WO2015103794A1 - 一种文件访问权限控制方法及装置 - Google Patents

Abstract

本发明实施例提供一种文件访问权限控制方法及装置，涉及通信领域，能够提升访问控制列表ACL鉴权的效率，降低系统的整体开销。该方法包括：读取初始访问控制列表ACL中的访问控制项ACE，所述ACE至少包括用户标识、以及与所述用户标识对应的成员变量；判断所述ACE中是否包含有只继承IO标志位；将不包含有IO标志位的ACE保存至缓存ACL中；将所述缓存ACL中包含有相同用户标识的不包含IO标志位的ACE合并，得到改进ACL，所述改进ACL用于对文件进行ACL鉴权。

Description

一种文件访问权限控制方法及装置 技术领域

本发明涉及通信领域， 尤其涉及一种文件访问权限控制方法及 装置。

背景技术

在文件系统的服务器中， 访问控制列表 （ ACL, Access Control List ) 用于控制用户或群组成员对文件夹或文件的访问权限， 即文 件系统的服务器根据 ACL 来控制用户或群组成员对文件夹或文件的 访问权限。 在文件系统中， 每一个目录或文件都会对应有一个 ACL, 在文件的创建、 删除、 读写数据以及设置属性等多个操作中都会根 据 ACL 对用户的操作权限进行限制， 这样也提高了文件系统的安全 性。

在现有技术中，对文件进行访问权限鉴权时， 即对文件进行 ACL 鉴权时， 文件系统的服务器将需要的 ACL 从扩展属性中读取出来， 然后遍历 ACL 中所有的访问控制项（ACE， Access Control Entry) , 找出和当前用户相关联的所有 ACE, 并对该 ACE逐一进行比较判断。

然而， 由于文件系统中的 ACL 有可能包含上千条 ACE, 遍历所 有的 ACE 并判断用户或群组是否有权限访问文件或者文件夹， 过程 繁瑣， 时间消耗大， 效率低。

发明内容

本发明的实施例提供一种文件访问权限控制方法及装置， 解决 了文件系统的服务器对文件进行访问控制列表 ACL 鉴权时， 遍历所 有访问控制项 ACE 而导致的时间浪费、 低效率问题， 本发明能够提 升 ACL鉴权的效率， 降低系统的整体开销。

为达到上述目的， 本发明的实施例釆用如下技术方案：

第一方面， 本发明实施例提供一种文件访问权限控制方法， 该 方法包括： 读取初始访问控制列表 ACL 中的访问控制项 ACE , 所述 ACE 至 少包括用户标识、 以及与所述用户标识对应的成员变量；

判断所述初始 ACE 中是否包含有只继承 10标志位；

将不包含有 10标志位的 ACE保存至緩存 ACL 中；

将所述緩存 ACL 中包含有相同用户标识的不包含 10 标志位的 ACE合并， 得到改进 ACL, 所述改进 ACL用于对文件进行 ACL鉴权。

在第一方面的第一种可能的实现方式中， 所述用户标识包括用 户标示符或群组标示符； 所述与各个用户标识对应的成员变量至少 包括类型 Type, 权限 Perm ission和标识 Flag;其中 , 所述 Flag 中 包括 10标志位、 子文件夹继承 C I标志位和子文件继承 01标志位中 的至少一个。

结合第一方面的第一种可能的实现方式， 在第一方面的第二种 可能的实现方式中， 将所述改进 ACL存储至系统的特定扩展属性中 , 所述特定扩展属性为文件系统内部根据预设关键字约定设置的。

结合前述的第一方面或第一方面的第一种可能的实现方式至第 二种可能的实现方式， 在第三种可能的实现方式中， 所述判断所述 ACE 中是否包含有只继承 10 标志位之后， 所述将不包含有 10 标志 位的 ACE保存至緩存 ACL 中之前， 所述方法还包括：

统计所述初始 ACL 中包含有 10标志位的 ACE的数量。

结合第一方面的第三种可能的实现方式， 在第一方面的第四种 可能的实现方式中， 若所述包含有 10标志位的 ACE的数量大于预设 门限值，则执行所述将不包含有 10标志位的 ACE保存至緩存 ACL中。

第二方面， 本发明实施例提供一种服务器， 包括：

获取单元， 用于读取初始访问控制列表 ACL 中的访问控制项 ACE , 所述 ACE至少包括用户标识、 以及与所述用户标识对应的成员 变量；

判断单元， 用于判断所述获取单元获取到的所述 ACE 中是否包 含有只继承 10标志位；

预存储单元，用于将所述判断单元确定的不包含有 10标志位的 ACE保存至緩存 ACL 中；

处理单元， 用于将预存储单元存储的所述緩存 ACL 中包含有相 同用户标识的不包含 10标志位的 ACE合并， 得到改进 ACL, 所述改 进 ACL用于对文件进行 ACL鉴权。

在第二方面的第一种可能的实现方式中， 所述用户标识包括用 户标示符或群组标示符； 所述与各个用户标识对应的成员变量至少 包括类型 Type, 权限 Perm ission和标识 Flag; 其中 , 所述 Flag 中 包括 10标志位、 子文件夹继承 C I标志位和子文件继承 01标志位中 的至少一个。

结合第二方面的第一种可能的实现方式， 在第二方面的第二种 可能的实现方式中， 所述服务器还包括存储单元，

所述存储单元， 用于在所述处理单元将所述緩存 ACL 中有相同 用户标识的不包含 10标志位的 ACE合并， 得到改进 ACL之后， 将所 述改进 ACL 存储至系统的文件中， 所述特定扩展属性为系统内部根 据预设关键字约定设置的。

结合前述的第二方面或第二方面的第一种可能的实现方式至第 二种可能的实现方式， 在第三种可能的实现方式中， 所述服务器还 包括统计单元，

所述统计单元， 用于在所述判断单元判断所述 ACE 中是否包含 有只继承 10标志位之后， 所述预存储单元将不包含有 10标志位的 ACE保存至緩存 ACL 中之前， 统计所述初始 ACL 中包含有 10标志位 的 ACE的数量。

结合第二方面的第三种可能的实现方式， 在第二方面的第四种 可能的实现方式中， 若所述包含有 10标志位的 ACE的数量大于预设 门限值，则执行所述将不包含有 10标志位的 ACE保存至緩存 ACL中。

第三方面， 本发明实施例还提供一种服务器， 包括：

处理器， 用于读取初始访问控制列表 ACL 中的访问控制项 ACE , 所述 ACE至少包括用户标识、 以及与所述用户标识对应的成员变量， 以及用于判断所述 ACE 中是否包含有只继承 10标志位， 以及用于将 所述緩存 ACL 中包含有相同用户标识的不包含 10 标志位的 ACE 合 并， 得到改进 ACL, 所述改进 ACL用于对文件进行 ACL鉴权；

存储器， 用于将所述不包含有 10标志位的 ACE保存至緩存 ACL 中。

在第三方面的第一种可能的实现方式中， 所述用户标识包括用 户标示符或群组标示符； 所述与各个用户标识对应的成员变量至少 包括类型 Type, 权限 Perm ission和标识 Flag; 其中 , 所述 Flag 中 包括 10标志位、 子文件夹继承 C I标志位和子文件继承 01标志位中 的至少一个。

结合第三方面的第一种可能的实现方式， 在第三方面的第二种 可能的实现方式中， 所述存储器， 还用于在所述处理器将所述緩存 ACL中有相同用户标识的不包含 10标志位的 ACE合并，得到改进 ACL 之后， 将所述改进 ACL 存储至系统的文件中， 所述特定扩展属性为 系统内部根据预设关键字约定设置的。

结合前述的第三方面或第三方面的第一种可能的实现方式至第 二种可能的实现方式， 在第三种可能的实现方式中， 所述服务器还 包括计数器，

所述计数器， 用于在所述处理器判断所述 ACE 中是否包含有只 继承 10标志位之后， 所述存储器将不包含有 10标志位的 ACE保存 至緩存 ACL 中之前， 统计所述初始 ACL 中包含有 10标志位的 ACE的 数量。

结合第三方面的第三种可能的实现方式， 在第三方面的第四种 可能的实现方式中， 所述存储器， 具体用于若所述计数器统计所述 包含有 10标志位的 ACE的数量大于预设门限值， 则执行所述将不包 含有 10标志位的 ACE保存至緩存 ACL 中。

本发明实施例提供一种文件访问权限控制方法及装置， 服务器 读取初始访问控制列表 ACL 中的访问控制项 ACE, 判断初始 ACL 的 ACE 中是否包含有只继承 10 标志位， 并将不包含有只继承 10 标志 位的 ACE保存至緩存 ACL 中， 将緩存 ACL 中包含有相同用户标识的 不包含 10标志位的 ACE合并，得到改进 ACL,以便于对文件进行 ACL 鉴权时， 直接获取改进 ACL 进行鉴权。 通过该方案， 本发明只在服 务器端对文件系统内部进行改进， 因此改进 ACL 的生成不会影响到 客户端的既有流程。 而且， 改进 ACL 中的 ACE只包含有影响文件系 统的服务器对文件进行 ACL鉴权的标志位， 从而对文件进行 ACL鉴 权时， 服务器可以直接获取改进 ACL 进行鉴权， 不需要遍历所有初 始 ACL 中所有的 ACE, 提升访问控制列表 ACL 鉴权的效率， 降低系 统的整体开销。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下 面将对实施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明的一些实施例， 对于 本领域普通技术人员来讲， 还可以根据这些附图获得其他的附图。

图 1为一种典型的 NAS文件系统的系统框架示意图；

图 2为本发明实施例的文件访问权限控制方法流程示意图一； 图 3为本发明实施例的緩存 ACL 中有相同用户标识的 ACE合并 的流程示意图；

图 4为本发明实施例的文件访问权限控制方法流程示意图二； 图 5为本发明实施例的服务器结构示意图一；

图 6为本发明实施例的服务器结构示意图二；

图 7为本发明实施例的服务器结构示意图三；

图 8为本发明实施例的服务器结构示意图四。

具体实施方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术 方案进行清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明 一部分实施例， 而不是全部的实施例。

在文件系统的服务器中， 由于多用户共享文件系统中的文件， 为了保证文件的安全性， 通常需要针对不同的用户或用户群组的读、 写或修改等操作进行权限控制。 为了便于控制权限， 文件系统的服务器中的每一个文件夹或文 件啫 对应一个访问控制歹 'J表 （ ACL, Access Control List ), 且该 ACL存储在文件系统的服务器中。 ACL用来存储文件系统的服务器中 文件和文件夹的访问权限。 它是由许多 ACE( Access Control Entry, 访问控制项）组成的列表， 每个访问控制项定义一个用户或群组及其 对应的访问权限， 即用户对文件的创建、 读、 写、 属性设置等操作 是否被允许。 ACL具有继承性和叠加性等特点。

其中， 继承性是指在默认情况下授予父文件夹的权限将被该父 文件夹下的子文件夹或文件所继承， 也可以说文件或文件夹默认继 承分区或父文件夹的权限， 并且继承来的权限不能被直接修改。 叠 力口' 1"生是指 ^口一个组 Groupl 中有两个用户 Userl、 User2,用户 Userl、 User2 同时对某文件或文件夹的访问权限分别为 "读取" 和 "写入"， 那么组 G r oup 1对该文件或文件夹的访问权限就为 User 1和 User2的 访问权限之和， 即 "读取" + "写入" = "写入"。 又如一个用户 Userl 同属于组 Groupl 和 Group2, Groupl 对某一文件或目录的访问权限 为 "只读" 型的， 而 Group2对这一文件或文件夹的访问权限为 "完 全控制" 型的， 则用户 Userl 对该文件或文件夹的访问权限为两个 组权限累加所得， 即： "只读" + "完全控制" = "完全控制"。

NAS ( Network Attached Storage, 网络附力口存储） 是一种釆用 直接与网络介质相连的特殊设备实现数据存储的机制。 由于这些设 备都分配有 IP地址， 所以客户端通过充当数据网关的服务器可以对 其进行访问。 NAS 设备在数据必须长距离传送的环境中可以很好地 发挥作用。 NAS应用于高效的文件共享任务中， 例如 UNIX操作系统 中的 NFS ( Network File System, 网络文件系统） 和 Windows NT ( Windows New Technology , 微软新技术 ） 中 的 CIFS ( Common Internet File System, 通用互联网文件系统）。

DAS ( Direct Attached Storage,直连式存储 ) 依赖月良务器主机 操作系统进行数据的 I/O ( Input/Output, 输入 /输出 ) 读写和存储 维护管理， 数据备份和恢复要求占用服务器主机资源， 数据流需要 回流主机再到服务器连接着的数据库。 DAS 本身是硬件的堆叠， 不 带有任何存储操作系统。 其中， 存储设备是通过电缆直接到服务器 的， I/O (输入 /输出 ） 请求直接发送到存储设备。

SAS ( Serial Attached Small Computer System Interface, 串行连接小型计算机系统接口 ） 存储系统釆用 串行技术以获得更高 的传输速度， 并通过缩短连接线改善内部空间等。 SAS 的接口技术 可以向下兼容 SATA ( Serial Advanced Techno logy Attachment, 串行高级技术附件）。 SAS 系统的背板既可以连接具有双端口、 高性 能的 SAS驱动器， 也可以连接高容量、 低成本的 SATA驱动器。 由于 SAS 系统的兼容性， IT人员能够运用不同接口的硬盘来满足各类应 用在容量上或效能上的需求， 因此在扩充存储系统时拥有更多的弹 性， 让存储设备发挥最大的投资效益。

目前大部分文件系统都支持通过 ACL 来实现对文件的权限控 制， 文件系统中不同的客户端可以使用不同的 ACL 机制。 例如， 如 图 1 所示， 是一个典型的 NAS文件系统的系统架构图， 三个支持不 同 ACL机制的客户端分别连接至文件系统的服务器， 客户端分别为： 支持 NT ACL ( New Technology Access Control List, 新技术访问 控制歹 'J表）的 Windows客户端、 支持 NT ACL的 MAC ( Macintosh, 麦 金塔） 系统客户端和支持 NFSv4 ( Network File System vers ion 4, 网络文件系统版本 4 ) ACL的 LINUX/UNIX客户端。 其中， NT ACL 中 包含用户对文件的读、 写、 可执行、 设置属性等访问操作的权限， NFSv4 ACL 中包含用户对文件的读、 写和可执行三种访问操作的权 限。

现有技术中， NT ACL或 NFSv4 ACL会被直接保存到文件系统元 数据的扩展属性中。 每当用户发起对文件的操作， 文件系统的服务 器就需要进行访问权限鉴权， 即文件系统的服务器就需要对文件进 行 ACL鉴权。 文件系统的服务器会将 ACL从扩展属性中读取出来， 然后遍历所有的 ACE, 找出和当前访问用户相关联的 ACE, 并对该 ACE 逐一进行比较判断， 这样文件系统的服务器进行 ACL 鉴权的时 间消耗大， 效率低。

本发明实施例提供一种文件访问权限控制方法及装置， 解决了 文件系统的服务器进行 ACL鉴权时， 遍历访问控制列表 ACL 中所有 访问控制项 ACE 而导致的时间浪费、 低效率问题， 本发明能够提升 ACL鉴权的效率， 降低系统的整体开销。

本发明实施例中描述的实现方法适合于网络附加存储 NAS 系 统、 直连式存储 DAS 系统、 串行连接小型计算机系统接口 SAS存储 系统等文件系统中。 实施例一

本发明实施例提供一种文件访问权限控制方法， 如图 2 所示， 该方法包括：

S10K 服务器读取初始 ACL 中的 ACE。

每当用户发起对文件的操作请求， 文件系统的服务器就需要对 文件进行 ACL鉴权。 服务器将 ACL从服务器元数据的扩展属性中读 取出来。 然后遍历 ACL 中的所有 ACE, 找出和当前访问用户相关联 的 ACE。

其中， ACL 存储有文件系统中文件夹和文件的访问权限， ACL 中包含有许多访问控制项 ACE, 每个访问控制项记录一个用户或群 组及其对应的访问权限。 ACE 至少包括用户标识 （例如： 用户标示 符或群组标示符）、 以及与用户标识对应的成员变量（例如： 能否访 问的类型 Type , 权限 Permi s s i on和标识 F 1 ag)。

具体的， 每条 ACE 中的成员变量的标识 Flag 用于记录该 ACE 的继 标志位， ACE的继 标志位包括 10 ( Inherit Only,只继氷 ) 标志位、 CI( Container Inherit,子文件夹继承）标志位和 0I( Object Inherit, 子文件继承） 标志位中的至少一个。 10 标志位表示该 10 标志位所在的 ACE 不应用于当前文件夹或当前文件， 即当用户访问 的文件夹的 ACL 中该用户对应的 ACE 中包含有 10标志位， ACE 中的 访问权限对所述用户的访问没有影响， 也就是说不对用户访问该文 件夹进行权限限制。 CI 标志位表示该 CI 标志位所在的 ACE 由当前 文件夹的子文件夹继承， 01 标志位表示该 01 标志位所在的 ACE 由 当前文件夹的子文件继承。

示例性的， 若 ACL为 NT ACL, 且该 NT ACL 中包含 1条访问控 制项 ACE, 每条 ACE 包含用户标识 ID、 该用户能否访问文件的类型 Type, 权限 Permission和标识 Flag, NT ACL的结构如表 1 所示。

表 1

其中， it NT ACL 中包含 NT ACE 0和 NT ACE 1 , NT ACE 0 中包 含用户 ID: UserA (用户 A), 用户 A能否访问文件的类型 type为： allow (允许 ), 用户 A对文件的权限 permission为 list-directory

(列出文件夹）， 这条 ACE携带的标识 Flag有标志位 01 和 CI, 其 中， 列出文件夹代表用户 A可以读取文件夹。 NT ACE 1 中包含用户 ID: UserA (用户 A), 用户 A 能否访问文件的类型 type 为： allow

(允许）， 用户 A对文件的权限 per mi ss ion为 add_f i le (创建文件 夹）， 这条 ACE携带的标识 Flag有标志位 01和 10。 可选的， 本发明实施例中描述的初始访问控制列表 ACL可以是 NT ACL, 也可以是 NFS v4 ACL, ACL的类型对于本发明实施例中描述 的方法的实现没有影响。

需要说明的是， 该初始 ACL 可以是文件系统的服务器自带的 ACL, 也可以是文件系统中 ACL继承父文件夹后生成的 ACL, 还可以 是客户端手动设置生成的 ACL。

例如， 若初始 ACL为 NAS 系统中的 NT ACL, NT ACL 由零条或多 条 ACE 构成， 则 NAS 系统的服务器在对文件进行 ACL 鉴权时， NAS 系统的服务器先读取该 NT ACL 中的所有 ACE。

S102、 服务器判断初始 ACL的 ACE 中是否包含有 10标志位。

ACL是由许多访问控制项 ACE组成的列表，每个访问控制项 ACE 记录一个用户或群组及其对应的访问权限， ACE 中至少包括用户标 识、 以及与用户标识对应的成员变量。

其中， ACE成员变量中有一成员变量标识 Flag记录有 10标志 位、 C I标志位和 01标志位中的至少一个。

具体的， 10标志位表示该 10标志位所在的 ACE 不影响当前文 件夹本身的鉴权，即包含有 10标志位的 ACE不影响父文件夹的鉴权， 它依赖于 CI 标志位和 /或 01 标志位的存在， 不能单独存在。 CI 标 志位和 /或 01标志位会影响子文件夹和 /或子文件的鉴权。 在新建子 文件夹或者子文件时， 可以根据父文件夹对应的 ACE 中的这些标志 位获知如何将父文件夹对应的 ACE 传播到子文件夹和 /或子文件对 应的 ACE 中。

由于， 10标志位不影响对应的父文件夹本身的鉴权， 所以， 在 文件系统的服务器对文件夹或文件进行 ACL鉴权时， 需判断 ACL 中 的对应的 ACE 中是否包含有 10标志位， 如果包含 10标志位， 则说 明该条 ACE不影响当前文件夹或文件的鉴权， 若不包含 10标志位， 则说明该条 ACE影响当前文件夹或文件的鉴权。

例如， 若初始 ACL 为 NAS 系统中的 NFSv4 ACL, 该 NFSv4 ACL 由零条或多条 ACE构成， NAS 系统在对文件进行 ACL鉴权时， NAS 系 统的服务器读取该 NFSv4 ACL 中的所有 ACE, 通过 ACE 的信息， 判 断 ACE 中是否包含有 10标志位， 从而判断哪条 ACE会影响对文件进 行 ACL鉴权。

5103、 服务器将不包含有 10标志位的 ACE保存至緩存 ACL 中。 具体的， 在服务器读取初始 ACL 中的 ACE后， 服务器确定不包 含 10标志位的 ACE, 并将该不包含 10标志位的 ACE保存至緩存 ACL 中。

进一步地， 由于 10标志位表示包含 10标志位的 ACE不影响父 文件夹本身的鉴权，而緩存 ACL是由不包含 10标志位的 ACE构成的， 因此緩存 ACL 中的所有 ACE都会影响父文件夹的鉴权。

5104、 服务器将緩存 ACL 中包含有相同用户标识的不包含 10 标志位的 ACE合并， 得到改进 ACL。

緩存 ACL 中只有不包含 10标志位的 ACE, 每条 ACE 中包含用户 标识以及与用户标识对应的成员。文件系统的服务器读取该緩存 ACL 中的 ACE后， 获得每条 ACE 的用户标识， 然后将包含有相同用户标 识的 ACE合并， 进而得到改进 ACL。

具体的， 文件系统的服务器将包含有相同用户标识且携带有相 同的用户能否访问文件的类型的 ACE 进行合并， 其中， 包含有相同 用户标识且携带有相同的用户能否访问文件的类型的 ACE 中的权利 位取并集。

需要说明的是，由于 ACE 中的成员变量的标识 Flag用于记录该 ACE的继承标志位， 且包含有 10标志位的 ACE不影响父文件夹的鉴 权， 只影响父文件夹的继承， CI标志位和 /或 01标志位会影响子文 件夹和 /或子文件的鉴权，而緩存 ACL中只有不包含 10标志位的 ACE, 即緩存 ACL 中的继承标志位中的标志位只会影响子文件夹和 /或子 文件的鉴权， 不会影响子文件夹和 /或子文件的的继承。 因此， 服务 器将緩存 ACL 中包含有相同用户标识的不包含 10 标志位的 ACE 合 并， 得到改进 ACL后， 用于记录 ACE的继承标志位的标识 Flag 中的 标志位只会影响子文件夹和 /或子文件的鉴权， 不会影响子文件夹和 /或子文件的的继承， 即改进 ACL 的 ACE 中的标识 Flag 的存在没有 意义， 也就是说， 改进 ACL的 ACE 中的标识 Flag不存在。

由于， 改进 ACL 中不存在 10标志位， 因此， 文件系统的服务器 对文件进行 ACL鉴权时， 可直接获取该改进 ACL, 通过读取改进 ACL 中的 ACE来进行 ACL鉴权。

进一步地， 若文件系统的服务器中已经存在改进 ACL, 则当文 件系统的服务器中的初始 ACL更新时， 改进 ACL也进行相应的更新。 文件系统的服务器釆用本发明实施例提供的方法对改进 ACL 进行更 新， 即文件系统的服务器读取更新后的初始 ACL 中的每条 ACE, 根 据 ACE 中的继承标志位， 将会影响 ACL鉴权的 ACE提取出来， 然后 针对相同用户或组的 ACE进行合并， 得到更新后的改进 ACL。 此时， 文件系统的服务器会将存储的旧的改进 ACL 舍弃， 用新生成的改进 ACL代替。

可选的，改进 ACL可以是改进 NT ACL,也可以是改进 NFSv4 ACL。 示例性的， 如图 3所示， Temp ACL为緩存 ACL, 若緩存 ACL 中 的 ACE数量为二百条， 其中 ACE 0和 ACE 1 中的用户信息都为用户 A , 且 ACE 0和 ACE 1 中的用户能否访问文件的类型均为 a 11 ow (允 许）， ACE 0中的权限为 1 is t_di rectory, ACE 1 中的权限为 add.fi le, 文件系统的服务器则将 ACE 0 和 ACE 1 进行合并， 其中， ACE 0 和 ACE 1 的权利位 permission取并集， 因此服务器将緩存 ACL 中包含 有相同用户标识的不包含 10 标志位的 ACE合并， 得到 Access ACL ( 改进 ACL ) , 改进 ACL 中 包含用 户 A 的 ACE 的权限为 ： list-directory和 add_file。

需要说明的是， 在本发明实施例生成改进 ACL 的过程由服务器 在文件系统内部进行改进， 改进 ACL 的生成不会影响到客户端的既 有流程。

本发明实施例提供一种文件访问权限控制方法， 服务器读取初 始访问控制列表 ACL 中的访问控制项 ACE, 其中， ACE至少包括用户 标识、 以及与用户标识对应的成员变量。 然后， 判断 ACE 中是否包 含有只继承 10标志位， 并将不包含有 10标志位的 ACE保存至緩存 ACL 中。 最后， 将緩存 ACL 中有相同用户标识的不包含 10标志位的 ACE合并， 得到改进 ACL; 其中， 改进 ACL用于对文件进行 ACL鉴权。 通过该方案， 由于本发明只由服务器在文件系统内部进行改进， 因 此改进 ACL 的生成不会影响到客户端的既有流程， 而且， 改进 ACL 中的 ACE只包含有影响文件系统的服务器对文件进行 ACL鉴权的标 志位， 从而对文件进行 ACL 鉴权时， 服务器可以直接获取改进 ACL 进行鉴权， 不需要遍历所有初始 ACL 中所有的 ACE, 提升访问控制 列表 ACL鉴权的效率， 降低系统的整体开销。 实施例二

本发明实施例提供一种文件访问权限控制方法， 如图 4 所示， 该方法包括：

S20K 服务器读取初始 ACL 中的 ACE。

当文件系统的服务器对文件进行 ACL鉴权时， 服务器将 ACL从 扩展属性中读取出来， 然后遍历所有 ACE, 找出和当前访问用户相 关联的 ACE。

具体的， 文件系统的服务器对文件进行 ACL鉴权时， 首先读取 初始访问控制列表 ACL 中的访问控制项 ACE。

其中， ACE 至少包括用户标识、 以及与各个用户标识对应的成 员变量。 用户标识包括用户标示符或群组标示符。 与各个用户标识 对应的成员 变量至少包括用户 能否访问文件的类型 Type、 权限 Permission和标识 F 1 a g。

具体的，每条 ACE 中的成员变量标识 Flag记录有该 ACE的继承 标志位， ACE 的继 标志位包括 10 ( Inherit Only，只继 ）、 CI ( Container Inherit, 子文件夹继承） 和 01 ( Object Inherit, 子文件继承） 中的至少一个。 10标志位表示该 10标志位所在的 ACE 不应用于当前文件夹或当前文件， 即对包含有 10标志位的 ACE进行 鉴权是不起作用的， CI 标志位表示子文件夹将继承该 CI 标志位所 在的 ACE , 01标志位表示子文件将继承该 01标志位所在的 ACE。 可选的，初始访问控制列表 ACL可以是 NT ACL ,也可以是 NFS v4

ACL。

需要说明的是， 该初始 ACL 可以是文件系统的服务器自带的 ACL,也可以是文件系统的服务器中 ACL继承父文件夹后生成的 ACL, 还可以是客户端手动设置生成的 ACL。

例如， 若初始 ACL为 NAS 系统中的 NT ACL, NT ACL 由零条或多 条 ACE 构成， 则 NAS 系统的服务器在对文件进行 ACL 鉴权时， NAS 系统的服务器先读取该 NT ACL 中的所有 ACE。

S202、 服务器判断初始 ACL的 ACE 中是否包含有 10标志位。 其中， 10标志位记录在 ACE 中的成员变量 Flag 中。

ACL是由许多访问控制项 ACE组成的列表，每个访问控制项 ACE 定义一个用户或群组及其权限， ACE 中至少包括用户标识、 以及与 各个用户标识对应的成员变量。

其中， ACE成员变量中有一成员变量标识 Flag记录相对应用户 的只继承 10标志位、 子文件夹继承 CI标志位和子文件继承 01标志 位中的至少一个。

进一步地， 10标志位不影响父文件夹本身的鉴权， 即包含有 10 标志位的 ACE不影响父文件夹的鉴权， 它依赖于 CI标志位和 /或 01 标志位的存在， CI 标志位和 /或 01 标志位会影响子文件夹和 /或子 文件的鉴权。 在新建子文件夹或者子文件时， 可以根据父文件夹 ACE 中的这些标志位获知如何将 ACE传播到子文件夹和 /或子文件的 ACE 中。

示例性的， ACE 中的 10标志位和 /或 CI标志位和 /或 01标志位 的传播结果如表 2所示： 表 2

目标文件夹代表父文件夹本身。

由表 2可知， 包含有 10标志位的 ACE不影响父文件夹本身的鉴 权。

进一步地， 由于 10标志位不影响父文件夹本身的鉴权， 在文件 系统的服务器对文件夹或文件进行 ACL鉴权时， 需判断 ACE 中是否 包含有 10标志位， 如果包含 10标志位， 则说明该条 ACE不影响鉴 权， 若不包含， 则说明该条 ACE影响鉴权。

例如， 若初始 ACL 为 NAS 系统中的 NFSv4 ACL, 该 NFSv4 ACL 由零条或多条 ACE 构成， NAS 系统的服务器在对文件进行 ACL 鉴权 时， 先读取该 NFSv4 ACL 中的所有 ACE, 通过 ACE的信息， 判断 ACE 中是否包含有 10标志位， 从而判断哪条 ACE会影响对文件的 ACL鉴 权。

S203、 服务器统计初始 ACL 中包含有 10标志位的 ACE的数量。 文件系统的服务器在读取初始 ACL 中的 ACE时， 会自动获取初 始 ACL 中 ACE的数量。 服务器在判断初始 ACL 的 ACE 中是否包含有 10标志位后， 统计该初始 ACL 中不影响鉴权的 ACE的数量， 即统计 初始 ACL 中包含有 I 0标志位的 ACE的数量， 进而判断初始 ACL 中包 含有 10标志位的 ACE的数量是否大于预设门限值， 以便于决定是否 需要筛选出会影响鉴权的 ACE。

例如， 若初始 ACL为 NAS 系统中的 NT ACL, 该 NT ACL 由三千 条 ACE构成， 其中有二百条 ACE 包含 10标志位， 则 NAS 系统在读取 该 NT ACL 中的所有 ACE信息后， 统计该 NT ACL 中包含 10标志位的 ACE的数量为二百条。

S204、 若包含有 10标志位的 ACE的数量大于预设门限值， 服务 器则将不包含有 10标志位的 ACE保存至緩存 ACL 中。

具体的， 在文件系统的服务器读取初始 ACL 中的 ACE, 并统计 了该初始 ACL 中包含有 10标志位的 ACE的数量后， 文件系统的服务 器根据预设门限值， 判断初始 ACL 中包含有 10标志位的 ACE的数量 是否大于预设门限值。

进一步地， 若包含有 10标志位的 ACE的数量大于预设门限值， 则文件系统的服务器将不包含有 10 标志位的 ACE 保存至緩存 ACL 中， 由于 10标志位不影响父文件夹本身的鉴权， 且緩存 ACL 中只包 含有除 10标志位以外的标志位， 因此緩存 ACL 中的所有 ACE都会影 响文件的鉴权。

例如， 若 NAS 系统中的 NT ACL 包含有两千条 ACE, 其中有三百 条 ACE 包含有 10标志位， 当包含有 10标志位的 ACE的数量大于预 设门限值二百条时， NAS 系统的服务器将一千七百条不包含有 10标 志位的 ACE保存至緩存 ACL 中。

S205、 服务器将緩存 ACL 中包含有相同用户标识的不包含 10 标志位的 ACE合并， 得到改进 ACL。

具体的， 緩存 ACL 中只有不包含 10标志位的 ACE, 每条 ACE 中 包含有自身的用户标识信息， 文件系统的服务器读取该緩存 ACL 中 的所有 ACE后， 获得緩存 ACL 中的每条 ACE 的用户标识信息， 该用 户标识信息中有相同的用户标识存在，文件系统的服务器将緩存 A C L 中包含有相同用户标识的 ACE合并。

其中， 文件系统的服务器将緩存 ACL 中包含有相同用户标识且 携带有相同的用户能否访问文件的类型的 ACE 中的权利位取并集。 进而， 得到改进 ACL, 这样， 针对同一用户标识， 改进 ACL 中只包 含有一 ACE, 在文件系统的服务器对文件进行 ACL 鉴权时， 时间消 耗较少。

需要说明的是，由于 ACE 中的成员变量的标识 Flag用于记录该 ACE的继承标志位， 且包含有 10标志位的 ACE不影响父文件夹的鉴 权， 只影响父文件夹的继承， CI标志位和 /或 01标志位会影响子文 件夹和 /或子文件的鉴权，而緩存 ACL中只有不包含 10标志位的 ACE, 即緩存 ACL 中的继承标志位中的标志位只会影响子文件夹和 /或子 文件的鉴权， 不会影响子文件夹和 /或子文件的的继承。 因此， 服务 器将緩存 ACL 中包含有相同用户标识的不包含 10 标志位的 ACE 合 并， 得到改进 ACL后， 用于记录 ACE的继承标志位的标识 Flag 中的 标志位只会影响子文件夹和 /或子文件的鉴权， 不会影响子文件夹和 /或子文件的的继承， 即改进 ACL 的 ACE 中的标识 Flag 的存在没有 意义， 也就是说， 改进 ACL的 ACE 中的标识 Flag不存在。

进一步地， 若文件系统的服务器中已经存在改进 ACL, 则当文 件系统的服务器中的初始 ACL 更新时， 改进 ACL也进行更新。 文件 系统的服务器釆用本发明实施例提供的方法对改进 ACL 进行同步更 新， 即文件系统的服务器读取更新后的初始 ACL 中的每条 ACE, 根 据 ACE 中的继承标志位， 将会影响 ACL鉴权的 ACE提取出来， 然后 针对相同用户或组的 ACE进行合并， 得到更新后的改进 ACL。 此时， 文件系统的服务器会将存储的旧的改进 ACL 舍弃， 用新生成的改进 ACL代替。

可选的，改进 ACL可以是改进 NT ACL,也可以是改进 NFSv4 ACL。 例如， 緩存 ACL 中的 ACE数量为二百条， 该 ACE 中的用户信息 有用户 A、 用户 C和群组 B, 则将用户标识信息为用户 A的 ACE、 用 户标识信息为用户 C 的 ACE和用户标识信息为群组 B的 ACE分别合 并， 各个用户 ACE的权限位取并集， 即得到改进 ACL。

S206、 服务器将改进 ACL存储至系统的特定扩展属性中。

一般情况下， ACL 会被直接保存到文件系统元数据的扩展属性 中。 该扩展属性是文件系统内部约定好的， 文件系统通过关键字可 查找的属性。 具体的， 在生成改进 ACL后， 文件系统将其存储至文件系统的 特定扩展属性中。 该特定扩展属性也是文件系统内部根据预设关键 字约定设置的。

需要注意的是， 改进 ACL存储的特定扩展属性与初始 ACL存储 的扩展属性是不同的， 二者关键字不同， 关键字的具体内容， 本发 明实施例不做限定。

本发明实施例提供一种文件访问权限控制方法， 服务器读取初 始访问控制列表 ACL 中的访问控制项 ACE, 其中， ACE至少包括用户 标识、 以及与各个用户标识对应的成员变量， 然后， 判断 ACE 中是 否包含有只继承 10标志位， 并将不包含有 10标志位的 ACE保存至 緩存 ACL 中， 最后， 将緩存 ACL 中有相同用户标识的不包含 10标志 位的 ACE合并， 得到改进 ACL, 其中， 改进 ACL用于对文件进行 ACL 鉴权。 通过该方案， 由于本发明由服务器在文件系统内部进行改进， 因此改进 ACL的生成不会影响到客户端的既有流程。 而且， 改进 ACL 中的 ACE只包含有影响文件系统的服务器对文件进行 ACL鉴权的标 志位， 从而对文件进行 ACL 鉴权时， 服务器可以直接获取改进 ACL 进行鉴权， 不需要遍历所有初始 ACL 中所有的 ACE, 提升访问控制 列表 ACL鉴权的效率， 降低系统的整体开销。 实施例三

本发明实施例提供一种服务器 1 , 如图 5所示， 包括：

获取单元 10 , 用于读取初始访问控制列表 ACL 中的访问控制项

ACE , 所述 ACE至少包括用户标识、 以及与所述用户标识对应的成员 变量；

判断单元 11 , 用于判断所述获取单元 10获取到的所述 ACE 中 是否包含有只继承 10标志位；

预存储单元 12, 用于将所述判断单元 11确定的不包含有 10标 志位的 ACE保存至緩存 ACL 中；

处理单元 13, 用于将预存储单元 12 存储的所述緩存 ACL 中包 含有相同用户标识的不包含 10标志位的 ACE合并， 得到改进 ACL, 所述改进 ACL用于对文件进行 ACL鉴权。

进一步地， 所述用户标识包括用户标示符或群组标示符； 所述与各个用户标识对应的成员变量至少包括用户能否访问文 件的类型 Type , 权限 Permi s s i on和标识 F 1 ag；

其中， 所述 Flag 中包括 10标志位、 子文件夹继承 CI标志位和 子文件继承 01标志位中的至少一个。

进一步地， 如图 6所示， 所述服务器还包括存储单元 15, 所述存储单元 15, 用于在所述处理单元 13将所述緩存 ACL 中 有相同用户标识的不包含 10标志位的 ACE合并，得到改进 ACL之后， 将所述改进 ACL 存储至系统的文件中， 所述特定扩展属性为系统内 部根据预设关键字约定设置的。

进一步地， 如图 6所示， 所述服务器还包括统计单元 14, 所述统计单元 14, 用于在所述判断单元 11 判断所述 ACE 中是 否包含有只继承 10标志位之后， 所述预存储单元 12将不包含有 10 标志位的 ACE保存至緩存 ACL 中之前， 统计所述初始 ACL 中包含有 10标志位的 ACE的数量。

进一步地， 所述预存储单元 12, 具体用于若所述统计单元 14 统计所述包含有 10标志位的 ACE的数量大于预设门限值， 则将不包 含有 10标志位的 ACE保存至緩存 ACL 中。

本发明实施例提供一种服务器， 主要包括获取单元、 判断单元、 预存储单元和处理单元。 获取单元读取初始访问控制列表 ACL 中的 访问控制项 ACE, 其中， ACE至少包括用户标识、 以及与用户标识对 应的成员变量， 然后， 判断单元判断 ACE 中是否包含有只继承 10标 志位， 预存储单元将不包含有 10标志位的 ACE保存至緩存 ACL 中， 最后， 处理单元将緩存 ACL 中包含有相同用户标识的不包含 10标志 位的 ACE合并， 得到改进 ACL, 其中， 改进 ACL用于对文件进行 ACL 鉴权。 通过该方案， 由于本发明由服务器在文件系统内部进行改进， 因此改进 ACL的生成不会影响到客户端的既有流程。 而且， 改进 ACL 中的 ACE只包含有影响文件系统的服务器对文件进行 ACL鉴权的标 志位， 从而对文件进行 ACL 鉴权时， 服务器可以直接获取改进 ACL 进行鉴权， 不需要遍历所有初始 ACL 中所有的 ACE, 提升访问控制 列表 ACL鉴权的效率， 降低系统的整体开销。 实施例四

本发明实施例提供一种服务器 2, 如图 7所示， 包括：

处理器 20, 用于读取初始访问控制列表 ACL 中的访问控制项 ACE , 所述 ACE至少包括用户标识、 以及与所述用户标识对应的成员 变量， 以及用于判断所述 ACE 中是否包含有只继承 10标志位， 以及 用于将所述緩存 ACL 中包含有相同用户标识的不包含 10 标志位的 ACE合并， 得到改进 ACL, 所述改进 ACL用于对文件进行 ACL鉴权； 存储器 21, 用于将所述不包含有 10标志位的 ACE保存至緩存 ACL 中。

进一步地， 所述用户标识包括用户标示符或群组标示符； 所述与各个用户标识对应的成员变量至少包括类型 Type、 权限

Permission和标识 Flag;

其中， 所述 Flag 中包括 10标志位、 子文件夹继承 CI标志位和 子文件继承 01标志位中的至少一个。

进一步地， 所述存储器 21, 具体用于若所述计数器 11 统计所 述包含有 10 标志位的 ACE 的数量大于预设门限值， 则将不包含有

10标志位的 ACE保存至緩存 ACL 中。

进一步地， 如图 8所示， 所述服务器还包括计数器，

所述计数器 22, 用于在所述处理器 20判断所述 ACE 中是否包 含有只继承 10标志位之后， 所述存储器 21将不包含有 10标志位的

ACE保存至緩存 ACL 中之前， 统计所述初始 ACL 中包含有 10标志位 的 ACE的数量。

进一步地， 所述存储器 21, 还用于在所述处理器 20 将所述緩 存 ACL 中有相同用户标识的不包含 10标志位的 ACE合并， 得到改进 ACL 之后， 将所述改进 ACL 存储至系统的文件中， 所述特定扩展属 性为系统内部根据预设关键字约定设置的。

本发明实施例提供一种服务器， 主要包括处理器和存储器。 处 理器读取初始访问控制列表 ACL 中的访问控制项 ACE, 其中， ACE至 少包括用户标识、 以及与用户标识对应的成员变量， 然后， 判断 ACE 中是否包含有只继承 10标志位，存储器将不包含有 10标志位的 ACE 保存至緩存 ACL 中， 最后， 处理器将緩存 ACL 中包含有相同用户标 识的不包含 10标志位的 ACE合并， 得到改进 ACL, 其中， 改进 ACL 用于对文件进行 ACL 鉴权。 通过该方案， 由于本发明由服务器在文 件系统内部进行改进， 因此改进 ACL 的生成不会影响到客户端的既 有流程。 而且， 改进 ACL 中的 ACE 只包含有影响文件系统的服务器 对文件进行 ACL鉴权的标志位， 从而对文件进行 ACL鉴权时， 服务 器可以直接获取改进 ACL进行鉴权， 不需要遍历所有初始 ACL 中所 有的 ACE, 提升访问控制列表 ACL 鉴权的效率， 降低系统的整体开 销。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁， 仅以上述各功能模块的划分进行举例说明， 实际应用中， 可以根据 需要而将上述功能分配由不同的功能模块完成， 即将装置的内部结 构划分成不同的功能模块， 以完成以上描述的全部或者部分功能。 上述描述的系统， 装置和单元的具体工作过程， 可以参考前述方法 实施例中的对应过程， 在此不再赘述。

在本申请所提供的几个实施例中， 应该理解到， 所揭露的装置 和方法， 可以通过其它的方式实现。 例如， 以上所描述的装置实施 例仅仅是示意性的， 例如， 所述模块或单元的划分， 仅仅为一种逻 辑功能划分， 实际实现时可以有另外的划分方式， 例如多个单元或 组件可以结合或者可以集成到另一个系统， 或一些特征可以忽略， 或不执行。

以上所述， 仅为本发明的具体实施方式， 但本发明的保护范围 并不局限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技 术范围内， 可轻易想到变化或替换， 都应涵盖在本发明的保护范围 之内。 因此， 本发明的保护范围应以所述权利要求的保护范围为准。

Claims

权 利 要 求 书

1、 一种文件访问权限控制方法， 其特征在于， 包括：

读取初始访问控制列表 ACL 中的访问控制项 ACE , 所述 ACE至少 包括用户标识、 以及与所述用户标识对应的成员变量；

判断所述 ACE 中是否包含有只继承 10标志位；

将不包含有 10标志位的 ACE保存至緩存 ACL中；

将所述緩存 ACL 中包含有相同用户标识的不包含 10 标志位的 ACE合并， 得到改进 ACL, 所述改进 ACL用于对文件进行 ACL鉴权。

2、 根据权利要求 1所述的控制方法， 其特征在于，

所述用户标识包括用户标示符或群组标示符；

所述与所述用户标识对应的成员变量至少包括类型 Type、 权限 Permission和标识 Flag;

其中， 所述 Flag 中包括 10标志位、 子文件夹继承 CI标志位和 子文件继承 01标志位中的至少一个。

3、 根据权利要求 2 所述的控制方法， 其特征在于， 所述方法还 包括：

将所述改进 ACL存储至系统的特定扩展属性中，所述特定扩展属 性为文件系统内部根据预设关键字约定设置的。

4、 根据权利要求 1 至 3 中任意一项所述的文件访问权限控制方 法， 其特征在于， 所述判断所述 ACE 中是否包含有只继承 10标志位 之后， 所述将不包含有 10标志位的 ACE保存至緩存 ACL 中之前， 所 述方法还包括：

统计所述初始 ACL中包含有 10标志位的 ACE的数量。

5、 根据权利要求 4所述的文件访问权限控制方法， 其特征在于， 若所述包含有 10标志位的 ACE的数量大于预设门限值， 则执行 所述将不包含有 10标志位的 ACE保存至緩存 ACL 中。

6、 一种服务器， 其特征在于， 包括：

获取单元，用于读取初始访问控制列表 ACL中的访问控制项 ACE, 所述 ACE至少包括用户标识、 以及与所述用户标识对应的成员变量； 判断单元，用于判断所述获取单元获取到的所述 ACE中是否包含 有只继承 10标志位；

预存储单元， 用于将所述判断单元确定的不包含有 10标志位的 ACE保存至緩存 ACL中；

处理单元，用于将预存储单元存储的所述緩存 ACL 中包含有相同 用户标识的不包含 10标志位的 ACE合并， 得到改进 ACL, 所述改进 ACL用于对文件进行 ACL鉴权。

7、 根据权利要求 6所述的服务器， 其特征在于，

所述用户标识包括用户标示符或群组标示符；

所述与各个用户标识对应的成员变量至少包括类型 Type、 权限 Permission和标识 Flag;

其中， 所述 Flag 中包括 10标志位、 子文件夹继承 CI标志位和 子文件继承 01标志位中的至少一个。

8、 根据权利要求 7 所述的服务器， 其特征在于， 所述服务器还 包括存储单元，

所述存储单元，用于在所述处理单元将所述緩存 ACL中有相同用 户标识的不包含 10标志位的 ACE合并， 得到改进 ACL之后， 将所述 改进 ACL存储至系统的文件中， 所述特定扩展属性为系统内部根据预 设关键字约定设置的。

9、 根据权利要求 6至 8 中任意一项所述的服务器， 其特征在于， 所述服务器还包括统计单元，

所述统计单元，用于在所述判断单元判断所述 ACE 中是否包含有 只继承 10标志位之后， 所述预存储单元将不包含有 10标志位的 ACE 保存至緩存 ACL中之前，统计所述初始 ACL中包含有 10标志位的 ACE 的数量。

10、 根据权利要求 9所述的服务器， 其特征在于，

所述预存储单元， 具体用于若所述统计单元统计所述包含有 10 标志位的 ACE 的数量大于预设门限值， 则执行所述将不包含有 10标 志位的 ACE保存至緩存 ACL中。

11、 一种服务器， 其特点在于， 包括：

处理器， 用于读取初始访问控制列表 ACL 中的访问控制项 ACE, 所述 ACE至少包括用户标识、 以及与所述用户标识对应的成员变量， 以及用于判断所述 ACE 中是否包含有只继承 10标志位， 以及用于将 所述緩存 ACL中包含有相同用户标识的不包含 10标志位的 ACE合并， 得到改进 ACL, 所述改进 ACL用于对文件进行 ACL鉴权；

存储器， 用于将所述不包含有 10标志位的 ACE保存至緩存 ACL 中。

12、 根据权利要求 11所述的服务器， 其特征在于，

所述用户标识包括用户标示符或群组标示符；

所述与各个用户标识对应的成员变量至少包括类型 Type、 权限 Permission和标识 Flag;

其中， 所述 Flag 中包括 10标志位、 子文件夹继承 CI标志位和 子文件继承 01标志位中的至少一个。

13、 根据权利要求 12所述的服务器， 其特征在于，

所述存储器，还用于在所述处理器将所述緩存 ACL 中有相同用户 标识的不包含 10标志位的 ACE合并， 得到改进 ACL之后， 将所述改 进 ACL存储至系统的文件中， 所述特定扩展属性为系统内部根据预设 关键字约定设置的。

14、 根据权利要求 11至 13 中任意一项所述的服务器， 其特征在 于， 所述服务器还包括计数器，

所述计数器，用于在所述处理器判断所述 ACE中是否包含有只继 承 10标志位之后， 所述存储器将不包含有 10标志位的 ACE保存至緩 存 ACL 中之前， 统计所述初始 ACL 中包含有 10标志位的 ACE的数量。

15、 根据权利要求 14所述的服务器， 其特征在于，

所述存储器， 具体用于若所述计数器统计所述包含有 10标志位 的 ACE 的数量大于预设门限值， 则执行所述将不包含有 10标志位的 ACE保存至緩存 ACL中。