CN112765663A

CN112765663A - 文件访问控制方法、装置、设备、服务器及存储介质

Info

Publication number: CN112765663A
Application number: CN202110100336.5A
Authority: CN
Inventors: 林皓; 毕永东; 杨泳; 成旭飞; 党艳平
Original assignee: Beijing Beixinyuan Information Security Technology Co ltd
Current assignee: Beijing Beixinyuan Information Security Technology Co ltd
Priority date: 2021-01-25
Filing date: 2021-01-25
Publication date: 2021-05-07
Anticipated expiration: 2041-01-25
Also published as: CN112765663B

Abstract

本申请提供一种文件访问控制方法、装置、设备、服务器及存储介质，涉及信息安全技术领域。该方法包括：创建待访问的服务器端数据对应的本地虚拟磁盘；根据用户在本地虚拟磁盘对目标对象的目标操作，从服务器查询目标对象是否具有被执行目标操作的权限；若目标对象具有被执行目标操作的权限，则请求服务器对目标对象执行目标操作，并根据服务器返回的操作结果，输出操作结果。在本方案中，当用户在本地虚拟磁盘对文件执行操作时，可以从服务器查询该文件是否具有被执行操作的权限，若具有，则允许进程调用目标操作的请求对该文件执行目标操作，并根据服务器返回的操作结果输出操作结果，这样可以实现对单个文件进行访问权限的精细化控制。

Description

文件访问控制方法、装置、设备、服务器及存储介质

技术领域

本申请涉及数据安全技术领域，具体而言，涉及一种文件访问控制方法、装置、设备、服务器及存储介质。

背景技术

随着网络存储技术的发展，很多企业都有内部的存储服务器或云存储服务，方便地为企业用户进行大量的信息数据存储，其中，信息数据可以是企业合同信息、企业客户信息等敏感的数据。

目前，大多数企业使用文件传输协议(FileTransfer Protocol，简称FTP)、信息服务块(Server Messages Block，简称Samba)、分布式存储系统(ceph)等存储方式，以及结合对用户登录账号的权限管理，实现对企业的敏感数据的有效存储和管理，以避免企业信息数据的泄漏。

但是，现有的存储技术，只能对用户登录账号的权限进行控制，而无法精确对每个文件的权限进行控制。

发明内容

本发明的目的在于，针对上述现有技术中的不足，提供一种文件访问控制方法、装置、设备、服务器及存储介质，以便实现对每个文件的权限进行控制。

为实现上述目的，本申请实施例采用的技术方案如下：

第一方面，本申请实施例提供了一种文件访问控制方法，包括：

创建待访问的服务器端数据对应的本地虚拟磁盘；

根据用户在所述本地虚拟磁盘对目标对象的目标操作，从服务器查询所述目标对象是否具有被执行所述目标操作的权限，所述服务器中预先存储各操作对象的操作权限信息；

若所述目标对象具有被执行所述目标操作的权限，则请求服务器对所述目标对象执行所述目标操作，并根据所述服务器返回的操作结果，输出所述操作结果。

可选地，所述请求服务器对所述目标对象执行所述目标操作之前，包括：

若所述目标对象具有被执行所述目标操作的权限，则记录所述目标操作的操作信息，所述操作信息包括：操作类型、操作时间、操作对象以及进程标识。

可选地，所述方法还包括：

根据所记录的各所述目标操作的进程标识，确定是否存在第一预设时段内请求操作的次数大于或等于第一阈值的第一进程；

若存在第一预设时段内请求操作的次数大于或等于第一阈值的第一进程，则向所述服务器发送提示信息，并输出所述提示信息，所述提示信息包括：所述第一进程的标识、所述第一进程请求的操作。

可选地，所述请求服务器对所述目标对象执行所述目标操作，包括：

填充所述目标操作对应的服务器侧接口的输入参数并调用所述服务器侧接口，以使得所述服务器对所述目标对象执行所述目标操作。

可选地，所述输入参数包括：从所述服务器查询的所述目标对象是否具有被执行所述目标操作的权限的信息。

可选地，所述方法还包括：

根据用户在所述本地虚拟磁盘输入的查看对象指示，请求所述服务器读取并返回所述服务器的对象列表；

根据所述服务器返回的对象列表，输出所述对象列表。

第二方面，本申请实施例还提供了一种文件访问控制方法，包括：

根据终端设备的权限查询请求，查询目标对象是否具有被执行目标操作的权限，所述目标对象及所述目标操作由所述终端设备基于用户执行的操作得到，服务器中预先存储各操作对象的操作权限信息；

根据所述终端设备对所述目标对象执行所述目标操作的请求，对所述目标对象执行所述目标操作，得到操作结果，并向所述终端设备返回所述操作结果。

第三方面，本申请实施例还提供了一种文件访问控制装置，所述装置包括：创建模块、查询模块及处理模块；

所述创建模块，用于创建待访问的服务器端数据对应的本地虚拟磁盘；

所述查询模块，用于根据用户在所述本地虚拟磁盘对目标对象的目标操作，从服务器查询所述目标对象是否具有被执行所述目标操作的权限，所述服务器中预先存储各操作对象的操作权限信息；

所述处理模块，用于若所述目标对象具有被执行所述目标操作的权限，则请求服务器对所述目标对象执行所述目标操作，并根据所述服务器返回的操作结果，输出所述操作结果。

可选地，所述处理模块，还用于：

可选地，所述装置还包括：发送模块；

所述处理模块，还用于根据所记录的各所述目标操作的进程标识，确定是否存在第一预设时段内请求操作的次数大于或等于第一阈值的第一进程；

所述发送模块，用于若存在第一预设时段内请求操作的次数大于或等于第一阈值的第一进程，则向所述服务器发送提示信息，并输出所述提示信息，所述提示信息包括：所述第一进程的标识、所述第一进程请求的操作。

可选地，所述处理模块，还用于：

根据所述服务器返回的对象列表，输出所述对象列表。

第四方面，本申请实施例还提供了一种文件访问控制装置，所述装置包括：查询模块及处理模块；

所述查询模块，用于根据终端设备的权限查询请求，查询目标对象是否具有被执行目标操作的权限，所述目标对象及所述目标操作由所述终端设备基于用户执行的操作得到，服务器中预先存储各操作对象的操作权限信息；

所述处理模块，用于根据所述终端设备对所述目标对象执行所述目标操作的请求，对所述目标所述处理模块，用于对象执行所述目标操作，得到操作结果，并向所述终端设备返回所述操作结果。

第五方面，本申请实施例还提供了一种终端设备，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的机器可读指令，当终端设备运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述机器可读指令，以执行如第一方面提供的所述方法的步骤。

第六方面，本申请实施例还提供了一种服务器，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的机器可读指令，当服务器运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述机器可读指令，以执行如第二方面提供的所述方法的步骤。

第七方面，本申请实施例还提供了一种计算机可读存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行如第一方面或第二方面提供的所述方法的步骤。

本申请的有益效果是：

本申请实施例提供一种文件访问控制方法、装置、设备、服务器及存储介质，该方法包括：创建待访问的服务器端数据对应的本地虚拟磁盘；根据用户在本地虚拟磁盘对目标对象的目标操作，从服务器查询目标对象是否具有被执行目标操作的权限；若目标对象具有被执行目标操作的权限，则请求服务器对目标对象执行目标操作，并根据服务器返回的操作结果，输出操作结果。在本方案中，在服务器中预先存储对各文件的操作权限信息，当用户在本地虚拟磁盘对文件执行操作时，可以从服务器查询该文件是否具有被执行操作的权限，若具有被执行目标操作的权限，则允许进程调用目标操作的请求对该文件执行目标操作，并根据服务器返回的操作结果输出操作结果，这样可以实现对单个文件进行访问权限的精细化控制。

另外，还可以根据所记录的各目标操作的进程标识，判断是否存在第一预设时段内请求操作的次数大于或等于第一阈值的第一进程，若存在，则向服务器发送提示信息，并输出提示信息，以提示用户当前存在异常操作行为，这样可以提高对文件操作的安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种文件访问控制系统的架构示意图；

图2为本申请实施例提供的一种终端设备的结构示意图；

图3为本申请实施例提供的一种文件访问控制方法的流程示意图；

图4为本申请实施例提供的另一种文件访问控制方法的流程示意图；

图5为本申请实施例提供的又一种文件访问控制方法的流程示意图；

图6为本申请实施例提供的另一种文件访问控制方法的流程示意图；

图7为本申请实施例提供的一种文件访问控制装置的结构示意图；

图8为本申请实施例提供的另一种文件访问控制装置的结构示意图。

图标：100-文件访问控制系统；101-终端设备；102-服务器；103-网络。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，应当理解，本申请中附图仅起到说明和描述的目的，并不用于限定本申请的保护范围。另外，应当理解，示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请的一些实施例实现的操作。应该理解，流程图的操作可以不按顺序实现，没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外，本领域技术人员在本申请内容的指引下，可以向流程图添加一个或多个其他操作，也可以从流程图中移除一个或多个操作。

另外，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，本申请实施例中将会用到术语“包括”，用于指出其后所声明的特征的存在，但并不排除增加其它的特征。

图1为本申请实施例提供的一种文件访问控制系统的架构示意图；本申请以下各实施例中所描述的文件访问控制方法可应用于该文件访问控制系统100中。如图1所示，该文件访问控制系统100可包括：终端设备101、服务器102和网络103。

在一些实施例中，例如，终端设备101可以是通用计算机或特殊用途的计算机，两者都可以用于实现本申请的文件访问控制方法。图1中仅示出了一个终端设备101，但是为了方便起见，可以在多个类似平台上以分布式方式实现本申请描述的功能，以均衡处理负载。

在一些实施例中，服务器102可以是单个服务器，也可以是服务器组。服务器组可以是集中式的，也可以是分布式的。在本实施例中，服务器102相对于终端设备101是远程的。

例如，网络103可以用于信息和/或数据的交换。例如，网络103可以是任何类型的有线或者无线网络，或其任意组合。使得终端设备101可以经由网络103访问存储在服务器102中的信息和/或数据。

可以理解，图1所示的结构仅为示意，文件访问控制系统100还可包括比图1中所示更多或者更少的模块，或者具有与图1所示不同的配置。图1中所示的各模块可以采用硬件、软件或其组合实现。

图2为本申请实施例提供的一种终端设备的结构示意图；如图2所示，该终端设备101如可以是计算机等具有处理功能的电子设备，以用于实现本申请的文件访问控制方法。如图2所示，终端设备101包括：存储器201、处理器202和通信单元203。

存储器201、处理202器和通信单元203之间直接或间接地电性连接，以实现数据的传输或交互。例如，可通过一条或多条通信总线或信号线实现电性连接。

其中，存储器201可以是，但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-OnlyMemory，PROM)，可擦除只读存储器(Erasable Programmable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory，EEPROM)等。

其中，处理器202可以是一种集成电路芯片，具有信号的处理能力。上述的处理器202可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器201用于存储程序，处理器202调用存储器201存储的程序，以执行下面实施例提供的文件访问控制方法。

通信单元203用于通过网络103建立终端设备101和服务器102之间的通信连接，实现网络信号及数据信息的收发操作。

上述图1中的服务器102的结构和终端设备101的结构类似，也包括：存储器、处理器及通信单元，在此不再做详细讲解。

如下将通过具体的实施例对本申请的文件访问控制方法进行详细说明。

图3为本申请实施例提供的一种文件访问控制方法的流程示意图；如图3所示，该方法的执行主体可以是上述图1中文件访问控制系统100中的终端设备，该方法包括：

S301、创建待访问的服务器端数据对应的本地虚拟磁盘。

其中，可以通过创建的本地虚拟磁盘，为调用的目标进程提供访问远程服务器的入口。

上述服务器中可以包括：业务模块、存储模块；业务模块中预先存储有对待访问的多个文件的操作权限信息，如可以在业务模块中查询到文件A是否具有被删除的权限；存储模块存储有待访问的多个文件的信息。

例如，可以采用如下方式实现在终端设备上创建待访问的服务器端数据对应的本地虚拟磁盘：

步骤一、初始化本地虚拟磁盘的属性。其中，属性可以包括：盘符、磁盘序列号、磁盘文件系统名称等。

步骤二、通过调用Windows系统中的应用程序编程接口(ApplicationProgramming Interface，简称API)判断上述本地虚拟磁盘的属性参数中的盘符是否已被占用，若已被占用，则返回失败。

步骤三、调用cephfs API链接服务器中的存储模块，若失败直接返回。

步骤四、封装cephfs API并初始化dokany文件操作回调函数结构体，以注册文件操作回调。例如，在调用写文件(WriteFile)接口时，判断入参中文件描述符是否存在，待写入的数据长度是否大于0且小于128*1024*1024(最大写入长度)，写入偏移量是否大于1024*1024*1024*1024(最大文件大小)，当以上参数都合法时，调用ceph_write，并将返回值作为WriteFile接口的返回值返回，将以上步骤封装成函数CephWriteFile，并注册到Dokany文件系统的回调函数WriteFile中。

步骤五、调用DokanMain函数创建本地虚拟磁盘。

通过执行步骤一到步骤五，用户可以在终端设备中创建一个本地虚拟磁盘，以符合用户以往操作习惯，对于使用者无任何学习成本，就可以使用对远端服务器中文件进行操作，达到了文件数据不落地的效果，提高了用户对文件访问操作的便捷性和安全性。

S302、根据用户在本地虚拟磁盘对目标对象的目标操作，从服务器查询目标对象是否具有被执行目标操作的权限。

其中，服务器中预先存储各操作对象的操作权限信息，以及各操作对象的操作权限信息可灵活调整、修改，以适应不同的访问控制需求。

例如，用户需要在本地虚拟磁盘中对服务器中存储模块中文件A执行删除操作，其中，目标对象是文件A、目标操作是删除。

相应的，在终端设备中执行进程调用删除文件(DeleteFile)API时，此时需要从服务器查询文件A是否具有被执行删除操作的权限，即从服务器中的业务模块获取文件A的访问控制权限。

若查询到文件A具有被执行删除操作的权限，则允许进程调用删除文件(DeleteFile)API的请求；若查询到文件A不具有被执行删除操作的权限，则拒绝进程调用删除文件(DeleteFile)API的请求，这样可以实现对单个文件进行访问权限的精细化控制。

可选地，上述目标操作还可以是创建文件(CreateFile)、创建目录(CreateDirectory)、删除目录(DeleteDirectory)。

S303、若目标对象具有被执行目标操作的权限，则请求服务器对目标对象执行目标操作，并根据服务器返回的操作结果，输出操作结果。

例如，在上述实施例的基础上，若从服务器中的业务模块获取到文件A具有被执行删除操作的权限，则允许进程调用删除文件(DeleteFile)API的请求，即可以将文件A从服务器中的存储模块中删除，使得用户可以在终端设备中的本地虚拟磁盘上通过执行对文件A的删除操作时，将该删除操作映射至服务器中，并根据服务器返回的操作结果，输出对文件A的删除结果，实现了对远端服务器中每个文件访问权限的精确控制。

综上所述，本申请实施例提供一种文件访问控制方法，该方法包括：创建待访问的服务器端数据对应的本地虚拟磁盘；根据用户在本地虚拟磁盘对目标对象的目标操作，从服务器查询目标对象是否具有被执行目标操作的权限；若目标对象具有被执行目标操作的权限，则请求服务器对目标对象执行目标操作，并根据服务器返回的操作结果，输出操作结果。在本方案中，在服务器中预先存储对各文件的操作权限信息，当用户在本地虚拟磁盘对文件执行操作时，可以从服务器查询该文件是否具有被执行操作的权限，若具有被执行目标操作的权限，则允许进程调用目标操作的API请求对该文件执行目标操作，并根据服务器返回的操作结果输出操作结果，这样可以实现对单个文件进行访问权限的精细化控制。

可选地，在上述步骤S303中在“请求服务器对目标对象执行目标操作”之前，包括：

若目标对象具有被执行目标操作的权限，则记录目标操作的操作信息，操作信息包括：操作类型、操作时间、操作对象以及进程标识。其中，操作时间指的是时间戳，值为从1970-01-01T00:00:00到现在的秒数。

例如，若文件A具有被执行删除操作的权限，进程调用DeleteFile的API时，若当文件A存在，则记录本次删除操作的操作信息，其中，操作类型是删除、操作时间是1610417707、操作对象是文件A、进程标识Pid-100。

又比如，若文件夹B具有被执行删除操作的权限，进程调用DeleteDirectory的API时，若文件夹B存且无子文件(或子文件夹)，则记录本次删除操作的操作信息，其中，操作类型是删除、操作时间是1610417706、操作对象是文件文件夹B、进程标识Pid-100。

又比如，若文件C具有被执行创建操作的权限，进程调用CreateFile的API时，若文件C不存在且入参CreationDisposition值为CREATE_NEW或CREATE_ALWAYS或OPEN_ALWAYS时，记录本次创建操作的操作信息，其中，操作类型是创建、操作时间是1610417716、操作对象是文件文件夹C、进程标识Pid-101。

其中，CREATE_ALWAYS是创建一个新文件，如果该文件已经存在，将覆盖已存在的文件并清除已存在的文件属性。

OPEN_ALWAYS如果文件存在，打开文件，如果文件不存在，并且参数中有CREATE_NEW标志，则创建文件。

又比如，若文件夹D具有被执行创建操作的权限，进程调用CreateDirectory的API时，若文件夹D不存在，则记录本次创建操作的操作信息，其中，操作类型是创建、操作时间是1610417816、操作对象是文件夹D、进程标识Pid-101。

通过如下实施例进行具体介绍，如何根据上述记录的各操作的操作信息，对各操作进行分析，以及时发现是否当前存在危险操作行为，通过如下实施例进行具体介绍。

图4为本申请实施例提供的另一种文件访问控制方法的流程示意图；如图4所示，该方法还包括：

S401、根据所记录的各目标操作的进程标识，确定是否存在第一预设时段内请求操作的次数大于或等于第一阈值的第一进程。

其中，第一进程可以是调用DeleteFile(或DeleteDirectory)的API、或者进程调用CreateFile(CreateDirectory)的API。

可选地，根据实际需求，可以为第一预设时段设置不同的时间值，如第一预设时段可以是5秒。

例如，可以根据上述记录的删除操作中的进程标识Pid-100，确定是否存在“在5秒之内”发起删除操作请求的次数大于或等于第一阈值的200次的第一进程。

又比如，还可以根据上述记录的创建操作中的进程标识Pid-101，确定是否存在“在5秒之内”发起创建操作请求的次数大于或等于第一阈值的50次的第一进程。

S402、若存在第一预设时段内请求操作的次数大于或等于第一阈值的第一进程，则向服务器发送提示信息，并输出提示信息。

其中，提示信息包括：第一进程的标识、第一进程请求的操作。

例如，在上述实施例的基础上，若存在同一个进程标识Pid-100在5秒之内发起的请求操作和大于或等于超过200次，则可以确定当前存在持续执行异常删除文件(夹)的操作，则可以向服务器发送提示信息，并输出提示信息，如可以弹出提示警告窗口，提示用户当前存在异常操作行为。

又比如，若存在同一个进程标识Pid-101在5秒之内发起的请求操作和大于或等于50次，则可以确定当前存在持续的执行异常创建文件(夹)的操作，则可以向服务器发送提示信息，并输出提示信息，如可以弹出提示警告窗口，及时提示用户当前存在危险操作，这样可以提高对文件操作的安全性。

可选地，请求服务器对目标对象执行目标操作，包括：

填充目标操作对应的服务器侧接口的输入参数并调用服务器侧接口，以使得服务器对目标对象执行目标操作。

例如，进程调用获取文件信息(GetFileInformation)的API时，请求服务端获得被操作文件A权限信息后，填充入参的权限位，并调用ceph_stat取得基本属性填充入参其它属性后返回，使得服务器对文件A执行获取文件信息的操作。

可选地，输入参数包括：从服务器查询的目标对象是否具有被执行目标操作的权限的信息。

又比如，进程调用移动文件(MoveFile)的API时，若文件A移动的目的位置与源位置相同，则为重命名操作，否则为剪贴操作，并分别请求服务端查询文件A是否具有被执行“重命名操作”或者“剪贴操作”的权限，若具有，则允许继续执行对应的操作，否则返回拒绝访问(ERROR_ACCESS_DENIED)。

图5为本申请实施例提供的又一种文件访问控制方法的流程示意图；如图5所示，该方法还包括：

S501、根据用户在本地虚拟磁盘输入的查看对象指示，请求服务器读取并返回服务器的对象列表。

例如，用户可以在本地虚拟磁盘中输入查看可见文件(夹)列表的指示，通过进程调用查找文件(夹)FindFiles的API，请求服务器获得可见文件(夹)列表，并遍历所有的文件列表调用ceph_stat取得文件属性并填充入参，并返回可见文件(夹)列表列表。

S502、根据服务器返回的对象列表，输出对象列表。

例如，即可根据上述服务器返回的过滤后的可见文件(夹)列表，向终端设备输出可见文件(夹)列表的目录，实现了对可见文件(夹)列表的过滤，提高了用户查看文件(夹)列表的效率。

通过如下实施例对应用于服务器的文件访问控制方法是进行解释说明。

图6为本申请实施例提供的另一种文件访问控制方法的流程示意图；如图6所示，该方法的执行主体是上述图1中文件访问控制系统100中的服务器，该方法包括：

S601、根据终端设备的权限查询请求，查询目标对象是否具有被执行目标操作的权限。

其中，目标对象及目标操作由终端设备基于用户执行的操作得到，服务器中预先存储各操作对象的操作权限信息。

例如，若用户需要在终端设备上的本地虚拟磁盘中对服务器中存储模块中文件A执行删除操作时，需要对文件A的删除权限进行查询，用户可以在终端设备向服务器发送对文件A的删除权限查询请求，服务器根据接收到的对文件A的删除权限查询请求，查询文件A是否具有被执行删除操作的权限。

S602、根据终端设备对目标对象执行目标操作的请求，对目标对象执行目标操作，得到操作结果，并向终端设备返回所操作结果。

例如，在上述实施例的基础上，若查询到文件A具有被执行删除操作的权限，则允许进程调用删除文件(DeleteFile)API的请求；若查询到文件A不具有被执行删除操作的权限，则拒绝进程调用删除文件(DeleteFile)API的请求，这样可以实现对单个文件进行访问权限的精细化控制。

下述对用以执行本申请所提供的文件访问控制置及存储介质等进行说明，其具体的实现过程以及技术效果参见上述，下述不再赘述。

图7为本申请实施例提供的一种文件访问控制装置的结构示意图，如图7所示，该装置包括：创建模块701、查询模块702及处理模块703；

创建模块701，用于创建待访问的服务器端数据对应的本地虚拟磁盘；

查询模块702，用于根据用户在本地虚拟磁盘对目标对象的目标操作，从服务器查询目标对象是否具有被执行目标操作的权限，服务器中预先存储各操作对象的操作权限信息；

处理模块703，用于若目标对象具有被执行目标操作的权限，则请求服务器对目标对象执行目标操作，并根据服务器返回的操作结果，输出操作结果。

可选地，处理模块703，还用于：

若目标对象具有被执行目标操作的权限，则记录目标操作的操作信息，操作信息包括：操作类型、操作时间、操作对象以及进程标识。

可选地，装置还包括：发送模块；

处理模块703，还用于根据所记录的各目标操作的进程标识，确定是否存在第一预设时段内请求操作的次数大于或等于第一阈值的第一进程；

发送模块，用于若存在第一预设时段内请求操作的次数大于或等于第一阈值的第一进程，则向服务器发送提示信息，并输出提示信息，提示信息包括：第一进程的标识、第一进程请求的操作。

可选地，处理模块703，还用于：

根据用户在本地虚拟磁盘输入的查看对象指示，请求服务器读取并返回服务器的对象列表；

根据服务器返回的对象列表，输出对象列表。

图8为本申请实施例提供的另一种文件访问控制装置的结构示意图，如图8所示，该装置包括：查询模块801及处理模块802；

查询模块801，用于根据终端设备的权限查询请求，查询目标对象是否具有被执行目标操作的权限，目标对象及目标操作由终端设备基于用户执行的操作得到，服务器中预先存储各操作对象的操作权限信息；

处理模块802，用于根据终端设备对目标对象执行目标操作的请求，对目标处理模块，用于对象执行目标操作，得到操作结果，并向终端设备返回操作结果。

上述装置用于执行前述实施例提供的方法，其实现原理和技术效果类似，在此不再赘述。

以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit，简称ASIC)，或，一个或多个微处理器(digital singnal processor，简称DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，简称FPGA)等。再如，当以上某个模块通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(CentralProcessing Unit，简称CPU)或其它可以调用程序代码的处理器。再如，这些模块可以集成在一起，以片上系统(system-on-a-chip，简称SOC)的形式实现。

可选地，本发明还提供一种程序产品，例如计算机可读存储介质，包括程序，该程序在被处理器执行时用于执行上述方法实施例。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(英文：processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文：Read-Only Memory，简称：ROM)、随机存取存储器(英文：Random Access Memory，简称：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

Claims

1.一种文件访问控制方法，其特征在于，包括：

创建待访问的服务器端数据对应的本地虚拟磁盘；

2.根据权利要求1所述的方法，其特征在于，所述请求服务器对所述目标对象执行所述目标操作之前，包括：

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

4.根据权利要求1-3任一项所述的方法，其特征在于，所述请求服务器对所述目标对象执行所述目标操作，包括：

5.根据权利要求4所述的方法，其特征在于，所述输入参数包括：从所述服务器查询的所述目标对象是否具有被执行所述目标操作的权限的信息。

6.根据权利要求1-3任一项所述的方法，其特征在于，还包括：

根据所述服务器返回的对象列表，输出所述对象列表。

7.一种文件访问控制方法，其特征在于，包括：

8.一种文件访问控制装置，其特征在于，所述装置包括：创建模块、查询模块及处理模块；

9.一种文件访问控制装置，其特征在于，所述装置包括：查询模块及处理模块；

10.一种终端设备，其特征在于，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的机器可读指令，当终端设备运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述机器可读指令，以执行如权利要求1-6任一所述方法的步骤。

11.一种服务器，其特征在于，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的机器可读指令，当服务器运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述机器可读指令，以执行如权利要求7所述方法的步骤。

12.一种计算机可读存储介质，其特征在于，所述存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行如权利要求1-7任一所述方法的步骤。