[发明专利]智能终端及其基于多级容器的应用程序运行方法

说明书

本发明实施例提供了智能终端及其基于多级容器的应用程序运行方法，所述方法包括：隔离系统的管理服务模块接收到应用程序的启动命令后，确定所述应用程序所属的域容器，并将所述启动命令转发至所述域容器；所述域容器中的应用启动服务模块根据所述启动命令，启动所述应用程序，并为所述应用程序单独创建容器。本发明实施例中，隔离系统中的每个应用程序可以在独立的容器中运行，即使单个应用程序被不安全信息侵入，该不安全信息也将被限制在运行该应用程序的容器内部，不会扩散到该隔离系统的其它部分，从而提升了隔离系统内部的安全性。

技术领域

本发明涉及操作系统技术领域，具体而言，本发明涉及一种智能终端及其基于多级容器的应用程序运行方法。

背景技术

随着社会和经济的发展，人们生活水平的提高，智能终端已经非常普及，随之而来的是智能终端的安全问题日益频发。为智能终端配置多个相互隔离的操作系统，成为解决智能终端的安全问题的发展方向之一。

目前，一种在智能终端中配置多隔离系统的方法包括：在主操作系统的基础上，利用Linux container(容器)虚拟化技术，创建若干个系统容器，在系统容器中安装并运行从操作系统。

多隔离系统中的主操作系统和各从操作系统，分别拥有各自独立的namespace(命名空间)。主操作系统的APP(APPlication，应用程序)与从操作系统的APP之间、以及两个从操作系统的APP之间，通常利用Linux namespace实现隔离。因此，主操作系统或者从操作系统都是隔离系统。

现有的基于单级容器(例如系统容器)的应用程序运行方法，通常是隔离系统中的APP在本隔离系统中运行。具体地，隔离系统中的APP通过本隔离系统的framework(框架)层的接口，向位于本隔离系统中底层的容器服务模块发送运行请求；容器服务模块在本隔离系统中运行该APP的进程。

然而，本发明的发明人发现，现有的基于单级容器的应用程序运行方法，对于同一隔离系统的内部不具备隔离效果。例如，对于同一隔离系统中的应用程序A和B，一旦应用程序A受到不安全信息的侵入，不安全信息可以通过该隔离系统中的容器服务模块感染运行中的应用程序B的进程，或者不安全信息可以通过该隔离系统中的framework层的接口感染应用程序B等等；从而造成不安全信息在隔离系统内部扩散，危害整个隔离系统的安全，可能会导致智能终端出现信息泄漏、故障等安全隐患。

因此，有必要提供一种智能终端及其基于多级容器的应用程序运行方法，以更进一步提高智能终端中系统的安全性。

发明内容

本发明针对现有的基于单级容器的应用程序运行方式的缺点，提出一种智能终端及其基于多级容器的应用程序运行方法，用以更进一步提高智能终端中系统的安全性。

本发明实施例根据一个方面，提供了一种智能终端的基于多级容器的应用程序运行方法，包括：

隔离系统的管理服务模块接收到应用程序的启动命令后，确定所述应用程序所属的域容器，并将所述启动命令转发至所述域容器；

所述域容器中的应用启动服务模块根据所述启动命令，启动所述应用程序，并为所述应用程序单独创建容器。

本发明实施例根据另一个方面，还提供了一种智能终端，包括：

隔离系统，其中安装有多个应用程序，并设置有多个域容器；

设置于所述隔离系统中的管理服务模块，用于接收到应用程序的启动命令后，确定所述应用程序所属的域容器，并将所述启动命令转发至所述域容器；

设置于所述域容器中的应用启动服务模块，用于根据所述启动命令，启动所述应用程序，并为所述应用程序单独创建容器。