在账户管理表(101)中,关联并记录在节点(100、200)处创建的账户的账户ID和账户名称。响应于包括访问控制条目要被改变的账户的账户名称和改变的内容的访问控制列表改变请求,访问控制列表改变单元(102)从账户关联表(101)中检索关联于账户名称而记录的账户ID,并且在要被改变的访问控制列表的账户控制条目中,根据改变的内容而改变访问控制条目,在所述访问控制条目中记录所检索到的账户ID。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及诸如其中节点单独管理用户账户的工作组的网络系统、网络系统的节点、用于网络系统的访问控制列表改变方法以及程序。
技术介绍
网络系统主要被归类为包括域控制器的那些和不包括任何域控制器的那些。包括大量节点的大网络系统通常包括多个域,每个域包括域控制器,其统一管理用户账户。包括域控制器使得能够有效率和安全的管理以及操作大网络系统。与上面相对照,诸如包括小量节点的工作组的小网络系统通常不包括任何域控制器,且各个节点管理用户账户。换句话说,在不包括任何域控制器的网络系统(也被称为单独管理网络系统)中,每个用户需要在用户想要访问的每个节点创建他/她自己的账户(例如,参见PTL l)o更具体地,在不包括任何域控制器的网络系统中,每个用户需要输入包括账户名称和密码的账户创建请求到用户想要访问的每个节点并且需要在每个节点中预先存储包括账户名称、账户ID和密码的账户信息。上述的账户名称例如是要由用户使用来识别账户的字符串。上述的账户ID是要由节点来使用来唯一地识别账户的标识符,其由节点自身生成。账户ID也被称为安全标识符(SID)。即使在包括相同账户名称和密码的账户创建请求被输入到多个各自节点时,在各自节点生成的账户ID也不必相同,因为节点单独生成账户IDo如上所述登记的账户信息用于认证。当从用户使用的节点接收到包括账户名称和密码的认证请求时,节点比较所登记的账户信息与从终端单元接收到的信息,并且当匹配成功时允许对节点自身的访问。为了增加安全性,一些网络系统使用访问控制列表(ACL)对诸如文件或文件夹的对象执行访问控制(例如参见PTL 2)。特定对象的访问控制列表包括访问控制条目(ACE),在其每个中记录允许访问对象的账户的账户ID和访问权限。当具有特定账户ID (例如IDX)的账户发布请求以访问对象且对象的访问控制列表不包括任何包括账户ID “IDX”的访问控制条目时,访问被拒绝。当访问控制列表包括诸如访问请求条目时,基于与账户ID“IDX”相关联地记录的访问权限和访问请求的内容,来进一步进行关于是否允许访问的判断。引用列表日本未审专利申请公开N0.2006-85697PCT国际申请公开的日文翻译N0.2011-526387
技术实现思路
如上所述,在单独管理网络系统中,其不包括任何域控制器,节点单独地生成账户ID来识别账户。在使用访问控制列表的访问控制中,基于账户ID来识别访问请求源的账户。考虑到这些,使用访问控制列表执行访问控制的单独管理网络系统具有问题,为了以相同账户名称改变可从多个节点访问的对象的访问控制列表,需要复杂的改变操作。这个问题如下通过使用图16的网络系统作为示例来描述。图16中的网络系统包括多个节点NI到N3以及由节点NI和N2共享的共享存储STo通过使用账户名称“XYZ”,共享存储ST存储可从节点NI和节点N2访问的文件F。文件F包括访问控制列表ACL和文件主体HL访问控制列表ACL包括访问控制条目ACEl和访问控制条目ACE2,在ACEl中记录由节点NI自身在节点NI处创建账户名称“XYZ”的账户时生成的账户ID “IDN1”和访问权限“全(ALL)”,在ACE2中记录由节点N2自身在节点N2处创建相同账户名称“XYZ”的账户时生成的账户ID “IDN2”和访问权限“全”。节点NI的账户信息存储单元SA存储当从节点N3接收到包括账户名称“XYZ”和密码“P”的账户创建请求时生成的账户信息。该账户信息包括在账户创建请求中包括的账户名称“XYZ”和密码“P”以及由节点NI自身生成的账户ID “IDN1”。节点N2的账户信息存储单元SB存储当从节点N3接收到包括账户名称“XYZ”和密码“P”的账户创建请求时生成的账户信息。该账户信息包括在账户创建请求中包括的账户名称“XYZ”和密码“P”以及由节点N2自身生成的账户ID “IDN2”。为了通过使用账户名称“XYZ”从节点NI访问文件F,节点N3的用户U从节点N3向节点NI发射访问请求,包括例如账户名称“XYZ”和访问内容。响应于访问请求,节点NI从账户信息存储单元SA中检索关联于账户名称“XYZ”而记录的账户ID“IDN1”。这里检索账户ID “IDN1”的原因是因为可访问对象(本例中是文件F)的账户(用户)在访问控制列表ACL中是使用账户ID来管理的。在检索之后,节点NI检查其中记录账户ID “IDN1”的访问控制条目是否包括在文件F的访问控制列表ACL中。在这个示例中,由于其中记录账户ID “IDN1”的访问控制条目ACEl被包括,节点NI基于记录在访问控制条目ACEl中的访问权限和访问请求中的访问内容来确定是否允许访问到文件F。在这个示例中,由于访问控制条目ACEl中记录的访问权限是“全”,节点NI允许用户U访问文件F。为了通过使用账户名称“XYX”从节点N2访问文件F,节点N3的用户从节点N3向节点N2发射接入请求,包括例如账户名称“XYZ”和接入内容。一旦接收到请求,节点N2执行与由节点NI所执行的相同处理,并且允许对文件F的访问。接下来,描述为了改变文件F的访问控制列表ACL而要执行的操作。首先,节点N3的用户U从节点N3向节点NI发射访问控制列表改变请求,该访问控制列表改变请求包括关于访问控制列表要被改变的对象(在本示例中是文件F)的识别信息、访问控制列表要被改变的账户的账户名称(例如“XYZ” )以及改变内容(例如,改变访问权限为“写入(WRITE) ”)。响应于请求,节点NI从账户信息存储单元SA中检索关联于账户名称“XYZ”而记录的账户ID “IDN1”。此后,节点NI改变其中记录了检索到的账户ID “IDN1”的访问控制条目ACEl中的访问权限,从“全”到“写入”。在此状态下,在用户U使用账户名称“XYZ”从节点NI访问文件F时和在使用相同账户名称“XYZ”从节点N2访问文件F时的访问权限不同。为了解决这个情况,用户U向节点N2发射访问控制列表改变请求,其具有与上述访问控制列表改变请求相同的内容。响应于该请求,在节点N2执行与上述相同的处理,且访问控制条目ACE2中的访问权限从“全”改变为“写入”。如上所述,访问控制列表改变请求需要被发射到节点NI和节点N2 二者以便访问权限在从节点NI访问的情况和从节点N2访问的情况都相同。这要求复杂操作来改变访问控制列表。在图16中的情况下,网络系统包括两个节点,即节点NI和N2,其可使用相同账户名称“XYZ”访问文件F,并且因此发射访问控制列表改变请求的次数是二。但是,当N个节点被包括作为可使用相同账户名称“XYZ”访问文件F的节点,访问控制列表改变请求需要被发射N次。考虑到以上,本专利技术目标在于提供一种网络系统,在网络系统不包括任何域控制器的情况下,其解决需要复杂改变操作来改变可使用相同账户名称从多个节点访问的对象的访问控制列表的问题。根据本专利技术的示例方面的一种网络系统包括:第一节点;第二节点;以及由所述第一节点和所述第二节点所共享的每个对象的访问控制列表,所述访问控制列表包括访问控制条目,其中记录被允许访问所述对象的账户的账户ID和访问权限,其中,所述第一节点包括:账户关联表,其中彼此关联地记录在所述节点自身处创建的账户的账户名称和账户ID以及其中彼此关联地本文档来自技高网...
【技术保护点】
一种网络系统,包括:第一节点;第二节点;以及由所述第一节点和所述第二节点所共享的每个对象的访问控制列表,所述访问控制列表包括访问控制条目,在所述访问控制条目中记录被允许访问所述对象的账户的账户ID和访问权限,其中,所述第一节点包括:账户关联表,在所述账户关联表中彼此关联地记录在所述节点自身处创建的账户的账户名称和账户ID,并且在账户关联表中彼此关联地记录在所述第二节点处创建的账户的账户名称和账户ID,以及访问控制列表改变单元,所述访问控制列表改变单元响应于访问控制列表改变请求来从所述账户关联表中检索与所述访问控制列表改变请求中的所述账户名称相关联地记录的账户ID,所述访问控制列表改变请求包括关于访问控制列表的要被改变的对象的识别信息、访问控制条目要被改变的账户的账户名称和改变内容,并且所述访问控制列表改变单元根据所述改变内容来改变访问控制条目,在所述访问控制条目中记录所检索到的账户ID并且所述访问控制条目被包括在由所述识别信息所指示的对象的所述访问控制列表中。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:萱场靖二郎,
申请(专利权)人:日本电气株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。