本发明专利技术公开了一种基于容器的用户私有数据保护方法,实施步骤如下:1)创建私有数据容器,为私有数据容器添加包含属主信息和访问授权信息的容器安全属性;2)检测用户的访问请求,当用户向私有数据容器发出访问请求时,如果当前用户是属主,则允许访问或修改访问授权信息;如果当前用户不是属主,则判断当前用户是否已经得到属主的访问授权,如果已经获得访问授权则返回私有数据容器的文件或目录信息,允许当前用户按照授权访问所述私有数据容器,否则不返回私有数据容器的文件或目录信息,将私有数据容器向当前用户隐藏。本发明专利技术具有安全可靠、访问控制方便、分享简单灵活、分享细粒度高、数据分享可控制性好、通用性好、适用范围广的优点。
【技术实现步骤摘要】
本专利技术涉及计算机系统的用户数据安全领域,具体涉及一种基于容器的私有数据保护方法。
技术介绍
随着计算机及网络技术的发展,云计算等网络计算平台的广泛应用,越来越多的关键业务系统运行在网络计算平台。网络计算平台的业务应用往往有大量的人员及用户共同维护或使用一个服务器,而一切业务应用的核心都是用户的数据,因此用户私有数据隔离与共享等数据安全问题就突显的尤为重要。一旦用户数据泄露或丢失就可能让组织蒙受经济损失,或者失去客户和公众的信任,用户私有数据安全的需求显得更为迫切。目前系统的访问控制是基于用户的身份认证,系统管理员具有较大的权限,可以越过系统自主访问控制,访问普通用户的数据,这样系统用户的私有数据得不到有效保障。通过获得管理员权限后窃取其他用户的私有数据也是常用的攻击手段,因此如何限制管理员查看用户私有数据非常重要。现有技术为了实现限制管理员查看用户私有数据,一般包含下述技术方案 I)数据加密。数据加密是保护用户私有数据安全的常用手段,该方法能较好地防止离线攻击。但是数据加密保护的安全性取决于加密算法的强度以及用户加密密钥的保护,由于能够感知到数据的存在,非法用户仍然可以通过暴力解密、窃取用户身份等手段获取用户的数据。2)禁用系统管理员用户。为了防止系统管理员查看用户的私有数据,也有系统通过禁用系统管理员用户保证用户数据安全,把部分特权如用户创建等赋予第一个用户,但这种方法在系统配置过程中操作不方便,而且存在特权用户,也有一定的风险。3)用户隔离。系统创建多个虚拟机,每个用户的数据均在不同的虚拟机内部,通过虚拟机的隔离实现用户数据的隔离,在需要共享数据时,通过网络访问或者共享虚拟机的方式进行数据共享。这种方法能较好地进行用户数据的隔离,但是在用户量大时,每个用户独享一个虚拟机的方式会占用大量的cpu资源和存储资源,导致系统性能极其低下,同时也不能有效防止管理员等特权用户的访问,外部攻击者也能够通过网络攻击获取用户数据。
技术实现思路
本专利技术要解决的技术问题是提供一种能够限制系统管理员权限以保证用户私有数据安全,具有隔离、隐藏及细粒度的数据共享功能,安全可靠性高、通用性好的基于容器的用户私有数据保护方法。为了解决上述技术问题,本专利技术采用的技术方案为 ,其实施步骤如下 I)为用户创建用于存储用户私有数据的私有数据容器,为所述私有数据容器添加包含属主信息和访问授权信息的容器安全属性,所述属主信息用于存储私有数据容器创建者的用户信息,所述访问授权信息用于存储授权访问用户的访问授权信息; 2)检测用户的访问请求,当用户向私有数据容器发出访问请求时,判断当前用户是否为私有数据容器的属主,如果当前用户是属主,则根据访问请求访问所述私有数据容器或者修改私有数据容器的访问授权信息;如果当前用户不是属主,则根据私有数据容器的访问授权信息判断当前用户是否已经得到属主的访问授权,如果当前用户已经获得访问授权,则返回私有数据容器的文件或目录信息,允许当前用户按照授权访问所述私有数据容器,否则不返回私有数据容器的文件或目录信息,将所述私有数据容器向当前用户隐藏。作为本专利技术上述技术方案的进一步改进 所述步骤I)创建的私有数据容器为基于目录或文件形式的私有数据容器,当用户访问基于目录形式的私有数据容器并在所述私有数据容器内创建子目录和文件时,新建的子目录和文件也作为基于目录或文件形式的私有数据容器默认继承父目录的容器安全属性。所述容器安全属性存储在私有数据容器对应文件或目录的扩展属性空间内;所述容器安全属性包含用于将私有数据容器区别于普通文件或者目录的容器标识、用于记录私有数据容器创建者的用户信息的属主信息、用于记录授权访问的其他用户信息的访问控制信息表和用于记录读、写、执行权限的访问控制权限集,所述访问控制信息表和访问控制权限集构成私有数据容器的访问授权信息,所述容器安全属性中的属主信息在私有数据容器被创建时一次性赋值且不可修改,所述访问控制信息表在私有数据容器被创建时缺省为空。所述属主信息、访问控制信息表中存储的用户信息均指从操作系统的用户进程中提取得到的用户私有令牌信息。所述步骤2)的详细步骤如下 2.1)检测当前用户的访问请求的目标文件或者目录的容器标识,如果访问请求的目标文件或者目录的容器标识未设置,则按照普通访问请求处理;否则跳转执行下一步; 2. 2)判断当前用户是否为私有数据容器的属主,如果当前用户是属主,则判断访问请求是否为修改私有数据容器的访问授权信息的操作,当访问请求为修改私有数据容器的访问授权信息的操作时修改私有数据容器的访问授权信息,当访问请求并非修改私有数据容器的访问授权信息的操作时直接访问私有数据容器;如果当前用户不是属主,则跳转执行步骤2. 3); 2. 3)根据私有数据容器的访问授权信息判断当前用户是否已经得到属主的访问授权,如果当前用户已经获得访问授权,则跳转执行下一步;否则不返回私有数据容器的文件或目录信息,将所述私有数据容器向当前用户隐藏; 2. 4)根据所述私有数据容器的访问授权信息判断当前用户是否具有访问请求对应请求类型的访问权限,如果有所述访问请求对应请求类型的访问权限则返回私有数据容器的文件或目录信息、允许当前用户访问所述私有数据容器;如果没有所述访问请求对应请求类型的访问权限,则拒绝访问。所述步骤2. 2)如果当前用户不是属主时还包括检测系统管理员删除私有数据容器的步骤,所述检测系统管理员删除私有数据容器的步骤如下 2. 2.1)在当前用户不是属主时,判断当前用户是否为系统管理员,如果当前用户为系统管理员则跳转执行下一步;否则跳转执行步骤2. 3); 2. 2. 2)判断系统管理员的访问请求是否为删除私有数据容器的操作,如果所述访问请求为删除私有数据容器的操作则跳转执行下一步;否则跳转执行步骤2. 3); 2. 2. 3)判断所述私有数据容器的属主对应的用户是否已经失效,如果用户已经失效则响应系统管理员的访问请求,删除所述访问请求指定的私有数据容器;否则拒绝删除操作。本专利技术具有下述优点1、本专利技术为用户创建用于存储用户私有数据的私有数据容器,实现了私有数据容器的专有保护功能,并且能够实现私有数据容器对其他用户的授权访问共享,通过设定容器控制策略规则和包含属主信息的容器安全属性限制系统管理员权限,有效保证用户容器内数据安全,具有安全可靠、访问控制方便、分享简单灵活的优点。2、本专利技术实现私有数据容器针对没有任何访问权限的用户进行隐藏,有部分或全部访问权限的用户不隐藏,可以感知到容器的存在,容器属主可以针对其他用户令牌信息设置容器及其内部私有文件的访问控制策略,授权的粒度可以是单个用户;实现容器属性保护机制,容器的属主身份一经确定不能更改;只有进程的令牌信息和容器安全属性中容器属主的私有令牌信息相一致时,才能确认为容器属主;任何用户(包括管理员在内)均不能通过su等setuid操作伪造用户的私有令牌信息,即无法获取或更改容器属主身份,具有隔离、隐藏及细粒度的数据共享功能,具有分享细粒度高、数据分享可控制性好的优点。3、本专利技术采用的包含用户私有令牌信息的容器安全属性和控制策略具有通用性,便于多种目标系统使用本专利技术实现基于容器的用户私有数据保护,能够支持平台的多本文档来自技高网...
【技术保护点】
一种基于容器的用户私有数据保护方法,其特征在于实施步骤如下:1)为用户创建用于存储用户私有数据的私有数据容器,为所述私有数据容器添加包含属主信息和访问授权信息的容器安全属性,所述属主信息用于存储私有数据容器创建者的用户信息,所述访问授权信息用于存储授权访问用户的访问授权信息;2)检测用户的访问请求,当用户向私有数据容器发出访问请求时,判断当前用户是否为私有数据容器的属主,如果当前用户是属主,则根据访问请求访问所述私有数据容器或者修改私有数据容器的访问授权信息;如果当前用户不是属主,则根据私有数据容器的访问授权信息判断当前用户是否已经得到属主的访问授权,如果当前用户已经获得访问授权,则返回私有数据容器的文件或目录信息,允许当前用户按照授权访问所述私有数据容器,否则不返回私有数据容器的文件或目录信息,将所述私有数据容器向当前用户隐藏。
【技术特征摘要】
1.一种基于容器的用户私有数据保护方法,其特征在于实施步骤如下 1)为用户创建用于存储用户私有数据的私有数据容器,为所述私有数据容器添加包含属主信息和访问授权信息的容器安全属性,所述属主信息用于存储私有数据容器创建者的用户信息,所述访问授权信息用于存储授权访问用户的访问授权信息; 2)检测用户的访问请求,当用户向私有数据容器发出访问请求时,判断当前用户是否为私有数据容器的属主,如果当前用户是属主,则根据访问请求访问所述私有数据容器或者修改私有数据容器的访问授权信息;如果当前用户不是属主,则根据私有数据容器的访问授权信息判断当前用户是否已经得到属主的访问授权,如果当前用户已经获得访问授权,则返回私有数据容器的文件或目录信息,允许当前用户按照授权访问所述私有数据容器,否则不返回私有数据容器的文件或目录信息,将所述私有数据容器向当前用户隐藏。2.根据权利要求1所述的基于容器的用户私有数据保护方法,其特征在于所述步骤I)创建的私有数据容器为基于目录或文件形式的私有数据容器,当用户访问基于目录形式的私有数据容器并在所述私有数据容器内创建子目录和文件时,新建的子目录和文件也作为基于目录或文件形式的私有数据容器默认继承父目录的容器安全属性。3.根据权利要求2所述的基于容器的用户私有数据保护方法,其特征在于所述容器安全属性存储在私有数据容器对应文件或目录的扩展属性空间内;所述容器安全属性包含用于将私有数据容器区别于普通文件或者目录的容器标识、用于记录私有数据容器创建者的用户信息的属主信息、用于记录授权访问的其他用户信息的访问控制信息表和用于记录读、写、执行权限的访问控制权限集,所述访问控制信息表和访问控制权限集构成私有数据容器的访问授权信息,所述容器安全属性中的属主信息在私有数据容器被创建时一次性赋值且不可修改,所述访问控制信息表在私有数据容器被创建时缺省为空。4.根据权利要求3所述的基于容器的用户私有数据保护方法,其特征在于所述属主信息、访问控制信息表中存储的用户信息均指从操作系统的用户进程中提取得到的用户私有令牌信息。...
【专利技术属性】
技术研发人员:刘东红,魏立峰,童岚岚,陈松政,初宁,丁滟,曹江,吴庆波,李永红,戴华东,黄辰林,付松龄,董攀,
申请(专利权)人:中国人民解放军总参谋部第六十一研究所,中国人民解放军国防科学技术大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。