本发明专利技术公开了一种基于域管平台的加密分区访问控制方法、系统及计算设备,方法在计算设备的文件管理器中执行,包括步骤:接收文管客户端对磁盘分区的访问请求;获取配置文件,基于配置文件中的加密分区信息来确定所述磁盘分区是否是加密分区;如果是加密分区,对所述文管客户端的用户进行身份认证,并在身份认证成功后从域管平台获取访问令牌;以及将所述访问令牌发送至守护进程,以便通过所述守护进程基于所述访问令牌从域管平台获取与加密分区相对应的秘钥,基于秘钥对所述加密分区进行解密处理得到解密分区,以挂载所述解密分区并进行访问。根据本发明专利技术的技术方案,实现了基于域管平台来对多个计算设备的加密分区的访问权限进行统一控制和管理。权限进行统一控制和管理。权限进行统一控制和管理。
【技术实现步骤摘要】
基于域管平台的加密分区访问控制方法、系统及计算设备
[0001]本专利技术涉及计算机
,尤其涉及一种基于域管平台的加密分区访问控制方法、加密分区访问控制系统及计算设备。
技术介绍
[0002]域管平台用于对操作系统进行集中管理,适用于大规模终端使用场景下,其作用包括对系统策略、配置、应用安装等进行统一管理,在提升系统安全性的同时大幅降低管理的成本。虽然域管平台的功能覆盖较广,但目前还没有任何域管平台能实现对加密分区的统一管理。
[0003]现有技术中常规的创建加密分区的方法,是在安装系统镜像的过程中由用户手动选择一个分区作为加密分区,并通过安装器自带的工具完成对加密分区的创建,在创建过程中手动输入秘钥。在进入操作系统后,可通过文件管理器访问加密分区,如果此时分区处于加密状态,则会弹出对话框要求用户手动输入密钥进行解密。
[0004]应当指出的是,用户在域管平台通过账户登录后需要能够访问客户端上的所有资源。而根据现有技术方案,在安装系统时已经完成了对加密分区的创建,且分区的秘钥由用户自己输入和管理,这种情况下仅通过域管账户无法进入到加密分区,只能由持有秘钥的用户打开。另外,加密密钥由用户自己进行保存,在域管环境下缺乏对秘钥的统一管理,也违背了域管平台下对所有资源统一配置和管理的原则。而且,根据现有技术方案在访问加密分区之前未进行账户认证,这样,对于持有秘钥的所有用户都可以访问,从而缺乏对加密分区访问者的访问权限限制。
[0005]为此,需要一种基于域管平台的加密分区访问控制方法,以解决现有技术中存在的问题。
技术实现思路
[0006]为此,本专利技术提供一种基于域管平台的加密分区访问控制方法、加密分区访问控制系统及计算设备,以解决或至少缓解上面存在的问题。
[0007]根据本专利技术的一个方面,提供一种基于域管平台的加密分区访问控制方法,在计算设备的文件管理器中执行,所述计算设备与所述域管平台通信相连,所述计算设备的操作系统中运行有所述文件管理器的守护进程,且所述操作系统之上布置有文管客户端,所述方法包括步骤:接收文管客户端对磁盘分区的访问请求;获取配置文件,基于配置文件中的加密分区信息来确定所述磁盘分区是否是加密分区;如果是加密分区,对所述文管客户端的用户进行身份认证,并在身份认证成功后从所述域管平台获取访问令牌;以及将所述访问令牌发送至守护进程,以便通过所述守护进程基于所述访问令牌从域管平台获取与加密分区相对应的秘钥,基于秘钥对所述加密分区进行解密处理得到解密分区,以挂载所述解密分区并进行访问。
[0008]可选地,在根据本专利技术的基于域管平台的加密分区访问控制方法中,所述域管平
台存储有与每个文管客户端相对应的固定用户信息,在将访问令牌发送至守护进程之前,包括步骤:从域管平台获取与所述文管客户端相对应的固定用户信息,将当前用户信息与固定用户信息进行比对,如果相同,则将所述访问令牌发送至守护进程。
[0009]可选地,在根据本专利技术的基于域管平台的加密分区访问控制方法中,对文管客户端的用户进行身份认证的步骤包括:通过所述文管客户端从域管平台获取认证地址,基于所述认证地址请求从域管平台获取认证页面,并在文管客户端显示所述认证页面;获取用户在所述认证页面输入的用户信息,基于所述用户信息对所述文管客户端的用户进行身份认证。
[0010]可选地,在根据本专利技术的基于域管平台的加密分区访问控制方法中,从所述域管平台获取访问令牌的步骤包括:通过所述文管客户端请求从所述域管平台的前端获取授权码;基于所述授权码请求从所述域管平台的后端获取访问令牌。
[0011]可选地,在根据本专利技术的基于域管平台的加密分区访问控制方法中,所述加密分区信息包括预定标签名,基于配置文件中的加密分区信息来确定磁盘分区是否是加密分区的步骤包括:获取所述磁盘分区的标签名,判断该标签名是否与所述加密分区信息中的预定标签名相同;如果相同,则确定所述磁盘分区是加密分区。
[0012]可选地,在根据本专利技术的基于域管平台的加密分区访问控制方法中,文件管理器适于通过D
‑
Bus总线与所述守护进程进行通信,所述将访问令牌发送至守护进程包括: 调用所述守护进程提供的总线接口,以将所述访问令牌发送至守护进程。
[0013]可选地,在根据本专利技术的基于域管平台的加密分区访问控制方法中,所述守护进程适于: 在接收到进程对所述总线接口的调用请求时,获取所述进程的进程标识,并基于所述进程标识获取对应的进程路径;判断所述进程路径是否是文件管理器的路径,如果是,则响应所述调用请求。
[0014]可选地,在根据本专利技术的基于域管平台的加密分区访问控制方法中,将访问令牌发送至守护进程的步骤包括:对访问令牌进行加密处理以生成加密访问令牌,并将所述加密访问令牌通过D
‑
Bus总线发送至守护进程,以便所述守护进程在对所述加密访问令牌进行解密处理后获取所述访问令牌。
[0015]可选地,在根据本专利技术的基于域管平台的加密分区访问控制方法中,对访问令牌进行加密处理包括:利用DH秘钥交换算法对所述访问令牌进行加密处理。
[0016]可选地,在根据本专利技术的基于域管平台的加密分区访问控制方法中,所述操作系统在安装于计算设备的过程中适于对磁盘进行分区操作以形成一个或多个磁盘分区,所述一个或多个磁盘分区包括加密分区。
[0017]根据本专利技术的一个方面,提供一种加密分区访问控制系统,包括:一个或多个计算设备,所述计算设备的操作系统中运行有文件管理器以及文件管理器的守护进程,且所述操作系统之上布置有文管客户端,所述文件管理器适于执行如上所述的方法;以及域管平台,与所述一个或多个计算设备通信相连,并适于经由文件管理器来对计算设备中的加密分区的访问权限进行控制。
[0018]根据本专利技术的一个方面,提供一种计算设备,包括:至少一个处理器;存储器,存储有程序指令,其中,程序指令被配置为适于由上述至少一个处理器执行,所述程序指令包括用于执行如上所述的基于域管平台的加密分区访问控制方法的指令。
[0019]根据本专利技术的一个方面,提供一种存储有程序指令的可读存储介质,当该程序指令被计算设备读取并执行时,使得该计算设备执行如上所述的基于域管平台的加密分区访问控制方法。
[0020]根据本专利技术的技术方案,提供了一种基于域管平台的加密分区访问控制方法,实现了在域管环境下对多个终端用户访问加密分区的统一管理。其中,域管平台存储有与每个计算设备的加密分区相对应的秘钥。每个计算设备的文件管理器与文管客户端用户进行交互,并与域管平台进行交互,基于域管平台提供的认证页面来对用户进行身份认证,在认证通过后可以获得访问令牌。进而,经由守护进程携带访问令牌来从域管平台存储的秘钥,并基于秘钥对加密分区进行解密以访问解密后的分区。这样,本专利技术实现了基于域管平台来对多个计算设备的加密分区的访问权限进行统一控制和管理。
[0021]进一步地,每个文管客户端关联一个唯一的固定用户信息并统一存储在域管平台。文件本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于域管平台的加密分区访问控制方法,在计算设备的文件管理器中执行,所述计算设备与所述域管平台通信相连,所述计算设备的操作系统中运行有所述文件管理器的守护进程,且所述操作系统之上布置有文管客户端,其特征在于,所述方法包括步骤:接收文管客户端对磁盘分区的访问请求;获取配置文件,基于配置文件中的加密分区信息来确定所述磁盘分区是否是加密分区;如果是加密分区,对所述文管客户端的用户进行身份认证,并在身份认证成功后从所述域管平台获取访问令牌;以及将所述访问令牌发送至守护进程,以便通过所述守护进程基于所述访问令牌从域管平台获取与加密分区相对应的秘钥,基于秘钥对所述加密分区进行解密处理得到解密分区,以挂载所述解密分区并进行访问。2.如权利要求1所述的方法,其特征在于,所述域管平台存储有与每个文管客户端相对应的固定用户信息,在将访问令牌发送至守护进程之前,包括步骤:从域管平台获取与所述文管客户端相对应的固定用户信息,将当前用户信息与固定用户信息进行比对,如果相同,则将所述访问令牌发送至守护进程。3.如权利要求1所述的方法,其特征在于,对文管客户端的用户进行身份认证的步骤包括:通过所述文管客户端从域管平台获取认证地址,基于所述认证地址请求从域管平台获取认证页面,并在文管客户端显示所述认证页面;获取用户在所述认证页面输入的用户信息,基于所述用户信息对所述文管客户端的用户进行身份认证。4.如权利要求1
‑
3中任一项所述的方法,其特征在于,从所述域管平台获取访问令牌的步骤包括:通过所述文管客户端请求从所述域管平台的前端获取授权码;基于所述授权码请求从所述域管平台的后端获取访问令牌。5.如权利要求1
‑
3中任一项所述的方法,其特征在于,所述加密分区信息包括预定标签名,基于配置文件中的加密分区信息来确定磁盘分区是否是加密分区的步骤包括:获取所述磁盘分区的标签名,判断该标签名是否与所述加密分区信息中的预定标签名相同;如果相同,则确定所述磁盘分区是加密分区。6.如权利要求1
‑
3中任一项所述的方法,其特征在于,文件管...
【专利技术属性】
技术研发人员:卢桢,
申请(专利权)人:统信软件技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。