一种在文件系统中提供自定义存取控制方式的方法,其中,将访问操作的存取控制验证工作细分成若干彼此独立的验证步骤,每个验证步骤由预先设定的验证方法和执行验证方法的输入信息所组成。自定义的含义体现在管理者和应用程序能规定存取控制验证工作所包括的验证步骤、能规定每个验证步骤的操作流程以及能规定验证步骤所需要的各种数据内容,甚至能添加所需的验证方法。利用该方法,文件系统可以为各种内容管理型的应用开发提供底层支持,促进新型内容管理应用的出现。
【技术实现步骤摘要】
本专利技术的内容涉及操作系统中负责管理和存储文件信息的文件管理系统,即文件 系统。具体讲述。其中通过提供可配置 化的文件存取控制过程和提供多样性的验证方法,使得用户和应用程序利用文件系统便能 满足个性化的文件存取控制需求,最终让文件系统成为内容管理及其应用的基础平台。
技术介绍
负责管理和存储文件信息的文件系统主要由三部分组成与文件管理有关的软 件、被管理的文件以及实施文件管理所需的数据结构。从系统角度来看,文件系统是对文件 存储器空间进行组织和分配,负责文件的存储并对存入的文件进行保护和检索的系统。具 体地说,它负责为用户建立文件,存入、读出、修改、转储文件、控制文件的存以及当用户不 再使用时撤销文件等。控制文件的存取是文件系统的基础功能,目的是在文件共享的使用过程中避免破 坏的发生,通常在文件系统中由存取控制验证模块来完成。在通用文件系统中,存取控制验 证模块是位于目录检索模块和逻辑文件系统之间的检查站,负责访问限制和共享权的核对 与判断,如图1。实现文件保护是存取控制验证模块的基础功能。其工作过程通常为,把用 户提出的访问要求与文件控制块中所规定的存取控制设置信息进行比较,审核用户的访问 是否合法。存取控制设置信息是文件存取控制工作的依据。存取矩阵(Access Matrix)是现 有存取控制设置信息的典型类型。存取矩阵使用行来表示访问动作的引发者,即访问主体。 存取矩阵使用列来表示被访问的对象,即访问客体。存取矩阵中每个元素都存储着一些存 取权限。存取控制列表ACL (Access Control List)和存取能力列表(Capability List) 是最常见的存取矩阵实现形式。基于存取矩阵的文件系统存取控制核心为限定访问主体对 访问客体的操作权限,访问主体的类型范围由操作系统预先定义。在互联网快速发展和移动存储日益普及的背景下,电子文件的携带性逐渐增强和 传播速度日益加快,分布性是现今电子文件的重要存在特征。现有文件系统的存取控制工 作基于操作系统中的存取矩阵保护,即限定访问主体对访问客体的访问权限。在网络的环 境下,文件的管理者和访问者经常分布在网络的两端,访问主体的含义需要由远程文件管 理者来定义,即访问主体具呈现网络化的特点。由于存取控制需求中的访问主体已经不局 限于单一的操作系统范畴,文件系统提供的存取控制手段已经不能满足分布状态下的文件 管理需要。为了解决分布状态下的文件管理需要,越来越多的文件编辑器或文件访问工具开 始利用改变文件内容格式的方式来提供文件内容访问控制。例如,FileSecure使用特定文 件格式提供内容控制。Word在文档中加入访问密码,甚至0ffice2003进一步提出了 IRM管 理机制。在应用工具中增添文件内容访问控制措施的技术手段在能满足特定文件管理需要的同时,也存在一些不足。首先,用户需求的多样性和变化性使得单纯应用层解决方案将 不断增加应用开发的复杂度。其次,应用层的管理根本上是内容层面的管理,电子文件的分 散性和围绕电子文件的物理访问两方面依然没有得到有效管理。
技术实现思路
由于文件系统的特殊地位,如果文件系统能提供一种自定义存取控制方式,通过 提供可配置的存取控制接口以及基础的存取控制手段让管理者和应用程序能定制所需的 存取控制过程,将会有以下优点1通过可配置的接口,管理者和应用程序设置符合自己要求的验证条件,甚至加入 新的验证手段,进而可以便捷实现个性化的文件管理的目的,不需等待其他应用软件的支持。2将基础和通用的存取控制手段存放于文件系统中,可以省去应用程序开发的大 量工作,进而提高开发效率。本专利技术中,在文件系统内提供自定义存取控制方式的核心思想是将访问操作的存 取控制验证工作细分成若干彼此独立的验证步骤,每个验证步骤由预先设定的验证方法和 执行验证方法的输入信息所组成。自定义的含义体现在管理者和应用程序能规定存取控制 验证工作所包括的验证步骤、能规定每个验证步骤的操作流程以及能规定验证步骤所需要 的各种数据内容,甚至能添加所需的验证方法。具体来说,在文件系统中提供自定义存取控 制方式的方法包括以下四个方面1文件系统提供多种用于存取控制验证工作的验证方法,并支持新验证方法的添 加。每种验证方法和执行该验证方法的输入信息能共同组成一个验证步骤。2文件系统中,文件和目录所具有的存取控制设置信息由一个或多个访问操作的 存取控制要求所组成。存取控制要求在记录与访问操作关联的验证方法之外,还记录各验 证方法执行所需的必要信息。3访问操作发生时,存取控制验证模块工作的基本过程为第一步,收集影响访问 操作的存取控制要求,第二步,针对收集的存取控制要求,执行其中与访问操作相关联的验 证方法。第三步,依据所有被执行验证方法的执行结果来决定是否批准访问操作执行。4文件系统通过提供访问接口,使得工具程序和应用程序能对记录存取控制设置 信息的数据结构进行操作。如上方案中,验证方法是验证步骤的代码实现,即功能函数,其存在位置包括位于 文件系统自身含有的静态代码模块中和位于从文件系统外部加入的动态链接库中两种。验证方法存在用户身份的验证、访问程序的验证以及使用环境的验证等三种类 型。用户身份验证的功能是核实访问者具有规定认证体系的合法身份,例如,要求具有网络 认证服务器上的合法身份、要求具有本地操作系统的特定身份。访问程序的验证用来确保 访问操作仅能由规定的计算机软件程序执行,例如,要求访问程序具有规定的程序名称、要 求访问程序的进程为系统进程。使用环境的验证用来确保访问操作仅能在特定的计算机使 用环境下执行,例如,要求网络上存在特定服务器、要求计算机上安装特定硬件、要求计算 机上运行着特定软件。在访问操作的存取控制要求中,每个被记录的验证方法都为访问操作存取验证的一个验证步骤。执行验证步骤时需要的数据信息也记录在访问操作所对应的存取控制要求 中,其范围包括软件程序、硬件设备、网络元素、使用者、数据获取途径等方面的标识信息, 还包括影响此验证方法工作过程的控制信息。在自定义存取控制方式中存取控制设置信息管理的访问操作包括文件系统传统 访问操作、围绕存取控制设置信息的访问操作、文件(目录)的个体管理操作等方面。对于 一个文件(目录)的访问操作,其存取控制要求的记录位置有两方面,一方面是在文件(目 录)本身的存取控制设置信息中,另一方面是在包含该文件(目录)的上级目录所具有的 存取控制设置信息中。记录存取控制设置信息的数据结构在文件系统中与文件(目录)的内容存储直接 关联,并作为文件(目录)的一部分而存在。基于上述方案,管理者和应用程序通过在文件(目录)的存取控制设置信息中选 择所要的验证方法并给定所需的数据信息,提供自定义存取控制方式的文件系统便会根据 存取控制设置信息的要求而管理文件(目录)所关联的访问操作。例如通过在文件读取操作的存取控制要求中选择执行远程身份验证的验证方 法,并给定网络认证服务器的访问途经,管理者便能利用远程计算机上文件系统的存取控 制验证模块来保证文件的读取操作只能由自己网络认证服务器授权的用户执行。这种方式 相比去找寻或等待的文档浏览程序来提供符合要求的认证模式更为便捷,甚至不需要为浏 览工具而改变文档格式。相比传统文件系统,具有自本文档来自技高网...
【技术保护点】
一种在文件系统中提供自定义存取控制方式的方法,包括以下步骤:(1)文件系统提供多种验证方法,并支持新验证方法的添加;(2)在文件(目录)的存取控制设置信息中记录与访问操作相关联的验证方法以及关联验证方法执行所需的必要信息;(3)针对文件(目录)的访问操作,存取控制工作过程为执行访问操作关联的每个验征方法;(4)文件系统提供操作存取控制设置信息的访问接口。
【技术特征摘要】
【专利技术属性】
技术研发人员:马杰,
申请(专利权)人:马杰,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。