用于应用保护的系统及非瞬时机器可读介质技术方案

本发明专利技术提供用于应用保护的系统和非瞬时机器可读介质，实施本发明专利技术实施例可减少系统成本并增加系统性能。其中，用于应用保护的系统，包括：处理器，被配置为执行客户虚拟机、主虚拟机、管理模块及主机虚拟机；该客户虚拟机上运行至少一个应用，且具有该至少一个应用的标识的应用保护被下载到该客户虚拟机；其中该管理模块包括：安装服务模块，被配置为从该客户虚拟机接收该应用保护并复制到该主虚拟机；以及启动模块，被配置为启动该应用保护；其中该主机虚拟机被配置为：通过该标识验证该应用保护并生成验证结果；根据该验证结果从该主虚拟机获取该标识；以及根据该标识向该启动模块生成启动命令。启动命令。启动命令。

【技术实现步骤摘要】
用于应用保护的系统及非瞬时机器可读介质


[0001]本专利技术涉及计算器
，更进一步地，涉及应用保护的技术方案。

技术介绍

[0002]对于运行有多个应用(application，APP)的安卓(Android)高阶(high
‑
level)操作系统(Operating System，OS)，可从云端下载对应于该多个APP的多个APP保护(例如，保护策略)，并且可设置管理模块来提供动态的APP保护加载机制，以在APP上执行验证、加载及实施。但可能会出现一些问题。系统可能需要额外的安全操作系统或由管理模块本身在APP上执行验证，这将增加成本并降低系统的性能。系统可能包括多个主(primary)虚拟机(Virtual Machine，VM)，这些主虚拟机可能被安排为对APP进行APP保护，系统可能无法确认每个APP保护对应的主VM，这将影响系统的安全性。因此，迫切需要一种新颖的APP保护系统，通过APP的标识(identification，ID)来验证APP，并根据ID对主VM进行绑定。

技术实现思路

[0003]本专利技术提供用于应用保护的系统和用于存储程序代码的非瞬时机器可读介质，实施本专利技术实施例可减少系统成本并增加系统性能。
[0004]本专利技术提供的用于应用保护的系统，包括：处理器，该处理器被配置为执行客户虚拟机、至少一个主虚拟机、管理模块及主机虚拟机；其中该客户虚拟机上运行至少一个应用，且具有该至少一个应用的至少一个标识的至少一个应用保护被下载到该客户虚拟机；其中该管理模块包括：安装服务模块，被配置为从该客户虚拟机接收具有该至少一个标识的该至少一个应用保护，并根据安装服务命令将该至少一个应用保护复制到该至少一个主虚拟机；以及启动模块，被配置为根据启动指令启动复制到该至少一个主虚拟机中的该至少一个应用保护；其中该主机虚拟机被配置为：从该客户虚拟机接收至少一个安装命令，并根据该至少一个安装命令向该安装服务模块生成该安装服务命令；通过该至少一个标识验证该至少一个应用保护并生成至少一个验证结果；根据该至少一个验证结果从该至少一个主虚拟机获取该至少一个标识；以及根据该至少一个标识向该启动模块生成该启动命令。
[0005]本专利技术提供的一种用于存储程序代码的非瞬时机器可读介质，其中当该程序代码被处理器加载并执行时，该程序代码指示该处理器执行客户虚拟机、至少一个主虚拟机、管理模块及主机虚拟机；其中该客户虚拟机上运行至少一个应用，且具有该至少一个应用的至少一个标识的至少一个应用保护被下载到该客户虚拟机；其中该管理模块包括：安装服务模块，被配置为从该客户虚拟机接收具有该至少一个标识的该至少一个应用保护，并根据安装服务命令将该至少一个应用保护复制到该至少一个主虚拟机；以及启动模块，被配置为根据启动指令启动复制到该至少一个主虚拟机中的该至少一个应用保护；其中该主机虚拟机被配置为：从该客户虚拟机接收至少一个安装命令，并根据该至少一个安装命令向该安装服务模块生成该安装服务命令；通过该至少一个标识验证该至少一个应用保护并生成至少一个验证结果；根据该至少一个验证结果从该至少一个主虚拟机获取该至少一个标
200(为了简化，在图2中标记为“下载”)。应注意，可用其他可表示APP A身份的其他信息(例如，APP A的签名)代替ID。
[0016]作为举例，例如具有Linux内核的安卓系统的操作系统可运行在客户VM 200上，其中APP A的客户201可能向主机VM 230发送用于APP A保护的安装命令I_CMD。管理模块210可包括安装服务模块212和启动(launch)模块214。安装服务模块212可用于从客户VM 200接收APP A保护(为了简化，在图2中标记为“接收”)，并根据安装服务命令IS_CMD将APP A保护复制到主VM 220(为了简化，在图2中标记为“复制”)，其中安装服务命令IS
‑
CMD可用于通知安装服务模块212将APP A保护复制到主VM 220。启动模块214可用于根据启动命令L_CMD启动复制到主VM 220中的APP A保护(为了简化，在图2中标记为“启动”)。
[0017]主机VM 230可用于确保主VM 220对于系统20的合法性，且可包括ID列表231和安装管理模块232，其中APP A的ID可包括在ID列表231中。安装管理模块232可用于从客户VM 200接收安装命令I_CMD，并根据安装命令I_CMD向管理模块210中的安装服务模块212产生安装服务命令IS_CMD，以用于触发安装服务模块212将APP A保护复制到主VM 220。此外，安装管理模块232可包括ID管理模块233和激活的ID模块234。ID管理模块233可用于通过ID列表231中的APP A的ID验证APP A保护(为了简化，在图2中标记为“验证”)，以确保APP A未被篡改(也即，APP A对系统20合法)，并查收验证结果，其中，ID管理器模块233可以通过算法、密钥类别或白名单生成ID列表231中的APP A的ID，并可以通过生成的ID列表231中的APP A的ID来判断APP A保护的ID是否合法，以生成验证结果，但本专利技术不限于此。
[0018]随后，响应于验证结果指示APP A的ID合法，安装管理模块232中的激活的ID模块234可用于从主VM 200获取(也即，主VM 200向激活的ID模块234提供APP A的ID，为了简化，在图2中标记为“提供ID”)并记录激活的ID(也即，APP A的ID)并根据APP A的ID向管理模块210中的启动模块214生成启动命令L_CMD，以启动APP A保护。由于对APP保护的验证由主机VM 230执行，管理模块210的相应功能任务可被卸除(offloaded)，由此可减少成本并增加系统20的性能。应用注意，当APP A被加载到客户VM 200时，主VM 220同时被加载到处理器中，当APP A从客户VM 200卸除时，主VM 220同时从处理器卸除。此外，当APP A停止在客户VM 200上运行(也即，APP A保护不需要了)，主VM 220可释放APP A保护。换言之，当APP A开始在客户VM 200上运行，APP A保护可被复制到主VM 220上。以这种方式，可显著节省系统20的存储空间。
[0019]图3为依据本专利技术的另一个实施例的用于APP保护的系统30的示意图。如图3所示，系统30可以包括处理器(例如图1所示的处理器12)。处理器可以被安排来执行软件模块，这些软件模块包括：客户(guest)虚拟机(VM)300、管理模块310、多个主(primary)VM(例如，两个主VM 320和321)以及主机(host)VM 330。其中管理模块310可以包括安装服务模块312和启动模块314，主机VM 330可以包括ID列表331和安装管理模块332，并且安装管理模块332可以包括ID管理模块333和激活的ID模块334。在本实施例中，两个APP(也即，APP A和APP B)可运行在客户VM 300上，且具有本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于应用保护的系统，其特征在于，包括：处理器，该处理器被配置为执行客户虚拟机、至少一个主虚拟机、管理模块及主机虚拟机；其中该客户虚拟机上运行至少一个应用，且具有该至少一个应用的至少一个标识的至少一个应用保护被下载到该客户虚拟机；其中该管理模块包括：安装服务模块，被配置为从该客户虚拟机接收具有该至少一个标识的该至少一个应用保护，并根据安装服务命令将该至少一个应用保护复制到该至少一个主虚拟机；以及启动模块，被配置为根据启动指令启动复制到该至少一个主虚拟机中的该至少一个应用保护；其中该主机虚拟机被配置为：从该客户虚拟机接收至少一个安装命令，并根据该至少一个安装命令向该安装服务模块生成该安装服务命令；通过该至少一个标识验证该至少一个应用保护并生成至少一个验证结果；根据该至少一个验证结果从该至少一个主虚拟机获取该至少一个标识；以及根据该至少一个标识向该启动模块生成该启动命令。2.如权利要求1所述的系统，其特征在于，该管理模块进一步包括：通信代理，被配置为接收由该主机虚拟机发送的该至少一个标识。3.如权利要求2所述的系统，其特征在于，该通信代理进一步被配置为：将该至少一个主虚拟机与该管理模块进行绑定，并根据该至少一个标识在该至少一个主虚拟机和该管理模块之间执行通信。4.如权利要求1所述的系统，其特征在于，一个应用运行在客户虚拟机上，且该至少一个主虚拟机包括一个主虚拟机，该一个主虚拟机对应具有该一个应用的标识的应用保护。5.如权利要求4所述的系统，其特征在于，当该一个应用加载到该客户虚拟机或从该客户虚拟机卸除，该对应的一个主虚拟机同时加载到该处理器或从该处理器卸除。6.如权利要求4所述的系统，其特征在于，当该一个应用停止在该客户虚拟机上运行，该对应的一个主虚拟机释放具有该一个应用的标识的该应用保护。7.如权利要求4所述的系统，其特征在于，当该一个应该开始在该客户虚拟机上运行，具有该一个应用的标识的该应用保护被复制到该主虚拟机。8.如权利要求1所述的系统，其特征在于，多个应用运行在该客户虚拟机上，且该至少一个主虚拟机包括多个主虚拟机，该多个主虚拟机分别对应具有该多个应用的标识的多个应用保护。9.如权利要求8所述的系统，其特征在于，当该多个应用中的第一应用加载到该客户虚拟机或从该客户虚拟机卸除时，对应具有该第一应用的标识的第一应用保护的第一主虚拟机同时加载到该处理器或从该处理器卸除。10.如权利要求8所述的系统，其特征在于，当该多个应用中的第一应用停止在该客户虚拟机上运行，对应具有该第一应用的标识的第一应用保护的第一主虚拟机释放该第一应用保护。11.如权利要求8所述的系统，其特征在于，当该多个应用中的第一应用开始在该客户
虚拟...

【专利技术属性】
技术研发人员：萧志祥，隋培伦，许育淇，
申请(专利权)人：联发科技股份有限公司，
类型：发明
国别省市：