一种资源隔离方法及电子设备与流程

本发明涉及通信技术领域，尤其涉及一种资源隔离方法及电子设备。

背景技术：

目前很多安全攸关的行业，例如车载系统、工业自动化设备、iot安全类应用的嵌入式设备中，一般都没有采取安全防护措施。由于这些嵌入式设备还与具有通信功能(例如蓝牙、移动热点wifi、通用串行总线(universalserialbus，usb))的外围设备连接，且多个外围设备共用一个操作系统，这就存在恶意程序通过这些外围设备攻击嵌入式设备的操作系统的可能性，这就导致嵌入式设备中负责安全以及控制的应用存在一定的安全隐患。

但是，由于嵌入式设备通常处理能力有限，没有办法安装通用的杀毒软件，即使勉强安装通用杀毒软件，又会造成系统无法通过形式化验证，无法满足现有的应用场景。

技术实现要素：

本发明的实施例提供一种资源隔离方法及装置，用于保证嵌入式设备中涉及安全以及控制的应用不受攻击。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供了一种资源隔离方法，应用于包括多个内存以及多个中央处理器cpu的电子设备，该方法包括：获取预设的配置文件；所述配置文件包括操作系统的内存配置信息、cpu配置信息以及外围设备配置信息；根据所述配置文件，分别生成第一域以及第二域；所述第一域包括相对独立的第一操作系统、第一内存、第一cpu以及第一外围设备，所述第二域包括相对独立的第二操作系统、第二内存、第二cpu以及第二外围设备；所述第一域与所述第二域相对隔离。

第二方面，提供了一种电子设备，该电子设备包括获取单元以及生成单元；所述获取单元，用于获取预设的配置文件；所述配置文件包括操作系统的内存配置信息、cpu配置信息以及外围设备配置信息；所述生成单元，用于根据所述获取单元获取到的所述配置文件，分别生成第一域以及第二域；所述第一域包括相对独立的第一操作系统、第一内存、第一cpu以及第一外围设备，所述第二域包括相对独立的第二操作系统、第二内存、第二cpu以及第二外围设备；所述第一域与所述第二域相对隔离。

第三方面，提供了一种存储一个或多个程序的计算机可读存储介质，该一个或多个程序包括指令，上述指令当被计算机执行时使计算机执行如第一方面的资源隔离方法。

第四方面，一种电子设备，包括：处理器以及存储器；其中，存储器用于存储一个或多个程序，一个或多个程序包括计算机执行指令，当电子设备运行时，处理器执行存储器存储的计算机执行指令，以使电子设备执行如第一方面的资源隔离方法。

第五方面，提供了一种包含指令的计算机程序产品，当该指令在计算机上运行时，使得计算机执行第一方面的资源隔离方法。

本发明的实施例提供一种资源隔离方法及装置，应用于确保本发明的实施例提供一种资源隔离方法及装置，能够将第一域以及第二域从硬件上进行隔离。由于第一域中第一操作系统对应第一内存、第一cpu以及第一外围设备。第二域中第二操作系统对应第二内存、第二cpu以及第二外围设备。这样一来，即使多个外围设备中的任意一个具有外部通信的外围设备被恶意程序攻击，也不会影响到电子设备中涉及到安全控制的外围设备对应的核心操作系统。

附图说明

图1为本发明的实施例提供的一种资源隔离系统结构示意图；

图2为本发明的实施例提供的一种资源隔离方法流程示意图一；

图3为本发明的实施例提供的一种资源隔离方法流程示意图二；

图4为本发明的实施例提供的一种资源隔离方法流程示意图三；

图5为本发明的实施例提供的一种资源隔离方法流程示意图四；

图6为本发明的实施例提供的一种资源隔离方法流程示意图五；

图7为本发明的实施例提供的一种资源隔离方法流程示意图六；

图8为本发明的实施例提供的一种电子设备结构示意图一；

图9为本发明的实施例提供的一种电子设备结构示意图二；

图10为本发明的实施例提供的一种电子设备结构示意图三。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。

在本发明的描述中，除非另有说明，“/”表示“或”的意思，例如，a/b可以表示a或b。本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。此外，“至少一个”“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

本发明实施例提供的资源隔离方法可以适用于资源隔离系统。图1示出了该资源隔离系统的一种结构示意图。如图1所示，资源隔离系统10包括电子设备11以及多个外围设备(示例性的，图1示出了两个外围设备，包括外围设备121以及外围设备122，在实际应用过程中，外围设备的数量可以根据需要设置为更多或者更少)。电子设备11与多个外围设备连接。电子设备11与外围设备之间可以采用有线方式连接，也可以采用无线方式连接，本发明实施例对此不作限定。

电子设备11可以用于物联网，电子设备11可以包括多个中央处理器(centralprocessingunit，cpu)、多个内存、存储有多个操作系统的存储装置等硬件。

电子设备11可以用于与多个外围设备进行指令或数据交互，例如，电子设备11可以获取多个外围设备发送的指令或者数据，进而执行多个外围设备发送的指令，或者存储多个外围设备发送的数据。

外围设备也可以用于物联网，用于向电子设备11发送指令或者数据。

示例性的，在汽车领域，电子设备11可以为汽车中的控制设备，外围设备可以为网卡、具有通用串行总线(universalserialbus，usb)功能的影音娱乐装置、具有蓝牙功能的通信装置、汽车的启动装置或者汽车的制动装置。在生产制造领域，电子设备11可以为生产车间中用于控制生产的控制设备，外围设备可以为生产车间中的告警装置、制动装置、监控装置或者通信装置。

需要说明的，电子设备11和多个外围设备可以为相互独立的设备，也可以集成于同一设备中，本发明对此不作具体限定。

当电子设备11和外围设备集成于同一设备时，电子设备11和外围设备之间的通信方式为该设备内部模块之间的通信。这种情况下，二者之间的通信流程与“电子设备11和外围设备之间相互独立的情况下，二者之间的通信流程”相同。

在本发明提供的以下实施例中，本发明以电子设备11和外围设备12相互独立设置为例进行说明。

下面结合附图对本发明实施例提供的资源隔离方法进行描述。

如图2所示，本发明实施例提供的资源隔离方法应用于包括多个内存以及多个中央处理器cpu的电子设备，包括s201-s202：

s201、电子设备获取预设的配置文件。

其中，配置文件包括操作系统的内存配置信息、cpu配置信息以及外围设备配置信息。内存配置信息用于反映为不同的操作系统分配的不同内存，cpu配置信息用于反映为不同的操作系统分配的不同的cpu，外围设备配置信息用于反映为不同的操作系统分配不同的外围设备。

作为一种可能的实现方式，电子设备从存储装置中获取预设的配置文件。

需要说明的，配置文件可以由资源隔离系统的开发人员预先在电子设备中设置，并存储与电子设备的存储装置中。

s202、电子设备根据配置文件，分别生成第一域以及第二域。

其中，第一域包括相对独立的第一操作系统、第一内存、第一cpu以及第一外围设备，第二域包括相对独立的第二操作系统、第二内存、第二cpu以及第二外围设备。第一域与第二域相对隔离。

作为一种可能的实现方式，电子设备根据内存配置信息，分别确定第一操作系统的第一内存，以及确定第二操作系统的第二内存。电子设备根据cpu配置信息，分别确定第一操作系统的第一cpu，以及确定第二操作系统的第二cpu。电子设备在确定第二cpu之后，启动第二操作系统，并根据外围设备配置信息，分别确定第一操作系统的第一外围设备，以及确定第二操作系统的第二外围设备。

电子设备在确定第一内存、第一cpu、第一外围设备之后，生成包括第一操作系统的第一域。电子设备在确定第二内存、第二cpu、第二外围设备以及启动第二操作系统之后，生成包括第二操作系统的第二域。

需要说明的，第一操作系统可以为电子设备的核心操作系统，第一外围设备可以为与安全行车或安全生产相关的外围设备，例如汽车的启动装置、制动装置，或者生产车间中的控制装置、告警装置、制动装置。

第二操作系统可以为电子设备中的非核心操作系统，第二外围设备可以为与安全行车或者安全生产无关的外围设备，例如汽车的影音娱乐装置、通信装置，或者生产车间中的通信装置。

需要说明的，在电子设备中，可能存在更多的域，示例性的，可能为多个第一域或者多个第二域，对于第一域以及第二域的数量，取决与第一外围设备的数量以及第二外围设备的数量。

在一种设计中，为了能够确定第一内存以及第二内存，如图3所示，本发明实施例提供的s202，具体可以包括下述s301-s303。

s301、电子设备获取电子设备的当前内存配置以及电子设备的当前内存数据。

其中，当前内存配置包括电子设备的多个内存的数据段以及代码段，当前内存数据包括电子设备的多个内存的页表数据。

作为一种可能的实现方式，电子设备获取电子设备的每个内存的数据段以及代码段，以及每个内存的页表数据。

s302、电子设备根据内存配置信息以及当前内存配置，确定与第一操作系统对应的第一内存，以及，确定与第二操作系统对应的第二内存。

作为一种可能的实现方式，电子设备根据内存配置信息以及当前内存配置，对多个内存进行空间地址的分割，以确定第一内存以及第二内存。

需要说明的，电子设备可以将当前操作系统的内存作为第一内存。电子设备在对内存进行空间地址分割时，可以采用电子设备中的地址空间分配器，初始化第一内存以及第二内存，并在初始化第一内存以及第二内存之后，分别启动第一内存以及第二内存。

第一内存以及第二内存的大小，可以由开发人员预先在电子设备中存储。

示例性的，在汽车领域中，应用于影音娱乐装置的第二内存可以大于应用于启动装置的第一内存。

s303、电子设备将当前内存数据中的第一内存数据迁移至第一内存，以及，将当前内存数据中的第二内存数据迁移至第二内存。

其中，第一内存数据与第一外围设备对应，第二内存数据与第二外围设备对应。

作为一种可能的实现方式，电子设备确定与第一外围设备对应的第一内存数据，并将第一内存数据迁移至第一内存。电子设备确定与第二外围设备对应的第二内存数据，并将第二内存数据迁移至第二内存。

需要说明的，在第一内存开启之后，电子设备还将第一操作系统(当前操作系统)迁移至第一内存。

可以理解的，本发明实施例中，当电子设备接收到外围设备的中断请求之后，可以根据外围设备的标识进行身份认证，确定发起中断请求的外围设备对应的内存以及操作系统。

本发明实施例中，为了能够确定第一cpu以及第二cpu，如图4所示，本发明实施例提供的s202，在s303之后，具体还可以包括下述s401-s405。

s401、电子设备从多个cpu中确定第一cpu。

其中，第一cpu为电子设备的当前操作系统对应的cpu。

作为一种可能的实现方式，电子设备将电子设备中的多个cpu中的任意一个cpu作为当前操作系统对应的第一cpu。

s402、电子设备获取多个cpu的当前执行任务，并当前执行任务迁移至第一cpu，并离线多个cpu中，除第一cpu之外的全部cpu。

作为一种可能的实现方式，电子设备从多个cpu的任务管理器中，获取多个cpu的当前执行任务，并将多个cpu的当前执行任务全部迁移至第一cpu，并离线除了第一cpu之外的所有的cpu。

可以理解的，电子设备将当前执行任务全部迁移至第一cpu，并不会影响当前执行任务的中断。电子设备在将当前执行任务全部迁移至第一cpu之后，控制除第一cpu之外的所有cpu，都进入冻结状态，以进行后续的初始化。

s403、电子设备根据cpu配置信息，从多个cpu中确定第二cpu，并上线第二cpu。

作为一种可能的实现方式，电子设备在获取cpu配置信息之后，根据cpu配置信息，从多个cpu中确定第二操作系统对应的第二cpu，并初始化第二cpu，并在完成初始化第二cpu之后，控制第二cpu上线。

需要说明的，配置文件中包括操作系统、内存以及cpu之间的对应关系。

s404、电子设备从当前执行任务中确定第一任务以及第二任务。

其中，第一任务包括与第一外围设备对应的任务，第二任务包括与第二外围设备对应的任务。

作为一种可能的实现方式，电子设备确定当前执行任务中每一个任务对应的外围设备的标识，并根据外围设备与操作系统的对应关系，从当前执行任务中确定与第一操作系统、第一外围设备对应的第一任务，以及与第二操作系统、第二外围设备对应的第二任务。

s405、电子设备将第二任务迁移至第二cpu。

作为一种可能的实现方式，电子设备将确定到的第二任务迁移至第二cpu。

可以理解的，在这种情况下，第一任务在第一操作系统的第一cpu中执行，第二任务在第二操作系统的第二cpu中执行。

在一种设计中，为了能够生成第一域以及第二域，如图5所示，本发明实施例提供的s202，在s405之后，具体还可以包括下述s501-s503。

s501、电子设备确定当前操作系统为第一操作系统。

作为一种可能的实现方式，电子设备将电子设备的当前操作系统确定为第一操作系统。

s502、电子设备获取目标操作系统镜像。

其中，目标操作系统镜像用于为第二外围设备提供服务。

作为一种可能的实现方式，电子设备从其存储装置中获取目标操作系统镜像。

需要说明的，目标操作系统镜像可以预先存储与存储装置中。

目标操作系统镜像可以为当前操作系统的镜像，也可以为电子设备中其他操作系统的镜像。

s503、电子设备根据目标操作系统镜像，生成第二操作系统。

作为一种可能的实现方式，电子设备从配置文件中获取第二操作系统的配置参数，并根据配置参数，对目标操作系统镜像解压，以生成第二操作系统。

需要说明的，电子设备在生成第二操作系统之后，启动第二操作系统。

在一种设计中，为了能够生成第一域以及第二域，如图6所示，本发明实施例提供的s202，具体还可以包括下述s601-s608。

s601、电子设备关闭电子设备的当前中断。

作为一种可能的实现方式，电子设备从电子设备的中断寄存器中确定当前中断，并将电子设备中的当前中断全部关闭。

可以理解的，电子设备将当前中断全部关闭，可以用于后续的确定中断所对应的外围设备，并基于外围设备对中断进行隔离。

s602、电子设备获取当前中断的中断处理函数。

作为一种可能的实现方式，电子设备在关闭当前中断之后，从中断寄存器中获取当前中断的中断处理函数。

s603、电子设备从当前中断的中断处理函数中确定多个外围设备的设备标识。

作为一种可能的实现方式，电子设备基于获取到的中断处理函数，确定与每个当前中断对应的外围设备的设备标识。

可以理解的，基于中断处理函数，电子设备可以确定与每个中断对应的外围设备。

s604、电子设备根据外围设备配置信息以及确定到的多个外围设备的设备标识，分别从当前中断中确定与第一操作系统对应的第一当前中断，以及与第二操作系统对应的第二当前中断。

作为一种可能的实现方式，电子设备在确定每个当前中断对应的外围设备的设备标识之后，可以根据第一操作系统对应的第一外围设备，确定与第一操作系统对应的第一当前中断。

以及，电子设备在确定每个当前中断对应的外围设备的设备标识之后，可以根据第二操作系统对应的第二外围设备，确定与第二操作系统对应的第一当前中断。

需要说明的，外围设备的种类较多，都加载高速或低速总线上，上述总线提供各设备树源码(devicetreesource，dts)。dts上包括多个dts节点，每个dts节点包括一个外围设备的分配策略。外围设备配置信息包括当前设备中加挂的外围设备的dts，以及每个外围设备与操作系统的对应关系。

s605、电子设备将第一当前中断的中断处理函数发送至第一内存。

作为一种可能的实现方式，电子设备将第一当前中断的中断处理函数进行初始化，并将初始化后的中断处理函数发送至第一内存，用于在第一内存接收到第一当前中断的中断处理函数之后，执行后续的开启第一当前中断的动作。

可以理解的，将初始化后的中断处理函数发送至第一内存，目的在于在第一内存中建立中断请求与第一外围设备之间的对应关系。

s606、电子设备开启第一当前中断。

作为一种可能的实现方式，电子设备在将第一当前中断的中断处理函数发送至第一内存之后，在第一内存中开启第一当前中断。

s607、电子设备将第二当前中断的中断处理函数发送至第二内存。

作为一种可能的实现方式，电子设备将第二当前中断的中断处理函数进行初始化，并将初始化后的中断处理函数发送至第二内存，用于在第二内存接收到第二当前中断的中断处理函数之后，执行后续的开启第二当前中断的动作。

可以理解的，将初始化后的中断处理函数发送至第二内存，目的在于在第二内存中建立中断请求与第二外围设备之间的对应关系。

s608、电子设备在第二操作系统中注册第二外围设备。

作为一种可能的实现方式，电子设备在第二操作系统中注册第二外围设备，以使得第二操作系统第二内存接收到第二外围设备发送的关于第二当前中断的中断请求之后，利用第二内存中的中断处理函数，在第二内存中开启第二当前中断。

可以理解的，通过上述技术特征能够将第一域以及第二域从硬件上进行隔离。由于第一域中第一操作系统对应第一内存、第一cpu以及第一外围设备。第二域中第二操作系统对应第二内存、第二cpu以及第二外围设备。这样一来，即使多个外围设备中的任意一个具有外部通信的外围设备被恶意程序攻击，也不会影响到电子设备中核心操作系统对应的涉及到安全控制的外围设备。

在一种设计中，如图7所示，本公开实施例提供的资源隔离方法，还包括下述s203。

s203、电子设备在确定第一域与第二域成功隔离的情况下，根据电子设备的当前操作系统，更新第一域中的第一操作系统。

作为一种可能的实现方式，电子设备检测第一域以及第二域之间是否成功隔离。若成功隔离第一域以及第二域，则电子设备对第一操作系统进行更新，以使得更新后的第一操作系统与电子设备在隔离前的当前操作系统相同。

可以理解的，这样一来，对于电子设备在隔离前的当前操作系统来说，就可以做到第一外围设备以及第一操作系统的无感知，不影响后续第一外围设备的正常使用。

在另外一种情况下，若电子设备检测到第一域与第二域未成功隔离，则还原原有的当前操作系统，即将第一操作系统中的各种配置还原至当前操作系统中。

可以理解的，对于当前操作系统，即使未隔离成功，也不会引起当前操作系统的崩溃。

可选的，本发明实施例提供的资源隔离方法，具体还包括下述s701。

s701、电子设备在确定成功隔离第一域以及第二域的情况下，周期性的检测电子设备的当前运行状态是否满足预设条件。

其中，当前运行状态包括电子设备的各个操作系统中外围设备种类、型号，以及其对应的内存、cpu。预设条件包括第一外围设备与第二外围设备对应有相同的操作系统、内存或者cpu。预设条件用于反映第一域以及第二域未隔离成功。

作为一种可能的实现方式，电子设备周期性的获取电子设备的当前运行状态，并确定当前运行状态是否满足预设条件。

s702、若检测到电子设备的当前运行状态满足预设条件，则电子设备重新执行上述资源隔离方法，以确保成功隔离第一域以及第二域。

作为一种可能的实现方式，点子啊设备在确定当前运行状态满足预设条件的情况下，则重新配置第一域以及第二域，直至第一域以及第二域成功隔离。

在另外一种情况下，若当前运行状态不满足预设条件，则表明第一域和第二域隔离成功，在这种情况下，电子设备周期性的执行上述s701-s702。

可以理解的，通过上述技术特征，电子设备的运行状态更新后，例如，增加了新的外围设备，内部的内存或者cpu数量做了调整，电子设备都可以通过周期性的检测，保持第一域与第二域的成功隔离。

本发明的实施例提供一种资源隔离方法及装置，能够将第一域以及第二域从硬件上进行隔离。由于第一域中第一操作系统对应第一内存、第一cpu以及第一外围设备。第二域中第二操作系统对应第二内存、第二cpu以及第二外围设备。这样一来，即使多个外围设备中的任意一个具有外部通信的外围设备被恶意程序攻击，也不会影响到电子设备中涉及到安全控制的外围设备对应的核心操作系统。

上述主要从方法的角度对本发明实施例提供的方案进行了介绍。为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本发明实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

本发明实施例可以根据上述方法示例对电子设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。可选的，本发明实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

图8为本发明实施例提供的一种电子设备的结构示意图。如图8所示，电子设备11用于保证嵌入式设备中涉及安全以及控制的应用不受攻击，例如用于执行图2所示的资源隔离方法。该电子设备11包括包括多个内存以及多个中央处理器cpu的电子设备，具体包括获取单元111以及生成单元112。

获取单元111，用于获取预设的配置文件。配置文件包括操作系统的内存配置信息、cpu配置信息以及外围设备配置信息。例如，如图2所示，获取单元111可以用于执行s201。

生成单元112，用于根据获取单元111获取到的配置文件，分别生成第一域以及第二域。第一域包括相对独立的第一操作系统、第一内存、第一cpu以及第一外围设备，第二域包括相对独立的第二操作系统、第二内存、第二cpu以及第二外围设备。第一域与第二域相对隔离。例如，如图2所示，生成单元112可以用于执行s202。

可选的，如图8所示，本发明实施实例提供的生成单元112，具体用于：

获取电子设备的当前内存配置以及电子设备的当前内存数据。例如，如图3所示，生成单元112可以用于执行s301。

根据内存配置信息以及当前内存配置，确定与第一操作系统对应的第一内存，以及，确定与第二操作系统对应的第二内存。例如，如图3所示，生成单元112可以用于执行s302。

将当前内存数据中的第一内存数据迁移至第一内存，以及，将当前内存数据中的第二内存数据迁移至第二内存。第一内存数据与第一外围设备对应，第二内存数据与第二外围设备对应。例如，如图3所示，生成单元112可以用于执行s303。

可选的，如图8所示，本发明实施实例提供的生成单元112，具体用于：

从多个cpu中确定第一cpu。第一cpu为电子设备的当前操作系统对应的cpu。例如，如图4所示，生成单元112可以用于执行s401。

获取多个cpu的当前执行任务，并当前执行任务迁移至第一cpu，并离线多个cpu中，除第一cpu之外的全部cpu。例如，如图4所示，生成单元112可以用于执行s402。

根据cpu配置信息，从多个cpu中确定第二cpu，并上线第二cpu。例如，如图4所示，生成单元112可以用于执行s403。

从当前执行任务中确定第一任务以及第二任务。第一任务包括与第一外围设备对应的任务，第二任务包括与第二外围设备对应的任务。例如，如图4所示，生成单元112可以用于执行s404。

将第二任务迁移至第二cpu。例如，如图4所示，生成单元112可以用于执行s405。

可选的，如图8所示，本发明实施实例提供的生成单元112，具体用于：

确定当前操作系统为第一操作系统。例如，如图5所示，生成单元112可以用于执行s501。

获取目标操作系统镜像。例如，如图5所示，生成单元112可以用于执行s502。

根据目标操作系统镜像，生成第二操作系统。目标操作系统镜像用于为第二外围设备提供服务。例如，如图5所示，生成单元112可以用于执行s503。

可选的，如图8所示，本发明实施实例提供的生成单元112，具体用于：

关闭电子设备的当前中断。例如，如图6所示，生成单元112可以用于执行s601。

获取当前中断的中断处理函数。例如，如图6所示，生成单元112可以用于执行s602。

从当前中断的中断处理函数中确定多个外围设备的设备标识。例如，如图6所示，生成单元112可以用于执行s603。

根据外围设备配置信息以及确定到的多个外围设备的设备标识，分别从当前中断中确定与第一操作系统对应的第一当前中断，以及与第二操作系统对应的第二当前中断。例如，如图6所示，生成单元112可以用于执行s604。

将第一当前中断的中断处理函数发送至第一内存。例如，如图6所示，生成单元112可以用于执行s605。

开启第一当前中断。例如，如图6所示，生成单元112可以用于执行s606。

将第二当前中断的中断处理函数发送至第二内存。例如，如图6所示，生成单元112可以用于执行s607。

在第二操作系统中注册第二外围设备。例如，如图6所示，生成单元112可以用于执行s608。

可选的，如图8所示，本发明实施实例提供的电子设备还包括更新单元113。

更新单元113，用于在确定第一域与第二域成功隔离的情况下，根据电子设备的当前操作系统，更新第一域中的第一操作系统。例如，如图7所示，更新单元113可以用于执行s203。

在采用硬件的形式实现上述集成的模块的功能的情况下，本发明实施例提供了上述实施例中所涉及的电子设备的另外一种可能的结构示意图。如图9所示，一种电子设备70，用于确定引起业务故障的网络设备，例如用于执行图3所示的资源隔离方法。该电子设备70包括处理器701，存储器702以及总线703。处理器701与存储器702之间可以通过总线703连接。

处理器701是通信装置的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器701可以是一个通用中央处理单元(centralprocessingunit，cpu)，也可以是其他通用处理器等。其中，通用处理器可以是微处理器或者是任何常规的处理器等。

作为一种实施例，处理器701可以包括一个或多个cpu，例如图9中所示的cpu0和cpu1。

存储器702可以是只读存储器(read-onlymemory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(randomaccessmemory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasableprogrammableread-onlymemory，eeprom)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

作为一种可能的实现方式，存储器702可以独立于处理器701存在，存储器702可以通过总线703与处理器701相连接，用于存储指令或者程序代码。处理器701调用并执行存储器702中存储的指令或程序代码时，能够实现本发明实施例提供的资源隔离方法。

另一种可能的实现方式中，存储器702也可以和处理器701集成在一起。

总线703，可以是工业标准体系结构(industrystandardarchitecture，isa)总线、外围设备互连(peripheralcomponentinterconnect，pci)总线或扩展工业标准体系结构(extendedindustrystandardarchitecture，eisa)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图9中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

需要指出的是，图9示出的结构并不构成对该电子设备70的限定。除图9所示部件之外，该电子设备70可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

作为一个示例，结合图9，电子设备中的获取单元111、生成单元112以及更新单元112实现的功能与图9中的处理器701的功能相同。

可选的，如图9所示，本发明实施例提供的电子设备70还可以包括通信接口704。

通信接口704，用于与其他设备通过通信网络连接。该通信网络可以是以太网，无线接入网，无线局域网(wirelesslocalareanetworks，wlan)等。通信接口704可以包括用于接收数据的接收单元，以及用于发送数据的发送单元。

在一种设计中，本发明实施例提供的电子设备中，通信接口还可以集成在处理器中。

图10示出了本发明实施例中电子设备的另一种硬件结构。如图10所示，电子设备80可以包括处理器801以及通信接口802。处理器801与通信接口802耦合。

处理器801的功能可以参考上述处理器701的描述。此外，处理器801还具备存储功能，可以参考上述存储器502的功能。

通信接口802用于为处理器801提供数据。该通信接口802可以是通信装置的内部接口，也可以是通信装置对外的接口(相当于通信接口504)。

需要指出的是，图10中示出的结构并不构成对电子设备80的限定，除图10所示部件之外，该电子设备80可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能单元的划分进行举例说明。在实际应用中，可以根据需要而将上述功能分配由不同的功能单元完成，即将装置的内部结构划分成不同的功能单元，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当计算机执行该指令时，该计算机执行上述方法实施例所示的方法流程中的各个步骤。

本发明的实施例提供一种包含指令的计算机程序产品，当指令在计算机上运行时，使得计算机执行上述方法实施例中的资源隔离方法。

其中，计算机可读存储介质，例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘。随机存取存储器(randomaccessmemory，ram)、只读存储器(read-onlymemory，rom)、可擦式可编程只读存储器(erasableprogrammablereadonlymemory，eprom)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(compactdiscread-onlymemory，cd-rom)、光存储器件、磁存储器件、或者上述的人以合适的组合、或者本领域数值的任何其他形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(applicationspecificintegratedcircuit，asic)中。在本发明实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

由于本发明的实施例中的电子设备、计算机可读存储介质、计算机程序产品可以应用于上述方法，因此，其所能获得的技术效果也可参考上述方法实施例，本发明实施例在此不再赘述。

以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何在本发明揭露的技术范围内的变化或替换，都应涵盖在本发明的保护范围之内。