本发明专利技术提供一种计算机和虚拟环境中用户管理方法,其中计算机包括硬件平台;虚拟机管理器;第一操作单元;第二操作单元;第二操作系统安装在虚拟机管理器上;第一操作单元包括管理单元,用于设置多个用户,为所述多个用户中的每一个用户分配相应的资源和权限;虚拟机运行管理单元,用于收集多个用户中的每一个用户所对应的资源和权限,将多个用户中第一用户、第一用户对应的资源和权限通过所述虚拟机管理器传输至第二操作系统,并通过虚拟机管理器获取第一用户根据该用户对应的权限对该用户对应的资源的读/写操作请求,并通过虚拟机管理器向第二操作系统返回相应的读/写操作结果。避免了该第一用户超越自己的权限使用其他用户的资源的情况。
【技术实现步骤摘要】
本专利技术涉及计算机领域中计算机系统用户管理,特别是指一种计算机和虚 拟环境中用户管理方法。
技术介绍
现在的个人电脑,都支持多用户、多任务的操作系统。 一般情况下,电脑 中有一个缺省的超级用户,他可以创建其他用户,并赋予其他用户 一定的权限。 由超级用户创建出的其他用户,由于角色不同,可以看到的电脑资源和对电脑资源的操作权限也不相同;但超级用户或者超级用户授权的用户,可以看见和 操作所有的电脑资源。正常情况下,这种用户权限管理方案可以很好地实现电脑用户资源的管 理。在互联网时代,在黑客、病毒等攻击和破坏下,经常出现低级用户通过运 行有漏洞的程序,在不知道口令的情况下,获得了超级用户的权限以及所有电 脑资源的控制权,进而造成信息泄露或者数据破坏等。这已成为了系统管理员 和软件开发人员的一大心病。目前,业界的解决办法多是采取"亡羊补牢,,的方法。比如,系统中装入 杀毒软件,实时地对数据和软件进行检测, 一旦发现病毒、木马,就禁止用户 操作数据或禁止软件运行。又如,系统中装入防火墙,斩断黑手伸向电脑系统的途径。又如,对用户数据进行加密或隐藏处理以保证数据的安全存储和使用。 在这个攻防战斗中,攻方一直处于主动。比较理想的方法是开发无缺陷的系统,比如高质量的代码可避免緩冲区溢 出等等。从理论上分析,系统使用时间上滞后于系统开发,很多情况开发系统 时无法预料。现实中,系统开发人员水平参差不齐,系统测试力度大小不同。 所以,无缺陷系统只能无限逼近,不能最终实现。经分析,有两个原因导致了这个难题 一是用户权限分级,不仅存在超级6用户、系统管理员、普通用户的区别,还存在用户模式、内核模式两种运行状态,在某种情况下还允许发生权限切换;二是缺乏必要的措施,拥有顶级权限的用户可以看见和操作所有电脑资源,攻方一旦获得顶级权限,危害极大。专利技术人在实现本专利技术的过程中,发现现有技术至少存在如下问题 在多用户,多任务的电脑系统中,由于多个用户在同一操作系统中对资源 进行操作,但拥有顶级权限的用户可以操作所有的电脑资源,这样权限低的用 户可以通过运行某种有漏洞的软件,获得该拥有顶级权限的用户的权限以及所 有电脑资源的控制权,进而造成信息泄露或者数据破坏。
技术实现思路
本专利技术要解决的技术问题是提供, 使计算机系统的多用户之间的权限和资源得到很好的隔离,保证了各个用户在 各自的权限范围内使用该用户的资源,避免了该用户超越自己的权限使用其他 用户的资源的情况。为解决上述技术问题,本专利技术的实施例提供技术方案如下一方面,提供一种计算机,包括硬件平台,虚拟机管理单元,位于所述硬件平台之上,安装有虚拟机管理器; 第一操作单元,位于所述硬件平台之上,安装有第一操作系统; 第二操作单元,安装有第二操作系统,所述第二操作系统安装在所述虛拟机管理器上;所述第一4喿作单元包括管理单元,用于设置多个用户,并为所述多个用户中的每一个用户分配相应的资源和权限;虚拟机运行管理单元,与所述管理单元和所述虚拟机管理器分别连接,用 于收集所述多个用户中的每一个用户所对应的资源和权限,并将所述多个用户 中的第一用户、所述第一用户对应的资源和所述第一用户对应的权限通过所述 虚拟机管理器传输至所述第二操作系统,并通过所述虚拟机管理器获取所述第 一用户在所述第二操作系统中根据所述第 一用户对应的权限对所述第 一用户对应的资源的读/写操作请求,根据所述读/写操作请求对所述第 一用户对应的 资源进行处理后,获得读/写操作结果,并通过所述虚拟机管理器向所述第二 操作系统返回所述读/写操作结果。优选的,所述虚拟机运行管理单元包括第一处理单元,与所述管理单元连接,用于收集所述多个用户中的第一用 户、所述第一用户对应的资源和所述第一用户对应的;f又限;第二处理单元,与所述第一处理单元和所述虛拟机管理单元连接,用于将 所述第一用户、所述第 一用户对应的资源和所述第一用户对应的权限通过所述 虚拟机管理器传输至所述第二操作系统;第三处理单元,与所述第一处理单元和所述虚拟机管理单元分别连接,用 于通过所述虚拟机管理器获取所述第一用户在所述第二操作系统中根据所述第一用户对应的权限对所述第一用户对应的资源的读/写操作请求,根据所述 读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写:f喿作结果,并通过所述虛拟机管理器向所述第二操作系统返回所述读/写操作结果。 优选的,所述第二处理单元具体为数据视图构造单元,与所述第一处理单元和所述虚拟机管理单元连接,用 于根据所述第 一用户对应的权限构造反映所述第 一用户的可见资源与实际资 源之间映射关系的数据视图,并向所述虛拟机管理器发送所述数据视图。优选的,所述虚拟机管理器包括数据视图管理器,与所述数据视图构造单元连接,用于获取所述数据视图, 并根据所述数据视图为所述第二操作系统创建所述第 一用户在所述第二操作 系统中操作数据所依赖的软硬件环境;所述第三处理单元通过所述虚拟机管理器获取所述第一用户在所述第二 操作系统中根据所述数据视图对所述第 一用户对应的实际资源的读/写操作请 求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/ 写操作结果,并通过所述虚拟机管理器向所述第二操作系统返回所述读/写操 作结果。优选的,所述第一操作单元还包括存储器,与所述管理单元和所述第三处理单元分别连接,用于存储所述管理单元为所述多个用户中的每一个用户分配的实际资源;所述第三处理单元通过所述虚拟机管理器获取所述第一用户在所述第二 操作系统中根据所述数据视图对所述第 一用户对应的实际资源的读/写操作请 求,并根据所述读/写操作请求从所述存储器中获取相应的读/写操作结果,并通过所述虚拟机管理器向所述第二操:作系统返回所述读/写操作结果。优选的,所述虚拟机运行管理单元还包括资源信息数据库,与所述管理单元连接,用于存储所述多个用户中的每一 个用户、每一个用户对应的资源和每一个用户对应的权限之间的相互对应关系。优选的,所述第一操作单元安装在所述硬件平台上,所述虚拟机管理器和 所述第二操作单元安装在所述第一操作单元中。优选的,所述虚拟机管理器安装在所述硬件平台上,所述第一操作单元安 装在所述虚拟机管理器上。优选的,所述虚拟机管理器中包括一安全信息通道,连接在所述虚拟机运 行管理单元和所述第二操作系统之间,用于传输所述虚拟机运行管理单元和所 述第二操作系统之间的数据。另一方面,还提供一种虚拟环境中用户管理方法,包括 收集第一操作系统为多个用户中的每一个用户分配的资源和权限; 将所述多个用户中的第一用户、所述第一用户对应的资源和所述第一用户 对应的权限通过虚拟机管理器传输至第二操作系统;通过所述虚拟机管理器获取,所述第一用户在第二操作系统中根据所述第 一用户对应的权限对所述第一用户对应的资源的读/写操作请求,根据所述读/ 写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,通 过所述虚拟机管理器向所述第二操作系统返回所述读/写操作结果。优选的,所述收集第一操作系统为多个用户中的每一个用户分配的资源和 权限的步骤具体为收集第一操作系统为所述多个用户中的第一用户分配的资源和权限。优选的,所述将所述多个用户中的第一用户、所述第一用户对应的资源和 所述第 本文档来自技高网...
【技术保护点】
一种计算机,包括: 硬件平台, 虚拟机管理单元,位于所述硬件平台之上,安装有虚拟机管理器; 第一操作单元,位于所述硬件平台之上,安装有第一操作系统; 第二操作单元,安装有第二操作系统,所述第二操作系统安装在所述虚拟机管理器上;其特征在于,所述第一操作单元包括: 管理单元,用于设置多个用户,并为所述多个用户中的每一个用户分配相应的资源和权限; 虚拟机运行管理单元,与所述管理单元和所述虚拟机管理器分别连接,用于收集所述多个用户中的每一个用户所对应的资源和权限,并将所述多个用户中的第一用户、所述第一用户对应的资源和所述第一用户对应的权限通过所述虚拟机管理器传输至所述第二操作系统,并通过所述虚拟机管理器获取所述第一用户在所述第二操作系统中根据所述第一用户对应的权限对所述第一用户对应的资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,并通过所述虚拟机管理器向所述第二操作系统返回所述读/写操作结果。
【技术特征摘要】
【专利技术属性】
技术研发人员:余家忠,
申请(专利权)人:联想北京有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。