[发明专利]一种操作系统用户权限管理方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，特别是涉及一种操作系统用户权限管理方法及系统。

背景技术

随着信息技术和网络技术的发展，信息安全日益受到重视，而操作系统作为应用软件的基础，其安全性受到越来越多的重视。为提高操作系统的安全性，需要从多方面对操作系统的安全性进行增强，其中，用户授权方法是保障和提高操作系统安全性的关键技术之一，所谓授权，是指将操作系统中的权限恰当地授予给操作系统的主体(用户或者进程)，使主体能够访问权限内的数据和执行权限内的操作。

比如，目前主流的服务器操作系统Linux系统，现有技术中对Linux系统采用的安全机制是：将用户划分为普通用户和超级用户，对普通用户限制其权限，仅对其保留最基本的权限；对超级用户，具有系统的所有权限；当普通用户要执行特权应用时，设置普通用户临时获得所有权限。然而该安全机制存在如下弊端，若恶意的用户获得超级用户权限时，具有所有权限，整个系统都会被恶意控制。

因此，提出一种应用于操作系统权限管理的安全机制，进一步提高操作系统的安全性，就成为本领域技术人员需要解决的技术问题。

发明内容

本发明的目的是提供一种操作系统用户权限管理方法及系统，将操作系统用户设置不同角色，各角色具有预设的操作权限，实现对用户权限的限制，与现有技术相比，可提高操作系统的安全性。

为实现上述目的，本发明提供如下技术方案：

一种操作系统用户权限管理方法，包括：

读取用户输入的用户信息，根据所述用户信息验证所述用户是否为合法用户；

当验证所述用户为合法用户时，获取所述用户的角色信息；

根据所述用户的角色获取本角色对应的权限信息，根据权限信息为所述用户分配操作权限。

可选地，所述当验证所述用户为合法用户时，获取所述用户的角色信息包括：

当验证所述用户为合法用户时，利用用户名或者用户标识号读取用户信息配置文件，获取所述用户的角色信息。

可选地，所述根据所述用户的角色获取本角色对应的权限信息包括：

利用角色信息读取角色信息配置文件，获取本角色对应的权限信息。

可选地，还包括：设置用户的角色，以及与角色对应的权限信息。

可选地，用户的角色包括系统管理员、安全管理员、审计管理员和缺省管理员；

所述系统管理员对应的操作权限包括：允许执行网络管理任务、允许使用原始套接字、允许重新启动系统、允许插入和删除内核模块、允许执行系统管理任务、允许改变系统时钟和允许文件及日志写操作；

所述安全管理员对应的操作权限包括：允许改变进程的组ID、允许改变进程的用户ID和允许文件及日志写操作；

所述审计管理员对应的操作权限包括：允许文件及日志控制操作和允许文件及日志写操作；

所述缺省管理员对应的操作权限包括：允许文件及日志写操作。

一种操作系统用户权限管理系统，包括：

验证模块，用于读取用户输入的用户信息，根据所述用户信息验证所述用户是否为合法用户；

角色获取模块，用于当验证所述用户为合法用户时，获取所述用户的角色信息；

权限分配模块，用于根据所述用户的角色获取本角色对应的权限信息，根据权限信息为所述用户分配操作权限。

可选地，所述角色获取模块具体用于，当验证所述用户为合法用户时，利用用户名或者用户标识号读取用户信息配置文件，获取所述用户的角色信息。

可选地，所述权限分配模块用于根据所述用户的角色获取本角色对应的权限信息包括：

所述权限分配模块具体用于利用角色信息读取角色信息配置文件，获取本角色对应的权限信息。

可选地，还包括角色设置模块，用于设置用户的角色，以及与角色对应的权限信息。

可选地，用户的角色包括系统管理员、安全管理员、审计管理员和缺省管理员；

所述系统管理员对应的操作权限包括：允许执行网络管理任务、允许使用原始套接字、允许重新启动系统、允许插入和删除内核模块、允许执行系统管理任务、允许改变系统时钟和允许文件及日志写操作；

所述安全管理员对应的操作权限包括：允许改变进程的组ID、允许改变进程的用户ID和允许文件及日志写操作；

所述审计管理员对应的操作权限包括：允许文件及日志控制操作和允许文件及日志写操作；

所述缺省管理员对应的操作权限包括：允许文件及日志写操作。