基于宿主机操作系统部署指定应用的方法和系统与流程

技术特征：
1.一种基于宿主机操作系统部署指定应用的方法，包括：构建单应用空间，并将与所述指定应用相关的代码加载到所述单应用空间中；构建单应用的操作系统，并将其与所述单应用空间关联；切换进单应用的操作系统中，并在其中执行所述指定应用相关的代码，以启动相应进程，其中，所述相应进程用于完成所述指定应用的功能以及对来自所述指定应用的资源访问请求进行检查。2.根据权利要求1所述的方法，所述相应进程包括应用进程和代理进程，所述应用进程用于完成所述指定应用的功能，所述代理进程用于提供资源访问控制策略，并基于所述资源访问控制策略对来自于所述应用进程的资源访问请求进行检查。3.根据权利要求2所述的方法，所述单应用空间被划分为高特权级空间和低特权级空间，所述应用进程仅能够访问所述低特权级空间，所述代理进程能够访问所述高特权级空间和所述低特权级空间。4.根据权利要求3的方法，其中，从所述应用进程视角，所述低特权级空间的首地址为0且所述高特权级空间不可见。5.根据权利要求2所述的方法，还包括：基于所述宿主机操作系统部署并启动影子进程，所述影子进程基于所述资源访问请求建立与所述代理进程视角下一致的地址映射数据。6.根据权利要求5所述的方法，其中，所述应用进程向所述代理进程发送所述资源访问请求，所述代理进程通过所述单应用的操作系统和所述宿主机操作系统将所述资源访问请求发送给所述影子进程，所述影子进程对其进行检查后，再发送给所述宿主机操作系统，所述宿主机操作系统据此申请资源并将资源句柄发送给所述影子进程，以便于所述影子进程记录地址映射数据。7.根据权利要求1所述的方法，其中，所述单应用的操作系统被限制为仅运行所述指定应用相关的进程的虚拟机。8.根据权利要求1所述的方法，其中，所述应用进程调用所述宿主机操作系统提供的针对文件的系统函数，来完成针对文件的读写操作。9.根据权利要求1所述的方法，其中，所述应用进程调用所述代理进程提供的虚拟存储访问接口，由所述代理进程通过虚拟化技术完成针对文件的读写操作。10.根据权利要求1所述的方法，其中，所述宿主机操作系统为linux。11.一种系统，包括：宿主机操作系统；单应用的操作系统；在所述单应用的操作系统中执行的与指定应用相关的进程，其中，所述宿主机操作系统在启动时构建单应用空间，将与所述指定应用相关的代码加载到所述单应用空间中，并构建与所述单应用空间关联的单应用的操作系统，然后切换进所述单应用的操作系统中执行所述指定应用相关的代码，以启动与指定应用相关的进程。12.根据权利要求1所述的方法，其中，所述单应用的操作系统被限制为仅运行所述指定应用相关的进程的虚拟机，所述宿主机操作系统为linux。
13.一种服务器，包括存储器和处理器，所述存储器还存储有可由所述处理器执行的计算机指令，所述计算机指令被执行时，实现如权利要求1至10任一项所述的方法。14.一种计算机可读介质，所述计算机可读介质存储有可由电子设备执行的计算机指令，所述计算机指令被执行时，实现如权利要求1至10任一项所述的方法。15.一种处理器，所述处理器包括多个处理器核，其中，每个处理器核以独立于其他处理器核的方式处于内核态或者用户态，每个处理器核在内核态下执行宿主机操作系统，并为指定应用分配一个单应用空间，选择任意一个处理器核作为所述单应用空间所执行的处理器核，并将与所述指定应用相关的代码存放在所述单应用空间内，所述宿主机操作系统在所选择的处理器核上切换到用户态，再进入所述单应用空间，以执行其中的代码，从而启动一个单应用的操作系统以及与所述指定应用相关的进程。

技术总结
提供一种基于宿主机操作系统部署指定应用的方法和系统。该方法包括：构建单应用空间，并将和指定应用相关的代码加载到单应用空间中；构建单应用的操作系统，并将其与单应用空间关联；切换进单应用的操作系统中，并在其中执行指定应用相关的代码，以启动相应进程，其中，所述相应进程用于完成指定应用的功能以及对来自指定应用的资源访问请求进行检查。本公开实施例从逻辑上区分访问控制和资源管理，并且将多个应用的访问控制策略部署在多个代理进程中，不会由于某个代理进程受到攻击导致全部的代理进程都受到影响，因此安全性更好。因此安全性更好。因此安全性更好。


技术研发人员：赵思齐
受保护的技术使用者：平头哥（上海）半导体技术有限公司
技术研发日：2021.11.01
技术公布日：2022/3/7