(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210501191.4 (22)申请日 2022.05.09 (71)申请人 上海交通大 学 地址 200240 上海市闵行区东川路80 0号 (72)发明人 黄逸博　古金宇　陈榕　陈海波　 (74)专利代理 机构 上海汉声知识产权代理有限 公司 3123 6 专利代理师 胡晶 (51)Int.Cl. G06F 21/57(2013.01) G06F 9/48(2006.01) G06F 9/50(2006.01) (54)发明名称 微内核操作系统资源隔离方法及系统 (57)摘要 本发明提供了一种微内核操作系统资源隔 离方法及系统， 包括： 利用资源集装箱的抽象管 理各个进程的CPU资源和内存资源； 在相关的用 户态服务器的内部实现设备带宽隔离机制； 基于 能力机制实现进程沙盒机制。 与现有技术相比， 本发明针对云计算场景下的资源隔离问题提出 了一种新的微内核操作系统资源隔离机制， 该机 制在保证轻量性的同时， 还实现了比当前的容器 技术更强的资源隔离性， 很好的满足了当前业界 的前沿需求。 权利要求书1页 说明书7页 附图1页 CN 114861193 A 2022.08.05 CN 114861193 A 1.一种微内核操作系统资源隔离方法， 其特 征在于， 包括： 利用资源集装箱的抽象管理各个进程的CPU资源和内存资源； 在相关的用户态服 务器的内部实现设备 带宽隔离 机制； 基于能力机制实现进程沙盒机制。 2.根据权利要求1所述的微内核操作系统资源 隔离方法， 其特征在于， 所述利用资源集 装箱的抽象管理各个进程的CPU资源和内存资源， 包括： 用户进程 正常运行时， 消耗所述资源集装箱里的资源； 用户进程进行系统调用时， 微内核消耗所述资源集装箱里的资源； 用户进程通过进程间通信访问用户态服务器所提供的服务 时， 对应的用户态服务器的 服务处理线程消耗所述资源集装箱里的资源。 3.根据权利要求1所述的微内核操作系统资源 隔离方法， 其特征在于， 所述在相关的用 户态服务器的内部实现设备 带宽隔离 机制， 包括： 通过设备 特定模型在相关的用户态服 务器的内部实现设备 带宽隔离 机制。 4.根据权利要求1所述的微内核操作系统资源 隔离方法， 其特征在于， 所述基于能力 机 制实现进程沙盒机制， 包括： 用户态服 务器提供能力给用户进程； 一个用户进程初始化时拥有 多个用户态服 务器赋予的多个能力。 5.根据权利要求1或2所述的微内核操作系统资源隔离方法， 其特征在于， 所述资源集 装箱包括CPU调度上 下文和进程私有内存 池。 6.一种微内核操作系统资源隔离系统， 其特 征在于， 包括: 模块M1： 利用资源集装箱的抽象管理各个进程的CPU资源和内存资源； 模块M2： 在相关的用户态服 务器的内部实现设备 带宽隔离 机制； 模块M3： 基于能力机制实现进程沙盒机制。 7.根据权利要求6所述的微内核操作系统资源隔离系统， 其特征在于， 所述模块M1， 包 括： 子模块M101： 用户进程 正常运行时， 消耗所述资源集装箱里的资源； 子模块M102： 用户进程进行系统调用时， 微内核消耗所述资源集装箱里的资源； 子模块M103： 用户进程通过进程间通信访问用户态服务器所提供的服务时， 对应的用 户态服务器的服 务处理线程消耗所述资源集装箱里的资源。 8.根据权利要求6所述的微内核操作系统资源隔离系统， 其特征在于， 所述模块M2， 包 括： 通过设备 特定模型在相关的用户态服 务器的内部实现设备 带宽隔离 机制。 9.根据权利要求6所述的微内核操作系统资源隔离系统， 其特征在于， 所述模块M3， 包 括： 子模块M301： 用户态服 务器提供能力给用户进程； 子模块M302： 一个用户进程初始化时拥有 多个用户态服 务器赋予的多个能力。 10.根据权利要求6或7所述的微内核操作系统资源隔离系统， 其特征在于， 所述资源集 装箱包括CPU调度上 下文和进程私有内存 池。权　利　要　求　书 1/1 页 2 CN 114861193 A 2微内核操作系统资源 隔离方法及系统 技术领域 [0001]本发明涉及微内核操作系统技术领域， 具体地， 涉及一种微内核操作系统资源隔 离方法及系统， 尤其是一种轻量 化微内核操作系统资源隔离方法及系统。 背景技术 [0002]实现良好的资源隔离机制是云计算环境的基本要求。 一台典型的计算机上的物理 资源包括中央处理器(Central  Processing  Unit， CPU)、 内存、 网络以及外部存储设备等。 在传统的非云计算的使用场景下， 用户将自己的计算任务部署到自己购买的物理机器上， 用户独享这些物理机器， 此时并没有资源隔离的问题。 而在云计算的场景下， 用户的计算任 务被部署到了 云服务商所提供的虚拟机器上， 多个用户的计算任务可能实际上共享着同一 台物理机器。 所以云服务商必须实现资源隔离机制以将各个用户的计算任务所使用的资源 隔离开来。 [0003]当前云计算环境下的主流资源隔离机制包括虚拟化技术、 容器技术以及语言级虚 拟机技术。 这三类资源隔离机制在轻量性与隔离性方面有着很大差异。 简单来说， 虚拟化技 术隔离性最强， 同时也最为笨重。 容器技术的隔离性和轻量性介于虚拟化技术和语言级虚 拟机技术之间。 语言级虚拟机技 术则有着隔离性 最弱和最轻量 化的特点。 [0004]从经济的角度考虑， 云服务商希望能够将尽可能多的用户计算任务部署到尽可能 少的物理机器上， 从而达到节约成本的目的， 这就要求云服务商所使用的资源隔离机制有 着轻量化的特点。 而从安全的角度考虑， 用户希望 自己的计算任务和其它用户的计算任务 之间是很好的隔离开的， 这 就要求云服 务商所使用的资源隔离 机制有着很强的隔离性。 [0005]因此， 业界希望能够研发一种兼具隔离性和轻量性的资源隔离机制从而达成这两 个目标。 当前的主流资源隔离机制均无法兼备很强的隔离性和轻量性。 具体来说， 虚拟化技 术隔离性足够 强， 但不够轻量化， 容器技术存在着可信计算基(Trusted  Computing  Base， TCB)过大的问题， 隔离性不足， 而语言级虚拟机技术虽然足够轻量化， 但隔离性不符合要 求。 [0006]专利文献CN109086100B公开了一种高安全可信移动终端安全体系架构及安全服 务方法， 包括硬件、 微内核Hyp、 主操作系统MOS、 极简可信隔离环境STEE和 核心控制器CSC。 基于虚拟化技术 实现新型移动终端安全架构， 在虚拟 机管理层实现微内核Hyp， 使得所有主 系统对硬件的访问都要受到微内核H yp的监控和安全管 理； 并在微内核H yp中对主系统内核 进行动态安全度量， 实时监测内核安全性， 当检测到内核受损时， 迅速切换到备份系统， 保 证核心功能不受影响； 结合虚拟 机的虚拟隔离技术和TrustZone的硬件隔离能力， 构建多个 极简可信隔离环境STEE， 实现不同STEE中运行独立的可信应用TA， 从而降低可信隔离环境 系统的复杂性， 并实现TA的分离。 但该方法的目的是提供关键应用与普通应用之间的内存 隔离， 并未解决普通应用之 间的资源隔离以及资源隔离机制无法兼备强的隔离性和轻量性 的技术问题。说　明　书 1/7 页 3 CN 114861193 A 3