一种系统权限管理方法、设备及计算机可读存储介质与流程

1.本发明涉及信息安全技术领域，特别是涉及一种系统权限管理方法、设备及计算机可读存储介质。


背景技术：

2.通用引导加载程序全称是universal boot loader，简称：u-boot。它是boot loader的一种，主要用于引导启动内核。通用引导加载程序的最终目的就是从存储介质中读取内核至内存中，然后启动内核。为了完成最终启动内核的目的，通用引导加载程序需要对硬件进行初始化，主要包括设置处理器为svc模式、关闭看门狗、屏蔽中断、初始化dram、设置栈、设置时钟、从flash拷贝代码至内存、清除bss段等。
3.随着信息技术和网络技术的发展，信息安全日益受到重视，通用引导加载程序作为引导启动内核的基础，其安全性能受到越来越多的重视。为了提高通用引导加载程序的安全性，需要从多方面对通用引导加载程序的安全性进行增强，现有的技术中，采用单一的密码验证形式，多人使用同一密码进入通用引导加载程序，若恶意的用户获得密码之后，具有所有权限，通用引导加载程序会受到恶意控制，会造成极大的安全隐患。
4.因此，提出一种有助于提升操作系统(全称为：operating system，简称：os)的安全性的系统权限管理方法已经成为本领域需要解决的技术问题。


技术实现要素：

5.基于此，有必要针对上述技术问题，提供一种能够增强系统安全性、可实现系统个性化定制的系统权限管理方法、设备及计算机可读存储介质。
6.一方面，提供一种系统权限管理方法，所述方法包括：接收用户提交的进入通用引导加载程序请求，提示用户输入密码；接收用户输入密码，判断密码正误及密码级别；若判定用户输入密码正确，则基于密码级别获取所述密码级别对应的用户权限；其中，不同的密码级别之间的用户权限可切换。
7.进一步地，所述密码级别包括管理员密码(简称为：super password)和/或游客密码(简称为：user password)；若所述用户输入密码为管理员密码，则判定用户为管理员，可行使管理员权限；若所述用户输入密码为游客密码，则判定用户为游客，可行使游客权限。
8.进一步地，所述管理员权限和游客权限通过切换命令切换；其中：若由管理员权限切换至游客权限，则用户在游客权限内包括：当前管理员分配的游客权限。
9.进一步地，当操作系统状态异常时，默认用户输入密码为管理员密码时有效，用户输入密码为游客密码时无效。
10.进一步地，所述管理员权限包括：访问、重设任一设备信息、重设和/或增设游客密码及分配游客权限；所述游客权限包括：查看所有或部分设备信息，和/或修改部分设备信息。
11.进一步地，所述密码的设置规则为：所述密码的数据信息不得与最近若干次的密
码的数据信息相同；所述密码的长度包括8-20个字符；所述密码包括英文字母、数字、特殊符号；其中，所述英文字母包括大写英文字母和/或小写英文字母。
12.进一步地，所述密码通过32位循环冗余校验算法(全称为：32bit cyclic redundancy check，简称：crc32)加密；所述密码存储于带电可擦可编程只读存储器(全称为：electrically erasable programmable read only memory，简称：eeprom)；所述带电可擦可编程只读存储器外挂于系统级芯片(全称为：system on chip，简称：soc)端，且所述带电可擦可编程只读存储器的写保护位(即wp位)由复杂可编程逻辑器件(全称为：complex programmable logic device，简称：cpld)控制。
13.进一步地，若所述用户输入密码为管理员密码、且未启动操作系统时，触发写保护控制逻辑机制；其中，所述写保护控制逻辑机制包括：通过所述复杂可编程逻辑器件关闭带电可擦可编程只读存储器的写保护功能，以使得带电可擦可编程只读存储器可以被读写。
14.另一方面，提供了一种系统权限管理设备，所述设备包括：密码验证模块，以用于读取用户输入的密码，验证密码正误及密码级别；权限分配模块，用于根据所述密码级别获取密码级别对应的权限信息，根据所述权限信息为用户分配操作权限。
15.又一方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：接收用户提交的进入通用引导加载程序请求，提示用户输入密码；接收用户输入密码，判断密码正误及密码级别；若判定用户输入密码正确，则基于密码级别获取所述密码级别对应的用户权限；其中，不同的密码级别之间的用户权限可切换。
16.上述系统权限管理方法、设备及计算机可读存储介质，通过接收用户提交的进入通用引导加载程序请求，提示用户输入密码；接收用户输入密码，判断密码正误及密码级别；若判定用户输入密码正确，则基于密码级别获取所述密码级别对应的用户权限。通过设定不同的密码级别，增强了系统的安全性。采用管理员密码使得用户可以在系统启动的过程中实现对系统的个性化定制，从而进一步增强了系统在同类竞品中的差异性和竞争力。
附图说明
17.图1为一个实施例中系统权限管理方法的流程示意图(一)；
18.图2为一个实施例中密码设置步骤的流程示意图；
19.图3为一个实施例中系统权限管理方法的流程示意图(二)；
20.图4为另一个实施例中触发写保护控制逻辑机制的流程示意图；
21.图5为一个实施例中系统权限管理设备的结构框图。
具体实施方式
22.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
23.实施例一
24.在一个实施例中，如图1所示，提供了一种系统权限管理方法，该方法包括：系统上电之后，若用户没有发出进入通用引导加载程序请求，则直接进入操作系统。若接收到用户
提交的进入通用引导加载程序请求，则提示客户输入密码，根据接收到的用户输入的密码，判断密码的正误，若用户连续3次输入密码错误，则直接退出通用引导加载程序。若用户在3次及以内输入密码正确，则进一步判定用户输入密码的密码级别，其中密码级别分为管理员密码和游客密码。
25.如果判定用户输入密码的密码级别为管理员密码，触发写保护控制逻辑机制。其中，写保护控制逻辑机制包括：通过所述复杂可编程逻辑器件关闭带电可擦可编程只读存储器的写保护功能，以使得带电可擦可编程只读存储器可以被读写。其中，带电可擦可编程只读存储器外挂于系统级芯片端，且带电可擦可编程只读存储器的写保护位由复杂可编程逻辑器件控制。此时，判定用户拥有管理员权限，用户具有以下权限但是不限于以下权限：访问、重设任一设备信息，及重设和/或增设游客密码；在进入到操作系统之后，复杂可编程逻辑器件开启带电可擦可编程只读存储器的写保护功能，不再相应任何软件、系统及模块对写保护功能的设置。
26.如果判定用户输入密码的密码级别为游客密码，则认定此时用户拥有游客权限，此时用户可以行使以下权限：查看所有或部分设备信息，和/或修改部分设备信息。具体地，游客可以行使的权限由管理员决定，即为拥有管理员权限的用户决定。
27.本实施例中，管理员权限和游客权限可以通过命令进行切换。具体地，可以通过switchpass命令完成管理员权限和游客权限的切换。其中，若由管理员权限切换至游客权限时，则用户在游客权限内不包括：当前管理员包括的重设设备信息的管理员权限。即在权限切换之前，用户在管理员权限下设置的相关内容信息，切换到游客权限之后保持不变，但需要注意的是，在游客权限下不能对新的内容信息进行设置。
28.本实施例中，用户输入密码的密码级别为管理员密码时，即当前用户拥有管理员权限时，用户可以重设和/或增设游客密码、及重新设管理员密码。具体地，设置游客密码和/或管理员密码的具体流程如图2所示。用户输入管理员密码进入密码设置界面，用户选择设置的密码级别为游客密码或管理员密码。
29.在一个具体的实施例中，游客密码的设置流程如下：首先判断重设的游客密码的长度是否满足要求，即要求游客密码的字符最多不超过20个，最少不低于8个；若判定游客密码的长度满足重设要求，则进一步地判断游客密码是否满足复杂度要求，即要求游客密码需要同时包括大小写英文字母、数字和特殊符号；若判定游客密码满足复杂度要求，则进一步地判断游客密码是否满足新颖性要求，即判断该游客密码是否与最近3次内的游客密码和管理员密码一致，若游客密码与最近3次内的游客密码和管理员密码均不相同，则通过32位循环冗余校验算法对游客密码进行加密并将加密之后的游客密码存储至带电可擦可编程只读存储器。至此，游客密码的设置完成。其中，密码的数据信息即为密码包含的字符、数字字母的具体内容及排列形式。需要理解的是，若游客密码的长度、复杂度及新颖性中其一不满足要求，则退出密码设置，并提示用户密码设置失败，只有在满足上述三项要求，即游客密码的长度、复杂度及新颖性均满足设置要求时，才判定游客密码设置成功。其中，管理员密码的设置过程与上述游客密码设置过程类似，故此处不予赘述。
30.在一个实施例中，当操作系统状态异常时，默认用户输入密码为管理员密码时有效，用户输入密码为游客密码时无效。即当操作系统无法启动时，即使用户输入正确的游客密码，此时用户也无法进入通用引导加载程序，无法启动操作系统；其原因在于，当操作系
统无法启动时即表示需要管理员进入通用引导加载程序对操作系统信息数据进行重新配置，而只有管理员可以进入通用引导加载程序对操作系统信息数据进行重新配置，即只有用户在拥有管理员权限的情况下，才可以进入通用引导加载程序对操作系统进行设置操作，有利于提升操作系统的安全性。
31.需要理解的是，本领域的技术人员可以根据实际情况选择合适的密码长度；可以根据实际情况对密码的复杂度提出更高的要求；同样地，对于密码的新颖性，本领域的技术人员也可以具体情况具体分析，本实施例仅仅提供一种参考方案。
32.实施例二
33.在一个实施例中，如图3所示，提供一种系统权限管理方法，所述方法包括：接收用户提交的进入通用引导加载程序请求，提示用户输入密码；接收用户输入密码，判断密码正误及密码级别；若判定用户输入密码正确，则基于密码级别获取所述密码级别对应的用户权限；其中，不同的密码级别之间的用户权限可切换。
34.本实施例中，所述密码级别包括管理员密码和/或游客密码；若所述用户输入密码为管理员密码，则判定用户为管理员，可行使管理员权限；若所述用户输入密码为游客密码，则判定用户为游客，可行使游客权限。
35.本实施例中，所述管理员权限和游客权限可以通过命令切换；其中：若由管理员权限切换至游客权限，则用户在游客权限内不包括：当前管理员包括的重设设备信息的管理员权限。即用户拥有管理员权限时设置的相关设备信息，当用户切换至游客权限时，用户在游客权限下不能对相关设备信息进行新的修改作业，而是只拥有查询、遍历设备信息的权限，此时游客查询、遍历设备信息的权限与切换至游客之前的管理员权限一致。需要理解的是，若用户由游客权限切换至管理员权限，则同样地，此时用户拥有的管理员权限与用户为游客时拥有的游客权限一致，而不具备可以修改设备信息、增设/删除游客数据信息等为管理员独有的管理员权限，进一步地讲，即使用户由游客权限切换至管理员权限，此时用户依然不能享有通过管理员密码进入通用引导加载程序的管理员享有的管理员权限，而当前用户仅仅享有当前的游客权限。
36.本实施例中，所述管理员权限包括：访问、重设任一设备信息、重设和/或增设游客密码及分配游客权限；所述游客权限包括：查看所有或部分设备信息，和/或修改部分设备信息。
37.本实施例中，所述密码的设置规则为：所述密码的数据信息不得与最近3次的密码的数据信息相同；所述密码的长度包括8-20个字符；所述密码包括英文字母、数字、特殊符号；其中，所述英文字母包括大写英文字母和/或小写英文字母。
38.本实施例中，所述密码通过32位循环冗余校验算法加密；所述密码存储于带电可擦可编程只读存储器；所述带电可擦可编程只读存储器外挂于系统级芯片端，且所述带电可擦可编程只读存储器的写保护位由复杂可编程逻辑器件控制。
39.本实施例中，若所述用户输入密码为管理员密码、且未启动操作系统时，触发写保护控制逻辑机制。写保护控制逻辑机制包括：通过所述复杂可编程逻辑器件关闭带电可擦可编程只读存储器的写保护功能，以使得带电可擦可编程只读存储器可以被读写。其中，触发写保护控制逻辑机制的流程如图4所示。
40.本实施例中，当操作系统状态异常时，默认用户输入密码为管理员密码时有效，用
户输入密码为游客密码时无效。
41.应该理解的是，虽然图1-2的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1-2中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
42.实施例三
43.在一个实施例中，如图5所示，提供了一种系统权限管理设备，所述设备包括：密码验证模块，以用于读取用户输入的密码，验证密码正误及密码级别；权限分配模块，用于根据所述密码级别获取密码级别对应的权限信息，根据所述权限信息为用户分配操作权限。
44.本实施例中，密码验证模块用于读取用户输入的密码，包括验证密码的正误及密码级别，其中，验证密码的正误主要包括：若用户输入密码正确则进一步对用户输入密码的密码级别进行判定；若用户连续3次输入密码错误，则直接退出通用引导加载程序。
45.本实施例中，所述密码级别包括管理员密码和/或游客密码；若所述用户输入密码为管理员密码，则判定用户为管理员，可行使管理员权限；若所述用户输入密码为游客密码，则判定用户为游客，可行使游客权限。其中，所述管理员权限包括：访问、重设任一设备信息、重设和/或增设游客密码分配所述游客权限；所述游客权限包括：查看所有或部分设备信息，和/或修改部分设备信息。若所述用户输入密码为管理员密码、且未启动操作系统时，触发写保护控制逻辑机制；其中，所述写保护控制逻辑机制包括：通过所述复杂可编程逻辑器件关闭带电可擦可编程只读存储器的写保护功能，以使得带电可擦可编程只读存储器可以被读写。
46.在一个具体的实施例中，一种系统权限管理设备还包括密码设置模块，以用于用户增设/重设密码。其中，密码设置的规则为：所述密码的数据信息不得与最近3次的密码的数据信息相同；所述密码的长度包括8-20个字符；所述密码包括大写英文字母和/或小写英文字母、数字、特殊符号。
47.本实施例中，所述密码通过32位循环冗余校验算法加密；所述密码存储于带电可擦可编程只读存储器；所述带电可擦可编程只读存储器外挂于系统级芯片端，且所述带电可擦可编程只读存储器的写保护位由复杂可编程逻辑器件控制。
48.关于设备的具体限定可以参见上文中对于系统权限管理方法的限定，在此不再赘述。上述系统权限管理设备中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
49.实施例四
50.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：接收用户提交的进入通用引导加载程序请求，提示用户输入密码；接收用户输入密码，判断密码正误及密码级别；若判定用户输入密码正确，则基于密码级别获取所述密码级别对应的用户权限；不同密码级别之间的用户权限之间的
切换。
51.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：通过命令切换不同密码级别之间的用户权限。其中：若由管理员权限切换至游客权限，则用户在游客权限内包括：当前管理员分配的游客权限。
52.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：验证密码级别。其中：所述密码级别包括管理员密码和/或游客密码；若所述用户输入密码为管理员密码，则判定用户为管理员，可行使管理员权限；若所述用户输入密码为游客密码，则判定用户为游客，可行使游客权限。其中，所述管理员权限包括：访问、重设任一设备信息、重设和/或增设游客密码分配所述游客权限；所述游客权限包括：查看所有或部分设备信息，和/或修改部分设备信息。
53.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：设置密码。其中，密码的设置规则为：所述密码的数据信息不得与最近3次的密码的数据信息相同；所述密码的长度包括8-20个字符；所述密码包括英文字母、数字、特殊符号；其中，所述英文字母包括大写英文字母和/或小写英文字母。
54.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：根据密码级别进行下一步工作程。具体地，若所述用户输入密码为管理员密码、且未启动操作系统时，触发写保护控制逻辑机制；其中，所述写保护控制逻辑机制包括：通过所述复杂可编程逻辑器件关闭带电可擦可编程只读存储器的写保护功能，以使得带电可擦可编程只读存储器可以被读写。
55.在一个实施例中，计算机程序被处理器执行时还实现以下步骤：密码加密及存储。密码解密的主要步骤有：所述密码通过32位循环冗余校验算法加密；所述密码存储于带电可擦可编程只读存储器；所述带电可擦可编程只读存储器外挂于系统级芯片端，且所述带电可擦可编程只读存储器的写保护位由复杂可编程逻辑器件控制。
56.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本发明所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
57.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
58.以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护
范围。因此，本发明专利的保护范围应以所附权利要求为准。