CN111767525A - 一种基于数据存储系统的数据权限调整方法及装置 - Google Patents
一种基于数据存储系统的数据权限调整方法及装置 Download PDFInfo
- Publication number
- CN111767525A CN111767525A CN202010615758.1A CN202010615758A CN111767525A CN 111767525 A CN111767525 A CN 111767525A CN 202010615758 A CN202010615758 A CN 202010615758A CN 111767525 A CN111767525 A CN 111767525A
- Authority
- CN
- China
- Prior art keywords
- permission
- label
- data
- authority
- latest
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013500 data storage Methods 0.000 title claims abstract description 131
- 238000000034 method Methods 0.000 title claims abstract description 75
- 238000003379 elimination reaction Methods 0.000 claims abstract description 69
- 230000008030 elimination Effects 0.000 claims abstract description 68
- 238000004590 computer program Methods 0.000 claims description 13
- 230000008569 process Effects 0.000 description 23
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供一种基于数据存储系统的数据权限调整方法及装置,涉及计算机技术领域,该方法包括:获取与数据存储系统对应的初始权限标签集合;在初始权限标签集合中确定与数据存储系统中根目录数据对应的权限标签为预设权限标签,并获取与根目录数据下属数据对应的第一权限标签集合;根据预设的冗余标签消除规则对第一权限标签集合进行冗余消除处理,得到第二权限标签集合;根据预设权限标签和第二权限标签集合调整数据存储系统包括的数据权限。可见,实施这种实施方式,能够快速有效地调整数据存储系统中的数据权限。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种基于数据存储系统的数据权限调整方法及装置。
背景技术
目前,随着数据存储系统的不断完善以及数据量的不断增加,越来越多的数据被存储在数据存储系统中,为大量的用户提供的较高的使用查询便利。然而,在实践中发现,目前的数据存储系统中正因为数据量的增加,而变得越来越难维护,其中对于权限的管理则更是上述这种问题中最重要的一个问题,因此,如何快速有效地调整数据存储系统中的数据权限则变成的当下急需解决的问题之一。
发明内容
本申请实施例的目的在于提供一种基于数据存储系统的数据权限调整方法及装置,能够快速有效地调整数据存储系统中的数据权限。
本申请实施例第一方面提供了一种基于数据存储系统的数据权限调整方法,所述方法包括:
获取与所述数据存储系统对应的初始权限标签集合;
在所述初始权限标签集合中确定与所述数据存储系统中根目录数据对应的权限标签为预设权限标签,并获取与所述根目录数据下属数据对应的第一权限标签集合;
根据预设的冗余标签消除规则对所述第一权限标签集合进行冗余消除处理,得到第二权限标签集合;
根据所述预设权限标签和所述第二权限标签集合调整所述数据存储系统包括的数据权限。
在上述实现过程中,该方法可以优先获取与数据存储系统对应的初始权限标签集合;然后在初始权限标签集合中确定与数据存储系统中根目录数据对应的权限标签为预设权限标签,并获取与根目录数据下属数据对应的第一权限标签集合;再获取到第一权限标签集合之后,再根据预设的冗余标签消除规则对第一权限标签集合进行冗余消除处理,得到第二权限标签集合;最后再根据预设权限标签和第二权限标签集合调整数据存储系统包括的数据权限。可见,实施这种实施方式,能够在数据存储系统中获取对应的权限标签集合,然后再在权限标签集合中确定根目录权限,以使后续的调整都是基于该根目录权限进行的冗余调整,从而实现的第二权限标签集合的确定,并促使数据存储系统的数据权限可以快速调整,进而实现了对数据存储系统中数据权限的快速且有效的调整。
进一步地,所述初始权限标签集合包括了访问许可权限标签、访问禁止权限标签、读许可权限标签、写许可权限标签、读禁止权限标签以及写禁止权限标签中的一种或者多种。
在上述实现过程中,初始权限标签集合包括了访问许可权限标签、访问禁止权限标签、读许可权限标签、写许可权限标签、读禁止权限标签以及写禁止权限标签中的一种或者多种,其中,访问许可和访问禁止权限高于读许可、写许可、读禁止以及写禁止权限,因此在对初始标签集合进行获取的过程中,可以根据对应的情况顺序排列,从而实现六种权限的多种排列,有助于后续对权限标签集合的获取与调整。可见,实施这种实施方式,初始权限标签所包括的六种权限标签可以表示出该数据存储系统中的主要权限,并使得该方法可以在这些主要权限中进行优先调整,同时,也正是因为该些权限比较重要,所以对这些权限进行调整可以再极大程度上提高数据权限调整的效率和质量。
进一步地,所述预设的冗余标签消除规则包括访问权限消除冗余规则和读写权限消除冗余规则;其中,
所述访问权限消除冗余规则包括对于一条路径上某一用户或用户组冗余的访问许可权限标签只设置最顶层的访问许可权限标签,对冗余的访问禁止权限标签只设置最顶层访问禁止权限标签;
所述读写权限消除冗余规则包括对于一条路径上某一用户或用户组各冗余段的读许可权限标签和/或写许可权限标签,分别只设置各冗余段最顶层的读许可权限标签和/或写许可权限标签;以及对于一条路径上某一用户或用户组各冗余段的读禁止权限标签和/或写禁止权限标签,分别只设置各冗余段最顶层的读禁止权限标签和/或写禁止权限标签。
在上述实现过程中,该方法按优先声明了预设的冗余标签消除规则包括访问权限消除冗余规则和读写权限消除冗余规则;然后再在访问权限消除冗余规则中声明该规则用于消除一条数据存储路径上用户或用户组冗余的访问许可权限标签而只保留最顶层的访问许可权限标签,而对于冗余的访问禁止权限标签也只保留最顶层访问禁止权限标签,从而使得访问禁止权限标签之后没有任何访问权限标签;另外,还在读写权限消除冗余规则中声明该规则用于消除一条数据存储路径上用户或用户组在各冗余段的读许可权限标签或写许可权限标签,从而保证读许可权限标签或写许可权限标签在数据存储路径上不存在连续的两个,而对于一条数据存储路径上用户或用户组各冗余段的读禁止权限标签或写禁止权限标签也分别只保留各冗余段最顶层的读禁止权限标签或写禁止权限标签,避免连续的读禁止权限标签或写禁止权限标签出现。可见,实施这种实施方式,该预设的冗余标签消除规则是需要相关设备来执行的,从而促使该相关设备可以高效地获取与该冗余标签消除规则对应的消除方案,并促使数据存储系统的数据权限调整可以高效准确地执行下去。
进一步地,所述根据所述预设权限标签和所述第二权限标签集合调整所述数据存储系统包括的数据权限,包括:
根据所述预设权限标签所述数据存储系统包括的数据权限进行调整,得到初调数据权限;
根据所述第二权限标签集合对所述数据存储系统包括的数据权限进行冗余调整,得到最终数据权限。
在上述实现过程中,该方法在根据预设权限标签和第二权限标签集合调整数据存储系统包括的数据权限的过程中,可以优先根据预设权限标签数据存储系统包括的数据权限进行调整,得到初调数据权限;然后再根据第二权限标签集合对数据存储系统包括的数据权限进行冗余调整,得到最终数据权限,其中,最终数据权限为调整后的完整数据权限集合。可见,实施这种实施方式,可以保证预设权限标签(即根目标权限标签)固定不动,并依据特定先后顺序实现只在第一权限标签集合中按照第二权限标签集合剔除相应冗余的操作,从而实现高效、稳定准确的数据权限的调整过程,进而提高了数据存储系统的数据权限调整效率和质量。
进一步地,在所述根据所述预设权限标签和所述第二权限标签集合调整所述数据存储系统包括的数据权限之后,所述方法还包括:
当接收到目标用户或目标用户组的访问请求时,根据所述访问请求确定进行数据访问的目标路径;
获取所述目标路径中与所述目标用户或目标用户组对应的所有权限标签集合;
在所述所有权限标签集合中分别确定与所述目标用户或目标用户组对应的最近访问许可权限标签、最近访问禁止权限标签、最近读许可权限标签、最近写许可权限标签、最近读禁止权限标签以及最近写禁止权限标签,并确定所述最近访问许可权限标签、所述最近访问禁止权限标签、所述最近读许可权限标签、所述最近写许可权限标签、所述最近读禁止权限标签以及所述最近写禁止权限标签为最近权限标签集合;
根据所述最近权限标签集合控制所述目标用户或目标用户组进行访问操作。
在上述实现过程中,该方法还可以获取目标用户或目标用户组的访问请求,然后根据访问请求确定进行数据访问的目标路径;然后再获取目标路径中与目标用户或目标用户组对应的所有权限标签集合;并在获取到所有权限标签集合之后,在所有权限标签集合中分别确定与目标用户或目标用户组对应的最近访问许可权限标签、最近访问禁止权限标签、最近读许可权限标签、最近写许可权限标签、最近读禁止权限标签以及最近写禁止权限标签,并确定最近访问许可权限标签、最近访问禁止权限标签、最近写许可权限标签、最近写许可权限标签、最近读禁止权限标签以及最近写禁止权限标签为最近权限标签集合;再根据最近权限标签集合控制目标用户或目标用户组进行访问操作。可见,实施这种实施方式,用户在访问数据的时候也可以快速地追溯相应的权限根源,从而提高了权限溯源的效率,降低了权限管理的负担。
本申请实施例第二方面提供了一种基于数据存储系统的数据权限调整装置,所述基于数据存储系统的数据权限调整装置包括:
第一获取单元,用于获取与所述数据存储系统对应的初始权限标签集合;
确定单元,用于在所述初始权限标签集合中确定与所述数据存储系统中根目录数据对应的权限标签为预设权限标签;
第二获取单元,用于获取与所述根目录数据下属数据对应的第一权限标签集合;
冗余消除单元,用于根据预设的冗余标签消除规则对所述第一权限标签集合进行冗余消除处理,得到第二权限标签集合;
调整单元,用于根据所述预设权限标签和所述第二权限标签集合调整所述数据存储系统包括的数据权限。
在上述实现过程中,该基于数据存储系统的数据权限调整装置可以通过第一获取单元来获取与数据存储系统对应的初始权限标签集合;通过确定单元来在初始权限标签集合中确定与数据存储系统中根目录数据对应的权限标签为预设权限标签;通过第二获取单元来获取与根目录数据下属数据对应的第一权限标签集合;通过冗余消除单元来根据预设的冗余标签消除规则对第一权限标签集合进行冗余消除处理,得到第二权限标签集合;通过调整单元来根据预设权限标签和第二权限标签集合调整数据存储系统包括的数据权限。可见,实施这种实施方式,该基于数据存储系统的数据权限调整装置可以通过多个单元的协同工作实现分工有序的数据权限调整过程,从而可以实现数据权限的准确高效的调整,进而实现了对数据存储系统中数据权限的即快速且有效的调整。
进一步地,所述初始权限标签集合包括了访问许可权限标签、访问禁止权限标签、读许可权限标签、写许可权限标签、读禁止权限标签以及写禁止权限标签中的一种或者多种。
在上述实现过程中,初始权限标签集合包括了访问许可权限标签、访问禁止权限标签、读许可权限标签、写许可权限标签、读禁止权限标签以及写禁止权限标签中的一种或者多种,其中,访问许可和访问禁止权限高于读许可、写许可、读禁止以及写禁止权限,因此在对初始标签集合进行获取的过程中,可以根据对应的情况顺序排列,从而实现四种权限的四种排列,有助于后续对权限标签集合的获取与调整。可见,实施这种实施方式,初始权限标签所包括的四种权限标签可以表示出该数据存储系统中的主要权限,并使得该方法可以在这些主要权限中进行优先调整,同时,也正是因为该些权限比较重要,所以对这些权限进行调整可以再极大程度上提高数据权限调整的效率和质量。
进一步地,所述基于数据存储系统的数据权限调整装置还包括:
路径确定单元,用于当接收到目标用户或目标用户组的访问请求时,根据所述访问请求确定进行数据访问的目标路径;
第三获取单元,用于获取所述数据存储系统中与所述目标用户或目标用户组对应的所有权限标签集合;
所述确定单元,还用于在所述所有权限标签集合中分别确定与所述目标用户或目标用户组对应的最近访问许可权限标签、最近访问禁止权限标签、最近读许可权限标签、最近写许可权限标签、最近读禁止权限标签以及最近读禁止权限标签,并确定所述最近访问许可权限标签、所述最近访问禁止权限标签、所述最近读许可权限标签、所述最近写许可权限标签、所述最近读禁止权限标签以及所述最近写禁止权限标签为最近权限标签集合;
控制单元,用于根据所述最近权限标签集合控制所述目标用户或目标用户组进行访问操作。
在上述实现过程中,该数据权限调整装置还可以在接收到目标用户或目标用户组的访问请求时,通过路径确定单元来根据访问请求确定进行数据访问的目标路径;通过第三获取单元来获取目标路径中与目标用户或目标用户组对应的所有权限标签集合;通过确定单元来在所有权限标签集合中分别确定与目标用户或目标用户组对应的最近访问许可权限标签、最近访问禁止权限标签、最近写许可权限标签、最近写许可权限标签、最近读禁止权限标签以及最近写禁止权限标签,并确定最近访问许可权限标签、最近访问禁止权限标签、最近读许可权限标签、最近写许可权限标签、最近读禁止权限标签以及最近写禁止权限标签为最近权限标签集合;以及根据最近权限标签集合确定目标路径对应的最近权限标签集合;通过控制单元来根据最近权限标签集合控制目标用户或目标用户组进行访问操作。可见,实施这种实施方式,用户在访问数据的时候也可以快速地追溯相应的权限根源,从而提高了权限溯源的效率,降低了权限管理的负担。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的基于数据存储系统的数据权限调整方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的基于数据存储系统的数据权限调整方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种基于数据存储系统的数据权限调整方法的流程示意图;
图2为本申请实施例提供的另一种基于数据存储系统的数据权限调整方法的流程示意图;
图3为本申请实施例提供的另一种基于数据存储系统的数据权限调整方法的相关流程示意图;
图4为本申请实施例提供的一种基于数据存储系统的数据权限调整装置的结构示意图;
图5为本申请实施例提供的另一种基于数据存储系统的数据权限调整装置的结构示意图;
图6为本申请实施例提供的一种用于举例说明的数据权限调整示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种基于数据存储系统的数据权限调整方法的流程示意图。该方法可以应用于任何数据存储系统当中,具体的,该方法可以应用于对数据存储系统的权限进行调整维护的场景当中。其中,该基于数据存储系统的数据权限调整方法包括:
S101、获取与数据存储系统对应的初始权限标签集合。
本实施例中,初始权限标签集合包括了访问许可权限标签、访问禁止权限标签、读许可权限标签、写许可权限标签、读禁止权限标签以及写禁止权限标签中的一种或者多种。
本实施例中,初始权限标签集合为默认的权限标签集合,对此本实施例中不作任何限定。
S102、在初始权限标签集合中确定与数据存储系统中根目录数据对应的权限标签为预设权限标签,并获取与根目录数据下属数据对应的第一权限标签集合。
本实施例中,上述权限标签为数据存储系统中根目录权限标签。
本实施例中,第一权限标签集合为除上述根目录权限标签以外的所有权限标签的集合。
S103、根据预设的冗余标签消除规则对第一权限标签集合进行冗余消除处理,得到第二权限标签集合。
本实施例中,预设的冗余标签消除规则包括访问权限消除冗余规则和读写权限消除冗余规则;其中,
访问权限消除冗余规则包括对于一条路径上某一用户或用户组冗余的访问许可权限标签只设置最顶层的访问许可权限标签,对冗余的访问禁止权限标签只设置最顶层访问禁止权限标签;
读写权限消除冗余规则包括对于一条路径上某一用户或用户组各冗余段的读许可权限标签和/或写许可权限标签,分别只设置各冗余段最顶层的读许可权限标签和/或写许可权限标签;以及对于一条路径上某一用户或用户组各冗余段的读禁止权限标签和/或写禁止权限标签,分别只设置各冗余段最顶层的读禁止权限标签和/或写禁止权限标签。
举例来说,预设的冗余标签消除规则可以分为下述几步,其一,确定节点上所记录权限的作用范围是以其为根的整棵子树;其二,权限控制通过allow和deny标签实现,分别代表赋予和禁止相应权限;其三,默认所有用户/用户组对根目录“/”具有deny rw,allow x权限;其四,针对某一用户/用户组的x权限:allow子树内可以有deny子树,但deny子树内不可以有allow子树;其五,针对某一用户/用户组的r/w权限:allow子树内可以有deny子树,deny子树内也可以有allow子树;其六,x权限消冗余:对于一条路径上某一用户/用户组冗余的allow x权限只设置最顶层allow x权限,对冗余的deny x权限只设置最顶层deny x权限;其七,r/w权限消冗余:对于一条路径上某一用户/用户组各段的冗余权限,分别只设置各冗余段最顶层的权限。
进一步举例来说,上述冗余标签消除规则可以根据举例对应理解,如图6所示,图6是举例说明用的数据权限调整示意图,其中,关于上述其一与其二对应在第二层节点“d1”节点(根目录节点为第一层节点)上权限“allow:user:Bob:r”表示用户Bob对以“d1”为根的整棵子树内的所有节点都有r权限,权限“deny:user:Bob:w”表示用户Bob对以“d1”为根的整棵子树内的所有节点都没有w权限;其三对应在根目录“/”节点上权限“allow:user:all:x”表示所有用户对整个目录树内所有目录节点都有x权限,权限“deny:user:all:rw”表示所有用户对整个目录树内所有节点都没有rw权限,此规则可确保任一用户/用户组都可以进入根目录“/”,并确保这些用户/用户组不会获得整棵目录树内所有节点的rw权限;其四对应目录的x权限表示用户能够进入该目录,严谨的文件系统应确保用户对前缀路径上各节点都具有x权限,只有这样才允许用户进入目标目录,此规则可以确保这一点。如图2所示,用户Bob可以进入目录“d2”,但无法进入目录“d15”,因为Bob无法进入其前缀目录节点“d6”,因此“d15”节点上的“allow:user:Bob:r”权限没有任何意义;其五对应用户在一条路径上各目录节点的rw权限之间互不影响,只要用户能够进入目录,就可以为该用户设置allow或deny r/w权限。如图2所示,在“/d1/d3/d7”这条路径上,用户Bob的r权限之间互不影响;其六与其七对应其一,如果一条路径上有一段重复的权限设置,则只需要保留这段路径上最顶层的权限设置,以避免冗余。如图6所示,在“d2”节点上的“allow:user:Bob:x”与根节点“/”上的“allow:user:all:x”权限重复,因此可以撤销“d2”节点上的“allow:user:Bob:x”设置;“d4”节点上的“allow:user:Bob:r”与“d1”节点上的“allow:user:Bob:r”重复,因此可以撤销“d4”节点上的“allow:user:Bob:r”设置。
本实施例中,第二权限标签集合中不具有冗余权限标签。
S104、根据预设权限标签和第二权限标签集合调整数据存储系统包括的数据权限。
本实施例中,该过程可以理解为权限标签更新过程。
本实施例中,上述冗余消除的过程可以理解为数据权限重设置的过程。
在本实施例中,对于allow x权限(访问允许权限)设置流程可以举例为:检查前缀路径上是否有deny x权限;若有,则只对从deny节点到目标节点的路径开放allow x权限,其他路径设置deny x权限;若无,则不必设置目标节点的allow x权限(避免冗余),可通过选项指定是否清除其子树上的allow x和deny x权限(因在设置权限的过程中不会产生冗余,因此并不会遍历子树上的所有节点)。
在本实施例中,deny x权限设置(访问禁止权限)设置流程可以举例为:检查前缀路径上是否有deny x权限;若有则不必设置(避免冗余);若无,则设置目标节点的deny x权限,并清除其子树上的deny x权限。
在本实施例中,allow r/w权限设置(读或写允许权限)设置流程可以举例为:若目标节点在allow r段,则不必设置目标节点的allow r权限,可通过选项指定是否清除其子树上的所有的allow r和deny r权限;若目标节点在deny r段,则设置目标节点的allow r权限,可通过选项指定是否清除其子树上的所有的allow r和deny r权限。
在本实施例中,deny r/w权限设置(读或写禁止权限)设置流程可以举例为:若目标节点在allow r段,则设置目标节点的deny r权限,可通过选项指定是否清除其子树上的所有的allow r和deny r权限;若目标节点在deny r段,则不必设置目标节点的deny r权限,可通过选项指定是否清除其子树上的所有的allow r和deny r权限。
本实施例中,该方法的执行主体可以为计算机、服务器等计算装置,对此本实施例中不作任何限定。
在本实施例中,该方法的执行主体还可以为智能手机和平板等智能设备,对此本实施例中不作任何限定。
可见,实施图1所描述的基于数据存储系统的数据权限调整方法,能够优先获取与数据存储系统对应的初始权限标签集合;然后在初始权限标签集合中确定与数据存储系统中根目录数据对应的权限标签为预设权限标签,并获取与根目录数据下属数据对应的第一权限标签集合;再获取到第一权限标签集合之后,再根据预设的冗余标签消除规则对第一权限标签集合进行冗余消除处理,得到第二权限标签集合;最后再根据预设权限标签和第二权限标签集合调整数据存储系统包括的数据权限。可见,实施这种实施方式,能够在数据存储系统中获取对应的权限标签集合,然后再在权限标签集合中确定根目录权限,以使后续的调整都是基于该根目录权限进行的冗余调整,从而实现的第二权限标签集合的确定,并促使数据存储系统的数据权限可以快速调整,进而实现了对数据存储系统中数据权限的快速且有效的调整。
实施例2
请参看图2,图2为本申请实施例提供的另一种基于数据存储系统的数据权限调整方法的流程示意图。图2所描述的基于数据存储系统的数据权限调整方法的流程示意图是根据图1所描述的基于数据存储系统的数据权限调整方法的流程示意图进行改进得到的。其中,该基于数据存储系统的数据权限调整方法包括:
S201、获取与数据存储系统对应的初始权限标签集合。
本实施例中,初始权限标签集合包括了访问许可权限标签、访问禁止权限标签、读许可权限标签、写许可权限标签、读禁止权限标签以及写禁止权限标签中的一种或者多种。
本实施例中,初始权限标签集合为默认的权限标签集合,对此本实施例中不作任何限定。
S202、在初始权限标签集合中确定与数据存储系统中根目录数据对应的权限标签为预设权限标签,并获取与根目录数据下属数据对应的第一权限标签集合。
本实施例中,上述权限标签为数据存储系统中根目录权限标签。
本实施例中,第一权限标签集合为除上述根目录权限标签以外的所有权限标签的集合。
S203、根据预设的冗余标签消除规则对第一权限标签集合进行冗余消除处理,得到第二权限标签集合。
本实施例中,预设的冗余标签消除规则包括访问权限消除冗余规则和读写权限消除冗余规则;其中,
访问权限消除冗余规则包括对于一条路径上某一用户或用户组冗余的访问许可权限标签只设置最顶层的访问许可权限标签,对冗余的访问禁止权限标签只设置最顶层访问禁止权限标签;
读写权限消除冗余规则包括对于一条路径上某一用户或用户组各冗余段的读许可权限标签和/或写许可权限标签,分别只设置各冗余段最顶层的读许可权限标签和/或写许可权限标签;以及对于一条路径上某一用户或用户组各冗余段的读禁止权限标签和/或写禁止权限标签,分别只设置各冗余段最顶层的读禁止权限标签和/或写禁止权限标签。
S204、根据预设权限标签对数据存储系统包括的数据权限进行调整,得到初调数据权限。
本实施例中,出调数据权限用于表示调整的先后顺序。
S205、根据第二权限标签集合对数据存储系统包括的数据权限进行冗余调整,得到最终数据权限。
本实施例中,最终数据权限也用于表示调整的先后顺序。
在本实施例中,初调数据权限和最终数据权限共同构成完整的数据全线调整结果。
实施这种实施方式,该方法能够有效地获取最终数据权限,从而能够便于后续目标用户或目标用户组进行相应数据的访问。
本实施例中,用户和用户组对于文件系统来说是组织用户的两种基本概念,即使只包含一个用户的用户组,与单个用户也有本质不同。
S206、在接收到目标用户或目标用户组的访问请求时,根据访问请求确定进行数据访问的目标路径。
本实施例中,目标用户或目标用户组可以包括单一用户,也可以包括多个用户。
本实施例中,访问请求是用户发送的。
S207、获取目标路径中与目标用户或目标用户组对应的所有权限标签集合。
本实施例中,目标用户或目标用户组可以对应的多个权限标签集合。
S208、在所有权限标签集合中分别确定与目标用户或目标用户组对应的最近访问许可权限标签、最近访问禁止权限标签、最近读许可权限标签、最近写许可权限标签、最近读禁止权限标签以及最近写禁止权限标签,并确定最近访问许可权限标签、最近访问禁止权限标签、最近读许可权限标签、最近写许可权限标签、最近读禁止权限标签以及最近写禁止权限标签为最近权限标签集合。
本实施例中,远近基于数据目录的节点顺序而定。
S209、根据最近权限标签集合控制目标用户或目标用户组进行访问操作。
请参见图3,由图3所示,该方法可以再在获取到最终数据权限之后实施步骤S206~S209,以使该方法能够在最终数据权限确定之后,接收用户组的访问请求,并根据该访问请求进行鉴权操作,以使目标用户或目标用户组可以进行数据访问。
本实施例中,对于权限设置方法-文件而言,其中对于x权限设置,在linux文件系统中,x权限对于目录和文件有着不同的意义,对于目录来说,x权限表示用户能否进入该目录;对于文件来说,x权限表示用户能否执行该文件。在本发明所设计的文件系统权限机制中,能够进入指定路径与对该路径下的文件具有可执行权限并无联系,因此,本发明所设计文件系统权限机制中不为文件设置x权限。对于r/w权限设置,对文件的r/w权限的设置与对目录的设置方式相同,区别仅在于设置文件的r/w权限时不需要处理子树权限。
本实施例中,对于权限的鉴定方法可以举例为当某一用户/用户组访问某一路径时,遍历自根目录“/”至目标节点上与该用户/用户组权限相关的所有节点;然后分别确定离目标节点最近的x权限节点、r权限节点、w权限节点的上该用户/用户组的权限;最后,确定该用户/用户组对指定路径的权限。
可见,实施图2所描述的基于数据存储系统的数据权限调整方法,能够优先获取与数据存储系统对应的初始权限标签集合;然后在初始权限标签集合中确定与数据存储系统中根目录数据对应的权限标签为预设权限标签,并获取与根目录数据下属数据对应的第一权限标签集合;再获取到第一权限标签集合之后,再根据预设的冗余标签消除规则对第一权限标签集合进行冗余消除处理,得到第二权限标签集合;最后再根据预设权限标签和第二权限标签集合调整数据存储系统包括的数据权限。可见,实施这种实施方式,能够在数据存储系统中获取对应的权限标签集合,然后再在权限标签集合中确定根目录权限,以使后续的调整都是基于该根目录权限进行的冗余调整,从而实现的第二权限标签集合的确定,并促使数据存储系统的数据权限可以快速调整,进而实现了对数据存储系统中数据权限的快速且有效的调整。
实施例3
请参看图4,图4为本申请实施例提供的一种基于数据存储系统的数据权限调整装置的结构示意图。其中,该基于数据存储系统的数据权限调整装置包括:
第一获取单元310,用于获取与数据存储系统对应的初始权限标签集合;
确定单元320,用于在初始权限标签集合中确定与数据存储系统中根目录数据对应的权限标签为预设权限标签;
第二获取单元330,用于获取与根目录数据下属数据对应的第一权限标签集合;
冗余消除单元340,用于根据预设的冗余标签消除规则对第一权限标签集合进行冗余消除处理,得到第二权限标签集合;
调整单元350,用于根据预设权限标签和第二权限标签集合调整数据存储系统包括的数据权限。
本实施例中,初始权限标签集合包括了访问许可权限标签、访问禁止权限标签、读许可权限标签、写许可权限标签、读禁止权限标签以及写禁止权限标签中的一种或者多种。
本实施例中,预设的冗余标签消除规则包括访问权限消除冗余规则和读写权限消除冗余规则;其中,
访问权限消除冗余规则包括对于一条路径上某一用户或用户组冗余的访问许可权限标签只设置最顶层的访问许可权限标签,对冗余的访问禁止权限标签只设置最顶层访问禁止权限标签;
读写权限消除冗余规则包括对于一条路径上某一用户或用户组各冗余段的读许可权限标签和/或写许可权限标签,分别只设置各冗余段最顶层的读许可权限标签和/或写许可权限标签;以及对于一条路径上某一用户或用户组各冗余段的读禁止权限标签和/或写禁止权限标签,分别只设置各冗余段最顶层的读禁止权限标签和/或写禁止权限标签。
本实施例中,对于基于数据存储系统的数据权限调整装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施图4所描述的基于数据存储系统的数据权限调整装置,能够通过第一获取单元310来获取与数据存储系统对应的初始权限标签集合;通过确定单元320来在初始权限标签集合中确定与数据存储系统中根目录数据对应的权限标签为预设权限标签;通过第二获取单元330来获取与根目录数据下属数据对应的第一权限标签集合;通过冗余消除单元340来根据预设的冗余标签消除规则对第一权限标签集合进行冗余消除处理,得到第二权限标签集合;通过调整单元350来根据预设权限标签和第二权限标签集合调整数据存储系统包括的数据权限。可见,实施这种实施方式,该基于数据存储系统的数据权限调整装置可以通过多个单元的协同工作实现分工有序的数据权限调整过程,从而可以实现数据权限的准确高效的调整,进而实现了对数据存储系统中数据权限的即快速且有效的调整。
实施例4
请参看图5,图5为本申请实施例提供的另一种基于数据存储系统的数据权限调整装置的结构示意图。图5所描述的基于数据存储系统的数据权限调整装置的结构示意图是根据图4所描述的基于数据存储系统的数据权限调整装置的结构示意图进行改进得到的。其中,该基于数据存储系统的数据权限调整装置还包括:
路径确定单元360,用于当接收到目标用户或目标用户组的访问请求时,根据访问请求确定进行数据访问的目标路径;
第三获取单元370,还用于获取目标路径中与目标用户或目标用户组对应的所有权限标签集合;
确定单元320,还用于在所述所有权限标签集合中分别确定与所述目标用户或目标用户组对应的最近访问许可权限标签、最近访问禁止权限标签、最近读许可权限标签、最近写许可权限标签、最近读禁止权限标签以及最近写禁止权限标签,并确定所述最近访问许可权限标签、所述最近访问禁止权限标签、所述最近读许可权限标签、所述最近写许可权限标签、所述最近读禁止权限标签以及所述最近写禁止权限标签为最近权限标签集合;
控制单元380,用于根据最近权限标签集合控制目标用户或目标用户组进行访问操作。
作为一种可选的实施方式,调整单元350具体用于根据预设权限标签对数据存储系统包括的数据权限进行调整,得到初调数据权限;根据第二权限标签集合对数据存储系统包括的数据权限进行冗余调整,得到最终数据权限。
本实施例中,对于基于数据存储系统的数据权限调整装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施图5所描述的基于数据存储系统的数据权限调整装置,能够通过多个单元的协同工作实现分工有序的数据权限调整过程,从而可以实现数据权限的准确高效的调整,进而实现了对数据存储系统中数据权限的即快速且有效的调整。
本申请实施例提供了一种电子设备,包括存储器以及处理器,存储器用于存储计算机程序,处理器运行计算机程序以使电子设备执行本申请实施例1或实施例2中任一项基于数据存储系统的数据权限调整方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,计算机程序指令被一处理器读取并运行时,执行本申请实施例1或实施例2中任一项基于数据存储系统的数据权限调整方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种基于数据存储系统的数据权限调整方法,其特征在于,包括:
获取与所述数据存储系统对应的初始权限标签集合;
在所述初始权限标签集合中确定与所述数据存储系统中根目录数据对应的权限标签为预设权限标签,并获取与所述根目录数据下属数据对应的第一权限标签集合;
根据预设的冗余标签消除规则对所述第一权限标签集合进行冗余消除处理,得到第二权限标签集合;
根据所述预设权限标签和所述第二权限标签集合调整所述数据存储系统包括的数据权限。
2.根据权利要求1所述的基于数据存储系统的数据权限调整方法,其特征在于,所述初始权限标签集合包括了访问许可权限标签、访问禁止权限标签、读许可权限标签、写许可权限标签、读禁止权限标签以及写禁止权限标签中的一种或者多种。
3.根据权利要求2所述的基于数据存储系统的数据权限调整方法,其特征在于,所述预设的冗余标签消除规则包括访问权限消除冗余规则和读写权限消除冗余规则;其中,
所述访问权限消除冗余规则包括对于一条路径上某一用户或用户组冗余的访问许可权限标签只设置最顶层的访问许可权限标签,对冗余的访问禁止权限标签只设置最顶层访问禁止权限标签;
所述读写权限消除冗余规则包括对于一条路径上某一用户或用户组各冗余段的读许可权限标签和/或写许可权限标签,分别只设置各冗余段最顶层的读许可权限标签和/或写许可权限标签;以及对于一条路径上某一用户或用户组各冗余段的读禁止权限标签和/或写禁止权限标签,分别只设置各冗余段最顶层的读禁止权限标签和/或写禁止权限标签。
4.根据权利要求1所述的基于数据存储系统的数据权限调整方法,其特征在于,所述根据所述预设权限标签和所述第二权限标签集合调整所述数据存储系统包括的数据权限,包括:
根据所述预设权限标签对所述数据存储系统包括的数据权限进行调整,得到初调数据权限;
根据所述第二权限标签集合对所述数据存储系统包括的数据权限进行冗余调整,得到最终数据权限。
5.根据权利要求1所述的基于数据存储系统的数据权限调整方法,其特征在于,在所述根据所述预设权限标签和所述第二权限标签集合调整所述数据存储系统包括的数据权限之后,所述方法还包括:
当接收到目标用户或目标用户组的访问请求时,根据所述访问请求确定进行数据访问的目标路径;
获取所述目标路径中与所述目标用户或目标用户组对应的所有权限标签集合;
在所述所有权限标签集合中分别确定与所述目标用户或目标用户组对应的最近访问许可权限标签、最近访问禁止权限标签、最近读许可权限标签、最近写许可权限标签、最近读禁止权限标签以及最近写禁止权限标签,并确定所述最近访问许可权限标签、所述最近访问禁止权限标签、所述最近读许可权限标签、所述最近写许可权限标签、所述最近读禁止权限标签以及所述最近写禁止权限标签为最近权限标签集合;
根据所述最近权限标签集合控制所述目标用户或目标用户组进行访问操作。
6.一种基于数据存储系统的数据权限调整装置,其特征在于,所述基于数据存储系统的数据权限调整装置包括:
第一获取单元,用于获取与所述数据存储系统对应的初始权限标签集合;
确定单元,用于在所述初始权限标签集合中确定与所述数据存储系统中根目录数据对应的权限标签为预设权限标签;
第二获取单元,用于获取与所述根目录数据下属数据对应的第一权限标签集合;
冗余消除单元,用于根据预设的冗余标签消除规则对所述第一权限标签集合进行冗余消除处理,得到第二权限标签集合;
调整单元,用于根据所述预设权限标签和所述第二权限标签集合调整所述数据存储系统包括的数据权限。
7.根据权利要求6所述的基于数据存储系统的数据权限调整装置,其特征在于,所述初始权限标签集合包括了访问许可权限标签、访问禁止权限标签、读许可权限标签、写许可权限标签、读禁止权限标签以及写禁止权限标签中的一种或者多种。
8.根据权利要求6所述的基于数据存储系统的数据权限调整装置,其特征在于,所述基于数据存储系统的数据权限调整装置还包括:
路径确定单元,用于当接收到目标用户或目标用户组的访问请求时,根据所述访问请求确定进行数据访问的目标路径;
第三获取单元,用于获取所述目标路径中与所述目标用户或目标用户组对应的所有权限标签集合;
所述确定单元,还用于在所述所有权限标签集合中分别确定与所述目标用户或目标用户组对应的最近访问许可权限标签、最近访问禁止权限标签、最近读许可权限标签、最近写许可权限标签、最近读禁止权限标签以及最近写禁止权限标签,并确定所述最近访问许可权限标签、所述最近访问禁止权限标签、所述最近读许可权限标签、所述最近写许可权限标签、所述最近读禁止权限标签以及所述最近写禁止权限标签为最近权限标签集合;
控制单元,用于根据所述最近权限标签集合控制所述目标用户或目标用户组进行访问操作。
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至5中任一项所述的基于数据存储系统的数据权限调整方法。
10.一种可读存储介质,其特征在于,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至5任一项所述的基于数据存储系统的数据权限调整方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010615758.1A CN111767525B (zh) | 2020-06-29 | 2020-06-29 | 一种基于数据存储系统的数据权限调整方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010615758.1A CN111767525B (zh) | 2020-06-29 | 2020-06-29 | 一种基于数据存储系统的数据权限调整方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111767525A true CN111767525A (zh) | 2020-10-13 |
CN111767525B CN111767525B (zh) | 2024-03-22 |
Family
ID=72724189
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010615758.1A Active CN111767525B (zh) | 2020-06-29 | 2020-06-29 | 一种基于数据存储系统的数据权限调整方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111767525B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050086536A1 (en) * | 2003-10-15 | 2005-04-21 | Cheng-Meng Wu | System and method for quickly accessing user permissions in an access control list |
TW200515149A (en) * | 2003-10-22 | 2005-05-01 | Hon Hai Prec Ind Co Ltd | Method for getting user's access authority by traveling around access control list |
CN106951786A (zh) * | 2017-03-30 | 2017-07-14 | 国网江苏省电力公司电力科学研究院 | 面向安卓平台的移动应用权限安全分析方法 |
CN107944296A (zh) * | 2017-11-30 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种云存储系统及其用户权限控制方法、设备、存储介质 |
-
2020
- 2020-06-29 CN CN202010615758.1A patent/CN111767525B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050086536A1 (en) * | 2003-10-15 | 2005-04-21 | Cheng-Meng Wu | System and method for quickly accessing user permissions in an access control list |
TW200515149A (en) * | 2003-10-22 | 2005-05-01 | Hon Hai Prec Ind Co Ltd | Method for getting user's access authority by traveling around access control list |
CN106951786A (zh) * | 2017-03-30 | 2017-07-14 | 国网江苏省电力公司电力科学研究院 | 面向安卓平台的移动应用权限安全分析方法 |
CN107944296A (zh) * | 2017-11-30 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种云存储系统及其用户权限控制方法、设备、存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111767525B (zh) | 2024-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107436725B (zh) | 一种数据写、读方法、装置及分布式对象存储集群 | |
US9641334B2 (en) | Method and apparatus for ascertaining data access permission of groups of users to groups of data elements | |
CN101719141B (zh) | 基于目录对象的文件处理方法和系统 | |
US7610468B2 (en) | Modified buddy system memory allocation | |
US20170295239A1 (en) | Data processing method, apparatus, and system | |
CN107111626B (zh) | 用于租户的数据管理 | |
CN107015985B (zh) | 一种数据存储与获取方法及装置 | |
CN110489405B (zh) | 数据处理的方法、装置和服务器 | |
US20170315875A1 (en) | Namespace policy based deduplication indexes | |
CN107291710B (zh) | 一种用于分布式数据库系统的更新数据的方法及装置 | |
JP2005267600A5 (zh) | ||
CN111522502B (zh) | 数据去重方法、装置、电子设备及计算机可读存储介质 | |
EP2659351A1 (en) | Method and apparatus for ascertaining data access permission of groups of users to groups of data elements | |
CN112100185B (zh) | 区块链数据平衡负载的索引系统及方法 | |
US20170083537A1 (en) | Mapping logical identifiers using multiple identifier spaces | |
US20140052734A1 (en) | Computing device and method for creating data indexes for big data | |
CN114721594A (zh) | 一种分布式存储方法、装置、设备及机器可读存储介质 | |
US20150278543A1 (en) | System and Method for Optimizing Storage of File System Access Control Lists | |
CN105468623A (zh) | 数据处理方法及装置 | |
CN115756955A (zh) | 一种数据备份、数据恢复的方法、装置及计算机设备 | |
CN103078845A (zh) | 访问控制列表的校验方法和共享存储系统 | |
US11531666B1 (en) | Indexing partitions using distributed bloom filters | |
CN106354793B (zh) | 监控热点对象的方法及装置 | |
CN111767525A (zh) | 一种基于数据存储系统的数据权限调整方法及装置 | |
EP2362317A1 (en) | Information processing device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |