本发明专利技术实施例公开了一种基于会话的权限控制方法,包括:在应用程序的进程进行系统调用时,获取该系统调用所属的会话;根据会话获取对应的会话权限;根据各会话对应的会话权限控制当前系统调用。对于应用程序的进程对系统调用引入了会话权限的检查来对于服务器中进行系统调用时的权限进行检查校验,以控制应用程序的权限,实现了当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制。本发明专利技术还公开了一种基于会话的权限控制系统,其效果和上述方法相同,在此不再赘述。
【技术实现步骤摘要】
一种基于会话的权限控制方法和系统
本专利技术涉及访问权限管理
,特别是涉及一种基于会话的权限控制方法和系统。
技术介绍
随着科学技术的发展,越来越多的互联网用户通过远程访问的方式来获取外部网络的共享资源。想要实现远程访问,就需要用户的客户端通过远程登录的方式连接到服务器,然后由服务器调取数据库中的相应信息返回至客户端。然而,在互联网应用中,服务器为不同的用户提供不同的服务,即不同的客户端具有不同的相应访问权限。各客户端只能在自身的访问权限范围内获取数据库中的信息。通常情况下,当用户在进行远程访问时,服务器进行系统调用权限的判断,通常情况下直接作用于文件系统的数据(文件和目录)和数据库连接,所谓的系统调用指的是进程陷入操作系统内核执行系统功能的调用,如创建文件、修改文件和执行程序。而系统权限通常指的是系统调用时的权限,典型情况下,权限通常由文件属性和进程运行的所属用户组决定。当进程执行系统调用时就会受到进程用户和文件的属性的局限。因而,如何实现当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制,是本领域技术人员目前需要解决的技术问题。
技术实现思路
本专利技术的目的是提供一种基于会话的权限控制方法和系统,可以实现当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制。为解决上述技术问题,本专利技术提供了如下技术方案:一种基于会话的权限控制方法,包括:在应用程序的进程进行系统调用时,获取该系统调用所属的会话;根据所述会话获取对应的会话权限;根据各所述会话对应的会话权限控制当前系统调用。优选地,所述根据所述会话获取对应的会话权限,包括:识别所述会话所属的角色的身份信息;根据所述角色的身份信息获取该角色的权限配置。优选地,所述识别所述会话所属的角色的身份信息,包括:获取所述会话发起者的IP地址;根据所述IP地址获取所述会话所述的角色的身份信息。优选地,所述识别所述会话所属的角色的身份信息,包括:预先建立中间代理;通过所述中间代理获取所述会话的请求内容;通过所述中间代理判断所述请求内容中是否包含预设的代表该会话所述的角色的身份的认证信息;若是,则通过所述中间代理识别所述认证信息对应的角色的身份信息。优选地,所述识别所述会话所属的角色的身份信息,包括:预先建立用于预设角色通讯的虚拟通讯网络隧道;对所述会话的来源隧道进行识别,以判断所述会话所属的角色的身份信息。一种基于会话的权限控制系统,包括:第一获取模块,用于在应用程序的进程进行系统调用时,获取该系统调用所属的会话;第二获取模块,用于根据所述会话获取对应的会话权限;控制模块,用于根据各所述会话对应的会话权限控制当前系统调用。优选地,所述第二获取模块包括:识别单元,用于识别所述会话所属的角色的身份信息;权限获取单元,用于根据所述角色的身份信息获取该角色的权限配置。优选地,所述识别单元包括:第一获取子单元,用于获取所述会话发起者的IP地址;第二获取子单元,用于根据所述IP地址获取所述会话所述的角色的身份信息。优选地,所述识别单元包括:中间代理子单元,用于获取所述会话的请求内容,并判断所述请求内容中是否包含预设的代表该会话所述的角色的身份的认证信息,并在判定所述请求内容中包含认证信息时,识别所述认证信息对应的角色的身份信息。优选地,所述识别单元包括:隧道建立子单元,用于预先建立用于预设角色通讯的虚拟通讯网络隧道;识别子单元,用于对所述会话的来源隧道进行识别,以判断所述会话所属的角色的身份信息。与现有技术相比,上述技术方案具有以下优点:本专利技术实施例所提供的一种基于会话的权限控制方法,包括:在应用程序的进程进行系统调用时,获取该系统调用所属的会话;根据会话获取对应的会话权限;根据各会话对应的会话权限控制当前系统调用。对于应用程序的进程对系统调用引入了会话权限的检查来对于服务器中进行系统调用时的权限进行检查校验,以控制应用程序的权限,实现了当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一种具体实施方式所提供的基于会话的权限控制方法流程图;图2为本专利技术一种具体实施方式所提供的基于会话的权限控制系统结构示意图。具体实施方式本专利技术的核心是提供一种基于会话的权限控制方法和系统,可以实现当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制。为了使本专利技术的上述目的、特征和优点能够更为明显易懂,下面结合附图对本专利技术的具体实施方式做详细的说明。在以下描述中阐述了具体细节以便于充分理解本专利技术。但是本专利技术能够以多种不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本专利技术内涵的情况下做类似推广。因此本专利技术不受下面公开的具体实施方式的限制。请参考图1,图1为本专利技术一种具体实施方式所提供的基于会话的权限控制方法流程图。本专利技术的一种具体实施方式提供了一种基于会话的权限控制方法,包括:S11:在应用程序的进程进行系统调用时,获取该系统调用所属的会话;S12:根据会话获取对应的会话权限;S13:根据各会话对应的会话权限控制当前系统调用。在本实施方式中,当客户端通过预设的应用程序来访问服务器,以获取数据库中的数据时,客户端和服务器之间会建立关于系统调用的会话。不同的客户端根据自身角色的不同而具有不同的权限配置,因此,根据会话即可获取对应的会话权限。只有当系统调用的数据通过会话权限的检查时,此时才执行当前系统调用,当当前系统调用执行完成后进行系统调用返回,执行新的系统调用。其中,会话权限即表示了该会话对应的角色的访问权限,从而在判断系统调用是否符合权限时,无需再去判断系统调用的文件属性和进行运行的所属用户的属性,极大地简化了权限的判断过程。对于应用程序的进程对系统调用引入了会话权限,来控制应用程序的权限,实现了当进程执行系统调用时不局限于进程用户和文件的属性而进行权限的控制。需要说明的是,在本文中的整个通讯服务过程中,系统调用主要包括应用程序对磁盘文件系统进行文件读写系统调用,和应用程序对数据库程序的数据库连接读写的系统调用。在这两种情况下进行系统调用时进行权限的检查判断。还需要说明的是,系统调用还包括数据库程序对数据库数据进行数据读写的系统调用,由于在技术上权限检查的意义不大,因此,在本实施方式中,可以不对此处的系统调用进行权限检查判断。在本专利技术的一种实施方式中,根据会话获取对应的会话权限,包括:识别会话所属的角色的身份信息;根据角色的身份信息获取该角色的权限配置。在本实施方式中,角色即指用户身份,在系统中一个身份拥有一组操作权限配置。要想知道客户端的权限,在本实施方式中就通过客户端建立的会话所属的角色的身份信息,即识别发起该该会话的客户端的身份,只有了解了该客户端的身份,服务器才能赋予该客户端对应的权限来进行系统调用。在本专利技术的一种实施方式中,识别会话所属的角色的身份信息,包括:获取会话发起者的IP地址;根据IP地址获取会话的角色的身份信息。在本实施方式中,通过读取会话的本文档来自技高网...
【技术保护点】
一种基于会话的权限控制方法,其特征在于,包括:在应用程序的进程进行系统调用时,获取该系统调用所属的会话;根据所述会话获取对应的会话权限;根据各所述会话对应的会话权限控制当前系统调用。
【技术特征摘要】
1.一种基于会话的权限控制方法,其特征在于,包括:在应用程序的进程进行系统调用时,获取该系统调用所属的会话;根据所述会话获取对应的会话权限;根据各所述会话对应的会话权限控制当前系统调用。2.根据权利要求1所述的方法,其特征在于,所述根据所述会话获取对应的会话权限,包括:识别所述会话所属的角色的身份信息;根据所述角色的身份信息获取该角色的权限配置。3.根据权利要求2所述的方法,其特征在于,所述识别所述会话所属的角色的身份信息,包括:获取所述会话发起者的IP地址;根据所述IP地址获取所述会话所述的角色的身份信息。4.根据权利要求2所述的方法,其特征在于,所述识别所述会话所属的角色的身份信息,包括:预先建立中间代理;通过所述中间代理获取所述会话的请求内容;通过所述中间代理判断所述请求内容中是否包含预设的代表该会话所述的角色的身份的认证信息;若是,则通过所述中间代理识别所述认证信息对应的角色的身份信息。5.根据权利要求2所述的方法,其特征在于,所述识别所述会话所属的角色的身份信息,包括:预先建立用于预设角色通讯的虚拟通讯网络隧道;对所述会话的来源隧道进行识别,以判断所述会话所属的角色的身份信息。6.一种基于会话的权限控...
【专利技术属性】
技术研发人员:文曦畅,王秋明,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。