CN108228353A - 资源访问控制方法、装置及相应终端 - Google Patents

资源访问控制方法、装置及相应终端 Download PDF

Info

Publication number
CN108228353A
CN108228353A CN201711479061.0A CN201711479061A CN108228353A CN 108228353 A CN108228353 A CN 108228353A CN 201711479061 A CN201711479061 A CN 201711479061A CN 108228353 A CN108228353 A CN 108228353A
Authority
CN
China
Prior art keywords
resource
catalogue
carry
read
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711479061.0A
Other languages
English (en)
Inventor
任仕玖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Yuanxin Science and Technology Co Ltd
Original Assignee
Beijing Yuanxin Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Yuanxin Science and Technology Co Ltd filed Critical Beijing Yuanxin Science and Technology Co Ltd
Priority to CN201711479061.0A priority Critical patent/CN108228353A/zh
Publication of CN108228353A publication Critical patent/CN108228353A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种资源访问控制方法、装置及相应终端,该方法包括:当检测到进程对资源的访问请求时,将访问请求对应的资源进行分类,并依据分类结果生成私有资源目录和公共资源目录;根据私有资源目录和公共资源目录,生成资源请求应答包;当检测到进程根据资源请求应答包发起的挂载请求时,对私有资源目录和公共资源目录中的资源执行针对预定文件系统的挂载操作,以使得公共资源目录中的资源的读写方式为只读;本发明将进程所访问的资源分成两部分,通过预定文件系统将其中众多进程共享的关键公共资源部分以只读的方式进行保护,防止任意进程篡改系统资源,从根源上控制非法进程对系统安全的威胁,有效保障系统的安全性。

Description

资源访问控制方法、装置及相应终端
技术领域
本发明涉及计算机技术领域,具体而言,本发明涉及一种资源访问控制方法、装置及相应终端。
背景技术
在移动互联时代,随着计算机技术和网络技术的发展,整个社会的信息化程度不断提高,数据和信息资源便成为全世界公认的重要新型资源。
系统作为资源分配和调度的独立单位,资源的开放有助于进一步提高资源的开发利用水平,但其中也带来了诸多问题,比如:伪造、盗版、利用病毒破坏正常的资源管理模式等。开展对资源的管理、整合、开发、配置等方面的安全研究是非常必要的。
传统意义上,同一终端设备上的所有进程共享系统目录结构。当某一进程变为云进程后,对其可信度的识别及其困难,在无法识别身份的情况下,为其提供无限制的资源访问服务,势必会对系统安全性造成严重的威胁。
发明内容
为克服上述技术问题或者至少部分地解决上述技术问题,特提出以下技术方案:
本发明提供了一种资源访问控制方法,包括如下步骤:
当检测到进程对资源的访问请求时,将所述访问请求对应的资源进行分类,并依据分类结果生成私有资源目录和公共资源目录;
根据所述私有资源目录和所述公共资源目录,生成资源请求应答包;
当检测到所述进程根据所述资源请求应答包发起的挂载请求时,对所述私有资源目录和所述公共资源目录中的资源执行针对预定文件系统的挂载操作,以使得在所述预定文件系统中完成挂载的所述公共资源目录中的资源的读写方式为只读。
具体地,所述对所述私有资源目录和所述公共资源目录中的资源执行针对预定文件系统的挂载操作,包括:
将所述私有资源目录中的资源挂载至预定文件系统的第一层目录,并将所述公共资源目录中的资源挂载至所述预定文件系统的第二层目录;
其中,挂载至所述第二层目录的资源的读写方式为只读。
进一步地,所述对所述私有资源目录和所述公共资源目录中的资源执行针对预定文件系统的挂载操作之前,包括:
检查所述进程的身份信息,确定所述进程是否属于第一类非法进程;
若是,则拒绝所述进程发起的挂载请求。
更进一步地,所述方法还包括:
将所述第二层目录的挂载属性设置为只读挂载;
其中,所述对所述私有资源目录和所述公共资源目录中的资源执行针对预定文件系统的挂载操作,包括:
依据所述挂载属性对所述公共资源目录中的资源执行相应的挂载操作。
实际应用中,所述方法还包括:
分别为挂载至所述第一层目录的资源和挂载至所述第二层目录的资源在预定文件系统的视图层创建可视化文件标识。
进一步地,所述方法还包括:
当检测到所述进程对所述第二层目录的任一资源执行非只读操作的请求时,将所述任一资源拷贝至所述预定文件系统的第一层目录;
在所述第一层目录对所述任一资源执行所述非只读操作。
更进一步地,将所述任一资源拷贝至所述预定文件系统的第一层目录的步骤之前,还包括以下至少一项:
检查所述进程的身份信息,确定所述进程是否属于第二类非法进程,若是,则拒绝所述进程发起的非只读操作;
确定所述进程的权限,拒绝权限为只读的进程发起的非只读操作。
实际应用中,所述方法还包括:
分别为挂载至所述第一层目录的资源和挂载至所述第二层目录的资源在预定文件系统的视图层创建可视化文件标识;
在所述第一层目录对所述任一资源执行非只读操作后,所述视图层显示非只读操作处理后的该资源的可视化文件标识。
本发明还提供了一种资源访问管理装置,包括:
分类模块,用于当检测到进程对资源的访问请求时,将所述访问请求对应的资源进行分类,并依据分类结果生成私有资源目录和公共资源目录;
生成模块,用于根据所述私有资源目录和所述公共资源目录,生成资源请求应答包;
挂载模块,用于当检测到所述进程根据所述资源请求应答包发起的挂载请求时,对所述私有资源目录和所述公共资源目录中的资源执行针对预定文件系统的挂载操作,以使得在所述预定文件系统中完成挂载的所述公共资源目录中的资源的读写方式为只读。
本发明还提供了一种终端,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一项所述的资源访问控制方法。
本发明提供的资源访问控制方法、装置及相应终端,当检测到进程对资源的访问请求时,将访问请求对应的资源进行分类,并依据分类结果生成私有资源目录和公共资源目录;根据私有资源目录和公共资源目录,生成资源请求应答包;当检测到进程根据资源请求应答包发起的挂载请求时,对私有资源目录和公共资源目录中的资源执行针对预定文件系统的挂载操作,以使得公共资源目录中的资源的读写方式为只读;本发明将进程所访问的资源分成两部分,通过预定文件系统将其中众多进程共享的关键公共资源部分以只读的方式进行保护,防止任意进程篡改系统资源,从根源上控制非法进程对系统安全的威胁,有效保障系统的安全性。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例提供的预定文件系统的结构示意图;
图2为本发明实施例提供的资源访问控制方法的流程示意图;
图3为本发明实施例提供的资源访问控制装置的框架示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
下面结合附图具体介绍本发明实施例的技术方案。
本发明实施例提供了一种资源访问控制方法,具体包括:
步骤S210:当检测到进程对资源的访问请求时,将所述访问请求对应的资源进行分类,并依据分类结果生成私有资源目录和公共资源目录;步骤S220:根据所述私有资源目录和所述公共资源目录,生成资源请求应答包;步骤S230:当检测到所述进程根据所述资源请求应答包发起的挂载请求时,对所述私有资源目录和所述公共资源目录中的资源执行针对预定文件系统的挂载操作,以使得在所述预定文件系统中完成挂载的所述公共资源目录中的资源的读写方式为只读。
本发明实施例提供的资源访问控制方法,将进程所访问的资源分成两部分,通过预定文件系统将其中众多进程共享的关键公共资源部分以只读的方式进行保护,防止任意进程篡改系统资源,从根源上控制非法进程对系统安全的威胁,有效保障系统的安全性。
在具体介绍本发明实施例的方法之前,先大体介绍一下本发明实施例提供的预定文件系统。
如图1所示,预定文件系统为分层次文件系统,其中用于存储的部分主要分上下两层结构,即位于上方的第一层目录upperdir和位于下方的第二层目录lowerdir。第二层目录lowerdir具有只读属性,当需要修改第二层目录lowerdir中的文件时,需要将文件从只读的第二层目录lowerdir中复制到可写的第一层目录upperdir中进行修改,结果也保存在第一层目录upperdir。预定文件系统通过视图层merged对外提供统一的交互视图。
基于上述预定文件系统,本发明实施例提供了资源的访问控制方法,下面进行详细介绍,具体如下:
步骤S210:当检测到进程对资源的访问请求时,将访问请求对应的资源进行分类,并依据分类结果生成私有资源目录upper和公共资源目录lower。
实际应用中,某一进程若想访问一个或多个资源,可以发起访问请求,例如:某一多媒体应用相关的进程想访问MP3类型的声音文件及麦克风设备,或者某一文档编辑类应用相关的进程想访问打印机等,都可以通过相应的指令来发起访问请求。
本发明实施例中,当检测到进程对资源的访问请求时,将访问请求对应的资源进行分类,即将进程所要访问的各个资源进行分类,按资源的关键性主要分为两种:
一种是进程所特有而不影响其它进程的资源,例如图片文件、音频文件,UI界面包含的元素等;
另一种是系统公共资源及重要文件,例如物理设备、受保护的内存空间、配置信息等。
本领域技术人员可以根据实际情况对具体资源的分类方式进行设置,在此不做限制。
在得到分类结果后,依据分类结果为资源配置私有资源目录upper和公共资源目录lower。
作为示例地,为私有资源目录upper和公共资源目录lower对应的资源分别关联其属性信息,以便执行步骤S220。
步骤S220:根据私有资源目录upper和公共资源目录lower,生成资源请求应答包。
为了响应进程的访问请求,创建资源请求应答包,用于控制进程执行指定的资源加载方式。资源请求应答包中包括私有资源目录upper和公共资源目录lower,并设置有与私有资源目录upper和公共资源目录lower相关的控制指令,将该控制指令填充到资源请求应答包的一个信息字段内,便于进程获取资源请求应答包后进行读取。
对进程而言,在获取到资源请求应答包后,会解析该资源请求应答包,从该资源请求应答包的信息字段内解析出用于控制进程执行指定的资源加载方式的控制指令,以及控制指令对应的私有资源目录upper和公共资源目录lower,依据这些内容可以发起对资源的挂载请求。
作为示例的,进程运行该控制指令以发起挂载请求:
$mount-t预定文件系统-o lowerdir=lower,upperdir=upper,workdir=workmerged
其中,workdir为操作过程目录,是刚创建的空目录,用于记录后续步骤中拷贝之类的操作过程。
步骤S230:当检测到进程根据资源请求应答包发起的挂载请求时,对私有资源目录upper和公共资源目录lower中的资源执行针对预定文件系统的挂载操作,以使得在预定文件系统中完成挂载的公共资源目录lower中的资源的读写方式为只读。
实际应用中,系统会触发mount调用来响应进程的挂载请求,作为示例地,可以通过调用预定文件系统定义的super.c文件中的ovl_fill_super函数完成挂载操作。事实上,具体的挂载操作包括但不限于如下步骤:
1)解析upperdir、lowerdir及workdir的目录信息;
2)对upperdir、lowerdir及workdir目录进行权限检查;
3)调用clone_private_mount函数为upperdir、lowerdir创建挂载点;
4)调用ovl_workdir_create函数在workdir中创建下级目录work;
5)调用ovl_new_inode函数创建挂载点root索引节点:
调用new_inode函数创建新的索引节点;
根据ovl_new_inode函数调用参数,指定索引节点及文件操作函数;
6)为root索引节点创建目录项。
具体而言,本发明实施例将私有资源目录upper中的资源挂载至预定文件系统的第一层目录upperdir,并将公共资源目录lower中的资源挂载至预定文件系统的第二层目录lowerdir;其中,挂载至第二层目录lowerdir的资源的读写方式为只读。
这是由于预设文件系统的第二层目录lowerdir具有只读属性,由此便可将挂载至第二层目录lowerdir的公共资源进行保护,防止任意进程篡改系统资源。
本发明一个优选的实施例中,在对私有资源目录upper和公共资源目录lower中的资源执行针对预定文件系统的挂载操作之前,可以包括步骤:
检查进程的身份信息,确定进程是否属于第一类非法进程;若是,则拒绝进程发起的挂载请求。
作为示例地,可以检查进程的UID(User Identification,用户标识符)及GID(Group Identification,群组标识符)。每个应用在被安装时,会被分配唯一的UID和GID,并且该唯一的UID和GID同时会被赋予该应用相关联的进程。
其中,第一类非法进程包括匿名进程、流氓插件、木马、病毒或其他可疑程序等,本发明实施例在此并不限定。
可以根据预存的禁用应用列表、应用黑名单等来确定非法应用,或者由平台中的服务器进行验证来确定非法应用,其相关的进程可以确定为第一类非法进程。又或者直接根据预存的禁用进程列表、进程黑名单等来确定第一类非法进程,或者由系统预设的运行规则判断。
只有认证为安全可靠的进程才能够触发系统的mount调用,而确定出是属于第一类非法进程的进程,则拒绝其发起的挂载请求,大大提升资源的安全性。
可选地,为了进一步提升安全性,可以在进程发起对资源的访问请求时,就对进程的合法性进行验证,具体验证方式可以参考上述描述,在此不再赘述。
本发明另一优选的实施例中,在系统触发mount调用来响应进程的挂载请求时,可以将第二层目录lowerdir的挂载属性设置为只读挂载。
依据只读的挂载属性对公共资源目录lower中的资源执行相应的挂载操作,可以防止进程在挂载过程中篡改文件系统的其它信息,例如文件系统类型、设备名称、端口号、块大小、访问控制列表ACL等。确保了挂载的可靠性,才能够进一步利用文件系统对资源进行保护。
实际应用中,继续如图1所示,需要分别为挂载至第一层目录upperdir的资源和挂载至第二层目录lowerdir的资源在预定文件系统的视图层merged创建可视化文件标识,如图1中的公共资源2、私有资源3、公共资源4所示,无论分配至第一层目录upperdir还是第二层目录lowerdir的资源,都会在视图层merged映射显示相应的视图。
本发明实施例的资源访问控制方法,如图2所示,还包括如下步骤:
步骤S240:当检测到进程对第二层目录lowerdir的任一资源执行非只读操作的请求时,将任一资源拷贝至预定文件系统的第一层目录upperdir;在第一层目录upperdir对任一资源执行非只读操作。
例如,进程调用mkdir(建立一个子目录)、rmdir(删除空目录)、ln(连接文件或目录)、create(创建)、mv(移动或重命名)、mknod(创建特殊文件)等接口函数对系统资源执行写、修改等非只读操作。
基于本发明实施例提供的预设文件系统,如图1中公共资源1所示,预设文件系统会将第二层目录lowerdir对应的资源拷贝至第一层目录upperdir,在进程执行相应的操作后,将操作记录在第一层目录upperdir 中,而内容保持不变,实质上,进程并没有对重要的公共资源进程篡改,有效保护第二层目录lowerdir中的资源,保障系统的安全性。并且,通过拷贝,预设文件系统将资源对进程实现了共享,使得系统功能更加多样化,有效提升用户体验。
以mkdir操作为例,介绍在预设文件系统中对第二层目录lowerdir中的资源执行非只读操作的处理过程,包括但不限于如下步骤:
1)预定文件系统调用定义的super.c文件中的ovl_mkdir函数;
2)ovl_mkdir函数调用ovl_create_or_link函数完成具体目录创建过程;
3)调用ovl_create_inode函数创建新的索引节点;
4)调用ovl_copy_up函数将仅存在lowerdir的对应资源拷贝至upperdir;
5)在upperdir调用ovl_create_upper函数或ovl_create_over_whiteout函数创建目录。
同理,将任一资源拷贝至预定文件系统的第一层目录upperdir的步骤之前,可以包括步骤:
检查进程的身份信息,确定进程是否属于第二类非法进程,若是,则拒绝进程发起的非只读操作。
具体检查方式可以参考上述第一类非法进程,在此不再赘述。
其中,第一类非法进程和第二类非法进程可以属于完全相同的判断依据,也可以根据实际情况分别创建相应的判断依据,在此不作限制。
考虑到进程挂载所要访问的资源后,可能需要对资源进行多次操作的情况,以及进程的状态变化、衍生等情况,对进程的合法性进行第二次判断,进一步确保了系统的安全性。
可选地,将任一资源拷贝至预定文件系统的第一层目录upperdir的步骤之前,还可以包括步骤:
确定进程的权限,拒绝权限为只读的进程发起的非只读操作。
作为示例地,可对进程的DAC(Discretionary Access Control,自主访问控制)、MAC(Mandatory Access Control,强制访问控制)、RBAC(Role Based Access Control,基于角色的访问控制)进行权限检查。系统预先对进程赋予了相应的权限,并存储在策略库中,应用以上三种权限检查策略规则中一种或多种确定进程的权限,拒绝权限为只读的进程发起的非只读操作,充分保障资源的安全性。其中,本领域技术人员可以根据实际情况对进程的权限进行设置,在此不做限制。
实际应用中,继续如图1所示,需要分别为挂载至第一层目录upperdir的资源和挂载至第二层目录lowerdir的资源在预定文件系统的视图层merged创建可视化文件标识,在第一层目录upperdir对任一资源执行非只读操作后,如图1中公共资源1所示,视图层merged显示在第一层目录upperdir进行非只读操作处理后的公共资源1的可视化文件标识。
本发明实施例提供的资源访问控制方法,当检测到进程对资源的访问请求时,将访问请求对应的资源进行分类,并依据分类结果生成私有资源目录upper和公共资源目录lower;根据私有资源目录upper和公共资源目录lower,生成资源请求应答包;当检测到进程根据资源请求应答包发起的挂载请求时,对私有资源目录upper和公共资源目录lower中的资源执行针对预定文件系统的挂载操作,以使得公共资源目录lower中的资源的读写方式为只读;本发明将进程所访问的资源分成两部分,通过预定文件系统将其中众多进程共享的关键公共资源部分以只读的方式进行保护,防止任意进程篡改系统资源,从根源上控制非法进程对系统安全的威胁,有效保障系统的安全性。
本发明实施例还提供了一种资源访问管理装置,包括:
分类模块310,用于当检测到进程对资源的访问请求时,将访问请求对应的资源进行分类,并依据分类结果生成私有资源目录upper和公共资源目录lower;
生成模块320,用于根据私有资源目录upper和公共资源目录lower,生成资源请求应答包;
挂载模块330,用于当检测到进程根据资源请求应答包发起的挂载请求时,对私有资源目录upper和公共资源目录lower中的资源执行针对预定文件系统的挂载操作,以使得在预定文件系统中完成挂载的公共资源目录lower中的资源的读写方式为只读。
具体地,挂载模块330具体用于将私有资源目录upper中的资源挂载至预定文件系统的第一层目录upperdir,并将公共资源目录lower中的资源挂载至预定文件系统的第二层目录lowerdir;
其中,挂载至第二层目录lowerdir的资源的读写方式为只读。
进一步地,本发明实施例提供的资源访问管理装置还包括:
检查模块,用于检查进程的身份信息,确定进程是否属于第一类非法进程;若是,则拒绝进程发起的挂载请求。
更进一步地,本发明实施例提供的资源访问管理装置还包括:
设置模块,用于将第二层目录lowerdir的挂载属性设置为只读挂载;
进一步地,挂载模块330具体用于依据挂载属性对公共资源目录lower中的资源执行相应的挂载操作。
实际应用中,本发明实施例提供的资源访问管理装置还包括:
视图模块,用于分别为挂载至第一层目录upperdir的资源和挂载至第二层目录lowerdir的资源在预定文件系统的视图层merged创建可视化文件标识。
进一步地,本发明实施例提供的资源访问管理装置还包括:
拷贝模块340,用于当检测到进程对第二层目录lowerdir的任一资源执行非只读操作的请求时,将任一资源拷贝至预定文件系统的第一层目录upperdir;
以及,拷贝模块340用于在第一层目录upperdir对任一资源执行非只读操作。
更进一步地,检查模块用于检查进程的身份信息,确定进程是否属于第二类非法进程,若是,则拒绝进程发起的非只读操作;
以及,检查模块用于确定进程的权限,拒绝权限为只读的进程发起的非只读操作。
实际应用中,视图模块还用于在第一层目录upperdir对任一资源执行非只读操作后,视图层显示非只读操作处理后的该资源的可视化文件标识。
本发明实施例所提供的装置可以为设备上的特定硬件或者加载于设备上的软件或固件等。本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容,在此不再赘述。
本发明提供的资源访问控制装置,当检测到进程对资源的访问请求时,将访问请求对应的资源进行分类,并依据分类结果生成私有资源目录upper和公共资源目录lower;根据私有资源目录upper和公共资源目录lower,生成资源请求应答包;当检测到进程根据资源请求应答包发起的挂载请求时,对私有资源目录upper和公共资源目录lower中的资源执行针对预定文件系统的挂载操作,以使得公共资源目录lower中的资源的读写方式为只读;本发明将进程所访问的资源分成两部分,通过预定文件系统将其中众多进程共享的关键公共资源部分以只读的方式进行保护,防止任意进程篡改系统资源,从根源上控制非法进程对系统安全的威胁,有效保障系统的安全性。
本发明实施例还提供一种终端,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一实施例所述的资源访问控制方法。
该终端可以为包括计算机、手机、平板电脑、PDA(Personal Digital Assistant,个人数字助理)、POS(Point of Sales,销售终端)、车载电脑等任意终端设备。
其中,存储器可用于存储软件程序以及模块,处理器通过运行存储在存储器的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器是控制中心,利用各种接口和线路连接整个终端的各个部分,通过运行或执行存储在存储器内的软件程序和/或模块,以及调用存储在存储器内的数据,执行各种功能和处理数据,从而对终端进行整体监控。可选的,处理器可包括一个或多个处理单元;优选的,处理器可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器中。
本发明实施例还提供一种可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一实施例所述的资源访问控制方法。
本技术领域技术人员可以理解,可以用计算机程序指令来实现这些结构图和/或框图和/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。本技术领域技术人员可以理解,可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来实现,从而通过计算机或其他可编程数据处理方法的处理器来执行本发明公开的结构图和/或框图和/或流图的框或多个框中指定的方案。
本技术领域技术人员可以理解,本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地,具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地,现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种资源访问控制方法,其特征在于,包括如下步骤:
当检测到进程对资源的访问请求时,将所述访问请求对应的资源进行分类,并依据分类结果生成私有资源目录和公共资源目录;
根据所述私有资源目录和所述公共资源目录,生成资源请求应答包;
当检测到所述进程根据所述资源请求应答包发起的挂载请求时,对所述私有资源目录和所述公共资源目录中的资源执行针对预定文件系统的挂载操作,以使得在所述预定文件系统中完成挂载的所述公共资源目录中的资源的读写方式为只读。
2.根据权利要求1所述的资源访问控制方法,其特征在于,所述对所述私有资源目录和所述公共资源目录中的资源执行针对预定文件系统的挂载操作,包括:
将所述私有资源目录中的资源挂载至所述预定文件系统的第一层目录,并将所述公共资源目录中的资源挂载至所述预定文件系统的第二层目录;
其中,挂载至所述第二层目录的资源的读写方式为只读。
3.根据权利要求2所述的资源访问控制方法,其特征在于,所述对所述私有资源目录和所述公共资源目录中的资源执行针对预定文件系统的挂载操作之前,包括:
检查所述进程的身份信息,确定所述进程是否属于第一类非法进程;
若是,则拒绝所述进程发起的挂载请求。
4.根据权利要求2所述的资源访问控制方法,其特征在于,还包括:
将所述第二层目录的挂载属性设置为只读挂载;
其中,所述对所述私有资源目录和所述公共资源目录中的资源执行针对预定文件系统的挂载操作,包括:
依据所述挂载属性对所述公共资源目录中的资源执行相应的挂载操作。
5.根据权利要求2所述的资源访问控制方法,其特征在于,还包括:
分别为挂载至所述第一层目录的资源和挂载至所述第二层目录的资源在预定文件系统的视图层创建可视化文件标识。
6.根据权利要求2-4任一项所述的资源访问控制方法,其特征在于,还包括:
当检测到所述进程对所述第二层目录的任一资源执行非只读操作的请求时,将所述任一资源拷贝至所述预定文件系统的第一层目录;
在所述第一层目录对所述任一资源执行所述非只读操作。
7.根据权利要求6所述的资源访问控制方法,其特征在于,将所述任一资源拷贝至所述预定文件系统的第一层目录的步骤之前,还包括以下至少一项:
检查所述进程的身份信息,确定所述进程是否属于第二类非法进程,若是,则拒绝所述进程发起的非只读操作;
确定所述进程的权限,拒绝权限为只读的进程发起的非只读操作。
8.根据权利要求6所述的资源访问控制方法,其特征在于,还包括:
分别为挂载至所述第一层目录的资源和挂载至所述第二层目录的资源在预定文件系统的视图层创建可视化文件标识;
在所述第一层目录对所述任一资源执行非只读操作后,所述视图层显示非只读操作处理后的该资源的可视化文件标识。
9.一种资源访问管理装置,其特征在于,包括:
分类模块,用于当检测到进程对资源的访问请求时,将所述访问请求对应的资源进行分类,并依据分类结果生成私有资源目录和公共资源目录;
生成模块,用于根据所述私有资源目录和所述公共资源目录,生成资源请求应答包;
挂载模块,用于当检测到所述进程根据所述资源请求应答包发起的挂载请求时,对所述私有资源目录和所述公共资源目录中的资源执行针对预定文件系统的挂载操作,以使得在所述预定文件系统中完成挂载的所述公共资源目录中的资源的读写方式为只读。
10.一种终端,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-8任一项所述的方资源访问控制方法。
CN201711479061.0A 2017-12-29 2017-12-29 资源访问控制方法、装置及相应终端 Pending CN108228353A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711479061.0A CN108228353A (zh) 2017-12-29 2017-12-29 资源访问控制方法、装置及相应终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711479061.0A CN108228353A (zh) 2017-12-29 2017-12-29 资源访问控制方法、装置及相应终端

Publications (1)

Publication Number Publication Date
CN108228353A true CN108228353A (zh) 2018-06-29

Family

ID=62646045

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711479061.0A Pending CN108228353A (zh) 2017-12-29 2017-12-29 资源访问控制方法、装置及相应终端

Country Status (1)

Country Link
CN (1) CN108228353A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109558275A (zh) * 2018-10-25 2019-04-02 深圳点猫科技有限公司 一种基于教育系统的恢复出厂设置的方法及电子设备
CN110955498A (zh) * 2019-11-21 2020-04-03 北京浪潮数据技术有限公司 一种进程处理方法、装置、设备及计算机可读存储介质
CN112398785A (zh) * 2019-08-15 2021-02-23 奇安信安全技术(珠海)有限公司 资源共享的控制方法及装置、系统、存储介质、电子装置
CN116909998A (zh) * 2023-09-12 2023-10-20 海马云(天津)信息技术有限公司 overlay文件系统下文件的处理方法和装置
CN117407091A (zh) * 2023-12-12 2024-01-16 中核武汉核电运行技术股份有限公司 基于文件本地化部署的web画面快速加载方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1617101A (zh) * 2003-10-24 2005-05-18 微软公司 操作系统资源保护
CN104283941A (zh) * 2014-09-16 2015-01-14 深圳市同洲电子股份有限公司 一种数据访问方法、装置及系统
US20160371297A1 (en) * 2015-01-12 2016-12-22 Qumulo, Inc. Filesystem capacity and performance metrics and visualizations
CN107209690A (zh) * 2015-03-25 2017-09-26 英特尔公司 共享资源访问控制方法和装置
US20170277713A1 (en) * 2016-03-25 2017-09-28 Amazon Technologies, Inc. Low latency distributed storage service
CN107479922A (zh) * 2017-08-04 2017-12-15 深圳市中兴物联科技有限公司 一种闪存数据管理方法、装置及计算机可读存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1617101A (zh) * 2003-10-24 2005-05-18 微软公司 操作系统资源保护
CN104283941A (zh) * 2014-09-16 2015-01-14 深圳市同洲电子股份有限公司 一种数据访问方法、装置及系统
US20160371297A1 (en) * 2015-01-12 2016-12-22 Qumulo, Inc. Filesystem capacity and performance metrics and visualizations
CN107209690A (zh) * 2015-03-25 2017-09-26 英特尔公司 共享资源访问控制方法和装置
US20170277713A1 (en) * 2016-03-25 2017-09-28 Amazon Technologies, Inc. Low latency distributed storage service
CN107479922A (zh) * 2017-08-04 2017-12-15 深圳市中兴物联科技有限公司 一种闪存数据管理方法、装置及计算机可读存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
LUCKYAPPLE1028: "深入理解overlayfs(一):初识", 《CSDN》 *
LUCKYAPPLE1028: "深入理解overlayfs(二):使用与原理分析", 《CSDN》 *
MIKLOS SZEREDI: "overlayfs-super.c", 《GIT》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109558275A (zh) * 2018-10-25 2019-04-02 深圳点猫科技有限公司 一种基于教育系统的恢复出厂设置的方法及电子设备
CN112398785A (zh) * 2019-08-15 2021-02-23 奇安信安全技术(珠海)有限公司 资源共享的控制方法及装置、系统、存储介质、电子装置
CN110955498A (zh) * 2019-11-21 2020-04-03 北京浪潮数据技术有限公司 一种进程处理方法、装置、设备及计算机可读存储介质
CN110955498B (zh) * 2019-11-21 2022-03-22 北京浪潮数据技术有限公司 一种进程处理方法、装置、设备及计算机可读存储介质
CN116909998A (zh) * 2023-09-12 2023-10-20 海马云(天津)信息技术有限公司 overlay文件系统下文件的处理方法和装置
CN116909998B (zh) * 2023-09-12 2023-12-12 海马云(天津)信息技术有限公司 overlay文件系统下文件的处理方法和装置
CN117407091A (zh) * 2023-12-12 2024-01-16 中核武汉核电运行技术股份有限公司 基于文件本地化部署的web画面快速加载方法及系统
CN117407091B (zh) * 2023-12-12 2024-03-19 中核武汉核电运行技术股份有限公司 基于文件本地化部署的web画面快速加载方法及系统

Similar Documents

Publication Publication Date Title
KR102403480B1 (ko) 장치 정책 관리자
US20200228574A1 (en) Policy management for data migration
CN108228353A (zh) 资源访问控制方法、装置及相应终端
US10547601B2 (en) System and method to allow third-party developer to debug code in customer environment
JP6169777B2 (ja) データのトークン化方法および装置、並びにデータのトークン化のためのコンピュータ可読媒体
EP1946238B1 (en) Operating system independent data management
MX2007014551A (es) Autorizacion unificada para aplicaciones heterogeneas.
JP2011526387A (ja) コンピューティングプロセスのための最小特権アクセスの付与
CN110555293A (zh) 用于保护数据的方法、装置、电子设备和计算机可读介质
CN107370604A (zh) 一种大数据环境下的多粒度访问控制方法
US9516031B2 (en) Assignment of security contexts to define access permissions for file system objects
CN112464214A (zh) 一种权限检测方法、装置、电子设备及可读存储介质
US8863304B1 (en) Method and apparatus for remediating backup data to control access to sensitive data
US8132261B1 (en) Distributed dynamic security capabilities with access controls
Zhang et al. A small leak will sink many ships: Vulnerabilities related to mini-programs permissions
JP4723930B2 (ja) 複合的アクセス認可方法及び装置
CN109784073A (zh) 数据访问方法及装置、存储介质、计算机设备
CN106570413A (zh) 一种文件系统访问权限的控制系统及方法
CN106650497B (zh) 对计算机文件实施密级管理的方法
CN111199049A (zh) 文件权限管理方法及装置
CN115422526B (zh) 角色权限管理方法、设备及存储介质
Riti et al. Identity and Access Management with Google Cloud Platform
CN117195171A (zh) 访问权限处理方法、装置、计算机设备以及存储介质
Peterkin et al. Role based access control for uddi inquiries
Morton Managing Security and Access Control

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination