CN110971580A - 一种权限控制方法及装置 - Google Patents
一种权限控制方法及装置 Download PDFInfo
- Publication number
- CN110971580A CN110971580A CN201811161789.3A CN201811161789A CN110971580A CN 110971580 A CN110971580 A CN 110971580A CN 201811161789 A CN201811161789 A CN 201811161789A CN 110971580 A CN110971580 A CN 110971580A
- Authority
- CN
- China
- Prior art keywords
- user
- authority
- control instruction
- control
- namespace
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种权限控制方法和装置,直接在服务器完成各用户的权限分配,不需要用户在各计算机设备上手动配置各用户的权限,无论哪个计算机设备,都可以由其安装的客户端直接从服务器获取相应用户的权限信息,并实现了同一用户在不同计算机设备上的权限同步,降低了权限配置成本。并使用命名空间限制了各控制指令能够调用的资源数据,由权限控制客户端截获用户执行的控制指令,来判断该用户是否具有该资源使用权限,不是由操作系统判断,避免了用户通过在操作系统中执行脚本内指令,来执行更高权限的控制指令,提高了计算机设备的使用安全性。
Description
技术领域
本发明涉及安全应用领域,更具体地涉及一种权限控制方法及装置。
背景技术
如今,为了保证计算机设备的使用安全性,大部分计算机设备会设置用户访问权限,以避免用户对计算机设备的越权访问,造成计算机设备的重要信息的泄露或篡改等非法操作。
现有技术中,通常会在操作系统内置权限信息,来限制用户访问目录或执行命令。但是,对于这种权限设置方式,用户很容易通过脚本命令越过该权限信息,来执行高权限命令,无法保证计算机设备安全性,且由于这种权限设置需要手动配置,无法使得同一用户的权限在不同计算机设备上进行权限同步,提高了权限配置成本。
发明内容
鉴于上述问题,本发明提供一种克服上述问题或者至少部分地解决上述问题的一种权限控制方法和装置。
本发明实施例提供了一种权限控制方法,所述方法包括:
获取第一用户的权限信息,所述权限信息由权限控制服务器基于所述第一用户的身份信息分配得到;
截获到第一用户对操作系统执行的控制指令,确定所述控制指令对应的命名空间,所述命名空间用于限制执行所述控制指令所调用的资源数据;
基于所述第一用户的权限信息,判断出所述第一用户是否具有所述命名空间中的资源数据的使用权限;
在判断结果为是的情况下,在确定的所述命名空间中创建所述控制指令的响应进程,执行所述控制指令。
可选的,所述方法还包括:
在对所述操作系统进行访问权限初始化时,获取用户对所述操作系统执行的所有控制指令;
将获取的所有控制指令软链接至命名空间,以确定执行各控制指令所调用的资源数据。
可选的,所述方法还包括:
针对不同身份的用户,生成对应的第一命名空间,所述第一命名空间包括至少一个控制指令对应的子命名空间;和/或;
针对不同类型的控制指令,生成对应的第二命名空间。
可选的,在判断结果为是的情况下,所述方法还包括:
获取所述控制指令的属性信息;
基于所述属性信息,判断所述控制指令的执行是否存在安全隐患;
如果否,执行步骤所述在确定的所述命名空间中创建所述控制指令的响应进程;
如果是,禁止执行所述控制指令。
可选的,所述获取第一用户的权限信息,包括:
按照预设时间周期,从所述服务器获取至少一个用户的权限信息,所述至少一个用户包括所述第一用户。
本发明实施例还提供了另一种权限控制方法,所述方法包括:
从身份验证平台获取至少一个用户的身份信息;
基于所述至少一个用户的身份信息,为所述至少一个用户分配对应的权限,生成相应的权限信息;
将所述至少一个用户的权限信息同步至权限控制客户端存储。
本发明实施例还提供了一种权限控制装置,所述装置包括:
权限信息获取模块,用于获取第一用户的权限信息,所述权限信息由权限控制服务器基于所述第一用户的身份信息分配得到;
命名空间确定模块,用于截获到第一用户对操作系统执行的控制指令,确定所述控制指令对应的命名空间,所述命名空间用于限制执行所述控制指令所调用的资源数据;
权限判断模块,用于基于所述第一用户的权限信息,判断出所述第一用户是否具有所述命名空间中的资源数据的使用权限;
控制指令执行模块,用于在权限判断模块的判断结果为是的情况下,在确定的所述命名空间中创建所述控制指令的响应进程,执行所述控制指令。
本发明实施例还提供了另一种权限控制装置,所述装置包括:
身份信息获取模块,用于从身份验证平台获取至少一个用户的身份信息;
权限分配模块,用于基于所述至少一个用户的身份信息,为所述至少一个用户分配对应的权限,生成相应的权限信息;
权限信息同步模块,用于将所述至少一个用户的权限信息同步至权限控制客户端存储。
本发明实施例还提供了一种处理器,其特征在于,用于加载并执行存储器存储的程序,实现如上所述的权限控制方法的各步骤。
本发明实施例还提供了一种存储介质,其特征在于,其上存储有程序,该程序被处理器执行时实现如上所述的权限控制方法的各步骤。
借由上述技术方案,本发明提供的一种权限控制方法及装置,由权限控制服务器根据用户的身份信息,为用户分配权限,并将生成的权限信息同步到权限控制客户端,这样,当用户对计算机设备的操作系统执行控制指令时,该权项控制客户端会截获该控制指令,确定该控制指令的命名空间,即确定该控制指令在该操作系统中所调用的资源数据,并基于该用户的权限信息,判断该用户是否具有该控制指令的执行权限,如果有,将在确定的命名空间中创建响应进程,来执行控制指令。可见,本实施例使用命名空间限制了各控制指令能够调用的资源数据,由权限控制客户端截获用户执行的控制指令,来判断该用户是否具有执行权限,不是由操作系统判断,避免了用户通过在操作系统中执行脚本内指令,来执行更高权限的控制指令,提高了计算机设备的使用安全性,且本实施例不需要用户在各计算机设备上手动配置各用户的权限,能够直接从服务器获取相应用户的权限信息,并实现了同一用户在不同计算机设备上的权限同步,降低了权限配置成本。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了实现本发明实施例提供的权限控制方法的系统结构示意图;
图2示出了本发明实施例提供的一种权限控制方法的流程示意图;
图3示出了实现本发明实施例提供的权限控制方法的另一系统结构示意图;
图4示出了本发明实施例提供的另一种权限控制方法的流程示意图;
图5示出了本发明实施例提供的又一种权限控制方法的流程示意图;
图6示出了本发明实施例提供的又一种权限控制方法的流程示意图;
图7示出了本发明实施例提供的一种权限控制装置的结构示意图;
图8示出了本发明实施例提供的另一种权限控制装置的结构示意图;
图9示出了本发明实施例提供的又一种权限控制装置的结构示意图。
具体实施方式
本发明的发明人发现:现有的Restrict Shell(下文简称rbash)是通过在操作系统(如linux)内置,用以限制用户访问目录及执行命名(本发明将其统称为控制指令)的限制信息的方式,来提供一种额外的安全层来实现权限的管控。这样,用户很轻易通过脚本内命令越过rbash的管控,执行高权限的控制执行,且由于rbash是一种独立的管控方式,使得其对任一用户的权限,都必须手动配置,且无法同步其他计算机设备上,也就是说,对于多个计算机设备的权限配置,需要一一手动完成,工作量大,成本较高。
而对于计算机设备中常用的流量监控软件,如linux上的Traffic Control(下文简称tc)软件,主要通过在计算机设备的输出端口处,建立一个队列来实现流量控制,这往往是以网卡为单位进行限制,无法对单个进程进行限制,且由于tc都是单独部署在计算机设备上,对于多个计算机设备无法统一分配置,工作量也较大,另外,这种软件仅能够实现对流量限制,无法对计算机设备中的如CPU、内存、硬盘等其他资源进行监控,也就无法设置用户对这些资源的使用权限,有很大局限性。
基于上述分析,本发明基于Agent技术和命名空间技术,开发一款命令限制工具,实现对用户在计算机设备上操作的各控制指令的监控,即实现对用户使用计算机设备上各类资源数据的权限管理。
具体的,发明人提出可以开发权限控制服务器(下文简称服务器)和权限控制客户端(下文简称客户端)两部分,由服务器确定各用户的权限信息,并同步至安装在用户计算机设备上的客户端,无需在计算机设备上进行手动配置权限,且当用户更换计算机设备后,只需要通过客户端从服务器获取该用户的权限信息,即可实现对当前使用的计算机设备的监控,简单方便。
对应客户端来说,其利用Agent技术和命名空间技术,在计算机设备安装该客户端进行初始化时,可以对该计算机设备可执行的控制指令划定资源空间范围,即确定各控制指令所能够使用的资源数据,具体可以采用命名空间技术实现各控制指令资源的隔离,这样,对于用户发起的控制指令,该客户端只允许其在对应的命名空间中调用资源数据,提高了其他命名空间的资源数据的安全性。
其中,命名空间是Linux提供的一种内核级别环境隔离的方法,通过cgroup(control group,控制组)为其中的进程分配指定的可用资源,即对进程所使用的资源数据进行限制。
Agent技术是一种处于一定环境下包装的计算机系统,为实现设计目的,能在该环境下灵活、自主的活动,在本发明中可以是能够按照在各计算机设备上对控制指令进行鉴权限制的应用程序,即上文命令限制客户端。
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
结合上文提出的本发明核心构思,参照图1,为本发明实施例提供实现权限控制方法的系统结构示意图,该系统可以包括权限控制服务器11(下文简称服务器11)和权限控制客户端12(下文简称客户端12),其中:
服务器11可以连接身份验证平台13,来获取各用户的身份信息,以便根据各用户的身份信息,为各用户分配权限,生成相应的权限信息,本发明对服务器如何根据身份信息,确定各用户的权限信息的方法不作限定,如按照预先配置的分配规则等。
其中,身份验证平台13可以是任意第三方身份验证应用,也就是说,本实施例对服务器11获取用户的身份信息的方式,及各用户身份信息的来源及内容不作限定。
客户端12可以是利用Agent技术开发的应用程序,可以按照在计算机设备(如笔记本电脑、手机、工控机等)中,执行本发明以下实施例提供的权限控制方法的各步骤,实现对用户使用计算机设备的各类资源数据的监控,并保证电子设备使用的安全性,具体实现过程可以参照下文实施例相应部分的描述。
结合图1所示的系统结构示意图,如图2所示,为本发明实施例提供的一种权限控制方法的流程示意图,该方法可以由计算机设备安装的客户端(即上文权限控制客户端12)执行,参照图2,该方法可以包括但并不局限于以下步骤:
步骤S11,获取第一用户的权限信息;
其中,第一用户是可以是当前使用计算机设备的用户,该权限信息可以由服务器基于第一用户的身份信息分配得到,该第一用户的身份信息可以从身份验证评估13中获取。
可见,步骤S111可以是客户端从服务器获取第一用户的权限信息,具体可以是按照预设时间周期获取,且当客户端从服务器获取用户的权限信息时,可以获取当前服务器存储的所有用户的权限信息,或更新权限信息(即相对于原有权限信息,更新的权限信息),或者获取客户端安装的计算机设备的历史用户的权限信息,也就是说,不同计算机设备上的客户端可以获取所有用户的权限信息,也可以只获取层使用该计算机设备的用户的权限信息,还可以获取当前登录计算机设备的用户的权限信息。
对于仅获取当前登录计算机设备的用户的权限信息,通常是由客户端向服务器发送权限获取请求,该权项获取请求携带有当前登录用户的标识,以使服务器基于该用户的标识,查询该用户的权限信息并反馈至客户端。
需要说明,本实施例步骤S11的具体实现方法并不局限于上文描述的方式。
步骤S12,截获到第一用户对操作系统执行的控制指令,确定该控制指令对应的命名空间;
在用户使用计算机设备过程中,当用户对操作系统发起控制指令时,计算机设备安装的客户端将会截获该控制指令,以使客户端判断该用户是否具有该控制指令的执行权限。本实施例对客户端采用的对控制指令的截获手段不作限定,如钩子技术等。
由于计算机设备安装本发明的客户端时,在初始化阶段,就会对该计算机设备能够执行的所有控制指令进行资源隔离分配,即采用命名空间cgroup技术手段实现。该命名空间用于限制执行控制指令所调用的资源数据。
其中,命名空间主要用来实现访问隔离,针对一类资源可以进行抽象,将其封装在一起提供一个容器使用,对于这类资源,由于每个容器都有自己的抽象,但彼此之间是不可见的,从而达到访问隔离的目的。Cgroup主要是进行资源控制,可以将一组进程放在一个控制组里,通过给这个控制组分配指定的可用资源,达到控制这一组进程可用资源的目的。
基于此,参照图3,在计算机设备安装权限控制客户端时,获得该计算机能够执行的各控制指令后,将针对调用不同类型资源的控制指令,在命名空间控制组中,生成不同的命名空间(如图3所示的命名空间n,n为整数),实现对控制指令调用的资源数据的调用隔离。在该过程中,客户端会在计算机设备中修改用户执行命令所搜寻的文件夹,将所有命名软链接至客户端进行统一管理,具体为了资源控制,可以将每个执行的操作(即控制指令)放置于当前登录用户自定义了资源的命名空间控制组中,实现对资源的限制。
对于安装了权限控制客户端的计算机设备,在用户使用计算机设备发起控制指令时,该客户端会直接截获该控制指令,以使该计算机设备的操作系统暂不执行该控制指令,等待该客户端的权限判断结果。与此同时,客户端可以根据该控制指令的内容,确定预先生成的该控制执行对应的命名空间,如根据各控制指令与不同命名空间之间的对应关系等实现,但并不局限于此。
结合上述分析,本发明可以采用如图4所述的方法,在计算机设备安装客户端期间,实现对计算机设备的权限管理配置,但并不局限于这种实现方式,如图4所示,该方法可以包括:
步骤A1,在对操作系统进行访问权限初始化时,获取用户对操作系统执行的所有控制指令;
步骤A2,将获取的所有控制指令软链接至命名空间,以确定执行各控制指令所调用的资源数据。
关于本实施例步骤A1和A2的实现,可以参照上文分析过程,在此不再详述。
可选的,本发明在对计算机设备的权限管理配置时,具体是创建命名空间时,还可以针对不同身份的用户,生成对应的第一命名空间,该第一命名空间包括至少一个控制指令对应的子命名空间;和/或;针对不同类型的控制指令,生成对应的第二命名空间。
在这种情况下,步骤S12确定控制指令对应的命名空间时,具体可以基于第一用户的用户标识,确定与该第一用户所在的第一命名空间,再从该第一命名空间中查询与该控制指令对应的子命名空间,从而基于该子命名空间中的资源数据,实现对该用户的权限判断。
或者,可以直接根据截获的控制指令,查找与该控制指令对应的第二命名空间,以便依据该第二命名空间中的资源数据,实现对该用户的权限判断。
由此可见,客户端中命名空间控制组创建命名空间的规则不同,步骤S12确定该控制指令对应的命名空间的具体实现方法也会有所区别,本实施例不再详述。
步骤S13,基于该第一用户的权限信息,判断出第一用户是否具有该命名空间中的资源数据的使用权限,如果是,进入步骤S14,如果否,执行步骤S15;
如上文分析,用户的权限信息包含了用户能够使用哪些资源数据,不能使用哪些资源数据的约束内容,因此,本实施例可以按照该第一用户的权限信息,判断第一用户是否具有当前确定的命名空间中的资源数据的使用权限,即该资源数据是否包含在用户能够使用的资源数据集合内,如果是,说明该第一用户具有该资源数据的使用权限,即具有该控制指令的执行权限。
步骤S14,在确定的命名空间中创建控制指令的响应进程,执行控制指令。
本实施例对如何在命名空间中创建进程的方法不作限定。
步骤S15,禁止执行该控制指令。
综上所述,本实施例直接在服务器完成各用户的权限分配,不需要用户在各计算机设备上手动配置各用户的权限,无论哪个计算机设备,都可以由其安装的客户端直接从服务器获取相应用户的权限信息,并实现了同一用户在不同计算机设备上的权限同步,降低了权限配置成本。
并且,本实施例使用命名空间限制了各控制指令能够调用的资源数据,由权限控制客户端截获用户执行的控制指令,来判断该用户是否具有执行权限,不是由操作系统判断,避免了用户通过在操作系统中执行脚本内指令,来执行更高权限的控制指令,提高了计算机设备的使用安全性,且实现了对单个进程调用的各种资源的监控,解决了上文rbash和tc权限控制方法存在的技术问题。
作为本发明另一可选实施例,如图5所示,为该可选实施例提供的权限控制方法的流程示意图,该方法仍然可以由计算机设备安装的权限控制客户端执行,具体可以包括:
步骤S21,接收服务器发送的第一用户的权限信息;
步骤S22,截获到第一用户对操作系统执行的控制指令,确定控制指令对应的命名空间;
其中,命名空间用于限制执行所述控制指令所调用的资源数据。
步骤S23,基于第一用户的权限信息,判断出第一用户是否具有该命名空间中的资源数据的使用权限,如果是,进入步骤S24,如果否,执行步骤S27;
关于步骤S21~步骤S23的实现可以参照上述步骤S11~步骤S13部分的描述。
步骤S24,获取该控制指令的属性信息;
本实施例对该控制指令的属性信息的内容不做限定,可以包括该控制指令的内容,以及用户执行该控制指令执行的相关操作信息等。
步骤S25,基于该属性信息,判断该控制指令的执行是否存在安全隐患,如果是,执行步骤S27;如果否,进入步骤S26;
由于属性信息可以表明用户执行控制指令时所进行的操作,本实施例通过对其进行分析,可以进一步判断该控制指令的执行是否存在隐藏的安全问题,以避免直接执行该控制指令,导致其隐藏的非常指令响应,影响计算机设备的安全。
需要说明,本实施例可以基于属性信息包含的具体内容,确定步骤S25的具体实现方式,在此不再一一详述。
步骤S26,在确定的命名空间中创建控制指令的响应进程,执行控制指令;
步骤S27,禁止执行该控制指令,并输出提示信息。
综上,本实施例提供的权限控制方法,与上文图2所示的实施例相比,增加了控制指令的安全检测,进一步提高了电子设备使用安全性,并在检测到用户无权执行当前操作时,会给出相应的提示信息,避免用户进行无效操作。
可选的,参照图6,为本发明实施例提供的一种权限控制方法的信令流程图,该方法主要从服务器角度进行描述,如图6所示,可以包括:
步骤S31,从身份验证平台获取至少一个用户的身份信息;
关于用户身份信息的获取方法,可以参照上文实施例相应的描述。
步骤S32,基于至少一个用户的身份信息,为至少一个用户分配对应的权限,生成相应的权限信息;
本实施例对步骤S32为各用不分配权限的是实现方法不做限定。
步骤S33,将至少一个用户的权限信息同步至至少一个客户端。
如上文分析,服务器可以按照预设时间周期,向客户端同步各用户的权限信息,以更新客户端中的用户的身份信息;也可以是在接收到客户端发送的权限获取请求后,将客户端所请求的目标用户的权限信息发送至客户端,以实现对客户端中各用户的权限信息的更新;当然,也可以是服务器检测到有用户的权限发送变化,存在更新权限信息后,将这部分更新后的权限信息发送至各客户端,以使客户端更新相应用户的权限信息等等,本实施例对步骤S33的执行条件不做限定。
综上,本实施例由服务器根据各用户的身份信息,为各用户分配权限信息,使得安装有客户端的计算机设备,都能够通过访问该服务器得到各用户的权限信息,不需要用户在各计算机设备上手动配置各用户的权限,提高了计算机设备权限配置效率,降低了权限配置成本。
参照图7,为本发明实施例提供的一种权限控制装置的结构示意图,该装置可以应用于权限控制客户端,如图7所示,该装置可以包括:
权限信息获取模块21,用于获取第一用户的权限信息,所述权限信息由权限控制服务器基于所述第一用户的身份信息分配得到;
可选的,权限信息获取模块21可以包括:
第一权限信息获取单元,用于按照预设时间周期,从所述服务器获取至少一个用户的权限信息,所述至少一个用户包括所述第一用户。
命名空间确定模块22,用于截获到第一用户对操作系统执行的控制指令,确定所述控制指令对应的命名空间,所述命名空间用于限制执行所述控制指令所调用的资源数据;
权限判断模块23,用于基于所述第一用户的权限信息,判断出所述第一用户是否具有所述命名空间中的资源数据的使用权限;
控制指令执行模块24,用于在权限判断模块的判断结果为是的情况下,在确定的所述命名空间中创建所述控制指令的响应进程,执行所述控制指令。
需要说明,关于上述功能模块实现各自功能的过程可以参照上述方法实施例相应部分的描述。
可选的,在上述实施例的基础上,如图8所示,权限控制装置还可以包括:
控制指令获取模块25,用于在对所述操作系统进行访问权限初始化时,获取用户对所述操作系统执行的所有控制指令;
控制指令处理模块26,用于将获取的所有控制指令软链接至命名空间,以确定执行各控制指令所调用的资源数据。
在一可选实施例中,该控制指令处理模块26可以包括:
第一生成单元,用于针对不同身份的用户,生成对应的第一命名空间,所述第一命名空间包括至少一个控制指令对应的子命名空间;和/或;
第二生成单元,用于针对不同类型的控制指令,生成对应的第二命名空间。
可选的,如图9所示,权限控制装置还可以包括:
属性信息获取模块27,用于在权限判断模块的判断结果为否的情况下,获取控制指令的属性信息;
安全判断模块28,用于基于所述属性信息,判断所述控制指令的执行是否存在安全隐患;如果否,触发控制指令执行模块24在确定的所述命名空间中创建所述控制指令的响应进程;
控制指令禁止模块29,用于在安全判断模块为是的情况下,禁止执行控制指令。
上述权限控制装置包括处理器和存储器,上述权限信息获取模块、命名空间确定模块、权限判断模块、控制指令执行模块、控制指令获取模块、控制指令处理模块、属性信息获取模块、安全判断模块和控制指令禁止模块等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来完成用户权限的配置,并同步至各客户端,以使各客户端在截获到用户的控制指令时,基于用户的权限信息,判断其是否具有该控制指令对应的命名空间的资源数据使用权限,如果有,将在该命名空间中创建响应进程,执行该控制指令,保证的计算机设备的使用权限,无需用户手动配置权限,提高了工作效率。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现上述权限控制方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述权限控制方法。
本发明实施例提供了一种计算机设备,该计算机设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:
获取第一用户的权限信息,所述权限信息由权限控制服务器基于所述第一用户的身份信息分配得到;
截获到第一用户对操作系统执行的控制指令,确定所述控制指令对应的命名空间,所述命名空间用于限制执行所述控制指令所调用的资源数据;
基于所述第一用户的权限信息,判断出所述第一用户是否具有所述命名空间中的资源数据的使用权限;
在判断结果为是的情况下,在确定的所述命名空间中创建所述控制指令的响应进程,执行所述控制指令。
可选的,处理器执行程序时还可以实现以下步骤:
在对所述操作系统进行访问权限初始化时,获取用户对所述操作系统执行的所有控制指令;
将获取的所有控制指令软链接至命名空间,以确定执行各控制指令所调用的资源数据。
可选的,处理器执行程序时还可以实现以下步骤:
针对不同身份的用户,生成对应的第一命名空间,所述第一命名空间包括至少一个控制指令对应的子命名空间;和/或;
针对不同类型的控制指令,生成对应的第二命名空间。
可选的,处理器执行程序时还可以实现以下步骤:
获取所述控制指令的属性信息;
基于所述属性信息,判断所述控制指令的执行是否存在安全隐患;
如果否,执行步骤所述在确定的所述命名空间中创建所述控制指令的响应进程;
如果是,禁止执行所述控制指令。
可选的,处理器执行程序时还可以实现以下步骤:
按照预设时间周期,从所述服务器获取至少一个用户的权限信息,所述至少一个用户包括所述第一用户。
本文中的计算机设备可以是PC、PAD、手机等。
本发明实施例提供了另一种计算机设备,该计算机设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:
从身份验证平台获取至少一个用户的身份信息;
基于所述至少一个用户的身份信息,为所述至少一个用户分配对应的权限,生成相应的权限信息;
将所述至少一个用户的权限信息同步至权限控制客户端存储。
本实施例的计算机设备可以是服务器。
本申请还提供了一种计算机程序产品,当在计算机设备上执行时,适于执行初始化有如下方法步骤的程序:
获取第一用户的权限信息,所述权限信息由权限控制服务器基于所述第一用户的身份信息分配得到;
截获到第一用户对操作系统执行的控制指令,确定所述控制指令对应的命名空间,所述命名空间用于限制执行所述控制指令所调用的资源数据;
基于所述第一用户的权限信息,判断出所述第一用户是否具有所述命名空间中的资源数据的使用权限;
在判断结果为是的情况下,在确定的所述命名空间中创建所述控制指令的响应进程,执行所述控制指令。
可选的,计算机程序产品执行初始化还可以实现以下步骤:
在对所述操作系统进行访问权限初始化时,获取用户对所述操作系统执行的所有控制指令;
将获取的所有控制指令软链接至命名空间,以确定执行各控制指令所调用的资源数据。
可选的,计算机程序产品执行初始化还可以实现以下步骤:
针对不同身份的用户,生成对应的第一命名空间,所述第一命名空间包括至少一个控制指令对应的子命名空间;和/或;
针对不同类型的控制指令,生成对应的第二命名空间。
可选的,计算机程序产品执行初始化还可以实现以下步骤:
获取所述控制指令的属性信息;
基于所述属性信息,判断所述控制指令的执行是否存在安全隐患;
如果否,执行步骤所述在确定的所述命名空间中创建所述控制指令的响应进程;
如果是,禁止执行所述控制指令。
可选的,计算机程序产品执行初始化还可以实现以下步骤:
按照预设时间周期,从所述服务器获取至少一个用户的权限信息,所述至少一个用户包括所述第一用户。
本发明实施例提供了另一种计算机程序产品设备,当在计算机设备上执行时,适于执行初始化有如下方法步骤的程序:
从身份验证平台获取至少一个用户的身份信息;
基于所述至少一个用户的身份信息,为所述至少一个用户分配对应的权限,生成相应的权限信息;
将所述至少一个用户的权限信息同步至权限控制客户端存储。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种权限控制方法,其特征在于,所述方法包括:
获取第一用户的权限信息,所述权限信息由权限控制服务器基于所述第一用户的身份信息分配得到;
截获到第一用户对操作系统执行的控制指令,确定所述控制指令对应的命名空间,所述命名空间用于限制执行所述控制指令所调用的资源数据;
基于所述第一用户的权限信息,判断出所述第一用户是否具有所述命名空间中的资源数据的使用权限;
在判断结果为是的情况下,在确定的所述命名空间中创建所述控制指令的响应进程,执行所述控制指令。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在对所述操作系统进行访问权限初始化时,获取用户对所述操作系统执行的所有控制指令;
将获取的所有控制指令软链接至命名空间,以确定执行各控制指令所调用的资源数据。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
针对不同身份的用户,生成对应的第一命名空间,所述第一命名空间包括至少一个控制指令对应的子命名空间;和/或;
针对不同类型的控制指令,生成对应的第二命名空间。
4.根据权利要求1所述的方法,其特征在于,在判断结果为是的情况下,所述方法还包括:
获取所述控制指令的属性信息;
基于所述属性信息,判断所述控制指令的执行是否存在安全隐患;
如果否,执行步骤所述在确定的所述命名空间中创建所述控制指令的响应进程;
如果是,禁止执行所述控制指令。
5.根据权利要求1~4任意一项所述的方法,其特征在于,所述获取第一用户的权限信息,包括:
按照预设时间周期,从所述服务器获取至少一个用户的权限信息,所述至少一个用户包括所述第一用户。
6.一种权限控制方法,其特征在于,所述方法包括:
从身份验证平台获取至少一个用户的身份信息;
基于所述至少一个用户的身份信息,为所述至少一个用户分配对应的权限,生成相应的权限信息;
将所述至少一个用户的权限信息同步至权限控制客户端存储。
7.一种权限控制装置,其特征在于,所述装置包括:
权限信息获取模块,用于获取第一用户的权限信息,所述权限信息由权限控制服务器基于所述第一用户的身份信息分配得到;
命名空间确定模块,用于截获到第一用户对操作系统执行的控制指令,确定所述控制指令对应的命名空间,所述命名空间用于限制执行所述控制指令所调用的资源数据;
权限判断模块,用于基于所述第一用户的权限信息,判断出所述第一用户是否具有所述命名空间中的资源数据的使用权限;
控制指令执行模块,用于在权限判断模块的判断结果为是的情况下,在确定的所述命名空间中创建所述控制指令的响应进程,执行所述控制指令。
8.一种权限控制装置,其特征在于,所述装置包括:
身份信息获取模块,用于从身份验证平台获取至少一个用户的身份信息;
权限分配模块,用于基于所述至少一个用户的身份信息,为所述至少一个用户分配对应的权限,生成相应的权限信息;
权限信息同步模块,用于将所述至少一个用户的权限信息同步至权限控制客户端存储。
9.一种处理器,其特征在于,用于加载并执行存储器存储的程序,实现如权利要求1~5任意一项所述的权限控制方法的各步骤,或者实现如权利要求6所述的权限控制方法的各步骤。
10.一种存储介质,其特征在于,其上存储有程序,该程序被处理器执行时实现如权利要求1~5任意一项所述的权限控制方法的各步骤,或者实现如权利要求6所述的权限控制方法的各步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811161789.3A CN110971580B (zh) | 2018-09-30 | 2018-09-30 | 一种权限控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811161789.3A CN110971580B (zh) | 2018-09-30 | 2018-09-30 | 一种权限控制方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110971580A true CN110971580A (zh) | 2020-04-07 |
CN110971580B CN110971580B (zh) | 2022-05-17 |
Family
ID=70029224
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811161789.3A Active CN110971580B (zh) | 2018-09-30 | 2018-09-30 | 一种权限控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110971580B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111491172A (zh) * | 2020-04-09 | 2020-08-04 | 广州市百果园信息技术有限公司 | 一种直播权限管理系统及直播权限管理方法 |
CN111898161A (zh) * | 2020-08-07 | 2020-11-06 | 苏州浪潮智能科技有限公司 | 一种hue的权限管理方法、系统、设备以及介质 |
CN114116042A (zh) * | 2021-10-29 | 2022-03-01 | 航天信息股份有限公司 | 一种面向Linux服务系统的命令处理方法及系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060031923A1 (en) * | 2004-08-04 | 2006-02-09 | Yoichi Kanai | Access control list attaching system, original content creator terminal, policy server, original content data management server, program and computer readable information recording medium |
CN1795439A (zh) * | 2003-03-28 | 2006-06-28 | 安全系统有限公司 | 计算机操作系统的安全系统与方法 |
US7185047B1 (en) * | 1999-02-18 | 2007-02-27 | Novell, Inc. | Caching and accessing rights in a distributed computing system |
US20070106668A1 (en) * | 2005-10-24 | 2007-05-10 | Chial And Associates C. Lrd. | File management system, information processing apparatus, authentication system, and file access authority setting system |
CN101729550A (zh) * | 2009-11-09 | 2010-06-09 | 西北大学 | 基于透明加解密的数字内容安全防护系统及加解密方法 |
CN101847196A (zh) * | 2009-03-24 | 2010-09-29 | 上海任登信息科技有限公司 | 一种在Linux系统中加强文档的权限控制的方法 |
CN105787375A (zh) * | 2014-12-25 | 2016-07-20 | 华为技术有限公司 | 终端中的加密文档的权限控制方法和终端 |
CN106529312A (zh) * | 2016-10-25 | 2017-03-22 | 广东欧珀移动通信有限公司 | 一种移动终端的权限控制方法、装置及移动终端 |
-
2018
- 2018-09-30 CN CN201811161789.3A patent/CN110971580B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7185047B1 (en) * | 1999-02-18 | 2007-02-27 | Novell, Inc. | Caching and accessing rights in a distributed computing system |
CN1795439A (zh) * | 2003-03-28 | 2006-06-28 | 安全系统有限公司 | 计算机操作系统的安全系统与方法 |
US20060031923A1 (en) * | 2004-08-04 | 2006-02-09 | Yoichi Kanai | Access control list attaching system, original content creator terminal, policy server, original content data management server, program and computer readable information recording medium |
US20070106668A1 (en) * | 2005-10-24 | 2007-05-10 | Chial And Associates C. Lrd. | File management system, information processing apparatus, authentication system, and file access authority setting system |
CN101847196A (zh) * | 2009-03-24 | 2010-09-29 | 上海任登信息科技有限公司 | 一种在Linux系统中加强文档的权限控制的方法 |
CN101729550A (zh) * | 2009-11-09 | 2010-06-09 | 西北大学 | 基于透明加解密的数字内容安全防护系统及加解密方法 |
CN105787375A (zh) * | 2014-12-25 | 2016-07-20 | 华为技术有限公司 | 终端中的加密文档的权限控制方法和终端 |
CN106529312A (zh) * | 2016-10-25 | 2017-03-22 | 广东欧珀移动通信有限公司 | 一种移动终端的权限控制方法、装置及移动终端 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111491172A (zh) * | 2020-04-09 | 2020-08-04 | 广州市百果园信息技术有限公司 | 一种直播权限管理系统及直播权限管理方法 |
CN111491172B (zh) * | 2020-04-09 | 2021-09-14 | 广州市百果园信息技术有限公司 | 一种直播权限管理系统及直播权限管理方法 |
CN111898161A (zh) * | 2020-08-07 | 2020-11-06 | 苏州浪潮智能科技有限公司 | 一种hue的权限管理方法、系统、设备以及介质 |
CN114116042A (zh) * | 2021-10-29 | 2022-03-01 | 航天信息股份有限公司 | 一种面向Linux服务系统的命令处理方法及系统 |
CN114116042B (zh) * | 2021-10-29 | 2024-04-26 | 航天信息股份有限公司 | 一种面向Linux服务系统的命令处理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110971580B (zh) | 2022-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11693951B2 (en) | Method and apparatus for applying application context security controls for software containers | |
US10459822B1 (en) | Iterative static analysis using stored partial results | |
US10503545B2 (en) | Universal security agent | |
US8639814B2 (en) | Electronic apparatus, virtual machine providing apparatus, and method of using virtual machine service | |
US20160277310A1 (en) | Dynamic management of computing platform resources | |
CN110971580B (zh) | 一种权限控制方法及装置 | |
US10318347B1 (en) | Virtualized tasks in an on-demand network code execution system | |
KR101323858B1 (ko) | 가상화 시스템에서 메모리 접근을 제어하는 장치 및 방법 | |
US11675914B2 (en) | Secure information storage | |
US10171502B2 (en) | Managed applications | |
JP2022522678A (ja) | セキュア実行ゲスト所有者環境制御 | |
CN110390184B (zh) | 用于在云中执行应用的方法、装置和计算机程序产品 | |
US9678984B2 (en) | File access for applications deployed in a cloud environment | |
CN107835181B (zh) | 服务器集群的权限管理方法、装置、介质和电子设备 | |
US20160277308A1 (en) | Dynamic management of computing platform resources | |
KR101337208B1 (ko) | 휴대 단말의 어플리케이션 데이터 관리 방법 및 그 장치 | |
US20240311447A1 (en) | Programmable model-driven license management and enforcement in a multi-tenant system | |
US10223526B2 (en) | Generating packages for managed applications | |
EP3298534B1 (en) | Creating multiple workspaces in a device | |
KR101495562B1 (ko) | 데이터 분석 서비스를 제공하기 위한 장치 및 그 방법 | |
CN114356231B (zh) | 数据处理方法、设备及计算机存储介质 | |
US20160188872A1 (en) | Method and system for runtime injection of secure applications | |
Kypus et al. | RFID platform as a service, containerized ecosystem, feasibility and security impact analysis | |
CN117193940A (zh) | 一种数据访问方法、装置、电子设备及计算机可读介质 | |
Li et al. | Trusted mobile model based on DTE technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |