CN101841537A - 一种基于协议代理实现对文件共享访问控制方法及系统 - Google Patents
一种基于协议代理实现对文件共享访问控制方法及系统 Download PDFInfo
- Publication number
- CN101841537A CN101841537A CN 201010145447 CN201010145447A CN101841537A CN 101841537 A CN101841537 A CN 101841537A CN 201010145447 CN201010145447 CN 201010145447 CN 201010145447 A CN201010145447 A CN 201010145447A CN 101841537 A CN101841537 A CN 101841537A
- Authority
- CN
- China
- Prior art keywords
- file
- sharing
- subscriber computer
- acting server
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种基于协议代理实现对文件共享访问控制方法,包括:用户计算机输入登录信息,登录文件共享代理服务器;在文件共享代理服务器中验证用户计算机输入的登录信息;响应通过验证的用户计算机发起的共享文件访问请求,判断用户计算机是否具有所请求的共享文件A的访问权限;若有,则代理用户计算机访问共享文件A,并将文件共享服务器的应答数据包作为返回结果进行封装;否则将拒绝访问作为返回结果进行封装,并将返回结果返回给用户计算机,并记录访问日志。本发明还公开了一种基于协议代理实现对文件共享访问控制系统。本发明在访问共享文件时脱离了ntfs文件系统的依赖,并能够满足灵活身份认证及访问行为审计的使用需求。
Description
技术领域
本发明涉及文件共享访问控制技术领域,特别涉及一种基于协议代理实现对文件共享访问控制的方法及系统。
背景技术
在企业内部日常的计算机办公应用中,特别是需要多人协作的场景下,为了使用的方便和提高工作效率,常常需要架设专门的文件服务器来满足工作的需要,所有的数据资料都集中存储在这样的服务器中。随着企业的迅速发展,重要文件、研发成果、项目资料等等越来越多,对服务器上数据的安全性提出了更高的要求。对于这些重要文件资料的访问权限控制,成为企业内部在进行文件共享是需要解决的安全问题。
实现对共享文件的安全访问控制,需要解决好三个方面的问题:
1.实现对文件访问者身份的识别。
2.实现对文件访问者权限的控制,包括目录的访问范围,及对特定子文件的访问权限。
3.能够对用户访问行为记录日志,便于日后审计。
目前,一些文件共享服务多基于windows操作系统,利用cifs协议(Common Internet File System通用Internet文件系统)实现,cifs协议是微软服务器消息块协议(SMB)的增强版本,是计算机用户在企业内部网和互联网上共享文件的标准方法。CIFS通过定义一种与应用程序在本地磁盘和网络文件服务器上共享数据的方式相兼容的远程文件访问协议使之能够在网络上进行协作。【cifs协议规格详见:[MS-CIFS]:Common Internet File System(CIFS)ProtocolSpecification,http://msdn.microsoft.com/en-us/library/ee442092(PROT.10).aspx】
针对windows文件共享的访问控制主要结合ntfs自身的权限控制来实现,ntfs文件系统详细信息请参阅http://www.ntfs.com。
目前,基于cifs和ntfs实现文件共享访问控制的具体方法有两种:
1、基于Windows server本地账户的文件访问权限控制。在1台windows服务器上设置共享文件夹,文件系统类型必须为ntfs类型,针对不同文件分别设置用户的权限。用户远程访问时,输入windowsserver的本地账号,然后可以按照设定好的权限控制。
2、基于Windows域用户的文件访问权限控制。在1台windows服务器上设置共享文件夹,文件系统类型必须为ntfs类型,针对不同文件分别设置域里不同用户的权限。用户远程访问时,输入域账号,然后可以按照设定好的权限进行文件共享访问控制。
虽然这两种方法都实现了对Windows共享文件进行访问控制的需求,但随着企业的迅速发展,重要文件、研发成果、项目资料等等越来越多,对服务器上数据的安全性提出了更高的要求。原有的管理和技术手段已无法做到对共享文件的有效保护,主要存在以下几方面的问题:
1、身份认证和windows操作系统账号结合的太紧密,不灵活;
2、权限控制过分依赖ntfs协议,授权繁琐;
3、没有相关的文件访问日志供检索,无法追根溯源找到事故责任人,导致企业管理者在处理此类事件时束手无策。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是如何在访问共享文件时脱离ntfs文件系统的依赖,并能够满足灵活身份认证及访问行为审计的使用需求。
(二)技术方案
一种基于协议代理实现对文件共享访问控制方法,在用户计算机和文件共享服务器之间增设一台文件共享代理服务器,用户计算机连接文件共享代理服务器,文件共享代理服务器连接文件共享服务器,通过文件共享代理服务器来实现所述用户计算机对文件共享服务器中文件的访问控制,包括以下步骤:
S1:用户计算机输入登录信息,登录文件共享代理服务器,与文件共享代理服务器建立连接;
S2:在文件共享代理服务器中验证用户计算机输入的登录信息,若登录信息错误,拒绝登录;
S3:文件共享代理服务器响应通过验证的用户计算机发起的共享文件访问请求,判断所述用户计算机是否具有所请求的共享文件A的访问权限;
S4:若有,则文件共享代理服务器代理用户计算机访问共享文件A,并将文件共享服务器的应答数据包作为返回结果进行封装;否则文件共享代理服务器将拒绝访问作为返回结果进行封装,并将所述返回结果返回给所述用户计算机;
S5:文件共享代理服务器记录访问日志。
其中,在所述步骤S1之前还包括步骤:
设置被代理的文件共享服务器的IP地址和用户计算机登录信息;
文件共享代理服务器建立和文件共享服务器的连接,获取文件共享服务器上共享的目录或文件,为用户计算机授予共享文件A的访问权限。
其中,所述用户计算机和文件共享代理服务器建立连接及文件共享代理服务器和文件共享服务器建立连接的方式为CIFS协议中客户端和服务端建立连接的方式。
其中,所述文件共享代理服务器代理用户计算机访问共享文件时利用CIFS协议客户端消息与文件共享服务器通信,文件共享代理服务器返回结果给用户计算机时利用CIFS协议服务器端消息与用户计算机通信。
其中,所述访问权限包括:
无权限:用户计算机对共享文件A无权访问;
只读:复制文件、打开文件、列出文件/子目录和读取文件属性;
读写:对文件写入数据或属性、新建子目录或文件;
重命名:重命名文件或目录;
删除:删除文件或目录。
其中,所述用户计算机具有的访问权限为重命名时,若重命名的对象为目录,则文件共享代理服务器判断该目录中的子目录或文件是否被授予用户计算机可读写和重命名的权限,若是则可重命名该目录,否则不能重命名。
其中,所述用户计算机具有的访问权限为删除时,若删除的对象为目录,则文件共享代理服务器判断该目录中的子目录或文件是否被授予用户计算机可删除权限,若是则可删除该目录,否则不能删除。
其中,所述访问日志记录内容包括:访问时间、用户计算机IP、登录连接信息、权限判断结果、文件共享服务器应答结果、访问的目标文件和用户计算机对所述目标文件所做的操作。
一种基于协议代理实现对文件共享访问控制系统,包括:
用户界面模块,用于用户计算机输入登录信息,登录文件共享代理服务器,与文件共享代理服务器建立连接;
用户验证模块,用于在文件共享代理服务器中验证用户计算机输入的登录信息,若登录信息错误,拒绝登录;
权限判断模块,用于文件共享代理服务器响应通过验证的用户计算机发起的共享文件访问请求,判断所述用户计算机是否具有所请求的共享文件A的访问权限;
文件共享代理模块,用于当有访问权限时,则文件共享代理服务器代理用户计算机访问共享文件A,并将文件共享服务器的应答数据包作为返回结果进行封装;否则文件共享代理服务器将拒绝访问作为返回结果进行封装,并将所述返回结果返回给所述用户计算机;
日志审计模块,用于文件共享代理服务器记录访问日志。
其中,所述系统还包括:
代理设置模块,用于设置被代理的文件共享服务器的IP地址和用户计算机登录信息;
权限控制模块,用于文件共享代理服务器建立和文件共享服务器的连接,获取文件共享服务器上共享的目录或文件,为用户计算机授予共享文件A的访问权限。
(三)有益效果
本发明的基于协议代理实现对文件共享访问控制方法及系统具有如下有益效果:
1、用户通过文件共享代理服务器访问文件共享服务器时,无需使用Windows帐号进行身份认证,所有的身份信息可在所述代理服务器上进行集中管理;
2、管理员可通过文件共享代理服务器对与其连接的多个文件共享服务器进行授权管理,而不需分别登录每台服务器,还可以对用户提供更高级的访问控制,使对文件共享的访问控制机制从面向用户对路径或文件的访问,上升到对用户对目录或文件可以进行的操作上,杜绝用户通过其它手段或路径进行跨权限访问;
3、对访问日志进行记录,以供备后续审计和错误追溯。
附图说明
图1是根据本发明的基于协议代理实现对文件共享访问控制方法所采用的硬件架构图;
图2是CIFS协议中客户端和服务端建立连接流程图;
图3是根据本发明的基于协议代理实现对文件共享访问控制方法的流程图。
具体实施方式
本发明提出的基于协议代理实现对文件共享访问控制方法,结合附图和实施例说明如下。
如图1所示,在原有的用户计算机和文件共享服务器之间增设一台文件共享代理服务器,图1中,3台用户计算机连接文件共享代理服务器,文件共享代理服务器连接文件共享服务器,通过文件共享代理服务器来实现所述用户计算机对文件共享服务器中文件的访问控制。
在用户计算机访问共享文件之前,需要设置被代理的文件共享服务器的IP地址和用户计算机登录信息,包括登录ID和口令;之后通过CIFS协议中客户端和服务端建立连接的方式建立文件共享代理服务器和文件共享服务器的连接,如图2所示。建立连接后,管理员通过文件共享代理服务器以树形目录的形式获取各个文件共享服务器上共享的目录或文件,为不同的用户计算机授予上述共享目录或文件的不同的访问权限。
当用户计算机访问共享文件时,如图3所示,首先在用户界面输入登录ID和口令,登录文件共享代理服务器,通过CIFS协议中客户端和服务端建立连接的方式建立用户计算机和文件共享代理服务器的连接。用户计算机只需要输入“\\代理服务器IP地址”的方式来进行。这时用户和代理服务器执行如图2所示的交互流程,同时在SMB_COM_SESSION_SETUP_ANDX报文中包含身份认证的用户名、密码信息。这样用户和代理服务器就完成了协商及连接。之后,文件共享代理服务器验证登录信息是否正确,若不正确,则拒绝登录,若正确,则用户可登录到所述代理服务器,当用户计算机在代理服务器上经过身份验证后,便可通过代理服务器代理访问后面的文件共享服务器。登录后,用户计算机请求访问文件共享服务器共享的目录和文件;文件共享代理服务器判断所述用户计算机是否具有所请求的共享目录或文件的访问权限,其中,访问权限对原windows中共享文件的访问权限(完全控制、更改和读取)进行了扩展,包括:
无权限:用户计算机对共享目录或文件无权访问;
只读:复制文件、打开文件、列出文件/子目录和读取文件属性;
读写:对文件写入数据或属性、新建子目录或文件;
重命名:重命名文件或目录;
删除:删除文件或目录。
若没有相应的访问权限,则文件共享代理服务器将拒绝访问作为返回结果进行封装,并将所述返回结果返回给所述用户计算机,并记录访问日志。
若有相应的访问权限,则文件共享代理服务器代理用户计算机访问共享目录或文件,并将文件共享服务器的应答数据包作为返回结果进行封装后返回给所述用户计算机并记录访问日志。
例如,当用户需要编辑某一文件时,文件共享代理服务器会首先判断此用户是否有权对此文件进行读取(只读权限),若有,则从文件共享服务器获取此文件(0x02),并将此文件返回给用户计算机,用户计算机对文件编辑后,需要保存(0x0B),此时文件共享代理服务器收到用户计算机保存文件的请求后,会判断用户计算机是否有权读写此文件,若有,则将文件提交给文件共享服务器来完成保存,并返回保存成功,若没有,则返回用户一个“拒绝”(0xC0000022)的应答。
当用户需要对目录或文件进行重命名操作时,文件共享代理服务器会首先判断用户计算机是否有权对此目录或文件进行重命名(0x07),当需要进行重命名的对象是一个目录时,文件共享代理服务器会继续搜寻此目录的子目录,判断子目录中是否有目录或文件为该用户计算机无权访问的,若有,会返回用户计算机一个“拒绝”(0xC0000022)应答,若此目录及其子目录都为该用户可读写和重命名的,则将重命名请求提交给文件共享服务器,完成重命名操作,并返回重命名成功。
当用户需要对目录或文件进行删除(0x06)操作时,文件共享代理服务器会首先判断用户计算机是否有权对此目录或文件进行删除操作,当需要进行删除的对象是一个目录时,文件共享代理服务器会继续搜寻此目录的子目录,判断子目录中是否有目录或文件为该用户计算机无权访问的,若有,会返回用户一个“拒绝”应答,若此目录及其子目录都为该用户计算机可删除,则将删除请求提交给文件共享服务器,完成删除操作,并返回删除成功。
用户对共享文件的访问分为两个步骤:首先在打开文件后,进行文件信息的查询,接着才会对文件进行读取、读写和删除等操作。在这两个步骤中,用户计算机不能直接与文件共享服务器进行任何通信,由代理服务器完成如下操作:
1、用户计算机向代理服务器发送查询文件信息命令时,文件共享代理服务器向文件共享服务器也发送相应的命令来查询;
2、从文件共享代理服务器返回的文件信息包含了文件的大小、权限等信息,以此判断用户计算机是否有权限访问文件。其中文件权限包括只读/可读写/没有权限等标志。代理服务器通过对这些文件权限标志的重置,可控制用户对文件的访问权限。如将标志改为只读,则用户将以只读方式打开该文件。
3、用户计算机向文件共享代理服务器发送读取文件命令时,文件共享代理服务器向文件共享服务器也发送相应的命令来读取文件。
在访问共享目录或文件的过程中,文件共享代理服务器对访问日志进行详细的记录,供备后续审计和错误追溯。访问时间、用户计算机IP、登录连接信息、权限判断结果、文件共享服务器应答结果、访问的目标文件和用户计算机对所述目标文件所做的操作(新建文件\目录、读、写、重命名和删除)。在此基础上,还可以根据SMB协议记录更多信息,如表1所示:
表1文件状态及标记
状态 | 标记 |
CreateDirectory | 0x00 |
DeleteDirectory | 0x01 |
状态 | 标记 |
OpenFile | 0x02 |
CreateFile | 0x03 |
CloseFile | 0x04 |
FlushFile | 0x05 |
DeleteFile | 0x06 |
RenameFile | 0x07 |
GetFileAttributes | 0x08 |
SetFileAttributes | 0x09 |
ReadFile | 0x0A |
WriteFile | 0x0B |
LockFile | 0x0C |
UnLockFile | 0x0D |
CreateTemporary | 0x0E |
CreateNew | 0x0F |
CheckDirectory | 0x10 |
…… | …… |
本发明还提出了一种基于协议代理实现对文件共享访问控制系统,包括:
代理设置模块,用于设置需要代理的文件共享服务器的IP地址和用户计算机登录信息;权限控制模块,用于文件共享代理服务器获取文件共享服务器上共享的目录或文件,为用户计算机授予共享文件A的访问权限。用户界面模块,用于用户计算机输入登录信息,登录文件共享代理服务器,该界面可以是浏览器界面,也可以是客户端软件界面;用户验证模块,用于在文件共享代理服务器中验证用户计算机输入的登录信息,若登录信息错误,拒绝登录;权限判断模块,用于文件共享代理服务器响应通过验证的用户计算机发起的共享文件访问请求,判断所述用户计算机是否具有所请求的共享文件A的访问权限;文件共享代理模块,用于当有访问权限时,则文件共享代理服务器代理用户计算机访问共享文件A,并将文件共享服务器的应答数据包作为返回结果进行封装;否则文件共享代理服务器将拒绝访问作为返回结果进行封装,并将所述返回结果返回给所述用户计算机;日志审计模块,用于文件共享代理服务器记录访问日志。
对本发明进行了如下实验:
试验1:模拟连接
首先将“共享文件访问代理”部署在一台Redhat系统上(指定IP:10.3.43.250),启动该服务后,可以看到系统开始监听139和445端口,同时观看控制台,可以看到服务正常启动完成,正在等待用户连接。
此时,使用用户计算机Windows客户端访问\\10.3.43.250,可以看到如下日志,如表2所示:
表2连接日志
[SMB]Connection from/10.3.43.114:52848,handler=[SMB,TCP-SMB,ALL:445],sess=T1[SMB]Register session with request handler,handler=CIFSRequestHandler_1,sess=T1[SMB]Waiting for new connection...[T1]Negotiated SMB dialect-NT LM 0.12[T1]Assigned protocol handler-org.alfresco.jlan.smb.server.NTProtocolHandler[T1]State changed to SMBSESSSETUP[T1]AndX Command=0x75[SMB]MID=8,UID=0,PID=65279[2010-03-25 17:59:20]{DEBUG}AWNOnlineUserAuthenticator-New Connection From/10.3.43.114,OU:com.eetrust.cpm.monitor.vo.OnlineUserVO@9c8a10[2010-03-25 17:59:20]{DEBUG}DefaultLogonController-Defalut Logon Controller Method---getSessionInfo(logonTicket)[2010-03-25 17:59:20]{DEBUG}DefaultLogonController-logonTicket[EETRUSTaa91169e788bdeacee3bb0c490983ea1][SMB]User CCY logged on(type Normal) |
由此,用户计算机已经认为“文件共享代理服务器”是一台“文件共享服务器”。
试验2:模拟获取
首先在10.3.43.250的文件共享代理服务器上配置samba服务,配置此服务的目的是,当文件共享代理服务器收到正确授权的用户访问请求后,通过Samba服务向被代理文件共享服务器发起访问请求。
将IP为10.3.43.51的文件共享服务器配置到文件共享代理服务器10.3.43.250后面,之后将用Windows测试客户端(用户计算机),通过10.3.43.250对10.3.43.51进行文件共享的代理访问,观察后台部分日志如表3所示:
表3文件代理服务器日志
[T1]TransactNmPipe pipeFile=\PIPE\srvsvc,fid=0,dceCmd=0x0[T1]DCE RequestopNum=0xf[T1]DCE/RPC SrvSvc request=NetrShareEnum[T1]NetShareEnum srvName=\\10.3.43.51,shrInfo=[Level=1,Entries=0,Class=org.alfresco.jlan.smb.dcerpc.info.ShareInfo][2010-03-25 17:59:21]{DEBUG}DynamicShareMapper-获取ShareList,host:\\10.3.43.51,sess:org.alfresco.jlan.smb.server.SMBSrvSession@f579de[2010-03-25 17:59:21]{DEBUG}DynamicShareMapper-获取ShareList,shares:[[a b c,DISK,,[/mnt/share/10.3.43.51/a b c]],[Virtual,DISK,,[/mnt/share/10.3.43.51/Virtual]]][2010-03-25 17:59:21]{INFO}DefaultLogonController-添加事件监听器[SMBAccessRightCache->com.eetrust.plugin.jlan.auth.SMBAccessRightCache@13fc0f][2010-03-25 17:59:21]{INFO}SMBAccessRightCache-初始缓存所有SMB权限.[2010-03-25 17:59:21]{INFO}SMBAccessRightCache-初始缓存所有SMB权限..ok[2010-03-25 17:59:21]{DEBUG}SMBAccess RightCache-验证权限[path:/mnt/share/10.3.43.51/a b c/;sess:1;perm:1;isDirectory:true][2010-03-25 17:59:21]{DEBUG}SMBAccess RightCache-查找[path:/10.3.43.51/a b c/;perm:1;roles:ff808081263f797301263f9565870018,0,][2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-host:10.3.43.51[2010-03-25 17:59:21]{DEBUG}SMBAccess RightCache-depth:2,maxDepth:2[2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-roleId:ff808081263f797301263f9565870018[2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-roleId:0[2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-查询[perm:false][2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-验证权限[path:/mnt/share/10.3.43.51/Virtual/;sess:1;perm:1;isDirectory:true][2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-查找[path:/10.3.43.51/Virtual/;perm:1;roles:ff808081263f797301263f9565870018,0,][2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-host:10.3.43.51[2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-depth:2,maxDepth:2[2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-roleId:ff808081263f797301263f9565870018[2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-roleId:0[2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-iPath:/10.3.43.51/Virtual/[2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-iPerm:256[2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-iPathChanged:false[2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-256&(1<<8):256[2010-03-25 17:59:21]{DEBUG}SMBAccessRightCache-查询[perm:true][T1]Reply DCEbuf flags=0x3,len=116,status=0x0[T1]File close[0]fid=0,fileId=0 |
而从客户端(用户计算机)上进行听包则获取到如下信息(部分)如表4所示:
表4用户计算机上的日志信息
No.Time Source Destination Protocol Info10.000000 HonHaiPr_78:52:66 Broadcast ARP Who has 10.3.43.61?Tell 10.3.43.89Frame 1(42bytes on wire,42 bytes captured)Ethernet II,Src:HonHaiPr_78:52:66(00:22:68:78:52:66),Dst:Broadcast(ff:ff:ff:ff:ff:ff)Address Resolution Protocol(request)No.Time Source Destination Protocol Info20.000146 HonHaiPr_78:52:66 Broadcast ARP Who has 10.3.43.154?Tell 10.3.43.89Frame 2(42bytes on wire,42bytes captured)Ethernet II,Src:HonHaiPr_78:52:66(00:22:68:78:52:66),Dst:Broadcast(ff:ff:ff:ff:ff:ff)Address Resolution Protocol(request)No.Time Source Destination ProtocolInfo30.000162 HonHaiPr_78:52:66 Broadcast ARP Who has 10.3.43.49?Tell 10.3.43.89Frame 3(42bytes on wire,42 bytes captured)Ethernet II,Src:HonHaiPr_78:52:66(00:22:68:78:52:66),Dst:Broadcast(ff:ff:ff:ff:ff:ff)Address Resolution Protocol(request)No.Time Source Destination Protocol Info40.000263 HonHaiPr_78:52:66 Broadcast ARP Who has 10.3.43.114?Tell 10.3.43.89Frame 4(42bytes on wire,42bytes captured)Ethernet II,Src:HonHaiPr_78:52:66(00:22:68:78:52:66),Dst:Broadcast(ff:ff:ff:ff:ff:ff)Address Resolution Protocol(request)No.Time Source Destination Protocol Info50.000503 SamsungE_f0:36:78 HonHaiPr_78:52:66 ARP 10.3.43.61 is at 00:13:77:f0:36:78Frame 5(60bytes on wire,60bytes captured)Ethernet II,Src:SamsungE_f0:36:78(00:13:77:f0:36:78),Dst:HonHaiPr_78:52:66(00:22:68:78:52:66)Address Resolution Protocol(reply)No.Time Source Destination Protocol Info60.000541 10.3.43.89 10.3.43.61 TCP 64208>icslap[RST,ACK]Seq=1Ack=1Win=0Len=0Frame 6(54bytes on wire,54bytes captured)Ethernet II,Src:HonHaiPr_78:52:66(00:22:68:78:52:66),Dst:SamsungE_f0:36:78(00:13:77:f0:36:78)Internet Protocol,Src:1034389(10.3.43.89),Dst:10.3.43.61(10.3.43.61)Version:4Header length:20bytesDifferentiated Services Field:0x00(DSCP 0x00:Default;ECN:0x00)Total Length:40Identification:0x3b48(15176)Flags:0x04(Don′t Fragment)Fragment offset:0Time to live:128Protocol:TCP(0x06)Header checksum:0x0000[incorrect,should be 0x54ec]Source:10.3.43.89(10.3.43.89)Destination:10.3.43.61(10.3.43.61)Transmission Control Protocol,Src Port:64208(64208),Dst Port:icslap(2869),Seq:1,Ack:1,Len:0 |
本实验证明,测试客户端(用户计算机)在通过文件共享代理服务器(10.3.43.250)访问文件共享服务器(10.3.43.51)时,客户端可以正确获得身份认证并获取文件信息。并且文件共享代理服务器(10.3.43.250)可以获取并解析用户对文件共享服务器(10.3.43.51)发出的指令,并代为转发。同时日志中也体现出了用户的地具体操作和IP等信息,证明对其进行控制和日志记录均是可行的。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (10)
1.一种基于协议代理实现对文件共享访问控制方法,其特征在于,在用户计算机和文件共享服务器之间增设一台文件共享代理服务器,用户计算机连接文件共享代理服务器,文件共享代理服务器连接文件共享服务器,通过文件共享代理服务器来实现所述用户计算机对文件共享服务器中文件的访问控制,包括以下步骤:
S1:用户计算机输入登录信息,登录文件共享代理服务器,与文件共享代理服务器建立连接;
S2:在文件共享代理服务器中验证用户计算机输入的登录信息,若登录信息错误,拒绝登录;
S3:文件共享代理服务器响应通过验证的用户计算机发起的共享文件访问请求,判断所述用户计算机是否具有所请求的共享文件A的访问权限;
S4:若有,则文件共享代理服务器代理用户计算机访问共享文件A,并将文件共享服务器的应答数据包作为返回结果进行封装;否则文件共享代理服务器将拒绝访问作为返回结果进行封装,并将所述返回结果返回给所述用户计算机;
S5:文件共享代理服务器记录访问日志。
2.如权利要求1所述的基于协议代理实现对文件共享访问控制方法,其特征在于,在所述步骤S1之前还包括步骤:
设置被代理的文件共享服务器的IP地址和用户计算机登录信息;
文件共享代理服务器建立和文件共享服务器的连接,获取文件共享服务器上共享的目录或文件,为用户计算机授予共享文件A的访问权限。
3.如权利要求2所述的基于协议代理实现对文件共享访问控制方法,其特征在于,所述用户计算机和文件共享代理服务器建立连接及文件共享代理服务器和文件共享服务器建立连接的方式为CIFS协议中客户端和服务端建立连接的方式。
4.如权利要求2所述的基于协议代理实现对文件共享访问控制方法,其特征在于,所述文件共享代理服务器代理用户计算机访问共享文件时利用CIFS协议客户端消息与文件共享服务器通信,文件共享代理服务器返回结果给用户计算机时利用CIFS协议服务器端消息与用户计算机通信。
5.如权利要求2所述的基于协议代理实现对文件共享访问控制方法,其特征在于,所述访问权限包括:
无权限:用户计算机对共享文件A无权访问;
只读:复制文件、打开文件、列出文件/子目录和读取文件属性;
读写:对文件写入数据或属性、新建子目录或文件;
重命名:重命名文件或目录;
删除:删除文件或目录。
6.如权利要求5所述的基于协议代理实现对文件共享访问控制方法,其特征在于,所述用户计算机具有的访问权限为重命名时,若重命名的对象为目录,则文件共享代理服务器判断该目录中的子目录或文件是否被授予用户计算机可读写和重命名的权限,若是则可重命名该目录,否则不能重命名。
7.如权利要求5所述的基于协议代理实现对文件共享访问控制方法,其特征在于,所述用户计算机具有的访问权限为删除时,若删除的对象为目录,则文件共享代理服务器判断该目录中的子目录或文件是否被授予用户计算机可删除权限,若是则可删除该目录,否则不能删除。
8.如权利要求1-7任一所述的基于协议代理实现对文件共享访问控制方法,其特征在于,所述访问日志记录内容包括:访问时间、用户计算机IP、登录连接信息、权限判断结果、文件共享服务器应答结果、访问的目标文件和用户计算机对所述目标文件所做的操作。
9.一种基于协议代理实现对文件共享访问控制系统,其特征在于,包括:
用户界面模块,用于用户计算机输入登录信息,登录文件共享代理服务器,与文件共享代理服务器建立连接;
用户验证模块,用于在文件共享代理服务器中验证用户计算机输入的登录信息,若登录信息错误,拒绝登录;
权限判断模块,用于文件共享代理服务器响应通过验证的用户计算机发起的共享文件访问请求,判断所述用户计算机是否具有所请求的共享文件A的访问权限;
文件共享代理模块,用于当有访问权限时,则文件共享代理服务器代理用户计算机访问共享文件A,并将文件共享服务器的应答数据包作为返回结果进行封装;否则文件共享代理服务器将拒绝访问作为返回结果进行封装,并将所述返回结果返回给所述用户计算机;
日志审计模块,用于文件共享代理服务器记录访问日志。
10.如权利要求9所述的基于协议代理实现对文件共享访问控制系统,其特征在于,所述系统还包括:
代理设置模块,用于设置被代理的文件共享服务器的IP地址和用户计算机登录信息;
权限控制模块,用于文件共享代理服务器建立和文件共享服务器的连接,获取文件共享服务器上共享的目录或文件,为用户计算机授予共享文件A的访问权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010145447 CN101841537B (zh) | 2010-04-13 | 2010-04-13 | 一种基于协议代理实现对文件共享访问控制方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010145447 CN101841537B (zh) | 2010-04-13 | 2010-04-13 | 一种基于协议代理实现对文件共享访问控制方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101841537A true CN101841537A (zh) | 2010-09-22 |
CN101841537B CN101841537B (zh) | 2013-01-16 |
Family
ID=42744660
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201010145447 Active CN101841537B (zh) | 2010-04-13 | 2010-04-13 | 一种基于协议代理实现对文件共享访问控制方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101841537B (zh) |
Cited By (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102467618A (zh) * | 2010-11-04 | 2012-05-23 | 上海宝信软件股份有限公司 | 局域网内共享文件操作的审计系统及方法 |
CN102594815A (zh) * | 2012-02-14 | 2012-07-18 | 北京鼎普科技股份有限公司 | 登陆操作系统前设置用户权限并执行相应操作的方法、装置 |
CN102624869A (zh) * | 2011-01-31 | 2012-08-01 | 巴比禄股份有限公司 | 网络装置 |
CN102880715A (zh) * | 2012-10-09 | 2013-01-16 | 南京市测绘勘察研究院有限公司 | 基于云存储的数据池管理方法及系统 |
CN103067491A (zh) * | 2012-12-26 | 2013-04-24 | 飞天诚信科技股份有限公司 | 一种实现文件共享的方法及装置 |
CN103095720A (zh) * | 2013-01-30 | 2013-05-08 | 中国科学院自动化研究所 | 一种基于会话管理服务器的云存储系统的安全管理方法 |
CN104537130A (zh) * | 2015-01-30 | 2015-04-22 | 浪潮(北京)电子信息产业有限公司 | 一种实现分布式集群文件管理的方法、系统及客户端 |
WO2015081468A1 (zh) * | 2013-12-02 | 2015-06-11 | 华为技术有限公司 | 文件的处理方法、装置及系统 |
CN105007303A (zh) * | 2015-06-05 | 2015-10-28 | 冠研(上海)企业管理咨询有限公司 | 物联网连接方法 |
CN106254400A (zh) * | 2015-06-05 | 2016-12-21 | 冠研(上海)企业管理咨询有限公司 | 物联网连接架构 |
CN106487838A (zh) * | 2015-08-27 | 2017-03-08 | 冠研(上海)专利技术有限公司 | 使用物联网建立产品生产履历的架构 |
CN106487753A (zh) * | 2015-08-27 | 2017-03-08 | 冠研(上海)专利技术有限公司 | 物联网的产品生产履历管理系统 |
CN106502849A (zh) * | 2016-11-01 | 2017-03-15 | 广东浪潮大数据研究有限公司 | 一种硬盘的压力测试的系统及方法 |
CN106844111A (zh) * | 2016-12-26 | 2017-06-13 | 创新科存储技术(深圳)有限公司 | 云存储网络文件系统的访问方法 |
CN107172082A (zh) * | 2017-06-29 | 2017-09-15 | 郑州云海信息技术有限公司 | 一种文件共享方法及系统 |
CN107800695A (zh) * | 2017-10-17 | 2018-03-13 | 郑州云海信息技术有限公司 | 基于Samba协议的文件访问方法、装置、系统 |
CN110324387A (zh) * | 2018-03-30 | 2019-10-11 | 武汉斗鱼网络科技有限公司 | 基于WebSocket实现文档锁的方法、存储介质、设备及系统 |
CN110363026A (zh) * | 2019-07-19 | 2019-10-22 | 深圳前海微众银行股份有限公司 | 文件操作方法、装置、设备、系统及计算机可读存储介质 |
CN110895600A (zh) * | 2019-04-22 | 2020-03-20 | 马铁军 | 共享大数据现场保护方法 |
CN111654514A (zh) * | 2019-12-09 | 2020-09-11 | 武汉空心科技有限公司 | 一种分包用工作平台文件共享管理方法 |
CN111953714A (zh) * | 2019-05-14 | 2020-11-17 | 华为技术有限公司 | 文件共享方法、通信装置及存储介质 |
CN112019516A (zh) * | 2020-08-03 | 2020-12-01 | 杭州迪普科技股份有限公司 | 一种共享文件的访问控制方法、装置、设备及存储介质 |
CN112333257A (zh) * | 2020-10-28 | 2021-02-05 | 厦门美亚亿安信息科技有限公司 | 一种用于远程文件的透明访问方法和系统 |
CN112597118A (zh) * | 2021-01-04 | 2021-04-02 | 杭州海量存储技术有限公司 | 一种共享文件的添加方法及装置 |
CN115529304A (zh) * | 2021-06-08 | 2022-12-27 | 四川星河飞天科技有限公司 | 一种计算机文件共享传输的管理方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030220923A1 (en) * | 2002-05-23 | 2003-11-27 | International Business Machines Corporation | Mechanism for running parallel application programs on metadata controller nodes |
CN101034981A (zh) * | 2006-03-07 | 2007-09-12 | 上海品伟数码科技有限公司 | 一种网络访问控制系统及其控制方法 |
CN101064717A (zh) * | 2006-04-26 | 2007-10-31 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统及其工作方法 |
-
2010
- 2010-04-13 CN CN 201010145447 patent/CN101841537B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030220923A1 (en) * | 2002-05-23 | 2003-11-27 | International Business Machines Corporation | Mechanism for running parallel application programs on metadata controller nodes |
CN101034981A (zh) * | 2006-03-07 | 2007-09-12 | 上海品伟数码科技有限公司 | 一种网络访问控制系统及其控制方法 |
CN101064717A (zh) * | 2006-04-26 | 2007-10-31 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统及其工作方法 |
Cited By (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102467618B (zh) * | 2010-11-04 | 2016-06-01 | 上海宝信软件股份有限公司 | 局域网内共享文件操作的审计系统及方法 |
CN102467618A (zh) * | 2010-11-04 | 2012-05-23 | 上海宝信软件股份有限公司 | 局域网内共享文件操作的审计系统及方法 |
CN102624869A (zh) * | 2011-01-31 | 2012-08-01 | 巴比禄股份有限公司 | 网络装置 |
CN102594815A (zh) * | 2012-02-14 | 2012-07-18 | 北京鼎普科技股份有限公司 | 登陆操作系统前设置用户权限并执行相应操作的方法、装置 |
CN102880715A (zh) * | 2012-10-09 | 2013-01-16 | 南京市测绘勘察研究院有限公司 | 基于云存储的数据池管理方法及系统 |
CN103067491A (zh) * | 2012-12-26 | 2013-04-24 | 飞天诚信科技股份有限公司 | 一种实现文件共享的方法及装置 |
CN103067491B (zh) * | 2012-12-26 | 2015-04-15 | 飞天诚信科技股份有限公司 | 一种实现文件共享的方法及装置 |
CN103095720B (zh) * | 2013-01-30 | 2016-03-23 | 中国科学院自动化研究所 | 一种基于会话管理服务器的云存储系统的安全管理方法 |
CN103095720A (zh) * | 2013-01-30 | 2013-05-08 | 中国科学院自动化研究所 | 一种基于会话管理服务器的云存储系统的安全管理方法 |
WO2015081468A1 (zh) * | 2013-12-02 | 2015-06-11 | 华为技术有限公司 | 文件的处理方法、装置及系统 |
CN104537130A (zh) * | 2015-01-30 | 2015-04-22 | 浪潮(北京)电子信息产业有限公司 | 一种实现分布式集群文件管理的方法、系统及客户端 |
CN105007303A (zh) * | 2015-06-05 | 2015-10-28 | 冠研(上海)企业管理咨询有限公司 | 物联网连接方法 |
CN106254400B (zh) * | 2015-06-05 | 2021-03-09 | 冠研(上海)专利技术有限公司 | 物联网连接架构 |
CN106254400A (zh) * | 2015-06-05 | 2016-12-21 | 冠研(上海)企业管理咨询有限公司 | 物联网连接架构 |
CN105007303B (zh) * | 2015-06-05 | 2019-08-20 | 冠研(上海)专利技术有限公司 | 物联网连接方法 |
CN106487753A (zh) * | 2015-08-27 | 2017-03-08 | 冠研(上海)专利技术有限公司 | 物联网的产品生产履历管理系统 |
CN106487838A (zh) * | 2015-08-27 | 2017-03-08 | 冠研(上海)专利技术有限公司 | 使用物联网建立产品生产履历的架构 |
CN106487838B (zh) * | 2015-08-27 | 2019-12-24 | 冠研(上海)专利技术有限公司 | 使用物联网建立产品生产履历的系统 |
CN106487753B (zh) * | 2015-08-27 | 2019-11-22 | 冠研(上海)专利技术有限公司 | 物联网的产品生产履历管理系统 |
CN106502849A (zh) * | 2016-11-01 | 2017-03-15 | 广东浪潮大数据研究有限公司 | 一种硬盘的压力测试的系统及方法 |
CN106844111A (zh) * | 2016-12-26 | 2017-06-13 | 创新科存储技术(深圳)有限公司 | 云存储网络文件系统的访问方法 |
CN106844111B (zh) * | 2016-12-26 | 2021-01-08 | 深圳创新科技术有限公司 | 云存储网络文件系统的访问方法 |
CN107172082A (zh) * | 2017-06-29 | 2017-09-15 | 郑州云海信息技术有限公司 | 一种文件共享方法及系统 |
CN107800695A (zh) * | 2017-10-17 | 2018-03-13 | 郑州云海信息技术有限公司 | 基于Samba协议的文件访问方法、装置、系统 |
CN110324387A (zh) * | 2018-03-30 | 2019-10-11 | 武汉斗鱼网络科技有限公司 | 基于WebSocket实现文档锁的方法、存储介质、设备及系统 |
CN110895600A (zh) * | 2019-04-22 | 2020-03-20 | 马铁军 | 共享大数据现场保护方法 |
CN110895600B (zh) * | 2019-04-22 | 2020-09-29 | 深圳市前海九米信息技术有限公司 | 共享大数据现场保护方法 |
CN111953714B (zh) * | 2019-05-14 | 2022-07-12 | 华为技术有限公司 | 文件共享方法、通信装置及存储介质 |
CN111953714A (zh) * | 2019-05-14 | 2020-11-17 | 华为技术有限公司 | 文件共享方法、通信装置及存储介质 |
WO2021013033A1 (zh) * | 2019-07-19 | 2021-01-28 | 深圳前海微众银行股份有限公司 | 文件操作方法、装置、设备、系统及计算机可读存储介质 |
CN110363026A (zh) * | 2019-07-19 | 2019-10-22 | 深圳前海微众银行股份有限公司 | 文件操作方法、装置、设备、系统及计算机可读存储介质 |
CN110363026B (zh) * | 2019-07-19 | 2021-06-25 | 深圳前海微众银行股份有限公司 | 文件操作方法、装置、设备、系统及计算机可读存储介质 |
CN111654514A (zh) * | 2019-12-09 | 2020-09-11 | 武汉空心科技有限公司 | 一种分包用工作平台文件共享管理方法 |
CN112019516A (zh) * | 2020-08-03 | 2020-12-01 | 杭州迪普科技股份有限公司 | 一种共享文件的访问控制方法、装置、设备及存储介质 |
CN112333257A (zh) * | 2020-10-28 | 2021-02-05 | 厦门美亚亿安信息科技有限公司 | 一种用于远程文件的透明访问方法和系统 |
CN112333257B (zh) * | 2020-10-28 | 2023-12-05 | 厦门美亚亿安信息科技有限公司 | 一种用于远程文件的透明访问方法和系统 |
CN112597118A (zh) * | 2021-01-04 | 2021-04-02 | 杭州海量存储技术有限公司 | 一种共享文件的添加方法及装置 |
CN112597118B (zh) * | 2021-01-04 | 2024-03-29 | 杭州海量存储技术有限公司 | 一种共享文件的添加方法及装置 |
CN115529304A (zh) * | 2021-06-08 | 2022-12-27 | 四川星河飞天科技有限公司 | 一种计算机文件共享传输的管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101841537B (zh) | 2013-01-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101841537A (zh) | 一种基于协议代理实现对文件共享访问控制方法及系统 | |
CN101374047B (zh) | 利用ip地址的用户认证系统及其方法 | |
US8326981B2 (en) | Method and system for providing secure access to private networks | |
JP4734592B2 (ja) | クライアントリダイレクトによるプライベートネットワークへの安全なアクセス提供方法およびシステム | |
US8359633B2 (en) | Access control system and access control method | |
US9219750B2 (en) | Communication access control device, communication access control method, and computer readable recording medium | |
CN102984159B (zh) | 基于终端访问行为的安全接入逻辑控制方法及平台服务器 | |
JP5789390B2 (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
US9059987B1 (en) | Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network | |
WO2021013033A1 (zh) | 文件操作方法、装置、设备、系统及计算机可读存储介质 | |
EP1442580A2 (en) | Method and system for providing secure access to resources on private networks | |
CN110401641B (zh) | 用户认证方法、装置、电子设备 | |
CN109815684A (zh) | 一种身份认证方法、系统及服务器和存储介质 | |
JP2009510570A (ja) | ブラウザ・ウィンドウの制御方法 | |
CN108259457A (zh) | 一种web认证方法及装置 | |
US20160036840A1 (en) | Information processing apparatus and program | |
JP2008015733A (ja) | ログ管理計算機 | |
JP5952466B2 (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
JP2008310417A (ja) | アクセス状況監視システム | |
US10158624B2 (en) | System, device and method for monitoring network | |
JP2011100411A (ja) | 認証代行サーバ装置、認証代行方法及びプログラム | |
CN107547497A (zh) | 一种无感知portal认证方法及装置 | |
JP6055546B2 (ja) | 認証装置、認証方法、およびプログラム | |
JP2018152091A (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
TW201911101A (zh) | 伺服器及其防火牆規則管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C53 | Correction of patent for invention or patent application | ||
CB03 | Change of inventor or designer information |
Inventor after: Li Zhaofeng Inventor after: Zhang Yong Inventor after: Li Jiguo Inventor after: Chang Jin Inventor after: Sha Yong Inventor before: Zhang Yong |
|
COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: ZHANG YONG TO: LI ZHAOFENG ZHANG YONG LI JIGUO CHANG JIN SHA YONG |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |