本發明涉及基于Docker容器的移動端雙系統實現系統及方法，所述系統包括相互連接的內核層及應用程序層，其中，應用程序層包括Docker模塊以及Docker模塊根據Docker創建的多個容器，所述內核層包括LSM模塊，所述LSM模塊用于對多個容器內的進程進行訪問控制。本發明提供的基于Docker容器的移動端雙系統實現系統及方法，可有效阻止Docker容器進程對宿主機中沒有被隔離文件資源的訪問，完善了Docker容器與宿主機之間的訪問控制機制，可滿足多元場景的實用性及移動端的安全性，同時又可以省去多個移動端切換使用的復雜性。

技術領域

本發明涉及計算機安全技術領域，具體涉及一種基于Docker容器的移動端雙系統實現系統及方法。

背景技術

隨著科技水平的發展，移動智能終端和移動互聯網也得到了充分的進步，搭載主流移動操作系統(IOS、Android)的移動智能終端數量呈現爆炸式增長。其中，由于Android手機有著相對優勢的性價比，在市場中占有很大的比重，與此同時，Android應用為了滿足用戶的需求也呈現出爆炸式增長的趨勢。如今，很多的人士由于業務的需要，往往需要攜帶兩部或者以上的手機來適應不同的場景，比如生活和工作相分離的場景，對于一些特殊的人群(保密人員、公務員)等就一定需要考慮到安全的問題。雖然Android原生系統從底層內核到上層app應用添加了多種安全措施，確保手機系統的安全性，但是還依然存在著安全問題，比如Linux內核的攻擊，對上層app應用的攻擊。隨著惡意程序的增多，用戶的隱私及數據會受到很大的威脅。

虛擬化技術是對系統硬件資源進行抽象化并進行管理，然后向上層提供統一的接口，加入虛擬化技術后，系統間的硬件的差異化就被透明化了，比如，當選擇一種操作系統時就可以不用關心底層硬件的處理器指令集。虛擬化技術的引入，慢慢解決了系統中軟硬件緊密耦合的關系，可以在同一個物理機上能夠同時運行多個操作系統實例，使得系統能夠充分利用硬件資源。

目前，虛擬化技術解決方案可以在不同層次上實現，不同的實現方式和抽象層次對應的虛擬化有不同特性。按實現的技術不同，虛擬化可以分為指令級虛擬化、硬件級虛擬化、操作系統級虛擬化以及編程語言級虛擬化4種。

指令級虛擬化是通過軟件模擬出客戶機操作系統運行所必需的物理硬件的方法，可以稱采用這種虛擬技術的虛擬機為模擬器，其基本原理就是將客戶機運行所執行的指令與當前物理級的指令做映射。其優點就是其虛擬機層次結構簡單，魯棒性好，能夠使操作系統運行在不同的平臺上。缺點是效率低，實現過程復雜。

硬件級虛擬化是指運行在硬件之上的虛擬化技術，其客戶機操作系統運行的物理機硬件指令與真實的硬件的指令非常相似，因此，客戶虛擬機運行時會使用本地的硬件資源，它的管理軟件就是hypervisor或virtual machine monitor，它模擬出的是一個完整的操作系統，也就是常見的基于Hyper-V的虛擬化技術，VMware、Xen、VirtualBox、amason AWS及阿里云使用的就是這種技術。硬件級虛擬化技術的優點是實現結構簡單，運行效率高。但是，其缺點是其所虛擬的硬件體系平臺有限，而且需要底層具體硬件支持，對于手機而言，由于其硬件資源有限，如果在物理機上虛擬出一個系統，反而會使其整體運行效率變低，達不到預期效果。

操作系統級虛擬化不同于指令級虛擬化和硬件級虛擬化，操作系統級虛擬化不用創建出虛擬機，而是在一個操作系統上創建出可以供多個應用程序運行的獨立環境。其本質就是共享同一個操作系統，操作系統之上的虛擬層按照每個虛擬機的需求為其生成一個運行在物理機器之上的操作系統副本，如果手機硬件資源足夠的話，允許多個操作系統副本在一個操作系統鏡像的控制下隔離并發運行。通過劃分特定的權限，成為相互隔離的操作系統運行環境，供應用程序運行。

發明內容