[发明专利]应用程序权限控制方法、装置及电子设备

说明书

本发明提供了一种应用程序权限控制方法、装置及电子设备，涉及权限控制的技术领域，该方法包括读取并解析沙箱的运行参数和应用程序权限配置的元数据；根据运行参数初始化沙箱并创建沙箱进程；根据元数据创建命名空间进程；根据元数据在命名空间中创建临时文件系统；在命名空间中，根据临时文件系统创建应用程序进程并启动应用程序。本发明实施例通过读取并解析沙箱的运行参数和应用程序权限配置的元数据，初始化沙箱并创建沙箱进程、命名空间进程、临时文件系统、应用程序进程并启动应用程序，为应用程序运行构建一套上下文运行环境。

技术领域

本发明涉及权限控制技术领域，尤其是涉及一种应用程序权限控制方法、装置及电子设备。

背景技术

基于容器技术实现的应用程序权限控制的原理主要是综合使用当前Linux主流的容器技术，为每个应用程序构建各自独立的虚拟运行环境，通过资源隔离、资源限制、资源配额等策略对应用程序的权限进行控制。其中，最主要的是基于Linux容器的虚拟化技术，其原理主要是通过隔离操作系统内核对象来实现安全性的隔离。通过运用命名空间和访问控制等技术，可以将原来的系统全局对象隔离到完全不同的命名空间中。其中，不同虚拟机之间是完全不可见的，且不能访问到命名空间之外的对象，全局对象在每个容器内本地化。

Chroot(Change Root，改变根目录)工具可以修改进程的根目录，创建一个与宿主系统隔离的新的文件系统环境，实现应用程序权限控制。系统经过chroot之后执行的程序访问到的根目录及文件将不再是旧系统根目录，而是新的指定的根目录。当应用程序的根目录改变之后，它不能访问新的根目录之外的文件，实现文件的隔离访问。然而，chroot只是创建了一个文件访问隔离容器，该容器无法隔离诸如用户权能、系统调用、进程、网络接口等资源，没有为应用程序提供上下文运行环境。

针对上述现有技术中应用程序权限控制方法没有为应用程序提供上下文运行环境的问题，目前尚未提出有效解决方案。

发明内容

有鉴于此，本发明的目的在于提供一种应用程序权限控制方法、装置及电子设备，为应用程序运行构建一套上下文运行环境。

第一方面，本发明实施例提供了一种应用程序权限控制方法，包括：读取并解析沙箱的运行参数和应用程序权限配置的元数据；根据运行参数初始化沙箱并创建沙箱进程；根据元数据创建命名空间进程；根据元数据在命名空间中创建临时文件系统；在命名空间中，根据临时文件系统创建应用程序进程并启动应用程序。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，方法还包括：退出应用程序，销毁沙箱。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第二种可能的实施方式，其中，退出应用程序，销毁沙箱的步骤，包括：退出应用程序，并结束应用程序进程；结束命名空间进程以及沙箱进程。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，沙箱进程用于存储命名空间进程的运行信息，并检测命名空间进程的运行状态；命名空间进程用于存储应用程序进程的运行信息，并检测应用程序进程的运行状态。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，根据运行参数初始化沙箱并创建沙箱进程的步骤，包括：根据运行参数设置沙箱环境的设置参数；通过沙箱后端工具设置沙箱环境所需的权能；创建沙箱进程。

结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，根据元数据在命名空间中创建临时文件系统的步骤，包括：在命名空间中创建根目录；在根目录创建第一子目录，并挂载主机系统文件到第一子目录；在根目录创建第二子目录，根据元数据挂载持久化层、应用程序文件系统和所需的主机系统文件；所需的主机系统文件为根据元数据从主机系统文件中确定的；卸载第一子目录。