專利名稱:用戶數(shù)據(jù)的訪問控制方法和裝置的制作方法
技術領域:
本發(fā)明涉及計算機領域���,并且特別地��,涉及一種用戶數(shù)據(jù)的訪問控制法和裝置���。
背景技術:
在公共云計算環(huán)境中,用戶根據(jù)自己的需求定制資源和服務����。由于每個用戶的需求不同��,要使每個用戶在定制資源和服務感覺像是在PC機上一樣方便并非易事����,但虛擬化技術可以滿足這樣的要求���。虛擬化技術�����,即如圖1所示,對每個用戶建立一臺虛擬機����,用戶可以在臺虛擬機上根據(jù)自己的需求安裝軟件并且進行個性化設置。而在私有云環(huán)境中����,用戶的需求比較類似,甚至需要相同的工作環(huán)境����,例如一個團隊在虛擬機中協(xié)作完成一項任務。如圖2所示��,在該情況下,多個用戶可以使用共享鏡像文件�,例如可以共享一份拷貝文件,因此����,可以節(jié)約空間,從而減少設備成本����。針對公共云計算環(huán)境中的虛擬化技術,例如��,對每個用戶建立一臺虛擬機����,是容易實現(xiàn)的,因此很多廠商都會采用這種方式���。該方式的優(yōu)點在于���,由于每個用戶虛擬機之間是獨立的,因此多個用戶在其虛擬機中執(zhí)行任務而互不影響�;并且,當用戶在使用結束后將會釋放計算機資源��,供其他用戶使用。但是��,該方式的缺陷是虛擬機不易管理���,會出現(xiàn)例如虛擬機遷移�、負載不均衡等問題�。很多桌面平臺虛擬化產品剛開始給所有的用戶提供一個共享磁盤鏡像文件。在用戶登錄系統(tǒng)之后����,可以根據(jù)各自不同的需求定制會話��。這種方式可以讓所有用戶共享相同鏡像文件節(jié)省費用���,同時運行時定制的會話可以保證每個用戶都擁有自己的個性化工作環(huán)境��。但是���,現(xiàn)有的基于共享虛擬機的系統(tǒng)對用戶的應用運行缺少有效的管理措施,導致用戶加載和運行應用的過程較為混亂��,不僅會占用系統(tǒng)存儲空間���,還會影響系統(tǒng)資源的
合理利用����。針對相關技術中缺少對應用加載和運行的有效管理而導致系統(tǒng)的問題,目前尚未提出有效的解決方案����。
發(fā)明內容
針對相關技術中的問題,本發(fā)明提出一種用戶數(shù)據(jù)的訪問控制方法���,能夠使用戶在虛擬機中對用戶數(shù)據(jù)進行訪問�,根據(jù)用戶的權限提供并運行符合權限要求的應用���,優(yōu)化系統(tǒng)的資源使用�,節(jié)省了系統(tǒng)存儲空間��。本發(fā)明的技術方案是這樣實現(xiàn)的根據(jù)本發(fā)明的一個方面�,提供了一種用戶數(shù)據(jù)的訪問控制方法。 該訪問控制方法包括根據(jù)接入共享虛擬機的用戶的權限以及應用所對應的權限���,以應用共享的方式對用戶提供應用�����,其中���,共享虛擬機統(tǒng)一受理用戶的接入����;運行為每個用戶提供的應用�,實現(xiàn)每個用戶對各自數(shù)據(jù)的訪問。
其中����,以應用共享的方式對用戶提供應用包括如果用戶期望運行的指定應用為共享虛擬機已安裝的應用,并且用戶的權限與指定應用對應的權限相匹配��,則允許對該用戶提供指定應用�。并且���,用戶的權限與指定應用對應的權限相匹配包括以下至少之一用戶的權限高于或等于指定應用對應的權限�;指定應用經持有者授權提供給期望運行該指定應用的用戶��。此外�,該訪問控制方法進一步包括如果用戶期望運行的應用沒有被安裝,則判斷用戶是否具有安裝應用的權限,并在判斷結果為是的情況下����,允許該用戶安裝并運行該應用。其中���,在實現(xiàn)每個用戶對各自數(shù)據(jù)的訪問之前�����,該訪問控制方法進一步包括對每個需要訪問數(shù)據(jù)的用戶進行驗證�,在用戶通過驗證的情況下��,允許該用戶訪問屬于該用戶的數(shù)據(jù)�����?����?蛇x地�����,在對用戶提供應用程序之前,根據(jù)第一驗證方法對用戶進行鑒權并確定用戶的權限��;并且�,在對每個需要訪問數(shù)據(jù)的用戶進行驗證時,通過第二驗證方法對用戶進行驗證�����,第二驗證方法的安全性高于第一驗證方法的安全性���。根據(jù)本發(fā)明的另一個方面�����,提供了一種用戶數(shù)據(jù)的訪問控制裝置�����。該訪問控制裝置����,包括提供模塊�,用于根據(jù)接入共享虛擬機的用戶的權限以及應用所對應的權限��,以應用共享的方式對用戶提供應用,其中���,共享虛擬機統(tǒng)一受理用戶的接入��;訪問模塊����,用于運行為每個用戶提供的應用���,實現(xiàn)每個用戶對各自數(shù)據(jù)的訪問�����。并且���,在用戶期望運行的指定應用為共享虛擬機已安裝的應用,并且用戶的權限與指定應用對應的權限相匹配的情況下����,則提供模塊允許對該用戶提供指定應用。其中��,用戶的權限與指定應用對應的權限相匹配包括以下至少之一用戶的權限高于或等于指定應用對應的權限����;指定應用經持有者授權提供給期望運行該指定應用的用戶���。此外,該訪問控制裝置進一步包括安裝模塊��,用于在用戶期望運行的應用沒有被安裝的情況下�����,判斷用戶是否具有安裝應用的權限���,并在判斷結果為是的情況下����,允許該用戶安裝該應用���。本發(fā)明通過根據(jù)接入共享虛擬機的用戶的權限以及應用所對應的權限�����,以共享的方式對用戶提供應用����,并且運行為每個用戶提供的應用進而訪問數(shù)據(jù)��,能夠借助于權限的管理控制用戶對應用程序的使用�,能夠對應用程序的提供和運行實現(xiàn)合理的控制,優(yōu)化系統(tǒng)的資源使用�;此外,由于應用程序以共享的方式保存并提供�����,因此���,能夠有助于在系統(tǒng)進行統(tǒng)一維護����,并且節(jié)約存儲空間���。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案�����,下面將對實施例中所需要使用的附圖作簡單地介紹�����,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講��,在不付出創(chuàng)造性勞動的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。圖1是相關技術中非共享虛擬機為用戶提供服務的原理示意圖����;圖2是相關技術中共享虛擬機為用戶提供服務的原理示意圖;圖3是根據(jù)本發(fā)明的實施例的用戶數(shù)據(jù)的訪問控制方法的流程圖�����;圖4是根據(jù)本發(fā)明的實施例的用戶數(shù)據(jù)的訪問控制方法的具體實施方式
的原理圖��;圖5是根據(jù)本發(fā)明的實施例的用戶數(shù)據(jù)的訪問控制裝置的框圖��。
具體實施例方式下面將結合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術方案進行清楚����、完整地描述��,顯然�����,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例�。基于本發(fā)明中的實施例��,本領域普通技術人員所獲得的所有其他實施例�,都屬于本發(fā)明保護的范圍。根據(jù)本發(fā)明的一個方面��,提供了一種用戶數(shù)據(jù)的訪問控制方法如圖3所示�,其特征在于,該訪問控制方法包括步驟301����,根據(jù)接入共享虛擬機的用戶的權限以及應用所對應的權限,以應用共享的方式對用戶提供應用��,其中�����,共享虛擬機統(tǒng)一受理用戶的接入;步驟303�,運行為每個用戶提供的應用,實現(xiàn)每個用戶對各自數(shù)據(jù)的訪問�����。其中���,以應用共享的方式對用戶提供應用包括如果用戶期望運行的指定應用為共享虛擬機已安裝的應用��,并且用戶的權限與指定應用對應的權限相匹配�����,則允許對該用戶提供指定應用�����。并且��,用戶的權限與指定應用對應的權限相匹配包括以下至少之一用戶的權限高于或等于指定應用對應的權限����; 指定應用經持有者授權提供給期望運行該指定應用的用戶。此外���,該訪問控制方法進一步包括如果用戶期望運行的應用沒有被安裝����,則判斷用戶是否具有安裝應用的權限��,并在判斷結果為是的情況下���,允許該用戶安裝并運行該應用。其中��,在實現(xiàn)每個用戶對各自數(shù)據(jù)的訪問之前�����,該訪問控制方法進一步包括對每個需要訪問數(shù)據(jù)的用戶進行驗證����,在用戶通過驗證的情況下,允許該用戶訪問屬于該用戶的數(shù)據(jù)����?�?蛇x地����,在對用戶提供應用程序之前���,根據(jù)第一驗證方法對用戶進行鑒權并確定用戶的權限����;并且����,在對每個需要訪問數(shù)據(jù)的用戶進行驗證時,通過第二驗證方法對用戶進行驗證�,第二驗證方法的安全性高于第一驗證方法的安全性。如圖4所示�����,根據(jù)本發(fā)明以上實施例����,可以將虛擬機的使用分成三個層次最底層�����、中間層�、頂端層�。具體地,在圖4中����,最底層代表共享虛擬機層,主要包括系統(tǒng)級別的軟件和所有用戶都需要的一些軟件����。所有用戶可以共享該層的軟件,因而沒必要自己申請和安裝�。用戶沒有安裝權限����,只有管理員具有安裝、刪除�、更新該層軟件的權限。
中間層是用戶自定義軟件層�,用戶在用戶自定義軟件層可以安裝并使用軟件。對于某個用戶來說該層是透明的����,不需要知道自己把軟件安裝在何處��。其他用戶可以看到該用戶安裝的軟件��,但不具備使用權限��,只用當軟件安裝者共享該軟件后�,其他用戶才能使用�。頂端層是用戶數(shù)據(jù)層,用戶數(shù)據(jù)保存的是用戶私有信息�,如配置文件、工作文檔和定制信息等不能公開的信息�。對該層來說,安全性最為重要�����。三個層次的劃分主要是為了保護用戶數(shù)據(jù)的安全���,并賦予用戶最大的自由度�。在共享虛擬機層中�����,由于用戶不具備接觸系統(tǒng)的權限,因而保護了系統(tǒng)的安全��,并且共享虛擬機層有專業(yè)的管理員進行維護��,免了用戶的維護精力�����;在自定義軟件層�����,用戶可以自定義安裝軟件���,并通過共享設置與其他用戶共享該軟件���;使用最安全的加密算法和安全機制能使用戶數(shù)據(jù)層的信息得到嚴格保密。此外�,用戶共享虛擬機層以及自定義軟件層的軟件也避免了軟件的多次安裝能使系統(tǒng)資源得到有效利用�����,減小了虛擬機的管理成本開銷�。雖然現(xiàn)有技術中存在共享虛擬機��,但是現(xiàn)有技術中的共享虛擬機主要存在以下限制第一�,基本“個性化”信息(如��,桌面平臺背景壁紙和鼠標指針的選擇)僅僅是儲存在Windows配置文件(Windows Roaming Profile)中�。但不能簡單地由Windows配置文件引擎捕獲并且保存用戶做出的修改(包括在Windows配置文件根文件夾之外所做的每個修改),因為Windows配置文件子系統(tǒng)不知道對這些“修改”作何定位���;第二���,使用“共享基”鏡像文件的解決方案支持“用戶安裝應用程序”。也就是說�����,用戶就不能安裝自己所需的應用程序�����,已加載到“共享基”鏡像文件中的應用程序是由IT部門管理員指定安裝�。而借助于本發(fā)明所提供的技術方案,能夠對用戶的權限進行判斷�����,進而限制不同用戶的行為,并且能夠借助于共享式的應用平臺�,為用戶提供與權限相符的應用,還可以允許特定權限的用戶安裝應用����,從而使用戶就像操作自己的電腦一樣使用整個系統(tǒng),有效克服了上述問題�。根據(jù)本發(fā)明的另一個方面,提供了一種用戶數(shù)據(jù)的訪問控制裝置��。該控制裝置包括提供模塊51�,用于根據(jù)接入共享虛擬機的用戶的權限以及應用所對應的權限,以應用共享的方式對用戶提供應用��,其中��,共享虛擬機統(tǒng)一受理用戶的接入�;訪問模塊53,用于運行為每個用戶提供的應用�,實現(xiàn)每個用戶對各自數(shù)據(jù)的訪問。并且�,在用戶期望運行的指定應用為共享虛擬機已安裝的應用,并且用戶的權限與指定應用對應的權限相匹配的情況下��,則提供模塊允許對該用戶提供指定應用�����。其中�,用戶的權限與指定應用對應的權限相匹配包括以下至少之一用戶的權限高于或等于指定應用對應的權限;指定應用經持有者授權提供給期望運行該指定應用的用戶��。此外����,該訪問控制裝置進一步包括安裝模塊,用于在用戶期望運行的應用沒有被安裝的情況下����,判斷用戶是否具有安裝應用的權限,并在判斷結果為是的情況下�����,允許該用戶安裝該應用���。綜上所述���,借助于本發(fā)明的上述技術方案,通過根據(jù)接入共享虛擬機的用戶的權限以及應用所對應的權限���,以共享的方式對用戶提供應用�����,并且運行為每個用戶提供的應用進而訪問數(shù)據(jù)����,能夠借助于權限的管理控制用戶對應用程序的使用,能夠對應用程序的提供和運行實現(xiàn)合理的控制����,優(yōu)化系統(tǒng)的資源使用;此外��,由于應用程序以共享的方式保存并提供��,因此�����,能夠有助于在系統(tǒng)進行統(tǒng)一維護���,并且節(jié)約存儲空間����;此外,如果指定應用為共享虛擬機所沒有的�����,則可由用戶進行自定義安裝并運行���;此外,用戶還可以相互共享應用(可以借助請求-應答或其他方式)�,從而進一步完善了應用共享的平臺,提高用戶使用應用的自由度�;另外,通過對應用的提供和用戶數(shù)據(jù)的加載分別進行驗證����,能夠進一步保障用戶數(shù)據(jù)的安全性。以上所述僅為本發(fā)明的較佳實施例而已��,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內,所作的任何修改�����、等同替換、改進等��,均應包含在本發(fā)明的保護范圍之內����。
權利要求
1.一種用戶數(shù)據(jù)的訪問控制方法,其特征在于���,包括 根據(jù)接入共享虛擬機的用戶的權限以及應用所對應的權限���,以應用共享的方式對用戶提供應用,其中�,共享虛擬機統(tǒng)一受理用戶的接入; 運行為每個用戶提供的應用��,實現(xiàn)每個用戶對各自數(shù)據(jù)的訪問����。
2.根據(jù)權利要求1所述的訪問控制方法,其特征在于���,以應用共享的方式對用戶提供應用包括 如果用戶期望運行的指定應用為共享虛擬機已安裝的應用���,并且用戶的權限與所述指定應用對應的權限相匹配��,則允許對該用戶提供所述指定應用��。
3.根據(jù)權利要求2所述的訪問控制方法���,其特征在于��,用戶的權限與所述指定應用對應的權限相匹配包括以下至少之一 用戶的權限高于或等于所述指定應用對應的權限����; 所述指定應用經持有者授權提供給期望運行該指定應用的用戶。
4.根據(jù)權利要求1所述的訪問控制方法�����,其特征在于�����,進一步包括 如果用戶期望運行的應用沒有被安裝��,則判斷用戶是否具有安裝應用的權限���,并在判斷結果為是的情況下�����,允許該用戶安裝并運行該應用���。
5.根據(jù)權利要求1所述的訪問控制方法����,其特征在于����,在實現(xiàn)每個用戶對各自數(shù)據(jù)的訪問之前,所述方法進一步包括 對每個需要訪問數(shù)據(jù)的用戶進行驗證��,在用戶通過驗證的情況下����,允許該用戶訪問屬于該用戶的數(shù)據(jù)。
6.根據(jù)權利要求5所述的配置方法����,其特征在于, 在對用戶提供應用程序之前�����,根據(jù)第一驗證方法對用戶進行鑒權并確定用戶的權限; 并且�����,在對每個需要訪問數(shù)據(jù)的用戶進行驗證時���,通過第二驗證方法對用戶進行驗證�,所述第二驗證方法的安全性高于所述第一驗證方法的安全性����。
7.一種用戶數(shù)據(jù)的訪問控制裝置����,其特征在于,包括 提供模塊�,用于根據(jù)接入共享虛擬機的用戶的權限以及應用所對應的權限,以應用共享的方式對用戶提供應用�����,其中����,共享虛擬機統(tǒng)一受理用戶的接入�����; 訪問模塊��,用于運行為每個用戶提供的應用���,實現(xiàn)每個用戶對各自數(shù)據(jù)的訪問。
8.根據(jù)權利要求7所述的訪問控制裝置��,其特征在于�����,在用戶期望運行的指定應用為共享虛擬機已安裝的應用�,并且用戶的權限與所述指定應用對應的權限相匹配的情況下,則所述提供模塊允許對該用戶提供所述指定應用���。
9.根據(jù)權利要求8所述的訪問控制方法����,其特征在于�,用戶的權限與所述指定應用對應的權限相匹配包括以下至少之一 用戶的權限高于或等于所述指定應用對應的權限���; 所述指定應用經持有者授權提供給期望運行該指定應用的用戶。
10.根據(jù)權利要求7所述的訪問控制方法����,其特征在于,進一步包括 安裝模塊�����,用于在用戶期望運行的應用沒有被安裝的情況下����,判斷用戶是否具有安裝應用的權限,并在判斷結果為是的情況下�����,允許該用戶安裝該應用�����。
全文摘要
本發(fā)明公開了一種用戶數(shù)據(jù)的訪問控制法和裝置�����,該方法包括根據(jù)接入共享虛擬機的用戶的權限以及應用所對應的權限�,以應用共享的方式對用戶提供應用,其中��,共享虛擬機統(tǒng)一受理用戶的接入�����;運行為每個用戶提供的應用��,實現(xiàn)每個用戶對各自數(shù)據(jù)的訪問���。此外�,如果指定應用為共享虛擬機所沒有的�����,則可由用戶進行自定義安裝并運行��。通過本發(fā)明����,能夠使用戶在虛擬機中對用戶數(shù)據(jù)進行訪問,并且自定義所需應用程序,從而使用戶具有較大的自由度�����,而對用戶進行鑒權能使用戶數(shù)據(jù)的安全性得到保障�����,由于虛擬機內軟件共享能避免軟件的多次安裝使得系統(tǒng)資源得到有效利用�����,減小了虛擬機的管理成本開銷���。
文檔編號G06F9/455GK103020501SQ20121045733
公開日2013年4月3日 申請日期2012年11月14日 優(yōu)先權日2012年11月14日
發(fā)明者楊云鵬 申請人:曙光云計算技術有限公司