权限管理方法、装置、设备及计算机可读存储介质.pdf

《权限管理方法、装置、设备及计算机可读存储介质.pdf》由会员分享，可在线阅读，更多相关《权限管理方法、装置、设备及计算机可读存储介质.pdf（23页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010901369.5 (22)申请日 2020.08.31 (71)申请人 深信服科技股份有限公司 地址 518055 广东省深圳市南山区学苑大 道1001号南山智园A1栋 (72)发明人 洪鑫喆 (74)专利代理机构 北京派特恩知识产权代理有 限公司 11270 代理人 贾伟张颖玲 (51)Int.Cl. G06F 21/44(2013.01) G06F 21/60(2013.01) (54)发明名称 一种权限管理方法、 装置、 设备及计算机可 读存储介质 (57)摘要。

2、 本实施例公开了一种权限管理方法， 该方法 包括： 接收管理平台发送的与终端对应的管控策 略； 其中， 管控策略是管理平台设置的用于管理 外接设备的操作权限的； 确定有目标外接设备接 入终端， 获取目标外接设备的设备类型， 基于管 控策略和设备类型设置目标外接设备的操作权 限； 其中， 终端为具有特定操作系统的终端； 本实 施例还同时公开了一种权限管理装置、 设备、 管 理平台和计算机可读存储介质。 权利要求书2页 说明书11页 附图9页 CN 112035824 A 2020.12.04 CN 112035824 A 1.一种权限管理方法， 其特征在于， 应用于终端， 所述方法包括： 接收管。

3、理平台发送的与终端对应的管控策略； 其中， 所述管控策略是所述管理平台设 置的用于管理外接设备的操作权限的； 确定有目标外接设备接入所述终端， 获取所述目标外接设备的设备类型， 基于所述管 控策略和所述设备类型设置所述目标外接设备的操作权限； 其中， 所述终端为具有特定操 作系统的终端。 2.根据权利要求1所述的方法， 其特征在于， 所述基于所述管控策略和所述设备类型设 置所述目标外接设备的操作权限， 包括： 若所述目标外接设备的设备类型为第一类型， 基于所述管控策略设置所述目标外接设 备的操作权限为许可所述目标外接设备与所述终端通信。 3.根据权利要求2所述的方法， 其特征在于， 所述方法还。

4、包括： 若所述目标外接设备的设备类型为第二类型， 从所述管控策略中获取与所述第二类型 对应的第二目标操作权限； 设置所述目标外接设备的操作权限为所述第二目标操作权限。 4.根据权利要求1所述的方法， 其特征在于， 所述获取所述目标外接设备的设备类型， 包括： 获取所述目标外接设备的通信数据包； 基于所述通信数据包的标记特征值， 确定所述目标外接设备的设备类型。 5.根据权利要求4所述的方法， 其特征在于， 所述基于所述通信数据包的标记特征值， 确定所述目标外接设备的设备类型， 包括： 若所述标记特征值包括输入性字段， 确定所述目标外接设备的设备类型为第一类型； 若所述标记特征值包括存储性字段，。

5、 确定所述目标外接设备的设备类型为第二类型。 6.根据权利要求1所述的方法， 其特征在于， 所述方法还包括： 获取所述目标外接设备的存储路径并卸载所述存储路径当前的挂载目录； 将所述目标外接设备重新挂载至目标目录； 在所述目标目录下进行安全检测， 并将检测结果上传至所述管理平台。 7.一种权限管理方法， 其特征在于， 应用于管理平台， 所述方法包括： 生成用于管理外接设备操作权限的管控策略； 从所述管控策略中获取每一组终端对应的管控策略， 并发送所述管控策略至对应的每 一组终端； 其中， 所述管控策略用于每一组终端基于所述管控策略和外接设备的设备类型 设置接入的外接设备的操作权限， 所述每一组。

6、终端中包括至少一个终端； 其中， 所述至少一 个终端为具有特定操作系统的终端。 8.根据权利要求7所述的方法， 其特征在于， 所述方法还包括： 更新用于管理外接设备操作权限的管控策略， 并将更新后的管控策略发送至与所述管 控策略对应的终端。 9.根据权利要求7所述的方法， 其特征在于， 针对同一组终端的外接设备的管控策略是相同的。 10.一种权限管理装置， 其特征在于， 所述装置包括： 接收单元， 用于接收管理平台发送的与终端对应的管控策略； 其中， 所述管控策略是所 权利要求书 1/2 页 2 CN 112035824 A 2 述管理平台设置的用于管理外接设备的操作权限的； 处理单元， 用于。

7、确定有目标外接设备接入所述终端， 获取所述目标外接设备的设备类 型， 基于所述管控策略和所述设备类型设置所述目标外接设备的操作权限； 其中， 所述终端 为具有特定操作系统的终端。 11.一种权限管理装置， 其特征在于， 所述装置包括： 生成单元， 生成用于管理外接设备操作权限的管控策略； 发送单元， 用于从所述管控策略中获取每一组终端对应的管控策略， 并发送所述管控 策略至对应的一组终端； 其中， 所述管控策略用于每一组终端基于所述管控策略和外接设 备的设备类型设置接入的外接设备的操作权限， 所述每一组终端中包括至少一个终端； 其 中， 所述至少一个终端均为具有特定操作系统的终端。 12.一种。

8、终端， 其特征在于， 所述终端包括： 第一处理器， 用于运行计算机程序； 第一存储器， 用于存储能够在所述第一处理器上运行的计算机程序； 其中， 所述第一处理器， 用于运行计算机程序时， 执行权利要求1至6任一项所述的权限 管理方法的步骤。 13.一种管理平台， 其特征在于， 所述管理平台包括： 第二处理器， 用于运行计算机程序； 第二存储器， 用于存储能够在所述第二处理器上运行的计算机程序； 其中， 所述第二处理器， 用于运行计算机程序时， 执行权利要求7至9任一项所述的权限 管理方法的步骤。 14.一种计算机可读存储介质， 所述存储介质上存储有计算机程序， 其特征在于， 所述 计算机程序被。

9、处理器执行时， 实现权利要求1至6或7至9任一项所述的权限管理方法的步 骤。 权利要求书 2/2 页 3 CN 112035824 A 3 一种权限管理方法、 装置、 设备及计算机可读存储介质 技术领域 0001 本发明涉及通信设备技术领域， 尤其涉及一种权限管理方法、 装置、 设备及计算机 可读存储介质。 背景技术 0002 随着计算机功能的多样化， 一般会给计算机配备多个具有输入输出功能的外接设 备； 在对外接设备的操作权限进行管控时， 相对技术中具有针对Windows操作系统和Linux 操作系统外接设备的管控方案。 但是， 针对Linux操作系统的管控方案只能用户手动在计算 机上设置来。

10、实现对外接设备的管控， 无法对外接设备的操作权限的智能管控。 发明内容 0003 有鉴于此， 本发明实施例期望提供一种权限管理方法、 装置、 设备及计算机可读存 储介质， 解决了相对技术中针对Linux操作系统无法对外接设备操作权限进行自动管控的 问题， 实现了对外接设备的操作权限的自动管控， 提高了对外接设备的操作权限的管控的 智能性。 0004 为达到上述目的， 本发明的技术方案是这样实现的： 0005 第一方面， 提供一种权限管理方法， 包括： 0006 接收管理平台发送的与终端对应的管控策略； 其中， 所述管控策略是所述管理平 台设置的用于管理外接设备的操作权限的； 0007 确定有目。

11、标外接设备接入所述终端， 获取所述目标外接设备的设备类型， 基于所 述管控策略和所述设备类型设置所述目标外接设备的操作权限； 其中， 所述终端为具有特 定操作系统的终端。 0008 可选的， 所述基于所述管控策略和所述设备类型设置所述目标外接设备的操作权 限， 包括： 0009 若所述目标外接设备的设备类型为第一类型， 基于所述管控策略设置所述目标外 接设备的操作权限为许可所述目标外接设备与所述终端通信。 0010 可选的， 所述方法还包括： 0011 若所述目标外接设备的设备类型为第二类型， 从所述管控策略中获取与所述第二 类型对应的第二目标操作权限； 0012 设置所述目标外接设备的操作权。

12、限为所述第二目标操作权限。 0013 可选的， 所述获取所述目标外接设备的设备类型， 包括： 0014 获取所述目标外接设备的通信数据包； 0015 基于所述通信数据包的标记特征值， 确定所述目标外接设备的设备类型。 0016 可选的， 所述基于所述通信数据包的标记特征值， 确定所述目标外接设备的设备 类型， 包括： 0017 若所述标记特征值包括输入性字段， 确定所述目标外接设备的设备类型为第一类 说明书 1/11 页 4 CN 112035824 A 4 型； 0018 若所述标记特征值包括存储性字段， 确定所述目标外接设备的设备类型为第二类 型。 0019 可选的， 所述方法还包括： 0。

13、020 获取所述目标外接设备的存储路径并卸载存储路径当前的挂载目录； 0021 将所述目标外接设备重新挂载至目标目录； 0022 在所述目标目录下进行安全检测， 并将检测结果上传至所述管理平台。 0023 第二方面， 提供一种权限管理方法， 包括： 0024 生成用于管理外接设备操作权限的管控策略； 0025 从所述管控策略中获取每一组终端对应的管控策略， 并发送所述管控策略至对应 的每一组终端； 其中， 所述管控策略用于每一组终端基于所述管控策略和外接设备的设备 类型设置接入的外接设备的操作权限， 所述每一组终端中包括至少一个终端； 其中， 所述至 少一个终端为具有特定操作系统的终端。 00。

14、26 可选的， 所述方法还包括： 0027 更新用于管理外接设备操作权限的管控策略， 并将更新后的管控策略发送至与所 述管控策略对应的终端。 0028 可选的， 所述方法还包括： 0029 针对同一组终端的目标外接设备的管控策略是相同的。 0030 第三方面， 提供一种权限管理装置， 包括： 0031 接收单元， 用于接收管理平台发送的与终端对应的管控策略； 其中， 所述管控策略 是所述管理平台设置的用于管理外接设备的操作权限的； 0032 处理单元， 用于确定有目标外接设备接入所述终端， 获取所述目标外接设备的设 备类型， 基于所述管控策略和所述设备类型设置所述目标外接设备的操作权限； 其中。

15、， 所述 终端为具有特定操作系统的终端。 0033 第四方面， 提供一种权限管理装置， 包括： 0034 生成单元， 生成用于管理外接设备操作权限的管控策略； 0035 发送单元， 用于从所述管控策略中获取每一组终端对应的管控策略， 并发送所述 管控策略至对应的每一组终端； 其中， 所述管控策略用于每一组终端基于所述管控策略和 外接设备的设备类型设置接入的外接设备的操作权限， 所述每一组终端中包括至少一个终 端； 其中， 所述至少一个终端为具有特定操作系统的终端。 0036 第五方面， 提供一种终端， 包括： 0037 第一处理器； 用于运行计算机程序； 0038 第一存储器， 用于存储能够在。

16、第一处理器上运行的计算机程序； 0039 其中， 所述第一处理器， 用于运行计算机程序时， 执行上述的权限管理方法的步 骤。 0040 第六方面， 提供一种管理平台， 包括： 0041 第二处理器， 用于运行计算机程序； 0042 第二存储器， 用于存储能够在第二处理器上运行的计算机程序； 0043 其中， 所述第二处理器， 用于运行计算机程序时， 执行上述的权限管理方法的步 说明书 2/11 页 5 CN 112035824 A 5 骤。 0044 第七方面， 提供一种计算机可读存储介质， 所述存储介质上存储有计算机程序， 计 算机程序被处理器执行时， 实现上述的权限管理方法的步骤。 004。

17、5 本发明实施例所提供的权限管理方法、 装置、 设备及计算机可读存储介质， 接收管 理平台发送的与终端对应的用于管理外接设备的操作权限的管控策略， 并在确定有目标外 接设备接入终端， 获取目标外接设备的设备类型， 基于管控策略和设备类型设置目标外接 设备的操作权限； 终端为具有特定操作系统的终端， 如此， 具有Linux操作系统的终端能够 基于管理平台设置并发送的管控策略自动设置终端的外接设备的操作权限， 不需要人为手 动来设置外接设备的操作权限， 解决了相对技术中针对Linux操作系统无法对外接设备操 作权限进行自动管控的问题， 实现了对外接设备的操作权限的自动管控， 提高了对外接设 备的操。

18、作权限的管控的智能性。 附图说明 0046 图1为本发明实施例提供的一种权限管理方法的流程示意图； 0047 图2为本发明实施例提供的另一种权限管理方法的流程示意图； 0048 图3a为本发明实施例提供的又一种权限管理方法的流程示意图； 0049 图3b为本发明另一实施例提供的一种权限管理方法的流程示意图； 0050 图4为本发明实施例提供的USB外接设备分类图； 0051 图5为本发明另一实施例提供的另一种权限管理方法的流程示意图； 0052 图6为本发明实施例提供的一种USB设备监听框架图； 0053 图7为本发明实施例提供的存储路径的示意图； 0054 图8为本发明另一实施例提供的又一种。

19、权限管理方法的流程示意图； 0055 图9为本发明实施例提供的管理平台与终端之间的关系示意图； 0056 图10为本发明实施例提供的一种权限管理装置的结构示意图； 0057 图11为本发明实施例提供的另一种权限管理装置的结构示意图； 0058 图12为本发明实施例提供的一种终端的结构示意图； 0059 图13为本发明实施例提供的另一种管理平台的结构示意图。 具体实施方式 0060 为了能够更加详尽地了解本发明实施例的特点与技术内容， 下面结合附图对本发 明实施例的实现进行详细阐述， 所附附图仅供参考说明之用， 并非用来限定本发明实施例。 0061 本发明的实施例提供一种权限管理方法， 该方法可。

20、以应用于终端中， 参照图1所 示， 该方法包括以下步骤： 0062 步骤101、 终端接收管理平台发送的与终端对应的管控策略。 0063 其中， 管控策略是管理平台设置的用于管理外接设备的操作权限的。 0064 具体来说， 终端接收管理平台发送的管控策略， 并存储在终端的缓存区域， 本实施 例中的管控策略是用户在管理平台设置的。 本实施例中的终端可以为具有特定操作系统的 终端； 在一种可行的实现方式中， 特定操作系统可以包括Linux操作系统。 0065 步骤102、 终端确定有目标外接设备接入终端， 获取目标外接设备的设备类型， 基 说明书 3/11 页 6 CN 112035824 A 6。

21、 于管控策略和设备类型设置目标外接设备的操作权限。 0066 其中， 操作权限可以是放通、 禁止、 可读或可写， 也可以是其他操作权限， 在此不做 限制。 0067 在本实施例中外接设备可以是USB设备， 在一种可行的实现方式中， 外接设备可以 包括U盘、 鼠标、 键盘、 打印机、 移动硬盘以及便携设备等； 当然， 外接设备也可以是其他外接 设备， 在此不做限制。 0068 本发明实施例所提供的权限管理方法， 接收管理平台发送的与终端对应的用于管 理外接设备的操作权限的管控策略， 并在确定有目标外接设备接入终端， 获取目标外接设 备的设备类型， 基于管控策略和设备类型设置目标外接设备的操作权限。

22、； 终端为具有特定 操作系统的终端， 如此， 具有Linux操作系统的终端能够基于管理平台设置并发送的管控策 略自动设置终端的外接设备的操作权限， 不需要人为手动来设置外接设备的操作权限， 解 决了相对技术中针对Linux操作系统无法对外接设备操作权限进行自动管控的问题， 实现 了对外接设备的操作权限的自动管控， 提高了对外接设备的操作权限的管控的智能性。 0069 基于前述实施例， 本发明的实施例提供一种权限管理方法， 参照图2所示， 该方法 可以包括以下步骤： 0070 步骤201、 管理平台生成用于管理外接设备操作权限的管控策略。 0071 其中， 用户可以在管理平台设置相应的管控策略，。

23、 并存储在管理平台的缓存区域。 需要说明的是， 本实施例中的缓存区域可以存储多种不同的管控策略。 0072 步骤202、 管理平台从管控策略中获取每一组终端对应的管控策略， 并发送管控策 略至对应的每一组终端。 0073 其中， 管控策略用于每一组终端基于管控策略和外接设备的设备类型设置接入的 外接设备的操作权限， 每一组终端中包括至少一个终端； 至少一个终端中的每一个终端均 为具有特定操作系统的终端。 0074 需要说明的是， 同一组终端的管控策略相同， 不同组终端的管控策略可以相同也 可以不同。 0075 本实施例中与其它实施例中相同步骤和相同内容的说明， 可以参照其它实施例中 的描述， 。

24、此处不再赘述。 0076 本发明实施例所提供的权限管理方法， 生成用于管理外接设备操作权限的管控策 略， 从管控策略中获取每一组终端对应的管控策略并发送管控策略至对应的每一组终端， 终端接收管理平台发送的管控策略， 在确定有目标外接设备接入终端， 获取目标外接设备 的设备类型， 并基于管控策略和设备类型设置外接设备的操作权限， 如此， 具有Linux操作 系统的终端能够基于管理平台设置并发送的管控策略自动设置终端的外接设备的操作权 限， 不需要人为手动来设置外接设备的操作权限， 解决了相对技术中针对Linux操作系统无 法对外接设备操作权限进行自动管控的问题， 实现了对外接设备的操作权限的自动。

25、管控， 提高了对外接设备的操作权限的管控的智能性。 0077 基于前述实施例， 本发明的实施例提供一种权限管理方法， 参照图3a和图3b所示， 该方法可以包括以下步骤： 0078 步骤301、 管理平台生成用于管理外接设备操作权限的管控策略。 0079 其中， 用户在管理平台的操作界面设置管控策略， 并存储在管理平台的缓存区域。 说明书 4/11 页 7 CN 112035824 A 7 0080 步骤302、 管理平台从管控策略中获取每一组终端对应的管控策略， 并发送管控策 略至对应的每一组终端端。 0081 步骤303、 终端接收管理平台发送的与终端对应的管控策略。 0082 其中， 本发。

26、明实施例中的终端可以是任一组终端中的任一终端。 0083 步骤304、 终端确定有目标外接设备接入终端， 获取目标外接设备的设备类型。 0084 本实施例中的外接设备主要是通用串行总线(Universal Serial Bus， USB)， 如图 4所示， USB外接设备主要有两大类， 一类是USB的输入型设备(包括USB鼠标、 键盘、 打印机等 等)， 该类设备接入主机后仅仅用于办公， 不会有病毒威胁， 故该类型的USB外接设备需要加 白， 直接放通正常使用； 另一类是USB的存储型设备(包括U盘、 移动硬盘、 便携设备等等)， 该 类设备也属于块设备。 0085 需要说明的是， 步骤304。

27、之后， 如图3a所示可以执行步骤305， 或如图3b所示， 可以 执行步骤306-步骤307； 0086 步骤305、 若目标外接设备的设备类型为第一类型， 终端基于管控策略设置目标外 接设备的操作权限为许可目标外接设备与终端通信。 0087 其中， 本实施例中的第一类型可以是输入型， 也可以是其他无威胁性的设备类型， 在此不做限制， 目标外接设备与终端通信可以包括放通或过滤加白。 0088 步骤306、 若目标外接设备的设备类型为第二类型， 终端从管控策略中获取与第二 类型对应的第二目标操作权限。 0089 其中， 本实施例中的第二类型可以是存储型， 也可以是其他具有存储功能的块设 备类型，。

28、 在此不做限制， 终端根据确定出的设备类型， 从存储在终端缓存区上的管控策略中 获取与设备类型相对应的第二目标操作权限。 0090 步骤307、 终端设置目标外接设备的操作权限为第二目标操作权限。 0091 其中， 根据接入终端的设备类型和存储在终端缓存区中的管控策略， 确定外接设 备具体的操作权限。 0092 具体来说， 当目标外接设备为存储型设备时， 第二目标操作权限可以是放通、 禁 止、 可读或可写， 当然， 也可以是其他操作权限， 在此不做限制。 0093 需要说明的是， 本实施例中与其它实施例中相同步骤和相同内容的说明， 可以参 照其它实施例中的描述， 此处不再赘述。 0094 本发。

29、明实施例所提供的权限管理方法， 管理平台生成用于管理外接设备操作权限 的管控策略， 并发送至相应终端， 终端确定有外接设备接入， 基于管控策略和设备类型设置 外接设备的操作权限； 如此， 具有Linux操作系统的终端能够基于管理平台设置并发送的管 控策略自动设置终端的外接设备的操作权限， 不需要人为手动来设置外接设备的操作权 限， 解决了相对技术中针对Linux操作系统无法对外接设备操作权限进行自动管控的问题， 实现了对外接设备的操作权限的自动管控， 提高了对外接设备的操作权限的管控的智能 性。 0095 基于前述实施例， 本实施例提供了一种权限管理方法， 参照图5所示， 该方法可以 包括以下。

30、步骤： 0096 步骤401、 管理平台生成用于管理外接设备操作权限的管控策略。 0097 步骤402、 管理平台从管控策略中获取每一组终端对应的管控策略， 并发送管控策 说明书 5/11 页 8 CN 112035824 A 8 略至对应的每一组终端。 0098 步骤403、 终端接收管理平台发送的与终端对应的管控策略。 0099 步骤404、 终端确定有目标外接设备接入终端， 获取目标外接设备的通信数据包。 0100 其中， 确定是否有目标外接设备接入， 可以是通过监听线程来实现的； 以外接设备 包括USB设备为例进行说明， 终端接收到管控策略， 并完成配置之后会拉起一个线程， 专门 用于。

31、监听终端的USB接入的信息。 如图6所示， 具有Linux操作系统的终端的应用层上可以设 置有USB监听程序， 此时可以通过该USB监听程序来监听USB设备是否接入。 需要说明的是， 该USB监听程序可以同时监听多个USB设备。 0101 步骤405、 终端基于通信数据包的标记特征值， 确定目标外接设备的设备类型。 0102 本实施例中确定设备类型， 以USB设备为例进行说明， 如图6所示， Linux操作系统 终端的内核上设置有udev模块， 该模块通过套接(socket)接口与应用层的USB监听程序绑 定， 建立通信连接， 此时内核可以通过udev模块和USB监听程序来抓取通信数据包， 并。

32、基于 通信数据包的特征值来判断设备类型。 0103 步骤405可通过步骤405a和步骤405b来实现。 0104 步骤405a、 若标记特征值包括输入性字段， 终端确定目标外接设备的设备类型为 第一类型。 0105 如果标记特征值是输入性字段， 则终端确定目标外接设备的设备类型为输入型设 备。 其中输入性字段可以是输入(Input)字段， 当然也可以是其他能够确定出输入型设备的 字段， 在此不做限制。 0106 步骤405b、 若标记特征值包括存储性字段时， 终端确定目标外接设备的设备类型 为第二类型。 0107 如果标记特征值是存储性字段， 则终端确定目标外接设备的设备类型为存储型设 备。 。

33、其中存储型字段可以是Dev字段， 当然也可以是其他能够确定出存储型设备的字段， 在 此不做限制。 0108 这里终端获取目标外接设备的设备类型， 当然也可以通过现有技术来确定目标外 接设备的设备类型。 0109 步骤406、 若目标外接设备的设备类型为第一类型， 终端基于管控策略设置目标外 接设备的操作权限为许可目标外接设备与终端通信。 0110 步骤407、 若目标外接设备的设备类型为第二类型， 终端从管控策略中获取与第二 类型对应的第二目标操作权限。 0111 步骤408、 终端设置目标外接设备的操作权限为第二目标操作权限。 0112 基于前述实施例， 在本发明的其他实施例中， 该方法还可。

34、以包括以下步骤： 0113 步骤409、 终端获取目标外接设备的存储路径并卸载存储路径当前的挂载目录。 0114 本实施例中终端获取目标外接设备的存储路径， 具体来说， 就是终端获取目标外 接设备的盘符， 如图7所示， Linux操作系统的USB盘符分类包括： 本地主盘符和外部嵌入盘 符， 本地主盘符至少包括次盘符sad1和次盘符sad2， 外部嵌入盘符也至少包括次盘符sad1 和次盘符sad2。 基于Linux的终端安装部署时， 是可以自带图形化界面的， USB挂载的盘符是 根据插入Linux终端时的先后顺序来随机生成的， 盘符可以是sdb/sdc/sdd/， vdb/vdc/ vdd/。 。

35、说明书 6/11 页 9 CN 112035824 A 9 0115 需要说明的是， 在Linux中一切皆文件， 而对USB存储设备(包括U盘、 移动硬盘等 等)在Linux中则是统一被识别为块设备， 即插入终端后会有新目录生成， 目录中可能会存 在病毒威胁， 所以在接入具有Linux操作系统的终端时， 需要进行挂载病毒查杀， 并处置消 除后续的使用安全风险。 0116 步骤410、 终端将目标外接设备重新挂载至目标目录。 0117 本实施例中终端获取到准确的盘符后， 需要先卸载该盘符现有的挂载目录。 因为 不同系统挂载盘符不同， 需要统一为功能可控的目录， 卸载完成后重新挂载到功能指定的 目。

36、录。 0118 需要说明的是， 本发明能兼容目前绝大多数的Linux操作系统(包含centos5- centos7、 红帽5-红帽7、 suse、 ubuntu12-ubuntu16等等)， 满足几乎所有类型的Linux服务器 的管控需求。 0119 步骤411、 在目标目录下进行安全检测， 并将检测结果上传至管理平台。 0120 本实施例中的的安全检测可以是杀毒检测， 在指定的目标目录下， 基于终端的杀 毒程序， 对目标外接设备进行杀毒检测， 防止其携带的病毒威胁终端， 并将检测结果上传至 管理平台， 统一展示， 整个过程实现闭环， 消除Linux终端外接设备的安全问题。 需要说明的 是， 。

37、一旦有外接设备接入终端， 首先执行步骤409至步骤411， 即自动挂载步骤以实现外接设 备自动与终端建立通信连接。 0121 基于前述实施例， 在本发明的其它实施例中， 该方法还可以包括： 0122 步骤412、 管理平台更新用于管理外接设备操作权限的管控策略， 并将更新后的管 控策略发送至与管控策略对应的终端。 0123 本实施例中， 当管理平台的管控策略发生更新或新增策略分组时， 此时会通过套 接(socket)接口网络通讯， 将该更新的管控策略或新增的管控策略以json数据流形式同步 到对应组的终端上， 终端负责解析该json数据流， 并将数据流写入终端后台缓存区域。 0124 在本发明。

38、的其它实施例中， 针对同一组终端的外接设备的管控策略是相同的。 0125 其中， 第一组终端中的多个终端上的外接设备的管控策略是相同的， 第二组终端 中的多个终端上的外接设备的管控策略是相同的。 0126 在本发明的其他实施例中， 以外接设备为USB设备为例， 参照图8所示， 可以包括： 0127 管理平台侧， A1、 用户在策略中心用户界面(User Interface， UI)上配置USB管控 策略， 并存储在管理平台的缓存区域； A2、 将管控策略在后台配置打包下发给相应终端。 0128 终端侧， B1、 终端接收管理平台发送的管控策略； B2、 对管控策略进行配置解析； 此 时， B3。

39、、 USB监听线程检测USB设备是否接入,若监听到有USB设备接入， 确定外接设备类型； B4、 若USB设备为输入型设备， 则直接过滤加白； B5、 若USB设备为存储型设备， 根据管控策略 进行权限判断， 可以是禁用、 可读或可写。 需要说明的是， B6、 USB设备接入后， 进行自动挂载 与终端建立通信连接， 基于终端的杀毒程序进行威胁文件检测， 可以选择不处置和自动处 置两种方式中的任意一种， 检测结束之后将威胁消息日志打包， 并上报消息。 0129 管理平台侧， A3、 接收终端的上报消息， 并解析存入后台数据库； A4、 在UI实时刷 新， 展示数据库日志。 0130 在本发明的其。

40、他实施例中， 以外接设备为USB设备为例， 参照图8所示， 管理平台 (MGR)和终端(AGENT)可以是一对一或一对多的关系， 终端至少包括第一终端、 第二终端和 说明书 7/11 页 10 CN 112035824 A 10 第三终端， 其中， 第一终端和第二终端是位于第一组终端中的终端， 第三终端是位于第二组 终端中的终端。 终端和管理平台之间是通过socket通信(TCP协议)来建立长连接的。 并通过 管理平台的心跳模式(定时检测)来监控终端和管理平台之间是否还存在连接， 保持数据流 的交互。 在管理平台的操作界面上， 创建不同分组的来管控各个终端。 0131 需要说明的是， 本实施例。

41、中与其它实施例中相同步骤和相同内容的说明， 可以参 照其它实施例中的描述， 此处不再赘述。 0132 本发明实施例所提供的权限管理方法， 管理平台生成用于管理外接设备操作权限 的管控策略， 并发送至相应终端， 终端确定有外接设备接入， 获取外接设备的设备类型， 基 于管控策略和设备类型设置外接设备的操作权限； 如此， 具有Linux操作系统的终端能够基 于管理平台设置并发送的管控策略自动设置终端的外接设备的操作权限， 不需要人为手动 来设置外接设备的操作权限， 解决了相对技术中针对Linux操作系统无法对外接设备操作 权限进行自动管控的问题， 实现了对外接设备的操作权限的自动管控， 提高了对外。

42、接设备 的操作权限的管控的智能性。 0133 基于前述实施例， 本发明的实施例提供一种权限管理装置， 该装置可以应用于图 1、 图3a、 图3b和图5对应的实施例提供的一种权限管理方法中， 参照图10所示， 该装置可以 包括： 接收单元41和处理单元42， 其中： 0134 接收单元41， 用于接收管理平台发送的与终端对应的管控策略； 其中， 管控策略是 管理平台设置的用于管理外接设备的操作权限的； 0135 处理单元42， 用于确定有目标外接设备接入终端， 获取目标外接设备的设备类型， 基于管控策略和设备类型设置目标外接设备的操作权限； 其中， 终端为具有特定操作系统 的终端。 0136 在。

43、本发明的其他实施例中， 该处理单元42可以实现以下步骤： 0137 若目标外接设备的设备类型为第一类型， 基于管控策略设置目标外接设备的操作 权限为许可目标外接设备与终端通信。 0138 在本发明的其他实施例中， 该处理单元42还可以实现以下步骤： 0139 若目标外接设备的设备类型为第二类型， 从管控策略中获取与第二类型对应的第 二目标操作权限； 0140 设置目标外接设备的操作权限为第二目标操作权限。 0141 在本发明的其他实施例中， 该处理单元42还可以实现以下步骤： 0142 获取目标外接设备的通信数据包； 0143 基于通信数据包的标记特征值， 确定目标外接设备的设备类型。 014。

44、4 在本发明的其他实施例中， 该处理单元42还可以实现以下步骤： 0145 若标记特征值包括输入性字段， 确定目标外接设备的设备类型为第一类型； 0146 若标记特征值包括存储性字段， 确定目标外接设备的设备类型为第二类型。 0147 在本发明的其他实施例中， 参照图9所示， 该装置还可以包括： 获取单元43， 0148 获取单元43， 用于获取目标外接设备的存储路径并卸载存储路径当前的挂载目 录； 0149 获取单元43， 还用于将目标外接设备重新挂载至目标目录； 0150 获取单元43， 还用于在目标目录下进行安全检测， 并将检测结果上传至管理平台。 说明书 8/11 页 11 CN 11。

45、2035824 A 11 0151 需要说明的是， 本发明实施例中各个单元之间的信息交互实现过程可以参照图1、 图3a、 图3b和图5对应的实施例提供的权限管理方法中的描述， 此处不再赘述。 0152 本发明实施例所提供的权限管理装置， 具有Linux操作系统的终端能够基于管理 平台设置并发送的管控策略自动设置终端的外接设备的操作权限， 不需要人为手动来设置 外接设备的操作权限， 解决了相对技术中针对Linux操作系统无法对外接设备操作权限进 行自动管控的问题， 实现了对外接设备的操作权限的自动管控， 提高了对外接设备的操作 权限的管控的智能性。 0153 基于前述实施例， 本发明实施例提供一。

46、种权限管理装置， 该装置可以应用于图2、 图3a、 图3b和图5对应的实施例提供的一种权限管理方法中， 参照图11所示， 该装置可以包 括： 生成单元44和发送单元45， 其中： 0154 生成单元44， 生成用于管理外接设备操作权限的管控策略； 0155 发送单元45， 用于从管控策略中获取每一组终端对应的管控策略， 并发送管控策 略至对应的每一组终端； 0156 其中， 管控策略用于每一组终端基于管控策略和外接设备的设备类型设置接入的 外接设备的操作权限， 每一组终端中包括至少一个终端； 至少一个终端中的每一个终端均 为具有特定操作系统的终端。 0157 在本发明实施例中， 该发送单元45。

47、还可以实现如下步骤： 0158 更新用于管理外接设备操作权限的管控策略， 并将更新后的管控策略发送至与管 控策略对应的终端。 0159 需要说明的是， 本发明实施例中各个单元之间的信息交互实现过程可以参照图2、 图3a、 图3b和图5对应的实施例提供的权限管理方法中的描述， 此处不再赘述。 0160 本发明实施例所提供的权限管理装置， 具有Linux操作系统的终端能够基于管理 平台设置并发送的管控策略自动设置终端的外接设备的操作权限， 不需要人为手动来设置 外接设备的操作权限， 解决了相对技术中针对Linux操作系统无法对外接设备操作权限进 行自动管控的问题， 实现了对外接设备的操作权限的自动。

48、管控， 提高了对外接设备的操作 权限的管控的智能性。 0161 基于前述实施例， 本发明的实施例提供一种终端， 该终端可以应用于图1、 图3a、 图 3b和图5对应的实施例提供的一种权限管理方法中， 参照图12所示， 该终端可以包括： 第一 处理器51、 第一存储器52和第一通信总线53， 其中： 0162 第一通信总线53用于实现第一处理器51和第一存储器52之间的通信连接； 0163 第一处理器51用于运行第一存储器52中存储的程序时， 以实现以下步骤 0164 接收管理平台发送的与终端对应的管控策略； 其中， 管控策略是管理平台设置的 用于管理外接设备的操作权限的； 0165 确定有目标。

49、外接设备接入终端， 获取目标外接设备的设备类型， 基于管控策略和 设备类型设置目标外接设备的操作权限； 其中， 终端为具有特定操作系统的终端。 0166 在本发明的其他实施例中， 该第一处理器51可以实现以下步骤： 0167 若目标外接设备的设备类型为第一类型， 基于管控策略设置目标外接设备的操作 权限为许可目标外接设备与终端通信。 0168 在本发明的其他实施例中， 该第一处理器51还可以实现以下步骤： 说明书 9/11 页 12 CN 112035824 A 12 0169 若目标外接设备的设备类型为第二类型， 从管控策略中获取与第二类型对应的第 二目标操作权限； 0170 设置目标外接设。

50、备的操作权限为第二目标操作权限。 0171 在本发明的其他实施例中， 该第一处理器51还可以实现以下步骤： 0172 获取目标外接设备的通信数据包； 0173 基于通信数据包的标记特征值， 确定目标外接设备的设备类型。 0174 在本发明的其他实施例中， 该第一处理器51还可以实现以下步骤： 0175 若标记特征值包括输入性字段， 确定目标外接设备的设备类型为第一类型； 0176 若标记特征值包括存储性字段， 确定目标外接设备的设备类型为第二类型。 0177 在本发明的其他实施例中， 该第一处理器51还可以实现以下步骤： 0178 获取目标外接设备的存储路径并卸载存储路径当前的挂载目录； 01。