用于共享文件存储的方法和系统的制作方法

用于共享文件存储的方法和系统的制作方法
【专利说明】
【背景技术】
[0001]企业中产生和存储的信息可以以许多形式和方式存在。该信息可以分布在整个企业中并通过使用各种技术进行管理，这取决于所考虑的任务。这种企业中数据处理和数据生成的增加的使用产生不断增加的信息量，其中这些信息必须被短期、中长期或长期存储。具体地，也必须备妥信息用于重复使用。为了维护这类信息，例如，数据记录和文件，企业一般实施数据管理和文件存储系统，它们提供高效而简单的解决方案以管理信息。例如，企业可以使用应用程序使得它的用户接入相关数据库或文件管理应用程序以访问与它们的网络相关的文件，因此为用户提供共享文件存储和数据管理设施。
【附图说明】
[0002]引用附图描述【具体实施方式】。在附图中，附图标记最左边的数字表示附图标记首次出现的图。整个附图中，相同的附图标记代表同样的特征和组件。现在通过实例方式并引用附图描述根据本主题的各种实例的系统和/或方法，其中:
[0003]图1 (a)根据本主题的一个实例示出实施对存储在共享文件存储装置上的文件进行访问控制的系统的通信网络环境；
[0004]图1 (b)根据本主题的一个实例示出到不同组中的用户的分布；
[0005]图2根据本主题的一个实例示出作为存储在共享文件存储装置上的文件的访问控制数据结构的一种访问引用图(ARG);
[0006]图3(a)根据本主题的一个实例示出描述出于文件创建目的在用户和文件存储系统的实体之间进行信息交换的调用流程图；
[0007]图3(b)根据本主题的一个实例示出描述出于文件更新目的在用户和文件存储系统的实体之间进行信息交换的调用流程图；
[0008]图3(c)根据本主题的一个实例示出描述出于文件删除目的在用户和文件存储系统的实体之间进行信息交换的调用流程图；
[0009]图4根据本主题的一个实例示出用于对存储在共享存储平台上的文件进行提供访问控制的一种方法；
[0010]图5根据本主题的原理示出用于存储在共享文件存储装置上的文件的访问控制的作为一个实例的另外一种通信网络环境。
【具体实施方式】
[0011]本文描述用于共享文件存储和这种共享文件存储的访问控制的系统和方法。能够在通过各种网络连接的各种计算装置中实现所属方法。尽管本文的描述针对用于多用户共享文件存储的计算装置，但是所述方法和所描述的技术可以在其它系统中实现，尽管有一些变化。
[0012]在当今的环境下，全球不同的用户每秒都在创建信息。企业可以在不同的地理位置具有业务，来自所述不同地理位置的不同用户通过复杂的安全网络互连并产生信息。这类企业可能配备有最先进的设施和资源，然而，当前可用的信息管理机制不能在提供高效的存储方案时提供有效的访问控制机制，也不能在提供有效的访问控制机制时提供高效的存储方案。例如，文件存储系统(其相对用户而言，允许基本不受限制的文件控制)可以将其它用户的文件存储在不同位置以提供基本不受限制的控制。尽管这种方案对于用户而言，提供对文件的绝对控制，但是这些方案存储量大且往往需要大的存储空间，为不同用户存储单个文件的多个副本。
[0013]实施高效存储技术以存储文件的文件存储系统通常通过访问控制列表(ACL)提供访问控制。ACL本质上是存储的信息列表，其包括认证实体或用户的列表以及文件存储系统中的文件或对象的列表。然后文件存储系统可以查阅ACL以确定，例如，是否能够允许访问文件的用户请求。然而，这种基于ACL的文件存储系统，当在分布式计算系统中实施时，会遭受可伸缩性问题。例如，文件存储系统使用的ACL，随着所涉及的用户和文件数目的增加，其大小呈指数增加，因此，对应于这种ACL的数据存储可能变得不高效和不经济。
[0014]此外，随着用户数目的增加，访问请求的数目增加，这会使得文件存储系统超载。而且，由于各人用户有待认证以访问文件，随着用户数目增加，需要满足大量的请求。增加的ACL处理负荷可能导致每个请求排队，因此，可伸缩性方面在ACL的实施中面临挑战。
[0015]根据本主题的一个实施方式，本文描述基于共享文件存储和多用户环境中的访问引用图(Access Reference Graph，ARG)进行文件存储和访问控制的系统和方法。一方面，所描述的方法能够在多用户环境中进行高效文件存储；另一方面，所述方法为用户提供可伸缩和可靠的文件访问控制。
[0016]根据本主题的所述实施方式，ARG用于提供基于独立能力的访问控制数据结构，其中，基于所实施的ARG，能够利用企业文件的全局唯一标识符(⑶ID)如哈希值引用企业文件。换句话说，有待存储在共享文件存储平台上的每个文件可以基于它的GUID被引用，并且这些文件的引用可以以ARG的形式存储以提供访问控制数据结构。
[0017]ARG图提供纯粹能力的数据结构。在本主题的实施方式中，ARG是作为具有安全访问文件及其先前版本的能力的节点的伪随机和全局唯一文件号的图，其中文件及其先前版本作为连接到节点的边线表示的有序集合的文件。在一个实施方式中，全局ARG能够由多个用户和用户组通过安全通信信道访问以执行各种功能，例如，读取、写入和/或执行文件。
[0018]由于文件存储系统将ARG用作用于文件的访问控制的数据结构并将文件的GUID用作引用，因此待存储在共享文件存储平台上的每个文件可以与全局唯一哈希值相关。文件的哈希值可以基于加密哈希函数(如SHA-256)或其它函数而生成。在ARG中，这种⑶ID可以由文件存储系统用作引用以提供高效的文件存储和有效的访问控制。
[0019]在一个实施方式中，所生成的唯一引用被引用为由文件存储系统实施并且基于文件的唯一引用的ARG的节点，ARG的唯一节点被引用实际文件以创建。
[0020]用户可以被提供有添加节点、删除节点或修改节点以及定义在ARG上的边线的功能。如前面描述的，由于ARG中的每个节点被定义为全局唯一文件号并且每个边线被定义为有序集合的文件，所以节点和边线的添加、删除或修改意味着分别添加新文件、删除已有文件以及修改已有文件的动作。节点的添加、删除和修改的不同功能可以基于用户获得的访问权限。用户的权限可以由用户被分类到的组和子组来限定。出于简洁考虑，相对于每种操作的描述和操作协议已经针对附图限定。
[0021]用作访问控制数据结构的ARG的所述应用和实施保证具有全局唯一且机密的标识符(例如，哈希值)的每个文件只执行一次就安全地存储在共享文件存储平台上，而不管独立文件用户的数目。这种能力优化存储服务的使用。进一步，每个文件还能够是固有版本和访问受控的，以促进用户之间安全的基于文件的合作。
[0022]上述系统和方法进一步结合图1到图5描述。应当注意，所述描述和附图仅示出本主题的原理。因此，将理解，体现本主题的原理的各种布置(尽管本文没有明确描述或示出)，能够由本说明书设计得到并包括在本主题的范围内。此外，本文叙述的所有实例用于教育目的以帮助读者理解本主题的原理。而且，本文叙述本主题的原理、各个方面和实例的所有陈述及其具体实例旨在包含其等同体。
[0023]图1 (a)、图1 (b)和图2根据本主题的一个实例描述上述方法和技术的实施方式。
[0024]图1 (a)根据本主题的一个实例示出实施用于提供有效访问控制和高效文件存储的文件存储系统102的共享文件存储平台环境100。图1 (b)根据本主题的一个实例示出到不同组和子组的用户分类。图2示出文件存储系统102的不同模块的相互组合和作为存储在共享文件存储平台环境100中的文件的访问控制数据结构的访问引用图(ARG)的实施方式。
[0025]出于简洁和解释目的，后文将文件存储系统102称为系统102。本文所述系统102能够在包括各种网络设备(包括路由器、桥接器、服务器、计算装置、存储装置等)的任意网络环境中实施。
[0026]在一个实施方式中，系统102通过网络106连接到用户设备104_1、104_2、104_3、104-4、104-5、104-6、…、104_N(下文单独并统称为用户设备(一个或更多个)104)中的至少一个用户。在所述实施方式中，为了高效文件存储和访问控制，希望针对存储在共享存储装置上的文件执行各种操作的系统102的不同用户可以被分类到各种组(例如，匕、G2、…，Gn)中。每个这种组接着可以被进一步分为子组。
[0027]在一个实施方式中，子组可以被定义为，但不限于，管理方、更新方、读取方、公开方和消息传送实体。子组的每个用户可以基于提供给该用户的访问级别被分配有不同角色。例如，在组匕中，可以存在5个不同的用户，其中使用用户设备104-1的用户被分类到子组管理方。进一步，使用用户设备104-2和104-3的用户可以被分类到其它子组更新方。类似地，组G2的用户也可以被分类到下列子组:使用用户设备104-4的用户被定义为管理方，而使用用户设备104-5的用户被分类为读取方。
[0028]在一个实施方式中，可以基于各种标准(例如，资历、信任度、责任和机密考虑)将用户分类到组和子组中。尽管可以使用本文描述的任意标准或标准组合，但是还可以实施其它用户分类标准和方法。例如，如图1(b)所示，在具有25个用户的组织150中，可以基于这些用户的地理位置形成四个不同的组匕、G2、63和G4。在这四个组中，每个组分别包括
5、4、9和7个用户。该用户组可以被进一步细分为管理方、更新方、读取方、公开方和消息传送实体的子组。