[发明专利]内核文件的自主访问控制方法及装置

说明书

本申请公开了内核文件的自主访问控制方法及装置，其中所述方法包括：在创建内核文件时获取当前用户的UID和GID；在初始化新创建的内核文件时将新创建的内核文件的用户及用户组分别设置为当前用户的UID和GID；确定访问者的身份与设置的UID和GID是否一致；响应于访问者的身份与设置的UID和GID一致，使得访问者具有直接访问所述内核文件的权限。本发明不需要用户空间再次获取root权限修改内核文件的用户和用户组即可安全地实现自身的访问权限控制，避免获取root权限可能引起的安全问题。

技术领域

本申请涉及电数字数据处理领域，尤其涉及内核文件的自主访问控制方法及装置。

背景技术

自主访问控制(DAC)主要涉及主体、客体、权限、所有权这几个部分。主体是指系统中的用户，客体是指用户所拥有的资源或文件(Linux中一切皆文件)，主体对主体所拥有的客体拥有权限控制，主体可以将主体所拥有客体的访问权限赋予给其他主体，以实现主体自身资源的访问权限控制。

现有技术在当前用户通过系统调用等方式在内核空间创建文件时，内核默认将此文件的用户和用户组都设置为root用户及root用户组，然后用户空间通过直接或间接获取root权限的方式再次修改此文件的用户及用户组。这种方式需要通过root权限再次修改文件的用户以及其用户组，容易造成系统安全问题。

发明内容

为了克服现有技术中存在的不足，本发明要解决的技术问题是提供一种内核文件的自主访问控制方法及装置，其不需要用户空间再次获取root权限修改内核文件的用户和用户组即可安全地实现自身的访问权限控制。

为解决上述技术问题，本发明的内核文件的自主访问控制方法，包括：

在创建内核文件时获取当前用户的UID和GID；

在初始化新创建的内核文件时将新创建的内核文件的用户及用户组分别设置为当前用户的UID和GID；

确定访问者的身份与设置的UID和GID是否一致；

响应于访问者的身份与设置的UID和GID一致，使得访问者具有直接访问所述内核文件的权限。

作为本发明所述方法的改进，所述方法还包括：在代表内核文件的数据结构中增加表示当前用户访问权限的数据结构。

作为本发明所述方法的进一步改进，所述在初始化新创建的内核文件时将新创建的内核文件的用户及用户组分别设置为当前用户的UID和GID包括：将当前用户的UID和GID赋值给所述表示当前用户访问权限的数据结构。

作为本发明所述方法的又一进一步改进，所述确定访问者的身份与设置的UID和GID是否一致包括：检查所述数据结构的UID和GID是否与访问者的身份一致。

作为本发明所述方法的再一进一步改进，所述访问权限包括下述之一或多个：读、写和执行。

为解决上述技术问题，本发明的内核文件的自主访问控制装置，包括：

获取模块，用于在创建内核文件时获取当前用户的UID和GID；

设置模块，用于在初始化新创建的内核文件时将新创建的内核文件的用户及用户组分别设置为当前用户的UID和GID；

确定模块，用于确定访问者的身份与设置的UID和GID是否一致；

访问模块，用于响应于访问者的身份与设置的UID和GID一致，使得访问者具有直接访问所述内核文件的权限。

作为本发明所述装置的改进，所述装置还包括数据结构增加模块，用于在代表内核文件的数据结构中增加表示当前用户访问权限的数据结构。