[发明专利]用于支持安全应用分区的方法

权利要求书

1.一种用于在数据处理系统中对短期安全分区进行配置的计算机实现的方法，所述计算机实现的方法包括：

接收用于为安全应用创建短期安全分区的命令；

在所述数据处理系统中创建所述短期安全分区，所述短期安全分区不可由超级用户或其他应用访问；

将包括物理资源和所述物理资源的虚拟分配的系统资源向所述短期安全分区分配；以及

将运行所述安全应用所需的硬件部件和软件组件向所述短期安全分区加载。

2.根据权利要求1所述的计算机实现的方法，进一步包括：

响应于所述短期安全应用完成其处理，释放向所述短期安全分区分配的空间和系统资源。

3.根据权利要求2所述的计算机实现的方法，其中接收、创建、分配、加载和释放步骤由硬件管理控制台执行。

4.根据权利要求3所述的计算机实现的方法，其中释放向所述短期安全分区分配的空间包括：将所述短期安全分区从所述硬件管理控制台上的分区配置中移除。

5.根据权利要求4所述的计算机实现的方法，其中所述硬件管理控制台响应于从分区管理固件接收系统调用，释放向所述短期安全分区分配的空间和系统资源。

6.根据前述任一权利要求所述的计算机实现的方法，其中创建所述短期安全分区进一步包括：

响应于确定存在用于所述安全应用的预定义分区配置，创建所述短期安全分区以及分配在所述预定义分区配置中指定的系统资源；

响应于确定不存在用于所述安全应用的预定义分区配置，创建所述短期安全分区以及分配可用于所述短期安全分区的系统资源。

7.根据前述任一权利要求所述的计算机实现的方法，其中所述系统资源网际协议地址、存储器、中央处理单元或网络适配器中的至少一个。

8.根据前述任一权利要求所述的计算机实现的方法，其中所述用于为安全应用创建短期安全分区的命令接收自分区管理固件。

9.根据权利要求8所述的计算机实现的方法，其中当新应用在所述数据处理系统中的分区上安装时，或者当已经安装在分区上的应用向所述分区管理固件发送针对短期安全分区的请求时，所述分区管理固件发送所述命令。

10.根据权利要求8所述的计算机实现的方法，其中所述命令包括用于建立动态分区、虚拟分区或逻辑分区中的一个的指令。

11.根据前述任一权利要求所述的计算机实现的方法，向所述短期安全分区分配系统资源包括：提供操作系统的部分、封装所述操作系统，或者克隆所述操作系统以及将多个操作系统访问命令限制在所述短期安全分区中运行。

12.根据权利要求11所述的计算机实现的方法，其中所述短期安全分区被克隆为非安全的已有分区的副本，并且其中从所述非安全的已有分区获取的硬件标识符或软件标识符在所述克隆的短期安全分区中被掩蔽以仅响应于安全请求。

13.根据前述任一权利要求所述的计算机实现的方法，进一步包括：

创建附加的短期安全分区以形成短期安全分区池；

使用所述短期安全分区池中的短期安全分区来处理一个或多个事务；以及

响应于所述短期安全分区处理所述事务，在将所述短期安全分区向所述池返回之前对所述短期安全分区进行冲刷。

14.根据权利要求13所述的计算机实现的方法，进一步包括：

确定存在于所述池中的短期安全分区的数目；响应于所述短期安全分区的数目达到最小阈值，在所述池中创建更多短期安全分区；以及

响应于所述短期安全分区的数目达到删除阈值，删除所述池，并且使用非安全的已有分区或动态创建的安全分区中的一个来处理所述一个或多个事务。