用于進行權(quán)限控制的方法和裝置的制造方法
【專利摘要】本發(fā)明的目的是提供一種用于進行權(quán)限控制的方法和裝置�����。根據(jù)本發(fā)明的方法包括以下步驟:監(jiān)聽到對于文件數(shù)據(jù)的操作命令時����,確定所述操作命令對應(yīng)的一個或多個主體類型;基于所述一個或多個主體類型和預(yù)定的權(quán)限配置信息�����,獲取與所述一個或多個主體類型對應(yīng)的操作權(quán)限信息���;基于所確定的操作權(quán)限信息����,確定所述操作命令是否為有權(quán)操作,從而繼續(xù)或終止執(zhí)行該操作命令�����。根據(jù)本發(fā)明的優(yōu)點在于:能夠基于多種主體類型來限制對客體的操作權(quán)限,突破了現(xiàn)有方案中僅針對用戶或角色來設(shè)置操作權(quán)限的方式����,從而能夠避免黑客通過獲得管理員權(quán)限來訪問該文件數(shù)據(jù)或進行其他操作,提升了計算機系統(tǒng)的安全性��。
【專利說明】
用于進行權(quán)限控制的方法和裝置
技術(shù)領(lǐng)域
[0001] 本發(fā)明涉及計算機技術(shù)領(lǐng)域��,尤其涉及一種用于進行權(quán)限控制的方法和裝置。
【背景技術(shù)】
[0002] 隨著時代的發(fā)展和科技的進步�,信息已成為推動社會向前發(fā)展的巨大資源。計算 機技術(shù)的高速發(fā)展����,為人類現(xiàn)代化建設(shè)提供技術(shù)保障��。計算機應(yīng)用已滲透到政治���、經(jīng)濟����、軍 事����、科學(xué)文化和家庭生活等社會的各個領(lǐng)域���,實現(xiàn)了社會的計算機化,改變著社會生產(chǎn)方式 和社會的其他活動方式��,朝著社會信息化進軍��。在社會信息化過程中��,大量的數(shù)據(jù)信息通過 網(wǎng)絡(luò)傳遞��,如果沒有適當?shù)陌踩胧?��,這些信息在存儲和傳輸期間可能會受到非法截獲��、更 改或添加�,從而導(dǎo)致對個人數(shù)據(jù)����、商業(yè)記錄以及政府等信息的泄密�����、篡改與竊取��。
[0003] 現(xiàn)有技術(shù)中��,計算機系統(tǒng)中的自主訪問控制機制一般是基于識別用戶的主體來限 制對客體的訪問�,例如,限制只有管理員才具有特定的權(quán)限等等�。然而�,基于該方式,黑客通 過一定的技術(shù)手段管理員權(quán)限后即可進入相應(yīng)的文件系統(tǒng)或進行特定的操作�,因此��,基于 技術(shù)的自主訪問控制機制可能存在安全隱患����。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的是提供一種用于進行權(quán)限控制的方法和裝置。
[0005] 根據(jù)本發(fā)明的一個方面�����,提供了一種用于在代理端設(shè)備進行權(quán)限控制的方法,其 中�,所述方法包括以下步驟:
[0006] a監(jiān)聽到對于文件數(shù)據(jù)的操作命令時,確定所述操作命令對應(yīng)的一個或多個主體 類型�����;
[0007] b基于所述一個或多個主體類型和預(yù)定的權(quán)限配置信息��,獲取與所述一個或多個 主體類型對應(yīng)的操作權(quán)限信息����;
[0008] c基于所確定的操作權(quán)限信息,確定所述操作命令是否為有權(quán)操作�����,從而繼續(xù)或終 止執(zhí)行該操作命令�。
[0009] 根據(jù)本發(fā)明的一個方面,還提供了一種用于在代理端設(shè)備進行權(quán)限控制的控制裝 置�,其中,所述控制裝置包括:
[0010] 第一確定裝置����,用于監(jiān)聽到對于文件數(shù)據(jù)的操作命令時�,確定所述操作命令對應(yīng) 的一個或多個主體類型;
[0011] 獲取裝置����,用于基于所述一個或多個主體類型和自身存儲的權(quán)限配置信息���,獲取 與所述一個或多個主體類型對應(yīng)的操作權(quán)限信息����;
[0012] 第二確定裝置����,用于基于所獲取的操作權(quán)限信息,確定所述操作命令是否為有權(quán) 操作�����,從而繼續(xù)或終止執(zhí)行該操作命令���。
[0013] 與現(xiàn)有技術(shù)相比��,本發(fā)明具有以下優(yōu)點:能夠基于多種主體類型來限制對客體的 操作權(quán)限��,突破了現(xiàn)有方案中僅針對用戶或角色來設(shè)置操作權(quán)限的方式����,從而能夠避免黑 客通過獲得管理員權(quán)限來訪問該文件數(shù)據(jù)或進行其他操作,提升了計算機系統(tǒng)的安全性���; 并且�����,根據(jù)本發(fā)明的方案能夠進一步針對特定數(shù)據(jù)來限制各個主體類型對該特定數(shù)據(jù)的操 作權(quán)限����,進一步提升而來計算機系統(tǒng)的安全性��。
【附圖說明】
[0014] 通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述���,本發(fā)明的其它 特征�、目的和優(yōu)點將會變得更明顯:
[0015] 圖1示意出了根據(jù)本發(fā)明的一種用于在代理端設(shè)備進行權(quán)限控制的方法流程圖�����;
[0016] 圖2示意出了根據(jù)本發(fā)明的一種用于在代理端設(shè)備進行權(quán)限控制的控制裝置的結(jié) 構(gòu)示意圖���。
[0017]附圖中相同或相似的附圖標記代表相同或相似的部件���。
【具體實施方式】
[0018] 下面結(jié)合附圖對本發(fā)明作進一步詳細描述�����。
[0019] 圖1示意出了一種用于在代理端設(shè)備進行權(quán)限控制的方法流程圖。根據(jù)本發(fā)明的 方法包括步驟Sl�����、步驟S2和步驟S3�����。
[0020] 其中��,根據(jù)本發(fā)明的方法通過包含于代理端設(shè)備中的控制裝置來實現(xiàn)����。
[0021] 優(yōu)選地���,一個或多個代理設(shè)備可通過網(wǎng)絡(luò)與管理端設(shè)備進行交互���。
[0022] 其中����,所述代理端設(shè)備和所述管理端設(shè)備均包括計算機設(shè)備。所述計算機設(shè)備包 括一種能夠按照事先設(shè)定或存儲的指令��,自動進行數(shù)值計算和/或信息處理的電子設(shè)備����,其 硬件包括但不限于微處理器、專用集成電路(ASIC)���、可編程門陣列(FPGA)��、數(shù)字處理器 (DSP)�、嵌入式設(shè)備等�。所述計算機設(shè)備包括網(wǎng)絡(luò)設(shè)備和/或用戶設(shè)備。其中�,所述網(wǎng)絡(luò)設(shè)備 包括但不限于單個網(wǎng)絡(luò)服務(wù)器、多個網(wǎng)絡(luò)服務(wù)器組成的服務(wù)器組或基于云計算(Cloud Computing)的由大量主機或網(wǎng)絡(luò)服務(wù)器構(gòu)成的云���,其中���,云計算是分布式計算的一種,由一 群松散耦合的計算機集組成的一個超級虛擬計算機���。所述用戶設(shè)備包括但不限于任何一種 可與用戶通過鍵盤��、鼠標��、遙控器��、觸摸板�����、或聲控設(shè)備等方式進行人機交互的電子產(chǎn)品����,例 如�����,個人計算機、平板電腦��、智能手機、PDA����、游戲機、或IPTV等����。其中,所述用戶設(shè)備及網(wǎng)絡(luò)設(shè) 備所處的網(wǎng)絡(luò)包括但不限于互聯(lián)網(wǎng)��、廣域網(wǎng)�、城域網(wǎng)、局域網(wǎng)����、VPN網(wǎng)絡(luò)等。
[0023]需要說明的是����,所述用戶設(shè)備、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)僅為舉例���,其他現(xiàn)有的或今后可 能出現(xiàn)的用戶設(shè)備�、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)如可適用于本發(fā)明,也應(yīng)包含在本發(fā)明保護范圍以 內(nèi)��,并以引用方式包含于此�。
[0024] 參照圖1,在步驟Sl中��,監(jiān)聽到對于文件數(shù)據(jù)的操作命令時��,控制裝置確定所述操 作命令對應(yīng)的一個或多個主體類型����。
[0025] 其中,所述主體類型包括與引起信息在客體之間流動的人���、進程或設(shè)備等相關(guān)的 類型信息。
[0026] 優(yōu)選地����,所述主體類型包括但不限于以下至少任一項類型信息:
[0027] 1)賬戶相關(guān)類型;優(yōu)選地所述用戶相關(guān)類型包括:
[0028] i)用戶類型;例如,將用戶標識信息作為類型信息��,從而基于特定用戶設(shè)置相應(yīng)的 操作權(quán)限等等����。
[0029] ii)角色類型;例如,將角色類型分為"安全用戶"或"普通用戶"等等。
[0030] iii)用戶個數(shù)類型;例如�,單個用戶,或所有用戶等等��。
[0031] 2)程序類型;該程序類型包括各種可基于各個程序所確定的類型信息�,例如,將各 個程序分為游戲類程序����、社交類程序等等。從而基于特定程序設(shè)置相應(yīng)的操作權(quán)限等等��。
[0032] 3)IP地址相關(guān)類型��;例如���,將IP地址作為一種主體類型��,從而為特定的IP地址設(shè)置 相應(yīng)的操作權(quán)限��。又例如����,將IP地址劃分為多個范圍,從而基于特定的IP地址范圍來設(shè)置相 應(yīng)的操作權(quán)限��。
[0033] 接著����,在步驟S2中,控制裝置基于所述一個或多個主體類型和預(yù)定的權(quán)限配置信 息���,獲取與所述一個或多個主體類型對應(yīng)的操作權(quán)限信息���。
[0034] 其中,所述權(quán)限配置信息包括預(yù)定的一個或多個主體類型及其對應(yīng)的操作權(quán)限信 息�。
[0035] 其中,所述操作權(quán)限信息包括在計算機系統(tǒng)中所允許的各種操作���。例如,刪除�、只 讀或重命名等等。
[0036] 優(yōu)選地�����,所述權(quán)限配置信息可采用自主訪問控制列表(Access Control Lists, ACL)的形式�。
[0037] 優(yōu)選地,所述權(quán)限配置信息中包含與所述文件數(shù)據(jù)對應(yīng)的權(quán)限配置信息�����,控制裝 置基于所述一個或多個主體類型和與所述文件數(shù)據(jù)對應(yīng)的權(quán)限配置信息���,獲取與所述一個 或多個主體類型對應(yīng)的操作權(quán)限信息����。
[0038] 接著�����,在步驟S3中��,控制裝置基于所確定的操作權(quán)限信息���,確定所述操作命令是否 為有權(quán)操作�,從而繼續(xù)或終止執(zhí)行該操作命令�。
[0039] 具體地����,如果所述操作命令與所述操作權(quán)限信息均相匹配��,則控制裝置確定所述 操作命令為有權(quán)操作���。
[0040] 優(yōu)選地��,當所述操作命令對應(yīng)于多個主體類型時����,如果所述操作命令分別與各個 主體類型各自的操作權(quán)限信息均相匹配�,則控制裝置確定所述操作命令為有權(quán)操作;如果 所述操作命令與任一主體類型的操作權(quán)限信息均不匹配���,則控制裝置確定所述操作命令為 無權(quán)操作����。
[0041] 優(yōu)選地��,如果控制裝置確定所述操作命令不是有權(quán)操作���,控制裝置終止執(zhí)行該操 作命令�,并呈現(xiàn)訪問受限等提示信息�����。
[0042]根據(jù)本發(fā)明的第一示例����,控制裝置包含于計算機computer」中。并且����,該計算機中 預(yù)定的角色類型包括安全管理員(S0)、系統(tǒng)管理員(SA)����、安全用戶(MU)和普通用戶(UX)。并 且�����,該計算機系統(tǒng)采用Linux系統(tǒng)的訪問權(quán)限���,則預(yù)定的操作權(quán)限包括:刪除��、只讀���、創(chuàng)建��、只 寫���、執(zhí)行、重命名�����、所屬用戶變更��、權(quán)限變更�。
[0043] 用戶user_l使用該計算機并刪除該計算機中的文件file_l,則控制裝置在步驟Sl 中監(jiān)聽到對于該文件file_l的操作命令"刪除文件����,并確定該操作命令對應(yīng)的主體 類型包括:角色信息"S0" ;程序prog_l; IP地址add_l。接著����,控制裝置基于所確定的主體類 型和該計算機computer」中預(yù)定的與該文件file j對應(yīng)的權(quán)限配置信息,獲取到如下表1 所示的操作權(quán)限信息:
[0044] 表 1
[0046]~控制裝置基于上表1所示的權(quán)限配置信息��,確定操作命令"刪除文件行16_1"與1卩 地址add_l對應(yīng)的操作權(quán)限不匹配,則控制裝置確定該操作命令為無權(quán)操作��,并終止執(zhí)行刪 除文件file_l的操作命令��,并彈出窗口呈現(xiàn)的權(quán)限受限的提示信息���。
[0047]優(yōu)選地,根據(jù)本發(fā)明的方法包括步驟S4(圖未示)和步驟S5(圖未示)�。
[0048]在步驟S4中,控制裝置接收來自管理端設(shè)備的權(quán)限配置信息��。
[0049] 其中���,所述權(quán)限配置信息包括預(yù)定的一種或多種主體類型及其各自對應(yīng)的操作權(quán) 限信息��。
[0050] 優(yōu)選地��,所述權(quán)限配置信息中包含與一個或多個文件數(shù)據(jù)對應(yīng)的權(quán)限配置信息�。 [0051 ]在步驟S5中��,控制裝置基于所述來自管理端設(shè)備的權(quán)限配置信息�,更新自身存儲 的權(quán)限配置信息。
[0052]例如����,管理端設(shè)備對應(yīng)于多個待保護的計算機設(shè)備����,相應(yīng)的人員在管理端設(shè)備中 對權(quán)限配置進行設(shè)置并將所設(shè)置的權(quán)限配置信息發(fā)送至各個待保護的計算機設(shè)備�����,則待保 護的計算機設(shè)備中的控制裝置在步驟S4中接收來自管理端設(shè)備的權(quán)限配置信息���,并接著基 于該權(quán)限配置信息更新自身存儲的權(quán)限配置信息����。
[0053]優(yōu)選地����,根據(jù)本發(fā)明的方法包括步驟S6(圖未示)。
[0054] 在步驟S6中����,控制裝置基于用戶的設(shè)置操作,更新自身存儲的權(quán)限配置信息��。其 中,所述權(quán)限配置信息包括預(yù)定的一種或多種主體類型及其各自對應(yīng)的操作權(quán)限信息��。
[0055] 優(yōu)選地�����,所述權(quán)限配置信息中包含與一個或多個文件數(shù)據(jù)對應(yīng)的權(quán)限配置信息�����。
[0056] 繼續(xù)對前述第一示例進行說明���,用戶通過設(shè)置操作,從而得到如下表2所示的與文 件file_2對應(yīng)的權(quán)限配置信息�����。
[0057] 表 2
[0059]則控制裝置基于該用戶的設(shè)置操作�,并基于上表2所示的與文件file_2對應(yīng)的權(quán) 限配置信息來更新自身存儲的權(quán)限配置信息。
[0060] 根據(jù)本發(fā)明的方法�����,能夠基于多種主體類型來限制對客體的操作權(quán)限�����,突破了現(xiàn) 有方案中僅針對用戶或角色來設(shè)置操作權(quán)限的方式,從而能夠避免黑客通過獲得管理員權(quán) 限來訪問該文件數(shù)據(jù)或進行其他操作�����,提升了計算機系統(tǒng)的安全性;并且�����,根據(jù)本發(fā)明的方 法能夠進一步針對特定數(shù)據(jù)來限制各個主體類型對該特定數(shù)據(jù)的操作權(quán)限��,進一步提升了 計算機系統(tǒng)的安全性����。
[0061] 圖2示意出了根據(jù)本發(fā)明的一種用于在代理端設(shè)備進行權(quán)限控制的控制裝置的結(jié) 構(gòu)示意圖。根據(jù)本發(fā)明的控制裝置包括第一確定裝置1���、獲取裝置2和第二確定裝置3���。
[0062] 監(jiān)聽到對于文件數(shù)據(jù)的操作命令時,第一確定裝置1確定所述操作命令對應(yīng)的一 個或多個主體類型����。
[0063] 其中�����,所述主體類型包括與引起信息在客體之間流動的人�����、進程或設(shè)備等相關(guān)的 類型信息���。
[0064] 優(yōu)選地,所述主體類型包括但不限于以下至少任一項類型信息:
[0065] 1)賬戶相關(guān)類型;優(yōu)選地所述用戶相關(guān)類型包括:
[0066] i)用戶類型���;將用戶標識信息作為類型信息,從而基于特定用戶設(shè)置相應(yīng)的操作 權(quán)限等等�。
[0067] ii)角色類型;例如,將角色類型分為"安全用戶"或"普通用戶"等等�����。
[0068] iii)用戶個數(shù)類型;例如�����,單個用戶���,或所有用戶等等�。
[0069] 2)程序類型;該程序類型包括各種可基于各個程序所確定的類型信息,例如���,將各 個程序分為游戲類程序��、社交類程序等等��,從而基于特定程序設(shè)置相應(yīng)的操作權(quán)限等等����。
[0070] 3)IP地址相關(guān)類型����;例如,將IP地址作為一種主體類型���,從而為特定的IP地址設(shè)置 相應(yīng)的操作權(quán)限��。又例如��,將IP地址劃分為多個范圍��,從而基于特定的IP地址范圍來設(shè)置相 應(yīng)的操作權(quán)限���。
[0071] 接著����,獲取裝置2基于所述一個或多個主體類型和預(yù)定的權(quán)限配置信息����,獲取與所 述一個或多個主體類型對應(yīng)的操作權(quán)限信息。
[0072] 其中����,所述權(quán)限配置信息包括預(yù)定的一個或多個主體類型及其對應(yīng)的操作權(quán)限信 息。
[0073] 其中����,所述操作權(quán)限信息包括在計算機系統(tǒng)中所允許的各種操作����。例如,刪除���、只 讀或重命名等等���。
[0074] 優(yōu)選地�����,所述權(quán)限配置信息可采用自主訪問控制列表(Access Control Lists��, ACL)的形式�����。
[0075] 優(yōu)選地��,所述權(quán)限配置信息中包含與所述文件數(shù)據(jù)對應(yīng)的權(quán)限配置信息�����,所述獲 取裝置2還包括子獲取裝置(圖未示)����。
[0076] 子獲取裝置基于所述一個或多個主體類型和與所述文件數(shù)據(jù)對應(yīng)的權(quán)限配置信 息�,獲取與所述一個或多個主體類型對應(yīng)的操作權(quán)限信息。
[0077]接著��,第二確定裝置3基于所確定的操作權(quán)限信息��,確定所述操作命令是否為有權(quán) 操作��,從而繼續(xù)或終止執(zhí)行該操作命令。
[0078] 具體地���,如果所述操作命令與所述操作權(quán)限信息均相匹配���,則第二確定裝置3確定 所述操作命令為有權(quán)操作。
[0079] 優(yōu)選地�,當所述操作命令對應(yīng)于多個主體類型時,如果所述操作命令分別與各個 主體類型各自的操作權(quán)限信息均相匹配��,則第二確定裝置3確定所述操作命令為有權(quán)操作�����; 如果所述操作命令與任一主體類型的操作權(quán)限信息均不匹配���,則第二確定裝置3確定所述 操作命令為無權(quán)操作�。
[0080]優(yōu)選地�,如果控制裝置確定所述操作命令不是有權(quán)操作,控制裝置終止執(zhí)行該操 作命令����,并呈現(xiàn)訪問受限等提示信息�����。
[0081]根據(jù)本發(fā)明的第一示例,控制裝置包含于計算機computer」中�����。并且��,該計算機中 預(yù)定的角色類型包括安全管理員(S0)��、系統(tǒng)管理員(SA)��、安全用戶(MU)和普通用戶(UX)�����。并 且���,該計算機系統(tǒng)采用Linux系統(tǒng)的訪問權(quán)限�����,則預(yù)定的操作權(quán)限包括:刪除�����、只讀��、創(chuàng)建���、只 寫�����、執(zhí)行��、重命名���、所屬用戶變更、權(quán)限變更��。
[0082] 用戶user_l使用該計算機并刪除該計算機中的文件file_l��,第一確定裝置1監(jiān)聽 到對于該文件file_l的操作命令"刪除文件���,并確定該操作命令對應(yīng)的主體類型包 括:角色信息"S0" ��;程序prog_l; IP地址add_l���。接著,子獲取裝置基于所確定的主體類型和 該計算機computer_l中預(yù)定的與該文件file_l對應(yīng)的權(quán)限配置信息��,獲取到如下表3所示 的操作權(quán)限信息:
[0083] 表 3
[0085] 控制裝置基于上表3所示的權(quán)限配置信息��,確定操作命令"刪除文件行16_1"與1卩 地址adcLl對應(yīng)的操作權(quán)限不匹配�,則第二確定裝置3確定該操作命令為無權(quán)操作,并終止 執(zhí)行刪除文件file_l的操作命令�,控制裝置彈出窗口呈現(xiàn)的權(quán)限受限的提示信息。
[0086] 優(yōu)選地�,根據(jù)本發(fā)明的控制裝置包括接收裝置(圖未示)和第一更新裝置(圖未 示)。
[0087]接收裝置接收來自管理端設(shè)備的權(quán)限配置信息��。
[0088] 其中����,所述權(quán)限配置信息包括預(yù)定的一種或多種主體類型及其各自對應(yīng)的操作權(quán) 限信息。
[0089] 第一更新裝置基于所述來自管理端設(shè)備的權(quán)限配置信息��,更新自身存儲的權(quán)限配 置信息���。
[0090] 優(yōu)選地����,所述權(quán)限配置信息中包含與一個或多個文件數(shù)據(jù)對應(yīng)的權(quán)限配置信息。
[0091] 例如���,管理端設(shè)備對應(yīng)于多個待保護的計算機設(shè)備��,相應(yīng)的人員在管理端設(shè)備中 對權(quán)限配置進行設(shè)置并將所設(shè)置的權(quán)限配置信息發(fā)送至各個待保護的計算機設(shè)備����,則待保 護的計算機設(shè)備中的第一更新裝置接收來自管理端設(shè)備的權(quán)限配置信息��,接著第一更新裝 置基于該權(quán)限配置信息更新自身存儲的權(quán)限配置信息��。
[0092] 優(yōu)選地�,根據(jù)本發(fā)明的方法包括第二更新裝置(圖未示)。
[0093] 第二更新裝置基于用戶的設(shè)置操作��,更新自身存儲的權(quán)限配置信息���。其中�,所述權(quán) 限配置信息包括預(yù)定的一種或多種主體類型及其各自對應(yīng)的操作權(quán)限信息�����。
[0094] 優(yōu)選地���,所述權(quán)限配置信息中包含與一個或多個文件數(shù)據(jù)對應(yīng)的權(quán)限配置信息���。
[0095] 繼續(xù)對前述第一示例進行說明���,用戶通過設(shè)置操作�����,從而得到如下表4所示的與文 件file_2對應(yīng)的權(quán)限配置信息�����。
[0096] 表 4
[0098] 則第二更新裝置基于該用戶的設(shè)置操作�����,并基于上表4所示的與文件file_2對應(yīng) 的權(quán)限配置信息來更新自身存儲的權(quán)限配置信息�。
[0099] 根據(jù)本發(fā)明的方案,能夠基于多種主體類型來限制對客體的操作權(quán)限���,突破了現(xiàn) 有方案中僅針對用戶或角色來設(shè)置操作權(quán)限的方式���,從而能夠避免黑客通過獲得管理員權(quán) 限來訪問該文件數(shù)據(jù)或進行其他操作�����,提升了計算機系統(tǒng)的安全性;并且���,根據(jù)本發(fā)明的方 案能夠進一步針對特定數(shù)據(jù)來限制各個主體類型對該特定數(shù)據(jù)的操作權(quán)限,進一步提升了 計算機系統(tǒng)的安全性��。
[0100] 本發(fā)明的軟件程序可以通過處理器執(zhí)行以實現(xiàn)上文所述步驟或功能���。同樣地��,本 發(fā)明的軟件程序(包括相關(guān)的數(shù)據(jù)結(jié)構(gòu))可以被存儲到計算機可讀記錄介質(zhì)中���,例如,RAM存 儲器��,磁或光驅(qū)動器或軟磁盤及類似設(shè)備����。另外,本發(fā)明的一些步驟或功能可采用硬件來實 現(xiàn)�����,例如,作為與處理器配合從而執(zhí)行各個功能或步驟的電路����。
[0101] 另外,本發(fā)明的一部分可被應(yīng)用為計算機程序產(chǎn)品�,例如計算機程序指令,當其被 計算機執(zhí)行時����,通過該計算機的操作�����,可以調(diào)用或提供根據(jù)本發(fā)明的方法和/或技術(shù)方案���。 而調(diào)用本發(fā)明的方法的程序指令���,可能被存儲在固定的或可移動的記錄介質(zhì)中,和/或通過 廣播或其他信號承載媒體中的數(shù)據(jù)流而被傳輸�,和/或被存儲在根據(jù)所述程序指令運行的 計算機設(shè)備的工作存儲器中。在此�,根據(jù)本發(fā)明的一個實施例包括一個裝置,該裝置包括用 于存儲計算機程序指令的存儲器和用于執(zhí)行程序指令的處理器��,其中,當該計算機程序指 令被該處理器執(zhí)行時�����,觸發(fā)該裝置運行基于前述根據(jù)本發(fā)明的多個實施例的方法和/或技 術(shù)方案��。
[0102] 對于本領(lǐng)域技術(shù)人員而言,顯然本發(fā)明不限于上述示范性實施例的細節(jié)���,而且在 不背離本發(fā)明的精神或基本特征的情況下,能夠以其他的具體形式實現(xiàn)本發(fā)明���。因此�����,無論 從哪一點來看��,均應(yīng)將實施例看作是示范性的��,而且是非限制性的,本發(fā)明的范圍由所附權(quán) 利要求而不是上述說明限定,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有 變化涵括在本發(fā)明內(nèi)����。不應(yīng)將權(quán)利要求中的任何附圖標記視為限制所涉及的權(quán)利要求。此 外���,顯然"包括"一詞不排除其他單元或步驟����,單數(shù)不排除復(fù)數(shù)����。系統(tǒng)權(quán)利要求中陳述的多個 單元或裝置也可以由一個單元或裝置通過軟件或者硬件來實現(xiàn)��。第一,第二等詞語用來表 示名稱����,而并不表示任何特定的順序��。
【主權(quán)項】
1. 一種用于在代理端設(shè)備進行權(quán)限控制的方法���,其中����,所述方法包括以下步驟: a監(jiān)聽到對于文件數(shù)據(jù)的操作命令時�,確定所述操作命令對應(yīng)的一個或多個主體類型; b基于所述一個或多個主體類型和預(yù)定的權(quán)限配置信息��,獲取與所述一個或多個主體 類型對應(yīng)的操作權(quán)限信息���; c基于所確定的操作權(quán)限信息�,確定所述操作命令是否為有權(quán)操作�����,從而繼續(xù)或終止執(zhí) 行該操作命令。2. 根據(jù)權(quán)利要求1所述的方法�����,其中��,所述預(yù)定的權(quán)限配置信息中包含與所述文件數(shù)據(jù) 對應(yīng)的權(quán)限配置信息�����,所述步驟b還包括以下步驟: -基于所述一個或多個主體類型和與所述文件數(shù)據(jù)對應(yīng)的權(quán)限配置信息�,獲取與所述 一個或多個主體類型對應(yīng)的操作權(quán)限信息。3. 根據(jù)權(quán)利要求1所述的方法���,其中���,當所述操作命令對應(yīng)于多個主體類型時,所述步 驟c包括以下步驟: -如果所述操作命令分別與各個主體類型各自的操作權(quán)限信息均相匹配�����,則確定所述 操作命令為有權(quán)操作���; -如果所述操作命令與任一主體類型的操作權(quán)限信息均不匹配,則確定所述操作命令 為無權(quán)操作�。4. 根據(jù)權(quán)利要求1至3中任一項所述的方法��,其中���,所述主體類型包括以下至少任一項: -賬戶相關(guān)類型; -程序類型�; -IP地址相關(guān)類型。5. 根據(jù)權(quán)利要求1至4中任一項所述的方法����,其中,所述方法包括以下步驟: -接收來自管理端設(shè)備的權(quán)限配置信息����,其中,所述權(quán)限配置信息包括預(yù)定的一種或多 種主體類型及其各自對應(yīng)的操作權(quán)限信息�; -基于所述來自管理端設(shè)備的權(quán)限配置信息,更新自身存儲的權(quán)限配置信息�����。6. 根據(jù)權(quán)利要求1至4中任一項所述的方法�����,其中,所述方法包括以下步驟: -基于用戶的設(shè)置操作����,更新自身存儲的權(quán)限配置信息,其中�����,所述權(quán)限配置信息包括 預(yù)定的一種或多種主體類型及其各自對應(yīng)的操作權(quán)限信息���。7. -種用于在代理端設(shè)備進行權(quán)限控制的控制裝置���,其中,所述控制裝置包括: 第一確定裝置�����,用于監(jiān)聽到對于文件數(shù)據(jù)的操作命令時��,確定所述操作命令對應(yīng)的一 個或多個主體類型���; 獲取裝置,用于基于所述一個或多個主體類型和自身存儲的權(quán)限配置信息�,獲取與所 述一個或多個主體類型對應(yīng)的操作權(quán)限信息; 第二確定裝置,用于基于所獲取的操作權(quán)限信息���,確定所述操作命令是否為有權(quán)操作���, 從而繼續(xù)或終止執(zhí)行該操作命令。8. 根據(jù)權(quán)利要求7所述的控制裝置��,其中���,所述預(yù)定的權(quán)限配置信息中包含與所述文件 數(shù)據(jù)對應(yīng)的權(quán)限配置信息�,所述獲取裝置還包括: 子獲取裝置�,用于基于所述一個或多個主體類型和與所述文件數(shù)據(jù)對應(yīng)的權(quán)限配置信 息,獲取與所述一個或多個主體類型對應(yīng)的操作權(quán)限信息�����。9. 根據(jù)權(quán)利要求7所述的控制裝置�,其中�����,當所述操作命令對應(yīng)于多個主體類型時�����,所 述第二確定裝置用于: -如果所述操作命令分別與各個主體類型各自的操作權(quán)限信息均相匹配,則確定所述 操作命令為有權(quán)操作����。10. 根據(jù)權(quán)利要求7至9中任一項所述的控制裝置,其中,所述主體類型包括以下至少任 一項: -賬戶相關(guān)類型���; -程序類型���; -IP地址相關(guān)類型��。11. 根據(jù)權(quán)利要求7至10中任一項所述的控制裝置�����,其中��,所述控制裝置包括: 接收裝置�����,用于接收來自管理端設(shè)備的權(quán)限配置信息,其中����,所述權(quán)限配置信息包括預(yù) 定的一種或多種主體類型及其各自對應(yīng)的操作權(quán)限信息; 第一更新裝置��,用于基于所述權(quán)限配置信息來更新自身存儲的權(quán)限配置信息。12. 根據(jù)權(quán)利要求7至10中任一項所述的控制裝置��,其中��,所述控制裝置包括: 第二更新裝置,用于基于用戶的設(shè)置操作���,更新自身存儲的權(quán)限配置信息��,其中,所述 權(quán)限配置信息包括預(yù)定的一種或多種主體類型及其各自對應(yīng)的操作權(quán)限信息�����。
【文檔編號】G06F21/60GK106055986SQ201610298826
【公開日】2016年10月26日
【申請日】2016年5月6日
【發(fā)明人】梁繼良, 馬驊, 田昕輝, 夏攀, 竇雯, 王智飛
【申請人】北京優(yōu)炫軟件股份有限公司