本發(fā)明涉及信息安全技術(shù)領(lǐng)域，特別是涉及一種操作系統(tǒng)用戶權(quán)限管理方法及系統(tǒng)。

背景技術(shù)：

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，信息安全日益受到重視，而操作系統(tǒng)作為應(yīng)用軟件的基礎(chǔ)，其安全性受到越來越多的重視。為提高操作系統(tǒng)的安全性，需要從多方面對(duì)操作系統(tǒng)的安全性進(jìn)行增強(qiáng)，其中，用戶授權(quán)方法是保障和提高操作系統(tǒng)安全性的關(guān)鍵技術(shù)之一，所謂授權(quán)，是指將操作系統(tǒng)中的權(quán)限恰當(dāng)?shù)厥谟杞o操作系統(tǒng)的主體(用戶或者進(jìn)程)，使主體能夠訪問權(quán)限內(nèi)的數(shù)據(jù)和執(zhí)行權(quán)限內(nèi)的操作。

比如，目前主流的服務(wù)器操作系統(tǒng)Linux系統(tǒng)，現(xiàn)有技術(shù)中對(duì)Linux系統(tǒng)采用的安全機(jī)制是：將用戶劃分為普通用戶和超級(jí)用戶，對(duì)普通用戶限制其權(quán)限，僅對(duì)其保留最基本的權(quán)限；對(duì)超級(jí)用戶，具有系統(tǒng)的所有權(quán)限；當(dāng)普通用戶要執(zhí)行特權(quán)應(yīng)用時(shí)，設(shè)置普通用戶臨時(shí)獲得所有權(quán)限。然而該安全機(jī)制存在如下弊端，若惡意的用戶獲得超級(jí)用戶權(quán)限時(shí)，具有所有權(quán)限，整個(gè)系統(tǒng)都會(huì)被惡意控制。

因此，提出一種應(yīng)用于操作系統(tǒng)權(quán)限管理的安全機(jī)制，進(jìn)一步提高操作系統(tǒng)的安全性，就成為本領(lǐng)域技術(shù)人員需要解決的技術(shù)問題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是提供一種操作系統(tǒng)用戶權(quán)限管理方法及系統(tǒng)，將操作系統(tǒng)用戶設(shè)置不同角色，各角色具有預(yù)設(shè)的操作權(quán)限，實(shí)現(xiàn)對(duì)用戶權(quán)限的限制，與現(xiàn)有技術(shù)相比，可提高操作系統(tǒng)的安全性。

為實(shí)現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：

一種操作系統(tǒng)用戶權(quán)限管理方法，包括：

讀取用戶輸入的用戶信息，根據(jù)所述用戶信息驗(yàn)證所述用戶是否為合法用戶；

當(dāng)驗(yàn)證所述用戶為合法用戶時(shí)，獲取所述用戶的角色信息；

根據(jù)所述用戶的角色獲取本角色對(duì)應(yīng)的權(quán)限信息，根據(jù)權(quán)限信息為所述用戶分配操作權(quán)限。

可選地，所述當(dāng)驗(yàn)證所述用戶為合法用戶時(shí)，獲取所述用戶的角色信息包括：

當(dāng)驗(yàn)證所述用戶為合法用戶時(shí)，利用用戶名或者用戶標(biāo)識(shí)號(hào)讀取用戶信息配置文件，獲取所述用戶的角色信息。

可選地，所述根據(jù)所述用戶的角色獲取本角色對(duì)應(yīng)的權(quán)限信息包括：

利用角色信息讀取角色信息配置文件，獲取本角色對(duì)應(yīng)的權(quán)限信息。

可選地，還包括：設(shè)置用戶的角色，以及與角色對(duì)應(yīng)的權(quán)限信息。

可選地，用戶的角色包括系統(tǒng)管理員、安全管理員、審計(jì)管理員和缺省管理員；

所述系統(tǒng)管理員對(duì)應(yīng)的操作權(quán)限包括：允許執(zhí)行網(wǎng)絡(luò)管理任務(wù)、允許使用原始套接字、允許重新啟動(dòng)系統(tǒng)、允許插入和刪除內(nèi)核模塊、允許執(zhí)行系統(tǒng)管理任務(wù)、允許改變系統(tǒng)時(shí)鐘和允許文件及日志寫操作；

所述安全管理員對(duì)應(yīng)的操作權(quán)限包括：允許改變進(jìn)程的組ID、允許改變進(jìn)程的用戶ID和允許文件及日志寫操作；

所述審計(jì)管理員對(duì)應(yīng)的操作權(quán)限包括：允許文件及日志控制操作和允許文件及日志寫操作；

所述缺省管理員對(duì)應(yīng)的操作權(quán)限包括：允許文件及日志寫操作。

一種操作系統(tǒng)用戶權(quán)限管理系統(tǒng)，包括：

驗(yàn)證模塊，用于讀取用戶輸入的用戶信息，根據(jù)所述用戶信息驗(yàn)證所述用戶是否為合法用戶；

角色獲取模塊，用于當(dāng)驗(yàn)證所述用戶為合法用戶時(shí)，獲取所述用戶的角色信息；

權(quán)限分配模塊，用于根據(jù)所述用戶的角色獲取本角色對(duì)應(yīng)的權(quán)限信息，根據(jù)權(quán)限信息為所述用戶分配操作權(quán)限。

可選地，所述角色獲取模塊具體用于，當(dāng)驗(yàn)證所述用戶為合法用戶時(shí)，利用用戶名或者用戶標(biāo)識(shí)號(hào)讀取用戶信息配置文件，獲取所述用戶的角色信息。

可選地，所述權(quán)限分配模塊用于根據(jù)所述用戶的角色獲取本角色對(duì)應(yīng)的權(quán)限信息包括：

所述權(quán)限分配模塊具體用于利用角色信息讀取角色信息配置文件，獲取本角色對(duì)應(yīng)的權(quán)限信息。

可選地，還包括角色設(shè)置模塊，用于設(shè)置用戶的角色，以及與角色對(duì)應(yīng)的權(quán)限信息。

可選地，用戶的角色包括系統(tǒng)管理員、安全管理員、審計(jì)管理員和缺省管理員；

所述系統(tǒng)管理員對(duì)應(yīng)的操作權(quán)限包括：允許執(zhí)行網(wǎng)絡(luò)管理任務(wù)、允許使用原始套接字、允許重新啟動(dòng)系統(tǒng)、允許插入和刪除內(nèi)核模塊、允許執(zhí)行系統(tǒng)管理任務(wù)、允許改變系統(tǒng)時(shí)鐘和允許文件及日志寫操作；

所述安全管理員對(duì)應(yīng)的操作權(quán)限包括：允許改變進(jìn)程的組ID、允許改變進(jìn)程的用戶ID和允許文件及日志寫操作；

所述審計(jì)管理員對(duì)應(yīng)的操作權(quán)限包括：允許文件及日志控制操作和允許文件及日志寫操作；

所述缺省管理員對(duì)應(yīng)的操作權(quán)限包括：允許文件及日志寫操作。

由上述技術(shù)方案可知，本發(fā)明所提供的操作系統(tǒng)用戶權(quán)限管理方法及系統(tǒng)，根據(jù)用戶輸入的用戶信息驗(yàn)證要登錄的用戶是否合法，當(dāng)驗(yàn)證所述用戶為合法用戶時(shí)，獲取用戶的角色信息，進(jìn)一步根據(jù)用戶的角色獲取對(duì)應(yīng)的權(quán)限信息，為所述用戶分配操作權(quán)限。

本發(fā)明操作系統(tǒng)用戶權(quán)限管理方法及系統(tǒng)，將操作系統(tǒng)用戶設(shè)置不同角色，各角色具有預(yù)設(shè)的操作權(quán)限，實(shí)現(xiàn)對(duì)用戶權(quán)限的限制，與現(xiàn)有技術(shù)相比，可提高操作系統(tǒng)的安全性。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例提供的一種操作系統(tǒng)用戶權(quán)限管理方法的流程圖；

圖2為本發(fā)明實(shí)施例提供的一種操作系統(tǒng)用戶權(quán)限管理系統(tǒng)的示意圖。

具體實(shí)施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明中的技術(shù)方案，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。

請(qǐng)參考圖1，本發(fā)明實(shí)施例提供的一種操作系統(tǒng)用戶權(quán)限管理方法，包括步驟：

S10：讀取用戶輸入的用戶信息，根據(jù)所述用戶信息驗(yàn)證所述用戶是否為合法用戶。

用戶登錄時(shí)，讀取用戶輸入的用戶信息，根據(jù)讀取到的用戶信息，包括用戶名、用戶標(biāo)識(shí)號(hào)以及用戶密碼等，驗(yàn)證所要登錄的該用戶是否存在，是否為合法用戶。

當(dāng)驗(yàn)證所述用戶信息不正確時(shí)，返回錯(cuò)誤信息。

當(dāng)驗(yàn)證所述用戶信息正確時(shí)，所述用戶為合法用戶，能夠成功登錄操作系統(tǒng)。

S11：當(dāng)驗(yàn)證所述用戶為合法用戶時(shí)，獲取所述用戶的角色信息。

具體本實(shí)施例中，當(dāng)驗(yàn)證所述用戶為合法用戶時(shí)，利用用戶名或者用戶標(biāo)識(shí)號(hào)讀取用戶信息配置文件，獲取所述用戶的角色信息。

本方法中設(shè)置用戶信息配置文件，示例性的，用戶信息配置文件的格式為：user_name；user_id；role_id1，role_id2；其中，user_name為用戶名，user_id為用戶標(biāo)識(shí)號(hào)，role_id為與用戶關(guān)聯(lián)的角色標(biāo)識(shí)號(hào)。當(dāng)驗(yàn)證用戶為合法用戶時(shí)，利用用戶名或者用戶標(biāo)識(shí)號(hào)讀取用戶信息配置文件，獲得用戶的角色信息，例如其角色標(biāo)識(shí)號(hào)。

具體可以在系統(tǒng)登錄的認(rèn)證函數(shù)中，比如pam_sm_open_session()中添加對(duì)配置文件的讀取函數(shù)，當(dāng)驗(yàn)證用戶為合法用戶時(shí)，將用戶名或者用戶標(biāo)識(shí)號(hào)存入user中。

S12：根據(jù)所述用戶的角色獲取本角色對(duì)應(yīng)的權(quán)限信息，根據(jù)權(quán)限信息為所述用戶分配操作權(quán)限。

具體本實(shí)施例中，在獲得所述用戶的角色信息后，利用角色信息讀取角色信息配置文件，獲取本角色對(duì)應(yīng)的權(quán)限信息。

本方法中，設(shè)置角色信息配置文件，示例性的，角色信息配置文件的格式為：role_name；role_id；；cap_description；其中，role_name為角色名，role_id為角色標(biāo)識(shí)號(hào)，cap_description是對(duì)該角色能力權(quán)限的描述。獲得所述用戶的角色信息，如角色標(biāo)識(shí)號(hào)后，利用角色標(biāo)識(shí)號(hào)讀取角色信息配置文件，獲得該角色對(duì)應(yīng)的權(quán)限信息。

具體可以在系統(tǒng)登錄的認(rèn)證函數(shù)中添加對(duì)角色信息配置文件的讀取，通過上步驟讀取用戶信息配置文件，獲得用戶的角色標(biāo)識(shí)號(hào)后，將用戶的角色標(biāo)識(shí)號(hào)存入role info中，則在本步驟中通過讀取角色信息配置文件，獲得角色對(duì)應(yīng)的權(quán)限信息。

在獲得用戶角色對(duì)應(yīng)的權(quán)限信息后，根據(jù)權(quán)限信息為所述登錄用戶分配操作權(quán)限。示例性的，可通過函數(shù)capset()為用戶分配權(quán)限。

在一種具體實(shí)施例中，用戶的角色包括系統(tǒng)管理員、安全管理員、審計(jì)管理員和缺省管理員；

其中，系統(tǒng)管理員角色與root用戶關(guān)聯(lián)，安全管理員角色與secadm用戶關(guān)聯(lián)，審計(jì)管理員角色與audadm用戶關(guān)聯(lián)，缺省管理員角色與普通用戶關(guān)聯(lián)。各角色能力集如下：

所述系統(tǒng)管理員(sysadm_r)對(duì)應(yīng)的操作權(quán)限包括：允許執(zhí)行網(wǎng)絡(luò)管理任務(wù)(CAP_NET_ADMIN)、允許使用原始套接字(CAP_NET_RAW)、允許重新啟動(dòng)系統(tǒng)(CAP_SYS_BOOT)、允許插入和刪除內(nèi)核模塊(CAP_SYS_MODULE)、允許執(zhí)行系統(tǒng)管理任務(wù)(CAP_SYS_ADMIN)、允許改變系統(tǒng)時(shí)鐘(CAP_SYS_TIME)、允許文件及日志寫操作(CAP_AUDIT_WRITE)。其中，允許執(zhí)行系統(tǒng)管理任務(wù)包括加載或卸載文件系統(tǒng)、設(shè)置磁盤配額等。

所述安全管理員(secadm_r)對(duì)應(yīng)的操作權(quán)限包括：允許改變進(jìn)程的組ID(CAP_SETGID)、允許改變進(jìn)程的用戶ID(CAP_SETUID)、允許文件及日志寫操作(CAP_AUDIT_WRITE)。

所述審計(jì)管理員(audadm_r)對(duì)應(yīng)的操作權(quán)限包括：允許文件及日志控制操作(CAP_AUDIT_CONTROL)、允許文件及日志寫操作(CAP_AUDIT_WRITE)。其中允許文件及日志控制操作包括寫、刪除等操作。

所述缺省管理員(guest_r)對(duì)應(yīng)的操作權(quán)限包括：允許文件及日志寫操作(CAP_AUDIT_WRITE)。

本實(shí)施方式中，將現(xiàn)有的超級(jí)用戶權(quán)限分散，將超級(jí)用戶能力分配給三個(gè)管理員角色，每個(gè)角色都只有部分權(quán)限，通過用戶與角色關(guān)聯(lián)，并且角色相互之間形成權(quán)限制約，從而保證系統(tǒng)安全。

本實(shí)施例操作系統(tǒng)用戶權(quán)限管理方法，還包括：設(shè)置用戶的角色，以及與角色對(duì)應(yīng)的權(quán)限信息。

操作系統(tǒng)用戶在注冊(cè)時(shí)，可設(shè)置用戶角色，當(dāng)角色確定，用戶對(duì)應(yīng)的操作權(quán)限確定。在用戶登錄操作系統(tǒng)的過程中，通過上述方法為登錄用戶選擇其默認(rèn)設(shè)置的角色，為其分配與角色對(duì)應(yīng)的操作權(quán)限，用戶只能訪問權(quán)限內(nèi)的數(shù)據(jù)和執(zhí)行權(quán)限內(nèi)的操作。

在實(shí)際應(yīng)用中，可通過PAM模塊在用戶登錄過程中實(shí)現(xiàn)該方法。

本實(shí)施例操作系統(tǒng)用戶權(quán)限管理方法，將操作系統(tǒng)用戶設(shè)置不同角色，用戶與角色關(guān)聯(lián)，角色與權(quán)限關(guān)聯(lián)，各角色具有預(yù)設(shè)的操作權(quán)限，這樣將現(xiàn)有技術(shù)中的超級(jí)用戶的權(quán)限分散，每個(gè)角色都只有部分權(quán)限，從而可提高操作系統(tǒng)的安全性。

相應(yīng)的，請(qǐng)參考圖2，本發(fā)明實(shí)施例還提供一種操作系統(tǒng)用戶權(quán)限管理系統(tǒng)，包括：

驗(yàn)證模塊20，用于讀取用戶輸入的用戶信息，根據(jù)所述用戶信息驗(yàn)證所述用戶是否為合法用戶；

角色獲取模塊21，用于當(dāng)驗(yàn)證所述用戶為合法用戶時(shí)，獲取所述用戶的角色信息；

權(quán)限分配模塊22，用于根據(jù)所述用戶的角色獲取本角色對(duì)應(yīng)的權(quán)限信息，根據(jù)權(quán)限信息為所述用戶分配操作權(quán)限。

可以看出，本實(shí)施例操作系統(tǒng)用戶權(quán)限管理系統(tǒng)，包括驗(yàn)證模塊、角色獲取模塊和權(quán)限分配模塊，根據(jù)用戶輸入的用戶信息驗(yàn)證要登錄的用戶是否合法，當(dāng)驗(yàn)證所述用戶為合法用戶時(shí)，獲取用戶的角色信息，進(jìn)一步根據(jù)用戶的角色獲取對(duì)應(yīng)的權(quán)限信息，為所述用戶分配操作權(quán)限。

本實(shí)施例操作系統(tǒng)用戶權(quán)限管理系統(tǒng)，將操作系統(tǒng)用戶設(shè)置不同角色，各角色具有預(yù)設(shè)的操作權(quán)限，實(shí)現(xiàn)對(duì)用戶權(quán)限的限制，與現(xiàn)有技術(shù)相比，可提高操作系統(tǒng)的安全性。

本實(shí)施例操作系統(tǒng)用戶權(quán)限管理系統(tǒng)，應(yīng)用在用戶登錄過程中，為認(rèn)證成功的用戶，根據(jù)其角色分配操作權(quán)限。

其中，驗(yàn)證模塊20讀取用戶輸入的用戶信息，根據(jù)所述用戶信息驗(yàn)證所述用戶是否為合法用戶。用戶輸入的用戶信息包括用戶名、用戶標(biāo)識(shí)號(hào)以及用戶密碼等，根據(jù)用戶信息驗(yàn)證所要登錄的該用戶是否存在，是否為合法用戶。

當(dāng)驗(yàn)證所述用戶信息不正確時(shí)，返回錯(cuò)誤信息。

當(dāng)驗(yàn)證所述用戶信息正確時(shí)，所述用戶為合法用戶，能夠成功登錄操作系統(tǒng)。

角色獲取模塊21，用于當(dāng)驗(yàn)證所述用戶為合法用戶時(shí)，獲取所述用戶的角色信息，具體包括：所述角色獲取模塊21具體用于，當(dāng)驗(yàn)證所述用戶為合法用戶時(shí)，利用用戶名或者用戶標(biāo)識(shí)號(hào)讀取用戶信息配置文件，獲取所述用戶的角色信息。

本系統(tǒng)中設(shè)置用戶信息配置文件，示例性的，用戶信息配置文件的格式為：user_name；user_id；role_id1，role_id2；其中，user_name為用戶名，user_id為用戶標(biāo)識(shí)號(hào)，role_id為與用戶關(guān)聯(lián)的角色標(biāo)識(shí)號(hào)。當(dāng)驗(yàn)證用戶為合法用戶時(shí)，利用用戶名或者用戶標(biāo)識(shí)號(hào)讀取用戶信息配置文件，獲得用戶的角色信息，例如其角色標(biāo)識(shí)號(hào)。

具體可以在系統(tǒng)登錄的認(rèn)證函數(shù)中，比如pam_sm_open_session()中添加對(duì)配置文件的讀取函數(shù)，當(dāng)驗(yàn)證用戶為合法用戶時(shí)，將用戶名或者用戶標(biāo)識(shí)號(hào)存入user中。

權(quán)限分配模塊22，用于根據(jù)所述用戶的角色獲取本角色對(duì)應(yīng)的權(quán)限信息，根據(jù)權(quán)限信息為所述用戶分配操作權(quán)限，具體包括：所述權(quán)限分配模塊22具體用于利用角色信息讀取角色信息配置文件，獲取本角色對(duì)應(yīng)的權(quán)限信息。

本系統(tǒng)中，設(shè)置角色信息配置文件，示例性的，角色信息配置文件的格式為：role_name；role_id；；cap_description；其中，role_name為角色名，role_id為角色標(biāo)識(shí)號(hào)，cap_description是對(duì)該角色能力權(quán)限的描述。獲得所述用戶的角色信息，如角色標(biāo)識(shí)號(hào)后，利用角色標(biāo)識(shí)號(hào)讀取角色信息配置文件，獲得該角色對(duì)應(yīng)的權(quán)限信息。

具體可以在系統(tǒng)登錄的認(rèn)證函數(shù)中添加對(duì)角色信息配置文件的讀取，通過角色獲取模塊21讀取用戶信息配置文件，獲得用戶的角色標(biāo)識(shí)號(hào)后，將用戶的角色標(biāo)識(shí)號(hào)存入role info中，則本權(quán)限分配模塊22通過讀取角色信息配置文件，獲得角色對(duì)應(yīng)的權(quán)限信息。

在獲得用戶角色對(duì)應(yīng)的權(quán)限信息后，權(quán)限分配模塊22根據(jù)權(quán)限信息為所述登錄用戶分配操作權(quán)限。示例性的，可通過函數(shù)capset()為用戶分配權(quán)限。

在一種具體實(shí)施例中，用戶的角色包括系統(tǒng)管理員、安全管理員、審計(jì)管理員和缺省管理員；

其中，系統(tǒng)管理員角色與root用戶關(guān)聯(lián)，安全管理員角色與secadm用戶關(guān)聯(lián)，審計(jì)管理員角色與audadm用戶關(guān)聯(lián)，缺省管理員角色與普通用戶關(guān)聯(lián)。各角色能力集如下：

所述系統(tǒng)管理員(sysadm_r)對(duì)應(yīng)的操作權(quán)限包括：允許執(zhí)行網(wǎng)絡(luò)管理任務(wù)(CAP_NET_ADMIN)、允許使用原始套接字(CAP_NET_RAW)、允許重新啟動(dòng)系統(tǒng)(CAP_SYS_BOOT)、允許插入和刪除內(nèi)核模塊(CAP_SYS_MODULE)、允許執(zhí)行系統(tǒng)管理任務(wù)(CAP_SYS_ADMIN)、允許改變系統(tǒng)時(shí)鐘(CAP_SYS_TIME)、允許文件及日志寫操作(CAP_AUDIT_WRITE)。其中，允許執(zhí)行系統(tǒng)管理任務(wù)包括加載或卸載文件系統(tǒng)、設(shè)置磁盤配額等。

所述安全管理員(secadm_r)對(duì)應(yīng)的操作權(quán)限包括：允許改變進(jìn)程的組ID(CAP_SETGID)、允許改變進(jìn)程的用戶ID(CAP_SETUID)、允許文件及日志寫操作(CAP_AUDIT_WRITE)。

所述審計(jì)管理員(audadm_r)對(duì)應(yīng)的操作權(quán)限包括：允許文件及日志控制操作(CAP_AUDIT_CONTROL)、允許文件及日志寫操作(CAP_AUDIT_WRITE)。其中允許文件及日志控制操作包括寫、刪除等操作。

所述缺省管理員(guest_r)對(duì)應(yīng)的操作權(quán)限包括：允許文件及日志寫操作(CAP_AUDIT_WRITE)。

本實(shí)施例操作系統(tǒng)用戶權(quán)限管理系統(tǒng)，還包括角色設(shè)置模塊，用于設(shè)置用戶的角色，以及與角色對(duì)應(yīng)的權(quán)限信息。

操作系統(tǒng)用戶在注冊(cè)時(shí)，可設(shè)置用戶角色，當(dāng)角色確定，用戶對(duì)應(yīng)的操作權(quán)限確定。在用戶登錄操作系統(tǒng)的過程中，通過本系統(tǒng)為登錄用戶選擇其默認(rèn)設(shè)置的角色，為其分配與角色對(duì)應(yīng)的操作權(quán)限，用戶只能訪問權(quán)限內(nèi)的數(shù)據(jù)和執(zhí)行權(quán)限內(nèi)的操作。

以上對(duì)本發(fā)明所提供的一種操作系統(tǒng)用戶權(quán)限管理方法及系統(tǒng)進(jìn)行了詳細(xì)介紹。本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述，以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想。應(yīng)當(dāng)指出，對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以對(duì)本發(fā)明進(jìn)行若干改進(jìn)和修飾，這些改進(jìn)和修飾也落入本發(fā)明權(quán)利要求的保護(hù)范圍內(nèi)。