GitHub:https://github.com/Pangu-Immortal
本文技术涉及基于Docker容器的移动端双系统实现系统及方法,所述系统包括相互连接的内核层及应用程序层,其中,应用程序层包括Docker模块以及Docker模块根据Docker创建的多个容器,所述内核层包括LSM模块,所述LSM模块用于对多个容器内的进程进行访问控制。本文技术提供的基于Docker容器的移动端双系统实现系统及方法,可有效阻止Docker容器进程对宿主机中没有被隔离文件资源的访问,完善了Docker容器与宿主机之间的访问控制机制,可满足多元场景的实用性及移动端的安全性,同时又可以省去多个移动端切换使用的复杂性。
前几年预研加开发Android双系统,中途用过不少开源代码或者研读过大牛BLOG,现开放双系统设计原理来回报社区。
Android容器技术已在Android 6 7 8 9 10 11 12版本中分别实现并应用。
原型来自于哥伦比亚大学虚拟化实验室的一篇论文(也有一个DEMO),后来一个以色列公司cellrox在2014年进行了商业化,2015年的时候浙大一个操作系统实验室也出了一个DEMO(名称叫Condroid)。
哥大论文地址:http://systems.cs.columbia.edu/projects/cells/
浙大项目地址:http://condroid.github.io/
以色列公司官网:http://www.cellrox.com/
GitHub:https://github.com/Pangu-Immortal/MagicWX
浙大项目本来有源码,由于一些原因目前只剩下文档,对Android源码比较熟悉能复原程序。
原理:
同docker、lxc、cells原理一致,利用kernel中的namespace+cgroup来实现Android容器系统。
容器启动:
要有一个能启动init进程的容器管理进程,该进程是rc service服务进程(celld),负责启动、关闭和切换容器,管理和分配容器需要的系统资源。
基于Docker容器的移动端双系统实现系统及方法
本文技术涉及计算机安全,具体涉及一种基于Docker容器的移动端双系统实现系统及方法。
技术介绍
随着科技水平的发展,移动智能终端和移动互联网也得到了充分的进步,搭载主流移动操作系统(IOS、Android)的移动智能终端数量呈现爆炸式增长。其中,由于Android手机有着相对优势的性价比,在市场中占有很大的比重,与此同时,Android应用为了满足用户的需求也呈现出爆炸式增长的趋势。如今,很多的人士由于业务的需要,往往需要携带两部或者以上的手机来适应不同的场景,比如生活和工作相分离的场景,对于一些特殊的人群(保密人员、公务员)等就一定需要考虑到安全的问题。虽然Android原生系统从底层内核到上层app应用添加了多种安全措施,确保手机系统的安全性,但是还依然存在着安全问题,比如Linux内核的攻击,对上层app应用的攻击。随着恶意程序的增多,用户的隐私及数据会受到很大的威胁。虚拟化技术是对系统硬件资源进行抽象化并进行管理,然后向上层提供统一的接口,加入虚拟化技术后,系统间的硬件的差异化就被透明化了,比如,当选择一种操作系统时就可以不用关心底层硬件的处理器指令集。虚拟化技术的引入,慢慢解决了系统中软硬件紧密耦合的关系,可以在同一个物理机上能够同时运行多个操作系统实例,使得系统能够充分利用硬件资源。目前,虚拟化技术解决方案可以在不同层次上实现,不同的实现方式和抽象层次对应的虚拟化有不同特性。按实现的技术不同,虚拟化可以分为指令级虚拟化、硬件级虚拟化、操作系统级虚拟化以及编程语言级虚拟化4种。指令级虚…
1.一种基于Docker容器的移动端双系统实现系统,其特征在于:所述移动端双系统实现系统包括相互连接的内核层及应用程序层,其中,应用程序层包括Docker模块以及Docker模块根据Docker创建的多个容器,所述内核层包括LSM模块,所述LSM模块分别与应用程序层内的各容器连接,用于对多个容器内的进程进行访问控制。
容器的文件系统是在celld中构建,用到chroot、mount、mnt namespace等技术,android系统每个分区挂载实现机制如下:
1、根分区挂载:在主系统的data分区目录中mount rootfs文件系统,当做容器系统的根分区。
2、system分区挂载:将主系统的system目录mount(bind)成容器系统的system分区。
3、data分区挂载:在主系统中创建一个临时目录,然后把这个临时目录mount成容器系统的data分区。
4、sdcard挂载:原理同data分区挂载机制一致,android 6以后sdcard实现机制一直在变,这里需要注意一下是否需要变更。
5、根分区的所有文件需要主动创建或者复制,system分区则不需要。
在celld中主动启动init进程,当做容器系统的init根进程,在celld源码中有如下大致步骤:
1、利用clone系统调用启动容器系统的init进程。
2、clone系统调用需要一系列namespace标记来创建属于容器系统的命名空间。
3、然后需要给这个init进程分配cgroup资源。
4、最后需要调用chroot函数给容器系统分配根目录,实际上它是主系统中的一个目录而已。
这个驱动是android系统的核心,第一步一定要把它实现好,因为所有的android service都会注册到binder驱动中,容器系统的android service同样会注册到binder驱动中的,那么问题来了,相同的实名binder服务名只能注册一次,容器系统注册相同名称的binder服务会产生冲突。binder驱动是一个字符设备,所以binder驱动虚拟化就是重新构造binder的数据结构,让容器系统能在binder驱动中有其独立的数据结构,这个驱动的源码,在哥大的DEMO中是有的,有兴趣的可以参考。此外binder驱动的虚拟化还要实现一个很重要的功能,就是容器之间能互相访问对方的android service,这样后续很多设备的虚拟化就可以在此基础上实现。
显示的虚拟化要利用容器系统间能互相访问service才能实现,主系统运行surfaceflinger,容器系统不运行surfaceflinger,而是通过binder驱动访问主系统的surfaceflinger,当然surfaceflinger的代码也得调整,让主系统和容器系统的surface互相不干涉。这个驱动的虚拟化,在哥大的demo中也有实现,不过哥大的demo是在android4.4的基础上实现的,当时android源码中还没有ion这个驱动,android5.0以后有了ion这个驱动以后,哥大的display虚拟化方式是无效的,有兴趣的可以看一看,它在内核中实现,简单过程如下:
1、display虚拟化的重点在于,非当前系统也需要实时更新画面,不能简单粗暴的进行阻截,只是这个非当前系统的画面要隐藏起来,不能投射到屏幕中。
2、当非当前系统使用mmap映射显存时需要映射的是内存,将所有像素数据保存在内存中。
3、当发生系统切换时,就可以将内存中的像素数据复制到显存当中。
触摸屏的虚拟化,哥大的demo也有,非常精良可以看看,主要思路就是:阻截非当前系统的event事件上报,同时需要注意系统切换时容易造成“留点”问题。
网络的虚拟化有两块,一个是wifi的,另一个则是数据流量的,但是二者实现原理都是一样的,有三种虚拟化方式:
1、容器系统不隔离网络namespace,所有容器系统和主系统共享七层网络,但会有很多问题需要解决,同时也不太安全,或者叫不太敢用,如local socket 不能同名、netlink socket ID不能相同等。
2、网络设备运行在主系统中,利用veth网络设备联通容器系统和主系统,而在第三层网络中实现路由转发,这种方式与android原框架融合性比较好。
3、网络设备运行在主系统中,利用veth网络设备联通容器系统和主系统,而在第二层网络中实现桥接,这种方式不适合wlan,因为wifi只有p2p模式和热点模式,不能进行桥接,数据流量是可以的。
好了,到此一个运行于手机中的容器android基本就能跑起来了,其实只要实现binder的虚拟化和display的虚拟化就能跑起来了!
搜索可用的镜像
FarleydeMacBook-Air:~ Farley$ docker search tutorial
下载容器镜像
docker pull learn/tutorial
在docker容器中运行
docker run learn/tutorial echo "hello"
在容器中安装新的程序
docker run learn/tutorial apt-get install -y ping
保存对容器的修改
FarleydeMacBook-Air:~ Farley$ docker ps -l
运行docker commit,可以查看该命令的参数列表。
FarleydeMacBook-Air:~ Farley$ docker commit
然后把这个镜像保存为learn/ping。
docker commit 58e8 learn/ping
运行新的镜像
docker run learn/ping ping www.baidu.com
发布docker镜像
docker images命令 可以列出所有安装过的镜像。
docker push命令 可以将某一个镜像发布到官方网站。
GitHub:https://github.com/Pangu-Immortal/MagicWX
我有一个用户工厂。我希望默认情况下确认用户。但是鉴于unconfirmed特征,我不希望它们被确认。虽然我有一个基于实现细节而不是抽象的工作实现,但我想知道如何正确地做到这一点。factory:userdoafter(:create)do|user,evaluator|#unwantedimplementationdetailshereunlessFactoryGirl.factories[:user].defined_traits.map(&:name).include?(:unconfirmed)user.confirm!endendtrait:unconfirmeddoenden
导读:随着叮咚买菜业务的发展,不同的业务场景对数据分析提出了不同的需求,他们希望引入一款实时OLAP数据库,构建一个灵活的多维实时查询和分析的平台,统一数据的接入和查询方案,解决各业务线对数据高效实时查询和精细化运营的需求。经过调研选型,最终引入ApacheDoris作为最终的OLAP分析引擎,Doris作为核心的OLAP引擎支持复杂地分析操作、提供多维的数据视图,在叮咚买菜数十个业务场景中广泛应用。作者|叮咚买菜资深数据工程师韩青叮咚买菜创立于2017年5月,是一家专注美好食物的创业公司。叮咚买菜专注吃的事业,为满足更多人“想吃什么”而努力,通过美好食材的供应、美好滋味的开发以及美食品牌的孵
电脑0x0000001A蓝屏错误怎么U盘重装系统教学分享。有用户电脑开机之后遇到了系统蓝屏的情况。系统蓝屏问题很多时候都是系统bug,只有通过重装系统来进行解决。那么蓝屏问题如何通过U盘重装新系统来解决呢?来看看以下的详细操作方法教学吧。 准备工作: 1、U盘一个(尽量使用8G以上的U盘)。 2、一台正常联网可使用的电脑。 3、ghost或ISO系统镜像文件(Win10系统下载_Win10专业版_windows10正式版下载-系统之家)。 4、在本页面下载U盘启动盘制作工具:系统之家U盘启动工具。 U盘启动盘制作步骤: 注意:制作期间,U盘会被格式化,因此U盘中的重要文件请注
华为OD机试题本篇题目:明明的随机数题目输入描述输出描述:示例1输入输出说明代码编写思路最近更新的博客华为od2023|什么是华为od,od薪资待遇,od机试题清单华为OD机试真题大全,用Python解华为机试题|机试宝典【华为OD机试】全流程解析+经验分享,题型分享,防作弊指南华为o
在应用开发中,有时候我们需要获取系统的设备信息,用于数据上报和行为分析。那在鸿蒙系统中,我们应该怎么去获取设备的系统信息呢,比如说获取手机的系统版本号、手机的制造商、手机型号等数据。1、获取方式这里分为两种情况,一种是设备信息的获取,一种是系统信息的获取。1.1、获取设备信息获取设备信息,鸿蒙的SDK包为我们提供了DeviceInfo类,通过该类的一些静态方法,可以获取设备信息,DeviceInfo类的包路径为:ohos.system.DeviceInfo.具体的方法如下:ModifierandTypeMethodDescriptionstatic StringgetAbiList()Obt
C#实现简易绘图工具一.引言实验目的:通过制作窗体应用程序(C#画图软件),熟悉基本的窗体设计过程以及控件设计,事件处理等,熟悉使用C#的winform窗体进行绘图的基本步骤,对于面向对象编程有更加深刻的体会.Tutorial任务设计一个具有基本功能的画图软件**·包括简单的新建文件,保存,重新绘图等功能**·实现一些基本图形的绘制,包括铅笔和基本形状等,学习橡皮工具的创建**·设计一个合理舒适的UI界面**注明:你可能需要先了解一些关于winform窗体应用程序绘图的基本知识,以及关于GDI+类和结构的知识二.实验环境Windows系统下的visualstudio2017C#窗体应用程序三.
1.错误信息:Errorresponsefromdaemon:Gethttps://registry-1.docker.io/v2/:net/http:requestcanceledwhilewaitingforconnection(Client.Timeoutexceededwhileawaitingheaders)或者:Errorresponsefromdaemon:Gethttps://registry-1.docker.io/v2/:net/http:TLShandshaketimeout2.报错原因:docker使用的镜像网址默认为国外,下载容易超时,需要修改成国内镜像地址(首先阿里
MIMO技术的优缺点优点通过下面三个增益来总体概括:阵列增益。阵列增益是指由于接收机通过对接收信号的相干合并而活得的平均SNR的提高。在发射机不知道信道信息的情况下,MIMO系统可以获得的阵列增益与接收天线数成正比复用增益。在采用空间复用方案的MIMO系统中,可以获得复用增益,即信道容量成倍增加。信道容量的增加与min(Nt,Nr)成正比分集增益。在采用空间分集方案的MIMO系统中,可以获得分集增益,即可靠性性能的改善。分集增益用独立衰落支路数来描述,即分集指数。在使用了空时编码的MIMO系统中,由于接收天线或发射天线之间的间距较远,可认为它们各自的大尺度衰落是相互独立的,因此分布式MIMO
需求:要创建虚拟机,就需要给他提供一个虚拟的磁盘,我们就在/opt目录下创建一个10G大小的raw格式的虚拟磁盘CentOS-7-x86_64.raw命令格式:qemu-imgcreate-f磁盘格式磁盘名称磁盘大小qemu-imgcreate-f磁盘格式-o?1.创建磁盘qemu-imgcreate-fraw/opt/CentOS-7-x86_64.raw10G执行效果#ls/opt/CentOS-7-x86_64.raw2.安装虚拟机使用virt-install命令,基于我们提供的系统镜像和虚拟磁盘来创建一个虚拟机,另外在创建虚拟机之前,提前打开vnc客户端,在创建虚拟机的时候,通过vnc
遍历文件夹我们通常是使用递归进行操作,这种方式比较简单,也比较容易理解。本文为大家介绍另一种不使用递归的方式,由于没有使用递归,只用到了循环和集合,所以效率更高一些!一、使用递归遍历文件夹整体思路1、使用File封装初始目录,2、打印这个目录3、获取这个目录下所有的子文件和子目录的数组。4、遍历这个数组,取出每个File对象4-1、如果File是否是一个文件,打印4-2、否则就是一个目录,递归调用代码实现publicclassSearchFile{publicstaticvoidmain(String[]args){//初始目录Filedir=newFile("d:/Dev");Datebeg