CN114491422A - 一种用户操作权限审核方法及装置 - Google Patents

Abstract

本发明属于信息安全技术领域，本发明提供了一种用户操作权限审核方法及装置，用户操作权限审核方法包括：接收用户的操作请求；解析所述操作请求，以生成至少一个原子性操作；根据用户权限以及所述原子性操作所需的权限审核用户的操作权限。本发明所提供的用户操作权限审核方法及装置，解决了现有技术中，权限检查机制存在的无法感知和拦截非正常修改权限信息，以及该种非正常修改权限所带来安全隐患的技术痛点。

Description

一种用户操作权限审核方法及装置

技术领域

本申请属于信息安全技术领域，具体涉及一种用户操作权限审核方法及装置。

背景技术

随着互联网技术的普及，各大企业对于信息安全的要求也越为严格。例如，在使用终端时，用户只能以操作系统的普通用户权限登录和运行软件，此种方式可有效阻止一些需要系统资源的恶意软件的执行，减少桌面终端失陷的安全隐患，同时也能较好地防止未授权用户访问或破坏系统资源。

但是在现有技术的操作系统的权限检查机制中，权限判断仅依赖于数据结构中保持的权限信息，并不感知这些权限信息的变化情况与其合理性，因此当数据结构中的权限信息被恶意用户修改造成提权时，无法被系统感知。例如恶意用户通过一些手段绕过系统正常修改流程，直接对结构体中的权限信息进行修改，从而获得额外权限，会对系统构成很大的威胁。而权限检查机制由于无法对此种非正常修改权限信息的情况进行识别，因此无法感知和拦截这一恶意行为。

发明内容

本发明可用于信息安全技术在金融方面应用的技术领域，也可用于除金融领域之外的任意领域，本发明所提供的用户操作权限审核方法及装置，解决了现有技术中，权限检查机制存在的无法感知和拦截非正常修改权限信息，并可能带来安全隐患的技术问题。

为解决上述技术问题，本发明提供以下技术方案：

第一方面，本发明提供一种用户操作权限审核方法包括：

接收用户的操作请求；

解析所述操作请求，以生成至少一个原子性操作；

根据用户权限以及所述原子性操作所需的权限审核用户的操作权限。

一实施例中，所述解析所述操作请求，以生成至少一个原子性操作包括：

根据所述操作请求确定目标操作指令；

确定实现所述目标操作指令的过程中所需的过程操作指令；

根据所述目标操作指令以及所述过程操作指令确定所述原子性操作。

一实施例中，所述根据用户权限以及所述原子性操作所需的权限审核用户的操作权限，包括：

将所述用户权限与所述原子性操作所需的权限进行对比；当所述用户权限与所述原子性操作所需的权限一致时，用户具有所述操作权限；否则，用户不具有所述操作权限。

一实施例中，所述原子性操作包括：子进程创建、线程创建、文件创建、目录创建、文件修改、目录修改、注册表键创建、键值创建、注册表键修改以及键值修改。

第二方面，本发明提供一种用户操作权限审核装置，该装置包括：

操作请求接受模块，用于接收用户的操作请求；

原子性操作生成模块，用于解析所述操作请求，以生成至少一个原子性操作；

操作请求检测模块，用于根据用户权限以及所述原子性操作所需的权限审核用户的操作权限。

一实施例中，所述原子性操作生成模块包括：

目标操作指令确定单元，用于根据所述操作请求确定目标操作指令；

过程操作指令确定单元，用于确定实现所述目标操作指令的过程中所需的过程操作指令；

原子性操作生成单元，用于根据所述目标操作指令以及所述过程操作指令确定所述原子性操作。

一实施例中，所述操作请求检测模块包括：

权限对比单元，用于将所述用户权限与所述原子性操作所需的权限进行对比；当所述用户权限与所述原子性操作所需的权限一致时，用户具有所述操作权限；否则，用户不具有所述操作权限。

一实施例中，所述原子性操作包括：子进程创建、线程创建、文件创建、目录创建、文件修改、目录修改、注册表键创建、键值创建、注册表键修改以及键值修改。

第三方面，本发明提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时实现用户操作权限审核方法的步骤。

第四方面，本发明提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现用户操作权限审核方法的步骤。

从上述描述可知，本发明实施例提供一种用户操作权限审核方法及装置，对应的方法包括：首先接收用户的操作请求；接着，解析所述操作请求，以生成至少一个原子性操作；最后根据用户权限以及所述原子性操作所需的权限审核用户的操作权限。本发明在执行用户的请求的操作前对操作权限进行了有效判断，避免了现有权限检查机制无法感知和拦截非正常修改权限信息造成的安全隐患。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的实施例中用户操作权限审核方法的流程示意图；

图2为本发明的实施例中步骤200的流程示意图；

图3为本发明的实施例中步骤300的流程示意图；

图4为本发明的具体实施方式中用户操作权限审核方法的流程示意图；

图5为本发明的具体实施方式中用户操作权限审核系统的方块图；

图6为本发明的实施例中用户操作权限审核装置的方块图；

图7为本发明的实施例中原子性操作生成模块20的方块图；

图8为本发明的实施例中操作请求检测模块30的方块图；

图9为本发明的实施例中的电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

本发明的实施例提供一种用户操作权限审核方法的具体实施方式，参见图1，该方法具体包括如下内容：

步骤100：接收用户的操作请求；

可以理解的是，用户的操作请求为用户从客户端发送至服务器端的，针对目标资源进行操作的请求，操作请求中包括操作的目标资源、目标操作指令等。

步骤200：解析所述操作请求，以生成至少一个原子性操作；

可以理解的是，原子性操作是不能再分解，是最小的操作单元，比如i＝1，就是一个原子性操作，这个过程只涉及一个赋值操作。又如i++就不是一个原子操作，它相当于语句i＝i+1；这里包括读取i，i+1，结果写入内存三个操作单元。因此如果操作不符合原子性操作，那么整个语句的执行就会出现混乱，导致出现错误的结果，从而导致线程安全问题。因此，在多线程中需要保证线程安全问题，就应该保证操作的原子性，那么如何保证操作的原子性呢？其一当然是加锁，这可以保证线程的原子性，比如使用synchronized代码块保证线程的同步，从而保证多线程的原子性。但是加锁的话，就会使开销比较大。另外，可以使用J.U.C下的atomic来实现原子操作。

进一步地，在多进程(线程)访问共享资源时，能够确保所有其他的进程(线程)都不在同一时间内访问相同的资源。原子性操作是不需要分解的，原子性操作是指不会被线程调度机制打断的操作；这种操作一旦开始，就一直运行到结束，中间不会被切换到另一个线程。即其是一个或某几个操作只能在一个线程执行完之后，另一个线程才能开始执行该操作，也就是说这些操作是不可分割的，线程不能在这些操作上交替执行。

原子性操作包括对非long和double型的primitive进行赋值，以及返回这两者之外的primitive。之所以要把它们排除在外是因为它们都比较大。首先处理器会自动保证基本的内存操作的原子性。处理器保证从系统内存当中读取或者写入一个字节是原子的，意思是当一个处理器读取一个字节时，其他处理器不能访问这个字节的内存地址。

步骤300：根据用户权限以及所述原子性操作所需的权限审核用户的操作权限。

具体地，首先将用户的操作请求分解为多个原子性操作，并确定每个原子性操作各自的操作权限，最后检查该用户是否具有所有原子性操作所对应的权限，以执行或者拒绝该操作请求。

从上述描述可知，本发明实施例提供一种用户操作权限审核方法，包括：首先接收用户的操作请求；接着，解析所述操作请求，以生成至少一个原子性操作；最后根据用户权限以及所述原子性操作所需的权限审核用户的操作权限。具体地，本发明首先解析目标操作中每一操作对应的执行方式，判断得出执行该操作的目标操作权限，然后并将所述目标操作权限与预先存储在服务器中的基准操作权限进行对比，当所述目标操作权限和所述基准操作权限一致时，执行所述目标操作，否则暂停执行所述目标操作指令，并对用户终端进行检测，判断其是否被非正常修改。

一实施例中，参见图2，步骤200包括：

步骤201：根据所述操作请求确定目标操作指令；

步骤202：确定实现所述目标操作指令的过程中所需的过程操作指令；

步骤203：根据所述目标操作指令以及所述过程操作指令确定所述原子性操作。

在步骤201至步骤203中，首先确定所述操作请求对应的目标操作指令，接着，解析该目标操作指令(可以为多个)对应的一系列目标操作中每一操作对应的执行方式，判断得出执行该操作需要的目标操作权限。

一实施例中，参见图3，步骤300包括：

步骤301：将所述用户权限与所述原子性操作所需的权限进行对比；当所述用户权限与所述原子性操作所需的权限一致时，用户具有所述操作权限；否则，用户不具有所述操作权限。

具体地，需要比对所有的原子性操作的权限是否与用户权限相同，即该用户是否具有所有的原子性操作权限。当该用户具有所有的原子性操作权限时，用户具有其操作请求所对应操作权限；当该用户不具有所有的原子性操作权限时，则用户不具有其操作请求所对应操作权限，进而拒绝该用户的操作请求。

另一方面，比较目标操作指令包括的一系列目标操作所对应的目标操作权限与基准操作权限是否一致；具体地，在比较单元的比较结果为是时，执行所述目标操作指令，在否时，暂停执行所述目标操作指令，并对用户终端进行检测。

一实施例中，原子性操作包括：子进程创建、线程创建、文件创建、目录创建、文件修改、目录修改、注册表键创建、键值创建、注册表键修改以及键值修改。

另一方面，操作指令包括一系列目标操作，该一系列目标操作是按照指令执行的先后顺序进行排序的，例如可以是用户针对某一目标资源进行查找、读取、修改然后存储的操作；也可以是用户先针对目标资源A进行创建，然后针对目标资源B进行修改(增改)，最后针对目标资源C进行删除的操作。

本发明解决了现有权限检查机制存在的无法感知和拦截非正常修改权限信息，可能带来安全隐患的技术问题。具体地，首先确定目标操作指令中一系列目标操作的目标操作权限，然后将该目标操作权限与预先存储于服务器中的基准操作权限进行对比，只有在所述目标操作权限与所述基准操作权限一致时才执行目标操作指令，能够对用户操作权限进行有效检测，大幅提高了执行操作的安全性，避免了当用户的权限被非正常修改时可能带来的安全问题。

在一种具体实施方式中，本发明还提供一种用户操作权限审核方法中的具体实施方式，参见图4，具体包括以下内容。

参见图5，本申请还提供了一种用户操作权限审核系统，包括目标操作权限解析单元、基准操作权限存储单元、比较单元和操作单元，所述目标操作权限解析单元用于确定所述操作请求对应的目标操作指令，解析每一目标操作指令对应的一系列目标操作中每一操作对应的执行方式，判断得出执行该操作需要的目标操作权限；所述基准操作权限存储单元用于存储各种操作对应的基准操作权限；所述比较单元用于比较目标操作指令包括的一系列目标操作所对应的目标操作权限与基准操作权限是否一致；所述操作单元用于在比较单元的比较结果为是时，执行所述目标操作指令，在否时，暂停执行所述目标操作指令，并对用户终端进行检测。

参见图4，基于上述的用户操作权限审核系统，本发明所提供的用户操作权限审核方法的具体实施方式包括如下步骤：

步骤S1，获取用户的操作请求。

用户的操作请求为用户从客户端发送至服务器端的，针对目标资源进行操作的请求，操作请求中包括操作的目标资源、目标操作指令等。

步骤S2，确定操作请求对应的目标操作指令，目标操作指令包括一系列目标操作。

操作指令包括一系列目标操作，该一系列目标操作是按照指令执行的先后顺序进行排序的，例如可以是用户针对某一目标资源进行查找、读取、修改然后存储的操作；也可以是用户先针对目标资源A进行创建，然后针对目标资源B进行修改(增改)，最后针对目标资源C进行删除的操作。

步骤S3，解析用户操作请求中的目标操作权限。

通过解析一系列目标操作中每一操作对应的执行方式，判断得出执行该操作需要的目标操作权限。具体地，可根据判断某操作在进行子进程创建、线程创建、文件/目录创建、文件/目录修改、注册表键/键值创建以及注册表键/键值修改等操作时，存储路径为关键路径还是普通路径，和/或某操作在执行时是否需要调用系统的加密文件，和/或某操作在执行时是否需要复制数据等。

步骤S4，获取目标操作指令中各目标操作对应的基准操作权限。

服务器中预先存储有各种操作对应的基准操作权限，包括上述进行子进程创建、线程创建、文件/目录创建、文件/目录修改、注册表键/键值创建以及注册表键/键值修改等操作时，存储路径为关键路径分别对应一基准操作权限，例如L3或L4，进行子进程创建、线程创建、文件/目录创建、文件/目录修改、注册表键/键值创建以及注册表键/键值修改等操作时，存储路径为普通路径时分别对应一基准操作权限，例如L1或L2，执行某操作时调用了系统的加密文件对应一基准操作权限，例如L5，执行某操作时需要复制数据对应一基准操作权限，例如L4等。

将上述一系列目标操作中的每一操作与预先存储的基准操作权限进行匹配，得出该一系列目标操作对应的基准操作权限数组。例如，若用户操作请求中某目标操作指令所包含的一系列目标操作为首先在关键路径创建目录，然后在该目录创建注册表键，此时的基准操作权限数组可以是{L3，L4}。若在操作中需要进一步调用系统加密文件，基准操作权限可设置为L5。

步骤S5，判断各目标操作对应的目标操作权限与各目标操作对应的基准操作权限是否一致。

判断上述两个步骤中得出的数组是否一致。

步骤S6，若一致，则执行目标操作指令；若不一致，则暂停执行目标操作指令，并对用户终端进行检测。

若上述两个步骤中得出的数组一致，则表明用户申请的每一操作对应的权限均符合预设标准，可执行用户操作请求中的目标操作指令；否则，暂停执行目标操作指令，并对用户终端进行检测，判断其是否被非正常修改。

例如，针对上述首先在关键路径创建目录，然后在该目录创建注册表键的一系列目标操作，若其目标操作权限为{L3，L4}，与上述基准操作权限相同，则表明用户申请的每一操作对应的权限均符合预设标准，可执行用户操作请求中的目标操作指令。若其目标操作权限为{L5，L4}，或{L4，L3}等，与上述基准操作权限不同，则说明执行该目标操作时所调用的权限与基准值不符，可能存在风险，因此暂停执行目标操作指令，并对用户终端进行检测，判断其是否被非正常修改。

从上述描述可知，本发明实施例提供一种用户操作权限审核方法，首先解析目标操作中每一操作对应的执行方式，判断得出执行该操作的目标操作权限，然后并将所述目标操作权限与预先存储在服务器中的基准操作权限进行对比，当所述目标操作权限和所述基准操作权限一致时，执行所述目标操作，否则暂停执行所述目标操作指令，并对用户终端进行检测，判断其是否被非正常修改。通过上述方法，在执行用户的请求的操作前对操作权限进行了有效判断，避免了现有权限检查机制无法感知和拦截非正常修改权限信息造成的安全隐患。

基于同一发明构思，本申请实施例还提供了一种用户操作权限审核装置，可以用于实现上述实施例所描述的方法，如下面的实施例。由于用户操作权限审核装置解决问题的原理与用户操作权限审核方法相似，因此用户操作权限审核装置的实施可以参见用户操作权限审核方法实施，重复之处不再赘述。以下所使用的，术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的系统较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

本发明的实施例提供一种能够实现用户操作权限审核方法的用户操作权限审核装置的具体实施方式，参见图6，用户操作权限审核装置具体包括如下内容：

操作请求接受模块10，用于接收用户的操作请求；

原子性操作生成模块20，用于解析所述操作请求，以生成至少一个原子性操作；

操作请求检测模块30，用于根据用户权限以及所述原子性操作所需的权限审核用户的操作权限。

一实施例中，参见图7，所述原子性操作生成模块20包括：

目标操作指令确定单元201，用于根据所述操作请求确定目标操作指令；

过程操作指令确定单元202，用于确定实现所述目标操作指令的过程中所需的过程操作指令；

原子性操作生成单元203，用于根据所述目标操作指令以及所述过程操作指令确定所述原子性操作。

一实施例中，参见图8，所述操作请求检测模块30包括：

权限对比单元301，用于将所述用户权限与所述原子性操作所需的权限进行对比；当所述用户权限与所述原子性操作所需的权限一致时，用户具有所述操作权限；否则，用户不具有所述操作权限。

一实施例中，所述原子性操作包括：子进程创建、线程创建、文件创建、目录创建、文件修改、目录修改、注册表键创建、键值创建、注册表键修改以及键值修改。

从上述描述可知，本发明实施例提供一种用户操作权限审核装置，首先在冲突待解决的工程文件中查找多个工程文件冲突内容；接着，将每个工程文件冲突内容存储至一数组中；最后根据多个数组处理工程文件冲突。本发明所提供的用户操作权限审核方法及装置，可以解决现有技术中只能手动修改工程文件冲突的弊端，并缩短了处理工程文件冲突的耗时。

本申请的实施例还提供能够实现上述实施例中的用户操作权限审核方法中全部步骤的一种电子设备的具体实施方式，参见图9，电子设备具体包括如下内容：

处理器(processor)1201、存储器(memory)1202、通信接口(CommunicationsInterface)1203和总线1204；

其中，处理器1201、存储器1202、通信接口1203通过总线1204完成相互间的通信；通信接口1203用于实现服务器端设备以及客户端设备等相关设备之间的信息传输；

处理器1201用于调用存储器1202中的计算机程序，处理器执行计算机程序时实现上述实施例中的用户操作权限审核方法中的全部步骤，例如，处理器执行计算机程序时实现下述步骤：

步骤100：接收用户的操作请求；

步骤200：解析所述操作请求，以生成至少一个原子性操作；

步骤300：根据用户权限以及所述原子性操作所需的权限审核用户的操作权限。

本申请的实施例还提供能够实现上述实施例中的用户操作权限审核方法中全部步骤的一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中的用户操作权限审核方法的全部步骤，例如，处理器执行计算机程序时实现下述步骤：

步骤100：接收用户的操作请求；

步骤200：解析所述操作请求，以生成至少一个原子性操作；

步骤300：根据用户权限以及所述原子性操作所需的权限审核用户的操作权限。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于硬件+程序类实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

虽然本申请提供了如实施例或流程图的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的装置或客户端产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。

为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本说明书实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现，也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

本说明书实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书实施例，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书实施例的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

以上所述仅为本说明书实施例的实施例而已，并不用于限制本说明书实施例。对于本领域技术人员来说，本说明书实施例可以有各种更改和变化。凡在本说明书实施例的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书实施例的权利要求范围之内。

Claims (10)

1.一种用户操作权限审核方法，其特征在于，包括：

接收用户的操作请求；

解析所述操作请求，以生成至少一个原子性操作；

根据用户权限以及所述原子性操作所需的权限审核用户的操作权限。

2.如权利要求1所述的用户操作权限审核方法，其特征在于，所述解析所述操作请求，以生成至少一个原子性操作包括：

根据所述操作请求确定目标操作指令；

确定实现所述目标操作指令的过程中所需的过程操作指令；

根据所述目标操作指令以及所述过程操作指令确定所述原子性操作。

3.如权利要求1所述的用户操作权限审核方法，其特征在于，所述根据用户权限以及所述原子性操作所需的权限审核用户的操作权限，包括：

将所述用户权限与所述原子性操作所需的权限进行对比；当所述用户权限与所述原子性操作所需的权限一致时，用户具有所述操作权限；否则，用户不具有所述操作权限。

4.如权利要求1所述的用户操作权限审核方法，其特征在于，所述原子性操作包括：子进程创建、线程创建、文件创建、目录创建、文件修改、目录修改、注册表键创建、键值创建、注册表键修改以及键值修改。

5.一种用户操作权限审核装置，其特征在于，包括：

操作请求接受模块，用于接收用户的操作请求；

原子性操作生成模块，用于解析所述操作请求，以生成至少一个原子性操作；

操作请求检测模块，用于根据用户权限以及所述原子性操作所需的权限审核用户的操作权限。

6.如权利要求5所述的用户操作权限审核装置，其特征在于，所述原子性操作生成模块包括：

目标操作指令确定单元，用于根据所述操作请求确定目标操作指令；

过程操作指令确定单元，用于确定实现所述目标操作指令的过程中所需的过程操作指令；

原子性操作生成单元，用于根据所述目标操作指令以及所述过程操作指令确定所述原子性操作。

7.如权利要求5所述的用户操作权限审核装置，其特征在于，所述操作请求检测模块包括：

权限对比单元，用于将所述用户权限与所述原子性操作所需的权限进行对比；当所述用户权限与所述原子性操作所需的权限一致时，用户具有所述操作权限；否则，用户不具有所述操作权限。

8.如权利要求5所述的用户操作权限审核装置，其特征在于，所述原子性操作包括：子进程创建、线程创建、文件创建、目录创建、文件修改、目录修改、注册表键创建、键值创建、注册表键修改以及键值修改。

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1至4任一项所述用户操作权限审核方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至4任一项所述用户操作权限审核方法的步骤。

Images