[发明专利]基于访问控制列表的数据资源权限管理方法

说明书

技术领域

本发明涉及数据资源权限管理控制技术领域，尤其涉及一种基于访问控制列表的数据资源权限管理方法。

背景技术

访问控制列表通常用来描述一个文件/目录的访问控制权限，是许多操作系统使用的一种访问控制方法，为操作系统提供多种方式来控制操作者可以访问的资源，它是操作系统或分布式系统管理的一种关键性核心组件，是保护系统中数据和资源安全性的重要方式。

访问控制列表最基本的功能包括：回复客户端所访问资源的权限；提供给用户一个能够查询或操作访问控制权限的接口；管理员可以修改一个文件或者目录所对应的用户组的访问控制权限。

为了保证分布式存储系统自身的安全性，也为用户提供了数据访问的灵活性，在分布式文件系统中加入了访问控制列表控制策略。然而，大型分布式存储系统中的公共资源数据包括几百万个以上的文件，如果将每一个文件都保存一条访问控制列表记录，将造成访问控制列表的内容臃肿，查询效率低下。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是如何提高大容量数据资源，尤其是大型分布式存储系统的访问控制列表查询效率，由此实现简单、独立的数据资源权限管理和控制。

(二)技术方案

为解决上述技术问题，本发明的技术方案提供了一种基于访问控制列表的数据资源权限管理方法，包括：

S1：基于权限继承规则，为数据资源的目录/文件设置相互关联的访问控制权限表和用户列表；所述访问控制权限表包括：与所述目录/文件对应的可访问用户组名集合，以及表征每一所述可访问用户组名的访问权限的权限值集合；所述用户列表包括：每一所述可访问用户组名下的用户名集合；

S2：在待访问目录/文件的可访问用户组名集合、权限值集合及用户名集合中检索待访问用户名，并接收其返回的权限值；

S3：判断所述权限值是否为空，若否，则允许待访问用户根据所述权限值执行相应的访问操作；若是，则执行步骤S4；

S4：以递归方式在所述待访问目录/文件的上级目录的可访问用户组名集合、权限值集合及用户名集合中检索所述待访问用户名，并返回步骤S3。

优选地，步骤S1中，所述权限继承规则包括：新建对象和/或拷贝对象时，将所述对象的权限值设置为其父目录的权限值。

优选地，所述步骤S1通过分布式关系数据库或基于key-value的非关系数据库实现。

优选地，步骤S1中，所述访问权限包括：读取、写入以及删除目录/文件的操作中的任一或上述操作的任意组合。

优选地，所述步骤S2还包括；若检索不到所述待访问用户名，则不允许所述待访问用户对待访问目录/文件执行任何操作。

优选地，若所述步骤S4中的所述递归检索执行至根目录时，所述返回的权限值仍为空，则不允许所述待访问用户对待访问目录/文件执行任何操作。

(三)有益效果

相对于现有的其他的数据资源访问控制方法，本发明所提出的基于访问控制列表的数据资源权限管理方法具有以下优势：将访问控制列表作为一个独立的模块来设计，便于独立开发，实现项目开发的并行性；由于权限继承的关系，访问控制权限的记录项很少，可以大大缩短访问控制权限表的查询时间，尽可能提高权限控制服务的响应速度；权限控制简单、有效、接口清晰。

附图说明

图1示出了根据本发明的基于访问控制列表的数据资源权限管理方法的流程图。

具体实施方式

本发明提出的基于访问控制列表的数据资源权限管理方法，结合附图和实施例说明如下。

对于包含海量公共资源数据的大型分布式存储系统，为了提高响应速度，最有效的措施是尽可能减少数据库的记录条数，缩短单次查询时间。大型分布式存储系统中的公共资源数据包括几百万个以上的文件，绝大多数的访问控制列表的值都相同。因此，本发明的核心思想在于：采用权限继承策略，使得新建对象、拷贝对象时都继承父目录的权限值，由此减少重复的记录，尽量缩短查询数据的时间。

如图1所示，根据本发明的基于访问控制列表的数据资源权限管理方法包括以下步骤S1-S4。

S1：基于权限继承规则，为数据资源的目录/文件设置相互关联的访问控制权限表和用户列表；

具体来说，为了保证分布式系统自身的安全性，同时也为用户提供数据访问的灵活性，本发明的一个实施例为分布式系统的文件/目录设置三种权限，如表1所示。

表1