本发明专利技术提供一种文件系统访问权限的控制系统及方法,包括用户部门管理模块、联系人管理模块、权限配置模块和权限判断模块;所述用户部门管理模块用于对作为文件系统访问者的用户、用户所属部门进行管理;所述联系人管理模块用于对文件系统中同一访问对象具有相同访问权限的属于不同部门的用户所组成的联系人组进行管理;所述权限配置模块用于配置用户、用户所属部门以及联系人组对文件系统中访问对象的访问权限,生成权限配置信息;所述权限判断模块用于根据权限配置信息,判断访问者对文件系统的访问操作是否合法。本发明专利技术的文件系统访问权限的控制系统及方法,能够实现文件系统权限的快速配置、快速计算。
【技术实现步骤摘要】
本专利技术涉及文件系统的权限管理的
,特别是涉及一种文件系统访问权限的控制系统及方法。
技术介绍
随着信息化建设的迅猛发展,企事业及政府单位大都建立有庞大的文档管理系统。对于不同的文档,需要根据不同的用户级别而设定不同的访问权限,以保证文档内容的安全性,避免文档内容的外泄。这就涉及到了文件系统的访问控制问题。访问控制是指控制对一台计算机或一个网络中的某个资源的访问。没有它,所有人都可以访问任何资源。有了访问控制,用户在获取实际访问资源或进行操作之前,必须通过识别、验证和授权。换言之,访问控制控制着一个主体可以访问哪些对象。主体和对象是访问控制模型和技术中的两个重要术语。主体是指可以授予或拒绝访问某个对象的人或事物,如用户,程序,系统进程。对象可以是文件、打印机、程序、系统进程等。现有技术中,大部分访问系统采用了自主访问控制(DiscretionaryAccessControl,DAC)模型。在DAC访问控制模型中,主体对它所属的对象和运行的程序拥有全部的控制权。例如,Alice拥有一个叫mywork.doc的文件,其许可Bob和Salesgroup的成员来读这个文件,除此之外别的人都不可以。具体地,在针对Windows的NTFS文件系统中文件夹进行权限配置时,NTFS权限配置模块会遍历所有的子对象,把权限配置到每一个子对象上,如果子对象数目较多,这会占用非常多的时间。在针对Linux的Ext3文件系统配置权限时,也存在这个问题。因此,DAC访问控制模型存在权限配置速度较慢、粒度比较大、配置不够灵活等不足,故不能满足用户的各种需求。
技术实现思路
鉴于以上所述现有技术的缺点,本专利技术的目的在于提供一种文件系统访问权限的控制系统及方法,能够实现文件系统权限的快速配置、快速计算,以及权限和文件系统之间对象的同步。为实现上述目的及其他相关目的,本专利技术提供一种文件系统访问权限的控制系统,包括用户部门管理模块、联系人管理模块、权限配置模块和权限判断模块;所述用户部门管理模块用于对作为文件系统访问者的用户、用户所属部门进行管理;所述联系人管理模块用于对文件系统中同一访问对象具有相同访问权限的属于不同部门的用户所组成的联系人组进行管理;所述权限配置模块用于配置用户、用户所属部门以及联系人组对文件系统中访问对象的访问权限,生成权限配置信息;所述权限判断模块用于根据权限配置信息,判断访问者对文件系统的访问操作是否合法。于本专利技术一实施例中,所述访问权限包括显示权限、预览权限、下载权限、复制权限、新建权限、修改权限和删除权限中的一种或组合。于本专利技术一实施例中,所述权限配置模块中,所述权限配置信息包括访问者、访问对象、访问权限、允许或者拒绝。于本专利技术一实施例中,所述权限判断模块判断访问者对文件系统的访问操作是否合法包括以下步骤:获取访问对象的权限配置信息列表;获取作为访问者的用户所属的部门、联系人组信息;在访问对象的权限配置信息列表中,获取包含用户、用户所属部门及联系人组的权限配置信息;根据包含用户、用户所属部门及联系人组的权限配置信息,判断用户对文件系统的访问操作是否合法。于本专利技术一实施例中,所述权限判断模块判断访问者对文件系统的访问操作是否合法时,遵循以下原则中的一个或多个:若用户和用户所属部门对同一访问对象的特定访问权限不一致,则采用拒绝优于允许原则;属于不同部门的同一用户对访问对象的访问权限为各个部门对该访问对象的访问权限的累加;文件夹中的每个访问对象继承文件夹的所有访问权限;用户继承所属部门、所属联系人组的所有访问权限。同时,本专利技术还提供一种文件系统访问权限的控制方法,包括设置用户部门管理模块,对作为文件系统访问者的用户、用户所属部门进行管理;设置联系人管理模块,对文件系统中同一访问对象具有相同访问权限的属于不同部门的用户所组成的联系人组进行管理;配置用户、用户所属部门以及联系人组对文件系统中访问对象的访问权限,生成权限配置信息;根据权限配置信息,判断访问者对文件系统的访问操作是否合法。于本专利技术一实施例中,判断访问者对文件系统的访问操作是否合法时,若用户和用户所属部门对同一访问对象的特定访问权限不一致,则采用拒绝优于允许原则。于本专利技术一实施例中,判断访问者对文件系统的访问操作是否合法时,属于不同部门的同一用户对访问对象的访问权限为各个部门对该访问对象的访问权限的累加。于本专利技术一实施例中,判断访问者对文件系统的访问操作是否合法时,文件夹中的每个访问对象继承文件夹的所有访问权限;用户继承所属部门、所属联系人组的所有访问权限。于本专利技术一实施例中,只有在给某个访问对象配置了访问权限后,该访问对象才能被访问;未配置任何访问权限的访问对象是无法访问的。如上所述,本专利技术的文件系统访问权限的控制系统及方法,具有以下有益效果:(1)针对文件数量较多的文件夹进行权限配置时,能够保持较快的速度;(2)文档的所有者通过新建联系人组,能够灵活地配置权限;(3)对文档的控制可以做到细粒度的权限控制。附图说明图1显示为本专利技术的文件系统访问权限的控制系统的结构示意图;图2显示为本专利技术的文件系统访问权限的控制系统的一实施例的结构示意图;图3显示为本专利技术的文件系统访问权限的控制方法的流程图。元件标号说明1用户部门管理模块2联系人管理模块3权限配置模块4权限判断模块具体实施方式以下通过特定的具体实例说明本专利技术的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本专利技术的其他优点与功效。本专利技术还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本专利技术的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。需要说明的是,以下实施例中所提供的图示仅以示意方式说明本专利技术的基本构想,遂图式中仅显示与本专利技术中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。参照图1,本专利技术的文件系统访问权限的控制系统包括用户部门管理模块1、联系人管理模块2、权限配置模块3和权限判断模块4。用户部门管理模块1用于对作为文件系统访问者的用户、用户所属部门进行管理。具体地,用户部门管理模块包括以下功能:(1)创建用户、部门具体地,创建可以访问文件系统的用户、部门。其中,部门又可以分为若个等级。例如,用户属于一级部门,一级部门为二级部门的下属部门,则用户也属于二级部门。那么,针对一级部门以及二级部门的权限设置均影响用户的权限范围。(2)编辑用户所属部门具体地,修改用户所属的部门。(3)删除用户、部门具体地,删除可以访问文件系统的用户、部门。联系人管理模块2用于对文件系统中同一访问对象具有相同访问权限的属于不同部门的用户所组成的联系人组进行管理。其中,访问对象可以是文件系统中的文件或文件夹。进行文件系统的权限配置时,若属于不同部门的多个用户同时对同一访问对象具有相同访问权限,则该多个用户可组成一个联系人组。通过该联系人组进行权限设置来实现对属于不同部门的多个用户的统一的访问权限设置。具体地,联系人管理模块包括以下功能:(1)新建联系人组具体地,建立联系人组,该联系人组中包括对于同一访问对象本文档来自技高网...
【技术保护点】
一种文件系统访问权限的控制系统,其特征在于:包括用户部门管理模块、联系人管理模块、权限配置模块和权限判断模块;所述用户部门管理模块用于对作为文件系统访问者的用户、用户所属部门进行管理;所述联系人管理模块用于对文件系统中同一访问对象具有相同访问权限的属于不同部门的用户所组成的联系人组进行管理;所述权限配置模块用于配置用户、用户所属部门以及联系人组对文件系统中访问对象的访问权限,生成权限配置信息;所述权限判断模块用于根据权限配置信息,判断访问者对文件系统的访问操作是否合法。
【技术特征摘要】
1.一种文件系统访问权限的控制系统,其特征在于:包括用户部门管理模块、联系人管理模块、权限配置模块和权限判断模块;所述用户部门管理模块用于对作为文件系统访问者的用户、用户所属部门进行管理;所述联系人管理模块用于对文件系统中同一访问对象具有相同访问权限的属于不同部门的用户所组成的联系人组进行管理;所述权限配置模块用于配置用户、用户所属部门以及联系人组对文件系统中访问对象的访问权限,生成权限配置信息;所述权限判断模块用于根据权限配置信息,判断访问者对文件系统的访问操作是否合法。2.根据权利要求1所述的文件系统访问权限的控制系统,其特征在于:所述访问权限包括显示权限、预览权限、下载权限、复制权限、新建权限、修改权限和删除权限中的一种或组合。3.根据权利要求1所述的文件系统访问权限的控制系统,其特征在于:所述权限配置模块中,所述权限配置信息包括访问者、访问对象、访问权限、允许或者拒绝。4.根据权利要求1所述的文件系统访问权限的控制系统,其特征在于:所述权限判断模块判断访问者对文件系统的访问操作是否合法包括以下步骤:获取访问对象的权限配置信息列表;获取作为访问者的用户所属的部门、联系人组信息;在访问对象的权限配置信息列表中,获取包含用户、用户所属部门及联系人组的权限配置信息;根据包含用户、用户所属部门及联系人组的权限配置信息,判断用户对文件系统的访问操作是否合法。5.根据权利要求1所述的文件系统访问权限的控制系统,其特征在于:所述权限判断模块判断访问者对文件系统的访问操作是否合法时,遵循以下原则中的一个或多个:若用户和用户所属部门对同...
【专利技术属性】
技术研发人员:邹勇波,
申请(专利权)人:上海爱数信息技术股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。