技術(shù)領(lǐng)域

本發(fā)明涉及云存儲(chǔ)領(lǐng)域。更具體地說，涉及在云存儲(chǔ)系統(tǒng)中進(jìn)行權(quán)限控制的方法和裝置。

背景技術(shù)

一個(gè)安全的多用戶存儲(chǔ)系統(tǒng)需要實(shí)施權(quán)限控制，使得用戶只能訪問其有權(quán)限訪問的文件。這里的訪問是一個(gè)廣義的概念，包括對(duì)文件進(jìn)行的諸如讀、寫、復(fù)制、刪除等的任何操作。在傳統(tǒng)的多用戶存儲(chǔ)系統(tǒng)中，文件系統(tǒng)維護(hù)權(quán)限信息，以便記錄用戶或用戶組可以訪問哪些文件，或者文件可以被哪些用戶或用戶組訪問。所述權(quán)限信息通常以訪問控制列表的形式保存在所述存儲(chǔ)系統(tǒng)中，訪問控制列表包括用戶ID——文件ID——訪問權(quán)限的三元組。在某用戶試圖對(duì)某文件進(jìn)行訪問時(shí)，文件系統(tǒng)根據(jù)用戶ID和文件ID查找所述訪問控制列表，得到對(duì)應(yīng)的權(quán)限，從而判斷該用戶是否有權(quán)限對(duì)該文件進(jìn)行該訪問操作。除了上述的在線權(quán)限控制之外，還可以進(jìn)行離線的權(quán)限控制。用戶對(duì)文件的任何訪問都會(huì)被記錄在訪問日志中，離線的權(quán)限控制即通過查看訪問日志確定是否曾經(jīng)發(fā)生過違反訪問權(quán)限的訪問。

與傳統(tǒng)的多用戶存儲(chǔ)系統(tǒng)將一個(gè)文件存儲(chǔ)在一個(gè)物理存儲(chǔ)節(jié)點(diǎn)上不同，云存儲(chǔ)系統(tǒng)將文件分割為若干個(gè)文件塊，這些文件塊可能被存儲(chǔ)在構(gòu)成云存儲(chǔ)系統(tǒng)的不同的物理存儲(chǔ)節(jié)點(diǎn)上。云存儲(chǔ)系統(tǒng)的管理節(jié)點(diǎn)，例如命名節(jié)點(diǎn)(namenode)，記錄一個(gè)文件被分割成了多少個(gè)文件塊以及這些文件塊的存儲(chǔ)位置。這些信息稱為映射信息。云存儲(chǔ)系統(tǒng)的管理員一般可以讀取所述映射信息。對(duì)于云存儲(chǔ)的用戶而言，文件塊的存儲(chǔ)位置是被屏蔽的，即云存儲(chǔ)的用戶只知道將文件存儲(chǔ)在了云存儲(chǔ)系統(tǒng)中。當(dāng)用戶需要訪問文件時(shí)，云存儲(chǔ)系統(tǒng)的管理節(jié)點(diǎn)根據(jù)記錄，從構(gòu)成文件的文件塊的存儲(chǔ)位置讀取這些文件塊提供給用戶。如果用戶需要訪問的是整個(gè)文件，那么云存儲(chǔ)系統(tǒng)的管理節(jié)點(diǎn)將這些文件塊合并成文件后提供給用戶；如果用戶需要訪問的是文件的一部分，那么云存儲(chǔ)管理系統(tǒng)可以只讀取對(duì)應(yīng)于所述一部分的文件塊提供給用戶。由此可見，云存儲(chǔ)系統(tǒng)不同于以往的傳統(tǒng)存儲(chǔ)系統(tǒng)。因此，需要一種針對(duì)云存儲(chǔ)系統(tǒng)的特點(diǎn)而進(jìn)行權(quán)限控制的解決方案。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例提供了在云存儲(chǔ)系統(tǒng)中進(jìn)行權(quán)限控制的方法和裝置。

本發(fā)明實(shí)施例提供了一種對(duì)文件塊訪問進(jìn)行權(quán)限控制的方法，包括：接收對(duì)文件塊的訪問請(qǐng)求，其中所述文件塊嵌入有至少包括文件塊權(quán)限信息的標(biāo)簽數(shù)據(jù)；讀取文件塊；從所述標(biāo)簽數(shù)據(jù)中提取所述文件塊權(quán)限信息；判斷所述訪問請(qǐng)求是否匹配所述文件塊權(quán)限信息；以及在所述訪問請(qǐng)求匹配所述文件塊權(quán)限信息的情況下，執(zhí)行所述訪問請(qǐng)求。

本發(fā)明實(shí)施例提供了一種對(duì)文件塊訪問進(jìn)行權(quán)限控制的裝置，包括：接收模塊，配置為接收對(duì)文件塊的訪問請(qǐng)求，其中所述文件塊嵌入有至少包括文件塊權(quán)限信息的標(biāo)簽數(shù)據(jù)；讀取模塊，配置為讀取文件塊；提取模塊，配置為從所述標(biāo)簽數(shù)據(jù)中提取所述文件塊權(quán)限信息；判斷模塊，配置為判斷所述訪問請(qǐng)求是否匹配所述文件塊權(quán)限信息；以及執(zhí)行模塊，配置為在所述訪問請(qǐng)求匹配所述文件塊權(quán)限信息的情況下，執(zhí)行所述訪問請(qǐng)求。

按照根據(jù)本發(fā)明實(shí)施例的技術(shù)方案，由于所述文件塊本身帶有文件塊權(quán)限信息，因此可以對(duì)諸如備份操作的文件塊操作進(jìn)行權(quán)限控制，解決了傳統(tǒng)的權(quán)限控制方法無法對(duì)于備份操作這種訪問類型進(jìn)行權(quán)限控制的問題。此外，本發(fā)明實(shí)施例進(jìn)一步提出了具體的嵌入所述文件塊權(quán)限信息的方法，使得該技術(shù)方案在實(shí)現(xiàn)時(shí)具有更好的性能。

附圖說明

圖1是根據(jù)本發(fā)明實(shí)施例的在生成文件塊時(shí)的方法。

圖2示出用戶修改前后文件塊的變化。

圖3是根據(jù)本發(fā)明實(shí)施例的在用戶修改后的處理流程。

圖4示出用戶修改前后文件塊的變化。

圖5是根據(jù)本發(fā)明實(shí)施例的在訪問文件塊時(shí)的方法。

圖6是根據(jù)本發(fā)明實(shí)施例的對(duì)文件塊訪問進(jìn)行權(quán)限控制的裝置。

具體實(shí)施方式

下面參照附圖來說明本發(fā)明的實(shí)施例。在下面的說明中，闡述了許多具體細(xì)節(jié)以便更全面地了解本發(fā)明。但是，本技術(shù)領(lǐng)域技術(shù)人員容易理解，本發(fā)明的實(shí)現(xiàn)可不具有這些具體細(xì)節(jié)中的一些，并且本發(fā)明并不限于所介紹的特定實(shí)施例。相反，可以考慮用下面的特征和要素的任意組合來實(shí)施本發(fā)明，而無論它們是否涉及不同的實(shí)施例。因此，下面的方面、特征、實(shí)施例和優(yōu)點(diǎn)僅作說明之用而不應(yīng)被看作是所附權(quán)利要求的要素或限定，除非權(quán)利要求中明確提出。還需要說明的一點(diǎn)是，為了避免因不必要的細(xì)節(jié)而模糊了本發(fā)明，在附圖中僅僅示出了與根據(jù)本發(fā)明的方案密切相關(guān)的裝置結(jié)構(gòu)和/或處理步驟，而省略了與本發(fā)明關(guān)系不大的其他細(xì)節(jié)。此外，除非刻意地使用“直接”或者“間接”加以限定，否則本申請(qǐng)文件中的連接既包括直接連接，也包括間接地連接。