CN114116651A - 一种支持多协议统一管理用户访问文件的系统和方法 - Google Patents
一种支持多协议统一管理用户访问文件的系统和方法 Download PDFInfo
- Publication number
- CN114116651A CN114116651A CN202111384434.2A CN202111384434A CN114116651A CN 114116651 A CN114116651 A CN 114116651A CN 202111384434 A CN202111384434 A CN 202111384434A CN 114116651 A CN114116651 A CN 114116651A
- Authority
- CN
- China
- Prior art keywords
- file
- user
- information
- module
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/182—Distributed file systems
- G06F16/1824—Distributed file systems implemented using Network-attached Storage [NAS] architecture
- G06F16/1827—Management specifically adapted to NAS
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/172—Caching, prefetching or hoarding of files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种支持多协议统一管理用户访问文件的系统和方法,包括:多个客户端和NAS存储服务器,各个服务端通过Posix接口与虚拟文件子系统连接,虚拟文件子系统与存储文件的存储介质、用户配置模块、文件类型审计模块连接,文件类型审计模块与设置在NAS存储服务器中的临时存储数据处理模块、临时存储区连接;用户配置模块与用户访问配置端连接;虚拟文件子系统中设有多协议数据访问接入模块、文件审计事件获取模块。本发明通过获取相应的文件操作信息,实现了对NAS存储系统下所管理的文件进行实时审计处理,依据用户配置信息,从而实现基于文件类型的方式控制用户读取、写入文件的方法,确保文件不被非法读取、修改和删除,提高了存储系统的安全性。
Description
技术领域
本发明涉及一种支持多协议统一管理用户访问文件的系统和方法,是一种电子数字存储处理的系统和方法,是一种NAS存储系统下统一限制用户访问文件的系统和方法。
背景技术
目前,通用的文件共享访问都是通过NAS共享文件系统,通过网络访问协议把文件系统共享出去来进行文件的访问和读写,如CIFS、NFS、FTP、AFP、WebDav等,是最常见的几种网络协议,而且也被广泛应用。
NAS存储具有支持多种协议,灵活访问等优点,已广泛应用于存储领域,包括一个重要的应用场景:为了体验更好的使用效果,客户端不同的应用分别通过CIFS/NFS/FTP/AFP/WebDav等多种方式对NAS共享文件系统中的文件进行访问,如写入、浏览等。尤其在涉密单位的使用中,往往需要配置用户的访问权限,设置用户访问文件的范围以及文件的权限,使用现有的方式存在以下明显的不足:
1.不是所有的应用协议都支持配置用户访问文件列表和文件访问权限,如NFS不支持。
2.需要对各种访问方式进行分别配置,会导致配置繁琐,方法不统一。
3.即使配置访问控制,不同的协议需要使用不同的用户访问,有些协议不支持访问控制,用户使用和体验非常差。
在这种情况下,如何对用户访问文件以及权限进行控制,以保证文件的安全,同时简化配置过程,进一步提高用户的体检是一个需要解决的问题。
发明内容
为了克服现有技术的问题,本发明提出了一种支持多协议统一管理用户访问文件的系统和方法。所述的系统和方法在NAS存储系统下通过文件系统级的统一管理来实现用户访问文件,这样一方面根据用户统一限制对文件的访问及访问文件的范围,另外一方面基于文件类型的方式来限制用户写入文件,以保证系统的安全性,这在企业安全方面有重要的意义。
本发明的目的是这样实现的:一种支持多协议统一管理用户访问文件的系统,包括:多个客户端和NAS存储服务器,所述的客户端是CIFS、FTP、NFS、AFP客户端,所述的NAS存储服务器中设有CIFS、FTP、NFS、AFP服务端,所述的各个服务端通过Posix接口与虚拟文件子系统连接,所述的虚拟文件子系统与存储文件的存储介质、用户配置模块、文件类型审计模块连接,所述的文件类型审计模块与设置在NAS存储服务器中的临时存储数据处理模块、设置在存储介质中的临时存储区连接;所述的用户配置模块与用户访问配置端连接;所述的虚拟文件子系统中设有多协议数据访问接入模块、文件审计事件获取模块、文件操作事件处理模块。
所述的用户配置模块:用于配置用户能够访问指定类型的文件;
所述的多协议数据访问接入模块:用于重新封装的操作文件在VFS层中读取和写入的处理;
所述的文件审计事件获取模块:用于通过操作文件的索引节点或者目录项获取操作文件的用户文件审计信息;
所述的文件操作事件处理模块:用于根据用户配置信息,处理读取和写入操作文件的请求;
所述的文件类型审计模块:用于通过读取操作文件内容信息,获取操作文件类型;
所述的临时存储数据处理模块:用于写入时将操作文件临时写到临时存储区,并根据接收到的命令,对临时存储区的数据进行处理,是否把临时存储区的操作文件恢复到实际存储区。
一种使用上述系统的支持多协议统一管理用户访问文件的方法,所述的方法包括如下过程:
读取目录的过程、创建文件的过程、配置用户访问文件的过程、获取文件类型审计的过程;
所述的读取目录的过程包括如下步骤:
步骤11,上层应用,SAMBA服务、FTP服务和NFS服务通过Posix接口向多协议数据接收模块发送读取目录请求;
步骤12,调用VFS层读取目录接口函数;通过目录路径打开目录,获取目录相关信息;
步骤13,获取事件信息;用来通过索引节点或者目录项获取当前操作文件用户的UID信息;
步骤14,获取用户配置信息,通过用户UID从配置表中取到此用户的配置信息;
步骤15,通过判断是否取到用户配置信息,如果没有取到则直接返回目录信息;
步骤16,取到用户信息后,通过文件元数据中新加入的私有信息文件类型,遍历目录,判断文件类型是否在用户配置信息中,如果不在用户配置信息中,则意味着不允许用户访问此文件,则需要从目录信息中移除此文件信息;如果在用户配置信息中,意味着允许用户访问此文件,不需要做操作,继续;
步骤17,把最终的目录信息返回给调用者;
所述的创建文件的过程包括如下步骤:
步骤21,上层应用,SAMBA、FTP、NFS和AFP服务通过Posix接口向多协议数据接收模块发送写文件请求;
步骤22,获取操作事件信息,用来通过索引节点或者目录项获取当前操作文件用户的UID信息;
步骤23,判断获取用户配置信息,通过用户UID从配置表中取到此用户的配置信息;
步骤24,如果获取失败,需要重新加载用户配置信息到内存中,加载成功后回到步骤23;
步骤25,取到用户配置信息后,基于文件扩展名判断是否允许用户创建当前类型的文件,如果可以则执行步骤26创建文件,如果不可以则返回错误;
步骤26,当文件扩展名在用户配置信息中,则允许用户写入文件,但是会把文件写入到临时存储区;
步骤27,文件写入完毕后获取文件类型,如果获取失败则执行步骤28;
步骤28,获取文件类型失败后,需要重新加载文件类型查找表;
步骤29,获取到文件类型后,把文件类型写入文件的元数据信息中,在文件的元数据信息中加入私有文件类型;
步骤20,再次通过步骤27获取到的文件类型判断是否在用户配置信息中,如果不在用户配置信息中则返回,此文件就会一直保存在临时存储区,直到达到临时存储区设定删除文件的规则为止;如果此文件的文件类型在用户配置信息中,则会使用零拷贝技术把此文件从临时存储区移到实际存储区中。
所述的配置用户访问文件的过程包括如下步骤:
步骤31,根据需求配置用户访问文件的配置;
步骤32,把配置保存到存储介质中;
步骤33,判断操作文件是否存在,如果不存在操作文件,则结束;
步骤34,如果存在操作文件则需要把配置信息加载到内存中,用于多协议数据接入模块快速读取配置信息。
所述的获取文件类型审计的过程包括如下步骤:
步骤41,判断文件类型查找表是否已经加载,文件类型查找表会在用户配置模块初始化时加载到内存中;
步骤42,如果没有加载则需要调用用户配置模块接口进行加载;
步骤43,获取文件相关内容信息;
步骤44,对获取到的相关文件内容信息进行分析,并利用哈希算法计算得到转换后的8位哈希值;
步骤45,通过生成的对应文件内容信息的哈希值后,利用所述的哈希值作为文件类型查找表的键来进行检索;
步骤46,检索到对应的文件类型。
本发明的优点和有益效果是:本发明通过获取相应的文件操作信息,实现了对NAS存储系统下所管理的文件进行实时审计处理,依据用户配置信息,从而实现基于文件类型的方式控制用户读取、写入文件的方法,确保文件不被非法读取、修改和删除,提高了存储系统的安全性。
附图说明
下面结合附图和实施例对本发明作进一步说明。
图1是本发明实施例一所述的支持多协议统一管理用户访问文件的系统架构示意图;
图2是本发明实施例二所述的支持多协议统一管理用户访问文件的方法流程图;
图3是本发明实施例二所述的读取目录的过程示意图;
图4是本发明实施例二所述的创建文件的过程示意图;
图5是本发明实施例二所述的配置用户访问文件的过程示意图;
图6是本发明实施例二所述的获取文件类型审计的过程示意图。
具体实施方式
实施例一:
本实施例是一种支持多协议统一管理用户访问文件的系统,系统架构如图1所示。本实施例所述系统包括:多个客户端和NAS存储服务器,所述的客户端是CIFS、FTP、NFS、AFP客户端,所述的NAS存储服务器中设有CIFS、FTP、NFS、AFP服务端,所述的各个服务端通过Posix接口与虚拟文件子系统连接,所述的虚拟文件子系统与存储文件的存储介质、用户配置模块、文件类型审计模块连接,所述的文件类型审计模块与设置在NAS存储服务器中的临时存储数据处理模块、设置在存储介质中的临时存储区连接;所述的用户配置模块与用户访问配置端连接;所述的虚拟文件子系统中设有多协议数据访问接入模块、文件审计事件获取模块、文件操作事件处理模块。
本实施例所述支持多协议统一管理用户访问文件的系统组成包括客户端(通过网络协议访问共享文件系统的客户端,如Windows、Linux、Macos等)和NAS存储服务器(通过SAMBA、NFS、FTP、AFP和WebDAV等其它服务提供共享文件系统)。
所述的客户端可以使用不同的网络协议,如图1中所示可以使用CIFS、NFS、FTP和AFP进行访问NAS存储系统。Windows客户端应用通过CIFS协议访问NAS存储系统,Linux客户端应用通过NFS协议访问NAS存储系统,Mac客户端应用通过AFP协议访问访问NAS存储系统。FTP协议和WebDav协议可以多种类型应用的客户端的访问。基于以上的服务,客户端就可以操作NAS存储服务器中的文件。
VFS(virtual File System)称为虚拟文件系统,是一个内核软件层,在具体的文件系统之上抽象的一层,用来处理与Posix文件系统相关的所有调用,表现为能够给各种文件系统提供一个通用的接口,使上层的应用程序能够使用通用的接口访问不同文件系统,同时也为不同文件系统的通信提供了媒介。
为了安全起见,通过在客户端对用户进行权限管理,会限制用户通过客户端访问文件,如用户只能读取、写入指定类型的文件,要实现此功能,典型实现方式有CIFS可以通过SAMBA服务端进行配置,NFS、FTP和AFP服务暂时不支持此功能,这种情况下就会导致用户可以通过NFS或者FTP等其它方式获取CIFS上不允许读写的文件,影响文件的安全性、保密性。解决这个问题,本实施例在VFS层对用户访问文件操作进行数据处理,从文件系统级上解决了统一限制用户访问文件。
本实施例为实现文件系统级控制用户访问文件采取了这样的架构:
首先在应用层上实现统一配置用户访问文件模块,称之为配置模块,该模块分为三部分:
1)配置表,该表记录用户与之不能访问的类型文件。
2)配置表存储方法,一种是存储在NAS存储服务器的内存中,在创建文件系统后,从存储介质中加载到内存;另一种是存储在NAS存储服务的存储介质中。当存储介质中的配置表发生变化时,相应的内存中的存储表也同步变化,时刻保证存储介质和内存中的配置表相同。
3)配置表查询方法,因为用户配置本身并不复杂,则只需要通过用户UID作为参数可以查出与之对应的配置信息即可。
其次,在VFS(virtual File System)接口实现处,通过多协议数据访问接入模块,完成文件级统一控制用户访问文件的方法。
在多协议数据访问接入模块中通过调用文件审计信息获取模块,获取到操作文件时的UID等信息,用来从用户配置信息中获取用户配置。
在多协议数据访问接入模块中通过调用文件类型审计模块,获取到文件的类型,通过用户配置信息和文件类型作为参数传入文件操作事件处理模块。
通过文件操作事件处理模块,对用户的读取和写入操作进行最终的数据处理,如是否允许用户写入,是否允许用户读取用户配置中类型的文件。
所述的用户配置模块:用于配置用户能够访问指定类型的文件。所述的用户配置模块包括如下功能:
用于统一管理用户访问文件的配置模块的主要作用是配置用户允许读取、写入指定文件类型的文件,具体表现为:
1)统一配置允许用户读取、写入指定类型的文件:如text、pdf、tar、zip等几十种文件类型。
2)用户通过网络协议访问共享文件系统后只能读取到包含上述配置中指定类型的文件。
3)用户通过网络协议访问共享文件系统后只能写入包含上述配置中指定类型的文件。
初始化文件类型查找表,用来通过相关文件内容信息计算得到的哈希值作为键值,在查找表中快速准确地查找到对应的文件类型。
相关的配置首先保存在NAS存储服务器上的存储介质上,如果存在文件系统则需加载到内存环境中,并提供配置接口和查询接口。这些配置接口用来提供配置操作,并用来通过用户UID查询与之匹配的配置信息。
当VFS层收到samba、NFS、FTP和AFP等服务的读取和写入请求后,调用多协议数据访问接入模块中的处理函数。
所述的多协议数据访问接入模块:用于重新封装的操作文件在VFS层中读取和写入的处理。
多协议数据访问接入模块主要作用是重新封装了VFS层中关于读取和写入的处理,通过文件操作事件处理模块等实现了文件系统级统一管理用户访问文件的方法。
所述的文件审计事件获取模块:用于通过操作文件的索引节点或者目录项获取操作文件的用户文件审计信息。
文件审计信息获取模块主要用来获取当前操作文件的审计的事件信息,审计事件信息主要包括操作文件的进程PID和对应的用户UID等。
上述获取方法主要是通过文件的目录项或者索引节点信息为参数获取对应的文件审计事件信息。
所述的文件操作事件处理模块:用于根据用户配置信息,处理读取和写入操作文件的请求。
以用户UID作为参数,通过对配置表的查询,找到关于此UID对应的用户配置信息。
处理读取和写入具体方式为:
读取操作,例如获取目录信息操作中,通过文件元数据中新加入的私有信息文件类型是否在用户配置信息中,如果文件的类型不在用户配置信息中则把此文件的信息从目录信息中移除。
写入操作,当创建文件时,通过判断的扩展名是否在用户配置信息中,如果扩展名不在用户配置信息中则不允许写入;如果扩展名在用户配置信息中需要进一步通过文件类型审计模块、临时存储数据处理模块作进一步分析处理。
所述的文件类型审计模块:用于通过读取操作文件内容信息,获取操作文件类型。
此模块的主要功能是可以通过文件内容中指定长度的信息,通过哈希算法计算得出哈希值,利用哈希值在文件类型查找表中检索出对应的文件类型,并把结果返回给调用者。
文件类型审计模块的特点是能够支持分析数十种常用的文件类型,并能够快速准确地检索出结果。
所述的临时存储数据处理模块:用于写入时将操作文件临时写到临时存储区,并根据接收到的命令,对临时存储区的数据进行处理,并确定是否将临时存储区的操作文件恢复到实际存储区。
对于写文件,当通过文件扩展名不能判断操作文件的真正类型时,则把此操作文件写入到临时存储区,临时存储区是在物理上和实际存储区分开,以确保保存在临时存储区中所存储的文件不会因为病毒等因素导致实际存储区不能使用。
对于写文件,当数据写到临时存储区后,如果接收到对操作文件的处理消息则调用文件类型审计模块,分析操作文件的类型。
获取操作文件类型后,会调用新加入的私有协议更改操作文件的元数据信息文件类型,把文件类型更新到操作文件的元数据信息中,为后续读取文件类型提供方便。
更新完元数据信息后通过判断,如果操作文件类型不在用户配置信息中,则不处理,此操作文件保存在临时存储区。如果文件类型在用户配置信息中,则使用零拷贝技术把操作文件从临时存储区移到实际存储区。
临时存储区保存文件的时间依据以下二个因素决定:
1)时间,默认保存7天数据;
2)容量,如果剩余容量达到设置的阈值,则删除最早的文件来释放空间,保证临时存储区容量不会影响到正常使用。
应当说明的是,本实施例以及以下实施例将当前正在被处理的文件称为“操作文件”,以示区别。
实施例二:
本实施例是一种使用实施例一所述支持多协议统一管理用户访问文件的方法。
作为存储系统,通常的操作是写入文件或读取文件(对文件进行操作),本实施例将实现写入和读取过程大致描述为(流程见图2):
步骤1,配置用户访问文件的过程:在写入文件之前,对用户访问文件设置条件,以限制随意的访问,提高安全性。
步骤2,创建文件的过程:即要将外部的信息存储到NAS存储器中,通过在NAS存储器创建文件,将需要存储的内容放在创建成功的文件中,实现写入文件。
步骤3,读取目录的过程:即找到存储在NAS存储器中所需要内容位置,并将这些所需内容取出使用。
步骤4,获取文件类型审计的过程:查找预先设置的用户访问条件,进一步对访问文件进行限制,以提高安全性。
所述的读取目录的过程包括如下步骤(见图2):
步骤11,读取目录请求:上层应用,SAMBA服务、FTP服务或NFS服务通过Posix接口向多协议数据接收模块发送读取目录请求。
步骤12,获取目录信息:调用VFS层读取目录接口函数,通过目录路径打开目录,获取目录相关信息。
步骤13,获取事件信息:通过索引节点或者目录项获取当前操作用户的UID信息。
步骤14,获取用户配置信息:通过用户UID从配置表中取到此用户的配置信息。
步骤15,判断是否获取用户配置信息:通过判断是否取到用户配置信息,如果没有取到则直接返回目录信息。
步骤16,根据配置信息处理获取的目录信息:取到用户信息后,通过文件元数据中新加入的私有信息文件类型,遍历目录,判断文件类型是否在用户配置信息中,如果不在用户配置信息中,则意味着不允许用户访问此文件,并从目录信息中移除此文件信息;如果在用户配置信息中,意味着允许用户访问此文件,不需要做操作,继续。
步骤17,返回目录信息:把最终的目录信息返回给调用者。
基于以上步骤,解决了限制客户端通过CIFS,NFS、FTP和AFP等其它协议在共享文件系统中访问文件的方法,确保文件不被非法读取,提高了文件的安全性。
所述的创建文件的过程包括如下步骤(见图3):
步骤21,创建文件请求:上层应用,SAMBA、FTP、NFS和AFP服务通过Posix接口向多协议数据接收模块发送写文件请求。
步骤22,获取操作事件信息:通过索引节点或者目录项获取当前操作文件用户的UID信息。
步骤23,判断是否获取用户配置信息:通过用户UID从配置表中取到当前用户的配置信息。
步骤24,加载用户配置信息:如果获取失败,需要重新加载用户配置信息到内存中,加载成功后回到步骤23。
步骤25,判断是否允许用户创建文件:取到用户配置信息后,基于文件扩展名判断是否允许当前用户创建当前类型的文件,如果允许则执行步骤26创建文件,如果不允许则返回错误。
步骤26,创建文件并写入:当文件扩展名在用户配置信息中,则允许用户写入文件,但是会把文件写入到临时存储区。
步骤27,判断是否获取文件类型:文件写入完毕后获取文件类型,如果获取失败则执行步骤28,如果获取成功则执行步骤29。
步骤28,加载文件类型查找表:获取文件类型失败后,需要重新加载文件类型查找表。
步骤29,更新元数据文件类型:获取到文件类型后,把文件类型写入文件的元数据信息中,在文件的元数据信息中加入私有文件类型。以便每次读取文件操作时就能够直接可获取文件的类型。
步骤30,确认文件类型:再次通过步骤27获取到的文件类型判断是否在用户配置信息中,如果不在用户配置信息中则返回,此文件就会一直保存在临时存储区,直到达到临时存储区设定删除文件的规则为止;如果此文件的文件类型在用户配置信息中,则会使用零拷贝技术把此文件从临时存储区移到实际存储区中。
基于以上步骤,解决了客户端通过CIFS,NFS、FTP、AFP和WebDav等其它协议在共享文件系统中写文件时,不仅实现了基于扩展名来限制用户写文件到NAS存储服务器上,还会通过分析文件类型来限制用户写文件到NAS中,并把文件类型写入文件的元数据信息中,使得文件的元数据信息中时刻存在文件类型的信心,起到了防止用户通过更改文件名上传带有木马或者病毒的文件,确保文件不被非法修改,提高了文件的安全性。
所述的配置用户访问文件的过程包括如下步骤(见图4):
步骤31,统一配置用户访问文件:根据需求配置用户访问文件的配置。如用户A1,不能访问类型为txt的文件。
步骤32,配置信息写入存储介质:把配置保存到存储介质中。
步骤33,判断操作文件是否存在:如果操作文件存在则进入步骤34,如果不存在操作文件,则结束。
步骤34,配置文件加载到内存中:如果存在操作文件则需要把配置信息加载到内存中,用多协议数据接入模块快速读取配置信息。
基于以上步骤提供了保存用户配置的方法以及解决在多协议数据接入模块可以快速读取配置的方法。
所述的获取文件类型审计的过程包括如下步骤(见图5):
步骤41,判断文件类型查找表是否已经加载:文件类型查找表会在用户配置模块初始化时加载到内存中。
步骤42,加载文件类型查找表:如果没有加载则调用用户配置模块接口将文件类型查找表加载到内存中。
步骤43,获取文件头信息:通过文件绝对路径输入参数,获取文件头信息。
步骤44,解析文件头信息:对获取到的文件头信息的相关文件内容信息进行分析,并利用哈希算法计算得到转换后的8位哈希值。
步骤45,根据哈希值进行检索:通过生成的对应文件内容信息的哈希值作为文件类型查找表的键来进行检索,
步骤46,查找到文件类型:通过哈希值检索找到对应的文件类型。
最后应说明的是,以上仅用以说明本发明的技术方案而非限制,尽管参照较佳布置方案对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案(比如系统架构的设置及其构成、步骤的先后顺序等)进行修改或者等同替换,而不脱离本发明技术方案的精神和范围。
Claims (2)
1.一种支持多协议统一管理用户访问文件的系统,包括:多个客户端和NAS存储服务器,所述的客户端是CIFS、FTP、NFS、AFP客户端,其特征在于,所述的NAS存储服务器中设有CIFS、FTP、NFS、AFP服务端,所述的各个服务端通过Posix接口与虚拟文件子系统连接,所述的虚拟文件子系统与存储文件的存储介质、用户配置模块、文件类型审计模块连接,所述的文件类型审计模块与设置在NAS存储服务器中的临时存储数据处理模块、设置在存储介质中的临时存储区连接;所述的用户配置模块与用户访问配置端连接;所述的虚拟文件子系统中设有多协议数据访问接入模块、文件审计事件获取模块、文件操作事件处理模块;
所述的用户配置模块:用于配置用户能够访问指定类型的文件;
所述的多协议数据访问接入模块:用于重新封装的操作文件在VFS层中读取和写入的处理;
所述的文件审计事件获取模块:用于通过操作文件的索引节点或者目录项获取操作文件的用户文件审计信息;
所述的文件操作事件处理模块:用于根据用户配置信息,处理读取和写入操作文件的请求;
所述的文件类型审计模块:用于通过读取操作文件内容信息,获取操作文件类型;
所述的临时存储数据处理模块:用于写入时将操作文件临时写到临时存储区,并根据接收到的命令,对临时存储区的数据进行处理,是否把临时存储区的操作文件恢复到实际存储区。
2.一种使用权利要求1所述支持多协议统一管理用户访问文件的方法,其特征在于,所述的方法包括如下过程:
步骤1,配置用户访问文件的过程:在写入文件之前,对用户访问文件设置条件,以限制随意的访问,提高安全性;
步骤2,创建文件的过程:即要将外部的信息存储到NAS存储器中,通过在NAS存储器创建文件,将需要存储的内容放在创建成功的文件中,实现写入文件;
步骤3,读取目录的过程:即找到存储在NAS存储器中所需要内容位置,并将这些所需内容取出使用;
步骤4,获取文件类型审计的过程:查找预先设置的用户访问条件,进一步对访问文件进行限制,以提高安全性;
所述的读取目录的过程包括如下步骤:
步骤11,读取目录请求:SAMBA服务、FTP服务或NFS服务通过Posix接口向多协议数据接收模块发送读取目录请求;
步骤12,获取目录信息:调用VFS层读取目录接口函数,通过目录路径打开目录,获取目录相关信息;
步骤13,获取事件信息:通过索引节点或者目录项获取当前操作用户的UID信息;
步骤14,获取用户配置信息:通过用户UID从配置表中取到此用户的配置信息;
步骤15,判断是否获取用户配置信息:通过判断是否取到用户配置信息,如果没有取到则直接返回目录信息;
步骤16,根据配置信息处理获取的目录信息:取到用户信息后,通过文件元数据中新加入的私有信息文件类型,遍历目录,判断文件类型是否在用户配置信息中,如果不在用户配置信息中,则意味着不允许用户访问此文件,并从目录信息中移除此文件信息;如果在用户配置信息中,意味着允许用户访问此文件,不需要做操作,继续;
步骤17,返回目录信息:把最终的目录信息返回给调用者;
所述的创建文件的过程包括如下步骤:
步骤21,创建文件请求:SAMBA、FTP、NFS和AFP服务通过Posix接口向多协议数据接收模块发送写文件请求;
步骤22,获取操作事件信息:通过索引节点或者目录项获取当前操作文件用户的UID信息;
步骤23,判断是否获取用户配置信息:通过用户UID从配置表中取到当前用户的配置信息;
步骤24,加载用户配置信息:如果获取失败,需要重新加载用户配置信息到内存中,加载成功后回到步骤23;
步骤25,判断是否允许用户创建文件:取到用户配置信息后,基于文件扩展名判断是否允许当前用户创建当前类型的文件,如果允许则执行步骤26创建文件,如果不允许则返回错误;
步骤26,创建文件并写入:当文件扩展名在用户配置信息中,则允许用户写入文件,但是会把文件写入到临时存储区;
步骤27,判断是否获取文件类型:文件写入完毕后获取文件类型,如果获取失败则执行步骤28,如果获取成功则执行步骤29;
步骤28,加载文件类型查找表:获取文件类型失败后,需要重新加载文件类型查找表;
步骤29,更新元数据文件类型:获取到文件类型后,把文件类型写入文件的元数据信息中,在文件的元数据信息中加入私有文件类型;
步骤30,确认文件类型:再次通过步骤27获取到的文件类型判断是否在用户配置信息中,如果不在用户配置信息中则返回,此文件就会一直保存在临时存储区,直到达到临时存储区设定删除文件的规则为止;如果此文件的文件类型在用户配置信息中,则会使用零拷贝技术把此文件从临时存储区移到实际存储区中;
所述的配置用户访问文件的过程包括如下步骤:
步骤31,统一配置用户访问文件:根据需求配置用户访问文件的配置;
步骤32,配置信息写入存储介质:把配置保存到存储介质中;
步骤33,判断操作文件是否存在:如果操作文件存在则进入步骤34,如果不存在操作文件,则结束;
步骤34,配置文件加载到内存中:如果存在操作文件则需要把配置信息加载到内存中,用多协议数据接入模块快速读取配置信息;
所述的获取文件类型审计的过程包括如下步骤:
步骤41,判断文件类型查找表是否已经加载:文件类型查找表会在用户配置模块初始化时加载到内存中;
步骤42,加载文件类型查找表:如果没有加载则调用用户配置模块接口将文件类型查找表加载到内存中;
步骤43,获取文件头信息:通过文件绝对路径输入参数,获取文件头信息;
步骤44,解析文件头信息:对获取到的文件头信息的相关文件内容信息进行分析,并利用哈希算法计算得到转换后的8位哈希值;
步骤45,根据哈希值进行检索:通过生成的对应文件内容信息的哈希值作为文件类型查找表的键来进行检索;
步骤46,查找到文件类型:通过哈希值检索找到对应的文件类型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111384434.2A CN114116651A (zh) | 2021-11-22 | 2021-11-22 | 一种支持多协议统一管理用户访问文件的系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111384434.2A CN114116651A (zh) | 2021-11-22 | 2021-11-22 | 一种支持多协议统一管理用户访问文件的系统和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114116651A true CN114116651A (zh) | 2022-03-01 |
Family
ID=80439191
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111384434.2A Pending CN114116651A (zh) | 2021-11-22 | 2021-11-22 | 一种支持多协议统一管理用户访问文件的系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114116651A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116070294A (zh) * | 2023-03-07 | 2023-05-05 | 浪潮电子信息产业股份有限公司 | 一种权限管理方法、系统、装置、服务器及存储介质 |
-
2021
- 2021-11-22 CN CN202111384434.2A patent/CN114116651A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116070294A (zh) * | 2023-03-07 | 2023-05-05 | 浪潮电子信息产业股份有限公司 | 一种权限管理方法、系统、装置、服务器及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4359448B2 (ja) | ファイルシステムフィルタドライバのためのファイルネームを管理するシステム及び方法 | |
US7653935B2 (en) | File server for translating user identifier | |
US8650164B2 (en) | Efficient storage and retrieval for large number of data objects | |
US20170206353A1 (en) | Method and system for preventing malicious alteration of data in computer system | |
US10210191B2 (en) | Accelerated access to objects in an object store implemented utilizing a file storage system | |
US6449607B1 (en) | Disk storage with modifiable data management function | |
KR20200093597A (ko) | 콘텐츠 아이템의 동기화를 위한 고유 식별자의 할당 및 재할당 | |
US20120005307A1 (en) | Storage virtualization | |
US7797281B1 (en) | Granular restore of data objects from a directory service | |
US8250176B2 (en) | File sharing method and file sharing system | |
US20060156030A1 (en) | Data processing system and method | |
JP2023512247A (ja) | 複数のチェーンを使用した共有キャッシュ内のオブジェクトの管理 | |
CN112306957A (zh) | 获取索引节点号的方法、装置、计算设备和存储介质 | |
CN114116651A (zh) | 一种支持多协议统一管理用户访问文件的系统和方法 | |
CN110347656B (zh) | 文件存储系统中请求的管理方法和装置 | |
TWI571754B (zh) | 用來進行檔案同步控制之方法與裝置 | |
CN114528260A (zh) | 文件访问请求的处理方法、电子设备及计算机程序产品 | |
US8886656B2 (en) | Data processing | |
CN111078643B (zh) | 一种批量删除文件的方法、装置及电子设备 | |
WO2014147811A1 (ja) | ファイルストレージシステムおよびユーザデータ管理方法 | |
KR101973236B1 (ko) | 서버 기반 미디어 스캔을 위한 장치 및 방법 | |
US20080243962A1 (en) | Method and apparatus for providing and managing a virtual storage namespace | |
US11671492B2 (en) | Multipart upload for distributed file systems | |
WO2021017655A1 (zh) | 获取索引节点号的方法、装置、计算设备和存储介质 | |
KR20170095172A (ko) | 서버 기반 미디어 스캔을 위한 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |