本申請公開了一種網絡文件系統訪問權限的控制方法及裝置。其中，該方法包括：在權限管控內核模塊檢測到目標系統調用對應的操作為對網絡文件系統中的文件進行的操作的情況下，掛起目標系統調用，并將文件的路徑發送至權限管控進程；獲取權限管控進程發送的目標權限信息，其中，目標權限信息是目標對象在路徑下的權限信息，目標權限信息是權限管控進程從用戶授權信息管理系統獲取的；通過權限管控內核模塊控制目標系統調用對文件執行與目標權限信息對應的操作。本申請解決了現有技術中，通過配置服務端網絡文件系統的相關權限配置文件來實現對共享目錄和文件進行相應的授權，存在授權賬戶管理不靈活以及授權范圍不精細的技術問題。

技術領域

本申請涉及計算機技術領域，具體而言，涉及一種網絡文件系統訪問權限的控制方法及裝置。

背景技術

常見的網絡文件系統有nfs，cifs。網絡文件系統滿足的主要需求是對文件的共享和服務端存儲，在一個組織內部需要針對不同的部門和個人對共享目錄和文件進行相應的授權，現有的做法是通過配置服務端網絡文件系統（nfs，samba）的相關權限配置文件來進行管理。現有技術主要存在以下問題：

授權賬戶管理不靈活，網絡文件系統授權用戶需要與服務器主機用戶綁定或者僅用客戶端ip進行授權；授權范圍不精細，不能對共享主目錄下面的層級子目錄進行精確授權。針對上述的問題，目前尚未提出有效的解決方案。

發明內容

本申請實施例提供了一種網絡文件系統訪問權限的控制方法及裝置，以至少解決現有技術中，通過配置服務端網絡文件系統的相關權限配置文件來實現對共享目錄和文件進行相應的授權，存在授權賬戶管理不靈活以及授權范圍不精細的技術問題。

根據本申請實施例的一個方面，提供了一種網絡文件系統訪問權限的控制方法，包括：在權限管控內核模塊檢測到目標系統調用對應的操作為對網絡文件系統中的文件進行的操作的情況下，掛起目標系統調用，并將文件的路徑發送至權限管控進程；獲取權限管控進程發送的目標權限信息，其中，目標權限信息是目標對象在路徑下的權限信息，目標權限信息是權限管控進程從用戶授權信息管理系統獲取的，用戶授權信息管理系統用于設置目標對象對網絡文件系統的各級目錄以及各級目錄中文件的執行操作的權限；通過權限管控內核模塊控制目標系統調用對文件執行與目標權限信息對應的操作。

可選地，目標系統調用包括如下至少之一：文件打開系統調用、文件重命名系統調用以及文件刪除系統調用。

可選地，如果目標系統調用包括文件打開系統調用，通過權限管控內核模塊控制目標系統調用對文件執行與目標權限信息對應的操作，包括如下至少之一：拒絕打開文件，只讀打開文件以及讀寫打開文件；如果目標系統調用包括文件重命名系統調用，通過權限管控內核模塊控制目標系統調用對文件執行與目標權限信息對應的操作，包括如下至少之一：允許對文件重命名以及拒絕對文件重命名；如果目標系統調用包括文件刪除系統調用，通過權限管控內核模塊控制目標系統調用對文件執行與目標權限信息對應的操作，包括如下至少之一：允許刪除文件以及拒絕刪除文件。

可選地，將文件的路徑發送至權限管控進程之后，上述方法還包括：通過權限管控進程檢測目標對象登錄網絡文件系統的登錄狀態；如果目標對象處于未登錄狀態，生成提示信息，其中，提示信息用于提示目標對象登錄網絡文件系統；如果目標對象處于登錄狀態，建立權限管控進程和與用戶授權信息管理系統之間的通信連接。

可選地，上述方法還包括通過以下方法建立用戶授權信息管理系統：初始化網絡文件系統的全部目標對象；對網絡文件系統的共享目錄從根目錄開始進行逐目錄授權；增加或者刪除網絡文件系統中的目標對象；根據業務需要修改目標對象對共享目錄的權限。

可選地，對網絡文件系統的共享目錄從根目錄開始進行逐目錄授權，包括：從共享目錄中確定一個目標目錄，并設置目標對象對目標目錄的權限，其中，目標目錄的子目錄的權限通過以下方式中的一種確定：自動繼承父目錄的權限；單獨設置權限。