用于進(jìn)行權(quán)限控制的方法和裝置的制造方法
【專利摘要】本發(fā)明的目的是提供一種用于進(jìn)行權(quán)限控制的方法和裝置�。根據(jù)本發(fā)明的方法包括以下步驟:監(jiān)聽到對(duì)于文件數(shù)據(jù)的操作命令時(shí),確定所述操作命令對(duì)應(yīng)的一個(gè)或多個(gè)主體類型���;基于所述一個(gè)或多個(gè)主體類型和預(yù)定的權(quán)限配置信息��,獲取與所述一個(gè)或多個(gè)主體類型對(duì)應(yīng)的操作權(quán)限信息�;基于所確定的操作權(quán)限信息����,確定所述操作命令是否為有權(quán)操作,從而繼續(xù)或終止執(zhí)行該操作命令�。根據(jù)本發(fā)明的優(yōu)點(diǎn)在于:能夠基于多種主體類型來限制對(duì)客體的操作權(quán)限,突破了現(xiàn)有方案中僅針對(duì)用戶或角色來設(shè)置操作權(quán)限的方式�,從而能夠避免黑客通過獲得管理員權(quán)限來訪問該文件數(shù)據(jù)或進(jìn)行其他操作,提升了計(jì)算機(jī)系統(tǒng)的安全性����。
【專利說明】
用于進(jìn)行權(quán)限控制的方法和裝置
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域����,尤其涉及一種用于進(jìn)行權(quán)限控制的方法和裝置���。
【背景技術(shù)】
[0002] 隨著時(shí)代的發(fā)展和科技的進(jìn)步�,信息已成為推動(dòng)社會(huì)向前發(fā)展的巨大資源���。計(jì)算 機(jī)技術(shù)的高速發(fā)展���,為人類現(xiàn)代化建設(shè)提供技術(shù)保障。計(jì)算機(jī)應(yīng)用已滲透到政治�、經(jīng)濟(jì)、軍 事�、科學(xué)文化和家庭生活等社會(huì)的各個(gè)領(lǐng)域,實(shí)現(xiàn)了社會(huì)的計(jì)算機(jī)化����,改變著社會(huì)生產(chǎn)方式 和社會(huì)的其他活動(dòng)方式,朝著社會(huì)信息化進(jìn)軍����。在社會(huì)信息化過程中,大量的數(shù)據(jù)信息通過 網(wǎng)絡(luò)傳遞,如果沒有適當(dāng)?shù)陌踩胧?����,這些信息在存儲(chǔ)和傳輸期間可能會(huì)受到非法截獲�、更 改或添加,從而導(dǎo)致對(duì)個(gè)人數(shù)據(jù)���、商業(yè)記錄以及政府等信息的泄密、篡改與竊取�����。
[0003] 現(xiàn)有技術(shù)中���,計(jì)算機(jī)系統(tǒng)中的自主訪問控制機(jī)制一般是基于識(shí)別用戶的主體來限 制對(duì)客體的訪問����,例如�����,限制只有管理員才具有特定的權(quán)限等等����。然而�,基于該方式����,黑客通 過一定的技術(shù)手段管理員權(quán)限后即可進(jìn)入相應(yīng)的文件系統(tǒng)或進(jìn)行特定的操作,因此����,基于 技術(shù)的自主訪問控制機(jī)制可能存在安全隱患。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的是提供一種用于進(jìn)行權(quán)限控制的方法和裝置���。
[0005] 根據(jù)本發(fā)明的一個(gè)方面��,提供了一種用于在代理端設(shè)備進(jìn)行權(quán)限控制的方法�����,其 中���,所述方法包括以下步驟:
[0006] a監(jiān)聽到對(duì)于文件數(shù)據(jù)的操作命令時(shí),確定所述操作命令對(duì)應(yīng)的一個(gè)或多個(gè)主體 類型����;
[0007] b基于所述一個(gè)或多個(gè)主體類型和預(yù)定的權(quán)限配置信息,獲取與所述一個(gè)或多個(gè) 主體類型對(duì)應(yīng)的操作權(quán)限信息;
[0008] c基于所確定的操作權(quán)限信息�����,確定所述操作命令是否為有權(quán)操作����,從而繼續(xù)或終 止執(zhí)行該操作命令。
[0009] 根據(jù)本發(fā)明的一個(gè)方面�����,還提供了一種用于在代理端設(shè)備進(jìn)行權(quán)限控制的控制裝 置��,其中�,所述控制裝置包括:
[0010] 第一確定裝置����,用于監(jiān)聽到對(duì)于文件數(shù)據(jù)的操作命令時(shí),確定所述操作命令對(duì)應(yīng) 的一個(gè)或多個(gè)主體類型�����;
[0011] 獲取裝置��,用于基于所述一個(gè)或多個(gè)主體類型和自身存儲(chǔ)的權(quán)限配置信息,獲取 與所述一個(gè)或多個(gè)主體類型對(duì)應(yīng)的操作權(quán)限信息���;
[0012] 第二確定裝置,用于基于所獲取的操作權(quán)限信息��,確定所述操作命令是否為有權(quán) 操作�����,從而繼續(xù)或終止執(zhí)行該操作命令�����。
[0013] 與現(xiàn)有技術(shù)相比�����,本發(fā)明具有以下優(yōu)點(diǎn):能夠基于多種主體類型來限制對(duì)客體的 操作權(quán)限�����,突破了現(xiàn)有方案中僅針對(duì)用戶或角色來設(shè)置操作權(quán)限的方式�����,從而能夠避免黑 客通過獲得管理員權(quán)限來訪問該文件數(shù)據(jù)或進(jìn)行其他操作,提升了計(jì)算機(jī)系統(tǒng)的安全性��; 并且��,根據(jù)本發(fā)明的方案能夠進(jìn)一步針對(duì)特定數(shù)據(jù)來限制各個(gè)主體類型對(duì)該特定數(shù)據(jù)的操 作權(quán)限��,進(jìn)一步提升而來計(jì)算機(jī)系統(tǒng)的安全性�。
【附圖說明】
[0014] 通過閱讀參照以下附圖所作的對(duì)非限制性實(shí)施例所作的詳細(xì)描述,本發(fā)明的其它 特征����、目的和優(yōu)點(diǎn)將會(huì)變得更明顯:
[0015] 圖1示意出了根據(jù)本發(fā)明的一種用于在代理端設(shè)備進(jìn)行權(quán)限控制的方法流程圖;
[0016] 圖2示意出了根據(jù)本發(fā)明的一種用于在代理端設(shè)備進(jìn)行權(quán)限控制的控制裝置的結(jié) 構(gòu)示意圖�。
[0017]附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件。
【具體實(shí)施方式】
[0018] 下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)描述����。
[0019] 圖1示意出了一種用于在代理端設(shè)備進(jìn)行權(quán)限控制的方法流程圖�����。根據(jù)本發(fā)明的 方法包括步驟Sl����、步驟S2和步驟S3�����。
[0020] 其中�����,根據(jù)本發(fā)明的方法通過包含于代理端設(shè)備中的控制裝置來實(shí)現(xiàn)�。
[0021] 優(yōu)選地���,一個(gè)或多個(gè)代理設(shè)備可通過網(wǎng)絡(luò)與管理端設(shè)備進(jìn)行交互�。
[0022] 其中�����,所述代理端設(shè)備和所述管理端設(shè)備均包括計(jì)算機(jī)設(shè)備����。所述計(jì)算機(jī)設(shè)備包 括一種能夠按照事先設(shè)定或存儲(chǔ)的指令,自動(dòng)進(jìn)行數(shù)值計(jì)算和/或信息處理的電子設(shè)備���,其 硬件包括但不限于微處理器����、專用集成電路(ASIC)、可編程門陣列(FPGA)���、數(shù)字處理器 (DSP)��、嵌入式設(shè)備等���。所述計(jì)算機(jī)設(shè)備包括網(wǎng)絡(luò)設(shè)備和/或用戶設(shè)備。其中���,所述網(wǎng)絡(luò)設(shè)備 包括但不限于單個(gè)網(wǎng)絡(luò)服務(wù)器�、多個(gè)網(wǎng)絡(luò)服務(wù)器組成的服務(wù)器組或基于云計(jì)算(Cloud Computing)的由大量主機(jī)或網(wǎng)絡(luò)服務(wù)器構(gòu)成的云����,其中,云計(jì)算是分布式計(jì)算的一種���,由一 群松散耦合的計(jì)算機(jī)集組成的一個(gè)超級(jí)虛擬計(jì)算機(jī)。所述用戶設(shè)備包括但不限于任何一種 可與用戶通過鍵盤�����、鼠標(biāo)�、遙控器�����、觸摸板��、或聲控設(shè)備等方式進(jìn)行人機(jī)交互的電子產(chǎn)品�����,例 如��,個(gè)人計(jì)算機(jī)�����、平板電腦����、智能手機(jī)�、PDA、游戲機(jī)�����、或IPTV等��。其中,所述用戶設(shè)備及網(wǎng)絡(luò)設(shè) 備所處的網(wǎng)絡(luò)包括但不限于互聯(lián)網(wǎng)����、廣域網(wǎng)、城域網(wǎng)����、局域網(wǎng)、VPN網(wǎng)絡(luò)等�。
[0023]需要說明的是,所述用戶設(shè)備��、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)僅為舉例�,其他現(xiàn)有的或今后可 能出現(xiàn)的用戶設(shè)備、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)如可適用于本發(fā)明�����,也應(yīng)包含在本發(fā)明保護(hù)范圍以 內(nèi)�����,并以引用方式包含于此�����。
[0024] 參照?qǐng)D1�����,在步驟Sl中�����,監(jiān)聽到對(duì)于文件數(shù)據(jù)的操作命令時(shí)�,控制裝置確定所述操 作命令對(duì)應(yīng)的一個(gè)或多個(gè)主體類型。
[0025] 其中�����,所述主體類型包括與引起信息在客體之間流動(dòng)的人�、進(jìn)程或設(shè)備等相關(guān)的 類型信息。
[0026] 優(yōu)選地��,所述主體類型包括但不限于以下至少任一項(xiàng)類型信息:
[0027] 1)賬戶相關(guān)類型;優(yōu)選地所述用戶相關(guān)類型包括:
[0028] i)用戶類型;例如�����,將用戶標(biāo)識(shí)信息作為類型信息�����,從而基于特定用戶設(shè)置相應(yīng)的 操作權(quán)限等等。
[0029] ii)角色類型;例如�����,將角色類型分為"安全用戶"或"普通用戶"等等�����。
[0030] iii)用戶個(gè)數(shù)類型;例如���,單個(gè)用戶���,或所有用戶等等。
[0031] 2)程序類型;該程序類型包括各種可基于各個(gè)程序所確定的類型信息���,例如�,將各 個(gè)程序分為游戲類程序���、社交類程序等等��。從而基于特定程序設(shè)置相應(yīng)的操作權(quán)限等等��。
[0032] 3)IP地址相關(guān)類型�;例如,將IP地址作為一種主體類型�����,從而為特定的IP地址設(shè)置 相應(yīng)的操作權(quán)限��。又例如�,將IP地址劃分為多個(gè)范圍�,從而基于特定的IP地址范圍來設(shè)置相 應(yīng)的操作權(quán)限。
[0033] 接著�����,在步驟S2中����,控制裝置基于所述一個(gè)或多個(gè)主體類型和預(yù)定的權(quán)限配置信 息,獲取與所述一個(gè)或多個(gè)主體類型對(duì)應(yīng)的操作權(quán)限信息��。
[0034] 其中���,所述權(quán)限配置信息包括預(yù)定的一個(gè)或多個(gè)主體類型及其對(duì)應(yīng)的操作權(quán)限信 息���。
[0035] 其中����,所述操作權(quán)限信息包括在計(jì)算機(jī)系統(tǒng)中所允許的各種操作�����。例如����,刪除、只 讀或重命名等等��。
[0036] 優(yōu)選地�����,所述權(quán)限配置信息可采用自主訪問控制列表(Access Control Lists����, ACL)的形式。
[0037] 優(yōu)選地��,所述權(quán)限配置信息中包含與所述文件數(shù)據(jù)對(duì)應(yīng)的權(quán)限配置信息��,控制裝 置基于所述一個(gè)或多個(gè)主體類型和與所述文件數(shù)據(jù)對(duì)應(yīng)的權(quán)限配置信息,獲取與所述一個(gè) 或多個(gè)主體類型對(duì)應(yīng)的操作權(quán)限信息����。
[0038] 接著,在步驟S3中���,控制裝置基于所確定的操作權(quán)限信息,確定所述操作命令是否 為有權(quán)操作�����,從而繼續(xù)或終止執(zhí)行該操作命令�。
[0039] 具體地,如果所述操作命令與所述操作權(quán)限信息均相匹配���,則控制裝置確定所述 操作命令為有權(quán)操作���。
[0040] 優(yōu)選地,當(dāng)所述操作命令對(duì)應(yīng)于多個(gè)主體類型時(shí)�����,如果所述操作命令分別與各個(gè) 主體類型各自的操作權(quán)限信息均相匹配����,則控制裝置確定所述操作命令為有權(quán)操作����;如果 所述操作命令與任一主體類型的操作權(quán)限信息均不匹配�����,則控制裝置確定所述操作命令為 無權(quán)操作�����。
[0041] 優(yōu)選地���,如果控制裝置確定所述操作命令不是有權(quán)操作��,控制裝置終止執(zhí)行該操 作命令�,并呈現(xiàn)訪問受限等提示信息����。
[0042]根據(jù)本發(fā)明的第一示例,控制裝置包含于計(jì)算機(jī)computer」中����。并且�����,該計(jì)算機(jī)中 預(yù)定的角色類型包括安全管理員(S0)�����、系統(tǒng)管理員(SA)�、安全用戶(MU)和普通用戶(UX)���。并 且,該計(jì)算機(jī)系統(tǒng)采用Linux系統(tǒng)的訪問權(quán)限����,則預(yù)定的操作權(quán)限包括:刪除、只讀�����、創(chuàng)建���、只 寫��、執(zhí)行�、重命名、所屬用戶變更���、權(quán)限變更���。
[0043] 用戶user_l使用該計(jì)算機(jī)并刪除該計(jì)算機(jī)中的文件file_l,則控制裝置在步驟Sl 中監(jiān)聽到對(duì)于該文件file_l的操作命令"刪除文件���,并確定該操作命令對(duì)應(yīng)的主體 類型包括:角色信息"S0" ����;程序prog_l; IP地址add_l�����。接著��,控制裝置基于所確定的主體類 型和該計(jì)算機(jī)computer」中預(yù)定的與該文件file j對(duì)應(yīng)的權(quán)限配置信息����,獲取到如下表1 所示的操作權(quán)限信息:
[0044] 表 1
[0046]~控制裝置基于上表1所示的權(quán)限配置信息,確定操作命令"刪除文件行16_1"與1卩 地址add_l對(duì)應(yīng)的操作權(quán)限不匹配��,則控制裝置確定該操作命令為無權(quán)操作����,并終止執(zhí)行刪 除文件file_l的操作命令�����,并彈出窗口呈現(xiàn)的權(quán)限受限的提示信息�����。
[0047]優(yōu)選地���,根據(jù)本發(fā)明的方法包括步驟S4(圖未示)和步驟S5(圖未示)。
[0048]在步驟S4中���,控制裝置接收來自管理端設(shè)備的權(quán)限配置信息。
[0049] 其中�,所述權(quán)限配置信息包括預(yù)定的一種或多種主體類型及其各自對(duì)應(yīng)的操作權(quán) 限信息。
[0050] 優(yōu)選地�����,所述權(quán)限配置信息中包含與一個(gè)或多個(gè)文件數(shù)據(jù)對(duì)應(yīng)的權(quán)限配置信息�����。 [0051 ]在步驟S5中,控制裝置基于所述來自管理端設(shè)備的權(quán)限配置信息�����,更新自身存儲(chǔ) 的權(quán)限配置信息�����。
[0052]例如��,管理端設(shè)備對(duì)應(yīng)于多個(gè)待保護(hù)的計(jì)算機(jī)設(shè)備�����,相應(yīng)的人員在管理端設(shè)備中 對(duì)權(quán)限配置進(jìn)行設(shè)置并將所設(shè)置的權(quán)限配置信息發(fā)送至各個(gè)待保護(hù)的計(jì)算機(jī)設(shè)備���,則待保 護(hù)的計(jì)算機(jī)設(shè)備中的控制裝置在步驟S4中接收來自管理端設(shè)備的權(quán)限配置信息����,并接著基 于該權(quán)限配置信息更新自身存儲(chǔ)的權(quán)限配置信息����。
[0053]優(yōu)選地,根據(jù)本發(fā)明的方法包括步驟S6(圖未示)。
[0054] 在步驟S6中����,控制裝置基于用戶的設(shè)置操作,更新自身存儲(chǔ)的權(quán)限配置信息��。其 中��,所述權(quán)限配置信息包括預(yù)定的一種或多種主體類型及其各自對(duì)應(yīng)的操作權(quán)限信息�。
[0055] 優(yōu)選地,所述權(quán)限配置信息中包含與一個(gè)或多個(gè)文件數(shù)據(jù)對(duì)應(yīng)的權(quán)限配置信息����。
[0056] 繼續(xù)對(duì)前述第一示例進(jìn)行說明,用戶通過設(shè)置操作�����,從而得到如下表2所示的與文 件file_2對(duì)應(yīng)的權(quán)限配置信息��。
[0057] 表 2
[0059]則控制裝置基于該用戶的設(shè)置操作����,并基于上表2所示的與文件file_2對(duì)應(yīng)的權(quán) 限配置信息來更新自身存儲(chǔ)的權(quán)限配置信息�����。
[0060] 根據(jù)本發(fā)明的方法,能夠基于多種主體類型來限制對(duì)客體的操作權(quán)限���,突破了現(xiàn) 有方案中僅針對(duì)用戶或角色來設(shè)置操作權(quán)限的方式���,從而能夠避免黑客通過獲得管理員權(quán) 限來訪問該文件數(shù)據(jù)或進(jìn)行其他操作,提升了計(jì)算機(jī)系統(tǒng)的安全性;并且����,根據(jù)本發(fā)明的方 法能夠進(jìn)一步針對(duì)特定數(shù)據(jù)來限制各個(gè)主體類型對(duì)該特定數(shù)據(jù)的操作權(quán)限,進(jìn)一步提升了 計(jì)算機(jī)系統(tǒng)的安全性�。
[0061] 圖2示意出了根據(jù)本發(fā)明的一種用于在代理端設(shè)備進(jìn)行權(quán)限控制的控制裝置的結(jié) 構(gòu)示意圖。根據(jù)本發(fā)明的控制裝置包括第一確定裝置1�、獲取裝置2和第二確定裝置3。
[0062] 監(jiān)聽到對(duì)于文件數(shù)據(jù)的操作命令時(shí)����,第一確定裝置1確定所述操作命令對(duì)應(yīng)的一 個(gè)或多個(gè)主體類型。
[0063] 其中�,所述主體類型包括與引起信息在客體之間流動(dòng)的人、進(jìn)程或設(shè)備等相關(guān)的 類型信息���。
[0064] 優(yōu)選地��,所述主體類型包括但不限于以下至少任一項(xiàng)類型信息:
[0065] 1)賬戶相關(guān)類型;優(yōu)選地所述用戶相關(guān)類型包括:
[0066] i)用戶類型�����;將用戶標(biāo)識(shí)信息作為類型信息����,從而基于特定用戶設(shè)置相應(yīng)的操作 權(quán)限等等。
[0067] ii)角色類型;例如���,將角色類型分為"安全用戶"或"普通用戶"等等�����。
[0068] iii)用戶個(gè)數(shù)類型;例如�����,單個(gè)用戶���,或所有用戶等等。
[0069] 2)程序類型;該程序類型包括各種可基于各個(gè)程序所確定的類型信息����,例如,將各 個(gè)程序分為游戲類程序��、社交類程序等等��,從而基于特定程序設(shè)置相應(yīng)的操作權(quán)限等等��。
[0070] 3)IP地址相關(guān)類型���;例如�,將IP地址作為一種主體類型��,從而為特定的IP地址設(shè)置 相應(yīng)的操作權(quán)限�����。又例如�,將IP地址劃分為多個(gè)范圍,從而基于特定的IP地址范圍來設(shè)置相 應(yīng)的操作權(quán)限�。
[0071] 接著,獲取裝置2基于所述一個(gè)或多個(gè)主體類型和預(yù)定的權(quán)限配置信息�,獲取與所 述一個(gè)或多個(gè)主體類型對(duì)應(yīng)的操作權(quán)限信息。
[0072] 其中���,所述權(quán)限配置信息包括預(yù)定的一個(gè)或多個(gè)主體類型及其對(duì)應(yīng)的操作權(quán)限信 息�����。
[0073] 其中����,所述操作權(quán)限信息包括在計(jì)算機(jī)系統(tǒng)中所允許的各種操作。例如���,刪除�、只 讀或重命名等等��。
[0074] 優(yōu)選地�,所述權(quán)限配置信息可采用自主訪問控制列表(Access Control Lists, ACL)的形式���。
[0075] 優(yōu)選地���,所述權(quán)限配置信息中包含與所述文件數(shù)據(jù)對(duì)應(yīng)的權(quán)限配置信息,所述獲 取裝置2還包括子獲取裝置(圖未示)��。
[0076] 子獲取裝置基于所述一個(gè)或多個(gè)主體類型和與所述文件數(shù)據(jù)對(duì)應(yīng)的權(quán)限配置信 息����,獲取與所述一個(gè)或多個(gè)主體類型對(duì)應(yīng)的操作權(quán)限信息����。
[0077]接著�,第二確定裝置3基于所確定的操作權(quán)限信息���,確定所述操作命令是否為有權(quán) 操作���,從而繼續(xù)或終止執(zhí)行該操作命令。
[0078] 具體地��,如果所述操作命令與所述操作權(quán)限信息均相匹配����,則第二確定裝置3確定 所述操作命令為有權(quán)操作。
[0079] 優(yōu)選地���,當(dāng)所述操作命令對(duì)應(yīng)于多個(gè)主體類型時(shí)��,如果所述操作命令分別與各個(gè) 主體類型各自的操作權(quán)限信息均相匹配�,則第二確定裝置3確定所述操作命令為有權(quán)操作�; 如果所述操作命令與任一主體類型的操作權(quán)限信息均不匹配,則第二確定裝置3確定所述 操作命令為無權(quán)操作���。
[0080]優(yōu)選地����,如果控制裝置確定所述操作命令不是有權(quán)操作,控制裝置終止執(zhí)行該操 作命令�,并呈現(xiàn)訪問受限等提示信息。
[0081]根據(jù)本發(fā)明的第一示例�,控制裝置包含于計(jì)算機(jī)computer」中。并且���,該計(jì)算機(jī)中 預(yù)定的角色類型包括安全管理員(S0)�、系統(tǒng)管理員(SA)���、安全用戶(MU)和普通用戶(UX)����。并 且�,該計(jì)算機(jī)系統(tǒng)采用Linux系統(tǒng)的訪問權(quán)限,則預(yù)定的操作權(quán)限包括:刪除���、只讀����、創(chuàng)建、只 寫�����、執(zhí)行�、重命名、所屬用戶變更����、權(quán)限變更�。
[0082] 用戶user_l使用該計(jì)算機(jī)并刪除該計(jì)算機(jī)中的文件file_l,第一確定裝置1監(jiān)聽 到對(duì)于該文件file_l的操作命令"刪除文件����,并確定該操作命令對(duì)應(yīng)的主體類型包 括:角色信息"S0" ;程序prog_l; IP地址add_l��。接著�,子獲取裝置基于所確定的主體類型和 該計(jì)算機(jī)computer_l中預(yù)定的與該文件file_l對(duì)應(yīng)的權(quán)限配置信息,獲取到如下表3所示 的操作權(quán)限信息:
[0083] 表 3
[0085] 控制裝置基于上表3所示的權(quán)限配置信息���,確定操作命令"刪除文件行16_1"與1卩 地址adcLl對(duì)應(yīng)的操作權(quán)限不匹配���,則第二確定裝置3確定該操作命令為無權(quán)操作���,并終止 執(zhí)行刪除文件file_l的操作命令,控制裝置彈出窗口呈現(xiàn)的權(quán)限受限的提示信息�。
[0086] 優(yōu)選地,根據(jù)本發(fā)明的控制裝置包括接收裝置(圖未示)和第一更新裝置(圖未 示)����。
[0087]接收裝置接收來自管理端設(shè)備的權(quán)限配置信息。
[0088] 其中�,所述權(quán)限配置信息包括預(yù)定的一種或多種主體類型及其各自對(duì)應(yīng)的操作權(quán) 限信息。
[0089] 第一更新裝置基于所述來自管理端設(shè)備的權(quán)限配置信息����,更新自身存儲(chǔ)的權(quán)限配 置信息。
[0090] 優(yōu)選地�����,所述權(quán)限配置信息中包含與一個(gè)或多個(gè)文件數(shù)據(jù)對(duì)應(yīng)的權(quán)限配置信息�����。
[0091] 例如�����,管理端設(shè)備對(duì)應(yīng)于多個(gè)待保護(hù)的計(jì)算機(jī)設(shè)備,相應(yīng)的人員在管理端設(shè)備中 對(duì)權(quán)限配置進(jìn)行設(shè)置并將所設(shè)置的權(quán)限配置信息發(fā)送至各個(gè)待保護(hù)的計(jì)算機(jī)設(shè)備�,則待保 護(hù)的計(jì)算機(jī)設(shè)備中的第一更新裝置接收來自管理端設(shè)備的權(quán)限配置信息,接著第一更新裝 置基于該權(quán)限配置信息更新自身存儲(chǔ)的權(quán)限配置信息����。
[0092] 優(yōu)選地,根據(jù)本發(fā)明的方法包括第二更新裝置(圖未示)�。
[0093] 第二更新裝置基于用戶的設(shè)置操作,更新自身存儲(chǔ)的權(quán)限配置信息��。其中�,所述權(quán) 限配置信息包括預(yù)定的一種或多種主體類型及其各自對(duì)應(yīng)的操作權(quán)限信息��。
[0094] 優(yōu)選地�,所述權(quán)限配置信息中包含與一個(gè)或多個(gè)文件數(shù)據(jù)對(duì)應(yīng)的權(quán)限配置信息。
[0095] 繼續(xù)對(duì)前述第一示例進(jìn)行說明���,用戶通過設(shè)置操作����,從而得到如下表4所示的與文 件file_2對(duì)應(yīng)的權(quán)限配置信息�。
[0096] 表 4
[0098] 則第二更新裝置基于該用戶的設(shè)置操作,并基于上表4所示的與文件file_2對(duì)應(yīng) 的權(quán)限配置信息來更新自身存儲(chǔ)的權(quán)限配置信息。
[0099] 根據(jù)本發(fā)明的方案��,能夠基于多種主體類型來限制對(duì)客體的操作權(quán)限��,突破了現(xiàn) 有方案中僅針對(duì)用戶或角色來設(shè)置操作權(quán)限的方式�,從而能夠避免黑客通過獲得管理員權(quán) 限來訪問該文件數(shù)據(jù)或進(jìn)行其他操作,提升了計(jì)算機(jī)系統(tǒng)的安全性;并且����,根據(jù)本發(fā)明的方 案能夠進(jìn)一步針對(duì)特定數(shù)據(jù)來限制各個(gè)主體類型對(duì)該特定數(shù)據(jù)的操作權(quán)限,進(jìn)一步提升了 計(jì)算機(jī)系統(tǒng)的安全性�。
[0100] 本發(fā)明的軟件程序可以通過處理器執(zhí)行以實(shí)現(xiàn)上文所述步驟或功能。同樣地����,本 發(fā)明的軟件程序(包括相關(guān)的數(shù)據(jù)結(jié)構(gòu))可以被存儲(chǔ)到計(jì)算機(jī)可讀記錄介質(zhì)中,例如�����,RAM存 儲(chǔ)器�,磁或光驅(qū)動(dòng)器或軟磁盤及類似設(shè)備。另外�,本發(fā)明的一些步驟或功能可采用硬件來實(shí) 現(xiàn),例如�����,作為與處理器配合從而執(zhí)行各個(gè)功能或步驟的電路。
[0101] 另外����,本發(fā)明的一部分可被應(yīng)用為計(jì)算機(jī)程序產(chǎn)品,例如計(jì)算機(jī)程序指令�,當(dāng)其被 計(jì)算機(jī)執(zhí)行時(shí),通過該計(jì)算機(jī)的操作���,可以調(diào)用或提供根據(jù)本發(fā)明的方法和/或技術(shù)方案�����。 而調(diào)用本發(fā)明的方法的程序指令���,可能被存儲(chǔ)在固定的或可移動(dòng)的記錄介質(zhì)中����,和/或通過 廣播或其他信號(hào)承載媒體中的數(shù)據(jù)流而被傳輸,和/或被存儲(chǔ)在根據(jù)所述程序指令運(yùn)行的 計(jì)算機(jī)設(shè)備的工作存儲(chǔ)器中��。在此����,根據(jù)本發(fā)明的一個(gè)實(shí)施例包括一個(gè)裝置����,該裝置包括用 于存儲(chǔ)計(jì)算機(jī)程序指令的存儲(chǔ)器和用于執(zhí)行程序指令的處理器�����,其中����,當(dāng)該計(jì)算機(jī)程序指 令被該處理器執(zhí)行時(shí),觸發(fā)該裝置運(yùn)行基于前述根據(jù)本發(fā)明的多個(gè)實(shí)施例的方法和/或技 術(shù)方案���。
[0102] 對(duì)于本領(lǐng)域技術(shù)人員而言�,顯然本發(fā)明不限于上述示范性實(shí)施例的細(xì)節(jié)���,而且在 不背離本發(fā)明的精神或基本特征的情況下�����,能夠以其他的具體形式實(shí)現(xiàn)本發(fā)明��。因此����,無論 從哪一點(diǎn)來看,均應(yīng)將實(shí)施例看作是示范性的���,而且是非限制性的���,本發(fā)明的范圍由所附權(quán) 利要求而不是上述說明限定,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有 變化涵括在本發(fā)明內(nèi)�����。不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求��。此 外�,顯然"包括"一詞不排除其他單元或步驟,單數(shù)不排除復(fù)數(shù)�。系統(tǒng)權(quán)利要求中陳述的多個(gè) 單元或裝置也可以由一個(gè)單元或裝置通過軟件或者硬件來實(shí)現(xiàn)。第一���,第二等詞語(yǔ)用來表 示名稱���,而并不表示任何特定的順序�。
【主權(quán)項(xiàng)】
1. 一種用于在代理端設(shè)備進(jìn)行權(quán)限控制的方法�,其中�����,所述方法包括以下步驟: a監(jiān)聽到對(duì)于文件數(shù)據(jù)的操作命令時(shí)�,確定所述操作命令對(duì)應(yīng)的一個(gè)或多個(gè)主體類型; b基于所述一個(gè)或多個(gè)主體類型和預(yù)定的權(quán)限配置信息�,獲取與所述一個(gè)或多個(gè)主體 類型對(duì)應(yīng)的操作權(quán)限信息; c基于所確定的操作權(quán)限信息��,確定所述操作命令是否為有權(quán)操作����,從而繼續(xù)或終止執(zhí) 行該操作命令。2. 根據(jù)權(quán)利要求1所述的方法�,其中,所述預(yù)定的權(quán)限配置信息中包含與所述文件數(shù)據(jù) 對(duì)應(yīng)的權(quán)限配置信息�����,所述步驟b還包括以下步驟: -基于所述一個(gè)或多個(gè)主體類型和與所述文件數(shù)據(jù)對(duì)應(yīng)的權(quán)限配置信息��,獲取與所述 一個(gè)或多個(gè)主體類型對(duì)應(yīng)的操作權(quán)限信息�����。3. 根據(jù)權(quán)利要求1所述的方法,其中���,當(dāng)所述操作命令對(duì)應(yīng)于多個(gè)主體類型時(shí)���,所述步 驟c包括以下步驟: -如果所述操作命令分別與各個(gè)主體類型各自的操作權(quán)限信息均相匹配,則確定所述 操作命令為有權(quán)操作����; -如果所述操作命令與任一主體類型的操作權(quán)限信息均不匹配,則確定所述操作命令 為無權(quán)操作�����。4. 根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法��,其中��,所述主體類型包括以下至少任一項(xiàng): -賬戶相關(guān)類型�; -程序類型; -IP地址相關(guān)類型���。5. 根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的方法�,其中,所述方法包括以下步驟: -接收來自管理端設(shè)備的權(quán)限配置信息���,其中,所述權(quán)限配置信息包括預(yù)定的一種或多 種主體類型及其各自對(duì)應(yīng)的操作權(quán)限信息�; -基于所述來自管理端設(shè)備的權(quán)限配置信息,更新自身存儲(chǔ)的權(quán)限配置信息����。6. 根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的方法,其中��,所述方法包括以下步驟: -基于用戶的設(shè)置操作����,更新自身存儲(chǔ)的權(quán)限配置信息,其中����,所述權(quán)限配置信息包括 預(yù)定的一種或多種主體類型及其各自對(duì)應(yīng)的操作權(quán)限信息。7. -種用于在代理端設(shè)備進(jìn)行權(quán)限控制的控制裝置��,其中���,所述控制裝置包括: 第一確定裝置���,用于監(jiān)聽到對(duì)于文件數(shù)據(jù)的操作命令時(shí)����,確定所述操作命令對(duì)應(yīng)的一 個(gè)或多個(gè)主體類型�����; 獲取裝置�����,用于基于所述一個(gè)或多個(gè)主體類型和自身存儲(chǔ)的權(quán)限配置信息���,獲取與所 述一個(gè)或多個(gè)主體類型對(duì)應(yīng)的操作權(quán)限信息�; 第二確定裝置����,用于基于所獲取的操作權(quán)限信息,確定所述操作命令是否為有權(quán)操作�, 從而繼續(xù)或終止執(zhí)行該操作命令。8. 根據(jù)權(quán)利要求7所述的控制裝置���,其中���,所述預(yù)定的權(quán)限配置信息中包含與所述文件 數(shù)據(jù)對(duì)應(yīng)的權(quán)限配置信息����,所述獲取裝置還包括: 子獲取裝置��,用于基于所述一個(gè)或多個(gè)主體類型和與所述文件數(shù)據(jù)對(duì)應(yīng)的權(quán)限配置信 息����,獲取與所述一個(gè)或多個(gè)主體類型對(duì)應(yīng)的操作權(quán)限信息����。9. 根據(jù)權(quán)利要求7所述的控制裝置,其中�,當(dāng)所述操作命令對(duì)應(yīng)于多個(gè)主體類型時(shí),所 述第二確定裝置用于: -如果所述操作命令分別與各個(gè)主體類型各自的操作權(quán)限信息均相匹配����,則確定所述 操作命令為有權(quán)操作。10. 根據(jù)權(quán)利要求7至9中任一項(xiàng)所述的控制裝置��,其中�����,所述主體類型包括以下至少任 一項(xiàng): -賬戶相關(guān)類型; -程序類型���; -IP地址相關(guān)類型�����。11. 根據(jù)權(quán)利要求7至10中任一項(xiàng)所述的控制裝置�����,其中�,所述控制裝置包括: 接收裝置����,用于接收來自管理端設(shè)備的權(quán)限配置信息,其中��,所述權(quán)限配置信息包括預(yù) 定的一種或多種主體類型及其各自對(duì)應(yīng)的操作權(quán)限信息�; 第一更新裝置,用于基于所述權(quán)限配置信息來更新自身存儲(chǔ)的權(quán)限配置信息���。12. 根據(jù)權(quán)利要求7至10中任一項(xiàng)所述的控制裝置�����,其中����,所述控制裝置包括: 第二更新裝置,用于基于用戶的設(shè)置操作�����,更新自身存儲(chǔ)的權(quán)限配置信息��,其中�����,所述 權(quán)限配置信息包括預(yù)定的一種或多種主體類型及其各自對(duì)應(yīng)的操作權(quán)限信息���。
【文檔編號(hào)】G06F21/60GK106055986SQ201610298826
【公開日】2016年10月26日
【申請(qǐng)日】2016年5月6日
【發(fā)明人】梁繼良, 馬驊, 田昕輝, 夏攀, 竇雯, 王智飛
【申請(qǐng)人】北京優(yōu)炫軟件股份有限公司