CN113268450A - 文件访问方法及装置、电子设备、存储介质 - Google Patents
文件访问方法及装置、电子设备、存储介质 Download PDFInfo
- Publication number
- CN113268450A CN113268450A CN202110366477.1A CN202110366477A CN113268450A CN 113268450 A CN113268450 A CN 113268450A CN 202110366477 A CN202110366477 A CN 202110366477A CN 113268450 A CN113268450 A CN 113268450A
- Authority
- CN
- China
- Prior art keywords
- file
- access
- file system
- application
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/11—File system administration, e.g. details of archiving or snapshots
- G06F16/122—File system administration, e.g. details of archiving or snapshots using management policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/172—Caching, prefetching or hoarding of files
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Storage Device Security (AREA)
Abstract
本申请是关于一种文件访问方法及装置、电子设备、存储介质。所述方法包括:第一文件系统的访问接口接收应用针对文件的文件操作指令,通过内核将所述文件操作指令向所述第一文件系统的守护进程发送;所述第一文件系统的守护进程基于当前的文件访问策略,确定所述应用对待访问文件的权限,响应于所述待访问文件的权限,确定所述应用对所述待访问文件的访问方式,基于所述访问方式,通过所述内核及所述第一文件系统的访问接口向所述应用进行响应。本申请的文件访问策略可移植性好,访问策略灵活且具有较强的扩展性。
Description
技术领域
本申请实施例涉及系统文件访问技术,尤其涉及一种文件访问方法及装置、电子设备、存储介质。
背景技术
现有的安卓系统中,共享存储区域解决方案存在无法精细化控制的问题,具体地,应用对整个共享区域的访问,要么能访问所有文件,要么就是没有任何文件的访问权限。图1为基于Android系统的移动设备中数据存储的架构示意图,如图1所示,Android系统支持各种应用如WPS、即时通信(Instant Messaging,IM)及Email等,对应地,存储区域大体分成私有存储区域和共享存储区域,其中,私有存储区域主要就是应用沙盒,即Android系统支持各种应用均拥有其独享的存储空间,其它应用无权访问;共享存储区域就是共有的存储区域,存放在其中的文件数据对所有应用可见。
图1所示的架构对文件的访问控制管理,主要是基于文件对象的标识如WPS、IM及Email等,标识的具体实现可以是文件的属主,或者是某种不可随意篡改的文件扩展属性,不同区域产生的文件对象标识不同,在私有沙盒区域产生的文件标识就是产生文件的应用的标识;当其他应用访问时,因为文件标识和访问者标识不兼容而不能对其进行访问。而在共享区域产生的文件则无论产生者身份如何,产生的文件标识统一为共享标识,而非应用标识。
图1所示的架构,在对文件进行管理时,明显的缺点为,缺少对共享存储区域的精细化控制。一旦某应用被允许访问共享区域,则所有的共享区域的文件都将被允许访问,若要禁止共享区域的访问,则应用又将失去数据共享的功能。
目前,针对文件的访问控制主要包括自主访问控制和强制访问控制这两种方式,自主访问控制的基本思路为,应用程序只能访问文件属主和应用自身身份相同的文件或者文件属组中包含了应用的组身份;而强制访问控制的基本思路为,为每个文件打上不可随意更改的标签,也为每个应用打上不可随意更改的标签,应用可以访问哪些文件是由访问策略库决定的。
以上文件访问控制的技术存在以下问题:
可移植性差:文件控制策略根据系统特点在本地定制,比如,策略中设置过的标签才能起作用,文件和应用是什么标签是提前写好的,如果某新系统中存在策略以外的应用,则权限控制系统不能工作。访问策略动态更新不方便:很多策略是开机时才能加载的,一旦更新策略就需要停止当前策略,重新加载策略。缺乏用户参与:以上的文件访问策略都是直接根据预置策略允许或拒绝某次应用对文件的访问,用户不能参与。
发明内容
有鉴于此,本申请实施例提供一种文件访问方法及装置、电子设备、存储介质。
根据本申请实施例的第一方面,提供一种文件访问方法,包括:
第一文件系统的访问接口接收应用针对文件的文件操作指令,通过内核将所述文件操作指令向所述第一文件系统的守护进程发送;
所述第一文件系统的守护进程基于当前的文件访问策略,确定所述应用对待访问文件的权限,响应于所述待访问文件的权限,确定所述应用对所述待访问文件的访问方式,基于所述访问方式,通过所述内核及所述第一文件系统的访问接口向所述应用进行响应。
在一个实施例中,所述基于所述访问方式,通过所述内核及所述第一文件系统的访问接口向所述应用进行响应,包括:
在所述访问方式为拒绝访问时,通过所述内核及所述接口单元向所述应用发送访问失败的响应消息,或向所述应用发送重新认证的响应消息;
所述访问方式为允许访问时,所述第一文件系统的守护进程响应于所述文件操作指令,通过系统接口向第二文件系统发送所述文件操作指令,使所述第二文件系统调用相应文件,并按照所述文件操作指令对所述待访问文件进行相应的操作,将操作结果存储于第二文件系统中的相应文件目录下;其中,针对所述待访问文件的操作过程及操作结果通过所述内核及所述第一文件系统的访问接口向所述应用透传。
在一个实施例中,所述方法还包括:
所述第一文件系统的守护进程中存储有针对所述第二文件系统中的相应文件的文件访问策略;
所述第一文件系统的守护进程接收到针对所述文件访问策略的更新请求,响应于所述更新请求对所述文件访问策略进行更新。
在一个实施例中,所述方法还包括:
所述第二文件系统中设定存储区域中存储的文件的目录及文件属性信息,通过系统接口向所述第一文件系统的守护进程透传;
所述第一文件系统的守护进程基于所述文件访问策略,应用的访问权限,以及所述设定存储区域中存储的文件的访问等级的至少之一,通过第一文件系统的访问接口展示至少部分文件的文件目录及文件属性信息。
在一个实施例中,所述方法还包括:
所述第一文件系统安装或挂载于所述第二文件系统的所述设定存储区域中;
所述第二文件系统中的应用的至少部分共享文件,存储于所述设定存储区域中,并与所述设定存储区域中的文件目录关联;其中,所述至少部分共享文件的属性信息中保留有文件的创建者标识信息。
在一个实施例中,所述文件操作指令包括文件打开、关闭、读、写及查看属性的指令中的至少之一。
根据本申请实施例的第二方面,提供一种文件访问装置,应用于第一文件系统中,所述装置包括:
接口单元,用于接收应用针对文件的文件操作指令,通过内核将所述文件操作指令向所述第一文件系统的守护进程发送;
守护进程单元,用于基于当前的文件访问策略,确定所述应用对待访问文件的权限,响应于所述待访问文件的权限,确定所述应用对所述待访问文件的访问方式,基于所述访问方式,通过所述内核及所述接口单元向所述应用进行响应。
在一个实施例中,所述守护进程单元,还用于:
在所述访问方式为拒绝访问时,通过所述内核及所述接口单元向所述应用发送访问失败的响应消息,或向所述应用发送重新认证的响应消息;
在所述访问方式为允许访问时,所述第一文件系统的守护进程响应于所述文件操作指令,通过系统接口向第二文件系统发送所述文件操作指令,使所述第二文件系统调用相应文件,并按照所述文件操作指令对所述待访问文件进行相应的操作,将操作结果存储于第二文件系统中的相应文件目录下;其中,针对所述待访问文件的操作过程及操作结果通过所述内核及所述第一文件系统的访问接口向所述应用透传。
在一个实施例中,所述守护进程单元还存储有针对所述第二文件系统中的相应文件的文件访问策略;
所述守护进程单元还用于:接收到针对所述文件访问策略的更新请求,响应于所述更新请求对所述文件访问策略进行更新。
在一个实施例中,所述第二文件系统中设定存储区域中存储的文件的目录及文件属性信息,通过系统接口向所述守护进程单元透传;
所述守护进程单元还用于,基于所述文件访问策略,应用的访问权限,以及所述设定存储区域中存储的文件的访问等级的至少之一,通过所述接口单元展示至少部分文件的文件目录及文件属性信息。
在一个实施例中,所述第一文件系统安装或挂载于所述第二文件系统的所述设定存储区域中;
所述第二文件系统中的应用的至少部分共享文件,存储于所述设定存储区域中,并与所述设定存储区域中的文件目录关联;其中,所述至少部分共享文件的属性信息中保留有文件的创建者标识信息。
在一个实施例中,所述文件操作指令包括文件打开、关闭、读、写及查看属性的指令中的至少之一。
根据本申请实施例的第三方面,提供一种电子设备,包括处理器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序,所述处理器运行所述可执行程序时执行所述的文件访问方法的步骤。
根据本申请实施例的第四方面,提供一种存储介质,其上存储由可执行程序,所述可执行程序被处理器执行时实现所述的文件访问方法的步骤。
本申请实施例中,当第一文件系统接收到针对文件的访问请求后,将其转换为文件操作指令,并不立即执行该文件操作指令,而是将该文件操作指令发送给所述第一文件系统的守护进程。第一文件系统的守护进程基于当前的文件访问策略,指示第二文件系统调用待访问文件,并基于文件操作指令对待访问文件进行相应的操作,并将操作过程及操作结果向应用进行透传。本申请实施例实现了利用第一文件系统对第二文件系统的共享区域的文件的精细化管控,提供了对共享区域中各应用的共享文件的策略化访问,且文件访问策略非常灵活,可根据用户的文件管理需求进行设置和更新。本申请实施例的文件访问方法可移植性好,具有较强的扩展性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍。显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为基于Android系统的移动设备中数据存储的架构示意图;
图2为本申请实施例的文件访问方法的流程示意图;
图3为本申请实施例的文件访问系统的实现架构示意图
图4为本申请实施例的用户态文件系统框架示意图;
图5为本申请实施例的文件访问装置的组成结构示意图;
图6为本申请实施例的电子设备的结构图。
具体实施方式
以下结合附图,详细阐明本申请实施例技术方案的实质。
图2为本申请实施例的文件访问方法的流程示意图,如图2所示,本申请实施例的文件访问方法包括以下处理步骤:
步骤201,第一文件系统的访问接口接收应用针对文件的文件操作指令,通过内核将所述文件操作指令向所述第一文件系统的守护进程发送。
本申请实施例中,应用是安装于第二文件系统中的各种应用系统,如WPS、IM及Email等。所述文件操作指令包括文件打开、关闭、读、写及查看属性的指令中的至少之一。
本申请实施例中,所述第一文件系统安装或挂载于所述第二文件系统的所述设定存储区域中;所述第二文件系统中的应用的至少部分共享文件,存储于所述设定存储区域中,并与所述设定存储区域中的文件目录关联;其中,所述至少部分共享文件的属性信息中保留有文件的创建者标识信息。也就是说,第一文件系统是安装于第二文件系统中、用于对第二文件系统中的共享文件进行权限管理的系统,其可以安装/挂载在第二文件系统中,通过第一文件系统向用户提供共享文件的目录。第一文件系统安装/挂载完成后,对共享文件目录的访问,就是对第一文件系统的访问,而非第二文件系统原文件目录的访问,第二文件系统覆盖在第二文件系统原文件目录。这里,第二文件系统可以是操作系统,如Android系统、Window系统或苹果操作系统等。第一文件系统专门设置于第二文件系统中,针对第二文件系统中的各类应用的共享文件进行权限管理,使各类应用的共享文件管理更精细,并可基于用户设置的文件访问策略对第二文件系统中的共享存储区内的各类应用的共享文件进行相应管理。
当应用发起对文件的访问请求时,直接向第一文件系统发送相应的文件操作指令,即虽然文件是对各应用可视的,但文件操作指令是直接发送给了第一文件系统,由第一文件系统基于文件访问策略对操作指令进行解析,确定应用针对待访问文件的权限,基于权限对待访问文件进行相应的操作。若应用不具有访问待访问文件的权限,则向应用发送拒绝消息或提示应用进行相应的身份认证。
步骤202,所述第一文件系统的守护进程基于当前的文件访问策略,确定所述应用对待访问文件的权限,响应于所述待访问文件的权限,确定所述应用对所述待访问文件的访问方式,基于所述访问方式,通过所述内核及所述第一文件系统的访问接口向所述应用进行响应。
本申请实施例中,基于所述访问方式,通过所述内核及所述第一文件系统的访问接口向所述应用进行响应,包括:
所述访问方式为拒绝访问时,通过所述内核及所述第一文件系统的访问接口向所述应用发送访问失败的响应消息,或向所述应用发送重新认证的响应消息。
当应用发起对文件的访问请求时,直接向第一文件系统发送相应的文件操作指令,第一文件系统确定应用不具有访问文件的权限时,向所述应用发送访问失败或重新认证的提示信息,相关应用可以重新进行身份认证,如通过密码、用户生物特征如指纹、掌纹或眼睛虹膜等进行再次身份认证,认证通过后才能对待访问文件进行相应操作。
所述访问方式为允许访问时,所述第一文件系统的守护进程响应于所述文件操作指令,通过系统接口向第二文件系统发送所述文件操作指令,使所述第二文件系统调用相应文件,并按照所述文件操作指令对所述待访问文件进行相应的操作,将操作结果存储于第二文件系统中的相应文件目录下;其中,针对所述待访问文件的操作过程及操作结果,通过所述内核及所述第一文件系统的访问接口向所述应用透传。
本申请实施例中,所述第一文件系统的守护进程中存储有针对所述第二文件系统中的相应文件的文件访问策略;所述第一文件系统的守护进程接收到针对所述文件访问策略的更新请求,响应于所述更新请求对所述文件访问策略进行更新。也就是说,第一文件系统中的文件访问策略可根据用户需要而进行更改或设置,当用户对文件访问策略进行相应更新后,将其同步给第一文件系统,或直接对第一文件系统的文件访问策略进行更新并保存。
本申请实施例中,当第一文件系统的守护进程确定应用具有访问文件的权限时,通过系统接口向第二文件系统发送所述文件操作指令,使所述第二文件系统针对相应的文件进行打开或关闭,或读取相应文件,或在相应的文件目录中写入文件,或对目录下的文件进行更新替换等,或查看相关文件的属性信息等。本申请实施例中,第二文件系统对文件的所有操作,均通过系统接口向第一文件系统进行透传,相关应用可以基于第一文件系统获知第二文件系统针对文件的相关的操作过程。
本申请实施例中,所述第二文件系统中设定存储区域中存储的文件的目录及文件属性信息,通过系统接口向所述第一文件系统的守护进程透传;所述第一文件系统的守护进程基于所述文件访问策略,应用的访问权限,以及所述设定存储区域中存储的文件的访问等级的至少之一,通过第一文件系统的访问接口展示至少部分文件的文件目录及文件属性信息。第一文件系统可以调用第二文件系统的相关文件目录及文件的属性信息,通过系统接口向相关的应用进行展示。在向应用展示文件目录或属性信息时,需要基于文件访问策略确定应用的访问权限,仅将与应用权限匹配的文件目录向相关应用展示。
以下通过具体示例,进一步阐明本申请实施例的技术方案的实质。
图3为本申请实施例的文件访问系统的实现架构示意图,如图3所示,本申请实施例实现了一个用户态的文件系统,安装在现有操作系统的共享区域(目录)上,实现更为精细化的文件访问控制。作为一种示例,用户态文件系统可以是Linux平台上已有的框架,本申请实施例是在Linux框架基础上实现一个对共享文件进行权限管理的用户态文件系统实例。系统应用是第二文件系统中已安装的应用,包括WPS、IM及Email等各种应用,这些应用的安装文件存储于应用沙盒存储区域,而共享文件存储于共享存储区域。用户态文件系统覆盖于共享存储区域之上,相当于系统应用与共享存储区域之间的接口或通信隧道,共享存储区域内存储的文件的目录及属性信息等对用户态文件系统透传。本申请实施例的用户态文件系统中还设置有文件的访问策略,并基于访问策略向系统应用展示相应的文件目录等。用户态文件系统展示的文件保留有文件的创建者标识信息。
本申请实施例的用户态文件系统具备以下特征或特点:
用户态文件系统能实现对共享存储区中的文件精细化控制,共享文件资源可根据访问策略控制文件的访问权限。
用户态文件系统的资源占用低,仅是一层“薄”文件系统,只负责文件对象的访问控制,真正的存储工作依然依赖下层文件系统即第二文件系统,下层文件系统可以是Android系统、Window系统或苹果操作系统等等。
对于共享存储区中的共享文件而言,可以保留文件的创建者标识。如图3所示,系统应用可以基于用户态文件系统访问共享存储区域中的相关文件。共享存储区域中的相关文件依然保留文件的创建者应用的身份标识,如图中的文件1、文件2及文件3分别标识为文件系统内部使用。
引入文件的访问策略。用户态文件系统能够截获所有的文件“打开”动作,并暂时挂起和阻塞文件打开者应用,快速以访问者身份标识和访问文件对象标识为参数查询访问策略,得到文件的相应访问策略后,再决定本次文件的“打开”动作成功还是失败。访问策略形式比较灵活,访问策略不仅局限于数据库服务形式,可以引入用户动态授权如密码、用户生物特征或硬件凭证等,也可以采用云授权等方式进行文件权限的管理。
图4为本申请实施例的用户态文件系统框架示意图,如图4所示,本申请实施例的用户态文件系统框架及其工作原理如下:
用户态文件系统安装/挂载在原文件系统目录上,安装/挂载完成之后,对原文件系统的文件目录的访问,转换为对本申请实施例的用户态文件系统的访问,而非是对原文件系统的文件目录的访问,用户态文件系统覆盖在原文件系统的文件目录上。
对用户态文件系统的任何访问,都会翻译成标准的文件操作动作指令并发送到内核,如打开,关闭,读,写,查看文件属性等。
内核并不会处理文件操作指令,而是把文件操作指令发送给用户态文件系统守护进程,由用户态文件系统守护进程最终响应相应的文件操作指令,例如,为文件操作指令为读指令时,用户态文件系统守护进程通过原文件系统调用共享存储区的相关文件,准备相关的文件数据,为目录浏览准备文件列表等,总之,其他应用程序从用户态文件系统看到的任何内容都来自于用户态文件系统守护进程。用户态文件系统守护进程和用户态文件系统一一对应。用户态文件系统守护进程与内核通讯的接口可以是/dev/fuse设备节点。
用户态文件系统守护进程可以以用户态文件系统的安装目录的原始内容(未安装前的内容)为新的用户态文件系统提供数据服务。这样,新的用户态文件系统看到的内容依然是原文件系统的相关文件目录内容,只不过是经过用户态文件系统守护进程转换过的,用户态文件系统守护进程可以选择性地对原文件系统中的原始文件进行管控,如隐藏,加密,访问授权介入等。用户可以根据对文件的管理需要,修改或更新相应的文件访问策略即可。
如图4所示,本申请实施例的用户态文件系统守护进程的工作步骤如下:
利用用户态文件系统基础框架安装用户态文件系统实例,用户态文件系统实例的挂载点就是要精细控制的共享存储区域的文件目录。
透传各应用对用户态文件系统实例的所有文件操作,如,应用对用户态文件系统实例中的文件写操作,用户态文件系统守护进程就把应用要写的内容写到原文件系统的原始目录对应的文件中,应用要读文件,用户态文件系统守护进程就读出原文件系统的原始目录中对应的文件内容并发送给应用。
用户态文件系统透传所有的文件操作。用户态文件系统在“打开”文件操作指令前,增加对该应用对文件的访问权限的校验,即需要进行身份验证。校验成功,应用对文件的打开动作继续正常完成,校验失败,应用对文件的打开动作在用户态文件系统守护进程内被终止,应用得到用户态文件系统守护进程发送的无权打开的错误提示。
本申请实施例中,由于用户态文件系统守护进程是基于文件访问策略进行的文件权限管理,因此针对文件访问的权限校验形式比较灵活,可以通过查询数据库的方式进行身份校验,也可以利用用户对话框的方式向应用进行身份验证的提示,也可以基于用户的生物特征进行身份识别,也可以利用网络通信技术进行云端的身份校验等等。
本申请实施例实现了在第二文件系统上对共享区域的文件的精细化管控,提供了对共享区域中各应用的共享文件的策略化访问,且文件访问策略非常灵活,可根据用户的文件管理需求进行设置和更新。本申请实施例的文件访问方法可移植性好,具有较强的扩展性。
图5为本申请实施例的文件访问装置的组成结构示意图,如图5所示,本申请实施例的文件访问装置包括:
接口单元50,用于接收应用针对文件的文件操作指令,通过内核将所述文件操作指令向所述第一文件系统的守护进程发送;
守护进程单元51,用于基于当前的文件访问策略,确定所述应用对待访问文件的权限,响应于所述待访问文件的权限,确定所述应用对所述待访问文件的访问方式,基于所述访问方式,通过所述内核及所述接口单元向所述应用进行响应。
在一个实施例中,所述守护进程单元51,还用于:
在所述访问方式为拒绝访问时,通过所述内核及所述接口单元向所述应用发送访问失败的响应消息,或向所述应用发送重新认证的响应消息;
在所述访问方式为允许访问时,所述第一文件系统的守护进程响应于所述文件操作指令,通过系统接口向第二文件系统发送所述文件操作指令,使所述第二文件系统调用相应文件,并按照所述文件操作指令对所述待访问文件进行相应的操作,将操作结果存储于第二文件系统中的相应文件目录下;其中,针对所述待访问文件的操作过程及操作结果通过所述内核及所述第一文件系统的访问接口向所述应用透传。
在一个实施例中,所述守护进程单元51还存储有针对所述第二文件系统中的相应文件的文件访问策略;
所述守护进程单元51还用于:接收到针对所述文件访问策略的更新请求,响应于所述更新请求对所述文件访问策略进行更新。
在一个实施例中,所述第二文件系统中设定存储区域中存储的文件的目录及文件属性信息,通过系统接口向所述守护进程单元透传;
所述守护进程单元51还用于,基于所述文件访问策略,应用的访问权限,以及所述设定存储区域中存储的文件的访问等级的至少之一,通过所述接口单元展示至少部分文件的文件目录及文件属性信息。
在一个实施例中,所述第一文件系统安装或挂载于所述第二文件系统的所述设定存储区域中;
所述第二文件系统中的应用的至少部分共享文件,存储于所述设定存储区域中,并与所述设定存储区域中的文件目录关联;其中,所述至少部分共享文件的属性信息中保留有文件的创建者标识信息。
在一个实施例中,所述文件操作指令包括文件打开、关闭、读、写及查看属性的指令中的至少之一。
在示例性实施例中,接口单元50、守护进程单元51等可以被一个或多个中央处理器(CPU,Central Processing Unit)、图形处理器(GPU,Graphics Processing Unit)、基带处理器(BP,Base Processor)、应用专用集成电路(ASIC,Application SpecificIntegrated Circuit)、数字信号处理器(Digital Signal Processor,DSP)、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,ComplexProgrammable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable GateArray)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述实施例的文件访问方法的步骤。
在本公开实施例中,图5示出的文件访问装置中各个单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
下面,参考图6来描述根据本申请实施例的电子设备11。
如图6所示,电子设备11包括一个或多个处理器111和存储器112。
处理器111可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备11中的其他组件以执行期望的功能。
存储器112可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器111可以运行所述程序指令,以实现上文所述的本申请的各个实施例的验证方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如输入信号、信号分量、噪声分量等各种内容。
在一个示例中,电子设备11还可以包括:输入装置113和输出装置114,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
该输入设备113可以包括例如键盘、鼠标等等。
该输出装置114可以向外部输出各种信息,包括确定出的距离信息、方向信息等。该输出设备114可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图6中仅示出了该电子设备11中与本申请有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备11还可以包括任何其他适当的组件。
本申请实施例还记载了一种存储介质,其上存储由可执行程序,所述可执行程序被处理器执行前述实施例的文件访问方法的步骤。
除了上述方法和设备以外,本申请的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种实施例的方法中的步骤。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本申请实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本申请的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种实施例的方法中的步骤。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
以上结合具体实施例描述了本申请的基本原理,但是,需要指出的是,在本申请中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本申请的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本申请为必须采用上述具体的细节来实现。
本申请中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“如但不限于”,且可与其互换使用。
还需要指出的是,在本申请的装置、设备和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本申请的等效方案。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本申请。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本申请的范围。因此,本申请不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本申请的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
Claims (14)
1.一种文件访问方法,其特征在于,所述方法包括:
第一文件系统的访问接口接收应用针对文件的文件操作指令,通过内核将所述文件操作指令向所述第一文件系统的守护进程发送;
所述第一文件系统的守护进程基于当前的文件访问策略,确定所述应用对待访问文件的权限,响应于所述待访问文件的权限,确定所述应用对所述待访问文件的访问方式,基于所述访问方式,通过所述内核及所述第一文件系统的访问接口向所述应用进行响应。
2.根据权利要求1所述的方法,其特征在于,所述基于所述访问方式,通过所述内核及所述第一文件系统的访问接口向所述应用进行响应,包括:
所述访问方式为拒绝访问时,通过所述内核及所述第一文件系统的访问接口向所述应用发送访问失败的响应消息,或向所述应用发送重新认证的响应消息;
所述访问方式为允许访问时,所述第一文件系统的守护进程响应于所述文件操作指令,通过系统接口向第二文件系统发送所述文件操作指令,使所述第二文件系统调用相应文件,并按照所述文件操作指令对所述待访问文件进行相应的操作,将操作结果存储于第二文件系统中的相应文件目录下;其中,针对所述待访问文件的操作过程及操作结果通过所述内核及所述第一文件系统的访问接口向所述应用透传。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述第一文件系统的守护进程中存储有针对所述第二文件系统中的相应文件的文件访问策略;
所述第一文件系统的守护进程接收到针对所述文件访问策略的更新请求,响应于所述更新请求对所述文件访问策略进行更新。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述第二文件系统中设定存储区域中存储的文件的目录及文件属性信息,通过系统接口向所述第一文件系统的守护进程透传;
所述第一文件系统的守护进程基于所述文件访问策略,应用的访问权限,以及所述设定存储区域中存储的文件的访问等级的至少之一,通过第一文件系统的访问接口展示至少部分文件的文件目录及文件属性信息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一文件系统安装或挂载于所述第二文件系统的所述设定存储区域中;
所述第二文件系统中的应用的至少部分共享文件,存储于所述设定存储区域中,并与所述设定存储区域中的文件目录关联;其中,所述至少部分共享文件的属性信息中保留有文件的创建者标识信息。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述文件操作指令包括文件打开、关闭、读、写及查看属性的指令中的至少之一。
7.一种文件访问装置,应用于第一文件系统中,其特征在于,所述装置包括:
接口单元,用于接收应用针对文件的文件操作指令,通过内核将所述文件操作指令向所述第一文件系统的守护进程发送;
守护进程单元,用于基于当前的文件访问策略,确定所述应用对待访问文件的权限,响应于所述待访问文件的权限,确定所述应用对所述待访问文件的访问方式,基于所述访问方式,通过所述内核及所述接口单元向所述应用进行响应。
8.根据权利要求7所述的装置,其特征在于,所述守护进程单元,还用于:
在所述访问方式为拒绝访问时,通过所述内核及所述接口单元向所述应用发送访问失败的响应消息,或向所述应用发送重新认证的响应消息;
所述访问方式为允许访问时,所述第一文件系统的守护进程响应于所述文件操作指令,通过系统接口向第二文件系统发送所述文件操作指令,使所述第二文件系统调用相应文件,并按照所述文件操作指令对所述待访问文件进行相应的操作,将操作结果存储于第二文件系统中的相应文件目录下;其中,针对所述待访问文件的操作过程及操作结果通过所述内核及所述第一文件系统的访问接口向所述应用透传。
9.根据权利要求8所述的装置,其特征在于,所述守护进程单元还存储有针对所述第二文件系统中的相应文件的文件访问策略;
所述守护进程单元还用于:接收到针对所述文件访问策略的更新请求,响应于所述更新请求对所述文件访问策略进行更新。
10.根据权利要求9所述的装置,其特征在于,所述第二文件系统中设定存储区域中存储的文件的目录及文件属性信息,通过系统接口向所述守护进程单元透传;
所述守护进程单元还用于,基于所述文件访问策略,应用的访问权限,以及所述设定存储区域中存储的文件的访问等级的至少之一,通过所述接口单元展示至少部分文件的文件目录及文件属性信息。
11.根据权利要求7所述的装置,其特征在于,所述第一文件系统安装或挂载于所述第二文件系统的所述设定存储区域中;
所述第二文件系统中的应用的至少部分共享文件,存储于所述设定存储区域中,并与所述设定存储区域中的文件目录关联;其中,所述至少部分共享文件的属性信息中保留有文件的创建者标识信息。
12.根据权利要求7至11任一项所述的装置,其特征在于,所述文件操作指令包括文件打开、关闭、读、写及查看属性的指令中的至少之一。
13.一种电子设备,包括处理器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序,所述处理器运行所述可执行程序时执行如权利要求1至6任一项所述的文件访问方法的步骤。
14.一种存储介质,其上存储由可执行程序,所述可执行程序被处理器执行时实现如求1至6任一项所述的文件访问方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110366477.1A CN113268450A (zh) | 2021-04-06 | 2021-04-06 | 文件访问方法及装置、电子设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110366477.1A CN113268450A (zh) | 2021-04-06 | 2021-04-06 | 文件访问方法及装置、电子设备、存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113268450A true CN113268450A (zh) | 2021-08-17 |
Family
ID=77227911
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110366477.1A Pending CN113268450A (zh) | 2021-04-06 | 2021-04-06 | 文件访问方法及装置、电子设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113268450A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113591139A (zh) * | 2021-10-08 | 2021-11-02 | 北京海誉动想科技股份有限公司 | 文件访问控制方法与装置 |
| CN114035976A (zh) * | 2021-10-20 | 2022-02-11 | 北京鲸鲮信息系统技术有限公司 | 一种粘贴板共享方法、装置、设备、介质和产品 |
| CN114048181A (zh) * | 2021-10-20 | 2022-02-15 | 北京鲸鲮信息系统技术有限公司 | 系统和容器共享文件的方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561034A (zh) * | 2013-11-11 | 2014-02-05 | 武汉理工大学 | 一种安全文件共享系统 |
| CN104866778A (zh) * | 2015-01-30 | 2015-08-26 | 武汉华工安鼎信息技术有限责任公司 | 一种基于Linux内核的文档安全访问控制方法和装置 |
| CN105812321A (zh) * | 2014-12-30 | 2016-07-27 | 沈阳高精数控智能技术股份有限公司 | 一种基于用户信息管理文件资源的网络文件系统和处理方法 |
| US20160342804A1 (en) * | 2015-05-21 | 2016-11-24 | Qualcomm Innovation Center, Inc. | Stackable file system with user space policy management |
| CN108768948A (zh) * | 2018-04-28 | 2018-11-06 | 努比亚技术有限公司 | 一种访问权限管理方法、服务器及计算机可读存储介质 |
| CN110569650A (zh) * | 2019-08-26 | 2019-12-13 | 北京明朝万达科技股份有限公司 | 基于国产操作系统的可移动存储设备权限管理方法及系统 |
| CN112163236A (zh) * | 2020-10-14 | 2021-01-01 | 上海妙一生物科技有限公司 | 文件访问方法、装置、系统和计算机可读存储介质 |
-
2021
- 2021-04-06 CN CN202110366477.1A patent/CN113268450A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561034A (zh) * | 2013-11-11 | 2014-02-05 | 武汉理工大学 | 一种安全文件共享系统 |
| CN105812321A (zh) * | 2014-12-30 | 2016-07-27 | 沈阳高精数控智能技术股份有限公司 | 一种基于用户信息管理文件资源的网络文件系统和处理方法 |
| CN104866778A (zh) * | 2015-01-30 | 2015-08-26 | 武汉华工安鼎信息技术有限责任公司 | 一种基于Linux内核的文档安全访问控制方法和装置 |
| US20160342804A1 (en) * | 2015-05-21 | 2016-11-24 | Qualcomm Innovation Center, Inc. | Stackable file system with user space policy management |
| CN108768948A (zh) * | 2018-04-28 | 2018-11-06 | 努比亚技术有限公司 | 一种访问权限管理方法、服务器及计算机可读存储介质 |
| CN110569650A (zh) * | 2019-08-26 | 2019-12-13 | 北京明朝万达科技股份有限公司 | 基于国产操作系统的可移动存储设备权限管理方法及系统 |
| CN112163236A (zh) * | 2020-10-14 | 2021-01-01 | 上海妙一生物科技有限公司 | 文件访问方法、装置、系统和计算机可读存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113591139A (zh) * | 2021-10-08 | 2021-11-02 | 北京海誉动想科技股份有限公司 | 文件访问控制方法与装置 |
| CN114035976A (zh) * | 2021-10-20 | 2022-02-11 | 北京鲸鲮信息系统技术有限公司 | 一种粘贴板共享方法、装置、设备、介质和产品 |
| CN114048181A (zh) * | 2021-10-20 | 2022-02-15 | 北京鲸鲮信息系统技术有限公司 | 系统和容器共享文件的方法及装置 |
| CN114048181B (zh) * | 2021-10-20 | 2024-04-02 | 北京字节跳动网络技术有限公司 | 系统和容器共享文件的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10735472B2 (en) | Container authorization policies for network trust | |
| US8561152B2 (en) | Target-based access check independent of access request | |
| US10848520B2 (en) | Managing access to resources | |
| CN113268450A (zh) | 文件访问方法及装置、电子设备、存储介质 | |
| JP5592969B2 (ja) | セキュアなブラウザベースのアプリケーション | |
| US8505084B2 (en) | Data access programming model for occasionally connected applications | |
| US8413259B2 (en) | Methods and systems for secure gated file deployment associated with provisioning | |
| CN110083465B (zh) | 一种寄宿应用间的数据传递方法 | |
| US20160359861A1 (en) | Accessing an application through application clients and web browsers | |
| US5664098A (en) | Dual decor capability for a host system which runs emulated application programs to enable direct access to host facilities for executing emulated system operations | |
| KR101308859B1 (ko) | 임시 관리자 권한 부여 기능을 가진 단말기 및 이를 이용한 임시 관리자 권한 부여 방법 | |
| US20070006325A1 (en) | Method, system and computer program for controlling access to resources in web applications | |
| CN108289098B (zh) | 分布式文件系统的权限管理方法和装置、服务器、介质 | |
| CN108604187B (zh) | 托管的虚拟机部署 | |
| CN113297550A (zh) | 权限控制的方法、装置、设备、存储介质及程序产品 | |
| US5675771A (en) | Mechanism for enabling emulation system users to directly invoke a number of host system facilities for executing host procedures either synchronously or asynchronously in a secure manner through automatically created shell mechanisms | |
| JP2022522678A (ja) | セキュア実行ゲスト所有者環境制御 | |
| WO2019100897A1 (zh) | 一种应用程序启动方法、启动装置及计算机可读存储介质 | |
| CN115203653A (zh) | 将用户账户与企业工作空间相关联 | |
| US11804958B2 (en) | Method and system for initial secret delivery for scalable and restart-able collocated containers with shared resources | |
| US11720712B2 (en) | Managing registry access on a computer device | |
| WO2023060957A1 (zh) | 操作系统中权限控制方法及装置、电子设备、存储介质 | |
| US20220413903A1 (en) | Framework for migrating applications across public and private clouds | |
| CN115989660A (zh) | 云基础设施系统中的安全区策略强制执行 | |
| US20150178492A1 (en) | Secure information flow |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220330 Address after: 100041 B-0035, 2 floor, 3 building, 30 Shixing street, Shijingshan District, Beijing. Applicant after: BEIJING BYTEDANCE NETWORK TECHNOLOGY Co.,Ltd. Address before: 100086 floor 2, No.36 Haidian Street, Haidian District, Beijing 2002 Applicant before: Beijing jingling Information System Technology Co.,Ltd. |