CN107133516B - 一种权限控制方法和系统 - Google Patents
一种权限控制方法和系统 Download PDFInfo
- Publication number
- CN107133516B CN107133516B CN201710271355.8A CN201710271355A CN107133516B CN 107133516 B CN107133516 B CN 107133516B CN 201710271355 A CN201710271355 A CN 201710271355A CN 107133516 B CN107133516 B CN 107133516B
- Authority
- CN
- China
- Prior art keywords
- session
- system call
- authority
- role
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本发明实施例公开了一种权限控制方法和系统,该方法包括:在应用程序的进程进行系统调用时,获取该系统调用所属的会话信息;对会话信息所属的会话的会话权限进行识别;根据会话信息对应的会话权限和进程所在系统的系统自身访问权限对系统调用进行权限检查;在系统调用满足会话权限和系统自身访问权限时,则执行当前系统调用,并进行系统调用返回。对于应用程序的进程对系统调用引入了会话权限的检查来配合系统自身访问权限对服务器中进行系统调用时的权限进行检查校验,以控制应用程序的执行权限,实现了当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制。
Description
技术领域
本发明涉及访问权限管理技术领域,特别是涉及一种权限控制方法和系统。
背景技术
随着科学技术的发展,越来越多的互联网用户通过远程访问的方式来获取外部网络的共享资源。想要实现远程访问,就需要用户的客户端通过远程登录的方式连接到服务器,然后由服务器调取数据库中的相应信息返回至客户端。
然而,在互联网应用中,服务器为不同的用户提供不同的服务,即不同的客户端具有不同的相应访问权限。各客户端只能在自身的访问权限范围内获取数据库中的信息。通常情况下,当用户在进行远程访问时,服务器进行系统调用权限的判断,通常情况下直接作用于文件系统的数据(文件和目录)和数据库连接,所谓的系统调用指的是进程陷入操作系统内核执行系统功能的调用,如创建文件、修改文件和执行程序。而系统权限通常指的是系统调用时的权限,典型情况下,权限通常由文件属性和进程运行的所属用户组决定。当进程执行系统调用时就会受到进程用户和文件的属性的局限。
因而,如何实现当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制,是本领域技术人员目前需要解决的技术问题。
发明内容
本发明的目的是提供一种权限控制方法和系统,可以实现当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制。
为解决上述技术问题,本发明提供了如下技术方案:
一种权限控制方法,包括:
在应用程序的进程进行系统调用时,获取该系统调用所属的会话信息;
对所述会话信息所属的会话的会话权限进行识别;
根据所述会话信息对应的会话权限和所述进程所在系统的系统自身访问权限对所述系统调用进行权限检查;
在所述系统调用满足所述会话权限和所述系统自身访问权限时,则执行当前系统调用,并进行系统调用返回。
优选地,所述根据所述会话信息对应的会话权限和所述进程所在系统的系统自身访问权限对所述系统调用进行权限检查,包括:
判断当前系统调用是否在所述会话信息对应的所述会话权限内;
若是,则判断所述当前系统调用是否在系统的所述系统自身访问权限内。
优选地,所述对所述会话信息所属的会话的会话权限进行识别,包括:
获取所述会话信息所属的会话的发起终端的IP地址;
根据所述IP地址和预设的角色配置信息,识别所述会话的所属角色;
根据所述会话的所属角色,调取该角色对应的会话权限配置。
优选地,所述对所述会话信息所属的会话的会话权限进行识别,包括:
判断所述会话信息中是否包含预设的会话角色认证信息;
若是,则获取所述会话角色认证信息,并根据所述会话角色认证信息识别分析出该会话信息的发起终端的角色,获取该角色的会话权限配置。
优选地,所述对所述会话信息所属的会话的会话权限进行识别,包括:
预先建立用于预设角色通讯的虚拟通讯网络隧道;
对所述会话的来源隧道进行识别,以判断所述会话所属的角色;
根据所述会话所属的角色调取对应的会话权限配置。
一种权限控制系统,包括:
第一获取模块,用于在应用程序的进程进行系统调用时,获取该系统调用所属的会话信息;
会话权限识别模块,用于对所述会话信息所属的会话的会话权限进行识别;
权限检查模块,用于根据所述会话信息对应的会话权限和所述进程所在系统的系统自身访问权限对所述系统调用进行权限检查;
调用执行模块,用于在所述系统调用满足所述会话权限和所述系统自身访问权限时,则执行当前系统调用,并进行系统调用返回。
优选地,所述权限检查模块包括:
第一判断单元,用于判断当前系统调用是否在所述会话信息对应的所述会话权限内;
第二判断单元,用于在所述第一判断单元判定当前系统调用在所述会话信息对应的所述会话权限内时,判断所述当前系统调用是否在系统的所述系统自身访问权限内。
优选地,所述会话权限识别模块包括:
解析单元,用于获取所述会话信息所属的会话的发起终端的IP地址;
角色识别单元,用于根据所述IP地址和预设的角色配置信息,识别所述会话的所属角色;
第一权限配置调取单元,用于根据所述会话的所属角色,调取该角色对应的会话权限配置。
优选地,所述会话权限识别模块包括:
第三判断单元,用于判断所述会话信息中是否包含预设的会话角色认证信息;
权限配置获取单元,用于在所述第三判断单元判定所述会话信息中包含预设的会话角色认证信息时,获取所述会话角色认证信息,并根据所述会话角色认证信息识别分析出该会话信息的发起终端的角色,获取该角色的会话权限配置。
优选地,所述权限检查模块包括:
预处理单元,用于预先建立用于预设角色通讯的虚拟通讯网络隧道;
角色判断单元,用于对所述会话的来源隧道进行识别,以判断所述会话所属的角色;
第二权限配置调取单元,用于根据所述会话所属的角色调取对应的会话权限配置。
与现有技术相比,上述技术方案具有以下优点:
本发明实施例所提供的一种权限控制方法,包括:在应用程序的进程进行系统调用时,获取该系统调用所属的会话信息;对会话信息所属的会话的会话权限进行识别;根据会话信息对应的会话权限和进程所在系统的系统自身访问权限对系统调用进行权限检查;在系统调用满足会话权限和系统自身访问权限时,则执行当前系统调用,并进行系统调用返回。对于应用程序的进程对系统调用引入了会话权限的检查来配合系统系统自身访问权限对于服务器中进行系统调用时的权限进行检查校验,以控制应用程序的权限,实现了当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种具体实施方式所提供的权限控制方法流程图;
图2为本发明一种具体实施方式所提供的权限控制系统结构示意图。
具体实施方式
本发明的核心是提供一种权限控制方法和系统,可以实现当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制。
为了使本发明的上述目的、特征和优点能够更为明显易懂,下面结合附图对本发明的具体实施方式做详细的说明。
在以下描述中阐述了具体细节以便于充分理解本发明。但是本发明能够以多种不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广。因此本发明不受下面公开的具体实施方式的限制。
请参考图1,图1为本发明一种具体实施方式所提供的权限控制方法流程图。
本发明的一种具体实施方式提供了一种权限控制方法,包括:
S11:在应用程序的进程进行系统调用时,获取该系统调用所属的会话信息。
S12:对会话信息所属的会话的会话权限进行识别。
S13:根据会话信息对应的会话权限和进程所在系统的系统自身访问权限对系统调用进行权限检查。
S14:在系统调用满足会话权限和系统自身访问权限时,则执行当前系统调用,并进行系统调用返回。
在本实施方式中,当客户端通过预设的应用程序来访问服务器,以获取数据库中的数据时,客户端和服务器之间会建立关于系统调用的会话。在此获取该会话的会话信息,通过对会话进行识别,指示该会话属于哪个角色,即该会话所属的客户端或者用户,而不同的角色在系统中的身份拥有一组操作权限配置。不同的会话信息对应各自的会话权限。当用户想要进行系统调用时,就需要进行会话权限和系统系统自身访问权限的检测,通过会话权限的检查来判断该会话对应的角色的数据访问权限,而系统系统自身访问权限的检查用来判断系统可以提供给该角色的数据访问权限,只有当系统调用的数据既能通过会话权限的检查,又能通过系统的系统自身访问权限的检查,此时才执行当前系统调用,当当前系统调用执行完成后进行系统调用返回,执行新的系统调用。
其中,会话权限即表示了该会话对应的角色的访问权限,从而在判断系统调用是否符合权限时,无需再去判断系统调用的文件属性和进行运行的所属用户的属性,极大地简化了权限的判断过程。对于应用程序的进程对系统调用引入了会话权限的检查来配合系统系统自身访问权限对于服务器中进行系统调用时的权限进行检查校验,以控制应用程序的权限,实现了当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制。
需要说明的是,在本文中的整个通讯服务过程中,系统调用主要包括应用程序对磁盘文件系统进行文件读写系统调用,和应用程序对数据库程序的数据库连接读写的系统调用。在这两种情况下进行系统调用时进行权限的检查判断。
还需要说明的是,系统调用还包括数据库程序对数据库数据进行数据读写的系统调用,由于在技术上权限检查的意义不大,因此,在本实施方式中,可以不对此处的系统调用进行权限检查判断。
进一步地,根据会话信息对应的会话权限和进程所在系统的系统自身访问权限对系统调用进行权限检查,包括:判断当前系统调用是否在会话信息对应的会话权限内;若是,则判断当前系统调用是否在系统的系统自身访问权限内。
在系统调用满足会话权限和系统自身访问权限时,则执行当前系统调用,并进行系统调用返回,包括:若判定当前系统调用在系统的系统自身访问权限内,则执行当前系统调用;在当前系统调用完成后进行系统调用返回。
在本实施方式中,在获取了系统调用的会话信息后,首先判断当前系统调用是否在会话权限内,即通过会话权限检测系统调用是否处于该会话对应的角色的权限范围内,若通过检测则判断当前系统调用是否处于系统的系统自身访问权限内,即系统是否对该会话对应的角色开放了对应的权限,若也通过检查,则执行当前系统调用。
需要说明的是,若判定当前系统调用不在会话信息对应的会话权限内,则表示检查失败,直接进入系统调用返回。
进一步地,在执行当前系统调用之后,还包括:判断当前系统调用的结果是否在会话权限内;若是,则进行系统调用返回;若否,则清空系统调用返回数据,并进行系统调用返回。
在本实施方式中,由于在执行系统调用后的数据会发生一定的变化,因此,在执行完系统调用后,还通过对当前系统调用的结果进行权限的校验。以进一步完善系统调用的权限控制。
还需要说明的是,在本发明中,还可以在获取了系统调用的会话信息后,先进行系统系统自身访问权限的检查,若检查通过,直接执行系统调用,然后对系统调用的结果进行会话权限的检查。也可以实现当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制。
在本发明的一种实施方式中,对会话信息所属的会话的会话权限进行识别,包括:获取会话信息所属的会话的发起终端的IP地址;根据IP地址和预设的角色配置信息,识别会话的所属角色;根据会话的所属角色,调取该角色对应的会话权限配置。
在本实施方式中,角色即指用户身份,在系统中一个身份拥有一组操作权限配置。要想知道客户端(即会话的发起终端)的权限,在本实施方式中就通过客户端建立的会话所属的角色的身份信息,即识别发起该该会话的客户端的身份,只有了解了该客户端的身份,服务器才能赋予该客户端对应的权限来进行系统调用。通过读取会话的发起终端的IP地址来识别发起会话的客户端的身份。如当有两个客户端访问服务器时,客户端A的IP地址为192.168.1.1,其身份为管理员,预设的权限为“所有”;客户端B的IP地址为123.45.67.89.其身份为普通用户,预设的权限为“部分”。则当某一客户端访问服务器并发起会话时,服务器读取发起会话的客户端的IP地址,根据其IP地址即可获取该客户端的身份信息,如读取的是客户端A的IP地址,则判定此时的客户端为管理员,相应地,即可服务该客户端对应的权限来控制当前的系统调用。由于各客户端均具有一个唯一的、不同于其他客户端的IP地址,因此,通过识别发起会话的客户端的IP地址,即可识别客户端的身份,并调取对应的权限来控制系统调用。
在本发明的一种实施方式中,对会话信息所属的会话的会话权限进行识别,包括:判断会话信息中是否包含预设的会话角色认证信息;若是,则获取会话角色认证信息,并根据会话角色认证信息识别分析出该会话信息的发起终端的角色,获取该角色的会话权限配置。
在本实施方式中,使用二次认证来进行角色的识别。在二次认证中可以引入中间代理,使得所有到达服务器的数据先经过中间代理,中间代理对连接进行认证后再传递给服务器进行请求。
具体地,客户端向中间代理发送请求内容,中间代理判断会话信息中是否包含预设的会话角色认证信息,若是,则根据会话角色认证信息来识别出会话信息的发起终端的角色,进而根据由该角色获取对应的会话权限配置。若没有,则返回需要认证的提示信息,客户端再将带认证信息的请求内容发送至中间代理,在中间代理通过认证后,再将请求内容和相关的角色信息发送至服务器,服务器将答复内容返回至客户端。在这个过程中,由中间代理来识别发起会话的客户端的身份。
以上述实施方式中以会话发起者的IP地址来获取会话的角色的身份信息为例,通常情况下一台计算机对应一个IP地址,也就是说通过某一台计算机进行系统调用时,通过该计算机的IP地址可以识别出该计算机进行系统调用时的所有权限。但是当用户使用其他的计算机时,由于新的计算机的IP地址和原计算机IP地址不同,此时就难以识别操作者的权限,因此,在本实施方式中采用了二次认证的方法,通过中间代理来对当前计算机的请求内容进行分析,以实现对当前计算机的用户的身份进行认证,这样使得用户无论是在原先预设的计算机还是其他计算机上进行操作时,服务器均可识别出用户的身份,从而判断出其权限。
在本发明的一种实施方式中,对会话信息所属的会话的会话权限进行识别,包括:预先建立用于预设角色通讯的虚拟通讯网络隧道;对会话的来源隧道进行识别,以判断会话所属的角色;根据会话所属的角色调取对应的会话权限配置。
在本实施方式中,采用隧道方式进行角色识别。在该过程中,客户端通过与服务器建立虚拟专用通讯网络隧道,通过区分来源隧道来进行角色的识别。如当客户端角色分为管理员和普通用户时,管理员客户端和服务器进行通讯的隧道为虚拟专用通讯网络隧道,而普通用户客户端和服务器进行通讯的隧道为普通网络访问,这样,当客户端和服务器建立会话时,只需识别会话的来源隧道即可判定会话所属的角色的身份信息。
请参考图2,图2为本发明一种具体实施方式所提供的权限控制系统结构示意图。
相应地,本发明还提供了一种权限控制系统,包括:
第一获取模块21,用于在应用程序的进程进行系统调用时,获取该系统调用所属的会话信息;
会话权限识别模块22,用于对会话信息所属的会话的会话权限进行识别;
权限检查模块23,用于根据会话信息对应的会话权限和进程所在系统的系统自身访问权限对系统调用进行权限检查;
调用执行模块24,用于在系统调用满足会话权限和系统自身访问权限时,则执行当前系统调用,并进行系统调用返回。
在本实施方式中,会话权限即表示了该会话对应的角色的访问权限,从而在检查系统调用是否符合权限时,无需再去检查系统调用的文件属性和进行运行的所属用户的属性,极大地简化了权限的判断过程。对于应用程序的进程对系统调用引入了会话权限的检查来配合系统系统自身访问权限对于服务器中进行系统调用时的权限进行检查校验,以控制应用程序的权限,实现了当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制。
进一步地,权限检查模块包括:第一判断单元,用于判断当前系统调用是否在会话信息对应的会话权限内;第二判断单元,用于在第一判断单元判定当前系统调用在会话信息对应的会话权限内时,判断当前系统调用是否在系统的系统自身访问权限内。
在本实施方式中,在获取了系统调用的会话信息后,首先判断当前系统调用是否在会话权限内,即通过会话权限检测系统调用是否处于该会话对应的角色的权限范围内,若通过检测则判断当前系统调用是否处于系统的系统自身访问权限内,即系统是否对该会话对应的角色开放了对应的权限,若也通过检查,则执行当前系统调用。
需要说明的是,若判定当前系统调用不在会话信息对应的会话权限内,则表示检查失败,直接进入系统调用返回。
在本发明的一种实施方式中,会话权限识别模块包括:解析单元,用于获取会话信息所属的会话的发起终端的IP地址;角色识别单元,用于根据IP地址和预设的角色配置信息,识别会话的所属角色;第一权限配置调取单元,用于根据会话的所属角色,调取该角色对应的会话权限配置。
在本实施方式中,通过读取会话的发起终端的IP地址来识别发起会话的客户端的身份。如当有两个客户端访问服务器时,客户端A的IP地址为192.168.1.1,其身份为管理员,预设的权限为“所有”;客户端B的IP地址为123.45.67.89.其身份为普通用户,预设的权限为“部分”。则当某一客户端访问服务器并发起会话时,服务器读取发起会话的客户端的IP地址,根据其IP地址即可获取该客户端的身份信息,如读取的是客户端A的IP地址,则判定此时的客户端为管理员,相应地,即可服务该客户端对应的权限来控制当前的系统调用。由于各客户端均具有一个唯一的、不同于其他客户端的IP地址,因此,通过识别发起会话的客户端的IP地址,即可识别客户端的身份,并调取对应的权限来控制系统调用。
在本发明的另一种实施方式中,会话权限识别模块包括:第三判断单元,用于判断会话信息中是否包含预设的会话角色认证信息;权限配置获取单元,用于在第三判断单元判定会话信息中包含预设的会话角色认证信息时,获取会话角色认证信息,并根据会话角色认证信息识别分析出该会话信息的发起终端的角色,获取该角色的会话权限配置。
在本实施方式中,使用二次认证来进行角色的识别。在二次认证中可以引入中间代理,中间代理即上述的会话权限识别模块,使得所有到达服务器的数据先经过中间代理,中间代理对连接进行认证后再传递给服务器进行请求。
具体地,客户端向中间代理发送请求内容,中间代理判断会话信息中是否包含预设的会话角色认证信息,若没有,则返回需要认证的提示信息,客户端再将带认证信息的请求内容发送至中间代理,在中间代理通过认证后,再将请求内容和相关的角色信息发送至服务器,服务器将答复内容返回至客户端。在这个过程中,由中间代理来识别发起会话的客户端的身份。
在本发明的另一种实施方式中,权限检查模块包括:预处理单元,用于预先建立用于预设角色通讯的虚拟通讯网络隧道;角色判断单元,用于对会话的来源隧道进行识别,以判断会话所属的角色;第二权限配置调取单元,用于根据会话所属的角色调取对应的会话权限配置。
在本实施方式中,采用隧道方式进行角色识别。在该过程中,客户端通过与服务器建立虚拟专用通讯网络隧道,通过区分来源隧道来进行角色的识别。如当客户端角色分为管理员和普通用户时,管理员客户端和服务器进行通讯的隧道为虚拟专用通讯网络隧道,而普通用户客户端和服务器进行通讯的隧道为普通网络访问,这样,当客户端和服务器建立会话时,只需识别会话的来源隧道即可判定会话所属的角色的身份信息。
综上所述,本发明所提供的权限控制方法和系统,当用户想要进行系统调用时,就需要进行会话权限和系统系统自身访问权限的检测,通过会话权限的检查来判断该会话对应的角色的数据访问权限,而系统系统自身访问权限的检查用来判断系统可以提供给该角色的数据访问权限,只有当系统调用的数据既能通过会话权限的检查,又能通过系统的系统自身访问权限的检查,此时才执行当前系统调用,当当前系统调用执行完成后进行系统调用返回,执行新的系统调用。无需再去判断系统调用的文件属性和进行运行的所属用户的属性,极大地简化了权限的判断过程。对于应用程序的进程对系统调用引入了会话权限的检查来配合系统系统自身访问权限对于服务器中进行系统调用时的权限进行检查校验,以控制应用程序的权限,实现了当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制。
以上对本发明所提供一种权限控制方法和系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (4)
1.一种权限控制方法,其特征在于,包括:
在应用程序的进程进行系统调用时,获取该系统调用所属的会话信息;
对所述会话信息所属的会话的会话权限进行识别;
根据所述会话信息对应的会话权限和所述进程所在系统的系统自身访问权限对所述系统调用进行权限检查;
在所述系统调用满足所述会话权限和所述系统自身访问权限时,则执行当前系统调用,并进行系统调用返回;
在执行当前系统调用之后,还包括:判断所述当前系统调用的结果是否在所述会话权限内;若是,则进行系统调用返回;若否,则清空系统调用返回数据,并进行系统调用返回;
其中,所述对所述会话信息所属的会话的会话权限进行识别,包括:
获取所述会话信息所属的会话的发起终端的IP地址;
根据所述IP地址和预设的角色配置信息,识别所述会话的所属角色;
根据所述会话的所属角色,调取该角色对应的会话权限配置;
或,
所述对所述会话信息所属的会话的会话权限进行识别,包括:
判断所述会话信息中是否包含预设的会话角色认证信息;
若是,则获取所述会话角色认证信息,并根据所述会话角色认证信息识别分析出该会话信息的发起终端的角色,获取该角色的会话权限配置;
或,
所述对所述会话信息所属的会话的会话权限进行识别,包括:
预先建立用于预设角色通讯的虚拟通讯网络隧道;
对所述会话的来源隧道进行识别,以判断所述会话所属的角色;
根据所述会话所属的角色调取对应的会话权限配置;
所述系统调用包括应用程序对磁盘文件系统进行文件读写系统调用、应用程序对数据库程序的数据库连接读写的系统调用和数据库程序对数据库数据进行数据读写的系统调用。
2.根据权利要求1所述的方法,其特征在于,所述根据所述会话信息对应的会话权限和所述进程所在系统的系统自身访问权限对所述系统调用进行权限检查,包括:
判断当前系统调用是否在所述会话信息对应的所述会话权限内;
若是,则判断所述当前系统调用是否在系统的所述系统自身访问权限内。
3.一种权限控制系统,其特征在于,包括:
第一获取模块,用于在应用程序的进程进行系统调用时,获取该系统调用所属的会话信息;
会话权限识别模块,用于对所述会话信息所属的会话的会话权限进行识别;
权限检查模块,用于根据所述会话信息对应的会话权限和所述进程所在系统的系统自身访问权限对所述系统调用进行权限检查;
调用执行模块,用于在所述系统调用满足所述会话权限和所述系统自身访问权限时,则执行当前系统调用,并进行系统调用返回;
在执行当前系统调用之后,还包括:判断所述当前系统调用的结果是否在所述会话权限内;若是,则进行系统调用返回;若否,则清空系统调用返回数据,并进行系统调用返回;
其中,所述会话权限识别模块包括:
解析单元,用于获取所述会话信息所属的会话的发起终端的IP地址;
角色识别单元,用于根据所述IP地址和预设的角色配置信息,识别所述会话的所属角色;
第一权限配置调取单元,用于根据所述会话的所属角色,调取该角色对应的会话权限配置;
或,
所述会话权限识别模块包括:
第三判断单元,用于判断所述会话信息中是否包含预设的会话角色认证信息;
权限配置获取单元,用于在所述第三判断单元判定所述会话信息中包含预设的会话角色认证信息时,获取所述会话角色认证信息,并根据所述会话角色认证信息识别分析出该会话信息的发起终端的角色,获取该角色的会话权限配置;
或,
所述权限检查模块包括:
预处理单元,用于预先建立用于预设角色通讯的虚拟通讯网络隧道;
角色判断单元,用于对所述会话的来源隧道进行识别,以判断所述会话所属的角色;
第二权限配置调取单元,用于根据所述会话所属的角色调取对应的会话权限配置;
所述系统调用包括应用程序对磁盘文件系统进行文件读写系统调用、应用程序对数据库程序的数据库连接读写的系统调用和数据库程序对数据库数据进行数据读写的系统调用。
4.根据权利要求3所述的系统,其特征在于,所述权限检查模块包括:
第一判断单元,用于判断当前系统调用是否在所述会话信息对应的所述会话权限内;
第二判断单元,用于在所述第一判断单元判定当前系统调用在所述会话信息对应的所述会话权限内时,判断所述当前系统调用是否在系统的所述系统自身访问权限内。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710271355.8A CN107133516B (zh) | 2017-04-24 | 2017-04-24 | 一种权限控制方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710271355.8A CN107133516B (zh) | 2017-04-24 | 2017-04-24 | 一种权限控制方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107133516A CN107133516A (zh) | 2017-09-05 |
| CN107133516B true CN107133516B (zh) | 2020-10-30 |
Family
ID=59715040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710271355.8A Active CN107133516B (zh) | 2017-04-24 | 2017-04-24 | 一种权限控制方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107133516B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109657436B (zh) * | 2018-12-27 | 2020-07-07 | 上海百事通信息技术股份有限公司 | 一种访问远程数库的方法和系统 |
| CN110391933A (zh) * | 2019-06-17 | 2019-10-29 | 浙江工商大学 | 一种嵌入式设备参数配置恢复方法以及嵌入式设备 |
| CN112532561B (zh) * | 2019-08-28 | 2023-04-07 | 斑马智行网络(香港)有限公司 | 用于实现设备间访问的方法、装置、系统及存储介质 |
| CN110545287B (zh) * | 2019-09-19 | 2022-02-18 | 车轮互联科技(上海)股份有限公司 | 日志访问权限的管理方法以及装置、服务器 |
| CN111177667B (zh) * | 2019-12-16 | 2021-08-10 | 浙江信网真科技股份有限公司 | 一种内容分区处理的权限控制方法及系统 |
| CN111614620A (zh) * | 2020-04-17 | 2020-09-01 | 广州南翼信息科技有限公司 | 一种数据库访问控制方法、系统和存储介质 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1773413B (zh) * | 2004-11-10 | 2010-04-14 | 中国人民解放军国防科学技术大学 | 角色定权方法 |
| CN101106511A (zh) * | 2007-08-24 | 2008-01-16 | 上海可鲁系统软件有限公司 | 一种两个独立网络间的安全互通方法及装置 |
| CN101414998B (zh) * | 2007-10-15 | 2012-08-08 | 华为技术有限公司 | 一种基于认证机制转换的通信方法、系统及设备 |
| CN101267343B (zh) * | 2008-04-25 | 2011-01-05 | 中兴通讯股份有限公司 | 一种多客户端配置服务端网元数据的方法 |
| CN101645126A (zh) * | 2009-09-07 | 2010-02-10 | 浪潮集团山东通用软件有限公司 | 一种基于rbac模型扩展的面向业务的授权访问控制方法 |
| CN104052775B (zh) * | 2013-03-14 | 2016-11-23 | 腾讯科技(深圳)有限公司 | 一种云平台服务的权限管理方法、装置和系统 |
| CN104052747A (zh) * | 2014-06-23 | 2014-09-17 | 桂林长海科技有限责任公司 | 一种基于rbac的权限管理系统 |
| CN104092737B (zh) * | 2014-06-24 | 2018-03-13 | 广州亿程交通信息有限公司 | 基于云技术的位置服务中间件方法 |
-
2017
- 2017-04-24 CN CN201710271355.8A patent/CN107133516B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107133516A (zh) | 2017-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107133516B (zh) | 一种权限控制方法和系统 | |
| US8281381B2 (en) | Techniques for environment single sign on | |
| WO2018188558A1 (zh) | 账号权限的识别方法及装置 | |
| JP6559694B2 (ja) | 自動sdk受容 | |
| JP4916136B2 (ja) | アプリケーションにセキュリティを提供するシステムおよび方法 | |
| CN110300133B (zh) | 跨域数据传输方法、装置、设备及存储介质 | |
| US20150373026A1 (en) | Permission management method, device and system for cloud platform service | |
| CN110650216B (zh) | 云服务请求方法和装置 | |
| CN110795174B (zh) | 一种应用程序接口调用方法、装置、设备及可读存储介质 | |
| RU2237275C2 (ru) | Сервер и способ (варианты) определения программного окружения клиентского узла в сети с архитектурой клиент/сервер | |
| CN105704094A (zh) | 应用访问权限控制方法及装置 | |
| CN112118238A (zh) | 认证登录的方法、装置、系统、设备及存储介质 | |
| CN111241523A (zh) | 认证处理方法、装置、设备和存储介质 | |
| CN114448734A (zh) | 一种网络访问方法、装置、设备以及存储介质 | |
| CN107071040B (zh) | 一种基于文件描述符和会话的权限控制方法和系统 | |
| CN113901429A (zh) | 多租户系统的访问方法及装置 | |
| CN107018140B (zh) | 一种权限控制方法和系统 | |
| CN110049106B (zh) | 业务请求处理系统及方法 | |
| CN107094140B (zh) | 一种基于会话的权限控制方法和系统 | |
| CN107172082B (zh) | 一种文件共享方法及系统 | |
| CN113901428A (zh) | 多租户系统的登录方法及装置 | |
| KR20050009945A (ko) | 이동식 저장장치를 이용한 가상 저장 공간의 관리 방법 및시스템 | |
| CN107105036B (zh) | 一种用于服务器的活动溯源方法和系统 | |
| CN113343220A (zh) | 应用程序的登录认证方法、装置、设备和介质 | |
| CN115664686A (zh) | 一种登录方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |