本发明专利技术提供了在云存储系统中进行权限控制的方法和装置。所述方法包括:接收对文件块的访问请求,其中所述文件块嵌入有至少包括文件块权限信息的标签数据;读取文件块;从所述标签数据中提取所述文件块权限信息;判断所述访问请求是否匹配所述文件块权限信息;以及在所述访问请求匹配所述文件块权限信息的情况下,执行所述访问请求。根据本发明专利技术的技术方案,可以在云存储系统中进行有效地权限控制。
【技术实现步骤摘要】
本专利技术涉及云存储领域。更具体地说,涉及在云存储系统中进行权限控制的方法和装置。
技术介绍
一个安全的多用户存储系统需要实施权限控制,使得用户只能访问其有权限访问的文件。这里的访问是一个广义的概念,包括对文件进行的诸如读、写、复制、删除等的任何操作。在传统的多用户存储系统中,文件系统维护权限信息,以便记录用户或用户组可以访问哪些文件,或者文件可以被哪些用户或用户组访问。所述权限信息通常以访问控制列表的形式保存在所述存储系统中,访问控制列表包括用户ID——文件ID——访问权限的三元组。在某用户试图对某文件进行访问时,文件系统根据用户ID和文件ID查找所述访问控制列表,得到对应的权限,从而判断该用户是否有权限对该文件进行该访问操作。除了上述的在线权限控制之外,还可以进行离线的权限控制。用户对文件的任何访问都会被记录在访问日志中,离线的权限控制即通过查看访问日志确定是否曾经发生过违反访问权限的访问。与传统的多用户存储系统将一个文件存储在一个物理存储节点上不同,云存储系统将文件分割为若干个文件块,这些文件块可能被存储在构成云存储系统的不同的物理存储节点上。云存储系统的管理节点,例如命名节点(namenode),记录一个文件被分割成了多少个文件块以及这些文件块的存储位置。这些信息称为映射信息。云存储系统的管理员一般可以读取所述映射信息。对于云存储的用户而言,文件块的存储位置是被屏蔽的,即云存储的用户只知道将文件存储在了云存储系统中。当用户需要访问文件时,云存储系统的管理节点根据记录,从构成文件的文件块的存储位置读取这些文件块提供给用户。如果用户需要访问的是整个文件,那么云存储系统的管理节点将这些文件块合并成文件后提供给用户;如果用户需要访问的是文件的一部分,那么云存储管理系统可以只读取对应于所述一部分的文件块提供给用户。由此可见,云存储系统不同于以往的传统存储系统。因此,需要一种针对云存储系统的特点而进行权限控制的解决方案。
技术实现思路
有鉴于此,本专利技术实施例提供了在云存储系统中进行权限控制的方法和装置。本专利技术实施例提供了一种对文件块访问进行权限控制的方法,包括接收对文件块的访问请求,其中所述文件块嵌入有至少包括文件块权限信息的标签数据;读取文件块; 从所述标签数据中提取所述文件块权限信息;判断所述访问请求是否匹配所述文件块权限信息;以及在所述访问请求匹配所述文件块权限信息的情况下,执行所述访问请求。本专利技术实施例提供了一种对文件块访问进行权限控制的装置,包括接收模块,配置为接收对文件块的访问请求,其中所述文件块嵌入有至少包括文件块权限信息的标签数据;读取模块,配置为读取文件块;提取模块,配置为从所述标签数据中提取所述文件块权限信息;判断模块,配置为判断所述访问请求是否匹配所述文件块权限信息;以及执行模块,配置为在所述访问请求匹配所述文件块权限信息的情况下,执行所述访问请求。按照根据本专利技术实施例的技术方案,由于所述文件块本身带有文件块权限信息, 因此可以对诸如备份操作的文件块操作进行权限控制,解决了传统的权限控制方法无法对于备份操作这种访问类型进行权限控制的问题。此外,本专利技术实施例进一步提出了具体的嵌入所述文件块权限信息的方法,使得该技术方案在实现时具有更好的性能。附图说明图1是根据本专利技术实施例的在生成文件块时的方法。图2示出用户修改前后文件块的变化。图3是根据本专利技术实施例的在用户修改后的处理流程。图4示出用户修改前后文件块的变化。图5是根据本专利技术实施例的在访问文件块时的方法。图6是根据本专利技术实施例的对文件块访问进行权限控制的装置。具体实施例方式下面参照附图来说明本专利技术的实施例。在下面的说明中,阐述了许多具体细节以便更全面地了解本专利技术。但是,本
技术人员容易理解,本专利技术的实现可不具有这些具体细节中的一些,并且本专利技术并不限于所介绍的特定实施例。相反,可以考虑用下面的特征和要素的任意组合来实施本专利技术,而无论它们是否涉及不同的实施例。因此,下面的方面、特征、实施例和优点仅作说明之用而不应被看作是所附权利要求的要素或限定,除非权利要求中明确提出。还需要说明的一点是,为了避免因不必要的细节而模糊了本专利技术,在附图中仅仅示出了与根据本专利技术的方案密切相关的装置结构和/或处理步骤,而省略了与本专利技术关系不大的其他细节。此外,除非刻意地使用“直接”或者“间接”加以限定,否则本申请文件中的连接既包括直接连接,也包括间接地连接。在云存储系统中,为了尽可能地降低数据丢失的可能,备份操作是必须的。如前所述,文件在云存储系统中被分割成若干文件块,这些文件块可能位于不同的物理存储节点上。因此,备份操作实际上是以文件块为基础来进行的,而并非以文件为基础来进行的。更具体地说,一次备份操作可能会备份属于不同文件的多个文件块,而统一文件的各文件块可能在不同的备份操作中进行备份。如前所述,传统的权限控制方法是基于文件的。更具体地说,根据权限信息只能得到用户或用户组可以访问哪些文件,或者文件可以被哪些用户或用户组访问,而不能得到用户或用户组可以访问哪些文件块,或者文件块可以被哪些用户或用户组访问。因此,在云存储系统中,传统的权限控制方法无法对于备份操作这种访问类型进行权限控制。备份操作通常由云存储系统的管理软件自动完成,但是也可以由云存储系统的管理员手动完成。如前所述,管理员还可以读取映射信息。考虑以下这种情况云存储系统的管理员首先根据映射信息,确定一个文件的各个文件块的存储位置;然后该管理员按照手动备份过程或者调整自动备份的策略,将这些文件块复制连接于云存储系统以外的一个非受控存储系统,或者先将文件块从云存储系统的高安全等级区域复制到低安全等级区域,再复制到非受控存储系统;在非受控存储系统中,这些文件块被组合成为文件。由于传统的权限控制方法并不能对云存储系统中的备份操作进行权限控制,因此该管理员的上述行为不会被传统的权限控制方法检测为非法访问。本领域技术人员可以理解,云存储系统中的权限控制方法不会对所述非受控存储系统起作用。这样,管理员就得到了一份该文件的副本,从而影响了云存储系统的安全性。以上以备份操作为例,描述了传统的权限控制方法的漏洞。本领域技术人员可以了解,只要某个操作是以文件块为基础而不是以文件为基础的,传统的权限控制方法就不能对这一操作进行权限控制。一种简单直观的解决方法是对文件进行加密后再分割为文件块,或者是在分割为文件块后对各文件块进行加密。但是,这一解决方法对云存储系统和用户而言都会带来较大的负担。加密操作需要大量消耗大量的硬件资源,而让用户每次访问文件都输入密码会严重影响用户的体验。下面首先参照图1描述根据本专利技术实施例的权限控制的方法在生成文件块时的步骤。在步骤101,将文件数据写入文件块缓冲器,直到文件缓冲器被填满。如前所述,在云存储系统中,文件被分割为若干个文件块后存储在构成云存储系统的不同的物理存储节点上。如下面所详细描述的,根据本专利技术实施例生成的文件块不仅包括文件数据,还包括标签数据。因此步骤101实际上是准备用于一个文件块的文件数据。一般来说,云存储系统采用固定数据量的文件块以便于管理。本领域技术人员也可以采用任何其他的确定文件块数据量的方法,例如根据某些参数自适应地调整文件块的数据量。为了简单起见,下面以固本文档来自技高网...
【技术保护点】
1.一种对文件块访问进行权限控制的方法,包括:接收对文件块的访问请求,其中所述文件块嵌入有至少包括文件块权限信息的标签数据;读取文件块;从所述标签数据中提取所述文件块权限信息;判断所述访问请求是否匹配所述文件块权限信息;以及在所述访问请求匹配所述文件块权限信息的情况下,执行所述访问请求。
【技术特征摘要】
【专利技术属性】
技术研发人员:李欣慧,李影,罗景,罗琳,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。