CN101673215B - 一种虚拟环境中用户管理装置及方法 - Google Patents
一种虚拟环境中用户管理装置及方法 Download PDFInfo
- Publication number
- CN101673215B CN101673215B CN2008101199040A CN200810119904A CN101673215B CN 101673215 B CN101673215 B CN 101673215B CN 2008101199040 A CN2008101199040 A CN 2008101199040A CN 200810119904 A CN200810119904 A CN 200810119904A CN 101673215 B CN101673215 B CN 101673215B
- Authority
- CN
- China
- Prior art keywords
- user
- virtual machine
- operating system
- read
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种虚拟环境中用户管理装置及方法,其中虚拟环境中用户管理装置包括虚拟机管理器;第一操作单元;第二操作单元;第二操作***安装在虚拟机管理器上;第一操作单元包括管理单元,用于设置多个用户,为所述多个用户中的每一个用户分配相应的资源和权限;虚拟机运行管理单元,用于收集多个用户中的每一个用户所对应的资源和权限,将多个用户中第一用户、第一用户对应的资源和权限通过所述虚拟机管理器传输至第二操作***,并通过虚拟机管理器获取第一用户根据该用户对应的权限对该用户对应的资源的读/写操作请求,并通过虚拟机管理器向第二操作***返回相应的读/写操作结果。避免了该第一用户超越自己的权限使用其他用户的资源的情况。
Description
技术领域
本发明涉及计算机领域中计算机***用户管理,特别是指一种虚拟环境中用户管理装置及方法。
背景技术
现在的个人电脑,都支持多用户、多任务的操作***。一般情况下,电脑中有一个缺省的超级用户,他可以创建其他用户,并赋予其他用户一定的权限。由超级用户创建出的其他用户,由于角色不同,可以看到的电脑资源和对电脑资源的操作权限也不相同;但超级用户或者超级用户授权的用户,可以看见和操作所有的电脑资源。
正常情况下,这种用户权限管理方案可以很好地实现电脑用户资源的管理。在互联网时代,在黑客、病毒等攻击和破坏下,经常出现低级用户通过运行有漏洞的程序,在不知道口令的情况下,获得了超级用户的权限以及所有电脑资源的控制权,进而造成信息泄露或者数据破坏等。这已成为了***管理员和软件开发人员的一大心病。
目前,业界的解决办法多是采取“亡羊补牢”的方法。比如,***中装入杀毒软件,实时地对数据和软件进行检测,一旦发现病毒、木马,就禁止用户操作数据或禁止软件运行。又如,***中装入防火墙,斩断黑手伸向电脑***的途径。又如,对用户数据进行加密或隐藏处理以保证数据的安全存储和使用。在这个攻防战斗中,攻方一直处于主动。
比较理想的方法是开发无缺陷的***,比如高质量的代码可避免缓冲区溢出等等。从理论上分析,***使用时间上滞后于***开发,很多情况开发***时无法预料。现实中,***开发人员水平参差不齐,***测试力度大小不同。所以,无缺陷***只能无限逼近,不能最终实现。
经分析,有两个原因导致了这个难题:一是用户权限分级,不仅存在超级用户、***管理员、普通用户的区别,还存在用户模式、内核模式两种运行状态,在某种情况下还允许发生权限切换;二是缺乏必要的措施,拥有顶级权限的用户可以看见和操作所有电脑资源,攻方一旦获得顶级权限,危害极大。
发明人在实现本发明的过程中,发现现有技术至少存在如下问题:
在多用户,多任务的电脑***中,由于多个用户在同一操作***中对资源进行操作,但拥有顶级权限的用户可以操作所有的电脑资源,这样权限低的用户可以通过运行某种有漏洞的软件,获得该拥有顶级权限的用户的权限以及所有电脑资源的控制权,进而造成信息泄露或者数据破坏。
发明内容
本发明要解决的技术问题是提供一种虚拟环境中用户管理装置及方法,使计算机***的多用户之间的权限和资源得到很好的隔离,保证了各个用户在各自的权限范围内使用该用户的资源,避免了该用户超越自己的权限使用其他用户的资源的情况。
为解决上述技术问题,本发明的实施例提供技术方案如下:
一方面,提供一种虚拟环境中用户管理装置,包括:
虚拟机管理单元,安装有虚拟机管理器;
第一操作单元,安装有第一操作***;
第二操作单元,安装有第二操作***,所述第二操作***安装在所述虚拟机管理器上;所述第一操作单元包括:
管理单元,用于设置多个用户,并为所述多个用户中的每一个用户分配相应的资源和权限;
虚拟机运行管理单元,与所述管理单元和所述虚拟机管理器分别连接,用于收集所述多个用户中的每一个用户所对应的资源和权限,并将所述多个用户中的第一用户、所述第一用户对应的资源和所述第一用户对应的权限通过所述虚拟机管理器传输至所述第二操作***,并通过所述虚拟机管理器获取所述第一用户在所述第二操作***中根据所述第一用户对应的权限对所述第一用户对应的资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,并通过所述虚拟机管理器向所述第二操作***返回所述读/写操作结果。
优选的,所述虚拟机运行管理单元包括:
第一处理单元,与所述管理单元连接,用于收集所述多个用户中的第一用户、所述第一用户对应的资源和所述第一用户对应的权限;
第二处理单元,与所述第一处理单元和所述虚拟机管理单元连接,用于将所述第一用户、所述第一用户对应的资源和所述第一用户对应的权限通过所述虚拟机管理器传输至所述第二操作***;
第三处理单元,与所述第一处理单元和所述虚拟机管理单元分别连接,用于通过所述虚拟机管理器获取所述第一用户在所述第二操作***中根据所述第一用户对应的权限对所述第一用户对应的资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,并通过所述虚拟机管理器向所述第二操作***返回所述读/写操作结果。
优选的,所述第二处理单元具体为:
数据视图构造单元,与所述第一处理单元和所述虚拟机管理单元连接,用于根据所述第一用户对应的权限构造反映所述第一用户的可见资源与实际资源之间映射关系的数据视图,并向所述虚拟机管理器发送所述数据视图。
优选的,所述虚拟机管理器包括:
数据视图管理器,与所述数据视图构造单元连接,用于获取所述数据视图,并根据所述数据视图为所述第二操作***创建所述第一用户在所述第二操作***中操作数据所依赖的软硬件环境;
所述第三处理单元通过所述虚拟机管理器获取所述第一用户在所述第二操作***中根据所述数据视图对所述第一用户对应的实际资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,并通过所述虚拟机管理器向所述第二操作***返回所述读/写操作结果。
优选的,所述第一操作单元还包括:
存储单元,与所述管理单元和所述第三处理单元分别连接,用于存储所述管理单元为所述多个用户中的每一个用户分配的实际资源;
所述第三处理单元通过所述虚拟机管理器获取所述第一用户在所述第二操作***中根据所述数据视图对所述第一用户对应的实际资源的读/写操作请求,并根据所述读/写操作请求从所述存储单元中获取相应的读/写操作结果,并通过所述虚拟机管理器向所述第二操作***返回所述读/写操作结果。
优选的,所述虚拟机运行管理单元还包括:
资源信息数据库,与所述管理单元连接,用于存储所述多个用户中的每一个用户、每一个用户对应的资源和每一个用户对应的权限之间的相互对应关系。
优选的,所述虚拟机管理器和所述第二操作单元安装在所述第一操作单元中。
优选的,所述第一操作单元安装在所述虚拟机管理器上。
优选的,所述虚拟机管理器中包括一安全信息通道,连接在所述虚拟机运行管理单元和所述第二操作***之间,用于传输所述虚拟机运行管理单元和所述第二操作***之间的数据。
另一方面,还提供一种虚拟环境中用户管理方法,包括:
收集第一操作***为多个用户中的每一个用户分配的资源和权限;
将所述多个用户中的第一用户、所述第一用户对应的资源和所述第一用户对应的权限通过虚拟机管理器传输至第二操作***;
通过所述虚拟机管理器获取,所述第一用户在第二操作***中根据所述第一用户对应的权限对所述第一用户对应的资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,通过所述虚拟机管理器向所述第二操作***返回所述读/写操作结果。
优选的,所述收集第一操作***为多个用户中的每一个用户分配的资源和权限的步骤具体为:
收集第一操作***为所述多个用户中的第一用户分配的资源和权限。
优选的,所述将所述多个用户中的第一用户、所述第一用户对应的资源和所述第一用户对应的权限通过虚拟机管理器传输至第二操作***的步骤具体为:
根据所述第一用户对应的权限构造反映所述第一用户的可见资源与实际资源之间映射关系的数据视图,并向所述虚拟机管理器发送所述数据视图;
根据所述数据视图为所述第二操作***创建所述第一用户在所述第二操作***中操作数据所依赖的软硬件环境。
优选的,所述通过所述虚拟机管理器获取,所述第一用户在第二操作***中根据所述第一用户对应的权限对所述第一用户对应的资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,通过所述虚拟机管理器向所述第二操作***返回相应的读/写操作结果的步骤具体为:
通过所述虚拟机管理器获取所述第一用户在第二操作***中根据所述数据视图对所述第一用户对应的实际资源的读/写操作请求,并根据所述读/写操作请求从存储单元中获取相应的读写操作结果,并通过所述虚拟机管理器向所述第二操作***返回所述读/写操作结果。
本发明的实施例具有以下有益效果:
上述方案通过在多用户,多任务的计算机***中,不同的用户分别在不同的操作***中对该各自拥有的资源进行操作,为该第二操作***指定一个用户,如上述的第一用户,该用户是第二操作***的超级用户,该第一用户只能在该第二操作***中根据自己的权限对自己所拥有的资源进行访问,由于第一操作***和第二操作***的隔离性,该第二操作***中的第一用户无法获得第一操作***中的用户的相关信息,因此也就无法越过第一操作***中用户的权限,对第一操作***中的管理员用户或者其他用户,或者对其他第二操作***的用户资源不能访问,这样,该第一用户就不会出现绕过管理员用户访问资源的情况,从而避免了信息泄露或者数据被破坏的情况。
附图说明
图1为本发明的实施例计算机的整体结构示意图;
图2为图1所示计算机的一具体结构示意图;
图3为图2所示计算机的一具体结构示意图;
图4为图3所示计算机的一具体结构示意图;
图5为本发明的实施例计算机的第二操作单元安装在第一操作单元内部的结构示意图;
图6为本发明的实施例计算机的第二操作单元安装在第一操作单元外的结构示意图;
图7为本发明的实施例虚拟环境中用户管理方法的流程示意图。
具体实施方式
为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明的实施例针对现有多用户、多任务的电脑***中,权限低的用户可以通过运行某种有漏洞的软件,获得了超级用户的权限以及所有电脑资源的控制权,进而造成信息泄露或者数据破坏的问题,提供一种计算机和虚拟环境中用户管理方法。
如图1所示,本发明的实施例计算机包括:硬件平台;虚拟机管理单元,位于所述硬件平台之上,安装有虚拟机管理器;
第一操作单元,位于该硬件平台之上,安装有第一操作***;
第二操作单元,安装有第二操作***,该第二操作***安装在虚拟机管理器上;该第一操作单元包括:
管理单元,用于设置多个用户,并为该多个用户中的每一个用户分配相应的资源和权限;
虚拟机运行管理单元,与该管理单元和虚拟机管理器分别连接,用于收集多个用户中的每一个用户所对应的资源和权限,并将该多个用户中的第一用户、该第一用户对应的资源和该第一用户对应的权限通过虚拟机管理器传输至第二操作***,并通过该虚拟机管理器获取第一用户在所述第二操作***中根据该第一用户对应的权限对该第一用户对应的资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,并通过虚拟机管理器向第二操作***返回所述读/写操作结果。
上述实施例是在虚拟化技术基础上,采用虚拟化技术的电脑,可以在一台电脑上同时运行多个虚拟机,上述虚拟机管理器可以虚拟出多个第二操作***,这些第二操作***之间以及第二操作***和第一操作***之间是相互隔离的,该实施例中将用户的设置,用户的资源管理和资源的权限分配放在主机(即第一操作***,有时也称主机操作***)中,而将该用户对资源的使用放在虚拟机中(即第二操作***中),主机操作***根据用户的不同,只提供有访问权限的资源给第二操作***,第二操作***由第一操作***启动,为该第二操作***指定一个用户,如上述的第一用户,该用户是第二操作***的超级用户,该第一用户在该第二操作***中根据自己的权限对自己所拥有的资源进行访问,对主机的管理员用户或者其他用户,或者对其它第二操作***的用户资源不能访问,这样,该第一用户就不会出现绕过管理员用户访问资源的情况,避免信息泄露或者数据被破坏的情况。
如图2所示,为上述图1所示计算机的一具体结构示意图,其中,上述虚拟机运行管理单元包括:
第一处理单元,与上述管理单元连接,用于收集多个用户中的第一用户、该第一用户对应的资源和该第一用户对应的权限;在第一操作***中,上述管理单元设置多个用户,并为这多个用户分别分配各自可使用的资源和权限,该第一处理单元将其中的一个用户,如第一用户,该第一用户对应的资源和该第一用户对应的权限收集起来,当然,该第一处理单元也可以将多个用户中的第二用户,第三用户及其各自对应的资源和权限收集起来;总之,该第一处理单元收集多个用户中的一个用户及其对应的资源和权限;
第二处理单元,与上述第一处理单元和虚拟机管理单元连接,用于将该第一用户、该第一用户对应的资源和该第一用户对应的权限通过虚拟机管理器传输至第二操作***;
第三处理单元,与该第一处理单元和虚拟机管理单元分别连接,用于通过虚拟机管理器获取该第一用户在第二操作***中根据该第一用户对应的权限对该第一用户对应的资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,并通过虚拟机管理器向第二操作***返回该读/写操作结果。该第一用户在第二操作***中,可以根据该第一用户所对应的权限对该第一用户所拥有的资源进行读/写操作访问,这时,该第三处理单元就会获取该第一用户对其资源的读/写操作访问,并在第一操作***中获取读/写操作访问的结果,并向第二操作***返回该读/写操作访问的结果,这样就使该第一用户对资源的使用局限在第二操作***中,而该第一用户的设置,该第一用户的资源和权限的分配则是在第一操作***中进行,且该第一用户的实际可用资源也存储在第一操作***中。
如图3所示,上述第二处理单元具体为:
数据视图构造单元,与上述第一处理单元和虚拟机管理单元连接,用于根据该第一用户对应的权限构造反映该第一用户的可见资源与实际资源之间映射关系的数据视图,并向虚拟机管理器发送该数据视图。
相应的,上述虚拟机管理器包括:
数据视图管理器,与该数据视图构造单元连接,用于获取该数据视图,并根据该数据视图为第二操作***创建第一用户在第二操作***中操作数据所依赖的软硬件环境;
第三处理单元通过虚拟机管理器获取该第一用户在第二操作***中根据该数据视图对该第一用户对应的实际资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,并通过虚拟机管理器向第二操作***返回该读/写操作结果;
该数据视图由一些***镜像组成,这些镜像是只读的,且这些数据视图是根据第一用户对应的权限构造的,因此,第二操作***中,这些数据视图代表了该第一用户的操作权限,这些数据视图被注入到虚拟机管理器的配置参数中,与虚拟机镜像中的***环境资源结合起来,为该第一用户在第二操作***对其资源的访问提供了完整的静态软硬件资源环境。
存储器,与所述管理单元和所述第三处理单元分别连接,用于存储所述管理单元为所述多个用户中的每一个用户分配的实际资源;
第三处理单元则通过虚拟机管理器获取该第一用户在第二操作***中根据数据视图对该第一用户对应的实际资源的读/写操作请求,并根据该读/写操作请求从存储器中获取相应的读写操作结果,并通过虚拟机管理器向第二操作***返回该读/写操作结果。
第二操作***启动以后,该第一用户在第二操作***中的操作就局限在这个动态构建的资源环境中了,该第一用户在第二操作***中操作数据时,其打开、关闭、读、写等I/O操作请求会被虚拟机管理器(Virtual Machine Monitor,VMM)拦截,如果是***数据,如Windows***DLL,数据视图管理器会将其定向到数据视图中的数据对象;如果是用户数据,操作的对象存在数据视图中,是虚拟的用户资源,真实的用户资源存储在第一操作***的存储器中,数据视图管理器会查询虚拟机运行管理单元,该虚拟机运行管理单元得到实际的用户资源对象,然后将I/O请求重定向到第一操作***中存储器中的真实用户资源。
为了使第一用户在第二操作***中根据其对应的权限,对其所拥有的资源进行I/O请求操作时,提高操作的效率,如图4所示,上述虚拟机运行管理单元还包括:资源信息数据库,与管理单元连接,用于维护并存储多个用户中的每一个用户、每一个用户对应的资源和每一个用户对应的权限之间的相互对应关系。这样,当第一用户进行I/O操作请求时,虚拟机管理器中的数据视图管理器会查询虚拟机运行管理单元,而虚拟机运行管理单元不用直接去读取存储器,而是先查询该资源信息数据库,得到第一用户的真实资源相关信息,再根据该第一用户的真实资源相关信息去存储器中读取相关的真实资源,而不用直接去访问存储器。
如图5所示,上述第一操作单元直接安装在硬件平台上,虚拟机管理器和第二操作单元安装在第一操作单元中。这是虚拟化技术中的一种架构,同样的,上述图1至图4所示的实施例同样也适用于基于虚拟化技术中的另一种架构。
如图6所示,上述虚拟机管理器安装直接在硬件平台上,第一操作单元直接安装在虚拟机管理器上。这时,还需要在第一操作***和第二操作***之间设置一安全信息通道,该安全信息通道安装在虚拟机管理器中,连接在虚拟机运行管理单元和第二操作***之间,用于传输在虚拟机运行管理单元和第二操作***之间的数据。
综上所述,上述实施例通过将用户、用户的资源和权限的管理,和用户对资源的使用严格隔离,不会出现资源使用者绕过资源管理者访问资源的情况;实现了用户之间资源的完全隔离,第二操作***(虚拟机)看到的只是第一用户的资源,而不是所有用户的资源,也不是整个***资源,同样对于其他的用户,如管理员用户,可以在第一操作***中,由于第一操作***和第二操作***的隔离性,第二操作***中的第一用户无法获得第一操作***中的用户的相关信息,因此也就无法越过第一操作***中用户的权限,对第一操作***中的用户的资源进行访问;另外,即使黑客、病毒攻破了第二操作***或者虚拟机,其危害也局限在第二操作***内,而不会危害其他的用户或者操作***。但整个计算机***中原有的安全防护措施依然有效,在第二操作***中,依然可以使用杀毒软件、防火墙等保护措施,在第一操作***中或者主操作***中,依然可以采用加密、口令和隐藏等手段增强***资源的安全性;另外,还可以将虚拟机镜像做成只读的(即数据视图中的镜像也是只读的),且定期更新,这样,即使第二操作***或者虚拟机感染了病毒、木马等,也不会影响其他用户的操作环境;且在第一操作***中,利用原有的操作界面可以动态地实现用户操作环境的定制,由于允许多个虚拟机同时运行,也就是说,可以允许多个第二操作***同时运行,用户之间的切换直接进行,没有了注销的环节,通过这种方式,使个人电脑依然支持多用户,多任务。
如图7所示,本发明的实施例还提供一种虚拟环境中用户管理方法,包括:
步骤S70,收集第一操作***为多个用户中的每一个用户分配的资源和权限;
步骤S71,将多个用户中的第一用户、第一用户对应的资源和第一用户对应的权限通过虚拟机管理器传输至第二操作***;
步骤S72,通过虚拟机管理器获取第一用户在第二操作***中根据第一用户对应的权限对该第一用户对应的资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,通过虚拟机管理器向第二操作***返回该读/写操作结果。
上述步骤S70中,多个用户,以及这多个用户分别对应的资源和权限是在第一操作***中设置和分配,并将这些多个用户中的每一个用户、每一个用户对应的资源和权限之间的相互对应关系维护在一信息资源数据库中,而本实施例中,收集多个用户中的其中一个用户的资源和权限,即收集第一用户的资源和权限;上述步骤S71可以具体为:
根据该第一用户对应的权限构造反映该第一用户的可见资源与实际资源之间映射关系的数据视图,并向虚拟机管理器发送该数据视图;
根据该数据视图为第二操作***创建第一用户在第二操作***中操作数据所依赖的软硬件环境;相应的,步骤S72可以具体为:
通过虚拟机管理器获取第一用户在第二操作***中根据该数据视图对第一用户对应的实际资源的读/写操作请求,并根据该读/写操作请求从存储器中获取相应的读写操作结果,并通过虚拟机管理器向第二操作***返回该读/写操作结果;在该步骤中,在获得第一用户的读/写操作请求时,还可以先查询上述信息资源数据库,再去存储器中读取相应的读/写操作结果,并向第二操作***返回该读/写操作结果。
这样就实现了,为第二操作***只指定一个用户,即第一用户,该第一用户在第二操作***对其资源的使用不受其他用户的影响,该第一用户的资源也不会被其他用户所访问,同时,该第一用户只能对其权限范围内的数据视图所表示的资源进行访问,该第一用户权限范围外的资源对该第一用户来说是不可见的,因此该第一用户也无法访问其他用户的资源,这样,在原有操作***支持多用户,多任务的情况下,使用户的管理和用户对资源的使用严格分离,不会出现普通用户绕过超级用户的权限而访问超级用户所拥有的资源的情况,避免信息泄露或者数据被破坏的情况。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (13)
1.一种虚拟环境中用户管理装置,包括:
虚拟机管理单元,安装有虚拟机管理器;
第一操作单元,安装有第一操作***;
第二操作单元,安装有第二操作***,所述第二操作***安装在所述虚拟机管理器上;其特征在于,所述第一操作单元包括:
管理单元,用于设置多个用户,并为所述多个用户中的每一个用户分配相应的资源和权限;
虚拟机运行管理单元,与所述管理单元和所述虚拟机管理器分别连接,用于收集所述多个用户中的每一个用户所对应的资源和权限,并将所述多个用户中的第一用户、所述第一用户对应的资源和所述第一用户对应的权限通过所述虚拟机管理器传输至所述第二操作***,并通过所述虚拟机管理器获取所述第一用户在所述第二操作***中根据所述第一用户对应的权限对所述第一用户对应的资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,并通过所述虚拟机管理器向所述第二操作***返回所述读/写操作结果。
2.根据权利要求1所述的虚拟环境中用户管理装置,其特征在于,所述虚拟机运行管理单元包括:
第一处理单元,与所述管理单元连接,用于收集所述多个用户中的第一用户、所述第一用户对应的资源和所述第一用户对应的权限;
第二处理单元,与所述第一处理单元和所述虚拟机管理单元连接,用于将所述第一用户、所述第一用户对应的资源和所述第一用户对应的权限通过所述虚拟机管理器传输至所述第二操作***;
第三处理单元,与所述第一处理单元和所述虚拟机管理单元分别连接,用于通过所述虚拟机管理器获取所述第一用户在所述第二操作***中根据所述第一用户对应的权限对所述第一用户对应的资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,并通过所述虚拟机管理器向所述第二操作***返回所述读/写操作结果。
3.根据权利要求2所述的虚拟环境中用户管理装置,其特征在于,所述第二处理单元具体为:
数据视图构造单元,与所述第一处理单元和所述虚拟机管理单元连接,用于根据所述第一用户对应的权限构造反映所述第一用户的可见资源与实际资源之间映射关系的数据视图,并向所述虚拟机管理器发送所述数据视图。
4.根据权利要求3所述的虚拟环境中用户管理装置,其特征在于,所述虚拟机管理器包括:
数据视图管理器,与所述数据视图构造单元连接,用于获取所述数据视图,并根据所述数据视图为所述第二操作***创建所述第一用户在所述第二操作***中操作数据所依赖的软硬件环境;
所述第三处理单元通过所述虚拟机管理器获取所述第一用户在所述第二操作***中根据所述数据视图对所述第一用户对应的实际资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,并通过所述虚拟机管理器向所述第二操作***返回所述读/写操作结果。
5.根据权利要求4所述的虚拟环境中用户管理装置,其特征在于,所述第一操作单元还包括:
存储单元,与所述管理单元和所述第三处理单元分别连接,用于存储所述管理单元为所述多个用户中的每一个用户分配的实际资源;
所述第三处理单元通过所述虚拟机管理器获取所述第一用户在所述第二操作***中根据所述数据视图对所述第一用户对应的实际资源的读/写操作请求,并根据所述读/写操作请求从所述存储单元中获取相应的读/写操作结果,并通过所述虚拟机管理器向所述第二操作***返回所述读/写操作结果。
6.根据权利要求1所述的虚拟环境中用户管理装置,其特征在于,所述虚拟机运行管理单元还包括:
资源信息数据库,与所述管理单元连接,用于存储所述多个用户中的每一个用户、每一个用户对应的资源和每一个用户对应的权限之间的相互对应关系。
7.根据权利要求1至6中任一项所述的虚拟环境中用户管理装置,其特征在于,所述虚拟机管理器和所述第二操作单元安装在所述第一操作单元中。
8.根据权利要求1至6中任一项所述的虚拟环境中用户管理装置,其特征在于,所述第一操作单元安装在所述虚拟机管理器上。
9.根据权利要求8所述的虚拟环境中用户管理装置,其特征在于,所述虚拟机管理器中包括一安全信息通道,连接在所述虚拟机运行管理单元和所述第二操作***之间,用于传输所述虚拟机运行管理单元和所述第二操作***之间的数据。
10.一种虚拟环境中用户管理方法,其特征在于,包括:
收集第一操作***为多个用户中的每一个用户分配的资源和权限;
将所述多个用户中的第一用户、所述第一用户对应的资源和所述第一用户对应的权限通过虚拟机管理器传输至第二操作***;
通过所述虚拟机管理器获取,所述第一用户在第二操作***中根据所述第一用户对应的权限对所述第一用户对应的资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,通过所述虚拟机管理器向所述第二操作***返回所述读/写操作结果。
11.根据权利要求10所述的方法,其特征在于,所述收集第一操作***为多个用户中的每一个用户分配的资源和权限的步骤具体为:
收集第一操作***为所述多个用户中的第一用户分配的资源和权限。
12.根据权利要求10所述的方法,其特征在于,所述将所述多个用户中的第一用户、所述第一用户对应的资源和所述第一用户对应的权限通过虚拟机管理器传输至第二操作***的步骤具体为:
根据所述第一用户对应的权限构造反映所述第一用户的可见资源与实际资源之间映射关系的数据视图,并向所述虚拟机管理器发送所述数据视图;
根据所述数据视图为所述第二操作***创建所述第一用户在所述第二操作***中操作数据所依赖的软硬件环境。
13.根据权利要求12所述的方法,其特征在于,所述通过所述虚拟机管理器获取,所述第一用户在第二操作***中根据所述第一用户对应的权限对所述第一用户对应的资源的读/写操作请求,根据所述读/写操作请求对所述第一用户对应的资源进行处理后,获得读/写操作结果,通过所述虚拟机管理器向所述第二操作***返回所述读/写操作结果的步骤具体为:
通过所述虚拟机管理器获取所述第一用户在第二操作***中根据所述数据视图对所述第一用户对应的实际资源的读/写操作请求,并根据所述读/写操作请求从存储单元中获取相应的读写操作结果,并通过所述虚拟机管理器向所述第二操作***返回所述读/写操作结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101199040A CN101673215B (zh) | 2008-09-09 | 2008-09-09 | 一种虚拟环境中用户管理装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101199040A CN101673215B (zh) | 2008-09-09 | 2008-09-09 | 一种虚拟环境中用户管理装置及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101673215A CN101673215A (zh) | 2010-03-17 |
CN101673215B true CN101673215B (zh) | 2012-12-12 |
Family
ID=42020449
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101199040A Active CN101673215B (zh) | 2008-09-09 | 2008-09-09 | 一种虚拟环境中用户管理装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101673215B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103377330B (zh) * | 2012-04-23 | 2016-08-17 | 佛山市智慧岛信息技术有限公司 | 一种虚拟资源分配方法及虚拟资源分配*** |
TWI468976B (zh) * | 2012-06-05 | 2015-01-11 | Quanta Comp Inc | 動態軟體授權平台及方法 |
CN103020501B (zh) * | 2012-11-14 | 2017-02-15 | 无锡城市云计算中心有限公司 | 用户数据的访问控制方法和装置 |
CN103107994B (zh) * | 2013-02-06 | 2017-02-08 | 中电长城网际***应用有限公司 | 一种虚拟化环境数据安全隔离方法和*** |
US9165150B2 (en) * | 2013-02-19 | 2015-10-20 | Symantec Corporation | Application and device control in a virtualized environment |
CN104427097B (zh) * | 2013-08-26 | 2017-06-27 | 联想(北京)有限公司 | 终端设备以及切换方法 |
CN104657690A (zh) * | 2013-11-20 | 2015-05-27 | 中兴通讯股份有限公司 | 外部设备控制方法及装置 |
CN105099683A (zh) * | 2014-05-08 | 2015-11-25 | 中兴通讯股份有限公司 | 一种账户分配方法和装置 |
CN106295391B (zh) * | 2015-06-09 | 2021-02-19 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
CN106548095A (zh) * | 2015-09-23 | 2017-03-29 | 深圳市全智达科技有限公司 | 外部设备连接控制方法及装置 |
CN105550854A (zh) * | 2016-01-26 | 2016-05-04 | 中标软件有限公司 | 一种云环境管理平台的访问控制装置 |
CN105912931A (zh) * | 2016-05-23 | 2016-08-31 | 北京北信源软件股份有限公司 | 一种虚拟化环境下修复离线虚拟机漏洞的方法及*** |
CN105871939A (zh) * | 2016-06-26 | 2016-08-17 | 杨越 | 网络环境下虚拟机安全隔离*** |
US10375111B2 (en) * | 2016-11-12 | 2019-08-06 | Microsoft Technology Licensing, Llc | Anonymous containers |
CN113326096A (zh) * | 2021-06-03 | 2021-08-31 | 成都市昊峰网络工程有限公司 | 一种虚拟机安全管理*** |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1794131A (zh) * | 2004-12-21 | 2006-06-28 | 微软公司 | 诸如虚拟机或硬化操作***中的计算机安全管理 |
-
2008
- 2008-09-09 CN CN2008101199040A patent/CN101673215B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1794131A (zh) * | 2004-12-21 | 2006-06-28 | 微软公司 | 诸如虚拟机或硬化操作***中的计算机安全管理 |
Also Published As
Publication number | Publication date |
---|---|
CN101673215A (zh) | 2010-03-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101673215B (zh) | 一种虚拟环境中用户管理装置及方法 | |
EP2649548B1 (en) | Antimalware protection of virtual machines | |
EP2656206B1 (en) | Probe insertion via background virtual machine | |
US8448219B2 (en) | Securely hosting workloads in virtual computing environments | |
US8127412B2 (en) | Network context triggers for activating virtualized computer applications | |
US8732824B2 (en) | Method and system for monitoring integrity of running computer system | |
US20150304344A1 (en) | System and method for controlling virtual network including security function | |
Patrascu et al. | Logging system for cloud computing forensic environments | |
CN105512550B (zh) | 用于活跃的操作***内核保护的***和方法 | |
Zhang et al. | Security-preserving live migration of virtual machines in the cloud | |
CN103414585A (zh) | 建立业务***的安全基线的方法和装置 | |
CN109587106A (zh) | 密码分区的云中的跨域安全性 | |
CN104871174A (zh) | 用于“自带”管理的引导机制 | |
US9734325B1 (en) | Hypervisor-based binding of data to cloud environment for improved security | |
CN103996003A (zh) | 一种虚拟化环境中的数据擦除***及方法 | |
RU2557476C2 (ru) | Аппаратно-вычислительный комплекс с повышенными надежностью и безопасностью в среде облачных вычислений | |
US9785492B1 (en) | Technique for hypervisor-based firmware acquisition and analysis | |
US20230137436A1 (en) | Data privacy preservation in object storage | |
KR101994664B1 (ko) | 클라우드 서비스를 기반으로 제공되는 취약점 진단 시스템 | |
US20070261123A1 (en) | Method and apparatus for runtime memory executable separation | |
Han et al. | Empirical study on anti-virus architecture for container platforms | |
US9696940B1 (en) | Technique for verifying virtual machine integrity using hypervisor-based memory snapshots | |
CN106951775A (zh) | 一种基于操作***内核虚拟化技术的安全保障*** | |
Tsifountidis | Virtualization security: Virtual machine monitoring and introspection | |
KR101108078B1 (ko) | 멀티 유저 컴퓨터의 망 전환 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |