[发明专利]基于内核内存共享的容器间通讯系统及方法

说明书

本发明涉及基于内核内存共享的容器间通讯系统及方法，所述系统包括内核层和用户层，其中，内核层通过其内设置的Lxczone驱动模块与用户层的授权认证模块连接；所述授权认证模块用于在安全容器与通用容器间进行数据传输时进行数据加密，或用于在安全容器与通用容器间进行系统切换或应用迁移时进行授权认证，从而防止数据泄漏。所述方法包括安全容器在经过授权认证模块授权认证通过后，向通用容器进行系统切换或应用迁移；或在进行数据加密的情况下，与通用容器进行数据传输。本发明实现了宿主系统内系统切换、数据传输及应用迁移操作时的安全性、一致性及完整性。

技术领域

本发明涉及计算机安全技术领域，具体涉及一种基于内核内存共享的容器间通讯系统及方法。

背景技术

由于Android系统的开放性和功能性，越来越多的用户为了满足不同的应用需求，提出了在一台手机上的设置不同安全等级的两个或多个Android操作系统平台，如一个平台用于生活、另一个平台用于工作。这样一方面可以保护用户隐私，一方面将公私应用分开。

同时，随着虚拟化技术的快速发展，和Android系统的硬件系统的不断升级，市场上出现了越来越多的双系统Android手机。但是世面上现有的双系统手机有很多出现了系统切换慢或致崩溃、双系统间数据迁移时效率低、系统间数据迁移时不能对数据进行加密及授权等安全隐患的问题。

bridge模式是docker默认的，也是开发者最常使用的网络模式。在这种模式下，docker为容器创建独立的网络栈，保证容器内的进程使用独立的网络环境，实现容器之间、容器与宿主机之间的网络栈隔离。同时，通过宿主机上的docker0网桥，容器可以与宿主机乃至外界进行网络通信。

图1为现有的docker bridge的网络模式示意图，其中，Docker Container可表示手机系统，如图1所示：容器从原理上是可以与宿主机乃至外界的其他机器通信的。同一宿主机上，容器之间都是连接到docker0这个网桥上的，它可以作为虚拟交换机使容器可以相互通信。并且为了使外界可以访问容器中的进程，docker采用了端口绑定的方式，也就是通过iptables的NAT，将宿主机上的端口流量转发到容器内的端口上。

然而，此种方法存在以下几个方面的弊端：

1、bridge模式的容器与外界通信时，必定占用宿主机上的端口，从而与宿主机竞争端口资源，对宿主机端口的管理会是一个比较大的问题。

2、由于容器与外界通信是基于三层上iptables NAT，性能和效率上的损耗是可以预见的。

3、通过TCP网络通信在容器、宿主OS间传输数据，有很大的安全隐患，没有对传输数据做安全验证。

4、容器连接在主机网络中可能引起安全问题。

发明内容

为解决现有技术的不足，本发明提供了一种基于内核内存共享的容器间通讯系统，包括内核层和用户层，其中，内核层通过其内设置的Lxczone驱动模块与用户层的授权认证模块连接；所述授权认证模块用于在安全容器与通用容器间进行数据传输时进行数据加密，或用于在安全容器与通用容器间进行系统切换或应用迁移时进行授权认证，从而防止数据泄漏。

其中，安全容器与通用容器间进行数据传输时，所述授权认证模块将通过其中的数据编码为密文数据。

其中，安全容器与通用容器间进行系统切换或应用迁移时，所述授权认证模块通过pin码、安全策略或指纹认证措施实现授权认证。

其中，Lxczone驱动模块通过向用户层暴露虚拟设备文件dev/lxczone建立与用户层的应用程序进程的通信通道。

其中，Lxczone驱动模块通过Lxczone ioctl函数与用户层的应用程序进程交换数据。