[发明专利]数据的访问方法及装置

说明书

技术领域

本发明涉及文件系统技术领域，特别是涉及一种数据的访问方法及装置。

背景技术

随着企业信息化的深入，数据已经成为企业最有价值的核心资产。随着移动时代和云时代的到来，随时随地的数据访问成为可能，这使得企业的敏感数据保护面临前所未有的挑战。越来越多的数据泄密事件给企业的数据安全敲响了警钟。

数据泄露防护（DLP，Data Leakage Prevention）是防止敏感数据泄露的综合解决方案。以业界著名的Symantec Vontu DLP为例来简要介绍一下现在通行的DLP解决方案。Vontu分成四个部分：部署在终端设备的端点DLP（Endpoint DLP）、部署在数据中心的存储DLP（Storage DLP）、部署在网络设备上的网络DLP（Network DLP）和对这三部分进行管理配置的策略管理和配置平台（Enforce Platform）。这几部分相互配合，对处于不同位置和不同状态的数据进行检测防护。

发明人在实现本发明的过程中发现，现有通行的DLP解决方案至少存在以下缺陷：

需要在各类设备上分别部署不同的组件，部署复杂，需要专业人员进行管理和维护；并且由于各类设备中相关组件之间需要进行频繁消息交互，会降低系统性能，对正常业务造成较大影响。

发明内容

本发明主要解决的技术问题是提供一种数据的访问方法及装置，能够简化数据防护的复杂性，降低企业运营和投资成本。

第一方面，本发明提供一种数据的访问方法，包括：设备中的第一文件系统在内核空间接收来自用户空间的访问请求，所述访问请求中携带用户标识和操作类型，所述用户标识是发起所述访问请求的用户的标识；所述第一文件系统根据待访问数据所在文件的元数据以及所述访问请求中携带的用户标识和操作类型，判断是否允许所述访问请求访问所述文件，所述元数据中包含具备所述文件操作权限的用户标识和所述具备所述文件操作权限的用户标识对应的权限信息；若允许所述访问请求访问所述文件，则所述第一文件系统向第二文件系统发送所述访问请求，所述第二文件系统为所述设备中的真实文件系统；若不允许所述访问请求访问所述文件，则所述第一文件系统拒绝所述访问请求。

在第一方面的第一种可能的实现方式中，所述操作权限包括读权限、写权限和扩展权限，所述扩展权限至少包括复制权限、移动权限、删除权限以及打印权限。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述第一文件系统根据待访问数据所在文件的元数据以及所述访问请求中携带的用户标识和操作类型，判断是否允许所述访问请求访问所述文件的步骤，包括：若所述访问请求中携带的用户标识与所述待访问数据所在文件的元数据中具备所述文件操作权限的用户标识一致，且所述访问请求中携带的操作类型对应扩展权限，则查找所述元数据中存储的与所述用户标识对应的扩展权限信息，所述扩展权限信息包含扩展权限名与表示是否具备权限的标志位之间的映射关系；根据已找到的扩展权限信息，所述第一文件系统判断与待查扩展权限名存在映射关系的标志位是否被设置为具备权限的标志位，所述待查扩展权限名是指所述访问请求中携带的操作类型对应的扩展权限的权限名；若与待查扩展权限名存在映射关系的标志位被设置为具备权限的标志位，则允许所述访问请求访问所述文件；若与待查扩展权限名存在映射关系的标志位被设置为不具备权限的标志位，则不允许所述访问请求访问所述文件。

结合第一方面的第一种可能的实现方式，在第一方面的第三种可能的实现方式中，所述第一文件系统根据待访问数据所在文件的元数据以及所述访问请求中携带的用户标识和操作类型，判断是否允许所述访问请求访问所述文件的步骤之后，还包括：若允许所述访问请求读取所述文件，则所述第一文件系统将需要读取的来自第二文件系统的所述待访问数据所在文件进行解密；所述第一文件系统将已经解密的所述待访问数据所在文件向用户空间发送；所述第一文件系统根据待访问数据所在文件的元数据以及所述访问请求中携带的用户标识和操作类型，判断是否允许所述访问请求访问所述文件的步骤之后，还包括：若允许所述访问请求写入所述文件，则所述第一文件系统将所述需要写入的所述数据所在文件进行加密；将所述已经加密的所述数据所在文件向第二文件系统发送。