專利名稱:一種實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)及方法����,特別涉及一種實現(xiàn)操作系統(tǒng)中存儲空間完全隔離的運行環(huán)境的系統(tǒng)及方法,屬于計算機(jī)操作系統(tǒng)與計算機(jī)安全領(lǐng)域�。
背景技術(shù):
計算機(jī)操作系統(tǒng)是計算機(jī)中最重要的系統(tǒng),用于管理計算機(jī)硬件設(shè)備����,并為各種應(yīng)用軟件提供運行環(huán)境�����。因此�,操作系統(tǒng)的可靠性與安全性十分重要�。
如今,越來越多的應(yīng)用被部署在單一操作系統(tǒng)環(huán)境中�,導(dǎo)致用戶計算環(huán)境變得非常復(fù)雜,更加難以管理與維護(hù)��。更為重要的是在病毒和間諜軟件泛濫的今天�,如此復(fù)雜的計算環(huán)境無疑使得各種計算機(jī)安全防護(hù)技術(shù)漏洞百出,甚至是形同虛設(shè)����。
對于家庭用戶來說計算機(jī)在家庭生活中扮演的角色越來越重要,用戶在計算機(jī)上進(jìn)行各種應(yīng)用����,如游戲,娛樂�,上網(wǎng),看電影,處理圖象����,視頻�,甚至進(jìn)行網(wǎng)絡(luò)電子交易。這些應(yīng)用被簡單的安裝到單一操作系統(tǒng)環(huán)境中�,使得應(yīng)用環(huán)境變得異常復(fù)雜,直接導(dǎo)致系統(tǒng)負(fù)載過重而出現(xiàn)不穩(wěn)定����、頻繁宕機(jī)、數(shù)據(jù)丟失等現(xiàn)象�����。雖然可以在計算機(jī)中安裝多個操作系統(tǒng)來實現(xiàn)不同的應(yīng)用����,但這又造成管理的復(fù)雜度和計算資源的浪費。另一方面����,家庭用戶普遍缺乏計算機(jī)維護(hù)和安全方面的知識和經(jīng)驗,這就使得家庭計算機(jī)毫無保護(hù)地暴露在網(wǎng)絡(luò)中���,經(jīng)常受到病毒和黑客的攻擊��,當(dāng)用戶使用被病毒和間諜軟件感染的計算機(jī)玩游戲和上網(wǎng)娛樂時�����,就會遭受黑客的攻擊而造成個人隱私的泄密���。更為嚴(yán)重的是如果使用這樣的環(huán)境去進(jìn)行網(wǎng)絡(luò)電子交易����,將給黑客竊取銀行帳號造成可乘之機(jī)���。此外�,對于家庭計算機(jī)應(yīng)用來說��,一機(jī)多用已經(jīng)是一個普遍的現(xiàn)象�。目前的操作系統(tǒng)支持多用戶的功能,但這種多用戶功能并不能真正地隔離不同用戶的軟件環(huán)境和數(shù)據(jù)環(huán)境��,當(dāng)一個用戶環(huán)境被破壞后�,直接的后果就是導(dǎo)致整個計算機(jī)操作系統(tǒng)環(huán)境的崩潰?����?偠灾瑢τ诩彝ビ脩魜碚f�����,他們最需要的將是一個多應(yīng)用�、多用戶相互隔離����,并且具有自主安全防御能力的計算機(jī),從而簡化計算機(jī)維護(hù)�,提高計算機(jī)安全性。
對于企業(yè)計算機(jī)用戶來說為了保持市場的競爭力����,企業(yè)的IT部門必須隨時做到既要滿足對先進(jìn)信息技術(shù)和IT服務(wù)日益增長的需求,同時又要控制計算機(jī)故障發(fā)生的頻率���、減少維護(hù)成本和影響�����,并不斷提高企業(yè)信息的安全性��,從而實現(xiàn)降低IT基礎(chǔ)設(shè)施的總擁有成本�����。這給計算機(jī)的可管理性與安全性提出了更高的要求����。在企業(yè)IT環(huán)境中,在單一計算機(jī)環(huán)境中部署的應(yīng)用越來越復(fù)雜�����,直接降低了計算機(jī)的穩(wěn)定性和可靠性��,從而使得計算機(jī)出現(xiàn)故障的頻率不斷升級����,給IT管理成本以及造成了嚴(yán)重的后果。另一方面�,企業(yè)需要將企業(yè)IT應(yīng)用和員工私人環(huán)境進(jìn)行隔離,從而避免企業(yè)信息泄密�,提高企業(yè)的IT系統(tǒng)的安全性。
對于政府計算機(jī)用戶來說在對IT安全特別關(guān)注的政府部門����,實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的隔離是IT應(yīng)用方面的一個基本要求����。目前���,政府部門通過一人雙機(jī)或者使用硬件隔離的方式來實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的隔離�����,從而保障政府信息系統(tǒng)的安全性。但無論哪種方式都需要較高的IT投資�,同時也增加了IT管理的難度和復(fù)雜度,缺乏良好的應(yīng)用擴(kuò)展性�����。
對于教育計算機(jī)用戶來說在教育行業(yè)中��,為了滿足不同的教學(xué)目的����,IT管理員需要頻繁的為計算機(jī)分發(fā)新的操作系統(tǒng)和軟件。除此之外���,計算機(jī)的軟件系統(tǒng)還會經(jīng)常被破壞�����,IT管理員為了不影響教學(xué)��,需要快速的修復(fù)操作系統(tǒng)和應(yīng)用環(huán)境���。這就極大地增加了計算機(jī)管理的復(fù)雜度和難度�,對計算機(jī)管理的效率提出了極高的要求����。
綜上所述,在IT應(yīng)用中���,計算機(jī)的可管理性���,可維護(hù)性,以及計算機(jī)的安全性問題給計算機(jī)消費者和企業(yè)造成了巨大的時間成本和經(jīng)濟(jì)成本�;同時現(xiàn)有技術(shù)在解決計算機(jī)安全性和可靠性方面,以及保護(hù)用戶隱私方面都存在缺陷����。因此,需要一種技術(shù)方案�,能夠?qū)⒂糜诓挥脩?yīng)用目的的應(yīng)用軟件安裝在相互隔離的操作系統(tǒng)環(huán)境中��,以保障應(yīng)用軟件的安全性和可靠性�����。并且通過相互隔離的操作系統(tǒng)環(huán)境保護(hù)用戶數(shù)據(jù)和隱私的安全�,并且該技術(shù)方案不過多的占用磁盤空間�����,保障計算機(jī)的效率沒有較大的改變���。
發(fā)明內(nèi)容
本發(fā)明的目的是通過對單一操作系統(tǒng)進(jìn)行隔離,創(chuàng)建應(yīng)用環(huán)境完全隔離的不同的操作系統(tǒng)環(huán)境����,并且在不同的操作系統(tǒng)環(huán)境中安裝所需的應(yīng)用軟件,并使得不同操作系統(tǒng)環(huán)境的使用者信息得到保護(hù)���;使用者可以根據(jù)操作目的選擇合適的操作系統(tǒng)環(huán)境�����,從而增加操作系統(tǒng)和應(yīng)用軟件的可靠性和安全性�。為實現(xiàn)上述目的,本發(fā)明提供了一種實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)����,包括一母操作系統(tǒng)模塊,所述母操作系統(tǒng)模塊包括一個操作系統(tǒng)的內(nèi)核����,用于提供完成操作系統(tǒng)必需的基本功能的軟件程序;所述母操作系統(tǒng)模塊對其獨享磁盤空間及磁盤空白空間進(jìn)行讀訪問���;至少一個子操作系統(tǒng)模塊�,包括用戶對所述母操作系統(tǒng)模塊所做的任何修改信息���;同所述母操作系統(tǒng)模塊交互���,對所述母操作系統(tǒng)模塊的獨享磁盤空間進(jìn)行讀訪問;所述子操作系統(tǒng)模塊對其獨享磁盤空間及磁盤空白空間進(jìn)行讀/寫訪問���;一系統(tǒng)隔離模塊�����,所述系統(tǒng)隔離模塊與所述母操作系統(tǒng)模塊交互���,用于根據(jù)用戶指令引導(dǎo)和/或建立子操作系統(tǒng)模塊��,指定和/或修改所述母/子操作系統(tǒng)模塊的獨享磁盤空間和磁盤空白空間�;所述系統(tǒng)隔離模塊還分別同所述母/子操作系統(tǒng)模塊交互����,用于監(jiān)控所述母/子操作系統(tǒng)模塊對磁盤的讀/寫訪問;
一外存訪問控制模塊�����,同所述系統(tǒng)隔離模塊交互��,記錄所述母/子操作系統(tǒng)模塊的獨享磁盤空間����。
為實現(xiàn)上述目的���,本發(fā)明還提供了一種實現(xiàn)操作系統(tǒng)隔離的方法���,包括如下步驟步驟1、系統(tǒng)隔離模塊監(jiān)控當(dāng)前子操作系統(tǒng)模塊對磁盤的讀/寫訪問���;步驟2��、如果是讀訪問���,系統(tǒng)隔離模塊根據(jù)外存訪問控制模塊的記錄返回母操作系統(tǒng)模塊和/或當(dāng)前子操作系統(tǒng)模塊獨享磁盤空間中的數(shù)據(jù)�����;步驟3�、如果是寫訪問����,系統(tǒng)隔離模塊根據(jù)外存訪問控制模塊的記錄寫入當(dāng)前子操作系統(tǒng)模塊的獨享磁盤空間或磁盤空白空間中,并修改外存訪問控制模塊的記錄����。
因此,本發(fā)明具有以下優(yōu)點1��、使用本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)和方法�,可以在不占用更多磁盤空間的前提下基于單一操作系統(tǒng)創(chuàng)建不同的相互隔離的子操作系統(tǒng)模塊����,使用者可以靈活選擇使用��;2、使用本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)和方法�����,可以根據(jù)每個子操作系統(tǒng)模塊的創(chuàng)建目的���,有針對性的安裝應(yīng)用軟件���,降低每個操作環(huán)境中應(yīng)用軟件的數(shù)量,減少系統(tǒng)冗余�,增加系統(tǒng)的安全性和可靠性;3����、使用本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)和方法,每個子操作系統(tǒng)模塊的不安全因素不會對其他子操作系統(tǒng)模塊產(chǎn)生影響�����,增加系統(tǒng)的安全性和可靠性���;4、使用本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)和方法,可以保護(hù)不同子操作系統(tǒng)模塊下使用者的信息����。
下面結(jié)合附圖和實施例,對本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述����。
圖1為本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)的結(jié)構(gòu)圖;
圖2為本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)中外存訪問控制模塊的示意圖�;圖3為本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)的實施例1的基于傳統(tǒng)計算機(jī)架構(gòu)下的系統(tǒng)示意圖;圖4為本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)的系統(tǒng)隔離模塊監(jiān)控并攔截磁盤I/O訪問的處理流程圖����;圖5為本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)的實施例2所示的基于虛擬機(jī)計算機(jī)架構(gòu)下的系統(tǒng)示意圖;圖6為本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)中的基于虛擬機(jī)計算機(jī)架構(gòu)下的又一實施例的示意圖���;圖7為本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)中的磁盤空間分布示意圖���。
具體實施例方式
本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)的實施例1參見圖1,包括母操作系統(tǒng)模塊1���、子操作系統(tǒng)模塊21�、子操作系統(tǒng)模塊22���、系統(tǒng)隔離模塊3和外存訪問控制模塊4�����。
母操作系統(tǒng)模塊1可以僅包括一個用于完成最基本功能的操作系統(tǒng)內(nèi)核��,所謂操作系統(tǒng)內(nèi)核指用于提供操作系統(tǒng)必需的基本功能的軟件程序�����;這個完成最基本功能的操作系統(tǒng)內(nèi)核可以為Linux或者Unix或者Windows的內(nèi)核����,本實施例中以Windows為例。
母操作系統(tǒng)模塊1也可包括內(nèi)核和內(nèi)核之外的軟件程序在內(nèi)�����,即包括內(nèi)核和操作系統(tǒng)內(nèi)核之外的應(yīng)用程序����,用于提供操作系統(tǒng)必需的基本功能和其他用戶選擇的功能。比如�����,如果管理員設(shè)定所有的操作環(huán)境中都有Office軟件,就可以將Office軟件安裝在母操作系統(tǒng)模塊1中�。
子操作系統(tǒng)模塊可以為一個或多個�,包括對所述母操作系統(tǒng)模塊1所做的任何修改信息。本實施例中以兩個為例���,其中�,子操作系統(tǒng)模塊21為在母操作系統(tǒng)模塊1基礎(chǔ)上安裝了Office軟件�����、翻譯軟件和計算軟件程序����,同時對IE進(jìn)行了屏蔽;子操作系統(tǒng)模塊21同母操作系統(tǒng)模塊1共同構(gòu)成一個完整的辦公操作系統(tǒng)環(huán)境����,可以進(jìn)行文字處理及數(shù)據(jù)計算,但是不可以上網(wǎng)���;子操作系統(tǒng)模塊22為在母操作系統(tǒng)模塊1基礎(chǔ)上安裝了的游戲軟件和多媒體播放軟件���,同母操作系統(tǒng)模塊1共同構(gòu)成一個完整的娛樂操作系統(tǒng)環(huán)境�,可以游戲�、看視頻文件以及上網(wǎng)等。
子操作系統(tǒng)模塊21和22分別同母操作系統(tǒng)模塊1交互��,可以對母操作系統(tǒng)模塊1的獨享磁盤空間中的數(shù)據(jù)進(jìn)行讀取訪問�����。子操作系統(tǒng)模塊21和22分別具有各自的獨享磁盤空間���,可以對其獨享磁盤空間及磁盤空白空間進(jìn)行讀/寫訪問�。
系統(tǒng)隔離模塊3監(jiān)控母操作系統(tǒng)模塊1和子操作系統(tǒng)模塊21或22對磁盤的讀/寫訪問�,攔截所有對母操作系統(tǒng)模塊1的獨享磁盤空間的寫訪問。
如圖2所示����,外存訪問控制模塊4位于硬盤存儲器的磁盤空間中,它由多個文件所組成��。其中�����,外存訪問控制模塊4包括母操作系統(tǒng)模塊1的磁盤位圖文件41����,子操作系統(tǒng)模塊21的磁盤位圖文件4211�����,子操作系統(tǒng)模塊22的磁盤位圖文件4221,以及子操作系統(tǒng)模塊21的索引文件4212和子操作系統(tǒng)模塊22的索引文件4222�����。
如圖3所示�,為基于傳統(tǒng)計算機(jī)架構(gòu)下的系統(tǒng)示意圖,在傳統(tǒng)計算機(jī)架構(gòu)下����,計算機(jī)系統(tǒng)每次只能運行一個操作系統(tǒng),其結(jié)構(gòu)為最底層為計算機(jī)硬件����,包括CPU、硬盤��、內(nèi)存��、顯卡���、I/O接口等�����。系統(tǒng)隔離模塊3在此架構(gòu)下可設(shè)置在計算機(jī)中的基本輸入輸出模塊即BIOS中或者計算機(jī)擴(kuò)展固件接口即EFI中����;也可以設(shè)置在母操作系統(tǒng)模塊1的內(nèi)核之中或內(nèi)核之外。
在本實施例1中���,系統(tǒng)隔離模塊3被設(shè)置在母操作系統(tǒng)模塊1的內(nèi)核當(dāng)中��。在指定母操作系統(tǒng)模塊1之前�,用戶首先需要在計算機(jī)中安裝一個操作系統(tǒng)(在本實施例1中指的是Windows操作系統(tǒng))�,然后,用戶可以根據(jù)需要對此操作系統(tǒng)進(jìn)行必要的配置�����,如安裝和配置硬件驅(qū)動程序��,配置網(wǎng)絡(luò)地址�,調(diào)整Windows桌面分辨率等。同時可以根據(jù)需要安裝一些應(yīng)用軟件,如一些病毒防護(hù)軟件和個人防火墻�。因為在每個子操作系統(tǒng)模塊中都需要用到這些軟件。此外�����,用戶需要將系統(tǒng)隔離模塊3設(shè)置在上述操作系統(tǒng)內(nèi)核之中����。在本發(fā)明實施例1中的系統(tǒng)隔離模塊3作為操作系統(tǒng)的驅(qū)動程序被設(shè)置在上述操作系統(tǒng)內(nèi)核之中。在完成上述準(zhǔn)備工作之后�,用戶可以通過系統(tǒng)隔離模塊3指定上述的操作系統(tǒng)為母操作系統(tǒng)模塊1�。當(dāng)指定了母操作系統(tǒng)模塊1之后,系統(tǒng)隔離模塊3同時在外存訪問控制模塊4中為母操作系統(tǒng)模塊1創(chuàng)建母操作系統(tǒng)磁盤位圖文件41��。此后��,系統(tǒng)隔離模塊3將監(jiān)控并攔截所有對磁盤的讀/寫訪問��,不允許任何程序和系統(tǒng)改寫母操作系統(tǒng)模塊1中的程序和數(shù)據(jù)����。
母操作系統(tǒng)模塊1的母操作系統(tǒng)磁盤位圖文件41記錄母操作系統(tǒng)模塊1的磁盤存儲塊狀態(tài),用于標(biāo)識所述母操作系統(tǒng)模塊1在磁盤上的獨享磁盤空間�;舉例來說,如果磁盤上某個塊單位(如以扇區(qū)為單位,則為某個扇區(qū))上存有母操作系統(tǒng)模塊1的有效數(shù)據(jù)�,則在母操作系統(tǒng)磁盤位圖文件41對應(yīng)的位置標(biāo)志為1,否則標(biāo)記為0��。
當(dāng)用戶通過系統(tǒng)隔離模塊3指定了母操作系統(tǒng)模塊1之后��,則可以根據(jù)需要通過系統(tǒng)隔離模塊3與母操作系統(tǒng)模塊1交互而創(chuàng)建子操作系統(tǒng)模塊21和22�。系統(tǒng)隔離模塊3同時在外存訪問控制模塊4中為子操作系統(tǒng)模塊21和22分別創(chuàng)建子操作系統(tǒng)位圖文件4211和4221,同時在外存訪問控制模塊4中為子操作系統(tǒng)模塊21和22分別創(chuàng)建子操作系統(tǒng)索引文件4212和4222�。
子操作系統(tǒng)磁盤位圖文件4211和4221記錄子操作系統(tǒng)模塊21和22的磁盤存儲塊狀態(tài),用于標(biāo)識子操作系統(tǒng)模塊21和22在磁盤上的獨享磁盤空間��;舉例來說���,如果磁盤上某個塊單位(如以扇區(qū)為單位�����,則為某個扇區(qū))上存有子操作系統(tǒng)模塊21的有效數(shù)據(jù)����,則在子操作系統(tǒng)磁盤位圖文件4221對應(yīng)的位置標(biāo)志為1�����,否則標(biāo)記為0。
子操作系統(tǒng)索引文件4212和4222標(biāo)識所有被系統(tǒng)隔離模塊3轉(zhuǎn)儲的數(shù)據(jù)的調(diào)用地址與轉(zhuǎn)儲后的存儲地址及二者間的對應(yīng)關(guān)系��。比如��,當(dāng)操作者在辦公環(huán)境中對母操作系統(tǒng)模塊1的顯卡驅(qū)程進(jìn)行改寫時��,顯然�,系統(tǒng)隔離模塊3將攔截該操作,母操作系統(tǒng)模塊1中的寫有顯卡驅(qū)程的地址A0的數(shù)據(jù)不可能被改變���;但同時����,辦公環(huán)境中的操作者看到的卻是顯卡驅(qū)程被改變的效果�;這是由于系統(tǒng)隔離模塊3將改寫的驅(qū)程存儲于該子操作系統(tǒng)模塊21的獨享磁盤空間或者空白磁盤空間的地址A1中��,并在索引文件中記錄該實際存儲地址A1和調(diào)用該改寫驅(qū)程的地址A0����;當(dāng)計算機(jī)啟動,加載子操作系統(tǒng)模塊21的同時�����,系統(tǒng)隔離模塊3檢查該索引文件,即將地址A1的數(shù)據(jù)讀取出來��,而不讀取A0中的數(shù)據(jù)�����;因此����,在該子操作系統(tǒng)模塊21構(gòu)成的辦公環(huán)境中,是母操作系統(tǒng)模塊1中的顯卡驅(qū)程被改變了的效果�。
當(dāng)完成了子操作系統(tǒng)模塊21和22的創(chuàng)建之后,用戶即可在計算機(jī)啟動時根據(jù)自己的需要選擇啟動任意一個子操作系統(tǒng)模塊��。根據(jù)系統(tǒng)隔離模塊3設(shè)置的位置不同�,其與母操作系統(tǒng)模塊1的啟動順序也有不同系統(tǒng)隔離模塊3設(shè)置在BIOS或EFI時,先于母操作系統(tǒng)模塊1啟動��,啟動順序為系統(tǒng)隔離模塊3緊隨計算機(jī)硬件啟動�����,系統(tǒng)隔離模塊3引導(dǎo)提示用戶選擇進(jìn)入哪一個操作系統(tǒng)環(huán)境���,比如�,操作者選擇娛樂環(huán)境。然后系統(tǒng)隔離模塊3引導(dǎo)母操作系統(tǒng)模塊1啟動�,并在母操作系統(tǒng)模塊1引導(dǎo)完成后加載子操作系統(tǒng)模塊22,從而為用戶形成完整得娛樂操作系統(tǒng)環(huán)境�。
當(dāng)系統(tǒng)隔離模塊3設(shè)置在母操作系統(tǒng)模塊1的內(nèi)核之中或內(nèi)核之外時,與母操作系統(tǒng)模塊1同時啟動�����,啟動順序為計算機(jī)硬件啟動����,母操作系統(tǒng)模塊1與系統(tǒng)隔離模塊3同時啟動,并提示用戶選擇進(jìn)入哪一個操作系統(tǒng)環(huán)境���,比如����,操作者選擇辦公環(huán)境�,則系統(tǒng)隔離模塊3引導(dǎo)加載子操作系統(tǒng)模塊21�����,構(gòu)成完整的辦公操作系統(tǒng)環(huán)境�。
當(dāng)計算機(jī)啟動之后�,母操作系統(tǒng)模塊1和系統(tǒng)隔離模塊3按照上述不同情況分別被加載運行�。同時,系統(tǒng)隔離模塊3也會根據(jù)用戶的選擇加載指定的子操作系統(tǒng)模塊21或22�。此后,用戶可以在當(dāng)前加載的母操作系統(tǒng)模塊1和子操作系統(tǒng)模塊21或22中執(zhí)行安裝軟件�����,修改配置��,編輯文件等操作���。但無論何種情況���,系統(tǒng)隔離模塊3一直在監(jiān)控對磁盤的讀寫訪問,只要發(fā)生讀寫磁盤的訪問都會被系統(tǒng)隔離模塊3攔截�,并根據(jù)不同的情況分別進(jìn)行處理,以實現(xiàn)操作系統(tǒng)的隔離���。
系統(tǒng)隔離模塊3一直監(jiān)控母/子操作系統(tǒng)模塊對磁盤的讀寫訪問���,如圖4所示,如果發(fā)現(xiàn)是讀磁盤訪問����,系統(tǒng)隔離模塊3首先從讀磁盤訪問調(diào)用者那里獲取讀磁盤的目標(biāo)地址A0����,然后�����,系統(tǒng)隔離模塊3使用目標(biāo)地址A0查詢當(dāng)前運行的子操作系統(tǒng)模塊21或22的子操作系統(tǒng)索引文件4212或4222�,如果子操作系統(tǒng)索引文件4212或4222中的A0位置存在相應(yīng)的索引地址A1,則系統(tǒng)隔離模塊3從磁盤地址A1位置讀取數(shù)據(jù)����,并返回給調(diào)用者。否則�����,系統(tǒng)隔離模塊3則從磁盤地址A0位置讀取數(shù)據(jù)�����,并返回給調(diào)用者���。
如果系統(tǒng)隔離模塊3發(fā)現(xiàn)是寫磁盤訪問�����,系統(tǒng)隔離模塊3首先從寫磁盤訪問調(diào)用者那里獲取寫磁盤的目標(biāo)地址B0��,然后�����,系統(tǒng)隔離模塊3使用目標(biāo)地址B0查詢當(dāng)前運行的子操作系統(tǒng)模塊21或22的子操作系統(tǒng)索引文件4212或4222�,如果子操作系統(tǒng)索引文件4212或4222中的B0位置存在相應(yīng)的索引地址B1�,則系統(tǒng)隔離模塊3將數(shù)據(jù)寫入B1位置,并結(jié)束寫訪問�����。否則��,系統(tǒng)隔離模塊將數(shù)據(jù)寫入磁盤空白空間����,該寫入地址為存儲地址B2;同時����,系統(tǒng)隔離模塊在子操作系統(tǒng)模塊21或22的子操作系統(tǒng)索引文件4212或4222中B0所指示的位置記錄該存儲地址B2��,并將當(dāng)前運行的子操作系統(tǒng)模塊21或22的子操作系統(tǒng)磁盤位圖文件4211或4221中B2所指示的位置標(biāo)記為1����,表示此位置的數(shù)據(jù)為子操作系統(tǒng)模塊21或22所有��,此后���,系統(tǒng)隔離模塊3結(jié)束寫訪問��。
當(dāng)用戶選擇啟動到任一子操作系統(tǒng)模塊時���,通過系統(tǒng)隔離模塊3與外存訪問控制模塊的交互作用,可以確保用戶不會看到磁盤上其他子操作系統(tǒng)模塊的獨享磁盤空間中的數(shù)據(jù)��。比如用戶選擇啟動進(jìn)入子操作系統(tǒng)模塊21�����,系統(tǒng)隔離模塊3只從外存訪問控制模塊中調(diào)用母操作系統(tǒng)磁盤位圖文件41����、子操作系統(tǒng)磁盤位圖文件4211和子操作系統(tǒng)索引文件4212,因此,對于母操作系統(tǒng)模塊1來說�,它只能看到和讀取自己的獨享磁盤空間中的內(nèi)容,對于子操作系統(tǒng)模塊21來說��,它只能看到母操作系統(tǒng)模塊1的磁盤獨享空間和自身的獨享磁盤空間以及空白磁盤空間�,但看不到其他子操作系統(tǒng)模塊所占用的獨享磁盤空間���,而且�,通過系統(tǒng)隔離模塊3的攔截作用����,子操作系統(tǒng)模塊21也不可能將數(shù)據(jù)寫入母操作系統(tǒng)模塊1的獨享磁盤空間和其他子操作系統(tǒng)模塊的獨享磁盤空間中。因此���,采用上述原理�,即可確保母操作系統(tǒng)模塊1不可被更改���,而且����,各個子操作系統(tǒng)模塊之間實現(xiàn)相互隔離����,最終實現(xiàn)了操作系統(tǒng)的隔離����。
另外����,子操作系統(tǒng)模塊21或22的獨享磁盤空間是可以改變的,例如���,當(dāng)子操作系統(tǒng)模塊21執(zhí)行寫訪問�����,將數(shù)據(jù)寫入磁盤空白空間地址A3時����,系統(tǒng)隔離模塊3就將子操作系統(tǒng)磁盤位圖文件4211的對應(yīng)位置進(jìn)行標(biāo)識�����,該空白磁盤空間即變?yōu)樵撟硬僮飨到y(tǒng)模塊21的獨享磁盤空間�。當(dāng)子操作系統(tǒng)模塊22執(zhí)行寫訪問,將數(shù)據(jù)寫入磁盤空白空間A4時����,系統(tǒng)隔離模塊3就將子操作系統(tǒng)磁盤位圖文件4221的對應(yīng)位置進(jìn)行標(biāo)識����,該空白磁盤空間即變?yōu)樵撟硬僮飨到y(tǒng)模塊22的獨享磁盤空間�;當(dāng)子操作系統(tǒng)模塊21啟動時,磁盤空白空間A4的數(shù)據(jù)不會被讀取����,因此����,對于子操作系統(tǒng)模塊21來說磁盤空白空間A4的數(shù)據(jù)為不可見。
在計算機(jī)磁盤空間允許的情況下����,子操作系統(tǒng)模塊的數(shù)量無限制。
本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)的實施例2參見圖5所示���,為本發(fā)明的實施例2的示意圖���,為虛擬機(jī)架構(gòu)下實現(xiàn)操作系統(tǒng)隔離。在支持虛擬機(jī)技術(shù)的計算機(jī)架構(gòu)下�����,虛擬內(nèi)存管理模塊(VirtualMemory Manager,簡稱VMM)是虛擬機(jī)技術(shù)中最核心的部分�����,運行于所有其他操作系統(tǒng)之下�,為運行于其上的操作系統(tǒng)分配和協(xié)調(diào)系統(tǒng)資源。例如VMWare公司的VMWare軟件����,微軟公司的Virtual PC軟件,以及XenSource公司的Xen軟件都是支持虛擬機(jī)技術(shù)的軟件�����。在VMM的作用下����,同一個計算機(jī)系統(tǒng)中能夠同時運行兩個或者多個操作系統(tǒng),在本實施例中���,只以一個母操作系統(tǒng)模塊1為例���,其中�,母操作系統(tǒng)模塊1又由系統(tǒng)隔離模塊3引導(dǎo)建立了2個子操作系統(tǒng)模塊21和22��。
系統(tǒng)隔離模塊3位于VMM中����,與VMM同時啟動,啟動順序為計算機(jī)硬件啟動�����;VMM與系統(tǒng)隔離模塊3啟動��;母操作系統(tǒng)模塊1啟動�;子操作系統(tǒng)模塊21和22根據(jù)據(jù)用戶選擇啟動其中一個或多個����。
系統(tǒng)隔離模塊3位于VMM中,它能夠監(jiān)控并攔截所有母/子操作系統(tǒng)模塊對磁盤的讀/寫訪問��,并與外存訪問控制模塊交互作用����,實現(xiàn)操作系統(tǒng)的隔離。
本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)的實施例3參見圖6所示��,為虛擬機(jī)架構(gòu)下實現(xiàn)操作系統(tǒng)隔離的又一實施例的示意圖。虛擬機(jī)系統(tǒng)中設(shè)有管理操作系統(tǒng)模塊或服務(wù)操作系統(tǒng)模塊5(稱為副操作系統(tǒng)模塊)�,和母操作系統(tǒng)模塊1(也稱為主操作系統(tǒng)模塊)同時運行或先于母操作系統(tǒng)模塊1運行,監(jiān)控母操作系統(tǒng)模塊1的狀態(tài)�����,并為母/子操作系統(tǒng)模塊提供磁盤訪問接口���。
系統(tǒng)隔離模塊3設(shè)置在副操作系統(tǒng)模塊的內(nèi)核之中或內(nèi)核之外�����,啟動順序為計算機(jī)硬件啟動��;VMM啟動����;副操作系統(tǒng)模塊與系統(tǒng)隔離模塊啟動���;母操作系統(tǒng)模塊啟動���;子操作系統(tǒng)模塊21和22根據(jù)用戶選擇啟動其中一個或多個。
本發(fā)明的實施例2和3中�����,母操作系統(tǒng)模塊1可以為一個以上,比如��,可以在一臺計算機(jī)系統(tǒng)中同時安裝Windows內(nèi)核和Linux內(nèi)核�����,它們都構(gòu)成母操作系統(tǒng)模塊1��;在非虛擬機(jī)的計算機(jī)架構(gòu)下同時僅運行一個所述母操作系統(tǒng)模塊����,即或者運行Windows或者運行Linux;在虛擬機(jī)的計算機(jī)架構(gòu)下同時運行至少一個母操作系統(tǒng)模塊����,即Windows內(nèi)核和Linux內(nèi)核可以同時運行����。另外,在非虛擬機(jī)的計算機(jī)架構(gòu)下同時僅運行一個所述子操作系統(tǒng)模塊�����,即或者運行子操作系統(tǒng)模塊21或者運行子操作系統(tǒng)模塊22;在虛擬機(jī)的計算機(jī)架構(gòu)下同時運行至少一個子操作系統(tǒng)模塊����,即可以讓子操作系統(tǒng)模塊21和22同時運行。
多個母操作系統(tǒng)模塊彼此獨立設(shè)置��,由系統(tǒng)隔離模塊指定每個母操作系統(tǒng)模塊的獨享磁盤空間并記錄于外存訪問控制模塊�����。
本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)的實施例4參見圖7��,可以在磁盤中設(shè)置磁盤共享區(qū)域�����,用戶可以通過系統(tǒng)隔離模塊指定子操作系統(tǒng)模塊是否可以訪問磁盤共享區(qū)域���,如可以指定子操作系統(tǒng)模塊可以訪問磁盤共享區(qū)域�����,而指定另外的子操作系統(tǒng)模塊不可以訪問磁盤共享區(qū)域����。同時還可以設(shè)定指定子操作系統(tǒng)模塊對磁盤共享區(qū)域的訪問方式,如可以指定某些子操作系統(tǒng)模塊使用只讀的方式訪問磁盤共享區(qū)域��,其他的子操作系統(tǒng)模塊使用讀/寫的方式訪問磁盤共享區(qū)域����。在某些情況下,用戶需要通過磁盤共享區(qū)域在兩個或者多個子操作系統(tǒng)模塊中交換數(shù)據(jù)����。
本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)的實施例5實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)中還包含第二代子操作系統(tǒng)模塊,是由系統(tǒng)隔離模塊在第一代子操作系統(tǒng)模塊基礎(chǔ)上引導(dǎo)建立的����;比如,用戶可以在娛樂環(huán)境的子操作系統(tǒng)模塊基礎(chǔ)上創(chuàng)建多個第二代子操作系統(tǒng)模塊��,并分別在不同的第二代子操作系統(tǒng)模塊中安裝不同的游戲軟件����。此刻,一個二代子操作系統(tǒng)模塊����,一代子操作系統(tǒng)模塊和母操作系統(tǒng)模塊共同構(gòu)成一個具體到某個游戲環(huán)境的完整操作系統(tǒng)�����。在其中一個游戲環(huán)境中不會看到其他的游戲。
當(dāng)一個子操作系統(tǒng)被引導(dǎo)建立了二代子操作系統(tǒng)時��,其獨享磁盤空間立即被系統(tǒng)隔離模塊設(shè)置為不可改寫���。
由于不同子操作系統(tǒng)模塊構(gòu)成的環(huán)境互相不可見即隔離��,因此�����,可以構(gòu)建彼此保密的操作系統(tǒng)環(huán)境�。比如�����,家庭用戶可在一臺計算機(jī)中基于一個母操作系統(tǒng)模塊為每個家庭成員創(chuàng)建子操作系統(tǒng)模塊����,形成各自的操作環(huán)境;一個家庭成員在自己的操作環(huán)境工作時����,完全不會影響到其他人數(shù)據(jù)�,也不可以隨意訪問其他成員操作環(huán)境中的文件和數(shù)據(jù)�,保護(hù)家庭成員的個人隱私。
或者����,允許政府和企業(yè)用戶基于一個母操作系統(tǒng)模塊,將工作環(huán)境與私有環(huán)境完全隔離開����,實現(xiàn)針對工作環(huán)境的諸如網(wǎng)絡(luò)隔離,網(wǎng)絡(luò)安全等方面的自動化管理與控制�。可以在創(chuàng)建具有很高安全性的子操作系統(tǒng)模塊���,用來進(jìn)行網(wǎng)上交易和網(wǎng)上金融事務(wù)處理���,用戶不必在其他的低安全級別的系統(tǒng)環(huán)境中進(jìn)行交易,而是創(chuàng)建一個專門用于網(wǎng)上交易的子操作系統(tǒng)模塊等����。本發(fā)明的實施例8,是實現(xiàn)操作系統(tǒng)隔離的方法的具體實施例���。
本發(fā)明實現(xiàn)操作系統(tǒng)隔離的方法的實施例1�,是在母操作系統(tǒng)模塊安裝完成后�����,安裝系統(tǒng)隔離模塊���;系統(tǒng)隔離模塊建立磁盤位圖文件和索引文件����,以備對磁盤讀/寫進(jìn)行監(jiān)控����,步驟如下步驟11、系統(tǒng)隔離模塊在外存訪問控制模塊中創(chuàng)建所述母操作系統(tǒng)模塊的磁盤位圖文件��,標(biāo)識所述母操作系統(tǒng)模塊的獨享磁盤空間�,該磁盤位圖文件不可更改;步驟12�、系統(tǒng)隔離模塊引導(dǎo)建立一個或多個子操作系統(tǒng)模塊,并在外存訪問控制模塊中為每個子操作系統(tǒng)模塊創(chuàng)建磁盤位圖文件和索引文件��;所述磁盤位圖文件標(biāo)識所述子操作系統(tǒng)模塊的獨享磁盤空間�����,所述索引文件標(biāo)識所有被所述系統(tǒng)隔離模塊轉(zhuǎn)儲的數(shù)據(jù)的調(diào)用地址與轉(zhuǎn)儲后的存儲地址及二者間的對應(yīng)關(guān)系;初始時�,所述磁盤位圖文件與索引文件為空;步驟13�����、系統(tǒng)隔離模塊根據(jù)上述磁盤位圖文件標(biāo)識磁盤空白空間�����,該磁盤空白空間為所述母操作系統(tǒng)模塊的磁盤位圖文件及子操作系統(tǒng)模塊的磁盤位圖文件中標(biāo)識的獨享磁盤空間以外的磁盤空間�����。
系統(tǒng)隔離模塊對磁盤讀/寫進(jìn)行監(jiān)控�����,包括系統(tǒng)隔離模塊監(jiān)控當(dāng)前子操作系統(tǒng)模塊對磁盤的讀/寫訪問�;如果是讀訪問,系統(tǒng)隔離模塊根據(jù)外存訪問控制模塊的記錄返回母操作系統(tǒng)模塊和/或當(dāng)前子操作系統(tǒng)模塊獨享磁盤空間中的數(shù)據(jù)�;如果是寫訪問,系統(tǒng)隔離模塊根據(jù)外存訪問控制模塊的記錄寫入當(dāng)前子操作系統(tǒng)模塊的獨享磁盤空間或磁盤空白空間中�,并修改外存訪問控制模塊的記錄�����。具體的步驟如下(流程圖)步驟101�、系統(tǒng)隔離模塊監(jiān)控當(dāng)前子操作系統(tǒng)模塊對磁盤的讀/寫訪問�����;步驟102����、系統(tǒng)隔離模塊判斷為讀訪問還是寫訪問�����;如果是讀訪問���,執(zhí)行步驟103���;否則,執(zhí)行步驟107�����;步驟103、系統(tǒng)隔離模塊提取當(dāng)前運行的子操作系統(tǒng)模塊發(fā)起的讀取磁盤數(shù)據(jù)操作的調(diào)用地址A0�;步驟104、系統(tǒng)隔離模塊根據(jù)調(diào)用地址A0查詢當(dāng)前子操作系統(tǒng)模塊的索引文件�����;如果索引文件中記錄有該調(diào)用地址A0及與其對應(yīng)的存儲地址A1�����,執(zhí)行步驟105����;否則,表明該操作所請求的數(shù)據(jù)就在調(diào)用地址的位置執(zhí)行步驟106���;步驟105�����、系統(tǒng)隔離模塊從存儲地址A1位置讀取數(shù)據(jù)并返回給當(dāng)前子操作系統(tǒng)模塊����,結(jié)束讀訪問���;步驟106����、系統(tǒng)隔離模塊從調(diào)用地址的位置讀取數(shù)據(jù)并返回給當(dāng)前子操作系統(tǒng)模塊,結(jié)束讀訪問�����。
步驟107�、系統(tǒng)隔離模塊提取當(dāng)前運行的子操作系統(tǒng)模塊發(fā)起的寫入磁盤數(shù)據(jù)操作的調(diào)用地址B0���;步驟108�����、系統(tǒng)隔離模塊根據(jù)調(diào)用地址B0查詢當(dāng)前子操作系統(tǒng)模塊的索引文件��;如果索引文件中記錄有該調(diào)用地址B0及與其對應(yīng)的存儲地址B1�����,執(zhí)行步驟109����;否則執(zhí)行步驟110;步驟109���、系統(tǒng)隔離模塊將該數(shù)據(jù)寫入到存儲地址B1位置�����,結(jié)束寫訪問�;步驟110���、系統(tǒng)隔離模塊將數(shù)據(jù)寫入磁盤空白空間�����,該寫入地址為存儲地址�;同時���,系統(tǒng)隔離模塊在所述子操作系統(tǒng)模塊的索引文件中該調(diào)用地址位置記錄該存儲地址�����,并將當(dāng)前運行的子操作系統(tǒng)模塊磁盤位圖文件中的該存儲地址的對應(yīng)位置標(biāo)記為有數(shù)據(jù)狀態(tài)��,結(jié)束寫訪問�。
最后應(yīng)當(dāng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其限制;盡管參照較佳實施例對本發(fā)明進(jìn)行了詳細(xì)的說明��,所屬領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解依然可以對本發(fā)明的具體實施方式
進(jìn)行修改或者對部分技術(shù)特征進(jìn)行等同替換�����;而不脫離本發(fā)明技術(shù)方案的精神�����,其均應(yīng)涵蓋在本發(fā)明請求保護(hù)的技術(shù)方案范圍當(dāng)中���。
權(quán)利要求
1.一種實現(xiàn)操作系統(tǒng)隔離的系統(tǒng),其特征在于包括一母操作系統(tǒng)模塊�,所述母操作系統(tǒng)模塊包括一個操作系統(tǒng)的內(nèi)核,用于提供完成操作系統(tǒng)必需的基本功能的軟件程序���;所述母操作系統(tǒng)模塊對其獨享磁盤空間及磁盤空白空間進(jìn)行讀訪問�����;至少一個子操作系統(tǒng)模塊����,包括用戶對所述母操作系統(tǒng)模塊所做的任何修改信息;同所述母操作系統(tǒng)模塊交互����,對所述母操作系統(tǒng)模塊的獨享磁盤空間進(jìn)行讀訪問;所述子操作系統(tǒng)模塊對其獨享磁盤空間及磁盤空白空間進(jìn)行讀/寫訪問����;一系統(tǒng)隔離模塊,所述系統(tǒng)隔離模塊與所述母操作系統(tǒng)模塊交互�����,用于根據(jù)用戶指令引導(dǎo)和/或建立子操作系統(tǒng)模塊���,指定和/或修改所述母/子操作系統(tǒng)模塊的獨享磁盤空間和磁盤空白空間�;所述系統(tǒng)隔離模塊還分別同所述母/子操作系統(tǒng)模塊交互�����,用于監(jiān)控所述母/子操作系統(tǒng)模塊對磁盤的讀/寫訪問���;一外存訪問控制模塊����,同所述系統(tǒng)隔離模塊交互,記錄所述母/子操作系統(tǒng)模塊的獨享磁盤空間��。
2.根據(jù)權(quán)利要求1所述的實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)��,其特征在于所述母操作系統(tǒng)模塊為一個或多個��;所述多個母操作系統(tǒng)模塊獨立設(shè)置�,由所述系統(tǒng)隔離模塊指定每個母操作系統(tǒng)模塊的獨享磁盤空間并記錄于所述外存訪問控制模塊。
3.根據(jù)權(quán)利要求1所述的實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)�����,其特征在于所述系統(tǒng)隔離模塊設(shè)置在BIOS或EFI中�,先于所述母操作系統(tǒng)模塊啟動。
4.根據(jù)權(quán)利要求1所述的實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)�����,其特征在于所述系統(tǒng)隔離模塊設(shè)置在所述母操作系統(tǒng)模塊的內(nèi)核之中和/或內(nèi)核之外��,與所述母操作系統(tǒng)模塊同時啟動��。
5.根據(jù)權(quán)利要求1所述的實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)���,其特征在于還設(shè)有虛擬內(nèi)存管理模塊���,該虛擬內(nèi)存管理模塊先于母/子操作系統(tǒng)模塊運行;所述系統(tǒng)隔離模塊設(shè)置在虛擬內(nèi)存管理模塊中�,與虛擬內(nèi)存管理模塊同時啟動。
6.根據(jù)權(quán)利要求1所述的實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)�����,其特征在于所述系統(tǒng)還設(shè)有管理操作系統(tǒng)模塊或服務(wù)操作系統(tǒng)模塊�,該管理操作系統(tǒng)模塊或服務(wù)操作系統(tǒng)模塊與母/子操作系統(tǒng)模塊同時運行,或者�,先于母/子操作系統(tǒng)模塊運行,并為母/子操作系統(tǒng)模塊提供磁盤訪問接口���;所述系統(tǒng)隔離模塊設(shè)置在所述管理操作系統(tǒng)模塊或服務(wù)操作系統(tǒng)模塊的內(nèi)核之中和/或內(nèi)核之外��。
7.根據(jù)權(quán)利要求1所述的實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)����,其特征在于所述外存訪問控制模塊包括母操作系統(tǒng)磁盤位圖文件���,用于記錄所述母操作系統(tǒng)模塊的磁盤存儲塊狀態(tài)�,標(biāo)識所述母操作系統(tǒng)模塊在磁盤上的獨享磁盤空間;子操作系統(tǒng)磁盤位圖文件���,用于記錄所述子操作系統(tǒng)模塊的磁盤存儲塊狀態(tài)�,標(biāo)識所述子操作系統(tǒng)模塊在磁盤上的獨享磁盤空間�����;子操作系統(tǒng)索引文件����,用于標(biāo)識所有被所述系統(tǒng)隔離模塊轉(zhuǎn)儲的數(shù)據(jù)的調(diào)用地址與轉(zhuǎn)儲后的存儲地址及二者間的對應(yīng)關(guān)系。
8.根據(jù)權(quán)利要求1-7任一所述的實現(xiàn)操作系統(tǒng)隔離的方法��,其特征在于包括如下步驟步驟1���、系統(tǒng)隔離模塊監(jiān)控當(dāng)前子操作系統(tǒng)模塊對磁盤的讀/寫訪問����;步驟2�����、如果是讀訪問���,系統(tǒng)隔離模塊根據(jù)外存訪問控制模塊的記錄返回母操作系統(tǒng)模塊和/或當(dāng)前子操作系統(tǒng)模塊獨享磁盤空間中的數(shù)據(jù)���;步驟3、如果是寫訪問�����,系統(tǒng)隔離模塊根據(jù)外存訪問控制模塊的記錄寫入當(dāng)前子操作系統(tǒng)模塊的獨享磁盤空間或磁盤空白空間中�,并修改外存訪問控制模塊的記錄。
9.根據(jù)權(quán)利要求8所述的實現(xiàn)操作系統(tǒng)隔離的方法�����,其特征在于所述步驟1之前還包括如下步驟步驟11���、系統(tǒng)隔離模塊在外存訪問控制模塊中創(chuàng)建不可更改的母操作系統(tǒng)磁盤位圖文件����,標(biāo)識所述母操作系統(tǒng)模塊獨享磁盤空間���,該磁盤位圖文件��;步驟12�����、系統(tǒng)隔離模塊引導(dǎo)建立一個或多個子操作系統(tǒng)模塊����,并在外存訪問控制模塊中為每個子操作系統(tǒng)模塊創(chuàng)建對應(yīng)的子操作系統(tǒng)磁盤位圖文件和索引文件;所述子操作系統(tǒng)磁盤位圖文件標(biāo)識所述子操作系統(tǒng)模塊的獨享磁盤空間�,所述索引文件標(biāo)識所有被所述系統(tǒng)隔離模塊轉(zhuǎn)儲數(shù)據(jù)的調(diào)用地址、轉(zhuǎn)儲后的存儲地址及二者間的對應(yīng)關(guān)系��;步驟13����、系統(tǒng)隔離模塊根據(jù)所述母操作系統(tǒng)磁盤位圖文件和所述子操作系統(tǒng)磁盤位圖文件標(biāo)識磁盤空白空間,該磁盤空白空間為所述母操作系統(tǒng)模塊的磁盤位圖文件及子操作系統(tǒng)模塊的磁盤位圖文件中標(biāo)識的獨享磁盤空間以外的磁盤空間���。
10.根據(jù)權(quán)利要求8所述的實現(xiàn)操作系統(tǒng)隔離的方法���,其特征在于所述步驟2具體為步驟201、系統(tǒng)隔離模塊提取當(dāng)前運行的子操作系統(tǒng)模塊發(fā)起的讀取磁盤數(shù)據(jù)操作的調(diào)用地址���;步驟202�、系統(tǒng)隔離模塊根據(jù)調(diào)用地址查詢當(dāng)前子操作系統(tǒng)模塊的索引文件����;步驟203、如果索引文件中該調(diào)用地址位置記錄有該調(diào)用地址對應(yīng)的存儲地址�,所述系統(tǒng)隔離模塊從存儲地址位置讀取數(shù)據(jù)并返回給當(dāng)前子操作系統(tǒng)模塊;步驟204��、如果索引文件中的調(diào)用地址位置的記錄為空����,則表示該操作所請求的數(shù)據(jù)就在調(diào)用地址的位置,所述系統(tǒng)隔離模塊從調(diào)用地址的位置讀取數(shù)據(jù)并返回給當(dāng)前子操作系統(tǒng)模塊�。
11.根據(jù)權(quán)利要求8所述的實現(xiàn)操作系統(tǒng)隔離的方法,其特征在于所述步驟3具體為步驟301���、系統(tǒng)隔離模塊提取當(dāng)前運行的子操作系統(tǒng)模塊發(fā)起的寫入磁盤數(shù)據(jù)操作的調(diào)用地址�����;步驟302�����、系統(tǒng)隔離模塊根據(jù)調(diào)用地址查詢當(dāng)前子操作系統(tǒng)模塊的索引文件�����;步驟303�、如果索引文件中該調(diào)用地址的位置記錄有該調(diào)用地址對應(yīng)的存儲地址,系統(tǒng)隔離模塊將該數(shù)據(jù)寫入到存儲地址位置���;步驟304�、如果索引文件中該調(diào)用地址位置記錄為空����,則系統(tǒng)隔離模塊將數(shù)據(jù)寫入磁盤空白空間,該寫入地址為存儲地址����;同時,系統(tǒng)隔離模塊在所述子操作系統(tǒng)模塊的索引文件中該調(diào)用地址位置記錄該存儲地址�����,并將當(dāng)前運行的子操作系統(tǒng)模塊磁盤位圖文件中的該存儲地址的對應(yīng)位置標(biāo)記為有數(shù)據(jù)狀態(tài)��。
全文摘要
本發(fā)明涉及一種實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)及方法�,包括一母操作系統(tǒng)模塊,至少一個子操作系統(tǒng)模塊���,包括用戶對所述母操作系統(tǒng)模塊所做的任何修改信息��;一系統(tǒng)隔離模塊和一記錄所述母/子操作系統(tǒng)模塊的獨享磁盤空間的外存訪問控制模塊���。所述系統(tǒng)隔離模塊根據(jù)用戶指令引導(dǎo)和/或建立子操作系統(tǒng)模塊�����,指定和/或修改所述母/子操作系統(tǒng)模塊的獨享磁盤空間和磁盤空白空間;并監(jiān)控所述母/子操作系統(tǒng)模塊對磁盤的讀/寫訪問�����。本發(fā)明實現(xiàn)操作系統(tǒng)隔離的系統(tǒng)和方法�,可以在不占用更多磁盤空間的前提下創(chuàng)建不同的操作系統(tǒng)環(huán)境,并實現(xiàn)操作系統(tǒng)的隔離����;減少了系統(tǒng)冗余,增加系統(tǒng)的安全性和可靠性��;保護(hù)不同子操作系統(tǒng)模塊下使用者的信息����。
文檔編號G06F9/46GK1920731SQ20051009338
公開日2007年2月28日 申請日期2005年8月23日 優(yōu)先權(quán)日2005年8月23日
發(fā)明者張興明, 梁金千 申請人:北京軟通科技有限責(zé)任公司