[发明专利]受限命名空间环境中的反向名称映射

说明书

背景

文件系统是一种在存储上(例如，在盘上)用于存储并组织计算机文件以 及这些文件所包含的数据的方法。大多数文件系统使用文件持久存储在其上的 底层非易失性数据存储设备。典型的存储设备提供对有时被称为扇区，一般每 一个都是512字节的固定大小的块的阵列的访问。文件系统软件负责将这些扇 区组织成文件和目录。文件系统还跟踪哪些扇区属于哪个文件以及哪些扇区未 被使用。传统文件系统提供打开、创建、移动和删除文件和目录两者的功能。

文件系统通常具有将文件名与盘上存储文件内容的位置相关联的数据结 构。通常这通过将文件名连接到诸如MS-DOS文件系统中的FAT或类似UNIX 文件系统中的inode等某种文件分配表的索引来完成。文件系统目录可以是平 面的或可允许分层结构。在分层目录中，每一个目录都可包括一个或多个子目 录。在某些文件系统中，文件名是结构化的，且对于文件名扩展和版本号具有 特殊句法。在其他文件系统中，文件名是简单的字符串，且每个文件的元数据 都被存储在别处。

在许多文件系统中，文件可通过不止一个标识符来访问。例如，某些较老 的操作系统(以及由此较老的应用程序)只支持8.3文件名。较新的操作系统 可继续支持8.3文件名。例如，在某些较老的微软操作系统中，“Documents and Settings”文件夹可通过使用诸如“DOCUME～1”(8.3文件名)等名称来访问， 而较新的系统可或者使用“Documents and Settings”或者使用“DOCUME～1”来 访问该文件夹。“DOCUME～1”引用是到“Documents and Settings”文件夹的硬链 接，这意味着“DOCUME～1”是单独的文件系统实体，并指向与“Documents and Setting”硬链接相同的物理位置。同一个文件可经由任一名称来访问。此外，同 一个文件可能能够使用其文件标识符即文件ID(在微软操作系统中是经常被 称为文件ID的数值)来打开。文件ID是别名，因为它不是单独的文件系统实 体，而是访问文件夹的物理位置的另一种方式。

在大多数当前商用操作系统中，应用程序与在机器上运行的其他应用程序 共享文件系统命名空间。应用程序对文件的访问由将访问控制列表(ACL)附 加到每一个命名的文件的安全机制来仲裁。ACL将用户与对该特定资源的一组 访问权限相关。例如，对于特定资源的ACL可指定用户1被允许对文件1进 行读写访问而用户2被允许对文件1进行只读访问。因为对基于ACL的许可 控制的广泛使用，所以多个应用程序经常被允许共享文件。对文件的访问基于 与运行应用程序或进程的人的身份相关联的特权而不是基于应用程序自身的 需求和特性。该方法可能有问题。例如，用户可能具有宽泛的访问特权(例如， 管理员状态)，因为他运行的某些程序需要该访问级别。例如，因为由用户1 运行的程序1需要访问文件一到十，所以用户1的访问特权必须准许他访问文 件一到十。假设程序2只需要访问文件一和二。在用户1运行程序2时，程序 2将仍然可访问文件一到十，因为用户1的特权允许对文件一到十的访问。因 此，因为一般而言文件系统操作是以基于ACL的许可控制为基础的，所以文 件相同命名空间可以是并且一般是对于在机器上运行的由用户1启动的所有进 程而言或多或少是全局的。基于ACL的许可控制导致多个问题，包括：一个 问题可将处理时间浪费在处理它不应考虑的事情上，不是程序所期望的新文件 的存在可能导致该程序不正确地操作，不同的程序可对同一个文件写入或修 改，从而导致干扰等。该问题恶化，因为并非所有的程序都具有相同的可信度 等级。程序2可能并非与程序1一样可信，但因为用户的特权允许他访问文件 一到十，所以程序2可访问文件一到十并可恶意地修改它们。另外，可能存在 即使程序使用文件的相同的名称的情况下也期望为不同的程序提供不同的文 件的情况。最终，不同的程序可使用相同的名称而意指不同的文件。因此，需 要比可容易地使用ACL和特权来获取的更好的对共享资源的控制。

概述