[发明专利]支持强制访问控制的用户提权方法

权利要求书

1.一种支持强制访问控制的用户提权方法，其特征在于具体实施步骤如下：1）预先强制将操作系统的特权程序分类并与不同的管理员角色进行关联；

2）检测普通用户的访问请求，当检测到特权操作请求时，跳转执行步骤3）；

3）对发出特权操作请求的普通用户进行身份验证，如果身份验证通过，则派生子进程，设置所述子进程的安全属性并使所述子进程的安全属性继承特权操作请求的目标特权程序所关联的管理员角色的安全属性，通过所述子进程执行目标特权程序；如果身份验证不通过，则拒绝用户的特权操作请求并退出。

2.根据权利要求1所述的支持强制访问控制的用户提权方法，其特征在于，所述步骤1）的具体实施步骤如下：

1.1）预先强制将操作系统的特权程序按功能进行分类；

1.2）根据所述特权程序的分类，将归类后的每一类特权程序分别与对应的管理员角色进行关联，得到每一个特权程序与管理员角色之间的关联关系；

1.3）将所述每一个特权程序与管理员角色之间的关联关系作为配置文件存储，且针对所述配置文件提供修改配置文件的特权程序，将修改配置文件的特权程序与指定的管理员角色进行关联，使得普通用户只有提权至指定的管理员角色才具有对所述配置文件的读写权限。

3.根据权利要求2所述的支持强制访问控制的用户提权方法，其特征在于，所述步骤1.1）中的管理员角色具体包括系统管理员、安全管理员、审计管理员三类，所述预先强制将操作系统的特权程序按功能进行分类具体是指强制将操作系统的特权程序按功能分类为由系统管理员执行、由安全管理员执行、由审计管理员执行三类。

4.根据权利要求3所述的支持强制访问控制的用户提权方法，其特征在于，所述步骤1.3）中指定的管理员角色具体是指安全管理员。

5.根据权利要求2~4中任意一项所述的支持强制访问控制的用户提权方法，其特征在于，所述步骤2）的详细实施步骤如下：

2.1）截获普通用户的访问请求，如果收到特权操作请求，则跳转执行步骤2.2），否则继续返回重新执行步骤2.1）；

2.2）触发启动C/S模式的客户端，所述C/S模式的客户端具有存储有特权程序和管理员角色之间关联关系的配置文件的只读权限；所述C/S模式的客户端读取所述存储有特权程序和管理员角色之间关联关系的配置文件，解析收到的特权操作请求并将特权操作请求的用户信息、目标特权程序、与目标特权程序关联的管理员角色通过进程间通信的方式发送给C/S模式的服务端，通过C/S模式的服务端执行步骤3）。

6.根据权利要求5所述的支持强制访问控制的用户提权方法，其特征在于：所述步骤3）具体是通过作为C/S模式的服务端的服务框架程序实现的，且所述服务框架程序的安全属性被强制控制为只能进行设置派生子进程的安全属性、执行特权程序，和操作系统的密码验证模块进行进程间通信实现对普通用户进行身份验证，以及C/S模式的客户端进行进程间通信。