一种基于协议代理实现对文件共享访问控制方法及系统

1.一种基于协议代理实现对文件共享访问控制方法，其特征在于，在用户计算机和文件共享服务器之间增设一台文件共享代理服务器，用户计算机连接文件共享代理服务器，文件共享代理服务器连接文件共享服务器，通过文件共享代理服务器来实现所述用户计算机对文件共享服务器中文件的访问控制，其中，文件共享代理服务器以CIFS协议中客户端和服务端建立连接的方式与文件共享服务器建立连接，该方法包括以下步骤：
S1：用户计算机输入登录信息，登录文件共享代理服务器，以CIFS协议中客户端和服务端建立连接的方式与文件共享代理服务器建立连接；
S2：在文件共享代理服务器中验证用户计算机输入的登录信息，若登录信息错误，拒绝登录；
S3：文件共享代理服务器响应通过验证的用户计算机发起的共享文件访问请求，判断所述用户计算机是否具有所请求的共享文件A的访问权限；
S4：若有，则文件共享代理服务器代理用户计算机访问共享文件A，并将文件共享服务器的应答数据包作为返回结果进行封装；否则文件共享代理服务器将拒绝访问作为返回结果进行封装，并将所述返回结果返回给所述用户计算机；
S5：文件共享代理服务器记录访问日志。
2.如权利要求1所述的基于协议代理实现对文件共享访问控制方法，其特征在于，在所述步骤S1之前还包括步骤：
设置被代理的文件共享服务器的IP地址和用户计算机登录信息；
文件共享代理服务器获取文件共享服务器上共享的目录或文件，为用户计算机授予共享文件A的访问权限。
3.如权利要求2所述的基于协议代理实现对文件共享访问控制方法，其特征在于，所述文件共享代理服务器代理用户计算机访问共享文件时利用CIFS协议客户端消息与文件共享服务器通信，文件共享代理服务器返回结果给用户计算机时利用CIFS协议服务器端消息与用户计算机通信。
4.如权利要求2所述的基于协议代理实现对文件共享访问控制方法，其特征在于，所述访问权限包括：
无权限：用户计算机对共享文件A无权访问；
只读：复制文件、打开文件、列出文件/子目录和读取文件属性；
读写：对文件写入数据或属性、新建子目录或文件；
重命名：重命名文件或目录；
删除：删除文件或目录。
5.如权利要求4所述的基于协议代理实现对文件共享访问控制方法，其特征在于，所述用户计算机具有的访问权限为重命名时，若重命名的对象为目录，则文件共享代理服务器判断该目录中的子目录或文件是否被授予用户计算机可读写和重命名的权限，若是则可重命名该目录，否则不能重命名。
6.如权利要求4所述的基于协议代理实现对文件共享访问控制方法，其特征在于，所述用户计算机具有的访问权限为删除时，若删除的对象为目录，则文件共享代理服务器判断该目录中的子目录或文件是否被授予用户计算机可删除权限，若是则可删除该目录，否则不能删除。
7.如权利要求1-6任一所述的基于协议代理实现对文件共享访问控制方法，其特征在于，所述访问日志记录内容包括：访问时间、用户计算机IP、登录连接信息、权限判断结果、文件共享服务器应答结果、访问的目标文件和用户计算机对所述目标文件所做的操作。
8.一种基于协议代理实现对文件共享访问控制系统，其特征在于，在用户计算机和文件共享服务器之间增设一台文件共享代理服务器，用户计算机连接文件共享代理服务器，文件共享代理服务器连接文件共享服务器，通过文件共享代理服务器来实现所述用户计算机对文件共享服务器中文件的访问控制，其中，文件共享代理服务器以CIFS协议中客户端和服务端建立连接的方式与文件共享服务器建立连接，该系统包括：
用户界面模块，用于输入登录信息，登录文件共享代理服务器，并以CIFS协议中客户端和服务端建立连接的方式建立用户计算机与文件共享代理服务器的连接；
用户验证模块，用于在文件共享代理服务器中验证用户计算机输入的登录信息，若登录信息错误，拒绝登录；
权限判断模块，用于响应通过验证的用户计算机发起的共享文件访问请求，判断所述用户计算机是否具有所请求的共享文件A的访问权限；
文件共享代理模块，用于当有访问权限时，则代理用户计算机访问共享文件A，并将文件共享服务器的应答数据包作为返回结果进行封装；否则将拒绝访问作为返回结果进行封装，并将所述返回结果返回给所述用户计算机；
日志审计模块，用于记录访问日志。
9.如权利要求8所述的基于协议代理实现对文件共享访问控制系统，其特征在于，所述系统还包括：
代理设置模块，用于设置被代理的文件共享服务器的IP地址和用户计算机登录信息；
权限控制模块，用于获取文件共享服务器上共享的目录或文件，为用户计算机授予共享文件A的访问权限。

一种基于协议代理实现对文件共享访问控制方法及系统\n技术领域\n[0001] 本发明涉及文件共享访问控制技术领域，特别涉及一种基于协议代理实现对文件共享访问控制的方法及系统。\n背景技术\n[0002] 在企业内部日常的计算机办公应用中，特别是需要多人协作的场景下，为了使用的方便和提高工作效率，常常需要架设专门的文件服务器来满足工作的需要，所有的数据资料都集中存储在这样的服务器中。随着企业的迅速发展，重要文件、研发成果、项目资料等等越来越多，对服务器上数据的安全性提出了更高的要求。对于这些重要文件资料的访问权限控制，成为企业内部在进行文件共享是需要解决的安全问题。\n[0003] 实现对共享文件的安全访问控制，需要解决好三个方面的问题：\n[0004] 1.实现对文件访问者身份的识别。\n[0005] 2.实现对文件访问者权限的控制，包括目录的访问范围，及对特定子文件的访问权限。\n[0006] 3.能够对用户访问行为记录日志，便于日后审计。\n[0007] 目前，一些文件共享服务多基于windows操作系统，利用cifs协议（Common Internet File System通用Internet文件系统）实现，cifs协议是微软服务器消息块协议（SMB）的增强版本，是计算机用户在企业内部网和互联网上共享文件的标准方法。CIFS通过定义一种与应用程序在本地磁盘和网络文件服务器上共享数据的方式相兼容的远程文件访问协议使之能够在网络上进行协作。【cifs协议规格详见：[MS-CIFS]:Common Internet File System(CIFS)Protocol Specification，http://msdn.microsoft.com/en-us/library/ee442092(PROT.10).aspx】\n[0008] 针对windows文件共享的访问控制主要结合ntfs自身的权限控制来实现，ntfs文件系统详细信息请参阅http://www.ntfs.com。\n[0009] 目前，基于cifs和ntfs实现文件共享访问控制的具体方法有两种：\n[0010] 1、基于Windows server本地账户的文件访问权限控制。在1台windows服务器上设置共享文件夹，文件系统类型必须为ntfs类型，针对不同文件分别设置用户的权限。用户远程访问时，输入windowsserver的本地账号，然后可以按照设定好的权限控制。\n[0011] 2、基于Windows域用户的文件访问权限控制。在1台windows服务器上设置共享文件夹，文件系统类型必须为ntfs类型，针对不同文件分别设置域里不同用户的权限。用户远程访问时，输入域账号，然后可以按照设定好的权限进行文件共享访问控制。\n[0012] 虽然这两种方法都实现了对Windows共享文件进行访问控制的需求，但随着企业的迅速发展，重要文件、研发成果、项目资料等等越来越多，对服务器上数据的安全性提出了更高的要求。原有的管理和技术手段已无法做到对共享文件的有效保护，主要存在以下几方面的问题：\n[0013] 1、身份认证和windows操作系统账号结合的太紧密，不灵活；\n[0014] 2、权限控制过分依赖ntfs协议，授权繁琐；\n[0015] 3、没有相关的文件访问日志供检索，无法追根溯源找到事故责任人，导致企业管理者在处理此类事件时束手无策。\n发明内容\n[0016] （一）要解决的技术问题\n[0017] 本发明要解决的技术问题是如何在访问共享文件时脱离ntfs文件系统的依赖，并能够满足灵活身份认证及访问行为审计的使用需求。\n[0018] （二）技术方案\n[0019] 一种基于协议代理实现对文件共享访问控制方法，在用户计算机和文件共享服务器之间增设一台文件共享代理服务器，用户计算机连接文件共享代理服务器，文件共享代理服务器连接文件共享服务器，通过文件共享代理服务器来实现所述用户计算机对文件共享服务器中文件的访问控制，其中，文件共享代理服务器以CIFS协议中客户端和服务端建立连接的方式与文件共享服务器建立连接，该方法包括以下步骤：\n[0020] S1：用户计算机输入登录信息，登录文件共享代理服务器，以CIFS协议中客户端和服务端建立连接的方式与文件共享代理服务器建立连接；\n[0021] S2：在文件共享代理服务器中验证用户计算机输入的登录信息，若登录信息错误，拒绝登录；\n[0022] S3：文件共享代理服务器响应通过验证的用户计算机发起的共享文件访问请求，判断所述用户计算机是否具有所请求的共享文件A的访问权限；\n[0023] S4：若有，则文件共享代理服务器代理用户计算机访问共享文件A，并将文件共享服务器的应答数据包作为返回结果进行封装；否则文件共享代理服务器将拒绝访问作为返回结果进行封装，并将所述返回结果返回给所述用户计算机；\n[0024] S5：文件共享代理服务器记录访问日志。\n[0025] 其中，在所述步骤S1之前还包括步骤：\n[0026] 设置被代理的文件共享服务器的IP地址和用户计算机登录信息；\n[0027] 文件共享代理服务器建立和文件共享服务器的连接，获取文件共享服务器上共享的目录或文件，为用户计算机授予共享文件A的访问权限。\n[0028] 其中，所述用户计算机和文件共享代理服务器建立连接及文件共享代理服务器和文件共享服务器建立连接的方式为CIFS协议中客户端和服务端建立连接的方式。\n[0029] 其中，所述文件共享代理服务器代理用户计算机访问共享文件时利用CIFS协议客户端消息与文件共享服务器通信，文件共享代理服务器返回结果给用户计算机时利用CIFS协议服务器端消息与用户计算机通信。\n[0030] 其中，所述访问权限包括：\n[0031] 无权限：用户计算机对共享文件A无权访问；\n[0032] 只读：复制文件、打开文件、列出文件/子目录和读取文件属性；\n[0033] 读写：对文件写入数据或属性、新建子目录或文件；\n[0034] 重命名：重命名文件或目录；\n[0035] 删除：删除文件或目录。\n[0036] 其中，所述用户计算机具有的访问权限为重命名时，若重命名的对象为目录，则文件共享代理服务器判断该目录中的子目录或文件是否被授予用户计算机可读写和重命名的权限，若是则可重命名该目录，否则不能重命名。\n[0037] 其中，所述用户计算机具有的访问权限为删除时，若删除的对象为目录，则文件共享代理服务器判断该目录中的子目录或文件是否被授予用户计算机可删除权限，若是则可删除该目录，否则不能删除。\n[0038] 其中，所述访问日志记录内容包括：访问时间、用户计算机IP、登录连接信息、权限判断结果、文件共享服务器应答结果、访问的目标文件和用户计算机对所述目标文件所做的操作。\n[0039] 一种基于协议代理实现对文件共享访问控制系统，在用户计算机和文件共享服务器之间增设一台文件共享代理服务器，用户计算机连接文件共享代理服务器，文件共享代理服务器连接文件共享服务器，通过文件共享代理服务器来实现所述用户计算机对文件共享服务器中文件的访问控制，其中，文件共享代理服务器以CIFS协议中客户端和服务端建立连接的方式与文件共享服务器建立连接，该系统包括：\n[0040] 用户界面模块，用于输入登录信息，登录文件共享代理服务器，并以CIFS协议中客户端和服务端建立连接的方式建立用户计算机与文件共享代理服务器的连接；\n[0041] 用户验证模块，用于在文件共享代理服务器中验证用户计算机输入的登录信息，若登录信息错误，拒绝登录；\n[0042] 权限判断模块，用于响应通过验证的用户计算机发起的共享文件访问请求，判断所述用户计算机是否具有所请求的共享文件A的访问权限；\n[0043] 文件共享代理模块，用于当有访问权限时，则代理用户计算机访问共享文件A，并将文件共享服务器的应答数据包作为返回结果进行封装；否则将拒绝访问作为返回结果进行封装，并将所述返回结果返回给所述用户计算机；\n[0044] 日志审计模块，用于记录访问日志。\n[0045] 其中，所述系统还包括：\n[0046] 代理设置模块，用于设置被代理的文件共享服务器的IP地址和用户计算机登录信息；\n[0047] 权限控制模块，用于获取文件共享服务器上共享的目录或文件，为用户计算机授予共享文件A的访问权限。\n[0048] （三）有益效果\n[0049] 本发明的基于协议代理实现对文件共享访问控制方法及系统具有如下有益效果：\n[0050] 1、用户通过文件共享代理服务器访问文件共享服务器时，无需使用Windows帐号进行身份认证，所有的身份信息可在所述代理服务器上进行集中管理；\n[0051] 2、管理员可通过文件共享代理服务器对与其连接的多个文件共享服务器进行授权管理，而不需分别登录每台服务器，还可以对用户提供更高级的访问控制，使对文件共享的访问控制机制从面向用户对路径或文件的访问，上升到对用户对目录或文件可以进行的操作上，杜绝用户通过其它手段或路径进行跨权限访问；\n[0052] 3、对访问日志进行记录，以供备后续审计和错误追溯。\n附图说明\n[0053] 图1是根据本发明的基于协议代理实现对文件共享访问控制方法所采用的硬件架构图；\n[0054] 图2是CIFS协议中客户端和服务端建立连接流程图；\n[0055] 图3是根据本发明的基于协议代理实现对文件共享访问控制方法的流程图。\n具体实施方式\n[0056] 本发明提出的基于协议代理实现对文件共享访问控制方法，结合附图和实施例说明如下。\n[0057] 如图1所示，在原有的用户计算机和文件共享服务器之间增设一台文件共享代理服务器，图1中，3台用户计算机连接文件共享代理服务器，文件共享代理服务器连接文件共享服务器，通过文件共享代理服务器来实现所述用户计算机对文件共享服务器中文件的访问控制。\n[0058] 在用户计算机访问共享文件之前，需要设置被代理的文件共享服务器的IP地址和用户计算机登录信息，包括登录ID和口令；之后通过CIFS协议中客户端和服务端建立连接的方式建立文件共享代理服务器和文件共享服务器的连接，如图2所示。建立连接后，管理员通过文件共享代理服务器以树形目录的形式获取各个文件共享服务器上共享的目录或文件，为不同的用户计算机授予上述共享目录或文件的不同的访问权限。\n[0059] 当用户计算机访问共享文件时，如图3所示，首先在用户界面输入登录ID和口令，登录文件共享代理服务器，通过CIFS协议中客户端和服务端建立连接的方式建立用户计算机和文件共享代理服务器的连接。用户计算机只需要输入“\\代理服务器IP地址”的方式来进行。这时用户和代理服务器执行如图2所示的交互流程，同时在SMB_COM_SESSION_SETUP_ANDX报文中包含身份认证的用户名、密码信息。这样用户和代理服务器就完成了协商及连接。之后，文件共享代理服务器验证登录信息是否正确，若不正确，则拒绝登录，若正确，则用户可登录到所述代理服务器，当用户计算机在代理服务器上经过身份验证后，便可通过代理服务器代理访问后面的文件共享服务器。登录后，用户计算机请求访问文件共享服务器共享的目录和文件；文件共享代理服务器判断所述用户计算机是否具有所请求的共享目录或文件的访问权限，其中，访问权限对原windows中共享文件的访问权限（完全控制、更改和读取）进行了扩展，包括：\n[0060] 无权限：用户计算机对共享目录或文件无权访问；\n[0061] 只读：复制文件、打开文件、列出文件/子目录和读取文件属性；\n[0062] 读写：对文件写入数据或属性、新建子目录或文件；\n[0063] 重命名：重命名文件或目录；\n[0064] 删除：删除文件或目录。\n[0065] 若没有相应的访问权限，则文件共享代理服务器将拒绝访问作为返回结果进行封装，并将所述返回结果返回给所述用户计算机，并记录访问日志。\n[0066] 若有相应的访问权限，则文件共享代理服务器代理用户计算机访问共享目录或文件，并将文件共享服务器的应答数据包作为返回结果进行封装后返回给所述用户计算机并记录访问日志。\n[0067] 例如，当用户需要编辑某一文件时，文件共享代理服务器会首先判断此用户是否有权对此文件进行读取（只读权限），若有，则从文件共享服务器获取此文件（0x02），并将此文件返回给用户计算机，用户计算机对文件编辑后，需要保存(0x0B)，此时文件共享代理服务器收到用户计算机保存文件的请求后，会判断用户计算机是否有权读写此文件，若有，则将文件提交给文件共享服务器来完成保存，并返回保存成功，若没有，则返回用户一个“拒绝”(0xC0000022)的应答。\n[0068] 当用户需要对目录或文件进行重命名操作时，文件共享代理服务器会首先判断用户计算机是否有权对此目录或文件进行重命名(0x07)，当需要进行重命名的对象是一个目录时，文件共享代理服务器会继续搜寻此目录的子目录，判断子目录中是否有目录或文件为该用户计算机无权访问的，若有，会返回用户计算机一个“拒绝”(0xC0000022)应答，若此目录及其子目录都为该用户可读写和重命名的，则将重命名请求提交给文件共享服务器，完成重命名操作，并返回重命名成功。\n[0069] 当用户需要对目录或文件进行删除(0x06)操作时，文件共享代理服务器会首先判断用户计算机是否有权对此目录或文件进行删除操作，当需要进行删除的对象是一个目录时，文件共享代理服务器会继续搜寻此目录的子目录，判断子目录中是否有目录或文件为该用户计算机无权访问的，若有，会返回用户一个“拒绝”应答，若此目录及其子目录都为该用户计算机可删除，则将删除请求提交给文件共享服务器，完成删除操作，并返回删除成功。\n[0070] 用户对共享文件的访问分为两个步骤：首先在打开文件后，进行文件信息的查询，接着才会对文件进行读取、读写和删除等操作。在这两个步骤中，用户计算机不能直接与文件共享服务器进行任何通信，由代理服务器完成如下操作：\n[0071] 1、用户计算机向代理服务器发送查询文件信息命令时，文件共享代理服务器向文件共享服务器也发送相应的命令来查询；\n[0072] 2、从文件共享代理服务器返回的文件信息包含了文件的大小、权限等信息，以此判断用户计算机是否有权限访问文件。其中文件权限包括只读/可读写/没有权限等标志。\n代理服务器通过对这些文件权限标志的重置，可控制用户对文件的访问权限。如将标志改为只读，则用户将以只读方式打开该文件。\n[0073] 3、用户计算机向文件共享代理服务器发送读取文件命令时，文件共享代理服务器向文件共享服务器也发送相应的命令来读取文件。\n[0074] 在访问共享目录或文件的过程中，文件共享代理服务器对访问日志进行详细的记录，供备后续审计和错误追溯。访问时间、用户计算机IP、登录连接信息、权限判断结果、文件共享服务器应答结果、访问的目标文件和用户计算机对所述目标文件所做的操作（新建文件\目录、读、写、重命名和删除）。在此基础上，还可以根据SMB协议记录更多信息，如表\n1所示：\n[0075] 表1文件状态及标记\n[0076] \n 状态 标记\n CreateDirectory 0x00\n DeleteDirectory 0x01\n OpenFile 0x02\n CreateFile 0x03\n CloseFile 0x04\n FlushFile 0x05\n DeleteFile 0x06\n RenameFile 0x07\n GetFileAttributes 0x08\n SetFileAttributes 0x09\n ReadFile 0x0A\n WriteFile 0x0B\n LockFile 0x0C\n UnLockFile 0x0D\n CreateTemporary 0x0E\n CreateNew 0x0F\n CheckDirectory 0x10\n ...... ......\n[0077] 本发明还提出了一种基于协议代理实现对文件共享访问控制系统，包括：\n[0078] 代理设置模块，用于设置需要代理的文件共享服务器的IP地址和用户计算机登录信息；权限控制模块，用于文件共享代理服务器获取文件共享服务器上共享的目录或文件，为用户计算机授予共享文件A的访问权限。用户界面模块，用于用户计算机输入登录信息，登录文件共享代理服务器，该界面可以是浏览器界面，也可以是客户端软件界面；用户验证模块，用于在文件共享代理服务器中验证用户计算机输入的登录信息，若登录信息错误，拒绝登录；权限判断模块，用于文件共享代理服务器响应通过验证的用户计算机发起的共享文件访问请求，判断所述用户计算机是否具有所请求的共享文件A的访问权限；文件共享代理模块，用于当有访问权限时，则文件共享代理服务器代理用户计算机访问共享文件A，并将文件共享服务器的应答数据包作为返回结果进行封装；否则文件共享代理服务器将拒绝访问作为返回结果进行封装，并将所述返回结果返回给所述用户计算机；日志审计模块，用于文件共享代理服务器记录访问日志。\n[0079] 对本发明进行了如下实验：\n[0080] 试验1：模拟连接\n[0081] 首先将“共享文件访问代理”部署在一台Redhat系统上（指定IP：10.3.43.250），启动该服务后，可以看到系统开始监听139和445端口，同时观看控制台，可以看到服务正常启动完成，正在等待用户连接。\n[0082] 此时，使用用户计算机Windows客户端访问\\10.3.43.250，可以看到如下日志，如表2所示：\n[0083] 表2连接日志\n[0084] \n[0085] 由此，用户计算机已经认为“文件共享代理服务器”是一台“文件共享服务器”。\n[0086] 试验2：模拟获取\n[0087] 首先在10.3.43.250的文件共享代理服务器上配置samba服务，配置此服务的目的是，当文件共享代理服务器收到正确授权的用户访问请求后，通过Samba服务向被代理文件共享服务器发起访问请求。\n[0088] 将IP为10.3.43.51的文件共享服务器配置到文件共享代理服务器10.3.43.250后面，之后将用Windows测试客户端（用户计算机），通过10.3.43.250对10.3.43.51进行文件共享的代理访问，观察后台部分日志如表3所示：\n[0089] 表3文件代理服务器日志\n[0090] \n[0091] \n[0092] 而从客户端（用户计算机）上进行听包则获取到如下信息（部分）如表4所示：\n[0093] 表4用户计算机上的日志信息\n[0094] \n[0095] \n[0096] 本实验证明，测试客户端（用户计算机）在通过文件共享代理服务器（10.3.43.250）访问文件共享服务器（10.3.43.51）时，客户端可以正确获得身份认证并获取文件信息。并且文件共享代理服务器（10.3.43.250）可以获取并解析用户对文件共享服务器（10.3.43.51）发出的指令，并代为转发。同时日志中也体现出了用户的地具体操作和IP等信息，证明对其进行控制和日志记录均是可行的。\n[0097] 以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。