专利名称::访问控制列表的校验方法和共享存储系统的制作方法
技术领域:
:本发明实施例涉及计算机
技术领域:
,并且更具体地,涉及一种访问控制列表的校验方法和共享存储系统。
背景技术:
:ACLCAccessControlList,ACL),是授权(Authorization)常采用的机制,可用于控制用户、组对资源(比如目录、文件)的访问权限,实现更高的安全性。在文件系统中,ACL是非常重要的元数据,每一个目录或文件都会对应有一个ACL,在文件的创建、读、写、属性设置等多个操作中都会涉及到对此元数据的访问。此外,ACL具有继承性和叠加性等特点,规则比较复杂。现行的共享存储系统中,随着访问用户的增多,以及访问资源的ACL中ACE条目数的增加,资源访问权限的校验变得更加复杂,访问效率会变得更加低下。
发明内容本发明实施例提供一种访问控制列表ACL的校验方法及共享存储系统,能够提高资源访问权限的校验效率。第一方面,提供了一种访问控制列表ACL的校验方法,该方法包括:从访问用户的专用缓存中获取该访问用户对共享存储系统的资源的第一访问权限校验信息,其中,该资源包括文件或目录,该访问用户的专用缓存中存储该访问用户对该共享存储系统的历史访问权限校验信息,该历史访问权限校验信息由该共享存储系统根据访问控制列表ACL确定;根据该资源的第一访问权限校验信息确定该访问用户对该资源的访问权限。在第一种可能的实现方式中,结合第一方面,在该从访问用户的专用缓存中获取该访问用户对资源的第一访问权限校验信息之前,该方法还包括:当该访问用户初始访问该共享存储系统时,为该访问用户分配该访问用户的专用缓存。在第二种可能的实现方式中,结合第一方面或第一方面的第一种可能的实现方式,在该从访问用户的专用缓存中获取该访问用户对共享存储系统的资源的第一访问权限校验信息之前,该方法还包括:根据该资源的ACL获取该访问用户对该资源的第一访问权限校验信息;将该访问用户对该资源的第一访问权限校验信息存入该访问用户的专用缓存中。在第三种可能的实现方式中,结合第一方面的第二种可能的实现方式,根据该资源的ACL获取该访问用户对该资源的第一访问权限校验信息包括:具体实现为:根据该资源的ACL中的访问控制项ACE的类型,通过折半查找以获取该资源的ACL中与该访问用户相关的ACE;根据该资源的ACL中与该访问用户相关的ACE确定该访问用户对该资源的第一访问权限校验信息。在第四种可能的实现方式中,结合第一方面或第一方面的第一种可能的实现方式至第一方面的第三种可能的实现方式中任一种可能的实现方式,该方法还包括:如果该访问用户的专用缓存的大小大于预定的值,则删除该访问用户的专用缓存中一个或多个访问权限校验信息;或者如果该资源的ACL发生变化,则删除该访问用户的专用缓存中该资源对应的访问权限校验信息。在第五种可能的实现方式中,结合第一方面或第一方面的第一种可能的实现方式至第一方面的第四种可能的实现方式中任一种可能的实现方式,该方法还包括:当该访问用户退出对该共享存储系统的访问时,释放该访问用户的专用缓存。第二方面,提出了一种共享存储系统,该共享存储系统包括:读写单元,用于从访问用户的专用缓存中获取该访问用户对该共享存储系统的资源的第一访问权限校验信息,其中,该资源包括文件或目录,该访问用户的专用缓存中存储该访问用户对该共享存储系统的历史访问权限校验信息,历史访问权限校验信息由该共享存储系统根据访问控制列表ACL确定;确定单元,用于根据该第一访问权限校验信息确定该访问用户对该资源的访问权限。在第一种可能的实现方式中,结合第二方面,该共享存储系统还包括:分配单元,用于当该访问用户初次访问该共享存储系统时,为该访问用户分配该访问用户的专用缓存。在第二种可能的实现方式中,结合第二方面或第二方面的第一种可能的实现方式,具体实现为:该读写单元还用于根据该资源的ACL获取该访问用户对该资源的第一访问权限校验信息;该读写单元还用于将该访问用户对该资源的第一访问权限校验信息存入该访问用户的专用缓存中。在第三种可能的实现方式中,结合第二方面的第二种可能的实现方式,具体实现为:该读写单元具体用于根据该资源的ACL中的访问控制项ACE的类型通过折半查找以获取该资源的ACL中与该访问用户相关的ACE,并根据该资源的ACL中与该访问用户相关的ACE确定该访问用户对该资源的第一访问权限校验信息。在第四种可能的实现方式中,结合第二方面或第二方面的第一种可能的实现方式至第二方面的第三种可能的实现方式中任一种可能的实现方式,具体实现为:该读写单元还用于如果该访问用户的专用缓存的大小大于预定的值,则删除该访问用户的专用缓存中一个或多个的访问权限校验信息;或者该读写单元还用于如果该资源的ACL发生变化,则删除该访问用户的专用缓存中该资源对应的访问权限校验信息。在第五种可能的实现方式中,结合第二方面或第二方面的第一种可能的实现方式至第二方面的第四种可能的实现方式中任一种可能的实现方式,该分配单元还用于在该访问用户退出对该共享存储系统的访问时释放该访问用户的专用缓存。基于以上技术方案,本发明实施例的访问控制列表ACL的校验方法及共享存储系统通过从访问用户的专用缓存中读取访问用户对资源的第一访问权限校验信息,可提高资源访问权限的校验效率。为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本发明实施例ACL校验的方法流程图。图2是本发明实施例资源访问方法流程图。图3是本发明实施例共享存储系统的示意框图。图4是本发明实施例共享存储系统的结构框图。具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。应理解,本发明实施例的技术方案可以应用于各种共享存储系统,例如网络附属存储(NetworkStorageTechnologies,NAS)、直连式存储(Direct-AttachedStorage,DAS)、串行连接存储(SerialAttachedSCSI,SAS)等。应理解,本发明的共享存储系统,可以采用各种文件系统,例如:文件分配表(FileAllocationTable,FAT)系统、NTFS(NewTechnologyFileSystem,)系统、虚拟文件分配表(VirtualFileAllocationTable,VFAT)系统,ext2(secondextendedfilesystem)系统、ext3(thirdextendedfilesystem)系统等。图1是本发明实施例ACL校验方法流程图。图1的方法由共享存储系统执行。101,从访问用户的专用缓存中获取该访问用户对共享存储系统的资源的第一访问权限校验信息。其中,该资源包括文件或目录,该访问用户的专用缓存中存储该访问用户对该共享存储系统的历史访问权限校验信息,该历史访问权限校验信息由该共享存储系统根据访问控制列表ACL确定。102,根据该资源的第一访问权限校验信息确定该访问用户对该资源的访问权限。本发明实施例中,通过从访问用户的专用缓存中读取访问用户对资源的第一访问权限校验信息,可提高资源访问权限的校验效率。本发明中,以NAS系统为例对本发明的技术方案进行描述,但本发明的技术方案并不局限于NAS系统,还可以是其他网络存储系统,例如,DAS、SAS,等等,本发明在此不作限定。可选地,在步骤101之前,该方法还包括:当该访问用户初次访问该共享存储系统时,可为该访问用户分配该访问用户的专用缓存。本发明的一个实施例,以NAS为例对本发明的技术方案进行描述。当访问用户从Windows客户端或者Linux客户端等,访问NAS服务器端的共享目录时,NAS服务器端会为该访问用户建立一个专用缓存,用于存放该访问用户的ACL校验信息。访问用户访问NAS服务器端的共享目录的方式,可以是采用通用互联网文件系统(CommonInternetFileSystem,CIFS)协议或者网络文件系统(NetworkFileSystem,NFS)协议挂载上NAS服务器端的共享目录。可选地,在步骤101之前,该方法还包括:根据该资源的ACL获取该访问用户对该资源的第一访问权限校验信息;将该访问用户对该资源的第一访问权限校验信息存入该访问用户的专用缓存中。本发明的一个实施例,当访问用户的专用缓存中不存在该访问用户对该资源的第一访问权限校验信息时,可根据该资源的ACL获取该访问用户对该资源的第一访问权限校验信息,并将该访问用户对该资源的第一访问权限校验信息存入该访问用户的专用缓存中。本发明的另一个实施例,当访问用户的专用缓存中该资源的第一访问权限校验信息已经过期,则可根据该资源的ACL获取该访问用户对该资源的第一访问权限校验信息,并将该访问用户对该资源的第一访问权限校验信息存入该访问用户的专用缓存中。进一步地,根据该资源的ACL获取该访问用户对该资源的第一访问权限校验信息包括:根据该资源的ACL中的访问控制项ACE的类型获取该资源的ACL中与该访问用户相关的ACE;根据该资源的ACL中与该访问用户相关的ACE确定该访问用户对该资源的第一访问权限校验信息。本发明实施例中,根据该资源的ACL获取该访问用户对该资源的第一访问权限校验信息的方法,以LINUX/UNIX下文件系统EXT3/EXT4系统的可移植操作系统接口(PortableOperatingSystemInterface,P0SIX)ACL为例,对访问控制列表的权限校验方法进行说明,但本发明实施例的方法并不仅限于POSixACL的访问权限校验方法,还可适用于其他文件系统下的访问控制列表的访问权限校验方法。在POSIXACL中,按照ACE的类型,可分为所有者(Owner)ACE、指定用户(NamedUser)ACE、所用者所在组(OwningGroup)ACE、指定组(NamedGroup)ACE、修正(Mask)ACE和其它(Others)ACE等几种ACE类型,且在文件系统中,ACE是按照上面这几种类型进行顺序存放的。此外,每个POSIXACL中,OwnerACE、0wningGroupACE和OthersACE各自有且仅有一条。访问用户可从资源的ACL中,根据ACE类型,分别获取以上几种ACE类型的访问用户相关ACE信息。图2是本发明实施例资源访问方法流程图。如图所示,访问用户X对文件A进行访问。一种访问流程如下所示:Stepl,在访问用户X的专用缓存中查找是否存在文件A对应的第一访问权限校验信息。如果存在,返回权限校验信息,结束校验;如果不存在,执行Step2。St印2,读取文件A的POSIXACL0Step3,在POSIXACL中查找OwnerACE,找到OwnerACE,并判断当前访问用户X是否是文件A的OwnerACE。如果是,则标记该ACE,执行Step5;如果不是,则执行Step4。Step4,在POSIXACL中查找NamedUserACE,如果存在一条或多条NamedUserACE,则依次判断NamedUserACE所针对的User是否是当前访问用户X。如果是,则标记该ACE。当查找完所有的NamedUserACE后,执行step5。Step5,在POSIXACL中查找OwningGroupACE,找到OwningGroupACE,并判断当前访问用户X是否是文件A的所有者所在组。如果是,则标记该ACE。当查找完所有的OwningGroupACE后,执行Step6。。Step6,在P0SIXACL中查找NamedGroupACE,如果存在一条或多条NamedGroupACE,则依次判断NamedGroupACE所针对的Group是否是当前访问用户X的所属组。如果是,则标记该ACE。当查找完所有的NamedGroupACE后,都执行St印7。Step7,在POSIXACL中查找MaskACE,如果存在MaskACE,则与之前被打上标记的NamedUserACE/OwningGroupACE/NamedGroupACE的权限位进行“与操作”的修正,以约束它们的最大权限,并执行Step8;如果不存在,则直接执行Step8。Step8,在POSIXACL中查找OthersACE,找到OthersACE,并标记该ACE,执行Step9οStep9,对所有被打上标记的ACE按照优先级顺序(依次为OwnerACE>NamedUserACE、OwningGroupACE>NamedGroupACE>OthersACE)对权限位进行综合判决,以得到当前用户X对文件A的完整的权限校验信息。Step10,将该完整的权限校验信息存在用户X的专用缓存中。Step11,返回权限校验结果。本发明实施例中,通过将访问用户的访问权限信息存储于访问用户的专用缓存中,并从访问用户的专用缓存中读取访问用户对资源的第一访问权限校验信息,可提高资源访问权限的综合校验效率。进一步地,根据该资源的ACL中的访问控制项ACE的类型获取该资源的ACL中与该访问用户的访问权限相关的ACE包括:对该资源的ACL中的ACE类型相同的ACE,采用折半查找以获取该资源的ACL中与该访问用户的访问权限相关的ACE。典型地,上述实施例中,St印4和St印6可以采用折半查找算法以提升查找效率。不妨以St印6为例。按照约定,在文件系统中,POSIXACL中的NamedGroupACE是按照GID的大小进行升序顺序存放的。而当前访问用户的所有所属组的信息也是按照GID的大小进行升序排列。这样,在查找NamedGroupACE的时候,可以利用这两个特性,方法如下:Step12,提取POSIXACL中的所有NamedGroupACE,作为待查找内容。执行St印13。Step13,依次遍历当前用户X的所有所属组。如果已经遍历完,则结束查找;否贝U,对于当前用户X的第N个所属组,执行Step14。Step14,在所有待查找的NamedGroupACE中,按照折半查找算法,查找每个ACE所针对的Group是否符合当前访问用户X的第N个所属组,如果符合,则标记该ACE,并执行Step15;否则N加1,并执行St印13。Step15,将该条被标记的NamedGroupACE之前(含该条)的所有NamedGroupACE从待查找内容中剔除,然后N加1,并执行St印13。本发明实施例中,通过采用折半查找方法,可提高获取ACL中的权限校验信息的效率。可选地,本发明实施例中,还可限制访问用户的专用缓存的大小。如果该访问用户的专用缓存的大小大于预定的值,则可删除该访问用户的专用缓存中一条或多条访问权限校验信息,直至访问用户的专用缓存的大小小于预定的值。这个预定的值一般取决于系统的硬件水平,可由文件系统设定或根据当前的缓存利用率进行调整。一种优选的方式,可优先删除该访问用户的专用缓存中最久未使用的访问权限校验信息。当然还有其它删除访问权限校验信息的方式,本发明在此不作限制。可选地,本发明实施例中,如果该资源的ACL发生变化,则删除该访问用户的专用缓存中该资源对应的访问权限校验信息。可选地,如果该访问用户退出对该共享存储系统的访问,则释放该访问用户的专用缓存。图3是本发明实施例共享存储系统300的示意框图。共享存储系统300可包括:读写单元301和确定单元302。读写单元301,可从访问用户的专用缓存中获取该访问用户对共享存储系统300的资源的第一访问权限校验信息。其中,该资源包括文件或目录,该访问用户的专用缓存中存储该访问用户对该共享存储系统300的历史访问权限校验信息,历史访问权限校验信息由共享存储系统300根据访问控制列表ACL确定;确定单元302,可根据该第一访问权限校验信息确定该访问用户对该资源的访问权限。本发明实施例中,共享存储系统300通过从访问用户的专用缓存中读取访问用户对资源的第一访问权限校验信息,可提高资源访问权限的校验效率。可选地,共享存储系统300还可包括分配单元303,当该访问用户初次访问该共享存储系统300时,分配单元303可为该访问用户分配该访问用户的专用缓存。可选地,如果该访问用户的专用缓存中不存在该访问用户对该资源的第一访问权限校验信息,则读写单元301可根据该资源的ACL获取该访问用户对该资源的完整的第一访问权限校验信息。读写单元301还可将该访问用户对该资源的完整的第一访问权限校验信息存入该访问用户的专用缓存中。进一步地,读写单元301具体可根据该资源的ACL中的访问控制项ACE的类型获取该资源的ACL中与该访问用户相关的ACE,并根据该资源的ACL中与该访问用户相关的ACE确定该访问用户对该资源的第一访问权限校验信息。进一步地,读写单元301具体可对该资源的ACL中的ACE类型相同的ACE采用折半查找以获取该资源的ACL中与该访问用户的访问权限相关的ACE。如果该访问用户的专用缓存的大小大于预定的值,则读写单元301可删除该访问用户的专用缓存中一条或多条访问权限校验信息。一种优选的方式,可优先删除该访问用户的专用缓存中最久未使用的访问权限校验信息。当然还有其它删除访问权限校验信息的方式,本发明在此不作限制。如果该资源的ACL发生变化,则读写单元301可删除该访问用户的专用缓存中该资源对应的访问权限校验信息。可选地,在该访问用户退出对共享存储系统300的访问时,分配单元可释放该访问用户的专用缓存。可选地,共享存储系统300用于实现本发明图1、图2中任一实施例所示的ACL校验方法,本发明在此不再赘述。图4是本发明实施例共享存储系统400的结构框图。共享存储系统400包括可包括:存储器401和处理器402。存储器401,可存储共享存储系统400的资源和访问用户的专用缓存,其中该资源包括文件或目录,该访问用户的专用缓存中包含该共享存储系统400的历史访问权限校验信息,该历史访问权限校验信息由共享存储系统400根据访问控制列表ACL确定。处理器402,可从该访问用户的专用缓存中获取该访问用户对该共享存储系统400的资源的第一访问权限校验信息。本发明实施例中,共享存储系统400通过从访问用户的专用缓存中读取访问用户对资源的第一访问权限校验信息,可提高资源访问权限的校验效率。处理器402控制集成共享存储系统400的操作,处理器402还可以称为CPU(CentralProcessingUnit,中央处理单元)。存储器401可以包括只读存储器和随机存取存储器,并向处理器402提供指令和数据。存储器401的一部分还可以包括非易失性随机存取存储器(NVRAM)。上述本发明实施例揭示的方法可以应用于处理器402中,或者由处理器402实现。处理器402可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器402中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器402可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器401,处理器402读取存储器401中的信息,结合其硬件完成上述方法的步骤。可选地,当该访问用户初次访问该共享存储系统时,处理器402可为该访问用户分配该访问用户的专用缓存。可选地,如果该访问用户的专用缓存中不存在该访问用户对该资源的第一访问权限校验信息,则处理器402可根据该资源的ACL获取该访问用户对该资源的完整的第一访问权限校验信息。处理器402还可将该访问用户对该资源的完整的第一访问权限校验信息存入存储器401内该访问用户的专用缓存中。进一步地,处理器402具体可根据该资源的ACL中的访问控制项ACE的类型获取该资源的ACL中与该访问用户相关的ACE,并根据该资源的ACL中与该访问用户相关的ACE确定该访问用户对该资源的第一访问权限校验信息。进一步地,处理器402具体可对该资源的ACL中的ACE类型相同的ACE采用折半查找以获取该资源的ACL中与该访问用户的访问权限相关的ACE。如果该访问用户的专用缓存的大小大于预定的值,则处理器402可删除该访问用户的专用缓存中一条或多条访问权限校验信息。一种优选的方式,可优先删除该访问用户的专用缓存中最久未使用的访问权限校验信息。当然还有其它删除访问权限校验信息的方式,本发明在此不作限制。如果该资源的ACL发生变化,则处理器402可删除该访问用户的专用缓存中该资源对应的访问权限校验信息。可选地,在该访问用户退出对共享存储系统400的访问时,分配单元可释放该访问用户的专用缓存。可选地,共享存储系统400用于实现本发明图1、图2中任一实施例所示的ACL校验方法,本发明在此不再赘述。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本
技术领域:
的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。权利要求1.一种访问控制列表ACL的校验方法,其特征在于,包括:从访问用户的专用缓存中获取所述访问用户对共享存储系统的资源的第一访问权限校验信息,其中,所述资源包括文件或目录,所述访问用户的专用缓存中存储所述访问用户对所述共享存储系统的历史访问权限校验信息,所述历史访问权限校验信息由所述共享存储系统根据访问控制列表ACL确定;根据所述资源的第一访问权限校验信息确定所述访问用户对所述资源的访问权限。2.如权利要求1所述的方法,其特征在于,在所述从访问用户的专用缓存中获取所述访问用户对资源的第一访问权限校验信息之前,还包括:当所述访问用户初始访问所述共享存储系统时,为所述访问用户分配所述访问用户的专用缓存。3.如权利要求1或2所述的方法,其特征在于,在所述从访问用户的专用缓存中获取所述访问用户对共享存储系统的资源的第一访问权限校验信息之前,还包括:根据所述资源的ACL获取所述访问用户对所述资源的第一访问权限校验信息;将所述访问用户对所述资源的第一访问权限校验信息存入所述访问用户的专用缓存中。4.如权利要求3所述的方法,其特征在于,所述根据所述资源的ACL获取所述访问用户对所述资源的第一访问权限校验信息包括:根据所述资源的ACL中的访问控制项ACE的类型,通过折半查找以获取所述资源的ACL中与所述访问用户相关的ACE;根据所述资源的ACL中与所述访问用户相关的ACE确定所述访问用户对所述资源的第一访问权限校验信息。5.如权利要求1至4任一项所述的方法,其特征在于,还包括:如果所述访问用户的专用缓存的大小大于预定的值,则删除所述访问用户的专用缓存中一个或多个访问权限校验信息;或者如果所述资源的ACL发生变化,则删除所述访问用户的专用缓存中所述资源对应的访问权限校验信息。6.如权利要求1至5任一项所述的方法,其特征在于,还包括:当所述访问用户退出对所述共享存储系统的访问时,释放所述访问用户的专用缓存。7.一种共享存储系统,其特征在于,包括:读写单元,用于从访问用户的专用缓存中获取所述访问用户对所述共享存储系统的资源的第一访问权限校验信息,其中,所述资源包括文件或目录,所述访问用户的专用缓存中存储所述访问用户对所述共享存储系统的历史访问权限校验信息,历史访问权限校验信息由所述共享存储系统根据访问控制列表ACL确定;确定单元,用于根据所述第一访问权限校验信息确定所述访问用户对所述资源的访问权限。8.如权利要求7所述的共享存储系统,其特征在于,还包括:分配单元,用于当所述访问用户初次访问所述共享存储系统时,为所述访问用户分配所述访问用户的专用缓存。9.如权利要求7或8所述的共享存储系统,其特征在于,所述读写单元还用于根据所述资源的ACL获取所述访问用户对所述资源的第一访问权限校验信息;所述读写单元还用于将所述访问用户对所述资源的第一访问权限校验信息存入所述访问用户的专用缓存中。10.如权利要求9所述的共享存储系统,其特征在于,所述读写单元具体用于根据所述资源的ACL中的访问控制项ACE的类型通过折半查找以获取所述资源的ACL中与所述访问用户相关的ACE,并根据所述资源的ACL中与所述访问用户相关的ACE确定所述访问用户对所述资源的第一访问权限校验信息。11.如权利要求7至10任一项所述的共享存储系统,其特征在于,所述读写单元还用于如果所述访问用户的专用缓存的大小大于预定的值,则删除所述访问用户的专用缓存中一个或多个的访问权限校验信息;或者所述读写单元还用于如果所述资源的ACL发生变化,则删除所述访问用户的专用缓存中所述资源对应的访问权限校验信息。12.如权利要求7至11任一项所述的共享存储系统,其特征在于,所述分配单元还用于在所述访问用户退出对所述共享存储系统的访问时释放所述访问用户的专用缓存。全文摘要本发明实施例提供了一种ACL校验方法和共享存储系统。该方法包括从访问用户的专用缓存中获取该访问用户对共享存储系统的资源的第一访问权限校验信息,其中,该资源包括文件或目录,该访问用户的专用缓存中存储该访问用户对该共享存储系统的历史访问权限校验信息,该历史访问权限校验信息由该共享存储系统根据访问控制列表ACL确定;根据该资源的第一访问权限校验信息确定该访问用户对该资源的访问权限。本发明实施例中,通过从访问用户的专用缓存中读取访问用户对资源的第一访问权限校验信息,可提高资源访问权限的校验效率。文档编号H04L29/06GK103078845SQ20121055324公开日2013年5月1日申请日期2012年12月19日优先权日2012年12月19日发明者何益,黄克骥申请人:华为技术有限公司