一种面向进程的虚拟文件系统的建立方法技术方案

本发明专利技术公开了一种面向进程的虚拟文件系统构建方法，属于计算机领域。面向进程的虚拟文件系统构建方法包括：建立“进程虚拟文件系统配置文件”来存储进程虚拟文件系统与操作系统中全局文件系统的映射关系；进程运行时需指定“进程虚拟文件系统配置文件”，操作系统在内存中建立该进程的“进程虚拟文件系统配置表”，并导入该进程的“进程虚拟文件系统配置文件”的数据；进程的文件操作由操作系统通过该进程的“进程虚拟文件系统配置表”的映射关系转化为对操作系统中全局文件系统的对应文件的操作。本发明专利技术能够有效地实现不同进程之间文件系统的逻辑或者物理隔离，从而降低进程对操作系统中全局文件系统的破坏程度，提高全局文件系统的安全性。

【技术实现步骤摘要】

本专利技术属于计算机领域，主要关注提高进程与操作系统的安全性。
技术介绍
目前提高进程与操作系统的安全性主要采用Chroot方法，将进程限制在操作系统中全局文件系统的指定目录下，该指定目录下对进程而言全部可以按权限访问到。该方法对进程可以访问的文件及目录的控制过于粗放，同时在处理不当情况下会限制进程的正常访问要求。
技术实现思路
本专利技术目的是为了提高进程与操作系统的安全性，提供。与chroot方法不同的是，本专利技术不是将进程限制在操作系统中全局文件系统的指定目录下，而是面向进程建立一个完全属于该进程访问空间的虚拟文件系统(成为进程虚拟文件系统)，该进程虚拟文件系统由分散在操作系统中文件系统的多个目录在逻辑上组成一个完整的虚拟文件系统。1.本专利技术提供的面向进程的虚拟文件系统的建立方法，包括具体步骤如下:第1、建立进程的“进程虚拟文件系统配置文件”;“进程虚拟文件系统配置文件”给定了 “进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的目录及文件之间的映射关系、权限关系以及扩展访问规则。第2、编辑“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的目录及文件之间的映射关系、权限关系以及扩展访问规则。第3、进程运行时需指定“进程虚拟文件系统配置文件”，操作系统在内存中建立该进程的“进程虚拟文件系统配置表”，并导入该进程的“进程虚拟文件系统配置文件”的“进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则；操作系统在该进程的全局控制块中设定该“进程虚拟文件系统配置表”标识符，从而该进程所能访问的文件系统为刚设定的“进程虚拟文件系统”;进程能直接访问的文件系统是“进程虚拟文件系统”而不是操作系统中全局文件系统。第4、进程对“进程虚拟文件系统”进行文件操作时，操作系统通过该进程的全局控制块中的“进程虚拟文件系统配置表”标识符在内存中找到对应的“进程虚拟文件系统配置表”，并进一步根据该“进程虚拟文件系统配置表”中存储的映射关系，将进程所要访问的“进程虚拟文件系统”中的文件操作转化为对操作系统中全局文件系统的对应文件的访问操作。按照本专利技术提供的建立方法，第I步骤所述的“进程虚拟文件系统”的目录是“进程虚拟文件系统”的根目录和“进程虚拟文件系统”的子目录的统称；“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的目录是“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的根目录和“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的子目录的统称；“进程虚拟文件系统配置文件”至少要给定“进程虚拟文件系统”的根目录与操作系统中全局文件系统的给定目录的映射关系、权限关系以及扩展访问规则；“进程虚拟文件系统配置文件”中新的子目录及文件将覆盖原目录及文件的映射关系、权限关系以及扩展访问规则。按照本专利技术提供的建立方法，每个进程对应一个“进程虚拟文件系统配置文件”；多个进程允许对应同一个“进程虚拟文件系统配置文件”，此时多个进程访问的文件系统涉及到“进程虚拟文件系统配置文件”中所指明的目录是同一个目录、所指明的文件是同一文件。按照本专利技术提供的建立方法，映射关系指明了“进程虚拟文件系统”中目录和操作系统中全局文件系统的目录的对应关系，其中“进程虚拟文件系统”中目录简称为虚拟目录，操作系统中全局文件系统的目录简称为映射目录；映射关系也支持“进程虚拟文件系统”的文件和操作系统中全局文件系统的文件的对应关系，其中“进程虚拟文件系统”的文件简称为虚拟文件，操作系统中全局文件系统的文件简称为映射文件；映射关系的基本信息包括由虚拟目录及文件和映射目录及文件的二元组组成；“进程虚拟文件系统”中的有且唯一有一个虚拟根目录，“进程虚拟文件系统”的虚拟根目录为该“进程虚拟文件系统”中所有一级子目录及文件和该“进程虚拟文件系统”所属的“进程虚拟文件系统配置文件”中根目录对应的映射目录下所有一级子目录及文件的合集。按照本专利技术提供的建立方法，权限关系指明了进程访问进程虚拟文件系统中某个目录的权限，权限关系包括只读(R)、写(W)、查找(S)、执行(X)基本关系以及基本关系基础上的组合关系。按照本专利技术提供的建立方法，扩展访问规则指明了进程访问“进程虚拟文件系统”中特定目录和特定文件的限制，扩展访问规则包括能访问的具体文件和目录、不能访问的具体文件和目录基本规则；扩展访问规则支持正则表达式；扩展访问规则为空时标明对特定目录和特定文件无限制。按照本专利技术提供的建立方法，操作系统根据每一个“进程虚拟文件系统配置文件”信息在内存中创建对应的“进程虚拟文件系统配置表”、“进程虚拟文件系统关联进程表”和“进程虚拟文件系统配置关系表”；“进程虚拟文件系统配置表”包括进程虚拟文件系统配置表标识符、进程虚拟文件系统关联进程总数、进程虚拟文件系统关联进程表指针、进程虚拟文件系统配置关系总数、进程虚拟文件系统配置关系表指针、下一个进程虚拟文件系统配置表指针、上一个进程虚拟文件系统配置表指针基本信息；“进程虚拟文件系统关联进程表”中存储所有使用该“进程虚拟文件系统配置表”的进程标识符信息，进程总数由“进程虚拟文件系统配置表”的进程虚拟文件系统关联进程总数标明；“进程虚拟文件系统配置关系表”中存储进程虚拟文件系统根目录与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则；新的子目录及文件将覆盖原目录及文件的映射关系、权限关系以及扩展访问规则；“进程虚拟文件系统配置关系表”中信息与对应的“进程虚拟文件系统配置文件”中数据一致。按照本专利技术提供的建立方法，操作系统中所有的“进程虚拟文件系统配置表”组成“进程虚拟文件系统配置表”链表，操作系统中全局内存变量“进程虚拟文件系统配置表首指针”指向“进程虚拟文件系统配置表”链表的第一个“进程虚拟文件系统配置表”的首地址；对于属于同一个“进程虚拟文件系统配置表”的所有“进程虚拟文件系统关联进程表”，或者采用“进程虚拟文件系统关联进程表”数组方式，或者采用“进程虚拟文件系统关联进程表”链表方式；对于属于同一个“进程虚拟文件系统配置表”的所有“进程虚拟文件系统配置关系表”，或者采用“进程虚拟文件系统配置关系表”数组方式，或者采用“进程虚拟文件系统配置关系表”链表方式。按照本专利技术提供的建立方法，进程运行前、运行过程中都允许动态指定“进程虚拟文件系统配置文件”，操作系统重新设定该进程的“进程虚拟文件系统配置表”、“进程虚拟文件系统关联进程表”和“进程虚拟文件系统配置关系表”，从而重新设定进程的进程虚拟文件系统与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则。本专利技术的优点和积极效果:本专利技术为每个进程都提供了一个虚拟文件系统，即进程虚拟文件系统；一方面由于进程虚拟文件系统由分散在操作系统中文件系统的多个目录在逻辑上组成一个完整的虚拟文件系统，从而为进程提供了一个客户定制化的文件系统；另一方面，进程之间的虚拟文件系统彼此隔离，从而能够有效提高进程与操作系统的安全性，限制恶意进程对操作系统中全局文件系统的破坏力。附图说明图1是本专利技术中进程虚拟文件系统与操作系统中文件系统的对应关系示意图。图2是本专利技术中进程虚拟文件系统配置文件实例示意图。图3是本专利技术中进程虚拟文件系统配置表本文档来自技高网...

【技术保护点】
一种面向进程的虚拟文件系统构建方法，其特征在于，所述方法包括具体步骤如下：第1、建立进程的“进程虚拟文件系统配置文件”；“进程虚拟文件系统配置文件”给定了“进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的目录及文件之间的映射关系、权限关系以及扩展访问规则；第2、编辑“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的目录及文件之间的映射关系、权限关系以及扩展访问规则；第3、进程运行时需指定“进程虚拟文件系统配置文件”，操作系统在内存中建立该进程的“进程虚拟文件系统配置表”，并导入该进程的“进程虚拟文件系统配置文件”的“进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则；操作系统在该进程的全局控制块中设定该“进程虚拟文件系统配置表”标识符，从而该进程所能访问的文件系统为刚设定的“进程虚拟文件系统”；进程能直接访问的文件系统是“进程虚拟文件系统”而不是操作系统中全局文件系统；第4、进程对“进程虚拟文件系统”进行文件操作时，操作系统通过该进程的全局控制块中的“进程虚拟文件系统配置表”标识符在内存中找到对应的“进程虚拟文件系统配置表”，并进一步根据该“进程虚拟文件系统配置表”中存储的映射关系，将进程所要访问的“进程虚拟文件系统”中的文件操作转化为对操作系统中全局文件系统的对应文件的访问操作。...

【技术特征摘要】
1.一种面向进程的虚拟文件系统构建方法，其特征在于，所述方法包括具体步骤如下: 第1、建立进程的“进程虚拟文件系统配置文件”；“进程虚拟文件系统配置文件”给定了 “进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的目录及文件之间的映射关系、权限关系以及扩展访问规则； 第2、编辑“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的目录及文件之间的映射关系、权限关系以及扩展访问规则； 第3、进程运行时需指定“进程虚拟文件系统配置文件”，操作系统在内存中建立该进程的“进程虚拟文件系统配置表”，并导入该进程的“进程虚拟文件系统配置文件”的“进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则；操作系统在该进程的全局控制块中设定该“进程虚拟文件系统配置表”标识符，从而该进程所能访问的文件系统为刚设定的“进程虚拟文件系统”;进程能直接访问的文件系统是“进程虚拟文件系统”而不是操作系统中全局文件系统； 第4、进程对“进程虚拟文件系统”进行文件操作时，操作系统通过该进程的全局控制块中的“进程虚拟文件系统配置表”标识符在内存中找到对应的“进程虚拟文件系统配置表”，并进一步根据该“进程虚拟文件系统配置表”中存储的映射关系，将进程所要访问的“进程虚拟文件系统”中的文件操作转化为对操作系统中全局文件系统的对应文件的访问操作。2.根据权利要求1所述的方法，其特征在于，“进程虚拟文件系统”的目录是“进程虚拟文件系统”的根目录和“进程虚拟文件系统”的子目录的统称；“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的目录是“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的根目录和“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的子目录的统称；“进程虚拟文件系统配置文件”至少要给定“进程虚拟文件系统”的根目录与操作系统中全局文件系统的给定目录的映射关系、权限关系以及扩展访问规则；“进程虚拟文件系统配置文件”中新的子目录及文 件将覆盖原目录及文件的映射关系、权限关系以及扩展访问规则。3.根据权利要求1所述的方法，其特征在于，每个进程对应一个“进程虚拟文件系统配置文件”；多个进程允许对应同一个“进程虚拟文件系统配置文件”，此时多个进程访问的文件系统涉及到“进程虚拟文件系统配置文件”中所指明的目录是同一个目录、所指明的文件是同一文件。4.根据权利要求1所述的方法，其特征在于，所述的映射关系指明了“进程虚拟文件系统”中目录和操作系统中全局文件系统的目录的对应关系，其中“进程虚拟文件系统”中目录简称为虚拟目录，操作系统中全局文件系统的目录简称为映射目录；映射关系也支持“进程虚拟文件系统”的文件和操作系统中全局文件系统的文件的对应关系，其中“进程虚拟文件系统”的文件简称为虚拟文件，操作系统中全局文件系统的文件简称为映射文件；映射关系的基本信息包括由虚拟目录及文件和映射目录及文件的二元组组成；“进程虚拟文件系统”中的有...

【专利技术属性】
技术研发人员：李旭东，
申请(专利权)人：南开大学，
类型：发明
国别省市：天津;12