专利名称:一种网络存储设备的访问控制方法
技术领域:
本发明属于计算机网络存储系统,具体涉及一种网络存储设备的访 问控制方法。
背景技术:
互联网的扩展使得数据信息呈几何级数爆炸性增长,图灵奖得主Jim Gray指出网络环境下每18个月新增的数据量等于有史以来数据量的总 和。数字图书馆、电子商务、医学影像、生物工程、科学计算、虚拟现 实、数字化地球、网站多媒体等应用的不断发展,对建立高性能、高可 靠的海量信息存储系统提出了需求,未来的存储系统其规模将达到PB 级。PB级高性能网络存储系统具有成百上千的存储设备,需要同时对大 量用户提供并发和突发的服务。
最近几年,对PB级网络存储系统的构建技术展开了大量研究,目前 已经构建和正在使用的海量网络存储系统,如附网存储系统或对象存储 系统,多包括应用客户、元数据服务器和存储设备三个主要的部分,将 存储设备直连到网络上,元数据和数据分离,尽管这种数据路径和控制 路径相分离的结构提高了存储系统的性能和可扩展性,但也带来了安全 隐患,通过开放的网络,客户机可以直接访问存储设备上的对象,存储 设备失去了系统的保护,必须自己应对来自网络的安全威胁和恶意客户 的攻击,为此,对网络存储系统访问必须进行控制。
在各种现有的存储系统中,用户数据以数据对象和目录对象进行组织。数据对象就是用户存储的数据,目录对象负责对数据对象进行组织, 在一般文件系统中就相当于普通的目录,在对象文件系统中,根对象、 分区对象和集合对象都可以当成目录对象。
网络存储系统访问控制的任务是在系统为用户提供最大限度系统资 源共享的基础上,对用户的访问权限进行管理,防止用户的非法操作和 对信息特别是机密信息的窃取。用户的访问权限管理是通过访问控制列
表(ACL,Access Control List)来实现的,通过将ACL与受控数据对象关 联起来,当用户访问一个数据对象时,通过查询该数据对象的访问控制 列表,如果能够找到该用户的访问控制项,并且具有请求操作的权限时, 才会执行用户的操作,否则拒绝用户的请求。
目前的网络存储系统访问控制方法,大多采用安全和策略管理器对用 户的访问操作进行集中的权限检查并颁发相应权限证书,如T10技术委员 会提出的基于对象存储设备命令的标准(SCSI Object-Based Storage Device Commands画2 (OSD國2), Project tl0/1729-d, revision 3 ed., T10 Technical Committee, NCITS, January 2008),由安全和策略管理器维护和 管理一个集中的访问控制列表,对于PB级大规模存储系统明显形成了性 能瓶颈,极大地影响了网络存储系统的性能和可扩展性。
发明内容
本发明提供一种网络存储设备的访问控制方法,解决现有访问控制 方法由安全和策略管理器维护和管理一个集中的访问控制列表,形成性 能瓶颈,影响网络存储系统的性能和可扩展性的问题,为存储系统提供本发明中,父对象为子对象目录的集合,在普通的文件系统中目录 相对于其包含的子目录和文件来说是父对象,而在对象文件系统中,根 对象、分区对象和集合对象都可以是父对象;子对象是一个相对于父对 象的概念,是被父对象包含的对象。
本发明中,用户和角色的对应关系为多对多关系 一个用户可以属 于一种或多种角色, 一种角色可以包含一个或多个用户;角色有优先级 之分,其优先级定义由具体的应用系统决定。
本发明的一种网络存储设备的访问控制方法,包括创建对象步骤和 对象操作步骤,先进行创建对象步骤,创建对象步骤完成后,才能响应 用户的对象操作请求,开始对象操作步骤;所述网络存储设备为对象存 储设备或附网存储设备,存储用户所需的数据对象和目录对象,对外提 供标准的对象接口或文件接口;其特征在于
一.所述数据对象和目录对象均由属性部分和数据部分组成,属性 部分包括数据创建者、数据大小和访问控制列表;所述访问控制列表包 括头部、控制区和扩展区索引;所述目录对象属性部分访问控制列表还 增加继承区;
所述头部包含访问控制列表字节数、继承标志、继承对象号、扩展 标志、控制区访问控制项数字段和继承区访问控制项数字段;访问控制 列表字节数字段指示访问控制列表及其扩展区所占的字节数;继承标志 字段指示该数据对象的访问控制列表是否具有动态继承属性;继承对象号字段指定该数据对象从属的父对象的对象号,用于在动态继承过程中
査找父对象;扩展标志字段指示该对象访问控制列表是否扩展;控制区 访问控制项数字段指示访问控制列表控制区中包含的各种访问控制项的 数目;继承区访问控制项数字段指示访问控制列表继承区中包含的各种 访问控制项的数目;
所述控制区由若干访问控制项组成,访问控制项分为用户访问控制 项和角色访问控制项;
所述扩展区索引包含开始块号和连续块数两个字段,分别指示扩展 区域在存储设备上的物理块号和连续的块数,用于扩展用户访问控制项 和角色访问控制项;
所述继承区,由若干访问控制项组成,访问控制项分为用户访问控 制项和角色访问控制项,提供给子对象继承使用;
所述用户访问控制项和角色访问控制项,各自均由用户或角色标识 字段和权限字段组成,权限字段用权限掩码限定用户或角色的操作权限;
二.所述创建对象步骤的过程为
(2.1) 读取父对象的访问控制列表当网络存储设备收到用户的创 建对象操作请求时,读取所要创建数据对象或者目录对象的父对象的访 问控制列表;
(2.2) 检查是否有创建权限检查该用户在该父对象下是否具有创 建对象的权限,是则执行创建操作,转过程(2.3);否则拒绝创建对象操 作请求;
(2.3) 初始化对象信息在网络存储设备上为所要创建的数据对象或者目录对象分配空间,在属性部分将该用户设为数据创建者、数据大 小置0;在访问控制列表的控制区增加针对创建者的用户访问控制项,并 赋予其全部权限,将控制区访问控制项数字段赋l;将访问控制列表扩展 区索引开始块号和连续块数两个字段置0;
(2.4) 检査静态继承标志是否有效检查用户创建对象操作请求的 静态继承标志字段是否有效,是则转过程(2.5),否则结束;
(2.5) 静态继承将父对象继承区的访问控制项添加到所创建数据 对象或者目录对象访问控制列表的控制区,并对控制区访问控制项数字 段做相应修改,结束;
三.所述对象操作步骤的过程为
(3.1) 读取访问控制列表当网络存储设备收到用户的操作请求时, 读取该用户所请求数据对象或者目录对象访问控制列表的控制区;
(3.2) 检查用户访问控制项是否存在在控制区中査找该用户对应 的用户访问控制项是否存在,是则进行过程(3.3);否则转过程(3.4);
(3.3) 检査是否具有操作权限检査用户或其所属角色对该数据对
象或者目录对象是否具有所请求的操作权限,是则执行用户操作请求,
结束;否则拒绝用户操作请求,结束;
(3.4) 检査角色访问控制项是否存在在控制区中查找该用户所属
角色对应的角色访问控制项是否存在,是则选择其中优先级最高的角色
对应的角色访问控制项,进行过程(3.3),否则转过程(3.5);
(3.5) 检查继承标志是否有效检査该用户请求数据对象或者目录
对象的访问控制列表头部的继承标志是否有效,是则进行过程(3.6),否则拒绝用户操作请求,结束;
(3.6)读取父对象访问控制列表根据该用户请求数据对象或者目 录对象的访问控制列表里的继承对象号找到该数据对象的父对象,读取 该父对象访问控制列表的继承区并转过程(3.2)。
本发明提出了访问控制项的继承规则,增加数据访问控制的灵活性, 同时简化访问控制列表的管理,子对象通过静态继承和动态继承两种继 承方式继承父对象的访问控制项,静态继承发生在数据对象或者目录对 象创建时,由用户的创建命令指定,将所要继承的父对象继承区的访问 控制项复制到新建数据对象或者目录对象的访问控制列表控制区;动态 继承发生在权限检查过程中,子对象并不保存父对象访问控制项的副本, 只是在权限检查时根据需要去读取父对象继承区的访问控制项进行权限 检查。
继承区只存在于目录对象的访问控制列表中,提供给子对象继承使 用,由于数据对象是最终存储数据的对象,没有子对象,因此数据对象 的访问控制列表没有继承区,或者说继承区为空。
很明显,和动态继承相比,静态继承的权限检査速度更快。但由于 在静态继承中,子对象保存了父对象访问控制项的副本,因此其一致性 维护和空间的开销更大。可根据实际应用采取合适的继承策略。
本发明规定访问控制项的优先级,可以解决访问控制项授权冲突的 问题。访问控制列表的控制区中访问控制项的优先级高于父对象继承区 访问控制项的优先级;控制区或继承区中用户访问控制项的优先级高于角色访问控制项的优先级。比如, 一个访问控制列表中可能既包含某用 户的访问控制项也包含该用户所属角色的访问控制项,同时,数据对象 自身的访问控制列表可能包含某用户或角色的访问控制项而该数据对象 继承的父对象也可能包含相同用户或角色的访问控制项;在一个用户属 于多个角色的情况下,根据角色的优先级来确定访问控制项,可以按优 先级高的角色的访问控制项来进行访问控制。
本发明还提供了访问控制列表的扩展方案,以满足大规模存储系统 中对大量用户和角色进行访问控制的需要。在控制区空间受限的情况下 将其他的访问控制项存储到磁盘的其他地方,并通过扩展区索引字段来 査找。扩展区索引由开始块号和连续块数两部分组成,分别指示了扩展 区域在存储设备上的物理块号和连续的块数。在实际应用中,数据都有 其主要的访问群体,可考虑将经常访问的用户或角色对应的访问控制项 存储在访问控制列表控制区中,其他的访问控制项通过扩展区索引查找。
本发明为网络存储设备弓I进自主访问控制机制,将访问控制列表作 为数据对象的安全属性跟数据一起存储,在读取用户所要操作的数据的 同时,定位了相应的访问控制列表,实现分布式访问控制,解决了由策 略和安全管理器进行集中访问控制的瓶颈。极大程度地减少了分布式存 储系统的访问控制开销。
图1为本发明涉及的对象存储设备的磁盘布局图2为本发明涉及的对象存储设备中对象的查找过程示意图3为本发明涉及的对象存储设备中根对象的存储结构示意图;图4 (a)为本发明涉及的对象存储设备中小用户对象的存储结构示 意图4 (b)为本发明涉及的对象存储设备中大用户对象的存储结构示 意图5为本发明访问控制列表的存储结构示意图6为本发明流程框图7为本发明创建对象步骤流程图8为本发明对象操作步骤流程图。
具体实施例方式
以下结合附图对本发明进一步说明。
对象存储设备的磁盘数据布局如图l所示,分为超级块、B树区和数 据区三部分。该对象存储设备以块为最小单位来组织数据,块大小默认 取4KB,还可以由管理员在磁盘格式化时设置,由超级块中块大小字段 反映;超级块为一个块,包含文件系统的一些基本信息,包括块大小、 总块数、.空闲块数、对象数、对象分区索引表、根对象节点位置、空闲 区域数和空闲区域索引表等信息;对象分区索引表是查找对象的起点, 分别指示各个分区的B树根节点位置;空闲区域索引表负责查找组织设 备的空闲空间。B树区包含若干个连续块,由区域头信息和若干个B树 节点组成,B树节点分为B树叶子节点、B树根节点和B树中间节点, 每个B树节点包含一个头信息和若干个B树査找项,B树查找项是关键 字和位置值的组合,对于B树叶子节点,位置值即为所查找对象节点所 在的块号,对于B树根节点和B树中间节点,位置值指向下一层B树节 点。数据区包含若干个连续块,用于存储数据对象和目录对象。在该对象存储设备中,对象的具体査找过程如图2所示。用户发送的 对象操作请求中包括要査找对象所在的分区号和对象号,图中分别为5 和63,根据用户要査找对象所在的分区号5在超级块中的对象分区索引 表找到査找对象所在分区5对应的B树根节点,对于B树根节点和B树 中间节点,其中的查找项由关键字和B树节点索引组成,此时B树节点 索引指向小于等于该关键字的子树,如图中B树根节点中关键字59对应 的B树节点索引指向小于等于59的子树,而关键字97对应的B树节点 索引指向关键字大于59小于等于97的子树,依次递归查找,直到B树 叶子节点中找到要查找的关键字63,再根据其后的所查找对象节点所在 块号找到所要查找对象,但如果最终在叶子节点中找不到所要査找的对 象号,则査找失败,对象不存在。
该对象存储设备存储四种对象,即根对象、分区对象、集合对象和用 户对象。每个对象存储设备仅存储一个根对象,它包含了对象存储设备 逻辑单元的一些全局特性,根对象结构如图3所示,由属性描述区、访 问控制列表和根对象属性组成。在该存储设备中属性作为数据的一部分 存放在数据的前面,属性描述区包含了对象属性的一些全局特性,指定 了各类对象的属性页和属性的元数据,即各属性页中各属性在对象数据 中的偏移地址。属性描述区由五部分组成,第一部分是属性描述块的一 些全局信息,指定了各类对象的属性描述块偏移、属性页数、属性数和 对象属性大小;后面四部分分别为根对象、分区对象、集合对象和用户 对象属性描述块,每个对象属性描述块均由页元数据和属性元数据组成。 若需对某类对象属性进行读写操作,首先根据对象类型和对象属性描述块偏移表找到相应对象的属性描述块,再根据属性页号査找相应的页元 数据,以此确定该属性页中属性元数据地址,再在该页査找对应属性号, 最后得到该属性在数据里的偏移地址和属性大小,以此对数据相应字节 进行读写操作以完成相应的属性操作。根对象的访问控制列表主要用于 提供给分区对象继承和对整个存储设备的大粒度访问控制。
用户对象是真正包含用户数据的对象,结构如图4 (a)、图4 (b)所 示,由对象头信息、访问控制列表和数据域组成。对象头信息包含对象 节点号、所属分区号、所属用户号、对象大小、所占块数和区域数等信 息。在一个具体实施例中,对象头信息一共占用44字节,访问控制列表 占986字节。数据域并不一定存放数据,当用户对象的数据小于等于某 个阈值时,称为小用户对象,小用户对象的数据直接存放在对象节点的 数据域内,如图4 (a)所示;当用户对象的数据大于所述的阈值时,称 为大用户对象,大用户对象的数据存放在磁盘的若干个连续区域内,数 据域存放相应若干个连续区域的索引信息(即所在磁盘开始块号和连续 块数),如图4 (b)所示;所述阈值为对象节点大小减去对象头信息和访 问控制列表的大小。
如前所述,本发明将访问控制列表作为对象的安全属性和对象一起存 储,在从磁盘读取用户所要操作的对象的同时,获取了对象的访问控制 列表,这样极大减少了分布式访问控制的开销。
为了增加对象访问控制的灵活性,同时简化访问控制列表的管理,提 出访问控制项的继承规则,子对象根据需要可以继承父对象访问控制列 表继承区的访问控制项。对应前面涉及到的对象存储系统,根对象是分区对象的父对象、分区对象是集合对象和用户对象的父对象、集合对象 也可以是用户对象的父对象。所以用户对象可以继承分区和集合对象的 访问控制列表继承区的访问控制项、集合对象可以继承分区对象访问控 制列表继承区的访问控制项、分区对象可以继承根对象访问控制列表继 承区的访问控制项。访问控制项的继承使得成千上万的具有相同访问控 制属性的对象可以通过共享它们共有的父对象的访问控制项而简化访问 控制的管理。
访问控制项的继承分静态继承和动态继承两种。静态继承发生在对象 创建时,将所要继承的父对象继承区的访问控制项复制到该对象的访问 控制列表控制区中。动态继承发生在权限检査过程中,子对象并不保存 父对象访问控制项的副本,只是在权限检查时根据需要去读取父对象访 问控制列表继承区中的访问控制项进行检查。很明显,和动态继承相比, 静态继承的权限检査速度更快,因为权限检査时不需要像动态继承那样 去读取父对象的访问控制列表。但由于静态继承保存了父对象访问控制 项的副本,因此其一致性维护的开销更大。可根据实际应用采取合适的 继承策略,比如对于父对象访问控制列表的继承区,可将常用但不常 变化的访问控制项采用静态继承,不常用或常变化的访问控制项采用动 态继承。 -
如图5所示,访问控制列表包括头部、控制区、继承区和扩展区索引 四个部分;头部包含访问控制列表字节数、继承标志、继承对象号、扩 展标志、控制区访问控制项数字段和继承区访问控制项数字段;访问控 制列表字节数字段指示访问控制列表及其扩展区所占的字节数;继承标志字段指示该数据对象的访问控制列表是否具有动态继承属性,若继承 标志有效,则当在访问控制列表控制区中没找到相应用户或角色的访问 控制项时,继续查找其父对象的访问控制列表继承区,若又没找到且父 对象的访问控制列表继承标志有效则继续向上査找,直到某个对象的访
问控制列表继承标志无效;继承对象号字段指定该数据对象从属的父对 象的对象号,用于在动态继承过程中查找父对象;扩展标志字段指示该 对象访问控制列表是否扩展;控制区访问控制项数字段指示访问控制列 表控制区中包含的各种访问控制项的数目;继承区访问控制项数字段指 示访问控制列表继承区中包含的各种访问控制项的数目;
控制区用于对用户操作进行访问控制,由若干用户访问控制项和角色 访问控制项组成,每个访问控制项对应一个用户或一种角色,包含用户/ 角色标识和权限;
继承区也由若干用户访问控制项和角色访问控制项组成,专门提供给 子对象继承,由于用户对象是最终存储数据的对象,没有子对象,因此 用户对象的访问控制列表没有继承区;
扩展区索引包含开始块号和连续块数两个字段,用于扩展访问控制列 表,它们分别指示了访问控制列表扩展区域在设备上的物理块号和连续 的块数。只有当头部中的扩展标志有效时,扩展区索引的各字段才有意 义。
一个访问控制列表中可能既包含某用户的访问控制项也包含该用户 所属角色的访问控制项,同时,对象自身的访问控制列表可能包含某用户或角色的访问控制项而该对象继承的父对象也可能包含相同用户或角 色的访问控制项。在这些情况下,可能存在访问控制项的授权冲突问题。 为此,我们定义了访问控制项的优先级对象自身访问控制项的优先级 高于继承访问控制项的优先级、用户访问控制项的优先级高于组或角色 访问控制项的优先级。也就是说,在对象自带访问控制列表中找到相应 访问控制项后不再査找继承访问控制项(若继承标志有效),在同时包含 用户访问控制项和该用户所属角色访问控制项的情况下以用户访问控制 项为准。在一个用户属于多个角色的情况下,根据角色的优先级来确定 访问控制项,可以按优先级高的角色的访问控制项来进行访问控制,角 色的优先级定义由具体的应用系统决定。
如图6所示,本发明包括创建对象步骤和对象操作步骤,先进行创 建对象步骤,创建对象步骤完成后,才能响应用户的对象操作请求,开 始对象操作步骤。
创建对象步骤如图7所示。当对象存储设备收到用户的创建对象操
作请求时,首先读取所要创建对象的父对象的访问控制列表;检査该用 户在该父对象下是否具有创建对象的权限,否则拒绝创建对象操作请求, 是则执行创建操作,并在对象存储设备上为所要创建的对象分配空间, 在属性部分将该用户设为创建者、数据大小置0,在访问控制列表的控制 区增加针对创建者的用户访问控制项,并赋予其全部权限,将控制区访 问控制项数字段赋1,将访问控制列表扩展区索引开始块号和连续块数两 个字段置0;初始化新建对象基本信息后,检査用户创建对象操作请求的静态继承标志字段是否有效,无效则对象创建结束,如有效,则将父对 象继承区的访问控制项添加到所创建对象访问控制列表的控制区,并对 控制区访问控制项数字段做相应修改,对象创建结束。
对象操作步骤的过程如图8所示。当对象存储设备收到用户的对象 操作请求时,首先读取该用户所请求对象访问控制列表的控制区;在控 制区中查找该用户对应的用户访问控制项是否存在,若存在,则检査用 户对该对象是否具有所请求的操作权限,若不存在,则在控制区中查找 该用户所属角色对应的角色访问控制项,若找到,则根据其中优先级最 高的角色对应的角色访问控制项进行权限检查,若用户所属角色对应的 角色访问控制项也不存在,且该用户请求对象的访问控制列表头部的继 承标志有效,则根据该用户请求对象的访问控制列表里的继承对象号找 到该对象的父对象,在该父对象访问控制列表的继承区进行访问控制, 以此类推,直到某个父对象的访问控制列表继承标志无效,则拒绝用户 操作请求。
权利要求
1.一种网络存储设备的访问控制方法,包括创建对象步骤和对象操作步骤,先进行创建对象步骤,创建对象步骤完成后,才能响应用户的对象操作请求,开始对象操作步骤;所述网络存储设备为对象存储设备或附网存储设备,存储用户所需的数据对象和目录对象,对外提供标准的对象接口或文件接口;其特征在于一.所述数据对象和目录对象均由属性部分和数据部分组成,属性部分包括数据创建者、数据大小和访问控制列表;所述访问控制列表包括头部、控制区和扩展区索引;所述目录对象属性部分访问控制列表还增加继承区;所述头部包含访问控制列表字节数、继承标志、继承对象号、扩展标志、控制区访问控制项数字段和继承区访问控制项数字段;访问控制列表字节数字段指示访问控制列表及其扩展区所占的字节数;继承标志字段指示该数据对象的访问控制列表是否具有动态继承属性;继承对象号字段指定该数据对象从属的父对象的对象号,用于在动态继承过程中查找父对象;扩展标志字段指示该对象访问控制列表是否扩展;控制区访问控制项数字段指示访问控制列表控制区中包含的各种访问控制项的数目;继承区访问控制项数字段指示访问控制列表继承区中包含的各种访问控制项的数目;所述控制区由若干访问控制项组成,访问控制项分为用户访问控制项和角色访问控制项;所述扩展区索引包含开始块号和连续块数两个字段,分别指示扩展区域在存储设备上的物理块号和连续的块数,用于扩展用户访问控制项和角色访问控制项;所述继承区,由若干访问控制项组成,访问控制项分为用户访问控制项和角色访问控制项,提供给子对象继承使用;所述用户访问控制项和角色访问控制项,各自均由用户或角色标识字段和权限字段组成,权限字段用权限掩码限定用户或角色的操作权限;二.所述创建对象步骤的过程为(2.1)读取父对象的访问控制列表当网络存储设备收到用户的创建对象操作请求时,读取所要创建数据对象或者目录对象的父对象的访问控制列表;(2.2)检查是否有创建权限检查该用户在该父对象下是否具有创建对象的权限,是则执行创建操作,转过程(2.3);否则拒绝创建对象操作请求;(2.3)初始化对象信息在网络存储设备上为所要创建的数据对象或者目录对象分配空间,在属性部分将该用户设为数据创建者、数据大小置0;在访问控制列表的控制区增加针对创建者的用户访问控制项,并赋予其全部权限,将控制区访问控制项数字段赋1;将访问控制列表扩展区索引开始块号和连续块数两个字段置0;(2.4)检查静态继承标志是否有效检查用户创建对象操作请求的静态继承标志字段是否有效,是则转过程(2.5),否则结束;(2.5)静态继承将父对象继承区的访问控制项添加到所创建数据对象或者目录对象访问控制列表的控制区,并对控制区访问控制项数字段做相应修改,结束;三.所述对象操作步骤的过程为(3.1)读取访问控制列表当网络存储设备收到用户的操作请求时,读取该用户所请求数据对象或者目录对象访问控制列表的控制区;(3.2)检查用户访问控制项是否存在在控制区中查找该用户对应的用户访问控制项是否存在,是则进行过程(3.3);否则转过程(3.4);(3.3)检查是否具有操作权限检查用户或其所属角色对该数据对象或者目录对象是否具有所请求的操作权限,是则执行用户操作请求,结束;否则拒绝用户操作请求,结束;(3.4)检查角色访问控制项是否存在在控制区中查找该用户所属角色对应的角色访问控制项是否存在,是则选择其中优先级最高的角色对应的角色访问控制项,进行过程(3.3),否则转过程(3.5);(3.5)检查继承标志是否有效检查该用户请求数据对象或者目录对象的访问控制列表头部的继承标志是否有效,是则进行过程(3.6),否则拒绝用户操作请求,结束;(3.6)读取父对象访问控制列表根据该用户请求数据对象或者目录对象的访问控制列表里的继承对象号找到该数据对象的父对象,读取该父对象访问控制列表的继承区并转过程(3.2)。
全文摘要
一种网络存储设备的访问控制方法,属于计算机网络存储系统,解决现有访问控制方法维护和管理一个集中的访问控制列表,形成性能瓶颈,影响存储系统性能和可扩展性的问题。本发明包括创建对象步骤和对象操作步骤,网络存储设备存储用户所需的数据对象和目录对象,它们均由属性部分和数据部分组成,属性部分包括访问控制列表。本发明将访问控制列表作为数据对象的安全属性和数据一起存储,定义了访问控制列表的继承规则和访问控制项的优先级,提高了数据访问控制的灵活性,在读取用户所要操作的数据的同时,定位了相应的访问控制列表,实现分布式访问控制,极大程度地减少了分布式存储系统的访问控制开销,提高了系统的可扩展性。
文档编号G06F17/30GK101674334SQ200910272358
公开日2010年3月17日 申请日期2009年9月30日 优先权日2009年9月30日
发明者丹 冯, 可 周, 牛中盈, 巍 闫, 雷栋梁 申请人:华中科技大学