操作系統(tǒng)的文件訪問控制方法及裝置的制造方法【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及操作系統(tǒng)
技術(shù)領(lǐng)域:
,特別是涉及一種操作系統(tǒng)的文件訪問控制方法及目.ο【
背景技術(shù):
】[0002]類UNIX系統(tǒng)(UNIX-like)指各種傳統(tǒng)的UNIX系統(tǒng)��,比如FreeBSD�、OpenBSD、SUN公司的Solaris���,以及各種與傳統(tǒng)UNIX類似的系統(tǒng)�,例如Minix�����、Linux、QNX�����、OSX等�,都相當(dāng)程度地繼承了原始UNIX系統(tǒng)的特性,有許多相似處�����,并且都在一定程度上遵守可移植操作系統(tǒng)接口(PortableOperatingSystemInterface,P0SIX)規(guī)范�。目前在視窗(windows)平臺上可以運行一些Unix模擬環(huán)境,比如cygnussolut1ns公司開發(fā)的自由軟件Cygwin等�����。[0003]訪問控制是針對越權(quán)使用資源的防御措施�,基本目標(biāo)是為了保障用戶對系統(tǒng)資源的合理有效訪問。訪問控制大致有三種����,分別是傳統(tǒng)的自主訪問控制(Discret1naryAccessControl,DAC)和強制訪問控制(MandatoryAccessControl�,MAC)以及基于角色的訪問控制(Role-BasedAccessControl,RBAC)0[0004]現(xiàn)有技術(shù)中可以分別通過主體訪問控制機制和基于角色的訪問控制機制分別對操作系統(tǒng)的文件進行訪問控制��,無法滿足多樣化的文件訪問控制需求�����,因此���,存在著文件訪問控制靈活性差的問題�。【
發(fā)明內(nèi)容】[0005]本發(fā)明實施例解決的技術(shù)問題是操作系統(tǒng)的文件訪問控制的靈活性��。[0006]為解決上述問題�,本發(fā)明實施例提供了一種操作系統(tǒng)的文件訪問控制方法,所述方法包括:[0007]獲取登錄到所述操作系統(tǒng)的用戶對可執(zhí)行二進制文件的訪問請求���;[0008]獲取所述可執(zhí)行二進制文件對應(yīng)的主體身份信息和組權(quán)限信息�����;[0009]將所述用戶的主體身份信息與組權(quán)限信息與所述可執(zhí)行二進制文件對應(yīng)的主體身份信息和組權(quán)限信息進行匹配���;[0010]根據(jù)匹配結(jié)果,允許用戶對所述可執(zhí)行二進制文件執(zhí)行相應(yīng)的操作���。[0011]可選地���,所述可執(zhí)行二進制文件對應(yīng)的主體身份信息和組權(quán)限信息記錄在所述可執(zhí)行二進制文件的目錄項中�����。[0012]可選地�,所述根據(jù)匹配結(jié)果����,允許用戶對所述可執(zhí)行二進制文件執(zhí)行相應(yīng)的操作,包括:[0013]當(dāng)確定所述用戶為所述可執(zhí)行二進制文件的所有者�����,且具有所述可執(zhí)行二進制文件對應(yīng)的組權(quán)限時�����,允許用戶對所述可執(zhí)行二進制文件執(zhí)行文件操作和文件維護操作���;[0014]當(dāng)確定所述用戶不是所述可執(zhí)行二進制文件的所有者����,但具有所述可執(zhí)行二進制文件對應(yīng)的組權(quán)限時,允許所述用戶對所述可執(zhí)行二進制文件執(zhí)行所述文件操作�;[0015]當(dāng)確定所述用戶為所述可執(zhí)行二進制文件的所有者,但不具有所述可執(zhí)行二進制文件對應(yīng)的組權(quán)限時���,允許用戶對所述可執(zhí)行二進制文件執(zhí)行其他權(quán)限文件操作�;[0016]當(dāng)確定所述用戶不是所述可執(zhí)行二進制文件的所有者�,且不具有所述可執(zhí)行二進制文件對應(yīng)的組權(quán)限時,允許用戶對所述可執(zhí)行二進制文件執(zhí)行其他權(quán)限文件操作和其他權(quán)限文件維護操作���。[0017]本發(fā)明實施例還提供了一種操作系統(tǒng)的文件訪問控制裝置,所述裝置包括:[0018]第一獲取單元�����,適于獲取登錄到所述操作系統(tǒng)的用戶對可執(zhí)行二進制文件的訪問請求���;[0019]第二獲取單元�����,適于獲取所述可執(zhí)行二進制文件對應(yīng)的主體身份信息和組權(quán)限信息;[0020]匹配單元���,適于將所述用戶的主體身份信息與組權(quán)限信息與所述可執(zhí)行二進制文件對應(yīng)的主體身份信息和組權(quán)限信息進行匹配�����;[0021]執(zhí)行單元��,適于根據(jù)匹配結(jié)果�,允許用戶對所述可執(zhí)行二進制文件執(zhí)行相應(yīng)的操作����。[0022]可選地,所述可執(zhí)行二進制文件對應(yīng)的主體身份信息和組權(quán)限信息記錄在所述可執(zhí)行二進制文件的目錄項中����。[0023]可選地,所述執(zhí)行單元適于當(dāng)確定所述用戶為所述可執(zhí)行二進制文件的所有者�,且具有所述可執(zhí)行二進制文件對應(yīng)的組權(quán)限時,允許用戶對所述可執(zhí)行二進制文件執(zhí)行文件操作和文件維護操作�����;當(dāng)確定所述用戶不是所述可執(zhí)行二進制文件的所有者�����,但具有所述可執(zhí)行二進制文件對應(yīng)的組權(quán)限時,允許所述用戶對所述可執(zhí)行二進制文件執(zhí)行所述文件操作���;當(dāng)確定所述用戶為所述可執(zhí)行二進制文件的所有者�,但不具有所述可執(zhí)行二進制文件對應(yīng)的組權(quán)限時�����,允許用戶對所述可執(zhí)行二進制文件執(zhí)行其他權(quán)限文件操作��,�����;當(dāng)確定所述用戶不是所述可執(zhí)行二進制文件的所有者�����,且不具有所述可執(zhí)行二進制文件對應(yīng)的組權(quán)限時��,允許用戶對所述可執(zhí)行二進制文件執(zhí)行其他權(quán)限文件操作和其他權(quán)限文件維護操作����。[0024]與現(xiàn)有技術(shù)相比��,本發(fā)明的技術(shù)方案具有以下的優(yōu)點:[0025]上述的方案,通過為主機控制機制對應(yīng)的用戶設(shè)定不同的組權(quán)限�����,可以滿足不同文件訪問控制的需求�����,在滿足安全性的同時�����,提高文件訪問控制的靈活性�,便于用戶對文件訪問的管理?!靖綀D說明】[0026]圖1是本發(fā)明實施例中的操作系統(tǒng)的文件訪問控制方法的流程圖;[0027]圖2是本發(fā)明實施例中的操作系統(tǒng)的文件訪問控制裝置的結(jié)構(gòu)示意圖���?����!揪唧w實施方式】[0028]現(xiàn)有技術(shù)中����,操作系統(tǒng)可以通過自帶的主體訪問控制方法和基于角色的訪問控制方法分別對操作系統(tǒng)中的可執(zhí)行二進制文件進行相應(yīng)的訪問。因自主訪問控制方法和基于角色的訪問控制方法是獨立運行的���。用于可以通過對應(yīng)用戶權(quán)限或者組權(quán)限對同一個可執(zhí)行二進制文件執(zhí)行相應(yīng)的操作���。但是,現(xiàn)有技術(shù)中的文件訪問控制方法����,無法滿足用戶的多樣化訪問需求,存在著靈活性差的問題�。[0029]例如,財務(wù)部門有一臺服務(wù)器用于共享文件���,而該服務(wù)器的維護由普通的運維工程師負(fù)責(zé)�,于是運維工程師獲得了特殊權(quán)限“root”��,而根據(jù)公司的訪問控制政策要求�����,該服務(wù)器上儲存的財務(wù)數(shù)據(jù)���,是不希望該運維工程師訪問的,但是由于該運維工程師擁有root權(quán)限,他可以訪問服務(wù)器上的任意數(shù)據(jù)���,包括財務(wù)數(shù)據(jù)����,使得公司的文件訪問控制無法得到實現(xiàn)����。[0030]為解決現(xiàn)有技術(shù)中存在的上述問題,本發(fā)明實施例采用的技術(shù)方案通過為主機控制機制對應(yīng)的用戶設(shè)定不同的組權(quán)限����,可以對文件的訪問控制權(quán)限進行進一步的劃分,因此�,可以滿足不同文件訪問控制的需求,提高文件訪問控制的靈活性��。[0031]為使本發(fā)明的上述目的��、特征和優(yōu)點能夠更為明顯易懂���,下面結(jié)合附圖對本發(fā)明的具體實施例做詳細(xì)的說明�。[0032]圖1本發(fā)明實施例提供了一種操作系統(tǒng)的文件訪問控制方法的流程圖���。如圖1所示��,可以包括:[0033]步驟S101:獲取登錄到所述操作系統(tǒng)的用戶對可執(zhí)行二進制文件的訪問請求���。[0034]在具體實施中��,當(dāng)用戶需要對操作系統(tǒng)中的可執(zhí)行二進制文件進行訪問時�����,可以首先采用將自身的用戶名和密碼的信息提交給操作系統(tǒng)的登錄管理機制��。操作系統(tǒng)的登錄管理機制在接收到用戶的用戶名和密碼信息時���,對所述用戶名和密碼進行驗證,當(dāng)驗證通過時�����,用戶可以登錄到操作系統(tǒng)��。[0035]當(dāng)用戶登錄到操作系統(tǒng)之后����,可能想要對操作系統(tǒng)中的可執(zhí)行二進制文件進行相應(yīng)的訪問,例如����,讀某個可執(zhí)行二進制文件。此時�,用戶可以通過操作系統(tǒng)提供的相應(yīng)的用戶界面輸入可執(zhí)行二進制文件的訪問請求,操作系統(tǒng)可以通過接收用戶輸入的可執(zhí)行二進制文件的訪問請求���,獲取到用戶的可執(zhí)行二進制文件的訪問請求���。[0036]步驟S102:獲取所述可執(zhí)行二進制文件對應(yīng)的主體身份信息和組權(quán)限信息。[0037]在具體實施中���,當(dāng)操作系統(tǒng)獲取到用戶對可執(zhí)行二進制文件的訪問請求時����,可以從用戶的訪問請求對應(yīng)的可執(zhí)行二進制文件的目錄項IN0DE中獲取所述可執(zhí)行二進制文件對應(yīng)的主體身份信息和組權(quán)限的信息��。[0038]步驟S103:將所述用戶的主體身份信息與組權(quán)限信息與所述可執(zhí)行二進制文件對應(yīng)的主體身份信息和組權(quán)限信息進行匹配����。[0039]在具體實施中,用戶的主體身份信息記錄在/etc/passwd文件中���,組權(quán)限信息定義在/etc/group文件中�����,因此����,發(fā)送訪問請求的用戶對應(yīng)的主體身份信息和組權(quán)限的信息,可以從/etc/passwd文件和/etc/group文件中分別讀取得到�。[0040]在讀取得到用戶的主體身份信息和組權(quán)限信息時,并可以將用戶的主體身份和組權(quán)限的信息���,分別與執(zhí)行二進制文件的目錄項IN0DE中記錄的針對所述可執(zhí)行二進制文件的主體身份信息和組權(quán)限的信息進行對比���,得到相應(yīng)的匹配結(jié)果。[0041]步驟S104:根據(jù)匹配結(jié)果��,允許用戶對所述可執(zhí)行二進制文件執(zhí)行相應(yīng)的操作�。[0042]在具體實施中,將用戶的主體身份和組權(quán)限的信息�,分別與執(zhí)行二進制文件的目錄項IN0DE中記錄的針對所述可執(zhí)行二進制文件的主體身份信息和組權(quán)限的信息進行對當(dāng)前第1頁1 2