当有资 源分区需要获取内存时,就直接从中取出页面。
[0062] 上述的移动终端安全隔离装置,还包括;对应关系创建模块,用于根据用户操作指 令,创建应用进程与资源分区的对应关系,每个资源分区对应于至少一个应用进程。
[0063] 上述的移动终端安全隔离装置,还包括;调用接口模块,用于向应用进程提供接 口;所述资源分配模块进一步用于通过所述调用接口模块将与所述应用进程对应的资源分 区中的运行资源分配给所述应用进程。
[0064] 系统调用是操作系统通用的一种重要机制,系统调用将操作系统分为两个部分: 内核空间和用户空间。用户程序可W通过系统调用接口从用户空间陷入内核空间,送种机 制有助于虚拟内存的实现,并且还可W提高系统的可靠性、安全性、健壮性。
[0065] 在本发明提供的移动终端安全隔离装置中,提供了调用接口模块,类似于系统调 用的机制,通过该调用接口模块,资源分配模块为上层的应用进程分配运行资源,所有的调 用接口函数被保存在一个调用接口表中,如下段代码所示:
[0066]
[0067] 用户新定义的调用接口函数指针就可W添加到该表中。
[0068] 上述的移动终端安全隔离装置,所述每个资源分区具有固定的优先级;所述资源 分配模块进一步用于当接收到对应于不同资源分区的多个应用进程的资源请求时,根据每 个应用进程对应的资源分区的优先级,将与所述应用进程对应的资源分区中的运行资源分 配给所述应用进程。
[0069] 上述的移动终端安全隔离装置,所述每个资源分区都对应一个虚拟时钟,所述虚 拟时钟用于记录资源分区所对应的应用进程的执行开始时间及预设的执行时间,W使得每 个资源分区均对应一段时间槽来运行应用进程;所述装置还包括:中断产生模块用于根据 所述资源分区对应的虚拟时钟中记录的执行开始时间及预设的执行时间产生时钟中断;中 断处理模块用于在产生时钟中断时,根据所述时钟中断对应的资源分区中的运行资源,将 所述时钟中断作为事件进行处理。
[0070] 上述的移动终端安全隔离装置,所述中断产生模块进一步用于通过菊花链方式将 产生的时钟中断传递给所述中断处理模块进行处理。
[0071] 上述的移动终端安全隔离装置,所述多个资源分区之间通过命名管道和/或共享 内存进行通信。
[0072] 本发明还提供了一种移动终端,包括如上所述的移动终端安全隔离装置。
[0073] 图3为本发明提供的移动终端的系统架构图,如图所示,该系统包括;应用区30、 内核31及资源区32,其中,
[0074] 应用区30可W分为:
[00巧]系统应用300 ;主要包括系统进程,用于内存管理、线程调度等,如果该移动终端 采用的是Amlroid系统,则可W将Amlroid系统作为系统应用,该系统应用处于管理员模 式,可W与其他应用并存,负责系统启动;
[0076] 关键应用301 ;主要包括关键应用进程,如用于实现手机支付、通信等功能;
[0077] 非关键应用302 ;包括其他应用进程,如游戏类进程。
[0078] 对应于该应用区的分类,资源区32分为:
[0079] 系统资源分区320;对应于系统应用的资源分区;
[0080] 关键应用资源分区321;对应于关键应用的资源分区;
[0081] 非关键应用资源分区322;对应于非关键应用的资源分区;
[0082] 资源分区具有空间隔离性和时间隔离性,空间隔离性通过根据配置文件中设定的 值,保证每个资源分区对应的应用进程的私有数据和上下文信息都保存在独立的空间中; 时间隔离性由固定优先级调度策略来保证,每个资源分区的优先级都是由配置文件预先设 定的。
[0083] 内核31包括本发明提供的移动终端安全隔离装置310,该装置中包括:
[0084] 调用接口 3100;提供给应用区30的调用接口,应用区通过该调用接口实现对底层 资源的访问;
[0085]Hypervisor模块3101iHypervisor模块用于实现上述的分区划分模块、资源分配 模块、中断产生模块及中断处理模块的功能,根据应用区内的应用进程将资源区32划分为 对应的分区,为每个资源分区都分配一虚拟时钟,该虚拟时钟被与资源分区对应的应用区 内的应用进程使用;为应用区内的应用进程分配相应的资源;接管内核中所有的开/关中 断指令;加入若干钩子函数,用于虚拟中断和硬件定时器,为应用区提供虚拟中断函数来处 理中断。
[0086] 上述资源分区可W有四种状态;启动、运行、挂起及终止,可W在四种状态之间转 换,各种状态之间的转换如图4所示,例如通过suspend_partition可W从运行状态进入挂 起状态,而再经过pass_event又可W进入运行状态,其中,处于运行状态的资源分区对应 的应用进程数是非负的,且所有资源分区所对应的应用进程都能够处于运行状态。其中, suspencLpartition为挂起分区,exit_domain为设置分区状态为终止,loacLpartition为 加载分区,pass_event为通过事件唤醒分区。
[0087] 对于本发明提供的移动终端安全隔离装置可W采用有限状态机 (Q,a,Si,S0,e,巧来进行验证,其中:
[0088]Q是系统配置。
[0089] a是可接收的输入事件集合(硬件中断、异常和超级调用)。
[0090]Si是有限非空的状态集合。送些有限状态是调度的结果。每一个状态对应一个调 度计划的分区的执行。
[0091] so是初始状态,它对应启动装载分区后的状态。
[009引0是状态转移函数,表示为:5:SXI: -S。函数f"化)提取关于Si状态的硬件 参数集合。
[0093]F是终止状态,对应于系统停止。
[0094] 如图5所示,W3个分区来说明分区调度的状态转换,3个分区分别为P1、P2及P3, 每个Si对应一个执行的资源分区Pi的状态,从一个状态到下一个状态的转换,是由下一时 间片引发,送个事件是关于时间片的硬件中断,时间片定义在调度计划中。当该中断事件到 达后,前一个资源分区对应的应用进程的上下文环境将被保存,下一个资源分区将被选择, 如果选择的资源分区处于就绪状态,则控制被转移到该资源分区。
[0095]为了实现空间隔离,硬件提供一些机制来防止违反空间隔离的行为,保证一个资 源分区对应的应用进程在运行时,该资源分区的硬件机制被设置为占用值,任一资源分区 中的处理不会进入到该资源分区内存地址范围外的地址。
[0096] 假设当前处于Si状态,下一状态为Sj,此时Hypervisor的输入当前状态相关硬件 信息的值,输出为下一状态相关硬件信息的值。相关硬件信息包括中断向量、10保护、读写 保护和定时器。对于空间隔离,送一属性需被满足。
[0097] 除了初始状态和最终状态,当集合a中的事件发生时,在Hypervisor入口W及运 行分区时,10保护标志被设置为1,表示禁止其他事件使用10 ;在不存在运行分区时,10保 护标志为0表示其他事件可使用10。对于空间隔离,送一属性也需被满足。
[0098]为了实现时间隔离,需要设计一个时间计划并保证该时间计划按规定运行,通过 调度策略来保证时间计划正确运行,定义了一个周期调度的全局调度器及基于固定优先级 的抢占策略的分区调度器。保证每个资源分区对应的应用进程只运行在调度计划规定的时 隙中。时隙大小由Hypervisor唯一的计时器控制,并不能被分区计时器影响。需满足状态 Si的任意时刻,时钟的值都在规定的时间片时隙区间内送一属性。
[0099] 通过对本发明提供的方法模型进行验证,主要对任务调度延迟、中断延迟、FIFO传 输速度、接口函数调用延迟等指标进行评估,相对于现有技术,本发明提供的移动终端在性 能上有较大的改善。
[0100] 延迟是指事件的发生时刻与事件被检测到的时刻之间的时间间隔。中断延迟就是 指从设备发生中断到进入该设备为中断提供的服务函数之间的时间间隔。在很多操作系统 中,设备中断服务是进入相应的设备中断函数就开始了。中断延迟可能受到中断控制器,中 断掩码,W及操作系统的中断处理方法等多方面的影响。不同于传统的单操作系统,在本发 明提供的移动终端的系统中,中断服务函数具有多点分布的特点,也就是说一个中断的处 理可能是由内核处理,也可能是由某个或多个资源分区对应的应用进程处理,甚至是内核 和资源分区对应的应用进程都会响应。例如时钟中断发生后,发生中断的应用进程要响应 来完成对应的资源分区的调度,同时,被调度的资源分区与也要响应,低优先级资源分区也 会在被调度的时候去响应该事件,时钟中断处理流程如图6所示,当发生定时中断时,当前 的应用进程即图中所示的定时中断服