本发明专利技术公开了一种操作权限确定方法、装置、设备及介质。该方法包括:当目标程序中的待确定进程对待访问文件进行访问时,设备的用户态根据目标程序的启动方式,确定待确定进程的权能信息;判断待确定进程是否指定预设文件权限列表,得到待确定进程对应的列表判断结果;设备的内核态根据列表判断结果及权能信息,确定待确定进程对待访问文件的操作权限。通过以进程为单位进行权限确定,在进程上以预设文件权限列表的方式,来确定待确定进程对待访问文件的操作权限。进程需要的文件和对应的权限可以直接写入列表中,权限的控制更加灵活和直观。权限控制颗粒度更细,满足最小权限原则,避免了用户进程拥有多余权限的情况。免了用户进程拥有多余权限的情况。免了用户进程拥有多余权限的情况。
【技术实现步骤摘要】
一种操作权限确定方法、装置、设备及介质
[0001]本专利技术涉及计算机系统安全
,尤其涉及一种操作权限确定方法、装置、设备及介质。
技术介绍
[0002]Linux系统使用DAC(自主访问控制)做为基础的访问控制框架,在这个框架中,所有的进程和文件都会被赋予用户和组信息。进程对文件的权限被分为rwx(读写运行)三种。通过进程和文件的用户和组的相关匹配关系将进程区分为文件的用户,组以及其他(UGO),并通过不同的标签来判断读写操作的权限。
[0003]现有技术在程序启动过程中,进程会根据启动的方式附加对应的UID,GID和cap等信息,当进程想要访问某个文件时,会根据UID,GID和cap等信息进行权限判定。在程序缺少对文件的操作权限时,如果想要不被权限拒绝。一般就需要修改文件的权限信息,如:修改这个文件的UGO位上的rwx标签,文件的UID或者访问控制列表(acl)等。也可以为进程提供相关特权,如root权限或者文件读写操作相关的能力(cap)。
[0004]但是这种修改文件的权限信息的方式以UID作为权限的判断依据,存在单个UID被多个进程共用的情况,某些进程可能对该文件并不需要相关的权限,因此会造成权限外溢。另外修改文件权限的方式比较繁琐,需要相关知识储备。为进程提供特权的方式:大多数这一类方案都是通过直接赋予程序root权限或者无视DAC的能力,此时进程的权限将不可控。
技术实现思路
[0005]本专利技术提供了一种操作权限确定方法、装置、设备及介质,以实现对进程操作权限的确定。
[0006]根据本专利技术的第一方面,提供了一种操作权限确定方法,包括:
[0007]当目标程序中的待确定进程对待访问文件进行访问时,通过设备的用户态根据所述目标程序的启动方式,确定所述待确定进程的权能信息;
[0008]判断所述待确定进程是否指定预设文件权限列表,得到所述待确定进程对应的列表判断结果;
[0009]通过所述设备的内核态根据所述列表判断结果及所述权能信息,确定所述待确定进程对所述待访问文件的操作权限。
[0010]根据本专利技术的第二方面,提供了一种操作权限确定装置,包括:
[0011]信息确定模块,用于当目标程序中的待确定进程对待访问文件进行访问时,通过设备的用户态根据所述目标程序的启动方式,确定所述待确定进程的权能信息;
[0012]结果确定模块,用于判断所述待确定进程是否指定预设文件权限列表,得到所述待确定进程对应的列表判断结果;
[0013]权限确定模块,用于通过所述设备的内核态根据所述列表判断结果及所述权能信息,确定所述待确定进程对所述待访问文件的操作权限。
[0014]根据本专利技术的第三方面,提供了一种电子设备,所述电子设备包括:
[0015]至少一个处理器;以及
[0016]与所述至少一个处理器通信连接的存储器;其中,
[0017]所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本专利技术任一实施例所述的操作权限确定方法。
[0018]根据本专利技术的第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本专利技术任一实施例所述的操作权限确定方法。
[0019]本专利技术实施例的技术方案,通过当目标程序中的待确定进程对待访问文件进行访问时,通过设备的用户态根据目标程序的启动方式,确定待确定进程的权能信息;判断待确定进程是否指定预设文件权限列表,得到待确定进程对应的列表判断结果;通过设备的内核态根据列表判断结果及权能信息,确定待确定进程对待访问文件的操作权限。通过以进程为单位进行权限确定,在进程上以预设文件权限列表的方式,来确定待确定进程对待访问文件的操作权限。进程需要的文件和对应的权限可以直接写入列表中,权限的控制更加灵活和直观。权限控制颗粒度更细,满足最小权限原则,避免了用户进程拥有多余权限的情况。
[0020]应当理解,本部分所描述的内容并非旨在标识本专利技术的实施例的关键或重要特征,也不用于限制本专利技术的范围。本专利技术的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0021]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0022]图1是根据本专利技术实施例一提供的一种操作权限确定方法的流程图;
[0023]图2是根据本专利技术实施例二提供的一种操作权限确定方法的流程图;
[0024]图3是根据本专利技术实施例二提供的一种操作权限确定方法的示例流程图;
[0025]图4是根据本专利技术实施例三提供的一种操作权限确定装置的结构示意图;
[0026]图5是实现本专利技术实施例的电子设备的结构示意图。
具体实施方式
[0027]为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。
[0028]需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用
的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0029]实施例一
[0030]图1为本专利技术实施例一提供了一种操作权限确定方法的流程图,本实施例可适用于对进程的权限确定的情况,该方法可以由操作权限确定装置来执行,该操作权限确定装置可以采用硬件和/或软件的形式实现,该操作权限确定装置可配置于电子设备中。如图1所示,该方法包括:
[0031]S110、当目标程序中的待确定进程对待访问文件进行访问时,设备的用户态根据目标程序的启动方式,确定待确定进程的权能信息。
[0032]在本实施例中,目标程序可以理解为处于启动过程中的程序。待确定进程可以理解为目标程序中启动的进程。待访问文件可以理解为待确定进程需要进行访问的文件。设备可以理解为目标程序所运行的电子设备。用户态可以理解为非特权状态,在此状态下不能进行某些操作。启动方式可以理解为目标程序启动时对应的配置文件所记载的方式。权能信息可以理解为用于表示待本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种操作权限确定方法,其特征在于,包括:当目标程序中的待确定进程对待访问文件进行访问时,设备的用户态根据所述目标程序的启动方式,确定所述待确定进程的权能信息;判断所述待确定进程是否指定预设文件权限列表,得到所述待确定进程对应的列表判断结果;所述设备的内核态根据所述列表判断结果及所述权能信息,确定所述待确定进程对所述待访问文件的操作权限。2.根据权利要求1所述的方法,其特征在于,在所述判断所述待确定进程是否指定预设文件权限列表,得到所述待确定进程对应的列表判断结果之后,还包括:当所述列表判断结果为存在预设文件权限列表时,在所述设备内核态的指定接口上添加所述预设文件权限列表,并调整所述指定接口具备的操作权限。3.根据权利要求1所述的方法,其特征在于,所述根据所述列表判断结果及所述权能信息,确定所述待确定进程对所述待访问文件的操作权限,包括:当所述列表判断结果为存在预设文件权限列表时,根据所述待确定进程的预设文件权限列表,确定所述待确定进程对所述待访问文件的操作权限;当所述列表判断结果为不存在预设文件权限列表时,根据所述权能信息,确定所述待确定进程对所述待访问文件的操作权限。4.根据权利要求3所述的方法,其特征在于,所述根据所述待确定进程的预设文件权限列表,确定所述待确定进程对所述待访问文件的操作权限,包括:判断所述预设文件权限列表中是否具有对待访问文件的操作权限;若是,则确定所述待确定进程具备操作权限,并开放指定接口的操作权限;若否,则返回至根据所述权能信息,确定所述待确定进程对所述待访问文件的操作权限的步骤。5.根据权利要求3所述的方法,其特征在于,所述根据所述权能信息,确定所述待确定进程对所述待访问文件的操作权限,包括:提取所述待访问文件的文件ID,以及所述权能信息中的用户ID、组ID和文件能力;判断所述文件能力中是否包括对待访问...
【专利技术属性】
技术研发人员:熊镇武,何平,刘旭芝,
申请(专利权)人:亿咖通湖北技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。