[发明专利]访问权限的控制方法及控制系统

说明书

技术领域

本发明涉及网络安全领域，具体来说，涉及一种访问权限的控制方法及控制系统。

背景技术

Linux系统中所采用的访问控制是传统UNIX的基于访问模式位的单一的自主访问控制，在实现这一功能时，系统的访问控制代码散列在核心中，没有形成统一的访问控制模块和相应的接口，缺乏相应的灵活性、扩充性以及易维护性，无法定制化系统的访问控制策略。

目前，有一种技术可以实现相应的权限管理，即ACL（Access Control List）。所谓ACL，就是一个文件/目录的访问控制列表，可以针对任意指定的用户/组分配RWX权限，可以通过一些命令配置实现对一个文件的详细的权限管理。

然而，ACL权限控制，只能在普通用户之间进行较为详细的权限设置，对于root这个超级用户是不受限制的。超级用户的权利仍然太大（例如，超级用户可以做一切事情，访问一切文件），入侵者往往可以轻松的利用应用程序的漏洞，不通过身份认证就可以成为超级用户，而这个假冒的超级用户就可以轻松的修改系统的设置，安置后门，进而破坏系统。

针对相关技术中不能对超级用户进行权限控制的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中不能对超级用户进行权限控制的问题，本发明提出一种访问权限的控制方法及系统，其不仅能够对普通用户的权限进行限制，同时也可以对超级用户进行限制。

本发明的技术方案是这样实现的：

根据本发明的一个方面，提供了一种访问权限的控制方法。

该控制方法包括：

对于请求对访问对象进行访问操作的访问方，提取该访问方的用户标签，其中，访问对象预先配置有用户标签以及与该用户标签对应的权限标签；

根据预先配置的用户标签和提取的用户标签，确定访问方是否通过验证；如果提取的用户标签与预先配置的用户标签中的一个标签相符，则确定访问方通过验证；

根据提取的用户标签所对应的权限标签，确定访问方是否有权限对访问对象进行访问操作。

此外，该控制方法进一步包括：预先对访问对象配置用户标签以及与该用户标签对应的权限标签。

其中，在预先对访问对象配置用户标签以及与该用户标签对应的权限标签时，可分析访问对象的文件头的属性空间，确定文件头的空闲属性空间；并在空闲属性空间中加入用户标签以及与该用户标签对应的权限标签。

其中，访问操作包括以下至少之一：读取、写入、执行。

其中，访问方包括普通用户和超级用户。

根据本发明的另一方面，提供了一种访问权限的控制系统。

该控制系统包括：

提取模块，用于提取对访问对象进行访问操作的访问方的用户标签，其中，访问对象预先配置有用户标签以及与该用户标签对应的权限标签；

验证模块，用于根据预先配置的用户标签和提取的用户标签，确定访问方是否通过验证，如果提取的用户标签与预先配置的用户标签中的一个标签相符，则确定访问方通过验证；

判定模块，用于根据提取的用户标签所对应的权限标签，确定访问方是否有权限对访问对象进行访问操作。

此外，控制系统还包括：设置模块，用于预先对访问对象配置用户标签以及与该用户标签对应的权限标签。

其中，设置模块进一步包括分析模块和添加模块，分析模块，用于分析访问对象的文件头的属性空间，确定文件头的空闲属性空间；添加模块，用于在空闲属性空间中加入用户标签以及与该用户标签对应的权限标签。

其中，访问操作包括以下至少之一：读取、写入、执行。

其中，访问方包括普通用户和超级用户。

本发明通过在访问对象的文件头中预存用户标签以及与用户标签对应的权限标签，从而使得在每次对文件进行操作前，首先需要验证访问方是否具有权限，当确定访问方具有权限后，才可以在权限标签所标识的操作权限内对相应的文件进行操作，从有效的控制了所有用户的访问权限，避免了现有相关技术无法对超级用户进行限制的问题，提高了系统的安全性和可靠性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的访问权限的控制方法的流程示意图；

图2是根据本发明实施例的文件头设计示意图；