述操作指令包括操作动作信息、发送所述操作指令的主体以及所述操作指令所对应的客体,其中所述操作动作信息包括读操作、写操作、删除操作或者下载操作中的任意一个;
访问权限验证单元,用于根据所述操作指令,将所述主体所对应的主体组织结构属性与所述客体所对应的客体组织结构属性进行对比验证,其中所述客体组织结构属性对应多种操作动作分为相互独立的多组;
执行单元,用于如果验证成功,执行所述操作指令;以及
提示单元,用于如果验证失败,返回没有操作权限的提示信息;
其中,所述访问权限验证单元具体包括:
第一查找子单元,用于根据所述操作动作信息,查找对应组的客体组织结构属性;以及
对比验证子单元,用于将查找到的对应组的客体组织结构属性与所述主体组织结构属性进行对比验证。
6.根据权利要求5所述的云存储平台访问控制装置,其特征在于,当用于将主体组织结构属性与客体组织结构属性进行对比验证的单元为访问权限验证单元时,所述访问权限验证单元包括:
元素个数对比子单元,用于对比所述主体组织结构属性包括的元素的个数与所述客体组织结构属性包括的元素的个数是否相同;
元素内容对比子单元,用于将所述主体组织结构属性包括的元素与所述客体组织结构属性包括的每一个元素按顺序依次进行对比,如果相同位置所述客体组织结构属性包括的元素与所述主体组织结构属性包括的元素相同,或者相同位置所述客体组织结构属性包括的元素包含有所述主体组织结构属性包括的元素,则判定对比验证成功;
当用于将主体组织结构属性与客体组织结构属性进行对比验证的单元为对比验证子单元时,所述对比验证子单元包括:
元素个数对比子单元,用于对比所述主体组织结构属性包括的元素的个数与所述客体组织结构属性包括的元素的个数是否相同;
元素内容对比子单元,用于将所述主体组织结构属性包括的元素与所述客体组织结构属性包括的每一个元素按顺序依次进行对比,如果相同位置所述客体组织结构属性包括的元素与所述主体组织结构属性包括的元素相同,或者相同位置所述客体组织结构属性包括的元素包含有所述主体组织结构属性包括的元素,则判定对比验证成功;
每一个元素为一个字符串、包括多个字符串的集合或者表示任意字符串的字符。
7.根据权利要求6所述的云存储平台访问控制装置,其特征在于,所述云存储平台访问控制装置还包括:
共享操作指令接收单元,用于接收所述用户终端发送的共享操作指令,所述共享操作指令包括共享操作动作、被共享的客体以及作为共享对象的主体,所述共享操作动作包括读共享操作、写共享操作、删除共享操作或者下载共享操作中的任意一个;
共享操作执行单元,用于根据所述共享操作指令,执行对所述被共享的客体执行共享操作;
所述共享操作执行单元包括:
第二查找子单元,用于根据所述共享操作动作信息,查找对应组的客体组织结构属性;
共享操作执行子单元,用于将所述主体的主体组织结构属性包括的元素添加到查找到的所述客体主体组织结构属性包括的元素中;或者将查找到的所述客体主体组织结构属性包括的一个或多个元素修改为所述表示任意字符串的字符。
8.根据权利要求5所述的云存储平台访问控制装置,其特征在于,所述主体属性信息还包括主体的用户名和密码,所述云存储平台访问控制装置还包括:
用户名和密码接收单元,用于接收所述用户终端发送的待验证的用户名和密码;
用户名和密码验证单元,用于根据所述主体的用户名和密码对所述待验证的用户名和密码进行匹配验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510197276.8A CN104767761B (zh) | 2015-04-23 | 2015-04-23 | 一种云存储平台访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510197276.8A CN104767761B (zh) | 2015-04-23 | 2015-04-23 | 一种云存储平台访问控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104767761A CN104767761A (zh) | 2015-07-08 |
| CN104767761B true CN104767761B (zh) | 2017-10-13 |
Family
ID=53649366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510197276.8A Expired - Fee Related CN104767761B (zh) | 2015-04-23 | 2015-04-23 | 一种云存储平台访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104767761B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105897703A (zh) * | 2016-03-31 | 2016-08-24 | 阔地教育科技有限公司 | 信息互动方法、信息互动终端、信息互动系统及管理平台 |
| CN106790484A (zh) * | 2016-12-13 | 2017-05-31 | 宁夏宁信信息科技有限公司 | 分类型基于云服务的存储扩容方法及装置 |
| CN108243175B (zh) * | 2016-12-27 | 2021-03-12 | 北京金山云网络技术有限公司 | 一种基于桶策略的访问控制方法及装置 |
| US10764367B2 (en) * | 2017-03-15 | 2020-09-01 | Hewlett Packard Enterprise Development Lp | Registration with a storage networking repository via a network interface device driver |
| CN107332836B (zh) * | 2017-06-27 | 2021-04-23 | 张海洋 | 数据分享方法及装置 |
| CN107944296A (zh) * | 2017-11-30 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种云存储系统及其用户权限控制方法、设备、存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102307185A (zh) * | 2011-06-27 | 2012-01-04 | 北京大学 | 适用于存储云内的数据隔离方法 |
| CN102546764A (zh) * | 2011-12-20 | 2012-07-04 | 华中科技大学 | 一种云存储系统的安全访问方法 |
| CN104009987A (zh) * | 2014-05-21 | 2014-08-27 | 南京邮电大学 | 一种基于用户身份能力的细粒度云平台安全接入控制方法 |
| CN104506514A (zh) * | 2014-12-18 | 2015-04-08 | 华东师范大学 | 一种基于hdfs的云存储访问控制方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854359B (zh) * | 2010-05-19 | 2012-10-31 | 南京联创科技集团股份有限公司 | 基于虚拟化计算的权限控制方法 |
-
2015
- 2015-04-23 CN CN201510197276.8A patent/CN104767761B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102307185A (zh) * | 2011-06-27 | 2012-01-04 | 北京大学 | 适用于存储云内的数据隔离方法 |
| CN102546764A (zh) * | 2011-12-20 | 2012-07-04 | 华中科技大学 | 一种云存储系统的安全访问方法 |
| CN104009987A (zh) * | 2014-05-21 | 2014-08-27 | 南京邮电大学 | 一种基于用户身份能力的细粒度云平台安全接入控制方法 |
| CN104506514A (zh) * | 2014-12-18 | 2015-04-08 | 华东师范大学 | 一种基于hdfs的云存储访问控制方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《基于HDFS的云存储访问控制安全策略的研究》;黄伟;《中国优秀硕士学位论文全文数据库 信息科技辑》;20140415(第4期);正文第3章-第4章及附图3-3、4-1、4-4 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104767761A (zh) | 2015-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104767761B (zh) | 一种云存储平台访问控制方法及装置 | |
| US20220027515A1 (en) | Decentralized Token Table Generation | |
| CN109598509B (zh) | 风险团伙的识别方法和装置 | |
| US20210049715A1 (en) | Blockchain-based data procesing method, apparatus, and electronic device | |
| CN109597822B (zh) | 一种用户数据的存储及查询方法和用户数据处理装置 | |
| CN105335855A (zh) | 一种交易风险识别方法及装置 | |
| CN107204986A (zh) | 云端存储加密方法、解密方法及云端存储加密装置 | |
| CN106875254A (zh) | 一种基于区块链技术的Android恶意应用程序控制方法 | |
| CN111694841A (zh) | 订单标识生成方法、装置、服务器及存储介质 | |
| CN105138478B (zh) | 一种非平衡哈希树的存储器完整性保护方法 | |
| CN107147750A (zh) | 上传、打包装置及服务平台、下载服务器和分发方法 | |
| US20140143873A1 (en) | Cyber-semantic account management system | |
| CN105848153A (zh) | 嵌入式sim卡注册、嵌入式sim卡鉴权方法及对应系统 | |
| CN109241357A (zh) | 链式结构模型及其构建方法、系统和终端设备 | |
| CN113364753A (zh) | 反爬虫方法、装置、电子设备及计算机可读存储介质 | |
| CN115840787B (zh) | 基于区块链的供应链数据共享方法、装置、设备及介质 | |
| CN107895105A (zh) | 一种密码处理方法、终端设备及计算机可读存储介质 | |
| CN108628738A (zh) | 应用程序编程接口测试用例的生成方法及装置 | |
| CN108600184A (zh) | 一种嵌入式芯片证书的设备认证方法 | |
| CN106650519A (zh) | 一种设备追踪方法和系统 | |
| CN102801728B (zh) | 客户端自动登录的管理方法及系统 | |
| CN117094037B (zh) | 基于Path+ORAM的多路径缓存写回方法、装置及相关设备 | |
| CN109145621A (zh) | 文档管理方法及装置 | |
| CN103199995A (zh) | 一种文件加密的方法和装置 | |
| CN108133034A (zh) | 共享存储访问方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171013 |