CN104969235A - 网络系统 - Google Patents
网络系统 Download PDFInfo
- Publication number
- CN104969235A CN104969235A CN201480006985.7A CN201480006985A CN104969235A CN 104969235 A CN104969235 A CN 104969235A CN 201480006985 A CN201480006985 A CN 201480006985A CN 104969235 A CN104969235 A CN 104969235A
- Authority
- CN
- China
- Prior art keywords
- account
- access control
- node
- acl
- control list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/80—Actions related to the user profile or the type of traffic
- H04L47/808—User-type aware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
在账户管理表(101)中,关联并记录在节点(100、200)处创建的账户的账户ID和账户名称。响应于包括访问控制条目要被改变的账户的账户名称和改变的内容的访问控制列表改变请求,访问控制列表改变单元(102)从账户关联表(101)中检索关联于账户名称而记录的账户ID,并且在要被改变的访问控制列表的账户控制条目中,根据改变的内容而改变访问控制条目,在所述访问控制条目中记录所检索到的账户ID。
Description
技术领域
本发明涉及诸如其中节点单独管理用户账户的工作组的网络系统、网络系统的节点、用于网络系统的访问控制列表改变方法以及程序。
背景技术
网络系统主要被归类为包括域控制器的那些和不包括任何域控制器的那些。包括大量节点的大网络系统通常包括多个域,每个域包括域控制器,其统一管理用户账户。包括域控制器使得能够有效率和安全的管理以及操作大网络系统。
与上面相对照,诸如包括小量节点的工作组的小网络系统通常不包括任何域控制器,且各个节点管理用户账户。换句话说,在不包括任何域控制器的网络系统(也被称为单独管理网络系统)中,每个用户需要在用户想要访问的每个节点创建他/她自己的账户(例如,参见PTL 1)。
更具体地,在不包括任何域控制器的网络系统中,每个用户需要输入包括账户名称和密码的账户创建请求到用户想要访问的每个节点并且需要在每个节点中预先存储包括账户名称、账户ID和密码的账户信息。上述的账户名称例如是要由用户使用来识别账户的字符串。上述的账户ID是要由节点来使用来唯一地识别账户的标识符,其由节点自身生成。账户ID也被称为安全标识符(SID)。即使在包括相同账户名称和密码的账户创建请求被输入到多个各自节点时,在各自节点生成的账户ID也不必相同,因为节点单独生成账户ID。如上所述登记的账户信息用于认证。当从用户使用的节点接收到包括账户名称和密码的认证请求时,节点比较所登记的账户信息与从终端单元接收到的信息,并且当匹配成功时允许对节点自身的访问。
为了增加安全性,一些网络系统使用访问控制列表(ACL)对诸如文件或文件夹的对象执行访问控制(例如参见PTL 2)。特定对象的访问控制列表包括访问控制条目(ACE),在其每个中记录允许访问对象的账户的账户ID和访问权限。当具有特定账户ID(例如IDX)的账户发布请求以访问对象且对象的访问控制列表不包括任何包括账户ID“IDX”的访问控制条目时,访问被拒绝。当访问控制列表包括诸如访问请求条目时,基于与账户ID“IDX”相关联地记录的访问权限和访问请求的内容,来进一步进行关于是否允许访问的判断。
引用列表
[专利文献]
[PTL 1]日本未审专利申请公开No.2006-85697
[PTL 2]PCT国际申请公开的日文翻译No.2011-526387
发明内容
[技术问题]
如上所述,在单独管理网络系统中,其不包括任何域控制器,节点单独地生成账户ID来识别账户。在使用访问控制列表的访问控制中,基于账户ID来识别访问请求源的账户。考虑到这些,使用访问控制列表执行访问控制的单独管理网络系统具有问题,为了以相同账户名称改变可从多个节点访问的对象的访问控制列表,需要复杂的改变操作。这个问题如下通过使用图16的网络系统作为示例来描述。
图16中的网络系统包括多个节点N1到N3以及由节点N1和N2共享的共享存储ST。
通过使用账户名称“XYZ”,共享存储ST存储可从节点N1和节点N2访问的文件F。文件F包括访问控制列表ACL和文件主体FH。访问控制列表ACL包括访问控制条目ACE1和访问控制条目ACE2,在ACE1中记录由节点N1自身在节点N1处创建账户名称“XYZ”的账户时生成的账户ID“IDN1”和访问权限“全(ALL)”,在ACE2中记录由节点N2自身在节点N2处创建相同账户名称“XYZ”的账户时生成的账户ID“IDN2”和访问权限“全”。
节点N1的账户信息存储单元SA存储当从节点N3接收到包括账户名称“XYZ”和密码“P”的账户创建请求时生成的账户信息。该账户信息包括在账户创建请求中包括的账户名称“XYZ”和密码“P”以及由节点N1自身生成的账户ID“IDN1”。
节点N2的账户信息存储单元SB存储当从节点N3接收到包括账户名称“XYZ”和密码“P”的账户创建请求时生成的账户信息。该账户信息包括在账户创建请求中包括的账户名称“XYZ”和密码“P”以及由节点N2自身生成的账户ID“IDN2”。
为了通过使用账户名称“XYZ”从节点N1访问文件F,节点N3的用户U从节点N3向节点N1发射访问请求,包括例如账户名称“XYZ”和访问内容。响应于访问请求,节点N1从账户信息存储单元SA中检索关联于账户名称“XYZ”而记录的账户ID“IDN1”。这里检索账户ID“IDN1”的原因是因为可访问对象(本例中是文件F)的账户(用户)在访问控制列表ACL中是使用账户ID来管理的。
在检索之后,节点N1检查其中记录账户ID“IDN1”的访问控制条目是否包括在文件F的访问控制列表ACL中。在这个示例中,由于其中记录账户ID“IDN1”的访问控制条目ACE1被包括,节点N1基于记录在访问控制条目ACE1中的访问权限和访问请求中的访问内容来确定是否允许访问到文件F。在这个示例中,由于访问控制条目ACE1中记录的访问权限是“全”,节点N1允许用户U访问文件F。
为了通过使用账户名称“XYX”从节点N2访问文件F,节点N3的用户从节点N3向节点N2发射接入请求,包括例如账户名称“XYZ”和接入内容。一旦接收到请求,节点N2执行与由节点N1所执行的相同处理,并且允许对文件F的访问。
接下来,描述为了改变文件F的访问控制列表ACL而要执行的操作。首先,节点N3的用户U从节点N3向节点N1发射访问控制列表改变请求,该访问控制列表改变请求包括关于访问控制列表要被改变的对象(在本示例中是文件F)的识别信息、访问控制列表要被改变的账户的账户名称(例如“XYZ”)以及改变内容(例如,改变访问权限为“写入(WRITE)”)。响应于请求,节点N1从账户信息存储单元SA中检索关联于账户名称“XYZ”而记录的账户ID“IDN1”。此后,节点N1改变其中记录了检索到的账户ID“IDN1”的访问控制条目ACE1中的访问权限,从“全”到“写入”。在此状态下,在用户U使用账户名称“XYZ”从节点N1访问文件F时和在使用相同账户名称“XYZ”从节点N2访问文件F时的访问权限不同。
为了解决这个情况,用户U向节点N2发射访问控制列表改变请求,其具有与上述访问控制列表改变请求相同的内容。响应于该请求,在节点N2执行与上述相同的处理,且访问控制条目ACE2中的访问权限从“全”改变为“写入”。如上所述,访问控制列表改变请求需要被发射到节点N1和节点N2二者以便访问权限在从节点N1访问的情况和从节点N2访问的情况都相同。这要求复杂操作来改变访问控制列表。在图16中的情况下,网络系统包括两个节点,即节点N1和N2,其可使用相同账户名称“XYZ”访问文件F,并且因此发射访问控制列表改变请求的次数是二。但是,当N个节点被包括作为可使用相同账户名称“XYZ”访问文件F的节点,访问控制列表改变请求需要被发射N次。
考虑到以上,本发明目标在于提供一种网络系统,在网络系统不包括任何域控制器的情况下,其解决需要复杂改变操作来改变可使用相同账户名称从多个节点访问的对象的访问控制列表的问题。
[问题的解决方案]
根据本发明的示例方面的一种网络系统包括:第一节点;第二节点;以及由所述第一节点和所述第二节点所共享的每个对象的访问控制列表,所述访问控制列表包括访问控制条目,其中记录被允许访问所述对象的账户的账户ID和访问权限,其中,所述第一节点包括:账户关联表,其中彼此关联地记录在所述节点自身处创建的账户的账户名称和账户ID以及其中彼此关联地记录在所述第二节点处创建的账户的账户名称和账户ID,以及访问控制列表改变单元,其响应于包括关于访问控制列表要被改变的对象的识别信息、访问控制条目要被改变的账户的账户名称、以及改变内容的访问控制列表改变请求而从所述账户关联表中检索关联于所述访问控制列表改变请求中的所述账户名称而记录的账户ID,并且根据所述改变内容而改变访问控制条目,在所述访问控制条目中记录所检索到的账户ID并且所述访问控制条目被包括在由所述识别信息所指示的所述对象的所述访问控制列表中。
根据发明的示例方面的节点包括:账户关联表,其中彼此关联地记录在所述节点自身处创建的账户的账户名称和账户ID以及彼此关联地记录在不同节点中创建的账户的账户名称和账户ID;以及访问控制列表改变单元,其响应于包括关于由所述节点自身和所述不同节点所共享的对象中的访问控制列表要被改变的对象的识别信息、访问控制条目要被改变的账户的账户名称、以及改变内容的访问控制列表改变请求而从所述账户关联表中检索关联于所述访问控制列表改变请求中的所述账户名称而记录的账户ID,并且根据所述改变内容而改变访问控制条目,在所述访问控制条目中记录所检索到的账户ID和访问权限并且所述访问控制条目被包括在由所述识别信息所指示的所述对象的所述访问控制列表中。
根据发明的示例方面的访问控制列表改变方法是一种用于网络系统的方法,所述网络系统包括第一节点、第二节点和由所述第一节点和所述第二节点所共享的每个对象的访问控制列表,所述访问控制列表包括访问控制条目,其中记录被允许访问所述对象的账户的账户ID和访问权限,所述访问控制列表改变方法包括:响应于包括关于访问控制列表要被改变的对象的识别信息、访问控制条目要被改变的账户的账户名称、以及改变内容的访问控制列表改变请求,所述第一节点从其中彼此关联地记录在所述节点自身处创建的账户的账户名称和账户ID且其中彼此关联地记录在所述第二节点处创建的账户的账户名称和账户ID的账户关联表中检索关联于所述访问控制列表改变请求中的所述账户名称而记录的账户ID,并且根据所述改变内容而改变访问控制条目,在所述访问控制条目中记录所检索到的账户ID并且所述访问控制条目被包括在由所述识别信息所指示的所述对象的所述访问控制列表中。
根据发明的示例方面的程序是一种程序,使得包括账户关联表的计算机起到如下作用,在所述账户关联表中彼此关联地记录在所述计算机自身处创建的账户的账户名称和账户ID以及彼此关联地记录在不同计算机中创建的账户的账户名称和账户ID:访问控制列表改变单元,其响应于包括关于由所述计算机自身和所述不同计算机所共享的对象中的访问控制列表要被改变的对象的识别信息、访问控制条目要被改变的账户的账户名称、以及改变内容的访问控制列表改变请求而从所述账户关联表中检索关联于所述访问控制列表改变请求中的所述账户名称而记录的账户ID,并且根据所述改变内容而改变访问控制条目,在所述访问控制条目中记录所检索到的账户ID和访问权限并且所述访问控制条目被包括在由所述识别信息所指示的所述对象的所述访问控制列表中。
[发明的有益效果]
根据本发明,在节点单独管理账户的网络系统中,有可能获得即使在改变可使用相同账户名称从多个节点访问的对象的访问控制列表的情况下便利改变操作的效果。
附图说明
[图1]图1是图示说明根据本发明的第一示例实施例的网络系统的配置的示例的框图。
[图2]图2是图示说明文件的配置的示例的图。
[图3]图3提供了每个都图示说明账户信息存储单元的内容的示例的表。
[图4]图4提供了每个都图示说明账户关联表存储单元的内容的示例的表。
[图5]图5提供了每个都图示说明文件访问请求的示例的表。
[图6]图6是图示说明作用为客户端的节点的配置的示例的框图。
[图7]图7是图示说明在创建账户时的操作的顺序图。
[图8]图8是图示说明账户管理单元的处理的示例的流程图。
[图9]图9是图示说明认证单元的处理的示例的流程图。
[图10]图10是图示说明文件登记单元的处理的示例的流程图。
[图11]图11是图示说明访问控制列表的示例的表。
[图12]图12是图示说明访问控制单元的处理的示例的流程图。
[图13]图13是图示说明访问控制列表改变单元的处理的示例的流程图。
[图14]图14是图示说明改变访问控制列表的状态的表。
[图15]图15是图示说明根据本发明的第二示例实施例的网络系统的配置的示例的框图。
[图16]图16是用于图示说明本发明要解决的问题的图。
具体实施方式
接下来,结合附图来详细描述本发明的示例实施例。
[第一示例实施例]
参看图1,根据本发明的第一示例实施例的网络系统包括作用为文件服务器的节点1和2、可从节点1和2访问的共享存储3、作用为客户端的节点4和5。节点1、2、4和5经由网络NW互相连接。在此示例实施例中,用于增强可用性,当节点1操作正常时,作用为客户端的节点4和5从节点1访问共享存储3中31-1到31-N中任何的文件,而当节点1面临故障时,从节点2访问文件31-1到31-N中的任何文件。
如图2中所示,共享存储3中的31-i(l<i<N)包括文件元数据311、访问控制列表312和文件主体313。文件元数据311包括例如文件创建时间和日期、文件创建者的账户名称和文件名称。
作用于文件服务器的节点1和2分别包括发射/接收单元11、12、控制单元12、22、存储13、23、诸如键盘的输入单元14、24、以及诸如LCD的显示单元15、25。
节点1、2的存储13、23分别包括账户信息存储单元131、231和账户关联表存储单元132、232。
节点1的账户信息存储单元131存储账户信息,包括在节点1自身处创建的每个账户的账户名称、账户ID和密码。节点2的账户信息存储单元231存储账户信息,包括在节点2自身处创建的每个账户的账户名称、账户ID和密码。图3(A)和3(B)是图示说明账户信息存储单元131和231的内容的各个势力的表。
节点1的账户关联表存储单元132存储账户关联表,在其中彼此关联地记录在节点1自身处创建的每个账户的账户名称和账户ID以及彼此关联地记录在不同的节点2处创建的每个账户的账户名称和账户ID。节点2的账户关联表存储单元232存储账户关联表,在其中彼此关联地记录在节点2自身处创建的每个账户的账户名称和账户ID以及彼此关联地记录在不同的节点1处创建的每个账户的账户名称和账户ID。图4(A)和4(B)是图示说明账户关联表存储单元132和232的内容的各自示例的表。
各个节点1和2的发射/接收单元11和21中每个具有经由网络NW发射和接收数据的功能。
节点1的控制单元12包括账户管理单元121、账户关联表管理单元122、认证单元123和文件系统124,节点2的控制单元22包括账户管理单元221、账户关联表管理单元222、认证单元223和文件系统224。
节点1的账户管理单元121具有这样的功能:响应于由作用为客户端的节点4或节点5发射且包括要被创建的账户的账户名称和密码的账户创建请求,生成在节点1自身处唯一地识别账户的账户ID,以及在账户信息存储单元131中存储包括生成的账户ID以及在账户创建请求中的账户名称和密码的账户信息。除了这些,账户管理单元121具有如下功能:将包括生成的账户ID和在账户创建请求中的账户名称的账户关联表登记请求传递到节点1自身的账户关联表管理单元122,以及将账户关联表登记请求发射到不同的节点2。当账户不需要用密码保护时,不需要将密码包括在账户创建请求中。一旦接收到不包括任何密码的账户创建请求,账户管理单元121生成唯一地识别账户的账户ID,以及在账户信息存储单元131中存储包括账户ID和在账户创建请求中的账户名称的账户信息。
节点2的账户管理单元221具有如下的功能:响应于由作用为客户端的节点4或节点5发射且包括要被创建的账户名称和密码的账户创建请求,生成在节点2自身处唯一地识别账户的账户ID,以及在账户信息存储单元231中存储包括生成的账户ID和在账户创建请求中的账户名称和密码的账户信息。除了这些,账户管理单元221具有如下功能:将包括生成的账户ID和在账户创建请求中的账户名称的账户关联表登记请求传递到节点2自身的账户关联表管理单元222,以及将账户关联表登记请求发射到不同的节点1。
节点1的账户关联表管理单元122具有如下的功能,彼此关联地在账户关联表存储单元132中存储在从节点1自身的账户管理单元121接收到的账户关联表登记请求中包括的账户名称和账户ID,以及彼此关联地在账户关联表存储单元132中存储在从不同的节点2接收到的账户关联表登记请求中包括的账户名称和账户ID。
相应地,节点2的账户关联表管理单元222具有如下的功能:彼此关联地在账户关联表存储单元232中存储在从节点2自身的账户管理单元221接收到的账户关联表登记请求中包括账户名称和账户ID,以及彼此关联地在账户关联表存储单元232中存储在从不同的节点1接收到的账户关联表登记请求中包括的账户名称和账户ID。
节点1的认证单元123具有如下的功能:一旦从作用为客户端的节点4或节点5接收到包括账户名称和密码的认证请求,比较账户名称和密码与在节点1自身的账户信息存储单元131中存储的账户信息并且当匹配成功时允许文件系统124的使用。节点2的认证单元223具有如下的功能:一旦从作用为客户端的节点4或节点5接收到包括账户名称和密码的认证请求,比较账户名称和密码与在节点2自身的账户信息存储单元231中存储的账户信息并且当匹配成功时允许文件系统224的使用。
节点1的文件系统124包括访问控制单元125和文件登记单元127,访问控制单元125包括访问控制列表改变单元(ACL改变单元)126。节点2的文件系统224包括访问控制单元225和文件登记单元227,访问控制单元225包括访问孔子列表改变单元(ACL改变单元)226。
节点1的访问控制单元125具有如下的功能(1)到(4)。
(1)一旦从作用为客户端的节点4或节点5接收到文件访问请求,通过参考访问目标文件的访问控制列表,确定是否允许文件访问。对该功能的详细描述如下。
该示例实施例中的文件访问请求被归类为只请求文件主体作为访问目标的、只请求访问控制列表作为访问目标的以及请求文件主体和访问控制列表二者作为访问目标的。如图5(A)中所示,只请求文件主体作为访问目标的文件访问请求包括访问目标文件的文件名称51、要用于访问具有文件名称51的文件的账户的账户名称52、以及对文件主体的访问内容53(诸如写入或读取(READ))。如图5(B)中所示,只请求访问控制列表作为访问目标的文件访问请求包括访问目标文件的文件名称51(访问控制列表要被改变的文件的文件名称)、要用于访问具有文件名称51的文件的账户的账户名称52、每个对应访问控制条目要被改变的账户的账户名称54以及对访问控制列表的改变内容55。对访问控制列表的改变内容55包括添加或删除访问控制条目以及改变访问权限。如图5(C)中所示,请求文件主体和访问控制列表二者的文件访问请求包括访问目标文件的文件名称51、要被用于访问具有文件名称51的文件的账户的账户名称52、对文件主体的访问内容53、每个对应访问控制条目要被改变的账户的账户名称54和对访问控制列表的改变内容55。
在接收到的文件访问请求如图5(A)中所示的情况下,其中,只请求文件主体作为访问目标,访问控制单元125首先从账户信息存储单元131中检索关联于账户名称52而记录的账户ID,检查检索到的账户ID是否包括在文件名称51所指示的文件的访问控制列表中,并且在账户ID不包括在访问控制列表中时拒绝访问。当账户ID包括在访问控制列表中时,访问控制单元125基于关联于所检索到的账户ID而记录的访问权限以及访问内容53来进一步确定是否允许访问。
在文件访问请求如图5(B)中所示的情况下,其中只请求访问控制列表作为访问目标,访问控制单元125执行与上述相同的处理,除了当所检索到的账户ID包括在访问目标文件的访问控制列表中时执行的部分。当所检索到的账户ID包括在访问控制列表中时,访问控制单元125基于关联于账户ID而记录的访问权限以及改变内容55来确定是否允许访问。
在文件访问请求如图5(C)中所示的情况下,其中请求文件主体和访问控制列表二者作为访问目标,访问控制单元125执行与上述相同的处理,除了当检索到的账户ID包括在访问目标文件的访问控制列表中时执行的部分。当检索到的账户ID包括在访问控制列表中时,访问控制单元125基于关联于账户ID而记录的访问权限以及访问内容53和改变内容55来确定是否允许访问。具体地,当访问内容53所指示的处理和改变内容55所指示的处理都可以以所记录的访问权限来执行时,访问控制单元125允许访问,否则拒绝访问。功能(1)的细节如上所述。
(2)当文件访问请求如图5(A)中所示时,其中只请求文件主体作为访问目标,基于具有文件名称51的文件的文件主体上的访问内容53执行处理,并且返回处理结果到请求源。
(3)当文件访问请求如图5(B)中所示时,其中只请求访问控制列表作为访问目标,指令访问控制列表改变单元(ACL改变单元)126执行改变访问控制列表的处理,以及将处理结果返回到请求源。访问控制列表改变单元126具有如下功能:从在账户关联表存储单元132中存储的账户关联表中检索关联于账户名称而记录的所有账户ID,以及根据改变内容55,在文件名称51所记录的文件的访问控制列表中包括的访问控制条目中,改变其中记录每个检索到的账户ID的访问控制条目。当改变内容55指示添加访问控制条目时,对访问控制列表中的每个检索到的账户ID创建其中记录账户ID和相应访问权限的访问控制条目。访问权限包括在改变内容55中。
(4)当文件访问请求如图5(C)中所示时,其中请求文件主体和访问控制列表二者作为访问目标,执行上述的处理(2)和(3)并且将处理结果返回到请求源。
访问控制单元125的功能如上所述。节点2的访问控制单元225具有与访问控制单元125相同的功能。
节点1的文件登记单元127具有如下功能:一旦从作用为客户端的节点4或节点5接收到文件登记请求,从登记目标文件的文件元数据311(参见图2)中提取文件创建者的账户名称,从账户关联表存储单元132中存储的账户关联表中检索关联于所提取的账户名称而记录的所有的账户ID,以及在访问控制列表312中为每个检索到的账户ID创建其中记录文件创建者的账户ID和预设访问权限(例如,全)的访问控制条目。节点2的文件登记单元227具有与文件登记单元127相同的功能。
节点1可以由计算机来实现。在由计算机来实现节点1的情况下,配置示例如下:准备盘、半导体存储器或任何其他记录介质,其中记录用于使得计算机作用为账户管理单元121、账户关联表管理单元122、认证单元123和文件系统124的程序;以及使得计算机读取所述程序。通过根据所读取的程序来控制自身的操作,计算机可以在计算机自身中实现账户管理单元121、账户关联表管理单元122、认证单元123和文件系统124。类似地,节点2可以由计算机来实现,如同节点1的情况。
参见图6,作用为客户端的节点4包括发射/接收单元41、控制单元42、诸如键盘的输入单元43以及诸如LCD的显示单元44。发射/接收单元41具有经由网络NW发射和接收数据的功能。
控制单元42包括账户创建请求单元421、认证请求单元422、文件登记请求单元423以及文件访问单元424。
账户创建请求单元421具有如下功能:根据用户U4的指令创建包括账户名称和密码的账户创建请求,以及发射账户创建请求到由用户U4所指定的节点。
认证请求单元422具有如下功能:根据用户U4的指令,发射包括账户名称和密码的认证请求到节点1。当节点1面临故障时,认证请求单元422发射认证请求到节点2。
文件登记请求单元423具有如下功能:根据用户U4的指令,发射包括登记目标文件的文件登记请求到节点1。当节点1面临故障时,文件登记请求单元423发射文件登记请求到节点2。
文件访问单元424具有如下的功能:根据用户U4的指令,发射如图5(A)、5(B)、5(C)中所示的文件访问请求到节点1。当节点1面临故障时,文件访问单元424发射文件访问请求到节点2。例如,用于确定节点1是否面临故障的判断方法可以是这样一种方法:当对节点1的请求被拒绝连续特定次数时,确定节点1面临故障;或者可以是这样一种方法:当从节点1没有接收到指示正常操作的信号时,确定节点1面临故障。
节点5具有与节点4相同的功能。节点4能够由计算机来实现。在由计算机实现节点4的情况下,配置示例如下:准备盘、半导体存储器或任何其他记录介质,其中记录用于使得计算机作用为账户创建请求单元421、认证请求单元422、文件登记单元423和文件访问单元424的程序;以及使得计算机读取所述程序。通过根据所读取的程序来控制自身的操作,计算机可以在计算机自身中实现账户创建请求单元421、认证请求单元422、文件登记单元423和文件访问单元424。
接下来,详细描述该示例实施例中的操作。
首先,给出对节点4的用户U4以账户名称“A”在节点1和2每个中创建账户的情况下的操作的描述。
用户U4从节点4的输入单元43输入包括账户名称“A”、密码“PA”和目的地“节点1”的账户创建指令。响应于该输入,账号创建请求单元421发射包括账户名“A”和密码“PA”的账户创建请求到节点1(图7中的步骤S701)。
一旦接收到账户创建请求,节点1的账户管理单元121生成账户ID“IDA1”用于在节点1自身处唯一地识别账户(图7中的步骤S702和图8中的步骤S81)。然后,账户管理单元121生成账户信息,包括生成的账户ID“IDA1”以及在账户创建请求中的账户名称“A”和密码“PA”,并且在账户信息存储单元131中存储账户信息(图7中的步骤S73和图8中的步骤S82和S83)。
除了以上,账户管理单元121将包括账户名称“A”和账户ID“IDA1”的账户关联表登记请求传递到账户关联表管理单元122(图8中的步骤S84)。响应于该请求,账户关联表管理单元122在账户关联表存储单元132中彼此关联地存储账户名称“A”和账户ID“IDA1”(图7中的步骤S704)。
在以上之后,账户管理单元121发射包括账户名称“A”和账户ID“IDA1”的账户关联表登记请求到节点2(图7中的步骤S705和图8中的步骤S85)。一旦从节点1接收到账户关联表登记请求,节点2的账户关联表管理单元222在账户关联表存储单元232中彼此关联地存储账户名称“A”和账户ID“IDA1”(图7中的步骤S706)。
为了在节点2也创建具有账户名称“A”的账户,节点4的用户U4从输入单元43输入包括账户名称“A”、密码“PA”和目的地“节点2”的账号创建指令。响应于该输入,账号创建请求单元421发射包括账号名称“A”和密码“PA”的账号创建请求到节点2(图7中的步骤S707)。
一旦接收到账号创建请求,节点2的账号管理单元221生成账号ID“IDA2”用于在节点2自身处唯一地识别账号(图7中的步骤S708和图8中的步骤S81)。然后,账号管理单元221生成包括所生成的账号ID“IDA2”以及在账号创建请求中的账号名称“A”和密码“PA”的账号信息,并且在账号信息存储单元131中存储账号信息(图7中的步骤S709和图8中的步骤S82和S83)。此后,账号管理单元221将包括账号名称“A”和账号ID“IDA2”的账号关联表登记请求传递到账号关联表管理单元222(图8中的步骤S84)。响应于该请求,账号关联表管理单元222在账号关联表存储单元232中彼此关联地存储账号名称“A”和账号ID“IDA2”(图7中的步骤S710)。
在以上之后,账号管理单元221发射包括账号名称“A”和账号ID“IDA2”的账号关联表登记请求到节点1(图7中的步骤S711和图8中的步骤S85)。一旦从节点2接收到账号关联表登记请求,节点1的账号关联表管理单元122在账号关联表存储单元132中彼此关联地存储账号名称“A”和账号ID“IDA2”(图7中的步骤S712)。
在节点5的用户U5以账号名称“B”在节点1和2每个中创建账户的情况下,执行与上述相同的处理。通过这些处理,账号信息存储单元131和231的内容对应于图3(A)和3(B)中所示,且账号关联表存储单元132和232的内容对应于图4(A)和4(B)中所示。
接下来,给出节点4的用户U4通过使用在节点1中以账户名称“A”创建的账户来登记共享存储3中的文件的情况中的操作的描述。
用户U4从节点4的输入单元43输入账号名称“A”和密码“PA”到认证请求单元422。响应于该输入,认证请求单元422发射认证请求到节点1。
节点1的认证单元123比较从节点4接收到的认证请求中的账号名称“A”和密码“PA”与在账号信息存储单元131中存储的账号信息(图9中的步骤S91)。当匹配成功时(步骤S92中为是),认证单元123允许节点4使用文件系统124(步骤S93);当匹配失败时(步骤S92中为否),认证单元123拒绝使用(步骤S94)。
当允许文件系统124的使用时,节点4的用户U4使用输入单元43输入包括例如登记目标文件的文件名称的文件登记指令。响应于该输入,文件登记请求单元423发射包括登记目标文件的文件登记请求到节点1。
一旦从节点4接收到文件登记请求,节点1的文件登记单元127首先在共享存储3中存储登记目标文件(图10中的步骤S101)。然后,文件登记单元127从文件的文件元数据中提取文件创建者的账户名称,并且从账户关联表存储单元132中检索关联于所提取的账户名称而记录的所有账户ID(步骤S102和S103)。例如,假设文件创建者的账户名称是“A”且账户关联表存储单元132的内容如图4(A)中所示。在这种情况下,检索账户ID“IDA1”和“IDA2”。此后,文件登记单元127为每个检索到的账户ID生成包括文件创建者的账户ID和预设访问权限(例如,全)的访问控制条目,并且在访问控制列表中存储所生成的账户(访问?)控制条目(步骤S104)。通过上面的处理,创建了例如如图11中所呈现的访问控制列表。
接下来,给出节点4的用户U4通过使用节点1中以账户名称“A”创建的账户来访问共享存储3中的文件的情况下的操作的描述。
首先,用户U4经由节点4的认证请求单元422发射认证请求到节点1。当节点1的认证单元123允许文件系统124的使用时,根据由用户U4从输入单元43输入的指令,文件访问单元424创建文件访问请求,如图5(A)、5(B)或5(C)中所示,并且发射文件访问请求到节点1。
一旦接收到文件访问请求,通过参考在文件访问请求中的文件名称51所指示的文件的访问控制列表,节点1的访问控制单元125确定是否允许文件访问(图12中的步骤S1201)。
当确定不允许访问时(步骤S1202中为否),访问控制单元125通知作为请求源的节点4不具有访问权限(步骤S1211)且此后终止处理。相反,当确定允许访问时(步骤S1202中为是),访问控制单元125进一步确定文件访问请求是否包括访问控制列表的改变(步骤S1203)。该判断的进行基于在文件访问请求中是否包括“每个对应的访问控制条目要被改变的账户的账户名称54”和“对访问控制列表的改变内容55”。
当确定包括访问控制列表的改变时(步骤S1203中为是),访问控制单元125指令访问控制列表改变单元126执行访问控制列表改变处理(步骤S1204)。
响应于该指令,访问控制列表改变单元126从账户关联表存储单元132中检索关联于每个对应访问控制条目要被改变的账户的账户名称54而记录的账户ID(图13中的步骤S131)并且根据改变内容55来改变其中记录任何所检索到的账户ID的访问控制条目(步骤S132)。此后,访问控制列表改变单元126将处理结果返回到访问控制单元125(步骤S133)。
这里,假设例如账户关联表存储单元131的内容如图4(A)中所示且改变目标访问控制列表如图11中所示。除了这些之外,假设例如文件访问请求中的每个对应文件访问控制条目要被改变的账户的账户名称54是“B”且对访问控制列表的改变内容55指示“添加具有访问控制条目,以读取为访问权限”。在此情况下,访问控制列表改变单元126执行下面的处理。在步骤S131,访问控制列表改变单元126从账户关联表存储单元132中检索关联于账户名称“B”而记录的账户ID“IDB1”和“IDB2”。在步骤S132,具有账户ID“IDB1”和访问权限“读取”的访问控制条目以及具有账户ID“IDB2”和访问权限“读取”的访问控制条目被添加到访问控制列表中。作为这个的结果,访问控制列表的内容被改变为如图14(A)中所示。
假设例如账户关联表存储单元131的内容如图4(A)中所示且改变目标访问控制列表如图14(A)中所示。除了这些之外,假设例如文件访问请求中的每个对应文件访问控制条目要被改变的账户的账户名称54是“B”且对访问控制列表的改变内容55指示“改变访问权限为写入”。在此情况下,访问控制列表改变单元126执行下面的处理。在步骤S131,访问控制列表改变单元126从账户关联表存储单元132中检索关联于账户名称“B”而记录的账户ID“IDB1”和“IDB2”。在步骤S132,包括任何账户ID“IDB1”和“IDB2”的每个访问控制条目中的访问权限被改变为“写入”。作为这个的结果,访问控制列表的内容被改变为如图14(B)中所示。
假设例如账户关联表存储单元132的内容如图4(A)中所示且改变目标访问控制列表如图14(B)中所示。除了这些之外,假设例如文件访问请求中的每个对应文件访问控制条目要被改变的账户的账户名称54是“B”且对访问控制列表的改变内容55指示“删除访问控制条目”。在此情况下,访问控制列表改变单元126执行下面的处理。在步骤S131,访问控制列表改变单元126从账户关联表存储单元132中检索关联于账户名称“B”而记录的账户ID“IDB1”和“IDB2”。在步骤S132,从访问控制列表中删除具有任何账户ID“IDB1”和“IDB2”的每个访问控制条目。作为这个的结果,访问控制列表的内容被改变为如图14(C)中所示。
当从访问控制列表改变单元126返回的处理结果指示失败时(S1205),访问控制单元125返回指示处理失败的响应给作为请求源的节点4(步骤S1210)并且此后终止处理。
相反,当从访问控制列表改变单元126返回的处理结果指示成功时(步骤S1205中为是),访问控制单元125确定从节点4接收到的文件访问请求是否包括对文件主体的处理(步骤S1206)。该判断的进行基于文件访问请求是否包括“对文件主体的访问内容53”。
当文件访问请求不包括“对文件主体的访问内容53”时(步骤S1206中为否),访问控制单元125将指示处理成功的响应返回到作为请求源的节点4(步骤S1209)并且此后终止处理。当文件访问请求包括“对文件主体的访问内容53”时(步骤S1206中为是),访问控制单元125基于文件访问请求中的“对文件主体的访问内容53”来执行处理(步骤S1207)。注意:即使在步骤S1203中的判断结果为否时,执行步骤S1207中的处理。
当处理成功时(步骤S1208中为是),访问控制单元125将指示处理成功的响应返回到作为请求源的节点4(步骤S1209)并且此后终止处理。相反,当处理失败时(步骤S1208中为否),访问控制单元125将指示处理失败的响应返回到作为请求源的节点4(步骤S1210)并且此后终止处理。
当接收到指示处理失败的响应时,节点4再次发射文件访问请求到节点1。当接收到指示处理失败连续特定次数的响应时,节点4确定节点1面临故障,并且对节点2执行与对节点1执行的相同的处理。这可以增加文件服务器的可用性。
在上述的示例实施例中,文件被用作使用访问控制列表来执行访问控制的对象。但是,该对象不限于此且可以是不同的对象,诸如文件夹。而且,在上述的示例实施例中,作用为文件服务器的节点的数目为二。但是,节点的数目可以是三或更多。
[第一示例实施例的效果]
根据这个示例实施例,可以获得下面的效果:在节点单独管理账户的网络系统中,即使当可使用相同账户名称从多个节点访问的文件(对象)的访问控制列表要被改变时,可以便利改变操作。
原因如下。一旦输入包括每个对应访问控制条目要被改变的账户的账户名称的文件访问请求和改变内容,关联于账户名称而记录的账户ID被从账户关联表存储单元中检索出来,且在改变目标访问控制列表中的访问控制条目中的其中记录任何检索到的账户ID的每个访问控制条目被根据改变内容而改变。
根据这个示例实施例,可以获得能够轻易创建账号关联表的效果。
原因如下。一旦输入包括要被创建的账户的账户名称的账户创建请求,第一节点生成唯一地识别要在节点自身处被创建的账户的账户ID,并且在节点自身中的账户关联表存储单元中彼此关联地存储生成的账户ID和在账户创建请求中的账户名称。一旦从第二节点接收到账户关联表登记请求,第一节点在节点自身的账户关联表存储单元中彼此关联地存储账户ID和在请求中所包括的账户名称。一旦输入包括要被创建的账户的账户名称的账户创建请求,第二节点生成唯一地识别要在节点自身处创建的账户的账户ID,并且发射包括账户ID和在账户创建请求中的账户名称的账户关联表登记请求到节点1。
除了以上以外,根据本示例实施例,可以获得向网络系统提供增强可用性的效果。
原因在于,当第一节点正常操作时,作用为客户端的第三节点发射文件访问请求到第一节点,而当第一节点面临故障时,发射文件访问请求到第二节点。
根据这个示例实施例,在创建文件时,可以获得能够自动创建从多个节点访问的文件的访问控制列表的效果。
原因如下。一旦接收到文件登记请求,关联于文件创建者的账户名称而记录的账户ID被从账户关联表存储单元中检索出,且在登记目标文件的访问控制列表中创建在其中彼此关联地记录检索到的任何账户ID和预设访问权限的每个访问控制条目。
[第二示例实施例]
接下来,描述根据本发明的第二示例实施例的网络系统。
参看图15,根据该示例实施例的网络系统包括第一节点100、第二节点200和访问控制列表301-1到301-N。访问控制列表301-1到301-N是由第一节点100和第二节点200共享的各个对象300-1到300-N的访问控制列表,且每个包括访问控制条目,在每个访问控制条目中记录被允许访问对象的账户的账户ID和访问权限。
第一节点100包括账号关联表101和账号控制列表改变单元102。
在账户关联表101中,彼此关联地记录在节点100自身处创建的每个账户的账户名称和账户ID,且彼此关联地记录在第二节点200处创建的每个账户的账户名称和账户ID。
响应于包括关于访问控制列表要被改变的对象、每个对应访问控制条目要被改变的账户的账户名称以及改变内容的识别信息的访问控制列表改变请求,访问控制列表改变单元102从账户关联表101中检索关联于在访问控制列表改变请求中的账户名称而记录的账户ID。此后,根据改变内容,访问控制列表改变单元102改变记录任何检索到的账户ID且包括在识别信息所指示的对象的访问控制列表中的每个访问控制条目。
[第二示例实施例的效果]
根据该示例实施例,可以获得下面的效果:在节点单独管理账户的网络系统中,即使在可使用相同账户名称从多个节点访问的对象的访问控制列表要被改变时,可以便利改变操作。
原因如下。一旦输入包括每个对应访问控制条目要被改变的账户的账户名称和改变内容的访问控制列表改变请求,关联于账户名称而记录的账户ID被从账户关联表中检索出,且根据改变内容,在改变目标访问控制列表中的账户控制条目中,改变在其中记录任何检索出的账户ID的每个访问控制条目。
上面的示例实施例中所述的程序等可以存储在存储器或者记录在计算机可读记录介质中。例如,记录介质可以是便携介质,诸如软盘、光盘、磁光盘、或半导体存储器。
以上通过参考上面给出的示例实施例而描述了本申请的发明。但是,本申请的发明不限于上述的示例实施例。可以对本申请的发明的配置和细节进行各种改变,本领域技术人员能够理解这些改变都在本申请的发明的范围内。
注意,本发明希望从基于2013年1月31日在日本提交的日本专利申请No.2013-016834的优先权声明中获益,该专利申请的全部内容在此加入进来。
附图标记列表
1,2,4,5 节点
11,21 发射/接收单元
12,22 控制单元
121,221 账户管理单元
122,222 账户关联表管理单元
123,223 认证单元
124,224 文件系统
125,225 访问控制单元
126,226 访问控制列表改变单元
127,227 文件登记单元
13,23 存储
131,231 账户信息存储单元
132,232 账户关联表存储单元
14,24 输入单元
15,25 显示单元
3 共享存储
31-1到31-N 文件
311 文件元数据
312 访问控制列表
313 文件主体
100,200 节点
101 账户关联表
102 访问控制列表改变单元
300-1到300-N 对象
301-1到301-N 访问控制列表
Claims (8)
1.一种网络系统,包括:
第一节点;
第二节点;以及
由所述第一节点和所述第二节点所共享的每个对象的访问控制列表,所述访问控制列表包括访问控制条目,在所述访问控制条目中记录被允许访问所述对象的账户的账户ID和访问权限,
其中,所述第一节点包括:
账户关联表,在所述账户关联表中彼此关联地记录在所述节点自身处创建的账户的账户名称和账户ID,并且在账户关联表中彼此关联地记录在所述第二节点处创建的账户的账户名称和账户ID,以及
访问控制列表改变单元,所述访问控制列表改变单元响应于访问控制列表改变请求来从所述账户关联表中检索与所述访问控制列表改变请求中的所述账户名称相关联地记录的账户ID,所述访问控制列表改变请求包括关于访问控制列表的要被改变的对象的识别信息、访问控制条目要被改变的账户的账户名称和改变内容,并且所述访问控制列表改变单元根据所述改变内容来改变访问控制条目,在所述访问控制条目中记录所检索到的账户ID并且所述访问控制条目被包括在由所述识别信息所指示的对象的所述访问控制列表中。
2.根据权利要求1所述的网络系统,
其中,所述第一节点包括:
第一账户信息存储单元,
第一账户管理单元,所述第一账户管理单元响应于包括要被创建的账户的账户名称的第一账户创建请求来生成用于在所述节点自身处唯一地识别所述账户的第一账户ID,并且在所述第一账户信息存储单元中存储第一账户信息,所述第一账户信息包括所生成的第一账户ID和在所述第一账户创建请求中的所述账户名称,以及
账户关联表管理单元,所述账户关联表管理单元彼此关联地在所述账户关联表中存储由所述第一账户管理单元创建的所述第一账户ID和在所述第一账户创建请求中的所述账户名称,并且彼此关联地在所述账户关联表中存储在从所述第二节点接收的账户关联表登记请求中包括的第二账户ID和账户名称,并且
其中,所述第二节点包括:
第二账户信息存储单元,以及
第二账户管理单元,所述第二账户管理单元响应于包括要被创建的账户的账户名称的第二账户创建请求来生成用于在所述节点自身中唯一地识别所述账户的第二账户ID,并且在所述第二账户信息存储单元中存储包括所生成的第二账户ID和在所述第二账户创建请求中的所述账户名称的第二账户信息,并且向所述第一节点发射包括所述第二账户ID和所述第二账户创建请求中的所述账户名称的账户关联表登记请求。
3.根据权利要求1或2所述的网络系统,包括第三节点,所述第三节点包括访问控制单元,当所述第一节点正常操作时,所述访问控制单元向所述第一节点发射下述访问请求:该访问请求包括关于访问目标对象的识别信息、由所述识别信息指示的要用于访问所述对象的账户名称以及访问内容;并且当所述第一节点面临故障时,所述访问控制单元向所述第二节点发射下述访问请求:该访问请求包括关于访问目标对象的识别信息、由所述识别信息指示的要用于访问所述对象的账户名称以及访问内容。
4.根据权利要求1到3中任意一项所述的网络系统,其中,由所述第一节点和所述第二节点所共享的所述对象是存储在能够从所述第一节点和所述第二节点访问的共享存储中的文件。
5.根据权利要求4所述的网络系统,其中,所述第一节点包括文件登记单元,所述文件登记单元响应于文件登记请求来从所述账户关联表中检索与登记目标文件的创建者的账户名称相关联地记录的所有账户ID,并且在所述登记目标文件的所述访问控制列表中创建访问控制条目,在所述访问控制条目中彼此相关联地记录预设的访问权限和所检索到的账户ID中的一个。
6.一种节点,包括:
账户关联表,在所述账户关联表中彼此相关联地记录在所述节点自身处创建的账户的账户名称和账户ID,并且彼此相关联地记录在不同节点中创建的账户的账户名称和账户ID;以及
访问控制列表改变单元,所述访问控制列表改变单元响应于访问控制列表改变请求来从所述账户关联表中检索与所述访问控制列表改变请求中的所述账户名称相关联地记录的账户ID,所述访问控制列表改变请求包括关于由所述节点自身和所述不同节点所共享的对象当中的访问控制列表的要被改变的对象的识别信息、访问控制条目要被改变的账户的账户名称和改变内容,并且所述访问控制列表改变单元根据所述改变内容来改变访问控制条目,在所述访问控制条目中记录所检索到的账户ID和访问权限,并且所述访问控制条目被包括在由所述识别信息所指示的所述对象的所述访问控制列表中。
7.一种用于网络系统的访问控制列表改变方法,所述网络系统包括第一节点、第二节点以及由所述第一节点和所述第二节点所共享的每个对象的访问控制列表,所述访问控制列表包括访问控制条目,在所述访问控制条目中记录被允许访问所述对象的账户的账户ID和访问权限,所述访问控制列表改变方法包括:
响应于访问控制列表改变请求,所述第一节点从账户关联表中检索与所述访问控制列表改变请求中的所述账户名称相关联地记录的账户ID,所述访问控制列表改变请求包括关于访问控制列表的要被改变的对象的识别信息、访问控制条目要被改变的账户的账户名称和改变内容,在所述账户关联表中彼此相关联地记录在所述节点自身处创建的账户的账户名称和账户ID并且在所述账户关联表中彼此相关联地记录在所述第二节点处创建的账户的账户名称和账户ID,并且根据所述改变内容来改变访问控制条目,在所述访问控制条目中记录所检索到的账户ID,并且所述访问控制条目被包括在由所述识别信息所指示的对象的所述访问控制列表中。
8.一种程序,使得包括账户关联表的计算机起到如下作用,在所述账户关联表中彼此相关联地记录在所述计算机自身处创建的账户的账户名称和账户ID并且彼此相关联地记录在不同计算机中创建的账户的账户名称和账户ID:
访问控制列表改变单元,所述访问控制列表改变单元响应于访问控制列表改变请求来从所述账户关联表中检索与所述访问控制列表改变请求中的所述账户名称相关联地记录的账户ID,所述访问控制列表改变请求包括关于由所述计算机自身和所述不同计算机所共享的对象当中的访问控制列表的要被改变的对象的识别信息、访问控制条目要被改变的账户的账户名称和改变内容,并且根据所述改变内容来改变访问控制条目,在所述访问控制条目中记录所检索到的账户ID和访问权限,并且所述访问控制条目被包括在由所述识别信息所指示的所述对象的所述访问控制列表中。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013016834 | 2013-01-31 | ||
| JP2013-016834 | 2013-01-31 | ||
| PCT/JP2014/000142 WO2014119233A1 (ja) | 2013-01-31 | 2014-01-15 | ネットワークシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104969235A true CN104969235A (zh) | 2015-10-07 |
| CN104969235B CN104969235B (zh) | 2018-02-02 |
Family
ID=51261951
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480006985.7A Active CN104969235B (zh) | 2013-01-31 | 2014-01-15 | 网络系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10129173B2 (zh) |
| EP (1) | EP2953051A4 (zh) |
| JP (1) | JP5991386B2 (zh) |
| CN (1) | CN104969235B (zh) |
| WO (1) | WO2014119233A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111263941A (zh) * | 2017-06-28 | 2020-06-09 | 美国高盛银行 | 接口特定的账户标识符 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9858288B2 (en) | 2012-08-03 | 2018-01-02 | Egnyte, Inc. | System and method for event-based synchronization of remote and local file systems |
| CN103997508A (zh) * | 2013-02-20 | 2014-08-20 | 中兴通讯股份有限公司 | 一种集中存储照片的方法及装置 |
| US10380076B2 (en) | 2014-07-21 | 2019-08-13 | Egnyte, Inc. | System and method for policy based synchronization of remote and local file systems |
| US20170177613A1 (en) | 2015-12-22 | 2017-06-22 | Egnyte, Inc. | Event-Based User State Synchronization in a Cloud Storage System |
| WO2024072452A1 (en) * | 2022-09-29 | 2024-04-04 | Siemens Industry Software Inc. | User credential parameter space partitioning in a rule based access control system |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770169A (zh) * | 2004-11-05 | 2006-05-10 | 国际商业机器公司 | 向用户/组授予访问控制列表所有权的访问控制系统和方法 |
| US20070005595A1 (en) * | 2005-06-30 | 2007-01-04 | Neal Gafter | Document access control |
| US20070011136A1 (en) * | 2005-07-05 | 2007-01-11 | International Business Machines Corporation | Employing an identifier for an account of one domain in another domain to facilitate access of data on shared storage media |
| CN101729551A (zh) * | 2004-09-15 | 2010-06-09 | 微软公司 | 控制受信网络节点的访问权限的方法和系统 |
| CN102112990A (zh) * | 2008-06-27 | 2011-06-29 | 微软公司 | 为计算过程授予最小特权访问 |
| US20120036583A1 (en) * | 2010-08-04 | 2012-02-09 | Fuji Xerox Co., Ltd. | Computer readable medium storing program, information processing apparatus, and method |
| US20120284776A1 (en) * | 2011-05-03 | 2012-11-08 | Symantec Corporation | Techniques for Providing Access to Data in Dynamic Shared Accounts |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5708812A (en) * | 1996-01-18 | 1998-01-13 | Microsoft Corporation | Method and apparatus for Migrating from a source domain network controller to a target domain network controller |
| US5768519A (en) * | 1996-01-18 | 1998-06-16 | Microsoft Corporation | Method and apparatus for merging user accounts from a source security domain into a target security domain |
| US6032216A (en) * | 1997-07-11 | 2000-02-29 | International Business Machines Corporation | Parallel file system with method using tokens for locking modes |
| US7392383B2 (en) * | 2003-09-25 | 2008-06-24 | International Business Machines Corporation | Method and apparatus for providing process-based access controls on computer resources |
| JP2005128781A (ja) * | 2003-10-23 | 2005-05-19 | Hitachi Ltd | 系切り替え方法及び情報処理システム |
| US20060123472A1 (en) * | 2004-12-07 | 2006-06-08 | Microsoft Corporation | Providing tokens to access federated resources |
| US20080077635A1 (en) * | 2006-09-22 | 2008-03-27 | Digital Bazaar, Inc. | Highly Available Clustered Storage Network |
| US8214641B2 (en) * | 2007-08-23 | 2012-07-03 | Microsoft Corporation | File access in multi-protocol environment |
| JP4835661B2 (ja) * | 2008-08-11 | 2011-12-14 | 富士ゼロックス株式会社 | 利用者情報管理プログラム、利用者情報管理装置及び情報管理システム |
| US20100199346A1 (en) * | 2009-02-02 | 2010-08-05 | Telcordia Technologies, Inc. | System and method for determining symantic equivalence between access control lists |
| US8370510B2 (en) * | 2009-12-18 | 2013-02-05 | Microsoft Corporation | Remote application presentation over a public network connection |
| US8516607B2 (en) * | 2011-05-23 | 2013-08-20 | Qualcomm Incorporated | Facilitating data access control in peer-to-peer overlay networks |
| US8856530B2 (en) * | 2011-09-21 | 2014-10-07 | Onyx Privacy, Inc. | Data storage incorporating cryptographically enhanced data protection |
| WO2013051061A1 (en) * | 2011-10-05 | 2013-04-11 | Hitachi, Ltd. | Computer |
| US8826390B1 (en) * | 2012-05-09 | 2014-09-02 | Google Inc. | Sharing and access control |
| US9460300B1 (en) * | 2012-09-10 | 2016-10-04 | Google Inc. | Utilizing multiple access control objects to manage access control |
-
2014
- 2014-01-15 EP EP14746195.8A patent/EP2953051A4/en not_active Withdrawn
- 2014-01-15 JP JP2014559545A patent/JP5991386B2/ja not_active Expired - Fee Related
- 2014-01-15 US US14/759,760 patent/US10129173B2/en active Active
- 2014-01-15 WO PCT/JP2014/000142 patent/WO2014119233A1/ja active Application Filing
- 2014-01-15 CN CN201480006985.7A patent/CN104969235B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101729551A (zh) * | 2004-09-15 | 2010-06-09 | 微软公司 | 控制受信网络节点的访问权限的方法和系统 |
| CN1770169A (zh) * | 2004-11-05 | 2006-05-10 | 国际商业机器公司 | 向用户/组授予访问控制列表所有权的访问控制系统和方法 |
| US20070005595A1 (en) * | 2005-06-30 | 2007-01-04 | Neal Gafter | Document access control |
| US20070011136A1 (en) * | 2005-07-05 | 2007-01-11 | International Business Machines Corporation | Employing an identifier for an account of one domain in another domain to facilitate access of data on shared storage media |
| CN102112990A (zh) * | 2008-06-27 | 2011-06-29 | 微软公司 | 为计算过程授予最小特权访问 |
| US20120036583A1 (en) * | 2010-08-04 | 2012-02-09 | Fuji Xerox Co., Ltd. | Computer readable medium storing program, information processing apparatus, and method |
| US20120284776A1 (en) * | 2011-05-03 | 2012-11-08 | Symantec Corporation | Techniques for Providing Access to Data in Dynamic Shared Accounts |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111263941A (zh) * | 2017-06-28 | 2020-06-09 | 美国高盛银行 | 接口特定的账户标识符 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2953051A4 (en) | 2016-09-21 |
| WO2014119233A1 (ja) | 2014-08-07 |
| JP5991386B2 (ja) | 2016-09-14 |
| US10129173B2 (en) | 2018-11-13 |
| EP2953051A1 (en) | 2015-12-09 |
| US20150350107A1 (en) | 2015-12-03 |
| JPWO2014119233A1 (ja) | 2017-01-26 |
| CN104969235B (zh) | 2018-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104969235A (zh) | 网络系统 | |
| US6981152B2 (en) | Smart card security information configuration and recovery system | |
| US9633024B2 (en) | Policy driven cloud storage management and cloud storage policy router | |
| US8255420B2 (en) | Distributed storage | |
| US8370910B2 (en) | File server for translating user identifier | |
| US8095629B2 (en) | Managing user accounts and groups in multiple forests | |
| EP3571625B1 (en) | Security for accessing stored resources | |
| US20070011136A1 (en) | Employing an identifier for an account of one domain in another domain to facilitate access of data on shared storage media | |
| CN106202416B (zh) | 列表数据写方法和装置、列表数据读取方法和装置 | |
| CN101751466A (zh) | 信息处理系统、设备和方法以及分割管理服务器和方法 | |
| CN103067463A (zh) | 用户root权限集中管理系统和管理方法 | |
| KR102032583B1 (ko) | 상응하는 프라이머리 애플리케이션 데이터로부터 유래된 식별자에 기초한 보조 데이터로의 액세스 기법 | |
| US9417796B2 (en) | Method, a server, a system and a computer program product for copying data from a source server to a target server | |
| JP2008059063A (ja) | 情報管理プログラム | |
| KR101666064B1 (ko) | 분산 파일 시스템에서 url정보를 이용한 데이터 관리 장치 및 그 방법 | |
| JP2006238226A (ja) | ホームネットワークシステム | |
| EP3572951A1 (en) | A method for handling requests in a storage system and a storage node for a storage system | |
| US20090240700A1 (en) | Distributed file management system | |
| US20210089500A1 (en) | File sharing aliasing service | |
| CN114861198B (zh) | 一种访问页面的权限控制方法、设备及介质 | |
| JP4492569B2 (ja) | ファイル操作制御装置、ファイル操作制御システム、ファイル操作制御方法及びファイル操作制御プログラム | |
| JP4068116B2 (ja) | データアクセス方法および計算機システム | |
| CN101156145A (zh) | 使用Mozilla的个人计算环境系统 | |
| JP4601227B2 (ja) | 属性情報管理装置、属性情報利用装置および属性情報認証装置 | |
| KR20210147566A (ko) | 문서 공동 편집 서비스 제공 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |