CN116627326A - 一种基于分角色系统调用控制的数据动态存储方法及系统 - Google Patents

Abstract

本发明公开了一种基于分角色系统调用控制的数据动态存储方法及系统，该方法包括：1)根据用户身份和操作类型，确定用户所属的角色；2)根据角色和系统调用规则，判断用户执行系统调用权限；3)根据数据类型和存储需求，动态分配存储空间；4)如无权执行，则拒绝该系统调用；5）在此过程中完整记录用户的访问和行为日志。该系统包括用户管理模块、角色管理模块、权限管理模块、存储管理模块、日志管理模块等。本发明通过基于角色的权限控制，可以实现对不同用户进行不同级别的系统调用控制，从而保证数据的安全性和完整性；同时通过动态分配存储空间，可以实现对不同类型和需求的数据进行合理的存储分配，从而提高数据的存储效率和利用率。

Description

一种基于分角色系统调用控制的数据动态存储方法及系统

技术领域

本发明涉及信息安全技术计算机安全领域，具体涉及一种基于分角色系统调用控制的数据动态存储方法及系统。

背景技术

目前，随着信息技术的快速发展和大数据时代的到来，数据如何安全存储成为了一个重要的课题。数据存储不仅需要保证数据的安全性和完整性，防止数据被未经授权的用户访问或修改，还需要保证数据的存储效率和利用率，合理地分配存储空间和资源。然而，现有的数据存储方法和系统往往不能满足这些需求。例如，传统的文件系统只能对文件进行简单的读写操作，并不能对不同类型和需求的数据进行区分和优化；而数据库系统虽然可以对结构化或半结构化的数据进行高效地管理和查询，但是对非结构化或大规模的数据则不太适合；另外，现有的权限控制机制也往往不能对不同用户进行细粒度的访问控制，只能按照用户组或者文件属性进行简单地分类。

因此，在当前的环境下，需要提供一种能够实现对不同用户进行不同级别的系统调用控制，同时还需要对不同类型和需求的数据进行合理的存储和分配的方法和系统。

本发明旨在提供一种基于分角色系统调用控制的数据动态存储方法及系统，该方法及系统能够实现对不同用户进行不同级别的系统调用控制，从而保证数据的安全性和完整性；同时能够实现对不同类型和需求的数据进行合理地存储分配，从而提高数据的存储效率和利用率。

发明内容

本发明公开了一种基于分角色系统调用控制的数据动态存储方法及系统，该方法包括以下步骤：1)根据用户身份和操作类型，确定用户所属的角色；2)根据角色和系统调用规则，判断用户是否有权执行该系统调用；3)如果有权执行，则根据数据类型和存储需求，动态分配存储空间，并将数据写入相应的存储区域；4)如果无权执行，则拒绝该系统调用，并返回错误信息；5)在此过程中完整记录用户的访问和行为日志。该系统包括用户管理模块、角色管理模块、权限管理模块、存储管理模块、日志管理模块等。本发明通过基于角色的权限控制，可以实现对不同用户进行不同级别的系统调用控制，从而保证数据的安全性和完整性；同时通过动态分配存储空间，可以实现对不同类型和需求的数据进行合理的存储分配，从而提高数据的存储效率和利用率。

本发明的技术方案如下：一种基于分角色系统调用控制的数据动态存储方法，其步骤为：

1)根据用户身份和操作类型，确定用户所属的角色；

2)根据角色和系统调用规则，判断用户是否有权执行该系统调用；

3)如果有权执行，则根据数据类型和存储需求，动态分配存储空间，并将数据写入相应的存储区域；

4)如果无权执行，则拒绝该系统调用，并返回错误信息；

5)在此过程中完整记录用户的访问和行为日志。

更进一步，所述的角色包括管理员、普通用户和访客，其中：管理员是指具有系统最高权限的用户，可以执行任何系统调用，并对系统进行配置、维护和监控；普通用户是指具有一定权限的注册用户，可以执行部分系统调用，并对自己上传或下载的数据进行管理；访客是指具有最低权限的未注册用户，只能执行少数系统调用，并且不能上传或下载数据。

更进一步，所述的系统调用规则是预先设定并存储在权限管理模块中的，每个角色对应一组可执行的系统调用列表，当用户发出系统调用请求时，权限管理模块会根据用户所属的角色和该角色可执行的系统调用列表进行匹配，如果匹配成功，则表示用户有权执行该系统调用；如果匹配失败，则表示用户无权执行该系统调用。

更进一步，所述的数据类型包括文本、图片、视频和音频，文本是指由字符组成的数据文件，如txt、doc、pdf等格式；图片是指由像素组成的图形文件，如jpg、png、gif等格式；视频是指由连续图像和声音组成的动态文件，如mp4、avi、mov等格式；音频是指由声波信号组成的声音文件，如mp3、wav、ogg等格式。

更进一步，所述动态分配存储空间需要考虑到数据安全性、可靠性、效率等因素。数据安全性指保护数据不被未经授权的访问或修改；数据可靠性指保证数据不丢失或损坏；数据效率指优化数据存取速度和空间占用。

更进一步，所述存储区域是根据数据类型和存储需求选择合适物理或虚拟存储设备，并按照一定算法计算出最优化存储位置和方式，其中：物理存储设备是指直接连接到计算机上并提供持久性存储功能的硬件设备，如硬盘驱动器(HDD)、固态驱动器(SSD)等；虚拟存储设备是指通过网络连接到计算机上并提供临时性或远程性存储功能软件服务，如云端服务器(Cloud)、分布式文件系统(DFS)等；存储位置是指数据在物理或虚拟存储设备中具体地址或路径；存储方式是指数据以何种形式或编码方式写入到物理或虚拟存储设备中。

更进一步，所述的记录用户日志时包括用户姓名、时间戳、操作内容、结果状态等信息。用户姓名指用户登录时输入或显示出来的名称；时间戳指记录日志时刻对应的日期和时间；操作内容指用户发出或执行了哪些系统调用及其参数值；结果状态指系统调用是否成功执行及其返回值。

本发明还公开了一种基于分角色系统调用控制的数据动态存储系统，其特征在于，实现对不同用户进行不同级别的系统调用控制，从而保证数据的安全性和完整性；其中，核心模块包括：用户管理模块、角色管理模块、权限管理模块、系统调用管理模块、数据存储管理模块和日志管理模块；其中，

所述用户管理模块，用于管理用户的注册、登录、注销等操作，并为每个用户分配一个唯一的身份标识；

所述角色管理模块，用于定义不同的角色及其对应的权限范围，并将用户与角色进行关联；

所述权限管理模块，用于设定不同角色可以执行哪些系统调用以及对哪些数据类型有何种操作权限；

所述系统调用管理模块，用于接收、处理和响应用户发出的系统调用请求，并根据权限管理模块提供的规则进行权限检查；

所述数据存储管理模块，用于根据数据类型和存储需求，动态分配存储空间，并将数据写入相应的存储区域；另外该模块还可以根据数据使用频率、敏感度等因素进行优化和调整；

所述日志管理模块，用于记录并保存用户的访问和行为日志，并提供查询、统计、分析等功能。

有益性效果

本发明与现有技术相比的有益性效果在于：

(1)现有技术通常采用静态的角色定义和分配方式，不能根据用户的特征或需求动态生成或分配角色，导致权限控制过于粗糙或过于复杂。通过基于角色的权限控制，可以实现对不同用户进行不同级别的系统调用控制，从而保证数据的安全性和完整性。

(2)现有技术通常采用固定的存储方式和空间分配方式，不能根据数据的类型或存储需求动态选择存储方式或分配存储空间，导致存储资源浪费或不足。通过动态分配存储空间，可以实现对不同类型和需求的数据进行合理的存储分配，从而提高数据的存储效率和利用率。

(3)现有技术通常缺乏对用户访问和行为日志的记录和维护功能，不能有效地进行用户行为监控和审计。通过完整记录用户的访问和行为日志，可以实现对用户行为的监督和审计，从而提高系统的可信度和可追溯性。

附图说明

附图1是本发明专利基于分角色系统调用控制的数据动态存储方法及系统的示意。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明包括：当用户向系统发出一个系统调用请求时，该请求包含用户身份和操作类型。系统会根据这些信息，在用户管理模块中查询用户所属的角色。角色是指用户在系统中的身份，它决定了用户可以执行哪些操作；然后系统会根据角色和系统调用规则，在权限管理模块中判断用户是否有权执行该系统调用。权限管理模块负责管理用户对系统资源的访问权限，它会根据预先设定的规则来判断用户是否有权执行某个操作；如果用户有权执行该系统调用，则系统会根据数据类型和存储需求，在存储管理模块中动态分配存储空间，并将数据写入相应的存储区域。存储管理模块负责管理系统的存储资源，它会根据数据类型和存储需求来动态分配存储空间。最后，系统会返回成功信息，表示该系统调用已经成功执行；如果用户无权执行该系统调用，则系统会拒绝该系统调用，并返回错误信息，表示该操作未能成功执行；此外，系统还会在日志管理模块中完整记录用户的访问和行为日志。日志管理模块负责记录用户在系统中的所有操作，以便于管理员对用户行为进行监控和分析。最后，根据评估结论，系统会动态调整用户的访问级别。这意味着，如果用户频繁发起无效的系统调用请求，则系统可能会降低其访问级别，以防止恶意攻击。

图1显示了本发明所述的一种基于分角色系统调用控制的数据动态存储方法的一个实施例的流程图，主要包括以下步骤：

S101，用户向系统发出一个系统调用请求，包含用户身份和操作类型；

S102，系统根据用户身份和操作类型，在用户管理模块中查询用户所属的角色；

S201，系统根据角色和系统调用规则，在权限管理模块中判断用户是否有权执行该系统调用；

S202，如果有权执行，则进入步骤S301；如果无权执行，则进入步骤S302；

S301，系统根据数据类型和存储需求，在存储管理模块中动态分配存储空间，并将数据写入相应的存储区域，并返回成功信息；

S302，系统拒绝该系统调用，并返回错误信息；

S401，在日志管理模块中完整记录用户的访问和行为日志；

S402，根据评估结论，系统会根据步骤S201-S302描述的方法动态调整用户的访问级别。

具体来讲，本发明在步骤S101中，用户可以通过不同的方式向系统发出一个系统调用请求，例如通过命令行、图形界面、应用程序等。该请求需要包含用户身份和操作类型两个参数。用户身份是指用户在系统中注册或登录时使用的用户名或编号。操作类型是指用户想要执行的具体操作，例如读取、写入、删除等。

在步骤S102中，系统接收到用户的请求后，在用户管理模块中进行查询。该模块是一个数据库或文件，存储了所有已注册或登录的用户及其对应的角色信息。角色是指一组预定义好的权限集合，表示该角色可以执行哪些操作。例如管理员、普通用户、访客等。

在步骤S201中，系统根据查询到的角色，在权限管理模块中进行判断。该模块是一个数据库或文件，存储了所有已定义好的角色及其对应的系统调用规则信息。系统调用规则是指一组预定义好的条件集合，表示该角色可以执行哪些类型的操作。例如读取、写入、删除等。系统根据用户的操作类型和系统调用规则进行匹配，如果匹配成功，则表示用户有权执行该系统调用；如果匹配失败，则表示用户无权执行该系统调用。

在步骤S202中，系统根据判断结果进行分支处理。如果判断结果为有权执行，则表示用户的请求是合法的，可以继续进行后续的处理；如果判断结果为无权执行，则表示用户的请求是非法的，需要拒绝或限制其访问。

在步骤S301中，系统根据用户要操作的数据类型和存储需求，在存储管理模块中进行动态分配。该模块是一个数据库或文件，存储了所有可用的存储资源及其属性信息。存储资源是指物理或虚拟的硬盘、内存、闪存等设备。属性信息是指每个设备的容量、速度、安全性等特征。系统根据数据类型和属性信息选择合适的设备，并分配相应大小的空间给用户，并将数据写入其中，然后返回成功信息给用户。

在步骤S302中，系统拒绝该系统调用，并返回错误信息给用户。错误信息包含了拒绝原因和建议方案。例如“您没有权限执行此操作，请联系管理员”或“您已超过您的存储额度，请删除一些不必要的文件”等。

在步骤S401中，系统在日志管理模块中完整记录用户的访问和行为日志。该模块是一个数据库或文件，存储了所有用户的请求、响应、操作、结果等信息。日志信息可以用于监控、审计、分析、评估等目的。

在步骤S402中，根据步骤S401中的评估结论，系统会动态调整用户的访问级别，然后根据步骤S201-S302中的方法进行系统调用控制和数据动态存储。

举例来讲，管理员创建了三种角色：管理员、普通用户和访客，并分别定义了他们可以执行的系统调用规则。例如管理员可以执行任何操作，普通用户可以执行读取和写入操作，游客只能执行读取操作。同时管理员配置了不同类型的存储资源，例如硬盘、内存、闪存等，并设置了他们的属性信息，例如容量、速度、安全性等。

用户E想要向系统中写入一些敏感数据，首先需要进行身份认证，输入用户名、密码和验证码之后，没有通过认证，则此次访问流程结束；用户F通过认证，那么进入下一个流程，开始查询该用户所属的角色。系统在用户管理模块中查找到该用户是一个普通用户，那么进入下一个流程，开始判断该用户是否有权执行写入操作。系统在权限管理模块中匹配到该角色可以执行写入操作，那么进入下一个流程，开始动态分配存储空间。系统根据数据类型和存储需求，在存储管理模块中选择合适的设备并分配相应大小的空间给用户，并将数据写入其中。然后返回成功信息给用户。

用户G想要从系统中删除一些无用数据，首先需要进行身份认证，输入用户名、密码和验证码之后，通过认证；然后进入下一个流程，开始查询该用户所属的角色。系统在用户管理模块中查找到该用户是一个访客，那么进入下一个流程，开始判断该用户是否有权执行删除操作。系统在权限管理模块中匹配到该角色不能执行删除操作，那么拒绝该系统调用，并返回错误信息给用户。错误信息包含了拒绝原因和建议方案。例如“您没有权限执行此操作，请联系管理员”或“您需要升级为普通用户才能执行此操作，请注册并登录”。

提供以上实施例仅仅是为了描述本发明的目的，而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改，均应涵盖在本发明的范围之内。

Claims (9)

1.一种基于分角色系统调用控制的数据动态存储方法，其步骤为：

1)根据用户身份和操作类型，确定用户所属的角色；

2)根据角色和系统调用规则，判断用户是否有权执行该系统调用；

3)如果有权执行，则根据数据类型和存储需求，动态分配存储空间，并将数据写入相应的存储区域；

4)如果无权执行，则拒绝该系统调用，并返回错误信息；

5)在此过程中完整记录用户的访问和行为日志。

2.根据权利要求1所述的方法，其特征在于，步骤1）中，所述的角色包括管理员、普通用户和访客，其中：管理员是指具有系统最高权限的用户，可以执行任何系统调用，并对系统进行配置、维护和监控；普通用户是指具有一定权限的注册用户，可以执行部分系统调用，并对自己上传或下载的数据进行管理；访客是指具有最低权限的未注册用户，只能执行少数系统调用，并且不能上传或下载数据。

3.根据权利要求1所述的方法，其特征在于，步骤2）中，所述的系统调用规则是预先设定并存储在权限管理模块中的，每个角色对应一组可执行的系统调用列表，当用户发出系统调用请求时，权限管理模块会根据用户所属的角色和该角色可执行的系统调用列表进行匹配，如果匹配成功，则表示用户有权执行该系统调用；如果匹配失败，则表示用户无权执行该系统调用。

4.根据权利要求1所述的方法，其特征在于，步骤3）中，所述的数据类型包括文本、图片、视频和音频，文本是指由字符组成的数据文件，如txt、doc、pdf等格式；图片是指由像素组成的图形文件，如jpg、png、gif等格式；视频是指由连续图像和声音组成的动态文件，如mp4、avi、mov等格式；音频是指由声波信号组成的声音文件，如mp3、wav、ogg等格式。

5.根据权利要求1所述的方法，其特征在于，步骤3）中，所述的存储需求包括存储时长、存储容量和存储安全等级，存储时长是指数据需要被保存在存储设备中的时间长度；存储容量是指数据占用存储设备中空间大小；存储安全等级是指数据需要被保护免受非法访问或篡改风险程度。

6.根据权利要求1所述的方法，其特征在于，步骤3）中，所述动态分配存储空间需要考虑到数据安全性、可靠性、效率等因素。数据安全性指保护数据不被未经授权的访问或修改；数据可靠性指保证数据不丢失或损坏；数据效率指优化数据存取速度和空间占用。

7. 根据权利要求1所述的方法，其特征在于，步骤3）中，所述存储区域是根据数据类型和存储需求选择合适物理或虚拟存储设备， 并按照一定算法计算出最优化存储位置和方式， 其中：物理存储设备是指直接连接到计算机上并提供持久性存储功能的硬件设备，如硬盘驱动器（HDD）、固态驱动器（SSD）等；虚拟存储设备是指通过网络连接到计算机上并提供临时性或远程性存储功能软件服务，如云端服务器（Cloud）、分布式文件系统（DFS）等；存储位置是指数据在物理或虚拟存储设备中具体地址或路径；存储方式是指数据以何种形式或编码方式写入到物理或虚拟存储设备中。

8.根据权利要求1所述的方法，其特征在于，步骤5）中，所述的记录用户日志时包括用户姓名、时间戳、操作内容、结果状态等信息。用户姓名指用户登录时输入或显示出来的名称；时间戳指记录日志时刻对应的日期和时间；操作内容指用户发出或执行了哪些系统调用及其参数值；结果状态指系统调用是否成功执行及其返回值。

9.一种基于分角色系统调用控制的数据动态存储系统，其特征在于，实现对不同用户进行不同级别的系统调用控制，从而保证数据的安全性和完整性；其中，核心模块包括：用户管理模块、角色管理模块、权限管理模块、系统调用管理模块、数据存储管理模块和日志管理模块；其中，

所述用户管理模块，用于管理用户的注册、登录、注销等操作，并为每个用户分配一个唯一的身份标识；

所述角色管理模块，用于定义不同的角色及其对应的权限范围，并将用户与角色进行关联；

所述权限管理模块，用于设定不同角色可以执行哪些系统调用以及对哪些数据类型有何种操作权限；

所述系统调用管理模块，用于接收、处理和响应用户发出的系统调用请求，并根据权限管理模块提供的规则进行权限检查；

所述数据存储管理模块，用于根据数据类型和存储需求，动态分配存储空间，并将数据写入相应的存储区域；另外该模块还可以根据数据使用频率、敏感度等因素进行优化和调整；

所述日志管理模块，用于记录并保存用户的访问和行为日志，并提供查询、统计、分析等功能。