CN108446159A - 基于Docker容器的移动端双系统实现系统及方法 - Google Patents

基于Docker容器的移动端双系统实现系统及方法 Download PDF

Info

Publication number
CN108446159A
CN108446159A CN201710083412.XA CN201710083412A CN108446159A CN 108446159 A CN108446159 A CN 108446159A CN 201710083412 A CN201710083412 A CN 201710083412A CN 108446159 A CN108446159 A CN 108446159A
Authority
CN
China
Prior art keywords
container
docker
mobile terminal
module
modules
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201710083412.XA
Other languages
English (en)
Inventor
朱健伟
张里阳
孟德伟
申利飞
万淑珍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Standard Software Co Ltd
Original Assignee
China Standard Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Standard Software Co Ltd filed Critical China Standard Software Co Ltd
Priority to CN201710083412.XA priority Critical patent/CN108446159A/zh
Publication of CN108446159A publication Critical patent/CN108446159A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及基于Docker容器的移动端双系统实现系统及方法,所述系统包括相互连接的内核层及应用程序层,其中,应用程序层包括Docker模块以及Docker模块根据Docker创建的多个容器,所述内核层包括LSM模块,所述LSM模块用于对多个容器内的进程进行访问控制。本发明提供的基于Docker容器的移动端双系统实现系统及方法,可有效阻止Docker容器进程对宿主机中没有被隔离文件资源的访问,完善了Docker容器与宿主机之间的访问控制机制,可满足多元场景的实用性及移动端的安全性,同时又可以省去多个移动端切换使用的复杂性。

Description

基于Docker容器的移动端双系统实现系统及方法
技术领域
本发明涉及计算机安全技术领域,具体涉及一种基于Docker容器的移动端双系统实现系统及方法。
背景技术
随着科技水平的发展,移动智能终端和移动互联网也得到了充分的进步,搭载主流移动操作系统(IOS、Android)的移动智能终端数量呈现爆炸式增长。其中,由于Android手机有着相对优势的性价比,在市场中占有很大的比重,与此同时,Android应用为了满足用户的需求也呈现出爆炸式增长的趋势。如今,很多的人士由于业务的需要,往往需要携带两部或者以上的手机来适应不同的场景,比如生活和工作相分离的场景,对于一些特殊的人群(保密人员、公务员)等就一定需要考虑到安全的问题。虽然Android原生系统从底层内核到上层app应用添加了多种安全措施,确保手机系统的安全性,但是还依然存在着安全问题,比如Linux内核的攻击,对上层app应用的攻击。随着恶意程序的增多,用户的隐私及数据会受到很大的威胁。
虚拟化技术是对系统硬件资源进行抽象化并进行管理,然后向上层提供统一的接口,加入虚拟化技术后,系统间的硬件的差异化就被透明化了,比如,当选择一种操作系统时就可以不用关心底层硬件的处理器指令集。虚拟化技术的引入,慢慢解决了系统中软硬件紧密耦合的关系,可以在同一个物理机上能够同时运行多个操作系统实例,使得系统能够充分利用硬件资源。
目前,虚拟化技术解决方案可以在不同层次上实现,不同的实现方式和抽象层次对应的虚拟化有不同特性。按实现的技术不同,虚拟化可以分为指令级虚拟化、硬件级虚拟化、操作系统级虚拟化以及编程语言级虚拟化4种。
指令级虚拟化是通过软件模拟出客户机操作系统运行所必需的物理硬件的方法,可以称采用这种虚拟技术的虚拟机为模拟器,其基本原理就是将客户机运行所执行的指令与当前物理级的指令做映射。其优点就是其虚拟机层次结构简单,鲁棒性好,能够使操作系统运行在不同的平台上。缺点是效率低,实现过程复杂。
硬件级虚拟化是指运行在硬件之上的虚拟化技术,其客户机操作系统运行的物理机硬件指令与真实的硬件的指令非常相似,因此,客户虚拟机运行时会使用本地的硬件资源,它的管理软件就是hypervisor或virtual machine monitor,它模拟出的是一个完整的操作系统,也就是常见的基于Hyper-V的虚拟化技术,VMware、Xen、VirtualBox、amason AWS及阿里云使用的就是这种技术。硬件级虚拟化技术的优点是实现结构简单,运行效率高。但是,其缺点是其所虚拟的硬件体系平台有限,而且需要底层具体硬件支持,对于手机而言,由于其硬件资源有限,如果在物理机上虚拟出一个系统,反而会使其整体运行效率变低,达不到预期效果。
操作系统级虚拟化不同于指令级虚拟化和硬件级虚拟化,操作系统级虚拟化不用创建出虚拟机,而是在一个操作系统上创建出可以供多个应用程序运行的独立环境。其本质就是共享同一个操作系统,操作系统之上的虚拟层按照每个虚拟机的需求为其生成一个运行在物理机器之上的操作系统副本,如果手机硬件资源足够的话,允许多个操作系统副本在一个操作系统镜像的控制下隔离并发运行。通过划分特定的权限,成为相互隔离的操作系统运行环境,供应用程序运行。
发明内容
为解决现有技术的不足,满足多元场景的实用性及手机的安全性,同时又可以省去多个手机切换使用的复杂性,本发明提供了一种基于Docker容器的移动端双系统实现系统,所述移动端双系统实现系统包括相互连接的内核层及应用程序层,其中,应用程序层包括Docker模块以及Docker模块根据Docker创建的多个容器,所述内核层包括LSM模块,所述LSM模块分别与应用程序层内的各容器连接,用于对多个容器内的进程进行访问控制。
其中,所述LSM模块包括:
系统调用模块,用于通过命名控制机制对容器中的进程进行定位,以判断内核层中的进程是否是对应的容器中的进程;
错误检查模块,与系统调用模块连接,用于对容器中的进程进行错误检查;
数字模拟转换器,与错误检查模块连接,用于转换容器中的进程文件的格式;
安全决策模块,与数字模拟转换器连接,用于判断容器中的进程文件是否是内核层的保护文件;
访问权限判断模块,与安全决策模块连接,用于根据安全决策模块的判断结果判断容器中的进程是否具有访问权限。
其中,所述系统调用模块通过Open系统调用程序完成对容器中的进程的定位。
其中,所述安全决策模块通过其内设置的钩子函数判断容器中的进程文件是否是内核层的保护文件。
其中,所述LSM模块还包括错误信息返回模块,与安全决策模块连接,用于在容器的进程文件不是内核层的保护文件的情况下,返回错误信息,并结束容器中的进程的系统调用。
其中,在访问权限判断模块判断容器中的进程有访问权限的情况下,所述LSM模块允许对应的容器访问内核层的内核数据,在访问权限判断模块判断容器中的进程没有访问权限的情况下,所述LSM模块禁止对应的容器访问内核层的内核数据。
其中,所述多个容器设为两个,一个用于面向日常生活场景,另一个用于面向包括支付、转账及保密在内的特殊要求场景。
其中,所述内核层还包括输入设备驱动模块、输出设备驱动模块以及Binder驱动模块,各容器分别包括与输入设备驱动模块连接的输入模块,与输出设备驱动模块连接的输出模块以及与Binder驱动模块连接Binder模块,以实现各容器的程序输入、结果输出以及进程间驱动。
其中,所述Docker模块通过从远程服务器下载操作系统的副本镜像到移动端上实现容器的创建。
本发明另外提供了一种基于Docker容器的移动端双系统实现方法,包括如下步骤:
S1:根据内核层操作系统的运行环境定制镜像,并将镜像上传到服务器仓库;
S2:根据移动端需要运行的系统下载对应的镜像;
S3:利用Docker技术下载镜像并生成容器;
S4:获取容器的第一个启动进程init的进程号,设置它的运行级别;
S5:启动内核层操作系统中的容器切换应用程序,应用程序获取当前操作系统的运行级别,并根据当前操作系统的init进程号完成framebuffer的切换。
Docker是开源的应用容器引擎,能够为任何应用创建一个轻量级、可移植的容器,此容器是完全使用沙箱机制,可以保证容器之间的隔离。Docker的核心是利用LXC基于kernel namespace操作系统级的隔离机制和cgroup的限额功能来实现类似VM的虚拟化,其中,pid、ipc、net、mnt、uts等namespace将container的进程、网络、消息、文件系统和hostname隔离开,从而保证容器的轻量及相互隔离。
本发明中,所谓的“LSM”,是指Linux系统的安全模块。
本发明提供的基于Docker容器的移动端双系统实现系统及方法,可有效阻止Docker容器进程对宿主机中没有被隔离文件资源的访问,完善了Docker容器与宿主机之间的访问控制机制,可满足多元场景的实用性及移动端的安全性,同时又可以省去多个移动端切换使用的复杂性。
附图说明
图1:本发明的基于Docker容器的移动端双系统实现系统结构框架示意图;
图2:本发明的LSM模块的结构框架示意图;
图3:本发明的Open系统调用流程图;
图4:本发明的基于Docker容器的移动端双系统实现方法的镜像制作及上传操作流程图;
图5:本发明的基于Docker容器的移动端双系统实现方法的设置容器运行级别操作流程图;
图6:本发明的基于Docker容器的移动端双系统实现方法的容器系统切换操作流程图。
附图标记说明
10 内核层
11 LSM模块
12 输入设备驱动模块
13 输出设备驱动模块
14 Binder驱动模块
20 应用程序层
21 Docker模块
22 容器
221 输入模块
222 输出模块
223 Binder模块
111 系统调用模块
112 错误检查模块
113 数字模拟转换器
114 安全决策模块
115 访问权限判断模块
116 错误信息返回模块
具体实施方式
为了对本发明的技术方案及有益效果有更进一步的了解,下面配合附图详细说明本发明的技术方案及其产生的有益效果。
图1为本发明的基于Docker容器的移动端双系统实现系统结构框架示意图;如图1所示,本发明供了一种基于Docker容器的移动端双系统实现系统,包括相互连接的内核层10及应用程序层20,其中,
所述应用程序层20包括Docker模块21以及Docker模块21根据Docker创建的多个容器22,具体的,所述Docker模块21通过从远程服务器下载操作系统的副本镜像到移动端上实现容器22的创建;
所述内核层10包括LSM模块11,所述LSM模块11分别与应用程序层20内的各容器22连接,用于对多个容器22内的进程进行访问控制。
所述内核层10还包括输入设备驱动模块12、输出设备驱动模块13以及Binder驱动模块14,各容器22分别包括与输入设备驱动模块12连接的输入模块221,与输出设备驱动模块13连接的输出模块222以及与Binder驱动模块14连接的Binder模块223,以实现各容器22的程序输入、结果输出以及进程间驱动。
具体实施时,所述容器22的数量可根据实际需要设置,通常设置为两个,一个用于面向日常生活场景,例如聊天、娱乐及通信等,另一个用于面向特殊要求场景,例如支付、转账及保密等。
以安卓系统为例,本发明的核心技术方案在于:首先,通过Docker创建容器,此过程即是Docker模块从远程服务器下载操作系统的副本镜像到手机上,副本镜像可以根据实际的场景需要进行定制;其次,实现操作系统级的资源隔离,通过Docker的虚拟化技术,实现在一个物理机上运行多个安卓实例,保证多个系统都能安全地运行。
Docker通过命名空间机制(namespaces)和控制组机制(cgroup)来实现容器和安卓宿主机之间的资源隔离,这是其访问控制的基础。但在Linux系统中,不是所有的资源都有命名空间,容器中的进程可以访问未被隔离的内核资源,如sys、proc目录。
为了避免未被隔离的内核资源被访问,需要对容器22中的进程进行访问控制。
为了能够有效防止容器22中进程逃逸出容器22,本发明通过强制访问机制对容器22中的进程进行监控,从而控制容器22对宿主机内核资源的访问,图2为本发明的LSM模块的结构框架示意图,如图2所示,所述LSM模块11包括:
系统调用模块111,用于通过命名控制机制对容器22中的进程进行定位,以判断内核层10中的进程是否是对应的容器22中的进程;
错误检查模块112,与系统调用模块111连接,用于对容器22中的进程进行错误检查;
数字模拟转换器113,与错误检查模块112连接,用于转换容器22中的进程文件的格式;
安全决策模块114,与数字模拟转换器113连接,用于判断容器22中的进程文件是否是内核层10的保护文件,以实现对容器22进程的访问控制;
访问权限判断模块115,与安全决策模块114连接,用于根据安全决策模块114的判断结果判断容器22中的进程是否具有访问权限(访问内核资源的权限);在容器22中的进程有访问权限的情况下,所述LSM模块11允许对应的容器22访问内核层10的内核数据,在容器22中的进程没有访问权限的情况下,所述LSM模块11禁止对应的容器22访问内核层10的内核数据;
错误信息返回模块116,与安全决策模块114连接,用于在容器22的进程文件不是内核层10的保护文件的情况下,返回错误信息,并结束容器22中的进程的系统调用。
其中,所述系统调用模块111通过Open系统调用程序完成对容器中的进程的定位。
其中,所述安全决策模块114通过其内设置的安全钩子函数判断容器22中的进程文件是否是内核层10的保护文件,也即,安全钩子函数判断容器进程访问的文件是否是内核资源,然后判断容器进程是否有访问内核资源的权限。
具体的,容器进程对宿主机内核资源的访问权限涉及容器进程对宿主机文件的打开以及读写操作等,为了保证容器进程不能访问宿主机文件资源,首先要阻止容器进程打开宿主机文件。
图3为本发明的Open系统调用流程图,如图3所示:Open系统调用的功能就是打开文件,进程获得文件描述符fd及文件对象的信息struct file结构体,最后使两者关联起来。
在open系统调用过程中,经过自主访问控制判断后,还需要security_inode_permission函数对应的钩子函数inode_permission对文件节点进行判断。在安全决策模块114中使用inode_permission钩子判断容器22中的进程文件是否是宿主机的保护文件。如果是保护文件,则返回错误信息,结束系统调用,否则正常执行系统调用。
因此,本发明提供的LSM模块,可使用命名空间机制对容器22内的进程进行定位,在容器22的进程调用将访问宿主机内核没有被隔离的资源时,调用与之相对应的安全钩子函数,可有效阻止容器进程对宿主机中没有被隔离的文件资源的访问,完善了容器与宿主机之间的访问控制机制。
图4-图6分别为本发明的基于Docker容器的移动端双系统实现方法的镜像制作及上传操作流程图、设置容器运行级别操作流程图以及容器系统切换操作流程图;如图4-图6所示,本发明另外提供了一种基于Docker容器的移动端双系统实现方法,包括如下步骤:
S1:根据内核层操作系统的运行环境定制镜像,并将镜像上传到服务器仓库;
S2:根据移动端需要运行的系统下载对应的镜像;
S3:利用Docker技术下载镜像并生成容器;
S4:获取容器的第一个启动进程init的进程号,设置它的运行级别;
S5:启动内核层操作系统中的容器切换应用程序,应用程序获取当前操作系统的运行级别,并根据当前操作系统的init进程号完成framebuffer的切换。
同样以安卓系统为例,从本发明提供的基于Docker容器的移动端双系统实现方法的整个运行过程可以看出,基于Docker的安卓安全容器的实现主要完成三方面的工作:首先,由于Docker虚拟化技术主要是针对Linux操作系统的,要使其能够运行在安卓系统上,应该针对arm平台进行交叉编译并进行移植;然后,创建安全容器;其次,通过修改安卓内核来完成输入设备和显示输出设备的复用,其是多个多容器安卓系统能够交互运行的基础。
综上,本发明所实现的双系统就是基于docker创建两个容器,其中一个是普通的安卓系统,面向平常的生活场景,另一个就是安全的安卓系统,面向一些有特殊要求的场景,比如支付、转账、保密等。
本发明中,所谓的“Binder模式”,是指安卓系统进程间的通信方式。
本发明中,所谓的“init”,是安卓系统内核启动的第一个用户级进程,它是后续所有进程的发起者,即所有其它进程的父进程。
本发明中,所谓的“framebuffer”,是指用一个视频输出设备从包含完整的帧数据的一个内存缓冲区中来驱动一个视频显示设备。
本发明所能实现的有益效果是:
1、实现了在同一个移动端上运行两个安卓操作系统,并可以实现两个安卓操作系统的切换和通信。
2、可根据场景需要定制镜像,并上传到仓库服务器进行管理。
3、通过命名控制机制定位容器进行所属系统,可防止容器内的进程逃逸。
4、通过LSM模块的设置,可防止容器对未被隔离资源的访问。
虽然本发明已利用上述较佳实施例进行说明,然其并非用以限定本发明的保护范围,任何本领域技术人员在不脱离本发明的精神和范围之内,相对上述实施例进行各种变动与修改仍属本发明所保护的范围,因此本发明的保护范围以权利要求书所界定的为准。

Claims (10)

1.一种基于Docker容器的移动端双系统实现系统,其特征在于:所述移动端双系统实现系统包括相互连接的内核层及应用程序层,其中,应用程序层包括Docker模块以及Docker模块根据Docker创建的多个容器,所述内核层包括LSM模块,所述LSM模块分别与应用程序层内的各容器连接,用于对多个容器内的进程进行访问控制。
2.如权利要求1所述的基于Docker容器的移动端双系统实现系统,其特征在于,所述LSM模块包括:
系统调用模块,用于通过命名控制机制对容器中的进程进行定位,以判断内核层中的进程是否是对应的容器中的进程;
错误检查模块,与系统调用模块连接,用于对容器中的进程进行错误检查;
数字模拟转换器,与错误检查模块连接,用于转换容器中的进程文件的格式;
安全决策模块,与数字模拟转换器连接,用于判断容器中的进程文件是否是内核层的保护文件;
访问权限判断模块,与安全决策模块连接,用于根据安全决策模块的判断结果判断容器中的进程是否具有访问权限。
3.如权利要求2所述的基于Docker容器的移动端双系统实现系统,其特征在于:所述系统调用模块通过Open系统调用程序完成对容器中的进程的定位。
4.如权利要求2所述的基于Docker容器的移动端双系统实现系统,其特征在于:所述安全决策模块通过其内设置的钩子函数判断容器中的进程文件是否是内核层的保护文件。
5.如权利要求2所述的基于Docker容器的移动端双系统实现系统,其特征在于:所述LSM模块还包括错误信息返回模块,与安全决策模块连接,用于在容器中的进程文件不是内核层的保护文件的情况下,返回错误信息,并结束容器中的进程的系统调用。
6.如权利要求2所述的基于Docker容器的移动端双系统实现系统,其特征在于:在访问权限判断模块判断容器中的进程有访问权限的情况下,所述LSM模块允许对应的容器访问内核层的内核数据,在访问权限判断模块判断容器中的进程没有访问权限的情况下,所述LSM模块禁止对应的容器访问内核层的内核数据。
7.如权利要求1所述的基于Docker容器的移动端双系统实现系统,其特征在于:所述多个容器设为两个,一个用于面向日常生活场景,另一个用于面向包括支付、转账及保密在内的特殊要求场景。
8.如权利要求1所述的基于Docker容器的移动端双系统实现系统,其特征在于:所述内核层还包括输入设备驱动模块、输出设备驱动模块以及Binder驱动模块,各容器分别包括与输入设备驱动模块连接的输入模块,与输出设备驱动模块连接的输出模块以及与Binder驱动模块连接Binder模块,以实现各容器的程序输入、结果输出以及进程间驱动。
9.如权利要求1-8中任一项所述的基于Docker容器的移动端双系统实现系统,其特征在于:所述Docker模块通过从远程服务器下载操作系统的副本镜像到移动端上实现容器的创建。
10.一种基于Docker容器的移动端双系统实现方法,其特征在于,包括如下步骤:
S1:根据内核层操作系统的运行环境定制镜像,并将镜像上传到服务器仓库;
S2:根据移动端需要运行的系统下载对应的镜像;
S3:利用Docker技术下载镜像并生成容器;
S4:获取容器的第一个启动进程init的进程号,设置它的运行级别;
S5:启动内核层操作系统中的容器切换应用程序,应用程序获取当前操作系统的运行级别,并根据当前操作系统的init进程号完成framebuffer的切换。
CN201710083412.XA 2017-02-16 2017-02-16 基于Docker容器的移动端双系统实现系统及方法 Withdrawn CN108446159A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710083412.XA CN108446159A (zh) 2017-02-16 2017-02-16 基于Docker容器的移动端双系统实现系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710083412.XA CN108446159A (zh) 2017-02-16 2017-02-16 基于Docker容器的移动端双系统实现系统及方法

Publications (1)

Publication Number Publication Date
CN108446159A true CN108446159A (zh) 2018-08-24

Family

ID=63190527

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710083412.XA Withdrawn CN108446159A (zh) 2017-02-16 2017-02-16 基于Docker容器的移动端双系统实现系统及方法

Country Status (1)

Country Link
CN (1) CN108446159A (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109450848A (zh) * 2018-09-21 2019-03-08 北京奇安信科技有限公司 一种Docker东西向流量入侵防御方法及装置
CN110661707A (zh) * 2019-08-30 2020-01-07 广西盟创智慧科技有限公司 一种基于Docker的虚拟路由器平台
CN111796904A (zh) * 2020-05-21 2020-10-20 北京中软华泰信息技术有限责任公司 一种基于命名空间的Docker文件访问控制方法
CN111865971A (zh) * 2020-07-17 2020-10-30 成都三零凯天通信实业有限公司 一种基于sidecar方案的kubernetes业务容器安全性探测方法
CN111859428A (zh) * 2020-07-22 2020-10-30 成都安恒信息技术有限公司 一种基于容器化的密钥存储方法及系统
CN112104597A (zh) * 2020-07-23 2020-12-18 广西电网有限责任公司电力科学研究院 一种一端多网环境的终端数据隔离方法及装置
CN113703926A (zh) * 2021-10-29 2021-11-26 北京海誉动想科技股份有限公司 Android容器创建方法与装置
CN113821306A (zh) * 2021-09-24 2021-12-21 湖北亿咖通科技有限公司 资源隔离方法、装置和终端设备
CN114168203A (zh) * 2020-09-10 2022-03-11 成都鼎桥通信技术有限公司 双系统运行状态控制方法、装置和电子设备
CN114756326A (zh) * 2022-04-14 2022-07-15 重庆长安汽车股份有限公司 一种车载终端双系统及其实现方法
CN115189934A (zh) * 2022-07-06 2022-10-14 上海交通大学 针对Kubernetes的自动化配置安全检测方法及系统
CN115981795A (zh) * 2023-02-17 2023-04-18 嘉兴嘉赛信息技术有限公司 一种在安卓设备上通过容器实现系统隔离的方法
CN116016766A (zh) * 2022-12-29 2023-04-25 天翼电信终端有限公司 一种基于容器判断的指纹验证管理方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3079059A1 (en) * 2015-04-07 2016-10-12 Huawei Technologies Co., Ltd. Method and apparatus for a mobile device based cluster computing infrastructure

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3079059A1 (en) * 2015-04-07 2016-10-12 Huawei Technologies Co., Ltd. Method and apparatus for a mobile device based cluster computing infrastructure

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
孙超群: "基于安全容器的Android虚拟化技术研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *
李平平: "基于LSM的Docker访问控制机制研究", 《信息技术》 *

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109450848B (zh) * 2018-09-21 2021-05-25 奇安信科技集团股份有限公司 一种Docker东西向流量入侵防御方法及装置
CN109450848A (zh) * 2018-09-21 2019-03-08 北京奇安信科技有限公司 一种Docker东西向流量入侵防御方法及装置
CN110661707A (zh) * 2019-08-30 2020-01-07 广西盟创智慧科技有限公司 一种基于Docker的虚拟路由器平台
CN110661707B (zh) * 2019-08-30 2021-09-14 广西盟创智慧科技有限公司 一种基于Docker的虚拟路由器平台
CN111796904A (zh) * 2020-05-21 2020-10-20 北京中软华泰信息技术有限责任公司 一种基于命名空间的Docker文件访问控制方法
CN111796904B (zh) * 2020-05-21 2024-02-20 北京中软华泰信息技术有限责任公司 一种基于命名空间的Docker文件访问控制方法
CN111865971A (zh) * 2020-07-17 2020-10-30 成都三零凯天通信实业有限公司 一种基于sidecar方案的kubernetes业务容器安全性探测方法
CN111859428A (zh) * 2020-07-22 2020-10-30 成都安恒信息技术有限公司 一种基于容器化的密钥存储方法及系统
CN111859428B (zh) * 2020-07-22 2022-07-19 成都安恒信息技术有限公司 一种基于容器化的密钥存储方法及系统
CN112104597A (zh) * 2020-07-23 2020-12-18 广西电网有限责任公司电力科学研究院 一种一端多网环境的终端数据隔离方法及装置
CN114168203A (zh) * 2020-09-10 2022-03-11 成都鼎桥通信技术有限公司 双系统运行状态控制方法、装置和电子设备
CN114168203B (zh) * 2020-09-10 2024-02-13 成都鼎桥通信技术有限公司 双系统运行状态控制方法、装置和电子设备
CN113821306A (zh) * 2021-09-24 2021-12-21 湖北亿咖通科技有限公司 资源隔离方法、装置和终端设备
CN113821306B (zh) * 2021-09-24 2023-09-05 亿咖通(湖北)技术有限公司 资源隔离方法、装置和终端设备
CN113703926B (zh) * 2021-10-29 2022-03-08 北京海誉动想科技股份有限公司 Android容器创建方法与装置
CN113703926A (zh) * 2021-10-29 2021-11-26 北京海誉动想科技股份有限公司 Android容器创建方法与装置
CN114756326A (zh) * 2022-04-14 2022-07-15 重庆长安汽车股份有限公司 一种车载终端双系统及其实现方法
CN114756326B (zh) * 2022-04-14 2024-06-04 重庆长安汽车股份有限公司 一种车载终端双系统及其实现方法
CN115189934A (zh) * 2022-07-06 2022-10-14 上海交通大学 针对Kubernetes的自动化配置安全检测方法及系统
CN116016766A (zh) * 2022-12-29 2023-04-25 天翼电信终端有限公司 一种基于容器判断的指纹验证管理方法
CN115981795A (zh) * 2023-02-17 2023-04-18 嘉兴嘉赛信息技术有限公司 一种在安卓设备上通过容器实现系统隔离的方法
CN115981795B (zh) * 2023-02-17 2023-08-25 嘉兴嘉赛信息技术有限公司 一种在安卓设备上通过容器实现系统隔离的方法

Similar Documents

Publication Publication Date Title
CN108446159A (zh) 基于Docker容器的移动端双系统实现系统及方法
US9575797B2 (en) Virtual machine migration between hypervisor virtual machines and containers
US10942790B2 (en) Automated-application-release-management subsystem that incorporates script tasks within application-release-management pipelines
US11265202B2 (en) Integrated automated application deployment
CN113711541A (zh) 响应于触发因素的检测动态改变容器化工作负载隔离
Doherty SDN and NFV simplified: a visual guide to understanding software defined networks and network function virtualization
CN108076156B (zh) 一种基于中国云产品的混合云系统
US10157044B2 (en) Automated application-release-management subsystem
US9674302B1 (en) Computing resource transition notification and pending state
US9674343B2 (en) System and method for instantiation of services at a location based on a policy
CN111049876A (zh) 一种轻量电信云边缘计算系统架构
CN109871384A (zh) 基于PaaS平台进行容器迁移的方法、系统、设备和存储介质
CN106844008A (zh) 一种数据操作的方法、设备及系统
CN103064724A (zh) 虚拟机构建方法及装置
CN104035808B (zh) 虚拟机集合的部署方法和装置
CN105701409A (zh) 一种实现文件虚拟化的方法及装置
CN107968816A (zh) 一种利用移动终端搭建云平台的方法
CN108304248A (zh) 一种多系统虚拟化的移动设备
CN104598309A (zh) 基于os虚拟化的多模式os的系统和其创建、切换方法
US20170163492A1 (en) Branching application-release-management pipelines with inter-pipeline dependencies
CN109347661A (zh) 消费者vnf的实例化方法及装置
CN104754040B (zh) 用于端到端云服务虚拟化的系统
CN114944971B (zh) Kubernetes部署网络的方法及装置、电子设备和存储介质
CN107025126A (zh) 一种资源调度方法、nfvo和系统
CN116319341A (zh) 一种云化共享工控网络安全靶场系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20180824

WW01 Invention patent application withdrawn after publication