Android基于Docker容器的双系统多开实现和自动化部署

GitHub：https://github.com/Pangu-Immortal

本文技术涉及基于Docker容器的移动端双系统实现系统及方法，所述系统包括相互连接的内核层及应用程序层，其中，应用程序层包括Docker模块以及Docker模块根据Docker创建的多个容器，所述内核层包括LSM模块，所述LSM模块用于对多个容器内的进程进行访问控制。本文技术提供的基于Docker容器的移动端双系统实现系统及方法，可有效阻止Docker容器进程对宿主机中没有被隔离文件资源的访问，完善了Docker容器与宿主机之间的访问控制机制，可满足多元场景的实用性及移动端的安全性，同时又可以省去多个移动端切换使用的复杂性。

前几年预研加开发Android双系统，中途用过不少开源代码或者研读过大牛BLOG，现开放双系统设计原理来回报社区。

Android容器技术已在Android 6 7 8 9 10 11 12版本中分别实现并应用。

原型来自于哥伦比亚大学虚拟化实验室的一篇论文(也有一个DEMO)，后来一个以色列公司cellrox在2014年进行了商业化，2015年的时候浙大一个操作系统实验室也出了一个DEMO(名称叫Condroid)。

哥大论文地址：http://systems.cs.columbia.edu/projects/cells/
浙大项目地址：http://condroid.github.io/
以色列公司官网：http://www.cellrox.com/

GitHub：https://github.com/Pangu-Immortal

浙大项目本来有源码，由于一些原因目前只剩下文档，对Android源码比较熟悉能复原程序。

原理：
同docker、lxc、cells原理一致，利用kernel中的namespace+cgroup来实现Android容器系统。

容器启动：
要有一个能启动init进程的容器管理进程，该进程是rc service服务进程(celld)，负责启动、关闭和切换容器，管理和分配容器需要的系统资源。

【技术实现步骤摘要】

基于Docker容器的移动端双系统实现系统及方法
本文技术涉及计算机安全，具体涉及一种基于Docker容器的移动端双系统实现系统及方法。

技术介绍
随着科技水平的发展，移动智能终端和移动互联网也得到了充分的进步，搭载主流移动操作系统(IOS、Android)的移动智能终端数量呈现爆炸式增长。其中，由于Android手机有着相对优势的性价比，在市场中占有很大的比重，与此同时，Android应用为了满足用户的需求也呈现出爆炸式增长的趋势。如今，很多的人士由于业务的需要，往往需要携带两部或者以上的手机来适应不同的场景，比如生活和工作相分离的场景，对于一些特殊的人群(保密人员、公务员)等就一定需要考虑到安全的问题。虽然Android原生系统从底层内核到上层app应用添加了多种安全措施，确保手机系统的安全性，但是还依然存在着安全问题，比如Linux内核的攻击，对上层app应用的攻击。随着恶意程序的增多，用户的隐私及数据会受到很大的威胁。虚拟化技术是对系统硬件资源进行抽象化并进行管理，然后向上层提供统一的接口，加入虚拟化技术后，系统间的硬件的差异化就被透明化了，比如，当选择一种操作系统时就可以不用关心底层硬件的处理器指令集。虚拟化技术的引入，慢慢解决了系统中软硬件紧密耦合的关系，可以在同一个物理机上能够同时运行多个操作系统实例，使得系统能够充分利用硬件资源。目前，虚拟化技术解决方案可以在不同层次上实现，不同的实现方式和抽象层次对应的虚拟化有不同特性。按实现的技术不同，虚拟化可以分为指令级虚拟化、硬件级虚拟化、操作系统级虚拟化以及编程语言级虚拟化4种。指令级虚…

【技术保护点】

1.一种基于Docker容器的移动端双系统实现系统，其特征在于：所述移动端双系统实现系统包括相互连接的内核层及应用程序层，其中，应用程序层包括Docker模块以及Docker模块根据Docker创建的多个容器，所述内核层包括LSM模块，所述LSM模块分别与应用程序层内的各容器连接，用于对多个容器内的进程进行访问控制。

【技术特征摘要】

1.一种基于Docker容器的移动端双系统实现系统，其特征在于：所述移动端双系统实现系统包括相互连接的内核层及应用程序层，其中，应用程序层包括Docker模块以及Docker模块根据Docker创建的多个容器，所述内核层包括LSM模块，所述LSM模块分别与应用程序层内的各容器连接，用于对多个容器内的进程进行访问控制。
2.如权利要求1所述的基于Docker容器的移动端双系统实现系统，其特征在于，所述LSM模块包括：系统调用模块，用于通过命名控制机制对容器中的进程进行定位，以判断内核层中的进程是否是对应的容器中的进程；错误检查模块，与系统调用模块连接，用于对容器中的进程进行错误检查；数字模拟转换器，与错误检查模块连接，用于转换容器中的进程文件的格式；安全决策模块，与数字模拟转换器连接，用于判断容器中的进程文件是否是内核层的保护文件；访问权限判断模块，与安全决策模块连接，用于根据安全决策模块的判断结果判断容器中的进程是否具有访问权限。
3.如权利要求2所述的基于Docker容器的移动端双系统实现系统，其特征在于：所述系统调用模块通过Open系统调用程序完成对容器中的进程的定位。
4.如权利要求2所述的基于Docker容器的移动端双系统实现系统，其特征在于：所述安全决策模块通过其内设置的钩子函数判断容器中的进程文件是否是内核层的保护文件。
5.如权利要求2所述的基于Docker容器的移动端双系统实现系统，其特征在于：所述LSM模块还包括错误信息返回模块，与安全决策模块连接，用于在容器中的进程文件不是内核层的保护文件的情况下，返回错误信息，并结束容器中的进程的系统调用。

文件系统：

容器的文件系统是在celld中构建，用到chroot、mount、mnt namespace等技术，android系统每个分区挂载实现机制如下：
1、根分区挂载:在主系统的data分区目录中mount rootfs文件系统，当做容器系统的根分区。
2、system分区挂载:将主系统的system目录mount(bind)成容器系统的system分区。
3、data分区挂载:在主系统中创建一个临时目录，然后把这个临时目录mount成容器系统的data分区。
4、sdcard挂载:原理同data分区挂载机制一致，android 6以后sdcard实现机制一直在变，这里需要注意一下是否需要变更。
5、根分区的所有文件需要主动创建或者复制，system分区则不需要。

init进程：

在celld中主动启动init进程，当做容器系统的init根进程，在celld源码中有如下大致步骤：
1、利用clone系统调用启动容器系统的init进程。
2、clone系统调用需要一系列namespace标记来创建属于容器系统的命名空间。
3、然后需要给这个init进程分配cgroup资源。
4、最后需要调用chroot函数给容器系统分配根目录，实际上它是主系统中的一个目录而已。

binder设备的虚拟化：

这个驱动是android系统的核心，第一步一定要把它实现好，因为所有的android service都会注册到binder驱动中，容器系统的android service同样会注册到binder驱动中的，那么问题来了，相同的实名binder服务名只能注册一次，容器系统注册相同名称的binder服务会产生冲突。binder驱动是一个字符设备，所以binder驱动虚拟化就是重新构造binder的数据结构，让容器系统能在binder驱动中有其独立的数据结构,这个驱动的源码，在哥大的DEMO中是有的，有兴趣的可以参考。此外binder驱动的虚拟化还要实现一个很重要的功能，就是容器之间能互相访问对方的android service，这样后续很多设备的虚拟化就可以在此基础上实现。

display虚拟化：

显示的虚拟化要利用容器系统间能互相访问service才能实现，主系统运行surfaceflinger，容器系统不运行surfaceflinger，而是通过binder驱动访问主系统的surfaceflinger，当然surfaceflinger的代码也得调整，让主系统和容器系统的surface互相不干涉。这个驱动的虚拟化，在哥大的demo中也有实现，不过哥大的demo是在android4.4的基础上实现的，当时android源码中还没有ion这个驱动，android5.0以后有了ion这个驱动以后，哥大的display虚拟化方式是无效的，有兴趣的可以看一看，它在内核中实现，简单过程如下：
1、display虚拟化的重点在于，非当前系统也需要实时更新画面，不能简单粗暴的进行阻截，只是这个非当前系统的画面要隐藏起来，不能投射到屏幕中。
2、当非当前系统使用mmap映射显存时需要映射的是内存，将所有像素数据保存在内存中。
3、当发生系统切换时，就可以将内存中的像素数据复制到显存当中。

input虚拟化：

触摸屏的虚拟化，哥大的demo也有，非常精良可以看看，主要思路就是：阻截非当前系统的event事件上报，同时需要注意系统切换时容易造成“留点”问题。

网络的虚拟化：

网络的虚拟化有两块，一个是wifi的，另一个则是数据流量的，但是二者实现原理都是一样的，有三种虚拟化方式：
1、容器系统不隔离网络namespace，所有容器系统和主系统共享七层网络，但会有很多问题需要解决，同时也不太安全，或者叫不太敢用，如local socket 不能同名、netlink socket ID不能相同等。
2、网络设备运行在主系统中，利用veth网络设备联通容器系统和主系统，而在第三层网络中实现路由转发，这种方式与android原框架融合性比较好。
3、网络设备运行在主系统中，利用veth网络设备联通容器系统和主系统，而在第二层网络中实现桥接，这种方式不适合wlan，因为wifi只有p2p模式和热点模式，不能进行桥接，数据流量是可以的。

好了，到此一个运行于手机中的容器android基本就能跑起来了，其实只要实现binder的虚拟化和display的虚拟化就能跑起来了！

基本命令

搜索可用的镜像
FarleydeMacBook-Air:~ Farley$ docker search tutorial下载容器镜像
docker pull learn/tutorial在docker容器中运行
docker run learn/tutorial echo "hello"在容器中安装新的程序
docker run learn/tutorial apt-get install -y ping保存对容器的修改
FarleydeMacBook-Air:~ Farley$ docker ps -l运行docker commit，可以查看该命令的参数列表。
FarleydeMacBook-Air:~ Farley$ docker commit
然后把这个镜像保存为learn/ping。
docker commit 58e8 learn/ping运行新的镜像
docker run learn/ping ping www.baidu.com发布docker镜像
docker images命令 可以列出所有安装过的镜像。
docker push命令 可以将某一个镜像发布到官方网站。

GitHub：https://github.com/Pangu-Immortal