CN107437021A - 智能***操作方法、装置及终端设备 - Google Patents
智能***操作方法、装置及终端设备 Download PDFInfo
- Publication number
- CN107437021A CN107437021A CN201710680322.9A CN201710680322A CN107437021A CN 107437021 A CN107437021 A CN 107437021A CN 201710680322 A CN201710680322 A CN 201710680322A CN 107437021 A CN107437021 A CN 107437021A
- Authority
- CN
- China
- Prior art keywords
- containment system
- pattern
- containment
- management service
- container
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000006378 damage Effects 0.000 claims description 13
- 238000011017 operating method Methods 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 abstract description 7
- 238000012545 processing Methods 0.000 abstract description 3
- 230000003993 interaction Effects 0.000 abstract 1
- 230000008569 process Effects 0.000 description 12
- 230000006854 communication Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000007792 addition Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000007858 starting material Substances 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本发明实施例提供了一种智能***操作方法、装置及终端设备,其中,一种智能***操作方法包括:在执行任一操作时,通过模式监控将中央处理器CPU由一般模式切换至特别模式;在所述特别模式下运行容器管理服务,并通过所述容器管理服务对所述任一操作进行相应鉴权;在鉴权通过后,执行所述任一操作。本发明所提供的方法,在执行任一操作时,通过特别模式下的容器管理服务进行相应鉴权即可,一方面,有效避免了在执行上述任一操作时容器***与主控层***的交互,另一方面,极大减小了受攻击面,大大降低主控层***的安全风险,增加***安全性。
Description
技术领域
本发明涉及终端设备技术领域,具体而言,本发明涉及一种智能***操作方法、装置及终端设备。
背景技术
随着技术的高速发展,智能终端已经成为必不可少的通信产品,功能强大、用户体验丰富的智能终端为人们的生活带来了极大的便利,现有的单操作***的智能终端已经不能满足人们的需要,具有双操作***甚至三个操作***的终端设备已经应运而生。
目前,基于Linux内核***的多操作***终端设备,多个操作***之间相互独立,并在每个操作***中导入不同的安全策略,以保证用户在该***中操作应用程序的安全性。通常,多操作***中的一个***会被作为终端设备的主控***,以通过该主控***对其它从属操作***进行管理、控制等,例如对从属操作***的前后台管理,与各从属操作***之间进行交互、通信等。
然而,在上述方案中,若主控***被攻破,相应的从属操作***均将面临被攻破的极大风险,极大增加了操作***的安全风险,若从属操作***被攻破,也将导致与之存在交互、通信的主控***存在被攻击面,致使***安全性不高。
发明内容
为克服上述技术问题或至少部分地解决上述技术问题,特提出以下技术方案:
本发明的实施例提供了一种智能***操作方法,包括:
在执行任一操作时,通过模式监控将中央处理器CPU由一般模式切换至特别模式;
在所述特别模式下运行容器管理服务,并通过所述容器管理服务对所述任一操作进行相应鉴权;
在鉴权通过后,执行所述任一操作。
优选地,在执行任一操作时,通过模式监控将CPU由一般模式切换至特别模式的步骤之前,还包括:
通过特别模式下的容器管理服务进行相应的容器相关配置;
其中,所述容器相关配置包括以下至少一项:
创建容器***的初始化配置、容器***前后台切换配置、容器***的销毁配置、容器***访问硬件资源配置。
优选地,在鉴权通过后,执行所述任一操作的步骤之后,还包括:
通过模式监控将CPU由特别模式切换至一般模式。
优选地,所述任一操作包括以下至少一项:
容器***创建;容器***前后台切换;容器***销毁;容器***访问硬件资源。
优选地,所述在鉴权通过后,执行所述任一操作的步骤,包括以下至少一种情形:
为待创建的容器***新增相应的容器***权限;
为待销毁的容器***取消相应的容器***权限;
为当前处于后台的容器***新增前台***权限,并取消当前处于前台的容器***的前台***权限;
为申请访问硬件资源的容器***新增相应的硬件资源访问权限。
本发明的又一实施例提供了一种智能***操作装置,包括:
切换模块,用于在执行任一操作时,通过模式监控将中央处理器CPU由一般模式切换至特别模式;
鉴权模块,用于在所述特别模式下运行容器管理服务,并通过所述容器管理服务对所述任一操作进行相应鉴权;
执行模块,用于在鉴权通过之后,执行所述任一操作。
优选地,还包括:配置模块;
所述配置模块,用于通过特别模式下的容器管理服务进行相应的容器相关配置;
其中,所述容器相关配置包括以下至少一项:
创建容器***的初始化配置、容器***前后台切换配置、容器***的销毁配置、容器***访问硬件资源配置。
优选地,切换模块还用于在执行模块执行所述任一操作之后,通过模式监控将CPU由特别模式切换至一般模式。
优选地,所述任一操作包括以下至少一项:
容器***创建;容器***前后台切换;容器***销毁;容器***访问硬件资源。
优选地,所述执行模块具体用于以下至少一种情形:
为待创建的容器***新增相应的容器***权限;
为待销毁的容器***取消相应的容器***权限;
为当前处于后台的容器***新增前台***权限,并取消当前处于前台的容器***的前台***权限;
为申请访问硬件资源的容器***新增相应的硬件资源访问权限。
本发明的另一实施例提供了一种终端设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述智能***操作方法。
本发明实施例提供了一种智能***操作方法,基于终端设备的CPU在运行状态下的内部架构(ARMv8-a架构或TrustZone),内核在进行容器***创建、容器***前后台切换、容器***销毁或容器***访问硬件资源等操作时,均通过模式监控将CPU由一般模式切换至特别模式,为后续通过特别模式下的容器管理服务即可完成上述任一操作提供了前提保证,在特别模式下运行容器管理服务,并通过容器管理服务对上述任一操作进行相应鉴权,通过鉴权过程确保了后续执行上述任一操作的安全性与可靠性,在鉴权通过后,执行上述任一操作,即可完成相应的容器***创建、容器***前后台切换、容器***销毁或容器***访问硬件资源等操作,从而无需借助于主控层的主控***,也不存在主控***与容器***交互的情况,有效避免了任一容器***被攻击而导致其它容器***或主控***被攻击的情况,极大降低了安全风险,增加了***安全性。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例的终端设备运行状态下的CPU架构图;
图2为本发明实施例的智能***操作方法的流程示意图;
图3为本发明另一实施例的智能***操作装置的结构示意图;
图4为本发明又一实施例的智能***操作装置的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,进行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communications Service,个人通信***),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位***)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
本发明实施例的终端设备的中央处理器CPU基于ARMv8-a的架构,也即基于可信环境区域TrustZone,其在运行状态下的内部架构如图1所示,包括:一般模式和特别模式。
其中,一般模式即传统ARM体系结构中的用户模式,其有3个异常级别,分别是EL0(对应于用户模式的应用程序),EL1(对应于客户操作***)和EL2(对应于虚拟机管理器);特别模式即传统ARM体系结构中的安全模式,其如果不支持虚拟化,也有3个异常级别,分别是EL0(对应于可信服务,即图中的安全固件),EL1(对应于可信操作***内核,即图中的可信操作***)和EL3(对应于安全监控器)。一般模式和特别模式有各自独立的MMU(MemoryManagerment Unit,内存管理单元),通过独立的MMU可以从硬件上控制两者之间的内存访问,而且特别模式相对于一般模式更安全,可以用来执行与一般模式的应用程序隔离的安全应用程序,也可以用于存储和运行安全代码,例如运行数字权限管理引擎、付款代理或存储密钥等敏感数据。
需要说明的是,本发明实施例中的终端设备的内核,正是基于上述图1所示的CPU运行状态下的内部架构(TrustZone),实现了本发明实施例的相关技术方案,其中,本发明实施例中的内核与CPU运行状态下的内部架构中的安全操作***是相互独立的,没有直接的关系,也即内核并不知道关于安全操作***的存在,只是内核在执行任一操作时,相关程序会控制内核由一般模式切换到特别模式下。
本发明实施例提供了一种智能***操作方法,如图2所示,该方法包括:
步骤210,在执行任一操作时,通过模式监控将中央处理器CPU由一般模式切换至特别模式。
优选地,上述任一操作包括以下至少一项:容器***创建;容器***前后台切换;容器***销毁;容器***访问硬件资源。
其中,当上述任一操作为容器***创建时,例如容器***C的创建,在内核(kernel)启动完成之后,初始化(init)进程调用内核克隆kernel clone进程,创建容器***,其中,在内核克隆kernel clone进程的具体实现过程中,会通过设置断点、接口调用或函数调用等的形式,调用SMC(Secure Monitor Call,安全模式监控调用)指令,再通过SMC指令调用模式监控Monitor,并通过Monitor加载安全操作***,将CPU由一般模式切换到特别模式。
当上述任一操作为容器***前后台切换时,例如容器***A的某服务触发***切换,准备把容器***A切换到前台,***切换接口首先会调用SMC指令,再通过SMC指令调用模式监控Monitor,并通过Monitor加载安全操作***,将CPU由一般模式切换到特别模式。
当上述任一操作为容器***销毁时,例如销毁容器***A,若容器***为正常退出的销毁,则容器***会通过调用reboot接口以退出,具体的,修改kernel reboot接口,以在容器reboot接口流程的最后一步增加SMC指令,从而,当容器***调用reboot接口时,自然会调用SMC指令并通过SMC指令调用Monitor,再通过Monitor加载安全操作***,将CPU由一般模式切换到特别模式;若容器***为异常退出,例如容器***崩溃,则容器***会通过调用exit接口以退出,具体的,修改kernel exit接口,并在容器exit接口流程的最后一步增加检查,当该exit接口的进程为容器初始化(init)进程时,调用SMC指令并通过SMC指令调用Monitor,再通过Monitor加载安全操作***,将CPU由一般模式切换到特别模式。
当上述任一操作为容器***访问硬件资源时,例如容器***A的某服务申请访问硬件资源时,首先会通过调用SMC指令调用Monitor,再通过Monitor加载安全操作***,将CPU由一般模式切换到特别模式。
步骤220,在特别模式下运行容器管理服务,并通过容器管理服务对所述任一操作进行相应鉴权。
具体地说,当上述任一操作为容器***创建时,Monitor将CPU由一般模式切换到特别模式下的EL1以运行安全操作***,安全操作***运行容器管理服务,并通过容器管理服务对容器***创建操作进行相应鉴权,例如鉴权容器***C的创建是否合法。
当上述任一操作为容器***前后台切换时,Monitor将CPU由一般模式切换到特别模式下的EL0以运行容器管理服务,并通过容器管理服务对容器***前后台切换操作进行相应鉴权,例如鉴权容器***A的某服务是否可以触发***切换。
当上述任一操作为容器***销毁时,Monitor将CPU由一般模式切换到特别模式下的EL1以运行安全操作***,安全操作***运行容器管理服务,并通过容器管理服务对容器***销毁操作进行相应鉴权,例如鉴权容器***D的销毁是否合法。
当上述任一操作为容器***访问硬件资源时,Monitor将CPU由一般模式切换到特别模式下的EL0以运行容器管理服务,并通过容器管理服务对容器***访问硬件资源的操作进行相应鉴权,例如鉴权容器***A的某服务是否可以访问硬件资源。
步骤230,在鉴权通过后,执行任一操作。
优选地,在鉴权通过后,执行任一操作的步骤,包括以下至少一种情形:为待创建的容器***新增相应的容器***权限;为待销毁的容器***取消相应的容器***权限;为当前处于后台的容器***新增前台***权限,并取消当前处于前台的容器***的前台***权限;为申请访问硬件资源的容器***新增相应的硬件资源访问权限。
具体地说,当上述任一操作为容器***创建时,在鉴权容器***创建合法后,为待创建的容器***,例如为待创建的容器***C新增相应的容器***权限,即给予待创建的容器***C相应的、合理的权限。
当上述任一操作为容器***前后台切换时,在鉴权容器***前后台切换允许触发后,例如鉴权容器***A的某服务可以触发***切换后,为当前处于后台的容器***A添加前台***权限,例如显示、触摸、传感器等硬件权限,并为当前处于前台的容器***B去除前台***权限。
当上述任一操作为容器***销毁时,在鉴权容器***销毁合法后,清理该待销毁的容器***的相关配置及运行环境,即取消该待销毁的容器***D的相应的容器***权限。其中,若容器***为正常退出的销毁,则后续还需要根据容器***reboot传下来的参数及相关配置,决定下一步的策略,例如整个设备重启,或者仅仅通知其他容器服务;若容器***为异常退出的销毁,则后续还需要根据容器***crash相关配置,决定下一步的策略,例如整个设备重启,或者仅仅通知其他容器服务。
当上述任一操作为容器***访问硬件资源时,在鉴权容器***能够访问硬件资源后,例如鉴权容器***A的某服务可以访问硬件资源,为申请访问硬件资源的容器***A新增相应的硬件资源访问权限。
本发明实施例提供了一种智能***操作方法,与现有技术相比,基于终端设备的CPU在运行状态下的内部架构(ARMv8-a架构),内核在进行容器***创建、容器***前后台切换、容器***销毁或容器***访问硬件资源等操作时,均通过模式监控将CPU由一般模式切换至特别模式,为后续通过特别模式下的容器管理服务即可完成上述任一操作提供了前提保证,在特别模式下运行容器管理服务,并通过容器管理服务对上述任一操作进行相应鉴权,通过鉴权过程确保了后续执行上述任一操作的安全性与可靠性,在鉴权通过后,执行上述任一操作,即可完成相应的容器***创建、容器***前后台切换、容器***销毁或容器***访问硬件资源等操作,从而无需借助于主控层的主控***,也不存在主控***与容器***交互的情况,有效避免了任一容器***被攻击而导致其它容器***或主控***被攻击的情况,极大降低了安全风险,增加了***安全性。
本发明的又一优选实施例,在图2的基础上,该方法还包括步骤200,步骤200:通过特别模式下的容器管理服务进行相应的容器相关配置;其中,容器相关配置包括以下至少一项:创建容器***的初始化配置、容器***前后台切换配置、容器***的销毁配置、容器***访问硬件资源配置。
优选地,在步骤210之前,还包括步骤200:通过特别模式下的容器管理服务进行相应的容器相关配置,例如:创建容器***的初始化配置、容器***前后台切换配置、容器***的销毁配置、容器***访问硬件资源配置等。
具体地说,由于容器***的实现仍是采用linux内核命名空间技术,并且容器管理服务运行在特别模式下,于是,在引导程序Bootloader完成CPU和相关硬件的初始化后,将硬盘或内存中的操作***内核加载到内存中后,控制CPU进入到特别模式下的EL3的特别模式监控,特别模式监控的模式监控Monitor加载安全操作***,从而将CPU由一般模式切换到特别模式下并运行安全操作***,安全操作***再运行容器管理服务,初始化容器相关配置,例如,创建容器***的初始化配置、容器***前后台切换配置、容器***的销毁配置、容器***访问硬件资源配置等。在容器管理服务完成初始化容器相关配置后,将CPU切换到特别模式监控,再从特别模式监控切换到一般模式下的EL1以运行内核。
本发明实施例在加载内核时,通过将CPU切换到特别模式下,预先对特别模式下的容器管理服务进行相应的容器相关配置,从而为后续基于容器管理服务进行容器***创建、容器***前后台切换、容器***销毁或容器***访问硬件资源等操作提供了必要的前提保障。
本发明的又一优选实施例,在图2的基础上,该方法还包括步骤240,步骤240:通过模式监控将CPU由特别模式切换至一般模式。
优选地,在步骤230的在鉴权通过后,执行任一操作之后,还包括:通过模式监控将CPU由特别模式切换至一般模式。
具体地说,由于在执行上述任一操作时,相当于通过断点的形式由一般模式切换到特别模式,并通过特别模式下的容器管理服务进行鉴权并执行上述任一操作,因此,当容器管理服务完成相关工作后,需要退出断点,即再由特别模式再切换回一般模式,完成后续的相关流程。
其中,当上述任一操作为容器***创建时,在为待创建的容器***新增相应的容器***权限之后,再通过Monitor让CPU返回至一般模式下继续后续的容器***创建流程,即linux下的标准的容器***创建过程,与现有技术相同,在此不再赘述,此时,该内核克隆进程就转化为容器***的初始化进程,由该初始化进程引导后续的容器***启动,从而完成一个容器***的启动。
当上述任一操作为容器***前后台切换时,在为当前处于后台的容器***新增前台***权限,并取消当前处于前台的容器***的前台***权限之后,通过SMC指令让CPU返回到一般模式下的EL0,这样***切换接口返回成功,容器***前后台切换完成,即将容器***A切换到前台,将容器***B切换至后台。
当上述任一操作为容器***销毁时,在为待销毁的容器***取消相应的容器***权限之后,通过SMC指令让CPU返回到一般模式下的EL0,从而彻底完成容器***销毁。
当上述任一操作为容器***访问硬件资源时,在为申请访问硬件资源的容器***新增相应的硬件资源访问权限之后,通过SMC指令让CPU切换至一般模式下的EL0,继续运行容器***的相关服务、访问硬件资源。
本发明实施例,在容器管理服务完成相关工作后,将CPU由特别模式切换至一般模式,从而继续后续的相关操作流程,实现容器***创建、容器***前后台切换、容器***销毁、容器***访问硬件资源等在实际情况下的面向用户的具体应用。
本发明实施例提供了一种智能***操作装置,如图3所示,该装置包括切换模块31、鉴权模块32与执行模块33。
切换模块31,用于在执行任一操作时,通过模式监控将中央处理器CPU由一般模式切换至特别模式。
鉴权模块32,用于在特别模式下运行容器管理服务,并通过容器管理服务对任一操作进行相应鉴权。
执行模块33,用于在鉴权通过之后,执行任一操作。
具体地说,切换模块31中的任一操作包括以下至少一项:容器***创建;容器***前后台切换;容器***销毁;容器***访问硬件资源。执行模块33具体用于以下至少一种情形:为待创建的容器***新增相应的容器***权限;为待销毁的容器***取消相应的容器***权限;为当前处于后台的容器***新增前台***权限,并取消当前处于前台的容器***的前台***权限;为申请访问硬件资源的容器***新增相应的硬件资源访问权限。
本发明实施例提供了一种多***间应用程序的启动装置,与现有技术相比,基于终端设备的CPU在运行状态下的内部架构(ARMv8-a架构),内核在进行容器***创建、容器***前后台切换、容器***销毁或容器***访问硬件资源等操作时,均通过模式监控将CPU由一般模式切换至特别模式,为后续通过特别模式下的容器管理服务即可完成上述任一操作提供了前提保证,在特别模式下运行容器管理服务,并通过容器管理服务对上述任一操作进行相应鉴权,通过鉴权过程确保了后续执行上述任一操作的安全性与可靠性,在鉴权通过后,执行上述任一操作,即可完成相应的容器***创建、容器***前后台切换、容器***销毁或容器***访问硬件资源等操作,从而无需借助于主控层的主控***,也不存在主控***与容器***交互的情况,有效避免了任一容器***被攻击而导致其它容器***或主控***被攻击的情况,极大降低了安全风险,增加了***安全性。
优选地,如图4所示,该装置还包括:配置模块30。
具体地说,配置模块30用于通过特别模式下的容器管理服务进行相应的容器相关配置;其中,容器相关配置包括以下至少一项:创建容器***的初始化配置、容器***前后台切换配置、容器***的销毁配置、容器***访问硬件资源配置。同时,切换模块31,还用于在执行模块执行任一操作之后,通过模式监控将CPU由特别模式切换至一般模式。
本发明的另一实施例提供了一种终端设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,处理器执行程序时实现上述任一实施例的智能***操作方法。
本技术领域技术人员可以理解,本发明包括涉及用于执行本申请中所述操作中的一项或多项的设备。这些设备可以为所需的目的而专门设计和制造,或者也可以包括通用计算机中的已知设备。这些设备具有存储在其内的计算机程序,这些计算机程序选择性地激活或重构。这样的计算机程序可以被存储在设备(例如,计算机)可读介质中或者存储在适于存储电子指令并分别耦联到总线的任何类型的介质中,所述计算机可读介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(Random Access Memory,随即存储器)、EPROM(Erasable ProgrammableRead-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically ErasableProgrammable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
本技术领域技术人员可以理解,可以用计算机程序指令来实现这些结构图和/或框图和/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。本技术领域技术人员可以理解,可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来实现,从而通过计算机或其他可编程数据处理方法的处理器来执行本发明公开的结构图和/或框图和/或流图的框或多个框中指定的方案。
本技术领域技术人员可以理解,本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地,具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地,现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种智能***操作方法,其特征在于,包括:
在执行任一操作时,通过模式监控将中央处理器CPU由一般模式切换至特别模式;
在所述特别模式下运行容器管理服务,并通过所述容器管理服务对所述任一操作进行相应鉴权;
在鉴权通过后,执行所述任一操作。
2.根据权利要求1所述的方法,其特征在于,在执行任一操作时,通过模式监控将CPU由一般模式切换至特别模式的步骤之前,还包括:
通过特别模式下的容器管理服务进行相应的容器相关配置;
其中,所述容器相关配置包括以下至少一项:
创建容器***的初始化配置、容器***前后台切换配置、容器***的销毁配置、容器***访问硬件资源配置。
3.根据权利要求1或2所述的方法,其特征在于,在鉴权通过后,执行所述任一操作的步骤之后,还包括:
通过模式监控将CPU由特别模式切换至一般模式。
4.根据权利要求1或2所述的方法,其特征在于,所述任一操作包括以下至少一项:
容器***创建;容器***前后台切换;容器***销毁;容器***访问硬件资源。
5.根据权利要求4所述的方法,其特征在于,所述在鉴权通过后,执行所述任一操作的步骤,包括以下至少一种情形:
为待创建的容器***新增相应的容器***权限;
为待销毁的容器***取消相应的容器***权限;
为当前处于后台的容器***新增前台***权限,并取消当前处于前台的容器***的前台***权限;
为申请访问硬件资源的容器***新增相应的硬件资源访问权限。
6.一种智能***操作装置,其特征在于,包括:
切换模块,用于在执行任一操作时,通过模式监控将中央处理器CPU由一般模式切换至特别模式;
鉴权模块,用于在所述特别模式下运行容器管理服务,并通过所述容器管理服务对所述任一操作进行相应鉴权;
执行模块,用于在鉴权通过之后,执行所述任一操作。
7.根据权利要求6所述的装置,其特征在于,还包括:配置模块;
所述配置模块,用于通过特别模式下的容器管理服务进行相应的容器相关配置;
其中,所述容器相关配置包括以下至少一项:
创建容器***的初始化配置、容器***前后台切换配置、容器***的销毁配置、容器***访问硬件资源配置。
8.根据权利要求6或7所述的装置,其特征在于,所述切换模块还用于在执行模块执行所述任一操作之后,通过模式监控将CPU由特别模式切换至一般模式。
9.根据权利要求6或7所述的装置,其特征在于,所述任一操作包括以下至少一项:
容器***创建;容器***前后台切换;容器***销毁;容器***访问硬件资源。
10.一种终端设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-5任一项所述的智能***操作方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710680322.9A CN107437021B (zh) | 2017-08-10 | 2017-08-10 | 智能***操作方法、装置及终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710680322.9A CN107437021B (zh) | 2017-08-10 | 2017-08-10 | 智能***操作方法、装置及终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107437021A true CN107437021A (zh) | 2017-12-05 |
| CN107437021B CN107437021B (zh) | 2020-11-17 |
Family
ID=60461429
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710680322.9A Active CN107437021B (zh) | 2017-08-10 | 2017-08-10 | 智能***操作方法、装置及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107437021B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997960A (zh) * | 2009-08-14 | 2011-03-30 | 黄金富 | 具高安全性可对抗黑客供网上银行使用的双操作***手机 |
| US20150052342A1 (en) * | 2013-08-13 | 2015-02-19 | Samsung Electronics Co., Ltd. | Method of identifying security and electronic device thereof |
| CN104462935A (zh) * | 2014-12-24 | 2015-03-25 | 宇龙计算机通信科技(深圳)有限公司 | 多操作***中应用程序的安全验证方法及终端 |
| CN105825149A (zh) * | 2015-09-30 | 2016-08-03 | 维沃移动通信有限公司 | 一种多操作***间的切换方法及终端设备 |
| CN106778110A (zh) * | 2016-11-29 | 2017-05-31 | 北京元心科技有限公司 | 多***中对应用程序鉴权的方法及装置 |
-
2017
- 2017-08-10 CN CN201710680322.9A patent/CN107437021B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997960A (zh) * | 2009-08-14 | 2011-03-30 | 黄金富 | 具高安全性可对抗黑客供网上银行使用的双操作***手机 |
| US20150052342A1 (en) * | 2013-08-13 | 2015-02-19 | Samsung Electronics Co., Ltd. | Method of identifying security and electronic device thereof |
| CN104462935A (zh) * | 2014-12-24 | 2015-03-25 | 宇龙计算机通信科技(深圳)有限公司 | 多操作***中应用程序的安全验证方法及终端 |
| CN105825149A (zh) * | 2015-09-30 | 2016-08-03 | 维沃移动通信有限公司 | 一种多操作***间的切换方法及终端设备 |
| CN106778110A (zh) * | 2016-11-29 | 2017-05-31 | 北京元心科技有限公司 | 多***中对应用程序鉴权的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107437021B (zh) | 2020-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109086100B (zh) | 一种高安全可信移动终端安全体系架构及安全服务方法 | |
| US8146073B2 (en) | Updating software while it is running | |
| AU2019291421A1 (en) | Method and apparatus for implementing multiprocessing on tee, and system | |
| CN106778291B (zh) | 应用程序的隔离方法及隔离装置 | |
| CN109522754A (zh) | 一种移动终端可信隔离环境核心控制方法 | |
| CN105138896B (zh) | 智能终端及其硬件设备访问权限控制方法 | |
| CN104754043B (zh) | 一种终端升级方法及装置 | |
| CN102663318A (zh) | 浏览器及客户端 | |
| US8897929B2 (en) | Method and device for protecting software commands in an aircraft cockpit | |
| CN105046156A (zh) | 智能终端及其设备访问权限控制方法 | |
| CN106534148A (zh) | 应用的访问管控方法及装置 | |
| CN111859395B (zh) | 具备tee扩展的计算平台上的通信优化方法及*** | |
| CN109214215B (zh) | 基于tee和ree的分离式切换方法及其*** | |
| CN108365994B (zh) | 一种针对云计算安全统一管理的云安全管理平台 | |
| CN108549812A (zh) | 基于Trustzone的安全隔离方法、安全隔离装置及车载终端 | |
| WO2011106079A1 (en) | Hot deployment of software | |
| CN104598841B (zh) | 一种面向终端安全的双***引导方法和装置 | |
| CN106453413B (zh) | 在多***中应用SELinux安全策略的方法及装置 | |
| CN107291336A (zh) | 多***间应用程序的启动方法、装置及终端设备 | |
| CN106022128A (zh) | 用于检测进程访问权限的方法、装置及移动终端 | |
| CN113868636A (zh) | 内核和任务隔离的方法和装置 | |
| CN105404558B (zh) | 多***中事件处理的方法及装置 | |
| CN108090376B (zh) | 基于TrustZone的CAN总线数据防护方法及*** | |
| CN102122330A (zh) | 基于虚拟机的“In-VM”恶意代码检测*** | |
| KR102177407B1 (ko) | 가상화를 이용한 차량용 avn 시스템 및 그 작동 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210202 Address after: 100080 room 401-3, 4th floor, building 1, yard 1, Danling street, Haidian District, Beijing Patentee after: Beijing Yuanxin Junsheng Technology Co.,Ltd. Address before: 100176 room 2222, building D, building 33, 99 Kechuang 14th Street, Beijing Economic and Technological Development Zone, Beijing Patentee before: BEIJING YUANXIN SCIENCE & TECHNOLOGY Co.,Ltd. |
|
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20171205 Assignee: Yuanxin Information Technology Group Co.,Ltd. Assignor: Beijing Yuanxin Junsheng Technology Co.,Ltd. Contract record no.: X2021110000017 Denomination of invention: Intelligent system operation method, device and terminal equipment Granted publication date: 20201117 License type: Common License Record date: 20210531 |