信息处理方法、装置及设备

技术领域

本发明涉及计算机技术领域，尤其涉及一种信息处理方法、装置及设备。

背景技术

Linux系统的应用越来越广泛，Linux系统的系统文件和数据以文件的形式存在，文件可以包括任一种数据形成的资源，例如，图像、程序或者系统文件等。Linux系统文件的访问过程主要指访问实体也即访问进程、应用或用户等与文件之间的交互过程。

现有技术中，Linux文件可以在生成时指明文件的访问权限，将系统进程或应用程序等访问实体对文件的访问权限进行约束。通常，可以为文件设置管理信息，管理信息具体可以指文件的dentry(目录项)以及inode(索引节点)等信息，通过dentry以及inode等信文件管理信息实现文件的访问。例如，程序A访问B文件时，可以先获取B文件的目录信息，也即dentry，根据dentry获取文件名，以及该文件名对应的inode号码，通过inode号码获取inode信息，再通过inode信息获取访问权限，并基于获取的访问权限对B文件进行访问。

在系统开发或者软件开发过程中，不同访问实体对文件的访问权限不同，但是，不同访问实体可以通过更改访问路径、访问权限等方式实现文件对不同访问权限的访问，容易导致文件被恶意软件篡改、破坏或者窃取，系统抵御攻击的能力比较低。

发明内容

有鉴于此，本发明实施例提供一种信息处理方法、装置及设备，通过为系统目录设置动态标签，以实现对文件的实时访问控制，用以解决现有技术中系统文件容易被恶意软件篡改、破坏或者窃取的技术问题。

第一方面，本发明实施例提供一种信息处理方法，包括：

解析策略库文件，获得至少一个目录标签节点各自的节点信息；其中，所述策略库文件中存储有至少一个系统目录分别对应的目录标签节点的节点信息；每个目录标签节点的节点信息包括节点深度、子节点数量以及其对应系统目录的目录名称以及目录标签；

根据所述至少一个目录标签节点各自节点信息中的节点深度以及子节点数量，构建为目录标签树，获得至少一个目录标签节点；

基于每个目录标签节点对应目录名称，从操作系统当前挂载目录中，确定与每个目录标签节点相匹配的目标目录；

为所述操作系统中当前挂载的所述目标目录关联与其对应的目录标签节点；

根据所述操作系统中当前挂载的目标目录与对应目录标签节点的关联关系，控制所述操作系统中任一文件的访问过程。

第二方面，本申请实施例提供一种一种信息处理装置，包括：

文件解析模块，用于解析策略库文件，获得至少一个目录标签节点各自的节点信息；其中，所述策略库文件中存储有至少一个系统目录分别对应的目录标签节点的节点信息；每个目录标签节点的节点信息包括节点深度、子节点数量以及其对应系统目录的目录名称以及目录标签；

标签树构建模块，用于根据所述至少一个目录标签节点各自节点信息中的节点深度以及子节点数量，构建为目录标签树，获得至少一个目录标签节点；

标签匹配模块，用于基于每个目录标签节点对应目录名称，从操作系统当前挂载目录中，确定与每个目录标签节点相匹配的目标目录；

标签关联模块，用于为操作系统中当前挂载的所述目标目录关联与其对应的目录标签节点；

访问决策模块，用于根据所述操作系统中当前挂载的目标目录与对应目录标签节点的关联关系，控制所述操作系统中任一文件的访问过程。

第三方面，本申请实施例提供一种信息处理设备，包括：处理组件以及存储组件；所述存储组件存储一条或多条计算机指令；所述一条或多条计算机指令被所述处理组件调用以执行；

所述处理组件用于：

解析策略库文件，获得至少一个目录标签节点各自的节点信息；其中，所述策略库文件中存储有至少一个系统目录分别对应的目录标签节点的节点信息；每个目录标签节点的节点信息包括节点深度、子节点数量以及其对应系统目录的目录名称以及目录标签；根据所述至少一个目录标签节点各自节点信息中的节点深度以及子节点数量，构建为目录标签树，获得至少一个目录标签节点；基于每个目录标签节点对应目录名称，从操作系统当前挂载目录中，确定与每个目录标签节点相匹配的目标目录；为操作系统中当前挂载的所述目标目录关联与其对应的目录标签节点；根据所述操作系统中当前挂载的目标目录与对应目录标签节点的关联关系，控制所述操作系统中任一文件的访问过程。

本发明实施例，可以解析策略库文件，获得至少一个目标标签节点各自的节点信息。该策略库文件中存储有至少一个系统目录各自的目录标签节点的节点信息，而每个目录标签节点的节点信息中可以包括节点深度、子节点数量以及其对应系统目录的目录名称以及目录标签。通过至少一个目录标签节点各自的节点信息中的节点深度以及子节点数量，可以构建目录标签树，获得至少一个目录标签节点。每个目标标签节点为目录标签树中的节点，从而完成目录标签树的构建。从而可以基于每个目录标签节点对应的目录名称，从操作系统当前挂载目录中，确定与每个目录标签节点相匹配的目标目录。根据所述操作系统中当前挂载的目标目录与对应目录标签节点的关联关系，控制所述操作系统中任意文件的访问过程。通过目标目录与目录标签节点的关联关系可以确定被访问的任意文件的访问权限，以实现对任意文件的访问过程的实时性控制，避免对文件被恶意软件篡改、破坏或者窃取，增强系统访问的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种信息处理方法的一个实施例的流程图；

图2为本发明实施例提供的一种信息处理方法又一个实施例的流程图；

图3为本发明实施例提供的一种确定文件目录的文件目录标签节点的示例图；

图4为本发明实施例提供的一种信息处理装置的一个实施例的结构示意图；

图5为本发明实施例提供的一种信息处理设备的一个实施例的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义，“多种”一般包含至少两种，但是不排除包含至少一种的情况。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

取决于语境，如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于识别”。类似地，取决于语境，短语“如果确定”或“如果识别(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当识别(陈述的条件或事件)时”或“响应于识别(陈述的条件或事件)”。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的商品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。

本申请实施例可以应用于Linux系统的文件访问控制过程中，通过为文件设置目录标签，并在系统加载时确定各个文件对应的目录标签，通过目录标签可以动态确定当前访问请求对应的访问权限，从而确保文件访问的安全性，避免文件被篡改、破坏或者窃取。

现有技术中，Linux系统的内存中可以存储有不同访问实体对应的文件。不同访问实体对文件的访问过程不同，通常，访问实体可以查询文件的访问权限，并通过文件的访问权限对文件进行相对应的访问。在访问实体确定文件的访问权限之后，可以通过不同访问实体可以通过更改访问路径、访问权限等方式实现文件对不同访问权限的访问，容易导致文件被恶意软件篡改、破坏或者窃取，系统抵御攻击的能力比较低。

为了解决上述技术问题，本申请实施例中，在Linux系统加载时，可以解析策略库文件，获得至少一个目标标签节点各自的节点信息。该策略库文件中存储有至少一个系统目录各自的目录标签节点的节点信息，而每个目录标签节点的节点信息中可以包括节点深度、子节点数量以及其对应系统目录的目录名称以及目录标签。通过至少一个目录标签节点各自的节点信息中的节点深度以及子节点数量，可以构建目录标签树，获得至少一个目录标签节点。每个目标标签节点为目录标签树中的节点，从而完成目录标签树的构建。Linux系统加载时，即可以加载各个文件的目录，获得Linux系统当前挂载的目录，从而可以基于每个目录标签节点对应的目录名称，从操作系统当前挂载目录中，确定与每个目录标签节点相匹配的目标目录。从而可以为操作系统中当前挂载的所述目标目录关联与其对应的目录标签节点，完成目录标签与目录的关联关系的建立，进而可以根据所述操作系统中当前挂载的目标目录与对应目录标签节点的关联关系，控制所述操作系统中任意文件的访问过程。通过目标目录与目录标签节点的关联关系可以确定被访问的任意文件的访问权限，以实现对任意文件的访问过程的实时性控制，避免对文件被恶意软件篡改、破坏或者窃取，增强系统访问的安全性。

下面将结合附图对本申请实施例进行详细描述。

如图1所示，为本申请实施例提供的一种信息处理方法的一个实施例的流程图，所述方法可以包括以下几个步骤：

101：解析策略库文件，获得至少一个目录标签节点各自的节点信息。

其中，所述策略库文件中存储有至少一个系统目录分别对应的目录标签节点的节点信息；每个目录标签节点的节点信息包括节点深度、子节点数量以及其对应系统目录的目录名称以及目录标签。

本申请实施例可以主要应用于Linux系统中，由Linux系统内核组件实现本申请实施例所述的信息处理方法。

可选地，策略库文件可以预先存储于内存模块中，在Linux系统加载时可以读取策略库文件，以解析策略库文件。所述解析策略库文件，获得至少一个目录标签节点各自的节点信息可以包括：系统加载时读取策略库文件，以解析所述策略库文件，获得至少一个目录标签节点各自的节点信息。至少一个目录标签节点各自的节点信息被封装于策略库文件中。

在策略库文件中，每个目录标签节点所包含的信息可以按照一定的格式进行存储。为了便于理解，如表1所示，一个目录标签节点所包含的节点信息可以按照以下数据形式存储：

表1

策略库文件可以是按照预设数据格式并使用二进制数制编写的数据包，也即将至少一个系统目录分别对应的目录标签节点的节点信息按照预设数据格式存储为二进制文件，获得策略库文件。此时，至少一个系统目录分别对应目录标签节点的节点信息以二进制数据流的形式形成所述策略库文件。

为了便于理解，至少一个系统目录分别对应目录标签节点的节点信息形成的二进制数据流具体可以以表2所示的格式存储于策略库文件中：

表2

表1中的每个目录标签节点即指该节点对应节点信息的二进制数据。Linux系统的内核组件可以按照与数据存储格式对应的数据解析格式读取并解析策略库文件，并获得至少一个目录标签节点各自的节点信息。也即，Linux系统的内核组件可以按照数据解析格式解析策略库文件中的二进制数据流，以获得每个目录标签节点的节点信息所对应的二进制数据。所述至少一个目录标签节点各自的节点信息以二进制数据的形式存在。

Linux系统内核组件按照数据解析格式读取并解析策略库文件中的至少一个目录标签节点各自的节点信息对应二进制数据，获得至少一个目录标签节点各自的节点信息。Linux系统的内核组件具体可以使用自定义编写的解析内核按照数据解析格式读取并解析策略库文件中至少一个目录标签节点各自的节点信息对应二进制数据，以获得至少一个目录标签节点各自的节点信息。通过自定义编写内核解析组件可以实现对对应的数据格式进行读取并进行解析，以避免出现解析失败，提高解析效率。

至少一个系统目录可以是Linux系统的历史目录，至少一个系统目录可以经过目录查询、目录记录等处理步骤获得。每个系统目录的目录标签节点可以指每个目录在Linux系统的目录树中所在的目录节点。在获取至少一个系统目录之后，可以确定该目录所在目录标签节点的节点信息。其中，每个目录标签节点的节点信息可以包括：节点深度、子节点数量以及该目录标签节点对应系统目录的目录名称以及目录标签。本申请实施例中，在目录标签节点的节点信息中增加了目录标签。每个目录标签与对应的系统目录相关联，通过目录标签可以标识其对应的系统目录。

102：根据所述至少一个目录标签节点各自节点信息中的节点深度以及子节点数量，构建为目录标签树，获得至少一个目录标签节点。

根据至少一个目录标签节点各自的节点信息中的节点深度以及子节点数量可以可确定每个目录标签节点在目录标签树中的节点位置，以及每个目录标签节点的父目录标签节点以及子目录标签节点，从而将所有的目录标签节点用对应的父目录标签节点以及子目录标签节点连接起来，获得目录标签树，从而获得目录标签树上的至少一个目录标签节点。

目录标签树是由至少一个目录标签节点构成的具有相互联系和影响的表现为树状结构分布的上下、左右等协调合作构成的数据列表。目录标签树中具体可以是原有至少一个系统目录分别构建的包含目录标签的目录标签节点所形成的树状结构。

可选地，在实际应用中，可以将一系列具有相同数据类型或者不同类型的数据构成的数据集合封装到一个结构体中。本申请实施例中可以将至少一个目录标签节点的节点信息封装到标签结构体中。该标签结构体中可以包括节点名称、子节点数量、当前深度以及标签信息等数据类型，每个目录标签节点(tagnode)可以包括一个标签结构体对象(tagnode对象)，标签结构体对象的不同数据类型的取值使用对应的目录标签节点的节点信息进行赋值。也就是，每个目录标签节点的节点信息的实际取值为该目录标签节点对应的标签结构体对象中对应数据类型的取值。

根据至少一个目录标签节点各自节点信息的中节点深度以及子节点数量构建目录标签树可以包括：根据至少一个目录标签节点各自节点信息中节点深度以及子节点数量，为每个目录标签节点对应标签结构体对象进行赋值，并获得每个目录标签节点的父目录标签节点以及子目录标签节点，并根据每个目录标签节点的父目录标签节点以及子目录标签节点将至少一个标签结构体对象连接形成目录标签树，获得目录标签树上的至少一个目录标签节点。

本申请实施例中的目录标签节点(tagnode)可以包括该目录标签节点对应的标签结构体对象(tagnode对象)。通过任一目录标签节点的标签结构体对象即可以查询该目录标签节点的节点信息中包含的节点名称、子节点数量、当前深度以及标签信息等数据类型的实际取值。每个目录标签节点用其对应的父目录标签节点以及子目录标签节点连接起来，构成了目录标签树。

103：基于每个目录标签节点对应目录名称，从操作系统当前挂载目录中，确定与每个目录标签节点相匹配的目标目录。

每个目录标签节点的目录名称可以指其对应标签结构体对象中实际赋值的目录名称。操作系统加载时需要挂载系统目录，以使得目录中的各个文件正常工作，从而可以从操作系统当前挂载目录中查找与每个目录标签节点对应目录相同的目标目录名称，从而获得该目标目录名称对应的目标目录。

在Linux操作系统中，操作系统中的文件被存储到硬盘后，每个文件可以包括两方面的信息，一方面是存储的数据本身，另一方面是文件的有关组织和管理信息。每个文件都有一个dentry(目录项)和inode(索引节点)。目录项中记录文件名、上级目录等信息，以形成目录树状结构。索引节点记录文件在存储戒指上的位置以及分布，可以包括文件的属性信息，例如，文件大小、文件的UID、文件所属组的GID、文件的读写执行的权限、时间戳、链接数(子节点数量)、文件数据块(block)的位置等。该目录项以及索引节点均被封装为结构体，目录项的结构体中可以包括inode结构体对应的数据类型。本申请中所述的目录是指dentry对象，每个dentry对象可以包括一个指向文件的inode对象的指针。

操作系统当前挂载目录具体可以包括操作系统中每个文件对应的dentry对象。所述基于每个目录标签节点对应目录名称，从操作系统当前挂载目录中，确定与每个目录标签节点相匹配的目标目录具体可以是：基于每个目录标签节点(tagnode)所对应的tagnode对象中的目录名称，从操作系统当前挂载的目录对应的dentry对象中，查找与每个tagnode对象的目录名称相同的目标dentry对象，获得与每个目录标签节点相匹配的目标目录，其中，每个dentry对象可以包含目录名称。

104：为操作系统中当前挂载的所述目标目录关联与其对应的目录标签节点。

操作系统中当前挂载的目标目录对应有相应的目录标签节点，而目录标签节点的节点信息中包括目录标签。将目标目录与目录标签节点相关联，即为目标目录关联对其对应的目录标签节点的节点信息中的目录标签。

由于至少一个目录标签节点是基于至少一个系统目录分别对应的目录标签节点的节点信息，是基于解析策略库文件获得，因此，为操作系统中当前挂载的所述目标目录关联与其对应的目录标签节点建立关联关系是基于此次构建的目录标签树，此关联关系是实时建立的，可以实现动态为操作系统的目标目录关联相对应的目录标签节点，具有时效性。

在实际应用中，目录标签节点(tagnode)可以包括该目录标签节点对应的标签结构体对象(tagnode对象)。操作系统当前挂载目录具体可以包括操作系统中每个文件对应的dentry对象，而每个dentry对象可以包括一个指向文件的inode对象的指针时，为了关联目标目录与其对应的目录标签节点，可以将目录标签节点的tagnode对象的地址赋值给目标目录对应inode对象的security(安全)成员。

作为一个实施例，所述为操作系统中当前挂载的所述目标目录关联与其对应的目录标签节点可以包括：

确定每个目录标签节点对应的标签结构体对象；

将所述操作系统中当前挂载的所述目标目录对应目录标签节点的标签结构体对象的地址，赋值给所述目标目录对应索引节点(inode)对象的安全成员。

105：根据所述操作系统中当前挂载的目标目录与对应目录标签节点的关联关系，控制所述操作系统中任一文件的访问过程。

目录标签可以用于标识一个目标目录，因此，可以通过目标目录对应的目录标签确定针对该目标目录的文件的访问过程。而由于操作系统中当前挂载目录是以目录树的形式建立的关联关系，因此，任一个目标目录是目录树上的一个目录节点，而目录树是不同目录节点之间建立的存在相互联系以及影响，目录树上的目录节点可以上下左右协调合作，因此，可以利用目标目录控制目标目录周围的目录节点的文件的访问过程。

操作系统中任一文件的访问过程需要该文件对应文件目录的访问权限协同控制。为了快速而准确地确定针对任一文件的访问是否成功，可以确定该文件的文件目录，并确定文件目录对应的目录标签，根据目录标签确定该文件对应的访问权限，从而判断该文件的访问请求是否通过。

本申请实施例中，解析策略库文件，获得至少一个目标标签节点各自的节点信息。该策略库文件中存储有至少一个系统目录各自的目录标签节点的节点信息，而每个目录标签节点的节点信息中可以包括节点深度、子节点数量以及其对应系统目录的目录名称以及目录标签。通过至少一个目录标签节点各自的节点信息中的节点深度以及子节点数量，可以构建目录标签树，获得至少一个目录标签节点。每个目标标签节点为目录标签树中的节点，从而完成目录标签树的构建。Linux系统加载时，即可以加载各个文件的目录，获得Linux系统当前挂载的目录，从而可以基于每个目录标签节点对应的目录名称，从操作系统当前挂载目录中，确定与每个目录标签节点相匹配的目标目录。从而可以为操作系统中当前挂载的所述目标目录关联与其对应的目录标签节点，完成目录标签与目录的关联关系的建立，进而可以根据所述操作系统中当前挂载的目标目录与对应目录标签节点的关联关系，控制所述操作系统中任意文件的访问过程。通过目标目录与目录标签节点的关联关系可以确定被访问的任意文件的访问权限，以实现对任意文件的访问过程的实时性控制，避免对文件被恶意软件篡改、破坏或者窃取，增强系统访问的安全性。

为了提高文件获取效率，作为一个实施例，所述策略库文件可以是第三方软件解析策略文件获得；其中，所述策略文件包括至少一个策略语句；所述至少一个策略语句为基于至少一个系统目录各自的目录名称以及目录标签按照策略语法编写获得。

由于二进制文件编写效率比较低，且容易出现编写错误，可以使用第三方软件解析策略文件获得策略库文件。策略文件可以包括利用自然语言或者算术语言按照一定数据格式编写的至少一个策略语句，第三方软件可以解析策略文件中的至少一个策略语句，将至少一个策略语句编译为二进制数据流，获得策略库文件。每个策略语句可以是基于为每个系统目录的目录名称以及目录标签按照策略语法编写获得。

每个策略语句编写时可以按照一定的策略语法进行编写。按照一定的策略语法进行编写具体可以指策略语句中包含的目录名称、目录标签等信息以规定的顺序以及格式进行编写。例如，当策略语法为关键字、文件目录标签以及文件目录路径的编写顺序，当以关键字为对应的编译指令，文件目录标签以点下标的形式连接父目录与子目录，文件目录路径为常用系统目录的撰写格式等编写格式时，编写出的策略语句具体可以是：

install t.dev{,/dev,}；

install t.dev.w{,/dev/input,}；

install t.sys.public{,/system,}；

install t.sys.bin{,/system/bin,}……

以上策略语句的编写方式仅仅是示例性的，并不构成对本申请实施例技术方案的限定，策略语句的编写格式以及信息顺序可以根据实际使用需求进行调整。

如图2所示，为本申请实施例中提供的一种信息处理方法的又一个实施例的流程图，所述方法可以包括以下几个步骤：

201：解析策略库文件，获得至少一个目录标签节点各自的节点信息。

其中，所述策略库文件中存储有至少一个系统目录分别对应的目录标签节点的节点信息；每个目录标签节点的节点信息包括节点深度、子节点数量以及其对应系统目录的目录名称以及目录标签。

本申请实施例中的部分步骤与权利要求1中的步骤相同，在此不再赘述。

202：根据所述至少一个目录标签节点各自节点信息中的节点深度以及子节点数量，构建为目录标签树，获得至少一个目录标签节点。

203：基于每个目录标签节点对应目录名称，从操作系统当前挂载目录中，确定与每个目录标签节点相匹配的目标目录。

204：为操作系统中当前挂载的所述目标目录关联与其对应的目录标签节点。

205：根据所述操作系统中任一文件的访问请求，确定所述访问请求对应的访问目录。

内核组件检测到操作系统中任一文件的访问请求时，可以确定该访问请求对应的访问目录。检测针对任一文件的访问请求时，可以获取该访问请求对应的访问目录，该访问目录即为文件所在的目录。

206：查找所述操作系统中当前挂载目录与所述访问目录相匹配的文件目录。

操作系统中当前挂载目录为操作系统的所有目录。可以从操作系统当前挂载目录中查找与所述访问目录相匹配的文件目录，也就是将访问目录，与操作系统中当前的目录树关联起来，从而可以确定文件的访问请求对应的文件目录。

可选地，可以通过遍历操作系统中当前挂载的目录，从当前挂载的目录中查找与所述访问目录相匹配的文件目录。文件目录是操作系统当前挂载目录中与访问目录相匹配的已挂载的目录。

207：基于所述操作系统中当前挂载的目标目录与其对应目录标签节点的关联关系，确定所述文件目录对应的文件目录标签节点。

由于操作系统中当前挂载的目标目录与其对应目录标签节点已建立关联关系，因此，可以确定文件目录对应的目标标签节点，以获得该目录标签节点中的标签信息为文件目录的文件目录标签节点。

208：根据所述文件目录标签节点的目录标签，控制所述文件的访问过程。

可选地，可以将目录标签与访问权限相关联，所述根据文件目录标签节点的目录标签，控制所述文件的访问过程可以包括：根据文件目录标签节点的目录标签，获取与所述目录标签相关联的访问权限，基于所述访问权限判断所述文件的访问过程是否可以通过，如果是，响应所述访问的访问，如果否，则拒绝所述文件的访问。

在建立目标目录与其对应的目录标签节点的关联关系之后，当操作系统中出现针对任一文件的访问请求时，可以先不对该访问请求作出反应，并确定该文件的访问目录，从而可以查找操作系统中当前挂载目录中与该访问目录相匹配的文件目录，以基于操作系统中当前挂载的目标目录与其对应目录标签节点的关联关系，确定该文件目录的文件目录标签节点，进而可以根据文件目录标签节点的目录标签，控制该文件的访问过程。目录标签可以用于标识对应的目标目录，进而针对任一目录的访问过程可以通过目录标签来控制，利用目录标签实现对文件访问过程的约束，使得文件的访问效率以及安全性具有较大提高。

作为一个实施例，所述基于所述操作系统中当前挂载的目标目录与其对应目录标签节点的关联关系，确定所述文件目录对应文件目录标签节点可以包括：

基于所述操作系统中当前挂载的目标目录与其对应目录标签节点的关联关系，判断所述文件目录是否关联目录标签节点。

由于目标目录已关联有对应的目录标签节点，目标目录是操作系统当前挂载的目录，而文件目录是当前访问请求的访问目录实际在操作系统中需要访问的已挂载目录，因此，可以通过遍历所述操作系统中当前挂载的目标目录的方式，查找文件目录是否属于操作系统中已与对应目录标签节点建立关联关系的目标目录。也就是先查找操作系统中当前挂载的且已与目录标签节点建立关联关系的目标目录中，是否存在与文件目录相匹配的目标目录，从而判断文件目录是否关联目标标签节点。

在实际应用中，将操作系统中当前挂载的目标目录与其对应目录标签节点的关联关系具体可以指将操作系统中当前挂载的目标目录对应的inode对象的安全成员的指针指向其对应目录标签节点对应标签结构体对象的地址，以实现目标目录与其对应目录标签节点的关联。

进一步，可选地，所述基于所述操作系统中当前挂载的目标目录与其对应目录标签节点的关联关系，判断所述文件目录是否关联目录标签节点可以包括：基于所述操作系统中当前挂载的目标目录对应inode对象与其对应目录标签节点的tagnode的关联关系，查询所述文件目录在操作系统中对应挂载目录的inode对象中是否包含有标签结构体对象的信息。

所述查询所述文件目录在操作系统中对应挂载目录的inode对象中是否包含有标签结构体对象的信息可以包括：查询所述文件目录在操作系统中对应挂载目录的inode对象的security(安全)成员的指针是否指向一个标签结构体对象的地址。

在一些实施例中，如果所述文件目录关联目录标签节点，确定所述文件目录关联的目录标签节点为所述文件目录标签节点。

如果所述文件目录关联目录标签节点，确定所述文件目录关联的目录标签节点为文件目录标签节点，也即是如果文件目录关联有目录标签节点，即可以确定该文件目录在目录标签树中存在与其关联的目录标签节点，从而可以直接将目录标签节点中的目录标签与该文件目录相关联，从而可以根据目录标签控制文件目录对应文件的访问过程。

如果文件目录关联目录标签节点，也即文件目录对应的inode对象的安全成员的指针指向一个标签结构体对象的地址，从而可以确定该安全成员指向的标签结构体对象为所述文件目录标签节点。在又一些实施例中，如果所述文件目录未关联目录标签节点，且所述文件目录的父目录关联目录标签节点，基于所述文件目录的父目录关联的目录标签节点，确定所述文件目录对应的文件目录标签节点。

如果所述文件目录未关联目录标签节点，也即所述文件目录对应的inode对象的安全成员的指针未指向一个标签结构体对象的地址，可以判断该文件目录对应父目录对应的inode对象关联的标签结构体对象，确定所述文件目录对应的文件目录标签节点。可选地，判断任何一个目录的inode对象是否关联的标签结构体对象具体可以是判断目录的inode对象的安全成员的指针是否指向一个标签结构体对象的地址。

在实际应用中，一个目录的父目录具体可以指距离该目录最近的上级目录。例如，当一个目录为{,/dev/input}时，该目录的父目录即为{,/dev,}。

在某些实施例中，所述方法还可以包括：

如果所述文件目录未关联目录标签节点，且所述文件目录的父目录未关联目录标签节点，逐级向上查找所述文件目录的祖先目录，获得距离所述文件目录最近的且关联有目录标签节点的目标祖先目录，将所述目标祖先目录关联的目录标签节点作为所述文件目录的文件目录标签节点。

如果所述文明目录未关联目录标签节点，可以查询文件目录的父目录是否关联目录标签节点，如果文件目录的父目录同样未关联目录标签节点，可以查询文件目录的父目录的父目录是否关联目录标签节点，也即逐级向上查询距离文件目录最近的关联有目录标签节点祖先目录，从而可以将目标组件目录关联的目录标签节点作为该文件目录的文件目录标签节点。

可选地，逐级向上查询文件目录的祖先目录，并判断祖先目录是否关联有目录标签节点具体包括：逐级向上查询文件目录的祖先目录的inode对象，并判断祖先目录的inode对象中是否关联有标签结构体对象。如果祖先目录的inode对象中关联有标签结构体对象，则获得该目标祖先目录。

可选地，将所述目标祖先目录关联的目录标签节点作为所述文件目录的文件目录标签节点具体可以包括：将目标祖先目录的inode对象所指向的标签结构体对象赋值给所述文件目录的inode对象的安全成员，以令文件目录获得文件目录标签节点。将目标祖先目录的inode对象所指向的标签结构体对象赋值给所述文件目录的inode对象的安全成员具体可以是：将目标祖先目录的inode对象所指向的标签结构体对象的地址赋值给文件目录的inode对象的安全成员的指针。

作为一种可能的实现方式，所述如果所述文件目录未关联目录标签节点，且所述文件目录的父目录关联目录标签节点，基于所述文件目录的父目录关联的目录标签节点，确定所述文件目录对应的文件目录标签节点包括：

如果所述文件目录未关联目录标签节点，且所述文件目录的父目录关联目录标签节点，判断所述文件目录的父目录指向的子目录中是否包括所述文件目录；

如果是，将所述文件目录的父目录关联的目录标签节点作为所述文件目录标签节点；

如果否，将所述文件目录标记为其父目录的继承节点；将所述文件目录的父目录关联的目录标签节点作为所述文件目录标签节点。

可选地，将文件目录的父目录关联的目录标签节点作为文件目录标签节点可以包括：将文件目录的父目录对应inode对象中的安全成员指向的标签结构体对象赋值给该文件目录的inode对象的安全成员，以令文件目录获得文件目录标签节点。所述将文件目录的父目录对应inode对象中的安全成员指向的标签结构体对象赋值给该文件目录的inode对象的安全成员可以包括：将父目录的inode对象所指向的标签结构体对象的地址赋值给文件目录的inode对象的安全成员的指针。

在文件目录的父目录中包含目录标签节点时，可以确定文件目录的父目录的目录标签节点为文件目录的文件目录标签节点。但是，在赋值之前，可以先判断该文件目录是否为父目录记录的子目录，如果是则可以直接将文件目录的父目录对应目录标签节点作为文件目录标签节点，如果不是，可以将文件目录标记为父目录的继承节点，并将文件目录的父目录对应目录标签节点作为文件目录标签节点。通过文件目录是否为其父目录记载的子目录的判断，可以完善目录树的链接关系，使得目录树的链接策略更加准确，提高文件目录的标签查询准确度。

在上述实施例中，详细介绍了目录标签树与操作系统当前挂载的目录标签节点的关联方式，为了便于理解，如图3所示，为确定文件目录的文件目录标签节点的一个示例图，在图3所示的实施例中，所述基于所述操作系统中当前挂载的目标目录与其对应目录标签节点的关联关系，确定所述文件目录对应文件目录标签节点的具体可以通过以下几个步骤完成：

301：基于所述操作系统中当前挂载的目标目录以及与其关联的目录标签节点的关联关系，判断所述文件目录是否关联目录标签节点，如果是，执行步骤302；如果否执行步骤303；

302：确定所述文件目录关联的目录标签节点为所述文件目录标签节点。

303：判断所述文件目录的父目录关联目录标签节点，如果是，执行步骤304，如果否，执行步骤305；

304：判断所述文件目录的父目录指向的子节点中是否包括所述文件目录；如果否，执行步骤306；如果是，执行步骤307；

305：逐级向上查找所述文件目录的祖先目录，获得距离所述文件目录最近的且关联有目录标签节点的目标祖先目录，将所述目标祖先目录关联的目录标签节点作为所述文件目录的文件目录标签节点。

306：将所述文件目录标记为其父目录的继承节点，之后，执行步骤307。

307：将所述文件目录的父目录关联的目录标签节点作为所述文件目录标签节点。

作为又一个实施例，所述根据所述文件目录标签节点的目录标签，控制所述文件的访问过程可以包括：

根据所述文件目录标签节点的目录标签，确定与所述目录标签相匹配的访问权限；

基于所述访问权限，响应所述文件的访问请求，执行访问操作。

可选地，文件的访问规则，可以查询权限数据库中与文件对应目录标签相匹配的访问权限获得。在文件访问过程中，可以将文件的访问进程与文件的目录标签相结合以确定当前访问进程对应的访问操作是否可以通过。

作为一种可能的实现方式，所述根据所述文件目录标签节点的目录标签，确定与所述目录标签相匹配的访问权限可以包括：

确定所述文件的访问请求所对应的目标访问进程或目标访问行为；

从所述权限数据表中查找所述目标访问进程或所述目标访问行为对应的目标记录；其中，所述权限数据库中存储至少一个记录，每个记录包括一个访问进程或者一个访问行为在至少一个目录标签分别对应的访问权限；所述至少一个目录标签包括至少一个系统目录分别对应目录标签节点的目录标签；

从所述目标记录中查找与所述文件目录标签节点的目录标签相匹配的访问权限。

针对任一文件的访问请求可以对应一个目标访问进程或者对应一个目标访问行为，可以从权限数据库中查找与目标访问进程对应的目标记录或者从权限数据库中查询与目标访问行为对应的目标记录。权限数据库中存储至少一个记录，每个记录可以包括一个访问进程在至少一个目录标签分别对应的访问权限，或者在一个访问行为在至少一个目录标签分别对应的访问权限。在确定目标访问行为或者目标访问进程之后，可以从目录记录中查找与文件目录标签节点的目录标签相匹配的访问权限。

本申请实施例中，针对实时的文件访问请求，可以确定该文件访问请求对应文件目录的文件目录标签节点，从而可以通过权限数据库查询该文明目录标签节点的目录标签相匹配的访问权限，以根据该文件对应的访问权限控制该文件的访问过程，提高文件访问权限的查询效率并通过访问权限的设置提高文件访问的安全性。

在某些实施例中，所述基于所述访问权限，响应所述文件的访问请求，执行访问操作可以包括：

根据所述访问权限，判断所述文件的访问请求是否通过；

如果是，执行与所述访问请求相对应的访问操作；

如果否，执行拒绝访问操作。

作为又一个实施例，所述查找操作系统中当前挂载目录与所述访问目录匹配的文件目录可以包括：

遍历所述操作系统中当前挂载目录的目录名称，获得目录名称与所述访问目录的目录名称相同的文件目录。

在某些实施例中，所述解析策略库文件，获得至少一个目录标签节点各自的节点信息之前，还包括：

基于驱动组件加载所述策略库文件。

驱动组件加载策略库文件时，可以根据不同的文件访问时机确定，也可以根据用户的访问权限确定。例如，当用户未对操作系统执行文件修改、打开等访问操作时，可以不加载策略库文件，并不执行本申请实施例所述的信息处理方法，当用户对文件执行访问操作时，可以加载策略库文件并执行本申请实施例所述的信息处理方法。

为了确保策略的安全使用，在一种可能的设计中，所述基于驱动组件，加载所述策略库文件可以包括：

获取驱动组件的进程标识；

如果所述进程标识满足启动条件，基于所述驱动组件，加载所述策略库文件。

所述策略库文件可以在系统启动过程中加载，在系统启动过程中，可以启动驱动组件，并获取所述驱动组件的进程标识，当所述进程标识满足启动条件时，可以基于所述驱动组件，加载所述策略库文件。驱动组件时通过进程启动，所述驱动组件的进程标识可以通过标识查看命令或者标识查看函数查看。例如，Linux系统可以通过标识查看函数getpid(获取进程标识)查看进程标识。

所述进程标识满足启动条件可以包括：所述进程标识为root标识，例如，0代表root用户时，所述进程标识为0。

根据进程的进程标识可以确定启动该进程的用户是普通用户还是超级管理员用户，也即root用户，如果是普通用户则可以不启动策略文件的加载，不执行本申请实施例所述的信息处理方法；如果是root用户可以加载策略库文件，执行本申请实施例所述的信息处理方法。

在某些实施例中，所述基于驱动组件，加载所述策略库文件包括：

在所述操作系统启动时，基于所述驱动组件，加载所述策略库文件。

所述策略库文件可以在操作系统启动过程中，启动驱动组件，通过驱动组件加载所述策略库文件。在启动驱动组件之后，可以对驱动组件的进程标识进行启动判断，以确认所述驱动组件是否有权限启动所述策略库文件。

策略库文件被存储于系统内存中，在系统中未存储策略库文件时，所述策略库文件可以通过以下方式存储于内存中：

在所述操作系统安装过程中，启动安全容器；

利用所述安全容器，获取所述策略库文件并存储。

安全容器是开发者用于提供额外的安全层的一系列进程，通常与系统其他内容进行隔离，通过安全容器获取策略库文件并存储，以便于后续的加载过程，可以提高策略库文件的安全性，确保策略库文件不被篡改。

所述安全容器可以获取所述策略库文件并存储于系统内存。所述策略库文件存储于系统内存之后，在需要对策略库文件更新时，作为一种可能的实现方式，可以在操作系统运行期期间对所述策略库文件更新，例如，可以在操作系统运行期间使用热补丁的方式对所述策略库文件进行更新。通过在操作系统运行期期间更新可以在不影响操作系统使用情况下更新，提高更新效率。

但是，在运行期间更新时，策略库文件由于主要用于文件的访问判断，容易导致在更新期间被恶意访问，导致系统文件的安全性降低，因此，可以禁止在系统运行期间更新所述策略库文件，此时，可以将策略库文件的更新随操作系统的更新而更新，也即在操作系统更新的同时对策略库文件进行更新，以提高更新期间操作系统的安全性。

作为一种可能的实现方式，在系统更新时，所述方法还可以包括：

确定包含所述策略库文件对应第一更新数据以及所述操作系统对应第二更新数据的系统数据包；

在所述操作系统满足更新条件时，运行所述系统数据包，以利用所述第一更新数据对所述策略库文件进行更新，以及利用所述第二数据对所述操作系统进行更新。

将策略库文件的第一更新数据封装于操作系统的系统数据包中，可以在操作系统更新的同时对策略库文件进行更新。

如图4所示，为本申请实施例提供的一种信息处理装置的一个实施例的结构示意图，所述装置可以包括以下几个模块：

文件解析模块401：用于解析策略库文件，获得至少一个目录标签节点各自的节点信息。

其中，所述策略库文件中存储有至少一个系统目录分别对应的目录标签节点的节点信息；每个目录标签节点的节点信息包括节点深度、子节点数量以及其对应系统目录的目录名称以及目录标签。

标签树构建模块402：用于根据所述至少一个目录标签节点各自节点信息中的节点深度以及子节点数量，构建为目录标签树，获得至少一个目录标签节点。

标签匹配模块403：用于基于每个目录标签节点对应目录名称，从操作系统当前挂载目录中，确定与每个目录标签节点相匹配的目标目录。

标签关联模块404：用于为操作系统中当前挂载的所述目标目录关联与其对应的目录标签节点。

访问决策模块405：用于根据所述操作系统中当前挂载的目标目录与对应目录标签节点的关联关系，控制所述操作系统中任一文件的访问过程。

本发明实施例，可以解析策略库文件，获得至少一个目标标签节点各自的节点信息。该策略库文件中存储有至少一个系统目录各自的目录标签节点的节点信息，而每个目录标签节点的节点信息中可以包括节点深度、子节点数量以及其对应系统目录的目录名称以及目录标签。通过至少一个目录标签节点各自的节点信息中的节点深度以及子节点数量，可以构建目录标签树，获得至少一个目录标签节点。每个目标标签节点为目录标签树中的节点，从而完成目录标签树的构建。从而可以基于每个目录标签节点对应的目录名称，从操作系统当前挂载目录中，确定与每个目录标签节点相匹配的目标目录。根据所述操作系统中当前挂载的目标目录与对应目录标签节点的关联关系，控制所述操作系统中任意文件的访问过程。通过目标目录与目录标签节点的关联关系可以确定被访问的任意文件的访问权限，以实现对任意文件的访问过程的实时性控制，避免对文件被恶意软件篡改、破坏或者窃取，增强系统访问的安全性。

作为一个实施例，所述访问决策模块可以包括：

目录确定单元，用于根据所述操作系统中任一文件的访问请求，确定所述访问请求对应的访问目录。

目录匹配单元，用于查找所述操作系统中当前挂载目录与所述访问目录匹配的文件目录。

节点确定单元，用于基于所述操作系统中当前挂载的目标目录与其对应目录标签节点的关联关系，确定所述文件目录对应的文件目录标签节点。

访问控制单元，用于根据所述文件目录标签节点的目录标签，控制所述文件的访问过程。

在某些实施例中，所述节点确定单元可以包括：

关联判断子单元，用于基于所述操作系统中当前挂载的目标目录以及与其关联的目录标签节点的关联关系，判断所述文件目录是否关联目录标签节点。

第一结果子单元，用于如果所述文件目录关联目录标签节点，确定所述文件目录关联的目录标签节点为所述文件目录标签节点。

第二结果子单元，用于如果所述文件目录未关联目录标签节点且所述文件目录的父目录关联目录标签节点，基于所述文件目录的父目录关联的目录标签节点，确定所述文件目录对应的文件目录标签节点。

作为一个实施例，所述节点确定模块还可以包括：

第三结果子单元，用于如果所述文件目录未关联目录标签节点且所述文件目录的父目录未关联目录标签节点，逐级向上查找所述文件目录的祖先目录，获得距离所述文件目录最近的且关联有目录标签节点的目标祖先目录，将所述目标祖先目录关联的目录标签节点作为所述文件目录的文件目录标签节点。

作为一种可能的实现方式，所述第二结果子单元可以包括：

第一判断模块，用于如果所述文件目录未关联目录标签节点，且所述文件目录的父目录关联有目录标签节点，判断所述文件目录的父目录指向的子节点中是否包括所述文件目录；

第一关联模块，用于如果是，将所述文件目录的父目录关联的目录标签节点作为所述文件目录标签节点；

第二关联模块，用于如果否，将所述文件目录标记为其父目录的继承节点，将所述文件目录的父目录关联的目录标签节点作为所述文件目录标签节点。

作为一个实施例，所述访问控制单元可以包括：

权限确定子单元，用于根据所述文件目录标签节点的目录标签，确定与所述目录标签相匹配的访问权限。

访问控制子单元，用于基于所述访问权限，响应所述文件的访问请求，执行访问操作。

作为一种可能的实现方式，所述权限确定子单元可以包括：

访问确定模块，用于确定所述文件的访问请求所对应的目标访问进程或目标访问行为；

记录查询模块，用于从所述权限数据库中查找所述目标访问进程或所述目标访问行为对应的目标记录；其中，所述权限数据库中存储至少一个记录；每个记录为一个访问进程或者一个访问行为在至少一个目录标签分别对应的访问权限；所述至少一个目录标签包括至少一个系统目录分别对应目录标签节点的目录标签；

权限查询模块，用于从所述目标记录中查找与所述文件目录标签节点的目录标签相匹配的访问权限。

作为又一种可能的实现方式，所述访问控制子单元可以包括：

权限访问模块，用于根据所述访问权限，判断所述文件的访问请求是否通过；

第一访问模块，用于如果是，执行与所述访问请求相对应的访问操作；

第二访问模块，用于如果否，执行拒绝访问操作。

在某些实施例中，所述目录匹配单元可以包括：

目录匹配子单元，用于遍历所述操作系统中当前挂载目录的目录名称，获得目录名称与所述访问目录的目录名称相同的文件目录。

作为一种可能的实现方式，所述标签关联模块可以包括：

对象确定单元，用于确定每个目录标签节点对应的标签结构体对象。

对象关联单元，用于将所述操作系统中当前挂载的所述目标目录对应目录标签节点的标签结构体对象的地址，赋值给所述目标目录的索引节点对象的安全成员。

在某些实施例中，所述策略库文件为第三方软件解析策略文件获得；其中，所述策略文件包括至少一个策略语句；所述至少一个策略语句为基于至少一个系统目录各自的目录名称以及目录标签按照策略语法编写获得。

为一个实施例，所述装置还可以包括：

文件加载模块，用于基于驱动组件加载所述策略库文件。

作为一种可能的实现方式，所述文件加载模块可以包括：

第一加载单元，用于在操作系统启动时，基于所述驱动组件，加载所述策略库文件。

作为又一种可能的实现方式，所述文件加载模块可以包括：

标识获取单元，用于获取所述驱动组件的进程标识。

标识判断单元，用于如果所述进程标识满足启动条件，基于所述驱动组件，加载所述策略库文件。

作为又一个实施例，所述策略库文件通过以下方式存储于设备内存中：

在所述操作系统安装过程中，启动安全容器；利用所述安全容器获取所述策略库文件并存储。

为了实现安全更新，所述装置还可以包括：

确定包含所述策略库文件对应第一更新数据以及所述操作系统对应第二更新数据的系统数据包；

在所述操作系统满足更新条件时，运行所述系统数据包，以利用所述第一更新数据对所述策略库文件进行更新，以及利用所述第二更新数据对所述操作系统进行更新。

图4所述的信息处理装置可以执行图1～图3的实施例所述的信息处理方法，其实现原理和技术效果不再赘述。对于上述实施例中的信息处理装置其中的各个模块、单元、子单元所执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

在实际应用中，图4所示的信息处理装置可以实现为一信息处理设备，如图5所示，为本申请实施例提供的一种信息处理设备的一个实施例的结构示意图，所述设备可以包括：处理组件501以及存储组件502；所述存储组件502存储一条或多条计算机指令；所述一条或多条计算机指令被所述处理组件501调用以执行；

所述处理组件501用于：

解析策略库文件，获得至少一个目录标签节点各自的节点信息；其中，所述策略库文件中存储有至少一个系统目录分别对应的目录标签节点的节点信息；每个目录标签节点的节点信息包括节点深度、子节点数量以及其对应系统目录的目录名称以及目录标签；根据所述至少一个目录标签节点各自节点信息中的节点深度以及子节点数量，构建为目录标签树，获得至少一个目录标签节点；基于每个目录标签节点对应目录名称，从操作系统当前挂载目录中，确定与每个目录标签节点相匹配的目标目录；为操作系统中当前挂载的所述目标目录关联与其对应的目录标签节点；根据所述操作系统中当前挂载的目标目录与对应目录标签节点的关联关系，控制所述操作系统中任一文件的访问过程。

可选地，所述存储组件502还用于存储策略库文件。

本发明实施例，可以解析策略库文件，获得至少一个目标标签节点各自的节点信息。该策略库文件中存储有至少一个系统目录各自的目录标签节点的节点信息，而每个目录标签节点的节点信息中可以包括节点深度、子节点数量以及其对应系统目录的目录名称以及目录标签。通过至少一个目录标签节点各自的节点信息中的节点深度以及子节点数量，可以构建目录标签树，获得至少一个目录标签节点。每个目标标签节点为目录标签树中的节点，从而完成目录标签树的构建。从而可以基于每个目录标签节点对应的目录名称，从操作系统当前挂载目录中，确定与每个目录标签节点相匹配的目标目录。根据所述操作系统中当前挂载的目标目录与对应目录标签节点的关联关系，控制所述操作系统中任意文件的访问过程。通过目标目录与目录标签节点的关联关系可以确定被访问的任意文件的访问权限，以实现对任意文件的访问过程的实时性控制，避免对文件被恶意软件篡改、破坏或者窃取，增强系统访问的安全性。

作为一个实施例，所述处理组件根据所述操作系统中当前挂载的目标目录与对应目录标签节点的关联关系，控制所述操作系统中任一文件的访问过程具体可以是：

根据所述操作系统中任一文件的访问请求，确定所述访问请求对应的访问目录；

查找所述操作系统中当前挂载目录与所述访问目录匹配的文件目录；

基于所述操作系统中当前挂载的目标目录与其对应目录标签节点的关联关系，确定所述文件目录对应的文件目录标签节点；

根据所述文件目录标签节点的目录标签，控制所述文件的访问过程。

在某些实施例中，所述处理组件基于所述操作系统中当前挂载的目标目录以及与其对应目录标签节点的关联关系，确定所述文件目录对应的文件目录标签节点具体可以是：

基于所述操作系统中当前挂载的目标目录以及与其关联的目录标签节点的关联关系，判断所述文件目录是否关联目录标签节点；

如果所述文件目录关联目录标签节点，确定所述文件目录关联的目录标签节点为所述文件目录标签节点；

如果所述文件目录未关联目录标签节点且所述文件目录的父目录关联目录标签节点，基于所述文件目录的父目录关联的目录标签节点，确定所述文件目录对应的文件目录标签节点。

作为一个实施例，所述处理组件还可以用于：

如果所述文件目录未关联目录标签节点且所述文件目录的父目录未关联目录标签节点，逐级向上查找所述文件目录的祖先目录，获得距离所述文件目录最近的且关联有目录标签节点的目标祖先目录，将所述目标祖先目录关联的目录标签节点作为所述文件目录的文件目录标签节点。

作为一种可能的实现方式，所述处理组件处理如果所述文件目录未关联目录标签节点，且所述文件目录的父目录关联目录标签节点，基于所述文件目录的父目录关联的目录标签节点，确定所述文件目录对应的文件目录标签节点具体可以是：

如果所述文件目录未关联目录标签节点，且所述文件目录的父目录关联有目录标签节点，判断所述文件目录的父目录指向的子节点中是否包括所述文件目录；

如果是，将所述文件目录的父目录关联的目录标签节点作为所述文件目录标签节点；

如果否，将所述文件目录标记为其父目录的继承节点，将所述文件目录的父目录关联的目录标签节点作为所述文件目录标签节点。

作为一个实施例，所述处理组件根据所述文件目录标签节点的目录标签，控制所述文件的访问过程具体可以是：

根据所述文件目录标签节点的目录标签，确定与所述目录标签相匹配的访问权限；

基于所述访问权限，响应所述文件的访问请求，执行访问操作。

作为一种可能的实现方式，所述处理组件基于所述访问权限，响应所述文件的访问请求，执行访问操作具体可以是：

根据所述访问权限，判断所述文件的访问请求是否通过；

如果是，执行与所述访问请求相对应的访问操作；

如果否，执行拒绝访问操作。

作为又一种可能的实现方式，所述处理组件根据所述文件目录标签节点的目录标签，确定与所述目录标签相匹配的访问权限具体可以是：

确定所述文件的访问请求所对应的目标访问进程或目标访问行为；

从所述权限数据库中查找所述目标访问进程或所述目标访问行为对应的目标记录；其中，所述权限数据库中存储至少一个记录；每个记录为一个访问进程或者一个访问行为在至少一个目录标签分别对应的访问权限；所述至少一个目录标签包括至少一个系统目录分别对应目录标签节点的目录标签；

从所述目标记录中查找与所述文件目录标签节点的目录标签相匹配的访问权限。

在某些实施例中，所述处理组件查找所述操作系统中当前挂载目录与所述访问目录匹配的文件目录具体可以是：

遍历所述操作系统中当前挂载目录的目录名称，获得目录名称与所述访问目录的目录名称相同的文件目录。

作为一种可能的实现方式，所述处理组件为操作系统中当前挂载的所述目标目录关联与其对应的目录标签节点具体可以是：

确定每个目录标签节点对应的标签结构体对象；

将所述操作系统中当前挂载的所述目标目录对应目录标签节点的标签结构体对象的地址，赋值给所述目标目录的索引节点对象的安全成员。

在某些实施例中，所述策略库文件为第三方软件解析策略文件获得；其中，所述策略文件包括至少一个策略语句；所述至少一个策略语句为基于至少一个系统目录各自的目录名称以及目录标签按照策略语法编写获得。

作为一个实施例，所述处理组件还可以用于：

基于驱动组件加载所述策略库文件。

可选地，所述处理组件基于驱动组件，加载所述策略库文件具体可以是：

在所述操作系统启动时，基于所述驱动组件，加载所述策略库文件。

作为一种可能的实现方式，所述处理组件基于驱动组件，加载所述策略库文件具体可以是：

获取所述驱动组件的进程标识；如果所述进程标识满足启动条件，基于所述驱动组件，加载所述策略库文件。

作为一个实施例，所述处理组件通过以下装置将策略库文件存储于系统内存中：在所述操作系统安装过程中，启动安全容器；利用所述安全容器获取所述策略库文件并存储。

作为一种可能的实现方式，所述处理组件还可以用于：

确定包含所述策略库文件对应第一更新数据以及所述操作系统对应第二更新数据的系统数据包；在所述操作系统满足更新条件时，运行所述系统数据包，以利用所述第一更新数据对所述策略库文件进行更新，以及利用所述第二更新数据对所述操作系统进行更新。

图5所述的信息处理设备可以执行图1～图3所述实施例的信息处理方法，其实现原理和技术效果不再赘述。对于上述实施例中的信息处理设备其中的处理组件所执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

此外，本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令存储有计算机指令，当所述计算机指令被一个或多个处理器执行时，致使所述一个或多个处理器执行如前述任一实施例所述的信息处理方法。

实施例未详细描述的部分，可参考对图1～图3所示实施例的相关说明。该技术方案的执行过程和技术效果参见图1～图3所示实施例中的描述，在此不再赘述。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助加必需的通用硬件平台的方式来实现，当然也可以通过硬件和软件结合的方式来实现。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以计算机产品的形式体现出来，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。