技術領域

本發明屬于計算機操作系統軟件技術領域，涉及一種內核驅動隔離系統。

背景技術

隨著計算機系統在金融、通信、航空等關鍵領域日益廣泛的應用，人們對計算機系統的可用性提出了越來越高的要求。可用性是一種系統可用度的量化指標。采用高可用技術能夠有效地增加系統的可靠性，它能在設備發生故障的情況下仍然繼續正常運行或馬上恢復到正常狀態。高可用性包涵了可靠性、可維護性和可用性，基本評價指標有可靠度、可維修度和可用度。

提高系統可用性的技術手段主要有：1)?檢查點技術，基于周期性地設置檢查點以保存系統運行中間狀態的檢查點技術，在發生故障后可以從最近的檢查點恢復并繼續執行。在使用檢查點技術時，需要對檢查點的設置周期進行權衡，檢查點設置周期越長，發生故障后的恢復的時間就越長；檢查點設置周期太短，則會對系統性能造成較大的影響。多數操作系統不支持核心層的檢查點，而用戶態的檢查點需要修改應用程序，對應用程序不透明。2)?進程遷移技術，指在系統發生故障時將正在執行的進程動態移動到另一個可靠的計算環境，用戶級遷移技術實現簡單但效率很低，例如有Condor和Utopia，內核級遷移效率較高但實現復雜；3)?失效接管，指當探測到集群或系統中某節點發生故障時，另一節點接過該節點的任務，能連續地提供相同的服務，有主控機的集中管理模式和自由選舉的平等模式。

以上技術手段都是以系統發生故障或失效后為提高系統可用性為目的，對系統故障的來源及發生并沒有對應的分析和防范措施。驅動程序的故障是造成操作系統崩潰的重要原因之一。驅動程序往往是第三方開發的，并未經過嚴格的測試和驗證，而驅動程序通常運行在操作系統內核空間內，任何一個小的錯誤都可能引起系統的失效甚至是崩潰。

發明內容

為解決上述問題，本發明的目的在于提供一種內核驅動隔離系統，對系統內核區域進行保護，最大程度的減少系統故障的發生，實現系統的安全性和兼容性。

為實現上述目的，本發明的技術方案為：

一種內核驅動隔離系統，包括有操作系統內核基本部分、設備驅動部分、以及設置于內核基本部分和設備驅動部分之間的驅動隔離層；其中，在驅動隔離層之上是操作系統內核基本部分，而在驅動隔離層之下是設備驅動部分。

進一步地，所述驅動隔離層部分包括有內存隔離模塊、函數包裝模塊、資源監控模塊以及驅動恢復模塊。

進一步地，所述內核基本部分包括有進程管理、進程調度、內存管理、設備管理以及中斷管理。

進一步地，所述內存隔離模塊的功能是利用虛擬內存保護機制隔離需要保護的設備驅動程序，使得其內部產生的錯誤不會影響到內核基本部分或其他設備驅動程序。

進一步地，設置內存保護域，其只對整個內核地址空間的某個部分具有讀寫權限，而對其他內核地址空間部分只有讀權限，每個被隔離的設備驅動程序都運行在自己的內存保護域中。

進一步地，所述內存隔離模塊包括有內存保護域管理器和內存保護域切換器；各個內存保護域都有其私有數據結構。

進一步地，所述函數包裝模塊通過將內核基本部分和設備驅動程序之間雙向通信函數替換成包裝函數，以保證被隔離設備驅動程序和操作系統內核基本部分之間的所有控制流都切換到內存保護域中處理。

進一步地，所述函數包裝模塊包括有內核包裝函數和驅動包裝函數兩種類型的包裝函數；其中，內核包裝函數系在設備驅動程序需要執行操作系統內核導出函數時，由設備驅動程序調用，是對原有內核函數的包裝；而驅動包裝函數系在操作系統內核需要調用被隔離設備驅動程序的功能接口函數請求服務時，由操作系統內核調用，是對設備驅動程序提供給內核調用的接口函數的包裝。

進一步地，所述驅動恢復模塊用于檢測設備驅動程序故障，在確定發送設備驅動時，清理驅動程序使用的系統資源，使得操作系統內核在出現設備驅動程序故障時能夠繼續正常運行，并且盡可能恢復失效驅動，其主要包括失效檢測器和恢復管理器兩個部分。

進一步地，所述失效檢測器負責檢測被隔離設備驅動程序是否失效，由嵌入到內核態驅動隔離系統其他模塊中的各個失效檢測點組成；所述恢復管理器負責把操作系統恢復到一個可用的正確狀態，并恢復失效的驅動程序。

相較于現有技術，本發明一種內核驅動隔離系統將驅動程序和內核其他部分相隔離，最大程度的減少系統故障的發生，同時提供驅動程序故障時的自我恢復環境，在驅動出現故障后恢復驅動。這種運行環境改變了傳統的操作系統工作模式，對系統內核區域進行了保護，實現了系統的安全性和兼容性。

附圖說明