一种用于解决计算机系统中的资源管理和安全性的系统可以包括在计算机处理器上执行的操作系统内核。所述系统还可以包括数据处理应用和被配置为在所述计算机处理器上执行的中介器。所述中介器可以在所述操作系统内核与所述数据处理应用之间工作。所述中介器可以控制对所述数据处理应用的用户生成的状态数据的访问,并且可以限制所述操作系统内核对所述用户生成的状态数据的访问。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及计算机系统领域,更具体地说,涉及解决计算机系统中的资源管理和安全性。
技术介绍
多数通用计算机利用操作系统(“OS”)作为它们的应用与计算机硬件之间的接口。因此,OS通常管理计算机上执行的数据处理应用程序,以及响应于数据应用程序而控制硬件资源。数据处理应用是处理数据的应用。用户应用可以是在计算机用户之一的支持下,直接处理数据的数据处理应用。系统应用可以是在同一系统或远程系统上运行的一个或多个用户或系统应用的支持下,处理数据的数据处理应用。系统应用通常实现为用户级应用,它们以特殊权限运行并一般被称为系统守护进程(daemon)。此外,可以控制OS其它部分的一部分OS —般称为OS内核(kernel)。OS内核一般对应用地址空间和文件具有完全的访问。
技术实现思路
根据本专利技术的一个实施例,用于解决计算机系统中的资源管理和安全性的系统可以包括在计算机处理器上执行的操作系统内核。用于解决计算机系统中的资源管理和安全性的系统可以包括在计算机处理器上执行的操作系统内核。所述系统还可以包括数据处理应用和被配置为在所述计算机处理器上执行的中介器。所述中介器可以在所述操作系统内核与所述数据处理应用之间工作。所述中介器可以控制对所述数据处理应用的用户相关的应用状态的访问,并且可以限制所述操作系统内核对所述用户相关的应用状态的访问。所述用户相关的应用状态可以包括读取自与系统相连的设备或系统外部设备的数据,或者包括由所述数据处理应用在其操作期间产生并且对于所述中介器可见而对于所述操作系统内核不可见的数据。所述操作系统内核可以控制系统相关的应用状态,所述系统相关的应用状态用于在所述操作系统内核的级别处控制所述数据处理应用的各部分。所述操作系统内核可以被修改为将其功能的一部分移交给所述中介器。所述系统还可以包括与所述计算机处理器通信的数据处理资源。所述中介器对所述计算机处理器和所述数据处理资源的访问权限高于所述操作系统内核。所述操作系统内核对于用户相关的应用状态具有受限的访问,因为所述中介器根据需要在所述用户相关的应用状态与所述操作系统内核的数据结构之间执行传输以实现所述操作系统内核的其余功能。所述中介器可以控制所述操作系统内核与所述数据处理应用之间的系统调用和异常。所述数据处理资源可以包括计算机存储器、通信网络、输入/输出设备和数据处理设备,其中所述计算机存储器存储所述数据处理应用、所述中介器、所述操作系统内核、一个或多个用户级共享库以及系统守护进程,并且所述中介器可以使用存储器管理单元控制所述操作系统内核、数据处理应用、用户级共享库和系统守护进程的存储器访问;并且所述中介器可以虚拟化所述输入/输出设备的选择寄存器并可以使用输入/输出存储器管理单元控制输入/输出设备的数据传输源和数据传输目的地。所述系统还可以包括实现为系统守护进程并在所述操作系统内核之外运行的网际协议安全模块,该安全模块直接与所述数据处理应用通信而不与所述操作系统内核通信。本专利技术的另一方面是一种用于解决计算机系统中的资源管理和安全性的方法。所述方法可以包括通过计算机处理器执行中介器,以使所述中介器在操作系统内核与数据处理应用之间执行。所述方法还可以包括通过所述中介器控制对所述数据处理应用的用户相关的应用状态的访问。所述方法还可以包括限制所述操作系统内核对所述用户相关的应用状态的访问。所述方法可以另外包括将所述用户相关的应用状态限于由所述数据处理应用在其操作期间产生并且对于所述中介器可见而对于所述操作系统内核不可见的数据。所述方法还可以包括将所述用户相关的应用状态限于读取自与所述系统相连的设备或所述系统外部设备,且由所述数据处理应用在其操作期间产生并且对于所述中介器可见而对于所述操作系统内核不可见的数据。所述方法还可以包括通过所述操作系统内核控制系统相关的应用状态,所述系统相关的应用状态用于在所述操作系统内核级别处控制所述数据处理应用的各部分。所述方法可以另外包括使所述中介器对所述计算机处理器和数据处理资源的访问权限高于所述操作系统内核。所述方法还可以包括通过所述中介器控制所述操作系统内核与所述数据处理应用之间的系统调用和异常。所述方法还可以包括提供在所述操作系统内核之外运行的网际协议安全模块,以便直接与所述数据处理应用通信而不与所述操作系统内核通信。本专利技术的另一方面是与有形介质耦合以解决数据处理系统中的资源管理和安全性的计算机可读程序代码。所述计算机可读程序代码可被配置为使所述程序通过计算机处理器执行中介器以在操作系统内核与数据处理应用之间执行。所述计算机可读程序代码还可以通过所述中介器控制对所述数据处理应用的用户相关的应用状态的访问。所述计算机可读程序代码另外可以限制所述操作系统内核对所述用户相关的应用状态的访问。在一个实施例中,所述系统可以包括在计算机处理器上执行的操作系统内核。所述系统还可以包括数据处理应用,以及被配置为在所述计算机处理器上执行的中介器。所述中介器可以在所述操作系统内核与所述数据处理应用之间工作。所述中介器可以对控制所述数据处理应用的用户相关的应用状态的访问以及限制所述操作系统内核对所述用户相关的应用状态的访问。所述用户相关的应用状态可以包括由所述数据处理应用在其操作期间产生并且对于所述中介器可见而对于所述操作系统内核不可见的数据。此外,所述中介器对所述计算机处理器的访问权限可以高于所述操作系统内核。附图说明图1是根据本专利技术的用于解决计算机系统中的资源管理和安全性的系统的示意性框图;图2是示出根据本专利技术的方法方面的流程图;图3是示出根据图2中的方法的方法方面的流程图;图4是示出根据图2中的方法的方法方面的流程图;图5是示出根据图2中的方法的方法方面的流程图;图6是示出根据图2中的方法的方法方面的流程图;图7是示出根据图2中的方法的方法方面的流程图;图8是根据本专利技术的OS内核更改的示意性框图;图9是根据本专利技术的用户级文件系统的示意性框图。具体实施例方式现在参考图1,首先描述用于解决计算机系统中的资源管理和安全性的系统10。本领域的技术人员将理解,系统10是根据指令集存储和操纵数据的可编程装置。在一个实施例中,系统10包括通信网络14,该网络允许信号在系统10的任意位置上传输,在系统10的计算机处理器18与数据处理资源29之间和/或在系统10的数据处理资源29 (例如,计算机存储器12、输入/输出设备26和其它数据处理设备27)之间传输。通信网络14例如为有线和/或无线网络。通信网络14例如对于系统10是本地和/或全局的。根据一个实施例,系统10包括在计算机处理器18上执行的操作系统内核16。在一个实施例中,系统10包括数据处理应用20。在一个实施例中,系统包括被配置为在计算机处理器18上执行的中介器24。在一个实施例中,中介器在操作系统内核与数据处理应用之间工作。在一个实施例中,中介器24控制对数据处理应用20的用户相关的应用状态的访问,并且限制操作系统内核16对用户相关的应用状态的访问。在一个实施例中,中介器24通过以下方式限制操作系统的访问⑴通过从操作系统内核16接管对存储器管理单元(MMU)的控制直接进行限制,以及(2)通过从修改后的操作系统和相关设备驱动器接管对I/O MMU或可以直接访问系统存储器的任何设备(本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.08.31 US 12/872,9961.一种系统,包括: 操作系统内核,其被配置为在计算机处理器上执行;以及 中介器,其被配置为在所述计算机处理器上执行并在所述操作系统内核与数据处理应用之间工作,所述中介器用于控制对所述数据处理应用的用户相关的应用状态的访问以及用于限制所述操作系统内核对所述用户相关的应用状态的访问。2.根据权利要求1的系统,其中所述用户相关的应用状态包括由所述数据处理应用在其操作期间产生并且对于所述中介器可见而对于所述操作系统内核不可见的数据。3.根据权利要求1的系统,其中所述操作系统内核控制系统相关的应用状态,所述系统相关的应用状态用于在所述操作系统内核的级别处控制所述数据处理应用的各部分。4.根据权利要求1的系统,其中所述操作系统内核已被修改以将其功能的一部分移交给所述中介器;并且还包括与所述计算机处理器通信的数据处理资源。5.根据权利要求4的系统,其中所述中介器对所述计算机处理器和所述数据处理资源的访问权限高于所述操作系统内核。6.根据权利要求4的系统,其中所述操作系统内核对于用户相关的应用状态具有受限的访问,因为所述中介器根据需要在所述用户相关的应用状态与所述操作系统内核的数据结构之间执行传输以实现所述操作系统内核的其余功能。7.根据权利要求1的系统,其中所述中介器被配置为控制所述操作系统内核与所述数据处理应用之间的系统调用和异常。8.根据权利要求7的系统,包括: 与所述计算机处理器通信的 数据处理资源;以及 其中所述数据处理资源包括计算机存储器、通信网络、输入/输出设备和数据处理设备,其中所述计算机存储器被配置为存储所述数据处理应用、中介器、操作系统内核、用户级共享库以及系统守护进程;并且其中所述中介器被配置为使用存储器管理单元控制所述操作系统内核、所述数据处理应用、所述用户级共享库和所述系统守护进程的存储器访问权限;并且其中所述中介器被配置为虚拟化输入/输出设备的选择寄存器并使用输入/输出存储器管理单元来控制输入/输出设备的数据传输源和数据传输目的地。9.根据权利要求1的系统,还包括在所述操作系统内核之外的网际协议安全模块,其被配置为作为系统守护进程运行,以便直接与所述数据处理应用通信而不与所述操作系统内核通信。10.一种方法,包括: 将中介器配置为在操作系统内核与数据处理应用之间执行; 通过所述中介器控制对所述数据处理应用的用户相关的应用状态的访问;以及 限制所述操作系统内核对所述用户相关的应用状态的访问。11.根据权利要求10的方法,还包括将所述用户相关的应用状态配置为限于由所述数据处理应用在其操作期间产生并且对于所述中介器可见而对于所述操作系统内核不可见的数据。12.根据权利要求10的方法,还包括配置所述操作系统内核以控制系统相关的应用状态,所述系统相关的应用状态用于在所述操作系统内核的级别处控制所述数据处理应用的各部分。13.根据权利要求10的方法,还包括配置所述中介器,以便所述中介器对所述计算机处理器和数据处理资...
【专利技术属性】
技术研发人员:M·C·罗苏,
申请(专利权)人:国际商业机器公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。