多用户级目录的访问控制方法、装置、设备及存储介质制造方法及图纸

本发明专利技术涉及访问控制技术领域，特别涉及一种多用户级目录的访问控制方法、装置、设备及存储介质。方法包括：当接收到操作用户的打开目标文件的第一访问指令时，调用第一访问控制钩子；第一访问控制钩子查询目标文件所在目录的安全策略，并调用文件代理对象创建接口，以利用文件代理对象创建接口生成目标文件代理对象，然后将目标文件代理对象返回给操作用户；针对接收到的第二访问指令，均执行：基于当前第二访问指令中的操作目标，调用第二访问控制钩子；第二访问控制钩子基于目标文件代理对象和当前第二访问指令中的访问信息，执行该第二访问控制钩子的设定操作。本方案，可以实现多用户同一文件数据的安全隔离，保证多用户之间数据的隐私性。间数据的隐私性。间数据的隐私性。

【技术实现步骤摘要】
多用户级目录的访问控制方法、装置、设备及存储介质


[0001]本专利技术实施例涉及访问控制
，特别涉及一种多用户级目录的访问控制方法、装置、设备及存储介质。

技术介绍

[0002]在操作系统中，通常使用自主访问控制方法和强制访问控制方法来控制主体对文件的访问。首先，在访问文件之前，需要判断主体是否有权限访问文件，得到访问授权后主体方可访问到文件，但是对于这两种访问控制机制，都存在的缺点是授权只是根据授权策略允许或者拒绝主体对文件的访问，而不支持多用户层级间的文件数据内容隔离机制，使得用户一旦获取到文件的访问权限，便可以获取到文件中的所有数据内容，故而，现有的访问控制方法的灵活性和保密性都比较差。
[0003]因此，亟需一种多用户级目录的访问控制方法。

技术实现思路

[0004]为了解决现有的访问控制方法的灵活性和保密性都比较差的问题，本专利技术实施例提供了一种多用户级目录的访问控制方法、装置、设备及存储介质。
[0005]第一方面，本专利技术实施例提供了一种多用户级目录的访问控制方法，方法包括：当接收到操作本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种多用户级目录的访问控制方法，其特征在于，包括：当接收到操作用户的打开目标文件的第一访问指令时，调用第一访问控制钩子；其中，所述第一访问控制钩子的操作目标为打开目标文件；所述第一访问控制钩子查询所述目标文件所在目录的安全策略；当获取到所述安全策略时，所述第一访问控制钩子调用文件代理对象创建接口，以利用所述文件代理对象创建接口基于所述安全策略从目录副本中查询所述目标文件，以此生成目标文件代理对象，然后将所述目标文件代理对象返回给所述操作用户；其中，所述目录副本存储有每个用户在该目录的私有文件，所述安全策略含有当前目录的用户共享规则；针对接收到的每一个第二访问指令，均执行：基于当前第二访问指令中的操作目标，调用第二访问控制钩子；其中，所述第二访问控制钩子的操作目标至少包括关闭目标文件、读取目标文件、写目标文件、目标文件删除；所述第二访问指令包括操作目标和访问信息；所述第二访问控制钩子基于所述目标文件代理对象和当前第二访问指令中的访问信息，执行该第二访问控制钩子的设定操作。2.根据权利要求1所述的方法，其特征在于，所述安全策略包括第一用户名和基础操作符；其中，所述基础操作符包括共享操作、共享于操作、共享所有用户操作和共享给所有用户操作；当所述基础操作符为所述共享操作和所述共享于操作时，所述安全策略还包括一个第二用户名，且所述第二用户名位于所述基础操作符之后；当所述基础操作符为所述共享所有用户操作和所述共享给所有用户操作时，所述安全策略还包括“expect”操作和至少一个第三用户名，且所述“expect”操作和至少一个第三用户名依次位于所述基础操作符之后。3.根据权利要求1所述的方法，其特征在于，所述文件代理对象创建接口是通过如下方式生成目标文件代理对象的：基于所述目标文件的名称，创建一个初始的目标文件代理对象；在所述操作用户的私有文件中查询是否含有所述目标文件；若有，则将所述目标文件的实体文件信息填入临时链表的节点中，并遍历所述安全策略，以查找共享给所述操作用户的其他用户的私有文件中的所述目标文件，并将查找到的所述目标文件的实体文件信息依次填入所述临时链表的节点中；若没有，则直接遍历所述安全策略，以查找共享给所述操作用户的其他用户的私有文件中的所述目标文件，并将查找到的所述目标文件的实体文件信息填入所述临时链表的节点中；判断所述临时链表中的每一个节点是否为空；若均为空，则销毁初始的目标文件代理对象，目标文件代理对象创建失败；若不都为空，则将所述临时链表中不为空的节点存储的实体文件信息依次填充到初始的目标文件代理对象的链表中，然后计算并存储填充的每一个目标文件的长度，生成目标文件代理对象。4.根据权利要求3所述的方法，其特征在于，当所述第二访问控制钩子的操作目标为关闭目标文件时，所述第二访问控制钩子基于所述目标文件代理对象和当前第二访问指令中
的访问信息，执行该第二访问控制钩子的设定操作，包括：所述第二访问控制钩子获取所述第二访问指令中的访问信息；其中，该第二访问指令中的访问信息包括目标文件的名称；基于所述目标文件的名称，获取所述目标文件代理对象；遍历所述目标文件代理对象的链表中的每一个节点，以基于所述实体文件信息释放对应的资源，直至释放所述目标文件代理对象。5.根据权利要求3所述的方法，其特征在于，当所述第二访问控制钩子的操作目标为读取目标文件时，所述第二访问控制钩子基于所述目标文件代理对象和当前第二访问指令中的访问信息，执行该第二访问控制钩子的设定操作，包括：所述第二访问控制钩子获取所述第二访问指令中的访问信息；其中，该第二访问指令中的访问信息包括目标文件的名称、链表的初始读偏移、目标文件的读偏移和目标读长度；基于所述目标文件的名称，获取所述目标文件代理对象；基于链表的初始读偏移，确定第一个实体文件信息，...

【专利技术属性】
技术研发人员：孟德伟，徐宁，李宇哲，章轶，
申请(专利权)人：北京长扬软件有限公司，
类型：发明
国别省市：