本發明公開了一種多域隔離操作系統的資源訪問接口設備，包括：第一操作分區，包括發布會話接口；第二操作分區，包括請求會話接口；控制分區包括數據存儲模塊和訪問控制模塊；發布會話接口用于建立發布會話，以將第一操作分區中的文件信息存儲至數據存儲模塊；請求會話接口用于建立請求會話，并將請求會話信息發送至訪問控制模塊，以請求訪問已發布的目標文件；訪問控制模塊查詢數據存儲模塊中是否存在對應的目標文件；若不存在，則反饋錯誤信息；若存在，則判斷操作分區是否滿足安全級別條件，若滿足安全級別條件，則向操作分區提供訪問接口，以訪問對應的目標文件。本設備能夠為多域隔離架構的多個分區之間相互訪問資源提供安全且便捷的渠道。

技術領域

本發明涉及資源訪問接口技術領域，尤其涉及一種多域隔離操作系統的資源訪問接口設備及實現方法。

背景技術

多域隔離是一種常見的操作系統架構，通常使用虛擬化技術模擬多個域，將計算機的資源按照自定義的規則分配給不同的域，使得運行在每個域的程序無法感知計算機系統的實際信息，從而一定程度上提升計算機系統的安全性。

在多域隔離架構中，直接運行在計算機硬件上的稱為宿主，每個域又可稱為分區。當前的基于通用操作系統內核的多域隔離架構只能夠構建獨立的運行環境，不同的分區獨自運行，互相之間不產生交互。而且現有的多域隔離架構沒有為多個分區之間的相互訪問資源提供渠道，導致雖然能夠使用虛擬化或容器等技術構建多域隔離的運行環境，但是所支持的功能和應用場景十分有限。因此，亟需提出一種為多域隔離操作系統的資源訪問提供渠道的接口設備以及實現方法。

發明內容

本發明提供了一種多域隔離操作系統的資源訪問接口設備，能夠為多域隔離架構的多個分區之間相互訪問資源提供方便快捷的渠道。

有鑒于此，本發明一方面提供了一種多域隔離操作系統的資源訪問接口設備，包括：包括宿主機及運行于所述宿主機的第一操作分區、第二操作分區和控制分區；所述控制分區包括數據存儲模塊和訪問控制模塊；所述第一操作分區設有第一會話管理模塊，所述第一會話管理模塊包括發布會話接口，所述發布會話接口用于建立發布會話，以將第一操作分區中待發布的文件信息存儲至數據存儲模塊；所述第二操作分區設有第二會話管理模塊，所述第二會話管理模塊包括請求會話接口，所述請求會話接口用于建立請求會話，并將請求會話信息發送至所述訪問控制模塊，以請求訪問已發布的目標文件；所述訪問控制模塊查詢所述數據存儲模塊中是否存在對應的目標文件，并根據查詢結果返回數據。

本設備的第一操作分區通過發布會話接口建立發布會話，以將第一操作分區中待發布的文件信息存儲至數據存儲模塊。此時，第二操作分區可通過請求會話接口建立請求會話，并將請求會話信息發送至所述訪問控制模塊，以請求訪問已發布的目標文件。如果滿足請求訪問目標文件的條件，則第二操作分區可以通過訪問接口方便快捷地訪問目標文件。因此，本設備能夠為多域隔離架構的多個分區之間相互訪問資源提供安全且便捷的渠道。

可選地，若所述數據存儲模塊中不存在對應的目標文件，則反饋錯誤信息；若所述數據存儲模塊中存在對應的目標文件，則判斷所述第二操作分區是否滿足安全級別條件，若滿足安全級別條件，則向操作分區提供訪問接口，以訪問對應的目標文件。

可選地，所述發布會話接口包括第一發布會話接口和第二發布會話接口，所述請求會話接口包括第一請求會話接口和第二請求會話接口；第一發布會話接口用于建立第一發布會話，以將第一操作分區中待發布的只讀文件信息存儲至數據存儲模塊；第二發布會話接口用于建立第二發布會話，以將第一操作分區中待發布的只寫文件信息存儲至數據存儲模塊；第一請求會話接口用于建立第一請求會話，并將第一請求會話信息發送至所述訪問控制模塊，以請求訪問第一目標文件，第一目標文件為只讀文件；第二請求會話接口用于建立第二請求會話，并將第二請求會話信息發送至所述訪問控制模塊，以請求訪問第二目標文件，第二目標文件為只寫文件。