一种资源隔离方法及电子设备技术

本发明专利技术公开了一种资源隔离方法及电子设备，涉及安全技术领域，用于保证嵌入式设备中涉及安全以及控制的应用不受攻击，应用于包括多个内存以及多个中央处理器CPU的电子设备，包括：获取预设的配置文件；配置文件包括操作系统的内存配置信息、CPU配置信息以及外围设备配置信息；根据配置文件，分别生成第一域以及第二域；第一域包括相对独立的第一操作系统、第一内存、第一CPU以及第一外围设备，第二域包括相对独立的第二操作系统、第二内存、第二CPU以及第二外围设备；第一域与第二域相对隔离。

【技术实现步骤摘要】
一种资源隔离方法及电子设备
本专利技术涉及通信
，尤其涉及一种资源隔离方法及电子设备。
技术介绍
目前很多安全攸关的行业，例如车载系统、工业自动化设备、IOT安全类应用的嵌入式设备中，一般都没有采取安全防护措施。由于这些嵌入式设备还与具有通信功能(例如蓝牙、移动热点Wifi、通用串行总线(universalserialbus，USB))的外围设备连接，且多个外围设备共用一个操作系统，这就存在恶意程序通过这些外围设备攻击嵌入式设备的操作系统的可能性，这就导致嵌入式设备中负责安全以及控制的应用存在一定的安全隐患。但是，由于嵌入式设备通常处理能力有限，没有办法安装通用的杀毒软件，即使勉强安装通用杀毒软件，又会造成系统无法通过形式化验证，无法满足现有的应用场景。
技术实现思路
本专利技术的实施例提供一种资源隔离方法及装置，用于保证嵌入式设备中涉及安全以及控制的应用不受攻击。为达到上述目的，本专利技术的实施例采用如下技术方案：第一方面，提供了一种资源隔离方法，应用于包括多个内存以及多个中央处理器CPU的电子设备，该方法包括：获取预设的配置文件；所述配置文件包括操作系统的内存配置信息、CPU配置信息以及外围设备配置信息；根据所述配置文件，分别生成第一域以及第二域；所述第一域包括相对独立的第一操作系统、第一内存、第一CPU以及第一外围设备，所述第二域包括相对独立的第二操作系统、第二内存、第二CPU以及第二外围设备；所述第一域与所述第二域相对隔离。第二方面，提供了一种电子设备，该电子设备包括获取单元以及生成单元；所述获取单元，用于获取预设的配置文件；所述配置文件包括操作系统的内存配置信息、CPU配置信息以及外围设备配置信息；所述生成单元，用于根据所述获取单元获取到的所述配置文件，分别生成第一域以及第二域；所述第一域包括相对独立的第一操作系统、第一内存、第一CPU以及第一外围设备，所述第二域包括相对独立的第二操作系统、第二内存、第二CPU以及第二外围设备；所述第一域与所述第二域相对隔离。第三方面，提供了一种存储一个或多个程序的计算机可读存储介质，该一个或多个程序包括指令，上述指令当被计算机执行时使计算机执行如第一方面的资源隔离方法。第四方面，一种电子设备，包括：处理器以及存储器；其中，存储器用于存储一个或多个程序，一个或多个程序包括计算机执行指令，当电子设备运行时，处理器执行存储器存储的计算机执行指令，以使电子设备执行如第一方面的资源隔离方法。第五方面，提供了一种包含指令的计算机程序产品，当该指令在计算机上运行时，使得计算机执行第一方面的资源隔离方法。本专利技术的实施例提供一种资源隔离方法及装置，应用于确保本专利技术的实施例提供一种资源隔离方法及装置，能够将第一域以及第二域从硬件上进行隔离。由于第一域中第一操作系统对应第一内存、第一CPU以及第一外围设备。第二域中第二操作系统对应第二内存、第二CPU以及第二外围设备。这样一来，即使多个外围设备中的任意一个具有外部通信的外围设备被恶意程序攻击，也不会影响到电子设备中涉及到安全控制的外围设备对应的核心操作系统。附图说明图1为本专利技术的实施例提供的一种资源隔离系统结构示意图；图2为本专利技术的实施例提供的一种资源隔离方法流程示意图一；图3为本专利技术的实施例提供的一种资源隔离方法流程示意图二；图4为本专利技术的实施例提供的一种资源隔离方法流程示意图三；图5为本专利技术的实施例提供的一种资源隔离方法流程示意图四；图6为本专利技术的实施例提供的一种资源隔离方法流程示意图五；图7为本专利技术的实施例提供的一种资源隔离方法流程示意图六；图8为本专利技术的实施例提供的一种电子设备结构示意图一；图9为本专利技术的实施例提供的一种电子设备结构示意图二；图10为本专利技术的实施例提供的一种电子设备结构示意图三。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行描述。在本专利技术的描述中，除非另有说明，“/”表示“或”的意思，例如，A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。此外，“至少一个”“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。本专利技术实施例提供的资源隔离方法可以适用于资源隔离系统。图1示出了该资源隔离系统的一种结构示意图。如图1所示，资源隔离系统10包括电子设备11以及多个外围设备(示例性的，图1示出了两个外围设备，包括外围设备121以及外围设备122，在实际应用过程中，外围设备的数量可以根据需要设置为更多或者更少)。电子设备11与多个外围设备连接。电子设备11与外围设备之间可以采用有线方式连接，也可以采用无线方式连接，本专利技术实施例对此不作限定。电子设备11可以用于物联网，电子设备11可以包括多个中央处理器(centralprocessingunit，CPU)、多个内存、存储有多个操作系统的存储装置等硬件。电子设备11可以用于与多个外围设备进行指令或数据交互，例如，电子设备11可以获取多个外围设备发送的指令或者数据，进而执行多个外围设备发送的指令，或者存储多个外围设备发送的数据。外围设备也可以用于物联网，用于向电子设备11发送指令或者数据。示例性的，在汽车领域，电子设备11可以为汽车中的控制设备，外围设备可以为网卡、具有通用串行总线(UniversalSerialBus，USB)功能的影音娱乐装置、具有蓝牙功能的通信装置、汽车的启动装置或者汽车的制动装置。在生产制造领域，电子设备11可以为生产车间中用于控制生产的控制设备，外围设备可以为生产车间中的告警装置、制动装置、监控装置或者通信装置。需要说明的，电子设备11和多个外围设备可以为相互独立的设备，也可以集成于同一设备中，本专利技术对此不作具体限定。当电子设备11和外围设备集成于同一设备时，电子设备11和外围设备之间的通信方式为该设备内部模块之间的通信。这种情况下，二者之间的通信流程与“电子设备11和外围设备之间相互独立的情况下，二者之间的通信流程”相同。在本专利技术提供的以下实施例中，本专利技术以电子设备11和外围设备12相互独立设置为例进行说明。下面结合附图对本专利技术实施例提供的资源隔离方法进行描述。如图2所示，本专利技术实施例提供的资源隔离方法应用于包括多个内存以及多个中央处理器CPU的电子设备，包括S201-S202：S201、电子设备获取预设的配置文件。其中，配置文件包括操作系统的内存配置信息、CPU配置信息以及外围设备配置信息。内存配置信息用于反映为不同的操作系统分配的不同内存，CPU配置信息用于反映为不同的操作系统分配的不同的CPU，外围设备配置信息用于反映为不同的操作系统分配不同的外围设备。作为本文档来自技高网...

【技术保护点】
1.一种资源隔离方法，应用于包括多个内存以及多个中央处理器CPU的电子设备，其特征在于，包括：/n获取预设的配置文件；所述配置文件包括操作系统的内存配置信息、CPU配置信息以及外围设备配置信息；/n根据所述配置文件，分别生成第一域以及第二域；所述第一域包括相对独立的第一操作系统、第一内存、第一CPU以及第一外围设备，所述第二域包括相对独立的第二操作系统、第二内存、第二CPU以及第二外围设备；所述第一域与所述第二域相对隔离。/n

【技术特征摘要】
1.一种资源隔离方法，应用于包括多个内存以及多个中央处理器CPU的电子设备，其特征在于，包括：
获取预设的配置文件；所述配置文件包括操作系统的内存配置信息、CPU配置信息以及外围设备配置信息；
根据所述配置文件，分别生成第一域以及第二域；所述第一域包括相对独立的第一操作系统、第一内存、第一CPU以及第一外围设备，所述第二域包括相对独立的第二操作系统、第二内存、第二CPU以及第二外围设备；所述第一域与所述第二域相对隔离。


2.根据权利要求1所述的资源隔离方法，其特征在于，所述根据所述配置文件，分别生成第一域以及第二域，包括：
获取所述电子设备的当前内存配置以及所述电子设备的当前内存数据；
根据所述内存配置信息以及所述当前内存配置，确定与所述第一操作系统对应的第一内存，以及，确定与所述第二操作系统对应的第二内存；
将所述当前内存数据中的第一内存数据迁移至所述第一内存，以及，将所述当前内存数据中的第二内存数据迁移至所述第二内存；所述第一内存数据与所述第一外围设备对应，所述第二内存数据与所述第二外围设备对应。


3.根据权利要求2所述的资源隔离方法，其特征在于，所述根据所述配置文件，分别生成第一域以及第二域，包括：
从所述多个CPU中确定第一CPU；所述第一CPU为所述电子设备的当前操作系统对应的CPU；
获取所述多个CPU的当前执行任务，并所述当前执行任务迁移至所述第一CPU，并离线所述多个CPU中，除所述第一CPU之外的全部CPU；
根据所述CPU配置信息，从所述多个CPU中确定第二CPU，并上线所述第二CPU；
从所述当前执行任务中确定第一任务以及第二任务；所述第一任务包括与所述第一外围设备对应的任务，所述第二任务包括与所述第二外围设备对应的任务；
将所述第二任务迁移至所述第二CPU。


4.根据权利要求3所述的资源隔离方法，其特征在于，所述根据所述配置文件，分别生成第一域以及第二域，包括：
确定所述当前操作系统为所述第一操作系统；
获取目标操作系统镜像，并根据所述目标操作系统镜像，生成所述第二操作系统；所述目标操作系统镜像用于为所述第二外围设备提供服务。


5.根据权利要求4所述的资源隔离方法，其特征在于，所述根据所述配置文件，分别生成第一域以及第二域，包括：
关闭所述电子设备的当前中断，并获取所述当前中断的中断处理函数，并从所述当前中断的中断处理函数中确定多个外围设备的设备标识；
根据所述外围设备配置信息以及确定到的所述多个外围设备的设备标识，分别从所述当前中断中确定与所述第一操作系统对应的第一当前中断，以及与所述第二操作系统对应的第二当前中断；
将所述第一当前中断的中断处理函数发送至所述第一内存，并开启所述第一当前中断；
将所述第二当前中断的中断处理函数发送至所述第二内存，并在所述第二操作系统中注册所述第二外围设备。


6.根据权利要求1所述的资源隔离方法，其特征在于，所述方法还包括：
在确定所述第一域与所述第二域成功隔离的情况下，根据所述电子设备的当前操作系统，更新所述第一域中的第一操作系统。


7.一种电子设备，包括多个内存以及多个中央处理器CPU，其特征在于，包括获取单元以及生成单元；
所述获取单元，用于获取预设的配置文件；所述配置文件包括操作系统的内存配置信息、CPU配置信息以及外围设备配...

【专利技术属性】
技术研发人员：王绪国，蔡竞然，杜小亮，
申请(专利权)人：亚信科技成都有限公司，
类型：发明
国别省市：四川;51