专利名称:一种面向进程的虚拟文件系统的建立方法
技术领域:
本发明属于计算机领域,主要关注提高进程与操作系统的安全性。
背景技术:
目前提高进程与操作系统的安全性主要采用Chroot方法,将进程限制在操作系统中全局文件系统的指定目录下,该指定目录下对进程而言全部可以按权限访问到。该方法对进程可以访问的文件及目录的控制过于粗放,同时在处理不当情况下会限制进程的正常访问要求。
发明内容
本发明目的是为了提高进程与操作系统的安全性,提供一种面向进程的虚拟文件系统的建立方法。与chroot方法不同的是,本发明不是将进程限制在操作系统中全局文件系统的指定目录下,而是面向进程建立一个完全属于该进程访问空间的虚拟文件系统(成为进程虚拟文件系统),该进程虚拟文件系统由分散在操作系统中文件系统的多个目录在逻辑上组成一个完整的虚拟文件系统。1.本发明提供的面向进程的虚拟文件系统的建立方法,包括具体步骤如下:第1、建立进程的“进程虚拟文件系统配置文件”;“进程虚拟文件系统配置文件”给定了 “进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的目录及文件之间的映射关系、权限关系以及扩展访问规则。第2、编辑“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的目录及文件之间的映射关系、权限关系以及扩展访问规则。第3、进程运行时需指定“进程虚拟文件系统配置文件”,操作系统在内存中建立该进程的“进程虚拟文件系统配置表”,并导入该进程的“进程虚拟文件系统配置文件”的“进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则;操作系统在该进程的全局控制块中设定该“进程虚拟文件系统配置表”标识符,从而该进程所能访问的文件系统为刚设定的“进程虚拟文件系统”;进程能直接访问的文件系统是“进程虚拟文件系统”而不是操作系统中全局文件系统。第4、进程对“进程虚拟文件系统”进行文件操作时,操作系统通过该进程的全局控制块中的“进程虚拟文件系统配置表”标识符在内存中找到对应的“进程虚拟文件系统配置表”,并进一步根据该“进程虚拟文件系统配置表”中存储的映射关系,将进程所要访问的“进程虚拟文件系统”中的文件操作转化为对操作系统中全局文件系统的对应文件的访问操作。按照本发明提供的建立方法,第I步骤所述的“进程虚拟文件系统”的目录是“进程虚拟文件系统”的根目录和“进程虚拟文件系统”的子目录的统称;“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的目录是“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的根目录和“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的子目录的统称;“进程虚拟文件系统配置文件”至少要给定“进程虚拟文件系统”的根目录与操作系统中全局文件系统的给定目录的映射关系、权限关系以及扩展访问规则;“进程虚拟文件系统配置文件”中新的子目录及文件将覆盖原目录及文件的映射关系、权限关系以及扩展访问规则。按照本发明提供的建立方法,每个进程对应一个“进程虚拟文件系统配置文件”;多个进程允许对应同一个“进程虚拟文件系统配置文件”,此时多个进程访问的文件系统涉及到“进程虚拟文件系统配置文件”中所指明的目录是同一个目录、所指明的文件是同一文件。按照本发明提供的建立方法,映射关系指明了“进程虚拟文件系统”中目录和操作系统中全局文件系统的目录的对应关系,其中“进程虚拟文件系统”中目录简称为虚拟目录,操作系统中全局文件系统的目录简称为映射目录;映射关系也支持“进程虚拟文件系统”的文件和操作系统中全局文件系统的文件的对应关系,其中“进程虚拟文件系统”的文件简称为虚拟文件,操作系统中全局文件系统的文件简称为映射文件;映射关系的基本信息包括由虚拟目录及文件和映射目录及文件的二元组组成;“进程虚拟文件系统”中的有且唯一有一个虚拟根目录,“进程虚拟文件系统”的虚拟根目录为该“进程虚拟文件系统”中所有一级子目录及文件和该“进程虚拟文件系统”所属的“进程虚拟文件系统配置文件”中根目录对应的映射目录下所有一级子目录及文件的合集。按照本发明提供的建立方法,权限关系指明了进程访问进程虚拟文件系统中某个目录的权限,权限关系包括只读(R)、写(W)、查找(S)、执行(X)基本关系以及基本关系基础上的组合关系。按照本发明提供的建立方法,扩展访问规则指明了进程访问“进程虚拟文件系统”中特定目录和特定文件的限制,扩展访问规则包括能访问的具体文件和目录、不能访问的具体文件和目录基本规则;扩展访问规则支持正则表达式;扩展访问规则为空时标明对特定目录和特定文件无限制。按照本发明提供的建立方法,操作系统根据每一个“进程虚拟文件系统配置文件”信息在内存中创建对应的“进程虚拟文件系统配置表”、“进程虚拟文件系统关联进程表”和“进程虚拟文件系统配置关系表”;“进程虚拟文件系统配置表”包括进程虚拟文件系统配置表标识符、进程虚拟文件系统关联进程总数、进程虚拟文件系统关联进程表指针、进程虚拟文件系统配置关系总数、进程虚拟文件系统配置关系表指针、下一个进程虚拟文件系统配置表指针、上一个进程虚拟文件系统配置表指针基本信息;“进程虚拟文件系统关联进程表”中存储所有使用该“进程虚拟文件系统配置表”的进程标识符信息,进程总数由“进程虚拟文件系统配置表”的进程虚拟文件系统关联进程总数标明;“进程虚拟文件系统配置关系表”中存储进程虚拟文件系统根目录与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则;新的子目录及文件将覆盖原目录及文件的映射关系、权限关系以及扩展访问规则;“进程虚拟文件系统配置关系表”中信息与对应的“进程虚拟文件系统配置文件”中数据一致。按照本发明提供的建立方法,操作系统中所有的“进程虚拟文件系统配置表”组成“进程虚拟文件系统配置表”链表,操作系统中全局内存变量“进程虚拟文件系统配置表首指针”指向“进程虚拟文件系统配置表”链表的第一个“进程虚拟文件系统配置表”的首地址;对于属于同一个“进程虚拟文件系统配置表”的所有“进程虚拟文件系统关联进程表”,或者采用“进程虚拟文件系统关联进程表”数组方式,或者采用“进程虚拟文件系统关联进程表”链表方式;对于属于同一个“进程虚拟文件系统配置表”的所有“进程虚拟文件系统配置关系表”,或者采用“进程虚拟文件系统配置关系表”数组方式,或者采用“进程虚拟文件系统配置关系表”链表方式。按照本发明提供的建立方法,进程运行前、运行过程中都允许动态指定“进程虚拟文件系统配置文件”,操作系统重新设定该进程的“进程虚拟文件系统配置表”、“进程虚拟文件系统关联进程表”和“进程虚拟文件系统配置关系表”,从而重新设定进程的进程虚拟文件系统与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则。本发明的优点和积极效果:本发明为每个进程都提供了一个虚拟文件系统,即进程虚拟文件系统;一方面由于进程虚拟文件系统由分散在操作系统中文件系统的多个目录在逻辑上组成一个完整的虚拟文件系统,从而为进程提供了一个客户定制化的文件系统;另一方面,进程之间的虚拟文件系统彼此隔离,从而能够有效提高进程与操作系统的安全性,限制恶意进程对操作系统中全局文件系统的破坏力。
图1是本发明中进程虚拟文件系统与操作系统中文件系统的对应关系示意图。图2是本发明中进程虚拟文件系统配置文件实例示意图。图3是本发明中进程虚拟文件系统配置表示意图。图4是本发明中进程虚拟文件系统配置表链表实例示意图。图5是本发明中进程虚拟文件系统配置关系表实例示意图。图6是本发明中进程虚拟文件系统配置关系表链表结构示意图。图7是本发明中进程虚拟文件系统配置关系表链表实例示意图。图8是本发明中进程虚拟文件系统关联进程表实例示意图。图9是本发明中进程虚拟文件系统关联进程表链表示意图。
具体实施例方式本发明提供了一种面向进程的虚拟文件系统的建立方法。该方法具体步骤如下:第1、建立进程的“进程虚拟文件系统配置文件” 100 ;“进程虚拟文件系统配置文件”给定了“进程虚拟文件系统”310的目录及文件与操作系统中全局文件系统210的目录及文件之间的映射关系、权限关系以及扩展访问规则。第2、编辑“进程虚拟文件系统配置文件”中“进程虚拟文件系统” 310的目录及文件与操作系统中全局文件系统210的目录及文件之间的映射关系(即虚拟目录110和映射目录120对应关系)、权限关系以及扩展访问规则。第3、进程运行时需指定“进程虚拟文件系统配置文件” 100,操作系统在内存中建立该进程的“进程虚拟文件系统配置表” 400,并导入该进程的“进程虚拟文件系统配置文件” 100的“进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则;操作系统200在该进程300的全局控制块中设定该“进程虚拟文件系统配置表”标识符,从而该进程所能访问的文件系统为刚设定的“进程虚拟文件系统”;进程能直接访问的文件系统是“进程虚拟文件系统”而不是操作系统中全局文件系统310。第4、进程300对“进程虚拟文件系统”进行文件操作时,操作系统200通过该进程的全局控制块中的“进程虚拟文件系统配置表”标识符在内存中找到对应的“进程虚拟文件系统配置表” 460,并进一步根据该“进程虚拟文件系统配置表” 460中存储的映射关系,将进程300所要访问的“进程虚拟文件系统”310中的文件操作转化为对操作系统中全局文件系统的对应文件210的访问操作。为能进一步了解本发明的技术内容、特点及功效,兹列举以下应用实例,并配合附图详细说明如下:按照本发明提供的建立方法,所述的“进程虚拟文件系统”的目录是“进程虚拟文件系统”的根目录和“进程虚拟文件系统”的子目录的统称;“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的目录是“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的根目录和“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的子目录的统称进程虚拟文件系统配置文件”至少要给定“进程虚拟文件系统”的根目录与操作系统中全局文件系统的给定目录的映射关系、权限关系以及扩展访问规则;“进程虚拟文件系统配置文件”中新的子目录及文件将覆盖原目录及文件的映射关系、权限关系以及扩展访问规则。如图2所示,“进程虚拟文件系统配置文件”中给定进程虚拟文件系统根目录、子目录及文件与操作系统中全局文件系统的目录及文件的映射关系、权限关系以及扩展访问规则。按照本发明提供的建立方法,每个进程对应一个“进程虚拟文件系统配置文件”;多个进程允许对应同一个“进程虚拟文件系统配置文件”,此时多个进程访问的文件系统涉及到“进程虚拟文件系统配置文件”中所指明的目录是同一个目录、所指明的文件是同一文件。如图2所示,“进程虚拟文件系统配置文件”可以对应多个进程,但每个进程只能对应一个“进程虚拟文件系统配置文件”。按照本发明提供的建立方法,映射关系指明了“进程虚拟文件系统”中目录和操作系统中全局文件系统的目录的对应关系,其中“进程虚拟文件系统”中目录简称为虚拟目录,操作系统中全局文件系统的目录简称为映射目录;映射关系也支持“进程虚拟文件系统”的文件和操作系统中全局文件系统的文件的对应关系,其中“进程虚拟文件系统”的文件简称为虚拟文件,操作系统中全局文件系统的文件简称为映射文件;映射关系的基本信息包括由虚拟目录及文件和映射目录及文件的二元组组成;“进程虚拟文件系统”中的有且唯一有一个虚拟根目录,“进程虚拟文件系统”的虚拟根目录为该“进程虚拟文件系统”中所有一级子目录及文件和该“进程虚拟文件系统”所属的“进程虚拟文件系统配置文件”中根目录对应的映射目录下所有一级子目录及文件的合集。按照本发明提供的建立方法,权限关系指明了进程访问进程虚拟文件系统中某个目录的权限,权限关系包括只读(R)、写(W)、查找(S)、执行(X)基本关系以及基本关系基础上的组合关系。按照本发明提供的建立方法,扩展访问规则指明了进程访问“进程虚拟文件系统”中特定目录和特定文件的限制,扩展访问规则包括能访问的具体文件和目录、不能访问的具体文件和目录基本规则;扩展访问规则支持正则表达式;扩展访问规则为空时标明对特定目录和特定文件无限制。如图2所示,某进程所能访问到的进程虚拟文件系统的根(/)目录为操作系统上全局文件系统的/home/user 1/tmp目录,且对除*.exe以外的文件有读和写权利,对*.exe文件不可见;某进程所能访问到的进程虚拟文件系统的/bin目录为操作系统上全局件系统的/usr/bin目录,仅具有读和执行权利;某进程所能访问到的进程虚拟文件系统的/Iib目录为操作系统上全局文件系统的/usr/local/lib目录,仅具对/lib*, so文件有读权利,其它文件不可见。某进程除上述三个目录外,不能访问操作系统上真实文件系统的其它目录,从而有效降低了某进程对操作系统上真实文件系统的破坏能力。按照本发明提供的建立方法,操作系统根据每一个“进程虚拟文件系统配置文件”信息在内存中创建对应的“进程虚拟文件系统配置表”、“进程虚拟文件系统关联进程表”和“进程虚拟文件系统配置关系表”;“进程虚拟文件系统配置表”包括进程虚拟文件系统配置表标识符、进程虚拟文件系统关联进程总数、进程虚拟文件系统关联进程表指针、进程虚拟文件系统配置关系总数、进程虚拟文件系统配置关系表指针、下一个进程虚拟文件系统配置表指针、上一个进程虚拟文件系统配置表指针基本信息;“进程虚拟文件系统关联进程表”中存储所有使用该“进程虚拟文件系统配置表”的进程标识符信息,进程总数由“进程虚拟文件系统配置表”的进程虚拟文件系统关联进程总数标明;“进程虚拟文件系统配置关系表”中存储进程虚拟文件系统根目录与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则;新的子目录及文件将覆盖原目录及文件的映射关系、权限关系以及扩展访问规则;“进程虚拟文件系统配置关系表”中信息与对应的“进程虚拟文件系统配置文件”中数据一致。如图3所示,“进程虚拟文件系统配置表”400包括进程虚拟文件系统配置表标识符、进程虚拟文件系统关联进程总数、进程虚拟文件系统关联进程表指针、进程虚拟文件系统配置关系总数、进程虚拟文件系统配置关系表指针、下一个进程虚拟文件系统配置表指针、上一个进程虚拟文件系统配置表指针基本信息。进程虚拟文件系统关联进程表指针指向了“进程虚拟文件系统关联进程表”450。进程虚拟文件系统配置关系表指针指向了“进程虚拟文件系统配置关系表” 460。如图4所示,进程虚拟文件系统配置表标识符为I的“进程虚拟文件系统配置表”。该进程虚拟文件系统配置表的首地址为0X8E201000,进程虚拟文件系统关联进程总数为4,进程虚拟文件系统关联进程表指针值为OxSEOOlOOO,进程虚拟文件系统配置关系总数为3,进程虚拟文件系统配置关系表指针值为0X8E101000 ;该进程虚拟文件系统配置表下一个进程虚拟文件系统配置表指针值为0x8E201100,该进程虚拟文件系统配置表上一个进程虚拟文件系统配置表指针值为0x8E201200。按照本发明提供的建立方法,操作系统中所有的“进程虚拟文件系统配置表”组成“进程虚拟文件系统配置表”链表,操作系统中全局内存变量“进程虚拟文件系统配置表首指针”指向“进程虚拟文件系统配置表”链表的第一个“进程虚拟文件系统配置表”的首地址;对于属于同一个“进程虚拟文件系统配置表”的所有“进程虚拟文件系统关联进程表”,或者采用“进程虚拟文件系统关联进程表”数组方式,或者采用“进程虚拟文件系统关联进程表”链表方式;对于属于同一个“进程虚拟文件系统配置表”的所有“进程虚拟文件系统配置关系表”,或者采用“进程虚拟文件系统配置关系表”数组方式,或者采用“进程虚拟文件系统配置关系表”链表方式。如图4所示,操作系统中所有的“进程虚拟文件系统配置表”组成“进程虚拟文件系统配置表”链表,操作系统中全局内存变量“进程虚拟文件系统配置表首指针”指向“进程虚拟文件系统配置表”链表的第一个“进程虚拟文件系统配置表”的首地址。操作系统中全局内存变量“进程虚拟文件系统配置表首指针”的值为0x8E201000,该值为第一个“进程虚拟文件系统配置表”(其进程虚拟文件系统配置表标识符为I)的首地址;操作系统中全局内存变量“进程虚拟文件系统配置表首指针”找到第一个“进程虚拟文件系统配置表”(首地址为0X8E201000),该“进程虚拟文件系统配置表”的进程虚拟文件系统配置表标识符为
I;由进程虚拟文件系统配置表标识符为I的“进程虚拟文件系统配置表”中的下一个进程虚拟文件系统配置表指针值为0x8E201100,找到第二个“进程虚拟文件系统配置表”(首地址为0x8E201100),该“进程虚拟文件系统配置表”的进程虚拟文件系统配置表标识符为2 ;由进程虚拟文件系统配置表标识符为2的“进程虚拟文件系统配置表”中的下一个进程虚拟文件系统配置表指针值为0x8E201200,找到第三个“进程虚拟文件系统配置表”(首地址为0x8E201200),该“进程虚拟文件系统配置表”的进程虚拟文件系统配置表标识符为3 ;由进程虚拟文件系统配置表标识符为3的“进程虚拟文件系统配置表”中的下一个进程虚拟文件系统配置表指针值为0X8E201000,找到第一个“进程虚拟文件系统配置表”(首地址为0x8E201000),该“进程虚拟文件系统配置表”的进程虚拟文件系统配置表标识符为1,从而遍历了整个“进程虚拟文件系统配置表”链表;反之从任意一个“进程虚拟文件系统配置表”中的上一个进程虚拟文件系统配置表指针找,可以遍历整个“进程虚拟文件系统配置表”链表。如图5所示,进程虚拟文件系统配置表标识符为I的“进程虚拟文件系统配置表”的“进程虚拟文件系统配置关系表”,即首地址为0x8E101000的“进程虚拟文件系统配置关系表”,它采用“进程虚拟文件系统配置关系表”数组方式实现。“进程虚拟文件系统配置关系表”存储进程虚拟文件系统根目录与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则;新的子目录和文件将覆盖原目录的映射关系、权限关系以及扩展访问规则;首地址为0x8E101000的“进程虚拟文件系统配置关系表”460中信息与对应的“进程虚拟文件系统配置文件”100中数据一致,即与图2 —致,详细信息同“进程虚拟文件系统配置文件”,不赘述。如图6所示,“进程虚拟文件系统配置关系表”也允许采用“进程虚拟文件系统配置关系表”链表方式实现,此时“进程虚拟文件系统配置关系表”需包括虚拟目录、映射目录、权限关系、扩展访问规则、下一个进程虚拟文件系统配置关系表指针和上一个进程虚拟文件系统配置关系表指针信息。如图7所示,进程虚拟文件系统配置表标识符为I的“进程虚拟文件系统配置表”的“进程虚拟文件系统配置关系表”,即首地址为0x8E101000的“进程虚拟文件系统配置关系表”链表,它的第一个“进程虚拟文件系统配置关系表”首地址为0X8E101000,第一个“进程虚拟文件系统配置关系表”的下一个进程虚拟文件系统配置关系表指针值为0X8E101200,从而找到第二个“进程虚拟文件系统配置关系表”;第二个“进程虚拟文件系统配置关系表”的下一个进程虚拟文件系统配置关系表指针值为0x8E101400,从而找到第三个“进程虚拟文件系统配置关系表”;第三个“进程虚拟文件系统配置关系表”的下一个进程虚拟文件系统配置关系表指针值为0X8E101000,从而找到第一个“进程虚拟文件系统配置关系表”,从而遍历了整个“进程虚拟文件系统配置关系表”链表;反之从任意一个“进程虚拟文件系统配置关系表”中的上一个进程虚拟文件系统配置关系表指针找,可以遍历整个“进程虚拟文件系统配置关系表”链表。“进程虚拟文件系统配置关系表”的总数在进程虚拟文件系统配置表标识符为I的“进程虚拟文件系统配置表”的进程虚拟文件系统配置关系总数标明。如图8所示,进程虚拟文件系统配置表标识符为I的“进程虚拟文件系统配置表”的“进程虚拟文件系统关联进程表”,即首地址为OxSEOOlOOO的“进程虚拟文件系统关联进程表”,它采用“进程虚拟文件系统配置关系表”数组方式实现。“进程虚拟文件系统关联进程表”存储所有使用该“进程虚拟文件系统配置表”的进程标识符信息,进程总数由“进程虚拟文件系统配置表”的进程虚拟文件系统关联进程总数标明;首地址为OxSEOOlOOO的“进程虚拟文件系统关联进程表”450中存储着三个进程的进程标识符101、122、96。如图9所示,“进程虚拟文件系统关联进程表”也允许采用“进程虚拟文件系统关联进程表”链表方式实现,此时“进程虚拟文件系统关联进程表”需包括进程标识符、下一个进程虚拟文件系统关联进程表指针和上一个进程虚拟文件系统关联进程表指针信息。按照本发明提供的建立方法,进程运行前、运行过程中都允许动态指定“进程虚拟文件系统配置文件”,操作系统重新设定该进程的“进程虚拟文件系统配置表”、“进程虚拟文件系统关联进程表”和“进程虚拟文件系统配置关系表”,从而重新设定进程的进程虚拟文件系统与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则。当进程运行前、运行过程中都允许动态指定“进程虚拟文件系统配置文件”,操作系统重新设定该进程的“进程虚拟文件系统配置表”、“进程虚拟文件系统关联进程表”和“进程虚拟文件系统配置关系表”,如图3、4所示。进程的后继运行时所访问的虚拟文件系统为操作系统最新设定的与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则。考虑到在此公开的对本发明的描述和特例的实施例,本发明的其他实施例对于本领域的技术人员来说是显而意见的。这些说明和实施例仅作为例子来考虑,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种面向进程的虚拟文件系统构建方法,其特征在于,所述方法包括具体步骤如下: 第1、建立进程的“进程虚拟文件系统配置文件”;“进程虚拟文件系统配置文件”给定了 “进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的目录及文件之间的映射关系、权限关系以及扩展访问规则; 第2、编辑“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的目录及文件之间的映射关系、权限关系以及扩展访问规则; 第3、进程运行时需指定“进程虚拟文件系统配置文件”,操作系统在内存中建立该进程的“进程虚拟文件系统配置表”,并导入该进程的“进程虚拟文件系统配置文件”的“进程虚拟文件系统”的目录及文件与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则;操作系统在该进程的全局控制块中设定该“进程虚拟文件系统配置表”标识符,从而该进程所能访问的文件系统为刚设定的“进程虚拟文件系统”;进程能直接访问的文件系统是“进程虚拟文件系统”而不是操作系统中全局文件系统; 第4、进程对“进程虚拟文件系统”进行文件操作时,操作系统通过该进程的全局控制块中的“进程虚拟文件系统配置表”标识符在内存中找到对应的“进程虚拟文件系统配置表”,并进一步根据该“进程虚拟文件系统配置表”中存储的映射关系,将进程所要访问的“进程虚拟文件系统”中的文件操作转化为对操作系统中全局文件系统的对应文件的访问操作。
2.根据权利要求1所述的方法,其特征在于,“进程虚拟文件系统”的目录是“进程虚拟文件系统”的根目录和“进程虚拟文件系统”的子目录的统称;“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的目录是“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的根目录和“进程虚拟文件系统配置文件”中“进程虚拟文件系统”的子目录的统称;“进程虚拟文件系统配置文件”至少要给定“进程虚拟文件系统”的根目录与操作系统中全局文件系统的给定目录的映射关系、权限关系以及扩展访问规则;“进程虚拟文件系统配置文件”中新的子目录及文 件将覆盖原目录及文件的映射关系、权限关系以及扩展访问规则。
3.根据权利要求1所述的方法,其特征在于,每个进程对应一个“进程虚拟文件系统配置文件”;多个进程允许对应同一个“进程虚拟文件系统配置文件”,此时多个进程访问的文件系统涉及到“进程虚拟文件系统配置文件”中所指明的目录是同一个目录、所指明的文件是同一文件。
4.根据权利要求1所述的方法,其特征在于,所述的映射关系指明了“进程虚拟文件系统”中目录和操作系统中全局文件系统的目录的对应关系,其中“进程虚拟文件系统”中目录简称为虚拟目录,操作系统中全局文件系统的目录简称为映射目录;映射关系也支持“进程虚拟文件系统”的文件和操作系统中全局文件系统的文件的对应关系,其中“进程虚拟文件系统”的文件简称为虚拟文件,操作系统中全局文件系统的文件简称为映射文件;映射关系的基本信息包括由虚拟目录及文件和映射目录及文件的二元组组成;“进程虚拟文件系统”中的有且唯一有一个虚拟根目录,“进程虚拟文件系统”的虚拟根目录为该“进程虚拟文件系统”中所有一级子目录及文件和该“进程虚拟文件系统”所属的“进程虚拟文件系统配置文件”中根目录对应的映射目录下所有一级子目录及文件的合集。
5.根据权利要求1所述的方法,其特征在于,所述的权限关系指明了进程访问进程虚拟文件系统中某个目录的权限,权限关系包括只读(R)、写(W)、查找(S)、执行(X)基本关系以及基本关系基础上的组合关系。
6.根据权利要求1所述的方法,其特征在于,所述的扩展访问规则指明了进程访问“进程虚拟文件系统”中特定目录和特定文件的限制,扩展访问规则包括能访问的具体文件和目录、不能访问的具体文件和目录基本规则;扩展访问规则支持正则表达式;扩展访问规则为空时标明对特定目录和特定文件无限制。
7.根据权利要求1所述的方法,其特征在于,操作系统根据每一个“进程虚拟文件系统配置文件”信息在内存中创建对应的“进程虚拟文件系统配置表”、“进程虚拟文件系统关联进程表”和“进程虚拟文件系统配置关系表”;“进程虚拟文件系统配置表”包括进程虚拟文件系统配置表标识符、进程虚拟文件系统关联进程总数、进程虚拟文件系统关联进程表指针、进程虚拟文件系统配置关系总数、进程虚拟文件系统配置关系表指针、下一个进程虚拟文件系统配置表指针、上一个进程虚拟文件系统配置表指针基本信息;“进程虚拟文件系统关联进程表”中存储所有使用该“进程虚拟文件系统配置表”的进程标识符信息,进程总数由“进程虚拟文件系统配置表”的进程虚拟文件系统关联进程总数标明;“进程虚拟文件系统配置关系表”中存储进程虚拟文件系统根目录与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则;新的子目录及文件将覆盖原目录及文件的映射关系、权限关系以及扩展访问规则;“进程虚拟文件系统配置关系表”中信息与对应的“进程虚拟文件系统配置文件”中数据一致。
8.根据权利要求7所述的方法,其特征在于,操作系统中所有的“进程虚拟文件系统配置表”组成“进程虚拟文件系统配置表”链表,操作系统中全局内存变量“进程虚拟文件系统配置表首指针”指向“进程虚拟文件系统配置表”链表的第一个“进程虚拟文件系统配置表”的首地址;对于属于同一个“进程虚拟文件系统配置表”的所有“进程虚拟文件系统关联进程表”,或者采用“进程虚拟文件系统关联进程表”数组方式,或者采用“进程虚拟文件系统关联进程表”链表方式;对于属于同一个“进程虚拟文件系统配置表”的所有“进程虚拟文件系统配置关系表”,或者采用“进程虚拟文件系统配置关系表”数组方式,或者采用“进程虚拟文件系统配置关系表”链表方式。
9.根据权利要求7所述 的方法,其特征在于,进程运行前、运行过程中都允许动态指定“进程虚拟文件系统配置文件”,操作系统重新设定该进程的“进程虚拟文件系统配置表”、“进程虚拟文件系统关联进程表”和“进程虚拟文件系统配置关系表”,从而重新设定进程的进程虚拟文件系统与操作系统中全局文件系统的映射关系、权限关系以及扩展访问规则。
全文摘要
本发明公开了一种面向进程的虚拟文件系统构建方法,属于计算机领域。面向进程的虚拟文件系统构建方法包括建立“进程虚拟文件系统配置文件”来存储进程虚拟文件系统与操作系统中全局文件系统的映射关系;进程运行时需指定“进程虚拟文件系统配置文件”,操作系统在内存中建立该进程的“进程虚拟文件系统配置表”,并导入该进程的“进程虚拟文件系统配置文件”的数据;进程的文件操作由操作系统通过该进程的“进程虚拟文件系统配置表”的映射关系转化为对操作系统中全局文件系统的对应文件的操作。本发明能够有效地实现不同进程之间文件系统的逻辑或者物理隔离,从而降低进程对操作系统中全局文件系统的破坏程度,提高全局文件系统的安全性。
文档编号G06F17/30GK103116612SQ201310030050
公开日2013年5月22日 申请日期2013年1月25日 优先权日2013年1月25日
发明者李旭东 申请人:南开大学