[发明专利]多用户级目录的访问控制方法、装置、设备及存储介质

说明书

本发明涉及访问控制技术领域，特别涉及一种多用户级目录的访问控制方法、装置、设备及存储介质。方法包括：当接收到操作用户的打开目标文件的第一访问指令时，调用第一访问控制钩子；第一访问控制钩子查询目标文件所在目录的安全策略，并调用文件代理对象创建接口，以利用文件代理对象创建接口生成目标文件代理对象，然后将目标文件代理对象返回给操作用户；针对接收到的第二访问指令，均执行：基于当前第二访问指令中的操作目标，调用第二访问控制钩子；第二访问控制钩子基于目标文件代理对象和当前第二访问指令中的访问信息，执行该第二访问控制钩子的设定操作。本方案，可以实现多用户同一文件数据的安全隔离，保证多用户之间数据的隐私性。

技术领域

本发明实施例涉及访问控制技术领域，特别涉及一种多用户级目录的访问控制方法、装置、设备及存储介质。

背景技术

在操作系统中，通常使用自主访问控制方法和强制访问控制方法来控制主体对文件的访问。首先，在访问文件之前，需要判断主体是否有权限访问文件，得到访问授权后主体方可访问到文件，但是对于这两种访问控制机制，都存在的缺点是授权只是根据授权策略允许或者拒绝主体对文件的访问，而不支持多用户层级间的文件数据内容隔离机制，使得用户一旦获取到文件的访问权限，便可以获取到文件中的所有数据内容，故而，现有的访问控制方法的灵活性和保密性都比较差。

因此，亟需一种多用户级目录的访问控制方法。

发明内容

为了解决现有的访问控制方法的灵活性和保密性都比较差的问题，本发明实施例提供了一种多用户级目录的访问控制方法、装置、设备及存储介质。

第一方面，本发明实施例提供了一种多用户级目录的访问控制方法，方法包括：

当接收到操作用户的打开目标文件的第一访问指令时，调用第一访问控制钩子；其中，所述第一访问控制钩子的操作目标为打开目标文件；

所述第一访问控制钩子查询所述目标文件所在目录的安全策略；

当获取到所述安全策略时，所述第一访问控制钩子调用文件代理对象创建接口，以利用所述文件代理对象创建接口基于所述安全策略从目录副本中查询所述目标文件，以此生成目标文件代理对象，然后将所述目标文件代理对象返回给所述操作用户；其中，所述目录副本存储有每个用户在该目录的私有文件，所述安全策略含有当前目录的用户共享规则；

针对接收到的每一个第二访问指令，均执行：

基于当前第二访问指令中的操作目标，调用第二访问控制钩子；其中，所述第二访问控制钩子的操作目标至少包括关闭目标文件、读取目标文件、写目标文件、目标文件删除；所述第二访问指令包括操作目标和访问信息；

所述第二访问控制钩子基于所述目标文件代理对象和当前第二访问指令中的访问信息，执行该第二访问控制钩子的设定操作。

第二方面，本发明实施例还提供了一种多用户级目录的访问控制装置，装置包括：

第一接收单元，用于当接收到操作用户的打开目标文件的第一访问指令时，调用第一访问控制钩子；其中，所述第一访问控制钩子的操作目标为打开目标文件；

查询单元，所述第一访问控制钩子查询所述目标文件所在目录的安全策略；

创建单元，用于当获取到所述安全策略时，所述第一访问控制钩子调用文件代理对象创建接口，以利用所述文件代理对象创建接口基于所述安全策略从目录副本中查询所述目标文件，以此生成目标文件代理对象，然后将所述目标文件代理对象返回给所述操作用户；其中，所述目录副本存储有每个用户在该目录的私有文件，所述安全策略含有当前目录的用户共享规则；

第二接收单元，用于针对接收到的每一个第二访问指令，均执行：基于当前第二访问指令中的操作目标，调用第二访问控制钩子；其中，所述第二访问控制钩子的操作目标至少包括关闭目标文件、读取目标文件、写目标文件、目标文件删除；所述第二访问指令包括操作目标和访问信息；

执行单元，所述第二访问控制钩子基于所述目标文件代理对象和当前第二访问指令中的访问信息，执行该第二访问控制钩子的设定操作。