CN112749411A - 安卓文件系统的分级管控方法和系统 - Google Patents
安卓文件系统的分级管控方法和系统 Download PDFInfo
- Publication number
- CN112749411A CN112749411A CN202110047954.8A CN202110047954A CN112749411A CN 112749411 A CN112749411 A CN 112749411A CN 202110047954 A CN202110047954 A CN 202110047954A CN 112749411 A CN112749411 A CN 112749411A
- Authority
- CN
- China
- Prior art keywords
- file
- threshold
- request
- creating
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000004590 computer program Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 46
- 238000004891 communication Methods 0.000 description 8
- 238000005192 partition Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000000644 propagated effect Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 239000003607 modifier Substances 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种安卓文件系统的分级管控方法和系统,包括生成策略文件,策略文件包括白名单;接收主体的创建文件指令和/或写入数据指令,并获取当前剩余的包括一个或多个空间参数的空间参数组,判断空间参数组中的各空间参数是否大于第一阈值组中对应的各空间参数的第一阈值,若判断结果为是则执行创建文件和/或写入数据的请求,否则判断空间参数组中的各空间参数是否大于第二阈值组中对应的各空间参数的第二阈值,若判断结果为是则继续判断主体是否在白名单中,否则拒绝执行创建文件和/或写入数据的请求。本申请可以实现分级控制写入磁盘的权能,保证关键文件创建和关键数据写入的可行性,确保系统的可用性和稳定性。
Description
技术领域
本发明主要涉及操作系统管理和控制领域,尤其涉及一种安卓文件系统的分级管控方法和系统。
背景技术
当前安卓系统采用的机制是apk(Android Application Package,Android应用程序包)安装之后存放在/data/目录,而data目录一般都是比较常用的Ext4文件系统挂载点形成的。
虽然各个应用程序之间是数据独立,不能相互访问,但是data剩余可用空间是共用的,一旦有某些应用程序恶意或者因为bug导致空间没有一点剩余,那么其他正常的应用程序或者系统就没有办法正常存储运行,可能导致系统崩溃。更为常见的现象是重启系统之后,系统直接不能开机,并且一直卡在开机动画。
具体的,以常用的第四代扩展文件系统(Fourth Extended File System,Ext4)分区来举例说明,一个Ext4分区可以保存新的文件内容,是由Ext4文件系统里面的超级块super block里面的剩余可用数据块数量和剩余可用i节点数量决定的,剩余可用数据块数量决定了还可以写多少数据量,剩余可用i节点数量决定了还可以新建多少个文件。一旦可用的数据块或者i节点数量达到0,那么新保存一个文件就会失败;其他关键程序需要写的数据就没有办法写入。
发明内容
本发明要解决的技术问题是提供一种安卓文件系统的分级管控方法和系统,能够分级控制写入磁盘的权能,保证关键文件创建和关键数据写入的可行性,确保系统的可用性和稳定性。
为解决上述技术问题,本发明提供了一种安卓文件系统的分级管控方法,适于管控主体的创建文件和/或写入数据的请求,包括如下的步骤:S1:生成策略文件,所述策略文件包括白名单,所述白名单包括至少一个主体条目;S2:接收所述主体的创建文件指令和/或写入数据指令,并获取当前剩余的包括一个或多个空间参数的空间参数组,判断所述空间参数组中的各空间参数是否大于第一阈值组中对应的各空间参数的第一阈值,若判断结果为是则执行创建文件和/或写入数据的请求,否则执行步骤S3;S3:判断所述空间参数组中的各空间参数是否大于第二阈值组中对应的各空间参数的第二阈值,若判断结果为是则调取所述策略文件并执行步骤S4,否则拒绝执行创建文件和/或写入数据的请求;以及S4:判断所述主体是否在所述白名单中,若判断结果为是则执行创建文件和/或写入数据的请求,否则拒绝执行创建文件和/或写入数据的请求。
在本发明的一实施例中,所述空间参数包括i节点数量,所述步骤S2包括接收主体的创建文件指令,并获取当前剩余的所述i节点数量,判断所述i节点数量是否大于所述第一阈值组中对应的i节点数量第一阈值,若判断结果为是则执行创建文件的请求,否则执行所述步骤S3;并且,在所述步骤S3中,判断所述i节点数量是否大于所述第二阈值组中对应的i节点数量第二阈值,而在所述步骤S4中,若所述判断结果为是则执行创建文件的请求,否则拒绝执行创建文件的请求。
在本发明的一实施例中,所述空间参数包括数据块数量,所述步骤S2包括接收主体的写入数据指令,并获取当前剩余的所述数据块数量,判断所述数据块数量是否大于所述第一阈值组中对应的数据块数量第一阈值,若判断结果为是则执行写入数据的请求,否则执行所述步骤S3;并且,在所述步骤S3中,判断所述数据块数量是否大于所述第二阈值组中对应的数据块数量第二阈值,而在步骤S4中,若所述判断结果为是则执行写入数据的请求,否则拒绝执行写入数据的请求。
在本发明的一实施例中,所述空间参数还包括数据块数量,在所述步骤S3中,若所述i节点数量是否大于所述i节点数量第二阈值的判断结果为是,继续判断所述数据块数量是否大于所述第二阈值组中对应的数据块数量第二阈值,若判断结果为是则执行所述步骤S4;并且,在步骤S4中,若所述判断结果为是则执行创建文件和写入数据的请求,否则拒绝执行创建文件和写入数据的请求。
在本发明的一实施例中,在步骤S3中,若所述空间参数组中的各空间参数是否大于第二阈值组中对应的各空间参数的第二阈值的判断结果为是,继续判断所述各空间参数是否大于第N阈值组中对应的各空间参数,若判断结果为是则调取所述策略文件并执行步骤S4,否则拒绝执行创建文件和/或写入数据的请求,其中所述第N阈值组为所述第一阈值组和第二阈值组之外的至少一个阈值组。
在本发明的一实施例中,在所述步骤S1中,所述策略文件还包括黑名单,且所述黑名单包括至少一个主体条目;在步骤S2中,若所述空间参数是否大于第一阈值的判断结果为是,继续判断所述主体是否在所述黑名单中,否则执行步骤S3,并且,如所述主体是否在所述黑名单中的判断结果为是,则拒绝执行创建文件和/或写入数据的请求,否则继续执行步骤S3。
在本发明的一实施例中,所述主体包括安卓应用程序包apk,在所述步骤S1中,所述生成策略文件包括解析并判断所述apk是否为关键apk,若判断结果为是则将所述apk加入白名单。
在本发明的一实施例中,所述第一阈值组中的各空间参数的第一阈值配置为根据所述安卓文件系统动态指定的阈值,且所述第二阈值组中的各空间参数的第二阈值配置为固定常量。
为了解决以上的技术问题,本发明还提供了一种安卓文件系统的分级管控系统,包括:存储器,用于存储可由处理器执行的指令;以及处理器,用于执行所述指令以实现上述安卓文件系统的分级管控方法。
本发明还提供了一种存储有计算机程序代码的计算机可读介质,所述计算机程序代码在由处理器执行时实现安卓文件系统的分级管控方法。
与现有技术相比,本发明能够分级控制写入磁盘的权能,保证关键文件创建和关键数据写入的可行性,确保系统的可用性和稳定性。
附图说明
包括附图是为提供对本申请进一步的理解,它们被收录并构成本申请的一部分,附图示出了本申请的实施例,并与本说明书一起起到解释本发明原理的作用。附图中:
图1是本发明一实施例的一种安卓文件系统的分级管控方法的流程示意图;
图2是本发明的另外一实施例的一种安卓文件系统的分级管控方法的流程示意图;
图3是本发明的另外一实施例的一种安卓文件系统的分级管控方法的流程示意图;
图4是本发明的另外一实施例的一种安卓文件系统的分级管控方法的流程示意图;
图5是本发明的另外一实施例的一种安卓文件系统的分级管控方法的流程示意图;以及
图6是本发明的一实施例的一种安卓文件系统的分级管控系统的系统框图。
具体实施方式
为了更清楚地说明本申请的实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。除非从语言环境中显而易见或另做说明,图中相同标号代表相同结构或操作。
如本申请和权利要求书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。一般说来,术语“包括”与“包含”仅提示包括已明确标识的步骤和元素,而这些步骤和元素不构成一个排它性的罗列,方法或者设备也可能包含其他的步骤或元素。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
在本申请的描述中,需要理解的是,方位词如“前、后、上、下、左、右”、“横向、竖向、垂直、水平”和“顶、底”等所指示的方位或位置关系通常是基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,在未作相反说明的情况下,这些方位词并不指示和暗示所指的装置或元件必须具有特定的方位或者以特定的方位构造和操作,因此不能理解为对本申请保护范围的限制;方位词“内、外”是指相对于各部件本身的轮廓的内外。
为了便于描述,在这里可以使用空间相对术语,如“在……之上”、“在……上方”、“在……上表面”、“上面的”等,用来描述如在图中所示的一个器件或特征与其他器件或特征的空间位置关系。应当理解的是,空间相对术语旨在包含除了器件在图中所描述的方位之外的在使用或操作中的不同方位。例如,如果附图中的器件被倒置,则描述为“在其他器件或构造上方”或“在其他器件或构造之上”的器件之后将被定位为“在其他器件或构造下方”或“在其他器件或构造之下”。因而,示例性术语“在……上方”可以包括“在……上方”和“在……下方”两种方位。该器件也可以其他不同方式定位(旋转90度或处于其他方位),并且对这里所使用的空间相对描述作出相应解释。
此外,需要说明的是,使用“第一”、“第二”等词语来限定零部件,仅仅是为了便于对相应零部件进行区别,如没有另行声明,上述词语并没有特殊含义,因此不能理解为对本申请保护范围的限制。此外,尽管本申请中所使用的术语是从公知公用的术语中选择的,但是本申请说明书中所提及的一些术语可能是申请人按他或她的判断来选择的,其详细含义在本文的描述的相关部分中说明。此外,要求不仅仅通过所使用的实际术语,而是还要通过每个术语所蕴含的意义来理解本申请。
应当理解,当一个部件被称为“在另一个部件上”、“连接到另一个部件”、“耦合于另一个部件”或“接触另一个部件”时,它可以直接在该另一个部件之上、连接于或耦合于、或接触该另一个部件,或者可以存在插入部件。相比之下,当一个部件被称为“直接在另一个部件上”、“直接连接于”、“直接耦合于”或“直接接触”另一个部件时,不存在插入部件。同样的,当第一个部件被称为“电接触”或“电耦合于”第二个部件,在该第一部件和该第二部件之间存在允许电流流动的电路径。该电路径可以包括电容器、耦合的电感器和/或允许电流流动的其它部件,甚至在导电部件之间没有直接接触。
本发明的一实施例提出了一种安卓文件系统的分级管控方法,适于管控主体的创建文件和/或写入数据的请求,能够分级控制写入磁盘的权能,保证关键文件创建和关键数据写入的可行性,确保系统的可用性和稳定性。
如图1所示,为本发明的一种安卓文件系统的分级管控方法10的流程示意图。分级管控方法10包括如下的步骤:
101:生成包括白名单的策略文件,且白名单中包括至少一个主体条目;
102:接收主体的创建文件指令和/或写入数据指令,并获取当前剩余的包括一个或多个空间参数的空间参数组;
103:判断空间参数组中的各空间参数是否大于第一阈值组中对应的各空间参数的第一阈值,若判断结果为是则直接执行步骤106执行主体创建文件和/或写入数据的请求,否则执行步骤104;
104:判断空间参数组中的各空间参数是否大于第二阈值组中对应的各空间参数的第二阈值,若判断结果为是则调取在步骤101生成的策略文件并执行判断步骤105,否则执行步骤107即拒绝执行主体创建文件和/或写入数据的请求;以及
105:判断在步骤102中发出创建文件指令和/或写入数据指令的主体是否在步骤101生成的策略文件的白名单中,若判断结果为是则执行步骤106执行主体创建文件和/或写入数据的请求,否则执行步骤107拒绝执行创建文件和/或写入数据的请求。
通常来说,第一阈值组中的各空间参数的第一阈值,大于在第二阈值组中相对应的各空间参数的第二阈值,从而在系统的空间参数剩余量在可控的范围时,直接执行创建文件和/或写入数据的步骤。而当空间参数剩余量有限或过小时,进行更多的判断,在判断的结果不满足要求时,拒绝执行创建文件和/或写入数据的步骤。从而实现本发明的对于安卓文件系统的分级管控,保障关键文件的创建和关键数据的写入。
如上所述,以常用的Ext4分区为例,系统剩余的i节点数量决定了还可以新建多少文件,而系统剩余的数据块数量决定了还可以写入多少数据。因此,以常用的Ext4分区为例,将该i节点数量和数据块数量作为本发明的分级管控方法中的空间参数,可以至少形成如图2~图4所示的三个实施例。
下面根据图2~图4,对于本发明的一种安卓文件系统的管控方法中空间参数包括i节点数量和/或数据块数量时的情况作出如下分别的说明。
如图2所示,是本发明一实施例的安卓文件系统的分级管控方法20。图2示出了在图1所示的管控方法中,所管控的对象为主体的创建文件的请求且空间参数为i节点数量的实施例。
如图2所示,本发明的一种安卓文件系统的分级管控方法20包括如下的步骤:
201:生成包括白名单的策略文件,且白名单中包括至少一个主体条目;
202:接收主体的创建文件指令,并获取当前剩余的i节点数量;
203:判断i节点数量是否大于第一阈值组中对应的i节点数量的第一阈值,若判断结果为是则直接执行步骤206执行主体创建文件的请求,否则执行步骤204;
204:判断i节点数量是否大于第二阈值组中的i节点数量的第二阈值,若判断结果为是则调取在步骤201中生成的策略文件并执行步骤205,否则执行步骤207拒绝执行主体创建文件的请求;以及
205:判断在步骤202中发出创建文件指令的主体是否在步骤201所生成的策略文件的白名单中,若判断结果为是则执行步骤206执行主体创建文件的请求,否则执行步骤207拒绝执行主体创建文件的请求。
通过以上如图2所示的分级管控方法20,可以通过对系统剩余的i节点数量的确认,有效的判断系统在当前状态下是否还可以创建新的文件,保证系统的稳定性;并且,在系统剩余的i节点数量紧张时(即i节点数量在i节点数量的第二阈值和第一阈值之间),控制只有白名单上的主体才可以执行创建文件的操作,保证了关键文件创建的可行性。
进一步的,如图3所示,是本发明一实施例的安卓文件系统的分级管控方法30。图3示出了在图1所示的管控方法中,所管控的对象为主体的写入数据的请求且空间参数为数据库数量的实施例。
如图3所示,本发明的一种安卓文件系统的分级管控方法30包括如下的步骤:
301:生成包括白名单的策略文件,且白名单中包括至少一个主体条目;
302:接收主体的写入数据指令,并获取当前剩余的数据库数量;
303:判断数据库数量是否大于第一阈值组中对应的数据库数量的第一阈值,若判断结果为是则直接执行步骤306执行主体写入数据的请求,否则执行步骤304;
304:判断数据库数量是否大于第二阈值组中的数据库数量的第二阈值,若判断结果为是则调取在步骤301中生成的策略文件并执行步骤305,否则执行步骤307拒绝执行主体写入数据的请求;以及
305:判断在步骤302中发出写入数据指令的主体是否在步骤301所生成的策略文件的白名单中,若判断结果为是则执行步骤306执行主体写入数据的请求,否则执行步骤307拒绝执行主体写入数据的请求。
通过以上如图3所示的分级管控方法30,可以通过对系统剩余的数据库数量的确认,有效的判断系统在当前状态下是否还可以写入更多的数据,保证系统的稳定性;并且,在系统剩余的数据库数量紧张时(即数据库数量在数据库数量的第二阈值和第一阈值之间),控制只有白名单上的主体才可以执行写入数据的操作,保证了关键数据写入的可行性。
更进一步的,如图4所示,是本发明一实施例的安卓文件系统的分级管控方法40。图4示出了在图1所示的管控方法中,所管控的对象为主体发出的创建文件并同时写入数据的请求且空间参数同时包括i节点数量和数据库数量的实施例。
如图4所示,本发明的一种安卓文件系统的分级管控方法40包括如下的步骤:
401:生成包括白名单的策略文件,且白名单中包括至少一个主体条目;
402:接收主体的创建文件和写入数据的指令,并获取当前剩余的i节点数量和数据库数量;
403:判断i节点数量是否大于第一阈值组中对应的i节点数量第一阈值,若判断结果为是则直接执行步骤406执行主体创建文件的请求,否则执行步骤404;
404:判断i节点数量是否大于第二阈值组中的i节点数量第二阈值,若判断结果为是执行步骤408,否则执行步骤407拒绝执行主体创建文件的请求;
408:判断数据库数量是否大于第二阈值组中的数据库数量第二阈值,若判断结果为是调取在步骤401生成的策略文件并执行步骤405,否则执行步骤407拒绝执行主体创建文件的请求;以及
405:判断在步骤402中发出创建文件和写入数据指令的主体是否在步骤401所生成的策略文件的白名单中,若判断结果为是则执行步骤406执行主体创建文件和写入数据的请求,否则执行步骤407拒绝执行主体创建文件和写入数据的请求。
通过以上如图4所示的分级管控方法40,可以通过对系统剩余的i节点数量和数据库数量的依次确认,有效的判断系统在当前状态下是否还可创建文件并写入更多的数据,保证系统的稳定性;并且,在系统剩余的i节点数量较为紧张时(即i节点数量在数据库数量的第二阈值和第一阈值之间且数据库数量满足要求时),控制只有白名单上的主体才可以执行写入数据的操作,保证了关键文件穿那个键和关键数据写入的可行性。
可以理解的是,以上如图4所示的实施例仅仅示出了一种,空间参数包括i节点数量和数据库数量的管控方法,但是本发明不对于当设计至少两种空间参数的判断方法的顺序以及判断的此时作出限制。示例性的,在本发明的某些实施例中,可以先进行数据库数量的判断再进行i节点数量的判断是。或者是,在判断i节点数量小于i节点数量的第一阈值且大于i节点数量的第二阈值时,将剩余的数据库数量与数据库数量的第一阈值和第二阈值分别比较,并根据判断结果不同,选择执行还是拒绝创建文件和写入数据的请求,本发明不对此做出限制。
可以理解的是,通过上述的几个实施例的说明,本发明的一种安卓文件系统的分级管控方法将所管控的创建文件和/或写入数据的请求,大致分为了三级。第一级较为系统资源空间宽松:空间参数大于对应的第一阈值;第二级系统资源空间较为紧张:各空间参数小于对应的第一阈值,但是大于对应的第二阈值;第三级系统资源空间最为紧张:各空间参数小于对应的第一阈值,也小于对应的第二阈值,但是如果发出创建文件和/或写入数据的请求的主体在预先生成的白名单中,也可以执行创建文件和/或写入数据的请求。
在此基础上,由于第一阈值和第二阈值所反映的是系统空间资源的剩余量,因此,通过上述分级管控的方式,在系统内空间处于不同剩余量时,对于不同的创建文件和/或写入数据的请求做出了不同的安排,并在最后考虑了发出请求的主体的性质,由此实现了分级管控,保障关键文件创建和关键数据写入的可行性以及系统的稳定性和可行性。但是需要注意的是,本发明不对于分级的级数做出限制。
在本发明的一实施例中,参考图1所示,在步骤104和105之间还加入了更多级的判断步骤。示例性的,在步骤104中,若空间参数组中的各空间参数是否大于第二阈值组中对应的各空间参数的第二阈值的判断结果为是,继续判断各空间参数是否大于第N阈值组中对应的各空间参数,若判断结果为是则调取步骤101生成的策略文件并执行步骤105,否则执行步骤107拒绝执行创建文件和/或写入数据的请求,其中第N阈值组为第一阈值组和第二阈值组之外的至少一个阈值组。
在本发明的另外一实施例中,参考图1所示,在步骤103和104之间还可以增加更多级的判断步骤。如图5所示的一种安卓文件系统的分级管控方法50。
图5示出了在图1所示的管控方法中,策略文件在白名单的基础上,还包括黑名单的实施例。如图5所示,管控方法50包括如下的步骤:
501:生成包括白名单和黑名单的策略文件,且白名单和黑名单中均包括至少一个主体条目;
502:接收主体的创建文件指令和/或写入数据指令,并获取当前剩余的包括一个或多个空间参数的空间参数组;
503:判断空间参数组中的各空间参数是否大于第一阈值组中对应的各空间参数的第一阈值,若判断结果为是则调取在步骤501中生成的策略文件并执行步骤508,否则执行步骤504;
508:判断在步骤502中发出创建文件指令和/或写入数据指令的主体是否在步骤501中生成的策略文件的黑名单中,如判断结果为是则直接执行步骤507拒绝主体创建文件和/或写入数据,否则执行步骤504;
504:判断空间参数组中的各空间参数是否大于第二阈值组中对应的各空间参数的第二阈值,若判断结果为是则调取在步骤501生成的策略文件并执行判断步骤505,否则执行步骤507即拒绝执行主体创建文件和/或写入数据的请求;以及
505:判断在步骤502中发出创建文件指令和/或写入数据指令的主体是否在步骤501生成的策略文件的白名单中,若判断结果为是则执行步骤506执行主体创建文件和/或写入数据的请求,否则执行步骤507拒绝执行创建文件和/或写入数据的请求。
通过以上如图5所示的分级管控方法50,即使在系统空间资源较为宽松的级别,若发出指令的主体在预先设置的黑名单中,则也不会再进行更多的判断,而直接拒绝该黑名单主体发出的指令,从而更加有效的保障系统空间资源的可行性和稳定性。
在本发明的一实施例中,发出创建文件和/或写入数据的主体可以是安卓应用程序包apk,在生成策略文件包括解析并判断apk是否为关键apk,若判断结果为是则将apk加入白名单。
示例性的,在如图5所示的策略文件包括黑名单的实施例中,若主体为安卓应用程序包apk,在上述解析并判断apk是否为关键apk后,若判断结果为否则将apk加入黑名单。但是本发明不对此生成黑名单的方式做出限制,示例性的,还可以通过其他方式对主体的特性进行判断并生成黑米单,如占用资源较大,目前的系统无论出于哪一种空间资源级别都不允许该类型的主体进行创建文件和/或写入数据的操作。
在本发明的一实施例中,本发明的一种安卓文件系统的分级管控方法中所涉及的第一阈值组中的各空间参数的第一阈值配置为根据安卓文件系统动态指定的阈值,即随着系统空间的实时变化而实时调整。同时,第二阈值组中的各空间参数的第二阈值配置为固定常量,在本发明的一些实施例中,该固定常量是考虑到系统本身承载能力的一个较低标准。
可以理解的是,本申请的图1~图5使用了流程图用来说明根据本申请的实施例的系统所执行的操作。应当理解的是,前面或下面操作不一定按照顺序来精确地执行。相反,可以按照倒序或同时处理各种步骤。同时,或将其他操作添加到这些过程中,或从这些过程移除某一步或数步操作。
本发明的另一方面还提出了一种安卓文件系统的分级管控系统,可以应用上述如图1~图5所示的安卓文件系统的分级管控方法,分级控制写入磁盘的权能,保证关键文件创建和关键数据写入的可行性,确保系统的可用性和稳定性。
在本发明的一实施例中,该分级管控系统包括存储器,用于存储可由处理器执行的指令;以及处理器,用于执行指令以实现上述的安卓文件系统的分级管控方法。
进一步的,如图6所示,是根据本申请一实施例示出的安卓文件系统的分级管控系统600的系统框架图。
分级管控系统600可包括内部通信总线601、处理器(Processor)602、只读存储器(ROM)603、随机存取存储器(RAM)604以及通信端口605。
在本发明的如图6所示的实施例中,当应用在个人计算机上时,分级管控系统600还可以包括硬盘606。内部通信总线601可以实现分级管控系统600组件间的数据通信。处理器602可以进行判断和发出提示。
在一些实施例中,处理器602可以由一个或多个处理器组成。通信端口605可以实现分级管控系统600与外部的数据通信。在一些实施例中,分级管控系统600可以通过通信端口605从网络发送和接受信息及数据。
分级管控系统600还可以包括不同形式的程序储存单元以及数据储存单元,例如硬盘606,只读存储器(ROM)603和随机存取存储器(RAM)604,能够存储计算机处理和/或通信使用的各种数据文件,以及处理器602所执行的可能的程序指令。处理器执行这些指令以实现如上述分级管控方法的主要部分。处理器602处理的结果可以通过通信端口605传给用户设备,在用户界面上显示。
上述的如图1至图5所示的分级管控方法可以实施为计算机程序,保存在硬盘606中,并可记载到处理器602中执行,以实施本申请中的上述安卓文件系统的分级管控方法。
上文已对基本概念做了描述,显然,对于本领域技术人员来说,上述发明披露仅仅作为示例,而并不构成对本申请的限定。虽然此处并没有明确说明,本领域技术人员可能会对本申请进行各种修改、改进和修正。该类修改、改进和修正在本申请中被建议,所以该类修改、改进、修正仍属于本申请示范实施例的精神和范围。
同时,本申请使用了特定词语来描述本申请的实施例。如“一个实施例”、“一实施例”、和/或“一些实施例”意指与本申请至少一个实施例相关的某一特征、结构或特点。因此,应强调并注意的是,本说明书中在不同位置两次或多次提及的“一实施例”或“一个实施例”或“一替代性实施例”并不一定是指同一实施例。此外,本申请的一个或多个实施例中的某些特征、结构或特点可以进行适当的组合。
本申请的一些方面可以完全由硬件执行、可以完全由软件(包括固件、常驻软件、微码等)执行、也可以由硬件和软件组合执行。以上硬件或软件均可被称为“数据块”、“模块”、“引擎”、“单元”、“组件”或“系统”。处理器可以是一个或多个专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理器件(DAPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器或者其组合。此外,本申请的各方面可能表现为位于一个或多个计算机可读介质中的计算机产品,该产品包括计算机可读程序编码。例如,计算机可读介质可包括,但不限于,磁性存储设备(例如,硬盘、软盘、磁带……)、光盘(例如,压缩盘CD、数字多功能盘DVD……)、智能卡以及闪存设备(例如,卡、棒、键驱动器……)。
计算机可读介质可能包含一个内含有计算机程序编码的传播数据信号,例如在基带上或作为载波的一部分。该传播信号可能有多种表现形式,包括电磁形式、光形式等等、或合适的组合形式。计算机可读介质可以是除计算机可读存储介质之外的任何计算机可读介质,该介质可以通过连接至一个指令执行系统、装置或设备以实现通讯、传播或传输供使用的程序。位于计算机可读介质上的程序编码可以通过任何合适的介质进行传播,包括无线电、电缆、光纤电缆、射频信号、或类似介质、或任何上述介质的组合。
同理,应当注意的是,为了简化本申请披露的表述,从而帮助对一个或多个发明实施例的理解,前文对本申请实施例的描述中,有时会将多种特征归并至一个实施例、附图或对其的描述中。但是,这种披露方法并不意味着本申请对象所需要的特征比权利要求中提及的特征多。实际上,实施例的特征要少于上述披露的单个实施例的全部特征。
一些实施例中使用了描述成分、属性数量的数字,应当理解的是,此类用于实施例描述的数字,在一些示例中使用了修饰词“大约”、“近似”或“大体上”来修饰。除非另外说明,“大约”、“近似”或“大体上”表明所述数字允许有±20%的变化。相应地,在一些实施例中,说明书和权利要求中使用的数值参数均为近似值,该近似值根据个别实施例所需特点可以发生改变。在一些实施例中,数值参数应考虑规定的有效数位并采用一般位数保留的方法。尽管本申请一些实施例中用于确认其范围广度的数值域和参数为近似值,在具体实施例中,此类数值的设定在可行范围内尽可能精确。
虽然本申请已参照当前的具体实施例来描述,但是本技术领域中的普通技术人员应当认识到,以上的实施例仅是用来说明本申请,在没有脱离本申请精神的情况下还可作出各种等效的变化或替换,因此,只要在本申请的实质精神范围内对上述实施例的变化、变型都将落在本申请的权利要求书的范围内。
Claims (10)
1.一种安卓文件系统的分级管控方法,适于管控主体的创建文件和/或写入数据的请求,其特征在于,包括如下的步骤:
S1:生成策略文件,所述策略文件包括白名单,所述白名单包括至少一个主体条目;
S2:接收所述主体的创建文件指令和/或写入数据指令,并获取当前剩余的包括一个或多个空间参数的空间参数组,判断所述空间参数组中的各空间参数是否大于第一阈值组中对应的各空间参数的第一阈值,若判断结果为是则执行创建文件和/或写入数据的请求,否则执行步骤S3;
S3:判断所述空间参数组中的各空间参数是否大于第二阈值组中对应的各空间参数的第二阈值,若判断结果为是则调取所述策略文件并执行步骤S4,否则拒绝执行创建文件和/或写入数据的请求;以及
S4:判断所述主体是否在所述白名单中,若判断结果为是则执行创建文件和/或写入数据的请求,否则拒绝执行创建文件和/或写入数据的请求。
2.如权利要求1所述的分级管控方法,其特征在于,所述空间参数包括i节点数量,所述步骤S2包括接收主体的创建文件指令,并获取当前剩余的所述i节点数量,判断所述i节点数量是否大于所述第一阈值组中对应的i节点数量第一阈值,若判断结果为是则执行创建文件的请求,否则执行所述步骤S3;并且,在所述步骤S3中,判断所述i节点数量是否大于所述第二阈值组中对应的i节点数量第二阈值,而在所述步骤S4中,若所述判断结果为是则执行创建文件的请求,否则拒绝执行创建文件的请求。
3.如权利要求1所述的分级管控方法,其特征在于,所述空间参数包括数据块数量,所述步骤S2包括接收主体的写入数据指令,并获取当前剩余的所述数据块数量,判断所述数据块数量是否大于所述第一阈值组中对应的数据块数量第一阈值,若判断结果为是则执行写入数据的请求,否则执行所述步骤S3;并且,在所述步骤S3中,判断所述数据块数量是否大于所述第二阈值组中对应的数据块数量第二阈值,而在步骤S4中,若所述判断结果为是则执行写入数据的请求,否则拒绝执行写入数据的请求。
4.如权利要求2所述的分级管控方法,其特征在于,所述空间参数还包括数据块数量,在所述步骤S3中,若所述i节点数量是否大于所述i节点数量第二阈值的判断结果为是,继续判断所述数据块数量是否大于所述第二阈值组中对应的数据块数量第二阈值,若判断结果为是则执行所述步骤S4;并且,在步骤S4中,若所述判断结果为是则执行创建文件和写入数据的请求,否则拒绝执行创建文件和写入数据的请求。
5.如权利要求1所述的分级管控方法,其特征在于,在步骤S3中,若所述空间参数组中的各空间参数是否大于第二阈值组中对应的各空间参数的第二阈值的判断结果为是,继续判断所述各空间参数是否大于第N阈值组中对应的各空间参数,若判断结果为是则调取所述策略文件并执行步骤S4,否则拒绝执行创建文件和/或写入数据的请求,其中所述第N阈值组为所述第一阈值组和第二阈值组之外的至少一个阈值组。
6.如权利要求1所述的分级管控方法,其特征在于,在所述步骤S1中,所述策略文件还包括黑名单,且所述黑名单包括至少一个主体条目;在步骤S2中,若所述空间参数是否大于第一阈值的判断结果为是,继续判断所述主体是否在所述黑名单中,否则执行步骤S3,并且,如所述主体是否在所述黑名单中的判断结果为是,则拒绝执行创建文件和/或写入数据的请求,否则继续执行步骤S3。
7.如权利要求1所述的分级管控方法,其特征在于,所述主体包括安卓应用程序包apk,在所述步骤S1中,所述生成策略文件包括解析并判断所述apk是否为关键apk,若判断结果为是则将所述apk加入白名单。
8.如权利要求1所述的分级管控方法,其特征在于,所述第一阈值组中的各空间参数的第一阈值配置为根据所述安卓文件系统动态指定的阈值,且所述第二阈值组中的各空间参数的第二阈值配置为固定常量。
9.一种安卓文件系统的分级管控系统,包括:
存储器,用于存储可由处理器执行的指令;以及
处理器,用于执行所述指令以实现如权利要求1-8任一项所述的方法。
10.一种存储有计算机程序代码的计算机可读介质,所述计算机程序代码在由处理器执行时实现如权利要求1-8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110047954.8A CN112749411A (zh) | 2021-01-14 | 2021-01-14 | 安卓文件系统的分级管控方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110047954.8A CN112749411A (zh) | 2021-01-14 | 2021-01-14 | 安卓文件系统的分级管控方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112749411A true CN112749411A (zh) | 2021-05-04 |
Family
ID=75651934
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110047954.8A Pending CN112749411A (zh) | 2021-01-14 | 2021-01-14 | 安卓文件系统的分级管控方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112749411A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130326168A1 (en) * | 2012-05-31 | 2013-12-05 | Wen-Yen CHANG | Memory management methods and systems for mobile devices |
CN105653200A (zh) * | 2014-11-24 | 2016-06-08 | 比亚迪股份有限公司 | 对移动终端中rom指定路径进行写入限制的方法及装置 |
CN107291385A (zh) * | 2017-06-12 | 2017-10-24 | 努比亚技术有限公司 | 一种数据写入的方法及终端 |
CN108959597A (zh) * | 2018-07-12 | 2018-12-07 | 深圳Tcl新技术有限公司 | 用户空间保护方法、装置、设备和显示终端存储介质 |
CN109828719A (zh) * | 2018-12-15 | 2019-05-31 | 平安科技(深圳)有限公司 | 基于云监控的commitLog文件所在磁盘控制方法、装置及相关设备 |
CN110750411A (zh) * | 2019-08-26 | 2020-02-04 | 上海商米科技集团股份有限公司 | 文件索引节点监控预警及修复的方法和装置 |
CN111880734A (zh) * | 2020-07-24 | 2020-11-03 | 北京浪潮数据技术有限公司 | 一种数据处理方法、系统、电子设备及存储介质 |
-
2021
- 2021-01-14 CN CN202110047954.8A patent/CN112749411A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130326168A1 (en) * | 2012-05-31 | 2013-12-05 | Wen-Yen CHANG | Memory management methods and systems for mobile devices |
CN105653200A (zh) * | 2014-11-24 | 2016-06-08 | 比亚迪股份有限公司 | 对移动终端中rom指定路径进行写入限制的方法及装置 |
CN107291385A (zh) * | 2017-06-12 | 2017-10-24 | 努比亚技术有限公司 | 一种数据写入的方法及终端 |
CN108959597A (zh) * | 2018-07-12 | 2018-12-07 | 深圳Tcl新技术有限公司 | 用户空间保护方法、装置、设备和显示终端存储介质 |
CN109828719A (zh) * | 2018-12-15 | 2019-05-31 | 平安科技(深圳)有限公司 | 基于云监控的commitLog文件所在磁盘控制方法、装置及相关设备 |
CN110750411A (zh) * | 2019-08-26 | 2020-02-04 | 上海商米科技集团股份有限公司 | 文件索引节点监控预警及修复的方法和装置 |
CN111880734A (zh) * | 2020-07-24 | 2020-11-03 | 北京浪潮数据技术有限公司 | 一种数据处理方法、系统、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9424435B2 (en) | Filesystem access for web applications and native code modules | |
US5504814A (en) | Efficient security kernel for the 80960 extended architecture | |
US8832389B2 (en) | Domain based access control of physical memory space | |
US8024770B2 (en) | Techniques for managing security contexts | |
US8359467B2 (en) | Access control system and method | |
JP2011526387A (ja) | コンピューティングプロセスのための最小特権アクセスの付与 | |
CN108614976A (zh) | 权限配置方法、装置及存储介质 | |
US8949590B2 (en) | Controlling access to software component state | |
US11720607B2 (en) | System for lightweight objects | |
US11275850B1 (en) | Multi-faceted security framework for unstructured storage objects | |
CN106682504B (zh) | 一种防止文件被恶意编辑的方法、装置及电子设备 | |
CN110046181A (zh) | 基于数据库分布式存储的数据路由的方法和装置 | |
US9535713B2 (en) | Manipulating rules for adding new devices | |
CN112749411A (zh) | 安卓文件系统的分级管控方法和系统 | |
US10616228B2 (en) | Enhanced permissions for enabling re-purposing of resources while maintaining integrity | |
CN116702126A (zh) | 应用访问控制方法和装置、计算设备和可读存储介质 | |
US9009731B2 (en) | Conversion of lightweight object to a heavyweight object | |
CN102868690B (zh) | Web服务隔离检测的方法及系统 | |
US9754121B2 (en) | System and methods for live masking file system access control entries | |
CN107194238B (zh) | 一种管理访问权限的方法和装置及计算机可读存储介质 | |
CN111625192B (zh) | 一种元数据对象访问方法、装置、设备以及介质 | |
CN107944297B (zh) | 一种访问文件的控制方法及装置 | |
CN113836500B (zh) | 数据权限控制方法、系统、终端以及储存介质 | |
US7987470B1 (en) | Converting heavyweight objects to lightwight objects | |
CN116627326A (zh) | 一种基于分角色系统调用控制的数据动态存储方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210504 |