專(zhuān)利名稱:一種文件對(duì)象權(quán)限管理的實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種電子文檔的管理方法,具體說(shuō)是一種文件對(duì)象權(quán)限管理的實(shí)現(xiàn)方 法。
背景技術(shù):
企業(yè)計(jì)算機(jī)中存在大量的電子文件,包含了技術(shù)、經(jīng)營(yíng)的大量信息和數(shù)據(jù)。為了數(shù) 據(jù)的安全,用戶需要在文件服務(wù)器上集中保存這些文件,并做好防災(zāi)工作。更進(jìn)一步地,還 需要能控制用戶對(duì)文件服務(wù)器上集中存儲(chǔ)文件的操作授權(quán)。例如,什么人能瀏覽哪些文件, 什么人能修改哪些文件等。目前,已經(jīng)出現(xiàn)了許多種文件管理軟件,它們的文件權(quán)限實(shí)現(xiàn)方法基本如下首 先,在計(jì)算機(jī)服務(wù)器上安裝一個(gè)數(shù)據(jù)庫(kù)軟件,如SQLServer、Oracle等,并在數(shù)據(jù)庫(kù)中定義 一個(gè)用戶表和一個(gè)權(quán)限定義表;然后,軟件中對(duì)用戶定義文件的操作權(quán)限時(shí),將權(quán)限記錄寫(xiě) 在數(shù)據(jù)庫(kù)的權(quán)限定義表中;最后,在軟件中進(jìn)行權(quán)限計(jì)算時(shí),查詢權(quán)限定義表,找到相關(guān)的 權(quán)限記錄進(jìn)行計(jì)算和判斷。然而現(xiàn)有技術(shù)仍然存在著如下問(wèn)題權(quán)限記錄保存在數(shù)據(jù)庫(kù)中, 用戶的項(xiàng)目 實(shí)施需要安裝數(shù)據(jù)庫(kù)軟件,軟件實(shí)現(xiàn)和項(xiàng)目實(shí)施復(fù)雜;權(quán)限的計(jì)算建立在數(shù)據(jù) 庫(kù)的數(shù)據(jù)查詢之上,在管理的文件和文件夾層級(jí)與數(shù)量較大的情況下,權(quán)限定義表中就會(huì) 產(chǎn)生大量的權(quán)限記錄,權(quán)限的計(jì)算將會(huì)變得非常復(fù)雜、低效;更進(jìn)一步地,如果想在文件夾 層級(jí)較大的情況下,實(shí)現(xiàn)復(fù)雜的權(quán)限應(yīng)用模型,例如對(duì)文件夾,權(quán)限的應(yīng)用范圍就有“只有 該文件夾”、“該文件夾、子文件夾及文件”、“該文件夾及子文件夾”、“該文件夾及文件”、“只 有子文件夾及文件”、“只有子文件夾”、“只有文件”等種類(lèi),權(quán)限的實(shí)現(xiàn)和計(jì)算邏輯將會(huì)更 加困難、運(yùn)算也更低效。事實(shí)上,目前的各種文件管理軟件中很少有能實(shí)現(xiàn)上述復(fù)雜的權(quán)限 應(yīng)用模型的。
發(fā)明內(nèi)容
發(fā)明目的本發(fā)明的目的在于提供一種電子文檔的管理方法,實(shí)現(xiàn)對(duì)文件服務(wù)器 上文件的權(quán)限管理,其解決了現(xiàn)有技術(shù)中文件權(quán)限的實(shí)現(xiàn)邏輯復(fù)雜、權(quán)限計(jì)算低效、難以實(shí) 現(xiàn)復(fù)雜的權(quán)限應(yīng)用模型的問(wèn)題。技術(shù)方案一種文件對(duì)象權(quán)限管理的實(shí)現(xiàn)方法,所述方法包括以下步驟(1)建立文件對(duì)象的管理軟件用戶和操作系統(tǒng)用戶的邏輯對(duì)應(yīng)關(guān)系;建立管理軟 件中的文件對(duì)象的操作權(quán)限與操作系統(tǒng)中的權(quán)限項(xiàng)目組合的一一對(duì)應(yīng)關(guān)系;(2)定義管理軟件用戶的用戶權(quán)限在文件對(duì)象的安全屬性中記錄管理軟件用戶 的權(quán)限記錄;(3)權(quán)限判斷當(dāng)管理軟件中用戶需要操作使用電子文檔時(shí),管理軟件讀取記錄 在文件對(duì)象的安全屬性上的權(quán)限記錄進(jìn)行權(quán)限判斷;(5)根據(jù)權(quán)限判斷的結(jié)果,在管理軟件中允許或禁止管理軟件用戶的電子文檔操作。
其中,步驟(1)中,所述的管理軟件用戶與操作系統(tǒng)用戶的邏輯對(duì)應(yīng)關(guān)系是指每 一個(gè)管理軟件用戶都有一個(gè)系統(tǒng)用戶與之對(duì)應(yīng)。其中,步驟(1)中,所述的管理軟件用戶是指進(jìn)行軟件登錄的用戶身份信息。其中,步驟(1)中,所述的操作系統(tǒng)用戶是指登錄計(jì)算機(jī)操作系統(tǒng)的系統(tǒng)用戶身 份信息,包括微軟的Windows操作系統(tǒng)的本地用戶、域用戶。其中,步驟(2)中,所述的具有安全屬性的文件對(duì)象包括微軟的WindOWS2000及 Windows2000以上操作系統(tǒng)的NTFS分區(qū)中的電子文件和文件夾。其中,所述的權(quán)限記錄是指管理軟件用戶對(duì)文件對(duì)象能進(jìn)行的操作,權(quán)限種類(lèi)由 文件對(duì)象的安全屬性的權(quán)限項(xiàng)目組合來(lái)標(biāo)記。其中,所述的權(quán)限記錄包含文件對(duì)象、軟件用戶和權(quán)限種類(lèi);其中,所述的權(quán)限種 類(lèi)指軟件中對(duì)文件對(duì)象的操作方式,包括瀏覽、打印、下載、簽入與簽出、修改與刪除、賦權(quán) 限。其中,所述的權(quán)限記錄還包括權(quán)限類(lèi)型和權(quán)限的應(yīng)用范圍;權(quán)限類(lèi)型是指允許或 拒絕,表明權(quán)限記錄的性質(zhì);權(quán)限的應(yīng)用范圍是表明權(quán)限的作用范圍,如對(duì)文件夾,權(quán)限的 應(yīng)用范圍就有“只有該文件夾”、“該文件夾、子文件夾及文件”、“該文件夾及子文件夾”、“該 文件夾及文件”、“只有子文件夾及文件”、“只有子文件夾”、“只有文件”。有益效果本發(fā)明通過(guò)直接在服務(wù)器文件對(duì)象的安全屬性中記錄用戶的授權(quán)記 錄;在權(quán)限判斷時(shí),查詢文件對(duì)象的安全屬性,來(lái)確定用戶的操作授權(quán),大大簡(jiǎn)化了文件權(quán) 限的實(shí)現(xiàn)模型,從而可以快速開(kāi)發(fā)出一套用于電子文檔管理軟件的穩(wěn)定、高效、功能強(qiáng)大的 文件權(quán)限管理模塊,增強(qiáng)電子文件的管理水平。本發(fā)明實(shí)現(xiàn)方式簡(jiǎn)單,既不需要在數(shù)據(jù)庫(kù)中 記錄權(quán)限記錄;也不需要復(fù)雜的計(jì)算方法和運(yùn)算開(kāi)銷(xiāo),就能實(shí)現(xiàn)功能強(qiáng)大的文件權(quán)限管理 模型。
圖示為本發(fā)明的流程圖。
具體實(shí)施例方式為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖和實(shí)施例,對(duì) 本發(fā)明進(jìn)行進(jìn)一步的詳細(xì)說(shuō)明。應(yīng)當(dāng)理解,此處所描述的實(shí)施例僅僅用于解釋本發(fā)明,并不 用于限定本發(fā)明。實(shí)現(xiàn)本發(fā)明文件對(duì)象管理權(quán)限的實(shí)現(xiàn)方法的系統(tǒng)包括軟件用戶管理模塊,用于定義和維護(hù)軟件用戶和系統(tǒng)用戶的對(duì)應(yīng)關(guān)系;文件對(duì)象的權(quán)限定義模塊,用于定義和維護(hù)文件對(duì)象的操作授權(quán);文件對(duì)象的權(quán)限計(jì)算模塊,用于判斷軟件用戶對(duì)文件對(duì)象的操作權(quán)限。實(shí)施例1 1、本發(fā)明文件對(duì)象的權(quán)限實(shí)現(xiàn)方法的系統(tǒng)環(huán)境是微軟的WindOWS2000及以上版 本的操作系統(tǒng);實(shí)現(xiàn)的功能是對(duì)企業(yè)中的一臺(tái)用作文件服務(wù)器的目標(biāo)計(jì)算機(jī)上NTFS分區(qū) 的電子文件和文件夾進(jìn)行操作權(quán)限的管理;公司其他的計(jì)算機(jī)與該目標(biāo)計(jì)算機(jī)聯(lián)網(wǎng),即可 根據(jù)目標(biāo)計(jì)算機(jī)上電子文件和文件夾的操作權(quán)限的設(shè)置進(jìn)行相應(yīng)的操作。
如圖所示,在步驟S101中,首先建立管理軟件用戶與操作系統(tǒng)用戶的一一對(duì)應(yīng)關(guān) 系。系統(tǒng)用戶是指目標(biāo)計(jì)算機(jī)操作系統(tǒng)的本地用戶。在管理軟件中每定義一個(gè)新用戶,軟 件都會(huì)相應(yīng)地在系統(tǒng)中增加一個(gè)系統(tǒng)用戶。他們的對(duì)應(yīng)關(guān)系可以以下面的方法記錄新建 軟件用戶時(shí),分配給它一個(gè)唯一性的、不會(huì)改變的用戶ID,例如“22”,對(duì)應(yīng)的系統(tǒng)用戶名稱 就是“SAFE_用戶ID”表示,例如“SAFE_22”。這樣,根據(jù)軟件用戶的ID信息就能夠知道其 對(duì)應(yīng)的系統(tǒng)用戶名稱,也就在邏輯上建立了管理軟件用戶和操作系統(tǒng)用戶的對(duì)應(yīng)關(guān)系。作為本發(fā)明的一個(gè)實(shí)施例,還支持對(duì)軟件用戶組定義文件權(quán)限。軟件用戶組是若 干軟件用戶的集合。同樣地,在軟件中每定義一個(gè)新用戶組,都會(huì)相應(yīng)地在系統(tǒng)中增加一個(gè) 系統(tǒng)本地用戶組。他們的對(duì)應(yīng)關(guān)系也以下面的方法記錄新建軟件用戶組時(shí),分配給它一 個(gè)唯一性的、不會(huì)改變的用戶組ID,比如“G04”,對(duì)應(yīng)的系統(tǒng)用戶組名稱就是“SAFE_用戶 組ID”,比如“SAFE_G04”。這樣,根據(jù)軟件用戶組的信息也能夠知道其對(duì)應(yīng)的系統(tǒng)用戶組名 稱。并且,當(dāng)把一個(gè)軟件用戶加入或刪除一個(gè)軟件用戶組中時(shí),也會(huì)相應(yīng)地將對(duì)應(yīng)的系統(tǒng)用 戶加入或刪除對(duì)應(yīng)的系統(tǒng)用戶組。應(yīng)當(dāng)理解,還有許多種方法能描述和實(shí)現(xiàn)軟件用戶與系統(tǒng)用戶的對(duì)應(yīng)關(guān)系,本實(shí) 施例中采用的方法僅僅用于解釋本發(fā)明,并不用于限定本發(fā)明。然后建立管理軟件中的文件對(duì)象的操作權(quán)限與操作系統(tǒng)中的權(quán)限項(xiàng)目組合的 一一對(duì)應(yīng)關(guān)系。在本實(shí)施例中,實(shí)現(xiàn)了對(duì)文件對(duì)象的6種操作權(quán)限的定義和控制,它們分別 是瀏覽、打印、下載、簽入與簽出、修改與刪除、賦權(quán)限。NTFS文件分區(qū)的文件對(duì)象的安全 屬性中,權(quán)限項(xiàng)目有下列13種(1)完全控制(Full Control);(2)遍歷文件夾 / 運(yùn)行文件(Traverse Folder/Execute File);(3)列出文件夾 / 讀取數(shù)據(jù)(List Folder/Read Data);(4)讀取屬性(ReadAttributes);(5)讀取擴(kuò)展屬性(Read Extended Attributes);(6)創(chuàng)建文件 / 寫(xiě)入數(shù)據(jù)(Create File/Write Data);(7)創(chuàng)建文件夾 / 附加數(shù)據(jù)(Create Folders/Append Data);(8)寫(xiě)入屬性(WriteAttributes);(9)寫(xiě)入擴(kuò)展屬性(Write ExtendedAttributes);(10)刪除(Delete);(11)讀取權(quán)限(Read Permissions);(12)更改權(quán)限(Change Permissions);(13)取得所有權(quán)(Take Ownership)。本實(shí)施例中通過(guò)不同權(quán)限項(xiàng)目的組合,標(biāo)記出了軟件中所有的文件操作權(quán)限。 例如,用⑶+⑷代表瀏覽權(quán)限;用(3) + (4) + (2)代表打印權(quán)限;用(3)+ (4)+ (2)+ (5) 代表下載權(quán)限權(quán)限;用(3)+ (4)+ (2)+ (5)+ (8)+ (9)代表簽入與簽出權(quán)限;用 (3)+ (4)+ (2)+ (5)+ (8)+ (9)+ (6)+ (7)代表修改與刪除權(quán)限;用(3) + (4) + (2) + (5) + (8) + (9) + (6) + (7) + (11) + (12)代表賦權(quán)限。這樣,在軟件中為用戶定義一個(gè)文件對(duì)象的操作權(quán)限,就轉(zhuǎn)化為在文件對(duì)象的安 全屬性中,以相應(yīng)的系統(tǒng)用戶的身份增加一條權(quán)限項(xiàng)目組合的記錄。
類(lèi)似的權(quán)限項(xiàng)目組合方式幾乎有無(wú)數(shù)多種,也就可以滿足所有自定義的文件操作 權(quán)限的需要。2、定義管理軟件用戶的用戶權(quán)限在文件對(duì)象的安全屬性中記錄管理軟件用戶的 權(quán)限記錄。在步驟S102中,定義用戶權(quán)限,在文件對(duì)象的安全屬性中,記錄和維護(hù)系統(tǒng)用戶 的權(quán)限記錄,包括權(quán)限的增加、修改和刪除操作。步驟S201中,查找軟件用戶對(duì)應(yīng)的系統(tǒng)用戶。在本實(shí)施例中,軟件用戶的權(quán)限記 錄保存在目標(biāo)計(jì)算機(jī)的NTFS分區(qū)文件對(duì)象的安全屬性中,以權(quán)限的形式記錄。這樣,在軟 件中為用戶定義一個(gè)文件對(duì)象的操作權(quán)限的操作,就轉(zhuǎn)化為在文件對(duì)象的安全屬性中,以 相應(yīng)的系統(tǒng)用戶的身份增加一條權(quán)限記錄。按照軟件用戶和系統(tǒng)用戶的邏輯對(duì)應(yīng)關(guān)系,確 定系統(tǒng)用戶。本實(shí)施例中,支持對(duì)一個(gè)軟件用戶組定義文件對(duì)象的操作權(quán)限,所有用戶組的 成員都會(huì)擁有所屬用戶組的權(quán)限。同樣地,也是按照用戶組的邏輯對(duì)應(yīng)關(guān)系,確定系統(tǒng)用戶 組。步驟S202中,查找操作權(quán)限對(duì)應(yīng)的權(quán)限項(xiàng)目組合。本實(shí)施例中,用記錄在文件安全屬性上的一個(gè)存取控制權(quán)限記錄 ACE (AccessControl Entry)對(duì)象表示一個(gè)用戶操作權(quán)限記錄,在它上面記錄了以下5個(gè)方 面的內(nèi)容(1)文件對(duì)象,就是當(dāng)前在軟件中要進(jìn)行權(quán)限定義的文件對(duì)象。(2)系統(tǒng)用戶或系統(tǒng)用戶組,對(duì)應(yīng)軟件中的軟件用戶和軟件用戶組。(3)若干權(quán)限項(xiàng)目的組合,對(duì)應(yīng)的是軟件中的文件對(duì)象操作方式,本實(shí)施例中,用 這種組合代表了文件對(duì)象的瀏覽、打印、下載、簽入與簽出、修改與刪除、賦權(quán)限6種操作。(4)權(quán)限類(lèi)型,允許或拒絕,表明權(quán)限記錄的性質(zhì)。(5)權(quán)限的應(yīng)用范圍,表明權(quán)限的作用范圍。本實(shí)施例中對(duì)文件夾對(duì)象,實(shí)現(xiàn)了“只 有該文件夾”、“該文件夾、子文件夾及文件”、“該文件夾及子文件夾”、“該文件夾及文件”、 “只有子文件夾及文件”、“只有子文件夾”、“只有文件” 7種權(quán)限應(yīng)用邏輯。綜上所述,本實(shí)施例中,要增加一條權(quán)限記錄,就等同于為文件對(duì)象增加一個(gè)ACE 記錄;要修改一條權(quán)限記錄,就等同于修改文件對(duì)象的對(duì)應(yīng)ACE記錄;要?jiǎng)h除一條權(quán)限記 錄,就等同于刪除文件對(duì)象的對(duì)應(yīng)ACE記錄。步驟S203中,直接調(diào)用微軟Windows系統(tǒng)(WindOWS2000及以上操作系統(tǒng)版本) 的文件安全API函數(shù),實(shí)現(xiàn)了上述文件權(quán)限的增加、修改和刪除操作。本實(shí)施例中,增加用戶權(quán)限的步驟如下步驟1 取得要增加權(quán)限的文件對(duì)象的安全描述符SD(SECURITY_DESCRIPTOR)對(duì)象。步驟2 從返回的SD中取出所有系統(tǒng)用戶的存取控制列表 ACL(DiscretionaryAccess Control List),它的每一項(xiàng)就是一個(gè)系統(tǒng)存取控制權(quán)限記錄 ACE (AccessControl Entry)對(duì)象,記錄著一個(gè)定義的文件權(quán)限。步驟3 創(chuàng)建與新的用戶操作權(quán)限記錄相對(duì)應(yīng)的權(quán)限記錄ACE對(duì)象,并將它寫(xiě)入目 標(biāo)文件對(duì)象的存取控制列表ACL中。步驟4 將修改完成的存取控制列表ACL寫(xiě)回文件對(duì)象的安全描述符SD。
本實(shí)施例中,修改用戶權(quán)限的步驟如下步驟1 取得要修改權(quán)限的文件對(duì)象的安全描述符SD對(duì)象;步驟2 從返回的SD中取出所有系統(tǒng)用戶的存取控制列表ACL,它的每一項(xiàng)就是一 個(gè)ACE權(quán)限記錄對(duì)象,記錄著一個(gè)定義的文件權(quán)限。步驟3 循環(huán)存取控制列表ACL中的每一個(gè)ACE權(quán)限對(duì)象,找到要修改的ACE權(quán)限 記錄,通過(guò)改變它的權(quán)限項(xiàng)目組合,實(shí)現(xiàn)權(quán)限的修改。步驟4 將修改完成的存取控制列表ACL寫(xiě)回文件對(duì)象的安全描述符SD。本實(shí)施例中,刪除用戶權(quán)限的步驟如下步驟1 取得要修改權(quán)限的文件對(duì)象的安全描述符SD對(duì)象;步驟2 從返回的SD中取出所有系統(tǒng)用戶的存取控制列表ACL,它的每一項(xiàng)就是一 個(gè)ACE權(quán)限記錄對(duì)象,記錄著一個(gè)定義的文件權(quán)限。步驟3 循環(huán)存取控制列表ACL中的每一個(gè)ACE權(quán)限對(duì)象,找到要?jiǎng)h除的ACE權(quán)限 記錄,從ACL列表中刪除它。步驟4 將修改完成的存取控制列表ACL寫(xiě)回文件對(duì)象的安全描述符SD。在本實(shí)施例中,根據(jù)步驟管理軟件用戶和操作系統(tǒng)用戶的邏輯對(duì)應(yīng)關(guān)系、管理軟 件中的文件對(duì)象的操作權(quán)限與操作系統(tǒng)中的權(quán)限項(xiàng)目組合的一一對(duì)應(yīng)關(guān)系,就將軟件用戶 (或用戶組)的操作權(quán)限問(wèn)題,轉(zhuǎn)化為在文件對(duì)象的安全屬性中,為某系統(tǒng)用戶(或系統(tǒng)用 戶組),增加、修改、刪除特定的權(quán)限項(xiàng)目組合的權(quán)限記錄問(wèn)題了。3、在步驟S103中,用戶權(quán)限判斷,讀取記錄在文件對(duì)象的安全屬性上的權(quán)限記 錄,進(jìn)行權(quán)限判斷。作為本發(fā)明的一個(gè)實(shí)施例,對(duì)目標(biāo)計(jì)算機(jī)上NTFS分區(qū)的文件對(duì)象的權(quán)限判斷如 下在步驟S301中,查找軟件用戶對(duì)應(yīng)的系統(tǒng)用戶。在步驟S302中,查找操作權(quán)限對(duì)應(yīng)的權(quán)限項(xiàng)目組合。在步驟S303中,讀取文件對(duì)象的安全屬性中的該用戶的所有權(quán)限記錄,進(jìn)行權(quán)限 判斷。在本實(shí)施例中,根據(jù)步驟S301和S302,就將軟件中的用戶(或用戶組)的操作權(quán) 限判斷問(wèn)題,轉(zhuǎn)化為在文件對(duì)象的安全屬性中,查詢某系統(tǒng)用戶(或系統(tǒng)用戶組)、有無(wú)特 定的權(quán)限項(xiàng)目組合的權(quán)限記錄問(wèn)題了。在本實(shí)施例中,直接調(diào)用微軟Windows系統(tǒng)(WindOWS2000及以上操作系統(tǒng)版本) 的文件安全API函數(shù),實(shí)現(xiàn)了上述文件權(quán)限的查詢操作。步驟如下步驟1 取得要判斷權(quán)限的文件對(duì)象的安全描述符SD(SECURITY_DESCRIPTOR);步驟2 從返回的SD中取出所有系統(tǒng)用戶的存取控制列表ACUDiscretionary AccessControl List),它的每一項(xiàng)就是一個(gè)ACE對(duì)象,記錄著一個(gè)定義的文件權(quán)限。步驟3 循環(huán)ACL列表的ACE權(quán)限記錄,根據(jù)其上定義的權(quán)限項(xiàng)目組合,就能判斷 出用戶對(duì)文件的操作權(quán)限。4、在步驟S104中,根據(jù)權(quán)限判斷的結(jié)果,在電子文檔管理軟件中允許或禁止用戶 的文件操作。在用戶做某項(xiàng)文件操作前,會(huì)按照上述流程判斷權(quán)限。如果軟件用戶不具有 相應(yīng)的文件操作權(quán)限,軟件中,將會(huì)禁止用戶的文件操作,并提示“無(wú)操作權(quán)限”;反之,就允許這個(gè)操作。實(shí)施例1實(shí)現(xiàn)的功能是對(duì)企業(yè)中的一臺(tái)用作文件服務(wù)器的目標(biāo)計(jì)算機(jī)上NTFS分 區(qū)的文件和文件夾進(jìn)行權(quán)限管理。但是,面對(duì)更復(fù)雜的分布式的文件管理要求,例如一個(gè) 公司有多個(gè)部門(mén),每個(gè)部門(mén)都有自己的文件服務(wù)器保存本部門(mén)的資料;公司有一臺(tái)公司級(jí) 的文件服務(wù)器,保存公司級(jí)別的文件資料;需要統(tǒng)一管理公司內(nèi)部用戶在多個(gè)文件服務(wù)器 上文件的操作權(quán)限,用戶要能以一個(gè)統(tǒng)一的身份登錄到不同的文件服務(wù)器上、按照對(duì)其的 授權(quán)信息使用相關(guān)文件的情況,第一實(shí)施例所述的方法就無(wú)法滿足要求了。實(shí)施例2 本發(fā)明的第二實(shí)施例提供了一種分布式電子文檔管理軟件的文件權(quán)限實(shí)現(xiàn)方法。作為本發(fā)明的第二實(shí)施例,它的系統(tǒng)環(huán)境是微軟的WindowdOOOServer及以上版 本的操作系統(tǒng)的域(Active Directory)模式網(wǎng)絡(luò);實(shí)現(xiàn)的功能是對(duì)分布在企業(yè)域模式網(wǎng) 絡(luò)中的若干臺(tái)用作文件服務(wù)器的目標(biāo)計(jì)算機(jī)上NTFS分區(qū)的文件和文件夾進(jìn)行操作權(quán)限的管理。1、維護(hù)和管理軟件用戶與系統(tǒng)域用戶的邏輯對(duì)應(yīng)關(guān)系。系統(tǒng)用戶是指域模式網(wǎng) 絡(luò)(以下簡(jiǎn)稱“域”)中的域用戶。在軟件中每定義一個(gè)新用戶,軟件都會(huì)相應(yīng)地在域控制 器上增加一個(gè)域用戶。他們的對(duì)應(yīng)關(guān)系以下面的方法記錄新建軟件用戶時(shí),分配給它一 個(gè)唯一性的、不會(huì)改變的用戶ID,比如“22”,對(duì)應(yīng)的域用戶名稱就是“SAFE_用戶ID”,比如 “SAFE_22”。這樣,根據(jù)軟件用戶的ID信息就能夠知道其對(duì)應(yīng)的域用戶名稱,也就在邏輯上 建立了軟件用戶和域用戶的對(duì)應(yīng)關(guān)系。實(shí)施例2還支持對(duì)軟件用戶組定義文件權(quán)限。軟件用戶組是若干軟件用戶的集 合。同樣地,在軟件中每定義一個(gè)新用戶組,軟件都會(huì)相應(yīng)地在域中增加一個(gè)域用戶組。他 們的對(duì)應(yīng)關(guān)系也以下面的方法記錄新建軟件用戶組時(shí),分配給它一個(gè)唯一性的、不會(huì)改變 的用戶組ID,比如“G04”,對(duì)應(yīng)的域用戶組名稱就是“SAFE用戶組ID”,比如“SAFE_G04”。這 樣,根據(jù)軟件用戶組的信息也能夠知道其對(duì)應(yīng)的域用戶組名稱。并且,當(dāng)把一個(gè)軟件用戶加 入(或刪除)一個(gè)軟件用戶組中時(shí),也會(huì)相應(yīng)地將對(duì)應(yīng)的域用戶加入(或刪除)對(duì)應(yīng)的域 用戶組。應(yīng)當(dāng)理解,還有許多種方法能描述和實(shí)現(xiàn)軟件用戶與域用戶的對(duì)應(yīng)關(guān)系,本實(shí)施 例中采用的方法僅僅用于解釋本發(fā)明,并不用于限定本發(fā)明。2、定義用戶權(quán)限,在文件對(duì)象的安全屬性中,記錄和維護(hù)用戶的權(quán)限記錄,包括權(quán) 限的增加、修改和刪除操作。作為本發(fā)明的第二實(shí)施例,對(duì)域中所有目標(biāo)計(jì)算機(jī)上NTFS分區(qū)的文件對(duì)象與第 一實(shí)施例不同的是在這里與軟件用戶(或用戶組)邏輯對(duì)應(yīng)的系統(tǒng)用戶為域用戶(或域 用戶組),在文件對(duì)象的安全屬性中記錄權(quán)限時(shí),要以域用戶(或域用戶組)的身份寫(xiě)入權(quán) 限記錄。3、用戶權(quán)限判斷,讀取記錄在文件對(duì)象安全屬性上的權(quán)限記錄,進(jìn)行權(quán)限判斷。作為本發(fā)明的第二實(shí)施例,對(duì)域中所有目標(biāo)計(jì)算機(jī)上NTFS分區(qū)的文件對(duì)象的權(quán) 限判斷與第一實(shí)施例不同的是在這里與軟件用戶(或用戶組)邏輯對(duì)應(yīng)的系統(tǒng)用戶為域 用戶(或域用戶組),在查詢文件對(duì)象的安全屬性進(jìn)行權(quán)限計(jì)算時(shí),要以域用戶(或域用戶 組)的身份查詢權(quán)限記錄。
4、根據(jù)權(quán)限判斷的結(jié)果,在電子文檔管理軟件中允許或禁止用戶的文件操作。
權(quán)利要求
一種文件對(duì)象權(quán)限管理的實(shí)現(xiàn)方法,其特征在于,所述方法包括以下步驟(1)建立文件對(duì)象的管理軟件用戶和操作系統(tǒng)用戶的邏輯對(duì)應(yīng)關(guān)系;建立管理軟件中的文件對(duì)象的操作權(quán)限與操作系統(tǒng)中的權(quán)限項(xiàng)目組合的一一對(duì)應(yīng)關(guān)系;(2)定義管理軟件用戶的用戶權(quán)限在文件對(duì)象的安全屬性中記錄管理軟件用戶的權(quán)限記錄;(3)權(quán)限判斷當(dāng)管理軟件中用戶需要操作使用電子文檔時(shí),管理軟件讀取記錄在文件對(duì)象的安全屬性上的權(quán)限記錄進(jìn)行權(quán)限判斷;(4)根據(jù)權(quán)限判斷的結(jié)果,在管理軟件中允許或禁止管理軟件用戶的電子文檔操作。
2.根據(jù)權(quán)利要求1所述的一種文件對(duì)象權(quán)限管理的實(shí)現(xiàn)方法,其特征在于,步驟(1) 中,所述的管理軟件用戶與操作系統(tǒng)用戶的邏輯對(duì)應(yīng)關(guān)系是指每一個(gè)管理軟件用戶都有一 個(gè)系統(tǒng)用戶與之對(duì)應(yīng)。
3.根據(jù)權(quán)利要求1所述的一種文件對(duì)象權(quán)限管理的實(shí)現(xiàn)方法,其特征在于,步驟(1) 中,所述的管理軟件用戶是指進(jìn)行軟件登錄的用戶身份信息。
4.根據(jù)權(quán)利要求1所述的一種文件對(duì)象權(quán)限管理的實(shí)現(xiàn)方法,其特征在于,步驟 (1)中,所述的操作系統(tǒng)用戶是指登錄計(jì)算機(jī)操作系統(tǒng)的系統(tǒng)用戶身份信息,包括微軟的 Windows操作系統(tǒng)的本地用戶、域用戶。
5.根據(jù)權(quán)利要求1所述的一種文件對(duì)象權(quán)限管理的實(shí)現(xiàn)方法,其特征在于,步驟(2) 中,所述的具有安全屬性的文件對(duì)象包括微軟的Windows2000及Windows2000以上操作系 統(tǒng)的NTFS分區(qū)中的電子文件和文件夾。
6.根據(jù)權(quán)利要求1所述的一種文件對(duì)象權(quán)限管理的實(shí)現(xiàn)方法,其特征在于,步驟(2) 中,所述的權(quán)限記錄是指管理軟件用戶對(duì)文件對(duì)象能進(jìn)行的操作,權(quán)限種類(lèi)由文件對(duì)象的 安全屬性的權(quán)限項(xiàng)目組合來(lái)標(biāo)記。
7.根據(jù)權(quán)利要求6所述的一種文件對(duì)象權(quán)限管理的實(shí)現(xiàn)方法,其特征在于,所述的權(quán) 限記錄包含文件對(duì)象、軟件用戶和權(quán)限種類(lèi);其中,所述的權(quán)限種類(lèi)指軟件中對(duì)文件對(duì)象的 操作方式,包括瀏覽、打印、下載、簽入與簽出、修改與刪除、賦權(quán)限。
8.根據(jù)權(quán)利要求7所述的一種文件對(duì)象權(quán)限管理的實(shí)現(xiàn)方法,其特征在于,所述的權(quán) 限記錄還包括權(quán)限類(lèi)型和權(quán)限的應(yīng)用范圍;權(quán)限類(lèi)型是指允許或拒絕,表明權(quán)限記錄的性 質(zhì);權(quán)限的應(yīng)用范圍是表明權(quán)限的作用范圍,如對(duì)文件夾,權(quán)限的應(yīng)用范圍就有“只有該文 件夾”、“該文件夾、子文件夾及文件”、“該文件夾及子文件夾”、“該文件夾及文件”、“只有子 文件夾及文件”、“只有子文件夾”、“只有文件”。
全文摘要
本發(fā)明公開(kāi)了一種文件對(duì)象權(quán)限管理的實(shí)現(xiàn)方法,所述方法包括以下步驟建立文件對(duì)象的管理軟件用戶和操作系統(tǒng)用戶的邏輯對(duì)應(yīng)關(guān)系;建立管理軟件中的文件對(duì)象的操作權(quán)限與操作系統(tǒng)中的權(quán)限項(xiàng)目組合的一一對(duì)應(yīng)關(guān)系;定義管理軟件用戶的用戶權(quán)限;權(quán)限判斷;根據(jù)權(quán)限判斷的結(jié)果,在管理軟件中允許或禁止管理軟件用戶的電子文檔操作。本發(fā)明通過(guò)直接在服務(wù)器文件的安全屬性中記錄用戶的授權(quán)記錄;在權(quán)限判斷時(shí),查詢文件的安全屬性,來(lái)確定用戶的操作授權(quán),大大簡(jiǎn)化了文件權(quán)限的實(shí)現(xiàn)模型,從而可以快速開(kāi)發(fā)出一套用于電子文檔管理軟件的穩(wěn)定、高效、功能強(qiáng)大的文件權(quán)限管理模塊,增強(qiáng)電子文件的管理水平。
文檔編號(hào)G06F21/22GK101853358SQ20101016843
公開(kāi)日2010年10月6日 申請(qǐng)日期2010年5月11日 優(yōu)先權(quán)日2010年5月11日
發(fā)明者廖健, 陸芳 申請(qǐng)人:南京賽孚科技有限公司