CN103581187B - 访问权限的控制方法及控制系统 - Google Patents

访问权限的控制方法及控制系统 Download PDF

Info

Publication number
CN103581187B
CN103581187B CN201310542336.6A CN201310542336A CN103581187B CN 103581187 B CN103581187 B CN 103581187B CN 201310542336 A CN201310542336 A CN 201310542336A CN 103581187 B CN103581187 B CN 103581187B
Authority
CN
China
Prior art keywords
user tag
access
rights
described access
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310542336.6A
Other languages
English (en)
Other versions
CN103581187A (zh
Inventor
欧阳涛
田勇
孙征
孙国忠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shuguang Cloud Computing Group Co ltd
Original Assignee
SHUGUANG CLOUD COMPUTING TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHUGUANG CLOUD COMPUTING TECHNOLOGY Co Ltd filed Critical SHUGUANG CLOUD COMPUTING TECHNOLOGY Co Ltd
Priority to CN201310542336.6A priority Critical patent/CN103581187B/zh
Publication of CN103581187A publication Critical patent/CN103581187A/zh
Application granted granted Critical
Publication of CN103581187B publication Critical patent/CN103581187B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

本发明公开了一种访问权限的控制方法及控制系统,该方法包括:对于请求对访问对象进行访问操作的访问方,提取该访问方的用户标签,其中,访问对象预先配置有用户标签以及与该用户标签对应的权限标签;根据预先配置的用户标签和提取的用户标签,确定访问方是否通过验证,如果提取的用户标签与预先配置的用户标签中的一个标签相符,则确定访问方通过验证;根据提取的用户标签所对应的权限标签,确定访问方是否有权限对访问对象进行访问操作。本发明有效的控制了所有用户的访问权限,避免了现有相关技术无法对超级用户进行限制的问题,提高了系统的安全性和可靠性。

Description

访问权限的控制方法及控制系统
技术领域
本发明涉及网络安全领域,具体来说,涉及一种访问权限的控制方法及控制系统。
背景技术
Linux系统中所采用的访问控制是传统UNIX的基于访问模式位的单一的自主访问控制,在实现这一功能时,系统的访问控制代码散列在核心中,没有形成统一的访问控制模块和相应的接口,缺乏相应的灵活性、扩充性以及易维护性,无法定制化系统的访问控制策略。
目前,有一种技术可以实现相应的权限管理,即ACL(Access Control List)。所谓ACL,就是一个文件/目录的访问控制列表,可以针对任意指定的用户/组分配RWX权限,可以通过一些命令配置实现对一个文件的详细的权限管理。
然而,ACL权限控制,只能在普通用户之间进行较为详细的权限设置,对于root这个超级用户是不受限制的。超级用户的权利仍然太大(例如,超级用户可以做一切事情,访问一切文件),入侵者往往可以轻松的利用应用程序的漏洞,不通过身份认证就可以成为超级用户,而这个假冒的超级用户就可以轻松的修改系统的设置,安置后门,进而破坏系统。
针对相关技术中不能对超级用户进行权限控制的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中不能对超级用户进行权限控制的问题,本发明提出一种访问权限的控制方法及系统,其不仅能够对普通用户的权限进行限制,同时也可以对超级用户进行限制。
本发明的技术方案是这样实现的:
根据本发明的一个方面,提供了一种访问权限的控制方法。
该控制方法包括:
对于请求对访问对象进行访问操作的访问方,提取该访问方的用户标签,其中,访问对象预先配置有用户标签以及与该用户标签对应的权限标签;
根据预先配置的用户标签和提取的用户标签,确定访问方是否通过验证;如果提取的用户标签与预先配置的用户标签中的一个标签相符,则确定访问方通过验证;
根据提取的用户标签所对应的权限标签,确定访问方是否有权限对访问对象进行访问操作。
此外,该控制方法进一步包括:预先对访问对象配置用户标签以及与该用户标签对应的权限标签。
其中,在预先对访问对象配置用户标签以及与该用户标签对应的权限标签时,可分析访问对象的文件头的属性空间,确定文件头的空闲属性空间;并在空闲属性空间中加入用户标签以及与该用户标签对应的权限标签。
其中,访问操作包括以下至少之一:读取、写入、执行。
其中,访问方包括普通用户和超级用户。
根据本发明的另一方面,提供了一种访问权限的控制系统。
该控制系统包括:
提取模块,用于提取对访问对象进行访问操作的访问方的用户标签,其中,访问对象预先配置有用户标签以及与该用户标签对应的权限标签;
验证模块,用于根据预先配置的用户标签和提取的用户标签,确定访问方是否通过验证,如果提取的用户标签与预先配置的用户标签中的一个标签相符,则确定访问方通过验证;
判定模块,用于根据提取的用户标签所对应的权限标签,确定访问方是否有权限对访问对象进行访问操作。
此外,控制系统还包括:设置模块,用于预先对访问对象配置用户标签以及与该用户标签对应的权限标签。
其中,设置模块进一步包括分析模块和添加模块,分析模块,用于分析访问对象的文件头的属性空间,确定文件头的空闲属性空间;添加模块,用于在空闲属性空间中加入用户标签以及与该用户标签对应的权限标签。
其中,访问操作包括以下至少之一:读取、写入、执行。
其中,访问方包括普通用户和超级用户。
本发明通过在访问对象的文件头中预存用户标签以及与用户标签对应的权限标签,从而使得在每次对文件进行操作前,首先需要验证访问方是否具有权限,当确定访问方具有权限后,才可以在权限标签所标识的操作权限内对相应的文件进行操作,从有效的控制了所有用户的访问权限,避免了现有相关技术无法对超级用户进行限制的问题,提高了系统的安全性和可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的访问权限的控制方法的流程示意图;
图2是根据本发明实施例的文件头设计示意图;
图3是根据本发明实施例的Fuse系统的结构示意图;
图4是根据本发明实施例的Fuse系统前期对文件的文件头进行修改的流程示意图;
图5是根据本发明实施例的Fuse系统后期对文件进行操作时验证用户权限的流程示意图;
图6是根据本发明实施例的访问权限的控制系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的实施例,提供了一种访问权限的控制方法。
如图1所示,根据本发明实施例的访问权限的控制方法包括:
步骤S101,对于请求对访问对象进行访问操作的访问方,提取该访问方的用户标签,其中,访问对象预先配置有用户标签以及与该用户标签对应的权限标签;
步骤S103,根据预先配置的用户标签和提取的用户标签,确定访问方是否通过验证;如果提取的用户标签与预先配置的用户标签中的一个标签相符,则确定访问方通过验证;
步骤S105,根据提取的用户标签所对应的权限标签,确定访问方是否有权限对访问对象进行访问操作。
此外,控制方法进一步包括:预先对访问对象配置用户标签以及与该用户标签对应的权限标签。
其中,在预先对访问对象配置用户标签以及与该用户标签对应的权限标签时,可分析访问对象的文件头的属性空间,确定文件头的空闲属性空间;并在空闲属性空间中加入用户标签以及与该用户标签对应的权限标签。
其中,访问操作包括以下至少之一:读取、写入、执行。
其中,访问方包括普通用户和超级用户。
下面将从文件的文件头设计以及利用Fuse用户态文件系统来实现访问权限的控制方法的流程对本发明的上述方案进行描述。
图2示出了一个文件头的设计示意图,如图2所示,为了方便控制用户对文件的权限控制,所以将用户权限列表存储在文件头中,在每次对文件操作前,首先验证用户是否具有权限,同样,包括对root用户权限控制。用户权限列表中不同的用户名序列之间可以用分隔符隔开。
Fuse是一种用户态文件系统。它使得Fuse用户在用户态下编写文件系统成为一种可能,且不必和内核打交道。Fuse由三个部分组成:Linux内核模块、Fuse库以及mount工具。结合Fuse实现用户权限管理的框架图如图3所示。
图4示出了Fuse系统前期对文件的文件头进行修改的流程示意图,图5示出了Fuse系统后期对文件进行操作时验证用户权限的流程示意图,从图4和图5中可以看出,利用Fuse来实现用户权限管理的工作流程如下:在Fuse系统中,首先需要对相关文件进行前期操作,即用户为文件分配权限,修改权限,然后调用Fuse中的函数钩子按照之前的文件头设计修改当前文件的文件头,将用户权限列表存储在文件头中。当前期操作完毕后,在后期每次对文件进行操作时,需要调用Fuse中的read、write函数,读取文件头中之前分配的权限分配信息,来验证当前访问用户是否对访问文件具有访问权限,如果验证当前用户具有对其所访问的文件具有访问权限,则对其放行,运行当前用户对访问的文件进行读取、写入等操作。反之,则阻止当前用户对其所访问的文件进行下一步操作。
在实际实施时,本发明还可以通过在系统文件中保存用户访问权限或者在文件属性中指定用户访问权限的方式来访问权限的控制。
根据本发明的实施例,还提供了一种访问权限的控制系统。
如图6所示,根据本发明实施例的权限访问的控制系统包括:
提取模块61,用于提取对访问对象进行访问操作的访问方的用户标签,其中,访问对象预先配置有用户标签以及与该用户标签对应的权限标签;
验证模块62,用于根据预先配置的用户标签和提取的用户标签,确定访问方是否通过验证,如果提取的用户标签与预先配置的用户标签中的一个标签相符,则确定访问方通过验证;
判定模块63,用于根据提取的用户标签所对应的权限标签,确定访问方是否有权限对访问对象进行访问操作。
此外,控制系统还包括:设置模块(未示出),用于预先对访问对象配置用户标签以及与该用户标签对应的权限标签。
其中,设置模块进一步包括分析模块(未示出)和添加模块(未示出)。分析模块,用于分析访问对象的文件头的属性空间,确定文件头的空闲属性空间;添加模块,用于在空闲属性空间中加入用户标签以及与该用户标签对应的权限标签。
其中,访问操作包括以下至少之一:读取、写入、执行。
其中,访问方包括普通用户和超级用户。
综上,借助于本发明的上述技术方案,通过在访问对象的文件头中预存用户标签以及与用户标签对应的权限标签,从而使得在每次对文件进行操作前,首先需要验证访问方是否具有权限,当确定访问方具有权限后,才可以在权限标签所标识的操作权限内对相应的文件进行操作,从有效的控制了所有用户的访问权限,避免了现有相关技术无法对超级用户进行限制的问题,提高了系统的安全性和可靠性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种访问权限的控制方法,其特征在于,包括以下步骤:
对于请求对访问对象进行访问操作的访问方,提取该访问方的用户标签,其中,所述访问对象预先配置有用户标签以及与该用户标签对应的权限标签;
根据预先配置的所述用户标签和提取的所述用户标签,确定所述访问方是否通过验证;
如果提取的所述用户标签与预先配置的用户标签中的一个标签相符,则确定所述访问方通过验证;
根据提取的所述用户标签所对应的权限标签,确定所述访问方是否有权限对所述访问对象进行所述访问操作;
其中,预先对所述访问对象配置用户标签以及与该用户标签对应的权限标签;
预先对所述访问对象配置用户标签以及与该用户标签对应的权限标签包括:
分析所述访问对象的文件头的属性空间,确定所述文件头的空闲属性空间;
在所述空闲属性空间中加入用户标签以及与该用户标签对应的权限标签。
2.根据权利要求1所述的控制方法,其特征在于,所述访问操作包括以下至少之一:
读取、写入、执行。
3.根据权利要求1所述的控制方法,其特征在于,所述访问方包括普通用户和超级用户。
4.一种访问权限的控制系统,其特征在于,包括:
提取模块,用于提取对访问对象进行访问操作的访问方的用户标签,其中,所述访问对象预先配置有用户标签以及与该用户标签对应的权限标签;
验证模块,用于根据预先配置的所述用户标签和提取的所述用户标签,确定所述访问方是否通过验证,如果提取的所述用户标签与预先配置的用户标签中的一个标签相符,则确定所述访问方通过验证;
判定模块,用于根据提取的所述用户标签所对应的权限标签,确定所述访问方是否有权限对所述访问对象进行所述访问操作;
其中,设置模块,用于预先对所述访问对象配置用户标签以及与该用户标签对应的权限标签;
所述设置模块进一步包括分析模块和添加模块,其中,
分析模块,用于分析所述访问对象的文件头的属性空间,确定所述文件头的空闲属性空间;
添加模块,用于在所述空闲属性空间中加入用户标签以及与该用户标签对应的权限标签。
5.根据权利要求4所述的控制系统,其特征在于,所述访问操作包括以下至少之一:
读取、写入、执行。
6.根据权利要求4所述的控制系统,其特征在于,所述访问方包括普通用户和超级用户。
CN201310542336.6A 2013-11-05 2013-11-05 访问权限的控制方法及控制系统 Active CN103581187B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310542336.6A CN103581187B (zh) 2013-11-05 2013-11-05 访问权限的控制方法及控制系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310542336.6A CN103581187B (zh) 2013-11-05 2013-11-05 访问权限的控制方法及控制系统

Publications (2)

Publication Number Publication Date
CN103581187A CN103581187A (zh) 2014-02-12
CN103581187B true CN103581187B (zh) 2017-02-15

Family

ID=50052117

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310542336.6A Active CN103581187B (zh) 2013-11-05 2013-11-05 访问权限的控制方法及控制系统

Country Status (1)

Country Link
CN (1) CN103581187B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103971064B (zh) * 2014-05-14 2016-09-21 中标软件有限公司 Linux 系统的用户权限控制方法
CN104301315A (zh) * 2014-09-30 2015-01-21 腾讯科技(深圳)有限公司 一种限制信息访问的方法和装置
CN104318171B (zh) * 2014-10-09 2017-11-07 中国科学院信息工程研究所 基于权限标签的Android隐私数据保护方法及系统
CN104348837A (zh) * 2014-11-05 2015-02-11 北京海思敏医疗技术有限公司 用于web应用系统的资源访问的控制方法及装置
CN104394176B (zh) * 2014-12-17 2018-05-08 中国人民解放军国防科学技术大学 一种基于强制访问控制机制的webshell防范方法
CN105183799B (zh) * 2015-08-25 2019-12-24 苏州浪潮智能科技有限公司 一种权限管理的方法及客户端
CN105404821B (zh) * 2015-10-23 2018-05-04 上海帝联信息科技股份有限公司 操作系统的文件访问控制方法及装置
CN106855928A (zh) * 2015-12-09 2017-06-16 阿里巴巴集团控股有限公司 一种提高数据安全的方法与设备
CN105760164B (zh) * 2016-02-15 2020-01-10 苏州浪潮智能科技有限公司 一种用户空间文件系统中acl权限的实现方法
CN106534101A (zh) * 2016-11-01 2017-03-22 广东浪潮大数据研究有限公司 一种文件防护方法、安全系统客户端及文件防护系统
CN108197444A (zh) 2018-01-23 2018-06-22 北京百度网讯科技有限公司 一种分布式环境下的权限管理方法、装置及服务器
CN110851873B (zh) * 2019-11-20 2023-04-25 东北石油大学 科技项目文件权限处理方法和装置
WO2022179598A1 (zh) * 2021-02-26 2022-09-01 北京字跳网络技术有限公司 信息处理、信息交互、标签查看、信息显示方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101997912A (zh) * 2010-10-27 2011-03-30 苏州凌霄科技有限公司 基于Android平台的强制访问控制装置及控制方法
CN102004866A (zh) * 2009-09-01 2011-04-06 上海杉达学院 用于信息系统的用户身份验证及访问控制的方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101330500B (zh) * 2007-06-18 2012-05-23 中兴通讯股份有限公司 在设备管理中访问权限的控制方法
CN101605097A (zh) * 2009-07-22 2009-12-16 赛尔网络有限公司 IPv6/IPv4地址分级访问权限控制方法和访问控制网关
CN102129539A (zh) * 2011-03-11 2011-07-20 清华大学 基于访问控制列表的数据资源权限管理方法
CN102281337A (zh) * 2011-07-29 2011-12-14 赛尔网络有限公司 目的地址访问控制方法和系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102004866A (zh) * 2009-09-01 2011-04-06 上海杉达学院 用于信息系统的用户身份验证及访问控制的方法及装置
CN101997912A (zh) * 2010-10-27 2011-03-30 苏州凌霄科技有限公司 基于Android平台的强制访问控制装置及控制方法

Also Published As

Publication number Publication date
CN103581187A (zh) 2014-02-12

Similar Documents

Publication Publication Date Title
CN103581187B (zh) 访问权限的控制方法及控制系统
CN104683336B (zh) 一种基于安全域的安卓隐私数据保护方法及系统
CN103368987B (zh) 云服务器、应用程序的审核认证及管理系统和方法
CN109584082A (zh) 基于区块链的保险理赔方法、电子装置及存储介质
CN110197058A (zh) 统一内控安全管理方法、系统、介质及电子设备
CN104506487B (zh) 云环境下隐私策略的可信执行方法
CN109634619A (zh) 可信执行环境实现方法及装置、终端设备、可读存储介质
WO2013075419A1 (zh) 一种管理功能使用权限的方法及移动终端
CN101523401A (zh) 用户秘密在计算平台上的安全使用
CN109446259B (zh) 数据处理方法及装置、处理机及存储介质
CN105939362A (zh) 用户账号管理方法及装置
CN109960903A (zh) 一种应用加固的方法、装置、电子设备及存储介质
CN110661779B (zh) 基于区块链网络的电子证件管理方法、系统、设备及介质
WO2015109668A1 (zh) 应用程序管理方法、装置、终端及计算机存储介质
CN109033857A (zh) 一种访问数据的方法、装置、设备及可读存储介质
CN109727132A (zh) 区块链共识节点的获取方法、装置、电子设备及存储介质
CN110287691A (zh) 应用程序登录方法、装置、设备及存储介质
CN109828924A (zh) 测试方法、装置和计算设备及介质
CN109379360A (zh) 审计方法、电子装置及计算机可读存储介质
Meetei et al. Security issues in cloud computing
CN109447384A (zh) 风控系统的验证方法、装置、设备及存储介质
CN104104650B (zh) 数据文件访问方法及终端设备
CN109246248B (zh) 基于区块链技术的数据可信安全共享系统和方法
CN105516207B (zh) 一种远程认证中证书管理的方法
CN105871840B (zh) 一种证书管理方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5

Patentee after: Shuguang Cloud Computing Group Co.,Ltd.

Address before: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5

Patentee before: DAWNING CLOUD COMPUTING TECHNOLOGY Co.,Ltd.

CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 100193 5 floor, 36 building, No. 8 Northeast Road, Haidian District, Beijing.

Patentee after: Shuguang Cloud Computing Group Co.,Ltd.

Country or region after: China

Address before: 100193 5 floor, 36 building, No. 8 Northeast Road, Haidian District, Beijing.

Patentee before: Shuguang Cloud Computing Group Co.,Ltd.

Country or region before: China