[发明专利]程序访问权限控制方法、装置、计算设备及存储介质

说明书

本发明公开了一种程序访问权限控制方法、装置、计算设备及存储介质，程序访问权限控制方法在计算设备中执行，该方法包括：接收程序发送的第一访问请求，第一访问请求至少包括程序的标识参数；由第一模块将第一访问请求从第一文件系统转发至第二模块；由第二模块将第一访问请求发送至驻留在用户空间的权限控制模块；由权限控制模块根据标识参数，生成指示程序的访问权限的结果并由第二模块将结果通过第一模块转发至第一文件系统；第一文件系统将结果转发至程序，以使程序基于结果执行相应的流程。

本申请是2021年7月13日提交的发明专利申请的分案申请，原申请的申请号：2021107873969，发明名称：程序访问权限控制方法、装置、计算设备及存储介质。

技术领域

本发明涉及互联网领域，具体涉及一种程序访问权限控制方法、装置、计算设备及存储介质。

背景技术

出于权限隔离和安全管理要求，通常程序在访问系统文件时都要隔离权限进行操作，即只能访问自身授权能访问的目标文件，例如Windows的UWP、Android的data-strongeapi、iOS的应用隔离和Linux系统的基于权限和访问控制列表的访问控制等。

Linux系统提供的基于权限和访问控制列表的访问控制，仅能够防止程序非法访问数据，并不能严格阻止程序收集相关信息。特别是用户的家目录，基本上是对本用户的进程没有任何限制，任何程序都可以访问和获取用户目录的内容，并且，为实现该访问控制功能，需要在Linux系统的内核空间进行开发，内核态开发最大的问题是涉及的内容比较多，调试不太方便，因此，很多功能应用都不太愿意涉及内核空间的开发。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种程序访问权限控制方法、装置、计算设备及存储介质。

根据本发明的一个方面，提供一种程序访问权限控制方法，在计算设备中执行，计算设备包括第一文件系统和第二文件系统，第二文件系统至少包括第一模块和第二模块，且第一文件系统驻留在操作系统的内核空间，第一模块驻留在操作系统的内核空间及第二模块驻留在第一操作系统的用户空间，该方法包括：接收程序发送的第一访问请求，第一访问请求至少包括程序的标识参数；由第一模块将第一访问请求从第一文件系统转发至第二模块；由第二模块将第一访问请求发送至驻留在用户空间的权限控制模块；由权限控制模块根据标识参数，生成指示程序的访问权限的结果并由第二模块将结果通过第一模块转发至第一文件系统；第一文件系统将结果转发至程序，以使程序基于结果执行相应的流程。

可选地，在根据本发明的程序访问权限控制方法中，由第一模块将第一访问请求从第一文件系统转发至第二模块的步骤包括：将第一文件系统的调用接口与第一模块进行连接；将第一模块与第二模块的调用接口连接。

可选地，在根据本发明的程序访问权限控制方法中，由权限控制模块根据标识参数，生成指示程序的访问权限的结果并由第二模块将结果通过第一模块转发至第一文件系统的步骤的步骤包括：判断标识参数对应的程序是否具备访问目标文件的权限；若具备，则生成第一结果；若不具备，则生成第二结果。

可选地，在根据本发明的程序访问权限控制方法中，在若不具备，则生成第二结果的步骤之后，还包括步骤：提示用户，是否对程序进行授权。

可选地，在根据本发明的程序访问权限控制方法中，在第一文件系统接收程序发送的第一访问请求，第一访问请求至少包括程序的标识参数的步骤之前，还包括步骤：基于第二文件系统，动态生成权限控制模块。

可选地，在根据本发明的程序访问权限控制方法中，基于第二文件系统，动态生成权限控制模块的步骤包括：对驻留在第二模块中的功能函数进行封装；基于封装后的功能函数，重新编写第二模块的功能函数；根据重新编写的功能函数及预设的功能需求，生成权限控制模块。