[发明专利]一种计算机和虚拟环境中用户管理方法

说明书

技术领域

本发明涉及计算机领域中计算机系统用户管理，特别是指一种虚拟环境中 用户管理装置及方法。

背景技术

现在的个人电脑，都支持多用户、多任务的操作系统。一般情况下，电脑 中有一个缺省的超级用户，他可以创建其他用户，并赋予其他用户一定的权限。 由超级用户创建出的其他用户，由于角色不同，可以看到的电脑资源和对电脑 资源的操作权限也不相同；但超级用户或者超级用户授权的用户，可以看见和 操作所有的电脑资源。

正常情况下，这种用户权限管理方案可以很好地实现电脑用户资源的管 理。在互联网时代，在黑客、病毒等攻击和破坏下，经常出现低级用户通过运 行有漏洞的程序，在不知道口令的情况下，获得了超级用户的权限以及所有电 脑资源的控制权，进而造成信息泄露或者数据破坏等。这已成为了系统管理员 和软件开发人员的一大心病。

目前，业界的解决办法多是采取“亡羊补牢”的方法。比如，系统中装入 杀毒软件，实时地对数据和软件进行检测，一旦发现病毒、木马，就禁止用户 操作数据或禁止软件运行。又如，系统中装入防火墙，斩断黑手伸向电脑系统 的途径。又如，对用户数据进行加密或隐藏处理以保证数据的安全存储和使用。 在这个攻防战斗中，攻方一直处于主动。

比较理想的方法是开发无缺陷的系统，比如高质量的代码可避免缓冲区溢 出等等。从理论上分析，系统使用时间上滞后于系统开发，很多情况开发系统 时无法预料。现实中，系统开发人员水平参差不齐，系统测试力度大小不同。 所以，无缺陷系统只能无限逼近，不能最终实现。

经分析，有两个原因导致了这个难题：一是用户权限分级，不仅存在超级 用户、系统管理员、普通用户的区别，还存在用户模式、内核模式两种运行状 态，在某种情况下还允许发生权限切换；二是缺乏必要的措施，拥有顶级权限 的用户可以看见和操作所有电脑资源，攻方一旦获得顶级权限，危害极大。

发明人在实现本发明的过程中，发现现有技术至少存在如下问题：

在多用户，多任务的电脑系统中，由于多个用户在同一操作系统中对资源 进行操作，但拥有顶级权限的用户可以操作所有的电脑资源，这样权限低的用 户可以通过运行某种有漏洞的软件，获得该拥有顶级权限的用户的权限以及所 有电脑资源的控制权，进而造成信息泄露或者数据破坏。

发明内容

本发明要解决的技术问题是提供一种虚拟环境中用户管理装置及方法，使 计算机系统的多用户之间的权限和资源得到很好的隔离，保证了各个用户在各 自的权限范围内使用该用户的资源，避免了该用户超越自己的权限使用其他用 户的资源的情况。

为解决上述技术问题，本发明的实施例提供技术方案如下：

一方面，提供一种虚拟环境中用户管理装置，包括：

虚拟机管理单元，安装有虚拟机管理器；

第一操作单元，安装有第一操作系统；

第二操作单元，安装有第二操作系统，所述第二操作系统安装在所述虚拟 机管理器上；所述第一操作单元包括：

管理单元，用于设置多个用户，并为所述多个用户中的每一个用户分配相 应的资源和权限；

虚拟机运行管理单元，与所述管理单元和所述虚拟机管理器分别连接，用 于收集所述多个用户中的每一个用户所对应的资源和权限，并将所述多个用户 中的第一用户、所述第一用户对应的资源和所述第一用户对应的权限通过所述 虚拟机管理器传输至所述第二操作系统，并通过所述虚拟机管理器获取所述第 一用户在所述第二操作系统中根据所述第一用户对应的权限对所述第一用户 对应的资源的读/写操作请求，根据所述读/写操作请求对所述第一用户对应的 资源进行处理后，获得读/写操作结果，并通过所述虚拟机管理器向所述第二 操作系统返回所述读/写操作结果。

优选的，所述虚拟机运行管理单元包括：

第一处理单元，与所述管理单元连接，用于收集所述多个用户中的第一用 户、所述第一用户对应的资源和所述第一用户对应的权限；

第二处理单元，与所述第一处理单元和所述虚拟机管理单元连接，用于将 所述第一用户、所述第一用户对应的资源和所述第一用户对应的权限通过所述 虚拟机管理器传输至所述第二操作系统；