(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210336480.3 (22)申请日 2022.04.01 (65)同一申请的已公布的文献号 申请公布号 CN 114428951 A (43)申请公布日 2022.05.03 (73)专利权人 北京时代亿信科技股份有限公司 地址 100082 北京市海淀区西直门北 大街 32号枫蓝国际A座804室 (72)发明人 李继国　章勇　杜高　 (74)专利代理 机构 北京康信知识产权代理有限 责任公司 1 1240 专利代理师 张文华 (51)Int.Cl. G06F 21/45(2013.01) G06F 9/445(2018.01)G06F 16/11(2019.01) G06F 16/16(2019.01) G06F 16/182(2019.01) (56)对比文件 GR 2017010 0488 A,2019.0 5.24 JP 2020174276 A,2020.10.2 2 审查员 赵鸿 (54)发明名称 网络文件系统访问权限的控制方法及装置 (57)摘要 本申请公开了一种网络文件系统访问权限 的控制方法及装置。 其中， 该方法包括： 在权限管 控内核模块检测到目标系统调用对应的操作为 对网络文件系统中的文件进行的操作的情况下， 挂起目标系统调用， 并将文件的路径发送至权限 管控进程； 获取权限管控进程发送的目标权限信 息， 其中， 目标权 限信息是目标对象在路径下的 权限信息， 目标权限信息是权限管控进程从用户 授权信息 管理系统获取的； 通过权限管控内核模 块控制目标系统调用对文件执行与 目标权限信 息对应的操作。 本申请解决了现有技术中， 通过 配置服务端网络文件系统的相关权限配置文件 来实现对共享目录和文件进行相应的授权， 存在 授权账户管理不灵活以及授权范围不精细 的技 术问题。 权利要求书2页 说明书9页 附图2页 CN 114428951 B 2022.07.01 CN 114428951 B 1.一种网络文件系统访问权限的控制方法， 其特 征在于， 包括： 在权限管控内核模块检测到目标系统调用对应的操作为对网络文件系统中的文件进 行的操作的情况 下， 挂起所述目标系统调用， 并将所述文件的路径发送至 权限管控进程； 获取所述权限管控进程发送的目标权限信息， 其中， 所述目标权限信息是目标对象在 所述路径下的权限信息， 所述目标权限信息是所述权限管控进程从用户授权信息管理系统 获取的， 所述用户授权信息管理系统用于 设置所述目标对象对所述网络文件系统的各级目 录以及所述各级目录中文件的执 行操作的权限； 通过所述权限管控内核模块控制所述目标系统调用对所述文件执行与所述目标权限 信息对应的操作； 将所述文件的路径发送至权限管控进程之后， 所述方法还包括： 通过所述权限管控进 程检测所述目标对象登录所述网络文件系统的登录状态； 如果所述目标对象处于未登录状 态， 生成提示信息， 其中， 所述提示信息用于提示所述目标对象登录所述网络文件系统； 如 果所述目标对象处于登录状态， 建立所述权限管控进程和所述与所述用户授权信息管理系 统之间的通信连接 。 2.根据权利要求1所述的方法， 其特征在于， 所述目标系统调用包括如下至少之一： 文 件打开系统调用、 文件重命名系统调用以及文件删除系统调用。 3.根据权利要求2所述的方法， 其特 征在于， 如果所述目标系统调用包括所述文件打开系统调用， 通过所述权限管控内核模块控制 所述目标系统调用对所述文件执行与所述 目标权限信息对应的操作， 包括如下至少之一： 拒绝打开所述文件， 只读打开所述文件以及读写打开所述文件； 如果所述目标系统调用包括所述文件重命名系统调用， 通过所述权限管控内核模块控 制所述目标系统调用对所述文件执行与所述目标权限信息对应的操作， 包括如下至少之 一： 允许对所述文件重命名以及拒绝对所述文件重命名； 如果所述目标系统调用包括所述文件删除系统调用， 通过所述权限管控内核模块控制 所述目标系统调用对所述文件执行与所述 目标权限信息对应的操作， 包括如下至少之一： 允许删除所述文件以及拒绝删除所述文件。 4.根据权利要求1所述的方法， 其特征在于， 所述方法还包括通过以下方法建立所述用 户授权信息管理系统： 初始化所述网络文件系统的全部目标对象； 对所述网络文件系统的共享目录从根目录开始进行 逐目录授权； 增加或者删除所述网络文件系统中的目标对象； 根据业务需要修改所述目标对象对所述共享目录的权限。 5.根据权利要求4所述的方法， 其特征在于， 对所述网络文件系统 的共享目录从根目录 开始进行 逐目录授权， 包括： 从所述共享目录 中确定一个目标目录， 并设置目标对象对所述目标目录的权限， 其中， 所述目标目录的子目录的权限通过以下 方式中的一种确定： 自动继承父目录的权限； 单独设置 权限。 6.根据权利要求1所述的方法， 其特征在于， 所述目标系统调用还包括文件查询系统调权　利　要　求　书 1/2 页 2 CN 114428951 B 2用， 将所述文件的路径发送至 权限管控进程之后， 所述方法还 包括： 将当前目录的子目录集 合发送至所述权限管控进程； 获取所述权限管控进程发送的目标对象对所述当前目录的子目录集 合的查询权限； 显示所述目标对象存在查询权限的子目录集合， 隐藏所述目标对象不存在查询权限的 子目录集 合。 7.根据权利要求1所述的方法， 其特征在于， 所述权限管控内核模块以及所述权限管控 进程位于所述目标对象的终端设备， 所述用户授权信息管理系统位于与所述 终端设备连接 的服务器端。 8.一种网络文件系统访问权限的控制装置， 其特 征在于， 包括： 发送模块， 设置为在权限管控内核模块检测到目标系统调用对应的操作为对 网络文件 系统中的文件进行 的操作的情况下， 挂起所述 目标系统调用， 并将所述文件的路径发送至 权限管控进程； 获取模块， 设置为获取所述权限管控进程发送的目标权限信 息， 其中， 所述目标权限信 息是目标对象在所述路径下的权限信息， 所述目标权限信息是所述权限管控进程从用户授 权信息管理系统获取的， 所述用户授权信息管理系统用于 设置所述目标对象对所述网络文 件系统的各级目录以及所述各级目录中文件的执 行操作的权限； 控制模块， 设置为通过所述权限管控内核模块控制所述目标系统调用对所述文件执行 与所述目标权限信息对应的操作； 所述装置， 还设置为将所述文件的路径发送至权限管控进程之后， 通过所述权限管控 进程检测所述目标对象登录所述网络文件系统的登录状态； 如果所述目标对象处于未登录 状态， 生成提示信息， 其中， 所述提示信息用于提示所述目标对 象登录所述网络文件系统； 如果所述目标对象处于 登录状态， 建立所述权限管控进程和所述与所述用户授权信息管理 系统之间的通信连接 。 9.一种非易失性存储介质， 其特征在于， 所述非易失性存储介质包括存储的程序， 其 中， 在所述程序运行时控制所述 非易失性存储介质所在设备执行权利要求 1至7中任意一项 所述的网络文件系统访问权限的控制方法。 10.一种处理器， 其特征在于， 所述处理器用于运行存储在存储器中的程序， 其中， 所述 程序运行时执 行权利要求1至7中任意 一项所述的网络文件系统访问权限的控制方法。权　利　要　求　书 2/2 页 3 CN 114428951 B 3