專利名稱:一種基于容器的用戶私有數(shù)據(jù)保護方法
技術領域:
本發(fā)明涉及計算機系統(tǒng)的用戶數(shù)據(jù)安全領域,具體涉及一種基于容器的私有數(shù)據(jù)保護方法�。
背景技術:
隨著計算機及網(wǎng)絡技術的發(fā)展,云計算等網(wǎng)絡計算平臺的廣泛應用���,越來越多的關鍵業(yè)務系統(tǒng)運行在網(wǎng)絡計算平臺��。網(wǎng)絡計算平臺的業(yè)務應用往往有大量的人員及用戶共同維護或使用一個服務器��,而一切業(yè)務應用的核心都是用戶的數(shù)據(jù)���,因此用戶私有數(shù)據(jù)隔離與共享等數(shù)據(jù)安全問題就突顯的尤為重要。一旦用戶數(shù)據(jù)泄露或丟失就可能讓組織蒙受經(jīng)濟損失����,或者失去客戶和公眾的信任,用戶私有數(shù)據(jù)安全的需求顯得更為迫切���。目前系統(tǒng)的訪問控制是基于用戶的身份認證���,系統(tǒng)管理員具有較大的權限,可以越過系統(tǒng)自主訪問控制�����,訪問普通用戶的數(shù)據(jù),這樣系統(tǒng)用戶的私有數(shù)據(jù)得不到有效保障��。通過獲得管理員權限后竊取其他用戶的私有數(shù)據(jù)也是常用的攻擊手段�����,因此如何限制管理員查看用戶私有數(shù)據(jù)非常重要?,F(xiàn)有技術為了實現(xiàn)限制管理員查看用戶私有數(shù)據(jù),一般包含下述技術方案
I)數(shù)據(jù)加密���。數(shù)據(jù)加密是保護用戶私有數(shù)據(jù)安全的常用手段��,該方法能較好地防止離線攻擊���。但是數(shù)據(jù)加密保護的安全性取決于加密算法的強度以及用戶加密密鑰的保護��,由于能夠感知到數(shù)據(jù)的存在����,非法用戶仍然可以通過暴力解密、竊取用戶身份等手段獲取用戶的數(shù)據(jù)��。2)禁用系統(tǒng)管理員用戶。為了防止系統(tǒng)管理員查看用戶的私有數(shù)據(jù)�,也有系統(tǒng)通過禁用系統(tǒng)管理員用戶保證用戶數(shù)據(jù)安全,把部分特權如用戶創(chuàng)建等賦予第一個用戶�,但這種方法在系統(tǒng)配置過程中操作不方便,而且存在特權用戶�,也有一定的風險。3)用戶隔離����。系統(tǒng)創(chuàng)建多個虛擬機,每個用戶的數(shù)據(jù)均在不同的虛擬機內(nèi)部�����,通過虛擬機的隔離實現(xiàn)用戶數(shù)據(jù)的隔離�,在需要共享數(shù)據(jù)時,通過網(wǎng)絡訪問或者共享虛擬機的方式進行數(shù)據(jù)共享��。這種方法能較好地進行用戶數(shù)據(jù)的隔離����,但是在用戶量大時,每個用戶獨享一個虛擬機的方式會占用大量的cpu資源和存儲資源���,導致系統(tǒng)性能極其低下��,同時也不能有效防止管理員等特權用戶的訪問��,外部攻擊者也能夠通過網(wǎng)絡攻擊獲取用戶數(shù)據(jù)����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術問題是提供一種能夠限制系統(tǒng)管理員權限以保證用戶私有數(shù)據(jù)安全,具有隔離��、隱藏及細粒度的數(shù)據(jù)共享功能��,安全可靠性高�、通用性好的基于容器的用戶私有數(shù)據(jù)保護方法。為了解決上述技術問題�����,本發(fā)明采用的技術方案為
一種基于容器的用戶私有數(shù)據(jù)保護方法�,其實施步驟如下
I)為用戶創(chuàng)建用于存儲用戶私有數(shù)據(jù)的私有數(shù)據(jù)容器,為所述私有數(shù)據(jù)容器添加包含屬主信息和訪問授權信息的容器安全屬性�,所述屬主信息用于存儲私有數(shù)據(jù)容器創(chuàng)建者的用戶信息,所述訪問授權信息用于存儲授權訪問用戶的訪問授權信息��;
2)檢測用戶的訪問請求�����,當用戶向私有數(shù)據(jù)容器發(fā)出訪問請求時�,判斷當前用戶是否為私有數(shù)據(jù)容器的屬主,如果當前用戶是屬主��,則根據(jù)訪問請求訪問所述私有數(shù)據(jù)容器或者修改私有數(shù)據(jù)容器的訪問授權信息����;如果當前用戶不是屬主,則根據(jù)私有數(shù)據(jù)容器的訪問授權信息判斷當前用戶是否已經(jīng)得到屬主的訪問授權�����,如果當前用戶已經(jīng)獲得訪問授權���,則返回私有數(shù)據(jù)容器的文件或目錄信息����,允許當前用戶按照授權訪問所述私有數(shù)據(jù)容器����,否則不返回私有數(shù)據(jù)容器的文件或目錄信息,將所述私有數(shù)據(jù)容器向當前用戶隱藏�。作為本發(fā)明上述技術方案的進一步改進
所述步驟I)創(chuàng)建的私有數(shù)據(jù)容器為基于目錄或文件形式的私有數(shù)據(jù)容器,當用戶訪問基于目錄形式的私有數(shù)據(jù)容器并在所述私有數(shù)據(jù)容器內(nèi)創(chuàng)建子目錄和文件時���,新建的子目錄和文件也作為基于目錄或文件形式的私有數(shù)據(jù)容器默認繼承父目錄的容器安全屬性��。所述容器安全屬性存儲在私有數(shù)據(jù)容器對應文件或目錄的擴展屬性空間內(nèi)��;所述容器安全屬性包含用于將私有數(shù)據(jù)容器區(qū)別于普通文件或者目錄的容器標識�����、用于記錄私有數(shù)據(jù)容器創(chuàng)建者的用戶信息的屬主信息��、用于記錄授權訪問的其他用戶信息的訪問控制信息表和用于記錄讀�、寫、執(zhí)行權限的訪問控制權限集���,所述訪問控制信息表和訪問控制權限集構成私有數(shù)據(jù)容器的訪問授權信息�����,所述容器安全屬性中的屬主信息在私有數(shù)據(jù)容器被創(chuàng)建時一次性賦值且不可修改�,所述訪問控制信息表在私有數(shù)據(jù)容器被創(chuàng)建時缺省為空����。所述屬主信息、訪問控制信息表中存儲的用戶信息均指從操作系統(tǒng)的用戶進程中提取得到的用戶私有令牌信息����。所述步驟2)的詳細步驟如下
2.1)檢測當前用戶的訪問請求的目標文件或者目錄的容器標識,如果訪問請求的目標文件或者目錄的容器標識未設置���,則按照普通訪問請求處理���;否則跳轉(zhuǎn)執(zhí)行下一步;
2. 2)判斷當前用戶是否為私有數(shù)據(jù)容器的屬主�,如果當前用戶是屬主,則判斷訪問請求是否為修改私有數(shù)據(jù)容器的訪問授權信息的操作����,當訪問請求為修改私有數(shù)據(jù)容器的訪問授權信息的操作時修改私有數(shù)據(jù)容器的訪問授權信息,當訪問請求并非修改私有數(shù)據(jù)容器的訪問授權信息的操作時直接訪問私有數(shù)據(jù)容器����;如果當前用戶不是屬主,則跳轉(zhuǎn)執(zhí)行步驟2. 3)��;
2. 3)根據(jù)私有數(shù)據(jù)容器的訪問授權信息判斷當前用戶是否已經(jīng)得到屬主的訪問授權���,如果當前用戶已經(jīng)獲得訪問授權����,則跳轉(zhuǎn)執(zhí)行下一步;否則不返回私有數(shù)據(jù)容器的文件或目錄信息�����,將所述私有數(shù)據(jù)容器向當前用戶隱藏�;
2. 4)根據(jù)所述私有數(shù)據(jù)容器的訪問授權信息判斷當前用戶是否具有訪問請求對應請求類型的訪問權限,如果有所述訪問請求對應請求類型的訪問權限則返回私有數(shù)據(jù)容器的文件或目錄信息�����、允許當前用戶訪問所述私有數(shù)據(jù)容器�;如果沒有所述訪問請求對應請求類型的訪問權限,則拒絕訪問��。所述步驟2. 2)如果當前用戶不是屬主時還包括檢測系統(tǒng)管理員刪除私有數(shù)據(jù)容器的步驟��,所述檢測系統(tǒng)管理員刪除私有數(shù)據(jù)容器的步驟如下
2. 2.1)在當前用戶不是屬主時�����,判斷當前用戶是否為系統(tǒng)管理員�,如果當前用戶為系統(tǒng)管理員則跳轉(zhuǎn)執(zhí)行下一步;否則跳轉(zhuǎn)執(zhí)行步驟2. 3)��;
2. 2. 2)判斷系統(tǒng)管理員的訪問請求是否為刪除私有數(shù)據(jù)容器的操作,如果所述訪問請求為刪除私有數(shù)據(jù)容器的操作則跳轉(zhuǎn)執(zhí)行下一步����;否則跳轉(zhuǎn)執(zhí)行步驟2. 3);
2. 2. 3)判斷所述私有數(shù)據(jù)容器的屬主對應的用戶是否已經(jīng)失效����,如果用戶已經(jīng)失效則響應系統(tǒng)管理員的訪問請求���,刪除所述訪問請求指定的私有數(shù)據(jù)容器���;否則拒絕刪除操作。本發(fā)明具有下述優(yōu)點1�����、本發(fā)明為用戶創(chuàng)建用于存儲用戶私有數(shù)據(jù)的私有數(shù)據(jù)容器�����,實現(xiàn)了私有數(shù)據(jù)容器的專有保護功能�,并且能夠?qū)崿F(xiàn)私有數(shù)據(jù)容器對其他用戶的授權訪問共享,通過設定容器控制策略規(guī)則和包含屬主信息的容器安全屬性限制系統(tǒng)管理員權限��,有效保證用戶容器內(nèi)數(shù)據(jù)安全����,具有安全可靠�����、訪問控制方便��、分享簡單靈活的優(yōu)點�。2�����、本發(fā)明實現(xiàn)私有數(shù)據(jù)容器針對沒有任何訪問權限的用戶進行隱藏�����,有部分或全部訪問權限的用戶不隱藏���,可以感知到容器的存在���,容器屬主可以針對其他用戶令牌信息設置容器及其內(nèi)部私有文件的訪問控制策略,授權的粒度可以是單個用戶�����;實現(xiàn)容器屬性保護機制,容器的屬主身份一經(jīng)確定不能更改�����;只有進程的令牌信息和容器安全屬性中容器屬主的私有令牌信息相一致時�����,才能確認為容器屬主�����;任何用戶(包括管理員在內(nèi))均不能通過su等setuid操作偽造用戶的私有令牌信息�,即無法獲取或更改容器屬主身份�,具有隔離、隱藏及細粒度的數(shù)據(jù)共享功能��,具有分享細粒度高�����、數(shù)據(jù)分享可控制性好的優(yōu)點�。3、本發(fā)明采用的包含用戶私有令牌信息的容器安全屬性和控制策略具有通用性,便于多種目標系統(tǒng)使用本發(fā)明實現(xiàn)基于容器的用戶私有數(shù)據(jù)保護��,能夠支持平臺的多樣性���,具有通用性好��、適用范圍廣的優(yōu)點�����。
圖1為本發(fā)明實施例的方法流程示意圖���。圖2為本發(fā)明實施例在私有數(shù)據(jù)容器中創(chuàng)建子目錄或文件的流程示意圖。圖3為本發(fā)明實施例中創(chuàng)建私有數(shù)據(jù)容器的流程示意圖�。圖4為本發(fā)明實施例中私有數(shù)據(jù)容器的框架結構示意圖。圖5為本發(fā)明實施例中進行私有數(shù)據(jù)容器訪問控制檢查的流程示意圖�。圖6為本發(fā)明實施例中修改私有數(shù)據(jù)容器的訪問授權信息的流程示意圖。圖7為本發(fā)明實施例中進行私有數(shù)據(jù)容器屬主判斷的流程示意圖��。
具體實施例方式如圖1所示�����,本實施例基于容器的用戶私有數(shù)據(jù)保護方法的實施步驟如下
1)為用戶創(chuàng)建用于存儲用戶私有數(shù)據(jù)的私有數(shù)據(jù)容器�,為私有數(shù)據(jù)容器添加包含屬主信息和訪問授權信息的容器安全屬性����,屬主信息用于存儲私有數(shù)據(jù)容器創(chuàng)建者的用戶信息����,訪問授權信息用于存儲授權訪問用戶的訪問授權信息;
2)檢測用戶的訪問請求���,當用戶向私有數(shù)據(jù)容器發(fā)出訪問請求時�,判斷當前用戶是否為私有數(shù)據(jù)容器的屬主����,如果當前用戶是屬主,則根據(jù)訪問請求訪問私有數(shù)據(jù)容器或者修改私有數(shù)據(jù)容器的訪問授權信息���;如果當前用戶不是屬主,則根據(jù)私有數(shù)據(jù)容器的訪問授權信息判斷當前用戶是否已經(jīng)得到屬主的訪問授權����,如果當前用戶已經(jīng)獲得訪問授權,則返回私有數(shù)據(jù)容器的文件或目錄信息�����,允許當前用戶按照授權訪問私有數(shù)據(jù)容器,否則不返回私有數(shù)據(jù)容器的文件或目錄信息�����,將私有數(shù)據(jù)容器向當前用戶隱藏����。本實施例用戶創(chuàng)建一個私有數(shù)據(jù)容器,私有數(shù)據(jù)容器自動具備缺省的容器安全屬性(包含屬主信息)����,私有數(shù)據(jù)容器的屬主(創(chuàng)建者)可以對其他用戶進行訪問授權,授權用戶使用令牌訪問該私有數(shù)據(jù)容器中的數(shù)據(jù)�����,任何用戶(含管理員)只能按照授權訪問其他用戶私有的私有數(shù)據(jù)容器�����,任何未被授權用戶(含管理員)均不能感知和訪問其他用戶的私有容器���,本實施例通過包含用戶私有令牌信息的容器安全屬性和控制策略��,實現(xiàn)用戶私有數(shù)據(jù)隔離保護��,針對其他用戶令牌信息的訪問控制授權���,實現(xiàn)用戶間數(shù)據(jù)共享�,使得用戶的私有數(shù)據(jù)容器對其他任何非授權用戶進行隱藏���,非授權用戶無法感知和訪問用戶的私有數(shù)據(jù)容器���,從而更好地保護用戶數(shù)據(jù)的安全,具有安全可靠���、訪問控制方便�����、分享簡單靈活�、分享細粒度高�、數(shù)據(jù)分享可控制性好��、通用性好���、適用范圍廣的優(yōu)點�。本實施例步驟I)創(chuàng)建的私有數(shù)據(jù)容器為基于目錄或文件形式的私有數(shù)據(jù)容器(目錄容器或文件容器),當用戶訪問基于目錄形式的私有數(shù)據(jù)容器并在私有數(shù)據(jù)容器內(nèi)創(chuàng)建子目錄和文件時����,新建的子目錄和文件也作為基于目錄或文件形式的私有數(shù)據(jù)容器默認繼承父目錄的容器安全屬性,私有數(shù)據(jù)保護的具體實現(xiàn)形式多樣����,適用范圍廣。如圖2所示�����,本實施例在目錄私有數(shù)據(jù)容器內(nèi)創(chuàng)建子目錄和文件后��,首先獲取父目錄容器的屬主信息����,將父目錄容器的屬主信息設置作為創(chuàng)建子目錄和文件對應私有數(shù)據(jù)容器的屬主信息;然后獲取父目錄容器的訪問授權信息�����,將父目錄容器的訪問授權信息設置作為創(chuàng)建子目錄和文件對應私有數(shù)據(jù)容器的訪問授權信息���,從而實現(xiàn)新建私有數(shù)據(jù)容器默認繼承父目錄的容器安全屬性��。目錄容器或文件容器作為保護用戶私有數(shù)據(jù)的基本對象�,用于存儲用戶私有數(shù)據(jù);本實施例中�,文件容器只能位于目錄容器內(nèi);私有數(shù)據(jù)容器創(chuàng)建時�����,自動設定包含屬主信息的容器安全屬性�;目錄容器內(nèi)創(chuàng)建的子目錄和文件,也被視為私有數(shù)據(jù)容器���,繼承父目錄容器的缺省安全屬性�。如圖3所示����,以創(chuàng)建基于目錄形式的私有數(shù)據(jù)容器為例,在創(chuàng)建私有數(shù)據(jù)容器時的詳細步驟如下(I)檢測目標目錄是否已經(jīng)存在�,如果不存在則創(chuàng)建目錄;(2)設置私有數(shù)據(jù)容器的容器標識��,將私有數(shù)據(jù)容器與普通目錄進行區(qū)分���;(3)創(chuàng)建私有數(shù)據(jù)容器�;(4)獲取系統(tǒng)當前用戶的用戶信息(用戶私有令牌信息)�,將當前用戶的用戶信息存儲設置為新建私有數(shù)據(jù)容器的屬主信息;(5)將新建私有數(shù)據(jù)容器缺省的訪問授權信息設置為空�����,默認禁止其他用戶訪問新建私有數(shù)據(jù)容器���,如需授權其他用戶訪問新建私有數(shù)據(jù)容器���,則需要額外對其他用戶進行授權。本實施例中���,容器安全屬性存儲在私有數(shù)據(jù)容器對應文件或目錄的擴展屬性空間內(nèi)��,此外也可以根據(jù)需要采用包括數(shù)據(jù)庫或者配置文件的形式存儲私有數(shù)據(jù)容器的容器安全屬性���。如圖4所示,容器安全屬性包含用于將私有數(shù)據(jù)容器區(qū)別于普通文件或者目錄的容器標識�����、用于記錄私有數(shù)據(jù)容器創(chuàng)建者的用戶信息的屬主信息(屬主私有令牌信息)、用于記錄授權訪問的其他用戶信息的訪問控制信息表和用于記錄讀��、寫�����、執(zhí)行等權限的訪問控制權限集����,訪問控制信息表和訪問控制權限集構成私有數(shù)據(jù)容器的訪問授權信息,容器安全屬性中的屬主信息在私有數(shù)據(jù)容器被創(chuàng)建時一次性賦值且不可修改�,訪問控制信息表在私有數(shù)據(jù)容器被創(chuàng)建時缺省為空。本實施例通過訪問控制信息表和訪問控制權限集構成私有數(shù)據(jù)容器的訪問授權信息�,通過訪問控制信息表和訪問控制權限集能夠?qū)崿F(xiàn)基于單個用戶的單個讀、寫����、執(zhí)行等操作類型的最小粒度進行權限控制,容器屬主可以針對其他用戶令牌信息設置容器及其內(nèi)部私有文件的訪問控制策略����,即授權其他用戶使用令牌對容器進行讀、寫�、執(zhí)行等訪問操作,授權的粒度可以是單個用戶的單個操作類型��,控制靈活、使用方便��,不同用戶之間共享非常靈活可靠�;由于本實施例容器安全屬性中的屬主信息在私有數(shù)據(jù)容器被創(chuàng)建時一次性賦值且不可修改�����,私有數(shù)據(jù)容器的屬主不能更改和仿冒�,包括容器安全屬性中屬主信息以及操作系統(tǒng)進程的用戶信息,任何用戶(包括管理員在內(nèi))只能通過身份認證獲取自身的用戶信息�����,不能通過比如SU等其他setuid操作的非身份認證過程偽造用戶的私有令牌信息����,即無法獲取或更改為容器屬主身份,因此能夠提高私有數(shù)據(jù)容器的安全性�,防止身份偽造等導致私有數(shù)據(jù)容器泄密。本實施例中����,屬主信息、訪問控制信息表中存儲的用戶信息均指從操作系統(tǒng)的用戶認證過程中提取得到的用戶私有令牌信息�;用戶認證過程通過對用戶進行Ukey身份認證或者基于生物特征的身份認證獲取并存儲認證用戶的用戶私有令牌信息。通過上述技術手段,一方面能夠方便實現(xiàn)與各種先進的用戶認證(對用戶進行ukey身份認證或者基于生物特征的身份認證)進行捆綁�,授權用戶只能使用自己的私有令牌對其他用戶的私有容器進行授權訪問,還能夠方便地與其它新型用戶認證進行捆綁�,而且用戶私有令牌信息提取方便,不容易被竊取或者偽造����,安全可靠性高。本實施例的操作系統(tǒng)環(huán)境為國防科技大學計算機學院研制開發(fā)的麒麟操作系統(tǒng)���,用戶認證為基于Ukey的身份認證�,因此實現(xiàn)了基于Ukey的身份認證�、強制訪問控制以及管理員分權等安全機制,用戶進程的安全結構中包括用戶私有令牌信息�,用于私有數(shù)據(jù)容器的屬主判斷和訪問授權判斷;用戶進程的用戶私有令牌信息初始只能在身份認證過程中獲取�,在后續(xù)的用戶進程創(chuàng)建時從父進程中繼承,父進程在創(chuàng)建子進程后�,子進程繼承父進程的私有令牌信息,因此用戶在身份認證過程中獲得的用戶私有令牌信息會一直傳遞給用戶的每一個用戶進程��。在保證身份認證安全的情況下����,用戶進程的用戶私有令牌信息不會被仿冒�����;用戶進程的用戶私有令牌信息只有與容器安全屬性中的屬主私有令牌一致時�,被認為是容器屬主�����;在用戶請求訪問容器時�,首先檢查當前用戶是否為私有數(shù)據(jù)容器的屬主����,如果是私有數(shù)據(jù)容器的屬主請求訪問,則允許訪問��;如果不是私有數(shù)據(jù)容器的屬主訪問��,則檢查私有數(shù)據(jù)容器的訪問授權信息��。如果私有數(shù)據(jù)容器的訪問授權信息中沒有該用戶的用戶私有令牌信息����,則拒絕訪問,并不對當前用戶返回私有數(shù)據(jù)容器的任何信息���,從而實現(xiàn)對非授權用戶的隱藏�����;如果私有數(shù)據(jù)容器的訪問授權信息中有該用戶的用戶私有令牌信息��,檢查該容器針對當前用戶的訪問授權信息���,如果已對當前用戶進行的訪問操作進行了授權�����,則允許訪問�����;否則����,將拒絕訪問���。如圖1和圖5所示�����,本實施例中步驟2)的詳細步驟如下
2.1)檢測當前用戶的訪問請求的目標文件或者目錄的容器標識�����,如果訪問請求的目標文件或者目錄的容器標識未設置��,則按照普通訪問請求處理���;否則跳轉(zhuǎn)執(zhí)行下一步��;
2. 2)判斷當前用戶是否為私有數(shù)據(jù)容器的屬主(如圖5所示),如果當前用戶是屬主����,則判斷訪問請求是否為修改私有數(shù)據(jù)容器的訪問授權信息的操作,當訪問請求為修改私有數(shù)據(jù)容器的訪問授權信息的操作時修改私有數(shù)據(jù)容器的訪問授權信息�����,當訪問請求并非修改私有數(shù)據(jù)容器的訪問授權信息的操作時直接訪問私有數(shù)據(jù)容器�����;如果當前用戶不是屬主(授權失敗)����,則跳轉(zhuǎn)執(zhí)行步驟2. 3)��; 2. 3)根據(jù)私有數(shù)據(jù)容器的訪問授權信息判斷當前用戶是否已經(jīng)得到屬主的訪問授權�����,如果當前用戶已經(jīng)獲得訪問授權��,則跳轉(zhuǎn)執(zhí)行下一步�;否則不返回私有數(shù)據(jù)容器的文件或目錄信息���,將私有數(shù)據(jù)容器向當前用戶隱藏�����;
2. 4)根據(jù)私有數(shù)據(jù)容器的訪問授權信息判斷當前用戶是否具有訪問請求對應請求類型的訪問權限���,如果有訪問請求對應請求類型的訪問權限則返回私有數(shù)據(jù)容器的文件或目錄信息、允許當前用戶訪問私有數(shù)據(jù)容器����;如果沒有訪問請求對應請求類型的訪問權限,則拒絕當前訪問請求��。私有數(shù)據(jù)容器對其他任何非授權用戶進行隱藏,非授權用戶無法感知和訪問用戶的私有數(shù)據(jù)容器用戶在訪問容器所在的目錄時��,系統(tǒng)將根據(jù)當前訪問用戶進程的令牌信息�����、容器安全屬性中的屬主令牌信息來確定當前訪問用戶是否是私有數(shù)據(jù)容器的屬主��,如果當前訪問用戶是容器屬主���,則允許訪問�;如果當前訪問用戶不是私有數(shù)據(jù)容器的屬主�,則檢查該私有數(shù)據(jù)容器是否針對當前訪問用戶進行了授權,如果沒有任何授權����,則系統(tǒng)拒絕當前訪問用戶的訪問����,并不對當前用戶返回私有數(shù)據(jù)容器的任何信息,從而實現(xiàn)對非授權用戶的隱藏��;授權用戶只能使用自己的私有令牌對其他用戶的私有容器進行授權訪問非屬主用戶在訪問其他用戶的私有數(shù)據(jù)容器時�,必須出示用戶的私有令牌�����,系統(tǒng)將檢查該私有數(shù)據(jù)容器針對當前用戶令牌的訪問授權信息�����,如果已對當前用戶令牌要進行的訪問操作進行了授權��,則允許訪問�����;否則�,將拒絕訪問���,并在沒有任何訪問權限時�,則不返回私有數(shù)據(jù)容器的文件或目錄信息��,將私有數(shù)據(jù)容器向當前用戶隱藏��,因此能夠防止非法用戶對私有數(shù)據(jù)容器進行暴力破解�,安全性更好。如圖6所示,本實施例中用戶修改私有數(shù)據(jù)容器的訪問授權信息時����,首先檢查用戶進程中的用戶信息(用戶私有令牌信息)與容器安全屬性中的屬主信息是否一致,即檢查操作主體是否為私有數(shù)據(jù)容器的屬主(容器屬主)�,如果主體不是容器屬主,則拒絕該操作���;如果是容器屬主��,則根據(jù)指令更新私有數(shù)據(jù)容器的訪問授權信息����。如圖7所示����,本實施例中進行容器屬主檢查(檢查當前用戶是否為私有數(shù)據(jù)容器的屬主)的詳細步驟為(1)獲取用戶進程中的用戶信息(用戶私有令牌信息);(2)獲取私有數(shù)據(jù)容器的屬主信息�;(3)將用戶進程中的用戶信息(用戶私有令牌信息)和私有數(shù)據(jù)容器的屬主信息進行對比,如果一致則說明當前用戶為私有數(shù)據(jù)容器的屬主����,否則判斷當前用戶并非私有數(shù)據(jù)容器的屬主�����。如圖1所示,本實施例中步驟2. 2)如果當前用戶不是屬主時還包括檢測系統(tǒng)管理員刪除私有數(shù)據(jù)容器的步驟�,檢測系統(tǒng)管理員刪除私有數(shù)據(jù)容器的步驟如下
2. 2.1)在當前用戶不是屬主時,判斷當前用戶是否為系統(tǒng)管理員�����,如果當前用戶為系統(tǒng)管理員則跳轉(zhuǎn)執(zhí)行下一步�;否則跳轉(zhuǎn)執(zhí)行步驟2. 3);
2. 2. 2)判斷系統(tǒng)管理員的訪問請求是否為刪除私有數(shù)據(jù)容器的操作����,如果訪問請求為刪除私有數(shù)據(jù)容器的操作則跳轉(zhuǎn)執(zhí)行下一步;否則跳轉(zhuǎn)執(zhí)行步驟2. 3)�����;
2.2. 3)判斷私有數(shù)據(jù)容器的屬主對應的用戶是否已經(jīng)失效�,如果用戶已經(jīng)失效則響應管理員的訪問請求,刪除訪問請求指定的私有數(shù)據(jù)容器���;否則拒絕刪除操作����。本實施例通過上述步驟2. 2.1) 2. 2. 3),使得容器擁有者的令牌失效后����,系統(tǒng)管理員才可刪除該容器,回收其資源當系統(tǒng)管理員刪除其他用戶容器時����,將檢驗用戶令牌是否失效,如未失效�,則禁止該操作,能夠有效防止系統(tǒng)管理員誤操作��,而且也能夠減少由于用戶獲取系統(tǒng)管理員的權限后發(fā)生惡意刪除其他用戶的私有數(shù)據(jù)容器的可能性�����。私有數(shù)據(jù)容器只對沒有任何訪問權限的用戶(包含系統(tǒng)管理員)進行隱藏��。對于有部分訪問權限的用戶���,用戶需要感知這些容器的存在�����,比如在用戶有讀權限但沒有寫權限的情況下����,當用戶進行寫請求訪問時���,拒絕寫訪問����,但是用戶要知道這個私有數(shù)據(jù)容器的存在才能訪問����。針對系統(tǒng)管理員,也要根據(jù)該容器訪問授權信息表中是否包含系統(tǒng)管理員用戶��,假設針對系統(tǒng)管理員用戶進行了部分授權�,比如讀授權或?qū)懯跈啵藭r不對系統(tǒng)管理員用戶隱藏����。 以上所述僅是本發(fā)明的優(yōu)選實施方式,本發(fā)明的保護范圍并不僅局限于上述實施例��,凡屬于本發(fā)明思路下的技術方案均屬于本發(fā)明的保護范圍�。應當指出,對于本技術領域的普通技術人員來說��,在不脫離本發(fā)明原理前提下的若干改進和潤飾,這些改進和潤飾也應視為本發(fā)明的保護范圍���。
權利要求
1.一種基于容器的用戶私有數(shù)據(jù)保護方法���,其特征在于實施步驟如下 1)為用戶創(chuàng)建用于存儲用戶私有數(shù)據(jù)的私有數(shù)據(jù)容器,為所述私有數(shù)據(jù)容器添加包含屬主信息和訪問授權信息的容器安全屬性���,所述屬主信息用于存儲私有數(shù)據(jù)容器創(chuàng)建者的用戶信息����,所述訪問授權信息用于存儲授權訪問用戶的訪問授權信息��; 2)檢測用戶的訪問請求����,當用戶向私有數(shù)據(jù)容器發(fā)出訪問請求時,判斷當前用戶是否為私有數(shù)據(jù)容器的屬主�,如果當前用戶是屬主,則根據(jù)訪問請求訪問所述私有數(shù)據(jù)容器或者修改私有數(shù)據(jù)容器的訪問授權信息��;如果當前用戶不是屬主���,則根據(jù)私有數(shù)據(jù)容器的訪問授權信息判斷當前用戶是否已經(jīng)得到屬主的訪問授權����,如果當前用戶已經(jīng)獲得訪問授權,則返回私有數(shù)據(jù)容器的文件或目錄信息���,允許當前用戶按照授權訪問所述私有數(shù)據(jù)容器,否則不返回私有數(shù)據(jù)容器的文件或目錄信息���,將所述私有數(shù)據(jù)容器向當前用戶隱藏���。
2.根據(jù)權利要求1所述的基于容器的用戶私有數(shù)據(jù)保護方法,其特征在于所述步驟I)創(chuàng)建的私有數(shù)據(jù)容器為基于目錄或文件形式的私有數(shù)據(jù)容器����,當用戶訪問基于目錄形式的私有數(shù)據(jù)容器并在所述私有數(shù)據(jù)容器內(nèi)創(chuàng)建子目錄和文件時,新建的子目錄和文件也作為基于目錄或文件形式的私有數(shù)據(jù)容器默認繼承父目錄的容器安全屬性����。
3.根據(jù)權利要求2所述的基于容器的用戶私有數(shù)據(jù)保護方法,其特征在于所述容器安全屬性存儲在私有數(shù)據(jù)容器對應文件或目錄的擴展屬性空間內(nèi)����;所述容器安全屬性包含用于將私有數(shù)據(jù)容器區(qū)別于普通文件或者目錄的容器標識、用于記錄私有數(shù)據(jù)容器創(chuàng)建者的用戶信息的屬主信息����、用于記錄授權訪問的其他用戶信息的訪問控制信息表和用于記錄讀���、寫、執(zhí)行權限的訪問控制權限集���,所述訪問控制信息表和訪問控制權限集構成私有數(shù)據(jù)容器的訪問授權信息�,所述容器安全屬性中的屬主信息在私有數(shù)據(jù)容器被創(chuàng)建時一次性賦值且不可修改���,所述訪問控制信息表在私有數(shù)據(jù)容器被創(chuàng)建時缺省為空��。
4.根據(jù)權利要求3所述的基于容器的用戶私有數(shù)據(jù)保護方法���,其特征在于所述屬主信息、訪問控制信息表中存儲的用戶信息均指從操作系統(tǒng)的用戶進程中提取得到的用戶私有令牌信息�����。
5.根據(jù)權利要求3或4所述的基于容器的用戶私有數(shù)據(jù)保護方法����,其特征在于,所述步驟2)的詳細步驟如下 .2.1)檢測當前用戶的訪問請求的目標文件或者目錄的容器標識,如果訪問請求的目標文件或者目錄的容器標識未設置�,則按照普通訪問請求處理;否則跳轉(zhuǎn)執(zhí)行下一步����; .2. 2)判斷當前用戶是否為私有數(shù)據(jù)容器的屬主,如果當前用戶是屬主���,則判斷訪問請求是否為修改私有數(shù)據(jù)容器的訪問授權信息的操作,當訪問請求為修改私有數(shù)據(jù)容器的訪問授權信息的操作時修改私有數(shù)據(jù)容器的訪問授權信息�,當訪問請求并非修改私有數(shù)據(jù)容器的訪問授權信息的操作時直接訪問私有數(shù)據(jù)容器;如果當前用戶不是屬主��,則跳轉(zhuǎn)執(zhí)行步驟2. 3)�; .2. 3)根據(jù)私有數(shù)據(jù)容器的訪問授權信息判斷當前用戶是否已經(jīng)得到屬主的訪問授權,如果當前用戶已經(jīng)獲得訪問授權����,則跳轉(zhuǎn)執(zhí)行下一步;否則不返回私有數(shù)據(jù)容器的文件或目錄信息���,將所述私有數(shù)據(jù)容器向當前用戶隱藏�; .2. 4)根據(jù)所述私有數(shù)據(jù)容器的訪問授權信息判斷當前用戶是否具有訪問請求對應請求類型的訪問權限�,如果有所述訪問請求對應請求類型的訪問權限則返回私有數(shù)據(jù)容器的文件或目錄信息、允許當前用戶訪問所述私有數(shù)據(jù)容器�����;如果沒有所述訪問請求對應請求類型的訪問權限,則拒絕訪問��。
6.根據(jù)權利要求5所述的基于容器的用戶私有數(shù)據(jù)保護方法�,其特征在于,所述步驟·2. 2)如果當前用戶不是屬主時還包括檢測系統(tǒng)管理員刪除私有數(shù)據(jù)容器的步驟��,所述檢測系統(tǒng)管理員刪除私有數(shù)據(jù)容器的步驟如下 ·2. 2.1)在當前用戶不是屬主時�����,判斷當前用戶是否為系統(tǒng)管理員����,如果當前用戶為系統(tǒng)管理員則跳轉(zhuǎn)執(zhí)行下一步;否則跳轉(zhuǎn)執(zhí)行步驟2. 3)�����; ·2. 2. 2)判斷系統(tǒng)管理員的訪問請求是否為刪除私有數(shù)據(jù)容器的操作�����,如果所述訪問請求為刪除私有數(shù)據(jù)容器的操作則跳轉(zhuǎn)執(zhí)行下一步;否則跳轉(zhuǎn)執(zhí)行步驟2. 3)����; ·2. 2. 3)判斷所述私有數(shù)據(jù)容器的屬主對應的用戶是否已經(jīng)失效,如果用戶已經(jīng)失效則響應系統(tǒng)管理員的訪問請求�,刪除所述訪問請求指定的私有數(shù)據(jù)容器;否則拒絕刪除操作���。
全文摘要
本發(fā)明公開了一種基于容器的用戶私有數(shù)據(jù)保護方法�,實施步驟如下1)創(chuàng)建私有數(shù)據(jù)容器�����,為私有數(shù)據(jù)容器添加包含屬主信息和訪問授權信息的容器安全屬性��;2)檢測用戶的訪問請求���,當用戶向私有數(shù)據(jù)容器發(fā)出訪問請求時,如果當前用戶是屬主����,則允許訪問或修改訪問授權信息;如果當前用戶不是屬主��,則判斷當前用戶是否已經(jīng)得到屬主的訪問授權,如果已經(jīng)獲得訪問授權則返回私有數(shù)據(jù)容器的文件或目錄信息��,允許當前用戶按照授權訪問所述私有數(shù)據(jù)容器�����,否則不返回私有數(shù)據(jù)容器的文件或目錄信息���,將私有數(shù)據(jù)容器向當前用戶隱藏�。本發(fā)明具有安全可靠�����、訪問控制方便�、分享簡單靈活、分享細粒度高��、數(shù)據(jù)分享可控制性好�、通用性好、適用范圍廣的優(yōu)點���。
文檔編號G06F21/62GK103065100SQ20121057338
公開日2013年4月24日 申請日期2012年12月26日 優(yōu)先權日2012年12月26日
發(fā)明者劉東紅, 魏立峰, 童嵐嵐, 陳松政, 初寧, 丁滟, 曹江, 吳慶波, 李永紅, 戴華東, 黃辰林, 付松齡, 董攀 申請人:中國人民解放軍總參謀部第六十一研究所, 中國人民解放軍國防科學技術大學