本发明专利技术公开了一种程序访问权限控制方法、装置、计算设备及存储介质,程序访问权限控制方法在计算设备中执行,该方法包括:接收程序发送的第一访问请求,第一访问请求至少包括程序的标识参数;由第一模块将第一访问请求从第一文件系统转发至第二模块;由第二模块将第一访问请求发送至驻留在用户空间的权限控制模块;由权限控制模块根据标识参数,生成指示程序的访问权限的结果并由第二模块将结果通过第一模块转发至第一文件系统;第一文件系统将结果转发至程序,以使程序基于结果执行相应的流程。流程。流程。
【技术实现步骤摘要】
程序访问权限控制方法、装置、计算设备及存储介质
[0001]本申请是2021年7月13日提交的专利技术专利申请的分案申请,原申请的申请号:2021107873969,专利技术名称:程序访问权限控制方法、装置、计算设备及存储介质。
[0002]本专利技术涉及互联网领域,具体涉及一种程序访问权限控制方法、装置、计算设备及存储介质。
技术介绍
[0003]出于权限隔离和安全管理要求,通常程序在访问系统文件时都要隔离权限进行操作,即只能访问自身授权能访问的目标文件,例如Windows的UWP、Android的data
‑
stronge api、iOS的应用隔离和Linux系统的基于权限和访问控制列表的访问控制等。
[0004]Linux系统提供的基于权限和访问控制列表的访问控制,仅能够防止程序非法访问数据,并不能严格阻止程序收集相关信息。特别是用户的家目录,基本上是对本用户的进程没有任何限制,任何程序都可以访问和获取用户目录的内容,并且,为实现该访问控制功能,需要在Linux系统的内核空间进行开发,内核态开发最大的问题是涉及的内容比较多,调试不太方便,因此,很多功能应用都不太愿意涉及内核空间的开发。
技术实现思路
[0005]鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种程序访问权限控制方法、装置、计算设备及存储介质。
[0006]根据本专利技术的一个方面,提供一种程序访问权限控制方法,在计算设备中执行,计算设备包括第一文件系统和第二文件系统,第二文件系统至少包括第一模块和第二模块,且第一文件系统驻留在操作系统的内核空间,第一模块驻留在操作系统的内核空间及第二模块驻留在第一操作系统的用户空间,该方法包括:接收程序发送的第一访问请求,第一访问请求至少包括程序的标识参数;由第一模块将第一访问请求从第一文件系统转发至第二模块;由第二模块将第一访问请求发送至驻留在用户空间的权限控制模块;由权限控制模块根据标识参数,生成指示程序的访问权限的结果并由第二模块将结果通过第一模块转发至第一文件系统;第一文件系统将结果转发至程序,以使程序基于结果执行相应的流程。
[0007]可选地,在根据本专利技术的程序访问权限控制方法中,由第一模块将第一访问请求从第一文件系统转发至第二模块的步骤包括:将第一文件系统的调用接口与第一模块进行连接;将第一模块与第二模块的调用接口连接。
[0008]可选地,在根据本专利技术的程序访问权限控制方法中,由权限控制模块根据标识参数,生成指示程序的访问权限的结果并由第二模块将结果通过第一模块转发至第一文件系统的步骤的步骤包括:判断标识参数对应的程序是否具备访问目标文件的权限;若具备,则生成第一结果;若不具备,则生成第二结果。
[0009]可选地,在根据本专利技术的程序访问权限控制方法中,在若不具备,则生成第二结果
的步骤之后,还包括步骤:提示用户,是否对程序进行授权。
[0010]可选地,在根据本专利技术的程序访问权限控制方法中,在第一文件系统接收程序发送的第一访问请求,第一访问请求至少包括程序的标识参数的步骤之前,还包括步骤:基于第二文件系统,动态生成权限控制模块。
[0011]可选地,在根据本专利技术的程序访问权限控制方法中,基于第二文件系统,动态生成权限控制模块的步骤包括:对驻留在第二模块中的功能函数进行封装;基于封装后的功能函数,重新编写第二模块的功能函数;根据重新编写的功能函数及预设的功能需求,生成权限控制模块。
[0012]可选地,在根据本专利技术的程序访问权限控制方法中,第一文件系统为VFS,第二文件系统为FUSE,第一模块为FUSE内核模块,第二模块libFUSE。
[0013]根据本专利技术的又一个方面,提供一种程序访问权限控制装置,包括:第一文件系统,适于接收程序发送的第一访问请求和将访问权限的结果转发至程序,第一访问请求至少包括程序的标识参数;第二文件系统包括第一模块和第二模块,第一模块,适于将第一访问请求从第一文件系统转发至第二模块和将访问权限的结果转发至第一文件系统;第二模块,适于将第一访问请求发送至驻留在用户空间的权限控制模块和将访问权限的结果转发至第一模块;权限控制模块,适于根据标识参数,生成指示程序的访问权限的结果;其中,第一文件系统和第一模块设置在操作系统的内核空间,第二模块和权限控制模块设置在操作系统的用户空间。
[0014]根据本专利技术的又一个方面,提供一种计算设备,包括:至少一个处理器;和存储有程序指令的存储器,其中,所述程序指令被配置为适于由所述至少一个处理器执行,所述程序指令包括用于执行上述方法的指令。
[0015]根据本专利技术的又一个方面,提供一种存储有程序指令的可读存储介质,当所述程序指令被计算设备读取并执行时,使得所述计算设备执行上述的方法。
[0016]根据本专利技术的方案,通过驻留在用户空间的第二文件系统,解决了文件系统必须在内核空间的难题,将文件系统的实现从内核态搬到了用户态,使得内核空间的访问都被转发到用户空间中,解决了在内核空间开发权限控制模块的难题。
[0017]根据本专利技术的方案,程序开发开在用户空间完成,用户空间开发程序比内核空间要方便,并且可以方便的使用模块化或者插件化的开发方式。通过提供加载插件的功能,以中间件的形式的调用,这样子可以方便的通过插件扩展出不同的功能。
[0018]上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
附图说明
[0019]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0020]图1示出了根据本专利技术一个实施例的计算设备100的示意图;
[0021]图2示出了根据本专利技术一个实施例的程序访问权限控制方法200的流程图;
[0022]图3示出了根据本专利技术一个实施例的程序访问权限控制装置300的结构图。
具体实施方式
[0023]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0024]当前,在面对自主可控应用的大力示范和推广左右下,基于Linux操作系统环境下的文件应用的安全越来越受到重视,也越来越得到广泛关注,其安全性、可用性和易用性显得尤为重要。
[0025]在Linux操作系统环境下,对文件进行的安全应用管理包括文件的加密保护和标识密级,市场上普遍的方法是在Linux系统配置基于权限和访问控制列表的访问控制,但是这种操作仅能够本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种程序访问权限控制方法,在计算设备中执行,所述计算设备包括第一文件系统、第二文件系统和权限控制模块,所述第二文件系统至少包括第一模块和第二模块,且所述第一文件系统驻留在操作系统的内核空间,所述第一模块驻留在所述操作系统的内核空间及所述第二模块驻留在所述操作系统的用户空间,所述权限控制模块驻留在所述操作系统的用户空间,该方法包括:所述第一文件系统接收程序发送的第一访问请求,所述第一访问请求至少包括程序的标识参数;由所述第一模块将所述第一访问请求从所述第一文件系统转发至所述第二模块;由所述第二模块将所述第一访问请求发送至所述权限控制模块;由所述权限控制模块根据所述标识参数,生成指示所述程序的访问权限的结果并由所述第二模块将所述结果通过所述第一模块转发至所述第一文件系统;所述第一文件系统将所述结果转发至所述程序,以使所述程序基于所述结果执行相应的流程。2.如权利要求1所述的方法,其中,所述由所述第一模块将所述第一访问请求从所述第一文件系统转发至所述第二模块的步骤包括:将所述第一文件系统的调用接口与所述第一模块进行连接;将所述第一模块与所述第二模块的调用接口连接。3.如权利要求1所述的方法,其中,所述由所述权限控制模块根据所述标识参数,生成指示所述程序的访问权限的结果并由所述第二模块将所述结果通过所述第一模块转发至所述第一文件系统的步骤包括:判断所述标识参数对应的程序是否具备访问目标文件的权限;若具备,则生成第一结果;若不具备,则生成第二结果。4.如权利要求3所述的方法,其中,在所述若不具备,则生成第二结果的步骤之后,还包括步骤:提示用户,是否对所述程序进行授权。5.如权利要求1所述的方法,其中,所述在所述第一文件系统接收程序发送的第一访问请求,所述第一访问请求至少包括程序的标识参数的步骤之前,还包括步骤:基于所述第二文件系统,动...
【专利技术属性】
技术研发人员:张丁元,张继德,
申请(专利权)人:统信软件技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。