技術領域

本發明涉及一種計算機應用技術領域，具體地說是一種利用強制訪問控制限制云計算特權用戶權限的方法。

本發明涉及云操作系統數據中心安全領域，尤其是對于特權用戶訪問權限的管理，具體地說是一種基于ROST(Reinforcement?Operating?System?Technique)的方法，核心就是在云操作系統底層構建云安全模塊來實現強制訪問控制來限制特權用戶對資源的訪問和操作。

背景技術

云計算以及基于云計算的應用越來越多，其高效以及節約成本等諸多優點使得其受到業界的關注。但是，它的安全問題尤其是特權用戶的信任問題一直成為許多廠商猶豫的主要原因。尤其是在政府部門、金融部門等準備大規模應用這種新技術的時候，成為最大的阻礙。

特權用戶的管理和信任問題，是影響用戶是否決定向云計算遷移的很重要的一個因素。由于在云計算環境中，用戶的關鍵數據包括密鑰都是存儲在遠端的數據中心的，所以如何控避免內部人員也就是特權用戶濫用用戶數據，造成用戶嚴重的損失，是十分必要的。因而限制特權用戶的訪問和操作，構建安全的云計算操作系統刻不容緩。本技術與傳統的安全技術相結合，能夠限制云計算特權用戶的權限，必將推動云計算更廣泛的應用。

發明內容

本發明的目的是提供一種利用強制訪問控制限制云計算特權用戶權限的方法。

本發明的目的是按以下方式實現的，在云操作系統底層加上安全模塊，攔截特權用戶所有的文件訪問路徑并記錄，從而達到限制特權用戶訪問數據中心的要求，安全模塊主要組件是強制訪問控制模塊，強制訪問控制模塊基于用戶對文件的訪問控制，因為特權用戶的一切操作都要最終轉換成對文件的操作，所以只需控制其對文件的操作即可控制限制特權用戶訪問云計算；

限制步驟如下：

云安全模塊中的文件系統過濾驅動程序在初始化時，逐條插入訪問規則，并允許任何時候動態添加或刪除指定結點，以便截獲來自特權用戶或者進程對數據的I/O請求，當截獲到數據的I/O請求時遍歷規則鏈表，并根據所定義的訪問規則進行過濾，符合規則者立即轉交原服務函數，否則丟棄。

本發明的優異效果是，云計算中限制特權用戶權限的技術通過控制特權用戶對文件的訪問，解決了用戶對于特權用戶不信任的困擾。通過強制訪問控制保護云計算數據中心中用戶的資源，尤其是密鑰和關鍵業務數據等。

附圖說明

圖1是增加安全模塊處理特權用戶訪問數據中心的系統結構示意圖；

具體實施方式

參照說明書附圖對本發明的方法作以下詳細地說明。

在云操作系統底層加上安全模塊，攔截特權用戶所有的文件訪問路徑并記錄，從而達到限制特權用戶訪問數據中心的要求。

安全模塊主要組件是強制訪問控制模塊。

強制訪問控制模塊基于用戶對文件的訪問控制，因為特權用戶的一切操作都可以最終轉換成對文件的操作，所以只需控制其對文件的操作即可。

限制步驟如下：

云安全模塊中的文件系統過濾驅動程序在初始化時，逐條插入訪問規則，并允許任何時候動態添加或刪除指定結點，以便截獲來自特權用戶或者進程對數據的I/O請求，當截獲到數據的I/O請求時遍歷規則鏈表，并根據所定義的訪問規則進行過濾，符合規則者立即轉交原服務函數，否則丟棄。