專(zhuān)利名稱(chēng)：基于訪(fǎng)問(wèn)控制列表的數(shù)據(jù)資源權(quán)限管理方法
技術(shù)領(lǐng)域：
本發(fā)明涉及數(shù)據(jù)資源權(quán)限管理控制技術(shù)領(lǐng)域，尤其涉及一種基于訪(fǎng)問(wèn)控制列表的 數(shù)據(jù)資源權(quán)限管理方法。
背景技術(shù)：
訪(fǎng)問(wèn)控制列表通常用來(lái)描述一個(gè)文件/目錄的訪(fǎng)問(wèn)控制權(quán)限，是許多操作系統(tǒng)使 用的一種訪(fǎng)問(wèn)控制方法，為操作系統(tǒng)提供多種方式來(lái)控制操作者可以訪(fǎng)問(wèn)的資源，它是操 作系統(tǒng)或分布式系統(tǒng)管理的一種關(guān)鍵性核心組件，是保護(hù)系統(tǒng)中數(shù)據(jù)和資源安全性的重要 方式。訪(fǎng)問(wèn)控制列表最基本的功能包括回復(fù)客戶(hù)端所訪(fǎng)問(wèn)資源的權(quán)限；提供給用戶(hù)一 個(gè)能夠查詢(xún)或操作訪(fǎng)問(wèn)控制權(quán)限的接口 ；管理員可以修改一個(gè)文件或者目錄所對(duì)應(yīng)的用戶(hù) 組的訪(fǎng)問(wèn)控制權(quán)限。為了保證分布式存儲(chǔ)系統(tǒng)自身的安全性，也為用戶(hù)提供了數(shù)據(jù)訪(fǎng)問(wèn)的靈活性，在 分布式文件系統(tǒng)中加入了訪(fǎng)問(wèn)控制列表控制策略。然而，大型分布式存儲(chǔ)系統(tǒng)中的公共資 源數(shù)據(jù)包括幾百萬(wàn)個(gè)以上的文件，如果將每一個(gè)文件都保存一條訪(fǎng)問(wèn)控制列表記錄，將造 成訪(fǎng)問(wèn)控制列表的內(nèi)容臃腫，查詢(xún)效率低下。

發(fā)明內(nèi)容
(一)要解決的技術(shù)問(wèn)題本發(fā)明要解決的技術(shù)問(wèn)題是如何提高大容量數(shù)據(jù)資源，尤其是大型分布式存儲(chǔ)系 統(tǒng)的訪(fǎng)問(wèn)控制列表查詢(xún)效率，由此實(shí)現(xiàn)簡(jiǎn)單、獨(dú)立的數(shù)據(jù)資源權(quán)限管理和控制。( 二 )技術(shù)方案為解決上述技術(shù)問(wèn)題，本發(fā)明的技術(shù)方案提供了一種基于訪(fǎng)問(wèn)控制列表的數(shù)據(jù)資 源權(quán)限管理方法，包括Sl 基于權(quán)限繼承規(guī)則，為數(shù)據(jù)資源的目錄/文件設(shè)置相互關(guān)聯(lián)的訪(fǎng)問(wèn)控制權(quán)限 表和用戶(hù)列表；所述訪(fǎng)問(wèn)控制權(quán)限表包括與所述目錄/文件對(duì)應(yīng)的可訪(fǎng)問(wèn)用戶(hù)組名集合， 以及表征每一所述可訪(fǎng)問(wèn)用戶(hù)組名的訪(fǎng)問(wèn)權(quán)限的權(quán)限值集合；所述用戶(hù)列表包括每一所 述可訪(fǎng)問(wèn)用戶(hù)組名下的用戶(hù)名集合；S2:在待訪(fǎng)問(wèn)目錄/文件的可訪(fǎng)問(wèn)用戶(hù)組名集合、權(quán)限值集合及用戶(hù)名集合中檢 索待訪(fǎng)問(wèn)用戶(hù)名，并接收其返回的權(quán)限值；S3:判斷所述權(quán)限值是否為空，若否，則允許待訪(fǎng)問(wèn)用戶(hù)根據(jù)所述權(quán)限值執(zhí)行相應(yīng) 的訪(fǎng)問(wèn)操作；若是，則執(zhí)行步驟S4 ；S4:以遞歸方式在所述待訪(fǎng)問(wèn)目錄/文件的上級(jí)目錄的可訪(fǎng)問(wèn)用戶(hù)組名集合、權(quán) 限值集合及用戶(hù)名集合中檢索所述待訪(fǎng)問(wèn)用戶(hù)名，并返回步驟S3。優(yōu)選地，步驟Sl中，所述權(quán)限繼承規(guī)則包括新建對(duì)象和/或拷貝對(duì)象時(shí)，將所述 對(duì)象的權(quán)限值設(shè)置為其父目錄的權(quán)限值。
優(yōu)選地，所述步驟Sl通過(guò)分布式關(guān)系數(shù)據(jù)庫(kù)或基于key-value的非關(guān)系數(shù)據(jù)庫(kù)實(shí) 現(xiàn)。優(yōu)選地，步驟Sl中，所述訪(fǎng)問(wèn)權(quán)限包括讀取、寫(xiě)入以及刪除目錄/文件的操作中 的任一或上述操作的任意組合。優(yōu)選地，所述步驟S2還包括；若檢索不到所述待訪(fǎng)問(wèn)用戶(hù)名，則不允許所述待訪(fǎng) 問(wèn)用戶(hù)對(duì)待訪(fǎng)問(wèn)目錄/文件執(zhí)行任何操作。優(yōu)選地，若所述步驟S4中的所述遞歸檢索執(zhí)行至根目錄時(shí)，所述返回的權(quán)限值仍 為空，則不允許所述待訪(fǎng)問(wèn)用戶(hù)對(duì)待訪(fǎng)問(wèn)目錄/文件執(zhí)行任何操作。(三)有益效果相對(duì)于現(xiàn)有的其他的數(shù)據(jù)資源訪(fǎng)問(wèn)控制方法，本發(fā)明所提出的基于訪(fǎng)問(wèn)控制列表 的數(shù)據(jù)資源權(quán)限管理方法具有以下優(yōu)勢(shì)將訪(fǎng)問(wèn)控制列表作為一個(gè)獨(dú)立的模塊來(lái)設(shè)計(jì)，便 于獨(dú)立開(kāi)發(fā)，實(shí)現(xiàn)項(xiàng)目開(kāi)發(fā)的并行性；由于權(quán)限繼承的關(guān)系，訪(fǎng)問(wèn)控制權(quán)限的記錄項(xiàng)很少， 可以大大縮短訪(fǎng)問(wèn)控制權(quán)限表的查詢(xún)時(shí)間，盡可能提高權(quán)限控制服務(wù)的響應(yīng)速度；權(quán)限控 制簡(jiǎn)單、有效、接口清晰。


圖1示出了根據(jù)本發(fā)明的基于訪(fǎng)問(wèn)控制列表的數(shù)據(jù)資源權(quán)限管理方法的流程圖。
具體實(shí)施例方式本發(fā)明提出的基于訪(fǎng)問(wèn)控制列表的數(shù)據(jù)資源權(quán)限管理方法，結(jié)合附圖和實(shí)施例說(shuō) 明如下。對(duì)于包含海量公共資源數(shù)據(jù)的大型分布式存儲(chǔ)系統(tǒng)，為了提高響應(yīng)速度，最有效 的措施是盡可能減少數(shù)據(jù)庫(kù)的記錄條數(shù)，縮短單次查詢(xún)時(shí)間。大型分布式存儲(chǔ)系統(tǒng)中的公 共資源數(shù)據(jù)包括幾百萬(wàn)個(gè)以上的文件，絕大多數(shù)的訪(fǎng)問(wèn)控制列表的值都相同。因此，本發(fā)明 的核心思想在于采用權(quán)限繼承策略，使得新建對(duì)象、拷貝對(duì)象時(shí)都繼承父目錄的權(quán)限值， 由此減少重復(fù)的記錄，盡量縮短查詢(xún)數(shù)據(jù)的時(shí)間。如圖1所示，根據(jù)本發(fā)明的基于訪(fǎng)問(wèn)控制列表的數(shù)據(jù)資源權(quán)限管理方法包括以下 步驟S1-S4。Sl 基于權(quán)限繼承規(guī)則，為數(shù)據(jù)資源的目錄/文件設(shè)置相互關(guān)聯(lián)的訪(fǎng)問(wèn)控制權(quán)限 表和用戶(hù)列表；具體來(lái)說(shuō)，為了保證分布式系統(tǒng)自身的安全性，同時(shí)也為用戶(hù)提供數(shù)據(jù)訪(fǎng)問(wèn)的靈 活性，本發(fā)明的一個(gè)實(shí)施例為分布式系統(tǒng)的文件/目錄設(shè)置三種權(quán)限，如表1所示。表 1
權(quán)限普通文件的存取權(quán)限目錄的存取權(quán)限R具有讀取文件的權(quán)利能讀取(下載)文件W具有寫(xiě)入文件的權(quán)利能建立和刪除文件，可以改變文件名
權(quán)利要求
1.一種基于訪(fǎng)問(wèn)控制列表的數(shù)據(jù)資源權(quán)限管理方法，其特征在于，所述方法包括51基于權(quán)限繼承規(guī)則，為數(shù)據(jù)資源的目錄/文件設(shè)置相互關(guān)聯(lián)的訪(fǎng)問(wèn)控制權(quán)限表和 用戶(hù)列表；所述訪(fǎng)問(wèn)控制權(quán)限表包括與所述目錄/文件對(duì)應(yīng)的可訪(fǎng)問(wèn)用戶(hù)組名集合，以及 表征每一所述可訪(fǎng)問(wèn)用戶(hù)組名的訪(fǎng)問(wèn)權(quán)限的權(quán)限值集合；所述用戶(hù)列表包括每一所述可 訪(fǎng)問(wèn)用戶(hù)組名下的用戶(hù)名集合；52在待訪(fǎng)問(wèn)目錄/文件的可訪(fǎng)問(wèn)用戶(hù)組名集合、權(quán)限值集合及用戶(hù)名集合中檢索待 訪(fǎng)問(wèn)用戶(hù)名，并接收其返回的權(quán)限值；S3:判斷所述權(quán)限值是否為空，若否，則允許待訪(fǎng)問(wèn)用戶(hù)根據(jù)所述權(quán)限值執(zhí)行相應(yīng)的訪(fǎng) 問(wèn)操作；若是，則執(zhí)行步驟S4;S4:以遞歸方式在所述待訪(fǎng)問(wèn)目錄/文件的上級(jí)目錄的可訪(fǎng)問(wèn)用戶(hù)組名集合、權(quán)限值 集合及用戶(hù)名集合中檢索所述待訪(fǎng)問(wèn)用戶(hù)名，并返回步驟S3。
2.如權(quán)利要求1所述的基于訪(fǎng)問(wèn)控制列表的數(shù)據(jù)資源權(quán)限管理方法，其特征在于，步 驟Sl中，所述權(quán)限繼承規(guī)則包括新建對(duì)象和/或拷貝對(duì)象時(shí)，將所述對(duì)象的權(quán)限值設(shè)置為 其父目錄的權(quán)限值。
3.如權(quán)利要求1所述的基于訪(fǎng)問(wèn)控制列表的數(shù)據(jù)資源權(quán)限管理方法，其特征在于，所 述步驟Sl通過(guò)分布式關(guān)系數(shù)據(jù)庫(kù)或基于key-value的非關(guān)系數(shù)據(jù)庫(kù)實(shí)現(xiàn)。
4.如權(quán)利要求1所述的基于訪(fǎng)問(wèn)控制列表的數(shù)據(jù)資源權(quán)限管理方法，其特征在于，步 驟Sl中，所述訪(fǎng)問(wèn)權(quán)限包括讀取、寫(xiě)入以及刪除目錄/文件的操作中的任一或上述操作的 任意組合。
5.如權(quán)利要求1所述的基于訪(fǎng)問(wèn)控制列表的數(shù)據(jù)資源權(quán)限管理方法，其特征在于，所 述步驟S2還包括；若檢索不到所述待訪(fǎng)問(wèn)用戶(hù)名，則不允許所述待訪(fǎng)問(wèn)用戶(hù)對(duì)待訪(fǎng)問(wèn)目錄 /文件執(zhí)行任何操作。
6.如權(quán)利要求1所述的基于訪(fǎng)問(wèn)控制列表的數(shù)據(jù)資源權(quán)限管理方法，其特征在于，若 所述步驟S4中的所述遞歸檢索執(zhí)行至根目錄時(shí)，所述返回的權(quán)限值仍為空，則不允許所述 待訪(fǎng)問(wèn)用戶(hù)對(duì)待訪(fǎng)問(wèn)目錄/文件執(zhí)行任何操作。
全文摘要
本發(fā)明提供了一種基于訪(fǎng)問(wèn)控制列表的數(shù)據(jù)資源權(quán)限管理方法，包括S1基于權(quán)限繼承規(guī)則，為數(shù)據(jù)資源的目錄/文件設(shè)置相互關(guān)聯(lián)的訪(fǎng)問(wèn)控制權(quán)限表和用戶(hù)列表；S2在待訪(fǎng)問(wèn)目錄/文件的可訪(fǎng)問(wèn)用戶(hù)組名集合、權(quán)限值集合及用戶(hù)名集合中檢索待訪(fǎng)問(wèn)用戶(hù)名，并接收其返回的權(quán)限值；S3判斷所述權(quán)限值是否為空，若否，則執(zhí)行S4允許待訪(fǎng)問(wèn)用戶(hù)根據(jù)所述權(quán)限值執(zhí)行相應(yīng)的訪(fǎng)問(wèn)操作；若是，則以遞歸方式檢索所述待訪(fǎng)問(wèn)用戶(hù)名，并返回步驟S3。該方法能夠提高大容量數(shù)據(jù)資源的訪(fǎng)問(wèn)權(quán)限查詢(xún)效率，實(shí)現(xiàn)簡(jiǎn)單、獨(dú)立的數(shù)據(jù)資源權(quán)限管理和控制。
文檔編號(hào)G06F21/22GK102129539SQ20111005990
公開(kāi)日2011年7月20日 申請(qǐng)日期2011年3月11日 優(yōu)先權(quán)日2011年3月11日
發(fā)明者楊廣文, 許春聰, 黃小猛 申請(qǐng)人:清華大學(xué)