【技术实现步骤摘要】
一种操作系统用户权限管理方法及系统
[0001]本专利技术涉及计算机安全
,具体提供一种操作系统用户权限管理方法及系统
。
技术介绍
[0002]目前,主流的操作系统用户权限管理方法主要基于自主访问控制(
Discretionary Access Control, DAC
)或强制访问控制(
Mandatory Access Control
,
MAC
)来实现
。
基于
DAC
的用户权限管理方法通过
uid
(
user identification
,用户标识)和
gid
(
group identification
,组标识)来限制某个文件的可访问用户和可访问用户组,其中可访问权限指该系统文件的读
、
写和执行权限
。
基于
MAC
的用户权限管理方法通过对系统中的用户
、
角色
、>主体和客体进行标记本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种操作系统用户权限管理方法,其特征在于,包括步骤:
S1
:定制系统标记和用户放行规则,存储在当前操作系统对应的设备上;
S2
:响应于用户处理操作系统中任意文件的处理动作,获取当前处理动作下的处理数据;
S3
:根据所述处理数据和操作系统预存的用户放行规则,判断是否允许本次处理动作执行
。2.
根据权利要求1所述的一种操作系统用户权限管理方法,其特征在于,所述用户放行规则包括命令执行规则和数据访问规则;所述命令执行规则表示限制用户命令执行权限的规则,所述命令执行表示用户对可执行文件的执行操作,所述可执行文件包括脚本文件和二进制文件,所述命令执行权限包括在所有应用场景中限制命令执行和在指定应用场景中限制命令执行;所述数据访问规则表示限制用户数据访问权限的规则,所述数据访问表示用户对数据文件的访问操作,所述访问操作指除执行操作外的所有其它操作
。3.
根据权利要求2所述的一种操作系统用户权限管理方法,其特征在于,所述定制系统标记包括定制主体标记和定制客体标记,所述主体标记包括主体标签
、
用户标签和角色标签,所述客体标记包括客体标签;定制主体标签包括,为操作系统中所有可执行文件定制用来表示所述可执行文件被执行时所对应的进程的标签;定制用户标签包括,为每个用户定制用来表示不同用户身份的标签;定制角色标签包括,为每个用户下的若干角色定制用来表示不同角色的标签;定制客体标签包括,为操作系统中的所有文件定制用来表示不同文件的标签
。4.
根据权利要求2所述的一种操作系统用户权限管理方法,其特征在于,所述处理数据包括角色标签
、
主体标签
、
客体标签
、
客体类别和处理操作;所述处理操作包括执行操作或访问操作;所述角色标签表示当前用户所对应的角色标签;所述主体标签表示当处理操作为执行操作时,被处理的可执行文件对应的进程标签;所述客体标签表示被访问的数据文件所对应的客体标签;所述客体类别表示被访问的数据文件的类型
。5.
根据权利要求1所述的一种操作系统用户权限管理方法,其特征在于,所述步骤
S2
包括:当发生处理动作时,通过内核钩子函数从
cred
进程结构体中获取处理数据
。6.
根据权利要求4所述的一种操作系统用户权限管理方法,其特征在于,所...
【专利技术属性】
技术研发人员:冷春莹,杨诏钧,田冬冬,屈宁,魏立峰,孔金珠,谌志华,
申请(专利权)人:麒麟软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。