網絡系統的制作方法

網絡系統的制作方法
【技術領域】
[0001]本發明涉及諸如其中節點單獨管理用戶賬戶的工作組的網絡系統、網絡系統的節點、用于網絡系統的訪問控制列表改變方法以及程序。
【背景技術】
[0002]網絡系統主要被歸類為包括域控制器的那些和不包括任何域控制器的那些。包括大量節點的大網絡系統通常包括多個域，每個域包括域控制器，其統一管理用戶賬戶。包括域控制器使得能夠有效率和安全的管理以及操作大網絡系統。
[0003]與上面相對照，諸如包括小量節點的工作組的小網絡系統通常不包括任何域控制器，且各個節點管理用戶賬戶。換句話說，在不包括任何域控制器的網絡系統(也被稱為單獨管理網絡系統)中，每個用戶需要在用戶想要訪問的每個節點創建他/她自己的賬戶(例如，參見PTL l)o
[0004]更具體地，在不包括任何域控制器的網絡系統中，每個用戶需要輸入包括賬戶名稱和密碼的賬戶創建請求到用戶想要訪問的每個節點并且需要在每個節點中預先存儲包括賬戶名稱、賬戶ID和密碼的賬戶信息。上述的賬戶名稱例如是要由用戶使用來識別賬戶的字符串。上述的賬戶ID是要由節點來使用來唯一地識別賬戶的標識符，其由節點自身生成。賬戶ID也被稱為安全標識符(SID)。即使在包括相同賬戶名稱和密碼的賬戶創建請求被輸入到多個各自節點時，在各自節點生成的賬戶ID也不必相同，因為節點單獨生成賬戶IDo如上所述登記的賬戶信息用于認證。當從用戶使用的節點接收到包括賬戶名稱和密碼的認證請求時，節點比較所登記的賬戶信息與從終端單元接收到的信息，并且當匹配成功時允許對節點自身的訪問。
[0005]為了增加安全性，一些網絡系統使用訪問控制列表(ACL)對諸如文件或文件夾的對象執行訪問控制(例如參見PTL 2)。特定對象的訪問控制列表包括訪問控制條目(ACE)，在其每個中記錄允許訪問對象的賬戶的賬戶ID和訪問權限。當具有特定賬戶ID (例如IDX)的賬戶發布請求以訪問對象且對象的訪問控制列表不包括任何包括賬戶ID “IDX”的訪問控制條目時，訪問被拒絕。當訪問控制列表包括諸如訪問請求條目時，基于與賬戶ID“IDX”相關聯地記錄的訪問權限和訪問請求的內容，來進一步進行關于是否允許訪問的判斷。
[0006]引用列表
[0007][專利文獻]
[0008][PTL I]日本未審專利申請公開N0.2006-85697
[0009][PTL 2]PCT國際申請公開的日文翻譯N0.2011-526387

【發明內容】

[0010][技術問題]
[0011]如上所述，在單獨管理網絡系統中，其不包括任何域控制器，節點單獨地生成賬戶ID來識別賬戶。在使用訪問控制列表的訪問控制中，基于賬戶ID來識別訪問請求源的賬戶。考慮到這些，使用訪問控制列表執行訪問控制的單獨管理網絡系統具有問題，為了以相同賬戶名稱改變可從多個節點訪問的對象的訪問控制列表，需要復雜的改變操作。這個問題如下通過使用圖16的網絡系統作為示例來描述。
[0012]圖16中的網絡系統包括多個節點NI到N3以及由節點NI和N2共享的共享存儲STo
[0013]通過使用賬戶名稱“XYZ”，共享存儲ST存儲可從節點NI和節點N2訪問的文件F。文件F包括訪問控制列表ACL和文件主體HL訪問控制列表ACL包括訪問控制條目ACEl和訪問控制條目ACE2，在ACEl中記錄由節點NI自身在節點NI處創建賬戶名稱“XYZ”的賬戶時生成的賬戶ID “IDN1”和訪問權限“全(ALL)”，在ACE2中記錄由節點N2自身在節點N2處創建相同賬戶名稱“XYZ”的賬戶時生成的賬戶ID “IDN2”和訪問權限“全”。
[0014]節點NI的賬戶信息存儲單元SA存儲當從節點N3接收到包括賬戶名稱“XYZ”和密碼“P”的賬戶創建請求時生成的賬戶信息。該賬戶信息包括在賬戶創建請求中包括的賬戶名稱“XYZ”和密碼“P”以及由節點NI自身生成的賬戶ID “IDN1”。
[0015]節點N2的賬戶信息存儲單元SB存儲當從節點N3接收到包括賬戶名稱“XYZ”和密碼“P”的賬戶創建請求時生成的賬戶信息。該賬戶信息包括在賬戶創建請求中包括的賬戶名稱“XYZ”和密碼“P”以及由節點N2自身生成的賬戶ID “IDN2”。
[0016]為了通過使用賬戶名稱“XYZ”從節點NI訪問文件F，節點N3的用戶U從節點N3向節點NI發射訪問請求，包括例如賬戶名稱“XYZ”和訪問內容。響應于訪問請求，節點NI從賬戶信息存儲單元SA中檢索關聯于賬戶名稱“XYZ”而記錄的賬戶ID“IDN1”。這里檢索賬戶ID “IDN1”的原因是因為可訪問對象(本例中是文件F)的賬戶(用戶)在訪問控制列表ACL中是使用賬戶ID來管理的。
[0017]在檢索之后，節點NI檢查其中記錄賬戶ID “IDN1”的訪問控制條目是否包括在文件F的訪問控制列表ACL中。在這個示例中，由于其中記錄賬戶ID “IDN1”的訪問控制條目ACEl被包括，節點NI基于記錄在訪問控制條目ACEl中的訪問權限和訪問請求中的訪問內容來確定是否允許訪問到文件F。在這個示例中，由于訪問控制條目ACEl中記錄的訪問權限是“全”，節點NI允許用戶U訪問文件F。
[0018]為了通過使用賬戶名稱“XYX”從節點N2訪問文件F，節點N3的用戶從節點N3向節點N2發射接入請求，包括例如賬戶名稱“XYZ”和接入內容。一旦接收到請求，節點N2執行與由節點NI所執行的相同處理，并且允許對文件F的訪問。
[0019]接下來，描述為了改變文件F的訪問控制列表ACL而要執行的操作。首先，節點N3的用戶U從節點N3向節點NI發射訪問控制列表改變請求，該訪問控制列表改變請求包括關于訪問控制列表要被改變的對象(在本示例中是文件F)的識別信息、訪問控制列表要被改變的賬戶的賬戶名稱(例如“XYZ” )以及改變內容(例如，改變訪問權限為“寫入(WRITE) ”)。響應于請求，節點NI從賬戶信息存儲單元SA中檢索關聯于賬戶名稱“XYZ”而記錄的賬戶ID “IDN1”。此后，節點NI改變其中記錄了檢索到的賬戶ID “IDN1”的訪問控制條目ACEl中的訪問權限，從“全”到“寫入”。在此狀態下，在用戶U使用賬戶名稱“XYZ”從節點NI訪問文件F時和在使用相同賬戶名稱“XYZ”從節點N2訪問文件F時的訪問權限不同。
[0020]為了解決這個情況，用戶U向節點N2發射訪問控制列表改變請求，其具有與上述訪問控制列表改變請求相同的內容。響應于該請求，在節點N2執行與上述相同的處理，且訪問控制條目ACE2中的訪問權限從“全”改變為“寫入”。如上所述，訪問控制列表改變請求需要被發射到節點NI和節點N2 二者以便訪問權限在從節點NI訪問的情況和從節點N2訪問的情況都相同。這要求復雜操作來改變訪問控制列表。在圖16中的情況下，網絡系統包括兩個節點，即節點NI和N2，其可使用相同賬戶名稱“XYZ”訪問文件F，并且因此發射訪問控制列表改變請求的次數是二。但是，當N個節點被包括作為可使用相同賬戶名稱“XYZ”訪問文件F的節點，訪問控制列表改變請求需要被發射N次。
[0021]考慮到以上，本發明目標在于提供一種網絡系統，在網絡系統不包括任何域控制器的情況下，其解決需要復雜改變操作來改變可使用相同賬戶名稱從多個節點訪問的對象的訪問控制列表的問題。
[0022][問題的解決方案]
[0023]根據本發明的示例方面的一種網絡系統包括:第一節點；第二節點；以及由所述第一節點和所述第二節點所共享的每個對象的訪問控制列表，所述訪問控制列表包括訪問控制條目，其中記錄被允許訪問所述對象的賬戶的賬戶ID和訪問權限，其中，所述第一節點包括:賬戶關聯表，其中彼此關聯地記錄在所述節點自身處創建的賬戶的賬戶名稱和賬戶ID以及其中彼此關聯地記錄在所述第二節點處創建的賬戶的賬戶名稱和賬戶ID，以及訪問控制列表改變單元，其響應于包括關于訪問控制列表要被改變的對象的識別信息、訪問控制條目要被改變的賬戶的賬戶名稱、以及改變內容的訪問控制列表改變請求而從所述賬戶關聯表中檢索關聯于所述訪問控制列表改變請求中的所述賬戶名稱而記錄的賬戶ID，并且根據所述改變內容而改變訪問控制條目，在所述訪問控制條目中記錄所檢索到的賬戶ID并且所述訪問控制條目被包括在由所述識別信息所指示的所述對象的所述訪問控制列表中。
[0024]根據發明的示例方面的節點包括:賬戶關聯表，其中彼此關聯地記錄在所述節點自身處創建的賬戶的賬戶名稱和賬戶ID以及彼此關聯地記錄在不同節點中創建的賬戶的賬戶名稱和賬戶ID ;以及訪問控制列表改變單元，其響應于包括關于由所述節點自身和所述不同節點所共享的對象中的訪問控制列表要被改變的對象的識別信息、訪問控制條目要被改變的賬戶的賬戶名稱、以及改變內容的訪問控制列表改變請求而從所述賬戶關聯表中檢索關聯于所述訪問控制列表改變請求中的所述賬戶名稱而記錄的賬戶ID，并且根據所述改變內容而改變訪問控制條目，在所述訪問控制條目中記錄所檢索到的賬戶ID和訪問權限并且所述訪問控制條目被包括在由所述識別信息所指示的所述對象的所述訪問控制列表中。
[0025]根據發明的示例方面的訪問控制列表改變方法是一種用于網絡系統的方法，所述網絡系統包括第一節點、第二節點和由所述第一節點和所述第二節點所共享的每個對象的訪問控制列表，所述訪問控制列表包括訪問控制條目，其中記錄被允許訪問所述對象的賬戶的賬戶ID和訪問權限，所述訪問控制列表改變方法包括:響應于包括關于訪問控制列表要被改變的對象的識別信息、訪問控制條目要被改變的賬戶的賬戶名稱、以及改變內容的訪問控制列表改變請求，所述第一節點從其中彼此關聯地記錄在所述節點自身處創建的賬戶的賬戶名稱和賬戶ID且其中彼此關聯地記錄在所述第二節點處創建的賬戶的賬戶名稱和賬戶ID的賬戶關聯表中檢索關聯于所述訪問控制列表改變請求中的所述賬戶名稱而記錄的賬戶ID，并且根據所述改變內容而改變訪問控制條目，在所述訪問控制條目中記錄所檢索到的賬戶ID并且所述訪問控制條目被包括在由所述識別信息所指示的所述對象的所述訪問控制列表中。
[0026]根據發明的示例方面的程序是一種程序，使