WO2022111391A1

WO2022111391A1 - 管理不可信应用程序通信的方法及相关装置

Info

Publication number: WO2022111391A1
Application number: PCT/CN2021/131767
Authority: WO
Inventors: 周逸徉; 权钲杰; 汪洋
Original assignee: 华为技术有限公司
Priority date: 2020-11-27
Filing date: 2021-11-19
Publication date: 2022-06-02
Also published as: EP4242885A4; EP4242885A1; CN114564700A

Abstract

一种管理不可信应用程序通信的方法及相关装置，该方法包括：宿主进程获取来自不可信应用程序对于第一程序的访问请求，将该访问请求中携带的通信句柄替换为第一管理应用程序的通信句柄。因此第一程序仅能通过第一管理应用程序的通信句柄与不可信应用程序进行通信，而无法通过不可信应用程序的通信句柄直接与不可信应用程序通信，避免直接通信导致宿主进程无法起到管理的作用，降低不可信应用程序的运行而导致的隐私数据泄露、操作系统运行异常等风险。

Description

管理不可信应用程序通信的方法及相关装置

本申请要求于2020年11月27日提交的、中国申请号为202011365125.6、发明名称为“管理不可信应用程序通信的方法及相关装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及计算机技术领域，尤其涉及一种管理不可信应用程序通信的方法及相关装置。

背景技术

安卓(Android)操作系统是当今最流行的移动操作系统之一，许许多多的开发者都基于Android操作系统进行应用程序开发。Android操作系统遵循开源协议，是一种允许第三方厂商基于源代码开发定制化的操作系统，这在一定程度上降低了Android操作系统的安全性。另外，Android操作系统允许用户从第三方渠道安装应用程序，这虽然为用户使用提供了方便，但对于未经测试或不受信任的应用程序，这会增加隐私数据泄露、操作系统运行异常等风险。

因此需要对未经测试或不受信任的应用程序的通信行为进行管理，以降低隐私数据泄露、操作系统运行异常等风险。

发明内容

本申请实施例提供了一种管理不可信应用程序通信的方法及相关装置，能够不可信应用程序运行时降低隐私数据泄露、操作系统运行异常等风险。

本申请实施例第一方面提供了一种管理不可信应用程序通信的方法，包括：第一进程获取来自第二进程对于第一程序的第一请求，该第一程序可以是Android系统程序，也可以第三方应用程序；第一请求可以是对第三应用程序的访问请求，也可以是与第一程序建立通信连接的请求，且携带至少一个请求参数，第一进程中运行有第一管理应用程序，第二进程中运行有不可信应用程序；基于至少一个请求参数包含第一通信句柄，第一进程将至少一个请求参数中的第一通信句柄替换为第一管理应用程序的通信句柄；然后第一进程向目标进程发送对于第一程序的第二请求，第二请求中携带包含第一管理应用程序的通信句柄的至少一个请求参数，目标进程中运行有第一程序。

第一进程获取第一请求，并将第一请求携带的请求参数中包含的不可信应用程序的通信句柄，替换位第一进程中第一管理应用程序的通信句柄，然后向目标进程发送携带第一管理应用程序的通信句柄的第二请求；这样，目标进程获取到的通信句柄为第一管理应用程序的通信句柄，而不是不可信应用程序的通信句柄，所以目标进程仅能通过第一管理应用程序的通信句柄与第一进程进行通信，而无法通过不可信应用程序的通信句柄与第二进程通信，从而防止目标进程与第二进程直接通信而导致第一进程无法起到管理的作用，从而降低不可信应用程序的运行导致隐私数据泄露、操作系统运行异常等风险。

作为一种可实现的方式，第一请求包含于通信包裹中，其中，通信包裹可以看成一种序列化的方式；在第一进程获取来自第二进程对于第一程序的第一请求之后，在基于至少一个请求参数包含第一通信句柄第一进程将至少一个请求参数中的第一通信句柄替换为第一管理应用程序的通信句柄之前，方法还包括：第一进程基于存储标识位确定第一通信句柄在通信包裹中的存储位置信息，存储标识位用于标记通信包裹中目标存储区域的起始位置，目标存储区域用于存储第一通信句柄；第一进程基于存储位置信息获取第一通信句柄。

在该实现方式提供了从通信包裹中解析得到第一通信句柄的一种可行方案，适用于第一请求包含于通信包裹的场景。

作为一种可实现的方式，第一程序为第三方应用程序，第一请求用于请求第一程序的通信句柄，第二请求用于请求第一程序的通信句柄，第一通信句柄为不可信应用程序的通信句柄；在第一进程获取来自第二进程对于第一程序的第一请求之前，方法还包括：第一进程将第二进程对应的地址空间中应用管理服务的通信句柄替换为第一管理应用程序的通信句柄，以使得第二进程通过第一管理应用程序的通信句柄向第一进程发送第一请求，其中，在Android系统中，应用管理服务用于进程间管理，当第二进程需要向目标进程发送第一请求时，需要先向应用管理服务发送该第一请求，然后由应用管理服务将第一请求转发至第一程序所在的目标进程。

由于第一进程将第二进程对应的地址空间中应用管理服务的通信句柄替换为第一管理应用程序的通信句柄，所以第二进程便会将第一管理应用程序的通信句柄作为应用管理服务的通信句柄；这样，当第二进程要向第一程序所在的目标进程发送第一请求时，第二进程会通过第一管理应用程序的通信句柄向第一进程发送第一请求；第一进程在接收到第一请求后，会向目标进程发送用于建立通信连接的第二请求，以建立第一进程与目标进程之间的通信连接，从而实现第一进程对第二进程与目标进程建立通信连接的过程的管理；并且，在通信连接建立后，第二进程与目标进程之间传递的消息需要经过第一进程转发，实现了第一进程对第二进程通信的管理，降低隐私数据泄露、操作系统运行异常等风险。

作为一种可实现的方式，在第一进程获取来自第二进程对于第一程序的第一请求之后，方法还包括：第一进程将不可信应用程序的通信句柄与第一管理应用程序的通信句柄关联。

由于不可信应用程序的通信句柄与第一管理应用程序的通信句柄关联，所以目标进程在通过第一管理应用程序的通信句柄第一进程发送消息后，第一进程可以根据第一管理应用程序的通信句柄确定不可信应用程序的通信句柄，然后通过不可信应用程序的通信句柄向第二进程发送该消息，从而实现消息的转发，且避免第一进程通过除不可信应用程序外的其他程序的通信句柄发送该消息导致消息发送错误。

作为一种可实现的方式，第一程序为第三方应用程序，第一请求用于访问第一程序，第二请求用于访问第一程序；第二进程的地址空间中存储的第一程序的通信句柄为第一管理应用程序的通信句柄；第一进程获取来自第二进程对于第一程序的第一请求包括：第一进程通过第一管理应用程序的通信句柄接收来自第二进程对于第一程序的第一请求。

由于第二进程的地址空间中存储的第一程序的通信句柄为第一管理应用程序的通信句柄，所以第二进程通过第一管理应用程序的通信句柄发送访问第一程序的请求，第一进程在接收到第一请求后，代理第二进程对目标进程中的第一程序进行访问，从而实现了第一进程对不可信应用程序访问第三方应用程序的过程进行管理。

作为一种可实现的方式，第一进程的地址空间中存储有第一程序的通信句柄，且第一程序的通信句柄与第一管理应用程序的通信句柄关联；第一进程向目标进程发送对于第一程序的第二请求包括：第一进程通过与第一管理应用程序的通信句柄关联的第一程序的通信句柄，向目标进程发送第二请求。

基于第一程序的通信句柄与第一管理应用程序的通信句柄的关联关系，宿主可以确定与第一管理应用程序的通信句柄关联的第一程序的通信句柄，并在第二进程通过第一管理应用程序的通信句柄向第一进程发送一请求后，通过与第一管理应用程序的通信句柄关联的第一程序的通信句柄发送第二请求，且避免第一进程通过除第一程序外的其他程序的通信句柄发送该第二请求导致第二请求发送错误。

作为一种可实现的方式，第一程序为系统程序，该系统程序是指Android系统程序，具体可以包括剪贴板程序、行动热点WIFI等系统程序，第一请求用于访问第一程序，第二请求用于访问第一程序；在第一进程获取来自第二进程对于第一程序的第一请求之前，方法还包括：第一进程在第二进程对应的地址空间中的服务管理器中，添加用于代替第一程序的通信句柄的第一管理应用程序的通信句柄和第一程序的标识，以使得第二进程通过第一管理应用程序的通信句柄向第一进程发送第一请求，至少一个请求参数中还包含第一程序的标识。

由于第一进程在第二进程对应的地址空间中的服务管理器中，添加用于代替第一程序的通信句柄的第一管理应用程序的通信句柄和第一程序的标识，所以第二进程会通过第一管理应用程序的通信句柄向第一进程发送用于访问第一程序的第一请求，这样，第一进程便可以代理第二进程对目标进程中的第一程序进行访问，从而实现第一进程对不可信应用程序访问系统程序的管理。

作为一种可实现的方式，在第一进程获取来自第二进程对于第一程序的第一请求之后，在第一进程向目标进程发送对于第一程序的第二请求之前，方法还包括：第一进程从第一进程对应的地址空间中的服务管理器中查询，第一程序的标识对应的第一程序的通信句柄；第一进程向目标进程发送第二请求包括：第一进程通过第一程序的通信句柄向目标进程发送第二请求。

该实现方式提供了第一进程发送第二请求的一种具体方案。

作为一种可实现的方式，在第一进程向目标进程发送第二请求之后，方法还包括：第一进程接收来自目标进程的对于第二请求的第一响应，第一响应中携带至少一个响应参数；基于至少一个响应参数包含第二通信句柄，第一进程将至少一个响应参数中的第二通信句柄替换为第一管理应用程序的通信句柄；第一进程向第二进程发送对于第一请求的第二响应，第二响应中携带包含第一管理应用程序的通信句柄的至少一个响应参数。

第一进程获取来自目标进程的第二响应，并将第二响应携带的响应参数中的第二通信句柄替换为第一管理应用程序的通信句柄，然后向第二进程发送携带第一管理应用程序的通信句柄；这样，第二进程只能接收到第一管理应用程序的通信句柄，而不会接收到不同于第一管理应用程序的通信句柄的第二通信句柄，以避免第二进程通过第二通信句柄与第一进程外的其他进程直接通信而导致第一进程无法起到管理的作用，从而降低不可信应用程序的运行导致隐私数据泄露、操作系统运行异常等风险。

作为一种可实现的方式，第一程序为第三方应用程序，第一请求用于请求第一程序的通信句柄，第二请求用于请求第一程序的通信句柄，第二通信句柄为第一程序的通信句柄；在第一进程接收来自目标进程的对于第二请求的第一响应之后，方法还包括：第一进程将第一程序的通信句柄与第一管理应用程序的通信句柄关联。

由于第一程序的通信句柄与第一管理应用程序的通信句柄关联，所以第二进程在通过第一管理应用程序的通信句柄第一进程发送消息后，第一进程可以根据第一管理应用程序的通信句柄确定第一程序的通信句柄，然后通过第一程序的通信句柄向第二进程发送该消息，从而实现消息的转发，且避免第一进程通过除第一程序外的其他程序的通信句柄发送该消息导致消息发送错误。

作为一种可实现的方式，方法还包括：第一进程通过第一管理应用程序的通信句柄接收来自第二进程的第三请求，第三请求携带第二程序的标识和第二程序的应用程序接口API的标识；第一进程基于第三请求中第二程序的标识和第二程序的API的标识，访问第二程序的API，其中，第二程序主要是指通信句柄未存储于服务管理器中而导致无法通过Binder机制直接访问的系统程序，例如可以是闹钟服务AlarmManager、音频管理器AudioManager等。

在该实现方式中，第一进程接收用于访问第二程序的API的第三请求，适用于第二程序的通信句柄未存储于服务管理器中而导致无法通过Binder机制直接访问的场景。

作为一种可实现的方式，方法还包括：第一进程通过不可信应用程序的通信句柄向第二进程发送，第二程序的API的访问结果。

在该实现方式中，第一进程代理第二进程访问第二程序的API，从而实现对不可信应用程序访问第二程序的API的过程的管理。

本申请实施例第二方面提供了一种管理不可信应用程序通信的方法，包括：第二进程从第二进程对应的地址空间中的服务管理器中查询第一程序的通信句柄，得到第一管理应用程序的通信句柄和第一程序的标识，第一程序为系统程序；第二进程通过第一管理应用程序的通信句柄向第一进程发送第一请求，第一请求用于访问所述第一程序，至少一个请求参数中还包含第一程序的标识。

由于第二进程查询到的是第一管理应用程序的通信句柄，而不是第一程序的通信句柄，所以当第二进程需要访问第一程序时，第二进程会通过第一管理应用程序的通信句柄向第一进程发送第一请求，从而实现第一进程对不可信应用程序访问通信句柄存储于服务管理器中的系统程序的管理。

作为一种可实现的方式，方法还包括：第二进程通过自定义类加载器在第二进程的地址空间中加载自定义类，自定义类的标识与第二程序的标识相同，自定义类的应用程序接口API的标识与第二程序的API的标识相同，自定义类的API用于使得第二进程通过第一管理应用程序的通信句柄向第一进程发送第三请求，第三请求携带第二程序的标识和第二程序的API的标识；当第二进程基于第二程序的标识以及第二程序的API的标识访问第二程序的API时，第二进程访问自定义类的API；第二进程通过第一管理应用程序的通信句柄向第一进程发送第三请求。

由于自定义类的标识与第二程序的标识相同，所以第二进程在访问第二程序时，第二进程会访问自定义类；又由于自定义类的API的标识与第二程序的API的标识相同，所以当第二进程访问第二程序的API时，第二进程会访问自定义类的API；第二进程访问自定义类的API导致第二进程通过第一管理应用程序的通信句柄向第一进程发送第三请求，从而实现第一进程对不可信应用程序访问第二程序的API的过程进行管理。

本申请实施例第三方面提供了一种管理不可信应用程序通信的装置，包括：

收发单元，用于获取来自第二进程对于第一程序的第一请求，第一请求中携带至少一个请求参数，第一进程中运行有第一管理应用程序，第二进程中运行有不可信应用程序；

处理单元，用于基于至少一个请求参数包含第一通信句柄proxy，将至少一个请求参数中的第一通信句柄替换为第一管理应用程序的通信句柄；

收发单元，用于向目标进程发送第二请求，第二请求中携带包含第一管理应用程序的通信句柄的至少一个请求参数，目标进程中运行有第一程序。

作为一种实现方式，第一请求包含于通信包裹中；处理单元还用于基于存储标识位确定第一通信句柄在通信包裹中的存储位置信息，存储标识位用于标记通信包裹中目标存储区域的起始位置，目标存储区域用于存储第一通信句柄；基于存储位置信息获取第一通信句柄。

作为一种实现方式，第一程序为第三方应用程序，第一请求用于请求第一程序的通信句柄，第二请求用于请求第一程序的通信句柄，第一通信句柄为不可信应用程序的通信句柄。

相应地，处理单元还用于将第二进程对应的地址空间中应用管理服务的通信句柄替换为第一管理应用程序的通信句柄，以使得第二进程通过第一管理应用程序的通信句柄向第一进程发送第一请求。

作为一种实现方式，处理单元还用于将不可信应用程序的通信句柄与第一管理应用程序的通信句柄关联。

作为一种实现方式，第一程序为第三方应用程序，第一请求用于访问第一程序，第二请求用于访问第一程序；第二进程的地址空间中存储的第一程序的通信句柄为第一管理应用程序的通信句柄。

相应地，收发单元还用于通过第一管理应用程序的通信句柄接收来自第二进程对于第一程序的第一请求。

作为一种实现方式，第一进程的地址空间中存储有第一程序的通信句柄，且第一程序的通信句柄与第一管理应用程序的通信句柄关联。

相应地，收发单元还用于通过与第一管理应用程序的通信句柄关联的第一程序的通信句柄，向目标进程发送第二请求。

作为一种实现方式，第一程序为系统程序，第一请求用于访问第一程序，第二请求用于访问第一程序；

处理单元还用于在第二进程对应的地址空间中的服务管理器中，添加用于代替第一程序的通信句柄的第一管理应用程序的通信句柄和第一程序的标识，以使得第二进程通过第一管理应用程序的通信句柄向第一进程发送第一请求，至少一个请求参数中还包含第一程序的标识。

作为一种实现方式，处理单元还用于从第一进程对应的地址空间中的服务管理器中查询，第一程序的标识对应的第一程序的通信句柄；

收发单元还用于通过第一程序的通信句柄向目标进程发送第二请求。

作为一种实现方式，收发单元还用于接收来自目标进程的对于第二请求的第一响应，第一响应中携带至少一个响应参数。

处理单元还用于基于至少一个响应参数包含第二通信句柄，将至少一个响应参数中的第二通信句柄替换为第一管理应用程序的通信句柄。

收发单元还用于向第二进程发送对于第一请求的第二响应，第二响应中携带包含第一管理应用程序的通信句柄的至少一个响应参数。

作为一种实现方式，第一程序为第三方应用程序，第一请求用于请求第一程序的通信句柄，第二请求用于请求第一程序的通信句柄，第二通信句柄为第一程序的通信句柄。

相应地，处理单元还用于第一进程将第一程序的通信句柄与第一管理应用程序的通信句柄关联。

作为一种实现方式，收发单元还用于第一进程通过第一管理应用程序的通信句柄接收来自第二进程的第三请求，第三请求携带第二程序的标识和第二程序的应用程序接口API的标识；基于第三请求中第二程序的标识和第二程序的API的标识，访问第二程序的API。

作为一种实现方式，收发单元还用于通过不可信应用程序的通信句柄向第二进程发送，第二程序的API的访问结果。

其中，以上各单元的具体实现、相关说明以及技术效果请参考本申请实施例第一方面的描述。

本申请实施例第四方面还提供了一种管理不可信应用程序通信的装置，包括：

处理单元，用于从第二进程对应的地址空间中的服务管理器中查询第一程序的通信句柄，得到第一管理应用程序的通信句柄和第一程序的标识，第一程序为系统程序；

收发单元，用于通过第一管理应用程序的通信句柄向第一进程发送第一请求，至少一个请求参数中还包含第一程序的标识。

作为一种实现方式，处理单元还用于通过自定义类加载器在第二进程的地址空间中加载自定义类，自定义类的标识与第二程序的标识相同，自定义类的应用程序接口API的标识与第二程序的API的标识相同，自定义类的API用于使得第二进程通过第一管理应用程序的通信句柄向第一进程发送第三请求，第三请求携带第二程序的标识和第二程序的API的标识；当第二进程基于第二程序的标识以及第二程序的API的标识访问第二程序的API时，访问自定义类的API。

收发单元还用于第二进程通过第一管理应用程序的通信句柄向第一进程发送第三请求。

其中，以上各单元的具体实现、相关说明以及技术效果请参考本申请实施例第二方面的描述。

本申请实施例第五方面提供了一种终端设备，包括：一个或多个处理器和存储器；其中，所述存储器中存储有计算机可读指令；所述一个或多个处理器读取所述计算机可读指令，以使所述计算机设备实现如第一方面任一实现方式所述的方法。

本申请实施例第六方面提供了一种终端设备，包括：一个或多个处理器和存储器；其中，所述存储器中存储有计算机可读指令；所述一个或多个处理器读取所述计算机可读指令，以使所述计算机设备实现如第二方面任一实现方式所述的方法。

本申请实施例第七方面提供了一种计算机可读存储介质，包括计算机可读指令，当所述计算机可读指令在计算机上运行时，使得所述计算机执行如第一方面或第二方面任一实现方式所述的方法。

本申请实施例第八方面提供了一种芯片，包括一个或多个处理器。所述处理器中的部分或全部用于读取并执行存储器中存储的计算机程序，以执行上述第一方面或第二方面任意可能的实现方式中的方法。

可选地，该芯片该包括存储器，该存储器与该处理器通过电路或电线与存储器连接。进一步可选地，该芯片还包括通信接口，处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息，处理器从该通信接口获取该数据和/或信息，并对该数据和/或信息进行处理，并通过该通信接口输出处理结果。该通信接口可以是输入输出接口。

在一些实现方式中，所述一个或多个处理器中还可以有部分处理器是通过专用硬件的方式来实现以上方法中的部分步骤，例如涉及神经网络模型的处理可以由专用神经网络处理器或图形处理器来实现。

本申请实施例提供的方法可以由一个芯片实现，也可以由多个芯片协同实现。

本申请实施例第九方面提供了一种计算机程序产品，该计算机程序产品包括计算机软件指令，该计算机软件指令可通过处理器进行加载来实现上述第一方面中任意一种实现方式所述的方法。

从以上技术方案可以看出，本申请实施例具有以下优点：

第一进程获取第一请求，并将第一请求携带的请求参数中包含的不可信应用程序的通信句柄，替换为第一进程中第一管理应用程序的通信句柄，然后向目标进程发送携带第一管理应用程序的通信句柄的第二请求；这样，目标进程获取到的通信句柄为第一管理应用程序的通信句柄，而不是不可信应用程序的通信句柄，所以目标进程仅能通过第一管理应用程序的通信句柄与第一进程进行通信，而无法通过不可信应用程序的通信句柄与第二进程通信，从而防止目标进程与第二进程直接通信而导致第一进程无法起到管理的作用，从而降低不可信应用程序的运行导致隐私数据泄露、操作系统运行异常等风险。

附图说明

图1为本申请实施例中的系统架构示意图；

图2为Binder机制的示意图；

图3为本申请实施例中方法所对应的框架示意图；

图4为本申请实施例中管理不可信应用程序通信的方法的一个实施例示意图；

图5为本申请实施例中管理不可信应用程序通信的方法的另一个实施例示意图；

图6为本申请实施例中第一应用例的示意图；

图7为本申请实施例中第二应用例的示意图；

图8为本申请实施例中管理不可信应用程序通信的装置的一个实施例示意图；

图9为本申请实施例中管理不可信应用程序通信的装置的另一个实施例示意图；

图10为本申请实施例中终端设备的实施例示意图。

具体实施方式

下面结合附图，对本申请的实施例进行描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。本领域普通技术人员可知，随着技术的发展和新场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。在本申请中出现的对步骤进行的命名或者编号，并不意味着必须按照命名或者编号所指示的时间或逻辑先后顺序执行方法流程中的步骤，已经命名或者编号的流程步骤可以根据要实现的技术目的变更执行次序，只要能达到相同或者相类似的技术效果即可。

本申请实施例可以应用于图1所示的系统架构中。如图1所示，该系统位于安卓Android环境中，具体包括隔离进程、宿主进程、第三方应用程序和Android系统程序。

进程是指程序的运行实体。程序是指令、数据及其组织形式的描述，进程是程序的运行实体。一个进程中可以并发多个线程，每条线程并行执行不同的任务。线程可以是进程的实际运作单位，但本申请实施例不对线程和进程进行明确区分，描述过程中都用进程代替。

隔离进程Isolated Process是Android系统中的一种“无权限”的特殊进程，运行在隔离进程中的应用程序，无法与外界环境(包括图1所示的Android系统程序和第三方应用程序)进行直接通信，仅能通过宿主进程与外界环境进行通信，从而为应用程序提供了一个沙箱环境。沙箱Sandbox也称为沙盒，是指一种安全机制，为运行中的应用程序提供隔离环境。

宿主进程Host Process是Android系统中的常规进程，用于与隔离进程建立连接，管理和代理隔离进程与外界环境的通信行为。

Android系统程序是指控制和协调Android设备及外部设备，支持应用软件开发和运行的系统，是无需用户干预的各种程序的集合。

第三方应用程序是和系统软件相对应的，是用户可以使用的各种程序设计语言，以及用各种程序设计语言编制的程序的集合，分为应用软件包和用户程序。

为了降低未经测试或不受信任的应用程序(下文称为不可信应用程序)运行所导致的风险，可以将不可信应用程序运行在图1所示的隔离进程中，将第一管理应用程序运行在图1所示的宿主进程中。宿主进程与隔离进程建立连接，此后，宿主进程会接收隔离进程对外的所有访问请求，然后对该访问请求进行安全性校验。

对于安全性校验结果满足要求的访问请求，宿主进程将根据该访问请求代理隔离进程中不可信应用程序完成访问，并将访问结果回传给隔离进程中的不可信应用程序；对于安全性校验结果不满足要求的访问请求，宿主进程将终止该访问请求。这样，宿主进程便可以起到管理和代理隔离进程与外界环境通信的作用。

应理解，无论是Android系统程序，还是第三方应用程序，都运行在相应的进程中。因此，不可信应用程序与外界环境的通信过程属于进程间通信(Inter-Process Communication，IPC)。

IPC可以通过多种方式实现。例如，两个进程之间可以通过通信句柄进行通信，该通信句柄也可以称为跨进程通信句柄。

在Android系统中，该通信句柄可以为Ibinder；当通信句柄为Ibinder时，则两个进程之间通过Binder机制实现通信。下面以程序A和程序B为例，对Binder机制进行介绍。其中，程序A可以是Android系统程序，也可以是第三方应用程序；同样地，程序B可以是Android系统程序，也可以是第三方应用程序。

如图2所示，程序A可以向Binder驱动申请在程序A所在的进程中创建一个Binder，该Binder又可以称为Binder实体、本地对象；同样地，程序B可以向Binder驱动申请在程序B所在的进程中创建一个Binder，该Binder又可以称为Binder实体、本地对象。

若程序A与程序B要通过Binder机制进行通信，则程序A和程序B首先要建立Binder连接。建立Binder连接可以理解为：程序A获取到程序B的IBinder，程序B获取到程序A的IBinder；其中，IBinder又可以称为IBinder引用、远程对象、Binder代理proxy，为了便于描述，下文用Binder代理代替IBinder。

其中，IBinder定义了一种可远程调用对象的基本接口，该基本接口描述了与可远程调用对象进行交互的抽象协议；Binder是可远程调用对象的基类，是IBinder的实现类，提供了IBinder这类对象的标准本地实现。

当程序A发起对程序B的访问时，则程序A可以通过程序B的Binder代理对程序B发起访问，访问过程可以理解为：程序A通过程序B的Binder代理向Binder驱动发送访问请求，Binder驱动处理该访问请求，并分配两个缓冲区Buffer，其中一个缓冲区用于写入访问请求中的参数，且程序B可以从该缓冲区内读取访问请求的参数；另一个缓冲区用于写入来自程序B的访问响应中的参数，且程序A可以从该缓冲区内读取访问响应的参数。

同样地，当程序B发起对程序A的访问时，则程序B可以通过程序A的Binder代理对程序A发起访问，访问过程可参照上述程序A访问程序B的过程进行理解。

基于上述说明可知，任意两个能够通过Binder机制通信的程序，在获取到双方的Binder代理后，便可以直接通过Binder代理与对方通信。

那么，对于不可信应用程序来说，若不可信应用程序获取到除宿主进程中第一管理应用程序外的其他程序的Binder代理，则不可信应用程序可以直接通过Binder代理与其他程序直接进行通信，这意味着宿主进程则无法对隔离进程的通信行为进行管理，从而会增加不可信应用程序运行所导致的风险。

为此，本申请实施例提供了一种方法，该方法使得宿主进程在代理隔离进程访问的过程中，获取来自隔离进程的请求，并替换该请求中的Binder代理；该方法还使得宿主进程获取向隔离进程发送的响应，并替换该请求中的Binder代理，以防止隔离进程获取到其他应用程序的Binder代理，从而降低不可信应用程序运行所导致的风险。

在介绍本申请实施例提供的方法前，先对本申请实施例中涉及的其他专业术语进行说明。

Parcel是一种消息容器，经过该消息容器打包的消息(包括数据和对象引用)可通过IBinder机制进行传递。

钩子Hook技术是一系列计算机编程技术，这一系列的技术通过截获在软件组件之间传递的函数调用或消息或事件，来更改或增强操作系统、应用程序或其他软件组件的行为。

服务管理器(ServiceManager)是Android系统中一个重要的类，用于管理所有的Android系统程序，维护着Android系统程序和第三方应用程序的Binder通信。

应用管理服务(ActivityManagerService)又可以称为作业管理应用程序，是Android系统组件的核心服务，负责了系统中四大组件(Activity、Service、BroadcastReceiver、ContentProvider)的启动、切换、调度以及进程管理和调度工作。

PackageManagerService：Android系统组件的核心服务，负责所有跟Package相关的工作，比如应用安装、卸载等。

下面对本申请实施例提供的方法进行介绍。

为了便于理解，下文以Android系统为例对本申请实施例提供的方法进行说明，并将Binder机制作为进程间通信的方式，相应地，采用Binder代理代替通信句柄。

需要说明的是，本申请实施例提供的方法所应用的系统不限于Android系统。

另外，本申请实施例提供的方法应用于目标进程、第一进程和第二进程，其中，第一进程为用于管理不可信应用通信的进程，第二进程为运行不可信应用的进程，目标进程为运行第一程序的进程；为了便于说明，下文采用宿主进程代替第一进程，采用隔离进程代替第二进程。

请参阅图3，图3示出了本申请实施例提供的方法所对应的框架示意图。

如图3所示，在Android系统环境中，客户端对不可信应用程序进行访问，该客户端可以为任一第三方应用程序对应的客户端。

客户端访问不可信应用程序的过程可以包括不可信应用程序加载过程、不可信应用程序的生命周期管理过程以及不可信应用程序的运行过程。

不可信应用程序加载过程如下。

首先，客户端拉起宿主进程，宿主进程中运行有第一管理应用程序；然后，宿主进程拉起隔离进程，隔离进程加载第二管理应用程序；接着第一管理应用程序通过Binder机制与第二管理应用程序建立连接，即第一管理应用程序获取到第二管理应用程序的Binder代理，第二管理应用程序获取到第一管理应用程序的Binder代理；接着，第一管理应用程序通过第二管理应用程序，将不可信应用程序加载到隔离进程中。由于当客户端访问不可信应用程序时，所以不可信应用程序的加载属于动态加载。

将不可信应用程序加载到隔离进程中的过程可以包括：通过自定义类加载器从不可信应用程序的存储路径下将该不可信应用程序加载到隔离进程中，其中，自定义类加载器可以采用覆写loadClass的方法或findClass的方法。

通过上述方式加载不可信应用程序，能够解决隔离进程中的不可信应用程序无法被Android系统的PackageManagerService管理和安装的问题。

需要说明的是，客户端对于不可信应用程序是否运行在隔离进程提供的沙箱环境中是无感知的。

不可信应用程序的生命周期管理过程如下。

考虑到不可信应用程序未注册在Android系统的应用管理服务中,所以宿主进程不能直接对不可信应用程序的生命周期进行管理。因此，在本申请实施例中，通过应用管理服务创建一个服务桩，该服务桩可以看成一个应用程序，该服务桩的生命周期的函数与不可信应用程序的生命周期的函数存在对应关系。这样，宿主进程便可以通过对服务桩的生命周期的管理实现对不可信应用程序的生命周期的管理。

上述两个过程完成后，不可信应用程序便可以运行，在不可信应用运行过程中，则可以使用本申请实施例提供的方法对不可信应用程序的通信行为进行管理。具体地，请参阅图4，本申请实施例提供了一种管理不可信应用程序通信的方法的一个实施例，包括：

步骤101，宿主进程获取来自隔离进程对于第一程序的第一请求，第一请求中携带至少一个请求参数，宿主进程中运行有第一管理应用程序，隔离进程中运行有不可信应用程序。

第一程序作为第一请求的请求对象，该请求对象可以是Android系统程序，也可以第三方应用程序。

第一请求的种类与第一程序相关。

具体地，当第一程序为Android系统程序时，第一请求通常为对Android系统程序的访问请求。

当第一程序为第三方应用程序时，第一请求可以是对第三应用程序的访问请求，也可以是与第一程序建立Binder连接的请求；当第一请求是与第一程序建立Binder连接的请求时，第一请求用于请求第一程序的Binder代理。

第一请求的传输形式也可以有多种，本申请实施例对此不做具体限定。例如，可以对第一请求进行打包，得到包含第一请求的通信包裹，从而通过传输通信包裹实现对第一请求的传输，其中，该通信包裹又可以称为跨进程通信包裹，具体可以为Parcel对象，Parcel对象可以看成一种序列化的方式。相应地，宿主进程获取到的第一请求则包含于Parcel对象中。

第一请求中的请求参数的种类和数量都与第一请求的种类相关，本申请实施例对的第一请求中请求参数的种类和数量均不做具体限定。

基于上述说明可知，第一程序的种类可以有多种，第一请求的种类也可以有多种，而宿主进程获取第一请求的场景与第一程序的种类和第一请求的种类相关，所以宿主进程获取第一请求的场景也可以有多种，下文会对宿主进程获取第一请求的场景进行具体介绍。

步骤102，宿主进程基于存储标识位确定第一Binder代理在通信包裹中的存储位置信息，存储标识位用于标记通信包裹中目标存储区域的起始位置，目标存储区域用于存储第一Binder代理。

基于步骤101的相关说明可知，第一请求可以包含于通信包裹中，此时，则可以通过步骤102和103从第一请求中获取第一Binder代理。

应理解，对于Binder代理来说，通常存储于通信包裹的某一固定的目标存储区域中，该目标存储区域的起始位置是用存储标识位标识的，该存储标识位可以存储于Native层。所以，宿主进程可以根据该存储标识位确定第一Binder代理在通信包裹中的存储位置信息。

具体地，从存储标识位所标识的位置开始，以四字节位为间隔，遍历目标存储区域以查找第一Binder代理在通信包裹中的存储位置信息。

步骤103，宿主进程基于存储位置信息获取第一Binder代理。

在查找第一Binder代理在通信包裹中的存储位置信息后，宿主进程便可以基于该存储位置信息从通信包裹中读取第一Binder代理。

需要说明的是，步骤102和步骤103是在步骤101之后，在步骤104之前执行的；并且，只有当第一请求包含于通信包裹中，才能够通过步骤102和步骤103获取第一Binder代理，因此步骤102和步骤103是可选的。

步骤104，宿主进程将至少一个请求参数中的第一Binder代理替换为第一管理应用程序的Binder代理。

实际实现中，第一binder代理与第一管理应用程序的binder代理是不同的，所以可以直接执行替换操作，但也可以在步骤104之前增加判断步骤，当判断二者不同时，再执行替换。

基于Binder机制的相关说明可知，若隔离进程获取到除第一管理应用程序之外其他程序的Binder代理，则隔离进程可以直接通过其他程序的Binder代理与其他进程直接进行通信；同样地，若第一程序所在的目标进程获取到了不可信应用程序的Binder代理，则目标进程也可以通过不可信应用程序的Binder代理与隔离进程直接进行通信。

因此，在本申请实施例中，宿主进程对第一请求中的第一Binder代理进行替换；具体地，宿主进程将第一Binder代理替换为第一管理应用程序的Binder代理，使得第一程序所在的目标进程仅能获取到第一管理应用程序的Binder代理。

当第一请求包含于通信包裹中，宿主进程将第一Binder代理替换为第一管理应用程序的Binder代理的过程可以包括：将步骤103中的存储位置信息所指示的存储位置中的第一Binder代理，替换为第一管理应用程序的Binder代理；由于通信包裹又可以为Parcel对象，所以如图3所示，该过程又可以称为Parcel对象语义替换。

需要说明的是，第一Binder代理可以是不可信应用程序的Binder代理，也可以是除不可信应用程序的Binder代理以及第一管理应用程序的Binder代理之外的，其他程序的Binder代理，本申请实施例对此不做具体限定。

步骤105，宿主进程向目标进程发送对于第一程序的第二请求，第二请求中携带包含第一管理应用程序的Binder代理的至少一个请求参数，目标进程中运行有第一程序。

可以理解的是，宿主进程的作用是代理隔离进程对目标进程进行访问，所以除Binder代理之外，第二请求中的参数与第一请求中的参数相同。

在本申请实施例中，宿主进程获取第一请求，并将第一请求携带的请求参数中包含的不可信应用程序的Binder代理，替换位宿主进程中第一管理应用程序的Binder代理，然后向目标进程发送携带第一管理应用程序的Binder代理的第二请求；这样，目标进程获取到的Binder代理为第一管理应用程序的Binder代理，而不是不可信应用程序的Binder代理，所以目标进程仅能通过第一管理应用程序的Binder代理与宿主进程进行通信，而无法通过不可信应用程序的Binder代理与隔离进程通信，从而防止目标进程与隔离进程直接通信而导致宿主进程无法起到管理的作用，从而降低不可信应用程序的运行导致隐私数据泄露、操作系统运行异常等风险。

步骤106，宿主进程接收来自目标进程的对于第二请求的第一响应，第一响应中携带至少一个响应参数。

可以理解的是，在执行步骤105后，目标进程可以向宿主进程发送与第二请求对应的第一响应，相应地，宿主进程则会接收到该响应。

基于步骤101的相关说明可知，第一请求的种类可以由多种，而第一响应的种类与第一请求的种类对应，所以第一响应的种类也可以有多种，具体请参阅第一请求的相关说明进行理解。

响应参数与第一请求中的请求参数相关，与请求参数类似，本申请实施例对响应参数的种类和数量也不做具体限定。

步骤107，宿主进程将至少一个响应参数中的第二Binder代理替换为第一管理应用程序的Binder代理。

基于步骤104的相关说明可知，第一请求中的请求参数可能包含不同于第一管理应用程序的Binder代理的第一Binder代理，同理，响应参数中也可能包含不同于第一管理应用程序的Binder代理的第二Binder代理；当响应参数中包含不同于第一管理应用程序的Binder代理的第二Binder代理时，宿主进程会将第二Binder代理替换为第一管理应用程序的Binder代理。

其中，第二Binder代理可以为第一程序的Binder代理，也可以为除第一程序的Binder代理以及宿主进程的Binder代理外的其他程序的Binder代理，本申请实施例对此不做具体限定。

例如，第一程序为程序C，第二Binder代理可以为程序C的Binder代理，也可以是程序D的Binder代理，即响应参数可以指示隔离进程通过程序D的Binder代理，访问程序D所在的进程。

步骤108，宿主进程向隔离进程发送对于第一请求的第二响应，第二响应中携带包含第一管理应用程序的Binder代理的至少一个响应参数。

第二响应与第一响应之间的关系，类似于第二请求与第一请求之间的关系，具体可参照前述第二请求和第一请求的相关说明进行理解。

需要说明的是，对于某种类型的第二请求，目标进程可能不会向宿主进程发送第一响应，相应地，宿主进程也不会向隔离进程发送第二响应；例如，若第一请求用于请求第一程序播放音频，同样地，第二请求也用于请求第一程序播放音频，那么目标进程在接收到第二请求后，则会执行播放音频的操作，并不会向宿主进程发送第一响应。

因此，步骤106至步骤108是可选的，适用于目标进程向宿主进程发送第二响应的场景。

在本申请实施例中，宿主进程获取来自目标进程的第二响应，并将第二响应携带的响应参数中的第二Binder代理替换为第一管理应用程序的Binder代理，然后向隔离进程发送携带第一管理应用程序的Binder代理；这样，隔离进程只能接收到第一管理应用程序的Binder代理，而不会接收到不同于第一管理应用程序的Binder代理的第二Binder代理，以避免隔离进程通过第二Binder代理与宿主进程外的其他进程直接通信而导致宿主进程无法起到管理的作用，从而降低不可信应用程序的运行导致隐私数据泄露、操作系统运行异常等风险。

基于前述说明可知，宿主进程获取第一请求的场景可以有多种，下面介绍宿主进程获取第一请求的三种场景。

宿主进程获取第一请求的第一种场景：隔离进程发送第一请求，以请求建立与目标进程之间的Binder连接。

相应地，第一程序为第三方应用程序，第一请求用于请求第一程序的Binder代理，第二请求用于请求第一程序的Binder代理，第一Binder代理为不可信应用程序的Binder代理。

应理解，在Android系统中，应用管理服务用于进程间管理，所以当隔离进程需要与其他进程通信时，需要经过应用管理服务与其他进程进行通信；即当隔离进程需要向目标进程发送第一请求时，需要先向应用管理服务发送该第一请求，然后由应用管理服务将第一请求转发至第一程序所在的目标进程。

而在本申请实施例中，为了实现宿主进程对隔离进程通信的管理，在步骤101之前，方法还可以包括：

宿主进程将隔离进程对应的地址空间中应用管理服务的Binder代理替换为第一管理应用程序的Binder代理，以使得隔离进程通过第一管理应用程序的Binder代理向宿主进程发送第一请求。

在本申请实施例中，由于宿主进程将隔离进程对应的地址空间中应用管理服务的Binder代理替换为第一管理应用程序的Binder代理，所以隔离进程便会将第一管理应用程序的Binder代理作为应用管理服务的Binder代理；这样，当隔离进程要向第一程序所在的目标进程发送第一请求时，隔离进程会通过第一管理应用程序的Binder代理向宿主进程发送第一请求，相应地，步骤101则具体可以包括：宿主进程通过第一管理应用程序的Binder代理接收来自隔离进程的第一请求。

应理解，由于第一请求用于请求建立与目标进程之间的Binder连接，所以第一请求中的请求参数会携带不可信应用程序的Binder代理，以使得目标进程获取到不可信应用程序的Binder代理；在第二响应中也会携带第一程序的Binder代理，以使得隔离进程获取到第一程序的Binder代理，从而实现隔离进程与目标进程之间的Binder连接。

而在本申请实施例中，宿主进程向目标进程发送的第二请求中携带的是宿主进程的Binder代理，宿主进程向隔离进程发送的第二响应中携带的也是宿主进程的Binder代理，所以实际建立的是隔离进程与宿主进程之间的Binder连接，以及宿主进程与目标进程之间的Binder连接。此后，目标进程和隔离进程之间的通信都需依赖宿主进程。

然而，对于宿主进程来说，宿主进程可以具有多个Binder代理，并且，宿主进程还可以与除目标进程、隔离进程之外的其他进程建立Binder连接。所以，当目标进程通过宿主进程的Binder代理向宿主进程发送对不可信应用程序的访问请求后，宿主进程需要先根据目标进程所使用的Binder代理确定不可信应用程序的Binder代理，然后才能通过不可信应用程序的Binder代理向隔离进程转发该访问请求。

因此，在步骤101之后，方法还可以包括：宿主进程将不可信应用程序的Binder代理与第一管理应用程序的Binder代理关联。

这样，宿主进程便可以基于不可信应用程序的Binder代理与第一管理应用程序的Binder代理的关联关系，确定访问请求所需访问的不可信应用程序的Binder代理。

同样地，当隔离进程通过宿主进程的Binder代理向宿主进程发送对第一程序的访问请求后，宿主进程需要先根据目标进程所使用的Binder代理确定第一程序的Binder代理，然后才能通过第一程序的Binder代理向目标进程转发该访问请求。

因此，在步骤106之后，方法还包括：

宿主进程将第一程序的Binder代理与第一管理应用程序的Binder代理关联。

这样，宿主进程便可以基于第一程序的Binder代理与第一管理应用程序的Binder代理的关联关系，确定访问请求所需访问的第一程序的Binder代理。

下面以具体的示例对上述过程进行说明。

示例性地，宿主进程具有Binder代理1和Binder代理2，在建立Binder连接的过程中，宿主进程将不可信应用程序的Binder代理和第一程序的Binder代理均替换为Binder代理1，即第二请求中携带Binder代理1，第二响应中也携带Binder代理1。因此，宿主进程通过Binder代理1与目标进程、隔离进程分别建立了Binder连接。此外，宿主进程还通过Binder代理2与另一第三方应用程序建立Binder连接。

当隔离进程通过Binder代理1向宿主进程发送对于第一程序的访问请求时，宿主进程可以通过Binder代理1与第一程序的Binder代理之间的关联关系，确定通过第一程序的Binder代理转发该访问请求，而不是通过另一第三方应用程序的Binder代理转发该访问请求。

同样地，当目标进程通过Binder代理1向宿主进程发送对于不可信应用程序的访问请求时，宿主进程可以通过Binder代理1与不可信应用程序的Binder代理之间的关联关系，确定通过不可信应用程序的Binder代理转发该访问请求，而不是通过另一第三方应用程序的Binder代理转发该访问请求。

在第一种场景中，如图3所示，通过请求转调，将应该发送至应用管理服务的第一请求转调到宿主进程，然后由宿主进程完成IPC转调，该IPC转调可以理解为宿主进程向第三方应用程序发送第二请求。

在本申请实施例中，宿主进程将隔离进程对应的地址空间中应用管理服务的Binder代理替换为第一管理应用程序的Binder代理，所以宿主进程会接收到来自隔离进程的用于建立Binder连接的第一请求；此后，宿主进程向目标进程发送用于建立Binder连接的第二请求，最终建立了隔离进程与宿主进程之间的Binder连接，也建立了宿主进程与目标进程之间的Binder连接，从而实现宿主进程对隔离进程与目标进程建立Binder连接的过程的管理。

宿主进程获取第一请求的第二种场景：隔离进程发送第一请求，以请求访问第三方应用程序。

相应地，第一程序为第三方应用程序，第一请求用于访问第一程序，第二请求用于访问第一程序，隔离进程的地址空间中存储的第一程序的Binder代理为第一管理应用程序的Binder代理。

第二种场景是指宿主进程与隔离进程建立Binder连接，且宿主进程与目标进程建立Binder连接后，隔离进程发送访问第一程序的第一请求。

因此，在第二种场景中，隔离进程获取到的是第一管理应用程序的Binder代理，即隔离进程的地址空间中存储的是第一管理应用程序的Binder代理，隔离进程会将第一管理应用程序的Binder代理作为第一程序的Binder代理。

基于此，当隔离进程需要通过Binder机制向第一程序发送第一请求时，隔离进程会通过第一管理应用程序的Binder代理发送第一请求。

相应地，宿主进程获取来自隔离进程对于第一程序的第一请求可以包括：

宿主进程通过第一管理应用程序的Binder代理接收来自隔离进程对于第一程序的第一请求。

在第二场景中，目标进程获取到的是第一管理应用程序的Binder代理，并且基于第一种场景的相关说明可知，宿主进程会将第一程序的Binder代理与第一管理应用程序的Binder代理关联。

因此，作为一种实现方式，宿主进程的地址空间中存储有第一程序的Binder代理，且第一程序的Binder代理与第一管理应用程序的Binder代理关联。

相应地，宿主进程向目标进程发送对于第一程序的第二请求包括：

宿主进程通过与第一管理应用程序的Binder代理关联的第一程序的Binder代理，向目标进程发送第二请求。

可以理解的是，宿主进程根据第一程序的Binder代理与第一管理应用程序的Binder代理的关联关系，确定与第一管理应用程序的Binder代理关联的第一程序的Binder代理，然后通过与第一管理应用程序的Binder代理关联的第一程序的Binder代理发送第二请求。

在第二种场景中，如图3所示，通过请求转调，将应该发送至应用管理服务的第一请求转调到宿主进程，然后由宿主进程完成IPC转调，该IPC转调可以理解为宿主进程向第三方应用程序发送第二请求。

在本申请实施例中，隔离进程的地址空间中存储的第一程序的Binder代理为第一管理应用程序的Binder代理，隔离进程通过第一管理应用程序的Binder代理发送访问第一程序的请求，宿主进程在接收到第一请求后，代理隔离进程对目标进程中的第一程序进行访问，从而实现了宿主进程对不可信应用程序访问第三方应用程序的过程进行管理。

宿主进程获取第一请求的第三种场景：隔离进程发送第一请求，以请求访问Android系统程序。

相应地，第一程序为系统程序，该系统程序是指Android系统程序，具体可以包括剪贴板程序、行动热点WIFI等系统程序；第一请求用于访问第一程序，第二请求用于访问第一程序。

与第一种场景和第二种场景不同，在第三种场景中，第一程序为系统程序，即隔离进程发送访问系统程序的第一请求。

基于前述说明可知，在Android系统中，服务管理器用于管理所有的Android系统程序，维护着Android系统程序和第三方应用程序的Binder通信，其中，每个进程可以具有各自的服务管理器。具体地，服务管理器中存储有Android系统程序的Binder代理，第三方应用程序和不可信应用程序都可以从服务管理器中查询各个Android系统程序的Binder代理。

以不可信应用程序为例，当不可信应用程序从服务管理器中查询到系统程序的Binder代理后，便可以通过系统程序的Binder代理与系统程序直接通信。

而在本申请实施例中，为了实现宿主进程对隔离进程通信的管理，在步骤101之前，方法还包括：

宿主进程在隔离进程对应的地址空间中的服务管理器中，添加用于代替第一程序的Binder代理的第一管理应用程序的Binder代理和第一程序的标识，以使得隔离进程通过第一管理应用程序的Binder代理向宿主进程发送第一请求，至少一个请求参数中还包含第一程序的标识。

可以理解的是，由于隔离进程属于“无权限”的特殊进程，为了防止不可信应用程序从隔离进程对应的地址空间中的服务管理器获取系统程序的Binder代理，隔离进程对应的地址空间中的服务管理器中通常不会存储任何系统程序的Binder代理。而在本申请实施例中，宿主进程在隔离进程对应的地址空间中的服务管理器中添加第一管理应用程序的Binder代理和第一程度的标识，使得隔离进程将第一管理应用程序的Binder代理作为第一程序的Binder代理。

其中，第一管理应用程序的Binder代理和第一程序的标识可以看成是包装后的第一管理应用程序的Binder代理，即采用包装后的第一管理应用程序的Binder代理代替第一程序的Binder代理。

具体地，宿主进程可以向服务管理器中添加多个包装后的第一管理应用程序的Binder代理，以代替所有Android系统程序的Binder代理，从而达到使用包装后的第一管理应用程序的Binder代理代替第一程序的Binder代理的目的；需要说明的是，由于每个Android系统程序的标识不同，所以在不同Android系统程序对应的包装后的第一管理应用程序的Binder代理中，Android系统程序的标识不同。

由于第一程序为Android系统程序，所以宿主进程通常在拉起隔离进程的过程(可以理解为隔离进程初始化)中，添加第一管理应用程序的Binder代理和第一程序的标识。

基于此，当隔离进程需要访问第一程序时，隔离进程从隔离进程对应的地址空间中的服务管理器中查询第一程序的Binder代理，得到第一管理应用程序的Binder代理和第一程序的标识，第一程序为系统程序；

隔离进程通过第一管理应用程序的Binder代理向宿主进程发送第一请求，至少一个请求参数中还包含第一程序的标识。

相应地，步骤101包括：宿主进程通过宿主进程的Binder代理接收来自隔离进程对于第一程序的第一请求，第一请求中的请求参数包括第一程序的标识。

可以理解的是，宿主进程在获取到第一程序的标识后，便可以从服务管理器中查询第一程序的Binder代理，然后通过第一程序的Binder代理发送第二请求。

作为一种实现方式，在步骤101之后，在步骤102之前，方法还包括：

宿主进程从宿主进程对应的地址空间中的服务管理器中查询，第一程序的标识对应的第一程序的Binder代理。

相应地，宿主进程向目标进程发送第二请求包括：

宿主进程通过第一程序的Binder代理向目标进程发送第二请求。

在第三种场景中，如图3所示，通过请求转调，将应该发送至目标进程的第一请求转调到宿主进程，然后由宿主进程完成IPC转调，该IPC转调可以理解为宿主进程向Android系统程序发送第二请求。

在本申请实施例中，宿主进程在隔离进程对应的地址空间中的服务管理器中，添加用于代替第一程序的Binder代理的第一管理应用程序的Binder代理和第一程序的标识，以使得隔离进程通过第一管理应用程序的Binder代理向宿主进程发送第一请求，这样，宿主进程便可以代理隔离进程对目标进程中的第一程序进行访问，从而实现宿主进程对不可信应用程序访问系统程序的管理；其中，当第一程序为系统程序时，宿主进程代理隔离进程访问第一程序的方式又可以称为桩代理。

在上述各个实施例中，宿主进程是对隔离进程通过Binder机制与第一进程通信的过程进行管理，基于前述说明可知，隔离进程还可以通过直接访问API的方式与第一进程通信。因此，下面介绍宿主进程对隔离进程通过访问API与第一进程通信的过程进行管理。

基于上述各个实施例，本申请实施例还提供了管理不可信应用程序通信的方法的另一个实施例，如图5所示，该实施例包括：

步骤201，隔离进程通过自定义类加载器在隔离进程的地址空间中加载自定义类，自定义类的标识与第二程序的标识相同，自定义类的API的标识与第二程序的API的标识相同，自定义类的API用于使得隔离进程通过第一管理应用程序的Binder代理向宿主进程发送第三请求，第三请求携带第二程序的标识和第二程序的API的标识。

其中，自定义类可以看成一个类对象，在Android系统中，应用管理服务、服务管理器等任意一个功能组件也都是一个类对象。

由于自定义类的标识与第二程序的标识相同，所以隔离进程在访问第二程序时，隔离进程会访问自定义类；又由于自定义类的API的标识与第二程序的API的标识相同，所以当隔离进程访问第二程序的API时，隔离进程会访问自定义类的API。

由于自定义类是由用户根据需求自定义的，所以用户可以将自定义类的API设置为，使得隔离进程通过第一管理应用程序的Binder代理向宿主进程发送第三请求。

步骤202，当隔离进程基于第二程序的标识以及第二程序的API的标识访问第二程序的API时，隔离进程访问自定义类的API。

基于步骤201的相关说明可知，当隔离进程访问第二程序的API时，隔离进程会访问自定义类的API。

步骤203，隔离进程通过第一管理应用程序的Binder代理向宿主进程发送第三请求。

基于步骤201的相关说明可知，由于自定义类的API使得隔离进程通过第一管理应用程序的Binder代理向宿主进程发送第三请求，所以隔离进程访问自定义类的API，会促使隔离进程通过第一管理应用程序的Binder代理发送第三请求。

相应地，宿主进程通过第一管理应用程序的Binder代理接收来自隔离进程的第三请求，第三请求携带第二程序的标识和第二程序的API的标识。

步骤204，宿主进程基于第三请求中第二程序的标识和第二程序的API的标识，访问第二程序的API。

可以理解的是，宿主进程在接收到第三请求后，会基于第二程序的标识和第二程序的API的标识，访问第二程序的API，即宿主进程代理隔离进程访问第二程序的API。

步骤205，宿主进程通过不可信应用程序的Binder代理向隔离进程发送，第二程序的API的访问结果。

在宿主进程获取到第二程序的API的访问结果后，宿主进程可以利用Binder机制向隔离进程发送第二程序的API的访问结果。

在本申请实施例中，第二程序所表示的系统程序与前述实施例中，第三场景下第一程序所表示的系统程序不同。第二程序主要是指Binder代理未存储于服务管理器中的系统程序，第三场景下第一程序所表示的系统程序是指Binder代理存储于服务管理器中的系统程序；具体地，第三场景下第一程序所表示的系统程序的Binder代理会存储于服务管理器中，而第二程序所表示的系统程序也可以具有Binder代理，但该Binder代理不会存储于服务管理器中，因此无法通过服务管理器查询第二程序所表示的系统程序的Binder代理，只能通过第二程序的API对第二程序进行访问。

其中，第二程序所表示的系统程序可以是闹钟服务AlarmManager、音频管理器AudioManager等。

为了更好地理解本申请实施例提供的方法，下面还提供了2个具体的应用例。

第一应用例如下。

如图6所示，客户端需要使用情景感知服务Awareness Kit注册时间围栏DuringTimePeriod，当设备处于预设时间段内，该时间围栏的状态为真True。

具体地，客户端拉起宿主进程，宿主进程拉起隔离进程，隔离进程加载情景感知服务(即不可信应用程序)，并且宿主进程会建立与载情景感知服务绑定的服务桩。

情景感知服务在进行时间围栏的逻辑处理时，需要访问系统程序中的AlarmManager；此时，基于隔离进程中加载了与AlarmManager标识相同的自定义类，所以隔离进程在访问AlarmManager的API时，会向宿主进程发送访问AlarmManager的API的请求，具体可参阅图5所示的实施例的相关说明；宿主进程在接收到AlarmManager的API的请求后，会访问AlarmManager的API并将访问结果发送给隔离进程，即完成IPC转调。

最终，隔离进程中的情景感知服务将时间围栏的响应结果通过宿主进程返回给客户端。

第二应用例如下。

如图7所示，客户端需要使用情景感知服务Awareness Kit的活动识别快照GetBehaviorStatus功能，该功能用于查询设备当前所处的运动状态信息，比如步行、跑步等。

情景感知服务在进行活动识别快照的逻辑处理时，需要访问MSDP服务；此时，隔离进程会先通过宿主进程与MSDP服务所在的进程建立Binder连接，建立Binder连接的过程可参阅前述实施例中第一种场景的相关说明；在建立Binder连接后，隔离进程则可以通过宿主进程访问MSDP服务并将访问结果发送给隔离进程，即完成IPC转调。

最终，隔离进程中的情景感知服务将活动识别快照所查询到的设备的运行状态信息，通过宿主进程返回给客户端。

本申请实施例无需获取安卓系统的root权限、无需修改安卓系统应用框架层和不可信应用程序源代码，为不可信应用程序构造了权限受控的运行环境，实现了对不可信应用程序所有通信行为的有效管理；并且，经过大量测试，不可信应用程序运行在隔离进程中的响应耗时与不在隔离进程中运行的响应耗时差别不大，所以本申请实施例可以保证这不可信应用程序的运行具有较高的性能效率。

如图8所示，本申请实施例还提供了一种管理不可信应用程序通信的装置的一个实施例，包括：

收发单元301，用于获取来自第二进程对于第一程序的第一请求，第一请求中携带至少一个请求参数，第一进程中运行有第一管理应用程序，第二进程中运行有不可信应用程序；

处理单元302，用于将至少一个请求参数中的第一通信句柄替换为第一管理应用程序的通信句柄；

收发单元301，用于向目标进程发送第二请求，第二请求中携带包含第一管理应用程序的通信句柄的至少一个请求参数，目标进程中运行有第一程序。

作为一种实现方式，第一请求包含于通信包裹中；处理单元302还用于基于存储标识位确定第一通信句柄在通信包裹中的存储位置信息，存储标识位用于标记通信包裹中目标存储区域的起始位置，目标存储区域用于存储第一通信句柄；基于存储位置信息获取第一通信句柄。

相应地，处理单元302还用于将第二进程对应的地址空间中作业应用管理服务的通信句柄替换为第一管理应用程序的通信句柄，以使得第二进程通过第一管理应用程序的通信句柄向第一进程发送第一请求。

作为一种实现方式，处理单元302还用于将不可信应用程序的通信句柄与第一管理应用程序的通信句柄关联。

相应地，收发单元301还用于通过第一管理应用程序的通信句柄接收来自第二进程对于第一程序的第一请求。

相应地，收发单元301还用于通过与第一管理应用程序的通信句柄关联的第一程序的通信句柄，向目标进程发送第二请求。

处理单元302还用于在第二进程对应的地址空间中的服务管理器中，添加用于代替第一程序的通信句柄的第一管理应用程序的通信句柄和第一程序的标识，以使得第二进程通过第一管理应用程序的通信句柄向第一进程发送第一请求，至少一个请求参数中还包含第一程序的标识。

作为一种实现方式，处理单元302还用于从第一进程对应的地址空间中的服务管理器中查询，第一程序的标识对应的第一程序的通信句柄；

收发单元301还用于通过第一程序的通信句柄向目标进程发送第二请求。

作为一种实现方式，收发单元301还用于接收来自目标进程的对于第二请求的第一响应，第一响应中携带至少一个响应参数。

处理单元302还用于将至少一个响应参数中的第二通信句柄替换为第一管理应用程序的通信句柄。

收发单元301还用于向第二进程发送对于第一请求的第二响应，第二响应中携带包含第一管理应用程序的通信句柄的至少一个响应参数。

相应地，处理单元302还用于第一进程将第一程序的通信句柄与第一管理应用程序的通信句柄关联。

作为一种实现方式，收发单元301还用于第一进程通过第一管理应用程序的通信句柄接收来自第二进程的第三请求，第三请求携带第二程序的标识和第二程序的应用程序接口API的标识；基于第三请求中第二程序的标识和第二程序的API的标识，访问第二程序的API。

作为一种实现方式，收发单元301还用于通过不可信应用程序的通信句柄向第二进程发送，第二程序的API的访问结果。

如图9所示，本申请实施例还提供了一种管理不可信应用程序通信的装置的一个实施例，包括：

处理单元401，用于从第二进程对应的地址空间中的服务管理器中查询第一程序的通信句柄，得到第一管理应用程序的通信句柄和第一程序的标识，第一程序为系统程序；

收发单元402，用于通过第一管理应用程序的通信句柄向第一进程发送第一请求，至少一个请求参数中还包含第一程序的标识。

作为一种实现方式，处理单元401还用于通过自定义类加载器在第二进程的地址空间中加载自定义类，自定义类的标识与第二程序的标识相同，自定义类的应用程序接口API的标识与第二程序的API的标识相同，自定义类的API用于使得第二进程通过第一管理应用程序的通信句柄向第一进程发送第三请求，第三请求携带第二程序的标识和第二程序的API的标识；当第二进程基于第二程序的标识以及第二程序的API的标识访问第二程序的API时，访问自定义类的API。

收发单元402还用于第二进程通过第一管理应用程序的通信句柄向第一进程发送第三请求。

本申请实施例还提供了另一种终端设备，如图10所示，为了便于说明，仅示出了与本申请实施例相关的部分，具体技术细节未揭示的，请参照本申请实施例方法部分。该终端可以为包括手机、平板电脑、个人数字助理(英文全称：Personal Digital Assistant，英文缩写：PDA)、销售终端(英文全称：Point of Sales，英文缩写：POS)、车载电脑等任意终端设备，以终端为手机为例：

图10示出的是与本申请实施例提供的终端相关的手机的部分结构的框图。参考图10，手机包括：射频(英文全称：Radio Frequency，英文缩写：RF)电路1010、存储器1020、输入单元1030、显示单元1040、传感器1050、音频电路1060、无线保真(英文全称：wireless fidelity，英文缩写：WiFi)模块1070、中央处理器CPU1080以及电源等部件。本领域技术人员可以理解，图10中示出的手机结构并不构成对手机的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图10对手机的各个构成部件进行具体的介绍：

RF电路1010可用于收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，给CPU1080处理；另外，将设计上行的数据发送给基站。通常，RF电路1010包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(英文全称：Low Noise Amplifier，英文缩写：LNA)、双工器等。此外，RF电路1010还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统(英文全称：Global System of Mobile communication，英文缩写：GSM)、通用分组无线服务(英文全称：General Packet Radio Service，GPRS)、码分多址(英文全称：Code Division Multiple Access，英文缩写：CDMA)、宽带码分多址(英文全称：Wideband Code Division Multiple Access,英文缩写：WCDMA)、长期演进(英文全称：Long Term Evolution，英文缩写：LTE)、电子邮件、短消息服务(英文全称：Short Messaging Service，SMS)等。

存储器1020可用于存储软件程序以及模块，CPU1080通过运行存储在存储器1020的软件程序以及模块，从而执行手机的各种功能应用以及数据处理。存储器1020可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器1020可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

输入单元1030可用于接收输入的数字或字符信息，以及产生与手机的用户设置以及功能控制有关的键信号输入。具体地，输入单元1030可包括触控面板1031以及其他输入设备1032。触控面板1031，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1031上或在触控面板1031附近的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触控面板1031可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给CPU1080，并能接收CPU1080发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1031。除了触控面板1031，输入单元1030还可以包括其他输入设备1032。具体地，其他输入设备1032可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元1040可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元1040可包括显示面板1041，可选的，可以采用液晶显示器(英文全称：Liquid Crystal Display，英文缩写：LCD)、有机发光二极管(英文全称：Organic Light-Emitting Diode，英文缩写：OLED)等形式来配置显示面板1041。进一步的，触控面板1031可覆盖显示面板1041，当触控面板1031检测到在其上或附近的触摸操作后，传送给CPU1080以确定触摸事件的类型，随后CPU1080根据触摸事件的类型在显示面板1041上提供相应的视觉输出。虽然在图10中，触控面板1031与显示面板1041是作为两个独立的部件来实现手机的输入和输入功能，但是在某些实施例中，可以将触控面板1031与显示面板1041集成而实现手机的输入和输出功能。

手机还可包括至少一种传感器1050，比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板1041的亮度，接近传感器可在手机移动到耳边时，关闭显示面板1041和/或背光。作为运动传感器的一种，加速计传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；至于手机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

音频电路1060、扬声器1061，传声器1062可提供用户与手机之间的音频接口。音频电路1060可将接收到的音频数据转换后的电信号，传输到扬声器1061，由扬声器1061转换为声音信号输出；另一方面，传声器1062将收集的声音信号转换为电信号，由音频电路1060接收后转换为音频数据，再将音频数据输出CPU1080处理后，经RF电路1010以发送给比如另一手机，或者将音频数据输出至存储器1020以便进一步处理。

WiFi属于短距离无线传输技术，手机通过WiFi模块1070可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图10示出了WiFi模块1070，但是可以理解的是，其并不属于手机的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

CPU1080是手机的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器1020内的软件程序和/或模块，以及调用存储在存储器1020内的数据，执行手机的各种功能和处理数据，从而对手机进行整体监控。可选的，CPU1080可包括一个或多个处理单元；优选的，CPU1080可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到CPU1080中。

手机还包括给各个部件供电的电源(比如电池)，优选的，电源可以通过电源管理系统与CPU1080逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。

尽管未示出，手机还可以包括摄像头、蓝牙模块等，在此不再赘述。

在本申请实施例中，该终端所包括的CPU1080中可以运行前述实施例中宿主进程和隔离进程。

本申请实施例还提供一种芯片，包括一个或多个处理器。所述处理器中的部分或全部用于读取并执行存储器中存储的计算机程序，以执行图4和图5对应的各实施例的方法。

本申请实施例还提供了一种计算机存储介质，该计算机存储介质用于储存为上述计算机设备所用的计算机软件指令，其包括用于执行为计算机设备所设计的程序。

该计算机设备可以包括前述图8和图9所描述的管理不可信应用程序通信的装置。

本申请实施例还提供了一种计算机程序产品，该计算机程序产品包括计算机软件指令，该计算机软件指令可通过处理器进行加载来实现前述图4或图5所示的方法中的流程。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

Claims

一种管理不可信应用程序通信的方法，其特征在于，包括：

第一进程获取来自第二进程对于第一程序的第一请求，所述第一请求中携带至少一个请求参数，所述第一进程中运行有第一管理应用程序，所述第二进程中运行有所述不可信应用程序；

所述第一进程将所述至少一个请求参数中的第一通信句柄替换为所述第一管理应用程序的通信句柄；

所述第一进程向目标进程发送对于所述第一程序的第二请求，所述第二请求中携带包含所述第一管理应用程序的通信句柄的所述至少一个请求参数，所述目标进程中运行有所述第一程序。
根据权利要求1所述的方法，其特征在于，所述第一请求包含于通信包裹中；

在所述第一进程获取来自所述第二进程对于第一程序的第一请求之后，在所述第一进程将所述至少一个请求参数中的第一通信句柄替换为所述第一管理应用程序的通信句柄之前，所述方法还包括：

所述第一进程基于存储标识位确定所述第一通信句柄在所述通信包裹中的存储位置信息，所述存储标识位用于标记所述通信包裹中目标存储区域的起始位置，所述目标存储区域用于存储所述第一通信句柄；

所述第一进程基于所述存储位置信息获取所述第一通信句柄。
根据权利要求1或2所述的方法，其特征在于，所述第一程序为第三方应用程序，所述第一请求用于请求所述第一程序的通信句柄，所述第二请求用于请求所述第一程序的通信句柄，所述第一通信句柄为所述不可信应用程序的通信句柄；

在所述第一进程获取来自所述第二进程对于第一程序的第一请求之前，所述方法还包括：

所述第一进程将所述第二进程对应的地址空间中应用管理服务的通信句柄替换为所述第一管理应用程序的通信句柄，以使得所述第二进程通过所述第一管理应用程序的通信句柄向所述第一进程发送所述第一请求。
根据权利要求3所述的方法，其特征在于，在所述第一进程获取来自所述第二进程对于第一程序的第一请求之后，所述方法还包括：

所述第一进程将所述不可信应用程序的通信句柄与所述第一管理应用程序的通信句柄关联。
根据权利要求1或2所述的方法，其特征在于，所述第一程序为第三方应用程序，所述第一请求用于访问所述第一程序，所述第二请求用于访问所述第一程序；

所述第二进程的地址空间中存储的所述第一程序的通信句柄为所述第一管理应用程序的通信句柄；

所述第一进程获取来自所述第二进程对于第一程序的第一请求包括：

所述第一进程通过所述第一管理应用程序的通信句柄接收来自所述第二进程对于第一程序的第一请求。
根据权利要求5所述的方法，其特征在于，所述第一进程的地址空间中存储有所述第一程序的通信句柄，且所述第一程序的通信句柄与所述第一管理应用程序的通信句柄关联；

所述第一进程向所述目标进程发送对于所述第一程序的第二请求包括：

所述第一进程通过与所述第一管理应用程序的通信句柄关联的所述第一程序的通信句柄，向所述目标进程发送所述第二请求。
根据权利要求1或2所述的方法，其特征在于，所述第一程序为系统程序，所述第一请求用于访问所述第一程序，所述第二请求用于访问所述第一程序；

在所述第一进程获取来自所述第二进程对于第一程序的第一请求之前，所述方法还包括：

所述第一进程在所述第二进程对应的地址空间中的服务管理器中，添加用于代替所述第一程序的通信句柄的所述第一管理应用程序的通信句柄和所述第一程序的标识，以使得所述第二进程通过所述第一管理应用程序的通信句柄向所述第一进程发送所述第一请求，所述至少一个请求参数中还包含所述第一程序的标识。
根据权利要求7所述的方法，其特征在于，在所述第一进程获取来自所述第二进程对于第一程序的第一请求之后，在所述第一进程向所述目标进程发送对于所述第一程序的第二请求之前，所述方法还包括：

所述第一进程从所述第一进程对应的地址空间中的服务管理器中查询，所述第一程序的标识对应的所述第一程序的通信句柄；

所述第一进程向所述目标进程发送第二请求包括：

所述第一进程通过所述第一程序的通信句柄向所述目标进程发送所述第二请求。
根据权利要求1至8中任意一项所述的方法，其特征在于，在所述第一进程向所述目标进程发送第二请求之后，所述方法还包括：

所述第一进程接收来自所述目标进程的对于所述第二请求的第一响应，所述第一响应中携带至少一个响应参数；

所述第一进程将所述至少一个响应参数中的所述第二通信句柄替换为所述第一管理应用程序的通信句柄；

所述第一进程向所述第二进程发送对于所述第一请求的第二响应，所述第二响应中携带包含所述第一管理应用程序的通信句柄的所述至少一个响应参数。
根据权利要求9所述的方法，其特征在于，所述第一程序为第三方应用程序，所述第一请求用于请求所述第一程序的通信句柄，所述第二请求用于请求所述第一程序的通信句柄，所述第二通信句柄为所述第一程序的通信句柄；

在所述第一进程接收来自所述目标进程的对于所述第二请求的第一响应之后，所述方法还包括：

所述第一进程将所述第一程序的通信句柄与所述第一管理应用程序的通信句柄关联。
根据权利要求1至10中任意一项所述的方法，其特征在于，所述方法还包括：

所述第一进程通过所述第一管理应用程序的通信句柄接收来自所述第二进程的所述第三请求，所述第三请求携带第二程序的标识和所述第二程序的应用程序接口的标识；

所述第一进程基于所述第三请求中所述第二程序的标识和所述第二程序的应用程序接口的标识，访问所述第二程序的应用程序接口。
根据权利要求11所述的方法，其特征在于，所述方法还包括：

所述第一进程通过所述不可信应用程序的通信句柄向所述第二进程发送，所述第二程序的应用程序接口的访问结果。
一种管理不可信应用程序通信的方法，其特征在于，包括：

第二进程从所述第二进程对应的地址空间中的服务管理器中查询第一程序的通信句柄，得到所述第一管理应用程序的通信句柄和所述第一程序的标识，所述第二进程中运行有所述不可信应用程序，所述第一程序为系统程序；

所述第二进程通过所述第一管理应用程序的通信句柄向第一进程发送所述第一请求，所述第一请求用于访问所述第一程序，所述至少一个请求参数中还包含所述第一程序的标识，所述第一进程中运行有第一管理应用程序。
根据权利要求13所述的方法，其特征在于，所述方法还包括：

所述第二进程通过自定义类加载器在所述第二进程的地址空间中加载自定义类，所述自定义类的标识与第二程序的标识相同，所述自定义类的应用程序接口的标识与所述第二程序的应用程序接口的标识相同，所述自定义类的应用程序接口用于使得所述第二进程通过所述第一管理应用程序的通信句柄向所述第一进程发送所述第三请求，所述第三请求携带第二程序的标识和所述第二程序的应用程序接口的标识；

当所述第二进程基于所述第二程序的标识以及所述第二程序的应用程序接口的标识访问所述第二程序的应用程序接口时，所述第二进程访问所述自定义类的应用程序接口；

所述第二进程通过所述第一管理应用程序的通信句柄向所述第一进程发送所述第三请求。
一种管理不可信应用程序通信的装置，其特征在于，包括：

收发单元，用于获取来自所述第二进程对于第一程序的第一请求，所述第一请求中携带至少一个请求参数，所述第一进程中运行有第一管理应用程序，所述第二进程中运行有所述不可信应用程序；

处理单元，用于将所述至少一个请求参数中的所述第一通信句柄替换为所述第一管理应用程序的通信句柄；

收发单元，用于向所述目标进程发送第二请求，所述第二请求中携带包含所述第一管理应用程序的通信句柄的所述至少一个请求参数，所述目标进程中运行有所述第一程序。
一种管理不可信应用程序通信的装置，其特征在于，包括：

处理单元，用于从所述第二进程对应的地址空间中的服务管理器中查询第一程序的通信句柄，得到所述第一管理应用程序的通信句柄和所述第一程序的标识，所述第二进程中运行有所述不可信应用程序，所述第一程序为系统程序；

收发单元，用于通过所述第一管理应用程序的通信句柄向第一进程发送所述第一请求，所述至少一个请求参数中还包含所述第一程序的标识，所述第一进程中运行有第一管理应用程序。
一种终端设备，其特征在于，包括：一个或多个处理器和存储器；其中，所述存储器中存储有计算机可读指令；

所述一个或多个处理器读取所述计算机可读指令，以使所述计算机设备实现如权利要求1至14中任一项所述的方法。
一种计算机可读存储介质，其特征在于，包括计算机可读指令，当所述计算机可读指令在计算机上运行时，使得所述计算机执行如权利要求1至14中任一项所述的方法。
一种计算机程序产品，其特征在于，包括计算机可读指令，当所述计算机可读指令在计算机上运行时，使得所述计算机执行如权利要求1至14中任一项所述的方法。