[发明专利]资源管理和安全系统

说明书

相关申请的交叉引用

本申请包含的主题涉及2010年8月31日提交的标题为“FILESYSTEM MANAGEMENT AND SECUYRITY SYESTM（文件系统管理和安全系统）”的美国专利申请第12/873,047号，以及2010年8月31日提交的标题为“PROCESSOR SUPPORT FOR SECUREDEVICE DRIVER ARCHITECTURE（安全设备驱动器架构的处理器支持）”的美国专利申请第12/873,085号（案号YOR920090083US1），这两个申请的全部主题在此引入作为参考。上述申请转让给本申请的受让人，即，位于纽约阿蒙克的国际商业机器公司。

技术领域

本发明涉及计算机系统领域，更具体地说，涉及解决计算机系统中的资源管理和安全性。

背景技术

多数通用计算机利用操作系统（“OS”）作为它们的应用与计算机硬件之间的接口。因此，OS通常管理计算机上执行的数据处理应用程序，以及响应于数据应用程序而控制硬件资源。数据处理应用是处理数据的应用。用户应用可以是在计算机用户之一的支持下，直接处理数据的数据处理应用。系统应用可以是在同一系统或远程系统上运行的一个或多个用户或系统应用的支持下，处理数据的数据处理应用。系统应用通常实现为用户级应用，它们以特殊权限运行并一般被称为系统守护进程（daemon）。

此外，可以控制OS其它部分的一部分OS一般称为OS内核（kernel）。OS内核一般对应用地址空间和文件具有完全的访问。

发明内容

根据本发明的一个实施例，用于解决计算机系统中的资源管理和安全性的系统可以包括在计算机处理器上执行的操作系统内核。

用于解决计算机系统中的资源管理和安全性的系统可以包括在计算机处理器上执行的操作系统内核。所述系统还可以包括数据处理应用和被配置为在所述计算机处理器上执行的中介器。所述中介器可以在所述操作系统内核与所述数据处理应用之间工作。所述中介器可以控制对所述数据处理应用的用户相关的应用状态的访问，并且可以限制所述操作系统内核对所述用户相关的应用状态的访问。

所述用户相关的应用状态可以包括读取自与系统相连的设备或系统外部设备的数据，或者包括由所述数据处理应用在其操作期间产生并且对于所述中介器可见而对于所述操作系统内核不可见的数据。所述操作系统内核可以控制系统相关的应用状态，所述系统相关的应用状态用于在所述操作系统内核的级别处控制所述数据处理应用的各部分。

所述操作系统内核可以被修改为将其功能的一部分移交给所述中介器。所述系统还可以包括与所述计算机处理器通信的数据处理资源。

所述中介器对所述计算机处理器和所述数据处理资源的访问权限高于所述操作系统内核。所述操作系统内核对于用户相关的应用状态具有受限的访问，因为所述中介器根据需要在所述用户相关的应用状态与所述操作系统内核的数据结构之间执行传输以实现所述操作系统内核的其余功能。

所述中介器可以控制所述操作系统内核与所述数据处理应用之间的系统调用和异常。所述数据处理资源可以包括计算机存储器、通信网络、输入/输出设备和数据处理设备，其中所述计算机存储器存储所述数据处理应用、所述中介器、所述操作系统内核、一个或多个用户级共享库以及系统守护进程，并且所述中介器可以使用存储器管理单元控制所述操作系统内核、数据处理应用、用户级共享库和系统守护进程的存储器访问；并且所述中介器可以虚拟化所述输入/输出设备的选择寄存器并可以使用输入/输出存储器管理单元控制输入/输出设备的数据传输源和数据传输目的地。所述系统还可以包括实现为系统守护进程并在所述操作系统内核之外运行的网际协议安全模块，该安全模块直接与所述数据处理应用通信而不与所述操作系统内核通信。

本发明的另一方面是一种用于解决计算机系统中的资源管理和安全性的方法。所述方法可以包括通过计算机处理器执行中介器，以使所述中介器在操作系统内核与数据处理应用之间执行。所述方法还可以包括通过所述中介器控制对所述数据处理应用的用户相关的应用状态的访问。所述方法还可以包括限制所述操作系统内核对所述用户相关的应用状态的访问。