【技术实现步骤摘要】
基于强制访问控制的共享用户环境隔离方法、系统及介质
本专利技术涉及操作系统、强制访问控制和虚拟桌面领域,具体涉及一种基于强制访问控制的共享用户环境隔离方法、系统及介质。
技术介绍
在柜台、办公等特定场景下需要多人共用一台计算机,每人使用自己的账号进行登录,各账户间通过自主访问控制机制进行隔离。在虚拟桌面场景下,为了提升单台机器的供给能力会采用共享用户环境的实现方式,即多人使用自己的账号密码通过桌面协议访问相同的机器。共享用户环境共用操作系统内核和系统基础库,较虚拟化相比几乎没有性能损失,在隔离性要求不高且追求性价比的场景下被大量使用。当前共享用户环境下不同用户间的隔离主要依靠操作系统的自主访问控制机制来实现。自主访问控制(DiscretionaryAccessControl,DAC)由客体的属主对自己的客体进行管理,由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的。也就是说,在自主访问控制下,用户可以按自己的意愿,有选择地与其他用户共享他的文件。在Linux系统下每个用户都对应一个用...
【技术保护点】
1.一种基于强制访问控制的共享用户环境隔离方法,其特征在于实施步骤包括:/n监测用户登录,当监测到用户登录成功后获取该用户对应的安全类别,使用该安全类别设置进程安全属性,然后通过系统登录器继续创建该用户对应的桌面环境,系统登录器派生的进程全部继承该安全类别,系统派生的子进程默认继承父进程的安全类别,进程产生的包括文件在内的客体也继承该进程的安全类别;/n监测进程请求相关权限的操作,当监测到进程请求相关权限时,通过系统强制访问控制机制依据操作的主、客体安全类别进行权限检查,只有主、客体安全类别存在包含关系时才允许该操作,当主、客体安全类别不存在包含关系时则拒绝该权限请求。/n
【技术特征摘要】
1.一种基于强制访问控制的共享用户环境隔离方法,其特征在于实施步骤包括:
监测用户登录,当监测到用户登录成功后获取该用户对应的安全类别,使用该安全类别设置进程安全属性,然后通过系统登录器继续创建该用户对应的桌面环境,系统登录器派生的进程全部继承该安全类别,系统派生的子进程默认继承父进程的安全类别,进程产生的包括文件在内的客体也继承该进程的安全类别;
监测进程请求相关权限的操作,当监测到进程请求相关权限时,通过系统强制访问控制机制依据操作的主、客体安全类别进行权限检查,只有主、客体安全类别存在包含关系时才允许该操作,当主、客体安全类别不存在包含关系时则拒绝该权限请求。
2.根据权利要求1所述的基于强制访问控制的共享用户环境隔离方法,其特征在于,所述监测用户登录之前还包括通过安全管理员设置用户的安全类别的步骤。
3.根据权利要求2所述的基于强制访问控制的共享用户环境隔离方法,其特征在于,所述设置用户的安全类别默认每个用户的安全类别都不同以使得每个用户间禁止相互访问。
4.一种基于强制访问控制的共享用户环境隔离系统,其特征在于包括:
用户登录监测程序模块,用于监测用户登录,当监测到用户登录成功后获取该用户对应的安全类别,使用该安全类别设置进程安全属性,然后通过系统登录器继续创建该用户对应的桌面环境,系统登录器派生的进程全部继承该安全类别,系统派生的子进程默认继承父进程的安全类别...
【专利技术属性】
技术研发人员:孙利杰,杨鹏举,欧阳殷朝,胡智峰,夏华,李广辉,陈松政,刘文清,杨涛,
申请(专利权)人:湖南麒麟信安科技有限公司,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。