发明内容
本发明提供一种数据权限管理方法及系统,主要用于计算任务数据访问权限的管理,旨在将用户专属任务镜像运行时的用户信息和文件存储系统上的用户信息进行统一,解决因上述两种系统的用户信息不一致所导致的数据访问权限的问题。
本发明提供了一种数据权限管理方法,所述数据权限管理方法包括:
读取并认证当前任务提交者的用户信息;
根据读取的所述用户信息,将计算任务系统对应的任务镜像转换为所述用户信息对应的用户专属任务镜像;
基于转换后的所述用户专属任务镜像,将文件存储系统与所述计算任务系统的数据访问权限进行统一。
进一步地,所述读取并认证当前任务提交者的用户信息,包括:
读取当前任务提交者的用户信息,获取对应的用户唯一识别码;
根据获取的所述用户唯一识别码,采用证书认证的方式,对读取的所述用户信息进行认证。
进一步地,所述根据读取的所述用户信息,将计算任务系统对应的任务镜像转换为所述用户信息对应的用户专属任务镜像,包括:
根据读取的所述用户信息,获取用户账号;
将获取的用户账号添加至所述计算任务系统对应的镜像文件中;
切换所述镜像文件默认的运行账号为所述用户账号,并生成所述用户账号对应的用户专属任务镜像。
进一步地,所述将获取的用户账号添加至所述计算任务系统对应的镜像文件中,包括:
解析所述计算任务系统对应的镜像文件,获取所述计算任务系统的镜像文件所对应的任务账号;
识别所述任务账号与获取的所述用户账号是否一致;
若二者不一致,则将获取的用户账号添加至所述计算任务系统对应的镜像文件中。
进一步地,所述基于转换后的所述用户专属任务镜像,将文件存储系统与所述计算任务系统的数据访问权限进行统一,包括:
利用转换后的所述用户专属任务镜像,执行所述计算任务系统中的计算任务;
根据所述计算任务的执行需求,对所述文件存储系统中存储的数据进行读写操作。
进一步地,所述根据所述计算任务的执行需求,对所述文件存储系统中存储的数据进行读写操作,包括:
根据所述计算任务的执行需求,基于所述计算任务系统发送对所述文件存储系统中存储数据的访问请求;
基于所述文件存储系统,识别所述访问请求是否合法;
若识别出所述访问请求合法,则允许基于所述计算任务系统对所述文件存储系统中存储的数据进行读写操作。
进一步地,所述识别所述访问请求是否合法,包括:
获取发送所述访问请求的用户专属镜像,从所述用户专属镜像中提取出对应的用户信息;
判断所述用户信息对应的用户,是否具备访问所述文件存储系统中存储数据的访问权限;
若所述用户信息对应的用户具备访问所述存储数据的访问权限,则识别出所述访问请求合法。
对应于上述实施例所提供的一种数据权限管理方法,本发明还提供了一种数据权限管理系统,所述数据权限管理系统包括:
读取模块,用于读取并认证当前任务提交者的用户信息;
切换模块,用于根据读取的所述用户信息,将计算任务系统对应的任务镜像转换为所述用户信息对应的用户专属任务镜像;
权限管理模块,用于基于转换后的所述用户专属任务镜像,将所述文件存储系统与所述计算任务系统的数据访问权限进行统一。
进一步地,所述读取模块用于:
读取当前任务提交者的用户信息,获取对应的用户唯一识别码;
根据获取的所述用户唯一识别码,采用证书认证的方式,对读取的所述用户信息进行认证。
进一步地,所述切换模块用于:
根据读取的所述用户信息,获取用户账号;
将获取的用户账号添加至所述计算任务系统对应的镜像文件中;
切换所述镜像文件默认的运行账号为所述用户账号,并生成所述用户账号对应的用户专属任务镜像。
进一步地,所述切换模块用于:
解析所述计算任务系统对应的镜像文件,获取所述计算任务系统的镜像文件所对应的任务账号;
识别所述任务账号与获取的所述用户账号是否一致;
若二者不一致,则将获取的用户账号添加至所述计算任务系统对应的镜像文件中。
进一步地,所述权限管理模块用于:
利用转换后的所述用户专属任务镜像,执行所述计算任务系统中的计算任务;
根据所述计算任务的执行需求,对文件存储系统中存储的数据进行读写操作。
进一步地,所述权限管理模块用于:
根据所述计算任务的执行需求,基于所述计算任务系统发送对所述文件存储系统中存储数据的访问请求;
基于所述文件存储系统,识别所述访问请求是否合法;
若识别出所述访问请求合法,则允许基于所述计算任务系统对所述文件存储系统中存储的数据进行读写操作。
进一步地,所述权限管理模块用于:
获取发送所述访问请求的用户专属镜像,从所述用户专属镜像中提取出对应的用户信息;
判断所述用户信息对应的用户,是否具备访问所述文件存储系统中存储数据的访问权限;
若所述用户信息对应的用户具备访问所述存储数据的访问权限,则识别出所述访问请求合法。
本发明一种数据权限管理方法及系统可以达到如下有益效果:
通过读取并认证当前任务提交者的用户信息;根据读取的所述用户信息,将计算任务系统对应的任务镜像转换为所述用户信息对应的用户专属任务镜像;基于转换后的所述用户专属任务镜像,将所述文件存储系统与所述计算任务系统的数据访问权限进行统一;解决了因上述计算任务系统与文件存储系统中的用户信息不一致所导致的数据访问权限的问题。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所指出的内容来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步描述。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明提供一种数据权限管理方法及系统,用以将用户对应的计算任务系统和文件存储系统上的用户信息进行统一,以便执行计算任务时,能够顺利地访问文件存储系统上存储的相应数据。
如图1所示,图1是本发明数据权限管理方法的一种实施方式的流程示意图;本发明一种数据权限管理方法可以实施为如下描述的步骤S10-S30:
步骤S10、读取并认证当前任务提交者的用户信息;
本发明实施例中,数据权限管理系统读取并认证当前任务提交者的用户信息,获取该用户信息对应的用户账号和用户密码,和/或用户唯一识别码即用户ID、以及用户身份信息、用户企业内部识别码等用户专属信息。由于文件存储系统在通常情况下是多用户模式,每个用户都有自己的专属目录,因此,在使用时,针对不同的用户,分别读取对应的用户信息。
在读取得到对应的用户信息后,数据权限管理系统对读取的用户信息进行认证,即认证该用户信息是否具备访问该数据权限管理系统的权限,并在对上述用户信息认证通过后,再执行后续操作。在对上述用户信息进行认证时,可以采用两种认证方式。一种认证方式是:根据用户账号和密码进行认证;另一种认证方式是:利用上述用户信息唯一对应的证书进行认证;该证书的存储位置只有用户信息对应的用户知晓其存储路径,因此,采用证书认证的这种认证方式,安全性更高。
步骤S20、根据读取的所述用户信息,将计算任务系统对应的任务镜像转换为所述用户信息对应的用户专属任务镜像;
根据从文件存储系统中读取的用户信息,将计算任务系统中对应的任务镜像进行转换;由于计算任务系统在任务容器中默认是以root权限运行的,因此需要根据读取的用户信息,将对应的root权限转换为该用户信息对应的用户专属权限;在进行权限转换时,可以根据用户信息,将计算任务系统对应的任务镜像转为用户专属任务镜像,以便于在执行计算任务时,根据计算任务的具体执行需求,基于该用户专属镜像对该用户对应的文件存储系统进行数据访问。其中,本发明实施例中所描述的镜像即images,可以根据具体需求来定制不同的镜像文件。
步骤S30、基于转换后的所述用户专属任务镜像,将文件存储系统与所述计算任务系统的数据访问权限进行统一。
由于数据权限管理系统将计算任务系统对应的默认的root权限转换为了用户信息对应的用户专属权限,而在文件存储系统的多用户模式下,当前也是用户信息对应的相同的用户专属权限,文件存储系统与计算任务系统的用户专属权限一致,因此,实现了将所述文件存储系统与所述计算任务系统的数据访问权限进行统一;可以根据任务执行需求,对文件存储系统中存储的数据进行打开、修改或者编辑文件的操作。比如,针对一具体的应用场景,在执行对应的计算任务时,数据权限管理系统将文件存储系统对应的存储目录挂载在用户ID计算任务所对应的容器上,则在执行计算任务时,即可实现对文件存储系统中的数据进行读、写和修改等操作。
基于图1所述实施例的描述,在本发明一优选的实施例中,如图2所示,图2是本发明数据权限管理方法中,图1所述实施例中步骤S20的一种实施方式的流程示意图;本发明图1所述实施例的“步骤S20、根据读取的所述用户信息,将计算任务系统对应的任务镜像转换为所述用户信息对应的用户专属任务镜像”,可以实施为如下描述的步骤S21-S23:
步骤S21、根据读取的所述用户信息,获取用户账号;
步骤S22、将获取的用户账号添加至所述计算任务系统对应的镜像文件中;
步骤S23、切换所述镜像文件默认的运行账号为所述用户账号,并生成所述用户账号对应的用户专属任务镜像。
本发明实施例,通过根据读取的用户信息获取对应的用户账号,并将获取的用户账号添加到对应的镜像文件中,进而生成该用户账号对应的用户专属任务镜像,实现计算任务系统对应的任务镜像与用户信息对应的用户专属任务镜像的转换,使得任务镜像转换更加高效,同时也提高了任务镜像转换的便捷性。
进一步地,在本发明一优选的实施例中,在执行将用户账号添加至所述计算任务系统对应的镜像文件中的操作时,数据权限管理系统先执行用户账号与计算任务系统中镜像文件的任务账号是否一致的识别操作。
数据权限管理系统解析该计算任务系统对应的镜像文件,获取该计算任务系统的镜像文件对应的任务账号;识别该镜像文件的任务账号是否与获取的当前用户的用户账号是否一致;若该镜像文件的任务账号与获取的用户账号一致,则无需执行将用户账号添加至计算任务系统的镜像文件中的操作,直接将镜像文件转换为用户专属任务镜像即可。若数据权限管理系统识别出:计算任务系统中镜像文件的任务账号与获取的用户账号不一致,则将获取的用户账号添加至所述计算任务系统对应的镜像文件中。这种操作方式提高了任务镜像转换的准确性。
基于图1和图2所述实施例的描述,在本发明一优选的实施例中,如图3所示,图3是本发明数据权限管理方法中,图1所述实施例中步骤S30的一种实施方式的流程示意图;本发明图1所述实施例的“步骤S30、基于转换后的所述用户专属任务镜像,将所述文件存储系统与所述计算任务系统的数据访问权限进行统一”,可以实施为如下描述的步骤S31-S32:
步骤S31、利用转换后的所述用户专属任务镜像,执行所述计算任务系统中的计算任务;
步骤S32、根据所述计算任务的执行需求,对所述文件存储系统中存储的数据进行读写操作。
本发明实施例中,由于数据权限管理系统根据文件存储系统中运行的用户信息,对应生成计算任务系统中的用户专属任务镜像,因此,文件存储系统与计算任务系统中需执行的用户专属任务镜像、二者对应的用户账号完全一致,实现了文件存储系统与计算任务系统的数据访问权限的统一,在执行计算任务系统对应的计算任务时,根据具体的计算任务的执行需求,即可便捷地对文件存储系统中的存储数据进行读写操作。
进一步地,在本发明一优选的实施例中,由于文件操作系统在通常情况下实施的是多用户操作模式,每个用户对应了该用户专属的目录,因此,数据权限管理系统在根据所述计算任务的执行需求,对所述文件存储系统中存储的数据进行读写操作时,根据所述计算任务的执行需求,基于所述计算任务系统发送对所述文件存储系统中存储数据的访问请求;基于所述文件存储系统,识别所述访问请求是否合法;若识别出所述访问请求合法,则允许基于所述计算任务系统对所述文件存储系统中存储的数据进行读写操作。若识别出所述访问请求不合法,则不允许基于所述计算任务系统对所述文件存储系统中存储的数据进行读写操作;同时,返回不允许进行读写操作的提示信息。
进一步地,在本发明一优选的实施例中,数据权限管理系统识别计算任务系统发送的对文件存储系统的访问请求是否合法,可以通过如下方式实施:
数据权限管理系统获取发送所述访问请求的用户专属镜像,从所述用户专属镜像中提取出对应的用户信息;判断所述用户信息对应的用户,是否具备访问所述文件存储系统中存储数据的访问权限;若所述用户信息对应的用户具备访问所述存储数据的访问权限,则识别出所述访问请求合法;若所述用户信息对应的用户不具备访问所述存储数据的访问权限,则识别出所述访问请求不合法。
本发明数据权限管理方法通过读取并认证当前任务提交者的用户信息;根据读取的所述用户信息,将计算任务系统对应的任务镜像转换为所述用户信息对应的用户专属任务镜像;基于转换后的所述用户专属任务镜像,将所述文件存储系统与所述计算任务系统的数据访问权限进行统一;解决了因上述计算任务系统与文件存储系统中的用户信息不一致所导致的数据访问权限的问题。
基于图1、图2和图3实施例所描述的一种数据权限管理方法,本发明还提供了一种数据权限管理系统;该数据权限管理系统可以实施图1至图3所描述的一种数据权限管理方法。如图4所示,图4是本发明数据权限管理系统的一种实施方式的功能模块示意图;本发明数据权限管理系统包括:读取模块100、切换模块200以及权限管理模块300;其中:
读取模块100,用于读取并认证当前任务提交者的用户信息;
切换模块200,用于根据读取的所述用户信息,将计算任务系统对应的任务镜像转换为所述用户信息对应的用户专属任务镜像;
权限管理模块300,用于基于转换后的所述用户专属任务镜像,将所述文件存储系统与所述计算任务系统的数据访问权限进行统一。
在本发明一优选的实施例中,所述用户信息包括:用户登录账号及用户登录密码,和/或用户ID。
在本发明一优选的实施例中,所述读取模块100用于:
读取当前任务提交者的用户信息,获取对应的用户唯一识别码;
根据获取的所述用户唯一识别码,采用证书认证的方式,对读取的所述用户信息进行认证。
在本发明一优选的实施例中,所述切换模块200用于:
根据读取的所述用户信息,获取用户账号;
将获取的用户账号添加至所述计算任务系统对应的镜像文件中;
切换所述镜像文件默认的运行账号为所述用户账号,并生成所述用户账号对应的用户专属任务镜像。
在本发明一优选的实施例中,所述切换模块200用于:
解析所述计算任务系统对应的镜像文件,获取所述计算任务系统的镜像文件所对应的任务账号;
识别所述任务账号与获取的所述用户账号是否一致;
若二者不一致,则将获取的用户账号添加至所述计算任务系统对应的镜像文件中。
在本发明一优选的实施例中,所述权限管理模块300用于:
利用转换后的所述用户专属任务镜像,执行所述计算任务系统中的计算任务;
根据所述计算任务的执行需求,对所述文件存储系统中存储的数据进行读写操作。
在本发明一优选的实施例中,所述权限管理模块300用于:
根据所述计算任务的执行需求,基于所述计算任务系统发送对所述文件存储系统中存储数据的访问请求;
基于所述文件存储系统,识别所述访问请求是否合法;
若识别出所述访问请求合法,则允许基于所述计算任务系统对所述文件存储系统中存储的数据进行读写操作。
在本发明一优选的实施例中,所述权限管理模块300用于:
获取发送所述访问请求的用户专属镜像,从所述用户专属镜像中提取出对应的用户信息;
判断所述用户信息对应的用户,是否具备访问所述文件存储系统中存储数据的访问权限;
若所述用户信息对应的用户具备访问所述存储数据的访问权限,则识别出所述访问请求合法。
本发明数据权限管理系统通过读取并认证当前任务提交者的用户信息;根据读取的所述用户信息,将计算任务系统对应的任务镜像转换为所述用户信息对应的用户专属任务镜像;基于转换后的所述用户专属任务镜像,将所述文件存储系统与所述计算任务系统的数据访问权限进行统一;解决了因上述计算任务系统与文件存储系统中的用户信息不一致所导致的数据访问权限的问题。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。