[发明专利]一种云存储系统及其用户权限控制方法、设备、存储介质

说明书

技术领域

本发明涉及云存储技术领域，特别涉及一种云存储系统及其用户权限控制方法、设备、存储介质。

背景技术

云存储技术出现后，很多公司将其数据由公司内部系统迁移到由云存储系统上面，从而降低了公司的运营成本。不过云存储也带来了很多安全隐患。比如云存储系统作为一个多用户的数据存储系统，存放来自很多企业的内部私密数据。用户可以通过访问这个云存储系统来获取自己的数据，不过任何人都不希望自己的数据被其他用户访问，甚至被其他用户获取或修改。

综上所述可以看出，当前云存储系统中的数据安全系数还有待进一步的提高。也即，如何提高云存储系统的数据访问安全性是目前亟待解决的问题。

发明内容

有鉴于此，本发明的目的在于提供一种云存储系统及其用户权限控制方法、设备、存储介质，能够有效地提高云存储系统的数据访问安全性。其具体方案如下：

第一方面，本发明公开了一种云存储系统的用户权限控制方法，包括：

当云存储系统中的主体向客体发起访问请求时，获取预先为所述主体和所述客体设置的安全标签，得到第一标签和第二标签；

通过对比所述第一标签和所述第二标签，确定所述主体是否具有访问所述客体内的数据的权限；

如果是，则允许所述客体对所述访问请求进行响应。

可选的，所述获取预先为所述主体和所述客体设置的安全标签的步骤之前，还包括：

确定所述主体能够访问的数据元素，得到第一数据元素；

确定所述主体针对所述第一数据元素的访问权限，得到目标访问权限信息；

为所述主体创建包括所述第一数据元素的标识符以及所述目标访问权限信息的安全标签。

可选的，所述获取预先为所述主体和所述客体设置的安全标签的步骤之前，还包括：

确定所述客体内拥有的数据元素，得到第二数据元素；

确定与所述第二数据元素所支持的访问对应的访问类型；

为所述客体创建包括所述第二数据元素的标识符以及所述访问类型的安全标签。

可选的，所述通过对比所述第一标签和所述第二标签，确定所述主体是否具有访问所述客体内的数据的权限的步骤，包括：

判断所述第一标签和所述第二标签中是否均存在与所述访问请求对应的数据元素的标识符；

如果否，则判定所述主体不具有访问所述客体内的数据的权限；

如果是，则判断所述第一标签中是否存在与所述访问请求对应的访问权限以及判断所述第二标签中是否存在与所述访问请求对应的访问类型；

如果均是，则判定所述主体具有访问所述客体内的数据的权限，否则判定所述主体不具有访问所述客体内的数据的权限。

可选的，所述用户权限控制方法，还包括：

预先将所述云存储系统中的主体和客体划分至相应的集合中，以形成不同的共享集合。

可选的，所述获取预先为所述主体和所述客体设置的安全标签的步骤之前，还包括：

确定所述主体能够访问的数据元素，得到第一数据元素；

确定所述主体针对所述第一数据元素的访问权限，得到目标访问权限信息；

判断所述主体是否已被划分至任意集合中；

如果否，则为所述主体创建包括所述第一数据元素的标识符以及所述目标访问权限信息的安全标签；

如果是，则提取相应集合的标识符，得到第一集合标识符，并为所述主体创建包括所述第一数据元素的标识符、所述目标访问权限信息以及所述第一集合标识符的安全标签。

可选的，所述获取预先为所述主体和所述客体设置的安全标签的步骤之前，还包括：

确定所述客体内拥有的数据元素，得到第二数据元素；

确定与所述第二数据元素所支持的访问对应的访问类型；

判断所述客体是否已被划分至任意集合中；

如果否，则为所述客体创建包括所述第二数据元素的标识符以及所述访问类型的安全标签；

如果是，则提取相应集合的标识符，得到第二集合标识符，并为所述客体创建包括所述第二数据元素的标识符、所述访问类型以及所述第二集合标识符的安全标签。

可选的，所述获取预先为所述主体和所述客体设置的安全标签的步骤之前，还包括：

确定所述客体内拥有的数据元素，得到第二数据元素；

确定与所述第二数据元素所支持的访问对应的访问类型；

判断所述客体是否已被划分至任意集合中；

如果否，则为所述客体创建包括所述第二数据元素的标识符以及所述访问类型的安全标签；