CN114428951A - 网络文件系统访问权限的控制方法及装置 - Google Patents
网络文件系统访问权限的控制方法及装置 Download PDFInfo
- Publication number
- CN114428951A CN114428951A CN202210336480.3A CN202210336480A CN114428951A CN 114428951 A CN114428951 A CN 114428951A CN 202210336480 A CN202210336480 A CN 202210336480A CN 114428951 A CN114428951 A CN 114428951A
- Authority
- CN
- China
- Prior art keywords
- target
- file
- authority
- directory
- permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/11—File system administration, e.g. details of archiving or snapshots
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
- G06F16/162—Delete operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/182—Distributed file systems
- G06F16/1824—Distributed file systems implemented using Network-attached Storage [NAS] architecture
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
- G06F9/4451—User profiles; Roaming
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Human Computer Interaction (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种网络文件系统访问权限的控制方法及装置。其中,该方法包括:在权限管控内核模块检测到目标系统调用对应的操作为对网络文件系统中的文件进行的操作的情况下,挂起目标系统调用,并将文件的路径发送至权限管控进程;获取权限管控进程发送的目标权限信息,其中,目标权限信息是目标对象在路径下的权限信息,目标权限信息是权限管控进程从用户授权信息管理系统获取的;通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作。本申请解决了现有技术中,通过配置服务端网络文件系统的相关权限配置文件来实现对共享目录和文件进行相应的授权,存在授权账户管理不灵活以及授权范围不精细的技术问题。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种网络文件系统访问权限的控制方法及装置。
背景技术
常见的网络文件系统有nfs,cifs。网络文件系统满足的主要需求是对文件的共享和服务端存储,在一个组织内部需要针对不同的部门和个人对共享目录和文件进行相应的授权,现有的做法是通过配置服务端网络文件系统(nfs,samba)的相关权限配置文件来进行管理。现有技术主要存在以下问题:
授权账户管理不灵活,网络文件系统授权用户需要与服务器主机用户绑定或者仅用客户端ip进行授权;授权范围不精细,不能对共享主目录下面的层级子目录进行精确授权。针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种网络文件系统访问权限的控制方法及装置,以至少解决现有技术中,通过配置服务端网络文件系统的相关权限配置文件来实现对共享目录和文件进行相应的授权,存在授权账户管理不灵活以及授权范围不精细的技术问题。
根据本申请实施例的一个方面,提供了一种网络文件系统访问权限的控制方法,包括:在权限管控内核模块检测到目标系统调用对应的操作为对网络文件系统中的文件进行的操作的情况下,挂起目标系统调用,并将文件的路径发送至权限管控进程;获取权限管控进程发送的目标权限信息,其中,目标权限信息是目标对象在路径下的权限信息,目标权限信息是权限管控进程从用户授权信息管理系统获取的,用户授权信息管理系统用于设置目标对象对网络文件系统的各级目录以及各级目录中文件的执行操作的权限;通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作。
可选地,目标系统调用包括如下至少之一:文件打开系统调用、文件重命名系统调用以及文件删除系统调用。
可选地,如果目标系统调用包括文件打开系统调用,通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作,包括如下至少之一:拒绝打开文件,只读打开文件以及读写打开文件;如果目标系统调用包括文件重命名系统调用,通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作,包括如下至少之一:允许对文件重命名以及拒绝对文件重命名;如果目标系统调用包括文件删除系统调用,通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作,包括如下至少之一:允许删除文件以及拒绝删除文件。
可选地,将文件的路径发送至权限管控进程之后,上述方法还包括:通过权限管控进程检测目标对象登录网络文件系统的登录状态;如果目标对象处于未登录状态,生成提示信息,其中,提示信息用于提示目标对象登录网络文件系统;如果目标对象处于登录状态,建立权限管控进程和与用户授权信息管理系统之间的通信连接。
可选地,上述方法还包括通过以下方法建立用户授权信息管理系统:初始化网络文件系统的全部目标对象;对网络文件系统的共享目录从根目录开始进行逐目录授权;增加或者删除网络文件系统中的目标对象;根据业务需要修改目标对象对共享目录的权限。
可选地,对网络文件系统的共享目录从根目录开始进行逐目录授权,包括:从共享目录中确定一个目标目录,并设置目标对象对目标目录的权限,其中,目标目录的子目录的权限通过以下方式中的一种确定:自动继承父目录的权限;单独设置权限。
可选地,目标系统调用还包括文件查询系统调用,将文件的路径发送至权限管控进程之后,上述方法还包括:将当前目录的子目录集合发送至权限管控进程;获取权限管控进程发送的目标对象对当前目录的子目录集合的查询权限;显示目标对象存在查询权限的子目录集合,隐藏目标对象不存在查询权限的子目录集合。
可选地,权限管控内核模块以及权限管控进程位于目标对象的终端设备,用户授权信息管理系统位于与终端设备连接的服务器端。
根据本申请实施例的另一方面,还提供了一种网络文件系统访问权限的控制装置,包括:发送模块,设置为在权限管控内核模块检测到目标系统调用对应的操作为对网络文件系统中的文件进行的操作的情况下,挂起目标系统调用,并将文件的路径发送至权限管控进程;获取模块,设置为获取权限管控进程发送的目标权限信息,其中,目标权限信息是目标对象在路径下的权限信息,目标权限信息是权限管控进程从用户授权信息管理系统获取的,用户授权信息管理系统用于设置目标对象对网络文件系统的各级目录以及各级目录中文件的执行操作的权限;控制模块,设置为通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作。
根据本申请实施例的再一方面,还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备执行以上的网络文件系统访问权限的控制方法。
根据本申请实施例的再一方面,还提供了一种处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行以上的网络文件系统访问权限的控制方法。
在本申请实施例中,采用在权限管控内核模块检测到目标系统调用对应的操作为对网络文件系统中的文件进行的操作的情况下,挂起目标系统调用,并将文件的路径发送至权限管控进程;获取权限管控进程发送的目标权限信息,其中,目标权限信息是目标对象在路径下的权限信息,目标权限信息是权限管控进程从用户授权信息管理系统获取的,用户授权信息管理系统用于设置目标对象对网络文件系统的各级目录以及各级目录中文件的执行操作的权限;通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作的方式,通过在用户端设备的操作系统插入内核模块和建立独立的用户授权管理系统,达到了实现不同用户对网络文件系统访问权限的管控的目的,从而实现了对共享目录和文件进行相应的授权时灵活管理授权账户以及实现精确的授权范围的技术效果,进而解决了现有技术中,通过配置服务端网络文件系统的相关权限配置文件来实现对共享目录和文件进行相应的授权存在授权账户管理不灵活以及授权范围不精细技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了一种用于实现网络文件系统访问权限的控制方法的计算机终端(或移动设备)的硬件结构框图;
图2是根据本申请实施例的一种网络文件系统访问权限的控制方法的流程图;
图3是根据本申请实施例的一种网络文件系统访问权限的控制装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
内核模块
Linux操作系统的内核是单一体系结构(monolithic kernel)的。也就是说,整个内核是一个单独的非常大的程序。与单一体系结构相对的是微内核体系结构(microkernel),比如Windows NT采用的就是微内核体系结构。对于微内核体系结构特点,操作系统的核心部分是一个很小的内核,实现一些最基本的服务,如创建和删除进程、内存管理、中断管理等等。而文件系统、网络协议等其它部分都在微内核外的用户空间里运行。
这两种体系的内核各有优缺点。使用微内核的操作系统具有很好的可扩展性而且内核非常的小,但这样的操作系统由于不同层次之间的消息传递要花费一定的代价所以效率比较低。对单一体系结构的操作系统来说,所有的模块都集成在一起,系统的速度和性能都很好,但是可扩展性和维护性就相对比较差。
正是为了改善单一体系结构的可扩展性、可维护性等,Linux操作系统使用了一种全新的内核模块机制。用户可以根据需要,在不需要对内核重新编译的情况下,模块能动态地装入内核或从内核移出。
模块是在内核空间运行的程序,实际上是一种目标对象文件,没有链接,不能独立运行,但是其代码可以在运行时链接到系统中作为内核的一部分运行或从内核中取下,从而可以动态扩充内核的功能。这种目标代码通常由一组函数和数据结构组成,用来实现一种文件系统,一个驱动程序,或其它内核上层的功能。模块机制的完整叫法应该是动态可加载内核模块(Loadable Kernel Module, LKM),一般就简称为内核模块。与前面讲到的运行在微内核体系操作系统的外部用户空间的进程不同,模块不是作为一个进程执行的,而像其他静态连接的内核函数一样,它在内核态代表当前进程执行。由于引入了模块机制,Linux的内核可以达到最小,即内核中实现一些基本功能,如从模块到内核的接口,内核管理所有模块的方式等等,而系统的可扩展性就留给模块来完成。
网络文件系统
网络文件系统(Network File System,NFS)是文件系统之上的一个网络抽象,来允许远程客户端以与本地文件系统类似的方式,来通过网络进行访问。虽然 NFS 不是第一个此类系统,但是它已经发展并演变成 UNIX系统中最强大最广泛使用的网络文件系统。NFS 允许在多个用户之间共享公共文件系统,并提供数据集中的优势,来最小化所需的存储空间。
网络文件系统(NFS)从1984 年问世以来持续演变,并已成为分布式文件系统的基础。当前,NFS(通过 pNFS 扩展)通过网络对分布的文件提供可扩展的访问。
第一个网络文件系统称为 File Access Listener,由 Digital EquipmentCorporation(DEC)在 1976 年开发。Data Access Protocol(DAP)的实施,这是 DECnet 协议集的一部分。比如 TCP/IP,DEC 为其网络协议发布了协议规范,包括DAP。
NFS 是第一个现代网络文件系统(构建于 IP 协议之上)。在 20 世纪 80 年代,它首先作为实验文件系统,由 Sun Microsystems 在内部完成开发。NFS 协议已归档为Request for Comments(RFC)标准,并演化为大家熟知的 NFSv2。作为一个标准,由于 NFS与其他客户端和服务器的互操作能力而发展快速。
虽然 NFS 是在 UNIX和 Linux 系统中最流行的网络文件系统,但它当然不是唯一的选择。在 Windows系统中,Server Message Block [SMB](也称为 CIFS)是最广泛使用的选项(如同 Linux 支持 SMB一样,Windows 也支持 NFS)。
根据本申请实施例,提供了一种网络文件系统访问权限的控制方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现网络文件系统访问权限的控制方法的计算机终端(或移动设备)的硬件结构框图。如图1所示,计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为BUS总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的网络文件系统访问权限的控制方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的网络文件系统访问权限的控制方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。
图2是根据本申请实施例的一种网络文件系统访问权限的控制方法的流程图,如图2所示,该方法包括如下步骤:
步骤S202,在权限管控内核模块检测到目标系统调用对应的操作为对网络文件系统中的文件进行的操作的情况下,挂起目标系统调用,并将文件的路径发送至权限管控进程。
在本申请提供的实施例中,权限控制的实现机制在客户端设备完成,客户端的程序分为系统服务进程daemon和LKM内核模块。daemon进程负责用户的登录状态管理和权限的查询和报告。LKM内核模块,实现对相关系统调用的hook ,在内核的sys_open,sys_rename,sys_unlink和sys_getdents系统调用处增加对当前用户权限的判断,实现预期的权限管理机制。
以sys_open系统调用为例,检测到sys_open操作时,首先判断是否为网络文件系统的文件打开操作,如果是否,直接忽略,继续sys_open的执行。如果是网络文件系统里的文件打开操作,暂时挂起sys_open的执行,将捕获的文件打开路径发送给权限管控daemon进程。
步骤S204,获取权限管控进程发送的目标权限信息,其中,目标权限信息是目标对象在路径下的权限信息,目标权限信息是权限管控进程从用户授权信息管理系统获取的,用户授权信息管理系统用于设置目标对象对网络文件系统的各级目录以及各级目录中文件的执行操作的权限。
在本步骤中,daemon进程与用户授权系统管理系统服务器进行通讯,取得当前用户在当前文件路径的权限设置信息,然后传递给负责权限管控的内核模块。
用户授权信息管理系统是与网络文件系统(nfs,cifs)和服务器主机相独立的系统。支持对网络文件系统的所有目录进行特定用户的精确授权,实现对特定用户的编辑,只读,重命名,删除和不可见的权限管理。下文中对用户授权信息管理系统进行详细说明。
步骤S206,通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作。
内核模块得到权限信息后,做出拒绝打开,只读打开和读写打开的相应设置,然后继续系统调用sys_open的执行。
通过上述步骤,通过在用户端设备的操作系统插入内核模块和建立独立的用户授权管理系统,达到了实现不同用户对网络文件系统访问权限的管控的目的,从而实现了对共享目录和文件进行相应的授权时灵活管理授权账户以及实现精确的授权范围的技术效果。
根据本申请的一个可选的实施例,目标系统调用包括如下至少之一:文件打开系统调用、文件重命名系统调用以及文件删除系统调用。
需要说明的是,文件打开系统调用即上文中的sys_open,文件重命名系统调用为sys_rename,文件删除系统调用为sys_unlink。
根据本申请的另一个可选的实施例,如果目标系统调用包括文件打开系统调用,通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作,包括如下至少之一:拒绝打开文件,只读打开文件以及读写打开文件。
如上文所述,如果步骤S202中的目标系统调用为sys_open,内核模块得到权限信息后,做出拒绝打开文件,只读打开文件和读写打开文件的相应设置,
如果目标系统调用包括文件重命名系统调用,通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作,包括如下至少之一:允许对文件重命名以及拒绝对文件重命名。
如果步骤S202中的目标系统调用为sys_rename,检测到sys_rename操作时,在进行网络文件系统路径和登录状态检查后,将文件路径数据发送给权限管控daemon,daemon通过用户授权系统服务器得到权限后发还给内核模块,内核模块根据查询到的权限信息,做出允许对文件重命名或拒绝对文件重命名的相应操作。
如果目标系统调用包括文件删除系统调用,通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作,包括如下至少之一:允许删除文件以及拒绝删除文件。
如果步骤S202中的目标系统调用为sys_unlink,检测到sys_unlink操作时,在进行网络文件系统路径和登录状态检查后,将文件路径数据发送给权限管控daemon,daemon通过用户授权系统服务器得到权限后发还给内核模块,内核模块根据查询到的权限信息,做出允许删除文件或拒绝删除文件的相应操作。
在本申请的一些可选的实施例中,执行步骤S202将文件的路径发送至权限管控进程之后,通过权限管控进程检测目标对象登录网络文件系统的登录状态;如果目标对象处于未登录状态,生成提示信息,其中,提示信息用于提示目标对象登录网络文件系统;如果目标对象处于登录状态,建立权限管控进程和与用户授权信息管理系统之间的通信连接。
权限管控内核模块将捕获的文件打开路径发送给权限管控daemon进程,daemon进程检测当前的用户在网络文件系统的登录状态,如果未登录则提示用户进行登录操作,用户登录成功状态下,daemon与用户授权信息管理系统进行通讯。
在本申请的另一些可选的实施例中,通过以下方法建立用户授权信息管理系统:初始化网络文件系统的全部目标对象;对网络文件系统的共享目录从根目录开始进行逐目录授权;增加或者删除网络文件系统中的目标对象;根据业务需要修改目标对象对共享目录的权限。
用户授权信息管理系统的具体创建步骤如下:
1)初始化网络文件系统的所有用户,可以全部新建或者从别的已有的相关系统中导入;
2)对网络文件系统共享目录从根目录开始进行逐目录授权;
3)新增或删除用户;
4)根据业务需要修改特定目录的特定用户权限设置。
作为一个可选的实施例,对网络文件系统的共享目录从根目录开始进行逐目录授权,通过以下方法实现:从共享目录中确定一个目标目录,并设置目标对象对目标目录的权限,其中,目标目录的子目录的权限通过以下方式中的一种确定:自动继承父目录的权限;单独设置权限。
在本步骤中,先选择一个目录,然后选择特定的用户,授予相应的权限,包括只读,编辑,重命名,删除等权限,其所属的子目录自动继承父目录的权限设置,子目录也可以重新单独进行自身的权限设置。
根据本申请的一个可选的实施例,目标系统调用还包括文件查询系统调用,将文件的路径发送至权限管控进程之后,将当前目录的子目录集合发送至权限管控进程;获取权限管控进程发送的目标对象对当前目录的子目录集合的查询权限;显示目标对象存在查询权限的子目录集合,隐藏目标对象不存在查询权限的子目录集合。
文件查询系统调用为上文中提到的sys_getdents,检测到sys_getdents操作时,在进行网络文件系统路径和登录状态检查后,将当前的目录的子目录集合数据发送给权限管控daemon,daemon通过用户授权信息管理系统得到权限集合后发还给内核模块,内核模块根据查询到的权限信息,隐藏对当前用户没有权限的子目录集合,显示有权限的子目录集合。
作为一个可选的实施例,权限管控内核模块以及权限管控进程位于终端设备,用户授权信息管理系统位于与终端设备连接的服务器端,可以实现不同用户对网络文件系统访问权限的管控。
本申请实施例提供的上述方法可以实现以下技术效果:
实现灵活的授权账户管理,使用独立的用户管理体系。
实现对整个共享目录全部层级的精确授权。
实现对共享目录权限管理后,不需要重启网络文件系统,提高网络文件系统的可用性。
图3是根据本申请实施例的一种网络文件系统访问权限的控制装置的结构框图,如图3所示,该装置包括:
发送模块30,设置为在权限管控内核模块检测到目标系统调用对应的操作为对网络文件系统中的文件进行的操作的情况下,挂起目标系统调用,并将文件的路径发送至权限管控进程。
在本申请提供的实施例中,权限控制的实现机制在客户端设备完成,客户端的程序分为系统服务进程daemon和LKM内核模块。daemon进程负责用户的登录状态管理和权限的查询和报告。LKM内核模块,实现对相关系统调用的hook ,在内核的sys_open,sys_rename,sys_unlink和sys_getdents系统调用处增加对当前用户权限的判断,实现预期的权限管理机制。
以sys_open系统调用为例,检测到sys_open操作时,首先判断是否为网络文件系统的文件打开操作,如果是否,直接忽略,继续sys_open的执行。如果是网络文件系统里的文件打开操作,暂时挂起sys_open的执行,将捕获的文件打开路径发送给权限管控daemon进程。
获取模块32,设置为获取权限管控进程发送的目标权限信息,其中,目标权限信息是目标对象在路径下的权限信息,目标权限信息是权限管控进程从用户授权信息管理系统获取的,用户授权信息管理系统用于设置目标对象对网络文件系统的各级目录以及各级目录中文件的执行操作的权限。
daemon进程与用户授权系统管理系统服务器进行通讯,取得当前用户在当前文件路径的权限设置信息,然后传递给负责权限管控的内核模块。
用户授权信息管理系统是与网络文件系统(nfs,cifs)和服务器主机相独立的系统。支持对网络文件系统的所有目录进行特定用户的精确授权,实现对特定用户的编辑,只读,重命名,删除和不可见的权限管理。
控制模块34,设置为通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作。
内核模块得到权限信息后,做出拒绝打开,只读打开和读写打开的相应设置,然后继续系统调用sys_open的执行。
需要说明的是,图3所示实施例的优选实施方式可以参见图2所示实施例的相关描述,此处不再赘述。
本申请实施例还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备执行以上的网络文件系统访问权限的控制方法。
上述非易失性存储介质用于存储执行以下功能的程序:在权限管控内核模块检测到目标系统调用对应的操作为对网络文件系统中的文件进行的操作的情况下,挂起目标系统调用,并将文件的路径发送至权限管控进程;获取权限管控进程发送的目标权限信息,其中,目标权限信息是目标对象在路径下的权限信息,目标权限信息是权限管控进程从用户授权信息管理系统获取的,用户授权信息管理系统用于设置目标对象对网络文件系统的各级目录以及各级目录中文件的执行操作的权限;通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作。
本申请实施例还提供了一种处理器,处理器用于运行存储在存储器中的程序,其中,程序运行时执行以上的网络文件系统访问权限的控制方法。
上述处理器用于运行执行以下功能的程序:在权限管控内核模块检测到目标系统调用对应的操作为对网络文件系统中的文件进行的操作的情况下,挂起目标系统调用,并将文件的路径发送至权限管控进程;获取权限管控进程发送的目标权限信息,其中,目标权限信息是目标对象在路径下的权限信息,目标权限信息是权限管控进程从用户授权信息管理系统获取的,用户授权信息管理系统用于设置目标对象对网络文件系统的各级目录以及各级目录中文件的执行操作的权限;通过权限管控内核模块控制目标系统调用对文件执行与目标权限信息对应的操作。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对相关技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (11)
1.一种网络文件系统访问权限的控制方法,其特征在于,包括:
在权限管控内核模块检测到目标系统调用对应的操作为对网络文件系统中的文件进行的操作的情况下,挂起所述目标系统调用,并将所述文件的路径发送至权限管控进程;
获取所述权限管控进程发送的目标权限信息,其中,所述目标权限信息是目标对象在所述路径下的权限信息,所述目标权限信息是所述权限管控进程从用户授权信息管理系统获取的,所述用户授权信息管理系统用于设置所述目标对象对所述网络文件系统的各级目录以及所述各级目录中文件的执行操作的权限;
通过所述权限管控内核模块控制所述目标系统调用对所述文件执行与所述目标权限信息对应的操作。
2.根据权利要求1所述的方法,其特征在于,所述目标系统调用包括如下至少之一:文件打开系统调用、文件重命名系统调用以及文件删除系统调用。
3.根据权利要求2所述的方法,其特征在于,
如果所述目标系统调用包括所述文件打开系统调用,通过所述权限管控内核模块控制所述目标系统调用对所述文件执行与所述目标权限信息对应的操作,包括如下至少之一:拒绝打开所述文件,只读打开所述文件以及读写打开所述文件;
如果所述目标系统调用包括所述文件重命名系统调用,通过所述权限管控内核模块控制所述目标系统调用对所述文件执行与所述目标权限信息对应的操作,包括如下至少之一:允许对所述文件重命名以及拒绝对所述文件重命名;
如果所述目标系统调用包括所述文件删除系统调用,通过所述权限管控内核模块控制所述目标系统调用对所述文件执行与所述目标权限信息对应的操作,包括如下至少之一:允许删除所述文件以及拒绝删除所述文件。
4.根据权利要求1所述的方法,其特征在于,将所述文件的路径发送至权限管控进程之后,所述方法还包括:
通过所述权限管控进程检测所述目标对象登录所述网络文件系统的登录状态;
如果所述目标对象处于未登录状态,生成提示信息,其中,所述提示信息用于提示所述目标对象登录所述网络文件系统;
如果所述目标对象处于登录状态,建立所述权限管控进程和所述与所述用户授权信息管理系统之间的通信连接。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括通过以下方法建立所述用户授权信息管理系统:
初始化所述网络文件系统的全部目标对象;
对所述网络文件系统的共享目录从根目录开始进行逐目录授权;
增加或者删除所述网络文件系统中的目标对象;
根据业务需要修改所述目标对象对所述共享目录的权限。
6.根据权利要求5所述的方法,其特征在于,对所述网络文件系统的共享目录从根目录开始进行逐目录授权,包括:
从所述共享目录中确定一个目标目录,并设置目标对象对所述目标目录的权限,其中,所述目标目录的子目录的权限通过以下方式中的一种确定:
自动继承父目录的权限;
单独设置权限。
7.根据权利要求1所述的方法,其特征在于,所述目标系统调用还包括文件查询系统调用,将所述文件的路径发送至权限管控进程之后,所述方法还包括:
将当前目录的子目录集合发送至所述权限管控进程;
获取所述权限管控进程发送的目标对象对所述当前目录的子目录集合的查询权限;
显示所述目标对象存在查询权限的子目录集合,隐藏所述目标对象不存在查询权限的子目录集合。
8.根据权利要求1所述的方法,其特征在于,所述权限管控内核模块以及所述权限管控进程位于所述目标对象的终端设备,所述用户授权信息管理系统位于与所述终端设备连接的服务器端。
9.一种网络文件系统访问权限的控制装置,其特征在于,包括:
发送模块,设置为在权限管控内核模块检测到目标系统调用对应的操作为对网络文件系统中的文件进行的操作的情况下,挂起所述目标系统调用,并将所述文件的路径发送至权限管控进程;
获取模块,设置为获取所述权限管控进程发送的目标权限信息,其中,所述目标权限信息是目标对象在所述路径下的权限信息,所述目标权限信息是所述权限管控进程从用户授权信息管理系统获取的,所述用户授权信息管理系统用于设置所述目标对象对所述网络文件系统的各级目录以及所述各级目录中文件的执行操作的权限;
控制模块,设置为通过所述权限管控内核模块控制所述目标系统调用对所述文件执行与所述目标权限信息对应的操作。
10.一种非易失性存储介质,其特征在于,所述非易失性存储介质包括存储的程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至8中任意一项所述的网络文件系统访问权限的控制方法。
11.一种处理器,其特征在于,所述处理器用于运行存储在存储器中的程序,其中,所述程序运行时执行权利要求1至8中任意一项所述的网络文件系统访问权限的控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210336480.3A CN114428951B (zh) | 2022-04-01 | 2022-04-01 | 网络文件系统访问权限的控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210336480.3A CN114428951B (zh) | 2022-04-01 | 2022-04-01 | 网络文件系统访问权限的控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114428951A true CN114428951A (zh) | 2022-05-03 |
| CN114428951B CN114428951B (zh) | 2022-07-01 |
Family
ID=81314326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210336480.3A Active CN114428951B (zh) | 2022-04-01 | 2022-04-01 | 网络文件系统访问权限的控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114428951B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114599036A (zh) * | 2022-05-09 | 2022-06-07 | 北京乐开科技有限责任公司 | 一种多用户参与的nas文件安全操作方法及系统 |
| CN115329386A (zh) * | 2022-10-13 | 2022-11-11 | 南京中孚信息技术有限公司 | 文件管控方法、装置、设备以及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102737198A (zh) * | 2011-04-13 | 2012-10-17 | 腾讯科技(深圳)有限公司 | 对象保护方法及装置 |
| CN104270427A (zh) * | 2014-09-18 | 2015-01-07 | 用友优普信息技术有限公司 | 会话控制方法与会话控制装置 |
| CN107018140A (zh) * | 2017-04-24 | 2017-08-04 | 深信服科技股份有限公司 | 一种权限控制方法和系统 |
| CN107071040A (zh) * | 2017-04-24 | 2017-08-18 | 深信服科技股份有限公司 | 一种基于文件描述符和会话的权限控制方法和系统 |
| GR20170100488A (el) * | 2017-10-31 | 2019-05-24 | Ηλιας Μιλτιαδη Τσαμουργκελης | Μεθοδος καθαρισμου θεσης και καταχωρηση της σε ηλεκτρονικο αρχειο ως ολοκληρωμενης διευθυνσης |
| CN111045984A (zh) * | 2019-11-27 | 2020-04-21 | 云南电网有限责任公司电力科学研究院 | 一种电网实验室文件管理系统及方法 |
| JP2020174276A (ja) * | 2019-04-10 | 2020-10-22 | キヤノン電子株式会社 | 画像読取装置、画像読取装置の制御方法及びプログラム |
-
2022
- 2022-04-01 CN CN202210336480.3A patent/CN114428951B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102737198A (zh) * | 2011-04-13 | 2012-10-17 | 腾讯科技(深圳)有限公司 | 对象保护方法及装置 |
| CN104270427A (zh) * | 2014-09-18 | 2015-01-07 | 用友优普信息技术有限公司 | 会话控制方法与会话控制装置 |
| CN107018140A (zh) * | 2017-04-24 | 2017-08-04 | 深信服科技股份有限公司 | 一种权限控制方法和系统 |
| CN107071040A (zh) * | 2017-04-24 | 2017-08-18 | 深信服科技股份有限公司 | 一种基于文件描述符和会话的权限控制方法和系统 |
| GR20170100488A (el) * | 2017-10-31 | 2019-05-24 | Ηλιας Μιλτιαδη Τσαμουργκελης | Μεθοδος καθαρισμου θεσης και καταχωρηση της σε ηλεκτρονικο αρχειο ως ολοκληρωμενης διευθυνσης |
| JP2020174276A (ja) * | 2019-04-10 | 2020-10-22 | キヤノン電子株式会社 | 画像読取装置、画像読取装置の制御方法及びプログラム |
| CN111045984A (zh) * | 2019-11-27 | 2020-04-21 | 云南电网有限责任公司电力科学研究院 | 一种电网实验室文件管理系统及方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114599036A (zh) * | 2022-05-09 | 2022-06-07 | 北京乐开科技有限责任公司 | 一种多用户参与的nas文件安全操作方法及系统 |
| CN115329386A (zh) * | 2022-10-13 | 2022-11-11 | 南京中孚信息技术有限公司 | 文件管控方法、装置、设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114428951B (zh) | 2022-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114428951B (zh) | 网络文件系统访问权限的控制方法及装置 | |
| CN109510849B (zh) | 云存储的帐号鉴权方法和装置 | |
| US20210326513A1 (en) | Enabling File Attachments in Calendar Events | |
| CN105426115B (zh) | 数据存储访问和检索方法及数据存储和访问系统 | |
| CA2945848C (en) | Wireless local area network wlan access method, terminal, and server | |
| EP2668587B1 (en) | Client configuration history for self-provisioning of configuration and obviating reinstallation of embedded image | |
| CN105827600B (zh) | 登录客户端的方法及装置 | |
| CN111913665A (zh) | 存储卷的挂载方法及装置、电子设备 | |
| AU2015358292B2 (en) | Computing systems and methods | |
| EP2668589B1 (en) | Generating and validating custom extensible markup language (xml) configuration on a client embedded image | |
| EP3386167B1 (en) | Cloud operation interface sharing method, related device and system | |
| CN110730153A (zh) | 云设备的账号配置方法、装置和系统、数据处理方法 | |
| EP2678781B1 (en) | Apparatus and method for unlocking a device remotely from a server | |
| JP2001523859A (ja) | ネットワーク接続オブジェクトを使用してネットワークへ接続するようにコンピュータを構成する方法およびシステム | |
| US10841318B2 (en) | Systems and methods for providing multi-user level authorization enabled BIOS access control | |
| CN108874585B (zh) | 文件备份方法、装置及系统 | |
| EP2668588B1 (en) | Retrieval, parsing and application of a configuration for a client having a windows-based embedded image | |
| US11089013B2 (en) | Enhanced password authentication across multiple systems and user identifications | |
| CN113312311A (zh) | 命名空间的处理方法及装置 | |
| CN110933014B (zh) | 云服务接入方法、设备以及计算机可读存储介质 | |
| CN114666161B (zh) | 一种组件安全策略管理方法、装置、设备及存储介质 | |
| KR101879812B1 (ko) | 클라이언트 프로그램이 탑재된 사용자 단말, 클라우드 장치, 관리 서버 및 이를 포함하는 클라우드 서비스 시스템 | |
| CN112597471B (zh) | 设备授权控制方法和装置、存储介质及电子设备 | |
| US11385919B1 (en) | Machine image launch system | |
| CN114692101A (zh) | 账户创建方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |