專利名稱:基于訪問控制列表的數(shù)據(jù)資源權限管理方法
技術領域:
本發(fā)明涉及數(shù)據(jù)資源權限管理控制技術領域�����,尤其涉及一種基于訪問控制列表的 數(shù)據(jù)資源權限管理方法��。
背景技術:
訪問控制列表通常用來描述一個文件/目錄的訪問控制權限����,是許多操作系統(tǒng)使 用的一種訪問控制方法,為操作系統(tǒng)提供多種方式來控制操作者可以訪問的資源����,它是操 作系統(tǒng)或分布式系統(tǒng)管理的一種關鍵性核心組件,是保護系統(tǒng)中數(shù)據(jù)和資源安全性的重要 方式���。訪問控制列表最基本的功能包括回復客戶端所訪問資源的權限���;提供給用戶一 個能夠查詢或操作訪問控制權限的接口 �����;管理員可以修改一個文件或者目錄所對應的用戶 組的訪問控制權限��。為了保證分布式存儲系統(tǒng)自身的安全性���,也為用戶提供了數(shù)據(jù)訪問的靈活性,在 分布式文件系統(tǒng)中加入了訪問控制列表控制策略�����。然而�,大型分布式存儲系統(tǒng)中的公共資 源數(shù)據(jù)包括幾百萬個以上的文件,如果將每一個文件都保存一條訪問控制列表記錄���,將造 成訪問控制列表的內容臃腫����,查詢效率低下�����。
發(fā)明內容
(一)要解決的技術問題本發(fā)明要解決的技術問題是如何提高大容量數(shù)據(jù)資源,尤其是大型分布式存儲系 統(tǒng)的訪問控制列表查詢效率��,由此實現(xiàn)簡單���、獨立的數(shù)據(jù)資源權限管理和控制。( 二 )技術方案為解決上述技術問題��,本發(fā)明的技術方案提供了一種基于訪問控制列表的數(shù)據(jù)資 源權限管理方法�,包括Sl 基于權限繼承規(guī)則,為數(shù)據(jù)資源的目錄/文件設置相互關聯(lián)的訪問控制權限 表和用戶列表����;所述訪問控制權限表包括與所述目錄/文件對應的可訪問用戶組名集合, 以及表征每一所述可訪問用戶組名的訪問權限的權限值集合��;所述用戶列表包括每一所 述可訪問用戶組名下的用戶名集合����;S2:在待訪問目錄/文件的可訪問用戶組名集合、權限值集合及用戶名集合中檢 索待訪問用戶名���,并接收其返回的權限值�;S3:判斷所述權限值是否為空,若否�,則允許待訪問用戶根據(jù)所述權限值執(zhí)行相應 的訪問操作;若是���,則執(zhí)行步驟S4 ��;S4:以遞歸方式在所述待訪問目錄/文件的上級目錄的可訪問用戶組名集合����、權 限值集合及用戶名集合中檢索所述待訪問用戶名�,并返回步驟S3。優(yōu)選地���,步驟Sl中�����,所述權限繼承規(guī)則包括新建對象和/或拷貝對象時��,將所述 對象的權限值設置為其父目錄的權限值����。
優(yōu)選地��,所述步驟Sl通過分布式關系數(shù)據(jù)庫或基于key-value的非關系數(shù)據(jù)庫實 現(xiàn)。優(yōu)選地�,步驟Sl中,所述訪問權限包括讀取�、寫入以及刪除目錄/文件的操作中 的任一或上述操作的任意組合。優(yōu)選地��,所述步驟S2還包括���;若檢索不到所述待訪問用戶名���,則不允許所述待訪 問用戶對待訪問目錄/文件執(zhí)行任何操作��。優(yōu)選地���,若所述步驟S4中的所述遞歸檢索執(zhí)行至根目錄時�,所述返回的權限值仍 為空�����,則不允許所述待訪問用戶對待訪問目錄/文件執(zhí)行任何操作�����。(三)有益效果相對于現(xiàn)有的其他的數(shù)據(jù)資源訪問控制方法,本發(fā)明所提出的基于訪問控制列表 的數(shù)據(jù)資源權限管理方法具有以下優(yōu)勢將訪問控制列表作為一個獨立的模塊來設計��,便 于獨立開發(fā)�,實現(xiàn)項目開發(fā)的并行性;由于權限繼承的關系�,訪問控制權限的記錄項很少, 可以大大縮短訪問控制權限表的查詢時間����,盡可能提高權限控制服務的響應速度;權限控 制簡單�����、有效�、接口清晰。
圖1示出了根據(jù)本發(fā)明的基于訪問控制列表的數(shù)據(jù)資源權限管理方法的流程圖�����。
具體實施例方式本發(fā)明提出的基于訪問控制列表的數(shù)據(jù)資源權限管理方法��,結合附圖和實施例說 明如下��。對于包含海量公共資源數(shù)據(jù)的大型分布式存儲系統(tǒng)���,為了提高響應速度����,最有效 的措施是盡可能減少數(shù)據(jù)庫的記錄條數(shù),縮短單次查詢時間�。大型分布式存儲系統(tǒng)中的公 共資源數(shù)據(jù)包括幾百萬個以上的文件,絕大多數(shù)的訪問控制列表的值都相同����。因此,本發(fā)明 的核心思想在于采用權限繼承策略�,使得新建對象、拷貝對象時都繼承父目錄的權限值���, 由此減少重復的記錄,盡量縮短查詢數(shù)據(jù)的時間�。如圖1所示,根據(jù)本發(fā)明的基于訪問控制列表的數(shù)據(jù)資源權限管理方法包括以下 步驟S1-S4����。Sl 基于權限繼承規(guī)則,為數(shù)據(jù)資源的目錄/文件設置相互關聯(lián)的訪問控制權限 表和用戶列表�����;具體來說,為了保證分布式系統(tǒng)自身的安全性����,同時也為用戶提供數(shù)據(jù)訪問的靈 活性,本發(fā)明的一個實施例為分布式系統(tǒng)的文件/目錄設置三種權限�,如表1所示。表 1
權限普通文件的存取權限目錄的存取權限R具有讀取文件的權利能讀取(下載)文件W具有寫入文件的權利能建立和刪除文件����,可以改變文件名
權利要求
1.一種基于訪問控制列表的數(shù)據(jù)資源權限管理方法,其特征在于�����,所述方法包括51基于權限繼承規(guī)則�,為數(shù)據(jù)資源的目錄/文件設置相互關聯(lián)的訪問控制權限表和 用戶列表;所述訪問控制權限表包括與所述目錄/文件對應的可訪問用戶組名集合��,以及 表征每一所述可訪問用戶組名的訪問權限的權限值集合����;所述用戶列表包括每一所述可 訪問用戶組名下的用戶名集合;52在待訪問目錄/文件的可訪問用戶組名集合��、權限值集合及用戶名集合中檢索待 訪問用戶名����,并接收其返回的權限值�;S3:判斷所述權限值是否為空����,若否,則允許待訪問用戶根據(jù)所述權限值執(zhí)行相應的訪 問操作��;若是�,則執(zhí)行步驟S4;S4:以遞歸方式在所述待訪問目錄/文件的上級目錄的可訪問用戶組名集合、權限值 集合及用戶名集合中檢索所述待訪問用戶名�,并返回步驟S3。
2.如權利要求1所述的基于訪問控制列表的數(shù)據(jù)資源權限管理方法�,其特征在于,步 驟Sl中����,所述權限繼承規(guī)則包括新建對象和/或拷貝對象時,將所述對象的權限值設置為 其父目錄的權限值��。
3.如權利要求1所述的基于訪問控制列表的數(shù)據(jù)資源權限管理方法�����,其特征在于����,所 述步驟Sl通過分布式關系數(shù)據(jù)庫或基于key-value的非關系數(shù)據(jù)庫實現(xiàn)。
4.如權利要求1所述的基于訪問控制列表的數(shù)據(jù)資源權限管理方法�����,其特征在于�����,步 驟Sl中�����,所述訪問權限包括讀取�、寫入以及刪除目錄/文件的操作中的任一或上述操作的 任意組合。
5.如權利要求1所述的基于訪問控制列表的數(shù)據(jù)資源權限管理方法���,其特征在于�,所 述步驟S2還包括���;若檢索不到所述待訪問用戶名����,則不允許所述待訪問用戶對待訪問目錄 /文件執(zhí)行任何操作。
6.如權利要求1所述的基于訪問控制列表的數(shù)據(jù)資源權限管理方法��,其特征在于�����,若 所述步驟S4中的所述遞歸檢索執(zhí)行至根目錄時����,所述返回的權限值仍為空,則不允許所述 待訪問用戶對待訪問目錄/文件執(zhí)行任何操作�����。
全文摘要
本發(fā)明提供了一種基于訪問控制列表的數(shù)據(jù)資源權限管理方法�,包括S1基于權限繼承規(guī)則,為數(shù)據(jù)資源的目錄/文件設置相互關聯(lián)的訪問控制權限表和用戶列表��;S2在待訪問目錄/文件的可訪問用戶組名集合��、權限值集合及用戶名集合中檢索待訪問用戶名�����,并接收其返回的權限值�����;S3判斷所述權限值是否為空�����,若否���,則執(zhí)行S4允許待訪問用戶根據(jù)所述權限值執(zhí)行相應的訪問操作�;若是�����,則以遞歸方式檢索所述待訪問用戶名����,并返回步驟S3。該方法能夠提高大容量數(shù)據(jù)資源的訪問權限查詢效率�,實現(xiàn)簡單、獨立的數(shù)據(jù)資源權限管理和控制����。
文檔編號G06F21/22GK102129539SQ20111005990
公開日2011年7月20日 申請日期2011年3月11日 優(yōu)先權日2011年3月11日
發(fā)明者楊廣文, 許春聰, 黃小猛 申請人:清華大學